本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
您可以配置并使用 Amazon Macie 来检索和显示 Macie 在单独的调查发现中报告的敏感数据样本。这些样本可以帮助您验证 Macie 发现的敏感数据的性质。他们还可以帮助您对受影响的 Amazon Simple Storage Service (Amazon S3) 对象和存储桶定制调查。您可在当前可用的 Macie 所有 AWS 区域 中检索和显示敏感数据样本,亚太地区(大阪)和以色列(特拉维夫)地区除外。
当您检索和显示调查发现的敏感数据样本时,Macie 会使用相应敏感数据调查发现中的数据来定位受影响的 S3 对象中的敏感数据。然后,Macie 从受影响的对象中提取这些事件样本。Macie 使用您指定的 AWS Key Management Service (AWS KMS) 密钥对提取的数据进行加密,将加密的数据临时存储在缓存中,然后返回结果中的数据以进行查找。解压缩和加密后不久,Macie 会从缓存中永久删除数据,除非临时需要额外保留以解决操作问题。
要检索和显示调查发现的敏感数据样本,首先需要配置并启用您的 Macie 账户设置。此外还需要为您的账户配置支持资源和权限。本节中的主题将指导您完成配置 Macie 以检索和显示敏感数据样本以及管理账户配置状态的过程。
提示
有关您想要控制访问此功能的策略建议和样本,请参阅AWS 安全博客
开始前的准备工作
请首先完成以下任务,以确保您拥有所需的资源和权限,然后再配置 Amazon Macie 来检索和显示调查发现的敏感数据样本。
如果您已配置了 Macie 来检索和显示敏感数据样本,只需要更改配置设置,则这些任务是可选的。
第 1 步:配置用于存储敏感数据发现结果的存储库
当您检索和显示调查发现的敏感数据样本时,Macie 会使用相应敏感数据调查发现中的数据来定位受影响的 S3 对象中的敏感数据。因此,请务必确认您已配置了用于存储敏感数据发现结果的存储库。否则,Macie 将无法找到您想要检索与显示的敏感数据样本。
要确定您的账户是否已经配置了此存储库,请在 Amazon Macie 控制台的导航窗格中选择发现结果(在设置下)。要以编程方式执行此GetClassificationExportConfiguration操作,请使用亚马逊 Macie API 的操作。要详细了解敏感数据发现结果以及如何配置此存储库,请参阅 存储和保留敏感数据发现结果。
第 2 步:确定如何访问受影响的 S3 对象
您可以通过两种方法来访问受影响的 S3 对象并从中检索敏感数据样本。您可以将 Macie 配置为使用您的 AWS Identity and Access Management (IAM) 用户证书。您也可以将 Macie 配置为代入一个向 Macie 委派访问权限的 IAM 角色。这两种配置可以用于任何类型的 Macie 账户,例如组织的委派 Macie 管理员账户、组织中的 Macie 成员账户或独立的 Macie 账户。在 Macie 中配置设置之前,首先需要确定要使用哪种访问方法。有关每种访问方法的选项和要求的详细信息,请参阅 用于检索样本的配置选项。
如果您计划使用 IAM 角色,请首先创建并配置该角色,然后再在 Macie 中配置设置。此外还需要确保该角色的信任和权限策略满足 Macie 代入该角色的所有要求。如果您的账户属于集中管理多个 Macie 账户的组织,请首先联系您的 Macie 管理员,确定是否能够以及如何为您的账户配置该角色。
步骤 3:配置 AWS KMS key
当您检索和显示某项发现的敏感数据样本时,Macie 会使用您指定的 AWS Key Management Service (AWS KMS) 密钥对样本进行加密。因此,您需要确定要用来加密样本的 AWS KMS key 。密钥可以是您自己账户中的现有 KMS 密钥,也可以是其他账户当前拥有的 KMS 密钥。要使用其他账户拥有的密钥,请获取此密钥的 Amazon 资源名称(ARN)。在 Macie 中输入设置时,您需要指定此 ARN。
KMS 密钥必须是客户自主管理的对称加密密钥。它还必须是与你的 Macie 账户 AWS 区域 相同的单区域密钥。KMS 密钥可以置于外部密钥存储。但是,与完全在 AWS KMS中管理的密钥相比,密钥可能更慢且更不可靠。您要检索和显示的敏感数据样本遇到延迟或可用性问题,使 Macie 无法加密,则会发生错误,并且 Macie 不会为该调查发现返回任何样本。
此外,密钥的密钥策略必须允许相应的委托人(IAM 角色、IAM 用户或 AWS 账户)执行以下操作:
-
kms:Decrypt -
kms:DescribeKey -
kms:GenerateDataKey
重要
作为额外的访问控制层,我们建议您创建专用 KMS 密钥,以加密检索到的敏感数据样本,并限制该密钥的使用,使其仅限需要检索和显示敏感数据样本的主体。如果不允许用户对密钥执行上述操作,Macie 会拒绝用户检索和显示敏感数据样本的请求。Macie 没有为该调查发现返回任何样本。
有关创建和配置 KMS 密钥的信息,请参阅《AWS Key Management Service 开发人员指南》中的创建 KMS 密钥。有关密钥政策和管理 KMS 密钥访问权限的信息,请参阅《AWS Key Management Service 开发人员指南》中的 AWS KMS的主要策略。
第 4 步:验证您的权限
在 Macie 中配置设置之前,还需要确认自己拥有所需的权限。要验证您的权限,请使用 AWS Identity and Access Management (IAM) 查看附加到您的 IAM 身份的 IAM 策略。然后将这些策略中的信息与以下必须允许您执行的操作列表进行比较。
- Amazon Macie
-
对于 Macie,请确认允许您执行以下操作:
-
macie2:GetMacieSession -
macie2:UpdateRevealConfiguration
第一个操作允许您访问您的 Macie 账户。第二个操作让您可以更改有关检索和显示敏感数据样本的配置设置。这包括启用和禁用您账户的配置。
(可选)验证您是否也被允许执行
macie2:GetRevealConfiguration操作。此操作让您可以检索当前的配置设置以及您账户当前的配置状态。 -
- AWS KMS
-
如果您计划使用 Amazon Macie 控制台输入配置设置,还要确认是否允许您执行以下 AWS Key Management Service (AWS KMS) 操作:
-
kms:DescribeKey -
kms:ListAliases
这些操作允许您检索账户 AWS KMS keys 的相关信息。然后,您可以在输入设置时选择其中一个密钥。
-
- IAM
-
如果您计划将 Macie 配置为通过代入某个 IAM 角色来检索和显示敏感数据样本,则还需要确认您是否有执行以下 IAM 操作的权限:
iam:PassRole。此操作让您能够将该角色传递给 Macie,从而让 Macie 能够代入该角色。当您输入账户的配置设置时,Macie 还可以验证您的账户中是否存在该角色以及配置是否正确。
如果不允许你执行必要的操作,请向 AWS 管理员寻求帮助。
配置和启用 Macie 设置
确认自己拥有所需的资源和权限后,您可以在 Amazon Macie 中配置设置并为您的账户启用该配置。
如果您的账户属于集中管理多个 Macie 账户的组织,在配置或随后更改账户设置之前,应注意以下要求:
-
如果您有成员账户,请联系您的 Macie 管理员以确定是否能够以及如何配置账户的设置。您的 Macie 管理员可以协助您确定账户的正确配置设置。
-
如果您拥有 Macie 管理员账户,并且更改了有关访问受影响的 S3 对象的设置,则您的更改可能会影响您组织的其他账户和资源。这取决于 Macie 当前是否配置为担任 AWS Identity and Access Management (IAM) 角色来检索敏感数据示例。如果属于这种情况,并且您将 Macie 重新配置为使用 IAM 用户凭证,则 Macie 会永久删除该 IAM 角色的现有设置,即您配置的角色名称和外部 ID。如果您的组织随后选择重新使用 IAM 角色,则需要在信任策略中为每个相关成员账户中的角色指定新的外部 ID。
要详细了解这两种账户的配置选项和要求,请参阅 用于检索样本的配置选项。
要在 Macie 中配置设置并为您的账户启用该配置,您可以使用 Amazon Macie 控制台或 Amazon Macie API。
按照以下步骤,使用 Amazon Macie 控制台配置和启用设置。
配置和启用 Macie 设置
打开亚马逊 Macie 主机,网址为。https://console.aws.amazon.com/macie/
-
使用页面右上角的 AWS 区域 选择器,选择要配置的区域,并允许 Macie 检索和显示敏感数据样本。
-
在导航窗格中的 设置 下,选择 展示样本。
-
在 Settings(设置)部分中,选择 Edit(编辑)。
-
对于状态,选择已启用。
-
在访问下,指定从受影响的 S3 对象检索敏感数据样本时要使用的访问方法和设置:
-
要使用向 Macie 委派访问权限的 IAM 角色,请选择代入 IAM 角色。如果您选择此选项,Macie 将使用您在中创建和配置的 IAM 角色来检索示例。 AWS 账户在角色名称对话框中,输入该角色的名称。
-
要使用请求样本的 IAM 用户的凭证,请选择使用 IAM 用户凭证。如果选择此选项,则您账户中的每个用户都将使用自己的 IAM 身份来检索样本。
-
-
在 “加密” 下 AWS KMS key ,指定要用于加密检索到的敏感数据样本的:
-
要使用您自己账户中的 KMS密钥,请选择从您的账户中选择一个密钥。然后,在AWS KMS key列表中,选择要使用的密钥。该列表显示您账户中现有的对称加密 KMS 密钥。
-
要使用其他账户拥有的 KMS 密钥,请选择输入另一个账户中密钥的 ARN。然后,在 AWS KMS key ARN 框内,输入要使用的密钥的 Amazon 资源名称(ARN),例如
arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab。
-
-
输入完设置后,选择保存。
Macie 会测试设置并验证设置是否正确。如果您将 Macie 配置为代入某个 IAM 角色,Macie 还会验证您的账户中是否存在该角色以及信任和权限策略的配置是否正确。如果存在问题,Macie 会显示一条描述相关问题的消息。
要解决有关的问题 AWS KMS key,请参阅前一主题中的要求并指定符合要求的 KMS 密钥。要解决有关 IAM 角色的问题,请首先确认您输入的角色名称是否正确。如果名称正确,请确保该角色的策略满足 Macie 代入该角色的所有要求。有关详细信息,请参阅 配置 IAM 角色以访问受影响的 S3 对象。解决所有问题后,您可以保存并启用设置。
注意
如果您是组织的 Macie 管理员,并且已将 Macie 配置为代入某个 IAM 角色,则在保存账户设置后,Macie 会生成并显示一个外部 ID。记下此 ID。您必须在每个相关成员账户中为该 IAM 角色的信任策略指定此 ID。否则,您将无法从这些账户拥有的 S3 对象中检索敏感数据样本。
禁用 Macie 设置
您可以随时禁用 Amazon Macie 账户的配置设置。如果您禁用该配置,Macie 会保留指定使用哪个设置 AWS KMS key 来加密检索到的敏感数据样本。Macie 会永久删除该配置的 Amazon S3 访问设置。
警告
禁用 Macie 账户的配置设置时,也将永久删除指定如何访问受影响的 S3 对象的当前设置。如果当前将 Macie 配置为通过担任 AWS Identity and Access Management (IAM) 角色来访问受影响的对象,则这包括:角色名称以及 Macie 为配置生成的外部 ID。这些设置在删除后将无法恢复。
要为您的 Macie 账户禁用配置设置,您可以使用 Amazon Macie 控制台或 Amazon Macie API。
按照以下步骤,使用 Amazon Macie 控制台为您的账户禁用配置设置。
禁用 Macie 设置
打开亚马逊 Macie 主机,网址为。https://console.aws.amazon.com/macie/
-
使用页面右上角的选择 AWS 区域 器,选择要禁用 Macie 账户配置设置的区域。
-
在导航窗格中的 设置 下,选择 展示样本。
-
在 Settings(设置)部分中,选择 Edit(编辑)。
-
对于状态,请选择禁用。
-
选择保存。
如果之前将 Macie 配置为代入 IAM 角色来检索敏感数据样本,则也可以选择删除该角色和该角色的权限策略。禁用账户的配置设置时,Macie 不会删除这些资源。此外,Macie 不会使用这些资源为您的账户执行任何其他任务。要删除该角色及其权限策略,您可以使用 IAM 控制台或 IAM API。有关更多信息,请参阅《AWS Identity and Access Management 用户指南》中的 删除角色。
