本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

配置 Macie 以检索敏感数据样本

您可以配置并使用 Amazon Macie 来检索和显示 Macie 在单独的调查发现中报告的敏感数据样本。这些样本可以帮助您验证 Macie 发现的敏感数据的性质。他们还可以帮助您对受影响的 Amazon Simple Storage Service (Amazon S3) 对象和存储桶定制调查。您可在当前可用的 Macie 所有 AWS 区域 中检索和显示敏感数据样本，亚太地区（大阪）和以色列（特拉维夫）地区除外。

当您检索和显示调查发现的敏感数据样本时，Macie 会使用相应敏感数据调查发现中的数据来定位受影响的 S3 对象中的敏感数据。然后，Macie 从受影响的对象中提取这些事件样本。Macie 使用您指定的 AWS Key Management Service (AWS KMS) 密钥对提取的数据进行加密，将加密的数据临时存储在缓存中，然后返回结果中的数据以进行查找。解压缩和加密后不久，Macie 会从缓存中永久删除数据，除非临时需要额外保留以解决操作问题。

要检索和显示调查发现的敏感数据样本，首先需要配置并启用您的 Macie 账户设置。此外还需要为您的账户配置支持资源和权限。本节中的主题将指导您完成配置 Macie 以检索和显示敏感数据样本以及管理账户配置状态的过程。

开始前的准备工作

请首先完成以下任务，以确保您拥有所需的资源和权限，然后再配置 Amazon Macie 来检索和显示调查发现的敏感数据样本。

如果您已配置了 Macie 来检索和显示敏感数据样本，只需要更改配置设置，则这些任务是可选的。

第 1 步：配置用于存储敏感数据发现结果的存储库

当您检索和显示调查发现的敏感数据样本时，Macie 会使用相应敏感数据调查发现中的数据来定位受影响的 S3 对象中的敏感数据。因此，请务必确认您已配置了用于存储敏感数据发现结果的存储库。否则，Macie 将无法找到您想要检索与显示的敏感数据样本。

要确定您的账户是否已经配置了此存储库，请在 Amazon Macie 控制台的导航窗格中选择发现结果（在设置下）。要以编程方式执行此操作，请使用 Ama API zon Macie 的GetClassificationExportConfiguration操作。要详细了解敏感数据发现结果以及如何配置此存储库，请参阅 存储和保留敏感数据发现结果。

第 2 步：确定如何访问受影响的 S3 对象

您可以通过两种方法来访问受影响的 S3 对象并从中检索敏感数据样本。您可以将 Macie 配置为使用您的 AWS Identity and Access Management (IAM) 用户凭证。或者，您可以将 Macie 配置为代入一个向 Macie 委派访问权限的IAM角色。这两种配置可以用于任何类型的 Macie 账户，例如组织的委派 Macie 管理员账户、组织中的 Macie 成员账户或独立的 Macie 账户。在 Macie 中配置设置之前，首先需要确定要使用哪种访问方法。有关每种访问方法的选项和要求的详细信息，请参阅 检索样本的配置选项。

如果您计划使用IAM角色，请先创建并配置该角色，然后再在 Macie 中配置设置。此外还需要确保该角色的信任和权限策略满足 Macie 代入该角色的所有要求。如果您的账户属于集中管理多个 Macie 账户的组织，请首先联系您的 Macie 管理员，确定是否能够以及如何为您的账户配置该角色。

步骤 3：配置 AWS KMS key

当您检索和显示某项发现的敏感数据样本时，Macie 会使用您指定的 AWS Key Management Service (AWS KMS) 密钥对样本进行加密。因此，您需要确定要用来加密样本的 AWS KMS key 。密钥可以是您自己账户中的现有KMS密钥，也可以是其他账户拥有的现有KMS密钥。如果您想使用其他账户拥有的密钥，请获取该密钥的 Amazon 资源名称 (ARN)。当你在 Macie 中输入配置设置ARN时，你需要指定这一点。

KMS密钥必须是客户管理的对称加密密钥。它还必须是与你的 Macie 账户 AWS 区域 相同的单区域密钥。KMS密钥可以存储在外部密钥库中。但是，与完全在 AWS KMS中管理的密钥相比，密钥可能更慢且更不可靠。您要检索和显示的敏感数据样本遇到延迟或可用性问题，使 Macie 无法加密，则会发生错误，并且 Macie 不会为该调查发现返回任何样本。

此外，密钥的密钥策略必须允许相应的委托人（IAM角色、IAM用户或 AWS 账户）执行以下操作：

有关创建和配置KMS密钥的信息，请参阅《AWS Key Management Service 开发人员指南》中的创建KMS密钥。有关使用密钥策略管理KMS密钥访问权限的信息，请参阅《AWS Key Management Service 开发人员指南》AWS KMS中的密钥策略。

第 4 步：验证您的权限

在 Macie 中配置设置之前，还需要确认自己拥有所需的权限。要验证您的权限，请使用 AWS Identity and Access Management (IAM) 查看附加到您的IAM身份的IAM策略。然后将这些策略中的信息与以下必须允许您执行的操作列表进行比较。

如果不允许你执行必要的操作，请向 AWS 管理员寻求帮助。

配置和启用 Macie 设置

确认自己拥有所需的资源和权限后，您可以在 Amazon Macie 中配置设置并为您的账户启用该配置。

如果您的账户属于集中管理多个 Macie 账户的组织，在配置或随后更改账户设置之前，应注意以下要求：

有关任一账户类型的配置选项和要求的详细信息，请参阅检索样本的配置选项。

要在 Macie 中配置设置并启用账户配置，您可以使用亚马逊 Macie 主机或亚马逊 Macie。API

Console

按照以下步骤，使用 Amazon Macie 控制台配置和启用设置。

配置和启用 Macie 设置

1. 打开亚马逊 Macie 主机，网址为。https://console.aws.amazon.com/macie/

2. 使用页面右上角的 AWS 区域 选择器，选择要配置的区域，并允许 Macie 检索和显示敏感数据样本。

3. 在导航窗格中的 设置 下，选择 展示样本。

4. 在 Settings（设置）部分中，选择 Edit（编辑）。

5. 对于状态，选择已启用。

6. 在访问下，指定从受影响的 S3 对象检索敏感数据样本时要使用的访问方法和设置：

   • 要使用向 Macie 委派访问权限的IAM角色，请选择代入IAM角色。如果您选择此选项，Macie 将使用您在中创建和配置的IAM角色来检索示例。 AWS 账户在角色名称对话框中，输入该角色的名称。

   • 要使用请求样本的IAM用户的证书，请选择使用IAM用户证书。如果您选择此选项，则您账户的每个用户都使用其个人IAM身份来检索样本。

7. 在 “加密” 下 AWS KMS key ，指定要用于加密检索到的敏感数据样本的：

   • 要使用您自己账户中的KMS密钥，请选择从您的账户中选择密钥。然后，在AWS KMS key列表中，选择要使用的密钥。该列表显示您账户的现有对称加密KMS密钥。

   • 要使用其他账户拥有的KMS密钥，请选择输入其他账户ARN的密钥。然后，在AWS KMS key ARN框中输入要使用的密钥的 Amazon 资源名称 (ARN)，例如。arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

8. 输入完设置后，选择保存。

Macie 会测试设置并验证设置是否正确。如果您将 Macie 配置为代入IAM角色，Macie 还会验证您的账户中是否存在该角色以及信任和权限策略的配置是否正确。如果存在问题，Macie 会显示一条描述相关问题的消息。

要解决有关的问题 AWS KMS key，请参阅前一主题中的要求并指定满足要求的KMS密钥。要解决IAM角色的问题，首先要验证您输入的角色名称是否正确。如果名称正确，请确保该角色的策略满足 Macie 代入该角色的所有要求。有关详细信息，请参阅 配置IAM角色以访问受影响的 S3 对象。解决所有问题后，您可以保存并启用设置。

注意

如果您是组织的 Macie 管理员，并且已将 Macie 配置为代入IAM角色，则在您保存帐户设置后，Macie 会生成并显示一个外部 ID。记下此 ID。每个适用的成员账户中该IAM角色的信任策略都必须指定此 ID。否则，您将无法从这些账户拥有的 S3 对象中检索敏感数据样本。

API

要以编程方式配置和启用设置，请使用 Ama API zon Macie 的UpdateRevealConfiguration操作。在请求中，请为支持的参数指定恰当的值：

• 对于 retrievalConfiguration 参数，请指定从受影响的 S3 对象检索敏感数据样本时要使用的访问方法和设置：

  • 要担任将访问权限委托给 Macie 的IAM角色，请ASSUME_ROLE为retrievalMode参数指定并指定该roleName参数的角色名称。如果您指定这些设置，Macie 将使用您在中创建和配置的IAM角色来检索示例。 AWS 账户

  • 要使用请求样本的IAM用户的证书，请CALLER_CREDENTIALS为retrievalMode参数指定。如果您指定此设置，则您的账户中的每位用户都使用其个人IAM身份来检索样本。

  重要

  如果您没有指定这些参数的值，Macie 会将访问方法（retrievalMode）设置为 CALLER_CREDENTIALS。如果 Macie 当前配置为使用IAM角色来检索示例，则 Macie 还会永久删除您配置的当前角色名称和外部 ID。要保留现有配置的这些设置，请在请求中包含 retrievalConfiguration 参数并指定这些参数的当前设置。要检索当前设置，请使用GetRevealConfiguration操作，或者，如果您使用的是 AWS Command Line Interface (AWS CLI)，则运行get-reveal-configuration命令。

• 在kmsKeyId参数中，指定要用于加密检索到的敏感数据样本的： AWS KMS key

  • 要使用您自己账户中的KMS密钥，请指定该密钥的 Amazon 资源名称 (ARN)、ID 或别名。如果指定别名，请包括alias/前缀，例如alias/ExampleAlias。

  • 要使用其他账户拥有的KMS密钥，请指定该密钥ARN的密钥，例如。arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab或者指定密钥ARN的别名，例如。arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias

• 对于 status 参数，请指定 ENABLED 以为您的 Macie 账户启用配置。

在您的请求中，还要确保指定要 AWS 区域 在其中启用并使用该配置。

要使用配置和启用设置 AWS CLI，请运行update-reveal-configuration命令并为支持的参数指定相应的值。例如，如果你在 Microsoft Windows AWS CLI 上使用，请运行以下命令：

C:\> aws macie2 update-reveal-configuration ^
--region us-east-1 ^
--configuration={\"kmsKeyId\":\"arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias\",\"status\":\"ENABLED\"} ^
--retrievalConfiguration={\"retrievalMode\":\"ASSUME_ROLE\",\"roleName\":\"MacieRevealRole\"}

其中：

• us-east-1 是启用和使用配置的区域。在本示例中，为美国东部（弗吉尼亚州北部）区域。

• arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias ARN是 AWS KMS key 要使用的别名。在此示例中，密钥由另一个账户拥有。

• ENABLED 为配置状态。

• ASSUME_ROLE 是要使用的访问方法。在此示例中，担任指定的IAM角色。

• MacieRevealRole 是 Macie 在检索敏感数据样本时要IAM扮演的角色的名称。

上述示例使用脱字号（^）续行字符来提高可读性。

当您提交请求时，Macie 会测试设置。如果您将 Macie 配置为代入IAM角色，Macie 还会验证您的账户中是否存在该角色以及信任和权限策略的配置是否正确。如果出现问题，您的请求将会失败，并且 Macie 会返回一条描述该问题的消息。要解决有关的问题 AWS KMS key，请参阅前一主题中的要求并指定满足要求的KMS密钥。要解决IAM角色的问题，首先要验证您指定的角色名称是否正确。如果名称正确，请确保该角色的策略满足 Macie 代入该角色的所有要求。有关详细信息，请参阅 配置IAM角色以访问受影响的 S3 对象。解决该问题后，请重新提交请求。

如果您的请求成功，Macie 会在指定区域为您的账户启用配置，您会收到与以下内容类似的输入。

{
  "configuration": {
    "kmsKeyId": "arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias",
    "status": "ENABLED"
  },
  "retrievalConfiguration": {
    "externalId": "o2vee30hs31642lexample",
    "retrievalMode": "ASSUME_ROLE",
    "roleName": "MacieRevealRole"
  }
}

其中，kmsKeyId指定用于对 AWS KMS key 检索到的敏感数据样本进行加密，并且status是您的 Macie 账户的配置状态。retrievalConfiguration 值指定检索样本时要使用的访问方法和设置。

注意

如果您是组织的 Macie 管理员，并且已将 Macie 配置为代入IAM角色，请记下响应中的外部 ID (externalId)。每个适用的成员账户中该IAM角色的信任策略都必须指定此 ID。否则，您将无法从这些账户拥有的受影响 S3 对象中检索敏感数据样本。

要随后检查您账户的配置设置或状态，请使用GetRevealConfiguration操作或运行get-reveal-configuration命令。 AWS CLI

禁用 Macie 设置

您可以随时禁用 Amazon Macie 账户的配置设置。如果您禁用该配置，Macie 会保留指定使用哪个设置 AWS KMS key 来加密检索到的敏感数据样本。Macie 会永久删除该配置的 Amazon S3 访问设置。

要禁用你的 Macie 账户的配置设置，你可以使用亚马逊 Macie 主机或亚马逊 Macie。API

Console

按照以下步骤，使用 Amazon Macie 控制台为您的账户禁用配置设置。

禁用 Macie 设置

1. 打开亚马逊 Macie 主机，网址为。https://console.aws.amazon.com/macie/

2. 使用页面右上角的选择 AWS 区域 器，选择要禁用 Macie 账户配置设置的区域。

3. 在导航窗格中的 设置 下，选择 展示样本。

4. 在 Settings（设置）部分中，选择 Edit（编辑）。

5. 对于状态，请选择禁用。

6. 选择保存。

API

要以编程方式禁用配置设置，请使用 Ama API zon Macie 的UpdateRevealConfiguration操作。在请求中，请务必指定要 AWS 区域 在其中禁用配置的。对于 status 参数，请指定 DISABLED。

要使用 AWS Command Line Interface (AWS CLI) 禁用配置设置，请运行update-reveal-configuration命令。使用 region 参数指定要在其中禁用该配置的区域。对于 status 参数，请指定 DISABLED。例如，如果你在 Microsoft Windows AWS CLI 上使用，请运行以下命令：

C:\> aws macie2 update-reveal-configuration --region us-east-1 --configuration={\"status\":\"DISABLED\"}

其中：

• us-east-1 是要在其中禁用配置的区域。在本示例中，为美国东部（弗吉尼亚州北部）区域。

• DISABLED 是配置的新状态。

如果您的请求成功，Macie 会在指定区域为您的账户禁用该配置，并且您会收到与以下类似的输出。

{
    "configuration": {
        "status": "DISABLED"
    }
}

其中 status 是 Macie 账户的新配置状态。

如果将 Macie 配置为IAM扮演检索敏感数据样本的角色，则可以选择删除该角色和该角色的权限策略。禁用账户的配置设置时，Macie 不会删除这些资源。此外，Macie 不会使用这些资源为您的账户执行任何其他任务。要删除角色及其权限策略，您可以使用IAM控制台或IAMAPI。有关更多信息，请参阅《AWS Identity and Access Management 用户指南》中的 删除角色。