Criar uma lista de permissões - Amazon Macie

Criar uma lista de permissões

No Amazon Macie, uma lista de permissões define um texto específico ou um padrão de texto que você deseja que o Macie deverá ignorar ao inspecionar objetos do Amazon Simple Storage Service (Amazon S3) em busca de dados em busca de dados confidenciais. Se o texto corresponder a uma entrada ou padrão em uma lista de permissões, o Macie não relatará o texto em descobertas de dados confidenciais, estatísticas ou outros tipos de resultados. Esse é o caso mesmo que o texto corresponda aos critérios de um identificador de dados gerenciado ou de um identificador de dados personalizado.

Você pode criar os seguintes tipos de listas de permissões no Macie.

Texto predefinido

Use esse tipo de lista para especificar palavras, frases e outros tipos de sequências de caracteres que não são sensíveis, não têm probabilidade de mudar e não necessariamente aderem a um padrão comum. Os exemplos são nomes dos representantes públicos da organização, números de telefone específicos e dados de amostra específicos que a organização usa para testes. Se você usar esse tipo de lista, o Macie ignorará um texto que corresponder exatamente a uma entrada da lista.

Para esse tipo de lista, você cria um arquivo de texto simples delimitado por linha que lista o texto específico a ser ignorado. Em seguida, você armazena o arquivo em um bucket S3 e define as configurações para que o Macie acesse a lista no bucket. Depois, você pode criar e configurar trabalhos de descoberta de dados confidenciais para usar a lista ou adicioná-la às configurações da descoberta automatizada de dados confidenciais. Quando cada trabalho começa a ser executado ou o próximo ciclo automatizado de análise de descoberta começa, Macie recupera a versão mais recente da lista no Amazon S3. Em seguida, o Macie usa essa versão da lista ao inspecionar objetos do S3 em busca de dados confidenciais. Se o Macie encontrar um texto que corresponda exatamente a uma entrada da lista, o Macie não reportará essa ocorrência de texto como dados confidenciais.

Expressão regular

Use este tipo de lista para especificar uma expressão regular (regex) que defina um padrão de texto a ser ignorado. Os exemplos são números de telefone públicos da organização, endereços de e-mail do domínio da organização e dados de amostra padronizados que a organização usa para testes. Se você usar esse tipo de lista, o Macie ignorará o texto que corresponda completamente ao padrão regex definido pela lista.

Para esse tipo de lista, você cria um regex que define um padrão comum para um texto que não é confidencial mas que varia ou pode ser alterado. Ao contrário de uma lista de texto predefinido, você cria e armazena o regex e todas as outras configurações de lista no Macie. Depois, você pode criar e configurar trabalhos de descoberta de dados confidenciais para usar a lista ou adicioná-la às configurações da descoberta automatizada de dados confidenciais. Quando esses trabalhos são executados ou quando o Macie realiza uma descoberta automatizada, o Macie usa a versão mais recente do regex da lista para analisar os dados. Se o Macie encontrar um texto que corresponda exatamente ao padrão definido pela lista, o Macie não reportará essa ocorrência de texto como dados confidenciais.

Para obter requisitos detalhados, recomendações e exemplos de cada tipo, consulte Requisitos e opções de configuração para listas de permissões.

Você pode criar até 10 listas de permissões em cada Região da AWS compatível: até cinco listas de permissões que especificam texto predefinido e até cinco listas de permissões que especificam expressões regulares. Você pode criar e usar listas de permissões em todas as Regiões da AWS em que o Macie está atualmente disponível, exceto na região Asia Pacific (Osaka).

Para criar uma lista de permissões

A forma como você cria uma lista de permissões depende do tipo de lista que você deseja criar: um arquivo que lista texto predefinido a ser ignorado ou uma expressão regular que define um padrão de texto a ser ignorado. As seções a seguir apresentam instruções para cada tipo. Escolha a seção do tipo de lista que você deseja criar.

Antes de criar esse tipo de lista de permissões no Macie, execute as seguintes etapas:

  1. Usando um editor de texto, crie um arquivo de texto simples delimitado por linha que lista um texto específico a ser ignorado, por exemplo, um arquivo .txt, .text ou .plain. Para obter mais informações, consulte Requisitos de sintaxe.

  2. Faça upload do arquivo em um bucket geral do S3 e anote o nome do bucket e do objeto. Você precisará inserir esses nomes ao definir as configurações no Macie.

  3. Certifique-se de que as configurações do bucket e do objeto do S3 permitam que você e o Macie recuperem a lista do bucket. Para obter mais informações, consulte Requisitos de armazenamento.

  4. Se você criptografou o objeto do S3, certifique-se de que ele esteja criptografado com uma chave que você e o Macie tenham permissão para usar. Para obter mais informações, consulte Requisitos de criptografia/descriptografia.

Depois de concluir essas tarefas, você estará pronto para definir as configurações da lista no Macie. Você pode definir as configurações usando o console do Amazon Macie ou a API do Amazon Macie.

Console

Siga estas etapas para definir as configurações de uma lista de permissões usando o console do Amazon Macie.

Para definir as configurações da lista de permissões no Macie

  1. Abra o console do Amazon Macie em https://console.aws.amazon.com/macie/.

  2. No painel de navegação, em Configurações, selecione Listas de permissões.

  3. Na página Listas de permissões, escolha Criar.

  4. Em Selecionar um tipo de lista, escolha Texto predefinido.

  5. Em Configurações da lista, use as seguintes opções para inserir configurações adicionais para a lista de permissões:

    • Em Nome, insira um nome para a regra. Um nome pode conter até 128 caracteres.

    • Para Descrição, insira opcionalmente uma breve descrição da lista. A descrição pode conter até 512 caracteres.

    • Em Nome do bucket do S3, insira o nome do bucket que armazena a lista.

      No Amazon S3, você pode encontrar esse valor no campo Nome das propriedades do bucket. Esse valor diferencia maiúsculas de minúsculas. Além disso, não use caracteres curinga ou valores parciais ao inserir o nome.

    • Em Nome do objeto do S3, insira o nome do objeto do S3 que armazena a lista.

      No Amazon S3, você pode encontrar esse valor no campo Chave das propriedades do objeto. Se o nome incluir um caminho, certifique-se de incluir o caminho completo ao inserir o nome, por exemplo allowlists/macie/mylist.txt. Esse valor diferencia maiúsculas de minúsculas. Além disso, não use caracteres curinga ou valores parciais ao inserir o nome.

  6. (Opcional) Em Tags, escolha Adicionar tag e insira até 50 tags para atribuir à lista de permissões.

    Tag é um rótulo que você define e atribui a determinados tipos de recursos da AWS. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. As tags podem ajudá-lo a identificar, categorizar e gerenciar recursos de diferentes maneiras, como por finalidade, proprietário, ambiente ou outros critérios. Para saber mais, consulte Marcar recursos do Macie.

  7. Ao concluir, selecione Create.

Macie testa as configurações da lista. O Macie também verifica se pode recuperar a lista do Amazon S3 e analisar o conteúdo da lista. Se ocorrer um erro, o Macie exibirá uma mensagem que descreve o erro. Para obter informações detalhadas que podem ajudar você a resolver o erro, consulte Opções e requisitos para listas de texto predefinido. Depois de corrigir qualquer erro, você pode salvar as configurações da lista.

API

Para definir as configurações da lista de permissões programaticamente, use a operação CreateAllowList da API do Amazon Macie e especifique os valores apropriados para os parâmetros necessários.

Para o parâmetro criteria, use um objeto s3WordsList para especificar o nome do bucket do S3 (bucketName) e o nome do objeto do S3 (objectKey) que armazena a lista. Para determinar o nome do bucket, consulte o campo Name no Amazon S3. Para determinar o nome do objeto, consulte o campo Key no Amazon S3. Observe que esses valores diferenciam maiúsculas de minúsculas. Além disso, não use caracteres curinga ou valores parciais ao especificar esses nomes.

Para definir as configurações usando o AWS CLI, execute o comando create-allow-list e especifique os valores apropriados para os parâmetros necessários. Os exemplos a seguir mostram como definir as configurações de uma lista de permissões armazenada em um bucket do S3 chamado amzn-s3-demo-bucket. O nome do objeto S3 que armazena a lista é allowlists/macie/mylist.txt.

Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha de barra invertida (\) para melhorar a legibilidade.

$ aws macie2 create-allow-list \
--criteria '{"s3WordsList":{"bucketName":"amzn-s3-demo-bucket","objectKey":"allowlists/macie/mylist.txt"}}' \
--name my_allow_list \
--description "Lists public phone numbers and names for Example Corp."

Este exemplo foi formatado para Microsoft Windows e usa o caractere de continuação de linha circunflexo (^) para melhorar a legibilidade.

C:\> aws macie2 create-allow-list ^
--criteria={\"s3WordsList\":{\"bucketName\":\"amzn-s3-demo-bucket\",\"objectKey\":\"allowlists/macie/mylist.txt\"}} ^
--name my_allow_list ^
--description "Lists public phone numbers and names for Example Corp."

Quando você envia sua solicitação, o Macie testa as configurações da lista. O Macie também verifica se pode recuperar a lista do Amazon S3 e analisar o conteúdo da lista. Se ocorrer um erro, sua solicitação falhará e o Macie retornará uma mensagem descrevendo o erro. Para obter informações detalhadas que podem ajudar você a resolver o erro, consulte Opções e requisitos para listas de texto predefinido.

Se o Macie puder recuperar e analisar a lista, sua solicitação será bem-sucedida e você receberá um resultado semelhante ao seguinte.

{
    "arn": "arn:aws:macie2:us-west-2:123456789012:allow-list/nkr81bmtu2542yyexample",
    "id": "nkr81bmtu2542yyexample"
}

Em que arn é o nome do recurso da Amazon (ARN) da lista de permissões que foi criada e id é o identificador exclusivo da lista.

Depois de salvar as configurações da lista, você pode criar e configurar trabalhos de descoberta de dados confidenciais para usar a lista ou adicionar a lista às suas configurações de descoberta automatizada de dados confidenciais. Cada vez que esses trabalhos começam a ser executados ou um ciclo automatizado de análise de descoberta é iniciado, o Macie recupera a versão mais recente da lista no Amazon S3. Em seguida, Macie usa essa versão da lista ao analisar os dados.

Ao criar uma lista de permissões que especifica uma expressão regular (regex), você define a regex e todas as outras configurações da lista diretamente no Macie. Para o regex, o Macie suporta um subconjunto da sintaxe do padrão fornecida pela biblioteca Perl Compatible Regular Expressions (PCRE). Para obter mais informações, consulte Suporte e recomendações de sintaxe.

Você pode criar esse tipo de lista usando o console do Amazon Macie ou a API do Amazon Macie.

Console

Siga estas etapas para criar uma lista de permissões usando o console do Amazon Macie.

Para criar uma lista de permissões usando o console

  1. Abra o console do Amazon Macie em https://console.aws.amazon.com/macie/.

  2. No painel de navegação, em Configurações, selecione Listas de permissões.

  3. Na página Listas de permissões, escolha Criar.

  4. Em Selecionar um tipo de lista, escolha Expressão regular.

  5. Em Configurações da lista, use as seguintes opções para inserir configurações adicionais para a lista de permissões:

    • Em Nome, insira um nome para a regra. Um nome pode conter até 128 caracteres.

    • Para Descrição, insira opcionalmente uma breve descrição da lista. A descrição pode conter até 512 caracteres.

    • A expressão regular, insira a regex que define o padrão de texto a ser ignorado. A regex pode conter até 512 caracteres.

  6. (Opcional) Em Avaliar, insira até 1.000 caracteres na caixa Dados de exemplo e escolha Testar para testar o regex. Macie avalia os dados da amostra e relata o número de ocorrências de texto que correspondem ao regex. Você pode repetir essa etapa quantas vezes quiser para refinar e otimizar o regex.

    nota

    Recomendamos que você teste e refine o regex com vários conjuntos de dados de amostra. Se você criar um regex muito geral, o Macie poderá ignorar ocorrências de texto que você considera confidenciais. Se um regex for muito específico, o Macie pode não ignorar ocorrências de texto que você não considera confidenciais.

  7. (Opcional) Em Tags, escolha Adicionar tag e insira até 50 tags para atribuir à lista de permissões.

    Tag é um rótulo que você define e atribui a determinados tipos de recursos da AWS. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. As tags podem ajudá-lo a identificar, categorizar e gerenciar recursos de diferentes maneiras, como por finalidade, proprietário, ambiente ou outros critérios. Para saber mais, consulte Marcar recursos do Macie.

  8. Ao concluir, selecione Create.

Macie testa as configurações da lista. O Macie também testa o regex para verificar se ele pode compilar a expressão. Se ocorrer um erro, o Macie exibirá uma mensagem que descreve o erro. Para obter informações detalhadas que podem ajudar você a resolver o erro, consulte Opções e requisitos para expressões regulares. Depois de corrigir qualquer erro, você pode salvar a lista de permissões.

API

Antes de criar esse tipo de lista de permissões no Macie, recomendamos que você teste e refine o regex com vários conjuntos de dados de amostra. Se você criar um regex muito geral, o Macie poderá ignorar ocorrências de texto que você considera confidenciais. Se um regex for muito específico, o Macie pode não ignorar ocorrências de texto que você não considera confidenciais.

Para testar uma expressão com o Macie, você pode usar a operação testCustomDataIdentifier da API do Amazon Macie ou, para o AWS CLI, executar o comando test-custom-data-identifier. O Macie usa o mesmo código subjacente para compilar expressões para listas de permissões e identificadores de dados personalizados. Se você testar uma expressão dessa forma, certifique-se de especificar valores somente para os parâmetros regex e sampleText. Caso contrário, você receberá resultados imprecisos.

Quando você estiver pronto para criar esse tipo de lista de permissões, use a operação CreateAllowList da API do Amazon Macie e especifique os valores apropriados para os parâmetros necessários. Para o parâmetro criteria, use o campo regex para especificar a expressão regular que define o padrão de texto a ser ignorado. A expressão pode conter até 512 caracteres.

Para criar esse tipo de lista usando o AWS CLI, execute o comando create-allow-list e especifique os valores apropriados para os parâmetros necessários. Os exemplos a seguir criam uma lista de permissões chamada my_allow_list. O regex foi criado para ignorar todos os endereços de e-mail que um identificador de dados personalizado poderia detectar no domínio example.com.

Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha de barra invertida (\) para melhorar a legibilidade.

$ aws macie2 create-allow-list \
--criteria '{"regex":"[a-z]@example.com"}' \
--name my_allow_list \
--description "Ignores all email addresses for Example Corp."

Este exemplo foi formatado para Microsoft Windows e usa o caractere de continuação de linha circunflexo (^) para melhorar a legibilidade.

C:\> aws macie2 create-allow-list ^
--criteria={\"regex\":\"[a-z]@example.com\"} ^
--name my_allow_list ^
--description "Ignores all email addresses for Example Corp."

Quando você envia sua solicitação, o Macie testa as configurações da lista. O Macie também testa o regex para verificar se ele pode compilar a expressão. Se ocorrer um erro, a solicitação falhará e o Macie retornará uma mensagem descrevendo o erro. Para obter informações detalhadas que podem ajudar você a resolver o erro, consulte Opções e requisitos para expressões regulares.

Se o Macie puder compilar a expressão, a solicitação será bem-sucedida e você receberá um resultado semelhante a este:

{
    "arn": "arn:aws:macie2:us-west-2:123456789012:allow-list/km2d4y22hp6rv05example",
    "id": "km2d4y22hp6rv05example"
}

Em que arn é o nome do recurso da Amazon (ARN) da lista de permissões que foi criada e id é o identificador exclusivo da lista.

Depois de salvar a lista, você pode criar e configurar trabalhos de descoberta de dados confidenciais para usá-la ou adicioná-la às suas configurações de descoberta automatizada de dados confidenciais. Quando esses trabalhos são executados ou quando o Macie realiza uma descoberta automatizada, o Macie usa a versão mais recente do regex da lista para analisar os dados.