As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Armazenamento e retenção de resultados de descoberta de dados confidenciais
Quando você executa um trabalho de descoberta de dados confidenciais ou o Amazon Macie realiza uma descoberta automática de dados confidenciais, o Macie cria um registro de análise para cada objeto do Amazon Simple Storage Service (Amazon S3) incluído no escopo da análise. Esses registros, chamados de resultados confidenciais da descoberta de dados, registram detalhes sobre a análise de objetos individuais do S3. Isso inclui objetos nos quais o Macie não detecta dados confidenciais e, portanto, não produz descobertas, e objetos que o Macie não pode analisar devido a erros ou problemas. Se o Macie detectar dados confidenciais em um objeto, o registro incluirá dados da descoberta correspondente, bem como informações adicionais. Os resultados confidenciais da descoberta de dados fornecem registros de análise que podem ser úteis para auditorias ou investigações de privacidade e proteção de dados.
O Macie armazena seus resultados confidenciais de descoberta de dados por apenas 90 dias. Para acessar seus resultados e permitir o armazenamento e a retenção a longo prazo deles, configure o Macie para criptografar os resultados com uma chave AWS Key Management Service (AWS KMS) e armazená-los em um bucket do S3. O bucket pode servir como um repositório definitivo e de longo prazo para todos os seus resultados confidenciais de descoberta de dados. Em seguida, você pode, se preferir, acessar e consultar os resultados nesse repositório.
Este tópico orienta você pelo processo de uso do AWS Management Console para configurar um repositório para seus resultados confidenciais de descoberta de dados. A configuração é uma combinação de uma AWS KMS key que criptografa os resultados, um bucket de uso geral do S3 que armazena os resultados e configurações do Macie que especificam qual chave e bucket usar. Se você preferir definir as configurações do Macie programaticamente, poderá usar a PutClassificationExportConfigurationoperação do Amazon Macie. API
Quando você define as configurações no Macie, suas escolhas se aplicam somente à Região da AWS atual. Se você for o administrador do Macie de uma organização, suas escolhas se aplicam somente à sua conta. Eles não se aplicam a nenhuma conta de membro associada. Se você habilitar a descoberta automática de dados confidenciais ou executar trabalhos de descoberta de dados confidenciais para analisar dados de contas de membros, o Macie armazenará os resultados da descoberta de dados confidenciais no repositório da sua conta de administrador.
Se você usa o Macie em vários Regiões da AWS, defina as configurações do repositório para cada região na qual você usa o Macie. Como opção, você pode armazenar resultados de descoberta de dados confidenciais para várias regiões no mesmo bucket do S3. No entanto, observe os seguintes requisitos:
-
Para armazenar os resultados de uma região que AWS habilita por padrão para Contas da AWS, como a região Leste dos EUA (Norte da Virgínia), você precisa escolher um bucket em uma região que esteja habilitada por padrão. Não é possível armazenar os resultados em um bucket em uma região opcional (região desabilitada por padrão).
-
Para armazenar os resultados de uma região opcional, como a região do Oriente Médio (Bahrein), você precisa escolher um bucket na mesma região ou uma região que seja habilitada por padrão. Não é possível armazenar os resultados em um bucket em outra região opcional.
Para determinar se uma região é habilitada por padrão, consulte Regiões e endpoints no Guia de usuário do AWS Identity and Access Management . Além dos requisitos anteriores, considere também se você deseja recuperar amostras de dados confidenciais que o Macie relata em descobertas individuais. Para recuperar amostras de dados confidenciais de um objeto do S3 afetado, todos os seguintes recursos e dados devem ser armazenados na mesma região: o objeto afetado, a descoberta aplicável e o resultado correspondente da descoberta de dados confidenciais.
Tarefas
Antes de começar: aprenda os principais conceitos
O Amazon Macie cria automaticamente um resultado de descoberta de dados confidenciais para cada objeto do Amazon S3 que ele analisa ou tenta analisar quando você executa um trabalho de descoberta de dados confidenciais ou realiza uma descoberta automática de dados confidenciais. Isso inclui:
-
Objetos nos quais o Macie detecta dados confidenciais e, portanto, também produzem descobertas de dados confidenciais.
-
Objetos nos quais o Macie não detecta dados confidenciais e, portanto, não produzem descobertas de dados confidenciais.
-
Objetos que o Macie não consegue analisar devido a erros ou problemas, como configurações de permissões ou uso de um arquivo ou formato de armazenamento não suportado.
Se o Macie detectar dados sigilosos em um objeto do S3, o resultado da descoberta de dados sigilosos incluirá dados da descoberta de dados sigilosos correspondente. Ele também fornece informações adicionais, como a localização de até mil ocorrências de cada tipo de dado confidencial que Macie encontrou no objeto. Por exemplo:
-
O número da coluna e da linha de uma célula ou campo em uma pasta de trabalho, CSV arquivo ou TSV arquivo do Microsoft Excel
-
O caminho para um campo ou matriz em um arquivo JSON ou JSON Linhas
-
O número da linha de uma linha em um arquivo de texto não binário que não seja umCSV,JSON, JSON Linhas ou TSV arquivo — por exemplo, um arquivoHTML, TXT ou XML
-
O número da página de uma página em um arquivo Adobe Portable Document Format (PDF)
-
O índice do registro e o caminho para um campo em um registro em um contêiner de objetos Apache Avro ou arquivo Apache Parquet
Se o objeto do S3 afetado for um arquivo de arquivamento, como um arquivo.tar ou .zip, o resultado da descoberta de dados confidenciais também fornecerá dados de localização detalhados para ocorrências de dados confidenciais em arquivos individuais que o Macie extraiu do arquivamento. O Macie não inclui essas informações nas descobertas de dados confidenciais para arquivos arquivados. Para relatar dados de localização, os resultados confidenciais da descoberta de dados usam um JSONesquema padronizado.
Um resultado de descoberta de dados confidenciais não inclui os dados confidenciais que Macie encontrou. Em vez disso, ele fornece um registro de análise que pode ser útil para auditorias ou investigações.
O Macie armazena seus resultados confidenciais de descoberta de dados por 90 dias. Você não pode acessá-los diretamente no console do Amazon Macie ou com o Amazon Macie. API Em vez disso, siga as etapas deste tópico para configurar o Macie para criptografar seus resultados com um AWS KMS key que você especificar e armazenar os resultados em um bucket de uso geral do S3 que você também especificar. Em seguida, Macie grava os resultados em arquivos JSON Lines (.jsonl), adiciona os arquivos ao bucket como arquivos GNU Zip (.gz) e criptografa os dados usando - encryption. SSE KMS Em 8 de novembro de 2023, Macie também assina os objetos S3 resultantes com um Código de Autenticação de Mensagens baseado em Hash (). HMAC AWS KMS key
Após você configurar o Macie para armazenar os resultados de descoberta de dados confidenciais em um bucket do S3, o bucket poderá servir como um repositório definitivo e de longo prazo para os resultados. Em seguida, você pode, se preferir, acessar e consultar os resultados nesse repositório.
Dicas
Para obter um exemplo detalhado e instrutivo de como você pode consultar e usar resultados de descoberta de dados confidenciais para analisar e relatar possíveis riscos à segurança de dados, consulte a seguinte postagem no blog de AWS segurança: Como consultar e visualizar os resultados da descoberta de dados confidenciais do Macie com o Amazon Athena
Para exemplos de consultas do Amazon Athena que você pode usar para analisar resultados confidenciais de descoberta de dados, visite o repositório Amazon Macie Results Analytics em.
Etapa 1: verifique suas permissões
Antes de configurar um repositório para os resultados confidenciais da descoberta de dados, verifique se você tem as permissões necessárias para criptografar e armazenar os resultados. Para verificar suas permissões, use AWS Identity and Access Management (IAM) para revisar as IAM políticas anexadas à sua IAM identidade. Em seguida, compare as informações nessas políticas com a seguinte lista de ações que você deve ter permissão para realizar para configurar o repositório.
- Amazon Macie
-
Para Macie, verifique se você tem permissão para realizar a seguinte ação:
macie2:PutClassificationExportConfigurationEssa ação permite que você adicione ou altere as configurações do repositório no Macie.
- Amazon S3
-
Para o Amazon S3, verifique se você tem permissão para realizar as seguintes ações:
-
s3:CreateBucket -
s3:GetBucketLocation -
s3:ListAllMyBuckets -
s3:PutBucketAcl -
s3:PutBucketPolicy -
s3:PutBucketPublicAccessBlock -
s3:PutObject
Essas ações permitem que você acesse e configure um bucket de uso geral do S3 que pode servir como repositório.
-
- AWS KMS
-
Para usar o console do Amazon Macie para adicionar ou alterar as configurações do repositório, verifique também se você tem permissão para realizar as seguintes ações do AWS KMS :
-
kms:DescribeKey -
kms:ListAliases
Essas ações permitem que você recupere e exiba informações sobre o AWS KMS keys para a sua conta. Em seguida, você pode escolher uma dessas chaves para criptografar os resultados confidenciais da descoberta de dados.
Se você planeja criar um novo AWS KMS key para criptografar os dados, você também precisa ter permissão para realizar as seguintes ações:
kms:CreateKeykms:GetKeyPolicy, e.kms:PutKeyPolicy -
Se você não tiver permissão para realizar as ações necessárias, peça ajuda ao AWS administrador antes de prosseguir para a próxima etapa.
Etapa 2: configurar o AWS KMS key
Depois de verificar suas permissões, determine quais AWS KMS key você deseja que o Macie use para criptografar seus resultados de descoberta de dados confidenciais. A chave deve ser uma KMS chave de criptografia simétrica gerenciada pelo cliente que esteja habilitada da Região da AWS mesma forma que o bucket do S3 em que você deseja armazenar os resultados.
A chave pode ser uma existente AWS KMS key de sua própria conta ou uma existente AWS KMS key de propriedade de outra conta. Se você quiser usar uma nova KMS chave, crie a chave antes de continuar. Se você quiser usar uma chave existente que outra conta possui, obtenha o Amazon Resource Name (ARN) da chave. Você precisará inserir isso ARN ao definir as configurações do repositório no Macie. Para obter informações sobre como criar e revisar as configurações das KMS chaves, consulte Gerenciamento de chaves no Guia do AWS Key Management Service desenvolvedor.
nota
A chave pode estar AWS KMS key em um armazenamento de chaves externo. No entanto, a chave pode, então, ser mais lenta e menos confiável do que uma chave totalmente gerenciada no AWS KMS. Você pode reduzir esse risco armazenando os resultados de descoberta de dados confidenciais em um bucket do S3 configurado para usar a chave como uma chave de bucket do S3. Isso reduz o número de solicitações do AWS KMS que devem ser feitas para criptografar os resultados confidenciais da descoberta de dados.
Para obter informações sobre o uso de KMS chaves em armazenamentos de chaves externos, consulte Armazenamentos de chaves externos no Guia do AWS Key Management Service desenvolvedor. Para obter informações sobre o uso das chaves de bucket do S3, consulte Reduzindo o custo de SSE - KMS com as chaves de bucket do Amazon S3 no Guia do usuário do Amazon Simple Storage Service.
Depois de determinar qual KMS chave você deseja que o Macie use, dê permissão ao Macie para usar a chave. Caso contrário, o Macie não conseguirá criptografar nem armazenar seus resultados no repositório. Para dar permissão ao Macie para usar a chave, atualize a política de chaves para a chave. Para obter informações detalhadas sobre as principais políticas e o gerenciamento do acesso às KMS chaves, consulte Políticas principais AWS KMS no Guia do AWS Key Management Service desenvolvedor.
Atualizar a política de chaves
-
Abra o AWS KMS console em https://console.aws.amazon.com/kms
. -
Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.
-
Selecione a chave que deseja que o Macie use para criptografar os resultados de descoberta de dados confidenciais.
-
Na guia Política de chave, escolha Editar.
-
Copie a seguinte declaração para sua área de transferência e adicione-a à política:
{ "Sid": "Allow Macie to use the key", "Effect": "Allow", "Principal": { "Service": "macie.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Encrypt" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": [ "arn:aws:macie2:Region:111122223333:export-configuration:*", "arn:aws:macie2:Region:111122223333:classification-job/*" ] } } }nota
Ao adicionar a instrução à política, verifique se a sintaxe é válida. As políticas usam o JSON formato. Isso significa que você também precisa adicionar uma vírgula antes ou depois da declaração, dependendo de onde você adiciona a instrução à política. Se você adicionar a instrução como a última instrução, adicione uma vírgula após o colchete de fechamento para a instrução anterior. Se você adicioná-la como a primeira instrução ou adicioná-la entre duas instruções existentes, adicione uma vírgula após o colchete de fechamento para a instrução.
-
Atualize a instrução com os valores corretos para seu ambiente:
-
Nos campos
Condition, substitua os valores do espaço reservado, onde:-
111122223333é o ID da conta do seu Conta da AWS. -
Regioné aquele Região da AWS em que você está usando o Macie e deseja permitir que o Macie use a chave.Se você usa o Macie em várias regiões e deseja permitir que o Macie use a chave em outras regiões, adicione condições
aws:SourceArnpara cada região adicional. Por exemplo:"aws:SourceArn": [ "arn:aws:macie2:us-east-1:111122223333:export-configuration:*", "arn:aws:macie2:us-east-1:111122223333:classification-job/*", "arn:aws:macie2:us-west-2:111122223333:export-configuration:*", "arn:aws:macie2:us-west-2:111122223333:classification-job/*" ]Como alternativa, você pode permitir que o Macie use a chave em todas as regiões. Para fazer isso, substitua o valor do espaço reservado pelo caractere curinga (*). Por exemplo:
"aws:SourceArn": [ "arn:aws:macie2:*:111122223333:export-configuration:*", "arn:aws:macie2:*:111122223333:classification-job/*" ]
-
-
Se você estiver usando o Macie em uma região opcional, adicione o código de região adequado ao valor do campo
Service. Por exemplo, se você estiver usando Macie na região do Oriente Médio (Bahrein), que tem o código de região me-south-1, substituamacie.amazonaws.com.rproxy.goskope.compormacie.me-south-1.amazonaws.com. Para obter uma lista de regiões onde o Macie está disponível atualmente e o código de região de cada uma, consulte Endpoints e cotas do Amazon Macie no arquivo Referência geral da AWS.
Observe que os
Conditioncampos usam duas chaves de condição IAM globais:-
aws: SourceAccount — Essa condição permite que o Macie execute as ações especificadas somente para sua conta. Mais especificamente, ele determina qual conta pode realizar as ações especificadas para os recursos e ações especificadas pela condição
aws:SourceArn.Para permitir que o Macie execute as ações especificadas para contas adicionais, adicione o ID da conta de cada conta adicional a essa condição. Por exemplo:
"aws:SourceAccount": [111122223333,444455556666] -
aws: SourceArn — Essa condição impede que outras pessoas Serviços da AWS executem as ações especificadas. Também impede que Macie use a chave enquanto realiza outras ações na sua conta. Em outras palavras, ele permite que o Macie criptografe objetos do S3 com a chave somente se: os objetos forem resultados confidenciais de descoberta de dados e os resultados forem para trabalhos automatizados de descoberta de dados confidenciais ou de descoberta de dados confidenciais criados pela conta especificada na região especificada.
Para permitir que o Macie execute as ações especificadas para contas adicionais, adicione ARNs cada conta adicional a essa condição. Por exemplo:
"aws:SourceArn": [ "arn:aws:macie2:us-east-1:111122223333:export-configuration:*", "arn:aws:macie2:us-east-1:111122223333:classification-job/*", "arn:aws:macie2:us-east-1:444455556666:export-configuration:*", "arn:aws:macie2:us-east-1:444455556666:classification-job/*" ]
As contas especificadas pelas condições
aws:SourceAccounteaws:SourceArndevem ser correspondentes.Essas condições ajudam a evitar que Macie seja usada como representante confusa durante transações com AWS KMS. Embora não o recomendemos, você pode remover essas condições da instrução.
-
-
Ao terminar de adicionar e atualizar a instrução, selecione Salvar alterações.
Etapa 3: Selecione um bucket do S3
Depois de verificar suas permissões e configurar o AWS KMS key, você estará pronto para especificar qual bucket do S3 deseja usar como repositório para seus resultados confidenciais de descoberta de dados. Você tem duas opções:
-
Use um novo bucket S3 criado pelo Macie — Se você escolher essa opção, o Macie criará automaticamente um novo bucket S3 de uso geral no atual Região da AWS para os resultados da sua descoberta. O Macie também aplica uma política de bucket ao bucket. A política permite que o Macie adicione objetos ao bucket. Também exige que os objetos sejam criptografados com o AWS KMS key que você especifica, usando SSE - KMS criptografia. Para revisar a política, escolha Exibir política no console do Amazon Macie depois de especificar um nome para o bucket e a KMS chave a ser usada.
-
Use um bucket do S3 existente criado por você — Se você preferir armazenar os resultados da descoberta em um determinado bucket do S3 criado por você, crie o bucket antes de continuar. O balde deve ser um balde de uso geral. Além disso, as configurações e a política do bucket devem permitir que o Macie adicione objetos ao bucket. Este tópico explica quais configurações verificar e como atualizar a política. Ele também fornece exemplos de instruções a serem adicionadas à política.
As seções a seguir dão instruções para cada opção. Escolha a seção da opção que deseja.
Se você preferir usar um novo bucket do S3 que o Macie cria para você, a etapa final do processo é definir as configurações do repositório no Macie.
Para definir as configurações do repositório no Macie
Abra o console do Amazon Macie em. https://console.aws.amazon.com/macie/
-
No painel de navegação, em Configurações, selecione Resultados da descoberta.
-
Em Repositório para resultados de descoberta de dados confidenciais, selecione Criar bucket.
-
Na caixa Criar um bucket, insira um nome para o bucket.
O nome deve ser exclusivo em todos os buckets no S3. Além disso, o nome pode consistir apenas em letras minúsculas, números, pontos (.) e hífens (-). Para requisitos adicionais de nomenclatura, consulte Regras de nomenclatura de buckets no Guia do usuário do Amazon Simple Storage Service.
-
Expanda a seção Advanced.
-
(Opcional) Para especificar um prefixo a ser usado no caminho para um local no bucket, insira o prefixo na caixa Prefixo do resultado da descoberta de dados.
Quando você insere um valor, o Macie atualiza o exemplo abaixo da caixa para mostrar o caminho até o local do bucket onde ele armazenará os resultados da descoberta.
-
Em Bloquear todo o acesso público, selecione Sim para ativar todas as configurações de bloqueio de acesso público para o bucket.
Para obter informações sobre essas configurações, consulte Blocking public access to your Amazon S3 storage do Guia do usuário do Amazon Simple Storage Service.
-
Em Configurações de criptografia, especifique o AWS KMS key que deseja que o Macie use para criptografar os resultados:
-
Para usar uma chave da sua própria conta, selecione Selecione uma chave em sua conta. Em seguida, na lista AWS KMS key, selecione a chave a ser usada. A lista exibe KMS chaves de criptografia simétricas gerenciadas pelo cliente para sua conta.
-
Para usar uma chave que outra conta possui, escolha Inserir a ARN chave de outra conta. Em seguida, na AWS KMS key ARNcaixa, insira o Amazon Resource Name (ARN) da chave a ser usada — por exemplo,.
arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
-
-
Após terminar de inserir configurações, selecione Salvar.
O Macie testa as configurações para verificar se elas estão corretas. Se alguma configuração estiver incorreta, o Macie exibirá uma mensagem de erro para ajudar a resolver o problema.
Depois de salvar as configurações do repositório, o Macie adiciona os resultados de descoberta existentes dos 90 dias anteriores ao repositório. Macie também começa a adicionar novos resultados de descoberta ao repositório.
Se você preferir armazenar seus resultados confidenciais de descoberta de dados em um determinado bucket do S3, crie e configure o bucket antes de definir as configurações no Macie. Ao criar o bucket, observe os seguintes requisitos:
-
O balde deve ser um balde de uso geral. Não pode ser um repositório de diretórios.
-
Se você habilitar o bloqueio de objetos para o bucket, precisará desabilitar a configuração de retenção padrão para esse recurso. Caso contrário, o Macie não poderá adicionar os resultados de descoberta ao bucket. Para obter informações sobre esta configuração, consulte Usar o S3 Object Lock no Guia do usuário do Amazon Simple Storage Service.
-
Para armazenar os resultados da descoberta em uma região habilitada por padrão para Contas da AWS, como a região Leste dos EUA (Norte da Virgínia), o bucket precisa estar em uma região habilitada por padrão. Não é possível armazenar os resultados em um bucket em uma região opcional (região desabilitada por padrão).
-
Para armazenar seus resultados de descoberta de uma região opcional, como a região do Oriente Médio (Bahrein), o bucket precisa estar na mesma região ou em uma região que seja habilitada por padrão. Não é possível armazenar os resultados em um bucket em outra região opcional.
Para determinar se uma região é habilitada por padrão, consulte Regiões e endpoints no Guia de usuário do AWS Identity and Access Management .
Depois de criar o bucket, atualize a política do bucket para permitir que o Macie recupere informações sobre o bucket e adicione objetos ao bucket. Em seguida, você pode definir as configurações no Macie.
Como atualizar a política de bucket para o bucket
Abra o console do Amazon S3 em. https://console.aws.amazon.com/s3/
-
Escolha o bucket no qual você deseja armazenar os resultados da descoberta.
-
Escolha a aba Permissions.
-
Na seção Bucket policy, selecione Edit.
-
Copie o exemplo de política a seguir para a área de transferência:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow Macie to use the GetBucketLocation operation", "Effect": "Allow", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:GetBucketLocation", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": [ "arn:aws:macie2:Region:111122223333:export-configuration:*", "arn:aws:macie2:Region:111122223333:classification-job/*" ] } } }, { "Sid": "Allow Macie to add objects to the bucket", "Effect": "Allow", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional prefix/]*", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": [ "arn:aws:macie2:Region:111122223333:export-configuration:*", "arn:aws:macie2:Region:111122223333:classification-job/*" ] } } }, { "Sid": "Deny unencrypted object uploads. This is optional", "Effect": "Deny", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional prefix/]*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption": "aws:kms" } } }, { "Sid": "Deny incorrect encryption headers. This is optional", "Effect": "Deny", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional prefix/]*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption-aws-kms-key-id": "arn:aws:kms:Region:111122223333:key/KMSKeyId" } } }, { "Sid": "Deny non-HTTPS access", "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*", "Condition": { "Bool": { "aws:SecureTransport": "false" } } } ] } -
Cole o exemplo de política no editor Política do bucket no console do Amazon S3.
-
Atualize o exemplo de política com os valores corretos para seu ambiente:
-
Na instrução opcional que nega cabeçalhos de criptografia incorretos:
-
Substituir
amzn-s3-demo-bucketcom o nome do balde. Para especificar também um prefixo para um caminho para um local no bucket, substitua[optional prefix/]com o prefixo. Caso contrário, remova o[optional prefix/]valor do espaço reservado. -
Na
StringNotEqualscondição, substituaarn:aws:kms:Region:111122223333:key/KMSKeyIdcom o Amazon Resource Name (ARN) do a AWS KMS key ser usado para criptografar os resultados de sua descoberta.
-
-
Em todas as outras instruções, substitua os valores do espaço reservado, onde:
-
amzn-s3-demo-bucketé o nome do bucket. -
[optional prefix/]é o prefixo de um caminho para um local no bucket. Remova esse valor de espaço reservado se você não quiser especificar um prefixo. -
111122223333é o ID da conta do seu Conta da AWS. -
Regioné aquele Região da AWS em que você está usando o Macie e deseja permitir que o Macie adicione resultados de descoberta ao bucket.Se você usa o Macie em várias regiões e deseja permitir que o Macie adicione resultados ao bucket para regiões adicionais, adicione condições
aws:SourceArnpara cada região adicional. Por exemplo:"aws:SourceArn": [ "arn:aws:macie2:us-east-1:111122223333:export-configuration:*", "arn:aws:macie2:us-east-1:111122223333:classification-job/*", "arn:aws:macie2:us-west-2:111122223333:export-configuration:*", "arn:aws:macie2:us-west-2:111122223333:classification-job/*" ]Como alternativa, você pode permitir que o Macie adicione resultados ao bucket para todas as regiões nas quais você usa o Macie. Para fazer isso, substitua o valor do espaço reservado pelo caractere curinga (*). Por exemplo:
"aws:SourceArn": [ "arn:aws:macie2:*:111122223333:export-configuration:*", "arn:aws:macie2:*:111122223333:classification-job/*" ]
-
-
Se você estiver usando o Macie em uma região opcional, adicione o código de região adequado ao valor do campo
Serviceem cada declaração que especifica a entidade principal de serviço do Macie. Por exemplo, se você estiver usando o Macie na região do Oriente Médio (Bahrein), que tem o código de região me-south-1,macie.amazonaws.com.rproxy.goskope.comsubstitua por em cada instrução aplicável.macie---me-south-1.amazonaws.com.rproxy.goskope.comPara obter uma lista de regiões onde o Macie está disponível atualmente e o código de região de cada uma, consulte Endpoints e cotas do Amazon Macie no arquivo Referência geral da AWS.
Observe que o exemplo de política inclui declarações que permitem ao Macie determinar em qual região o bucket reside (
GetBucketLocation) e adicionar objetos ao bucket (PutObject). Essas instruções definem condições que usam duas chaves de condição IAM globais:-
aws: SourceAccount — Essa condição permite que o Macie adicione resultados confidenciais de descoberta de dados ao bucket somente para sua conta. Isso impede que o Macie adicione resultados de descoberta de outras contas ao bucket. Mais especificamente, a condição especifica qual conta pode usar o bucket para os recursos e ações especificados pela condição
aws:SourceArn.Para armazenar resultados de contas adicionais no bucket, adicione o ID da conta de cada conta adicional a essa condição. Por exemplo:
"aws:SourceAccount": [111122223333,444455556666] -
aws: SourceArn — Essa condição restringe o acesso ao bucket com base na origem dos objetos que estão sendo adicionados ao bucket. Isso impede que outras Serviços da AWS pessoas adicionem objetos ao bucket. Isso também impede que o Macie adicione objetos ao bucket enquanto realiza outras ações na sua conta. Mais especificamente, a condição permite que o Macie adicione objetos ao bucket somente se: os objetos forem resultados confidenciais de descoberta de dados e os resultados forem para trabalhos automatizados de descoberta de dados confidenciais ou de descoberta de dados confidenciais criados pela conta especificada na região especificada.
Para permitir que o Macie execute as ações especificadas para contas adicionais, adicione ARNs cada conta adicional a essa condição. Por exemplo:
"aws:SourceArn": [ "arn:aws:macie2:us-east-1:111122223333:export-configuration:*", "arn:aws:macie2:us-east-1:111122223333:classification-job/*", "arn:aws:macie2:us-east-1:444455556666:export-configuration:*", "arn:aws:macie2:us-east-1:444455556666:classification-job/*" ]
As contas especificadas pelas condições
aws:SourceAccounteaws:SourceArndevem corresponder.Ambas as condições ajudam a evitar que Macie seja usado como um representante confuso durante transações com o Amazon S3. Embora não seja recomendável, você pode remover essas condições da política de bucket.
-
-
Quando terminar de atualizar a política do bucket, escolha Salvar alterações.
Agora é possível definir as configurações do repositório no Macie.
Para definir as configurações do repositório no Macie
Abra o console do Amazon Macie em. https://console.aws.amazon.com/macie/
-
No painel de navegação, em Configurações, selecione Resultados da descoberta.
-
Em Repositório para resultados de descoberta de dados confidenciais, selecione Bucket existente.
-
Em Escolher um bucket, selecione o bucket no qual você deseja armazenar os resultados de descoberta.
-
Para especificar um prefixo para um caminho para um local no bucket, expanda a seção Avançado. Em seguida, em Prefixo do resultado da descoberta de dados, insira o prefixo.
Quando você insere um valor, o Macie atualiza o exemplo abaixo da caixa para mostrar o caminho até o local do bucket onde ele armazenará os resultados da descoberta.
-
Em Configurações de criptografia, especifique o AWS KMS key que deseja que o Macie use para criptografar os resultados:
-
Para usar uma chave da sua própria conta, selecione Selecione uma chave em sua conta. Em seguida, na lista AWS KMS key, selecione a chave a ser usada. A lista exibe KMS chaves de criptografia simétricas gerenciadas pelo cliente para sua conta.
-
Para usar uma chave que outra conta possui, escolha Inserir a ARN chave de outra conta. Em seguida, na AWS KMS key ARNcaixa, insira a chave ARN a ser usada, por exemplo,.
arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
-
-
Após terminar de inserir configurações, selecione Salvar.
O Macie testa as configurações para verificar se elas estão corretas. Se alguma configuração estiver incorreta, o Macie exibirá uma mensagem de erro para ajudar a resolver o problema.
Depois de salvar as configurações do repositório, o Macie adiciona os resultados de descoberta existentes dos 90 dias anteriores ao repositório. Macie também começa a adicionar novos resultados de descoberta ao repositório.
nota
Se você alterar posteriormente a configuração Prefixo do resultado da descoberta de dados, atualize também a política de bucket no Amazon S3. As declarações de política que especificam o prefixo anterior devem especificar o novo prefixo. Caso contrário, o Macie não terá permissão para adicionar os resultados de descoberta ao bucket.
dica
Para reduzir os custos de criptografia do lado do servidor, configure também o bucket do S3 para usar uma chave do bucket do S3 e especifique a AWS KMS key que você configurou para criptografia dos resultados confidenciais da descoberta de dados. O uso de uma chave de bucket do S3 reduz o número de chamadas para AWS KMS, o que pode reduzir os custos da AWS KMS solicitação. Se a KMS chave estiver em um armazenamento de chaves externo, o uso de uma chave de bucket do S3 também pode minimizar o impacto no desempenho do uso da chave. Para saber mais, consulte Reduzindo o custo de SSE - KMS com chaves de bucket do Amazon S3 no Guia do usuário do Amazon Simple Storage Service.
