As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Descobrir dados confidenciais com o Macie
Com o Amazon Macie, é possível automatizar a descoberta, o registro e o relato de dados confidenciais em seu estado de dados do Amazon Simple Storage Service (Amazon S3) Você pode fazer isso de duas maneiras: configurando o Macie para realizar a descoberta automatizada de dados confidenciais e criando e executando trabalhos de descoberta de dados confidenciais.
A descoberta automatizada de dados confidenciais fornece ampla visibilidade sobre onde os dados confidenciais podem residir em seu patrimônio de dados do Amazon S3. Com essa opção, o Macie avalia diariamente seu inventário de buckets do S3 e usa técnicas de amostragem para identificar e selecionar objetos representativos do S3 em seus buckets. Em seguida, o Macie recupera e analisa os objetos selecionados, inspecionando-os em busca de dados confidenciais. Para obter mais informações, consulte [Realizando a descoberta automatizada de dados confidenciais](discovery-asdd.md).
Trabalhos confidenciais de descoberta de dados fornecem uma análise mais profunda e direcionada. Com essa opção, você define a amplitude e a profundidade da análise, buckets do S3 específicos que você seleciona ou buckets que correspondem a critérios específicos. Você também pode refinar o escopo da análise escolhendo opções, como os critérios personalizados que derivam das propriedades dos objetos do S3. Além disso, você também pode configurar um trabalho para ser executado somente uma vez para análise e avaliação sob demanda, ou de forma recorrente para análise, avaliação e monitoramento periódicos. Para obter mais informações, consulte [Executando trabalhos de descoberta de dados confidenciais](discovery-jobs.md).
Com qualquer uma das opções, descoberta automatizada de dados confidenciais ou trabalhos de descoberta de dados confidenciais, você pode configurar o Macie para analisar objetos do S3 usando identificadores de dados gerenciados que ele fornece, identificadores de dados personalizados que você define ou uma combinação dos dois. Você também pode ajustar a análise com listas de permissões. Ao definir as configurações para a descoberta automatizada de dados confidenciais ou um trabalho de descoberta de dados confidenciais, você especifica quais usar:
+ **Identificadores de dados gerenciados** — Esses são critérios e técnicas incorporados projetados para detectar tipos específicos de dados confidenciais. Por exemplo, eles podem detectar números de cartão de crédito, chaves de acesso AWS secretas e números de passaportes de determinados países e regiões. Eles podem detectar uma lista grande e crescente de tipos de dados confidenciais em muitos países e regiões. Isso inclui vários tipos de informações de identificação pessoal (PII), informações financeiras e dados de credenciais. Para obter mais informações, consulte [Usar identificadores de dados gerenciados](managed-data-identifiers.md).
+ **Identificadores de dados personalizados** — Esses são critérios personalizados que você define para detectar dados confidenciais. Cada identificador de dados personalizados especifica uma expressão regular (*regex*) que define um padrão de texto a ser correspondido e, opcionalmente, sequências de caracteres e uma regra de proximidade que refinam os resultados. Você pode usá-los para detectar dados confidenciais que refletem seus cenários específicos, propriedade intelectual ou dados proprietários, por exemplo, funcionários IDs, números de contas de clientes ou classificações internas de dados. Para obter mais informações, consulte [Criar identificadores de dados personalizados](custom-data-identifiers.md).
+ **Listas de permissões** — elas especificam o texto e os padrões de texto que você deseja que o Macie ignore. Você pode usá-los para especificar exceções de dados confidenciais para seus cenários ou ambientes específicos, por exemplo, nomes públicos ou números de telefone da sua organização ou dados de amostra que sua organização usa para testes. Se o Macie encontrar um texto que corresponda a uma entrada ou padrão em uma lista de permissões, o Macie não relatará essa ocorrência de texto. Esse é o caso mesmo que o texto corresponda aos critérios de um identificador de dados gerenciado ou personalizado. Para obter mais informações, consulte [Como definir exceções de dados sigilosos com listas de permissões](allow-lists.md).
Quando o Amazon Macie analisa um objeto do S3, o Macie recupera a versão mais recente do objeto do Amazon S3 e, em seguida, realiza uma inspeção profunda do conteúdo do objeto. O Macie pode analisar um objeto se o seguinte for verdadeiro:
+ O objeto usa um arquivo ou formato de armazenamento compatível e é armazenado em um bucket geral do S3 usando uma classe de armazenamento compatível. Para obter mais informações, consulte [Classes e formatos de armazenamento suportados](discovery-supported-storage.md).
+ Se o objeto for criptografado, ele é criptografado com uma chave que o Macie pode acessar e tem permissão para usar. Para obter mais informações, consulte [Analisar objetos criptografados do S3](discovery-supported-encryption-types.md).
+ Se o objeto estiver armazenado em um bucket que tenha uma política de bucket restritiva, a política permitirá que o Macie acesse objetos no bucket. Para obter mais informações, consulte [Permitindo que o Amazon Macie acesse buckets e objetos do S3](monitoring-restrictive-s3-buckets.md).
Para ajudá-lo a atender e manter a conformidade com seus requisitos de segurança e privacidade de dados, o Macie produz registros dos dados confidenciais que encontra e da análise que realiza, *descobertas de dados confidenciais* e *resultados de descobertas de dados confidenciais*. Uma *descoberta de dados confidenciais* é um relatório detalhado de dados confidenciais que o Macie encontrou em um objeto do S3. Um *resultado de descoberta de dados confidenciais* é um registro de detalhes sobre a análise de um objeto. Cada tipo de registro segue um esquema padronizado, que pode ajudá-lo a consultá-los, monitorá-los e processá-los usando outros aplicativos, serviços e sistemas, conforme necessário.
**dica**
Embora o Macie seja otimizado para o Amazon S3, você pode usá-lo para descobrir dados confidenciais em recursos que você atualmente armazena em outro lugar. Você pode fazer isso movendo os dados para o Amazon S3 temporariamente ou permanentemente. Por exemplo, exporte os snapshots do Serviço do banco de dados relacional Amazon ou do Amazon Aurora para o Amazon S3 no formato Apache Parquet. Ou exporte uma tabela do Amazon DynamoDB para o Amazon S3. Em seguida, você pode criar um trabalho confidencial de descoberta de dados para analisar os dados no Amazon S3.
**Topics**
+ [Usar identificadores de dados gerenciados](managed-data-identifiers.md)
+ [Criar identificadores de dados personalizados](custom-data-identifiers.md)
+ [Como definir exceções de dados sigilosos com listas de permissões](allow-lists.md)
+ [Realizando a descoberta automatizada de dados confidenciais](discovery-asdd.md)
+ [Executando trabalhos de descoberta de dados confidenciais](discovery-jobs.md)
+ [Analisar objetos criptografados do S3](discovery-supported-encryption-types.md)
+ [Armazenamento e retenção de resultados de descoberta de dados confidenciais](discovery-results-repository-s3.md)
+ [Classes e formatos de armazenamento suportados](discovery-supported-storage.md)
# Usar identificadores de dados gerenciados
O Amazon Macie usa uma combinação de critérios e técnicas, incluindo machine learning e correspondência de padrões, para detectar dados confidenciais em objetos do Amazon Simple Storage Service (Amazon S3). Esses critérios e técnicas, coletivamente denominados *identificadores de dados gerenciados*, podem detectar uma lista grande e crescente de tipos de dados confidenciais para muitos países e regiões, incluindo vários tipos de dados de credenciais, informações financeiras, informações pessoais de saúde (PHI) e informações de identificação pessoal (PII). Cada identificador de dados gerenciados foi projetado para detectar um tipo específico de dados confidenciais, por exemplo, chaves de acesso AWS secretas, números de cartão de crédito ou números de passaporte de um determinado país ou região.
O Macie pode detectar as seguintes categorias de dados sigilosos usando identificadores de dados gerenciados:
+ Credenciais, para dados de credenciais, como chaves privadas e chaves de acesso AWS secretas.
+ Informações financeiras, para dados financeiros, como números de cartão de crédito e números de conta bancária.
+ Informações pessoais, para PHI, como seguro saúde e números de identificação médica, e PII, como números de identificação de carteira de motorista e números de passaporte.
Dentro de cada categoria, o Macie pode detectar vários tipos de dados confidenciais. Os tópicos dessa seção listam e descrevem cada tipo e todos os requisitos relevantes para detectá-lo. Para cada tipo, eles também indicam o identificador exclusivo (ID) do identificador de dados gerenciados projetado para detectar os dados. Ao [criar um trabalho de descoberta de dados confidenciais](discovery-jobs-create.md) ou [definir configurações para descoberta automática de dados confidenciais](discovery-asdd-account-configure.md), você pode usá-los IDs para especificar quais identificadores de dados gerenciados você deseja que o Macie use ao analisar objetos do S3.
**Topics**
+ [Requisitos de palavras-chave](managed-data-identifiers-keywords.md)
+ [Referência rápida por tipo de dados confidenciais](mdis-reference-quick.md)
+ [Referência detalhada por categoria de dados confidenciais](mdis-reference.md)
Para obter uma lista de identificadores de dados gerenciados que recomendamos para trabalhos, consulte [Identificadores de dados gerenciados recomendados para trabalhos de descoberta de dados sigilosos](discovery-jobs-mdis-recommended.md). Para obter uma lista de identificadores de dados gerenciados que recomendamos e que são usados por padrão para a descoberta automatizada de dados confidenciais, consulte [Configurações padrão para descoberta automatizada de dados confidenciais](discovery-asdd-settings-defaults.md).
# Requisitos de palavras-chave para identificadores de dados gerenciados
Para detectar determinados tipos de dados confidenciais usando identificadores de dados gerenciados, o Amazon Macie exige que uma palavra-chave esteja próxima aos dados. Se esse for o caso de determinado tipo de dado, os tópicos de referência nesta seção indicarão os requisitos da palavra-chave para esses dados.
Se uma palavra-chave precisar estar próxima de um tipo específico de dados, a palavra-chave normalmente precisará estar dentro de 30 caracteres (inclusive) dos dados. Os requisitos adicionais de proximidade variam com base no tipo de arquivo ou no formato de armazenamento de um objeto do Amazon Simple Storage Service (Amazon S3).
**Dados colunares estruturados**
Para dados colunares, uma palavra-chave precisa fazer parte do mesmo valor ou estar no nome da coluna ou campo que armazena um valor. Isso vale para pastas de trabalho do Microsoft Excel, arquivos CSV e arquivos TSV.
Por exemplo, se o valor de um campo contiver *SSN* e um número de nove dígitos que usa a sintaxe de um número do Seguro Social dos EUA (SSN), o Macie poderá detectar o SSN no campo. Da mesma forma, se o nome de uma coluna contiver *SSN*, o Macie poderá detectar cada SSN na coluna. O Macie trata os valores nessa coluna como se estivessem próximos da palavra-chave *SSN*.
**Dados estruturados baseados em registros**
Para dados baseados em registros, uma palavra-chave precisa fazer parte do mesmo valor ou estar no nome de um elemento do caminho para o campo ou matriz que armazena um valor. Isso vale para contêineres de objetos Apache Avro, arquivos Apache Parquet, arquivos JSON e arquivos JSON Lines.
Por exemplo, se o valor de um campo contém *credenciais* e uma sequência de caracteres que usa a sintaxe de uma chave de acesso AWS secreta, o Macie pode detectar a chave no campo. Da mesma forma, se o caminho para um campo for`$.credentials.aws.key`, o Macie poderá detectar uma chave de acesso AWS secreta no campo. O Macie trata o valor no campo como estando próximo às *credenciais* da palavra-chave.
**Dados não estruturados**
Para dados não estruturados, uma palavra-chave normalmente precisa estar dentro de 30 caracteres (inclusive) dos dados. Não há requisitos adicionais de proximidade. Isso vale para arquivos Adobe Portable Document Format, documentos do Microsoft Word, mensagens de e-mail e arquivos de texto não binários que não sejam arquivos CSV, JSON, JSON Lines e TSV. Isso inclui todos os dados estruturados, como tabelas ou XML, nesses tipos de arquivos.
As palavras-chave não diferenciam maiúsculas de minúsculas. Além disso, se uma palavra-chave contiver um espaço, o Macie faz automaticamente a correspondência com as variações de palavras-chave que não contêm o espaço ou contêm um sublinhado (\$1) ou um hífen (-) em vez do espaço. Em certos casos, o Macie também estende ou abrevia uma palavra-chave para abordar variações comuns da palavra-chave.
Para uma demonstração de como as palavras-chave fornecem contexto e ajudam o Macie a detectar tipos específicos de dados confidenciais, assista ao vídeo a seguir:
# Referência rápida: identificadores de dados gerenciados por tipo
No Amazon Macie, um *identificador de dados gerenciados* é um conjunto de critérios e técnicas incorporados projetados para detectar um tipo específico de dados confidenciais, por exemplo, números de cartão de crédito, chaves de acesso AWS secretas ou números de passaportes de um determinado país ou região. Esses identificadores podem detectar uma lista grande e crescente de tipos de dados confidenciais para muitos países e regiões, incluindo vários tipos de dados de credenciais, informações financeiras, informações pessoais de saúde (PHI) e informações de identificação pessoal (PII).
A tabela a seguir lista todos os identificadores de dados gerenciados que o Macie fornece atualmente, organizados por tipo de dados confidenciais. Para cada tipo, ela fornece as seguintes informações:
+ **Categoria de dados confidenciais**: especifica a categoria geral de dados confidenciais que inclui o tipo: *Credenciais*, para dados de credenciais, como chaves privadas; *Informações financeiras*, para dados financeiros, como números de cartão de crédito e números de contas bancárias; *Informações pessoais: PHI para informações* pessoais de saúde, como seguro saúde e números de identificação médica; e *Informações pessoais: PII* para informações de identificação pessoal, como números de identificação de carteira de motorista e números de passaporte.
+ **ID do identificador de dados gerenciado** — Especifica o identificador exclusivo (ID) de um ou mais identificadores de dados gerenciados projetados para detectar os dados. Ao criar um trabalho de descoberta de dados confidenciais ou definir configurações para descoberta automatizada de dados confidenciais, você pode usá-los IDs para especificar quais identificadores de dados gerenciados você deseja que o Macie use ao analisar dados. Para obter uma lista de identificadores de dados gerenciados que recomendamos para trabalhos, consulte [Identificadores de dados gerenciados recomendados para trabalhos de descoberta de dados sigilosos](discovery-jobs-mdis-recommended.md). Para obter uma lista de identificadores de dados gerenciados que recomendamos para a descoberta automatizada de dados confidenciais, consulte [Configurações padrão para descoberta automatizada de dados confidenciais](discovery-asdd-settings-defaults.md).
+ **Palavra-chave obrigatória** — Especifica se a detecção exige que uma palavra-chave esteja próxima aos dados. Para obter informações sobre como o Macie usa palavras-chave ao analisar dados, consulte [Requisitos de palavras-chave](managed-data-identifiers-keywords.md).
+ **Países e regiões** — especifica para quais países e regiões os identificadores de dados gerenciados aplicáveis foram projetados. Se os identificadores de dados gerenciados não forem projetados para determinados países e regiões, esse valor será *Qualquer*.
Para revisar detalhes adicionais sobre os identificadores de dados gerenciados para um tipo específico de dados confidenciais, selecione o tipo.
| Tipo de dados confidenciais | Categoria de dados confidenciais | ID do identificador de dados gerenciados | Palavra-chave obrigatória | Países e regiões |
| --- | --- | --- | --- | --- |
| [AWS chave de acesso secreta](mdis-reference-credentials.md#mdis-reference-AWS-CREDENTIALS) | Credenciais | AWS\$1CREDENTIALS | Sim | Any |
| [Número de conta bancária](mdis-reference-financial.md#mdis-reference-BAN) | Informações financeiras | BANK\$1ACCOUNT\$1NUMBER (para o Canadá e os EUA) | Sim | Canadá, EUA |
| [Número básico da conta bancária (BBAN)](mdis-reference-financial.md#mdis-reference-BBAN) | Informações financeiras | Dependendo do país ou região: FRANCE\$1BANK\$1ACCOUNT\$1NUMBER, GERMANY\$1BANK\$1ACCOUNT\$1NUMBER, ITALY\$1BANK\$1ACCOUNT\$1NUMBER, SPAIN\$1BANK\$1ACCOUNT\$1NUMBER, UK\$1BANK\$1ACCOUNT\$1NUMBER | Sim | França, Alemanha, Itália, Espanha, Reino Unido |
| [Datas de nascimento](mdis-reference-pii.md#mdis-reference-DATE_OF_BIRTH) | Informações pessoais: PII | DATE\$1OF\$1BIRTH | Sim | Any |
| [Data de validade do cartão de crédito](mdis-reference-financial.md#mdis-reference-CC-expiration) | Informações financeiras | CREDIT\$1CARD\$1EXPIRATION | Sim | Any |
| [Dados da tarja magnética do cartão de crédito](mdis-reference-financial.md#mdis-reference-CC-stripe) | Informações financeiras | CREDIT\$1CARD\$1MAGNETIC\$1STRIPE | Sim | Any |
| [Números de cartão de crédito](mdis-reference-financial.md#mdis-reference-CC-number) | Informações financeiras | CREDIT\$1CARD\$1NUMBER (para números de cartão de crédito próximos a uma palavra-chave), CREDIT\$1CARD\$1NUMBER\$1(NO\$1KEYWORD) (para números de cartão de crédito que não estejam próximos a uma palavra-chave) | Varia | Any |
| [Código de verificação do cartão de crédito](mdis-reference-financial.md#mdis-reference-CC-verification-code) | Informações financeiras | CREDIT\$1CARD\$1SECURITY\$1CODE | Sim | Any |
| [Número de identificação da carteira de habilitação](mdis-reference-pii.md#mdis-reference-DL-num) | Informações pessoais: PII | Dependendo do país ou região: AUSTRALIA\$1DRIVERS\$1LICENSE, AUSTRIA\$1DRIVERS\$1LICENSE, BELGIUM\$1DRIVERS\$1LICENSE, BULGARIA\$1DRIVERS\$1LICENSE, CANADA\$1DRIVERS\$1LICENSE, CROATIA\$1DRIVERS\$1LICENSE, CYPRUS\$1DRIVERS\$1LICENSE, CZECHIA\$1DRIVERS\$1LICENSE, DENMARK\$1DRIVERS\$1LICENSE, DRIVERS\$1LICENSE (for the US), ESTONIA\$1DRIVERS\$1LICENSE, FINLAND\$1DRIVERS\$1LICENSE, FRANCE\$1DRIVERS\$1LICENSE, GERMANY\$1DRIVERS\$1LICENSE, GREECE\$1DRIVERS\$1LICENSE, HUNGARY\$1DRIVERS\$1LICENSE, INDIA\$1DRIVERS\$1LICENSE, IRELAND\$1DRIVERS\$1LICENSE, ITALY\$1DRIVERS\$1LICENSE, LATVIA\$1DRIVERS\$1LICENSE, LITHUANIA\$1DRIVERS\$1LICENSE, LUXEMBOURG\$1DRIVERS\$1LICENSE, MALTA\$1DRIVERS\$1LICENSE, NETHERLANDS\$1DRIVERS\$1LICENSE, POLAND\$1DRIVERS\$1LICENSE, PORTUGAL\$1DRIVERS\$1LICENSE, ROMANIA\$1DRIVERS\$1LICENSE, SLOVAKIA\$1DRIVERS\$1LICENSE, SLOVENIA\$1DRIVERS\$1LICENSE, SPAIN\$1DRIVERS\$1LICENSE, SWEDEN\$1DRIVERS\$1LICENSE, UK\$1DRIVERS\$1LICENSE | Sim | Austrália, Áustria, Bélgica, Bulgária, Canadá, Croácia, Chipre, República Checa, Dinamarca, Estónia, Finlândia, França, Alemanha, Grécia, Hungria, Índia, Irlanda, Itália, Letónia, Lituânia, Luxemburgo, Malta, Países Baixos, Polónia, Portugal , Romênia, Eslováquia, Eslovênia, Espanha, Suécia, Reino Unido, EUA |
| [Número de registro da Agência Antidrogas (DEA)](mdis-reference-phi.md#mdis-reference-DEA-registration-num) | Informações pessoais: PHI | US\$1DRUG\$1ENFORCEMENT\$1AGENCY\$1NUMBER | Sim | EUA |
| [Número de registro eleitoral](mdis-reference-pii.md#mdis-reference-electoral-roll-num) | Informações pessoais: PII | UK\$1ELECTORAL\$1ROLL\$1NUMBER | Sim | Reino Unido |
| [Nome completo](mdis-reference-pii.md#mdis-reference-full-name) | Informações pessoais: PII | NAME | Não | Qualquer, se o nome usar um conjunto de caracteres latinos |
| [Coordenadas do sistema de posicionamento global (GPS)](mdis-reference-pii.md#mdis-reference-GPS) | Informações pessoais: PII | LATITUDE\$1LONGITUDE | Sim | Qualquer, se as coordenadas estiverem próximas de uma palavra-chave em inglês |
| [Chave da API do Google Cloud](mdis-reference-credentials.md#mdis-reference-GCP-API-key) | Credenciais | GCP\$1API\$1KEY | Sim | Any |
| [Número de solicitação de seguro saúde (HICN)](mdis-reference-phi.md#mdis-reference-HICN) | Informações pessoais: PHI | USA\$1HEALTH\$1INSURANCE\$1CLAIM\$1NUMBER | Sim | EUA |
| [Número de identificação médica ou do seguro de saúde](mdis-reference-phi.md#mdis-reference-HI-ID) | Informações pessoais: PHI | Dependendo do país ou região: CANADA\$1HEALTH\$1NUMBER, EUROPEAN\$1HEALTH\$1INSURANCE\$1CARD\$1NUMBER, FINLAND\$1EUROPEAN\$1HEALTH\$1INSURANCE\$1NUMBER, FRANCE\$1HEALTH\$1INSURANCE\$1NUMBER, UK\$1NHS\$1NUMBER, USA\$1MEDICARE\$1BENEFICIARY\$1IDENTIFIER | Sim | Canadá, UE, Finlândia, França, Reino Unido, EUA |
| [Código do Healthcare Common Procedure Coding System (HCPCS)](mdis-reference-phi.md#mdis-reference-HCPCS) | Informações pessoais: PHI | USA\$1HEALTHCARE\$1PROCEDURE\$1CODE | Sim | EUA |
| [Cabeçalho de autorização básica HTTP](mdis-reference-credentials.md#mdis-reference-HTTP_BASIC_AUTH_HEADER) | Credenciais | HTTP\$1BASIC\$1AUTH\$1HEADER | Não | Any |
| [Cookie HTTP](mdis-reference-pii.md#mdis-reference-HTTP_COOKIE) | Informações pessoais: PII | HTTP\$1COOKIE | Não | Any |
| [Número internacional de conta bancária (IBAN)](mdis-reference-financial.md#mdis-reference-IBAN) | Informações financeiras | Dependendo do país ou região: ALBANIA\$1BANK\$1ACCOUNT\$1NUMBER, ANDORRA\$1BANK\$1ACCOUNT\$1NUMBER, BOSNIA\$1AND\$1HERZEGOVINA\$1BANK\$1ACCOUNT\$1NUMBER, BRAZIL\$1BANK\$1ACCOUNT\$1NUMBER, BULGARIA\$1BANK\$1ACCOUNT\$1NUMBER, COSTA\$1RICA\$1BANK\$1ACCOUNT\$1NUMBER, CROATIA\$1BANK\$1ACCOUNT\$1NUMBER, CYPRUS\$1BANK\$1ACCOUNT\$1NUMBER, CZECH\$1REPUBLIC\$1BANK\$1ACCOUNT\$1NUMBER, DENMARK\$1BANK\$1ACCOUNT\$1NUMBER, DOMINICAN\$1REPUBLIC\$1BANK\$1ACCOUNT\$1NUMBER, EGYPT\$1BANK\$1ACCOUNT\$1NUMBER, ESTONIA\$1BANK\$1ACCOUNT\$1NUMBER, FAROE\$1ISLANDS\$1BANK\$1ACCOUNT\$1NUMBER, FINLAND\$1BANK\$1ACCOUNT\$1NUMBER, FRANCE\$1BANK\$1ACCOUNT\$1NUMBER, GEORGIA\$1BANK\$1ACCOUNT\$1NUMBER, GERMANY\$1BANK\$1ACCOUNT\$1NUMBER, GREECE\$1BANK\$1ACCOUNT\$1NUMBER, GREENLAND\$1BANK\$1ACCOUNT\$1NUMBER, HUNGARY\$1BANK\$1ACCOUNT\$1NUMBER, ICELAND\$1BANK\$1ACCOUNT\$1NUMBER, IRELAND\$1BANK\$1ACCOUNT\$1NUMBER, ITALY\$1BANK\$1ACCOUNT\$1NUMBER, JORDAN\$1BANK\$1ACCOUNT\$1NUMBER, KOSOVO\$1BANK\$1ACCOUNT\$1NUMBER, LIECHTENSTEIN\$1BANK\$1ACCOUNT\$1NUMBER, LITHUANIA\$1BANK\$1ACCOUNT\$1NUMBER, MALTA\$1BANK\$1ACCOUNT\$1NUMBER, MAURITANIA\$1BANK\$1ACCOUNT\$1NUMBER, MAURITIUS\$1BANK\$1ACCOUNT\$1NUMBER, MONACO\$1BANK\$1ACCOUNT\$1NUMBER, MONTENEGRO\$1BANK\$1ACCOUNT\$1NUMBER, NETHERLANDS\$1BANK\$1ACCOUNT\$1NUMBER, NORTH\$1MACEDONIA\$1BANK\$1ACCOUNT\$1NUMBER, POLAND\$1BANK\$1ACCOUNT\$1NUMBER, PORTUGAL\$1BANK\$1ACCOUNT\$1NUMBER, SAN\$1MARINO\$1BANK\$1ACCOUNT\$1NUMBER, SENEGAL\$1BANK\$1ACCOUNT\$1NUMBER, SERBIA\$1BANK\$1ACCOUNT\$1NUMBER, SLOVAKIA\$1BANK\$1ACCOUNT\$1NUMBER, SLOVENIA\$1BANK\$1ACCOUNT\$1NUMBER, SPAIN\$1BANK\$1ACCOUNT\$1NUMBER, SWEDEN\$1BANK\$1ACCOUNT\$1NUMBER, SWITZERLAND\$1BANK\$1ACCOUNT\$1NUMBER, TIMOR\$1LESTE\$1BANK\$1ACCOUNT\$1NUMBER, TUNISIA\$1BANK\$1ACCOUNT\$1NUMBER, TURKIYE\$1BANK\$1ACCOUNT\$1NUMBER, UK\$1BANK\$1ACCOUNT\$1NUMBER, UKRAINE\$1BANK\$1ACCOUNT\$1NUMBER, UNITED\$1ARAB\$1EMIRATES\$1BANK\$1ACCOUNT\$1NUMBER, VIRGIN\$1ISLANDS\$1BANK\$1ACCOUNT\$1NUMBER (para as Ilhas Virgens Britânicas) | Não | Albânia, Andorra, Bósnia-Herzegovina, Brasil, Bulgária, Costa Rica, Croácia, Chipre, República Checa, Dinamarca, República Dominicana, Egito, Estónia, Ilhas Faroé, Finlândia, França, Geórgia, Alemanha, Grécia, Groelândia, Hungria, Islândia, Irlanda, Itália, Jordânia, Kosovo, Liechtenstein, Lituânia, Malta, Mauritânia, Maurícias, Mónaco, Montenegro, Países Baixos, Macedônia do Norte, Polónia, Portugal, São Marino, Senegal, Sérvia, Eslováquia, Eslovênia, Espanha, Suécia, Suíça, Timor-Leste, Tunísia, Turquia, Reino Unido, Ucrânia, Emirados Árabes Unidos, Ilhas Virgens (Britânicas) |
| [JSON Web Token (JWT)](mdis-reference-credentials.md#mdis-reference-JSON_WEB_TOKEN) | Credenciais | JSON\$1WEB\$1TOKEN | Não | Any |
| [Endereço postal](mdis-reference-pii.md#mdis-reference-mailing-address) | Informações pessoais: PII | ADDRESS, BRAZIL\$1CEP\$1CODE (para o Código de Endereçamento Postal do Brasil) | Varia | Austrália, Brasil, Canadá, França, Alemanha, Itália, Espanha, Reino Unido, EUA |
| [National Drug Code (NDC)](mdis-reference-phi.md#mdis-reference-NDC) | Informações pessoais: PHI | USA\$1NATIONAL\$1DRUG\$1CODE | Sim | EUA |
| [Número de identificação nacional](mdis-reference-pii.md#mdis-reference-national-id) | Informações pessoais: PII | Dependendo do país ou região: ARGENTINA\$1DNI\$1NUMBER, BRAZIL\$1RG\$1NUMBER, CHILE\$1RUT\$1NUMBER, COLOMBIA\$1CITIZENSHIP\$1CARD\$1NUMBER, FRANCE\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, GERMANY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, INDIA\$1AADHAAR\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, MEXICO\$1CURP\$1NUMBER, SPAIN\$1DNI\$1NUMBER | Sim | Argentina, Brasil, Chile, Colômbia, França, Alemanha, Índia, Itália, México, Espanha |
| [Número do Seguro Nacional (NINO)](mdis-reference-pii.md#mdis-reference-NINO) | Informações pessoais: PII | UK\$1NATIONAL\$1INSURANCE\$1NUMBER | Sim | Reino Unido |
| [National Provider Identifier (NPI)](mdis-reference-phi.md#mdis-reference-NPI) | Informações pessoais: PHI | USA\$1NATIONAL\$1PROVIDER\$1IDENTIFIER | Sim | EUA |
| [Chave privada OpenSSH](mdis-reference-credentials.md#mdis-reference-OPENSSH_PRIVATE_KEY) | Credenciais | OPENSSH\$1PRIVATE\$1KEY | Não | Any |
| [Número de passaporte](mdis-reference-pii.md#mdis-reference-passport-num) | Informações pessoais: PII | Dependendo do país ou região: CANADA\$1PASSPORT\$1NUMBER, FRANCE\$1PASSPORT\$1NUMBER, GERMANY\$1PASSPORT\$1NUMBER, ITALY\$1PASSPORT\$1NUMBER, SPAIN\$1PASSPORT\$1NUMBER, UK\$1PASSPORT\$1NUMBER, USA\$1PASSPORT\$1NUMBER | Sim | Canadá, França, Alemanha, Itália, Espanha, Reino Unido, EUA |
| [Número de residência permanente](mdis-reference-pii.md#mdis-reference-permanent-residence-num) | Informações pessoais: PII | CANADA\$1NATIONAL\$1IDENTIFICATION\$1NUMBER | Sim | Canadá |
| [Chave privada PGP](mdis-reference-credentials.md#mdis-reference-PGP_PRIVATE_KEY) | Credenciais | PGP\$1PRIVATE\$1KEY | Não | Any |
| [Número de telefone](mdis-reference-pii.md#mdis-reference-phone-num) | Informações pessoais: PII | Dependendo do país ou região: BRAZIL\$1PHONE\$1NUMBER, FRANCE\$1PHONE\$1NUMBER, GERMANY\$1PHONE\$1NUMBER, ITALY\$1PHONE\$1NUMBER, PHONE\$1NUMBER (for Canada and the US), SPAIN\$1PHONE\$1NUMBER, UK\$1PHONE\$1NUMBER | Varia | Brasil, Canadá, França, Alemanha, Itália, Espanha, Reino Unido, EUA |
| [Chave privada do padrão de criptografia de chave pública (PKCS)](mdis-reference-credentials.md#mdis-reference-PKCS) | Credenciais | PKCS | Não | Any |
| [Número do cartão de transporte público](mdis-reference-pii.md#mdis-reference-public-transport-num) | Informações pessoais: PII | ARGENTINA\$1TARJETA\$1SUBE | Sim | Argentina |
| [Chave privada PuTTY](mdis-reference-credentials.md#mdis-reference-PUTTY_PRIVATE_KEY) | Credenciais | PUTTY\$1PRIVATE\$1KEY | Não | Any |
| [Número do Seguro Social (SIN)](mdis-reference-pii.md#mdis-reference-social-insurance-num) | Informações pessoais: PII | CANADA\$1SOCIAL\$1INSURANCE\$1NUMBER | Sim | Canadá |
| [Número da Previdência Social (SSN)](mdis-reference-pii.md#mdis-reference-social-security-num) | Informações pessoais: PII | Dependendo do país ou região: SPAIN\$1SOCIAL\$1SECURITY\$1NUMBER, USA\$1SOCIAL\$1SECURITY\$1NUMBER | Sim | Espanha, EUA |
| [Chave da API Stripe](mdis-reference-credentials.md#mdis-reference-Stripe_API_key) | Credenciais | STRIPE\$1CREDENTIALS | Não | Any |
| [Identificação do contribuinte ou número de referência](mdis-reference-pii.md#mdis-reference-taxpayer-num) | Informações pessoais: PII | Dependendo do país ou região: ARGENTINA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER, ARGENTINA\$1ORGANIZATION\$1TAX\$1IDENTIFICATION\$1NUMBER, AUSTRALIA\$1TAX\$1FILE\$1NUMBER, BRAZIL\$1CNPJ\$1NUMBER, BRAZIL\$1CPF\$1NUMBER, CHILE\$1RUT\$1NUMBER, COLOMBIA\$1INDIVIDUAL\$1NIT\$1NUMBER, COLOMBIA\$1ORGANIZATION\$1NIT\$1NUMBER, FRANCE\$1TAX\$1IDENTIFICATION\$1NUMBER, GERMANY\$1TAX\$1IDENTIFICATION\$1NUMBER, INDIA\$1PERMANENT\$1ACCOUNT\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, MEXICO\$1INDIVIDUAL\$1RFC\$1NUMBER, MEXICO\$1ORGANIZATION\$1RFC\$1NUMBER, SPAIN\$1NIE\$1NUMBER, SPAIN\$1NIF\$1NUMBER, SPAIN\$1TAX\$1IDENTIFICATION\$1NUMBER, UK\$1TAX\$1IDENTIFICATION\$1NUMBER, USA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER | Sim | Argentina, Austrália, Brasil, Chile, Colômbia, França, Alemanha, Índia, Itália, México, Espanha, Reino Unido, EUA |
| [Identificador exclusivo de dispositivo (UDI)](mdis-reference-phi.md#mdis-reference-UDI) | Informações pessoais: PHI | MEDICAL\$1DEVICE\$1UDI | Sim | EUA |
| [Número de identificação de veículo (VIN)](mdis-reference-pii.md#mdis-reference-vin) | Informações pessoais: PII | VEHICLE\$1IDENTIFICATION\$1NUMBER | Sim | Qualquer um, se o VIN estiver próximo a uma palavra-chave em um dos seguintes idiomas: inglês, francês, alemão, lituano, polonês, português, romeno ou espanhol |
# Referência detalhada: identificadores de dados gerenciados por categoria
No Amazon Macie, *identificadores de dados gerenciados* são técnicas e critérios incorporados projetados para detectar tipos específicos de dados sigilosos. Eles podem detectar uma lista grande e crescente de tipos de dados confidenciais para muitos países e regiões, incluindo vários tipos de dados de credenciais, informações financeiras e informações pessoais. Cada identificador de dados gerenciados é projetado para detectar um tipo específico de dados confidenciais — por exemplo, AWS chaves de acesso secretas, números de cartão de crédito ou números de passaporte de um determinado país ou região.
O Macie pode detectar as seguintes categorias de dados sigilosos usando identificadores de dados gerenciados: Em cada categoria, o Macie pode detectar vários tipos de dados sigilosos. Os tópicos nesta seção listam e descrevem cada tipo e quaisquer requisitos relevantes para detectar os dados. Você pode navegar pelos tópicos por categoria:
+ [Credenciais](mdis-reference-credentials.md) — Para dados de credenciais, como chaves privadas e chaves de acesso AWS secretas.
+ [Informações financeiras](mdis-reference-financial.md), para dados financeiros, como números de cartão de crédito e números de conta bancária.
+ [Informações pessoais: PHI](mdis-reference-phi.md): para informações pessoais de saúde (PHI), como seguro saúde e números de identificação médica.
+ [Informações pessoais: PII](mdis-reference-pii.md): para informações de identificação pessoal (PII), como números de identificação da carteira de motorista e números de passaporte.
Ou escolha um tipo específico de dados confidenciais na tabela a seguir. A tabela lista todos os identificadores de dados gerenciados que o Macie fornece atualmente, organizados por tipo de dados confidenciais. A tabela também resume os requisitos relevantes para a detecção de cada tipo.
| Tipos de dados confidenciais | Categoria de dados confidenciais | ID do identificador de dados gerenciados | Palavra-chave obrigatória | Países e regiões |
| --- | --- | --- | --- | --- |
| [AWS chave de acesso secreta](mdis-reference-credentials.md#mdis-reference-AWS-CREDENTIALS) | Credenciais | AWS\$1CREDENTIALS | Sim | Any |
| [Número de conta bancária](mdis-reference-financial.md#mdis-reference-BAN) | Informações financeiras | BANK\$1ACCOUNT\$1NUMBER (para o Canadá e os EUA) | Sim | Canadá, EUA |
| [Número básico da conta bancária (BBAN)](mdis-reference-financial.md#mdis-reference-BBAN) | Informações financeiras | Dependendo do país ou região: FRANCE\$1BANK\$1ACCOUNT\$1NUMBER, GERMANY\$1BANK\$1ACCOUNT\$1NUMBER, ITALY\$1BANK\$1ACCOUNT\$1NUMBER, SPAIN\$1BANK\$1ACCOUNT\$1NUMBER, UK\$1BANK\$1ACCOUNT\$1NUMBER | Sim | França, Alemanha, Itália, Espanha, Reino Unido |
| [Datas de nascimento](mdis-reference-pii.md#mdis-reference-DATE_OF_BIRTH) | Informações pessoais: PII | DATE\$1OF\$1BIRTH | Sim | Any |
| [Data de validade do cartão de crédito](mdis-reference-financial.md#mdis-reference-CC-expiration) | Informações financeiras | CREDIT\$1CARD\$1EXPIRATION | Sim | Any |
| [Dados da tarja magnética do cartão de crédito](mdis-reference-financial.md#mdis-reference-CC-stripe) | Informações financeiras | CREDIT\$1CARD\$1MAGNETIC\$1STRIPE | Sim | Any |
| [Números de cartão de crédito](mdis-reference-financial.md#mdis-reference-CC-number) | Informações financeiras | CREDIT\$1CARD\$1NUMBER (para números de cartão de crédito próximos a uma palavra-chave), CREDIT\$1CARD\$1NUMBER\$1(NO\$1KEYWORD) (para números de cartão de crédito que não estejam próximos a uma palavra-chave) | Varia | Any |
| [Código de verificação do cartão de crédito](mdis-reference-financial.md#mdis-reference-CC-verification-code) | Informações financeiras | CREDIT\$1CARD\$1SECURITY\$1CODE | Sim | Any |
| [Número de identificação da carteira de habilitação](mdis-reference-pii.md#mdis-reference-DL-num) | Informações pessoais: PII | Dependendo do país ou região: AUSTRALIA\$1DRIVERS\$1LICENSE, AUSTRIA\$1DRIVERS\$1LICENSE, BELGIUM\$1DRIVERS\$1LICENSE, BULGARIA\$1DRIVERS\$1LICENSE, CANADA\$1DRIVERS\$1LICENSE, CROATIA\$1DRIVERS\$1LICENSE, CYPRUS\$1DRIVERS\$1LICENSE, CZECHIA\$1DRIVERS\$1LICENSE, DENMARK\$1DRIVERS\$1LICENSE, DRIVERS\$1LICENSE (for the US), ESTONIA\$1DRIVERS\$1LICENSE, FINLAND\$1DRIVERS\$1LICENSE, FRANCE\$1DRIVERS\$1LICENSE, GERMANY\$1DRIVERS\$1LICENSE, GREECE\$1DRIVERS\$1LICENSE, HUNGARY\$1DRIVERS\$1LICENSE, INDIA\$1DRIVERS\$1LICENSE, IRELAND\$1DRIVERS\$1LICENSE, ITALY\$1DRIVERS\$1LICENSE, LATVIA\$1DRIVERS\$1LICENSE, LITHUANIA\$1DRIVERS\$1LICENSE, LUXEMBOURG\$1DRIVERS\$1LICENSE, MALTA\$1DRIVERS\$1LICENSE, NETHERLANDS\$1DRIVERS\$1LICENSE, POLAND\$1DRIVERS\$1LICENSE, PORTUGAL\$1DRIVERS\$1LICENSE, ROMANIA\$1DRIVERS\$1LICENSE, SLOVAKIA\$1DRIVERS\$1LICENSE, SLOVENIA\$1DRIVERS\$1LICENSE, SPAIN\$1DRIVERS\$1LICENSE, SWEDEN\$1DRIVERS\$1LICENSE, UK\$1DRIVERS\$1LICENSE | Sim | Austrália, Áustria, Bélgica, Bulgária, Canadá, Croácia, Chipre, República Checa, Dinamarca, Estónia, Finlândia, França, Alemanha, Grécia, Hungria, Índia, Irlanda, Itália, Letónia, Lituânia, Luxemburgo, Malta, Países Baixos, Polónia, Portugal , Romênia, Eslováquia, Eslovênia, Espanha, Suécia, Reino Unido, EUA |
| [Número de registro da Agência Antidrogas (DEA)](mdis-reference-phi.md#mdis-reference-DEA-registration-num) | Informações pessoais: PHI | US\$1DRUG\$1ENFORCEMENT\$1AGENCY\$1NUMBER | Sim | EUA |
| [Número de registro eleitoral](mdis-reference-pii.md#mdis-reference-electoral-roll-num) | Informações pessoais: PII | UK\$1ELECTORAL\$1ROLL\$1NUMBER | Sim | Reino Unido |
| [Nome completo](mdis-reference-pii.md#mdis-reference-full-name) | Informações pessoais: PII | NAME | Não | Qualquer, se o nome usar um conjunto de caracteres latinos |
| [Coordenadas do sistema de posicionamento global (GPS)](mdis-reference-pii.md#mdis-reference-GPS) | Informações pessoais: PII | LATITUDE\$1LONGITUDE | Sim | Qualquer, se as coordenadas estiverem próximas de uma palavra-chave em inglês |
| [Chave da API do Google Cloud](mdis-reference-credentials.md#mdis-reference-GCP-API-key) | Credenciais | GCP\$1API\$1KEY | Sim | Any |
| [Número de solicitação de seguro saúde (HICN)](mdis-reference-phi.md#mdis-reference-HICN) | Informações pessoais: PHI | USA\$1HEALTH\$1INSURANCE\$1CLAIM\$1NUMBER | Sim | EUA |
| [Número de identificação médica ou do seguro de saúde](mdis-reference-phi.md#mdis-reference-HI-ID) | Informações pessoais: PHI | Dependendo do país ou região: CANADA\$1HEALTH\$1NUMBER, EUROPEAN\$1HEALTH\$1INSURANCE\$1CARD\$1NUMBER, FINLAND\$1EUROPEAN\$1HEALTH\$1INSURANCE\$1NUMBER, FRANCE\$1HEALTH\$1INSURANCE\$1NUMBER, UK\$1NHS\$1NUMBER, USA\$1MEDICARE\$1BENEFICIARY\$1IDENTIFIER | Sim | Canadá, UE, Finlândia, França, Reino Unido, EUA |
| [Código do Healthcare Common Procedure Coding System (HCPCS)](mdis-reference-phi.md#mdis-reference-HCPCS) | Informações pessoais: PHI | USA\$1HEALTHCARE\$1PROCEDURE\$1CODE | Sim | EUA |
| [Cabeçalho de autorização básica HTTP](mdis-reference-credentials.md#mdis-reference-HTTP_BASIC_AUTH_HEADER) | Credenciais | HTTP\$1BASIC\$1AUTH\$1HEADER | Não | Any |
| [Cookie HTTP](mdis-reference-pii.md#mdis-reference-HTTP_COOKIE) | Informações pessoais: PII | HTTP\$1COOKIE | Não | Any |
| [Número internacional de conta bancária (IBAN)](mdis-reference-financial.md#mdis-reference-IBAN) | Informações financeiras | Dependendo do país ou região: ALBANIA\$1BANK\$1ACCOUNT\$1NUMBER, ANDORRA\$1BANK\$1ACCOUNT\$1NUMBER, BOSNIA\$1AND\$1HERZEGOVINA\$1BANK\$1ACCOUNT\$1NUMBER, BRAZIL\$1BANK\$1ACCOUNT\$1NUMBER, BULGARIA\$1BANK\$1ACCOUNT\$1NUMBER, COSTA\$1RICA\$1BANK\$1ACCOUNT\$1NUMBER, CROATIA\$1BANK\$1ACCOUNT\$1NUMBER, CYPRUS\$1BANK\$1ACCOUNT\$1NUMBER, CZECH\$1REPUBLIC\$1BANK\$1ACCOUNT\$1NUMBER, DENMARK\$1BANK\$1ACCOUNT\$1NUMBER, DOMINICAN\$1REPUBLIC\$1BANK\$1ACCOUNT\$1NUMBER, EGYPT\$1BANK\$1ACCOUNT\$1NUMBER, ESTONIA\$1BANK\$1ACCOUNT\$1NUMBER, FAROE\$1ISLANDS\$1BANK\$1ACCOUNT\$1NUMBER, FINLAND\$1BANK\$1ACCOUNT\$1NUMBER, FRANCE\$1BANK\$1ACCOUNT\$1NUMBER, GEORGIA\$1BANK\$1ACCOUNT\$1NUMBER, GERMANY\$1BANK\$1ACCOUNT\$1NUMBER, GREECE\$1BANK\$1ACCOUNT\$1NUMBER, GREENLAND\$1BANK\$1ACCOUNT\$1NUMBER, HUNGARY\$1BANK\$1ACCOUNT\$1NUMBER, ICELAND\$1BANK\$1ACCOUNT\$1NUMBER, IRELAND\$1BANK\$1ACCOUNT\$1NUMBER, ITALY\$1BANK\$1ACCOUNT\$1NUMBER, JORDAN\$1BANK\$1ACCOUNT\$1NUMBER, KOSOVO\$1BANK\$1ACCOUNT\$1NUMBER, LIECHTENSTEIN\$1BANK\$1ACCOUNT\$1NUMBER, LITHUANIA\$1BANK\$1ACCOUNT\$1NUMBER, MALTA\$1BANK\$1ACCOUNT\$1NUMBER, MAURITANIA\$1BANK\$1ACCOUNT\$1NUMBER, MAURITIUS\$1BANK\$1ACCOUNT\$1NUMBER, MONACO\$1BANK\$1ACCOUNT\$1NUMBER, MONTENEGRO\$1BANK\$1ACCOUNT\$1NUMBER, NETHERLANDS\$1BANK\$1ACCOUNT\$1NUMBER, NORTH\$1MACEDONIA\$1BANK\$1ACCOUNT\$1NUMBER, POLAND\$1BANK\$1ACCOUNT\$1NUMBER, PORTUGAL\$1BANK\$1ACCOUNT\$1NUMBER, SAN\$1MARINO\$1BANK\$1ACCOUNT\$1NUMBER, SENEGAL\$1BANK\$1ACCOUNT\$1NUMBER, SERBIA\$1BANK\$1ACCOUNT\$1NUMBER, SLOVAKIA\$1BANK\$1ACCOUNT\$1NUMBER, SLOVENIA\$1BANK\$1ACCOUNT\$1NUMBER, SPAIN\$1BANK\$1ACCOUNT\$1NUMBER, SWEDEN\$1BANK\$1ACCOUNT\$1NUMBER, SWITZERLAND\$1BANK\$1ACCOUNT\$1NUMBER, TIMOR\$1LESTE\$1BANK\$1ACCOUNT\$1NUMBER, TUNISIA\$1BANK\$1ACCOUNT\$1NUMBER, TURKIYE\$1BANK\$1ACCOUNT\$1NUMBER, UK\$1BANK\$1ACCOUNT\$1NUMBER, UKRAINE\$1BANK\$1ACCOUNT\$1NUMBER, UNITED\$1ARAB\$1EMIRATES\$1BANK\$1ACCOUNT\$1NUMBER, VIRGIN\$1ISLANDS\$1BANK\$1ACCOUNT\$1NUMBER (para as Ilhas Virgens Britânicas) | Não | Albânia, Andorra, Bósnia-Herzegovina, Brasil, Bulgária, Costa Rica, Croácia, Chipre, República Checa, Dinamarca, República Dominicana, Egito, Estónia, Ilhas Faroé, Finlândia, França, Geórgia, Alemanha, Grécia, Groelândia, Hungria, Islândia, Irlanda, Itália, Jordânia, Kosovo, Liechtenstein, Lituânia, Malta, Mauritânia, Maurícias, Mónaco, Montenegro, Países Baixos, Macedônia do Norte, Polónia, Portugal, São Marino, Senegal, Sérvia, Eslováquia, Eslovênia, Espanha, Suécia, Suíça, Timor-Leste, Tunísia, Turquia, Reino Unido, Ucrânia, Emirados Árabes Unidos, Ilhas Virgens (Britânicas) |
| [JSON Web Token (JWT)](mdis-reference-credentials.md#mdis-reference-JSON_WEB_TOKEN) | Credenciais | JSON\$1WEB\$1TOKEN | Não | Any |
| [Endereço postal](mdis-reference-pii.md#mdis-reference-mailing-address) | Informações pessoais: PII | ADDRESS, BRAZIL\$1CEP\$1CODE (para o Código de Endereçamento Postal do Brasil) | Varia | Austrália, Brasil, Canadá, França, Alemanha, Itália, Espanha, Reino Unido, EUA |
| [National Drug Code (NDC)](mdis-reference-phi.md#mdis-reference-NDC) | Informações pessoais: PHI | USA\$1NATIONAL\$1DRUG\$1CODE | Sim | EUA |
| [Número de identificação nacional](mdis-reference-pii.md#mdis-reference-national-id) | Informações pessoais: PII | Dependendo do país ou região: ARGENTINA\$1DNI\$1NUMBER, BRAZIL\$1RG\$1NUMBER, CHILE\$1RUT\$1NUMBER, COLOMBIA\$1CITIZENSHIP\$1CARD\$1NUMBER, FRANCE\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, GERMANY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, INDIA\$1AADHAAR\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, MEXICO\$1CURP\$1NUMBER, SPAIN\$1DNI\$1NUMBER | Sim | Argentina, Brasil, Chile, Colômbia, França, Alemanha, Índia, Itália, México, Espanha |
| [Número do Seguro Nacional (NINO)](mdis-reference-pii.md#mdis-reference-NINO) | Informações pessoais: PII | UK\$1NATIONAL\$1INSURANCE\$1NUMBER | Sim | Reino Unido |
| [National Provider Identifier (NPI)](mdis-reference-phi.md#mdis-reference-NPI) | Informações pessoais: PHI | USA\$1NATIONAL\$1PROVIDER\$1IDENTIFIER | Sim | EUA |
| [Chave privada OpenSSH](mdis-reference-credentials.md#mdis-reference-OPENSSH_PRIVATE_KEY) | Credenciais | OPENSSH\$1PRIVATE\$1KEY | Não | Any |
| [Número de passaporte](mdis-reference-pii.md#mdis-reference-passport-num) | Informações pessoais: PII | Dependendo do país ou região: CANADA\$1PASSPORT\$1NUMBER, FRANCE\$1PASSPORT\$1NUMBER, GERMANY\$1PASSPORT\$1NUMBER, ITALY\$1PASSPORT\$1NUMBER, SPAIN\$1PASSPORT\$1NUMBER, UK\$1PASSPORT\$1NUMBER, USA\$1PASSPORT\$1NUMBER | Sim | Canadá, França, Alemanha, Itália, Espanha, Reino Unido, EUA |
| [Número de residência permanente](mdis-reference-pii.md#mdis-reference-permanent-residence-num) | Informações pessoais: PII | CANADA\$1NATIONAL\$1IDENTIFICATION\$1NUMBER | Sim | Canadá |
| [Chave privada PGP](mdis-reference-credentials.md#mdis-reference-PGP_PRIVATE_KEY) | Credenciais | PGP\$1PRIVATE\$1KEY | Não | Any |
| [Número de telefone](mdis-reference-pii.md#mdis-reference-phone-num) | Informações pessoais: PII | Dependendo do país ou região: BRAZIL\$1PHONE\$1NUMBER, FRANCE\$1PHONE\$1NUMBER, GERMANY\$1PHONE\$1NUMBER, ITALY\$1PHONE\$1NUMBER, PHONE\$1NUMBER (for Canada and the US), SPAIN\$1PHONE\$1NUMBER, UK\$1PHONE\$1NUMBER | Varia | Brasil, Canadá, França, Alemanha, Itália, Espanha, Reino Unido, EUA |
| [Chave privada do padrão de criptografia de chave pública (PKCS)](mdis-reference-credentials.md#mdis-reference-PKCS) | Credenciais | PKCS | Não | Any |
| [Número do cartão de transporte público](mdis-reference-pii.md#mdis-reference-public-transport-num) | Informações pessoais: PII | ARGENTINA\$1TARJETA\$1SUBE | Sim | Argentina |
| [Chave privada PuTTY](mdis-reference-credentials.md#mdis-reference-PUTTY_PRIVATE_KEY) | Credenciais | PUTTY\$1PRIVATE\$1KEY | Não | Any |
| [Número do Seguro Social (SIN)](mdis-reference-pii.md#mdis-reference-social-insurance-num) | Informações pessoais: PII | CANADA\$1SOCIAL\$1INSURANCE\$1NUMBER | Sim | Canadá |
| [Número da Previdência Social (SSN)](mdis-reference-pii.md#mdis-reference-social-security-num) | Informações pessoais: PII | Dependendo do país ou região: SPAIN\$1SOCIAL\$1SECURITY\$1NUMBER, USA\$1SOCIAL\$1SECURITY\$1NUMBER | Sim | Espanha, EUA |
| [Chave da API Stripe](mdis-reference-credentials.md#mdis-reference-Stripe_API_key) | Credenciais | STRIPE\$1CREDENTIALS | Não | Any |
| [Identificação do contribuinte ou número de referência](mdis-reference-pii.md#mdis-reference-taxpayer-num) | Informações pessoais: PII | Dependendo do país ou região: ARGENTINA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER, ARGENTINA\$1ORGANIZATION\$1TAX\$1IDENTIFICATION\$1NUMBER, AUSTRALIA\$1TAX\$1FILE\$1NUMBER, BRAZIL\$1CNPJ\$1NUMBER, BRAZIL\$1CPF\$1NUMBER, CHILE\$1RUT\$1NUMBER, COLOMBIA\$1INDIVIDUAL\$1NIT\$1NUMBER, COLOMBIA\$1ORGANIZATION\$1NIT\$1NUMBER, FRANCE\$1TAX\$1IDENTIFICATION\$1NUMBER, GERMANY\$1TAX\$1IDENTIFICATION\$1NUMBER, INDIA\$1PERMANENT\$1ACCOUNT\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, MEXICO\$1INDIVIDUAL\$1RFC\$1NUMBER, MEXICO\$1ORGANIZATION\$1RFC\$1NUMBER, SPAIN\$1NIE\$1NUMBER, SPAIN\$1NIF\$1NUMBER, SPAIN\$1TAX\$1IDENTIFICATION\$1NUMBER, UK\$1TAX\$1IDENTIFICATION\$1NUMBER, USA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER | Sim | Argentina, Austrália, Brasil, Chile, Colômbia, França, Alemanha, Índia, Itália, México, Espanha, Reino Unido, EUA |
| [Identificador exclusivo de dispositivo (UDI)](mdis-reference-phi.md#mdis-reference-UDI) | Informações pessoais: PHI | MEDICAL\$1DEVICE\$1UDI | Sim | EUA |
| [Número de identificação de veículo (VIN)](mdis-reference-pii.md#mdis-reference-vin) | Informações pessoais: PII | VEHICLE\$1IDENTIFICATION\$1NUMBER | Sim | Qualquer um, se o VIN estiver próximo a uma palavra-chave em um dos seguintes idiomas: inglês, francês, alemão, lituano, polonês, português, romeno ou espanhol |
# Identificadores de dados gerenciados para dados de credenciais
O Amazon Macie pode detectar vários tipos de dados de credenciais confidenciais usando identificadores de dados gerenciados. Os tópicos desta página especificam cada tipo e fornecem informações sobre o identificador de dados gerenciados projetado para detectar os dados. Cada tópico fornece as seguintes informações:
+ **ID do identificador de dados gerenciado** — especifica o identificador exclusivo (ID) do identificador de dados gerenciados projetado para detectar os dados. Ao [criar um trabalho de descoberta de dados confidenciais](discovery-jobs-create.md) ou [definir as configurações de descobertas automatizadas de dados confidenciais](discovery-asdd-account-configure.md), você pode usar esse ID para especificar se quer que o Macie use o identificador de dados gerenciados quando ele analisar os dados.
+ **Países e regiões compatíveis** — indica para quais países ou regiões os identificadores de dados gerenciados pertinentes foram projetados. Se o identificador de dados gerenciados não for projetado para determinados países ou regiões, esse valor será *Qualquer*.
+ **Palavra-chave obrigatória** — especifica se a detecção exige que uma palavra-chave esteja próxima aos dados. Se uma palavra-chave for necessária, o tópico também fornecerá exemplos de palavras-chave obrigatórias. Para obter informações sobre como o Macie usa palavras-chave ao analisar dados, consulte [Requisitos de palavras-chave](managed-data-identifiers-keywords.md).
+ **Comentários** — Fornece todos os detalhes relevantes que possam afetar sua selecione de identificador de dados gerenciados ou sua investigação sobre ocorrências relatadas de dados confidenciais. Os detalhes incluem informações como padrões suportados, requisitos de sintaxe e exceções.
Os tópicos são listados em ordem alfabética por tipo de dados confidenciais.
**Topics**
+ [AWS chave de acesso secreta](#mdis-reference-AWS-CREDENTIALS)
+ [Chave da API do Google Cloud](#mdis-reference-GCP-API-key)
+ [Cabeçalho de autorização básica HTTP](#mdis-reference-HTTP_BASIC_AUTH_HEADER)
+ [JSON Web Token (JWT)](#mdis-reference-JSON_WEB_TOKEN)
+ [Chave privada OpenSSH](#mdis-reference-OPENSSH_PRIVATE_KEY)
+ [Chave privada PGP](#mdis-reference-PGP_PRIVATE_KEY)
+ [Chave privada do padrão de criptografia de chave pública (PKCS)](#mdis-reference-PKCS)
+ [Chave privada PuTTY](#mdis-reference-PUTTY_PRIVATE_KEY)
+ [Chave da API Stripe](#mdis-reference-Stripe_API_key)
## AWS chave de acesso secreta
**ID de dados gerenciados: ** AWS\$1CREDENTIALS
**Países e regiões compatíveis:** qualquer um
**Palavra-chave obrigatória:** Sim. As palavras-chave incluem: *aws\$1secret\$1access\$1key, credentials, secret access key, secret key, set-awscredential*
**Comentários:** o Macie não relata ocorrências das seguintes sequências de caracteres, que são comumente usadas como exemplos fictícios: `je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY` e `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`.
## Chave da API do Google Cloud
**ID do identificador de dados gerenciados:** GCP\$1API\$1KEY
**Países e regiões compatíveis:** qualquer um
**Palavra-chave obrigatória:** Sim. As palavras-chave incluem: *G\$1PLACES\$1KEY, GCP api key, GCP key, google cloud key, google-api-key, google-cloud-apikeys, GOOGLEKEY, X-goog-api-key*
**Comentários:** o Macie pode detectar somente o componente string (`keyString`) de uma chave de API do Google Cloud. O suporte não inclui a detecção do componente ID ou nome de exibição de uma chave de API do Google Cloud.
## Cabeçalho de autorização básica HTTP
**ID do identificador de dados gerenciados:** HTTP\$1BASIC\$1AUTH\$1HEADER
**Países e regiões compatíveis:** qualquer um
**Palavra-chave obrigatória:** não.
**Comentários:** a detecção requer um cabeçalho completo, incluindo o nome do campo e a diretiva do esquema de autenticação, conforme especificado pela [RFC 7617](https://tools.ietf.org/html/rfc7617). Por exemplo: `Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==` e `Proxy-Authorization: Basic dGVzdDoxMjPCow==`.
## JSON Web Token (JWT)
**ID do identificador de dados gerenciados:** JSON\$1WEB\$1TOKEN
**Países e regiões compatíveis:** qualquer um
**Palavra-chave obrigatória:** Não
**Comentários:** O Macie pode detectar JSON Web Tokens (JWTs) que estejam em conformidade com os requisitos especificados pela [RFC 7519](https://tools.ietf.org/html/rfc7519) para estruturas de assinatura web JSON (JWS). Os tokens podem ser assinados ou não assinados.
## Chave privada OpenSSH
**ID do identificador de dados gerenciados:** OPENSSH\$1PRIVATE\$1KEY
**Países e regiões compatíveis:** qualquer um
**Palavra-chave obrigatória:** não.
**Comentários:** nenhum
## Chave privada PGP
**ID do identificador de dados gerenciados:** PGP\$1PRIVATE\$1KEY
**Países e regiões compatíveis:** qualquer um
**Palavra-chave obrigatória:** não.
**Comentários:** nenhum
## Chave privada do padrão de criptografia de chave pública (PKCS)
**ID do identificador de dados gerenciados:** PKCS
**Países e regiões compatíveis:** qualquer um
**Palavra-chave obrigatória:** não.
**Comentários:** nenhum
## Chave privada PuTTY
**ID do identificador de dados gerenciados:** PUTTY\$1PRIVATE\$1KEY
**Países e regiões compatíveis:** qualquer um
**Palavra-chave obrigatória:** Não
**Comentários:** o Macie pode detectar chaves privadas PuTTY que usam os seguintes cabeçalhos e sequência de cabeçalhos padrão: `PuTTY-User-Key-File`, `Encryption`, `Comment`, `Public-Lines`, `Private-Lines` e `Private-MAC`. Os valores do cabeçalho podem conter caracteres alfanuméricos, hifens (`‐`) e caracteres de nova linha (`\n` ou `\r`). Os valores `Public-Lines` e `Private-Lines` também podem conter barras (`/`), sinais de adição (`+`) e sinais de igualdade (`=`). Os valores `Private-MAC` também podem conter sinais de adição (`+`). O suporte não inclui a detecção de chaves privadas com valores de cabeçalho que contenham outros caracteres, como espaços ou sublinhados (`_`). O suporte também não inclui a detecção de chaves privadas que incluem cabeçalhos personalizados.
## Chave da API Stripe
**ID do identificador de dados gerenciados:** STRIPE\$1CREDENTIALS
**Países e regiões compatíveis:** qualquer um
**Palavra-chave obrigatória:** não.
**Comentários:** o Macie não relata ocorrências das seguintes sequências de caracteres, que são comumente usadas em exemplos de código do Stripe: `sk_test_4eC39HqLyjWDarjtT1zdp7dc` e `pk_test_TYooMQauvdEDq54NiTphI7jx`.
# Identificadores de dados gerenciados para informações financeiras
O Amazon Macie pode detectar vários tipos de informações financeiras confidenciais usando identificadores de dados gerenciados. Os tópicos desta página listam cada tipo e fornecem informações sobre os identificadores de dados gerenciados projetados para detectar os dados. Cada tópico fornece as seguintes informações:
+ **ID do identificador de dados gerenciado** — Especifica o identificador exclusivo (ID) de um ou mais identificadores de dados gerenciados projetados para detectar os dados. Ao [criar um trabalho de descoberta de dados confidenciais](discovery-jobs-create.md) ou [definir configurações para descoberta automatizada de dados confidenciais](discovery-asdd-account-configure.md), você pode usá-los IDs para especificar quais identificadores de dados gerenciados você deseja que o Macie use ao analisar dados.
+ **Países e regiões compatíveis** — Indica para quais países e regiões os identificadores de dados gerenciados aplicáveis foram projetados. Se os identificadores de dados gerenciados não forem projetados para determinados países ou regiões, esse valor será *Qualquer*.
+ **Palavra-chave obrigatória** — Especifica se a detecção exige que uma palavra-chave esteja próxima aos dados. Se uma palavra-chave for necessária, o tópico também fornecerá exemplos de palavras-chave obrigatórias. Para obter informações sobre como o Macie usa palavras-chave ao analisar dados, consulte [Requisitos de palavras-chave](managed-data-identifiers-keywords.md).
+ **Comentários** — Fornece todos os detalhes relevantes que possam afetar sua selecione de identificador de dados gerenciados ou sua investigação sobre ocorrências relatadas de dados confidenciais. Os detalhes incluem informações como padrões suportados, requisitos de sintaxe e exceções.
Os tópicos são listados em ordem alfabética por tipo de dados confidenciais.
**Topics**
+ [Número de conta bancária](#mdis-reference-BAN)
+ [Número básico da conta bancária (BBAN)](#mdis-reference-BBAN)
+ [Data de validade do cartão de crédito](#mdis-reference-CC-expiration)
+ [Dados da tarja magnética do cartão de crédito](#mdis-reference-CC-stripe)
+ [Números de cartão de crédito](#mdis-reference-CC-number)
+ [Código de verificação do cartão de crédito](#mdis-reference-CC-verification-code)
+ [Número internacional de conta bancária (IBAN)](#mdis-reference-IBAN)
## Número de conta bancária
O Macie pode detectar números de contas bancárias canadenses e norte-americanas que consistem em sequências de 9 a 17 dígitos e não contêm espaços.
**ID do identificador de dados gerenciados:** BANK\$1ACCOUNT\$1NUMBER
**Países e regiões compatíveis:** Canadá, EUA
**Palavra-chave obrigatória:** sim. As palavras-chave incluem: *bank account, bank acct, checking account, checking acct, deposit account, deposit acct, savings account, savings acct, chequing account, chequing acct*
**Comentários:** esse identificador de dados gerenciados foi projetado explicitamente para detectar números de contas bancárias no Canadá e nos EUA. Esses países não usam os formatos de número básico de contas bancárias (BBAN) ou de número internacional de contas bancárias (IBAN) definidos pelo padrão internacional ISO para numeração de contas bancárias, conforme especificado pela [ISO 13616](https://www.iso.org/standard/81090.html). Para detectar números de contas bancárias em outros países e regiões, use os identificadores de dados gerenciados projetados para esses formatos. Para obter mais informações, consulte [Número básico da conta bancária (BBAN)](#mdis-reference-BBAN) e [Número internacional de conta bancária (IBAN)](#mdis-reference-IBAN).
## Número básico da conta bancária (BBAN)
[O Macie pode detectar números básicos de contas bancárias (BBANs) que estão em conformidade com a estrutura BBAN definida pelo padrão internacional ISO para numeração de contas bancárias, conforme especificado pela ISO 13616.](https://www.iso.org/standard/81090.html) Isso inclui BBANs aqueles que não contêm espaços nem usam separadores de espaço ou hífen, por exemplo,, e. `NWBK60161331926819` `NWBK 6016 1331 9268 19` `NWBK-6016-1331-9268-19`
**ID do identificador de dados gerenciados:** dependendo do país ou região, FRANCE\$1BANK\$1ACCOUNT\$1NUMBER, GERMANY\$1BANK\$1ACCOUNT\$1NUMBER, ITALY\$1BANK\$1ACCOUNT\$1NUMBER, SPAIN\$1BANK\$1ACCOUNT\$1NUMBER, UK\$1BANK\$1ACCOUNT\$1NUMBER
**Países e regiões compatíveis** França, Alemanha, Itália, Espanha, Reino Unido
**Palavra-chave obrigatória:** sim. A tabela a seguir lista as palavras-chave que o Macie reconhece para países e regiões específicos.
| País ou região | Palavras-chave |
| --- | --- |
| França | account code, account number, accountno\$1, accountnumber\$1, bban, code bancaire, compte bancaire, customer account id, customer account number, customer bank account id, iban, numéro de compte |
| Alemanha | account code, account number, accountno\$1, accountnumber\$1, bankleitzahl, bban, customer account id, customer account number, customer bank account id, geheimzahl, iban, kartennummer, kontonummer, kreditkartennummer, sepa |
| Itália | account code, account number, accountno\$1, accountnumber\$1, bban, codice bancario, conto bancario, customer account id, customer account number, customer bank account id, iban, numero di conto |
| Espanha | account code, account number, accountno\$1, accountnumber\$1, bban, código cuenta, código cuenta bancaria, cuenta cliente id, customer account ID, customer account number, customer bank account id, iban, número cuenta bancaria cliente, número cuenta cliente |
| Reino Unido | account code, account number, accountno\$1, accountnumber\$1, bban, customer account id, customer account number, customer bank account id, iban, sepa |
**Comentários:** Esses identificadores de dados gerenciados também podem detectar números de contas bancárias internacionais (IBANs) que estejam em conformidade com o padrão ISO 13616. Para obter mais informações, consulte [Número internacional de conta bancária (IBAN)](#mdis-reference-IBAN). O identificador de dados gerenciados para o Reino Unido (UK\$1BANK\$1ACCOUNT\$1NUMBER) também pode detectar números de contas bancárias domésticas no Reino Unido, como, por exemplo, `60-16-13 31926819`.
## Data de validade do cartão de crédito
**ID do identificador de dados gerenciados:** CREDIT\$1CARD\$1EXPIRATION
**Países e regiões compatíveis:** qualquer um
**Palavra-chave obrigatória:** Sim. As palavras-chave incluem: *exp d, exp m, exp y, expiration, expiry*
**Comentários:** o suporte inclui a maioria dos formatos de data, como todos os dígitos e combinações de dígitos e nomes de meses. Os componentes de data podem ser separados por barras (/), hífens (‐) ou palavras-chave pertinentes. Por exemplo, o Macie pode detectar datas do tipo `02/26`, `02/2026`, `Feb 2026`, `26-Feb` e `expY=2026, expM=02`.
## Dados da tarja magnética do cartão de crédito
**ID do identificador de dados gerenciados:** CREDIT\$1CARD\$1MAGNETIC\$1STRIPE
**Países e regiões compatíveis:** qualquer um
**Palavra-chave obrigatória:** Sim. As palavras-chave incluem: *card data, iso7813, mag, magstripe, stripe, swipe*
**Comentários:** o suporte inclui as faixas 1 e 2.
## Números de cartão de crédito
**ID do identificador de dados gerenciados:** CREDIT\$1CARD\$1NUMBER para números de cartão de crédito próximos a uma palavra-chave, CREDIT\$1CARD\$1NUMBER\$1(NO\$1KEYWORD) para números de cartão de crédito que não estão próximos a uma palavra-chave
**Países e regiões compatíveis:** qualquer
**Palavra-chave necessária:** varia. As palavras-chave são obrigatórias para o identificador de dados gerenciados CREDIT\$1CARD\$1NUMBER. As palavras-chave incluem: *account number, american express, amex, bank card, c card, card, cc \$1, ccn, check card, cred card, credit, credit card, credit cards, credit no, credit num, dankort, debit, debit card, debit no, debit num, diners club, discover, electron, japanese card bureau, jcb, mastercard, mc, pan, payment account number, payment card number, pcn, pmnt \$1, pmnt card, pmnt no, pmnt number, union pay, visa*. As palavras-chave não são necessárias para o identificador de dados gerenciados CREDIT\$1CARD\$1NUMBER\$1(NO\$1KEYWORD).
**Comentários:** A detecção exige que os dados sejam uma sequência de 13 a 19 dígitos que siga a fórmula de cheque de Luhn e use um prefixo de número de cartão padrão para qualquer um dos seguintes tipos de cartão de crédito: American Express, Dankort, Diner's Club, Discover, Electron, Japanese Card Bureau (JCB), Mastercard e Visa. UnionPay
O Macie não relata ocorrências das seguintes sequências, que as operadoras de cartão de crédito reservaram para testes públicos: `122000000000003`, `2222405343248877`, `2222990905257051`, `2223007648726984`, `2223577120017656`, `30569309025904`, `34343434343434`, `3528000700000000`, `3530111333300000`, `3566002020360505`, `36148900647913`, `36700102000000`, `371449635398431`, `378282246310005`, `378734493671000`, `38520000023237`, `4012888888881881`, `4111111111111111`, `4222222222222`, `4444333322221111`, `4462030000000000`, `4484070000000000`, `4911830000000`, `4917300800000000`, `4917610000000000`, `4917610000000000003`, `5019717010103742`, `5105105105105100`, `5111010030175156`, `5185540810000019`, `5200828282828210`, `5204230080000017`, `5204740009900014`, `5420923878724339`, `5454545454545454`, `5455330760000018`, `5506900490000436`, `5506900490000444`, `5506900510000234`, `5506920809243667`, `5506922400634930`, `5506927427317625`, `5553042241984105`, `5555553753048194`, `5555555555554444`, `5610591081018250`, `6011000990139424`, `6011000400000000`, `6011111111111117`, `630490017740292441`, `630495060000000000`, `6331101999990016`, `6759649826438453`, `6799990100000000019` e `76009244561`.
## Código de verificação do cartão de crédito
**ID do identificador de dados gerenciados:** CREDIT\$1CARD\$1SECURITY\$1CODE
**Países e regiões compatíveis:** qualquer um
**Palavra-chave obrigatória:** Sim. As palavras-chave incluem: *card id, card identification code, card identification number, card security code, card validation code, card validation number, card verification data, card verification value, cvc, cvc2, cvv, cvv2, elo verification code*
**Comentários:** nenhum
## Número internacional de conta bancária (IBAN)
O Macie pode detectar números de contas bancárias internacionais (IBANs) que consistem em até 34 caracteres alfanuméricos, incluindo elementos como o código do país. Mais especificamente, o Macie pode detectar IBANs que estão em conformidade com o padrão internacional ISO para numeração de contas bancárias, conforme especificado pela [ISO](https://www.iso.org/standard/81090.html) 13616. Isso inclui IBANs aqueles que não contêm espaços nem usam separadores de espaço ou hífen, por exemplo,, e. `GB29NWBK60161331926819` `GB29 NWBK 6016 1331 9268 19` `GB29-NWBK-6016-1331-9268-19` A detecção inclui verificações de validação com base no esquema Modulus 97.
**ID do identificador de dados gerenciados:** dependendo do país ou região, ALBANIA\$1BANK\$1ACCOUNT\$1NUMBER, ANDORRA\$1BANK\$1ACCOUNT\$1NUMBER, BOSNIA\$1AND\$1HERZEGOVINA\$1BANK\$1ACCOUNT\$1NUMBER, BRAZIL\$1BANK\$1ACCOUNT\$1NUMBER, BULGARIA\$1BANK\$1ACCOUNT\$1NUMBER, COSTA\$1RICA\$1BANK\$1ACCOUNT\$1NUMBER, CROATIA\$1BANK\$1ACCOUNT\$1NUMBER, CYPRUS\$1BANK\$1ACCOUNT\$1NUMBER, CZECH\$1REPUBLIC\$1BANK\$1ACCOUNT\$1NUMBER, DENMARK\$1BANK\$1ACCOUNT\$1NUMBER, DOMINICAN\$1REPUBLIC\$1BANK\$1ACCOUNT\$1NUMBER, EGYPT\$1BANK\$1ACCOUNT\$1NUMBER, ESTONIA\$1BANK\$1ACCOUNT\$1NUMBER, FAROE\$1ISLANDS\$1BANK\$1ACCOUNT\$1NUMBER, FINLAND\$1BANK\$1ACCOUNT\$1NUMBER, FRANCE\$1BANK\$1ACCOUNT\$1NUMBER, GEORGIA\$1BANK\$1ACCOUNT\$1NUMBER, GERMANY\$1BANK\$1ACCOUNT\$1NUMBER, GREECE\$1BANK\$1ACCOUNT\$1NUMBER, GREENLAND\$1BANK\$1ACCOUNT\$1NUMBER, HUNGARY\$1BANK\$1ACCOUNT\$1NUMBER, ICELAND\$1BANK\$1ACCOUNT\$1NUMBER, IRELAND\$1BANK\$1ACCOUNT\$1NUMBER, ITALY\$1BANK\$1ACCOUNT\$1NUMBER, JORDAN\$1BANK\$1ACCOUNT\$1NUMBER, KOSOVO\$1BANK\$1ACCOUNT\$1NUMBER, LIECHTENSTEIN\$1BANK\$1ACCOUNT\$1NUMBER, LITHUANIA\$1BANK\$1ACCOUNT\$1NUMBER, MALTA\$1BANK\$1ACCOUNT\$1NUMBER, MAURITANIA\$1BANK\$1ACCOUNT\$1NUMBER, MAURITIUS\$1BANK\$1ACCOUNT\$1NUMBER, MONACO\$1BANK\$1ACCOUNT\$1NUMBER, MONTENEGRO\$1BANK\$1ACCOUNT\$1NUMBER, NETHERLANDS\$1BANK\$1ACCOUNT\$1NUMBER, NORTH\$1MACEDONIA\$1BANK\$1ACCOUNT\$1NUMBER, POLAND\$1BANK\$1ACCOUNT\$1NUMBER, PORTUGAL\$1BANK\$1ACCOUNT\$1NUMBER, SAN\$1MARINO\$1BANK\$1ACCOUNT\$1NUMBER, SENEGAL\$1BANK\$1ACCOUNT\$1NUMBER, SERBIA\$1BANK\$1ACCOUNT\$1NUMBER, SLOVAKIA\$1BANK\$1ACCOUNT\$1NUMBER, SLOVENIA\$1BANK\$1ACCOUNT\$1NUMBER, SPAIN\$1BANK\$1ACCOUNT\$1NUMBER, SWEDEN\$1BANK\$1ACCOUNT\$1NUMBER, SWITZERLAND\$1BANK\$1ACCOUNT\$1NUMBER, TIMOR\$1LESTE\$1BANK\$1ACCOUNT\$1NUMBER, TUNISIA\$1BANK\$1ACCOUNT\$1NUMBER, TURKIYE\$1BANK\$1ACCOUNT\$1NUMBER, UK\$1BANK\$1ACCOUNT\$1NUMBER, UKRAINE\$1BANK\$1ACCOUNT\$1NUMBER, UNITED\$1ARAB\$1EMIRATES\$1BANK\$1ACCOUNT\$1NUMBER, VIRGIN\$1ISLANDS\$1BANK\$1ACCOUNT\$1NUMBER (para as Ilhas Virgens Britânicas)
**Países e regiões compatíveis:** Albânia, Andorra, Bósnia-Herzegovina, Brasil, Bulgária, Costa Rica, Croácia, Chipre, República Checa, Dinamarca, República Dominicana, Egito, Estónia, Ilhas Faroé, Finlândia, França, Geórgia, Alemanha, Grécia, Groelândia, Hungria, Islândia, Irlanda, Itália, Jordânia, Kosovo, Liechtenstein, Lituânia, Malta, Mauritânia, Maurícias, Mónaco, Montenegro, Países Baixos, Macedônia do Norte, Polónia, Portugal, São Marino, Senegal, Sérvia, Eslováquia, Eslovênia, Espanha, Suécia, Suíça, Timor-Leste, Tunísia, Turquia, Reino Unido, Ucrânia, Emirados Árabes Unidos, Ilhas Virgens (Britânicas)
**Palavra-chave obrigatória:** não
**Comentários:** Os identificadores de dados gerenciados da França, Alemanha, Itália, Espanha e Reino Unido também podem detectar números básicos de contas bancárias BBANs () que estejam em conformidade com a estrutura BBAN definida pelo padrão ISO 13616, se a sequência de caracteres estiver próxima a uma palavra-chave. Para obter mais informações, consulte [Número básico da conta bancária (BBAN)](#mdis-reference-BBAN).
# Identificadores de dados gerenciados para PHI
O Amazon Macie pode detectar vários tipos de informações pessoais de saúde (PHI) confidenciais usando identificadores de dados gerenciados. Os tópicos desta página especificam cada tipo e fornecem informações sobre o identificador de dados gerenciados projetado para detectar os dados. Cada tópico fornece as seguintes informações:
+ **ID do identificador de dados gerenciado** — especifica o identificador exclusivo (ID) do identificador de dados gerenciados projetado para detectar os dados. Ao [criar um trabalho de descoberta de dados confidenciais](discovery-jobs-create.md) ou [definir as configurações de descobertas automatizadas de dados confidenciais](discovery-asdd-account-configure.md), você pode usar esse ID para especificar se quer que o Macie use o identificador de dados gerenciados quando ele analisar os dados.
+ **Países e regiões compatíveis** — indica para quais países ou regiões os identificadores de dados gerenciados pertinentes foram projetados. Se o identificador de dados gerenciados não for projetado para determinados países ou regiões, esse valor será *Qualquer*.
+ **Palavra-chave obrigatória** — especifica se a detecção exige que uma palavra-chave esteja próxima aos dados. Se uma palavra-chave for necessária, o tópico também fornecerá exemplos de palavras-chave obrigatórias. Para obter informações sobre como o Macie usa palavras-chave ao analisar dados, consulte [Requisitos de palavras-chave](managed-data-identifiers-keywords.md).
+ **Comentários** — Fornece todos os detalhes relevantes que possam afetar sua selecione de identificador de dados gerenciados ou sua investigação sobre ocorrências relatadas de dados confidenciais. Os detalhes incluem informações como padrões suportados, requisitos de sintaxe e exceções.
Os tópicos são listados em ordem alfabética por tipo de dados confidenciais.
**Topics**
+ [Número de registro da Agência Antidrogas (DEA)](#mdis-reference-DEA-registration-num)
+ [Número de solicitação de seguro saúde (HICN)](#mdis-reference-HICN)
+ [Número de identificação médica ou do seguro de saúde](#mdis-reference-HI-ID)
+ [Código do Healthcare Common Procedure Coding System (HCPCS)](#mdis-reference-HCPCS)
+ [National Drug Code (NDC)](#mdis-reference-NDC)
+ [National Provider Identifier (NPI)](#mdis-reference-NPI)
+ [Identificador exclusivo de dispositivo (UDI)](#mdis-reference-UDI)
## Número de registro da Agência Antidrogas (DEA)
**ID do identificador de dados gerenciados:** US\$1DRUG\$1ENFORCEMENT\$1AGENCY\$1NUMBER
**Países e regiões compatíveis:** EUA
**Palavra-chave obrigatória:** Sim. As palavras-chave incluem: *dea number, dea registration*
**Comentários:** nenhum
## Número de solicitação de seguro saúde (HICN)
**ID do identificador de dados gerenciados:** USA\$1HEALTH\$1INSURANCE\$1CLAIM\$1NUMBER
**Países e regiões compatíveis:** EUA
**Palavra-chave obrigatória:** Sim. As palavras-chave incluem: *health insurance claim number, hic no, hic no., hic number, hic\$1, hicn, hicn\$1., hicno\$1*
**Comentários:** nenhum
## Número de identificação médica ou do seguro de saúde
O suporte inclui números do Cartão Europeu de Plano Saúde para a UE e a Finlândia, números de planos saúde para a França, identificadores de beneficiários do Medicare para os EUA, números do NHS para o Reino Unido e números pessoais de saúde para o Canadá.
**ID do identificador de dados gerenciados:** dependendo do país ou região, CANADA\$1HEALTH\$1NUMBER, EUROPEAN\$1HEALTH\$1INSURANCE\$1CARD\$1NUMBER, FINLAND\$1EUROPEAN\$1HEALTH\$1INSURANCE\$1NUMBER, FRANCE\$1HEALTH\$1INSURANCE\$1NUMBER, UK\$1NHS\$1NUMBER, USA\$1MEDICARE\$1BENEFICIARY\$1IDENTIFIER
**Países e regiões que recebem suporte:** Canadá, UE, Finlândia, França, Reino Unido, EUA
**Palavra-chave obrigatória:** Sim. A tabela a seguir lista as palavras-chave que o Macie reconhece para países e regiões específicos.
| País ou região | Palavras-chave |
| --- | --- |
| Canadá | canada healthcare number, msp number, personal healthcare number, phn, soins de santé |
| UE | assicurazione sanitaria numero, carta assicurazione numero, carte d’assurance maladie, carte européenne d'assurance maladie, ceam, ehic, ehic\$1, finlandehicnumber\$1, gesundheitskarte, hälsokort, health card, health card number, health insurance card, health insurance number, insurance card number, krankenversicherungskarte, krankenversicherungsnummer, medical account number, numero conto medico, numéro d’assurance maladie, numéro de carte d’assurance, numéro de compte medical, número de cuenta médica, número de seguro de salud, número de tarjeta de seguro, sairaanhoitokortin, sairausvakuutuskortti, sairausvakuutusnumero, sjukförsäkring nummer, sjukförsäkringskort, suomi ehic-numero, tarjeta de salud, terveyskortti, tessera sanitaria assicurazione numero, versicherungsnummer |
| Finlândia | ehic, ehic\$1, finland health insurance card, finlandehicnumber\$1, finska sjukförsäkringskort, hälsokort, health card, health card number, health insurance card, health insurance number, sairaanhoitokortin, sairaanhoitokortin, sairausvakuutuskortti, sairausvakuutusnumero, sjukförsäkring nummer, sjukförsäkringskort, suomen sairausvakuutuskortti, suomi ehic-numero, terveyskortti |
| França | carte d'assuré social, carte vitale, insurance card |
| Reino Unido | national health service, NHS |
| EUA | mbi, medicare beneficiary |
**Comentários:** nenhum
## Código do Healthcare Common Procedure Coding System (HCPCS)
**ID do identificador de dados gerenciados:** USA\$1HEALTHCARE\$1PROCEDURE\$1CODE
**Países e regiões compatíveis:** EUA
**Palavra-chave obrigatória:** Sim. As palavras-chave incluem: *current procedural terminology, hcpcs, healthcare common procedure coding system*
**Comentários:** nenhum
## National Drug Code (NDC)
**ID do identificador de dados gerenciados:** USA\$1NATIONAL\$1DRUG\$1CODE
**Países e regiões compatíveis:** EUA
**Palavra-chave obrigatória:** Sim. As palavras-chave incluem: *national drug code, ndc*
**Comentários:** nenhum
## National Provider Identifier (NPI)
**ID do identificador de dados gerenciados:** USA\$1NATIONAL\$1PROVIDER\$1IDENTIFIER
**Países e regiões compatíveis:** EUA
**Palavra-chave obrigatória:** Sim. As palavras-chave incluem: *hipaa, n.p.i, national provider, npi*
**Comentários:** nenhum
## Identificador exclusivo de dispositivo (UDI)
**ID do identificador de dados gerenciados:** MEDICAL\$1DEVICE\$1UDI
**Países e regiões compatíveis:** EUA
**Palavra-chave obrigatória:** Sim. As palavras-chave incluem: *blood, blood bag, dev id, device id, device identifier, gs1, hibcc, iccbba, med, udi, unique device id, unique device identifier*
**Comentários:** O Macie pode detectar identificadores exclusivos de dispositivos (UDIs) que estão em conformidade com os formatos aprovados pela Food and Drug Administration dos EUA. Isso inclui formatos padrão definidos por GS1, HIBCC e ICCBBA. O suporte do ICCBA é para o padrão ISBT.
# Identificadores de dados gerenciados para PHI
O Amazon Macie pode detectar vários tipos de informações de identificação pessoal (PII) confidenciais usando identificadores de dados gerenciados. Os tópicos desta página listam cada tipo e fornecem informações sobre os identificadores de dados gerenciados projetados para detectar os dados. Cada tópico fornece as seguintes informações:
+ **ID do identificador de dados gerenciado** — Especifica o identificador exclusivo (ID) de um ou mais identificadores de dados gerenciados projetados para detectar os dados. Ao [criar um trabalho de descoberta de dados confidenciais](discovery-jobs-create.md) ou [definir configurações para descoberta automática de dados confidenciais](discovery-asdd-account-configure.md), você pode usá-los IDs para especificar quais identificadores de dados gerenciados você deseja que o Macie use ao analisar dados.
+ **Países e regiões compatíveis** — indica para quais países e regiões os identificadores de dados gerenciados aplicáveis foram projetados. Se os identificadores de dados gerenciados não forem projetados para determinados países ou regiões, esse valor será *Qualquer*.
+ **Palavra-chave obrigatória** — Especifica se a detecção exige que uma palavra-chave esteja próxima aos dados. Se uma palavra-chave for necessária, o tópico também fornecerá exemplos de palavras-chave obrigatórias. Para obter informações sobre como o Macie usa palavras-chave ao analisar dados, consulte [Requisitos de palavras-chave](managed-data-identifiers-keywords.md).
+ **Comentários** — Fornece todos os detalhes relevantes que possam afetar sua selecione de identificador de dados gerenciados ou sua investigação sobre ocorrências relatadas de dados confidenciais. Os detalhes incluem informações como padrões suportados, requisitos de sintaxe e exceções.
Os tópicos são listados em ordem alfabética por tipo de dados confidenciais.
**Topics**
+ [Datas de nascimento](#mdis-reference-DATE_OF_BIRTH)
+ [Número de identificação da carteira de habilitação](#mdis-reference-DL-num)
+ [Número de registro eleitoral](#mdis-reference-electoral-roll-num)
+ [Nome completo](#mdis-reference-full-name)
+ [Coordenadas do sistema de posicionamento global (GPS)](#mdis-reference-GPS)
+ [Cookie HTTP](#mdis-reference-HTTP_COOKIE)
+ [Endereço postal](#mdis-reference-mailing-address)
+ [Número de identificação nacional](#mdis-reference-national-id)
+ [Número do Seguro Nacional (NINO)](#mdis-reference-NINO)
+ [Número de passaporte](#mdis-reference-passport-num)
+ [Número de residência permanente](#mdis-reference-permanent-residence-num)
+ [Número de telefone](#mdis-reference-phone-num)
+ [Número do cartão de transporte público](#mdis-reference-public-transport-num)
+ [Número do Seguro Social (SIN)](#mdis-reference-social-insurance-num)
+ [Número da Previdência Social (SSN)](#mdis-reference-social-security-num)
+ [Identificação do contribuinte ou número de referência](#mdis-reference-taxpayer-num)
+ [Número de identificação de veículo (VIN)](#mdis-reference-vin)
## Datas de nascimento
**ID de dados gerenciados: ** DATE\$1OF\$1BIRTH
**Países e regiões compatíveis:** qualquer um
**Palavra-chave obrigatória:** Sim. As palavras-chave incluem: *bday, b-day, birth date, birthday, date of birth, dob*
**Comentários:** o suporte inclui a maioria dos formatos de data, como todos os dígitos e combinações de dígitos e nomes de meses. Os componentes de data podem ser separados por espaços, barras (/) ou hifens (‐).
## Número de identificação da carteira de habilitação
**ID do identificador de dados gerenciados:** dependendo do país ou região, AUSTRALIA\$1DRIVERS\$1LICENSE, AUSTRIA\$1DRIVERS\$1LICENSE, BELGIUM\$1DRIVERS\$1LICENSE, BULGARIA\$1DRIVERS\$1LICENSE, CANADA\$1DRIVERS\$1LICENSE, CROATIA\$1DRIVERS\$1LICENSE, CYPRUS\$1DRIVERS\$1LICENSE, CZECHIA\$1DRIVERS\$1LICENSE, DENMARK\$1DRIVERS\$1LICENSE, DRIVERS\$1LICENSE (for the US), ESTONIA\$1DRIVERS\$1LICENSE, FINLAND\$1DRIVERS\$1LICENSE, FRANCE\$1DRIVERS\$1LICENSE, GERMANY\$1DRIVERS\$1LICENSE, GREECE\$1DRIVERS\$1LICENSE, HUNGARY\$1DRIVERS\$1LICENSE, INDIA\$1DRIVERS\$1LICENSE, IRELAND\$1DRIVERS\$1LICENSE, ITALY\$1DRIVERS\$1LICENSE, LATVIA\$1DRIVERS\$1LICENSE, LITHUANIA\$1DRIVERS\$1LICENSE, LUXEMBOURG\$1DRIVERS\$1LICENSE, MALTA\$1DRIVERS\$1LICENSE, NETHERLANDS\$1DRIVERS\$1LICENSE, POLAND\$1DRIVERS\$1LICENSE, PORTUGAL\$1DRIVERS\$1LICENSE, ROMANIA\$1DRIVERS\$1LICENSE, SLOVAKIA\$1DRIVERS\$1LICENSE, SLOVENIA\$1DRIVERS\$1LICENSE, SPAIN\$1DRIVERS\$1LICENSE, SWEDEN\$1DRIVERS\$1LICENSE, UK\$1DRIVERS\$1LICENSE
**Países e regiões compatíveis:** Austrália, Áustria, Bélgica, Bulgária, Canadá, Croácia, Chipre, República Checa, Dinamarca, Estónia, Finlândia, França, Alemanha, Grécia, Hungria, Índia, Irlanda, Itália, Letónia, Lituânia, Luxemburgo, Malta, Países Baixos, Polónia, Portugal , Romênia, Eslováquia, Eslovênia, Espanha, Suécia, Reino Unido, EUA
**Palavra-chave obrigatória:** Sim. A tabela a seguir lista as palavras-chave que o Macie reconhece para países e regiões específicos.
| País ou região | Palavras-chave |
| --- | --- |
| Austrália | dl\$1, dl:, dlno\$1, driver licence, driver license, driver permit, drivers lic., drivers licence, driver's licence, drivers license, driver's license, drivers permit, driver's permit, drivers permit number, driving licence, driving license, driving permit |
| Áustria | führerschein, fuhrerschein, führerschein republik österreich, fuhrerschein republik osterreich |
| Bélgica | fuehrerschein, fuehrerschein- nr, fuehrerscheinnummer, fuhrerschein, führerschein, fuhrerschein- nr, führerschein- nr, fuhrerscheinnummer, führerscheinnummer, numéro permis conduire, permis de conduire, rijbewijs, rijbewijsnummer |
| Bulgária | превозно средство, свидетелство за управление на моторно, свидетелство за управление на мпс, сумпс, шофьорска книжка |
| Canadá | dl\$1, dl:, dlno\$1, driver licence, driver licences, driver license, driver licenses, driver permit, drivers lic., drivers licence, driver's licence, drivers licences, driver's licences, drivers license, driver's license, drivers licenses, driver's licenses, drivers permit, driver's permit, drivers permit number, driving licence, driving license, driving permit, permis de conduire |
| Croácia | vozačka dozvola |
| Chipre | άδεια οδήγησης |
| República Tcheca | číslo licence, císlo licence řidiče, číslo řidičského průkazu, ovladače lic., povolení k jízdě, povolení řidiče, řidiči povolení, řidičský prúkaz, řidičský průkaz |
| Dinamarca | kørekort, kørekortnummer |
| Estônia | juhi litsentsi number, juhiloa number, juhiluba, juhiluba number |
| Finlândia | ajokortin numero, ajokortti, förare lic., körkort, körkort nummer, kuljettaja lic., permis de conduire |
| França | permis de conduire |
| Alemanha | fuehrerschein, fuehrerschein- nr, fuehrerscheinnummer, fuhrerschein, führerschein, fuhrerschein- nr, führerschein- nr, fuhrerscheinnummer, führerscheinnummer |
| Grécia | δεια οδήγησης, adeia odigisis |
| Hungria | illesztőprogramok lic, jogosítvány, jogsi, licencszám, vezető engedély, vezetői engedély |
| Índia | driver licence, driver licences, driver license, driver licenses, drivers lic., drivers licence, driver's licence, drivers licences, driver's licences, drivers license, driver's license, drivers licenses, driver's licenses, driving licence, driving license |
| Irlanda | ceadúnas tiomána |
| Itália | patente di guida, patente di guida numero, patente guida, patente guida numero |
| Letônia | autovadītāja apliecība, licences numurs, vadītāja apliecība, vadītāja apliecības numurs, vadītāja atļauja, vadītāja licences numurs, vadītāji lic. |
| Lituânia | vairuotojo pažymėjimas |
| Luxemburgo | fahrerlaubnis, führerschäin |
| Malta | liċenzja tas-sewqan |
| Holanda | permis de conduire, rijbewijs, rijbewijsnummer |
| Polônia | numer licencyjny, prawo jazdy, zezwolenie na prowadzenie |
| Portugal | carta de condução, carteira de habilitação, carteira de motorist, carteira habilitação, carteira motorist, licença condução, licença de condução, número de licença, número licença, permissão condução, permissão de condução |
| Romênia | numărul permisului de conducere, permis de conducere |
| Eslováquia | číslo licencie, číslo vodičského preukazu, ovládače lic., povolenia vodičov, povolenie jazdu, povolenie na jazdu, povolenie vodiča, vodičský preukaz |
| Eslovênia | vozniško dovoljenje |
| Espanha | carnet conducer, el carnet de conducer, licencia conducer, licencia de manejo, número carnet conducer, número de carnet de conducer, número de permiso conducer, número de permiso de conducer, número licencia conducer, número permiso conducer, permiso conducción, permiso conducer, permiso de conducción |
| Suécia | ajokortin numero, dlno\$1 ajokortti, drivere lic., förare lic., körkort, körkort nummer, körkortsnummer, kuljettajat lic. |
| Reino Unido | dl\$1, dl:, dlno\$1, driver licence, driver licences, driver license, driver licenses, driver permit, drivers lic., drivers licence, driver's licence, drivers licences, driver's licences, drivers license, driver's license, drivers licenses, driver's licenses, drivers permit, driver's permit, drivers permit number, driving licence, driving license, driving permit |
| EUA | dl\$1, dl:, dlno\$1, driver licence, driver licences, driver license, driver licenses, driver permit, drivers lic., drivers licence, driver's licence, drivers licences, driver's licences, drivers license, driver's license, drivers licenses, driver's licenses, drivers permit, driver's permit, drivers permit number, driving licence, driving license, driving permit |
**Comentários:** Nenhum
## Número de registro eleitoral
**ID de dados gerenciados: ** UK\$1ELECTORAL\$1ROLL\$1NUMBER
**Países e regiões compatíveis:** Reino Unido
**Palavra-chave obrigatória:** Sim. As palavras-chave incluem: *electoral \$1, electoral number, electoral roll \$1, electoral roll no., electoral roll number, electoralrollno*
**Comentários:** Nenhum
## Nome completo
**ID de dados gerenciados: ** NAME
**Países e regiões compatíveis:** qualquer um
**Palavra-chave obrigatória:** Não
**Comentários:** Macie consegue detectar apenas nomes completos. O suporte é limitado aos conjuntos de caracteres latinos.
## Coordenadas do sistema de posicionamento global (GPS)
**ID de dados gerenciados: ** LATITUDE\$1LONGITUDE
**Países e regiões compatíveis:** qualquer, se as coordenadas estiverem próximas de uma palavra-chave em inglês.
**Palavra-chave obrigatória:** Sim. As palavras-chave incluem: *coordinate, coordinates, lat long, latitude longitude, position*
**Comentários:** o Macie poderá detectar coordenadas de GPS se as coordenadas de latitude e longitude estiverem armazenadas como um par e estiverem no formato de graus decimais (DD), por exemplo `41.948614,-87.655311`. O suporte não inclui detecção de coordenadas no formato de minutos ou graus decimais (DDM), por exemplo `41°56.9168'N 87°39.3187'W`; ou formato de graus, minutos ou segundos (DMS), por exemplo `41°56'55.0104"N 87°39'19.1196"W`.
## Cookie HTTP
**ID de dados gerenciados: ** HTTP\$1COOKIE
**Países e regiões compatíveis:** qualquer um
**Palavra-chave obrigatória:** Não
**Comentários:** A detecção requer um `Cookie` completo ou cabeçalho `Set-Cookie`. O cabeçalho pode incluir um ou mais pares de nome-valor, por exemplo: `Set-Cookie: id=TWlrZQ` e `Cookie: session=3948; lang=en`.
## Endereço postal
**ID do identificador de dados gerenciados:** ADDRESS (para Austrália, Canadá, França, Alemanha, Itália, Espanha, Reino Unido e EUA), BRAZIL\$1CEP\$1CODE (para o Código de Endereçamento Postal do Brasil)
**Países e regiões compatíveis:** Austrália, Brasil, Canadá, França, Alemanha, Itália, Espanha, Reino Unido, EUA
**Palavra-chave necessária:** Varia. As palavras-chave não são necessárias para o identificador de dados gerenciados ADDRESS. As palavras-chave são obrigatórias para o identificador de dados gerenciados BRAZIL\$1CEP\$1CODE. As palavras-chave incluem: *cep, código de endereçamento postal, codigo de endereçamento postal, código postal, codigo postal*
**Comentários:** embora uma palavra-chave não seja necessária para o identificador de dados gerenciados ADDRESS, a detecção exige que o endereço inclua o nome de uma cidade ou local e um CEP correspondente em um país ou região compatível. O identificador de dados gerenciados BRAZIL\$1CEP\$1CODE pode detectar somente a parte do Código de Endereçamento Postal (CEP) de um endereço.
## Número de identificação nacional
O suporte inclui: números Aadhaar para a Índia; números Cédula de Ciudadanía para a Colômbia; números da Clave Única de Registro de Población (CURP) para o México; números do Codice Fiscale para a Itália; números do Documento Nacional de Identidad (DNI) para Argentina e Espanha; códigos do Instituto Nacional Francês de Estatísticas e Estudos Econômicos (INSEE); carteira de identidade nacional alemã números; números do Registro Geral (RG) para o Brasil; e números do Rol Único Nacional (RUN) para o Chile.
**ID do identificador de dados gerenciados:** dependendo do país ou região, ARGENTINA\$1DNI\$1NUMBER, BRAZIL\$1RG\$1NUMBER, CHILE\$1RUT\$1NUMBER, COLOMBIA\$1CITIZENSHIP\$1CARD\$1NUMBER, FRANCE\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, GERMANY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, INDIA\$1AADHAAR\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, MEXICO\$1CURP\$1NUMBER, SPAIN\$1DNI\$1NUMBER
**Países e regiões com suporte:** Argentina, Brasil, Chile, Colômbia, França, Alemanha, Índia, Itália, México, Espanha
**Palavra-chave obrigatória:** Sim. A tabela a seguir lista as palavras-chave que o Macie reconhece para países e regiões específicos.
| País ou região | Palavras-chave |
| --- | --- |
| Argentina | dni, dni\$1, d.n.i., documento nacional de identidad |
| Brasil | registro geral, rg |
| Chile | identidad número, nacional identidad, national unique role, nationaluniqueroleID\$1, número identificación, rol único nacional, rol único tributario, run, run\$1, r.u.n., rut, rut\$1, r.u.t., unique national number, unique national role, unique tax registry, unique tax role, unique tributary number, unique tributary role |
| Colômbia | cédula de ciudadanía, documento de identificación |
| França | assurance sociale, carte nationale d’identité, cni, code sécurité sociale, French social security number, fssn\$1, insee, insurance number, national id number, nationalid\$1, numéro d'assurance, sécurité sociale, sécurité sociale non., sécurité sociale numéro, social, social security, social security number, socialsecuritynumber, ss\$1, ssn, ssn\$1 |
| Alemanha | ausweisnummer, id number, identification number, identity number, insurance number, personal id, personalausweis |
| Índia | aadhaar, aadhar, adhaar, uidai |
| Itália | codice fiscal, dati anagrafici, ehic, health card, health insurance card, p. iva, partita i.v.a., personal data, tax code, tessera sanitaria |
| México | clave personal identidad, clave única, clave única de registro de población, clavepersonalIdentidad, curp, registration code, registry code, personal identidad clave, population code |
| Espanha | dni, dni\$1, dninúmero\$1, documento nacional de identidad, identidad único, identidadúnico\$1, insurance number, national identification number, national identity, nationalid\$1, nationalidno\$1, número nacional identidad, personal identification number, personal identity no, unique identity number, uniqueid\$1 |
**Comentários:** O identificador de dados gerenciados para o Chile (CHILE\$1RUT\$1NUMBER) foi projetado para detectar os números do Rol Único Nacional (RUN) e os números do Rol Único Tributário (RUT). Para nenhum tipo de número, o Macie não relata ocorrências em que todos os dígitos são zeros, por exemplo`00000000-K`, porque eles são comumente usados como exemplos.
Embora os números DNI da Argentina e da Espanha tenham sintaxes diferentes, há semelhanças entre eles. Portanto, Macie pode relatar um número DNI para a Argentina como um número DNI para a Espanha ou vice-versa. Além disso, Macie não relata ocorrências das seguintes sequências de caracteres, que são comumente usadas como exemplos de números de DNI: e. `99999999` `99.999.999` Macie também não relata ocorrências que consistem apenas em zeros, por exemplo, e. `000000000` `00.000.000`
## Número do Seguro Nacional (NINO)
**ID de dados gerenciados: ** UK\$1NATIONAL\$1INSURANCE\$1NUMBER
**Países e regiões compatíveis:** Reino Unido
**Palavra-chave obrigatória:** Sim. As palavras-chave incluem: *insurance no., insurance number, insurance\$1, national insurance number, nationalinsurance\$1, nationalinsurancenumber, nin, nino*
**Comentários:** Nenhum
## Número de passaporte
**ID do identificador de dados gerenciados:** dependendo do país ou região, CANADA\$1PASSPORT\$1NUMBER, FRANCE\$1PASSPORT\$1NUMBER, GERMANY\$1PASSPORT\$1NUMBER, ITALY\$1PASSPORT\$1NUMBER, SPAIN\$1PASSPORT\$1NUMBER, UK\$1PASSPORT\$1NUMBER, USA\$1PASSPORT\$1NUMBER
**Países e regiões compatíveis:** Canadá, França, Alemanha, Itália, Espanha, Reino Unido, EUA
**Palavra-chave obrigatória:** Sim. A tabela a seguir lista as palavras-chave que o Macie reconhece para países e regiões específicos.
| País ou região | Palavras-chave |
| --- | --- |
| Canadá | passeport, passeport\$1, passport, passport\$1, passportno, passportno\$1 |
| França | numéro de passeport, passeport, passeport \$1, passeport n °, passeport non |
| Alemanha | ausstellungsdatum, ausstellungsort, geburtsdatum, passport, passports, reisepass, reisepass–nr, reisepassnummer |
| Itália | italian passport number, numéro passeport, numéro passeport italien, passaporto, passaporto italiana, passaporto numero, passport number, repubblica italiana passaporto |
| Espanha | españa pasaporte, libreta pasaporte, número pasaporte, pasaporte, passport, passport book, passport no, passport number, spain passport |
| Reino Unido | passeport \$1, passeport n °, passeport non, passeportn °, passport \$1, passport no, passport number, passport\$1, passportid |
| EUA | passport, travel document |
**Comentários:** Nenhum
## Número de residência permanente
**ID de dados gerenciados: ** CANADA\$1NATIONAL\$1IDENTIFICATION\$1NUMBER
**Países e regiões compatíveis:** Canadá
**Palavra-chave obrigatória:** Sim. As palavras-chave incluem: *carte résident permanent, numéro carte résident permanent, numéro résident permanent, permanent resident card, permanent resident card number, permanent resident no, permanent resident no., permanent resident number, pr no, pr no., pr non, pr number, résident permanent no., résident permanent non*
**Comentários:** Nenhum
## Número de telefone
**ID do identificador de dados gerenciados:** dependendo do país ou região, BRAZIL\$1PHONE\$1NUMBER, FRANCE\$1PHONE\$1NUMBER, GERMANY\$1PHONE\$1NUMBER, ITALY\$1PHONE\$1NUMBER, PHONE\$1NUMBER (for Canada and the US), SPAIN\$1PHONE\$1NUMBER, UK\$1PHONE\$1NUMBER
**Países e regiões compatíveis:** Brasil, Canadá, França, Alemanha, Itália, Espanha, Reino Unido, EUA
**Palavra-chave necessária:** Varia. Se uma palavra-chave estiver próxima dos dados, o número não precisará incluir o código do país. As palavras-chave incluem: *cell, contact, fax, fax number, mobile, phone, phone number, tel, telephone, telephone number*. Para o Brasil, as palavras-chave também incluem: *cel, celular, fone, móvel, número residencial, numero residencial, telefone*. Se uma palavra-chave estiver próxima dos dados, o número não precisará incluir o código do país.
**Comentários:** Para os EUA, o suporte inclui números de chamada gratuita.
## Número do cartão de transporte público
**ID de dados gerenciados: ** ARGENTINA\$1TARJETA\$1SUBE
**Países e regiões com suporte:** Argentina
**Palavra-chave obrigatória:** Sim. As palavras-chave incluem: *sistema único de boleto electrónico, sube*
**Comentários:** O Macie pode detectar números de cartões do Sistema Único de Boleto Eletrônico (SUBE) de 16 dígitos que começam com `6061` e seguem a fórmula de verificação de Luhn. Os componentes do número do cartão podem ser separados por espaços ou hífens (‐) ou não usar um separador, por exemplo,, e. `6061 1234 1234 1234` `6061‐1234‐1234‐1234` `6061123412341234`
## Número do Seguro Social (SIN)
**ID de dados gerenciados: ** CANADA\$1SOCIAL\$1INSURANCE\$1NUMBER
**Países e regiões compatíveis:** Canadá
**Palavra-chave obrigatória:** Sim. As palavras-chave incluem: *canadian id, numéro d'assurance sociale, sin, social insurance number*
**Comentários:** Nenhum
## Número da Previdência Social (SSN)
**ID do identificador de dados gerenciados:** dependendo do país ou região, SPAIN\$1SOCIAL\$1SECURITY\$1NUMBER, USA\$1SOCIAL\$1SECURITY\$1NUMBER
**Países e regiões compatíveis:** Espanha, EUA
**Palavra-chave obrigatória:** Sim. Para a Espanha, as palavras-chave incluem: *número de la seguridad social, social security no., social security number, socialsecurityno\$1, ssn, ssn\$1*. Para os EUA, as palavras-chave incluem: *social security, ss\$1, ssn*.
**Comentários:** Nenhum
## Identificação do contribuinte ou número de referência
O suporte inclui: códigos CUIL e CUIT para a Argentina; números CIF, NIE e NIF para a Espanha; números CNPJ e CPF para o Brasil; números do Codice Fiscale para a Itália; para os EUA; números NIT para a Colômbia; para a PANs Índia; números RFC para ITINs o México; números RUN e RUT para o Chile; Steueridentifikationsnummer números para a Alemanha; para a Austrália; para a França; e números TRN e UTR para o Reino Unido. TFNs TINs
**ID do identificador de dados gerenciados:** dependendo do país ou região, ARGENTINA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER, ARGENTINA\$1ORGANIZATION\$1TAX\$1IDENTIFICATION\$1NUMBER, AUSTRALIA\$1TAX\$1FILE\$1NUMBER, BRAZIL\$1CNPJ\$1NUMBER, BRAZIL\$1CPF\$1NUMBER, CHILE\$1RUT\$1NUMBER, COLOMBIA\$1INDIVIDUAL\$1NIT\$1NUMBER, COLOMBIA\$1ORGANIZATION\$1NIT\$1NUMBER, FRANCE\$1TAX\$1IDENTIFICATION\$1NUMBER, GERMANY\$1TAX\$1IDENTIFICATION\$1NUMBER, INDIA\$1PERMANENT\$1ACCOUNT\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, MEXICO\$1INDIVIDUAL\$1RFC\$1NUMBER, MEXICO\$1ORGANIZATION\$1RFC\$1NUMBER, SPAIN\$1NIE\$1NUMBER, SPAIN\$1NIF\$1NUMBER, SPAIN\$1TAX\$1IDENTIFICATION\$1NUMBER, UK\$1TAX\$1IDENTIFICATION\$1NUMBER, USA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER
**Países e regiões com suporte:** Argentina, Austrália, Brasil, Chile, Colômbia, França, Alemanha, Índia, Itália, México, Espanha, Reino Unido, EUA
**Palavra-chave obrigatória:** Sim. A tabela a seguir lista as palavras-chave que o Macie reconhece para países e regiões específicos.
| País ou região | Palavras-chave |
| --- | --- |
| Argentina | argentina taxpayer id, clave única de identificación tributaria, cuil, c.u.i.l, cuit, c.u.i.t, número de identificación fiscal, número de contribuyente, unified labor identification code |
| Austrália | tax file number, tfn |
| Brasil | cadastro de pessoa física, cadastro de pessoa fisica, cadastro de pessoas físicas, cadastro de pessoas fisicas, cadastro nacional da pessoa jurídica, cadastro nacional da pessoa juridica, cnpj, cpf |
| Chile | identidad número, nacional identidad, national unique role, nationaluniqueroleID\$1, número identificación, rol único nacional, rol único tributario, run, run\$1, r.u.n., rut, rut\$1, r.u.t., unique national number, unique national role, unique tax registry, unique tax role, unique tributary number, unique tributary role |
| Colômbia | nit, nit., nit\$1, n.i.t. |
| França | numéro d'identification fiscal, tax id, tax identification number, tax number, tin, tin\$1 |
| Alemanha | identifikationsnummer, steuer id, steueridentifikationsnummer, steuernummer, tax id, tax identification number, tax number |
| Índia | e-pan, pan card, pan number, permanent account number |
| Itália | codice fiscal, dati anagrafici, ehic, health card, health insurance card, p. iva, partita i.v.a., personal data, tax code, tessera sanitaria |
| México | código del registro federal de contribuyentes, identificación de impuestos, identificacion de impuestos, impuesto al valor agregado, iva, iva\$1, i.v.a., registro federal de contribuyentes, rfc, rfc\$1, r.f.c. |
| Espanha | cif, cif número, cifnúmero\$1, nie, nif, número de contribuyente, número de identidad de extranjero, número de identificación fiscal, número de impuesto corporativo, personal tax number, tax id, tax identification number, tax number, tin, tin\$1 |
| Reino Unido | paye, tax id, tax id no., tax id number, tax identification, tax identification\$1, tax no., tax number, tax reference, tax\$1, taxid\$1, temporary reference number, tin, trn, unique tax reference, unique taxpayer reference, utr |
| EUA | i.t.i.n., individual taxpayer identification number, itin |
**Comentários:** O identificador de dados gerenciados para o Chile (CHILE\$1RUT\$1NUMBER) foi projetado para detectar os números do Rol Único Nacional (RUN) e os números do Rol Único Tributário (RUT). Para números do Registro Federal de Contribuyentes (RFC) do México, Macie não relata ocorrências das seguintes sequências de caracteres, que são comumente usadas como exemplos de números de RFC: e. `XAXX010101000` `XEXX010101000`
Para vários tipos de identificação de contribuintes e números de referência, o Macie não relata ocorrências em que todos os dígitos são zeros, por exemplo,, e. `00000000-K` `000000000` `00.000.000` Isso porque o uso de apenas zeros é comum em exemplos de certos tipos de identificação de contribuintes e números de referência.
## Número de identificação de veículo (VIN)
**ID de dados gerenciados: ** VEHICLE\$1IDENTIFICATION\$1NUMBER
**Países e regiões compatíveis:** qualquer um, se o VIN estiver próximo a uma palavra-chave em um dos seguintes idiomas: inglês, francês, alemão, lituano, polonês, português, romeno ou espanhol.
**Palavra-chave obrigatória:** Sim. As palavras-chave incluem: *Fahrgestellnummer, niv, numarul de identificare, numarul seriei de sasiu, numer VIN, Número de Identificação do Veículo, Número de Identificación de Automóviles, numéro d'identification du véhicule, vehicle identification number, vin, VIN numeris*
**Comentários:** O Macie pode detectar VINs que consistem em uma sequência de 17 caracteres e seguir os padrões ISO 3779 e 3780. Esses padrões foram projetados para uso em todo o mundo.
# Criar identificadores de dados personalizados
Além de usar os identificadores de dados gerenciados fornecidos pelo Amazon Macie, você pode criar e usar identificadores de dados personalizados. Um *identificador de dados personalizado* é um conjunto de critérios que você define para detectar dados confidenciais em objetos do Amazon Simple Storage Service (Amazon S3). Os critérios consistem em uma expressão regular (*regex*) que define um padrão de texto a ser correspondido e, opcionalmente, sequências de caracteres e uma regra de proximidade que refinam os resultados. As sequências de caracteres podem ser: *palavras-chave*, que são palavras ou frases que devem estar próximas ao texto que corresponde ao regex, ou *ignorar palavras*, que são palavras ou frases para excluir dos resultados.
Com identificadores de dados personalizados, você pode definir critérios de detecção que refletem cenários, propriedade intelectual ou dados proprietários particulares da organização. Por exemplo, você pode detectar funcionários IDs, números de contas de clientes ou classificações internas de dados. Se você configurar [trabalhos de descoberta de dados confidenciais](discovery-jobs.md) ou [descoberta automatizada de dados confidenciais](discovery-asdd.md) para usar esses identificadores, poderá complementar os [identificadores de dados gerenciados](managed-data-identifiers.md) fornecidos pelo Macie.
Além dos critérios de detecção, você pode definir configurações de severidade personalizadas para as descobertas produzidas por um identificador de dados personalizado. Por padrão, o Macie atribui a severidade *Média* a todas as descobertas produzidas por um identificador de dados personalizado. A severidade não muda com base no número de ocorrências de texto que correspondem aos critérios de detecção de um identificador. Se você definir configurações de severidade personalizadas, a severidade poderá ter como base o número de ocorrências de texto que correspondem aos critérios.
**Topics**
+ [Opções de configuração para identificadores de dados personalizados](cdis-options.md)
+ [Criar um identificador de dados personalizado](cdis-create.md)
+ [Excluindo um identificador de dados personalizado](cdis-delete.md)
# Opções de configuração para identificadores de dados personalizados
Ao usar identificadores de dados personalizados, você pode definir critérios personalizados para detectar dados confidenciais em objetos do Amazon Simple Storage Service (Amazon S3). Você pode complementar os [identificadores de dados gerenciados](managed-data-identifiers.md) fornecidos pelo Amazon Macie e detectar dados confidenciais que refletem cenários, propriedade intelectual ou dados proprietários particulares da organização.
Cada identificador de dados personalizado especifica critérios de detecção e, como opção, configurações de severidade das descobertas produzidas pelo identificador. Os critérios de detecção especificam uma expressão regular que define um padrão de texto para corresponder em um objeto do S3. Os critérios também podem especificar sequências de caracteres e uma regra de proximidade que refina os resultados. As configurações de severidade especificam qual severidade atribuir às descobertas. A severidade pode ser baseada no número de ocorrências de texto que correspondem aos critérios de detecção do identificador.
**Topics**
+ [Critérios de detecção](#cdis-detection-criteria)
+ [Configurações de severidade das descobertas](#cdis-finding-severity)
## Critérios de detecção
Ao criar um identificador de dados personalizado, você especifica uma expressão regular (*regex*) que define um padrão de texto para correspondência. Você também pode especificar sequências de caracteres, como palavras e frases, e uma regra de proximidade que refine os resultados. As sequências de caracteres podem ser: *palavras-chave*, que são palavras ou frases que devem estar próximas ao texto que corresponde ao regex, ou *ignorar palavras*, que são palavras ou frases para excluir dos resultados.
Para o regex, o Amazon Macie suporta um subconjunto da sintaxe do padrão fornecida pela [biblioteca Perl Compatible Regular Expressions (PCRE)](https://www.pcre.org/). Das estruturas fornecidas pela biblioteca PCRE, o Macie não suporta os seguintes elementos de padrão:
+ Referências anteriores
+ Capturar grupos
+ Padrões condicionais
+ Código incorporado
+ Sinalizadores de padrões globais, como `/i``/m`, e `/x`
+ Padrões recursivos
+ Afirmações positivas e negativas de largura zero de retrospectiva e prospectiva, como e `?=`, `?!`, `?<=` e `?
Ao criar um identificador de dados personalizado, você também pode especificar configurações de severidade personalizadas para descobertas de dados confidenciais produzidas pelo identificador. Por padrão, o Amazon Macie atribui a severidade *Média* a todas as descobertas produzidas por um identificador de dados personalizado. O Macie atribuirá de forma automática a severidade *Média* à descoberta resultante se um objeto S3 contiver pelo menos uma ocorrência de texto que corresponda aos critérios de detecção.
Com as configurações de severidade personalizadas, você especifica qual severidade atribuir com base no número de ocorrências de texto que correspondem aos critérios de detecção. Você pode definir *limites de ocorrências* para até três níveis de severidade: *Baixo* (menos grave), *Médio* e *Alto* (mais grave). Um *limite de ocorrências* é o número mínimo de correspondências que devem existir em um objeto do S3 para produzir uma descoberta com a gravidade especificada. Se você especificar mais de um limite, os limites deverão estar em ordem crescente por severidade, passando de *Baixo* para *Alto*.
Por exemplo, a imagem a seguir mostra as configurações de severidade que especificam três limites de ocorrências, um para cada nível suportado pelo Macie.
![\[Configurações de severidade que especificam limites de ocorrências para os níveis de severidade Baixo, Médio e Alto.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/scrn-cdi-severity.png)
A tabela a seguir indica a gravidade das descobertas que o identificador de dados personalizado produz.
| Limite de ocorrências | Nível de gravidade | Resultado |
| --- | --- | --- |
| 1 | Baixo | Se um objeto do S3 contiver de 1 a 49 ocorrências de texto que correspondam aos critérios de detecção, a gravidade da descoberta resultante será Baixa. |
| 50 | Médio | Se um objeto do S3 contiver de 50 a 99 ocorrências de texto que correspondam aos critérios de detecção, a gravidade da descoberta resultante será Média. |
| 100 | Alta | Se um objeto do S3 contiver 100 ou mais ocorrências de texto que correspondam aos critérios de detecção, a gravidade da descoberta resultante será Alta. |
Você também pode usar as configurações de gravidade para especificar se deseja criar uma descoberta. Se um objeto do S3 contiver menos ocorrências do que o limite mais baixo de ocorrências, o Macie não criará uma descoberta.
# Criar um identificador de dados personalizado
Um *identificador de dados personalizado* é um conjunto de critérios que você define para detectar dados confidenciais em objetos do Amazon Simple Storage Service (Amazon S3). Ao criar um identificador de dados personalizado, você especifica uma expressão regular (*regex*) que define um padrão de texto para corresponder a um objeto S3. Você também pode especificar sequências de caracteres e uma regra de proximidade que refina os resultados. As sequências de caracteres podem ser: *palavras-chave*, que são palavras ou frases que devem estar próximas ao texto que corresponde ao regex, ou *ignorar palavras*, que são palavras ou frases para excluir dos resultados. Ao usar identificadores de dados personalizados, você pode complementar os [identificadores de dados gerenciados](managed-data-identifiers.md) fornecidos pelo Amazon Macie e detectar dados confidenciais que refletem cenários, propriedade intelectual ou dados proprietários particulares da organização.
Por exemplo, muitas empresas têm uma sintaxe específica para funcionários IDs. Uma dessas sintaxes pode ser: uma letra maiúscula que indica se o funcionário é funcionário em tempo integral (*F*) ou meio período (*P*), seguida por um hífen (-), seguido por uma sequência de oito dígitos que identifica o funcionário. *Os exemplos são: *F—12345678* para um funcionário em tempo integral e P—87654321 para um funcionário em tempo parcial.* Para detectar funcionários IDs que usam essa sintaxe, você pode criar um identificador de dados personalizado que especifique o seguinte regex:. `[A-Z]-\d{8}` Para refinar a análise e evitar falsos positivos, você também pode configurar o identificador para usar palavras-chave (`employee` e `employee ID`) e uma distância máxima de correspondência de 20 caracteres. Com esses critérios, os resultados incluem texto que corresponda ao regex se o texto ocorrer após a palavra-chave *funcionário* *ou ID* do funcionário e todo o texto ocorrer dentro de 20 caracteres de uma dessas palavras-chave.
Para ver uma demonstração de como as palavras-chave podem ajudar você a encontrar dados confidenciais e evitar falsos positivos, assista ao vídeo a seguir:
Além dos critérios de detecção, você pode especificar configurações de severidade personalizadas para as descobertas produzidas por um identificador de dados personalizado. A severidade pode ser baseada no número de ocorrências de texto que correspondem aos critérios de detecção do identificador. Se você não especificar essas configurações, o Macie atribuirá automaticamente a severidade *Média* a todas as descobertas produzidas pelo identificador. A severidade não muda com base no número de ocorrências de texto que correspondem aos critérios de detecção do identificador.
Para obter informações detalhadas sobre estas e outras configurações, consulte [Opções de configuração para identificadores de dados personalizados](cdis-options.md).
**Para criar um identificador de dados personalizado**
Você pode criar um identificador de dados personalizado usando o console do Amazon Macie ou a API do Amazon Macie.
------
#### [ Console ]
Siga estas etapas para criar um identificador de dados personalizado usando o console do Amazon Macie.
**Para criar um identificador de dados personalizado**
1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. No painel de navegação, em **Configurações**, escolha **Identificadores de dados personalizados**.
1. Escolha **Criar**.
1. Para **Nome** insira um nome para o identificador de dados personalizado. Um nome pode conter até 128 caracteres.
1. Em **Descrição**, você pode inserir uma breve descrição do identificador de dados personalizado. A descrição pode conter até 512 caracteres.
**nota**
Evite incluir dados confidenciais no nome ou na descrição de um identificador de dados personalizado. Outros usuários da sua conta podem acessar o nome ou a descrição, dependendo das ações que eles estão autorizados a realizar no Macie.
1. Para **Expressão regular**, insira a expressão regular (*regex*) que define o padrão de texto a ser correspondido. Um nome regex pode conter até 512 caracteres.
O Macie suporta um subconjunto da sintaxe do padrão fornecida pela [biblioteca Perl Compatible Regular Expressions (PCRE)](https://www.pcre.org/). Para obter outros detalhes e dicas, consulte [Critérios de detecção para identificadores de dados personalizados](cdis-options.md#cdis-detection-criteria).
1. Em **Palavras-chave**, você pode inserir até 50 sequências de caracteres (separadas por vírgulas) para definir um texto específico que deve estar próximo ao texto que corresponde ao padrão regex.
O Macie inclui uma ocorrência nos resultados somente se o texto corresponder ao padrão regex e estiver dentro da distância máxima de correspondência de uma dessas palavras-chave. Cada palavra-chave pode conter de 3 a 90 caracteres UTF-8. Palavras-chave não diferenciam maiúsculas de minúsculas.
1. **Em Ignorar palavras**, opcionalmente, insira até 10 sequências de caracteres (separadas por vírgulas) que definam um texto específico a ser excluído dos resultados.
O Macie exclui uma ocorrência dos resultados se o texto corresponder ao padrão regex, mas contiver uma dessas palavras ignoradas. Cada palavra a ser ignorada pode conter de 4 a 90 caracteres UFT-8. Palavras ignoradas diferenciam maiúsculas de minúsculas.
1. Em **Distância máxima de correspondência**, você pode inserir o número máximo de caracteres que pode existir entre o final de uma palavra-chave e o final do texto que corresponde ao padrão regex.
O Macie inclui uma ocorrência nos resultados somente se o texto corresponder ao padrão regex e o texto estiver dentro dessa distância de uma palavra-chave completa. A distância pode ser de 1 a 300 caracteres. A distância padrão é de 50 caracteres.
1. Em **Severidade**, escolha como determinar a severidade das descobertas de dados confidenciais produzidas pelo identificador de dados personalizado:
+ Para atribuir automaticamente a gravidade *Média* a todas as descobertas, escolha **Usar gravidade Média para qualquer número de correspondências (padrão)**. Com essa opção, o Macie atribui automaticamente a gravidade*Média* a uma descoberta se o objeto S3 afetado contiver uma ou mais ocorrências de texto que correspondam aos critérios de detecção.
+ Para atribuir gravidade com base nos limites de ocorrências que você especificar, escolha **Usar configurações personalizadas para determinar a gravidade**. Em seguida, use as opções **Limite de ocorrências** e **Nível de severidade** para especificar o número mínimo de correspondências que devem existir em um objeto do S3 para produzir uma descoberta com uma severidade selecionada.
Você pode especificar até três limites de ocorrências, um para cada nível de severidade suportado pelo Macie: *Baixo* (menos grave), *Médio* ou *Alto* (mais grave). Se você especificar mais de um, os limites deverão estar em ordem crescente por gravidade, de *Baixo* a *Alto*. Se um objeto do S3 contiver menos ocorrências do que o limite mais baixo, o Macie não criará uma descoberta.
1. (Opcional) Em **Tags**, escolha **Adicionar tag** e, em seguida, insira até 50 tags para atribuir ao trabalho.
Uma *tag* é um rótulo que você define e atribui a determinados tipos de AWS recursos. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. As tags podem ajudá-lo a identificar, categorizar e gerenciar recursos de diferentes maneiras, como por finalidade, proprietário, ambiente ou outros critérios. Para saber mais, consulte [Marcar recursos do Macie](tagging-resources.md).
1. (Opcional) Em **Avaliar**, insira até 1.000 caracteres na caixa **Dados da amostra** e escolha **Testar** para testar os critérios de detecção. Macie avalia os dados da amostra e relata o número de ocorrências de texto que correspondem aos critérios. Você pode repetir essa etapa quantas vezes quiser para refinar e otimizar os critérios.
**nota**
É altamente recomendável que você teste e refine os critérios de detecção com dados de amostra. Como os identificadores de dados personalizados são usados por trabalhos confidenciais de descoberta de dados, você não pode alterar um identificador de dados personalizado depois de criá-lo. Isso ajuda a garantir que você tenha um histórico imutável de descobertas de dados sensíveis e resultados de descoberta.
Como o Macie aplica lógica adicional ao processar registros estruturados, a contagem de correspondências retornada pela caixa **Avaliar** pode diferir, em certos casos, dos resultados produzidos pelos trabalhos.
1. Quando terminar, escolha **Enviar**.
O Macie testa as configurações e verifica se pode compilar o regex. Se houver um problema com uma configuração ou com o regex, o Macie exibirá um erro descrevendo o que aconteceu. Depois de resolver qualquer problema, você pode salvar o identificador de dados personalizado.
------
#### [ API ]
Para criar um identificador de dados personalizado de forma programática, use a [CreateCustomDataIdentifier](https://docs.aws.amazon.com/macie/latest/APIReference/custom-data-identifiers.html)operação da API Amazon Macie. Ou, se você estiver usando o AWS Command Line Interface (AWS CLI), execute o [create-custom-data-identifier](https://docs.aws.amazon.com/cli/latest/reference/macie2/create-custom-data-identifier.html)comando.
**nota**
Antes de criar um identificador de dados personalizado, é altamente recomendável testar e refinar seus critérios de detecção com dados de amostra. Como os identificadores de dados personalizados são usados por trabalhos confidenciais de descoberta de dados, você não pode alterar um identificador de dados personalizado depois de criá-lo. Isso ajuda a garantir que você tenha um histórico imutável de descobertas de dados sensíveis e resultados de descoberta.
Para testar os critérios de forma programática, você pode usar a [TestCustomDataIdentifier](https://docs.aws.amazon.com/macie/latest/APIReference/custom-data-identifiers-test.html)operação da API Amazon Macie. Essa operação fornece um ambiente para avaliar dados de amostra com critérios de detecção. Se você estiver usando o AWS CLI, você pode executar o [test-custom-data-identifier](https://docs.aws.amazon.com/cli/latest/reference/macie2/test-custom-data-identifier.html)comando para testar os critérios.
Quando você estiver pronto para criar o identificador de dados personalizado, use os seguintes parâmetros para definir seus critérios de detecção:
+ `regex`— Especifique a expressão regular (*regex*) que define o padrão de texto a ser correspondente. A regex pode conter até 512 caracteres.
O Macie suporta um subconjunto da sintaxe do padrão fornecida pela [biblioteca Perl Compatible Regular Expressions (PCRE)](https://www.pcre.org/). Para obter outros detalhes e dicas, consulte [Critérios de detecção para identificadores de dados personalizados](cdis-options.md#cdis-detection-criteria).
+ `keywords`— Opcionalmente, especifique sequências de 1 a 50 caracteres (*palavras-chave*) que devem estar próximas ao texto que corresponda ao padrão regex.
O Macie inclui uma ocorrência nos resultados somente se o texto corresponder ao padrão regex e estiver dentro da distância máxima de correspondência de uma dessas palavras-chave. Cada palavra-chave pode conter de 3 a 90 caracteres UTF-8. Palavras-chave não diferenciam maiúsculas de minúsculas.
+ `maximumMatchDistance`— Opcionalmente, especifique o número máximo de caracteres que podem existir entre o final de uma palavra-chave e o final do texto que corresponda ao padrão regex. Se você estiver usando o AWS CLI, use o `maximum-match-distance` parâmetro para especificar esse valor.
O Macie inclui uma ocorrência nos resultados somente se o texto corresponder ao padrão regex e o texto estiver dentro dessa distância de uma palavra-chave completa. A distância pode ser de 1 a 300 caracteres. A distância padrão é de 50 caracteres.
+ `ignoreWords`— Opcionalmente, especifique sequências de 1 a 10 caracteres (*ignore palavras*) para excluir dos resultados. Se você estiver usando o AWS CLI, use o `ignore-words` parâmetro para especificar essas sequências de caracteres.
O Macie exclui uma ocorrência dos resultados se o texto corresponder ao padrão regex, mas contiver uma dessas palavras ignoradas. Cada palavra a ser ignorada pode conter de 4 a 90 caracteres UFT-8. Palavras ignoradas diferenciam maiúsculas de minúsculas.
Para especificar a gravidade das descobertas de dados confidenciais que o identificador de dados personalizado produz, use o `severityLevels` parâmetro ou, se estiver usando o AWS CLI, o `severity-levels` parâmetro:
+ Para atribuir automaticamente a `MEDIUM` severidade a todas as descobertas, omita esse parâmetro. Em seguida, Macie usa a configuração padrão. Por padrão, o Macie atribui a `MEDIUM` severidade a uma descoberta se o objeto do S3 afetado contiver uma ou mais ocorrências de texto que correspondam aos critérios de detecção.
+ Para atribuir severidade com base nos limites de ocorrências que você especifica, especifique o número mínimo de correspondências que devem existir em um objeto do S3 para produzir uma descoberta com uma severidade especificada.
Você pode especificar até três limites de ocorrências, um para cada nível de severidade suportado pelo Macie: `LOW` (menos grave) ou `HIGH` (mais grave). `MEDIUM` Se você especificar mais de um, os limites deverão estar em ordem crescente por severidade, passando de `LOW` para. `HIGH` Se um objeto do S3 contiver menos ocorrências do que o limite mais baixo, o Macie não criará uma descoberta.
Use parâmetros adicionais para especificar um nome e outras configurações, como tags, para o identificador de dados personalizado. Evite incluir dados confidenciais nessas configurações. Outros usuários da sua conta podem acessar esses valores, dependendo das ações que eles estão autorizados a realizar no Macie.
Quando você envia sua solicitação, o Macie testa as configurações e verifica se ele pode compilar o regex. Se houver um problema com uma configuração ou com o regex, a solicitação falhará e o Macie retornará uma mensagem descrevendo o problema. Se a solicitação for bem-sucedida, você receberá uma saída semelhante à seguinte:
```
{
"customDataIdentifierId": "393950aa-82ea-4bdc-8f7b-e5be3example"
}
```
Onde `customDataIdentifierId` especifica o identificador exclusivo (ID) para o identificador de dados personalizado que foi criado.
Para recuperar e revisar posteriormente as configurações do identificador de dados personalizado, use a [GetCustomDataIdentifier](https://docs.aws.amazon.com/macie/latest/APIReference/custom-data-identifiers-id.html)operação ou, se estiver usando o AWS CLI, execute o [get-custom-data-identifier](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-custom-data-identifier.html)comando. Para o `id` parâmetro, especifique o ID do identificador de dados personalizado.
Os exemplos a seguir mostram como usar o AWS CLI para criar um identificador de dados personalizado. Os exemplos criam um identificador de dados personalizado projetado para detectar funcionários IDs que usam uma sintaxe específica e estão próximos de uma palavra-chave específica. Os exemplos também definem configurações de severidade personalizadas para as descobertas que o identificador produz.
Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.
```
$ aws macie2 create-custom-data-identifier \
--name "EmployeeIDs" \
--regex "[A-Z]-\d{8}" \
--keywords '["employee","employee ID"]' \
--maximum-match-distance 20 \
--severity-levels '[{"occurrencesThreshold":1,"severity":"LOW"},{"occurrencesThreshold":50,"severity":"MEDIUM"},{"occurrencesThreshold":100,"severity":"HIGH"}]' \
--description "Detects employee IDs in proximity of a keyword." \
--tags '{"Stack":"Production"}'
```
Este exemplo foi formatado para Microsoft Windows e usa o caractere de continuação de linha circunflexo (^) para melhorar a legibilidade.
```
C:\> aws macie2 create-custom-data-identifier ^
--name "EmployeeIDs" ^
--regex "[A-Z]-\d{8}" ^
--keywords "[\"employee\",\"employee ID\"]" ^
--maximum-match-distance 20 ^
--severity-levels "[{\"occurrencesThreshold\":1,\"severity\":\"LOW\"},{\"occurrencesThreshold\":50,\"severity\":\"MEDIUM\"},{\"occurrencesThreshold\":100,\"severity\":\"HIGH\"}]" ^
--description "Detects employee IDs in proximity of a keyword." ^
--tags={\"Stack\":\"Production\"}
```
Em que:
+ `EmployeeIDs`é o nome do identificador de dados personalizado.
+ `[A-Z]-\d{8}`é a expressão regular para a correspondência do padrão de texto.
+ `employee`e `employee ID` são palavras-chave que devem estar próximas ao texto que corresponda ao padrão regex.
+ `20`é o número máximo de caracteres que podem existir entre o final de uma palavra-chave e o final do texto que corresponde ao padrão regex.
+ `description`especifica uma breve descrição do identificador de dados personalizado.
+ `severity-levels`define limites de ocorrências personalizados para a severidade das descobertas que o identificador de dados personalizado produz: `LOW` para 1 a 49 ocorrências; para 50 a 99 ocorrências; e `MEDIUM` para 100 ou mais ocorrências. `HIGH`
+ `Stack`é a chave de tag da tag a ser atribuída ao identificador de dados personalizado. `Production`é o valor da tag para a chave de tag especificada.
------
Depois de criar o identificador de dados personalizado, você pode [criar e configurar trabalhos de descoberta de dados confidenciais](discovery-jobs-create.md) para usá-lo ou [adicioná-lo às suas configurações para descoberta automática de dados confidenciais](discovery-asdd-account-configure.md).
# Excluindo um identificador de dados personalizado
Depois de criar um identificador de dados personalizado, você pode excluí-lo. Se você fizer isso, o Amazon Macie excluirá temporariamente o identificador de dados personalizado. Isso significa que um registro do identificador de dados personalizado permanece na sua conta, mas está marcado como excluído. Se um identificador de dados personalizado tiver esse status, você não poderá configurar novos trabalhos de descoberta de dados confidenciais para usá-lo ou adicioná-lo às suas configurações para descoberta automática de dados confidenciais. Além disso, você não pode mais acessá-lo usando o console do Amazon Macie. No entanto, você pode recuperar suas configurações usando a API do Amazon Macie. Se você excluir um identificador de dados personalizado, ele não será contabilizado na cota de identificadores de dados personalizados da sua conta.
Se você configurar um trabalho de descoberta de dados confidenciais para usar um identificador de dados personalizado que você exclui posteriormente, o trabalho será executado conforme programado e continuará usando o identificador de dados personalizado. Isso significa que os resultados do seu trabalho, tanto as descobertas de dados confidenciais quanto os resultados da descoberta de dados confidenciais, reportarão um texto que corresponda aos critérios do identificador. Isso ajuda a garantir que você tenha um histórico imutável de descobertas de dados sigilosos e resultados de descoberta para auditorias de privacidade de dados e proteção de dados ou investigações que você realiza.
Da mesma forma, se você configurar a descoberta automática de dados confidenciais para usar um identificador de dados personalizado que você exclui posteriormente, os ciclos diários de análise continuarão e continuarão usando o identificador de dados personalizado. Isso significa que descobertas de dados confidenciais, estatísticas e outros tipos de resultados continuarão a relatar textos que correspondam aos critérios do identificador.
Antes de excluir um identificador de dados personalizado, faça o seguinte para evitar que o Macie o use durante ciclos de análise e execuções de tarefas subsequentes:
+ Verifique suas configurações para a descoberta automática de dados confidenciais. Se você adicionou o identificador de dados personalizado a essas configurações, remova-o. Para obter mais informações, consulte [Definir configurações da descoberta automatizada de dados confidenciais](discovery-asdd-account-configure.md).
+ Revise seu inventário de trabalhos para identificar trabalhos que usam o identificador de dados personalizado e estão programados para serem executados no futuro. Se você quiser que um trabalho pare de usar o identificador de dados personalizado, você pode cancelar o trabalho. Em seguida, crie uma cópia da tarefa, ajuste as configurações da cópia e salve a cópia como uma nova tarefa. Para obter mais informações, consulte [Gerenciar trabalhos de descoberta de dados confidenciais](discovery-jobs-manage.md).
Também é uma boa ideia observar o identificador exclusivo (ID) que Macie atribuiu ao identificador de dados personalizado. Você precisará desse ID se quiser revisar posteriormente as configurações do identificador de dados personalizado.
Depois de concluir as tarefas anteriores, exclua o identificador de dados personalizado.
**Para excluir um identificador de dados personalizado**
Você pode excluir um identificador de dados personalizado usando o console do Amazon Macie ou a API do Amazon Macie.
------
#### [ Console ]
Siga estas etapas para excluir um identificador de dados personalizado usando o console do Amazon Macie.
**Para excluir um identificador de dados personalizado**
1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. No painel de navegação, em **Configurações**, escolha **Identificadores de dados personalizados**.
1. Para observar o identificador exclusivo (ID) do identificador de dados personalizado que você deseja excluir, escolha o nome do identificador de dados personalizado. Na página exibida, a caixa **ID** exibe essa ID. Depois de anotar a ID, escolha **Identificadores de dados personalizados** no painel de navegação novamente.
1. Na página **Identificadores de dados personalizados**, marque a caixa de seleção do identificador de dados personalizado a ser excluído.
1. No menu **Ações**, escolha **Excluir**.
1. Quando a confirmação for solicitada, escolha **OK.**
------
#### [ API ]
Para excluir programaticamente um identificador de dados personalizado, use a [DeleteCustomDataIdentifier](https://docs.aws.amazon.com/macie/latest/APIReference/custom-data-identifiers-id.html)operação da API Amazon Macie. Ou, se você estiver usando o AWS Command Line Interface (AWS CLI), execute o [delete-custom-data-identifier](https://docs.aws.amazon.com/cli/latest/reference/macie2/delete-custom-data-identifier.html)comando.
Para o `id` parâmetro, especifique o identificador exclusivo (ID) do identificador de dados personalizado que você deseja excluir. Você pode obter esse ID usando a [ListCustomDataIdentifiers](https://docs.aws.amazon.com/macie/latest/APIReference/custom-data-identifiers-list.html)operação. Essa operação recupera um subconjunto de informações sobre os identificadores de dados personalizados da sua conta. Se você estiver usando o AWS CLI, você pode executar o [list-custom-data-identifiers](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-custom-data-identifiers.html)comando para recuperar essas informações.
O exemplo a seguir mostra como excluir um identificador de dados personalizado usando AWS CLI o.
```
$ aws macie2 delete-custom-data-identifier --id 393950aa-82ea-4bdc-8f7b-e5be3example
```
Onde *393950aa-82ea-4bdc-8f7b-e5be3example* está o ID do identificador de dados personalizado a ser excluído.
Se a solicitação for bem-sucedida, o Macie retornará uma resposta HTTP 200 vazia. Caso contrário, o Macie retornará uma resposta HTTP 4 *xx* ou 500 indicando por que a solicitação falhou.
------
Para revisar as configurações de um identificador de dados personalizado depois de excluí-lo, use a [GetCustomDataIdentifier](https://docs.aws.amazon.com/macie/latest/APIReference/custom-data-identifiers-id.html)operação da API Amazon Macie. Ou, se você estiver usando o AWS CLI, execute o [get-custom-data-identifier](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-custom-data-identifier.html)comando. Para o `id` parâmetro, especifique o ID do identificador de dados personalizado. Depois de excluir um identificador de dados personalizado, você não poderá acessar suas configurações usando o console do Amazon Macie.
# Como definir exceções de dados sigilosos com listas de permissões
Com listas de permissões no Amazon Macie, você pode definir um texto específico e padrões de texto que você quer que o Macie ignore ao inspecionar objetos do Amazon Simple Storage Service (Amazon S3) em busca de dados confidenciais. Normalmente, essas são exceções de dados confidenciais para seus cenários ou ambientes específicos. Se os dados corresponderem ao texto ou a um padrão de texto em uma lista de permissões, o Macie não reportará os dados. Esse é o caso mesmo que os dados correspondam aos critérios de um [identificador de dados gerenciado](managed-data-identifiers.md) ou de um [identificador de dados personalizado](custom-data-identifiers.md). Ao usar listas de permissões, você pode refinar a sua análise dos dados do Amazon S3 e reduzir o ruído.
Você pode criar e usar dois tipos de listas de permissões no Macie:
+ **Texto predefinido**: para esse tipo de lista, você especifica determinadas sequências de caracteres a serem ignoradas. Por exemplo, você pode especificar os nomes de representantes públicos para a organização, especificar números de telefone ou dados de amostra que a organização usa para testes. Se você usar esse tipo de lista, o Macie ignorará um texto que corresponder exatamente a uma entrada da lista.
Esse tipo de lista é útil se você deseja especificar palavras, frases e outros tipos específicos de sequências de caracteres que não são sigilosos, não têm probabilidade de serem alterados e não seguem necessariamente um padrão comum.
+ **Expressão regular**: para esse tipo de lista, você especifica uma expressão regular (*regex*) que define um padrão de texto a ser ignorado. Por exemplo, você pode especificar o padrão para números de telefone públicos da organização, endereços de e-mail do domínio da organização ou dados de amostra padronizados que a organização usa para testes. Se você usar esse tipo de lista, o Macie ignorará texto que corresponda exatamente ao padrão definido pela lista.
Esse tipo de lista é útil quando você deseja especificar um texto que não é sigiloso, mas que varia ou pode ser alterado enquanto também segue um padrão comum.
Depois de criar uma lista de permissões, você pode [criar e configurar trabalhos de descoberta de dados confidenciais](discovery-jobs-create.md) para usá-la ou [adicioná-la às suas configurações de descoberta automatizada de dados confidenciais](discovery-asdd-account-configure.md). Em seguida, o Macie usa a lista ao analisar os dados. Se o Macie encontrar um texto que corresponda a uma entrada ou padrão em uma lista de permissões, o Macie não relatará essa ocorrência de texto em descobertas de dados sigilosos, estatísticas e outros tipos de resultados.
Você pode gerenciar e usar listas de permissão em todos os Regiões da AWS lugares onde o Macie está disponível atualmente, exceto na região Ásia-Pacífico (Osaka).
**Topics**
+ [Opções de configuração para listas de permissões](allow-lists-options.md)
+ [Criar uma lista de permissões](allow-lists-create.md)
+ [Verificar o status de uma lista de permissões](allow-lists-status-check.md)
+ [Alterar uma lista de permissões](allow-lists-change.md)
+ [Excluir uma lista de permissões](allow-lists-delete.md)
# Requisitos e opções de configuração para listas de permissões
No Amazon Macie, você pode usar listas de permissões para especificar um texto ou padrões de texto que você deseja que o Macie ignore ao inspecionar objetos do Amazon Storage Service (Amazon S3) em busca de dados confidenciais. O Macie fornece opções para dois tipos de listas de permissões, texto predefinido e expressões regulares.
Uma lista de texto predefinido é útil quando você deseja que o Macie ignore palavras, frases e outros tipos específicos de sequências de caracteres que você não considera confidenciais. Os exemplos são os nomes dos representantes públicos da organização, números de telefone específicos ou dados de amostra específicos que a organização usa para testes. Se o Macie encontrar um texto que corresponda aos critérios de um identificador de dados gerenciado ou personalizado e o texto também corresponder a uma entrada em uma lista de permissões, o Macie não reportará essa ocorrência de texto em descobertas de dados confidenciais, estatísticas e outros tipos de resultados.
Uma expressão regular (*regex*) é útil quando você deseja que o Macie ignore um texto que varia ou pode ser alterado e, ao mesmo tempo, também segue um padrão comum. O regex especifica um padrão de texto a ser ignorado. Os exemplos são números de telefone públicos da organização, endereços de e-mail do domínio da organização ou dados de amostra padronizados que a organização usa para testes. Se o Macie encontrar um texto que corresponda aos critérios de um identificador de dados gerenciado ou personalizado e o texto também corresponder a um padrão de regex em uma lista de permissões, o Macie não reportará essa ocorrência de texto em descobertas de dados confidenciais, estatísticas e outros tipos de resultados.
Você pode criar e usar os dois tipos de listas de permissão em todos os Regiões da AWS lugares onde o Macie está disponível atualmente, exceto na região Ásia-Pacífico (Osaka). Ao criar e gerenciar listas de permissões, lembre-se das seguintes opções e requisitos. Observe também que não há suporte para entradas de lista e padrões de regex para endereços de correspondência.
**Contents**
+ [Opções e requisitos para listas de texto predefinido](#allow-lists-options-s3list)
+ [Requisitos de sintaxe](#allow-lists-options-s3list-syntax)
+ [Requisitos de armazenamento](#allow-lists-options-s3list-storage)
+ [Requisitos de criptografia/descriptografia](#allow-lists-options-s3list-encryption)
+ [Considerações e recomendações de design](#allow-lists-options-s3list-notes)
+ [Opções e requisitos para expressões regulares](#allow-lists-options-regex)
+ [Suporte e recomendações de sintaxe](#allow-lists-options-regex-syntax)
+ [Exemplos](#allow-lists-options-regex-examples)
## Opções e requisitos para listas de texto predefinido
Para esse tipo de lista de permissões, você fornece um arquivo de texto simples delimitado por linhas que lista sequências de caracteres específicas a serem ignoradas. As entradas da lista são normalmente palavras, frases e outros tipos de sequências de caracteres que você não considera confidenciais, que provavelmente não serão alteradas e não necessariamente aderem a um padrão específico. Se você usar esse tipo de lista, o Amazon Macie não relatará ocorrências de texto que correspondam exatamente a uma entrada na lista. Macie trata cada entrada da lista como um valor literal de string.
Para usar esse tipo de lista de permissões, comece criando a lista em um editor de texto e salvando-a como um arquivo de texto simples. Em seguida, faça o upload da lista em um bucket geral do S3. Além disso, assegure que as configurações de armazenamento e de criptografia do bucket e do objeto permitam que o Macie recupere e descriptografe a lista. Em seguida, [crie e defina as configurações da lista](allow-lists-create.md) no Macie.
Depois de definir as configurações no Macie, recomendamos que você teste a lista de permissões com um conjunto pequeno e representativo de dados da sua conta ou organização. Para testar uma lista, você pode [criar um trabalho único](discovery-jobs-create.md). Configure o trabalho para usar a lista, além dos identificadores de dados gerenciados e personalizados normalmente usados para analisar dados. Em seguida, você pode analisar os resultados do trabalho — descobertas de dados confidenciais, resultados de detecções de dados confidenciais ou ambos. Se os resultados do trabalho forem diferentes do esperado, você poderá alterar e testar a lista até que os resultados sejam os esperados.
Depois de concluir a configuração e o teste de uma lista de permissões, você pode criar e configurar trabalhos adicionais para usá-la ou adicioná-la às configurações de descoberta automatizada de dados confidenciais. Quando esses trabalhos começam a ser executados ou o próximo ciclo automatizado de análise de descoberta começa, o Macie recupera a versão mais recente da lista do Amazon S3 e a armazena na memória temporária. Em seguida, o Macie usa essa cópia temporária da lista ao inspecionar objetos do S3 em busca de dados confidenciais. Quando um trabalho termina de ser executado ou o ciclo de análise é concluído, o Macie exclui permanentemente sua cópia da lista da memória. A lista não persiste no Macie. Somente as configurações da lista persistem no Macie.
**Importante**
Como as listas de texto predefinido não persistem no Macie, é importante [verificar o status de suas listas de permissão periodicamente](allow-lists-status-check.md). Se o Macie não conseguir recuperar ou analisar uma lista para a qual você configurou um trabalho ou uma descoberta automatizada, o Macie não usará a lista. Isso pode produzir resultados inesperados, como descobertas de dados confidenciais para texto que você especificou na lista.
**Topics**
+ [Requisitos de sintaxe](#allow-lists-options-s3list-syntax)
+ [Requisitos de armazenamento](#allow-lists-options-s3list-storage)
+ [Requisitos de criptografia/descriptografia](#allow-lists-options-s3list-encryption)
+ [Considerações e recomendações de design](#allow-lists-options-s3list-notes)
### Requisitos de sintaxe
Ao criar esse tipo de lista de permissões, observe os seguintes requisitos para o arquivo da lista:
+ A lista deve ser armazenada como um arquivo de texto simples (`text/plain`), como um arquivo.txt, .text ou .plain.
+ A lista deve usar quebras de linha para separar entradas individuais. Por exemplo:
```
Akua Mansa
John Doe
Martha Rivera
425-555-0100
425-555-0101
425-555-0102
```
Macie trata cada linha como uma entrada única e distinta na lista. O arquivo também pode conter linhas em branco para melhorar a legibilidade. O Macie ignora as linhas em branco ao analisar o arquivo.
+ Cada palavra-chave pode conter de 1 a 90 caracteres UTF-8.
+ Cada entrada deve ser uma correspondência completa e exata para que o texto seja ignorado. O Macie não suporta o uso de caracteres curinga ou valores parciais para entradas. Macie trata cada entrada como um valor literal de string. As correspondências não fazem distinção entre maiúsculas e minúsculas.
+ O arquivo pode conter de 1 a 100.000 entradas.
+ O tamanho total de armazenamento do arquivo não pode exceder 35 MB.
### Requisitos de armazenamento
Ao adicionar e gerenciar listas de permissões no Amazon S3, observe os seguintes requisitos e recomendações de armazenamento:
+ **Suporte regional** — Uma lista de permissões deve ser armazenada em um bucket Região da AWS igual à sua conta Macie. O Macie não pode acessar uma lista de permissões se ela estiver armazenada em uma região diferente.
+ **Propriedade do bucket** — Uma lista de permissões deve ser armazenada em um bucket que seja de sua propriedade Conta da AWS. Se você quiser que outras contas usem a mesma lista de permissões, considere criar uma regra de replicação do Amazon S3 para replicar a lista em buckets pertencentes a essas contas. Para obter informações sobre como replicar objetos do S3, consulte [Replicar objetos](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication.html), no *Guia do usuário do Amazon Simple Storage Service*.
Além disso, sua identidade AWS Identity and Access Management (IAM) deve ter acesso de leitura ao bucket e ao objeto que armazenam a lista. Caso contrário, você não poderá criar ou atualizar as configurações da lista ou verificar o status da lista usando o Macie.
+ **Classes e tipos de armazenamento**: uma lista de permissões deve ser armazenada em um bucket geral, não em um bucket de diretórios. Além disso, ela deve ser armazenada usando uma das seguintes classes de armazenamento: redundância reduzida (RRS), S3 Glacier Instant Retrieval, S3 Intelligent-Tiering, S3 One Zone-IA, S3 Standard ou S3 Standard-IA.
+ **Políticas de bucket**: se você armazenar uma lista de permissões em um bucket que tenha uma política de bucket restritiva, verifique se a política permita que o Macie recupere a lista. Para fazer isso, você pode adicionar uma condição para a função vinculada ao serviço do Macie à política do bucket. Para obter mais informações, consulte [Permitindo que o Amazon Macie acesse buckets e objetos do S3](monitoring-restrictive-s3-buckets.md).
Além disso, certifique-se de que a política permita que sua identidade do IAM tenha acesso de leitura ao bucket. Caso contrário, você não poderá criar ou atualizar as configurações da lista ou verificar o status da lista usando o Macie.
+ **Caminhos de objetos**: se você armazenar mais de uma lista de permissões no Amazon S3, o caminho do objeto para cada lista deve ser exclusivo. Em outras palavras, cada lista de permissões deve ser armazenada separadamente em seu próprio objeto do S3.
+ **Versionamento**: quando você adiciona uma lista de permissões a um bucket, recomendamos que você também habilite o versionamento para o bucket. Em seguida, você pode usar valores de data e hora para correlacionar versões da lista com os resultados de trabalhos de descoberta de dados confidenciais e ciclos automatizados de descoberta de dados confidenciais que usam a lista. Isso pode ajudar nas auditorias ou investigações de privacidade e proteção de dados que você realiza.
+ **Bloqueio de objetos**: para evitar que uma lista de permissões seja excluída ou substituída por um determinado período ou indefinidamente, você pode habilitar o Bloqueio de objetos para o bucket que armazena a lista. Habilitar essa configuração não impede que o Macie acesse a lista. Para obter informações sobre essa configuração, consulte [Bloquear objetos com o Object Lock](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock.html) no *Guia do usuário do Amazon Simple Storage Service*.
### Requisitos de criptografia/descriptografia
Se você criptografar uma lista de permissões no Amazon S3, a política de permissões para a função [vinculada ao serviço Macie normalmente concede](service-linked-roles.md) ao Macie as permissões necessárias para descriptografar a lista. No entanto, isso depende do tipo de criptografia usada:
+ Se uma lista for criptografada usando a criptografia do lado do servidor com uma chave gerenciada do Amazon S3 (SSE-S3), o Macie poderá descriptografar a lista. A função vinculada ao serviço da sua conta Macie concede à Macie as permissões de que ela precisa.
+ Se uma lista for criptografada usando criptografia do lado do servidor com um AWS gerenciado AWS KMS key (DSSE-KMS ou SSE-KMS), o Macie poderá descriptografar a lista. A função vinculada ao serviço da sua conta Macie concede à Macie as permissões de que ela precisa.
+ Se uma lista for criptografada usando criptografia do lado do servidor com uma AWS KMS key gerenciada pelo cliente (DSSE-KMS ou SSE-KMS), o Macie só poderá descriptografar a lista se você permitir que ele use a chave. Para aprender a fazer isso, consulte [Permitindo que Macie use um serviço gerenciado pelo cliente AWS KMS key](discovery-supported-encryption-types.md#discovery-supported-encryption-cmk-configuration).
**nota**
Você pode criptografar uma lista com um cliente gerenciado AWS KMS key em um armazenamento de chaves externo. No entanto, a chave pode, então, ser mais lenta e menos confiável do que uma chave totalmente gerenciada no AWS KMS. Se a latência ou um problema de disponibilidade impedir o Macie de decifrar a lista, o Macie não usará a lista ao analisar objetos do S3. Isso pode produzir resultados inesperados, como descobertas de dados confidenciais para texto que você especificou na lista. Para reduzir esse risco, considere armazenar a lista em um bucket do S3 configurado para usar a chave como chave do bucket do S3.
Para obter informações sobre o uso de chaves KMS em repositórios de chaves externos, consulte [Repositórios de chaves externos](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-external.html) no *Guia do desenvolvedor do AWS Key Management Service *. Para obter informações sobre como usar chaves de bucket do S3, consulte[Reduzindo o custo do SSE-KMS com chaves de bucket do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html) no *Guia do usuário do Amazon Simple Storage Service*.
+ Se uma lista for criptografada usando a criptografia do lado do servidor com uma chave fornecida pelo cliente (SSE-C) ou a criptografia do lado do cliente, o Macie não poderá descriptografar a lista. Em vez disso, considere usar a criptografia SSE-S3, DSSE-KMS ou SSE-KMS.
Se uma lista for criptografada com uma chave KMS AWS gerenciada ou uma chave KMS gerenciada pelo cliente, sua identidade AWS Identity and Access Management (IAM) também deverá ter permissão para usar a chave. Caso contrário, você não poderá criar ou atualizar as configurações da lista ou verificar o status da lista usando o Macie. Para saber como verificar ou alterar as permissões de uma chave KMS, consulte [Políticas de chaves AWS KMS no](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) *Guia do AWS Key Management Service desenvolvedor*.
Para obter informações detalhadas sobre opções de criptografia de dados do Amazon S3, consulte [Proteger dados usando criptografia](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingEncryption.html) no *Guia do usuário do Amazon Simple Storage Service*.
### Considerações e recomendações de design
Em geral, Macie trata cada entrada em uma lista de permissões como um valor literal de string. Ou seja, Macie ignora cada ocorrência de texto que corresponda exatamente a uma entrada completa em uma lista de permissões. As correspondências não fazem distinção entre maiúsculas e minúsculas.
No entanto, o Macie usa as entradas como parte de uma estrutura maior de extração e análise de dados. A estrutura inclui funções de aprendizado de máquina e correspondência de padrões que fatoram dimensões como variações gramaticais e sintáticas e, em muitos casos, proximidade de palavras-chave. A estrutura também considera o tipo de arquivo ou formato de armazenamento de um objeto S3. Portanto, lembre-se das seguintes considerações e recomendações ao adicionar e gerenciar as entradas em uma lista de permissões.
**Prepare-se para diferentes tipos de arquivos e formatos de armazenamento**
Para dados não estruturados, como texto em um arquivo Adobe Portable Document Format (.pdf), o Macie ignora o texto que corresponde exatamente a uma entrada completa em uma lista de permissões, incluindo texto que abrange várias linhas ou páginas.
Para dados estruturados, como dados colunares em um arquivo CSV ou dados baseados em registros em um arquivo JSON, o Macie ignora o texto que corresponda exatamente a uma entrada completa em uma lista de permissões se todo o texto estiver armazenado em um único campo, célula ou matriz. Esse requisito não se aplica a dados estruturados armazenados em um arquivo não estruturado, como uma tabela em um arquivo.pdf.
Por exemplo, considere o seguinte conteúdo em um arquivo CSV:
```
Name,Account ID
Akua Mansa,111111111111
John Doe,222222222222
```
Se `Akua Mansa` e `John Doe` forem entradas em uma lista de permissões, o Macie ignorará esses nomes no arquivo CSV. O texto completo de cada entrada da lista é armazenado em um único `Name` campo.
Por outro lado, considere um arquivo CSV que contenha as seguintes colunas e campos:
```
First Name,Last Name,Account ID
Akua,Mansa,111111111111
John,Doe,222222222222
```
Se `Akua Mansa` e `John Doe` forem entradas em uma lista de permissões, o Macie não ignorará esses nomes no arquivo CSV. Nenhum dos campos no arquivo CSV contém o texto completo de uma entrada na lista de permissões.
**Inclua variações comuns**
Adicione entradas para variações comuns de dados numéricos, nomes próprios, termos e sequências de caracteres alfanuméricos. Por exemplo, se você adicionar nomes ou frases que contenham somente um espaço entre as palavras, adicione também variações que incluam dois espaços entre as palavras. Da mesma forma, adicione palavras e frases que contenham ou não caracteres especiais e considere incluir variações sintáticas e semânticas comuns.
Para o número de telefone *425-555-0100* dos EUA, por exemplo, você pode adicionar essas entradas a uma lista de permissões:
```
425-555-0100
425.555.0100
(425) 555-0100
+1-425-555-0100
```
Para a data *de 1º de fevereiro de 2022* em um contexto multinacional, você pode adicionar entradas que incluam variações sintáticas comuns para inglês e francês, incluindo variações que incluem e não incluem caracteres especiais:
```
February 1, 2022
1 février 2022
1 fevrier 2022
Feb 01, 2022
1 fév 2022
1 fev 2022
02/01/2022
01/02/2022
```
Para nomes de pessoas, inclua entradas para várias formas de nome que você não considera confidenciais. Por exemplo, inclua: o nome seguido pelo sobrenome; o sobrenome seguido pelo nome, o nome e o sobrenome separados por um espaço; o nome e o sobrenome separados por dois espaços; e apelidos.
Para o nome *Martha Rivera*, por exemplo, você pode adicionar:
```
Martha Rivera
Martha Rivera
Rivera, Martha
Rivera, Martha
Rivera Martha
Rivera Martha
```
Se você quiser ignorar variações de um nome específico que contém muitas partes, crie uma lista de permissões que use uma expressão regular em vez disso. Por exemplo, para o nome *Dra. Martha Lyda Rivera, PhD,* você pode usar a seguinte expressão regular: `^(Dr. )?Martha\s(Lyda|L\.)?\s?Rivera,?( PhD)?$`
## Opções e requisitos para expressões regulares
Para esse tipo de lista de permissões, especifique uma expressão regular (*regex*) que defina um padrão de texto a ser ignorado. Por exemplo, você pode especificar o padrão para números de telefone públicos da organização, endereços de e-mail do domínio da organização ou dados de amostra padronizados que a organização usa para testes. O regex define um padrão comum para um tipo específico de dados que você não considera confidenciais. Se você usar esse tipo de lista de permissões, o Amazon Macie não relatará ocorrências de texto que correspondam completamente ao padrão especificado. Ao contrário de uma lista de permissões que especifica texto predefinido a ser ignorado, você cria e armazena a regex e todas as outras configurações de lista no Macie.
Ao criar ou atualizar esse tipo de lista de permissões, você pode testar o regex da lista com dados de amostra antes de salvar a lista. Recomendamos fazer isso com vários conjuntos de dados de amostra. Se você criar um regex muito geral, o Macie poderá ignorar ocorrências de texto que você considera confidenciais. Se um regex for muito específico, o Macie pode não ignorar ocorrências de texto que você não considera confidenciais. Para se proteger contra expressões malformadas ou de longa duração, o Macie também compila e testa automaticamente o regex em uma coleção de texto de amostra e notifica você sobre problemas a serem resolvidos.
Para testes adicionais, recomendamos que você também teste o regex da lista com um conjunto pequeno e representativo de dados da sua conta ou organização. Para fazer isso, você pode [criar um trabalho único](discovery-jobs-create.md). Configure o trabalho para usar a lista, além dos identificadores de dados gerenciados e personalizados normalmente usados para analisar dados. Em seguida, você pode analisar os resultados do trabalho — descobertas de dados confidenciais, resultados de detecções de dados confidenciais ou ambos. Se os resultados do trabalho forem diferentes do esperado, você poderá alterar e testar o regex até que os resultados sejam os esperados.
Depois de configurar e testar uma lista de permissões, você pode criar e configurar trabalhos adicionais para usá-la ou adicioná-la às configurações de descoberta automatizada de dados confidenciais. Quando esses trabalhos são executados ou o Macie realiza uma descoberta automatizada, o Macie usa a versão mais recente do regex da lista para analisar os dados.
**Topics**
+ [Suporte e recomendações de sintaxe](#allow-lists-options-regex-syntax)
+ [Exemplos](#allow-lists-options-regex-examples)
### Suporte e recomendações de sintaxe
Uma lista de permissões pode especificar uma expressão regular (*regex*) que contém até 512 caracteres. O Macie suporta um subconjunto da sintaxe do padrão regex fornecida pela [biblioteca Perl Compatible Regular Expressions (PCRE)](https://www.pcre.org/). Das estruturas fornecidas pela biblioteca PCRE, o Macie não suporta os seguintes elementos de padrão:
+ Referências anteriores
+ Capturar grupos
+ Padrões condicionais
+ Código incorporado
+ Sinalizadores de padrões globais, como `/i``/m`, e `/x`
+ Padrões recursivos
+ Afirmações positivas e negativas de largura zero de retrospectiva e prospectiva, como e `?=`, `?!`, `?<=` e `?
Os exemplos a seguir demonstram padrões de regex válidos para alguns cenários comuns.
**Endereços de e-mail**
Se você usar um identificador de dados personalizado para detectar endereços de e-mail, poderá ignorar endereços de e-mail que não considere confidenciais, como endereços de e-mail da sua organização.
Para ignorar endereços de e-mail de um determinado domínio de segundo e primeiro nível, você pode usar esse padrão:
`[a-zA-Z0-9_.+\\-]+@example\.com`
Onde *example* está o nome do domínio de segundo nível e *com* é o domínio de nível superior. *Nesse caso, Macie combina e ignora endereços como *johndoe@example.com * e john.doe@example.com.*
Para ignorar endereços de e-mail de um domínio específico em qualquer domínio genérico de primeiro nível (gTLD), *como* .com *ou* .gov, você pode usar esse padrão:
`[a-zA-Z0-9_.+\\-]+@example\.[a-zA-Z]{2,}`
Onde *example* está o nome do domínio. *Nesse caso, Macie combina e ignora endereços como *johndoe@example.com*, *john.doe@example.gov* e johndoe@example.edu.*
Para ignorar endereços de e-mail de um domínio específico em qualquer domínio de primeiro nível com código de país (ccTLD), *como* .ca para o Canadá ou *.au* para a Austrália, você pode usar esse padrão:
`[a-zA-Z0-9_.+\\-]+@example\.(ca|au)`
Onde *example* está o nome do domínio *ca* e *au* quais cc específicos devem TLDs ser ignorados. *Nesse caso, Macie combina e ignora endereços como *johndoe@example.ca e john.doe@example.au*.*
Para ignorar endereços de e-mail que são de um determinado domínio e gTLD e incluir domínios de terceiro e quarto níveis, você pode usar esse padrão:
`[a-zA-Z0-9_.+\\-]+@([a-zA-Z0-9-]+\.)?[a-zA-Z0-9-]+\.example\.com`
Onde *example* está o nome do domínio e *com* o gTLD. *Nesse caso, Macie combina e ignora endereços como *johndoe@www.example.com e john.doe@www.team.example.com*.*
**Números de telefone**
O Macie fornece identificadores de dados gerenciados que podem detectar números de telefone de vários países e regiões. Para ignorar determinados números de telefone, como números gratuitos ou números de telefone públicos da sua organização, você pode usar padrões como os seguintes.
Para ignorar números de telefone gratuitos dos EUA que usam o código de área *800 e estão formatados como (800**)* \$1\$1\$1-\$1\$1\$1\$1:
`^\(?800\)?[ -]?\d{3}[ -]?\d{4}$`
Para ignorar números de telefone gratuitos dos EUA que usam o código de área 888 e estão formatados como *(**888*) \$1\$1\$1-\$1\$1\$1\$1:
`^\(?888\)?[ -]?\d{3}[ -]?\d{4}$`
Para ignorar números de telefone franceses de 10 dígitos que incluem o código do país *33* e estão formatados como *\$133 \$1\$1 \$1\$1 \$1\$1 \$1\$1*:
`^\+33 \d( \d\d){4}$`
Para ignorar os números de telefone dos EUA e do Canadá que usam códigos de área e de câmbio específicos, não inclua um código de país e estão formatados como *(\$1\$1\$1) \$1\$1\$1-\$1\$1\$1\$1*:
`^\(?123\)?[ -]?555[ -]?\d{4}$`
Onde *123* está o código de área e *555* está o código de troca.
Para ignorar os números de telefone dos EUA e do Canadá que usam códigos de área e de câmbio específicos, inclua um código de país e estejam formatados como *\$11 (\$1\$1\$1) \$1\$1\$1-\$1\$1\$1\$1*:
`^\+1\(?123\)?[ -]?555[ -]?\d{4}$`
Onde *123* está o código de área e *555* está o código de troca.
# Criar uma lista de permissões
No Amazon Macie, uma lista de permissões define um texto específico ou um padrão de texto que você deseja que o Macie deverá ignorar ao inspecionar objetos do Amazon Simple Storage Service (Amazon S3) em busca de dados em busca de dados confidenciais. Se o texto corresponder a uma entrada ou padrão em uma lista de permissões, o Macie não relatará o texto em descobertas de dados confidenciais, estatísticas ou outros tipos de resultados. Esse é o caso mesmo que o texto corresponda aos critérios de um [identificador de dados gerenciado](managed-data-identifiers.md) ou de um [identificador de dados personalizado](custom-data-identifiers.md).
Você pode criar os seguintes tipos de listas de permissões no Macie.
**Texto predefinido**
Use esse tipo de lista para especificar palavras, frases e outros tipos de sequências de caracteres que não são sensíveis, não têm probabilidade de mudar e não necessariamente aderem a um padrão comum. Os exemplos são nomes dos representantes públicos da organização, números de telefone específicos e dados de amostra específicos que a organização usa para testes. Se você usar esse tipo de lista, o Macie ignorará um texto que corresponder exatamente a uma entrada da lista.
Para esse tipo de lista, você cria um arquivo de texto simples delimitado por linha que lista o texto específico a ser ignorado. Em seguida, você armazena o arquivo em um bucket S3 e define as configurações para que o Macie acesse a lista no bucket. Depois, você pode criar e configurar trabalhos de descoberta de dados confidenciais para usar a lista ou adicioná-la às configurações da descoberta automatizada de dados confidenciais. Quando cada trabalho começa a ser executado ou o próximo ciclo automatizado de análise de descoberta começa, Macie recupera a versão mais recente da lista no Amazon S3. Em seguida, o Macie usa essa versão da lista ao inspecionar objetos do S3 em busca de dados confidenciais. Se o Macie encontrar um texto que corresponda exatamente a uma entrada da lista, o Macie não reportará essa ocorrência de texto como dados confidenciais.
**Expressão regular**
Use este tipo de lista para especificar uma expressão regular (*regex*) que defina um padrão de texto a ser ignorado. Os exemplos são números de telefone públicos da organização, endereços de e-mail do domínio da organização e dados de amostra padronizados que a organização usa para testes. Se você usar esse tipo de lista, o Macie ignorará o texto que corresponda completamente ao padrão regex definido pela lista.
Para esse tipo de lista, você cria um regex que define um padrão comum para um texto que não é confidencial mas que varia ou pode ser alterado. Ao contrário de uma lista de texto predefinido, você cria e armazena o regex e todas as outras configurações de lista no Macie. Depois, você pode criar e configurar trabalhos de descoberta de dados confidenciais para usar a lista ou adicioná-la às configurações da descoberta automatizada de dados confidenciais. Quando esses trabalhos são executados ou quando o Macie realiza uma descoberta automatizada, o Macie usa a versão mais recente do regex da lista para analisar os dados. Se o Macie encontrar um texto que corresponda exatamente ao padrão definido pela lista, o Macie não reportará essa ocorrência de texto como dados confidenciais.
Para obter requisitos detalhados, recomendações e exemplos de cada tipo, consulte [Requisitos e opções de configuração para listas de permissões](allow-lists-options.md).
Você pode criar até 10 listas de permissão em cada uma compatível Região da AWS: até cinco listas de permissão que especificam texto predefinido e até cinco listas de permissão que especificam expressões regulares. Você pode criar e usar listas de permissão em todos os Regiões da AWS lugares onde o Macie está disponível atualmente, exceto na região Ásia-Pacífico (Osaka).
**Para criar uma lista de permissões**
A forma como você cria uma lista de permissões depende do tipo de lista que você deseja criar: um arquivo que lista texto predefinido a ser ignorado ou uma expressão regular que define um padrão de texto a ser ignorado. As seções a seguir apresentam instruções para cada tipo. Escolha a seção do tipo de lista que você deseja criar.
## Texto predefinido
Antes de criar esse tipo de lista de permissões no Macie, execute as seguintes etapas:
1. Usando um editor de texto, crie um arquivo de texto simples delimitado por linha que lista um texto específico a ser ignorado, por exemplo, um arquivo .txt, .text ou .plain. Para obter mais informações, consulte [Requisitos de sintaxe](allow-lists-options.md#allow-lists-options-s3list-syntax).
1. Faça upload do arquivo em um bucket geral do S3 e anote o nome do bucket e do objeto. Você precisará inserir esses nomes ao definir as configurações no Macie.
1. Certifique-se de que as configurações do bucket e do objeto do S3 permitam que você e o Macie recuperem a lista do bucket. Para obter mais informações, consulte [Requisitos de armazenamento](allow-lists-options.md#allow-lists-options-s3list-storage).
1. Se você criptografou o objeto do S3, certifique-se de que ele esteja criptografado com uma chave que você e o Macie tenham permissão para usar. Para obter mais informações, consulte [Requisitos de criptografia/descriptografia](allow-lists-options.md#allow-lists-options-s3list-encryption).
Depois de concluir essas tarefas, você estará pronto para definir as configurações da lista no Macie. Você pode definir as configurações usando o console do Amazon Macie ou a API do Amazon Macie.
------
#### [ Console ]
Siga estas etapas para definir as configurações de uma lista de permissões usando o console do Amazon Macie.
**Para definir as configurações da lista de permissões no Macie**
1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. No painel de navegação, em **Configurações**, selecione **Listas de permissões**.
1. Na página **Listas de permissões**, escolha **Criar**.
1. Em **Selecionar um tipo de lista**, escolha **Texto predefinido**.
1. Em **Configurações da lista**, use as seguintes opções para inserir configurações adicionais para a lista de permissões:
+ Em **Nome**, insira um nome para a regra. Um nome pode conter até 128 caracteres.
+ Para **Descrição**, insira opcionalmente uma breve descrição da lista. A descrição pode conter até 512 caracteres.
+ Em **Nome do bucket do S3**, insira o nome do bucket que armazena a lista.
No Amazon S3, você pode encontrar esse valor no campo **Nome** das propriedades do bucket. Esse valor diferencia maiúsculas de minúsculas. Além disso, não use caracteres curinga ou valores parciais ao inserir o nome.
+ Em **Nome do objeto do S3**, insira o nome do objeto do S3 que armazena a lista.
No Amazon S3, você pode encontrar esse valor no campo **Chave** das propriedades do objeto. Se o nome incluir um caminho, certifique-se de incluir o caminho completo ao inserir o nome, por exemplo **allowlists/macie/mylist.txt**. Esse valor diferencia maiúsculas de minúsculas. Além disso, não use caracteres curinga ou valores parciais ao inserir o nome.
1. (Opcional) Em **Tags**, escolha **Adicionar tag** e insira até 50 tags para atribuir à lista de permissões.
Uma *tag* é um rótulo que você define e atribui a determinados tipos de AWS recursos. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. As tags podem ajudá-lo a identificar, categorizar e gerenciar recursos de diferentes maneiras, como por finalidade, proprietário, ambiente ou outros critérios. Para saber mais, consulte [Marcar recursos do Macie](tagging-resources.md).
1. Ao concluir, selecione **Create**.
Macie testa as configurações da lista. O Macie também verifica se pode recuperar a lista do Amazon S3 e analisar o conteúdo da lista. Se ocorrer um erro, o Macie exibirá uma mensagem que descreve o erro. Para obter informações detalhadas que podem ajudar você a resolver o erro, consulte [Opções e requisitos para listas de texto predefinido](allow-lists-options.md#allow-lists-options-s3list). Depois de corrigir qualquer erro, você pode salvar as configurações da lista.
------
#### [ API ]
Para definir as configurações da lista de permissões programaticamente, use a [CreateAllowList](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists.html)operação da API Amazon Macie e especifique os valores apropriados para os parâmetros necessários.
Para o parâmetro `criteria`, use um objeto `s3WordsList` para especificar o nome do bucket do S3 (`bucketName`) e o nome do objeto do S3 (`objectKey`) que armazena a lista. Para determinar o nome do bucket, consulte o campo `Name` no Amazon S3. Para determinar o nome do objeto, consulte o campo `Key` no Amazon S3. Observe que esses valores diferenciam maiúsculas de minúsculas. Além disso, não use caracteres curinga ou valores parciais ao especificar esses nomes.
Para definir as configurações usando o AWS CLI, execute o [create-allow-list](https://docs.aws.amazon.com/cli/latest/reference/macie2/create-allow-list.html)comando e especifique os valores apropriados para os parâmetros necessários. Os exemplos a seguir mostram como definir as configurações de uma lista de permissões armazenada em um bucket do S3 chamado*amzn-s3-demo-bucket*. O nome do objeto S3 que armazena a lista é*allowlists/macie/mylist.txt*.
Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.
```
$ aws macie2 create-allow-list \
--criteria '{"s3WordsList":{"bucketName":"amzn-s3-demo-bucket","objectKey":"allowlists/macie/mylist.txt"}}' \
--name my_allow_list \
--description "Lists public phone numbers and names for Example Corp."
```
Este exemplo foi formatado para Microsoft Windows e usa o caractere de continuação de linha circunflexo (^) para melhorar a legibilidade.
```
C:\> aws macie2 create-allow-list ^
--criteria={\"s3WordsList\":{\"bucketName\":\"amzn-s3-demo-bucket\",\"objectKey\":\"allowlists/macie/mylist.txt\"}} ^
--name my_allow_list ^
--description "Lists public phone numbers and names for Example Corp."
```
Quando você envia sua solicitação, o Macie testa as configurações da lista. O Macie também verifica se pode recuperar a lista do Amazon S3 e analisar o conteúdo da lista. Se ocorrer um erro, sua solicitação falhará e o Macie retornará uma mensagem descrevendo o erro. Para obter informações detalhadas que podem ajudar você a resolver o erro, consulte [Opções e requisitos para listas de texto predefinido](allow-lists-options.md#allow-lists-options-s3list).
Se o Macie puder recuperar e analisar a lista, sua solicitação será bem-sucedida e você receberá um resultado semelhante ao seguinte.
```
{
"arn": "arn:aws:macie2:us-west-2:123456789012:allow-list/nkr81bmtu2542yyexample",
"id": "nkr81bmtu2542yyexample"
}
```
Onde `arn` está o nome do recurso da Amazon (ARN) da lista de permissões que foi criada e `id` é o identificador exclusivo da lista.
------
Depois de salvar as configurações da lista, você pode [criar e configurar trabalhos de descoberta de dados confidenciais](discovery-jobs-create.md) para usar a lista ou [adicionar a lista às suas configurações de descoberta automatizada de dados confidenciais](discovery-asdd-account-configure.md). Cada vez que esses trabalhos começam a ser executados ou um ciclo automatizado de análise de descoberta é iniciado, o Macie recupera a versão mais recente da lista no Amazon S3. Em seguida, Macie usa essa versão da lista ao analisar os dados.
## Expressão regular
Ao criar uma lista de permissões que especifica uma expressão regular (*regex*), você define a regex e todas as outras configurações da lista diretamente no Macie. Para o regex, o Macie suporta um subconjunto da sintaxe do padrão fornecida pela [biblioteca Perl Compatible Regular Expressions (PCRE)](https://www.pcre.org/). Para obter mais informações, consulte [Suporte e recomendações de sintaxe](allow-lists-options.md#allow-lists-options-regex-syntax).
Você pode criar esse tipo de lista usando o console do Amazon Macie ou a API do Amazon Macie.
------
#### [ Console ]
Siga estas etapas para criar uma lista de permissões usando o console do Amazon Macie.
**Para criar uma lista de permissões usando o console**
1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. No painel de navegação, em **Configurações**, selecione **Listas de permissões**.
1. Na página **Listas de permissões**, escolha **Criar**.
1. Em **Selecionar um tipo de lista**, escolha **Expressão regular**.
1. Em **Configurações da lista**, use as seguintes opções para inserir configurações adicionais para a lista de permissões:
+ Em **Nome**, insira um nome para a regra. Um nome pode conter até 128 caracteres.
+ Para **Descrição**, insira opcionalmente uma breve descrição da lista. A descrição pode conter até 512 caracteres.
+ A **expressão regular**, insira a regex que define o padrão de texto a ser ignorado. A regex pode conter até 512 caracteres.
1. (Opcional) Em **Avaliar**, insira até 1.000 caracteres na caixa **Dados de exemplo** e escolha **Testar** para testar o regex. Macie avalia os dados da amostra e relata o número de ocorrências de texto que correspondem ao regex. Você pode repetir essa etapa quantas vezes quiser para refinar e otimizar o regex.
**nota**
Recomendamos que você teste e refine o regex com vários conjuntos de dados de amostra. Se você criar um regex muito geral, o Macie poderá ignorar ocorrências de texto que você considera confidenciais. Se um regex for muito específico, o Macie pode não ignorar ocorrências de texto que você não considera confidenciais.
1. (Opcional) Em **Tags**, escolha **Adicionar tag** e insira até 50 tags para atribuir à lista de permissões.
Uma *tag* é um rótulo que você define e atribui a determinados tipos de AWS recursos. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. As tags podem ajudá-lo a identificar, categorizar e gerenciar recursos de diferentes maneiras, como por finalidade, proprietário, ambiente ou outros critérios. Para saber mais, consulte [Marcar recursos do Macie](tagging-resources.md).
1. Ao concluir, selecione **Create**.
Macie testa as configurações da lista. O Macie também testa o regex para verificar se ele pode compilar a expressão. Se ocorrer um erro, o Macie exibirá uma mensagem que descreve o erro. Para obter informações detalhadas que podem ajudar você a resolver o erro, consulte [Opções e requisitos para expressões regulares](allow-lists-options.md#allow-lists-options-regex). Depois de corrigir qualquer erro, você pode salvar a lista de permissões.
------
#### [ API ]
Antes de criar esse tipo de lista de permissões no Macie, recomendamos que você teste e refine o regex com vários conjuntos de dados de amostra. Se você criar um regex muito geral, o Macie poderá ignorar ocorrências de texto que você considera confidenciais. Se um regex for muito específico, o Macie pode não ignorar ocorrências de texto que você não considera confidenciais.
Para testar uma expressão com o Macie, você pode usar a [TestCustomDataIdentifier](https://docs.aws.amazon.com/macie/latest/APIReference/custom-data-identifiers-test.html)operação da API do Amazon Macie ou, para AWS CLI o, executar [test-custom-data-identifier](https://docs.aws.amazon.com/cli/latest/reference/macie2/test-custom-data-identifier.html)o comando. O Macie usa o mesmo código subjacente para compilar expressões para listas de permissões e identificadores de dados personalizados. Se você testar uma expressão dessa forma, certifique-se de especificar valores somente para os parâmetros `regex` e `sampleText`. Caso contrário, você receberá resultados imprecisos.
Quando você estiver pronto para criar esse tipo de lista de permissões, use a [CreateAllowList](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists.html)operação da API Amazon Macie e especifique os valores apropriados para os parâmetros necessários. Para o parâmetro `criteria`, use o campo `regex` para especificar a expressão regular que define o padrão de texto a ser ignorado. A expressão pode conter até 512 caracteres.
Para criar esse tipo de lista usando o AWS CLI, execute o [create-allow-list](https://docs.aws.amazon.com/cli/latest/reference/macie2/create-allow-list.html)comando e especifique os valores apropriados para os parâmetros necessários. Os exemplos a seguir criam uma lista de permissões chamada*my\$1allow\$1list*. O regex foi criado para ignorar todos os endereços de e-mail que um identificador de dados personalizado poderia detectar no domínio `example.com`.
Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha de barra invertida (\$1) para melhorar a legibilidade.
```
$ aws macie2 create-allow-list \
--criteria '{"regex":"[a-z]@example.com"}' \
--name my_allow_list \
--description "Ignores all email addresses for Example Corp."
```
Este exemplo foi formatado para Microsoft Windows e usa o caractere de continuação de linha circunflexo (^) para melhorar a legibilidade.
```
C:\> aws macie2 create-allow-list ^
--criteria={\"regex\":\"[a-z]@example.com\"} ^
--name my_allow_list ^
--description "Ignores all email addresses for Example Corp."
```
Quando você envia sua solicitação, o Macie testa as configurações da lista. O Macie também testa o regex para verificar se ele pode compilar a expressão. Se ocorrer um erro, a solicitação falhará e o Macie retornará uma mensagem descrevendo o erro. Para obter informações detalhadas que podem ajudar você a resolver o erro, consulte [Opções e requisitos para expressões regulares](allow-lists-options.md#allow-lists-options-regex).
Se o Macie puder compilar a expressão, a solicitação será bem-sucedida e você receberá um resultado semelhante a este:
```
{
"arn": "arn:aws:macie2:us-west-2:123456789012:allow-list/km2d4y22hp6rv05example",
"id": "km2d4y22hp6rv05example"
}
```
Onde `arn` está o nome do recurso da Amazon (ARN) da lista de permissões que foi criada e `id` é o identificador exclusivo da lista.
------
Depois de salvar a lista, você pode [criar e configurar trabalhos de descoberta de dados confidenciais](discovery-jobs-create.md) para usá-la ou [adicioná-la às suas configurações de descoberta automatizada de dados confidenciais](discovery-asdd-account-configure.md). Quando esses trabalhos são executados ou quando o Macie realiza uma descoberta automatizada, o Macie usa a versão mais recente do regex da lista para analisar os dados.
# Verificar o status de uma lista de permissões
Se você criar uma lista de permissões, é importante verificar o status dela periodicamente. Caso contrário, erros podem fazer com que o Amazon Macie produza resultados de análise inesperados para os dados do Amazon Simple Storage Service (Amazon S3). Por exemplo, o Macie pode criar descobertas de dados confidenciais para textos que você especificou em uma lista de permissões.
Se você configurar uma tarefa de descoberta de dados confidenciais para usar uma lista de permissões e o Macie não conseguir acessar ou usar a lista quando a tarefa começar a ser executada, a tarefa continuará sendo executada. No entanto, Macie não usa a lista ao analisar objetos do S3. Da mesma forma, se um ciclo de análise for iniciado para a descoberta automatizada de dados confidenciais e o Macie não puder acessar ou usar uma lista de permissões especificada, a análise continuará, mas o Macie não usará a lista.
É improvável que ocorram erros em uma lista de permissões que especifica uma expressão regular (*regex*). Isso ocorre em parte porque o Macie testa automaticamente o regex quando você cria ou atualiza as configurações da lista. Além disso, você armazena o regex e todas as outras configurações da lista no Macie.
No entanto, podem ocorrer erros em uma lista de permissões que especifica texto predefinido, em parte porque você armazena a lista no Amazon S3 e não no Macie. As causas comuns de erros são:
+ O bucket ou objeto do S3 é excluído.
+ O bucket ou objeto do S3 é renomeado e as configurações da lista no Macie não especificam o novo nome.
+ As configurações de permissões do bucket do S3 são alteradas e o Macie perde o acesso ao bucket e ao objeto.
+ As configurações de criptografia do bucket do S3 foram alteradas e o Macie não consegue descriptografar o objeto que armazena a lista.
+ A política da chave de criptografia é alterada e Macie perde o acesso à chave. O Macie não consegue descriptografar o objeto do S3 que armazena a lista.
**Importante**
Como esses erros afetam os resultados de suas análises, recomendamos que você verifique o status de todas as suas listas de permissões periodicamente. Recomendamos que você também faça isso se alterar as permissões ou as configurações de criptografia de um bucket do S3 que armazena uma lista de permissões ou alterar a política de uma chave AWS Key Management Service (AWS KMS) usada para criptografar uma lista.
Para obter informações detalhadas que podem ajudá-lo a solucionar erros que ocorrem, consulte [Opções e requisitos para listas de texto predefinido](allow-lists-options.md#allow-lists-options-s3list).
**Para verificar o status de uma lista de permissões**
Você pode verificar o status de uma lista de permissões usando o console do Amazon Macie ou a API do Amazon Macie. No console, você pode usar uma única página para verificar o status de todas as listas de permissões ao mesmo tempo. Se você usar a API do Amazon Macie, poderá verificar o status de listas de permissões individuais, uma por vez.
------
#### [ Console ]
Siga estas etapas para verificar o status de suas listas de permissões usando o console do Amazon Macie.
**Para verificar o status de suas listas de permissão**
1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. No painel de navegação, em **Configurações**, selecione **Listas de permissões**.
1. Na página **Permitir listas**, escolha atualizar (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/btn-refresh-data.png)). O Macie testa as configurações de todas as suas listas de permissão e atualiza o campo **Status** para indicar o status atual de cada lista.
Se uma lista especificar uma expressão regular, seu status normalmente será **OK.** Isso significa que o Macie pode compilar a expressão. Se uma lista especificar um texto predefinido, seu status poderá ser qualquer um dos seguintes valores.
**OK**
O Macie pode recuperar e analisar o conteúdo da lista.
**Acesso negado**
Macie não tem permissão para acessar o objeto do S3 que armazena a lista. O Amazon S3 negou a solicitação de recuperação do objeto. Uma lista também pode ter esse status se o objeto for criptografado com um cliente gerenciado AWS KMS key que o Macie não tem permissão para usar.
Para resolver esse erro, revise a política do bucket e outras configurações de permissões do bucket e do objeto. Certifique-se de que o Macie tenha permissão para acessar e recuperar o objeto. Se o objeto for criptografado com uma AWS KMS chave gerenciada pelo cliente, revise também a política de chaves e garanta que Macie tenha permissão para usar a chave.
**Erro**
Ocorreu um erro transitório ou interno quando o Macie tentou recuperar ou analisar o conteúdo da lista. Uma lista de permissões também poderá ter esse status se estiver criptografada com uma chave de criptografia que o Amazon S3 e o Macie não possam acessar ou usar.
Para resolver esse erro, aguarde alguns minutos e escolha refresh (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/btn-refresh-data.png)) novamente. Se o status continuar sendo **Erro**, verifique as configurações de criptografia do objeto S3. Certifique-se de que o objeto seja criptografado com uma chave que o Amazon S3 e o Macie possam acessar e usar.
**O objeto está vazio**
O Macie pode recuperar a lista do Amazon S3 mas a lista não tem nenhum conteúdo.
Para resolver esse erro, baixe o objeto do Amazon S3 e certifique-se de que ele contenha as entradas corretas. Se as entradas estiverem corretas, revise as configurações da lista no Macie. Verifique se os nomes especificados do bucket e do objeto estão corretos.
**Objeto não encontrado**
A lista não existe no Amazon S3.
Para solucionar esse erro, revise as configurações da lista no Macie. Verifique se os nomes especificados do bucket e do objeto estão corretos.
**Cota excedida**
Macie pode acessar a lista no Amazon S3. No entanto, o número de entradas na lista ou o tamanho do armazenamento da lista excede a cota de uma lista de permissões.
Para resolver esse erro, divida a lista em vários arquivos. Certifique-se de que cada arquivo contenha menos de 100.000 entradas. Certifique-se também de que o tamanho de cada arquivo seja menor que 35 MB. Em seguida, faça o upload de cada arquivo no Amazon S3. Ao terminar, defina as configurações da lista de permissões no Macie para cada arquivo. Você pode ter até cinco listas de texto predefinidos em cada Região da AWS suportada.
**Limitados**
O Amazon S3 limitou a solicitação para recuperar a lista.
Para resolver esse erro, aguarde alguns minutos e escolha refresh (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/btn-refresh-data.png)) novamente.
**Acesso do usuário negado**
O Amazon S3 negou a solicitação de recuperação do objeto. Se o objeto especificado existir, você não poderá acessá-lo ou ele será criptografado com uma AWS KMS chave que você não tem permissão para usar.
Para resolver esse erro, trabalhe com seu AWS administrador para garantir que as configurações da lista especifiquem os nomes corretos do bucket e do objeto, e que você tenha acesso de leitura ao bucket e ao objeto. Se o objeto for criptografado, certifique-se também de que ele seja criptografado com uma chave que o Macie tenha permissão de usar.
1. Para analisar as configurações e o status de uma lista específica, escolha o nome da lista.
------
#### [ API ]
Para verificar programaticamente o status de uma lista de permissões, use a [GetAllowList](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists-id.html)operação da API Amazon Macie. Ou, se você estiver usando o AWS CLI, execute o [get-allow-list](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-allow-list.html)comando.
Para o parâmetro `id`, especifique o identificador exclusivo da lista de permissões cujo status você deseja verificar. Para obter esse identificador, você pode usar a [ListAllowLists](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists.html)operação. A operação **ListAllowLists** recupera informações sobre todas as listas de permissão da sua conta. Se você estiver usando o AWS CLI, você pode executar o [list-allow-lists](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-allow-lists.html)comando para recuperar essas informações.
Quando você envia uma solicitação **GetAllowList**, o Macie testa todas as configurações da lista de permissões. Se as configurações especificarem uma expressão regular (`regex`), o Macie verificará se ele pode compilar a expressão. Se as configurações especificarem uma lista de texto predefinido (`s3WordsList`), o Macie verificará se ele pode recuperar e analisar a lista.
Em seguida, o Macie retorna um objeto `GetAllowListResponse` que fornece os detalhes da lista de permissões. No objeto `GetAllowListResponse`, o objeto `status` indica o status atual da lista: um código de status (`code`) e, dependendo do código de status, uma breve descrição do status da lista (`description`).
Se a lista de permissões especificar um regex, o código de status normalmente é `OK` e não há uma descrição associada. Isso significa que Macie compilou a expressão com sucesso.
Se a lista de permissões especificar um texto predefinido, o código de status varia de acordo com os resultados do teste:
+ Se Macie recuperou e analisou a lista com sucesso, o código de status é `OK` e não há uma descrição associada.
+ Se um erro impediu que o Macie recuperasse ou analisasse a lista, o código de status e a descrição indicarão a natureza do erro que ocorreu.
Para obter uma lista de possíveis códigos de status e uma descrição de cada um, consulte a Referência [AllowListStatus](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists-id.html#allow-lists-id-model-allowliststatus)de *API do Amazon Macie*.
------
# Alterar uma lista de permissões
Depois de criar uma lista de permissões, você pode alterar a maioria das configurações da lista no Amazon Macie. Por exemplo, você pode alterar o nome e a descrição da lista. Você também pode adicionar e editar tags para a lista. A única configuração que você não pode alterar é o tipo de lista. Por exemplo, se uma lista existente especificar uma expressão regular (*regex*), você não poderá alterar o tipo para texto predefinido.
Se uma lista de permissões especificar um texto predefinido, você também poderá alterar as entradas na lista. Para fazer isso, atualize o arquivo que contém as entradas. Em seguida, faça o upload da nova versão do arquivo no Amazon Simple Storage Service (Amazon S3). Na próxima vez que o Macie se preparar para usar a lista, o Macie recuperará a versão mais recente do arquivo do Amazon S3. Ao fazer o upload do novo arquivo, certifique-se de armazená-lo no mesmo bucket e objeto do S3. Ou, se você alterar o nome do bucket ou objeto, certifique-se de atualizar as configurações da lista no Macie.
**Para alterar as configurações de uma lista de permissões**
Você pode alterar as configurações de uma lista de permissões usando o console do Amazon Macie ou a API do Amazon Macie.
------
#### [ Console ]
Siga estas etapas para alterar as configurações de uma lista de permissões usando o console do Amazon Macie.
**Para alterar as configurações de uma lista de permissões usando o console**
1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. No painel de navegação, em **Configurações**, selecione **Listas de permissões**.
1. Na página **Listas de permissões**, escolha o nome da lista de permissões que você deseja alterar. A página da lista de permissões é aberta e exibe as configurações atuais da lista.
1. Para adicionar ou editar tags para a lista de permissões, escolha **Gerenciar tags** na seção **Tags**. Em seguida, altere as tags conforme necessário. Ao concluir, escolha **Salvar**.
1. Para alterar outras configurações da lista de permissões, escolha **Editar** na seção **Configurações da lista**. Em seguida, altere as configurações desejadas:
+ **Nome**: insira um novo nome para a lista. Um nome pode conter até 128 caracteres.
+ **Descrição**: insira uma nova descrição da lista. A descrição pode conter até 512 caracteres.
+ Se a lista de permissões especificar um texto predefinido:
+ **Nome do bucket do S3**: insira o nome do bucket que armazena a lista.
No Amazon S3, você pode encontrar esse valor no campo **Nome** das propriedades do bucket. Esse valor diferencia maiúsculas de minúsculas. Além disso, não use caracteres curinga ou valores parciais ao inserir o nome.
+ **Nome do objeto do S3**: insira o nome do objeto do S3 que armazena a lista.
No Amazon S3, você pode encontrar esse valor no campo **Chave** das propriedades do objeto. Se o nome incluir um caminho, certifique-se de incluir o caminho completo ao inserir o nome, por exemplo **allowlists/macie/mylist.txt**. Esse valor diferencia maiúsculas de minúsculas. Além disso, não use caracteres curinga ou valores parciais ao inserir o nome.
+ Se a lista de permissões especificar uma expressão regular (*regex*), insira uma nova regex na caixa **Expressão regular**. A regex pode conter até 512 caracteres.
Depois de inserir o novo regex, teste-o opcionalmente. Para fazer isso, insira até 1.000 caracteres na caixa **Dados da amostra** e escolha **Teste**. Macie avalia os dados da amostra e relata o número de ocorrências de texto que correspondem ao regex. Você pode repetir essa etapa quantas vezes quiser para refinar e otimizar o regex antes de salvar suas alterações.
1. Ao concluir, escolha **Salvar**.
Macie testa as configurações da lista. Para obter uma lista de texto predefinido, o Macie também verifica se ele pode recuperar a lista do Amazon S3 e analisar o conteúdo da lista. Para um regex, o Macie também verifica se ele pode compilar a expressão. Se ocorrer um erro, o Macie exibirá uma mensagem que descreve o erro. Para obter informações detalhadas que podem ajudar você a resolver o erro, consulte [Requisitos e opções de configuração para listas de permissões](allow-lists-options.md). Depois de resolver qualquer erro, você poderá salvar as alterações.
------
#### [ API ]
Para alterar programaticamente as configurações de uma lista de permissões, use a [UpdateAllowList](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists-id.html)operação da API Amazon Macie. Ou, se você estiver usando o AWS CLI, execute o [update-allow-list](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-allow-list.html)comando. Em sua solicitação, use os parâmetros compatíveis para especificar um novo valor para cada configuração que você deseja alterar. Observe que os parâmetros `criteria`, `id` e `name` são obrigatórios. Se você não quiser alterar o valor de um parâmetro obrigatório, especifique o valor atual do parâmetro.
Por exemplo, o comando a seguir altera o nome e a descrição de uma lista de permissões existente. O exemplo está formatado para Microsoft Windows e usa o caractere de continuação de linha circunflexo (^) para melhorar a legibilidade.
```
C:\> aws macie2 update-allow-list ^
--id km2d4y22hp6rv05example ^
--name my_allow_list-email ^
--criteria={\"regex\":\"[a-z]@example.com\"} ^
--description "Ignores all email addresses for the example.com domain"
```
Em que:
+ *km2d4y22hp6rv05example*é o identificador exclusivo da lista.
+ *my\$1allow\$1list-email*é o novo nome da lista.
+ *[a-z]@example.com*é o critério da lista, uma expressão regular.
+ *Ignores all email addresses for the example.com domain*é a nova descrição da lista.
Quando você envia sua solicitação, o Macie testa as configurações da lista. Se a lista especificar um texto predefinido (`s3WordsList`), isso inclui verificar se o Macie pode recuperar a lista do Amazon S3 e analisar o conteúdo dela. Se a lista especificar um regex (`regex`), isso inclui verificar se o Macie pode compilar a expressão.
Se ocorrer um erro ao testar as configurações, sua solicitação falhará e o Macie retornará uma mensagem descrevendo o erro. Para obter informações detalhadas que podem ajudar você a resolver o erro, consulte [Requisitos e opções de configuração para listas de permissões](allow-lists-options.md). Se a solicitação falhar por outro motivo, o Macie retornará uma resposta HTTP 4*xx* ou 500 que indica por que a operação falhou.
Se a sua solicitação for realizada com êxito, o Macie atualizará as configurações da lista e você receberá um resultado semelhante ao seguinte.
```
{
"arn": "arn:aws:macie2:us-west-2:123456789012:allow-list/km2d4y22hp6rv05example",
"id": "km2d4y22hp6rv05example"
}
```
Em que `arn` é o nome do recurso da Amazon (ARN) da lista de permissões que foi atualizada e `id` é o identificador exclusivo da lista.
------
# Excluir uma lista de permissões
Ao excluir uma lista de permissões no Amazon Macie, você exclui permanentemente todas as configurações da lista. Essas configurações não podem ser recuperadas depois de excluídas. Se as configurações especificarem uma lista de texto predefinido que você armazena no Amazon Simple Storage Service (Amazon S3), o Macie não excluirá o objeto do S3 que armazena a lista. Somente as configurações no Macie são excluídas.
Se você configurar trabalhos de descoberta de dados confidenciais para usar uma lista de permissões que vai excluir depois, os trabalhos serão executados conforme programado. No entanto, os resultados do seu trabalho, tanto descobertas de dados confidenciais quanto resultados de descoberta de dados confidenciais, podem relatar texto que você especificou antes na lista de permissões. Da mesma forma, se você configurar a descoberta automatizada de dados confidenciais para usar uma lista e, posteriormente, excluir a lista, os ciclos diários de análises continuarão. No entanto, descobertas de dados confidenciais, estatísticas ou outros tipos de resultados podem relatar texto que você especificou antes na lista de permissões.
Antes de excluir uma lista de permissões, recomendamos que você [revise seu inventário de trabalhos](discovery-jobs-manage-view.md) para identificar trabalhos que usam a lista e estão programados para serem executados no futuro. No inventário, o painel de detalhes indica se um trabalho está configurado para usar qualquer lista de permissões e, em caso afirmativo, quais. Recomendamos que você também [verifique suas configurações para a descoberta automatizada de dados confidenciais](discovery-asdd-account-configure.md). Você pode determinar que é melhor alterar uma lista em vez de excluí-la.
Como proteção adicional, Macie verifica as configurações de todos os seus trabalhos quando você tenta excluir uma lista de permissões. Se você configurou trabalhos para usar a lista e qualquer um desses trabalhos tiver um status diferente de **Concluído** ou **Cancelado**, o Macie não excluirá a lista, a menos que você forneça uma confirmação adicional.
**Para excluir uma lista de permissões**
Você pode excluir uma lista de permissões usando o console do Amazon Macie ou a API do Amazon Macie.
------
#### [ Console ]
Siga estas etapas para excluir uma lista de permissões usando o console do Amazon Macie.
**Para excluir uma lista de permissões usando o console**
1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. No painel de navegação, em **Configurações**, selecione **Listas de permissões**.
1. Na página **Listas** de permissões, marque a caixa de seleção da lista de permissões que você deseja excluir.
1. No menu **Ações**, escolha **Excluir**.
1. Quando a confirmação for solicitada, insira **delete** e escolha **Delete**.
------
#### [ API ]
Para excluir uma lista de permissões programaticamente, use a [DeleteAllowList](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists-id.html)operação da API Amazon Macie. Para o parâmetro `id`, especifique o identificador exclusivo da lista de permissões a ser excluída. Você pode obter esse identificador usando a [ListAllowLists](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists.html)operação. A operação **ListAllowLists** recupera informações sobre todas as listas de permissão da sua conta. Se você estiver usando o AWS CLI, você pode executar o [list-allow-lists](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-allow-lists.html)comando para recuperar essas informações.
Para o parâmetro `ignoreJobChecks`, especifique se deseja forçar a exclusão da lista, mesmo que trabalhos confidenciais de descoberta de dados estejam configurados para usar a lista:
+ Se você especificar `false`, o Macie verifica as configurações de todos os seus trabalhos que têm um status diferente de `COMPLETE` ou `CANCELLED`. Se nenhum desses trabalhos estiver configurado para usar a lista, o Macie excluirá a lista permanentemente. Se algum desses trabalhos estiver configurado para usar a lista, o Macie rejeitará sua solicitação e retornará um erro HTTP 400 (`ValidationException`). A mensagem de erro indica o número de trabalhos aplicáveis para até 200 trabalhos.
+ Se você especificar `true`, o Macie excluirá a lista permanentemente sem verificar as configurações de nenhum dos seus trabalhos.
Para excluir uma lista de permissões usando o AWS CLI, execute o [delete-allow-list](https://docs.aws.amazon.com/cli/latest/reference/macie2/delete-allow-list.html)comando. Por exemplo:
```
C:\> aws macie2 delete-allow-list --id nkr81bmtu2542yyexample --ignore-job-checks false
```
Onde *nkr81bmtu2542yyexample* está o identificador exclusivo da lista de permissões a ser excluída.
Se a sua solicitação for realizada com êxito, o Macie retornará uma resposta HTTP 200 vazia. Caso contrário, o Macie retornará uma resposta HTTP 4*xx* ou 500 que indica por que a operação falhou.
------
Se a lista de permissões especificar um texto predefinido, você pode, opcionalmente, excluir o objeto do S3 que armazena a lista. No entanto, manter esse objeto pode ajudar a garantir que você tenha um histórico imutável de descobertas de dados confidenciais e resultados de descoberta para auditorias ou investigações de privacidade e proteção de dados.
# Realizando a descoberta automatizada de dados confidenciais
Para obter ampla visibilidade sobre onde os dados confidenciais podem residir em seu patrimônio de dados do Amazon Simple Storage Service (Amazon S3), configure o Amazon Macie para realizar a descoberta automática de dados confidenciais para a sua conta ou organização. Com a descoberta automatizada de dados confidenciais, o Macie avalia continuamente seu inventário de buckets do S3 e usa técnicas de amostragem para identificar e selecionar objetos representativos do S3 em seus buckets. Em seguida, o Macie recupera e analisa os objetos selecionados, inspecionando-os em busca de dados confidenciais.
Por padrão, o Macie seleciona e analisa objetos de todos os seus buckets de uso geral do S3. Se você for o administrador do Macie de uma organização, isso incluirá objetos nos buckets que as contas de membros possuem. Você pode ajustar o escopo das análises excluindo buckets específicos. Por exemplo, você pode excluir buckets que normalmente armazenam dados de AWS registro. Se você for administrador do Macie, uma opção adicional é habilitar ou desabilitar a descoberta automática de dados confidenciais para contas individuais em sua organização de case-by-case forma contínua.
Você pode personalizar as análises para se concentrarem em tipos específicos de dados confidenciais. Por padrão, o Macie analisa objetos do S3 usando o conjunto de identificadores de dados gerenciados que recomendamos para a descoberta automatizada de dados confidenciais. Para personalizar as análises, você pode configurar o Macie para usar [identificadores de dados gerenciados](managed-data-identifiers.md) específicos fornecidos pelo Macie, [identificadores de dados personalizados](custom-data-identifiers.md) que você define ou uma combinação dos dois. Você também pode refinar as análises configurando o Macie para usar as [listas de permissões](allow-lists.md) que você especificar.
À medida que a análise avança a cada dia, o Macie produz registros dos dados confidenciais que descobre e da análise que realiza: *descobertas de dados confidenciais*, que relata os dados confidenciais que o Macie encontra em objetos individuais do S3, e *resultados da descoberta de dados confidenciais*, que registra detalhes sobre a análise de objetos individuais do S3. O Macie também atualiza estatísticas e outras informações que fornece sobre os dados do Amazon S3. Por exemplo, um mapa de calor interativo no console fornece uma representação visual da sensibilidade dos dados em todo o seu estado de dados:
![\[O mapa de buckets do S3. Ele mostra quadrados de cores diferentes, um para cada bucket do S3, agrupados por conta.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/scrn-s3-map-small.png)
Esses atributos foram projetados para ajudar você a avaliar a sensibilidade dos dados em todo o seu conjunto de dados do Amazon S3 e detalhá-los para investigar e avaliar contas, buckets e objetos individuais. Eles também podem ajudar você a determinar onde realizar análises mais profundas e imediatas ao [executar tarefas de descoberta de dados confidenciais](discovery-jobs.md). Combinado com as informações que o Macie fornece sobre a segurança e a privacidade dos seus dados do Amazon S3, você também pode usar esses atributos para identificar casos em que uma remediação imediata possa ser necessária, por exemplo, um bucket acessível ao público no qual o Macie encontrou dados confidenciais.
Para configurar e gerenciar a descoberta automatizada de dados confidenciais, você deve ser o administrador do Macie da organização ou ter uma conta autônoma do Macie.
**Topics**
+ [Como funciona a descoberta automatizada de dados confidenciais](discovery-asdd-how-it-works.md)
+ [Configurar a descoberta automatizada de dados confidenciais](discovery-asdd-account-manage.md)
+ [Analisar resultados da descoberta automatizada de dados confidenciais](discovery-asdd-results-s3.md)
+ [Como avaliar a cobertura da descoberta automatizada de dados confidenciais](discovery-coverage.md)
+ [Ajustar pontuações de confidencialidade para buckets do S3](discovery-asdd-s3bucket-manage.md)
+ [Pontuação de confidencialidade para buckets do S3](discovery-scoring-s3.md)
+ [Configurações padrão para descoberta automatizada de dados confidenciais](discovery-asdd-settings-defaults.md)
# Como funciona a descoberta automatizada de dados confidenciais
Quando você habilita o Amazon Macie para você Conta da AWS, o Macie cria uma [função vinculada ao serviço AWS Identity and Access Management](service-linked-roles.md) (IAM) para sua conta atual. Região da AWS A política de permissões para essa função permite que Macie ligue para outras pessoas Serviços da AWS e monitore AWS recursos em seu nome. Ao usar essa função, Macie gera e mantém um inventário de seus buckets de uso geral do Amazon Simple Storage Service (Amazon S3) na região. O inventário inclui informações sobre cada um dos buckets do S3 e dos objetos nos buckets. Se você for o administrador do Macie em uma organização, o inventário incluirá informações sobre os buckets pertencentes às contas de membros. Para obter mais informações, consulte [Gerenciar várias contas](macie-accounts.md).
Se você habilitar a descoberta automatizada de dados confidenciais, o Macie avaliará os dados de inventário diariamente para identificar objetos do S3 que são elegíveis para descoberta automatizada. Como parte da avaliação, o Macie também seleciona uma amostra de objetos representativos para analisar. Em seguida, o Macie recupera e analisa a versão mais recente de cada objeto selecionado, inspecionando cada um em busca de dados confidenciais.
À medida que a análise progride a cada dia, o Macie também atualiza estatísticas e outras informações que fornece sobre os dados do Amazon S3. O Macie também produz registros dos dados confidenciais que encontra e das análises que realiza. Os dados resultantes fornecem informações sobre onde Macie encontrou dados confidenciais em seu patrimônio de dados do Amazon S3, que pode abranger todos os buckets de uso geral do S3 para sua conta. Os dados podem ajudá-lo a avaliar a segurança e a privacidade dos dados do Amazon S3, determinar onde realizar uma investigação mais profunda e identificar casos em que a correção é necessária.
Para uma breve demonstração de como funciona a descoberta automatizada de dados confidenciais, assista ao vídeo a seguir:
Para configurar e gerenciar a descoberta automatizada de dados confidenciais, você deve ser o administrador do Macie da organização ou ter uma conta autônoma do Macie. Se sua conta fizer parte de uma organização, somente o administrador do Macie dessa organização poderá habilitar ou desabilitar a descoberta automatizada de contas na organização. Além disso, somente o administrador do Macie pode definir e gerenciar as configurações de descoberta automatizada das contas. Isso inclui configurações que definem o escopo e a natureza das análises que o Macie realiza. Se você tiver uma conta de membro em uma organização, entre em contato com o administrador do Macie para saber mais sobre as configurações da conta e da organização.
**Topics**
+ [Componentes principais](#discovery-asdd-how-it-works-components)
+ [Considerações](#discovery-asdd-how-it-works-considerations)
## Componentes principais
O Amazon Macie usa uma combinação de atributos e técnicas para realizar a descoberta automatizada de dados confidenciais. Eles funcionam em conjunto com atributos que o Macie oferece para ajudar você a [monitorar seus dados do Amazon S3 quanto à segurança e ao controle de acesso](monitoring-s3-how-it-works.md).
**Selecionar objetos do S3 para análise**
Diariamente, o Macie avalia seus dados no Inventário Amazon S3 para identificar objetos do S3 que são elegíveis para análise por meio da descoberta automatizada de dados confidenciais. Se você for o administrador do Macie de uma organização, a avaliação incluirá, por padrão, os dados dos buckets do S3 pertencentes às contas de membros.
Como parte da avaliação, o Macie usa técnicas de amostragem para selecionar objetos do S3 representativos para análise. As técnicas definem grupos de objetos que têm metadados semelhantes e, provavelmente, têm conteúdo semelhante. Os grupos são baseados em dimensões como nome, prefixo, classe de armazenamento, extensão do nome do arquivo e data da última modificação do bucket. Em seguida, o Macie seleciona um conjunto representativo de amostras de cada grupo, recupera a versão mais recente de cada objeto selecionado do Amazon S3 e analisa cada objeto selecionado para determinar se o objeto contém dados confidenciais. Quando a análise é concluída, o Macie descarta sua cópia do objeto.
A estratégia de amostragem prioriza análises distribuídas. Em geral, ele usa uma abordagem abrangente para seu patrimônio de dados do Amazon S3. Todos os dias, um conjunto representativo de objetos do S3 é selecionado a partir do maior número possível de buckets gerais com base no tamanho total de armazenamento de todos os objetos classificáveis em seu patrimônio de dados do Amazon S3. Por exemplo, se o Macie já analisou e encontrou dados confidenciais em objetos em um bucket e ainda não analisou objetos em outro bucket, o último bucket é uma prioridade maior para análise. Com essa abordagem, você obtém uma visão ampla da confidencialidade dos seus dados do Amazon S3 mais rapidamente. Dependendo do tamanho do seu patrimônio de dados, os resultados da análise podem começar a aparecer dentro de 48 horas.
A estratégia de amostragem também prioriza a análise de diferentes tipos de objetos do S3 e objetos que foram criados ou alterados recentemente. Não é garantido que uma amostra de objeto único seja conclusiva. Portanto, a análise de um conjunto diversificado de objetos pode gerar uma visão melhor dos tipos e da quantidade de dados confidenciais que um bucket do S3 pode conter. Além disso, priorizar objetos novos ou alterados recentemente ajuda a análise a se adaptar às mudanças em seu inventário de buckets. Por exemplo, se os objetos forem criados ou alterados após uma análise anterior, esses objetos terão prioridade maior para análises subsequentes. Por outro lado, se um objeto foi analisado anteriormente e não mudou desde essa análise, o Macie não analisará o objeto novamente. Essa abordagem ajuda você a estabelecer linhas de base de confiabilidade para determinados buckets do S3. Então, à medida que as análises incrementais contínuas progridem em sua conta, suas avaliações de confiabilidade de determinados buckets podem se tornar cada vez mais profundas e detalhadas a uma velocidade previsível.
**Definir o escopo das análises**
Por padrão, o Macie inclui todos os buckets de uso geral do S3 para sua conta quando avalia seus dados de inventário e seleciona objetos do S3 para análise. Se você for o administrador do Macie em uma organização, isso inclui buckets que as contas de seus membros possuem.
Você pode ajustar o escopo das análises excluindo buckets do S3 específicos da descoberta automatizada de dados confidenciais. Por exemplo, talvez você queira excluir buckets que normalmente armazenam dados de AWS registro, como registros de AWS CloudTrail eventos. Para excluir um bucket, você pode alterar as configurações automatizadas de descoberta da conta ou do bucket. Se você fizer isso, o Macie começará a excluir o bucket quando o próximo ciclo diário de avaliação e análise começar. Você pode excluir até 1.000 buckets das análises. Se você excluir um bucket do S3, poderá incluí-lo outra vez mais tarde. Para fazer isso, altere de novo as configurações da conta ou do bucket. O Macie, então, começará a incluir o bucket quando o próximo ciclo diário de avaliação e análise começar.
Se você for o administrador do Macie de uma organização, também poderá habilitar ou desabilitar a descoberta automatizada de dados confidenciais para contas individuais da sua organização. Se você desabilitar a descoberta automatizada de uma conta, o Macie excluirá todos os buckets do S3 que a conta possui. Se, mais tarde, você reabilitar a descoberta automatizada da conta, o Macie começará a incluir os buckets outra vez.
**Determinar quais tipos de dados confidenciais devem ser detectados e relatados**
Por padrão, o Macie inspeciona objetos do S3 usando o conjunto de identificadores de dados gerenciados que recomendamos para a descoberta automatizada de dados confidenciais. Para obter uma lista desses identificadores de dados gerenciados, consulte [Configurações padrão para descoberta automatizada de dados confidenciais](discovery-asdd-settings-defaults.md).
Você pode personalizar as análises para se concentrarem em tipos específicos de dados confidenciais. Para fazer isso, altere as configurações de descoberta automatizada de qualquer uma das seguintes maneiras:
+ **Adicionar ou remover identificadores de dados gerenciados** *— Um identificador de dados gerenciados* é um conjunto de critérios e técnicas incorporados projetados para detectar um tipo específico de dados confidenciais, como números de cartão de crédito, chaves de acesso AWS secretas ou números de passaporte de um determinado país ou região. Para obter mais informações, consulte [Usar identificadores de dados gerenciados](managed-data-identifiers.md).
+ **Adicione ou remova identificadores de dados personalizados**: um *identificador de dados personalizado* é um conjunto de critérios que você define para detectar dados confidenciais. Com identificadores de dados personalizados, é possível detectar dados confidenciais que refletem determinados cenários, propriedade intelectual ou dados proprietários da organização. Por exemplo, você pode detectar funcionários IDs, números de contas de clientes ou classificações internas de dados. Para obter mais informações, consulte [Criar identificadores de dados personalizados](custom-data-identifiers.md).
+ **Adicione ou remova listas de permissões**: no Macie, uma lista de permissões especifica um texto ou um padrão de texto que o Macie deverá ignorar nos objetos do S3. Normalmente, essas são exceções de dados confidenciais para cenários ou ambientes específicos, como nomes ou números de telefone públicos da organização ou dados de amostra que a organização usa para testes. Para obter mais informações, consulte [Como definir exceções de dados sigilosos com listas de permissões](allow-lists.md).
Se você alterar uma configuração, o Macie aplicará sua alteração quando o próximo ciclo diário de análise começar. Se você for o administrador do Macie de uma organização, o Macie usará as configurações da sua conta ao analisar objetos do S3 para outras contas da organização.
Você também pode definir as configurações no nível do bucket que determinam se tipos específicos de dados confidenciais são incluídos nas avaliações da confidencialidade de um bucket. Para saber como, consulte [Ajustar pontuações de confidencialidade para buckets do S3](discovery-asdd-s3bucket-manage.md).
**Calcular pontuações de confidencialidade**
Por padrão, o Macie calcula automaticamente uma pontuação de sensibilidade para cada bucket de uso geral do S3 para sua conta. Se você for o administrador do Macie em uma organização, isso inclui buckets que as contas de seus membros possuem.
No Macie, uma *pontuação de confidencialidade* é uma medida quantitativa da intersecção de duas dimensões principais: a quantidade de dados confidenciais que o Macie encontrou em um bucket e a quantidade de dados que o Macie analisou em um bucket. Uma pontuação de confidencialidade de um bucket do S3 determina qual rótulo de sensibilidade Macie atribui ao bucket. Um *rótulo de confidencialidade* é uma representação qualitativa da pontuação de confidencialidade de um bucket, como, por exemplo, *Confidencial*, *Não confidencial* e *Não analisado ainda*. Para obter detalhes sobre a faixa de pontuações de confidencialidade e rótulos que Macie define, consulte [Pontuação de confidencialidade para buckets do S3](discovery-scoring-s3.md).
A pontuação e o rótulo de confidencialidade de um bucket do S3 não implicam nem indicam a criticidade ou a importância que o bucket ou os objetos do bucket podem ter para você ou para sua organização. Em vez disso, eles têm como objetivo fornecer pontos de referência que podem ajudá-lo a identificar e monitorar possíveis riscos de segurança.
Quando você habilita pela primeira vez a descoberta automatizada de dados confidenciais, o Macie atribui automaticamente uma pontuação de confidencialidade de *50* e o rótulo de *Não analisado ainda* a cada bucket do S3. A exceção são os buckets vazios. Um *bucket vazio* é um bucket que não armazena nenhum objeto ou no qual todos os objetos contêm zero (0) bytes de dados. Se esse for o caso de um bucket, o Macie atribui uma pontuação de *1* ao bucket e atribui o rótulo de *Não confidencial* ao bucket.
À medida que a descoberta automatizada de dados confidenciais progride, o Macie atualiza as pontuações e os rótulos de confidencialidade para refletir os resultados das análises. Por exemplo:
+ Se o Macie não encontrar dados confidenciais em um objeto, o Macie diminui a pontuação de confidencialidade do bucket e atualiza o rótulo de confidencialidade do bucket conforme necessário.
+ Se o Macie encontrar dados confidenciais em um objeto, o Macie aumentará a pontuação de confidencialidade do bucket e atualizará o rótulo de confidencialidade do bucket conforme necessário.
+ Se o Macie encontrar dados confidenciais em um objeto que é alterado posteriormente, o Macie remove as detecções de dados confidenciais do objeto da pontuação de confidencialidade do bucket e atualiza o rótulo de confidencialidade do bucket conforme necessário.
+ Se o Macie encontrar dados confidenciais em um objeto que é excluído posteriormente, o Macie remove as detecções de dados confidenciais do objeto da pontuação de confidencialidade do bucket e atualiza o rótulo de confidencialidade do bucket conforme necessário.
Você pode ajustar as configurações de pontuação de sensibilidade para determinados buckets do S3 incluindo ou excluindo tipos específicos de dados confidenciais da pontuação de um bucket. Você também pode substituir a pontuação calculada de um bucket atribuindo manualmente a pontuação máxima (*100*) ao bucket. Se você atribuir a pontuação máxima, o rótulo do bucket será *Confidencial*. Para obter mais informações, consulte [Ajustar pontuações de confidencialidade para buckets do S3](discovery-asdd-s3bucket-manage.md).
**Gerar metadados, estatísticas e outros tipos de resultados**
Quando você ativa a descoberta automatizada de dados confidenciais, o Macie gera e começa a manter dados adicionais de inventário, estatísticas e outras informações sobre os buckets de uso geral do S3 para sua conta. Se você for o administrador do Macie em uma organização, isso inclui, por padrão, buckets pertencentes às contas de membros.
As informações adicionais capturam os resultados das atividades de descoberta automatizada de dados confidenciais que o Macie realizou até agora. Também complementa outras informações que o Macie fornece sobre seus dados do Amazon S3, como as configurações de acesso público e acesso compartilhado para determinados buckets. As informações adicionais incluem:
+ Uma representação visual e interativa da confidencialidade dos dados no seu patrimônio de dados do Amazon S3.
+ As estatísticas agregadas de confidencialidade de dados, como o número total de buckets nos quais o Macie encontrou dados confidenciais e quantos desses buckets estão acessíveis ao público.
+ Detalhes em nível de buckets que indicam o status atual das análises. Por exemplo, uma lista de objetos que o Macie analisou em um bucket, os tipos de dados confidenciais que o Macie encontrou em um bucket e o número de ocorrências de cada tipo de dados confidenciais que o Macie encontrou.
As informações também incluem estatísticas e detalhes que podem ajudá-lo a avaliar e monitorar a cobertura dos seus dados do Amazon S3. Você pode verificar o status das análises do seu patrimônio geral de dados e para buckets individuais do S3. Você também pode identificar problemas que impediram o Macie de analisar objetos em buckets específicos. Se você corrigir os problemas, poderá aumentar a cobertura dos dados do Amazon S3 durante os ciclos de análise subsequentes. Para obter mais informações, consulte [Como avaliar a cobertura da descoberta automatizada de dados confidenciais](discovery-coverage.md).
O Macie recalcula e atualiza automaticamente essa informação enquanto realiza a descoberta automatizada de dados confidenciais. Por exemplo, se o Macie encontrar dados confidenciais em um objeto do S3 que é posteriormente alterado ou excluído, o Macie atualiza os metadados do bucket pertinente: remove o objeto da lista de objetos analisados; remove as ocorrências de dados confidenciais que o Macie encontrou no objeto; recalcula a pontuação de confidencialidade, se a pontuação for calculada automaticamente, e atualiza o rótulo de confidencialidade conforme necessário para refletir a nova pontuação.
Além de metadados e estatísticas, o Macie produz registros dos dados confidenciais que encontra e da análise que realiza: *descobertas de dados confidenciais*, que relatam dados confidenciais que o Macie encontra em objetos individuais do S3, e *resultados da descoberta de dados confidenciais*, que registram detalhes sobre a análise de objetos individuais do S3.
Para obter mais informações, consulte [Analisar resultados da descoberta automatizada de dados confidenciais](discovery-asdd-results-s3.md).
## Considerações
Ao configurar e usar o Amazon Macie para realizar a descoberta automatizada de dados confidenciais para dados do Amazon S3, lembre-se do seguinte:
+ Suas configurações de descoberta automatizada se aplicam somente às atuais Região da AWS. Consequentemente, as análises e os dados resultantes se aplicam somente aos buckets e objetos do S3 na Região atual. Para realizar a descoberta automatizada e acessar os dados resultantes em Regiões adicionais, habilite e configure a descoberta automatizada em cada Região adicional.
+ Se você for o administrador do Macie de uma organização:
+ Você pode realizar a descoberta automatizada de uma conta de membro somente se o Macie estiver habilitado para a conta na Região atual. Além disso, você deve habilitar a descoberta automatizada para a conta nessa Região. Os membros não podem habilitar ou desabilitar a descoberta automatizada de suas próprias contas.
+ Se você habilitar a descoberta automatizada para uma conta de membro, o Macie usará as configurações de descoberta automatizada da sua conta de administrador ao analisar os dados da conta de membro. As configurações aplicáveis são: a lista de buckets do S3 a serem excluídos das análises e os identificadores de dados gerenciados, identificadores de dados personalizados e listas de permissões a serem usadas ao analisar objetos do S3. Os membros não podem analisar nem alterar essas configurações.
+ Os membros não podem acessar as configurações de descoberta automatizada de buckets individuais do S3 que eles possuem. Por exemplo, um membro não pode analisar nem ajustar as configurações de pontuação de confidencialidade de um de seus buckets. Somente o administrador do Macie pode acessar essas configurações.
+ Os membros têm acesso de leitura às estatísticas de descoberta de dados confidenciais e a outros resultados que o Macie fornece diretamente para os buckets do S3. Por exemplo, um membro pode usar o Macie para analisar as pontuações de confidencialidade e os dados de cobertura dos buckets do S3. A exceção são as descobertas de dados confidenciais. Somente o administrador do Macie tem acesso direto às descobertas produzidas pela descoberta automatizada.
+ Se as configurações de permissões de um bucket do S3 impedirem o Macie de acessar ou recuperar informações sobre o bucket ou os objetos do bucket, o Macie não poderá realizar a descoberta automatizada do bucket. [O Macie só pode fornecer um subconjunto de informações sobre o bucket, como o ID da conta do proprietário do Conta da AWS bucket, o nome do bucket e quando o Macie recuperou mais recentemente os metadados do bucket e do objeto do bucket como parte do ciclo diário de atualização.](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh) Em seu inventário de buckets, a pontuação de confidencialidade desses buckets é *50* e seu rótulo de confidencialidade é *Não analisado ainda*. Para identificar os buckets do S3 quando esse for o caso, consulte os dados de cobertura. Para obter mais informações, consulte [Como avaliar a cobertura da descoberta automatizada de dados confidenciais](discovery-coverage.md).
+ Para ser elegível para seleção e análise, um objeto do S3 deve ser armazenado em um bucket geral e deve ser *classificável*. Um objeto *classificável* usa uma classe de armazenamento do Amazon S3 compatível e tem uma extensão de nome de arquivo para um arquivo ou formato de armazenamento compatível. Para obter mais informações, consulte [Classes e formatos de armazenamento suportados](discovery-supported-storage.md).
+ Se um objeto do S3 for criptografado, o Macie só poderá analisá-lo se o objeto for criptografado com uma chave que o Macie possa acessar e tem permissão para usar. Para obter mais informações, consulte [Analisar objetos criptografados do S3](discovery-supported-encryption-types.md). Para identificar casos em que as configurações de criptografia impediram o Macie de analisar um ou mais objetos em um bucket, consulte os dados de cobertura. Para obter mais informações, consulte [Como avaliar a cobertura da descoberta automatizada de dados confidenciais](discovery-coverage.md).
# Configurar a descoberta automatizada de dados confidenciais
Para ter ampla visibilidade sobre onde os dados confidenciais podem residir em seu patrimônio de dados do Amazon Simple Storage Service (Amazon S3), habilite e configure a descoberta automatizada de dados confidenciais para sua conta ou organização. O Amazon Macie avalia diariamente o inventário de bucket do S3 e usa técnicas de amostragem para identificar e selecionar objetos representativos do S3 dos buckets. O Macie recupera e analisa os objetos selecionados, inspecionando-os em busca de dados confidenciais. Se você for o administrador do Macie em uma organização, isso inclui, por padrão, objetos nos buckets do S3 que pertencem às contas de membros.
À medida que a análise avança a cada dia, o Macie produz registros dos dados confidenciais que encontra e das análises que realiza. O Macie também atualiza estatísticas e outras informações que fornece sobre os dados do Amazon S3. Os dados resultantes fornecem informações sobre onde Macie encontrou dados confidenciais em seu patrimônio de dados do Amazon S3, que podem abranger todos os buckets do S3 de sua conta ou organização. Para obter mais informações, consulte [Como funciona a descoberta automatizada de dados confidenciais](discovery-asdd-how-it-works.md).
Se você tiver uma conta autônoma do Macie ou se for o administrador do Macie de uma organização, poderá configurar e gerenciar a descoberta automatizada de dados confidenciais para sua conta ou organização. Isso inclui habilitar e desabilitar a descoberta automatizada e estabelecer configurações que definam o escopo e a natureza das análises que o Macie realiza. Se você tiver uma conta de membro em uma organização, entre em contato com o administrador do Macie para saber mais sobre as configurações da conta e da organização.
**Topics**
+ [Pré-requisitos para configurar a descoberta automatizada de dados confidenciais](discovery-asdd-account-configure-prereqs.md)
+ [Habilitar a descoberta automatizada de dados confidenciais](discovery-asdd-account-enable.md)
+ [Definir configurações da descoberta automatizada de dados confidenciais](discovery-asdd-account-configure.md)
+ [Desabilitar a descoberta automatizada de dados confidenciais](discovery-asdd-account-disable.md)
# Pré-requisitos para configurar a descoberta automatizada de dados confidenciais
Antes de habilitar ou definir as configurações da descoberta automatizada de dados confidenciais, conclua as tarefas a seguir. Isso ajuda a garantir que você tenha os recursos e as permissões de que precisa.
Para concluir essas tarefas, você deve ser o administrador do Amazon Macie de uma organização ou ter uma conta autônoma do Macie. Se sua conta fizer parte de uma organização, somente o administrador do Macie da organização poderá habilitar ou desabilitar a descoberta automatizada de dados confidenciais para contas na organização. Além disso, somente o administrador do Macie pode definir configurações de descoberta automatizada para as contas.
**Topics**
+ [Etapa 1: configurar um repositório para resultados de descoberta de dados confidenciais](#discovery-asdd-account-configure-prereqs-sddr)
+ [Etapa 2: verificar suas permissões](#discovery-asdd-account-configure-prereqs-perms)
+ [Próximas etapas](#discovery-asdd-account-configure-prereqs-next)
## Etapa 1: configurar um repositório para resultados de descoberta de dados confidenciais
Quando o Amazon Macie realiza uma descoberta automatizada de dados confidenciais, ele cria um registro de análise para cada objeto do Amazon Simple Storage Service (Amazon S3) que seleciona para análise. Esses registros, chamados de *resultados da descoberta de dados confidenciais*, registram detalhes sobre a análise de objetos do S3 individuais. Isso inclui objetos nos quais o Macie não encontra dados confidenciais e objetos que o Macie não pode analisar devido a erros ou problemas, como configurações de permissões. Se o Macie descobrir dados confidenciais em um objeto, o resultado dessa descoberta incluirá informações sobre os dados confidenciais encontrados pelo Macie. Os resultados confidenciais da descoberta de dados fornecem registros de análise que podem ser úteis para auditorias ou investigações de privacidade e proteção de dados.
O Macie armazena seus resultados confidenciais de descoberta de dados por apenas 90 dias. Para acessar os resultados e permitir seu armazenamento e retenção a longo prazo, configure o Macie para armazenar os resultados em um bucket do S3. O bucket pode servir como um repositório definitivo e de longo prazo para todos os seus resultados confidenciais de descoberta de dados. Se você for o administrador do Macie de uma organização, isso incluirá resultados da descoberta de dados confidenciais para contas de membros para as quais você habilita a descoberta automatizada de dados confidenciais.
Para verificar se você configurou esse repositório, selecione **Resultados da descoberta** no painel de navegação no console do Amazon Macie. Se você preferir fazer isso programaticamente, use a [GetClassificationExportConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/classification-export-configuration.html)operação da API Amazon Macie. Para saber mais sobre os resultados de descoberta de dados confidenciais e como configurar esse repositório, consulte [Armazenamento e retenção de resultados de descoberta de dados confidenciais](discovery-results-repository-s3.md).
Se você configurou o repositório, o Macie cria uma pasta chamada `automated-sensitive-data-discovery` no repositório quando a descoberta automatizada de dados confidenciais é habilitada pela primeira vez. Essa pasta armazena os resultados da descoberta de dados confidenciais que o Macie cria ao realizar a descoberta automatizada para a conta ou organização.
Se você usa o Macie em várias Regiões da AWS, verifique se configurou o repositório para cada uma dessas regiões.
## Etapa 2: verificar suas permissões
Para verificar suas permissões, use AWS Identity and Access Management (IAM) para revisar as políticas do IAM que estão anexadas à sua identidade do IAM. Em seguida, compare as informações nessas políticas com a seguinte lista de ações que você deve ter permissão para realizar:
+ `macie2:GetMacieSession`
+ `macie2:UpdateAutomatedDiscoveryConfiguration`
+ `macie2:ListClassificationScopes`
+ `macie2:UpdateClassificationScope`
+ `macie2:ListSensitivityInspectionTemplates`
+ `macie2:UpdateSensitivityInspectionTemplate`
A primeira ação permite que você acesse sua conta do Amazon Macie. A segunda ação permite que você habilite ou desabilite a descoberta automatizada de dados confidenciais de sua conta ou organização. Para uma organização, ele também permite que você habilite automaticamente a descoberta automatizada de contas na organização. As ações restantes permitem que você identifique e altere as configurações.
Se você planeja analisar ou alterar as definições de configuração usando o console do Amazon Macie, é necessário ter permissão para realizar as seguintes ações:
+ `macie2:GetAutomatedDiscoveryConfiguration`
+ `macie2:GetClassificationScope`
+ `macie2:GetSensitivityInspectionTemplate`
Essas ações permitem que você recupere suas configurações atuais e o status da descoberta automatizada de dados confidenciais para sua conta ou organização. A permissão para realizar essas ações é opcional se você planeja alterar as configurações de forma programática.
Se você for o administrador do Macie de uma organização, deverá também ter permissão para realizar as seguintes ações:
+ `macie2:ListAutomatedDiscoveryAccounts`
+ `macie2:BatchUpdateAutomatedDiscoveryAccounts`
A primeira ação permite que você recupere o status da descoberta automatizada de dados confidenciais para contas individuais na organização. A segunda ação permite que você habilite ou desabilite a descoberta automatizada de contas individuais na organização.
Se você não tiver permissão para realizar as ações necessárias, peça ajuda ao AWS administrador.
## Próximas etapas
Depois de concluir as tarefas anteriores, você estará pronto para habilitar e definir as configurações da sua conta ou organização:
+ [Habilitar a descoberta automatizada de dados confidenciais](discovery-asdd-account-enable.md)
+ [Definir configurações da descoberta automatizada de dados confidenciais](discovery-asdd-account-configure.md)
# Habilitar a descoberta automatizada de dados confidenciais
Quando você habilita a descoberta automatizada de dados confidenciais, o Amazon Macie começa a avaliar os dados de inventário do Amazon Simple Storage Service (Amazon S3) e a realizar outras atividades de descoberta automatizada para a sua conta no Região da AWS atual. Se você for administrador do Macie em uma organização, por padrão, a avaliação e as atividades incluem os buckets do S3 pertencentes às contas de membros. Dependendo do tamanho do seu conjunto de dados do Amazon S3, as estatísticas e outros resultados podem começar a aparecer em 48 horas.
Depois de habilitar a descoberta automatizada de dados confidenciais, defina as configurações que refinam o escopo e a natureza das análises realizadas pelo Macie. Essas configurações especificam os buckets do S3 a serem excluídos das análises. Elas também especificam os identificadores de dados gerenciados, identificadores de dados personalizados e listas de permissões que você deseja que o Macie use ao analisar objetos do S3. Para saber mais sobre essas configurações, consulte [Definir configurações da descoberta automatizada de dados confidenciais](discovery-asdd-account-configure.md). Se você for o administrador do Macie de uma organização, também poderá refinar o escopo das análises ativando ou desativando a descoberta automática de dados confidenciais para contas individuais em sua organização. case-by-case
Para habilitar a descoberta automatizada de dados confidenciais, você deve ser o administrador do Macie da organização ou ter uma conta autônoma do Macie. Se você tiver uma conta de membro em uma organização, trabalhe com o administrador do Macie para permitir a descoberta automática de dados confidenciais em sua conta.
**Para habilitar a descoberta automatizada de dados confidenciais**
Se você for o administrador do Macie de uma organização ou tiver uma conta autônoma do Macie, poderá habilitar a descoberta automática de dados confidenciais usando o console do Amazon Macie ou a API do Amazon Macie. Se você o estiver ativando pela primeira vez, comece [concluindo as tarefas de pré-requisito](discovery-asdd-account-configure-prereqs.md). Isso ajuda a garantir que você tenha os recursos e as permissões de que precisa.
------
#### [ Console ]
Siga estas etapas para permitir a descoberta automática de dados confidenciais usando o console do Amazon Macie.
**Para habilitar a descoberta automatizada de dados confidenciais**
1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. Usando o Região da AWS seletor no canto superior direito da página, escolha a região na qual você deseja ativar a descoberta automática de dados confidenciais.
1. No painel de navegação, em **Configurações**, selecione **Descoberta automatizada de dados confidenciais**.
1. Se você tiver uma conta autônoma do Macie, escolha **Habilitar** na seção **Status**.
1. Se você for o administrador do Macie de uma organização, selecione uma opção na seção **Status** para especificar as contas que habilitam a descoberta automatizada de dados confidenciais para:
+ Para habilitá-la para todas as contas da organização, escolha **Habilitar**. Na caixa de diálogo exibida, selecione **Minha organização**. Para uma organização em AWS Organizations, selecione **Ativar automaticamente para novas contas** para também ativá-la automaticamente para contas que posteriormente ingressarão na sua organização. Ao terminar, escolha **Habilitar**.
+ Para habilitá-la somente para contas de membros particulares, escolha **Gerenciar contas**. Em seguida, na tabela da página **Contas**, marque a caixa de seleção de cada conta para ativá-la. Ao terminar, escolha **Habilitar descoberta automatizada de dados confidenciais** no menu **Ações**.
+ Para habilitá-la somente para sua conta de administrador do Macie, escolha **Habilitar**. Na caixa de diálogo exibida, escolha **Minha conta** e desmarque **Habilitar automaticamente para novas contas**. Ao terminar, escolha **Habilitar**.
Se você usar o Macie em várias Regiões e quiser habilitar a descoberta automatizada de dados confidenciais em outras Regiões, repita as etapas anteriores em cada Região adicional.
Para verificar ou alterar posteriormente o status da descoberta automática de dados confidenciais para contas individuais em uma organização, escolha **Contas** no painel de navegação. Na página **Contas**, o campo **Descoberta automatizada de dados confidenciais** na tabela indica o status atual da descoberta automatizada de uma conta. Para alterar o status de uma conta, marque a caixa de seleção da conta. Em seguida, use o menu **Ações** para ativar ou desativar a descoberta automática da conta.
------
#### [ API ]
Para habilitar a descoberta automatizada de dados confidenciais de forma programática, você tem várias opções:
+ Para habilitá-lo para uma conta de administrador do Macie, uma organização ou uma conta autônoma do Macie, use a operação. [UpdateAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html) Ou, se você estiver usando a AWS Command Line Interface (AWS CLI), execute o comando [update-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-automated-discovery-configuration.html).
+ Para habilitá-lo somente para contas de membros específicas em uma organização, use a [BatchUpdateAutomatedDiscoveryAccounts](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-accounts.html)operação. Ou, se você estiver usando o AWS CLI, execute o comando [batch-update-automated-discovery-accounts](https://docs.aws.amazon.com/cli/latest/reference/macie2/batch-update-automated-discovery-accounts.html). Para habilitar a descoberta automática para uma conta de membro, você deve primeiro habilitá-la para sua conta de administrador ou organização.
As opções e detalhes adicionais variam de acordo com o tipo de conta que você tem.
Se você for administrador do Macie, use a **UpdateAutomatedDiscoveryConfiguration** operação ou execute o **update-automated-discovery-configuration** comando para habilitar a descoberta automática de dados confidenciais para sua conta ou organização. Na sua solicitação, especifique `ENABLED` para o parâmetro `status`. Para o `autoEnableOrganizationMembers` parâmetro, especifique as contas para ativá-lo. Se você estiver usando o AWS CLI, especifique as contas usando o `auto-enable-organization-members` parâmetro. Os valores válidos são:
+ `ALL`(padrão) — Ative-o para todas as contas da sua organização. Isso inclui sua conta de administrador, contas de membros existentes e contas que posteriormente ingressarão na sua organização.
+ `NEW`— Habilite-o para sua conta de administrador. Também habilite-o automaticamente para contas que posteriormente ingressarão na sua organização. Se você habilitou anteriormente a descoberta automatizada para sua organização e especificou esse valor, a descoberta automatizada continuará a ser habilitada para contas de membros existentes para as quais está habilitada atualmente.
+ `NONE`— Ative-o somente para sua conta de administrador. Não o habilite automaticamente para contas que posteriormente ingressarão na sua organização. Se você habilitou anteriormente a descoberta automatizada para sua organização e especificou esse valor, a descoberta automatizada continuará a ser habilitada para contas de membros existentes para as quais está habilitada atualmente.
Se você quiser ativar seletivamente a descoberta automatizada de dados confidenciais somente para contas de membros específicas, especifique `NEW` ou`NONE`. Em seguida, você pode usar a **BatchUpdateAutomatedDiscoveryAccounts** operação ou executar o **batch-update-automated-discovery-accounts** comando para habilitar a descoberta automática das contas.
Se você tiver uma conta autônoma do Macie, use a **UpdateAutomatedDiscoveryConfiguration** operação ou execute o **update-automated-discovery-configuration** comando para habilitar a descoberta automática de dados confidenciais em sua conta. Na sua solicitação, especifique `ENABLED` para o parâmetro `status`. Para o `autoEnableOrganizationMembers` parâmetro, considere se você planeja se tornar administrador do Macie para outras contas e especifique o valor apropriado. Se você especificar`NONE`, a descoberta automática não será ativada automaticamente para uma conta quando você se tornar o administrador do Macie da conta. Se você especificar `ALL` ou`NEW`, a descoberta automática será ativada automaticamente para a conta. Se você estiver usando o AWS CLI, use o `auto-enable-organization-members` parâmetro para especificar o valor apropriado para essa configuração.
Os exemplos a seguir mostram como usar o AWS CLI para permitir a descoberta automática de dados confidenciais para uma ou mais contas em uma organização. Esse primeiro exemplo permite a descoberta automática de todas as contas em uma organização pela primeira vez. Ele permite a descoberta automática da conta de administrador do Macie, de todas as contas de membros existentes e de todas as contas que posteriormente ingressarem na organização.
```
$ aws macie2 update-automated-discovery-configuration --status ENABLED --auto-enable-organization-members ALL --region us-east-1
```
Onde *us-east-1* está a região na qual permitir a descoberta automatizada de dados confidenciais para as contas, a região Leste dos EUA (Norte da Virgínia). Se a solicitação for bem-sucedida, o Macie ativará a descoberta automática das contas e retornará uma resposta vazia.
O próximo exemplo altera a configuração de capacitação de membros de uma organização para. `NONE` Com essa alteração, a descoberta automatizada de dados confidenciais não é ativada automaticamente para contas que posteriormente ingressam na organização. Em vez disso, ele é ativado somente para a conta de administrador do Macie e para qualquer conta de membro existente para a qual esteja habilitado no momento.
```
$ aws macie2 update-automated-discovery-configuration --status ENABLED --auto-enable-organization-members NONE --region us-east-1
```
Onde *us-east-1* está a região na qual alterar a configuração, a região Leste dos EUA (Norte da Virgínia). Se a solicitação for bem-sucedida, o Macie atualizará a configuração e retornará uma resposta vazia.
Os exemplos a seguir permitem a descoberta automática de dados confidenciais para duas contas membros em uma organização. O administrador do Macie já habilitou a descoberta automática para a organização. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.
```
$ aws macie2 batch-update-automated-discovery-accounts \
--region us-east-1 \
--accounts '[{"accountId":"123456789012","status":"ENABLED"},{"accountId":"111122223333","status":"ENABLED"}]'
```
Este exemplo foi formatado para Microsoft Windows e usa o caractere de continuação de linha circunflexo (^) para melhorar a legibilidade.
```
C:\> aws macie2 batch-update-automated-discovery-accounts ^
--region us-east-1 ^
--accounts=[{\"accountId\":\"123456789012\",\"status\":\"ENABLED\"},{\"accountId\":\"111122223333\",\"status\":\"ENABLED\"}]
```
Em que:
+ *us-east-1*é a região na qual habilitar a descoberta automática de dados confidenciais para as contas especificadas, a região Leste dos EUA (Norte da Virgínia).
+ *123456789012*e *111122223333* são a conta das contas IDs para permitir a descoberta automatizada de dados confidenciais.
Se a solicitação for bem-sucedida para todas as contas especificadas, o Macie retornará uma matriz vazia`errors`. Se a solicitação falhar em algumas contas, a matriz especifica o erro que ocorreu em cada conta afetada. Por exemplo:
```
"errors": [
{
"accountId": "123456789012",
"errorCode": "ACCOUNT_PAUSED"
}
]
```
Na resposta anterior, a solicitação falhou para a conta especificada (`123456789012`) porque Macie está atualmente suspenso para a conta. Para resolver esse erro, o administrador do Macie deve primeiro habilitar o Macie para a conta.
Se a solicitação falhar em todas as contas, você receberá uma mensagem descrevendo o erro que ocorreu.
------
# Definir configurações da descoberta automatizada de dados confidenciais
Se você habilitar a descoberta automatizada de dados confidenciais para uma conta ou organização, será possível ajustar as configurações de descoberta automatizada para refinar as análises realizadas pelo Amazon Macie. As configurações especificam os buckets do Amazon Simple Storage Service (Amazon S3) a serem excluídos das análises. Elas também especificam os tipos e as ocorrências de dados confidenciais a detectar e relatar: identificadores de dados gerenciados, identificadores de dados personalizados e listas de permissões a serem usados ao analisar objetos do S3.
Por padrão, o Macie realiza a descoberta automática de dados confidenciais para todos os buckets de uso geral do S3 da sua conta. Se você for o administrador do Macie em uma organização, isso inclui buckets que as contas de seus membros possuem. Você pode excluir buckets específicos das análises. Por exemplo, você pode excluir buckets que normalmente armazenam dados de AWS registro, como registros de AWS CloudTrail eventos. Se você excluir um bucket, poderá incluí-lo outra vez mais tarde.
Além disso, o Macie analisa objetos do S3 usando somente o conjunto de identificadores de dados gerenciados que recomendamos para a descoberta automatizada de dados confidenciais. O Macie não usa identificadores de dados personalizados nem listas de permissões que você definiu. Para personalizar as análises, você pode adicionar ou remover identificadores de dados gerenciados, identificadores de dados personalizados e listas de permissões específicos.
Se você alterar uma configuração, o Macie aplicará sua alteração quando o próximo ciclo de avaliação e análise começar, normalmente em 24 horas. Além disso, sua alteração se aplica somente à Região da AWS atual. Para fazer a mesma alteração em outras Regiões, repita as etapas pertinentes em cada uma delas.
**Topics**
+ [Opções de configuração para organizações](#discovery-asdd-configure-options-orgs)
+ [Excluir ou incluir buckets do S3](#discovery-asdd-account-configure-s3buckets)
+ [Adicionar ou remover identificadores de dados gerenciados](#discovery-asdd-account-configure-mdis)
+ [Adicionar ou remover identificadores de dados personalizados](#discovery-asdd-account-configure-cdis)
+ [Adicionar ou remover listas de permissões](#discovery-asdd-account-configure-als)
**nota**
Para definir as configurações da descoberta automatizada de dados confidenciais, você deve ser o administrador do Macie da organização ou ter uma conta autônoma do Macie. Se sua conta fizer parte de uma organização, somente o administrador do Macie da sua organização poderá definir e gerenciar as configurações das contas em sua organização. Se você tiver uma conta de membro, entre em contato com o administrador do Macie para saber mais sobre as configurações da conta e da organização.
## Opções de configuração para organizações
Se uma conta fizer parte de uma organização que gerencia centralmente várias contas do Amazon Macie, o administrador do Macie da organização configurará e gerenciará a descoberta automatizada de dados confidenciais das contas na organização. Isso inclui configurações que definem o escopo e a natureza das análises que o Macie realiza para as contas. Os membros não podem acessar essas configurações para suas próprias contas.
Se você for o administrador do Macie de uma organização, poderá definir o escopo das análises de várias maneiras:
+ **Ativar automaticamente a descoberta automática de dados confidenciais para contas** — Ao ativar a descoberta automática de dados confidenciais, você especifica se deseja ativá-la para todas as contas existentes e novas contas de membros, somente para novas contas de membros ou para nenhuma conta de membro. Se você ativá-la para novas contas de membros, ela será ativada automaticamente para qualquer conta que se juntar posteriormente à sua organização, quando a conta ingressar na sua organização no Macie. Se estiver habilitado para uma conta, o Macie incluirá buckets do S3 que a conta possui. Se estiver desabilitado para uma conta, o Macie excluirá os buckets que a conta possui.
+ **Ative seletivamente a descoberta automatizada de dados confidenciais para contas** — Com essa opção, você ativa ou desativa a descoberta automática de dados confidenciais para contas individuais em uma case-by-case base. Se você habilitá-lo para uma conta, o Macie incluirá buckets do S3 que a conta possui. Se você não habilitá-lo ou se desativá-lo para uma conta, o Macie excluirá os buckets que a conta possui.
+ **Exclua buckets específicos do S3 da descoberta automática de dados confidenciais** — Se você ativar a descoberta automática de dados confidenciais para uma conta, poderá excluir determinados buckets do S3 que a conta possui. Em seguida, Macie ignora os intervalos quando realiza a descoberta automatizada. Para excluir determinados buckets, adicione-os à lista de exclusão nas configurações da sua conta de administrador. Você pode excluir até 1.000 buckets para sua organização.
Por padrão, a descoberta automatizada de dados confidenciais é habilitada automaticamente para todas as contas novas e existentes em uma organização. Além disso, o Macie inclui todos os buckets do S3 que as contas possuem. Se você mantiver as configurações padrão, isso significa que o Macie executa a descoberta automática de todos os buckets da sua conta de administrador, o que inclui todos os buckets que suas contas membros possuem.
Como administrador do Macie, você também define a natureza das análises que o Macie realiza para a organização. Para fazer isso, defina configurações adicionais para sua conta de administrador: identificadores de dados gerenciados, identificadores de dados personalizados e listas de permissões que você deseja que o Macie use ao analisar objetos do S3. O Macie usa as configurações da sua conta de administrador ao analisar objetos do S3 para outras contas em sua organização.
## Excluindo ou incluindo buckets S3 na descoberta automatizada de dados confidenciais
Por padrão, o Amazon Macie realiza a descoberta automática de dados confidenciais para todos os buckets S3 de uso geral da sua conta. Se você for o administrador do Macie em uma organização, isso inclui buckets que as contas de seus membros possuem.
Para refinar o escopo, você pode excluir até 1.000 buckets do S3 das análises. Se você exclui um bucket, o Macie para de selecionar e analisar objetos no bucket quando realiza a descoberta automatizada de dados confidenciais. As estatísticas de descoberta de dados confidenciais existentes e os detalhes do bucket continuarão. Por exemplo, a pontuação de confidencialidade atual do bucket permanecerá inalterada. Depois de excluir um bucket, você pode incluí-lo outra vez mais tarde.
**Para excluir ou incluir um bucket S3 na descoberta automatizada de dados confidenciais**
Você pode excluir ou incluir posteriormente um bucket do S3 usando o console do Amazon Macie ou a API do Amazon Macie.
------
#### [ Console ]
Siga estas etapas para excluir ou incluir posteriormente um bucket do S3 usando o console do Amazon Macie.
**Para excluir ou incluir um bucket do S3**
1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. Usando o Região da AWS seletor no canto superior direito da página, escolha a região na qual você deseja excluir ou incluir buckets específicos do S3 nas análises.
1. No painel de navegação, em **Configurações**, selecione **Descoberta automatizada de dados confidenciais**.
A página **Descoberta automatizada de dados confidenciais** aparece e exibe suas configurações atuais. Nessa página, a seção **S3 buckets** lista os buckets do S3 que estão atualmente excluídos ou indica que todos os buckets estão incluídos no momento.
1. Na seção **S3 buckets**, selecione **Editar**.
1. Execute um destes procedimentos:
+ Para excluir um ou mais buckets do S3, selecione **Adicionar buckets à lista de exclusão**. Em seguida, na tabela de **compartimentos do S3**, marque a caixa de seleção de cada compartimento a ser excluído. A tabela lista todos os buckets gerais da conta ou organização na Região atual.
+ Para incluir um ou mais buckets do S3 que você excluiu anteriormente, selecione **Remover buckets da lista de exclusão**. Em seguida, na tabela de **compartimentos do S3**, marque a caixa de seleção de cada compartimento a ser incluído. A tabela lista todos os buckets atualmente excluídos das análises.
Para encontrar compartimentos específicos com mais facilidade, insira os critérios de pesquisa na caixa de pesquisa acima da tabela. Você também pode classificar a tabela escolhendo um título de coluna.
1. Ao terminar de selecionar buckets, selecione **Adicionar** ou **Remover**, dependendo da opção escolhida na etapa anterior.
**dica**
Você também pode excluir ou incluir buckets S3 individuais em uma case-by-case base enquanto analisa os detalhes do bucket no console. Para fazer isso, selecione o bucket na página de **buckets do S3**. Em seguida, no painel de detalhes, altere a configuração de **Excluir da descoberta automatizada** do bucket.
------
#### [ API ]
Para excluir ou incluir posteriormente um bucket do S3 de forma programática, use a API do Amazon Macie para atualizar o escopo de classificação da sua conta. O escopo da classificação especifica buckets que você não quer que o Macie analise ao realizar a descoberta automatizada de dados confidenciais. Ele define uma lista de exclusão de buckets para descoberta automatizada.
Ao atualizar o escopo da classificação, você especifica se deseja adicionar ou remover compartimentos individuais da lista de exclusão ou substituir a lista atual por uma nova lista. Portanto, é uma boa ideia começar recuperando e revisando sua lista atual. Para recuperar a lista, use a [GetClassificationScope](https://docs.aws.amazon.com/macie/latest/APIReference/classification-scopes-id.html)operação. Se você estiver usando o AWS Command Line Interface (AWS CLI), execute o [get-classification-scope](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-classification-scope.html)comando para recuperar a lista.
Para recuperar ou atualizar o escopo da classificação, você precisa especificar seu identificador exclusivo (`id`). Você pode obter esse identificador usando a [GetAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html)operação. Essa operação recupera suas configurações atuais para a descoberta automática de dados confidenciais, incluindo o identificador exclusivo do escopo de classificação de sua conta no atual Região da AWS. Se você estiver usando o AWS CLI, execute o [get-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-automated-discovery-configuration.html)comando para recuperar essas informações.
Quando estiver pronto para atualizar o escopo da classificação, use a [UpdateClassificationScope](https://docs.aws.amazon.com/macie/latest/APIReference/classification-scopes-id.html)operação ou, se estiver usando o AWS CLI, execute o [update-classification-scope](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-classification-scope.html)comando. Em sua solicitação, use os parâmetros compatíveis para excluir ou incluir um bucket do S3 em análises subsequentes:
+ Para excluir um ou mais compartimentos, especifique o nome de cada compartimento para o `bucketNames` parâmetro. Para o parâmetro `operation`, especifique `ADD`.
+ Para incluir um ou mais compartimentos que você excluiu anteriormente, especifique o nome de cada compartimento para o `bucketNames` parâmetro. Para o parâmetro `operation`, especifique `REMOVE`.
+ Para substituir a lista atual por uma nova lista de compartimentos a serem excluídos, especifique `REPLACE` o `operation` parâmetro. Para o `bucketNames` parâmetro, especifique o nome de cada bucket a ser excluído.
Cada valor do `bucketNames` parâmetro deve ser o nome completo de um bucket de uso geral existente na região atual. Os valores diferenciam maiúsculas de minúsculas. Se sua solicitação for bem-sucedida, o Macie atualizará o escopo da classificação e retornará uma resposta vazia.
Os exemplos a seguir mostram como usar o AWS CLI para atualizar o escopo de classificação de uma conta. O primeiro conjunto de exemplos exclui dois buckets S3 (*amzn-s3-demo-bucket1*e*amzn-s3-demo-bucket2*) das análises subsequentes. Ele adiciona os compartimentos à lista de compartimentos a serem excluídos.
Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.
```
$ aws macie2 update-classification-scope \
--id 117aff7ed76b59a59c3224ebdexample \
--s3 '{"excludes":{"bucketNames":["amzn-s3-demo-bucket1","amzn-s3-demo-bucket2"],"operation": "ADD"}}'
```
Este exemplo foi formatado para Microsoft Windows e usa o caractere de continuação de linha circunflexo (^) para melhorar a legibilidade.
```
C:\> aws macie2 update-classification-scope ^
--id 117aff7ed76b59a59c3224ebdexample ^
--s3={\"excludes\":{\"bucketNames\":[\"amzn-s3-demo-bucket1\",\"amzn-s3-demo-bucket2\"],\"operation\":\"ADD\"}}
```
O próximo conjunto de exemplos incluirá posteriormente os compartimentos (*amzn-s3-demo-bucket1*e*amzn-s3-demo-bucket2*) em análises subsequentes. Ele remove os compartimentos da lista de compartimentos a serem excluídos. Para Linux, macOS ou Unix:
```
$ aws macie2 update-classification-scope \
--id 117aff7ed76b59a59c3224ebdexample \
--s3 '{"excludes":{"bucketNames":["amzn-s3-demo-bucket1","amzn-s3-demo-bucket2"],"operation": "REMOVE"}}'
```
Para o Microsoft Windows:
```
C:\> aws macie2 update-classification-scope ^
--id 117aff7ed76b59a59c3224ebdexample ^
--s3={\"excludes\":{\"bucketNames\":[\"amzn-s3-demo-bucket1\",\"amzn-s3-demo-bucket2\"],\"operation\":\"REMOVE\"}}
```
Os exemplos a seguir substituem e substituem a lista atual por uma nova lista de buckets do S3 a serem excluídos. A nova lista especifica três compartimentos a serem excluídos: *amzn-s3-demo-bucket**amzn-s3-demo-bucket2*, e. *amzn-s3-demo-bucket3* Para Linux, macOS ou Unix:
```
$ aws macie2 update-classification-scope \
--id 117aff7ed76b59a59c3224ebdexample \
--s3 '{"excludes":{"bucketNames":["amzn-s3-demo-bucket","amzn-s3-demo-bucket2","amzn-s3-demo-bucket3"],"operation": "REPLACE"}}'
```
Para o Microsoft Windows:
```
C:\> aws macie2 update-classification-scope ^
--id 117aff7ed76b59a59c3224ebdexample ^
--s3={\"excludes\":{\"bucketNames\":[\"amzn-s3-demo-bucket\",\"amzn-s3-demo-bucket2\",\"amzn-s3-demo-bucket3\"],\"operation\":\"REPLACE\"}}
```
------
## Adicionar ou remover identificadores de dados gerenciados da descoberta automática de dados confidenciais
Um *identificador de dados gerenciados* é um conjunto de critérios e técnicas incorporados projetados para detectar um tipo específico de dados confidenciais, por exemplo, números de cartão de crédito, chaves de acesso AWS secretas ou números de passaportes de um determinado país ou região. Por padrão, o Amazon Macie analisa objetos do S3 usando o conjunto de identificadores de dados gerenciados que recomendamos para a descoberta automatizada de dados confidenciais. Para analisar uma lista desses identificadores, consulte [Configurações padrão para descoberta automatizada de dados confidenciais](discovery-asdd-settings-defaults.md).
Você pode personalizar as análises para se concentrarem em tipos específicos de dados confidenciais:
+ Adicione identificadores de dados gerenciados para os tipos de dados confidenciais que deseja que o Macie detecte e relate, e
+ Remova identificadores de dados gerenciados para os tipos de dados confidenciais que você não deseja que o Macie detecte e relate.
Para obter uma lista completa de todos os identificadores de dados gerenciados que o Macie fornece atualmente e os detalhes de cada um, consulte. [Usar identificadores de dados gerenciados](managed-data-identifiers.md)
Se você remover um identificador de dados gerenciados, sua alteração não afetará as estatísticas e os detalhes da descoberta de dados confidenciais existentes para os buckets do S3. Por exemplo, se você remover o identificador de dados gerenciados para chaves de acesso secretas AWS e o Macie já tiver detectado esses dados em um bucket, o Macie continuará a relatar essas detecções. No entanto, em vez de remover o identificador, que afeta as análises posteriores de todos os buckets, considere excluir essas detecções das pontuações de confidencialidade apenas para buckets específicos. Para obter mais informações, consulte [Ajustar pontuações de confidencialidade para buckets do S3](discovery-asdd-s3bucket-manage.md).
**Para adicionar ou remover identificadores de dados gerenciados da descoberta automatizada de dados confidenciais**
Você pode adicionar ou remover identificadores de dados gerenciados usando o console do Amazon Macie ou a API do Amazon Macie.
------
#### [ Console ]
Siga estas etapas para adicionar ou remover um identificador de dados gerenciados usando o console do Amazon Macie.
**Para adicionar ou remover um identificador de dados gerenciado**
1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. Usando o Região da AWS seletor no canto superior direito da página, escolha a região na qual você deseja adicionar ou remover um identificador de dados gerenciados das análises.
1. No painel de navegação, em **Configurações**, selecione **Descoberta automatizada de dados confidenciais**.
A página **Descoberta automatizada de dados confidenciais** aparece e exibe suas configurações atuais. Nessa página, a seção **Identificadores de dados gerenciados** exibe as configurações atuais, organizadas em duas guias:
+ **Adicionado ao padrão**: essa guia lista os identificadores de dados gerenciados que você adicionou. O Macie usa esses identificadores junto com os que estão no conjunto padrão e que você não removeu.
+ **Removido do padrão**: essa guia lista os identificadores de dados gerenciados que você removeu. O Macie não usa esses identificadores.
1. Na seção **Identificadores de dados gerenciados**, selecione **Editar**.
1. Faça o seguinte:
+ Para adicionar um ou mais identificadores de dados gerenciados, escolha a guia **Adicionado ao padrão**. Em seguida, na tabela, marque a caixa de seleção de cada identificador de dados gerenciados a ser adicionado. Se uma caixa de seleção já estiver marcada, você já adicionou esse identificador.
+ Para remover um ou mais identificadores de dados gerenciados, selecione a guia **Removido do padrão**. Em seguida, na tabela, marque a caixa de seleção de cada identificador de dados gerenciados a ser removido. Se uma caixa de seleção já estiver marcada, você já removeu esse identificador.
Em cada guia, a tabela exibe uma lista de todos os identificadores de dados gerenciados que o Macie fornece atualmente. Na tabela, a primeira coluna especifica o ID de cada identificador de dados gerenciados. O ID descreve o tipo de dados confidenciais que o identificador foi projetado para detectar, por exemplo, **USA\$1PASSPORT\$1NUMBER** para números de passaportes dos EUA. Para encontrar buckets específicos com mais facilidade, insira os critérios de pesquisa na caixa de pesquisa acima da tabela. É possível, também, organizar as linhas na tabela escolhendo o cabeçalho de uma coluna.
1. Ao concluir, escolha **Salvar**.
------
#### [ API ]
Para adicionar ou remover programaticamente um identificador de dados gerenciados, use a API do Amazon Macie para atualizar o modelo de inspeção de sensibilidade da sua conta. O modelo armazena configurações que especificam quais identificadores de dados gerenciados usar (*incluir*) além dos do conjunto padrão. Eles também especificam identificadores de dados gerenciados que não devem ser usados (*excluídos*). As configurações também especificam quaisquer identificadores de dados personalizados e listas de permissões que você deseja que o Macie use.
Ao atualizar o modelo, você sobrescreve suas configurações atuais. Portanto, é uma boa ideia começar recuperando suas configurações atuais e determinando quais você deseja manter. Para recuperar suas configurações atuais, use a [GetSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html)operação. Se você estiver usando o AWS Command Line Interface (AWS CLI), execute o [get-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitivity-inspection-template.html)comando para recuperar as configurações.
Para recuperar ou atualizar o modelo, você precisa especificar seu identificador exclusivo (`id`). Você pode obter esse identificador usando a [GetAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html)operação. Essa operação recupera suas configurações atuais para a descoberta automática de dados confidenciais, incluindo o identificador exclusivo do modelo de inspeção de sensibilidade de sua conta atual Região da AWS. Se você estiver usando o AWS CLI, execute o [get-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-automated-discovery-configuration.html)comando para recuperar essas informações.
Quando estiver pronto para atualizar o modelo, use a [UpdateSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html)operação ou, se estiver usando o AWS CLI, execute o [update-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-sensitivity-inspection-template.html)comando. Em sua solicitação, use os parâmetros apropriados para adicionar ou remover um ou mais identificadores de dados gerenciados das análises subsequentes:
+ Para começar a usar um identificador de dados gerenciados, especifique seu ID para o `managedDataIdentifierIds` parâmetro do `includes` parâmetro.
+ Para parar de usar um identificador de dados gerenciados, especifique seu ID para o `managedDataIdentifierIds` parâmetro do `excludes` parâmetro.
+ Para restaurar as configurações padrão, não especifique nenhuma IDs para os `excludes` parâmetros `includes` e. Em seguida, o Macie começa a usar somente os identificadores de dados gerenciados que estão no conjunto padrão.
Além dos parâmetros para identificadores de dados gerenciados, use os `includes` parâmetros apropriados para especificar quaisquer identificadores de dados personalizados (`customDataIdentifierIds`) e listas de permissões (`allowListIds`) que você deseja que o Macie use. Especifique também a região à qual a sua solicitação se aplica. Se sua solicitação for bem-sucedida, o Macie atualizará o modelo e retornará uma resposta vazia.
Os exemplos a seguir mostram como usar o AWS CLI para atualizar o modelo de inspeção de sensibilidade de uma conta. Os exemplos adicionam um identificador de dados gerenciados e removem outro das análises subsequentes. Eles também mantêm as configurações atuais que especificam dois identificadores de dados personalizados a serem usados.
Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.
```
$ aws macie2 update-sensitivity-inspection-template \
--id fd7b6d71c8006fcd6391e6eedexample \
--excludes '{"managedDataIdentifierIds":["UK_ELECTORAL_ROLL_NUMBER"]}' \
--includes '{"managedDataIdentifierIds":["STRIPE_CREDENTIALS"],"customDataIdentifierIds":["3293a69d-4a1e-4a07-8715-208ddexample","6fad0fb5-3e82-4270-bede-469f2example"]}'
```
Este exemplo foi formatado para Microsoft Windows e usa o caractere de continuação de linha circunflexo (^) para melhorar a legibilidade.
```
C:\> aws macie2 update-sensitivity-inspection-template ^
--id fd7b6d71c8006fcd6391e6eedexample ^
--excludes={\"managedDataIdentifierIds\":[\"UK_ELECTORAL_ROLL_NUMBER\"]} ^
--includes={\"managedDataIdentifierIds\":[\"STRIPE_CREDENTIALS\"],\"customDataIdentifierIds\":[\"3293a69d-4a1e-4a07-8715-208ddexample\",\"6fad0fb5-3e82-4270-bede-469f2example\"]}
```
Em que:
+ *fd7b6d71c8006fcd6391e6eedexample*é o identificador exclusivo para atualização do modelo de inspeção de sensibilidade.
+ *UK\$1ELECTORAL\$1ROLL\$1NUMBER*é a ID do identificador de dados gerenciados que deve parar de ser usado (*excluído*).
+ *STRIPE\$1CREDENTIALS*é a ID do identificador de dados gerenciados para começar a usar (*incluir*).
+ *3293a69d-4a1e-4a07-8715-208ddexample*e *6fad0fb5-3e82-4270-bede-469f2example* são os identificadores exclusivos para uso dos identificadores de dados personalizados.
------
## Adicionar ou remover identificadores de dados personalizados da descoberta automática de dados confidenciais
O *identificador de dados personalizado* é um conjunto de critérios que você define para detectar dados confidenciais. Os critérios consistem em uma expressão regular (*regex*) que define um padrão de texto a ser correspondido e, opcionalmente, sequências de caracteres e uma regra de proximidade que refinam os resultados. Para saber mais, consulte [Criar identificadores de dados personalizados](custom-data-identifiers.md).
Por padrão, o Amazon Macie não usa identificadores de dados personalizados ao realizar a descoberta automatizada de dados confidenciais. Se você quiser que o Macie use identificadores de dados personalizados específicos, você pode adicioná-los às análises subsequentes. O Macie, então, usa os identificadores de dados personalizados, além de quaisquer identificadores de dados gerenciados que você configura para que o Macie use.
Se adicionar um identificador de dados personalizado, você poderá removê-lo mais tarde. Sua alteração não afeta as estatísticas e os detalhes da descoberta de dados confidenciais existentes para os buckets do S3. Por exemplo, se você remover um identificador de dados personalizado que anteriormente produzia detecções para um bucket, o Macie continuará a relatar essas detecções. No entanto, em vez de remover o identificador, que afeta as análises posteriores de todos os buckets, considere excluir essas detecções das pontuações de confidencialidade apenas para buckets específicos. Para obter mais informações, consulte [Ajustar pontuações de confidencialidade para buckets do S3](discovery-asdd-s3bucket-manage.md).
**Para adicionar ou remover identificadores de dados personalizados da descoberta automática de dados confidenciais**
Você pode adicionar ou remover identificadores de dados personalizados usando o console do Amazon Macie ou a API do Amazon Macie.
------
#### [ Console ]
Siga estas etapas para adicionar ou remover um identificador de dados personalizado usando o console do Amazon Macie.
**Para adicionar ou remover um identificador de dados personalizado**
1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. Usando o Região da AWS seletor no canto superior direito da página, escolha a região na qual você deseja adicionar ou remover um identificador de dados personalizado das análises.
1. No painel de navegação, em **Configurações**, selecione **Descoberta automatizada de dados confidenciais**.
A página **Descoberta automatizada de dados confidenciais** aparece e exibe suas configurações atuais. Nessa página, a seção **Identificadores de dados personalizados** lista os identificadores de dados personalizados que você já adicionou ou indica que você não adicionou nenhum identificador de dados personalizado.
1. Na seção **Identificadores de dados personalizados**, selecione **Editar**.
1. Faça o seguinte:
+ Para adicionar um ou mais identificadores de dados personalizados, marque a caixa de seleção de cada identificador de dados personalizado a ser adicionado. Se uma caixa de seleção já estiver marcada, você já adicionou esse identificador.
+ Para remover um ou mais identificadores de dados personalizados, desmarque a caixa de seleção de cada identificador de dados personalizado a ser removido. Se uma caixa de seleção já estiver desmarcada, o Macie não usa esse identificador no momento.
**dica**
Para revisar ou testar as configurações de um identificador de dados personalizado antes de adicioná-lo ou removê-lo, selecione o ícone de link (![\[The link icon, which is a blue box that has an arrow in it.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/icon-external-link.png)) ao lado do nome do identificador. O Macie abrirá uma página que exibe as configurações do identificador. Para testar também o identificador com dados de amostra, insira até 1.000 caracteres de texto na caixa **Dados da amostra** nessa página. Em seguida, escolha **Testar**. O Macie avalia os dados da amostra e relata o número de correspondências.
1. Ao concluir, escolha **Salvar**.
------
#### [ API ]
Para adicionar ou remover programaticamente um identificador de dados personalizado, use a API do Amazon Macie para atualizar o modelo de inspeção de sensibilidade da sua conta. O modelo armazena configurações que especificam quais identificadores de dados personalizados você deseja que o Macie use ao realizar a descoberta automatizada de dados confidenciais. As configurações também especificam quais identificadores de dados gerenciados e listas de permissões usar.
Ao atualizar o modelo, você sobrescreve suas configurações atuais. Portanto, é uma boa ideia começar recuperando suas configurações atuais e determinando quais você deseja manter. Para recuperar suas configurações atuais, use a [GetSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html)operação. Se você estiver usando o AWS Command Line Interface (AWS CLI), execute o [get-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitivity-inspection-template.html)comando para recuperar as configurações.
Para recuperar ou atualizar o modelo, você precisa especificar seu identificador exclusivo (`id`). Você pode obter esse identificador usando a [GetAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html)operação. Essa operação recupera suas configurações atuais para a descoberta automática de dados confidenciais, incluindo o identificador exclusivo do modelo de inspeção de sensibilidade de sua conta atual Região da AWS. Se você estiver usando o AWS CLI, execute o [get-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-automated-discovery-configuration.html)comando para recuperar essas informações.
Quando estiver pronto para atualizar o modelo, use a [UpdateSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html)operação ou, se estiver usando o AWS CLI, execute o [update-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-sensitivity-inspection-template.html)comando. Em sua solicitação, use o `customDataIdentifierIds` parâmetro para adicionar ou remover um ou mais identificadores de dados personalizados das análises subsequentes:
+ Para começar a usar um identificador de dados personalizado, especifique seu identificador exclusivo para o parâmetro.
+ Para parar de usar um identificador de dados personalizado, omita seu identificador exclusivo do parâmetro.
Use parâmetros adicionais para especificar quais identificadores de dados gerenciados e listas de permissões você deseja que o Macie use. Especifique também a região à qual a sua solicitação se aplica. Se sua solicitação for bem-sucedida, o Macie atualizará o modelo e retornará uma resposta vazia.
Os exemplos a seguir mostram como usar o AWS CLI para atualizar o modelo de inspeção de sensibilidade de uma conta. Os exemplos adicionam dois identificadores de dados personalizados às análises subsequentes. Eles também mantêm as configurações atuais que especificam quais identificadores de dados gerenciados e listas de permissões usar: use o conjunto padrão de identificadores de dados gerenciados e uma lista de permissões.
Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.
```
$ aws macie2 update-sensitivity-inspection-template \
--id fd7b6d71c8006fcd6391e6eedexample \
--includes '{"allowListIds":["nkr81bmtu2542yyexample"],"customDataIdentifierIds":["3293a69d-4a1e-4a07-8715-208ddexample","6fad0fb5-3e82-4270-bede-469f2example"]}'
```
Este exemplo foi formatado para Microsoft Windows e usa o caractere de continuação de linha circunflexo (^) para melhorar a legibilidade.
```
C:\> aws macie2 update-sensitivity-inspection-template ^
--id fd7b6d71c8006fcd6391e6eedexample ^
--includes={\"allowListIds\":[\"nkr81bmtu2542yyexample\"],\"customDataIdentifierIds\":[\"3293a69d-4a1e-4a07-8715-208ddexample\",\"6fad0fb5-3e82-4270-bede-469f2example\"]}
```
Em que:
+ *fd7b6d71c8006fcd6391e6eedexample*é o identificador exclusivo para atualização do modelo de inspeção de sensibilidade.
+ *nkr81bmtu2542yyexample*é o identificador exclusivo para uso da lista de permissões.
+ *3293a69d-4a1e-4a07-8715-208ddexample*e *6fad0fb5-3e82-4270-bede-469f2example* são os identificadores exclusivos para uso dos identificadores de dados personalizados.
------
## Adicionar ou remover listas de permissões da descoberta automática de dados confidenciais
No Amazon Macie, uma lista de permissões define um texto ou um padrão de texto específico que o Macie deverá ignorar ao inspecionar objetos do S3 em busca de dados confidenciais. Se o texto corresponder a uma entrada ou um padrão em uma lista de permissões, o Macie não reportará o texto. Esse é o caso mesmo que o texto corresponda aos critérios de um identificador de dados gerenciado ou personalizado. Para saber mais, consulte [Como definir exceções de dados sigilosos com listas de permissões](allow-lists.md).
Por padrão, o Amazon Macie não usa identificadores de dados personalizados ao realizar a descoberta automatizada de dados confidenciais. Se você quiser que o Macie use listas de permissões específicas, você pode adicioná-las às análises subsequentes. Se adicionar uma lista de permissões, você poderá removê-la mais tarde.
**Para adicionar ou remover listas de permissões da descoberta automática de dados confidenciais**
Você pode adicionar ou remover listas de permissões usando o console do Amazon Macie ou a API do Amazon Macie.
------
#### [ Console ]
Siga estas etapas para adicionar ou remover uma lista de permissões usando o console do Amazon Macie.
**Para adicionar ou remover uma lista de permissões**
1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. Usando o Região da AWS seletor no canto superior direito da página, escolha a região na qual você deseja adicionar ou remover uma lista de permissões das análises.
1. No painel de navegação, em **Configurações**, selecione **Descoberta automatizada de dados confidenciais**.
A página **Descoberta automatizada de dados confidenciais** aparece e exibe suas configurações atuais. Nessa página, a seção **Listas de permissões** especifica as listas de permissões que você já adicionou ou indica que você não adicionou nenhuma lista de permissões.
1. Na seção **Listas de permissões**, selecione **Editar**.
1. Faça o seguinte:
+ Para adicionar uma ou mais listas de permissões, marque a caixa de seleção de cada lista de permissões a ser adicionada. Se uma caixa de seleção já estiver marcada, você já adicionou essa lista.
+ Para remover uma ou mais listas de permissões, desmarque a caixa de seleção de cada lista de permissões a ser removida. Se uma caixa de seleção já estiver desmarcada, o Macie não usa essa lista no momento.
**dica**
Para revisar as configurações de uma lista de permissões antes de adicioná-la ou removê-la, selecione o ícone do link (![\[The link icon, which is a blue box that has an arrow in it.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/icon-external-link.png)) ao lado do nome da lista. O Macie abrirá uma página que exibe as configurações da lista. Se a lista especificar uma expressão regular (*regex*), você também poderá usar essa página para testar a regex com dados de amostra. Para fazer isso, insira até mil caracteres de texto na caixa **Dados da amostra** e selecione **Teste**. O Macie avalia os dados da amostra e relata o número de correspondências.
1. Ao concluir, escolha **Salvar**.
------
#### [ API ]
Para adicionar ou remover uma lista de permissões programaticamente, use a API do Amazon Macie para atualizar o modelo de inspeção de sensibilidade da sua conta. O modelo armazena configurações que especificam quais listas de permissões você deseja que o Macie use ao realizar a descoberta automatizada de dados confidenciais. As configurações também especificam quais identificadores de dados gerenciados e identificadores de dados personalizados usar.
Ao atualizar o modelo, você sobrescreve suas configurações atuais. Portanto, é uma boa ideia começar recuperando suas configurações atuais e determinando quais você deseja manter. Para recuperar suas configurações atuais, use a [GetSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html)operação. Se você estiver usando o AWS Command Line Interface (AWS CLI), execute o [get-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitivity-inspection-template.html)comando para recuperar as configurações.
Para recuperar ou atualizar o modelo, você precisa especificar seu identificador exclusivo (`id`). Você pode obter esse identificador usando a [GetAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html)operação. Essa operação recupera suas configurações atuais para a descoberta automática de dados confidenciais, incluindo o identificador exclusivo do modelo de inspeção de sensibilidade de sua conta atual Região da AWS. Se você estiver usando o AWS CLI, execute o [get-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-automated-discovery-configuration.html)comando para recuperar essas informações.
Quando estiver pronto para atualizar o modelo, use a [UpdateSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html)operação ou, se estiver usando o AWS CLI, execute o [update-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-sensitivity-inspection-template.html)comando. Em sua solicitação, use o `allowListIds` parâmetro para adicionar ou remover uma ou mais listas de permissões das análises subsequentes:
+ Para começar a usar uma lista de permissões, especifique seu identificador exclusivo para o parâmetro.
+ Para parar de usar uma lista de permissões, omita seu identificador exclusivo do parâmetro.
Use parâmetros adicionais para especificar quais identificadores de dados gerenciados e identificadores de dados personalizados você deseja que o Macie use. Especifique também a região à qual a sua solicitação se aplica. Se sua solicitação for bem-sucedida, o Macie atualizará o modelo e retornará uma resposta vazia.
Os exemplos a seguir mostram como usar o AWS CLI para atualizar o modelo de inspeção de sensibilidade de uma conta. Os exemplos adicionam uma lista de permissões às análises subsequentes. Eles também mantêm as configurações atuais que especificam quais identificadores de dados gerenciados e identificadores de dados personalizados usar: use o conjunto padrão de identificadores de dados gerenciados e dois identificadores de dados personalizados.
Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.
```
$ aws macie2 update-sensitivity-inspection-template \
--id fd7b6d71c8006fcd6391e6eedexample \
--includes '{"allowListIds":["nkr81bmtu2542yyexample"],"customDataIdentifierIds":["3293a69d-4a1e-4a07-8715-208ddexample","6fad0fb5-3e82-4270-bede-469f2example"]}'
```
Este exemplo foi formatado para Microsoft Windows e usa o caractere de continuação de linha circunflexo (^) para melhorar a legibilidade.
```
C:\> aws macie2 update-sensitivity-inspection-template ^
--id fd7b6d71c8006fcd6391e6eedexample ^
--includes={\"allowListIds\":[\"nkr81bmtu2542yyexample\"],\"customDataIdentifierIds\":[\"3293a69d-4a1e-4a07-8715-208ddexample\",\"6fad0fb5-3e82-4270-bede-469f2example\"]}
```
Em que:
+ *fd7b6d71c8006fcd6391e6eedexample*é o identificador exclusivo para atualização do modelo de inspeção de sensibilidade.
+ *nkr81bmtu2542yyexample*é o identificador exclusivo para uso da lista de permissões.
+ *3293a69d-4a1e-4a07-8715-208ddexample*e *6fad0fb5-3e82-4270-bede-469f2example* são os identificadores exclusivos para uso dos identificadores de dados personalizados.
------
# Desabilitar a descoberta automatizada de dados confidenciais
Você pode desabilitar a descoberta automatizada de dados confidenciais de uma conta ou organização a qualquer momento. Se você fizer isso, o Amazon Macie interromperá todas as atividades de descoberta automatizada para a conta ou a organização antes do início de um ciclo subsequente de avaliação e análise, normalmente em 48 horas. Os efeitos adicionais variam:
+ Se você for um administrador do Macie e desabilitá-lo para uma conta individual na organização, você e a conta poderão continuar acessando todos os dados estatísticos, dados de inventário e outras informações que o Macie produziu e forneceu diretamente durante a descoberta automatizada da conta. Você pode habilitar a descoberta automatizada da conta outra vez. O Macie, então, retoma todas as atividades de descoberta automatizada da conta.
+ Se você for um administrador do Macie e desabilitá-lo para sua organização, você e as contas da organização perderão o acesso a todos os dados estatísticos, dados de inventário e outras informações que o Macie produziu e forneceu diretamente durante a descoberta automatizada para a organização. Por exemplo, seu inventário de buckets do S3 não incluirá mais as visualizações de confidencialidade nem as estatísticas de análises. Posteriormente, você pode habilitar a descoberta automatizada para sua organização outra vez. O Macie, então, retoma todas as atividades de descoberta automatizada das contas na organização. Se você reabilitá-lo em 30 dias, você e as contas recuperarão o acesso aos dados e às informações que o Macie produziu antes e forneceu diretamente durante a descoberta automatizada. Se você não reabilitá-lo em 30 dias, o Macie excluirá permanentemente esses dados e as informações.
+ Se desabilitá-lo para sua conta autônoma do Macie, você perderá o acesso a todos os dados estatísticos, dados de inventário e outras informações que o Macie produziu e forneceu diretamente durante a descoberta automatizada para sua conta. Se você não reabilitá-lo em 30 dias, o Macie excluirá permanentemente esses dados e as informações.
Você pode continuar acessando as descobertas de dados confidenciais que o Macie produziu enquanto realizava a descoberta automatizada de dados confidenciais para a conta ou a organização. O Macie armazena as descobertas por 90 dias. O Macie também mantém suas configurações para descoberta automatizada. Além disso, os dados que você armazenou ou publicou para outras pessoas Serviços da AWS permanecem intactos e não são afetados, como resultados de descoberta de dados confidenciais no Amazon S3 e localização de eventos na Amazon. EventBridge
**Para desabilitar a descoberta automatizada de dados confidenciais**
Se você for o administrador do Macie de uma organização ou tiver uma conta autônoma do Macie, poderá desativar a descoberta automática de dados confidenciais usando o console do Amazon Macie ou a API do Amazon Macie. Se você tiver uma conta de membro em uma organização, trabalhe com o administrador do Macie para desabilitar a descoberta automatizada da conta. Somente o administrador do Macie pode desativar a descoberta automática da sua conta.
------
#### [ Console ]
Siga estas etapas para desativar a descoberta automática de dados confidenciais usando o console do Amazon Macie.
**Para desabilitar a descoberta automatizada de dados confidenciais**
1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. Usando o Região da AWS seletor no canto superior direito da página, escolha a região na qual você deseja desativar a descoberta automática de dados confidenciais.
1. No painel de navegação, em **Configurações**, selecione **Descoberta automatizada de dados confidenciais**.
1. Se você for o administrador do Macie de uma organização, selecione uma opção na seção **Status** para especificar as contas para desabilitar a descoberta automatizada de dados confidenciais para:
+ Para desabilitá-lo somente para contas de membros específicas, escolha **Gerenciar contas**. Em seguida, na tabela da página **Contas**, marque a caixa de seleção de cada conta para desativá-la. Ao terminar, escolha **Desabilitar descoberta automatizada de dados confidenciais** no menu **Ações**.
+ Para desabilitá-la somente para sua conta de administrador do Macie, escolha **Desabilitar**. Na caixa de diálogo exibida, escolha **Minha conta** e, em seguida, escolha **Desabilitar**.
+ Para desabilitá-la para todas as contas da organização e da organização em geral, escolha **Desabilitar**. Na caixa de diálogo exibida, escolha **Minha organização** e, em seguida, escolha **Desabilitar**.
1. Se você tiver uma conta autônoma do Macie, escolha **Desabilitar** na seção **Status**.
Se você usar o Macie em várias Regiões e quiser desabilitar a descoberta automatizada de dados confidenciais em outras Regiões, repita as etapas anteriores em cada Região adicional.
------
#### [ API ]
Com a API do Amazon Macie, você pode desativar a descoberta automática de dados confidenciais de duas maneiras. A forma como você o desativa depende em parte do tipo de conta que você tem. Se você é o administrador do Macie de uma organização, também depende se você deseja desativar a descoberta automática somente para contas de membros específicas ou para sua organização em geral. Se você desativá-lo para sua organização, você o desativará para todas as contas que atualmente fazem parte da sua organização. Se contas adicionais se juntarem posteriormente à sua organização, a descoberta automática também será desativada para essas contas.
Para desativar a descoberta automatizada de dados confidenciais para uma organização ou uma conta autônoma do Macie, use a [UpdateAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html)operação. Ou, se você estiver usando a AWS Command Line Interface (AWS CLI), execute o comando [update-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-automated-discovery-configuration.html). Na sua solicitação, especifique `DISABLED` para o parâmetro `status`.
Para desativar a descoberta automática de dados confidenciais somente para contas de membros específicas em uma organização, use a [BatchUpdateAutomatedDiscoveryAccounts](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-accounts.html)operação. Ou, se você estiver usando o AWS CLI, execute o comando [batch-update-automated-discovery-accounts](https://docs.aws.amazon.com/cli/latest/reference/macie2/batch-update-automated-discovery-accounts.html). Em sua solicitação, use o `accountId` parâmetro para especificar o ID da conta para a qual você deseja desativar a descoberta automática. Para o parâmetro `status`, especifique `DISABLED`. Para desativar a descoberta automática de uma conta, o Macie deve estar habilitado atualmente para a conta.
Os exemplos a seguir mostram como usar o AWS CLI para desativar a descoberta automática de dados confidenciais para uma ou mais contas em uma organização. Esse primeiro exemplo desativa a descoberta automatizada para uma organização. Ele desativa a descoberta automática da conta de administrador do Macie e de todas as contas dos membros da organização.
```
$ aws macie2 update-automated-discovery-configuration --status DISABLED --region us-east-1
```
Onde *us-east-1* está a região na qual desabilitar a descoberta automatizada de dados confidenciais para a organização, a região Leste dos EUA (Norte da Virgínia). Se a solicitação for bem-sucedida, o Macie desativará a descoberta automática para a organização e retornará uma resposta vazia.
Os próximos exemplos desativam a descoberta automática de dados confidenciais para duas contas membros em uma organização. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.
```
$ aws macie2 batch-update-automated-discovery-accounts \
--region us-east-1 \
--accounts '[{"accountId":"123456789012","status":"DISABLED"},{"accountId":"111122223333","status":"DISABLED"}]'
```
Este exemplo foi formatado para Microsoft Windows e usa o caractere de continuação de linha circunflexo (^) para melhorar a legibilidade.
```
C:\> aws macie2 batch-update-automated-discovery-accounts ^
--region us-east-1 ^
--accounts=[{\"accountId\":\"123456789012\",\"status\":\"DISABLED\"},{\"accountId\":\"111122223333\",\"status\":\"DISABLED\"}]
```
Em que:
+ *us-east-1*é a região na qual a descoberta automática de dados confidenciais deve ser desativada para as contas especificadas, a região Leste dos EUA (Norte da Virgínia).
+ *123456789012*e *111122223333* são a conta das contas IDs para as quais desabilitar a descoberta automática de dados confidenciais.
Se a solicitação for bem-sucedida para todas as contas especificadas, o Macie retornará uma matriz vazia`errors`. Se a solicitação falhar em algumas contas, a matriz especifica o erro que ocorreu em cada conta afetada. Por exemplo:
```
"errors": [
{
"accountId": "123456789012",
"errorCode": "ACCOUNT_PAUSED"
}
]
```
Na resposta anterior, a solicitação falhou para a conta especificada (`123456789012`) porque Macie está atualmente suspenso para a conta.
Se a solicitação falhar em todas as contas, você receberá uma mensagem descrevendo o erro que ocorreu. Por exemplo:
```
An error occurred (ConflictException) when calling the BatchUpdateAutomatedDiscoveryAccounts operation: Cannot modify account states
while auto-enable is set to ALL.
```
Na resposta anterior, a solicitação falhou porque a configuração de capacitação de membros da organização está atualmente configurada para permitir a descoberta automática de dados confidenciais para todas as contas (). `ALL` Para solucionar o erro, o administrador do Macie deve primeiro alterar essa configuração para `NONE` ou`NEW`. Para saber mais sobre essa configuração, consulte [Habilitar a descoberta automatizada de dados confidenciais](discovery-asdd-account-enable.md).
------
# Analisar resultados da descoberta automatizada de dados confidenciais
Se a descoberta automática de dados confidenciais estiver habilitada, o Amazon Macie gera e mantém automaticamente dados adicionais de inventário, estatísticas e outras informações sobre os buckets de uso geral do Amazon Simple Storage Service (Amazon S3) para sua conta. Se você for o administrador do Macie em uma organização, isso incluirá, por padrão, buckets do S3 que as contas de membros possuem.
As informações adicionais capturam os resultados das atividades de descoberta automatizada de dados confidenciais que o Macie realizou até agora. Também complementa outras informações que o Macie fornece sobre os dados do Amazon S3, como acesso público e configurações de criptografia para buckets individuais do S3. Além de metadados e estatísticas, o Macie produz registros dos dados confidenciais que encontra e da análise que realiza, *descobertas de dados confidenciais* e *resultados da descoberta de dados confidenciais*.
À medida que a descoberta automatizada de dados confidenciais avança a cada dia, os atributos e dados a seguir podem ajudar você a analisar e avaliar os resultados:
+ [**Painel de **resumo****](discovery-asdd-results-s3-dashboard.md) — Fornece estatísticas agregadas para sua propriedade de dados do Amazon S3. As estatísticas incluem dados de métricas importantes, como o número total de buckets nos quais o Macie encontrou dados confidenciais e quantos desses buckets estão acessíveis ao público. Elas também relatam problemas que afetam a cobertura dos dados do Amazon S3.
+ [**Mapa de calor de **buckets do S3****](discovery-asdd-results-s3-inventory-map.md) — fornece uma representação visual interativa da sensibilidade dos dados em todo o seu estado de dados, agrupados por. Conta da AWS Para cada conta, o mapa inclui estatísticas de confidencialidade agregadas e usa cores para indicar a pontuação de confidencialidade atual de cada bucket que a conta possui. O mapa também usa símbolos para ajudar você a identificar buckets que são acessíveis ao público, que não podem ser analisados pelo Macie e muito mais.
+ [**Tabela de **compartimentos do S3****](discovery-asdd-results-s3-inventory-table.md) — fornece informações resumidas para cada compartimento do S3 em seu inventário. Para cada bucket, a tabela inclui dados como a pontuação de confidencialidade atual do bucket, o número de objetos que o Macie pode analisar no bucket e se você configurou algum trabalho de descoberta de dados confidenciais para analisar periodicamente objetos no bucket. Você pode exportar dados da tabela para um arquivo de valores separados por vírgulas (CSV).
+ [**Detalhes do **bucket do S3****](discovery-asdd-results-s3-inventory-details.md) — fornece estatísticas e informações detalhadas sobre um bucket do S3. Os detalhes incluem uma lista de objetos que o Macie analisou no bucket e um detalhamento dos tipos e do número de ocorrências de dados confidenciais que o Macie encontrou no bucket. Eles incluem detalhes sobre configurações que afetam a segurança e a privacidade dos dados do bucket.
+ [**Descobertas de dados confidenciais**](discovery-asdd-results-s3-findings.md): apresenta relatórios detalhados de dados confidenciais que o Macie encontrou em objetos individuais do S3. Os detalhes incluem quando o Macie encontrou os dados confidenciais e os tipos e número de ocorrências dos dados confidenciais que o Macie encontrou. Os detalhes também incluem informações sobre o bucket e o objeto do S3 afetados, incluindo as configurações de acesso público do bucket e quando o objeto foi alterado pela última vez.
+ [**Resultados da descoberta de dados confidenciais**](discovery-asdd-results-s3-sddrs.md): fornece registros da análise que o Macie realizou para objetos individuais do S3. Isso inclui objetos nos quais o Macie não encontra dados confidenciais e objetos que o Macie não pode analisar devido a erros ou problemas. Se o Macie encontrar dados confidenciais em um objeto, o resultado da descoberta de dados confidenciais dará informações sobre os dados confidenciais que o Macie encontrou.
Com esses dados, você pode avaliar a confidencialidade dos dados em todo o seu conjunto de dados do Amazon S3 e detalhar para avaliar e investigar buckets e objetos individuais do S3. Combinado com as informações que o Macie fornece sobre a segurança e a privacidade dos seus dados do Amazon S3, você também pode identificar casos em que uma remediação imediata possa ser necessária, por exemplo, um bucket acessível ao público no qual o Macie encontrou dados confidenciais.
Dados adicionais podem ajudá-lo a avaliar e monitorar a cobertura dos seus dados do Amazon S3. Com os dados de cobertura, você pode verificar o status das análises de seu patrimônio geral de dados e de buckets individuais do S3 nele. Você também pode identificar problemas que impediram o Macie de analisar objetos em buckets específicos. Se você corrigir os problemas, poderá aumentar a cobertura dos dados do Amazon S3 durante os ciclos de análise subsequentes. Para obter mais informações, consulte [Como avaliar a cobertura da descoberta automatizada de dados confidenciais](discovery-coverage.md).
**Topics**
+ [Analisar estatísticas de confidencialidade de dados no painel Resumo](discovery-asdd-results-s3-dashboard.md)
+ [Visualizar a confidencialidade dos dados com o mapa de buckets do S3](discovery-asdd-results-s3-inventory-map.md)
+ [Como avaliar a confidencialidade dos dados com a tabela de buckets do S3](discovery-asdd-results-s3-inventory-table.md)
+ [Analisar detalhes de confidencialidade de dados para buckets do S3](discovery-asdd-results-s3-inventory-details.md)
+ [Analisar descobertas automatizadas de dados confidenciais](discovery-asdd-results-s3-findings.md)
+ [Acessar resultados da descoberta automatizada de dados confidenciais](discovery-asdd-results-s3-sddrs.md)
# Analisar estatísticas de confidencialidade de dados no painel Resumo
No console do Amazon Macie, o painel **Resumo** fornece uma visão geral das estatísticas agregadas e dos dados de descobertas dos dados do Amazon Simple Storage Service (Amazon S3) na Região da AWS atual. Ele foi projetado para ajudar você a avaliar a postura geral de segurança dos dados do Amazon S3.
As estatísticas do painel incluem dados das principais métricas de segurança, como o número de buckets gerais do S3 acessíveis ao público ou compartilhados com outras Contas da AWS. O painel também exibe grupos de dados agregados de descobertas da sua conta, por exemplo, os buckets que geraram mais descobertas nos sete dias anteriores. Se você for o administrador do Macie de uma organização, o painel fornece estatísticas e dados agregados para todas as contas da sua organização. Opcionalmente, você pode filtrar os dados por conta.
Se a descoberta automatizada de dados confidenciais estiver ativada, o painel de **resumo** incluirá estatísticas adicionais. As estatísticas capturam o status e os resultados das atividades de descoberta automatizada que o Macie realizou até agora para seus dados do Amazon S3. A imagem a seguir mostra um exemplo dessas estatísticas.
![\[Estatísticas da descoberta de dados confidenciais no painel Resumo. Cada estatística tem dados de exemplo.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/scrn-summary-dashboard-sensitivity.png)
As estatísticas são organizadas principalmente em duas seções: **Descoberta automatizada** e **Problemas de cobertura**. As estatísticas na seção **Descoberta automatizada** fornecem uma visão geral do status atual e dos resultados das atividades de descoberta automatizada de dados confidenciais. As estatísticas na seção **Problemas de cobertura** indicam se os problemas impediram o Macie de analisar objetos em buckets individuais do S3. As estatísticas não incluem dados para trabalhos de descoberta de dados confidenciais que você cria e executa. No entanto, a correção de problemas de cobertura para a descoberta automatizada de dados confidenciais provavelmente aumentará também a cobertura de trabalhos que você executará mais tarde.
**Topics**
+ [Exibindo o painel](#discovery-asdd-results-s3-dashboard-view)
+ [Entender as estatísticas no painel](#discovery-asdd-results-s3-dashboard-statistics)
## Exibindo o painel Resumo
Siga estas etapas para exibir o painel **Resumo** no console do Amazon Macie. Para consultar as estatísticas de forma programática, use a [GetBucketStatistics](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3-statistics.html)operação da API Amazon Macie.
**Para exibir o painel de resumo**
1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. No painel de navegação, escolha **Resumo**. O Macie exibe o painel **Resumo**.
1. Para detalhar e revisar os dados de suporte de um item no painel, selecione o item.
Se você for o administrador do Macie de uma organização, o painel fornece estatísticas e dados agregados para a sua conta e as contas-membro da sua organização. Para exibir dados somente de uma conta específica, insira o ID da conta na caixa **Conta** acima do painel.
## Entendendo as estatísticas confidenciais de descoberta de dados no painel de resumo
O painel de **resumo** inclui estatísticas agregadas que podem ajudar você a monitorar a descoberta automática de dados confidenciais para seus dados do Amazon S3. Ele oferece uma visão geral do status atual e dos resultados das análises dos dados do Amazon S3 na Região da AWS atual. Por exemplo, você pode usar estatísticas do painel para determinar rapidamente em quantos buckets do S3 o Amazon Macie encontrou dados confidenciais e quantos desses buckets estão acessíveis publicamente. Você também pode avaliar a cobertura dos dados do Amazon S3. As estatísticas de cobertura podem ajudar você a identificar problemas que impedem que o Macie analise objetos em buckets individuais do S3.
No painel, as estatísticas de descoberta automatizada de dados confidenciais são organizadas nas seguintes seções:
+ [Armazenamento e descoberta de dados confidenciais](#discovery-asdd-results-s3-dashboard-storage-statistics)
+ [Descoberta automatizada](#discovery-asdd-results-s3-dashboard-sensitivity-statistics)
+ [Problemas de cobertura](#discovery-asdd-results-s3-dashboard-coverage-statistics)
As estatísticas individuais em cada seção são as seguintes. Para obter informações sobre estatísticas em outras seções do painel, consulte[Entendendo os componentes do painel Resumo](monitoring-s3-dashboard.md#monitoring-s3-dashboard-components-main).
### Armazenamento e descoberta de dados confidenciais
Na parte superior do painel, as estatísticas indicam quantos dados você armazena no Amazon S3 e quanto desses dados o Amazon Macie pode analisar para detectar dados confidenciais. A imagem a seguir mostra um exemplo dessas estatísticas para uma organização com sete contas.
![\[A seção Armazenamento e descoberta de dados confidenciais do painel. Cada campo contém dados de exemplo.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/scrn-summary-dashboard-storage.png)
As estatísticas individuais nesta seção são:
+ **Total de contas** – este campo é exibido se você for o administrador do Macie de uma organização ou se tiver uma conta independente no Macie. Ele indica o número total desses Contas da AWS próprios compartimentos em seu inventário de compartimentos. Se você for um administrador do Macie, esse é o número total de contas do Macie que você gerencia para sua organização. Se você tiver uma conta independente do Macie, esse valor será *1*.
**Total de buckets do S3**: este campo aparece se você tiver uma conta de membro na organização. Ele indica o número total de buckets gerais no inventário, incluindo os buckets que não armazenam nenhum objeto.
+ **Armazenamento**: estas estatísticas fornecem informações sobre o tamanho de armazenamento dos objetos em seu inventário de buckets:
+ **Classificável** – O tamanho total de armazenamento de todos os objetos que o Macie pode analisar nos buckets.
+ **Total** — O tamanho total de armazenamento de todos os objetos nos buckets, incluindo objetos que o Macie não consegue analisar.
Se algum dos objetos for um arquivo compactado, esses valores não refletirão o tamanho real desses arquivos depois de serem descompactados. Se o versionamento estiver habilitado para um bucket, esse valor será baseado no tamanho de armazenamento da versão mais recente de cada objeto classificável no bucket.
+ **Objetos**: essas estatísticas apresentam informações sobre o número de objetos no inventário de buckets:
+ **Classificável** – O número total de objetos que o Macie pode analisar nos buckets.
+ **Total** – O tamanho total de armazenamento de todos os objetos nos buckets, incluindo objetos que o Macie não consegue analisar.
Nas estatísticas anteriores, os dados e objetos são *classificáveis* se usarem uma classe de armazenamento do Amazon S3 compatível e tiverem uma extensão de nome de arquivo para um arquivo ou formato de armazenamento compatível. Você pode detectar dados confidenciais nos objetos usando Macie. Para obter mais informações, consulte [Classes e formatos de armazenamento suportados](discovery-supported-storage.md).
Observe que as estatísticas **Armazenamento** e **Objetos** não incluem dados sobre objetos em buckets que o Macie não tem permissão para acessar. Para identificar buckets em que esse é o caso, selecione a estatística **Acesso negado** na seção **Problemas de cobertura** do painel.
### Descoberta automatizada
Esta seção captura o status e os resultados das atividades automatizadas de descoberta de dados confidenciais que o Amazon Macie realizou até agora para seus dados do Amazon S3. A imagem a seguir mostra um exemplo das estatísticas que esta seção fornece.
![\[A seção Descoberta automatizada do painel. Um gráfico e os campos relacionados contêm dados de exemplo.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/scrn-summary-dashboard-asdd.png)
As estatísticas individuais nesta seção são as seguintes.
**Total de buckets**
O gráfico de rosca indica o número total de buckets no inventário. O gráfico agrupa os buckets em categorias com base na pontuação de confidencialidade atual de cada bucket:
+ **Confidenciais** (*vermelho*): o número total de buckets cuja pontuação de confidencialidade varia de *51* a *100*.
+ **Não confidenciais** (*azul*): o número total de buckets cuja pontuação de confidencialidade varia de *1* a *49*.
+ **Ainda não analisados** (*cinza claro*): o número total de buckets cuja pontuação de confidencialidade é *50*.
+ **Erro de classificação** (*cinza escuro*): o número total de buckets cuja pontuação de confidencialidade é *-1*.
Para obter detalhes sobre a faixa de pontuações de confidencialidade e rótulos que Macie define, consulte [Pontuação de confidencialidade para buckets do S3](discovery-scoring-s3.md).
Para revisar estatísticas adicionais de um grupo, passe o mouse sobre o grupo:
+ **Buckets**: o número total de buckets.
+ **Acessível publicamente**: o número total de buckets que permitem que o público em geral tenha acesso de leitura ou gravação ao bucket.
+ **Bytes classificáveis**: o tamanho total de armazenamento de todos os objetos que o Macie pode analisar nos buckets. Esses objetos usam classes de armazenamento compatíveis do Amazon S3 e têm extensões de nome de arquivo para formatos de arquivo ou armazenamento compatíveis. Para obter mais informações, consulte [Classes e formatos de armazenamento suportados](discovery-supported-storage.md).
+ **Total de bytes**: o tamanho total de armazenamento de todos os buckets.
Nas estatísticas anteriores, os valores do tamanho de armazenamento são baseados no tamanho de armazenamento da versão mais recente de cada objeto nos buckets. Se algum dos objetos for um arquivo compactado, esses valores não refletirão o tamanho real desses arquivos depois de serem descompactados.
**Confidenciais**
Essa área indica o número total de buckets que atualmente têm uma pontuação de confidencialidade que varia de *51* a *100*. Dentro desse grupo, **Acessível publicamente** indica o número total de buckets que permitem que o público em geral tenha acesso de leitura ou gravação ao bucket.
**Não confidenciais**
Essa área indica o número total de buckets que atualmente têm uma pontuação de confidencialidade que varia de *1* a *49*. Dentro desse grupo, **Acessível publicamente** indica o número total de buckets que permitem que o público em geral tenha acesso de leitura ou gravação ao bucket.
Para determinar e calcular valores para as estatísticas **Acessíveis publicamente**, o Macie analisa uma combinação de configurações em nível de conta e de bucket para cada bucket, como as configurações de bloqueio de acesso público para a conta e o bucket, e a política de bucket para o bucket. Macie faz isso com até 10.000 buckets para uma conta. Para obter mais informações, consulte [Como o Macie monitora a segurança de dados do Amazon S3](monitoring-s3-how-it-works.md).
Observe que as estatísticas na seção **Descoberta automatizada** não incluem os resultados dos trabalhos de descoberta de dados confidenciais que você cria e executa.
### Problemas de cobertura
Nesta seção, as estatísticas indicam se certos tipos de problemas impediram o Amazon Macie de analisar objetos em buckets individuais do S3. A imagem a seguir mostra um exemplo das estatísticas que esta seção fornece.
![\[A seção Problemas de cobertura do painel. Cada campo contém dados de exemplo.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/scrn-summary-dashboard-coverage.png)
As estatísticas individuais nesta seção são:
+ **Acesso negado**: o número total de buckets que o Macie não tem permissão para acessar. Macie não consegue analisar nenhum objeto nesses buckets. As configurações de permissões dos buckets impedem que o Macie acesse os buckets e os objetos dos buckets.
+ **Erro de classificação**: o número total de buckets que o Macie ainda não analisou devido a erros de classificação a nível de objeto. O Macie tentou analisar um ou mais objetos nesses buckets. No entanto, Macie não conseguiu analisar os objetos devido a problemas com as configurações de permissões no nível do objeto, o conteúdo do objeto ou as cotas.
+ **Não classificáveis**: o número total de buckets que não armazenam nenhum objeto classificável. Macie não consegue analisar nenhum objeto nesses buckets. Todos os objetos usam classes de armazenamento do Amazon S3 que o Macie não suporta, ou têm extensões de nome de arquivo para formatos de arquivo ou armazenamento que o Macie não suporta.
Escolha o valor de uma estatística para exibir detalhes adicionais e, conforme aplicável, orientação de remediação. Se você corrigir problemas de acesso e erros de classificação, poderá aumentar a cobertura dos dados do Amazon S3 durante os ciclos de análise subsequentes. Para obter mais informações, consulte [Como avaliar a cobertura da descoberta automatizada de dados confidenciais](discovery-coverage.md).
Observe que as estatísticas na seção **Problemas de cobertura** não incluem explicitamente dados para trabalhos de descoberta de dados confidenciais que você cria e executa. No entanto, a correção de problemas de cobertura que afetam a descoberta automatizada de dados confidenciais provavelmente aumentará também a cobertura de trabalhos que você executará posteriormente.
# Visualizar a confidencialidade dos dados com o mapa de buckets do S3
No console do Amazon Macie, o mapa de calor de **buckets do S3** oferece uma representação visual e interativa da confidencialidade dos dados em todo o seu patrimônio de dados do Amazon Simple Storage Service (Amazon S3). Ele captura os resultados das atividades de descoberta automatizada de dados confidenciais que o Macie realizou até agora para os dados do Amazon S3 na Região da AWS atual.
Se você for o administrador do Macie de uma organização, o mapa incluirá os resultados dos buckets do S3 que suas contas de membros possuem. Os dados são agrupados Conta da AWS e classificados por ID da conta, conforme mostrado na imagem a seguir.
![\[O mapa de buckets do S3. Mostra quadrados de cores diferentes, um para cada bucket, agrupados por conta.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/scrn-s3-map-small.png)
O mapa exibe dados de até 100 buckets S3 para cada conta. Para exibir dados de todos os compartimentos, você pode [alternar para a exibição em tabela](discovery-asdd-results-s3-inventory-table.md) e, em vez disso, revisar os dados em formato tabular.
No painel de navegação, selecione **Buckets do S3** no painel de navegação do console. Depois escolha o mapa (![\[The map view button, which is a button that displays four black squares.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/btn-s3-map-view.png)) na parte superior da página. O mapa estará disponível somente se a descoberta automatizada de dados confidenciais estiver habilitada atualmente. Ele não inclui os resultados de trabalhos de descoberta de dados confidenciais que você cria e executa.
**Topics**
+ [Interpretação de dados no mapa de buckets do S3](#discovery-asdd-results-s3-inventory-map-legend)
+ [Interagir com o mapa de buckets do S3](#discovery-asdd-results-s3-inventory-map-use)
## Interpretação de dados no mapa de buckets do S3
No mapa de **Buckets do S3**, cada quadrado representa um bucket geral do S3 no seu inventário. A cor de um quadrado representa a pontuação de confidencialidade atual de um bucket, que mede a interseção de duas dimensões principais: a quantidade de dados confidenciais que o Macie encontrou no bucket e a quantidade de dados que o Macie analisou no bucket. A intensidade da tonalidade da cor representa onde a pontuação cai em uma faixa de valores de confidencialidade de dados, conforme mostrado na imagem a seguir.
![\[O espectro de cores para pontuações de confidencialidade: tons de azul para 1-49, tons de vermelho para 51-100 e cinza para -1.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/sensitivity-scoring-spectrum.png)
Em geral, você pode interpretar a intensidade da cor e do matiz da seguinte forma:
+ **Azul**: se a pontuação de confidencialidade atual de um bucket variar de *1* a *49*, o quadrado do bucket será azul, e o rótulo de confidencialidade do bucket será **Não confidencial**. A intensidade do tom azul reflete o número de objetos únicos que o Macie analisou no bucket em relação ao número total de objetos únicos no bucket. Um tom mais escuro indica uma pontuação de confidencialidade mais baixa.
+ **Sem cor**: se a pontuação de confidencialidade atual de um bucket for *50*, o quadrado do bucket não estará colorido, e o rótulo de confidencialidade do bucket será **Ainda não analisados**. Além disso, o quadrado tem uma borda tracejada.
+ **Vermelho**: se a pontuação de confidencialidade atual de um bucket varia de *51* a *100*, o quadrado do bucket é vermelho e o rótulo de confidencialidade do bucket é **Confidencial**. A intensidade do tom vermelho reflete a quantidade de dados confidenciais que o Macie encontrou no bucket. Um tom mais escuro indica uma pontuação de confidencialidade mais alta.
+ **Cinza**: se a pontuação de confidencialidade atual de um bucket for *-1*, o quadrado do bucket será cinza escuro, e o rótulo de confidencialidade do bucket será **Erro na classificação**. A intensidade da tonalidade não varia.
Para obter detalhes sobre a faixa de pontuações de confidencialidade e rótulos que Macie define, consulte [Pontuação de confidencialidade para buckets do S3](discovery-scoring-s3.md).
No mapa, o quadrado de um bucket do S3 também pode conter um símbolo. O símbolo indica um erro, problema ou outro tipo de consideração que pode afetar sua avaliação da confidencialidade de um bucket. Um símbolo também pode indicar um possível problema com a segurança do bucket; por exemplo, o bucket está acessível ao público. A tabela a seguir lista os símbolos que o Macie usa para notificá-lo sobre esses casos.
| Símbolo | Definição | Description |
| --- | --- | --- |
| ![\[The Access denied symbol, which is a gray exclamation point.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/icon-map-access-denied.png) | Acesso negado | O Macie não tem permissão para acessar o bucket ou os objetos do bucket. Consequentemente, o Macie não pode analisar nenhum objeto no bucket. Ese problema geralmente ocorre porque um bucket tem uma política restritiva de bucket. Para obter informações sobre como resolver esse problema, consulte [Permitindo que o Amazon Macie acesse buckets e objetos do S3](monitoring-restrictive-s3-buckets.md). |
| ![\[The Publicly accessible symbol, which is a solid, gray, upward-facing arrow.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/icon-map-publicly-accessible.png) | Acessível ao público | O público em geral tem acesso de leitura e gravação ao bucket. Para fazer essa determinação, o Macie analisa uma combinação de configurações para cada bucket, como as configurações de bloqueio de acesso público para a conta e o bucket e a política do bucket para o bucket. O Macie pode fazer isso com até 10.000 buckets em uma conta. Para obter mais informações, consulte [Como o Macie monitora a segurança de dados do Amazon S3](monitoring-s3-how-it-works.md). |
| ![\[The Unclassifiable symbol, which is a gray question mark.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/icon-map-unclassifiable.png) | Não classificáveis | O Macie não consegue analisar nenhum objeto no bucket. Todos os objetos do bucket usam classes de armazenamento do Amazon S3 que o Macie não suporta, ou têm extensões de nome de arquivo para formatos de arquivo ou de armazenamento que o Macie não suporta. Para o Macie analisar um objeto, ele deve usar uma classe de armazenamento do compatível e ter uma extensão de nome de arquivo para um arquivo ou formato de armazenamento compatível. Para obter mais informações, consulte [Classes e formatos de armazenamento suportados](discovery-supported-storage.md). |
| ![\[The Zero bytes symbol, which is the number zero.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/icon-map-zero-bytes.png) | Zero bytes | O bucket não armazena nenhum objeto para o Macie analisar. O bucket está vazio ou todos os objetos no bucket contêm zero (0) bytes de dados. |
## Interagir com o mapa de buckets do S3
Ao analisar o mapa de **buckets do S3**, você pode interagir com ele de diferentes maneiras para revelar e avaliar dados e detalhes adicionais de contas e buckets individuais. Siga estas etapas para exibir o mapa e usar vários atributos que ele fornece.
**Para interagir com o mapa de buckets do S3**
1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. No painel de navegação, escolha **Bucketsdo S3**. A página de **buckets do S3** exibe um mapa do seu inventário de buckets. Se, em vez disso, a página exibir seu inventário em formato tabular, escolha mapa (![\[The map view button, which is a button that displays four black squares.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/btn-s3-map-view.png)) na parte superior da página.
Por padrão, o mapa não exibe dados para buckets atualmente excluídos da descoberta automatizada de dados confidenciais. Se você for o administrador do Macie de uma organização, ele também não exibirá dados das contas para as quais a descoberta automatizada de dados confidenciais está atualmente desabilitada. Para exibir esses dados, escolha **X** no token do filtro **É monitorado por descoberta automatizada** abaixo da caixa de filtro.
1. Na parte superior da página, escolha opcionalmente atualizar (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/btn-refresh-data.png)) para recuperar os metadados mais recentes do bucket a partir do Amazon S3.
1. No mapa de **buckets do S3**, faça o seguinte:
+ Para determinar quantos baldes têm uma etiqueta de sensibilidade específica, consulte os emblemas coloridos imediatamente abaixo de um Conta da AWS ID. Os emblemas exibem contagens agregadas de buckets, divididas por rótulo de confidencialidade.
Por exemplo, o emblema vermelho informa o número total de buckets que pertencem à conta e têm o rótulo **Confidencial**. A pontuação de confidencialidade desses buckets varia de *51* a *100*. Por exemplo, o emblema azul informa o número total de buckets que pertencem à conta e têm o rótulo **Confidencial**. A pontuação de confidencialidade desses buckets varia de *1* a *49*.
+ Para revisar um subconjunto de informações sobre um compartimento, passe o mouse sobre o quadrado do bucket. Um popover exibe o nome do bucket e a pontuação de confidencialidade atual.
O popover também exibe o número total de objetos que o Macie pode analisar no bucket e o tamanho total de armazenamento da versão mais recente desses objetos. Esses objetos são *classificáveis*. Eles usam classes de armazenamento compatíveis do Amazon S3 e têm extensões de nome de arquivo para formatos de arquivo ou armazenamento compatíveis. Para obter mais informações, consulte [Classes e formatos de armazenamento suportados](discovery-supported-storage.md).
+ Para filtrar o mapa e exibir somente os buckets que têm um valor específico para um campo, coloque o cursor na caixa de filtro e, em seguida, adicione uma condição de filtro para o campo. O Macie aplica seus critérios de condições e os exibe abaixo da caixa do filtro. Para refinar ainda mais os resultados, adicione condições de filtro para campos adicionais. Para obter mais informações, consulte [Filtrar o inventário de buckets do S3](monitoring-s3-inventory-filter.md).
+ Para detalhar e exibir somente os buckets pertencentes a uma conta específica, escolha o ID da conta. O Macie abre uma nova guia que filtra e exibe dados somente dessa conta.
1. Para revisar as estatísticas de sensibilidade de dados e outras informações de um determinado intervalo, escolha o quadrado do compartimento. Em seguida, consulte o painel de detalhes. Para obter informações detalhadas, consulte o [Analisar detalhes de confidencialidade de dados para buckets do S3](discovery-asdd-results-s3-inventory-details.md).
**dica**
Na guia **Detalhes do bucket** do painel, você pode dinamizar e detalhar muitos dos campos. Para mostrar buckets que têm o mesmo valor para um campo, selecione ![\[The zoom in icon, which is a magnifying glass that has a plus sign in it.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/icon-magnifying-glass-plus-sign.png) no campo. Para mostrar buckets que têm o mesmo valor para um campo, escolha ![\[The zoom out icon, which is a magnifying glass that has a minus sign in it.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/icon-magnifying-glass-minus-sign.png) no campo.
# Como avaliar a confidencialidade dos dados com a tabela de buckets do S3
Para revisar as informações resumidas dos seus buckets do Amazon Simple Storage Service (Amazon S3), você pode usar a tabela de buckets **do S3 no console do** Amazon Macie. Usando a tabela, você pode revisar e analisar um inventário de seus compartimentos de uso geral no momento Região da AWS e detalhar para revisar informações e estatísticas detalhadas de compartimentos individuais. Se você for o administrador do Macie de uma organização, a tabela inclui informações sobre os buckets que suas contas membros possuem. Se você preferir acessar e consultar os dados programaticamente, você pode usar a [DescribeBuckets](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3.html)operação da API do Amazon Macie.
No console, é possível classificar e filtrar a tabela para personalizar a exibição. Você também pode exportar dados da tabela para um arquivo de valores separados por vírgulas (CSV). Se você escolher um bucket do S3 na tabela, o painel de detalhes exibirá informações adicionais sobre o bucket. Isso inclui detalhes e estatísticas de configurações e métricas que fornecem informações sobre a segurança e a privacidade dos dados do bucket. Se a descoberta automatizada de dados confidenciais estiver habilitada, ela também incluirá dados que capturam os resultados das atividades de descoberta automatizada que o Macie realizou até agora no bucket.
**Para avaliar a confidencialidade dos dados com a tabela de buckets do S3**
1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. No painel de navegação, selecione **S3 buckets**. A página de **buckets do S3** exibe seu inventário de buckets.
Por padrão, a página não exibe dados para buckets atualmente excluídos da descoberta automatizada de dados confidenciais. Se você for o administrador do Macie de uma organização, ele também não exibirá dados das contas para as quais a descoberta automatizada de dados confidenciais está atualmente desabilitada. Para exibir esses dados, escolha **X** no token do filtro **É monitorado por descoberta automatizada** abaixo da caixa de filtro.
1. Escolha a tabela (![\[The table view button, which is a button that displays three black horizontal lines.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/btn-s3-table-view.png)) na parte superior da página. O Macie exibe o número de buckets em seu inventário e uma tabela dos buckets.
1. Para recuperar os metadados mais recentes do bucket do Amazon S3, escolha atualizar (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/btn-refresh-data.png)) na parte superior da página.
Se o ícone de informações (![\[The information icon, which is a blue circle that has a lowercase letter i in it.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/icon-info-blue.png)) aparecer ao lado de qualquer nome de bucket, recomendamos que você faça isso. Esse ícone indica que um bucket foi criado nas últimas 24 horas, possivelmente após a última vez que Macie recuperou os metadados do bucket e do objeto do Amazon S3 como parte do [ciclo diário de atualização.](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh)
1. Na tabela de **Buckets do S3**, analise as informações resumidas sobre cada bucket em seu inventário:
+ **Confidencialidade**: a pontuação de confidencialidade atual do bucket. Para obter informações sobre a faixa de pontuações de confidencialidade que Macie define, consulte [Pontuação de confidencialidade para buckets do S3](discovery-scoring-s3.md).
+ **Bucket** – O nome do bucket.
+ **Conta** — O ID da conta do Conta da AWS proprietário do bucket.
+ **Objetos classificáveis** – O número total de objetos que o Macie pode analisar para detectar dados confidenciais no bucket.
+ **Tamanho classificável** – O tamanho total de armazenamento de todos os objetos que o Macie pode analisar para detectar dados confidenciais nos buckets.
Esse valor não reflete o tamanho real de qualquer objeto compactado depois que ele é descompactado. Além disso, se o versionamento estiver habilitado para o bucket, esse valor será baseado no tamanho de armazenamento da versão mais recente de cada objeto no bucket.
+ **Monitorado por trabalho**: se algum trabalho de descoberta de dados confidenciais está configurado para analisar periodicamente objetos no bucket diariamente, semanalmente ou mensalmente.
Se o valor desse campo for *Sim*, o bucket será incluído explicitamente em um trabalho periódico ou corresponderá aos critérios de um trabalho periódico nas últimas 24 horas. Além disso, o status de pelo menos um desses trabalhos não é *Cancelado*. Macie atualiza esses dados diariamente.
+ **Última execução do trabalho**: se você configurou algum trabalho único ou periódico de descoberta de dados confidenciais para analisar objetos no bucket, esse campo indicará a data e a hora mais recentes em que um desses trabalhos começou a ser executado. Caso contrário, um traço (—) aparecerá nesse campo.
Nos dados anteriores, os objetos serão *classificáveis* se usarem uma classe de armazenamento compatível do Amazon S3 e tiverem uma extensão de nome de arquivo para um arquivo ou formato de armazenamento compatível. Você pode detectar dados confidenciais nos objetos usando Macie. Para obter mais informações, consulte [Classes e formatos de armazenamento suportados](discovery-supported-storage.md).
1. Para analisar o inventário usando a tabela, siga um destes procedimentos:
+ Para classificar a tabela por um campo específico, selecione o título da coluna do campo. Para alterar a ordem de classificação, selecione outra vez o título da coluna.
+ Para filtrar a tabela e exibir somente os buckets que têm um valor específico para um campo, coloque o cursor na caixa de filtro e adicione uma condição de filtro para o campo. Para refinar ainda mais os resultados, adicione condições de filtro para campos adicionais. Para obter mais informações, consulte [Filtrar o inventário de buckets do S3](monitoring-s3-inventory-filter.md).
+ Para revisar as estatísticas de confidencialidade de dados e outras informações de um determinado bucket, escolha o nome do bucket. Em seguida, consulte o painel de detalhes. Para obter informações detalhadas, consulte o [Analisar detalhes do bucket do S3](discovery-asdd-results-s3-inventory-details.md).
**dica**
Na guia **Detalhes do bucket** do painel, você pode dinamizar e detalhar muitos dos campos. Para mostrar buckets que têm o mesmo valor para um campo, selecione ![\[The zoom in icon, which is a magnifying glass that has a plus sign in it.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/icon-magnifying-glass-plus-sign.png) no campo. Para mostrar buckets que têm o mesmo valor para um campo, escolha ![\[The zoom out icon, which is a magnifying glass that has a minus sign in it.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/icon-magnifying-glass-minus-sign.png) no campo.
1. Para exportar dados da tabela para um arquivo CSV, marque a caixa de seleção de cada linha a ser exportada ou marque a caixa de seleção no título da coluna de seleção para selecionar todas as linhas. Em seguida, selecione **Exportar para CSV** na parte superior da página. Você pode exportar até 50.000 linhas da tabela.
1. Para realizar uma análise mais profunda e imediata dos objetos em um ou mais compartimentos, marque a caixa de seleção de cada compartimento. Depois, escolha **Create Job** (Criar trabalho). Para obter mais informações, consulte [Criar um trabalho de descoberta de dados confidenciais](discovery-jobs-create.md).
# Analisar detalhes de confidencialidade de dados para buckets do S3
À medida que a descoberta automatizada de dados confidenciais progride, você pode analisar resultados detalhados em estatísticas e outras informações que o Amazon Macie fornece sobre cada um dos seus buckets do Amazon Simple Storage Service (Amazon S3). Se você for o administrador do Macie em uma organização, isso inclui buckets que as contas de seus membros possuem.
As estatísticas e as informações incluem detalhes que fornecem informações sobre a segurança e a privacidade dos dados de um bucket do S3. Eles também capturam os resultados das atividades automatizadas de descoberta de dados confidenciais que Macie realizou até agora em um bucket. Por exemplo, você pode encontrar uma lista de objetos que Macie analisou em um bucket. Você também pode encontrar um detalhamento dos tipos e do número de ocorrências de dados confidenciais que o Macie encontrou em um bucket. Observe que esses dados não incluem os resultados de trabalhos confidenciais de descoberta de dados que você cria e executa.
O Macie recalcula e atualiza automaticamente as estatísticas e os detalhes de seus buckets do S3 enquanto realiza a descoberta automática de dados confidenciais. Por exemplo:
+ Se o Macie não encontrar dados confidenciais em um objeto do S3, o Macie diminui a pontuação de confidencialidade do bucket e atualiza o rótulo de confidencialidade do bucket conforme necessário. O Macie também adiciona o objeto à lista de objetos selecionados para análise.
+ Se o Macie encontrar dados confidenciais em um objeto do S3, o Macie adiciona essas ocorrências ao detalhamento dos tipos de dados confidenciais que o Macie encontrou no bucket. O Macie também aumenta a pontuação de confidencialidade do bucket e atualiza o rótulo de confidencialidade do bucket conforme necessário. Além disso, o Macie adiciona o objeto à lista de objetos selecionados para análise. Essas tarefas são adicionais à criação de uma descoberta de dados confidenciais para o objeto.
+ Se o Macie encontrar dados confidenciais em um objeto do S3 que seja posteriormente alterado ou excluído, o Macie removerá as ocorrências de dados confidenciais do objeto da divisão de tipos de dados confidenciais do bucket. O Macie também diminui a pontuação de confidencialidade do bucket e atualiza o rótulo de confidencialidade do bucket conforme necessário. Além disso, o Macie remove o objeto da lista de objetos selecionados para análise.
+ Se o Macie tentar analisar um objeto do S3, mas um problema ou erro impedir a análise, o Macie adiciona o objeto à lista de objetos selecionados para análise e indica que não conseguiu analisar o objeto.
Se você for o administrador do Macie de uma organização ou tiver uma conta autônoma do Macie, opcionalmente, poderá usar esses detalhes para avaliar e ajustar determinadas configurações de descoberta automatizada para um bucket do S3. Por exemplo, você pode incluir ou excluir tipos específicos de dados confidenciais da pontuação de um bucket. Para obter mais informações, consulte [Ajustar pontuações de confidencialidade para buckets do S3](discovery-asdd-s3bucket-manage.md).
**Para analisar detalhes de confidencialidade de dados para um bucket do S3**
Para analisar a confidencialidade dos dados e outros detalhes de um bucket do S3, você pode usar o console do Amazon Macie ou a API do Amazon Macie. No console, o painel de detalhes fornece acesso centralizado a essas informações. Com a API, você pode recuperar e processar os dados de forma programática.
------
#### [ Console ]
Siga estas etapas para analisar a confidencialidade dos dados e outros detalhes de um bucket do S3 usando o console do Amazon Macie.
**Para revisar os detalhes de um bucket S3**
1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. No painel de navegação, escolha **Bucketsdo S3**. A página de **buckets do S3** exibe um mapa interativo do seu inventário de buckets. Opcionalmente, selecione a tabela (![\[The table view button, which is a button that displays three black horizontal lines.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/btn-s3-table-view.png)) na parte superior da página para exibir seu inventário em formato tabular.
Por padrão, a página não exibe dados para buckets atualmente excluídos da descoberta automatizada de dados confidenciais. Se você for o administrador do Macie de uma organização, ele também não exibirá dados das contas para as quais a descoberta automatizada de dados confidenciais está atualmente desabilitada. Para exibir esses dados, escolha **X** no token do filtro **É monitorado por descoberta automatizada** abaixo da caixa de filtro.
1. Para recuperar os metadados mais recentes do bucket do Amazon S3, escolha atualizar (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/btn-refresh-data.png)) na parte superior da página.
1. Escolha o bucket cujos detalhes deseja analisar. O painel de detalhes exibe estatísticas de sensibilidade de dados e outras informações sobre o bucket.
A parte superior do painel mostra informações gerais sobre o bucket: o nome do bucket, o ID da conta do Conta da AWS proprietário do bucket e a pontuação de sensibilidade atual do bucket. Se você for administrador do Macie ou tiver uma conta autônoma do Macie, ela também oferecerá opções para alterar determinadas configurações de descoberta automatizada para o bucket. Configurações e informações adicionais são organizadas nas seguintes guias:
[Sensibilidade](#discovery-asdd-results-s3-inventory-sensitivity-details) \$1 [Detalhes do bucket](#discovery-asdd-results-s3-inventory-bucket-details) \$1 [Amostras de objetos](#discovery-asdd-results-s3-inventory-sample-details) \$1 [Descoberta de dados confidenciais](#discovery-asdd-results-s3-inventory-sdd-details)
As configurações e informações individuais em cada guia são as seguintes.
**Confidencialidade**
Essa guia mostra a pontuação de confidencialidade atual do bucket, variando de *-1* a *100*. Para obter informações sobre a faixa de pontuações de confidencialidade que Macie define, consulte [Pontuação de confidencialidade para buckets do S3](discovery-scoring-s3.md).
A guia também fornece um detalhamento dos tipos de dados confidenciais que o Macie encontrou nos objetos do bucket e o número de ocorrências de cada tipo:
+ **Tipo de dados confidenciais**: o identificador (ID) exclusivo de dados gerenciados que detectou os dados, ou o nome do identificador de dados personalizado que detectou os dados.
O ID de um identificador de dados gerenciados descreve o tipo de dados confidenciais que ele foi projetado para detectar, por exemplo, **USA\$1PASSPORT\$1NUMBER** para números de passaportes dos EUA. Para obter detalhes sobre cada identificador de dados gerenciados, consulte [Usar identificadores de dados gerenciados](managed-data-identifiers.md).
+ **Contagem**: o número total de ocorrências dos dados que o identificador de dados gerenciado ou personalizado detectou.
+ **Status de pontuação**: este campo será exibido se você for um administrador do Macie ou se tiver uma conta autônoma do Macie. Especifica se as ocorrências dos dados são incluídas ou excluídas da pontuação de confidencialidade do bucket.
**Se o Macie calcular a pontuação do intervalo, você poderá ajustar o cálculo incluindo ou excluindo tipos específicos de dados confidenciais da pontuação: marque a caixa de seleção do identificador que detectou a inclusão ou exclusão dos dados confidenciais e escolha uma opção no menu Ações.** Para obter mais informações, consulte [Ajustar pontuações de confidencialidade para buckets do S3](discovery-asdd-s3bucket-manage.md).
Se o Macie não encontrou dados confidenciais em objetos que o bucket armazena atualmente, esta seção mostra a mensagem **Nenhuma detecção encontrada**.
Observe que a guia **Sensibilidade** não inclui dados de objetos que foram alterados ou excluídos depois que Macie os analisou. Se os objetos forem alterados ou excluídos após a análise, o Macie recalcula e atualiza automaticamente as estatísticas e os dados apropriados para excluir os objetos.
**Detalhes do bucket**
Essa guia fornece detalhes sobre as configurações do bucket, incluindo configurações de privacidade e segurança de dados. Por exemplo, você pode analisar os detalhamentos das configurações de acesso público do bucket e determinar se o bucket replica objetos ou é compartilhado com outras Contas da AWS.
Vale ressaltar que o campo **Última atualização** indica quando o Macie recuperou mais recentemente os metadados do Amazon S3 para o bucket ou os objetos do bucket. O campo **Última execução de descoberta automatizada** indica quando Macie analisou objetos no bucket mais recentemente enquanto realizava a descoberta automatizada de dados confidenciais. Se essa análise não tiver ocorrido, um traço (—) aparecerá nesse campo.
A guia também fornece estatísticas em nível de objeto que podem ajudá-lo a avaliar a quantidade de dados que o Macie pode analisar no bucket. Também indica se você configurou algum trabalho de descoberta de dados confidenciais para analisar objetos no bucket. Se tiver feito isso, você poderá acessar detalhes sobre o trabalho executado mais recentemente e exibir as descobertas que o trabalho produziu.
Em alguns casos, essa guia pode não incluir todos os detalhes de um bucket. Isso pode ocorrer se você armazenar mais de 10.000 buckets no Amazon S3. O Macie mantém dados completos de inventário de apenas 10.000 compartimentos de uma conta — os 10.000 compartimentos que foram criados ou alterados mais recentemente. No entanto, o Macie pode analisar objetos em buckets que excedam essa cota. Para analisar detalhes adicionais dos buckets, use o Amazon S3.
Para obter detalhes adicionais sobre as informações nessa guia, consulte [Analisar os detalhes dos buckets do S3](monitoring-s3-inventory-review.md#monitoring-s3-inventory-view-details).
**Amostras de objeto**
Essa guia lista os objetos que o Macie selecionou para análise enquanto realizava a descoberta automatizada de dados confidenciais do bucket. Opcionalmente, selecione o nome do objeto para abrir o console do Amazon S3 e exibir as propriedades do objeto.
A lista inclui dados de até 100 objetos. A lista é preenchida com base no valor do campo **confidencialidade do objeto**: **Confidencial**, seguido por **Não confidencial**, seguido por objetos que o Macie não conseguiu analisar.
Na lista, o campo **confidencialidade do objeto** indica se o Macie encontrou dados confidenciais em um objeto:
+ **Confidencial**: Macie encontrou pelo menos uma ocorrência de dados confidenciais no objeto.
+ **Não confidencial**: Macie não encontrou dados confidenciais no objeto.
+ **—** (*traço*): Macie não conseguiu concluir a análise do objeto devido a um problema ou erro.
O campo **Resultado da classificação** indica se Macie conseguiu analisar um objeto:
+ **Concluído**: o Macie concluiu a análise do objeto.
+ **Parcial**: Macie analisou somente um subconjunto de dados no objeto devido a um problema ou erro. Por exemplo, o objeto é um arquivo que contém arquivos em um formato incompatível.
+ **Ignorado**: Macie não conseguiu analisar nenhum dado no objeto devido a um problema ou erro. Por exemplo, o objeto é criptografado com uma chave que Macie não tem permissão de usar.
Observe que a lista não inclui objetos que foram alterados ou excluídos depois que Macie os analisou ou tentou analisá-los. O Macie remove automaticamente um objeto da lista se o objeto for alterado ou excluído posteriormente.
**Descoberta de dados confidenciais**
Essa guia fornece estatísticas agregadas e automatizadas de descoberta de dados confidenciais para o bucket:
+ **Bytes analisados**: a quantidade total de dados, em bytes, que o Macie analisou no bucket.
+ **Bytes classificáveis**: o tamanho total de armazenamento, em bytes, de todos os objetos que o Macie pode analisar no bucket. Esses objetos usam classes de armazenamento compatíveis do Amazon S3 e têm extensões de nome de arquivo para formatos de arquivo ou armazenamento compatíveis. Para obter mais informações, consulte [Classes e formatos de armazenamento suportados](discovery-supported-storage.md).
+ **Total de detecções**: o número total de ocorrências de dados confidenciais que o Macie encontrou no bucket. Isso inclui ocorrências atualmente suprimidas pelas configurações de pontuação de confidencialidade do bucket.
O gráfico **Objetos analisados** indica o número total de objetos que Macie analisou no bucket. Ele também fornece uma representação visual do número de objetos nos quais Macie encontrou ou não dados confidenciais. A legenda abaixo do gráfico mostra um detalhamento desses resultados:
+ **Objetos confidenciais** (*vermelho*): o número total de objetos no quais o Macie encontrou pelo menos uma ocorrência de dados confidenciais.
+ **Objetos não confidenciais** (*azul*): o número total de objetos nos quais Macie não encontrou dados confidenciais.
+ **Objetos ignorados** (*cinza escuro*): o número total de objetos que o Macie não conseguiu analisar devido a um problema ou erro.
A área abaixo da legenda do gráfico fornece um detalhamento dos casos em que o Macie não conseguiu analisar objetos porque ocorreram certos tipos de problemas de permissão ou erros criptográficos:
+ **Ignorado: criptografia inválida**: o número total de objetos criptografados com chaves fornecidas pelo cliente. O Macie não consegue acessar essas chaves.
+ **Ignorado: KMS inválido** — O número total de objetos criptografados com chaves AWS Key Management Service (AWS KMS) que não estão mais disponíveis. Esses objetos são criptografados com os AWS KMS keys que foram desativados, programados para exclusão ou excluídos. O Macie não pode usar essas chaves.
+ **Ignorado: permissão negada**: o número total de objetos que o Macie não tem permissão para acessar devido às configurações de permissões do objeto ou às configurações de permissões da chave usada para criptografar o objeto.
Para obter detalhes sobre esses e outros tipos de problemas e erros que podem ocorrer, consulte [Corrigir problemas de cobertura](discovery-coverage-remediate.md). Se você corrigir os problemas e os erros, poderá aumentar a cobertura dos dados do bucket durante os ciclos de análise subsequentes.
As estatísticas na guia **Descoberta de dados confidenciais** não incluem dados de objetos que foram alterados ou excluídos depois que Macie os analisou ou tentou analisá-los. Se os objetos forem alterados ou excluídos após o Macie analisar ou tentar analisá-los, o Macie recalcula automaticamente essas estatísticas para excluir os objetos.
------
#### [ API ]
Para recuperar programaticamente a confidencialidade dos dados e outros detalhes de um bucket do S3, você tem várias opções. A opção apropriada depende dos detalhes que você deseja recuperar:
+ Para recuperar a pontuação de sensibilidade atual e as estatísticas de análise agregadas de um bucket, use a [GetResourceProfile](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles.html)operação. Ou, se você estiver usando o AWS Command Line Interface (AWS CLI), execute o [get-resource-profile](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-resource-profile.html)comando. As estatísticas incluem dados como o número de objetos que o Macie analisou e o número de objetos nos quais o Macie encontrou dados confidenciais.
+ Para recuperar um detalhamento dos tipos e da quantidade de dados confidenciais que o Macie encontrou em um bucket, use a [ListResourceProfileDetections](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles-detections.html)operação. Ou, se você estiver usando o AWS CLI, execute o [list-resource-profile-detections](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-resource-profile-detections.html)comando. O detalhamento também fornece detalhes sobre o identificador de dados gerenciado ou personalizado que detectou cada tipo de dado confidencial.
+ Para recuperar uma lista de até 100 objetos que o Macie selecionou de um bucket para análise, use a [ListResourceProfileArtifacts](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles-artifacts.html)operação. Ou, se você estiver usando o AWS CLI, execute o [list-resource-profile-artifacts](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-resource-profile-artifacts.html)comando. Para cada objeto, a lista especifica: o Amazon Resource Name (ARN) do objeto, se o Macie concluiu a análise do objeto e se o Macie encontrou dados confidenciais no objeto.
Em sua solicitação, use o `resourceArn` parâmetro para especificar o ARN do bucket para o qual recuperar os detalhes. Se você estiver usando o AWS CLI, use o `resource-arn` parâmetro para especificar o ARN.
Para obter detalhes adicionais sobre um bucket do S3, como as configurações de acesso público do bucket, use a [DescribeBuckets](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3.html)operação. Se você estiver usando o AWS CLI, execute o comando [describe-buckets](https://docs.aws.amazon.com/cli/latest/reference/macie2/describe-buckets.html) para recuperar esses detalhes. Em sua solicitação, opcionalmente, use critérios de filtro para especificar o nome do bucket. Para ter mais informações e exemplos, consulte [Filtrar o inventário de buckets do S3](monitoring-s3-inventory-filter.md).
Os exemplos a seguir mostram como usar o AWS CLI para recuperar detalhes de confidencialidade de dados de um bucket do S3. Esse primeiro exemplo recupera a pontuação de sensibilidade atual e as estatísticas de análise agregadas de um bucket.
```
$ aws macie2 get-resource-profile --resource-arn arn:aws:s3:::amzn-s3-demo-bucket
```
Onde *arn:aws:s3:::amzn-s3-demo-bucket* está o ARN do bucket. Se a solicitação for bem-sucedida, você receberá uma saída semelhante à seguinte:
```
{
"profileUpdatedAt": "2024-11-21T15:44:46+00:00",
"sensitivityScore": 83,
"sensitivityScoreOverridden": false,
"statistics": {
"totalBytesClassified": 933599,
"totalDetections": 3641,
"totalDetectionsSuppressed": 0,
"totalItemsClassified": 111,
"totalItemsSensitive": 84,
"totalItemsSkipped": 1,
"totalItemsSkippedInvalidEncryption": 0,
"totalItemsSkippedInvalidKms": 0,
"totalItemsSkippedPermissionDenied": 0
}
}
```
O próximo exemplo recupera um detalhamento dos tipos de dados confidenciais que o Macie encontrou em um bucket do S3 e o número de ocorrências de cada tipo. O detalhamento também especifica qual identificador de dados gerenciado ou identificador de dados personalizado detectou os dados. Também indica se as ocorrências estão atualmente excluídas (`suppressed`) da pontuação de sensibilidade do bucket, se a pontuação for calculada automaticamente pelo Macie.
```
$ aws macie2 list-resource-profile-detections --resource-arn arn:aws:s3:::amzn-s3-demo-bucket
```
Onde *arn:aws:s3:::amzn-s3-demo-bucket* está o ARN do bucket. Se a solicitação for bem-sucedida, você receberá uma saída semelhante à seguinte:
```
{
"detections": [
{
"count": 8,
"id": "AWS_CREDENTIALS",
"name": "AWS_CREDENTIALS",
"suppressed": false,
"type": "MANAGED"
},
{
"count": 1194,
"id": "CREDIT_CARD_NUMBER",
"name": "CREDIT_CARD_NUMBER",
"suppressed": false,
"type": "MANAGED"
},
{
"count": 1194,
"id": "CREDIT_CARD_SECURITY_CODE",
"name": "CREDIT_CARD_SECURITY_CODE",
"suppressed": false,
"type": "MANAGED"
},
{
"arn": "arn:aws:macie2:us-east-1:123456789012:custom-data-identifier/3293a69d-4a1e-4a07-8715-208ddexample",
"count": 8,
"id": "3293a69d-4a1e-4a07-8715-208ddexample",
"name": "Employee IDs with keyword",
"suppressed": false,
"type": "CUSTOM"
},
{
"count": 1237,
"id": "USA_SOCIAL_SECURITY_NUMBER",
"name": "USA_SOCIAL_SECURITY_NUMBER",
"suppressed": false,
"type": "MANAGED"
}
]
}
```
Este exemplo recupera uma lista de objetos que Macie selecionou de um bucket do S3 para análise. Para cada objeto, a lista também indica se o Macie concluiu sua análise do objeto e se o Macie encontrou dados confidenciais no objeto.
```
$ aws macie2 list-resource-profile-artifacts --resource-arn arn:aws:s3:::amzn-s3-demo-bucket
```
Onde *arn:aws:s3:::amzn-s3-demo-bucket* está o ARN do bucket. Se a solicitação for bem-sucedida, você receberá uma saída semelhante à seguinte:
```
{
"artifacts": [
{
"arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object1.csv",
"classificationResultStatus": "COMPLETE",
"sensitive": true
},
{
"arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object2.xlsx",
"classificationResultStatus": "COMPLETE",
"sensitive": true
},
{
"arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object3.json",
"classificationResultStatus": "COMPLETE",
"sensitive": true
},
{
"arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object4.pdf",
"classificationResultStatus": "COMPLETE",
"sensitive": true
},
{
"arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object5.zip",
"classificationResultStatus": "PARTIAL",
"sensitive": true
},
{
"arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object6.vssx",
"classificationResultStatus": "SKIPPED"
}
]
}
```
------
# Analisar descobertas automatizadas de dados confidenciais
Quando o Amazon Macie realiza a descoberta automatizada de dados confidenciais, ele cria uma descoberta de dados confidenciais para cada objeto do Amazon Simple Storage Service (Amazon S3) em que encontra dados confidenciais. Uma *descoberta de dados confidenciais* é um relatório detalhado de dados confidenciais que o Macie encontrou em um objeto do S3. Uma descoberta não inclui os dados confidenciais que o Macie encontrou. Em vez disso, ele fornece informações que você pode usar para investigação e remediação adicionais, conforme necessário.
Cada descoberta de dados confidenciais fornece uma classificação de severidade e detalhes como:
+ A data e a hora em que Macie encontrou os dados confidenciais.
+ A categoria e os tipos de dados confidenciais que Macie encontrou.
+ O número de ocorrências de cada tipo de dado confidencial que Macie encontrou.
+ Como Macie encontrou os dados confidenciais, a descoberta automatizada de dados confidenciais ou um trabalho de descoberta de dados confidenciais.
+ O nome, as configurações de acesso público, o tipo de criptografia e outras informações sobre o bucket e o objeto do S3 afetados.
Dependendo do tipo de arquivo ou formato de armazenamento do objeto S3 afetado, os detalhes também podem incluir a localização de até 15 ocorrências dos dados confidenciais encontrados por Macie.
O Macie armazena as descobertas de dados confidenciais por 90 dias. Você pode acessá-las usando o console do Amazon Macie ou a API do Amazon Macie. Você também pode monitorar e processar descobertas usando outros aplicativos, serviços e sistemas. Para obter mais informações, consulte [Revisar e analisar descobertas](findings.md).
**Para analisar descobertas produzidas pela descoberta automatizada de dados confidenciais**
Para identificar e analisar as descobertas que o Macie criou enquanto realizava a descoberta automatizada de dados confidenciais, você pode filtrar suas descobertas. Com filtros, você usa atributos específicos das descobertas para criar visualizações e consultas personalizadas para as descobertas. Para filtrar as descobertas, você pode usar o console do Amazon Macie ou enviar consultas de forma programática usando a API do Amazon Macie. Para obter mais informações, consulte [Filtrar descobertas](findings-filter-overview.md).
**nota**
Se sua conta fizer parte de uma organização que gerencia centralmente várias contas do Macie, somente o administrador do Macie da organização terá acesso direto às descobertas que a descoberta automatizada de dados confidenciais produz para as contas da organização. Se você tiver uma conta de membro e quiser analisar as descobertas da sua conta, entre em contato com o administrador do Macie.
------
#### [ Console ]
Siga estas etapas para identificar e analisar as descobertas usando o console do Amazon Macie.
**Para analisar descobertas produzidas pela descoberta automatizada**
1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. No painel de navegação, selecione **Descobertas**.
1. Para exibir descobertas que foram suprimidas por uma [regra de supressão](findings-suppression.md), altere a configuração de **Status da descoberta**. Escolha **Tudo** para exibir descobertas suprimidas e não suprimidas, ou escolha **Arquivado** para exibir apenas descobertas suprimidas. Para ocultar novamente as descobertas suprimidas, escolha **Atual**.
1. Coloque o cursor na caixa **Critérios de filtro**. Na lista de campos exibida, escolha **Tipo de origem**.
Este campo especifica como o Macie encontrou os dados confidenciais que produziram uma descoberta, uma descoberta automatizada de dados confidenciais ou um trabalho de descoberta de dados confidenciais. Para localizar esse campo na lista de campos de filtro, você pode navegar pela lista completa ou inserir parte do nome do campo para restringir a lista de campos.
1. Selecione **AUTOMATED\$1SENSITIVE\$1DATA\$1DISCOVERY** como o valor do campo e, em seguida, selecione **Aplicar**. O Macie aplica seus critérios de filtros e os adiciona a um filtro de token na caixa **Critérios de filtro**.
1. Para refinar os resultados, adicione condições de filtro para campos adicionais, por exemplo, **Criado em** para o intervalo de tempo em que uma descoberta foi criada, **Nome do bucket do S3** para o nome de um bucket afetado, ou **Tipo de detecção de dados confidenciais** para o tipo de confidencialidade que foi detectado e gerou uma descoberta.
Se quiser usar mais tarde esse conjunto de condições outra vez, você pode salvar o conjunto como uma regra de filtro. Para fazer isso, escolha **Salvar regra** na caixa **Critérios de filtro**. Em seguida, insira um nome e, se preferir, uma descrição para a regra. Ao concluir, selecione **Salvar**.
------
#### [ API ]
Para identificar e analisar as descobertas de forma programática, especifique os critérios de filtro nas consultas que você envia usando a [GetFindingStatistics](https://docs.aws.amazon.com/macie/latest/APIReference/findings-statistics.html)operação [ListFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings.html)ou da API do Amazon Macie. A **ListFindings** operação retorna uma matriz de descobertas IDs, uma ID para cada descoberta que corresponda aos critérios do filtro. Em seguida, você pode usá-los IDs para recuperar os detalhes de cada descoberta. A operação **GetFindingStatistics** retorna dados estatísticos agregados sobre todas as descobertas que correspondem aos critérios de filtro, agrupados por um campo que você especifica em sua solicitação. Para obter mais informações sobre como filtrar descobertas de forma programática, consulte [Filtrar descobertas](findings-filter-overview.md).
Nos critérios de filtro, inclua uma condição para o campo `originType`. Este campo especifica como o Macie encontrou os dados confidenciais que produziram uma descoberta, uma descoberta automatizada de dados confidenciais ou um trabalho de descoberta de dados confidenciais. Se a descoberta automatizada de dados confidenciais produziu uma descoberta, o valor desse campo será `AUTOMATED_SENSITIVE_DATA_DISCOVERY`.
Para identificar e analisar as descobertas usando o AWS Command Line Interface (AWS CLI), execute o comando [list-findings](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-findings.html) ou [get-finding-statistics](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-finding-statistics.html). Os exemplos a seguir usam o **list-findings** comando para recuperar a descoberta IDs de todas as descobertas de alta gravidade que a descoberta automatizada de dados confidenciais produziu atualmente. Região da AWS
Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.
```
$ aws macie2 list-findings \
--finding-criteria '{"criterion":{"classificationDetails.originType":{"eq":["AUTOMATED_SENSITIVE_DATA_DISCOVERY"]},"severity.description":{"eq":["High"]}}}'
```
Este exemplo foi formatado para Microsoft Windows e usa o caractere de continuação de linha circunflexo (^) para melhorar a legibilidade.
```
C:\> aws macie2 list-findings ^
--finding-criteria={\"criterion\":{\"classificationDetails.originType\":{\"eq\":[\"AUTOMATED_SENSITIVE_DATA_DISCOVERY\"]},\"severity.description\":{\"eq\":[\"High\"]}}}
```
Em que:
+ `classificationDetails.originType` especifica o nome JSON do campo **Tipo de origem** e:
+ `eq` especifica o operador *igual*.
+ `AUTOMATED_SENSITIVE_DATA_DISCOVERY` é um valor enumerado para o campo.
+ *`severity.description`* especifica o nome JSON do campo **Severidade**, e:
+ *`eq`* especifica o operador *igual*.
+ *`High`* é um valor enumerado para o campo.
Se a solicitação for bem-sucedida, o Macie retornará uma `findingIds` matriz. A matriz lista o identificador exclusivo de cada descoberta que corresponde aos critérios de filtro, conforme mostrado no exemplo a seguir.
```
{
"findingIds": [
"1f1c2d74db5d8caa76859ec52example",
"6cfa9ac820dd6d55cad30d851example",
"702a6fd8750e567d1a3a63138example",
"826e94e2a820312f9f964cf60example",
"274511c3fdcd87010a19a3a42example"
]
}
```
Se nenhuma descoberta corresponder aos critérios de filtro, o Macie retornará uma matriz `findingIds` vazia.
```
{
"findingIds": []
}
```
------
# Acessar resultados da descoberta automatizada de dados confidenciais
Quando o Amazon Macie realiza uma descoberta automatizada de dados confidenciais, ele cria um registro de análise para cada objeto do Amazon Simple Storage Service (Amazon S3) que seleciona para análise. Esses registros, chamados de *resultados confidenciais da descoberta de dados*, registram detalhes sobre a análise que o Macie realiza em objetos individuais do S3. Isso inclui objetos nos quais o Macie não encontra dados confidenciais e objetos que o Macie não consegue analisar devido a erros ou problemas como configurações de permissões ou uso de um arquivo ou formato de armazenamento não compatível. Os resultados confidenciais da descoberta de dados fornecem registros de análise que podem ser úteis para auditorias ou investigações de privacidade e proteção de dados.
Se o Macie descobrir dados confidenciais em um objeto do S3, o resultado da descoberta de dados confidenciais apresentará informações sobre os dados confidenciais encontrados pelo Macie. As informações incluem os mesmos tipos de detalhes que uma descoberta de dados confidenciais fornece. Também são fornecidas informações adicionais, como a localização de até 1.000 ocorrências de cada tipo de dado confidencial que Macie encontrou. Por exemplo:
+ O número da coluna e da linha de uma célula ou campo em uma pasta de trabalho do Microsoft Excel, arquivo CSV ou arquivo TSV
+ O caminho para um campo ou matriz em um arquivo JSON ou JSON Lines
+ O número da linha de uma linha em um arquivo de texto não binário que não seja um arquivo CSV, JSON, JSON Lines ou TSV — por exemplo, um arquivo HTML, TXT ou XML
+ O número da página de uma página em um arquivo Adobe Portable Document Format (PDF)
+ O índice do registro e o caminho para um campo em um registro em um contêiner de objetos Apache Avro ou arquivo Apache Parquet
Se o objeto do S3 afetado for um arquivo de arquivamento, como um arquivo .tar ou .zip, o resultado da descoberta de dados confidenciais também fornecerá dados de localização detalhados para ocorrências de dados confidenciais em arquivos individuais que o Macie extraiu do arquivamento. O Macie não inclui essas informações nas descobertas de dados confidenciais para arquivos arquivados. Para relatar dados de localização, os resultados confidenciais da descoberta de dados usam um [esquema JSON padronizado](findings-locate-sd-schema.md).
**nota**
Como é o caso das descobertas de dados confidenciais, os resultados da descoberta de dados confidenciais não incluem dados confidenciais que o Macie encontrou nos objetos do S3. Em vez disso, eles fornecem detalhes de análise que podem ser úteis para auditorias ou investigações.
O Macie armazena seus resultados confidenciais de descoberta de dados por 90 dias. Você não pode acessá-los diretamente no console do Amazon Macie ou com a API do Amazon Macie. Em vez disso, você configura o Macie para criptografar e armazená-los em um bucket do S3. O bucket pode servir como um repositório definitivo e de longo prazo para todos os seus resultados confidenciais de descoberta de dados. Para determinar onde esse repositório está para sua conta, escolha **Resultados da descoberta** no painel de navegação no console do Amazon Macie. Para fazer isso programaticamente, use a [GetClassificationExportConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/classification-export-configuration.html)operação da API Amazon Macie. Se você não configurou esse repositório para sua conta, consulte [Armazenamento e retenção de resultados de descoberta de dados confidenciais](discovery-results-repository-s3.md) para saber como.
Depois de configurar o Macie para armazenar seus resultados confidenciais de descoberta de dados em um bucket do S3, o Macie grava os resultados em arquivos JSON Lines (.jsonl), criptografa e adiciona esses arquivos ao bucket como arquivos GNU Zip (.gz). Para a descoberta automatizada de dados confidenciais, o Macie adiciona os arquivos a uma pasta chamada `automated-sensitive-data-discovery` no bucket. Em seguida, você pode acessar e consultar os resultados nessa pasta. Se sua conta fizer parte de uma organização que gerencia centralmente várias contas do Macie, o Macie adicionará os arquivos à pasta `automated-sensitive-data-discovery` no bucket da sua conta de administrador do Macie.
Os resultados da descoberta de dados confidenciais seguem um esquema padronizado. Isso pode ajudar você a consultá-los, monitorá-los e processá-los usando outros aplicativos, serviços e sistemas. Para obter um exemplo detalhado e instrutivo de como você pode consultar e usar esses resultados, consulte a seguinte postagem no blog de *AWS segurança*: [Como consultar e visualizar os resultados da descoberta de dados confidenciais do Macie com o Amazon Athena](https://aws.amazon.com/blogs/security/how-to-query-and-visualize-macie-sensitive-data-discovery-results-with-athena-and-quicksight/) e o Amazon Quick. Para exemplos de consultas do Athena que você pode usar para analisar os resultados, visite o repositório [Amazon Macie Results Analytics em.](https://github.com/aws-samples/amazon-macie-results-analytics) GitHub Esse repositório também fornece instruções para configurar o Athena para recuperar e descriptografar seus resultados e scripts para criar tabelas para os resultados.
# Como avaliar a cobertura da descoberta automatizada de dados confidenciais
À medida que a descoberta de dados confidenciais progride na sua conta ou na organização, o Amazon Macie apresenta estatísticas e detalhes para ajudar você a avaliar e monitorar a cobertura do seu patrimônio de dados no Amazon Simple Storage Service (Amazon S3). Com esses dados, você pode verificar o status da descoberta automatizada de dados confidenciais do seu patrimônio de dados geral e de buckets individuais do S3 nele. Você também pode identificar problemas que impediram o Macie de analisar objetos em buckets específicos. Se você corrigir os problemas, poderá aumentar a cobertura dos dados do Amazon S3 durante os ciclos de análise subsequentes.
Os dados de cobertura oferecem uma visão geral do status atual da descoberta automatizada de dados confidenciais para os buckets gerais do S3 na Região da AWS atual. Se você for o administrador do Macie em uma organização, isso inclui buckets que as contas de seus membros possuem. Para cada bucket, os dados indicam se ocorreram problemas quando o Macie tentou analisar objetos no bucket. Se houve problemas, os dados indicam a natureza de cada problema e, em certos casos, o número de ocorrências. Os dados são atualizados à medida que a descoberta automatizada de dados confidenciais avança a cada dia. Se o Macie analisar ou tentar analisar um ou mais objetos em um bucket durante um ciclo de análise diário, o Macie atualiza a cobertura e outros dados para refletir os resultados.
Para certos tipos de problemas, você pode analisar os dados agregados de todos os buckets gerais do S3 e, como opção, analisar melhor para obter detalhes adicionais sobre cada bucket. Por exemplo, os dados de cobertura podem ajudar você a identificar rapidamente todos os buckets que o Macie não tem permissão para acessar na sua conta. Os dados de cobertura também relatam problemas no nível de objeto em que ocorreram. Esses problemas, chamados de *erros de classificação*, impediram que o Macie analisasse objetos específicos em um bucket. Por exemplo, você pode determinar quantos objetos o Macie não conseguiu analisar em um bucket porque os objetos são criptografados com uma chave AWS Key Management Service (AWS KMS) que não está mais disponível.
Se você usa o console do Amazon Macie para analisar os dados de cobertura, sua visão dos dados inclui orientações para remediar cada tipo de problema. Os tópicos seguintes nesta seção também fornecem orientações de remediação para cada tipo.
**Topics**
+ [Analisar dados da cobertura](discovery-coverage-review.md)
+ [Corrigir problemas de cobertura](discovery-coverage-remediate.md)
# Analisar os dados de cobertura de descoberta automatizada de dados confidenciais
Para analisar e avaliar a cobertura da descoberta automatizada de dados confidenciais, você pode usar o console do Amazon Macie ou a API do Amazon Macie. Tanto o console quanto a API fornecem dados que indicam o status atual das análises dos buckets gerais do Amazon Simple Storage Service (Amazon S3) na Região da AWS atual. Os dados incluem informações sobre questões que criam lacunas nas análises:
+ Buckets que o Macie não tem permissão para acessar. Macie não consegue analisar nenhum objeto nesses buckets. As configurações de permissões dos buckets impedem que o Macie acesse os buckets e os objetos dos buckets.
+ Buckets que não armazenam objetos classificáveis. Macie não consegue analisar nenhum objeto nesses buckets. Todos os objetos usam classes de armazenamento do Amazon S3 que o Macie não suporta, ou têm extensões de nome de arquivo para formatos de arquivo ou armazenamento que o Macie não suporta.
+ Buckets que o Macie ainda não conseguiu analisar devido a erros de classificação no nível de objeto. O Macie tentou analisar um ou mais objetos nesses buckets. No entanto, Macie não conseguiu analisar os objetos devido a problemas com as configurações de permissões no nível do objeto, o conteúdo do objeto ou as cotas.
Os dados de cobertura são atualizados à medida que a descoberta automatizada de dados confidenciais progride a cada dia. Se você for o administrador do Macie em uma organização, os dados incluem informações sobre os buckets do S3 que as contas de seus membros possuem.
**nota**
Os dados de cobertura não incluem explicitamente os resultados de trabalhos de descoberta de dados confidenciais que você cria e executa. No entanto, a correção de problemas de cobertura que afetam a descoberta automatizada de dados confidenciais provavelmente aumentará também a cobertura de trabalhos que você executará posteriormente. Para avaliar a cobertura de um trabalho, [analise os resultados do trabalho](discovery-jobs-manage-results.md). Se os eventos de log de um trabalho ou outros resultados indicarem problemas de cobertura, a [orientação de correção da descoberta automatizada de dados confidenciais](discovery-coverage-remediate.md) poderá ajudar você a resolver alguns dos problemas.
**Para analisar os dados de cobertura da descoberta automatizada de dados confidenciais**
Para analisar os dados de cobertura da descoberta automatizada de dados confidenciais, você pode usar o console do Amazon Macie ou a API do Amazon Macie. No console, uma única página fornece uma visão unificada dos dados de cobertura de todos os buckets de uso geral do S3 na Região atual. Isso inclui um conjunto de problemas que ocorreram recentemente em cada bucket. A página também fornece opções para revisar grupos de dados por tipo de problema. Para monitorar sua investigação de problemas em buckets específicos, você pode exportar dados da página para um arquivo de valores separados por vírgula (CSV).
------
#### [ Console ]
Siga estas etapas para analisar dados de cobertura usando o console do Amazon Macie.
**Para analisar dados da cobertura**
1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. No painel de navegação, escolha **Cobertura de recursos**.
1. Na página **Cobertura de recursos**, escolha a guia do tipo de dados de cobertura que você deseja analisar:
+ **Tudo** — Lista todos os compartimentos da sua conta. Para cada bucket, o campo **Problemas** indica se os problemas impediram o Macie de analisar objetos no bucket. Se o valor desse campo for **Nenhum**, o Macie analisou pelo menos um dos objetos do bucket, ou o Macie ainda não tentou analisar nenhum dos objetos do bucket. Se houver problemas, esse campo indicará a natureza dos problemas e como corrigi-los. Para erros de classificação no nível de objeto, ele também pode indicar o número de ocorrências do erro (entre parênteses).
+ **Acesso negado**: lista os buckets que o Macie não tem permissão para acessar. As configurações de permissões a esses buckets impedem que o Macie acesse os buckets e os objetos dos buckets. Consequentemente, o Macie não pode analisar nenhum objeto nos buckets.
+ **Erro de classificação**: lista os buckets que o Macie ainda não analisou devido a erros de classificação no nível de objeto: problemas com configurações de permissões no nível de objeto, conteúdo de objeto ou cotas. Para cada bucket, o campo **Problemas** indica a natureza de cada tipo de erro que ocorreu e impediu que o Macie analisasse um objeto no bucket. Também indica como corrigir cada tipo de erro. Dependendo do erro, ele também pode indicar o número de ocorrências do erro (entre parênteses).
+ **Inclassificável**: lista os buckets que o Macie não pode analisar porque não armazenam nenhum objeto classificável. Todos os objetos nesses buckets usam classes de armazenamento do Amazon S3 incompatíveis ou têm extensões de nome de arquivo para formatos de arquivo ou armazenamento incompatíveis. Consequentemente, o Macie não pode analisar nenhum objeto nos buckets.
1. Para detalhar e analisar os dados de suporte de um bucket, escolha o nome do bucket. Em seguida, consulte o painel de detalhes para obter estatísticas e outras informações sobre o bucket.
1. Para exportar a tabela para um arquivo CSV, escolha **Exportar para CSV** na parte superior da página. O arquivo CSV resultante contém um subconjunto de metadados para cada bucket na tabela, para até 50.000 buckets. O arquivo inclui um campo de **Problemas de cobertura**. O valor neste campo indica se problemas impediram que o Macie de analisar objetos no bucket e, em caso positivo, a natureza dos problemas.
------
#### [ API ]
Para revisar os dados de cobertura de forma programática, especifique os critérios de filtro nas consultas que você envia usando a [DescribeBuckets](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3.html)operação da API do Amazon Macie. Essa operação retorna uma matriz de objetos. Cada objeto contém dados estatísticos e outras informações sobre um bucket geral do S3 que corresponde aos critérios do filtro.
Nos critérios de filtro, inclua uma condição para o tipo de dados de cobertura que você deseja analisar:
+ Para identificar buckets que o Macie não tem permissão para acessar devido às configurações de permissões dos buckets, inclua uma condição em que o valor do campo `errorCode` seja igual a `ACCESS_DENIED`.
+ Para identificar buckets que o Macie tem permissão para acessar e ainda não analisou, inclua condições em que o valor do campo `sensitivityScore` seja igual a `50` e o valor do campo `errorCode` não seja igual a `ACCESS_DENIED`.
+ Para identificar buckets que o Macie não pode analisar porque todos os objetos dos buckets usam classes ou formatos de armazenamento incompatíveis, inclua condições em que o valor do campo `classifiableSizeInBytes` seja igual a `0` e o valor do campo `sizeInBytes` seja maior que `0`.
+ Para identificar buckets para os quais o Macie analisou pelo menos um objeto, inclua condições em que o valor do campo `sensitivityScore` esteja dentro do intervalo de 1 a 99, mas não seja igual a `50`. Para incluir também buckets nos quais você atribuiu manualmente a pontuação máxima, o intervalo deve ser de 1 a 100.
+ Para identificar buckets que o Macie ainda não analisou devido a erros de classificação no nível de objetos, inclua uma condição em que o valor do campo `sensitivityScore` seja igual `-1`. Para, em seguida, analisar um detalhamento dos tipos e do número de erros que ocorreram em um determinado bucket, use a [GetResourceProfile](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles.html)operação.
Se você estiver usando o AWS Command Line Interface (AWS CLI), especifique os critérios de filtro nas consultas enviadas executando o comando [describe-buckets](https://docs.aws.amazon.com/cli/latest/reference/macie2/describe-buckets.html). Para analisar um detalhamento dos tipos e do número de erros que ocorreram em um determinado bucket do S3, se houver, execute o [get-resource-profile](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-resource-profile.html)comando.
Por exemplo, os AWS CLI comandos a seguir usam critérios de filtro para recuperar os detalhes de todos os buckets do S3 que o Macie não tem permissão para acessar devido às configurações de permissões dos buckets.
Este exemplo é formatado para for Linux, macOS, ou Unix:
```
$ aws macie2 describe-buckets --criteria '{"errorCode":{"eq":["ACCESS_DENIED"]}}'
```
Este exemplo é formatado para Microsoft Windows:
```
C:\> aws macie2 describe-buckets --criteria={\"errorCode\":{\"eq\":[\"ACCESS_DENIED\"]}}
```
Se a sua solicitação for realizada com êxito, o Macie retornará um array `buckets`. A matriz contém um objeto para cada bucket do S3 que está no atual Região da AWS e corresponde aos critérios do filtro.
Se nenhum bucket do S3 corresponder aos critérios do filtro, o Macie retornará um array `buckets` vazio.
```
{
"buckets": []
}
```
Para obter mais informações sobre a especificação de critérios de filtro em consultas, incluindo exemplos de critérios comuns, consulte [Filtrar o inventário de buckets do S3](monitoring-s3-inventory-filter.md).
------
Para obter informações detalhadas que podem ajudar na resolução de problemas de cobertura, consulte [Corrigir problemas de cobertura para descoberta automatizada de dados confidenciais](discovery-coverage-remediate.md).
# Corrigir problemas de cobertura para descoberta automatizada de dados confidenciais
À medida que a descoberta automatizada de dados confidenciais progride a cada dia, o Amazon Macie fornece estatísticas e detalhes para ajudar você a avaliar e monitorar a cobertura do seu patrimônio de dados no Amazon Simple Storage Service (Amazon S3). Ao [analisar dados de cobertura](discovery-coverage-review.md), você pode verificar o status da descoberta automatizada de dados confidenciais do seu patrimônio de dados geral e de buckets individuais do S3 nele. Você também pode identificar problemas que impediram o Macie de analisar objetos em buckets específicos. Se você corrigir os problemas, poderá aumentar a cobertura dos dados do Amazon S3 durante os ciclos de análise subsequentes.
O Macie relata vários tipos de problemas que reduzem a cobertura de dados do Amazon S3 pela descoberta automatizada de dados confidenciais. Isso inclui problemas no nível do bucket que impedem o Macie de analisar qualquer objeto em um bucket do S3. Também inclui problemas em nível de objeto. Esses problemas, chamados de *erros de classificação*, impediram que o Macie analisasse objetos específicos em um bucket. As informações a seguir podem ajudar você a investigar e corrigir os problemas.
**Topics**
+ [Acesso negado](#discovery-issues-access-denied)
+ [Erro de classificação: conteúdo inválido](#discovery-issues-invalid-content)
+ [Erro de classificação: criptografia inválida](#discovery-issues-classification-error-invalid-encryption)
+ [Erro de classificação: chave KMS inválida](#discovery-issues-classification-error-invalid-key)
+ [Erro de classificação: permissão negada](#discovery-issues-classification-error-permission-denied)
+ [Inclassificável](#discovery-issues-unclassifiable)
**dica**
Para investigar erros de classificação no nível de objeto em um bucket do S3, comece analisando a lista de amostras de objetos do bucket. Essa lista indica quais objetos o Macie analisou ou tentou analisar no bucket para até 100 objetos.
Para analisar a lista no console do Amazon Macie, escolha o bucket na página **Buckets do S3** e, em seguida, escolha a guia **Amostras de objetos** no painel de detalhes. Para revisar a lista programaticamente, use a [ListResourceProfileArtifacts](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles-artifacts.html)operação da API Amazon Macie. Se o status da análise de um objeto for **Skipped** (`SKIPPED`), o objeto pode ter causado o erro.
## Acesso negado
Esse problema indica que as configurações de permissões de um bucket do S3 impedem que o Macie acesse o bucket ou os objetos do bucket. O Macie não consegue recuperar e analisar nenhum objeto nesse buckets.
**Detalhes**
A causa mais comum desse tipo de problema é uma política restritiva de bucket. Uma *política de bucket* é uma política baseada em recursos AWS Identity and Access Management (IAM) que especifica quais ações um principal (usuário, conta, serviço ou outra entidade) pode realizar em um bucket do S3 e as condições sob as quais um principal pode realizar essas ações. Uma *política restritiva de bucket* usa `Allow` explícitas ou declarações `Deny` que concedem ou restringem o acesso aos dados de um bucket com base em condições específicas. Por exemplo, uma política de buckets pode conter uma declaração `Allow` ou `Deny` que nega acesso a um bucket, a menos que endereços IP de origem específicos sejam usados para acessar o bucket.
Se a política de buckets para um bucket do S3 contiver uma declaração `Deny` explícita com uma ou mais condições, o Macie pode não ter permissão para recuperar e analisar os objetos do bucket para detectar dados confidenciais. O Macie pode fornecer somente um subconjunto de informações sobre o bucket, como o nome e a data de criação do bucket.
**Orientação de remediação**
Para corrigir esse problema, atualize a política de bucket para o bucket S3. Certifique-se de que a política permita que o Macie acesse o bucket e os objetos do bucket. Para permitir esse acesso, adicione uma condição para a função vinculada ao serviço do Macie (`AWSServiceRoleForAmazonMacie`) à política. A condição deve impedir que a função vinculada ao serviço do Macie corresponda à restrição `Deny` na política. Ela pode fazer isso usando a chave de contexto de condição global `aws:PrincipalArn` e o nome do recurso da Amazon (ARN) da função vinculada ao serviço Macie para sua conta.
Se você atualizar a política do bucket e o Macie obtiver acesso ao bucket do S3, o Macie detectará a alteração. Quando isso ocorre, o Macie atualizará estatísticas, dados de inventário e outras informações que fornece sobre seus dados Amazon S3. Além disso, os objetos do bucket terão maior prioridade para análise durante um ciclo de análise subsequente.
**Referência adicional**
Para obter mais informações sobre a atualização de uma política de bucket do S3 para permitir que o Macie acesse um bucket, consulte [Permitindo que o Amazon Macie acesse buckets e objetos do S3](monitoring-restrictive-s3-buckets.md). Para obter informações sobre como usar políticas de buckets para controlar o acesso aos buckets, consulte as [Políticas de buckets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html) e [Como o Amazon S3 autoriza uma solicitação](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-s3-evaluates-access-control.html) no *Guia do usuário do Amazon Simple Storage Service*.
## Erro de classificação: conteúdo inválido
Esse tipo de erro de classificação ocorre quando o Macie tenta analisar um objeto em um bucket do S3 e o objeto está malformado ou contém conteúdo que excede uma cota de descoberta de dados confidenciais. O Macie não consegue analisar o objeto.
**Detalhes**
Esse erro geralmente ocorre porque um objeto do S3 é um arquivo malformado ou corrompido. Consequentemente, o Macie não consegue analisar todos os dados no arquivo.
Esse erro também pode ocorrer se a análise de um objeto do S3 exceder uma cota de descoberta de dados confidenciais para um arquivo individual. Por exemplo, o tamanho de armazenamento do objeto excede a cota de tamanho desse tipo de arquivo.
Em ambos os casos, o Macie não consegue concluir a análise do objeto S3 e o status da análise do objeto é **Ignorado** (`SKIPPED`).
**Orientação de remediação**
Para investigar esse erro, baixe o objeto S3 e verifique a formatação e o conteúdo do arquivo. Avalie também o conteúdo do arquivo em relação às cotas do Macie para descoberta de dados confidenciais.
Se você não corrigir esse erro, o Macie tentará analisar outros objetos no bucket do S3. Se o Macie analisar outro objeto com sucesso, o Macie atualizará os dados de cobertura e outras informações que ele fornece sobre o bucket.
**Referência adicional**
Para obter uma lista de cotas de descoberta de dados confidenciais, incluindo as cotas para determinados tipos de arquivos, consulte [Cotas para o Macie](macie-quotas.md). Para obter informações sobre como o Macie atualiza as pontuações de sensibilidade e outras informações que ele fornece sobre buckets do S3, consulte [Como funciona a descoberta automatizada de dados confidenciais](discovery-asdd-how-it-works.md).
## Erro de classificação: criptografia inválida
Esse tipo de erro de classificação ocorre quando o Macie tenta analisar um objeto em um bucket do S3 e o objeto é criptografado com uma chave fornecida pelo cliente. O objeto usa criptografia SSE-C, o que significa que o Macie não pode recuperar e analisar o objeto.
**Detalhes**
O Amazon S3 oferece suporte a várias opções de criptografia para objetos do S3. Para a maioria dessas opções, o Macie pode descriptografar um objeto usando a função vinculada ao serviço do Macie para a sua conta. No entanto, isso depende do tipo de criptografia usada.
Para que o Macie descriptografe um objeto do S3, o objeto deve ter sido criptografado com uma chave que o Macie possa acessar e usar. Se um objeto for criptografado com uma chave fornecida pelo cliente, o Macie não poderá fornecer o material de chave necessário para recuperar o objeto do Amazon S3. Consequentemente, o Macie não consegue analisar o objeto e o status da análise do objeto é **Ignorado** (`SKIPPED`).
**Orientação de remediação**
Para corrigir esse erro, criptografe objetos do S3 com chaves gerenciadas ou chaves () gerenciadas do Amazon S3. AWS Key Management Service AWS KMS Se você preferir usar AWS KMS chaves, elas podem ser chaves KMS AWS gerenciadas ou chaves KMS gerenciadas pelo cliente que o Macie tem permissão para usar.
Para criptografar objetos S3 existentes com chaves que o Macie possa acessar e usar, você pode alterar as configurações de criptografia dos objetos. Para criptografar novos objetos com chaves que o Macie possa acessar e usar, altere as configurações de criptografia do bucket S3. Além disso, certifique-se de que a política do bucket não exija que novos objetos sejam criptografados com uma chave fornecida pelo cliente.
Se você não corrigir esse erro, o Macie tentará analisar outros objetos no bucket do S3. Se o Macie analisar outro objeto com sucesso, o Macie atualizará os dados de cobertura e outras informações que ele fornece sobre o bucket.
**Referência adicional**
Para obter informações sobre os requisitos e as opções de uso do Macie para analisar objetos criptografados do S3, consulte [Analisar objetos criptografados do Amazon S3](discovery-supported-encryption-types.md). Para saber mais sobre as configurações e opções de criptografia para buckets S3, consulte [Proteção de dados por criptografia](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingEncryption.html) e [Definindo o comportamento de criptografia padrão no lado do cliente para buckets do S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html) no *Guia do usuário do Amazon Simple Storage Service*.
## Erro de classificação: chave KMS inválida
Esse tipo de erro de classificação ocorre quando o Macie tenta analisar um objeto em um bucket do S3 e o objeto é criptografado com uma chave AWS Key Management Service (AWS KMS) que não está mais disponível. O Macie não consegue recuperar e analisar o objeto.
**Detalhes**
AWS KMS fornece opções para desativar e excluir o gerenciamento do cliente. AWS KMS keys Se um objeto do S3 for criptografado com uma chave KMS desativada, agendada para exclusão ou excluída, o Macie não poderá recuperar e descriptografar o objeto. Consequentemente, o Macie não consegue analisar o objeto e o status da análise do objeto é **Ignorado** (`SKIPPED`). Para que o Macie analise um objeto criptografado, o objeto deve ser criptografado com uma chave que o Macie possa acessar e usar.
**Orientação de remediação**
Para corrigir esse erro, reative o aplicável AWS KMS key ou cancele a exclusão programada da chave, dependendo do status atual da chave. Se a chave aplicável já tiver sido excluída, esse erro não poderá ser corrigido.
Para determinar qual AWS KMS key foi usado para criptografar um objeto do S3, você pode começar usando o Macie para revisar as configurações de criptografia do lado do servidor para o bucket do S3. Se as configurações de criptografia padrão do bucket estiverem configuradas para usar uma chave KMS, os detalhes do bucket indicarão qual chave será usada. Em seguida, você pode verificar o status dessa chave. Como alternativa, você pode usar o Amazon S3 para revisar as configurações de criptografia do bucket e dos objetos individuais no bucket.
Se você não corrigir esse erro, o Macie tentará analisar outros objetos no bucket do S3. Se o Macie analisar outro objeto com sucesso, o Macie atualizará os dados de cobertura e outras informações que ele fornece sobre o bucket.
**Referência adicional**
Para obter informações sobre como usar o Macie para analisar as configurações de criptografia do lado do servidor para um bucket do S3, consulte [Analisar os detalhes dos buckets do S3](monitoring-s3-inventory-review.md#monitoring-s3-inventory-view-details). Para obter informações sobre como reabilitar uma AWS KMS key ou cancelar a exclusão programada de uma chave, consulte [Habilitação e desabilitação de chaves](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html) e [Exclusão de chaves](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html) no *Guia do desenvolvedor AWS Key Management Service *.
## Erro de classificação: permissão negada
Esse tipo de erro de classificação ocorre quando o Macie tenta analisar um objeto em um bucket do S3 e não consegue recuperar ou descriptografar o objeto devido às configurações para o objeto ou às configurações das permissões à chave que foi usada para criptografar o objeto. O Macie não consegue recuperar e analisar o objeto.
**Detalhes**
Esse erro geralmente ocorre porque um objeto do S3 é criptografado com uma chave AWS Key Management Service (AWS KMS) gerenciada pelo cliente que o Macie não tem permissão para usar. Se um objeto for criptografado com um cliente gerenciado AWS KMS key, a política da chave deve permitir que o Macie decifre os dados usando a chave.
Esse erro também pode ocorrer se as configurações de permissões do Amazon S3 impedirem o Macie de recuperar um objeto do S3. A política de buckets do S3 bucket pode restringir o acesso a objetos específicos do bucket ou permitir que somente algumas entidades principais (usuários, contas, serviços ou outras entidades) acessem os objetos. Ou a lista de controle de acesso (ACL) a um objeto pode restringir o acesso ao objeto. Consequentemente, pode ser que o Macie não tenha permissão para acessar o objeto.
Nesses casos descritos acima, o Macie não consegue recuperar e analisar o objeto e, por isso, o status da análise do objeto é **Ignorado** (`SKIPPED`).
**Orientação de remediação**
Para corrigir esse erro, determine se o objeto do S3 está criptografado com uma AWS KMS key gerenciada pelo cliente. Se estiver, certifique-se de que a política de chave permita que a função vinculada ao serviço (`AWSServiceRoleForAmazonMacie`) do Macie decifre dados com a chave. A forma como você permite esse acesso depende se a conta proprietária AWS KMS key também possui o bucket do S3 que armazena o objeto. Se a mesma conta possuir a chave KMS e o bucket, um usuário da conta precisará atualizar a política de chaves. Se uma conta possuir a chave KMS e outra conta diferente possuir o bucket, um usuário da conta que possui a chave deve permitir o acesso entre contas à chave.
Você pode gerar automaticamente uma lista de todos os clientes gerenciados AWS KMS keys que o Macie precisa acessar para analisar objetos nos buckets do S3 da sua conta. Para fazer isso, execute o script do Analisador de AWS KMS Permissões, que está disponível no repositório [Amazon Macie Scripts em](https://github.com/aws-samples/amazon-macie-scripts). GitHub O script também pode gerar um script adicional de comandos AWS Command Line Interface (AWS CLI). Opcionalmente, você pode executar esses comandos para atualizar as configurações e políticas necessárias para as chaves KMS que você especificar.
Se o Macie já tiver permissão para usar o objeto aplicável AWS KMS key ou se o objeto do S3 não estiver criptografado com uma chave KMS gerenciada pelo cliente, certifique-se de que a política do bucket permita que o Macie acesse o objeto. Verifique também se a ACL do objeto permite que o Macie leia os dados e os metadados do objeto.
Para a política de bucket, você pode permitir esse acesso adicionando à política uma condição para a função vinculada ao serviço do Macie. A condição deve impedir que a função vinculada ao serviço do Macie corresponda à restrição `Deny` na política. Ela pode fazer isso usando a chave de contexto de condição global `aws:PrincipalArn` e o nome do recurso da Amazon (ARN) da função vinculada ao serviço Macie para sua conta.
Para a ACL do objeto, você pode permitir esse acesso trabalhando com o proprietário do objeto para adicioná-lo Conta da AWS como beneficiário com `READ` permissões para o objeto. O Macie pode usar a função vinculada ao serviço na sua conta para recuperar e analisar o objeto. Considere também alterar as configurações de propriedade do objeto para o bucket. Você pode usar essas configurações ACLs para desativar todos os objetos no bucket e conceder permissões de propriedade à conta proprietária do bucket.
Se você não corrigir esse erro, o Macie tentará analisar outros objetos no bucket do S3. Se o Macie analisar outro objeto com sucesso, o Macie atualizará os dados de cobertura e outras informações que ele fornece sobre o bucket.
**Referência adicional**
Para obter mais informações sobre como permitir que o Macie decodifique dados com um AWS KMS key gerenciado pelo cliente, consulte [Permitindo que Macie use um serviço gerenciado pelo cliente AWS KMS key](discovery-supported-encryption-types.md#discovery-supported-encryption-cmk-configuration). Para obter mais informações sobre a atualização de uma política de bucket do S3 para permitir que o Macie acesse um bucket, consulte [Permitindo que o Amazon Macie acesse buckets e objetos do S3](monitoring-restrictive-s3-buckets.md).
Para obter informações sobre como atualizar uma política de chaves, consulte [Alterar uma política de chaves](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) no *Guia do desenvolvedor do AWS Key Management Service *. Para obter informações sobre o uso gerenciado pelo cliente AWS KMS keys para criptografar objetos do S3, consulte [Uso da criptografia do lado do servidor com chaves AWS KMS no](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html) Guia do usuário do *Amazon Simple* Storage Service.
Para obter informações sobre o uso de políticas de bucket para controlar o acesso aos buckets do S3, consulte [Controle de acesso](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html) e [Como o Amazon S3 autoriza uma solicitação](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-s3-evaluates-access-control.html) no Guia do usuário do *Amazon Simple* Storage Service. Para obter informações sobre o uso ACLs das configurações de propriedade de objetos para controlar o acesso aos objetos do S3, consulte [Gerenciamento do acesso ACLs](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acls.html) e [controle da propriedade de objetos e desativação ACLs do seu bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html) no Guia *do usuário do Amazon Simple Storage Service*.
## Inclassificável
Esse problema indica que todos os objetos em um bucket do S3 são armazenados usando classes de armazenamento do Amazon S3 não suportadas ou formatos de arquivo ou armazenamento incompatíveis. O Macie não consegue analisar nenhum objeto no bucket.
**Detalhes**
Para ser elegível para seleção e análise, um objeto do S3 deve usar uma classe de armazenamento Amazon S3 compatível com o Macie. O objeto também deve ter uma extensão de nome de arquivo para um arquivo ou formato de armazenamento compatível com o Macie. Se um objeto não atender a esses critérios, ele será tratado como um *objeto inclassificável*. O Macie não tenta recuperar ou analisar dados em objetos inclassificáveis.
Se todos os objetos em um bucket do S3 forem objetos inclassificáveis, o bucket geral será um *bucket inclassificável.* O Macie não pode realizar a descoberta automatizada de dados confidenciais para o bucket.
**Orientação de remediação**
Para resolver esse problema, revise as regras de configuração do ciclo de vida e outras configurações que determinam quais classes de armazenamento são usadas para armazenar objetos no bucket do S3. Considere ajustar essas configurações para usar as classes de armazenamento suportadas pelo Macie. Você também pode alterar a classe de armazenamento dos objetos existentes no bucket.
Avalie também os formatos de arquivo e de armazenamento de objetos existentes no bucket do S3. Para analisar os objetos, considere transferir os dados, de modo temporário ou permanente, para novos objetos que usem um formato compatível.
Se os objetos forem adicionados ao bucket do S3 e usarem uma classe e um formato de armazenamento compatíveis, o Macie detectará os objetos na próxima vez em que avaliar seu inventário do bucket. Quando isso acontecer, o Macie deixará de relatar que o bucket *não é classificável* em estatísticas, dados de cobertura e outras informações que ele fornece sobre seus dados do Amazon S3. Além disso, os novos objetos terão maior prioridade para análise durante um ciclo de análise subsequente.
**Referência adicional**
Para obter informações sobre as classes de armazenamento do Amazon S3 e os formatos de arquivo e armazenamento compatíveis com o Macie, consulte [Classes e formatos de armazenamento suportados](discovery-supported-storage.md). Para obter informações sobre as regras de configuração do ciclo de vida e opções de classe de armazenamento que o Amazon S3 fornece, consulte [Gerenciamento do ciclo de vida do seu armazenamento](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html) e [Uso das classes de armazenamento do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/storage-class-intro.html) no *Guia do usuário do Amazon Simple Storage Service*.
# Ajustar pontuações de confidencialidade para buckets do S3
Ao revisar e avaliar estatísticas, dados e outros resultados de descoberta automatizada de dados confidenciais, pode haver casos em que você queira ajustar as avaliações de confidencialidade de seus buckets do Amazon Simple Storage Service (Amazon S3). Você também pode capturar os resultados das investigações que você ou a organização realiza para buckets específicos. Se você for o administrador do Amazon Macie de uma organização ou tiver uma conta autônoma do Macie, poderá fazer essas alterações ajustando a pontuação de sensibilidade e outras configurações para buckets individuais. Se você tiver uma conta de membro em uma organização, trabalhe com o administrador do Macie para ajustar as configurações dos buckets que você possui. Somente o administrador do Macie da sua organização pode ajustar essas configurações para seus buckets.
Se você for administrador do Macie ou tiver uma conta autônoma do Macie, poderá ajustar a pontuação de sensibilidade de um bucket do S3 das seguintes maneiras:
+ **Atribua uma pontuação de sensibilidade** — Por padrão, o Macie calcula automaticamente a pontuação de sensibilidade de um intervalo. A pontuação é baseada principalmente na quantidade de dados confidenciais que Macie encontrou em um bucket e na quantidade de dados que Macie analisou em um bucket. Para obter mais informações, consulte [Pontuação de confidencialidade para buckets do S3](discovery-scoring-s3.md).
Você pode substituir a pontuação calculada de um bucket e atribuir manualmente a pontuação máxima (*100*), que também aplica o rótulo *Confidencial* ao bucket. Se você fizer isso, o Macie deixará de realizar a descoberta automatizada de dados confidenciais para o bucket, pois os buckets com uma pontuação de 100 serão excluídos da verificação adicional. Para calcular a pontuação automaticamente novamente e continuar a digitalização, altere a configuração novamente.
+ **Exclua ou inclua tipos de dados confidenciais na pontuação de sensibilidade** — se for calculada automaticamente, a pontuação de sensibilidade de um intervalo é baseada parcialmente na quantidade de dados confidenciais que o Macie encontrou no intervalo. Isso deriva principalmente da natureza e do número de tipos de dados confidenciais que o Macie encontrou e do número de ocorrências de cada tipo. Por padrão, o Macie inclui ocorrências de todos os tipos de dados confidenciais ao calcular a pontuação de um bucket.
Você pode ajustar o cálculo excluindo ou incluindo tipos específicos de dados confidenciais na pontuação de um bucket. Por exemplo, se o Macie detectou endereços de correspondência em um bucket e você determinar que isso é aceitável, você pode excluir todas as ocorrências de endereços de correspondência da pontuação do bucket. Se você excluir um tipo de dados confidenciais, o Macie continuará inspecionando o bucket em busca desse tipo de dados e relatando as ocorrências encontradas. No entanto, essas ocorrências não afetam a pontuação do bucket. Para incluir de novo um tipo de dados confidenciais na pontuação, altere a configuração outra vez.
Você também pode excluir um bucket do S3 das análises subsequentes. Se você excluir um bucket, as estatísticas existentes de descoberta de dados confidenciais e os detalhes do bucket persistirão. Por exemplo, a pontuação de confidencialidade atual do bucket permanecerá inalterada. No entanto, o Macie para de analisar objetos no bucket quando realiza a descoberta automatizada de dados confidenciais. Depois de excluir um bucket, você pode incluí-lo outra vez mais tarde.
Se você alterar uma configuração que afeta a pontuação de sensibilidade de um bucket do S3, o Macie imediatamente começa a recalcular a pontuação. O Macie também atualiza estatísticas relevantes e outras informações que fornece sobre o bucket e os dados do Amazon S3 em geral. Por exemplo, se você atribuir a pontuação máxima a um intervalo, o Macie incrementa a contagem de compartimentos *sensíveis* nas estatísticas agregadas.
**Para ajustar a pontuação de sensibilidade ou outras configurações de um bucket S3**
Para ajustar a pontuação de confidencialidade ou outras configurações de um bucket do S3, você pode usar o console do Amazon Macie ou a API do Amazon Macie.
------
#### [ Console ]
Siga estas etapas para ajustar a pontuação de sensibilidade ou a configuração de um bucket do S3 usando o console do Amazon Macie.
1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. No painel de navegação, selecione **S3 buckets**. A página de **buckets do S3** exibe seu inventário de buckets.
Por padrão, a página não exibe dados de buckets atualmente excluídos das análises. Se você for o administrador do Macie de uma organização, ele também não exibirá dados das contas para as quais a descoberta automatizada de dados confidenciais está atualmente desabilitada. Para exibir esses dados, escolha **X** no token do filtro **É monitorado por descoberta automatizada** abaixo da caixa de filtro.
1. Escolha o bucket do S3 que tem uma configuração para ajustar. Você pode escolher o bucket usando a visualização da tabela (![\[The table view button, which is a button that displays three black horizontal lines.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/btn-s3-table-view.png)) ou o mapa interativo (![\[The map view button, which is a button that displays four black squares.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/btn-s3-map-view.png)).
1. Na página de detalhes, siga um destes procedimentos:
+ Para substituir a pontuação de confidencialidade calculada e atribuir manualmente uma pontuação, ative a opção **Atribuir pontuação máxima** (![\[A toggle switch with a gray background and the toggle positioned to the left.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/tgl-gray-off.png)). Isso altera a pontuação do bucket para *100* e aplica o rótulo *Confidencial* ao bucket.
+ Para atribuir uma pontuação de confidencialidade que o Macie calcula automaticamente, desative a opção **Atribuir pontuação máxima** (![\[A toggle switch with a blue background and the toggle positioned to the right.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/tgl-blue-on.png)).
+ Para excluir ou incluir tipos específicos de dados confidenciais na pontuação de confidencialidade, selecione a guia **Confidencialidade**. Na tabela **Detecções**, marque a caixa de seleção do tipo de dados confidenciais a ser excluído ou incluído. Em seguida, no menu **Ações**, selecione **Excluir da pontuação** para excluir o tipo ou selecione **Incluir na pontuação** para incluir o tipo.
Na tabela, o campo **Tipo de dados confidenciais** especifica o identificador de dados gerenciados ou o identificador de dados personalizado que detectou os dados. Para um identificador de dados gerenciados, este é um identificador (ID) exclusivo que descreve o tipo de dados confidenciais que o identificador foi projetado para detectar, por exemplo, **USA\$1PASSPORT\$1NUMBER** para números de passaportes dos EUA. Para obter detalhes sobre cada identificador de dados gerenciados, consulte [Usar identificadores de dados gerenciados](managed-data-identifiers.md).
+ Para excluir o bucket das análises subsequentes, ative **Excluir da descoberta automatizada** (![\[A toggle switch with a gray background and the toggle positioned to the left.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/tgl-gray-off.png)).
+ Para incluir o bucket em análises subsequentes, se você o excluiu anteriormente, desative **Excluir da descoberta automatizada** (![\[A toggle switch with a blue background and the toggle positioned to the right.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/tgl-blue-on.png)).
------
#### [ API ]
Para ajustar programaticamente a pontuação de sensibilidade ou uma configuração de um bucket do S3, você tem várias opções. A opção apropriada depende do que você deseja ajustar.
**Atribuir uma pontuação de confidencialidade**
Para atribuir uma pontuação de sensibilidade a um bucket do S3, use a [UpdateResourceProfile](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles.html)operação. Em sua solicitação, use o `resourceArn` parâmetro para especificar o Amazon Resource Name (ARN) do bucket. Para o `sensitivityScoreOverride` parâmetro, faça o seguinte:
+ Para substituir a pontuação calculada e atribuir manualmente a pontuação máxima, especifique`100`.
+ Para atribuir uma pontuação que o Macie calcula automaticamente, omita o parâmetro. Se esse parâmetro for nulo, o Macie calcula e atribui a pontuação.
Se você estiver usando o AWS Command Line Interface (AWS CLI), execute o [update-resource-profile](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-resource-profile.html)comando para atribuir uma pontuação de sensibilidade a um bucket do S3. Na sua solicitação, use o `resource-arn` parâmetro para especificar o ARN do bucket. Omita ou use o `sensitivity-score-override` parâmetro para especificar qual pontuação atribuir.
Se sua solicitação for bem-sucedida, Macie atribuirá a pontuação especificada e retornará uma resposta vazia.
**Excluir ou incluir tipos de dados confidenciais na pontuação de sensibilidade**
Para excluir ou incluir tipos de dados confidenciais na pontuação de sensibilidade de um bucket do S3, use a [UpdateResourceProfileDetections](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles-detections.html)operação. Ao usar essa operação, você sobrescreve as configurações atuais de inclusão e exclusão da pontuação de um intervalo. Portanto, é uma boa ideia recuperar primeiro as configurações atuais e determinar quais você deseja manter. Para recuperar as configurações atuais, use a [ListResourceProfileDetections](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles-detections.html)operação.
Quando você estiver pronto para atualizar as configurações, use o `resourceArn` parâmetro para especificar o ARN do bucket do S3. Para o `suppressDataIdentifiers` parâmetro, faça o seguinte:
+ Para excluir um tipo de dados confidenciais da pontuação do bucket, use o `type` parâmetro para especificar o tipo de identificador de dados que detectou os dados, um identificador de dados gerenciado (`MANAGED`) ou um identificador de dados personalizado (`CUSTOM`). Use o `id` parâmetro para especificar o identificador exclusivo para o identificador de dados gerenciado ou personalizado que detectou os dados.
+ Para incluir um tipo de dados confidenciais na pontuação do bucket, não especifique nenhum detalhe do identificador de dados gerenciado ou personalizado que detectou os dados.
+ Para incluir todos os tipos de dados confidenciais na pontuação do bucket, não especifique nenhum valor. Se o valor do `suppressDataIdentifiers` parâmetro for nulo (vazio), o Macie incluirá todos os tipos de detecções ao calcular a pontuação.
Se você estiver usando o AWS CLI, execute o [update-resource-profile-detections](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-resource-profile-detections.html)comando para excluir ou incluir tipos de dados confidenciais na pontuação de sensibilidade de um bucket do S3. Use o `resource-arn` parâmetro para especificar o ARN do bucket. Use o `suppress-data-identifiers` parâmetro para especificar quais tipos de dados confidenciais excluir ou incluir na pontuação do intervalo. Para primeiro recuperar e revisar as configurações atuais do bucket, execute o [list-resource-profile-detections](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-resource-profile-detections.html)comando.
Se sua solicitação for bem-sucedida, o Macie atualizará as configurações e retornará uma resposta vazia.
**Excluir ou incluir um bucket S3 nas análises**
Para excluir ou incluir posteriormente um bucket do S3 nas análises, use a [UpdateClassificationScope](https://docs.aws.amazon.com/macie/latest/APIReference/classification-scopes-id.html)operação. Ou, se você estiver usando o AWS CLI, execute o [update-classification-scope](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-classification-scope.html)comando. Para obter detalhes e exemplos adicionais, consulte[Excluindo ou incluindo buckets S3 na descoberta automatizada de dados confidenciais](discovery-asdd-account-configure.md#discovery-asdd-account-configure-s3buckets).
Os exemplos a seguir mostram como usar o AWS CLI para ajustar as configurações individuais de um bucket do S3. Esse primeiro exemplo atribui manualmente a pontuação máxima de sensibilidade (`100`) a um bucket. Ele substitui a pontuação calculada do bucket.
```
$ aws macie2 update-resource-profile --resource-arn arn:aws:s3:::amzn-s3-demo-bucket --sensitivity-score-override 100
```
Onde *arn:aws:s3:::amzn-s3-demo-bucket* está o ARN do bucket S3.
O próximo exemplo altera a pontuação de sensibilidade de um bucket do S3 para uma pontuação que o Macie calcula automaticamente. Atualmente, o bucket tem uma pontuação atribuída manualmente que substitui a pontuação calculada. Este exemplo remove essa substituição omitindo o `sensitivity-score-override` parâmetro da solicitação.
```
$ aws macie2 update-resource-profile --resource-arn arn:aws:s3:::amzn-s3-demo-bucket2
```
Onde *arn:aws:s3:::amzn-s3-demo-bucket2* está o ARN do bucket S3.
Os exemplos a seguir excluem tipos específicos de dados confidenciais da pontuação de sensibilidade de um bucket do S3. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.
```
$ aws macie2 update-resource-profile-detections \
--resource-arn arn:aws:s3:::amzn-s3-demo-bucket3 \
--suppress-data-identifiers '[{"type":"MANAGED","id":"ADDRESS"},{"type":"CUSTOM","id":"3293a69d-4a1e-4a07-8715-208ddexample"}]'
```
Este exemplo foi formatado para Microsoft Windows e usa o caractere de continuação de linha circunflexo (^) para melhorar a legibilidade.
```
C:\> aws macie2 update-resource-profile-detections ^
--resource-arn arn:aws:s3:::amzn-s3-demo-bucket3 ^
--suppress-data-identifiers=[{\"type\":\"MANAGED\",\"id\":\"ADDRESS\"},{\"type\":\"CUSTOM\",\"id\":\"3293a69d-4a1e-4a07-8715-208ddexample\"}]
```
Em que:
+ *arn:aws:s3:::amzn-s3-demo-bucket3*é o ARN do bucket S3.
+ *ADDRESS*é o identificador exclusivo do identificador de dados gerenciados que detectou um tipo de dado confidencial a ser excluído (endereços de correspondência).
+ *3293a69d-4a1e-4a07-8715-208ddexample*é o identificador exclusivo do identificador de dados personalizado que detectou um tipo de dado confidencial a ser excluído.
Posteriormente, esse próximo conjunto de exemplos incluirá todos os tipos de dados confidenciais na pontuação de sensibilidade do bucket S3. Ele substitui as configurações de exclusão atuais do bucket especificando um valor vazio (nulo) para o parâmetro. `suppress-data-identifiers` Para Linux, macOS ou Unix:
```
$ aws macie2 update-resource-profile-detections --resource-arn arn:aws:s3:::amzn-s3-demo-bucket3 --suppress-data-identifiers '[]'
```
Para o Microsoft Windows:
```
C:\> aws macie2 update-resource-profile-detections --resource-arn arn:aws:s3:::amzn-s3-demo-bucket3 --suppress-data-identifiers=[]
```
Onde *arn:aws:s3:::amzn-s3-demo-bucket3* está o ARN do bucket S3.
------
# Pontuação de confidencialidade para buckets do S3
Se a descoberta automatizada de dados confidenciais estiver habilitada, o Amazon Macie calcula e atribui automaticamente uma pontuação de confidencialidade a cada bucket geral do Amazon Simple Storage Service (Amazon S3) que ele monitora e analisa para sua conta ou organização. Uma *pontuação de confidencialidade* é uma representação quantitativa da quantidade de dados confidenciais que um bucket do S3 pode conter. Com base nessa pontuação, Macie também atribui uma etiqueta de confidencialidade a cada bucket. Um *rótulo de confidencialidade* é uma representação qualitativa da pontuação de confidencialidade de um bucket. Esses valores podem servir como pontos de referência para determinar onde os dados confidenciais podem residir no seu conjunto de dados do Amazon S3 e identificar e monitorar possíveis riscos de segurança para esses dados.
Por padrão, a pontuação e o rótulo de confidencialidade de um bucket do S3 refletem os resultados das atividades automatizadas de descoberta de dados confidenciais que o Macie realizou até agora para o bucket. Eles não refletem os resultados dos trabalhos de descoberta de dados confidenciais que você criou e executou. Além disso, nem a pontuação nem o rótulo implicam ou indicam a criticidade ou a importância que um bucket ou os objetos de um bucket podem ter para você ou sua organização. No entanto, você pode substituir a pontuação calculada de um bucket atribuindo manualmente a pontuação máxima (*100*) a ele. Isso também atribui o rótulo *Confidencial* ao bucket. Para substituir uma pontuação calculada, você deve ser o administrador do Macie da conta proprietária do bucket ou ter uma conta autônoma do Macie.
**Topics**
+ [Dimensões e intervalos de pontuação de confidencialidade](#discovery-scoring-s3-dimensions)
+ [Monitorar pontuações de confidencialidade](#discovery-scoring-s3-monitoring)
## Dimensões e intervalos de pontuação de confidencialidade
Se calculada pelo Amazon Macie, a pontuação de confidencialidade de um bucket do S3 é uma medida quantitativa da intersecção de duas dimensões principais:
+ A quantidade de dados confidenciais que o Macie encontrou no bucket. Isso deriva principalmente da natureza e do número de tipos de dados confidenciais que o Macie encontrou no bucket e do número de ocorrências de cada tipo.
+ A quantidade de dados que Macie analisou no bucket. Isso deriva principalmente do número de objetos exclusivos que Macie analisou no bucket em relação ao número total de objetos exclusivos no bucket.
A pontuação de confidencialidade de um bucket do S3 também determina qual rótulo de confidencialidade Macie atribui ao bucket. O rótulo de confidencialidade é uma representação qualitativa da pontuação; por exemplo, *Confidencial* ou *Não confidencial*. No console do Amazon Macie, a pontuação de confidencialidade de um bucket também determina qual cor o Macie usa para representar o bucket nas visualizações de dados, conforme mostrado na imagem a seguir.
![\[O espectro de cores para pontuações de confidencialidade: tons de azul para 1-49, tons de vermelho para 51-100 e cinza para -1.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/sensitivity-scoring-spectrum.png)
As pontuações de confidencialidade variam de *-1* a *100*, conforme descrito na tabela a seguir. Para avaliar as entradas da pontuação de um bucket do S3, você pode consultar estatísticas confidenciais de descoberta de dados e outros detalhes que o Macie fornece sobre o bucket.
| Pontuação de confidencialidade | Rótulo de confidencialidade | Mais informações |
| --- | --- | --- |
| -1 | Erro de classificação | O Macie ainda não analisou com sucesso nenhum dos objetos do bucket devido a erros de classificação no nível do objeto; problemas com configurações de permissões no nível do objeto, conteúdo do objeto ou cotas. Quando Macie tentou analisar um ou mais objetos no bucket, ocorreram erros. Por exemplo, um objeto é um arquivo malformado ou um objeto está criptografado com uma chave que o Macie não pode acessar ou não tem permissão para usar. Os dados de cobertura do bucket podem ajudá-lo a investigar e corrigir os erros. Para obter mais informações, consulte [Como avaliar a cobertura da descoberta automatizada de dados confidenciais](discovery-coverage.md). Macie continuará tentando analisar objetos no bucket. Se o Macie analisar um objeto com sucesso, o Macie atualizará a pontuação de confidencialidade e o rótulo do bucket para refletir os resultados da análise. |
| 1-49 | Não sigilosos | Nesse intervalo, uma pontuação mais alta, como *49*, indica que o Macie analisou relativamente poucos objetos no bucket. Uma pontuação mais baixa, como *1*, indica que o Macie analisou muitos objetos no bucket (em relação ao número total de objetos no bucket) e detectou relativamente poucos tipos e ocorrências de dados confidenciais nesses objetos. Uma pontuação de *1* também pode indicar que o bucket não armazena nenhum objeto ou que todos os objetos no bucket contêm zero (0) bytes de dados. As estatísticas do objeto nos detalhes do bucket podem ajudá-lo a determinar se esse é o caso. Para obter mais informações, consulte [Analisar detalhes do bucket do S3](discovery-asdd-results-s3-inventory-details.md). |
| 50 | Ainda não analisado | O Macie ainda não tentou analisar nem analisou nenhum dos objetos do bucket. O Macie atribui automaticamente essa pontuação quando a descoberta automatizada é habilitada inicialmente ou quando um bucket é adicionado ao inventário de uma conta. Em uma organização, um bucket também pode ter essa pontuação se a descoberta automatizada nunca tiver sido habilitada para a conta proprietária do bucket. Uma pontuação de *50* também pode indicar que as configurações de permissões do bucket impedem que o Macie acesse o bucket ou os objetos do bucket. Isso geralmente ocorre devido a uma política de bucket restritiva. Os detalhes do bucket podem ajudá-lo a determinar se esse é o caso, pois o Macie pode fornecer somente um subconjunto de informações sobre o bucket. Para obter informações sobre como resolver esse problema, consulte [Permitindo que o Amazon Macie acesse buckets e objetos do S3](monitoring-restrictive-s3-buckets.md). |
| 51 a 99 | Sigilosos | Nesse intervalo, uma pontuação mais baixa, como *99*, indica que Macie analisou muitos objetos no bucket (em relação ao número total de objetos no bucket) e detectou relativamente poucos tipos e ocorrências de dados confidenciais nesses objetos. Uma pontuação mais baixa, como *51*, indica que Macie analisou um número moderado de objetos no bucket (em relação ao número total de objetos no bucket) e detectou relativamente poucos tipos e ocorrências de dados confidenciais nesses objetos. |
| 100 | Sigilosos | A pontuação foi atribuída manualmente ao bucket, substituindo a pontuação calculada. O Macie não atribui essa pontuação aos buckets. |
## Monitorar pontuações de confidencialidade
Quando a descoberta automatizada de dados confidenciais é inicialmente habilitada para uma conta, o Amazon Macie atribui automaticamente uma pontuação de confidencialidade de *50* a cada bucket do S3 que a conta possui. O Macie também atribui essa pontuação a um bucket quando o bucket é adicionado ao inventário de buckets de uma conta. Com base nessa pontuação, o rótulo de confidencialidade de cada bucket *Ainda não foi analisado*. A exceção é um bucket vazio, que é um bucket que não armazena nenhum objeto ou todos os objetos no bucket contêm zero (0) bytes de dados. Se esse for o caso de um bucket, o Macie atribui uma pontuação de *1* ao bucket e o rótulo de confidencialidade do compartimento será *Não confidencial*.
À medida que a descoberta automatizada de dados confidenciais progride a cada dia, o Macie atualiza as pontuações e os rótulos de confidencialidade dos buckets do S3 para refletir os resultados da análise. Por exemplo:
+ Se o Macie não encontrar dados confidenciais em um objeto, o Macie diminuirá a pontuação de confidencialidade do bucket e atualizará o rótulo de confidencialidade conforme necessário.
+ Se o Macie encontrar dados confidenciais em um objeto, o Macie aumentará a pontuação de confidencialidade do bucket e atualizará o rótulo de confidencialidade conforme necessário.
+ Se o Macie encontrar dados confidenciais em um objeto que é alterado posteriormente, o Macie removerá as detecções de dados confidenciais do objeto da pontuação de confidencialidade do bucket e atualizará o rótulo de confidencialidade conforme necessário.
+ Se o Macie encontrar dados confidenciais em um objeto que é excluído posteriormente, o Macie removerá as detecções de dados confidenciais do objeto da pontuação de confidencialidade do bucket e atualizará o rótulo de confidencialidade conforme necessário.
+ Se um objeto for adicionado a um bucket que estava vazio anteriormente e o Macie encontrar dados confidenciais no objeto, o Macie aumentará a pontuação de confidencialidade do bucket e atualizará o rótulo de confidencialidade conforme necessário.
+ Se as configurações de permissões de um bucket impedirem o Macie de acessar ou recuperar informações sobre o bucket ou os objetos do bucket, o Macie alterará a pontuação de confidencialidade do bucket para *50* e alterará o rótulo de confidencialidade do bucket para *Ainda não analisado*.
Os resultados da análise podem começar a aparecer dentro de 48 horas após a habilitação da descoberta automatizada de dados confidenciais de uma conta.
Se você for o administrador do Macie de uma organização ou se tiver uma conta autônoma no Macie, você poderá ajustar as configurações de pontuação de confidencialidade de sua organização ou conta:
+ Para ajustar as configurações para análises subsequentes de todos os buckets do S3, altere as configurações da conta. Você pode começar a incluir ou excluir identificadores específicos de dados gerenciados, identificadores de dados personalizados ou listas de permissões. Você também pode excluir buckets específicos. Para obter mais informações, consulte [Definir configurações da descoberta automatizada](discovery-asdd-account-configure.md).
+ Para ajustar as configurações de buckets individuais do S3, altere as configurações de cada bucket. Você pode incluir ou excluir tipos específicos de dados confidenciais da pontuação de um bucket. Também é possível especificar se você deseja atribuir uma pontuação calculada automaticamente a um bucket. Para obter mais informações, consulte [Ajustar pontuações de confidencialidade para buckets do S3](discovery-asdd-s3bucket-manage.md).
Se você desabilitar a descoberta automatizada de dados confidenciais, o efeito variará de acordo com as pontuações e os rótulos de confidencialidade existentes. Se você desabilitá-la para uma conta de membro em uma organização, as pontuações e os rótulos existentes persistirão para os buckets do S3 que a conta possui. Se você desabilitá-la para uma organização geral ou uma conta autônoma do Macie, as pontuações e os rótulos existentes persistirão por apenas 30 dias. Depois de 30 dias, o Macie redefine as pontuações e os rótulos de todos os buckets que a organização ou a conta possui. Se um bucket armazenar objetos, o Macie alterará a pontuação para *50* e atribuirá o rótulo *Ainda não analisado* ao bucket. Se um bucket estiver vazio, o Macie alterará a pontuação para *1* e atribuirá o rótulo *Não confidencial* ao bucket. Após essa redefinição, o Macie para de atualizar as pontuações e os rótulos de confidencialidade dos buckets, a menos que você habilite a descoberta automatizada de dados confidenciais para a organização ou a conta outra vez.
# Configurações padrão para descoberta automatizada de dados confidenciais
Se a descoberta automática de dados confidenciais estiver habilitada, o Amazon Macie seleciona e analisa automaticamente objetos de amostra de todos os buckets de uso geral do Amazon Simple Storage Service (Amazon S3) da sua conta. Se você for o administrador do Macie em uma organização, isso incluirá, por padrão, buckets do S3 que as contas de membros possuem.
Se você for um administrador do Macie ou tiver uma conta autônoma do Macie, poderá refinar o escopo das análises excluindo buckets do S3 específicos da descoberta automatizada de dados confidenciais. Você pode fazer isso de duas maneiras: alterando as configurações da conta e alterando as configurações de buckets individuais. Como administrador do Macie, você também pode habilitar ou desabilitar a descoberta automatizada de dados confidenciais para contas individuais na organização.
Por padrão, o Macie analisa objetos do S3 usando somente o conjunto de identificadores de dados gerenciados que recomendamos para a descoberta automatizada de dados confidenciais. O Macie não usa nenhum identificador de dados personalizado nem lista de permissões que você definiu. Se você for um administrador do Macie ou tiver uma conta autônoma do Macie, poderá personalizar as análises configurando o Macie para usar identificadores de dados gerenciados específicos, identificadores de dados personalizados e listas de permissões. Você pode fazer isso alterando as configurações da conta.
Para obter informações sobre como alterar as configurações, consulte [Definir configurações da descoberta automatizada de dados confidenciais](discovery-asdd-account-configure.md).
**Topics**
+ [identificadores de dados gerenciados](#discovery-asdd-settings-defaults-mdis)
+ [Atualizações das configurações padrão](#discovery-asdd-mdis-default-updates)
## Identificadores de dados gerenciados padrão para descoberta automatizada de dados confidenciais
Por padrão, o Amazon Macie analisa objetos do S3 usando somente o conjunto de identificadores de dados gerenciados que recomendamos para a descoberta automatizada de dados confidenciais. Esse conjunto padrão de identificadores de dados gerenciados foi projetado para detectar categorias e tipos comuns de dados confidenciais. Com base em nossa pesquisa, ele pode detectar categorias gerais e tipos de dados confidenciais e, ao mesmo tempo, otimizar os resultados reduzindo o ruído.
O conjunto padrão é dinâmico. À medida que lançamos novos identificadores de dados gerenciados, os adicionamos ao conjunto padrão, caso seja provável que otimizem ainda mais seus resultados automatizados de descoberta de dados confidenciais. Com o tempo, também podemos adicionar ou remover identificadores de dados gerenciados existentes do conjunto. A remoção de um identificador de dados gerenciados não afeta as estatísticas e os detalhes de descoberta de dados confidenciais existentes para seus buckets do S3. Por exemplo, se removermos o identificador de dados gerenciados de um tipo de dado confidencial que o Macie detectou anteriormente em um bucket, o Macie continuará relatando essas detecções. Se adicionarmos ou removermos um identificador de dados gerenciados do conjunto padrão, atualizaremos esta página para indicar a natureza e o momento da alteração. Para receber alertas automáticos sobre alterações realizadas nesta página, inscreva-se no feed RSS na página [Histórico de documentos do Macie](doc-history.md).
Os tópicos a seguir listam os identificadores de dados gerenciados que estão atualmente no conjunto padrão, organizados por categoria e tipo de dados sigilosos. Eles especificam o identificador exclusivo (ID) para cada identificador de dados gerenciados no conjunto. Esse ID descreve o tipo de dados confidenciais que um identificador de dados gerenciados foi projetado para detectar, por exemplo: `PGP_PRIVATE_KEY` para chaves privadas PGP e `USA_PASSPORT_NUMBER` para números de passaportes dos EUA. Se você alterar as configurações de descoberta automatizada de dados confidenciais, poderá usar esse ID para excluir explicitamente um identificador de dados gerenciados das análises subsequentes.
**Topics**
+ [Credenciais](#discovery-asdd-settings-defaults-mdis-credentials)
+ [Informações financeiras](#discovery-asdd-settings-defaults-mdis-financial)
+ [Informações de identificação pessoal (PII)](#discovery-asdd-settings-defaults-mdis-pii)
Para obter detalhes sobre identificadores de dados gerenciados específicos ou uma lista completa de todos os identificadores de dados gerenciados que o Macie fornece atualmente, consulte [Usar identificadores de dados gerenciados](managed-data-identifiers.md).
### Credenciais
Para detectar ocorrências de dados de credenciais em objetos do S3, o Macie usa os seguintes identificadores de dados gerenciados por padrão.
| Tipo de dados sigilosos | ID do identificador de dados gerenciados |
| --- | --- |
| AWS chave de acesso secreta | AWS\$1CREDENTIALS |
| Cabeçalho de autorização básica HTTP | HTTP\$1BASIC\$1AUTH\$1HEADER |
| Chave privada OpenSSH | OPENSSH\$1PRIVATE\$1KEY |
| Chave privada PGP | PGP\$1PRIVATE\$1KEY |
| Chave privada do padrão de criptografia de chave pública (Public Key Cryptography Standard, PKCS) | PKCS |
| Chave privada PuTTY | PUTTY\$1PRIVATE\$1KEY |
### Informações financeiras
Para detectar ocorrências de informações financeiras em objetos do S3, o Macie usa os seguintes identificadores de dados gerenciados por padrão.
| Tipo de dados sigilosos | ID do identificador de dados gerenciados |
| --- | --- |
| Dados da faixa magnética do cartão de crédito | CREDIT\$1CARD\$1MAGNETIC\$1STRIPE |
| Números de cartão de crédito | CREDIT\$1CARD\$1NUMBER (para números de cartão de crédito próximos a uma palavra-chave) |
### Informações de identificação pessoal (PII)
Para detectar ocorrências de informações de identificação pessoal (PII) em objetos do S3, o Macie usa os seguintes identificadores de dados gerenciados por padrão.
| Tipo de dados sigilosos | ID do identificador de dados gerenciados |
| --- | --- |
| Número de identificação da carteira de habilitação | CANADA\$1DRIVERS\$1LICENSE, DRIVERS\$1LICENSE (para os EUA), UK\$1DRIVERS\$1LICENSE |
| Número de registro eleitoral | UK\$1ELECTORAL\$1ROLL\$1NUMBER |
| Número de identificação nacional | FRANCE\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, GERMANY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, SPAIN\$1DNI\$1NUMBER |
| Número do Seguro Nacional (NINO) | UK\$1NATIONAL\$1INSURANCE\$1NUMBER |
| Número de passaporte | CANADA\$1PASSPORT\$1NUMBER, FRANCE\$1PASSPORT\$1NUMBER, GERMANY\$1PASSPORT\$1NUMBER, ITALY\$1PASSPORT\$1NUMBER, SPAIN\$1PASSPORT\$1NUMBER, UK\$1PASSPORT\$1NUMBER, USA\$1PASSPORT\$1NUMBER |
| Número do Seguro Social (SIN) | CANADA\$1SOCIAL\$1INSURANCE\$1NUMBER |
| Número da Previdência Social (SSN) | SPAIN\$1SOCIAL\$1SECURITY\$1NUMBER, USA\$1SOCIAL\$1SECURITY\$1NUMBER |
| Identificação do contribuinte ou número de referência | AUSTRALIA\$1TAX\$1FILE\$1NUMBER, BRAZIL\$1CPF\$1NUMBER, FRANCE\$1TAX\$1IDENTIFICATION\$1NUMBER, GERMANY\$1TAX\$1IDENTIFICATION\$1NUMBER, SPAIN\$1NIE\$1NUMBER, SPAIN\$1NIF\$1NUMBER, SPAIN\$1TAX\$1IDENTIFICATION\$1NUMBER, USA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER |
## Atualizações nas configurações padrão para descoberta automatizada de dados confidenciais
A tabela a seguir descreve as alterações das configurações que o Amazon Macie usa por padrão para a descoberta automatizada de dados confidenciais. Para receber alertas automáticos sobre alterações realizadas nesta página, inscreva-se no feed RSS na página [ Histórico de documentos do Macie](doc-history.md).
| Alteração | Descrição | Data |
| --- | --- | --- |
| Implementou um novo conjunto dinâmico de identificadores de dados gerenciados padrão | As novas configurações automatizadas de descoberta de dados confidenciais agora são baseadas em um [conjunto padrão dinâmico de identificadores de dados gerenciados](#discovery-asdd-settings-defaults-mdis). Se você ativar a descoberta automatizada de dados confidenciais pela primeira vez nessa data ou após essa data, sua configuração será baseada no conjunto dinâmico. Se você ativou a descoberta automatizada de dados confidenciais pela primeira vez antes dessa data, sua configuração é baseada em um conjunto diferente de identificadores de dados gerenciados. Consulte as notas depois dessa tabela para mais informações. | 2 de agosto de 2023 |
| Disponibilidade geral | Lançamento inicial da descoberta automatizada de dados confidenciais. | 28 de novembro de 2022 |
Se você habilitou inicialmente a descoberta automatizada de dados confidenciais antes de 2 de agosto de 2023, sua configuração não se baseia no conjunto dinâmico de identificadores de dados gerenciados padrão. Em vez disso, sua configuração é baseada em um conjunto estático de identificadores de dados gerenciados que definimos para a versão inicial da descoberta automatizada de dados confidenciais, conforme listado na tabela abaixo.
Para determinar quando você habilitou inicialmente a descoberta automatizada de dados confidenciais, é possível usar o console do Amazon Macie: escolha **Descoberta automatizada de dados confidenciais** no painel de navegação e, em seguida, consulte a data de habilitação na seção **Status**. Você também pode fazer isso programaticamente: use a [GetAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html)operação da API do Amazon Macie e consulte o valor do campo. `firstEnabledAt` Se a data for anterior a 2 de agosto de 2023 e você quiser começar a usar o conjunto dinâmico de identificadores de dados gerenciados padrão, entre em contato AWS Support para obter ajuda.
A tabela a seguir lista todos os identificadores de dados gerenciados que estão no conjunto estático. A tabela é classificada primeiro por categoria de dados confidenciais e depois por tipo de dados sigilosos. Para obter detalhes sobre identificadores específicos de dados gerenciados, consulte[Usar identificadores de dados gerenciados](managed-data-identifiers.md).
| Categoria de dados confidenciais | Tipo de dados sigilosos | ID do identificador de dados gerenciados |
| --- | --- | --- |
| Credenciais | AWS chave de acesso secreta | AWS\$1CREDENTIALS |
| Credenciais | Cabeçalho de autorização básica de HTTP | HTTP\$1BASIC\$1AUTH\$1HEADER |
| Credenciais | Chave privada OpenSSH | OPENSSH\$1PRIVATE\$1KEY |
| Credenciais | Chave privada PGP | PGP\$1PRIVATE\$1KEY |
| Credenciais | Chave privada do padrão de criptografia de chave pública (Public Key Cryptography Standard - PKCS) | PKCS |
| Credenciais | Chave privada PuTTY | PUTTY\$1PRIVATE\$1KEY |
| Informações financeiras | Número de conta bancária | BANK\$1ACCOUNT\$1NUMBER(para números de contas bancárias do Canadá e dos EUA), FRANCE\$1BANK\$1ACCOUNT\$1NUMBER, GERMANY\$1BANK\$1ACCOUNT\$1NUMBER, ITALY\$1BANK\$1ACCOUNT\$1NUMBER, SPAIN\$1BANK\$1ACCOUNT\$1NUMBER, UK\$1BANK\$1ACCOUNT\$1NUMBER |
| Informações financeiras | Data de validade do cartão de crédito | CREDIT\$1CARD\$1EXPIRATION |
| Informações financeiras | Dados da faixa magnética do cartão de crédito | CREDIT\$1CARD\$1MAGNETIC\$1STRIPE |
| Informações financeiras | Números de cartão de crédito | CREDIT\$1CARD\$1NUMBER(para números de cartão de crédito próximos a uma palavra-chave) |
| Informações financeiras | Código de verificação do cartão de crédito | CREDIT\$1CARD\$1SECURITY\$1CODE |
| Informações pessoais: informações de saúde pessoal (Personal health information - PHI) | Número de registro da Agência Antidrogas (Drug Enforcement Agency - DEA) | US\$1DRUG\$1ENFORCEMENT\$1AGENCY\$1NUMBER |
| Informações pessoais: PHI | Health Insurance Claim Number (HICN) | USA\$1HEALTH\$1INSURANCE\$1CLAIM\$1NUMBER |
| Informações pessoais: PHI | Número de identificação médica ou do seguro de saúde | CANADA\$1HEALTH\$1NUMBER, EUROPEAN\$1HEALTH\$1INSURANCE\$1CARD\$1NUMBER, FINLAND\$1EUROPEAN\$1HEALTH\$1INSURANCE\$1NUMBER, FRANCE\$1HEALTH\$1INSURANCE\$1NUMBER, UK\$1NHS\$1NUMBER, USA\$1MEDICARE\$1BENEFICIARY\$1IDENTIFIER |
| Informações pessoais: PHI | Código do Healthcare Common Procedure Coding System (HCPCS) | USA\$1HEALTHCARE\$1PROCEDURE\$1CODE |
| Informações pessoais: PHI | National Drug Code (NDC) | USA\$1NATIONAL\$1DRUG\$1CODE |
| Informações pessoais: PHI | National Provider Identifier (NPI) | USA\$1NATIONAL\$1PROVIDER\$1IDENTIFIER |
| Informações pessoais: PHI | Identificador exclusivo de dispositivo (UDI) | MEDICAL\$1DEVICE\$1UDI |
| Informações pessoais: informações de identificação pessoal (PII) | Datas de nascimento | DATE\$1OF\$1BIRTH |
| Informações pessoais: PII | Número de identificação da carteira de habilitação | AUSTRALIA\$1DRIVERS\$1LICENSE, AUSTRIA\$1DRIVERS\$1LICENSE, BELGIUM\$1DRIVERS\$1LICENSE, BULGARIA\$1DRIVERS\$1LICENSE, CANADA\$1DRIVERS\$1LICENSE, CROATIA\$1DRIVERS\$1LICENSE, CYPRUS\$1DRIVERS\$1LICENSE, CZECHIA\$1DRIVERS\$1LICENSE, DENMARK\$1DRIVERS\$1LICENSE, DRIVERS\$1LICENSE(para os EUA), ESTONIA\$1DRIVERS\$1LICENSE, FINLAND\$1DRIVERS\$1LICENSE, FRANCE\$1DRIVERS\$1LICENSE, GERMANY\$1DRIVERS\$1LICENSE, GREECE\$1DRIVERS\$1LICENSE, HUNGARY\$1DRIVERS\$1LICENSE, IRELAND\$1DRIVERS\$1LICENSE, ITALY\$1DRIVERS\$1LICENSE, LATVIA\$1DRIVERS\$1LICENSE, LITHUANIA\$1DRIVERS\$1LICENSE, LUXEMBOURG\$1DRIVERS\$1LICENSE, MALTA\$1DRIVERS\$1LICENSE, NETHERLANDS\$1DRIVERS\$1LICENSE, POLAND\$1DRIVERS\$1LICENSE, PORTUGAL\$1DRIVERS\$1LICENSE, ROMANIA\$1DRIVERS\$1LICENSE, SLOVAKIA\$1DRIVERS\$1LICENSE, SLOVENIA\$1DRIVERS\$1LICENSE, SPAIN\$1DRIVERS\$1LICENSE, SWEDEN\$1DRIVERS\$1LICENSE, UK\$1DRIVERS\$1LICENSE |
| Informações pessoais: PII | Número de registro eleitoral | UK\$1ELECTORAL\$1ROLL\$1NUMBER |
| Informações pessoais: PII | Nome completo | NAME |
| Informações pessoais: PII | Coordenadas do sistema de posicionamento global (GPS) | LATITUDE\$1LONGITUDE |
| Informações pessoais: PII | Endereço postal | ADDRESS, BRAZIL\$1CEP\$1CODE |
| Informações pessoais: PII | Número de identificação nacional | BRAZIL\$1RG\$1NUMBER, FRANCE\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, GERMANY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, SPAIN\$1DNI\$1NUMBER |
| Informações pessoais: PII | Número do Seguro Nacional (NINO) | UK\$1NATIONAL\$1INSURANCE\$1NUMBER |
| Informações pessoais: PII | Número de passaporte | CANADA\$1PASSPORT\$1NUMBER, FRANCE\$1PASSPORT\$1NUMBER, GERMANY\$1PASSPORT\$1NUMBER, ITALY\$1PASSPORT\$1NUMBER, SPAIN\$1PASSPORT\$1NUMBER, UK\$1PASSPORT\$1NUMBER, USA\$1PASSPORT\$1NUMBER |
| Informações pessoais: PII | Número de residência permanente | CANADA\$1NATIONAL\$1IDENTIFICATION\$1NUMBER |
| Informações pessoais: PII | Número de telefone | BRAZIL\$1PHONE\$1NUMBER, FRANCE\$1PHONE\$1NUMBER, GERMANY\$1PHONE\$1NUMBER, ITALY\$1PHONE\$1NUMBER, PHONE\$1NUMBER (para o Canadá e os EUA), SPAIN\$1PHONE\$1NUMBER, UK\$1PHONE\$1NUMBER |
| Informações pessoais: PII | Número do Seguro Social (SIN) | CANADA\$1SOCIAL\$1INSURANCE\$1NUMBER |
| Informações pessoais: PII | Número da Previdência Social (SSN) | SPAIN\$1SOCIAL\$1SECURITY\$1NUMBER, USA\$1SOCIAL\$1SECURITY\$1NUMBER |
| Informações pessoais: PII | Identificação do contribuinte ou número de referência | AUSTRALIA\$1TAX\$1FILE\$1NUMBER, BRAZIL\$1CNPJ\$1NUMBER, BRAZIL\$1CPF\$1NUMBER, FRANCE\$1TAX\$1IDENTIFICATION\$1NUMBER, GERMANY\$1TAX\$1IDENTIFICATION\$1NUMBER, SPAIN\$1NIE\$1NUMBER, SPAIN\$1NIF\$1NUMBER, SPAIN\$1TAX\$1IDENTIFICATION\$1NUMBER, UK\$1TAX\$1IDENTIFICATION\$1NUMBER, USA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER |
| Informações pessoais: PII | Número de identificação de veículo (VIN) | VEHICLE\$1IDENTIFICATION\$1NUMBER |
# Executando trabalhos de descoberta de dados confidenciais
Com o Amazon Macie, é possível criar e executar trabalhos de descoberta de dados confidenciais para automatizar a descoberta, o registro e a emissão de relatórios de dados confidenciais nos buckets gerais do Amazon Simple Storage Service (Amazon S3). Um *trabalho de descoberta de dados confidenciais*, é uma série de tarefas automatizadas de processamento e análise que o Macie executa para detectar e relatar dados confidenciais em objetos do S3. Cada trabalho fornece relatórios detalhados dos dados confidenciais que o Macie encontra e da análise que o Macie realiza. Ao criar e executar trabalhos, você pode criar e manter uma visão abrangente dos dados armazenados pela organização no Amazon S3 e dos riscos de segurança ou conformidade desses dados.
Para ajudá-lo a atender e manter a conformidade com seus requisitos de segurança e privacidade de dados, o Macie oferece várias opções para agendar e definir o escopo de um trabalho. Você pode configurar um trabalho para ser executado somente uma vez para análise e avaliação sob demanda, ou de forma recorrente para análise, avaliação e monitoramento periódicos. Você também define a amplitude e a profundidade da análise de um trabalho, buckets do S3 específicos que você seleciona ou buckets que correspondem a critérios específicos. Como opção, você pode refinar o escopo dessa análise escolhendo opções adicionais. As opções incluem critérios personalizados que derivam das propriedades dos objetos do S3, como tags, prefixos e quando um objeto foi modificado pela última vez.
Para cada trabalho, você também especifica os tipos de dados confidenciais que deseja que o Macie detecte e relate. Você pode configurar um trabalho para usar [identificadores de dados gerenciados](managed-data-identifiers.md) fornecidos pelo Macie, [identificadores de dados personalizados](custom-data-identifiers.md) que você define ou uma combinação dos dois. Ao selecionar identificadores de dados gerenciados e personalizados específicos para um trabalho, você pode adaptar a análise para se concentrar em tipos específicos de dados confidenciais. Para ajustar a análise, você também pode configurar um trabalho para usar [listas de permissões](allow-lists.md). As listas de permissões especificam texto e padrões de texto que você deseja que o Macie ignore, geralmente exceções de dados confidenciais para cenários ou ambientes específicos de sua organização.
Cada trabalho produz registros dos dados confidenciais que o Macie descobre e da análise que ele realiza, *descobertas de dados confidenciais* e *resultados das descobertas de dados confidenciais* Uma *descoberta de dados confidenciais* é um relatório detalhado de dados confidenciais que o Macie descobriu em um objeto do S3. Um *resultado de descoberta de dados confidenciais* é um registro de detalhes sobre a análise de um objeto do S3. O Macie cria um resultado de descoberta de dados confidenciais para cada objeto que você configurar para que o trabalho analise. Isso inclui objetos nos quais o Macie não encontra dados confidenciais e, portanto, não produz descobertas de dados confidenciais, e objetos que o Macie não pode analisar devido a erros ou problemas. Cada tipo de registro segue um esquema padronizado, que pode ajudá-lo a consultar, monitorar e processar os registros para atender aos requisitos de segurança e conformidade.
**Topics**
+ [Opções de escopo para trabalhos](discovery-jobs-scope.md)
+ [Criar um trabalho](discovery-jobs-create.md)
+ [Analisar os resultados do trabalho](discovery-jobs-manage-results.md)
+ [Gerenciar trabalhos](discovery-jobs-manage.md)
+ [Monitorando trabalhos com o CloudWatch Logs](discovery-jobs-monitor-cw-logs.md)
+ [Previsão e monitoramento dos custos do trabalho](discovery-jobs-costs.md)
+ [Identificadores de dados gerenciados recomendados para trabalhos](discovery-jobs-mdis-recommended.md)
# Opções de escopo para trabalhos de descoberta de dados confidenciais
Com trabalhos de descoberta de dados confidenciais, você define o escopo da análise que o Amazon Macie realiza para detectar e relatar dados confidenciais nos buckets gerais do Amazon Simple Storage Service (Amazon S3). Para ajudá-lo a fazer isso, o Macie fornece várias opções específicas do trabalho que você pode escolher ao criar e configurar um trabalho.
**Topics**
+ [Buckets do S3 ou critérios de buckets](#discovery-jobs-scope-buckets)
+ [Profundidade da amostragem](#discovery-jobs-scope-sampling)
+ [Execução inicial: incluir objetos existentes do S3](#discovery-jobs-scope-objects)
+ [Critérios de objeto do S3](#discovery-jobs-scope-criteria)
## Buckets do S3 ou critérios de buckets
Ao criar um trabalho de descoberta de dados confidenciais, você especifica quais objetos de armazenamento de buckets do S3 deseja que o Macie analise quando o trabalho for executado. Você pode fazer isso de duas maneiras: selecionando buckets do S3 específicos do seu inventário ou especificando critérios personalizados que derivam das propriedades dos buckets do S3.
**Selecionar buckets do S3 específicos**
Com essa opção, você seleciona explicitamente cada bucket do S3 que deseja analisar. Em seguida, quando o trabalho é executado, o Macie analisa objetos somente nos buckets que você selecionar. Se você configurar uma tarefa para ser executada periodicamente diariamente, semanalmente ou mensalmente, o Macie analisará objetos nesses mesmos compartimentos sempre que a tarefa for executada.
Essa configuração é útil nos casos em que você deseja realizar uma análise direcionada de um conjunto específico de dados. Ela oferece um controle preciso e previsível sobre quais buckets um trabalho analisa.
**Especificar critérios de bucket do S3**
Com essa opção, você define critérios de runtime que determinam quais buckets do S3 analisar. Os critérios consistem em uma ou mais condições derivadas das propriedades do bucket, como configurações de acesso público e tags. Quando o trabalho é executado, o Macie identifica os compartimentos que correspondem aos seus critérios e, em seguida, analisa os objetos nesses compartimentos. Se você configurar um trabalho para ser executado periodicamente, o Macie fará isso toda vez que o trabalho for executado. Consequentemente, o Macie pode analisar objetos em diferentes compartimentos cada vez que o trabalho é executado, dependendo das alterações no inventário do compartimento e dos critérios definidos por você.
Essa configuração é útil nos casos em que você deseja que o escopo da análise se adapte dinamicamente às mudanças no inventário do bucket. Se você configurar um trabalho para usar critérios de bucket e executá-lo periodicamente, o Macie identificará automaticamente novos buckets que correspondam aos critérios e inspecionará esses buckets em busca de dados confidenciais.
Os tópicos desta seção fornecem detalhes adicionais sobre cada opção.
**Topics**
+ [Selecionando buckets do Amazon S3](#discovery-jobs-scope-buckets-select)
+ [Especificando critérios de bucket do S3](#discovery-jobs-scope-buckets-criteria)
### Selecionando buckets do Amazon S3
Se você optar por selecionar explicitamente cada bucket do S3 que deseja que um trabalho analise, o Macie fornece um inventário de seus buckets de uso geral no momento. Região da AWS Em seguida, você pode analisar o inventário e selecionar os buckets desejados. Se você for o administrador do Macie de uma organização, seu inventário incluirá buckets que as contas de membros possuem. Você pode selecionar até mil desses buckets, abrangendo até mil contas.
Para ajudar a fazer suas seleções de bucket, o inventário fornece detalhes e estatísticas para cada bucket. Isso inclui a quantidade de dados que um trabalho pode analisar em cada bucket. *Objetos classificáveis* são objetos que usam uma [classe de armazenamento compatível com o Amazon S3](discovery-supported-storage.md#discovery-supported-s3-classes) e têm uma extensão de nome de arquivo para um [arquivo ou formato de armazenamento compatível](discovery-supported-storage.md#discovery-supported-formats). O inventário também indica se você configurou algum trabalho existente para analisar objetos em um bucket. Esses detalhes podem ajudá-lo a estimar a amplitude de um trabalho e refinar suas seleções de bucket.
Na tabela de inventário:
+ **Confidencialidade**: especifica a pontuação de confidencialidade atual do bucket, se a [descoberta automatizada de dados confidenciais](discovery-asdd.md) estiver habilitada.
+ **Objetos classificáveis**: especifica o número total de objetos que o trabalho pode analisar no bucket.
+ **Tamanho classificável**: especifica o tamanho total de armazenamento de todos os objetos que o trabalho pode analisar no bucket.
Se o bucket armazenar objetos compactados, esse valor não refletirá o tamanho real desses objetos depois que eles forem descompactados. Se o versionamento estiver habilitado para o bucket, esse valor será baseado no tamanho de armazenamento da versão mais recente de cada objeto no bucket.
+ **Monitorado por trabalho**: especifica se você configurou algum trabalho existente para analisar periodicamente objetos em um bucket diariamente, semanalmente ou mensalmente.
Se o valor desse campo for **Sim**, o bucket será incluído explicitamente em um trabalho periódico ou corresponderá aos critérios de um trabalho periódico nas últimas 24 horas. Além disso, o status de pelo menos um desses trabalhos não é *Cancelado*. Macie atualiza esses dados diariamente.
+ **Última execução do trabalho**: se você tiver configurado algum trabalho periódico ou único para analisar objetos em um bucket, esse campo especificará a data e a hora mais recentes em que um desses trabalhos começou a ser executado. Caso contrário, um traço (—) aparecerá nesse campo.
Se o ícone de informações (![\[The information icon, which is a blue circle that has a lowercase letter i in it.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/icon-info-blue.png)) aparecer ao lado do nome de qualquer bucket, recomendamos que você recupere os metadados mais recentes do bucket do Amazon S3. Para fazer isso, selecione atualizar (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/btn-refresh-data.png)) acima da tabela. O ícone de informações indica que um bucket foi criado nas últimas 24 horas, possivelmente após a última vez que o Macie recuperou os metadados do bucket e do objeto do Amazon S3 como parte do ciclo diário de atualização. Para obter mais informações, consulte [Atualizações de dados](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh).
Se o ícone de aviso (![\[The warning icon, which is a red triangle that has an exclamation point in it.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/icon-warning-red.png)) for exibido ao lado do nome do bucket, o Macie não poderá acessar o bucket ou os objetos do bucket. Isso significa que o trabalho não poderá analisar objetos no bucket. Para investigar o problema, revise as configurações de políticas e permissões do bucket no Amazon S3. Por exemplo, o bucket pode ter uma política restritiva de bucket. Para obter mais informações, consulte [Permitindo que o Amazon Macie acesse buckets e objetos do S3](monitoring-restrictive-s3-buckets.md).
Para personalizar sua visualização e encontrar compartimentos específicos com mais facilidade, você pode filtrar a tabela inserindo critérios de filtro na caixa de filtro. A tabela a seguir oferece alguns exemplos.
| Para mostrar todos os buckets que… | Aplique este filtro… |
| --- | --- |
| São propriedade de uma conta específica | ID da conta = the 12-digit ID for the account |
| São acessíveis ao público | Permissão efetiva = Pública |
| Não estão incluídos em nenhum trabalho periódico | Monitorado ativamente por trabalho = Falso |
| Não estão incluídos em nenhum trabalho periódico | Definido no trabalho = Falso |
| Têm uma chave de tag especifica\$1 | Chave de tag = the tag key |
| Têm um valor de tag específico\$1 | Valor da tag = the tag value |
| Armazenar objetos não criptografados (ou objetos que usam a criptografia do lado do cliente) | Contagem de objetos por criptografia é Sem criptografia e De = 1 |
As chaves e os valores de tags diferenciam maiúsculas de minúsculas. Além disso, você precisa especificar um valor completo e válido. Você não pode especificar valores parciais nem usar caracteres curinga.
Para exibir mais informações de um bucket, selecione o nome do bucket e consulte o painel de detalhes. No painel, você também pode:
+ Dinamizar e fazer uma busca detalhada em determinados campos escolhendo uma lupa para o campo. Escolha ![\[The zoom in icon, which is a magnifying glass that has a plus sign in it.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/icon-magnifying-glass-plus-sign.png) mostrar compartimentos com o mesmo valor. Escolha ![\[The zoom out icon, which is a magnifying glass that has a minus sign in it.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/icon-magnifying-glass-minus-sign.png) mostrar compartimentos com outros valores.
+ Recupere os metadados mais recentes dos objetos no bucket. Isso pode ser útil se você criou um bucket recentemente ou fez alterações significativas nos objetos do bucket nas últimas 24 horas. Para recuperar os dados, selecione atualizar (![\[The refresh button, which is a button that displays an empty, dark gray circle with an arrow.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/btn-refresh-object-data.png)) na seção **Estatísticas do objeto** do painel. Esta opção está disponível para buckets que armazenam trinta mil objetos ou menos.
Em certos casos, o painel pode não incluir todos os detalhes de um bucket. Isso pode ocorrer se você armazenar mais de 10.000 buckets no Amazon S3. O Macie mantém dados completos de inventário de apenas 10.000 compartimentos de uma conta — os 10.000 compartimentos que foram criados ou alterados mais recentemente. No entanto, você pode configurar um trabalho para analisar objetos em buckets que excedam essa cota. Para analisar detalhes adicionais desses buckets, use o Amazon S3.
### Especificando critérios de bucket do S3
Se você optar por especificar critérios de bucket para um trabalho, o Macie fornecerá opções para definir e testar os critérios. Esses são critérios de runtime que determinam quais buckets do S3 armazenam objetos para serem analisados. Sempre que o trabalho é executado, o Macie identifica os buckets gerais que correspondem aos seus critérios e, em seguida, analisa os objetos nos buckets apropriados. Se você for o administrador do Macie em uma organização, isso inclui buckets que as contas de seus membros possuem.
#### Definir critérios de bucket
Os critérios de bucket consistem em uma ou mais condições que derivam das propriedades dos buckets do S3. Cada condição, também chamada de *critério*, consiste em três partes:
+ Um campo baseado em propriedades, como o **ID da conta** ou **Permissão efetiva**.
+ Um operador, *iguala* (`eq`) ou *não iguala* (`neq`).
+ Um ou mais valores.
+ Uma instrução de inclusão ou exclusão que indica se você deseja analisar (*incluir*) ou ignorar (*excluir*) buckets que correspondam à condição.
Se você especificar mais de um valor para um campo, o Macie usa a lógica OR para unir os valores. Se você especificar mais de uma condição para os critérios, o Macie usa a lógica AND para unir as condições. Além disso, as condições de exclusão têm precedência sobre as condições de inclusão. Por exemplo, se você incluir buckets acessíveis ao público e excluir buckets com tags específicas, o trabalho analisará os objetos em qualquer bucket que esteja acessível ao público, a menos que o bucket tenha uma das tags especificadas.
Você pode definir condições que derivam de qualquer um dos seguintes campos baseados em propriedades para buckets do S3.
**ID da conta**
O identificador exclusivo (ID) do proprietário Conta da AWS de um bucket. Para especificar vários valores para esse campo, insira o ID de cada conta e separe cada entrada com uma vírgula.
Observe que o Macie não é compatível com o uso de caracteres curinga ou valores parciais para esse campo.
**Nome do bucket**
O nome de um bucket. Esse campo está correlacionado ao campo **Nome**, não ao campo **Nome do recurso da Amazon**, no Amazon S3. Para especificar vários valores para esse campo, insira o nome de cada bucket e separe cada entrada com uma vírgula.
Observe que os valores diferenciam entre maiúsculas e minúsculas. Além disso, o Macie não é compatível com o uso de caracteres curinga ou valores parciais para esse campo.
**Permissões efetivas**
Especifica se um bucket é publicamente acessível. Você pode escolher um ou mais dos seguintes valores para esse campo:
+ **Não público**: o público em geral não tem acesso de leitura ou gravação ao bucket.
+ **Público**: o público em geral tem acesso de leitura ou gravação ao bucket.
+ **Desconhecido**: o Macie não conseguiu avaliar as configurações de acesso público do bucket. Um problema ou cota impediu que Macie recuperasse e avaliasse os dados necessários.
Para determinar se um bucket é acessível ao público, o Macie analisa uma combinação de configurações em nível de conta e de bucket para o bucket: as configurações de bloqueio de acesso público da conta; as configurações de bloqueio de acesso público do bucket; a política do bucket e a lista de controle de acesso (ACL) do bucket. Para obter informações sobre essas configurações, consulte [Controle de acesso](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html) e [bloqueio do acesso público ao seu armazenamento do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html) no Guia do *usuário do Amazon Simple Storage Service*.
**Acesso compartilhado**
Especifica se um bucket é compartilhado com outro Conta da AWS, com uma identidade de acesso de CloudFront origem da Amazon (OAI) ou com um controle de acesso de CloudFront origem (OAC). Você pode escolher um ou mais dos seguintes valores para esse campo:
+ **Externo** — O bucket é compartilhado com um ou mais dos itens a seguir ou com qualquer combinação dos seguintes: um CloudFront OAI, um CloudFront OAC ou uma conta externa (que não faz parte da) sua organização.
+ **Interno** — O bucket é compartilhado com uma ou mais contas internas à (parte da) sua organização. Não é compartilhado com um CloudFront OAI ou OAC.
+ **Não compartilhado** — O bucket não é compartilhado com outra conta, um CloudFront OAI ou um CloudFront OAC.
+ **Desconhecido** — o Macie não conseguiu avaliar as configurações de acesso compartilhado do bucket. Um problema ou cota impediu que Macie recuperasse e avaliasse os dados necessários.
Para determinar se um bucket é compartilhado com outro Conta da AWS, o Macie analisa a política do bucket e a ACL do bucket. Além disso, uma *organização* é definida como um conjunto de contas do Macie que são gerenciadas centralmente como um grupo de contas relacionadas por meio de AWS Organizations ou por convite do Macie. Para obter informações sobre as opções do Amazon S3 para compartilhar buckets, consulte [Controle de acesso no Guia do usuário](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html) do *Amazon Simple Storage Service*.
Para determinar se um bucket é compartilhado com um CloudFront OAI ou OAC, o Macie analisa a política de bucket para o bucket. Um CloudFront OAI ou OAC permite que os usuários acessem os objetos de um bucket por meio de uma ou mais distribuições especificadas CloudFront. Para obter informações sobre CloudFront OAIs e OACs, consulte [Restringir o acesso a uma origem do Amazon S3](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) no * CloudFront Amazon Developer Guide*.
**Tags**
As tags associadas a um bucket. As tags são rótulos que você pode definir e atribuir a determinados tipos de AWS recursos, incluindo buckets do S3. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. Para obter informações sobre a marcação de buckets do S3, consulte [Usando tags de buckets do S3 para alocação de custos](https://docs.aws.amazon.com/AmazonS3/latest/userguide/CostAllocTagging.html) no *Guia do usuário do Amazon Simple Storage Service*.
Para um trabalho de descoberta de dados confidenciais, você pode usar esse tipo de condição para incluir ou excluir buckets que tenham uma chave de tag específica, um valor de tag específico ou uma chave e um valor de tag específicos (como um par). Por exemplo:
+ Se você especificar **Project** como uma chave de tag e não especificar nenhum valor de tag para uma condição, qualquer bucket que tenha a chave de tag *Project* corresponderá aos critérios da condição, independentemente dos valores de tag associados a essa chave de tag.
+ Se você especificar **Development** e **Test** como valores de tag e não especificar nenhuma chave de tag para uma condição, qualquer bucket que tenha o valor de tag **Development** ou **Test** corresponderá aos critérios da condição, independentemente das chaves de tag associadas a esses valores de tag.
As chaves e valores das tags diferenciam maiúsculas de minúsculas. Além disso, o Macie não é compatível com o uso de caracteres curinga ou valores parciais em condições de tag.
Para especificar várias chaves de tag em uma condição, insira cada chave de tag no campo **Chave** e separe cada entrada com uma vírgula. Para especificar vários valores de tag em uma condição, insira cada valor de tag no campo **Valor** e separe cada entrada com uma vírgula.
Se você armazena mais de 10.000 buckets no Amazon S3, observe que o Macie não mantém dados de tag para todos os buckets. O Macie mantém dados completos de inventário de apenas 10.000 compartimentos de uma conta — os 10.000 compartimentos que foram criados ou alterados mais recentemente. Para todos os outros compartimentos, quaisquer chaves e valores de tag associados não são incluídos nos dados de inventário. Isso significa que os buckets não corresponderão a chaves ou valores de tag específicos em uma condição que usa o operador *equals ()`eq`.* Se você especificar um operador *not equals* (`neq`) para uma condição baseada em tags, isso significa que os buckets corresponderão à condição.
#### Critérios de teste do bucket
Ao definir os critérios do bucket, você pode testar e refinar os critérios pré-visualizando os resultados. Para fazer isso, expanda a seção **Visualizar os resultados dos critérios** que é exibida abaixo dos critérios no console. Esta seção exibe uma tabela de até 25 compartimentos de uso geral que atualmente atendem aos critérios.
A tabela também fornece informações sobre a quantidade de dados que o trabalho pode analisar em cada bucket: o*bjetos classificáveis* são objetos que usam uma [classe de armazenamento compatível com o Amazon S3](discovery-supported-storage.md#discovery-supported-s3-classes) e têm uma extensão de nome de arquivo para um [arquivo ou formato de armazenamento compatível](discovery-supported-storage.md#discovery-supported-formats). A tabela também indica se você configurou algum trabalho existente para analisar periodicamente objetos em um bucket.
Na tabela:
+ **Confidencialidade**: especifica a pontuação de confidencialidade atual do bucket, se a [descoberta automatizada de dados confidenciais](discovery-asdd.md) estiver habilitada.
+ **Objetos classificáveis**: especifica o número total de objetos que o trabalho pode analisar no bucket.
+ **Tamanho classificável**: especifica o tamanho total de armazenamento de todos os objetos que o trabalho pode analisar no bucket.
Se o bucket armazenar objetos compactados, esse valor não refletirá o tamanho real desses objetos depois que eles forem descompactados. Se o versionamento estiver habilitado para o bucket, esse valor será baseado no tamanho de armazenamento da versão mais recente de cada objeto no bucket.
+ **Monitorado por trabalho**: especifica se você configurou algum trabalho existente para analisar periodicamente objetos em um bucket diariamente, semanalmente ou mensalmente.
Se o valor desse campo for **Sim**, o bucket será incluído explicitamente em um trabalho periódico ou corresponderá aos critérios de um trabalho periódico nas últimas 24 horas. Além disso, o status de pelo menos um desses trabalhos não é *Cancelado*. Macie atualiza esses dados diariamente.
Se o ícone de aviso (![\[The warning icon, which is a red triangle that has an exclamation point in it.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/icon-warning-red.png)) for exibido ao lado do nome do bucket, o Macie não poderá acessar o bucket ou os objetos do bucket. Isso significa que o trabalho não poderá analisar objetos no bucket. Para investigar o problema, revise as configurações de políticas e permissões do bucket no Amazon S3. Por exemplo, o bucket pode ter uma política restritiva de bucket. Para obter mais informações, consulte [Permitindo que o Amazon Macie acesse buckets e objetos do S3](monitoring-restrictive-s3-buckets.md).
Para refinar os critérios do bucket para o trabalho, use as opções de filtro para adicionar, alterar ou remover condições dos critérios. Em seguida, o Macie atualiza a tabela para refletir suas alterações.
## Profundidade da amostragem
Com essa opção, você especifica a porcentagem de objetos elegíveis do S3 que deseja que um trabalho de descoberta de dados confidenciais analise. Objetos elegíveis são objetos que: usam uma [classe de armazenamento compatível com o Amazon S3](discovery-supported-storage.md#discovery-supported-s3-classes), têm uma extensão de nome de arquivo para um [arquivo ou formato de armazenamento compatível](discovery-supported-storage.md#discovery-supported-formats) e correspondem a outros critérios que você especifica para o trabalho.
Se esse valor for menor que 100%, o Macie selecionará os objetos elegíveis a serem analisados aleatoriamente, até a porcentagem especificada, e analisará todos os dados nesses objetos. Por exemplo, se você configurar um trabalho para analisar 10.000 objetos e especificar uma profundidade de amostragem de 20%, o Macie analisará aproximadamente 2.000 objetos elegíveis, selecionados aleatoriamente quando o trabalho for executado.
Reduzir a profundidade da amostragem de um trabalho pode reduzir os custos e a duração de um trabalho. É útil nos casos em que os dados nos objetos são altamente consistentes e você deseja determinar se um bucket do S3, em vez de cada objeto, armazena dados confidenciais.
Observe que essa opção controla a porcentagem de *objetos* que são analisados, não a porcentagem de *bytes* que são analisados. Se você inserir uma profundidade de amostragem menor que 100%, o Macie analisará todos os dados em cada objeto selecionado, não a porcentagem dos dados em cada objeto selecionado.
## Execução inicial: incluir objetos existentes do S3
Você pode usar trabalhos de descoberta de dados confidenciais para realizar análises contínuas e incrementais de objetos nos buckets do S3. Se você configurar um trabalho para ser executado periodicamente, o Macie fará isso automaticamente. Cada execução analisa apenas os objetos criados ou alterados após a execução anterior. Com a opção **Incluir objetos existentes**, você escolhe o ponto de partida para o primeiro incremento:
+ Para analisar todos os objetos existentes imediatamente após concluir a criação da tarefa, marque a caixa de seleção dessa opção.
+ Para aguardar e analisar somente os objetos criados ou alterados após a criação do trabalho e antes da primeira execução, desmarque a caixa de seleção dessa opção.
Desmarcar essa caixa de seleção é útil nos casos em que você já analisou os dados e deseja continuar a analisá-los periodicamente. Por exemplo, se já usou outro serviço ou aplicativo para classificar dados e recentemente começou a usar o Macie, você pode usar essa opção para garantir a descoberta e a classificação contínuas de seus dados sem incorrer em custos desnecessários ou duplicar os dados de classificação.
Cada execução subsequente de um trabalho periódico analisa automaticamente apenas os objetos criados ou alterados após a execução anterior.
Para trabalhos periódicos e únicos, você também pode configurar um trabalho para analisar apenas os objetos criados ou alterados antes ou depois de um determinado período ou durante um determinado intervalo de tempo. Para fazer isso, adicione critérios de objeto que usem a data da última modificação dos objetos.
## Critérios de objeto do S3
Para ajustar o escopo de um trabalho de descoberta de dados confidenciais, você pode definir critérios personalizados para objetos do S3. O Macie usa esses critérios para determinar quais objetos analisar (*incluir*) ou ignorar (*excluir*) quando o trabalho é executado. Os critérios consistem em uma ou mais condições que derivam das propriedades dos buckets do S3. As condições se aplicam aos objetos em todos os buckets do S3 que estão incluídos na análise. Se um bucket armazenar várias versões de um objeto, as condições se aplicarão à versão mais recente do objeto.
Se você definir várias condições como critérios do objeto, o Macie usará a lógica AND para unir as condições. Além disso, as condições de exclusão têm precedência sobre as condições de inclusão. Por exemplo, se você incluir objetos com a extensão de nome de arquivo .pdf e excluir objetos maiores que 5 MB, o trabalho analisará qualquer objeto que tenha a extensão de nome de arquivo .pdf, a menos que o objeto seja maior que 5 MB.
Você pode definir condições que derivam de qualquer um dos seguintes campos baseados em propriedades para buckets do S3.
**Extensões do nome do arquivo**
Isso se correlaciona com a extensão do nome do arquivo de um objeto do Amazon S3. Você pode usar esse tipo de condição para incluir ou excluir objetos com base no tipo de arquivo. Para fazer isso para vários tipos de arquivos, insira a extensão de nome de arquivo para cada tipo e separe cada entrada com uma vírgula, como, por exemplo: **docx,pdf,xlsx**. Se você inserir várias extensões de nome de arquivo como valores para uma condição, o Macie usa a lógica OR para unir os valores.
Observe que os valores diferenciam entre maiúsculas e minúsculas. Além disso, o Macie não é compatível com o uso de valores parciais ou caracteres curinga nesse tipo de condição.
Para obter informações sobre os tipos de arquivo que o Macie pode analisar, consulte [Formatos de arquivo e armazenamento suportados](discovery-supported-storage.md#discovery-supported-formats).
**Última modificação**
Isso se correlaciona com o campo **Última modificação** do Amazon S3. No Amazon S3, esse campo armazena a data e a hora em que um objeto do S3 foi criado ou alterado pela última vez, o que for mais recente.
Para um trabalho de descoberta de dados confidenciais, essa condição pode ser uma data específica, uma data e uma hora específicas ou um intervalo de tempo exclusivo:
+ Para analisar objetos que foram modificados pela última vez após uma determinada data ou data e hora, insira os valores nos campos **De**.
+ Para analisar objetos que foram modificados pela última vez antes de uma determinada data ou data e hora, insira os valores nos campos **Até**.
+ Para analisar objetos que foram modificados pela última vez durante um determinado intervalo de tempo, use os campos **De** para inserir os valores da primeira data ou data e hora no intervalo de tempo. Use os campos **Até** para inserir os valores da última data ou data e hora no intervalo de tempo.
+ Para analisar objetos que foram modificados pela última vez a qualquer momento durante um determinado dia, insira a data no campo de data **De**. Insira a data do dia seguinte no campo de data **Até**. Em seguida, verifique se os dois campos de hora estão em branco. (O Macie trata um campo de tempo em branco como `00:00:00`.) Por exemplo, para analisar objetos que foram alterados em 9 de agosto de 2023, insira **2023/08/09** no campo de data **De**, insira **2023/08/10** no campo da data **Até** e não insira um valor em nenhum dos campos de hora.
Insira qualquer valor de tempo no Tempo Universal Coordenado (UTC) e use a notação de 24 horas.
**Prefixo**
Isso se correlaciona com o campo **Chave** do Amazon S3. No Amazon S3, esse campo armazena o nome de um objeto do S3, incluindo o prefixo do objeto. Um *prefixo* é semelhante a um caminho de diretório dentro de um bucket. Ele permite agrupar objetos semelhantes em um bucket, da mesma forma que você pode armazenar arquivos semelhantes em uma pasta em um sistema de arquivos. Para obter informações sobre prefixos de objeto e pastas no Amazon S3, consulte [Organizando objetos no console do Amazon S3 usando pastas](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-folders.html) no *Guia do usuário do Amazon Simple Storage Service*.
Você pode usar esse tipo de condição para incluir ou excluir objetos cujas chaves (nomes) comecem com um determinado valor. Por exemplo, para excluir todos os objetos cuja chave começa com *AWSLogs*, insira **AWSLogs** como valor para uma condição de **prefixo** e escolha **Excluir**.
Se você inserir vários prefixos como valores para uma condição, o Macie usa a lógica OR para unir os valores. Por exemplo, se você inserir **AWSLogs1** e **AWSLogs2** como valores para uma condição, qualquer objeto cuja chave comece com *AWSLogs1*ou *AWSLogs2*corresponda aos critérios da condição.
Ao inserir um valor para uma condição de **Prefixo**, lembre-se do seguinte:
+ Os valores diferenciam maiúsculas de minúsculas.
+ O Macie não é compatível com o uso de caracteres curinga nesses valores.
+ No Amazon S3, a chave de um objeto não inclui o nome do bucket que armazena o objeto. Por esse motivo, não especifique nomes de buckets nesses valores.
+ Se um prefixo incluir um delimitador, inclua o delimitador no valor. Por exemplo, insira **AWSLogs/eventlogs** para definir uma condição para todos os objetos cuja chave começa com *AWSLogs/eventlogs.* O Macie é compatível com o delimitador padrão do Amazon S3, que é uma barra (/), e delimitadores personalizados.
Observe, também, que um objeto corresponde aos critérios de uma condição somente se a chave do objeto corresponder exatamente ao valor inserido, começando com o primeiro caractere na chave do objeto. Além disso, o Macie aplica uma condição ao valor completo da **chave** de um objeto, incluindo o nome do arquivo do objeto.
Por exemplo, se a chave de um objeto for *AWSLogs/eventlogs/testlog.csv* e você inserir qualquer um dos seguintes valores para uma condição, o objeto corresponderá aos critérios da condição:
+ **AWSLogs**
+ **AWSLogs/event**
+ **AWSLogs/eventlogs/**
+ **AWSLogs/eventlogs/testlog**
+ **AWSLogs/eventlogs/testlog.csv**
*No entanto, se você inserir**eventlogs**, o objeto não corresponde aos critérios — o valor da condição não inclui a primeira parte da chave,AWSLogs/.* Da mesma forma, se você inserir **awslogs**, o objeto não corresponderá aos critérios devido às diferenças de maiúsculas e minúsculas.
**Tamanho de armazenamento**
Isso se correlaciona com o campo **Tamanho** do Amazon S3. No Amazon S3, esse campo indica o tamanho total de armazenamento de um objeto do S3. Se um objeto for um arquivo compactado, esse valor não refletirá o tamanho real do arquivo depois que o arquivo for descompactado.
Você pode usar esse tipo de condição para incluir ou excluir objetos menores que um determinado tamanho, maiores que um determinado tamanho ou que estejam dentro de uma determinada faixa de tamanho. O Macie aplica esse tipo de condição a todos os tipos de objetos, incluindo arquivos compactados ou arquivados e os arquivos que eles contêm. Para obter informações sobre restrições baseadas em tamanho para cada formato compatível, consulte [Cotas para o Macie](macie-quotas.md).
**Tags**
As tags associadas a um bucket. As tags são rótulos que você pode definir e atribuir a determinados tipos de AWS recursos, incluindo objetos do S3. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. Para obter informações sobre a marcação de objetos do S3, consulte [Categorizando o armazenamento usando tags](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-tagging.html) no *Guia do usuário do Amazon Simple Storage Service*.
Para um trabalho de descoberta de dados confidenciais, você pode usar esse tipo de condição para incluir ou excluir objetos que tenham uma tag específica. Isso pode ser uma chave de tag específica ou uma chave e valor de tag específicos (como um par). Se você inserir vários prefixos como valores para uma condição, o Macie usa a lógica OR para unir os valores. Por exemplo, se você especificar **Project1** e **Project2** como chaves de tag para uma condição, qualquer objeto que tenha a chave de tag *Project1* ou *Project2* corresponderá aos critérios da condição.
Observe que as chaves e os valores de tags diferenciam maiúsculas de minúsculas. Além disso, o Macie não é compatível com o uso de valores parciais ou caracteres curinga nesse tipo de condição.
# Criar um trabalho de descoberta de dados confidenciais
Com o Amazon Macie, é possível criar e executar trabalhos de descoberta de dados confidenciais para automatizar a descoberta, o registro e a emissão de relatórios de dados confidenciais nos buckets gerais do Amazon Simple Storage Service (Amazon S3). Um *trabalho de descoberta de dados confidenciais* é uma série de tarefas automatizadas de processamento e análise que o Macie executa para detectar e relatar dados confidenciais em objetos do Amazon S3. À medida que a análise avança, o Macie fornece relatórios detalhados dos dados confidenciais encontrados e da análise que realiza: *descobertas de dados confidenciais, que relatam dados confidenciais* que Macie encontra em objetos individuais do S3, e *resultados confidenciais da descoberta de dados*, que registram detalhes sobre a análise de objetos individuais do S3. Para obter mais informações, consulte [Analisar os resultados do trabalho](discovery-jobs-manage-results.md).
Ao criar um trabalho, você começa especificando quais buckets do S3 armazenam objetos que você deseja que o Macie analise quando o trabalho é executado, buckets específicos que você seleciona ou buckets que correspondem a critérios específicos. Em seguida, você especifica com que frequência executar o trabalho, uma vez ou periodicamente, diariamente, semanalmente ou mensalmente. Você também pode escolher opções para refinar o escopo da análise do trabalho. As opções incluem critérios personalizados que derivam das propriedades dos objetos do S3, como tags, prefixos e quando um objeto foi modificado pela última vez.
Depois de definir o cronograma e o escopo do trabalho, você especifica quais identificadores de dados gerenciados e identificadores de dados personalizados usar:
+ Um *identificador de dados gerenciados* é um conjunto de critérios e técnicas incorporados projetados para detectar um tipo específico de dados confidenciais, por exemplo, números de cartão de crédito, chaves de acesso AWS secretas ou números de passaportes de um determinado país ou região. Esses identificadores podem detectar uma lista grande e crescente de tipos de dados confidenciais para muitos países e regiões, incluindo vários tipos de dados de credenciais, informações financeiras e informações de identificação pessoal (PII). Para obter mais informações, consulte [Usar identificadores de dados gerenciados](managed-data-identifiers.md).
+ O *identificador de dados personalizado* é um conjunto de critérios que você define para detectar dados confidenciais. Com identificadores de dados personalizados, você pode detectar dados confidenciais que refletem cenários específicos, propriedade intelectual ou dados proprietários de sua organização, por exemplo, funcionários IDs, números de contas de clientes ou classificações internas de dados. Você pode complementar os identificadores de dados gerenciados fornecidos pelo Macie. Para obter mais informações, consulte [Criar identificadores de dados personalizados](custom-data-identifiers.md).
Em seguida, opcionalmente, você seleciona as listas de permissões a usar. No Macie, uma *lista de permissões* especifica um texto ou um padrão de texto a ser ignorado. Normalmente, essas são exceções de dados confidenciais para seus cenários ou ambientes específicos; por exemplo, nomes ou números de telefone públicos da sua organização ou dados de amostra que a organização usa para testes. Para obter mais informações, consulte [Como definir exceções de dados sigilosos com listas de permissões](allow-lists.md).
Ao terminar de escolher essas opções, você estará pronto para inserir as configurações gerais do trabalho, como o nome e a descrição do trabalho. Em seguida, você poderá revisar e salvar o trabalho.
**Topics**
+ [Antes de começar: configure os principais recursos](#discovery-jobs-create-prerequisites)
+ [Etapa 1: Escolher buckets do S3](#discovery-jobs-create-step1)
+ [Etapa 2: revisar as seleções ou critérios de bucket do S3](#discovery-jobs-create-step2)
+ [Etapa 3: Definir o cronograma e refinar o escopo](#discovery-jobs-create-step3)
+ [Etapa 4: selecionar identificadores de dados gerenciados](#discovery-jobs-create-step4)
+ [Etapa 4: selecionar identificadores de dados gerenciados](#discovery-jobs-create-step5)
+ [Etapa 6: selecionar listas de permissões](#discovery-jobs-create-step6)
+ [Etapa 7: inserir configurações gerais](#discovery-jobs-create-step7)
+ [Etapa 8: Analisar e criar](#discovery-jobs-create-step8)
## Antes de começar: configure os principais recursos
Antes de criar um trabalho, é uma boa ideia seguir as seguintes etapas:
+ Verifique se você configurou um repositório para os resultados da descoberta de dados confidenciais. Para fazer isso, escolha **Resultados da descoberta** no painel de navegação no console do Amazon Macie. Para saber mais sobre essas configurações, consulte [Armazenamento e retenção de resultados de descoberta de dados confidenciais](discovery-results-repository-s3.md).
+ Crie os identificadores de dados personalizados que você deseja que o trabalho use. Para saber como, consulte [Criar identificadores de dados personalizados](custom-data-identifiers.md).
+ Crie todas as listas de permissões que você deseja que o trabalho use. Para saber como, consulte [Como definir exceções de dados sigilosos com listas de permissões](allow-lists.md).
+ Se você quiser analisar objetos do S3 criptografados, certifique-se de que o Macie possa acessar e usar as chaves de criptografia apropriadas. Para obter mais informações, consulte [Analisar objetos criptografados do S3](discovery-supported-encryption-types.md).
+ Se você quiser analisar objetos em um bucket do S3 que tenha uma política restritiva de bucket, certifique-se de que o Macie tenha permissão para acessar os objetos. Para obter mais informações, consulte [Permitindo que o Amazon Macie acesse buckets e objetos do S3](monitoring-restrictive-s3-buckets.md).
Se você fizer essas coisas antes de criar um trabalho, você simplificará a criação do trabalho e ajudar a garantir que o trabalho possa analisar os dados desejados.
## Etapa 1: Escolher buckets do S3
Quando você cria um trabalho, a primeira etapa é especificar quais buckets do S3 armazenam objetos que você deseja que o Macie analise quando o trabalho for executado. Para esta etapa, você tem duas opções:
+ **Selecionar buckets específicos**: com essa opção, você seleciona explicitamente cada bucket do S3 a ser analisado. Em seguida, quando o trabalho é executado, o Macie analisa objetos somente nos buckets que você selecionar.
+ **Especificar critérios de bucket**: com essa opção, você define critérios de runtime que determinam quais buckets do S3 analisar. Os critérios consistem em uma ou mais condições derivadas das propriedades do bucket. Em seguida, quando o trabalho é executado, o Macie identifica os buckets que correspondem aos seus critérios e analisa os objetos nesses buckets.
Para obter informações detalhadas sobre essas opções, consulte [Opções de escopo para trabalhos](discovery-jobs-scope.md).
As seções a seguir fornecem instruções para escolher e configurar cada opção. Escolha a seção da opção desejada.
### Selecione buckets específicos
Se você optar por selecionar explicitamente cada bucket do S3 para analisar, o Macie fornecerá um inventário de seus buckets de uso geral no atual. Região da AWS Em seguida, você pode usar esse inventário para selecionar um ou mais buckets para o trabalho. Para saber mais sobre esse inventário, consulte [Selecionando buckets do Amazon S3](discovery-jobs-scope.md#discovery-jobs-scope-buckets-select).
Se você for o administrador do Macie de uma organização, o inventário incluirá buckets que são de propriedade de contas de membros em sua organização. Você pode selecionar até mil desses buckets, abrangendo até mil contas.
**Para selecionar buckets do S3 específicos para o trabalho**
1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. No painel de navegação, escolha **Tarefas**.
1. Escolha **Criar trabalho**.
1. Na página **Escolher buckets do S3**, escolha **Selecionar buckets específicos**. O Macie exibe uma tabela de todos os buckets gerais da sua conta na Região atual.
1. Na seção **Selecionar buckets do S3**, escolha opcionalmente atualizar (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/btn-refresh-data.png)) para recuperar os metadados mais recentes do bucket do Amazon S3.
Se o ícone de informações (![\[The information icon, which is a blue circle that has a lowercase letter i in it.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/icon-info-blue.png)) aparecer ao lado de qualquer nome de bucket, recomendamos que você faça isso. Esse ícone indica que um bucket foi criado nas últimas 24 horas, possivelmente após a última vez que Macie recuperou os metadados do bucket e do objeto do Amazon S3 como parte do [ciclo diário de atualização.](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh)
1. Na tabela, marque a caixa de seleção de cada bucket que você deseja que o trabalho analise.
**dica**
Para encontrar buckets específicos com mais facilidade, insira critérios de filtro na caixa de filtros acima da tabela. Você também pode classificar a tabela escolhendo um título de coluna.
Para determinar se você já configurou um trabalho para analisar periodicamente objetos em um bucket, consulte o campo **Monitorado por trabalho**. Se **Sim** aparecer em um campo, o bucket será incluído explicitamente em um trabalho periódico ou o bucket correspondeu aos critérios de um trabalho periódico nas últimas 24 horas. Além disso, o status de pelo menos um desses trabalhos não é *Cancelado*. Macie atualiza esses dados diariamente.
Para determinar quando um trabalho existente, periódico ou único, analisou mais recentemente objetos em um bucket, consulte o campo **Última execução do trabalho**. Para obter informações adicionais sobre esse trabalho, consulte os detalhes do bucket.
Para exibir os detalhes de um bucket, escolha o bucket. Além das informações relacionadas ao trabalho, o painel de detalhes fornece estatísticas e outras informações sobre o bucket, como as configurações de acesso público do bucket. Para saber mais sobre estes dados, consulte [Analisar seu inventário de buckets do S3](monitoring-s3-inventory-review.md).
1. Ao terminar de selecionar os buckets, escolha **Avançar**.
Na próxima etapa, você revisará e verificar suas seleções.
### Especificar critérios de bucket
Se você optar por especificar critérios de runtime que determinem quais buckets do S3 analisar, o Macie fornecerá opções para ajudá-lo a escolher campos, operadores e valores para condições individuais nos critérios. Para saber mais sobre essas opções, consulte [Especificando critérios de bucket do S3](discovery-jobs-scope.md#discovery-jobs-scope-buckets-criteria).
**Para especificar critérios de bucket do S3 para o trabalho**
1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. No painel de navegação, escolha **Tarefas**.
1. Escolha **Criar trabalho**.
1. Para a etapa **Escolher buckets do S3**, escolha **Selecionar buckets específicos**.
1. Em **Especificar critérios do bucket**, faça o seguinte para adicionar uma condição aos critérios:
1. Coloque o cursor na caixa de filtro e escolha a propriedade do bucket a ser usada para a condição.
1. Na primeira caixa, escolha um operador para a condição, **Igual** ou **Não igual**.
1. Na próxima caixa, insira um ou mais valores para a propriedade.
Dependendo do tipo e da natureza da propriedade do bucket, o Macie exibe opções diferentes para inserir valores. Por exemplo, se você escolher a propriedade de **permissão efetiva**, o Macie exibirá uma lista de valores para escolher. Se você escolher a propriedade **ID da conta**, o Macie exibirá uma caixa de texto na qual você poderá inserir uma ou mais Conta da AWS IDs. Para inserir vários valores em uma caixa de texto, insira cada valor e separe cada entrada com uma vírgula.
1. Selecione **Aplicar**. Macie adiciona a condição e a exibe abaixo da caixa do filtro.
Por padrão, o Macie adiciona a condição com uma declaração de inclusão. Isso significa que o trabalho está configurado para analisar (*incluir*) objetos em buckets que correspondam à condição. Para ignorar (*excluir*) buckets que correspondam à condição, escolha **Incluir** para a condição e, em seguida, escolha **Excluir**.
1. Repita as etapas anteriores para cada condição adicional que você deseja adicionar aos critérios.
1. Para testar seus critérios, expanda a seção **Visualizar os resultados dos critérios**. Esta seção exibe uma tabela de até 25 compartimentos de uso geral que atualmente atendem aos critérios.
1. Para refinar seus critérios, siga um destes procedimentos:
+ Para remover uma condição, selecione **X** para a condição.
+ Para alterar uma condição, remova a condição escolhendo **X** para a condição. Em seguida, adicione uma condição que tenha as configurações corretas.
+ Para remover todas as condições, escolha **Limpar filtros**.
Macie atualiza a tabela de resultados dos critérios para refletir suas alterações.
1. Ao terminar de especificar os critérios do bucket, escolha **Avançar**.
Na próxima etapa, você revisará e verificar suas seleções.
## Etapa 2: revisar as seleções ou critérios de bucket do S3
Nesta etapa, verifique se você escolheu as configurações corretas na etapa anterior:
+ **Revise suas seleções de buckets** ‐ Se você selecionou buckets S3 específicos para o trabalho, revise a tabela de buckets e altere suas seleções de buckets conforme necessário. A tabela fornece informações sobre o escopo projetado e o custo da análise do trabalho. Os dados são baseados no tamanho e nos tipos de objetos atualmente armazenados em um bucket.
Na tabela, o campo **Custo estimado indica o custo** total estimado (em dólares americanos) da análise de objetos em um bucket do S3. Cada estimativa reflete a quantidade projetada de dados não compactados que o trabalho analisará em um bucket. Se algum objeto for compactado ou arquivado, a estimativa pressupõe que os arquivos usem uma taxa de compactação de 3:1 e que a tarefa possa analisar todos os arquivos extraídos. Para obter mais informações, consulte [Previsão e monitoramento dos custos do trabalho](discovery-jobs-costs.md).
+ **Revise seus critérios de bucket** ‐ Se você especificou critérios de bucket para o trabalho, revise cada condição nos critérios. Para alterar os critérios, escolha **Anterior** e use as opções de filtro na etapa anterior para inserir os critérios corretos. Ao terminar, escolha **Avançar**.
Ao terminar de revisar e verificar as configurações do trabalho, escolha **Avançar.**
## Etapa 3: Definir o cronograma e refinar o escopo
Em seguida, você especifica com que frequência deseja executar o trabalho, uma vez ou periodicamente, diariamente, semanalmente ou mensalmente. Você também pode escolher opções para refinar o escopo da análise do trabalho. Para saber mais sobre estas opções, consulte [Opções de escopo para trabalhos](discovery-jobs-scope.md).
**Etapa 3: Definir o cronograma e refinar o escopo**
1. Na página **Refinar o escopo**, especifique com que frequência você deseja que o trabalho seja executado:
+ Para executar o trabalho somente uma vez, imediatamente após terminar de criá-lo, escolha **Trabalho único**.
+ Para executar o trabalho periodicamente de forma recorrente, escolha **Trabalho agendado**. Em **Atualizar frequência**, escolha se deseja executar o trabalho diariamente, semanalmente ou mensalmente. Em seguida, use a opção **Incluir objetos existentes** para definir o escopo da primeira execução do trabalho:
+ Marque essa caixa de seleção para analisar todos os objetos existentes imediatamente após concluir a criação da tarefa. Cada execução subsequente analisa apenas os objetos criados ou alterados após a execução anterior.
+ Desmarque essa caixa de seleção para ignorar a análise de todos os objetos existentes. A primeira execução do trabalho analisa apenas os objetos que são criados ou alterados após a conclusão da criação do trabalho e antes do início da primeira execução. Cada execução subsequente analisa apenas os objetos criados ou alterados após a execução anterior.
Desmarcar essa caixa de seleção é útil nos casos em que você já analisou os dados e deseja continuar a analisá-los periodicamente. Por exemplo, se já usou outro serviço ou aplicativo para classificar dados e recentemente começou a usar o Macie, você pode usar essa opção para garantir a descoberta e a classificação contínuas de seus dados sem incorrer em custos desnecessários ou duplicar os dados de classificação.
1. (Opcional) Para especificar a porcentagem de objetos que você deseja que a tarefa analise, insira a porcentagem na caixa **Profundidade de amostragem**.
Se esse valor for menor que 100%, o Macie selecionará os objetos a serem analisados aleatoriamente, até a porcentagem especificada, e analisará todos os dados nesses objetos. O valor padrão é 100%.
1. (Opcional) Para adicionar critérios específicos que determinem quais objetos do S3 são incluídos ou excluídos da análise do trabalho, expanda a seção **Configurações adicionais** e insira os critérios. Esses critérios consistem em condições individuais que são derivados de propriedades de objetos:
+ Para analisar (*incluir*) objetos que atendam a uma condição específica, insira o tipo e o valor da condição e escolha **Incluir**.
+ Para ignorar (*excluir*) objetos que atendam a uma condição específica, insira o tipo e o valor da condição e escolha **Excluir**.
Repita essa etapa para cada condição de inclusão ou exclusão desejada.
Se você inserir várias condições, todas as condições de exclusão terão precedência sobre as condições de inclusão. Por exemplo, se você incluir objetos com a extensão de nome de arquivo .pdf e excluir objetos maiores que 5 MB, o trabalho analisará qualquer objeto que tenha a extensão de nome de arquivo .pdf, a menos que o objeto seja maior que 5 MB.
1. Ao terminar, escolha **Avançar**.
## Etapa 4: selecionar identificadores de dados gerenciados
Nesta etapa, especifique quais identificadores de dados gerenciados você deseja que o trabalho use ao analisar objetos do S3. Você tem duas opções:
+ **Use as configurações recomendadas** ‐ Com essa opção, o trabalho analisa objetos do S3 usando o conjunto de identificadores de dados gerenciados que recomendamos para trabalhos. Esse conjunto foi projetado para detectar categorias e tipos comuns de dados confidenciais. Para revisar uma lista de identificadores de dados gerenciados que estão atualmente no conjunto, consulte [Identificadores de dados gerenciados recomendados para trabalhos](discovery-jobs-mdis-recommended.md). Atualizamos essa lista sempre que adicionamos ou removemos um identificador de dados gerenciados do conjunto.
+ **Use as configurações recomendadas** ‐ Com essa opção, o trabalho analisa objetos do S3 usando o conjunto de identificadores de dados gerenciados que recomendamos para trabalhos. Isso pode ser todos ou apenas alguns dos identificadores de dados gerenciados que estão disponíveis atualmente. Você também pode configurar o trabalho para não usar nenhum identificador de dados gerenciados. Em vez disso, o trabalho pode usar somente identificadores de dados personalizados que você selecionar na próxima etapa. Para revisar uma lista de identificadores de dados gerenciados que estão atualmente no conjunto, consulte [Referência rápida: identificadores de dados gerenciados por tipo](mdis-reference-quick.md). Atualizamos essa lista sempre que adicionamos ou removemos um identificador de dados gerenciados do conjunto.
Quando você escolhe qualquer uma das opções, o Macie exibe uma tabela de identificadores de dados gerenciados. Na tabela, o campo **Tipo de dados confidenciais** especifica o identificador exclusivo (ID) de um identificador de dados gerenciados. Essa ID descreve o tipo de dados confidenciais que o identificador de dados gerenciados foi projetado para detectar, por exemplo: **USA\$1PASSPORT\$1NUMBER** para números de passaporte dos EUA, **CREDIT\$1CARD\$1NUMBER** para números de cartão de crédito e **PGP\$1PRIVATE\$1KEY** para chaves privadas PGP. Para encontrar identificadores específicos mais rapidamente, você pode classificar e filtrar a tabela por categoria ou tipo de dados confidenciais.
**Para selecionar identificadores de dados gerenciados para o trabalho**
1. Na página **Selecionar identificadores de dados gerenciados**, em **Opções de identificador de dados gerenciados**, faça o seguinte:
+ Para usar o conjunto de identificadores de dados gerenciados que recomendamos para trabalhos, escolha **Recomendado**.
Se você escolher essa opção e configurar o trabalho para ser executado mais de uma vez, cada execução usará automaticamente todos os identificadores de dados gerenciados que estão no conjunto recomendado quando a execução é iniciada. Isso inclui novos identificadores de dados gerenciados que lançamos e adicionamos ao conjunto. Ela exclui identificadores de dados gerenciados que removemos do conjunto e que não são mais recomendados para trabalhos.
+ Para usar somente identificadores de dados gerenciados específicos que você selecionar, escolha **Personalizado** e, em seguida, escolha **Usar identificadores de dados gerenciados específicos**. Em seguida, na tabela, marque a caixa de seleção para cada identificador de dados gerenciados que você deseja que o trabalho use.
Se você escolher essa opção e configurar o trabalho para ser executado mais de uma vez, cada execução usará somente os identificadores de dados gerenciados que selecionar. Em outras palavras, a tarefa usa esses mesmos identificadores de dados gerenciados sempre que é executada.
+ Para usar todos os identificadores de dados gerenciados atualmente oferecidos por Macie, escolha **Personalizado** e, em seguida, escolha **Usar identificadores de dados gerenciados específicos**. Em seguida, na tabela, marque a caixa de seleção no título da coluna de seleção para selecionar todas as linhas.
Se você escolher essa opção e configurar o trabalho para ser executado mais de uma vez, cada execução usará somente os identificadores de dados gerenciados que selecionar. Em outras palavras, a tarefa usa esses mesmos identificadores de dados gerenciados sempre que é executada.
+ Para não usar nenhum identificador de dados gerenciados e usar somente identificadores de dados personalizados, escolha **Personalizado** e, em seguida, escolha **Não usar nenhum identificador de dados gerenciados**. Em seguida, na próxima etapa, selecione os identificadores de dados personalizados a serem usados.
1. Ao terminar, escolha **Avançar**.
## Etapa 4: selecionar identificadores de dados gerenciados
Para esta etapa, selecione quaisquer identificadores de dados personalizados que você deseja que o trabalho use ao analisar objetos do S3. A tarefa usará os identificadores selecionados além de quaisquer identificadores de dados gerenciados que você configurou para usar na tarefa. Para saber mais sobre identificadores de dados personalizados, consulte [Criar identificadores de dados personalizados](custom-data-identifiers.md).
**Para selecionar identificadores de dados gerenciados para o trabalho**
1. Na página **Selecionar identificadores de dados personalizados**, marque a caixa de seleção para cada identificador de dados personalizado que você deseja que o trabalho use. Você pode selecionar até 30 identificadores de dados personalizados.
**dica**
Para revisar ou testar as configurações de um identificador de dados personalizado antes de selecioná-lo, escolha o ícone do link (![\[The link icon, which is a blue box that has an arrow in it.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/icon-external-link.png)) próximo ao nome do identificador. O Macie abrirá uma página que exibe as configurações do identificador.
Você também pode usar essa página para testar o identificador com dados de amostra. Para fazer isso, insira até mil caracteres de texto na caixa **Dados da amostra** e selecione **Teste**. O Macie avalia os dados da amostra usando o identificador e, em seguida, relata o número de correspondências.
1. Ao terminar de selecionar identificadores de dados personalizados, escolha **Avançar**.
## Etapa 6: selecionar listas de permissões
Para esta etapa, selecione quaisquer identificadores de dados personalizados que você deseja que o trabalho use ao analisar objetos do S3. Para saber mais sobre listas de permissões, consulte [Como definir exceções de dados sigilosos com listas de permissões](allow-lists.md).
**Para selecionar listas de permissões para o trabalho**
1. Na página **Selecionar listas de permissões, marque** a caixa de seleção para cada lista de permissões que você deseja que o trabalho use. Você pode selecionar até 10 listas.
**dica**
Para revisar as configurações de uma lista de permissões antes de selecioná-la, escolha o ícone de link (![\[The link icon, which is a blue box that has an arrow in it.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/icon-external-link.png)) ao lado do nome da lista. O Macie abrirá uma página que exibe as configurações da lista.
Se a lista especificar uma expressão regular (*regex*), você também poderá usar essa página para testar a regex com dados de amostra. Para fazer isso, insira até mil caracteres de texto na caixa **Dados da amostra** e selecione **Teste**. Macie avalia os dados da amostra usando o regex e, em seguida, relata o número de correspondências.
1. Ao terminar de selecionar os listas, escolha **Avançar**.
## Etapa 7: inserir configurações gerais
Para essa etapa, especifique um nome e, opcionalmente, uma descrição do trabalho. Você também pode atribuir etiquetas ao trabalho. Uma *tag* é um rótulo que você define e atribui a determinados tipos de AWS recursos. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. As tags podem ajudá-lo a identificar, categorizar e gerenciar recursos de diferentes maneiras, como por finalidade, proprietário, ambiente ou outros critérios. Para saber mais, consulte [Marcar recursos do Macie](tagging-resources.md).
**Para inserir as configurações gerais do trabalho**
1. Na página **Inserir configurações gerais**, insira um nome para o trabalho na caixa **Nome do trabalho**. O nome pode conter até 500 caracteres.
1. (Opcional) Em **Descrição do trabalho**, insira uma breve descrição da tarefa. A descrição pode conter até 200 caracteres.
1. (Opcional) Em **Tags**, escolha **Adicionar tag** e, em seguida, insira até 50 tags para atribuir ao trabalho.
1. Ao terminar, escolha **Avançar**.
## Etapa 8: Analisar e criar
Para esta etapa final, analise as definições de configuração do trabalho e verifique se elas estão corretas. Esse é um passo importante. Depois de criar um trabalho, você não poderá alterar nenhuma dessas configurações. Isso ajuda a garantir que você tenha um histórico imutável de descobertas de dados sigilosos e resultados de descoberta para auditorias de privacidade de dados e proteção de dados ou investigações que você realiza.
Dependendo das configurações do trabalho, você também pode revisar o custo total estimado (em dólares americanos) de executar o trabalho uma vez. Se você selecionou buckets S3 específicos para o trabalho, a estimativa é baseada no tamanho e nos tipos de objetos nos compartimentos selecionados e na quantidade desses dados que o trabalho pode analisar. Se você selecionou buckets S3 específicos para o trabalho, a estimativa é baseada no tamanho e nos tipos de objetos em até 500 buckets que correspondam atualmente aos critérios e na quantidade desses dados que o trabalho pode analisar. Para saber mais sobre essa estimativa, consulte [Previsão e monitoramento dos custos do trabalho](discovery-jobs-costs.md).
**Revisar e criar a tarefa**
1. Na página **Revisar e criar**, revise cada configuração e verifique se está correta. Para alterar uma configuração, escolha **Editar** na seção que contém a configuração e insira a configuração correta. Você também pode usar as guias de navegação para acessar a página que contém uma configuração.
1. Ao concluir a verificação das configurações, escolha **Enviar** para criar e salvar o trabalho. Macie verifica as configurações e notifica você sobre quaisquer problemas a serem resolvidos.
**nota**
Se você não configurou um repositório para os resultados confidenciais da descoberta de dados, o Macie exibe um aviso e não salva o trabalho. Para resolver esse problema, escolha **Configurar** na seção **Repositório para resultados de descoberta de dados confidenciais**. Em seguida, insira as configurações do repositório. Para saber como, consulte [Armazenamento e retenção de resultados de descoberta de dados confidenciais](discovery-results-repository-s3.md). Depois de inserir as configurações, retorne à página **Analisar e criar** e escolha atualizar (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/btn-refresh-data.png)) na seção **Repositório para resultados de descoberta de dados confidenciais** da página.
Não é recomendável, mas você pode substituir temporariamente o requisito de repositório e salvar o trabalho. Se você fizer isso, corre o risco de perder os resultados da descoberta do trabalho. O Macie reterá os resultados por apenas 90 dias. Para substituir temporariamente o requisito, marque a caixa de seleção da opção de substituição.
1. Se o Macie notificar você sobre problemas a serem resolvidos, resolva os problemas e escolha **Enviar** novamente para criar e salvar o trabalho.
Se você configurou o trabalho para ser executado uma vez, diariamente ou no dia da semana ou do mês atual, o Macie começará a executar o trabalho imediatamente após salvá-lo. Caso contrário, Macie se preparará para executar a tarefa no dia da semana ou do mês especificado. Para monitorar o trabalho, você pode [verificar o status do trabalho](discovery-jobs-status-check.md).
# Analisar os resultados de um trabalho de descoberta de dados confidenciais
Quando você executa um trabalho de descoberta de dados confidenciais, o Amazon Macie calcula e relata, automaticamente, determinados dados estatísticos do trabalho. Por exemplo, o Macie relata o número de vezes que o trabalho foi executado e o número aproximado de objetos do Amazon Simple Storage Service (Amazon S3) que o trabalho ainda tem que processar durante a execução atual. O Macie também produz vários tipos de resultados para o trabalho: *eventos de logs*, *descobertas de dados confidenciais* e *resultados de descoberta de dados confidenciais*.
**Topics**
+ [Tipos de resultados do trabalho](#discovery-jobs-manage-results-types)
+ [Analisar estatísticas e resultados de um trabalho](#discovery-jobs-manage-results-review)
## Tipos de resultados para trabalhos de descoberta de dados confidenciais
À medida que um trabalho de descoberta de dados confidenciais progride, o Amazon Macie produz os seguintes tipos de resultados para o trabalho.
**Evento de log**
Esse é um registro de um evento que ocorreu durante a execução do trabalho. O Macie registra e publica automaticamente dados de determinados eventos no Amazon CloudWatch Logs. Os dados nesses logs fornecem um registro das alterações no progresso ou no status do trabalho, como a data e a hora exatas em que o trabalho começou ou parou de ser executado. Os dados também fornecem detalhes sobre quaisquer erros no nível da conta ou do bucket que ocorreram durante a execução do trabalho.
Os eventos de logs podem ajudá-lo a monitorar um trabalho e resolver todos os problemas que impediram o trabalho de analisar os dados que você deseja. Se um trabalho usa critérios de runtime para determinar quais buckets do S3 analisar, os eventos de log também podem ajudá-lo a determinar se e quais buckets do S3 corresponderam aos critérios quando o trabalho foi executado.
Você pode acessar eventos de log usando o CloudWatch console da Amazon ou a API Amazon CloudWatch Logs. Para ajudá-lo a navegar até os eventos de log de um trabalho, o console do Amazon Macie fornece um link para eles. Para obter mais informações, consulte [Monitorando trabalhos com o CloudWatch Logs](discovery-jobs-monitor-cw-logs.md).
**Descobrindo dados confidenciais**
Esse é um relatório detalhado dos dados confidenciais que o Macie encontrou em um objeto do S3. Cada descoberta fornece uma classificação de gravidade e detalhes como:
+ A data e a hora em que Macie encontrou os dados confidenciais.
+ A categoria e os tipos de dados confidenciais que Macie encontrou.
+ O número de ocorrências de cada tipo de dado confidencial que Macie encontrou.
+ O identificador exclusivo do trabalho que produziu a descoberta.
+ O nome, as configurações de acesso público, o tipo de criptografia e outras informações sobre o bucket e o objeto do S3 afetados.
Dependendo do tipo de arquivo ou formato de armazenamento do objeto S3 afetado, os detalhes também podem incluir a localização de até 15 ocorrências dos dados confidenciais encontrados por Macie. Para relatar os dados de localização, a descoberta de dados confidenciais usa um [esquema JSON padronizado](findings-locate-sd-schema.md).
Uma descoberta de dados confidenciais não inclui os dados confidenciais que Macie encontrou. Em vez disso, ele fornece informações que você pode usar para investigação e remediação adicionais, conforme necessário.
O Macie armazena as descobertas de dados confidenciais por 90 dias. Você pode acessá-las usando o console do Amazon Macie ou a API do Amazon Macie. Você também pode monitorá-los e processá-los usando outros aplicativos, serviços e sistemas. Para obter mais informações, consulte [Revisar e analisar descobertas](findings.md).
**Resultado da descoberta de dados confidenciais**
Esse é um registro de detalhes sobre a análise de um objeto do S3. O Macie cria um resultado de descoberta de dados confidenciais automaticamente para para cada objeto que você configurar um trabalho para analisar. Isso inclui objetos nos quais o Macie não encontra dados confidenciais e, portanto, não produz descobertas de dados confidenciais, e objetos que o Macie não pode analisar devido a erros ou problemas, como configuração de permissões ou uso de um formato de arquivo ou armazenamento não compatível.
Se o Macie descobrir dados confidenciais em um objeto do S3, o resultado da descoberta de dados confidenciais incluirá dados da descoberta de dados confidenciais correspondente. Ele também fornece informações adicionais, como a localização de até mil ocorrências de cada tipo de dado confidencial que Macie encontrou no objeto. Por exemplo:
+ O número da coluna e da linha de uma célula ou campo em uma pasta de trabalho do Microsoft Excel, arquivo CSV ou arquivo TSV
+ O caminho para um campo ou matriz em um arquivo JSON ou JSON Lines
+ O número da linha de uma linha em um arquivo de texto não binário que não seja um arquivo CSV, JSON, JSON Lines ou TSV — por exemplo, um arquivo HTML, TXT ou XML
+ O número da página de uma página em um arquivo Adobe Portable Document Format (PDF)
+ O índice do registro e o caminho para um campo em um registro em um contêiner de objetos Apache Avro ou arquivo Apache Parquet
Se o objeto do S3 afetado for um arquivo de arquivamento, como um arquivo .tar ou .zip, o resultado da descoberta de dados confidenciais também fornecerá dados de localização detalhados para ocorrências de dados confidenciais em arquivos individuais que o Macie extraiu do arquivamento. O Macie não inclui essas informações nas descobertas de dados confidenciais para arquivos arquivados. Para relatar dados de localização, os resultados confidenciais da descoberta de dados usam um [esquema JSON padronizado](findings-locate-sd-schema.md).
Um resultado de descoberta de dados confidenciais não inclui os dados confidenciais que o Macie encontrou. Em vez disso, ele fornece um registro de análise que pode ser útil para auditorias ou investigações de privacidade e proteção de dados.
O Macie armazena seus resultados confidenciais de descoberta de dados por 90 dias. Você não pode acessá-los diretamente no console do Amazon Macie ou com a API do Amazon Macie. Em vez disso, você configura o Macie para criptografar e armazená-los em um bucket do S3. O bucket pode servir como um repositório definitivo e de longo prazo para todos os seus resultados confidenciais de descoberta de dados. Em seguida, você pode, opcionalmente, acessar e consultar os resultados nesse repositório. Para saber mais sobre como definir essas configurações, consulte [Armazenamento e retenção de resultados de descoberta de dados confidenciais](discovery-results-repository-s3.md).
Depois de definir as configurações, o Macie grava seus resultados da descoberta de dados confidenciais em arquivos JSON Lines (.jsonl) e criptografa e adiciona esses arquivos ao bucket do S3 como arquivos GNU Zip (.gz). Para ajudá-lo a navegar até os eventos de log de um trabalho, o console do Amazon Macie fornece um link para eles.
Tanto as descobertas de dados confidenciais quanto os resultados de descobertas de dados confidenciais seguem esquemas padronizados. Isso pode ajudá-lo opcionalmente a consultá-los, monitorá-los e processá-los usando outros aplicativos, serviços e sistemas.
**Dicas**
Para obter um exemplo detalhado e instrutivo de como você pode consultar e usar resultados de descoberta de dados confidenciais para analisar e relatar possíveis riscos à segurança de dados, consulte a seguinte postagem no blog de *AWS segurança*: [Como consultar e visualizar os resultados da descoberta de dados confidenciais do Macie com o Amazon Athena e](https://aws.amazon.com/blogs/security/how-to-query-and-visualize-macie-sensitive-data-discovery-results-with-athena-and-quicksight/) o Amazon Quick.
Para exemplos de consultas do Amazon Athena que você pode usar para analisar resultados confidenciais de descoberta de dados, visite o repositório [Amazon Macie Results Analytics em.](https://github.com/aws-samples/amazon-macie-results-analytics) GitHub Esse repositório também fornece instruções para configurar o Athena para recuperar e descriptografar seus resultados e scripts para criar tabelas para os resultados.
## Analisar estatísticas e resultados de um trabalho de descoberta de dados confidenciais
Para analisar as estatísticas de processamento e os resultados de um trabalho de descoberta de dados confidenciais, você pode usar o console do Amazon Macie ou a API do Amazon Macie. Siga estas etapas para analisar as estatísticas e os resultados usando o console.
Para acessar as estatísticas de processamento de um trabalho de forma programática, use a [DescribeClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-jobid.html)operação da API Amazon Macie. Para acesso programático às descobertas que um trabalho produziu, use a [ListFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings.html)operação e especifique o identificador exclusivo do trabalho em uma condição de filtro para o `classificationDetails.jobId` campo. Para saber como, consulte [Criar e aplicar filtros às descobertas do Macie](findings-filter-procedure.md). Em seguida, você pode usar a [GetFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html)operação para recuperar os detalhes das descobertas.
**Para revisar estatísticas e resultados de um trabalho**
1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. No painel de navegação, escolha **Tarefas**.
1. Na página **Tarefas**, selecione o nome do trabalho cujas estatísticas e resultados você deseja revisar. O painel de detalhes exibe estatísticas, configurações e outras informações sobre o trabalho.
1. No painel de detalhes, siga um destes procedimentos:
+ Para analisar as estatísticas de processamento do trabalho, consulte a seção **Estatísticas** do painel. Esta seção exibe estatísticas, como o número de vezes que o trabalho foi executado e o número aproximado de objetos que o trabalho ainda tem que processar durante a execução atual.
+ Para revisar os eventos de registro do trabalho, escolha **Mostrar resultados** na parte superior do painel e, em seguida, escolha **Mostrar CloudWatch registros**. O Macie abre o CloudWatch console da Amazon e exibe uma tabela dos eventos de log que o Macie publicou para o trabalho.
+ Para revisar todas as descobertas de dados confidenciais que o trabalho produziu, selecione **Mostrar resultados** na parte superior do painel e, em seguida, selecione **Mostrar descobertas**. O Macie abrirá a página **Descobertas** e exibirá todas as descobertas do trabalho. Para rever os detalhes de uma determinada descoberta, selecione a descoberta e, em seguida, consulte o painel de detalhes.
**dica**
No painel de detalhes da descoberta, você pode usar o link no campo **Localização detalhada do resultado** para navegar até o resultado correspondente da descoberta de dados confidenciais no Amazon S3:
Se a descoberta se aplicar a um arquivo grande ou a um arquivo compactado, o link exibirá a pasta que contém os resultados da descoberta para o arquivo. Um arquivo compactado ou arquivado é *grande* se gerar mais de cem resultados de descoberta.
Se a descoberta se aplicar a um arquivo pequeno ou a um arquivo compactado, o link exibirá o arquivo que contém os resultados da descoberta do arquivo. Um arquivo compactado ou arquivado é *pequeno* se gerar cem resultados ou menos de descoberta.
Se a descoberta se aplicar a um arquivo pequeno ou a um arquivo compactado, o link exibirá o arquivo que contém os resultados da descoberta do arquivo.
+ Para rever todos os resultados da descoberta de dados confidenciais que o trabalho produziu, selecione **Mostrar resultados** na parte superior do painel e, em seguida, selecione **Mostrar classificações**. O Macie abrirá o console do Amazon S3 e exibirá a pasta que contém todos os resultados da descoberta para o trabalho. Essa opção só estará disponível depois de configurar o Macie para [armazenar os resultados da descoberta de dados confidenciais](discovery-results-repository-s3.md) em um bucket do S3.
# Gerenciar trabalhos de descoberta de dados confidenciais
Para ajudá-lo a gerenciar seus trabalhos confidenciais de descoberta de dados, o Amazon Macie mantém um inventário completo de seus trabalhos em cada um. Região da AWS Com esse inventário, você pode gerenciar seus trabalhos como uma única coleção e acessar as definições de configuração, as estatísticas de processamento e o status de trabalhos individuais.
Por exemplo, você pode identificar todos os trabalhos que configurou para serem executados de forma recorrente para análise, avaliação e monitoramento periódicos. Você também pode analisar um detalhamento das configurações de um trabalho. Isso inclui configurações que definem o escopo da análise. Também inclui configurações que especificam os tipos de dados confidenciais que você deseja que o Macie detecte e relate quando o trabalho for executado. Se você usar o console do Amazon Macie para gerenciar seus trabalhos, os detalhes de cada trabalho também darão acesso direto às [descobertas de dados confidenciais e outros resultados](discovery-jobs-manage-results.md) que o trabalho produziu.
Além dessas tarefas, você pode criar variações personalizadas de trabalhos individuais. Você pode copiar um trabalho existente, ajustar as configurações da cópia e depois salvar a cópia como um novo trabalho. Isso pode ser útil nos casos em que você deseja analisar diferentes conjuntos de dados da mesma forma ou o mesmo conjunto de dados de maneiras diferentes. Pode ser útil também se você quiser ajustar as configurações de um trabalho existente: cancele o trabalho existente, copie-o e, em seguida, ajuste e salve a cópia como um novo trabalho.
**Topics**
+ [Analisar seu inventário de trabalhos](discovery-jobs-manage-view.md)
+ [Analisar as configurações de um trabalho](discovery-jobs-manage-settings.md)
+ [Verificar o status de um trabalho](discovery-jobs-status-check.md)
+ [Alterar o status de um trabalho](discovery-jobs-status-change.md)
+ [Copiar um trabalho](discovery-jobs-manage-copy.md)
# Analisar seu inventário de trabalhos de descoberta de dados confidenciais
No console do Amazon Macie, você pode revisar um inventário completo de seus trabalhos confidenciais de descoberta de dados no momento. Região da AWS O inventário fornece informações resumidas de todos os seus trabalhos e detalhes sobre trabalhos individuais. As informações resumidas incluem: o status atual de cada trabalho; se um trabalho é executado de forma programada e periódica e se um trabalho está configurado para analisar objetos em buckets específicos do Amazon Simple Storage Service (Amazon S3) ou buckets do S3 que correspondem aos critérios de runtime. Para trabalhos individuais, você também pode acessar detalhes como um detalhamento das configurações do trabalho. Se um trabalho já foi executado, os detalhes também fornecem acesso direto às descobertas de dados confidenciais e a outros tipos de resultados que o trabalho produziu.
**Para analisar seu inventário de trabalho**
Siga estas etapas para analisar seu inventário de trabalhos usando o console do Amazon Macie. Para acessar seu inventário de forma programática, use a [ListClassificationJobs](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-list.html)operação da API Amazon Macie.
1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. No painel de navegação, escolha **Tarefas**. A página **Trabalhos** é aberta e exibe o número de trabalhos em seu inventário e uma tabela desses trabalhos.
1. Na parte superior da página, escolha opcionalmente atualizar (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/btn-refresh-data.png)) para recuperar o status atual de cada trabalho.
1. Na tabela **Trabalhos**, analise as informações resumidas de seus trabalhos:
+ **Nome do trabalho**: o nome do trabalho.
+ **Recursos**: se o trabalho está configurado para analisar objetos em buckets específicos do S3 ou buckets que correspondam aos critérios de runtime. Se você selecionou explicitamente buckets para o trabalho analisar, esse campo indicará o número de buckets que você selecionou. Se você configurou o trabalho para usar critérios de runtime, o valor desse campo será **Baseado em critérios**.
+ **Tipo de trabalho**: se o trabalho está configurado para ser executado uma vez (**Uma vez**) ou de forma programada e periódica (**Agendado**).
+ **Status**: o status atual do trabalho. Para saber mais sobre esse valor, consulte [Verificar o status de um trabalho](discovery-jobs-status-check.md).
+ **Criado em**: quando o trabalho foi criado.
1. Para analisar seu inventário ou encontrar um trabalho específico com mais rapidez, siga um destes procedimentos:
+ Para classificar a tabela por um campo específico, selecione o título da coluna do campo. Para alterar a ordem de classificação, selecione outra vez o título da coluna.
+ Para exibir somente os trabalhos que têm um valor específico para um campo, coloque o cursor na caixa de filtro. No menu exibido, escolha o campo a ser usado para o filtro e insira o valor do filtro. Em seguida, escolha **Aplicar**.
+ Para ocultar somente os trabalhos que têm um valor específico para um campo, coloque o cursor na caixa de filtro. No menu exibido, escolha o campo a ser usado para o filtro e insira o valor do filtro. Em seguida, escolha **Aplicar**. Na caixa do filtro, selecione o ícone de igual (![\[The equals icon, which is a solid gray circle.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/icon-operator-equals.png)) para o filtro. Isso altera o operador do filtro de *igual a* para *não igual a* (![\[The not equals icon, which is an empty gray circle that has a backslash in it.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/icon-operator-not-equals.png)).
+ Para remover um filtro, escolha o ícone de remoção de filtro (![\[The remove filter condition icon, which is a circle that has an X in it.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/icon-filter-remove.png)) para que o filtro seja removido.
1. Para analisar as configurações e detalhes adicionais de um trabalho específico, selecione o nome do trabalho. Em seguida, consulte o painel de detalhes. Para obter informações detalhadas, consulte o [Analisar as configurações de um trabalho](discovery-jobs-manage-settings.md).
# Analisar as configurações de um trabalho de descoberta de dados confidenciais
No console do Amazon Macie, você pode usar o painel de detalhes na página **Trabalhos** para analisar as definições de configuração e outras informações sobre trabalhos individuais de descoberta de dados confidenciais. Por exemplo, você pode analisar uma lista dos buckets do Amazon Simple Storage Service (Amazon S3) que um trabalho está configurado para analisar. Você também pode determinar quais identificadores de dados gerenciados e personalizados um trabalho está configurado para usar ao analisar objetos nesses buckets.
Observe que não é possível alterar as definições de configuração de um trabalho existente. Isso ajuda a garantir que você tenha um histórico imutável de descobertas de dados sigilosos e resultados de descoberta para auditorias de privacidade de dados e proteção de dados ou investigações que você realiza.
Se você quiser alterar um trabalho existente, [cancele o trabalho](discovery-jobs-status-change.md). Em seguida, [copie o trabalho](discovery-jobs-manage-copy.md), defina a cópia para usar as configurações desejadas e salve a cópia como um novo trabalho. Se você fizer isso, também deverá tomar medidas para garantir que o novo trabalho não analise os dados existentes da mesma forma novamente. Para fazer isso, anote a data e a hora em que você cancela o trabalho existente. Em seguida, configure o escopo do novo trabalho para incluir apenas os objetos criados ou alterados após o cancelamento do trabalho original. Por exemplo, você pode usar [critérios de objeto](discovery-jobs-scope.md#discovery-jobs-scope-criteria) para definir uma condição de exclusão que especifica quando você cancelou o trabalho original.
**Para analisar as configurações de um trabalho**
Siga estas etapas para analisar as configurações de um trabalho usando o console do Amazon Macie. Para revisar as configurações programaticamente, use a [DescribeClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-jobid.html)operação da API Amazon Macie.
1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. No painel de navegação, escolha **Tarefas**. A página **Trabalhos** é aberta e exibe o número de trabalhos em seu inventário e uma tabela desses trabalhos.
1. Na tabela **Trabalhos**, escolha o nome do trabalho cujas configurações você deseja analisar. Para encontrar o trabalho com mais rapidez, você pode filtrar a tabela usando as opções de filtro acima da tabela. É possível também classificar a tabela em ordem crescente ou decrescente por campos determinados.
Se você escolher um trabalho na tabela, o painel de detalhes exibirá as definições de configuração e outras informações sobre o trabalho. Dependendo das configurações do trabalho, o painel contém as seguintes seções.
**Informações gerais**
Esta seção fornece informações gerais sobre o trabalho. Por exemplo, ela mostra o nome do recurso da Amazon (ARN) do trabalho, quando o trabalho começou a ser executado mais recentemente e o status atual do trabalho. Se você pausou o trabalho, esta seção também indicará quando isso foi feito e quando o trabalho ou a última execução do trabalho expirou ou expirará se ele não for retomado.
**Estatísticas**
Esta seção mostra as estatísticas de processamento do trabalho. Por exemplo, especifica o número de vezes que o trabalho foi executado e o número aproximado de objetos do S3 que o trabalho ainda tem a processar durante a execução atual.
**Escopo**
Esta seção indica a frequência com que o trabalho é executado. Ela também mostra as configurações que refinam o escopo do trabalho, por exemplo, a [profundidade da amostragem](discovery-jobs-scope.md#discovery-jobs-scope-sampling) e os [critérios do objeto](discovery-jobs-scope.md#discovery-jobs-scope-criteria) que incluem ou excluem objetos do S3 da análise.
**Buckets do S3**
Essa seção aparecerá no painel se o trabalho estiver configurado para analisar buckets que você selecionou explicitamente ao criar o trabalho. Ele indica o número do Contas da AWS qual o trabalho está configurado para analisar dados. Também indica o número de buckets que o trabalho está configurado para analisar e os nomes desses buckets (agrupados por conta).
Para mostrar a lista completa de contas e buckets no formato JSON, selecione o número no campo **Total de buckets**.
**Critérios de bucket S3**
Essa seção aparecerá no painel se o trabalho usar critérios de runtime para determinar quais buckets analisar. Ele lista os critérios que o trabalho está configurado para usar. Para mostrar os critérios no formato JSON, escolha **Detalhes**. Em seguida, escolha a guia **Critérios** na janela que aparece.
Para revisar uma lista de compartimentos que atualmente correspondem aos critérios, escolha **Detalhes**. Em seguida, escolha a guia **Combinando compartimentos** na janela que aparece. Opcionalmente, selecione atualizar (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/btn-refresh-data.png)) para recuperar os dados mais recentes. A guia lista até 25 compartimentos que atualmente correspondem aos critérios.
Se o trabalho já tiver sido executado, você também poderá determinar se algum bucket correspondeu aos critérios quando o trabalho foi executado e, em caso afirmativo, aos nomes desses buckets. Para fazer isso, revise os eventos de registro do trabalho: escolha **Mostrar resultados** na parte superior do painel e, em seguida, escolha **Mostrar CloudWatch registros**. Macie abre o CloudWatch console da Amazon e exibe uma tabela de eventos de log para o trabalho. Os eventos incluem um evento `BUCKET_MATCHED_THE_CRITERIA` para cada bucket que correspondeu aos critérios e foi incluído na análise do trabalho. Para obter mais informações, consulte [Monitorando trabalhos com o CloudWatch Logs](discovery-jobs-monitor-cw-logs.md).
**Identificadores de dados personalizados**
Essa seção aparece no painel se a tarefa estiver configurada para usar um ou mais [identificadores de dados personalizados](custom-data-identifiers.md). Ele especifica os nomes desses identificadores de dados personalizados.
**Lista de permissões**
Essa seção aparece no painel se a tarefa estiver configurada para usar uma ou mais [Lista de permissões](allow-lists.md). Ele especifica os nomes dessas listas. Para revisar as configurações de uma lista de permissões antes de selecioná-la, selecione o ícone de link (![\[The link icon, which is a blue box that has an arrow in it.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/icon-view-resource-blue.png)) ao lado do nome da lista.
**Identificadores de dados gerenciados**
Esta seção indica quais [identificadores de dados gerenciados](managed-data-identifiers.md) o trabalho está configurado para usar. Isso é determinado pelo tipo de seleção do identificador de dados gerenciados para o trabalho:
+ **Recomendado**: use os identificadores de dados gerenciados que estão no [conjunto recomendado](discovery-jobs-mdis-recommended.md) quando o trabalho é executado.
+ **Incluir os selecionados**: use somente os identificadores de dados gerenciados listados na seção **Seleções.**
+ **Incluir tudo**: use todos os identificadores de dados gerenciados que estão disponíveis quando o trabalho é executado.
+ **Excluir os selecionados**: use todos os identificadores de dados gerenciados que estão disponíveis quando o trabalho é executado, exceto os listados na seção **Seleções**.
+ **Excluir tudo**: não use nenhum identificador de dados gerenciados. Use somente os identificadores de dados personalizados especificados.
Para revisar essas configurações no formato JSON, selecione **Detalhes**.
**Tags**
Esta seção aparecerá no painel se as tags estiverem atribuídas ao trabalho. Ela lista essas tags. Uma *tag* é um rótulo que você define e atribui a determinados tipos de AWS recursos. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. Para saber mais, consulte [Marcar recursos do Macie](tagging-resources.md).
Para analisar e salvar as configurações do trabalho no formato JSON, selecione o identificador exclusivo para o trabalho (**ID do trabalho**) na parte superior do painel. Em seguida, escolha **Fazer download**.
# Verificar o status de um trabalho de descoberta de dados confidenciais
Quando você cria um trabalho de descoberta de dados confidenciais, o seu status inicial é **Ativo (em execução)** ou **Ativo (Inativo)**, dependendo do tipo e do cronograma do trabalho. Em seguida, o trabalho passa por estados adicionais, que você pode monitorar à medida que o trabalho progride.
**dica**
Além de monitorar o status geral de um trabalho, você pode monitorar eventos específicos que ocorrem à medida que o trabalho progride. Você pode fazer isso usando dados de registro que o Amazon Macie publica automaticamente no Amazon Logs. CloudWatch Os dados nesses logs fornecem um registro das alterações no status de um trabalho e detalhes sobre quaisquer erros no nível da conta ou do bucket que ocorram durante a execução de um trabalho. Para obter mais informações, consulte [Monitorando trabalhos com o CloudWatch Logs](discovery-jobs-monitor-cw-logs.md).
**Para verificar o status de um trabalho**
Siga estas etapas para verificar o status de um trabalho usando o console do Amazon Macie. Para verificar o status de um trabalho de forma programática, use a [DescribeClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-jobid.html)operação da API Amazon Macie.
1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. No painel de navegação, escolha **Tarefas**. A página **Trabalhos** é aberta e exibe o número de trabalhos em seu inventário e uma tabela desses trabalhos.
1. Na parte superior da página, escolha atualizar (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/btn-refresh-data.png)) para recuperar o status atual de cada trabalho.
1. Na página **Trabalhos**, localize o trabalho cujo status você deseja verificar. Para encontrar o trabalho com mais rapidez, você pode filtrar a tabela usando as opções de filtro acima da tabela. É possível também classificar a tabela em ordem crescente ou decrescente por campos determinados.
1. Consulte o campo **Status** na tabela. Este campo indica o status atual do trabalho.
O status de um trabalho pode ser um dos seguintes.
**Ativo (inativo)**
Para um trabalho periódico, a execução anterior está concluída e a próxima execução programada está pendente. Esse valor não se aplica a trabalhos únicos.
**Ativo (em execução)**
Para um trabalho único, o trabalho está em andamento no momento. Para um trabalho periódico, uma execução programada está em andamento.
**Cancelado**
Para qualquer tipo de trabalho, o trabalho foi interrompido permanentemente (cancelado).
Um trabalho tem esse status se você o cancelou explicitamente ou, se for um trabalho único, você pausou o trabalho e não o retomou em 30 dias. Um trabalho também pode ter esse status se você [suspendeu Macie](suspend-macie.md) anteriormente no atual Região da AWS.
**Concluído**
Para um trabalho único, o trabalho foi executado com êxito e agora está concluído. Esse valor não se aplica a trabalhos periódicos. Em vez disso, o status de um trabalho periódico muda para **Ativo (Inativo)** quando cada execução é concluída com êxito.
**Pausado (pelo Macie)**
Para qualquer tipo de trabalho, o trabalho foi interrompido temporariamente (pausado) pelo Macie.
Um trabalho terá esse status se a conclusão ou a execução dele exceder a [cota mensal de descoberta de dados confidenciais](macie-quotas.md) para a sua conta. Quando isso acontece, o Macie pausa o trabalho automaticamente. O Macie retoma automaticamente o trabalho quando o próximo mês civil começa e a cota mensal é redefinida para a conta ou se você aumenta a cota da sua conta.
Se você for o administrador do Macie de uma organização e tiver configurado o trabalho para analisar dados das contas de membros, o trabalho também poderá ter esse status se a conclusão ou a execução dele exceder a cota mensal de descoberta de dados confidenciais de uma conta de membro.
Se um trabalho estiver em execução e a análise de objetos elegíveis atingir essa cota para uma conta-membro, o trabalho interromperá a análise de objetos pertencentes à conta. Quando o trabalho termina de analisar os objetos de todas as outras contas que não atingiram a cota, o Macie pausa o trabalho automaticamente. Se for um trabalho único, o Macie retomará automaticamente o trabalho quando o mês seguinte começar ou a cota mensal de descoberta de dados sigilosos for aumentada para todas as contas afetadas, o que ocorrer primeiro. Se for um trabalho periódico, o Macie retomará o trabalho automaticamente quando a próxima execução estiver programada para começar ou o mês subsequente começar, o que ocorrer primeiro. Se uma execução programada começar antes do início do próximo mês civil ou se a cota for aumentada para uma conta afetada, o trabalho não analisará objetos pertencentes à conta.
**Pausado (pelo usuário)**
Para qualquer tipo de trabalho, o trabalho foi interrompido temporariamente (pausado) por você.
Se você pausar um trabalho único e não retomá-lo em 30 dias, o trabalho expira e Macie o cancela. Se você pausar um trabalho periódico enquanto ele estiver em execução e não retomá-lo em 30 dias, a execução do trabalho expirará e o Macie cancelará a execução. Para verificar a data de expiração de um trabalho pausado ou execução de um trabalho, selecione o nome do trabalho na tabela e, em seguida, consulte o campo **Expira** na seção **Detalhes do status** do painel de detalhes.
Se um trabalho for cancelado ou pausado, você poderá consultar os detalhes do trabalho para determinar se o trabalho começou a ser executado ou, para um trabalho periódico, se foi executado pelo menos uma vez antes de ser cancelado ou pausado. Para fazer isso, selecione o nome do trabalho na tabela **Trabalhos** e, em seguida, consulte o painel de detalhes. No painel, o campo **Número de execuções** indica o número de vezes que o trabalho foi executado. O campo **Último horário de execução** indica a data e a hora mais recentes quando o trabalho começou a ser executado.
Dependendo do status atual do trabalho, você pode, opcionalmente, pausar, retomar ou cancelar o trabalho. Para obter mais informações, consulte [Alterar o status de um trabalho](discovery-jobs-status-change.md).
# Alterar o status de um trabalho de descoberta de dados confidenciais
Depois de criar um trabalho de descoberta de dados confidenciais, você pode pausá-lo temporariamente ou cancelá-lo de forma permanente. Quando você pausa um trabalho que está sendo executado de forma ativa, o Amazon Macie imediatamente começa a pausar todas as tarefas de processamento do trabalho. Quando você pausa um trabalho que está sendo executado de forma ativa, o Macie imediatamente começa a pausar todas as tarefas de processamento do trabalho. Você não pode retomar ou reiniciar um trabalho depois que ele for cancelado.
Se você pausar um trabalho único, poderá retomá-lo em 30 dias. Quando você retoma o trabalho, o Macie retoma imediatamente o processamento a partir do ponto em que você pausou o trabalho. O Macie não reinicia o trabalho desde o início. Se você não retomar um trabalho único em 30 dias depois de pausá-lo, ele expirará e o Macie o cancelará.
Se você pausar um trabalho periódico, poderá retomá-lo a qualquer momento. Se você retomar um trabalho periódico e o trabalho estiver inativo quando você o pausou, o Macie retomará o trabalho de acordo com o cronograma e outras definições de configuração que você escolheu ao criar o trabalho. Se você retomar um trabalho periódico e o trabalho estiver em execução quando você o pausou, a forma como Macie retoma o trabalho depende de quando você retomar o trabalho:
+ Se você retomar o trabalho dentro de 30 dias depois de pausá-lo, o Macie retomará imediatamente a execução programada mais recente a partir do ponto em que você pausou o trabalho. O Macie não reinicia a execução desde o início.
+ Se você não retomar o trabalho dentro de 30 dias após pausá-lo, a última execução agendada expirará e o Macie cancelará todas as tarefas de processamento restantes da execução. Se você retomar o trabalho subsequentemente, o Macie retomará o trabalho de acordo com o cronograma e outras definições de configuração que você escolheu ao criar o trabalho.
Para ajudá-lo a determinar quando um trabalho pausado ou a execução de um trabalho expirará, o Macie adiciona uma data de expiração aos detalhes do trabalho enquanto o trabalho está pausado. Além disso, notificamos você aproximadamente sete dias antes da expiração do trabalho ou da execução do trabalho. Notificaremos você novamente quando o trabalho ou a execução do trabalho expirar e for cancelado. Para notificá-lo, enviamos um e-mail para o endereço associado ao seu Conta da AWS. Também criamos AWS Health eventos e Amazon CloudWatch Events para sua conta. Para verificar a data de expiração usando o console, escolha o nome do trabalho na tabela na página **Trabalhos**. Em seguida, consulte o campo **Expirações** na seção **Detalhes do status** do painel de detalhes. Para verificar a data programaticamente, use a [DescribeClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-jobid.html)operação da API Amazon Macie.
**Para pausar, retomar ou cancelar um trabalho**
Para pausar, retomar ou cancelar um trabalho usando o console do Amazon Macie, siga estas etapas. Para fazer isso programaticamente, use a [UpdateClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-jobid.html)operação da API Amazon Macie.
1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. No painel de navegação, escolha **Tarefas**. A página **Trabalhos** é aberta e exibe o número de trabalhos em seu inventário e uma tabela desses trabalhos.
1. Na parte superior da página, escolha atualizar (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/btn-refresh-data.png)) para recuperar o status atual de cada trabalho.
1. Na tabela **Trabalhos**, marque a caixa de seleção do trabalho que você deseja pausar, retomar ou cancelar. Para encontrar o trabalho com mais rapidez, você pode filtrar a tabela usando as opções de filtro acima da tabela. É possível também classificar a tabela em ordem crescente ou decrescente por campos determinados.
1. No menu **Ações**, escolha uma das opções a seguir:
+ Para pausar o trabalho temporariamente, selecione **Pausar**. Essa opção estará disponível somente se o status atual da tarefa for **Ativo (Inativo)**, **Ativo (Em execução)** ou **Pausado (Pelo Macie**).
+ Para retomar o trabalho, selecione **Retomar**. Essa opção estará disponível somente se o status atual do trabalho for **Pausado (pelo usuário)**.
+ Para cancelar a operação, selecione **Cancelar**. Se escolher essa opção, não será possível retomar ou reiniciar o trabalho posteriormente.
# Copiar um trabalho de descoberta de dados confidenciais
Para criar rapidamente um trabalho de descoberta de dados confidenciais semelhante a um trabalho existente, você pode criar uma cópia do trabalho existente. Em seguida, você pode editar as configurações da cópia e salvar a cópia como um novo trabalho. Isso pode ser útil nos casos em que você deseja analisar diferentes conjuntos de dados da mesma forma ou o mesmo conjunto de dados de maneiras diferentes. Pode ser útil também se você quiser ajustar as configurações de um trabalho existente: cancele o trabalho existente, copie-o e, em seguida, ajuste e salve a cópia como um novo trabalho.
**Para copiar um trabalho**
Siga estas etapas para copiar um trabalho usando o console do Amazon Macie. Para copiar um trabalho programaticamente, use a [DescribeClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-jobid.html)operação da API do Amazon Macie para recuperar as definições de configuração do trabalho que você deseja copiar. Em seguida, use a [CreateClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs.html)operação para criar uma cópia do trabalho.
1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. No painel de navegação, escolha **Tarefas**. A página **Trabalhos** é aberta e exibe o número de trabalhos em seu inventário e uma tabela desses trabalhos.
1. Na tabela **Trabalhos**, marque a caixa de seleção do trabalho que você deseja copiar. Para encontrar o trabalho com mais rapidez, você pode filtrar a tabela usando as opções de filtro acima da tabela. É possível também classificar a tabela em ordem crescente ou decrescente por campos determinados.
1. No menu **Ações**, selecione **Copiar para novo**.
1. Conclua as etapas no console para revisar e ajustar as configurações da cópia do trabalho. Para a etapa **Refinar o escopo**, considere escolher opções que evitem que o trabalho analise os dados existentes da mesma forma novamente:
+ Para um trabalho único, use [critérios de objeto](discovery-jobs-scope.md#discovery-jobs-scope-criteria) para incluir somente os objetos que foram criados ou alterados após um determinado período. Por exemplo, se você estiver criando uma cópia de um trabalho que cancelou, adicione uma condição de **Última modificação** que especifique a data e a hora em que você cancelou o trabalho existente.
+ Para um trabalho periódico, desmarque a caixa de seleção **Incluir objetos existentes**. A primeira execução do trabalho analisa apenas os objetos que são criados ou alterados após a conclusão da criação do trabalho e antes do início da primeira execução. Você também pode usar [critérios de objeto](discovery-jobs-scope.md#discovery-jobs-scope-criteria) para excluir objetos que foram modificados pela última vez antes de uma determinada data e hora.
Para obter detalhes adicionais sobre essa e outras etapas, consulte [Criar um trabalho de descoberta de dados confidenciais](discovery-jobs-create.md).
1. Ao terminar, selecione **Enviar** para salvar a cópia como um novo trabalho.
Se você configurou o trabalho para ser executado uma vez, diariamente ou no dia da semana ou do mês atual, o Macie começará a executar o trabalho imediatamente após salvá-lo. Caso contrário, Macie se preparará para executar a tarefa no dia da semana ou do mês especificado. Para monitorar o trabalho, você pode [verificar o status do trabalho](discovery-jobs-status-check.md).
# Monitorando trabalhos confidenciais de descoberta de dados com o CloudWatch Logs
Além de [monitorar o status geral](discovery-jobs-status-check.md) de um trabalho de descoberta de dados confidenciais, você pode monitorar e analisar eventos específicos que ocorrem à medida que o trabalho progride. Você pode fazer isso usando dados de registro quase em tempo real que o Amazon Macie publica automaticamente no Amazon Logs. CloudWatch Os dados nesses logs fornecem um registro das alterações no progresso ou no status de um trabalho. Por exemplo, é possível usar os dados para determinar a data e a hora exatas em que um trabalho começou a ser executado, foi pausado ou terminou a execução.
Os dados de log também fornecem detalhes sobre quaisquer erros no nível da conta ou do bucket que ocorram durante a execução de um trabalho. Por exemplo, o Macie registrará um evento se as configurações de permissões de um bucket do Amazon Simple Storage Service (Amazon S3) impedirem que um trabalho analise objetos no bucket. O evento indica quando o erro ocorreu e identifica o bucket afetado e Conta da AWS o proprietário do bucket. Os dados desses tipos de eventos podem ajudá-lo a identificar, investigar e solucionar erros que impedem o Macie de analisar os dados que você deseja.
Com o Amazon CloudWatch Logs, você pode monitorar, armazenar e acessar arquivos de log de vários sistemas, aplicativos e Serviços da AWS, incluindo o Macie. Você também pode consultar e analisar dados de registro e configurar CloudWatch registros para notificá-lo quando determinados eventos ocorrerem ou se os limites forem atingidos. CloudWatch O Logs também fornece recursos para arquivar dados de log e exportar os dados para o Amazon S3. Para saber mais sobre CloudWatch registros, consulte o [Guia do usuário do Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html).
**Topics**
+ [Como o registro de logs funciona para trabalhos](discovery-jobs-monitor-cw-logs-configure.md)
+ [Analisar logs para trabalhos](discovery-jobs-monitor-cw-logs-review.md)
+ [Compreender eventos de logs para trabalhos](discovery-jobs-monitor-cw-logs-ref.md)
# Como o registro de logs funciona para trabalhos de descoberta de dados confidenciais
Quando você começa a executar trabalhos confidenciais de descoberta de dados, o Amazon Macie cria e configura automaticamente os recursos apropriados no Amazon CloudWatch Logs para registrar eventos para todos os seus trabalhos. Em seguida, o Macie publica dados de eventos nesses recursos automaticamente quando seus trabalhos são executados. A política de permissões para a [função vinculada ao serviço](service-linked-roles.md) Macie para a sua conta permite que o Macie execute essas tarefas em seu nome. Você não precisa tomar nenhuma medida para criar ou configurar recursos no CloudWatch Logs para registrar dados de eventos para seus trabalhos.
Em CloudWatch Registros, os registros são organizados em *grupos de registros*. Cada grupo de logs contém *fluxos de logs*. Cada fluxo de logs contém *eventos de logs*. O objetivo geral de cada um desses recursos é o seguinte:
+ Um *grupo de logs* é uma coleção de fluxos de log que compartilham as mesmas configurações de retenção, monitoramento e controle de acesso, por exemplo, a coleção de logs de todos os trabalhos de descoberta de dados confidenciais.
+ Um *fluxo de logs* é uma sequência de eventos de log que compartilham a mesma origem, por exemplo, um trabalho de descoberta de dados confidenciais individual.
+ Um *evento de log* é um registro de uma atividade que foi registrada por um aplicativo ou recurso, por exemplo, um evento individual que o Macie registrou e publicou para um trabalho específico de descoberta de dados confidenciais.
O Macie publica eventos para todos os trabalhos de descoberta de dados confidenciais em um grupo de logs. Cada trabalho tem um fluxo de logs exclusivo nesse grupo de logs. O grupo de logs tem o seguinte prefixo e nome:
`/aws/macie/classificationjobs`
Se esse grupo de logs já existir, o Macie o usará para armazenar eventos de logs para seus trabalhos. Isso pode ser útil se a sua organização usar a configuração automatizada, como o [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html), para criar grupos de logs com períodos de retenção predefinidos, configurações de criptografia, tags, filtros de métrica e assim por diante para eventos de trabalho.
Se esse grupo de registros não existir, o Macie o criará com as configurações padrão que o CloudWatch Logs usa para novos grupos de registros. As configurações incluem um período de retenção de registros de **Never Expire**, o que significa que o CloudWatch Logs armazena os registros indefinidamente. Você pode alterar o período de retenção para o grupo de logs. Para saber como, consulte Como [trabalhar com grupos e fluxos de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html) no *Guia do usuário do Amazon CloudWatch Logs*.
Dentro desse grupo de logs, o Macie cria um fluxo de logs exclusivo para cada trabalho executado, na primeira vez em que o trabalho é executado. O nome do fluxo de logs é o identificador exclusivo do trabalho, como `85a55dc0fa6ed0be5939d0408example`, no formato a seguir:
`/aws/macie/classificationjobs/85a55dc0fa6ed0be5939d0408example`
Cada fluxo de logs contém todos os eventos de logs que o Macie registrou e publicou para o trabalho correspondente. Para trabalhos periódicos, isso inclui eventos para todas as execuções do trabalho. Se você excluir o fluxo de log de um trabalho periódico, o Macie criará o fluxo novamente na próxima vez em que o trabalho for executado. Se você excluir o fluxo de logs de um trabalho único, não poderá restaurá-lo.
Observe que o log está ativado por padrão para todos os trabalhos. Você não pode desativá-lo ou impedir que o Macie publique eventos de trabalho no CloudWatch Logs. Se você não quiser armazenar os logs, poderá reduzir o período de retenção do grupo de logs para apenas um dia. Ao final do período de retenção, o CloudWatch Logs exclui automaticamente os dados de eventos expirados do grupo de registros.
# Analisar logs para trabalhos de descoberta de dados confidenciais
Depois de começar a executar trabalhos confidenciais de descoberta de dados no Amazon Macie, você pode revisar os registros de seus trabalhos usando o Amazon CloudWatch Logs. CloudWatch O Logs fornece recursos projetados para ajudar você a revisar, analisar e monitorar dados de registro. Você pode usar esses recursos para trabalhar com fluxos de registro e eventos para trabalhos da mesma forma que trabalharia com qualquer outro tipo de dados de registro no CloudWatch Logs.
Por exemplo, você pode pesquisar e filtrar dados agregados para identificar tipos específicos de eventos que ocorreram em todos os seus trabalhos durante um período específico. Ou você pode realizar uma análise direcionada de todos os eventos que ocorreram em um determinado trabalho. CloudWatch O Logs também oferece opções para monitorar dados de registro, definir filtros métricos e criar alarmes personalizados.
**dica**
Para navegar rapidamente até os dados de log de um trabalho específico, você pode usar o console do Amazon Macie. Para fazer isso, escolha o nome do trabalho na página **Trabalhos**. Na parte superior do painel de detalhes, escolha **Mostrar resultados** e, em seguida, escolha **Mostrar CloudWatch registros**. Macie abre o CloudWatch console da Amazon e exibe uma tabela de eventos de log para o trabalho.
**Para analisar logs para trabalhos de descoberta de dados confidenciais**
Siga estas etapas para navegar e revisar os dados de log usando o CloudWatch console da Amazon. Para revisar os dados de forma programática, use a API [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/Welcome.html).
1. Abra o CloudWatch console em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Usando o Região da AWS seletor no canto superior direito da página, escolha a região na qual você executou trabalhos para os quais deseja revisar os registros.
1. No painel de navegação, escolha **Logs** e, em seguida, escolha **Grupos de logs**.
1. Na página **Grupos de registros**, escolha o grupo**/aws/macie/classificationjobs**log. CloudWatch exibe uma tabela de fluxos de log para os trabalhos que você executou. Há um fluxo exclusivo para cada trabalho. O nome de cada fluxo está correlacionado ao identificador exclusivo de um trabalho.
1. Na guia **Fluxos de logs**, siga um destes procedimentos:
+ Para analisar os eventos de logs de um trabalho específico, selecione o fluxo de logs do trabalho. Para encontrar o fluxo com mais facilidade, insira o identificador exclusivo do trabalho na caixa de filtro acima da tabela. Depois de escolher o fluxo de log, CloudWatch exibe uma tabela de eventos de log para o trabalho.
+ Para revisar os eventos de registro de todos os seus trabalhos, escolha **Pesquisar todos os fluxos de registro**. CloudWatch exibe uma tabela de eventos de log para todos os seus trabalhos.
1. (Opcional) Na caixa de filtro acima da tabela, insira termos, frases ou valores que especifiquem as características de eventos específicos a serem analisados. Para obter mais informações, consulte [Pesquisar dados de log usando padrões de filtro](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/SearchDataFilterPattern.html) no *Guia do usuário do Amazon CloudWatch Logs*.
1. Para revisar os detalhes de um evento de registro específico, escolha expandir (![\[The expand row icon, which is a right-facing solid arrow.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/icon-caret-right-filled.png)) na linha do evento. CloudWatch exibe os detalhes do evento no formato JSON. Para saber mais sobre esses detalhes, consulte [Compreender eventos de logs para trabalhos](discovery-jobs-monitor-cw-logs-ref.md).
Ao se familiarizar com os dados nos eventos de logs, você pode realizar tarefas adicionais para agilizar a análise e o monitoramento dos dados. Por exemplo, você pode [criar filtros de métricas](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/MonitoringLogData.html) que transformam dados de registro em CloudWatch métricas numéricas. Você também pode [criar alarmes personalizados](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) que facilitam a identificação e a resposta a eventos de logs específicos. Para obter mais informações, consulte o [Guia do usuário do Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html).
# Compreender eventos de logs para trabalhos de descoberta de dados confidenciais
Para ajudar você a monitorar seus trabalhos confidenciais de descoberta de dados, o Amazon Macie publica automaticamente os dados de registro dos trabalhos no Amazon Logs. CloudWatch Os dados nesses logs fornecem um registro das alterações no progresso ou no status de um trabalho. Por exemplo, é possível usar os dados para determinar a data e a hora exatas em que um trabalho começou a ser executado ou acabou de ser executado. Os dados também fornecem detalhes sobre certos tipos de erros que podem ocorrer durante a execução de um trabalho. Esses dados podem ajudá-lo a identificar, investigar e solucionar erros que impedem o Macie de analisar os dados que você deseja.
Quando você começa a executar trabalhos, o Macie cria e configura automaticamente os recursos apropriados no CloudWatch Logs para registrar eventos para todos os seus trabalhos. Em seguida, o Macie publica dados de eventos nesses recursos automaticamente quando seus trabalhos são executados. Para obter mais informações, consulte [Como o registro de logs funciona para trabalhos](discovery-jobs-monitor-cw-logs-configure.md).
Ao usar o CloudWatch Logs, você pode então consultar e analisar os dados de registro de seus trabalhos. Por exemplo, você pode pesquisar e filtrar dados agregados para identificar tipos específicos de eventos que ocorreram em todos os seus trabalhos durante um período específico. Ou você pode realizar uma análise direcionada de todos os eventos que ocorreram em um determinado trabalho. CloudWatch O Logs também oferece opções para monitorar dados de registro, definir filtros métricos e criar alarmes personalizados. Por exemplo, você pode configurar o CloudWatch Logs para notificá-lo se um determinado tipo de evento ocorrer durante a execução dos trabalhos. Para obter mais informações, consulte o [Guia do usuário do Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html).
**Contents**
+ [Esquema de eventos de logs para trabalhos](#discovery-jobs-monitor-cw-logs-schema)
+ [Tipos de eventos de logs para trabalhos](#discovery-jobs-monitor-cw-logs-event-index)
+ [Eventos de status de trabalho](#discovery-jobs-monitor-cw-logs-event-index-status)
+ [Eventos de erro no nível da conta](#discovery-jobs-monitor-cw-logs-event-index-account-errors)
+ [Eventos de erro em nível de bucket](#discovery-jobs-monitor-cw-logs-event-index-bucket-errors)
## Esquema de eventos de logs para trabalhos de descoberta de dados confidenciais
Cada evento de log para um trabalho confidencial de descoberta de dados é um objeto JSON que contém um conjunto padrão de campos e está em conformidade com o esquema de eventos do Amazon CloudWatch Logs. Alguns tipos de eventos têm campos adicionais que fornecem informações particularmente úteis para esse tipo de evento. Por exemplo, eventos de erros no nível da conta incluem o ID da conta para a Conta da AWS afetada. Os eventos de erros no nível do bucket incluem o nome do bucket do Amazon Simple Storage Service (Amazon S3) afetado.
O exemplo a seguir mostra o esquema de eventos de logs para trabalhos de descoberta de dados confidenciais. Neste exemplo, o evento relata que o Amazon Macie não conseguiu analisar nenhum objeto em um bucket do S3 porque o Amazon S3 negou acesso ao bucket.
```
{
"adminAccountId": "123456789012",
"jobId": "85a55dc0fa6ed0be5939d0408example",
"eventType": "BUCKET_ACCESS_DENIED",
"occurredAt": "2024-04-14T17:11:30.574809Z",
"description": "Macie doesn’t have permission to access the affected S3 bucket.",
"jobName": "My_Macie_Job",
"operation": "ListObjectsV2",
"runDate": "2024-04-14T17:08:30.345809Z",
"affectedAccount": "111122223333",
"affectedResource": {
"type": "S3_BUCKET_NAME",
"value": "amzn-s3-demo-bucket"
}
}
```
No exemplo anterior, Macie tentou listar os objetos do bucket usando a operação [ListObjectsV2 da API](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html) do Amazon S3. Quando o Macie enviou a solicitação para o Amazon S3, o Amazon S3 negou o acesso ao bucket.
Os campos a seguir são comuns a todos os eventos de logs para trabalhos de descoberta de dados confidenciais:
+ `adminAccountId`: o identificador para a Conta da AWS que criou o trabalho.
+ `jobId`: o identificador exclusivo para o trabalho.
+ `eventType`: o tipo de evento que ocorreu.
+ `occurredAt`: a data e a hora, no formato Tempo Universal Coordenado (UTC) e ISO 8601 estendido, quando o evento ocorreu.
+ `description`: uma breve descrição do evento.
+ `jobName`: o nome do trabalho.
Dependendo do tipo e da natureza de um evento, um evento de logs também pode conter os seguintes campos:
+ `affectedAccount`: o identificador único para o Conta da AWS que é proprietário do recurso afetado.
+ `affectedResource`: um objeto JSON que fornece detalhes sobre o recurso afetado. No objeto, o campo `type` especifica um campo que armazena metadados sobre um recurso. O campo `value` especifica o valor para o campo (`type`).
+ `operation`: a operação que Macie tentou realizar e causou o erro.
+ `runDate`: a data e a hora, no formato Tempo Universal Coordenado (UTC) e ISO 8601 estendido, quando o começou o trabalho ou a execução do trabalho aplicável.
## Tipos de eventos de logs para trabalhos de descoberta de dados confidenciais
O Amazon Macie publica eventos de logs para três categorias de eventos que podem ocorrer para um trabalho de descoberta de dados confidenciais:
+ Eventos de status do trabalho, que registram alterações no status ou no progresso de um trabalho ou da execução de um trabalho.
+ Eventos de erro no nível da conta, que registram erros que impediram o Macie de analisar dados do Amazon S3 para um dado específico. Conta da AWS
+ Eventos de erro no nível de bucket, que registram erros que impediram o Macie de analisar dados do Amazon S3 para um bucket específico.
Os tópicos desta seção listam e descrevem os tipos de eventos que o Macie publica para cada categoria.
### Eventos de status de trabalho
Um evento de status do trabalho registra uma alteração no status, no progresso de um trabalho ou uma execução de um trabalho. Para trabalhos periódicos, o Macie registra e publica esses eventos tanto para o trabalho geral, quanto para as execuções individuais.
O exemplo a seguir usa dados de amostra para mostrar a estrutura e a natureza dos campos em um evento de status do trabalho. Neste exemplo, um evento `SCHEDULED_RUN_COMPLETED` indica que a execução programada de um trabalho periódico terminou de ser executada. A execução começou em 14 de abril de 2024, às 17:09:30 UTC, conforme indicado pelo campo `runDate`. A execução acabou em 14 de abril de 2024, às 17:16:30 UTC, conforme indicado pelo campo `occurredAt`.
```
{
"adminAccountId": "123456789012",
"jobId": "ffad0e71455f38a4c7c220f3cexample",
"eventType": "SCHEDULED_RUN_COMPLETED",
"occurredAt": "2024-04-14T17:16:30.574809Z",
"description": "The scheduled job run finished running.",
"jobName": "My_Daily_Macie_Job",
"runDate": "2024-04-14T17:09:30.574809Z"
}
```
A tabela a seguir lista e descreve os tipos de eventos de status do trabalho que o Macie registra e publica no Logs. CloudWatch A coluna **Tipo de evento** indica o nome de cada evento conforme ele aparece no campo `eventType` de um evento. A coluna **Descrição** fornece uma breve descrição do evento conforme ele aparece no campo `description` de um evento. As **informações adicionais** fornecem informações sobre o tipo de trabalho ao qual o evento se aplica. A tabela é classificada primeiro pela ordem cronológica geral na qual os eventos podem ocorrer e, em seguida, em ordem alfabética crescente por tipo de evento.
| Tipo de evento | Description | Mais informações |
| --- | --- | --- |
| JOB\$1CREATED | O trabalho foi criado. | Aplica-se a trabalhos únicos e periódicos. |
| ONE\$1TIME\$1JOB\$1STARTED | O trabalho começou a ser executado. | Aplica-se somente a trabalhos únicos. |
| SCHEDULED\$1RUN\$1STARTED | A execução agendada do trabalho começou a ser executada. | Aplica-se somente a trabalhos periódicos. Para registrar o início de um trabalho único, o Macie publica um evento ONE\$1TIME\$1JOB\$1STARTED, não esse tipo de evento. |
| BUCKET\$1MATCHED\$1THE\$1CRITERIA | O bucket afetado correspondia aos critérios do bucket especificados para o trabalho. | Aplica-se a trabalhos únicos e periódicos que usam critérios de runtime bucket para determinar quais buckets do S3 devem ser analisados. O objeto `affectedResource` especifica o nome do bucket que correspondeu aos critérios e foi incluído na análise do trabalho. |
| NO\$1BUCKETS\$1MATCHED\$1THE\$1CRITERIA | O trabalho começou a ser executado, mas nenhum bucket atualmente corresponde aos critérios de buckets especificados para o trabalho. O trabalho não analisou nenhum dado. | Aplica-se a trabalhos únicos e periódicos que usam critérios de runtime bucket para determinar quais buckets do S3 devem ser analisados. |
| EXECUÇÃO\$1PROGRAMADA\$1CONCLUÍDA | A execução agendada do trabalho terminou de ser executada. | Aplica-se somente a trabalhos periódicos. Para registrar a conclusão de um trabalho único, o Macie publica um evento JOB\$1COMPLETED, não esse tipo de evento. |
| JOB\$1PAUSED\$1BY\$1USER | O trabalho foi pausado por um usuário. | Aplica-se a trabalhos únicos e periódicos que você interrompeu temporariamente (pausados). |
| JOB\$1RESUMED\$1BY\$1USER | O trabalho foi retomado por um usuário. | Aplica-se a trabalhos únicos e periódicos que você interrompeu temporariamente (pausados) e retomou depois. |
| JOB\$1PAUSED\$1BY\$1MACIE\$1SERVICE\$1QUOTA\$1MET | O trabalho foi pausado pelo Macie. A conclusão do trabalho excederia a cota mensal para a conta afetada. | Aplica-se a trabalhos únicos e periódicos que o Macie interrompeu temporariamente (pausados). O Macie pausa automaticamente um trabalho quando o processamento adicional do trabalho ou da execução de um trabalho excede a [cota mensal de descoberta de dados confidenciais](macie-quotas.md) de uma ou mais contas para as quais o trabalho analisa dados. Para evitar esse problema, considere aumentar a cota das contas afetadas. |
| JOB\$1RESUMED\$1BY\$1MACIE\$1SERVICE\$1QUOTA\$1LIFTED | O trabalho foi retomado pelo Macie. A cota de serviço mensal foi elevada para a conta afetada. | Aplica-se a trabalhos únicos e periódicos que o Macie interrompeu temporariamente (pausados) e retomou depois. Se o Macie pausar automaticamente um trabalho único, o Macie retomará o trabalho da mesma forma quando o mês seguinte começar ou a cota mensal de descoberta de dados confidenciais for aumentada para todas as contas afetadas, o que ocorrer primeiro. Se o Macie pausar automaticamente um trabalho periódico, o Macie retomará automaticamente o trabalho quando a próxima execução estiver programada para começar ou o mês subsequente começar, o que ocorrer primeiro. |
| JOB\$1CANCELLED | O trabalho foi cancelado. | Aplica-se a trabalhos únicos e periódicos que você interrompeu permanentemente (cancelados) ou, no caso de trabalhos únicos, pausados e que não foram retomados em 30 dias. Se você suspender ou desativar o Macie, esse tipo de evento também se aplica aos trabalhos que estavam ativos ou pausados quando você suspendeu ou desativou o Macie. O Macie cancela automaticamente seus trabalhos Região da AWS se você suspender ou desativar o Macie na região. |
| JOB\$1COMPLETED | O trabalho terminou de ser executado. | Aplica-se somente a trabalhos únicos. Para registrar a conclusão de um trabalho único, o Macie publica um evento SCHEDULED\$1RUN\$1COMPLETED, não esse tipo de evento. |
### Eventos de erro no nível da conta
Um evento de erro no nível da conta registra um erro que impediu o Macie de analisar objetos em buckets do S3 que são de propriedade de uma pessoa específica. Conta da AWS O campo `affectedAccount` em cada evento especifica o ID para aquela conta.
O exemplo a seguir usa dados de amostra para exibir a estrutura e a natureza dos campos em um evento de erro em nível de conta. Neste exemplo, um evento `ACCOUNT_ACCESS_DENIED` indica que o Macie não conseguiu analisar objetos em nenhum bucket do S3 pertencente à conta `444455556666`.
```
{
"adminAccountId": "123456789012",
"jobId": "85a55dc0fa6ed0be5939d0408example",
"eventType": "ACCOUNT_ACCESS_DENIED",
"occurredAt": "2024-04-14T17:08:30.585709Z",
"description": "Macie doesn’t have permission to access S3 bucket data for the affected account.",
"jobName": "My_Macie_Job",
"operation": "ListBuckets",
"runDate": "2024-04-14T17:05:27.574809Z",
"affectedAccount": "444455556666"
}
```
A tabela a seguir lista e descreve os tipos de eventos de erro em nível de conta que o Macie registra e publica no Logs. CloudWatch A coluna **Tipo de evento** indica o nome de cada evento conforme ele aparece no campo `eventType` de um evento. A coluna **Descrição** fornece uma breve descrição do evento conforme ele aparece no campo `description` de um evento. A coluna **Informações adicionais** fornece todas as dicas aplicáveis para investigar ou solucionar o erro que ocorreu. A tabela é classificada em ordem alfabética crescente por tipo de evento.
| Tipo de evento | Description | Mais informações |
| --- | --- | --- |
| ACCOUNT\$1ACCESS\$1DENIED | O Macie não tem permissão para acessar os dados do bucket do S3 da conta afetada. | Isso geralmente ocorre porque os buckets que pertencem à conta têm políticas restritivas de bucket. Para obter informações sobre como resolver esse problema, consulte [Permitindo que o Amazon Macie acesse buckets e objetos do S3](monitoring-restrictive-s3-buckets.md). O valor do campo `operation` no evento pode ajudá-lo a determinar quais configurações de permissões impediram o Macie de acessar os dados do S3 da conta. Esse campo indica a operação do Amazon S3 que o Macie tentou realizar quando o erro ocorreu. |
| ACCOUNT\$1DISABLED | O trabalho ignorou recursos que são de propriedade da conta afetada. O Macie foi desativado para a conta. | Para resolver esse problema, reative o Macie para a conta no mesmo Região da AWS. |
| ACCOUNT\$1DISASSOCIATED | O trabalho ignorou recursos que são de propriedade da conta afetada. A conta não está mais associada à sua conta de administrador do Macie como conta de membro. | Isso ocorre se você, como administrador do Macie de uma organização, configurar um trabalho para analisar dados de uma conta de membro e a conta for posteriormente removida da sua organização. Para resolver esse problema, associe novamente a conta afetada à sua conta de administrador do Macie como conta de membro. Para obter mais informações, consulte [Gerenciar várias contas](macie-accounts.md). |
| ACCOUNT\$1ISOLATED | O trabalho ignorou recursos que são de propriedade da conta afetada. Eles Conta da AWS estavam isolados. | – |
| ACCOUNT\$1REGION\$1DISABLED | O trabalho ignorou recursos que são de propriedade da conta afetada. O Conta da AWS não está ativo na corrente Região da AWS. | – |
| ACCOUNT\$1SUSPENDED | O trabalho cancelou ou ignorou recursos que são de propriedade da conta afetada. O Macie foi suspenso pela conta. | Se a conta especificada for sua própria conta, o Macie cancelou automaticamente o trabalho quando você suspendeu Macie na mesma região. Para resolver o problema, reative o Macie na Região. Se a conta especificada for uma conta de membro, reative o Macie para essa conta na mesma região. |
| ACCOUNT\$1TERMINATED | O trabalho ignorou recursos que são de propriedade da conta afetada. O Conta da AWS foi encerrado. | – |
### Eventos de erro em nível de bucket
Um evento de erro no nível da conta registra um erro que impediu o Macie de analisar objetos em bucket S3 específico. O `affectedAccount` campo em cada evento especifica o ID da conta do Conta da AWS proprietário do bucket. O objeto `affectedResource` em cada evento especifica o nome do bucket.
O exemplo a seguir usa dados de amostra para exibir a estrutura e a natureza dos campos em um evento de erro em nível de bucket. Neste exemplo, um evento `BUCKET_ACCESS_DENIED` indica que o Macie não conseguiu analisar objetos no bucket do S3 chamado `amzn-s3-demo-bucket`. Quando Macie tentou listar os objetos do bucket usando a operação [ListObjectsV2](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html) da API do Amazon S3, o Amazon S3 negou acesso ao bucket.
```
{
"adminAccountId": "123456789012",
"jobId": "85a55dc0fa6ed0be5939d0408example",
"eventType": "BUCKET_ACCESS_DENIED",
"occurredAt": "2024-04-14T17:11:30.574809Z",
"description": "Macie doesn’t have permission to access the affected S3 bucket.",
"jobName": "My_Macie_Job",
"operation": "ListObjectsV2",
"runDate": "2024-04-14T17:09:30.685209Z",
"affectedAccount": "111122223333",
"affectedResource": {
"type": "S3_BUCKET_NAME",
"value": "amzn-s3-demo-bucket"
}
}
```
A tabela a seguir lista e descreve os tipos de eventos de erro em nível de bucket que o Macie registra e publica no Logs. CloudWatch A coluna **Tipo de evento** indica o nome de cada evento conforme ele aparece no campo `eventType` de um evento. A coluna **Descrição** fornece uma breve descrição do evento conforme ele aparece no campo `description` de um evento. A coluna **Informações adicionais** fornece todas as dicas aplicáveis para investigar ou solucionar o erro que ocorreu. A tabela é classificada em ordem alfabética crescente por tipo de evento.
| Tipo de evento | Description | Mais informações |
| --- | --- | --- |
| BUCKET\$1ACCESS\$1DENIED | O Macie não tem permissão para acessar o bucket do S3 afetado. | Isso geralmente ocorre porque um bucket tem uma política restritiva de bucket. Para obter informações sobre como resolver esse problema, consulte [Permitindo que o Amazon Macie acesse buckets e objetos do S3](monitoring-restrictive-s3-buckets.md). O valor do campo `operation` no evento pode ajudá-lo a determinar quais configurações de permissões impediram o Macie de acessar o bucket. Esse campo indica a operação do Amazon S3 que o Macie tentou realizar quando o erro ocorreu. |
| BUCKET\$1DETAILS\$1UNAVAILABLE | Um problema temporário impediu que o Macie recuperasse detalhes sobre o bucket e sobre os objetos do bucket. | Isso ocorre se um problema transitório impediu que o Macie recuperasse os metadados do bucket e do objeto necessários para analisar os objetos de um bucket. Por exemplo, uma exceção do Amazon S3 ocorreu quando o Macie tentou verificar se tinha permissão para acessar o bucket. Para resolver o problema de um trabalho único, considere criar e executar um novo trabalho único para analisar objetos no bucket. Para um trabalho agendado, o Macie tentará recuperar os metadados novamente durante a próxima execução do trabalho. |
| BUCKET\$1DOES\$1NOT\$1EXIST | O bucket S3 afetado não existe mais. | Isso geralmente ocorre porque um bucket foi excluído. |
| BUCKET\$1IN\$1DIFFERENT\$1REGION | O bucket do S3 afetado foi movido para um Região da AWS diferente. | – |
| BUCKET\$1OWNER\$1CHANGED | O proprietário do bucket S3 afetado foi alterado. O Macie não tem mais permissão para acessar o bucket. | Isso geralmente ocorre se a propriedade de um bucket foi transferida para um Conta da AWS que não faz parte da sua organização. O campo `affectedAccount` no evento indica a ID da conta para a conta que anteriormente possuía o bucket. |
# Prever e monitorar os custos para a tarefas de descoberta de dados confidenciais
Os preços do Amazon Macie são baseados parcialmente na quantidade de dados que você analisa executando trabalhos confidenciais de descoberta de dados. Para prever e monitorar seus custos previstos para executar trabalhos de descoberta de dados confidenciais, você pode revisar as estimativas de custo que o Macie fornece quando você cria um trabalho e depois de começar a executar trabalhos.
Para revisar e monitorar seus custos reais, você pode usar Gerenciamento de Faturamento e Custos da AWS. Gerenciamento de Faturamento e Custos da AWS fornece recursos projetados para ajudá-lo a rastrear e analisar seus custos e gerenciar orçamentos para sua conta ou organização. Serviços da AWS Ele também fornece atributos que podem ajudar você a prever os custos de uso com base em dados históricos. Para saber mais, consulte o [Manual do usuário do AWS Billing](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-what-is.html).
Para informações sobre a definição de preços do Macie, consulte a definição de preços do [Amazon Macie](https://aws.amazon.com/macie/pricing/).
**Topics**
+ [Prever o custo de um trabalho](#discovery-jobs-costs-forecast)
+ [Monitorando os custos estimados dos trabalhos](#discovery-jobs-costs-track)
## Prever o custo de um trabalho de descoberta de dados confidenciais
Quando você cria um trabalho de descoberta de dados confidenciais, o Amazon Macie pode calcular e exibir os custos aproximados em duas etapas principais no processo de criação do trabalho: quando você revisa a tabela de buckets do S3 que você selecionou para o trabalho (etapa 2) e quando você revisa todas as configurações do trabalho (etapa 8). Essas estimativas podem ajudar você a determinar se deve ajustar as configurações da tarefa antes de salvar o trabalho. A disponibilidade e a natureza das estimativas dependem das configurações que você escolher para o trabalho.
**Análise dos custos estimados para buckets individuais (etapa 2)**
Se você selecionar explicitamente buckets individuais para um trabalho de análise, você poderá revisar o custo estimado da análise de objetos em cada um desses buckets. O Macie exibe essas estimativas durante a etapa 2 do processo de criação do trabalho, quando você revisa as seleções do seu bucket. Na tabela dessa etapa, o campo **Custo estimado indica o custo** total estimado (em dólares americanos) de executar o trabalho uma vez para analisar objetos em um bucket.
Cada estimativa reflete a quantidade prevista de dados não compactados que o trabalho analisará em um bucket, com base no tamanho e nos tipos de objetos atualmente armazenados no bucket. A estimativa também reflete os preços atuais Região da AWS de Macie.
Somente objetos classificáveis são incluídos na estimativa de custo de um bucket. Um *objeto classificável* é um objeto S3 que usa uma [classe de armazenamento compatível do Amazon S3](discovery-supported-storage.md#discovery-supported-s3-classes) e tem uma extensão de arquivo para um [arquivo ou formato de armazenamento compatível](discovery-supported-storage.md#discovery-supported-formats). Se quaisquer objetos classificáveis forem itens compactados ou arquivados, a estimativa pressupõe que os arquivos usam uma taxa de compactação de 3:1 e que a tarefa possa analisar todos os arquivos extraídos.
**Revisando o custo total estimado de um trabalho (etapa 8)**
Se você criar um trabalho avulso ou criar e configurar um trabalho periódico para incluir objetos S3 existentes, o Macie calcula e exibe o custo total estimado do trabalho durante a última etapa do processo de criação do trabalho. Você pode revisar essa estimativa enquanto revisa e verifica todas as configurações selecionadas para o trabalho.
Essa estimativa indica o custo total projetado (em dólares americanos) de executar o trabalho uma vez na região atual. A estimativa reflete a quantidade projetada de dados não compactados que o trabalho irá analisar. Ela se baseia no tamanho e nos tipos de objetos atualmente armazenados em buckets que você selecionou explicitamente para o trabalho ou em até 500 buckets que atualmente correspondem aos critérios de buckets que você especificou para o trabalho, dependendo das configurações do trabalho.
Observe que essa estimativa não reflete nenhuma opção que você selecionou para refinar e reduzir o escopo do trabalho. Por exemplo, uma menor profundidade de amostragem ou critérios que excluam determinados objetos S3 do trabalho. Ela também não reflete sua [cota mensal de descoberta de dados confidenciais](macie-quotas.md), o que pode limitar o escopo e o custo da análise do trabalho, ou quaisquer descontos que poderiam se aplicar à sua conta.
Além do custo total estimado do trabalho, a estimativa fornece dados agregados que oferecem uma visão sobre o escopo e o custo projetados do trabalho:
+ Os valores de **tamanho** indicam o tamanho total de armazenamento dos objetos que o trabalho pode ou não analisar.
+ Os valores de **contagem de objetos** indicam o número total de objetos que o trabalho pode ou não analisar.
Nesses valores, um objeto **Classificável** é um objeto S3 que usa uma [classe de armazenamento compatível do Amazon S3](discovery-supported-storage.md#discovery-supported-s3-classes) e tem uma extensão de arquivo para um [arquivo ou formato de armazenamento compatível](discovery-supported-storage.md#discovery-supported-formats). Somente objetos classificáveis são incluídos na estimativa de custo. Um objeto **Inclassificável** é um objeto que não utiliza uma classe de armazenamento ou não possui uma extensão de nome de arquivos suportados ou um formato de armazenamento compatível. Esses objetos não são incluídos na estimativa de custo.
A estimativa fornece dados agregados adicionais para objetos do S3 que são arquivos compactados ou arquivados. O valor **Compactado** indica o tamanho total de armazenamento dos objetos que usam uma classe de armazenamento do Amazon S3 e têm uma extensão de nome de arquivo para um tipo compatível de arquivo compactado ou de arquivamento. O valor **Descompactado** indica o tamanho aproximado desses objetos se eles estiverem descompactados, com base em uma taxa de compactação especificada. Esses dados são relevantes devido à forma como o Macie analisa arquivos compactados e arquivados.
Quando o Macie analisa um arquivo compactado ou arquivado, ele inspeciona o arquivo completo e o conteúdo do arquivo. Para inspecionar o conteúdo do arquivo, o Macie descompacta o arquivo e, em seguida, inspeciona cada arquivo extraído que usa um formato compatível. A quantidade real de dados que um trabalho analisa, portanto, depende do seguinte:
+ Se um arquivo usa compactação e, em caso afirmativo, a taxa de compactação que ele usa.
+ O número, tamanho e formato dos arquivos extraídos.
Por default, o Macie assume o seguinte ao calcular as estimativas de custo de um trabalho:
+ Todos os arquivos compactados e arquivados usam uma taxa de compactação de 3:1.
+ Todos os arquivos extraídos usam um formato de arquivo ou armazenamento compatível.
Essas suposições podem resultar em uma estimativa de tamanho maior para o escopo dos dados que o trabalho analisará e, consequentemente, uma estimativa de custo mais alta para o trabalho.
Você pode recalcular o custo total estimado do trabalho com base em uma taxa de compressão diferente. Para fazer isso, escolha a taxa na lista **Escolha uma taxa de compressão estimada** na seção **Custo estimado**. Em seguida, o Macie atualiza a estimativa para corresponder à sua seleção.
Para obter mais informações sobre como o Macie calcula os custos estimados, consulte [Entender os custos de uso estimados](account-mgmt-costs-calculations.md).
## Monitorando os custos estimados para tarefas de descoberta de dados confidenciais
Se você já estiver executando trabalhos confidenciais de descoberta de dados, a página de **Uso** no console do Amazon Macie pode ajudá-lo a monitorar o custo estimado desses trabalhos. A página mostra seus custos estimados (em dólares americanos) para usar o Macie atualmente Região da AWS durante o mês civil atual. Para obter mais informações sobre como o Macie calcula custos estimados, consulte [Entender os custos de uso estimados](account-mgmt-costs-calculations.md).
**Para revisar seus custos estimados de execução de trabalhos**
1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. Usando o Região da AWS seletor no canto superior direito da página, escolha a região na qual você deseja revisar seus custos estimados.
1. No painel de navegação, escolha **Uso**.
1. Na página **Uso**, consulte o detalhamento dos custos estimados da sua conta. O item **Trabalhos de descoberta de dados confidenciais** relata o custo total estimado dos trabalhos que você executou até agora durante o mês atual na Região.
Se você for o administrador do Macie de uma organização, a seção **Custos estimados** mostra os custos estimados para a sua organização em geral para o mês atual na Região atual. Para exibir o custo total estimado dos trabalhos que foram executados para uma conta específica, escolha a conta na tabela. Em seguida, a seção **Custos estimados** mostra um detalhamento dos custos estimados da conta, incluindo o custo estimado dos trabalhos que foram executados. Para mostrar esses dados de uma conta diferente, escolha a conta na tabela. Para limpar a seleção da conta, escolha **X** ao lado da ID da conta.
Para revisar e monitorar seus custos reais, use [Gerenciamento de Faturamento e Custos da AWS](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-what-is.html).
# Identificadores de dados gerenciados recomendados para trabalhos de descoberta de dados sigilosos
Para otimizar os resultados de seus trabalhos de descoberta de dados sigilosos, você pode configurar trabalhos individuais para usar automaticamente o conjunto de identificadores de dados gerenciados que recomendamos para trabalhos. Um *identificador de dados gerenciados* é um conjunto de critérios e técnicas incorporados projetados para detectar um tipo específico de dados confidenciais, por exemplo, chaves de acesso AWS secretas, números de cartão de crédito ou números de passaporte de um determinado país ou região.
O conjunto recomendado de identificadores de dados gerenciados foi projetado para detectar categorias e tipos comuns de dados sigilosos. Com base em nossa pesquisa, ele pode detectar categorias gerais e tipos de dados sigilosos e, ao mesmo tempo, otimizar os resultados do seu trabalho ao reduzir o ruído. À medida que lançamos novos identificadores de dados gerenciados, nós os adicionamos a esse conjunto se for provável que otimizem ainda mais os resultados do seu trabalho. Com o tempo, também podemos adicionar ou remover identificadores de dados gerenciados existentes do conjunto. Se adicionarmos ou removermos um identificador de dados gerenciados do conjunto recomendado, atualizaremos esta página para indicar a natureza e o momento da alteração. Para receber alertas automáticos sobre alterações nesta página, assine o feed RSS na página do [Histórico de documentos do Macie](doc-history.md).
Ao criar um trabalho de descoberta de dados sigilosos, você especifica quais identificadores de dados gerenciados deseja que o trabalho use para analisar objetos nos buckets do Amazon Simple Storage Service (Amazon S3). Para configurar um trabalho para usar o conjunto recomendado de identificadores de dados gerenciados, selecione a opção *Recomendado* ao criar o trabalho. O trabalho então usará automaticamente todos os identificadores de dados gerenciados que estão no conjunto recomendado quando o trabalho começar a ser executado. Se você escolher essa opção e configurar o trabalho para ser executado mais de uma vez, cada execução usará automaticamente todos os identificadores de dados gerenciados que estão no conjunto recomendado quando a execução é iniciada.
Os tópicos a seguir listam os identificadores de dados gerenciados que estão atualmente no conjunto recomendado, organizados por categoria e tipo de dados sigilosos. Eles especificam o identificador exclusivo (ID) para cada identificador de dados gerenciados no conjunto. Esse ID descreve o tipo de dados sigilosos que um identificador de dados gerenciados foi projetado para detectar, por exemplo: `PGP_PRIVATE_KEY` para chaves privadas PGP e `USA_PASSPORT_NUMBER` para números de passaportes dos EUA.
**Topics**
+ [Credenciais](#discovery-jobs-mdis-recommended-credentials)
+ [Informações financeiras](#discovery-jobs-mdis-recommended-financial)
+ [Informações de identificação pessoal (PII)](#discovery-jobs-mdis-recommended-pii)
+ [Atualizações para o conjunto recomendado](#discovery-jobs-mdis-recommended-updates)
Para obter detalhes sobre identificadores de dados gerenciados específicos ou uma lista completa de todos os identificadores de dados gerenciados que o Macie fornece atualmente, consulte [Usar identificadores de dados gerenciados](managed-data-identifiers.md).
## Credenciais
Para detectar ocorrências de dados de credenciais em objetos do S3, o conjunto recomendado usa os seguintes identificadores de dados gerenciados.
| Tipo de dado sigiloso | ID do identificador de dados gerenciados |
| --- | --- |
| AWS chave de acesso secreta | AWS\$1CREDENTIALS |
| Cabeçalho de autorização básica HTTP | HTTP\$1BASIC\$1AUTH\$1HEADER |
| Chave privada OpenSSH | OPENSSH\$1PRIVATE\$1KEY |
| Chave privada PGP | PGP\$1PRIVATE\$1KEY |
| Chave privada do padrão de criptografia de chave pública (Public Key Cryptography Standard, PKCS) | PKCS |
| Chave privada PuTTY | PUTTY\$1PRIVATE\$1KEY |
## Informações financeiras
Para detectar ocorrências de dados de informações financeiras em objetos do S3, o conjunto recomendado usa os seguintes identificadores de dados gerenciados.
| Tipo de dado sigiloso | ID do identificador de dados gerenciados |
| --- | --- |
| Dados da faixa magnética do cartão de crédito | CREDIT\$1CARD\$1MAGNETIC\$1STRIPE |
| Números de cartão de crédito | CREDIT\$1CARD\$1NUMBER (para números de cartão de crédito próximos a uma palavra-chave) |
## Informações de identificação pessoal (PII)
Para detectar ocorrências de informações de identificação pessoal (PII) em objetos do S3, o conjunto recomendado usa os seguintes identificadores de dados gerenciados.
| Tipo de dado sigiloso | ID do identificador de dados gerenciados |
| --- | --- |
| Número de identificação da carteira de habilitação | CANADA\$1DRIVERS\$1LICENSE, DRIVERS\$1LICENSE (para os EUA), UK\$1DRIVERS\$1LICENSE |
| Número de registro eleitoral | UK\$1ELECTORAL\$1ROLL\$1NUMBER |
| Número de identificação nacional | FRANCE\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, GERMANY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, SPAIN\$1DNI\$1NUMBER |
| Número do Seguro Nacional (NINO) | UK\$1NATIONAL\$1INSURANCE\$1NUMBER |
| Número de passaporte | CANADA\$1PASSPORT\$1NUMBER, FRANCE\$1PASSPORT\$1NUMBER, GERMANY\$1PASSPORT\$1NUMBER, ITALY\$1PASSPORT\$1NUMBER, SPAIN\$1PASSPORT\$1NUMBER, UK\$1PASSPORT\$1NUMBER, USA\$1PASSPORT\$1NUMBER |
| Número do Seguro Social (SIN) | CANADA\$1SOCIAL\$1INSURANCE\$1NUMBER |
| Número da Previdência Social (SSN) | SPAIN\$1SOCIAL\$1SECURITY\$1NUMBER, USA\$1SOCIAL\$1SECURITY\$1NUMBER |
| Identificação do contribuinte ou número de referência | AUSTRALIA\$1TAX\$1FILE\$1NUMBER, BRAZIL\$1CPF\$1NUMBER, FRANCE\$1TAX\$1IDENTIFICATION\$1NUMBER, GERMANY\$1TAX\$1IDENTIFICATION\$1NUMBER, SPAIN\$1NIE\$1NUMBER, SPAIN\$1NIF\$1NUMBER, SPAIN\$1TAX\$1IDENTIFICATION\$1NUMBER, USA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER |
## Atualizações para o conjunto recomendado
A tabela a seguir descreve as alterações no conjunto de identificadores de dados gerenciados que recomendamos para trabalhos sigilosos de descoberta de dados. Para receber alertas automáticos sobre alterações realizadas nesta página, inscreva-se no feed RSS na [página Histórico de documento do Macie](doc-history.md).
| Alteração | Descrição | Data |
| --- | --- | --- |
| Disponibilidade geral | Lançamento inicial do conjunto recomendado. | 27 de junho de 2023 |
# Analisar objetos criptografados do Amazon S3
Quando você habilita o Amazon Macie para você Conta da AWS, o Macie cria uma [função vinculada ao serviço](service-linked-roles.md) que concede ao Macie as permissões necessárias para chamar o Amazon Simple Storage Service (Amazon S3) e outros serviços em seu nome. Serviços da AWS Uma função vinculada ao serviço simplifica o processo de configuração de uma AWS service (Serviço da AWS) porque você não precisa adicionar permissões manualmente para que o serviço conclua ações em seu nome. Para saber mais sobre esse tipo de perfil, consulte [Perfis do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) no *Guia do usuário do AWS Identity and Access Management *.
A política de permissões para o perfil vinculado ao serviço do Macie (`AWSServiceRoleForAmazonMacie`) permite que o Macie execute ações que incluem recuperar informações sobre seus buckets e objetos do S3 e recuperar e analisar objetos nos buckets do S3. Se a conta for a conta de administrador do Macie de uma organização, a política também permitirá que o Macie execute essas ações em seu nome para contas-membro na organização.
Se um objeto do S3 for criptografado, a política de permissões para a função vinculada ao serviço do Macie normalmente concede ao Macie as permissões necessárias para descriptografar o objeto. No entanto, isso depende do tipo de criptografia usada. Também pode depender de o Macie ter permissão para usar a chave de criptografia apropriada.
**Topics**
+ [Opções de criptografia para objetos do S3](#discovery-supported-encryption-types-matrix)
+ [Permitindo que Macie use um serviço gerenciado pelo cliente AWS KMS key](#discovery-supported-encryption-cmk-configuration)
## Opções de criptografia para objetos do Amazon S3
O Amazon S3 oferece suporte a várias opções de criptografia para objetos do S3. Para a maioria dessas opções, o Amazon Macie pode descriptografar um objeto usando a função vinculada ao serviço Macie para sua conta. No entanto, isso depende do tipo de criptografia usado para criptografar um objeto.
**Criptografia do lado do servidor com chaves gerenciadas pelo Amazon S3 (SSE-S3)**
Se um objeto for criptografado usando a criptografia do lado do servidor com uma chave gerenciada do Amazon S3 (SSE-S3), o Macie poderá descriptografar o objeto.
Para saber mais sobre esse tipo de criptografia, consulte [Usar criptografia do lado do servidor com chaves gerenciadas do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html) no *Guia do usuário do Amazon Simple Storage Service*.
**Criptografia do lado do servidor com AWS KMS keys (DSSE-KMS e SSE-KMS)**
Se um objeto for criptografado usando criptografia de camada dupla do lado do servidor ou criptografia do lado do servidor com um dispositivo AWS gerenciado AWS KMS key (DSSE-KMS ou SSE-KMS), o Macie poderá descriptografar o objeto.
[Se um objeto for criptografado usando criptografia de camada dupla do lado do servidor ou criptografia do lado do servidor com um cliente gerenciado AWS KMS key (DSSE-KMS ou SSE-KMS), o Macie só poderá descriptografar o objeto se você permitir que o Macie use a chave.](#discovery-supported-encryption-cmk-configuration) Esse é o caso de objetos criptografados com chaves KMS gerenciadas inteiramente dentro AWS KMS e chaves KMS em um armazenamento de chaves externo. Se o Macie não tiver permissão para usar a chave KMS aplicável, ele só poderá armazenar e relatar metadados do objeto.
Para saber mais sobre esses tipos de criptografia, consulte [usar criptografia de camada dupla do lado do servidor com AWS KMS keys](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingDSSEncryption.html) e [Usar criptografia do lado do servidor com AWS KMS keys](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html) no *Guia do usuário do Amazon Simple Storage Service*.
Você pode gerar automaticamente uma lista de todos os clientes gerenciados AWS KMS keys que o Macie precisa acessar para analisar objetos nos buckets do S3 para sua conta. Para fazer isso, execute o script do Analisador de AWS KMS Permissões, que está disponível no repositório [Amazon Macie Scripts em](https://github.com/aws-samples/amazon-macie-scripts). GitHub O script também pode gerar um script adicional de comandos AWS Command Line Interface (AWS CLI). Opcionalmente, você pode executar esses comandos para atualizar as configurações e políticas necessárias para as chaves KMS que você especificar.
**Criptografia do lado do servidor com chaves fornecidas pelo cliente (SSE-C)**
Se um objeto for criptografado usando criptografia do lado do servidor com uma chave fornecida pelo cliente (SSE-C), o Macie não poderá descriptografar o objeto. O Macie só pode armazenar e relatar metadados do objeto.
Para saber mais sobre esse tipo de criptografia, consulte [Usar criptografia do lado do servidor com chaves fornecidas pelo cliente](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerSideEncryptionCustomerKeys.html) no *Guia do usuário do Amazon Simple Storage Service*.
**Criptografia do lado do cliente**
Se um objeto for criptografado usando criptografia do lado do cliente, o Macie não poderá descriptografar o objeto. O Macie só pode armazenar e relatar metadados do objeto. Por exemplo, o Macie pode relatar o tamanho do objeto e as tags associadas ao objeto.
Para saber mais sobre esse tipo de criptografia no contexto do Amazon S3, consulte [Proteção de dados usando criptografia do lado do cliente](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html) no *Guia do usuário do Amazon Simple Storage Service*.
Você pode [filtrar seu inventário de buckets](monitoring-s3-inventory-filter.md) no Macie para determinar quais buckets do S3 armazenam objetos que usam determinados tipos de criptografia. Você também pode determinar quais buckets usam certos tipos de criptografia do lado do servidor por padrão ao armazenar novos objetos. A tabela a seguir fornece exemplos de filtros que você pode aplicar ao seu inventário de buckets para encontrar essas informações.
| Para mostrar buckets que... | Aplique este filtro… |
| --- | --- |
| Armazenar objetos que usam criptografia SSE-C | A contagem de objetos por criptografia é gerenciada pelo cliente e De = 1 |
| Armazenar objetos que usam a criptografia DSSE-KMS ou SSE-KMS | A contagem de objetos por criptografia é gerenciada por AWS KMS e De = 1 |
| Armazenar objetos que usam a criptografia SSE-S3 | A contagem de objetos por criptografia é gerenciada pelo Amazon S3 e De = 1 |
| Armazenar objetos que usam a criptografia do lado do cliente (ou sem criptografia) | Contagem de objetos por criptografia é Sem criptografia e De = 1 |
| Criptografe novos objetos por padrão usando a criptografia DSSE-KMS | Criptografia padrão = aws:kms:dsse |
| Criptografe novos objetos por padrão usando a criptografia SSE-KMS | Criptografia padrão = aws:kms |
| Criptografe novos objetos por padrão usando a criptografia SSE-KMS | Criptografia padrão = AES256 |
Se um bucket estiver configurado para criptografar novos objetos por padrão usando criptografia DSSE-KMS ou SSE-KMS, você também poderá determinar qual deles será usado. AWS KMS key Para fazer isso, selecione o bucket na página de **buckets do S3**. No painel de detalhes do bucket, em **Criptografia do lado do servidor**, consulte o campo **AWS KMS key**. Esse campo exibe o nome do recurso da Amazon (ARN) ou o identificador exclusivo (ID da chave) da chave.
## Permitindo que Macie use um serviço gerenciado pelo cliente AWS KMS key
Se um objeto do Amazon S3 for criptografado usando criptografia de camada dupla do lado do servidor ou criptografia do lado do servidor com um cliente gerenciado (DSSE-KMS AWS KMS key ou SSE-KMS), o Amazon Macie poderá descriptografar o objeto somente se tiver permissão para usar a chave. A forma de fornecer esse acesso depende de a conta que possui a chave também possuir o bucket do S3 que armazena o objeto:
+ Se a mesma conta possuir o bucket AWS KMS key e o bucket, um usuário da conta precisará atualizar a política da chave.
+ Se uma conta possui a chave AWS KMS key e uma conta diferente é proprietária do bucket, um usuário da conta que possui a chave deve permitir o acesso entre contas à chave.
Este tópico descreve como realizar essas tarefas e fornece exemplos para ambos os cenários. Para saber mais sobre como permitir o acesso ao serviço gerenciado pelo cliente AWS KMS keys, consulte o [acesso e as permissões da chave KMS](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html) no *Guia do AWS Key Management Service desenvolvedor*.
### Permitir acesso da mesma conta a uma chave gerenciada pelo cliente
Se a mesma conta possuir o bucket do S3 AWS KMS key e o bucket do S3, um usuário da conta precisará adicionar uma declaração à política da chave. A declaração adicional deverá permitir que o perfil vinculado a serviço do Macie para a conta decifre dados usando a chave. Para obter informações detalhadas sobre como atualizar uma política principal, consulte [Alterar uma política de chave](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) no *Guia do desenvolvedor AWS Key Management Service *.
Na declaração:
+ O `Principal` elemento deve especificar o Amazon Resource Name (ARN) da função vinculada ao serviço Macie para a conta que possui o bucket do S3. AWS KMS key
Se a conta estiver em um opt-in Região da AWS, o ARN também deverá incluir o código de região apropriado para a região. Por exemplo, se a conta estiver na região do Oriente Médio (Bahrein), que tem o código de região *me-south-1*, o `Principal` elemento deverá especificar onde está o ID da conta. `arn:aws:iam::123456789012:role/aws-service-role/macie.me-south-1.amazonaws.com/AWSServiceRoleForAmazonMacie` *123456789012* Para obter uma lista códigos das regiões nas quais o Macie está disponível, consulte [Endpoints e cotas do Amazon Macie](https://docs.aws.amazon.com/general/latest/gr/macie.html) no *Referência geral da AWS*.
+ O array `Action` deve especificar a ação `kms:Decrypt`. Essa é a única AWS KMS ação que o Macie deve ter permissão para descriptografar um objeto do S3 criptografado com a chave.
Veja a seguir um exemplo da declaração a ser adicionada à política para uma AWS KMS key.
```
{
"Sid": "Allow the Macie service-linked role to use the key",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie"
},
"Action": [
"kms:Decrypt"
],
"Resource": "*"
}
```
No exemplo anterior:
+ O campo `AWS` no elemento `Principal` especifica o ARN da função vinculada ao serviço Macie (`AWSServiceRoleForAmazonMacie`) para a conta. Ele permite que a função vinculada ao serviço do Macie execute a ação especificada pela declaração de política. *123456789012*é um exemplo de ID de conta. Substitua esse valor pelo ID da conta proprietária da chave do KMS e do bucket do S3.
+ A matriz `Action` especifica a ação que o perfil vinculado a serviço do Macie pode realizar usando a chave do KMS: descriptografar o texto cifrado que foi criptografado com a chave.
O local em que você adiciona essa declaração a uma política de chave depende da estrutura e dos elementos que a política contém atualmente. Ao adicionar a instrução, certifique-se de que a sintaxe seja válida. As políticas de chaves usam o formato JSON. Isso significa que você também precisa adicionar uma vírgula antes ou depois da declaração, dependendo de onde você adiciona a declaração à política.
### Permitir acesso entre contas a uma chave gerenciada pelo cliente
Se uma conta possuir o AWS KMS key (*proprietário da chave*) e uma conta diferente possuir o bucket do S3 (*proprietário do bucket*), o proprietário da chave deverá fornecer ao proprietário do bucket acesso entre contas à chave KMS. Para fazer isso, o proprietário da chave primeiro garante que a política de chave permita que o proprietário do bucket use a chave e crie uma concessão para a chave. Em seguida, o proprietário do bucket cria uma concessão para a chave. Uma *concessão* é um instrumento de política que permite que as AWS entidades principais usem chaves KMS em operações criptográficas se as condições especificadas pela concessão forem atendidas. Nesse caso, a concessão delegará as permissões relevantes ao perfil vinculado a serviço do Macie para a conta do proprietário do bucket.
Para obter informações detalhadas sobre como atualizar uma política principal, consulte [Alterar uma política de chave](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) no *Guia do desenvolvedor AWS Key Management Service *. Para saber mais sobre concessões, consulte [Subsídios AWS KMS no](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) *AWS Key Management Service Guia do desenvolvedor*.
**Etapa 1: atualizar a política de chave**
Na política de chave, o proprietário da chave deve garantir que a política inclua duas declarações:
+ A primeira instrução permite que o proprietário do bucket use a chave para descriptografar dados.
+ A segunda declaração permite que o proprietário do bucket crie uma concessão para o perfil vinculado a serviço do Macie para a própria conta (o proprietário do bucket).
Na primeira instrução, o elemento `Principal` deve especificar o ARN da conta do proprietário do bucket. O array `Action` deve especificar a ação `kms:Decrypt`. Essa é a única AWS KMS ação que o Macie deve ter permissão para descriptografar um objeto criptografado com a chave. Veja a seguir um exemplo dessa declaração na política para uma AWS KMS key.
```
{
"Sid": "Allow account 111122223333 to use the key",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"kms:Decrypt"
],
"Resource": "*"
}
```
No exemplo anterior:
+ O `AWS` campo no `Principal` elemento especifica o ARN da conta *111122223333* do proprietário do bucket (). Ele permite que o proprietário do bucket execute a ação especificada pela declaração de política. *111122223333*é um exemplo de ID de conta. Substitua esse valor pelo ID da conta do proprietário do bucket.
+ A matriz `Action` especifica a ação que o proprietário do bucket pode realizar usando a chave do KMS: descriptografar o texto cifrado que foi criptografado com a chave.
A segunda declaração na política de chave permite que o proprietário do bucket crie uma concessão para a função vinculada ao serviço Macie para sua conta. Na primeira declaração, o elemento `Principal` deve especificar o ARN da conta do proprietário do bucket. O array `Action` deve especificar a ação `kms:CreateGrant`. Um elemento `Condition` pode filtrar o acesso à ação `kms:CreateGrant` especificada na instrução. Veja a seguir um exemplo dessa declaração na política para uma AWS KMS key.
```
{
"Sid": "Allow account 111122223333 to create a grant",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:GranteePrincipal": "arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie"
}
}
}
```
No exemplo anterior:
+ O `AWS` campo no `Principal` elemento especifica o ARN da conta *111122223333* do proprietário do bucket (). Ele permite que o proprietário do bucket execute a ação especificada pela declaração de política. *111122223333*é um exemplo de ID de conta. Substitua esse valor pelo ID da conta do proprietário do bucket.
+ A matriz `Action` especifica a ação que o proprietário do bucket pode realizar na chave KMS, criar uma concessão para a chave.
+ O elemento `Condition` usa o [operador de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) `StringEquals` e a [chave de condição](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awskeymanagementservice.html#awskeymanagementservice-policy-keys) `kms:GranteePrincipal` para filtrar o acesso à ação especificada pela instrução de política. Nesse caso, o proprietário do bucket poderá criar uma concessão somente para o `GranteePrincipal` especificado, que é o ARN do perfil vinculado a serviço do Macie para a própria conta. Nesse ARN, *111122223333* está um exemplo de ID de conta. Substitua esse valor pelo ID da conta do proprietário do bucket.
Se a conta do proprietário do bucket estiver em um opt-in Região da AWS, inclua também o código de região apropriado no ARN da função vinculada ao serviço Macie. Por exemplo, se a conta estiver na região do Oriente Médio (Bahrein), que tem o código de região *me-south-1*, substitua `macie.amazonaws.com` por `macie.me-south-1.amazonaws.com` no ARN. Para obter uma lista códigos das regiões nas quais o Macie está disponível, consulte [Endpoints e cotas do Amazon Macie](https://docs.aws.amazon.com/general/latest/gr/macie.html) no *Referência geral da AWS*.
O local em que você adiciona essa declaração a uma política de chave depende da estrutura e dos elementos que a política contém atualmente. Ao adicionar as declarações, o proprietário da chave deverá garantir que a sintaxe seja válida. As políticas de chave usam o formato JSON. Isso significa que o proprietário da chave também precisa adicionar uma vírgula antes ou depois de cada declaração, dependendo de onde ele adicionar a declaração à política.
**Etapa 2: criar uma concessão**
Depois que o proprietário da chave atualizar a política de chave conforme necessário, o proprietário do bucket deve criar uma concessão para a chave. A concessão delega as permissões relevantes à função vinculada ao serviço Macie da conta do proprietário do bucket. Antes de o proprietário do bucket criar a concessão, ele deve verificar se tem permissão para realizar a ação `kms:CreateGrant` em sua conta. Essa ação permite que ele adicione uma concessão a uma AWS KMS key existente gerenciada pelo cliente.
Para criar a concessão, o proprietário do bucket pode usar a [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)operação da AWS Key Management Service API. Quando o proprietário do bucket cria a concessão, ele deve especificar os seguintes valores para os parâmetros necessários:
+ `KeyId`: o ARN da chave do KMS. Para acesso entre contas a uma chave do KMS, esse valor deve ser um ARN. Não pode ser um ID de chave.
+ `GranteePrincipal`: o ARN do perfil vinculada a serviço do Macie (`AWSServiceRoleForAmazonMacie`) para a conta dele. Esse valor deve ser`arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie`, onde *111122223333* está o ID da conta do proprietário do bucket.
Se a conta dele estiver em uma região opcional, o ARN deverá incluir o código de região adequado. Por exemplo, se a conta estiver na região do Oriente Médio (Bahrein), que tem o código de região *me-south-1*, o ARN deve `arn:aws:iam::111122223333:role/aws-service-role/macie.me-south-1.amazonaws.com/AWSServiceRoleForAmazonMacie` estar, onde está o ID da conta do proprietário do bucket. *111122223333*
+ `Operations`— A ação de AWS KMS descriptografia (). `Decrypt` Essa é a única AWS KMS ação que o Macie deve ter permissão para descriptografar um objeto criptografado com a chave KMS.
Para criar uma concessão para uma chave KMS gerenciada pelo cliente usando o AWS Command Line Interface (AWS CLI), execute o comando [create-grant](https://docs.aws.amazon.com/cli/latest/reference/kms/create-grant.html). O exemplo a seguir mostra como. O exemplo está formatado para Microsoft Windows e usa o caractere de continuação de linha circunflexo (^) para melhorar a legibilidade.
```
C:\> aws kms create-grant ^
--key-id arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab ^
--grantee-principal arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie ^
--operations "Decrypt"
```
Em que:
+ `key-id` especifica o ARN da chave do KMS à qual aplicar a concessão.
+ `grantee-principal` especifica o ARN do perfil vinculado a serviço do Macie para a conta que tem permissão para realizar a ação especificada pela concessão. Esse valor deve corresponder ao ARN especificado pela condição `kms:GranteePrincipal` da segunda declaração na política de chave.
+ `operations` especifica a ação que a concessão permite que a entidade principal especificada execute: descriptografar o texto cifrado que foi criptografado com a chave do KMS.
Se o comando for executado com sucesso, você receberá um resultado semelhante ao seguinte.
```
{
"GrantToken": "",
"GrantId": "1a2b3c4d2f5e69f440bae30eaec9570bb1fb7358824f9ddfa1aa5a0dab1a59b2"
}
```
Onde `GrantToken` é uma string única, não secreta, de comprimento variável e codificada em base64 que representa a concessão que foi criada e `GrantId` é o identificador exclusivo da concessão.
# Armazenamento e retenção de resultados de descoberta de dados confidenciais
Quando você executa um trabalho de descoberta de dados confidenciais ou o Amazon Macie realiza uma descoberta automatizada de dados confidenciais, o Macie cria um registro de análise para cada objeto do Amazon Simple Storage Service (Amazon S3) incluído no escopo da análise. Esses registros, chamados de *resultados confidenciais da descoberta de dados*, registram detalhes sobre a análise de objetos individuais do S3. Isso inclui objetos nos quais o Macie não detecta dados confidenciais e, portanto, não produz descobertas, e objetos que o Macie não pode analisar devido a erros ou problemas. Se o Macie detectar dados confidenciais em um objeto, o registro incluirá dados da descoberta correspondente e também informações adicionais. Os resultados confidenciais da descoberta de dados fornecem registros de análise que podem ser úteis para auditorias ou investigações de privacidade e proteção de dados.
O Macie armazena seus resultados confidenciais de descoberta de dados por apenas 90 dias. Para acessar seus resultados e permitir o armazenamento e a retenção a longo prazo deles, configure o Macie para criptografar os resultados com uma chave AWS Key Management Service (AWS KMS) e armazená-los em um bucket do S3. O bucket pode servir como um repositório definitivo e de longo prazo para todos os seus resultados confidenciais de descoberta de dados. Em seguida, você pode, se preferir, acessar e consultar os resultados nesse repositório.
Este tópico orienta você pelo processo de uso do Console de gerenciamento da AWS para configurar um repositório para seus resultados confidenciais de descoberta de dados. A configuração é uma combinação de um AWS KMS key que criptografa os resultados, um bucket geral do S3 que armazena os resultados e configurações do Macie que especificam qual chave e bucket usar. Se você preferir definir as configurações do Macie programaticamente, poderá usar a [PutClassificationExportConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/classification-export-configuration.html)operação da API do Amazon Macie.
Quando você define as configurações no Macie, suas escolhas se aplicam somente à Região da AWS atual. Se você for o administrador do Macie de uma organização, suas escolhas se aplicam somente à sua conta. Elas não se aplicam a nenhuma conta de membro associada. Se você habilitar a descoberta automatizada de dados confidenciais ou executar trabalhos de descoberta de dados confidenciais para analisar dados de contas de membros, o Macie armazenará os resultados da descoberta de dados confidenciais no repositório da sua conta de administrador.
Se você usa o Macie em vários Regiões da AWS, defina as configurações do repositório para cada região na qual você usa o Macie. Como opção, você pode armazenar resultados de descoberta de dados confidenciais para várias regiões no mesmo bucket do S3. No entanto, observe os seguintes requisitos:
+ Para armazenar os resultados de uma região que AWS habilita por padrão para Contas da AWS, como a região Leste dos EUA (Norte da Virgínia), você precisa escolher um bucket em uma região que esteja habilitada por padrão. Não é possível armazenar os resultados em um bucket em uma região opcional (região desabilitada por padrão).
+ Para armazenar os resultados de uma região opcional, como a região do Oriente Médio (Bahrein), você precisa escolher um bucket na mesma região ou uma região que seja habilitada por padrão. Não é possível armazenar os resultados em um bucket em outra região opcional.
Para determinar se uma região está ativada por padrão, consulte [Ativar ou desativar Regiões da AWS em sua conta](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html) no *Guia AWS Gerenciamento de contas do usuário*. Além dos requisitos anteriores, considere também se você deseja [recuperar amostras de dados confidenciais](findings-retrieve-sd.md) que o Macie relata em descobertas individuais. Para recuperar amostras de dados confidenciais de um objeto do S3 afetado, todos os recursos e dados a seguir devem ser armazenados na mesma Região: o objeto afetado, a descoberta aplicável e o resultado da descoberta de dados confidenciais correspondente.
**Topics**
+ [Antes de começar: aprenda os principais conceitos](#discovery-results-repository-s3-overview)
+ [Etapa 1: verifique suas permissões](#discovery-results-repository-s3-permissions)
+ [Etapa 2: configurar um AWS KMS key](#discovery-results-repository-s3-key-policy)
+ [Etapa 3: Selecione um bucket do S3](#discovery-results-repository-s3-choose-bucket)
## Antes de começar: aprenda os principais conceitos
O Amazon Macie cria automaticamente um resultado de descoberta de dados confidenciais para cada objeto do Amazon S3 que ele analisa ou tenta analisar quando você executa um trabalho de descoberta de dados confidenciais ou quando ele realiza uma descoberta automatizada de dados confidenciais. Isso inclui:
+ Objetos nos quais o Macie detecta dados confidenciais e, portanto, também produzem descobertas de dados confidenciais.
+ Objetos nos quais o Macie não detecta dados confidenciais e, portanto, não produzem descobertas de dados confidenciais.
+ Objetos que o Macie não consegue analisar devido a erros ou problemas, como configurações de permissões ou uso de um arquivo ou formato de armazenamento não suportado.
Se o Macie detectar dados sigilosos em um objeto do S3, o resultado da descoberta de dados sigilosos incluirá dados da descoberta de dados sigilosos correspondente. Ele também fornece informações adicionais, como a localização de até mil ocorrências de cada tipo de dado confidencial que Macie encontrou no objeto. Por exemplo:
+ O número da coluna e da linha de uma célula ou campo em uma pasta de trabalho do Microsoft Excel, arquivo CSV ou arquivo TSV
+ O caminho para um campo ou matriz em um arquivo JSON ou JSON Lines
+ O número da linha de uma linha em um arquivo de texto não binário que não seja um arquivo CSV, JSON, JSON Lines ou TSV — por exemplo, um arquivo HTML, TXT ou XML
+ O número da página de uma página em um arquivo Adobe Portable Document Format (PDF)
+ O índice do registro e o caminho para um campo em um registro em um contêiner de objetos Apache Avro ou arquivo Apache Parquet
Se o objeto do S3 afetado for um arquivo de arquivamento, como um arquivo .tar ou .zip, o resultado da descoberta de dados confidenciais também fornecerá dados de localização detalhados para ocorrências de dados confidenciais em arquivos individuais que o Macie extraiu do arquivamento. O Macie não inclui essas informações nas descobertas de dados confidenciais para arquivos arquivados. Para relatar dados de localização, os resultados confidenciais da descoberta de dados usam um [esquema JSON padronizado](findings-locate-sd-schema.md).
Um resultado de descoberta de dados confidenciais não inclui os dados confidenciais que Macie encontrou. Em vez disso, ele fornece um registro de análise que pode ser útil para auditorias ou investigações.
O Macie armazena seus resultados confidenciais de descoberta de dados por 90 dias. Você não pode acessá-los diretamente no console do Amazon Macie ou com a API do Amazon Macie. Em vez disso, siga as etapas deste tópico para configurar o Macie para criptografar seus resultados com um AWS KMS key que você especificar e armazenar os resultados em um bucket de uso geral do S3 que você também especificar. Em seguida, o Macie grava os resultados em arquivos JSON Lines (.jsonl), adiciona os arquivos ao bucket como arquivos GNU Zip (.gz) e criptografa os dados usando a criptografia SSE-KMS. Em 8 de novembro de 2023, Macie também assina os objetos S3 resultantes com um Código de Autenticação de Mensagens (HMAC) baseado em Hash. AWS KMS key
Após você configurar o Macie para armazenar os resultados de descoberta de dados confidenciais em um bucket do S3, o bucket poderá servir como um repositório definitivo e de longo prazo para os resultados. Em seguida, você pode, se preferir, acessar e consultar os resultados nesse repositório.
**Dicas**
Para obter um exemplo detalhado e instrutivo de como você pode consultar e usar resultados de descoberta de dados confidenciais para analisar e relatar possíveis riscos à segurança de dados, consulte a seguinte postagem no blog de *AWS segurança*: [Como consultar e visualizar os resultados da descoberta de dados confidenciais do Macie com o Amazon Athena e](https://aws.amazon.com/blogs/security/how-to-query-and-visualize-macie-sensitive-data-discovery-results-with-athena-and-quicksight/) o Amazon Quick.
Para exemplos de consultas do Amazon Athena que você pode usar para analisar resultados confidenciais de descoberta de dados, visite o repositório [Amazon Macie Results Analytics em.](https://github.com/aws-samples/amazon-macie-results-analytics) GitHub Esse repositório também fornece instruções para configurar o Athena para recuperar e descriptografar seus resultados e scripts para criar tabelas para os resultados.
## Etapa 1: verifique suas permissões
Antes de configurar um repositório para os resultados confidenciais da descoberta de dados, verifique se você tem as permissões necessárias para criptografar e armazenar os resultados. Para verificar suas permissões, use AWS Identity and Access Management (IAM) para revisar as políticas do IAM que estão anexadas à sua identidade do IAM. Em seguida, compare as informações nessas políticas com a seguinte lista de ações que você deve ter permissão para realizar para configurar o repositório.
**Amazon Macie**
Para Macie, verifique se você tem permissão para realizar a seguinte ação:
`macie2:PutClassificationExportConfiguration`
Essa ação permite que você adicione ou altere as configurações do repositório no Macie.
**Amazon S3**
Para o Amazon S3, verifique se você tem permissão para realizar as seguintes ações:
+ `s3:CreateBucket`
+ `s3:GetBucketLocation`
+ `s3:ListAllMyBuckets`
+ `s3:PutBucketAcl`
+ `s3:PutBucketPolicy`
+ `s3:PutBucketPublicAccessBlock`
+ `s3:PutObject`
Essas ações permitem que você acesse e configure um bucket geral do S3 que pode servir como repositório.
**AWS KMS**
Para usar o console do Amazon Macie para adicionar ou alterar as configurações do repositório, verifique também se você tem permissão para realizar as seguintes ações do AWS KMS :
+ `kms:DescribeKey`
+ `kms:ListAliases`
Essas ações permitem que você recupere e exiba informações sobre o AWS KMS keys para a sua conta. Em seguida, você pode escolher uma dessas chaves para criptografar os resultados confidenciais da descoberta de dados.
Se você planeja criar um novo AWS KMS key para criptografar os dados, você também precisa ter permissão para realizar as seguintes ações: `kms:CreateKey``kms:GetKeyPolicy`, e. `kms:PutKeyPolicy`
Se você não tiver permissão para realizar as ações necessárias, peça ajuda ao AWS administrador antes de prosseguir para a próxima etapa.
## Etapa 2: configurar um AWS KMS key
Depois de verificar suas permissões, determine quais AWS KMS key você deseja que o Macie use para criptografar seus resultados de descoberta de dados confidenciais. A chave deve ser uma chave KMS de criptografia simétrica e gerenciada pelo cliente que esteja habilitada da Região da AWS mesma forma que o bucket do S3 em que você deseja armazenar os resultados.
A chave pode ser uma existente AWS KMS key de sua própria conta ou uma existente AWS KMS key de propriedade de outra conta. Se você planeja usar uma nova chave para as descobertas do KMS, crie uma chave antes de prosseguir. Se você desejar usar uma chave existente de propriedade de outra conta da, obtenha o nome do recurso da Amazon (ARN) da chave. Você precisará inserir esse ARN ao definir as configurações de repositório no Macie. Para obter informações sobre como criar e analisar as configurações das chaves KMS, consulte o [Guia do desenvolvedor do AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html).
**nota**
A chave pode estar AWS KMS key em um armazenamento de chaves externo. No entanto, a chave pode, então, ser mais lenta e menos confiável do que uma chave totalmente gerenciada no AWS KMS. Você pode reduzir esse risco armazenando os resultados de descoberta de dados confidenciais em um bucket do S3 configurado para usar a chave como uma chave de bucket do S3. Isso reduz o número de solicitações do AWS KMS que devem ser feitas para criptografar os resultados confidenciais da descoberta de dados.
Para obter informações sobre o uso de chaves KMS em repositórios de chaves externos, consulte [Repositórios de chaves externos](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-external.html) no *Guia do desenvolvedor do AWS Key Management Service *. Para obter informações sobre o uso de chaves de bucket do S3, consulte [Redução do custo do SSE-KMS com chaves de bucket do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html) no *Guia do usuário do Amazon Simple Storage Service*.
Depois de determinar qual chave KMS você deseja que o Macie use, dê permissão ao Macie para usar a chave. Caso contrário, o Macie não conseguirá criptografar nem armazenar seus resultados no repositório. Para dar permissão ao Macie para usar a chave, atualize a política de chaves para a chave. Para obter informações detalhadas sobre políticas de chaves e gerenciamento do acesso às chaves do KMS, consulte [Políticas de chave no AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) no *Guia do desenvolvedor do AWS Key Management Service *.
**Atualizar a política de chaves**
1. Abra o AWS KMS console em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.
1. Selecione a chave que deseja que o Macie use para criptografar os resultados de descoberta de dados confidenciais.
1. Na guia **Política de chave**, escolha **Editar**.
1. Copie a seguinte instrução para sua área de transferência e adicione-a à política:
```
{
"Sid": "Allow Macie to use the key",
"Effect": "Allow",
"Principal": {
"Service": "macie.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Encrypt"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
"arn:aws:macie2:us-east-1:111122223333:classification-job/*"
]
}
}
}
```
**nota**
Ao adicionar a instrução à política, verifique se a sintaxe é válida. As políticas usam o formato JSON. Isso significa que você também precisa adicionar uma vírgula antes ou depois da declaração, dependendo de onde você adiciona a instrução à política. Se você adicionar a instrução como a última instrução, adicione uma vírgula após o colchete de fechamento para a instrução anterior. Se você adicioná-la como a primeira instrução ou adicioná-la entre duas instruções existentes, adicione uma vírgula após o colchete de fechamento para a instrução.
1. Atualize a instrução com os valores corretos para seu ambiente:
+ Nos campos `Condition`, substitua os valores do espaço reservado, onde:
+ *111122223333*é o ID da conta do seu Conta da AWS.
+ *us-east-1*é o código da região Região da AWS na qual você está usando o Macie e deseja permitir que o Macie use a chave.
Se você usa o Macie em várias regiões e deseja permitir que o Macie use a chave em outras regiões, adicione condições `aws:SourceArn` para cada região adicional. Por exemplo:
```
"aws:SourceArn": [
"arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
"arn:aws:macie2:us-east-1:111122223333:classification-job/*",
"arn:aws:macie2:us-west-2:111122223333:export-configuration:*",
"arn:aws:macie2:us-west-2:111122223333:classification-job/*"
]
```
Como alternativa, você pode permitir que o Macie use a chave em todas as regiões. Para fazer isso, substitua o valor do espaço reservado pelo caractere curinga ()`*`. Por exemplo:
```
"aws:SourceArn": [
"arn:aws:macie2:*:111122223333:export-configuration:*",
"arn:aws:macie2:*:111122223333:classification-job/*"
]
```
+ Se você estiver usando o Macie em uma região opcional, adicione o código de região adequado ao valor do campo `Service`. Por exemplo, se você estiver usando o Macie na região do Oriente Médio (Bahrein), que tem o *me-south-1*código da região, substitua por. `macie.amazonaws.com` `macie.me-south-1.amazonaws.com`
Para obter uma lista de regiões onde o Macie está disponível atualmente e o código de região de cada uma, consulte [Endpoints e cotas do Amazon Macie](https://docs.aws.amazon.com/general/latest/gr/macie.html) no arquivo *Referência geral da AWS*.
Observe que os campos `Condition` usam duas chaves de condição globais do IAM:
+ [aws: SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) — Essa condição permite que o Macie execute as ações especificadas somente para sua conta. Mais especificamente, ele determina qual conta pode realizar as ações especificadas para os recursos e ações especificadas pela condição `aws:SourceArn`.
Para permitir que o Macie execute as ações especificadas para contas adicionais, adicione o ID da conta de cada conta adicional a essa condição. Por exemplo:
```
"aws:SourceAccount": [111122223333,444455556666]
```
+ [aws: SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) — Essa condição impede que outras pessoas Serviços da AWS executem as ações especificadas. Também impede que o Macie use a chave enquanto realiza outras ações na sua conta. Em outras palavras, isso permite que o Macie criptografe objetos do S3 com a chave somente se os objetos forem resultados de descoberta de dados confidenciais e se esses resultados forem para descoberta automatizada de dados confidenciais ou trabalhos de descoberta de dados confidenciais criados pela conta especificada na Região especificada.
Para permitir que o Macie execute as ações especificadas para contas adicionais, adicione ARNs cada conta adicional a essa condição. Por exemplo:
```
"aws:SourceArn": [
"arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
"arn:aws:macie2:us-east-1:111122223333:classification-job/*",
"arn:aws:macie2:us-east-1:444455556666:export-configuration:*",
"arn:aws:macie2:us-east-1:444455556666:classification-job/*"
]
```
As contas especificadas pelas condições `aws:SourceAccount` e `aws:SourceArn` devem ser correspondentes.
Essas condições ajudam a evitar que Macie seja usada como [representante confusa](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) durante transações com AWS KMS. Embora não o recomendemos, você pode remover essas condições da instrução.
1. Ao terminar de adicionar e atualizar a instrução, selecione **Salvar alterações**.
## Etapa 3: Selecione um bucket do S3
Depois de verificar suas permissões e configurar o AWS KMS key, você estará pronto para especificar qual bucket do S3 deseja usar como repositório para seus resultados confidenciais de descoberta de dados. Você tem duas opções:
+ **Use um novo bucket S3 criado pelo Macie** — Se você escolher essa opção, o Macie criará automaticamente um novo bucket S3 de uso geral no atual Região da AWS para os resultados da sua descoberta. O Macie também aplica uma política de bucket ao bucket. A política permite que o Macie adicione objetos ao bucket. Isso também exige que os objetos sejam criptografados com a AWS KMS key que você especifica, usando a criptografia SSE-KMS. Para revisar a política, escolha **Visualizar política** no console do Amazon Macie depois de especificar um nome para o bucket e a chave do KMS que será utilizada.
+ **Usar um bucket do S3 existente criado por você**: se você preferir armazenar os resultados da descoberta em um determinado bucket do S3 criado por você, crie o bucket antes de continuar. O bucket deve ser de uso geral. Além disso, as configurações e a política do bucket devem permitir que o Macie adicione objetos ao bucket. Este tópico explica quais configurações verificar e como atualizar a política. Ele também fornece exemplos de instruções a serem adicionadas à política.
As seções a seguir dão instruções para cada opção. Escolha a seção da opção que deseja.
### Use um novo bucket S3 criado por Macie
Se você preferir usar um novo bucket do S3 que o Macie cria para você, a etapa final do processo é definir as configurações do repositório no Macie.
**Para definir as configurações do repositório no Macie**
1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. No painel de navegação, em **Configurações**, selecione **Resultados da descoberta**.
1. Em **Repositório para resultados de descoberta de dados confidenciais**, selecione **Criar bucket**.
1. Na caixa **Criar um bucket**, insira um nome para o bucket.
O nome deve ser exclusivo em todos os buckets no S3. Além disso, o nome pode consistir apenas em letras minúsculas, números, pontos (.) e hífens (-). Para requisitos adicionais de nomenclatura, consulte [Regras de nomenclatura de buckets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucketnamingrules.html) no *Guia do usuário do Amazon Simple Storage Service*.
1. Expanda a seção **Advanced**.
1. (Opcional) Para especificar um prefixo a ser usado no caminho para um local no bucket, insira o prefixo na caixa **Prefixo do resultado da descoberta de dados**.
Quando você insere um valor, o Macie atualiza o exemplo abaixo da caixa para mostrar o caminho até o local do bucket onde ele armazenará os resultados da descoberta.
1. Em **Bloquear todo o acesso público**, selecione **Sim** para ativar todas as configurações de bloqueio de acesso público para o bucket.
Para obter informações sobre essas configurações, consulte [Bloquear o acesso público ao armazenamento do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html) no *Guia do usuário do Amazon Simple Storage Service*.
1. Em **Configurações de criptografia**, especifique o AWS KMS key que deseja que o Macie use para criptografar os resultados:
+ Para usar uma chave da sua própria conta, selecione **Selecione uma chave em sua conta**. Em seguida, na lista **AWS KMS key**, selecione a chave a ser usada. A lista exibe chaves KMS de criptografia simétrica e gerenciadas pelo cliente para sua conta.
+ Para usar uma chave que outra conta possui, selecione **Inserir o ARN de uma chave de outra** conta. Em seguida, na caixa **AWS KMS key ARN**, insira o nome do recurso da Amazon (ARN) da chave a ser utilizada — por exemplo, **`arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`**.
1. Após terminar de inserir configurações, escolha **Salvar**.
O Macie testa as configurações para verificar se elas estão corretas. Se alguma configuração estiver incorreta, o Macie exibirá uma mensagem de erro para ajudar a resolver o problema.
Depois de salvar as configurações do repositório, o Macie adiciona os resultados de descoberta existentes dos 90 dias anteriores ao repositório. Macie também começa a adicionar novos resultados de descoberta ao repositório.
### Use um bucket do S3 existente que você criou
Se você preferir armazenar os resultados de descoberta de dados confidenciais em um determinado bucket do S3, crie e configure o bucket antes de definir as configurações no Macie. Ao criar o bucket, observe os seguintes requisitos:
+ O bucket deve ser de uso geral. Não pode ser outro tipo de bucket, como um bucket de diretório.
+ Para armazenar os resultados da descoberta em uma região habilitada por padrão para Contas da AWS, como a região Leste dos EUA (Norte da Virgínia), o bucket precisa estar em uma região habilitada por padrão. Não é possível armazenar os resultados em um bucket em uma região opcional (região desabilitada por padrão).
+ Para armazenar seus resultados de descoberta de uma região opcional, como a região do Oriente Médio (Bahrein), o bucket precisa estar na mesma região ou em uma região que seja habilitada por padrão. Não é possível armazenar os resultados em um bucket em outra região opcional.
Para determinar se uma Região está habilitada por padrão, consulte [Habilitar ou desabilitar Regiões da AWS em sua conta](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html) no *Guia do usuário do AWS Gerenciamento de contas *.
Depois de criar o bucket, atualize a política do bucket para permitir que o Macie recupere informações sobre o bucket e adicione objetos ao bucket. Em seguida, você pode definir as configurações no Macie.
**Para atualizar a política de buckets**
1. Abra o console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Escolha o bucket no qual você deseja armazenar os resultados da descoberta.
1. Escolha a aba **Permissions**.
1. Na seção **Bucket policy**, selecione **Edit**.
1. Copie o exemplo de política a seguir para a área de transferência:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow Macie to use the GetBucketLocation operation",
"Effect": "Allow",
"Principal": {
"Service": "macie.amazonaws.com"
},
"Action": "s3:GetBucketLocation",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
"arn:aws:macie2:us-east-1:111122223333:classification-job/*"
]
}
}
},
{
"Sid": "Allow Macie to add objects to the bucket",
"Effect": "Allow",
"Principal": {
"Service": "macie.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional prefix/]*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
"arn:aws:macie2:us-east-1:111122223333:classification-job/*"
]
}
}
},
{
"Sid": "Deny unencrypted object uploads. This is optional",
"Effect": "Deny",
"Principal": {
"Service": "macie.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional prefix/]*",
"Condition": {
"StringNotEquals": {
"s3:x-amz-server-side-encryption": "aws:kms"
}
}
},
{
"Sid": "Deny incorrect encryption headers. This is optional",
"Effect": "Deny",
"Principal": {
"Service": "macie.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional prefix/]*",
"Condition": {
"StringNotEquals": {
"s3:x-amz-server-side-encryption-aws-kms-key-id": "arn:aws:kms:us-east-1:111122223333:key/KMSKeyId"
}
}
},
{
"Sid": "Deny non-HTTPS access",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
}
]
}
```
------
1. Cole o exemplo de política no editor **Política do bucket** no console do Amazon S3.
1. Atualize o exemplo de política com os valores corretos para seu ambiente:
+ Na instrução opcional que nega cabeçalhos de criptografia incorretos:
+ Substitua *amzn-s3-demo-bucket* pelo nome do bucket. Para especificar também um prefixo para um caminho para um local no bucket, *[optional prefix/]* substitua pelo prefixo. Caso contrário, remova o valor do *[optional prefix/]* espaço reservado.
+ Na `StringNotEquals` condição, *arn:aws:kms:us-east-1:111122223333:key/KMSKeyId* substitua pelo Amazon Resource Name (ARN) do a AWS KMS key ser usado para criptografar os resultados da descoberta.
+ Em todas as outras instruções, substitua os valores do espaço reservado, em que:
+ *amzn-s3-demo-bucket*é o nome do bucket.
+ *[optional prefix/]*é o prefixo de um caminho para um local no bucket. Remova esse valor de espaço reservado se não quiser especificar um prefixo.
+ *111122223333*é o ID da conta do seu Conta da AWS.
+ *us-east-1*é o código da região Região da AWS na qual você está usando o Macie e deseja permitir que o Macie adicione resultados de descoberta ao bucket.
Se você usa o Macie em várias regiões e deseja permitir que o Macie adicione resultados ao bucket para regiões adicionais, adicione condições `aws:SourceArn` para cada região adicional. Por exemplo:
```
"aws:SourceArn": [
"arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
"arn:aws:macie2:us-east-1:111122223333:classification-job/*",
"arn:aws:macie2:us-west-2:111122223333:export-configuration:*",
"arn:aws:macie2:us-west-2:111122223333:classification-job/*"
]
```
Como alternativa, você pode permitir que o Macie adicione resultados ao bucket para todas as regiões nas quais você usa o Macie. Para fazer isso, substitua o valor do espaço reservado pelo caractere curinga ()`*`. Por exemplo:
```
"aws:SourceArn": [
"arn:aws:macie2:*:111122223333:export-configuration:*",
"arn:aws:macie2:*:111122223333:classification-job/*"
]
```
+ Se você estiver usando o Macie em uma região opcional, adicione o código de região adequado ao valor do campo `Service` em cada declaração que especifica a entidade principal de serviço do Macie. Por exemplo, se você estiver usando o Macie na região do Oriente Médio (Bahrein), que tem o *me-south-1*código da região, `macie.amazonaws.com` `macie.me-south-1.amazonaws.com` substitua por em cada declaração aplicável.
Para obter uma lista de regiões onde o Macie está disponível atualmente e o código de região de cada uma, consulte [Endpoints e cotas do Amazon Macie](https://docs.aws.amazon.com/general/latest/gr/macie.html) no arquivo *Referência geral da AWS*.
Observe que o exemplo de política inclui declarações que permitem ao Macie determinar em qual região o bucket reside (`GetBucketLocation`) e adicionar objetos ao bucket (`PutObject`). Essas instruções definem condições que usam duas chaves de condição globais do IAM:
+ [aws: SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) — Essa condição permite que o Macie adicione resultados confidenciais de descoberta de dados ao bucket somente para sua conta. Isso impede que o Macie adicione resultados de descoberta de outras contas ao bucket. Mais especificamente, a condição especifica qual conta pode usar o bucket para os recursos e ações especificados pela condição `aws:SourceArn`.
Para armazenar resultados de contas adicionais no bucket, adicione o ID da conta de cada conta adicional a essa condição. Por exemplo:
```
"aws:SourceAccount": [111122223333,444455556666]
```
+ [aws: SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) — Essa condição restringe o acesso ao bucket com base na origem dos objetos que estão sendo adicionados ao bucket. Isso impede que outras Serviços da AWS pessoas adicionem objetos ao bucket. Isso também impede que o Macie adicione objetos ao bucket enquanto realiza outras ações na sua conta. Mais especificamente, a condição permite que o Macie adicione objetos ao bucket somente se os objetos forem resultados de descoberta de dados confidenciais e se esses resultados forem para descoberta automatizada de dados confidenciais ou trabalhos de descoberta de dados confidenciais criados pela conta especificada na região especificada.
Para permitir que o Macie execute as ações especificadas para contas adicionais, adicione ARNs cada conta adicional a essa condição. Por exemplo:
```
"aws:SourceArn": [
"arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
"arn:aws:macie2:us-east-1:111122223333:classification-job/*",
"arn:aws:macie2:us-east-1:444455556666:export-configuration:*",
"arn:aws:macie2:us-east-1:444455556666:classification-job/*"
]
```
As contas especificadas pelas condições `aws:SourceAccount` e `aws:SourceArn` devem corresponder.
Ambas as condições ajudam a evitar que Macie seja usado como um [representante confuso](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) durante transações com o Amazon S3. Embora não seja recomendável, você pode remover essas condições da política de bucket.
1. Quando terminar de atualizar a política do bucket, escolha **Salvar alterações**.
Agora é possível definir as configurações do repositório no Macie.
**Para definir as configurações do repositório no Macie**
1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. No painel de navegação, em **Configurações**, selecione **Resultados da descoberta**.
1. Em **Repositório para resultados de descoberta de dados confidenciais**, selecione **Bucket existente**.
1. Em **Escolher um bucket**, selecione o bucket no qual você deseja armazenar os resultados da descoberta.
1. Para especificar um prefixo a ser usado no caminho para um local no bucket, expanda a seção **Avançado**. Em seguida, em **Prefixo do resultado da descoberta de dados**, insira o prefixo.
Quando você insere um valor, o Macie atualiza o exemplo abaixo da caixa para mostrar o caminho até o local do bucket onde ele armazenará os resultados da descoberta.
1. Em **Configurações de criptografia**, especifique o AWS KMS key que deseja que o Macie use para criptografar os resultados:
+ Para usar uma chave da sua própria conta, selecione **Selecione uma chave em sua conta**. Em seguida, na lista **AWS KMS key**, selecione a chave a ser usada. A lista exibe chaves KMS de criptografia simétrica e gerenciadas pelo cliente para sua conta.
+ Para usar uma chave que outra conta possui, selecione **Inserir o ARN de uma chave de outra** conta. Em seguida, na caixa **AWS KMS key ARN**, insira o ARN da chave a ser usada, por exemplo, **arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab**.
1. Após terminar de inserir configurações, selecione **Salvar**.
O Macie testa as configurações para verificar se elas estão corretas. Se alguma configuração estiver incorreta, o Macie exibirá uma mensagem de erro para ajudar a resolver o problema.
Depois de salvar as configurações do repositório, o Macie adiciona os resultados de descoberta existentes dos 90 dias anteriores ao repositório. Macie também começa a adicionar novos resultados de descoberta ao repositório.
**nota**
Se você alterar posteriormente a configuração **Prefixo do resultado da descoberta de dados**, atualize também a política de bucket no Amazon S3. As instruções de política que especificam o prefixo anterior devem especificar o novo prefixo. Caso contrário, o Macie não terá permissão para adicionar os resultados de descoberta ao bucket.
**dica**
Para reduzir os custos de criptografia do lado do servidor, configure também o bucket do S3 para usar uma chave do bucket do S3 e especifique a AWS KMS key que você configurou para criptografia dos resultados confidenciais da descoberta de dados. O uso de uma chave de bucket do S3 reduz o número de chamadas para AWS KMS, o que pode reduzir os custos da AWS KMS solicitação. Se a chave KMS estiver em um armazenamento de chaves externo, o uso de uma chave de bucket do S3 também pode minimizar o impacto no desempenho do uso da chave. Para sabre mais, consulte [Redução do custo do SSE-KMS com chaves de bucket do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html) no *Guia do usuário do Amazon Simple Storage Service*.
# Classes e formatos de armazenamento suportados
Para ajudá-lo a descobrir dados confidenciais em seu conjunto de dados do Amazon Simple Storage Service (Amazon S3), o Amazon Macie oferece suporte à maioria das classes de armazenamento do Amazon S3 e a uma grande variedade de formatos de arquivo e armazenamento. Essa compatibilidade se aplica ao uso de [identificadores de dados gerenciados](managed-data-identifiers.md) e ao uso de [identificadores de dados personalizados](custom-data-identifiers.md) para analisar objetos do S3.
Para que o Macie analise um objeto do S3, o objeto precisa estar armazenado diretamente no bucket de uso geral do Amazon S3 usando uma classe de armazenamento compatível. O objeto também precisa usar um formato de arquivo ou armazenamento compatível. Os tópicos desta seção listam as classes de armazenamento e os formatos de arquivo e armazenamento que o Macie suporta atualmente.
**dica**
Embora o Macie seja otimizado para o Amazon S3, você pode usá-lo para descobrir dados confidenciais em recursos que você atualmente armazena em outro lugar. Você pode fazer isso movendo os dados para o Amazon S3 temporariamente ou permanentemente. Por exemplo, exporte os snapshots do Serviço do banco de dados relacional Amazon ou do Amazon Aurora para o Amazon S3 no formato Apache Parquet. Ou exporte uma tabela do Amazon DynamoDB para o Amazon S3. Em seguida, você pode criar um trabalho confidencial de descoberta de dados para analisar os dados no Amazon S3.
**Topics**
+ [Classes de armazenamento compatíveis](#discovery-supported-s3-classes)
+ [Formatos de arquivo e armazenamento suportados](#discovery-supported-formats)
## Classes de armazenamento do Amazon S3 compatíveis
Para a descoberta de dados confidenciais, o Amazon Macie oferece suporte às seguintes classes de armazenamento do Amazon S3:
+ Redundância reduzida (RRS)
+ S3 Glacier Instant Retrieval
+ S3 Intelligent-Tiering
+ S3 One Zone‐Infrequent Access (S3 One Zone‐IA)
+ S3 Standard
+ S3 Standard‐Infrequent Access (S3 Standard‐IA)
O Macie não analisa objetos do S3 que usem outras classes de armazenamento do Amazon S3, como o S3 Glacier Deep Archive ou S3 Express One Zone. Além disso, o Macie não analisa objetos que estejam armazenados em buckets de diretório do S3.
Se você configurar um trabalho confidencial de descoberta de dados para analisar objetos do S3 que não usam uma classe de armazenamento compatível do Amazon S3, o Macie ignora esses objetos quando o trabalho é executado. O Macie não tenta recuperar ou analisar dados nos objetos — os objetos são tratados como *objetos inclassificáveis.* Um *objeto inclassificável* é um objeto que não usa uma classe de armazenamento ou um arquivo ou formato de armazenamento compatível. O Macie analisa somente os objetos que usam uma classe de armazenamento e um arquivo ou formato de armazenamento compatível.
Da mesma forma, se você configurar o Macie para realizar a descoberta automatizada de dados confidenciais, objetos inclassificáveis não serão elegíveis para seleção e análise. O Macie seleciona somente os objetos que usam uma classe de armazenamento do Amazon S3 compatível e um arquivo ou formato de armazenamento compatível.
Para identificar buckets do S3 que armazenam objetos inclassificáveis, você pode [filtrar seu inventário de buckets do S3](monitoring-s3-inventory-filter.md). Para cada bucket em seu inventário, há campos que relatam o número e o tamanho total de armazenamento de objetos inclassificáveis no bucket.
Para obter informações detalhadas sobre as classes de armazenamento que o Amazon S3 fornece, consulte [Usando classes de armazenamento do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/storage-class-intro.html) no *Guia do usuário do Amazon Simple Storage Service*.
## Formatos de arquivo e armazenamento suportados
Quando o Amazon Macie analisa um objeto do S3, o Macie recupera a versão mais recente do objeto do Amazon S3 e, em seguida, realiza uma inspeção profunda do conteúdo do objeto. Essa inspeção leva em consideração o formato de arquivo ou armazenamento dos dados. O Macie pode analisar dados em vários formatos diferentes, incluindo formatos de compactação e arquivamento comumente usados.
Quando o Macie analisa dados em um arquivo compactado ou arquivado, o Macie inspeciona o arquivo completo e o conteúdo do arquivo. Para inspecionar o conteúdo do arquivo, o Macie descompacta o arquivo e, em seguida, inspeciona cada arquivo extraído que usa um formato compatível. O Macie pode fazer isso para até 1.000.000 de arquivos e até uma profundidade aninhada de 10 níveis. Para obter informações sobre cotas adicionais que se aplicam à descoberta de dados confidenciais, consulte [Cotas para o Macie](macie-quotas.md).
A tabela a seguir lista e descreve os tipos de arquivos e formatos de armazenamento que o Macie pode analisar para detectar dados confidenciais. Para cada tipo suportado, a tabela também lista as extensões de nome de arquivo aplicáveis.
| Tipo de arquivo ou armazenamento | Descrição | Extensões de nome de arquivo |
| --- | --- | --- |
| Big data | Contêineres de objetos Apache Avro e arquivos Apache Parquet | .avro, .parquet |
| compactação ou arquivamento | Arquivos compactados GNU Zip, arquivos TAR e arquivos compactados ZIP | .gz, .gzip, .tar, .zip |
| Documento | Arquivos em formato de documento portátil da Adobe, pastas de trabalho do Microsoft Excel e documentos do Microsoft Word | .doc, .docx, .pdf, .xls, .xlsx |
| Mensagem de e-mail | Arquivos de correio eletrônico cujo conteúdo está em conformidade com os requisitos especificados por uma RFC da IETF para mensagens de correio eletrônico, como a [RFC 2822](https://www.rfc-editor.org/rfc/rfc2822) | .eml |
| Texto | Arquivos de texto não binários. Os exemplos são: arquivos de valores separados por vírgula (CSV), arquivos de linguagem de marcação extensível (XML), arquivos de linguagem de marcação de hipertexto (HTML), arquivos de notação de JavaScript objeto (JSON), arquivos de linhas JSON, documentos de texto simples, arquivos de valores separados por tabulação (TSV) e arquivos YAML | Dependendo do tipo de arquivo de texto não binário: .csv, .htm, .html, .json, .jsonl, .tsv, .txt, .xml, .yaml, .yml e outros |
O Macie não analisa dados em imagens, áudio, vídeo e outros tipos de conteúdo multimídia.
Se você configurar um trabalho de descoberta de dados confidenciais para analisar objetos do S3 que não usam uma classe de armazenamento compatível do Amazon S3, o Macie ignora esses objetos quando o trabalho é executado. O Macie não tenta recuperar ou analisar dados nos objetos — os objetos são tratados como *objetos inclassificáveis.* Um *objeto inclassificável* é um objeto que não usa uma classe de armazenamento ou um arquivo ou formato de armazenamento compatível. O Macie analisa somente os objetos que usam uma classe de armazenamento e um arquivo ou formato de armazenamento compatível.
Da mesma forma, se você configurar o Macie para realizar a descoberta automatizada de dados confidenciais, objetos inclassificáveis não serão elegíveis para seleção e análise. O Macie seleciona somente os objetos que usam uma classe de armazenamento do Amazon S3 compatível e um arquivo ou formato de armazenamento compatível.
Para identificar buckets do S3 que armazenam objetos inclassificáveis, você pode [filtrar seu inventário de buckets do S3](monitoring-s3-inventory-filter.md). Para cada bucket em seu inventário, há campos que relatam o número e o tamanho total de armazenamento de objetos inclassificáveis no bucket.