Verificar o status de uma lista de permissões - Amazon Macie

Verificar o status de uma lista de permissões

Se você criar uma lista de permissões, é importante verificar o status dela periodicamente. Caso contrário, erros podem fazer com que o Amazon Macie produza resultados de análise inesperados para os dados do Amazon Simple Storage Service (Amazon S3). Por exemplo, o Macie pode criar descobertas de dados confidenciais para textos que você especificou em uma lista de permissões.

Se você configurar uma tarefa de descoberta de dados confidenciais para usar uma lista de permissões e o Macie não conseguir acessar ou usar a lista quando a tarefa começar a ser executada, a tarefa continuará sendo executada. No entanto, Macie não usa a lista ao analisar objetos do S3. Da mesma forma, se um ciclo de análise for iniciado para a descoberta automatizada de dados confidenciais e o Macie não puder acessar ou usar uma lista de permissões especificada, a análise continuará, mas o Macie não usará a lista.

É improvável que ocorram erros em uma lista de permissões que especifica uma expressão regular (regex). Isso ocorre em parte porque o Macie testa automaticamente o regex quando você cria ou atualiza as configurações da lista. Além disso, você armazena o regex e todas as outras configurações da lista no Macie.

No entanto, podem ocorrer erros em uma lista de permissões que especifica texto predefinido, em parte porque você armazena a lista no Amazon S3 e não no Macie. As causas comuns de erros são:

  • O bucket ou objeto do S3 é excluído.

  • O bucket ou objeto do S3 é renomeado e as configurações da lista no Macie não especificam o novo nome.

  • As configurações de permissões do bucket do S3 são alteradas e o Macie perde o acesso ao bucket e ao objeto.

  • As configurações de criptografia do bucket do S3 foram alteradas e o Macie não consegue descriptografar o objeto que armazena a lista.

  • A política da chave de criptografia é alterada e Macie perde o acesso à chave. O Macie não consegue descriptografar o objeto do S3 que armazena a lista.

Importante

Como esses erros afetam os resultados de suas análises, recomendamos que você verifique o status de todas as suas listas de permissões periodicamente. Recomendamos que você também faça isso se alterar as permissões ou as configurações de criptografia de um bucket do S3 que armazena uma lista de permissões ou alterar a política de uma chave AWS Key Management Service (AWS KMS) usada para criptografar uma lista.

Para obter informações detalhadas que podem ajudá-lo a solucionar erros que ocorrem, consulte Opções e requisitos para listas de texto predefinido.

Para verificar o status de uma lista de permissões

Você pode verificar o status de uma lista de permissões usando o console do Amazon Macie ou a API do Amazon Macie. No console, você pode usar uma única página para verificar o status de todas as listas de permissões ao mesmo tempo. Se você usar a API do Amazon Macie, poderá verificar o status de listas de permissões individuais, uma por vez.

Console

Siga estas etapas para verificar o status de suas listas de permissões usando o console do Amazon Macie.

Para verificar o status de suas listas de permissão

  1. Abra o console do Amazon Macie em https://console.aws.amazon.com/macie/.

  2. No painel de navegação, em Configurações, selecione Listas de permissões.

  3. Na página Permitir listas, escolha atualizar ( The refresh button, which is a button that displays an empty, dark gray circle with an arrow. ). O Macie testa as configurações de todas as suas listas de permissão e atualiza o campo Status para indicar o status atual de cada lista.

    Se uma lista especificar uma expressão regular, seu status normalmente será OK. Isso significa que o Macie pode compilar a expressão. Se uma lista especificar um texto predefinido, seu status poderá ser qualquer um dos seguintes valores.

    OK

    O Macie pode recuperar e analisar o conteúdo da lista.

    Acesso negado

    Macie não tem permissão para acessar o objeto do S3 que armazena a lista. O Amazon S3 negou a solicitação de recuperação do objeto. Uma lista também pode ter esse status se o objeto for criptografado com um AWS KMS key gerenciado pelo cliente que o Macie não tem permissão de usar.

    Para resolver esse erro, revise a política do bucket e outras configurações de permissões do bucket e do objeto. Certifique-se de que o Macie tenha permissão para acessar e recuperar o objeto. Se o objeto for criptografado com uma chave do AWS KMS gerenciada pelo cliente, revise também a política de chaves e certifique-se de que Macie tenha permissão para usar a chave.

    Erro

    Ocorreu um erro transitório ou interno quando o Macie tentou recuperar ou analisar o conteúdo da lista. Uma lista de permissões também poderá ter esse status se estiver criptografada com uma chave de criptografia que o Amazon S3 e o Macie não possam acessar ou usar.

    Para resolver esse erro, aguarde alguns minutos e escolha refresh ( The refresh button, which is a button that displays an empty, dark gray circle with an arrow. ) novamente. Se o status continuar sendo Erro, verifique as configurações de criptografia do objeto S3. Certifique-se de que o objeto seja criptografado com uma chave que o Amazon S3 e o Macie possam acessar e usar.

    O objeto está vazio

    O Macie pode recuperar a lista do Amazon S3 mas a lista não tem nenhum conteúdo.

    Para resolver esse erro, baixe o objeto do Amazon S3 e certifique-se de que ele contenha as entradas corretas. Se as entradas estiverem corretas, revise as configurações da lista no Macie. Verifique se os nomes especificados do bucket e do objeto estão corretos.

    Objeto não encontrado

    A lista não existe no Amazon S3.

    Para solucionar esse erro, revise as configurações da lista no Macie. Verifique se os nomes especificados do bucket e do objeto estão corretos.

    Cota excedida

    Macie pode acessar a lista no Amazon S3. No entanto, o número de entradas na lista ou o tamanho do armazenamento da lista excede a cota de uma lista de permissões.

    Para resolver esse erro, divida a lista em vários arquivos. Certifique-se de que cada arquivo contenha menos de 100.000 entradas. Certifique-se também de que o tamanho de cada arquivo seja menor que 35 MB. Em seguida, faça o upload de cada arquivo no Amazon S3. Ao terminar, defina as configurações da lista de permissões no Macie para cada arquivo. Você pode ter até cinco listas de texto predefinidos em cada Região da AWS suportada.

    Limitados

    O Amazon S3 limitou a solicitação para recuperar a lista.

    Para resolver esse erro, aguarde alguns minutos e escolha refresh ( The refresh button, which is a button that displays an empty, dark gray circle with an arrow. ) novamente.

    Acesso do usuário negado

    O Amazon S3 negou a solicitação de recuperação do objeto. Se o objeto especificado existir, você não tem permissão para acessá-lo ou ele está criptografado com uma chave do AWS KMS que você não tem permissão de usar.

    Para resolver esse erro, trabalhe com seu administrador AWS para garantir que as configurações da lista especifiquem os nomes corretos do bucket e do objeto e que você tenha acesso de leitura ao bucket e ao objeto. Se o objeto for criptografado, certifique-se também de que ele seja criptografado com uma chave que o Macie tenha permissão de usar.

  4. Para analisar as configurações e o status de uma lista específica, escolha o nome da lista.

API

Para verificar o status de uma lista de permissões de forma programática, use a operação GetAllowList da API do Amazon Macie. Ou, se você estiver usando AWS CLI, execute o comando get-allow-list.

Para o parâmetro id, especifique o identificador exclusivo da lista de permissões cujo status você deseja verificar. Para obter esse identificador, você pode usar a operação ListAllowLists. A operação ListAllowLists recupera informações sobre todas as listas de permissão da sua conta. Se você estiver usando o AWS CLI, você pode executar o comando list-allow-lists para recuperar essas informações.

Quando você envia uma solicitação GetAllowList, o Macie testa todas as configurações da lista de permissões. Se as configurações especificarem uma expressão regular (regex), o Macie verificará se ele pode compilar a expressão. Se as configurações especificarem uma lista de texto predefinido (s3WordsList), o Macie verificará se ele pode recuperar e analisar a lista.

Em seguida, o Macie retorna um objeto GetAllowListResponse que fornece os detalhes da lista de permissões. No objeto GetAllowListResponse, o objeto status indica o status atual da lista: um código de status (code) e, dependendo do código de status, uma breve descrição do status da lista (description).

Se a lista de permissões especificar um regex, o código de status normalmente é OK e não há uma descrição associada. Isso significa que Macie compilou a expressão com sucesso.

Se a lista de permissões especificar um texto predefinido, o código de status varia de acordo com os resultados do teste:

  • Se Macie recuperou e analisou a lista com sucesso, o código de status é OK e não há uma descrição associada.

  • Se um erro impediu que o Macie recuperasse ou analisasse a lista, o código de status e a descrição indicarão a natureza do erro que ocorreu.

Para obter uma lista de possíveis códigos de status e uma descrição de cada um, consulte AllowListStatus na referência da API do Amazon Macie.