Configurazione di Macie per recuperare campioni di dati sensibili - Amazon Macie
Prima di iniziareConfigurazione e attivazione delle impostazioni di MacieDisabilitazione delle impostazioni di Macie

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione di Macie per recuperare campioni di dati sensibili

Facoltativamente, puoi configurare e utilizzare Amazon Macie per recuperare e rivelare campioni di dati sensibili che Macie riporta nei singoli risultati. Gli esempi possono aiutarti a verificare la natura dei dati sensibili trovati da Macie. Possono anche aiutarti a personalizzare l'indagine su un oggetto e un bucket Amazon Simple Storage Service (Amazon S3) interessati. Puoi recuperare e rivelare campioni di dati sensibili in tutte le regioni in Regioni AWS cui Macie è attualmente disponibile, ad eccezione delle regioni di Asia Pacifico (Osaka) e Israele (Tel Aviv).

Quando recuperi e riveli campioni di dati sensibili per una ricerca, Macie utilizza i dati contenuti nel corrispondente risultato della scoperta dei dati sensibili per individuare le occorrenze di dati sensibili nell'oggetto S3 interessato. Macie estrae quindi campioni di tali occorrenze dall'oggetto interessato. Macie crittografa i dati estratti con una chiave AWS Key Management Service (AWS KMS) specificata dall'utente, archivia temporaneamente i dati crittografati in una cache e restituisce i dati nei risultati per la ricerca. Subito dopo l'estrazione e la crittografia, Macie elimina definitivamente i dati dalla cache, a meno che non sia temporaneamente necessaria una conservazione aggiuntiva per risolvere un problema operativo.

Per recuperare e rivelare campioni di dati sensibili per i risultati, devi prima configurare e abilitare le impostazioni per il tuo account Macie. Devi anche configurare le risorse di supporto e le autorizzazioni per il tuo account. Gli argomenti di questa sezione ti guidano nel processo di configurazione di Macie per recuperare e rivelare campioni di dati sensibili e nella gestione dello stato della configurazione del tuo account.

Suggerimento

Per consigli ed esempi di politiche che potresti utilizzare per controllare l'accesso a questa funzionalità, consulta il seguente post sul blog sulla AWS sicurezza: Come usare Amazon Macie per visualizzare in anteprima i dati sensibili nei bucket S3.

Prima di iniziare

Prima di configurare Amazon Macie per recuperare e rivelare campioni di dati sensibili per i risultati, completa le seguenti attività per assicurarti di disporre delle risorse e delle autorizzazioni necessarie.

Queste attività sono facoltative se hai già configurato Macie per recuperare e rivelare campioni di dati sensibili e desideri modificare solo le impostazioni di configurazione.

Passaggio 1: configura un archivio per i risultati della scoperta di dati sensibili

Quando recuperi e riveli campioni di dati sensibili per una ricerca, Macie utilizza i dati del corrispondente risultato di rilevamento dei dati sensibili per individuare le occorrenze di dati sensibili nell'oggetto S3 interessato. Pertanto, è importante verificare di aver configurato un repository per i risultati del rilevamento dei dati sensibili. Altrimenti, Macie non sarà in grado di individuare campioni di dati sensibili che desideri recuperare e rivelare.

Per determinare se hai configurato questo repository per il tuo account, puoi utilizzare la console Amazon Macie: scegli Discovery results (in Impostazioni) nel pannello di navigazione. Per eseguire questa operazione a livello di codice, utilizza il GetClassificationExportConfigurationfunzionamento di Amazon Macie. API Per ulteriori informazioni sui risultati della scoperta di dati sensibili e su come configurare questo repository, consulta. Archiviazione e mantenimento dei risultati di rilevamento dei dati sensibili

Fase 2: Determinare come accedere agli oggetti S3 interessati

Per accedere agli oggetti S3 interessati e recuperare campioni di dati sensibili da essi, hai due opzioni. Puoi configurare Macie per utilizzare le tue AWS Identity and Access Management (IAM) credenziali utente. Oppure puoi configurare Macie in modo che assuma un IAM ruolo che deleghi l'accesso a Macie. Puoi utilizzare entrambe le configurazioni con qualsiasi tipo di account Macie: l'account amministratore Macie delegato per un'organizzazione, un account membro Macie in un'organizzazione o un account Macie autonomo. Prima di configurare le impostazioni in Macie, stabilisci quale metodo di accesso desideri utilizzare. Per informazioni dettagliate sulle opzioni e i requisiti di ciascun metodo, consultaOpzioni di configurazione per il recupero dei campioni.

Se prevedi di utilizzare un IAM ruolo, crea e configura il ruolo prima di configurare le impostazioni in Macie. Assicurati inoltre che le politiche di fiducia e autorizzazioni per il ruolo soddisfino tutti i requisiti necessari per l'assunzione del ruolo da parte di Macie. Se il tuo account fa parte di un'organizzazione che gestisce centralmente più account Macie, collabora con l'amministratore Macie per determinare innanzitutto se e come configurare il ruolo per il tuo account.

Fase 3: Configurare un AWS KMS key

Quando recuperi e riveli campioni di dati sensibili per una ricerca, Macie li crittografa con una chiave AWS Key Management Service (AWS KMS) specificata dall'utente. Pertanto, è necessario determinare quale AWS KMS key utilizzare per crittografare i campioni. La chiave può essere una KMS chiave esistente del tuo account o una KMS chiave esistente di proprietà di un altro account. Se desideri utilizzare una chiave di proprietà di un altro account, ottieni l'Amazon Resource Name (ARN) della chiave. Dovrai specificarlo ARN quando accedi alle impostazioni di configurazione in Macie.

La KMS chiave deve essere una chiave di crittografia simmetrica gestita dal cliente. Inoltre, deve essere una chiave a regione singola abilitata nello stesso account Regione AWS Macie. La KMS chiave può trovarsi in un archivio di chiavi esterno. Tuttavia, la chiave potrebbe quindi essere più lenta e meno affidabile di una chiave gestita interamente all'interno AWS KMS. Se la latenza o un problema di disponibilità impediscono a Macie di crittografare i campioni di dati sensibili che desideri recuperare e rivelare, si verifica un errore e Macie non restituisce alcun campione per la ricerca.

Inoltre, la politica chiave della chiave deve consentire ai principali (IAMruoli, IAM utenti o Account AWS) appropriati di eseguire le seguenti azioni:

  • kms:Decrypt

  • kms:DescribeKey

  • kms:GenerateDataKey

Importante

Come ulteriore livello di controllo degli accessi, consigliamo di creare una KMS chiave dedicata per la crittografia dei campioni di dati sensibili che vengono recuperati e di limitare l'uso della chiave solo ai responsabili che devono essere autorizzati a recuperare e rivelare campioni di dati sensibili. Se a un utente non è consentito eseguire le azioni precedenti per la chiave, Macie respinge la richiesta di recuperare e rivelare campioni di dati sensibili. Macie non restituisce alcun campione per la scoperta.

Per informazioni sulla creazione e la configurazione delle KMS chiavi, consulta Create a KMS key nella AWS Key Management Service Developer Guide. Per informazioni sull'utilizzo delle politiche chiave per gestire l'accesso alle KMS chiavi, consulta le politiche chiave AWS KMS nella Guida per gli AWS Key Management Service sviluppatori.

Fase 4: Verifica le tue autorizzazioni

Prima di configurare le impostazioni in Macie, verifica anche di disporre delle autorizzazioni necessarie. Per verificare le tue autorizzazioni, usa AWS Identity and Access Management (IAM) per rivedere le IAM politiche allegate alla tua identità. IAM Quindi confronta le informazioni contenute in tali politiche con il seguente elenco di azioni che devi essere autorizzato a eseguire.

Amazon Macie

Per Macie, verifica di avere il permesso di eseguire le seguenti azioni:

  • macie2:GetMacieSession

  • macie2:UpdateRevealConfiguration

La prima azione ti consente di accedere al tuo account Macie. La seconda azione consente di modificare le impostazioni di configurazione per il recupero e la visualizzazione di campioni di dati sensibili. Ciò include l'attivazione e la disabilitazione della configurazione per l'account.

Facoltativamente, verifica che anche tu sia autorizzato a eseguire l'azionemacie2:GetRevealConfiguration. Questa azione ti consente di recuperare le impostazioni di configurazione correnti e lo stato attuale della configurazione per il tuo account.

AWS KMS

Se prevedi di utilizzare la console Amazon Macie per accedere alle impostazioni di configurazione, verifica anche di avere il permesso di eseguire le seguenti AWS Key Management Service (AWS KMS) azioni:

  • kms:DescribeKey

  • kms:ListAliases

Queste azioni ti consentono di recuperare informazioni AWS KMS keys relative al tuo account. È quindi possibile scegliere uno di questi tasti quando si accede alle impostazioni.

IAM

Se prevedi di configurare Macie in modo che assuma IAM il ruolo di recuperare e rivelare campioni di dati sensibili, verifica anche di essere autorizzato a eseguire la seguente IAM azione:. iam:PassRole Questa azione ti consente di passare il ruolo a Macie, che a sua volta consente a Macie di assumere il ruolo. Quando inserisci le impostazioni di configurazione per il tuo account, Macie può anche verificare che il ruolo esista nel tuo account e sia configurato correttamente.

Se non sei autorizzato a eseguire le azioni richieste, chiedi assistenza AWS all'amministratore.

Configurazione e attivazione delle impostazioni di Macie

Dopo aver verificato di disporre delle risorse e delle autorizzazioni necessarie, puoi configurare le impostazioni in Amazon Macie e abilitare la configurazione per il tuo account.

Se il tuo account fa parte di un'organizzazione che gestisce centralmente più account Macie, tieni presente quanto segue prima di configurare o modificare successivamente le impostazioni del tuo account:

  • Se hai un account membro, collabora con l'amministratore di Macie per determinare se e come configurare le impostazioni per il tuo account. L'amministratore di Macie può aiutarti a determinare le impostazioni di configurazione corrette per il tuo account.

  • Se disponi di un account amministratore Macie e modifichi le impostazioni per l'accesso agli oggetti S3 interessati, le modifiche potrebbero influire su altri account e risorse dell'organizzazione. Ciò dipende dal fatto che Macie sia attualmente configurato per assumere un ruolo AWS Identity and Access Management (IAM) per recuperare campioni di dati sensibili. Se lo è e riconfigurate Macie per utilizzare le credenziali IAM utente, Macie elimina definitivamente le impostazioni esistenti per il ruolo, vale a dire il nome del IAM ruolo e l'ID esterno per la configurazione. Se successivamente l'organizzazione sceglie di utilizzare nuovamente i IAM ruoli, sarà necessario specificare un nuovo ID esterno nella politica di fiducia per il ruolo in ogni account membro applicabile.

Per informazioni dettagliate sulle opzioni di configurazione e sui requisiti per entrambi i tipi di account, consultaOpzioni di configurazione per il recupero dei campioni.

Per configurare le impostazioni in Macie e abilitare la configurazione per il tuo account, puoi utilizzare la console Amazon Macie o Amazon Macie. API

Console

Segui questi passaggi per configurare e abilitare le impostazioni utilizzando la console Amazon Macie.

Per configurare e abilitare le impostazioni di Macie

  1. Apri la console Amazon Macie all'indirizzo. https://console.aws.amazon.com/macie/

  2. Utilizzando il Regione AWS selettore nell'angolo superiore destro della pagina, scegli la regione in cui desideri configurare e consenti a Macie di recuperare e rivelare campioni di dati sensibili.

  3. Nel pannello di navigazione, in Impostazioni, scegli Reveal samples.

  4. Nella sezione Settings (Impostazioni), scegli Edit (Modifica).

  5. In Stato, scegli Abilitato.

  6. In Access, specifica il metodo di accesso e le impostazioni che desideri utilizzare per recuperare campioni di dati sensibili dagli oggetti S3 interessati:

    • Per utilizzare un IAM ruolo che delega l'accesso a Macie, scegli Assumi un ruolo. IAM Se scegli questa opzione, Macie recupera gli esempi assumendo il IAM ruolo che hai creato e configurato nel tuo. Account AWS Nella casella Nome ruolo, inserisci il nome del ruolo.

    • Per utilizzare le credenziali dell'IAMutente che richiede gli esempi, scegli Usa credenziali IAM utente. Se scegli questa opzione, ogni utente del tuo account utilizza la propria IAM identità individuale per recuperare gli esempi.

  7. In Crittografia, specifica AWS KMS key quello che desideri utilizzare per crittografare i campioni di dati sensibili che vengono recuperati:

    • Per utilizzare una KMS chiave del tuo account, scegli Seleziona una chiave dal tuo account. Quindi, nell'AWS KMS keyelenco, scegli la chiave da usare. L'elenco mostra le KMS chiavi di crittografia simmetriche esistenti per il tuo account.

    • Per utilizzare una KMS chiave di proprietà di un altro account, scegli Inserisci la chiave ARN di un altro account. Quindi, nella AWS KMS key ARNcasella, inserisci l'Amazon Resource Name (ARN) della chiave da utilizzare, ad esempio. arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

  8. Quando hai finito di inserire le impostazioni, scegli Salva.

Macie verifica le impostazioni e verifica che siano corrette. Se hai configurato Macie per assumere un IAM ruolo, Macie verifica anche che il ruolo esista nel tuo account e che le politiche di fiducia e autorizzazioni siano configurate correttamente. Se c'è un problema, Macie visualizza un messaggio che descrive il problema.

Per risolvere un problema relativo a AWS KMS key, fai riferimento ai requisiti nell'argomento precedente e specifica una KMS chiave che soddisfi i requisiti. Per risolvere un problema relativo al IAM ruolo, verifica innanzitutto di aver inserito il nome corretto del ruolo. Se il nome è corretto, assicurati che le politiche del ruolo soddisfino tutti i requisiti necessari affinché Macie possa assumere il ruolo. Per questi dettagli, vediConfigurazione di un IAM ruolo per accedere agli oggetti S3 interessati. Dopo aver risolto eventuali problemi, puoi salvare e abilitare le impostazioni.

Nota

Se sei l'amministratore Macie di un'organizzazione e hai configurato Macie per assumere un IAM ruolo, Macie genera e visualizza un ID esterno dopo aver salvato le impostazioni del tuo account. Annota questo ID. La politica di fiducia per il IAM ruolo in ciascuno degli account membro applicabili deve specificare questo ID. Altrimenti, non sarai in grado di recuperare campioni di dati sensibili dagli oggetti S3 di proprietà degli account.

API

Per configurare e abilitare le impostazioni a livello di codice, utilizza il UpdateRevealConfigurationfunzionamento di Amazon Macie. API Nella richiesta, specifica i valori appropriati per i parametri supportati:

  • Per i retrievalConfiguration parametri, specifica il metodo di accesso e le impostazioni che desideri utilizzare per recuperare campioni di dati sensibili dagli oggetti S3 interessati:

    • Per assumere un IAM ruolo che deleghi l'accesso a Macie, specificate il retrievalMode parametro e specificate il nome del ruolo ASSUME_ROLE per il parametro. roleName Se specifichi queste impostazioni, Macie recupera gli esempi assumendo il IAM ruolo che hai creato e configurato nel tuo. Account AWS

    • Per utilizzare le credenziali dell'IAMutente che richiede gli esempi, specifica CALLER_CREDENTIALS il parametro. retrievalMode Se specifichi questa impostazione, ogni utente del tuo account utilizza la propria IAM identità individuale per recuperare gli esempi.

    Importante

    Se non specificate valori per questi parametri, Macie imposta il metodo di accesso (retrievalMode) su. CALLER_CREDENTIALS Se Macie è attualmente configurato per utilizzare un IAM ruolo per recuperare gli esempi, Macie elimina definitivamente anche il nome del ruolo corrente e l'ID esterno della configurazione. Per mantenere queste impostazioni per una configurazione esistente, includi i retrievalConfiguration parametri nella richiesta e specifica le impostazioni correnti per tali parametri. Per recuperare le impostazioni correnti, usa l'GetRevealConfigurationoperazione o, se stai usando il AWS Command Line Interface (AWS CLI), esegui il get-reveal-configurationcomando.

  • Per il kmsKeyId parametro, specifica AWS KMS key quello che desideri utilizzare per crittografare i campioni di dati sensibili che vengono recuperati:

    • Per utilizzare una KMS chiave del tuo account, specifica Amazon Resource Name (ARN), ID o alias per la chiave. Se specifichi un alias, includi il alias/ prefisso, ad esempio. alias/ExampleAlias

    • Per utilizzare una KMS chiave di proprietà di un altro account, specifica la chiave, ad ARN esempio. arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab Oppure specifica l'ARNalias per la chiave, ad esempio. arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias

  • Per il status parametro, specifica di abilitare la configurazione ENABLED per il tuo account Macie.

Nella richiesta, assicurati inoltre di specificare Regione AWS in che modo desideri abilitare e utilizzare la configurazione.

Per configurare e abilitare le impostazioni utilizzando il AWS CLI, esegui il update-reveal-configurationcomando e specifica i valori appropriati per i parametri supportati. Ad esempio, se utilizzi Microsoft Windows, esegui il comando seguente: AWS CLI 

C:\> aws macie2 update-reveal-configuration ^
--region us-east-1 ^
--configuration={\"kmsKeyId\":\"arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias\",\"status\":\"ENABLED\"} ^
--retrievalConfiguration={\"retrievalMode\":\"ASSUME_ROLE\",\"roleName\":\"MacieRevealRole\"}

Dove:

  • us-east-1 è la regione in cui abilitare e utilizzare la configurazione. In questo esempio, la regione degli Stati Uniti orientali (Virginia settentrionale).

  • arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias è ARN l'alias da AWS KMS key utilizzare. In questo esempio, la chiave è di proprietà di un altro account.

  • ENABLEDè lo stato della configurazione.

  • ASSUME_ROLE è il metodo di accesso da utilizzare. In questo esempio, assumi il IAM ruolo specificato.

  • MacieRevealRole è il nome del IAM ruolo che Macie deve assumere durante il recupero di campioni di dati sensibili.

L'esempio precedente utilizza il carattere di continuazione di riga con accento circonflesso (^) per migliorare la leggibilità.

Quando invii la richiesta, Macie verifica le impostazioni. Se hai configurato Macie per assumere un IAM ruolo, Macie verifica anche che il ruolo esista nel tuo account e che le politiche di fiducia e autorizzazioni siano configurate correttamente. Se c'è un problema, la tua richiesta non va a buon fine e Macie restituisce un messaggio che descrive il problema. Per risolvere un problema relativo a AWS KMS key, fai riferimento ai requisiti nell'argomento precedente e specifica una KMS chiave che soddisfi i requisiti. Per risolvere un problema relativo al IAM ruolo, verificate innanzitutto di aver specificato il nome corretto del ruolo. Se il nome è corretto, assicurati che le politiche del ruolo soddisfino tutti i requisiti necessari affinché Macie possa assumere il ruolo. Per questi dettagli, vediConfigurazione di un IAM ruolo per accedere agli oggetti S3 interessati. Dopo aver risolto il problema, invia nuovamente la richiesta.

Se la richiesta ha esito positivo, Macie abilita la configurazione del tuo account nella regione specificata e riceverai un output simile al seguente.

{
  "configuration": {
    "kmsKeyId": "arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias",
    "status": "ENABLED"
  },
  "retrievalConfiguration": {
    "externalId": "o2vee30hs31642lexample",
    "retrievalMode": "ASSUME_ROLE",
    "roleName": "MacieRevealRole"
  }
}

Dove kmsKeyId specifica AWS KMS key da usare per crittografare i campioni di dati sensibili che vengono recuperati ed status è lo stato della configurazione per il tuo account Macie. I retrievalConfiguration valori specificano il metodo di accesso e le impostazioni da utilizzare per il recupero dei campioni.

Nota

Se sei l'amministratore Macie di un'organizzazione e hai configurato Macie per assumere un IAM ruolo, annota l'ID esterno (externalId) nella risposta. La politica di fiducia per il IAM ruolo in ciascuno degli account membro applicabili deve specificare questo ID. Altrimenti, non sarai in grado di recuperare campioni di dati sensibili dagli oggetti S3 interessati di proprietà degli account.

Per verificare successivamente le impostazioni o lo stato della configurazione del tuo account, usa l'GetRevealConfigurationoperazione o, per il AWS CLI, esegui il comando. get-reveal-configuration

Disabilitazione delle impostazioni di Macie

Puoi disabilitare le impostazioni di configurazione per il tuo account Amazon Macie in qualsiasi momento. Se disabiliti la configurazione, Macie mantiene l'impostazione che specifica quale utilizzare AWS KMS key per crittografare i campioni di dati sensibili che vengono recuperati. Macie elimina definitivamente le impostazioni di accesso di Amazon S3 per la configurazione.

avvertimento

Quando disabiliti le impostazioni di configurazione per il tuo account Macie, elimini definitivamente anche le impostazioni correnti che specificano come accedere agli oggetti S3 interessati. Se Macie è attualmente configurato per accedere agli oggetti interessati assumendo un ruolo AWS Identity and Access Management (IAM), ciò include: il nome del ruolo e l'ID esterno generato da Macie per la configurazione. Queste impostazioni non possono essere recuperate dopo essere state eliminate.

Per disabilitare le impostazioni di configurazione per il tuo account Macie, puoi utilizzare la console Amazon Macie o Amazon Macie. API

Console

Segui questi passaggi per disabilitare le impostazioni di configurazione del tuo account utilizzando la console Amazon Macie.

Per disabilitare le impostazioni di Macie

  1. Apri la console Amazon Macie all'indirizzo. https://console.aws.amazon.com/macie/

  2. Utilizzando il Regione AWS selettore nell'angolo superiore destro della pagina, scegli la regione in cui desideri disabilitare le impostazioni di configurazione per il tuo account Macie.

  3. Nel pannello di navigazione, in Impostazioni, scegli Reveal samples.

  4. Nella sezione Settings (Impostazioni), scegli Edit (Modifica).

  5. Per Stato, scegli Disabilita.

  6. Seleziona Salva.

API

Per disabilitare le impostazioni di configurazione a livello di codice, utilizza il UpdateRevealConfigurationfunzionamento di Amazon Macie. API Nella richiesta, assicurati di specificare Regione AWS in che modo desideri disabilitare la configurazione. Per il parametro status, specifica DISABLED.

Per disabilitare le impostazioni di configurazione utilizzando AWS Command Line Interface (AWS CLI), esegui il update-reveal-configurationcomando. Utilizzate il region parametro per specificare la regione in cui desiderate disabilitare la configurazione. Per il parametro status, specifica DISABLED. Ad esempio, se utilizzi Microsoft Windows, esegui il comando seguente: AWS CLI 

C:\> aws macie2 update-reveal-configuration --region us-east-1 --configuration={\"status\":\"DISABLED\"}

Dove:

  • us-east-1 è la regione in cui disattivare la configurazione. In questo esempio, la regione degli Stati Uniti orientali (Virginia settentrionale).

  • DISABLEDè il nuovo stato della configurazione.

Se la richiesta ha esito positivo, Macie disabilita la configurazione del tuo account nella regione specificata e ricevi un output simile al seguente.

{
    "configuration": {
        "status": "DISABLED"
    }
}

statusDov'è il nuovo stato della configurazione del tuo account Macie.

Se Macie è stato configurato per assumere IAM il ruolo di recupero di campioni di dati sensibili, puoi facoltativamente eliminare il ruolo e la politica di autorizzazione del ruolo. Macie non elimina queste risorse quando disabiliti le impostazioni di configurazione per il tuo account. Inoltre, Macie non utilizza queste risorse per eseguire altre attività per il tuo account. Per eliminare il ruolo e la relativa politica di autorizzazione, puoi utilizzare la IAM console o il. IAM API Per ulteriori informazioni, consulta Eliminazione dei ruoli nella Guida per l'AWS Identity and Access Management utente.