Definindo configurações para descoberta automatizada de dados confidenciais - Amazon Macie
Opções de configuração para organizaçõesExcluindo ou incluindo buckets S3Adicionar ou remover identificadores de dados gerenciadosAdicionar ou remover identificadores de dados personalizadosAdicionar ou remover listas de permissões

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Definindo configurações para descoberta automatizada de dados confidenciais

Se você habilitar a descoberta automática de dados confidenciais para sua conta ou organização, poderá ajustar suas configurações de descoberta automatizada para refinar as análises que o Amazon Macie realiza. Essas configurações especificam buckets do Amazon Simple Storage Service (Amazon S3) a serem excluídos das análises. Eles também especificam os tipos e as ocorrências de dados confidenciais a serem detectados e relatados — identificadores de dados gerenciados, identificadores de dados personalizados e listas de permissões a serem usadas ao analisar objetos do S3.

Por padrão, o Macie realiza a descoberta automática de dados confidenciais para todos os buckets de uso geral do S3 que ele monitora e analisa para sua conta. Se você for o administrador do Macie em uma organização, isso inclui buckets que as contas de seus membros possuem. Você pode excluir buckets específicos das análises. Por exemplo, você pode excluir buckets que normalmente armazenam dados de AWS registro, como registros de AWS CloudTrail eventos. Se você excluir um bucket, poderá incluí-lo novamente mais tarde.

Além disso, o Macie analisa objetos do S3 usando somente o conjunto de identificadores de dados gerenciados que recomendamos para a descoberta automatizada de dados confidenciais. O Macie não usa identificadores de dados personalizados nem permite listas que você definiu. Para personalizar as análises, você pode adicionar ou remover identificadores específicos de dados gerenciados, identificadores de dados personalizados e listas de permissões.

Se você alterar uma configuração, o Macie aplicará sua alteração quando o próximo ciclo de avaliação e análise começar, normalmente em 24 horas. Além disso, sua alteração se aplica somente à atual Região da AWS. Para fazer a mesma alteração em regiões adicionais, repita as etapas aplicáveis em cada região adicional.

nota

Para definir as configurações para a descoberta automatizada de dados confidenciais, você deve ser o administrador do Macie de uma organização ou ter uma conta autônoma do Macie. Se sua conta fizer parte de uma organização, somente o administrador do Macie de sua organização poderá definir e gerenciar essas configurações para contas em sua organização. Se você tiver uma conta de membro, entre em contato com o administrador do Macie para saber mais sobre as configurações da sua conta e organização.

Opções de configuração para organizações

Se uma conta fizer parte de uma organização que gerencia centralmente várias contas do Amazon Macie, o administrador do Macie da organização configura e gerencia a descoberta automática de dados confidenciais para contas na organização. Isso inclui configurações que definem o escopo e a natureza das análises que o Macie realiza para as contas. Os membros não podem acessar essas configurações em suas próprias contas.

Se você for o administrador do Macie de uma organização, poderá definir o escopo das análises de várias maneiras:

  • Ativar automaticamente a descoberta automática de dados confidenciais para contas — Ao ativar a descoberta automática de dados confidenciais, você especifica se deseja ativá-la automaticamente para todas as contas existentes e novas contas de membros, somente para contas de novos membros ou nenhuma conta. Se você ativá-la automaticamente para novas contas de membros, ela será ativada para qualquer conta que posteriormente ingressar na sua organização, quando a conta ingressar na sua organização no Macie. Se estiver habilitado para uma conta, o Macie incluirá buckets S3 que a conta possui. Se estiver desativado para uma conta, o Macie excluirá os buckets que a conta possui.

  • Ative seletivamente a descoberta automatizada de dados confidenciais para contas — Com essa opção, você ativa ou desativa a descoberta automática de dados confidenciais para contas individuais em uma case-by-case base. Se você habilitá-lo para uma conta, o Macie incluirá buckets S3 que a conta possui. Se você não ativá-lo ou desativá-lo para uma conta, o Macie excluirá os buckets que a conta possui.

  • Exclua buckets específicos do S3 da descoberta automática de dados confidenciais — Se você ativar a descoberta automática de dados confidenciais para uma ou mais contas, poderá excluir determinados buckets do S3 de propriedade das contas. Em seguida, o Macie ignora os intervalos ao realizar a descoberta automatizada para sua organização. Para excluir determinados buckets, adicione-os à lista de exclusão nas configurações da sua conta de administrador. Você pode excluir até 1.000 buckets para sua organização.

Por padrão, a descoberta automática de dados confidenciais é ativada automaticamente para todas as contas novas e existentes em uma organização. Além disso, o Macie inclui todos os buckets S3 que as contas possuem. Se você mantiver as configurações padrão, o Macie executará a descoberta automática de todos os buckets que ele monitora e analisa para sua conta de administrador, o que inclui todos os buckets que suas contas membros possuem.

Como administrador do Macie, você também define a natureza das análises que o Macie realiza para sua organização. Você faz isso definindo configurações adicionais para sua conta de administrador — identificadores de dados gerenciados, identificadores de dados personalizados e listas de permissões que você deseja que o Macie use ao analisar objetos do S3. O Macie usa as configurações da sua conta de administrador ao analisar objetos do S3 para outras contas em sua organização.

Excluindo ou incluindo buckets S3

Por padrão, o Amazon Macie realiza a descoberta automática de dados confidenciais para todos os buckets de uso geral do S3 que ele monitora e analisa para sua conta. Se você for o administrador do Macie em uma organização, isso inclui buckets que as contas de seus membros possuem.

Para refinar o escopo, você pode excluir até 1.000 buckets do S3 das análises. Se você excluir um intervalo, o Macie interrompe a seleção e a análise de objetos no intervalo ao realizar a descoberta automática de dados confidenciais. As estatísticas e os detalhes de descoberta de dados confidenciais existentes para o bucket persistem. Por exemplo, a pontuação de sensibilidade atual do bucket permanece inalterada. Depois de excluir um bucket, você pode incluí-lo novamente mais tarde.

Para excluir ou incluir um bucket do S3

Você pode excluir ou incluir posteriormente um bucket do S3 usando o console do Amazon Macie ou o Amazon Macie. API Para fazer isso de forma programática, use as seguintes operações: GetClassificationScope, para revisar uma lista de compartimentos atualmente excluídos das análises ou para excluir ou UpdateClassificationScopeincluir um compartimento em análises subsequentes.

Para excluir ou incluir posteriormente um bucket do S3 usando o console, siga estas etapas.

  1. Abra o console do Amazon Macie em. https://console.aws.amazon.com/macie/

  2. Usando o Região da AWS seletor no canto superior direito da página, escolha a região na qual você deseja excluir ou incluir buckets específicos do S3 nas análises.

  3. No painel de navegação, em Configurações, escolha Descoberta automatizada de dados confidenciais.

    A página Descoberta automatizada de dados confidenciais aparece e exibe suas configurações atuais. Nessa página, a seção S3 buckets lista os buckets do S3 que estão atualmente excluídos ou indica que todos os buckets estão incluídos no momento.

  4. Na seção S3 buckets, selecione Editar.

  5. Execute um destes procedimentos:

    • Para excluir um ou mais buckets do S3, selecione Adicionar buckets à lista de exclusão. Em seguida, na tabela de buckets do S3, marque a caixa de seleção de cada bucket a ser excluído. A tabela lista todos os buckets de uso geral da sua conta ou organização na região atual.

    • Para incluir um ou mais buckets do S3 que você excluiu anteriormente, selecione Remover buckets da lista de exclusão. Em seguida, na tabela de buckets do S3, marque a caixa de seleção de cada bucket a ser incluído. A tabela lista todos os compartimentos atualmente excluídos das análises.

    Para encontrar buckets específicos com mais facilidade, insira os critérios de pesquisa na caixa de pesquisa acima da tabela. Você também pode classificar a tabela escolhendo um título de coluna.

  6. Ao terminar de selecionar buckets, selecione Adicionar ou Remover, dependendo da opção escolhida na etapa anterior.

dica

Você também pode excluir ou incluir buckets S3 individuais em uma case-by-case base enquanto analisa os detalhes do bucket no console. Para fazer isso, selecione o bucket na página de buckets do S3. Em seguida, no painel de detalhes, altere a configuração Excluir da descoberta automática do bucket.

Adicionar ou remover identificadores de dados gerenciados

Um identificador de dados gerenciados é um conjunto de critérios e técnicas incorporados projetados para detectar um tipo específico de dados confidenciais, por exemplo, números de cartão de crédito, chaves de acesso AWS secretas ou números de passaportes de um determinado país ou região. Por padrão, o Amazon Macie analisa objetos do S3 usando o conjunto de identificadores de dados gerenciados que recomendamos para a descoberta automática de dados confidenciais. Para revisar uma lista desses identificadores, consulteConfigurações padrão para descoberta automatizada de dados confidenciais.

Você pode personalizar as análises para se concentrar em tipos específicos de dados confidenciais:

  • Adicione identificadores de dados gerenciados para os tipos de dados confidenciais que você deseja que o Macie detecte e relate, e

  • Remova identificadores de dados gerenciados para os tipos de dados confidenciais que você não quer que o Macie detecte e relate.

Se você remover um identificador de dados gerenciados, sua alteração não afetará as estatísticas e os detalhes de descoberta de dados confidenciais existentes para buckets do S3. Por exemplo, se você remover o identificador de dados gerenciados para chaves de acesso AWS secretas e o Macie tiver detectado esses dados anteriormente em um bucket, o Macie continuará relatando essas detecções.

dica

Em vez de remover um identificador de dados gerenciados, que afeta as análises subsequentes de todos os buckets do S3, você pode excluir suas detecções das pontuações de sensibilidade somente de determinados buckets. Para obter mais informações, consulte Ajustando as pontuações de sensibilidade para buckets S3.

Para adicionar ou remover um identificador de dados gerenciados

Você pode adicionar ou remover um identificador de dados gerenciados usando o console do Amazon Macie ou o Amazon Macie. API Para fazer isso programaticamente, use as seguintes operações: GetSensitivityInspectionTemplate, para determinar quais identificadores de dados gerenciados você adicionou ou removeu das análises atuais ou para adicionar ou UpdateSensitivityInspectionTemplateremover um identificador de dados gerenciados das análises subsequentes.

Para adicionar ou remover um identificador de dados gerenciados usando o console, siga estas etapas.

  1. Abra o console do Amazon Macie em. https://console.aws.amazon.com/macie/

  2. Usando o Região da AWS seletor no canto superior direito da página, escolha a região na qual você deseja adicionar ou remover um identificador de dados gerenciados das análises.

  3. No painel de navegação, em Configurações, escolha Descoberta automatizada de dados confidenciais.

    A página Descoberta automatizada de dados confidenciais aparece e exibe suas configurações atuais. Nessa página, a seção Identificadores de dados gerenciados exibe suas configurações atuais, organizadas em duas guias:

    • Adicionado ao padrão — Essa guia lista os identificadores de dados gerenciados que você adicionou. O Macie usa esses identificadores além dos que estão no conjunto padrão e que você não removeu.

    • Removido do padrão — Essa guia lista os identificadores de dados gerenciados que você removeu. Macie não usa esses identificadores.

  4. Na seção Identificadores de dados gerenciados, selecione Editar.

  5. Faça o seguinte:

    • Para adicionar um ou mais identificadores de dados gerenciados, escolha a guia Adicionado ao padrão. Em seguida, na tabela, marque a caixa de seleção de cada identificador de dados gerenciados a ser adicionado. Se uma caixa de seleção já estiver marcada, você já adicionou esse identificador.

    • Para remover um ou mais identificadores de dados gerenciados, selecione a guia Removido do padrão. Em seguida, na tabela, marque a caixa de seleção de cada identificador de dados gerenciados a ser removido. Se uma caixa de seleção já estiver marcada, você já removeu esse identificador.

    Em cada guia, a tabela exibe uma lista de todos os identificadores de dados gerenciados que o Macie fornece atualmente. Na tabela, a primeira coluna especifica o ID de cada identificador de dados gerenciados. O ID descreve o tipo de dados confidenciais que um identificador foi projetado para detectar, por exemplo, USA_ PASSPORT _ NUMBER para números de passaportes dos EUA. Para encontrar buckets específicos com mais facilidade, insira os critérios de pesquisa na caixa de pesquisa acima da tabela. É possível, também, organizar as linhas na tabela escolhendo o cabeçalho de uma coluna. Para obter detalhes sobre cada identificador, consulte Usar identificadores de dados gerenciados.

  6. Ao concluir, escolha Salvar.

Adicionar ou remover identificadores de dados personalizados

O identificador de dados personalizado é um conjunto de critérios que você define para detectar dados confidenciais. Os critérios consistem em uma expressão regular (regex) que define um padrão de texto a ser correspondido e, opcionalmente, sequências de caracteres e uma regra de proximidade que refinam os resultados. Para saber mais, consulte Criar identificadores de dados personalizados.

Por padrão, o Amazon Macie não usa identificadores de dados personalizados ao realizar a descoberta automatizada de dados confidenciais. Se você quiser que o Macie use identificadores de dados personalizados específicos, você pode adicioná-los às análises. Em seguida, o Macie usa os identificadores de dados personalizados, além de quaisquer identificadores de dados gerenciados que você configure o Macie para usar.

Se você adicionar um identificador de dados personalizado, poderá removê-lo posteriormente. Sua alteração não afeta as estatísticas e os detalhes atuais de descoberta de dados confidenciais dos buckets do S3. Ou seja, se você remover um identificador de dados personalizado que anteriormente produzia detecções para um bucket, o Macie continuará relatando essas detecções. No entanto, em vez de remover o identificador, que afeta as análises subsequentes de todos os intervalos, considere excluir suas detecções das pontuações de sensibilidade somente de determinados intervalos. Para obter mais informações, consulte Ajustando as pontuações de sensibilidade para buckets S3.

Para adicionar ou remover um identificador de dados personalizado

Você pode adicionar ou remover um identificador de dados personalizado usando o console do Amazon Macie ou o Amazon Macie. API Para fazer isso programaticamente, use as seguintes operações: GetSensitivityInspectionTemplate, para determinar quais identificadores de dados personalizados são usados atualmente nas análises ou para adicionar ou UpdateSensitivityInspectionTemplateremover um identificador de dados personalizado das análises subsequentes.

Para adicionar ou remover um identificador de dados personalizado usando o console, siga estas etapas.

  1. Abra o console do Amazon Macie em. https://console.aws.amazon.com/macie/

  2. Usando o Região da AWS seletor no canto superior direito da página, escolha a região na qual você deseja adicionar ou remover um identificador de dados personalizado das análises.

  3. No painel de navegação, em Configurações, escolha Descoberta automatizada de dados confidenciais.

    A página Descoberta automatizada de dados confidenciais aparece e exibe suas configurações atuais. Nessa página, a seção Identificadores de dados personalizados lista os identificadores de dados personalizados que você já adicionou ou indica que você não adicionou nenhum identificador de dados personalizado.

  4. Na seção Identificadores de dados personalizados, selecione Editar.

  5. Faça o seguinte:

    • Para adicionar um ou mais identificadores de dados personalizados, marque a caixa de seleção de cada identificador de dados personalizado a ser adicionado. Se uma caixa de seleção já estiver marcada, você já adicionou esse identificador.

    • Para remover um ou mais identificadores de dados personalizados, desmarque a caixa de seleção de cada identificador de dados personalizado a ser removido. Se uma caixa de seleção já estiver desmarcada, o Macie não usa esse identificador no momento.

    dica

    Para revisar ou testar as configurações de um identificador de dados personalizado antes de adicioná-lo ou removê-lo, selecione o ícone de link ( The link icon, which is a gray box that has an arrow in it. ) ao lado do nome do identificador. O Macie abrirá uma página que exibe as configurações do identificador. Para também testar o identificador com dados de amostra, insira até 1.000 caracteres de texto na caixa Dados de amostra nessa página. Em seguida, escolha Testar. Macie avalia os dados da amostra e relata o número de correspondências.

  6. Ao concluir, escolha Salvar.

Adicionar ou remover listas de permissões

No Amazon Macie, uma lista de permissões define um texto ou um padrão de texto específicos que o Macie deverá ignorar ao inspecionar objetos S3 em busca de dados sigilosos. Se o texto corresponder a uma entrada ou padrão em uma lista de permissões, o Macie não denunciará o texto. Esse é o caso mesmo que o texto corresponda aos critérios de um identificador de dados gerenciado ou personalizado. Para saber mais, consulte Como definir exceções de dados sigilosos com listas de permissões.

Por padrão, o Amazon Macie não usa identificadores de dados personalizados ao realizar a descoberta automatizada de dados confidenciais. Se você quiser que o Macie use listas de permissões específicas, você pode adicioná-las às análises. Se você adicionar uma lista de permissões, poderá removê-la posteriormente.

Para adicionar ou remover uma lista de permissões

Você pode adicionar ou remover uma lista de permissões usando o console do Amazon Macie ou o Amazon Macie. API Para fazer isso programaticamente, use as seguintes operações: GetSensitivityInspectionTemplate, para determinar quais listas de permissões são usadas atualmente nas análises ou para adicionar ou UpdateSensitivityInspectionTemplateremover uma lista de permissões das análises subsequentes.

Para adicionar ou remover uma lista de permissões usando o console, siga estas etapas.

  1. Abra o console do Amazon Macie em. https://console.aws.amazon.com/macie/

  2. Usando o Região da AWS seletor no canto superior direito da página, escolha a região na qual você deseja adicionar ou remover uma lista de permissões das análises.

  3. No painel de navegação, em Configurações, escolha Descoberta automatizada de dados confidenciais.

    A página Descoberta automatizada de dados confidenciais aparece e exibe suas configurações atuais. Nessa página, a seção Listas de permissões especifica as listas de permissão que você já adicionou ou indica que você não adicionou nenhuma lista de permissão.

  4. Na seção Listas e permissões, selecione Editar.

  5. Faça o seguinte:

    • Para adicionar uma ou mais listas de permissões, marque a caixa de seleção de cada lista de permissões a ser adicionada. Se uma caixa de seleção já estiver marcada, você já adicionou essa lista.

    • Para remover uma ou mais listas de permissões, desmarque a caixa de seleção de cada lista de permissões a ser removida. Se uma caixa de seleção já estiver desmarcada, o Macie não usa essa lista no momento.

    dica

    Para revisar as configurações de uma lista de permissões antes de adicioná-la ou removê-la, selecione o ícone do link ( The link icon, which is a gray box that has an arrow in it. ) ao lado do nome da lista. O Macie abrirá uma página que exibe as configurações da lista. Se a lista especificar uma expressão regular (regex), você também poderá usar essa página para testar a regex com dados de amostra. Para fazer isso, insira até mil caracteres de texto na caixa Dados da amostra e selecione Teste. Macie avalia os dados da amostra e relata o número de correspondências.

  6. Ao concluir, escolha Salvar.