Configurar o Macie para recuperar amostras de dados confidenciais - Amazon Macie

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurar o Macie para recuperar amostras de dados confidenciais

Como opção é possível configurar e usar o Amazon Macie para recuperar e revelar amostras de dados confidenciais que o Macie relata em descobertas individuais. As amostras podem ajudar você a verificar a natureza dos dados confidenciais que o Macie encontrou. Eles podem ajudar você a personalizar sua investigação sobre o objeto e o bucket afetados do Amazon Simple Storage Service (Amazon S3). Você pode recuperar e revelar amostras de dados confidenciais em todas as Regiões da AWS nas quais o Macie está atualmente disponível, salvo nas regiões Asia Pacific (Osaka) e Israel (Tel Aviv).

Quando você recupera e revela amostras de dados confidenciais de uma descoberta, o Macie usa dados no resultado correspondente da descoberta de dados confidenciais para localizar ocorrências de dados confidenciais no objeto do S3 afetado. Em seguida, o Macie extrai amostras dessas ocorrências do objeto afetado. O Macie criptografa os dados extraídos com uma chave AWS Key Management Service (AWS KMS) que você especifica, armazena temporariamente os dados criptografados em um cache e retorna os dados em seus resultados da descoberta. Logo após a extração e a criptografia, o Macie exclui permanentemente os dados do cache, a menos que uma retenção adicional seja temporariamente necessária para resolver um problema operacional.

Para recuperar e revelar amostras de dados confidenciais para descobertas, primeiro você precisa definir e habilitar as configurações da sua conta no Macie. Você também precisa configurar recursos de apoio e permissões para sua conta. Os tópicos desta seção orientam você no processo de configuração do Macie para recuperar e revelar amostras de dados confidenciais e no gerenciamento do status da configuração da sua conta.

dica

Para obter recomendações e exemplos de políticas que você pode usar para controlar o acesso a essa funcionalidade, consulte o blog em Blog de segurança do AWS: Como usar o Amazon Macie para visualizar dados confidenciais em buckets do S3.

Antes de começar

Antes de configurar o Amazon Macie para recuperar e revelar amostras de dados confidenciais de descobertas, execute as tarefas a seguir para garantir que você tenha os recursos e as permissões necessários.

Essas tarefas são opcionais se você já tiver configurado o Macie para recuperar e revelar amostras de dados confidenciais e só quiser alterar suas configurações.

Etapa 1: configurar um repositório para resultados de descoberta de dados confidenciais

Quando você recupera e revela amostras de dados confidenciais de uma descoberta, o Macie usa dados no resultado correspondente da descoberta de dados confidenciais para localizar ocorrências de dados confidenciais no objeto do S3 afetado. Portanto, é importante verificar se você configurou um repositório para os resultados de descoberta de dados confidenciais. Caso contrário, o Macie não conseguirá localizar amostras de dados confidenciais que você deseja recuperar e revelar.

Para determinar se você configurou esse repositório para a sua conta, é possível usar o console do Amazon Macie: escolha Resultados da descoberta (em Configurações) no painel de navegação. Para fazer isso programaticamente, use a operação GetClassificationExportConfiguration da API do Amazon Macie. Para saber mais sobre os resultados de descoberta de dados confidenciais e como configurar esse repositório, consulte Armazenamento e retenção de resultados de descoberta de dados confidenciais.

Etapa 2: determinar como acessar os objetos afetados do S3

Você tem duas opções para acessar objetos afetados do S3 e recuperar amostras de dados confidenciais deles. Você pode configurar o Macie para usar suas credenciais de usuário do AWS Identity and Access Management (IAM). Como alternativa, é possível configurar o Macie para assumir um perfil do IAM que delegue acesso ao Macie. Você pode usar qualquer uma das configurações com qualquer tipo de conta do Macie, ou seja, a conta delegada de administrador do Macie para uma organização, uma conta de membro do Macie em uma organização ou uma conta autônoma do Macie. Antes de definir as configurações no Macie, determine qual método de acesso deseja usar. Para obter detalhes sobre as opções e os requisitos de cada método, consulte Opções de configuração para recuperar amostras.

Se você planeja usar um perfil do IAM, crie e configure a função antes de definir as configurações no Macie. Além disso, garanta que as políticas de confiança e permissões do perfil atendam a todos os requisitos para que o Macie assuma o perfil. Se sua conta integrar uma organização que gerencie centralmente várias contas do Macie, trabalhe com o administrador do Macie para determinar primeiro se e como configurar o perfil para a sua conta.

Etapa 3: Configurar um AWS KMS key

Quando você recupera e revela amostras de dados confidenciais para uma descoberta, o Macie criptografa as amostras com uma chave do AWS Key Management Service (AWS KMS) que você especifica. Portanto, você precisa determinar qual AWS KMS key deseja usar para criptografar as amostras. A chave pode ser uma chave do KMS existente na sua própria conta ou uma chave do KMS existente que outra conta possui. Se você desejar usar uma chave que outra conta possui, obtenha o nome do recurso da Amazon (ARN) da chave. Você precisará especificar esse ARN ao inserir as configurações no Macie.

A chave do KMS deve ser uma chave do KMS de criptografia simétrica e gerenciada pelo cliente. Também deve ser uma chave de região única habilitada na mesma Região da AWS que sua conta no Macie. A chave do KMS pode estar em um repositório de chaves externo. No entanto, a chave pode, então, ser mais lenta e menos confiável do que uma chave totalmente gerenciada no AWS KMS. Se a latência ou um problema de disponibilidade impedir o Macie de criptografar amostras de dados confidenciais que você deseja recuperar e revelar, ocorre um erro e o Macie não retorna nenhuma amostra para a descoberta.

Além disso, a política de chaves para a chave deve permitir que as entidades principais adequadas (perfis do IAM, usuários do IAM ouContas da AWS) realizem as seguintes ações:

  • kms:Decrypt

  • kms:DescribeKey

  • kms:GenerateDataKey

Importante

Como uma camada adicional de controle de acesso, recomendamos que você crie uma chave do KMS dedicada para criptografia de amostras de dados confidenciais que são recuperadas e restrinja o uso da chave somente às entidades principais que devem ter permissão para recuperar e revelar amostras de dados confidenciais. Se um usuário não tiver permissão para realizar as ações anteriores para a chave, o Macie vai rejeitar a solicitação de recuperar e revelar amostras de dados confidenciais. O Macie não retornará nenhuma amostra para a descoberta.

Para obter informações sobre como criar e configurar chaves do KMS, consulte Criar uma chave do KMS no Guia do desenvolvedor do AWS Key Management Service. Para obter informações sobre o uso de políticas de chaves para gerenciar o acesso às chaves do KMS, consulte Políticas de chaves no AWS KMS no Guia do desenvolvedor do AWS Key Management Service.

Etapa 4: verificar suas permissões

Antes de definir as configurações no Macie, verifique também se você tem as permissões necessárias. Para verificar suas permissões, use o AWS Identity and Access Management (IAM) para revisar as políticas do IAM que estão anexadas à sua identidade do IAM. Em seguida, compare as informações dessas políticas com a seguinte lista de ações que você deve ter permissão para realizar.

Amazon Macie

Verifique também se você tem permissão para realizar as seguintes ações:

  • macie2:GetMacieSession

  • macie2:UpdateRevealConfiguration

A primeira ação permite que você acesse sua conta no Macie. A segunda ação permite que você altere suas configurações para recuperar e revelar amostras de dados confidenciais. Isso inclui habilitar e desabilitar a configuração.

Opcionalmente, verifique se você também tem permissão para realizar a ação macie2:GetRevealConfiguration. Essa ação permite que você recupere suas configurações atuais e o status atual da configuração para sua conta.

AWS KMS

Se você planeja usar o console do Amazon Macie para inserir as definições de configuração, verifique também se tem permissão para realizar as seguintes ações do AWS Key Management Service (AWS KMS):

  • kms:DescribeKey

  • kms:ListAliases

Essas ações permitem que você recupere informações sobre o AWS KMS keys para a sua conta. Em seguida, você pode escolher uma dessas chaves ao inserir as configurações.

IAM

Se você planeja configurar o Macie para assumir um perfil do IAM para recuperar e revelar amostras de dados confidenciais, verifique também se tem permissão para realizar a seguinte ação do IAM: iam:PassRole. Essa ação permite que você transmita o perfil para o Macie, o que permitirá que o Macie assuma o perfil. Quando você inserir as configurações da sua conta, o Macie também poderá verificar se o perfil existe na sua conta e está configurada corretamente.

Se você não tiver permissão para realizar as ações necessárias, peça ajuda ao seu administrador AWS.

Como definir e habilitar as configurações do Macie

Após verificar se você tem os recursos e as permissões necessários, você poderá definir as configurações no Amazon Macie e habilitar a configuração da sua conta.

Se sua conta integrar uma organização que gerencie centralmente várias contas do Macie, observe o seguinte antes de configurar ou alterar posteriormente as configurações da sua conta:

  • Se você tiver uma conta de membro, trabalhe com o administrador do Macie para determinar se e como definir as configurações da sua conta. Seu administrador do Macie poderá ajudar a determinar as configurações corretas para sua conta.

  • Se você tiver uma conta de administrador do Macie e alterar suas configurações para acessar objetos afetados do S3, suas alterações poderão afetar outras contas e recursos da sua organização. Isso dependerá de o Macie estar ou não configurado para assumir um perfil do AWS Identity and Access Management (IAM) para recuperar amostras de dados confidenciais. Se estiver e você reconfigurar o Macie para usar as credenciais de usuário do IAM, o Macie excluirá permanentemente as configurações existentes do perfil do IAM: o nome do perfil e o ID externo da sua configuração. Posteriormente, se sua organização optar por usar os perfis do IAM novamente, você precisará especificar um novo ID externo na política de confiança para o perfil em cada conta de membro aplicável.

Para obter detalhes sobre as opções de configuração e os requisitos para os tipos de conta, consulte Opções de configuração para recuperar amostras.

Para definir as configurações no Macie e habilitar a configuração da sua conta, você pode usar o console do Amazon Macie ou a API do Amazon Macie.

Console

Siga estas etapas para definir e habilitar as configurações usando o console do Amazon Macie.

Para definir e habilitar as configurações do Macie
  1. Abra o console do Amazon Macie em https://console.aws.amazon.com/macie/.

  2. Ao usar o seletor Região da AWS no canto superior direito da página, selecione a região na qual deseja configurar e habilitar o Macie para recuperar e revelar amostras de dados confidenciais.

  3. No painel de navegação, em Configurações, selecione Revelar amostras.

  4. Na seção Configurações, escolha Editar.

  5. Em Status, escolha Habilitar.

  6. Em Acesso, especifique o método de acesso e as configurações que deseja usar ao recuperar amostras de dados confidenciais dos objetos afetados do S3:

    • Para usar um perfil do IAM que delegue acesso ao Macie, escolha Assumir um perfil do IAM. Se você escolher essa opção, o Macie recuperará as amostras assumindo o perfil do IAM que você criou e configurou na sua Conta da AWS. Na caixa Nome do perfil, insira o nome do perfil.

    • Para usar as credenciais do usuário do IAM que solicita as amostras, escolha Usar credenciais do usuário do IAM. Se você escolher essa opção, cada usuário da sua conta usará sua identidade individual do IAM para recuperar as amostras.

  7. Em Criptografia, especifique a AWS KMS key que deseja usar para criptografar as amostras de dados confidenciais que forem recuperadas:

    • Para usar uma chave do KMS da sua própria conta, escolha Selecionar uma chave da sua conta. Em seguida, na lista AWS KMS key, selecione a chave a ser usada. A lista exibe as chaves do KMS de criptografia simétrica existentes para sua conta.

    • Para usar uma chave do KMS de outra conta, selecione Inserir o ARN de uma chave de outra conta. Em seguida, na caixa AWS KMS key ARN, insira o nome do recurso da Amazon (ARN) da chave a ser utilizada, por exemplo, arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab.

  8. Após terminar de inserir configurações, escolha Salvar.

O Macie testa as configurações e verifica se elas estão corretas. Se você tiver configurado o Macie para assumir um perfil do IAM, o Macie também verificará se o perfil existe na sua conta e se as políticas de confiança e permissões estão configuradas corretamente. Se houver algum problema, o Macie exibirá uma mensagem descrevendo o problema.

Para resolver um problema com a AWS KMS key, consulte os requisitos no tópico anterior e especifique uma chave do KMS que atenda aos requisitos. Para resolver um problema com o perfil do IAM, comece verificando se você inseriu o nome correto do perfil. Se o nome estiver correto, certifique-se de que as políticas do perfil atendam a todos os requisitos para que o Macie assuma o perfil. Para obter esses detalhes, consulte Configurar um perfil do IAM para acessar objetos afetados do S3. Após corrigir qualquer erro, você poderá salvar e habilitar as configurações.

nota

Se você for o administrador do Macie para uma organização e tiver configurado o Macie para assumir um perfil do IAM, o serviço vai gerar e exibir um ID externo depois que você salvar as configurações da sua conta. Anote esse ID. A política de confiança para o perfil do IAM em cada uma das suas contas de membro aplicáveis deve especificar esse ID. Caso contrário, não será possível recuperar amostras de dados confidenciais de objetos do S3 de propriedade da conta.

API

Para definir e habilitar as configurações de maneira programática, use a operação UpdateRevealConfiguration da API do Amazon Macie. Em sua solicitação, especifique os valores adequados para os parâmetros compatíveis:

  • Para os parâmetros de retrievalConfiguration, especifique o método de acesso e as configurações que deseja usar ao recuperar amostras de dados confidenciais dos objetos afetados do S3:

    • Para assumir um perfil do IAM que delegue acesso ao Macie, especifique ASSUME_ROLE para o parâmetro retrievalMode e especifique o nome do perfil do parâmetro roleName. Se você especificar essas configurações, o Macie recuperará as amostras assumindo o perfil do IAM que você criou e configurou na sua Conta da AWS.

    • Para usar as credenciais do usuário do IAM que solicita as amostras, especifique CALLER_CREDENTIALS para o parâmetro retrievalMode. Se você especificar essa configuração, cada usuário da sua conta usará sua identidade individual do IAM para recuperar as amostras.

    Importante

    Se você não especificar valores para esses parâmetros, o Macie definirá o método de acesso (retrievalMode) como CALLER_CREDENTIALS. Se o Macie estiver configurado para usar um perfil do IAM para recuperar as amostras, o Macie também excluirá permanentemente o nome do perfil atual e o ID externo da sua configuração. Para manter essas configurações em uma configuração existente, inclua os parâmetros retrievalConfiguration em sua solicitação e especifique suas configurações atuais para esses parâmetros. Para recuperar suas configurações atuais, use a operação GetRevealConfiguration ou, se estiver usando a AWS Command Line Interface (AWS CLI), execute o comando get-reveal-configuration.

  • Para o parâmetro kmsKeyId, especifique a AWS KMS key que deseja usar para criptografar as amostras de dados confidenciais que forem recuperadas:

    • Para usar uma chave do KMS da sua própria conta, especifique o nome do recurso da Amazon (ARN), o ID ou o alias da chave. Se você especificar um alias, inclua o prefixo alias/, por exemplo, alias/ExampleAlias.

    • Para usar uma chave do KMS que outra conta possui, especifique o ARN da chave, por exemplo, arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab. Ou especifique o ARN do alias da chave, por exemplo, arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias.

  • Para o parâmetro status, especifique ENABLED para habilitar a configuração da sua conta Macie.

Em sua solicitação, não se esqueça de especificar também a Região da AWS na qual deseja habilitar e usar a configuração.

Para definir e habilitar as configurações usando a AWS CLI, execute o comando update-reveal-configuration e especifique os valores adequados para os parâmetros compatíveis. Por exemplo, se estiver usando a AWS CLI no Microsoft Windows, execute o seguinte comando:

C:\> aws macie2 update-reveal-configuration ^ --region us-east-1 ^ --configuration={\"kmsKeyId\":\"arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias\",\"status\":\"ENABLED\"} ^ --retrievalConfiguration={\"retrievalMode\":\"ASSUME_ROLE\",\"roleName\":\"MacieRevealRole\"}

Em que:

  • us-east-1 é a região na qual habilitar e usar a configuração. Neste exemplo, a Região Leste dos EUA (Norte da Virgínia).

  • arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias é o ARN do alias da AWS KMS key a ser utilizada. Neste exemplo, a chave pertence a outra conta.

  • ENABLED é o status da configuração.

  • ASSUME_ROLE é o método de acesso a ser usado. Neste exemplo, assuma o perfil do IAM especificado.

  • MacieRevealRole é o nome do perfil do IAM que o Macie deve assumir ao recuperar amostras de dados confidenciais.

O exemplo anterior usa o caractere circunflexo (^) de continuação de linha para melhorar a legibilidade.

Quando você envia sua solicitação, o Macie testa as configurações. Se você tiver configurado o Macie para assumir um perfil do IAM, o Macie também verificará se o perfil existe na sua conta e se as políticas de confiança e permissões estão configuradas corretamente. Se houver algum problema, sua solicitação vai falhar e o Macie retornará uma mensagem descrevendo o erro. Para resolver um problema com a AWS KMS key, consulte os requisitos no tópico anterior e especifique uma chave do KMS que atenda aos requisitos. Para resolver um problema com o perfil do IAM, comece verificando se você especificou o nome correto do perfil. Se o nome estiver correto, certifique-se de que as políticas do perfil atendam a todos os requisitos para que o Macie assuma o perfil. Para obter esses detalhes, consulte Configurar um perfil do IAM para acessar objetos afetados do S3. Reenvie sua solicitação após resolver o problema.

Se a sua solicitação for realizada com êxito, o Macie habilitará a configuração da sua conta na Região especificada e você receberá um resultado semelhante ao seguinte.

{ "configuration": { "kmsKeyId": "arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias", "status": "ENABLED" }, "retrievalConfiguration": { "externalId": "o2vee30hs31642lexample", "retrievalMode": "ASSUME_ROLE", "roleName": "MacieRevealRole" } }

Onde kmsKeyId especifica a AWS KMS key a ser usada para criptografar amostras de dados confidenciais recuperadas e status é o status da configuração da sua conta do Macie. Os valores retrievalConfiguration especificam o método de acesso e as configurações a serem usadas ao recuperar as amostras.

nota

Se você for o administrador do Macie de uma organização e tiver configurado o Macie para assumir um perfil do IAM, anote o ID externo (externalId) na resposta. A política de confiança para o perfil do IAM em cada uma das suas contas de membro aplicáveis deve especificar esse ID. Caso contrário, não será possível recuperar amostras de dados confidenciais de objetos afetados do S3 de propriedade da conta.

Para verificar posteriormente as configurações ou o status da configuração da sua conta, use a operação getRevealConfiguration ou, para o AWS CLI, execute o comando get-reveal-configuration.

Desabilitar configurações do Macie

É possível desabilitar a qualquer momento as configurações da sua conta do Amazon Macie. Se você desabilitar a configuração, o Macie manterá a configuração que especifica qual AWS KMS key usar para criptografar as amostras de dados confidenciais que forem recuperadas. O Macie excluirá permanentemente as configurações de acesso do Amazon S3 para a configuração.

Atenção

Ao desabilitar as configurações da sua conta do Macie, você também exclui permanentemente as configurações atuais que especificam como acessar os objetos afetados do S3. Se o Macie estiver configurado para acessar objetos afetados assumindo um perfil do AWS Identity and Access Management (IAM), isso incluirá: o nome do perfil e o ID externo que o Macie gerou para a configuração. Essas configurações não podem ser recuperadas depois de excluídas.

Para desabilitar as configurações da sua conta do Macie, você pode usar o console do Amazon Macie ou a API do Amazon Macie.

Console

Siga estas etapas para desabilitar as configurações da sua conta usando o console do Amazon Macie.

Para desabilitar as configurações do Macie
  1. Abra o console do Amazon Macie em https://console.aws.amazon.com/macie/.

  2. Usando o seletor Região da AWS no canto superior direito da página, selecione a região na qual você deseja desabilitar as configurações para sua conta do Macie.

  3. No painel de navegação, em Configurações, selecione Revelar amostras.

  4. Na seção Configurações, escolha Editar.

  5. Em Status, escolha Desabilitar.

  6. Escolha Salvar.

API

Para desabilitar as configurações de maneira programática, use a operação UpdateRevealConfiguration da API do Amazon Macie. Em sua solicitação, não se esqueça de especificar a Região da AWS na qual deseja desabilitar a configuração. Para o parâmetro status, especifique DISABLED.

Para desabilitar as configurações usando a AWS Command Line Interface (AWS CLI), execute o comando update-reveal-configuration. Use o parâmetro region para especificar a região na qual deseja desabilitar a configuração. Para o parâmetro status, especifique DISABLED. Por exemplo, se estiver usando a AWS CLI no Microsoft Windows, execute o seguinte comando:

C:\> aws macie2 update-reveal-configuration --region us-east-1 --configuration={\"status\":\"DISABLED\"}

Em que:

  • us-east-1 é a região na qual deseja desabilitar a configuração. Neste exemplo, a Região Leste dos EUA (Norte da Virgínia).

  • DISABLED é o novo status da configuração.

Se a sua solicitação for realizada com êxito, o Macie desabilitará a configuração da sua conta na Região especificada e você receberá um resultado semelhante ao seguinte.

{ "configuration": { "status": "DISABLED" } }

Onde status é o novo status da configuração da sua conta do Macie.

Se o Macie tiver sido configurado para assumir um perfil do IAM para recuperar amostras de dados confidenciais, você poderá excluir o perfil e a política de permissões do perfil de maneira opcional. O Macie não exclui esses recursos quando você desabilita as configurações da sua conta. Além disso, o Macie não usa esses recursos para realizar nenhuma outra tarefa na sua conta. Para excluir o perfil e sua política de permissão, é possível usar o console do IAM ou a API do IAM. Para obter mais informações, consulte Excluir perfis no Guia do usuário do AWS Identity and Access Management.