As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Opções de configuração para recuperar amostras de dados confidenciais com o Macie
Como opção é possível configurar e usar o Amazon Macie para recuperar e revelar amostras de dados confidenciais que o Macie relata em descobertas individuais. Se você recuperar e revelar amostras de dados confidenciais para uma descoberta, o Macie vai usar os dados no resultado da descoberta de dados confidenciais correspondente para localizar ocorrências de dados confidenciais no objeto afetado do Amazon Simple Storage Service (Amazon S3). Em seguida, o Macie extrai amostras dessas ocorrências do objeto afetado. O Macie criptografa os dados extraídos com uma chave AWS Key Management Service (AWS KMS) que você especifica, armazena temporariamente os dados criptografados em um cache e retorna os dados em seus resultados para a descoberta. Logo após a extração e a criptografia, o Macie exclui permanentemente os dados do cache, a menos que uma retenção adicional seja temporariamente necessária para resolver um problema operacional.
O Macie não usa o perfil vinculado a serviço do Macie em sua conta para localizar, recuperar, criptografar ou revelar amostras de dados confidenciais para objetos afetados do S3. Em vez disso, o Macie usa configurações e recursos que você configura para sua conta. Ao definir as configurações no Macie, você especifica como acessar os objetos afetados do S3. Você também especifica qual usar AWS KMS key para criptografar as amostras. Você pode definir as configurações em todas as regiões em Regiões da AWS que o Macie está disponível atualmente, exceto nas regiões Ásia-Pacífico (Osaka) e Israel (Tel Aviv).
Você tem duas opções para acessar objetos afetados do S3 e recuperar amostras de dados confidenciais deles. Você pode configurar o Macie para usar AWS Identity and Access Management (IAM) credenciais de usuário ou assumir uma IAM função:
-
Use credenciais de IAM usuário — Com essa opção, cada usuário da sua conta usa sua IAM identidade individual para localizar, recuperar, criptografar e revelar as amostras. Isso significa que um usuário pode recuperar e revelar amostras de dados confidenciais para uma descoberta se tiver permissão para acessar os recursos e dados necessários, e também para realizar as ações necessárias.
-
Assumir uma IAM função — Com essa opção, você cria uma IAM função que delega acesso ao Macie. Você também garante que as políticas de confiança e permissões do perfil atendam a todos os requisitos para que o Macie assuma o perfil. Posteriormente, o Macie vai assumir o perfil quando um usuário da sua conta optar por localizar, recuperar, criptografar e revelar amostras de dados confidenciais para uma descoberta.
Você pode usar qualquer uma das configurações com qualquer tipo de conta do Macie, ou seja, a conta delegada de administrador do Macie para uma organização, uma conta de membro do Macie em uma organização ou uma conta autônoma do Macie.
Os tópicos a seguir explicam as opções, os requisitos e os fatores que podem ajudar você a determinar como definir as configurações e os recursos para sua conta. Isso inclui as políticas de confiança e permissões a serem anexadas a uma IAM função. Para obter recomendações adicionais e exemplos de políticas que você pode usar para recuperar e revelar amostras de dados confidenciais, consulte a seguinte postagem no blog de AWS segurança: Como usar o Amazon Macie para visualizar dados confidenciais em
Tópicos
Como determinar qual método de acesso usar
Ao determinar qual configuração é melhor para seu AWS ambiente, uma consideração importante é se seu ambiente inclui várias contas do Amazon Macie que são gerenciadas centralmente como uma organização. Se você for o administrador delegado do Macie de uma organização, configurar o Macie para assumir uma IAM função pode simplificar a recuperação de amostras de dados confidenciais de objetos do S3 afetados para contas em sua organização. Com essa abordagem, você cria uma IAM função na sua conta de administrador. Você também cria uma IAM função em cada conta de membro aplicável. O perfil na sua conta de administrador delega acesso ao Macie. O perfil em uma conta de membro delega o acesso entre contas ao perfil em sua conta de administrador. Se implementado, você poderá usar o encadeamento de perfis para acessar objetos do S3 afetados para as contas de membros.
Considere também quem tem acesso direto às descobertas individuais por padrão. A fim de recuperar e revelar amostras de dados confidenciais para uma descoberta, primeiro o usuário deve ter acesso à descoberta:
-
Trabalhos de descoberta de dados confidenciais: somente a conta que cria um trabalho pode acessar as descobertas produzidas pelo trabalho. Se você tiver uma conta de administrador do Macie, poderá configurar um trabalho para analisar objetos em buckets do S3 para qualquer conta em sua organização. Portanto, seus trabalhos podem produzir descobertas para objetos em buckets pertencentes às suas contas de membros. Se você tiver uma conta de membro ou uma conta autônoma do Macie, poderá configurar um trabalho para analisar objetos somente nos buckets pertencentes à sua conta.
-
Descoberta automatizada de dados confidenciais: somente a conta de administrador do Macie pode acessar descobertas que o processo automatizado de descoberta produz para contas na organização. As contas de membros não podem acessar essas descobertas. Se você tiver uma conta autônoma do Macie, só poderá acessar as descobertas que a descoberta automatizada produz para sua própria conta.
Se você planeja acessar objetos do S3 afetados usando uma IAM função, considere também o seguinte:
-
Para localizar ocorrências de dados confidenciais em um objeto, o resultado correspondente da descoberta de dados confidenciais para uma descoberta deve ser armazenado em um objeto S3 que Macie assinou com um Código de Autenticação de Mensagens baseado em Hash (). HMAC AWS KMS key O Macie deve ser capaz de verificar a integridade e a autenticidade do resultado da descoberta de dados confidenciais. Caso contrário, Macie não assume a IAM função de recuperar amostras de dados confidenciais. Essa é uma barreira de proteção adicional que visa restringir o acesso a dados em objetos do S3 para uma conta.
-
Para recuperar amostras de dados confidenciais de um objeto criptografado com um cliente gerenciado AWS KMS key, a IAM função deve ter permissão para descriptografar dados com a chave. Mais especificamente, a política da chave deve permitir que o perfil execute a ação
kms:Decrypt. Para outros tipos de criptografia no lado do servidor, é necessário ter permissões ou recursos adicionais para descriptografar um objeto afetado. Para obter mais informações, consulte Como descriptografar objetos afetados do S3. -
Para recuperar amostras de dados confidenciais de um objeto para outra conta, você deve ser o administrador delegado do Macie para a conta na Região da AWS aplicável. Além disso:
-
No momento, o Macie deve estar habilitado para a conta de membro na região aplicável.
-
A conta do membro deve ter uma IAM função que delegue o acesso entre contas a uma IAM função na sua conta de administrador do Macie. O nome do perfil deve ser o mesmo em sua conta de administrador do Macie e na conta de membro.
-
A política de confiança para a IAM função na conta do membro deve incluir uma condição que especifique a ID externa correta para sua configuração. Esse ID é uma string alfanumérica exclusiva que o Macie gera automaticamente depois que você define as configurações da sua conta de administrador do Macie. Para obter informações sobre o uso de políticas externas IDs confiáveis, consulte Acesso a Contas da AWS terceiros no Guia do AWS Identity and Access Management usuário.
-
Se a IAM função na conta do membro atender a todos os requisitos do Macie, a conta do membro não precisará definir e ativar as configurações do Macie para que você recupere amostras de dados confidenciais de objetos da conta. O Macie usa somente as configurações e a IAM função na sua conta de administrador do Macie e a IAM função na conta do membro.
dica
Se sua conta fizer parte de uma grande organização, considere usar um AWS CloudFormation modelo e um conjunto de pilhas para provisionar e gerenciar as IAM funções das contas dos membros em sua organização. Para obter informações sobre como criar e usar modelos e conjuntos de pilhas, consulte o Guia do usuário do AWS CloudFormation.
Para revisar e, opcionalmente, baixar um CloudFormation modelo que pode servir como ponto de partida, você pode usar o console do Amazon Macie. No painel de navegação no console, em Configurações, selecione Revelar amostras. Escolha Editar e, em seguida, escolha Exibir permissões e CloudFormation modelo de função de membro.
-
Os tópicos subsequentes desta seção fornecem detalhes e considerações adicionais para cada tipo de configuração. Para IAM funções, isso inclui as políticas de confiança e permissões a serem anexadas a uma função. Se você não tiver certeza de qual tipo de configuração é melhor para seu ambiente, peça ajuda ao AWS administrador.
Usando credenciais de IAM usuário para acessar objetos do S3 afetados
Se você configurar o Amazon Macie para recuperar amostras de dados confidenciais usando credenciais de IAM usuário, cada usuário da sua conta Macie usará sua IAM identidade para localizar, recuperar, criptografar e revelar amostras para descobertas individuais. Isso significa que um usuário pode recuperar e revelar amostras de dados confidenciais para uma descoberta se sua IAM identidade tiver permissão para acessar os recursos e dados necessários e realizar as ações necessárias. Todas as ações necessárias estão registradas em AWS CloudTrail.
Para recuperar e revelar amostras de dados confidenciais de uma descoberta específica, o usuário precisa ter permissão para acessar os seguintes dados e recursos: a descoberta; o resultado correspondente da descoberta de dados confidenciais, o bucket afetado do S3 e o objeto afetado do S3. Eles também devem ter permissão para usar o AWS KMS key que foi usado para criptografar o objeto afetado, se aplicável, e o AWS KMS key que você configura o Macie para usar para criptografar amostras de dados confidenciais. Se alguma IAM política, política de recursos ou outras configurações de permissão negar o acesso necessário, o usuário não poderá recuperar e revelar amostras da descoberta.
Para definir esse tipo de configuração, conclua as seguintes tarefas gerais:
-
Verifique se você configurou um repositório para os resultados da descoberta de dados confidenciais.
-
Configure o AWS KMS key para uso na criptografia de amostras de dados confidenciais.
-
Verifique suas permissões para definir as configurações no Macie.
-
Configure e ative as configurações no Macie.
Para obter informações sobre como realizar essas tarefas, consulte Configurando o Macie para recuperar amostras de dados confidenciais.
Assumindo uma IAM função para acessar objetos do S3 afetados
Para configurar o Amazon Macie para recuperar amostras de dados confidenciais assumindo uma IAM função, comece criando uma IAM função que delegue acesso ao Amazon Macie. Garanta que as políticas de confiança e permissões do perfil atendam a todos os requisitos para que o Macie assuma o perfil. Quando um usuário da sua conta do Macie optar por recuperar e revelar amostras de dados confidenciais para uma descoberta, o Macie assumirá a função de recuperar as amostras do objeto afetado do S3. O Macie só assume o perfil quando um usuário opta por recuperar e revelar amostras para uma descoberta. Para assumir a função, Macie usa a AssumeRoleoperação do AWS Security Token Service (AWS STS)API. Todas as ações necessárias estão logadas. AWS CloudTrail
Para recuperar e revelar amostras de dados confidenciais para uma descoberta específica, o usuário deve ter permissão para acessar a descoberta, o resultado correspondente da descoberta de dados confidenciais e o AWS KMS key que você configura o Macie para usar para criptografar amostras de dados confidenciais. A IAM função deve permitir que o Macie acesse o bucket do S3 afetado e o objeto do S3 afetado. A função também deve ter permissão para usar o AWS KMS key que foi usado para criptografar o objeto afetado, se aplicável. Se alguma IAM política, política de recursos ou outras configurações de permissão negar o acesso necessário, o usuário não poderá recuperar e revelar amostras da descoberta.
Para definir esse tipo de configuração, conclua as seguintes tarefas gerais. Se você tiver uma conta de membro em uma organização, trabalhe com o administrador do Macie para determinar se e como definir as configurações e os recursos da sua conta.
-
Defina o seguinte:
-
O nome da IAM função que você quer que Macie assuma. Se sua conta fizer parte de uma organização, esse nome deverá ser o mesmo para a conta de administrador delegada do Macie e para cada conta de membro aplicável na organização. Caso contrário, o administrador do Macie não poderá acessar os objetos afetados do S3 para uma conta de membro aplicável.
-
O nome da política de IAM permissões a ser anexada à IAM função. Se sua conta fizer parte de uma organização, recomendamos que você use o mesmo nome de política para cada conta de membro aplicável na organização. Isso pode simplificar o provisionamento e o gerenciamento do perfil nas contas dos membros.
-
-
Verifique se você configurou um repositório para os resultados da descoberta de dados confidenciais.
-
Configure o AWS KMS key para uso na criptografia de amostras de dados confidenciais.
-
Verifique suas permissões para criar IAM funções e definir as configurações no Macie.
-
Se você for o administrador delegado do Macie para uma organização ou se tiver uma conta autônoma no Macie:
-
Crie e configure a IAM função para sua conta. Garanta que as políticas de confiança e permissões do perfil atendam a todos os requisitos para que o Macie assuma o perfil. Para obter detalhes sobre esses requisitos, consulte o próximo tópico.
-
Configure e ative as configurações no Macie. Em seguida, o Macie vai gerar um ID externo para a configuração. Se você for o administrador do Macie para uma organização, anote esse ID. A política de confiança para a IAM função em cada uma das contas de membros aplicáveis deve especificar essa ID.
-
-
Se você tiver uma conta de membro em uma organização:
-
Peça ao administrador do Macie o ID externo a ser especificado na política de confiança para a IAM função em sua conta. Verifique também o nome da IAM função e da política de permissões a ser criada.
-
Crie e configure a IAM função para sua conta. Garanta que as políticas de confiança e permissões do perfil atendam a todos os requisitos para que o seu administrador do Macie assuma o perfil. Para obter detalhes sobre esses requisitos, consulte o próximo tópico.
-
(Opcional) Se você quiser recuperar e revelar amostras de dados confidenciais de objetos afetados do S3 para sua própria conta, defina e ative as configurações no Macie. Se você quiser que Macie assuma uma IAM função para recuperar as amostras, comece criando e configurando uma IAM função adicional em sua conta. Garanta que as políticas de confiança e permissões para esse perfil adicional atendam a todos os requisitos para que o Macie assuma o perfil. Em seguida, defina as configurações no Macie e especifique o nome desse perfil adicional. Para obter detalhes sobre os requisitos de política para o perfil, consulte o próximo tópico.
-
Para obter informações sobre como realizar essas tarefas, consulte Configurando o Macie para recuperar amostras de dados confidenciais.
Configurando uma IAM função para acessar objetos do S3 afetados
Para acessar os objetos afetados do S3 usando uma IAM função, comece criando e configurando uma função que delega acesso ao Amazon Macie. Garanta que as políticas de confiança e permissões do perfil atendam a todos os requisitos para que o Macie assuma o perfil. A maneira de fazer isso dependerá do seu tipo de conta Macie.
As seções a seguir fornecem detalhes sobre as políticas de confiança e permissões a serem anexadas à IAM função de cada tipo de conta do Macie. Escolha a seção para o tipo de conta que você tem.
nota
Se você tiver uma conta de membro em uma organização, talvez seja necessário criar e configurar duas IAM funções para sua conta:
-
Para permitir que seu administrador do Macie recupere e revele amostras de dados confidenciais de objetos afetados do S3 para sua conta, crie e configure um perfil que a conta do seu administrador possa assumir. Para obter esses detalhes, escolha a seção de conta de membro do Macie.
-
Para recuperar e revelar amostras de dados confidenciais de objetos afetados do S3 para sua própria conta, crie e configure um perfil que seu Macie possa assumir. Para obter esses detalhes, escolha a seção de conta autônoma do Macie.
Antes de criar e configurar qualquer IAM função, trabalhe com o administrador do Macie para determinar a configuração apropriada para sua conta.
Para obter informações detalhadas sobre como usar IAM para criar a função, consulte Criação de uma função usando políticas de confiança personalizadas no Guia AWS Identity and Access Management do usuário.
Se você for o administrador delegado do Macie de uma organização, comece usando o editor de políticas para criar a IAM política de permissões para a IAM função. A política deve seguir o exemplo abaixo.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RetrieveS3Objects", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "*" ] }, { "Sid": "AssumeMacieRevealRoleForCrossAccountAccess", "Effect": "Allow", "Action": [ "sts:AssumeRole" ], "Resource": "arn:aws:iam::*:role/IAMRoleName" } ] }
Em que IAMRoleName é o nome da IAM função que Macie deve assumir ao recuperar amostras de dados confidenciais dos objetos do S3 afetados para as contas da sua organização. Substitua esse valor pelo nome do perfil que você está criando para sua conta e planeja criar para contas de membros aplicáveis em sua organização. Esse nome deve ser o mesmo para sua conta de administrador do Macie e para cada conta de membro aplicável.
nota
Na política de permissões anterior, o elemento Resource na primeira instrução usa um caractere curinga (*). Isso permite que uma IAM entidade anexada recupere objetos de todos os buckets do S3 que sua organização possui. Para permitir esse acesso somente para buckets específicos, substitua o caractere curinga pelo Amazon Resource Name (ARN) de cada bucket. Por exemplo, para permitir acesso somente a objetos em um bucket chamado amzn-s3-demo-bucket1, altere o elemento para:
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*"
Também é possível restringir o acesso a objetos em buckets específicos do S3 para contas individuais. Para fazer isso, especifique o bucket ARNs no Resource elemento da política de permissões para a IAM função em cada conta aplicável. Para obter mais informações e exemplos, consulte elementos IAM JSON de política: Recurso no Guia AWS Identity and Access Management do usuário.
Depois de criar a política de permissões para a IAM função, crie e configure a função. Se você fizer isso usando o IAM console, escolha Política de confiança personalizada como o tipo de entidade confiável para a função. Especifique o seguinte para a política de confiança que define entidades confiáveis para o perfil.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowMacieReveal", "Effect": "Allow", "Principal": { "Service": "reveal-samples.macie.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "accountID" } } } ] }
Em que accountID é o ID da conta do seu Conta da AWS. Substitua esse valor pelo seu ID de conta com 12 dígitos.
Na política de confiança anterior:
-
O elemento
Principalespecifica a entidade principal de serviço que o Macie usa ao recuperar amostras de dados confidenciais dos objetos afetados do S3,reveal-samples.macie.amazonaws.com. -
O
Actionelemento especifica a ação que o principal do serviço pode realizar, a AssumeRoleoperação do AWS Security Token Service (AWS STS)API. -
O
Conditionelemento define uma condição que usa a chave de contexto aws: condição SourceAccount global. Essa condição determina qual conta pode realizar a ação especificada. Nesse caso, ele permite que Macie assuma a função somente para a conta especificada (accountID). A condição ajuda a evitar que Macie seja usada como representante confusa durante transações com AWS STS.
Depois de definir a política de confiança para a IAM função, anexe a política de permissões à função. Essa deve ser a política de permissões que você criou antes de começar a criar o perfil. Em seguida, conclua as etapas restantes IAM para concluir a criação e configuração da função. Ao terminar, defina e ative as configurações no Macie.
Se você tiver uma conta de membro do Macie e quiser permitir que seu administrador do Macie recupere e revele amostras de dados confidenciais dos objetos afetados do S3 para sua conta, comece solicitando as seguintes informações ao administrador do Macie:
-
O nome da IAM função a ser criada. O nome deve ser igual para sua conta e para a conta de administrador do Macie da sua organização.
-
O nome da política de IAM permissões a ser anexada à função.
-
O ID externo para especificar na política de confiabilidade do perfil. Esse ID deve ser o ID externo que o Macie gerou para a configuração do administrador do Macie.
Depois de receber essas informações, use o editor IAM de políticas para criar a política de permissões para a função. A política deve seguir o exemplo abaixo.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RetrieveS3Objects", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "*" ] } ] }
A política de permissões anterior permite que uma IAM entidade anexada recupere objetos de todos os buckets do S3 da sua conta. Isso acontece porque o elemento Resource na política usa um caractere curinga (*). Para permitir esse acesso somente para buckets específicos, substitua o caractere curinga pelo Amazon Resource Name (ARN) de cada bucket. Por exemplo, para permitir acesso somente a objetos em um bucket chamado amzn-s3-demo-bucket2, altere o elemento para:
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket2/*"
Para obter mais informações e exemplos, consulte elementos IAM JSON de política: Recurso no Guia AWS Identity and Access Management do usuário.
Depois de criar a política de permissões para a IAM função, crie a função. Se você criar a função usando o IAM console, escolha Política de confiança personalizada como o tipo de entidade confiável para a função. Especifique o seguinte para a política de confiança que define entidades confiáveis para o perfil.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowMacieAdminRevealRoleForCrossAccountAccess", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::administratorAccountID:role/IAMRoleName" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "sts:ExternalId": "externalID", "aws:PrincipalOrgID": "${aws:ResourceOrgID}" } } } ] }
Na política anterior, substitua os valores do espaço reservado pelos valores corretos para seu AWS ambiente, onde:
-
administratorAccountIDé o ID da conta de 12 dígitos da sua conta de administrador do Macie. -
IAMRoleNameé o nome da IAM função na sua conta de administrador do Macie. Deve ser o nome que você recebeu do administrador do Macie. -
externalIDé a ID externa que você recebeu do administrador do Macie.
Em geral, a política de confiança permite que o administrador do Macie assuma o perfil para recuperar e revelar amostras de dados confidenciais de objetos afetados do S3 para sua conta. O Principal elemento especifica a função ARN de uma IAM função na sua conta de administrador do Macie. Esse é o perfil que o administrador do Macie usa para recuperar e revelar amostras de dados confidenciais das contas da sua organização. O bloco Condition define duas condições que determinam adicionalmente quem pode assumir o perfil:
-
A primeira condição especifica um ID externo exclusivo para a configuração da sua organização. Para saber mais sobre o externoIDs, consulte Contas da AWS Acesso a terceiros no Guia do AWS Identity and Access Management usuário.
-
A segunda condição usa a chave de contexto de condição global aws: PrincipalOrg ID. O valor da chave é uma variável dinâmica que representa o identificador exclusivo de uma organização em AWS Organizations (
${aws:ResourceOrgID}). A condição restringe o acesso somente às contas que fazem parte da mesma organização no AWS Organizations. Se você tiver ingressado na sua organização aceitando um convite no Macie, remova essa condição da política.
Depois de definir a política de confiança para a IAM função, anexe a política de permissões à função. Essa deve ser a política de permissões que você criou antes de começar a criar o perfil. Em seguida, conclua as etapas restantes IAM para concluir a criação e configuração da função. Não defina nem insira configurações para o perfil no Macie.
Se você tiver uma conta autônoma do Macie ou uma conta de membro do Macie e quiser recuperar e revelar amostras de dados confidenciais dos objetos do S3 afetados para sua própria conta, comece usando o editor de políticas para criar a IAM política de permissões para a função. IAM A política deve seguir o exemplo abaixo.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RetrieveS3Objects", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "*" ] } ] }
Na política de permissões anterior, o elemento Resource usa um caractere curinga (*). Isso permite que uma IAM entidade anexada recupere objetos de todos os buckets do S3 da sua conta. Para permitir esse acesso somente para buckets específicos, substitua o caractere curinga pelo Amazon Resource Name (ARN) de cada bucket. Por exemplo, para permitir acesso somente a objetos em um bucket chamado amzn-s3-demo-bucket3, altere o elemento para:
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket3/*"
Para obter mais informações e exemplos, consulte elementos IAM JSON de política: Recurso no Guia AWS Identity and Access Management do usuário.
Depois de criar a política de permissões para a IAM função, crie a função. Se você criar a função usando o IAM console, escolha Política de confiança personalizada como o tipo de entidade confiável para a função. Especifique o seguinte para a política de confiança que define entidades confiáveis para o perfil.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowMacieReveal", "Effect": "Allow", "Principal": { "Service": "reveal-samples.macie.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "accountID" } } } ] }
Em que accountID é o ID da conta do seu Conta da AWS. Substitua esse valor pelo seu ID de conta com 12 dígitos.
Na política de confiança anterior:
-
O elemento
Principalespecifica a entidade principal de serviço que o Macie usa ao recuperar e revelar amostras de dados confidenciais dos objetos afetados do S3,reveal-samples.macie.amazonaws.com. -
O
Actionelemento especifica a ação que o principal do serviço pode realizar, a AssumeRoleoperação do AWS Security Token Service (AWS STS)API. -
O
Conditionelemento define uma condição que usa a chave de contexto aws: condição SourceAccount global. Essa condição determina qual conta pode realizar a ação especificada. Ele permite que Macie assuma a função somente para a conta especificada (accountID). A condição ajuda a evitar que Macie seja usada como representante confusa durante transações com AWS STS.
Depois de definir a política de confiança para a IAM função, anexe a política de permissões à função. Essa deve ser a política de permissões que você criou antes de começar a criar o perfil. Em seguida, conclua as etapas restantes IAM para concluir a criação e configuração da função. Ao terminar, defina e ative as configurações no Macie.
Como descriptografar objetos afetados do S3
O Amazon S3 oferece suporte a várias opções de criptografia para objetos do S3. Para a maioria dessas opções, nenhum recurso ou permissão adicional é necessário para que um IAM usuário ou uma função decodifique e recupere amostras de dados confidenciais de um objeto afetado. Esse é o caso para um objeto criptografado usando criptografia no lado do servidor com uma chave gerenciada pelo Amazon S3 ou uma AWS KMS key gerenciada pela AWS .
No entanto, se um objeto do S3 for criptografado com um cliente gerenciado AWS KMS key, serão necessárias permissões adicionais para descriptografar e recuperar amostras de dados confidenciais do objeto. Mais especificamente, a política de chaves da KMS chave deve permitir que o IAM usuário ou a função executem a kms:Decrypt ação. Caso contrário, ocorrerá um erro e o Amazon Macie não recuperará nenhuma amostra do objeto. Para saber como fornecer esse acesso a um IAM usuário, consulte os KMSprincipais acessos e permissões no Guia do AWS Key Management Service desenvolvedor.
A forma de fornecer esse acesso para uma IAM função depende se a conta proprietária da AWS KMS key também possui a função:
-
Se a mesma conta possuir a KMS chave e a função, um usuário da conta precisará atualizar a política da chave.
-
Se uma conta possuir a KMS chave e uma conta diferente possuir a função, um usuário da conta que possui a chave deverá permitir o acesso entre contas à chave.
Este tópico descreve como realizar essas tarefas para uma IAM função que você criou para recuperar amostras de dados confidenciais de objetos do S3. Ele também fornece exemplos para os dois cenários. Para obter informações sobre como permitir o acesso ao cliente gerenciado AWS KMS keys em outros cenários, consulte os KMSprincipais acessos e permissões no Guia do AWS Key Management Service desenvolvedor.
Permitir acesso da mesma conta a uma chave gerenciada pelo cliente
Se a mesma conta possuir a função AWS KMS key e a IAM função, um usuário da conta precisará adicionar uma declaração à política da chave. A declaração adicional deve permitir que a IAM função decifre dados usando a chave. Para obter informações detalhadas sobre como atualizar uma política principal, consulte Alterar uma política de chave no Guia do desenvolvedor AWS Key Management Service .
Na declaração:
-
O
Principalelemento deve especificar o Amazon Resource Name (ARN) da IAM função. -
O array
Actiondeve especificar a açãokms:Decrypt. Essa é a única AWS KMS ação que a IAM função deve ter permissão para descriptografar um objeto criptografado com a chave.
Veja a seguir um exemplo da declaração a ser adicionada à política de uma KMS chave.
{ "Sid": "Allow the Macie reveal role to use the key", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:role/IAMRoleName" }, "Action": [ "kms:Decrypt" ], "Resource": "*" }
No exemplo anterior:
-
O
AWScampo noPrincipalelemento especifica ARN a IAM função na conta. Ele permite que a função execute a ação especificada pela declaração de política.123456789012é um exemplo de ID de conta. Substitua esse valor pelo ID da conta que possui a função e a KMS chave.IAMRoleNameé um nome de exemplo. Substitua esse valor pelo nome da IAM função na conta. -
A
Actionmatriz especifica a ação que a IAM função pode realizar usando a KMS chave — descriptografar o texto cifrado que é criptografado com a chave.
O local em que você adiciona essa declaração a uma política de chave depende da estrutura e dos elementos que a política contém atualmente. Ao adicionar a instrução, certifique-se de que a sintaxe seja válida. As principais políticas usam o JSON formato. Isso significa que você também precisa adicionar uma vírgula antes ou depois da declaração, dependendo de onde você adiciona a declaração à política.
Permitir acesso entre contas a uma chave gerenciada pelo cliente
Se uma conta possuir o AWS KMS key (proprietário da chave) e uma conta diferente possuir a IAM função (proprietário da função), o proprietário da chave deverá fornecer ao proprietário da função acesso cruzado à chave. Uma maneira de fazer isso é usando uma concessão Uma concessão é um instrumento de política que permite que AWS os diretores usem KMS chaves em operações criptográficas se as condições especificadas pela concessão forem atendidas. Para saber mais sobre concessões, consulte Subsídios AWS KMS no AWS Key Management Service Guia do desenvolvedor.
Com essa abordagem, primeiro o proprietário da chave garante que a política da chave permita que o proprietário do perfil crie uma concessão para a chave. Em seguida, o proprietário do perfil criará uma concessão para a chave. A concessão delega as permissões relevantes para a IAM função em sua conta. Ele permite que o perfil decifre objetos do S3 que são criptografados com a chave.
Etapa 1: atualizar a política de chave
Na política de chaves, o proprietário da chave deve garantir que a política inclua uma declaração que permita ao proprietário da função criar uma concessão para a IAM função em sua conta (do proprietário da função). Nessa declaração, o Principal elemento deve especificar a conta ARN do proprietário da função. O array Action deve especificar a ação kms:CreateGrant. Um bloco Condition pode filtrar o acesso à ação especificada. Veja a seguir um exemplo dessa declaração na política de uma KMS chave.
{ "Sid": "Allow a role in an account to create a grant", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": [ "kms:CreateGrant" ], "Resource": "*", "Condition": { "StringEquals": { "kms:GranteePrincipal": "arn:aws:iam::111122223333:role/IAMRoleName" }, "ForAllValues:StringEquals": { "kms:GrantOperations": "Decrypt" } } }
No exemplo anterior:
-
O
AWScampo noPrincipalelemento especifica a conta ARN do proprietário da função. Ele permite que a conta execute a ação especificada pela declaração de política.111122223333é um exemplo de ID de conta. Substitua esse valor pelo ID da conta do proprietário do perfil. -
A
Actionmatriz especifica a ação que o proprietário da função pode realizar na KMS chave — criar uma concessão para a chave. -
O
Conditionbloco usa operadores de condição e as seguintes chaves de condição para filtrar o acesso à ação que o proprietário da função tem permissão para realizar na KMS chave:-
kms: GranteePrincipal — Essa condição permite que o proprietário da função crie uma concessão somente para o principal beneficiário especificado, que é o ARN da IAM função em sua conta. NissoARN,
111122223333é um exemplo de ID de conta. Substitua esse valor pelo ID da conta do proprietário do perfil.IAMRoleNameé um nome de exemplo. Substitua esse valor pelo nome da IAM função na conta do proprietário da função. -
kms: GrantOperations — Essa condição permite que o proprietário da função crie uma concessão somente para delegar permissão para realizar a AWS KMS
Decryptação (descriptografar texto cifrado criptografado com a chave). Isso impede que o proprietário da função crie concessões que delegam permissões para realizar outras ações na KMS chave. ADecryptação é a única AWS KMS ação que a IAM função deve poder realizar para descriptografar um objeto criptografado com a chave.
-
O local no qual o proprietário adicionará essa declaração a uma política de chave dependerá da estrutura e dos elementos atualmente contidos na política. Quando o proprietário da chave adiciona a declaração, ele deve garantir que a sintaxe seja válida. As principais políticas usam o JSON formato. Isso significa que você também precisa adicionar uma vírgula antes ou depois da declaração, dependendo de onde você adiciona a declaração à política. Para obter informações detalhadas sobre como atualizar uma política principal, consulte Alterar uma política de chave no Guia do desenvolvedor AWS Key Management Service .
Etapa 2: criar uma concessão
Depois que o proprietário da chave atualizar a política de chave conforme necessário, o proprietário do perfil criará uma concessão para a chave. A concessão delega as permissões relevantes à IAM função em sua conta (do proprietário da função). Antes que o proprietário do perfil crie a concessão, ele deverá verificar se tem permissão para realizar a ação kms:CreateGrant. Essa ação permite que ele adicione uma concessão a uma AWS KMS key existente gerenciada pelo cliente.
Para criar a concessão, o proprietário da função pode usar a CreateGrantoperação do AWS Key Management Service API. Quando o proprietário do perfil criar a concessão, ele deverá especificar os seguintes valores para os parâmetros necessários:
-
KeyId— O ARN da KMS chave. Para acesso entre contas a uma KMS chave, esse valor deve ser umARN. Não pode ser um ID de chave. -
GranteePrincipal— ARN A IAM função em sua conta. Esse valor deve serarn:aws:iam::, onde111122223333:role/IAMRoleName111122223333é o ID da conta do proprietário da função eIAMRoleNameé o nome da função. -
Operations— A ação de AWS KMS descriptografia ().DecryptEssa é a única AWS KMS ação que a IAM função deve ter permissão para descriptografar um objeto criptografado com a chave. KMS
Se o proprietário da função estiver usando o AWS Command Line Interface (AWS CLI), ele poderá executar o comando create-grant para criar a concessão. O exemplo a seguir mostra como. O exemplo está formatado para Microsoft Windows e usa o caractere de continuação de linha circunflexo (^) para melhorar a legibilidade.
C:\>aws kms create-grant ^ --key-idarn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab^ --grantee-principalarn:aws:iam::111122223333:role/^ --operations "Decrypt"IAMRoleName
Em que:
-
key-idespecifica ARN a KMS chave à qual aplicar a concessão. -
grantee-principalespecifica ARN a IAM função que tem permissão para realizar a ação especificada pela concessão. Esse valor deve corresponder ao ARN especificado pelakms:GranteePrincipalcondição na política de chaves. -
operationsespecifica a ação que a concessão permite que a entidade principal especificada execute: descriptografar o texto cifrado que foi criptografado com a chave.
Se o comando for executado com sucesso, você receberá um resultado semelhante ao seguinte.
{
"GrantToken": "<grant token>",
"GrantId": "1a2b3c4d2f5e69f440bae30eaec9570bb1fb7358824f9ddfa1aa5a0dab1a59b2"
}Onde GrantToken é uma string única, não secreta, de comprimento variável e codificada em base64 que representa a concessão que foi criada e GrantId é o identificador exclusivo da concessão.
