As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurar o Macie para recuperar amostras de dados confidenciais

Como opção é possível configurar e usar o Amazon Macie para recuperar e revelar amostras de dados confidenciais que o Macie relata em descobertas individuais. As amostras podem ajudar você a verificar a natureza dos dados confidenciais que o Macie encontrou. Eles podem ajudar você a personalizar sua investigação sobre o objeto e o bucket afetados do Amazon Simple Storage Service (Amazon S3). Você pode recuperar e revelar amostras de dados confidenciais em todas as Regiões da AWS nas quais o Macie está atualmente disponível, salvo nas regiões Asia Pacific (Osaka) e Israel (Tel Aviv).

Quando você recupera e revela amostras de dados confidenciais de uma descoberta, o Macie usa dados no resultado correspondente da descoberta de dados confidenciais para localizar ocorrências de dados confidenciais no objeto do S3 afetado. Em seguida, o Macie extrai amostras dessas ocorrências do objeto afetado. O Macie criptografa os dados extraídos com uma chave AWS Key Management Service (AWS KMS) que você especifica, armazena temporariamente os dados criptografados em um cache e retorna os dados em seus resultados da descoberta. Logo após a extração e a criptografia, o Macie exclui permanentemente os dados do cache, a menos que uma retenção adicional seja temporariamente necessária para resolver um problema operacional.

Para recuperar e revelar amostras de dados confidenciais para descobertas, primeiro você precisa definir e habilitar as configurações da sua conta no Macie. Você também precisa configurar recursos de apoio e permissões para sua conta. Os tópicos desta seção orientam você no processo de configuração do Macie para recuperar e revelar amostras de dados confidenciais e no gerenciamento do status da configuração da sua conta.

Antes de começar

Antes de configurar o Amazon Macie para recuperar e revelar amostras de dados confidenciais de descobertas, execute as tarefas a seguir para garantir que você tenha os recursos e as permissões necessários.

Essas tarefas são opcionais se você já tiver configurado o Macie para recuperar e revelar amostras de dados confidenciais e só quiser alterar suas configurações.

Etapa 1: configurar um repositório para resultados de descoberta de dados confidenciais

Quando você recupera e revela amostras de dados confidenciais de uma descoberta, o Macie usa dados no resultado correspondente da descoberta de dados confidenciais para localizar ocorrências de dados confidenciais no objeto do S3 afetado. Portanto, é importante verificar se você configurou um repositório para os resultados de descoberta de dados confidenciais. Caso contrário, o Macie não conseguirá localizar amostras de dados confidenciais que você deseja recuperar e revelar.

Para determinar se você configurou esse repositório para a sua conta, é possível usar o console do Amazon Macie: escolha Resultados da descoberta (em Configurações) no painel de navegação. Para fazer isso programaticamente, use a operação GetClassificationExportConfiguration da API do Amazon Macie. Para saber mais sobre os resultados de descoberta de dados confidenciais e como configurar esse repositório, consulte Armazenamento e retenção de resultados de descoberta de dados confidenciais.

Etapa 2: determinar como acessar os objetos afetados do S3

Você tem duas opções para acessar objetos afetados do S3 e recuperar amostras de dados confidenciais deles. Você pode configurar o Macie para usar suas credenciais de usuário do AWS Identity and Access Management (IAM). Como alternativa, é possível configurar o Macie para assumir um perfil do IAM que delegue acesso ao Macie. Você pode usar qualquer uma das configurações com qualquer tipo de conta do Macie, ou seja, a conta delegada de administrador do Macie para uma organização, uma conta de membro do Macie em uma organização ou uma conta autônoma do Macie. Antes de definir as configurações no Macie, determine qual método de acesso deseja usar. Para obter detalhes sobre as opções e os requisitos de cada método, consulte Opções de configuração para recuperar amostras.

Se você planeja usar um perfil do IAM, crie e configure a função antes de definir as configurações no Macie. Além disso, garanta que as políticas de confiança e permissões do perfil atendam a todos os requisitos para que o Macie assuma o perfil. Se sua conta integrar uma organização que gerencie centralmente várias contas do Macie, trabalhe com o administrador do Macie para determinar primeiro se e como configurar o perfil para a sua conta.

Etapa 3: Configurar um AWS KMS key

Quando você recupera e revela amostras de dados confidenciais para uma descoberta, o Macie criptografa as amostras com uma chave do AWS Key Management Service (AWS KMS) que você especifica. Portanto, você precisa determinar qual AWS KMS key deseja usar para criptografar as amostras. A chave pode ser uma chave do KMS existente na sua própria conta ou uma chave do KMS existente que outra conta possui. Se você desejar usar uma chave que outra conta possui, obtenha o nome do recurso da Amazon (ARN) da chave. Você precisará especificar esse ARN ao inserir as configurações no Macie.

A chave do KMS deve ser uma chave do KMS de criptografia simétrica e gerenciada pelo cliente. Também deve ser uma chave de região única habilitada na mesma Região da AWS que sua conta no Macie. A chave do KMS pode estar em um repositório de chaves externo. No entanto, a chave pode, então, ser mais lenta e menos confiável do que uma chave totalmente gerenciada no AWS KMS. Se a latência ou um problema de disponibilidade impedir o Macie de criptografar amostras de dados confidenciais que você deseja recuperar e revelar, ocorre um erro e o Macie não retorna nenhuma amostra para a descoberta.

Além disso, a política de chaves para a chave deve permitir que as entidades principais adequadas (perfis do IAM, usuários do IAM ouContas da AWS) realizem as seguintes ações:

Para obter informações sobre como criar e configurar chaves do KMS, consulte Criar uma chave do KMS no Guia do desenvolvedor do AWS Key Management Service. Para obter informações sobre o uso de políticas de chaves para gerenciar o acesso às chaves do KMS, consulte Políticas de chaves no AWS KMS no Guia do desenvolvedor do AWS Key Management Service.

Etapa 4: verificar suas permissões

Antes de definir as configurações no Macie, verifique também se você tem as permissões necessárias. Para verificar suas permissões, use o AWS Identity and Access Management (IAM) para revisar as políticas do IAM que estão anexadas à sua identidade do IAM. Em seguida, compare as informações dessas políticas com a seguinte lista de ações que você deve ter permissão para realizar.

Se você não tiver permissão para realizar as ações necessárias, peça ajuda ao seu administrador AWS.

Como definir e habilitar as configurações do Macie

Após verificar se você tem os recursos e as permissões necessários, você poderá definir as configurações no Amazon Macie e habilitar a configuração da sua conta.

Se sua conta integrar uma organização que gerencie centralmente várias contas do Macie, observe o seguinte antes de configurar ou alterar posteriormente as configurações da sua conta:

Para obter detalhes sobre as opções de configuração e os requisitos para os tipos de conta, consulte Opções de configuração para recuperar amostras.

Para definir as configurações no Macie e habilitar a configuração da sua conta, você pode usar o console do Amazon Macie ou a API do Amazon Macie.

Console

Siga estas etapas para definir e habilitar as configurações usando o console do Amazon Macie.

Para definir e habilitar as configurações do Macie

1. Abra o console do Amazon Macie em https://console.aws.amazon.com/macie/.

2. Ao usar o seletor Região da AWS no canto superior direito da página, selecione a região na qual deseja configurar e habilitar o Macie para recuperar e revelar amostras de dados confidenciais.

3. No painel de navegação, em Configurações, selecione Revelar amostras.

4. Na seção Configurações, escolha Editar.

5. Em Status, escolha Habilitar.

6. Em Acesso, especifique o método de acesso e as configurações que deseja usar ao recuperar amostras de dados confidenciais dos objetos afetados do S3:

   • Para usar um perfil do IAM que delegue acesso ao Macie, escolha Assumir um perfil do IAM. Se você escolher essa opção, o Macie recuperará as amostras assumindo o perfil do IAM que você criou e configurou na sua Conta da AWS. Na caixa Nome do perfil, insira o nome do perfil.

   • Para usar as credenciais do usuário do IAM que solicita as amostras, escolha Usar credenciais do usuário do IAM. Se você escolher essa opção, cada usuário da sua conta usará sua identidade individual do IAM para recuperar as amostras.

7. Em Criptografia, especifique a AWS KMS key que deseja usar para criptografar as amostras de dados confidenciais que forem recuperadas:

   • Para usar uma chave do KMS da sua própria conta, escolha Selecionar uma chave da sua conta. Em seguida, na lista AWS KMS key, selecione a chave a ser usada. A lista exibe as chaves do KMS de criptografia simétrica existentes para sua conta.

   • Para usar uma chave do KMS de outra conta, selecione Inserir o ARN de uma chave de outra conta. Em seguida, na caixa AWS KMS key ARN, insira o nome do recurso da Amazon (ARN) da chave a ser utilizada, por exemplo, arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab.

8. Após terminar de inserir configurações, escolha Salvar.

O Macie testa as configurações e verifica se elas estão corretas. Se você tiver configurado o Macie para assumir um perfil do IAM, o Macie também verificará se o perfil existe na sua conta e se as políticas de confiança e permissões estão configuradas corretamente. Se houver algum problema, o Macie exibirá uma mensagem descrevendo o problema.

Para resolver um problema com a AWS KMS key, consulte os requisitos no tópico anterior e especifique uma chave do KMS que atenda aos requisitos. Para resolver um problema com o perfil do IAM, comece verificando se você inseriu o nome correto do perfil. Se o nome estiver correto, certifique-se de que as políticas do perfil atendam a todos os requisitos para que o Macie assuma o perfil. Para obter esses detalhes, consulte Configurar um perfil do IAM para acessar objetos afetados do S3. Após corrigir qualquer erro, você poderá salvar e habilitar as configurações.

nota

Se você for o administrador do Macie para uma organização e tiver configurado o Macie para assumir um perfil do IAM, o serviço vai gerar e exibir um ID externo depois que você salvar as configurações da sua conta. Anote esse ID. A política de confiança para o perfil do IAM em cada uma das suas contas de membro aplicáveis deve especificar esse ID. Caso contrário, não será possível recuperar amostras de dados confidenciais de objetos do S3 de propriedade da conta.

API

Para definir e habilitar as configurações de maneira programática, use a operação UpdateRevealConfiguration da API do Amazon Macie. Em sua solicitação, especifique os valores adequados para os parâmetros compatíveis:

• Para os parâmetros de retrievalConfiguration, especifique o método de acesso e as configurações que deseja usar ao recuperar amostras de dados confidenciais dos objetos afetados do S3:

  • Para assumir um perfil do IAM que delegue acesso ao Macie, especifique ASSUME_ROLE para o parâmetro retrievalMode e especifique o nome do perfil do parâmetro roleName. Se você especificar essas configurações, o Macie recuperará as amostras assumindo o perfil do IAM que você criou e configurou na sua Conta da AWS.

  • Para usar as credenciais do usuário do IAM que solicita as amostras, especifique CALLER_CREDENTIALS para o parâmetro retrievalMode. Se você especificar essa configuração, cada usuário da sua conta usará sua identidade individual do IAM para recuperar as amostras.

  Importante

  Se você não especificar valores para esses parâmetros, o Macie definirá o método de acesso (retrievalMode) como CALLER_CREDENTIALS. Se o Macie estiver configurado para usar um perfil do IAM para recuperar as amostras, o Macie também excluirá permanentemente o nome do perfil atual e o ID externo da sua configuração. Para manter essas configurações em uma configuração existente, inclua os parâmetros retrievalConfiguration em sua solicitação e especifique suas configurações atuais para esses parâmetros. Para recuperar suas configurações atuais, use a operação GetRevealConfiguration ou, se estiver usando a AWS Command Line Interface (AWS CLI), execute o comando get-reveal-configuration.

• Para o parâmetro kmsKeyId, especifique a AWS KMS key que deseja usar para criptografar as amostras de dados confidenciais que forem recuperadas:

  • Para usar uma chave do KMS da sua própria conta, especifique o nome do recurso da Amazon (ARN), o ID ou o alias da chave. Se você especificar um alias, inclua o prefixo alias/, por exemplo, alias/ExampleAlias.

  • Para usar uma chave do KMS que outra conta possui, especifique o ARN da chave, por exemplo, arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab. Ou especifique o ARN do alias da chave, por exemplo, arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias.

• Para o parâmetro status, especifique ENABLED para habilitar a configuração da sua conta Macie.

Em sua solicitação, não se esqueça de especificar também a Região da AWS na qual deseja habilitar e usar a configuração.

Para definir e habilitar as configurações usando a AWS CLI, execute o comando update-reveal-configuration e especifique os valores adequados para os parâmetros compatíveis. Por exemplo, se estiver usando a AWS CLI no Microsoft Windows, execute o seguinte comando:

C:\> aws macie2 update-reveal-configuration ^
--region us-east-1 ^
--configuration={\"kmsKeyId\":\"arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias\",\"status\":\"ENABLED\"} ^
--retrievalConfiguration={\"retrievalMode\":\"ASSUME_ROLE\",\"roleName\":\"MacieRevealRole\"}

Em que:

• us-east-1 é a região na qual habilitar e usar a configuração. Neste exemplo, a Região Leste dos EUA (Norte da Virgínia).

• arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias é o ARN do alias da AWS KMS key a ser utilizada. Neste exemplo, a chave pertence a outra conta.

• ENABLED é o status da configuração.

• ASSUME_ROLE é o método de acesso a ser usado. Neste exemplo, assuma o perfil do IAM especificado.

• MacieRevealRole é o nome do perfil do IAM que o Macie deve assumir ao recuperar amostras de dados confidenciais.

O exemplo anterior usa o caractere circunflexo (^) de continuação de linha para melhorar a legibilidade.

Quando você envia sua solicitação, o Macie testa as configurações. Se você tiver configurado o Macie para assumir um perfil do IAM, o Macie também verificará se o perfil existe na sua conta e se as políticas de confiança e permissões estão configuradas corretamente. Se houver algum problema, sua solicitação vai falhar e o Macie retornará uma mensagem descrevendo o erro. Para resolver um problema com a AWS KMS key, consulte os requisitos no tópico anterior e especifique uma chave do KMS que atenda aos requisitos. Para resolver um problema com o perfil do IAM, comece verificando se você especificou o nome correto do perfil. Se o nome estiver correto, certifique-se de que as políticas do perfil atendam a todos os requisitos para que o Macie assuma o perfil. Para obter esses detalhes, consulte Configurar um perfil do IAM para acessar objetos afetados do S3. Reenvie sua solicitação após resolver o problema.

Se a sua solicitação for realizada com êxito, o Macie habilitará a configuração da sua conta na Região especificada e você receberá um resultado semelhante ao seguinte.

{
  "configuration": {
    "kmsKeyId": "arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias",
    "status": "ENABLED"
  },
  "retrievalConfiguration": {
    "externalId": "o2vee30hs31642lexample",
    "retrievalMode": "ASSUME_ROLE",
    "roleName": "MacieRevealRole"
  }
}

Onde kmsKeyId especifica a AWS KMS key a ser usada para criptografar amostras de dados confidenciais recuperadas e status é o status da configuração da sua conta do Macie. Os valores retrievalConfiguration especificam o método de acesso e as configurações a serem usadas ao recuperar as amostras.

nota

Se você for o administrador do Macie de uma organização e tiver configurado o Macie para assumir um perfil do IAM, anote o ID externo (externalId) na resposta. A política de confiança para o perfil do IAM em cada uma das suas contas de membro aplicáveis deve especificar esse ID. Caso contrário, não será possível recuperar amostras de dados confidenciais de objetos afetados do S3 de propriedade da conta.

Para verificar posteriormente as configurações ou o status da configuração da sua conta, use a operação getRevealConfiguration ou, para o AWS CLI, execute o comando get-reveal-configuration.

Desabilitar configurações do Macie

É possível desabilitar a qualquer momento as configurações da sua conta do Amazon Macie. Se você desabilitar a configuração, o Macie manterá a configuração que especifica qual AWS KMS key usar para criptografar as amostras de dados confidenciais que forem recuperadas. O Macie excluirá permanentemente as configurações de acesso do Amazon S3 para a configuração.

Para desabilitar as configurações da sua conta do Macie, você pode usar o console do Amazon Macie ou a API do Amazon Macie.

Console

Siga estas etapas para desabilitar as configurações da sua conta usando o console do Amazon Macie.

Para desabilitar as configurações do Macie

1. Abra o console do Amazon Macie em https://console.aws.amazon.com/macie/.

2. Usando o seletor Região da AWS no canto superior direito da página, selecione a região na qual você deseja desabilitar as configurações para sua conta do Macie.

3. No painel de navegação, em Configurações, selecione Revelar amostras.

4. Na seção Configurações, escolha Editar.

5. Em Status, escolha Desabilitar.

6. Escolha Salvar.

API

Para desabilitar as configurações de maneira programática, use a operação UpdateRevealConfiguration da API do Amazon Macie. Em sua solicitação, não se esqueça de especificar a Região da AWS na qual deseja desabilitar a configuração. Para o parâmetro status, especifique DISABLED.

Para desabilitar as configurações usando a AWS Command Line Interface (AWS CLI), execute o comando update-reveal-configuration. Use o parâmetro region para especificar a região na qual deseja desabilitar a configuração. Para o parâmetro status, especifique DISABLED. Por exemplo, se estiver usando a AWS CLI no Microsoft Windows, execute o seguinte comando:

C:\> aws macie2 update-reveal-configuration --region us-east-1 --configuration={\"status\":\"DISABLED\"}

Em que:

• us-east-1 é a região na qual deseja desabilitar a configuração. Neste exemplo, a Região Leste dos EUA (Norte da Virgínia).

• DISABLED é o novo status da configuração.

Se a sua solicitação for realizada com êxito, o Macie desabilitará a configuração da sua conta na Região especificada e você receberá um resultado semelhante ao seguinte.

{
    "configuration": {
        "status": "DISABLED"
    }
}

Onde status é o novo status da configuração da sua conta do Macie.

Se o Macie tiver sido configurado para assumir um perfil do IAM para recuperar amostras de dados confidenciais, você poderá excluir o perfil e a política de permissões do perfil de maneira opcional. O Macie não exclui esses recursos quando você desabilita as configurações da sua conta. Além disso, o Macie não usa esses recursos para realizar nenhuma outra tarefa na sua conta. Para excluir o perfil e sua política de permissão, é possível usar o console do IAM ou a API do IAM. Para obter mais informações, consulte Excluir perfis no Guia do usuário do AWS Identity and Access Management.