Armazenamento e retenção de resultados de descoberta de dados confidenciais
Quando você executa um trabalho de descoberta de dados confidenciais ou o Amazon Macie realiza uma descoberta automatizada de dados confidenciais, o Macie cria um registro de análise para cada objeto do Amazon Simple Storage Service (Amazon S3) incluído no escopo da análise. Esses registros, chamados de resultados confidenciais da descoberta de dados, registram detalhes sobre a análise de objetos individuais do S3. Isso inclui objetos nos quais o Macie não detecta dados confidenciais e, portanto, não produz descobertas, e objetos que o Macie não pode analisar devido a erros ou problemas. Se o Macie detectar dados confidenciais em um objeto, o registro incluirá dados da descoberta correspondente e também informações adicionais. Os resultados confidenciais da descoberta de dados fornecem registros de análise que podem ser úteis para auditorias ou investigações de privacidade e proteção de dados.
O Macie armazena seus resultados confidenciais de descoberta de dados por apenas 90 dias. Para acessar seus resultados e permitir o armazenamento e a retenção a longo prazo deles, configure o Macie para criptografar os resultados com uma chave AWS Key Management Service (AWS KMS) e armazená-los em um bucket do S3. O bucket pode servir como um repositório definitivo e de longo prazo para todos os seus resultados confidenciais de descoberta de dados. Em seguida, você pode, opcionalmente, acessar e consultar os resultados nesse repositório.
Este tópico orienta você pelo processo de uso do AWS Management Console para configurar um repositório para seus resultados de descoberta de dados confidenciais. A configuração é uma combinação de um AWS KMS key que criptografa os resultados, um bucket geral do S3 que armazena os resultados e configurações do Macie que especificam qual chave e bucket usar. Se você preferir definir as configurações do Macie de forma programática, poderá usar a operação PutClassificationExportConfiguration da API do Amazon Macie.
Quando você define as configurações no Macie, suas escolhas se aplicam somente à Região da AWS atual. Se você for o administrador do Macie de uma organização, suas escolhas se aplicam somente à sua conta. Elas não se aplicam a nenhuma conta de membro associada. Se você habilitar a descoberta automatizada de dados confidenciais ou executar trabalhos de descoberta de dados confidenciais para analisar dados de contas de membros, o Macie armazenará os resultados da descoberta de dados confidenciais no repositório da sua conta de administrador.
Se você usar o Macie em várias Regiões da AWS, defina as configurações do repositório para cada Região na qual usa o Macie. Como opção, você pode armazenar resultados de descoberta de dados confidenciais para várias regiões no mesmo bucket do S3. No entanto, observe os seguintes requisitos:
-
Para armazenar os resultados de uma região que a AWS habilita por padrão para Contas da AWS, como a região Leste dos EUA (Norte da Virgínia), você precisa escolher um bucket em uma região que seja habilitada por padrão. Não é possível armazenar os resultados em um bucket em uma região opcional (região desabilitada por padrão).
-
Para armazenar os resultados de uma região opcional, como a região do Oriente Médio (Bahrein), você precisa escolher um bucket na mesma região ou uma região que seja habilitada por padrão. Não é possível armazenar os resultados em um bucket em outra Região opcional.
Para determinar se uma Região está habilitada por padrão, consulte Habilitar ou desabilitar Regiões da AWS em sua conta no Guia do usuário do AWS Account Management. Além dos requisitos anteriores, considere também se você deseja recuperar amostras de dados confidenciais que o Macie relata em descobertas individuais. Para recuperar amostras de dados confidenciais de um objeto do S3 afetado, todos os recursos e dados a seguir devem ser armazenados na mesma Região: o objeto afetado, a descoberta aplicável e o resultado da descoberta de dados confidenciais correspondente.
Tarefas
Antes de começar: aprenda os principais conceitos
O Amazon Macie cria automaticamente um resultado de descoberta de dados confidenciais para cada objeto do Amazon S3 que ele analisa ou tenta analisar quando você executa um trabalho de descoberta de dados confidenciais ou quando ele realiza uma descoberta automatizada de dados confidenciais. Isso inclui:
-
Objetos nos quais o Macie detecta dados confidenciais e, portanto, também produzem descobertas de dados confidenciais.
-
Objetos nos quais o Macie não detecta dados confidenciais e, portanto, não produzem descobertas de dados confidenciais.
-
Objetos que o Macie não consegue analisar devido a erros ou problemas, como configurações de permissões ou uso de um arquivo ou formato de armazenamento não suportado.
Se o Macie detectar dados sigilosos em um objeto do S3, o resultado da descoberta de dados sigilosos incluirá dados da descoberta de dados sigilosos correspondente. Ele também fornece informações adicionais, como a localização de até mil ocorrências de cada tipo de dado confidencial que Macie encontrou no objeto. Por exemplo:
-
O número da coluna e da linha de uma célula ou campo em uma pasta de trabalho do Microsoft Excel, arquivo CSV ou arquivo TSV
-
O caminho para um campo ou matriz em um arquivo JSON ou JSON Lines
-
O número da linha de uma linha em um arquivo de texto não binário que não seja um arquivo CSV, JSON, JSON Lines ou TSV, por exemplo, um arquivo HTML, TXT ou XML
-
O número da página de uma página em um arquivo Adobe Portable Document Format (PDF)
-
O índice do registro e o caminho para um campo em um registro em um contêiner de objetos Apache Avro ou arquivo Apache Parquet
Se o objeto do S3 afetado for um arquivo de arquivamento, como um arquivo .tar ou .zip, o resultado da descoberta de dados confidenciais também fornecerá dados de localização detalhados para ocorrências de dados confidenciais em arquivos individuais que o Macie extraiu do arquivamento. O Macie não inclui essas informações nas descobertas de dados confidenciais para arquivos arquivados. Para relatar dados de localização, os resultados confidenciais da descoberta de dados usam um esquema JSON padronizado.
Um resultado de descoberta de dados confidenciais não inclui os dados confidenciais que Macie encontrou. Em vez disso, ele fornece um registro de análise que pode ser útil para auditorias ou investigações.
O Macie armazena seus resultados confidenciais de descoberta de dados por 90 dias. Você não pode acessá-los diretamente no console do Amazon Macie ou com a API do Amazon Macie. Em vez disso, siga as etapas deste tópico para configurar o Macie para criptografar seus resultados com um AWS KMS key que você especificar e armazenar os resultados em um bucket geral do S3 que você também especificar. Em seguida, o Macie grava os resultados em arquivos JSON Lines (.jsonl), adiciona os arquivos ao bucket como arquivos GNU Zip (.gz) e criptografa os dados usando a criptografia SSE-KMS. Desde 8 de novembro de 2023, o Macie também assina os objetos resultantes do S3 com uma AWS KMS key de código de autenticação de mensagens por hash (HMAC).
Após você configurar o Macie para armazenar os resultados de descoberta de dados confidenciais em um bucket do S3, o bucket poderá servir como um repositório definitivo e de longo prazo para os resultados. Em seguida, você pode, se preferir, acessar e consultar os resultados nesse repositório.
Dicas
Para obter um exemplo detalhado e instrutivo de como você pode consultar e usar resultados de descoberta de dados confidenciais para analisar e relatar possíveis riscos de segurança de dados, consulte o seguinte blog em Blog de segurança do AWS: Como consultar e visualizar os resultados de descoberta de dados confidenciais do Macie com o Amazon Athena e o Amazon QuickSight
Para exemplos de consultas do Amazon Athena que você pode usar para analisar resultados confidenciais de descoberta de dados, visite o repositório Amazon Macie Results Analytics
Etapa 1: verifique suas permissões
Antes de configurar um repositório para os resultados confidenciais da descoberta de dados, verifique se você tem as permissões necessárias para criptografar e armazenar os resultados. Para verificar suas permissões, use AWS Identity and Access Management (IAM) para revisar as políticas do IAM que estão anexadas à sua identidade do IAM. Em seguida, compare as informações nessas políticas com a seguinte lista de ações que você deve ter permissão para realizar para configurar o repositório.
- Amazon Macie
-
Para Macie, verifique se você tem permissão para realizar a seguinte ação:
macie2:PutClassificationExportConfigurationEssa ação permite que você adicione ou altere as configurações do repositório no Macie.
- Amazon S3
-
Para o Amazon S3, verifique se você tem permissão para realizar as seguintes ações:
-
s3:CreateBucket -
s3:GetBucketLocation -
s3:ListAllMyBuckets -
s3:PutBucketAcl -
s3:PutBucketPolicy -
s3:PutBucketPublicAccessBlock -
s3:PutObject
Essas ações permitem que você acesse e configure um bucket geral do S3 que pode servir como repositório.
-
- AWS KMS
-
Para usar o console do Amazon Macie para adicionar ou alterar as configurações do repositório, verifique também se você tem permissão para realizar as seguintes ações do AWS KMS:
-
kms:DescribeKey -
kms:ListAliases
Essas ações permitem que você recupere e exiba informações sobre o AWS KMS keys para a sua conta. Em seguida, você pode escolher uma dessas chaves para criptografar os resultados confidenciais da descoberta de dados.
Se você planeja criar um novo AWS KMS key para criptografar os dados, você também precisa ter permissão para realizar as seguintes ações:
kms:CreateKey,kms:GetKeyPolicyekms:PutKeyPolicy. -
Se você não tiver permissão para realizar as ações necessárias, peça ajuda ao administrador AWS antes de prosseguir para a próxima etapa.
Etapa 2: configurar o AWS KMS key
Depois de verificar suas permissões, determine qual AWS KMS key você deseja que o Macie use para criptografar seus resultados de descoberta de dados confidenciais. A chave deve ser uma chave KMS de criptografia simétrica e gerenciada pelo cliente que esteja habilitada na mesma Região da AWS que o bucket do S3 em que você deseja armazenar os resultados.
A chave pode ser um AWS KMS key existente de sua própria conta ou um AWS KMS key existente de propriedade de outra conta. Se você deseja usar uma nova chave KMS, crie uma chave antes de prosseguir. Se você desejar usar uma chave existente de propriedade de outra conta da, obtenha o nome do recurso da Amazon (ARN) da chave. Você precisará inserir esse ARN ao definir as configurações de repositório no Macie. Para obter informações sobre como criar e analisar as configurações das chaves KMS, consulte o Guia do desenvolvedor do AWS Key Management Service.
nota
A chave pode ser um AWS KMS key em um repositório de chaves externo. No entanto, a chave pode, então, ser mais lenta e menos confiável do que uma chave totalmente gerenciada no AWS KMS. Você pode reduzir esse risco armazenando os resultados de descoberta de dados confidenciais em um bucket do S3 configurado para usar a chave como uma chave de bucket do S3. Isso reduz o número de solicitações do AWS KMS que devem ser feitas para criptografar os resultados confidenciais da descoberta de dados.
Para obter informações sobre o uso de chaves KMS em repositórios de chaves externos, consulte Repositórios de chaves externos no Guia do desenvolvedor do AWS Key Management Service. Para obter informações sobre o uso de chaves de bucket do S3, consulte Redução do custo do SSE-KMS com chaves de bucket do Amazon S3 no Guia do usuário do Amazon Simple Storage Service.
Depois de determinar qual chave KMS você deseja que o Macie use, dê permissão ao Macie para usar a chave. Caso contrário, o Macie não conseguirá criptografar nem armazenar seus resultados no repositório. Para dar permissão ao Macie para usar a chave, atualize a política de chaves para a chave. Para obter informações detalhadas sobre políticas de chaves e gerenciamento do acesso às chaves do KMS, consulte Políticas de chave no AWS KMS no Guia do desenvolvedor do AWS Key Management Service.
Como atualizar a política de chaves
-
Abra o console do AWS KMS em https://console.aws.amazon.com/kms
. -
Para alterar o Região da AWS, use o seletor de Região no canto superior direito da página.
-
Selecione a chave que deseja que o Macie use para criptografar os resultados de descoberta de dados confidenciais.
-
Na guia Política de chave, escolha Editar.
-
Copie a seguinte instrução para sua área de transferência e adicione-a à política:
{ "Sid": "Allow Macie to use the key", "Effect": "Allow", "Principal": { "Service": "macie.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Encrypt" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": [ "arn:aws:macie2:Region:111122223333:export-configuration:*", "arn:aws:macie2:Region:111122223333:classification-job/*" ] } } }nota
Ao adicionar a instrução à política, verifique se a sintaxe é válida. As políticas usam o formato JSON. Isso significa que você também precisa adicionar uma vírgula antes ou depois da declaração, dependendo de onde você adiciona a instrução à política. Se você adicionar a instrução como a última instrução, adicione uma vírgula após o colchete de fechamento para a instrução anterior. Se você adicioná-la como a primeira instrução ou adicioná-la entre duas instruções existentes, adicione uma vírgula após o colchete de fechamento para a instrução.
-
Atualize a instrução com os valores corretos para seu ambiente:
-
Nos campos
Condition, substitua os valores do espaço reservado, onde:-
111122223333é o ID da sua Conta da AWS. -
Regiãoé a Região da AWS em que você está usando o Macie e deseja permitir que o Macie use a chave.Se você usa o Macie em várias regiões e deseja permitir que o Macie use a chave em outras regiões, adicione condições
aws:SourceArnpara cada região adicional. Por exemplo:"aws:SourceArn": [ "arn:aws:macie2:us-east-1:111122223333:export-configuration:*", "arn:aws:macie2:us-east-1:111122223333:classification-job/*", "arn:aws:macie2:us-west-2:111122223333:export-configuration:*", "arn:aws:macie2:us-west-2:111122223333:classification-job/*" ]Como alternativa, você pode permitir que o Macie use a chave em todas as regiões. Para fazer isso, substitua o valor do espaço reservado pelo caractere curinga (*). Por exemplo:
"aws:SourceArn": [ "arn:aws:macie2:*:111122223333:export-configuration:*", "arn:aws:macie2:*:111122223333:classification-job/*" ]
-
-
Se você estiver usando o Macie em uma região opcional, adicione o código de região adequado ao valor do campo
Service. Por exemplo, se você estiver usando Macie na região do Oriente Médio (Bahrein), que tem o código de região me-south-1, substituamacie.amazonaws.com.rproxy.goskope.compormacie.me-south-1.amazonaws.com. Para obter uma lista de regiões onde o Macie está disponível atualmente e o código de região de cada uma, consulte Endpoints e cotas do Amazon Macie no arquivo Referência geral da AWS.
Observe que os campos
Conditionusam duas chaves de condição globais do IAM:-
aws:SourceAccount: essa condição permite que o Macie execute as ações especificadas somente para sua conta. Mais especificamente, ele determina qual conta pode realizar as ações especificadas para os recursos e ações especificadas pela condição
aws:SourceArn.Para permitir que o Macie execute as ações especificadas para contas adicionais, adicione o ID da conta de cada conta adicional a essa condição. Por exemplo:
"aws:SourceAccount": [111122223333,444455556666] -
aws:SourceArn: essa condição impede que outros Serviços da AWS executem as ações especificadas. Também impede que o Macie use a chave enquanto realiza outras ações na sua conta. Em outras palavras, isso permite que o Macie criptografe objetos do S3 com a chave somente se os objetos forem resultados de descoberta de dados confidenciais e se esses resultados forem para descoberta automatizada de dados confidenciais ou trabalhos de descoberta de dados confidenciais criados pela conta especificada na Região especificada.
Para permitir que o Macie execute as ações especificadas para contas adicionais, adicione ARNs para cada conta adicional a essa condição. Por exemplo:
"aws:SourceArn": [ "arn:aws:macie2:us-east-1:111122223333:export-configuration:*", "arn:aws:macie2:us-east-1:111122223333:classification-job/*", "arn:aws:macie2:us-east-1:444455556666:export-configuration:*", "arn:aws:macie2:us-east-1:444455556666:classification-job/*" ]
As contas especificadas pelas condições
aws:SourceAccounteaws:SourceArndevem ser correspondentes.Essas condições ajudam a evitar que o Macie seja usado como representante confuso durante transações com o AWS KMS. Embora não o recomendemos, você pode remover essas condições da instrução.
-
-
Ao terminar de adicionar e atualizar a instrução, selecione Salvar alterações.
Etapa 3: Selecione um bucket do S3
Depois de verificar suas permissões e configurar o AWS KMS key, você estará pronto para especificar qual bucket do S3 deseja usar como repositório para seus resultados confidenciais de descoberta de dados. Você tem duas opções:
-
Usar um novo bucket do S3 criado pelo Macie: se você escolher esta opção, o Macie criará automaticamente um novo bucket geral do S3 na Região da AWS atual para os resultados da descoberta. O Macie também aplica uma política de bucket ao bucket. A política permite que o Macie adicione objetos ao bucket. Isso também exige que os objetos sejam criptografados com a AWS KMS key que você especifica, usando a criptografia SSE-KMS. Para revisar a política, escolha Visualizar política no console do Amazon Macie depois de especificar um nome para o bucket e a chave do KMS que será utilizada.
-
Usar um bucket do S3 existente criado por você: se você preferir armazenar os resultados da descoberta em um determinado bucket do S3 criado por você, crie o bucket antes de continuar. O bucket deve ser de uso geral. Além disso, as configurações e a política do bucket devem permitir que o Macie adicione objetos ao bucket. Este tópico explica quais configurações verificar e como atualizar a política. Ele também fornece exemplos de instruções a serem adicionadas à política.
As seções a seguir dão instruções para cada opção. Escolha a seção da opção que deseja.
Se você preferir usar um novo bucket do S3 que o Macie cria para você, a etapa final do processo é definir as configurações do repositório no Macie.
Para definir as configurações do repositório no Macie
Abra o console do Amazon Macie em https://console.aws.amazon.com/macie/
. -
No painel de navegação, em Configurações, selecione Resultados da descoberta.
-
Em Repositório para resultados de descoberta de dados confidenciais, selecione Criar bucket.
-
Na caixa Criar um bucket, insira um nome para o bucket.
O nome deve ser exclusivo em todos os buckets no S3. Além disso, o nome pode consistir apenas em letras minúsculas, números, pontos (.) e hífens (-). Para requisitos adicionais de nomenclatura, consulte Regras de nomenclatura de buckets no Guia do usuário do Amazon Simple Storage Service.
-
Expanda a seção Advanced.
-
(Opcional) Para especificar um prefixo a ser usado no caminho para um local no bucket, insira o prefixo na caixa Prefixo do resultado da descoberta de dados.
Quando você insere um valor, o Macie atualiza o exemplo abaixo da caixa para mostrar o caminho até o local do bucket onde ele armazenará os resultados da descoberta.
-
Em Bloquear todo o acesso público, selecione Sim para ativar todas as configurações de bloqueio de acesso público para o bucket.
Para obter informações sobre essas configurações, consulte Bloquear o acesso público ao armazenamento do Amazon S3 no Guia do usuário do Amazon Simple Storage Service.
-
Em Configurações de criptografia, especifique o AWS KMS key que deseja que o Macie use para criptografar os resultados:
-
Para usar uma chave da sua própria conta, escolha Selecionar uma chave da sua conta. Em seguida, na lista AWS KMS key, selecione a chave a ser usada. A lista exibe chaves KMS de criptografia simétrica e gerenciadas pelo cliente para sua conta.
-
Para usar uma chave que outra conta possui, selecione Inserir o ARN de uma chave de outra conta. Em seguida, na caixa AWS KMS key ARN, insira o nome do recurso da Amazon (ARN) da chave a ser utilizada, por exemplo,
arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab.
-
-
Após terminar de inserir configurações, escolha Salvar.
O Macie testa as configurações para verificar se elas estão corretas. Se alguma configuração estiver incorreta, o Macie exibirá uma mensagem de erro para ajudar a resolver o problema.
Depois de salvar as configurações do repositório, o Macie adiciona os resultados de descoberta existentes dos 90 dias anteriores ao repositório. Macie também começa a adicionar novos resultados de descoberta ao repositório.
Se você preferir armazenar os resultados de descoberta de dados confidenciais em um determinado bucket do S3, crie e configure o bucket antes de definir as configurações no Macie. Ao criar o bucket, observe os seguintes requisitos:
-
O bucket deve ser de uso geral. Não pode ser um bucket de diretório.
-
Se você habilitar o bloqueio de objetos para o bucket, precisará desabilitar a configuração de retenção padrão para esse atributo. Caso contrário, o Macie não poderá adicionar os resultados de descoberta ao bucket. Para obter informações sobre esta configuração, consulte Usar o S3 Object Lock no Guia do usuário do Amazon Simple Storage Service.
-
Para armazenar seus resultados de descoberta de uma região habilitada por padrão para Contas da AWS, como a região Leste dos EUA (Norte da Virgínia), o bucket precisa estar em uma região que seja habilitada por padrão. Não é possível armazenar os resultados em um bucket em uma região opcional (região desabilitada por padrão).
-
Para armazenar seus resultados de descoberta de uma região opcional, como a região do Oriente Médio (Bahrein), o bucket precisa estar na mesma região ou em uma região que seja habilitada por padrão. Não é possível armazenar os resultados em um bucket em outra Região opcional.
Para determinar se uma Região está habilitada por padrão, consulte Habilitar ou desabilitar Regiões da AWS em sua conta no Guia do usuário do AWS Account Management.
Depois de criar o bucket, atualize a política do bucket para permitir que o Macie recupere informações sobre o bucket e adicione objetos ao bucket. Em seguida, você pode definir as configurações no Macie.
Para atualizar a política de buckets
Abra o console do Amazon S3 em https://console.aws.amazon.com/s3/
. -
Escolha o bucket no qual você deseja armazenar os resultados da descoberta.
-
Escolha a aba Permissions.
-
Na seção Bucket policy, selecione Edit.
-
Copie o exemplo de política a seguir para a área de transferência:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow Macie to use the GetBucketLocation operation", "Effect": "Allow", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:GetBucketLocation", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": [ "arn:aws:macie2:Region:111122223333:export-configuration:*", "arn:aws:macie2:Region:111122223333:classification-job/*" ] } } }, { "Sid": "Allow Macie to add objects to the bucket", "Effect": "Allow", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional prefix/]*", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": [ "arn:aws:macie2:Region:111122223333:export-configuration:*", "arn:aws:macie2:Region:111122223333:classification-job/*" ] } } }, { "Sid": "Deny unencrypted object uploads. This is optional", "Effect": "Deny", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional prefix/]*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption": "aws:kms" } } }, { "Sid": "Deny incorrect encryption headers. This is optional", "Effect": "Deny", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional prefix/]*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption-aws-kms-key-id": "arn:aws:kms:Region:111122223333:key/KMSKeyId" } } }, { "Sid": "Deny non-HTTPS access", "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*", "Condition": { "Bool": { "aws:SecureTransport": "false" } } } ] } -
Cole o exemplo de política no editor Política do bucket no console do Amazon S3.
-
Atualize o exemplo de política com os valores corretos para seu ambiente:
-
Na instrução opcional que nega cabeçalhos de criptografia incorretos:
-
Substitua
amzn-s3-demo-bucketpelo nome do bucket. Para especificar um prefixo para um caminho em um local no bucket, substitua[prefixo opcional/]pelo prefixo. Caso contrário, remova o valor do espaço reservado[prefixo opcional/]. -
Na condição
StringNotEquals, substituaarn:aws:kms:Region:111122223333:key/KMSKeyIdpelo nome do recurso da Amazon (ARN) do AWS KMS key a ser usado na criptografia dos resultados da descoberta.
-
-
Em todas as outras instruções, substitua os valores do espaço reservado, em que:
-
amzn-s3-demo-bucketé o nome do bucket. -
[prefixo opcional/]é o prefixo de um caminho para um local no bucket. Remova esse valor de espaço reservado se não quiser especificar um prefixo. -
111122223333é o ID da sua Conta da AWS. -
A
regiãoé a Região da AWS em que você está usando o Macie e deseja permitir que o Macie adicione resultados de descoberta ao bucket.Se você usa o Macie em várias regiões e deseja permitir que o Macie adicione resultados ao bucket para regiões adicionais, adicione condições
aws:SourceArnpara cada região adicional. Por exemplo:"aws:SourceArn": [ "arn:aws:macie2:us-east-1:111122223333:export-configuration:*", "arn:aws:macie2:us-east-1:111122223333:classification-job/*", "arn:aws:macie2:us-west-2:111122223333:export-configuration:*", "arn:aws:macie2:us-west-2:111122223333:classification-job/*" ]Como alternativa, você pode permitir que o Macie adicione resultados ao bucket para todas as regiões nas quais você usa o Macie. Para fazer isso, substitua o valor do espaço reservado pelo caractere curinga (*). Por exemplo:
"aws:SourceArn": [ "arn:aws:macie2:*:111122223333:export-configuration:*", "arn:aws:macie2:*:111122223333:classification-job/*" ]
-
-
Se você estiver usando o Macie em uma região opcional, adicione o código de região adequado ao valor do campo
Serviceem cada declaração que especifica a entidade principal de serviço do Macie. Por exemplo, se você estiver usando o Macie na região do Oriente Médio (Bahrein), que tem o código de região me-south-1, substituamacie.amazonaws.com.rproxy.goskope.compormacie---me-south-1.amazonaws.com.rproxy.goskope.comem cada instrução aplicável. Para obter uma lista de regiões onde o Macie está disponível atualmente e o código de região de cada uma, consulte Endpoints e cotas do Amazon Macie no arquivo Referência geral da AWS.
Observe que o exemplo de política inclui declarações que permitem ao Macie determinar em qual região o bucket reside (
GetBucketLocation) e adicionar objetos ao bucket (PutObject). Essas instruções definem condições que usam duas chaves de condição globais do IAM:-
aws:SourceAccount: essa condição permite que o Macie adicione resultados confidenciais de descoberta de dados ao bucket somente para sua conta. Isso impede que o Macie adicione resultados de descoberta de outras contas ao bucket. Mais especificamente, a condição especifica qual conta pode usar o bucket para os recursos e ações especificados pela condição
aws:SourceArn.Para armazenar resultados de contas adicionais no bucket, adicione o ID da conta de cada conta adicional a essa condição. Por exemplo:
"aws:SourceAccount": [111122223333,444455556666] -
aws:SourceArn: essa condição restringe o acesso ao bucket com base na origem dos objetos que estão sendo adicionados ao bucket. Isso impede que outros Serviços da AWS adicionem objetos ao bucket. Isso também impede que o Macie adicione objetos ao bucket enquanto realiza outras ações na sua conta. Mais especificamente, a condição permite que o Macie adicione objetos ao bucket somente se os objetos forem resultados de descoberta de dados confidenciais e se esses resultados forem para descoberta automatizada de dados confidenciais ou trabalhos de descoberta de dados confidenciais criados pela conta especificada na região especificada.
Para permitir que o Macie execute as ações especificadas para contas adicionais, adicione ARNs para cada conta adicional a essa condição. Por exemplo:
"aws:SourceArn": [ "arn:aws:macie2:us-east-1:111122223333:export-configuration:*", "arn:aws:macie2:us-east-1:111122223333:classification-job/*", "arn:aws:macie2:us-east-1:444455556666:export-configuration:*", "arn:aws:macie2:us-east-1:444455556666:classification-job/*" ]
As contas especificadas pelas condições
aws:SourceAccounteaws:SourceArndevem corresponder.Ambas as condições ajudam a evitar que Macie seja usado como um representante confuso durante transações com o Amazon S3. Embora não seja recomendável, você pode remover essas condições da política de bucket.
-
-
Quando terminar de atualizar a política do bucket, escolha Salvar alterações.
Agora é possível definir as configurações do repositório no Macie.
Para definir as configurações do repositório no Macie
Abra o console do Amazon Macie em https://console.aws.amazon.com/macie/
. -
No painel de navegação, em Configurações, selecione Resultados da descoberta.
-
Em Repositório para resultados de descoberta de dados confidenciais, selecione Bucket existente.
-
Em Escolher um bucket, selecione o bucket no qual você deseja armazenar os resultados da descoberta.
-
Para especificar um prefixo a ser usado no caminho para um local no bucket, expanda a seção Avançado. Em seguida, em Prefixo do resultado da descoberta de dados, insira o prefixo.
Quando você insere um valor, o Macie atualiza o exemplo abaixo da caixa para mostrar o caminho até o local do bucket onde ele armazenará os resultados da descoberta.
-
Em Configurações de criptografia, especifique o AWS KMS key que deseja que o Macie use para criptografar os resultados:
-
Para usar uma chave da sua própria conta, escolha Selecionar uma chave da sua conta. Em seguida, na lista AWS KMS key, selecione a chave a ser usada. A lista exibe chaves KMS de criptografia simétrica e gerenciadas pelo cliente para sua conta.
-
Para usar uma chave que outra conta possui, selecione Inserir o ARN de uma chave de outra conta. Em seguida, na caixa AWS KMS key ARN, insira o ARN da chave a ser usada, por exemplo,
arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab.
-
-
Após terminar de inserir configurações, selecione Salvar.
O Macie testa as configurações para verificar se elas estão corretas. Se alguma configuração estiver incorreta, o Macie exibirá uma mensagem de erro para ajudar a resolver o problema.
Depois de salvar as configurações do repositório, o Macie adiciona os resultados de descoberta existentes dos 90 dias anteriores ao repositório. Macie também começa a adicionar novos resultados de descoberta ao repositório.
nota
Se você alterar posteriormente a configuração Prefixo do resultado da descoberta de dados, atualize também a política de bucket no Amazon S3. As instruções de política que especificam o prefixo anterior devem especificar o novo prefixo. Caso contrário, o Macie não terá permissão para adicionar os resultados de descoberta ao bucket.
dica
Para reduzir os custos de criptografia do lado do servidor, configure também o bucket do S3 para usar uma chave do bucket do S3 e especifique o AWS KMS key que você configurou para criptografia dos resultados da descoberta de dados confidenciais. O uso de uma chave de bucket do S3 reduz o número de chamadas para o AWS KMS, o que pode reduzir os custos de solicitação do AWS KMS. Se a chave KMS estiver em um armazenamento de chaves externo, o uso de uma chave de bucket do S3 também pode minimizar o impacto no desempenho do uso da chave. Para sabre mais, consulte Redução do custo do SSE-KMS com chaves de bucket do Amazon S3 no Guia do usuário do Amazon Simple Storage Service.
