As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Configurar o Macie para recuperar amostras de dados confidenciais
Como opção é possível configurar e usar o Amazon Macie para recuperar e revelar amostras de dados confidenciais que o Macie relata em descobertas individuais. As amostras podem ajudar você a verificar a natureza dos dados confidenciais que o Macie encontrou. Eles podem ajudar você a personalizar sua investigação sobre o objeto e o bucket afetados do Amazon Simple Storage Service (Amazon S3). Você pode recuperar e revelar amostras de dados confidenciais em todas as Regiões da AWS nas quais o Macie está atualmente disponível, salvo nas regiões Asia Pacific (Osaka) e Israel (Tel Aviv).
Quando você recupera e revela amostras de dados confidenciais de uma descoberta, o Macie usa dados no resultado correspondente da descoberta de dados confidenciais para localizar ocorrências de dados confidenciais no objeto do S3 afetado. Em seguida, o Macie extrai amostras dessas ocorrências do objeto afetado. O Macie criptografa os dados extraídos com uma chave AWS Key Management Service (AWS KMS) que você especifica, armazena temporariamente os dados criptografados em um cache e retorna os dados em seus resultados da descoberta. Logo após a extração e a criptografia, o Macie exclui permanentemente os dados do cache, a menos que uma retenção adicional seja temporariamente necessária para resolver um problema operacional.
Para recuperar e revelar amostras de dados confidenciais para descobertas, primeiro você precisa definir e habilitar as configurações da sua conta no Macie. Você também precisa configurar recursos de apoio e permissões para sua conta. Os tópicos desta seção orientam você no processo de configuração do Macie para recuperar e revelar amostras de dados confidenciais e no gerenciamento do status da configuração da sua conta.
Tópicos
dica
Para obter recomendações e exemplos de políticas que você pode usar para controlar o acesso a essa funcionalidade, consulte o blog em Blog de segurança do AWS: Como usar o Amazon Macie para visualizar dados confidenciais em buckets do S3
Antes de começar
Antes de configurar o Amazon Macie para recuperar e revelar amostras de dados confidenciais de descobertas, execute as tarefas a seguir para garantir que você tenha os recursos e as permissões necessários.
Tarefas
Essas tarefas são opcionais se você já tiver configurado o Macie para recuperar e revelar amostras de dados confidenciais e só quiser alterar suas configurações.
Etapa 1: configurar um repositório para resultados de descoberta de dados confidenciais
Quando você recupera e revela amostras de dados confidenciais de uma descoberta, o Macie usa dados no resultado correspondente da descoberta de dados confidenciais para localizar ocorrências de dados confidenciais no objeto do S3 afetado. Portanto, é importante verificar se você configurou um repositório para os resultados de descoberta de dados confidenciais. Caso contrário, o Macie não conseguirá localizar amostras de dados confidenciais que você deseja recuperar e revelar.
Para determinar se você configurou esse repositório para a sua conta, é possível usar o console do Amazon Macie: escolha Resultados da descoberta (em Configurações) no painel de navegação. Para fazer isso programaticamente, use a operação GetClassificationExportConfiguration da API do Amazon Macie. Para saber mais sobre os resultados de descoberta de dados confidenciais e como configurar esse repositório, consulte Armazenamento e retenção de resultados de descoberta de dados confidenciais.
Etapa 2: determinar como acessar os objetos afetados do S3
Você tem duas opções para acessar objetos afetados do S3 e recuperar amostras de dados confidenciais deles. Você pode configurar o Macie para usar suas credenciais de usuário do AWS Identity and Access Management (IAM). Como alternativa, é possível configurar o Macie para assumir um perfil do IAM que delegue acesso ao Macie. Você pode usar qualquer uma das configurações com qualquer tipo de conta do Macie, ou seja, a conta delegada de administrador do Macie para uma organização, uma conta de membro do Macie em uma organização ou uma conta autônoma do Macie. Antes de definir as configurações no Macie, determine qual método de acesso deseja usar. Para obter detalhes sobre as opções e os requisitos de cada método, consulte Opções de configuração para recuperar amostras.
Se você planeja usar um perfil do IAM, crie e configure a função antes de definir as configurações no Macie. Além disso, garanta que as políticas de confiança e permissões do perfil atendam a todos os requisitos para que o Macie assuma o perfil. Se sua conta integrar uma organização que gerencie centralmente várias contas do Macie, trabalhe com o administrador do Macie para determinar primeiro se e como configurar o perfil para a sua conta.
Etapa 3: Configurar um AWS KMS key
Quando você recupera e revela amostras de dados confidenciais para uma descoberta, o Macie criptografa as amostras com uma chave do AWS Key Management Service (AWS KMS) que você especifica. Portanto, você precisa determinar qual AWS KMS key deseja usar para criptografar as amostras. A chave pode ser uma chave do KMS existente na sua própria conta ou uma chave do KMS existente que outra conta possui. Se você desejar usar uma chave que outra conta possui, obtenha o nome do recurso da Amazon (ARN) da chave. Você precisará especificar esse ARN ao inserir as configurações no Macie.
A chave do KMS deve ser uma chave do KMS de criptografia simétrica e gerenciada pelo cliente. Também deve ser uma chave de região única habilitada na mesma Região da AWS que sua conta no Macie. A chave do KMS pode estar em um repositório de chaves externo. No entanto, a chave pode, então, ser mais lenta e menos confiável do que uma chave totalmente gerenciada no AWS KMS. Se a latência ou um problema de disponibilidade impedir o Macie de criptografar amostras de dados confidenciais que você deseja recuperar e revelar, ocorre um erro e o Macie não retorna nenhuma amostra para a descoberta.
Além disso, a política de chaves para a chave deve permitir que as entidades principais adequadas (perfis do IAM, usuários do IAM ouContas da AWS) realizem as seguintes ações:
-
kms:Decrypt
-
kms:DescribeKey
-
kms:GenerateDataKey
Importante
Como uma camada adicional de controle de acesso, recomendamos que você crie uma chave do KMS dedicada para criptografia de amostras de dados confidenciais que são recuperadas e restrinja o uso da chave somente às entidades principais que devem ter permissão para recuperar e revelar amostras de dados confidenciais. Se um usuário não tiver permissão para realizar as ações anteriores para a chave, o Macie vai rejeitar a solicitação de recuperar e revelar amostras de dados confidenciais. O Macie não retornará nenhuma amostra para a descoberta.
Para obter informações sobre como criar e configurar chaves do KMS, consulte Criar uma chave do KMS no Guia do desenvolvedor do AWS Key Management Service. Para obter informações sobre o uso de políticas de chaves para gerenciar o acesso às chaves do KMS, consulte Políticas de chaves no AWS KMS no Guia do desenvolvedor do AWS Key Management Service.
Etapa 4: verificar suas permissões
Antes de definir as configurações no Macie, verifique também se você tem as permissões necessárias. Para verificar suas permissões, use o AWS Identity and Access Management (IAM) para revisar as políticas do IAM que estão anexadas à sua identidade do IAM. Em seguida, compare as informações dessas políticas com a seguinte lista de ações que você deve ter permissão para realizar.
- Amazon Macie
-
Verifique também se você tem permissão para realizar as seguintes ações:
-
macie2:GetMacieSession
-
macie2:UpdateRevealConfiguration
A primeira ação permite que você acesse sua conta no Macie. A segunda ação permite que você altere suas configurações para recuperar e revelar amostras de dados confidenciais. Isso inclui habilitar e desabilitar a configuração.
Opcionalmente, verifique se você também tem permissão para realizar a ação
macie2:GetRevealConfiguration
. Essa ação permite que você recupere suas configurações atuais e o status atual da configuração para sua conta. -
- AWS KMS
-
Se você planeja usar o console do Amazon Macie para inserir as definições de configuração, verifique também se tem permissão para realizar as seguintes ações do AWS Key Management Service (AWS KMS):
-
kms:DescribeKey
-
kms:ListAliases
Essas ações permitem que você recupere informações sobre o AWS KMS keys para a sua conta. Em seguida, você pode escolher uma dessas chaves ao inserir as configurações.
-
- IAM
-
Se você planeja configurar o Macie para assumir um perfil do IAM para recuperar e revelar amostras de dados confidenciais, verifique também se tem permissão para realizar a seguinte ação do IAM:
iam:PassRole
. Essa ação permite que você transmita o perfil para o Macie, o que permitirá que o Macie assuma o perfil. Quando você inserir as configurações da sua conta, o Macie também poderá verificar se o perfil existe na sua conta e está configurada corretamente.
Se você não tiver permissão para realizar as ações necessárias, peça ajuda ao seu administrador AWS.
Como definir e habilitar as configurações do Macie
Após verificar se você tem os recursos e as permissões necessários, você poderá definir as configurações no Amazon Macie e habilitar a configuração da sua conta.
Se sua conta integrar uma organização que gerencie centralmente várias contas do Macie, observe o seguinte antes de configurar ou alterar posteriormente as configurações da sua conta:
-
Se você tiver uma conta de membro, trabalhe com o administrador do Macie para determinar se e como definir as configurações da sua conta. Seu administrador do Macie poderá ajudar a determinar as configurações corretas para sua conta.
-
Se você tiver uma conta de administrador do Macie e alterar suas configurações para acessar objetos afetados do S3, suas alterações poderão afetar outras contas e recursos da sua organização. Isso dependerá de o Macie estar ou não configurado para assumir um perfil do AWS Identity and Access Management (IAM) para recuperar amostras de dados confidenciais. Se estiver e você reconfigurar o Macie para usar as credenciais de usuário do IAM, o Macie excluirá permanentemente as configurações existentes do perfil do IAM: o nome do perfil e o ID externo da sua configuração. Posteriormente, se sua organização optar por usar os perfis do IAM novamente, você precisará especificar um novo ID externo na política de confiança para o perfil em cada conta de membro aplicável.
Para obter detalhes sobre as opções de configuração e os requisitos para os tipos de conta, consulte Opções de configuração para recuperar amostras.
Para definir as configurações no Macie e habilitar a configuração da sua conta, você pode usar o console do Amazon Macie ou a API do Amazon Macie.
Desabilitar configurações do Macie
É possível desabilitar a qualquer momento as configurações da sua conta do Amazon Macie. Se você desabilitar a configuração, o Macie manterá a configuração que especifica qual AWS KMS key usar para criptografar as amostras de dados confidenciais que forem recuperadas. O Macie excluirá permanentemente as configurações de acesso do Amazon S3 para a configuração.
Atenção
Ao desabilitar as configurações da sua conta do Macie, você também exclui permanentemente as configurações atuais que especificam como acessar os objetos afetados do S3. Se o Macie estiver configurado para acessar objetos afetados assumindo um perfil do AWS Identity and Access Management (IAM), isso incluirá: o nome do perfil e o ID externo que o Macie gerou para a configuração. Essas configurações não podem ser recuperadas depois de excluídas.
Para desabilitar as configurações da sua conta do Macie, você pode usar o console do Amazon Macie ou a API do Amazon Macie.
Se o Macie tiver sido configurado para assumir um perfil do IAM para recuperar amostras de dados confidenciais, você poderá excluir o perfil e a política de permissões do perfil de maneira opcional. O Macie não exclui esses recursos quando você desabilita as configurações da sua conta. Além disso, o Macie não usa esses recursos para realizar nenhuma outra tarefa na sua conta. Para excluir o perfil e sua política de permissão, é possível usar o console do IAM ou a API do IAM. Para obter mais informações, consulte Excluir perfis no Guia do usuário do AWS Identity and Access Management.