Stockage et conservation des résultats de découverte de données sensibles - Amazon Macie

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Stockage et conservation des résultats de découverte de données sensibles

Lorsque vous exécutez une tâche de découverte de données sensibles ou qu'Amazon Macie effectue une découverte automatique de données sensibles, Macie crée un enregistrement d'analyse pour chaque objet Amazon Simple Storage Service (Amazon S3) inclus dans le périmètre de l'analyse. Ces enregistrements, appelés résultats de découverte de données sensibles, enregistrent les détails de l'analyse que Macie effectue sur des objets S3 individuels. Cela inclut les objets dans lesquels Macie ne détecte pas de données sensibles et ne produit donc pas de résultats, ainsi que les objets que Macie ne peut pas analyser en raison d'erreurs ou de problèmes. Si Macie détecte des données sensibles dans un objet, l'enregistrement inclut les données de la découverte correspondante ainsi que des informations supplémentaires. Les résultats de découverte de données sensibles vous fournissent des enregistrements d'analyse qui peuvent être utiles pour les audits ou les enquêtes sur la confidentialité et la protection des données.

Macie conserve les résultats de la découverte de vos données sensibles pendant 90 jours seulement. Pour accéder à vos résultats et permettre leur stockage et leur conservation à long terme, configurez Macie pour chiffrer les résultats avec une clé AWS Key Management Service (AWS KMS) et les stocker dans un compartiment S3. Le bucket peut servir de référentiel définitif à long terme pour tous vos résultats de découverte de données sensibles. Vous pouvez ensuite éventuellement accéder aux résultats de ce référentiel et les interroger.

Cette rubrique vous explique comment utiliser le AWS Management Console pour configurer un référentiel pour vos résultats de découverte de données sensibles. La configuration est une combinaison d'un AWS KMS key qui chiffre les résultats, d'un compartiment S3 à usage général qui stocke les résultats et de paramètres Macie qui spécifient la clé et le compartiment à utiliser. Si vous préférez configurer les paramètres Macie par programmation, vous pouvez utiliser le PutClassificationExportConfigurationfonctionnement d'Amazon Macie. API

Lorsque vous configurez les paramètres dans Macie, vos choix s'appliquent uniquement aux paramètres actuels Région AWS. Si vous êtes l'administrateur Macie d'une organisation, vos choix s'appliquent uniquement à votre compte. Ils ne s'appliquent pas aux comptes membres associés. Si vous activez la découverte automatique des données sensibles ou si vous exécutez des tâches de découverte de données sensibles pour analyser les données des comptes des membres, Macie stocke les résultats de la découverte de données sensibles dans le référentiel de votre compte administrateur.

Si vous utilisez Macie à plusieurs reprises Régions AWS, configurez les paramètres du référentiel pour chaque région dans laquelle vous utilisez Macie. Vous pouvez éventuellement stocker les résultats de découverte de données sensibles pour plusieurs régions dans le même compartiment S3. Notez toutefois les exigences suivantes :

  • Pour stocker les résultats d'une région AWS activée par défaut Comptes AWS, telle que la région USA Est (Virginie du Nord), vous devez choisir un compartiment dans une région activée par défaut. Les résultats ne peuvent pas être stockés dans un compartiment d'une région optionnelle (région désactivée par défaut).

  • Pour stocker les résultats d'une région optionnelle, telle que la région du Moyen-Orient (Bahreïn), vous devez choisir un compartiment dans cette même région ou une région activée par défaut. Les résultats ne peuvent pas être stockés dans un compartiment situé dans une autre région optionnelle.

Pour déterminer si une région est activée par défaut, consultez la section Activer ou désactiver Régions AWS dans votre compte dans le guide de AWS Account Management l'utilisateur. Outre les exigences précédentes, déterminez également si vous souhaitez récupérer des échantillons de données sensibles que Macie rapporte dans des résultats individuels. Pour récupérer des échantillons de données sensibles d'un objet S3 concerné, toutes les ressources et données suivantes doivent être stockées dans la même région : l'objet concerné, le résultat applicable et le résultat de découverte de données sensibles correspondant.

Avant de commencer : découvrez les concepts clés

Amazon Macie crée automatiquement un résultat de découverte de données sensibles pour chaque objet Amazon S3 qu'il analyse ou tente d'analyser lorsque vous exécutez une tâche de découverte de données sensibles ou qu'il effectue une découverte automatique de données sensibles. Cela consiste notamment à :

  • Objets dans lesquels Macie détecte des données sensibles et, par conséquent, produisent également des résultats de données sensibles.

  • Objets dans lesquels Macie ne détecte pas de données sensibles et ne produisent donc pas de résultats de données sensibles.

  • Objets que Macie ne peut pas analyser en raison d'erreurs ou de problèmes tels que les paramètres d'autorisation ou l'utilisation d'un format de fichier ou de stockage non pris en charge.

Si Macie détecte des données sensibles dans un objet S3, le résultat de la découverte de données sensibles inclut les données issues de la recherche de données sensibles correspondante. Il fournit également des informations supplémentaires, telles que l'emplacement de pas moins de 1 000 occurrences de chaque type de données sensibles trouvées par Macie dans l'objet. Par exemple :

  • Numéro de colonne et de ligne d'une cellule ou d'un champ dans un classeur, un fichier ou TSV un CSV fichier Microsoft Excel

  • Le chemin d'accès à un champ ou à un tableau dans un fichier JSON ou JSON Lines

  • Le numéro de ligne d'une ligne dans un fichier texte non binaire autre qu'unCSV,JSON, JSON Lignes ou TSV fichier, par exemple, unHTML, TXT ou un fichier XML

  • Numéro de page d'une page dans un fichier Adobe Portable Document Format (PDF)

  • L'index d'enregistrement et le chemin d'accès à un champ dans un enregistrement d'un conteneur d'objets Apache Avro ou d'un fichier Apache Parquet

Si l'objet S3 concerné est un fichier d'archive, tel qu'un fichier .tar ou .zip, le résultat de la découverte de données sensibles fournit également des données de localisation détaillées pour les occurrences de données sensibles dans des fichiers individuels que Macie a extraits de l'archive. Macie n'inclut pas ces informations dans les résultats de données sensibles pour les fichiers d'archive. Pour signaler les données de localisation, les résultats de découverte de données sensibles utilisent un JSONschéma standardisé.

Un résultat de découverte de données sensibles n'inclut pas les données sensibles trouvées par Macie. Il vous fournit plutôt un enregistrement d'analyse qui peut être utile pour les audits ou les enquêtes.

Macie conserve les résultats de la découverte de vos données sensibles pendant 90 jours. Vous ne pouvez pas y accéder directement sur la console Amazon Macie ou avec Amazon Macie. API Suivez plutôt les étapes décrites dans cette rubrique pour configurer Macie afin qu'il crypte vos résultats avec un AWS KMS key que vous spécifiez et qu'il stocke les résultats dans un compartiment S3 à usage général que vous spécifiez également. Macie écrit ensuite les résultats dans des fichiers JSON Lines (.jsonl), ajoute les fichiers au bucket sous forme de fichiers GNU Zip (.gz) et chiffre les données à l'aide du chiffrement. SSE KMS Depuis le 8 novembre 2023, Macie signe également les objets S3 obtenus avec un code d'authentification de message basé sur le hachage ()HMAC. AWS KMS key

Une fois que vous avez configuré Macie pour stocker les résultats de la découverte de vos données sensibles dans un compartiment S3, le compartiment peut servir de référentiel définitif à long terme pour les résultats. Vous pouvez ensuite éventuellement accéder aux résultats de ce référentiel et les interroger.

Conseils

Pour un exemple détaillé et instructif de la manière dont vous pouvez interroger et utiliser les résultats de découverte de données sensibles pour analyser et signaler les risques potentiels liés à la sécurité des données, consultez le billet de blog suivant sur le blog sur la AWS sécurité : Comment interroger et visualiser les résultats de découverte de données sensibles de Macie avec Amazon Athena et Amazon. QuickSight

Pour obtenir des exemples de requêtes Amazon Athena que vous pouvez utiliser pour analyser les résultats de découverte de données sensibles, consultez le référentiel Amazon Macie Results Analytics sur. GitHub Ce référentiel fournit également des instructions pour configurer Athena afin de récupérer et de déchiffrer vos résultats, ainsi que des scripts pour créer des tables pour les résultats.

Étape 1 : Vérifier vos autorisations

Avant de configurer un référentiel pour vos résultats de découverte de données sensibles, vérifiez que vous disposez des autorisations nécessaires pour chiffrer et stocker les résultats. Pour vérifier vos autorisations, utilisez AWS Identity and Access Management (IAM) pour consulter les IAM politiques associées à votre IAM identité. Comparez ensuite les informations contenues dans ces politiques à la liste suivante des actions que vous devez être autorisé à effectuer pour configurer le référentiel.

Amazon Macie

Pour Macie, vérifiez que vous êtes autorisé à effectuer l'action suivante :

macie2:PutClassificationExportConfiguration

Cette action vous permet d'ajouter ou de modifier les paramètres du référentiel dans Macie.

Amazon S3

Pour Amazon S3, vérifiez que vous êtes autorisé à effectuer les actions suivantes :

  • s3:CreateBucket

  • s3:GetBucketLocation

  • s3:ListAllMyBuckets

  • s3:PutBucketAcl

  • s3:PutBucketPolicy

  • s3:PutBucketPublicAccessBlock

  • s3:PutObject

Ces actions vous permettent d'accéder à un compartiment S3 à usage général pouvant servir de référentiel et de le configurer.

AWS KMS

Pour utiliser la console Amazon Macie afin d'ajouter ou de modifier les paramètres du référentiel, vérifiez également que vous êtes autorisé à effectuer les actions suivantes : AWS KMS

  • kms:DescribeKey

  • kms:ListAliases

Ces actions vous permettent de récupérer et d'afficher les informations relatives AWS KMS keys à votre compte. Vous pouvez ensuite choisir l'une de ces clés pour chiffrer les résultats de la découverte de données sensibles.

Si vous envisagez d'en créer un nouveau AWS KMS key pour chiffrer les données, vous devez également être autorisé à effectuer les actions suivantes : kms:CreateKeykms:GetKeyPolicy, etkms:PutKeyPolicy.

Si vous n'êtes pas autorisé à effectuer les actions requises, demandez de l'aide à votre AWS administrateur avant de passer à l'étape suivante.

Étape 2 : Configuration d'un AWS KMS key

Après avoir vérifié vos autorisations, déterminez celle que AWS KMS key vous souhaitez que Macie utilise pour chiffrer les résultats de la découverte de vos données sensibles. La clé doit être une KMS clé de chiffrement symétrique gérée par le client et activée au même endroit Région AWS que le compartiment S3 dans lequel vous souhaitez stocker les résultats.

La clé peut être une clé existante AWS KMS key de votre propre compte ou une clé existante détenue AWS KMS key par un autre compte. Si vous souhaitez utiliser une nouvelle KMS clé, créez-la avant de continuer. Si vous souhaitez utiliser une clé existante détenue par un autre compte, obtenez le nom de ressource Amazon (ARN) de la clé. Vous devrez le saisir ARN lorsque vous configurerez les paramètres du référentiel dans Macie. Pour plus d'informations sur la création et la révision des paramètres KMS des clés, consultez le guide du AWS Key Management Service développeur.

Note

La clé peut se trouver AWS KMS key dans un magasin de clés externe. Cependant, la clé peut alors être plus lente et moins fiable qu'une clé entièrement gérée en interne AWS KMS. Vous pouvez réduire ce risque en stockant les résultats de la découverte de vos données sensibles dans un compartiment S3 configuré pour utiliser la clé comme clé de compartiment S3. Cela réduit le nombre de AWS KMS demandes à effectuer pour chiffrer les résultats de la découverte de données sensibles.

Pour plus d'informations sur l'utilisation KMS des clés dans les banques de clés externes, consultez la section Banques de clés externes du manuel du AWS Key Management Service développeur. Pour plus d'informations sur l'utilisation des clés de compartiment S3, consultez la section Réduire le coût de SSE - KMS avec les clés de compartiment Amazon S3 dans le guide de l'utilisateur d'Amazon Simple Storage Service.

Après avoir déterminé la KMS clé que vous souhaitez que Macie utilise, autorisez Macie à utiliser la clé. Sinon, Macie ne sera pas en mesure de chiffrer ou de stocker vos résultats dans le référentiel. Pour autoriser Macie à utiliser la clé, mettez à jour la politique de clé pour la clé. Pour obtenir des informations détaillées sur les politiques clés et la gestion de l'accès aux KMS clés, consultez la section Politiques clés du Guide du AWS Key Management Service développeur. AWS KMS

Pour mettre à jour la politique clé
  1. Ouvrez la AWS KMS console à l'adresse https://console.aws.amazon.com/kms.

  2. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

  3. Choisissez la clé que vous souhaitez que Macie utilise pour chiffrer les résultats de la découverte de données sensibles.

  4. Dans l'onglet Stratégie de clé choisissez Modifier.

  5. Copiez la déclaration suivante dans votre presse-papiers, puis ajoutez-la à la politique :

    { "Sid": "Allow Macie to use the key", "Effect": "Allow", "Principal": { "Service": "macie.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Encrypt" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": [ "arn:aws:macie2:Region:111122223333:export-configuration:*", "arn:aws:macie2:Region:111122223333:classification-job/*" ] } } }
    Note

    Lorsque vous ajoutez l'instruction à la stratégie, assurez-vous que la syntaxe est correcte. Les politiques utilisent JSON le format. Cela signifie que vous devez également ajouter une virgule avant ou après la déclaration, en fonction de l'endroit où vous ajoutez la déclaration à la stratégie. Si vous ajoutez l'instruction en tant que dernière instruction, ajoutez une virgule après l'accolade de fermeture pour l'instruction précédente. Si vous l'ajoutez en tant que première instruction ou entre deux instructions existantes, ajoutez une virgule après l'accolade de fermeture de l'instruction.

  6. Mettez à jour l'instruction avec les valeurs correctes pour votre environnement :

    • Dans les Condition champs, remplacez les valeurs d'espace réservé, où :

      • 111122223333 est l'identifiant de compte de votre Compte AWS.

      • Region est celui Région AWS dans lequel vous utilisez Macie et vous souhaitez autoriser Macie à utiliser la clé.

        Si vous utilisez Macie dans plusieurs régions et que vous souhaitez autoriser Macie à utiliser la clé dans d'autres régions, ajoutez des aws:SourceArn conditions pour chaque région supplémentaire. Par exemple :

        "aws:SourceArn": [ "arn:aws:macie2:us-east-1:111122223333:export-configuration:*", "arn:aws:macie2:us-east-1:111122223333:classification-job/*", "arn:aws:macie2:us-west-2:111122223333:export-configuration:*", "arn:aws:macie2:us-west-2:111122223333:classification-job/*" ]

        Vous pouvez également autoriser Macie à utiliser la clé dans toutes les régions. Pour ce faire, remplacez la valeur de l'espace réservé par le caractère générique (*). Par exemple :

        "aws:SourceArn": [ "arn:aws:macie2:*:111122223333:export-configuration:*", "arn:aws:macie2:*:111122223333:classification-job/*" ]
    • Si vous utilisez Macie dans une région optionnelle, ajoutez le code de région approprié à la valeur du champ. Service Par exemple, si vous utilisez Macie dans la région du Moyen-Orient (Bahreïn), dont le code de région est me-south-1, remplacez par. macie.amazonaws.com macie.me-south-1.amazonaws.com Pour obtenir la liste des régions dans lesquelles Macie est actuellement disponible et le code régional de chacune d'entre elles, consultez la section Points de terminaison et quotas Amazon Macie dans le. Références générales AWS

    Notez que les Condition champs utilisent deux clés de condition IAM globales :

    • aws : SourceAccount — Cette condition permet à Macie d'effectuer les actions spécifiées uniquement pour votre compte. Plus précisément, il détermine quel compte peut effectuer les actions spécifiées pour les ressources et les actions spécifiées par la aws:SourceArn condition.

      Pour permettre à Macie d'effectuer les actions spécifiées pour des comptes supplémentaires, ajoutez l'ID de compte de chaque compte supplémentaire à cette condition. Par exemple :

      "aws:SourceAccount": [111122223333,444455556666]
    • aws : SourceArn — Cette condition empêche les autres d' Services AWS effectuer les actions spécifiées. Cela empêche également Macie d'utiliser la clé lorsqu'il effectue d'autres actions pour votre compte. En d'autres termes, cela permet à Macie de chiffrer des objets S3 avec la clé uniquement si : les objets sont des résultats de découverte de données sensibles, et les résultats concernent la découverte automatique de données sensibles ou des tâches de découverte de données sensibles créées par le compte spécifié dans la région spécifiée.

      Pour permettre à Macie d'effectuer les actions spécifiées pour des comptes supplémentaires, ajoutez cette condition ARNs pour chaque compte supplémentaire. Par exemple :

      "aws:SourceArn": [ "arn:aws:macie2:us-east-1:111122223333:export-configuration:*", "arn:aws:macie2:us-east-1:111122223333:classification-job/*", "arn:aws:macie2:us-east-1:444455556666:export-configuration:*", "arn:aws:macie2:us-east-1:444455556666:classification-job/*" ]

    Les comptes spécifiés par les aws:SourceArn conditions aws:SourceAccount et doivent correspondre.

    Ces conditions permettent d'éviter que Macie ne soit utilisée comme une adjointe confuse lors de transactions avec AWS KMS. Bien que cela ne soit pas recommandé, vous pouvez supprimer ces conditions de la déclaration.

  7. Lorsque vous avez terminé d'ajouter et de mettre à jour le relevé, choisissez Enregistrer les modifications.

Étape 3 : Choisissez un compartiment S3

Après avoir vérifié vos autorisations et les avoir AWS KMS key configurées, vous êtes prêt à spécifier le compartiment S3 que vous souhaitez utiliser comme référentiel pour les résultats de la découverte de vos données sensibles. Vous avez deux options :

  • Utiliser un nouveau compartiment S3 créé par Macie : si vous choisissez cette option, Macie crée automatiquement un nouveau compartiment S3 à usage général dans le compartiment actuel Région AWS pour les résultats de votre découverte. Macie applique également une politique de compartiment au compartiment. La politique permet à Macie d'ajouter des objets au compartiment. Cela nécessite également que les objets soient chiffrés avec le code AWS KMS key que vous spécifiez, en utilisant SSE KMS le cryptage. Pour consulter la politique, choisissez Afficher la politique sur la console Amazon Macie après avoir spécifié le nom du compartiment et la KMS clé à utiliser.

  • Utilisez un compartiment S3 existant que vous créez : si vous préférez stocker les résultats de votre découverte dans un compartiment S3 spécifique que vous créez, créez-le avant de continuer. Le godet doit être un godet à usage général. En outre, les paramètres et la politique du compartiment doivent permettre à Macie d'ajouter des objets au compartiment. Cette rubrique explique les paramètres à vérifier et comment mettre à jour la politique. Il fournit également des exemples de déclarations à ajouter à la politique.

Les sections suivantes fournissent des instructions pour chaque option. Choisissez la section correspondant à l'option souhaitée.

Si vous préférez utiliser un nouveau compartiment S3 créé par Macie pour vous, la dernière étape du processus consiste à configurer les paramètres du référentiel dans Macie.

Pour configurer les paramètres du référentiel dans Macie
  1. Ouvrez la console Amazon Macie à l'adresse. https://console.aws.amazon.com/macie/

  2. Dans le volet de navigation, sous Paramètres, sélectionnez Résultats de découverte.

  3. Sous Référentiel pour les résultats de découverte de données sensibles, choisissez Create bucket.

  4. Dans le champ Créer un compartiment, entrez le nom du compartiment.

    Le nom doit être unique pour tous les compartiments S3. En outre, le nom ne peut être composé que de lettres minuscules, de chiffres, de points (.) et de tirets (-). Pour connaître les exigences de dénomination supplémentaires, consultez les règles de dénomination des compartiments dans le guide de l'utilisateur d'Amazon Simple Storage Service.

  5. Développez la section Avancé.

  6. (Facultatif) Pour spécifier un préfixe à utiliser dans le chemin d'accès à un emplacement du compartiment, entrez le préfixe dans la zone Préfixe du résultat de la découverte des données.

    Lorsque vous entrez une valeur, Macie met à jour l'exemple ci-dessous pour indiquer le chemin d'accès à l'emplacement du compartiment où il stockera les résultats de votre découverte.

  7. Pour Bloquer tout accès public, choisissez Oui pour activer tous les paramètres de blocage de l'accès public pour le bucket.

    Pour plus d'informations sur ces paramètres, consultez la section Blocage de l'accès public à votre espace de stockage Amazon S3 dans le guide de l'utilisateur d'Amazon Simple Storage Service.

  8. Sous Paramètres de chiffrement, spécifiez celui AWS KMS key que vous souhaitez que Macie utilise pour chiffrer les résultats :

    • Pour utiliser une clé de votre propre compte, choisissez Sélectionner une clé de votre compte. Ensuite, dans la AWS KMS keyliste, choisissez la clé à utiliser. La liste affiche les KMS clés de chiffrement symétriques gérées par le client pour votre compte.

    • Pour utiliser une clé détenue par un autre compte, choisissez Entrer ARN la clé d'un autre compte. Ensuite, dans le AWS KMS key ARNchamp, entrez le nom de ressource Amazon (ARN) de la clé à utiliser, par exemple,. arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

  9. Lorsque vous avez fini de saisir les paramètres, choisissez Enregistrer.

    Macie teste les paramètres pour vérifier qu'ils sont corrects. Si certains paramètres sont incorrects, Macie affiche un message d'erreur pour vous aider à résoudre le problème.

Après avoir enregistré les paramètres du référentiel, Macie ajoute au référentiel les résultats de découverte existants des 90 jours précédents. Macie commence également à ajouter de nouveaux résultats de découverte au référentiel.

Si vous préférez stocker vos données sensibles, les résultats de découverte dans un compartiment S3 spécifique, vous devez créer et configurer le compartiment avant de configurer les paramètres dans Macie. Lorsque vous créez le bucket, tenez compte des exigences suivantes :

  • Le godet doit être un godet à usage général. Il ne peut pas s'agir d'un bucket de répertoire.

  • Si vous activez Object Lock pour le bucket, vous devez désactiver le paramètre de rétention par défaut pour cette fonctionnalité. Dans le cas contraire, Macie ne pourra pas ajouter les résultats de votre découverte au bucket. Pour plus d'informations sur ce paramètre, consultez la section Utilisation de S3 Object Lock dans le guide de l'utilisateur d'Amazon Simple Storage Service.

  • Pour stocker les résultats de votre découverte pour une région activée par défaut Comptes AWS, telle que la région USA Est (Virginie du Nord), le bucket doit se trouver dans une région activée par défaut. Les résultats ne peuvent pas être stockés dans un compartiment d'une région optionnelle (région désactivée par défaut).

  • Pour stocker les résultats de votre découverte pour une région optionnelle, telle que la région du Moyen-Orient (Bahreïn), le bucket doit se trouver dans la même région ou dans une région activée par défaut. Les résultats ne peuvent pas être stockés dans un compartiment situé dans une autre région optionnelle.

Pour déterminer si une région est activée par défaut, consultez la section Activer ou désactiver Régions AWS dans votre compte dans le guide de AWS Account Management l'utilisateur.

Après avoir créé le compartiment, mettez à jour la politique du compartiment pour permettre à Macie de récupérer des informations sur le compartiment et d'y ajouter des objets. Vous pouvez ensuite configurer les paramètres dans Macie.

Pour mettre à jour la politique de compartiment pour le compartiment
  1. Ouvrez la console Amazon S3 à l'adresse https://console.aws.amazon.com/s3/.

  2. Choisissez le compartiment dans lequel vous souhaitez stocker les résultats de votre découverte.

  3. Choisissez l’onglet Permissions (Autorisations).

  4. Dans la section Bucket policy (Politique de compartiment), sélectionnez Edit (Modifier).

  5. Copiez l'exemple de stratégie suivant dans votre Presse-papiers :

    { "Version": "2012-10-17", "Statement": [ { "Sid": "Allow Macie to use the GetBucketLocation operation", "Effect": "Allow", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:GetBucketLocation", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": [ "arn:aws:macie2:Region:111122223333:export-configuration:*", "arn:aws:macie2:Region:111122223333:classification-job/*" ] } } }, { "Sid": "Allow Macie to add objects to the bucket", "Effect": "Allow", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional prefix/]*", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": [ "arn:aws:macie2:Region:111122223333:export-configuration:*", "arn:aws:macie2:Region:111122223333:classification-job/*" ] } } }, { "Sid": "Deny unencrypted object uploads. This is optional", "Effect": "Deny", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional prefix/]*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption": "aws:kms" } } }, { "Sid": "Deny incorrect encryption headers. This is optional", "Effect": "Deny", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional prefix/]*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption-aws-kms-key-id": "arn:aws:kms:Region:111122223333:key/KMSKeyId" } } }, { "Sid": "Deny non-HTTPS access", "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*", "Condition": { "Bool": { "aws:SecureTransport": "false" } } } ] }
  6. Collez l'exemple de politique dans l'éditeur de politique Bucket sur la console Amazon S3.

  7. Mettez à jour l'exemple de politique avec les valeurs correctes pour votre environnement :

    • Dans l'instruction facultative qui refuse les en-têtes de chiffrement incorrects :

      • Remplacez amzn-s3-demo-bucket avec le nom du bucket. Pour également spécifier un préfixe pour un chemin d'accès à un emplacement dans le compartiment, remplacez [optional prefix/] avec le préfixe. Dans le cas contraire, supprimez le [optional prefix/] valeur de l'espace réservé.

      • Dans cet StringNotEquals état, remplacez arn:aws:kms:Region:111122223333:key/KMSKeyId avec le Amazon Resource Name (ARN) du AWS KMS key à utiliser pour le chiffrement des résultats de votre découverte.

    • Dans toutes les autres instructions, remplacez les valeurs d'espace réservé, où :

      • amzn-s3-demo-bucket est le nom du compartiment.

      • [optional prefix/] est le préfixe d'un chemin d'accès à un emplacement dans le compartiment. Supprimez cette valeur d'espace réservé si vous ne souhaitez pas spécifier de préfixe.

      • 111122223333 est l'identifiant de compte de votre Compte AWS.

      • Region est celui Région AWS dans lequel vous utilisez Macie et souhaitez autoriser Macie à ajouter des résultats de découverte au bucket.

        Si vous utilisez Macie dans plusieurs régions et que vous souhaitez autoriser Macie à ajouter des résultats au bucket pour des régions supplémentaires, ajoutez des aws:SourceArn conditions pour chaque région supplémentaire. Par exemple :

        "aws:SourceArn": [ "arn:aws:macie2:us-east-1:111122223333:export-configuration:*", "arn:aws:macie2:us-east-1:111122223333:classification-job/*", "arn:aws:macie2:us-west-2:111122223333:export-configuration:*", "arn:aws:macie2:us-west-2:111122223333:classification-job/*" ]

        Vous pouvez également autoriser Macie à ajouter des résultats au bucket pour toutes les régions dans lesquelles vous utilisez Macie. Pour ce faire, remplacez la valeur de l'espace réservé par le caractère générique (*). Par exemple :

        "aws:SourceArn": [ "arn:aws:macie2:*:111122223333:export-configuration:*", "arn:aws:macie2:*:111122223333:classification-job/*" ]
    • Si vous utilisez Macie dans une région optionnelle, ajoutez le code de région approprié à la valeur du Service champ de chaque instruction qui spécifie le principal du service Macie. Par exemple, si vous utilisez Macie dans la région du Moyen-Orient (Bahreïn), dont le code de région est me-south-1, macie.amazonaws.com remplacez-le par macie.me-south-1.amazonaws.com dans chaque énoncé applicable. Pour obtenir la liste des régions dans lesquelles Macie est actuellement disponible et le code régional de chacune d'entre elles, consultez la section Points de terminaison et quotas Amazon Macie dans le. Références générales AWS

    Notez que l'exemple de politique inclut des instructions qui permettent à Macie de déterminer dans quelle région réside le compartiment (GetBucketLocation) et d'ajouter des objets au compartiment (PutObject). Ces instructions définissent les conditions qui utilisent deux clés de condition IAM globales :

    • aws : SourceAccount — Cette condition permet à Macie d'ajouter les résultats de découverte de données sensibles au bucket uniquement pour votre compte. Cela empêche Macie d'ajouter des résultats de découverte pour d'autres comptes au bucket. Plus précisément, la condition indique quel compte peut utiliser le bucket pour les ressources et les actions spécifiées par la aws:SourceArn condition.

      Pour stocker les résultats de comptes supplémentaires dans le bucket, ajoutez l'ID de compte de chaque compte supplémentaire à cette condition. Par exemple :

      "aws:SourceAccount": [111122223333,444455556666]
    • aws : SourceArn — Cette condition restreint l'accès au compartiment en fonction de la source des objets ajoutés au compartiment. Cela empêche les autres Services AWS utilisateurs d'ajouter des objets au compartiment. Cela empêche également Macie d'ajouter des objets au compartiment tout en effectuant d'autres actions pour votre compte. Plus précisément, cette condition permet à Macie d'ajouter des objets au compartiment uniquement si : les objets sont des résultats de découverte de données sensibles, et les résultats concernent la découverte automatique de données sensibles ou des tâches de découverte de données sensibles créées par le compte spécifié dans la région spécifiée.

      Pour permettre à Macie d'effectuer les actions spécifiées pour des comptes supplémentaires, ajoutez cette condition ARNs pour chaque compte supplémentaire. Par exemple :

      "aws:SourceArn": [ "arn:aws:macie2:us-east-1:111122223333:export-configuration:*", "arn:aws:macie2:us-east-1:111122223333:classification-job/*", "arn:aws:macie2:us-east-1:444455556666:export-configuration:*", "arn:aws:macie2:us-east-1:444455556666:classification-job/*" ]

    Les comptes spécifiés par les aws:SourceArn conditions aws:SourceAccount et doivent correspondre.

    Ces deux conditions permettent d'éviter que Macie ne soit utilisée comme une adjointe confuse lors des transactions avec Amazon S3. Bien que cela ne soit pas recommandé, vous pouvez supprimer ces conditions de la politique relative aux compartiments.

  8. Lorsque vous avez terminé de mettre à jour la politique de compartiment, choisissez Enregistrer les modifications.

Vous pouvez désormais configurer les paramètres du référentiel dans Macie.

Pour configurer les paramètres du référentiel dans Macie
  1. Ouvrez la console Amazon Macie à l'adresse. https://console.aws.amazon.com/macie/

  2. Dans le volet de navigation, sous Paramètres, sélectionnez Résultats de découverte.

  3. Sous Référentiel pour les résultats de découverte de données sensibles, sélectionnez Compartiment existant.

  4. Pour Choisir un compartiment, sélectionnez le compartiment dans lequel vous souhaitez stocker les résultats de votre découverte.

  5. Pour spécifier un préfixe pour le chemin d'accès à un emplacement dans le compartiment, développez la section Avancé. Ensuite, pour le préfixe du résultat de la découverte des données, entrez le préfixe.

    Lorsque vous entrez une valeur, Macie met à jour l'exemple ci-dessous pour indiquer le chemin d'accès à l'emplacement du compartiment où il stockera les résultats de votre découverte.

  6. Sous Paramètres de chiffrement, spécifiez celui AWS KMS key que vous souhaitez que Macie utilise pour chiffrer les résultats :

    • Pour utiliser une clé de votre propre compte, choisissez Sélectionner une clé de votre compte. Ensuite, dans la AWS KMS keyliste, choisissez la clé à utiliser. La liste affiche les KMS clés de chiffrement symétriques gérées par le client pour votre compte.

    • Pour utiliser une clé détenue par un autre compte, choisissez Entrer ARN la clé d'un autre compte. Ensuite, dans le AWS KMS key ARNchamp, entrez ARN la clé à utiliser, par exemple,. arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

  7. Lorsque vous avez fini de saisir les paramètres, choisissez Enregistrer.

    Macie teste les paramètres pour vérifier qu'ils sont corrects. Si certains paramètres sont incorrects, Macie affiche un message d'erreur pour vous aider à résoudre le problème.

Après avoir enregistré les paramètres du référentiel, Macie ajoute au référentiel les résultats de découverte existants des 90 jours précédents. Macie commence également à ajouter de nouveaux résultats de découverte au référentiel.

Note

Si vous modifiez par la suite le paramètre du préfixe des résultats de découverte des données, mettez également à jour la politique de compartiment dans Amazon S3. Les déclarations de politique qui spécifient le préfixe précédent doivent spécifier le nouveau préfixe. Dans le cas contraire, Macie ne sera pas autorisé à ajouter les résultats de votre découverte au bucket.

Astuce

Pour réduire les coûts de chiffrement côté serveur, configurez également le compartiment S3 pour utiliser une clé de compartiment S3 et spécifiez AWS KMS key celle que vous avez configurée pour le chiffrement des résultats de découverte de vos données sensibles. L'utilisation d'une clé de compartiment S3 permet de réduire le nombre d'appels AWS KMS, ce qui peut réduire les coûts liés aux AWS KMS demandes. Si la KMS clé se trouve dans un magasin de clés externe, l'utilisation d'une clé de compartiment S3 peut également minimiser l'impact sur les performances de l'utilisation de la clé. Pour en savoir plus, consultez la section Réduire le coût de SSE - KMS avec les clés de compartiment Amazon S3 dans le guide de l'utilisateur d'Amazon Simple Storage Service.