Recuperando amostras de dados confidenciais com as descobertas do Macie - Amazon Macie

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Recuperando amostras de dados confidenciais com as descobertas do Macie

Para verificar a natureza dos dados confidenciais que o Amazon Macie relata nas descobertas, você pode, opcionalmente, configurar e usar o Macie para recuperar e revelar amostras de dados confidenciais relatados por determinadas descobertas. Isso inclui dados confidenciais que o Macie detectou usando identificadores de dados gerenciados e dados que correspondem aos critérios dos identificadores de dados personalizados. As amostras podem ajudar você a personalizar sua investigação sobre o objeto e o bucket afetados do Amazon Simple Storage Service (Amazon S3).

Se você recuperar e revelar amostras de dados confidenciais para uma descoberta, o Macie executará as seguintes tarefas gerais:

  1. Verifica se a descoberta especifica a localização de determinadas ocorrências de dados confidenciais e a localização de um resultado da descoberta de dados confidenciais correspondente.

  2. Avalia o resultado correspondente da descoberta de dados confidenciais, verificando a validade dos metadados do objeto afetado do S3 e os dados de localização para ocorrências de dados confidenciais no objeto.

  3. Ao usar dados no resultado da descoberta de dados confidenciais, localiza as primeiras 1 a 10 ocorrências de dados confidenciais relatadas pela descoberta e extrai os primeiros 1 a 128 caracteres de cada ocorrência do objeto do S3 afetado. Se a descoberta relatar vários tipos de dados confidenciais, o Macie fará isso para até cem tipos.

  4. Criptografa os dados extraídos com uma chave AWS Key Management Service (AWS KMS) especificada por você.

  5. Armazena temporariamente os dados criptografados em um cache e exibe os dados para você revisar. Os dados são criptografados o tempo todo, tanto em trânsito quanto em repouso.

  6. Logo após a extração e a criptografia, ele exclui permanentemente os dados do cache, a menos que uma retenção adicional seja temporariamente necessária para resolver um problema operacional.

Se você optar por recuperar e revelar amostras de dados confidenciais para uma descoberta novamente, o Macie repetirá essas tarefas para localizar, extrair, criptografar, armazenar e, por fim, excluir as amostras.

O Macie não usa o perfil vinculado a serviços do Macie em sua conta para realizar essas tarefas. Em vez disso, você usa sua identidade AWS Identity and Access Management (IAM) ou permite que Macie assuma uma IAM função em sua conta. É possível recuperar e revelar amostras de dados confidenciais para uma descoberta se você ou o perfil tiver permissão para acessar os recursos e dados necessários, e também para realizar as ações necessárias. Todas as ações necessárias estão logadas. AWS CloudTrail

Importante

Recomendamos que você restrinja o acesso a essa funcionalidade usando IAMpolíticas personalizadas. Para controle de acesso adicional, recomendamos que você também crie um dedicado AWS KMS key para criptografia de amostras de dados confidenciais que são recuperadas e restrinja o uso da chave somente aos principais que devem ter permissão para recuperar e revelar amostras de dados confidenciais.

Para obter recomendações e exemplos de políticas que você pode usar para controlar o acesso a essa funcionalidade, consulte a postagem do blog Como usar o Amazon Macie para pré-visualizar dados confidenciais em buckets do S3 no blog de segurança AWS .

Os tópicos desta seção explicam como configurar e usar o Macie para recuperar e revelar amostras de dados confidenciais para as descobertas. Você pode realizar essas tarefas em todas as Regiões da AWS em que o Macie está atualmente disponível, exceto nas regiões Asia Pacific (Osaka) e Israel (Tel Aviv).

Tópicos