Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Récupération d'échantillons de données sensibles grâce aux résultats de Macie
Pour vérifier la nature des données sensibles signalées par Amazon Macie dans les résultats, vous pouvez éventuellement configurer et utiliser Macie pour récupérer et révéler des échantillons de données sensibles signalées par des résultats individuels. Cela inclut les données sensibles détectées par Macie à l'aide d'identifiants de données gérés et les données qui répondent aux critères des identifiants de données personnalisés. Les exemples peuvent vous aider à personnaliser votre enquête sur un objet ou un bucket Amazon Simple Storage Service (Amazon S3) concernés.
Si vous récupérez et révélez des échantillons de données sensibles à des fins de recherche, Macie exécute les tâches générales suivantes :
-
Vérifie que le résultat indique l'emplacement des occurrences individuelles de données sensibles et l'emplacement du résultat de découverte de données sensibles correspondant.
-
Évalue le résultat de découverte de données sensibles correspondant, en vérifiant la validité des métadonnées de l'objet S3 concerné et des données de localisation pour détecter les occurrences de données sensibles dans l'objet.
-
En utilisant les données dans le résultat de la découverte de données sensibles, localise les 1 à 10 premières occurrences de données sensibles signalées par la découverte et extrait les 1 à 128 premiers caractères de chaque occurrence de l'objet S3 concerné. Si la découverte fait état de plusieurs types de données sensibles, Macie le fait pour un maximum de 100 types.
-
Chiffre les données extraites à l'aide d'un AWS Key Management Service (AWS KMS) clé que vous spécifiez.
-
Stocke temporairement les données chiffrées dans un cache et les affiche pour que vous puissiez les consulter. Les données sont cryptées à tout moment, à la fois en transit et au repos.
-
Peu de temps après l'extraction et le chiffrement, supprime définitivement les données du cache, sauf si une conservation supplémentaire est temporairement requise pour résoudre un problème opérationnel.
Si vous choisissez de récupérer et de révéler des échantillons de données sensibles pour une nouvelle recherche, Macie répète ces tâches pour localiser, extraire, chiffrer, stocker et finalement supprimer les échantillons.
Macie n'utilise pas le rôle lié au service Macie pour votre compte pour effectuer ces tâches. Au lieu de cela, vous utilisez votre AWS Identity and Access Management (IAM) identifiez ou autorisez Macie à assumer un IAM rôle dans votre compte. Vous pouvez récupérer et révéler des échantillons de données sensibles à des fins de recherche si vous ou le rôle êtes autorisé à accéder aux ressources et aux données requises et à effectuer les actions requises. Toutes les actions requises sont enregistrées AWS CloudTrail.
Important
Nous vous recommandons de restreindre l'accès à cette fonctionnalité en utilisant des IAM politiques personnalisées. Pour un contrôle d'accès supplémentaire, nous vous recommandons également de créer un AWS KMS key pour le chiffrement des échantillons de données sensibles récupérés, et limiter l'utilisation de la clé aux seules personnes autorisées à récupérer et à révéler des échantillons de données sensibles.
Pour obtenir des recommandations et des exemples de politiques que vous pouvez utiliser pour contrôler l'accès à cette fonctionnalité, consultez le billet de blog suivant sur AWS
Blog sur la sécurité : Comment utiliser Amazon Macie pour prévisualiser les données sensibles contenues dans des compartiments S3
Les rubriques de cette section expliquent comment configurer et utiliser Macie pour récupérer et révéler des échantillons de données sensibles à des fins de recherche. Vous pouvez effectuer ces tâches dans tous les Régions AWS où Macie est actuellement disponible, sauf dans les régions Asie-Pacifique (Osaka) et Israël (Tel Aviv).