Configurando o Macie para recuperar amostras de dados confidenciais - Amazon Macie
Antes de começarComo definir e habilitar as configurações do MacieComo desabilitar configurações do Macie

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurando o Macie para recuperar amostras de dados confidenciais

Como opção é possível configurar e usar o Amazon Macie para recuperar e revelar amostras de dados confidenciais que o Macie relata em descobertas individuais. As amostras podem ajudar você a verificar a natureza dos dados confidenciais que o Macie encontrou. Eles podem ajudar você a personalizar sua investigação sobre o objeto e o bucket afetados do Amazon Simple Storage Service (Amazon S3). Você pode recuperar e revelar amostras de dados confidenciais em todas as Regiões da AWS nas quais o Macie está atualmente disponível, salvo nas regiões Asia Pacific (Osaka) e Israel (Tel Aviv).

Quando você recupera e revela amostras de dados confidenciais de uma descoberta, o Macie usa dados no resultado correspondente da descoberta de dados confidenciais para localizar ocorrências de dados confidenciais no objeto do S3 afetado. Em seguida, o Macie extrai amostras dessas ocorrências do objeto afetado. O Macie criptografa os dados extraídos com uma chave AWS Key Management Service (AWS KMS) que você especifica, armazena temporariamente os dados criptografados em um cache e retorna os dados em seus resultados para a descoberta. Logo após a extração e a criptografia, o Macie exclui permanentemente os dados do cache, a menos que uma retenção adicional seja temporariamente necessária para resolver um problema operacional.

Para recuperar e revelar amostras de dados confidenciais para descobertas, primeiro você precisa definir e habilitar as configurações da sua conta no Macie. Você também precisa configurar recursos de apoio e permissões para sua conta. Os tópicos desta seção orientam você no processo de configuração do Macie para recuperar e revelar amostras de dados confidenciais e no gerenciamento do status da configuração da sua conta.

dica

Para recomendações e exemplos de políticas que você pode usar para controlar o acesso a essa funcionalidade, consulte a seguinte postagem no blog de AWS segurança: Como usar o Amazon Macie para visualizar dados confidenciais em buckets do S3.

Antes de começar

Antes de configurar o Amazon Macie para recuperar e revelar amostras de dados confidenciais de descobertas, execute as tarefas a seguir para garantir que você tenha os recursos e as permissões necessários.

Essas tarefas são opcionais se você já tiver configurado o Macie para recuperar e revelar amostras de dados confidenciais e só quiser alterar suas configurações.

Etapa 1: configurar um repositório para resultados de descoberta de dados confidenciais

Quando você recupera e revela amostras de dados confidenciais de uma descoberta, o Macie usa dados no resultado correspondente da descoberta de dados confidenciais para localizar ocorrências de dados confidenciais no objeto do S3 afetado. Portanto, é importante verificar se você configurou um repositório para os resultados de descoberta de dados confidenciais. Caso contrário, o Macie não conseguirá localizar amostras de dados confidenciais que você deseja recuperar e revelar.

Para determinar se você configurou esse repositório para a sua conta, é possível usar o console do Amazon Macie: escolha Resultados da descoberta (em Configurações) no painel de navegação. Para fazer isso programaticamente, use a GetClassificationExportConfigurationoperação do Amazon Macie. API Para saber mais sobre os resultados de descoberta de dados confidenciais e como configurar esse repositório, consulte Armazenamento e retenção de resultados de descoberta de dados confidenciais.

Etapa 2: determinar como acessar os objetos afetados do S3

Você tem duas opções para acessar objetos afetados do S3 e recuperar amostras de dados confidenciais deles. Você pode configurar o Macie para usar suas credenciais de usuário AWS Identity and Access Management (IAM). Ou você pode configurar o Macie para assumir uma IAM função que delega acesso ao Macie. Você pode usar qualquer uma das configurações com qualquer tipo de conta do Macie, ou seja, a conta delegada de administrador do Macie para uma organização, uma conta de membro do Macie em uma organização ou uma conta autônoma do Macie. Antes de definir as configurações no Macie, determine qual método de acesso deseja usar. Para obter detalhes sobre as opções e os requisitos de cada método, consulte Opções de configuração para recuperar amostras.

Se você planeja usar uma IAM função, crie e configure a função antes de definir as configurações no Macie. Além disso, garanta que as políticas de confiança e permissões do perfil atendam a todos os requisitos para que o Macie assuma o perfil. Se sua conta integrar uma organização que gerencie centralmente várias contas do Macie, trabalhe com o administrador do Macie para determinar primeiro se e como configurar o perfil para a sua conta.

Etapa 3: configurar um AWS KMS key

Quando você recupera e revela amostras de dados confidenciais para uma descoberta, o Macie criptografa as amostras com uma chave AWS Key Management Service (AWS KMS) especificada por você. Portanto, você precisa determinar qual AWS KMS key deseja usar para criptografar as amostras. A chave pode ser uma KMS chave existente da sua própria conta ou uma KMS chave existente que outra conta possui. Se você quiser usar uma chave de propriedade de outra conta, obtenha o Amazon Resource Name (ARN) da chave. Você precisará especificar isso ARN ao inserir as configurações no Macie.

A KMS chave deve ser uma chave de criptografia simétrica gerenciada pelo cliente. Também deve ser uma chave de região única ativada da Região da AWS mesma forma que sua conta Macie. A KMS chave pode estar em um armazenamento de chaves externo. No entanto, a chave pode, então, ser mais lenta e menos confiável do que uma chave totalmente gerenciada no AWS KMS. Se a latência ou um problema de disponibilidade impedir o Macie de criptografar amostras de dados confidenciais que você deseja recuperar e revelar, ocorre um erro e o Macie não retorna nenhuma amostra para a descoberta.

Além disso, a política de chaves da chave deve permitir que os diretores apropriados (IAMfunções, IAM usuários ou Contas da AWS) realizem as seguintes ações:

  • kms:Decrypt

  • kms:DescribeKey

  • kms:GenerateDataKey

Importante

Como uma camada adicional de controle de acesso, recomendamos que você crie uma KMS chave dedicada para criptografia de amostras de dados confidenciais que são recuperadas e restrinja o uso da chave somente aos principais que devem ter permissão para recuperar e revelar amostras de dados confidenciais. Se um usuário não tiver permissão para realizar as ações anteriores para a chave, o Macie vai rejeitar a solicitação de recuperar e revelar amostras de dados confidenciais. O Macie não retornará nenhuma amostra para a descoberta.

Para obter informações sobre como criar e configurar KMS chaves, consulte Criar uma KMS chave no Guia do AWS Key Management Service desenvolvedor. Para obter informações sobre o uso de políticas de KMS chaves para gerenciar o acesso às chaves, consulte Políticas principais AWS KMS no Guia do AWS Key Management Service desenvolvedor.

Etapa 4: verificar suas permissões

Antes de definir as configurações no Macie, verifique também se você tem as permissões necessárias. Para verificar suas permissões, use AWS Identity and Access Management (IAM) para revisar as IAM políticas anexadas à sua IAM identidade. Em seguida, compare as informações dessas políticas com a seguinte lista de ações que você deve ter permissão para realizar.

Amazon Macie

Verifique também se você tem permissão para realizar as seguintes ações:

  • macie2:GetMacieSession

  • macie2:UpdateRevealConfiguration

A primeira ação permite que você acesse sua conta no Macie. A segunda ação permite que você altere suas configurações para recuperar e revelar amostras de dados confidenciais. Isso inclui habilitar e desabilitar a configuração.

Opcionalmente, verifique se você também tem permissão para realizar a ação macie2:GetRevealConfiguration. Essa ação permite que você recupere suas configurações atuais e o status atual da configuração para sua conta.

AWS KMS

Se você planeja usar o console do Amazon Macie para inserir as definições de configuração, verifique também se você tem permissão para realizar as seguintes AWS Key Management Service (AWS KMS) ações:

  • kms:DescribeKey

  • kms:ListAliases

Essas ações permitem que você recupere informações sobre o da AWS KMS keys sua conta. Em seguida, você pode escolher uma dessas chaves ao inserir as configurações.

IAM

Se você planeja configurar o Macie para assumir a IAM função de recuperar e revelar amostras de dados confidenciais, verifique também se você tem permissão para realizar a seguinte IAM ação:. iam:PassRole Essa ação permite que você transmita o perfil para o Macie, o que permitirá que o Macie assuma o perfil. Quando você inserir as configurações da sua conta, o Macie também poderá verificar se o perfil existe na sua conta e está configurada corretamente.

Se você não tiver permissão para realizar as ações necessárias, peça ajuda ao AWS administrador.

Como definir e habilitar as configurações do Macie

Após verificar se você tem os recursos e as permissões necessários, você poderá definir as configurações no Amazon Macie e habilitar a configuração da sua conta.

Se sua conta integrar uma organização que gerencie centralmente várias contas do Macie, observe o seguinte antes de configurar ou alterar posteriormente as configurações da sua conta:

  • Se você tiver uma conta de membro, trabalhe com o administrador do Macie para determinar se e como definir as configurações da sua conta. Seu administrador do Macie poderá ajudar a determinar as configurações corretas para sua conta.

  • Se você tiver uma conta de administrador do Macie e alterar suas configurações para acessar objetos afetados do S3, suas alterações poderão afetar outras contas e recursos da sua organização. Isso depende se o Macie está atualmente configurado para assumir uma função AWS Identity and Access Management (IAM) para recuperar amostras de dados confidenciais. Se estiver e você reconfigurar o Macie para usar as credenciais IAM do usuário, o Macie excluirá permanentemente as configurações existentes da função IAM — o nome da função e a ID externa da sua configuração. Se sua organização posteriormente optar por usar as IAM funções novamente, você precisará especificar uma nova ID externa na política de confiança para a função em cada conta de membro aplicável.

Para obter detalhes sobre as opções de configuração e os requisitos para qualquer tipo de conta, consulteOpções de configuração para recuperar amostras.

Para definir as configurações no Macie e habilitar a configuração da sua conta, você pode usar o console do Amazon Macie ou o Amazon Macie. API

Console

Siga estas etapas para definir e habilitar as configurações usando o console do Amazon Macie.

Para definir e habilitar as configurações do Macie

  1. Abra o console do Amazon Macie em. https://console.aws.amazon.com/macie/

  2. Usando o Região da AWS seletor no canto superior direito da página, escolha a região na qual você deseja configurar e permita que o Macie recupere e revele amostras de dados confidenciais.

  3. No painel de navegação, em Configurações, selecione Revelar amostras.

  4. Na seção Configurações, escolha Editar.

  5. Em Status, escolha Enabled (Habilitado).

  6. Em Acesso, especifique o método de acesso e as configurações que deseja usar ao recuperar amostras de dados confidenciais dos objetos afetados do S3:

    • Para usar uma IAM função que delega acesso ao Macie, escolha Assumir uma IAM função. Se você escolher essa opção, o Macie recuperará as amostras assumindo a IAM função que você criou e configurou no seu. Conta da AWS Na caixa Nome do perfil, insira o nome do perfil.

    • Para usar as credenciais do IAM usuário que solicita as amostras, escolha Usar credenciais IAM do usuário. Se você escolher essa opção, cada usuário da sua conta usará sua IAM identidade individual para recuperar as amostras.

  7. Em Criptografia, especifique o AWS KMS key que você deseja usar para criptografar amostras de dados confidenciais que são recuperadas:

    • Para usar uma KMS chave da sua própria conta, escolha Selecionar uma chave da sua conta. Em seguida, na lista AWS KMS key, selecione a chave a ser usada. A lista exibe as KMS chaves de criptografia simétricas existentes para sua conta.

    • Para usar uma KMS chave que outra conta possui, escolha Inserir a ARN chave de outra conta. Em seguida, na AWS KMS key ARNcaixa, insira o Amazon Resource Name (ARN) da chave a ser usada — por exemplo,. arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

  8. Após terminar de inserir configurações, selecione Salvar.

O Macie testa as configurações e verifica se elas estão corretas. Se você configurou o Macie para assumir uma IAM função, o Macie também verifica se a função existe na sua conta e se as políticas de confiança e permissões estão configuradas corretamente. Se houver algum problema, o Macie exibirá uma mensagem descrevendo o problema.

Para resolver um problema com o AWS KMS key, consulte os requisitos no tópico anterior e especifique uma KMS chave que atenda aos requisitos. Para resolver um problema com a IAM função, comece verificando se você inseriu o nome correto da função. Se o nome estiver correto, certifique-se de que as políticas do perfil atendam a todos os requisitos para que o Macie assuma o perfil. Para obter esses detalhes, consulte Configurando uma IAM função para acessar objetos do S3 afetados. Após corrigir qualquer erro, você poderá salvar e habilitar as configurações.

nota

Se você for o administrador do Macie de uma organização e tiver configurado o Macie para assumir uma IAM função, o Macie gera e exibe uma ID externa depois que você salva as configurações da sua conta. Anote esse ID. A política de confiança para a IAM função em cada uma de suas contas de membro aplicáveis deve especificar essa ID. Caso contrário, não será possível recuperar amostras de dados confidenciais de objetos do S3 de propriedade da conta.

API

Para configurar e ativar as configurações de forma programática, use a UpdateRevealConfigurationoperação do Amazon Macie. API Em sua solicitação, especifique os valores adequados para os parâmetros compatíveis:

  • Para os parâmetros de retrievalConfiguration, especifique o método de acesso e as configurações que deseja usar ao recuperar amostras de dados confidenciais dos objetos afetados do S3:

    • Para assumir uma IAM função que delega acesso ao Macie, especifique ASSUME_ROLE o retrievalMode parâmetro e especifique o nome da função para o roleName parâmetro. Se você especificar essas configurações, o Macie recuperará as amostras assumindo a IAM função que você criou e configurou no seu. Conta da AWS

    • Para usar as credenciais do IAM usuário que solicita as amostras, especifique CALLER_CREDENTIALS o retrievalMode parâmetro. Se você especificar essa configuração, cada usuário da sua conta usará sua IAM identidade individual para recuperar as amostras.

    Importante

    Se você não especificar valores para esses parâmetros, o Macie definirá o método de acesso (retrievalMode) como CALLER_CREDENTIALS. Se o Macie estiver atualmente configurado para usar uma IAM função para recuperar as amostras, o Macie também excluirá permanentemente o nome da função atual e o ID externo da sua configuração. Para manter essas configurações em uma configuração existente, inclua os parâmetros retrievalConfiguration em sua solicitação e especifique suas configurações atuais para esses parâmetros. Para recuperar suas configurações atuais, use a GetRevealConfigurationoperação ou, se estiver usando o AWS Command Line Interface (AWS CLI), execute o get-reveal-configurationcomando.

  • Para o kmsKeyId parâmetro, especifique o AWS KMS key que você deseja usar para criptografar amostras de dados confidenciais que são recuperadas:

    • Para usar uma KMS chave da sua própria conta, especifique o Amazon Resource Name (ARN), ID ou alias para a chave. Se você especificar um alias, inclua o prefixo alias/ — por exemplo, alias/ExampleAlias.

    • Para usar uma KMS chave que outra conta possui, especifique ARN a chave, por exemplo,. arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab Ou especifique o alias ARN da chave, por exemplo,. arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias

  • Para o parâmetro status, especifique ENABLED para habilitar a configuração da sua conta Macie.

Em sua solicitação, certifique-se também de especificar o Região da AWS no qual você deseja habilitar e usar a configuração.

Para definir e ativar as configurações usando o AWS CLI, execute o update-reveal-configurationcomando e especifique os valores apropriados para os parâmetros suportados. Por exemplo, se você estiver usando o AWS CLI no Microsoft Windows, execute o seguinte comando:

C:\> aws macie2 update-reveal-configuration ^
--region us-east-1 ^
--configuration={\"kmsKeyId\":\"arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias\",\"status\":\"ENABLED\"} ^
--retrievalConfiguration={\"retrievalMode\":\"ASSUME_ROLE\",\"roleName\":\"MacieRevealRole\"}

Em que:

  • us-east-1 é a região na qual ativar e usar a configuração. Neste exemplo, a Região Leste dos EUA (Norte da Virgínia).

  • arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias é ARN o alias AWS KMS key a ser usado. Neste exemplo, a chave pertence a outra conta.

  • ENABLED é o status da configuração.

  • ASSUME_ROLE é o método de acesso a ser usado. Neste exemplo, assuma a IAM função especificada.

  • MacieRevealRole é o nome da IAM função que Macie deve assumir ao recuperar amostras de dados confidenciais.

O exemplo anterior usa o caractere circunflexo (^) de continuação de linha para melhorar a legibilidade.

Quando você envia sua solicitação, o Macie testa as configurações. Se você configurou o Macie para assumir uma IAM função, o Macie também verifica se a função existe na sua conta e se as políticas de confiança e permissões estão configuradas corretamente. Se houver algum problema, sua solicitação vai falhar e o Macie retornará uma mensagem descrevendo o erro. Para resolver um problema com o AWS KMS key, consulte os requisitos no tópico anterior e especifique uma KMS chave que atenda aos requisitos. Para resolver um problema com a IAM função, comece verificando se você especificou o nome correto da função. Se o nome estiver correto, certifique-se de que as políticas do perfil atendam a todos os requisitos para que o Macie assuma o perfil. Para obter esses detalhes, consulte Configurando uma IAM função para acessar objetos do S3 afetados. Reenvie sua solicitação após resolver o problema.

Se a sua solicitação for realizada com êxito, o Macie habilitará a configuração da sua conta na Região especificada e você receberá um resultado semelhante ao seguinte.

{
  "configuration": {
    "kmsKeyId": "arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias",
    "status": "ENABLED"
  },
  "retrievalConfiguration": {
    "externalId": "o2vee30hs31642lexample",
    "retrievalMode": "ASSUME_ROLE",
    "roleName": "MacieRevealRole"
  }
}

Onde kmsKeyId especifica o uso AWS KMS key para criptografar amostras de dados confidenciais que são recuperadas e status é o status da configuração da sua conta Macie. Os valores retrievalConfiguration especificam o método de acesso e as configurações a serem usadas ao recuperar as amostras.

nota

Se você for o administrador do Macie de uma organização e tiver configurado o Macie para assumir uma IAM função, anote a ID externa (externalId) na resposta. A política de confiança para a IAM função em cada uma de suas contas de membro aplicáveis deve especificar essa ID. Caso contrário, não será possível recuperar amostras de dados confidenciais de objetos afetados do S3 de propriedade da conta.

Para verificar posteriormente as configurações ou o status da configuração da sua conta, use a GetRevealConfigurationoperação ou, para o. AWS CLI, execute o get-reveal-configurationcomando.

Como desabilitar configurações do Macie

É possível desabilitar a qualquer momento as configurações da sua conta do Amazon Macie. Se você desabilitar a configuração, o Macie manterá a configuração que especifica qual usar AWS KMS key para criptografar amostras de dados confidenciais que são recuperadas. O Macie excluirá permanentemente as configurações de acesso do Amazon S3 para a configuração.

Atenção

Ao desabilitar as configurações da sua conta do Macie, você também exclui permanentemente as configurações atuais que especificam como acessar os objetos afetados do S3. Se o Macie estiver atualmente configurado para acessar objetos afetados assumindo uma função AWS Identity and Access Management (IAM), isso inclui: o nome da função e a ID externa que o Macie gerou para a configuração. Essas configurações não podem ser recuperadas depois de excluídas.

Para desativar as configurações da sua conta Macie, você pode usar o console do Amazon Macie ou o Amazon Macie. API

Console

Siga estas etapas para desabilitar as configurações da sua conta usando o console do Amazon Macie.

Para desabilitar as configurações do Macie

  1. Abra o console do Amazon Macie em. https://console.aws.amazon.com/macie/

  2. Usando o Região da AWS seletor no canto superior direito da página, escolha a região na qual você deseja desativar as configurações da sua conta Macie.

  3. No painel de navegação, em Configurações, selecione Revelar amostras.

  4. Na seção Configurações, escolha Editar.

  5. Em Status, escolha Desabilitar.

  6. Escolha Salvar.

API

Para desativar as configurações de forma programática, use a UpdateRevealConfigurationoperação do Amazon Macie. API Em sua solicitação, certifique-se de especificar a Região da AWS na qual você deseja desabilitar a configuração. Para o parâmetro status, especifique DISABLED.

Para desativar as configurações usando o AWS Command Line Interface (AWS CLI), execute o update-reveal-configurationcomando. Use o parâmetro region para especificar a região na qual deseja desabilitar a configuração. Para o parâmetro status, especifique DISABLED. Por exemplo, se você estiver usando o AWS CLI no Microsoft Windows, execute o seguinte comando:

C:\> aws macie2 update-reveal-configuration --region us-east-1 --configuration={\"status\":\"DISABLED\"}

Em que:

  • us-east-1 é a região na qual a configuração deve ser desativada. Neste exemplo, a Região Leste dos EUA (Norte da Virgínia).

  • DISABLED é o novo status da configuração.

Se a sua solicitação for realizada com êxito, o Macie desabilitará a configuração da sua conta na Região especificada e você receberá um resultado semelhante ao seguinte.

{
    "configuration": {
        "status": "DISABLED"
    }
}

Onde status é o novo status da configuração da sua conta do Macie.

Se o Macie foi configurado para assumir uma IAM função para recuperar amostras de dados confidenciais, você pode, opcionalmente, excluir a função e a política de permissões da função. O Macie não exclui esses recursos quando você desabilita as configurações da sua conta. Além disso, o Macie não usa esses recursos para realizar nenhuma outra tarefa na sua conta. Para excluir a função e sua política de permissões, você pode usar o IAM console ou IAM API o. Para obter mais informações, consulte Excluir perfis no Guia do usuário do AWS Identity and Access Management .