Konfiguration von Amazon Macie für den Abruf und die Offenlegung sensibler Datenproben mit Ergebnissen - Amazon Macie
Bevor Sie beginnenKonfiguration und Aktivierung der Macie-EinstellungenDeaktivierung der Macie-Einstellungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfiguration von Amazon Macie für den Abruf und die Offenlegung sensibler Datenproben mit Ergebnissen

Sie können Amazon Macie optional konfigurieren und verwenden, um Stichproben vertraulicher Daten abzurufen und offenzulegen, die Macie als individuelle Ergebnisse sensibler Daten meldet. Anhand der Beispiele können Sie die Art der sensiblen Daten überprüfen, die Macie gefunden hat. Sie können Ihnen auch dabei helfen, Ihre Untersuchung eines betroffenen Amazon Simple Storage Service (Amazon S3) -Objekts und -Buckets maßgeschneidert zu gestalten. Sie können sensible Datenproben überall dort abrufen und offenlegen, AWS-Regionen wo Macie derzeit verfügbar ist, mit Ausnahme der Regionen Asien-Pazifik (Osaka) und Israel (Tel Aviv).

Wenn Sie Stichproben sensibler Daten für einen Befund abrufen und offenlegen, verwendet Macie die Daten aus dem entsprechenden Ermittlungsergebnis für sensible Daten, um das Vorkommen sensibler Daten im betroffenen S3-Objekt zu lokalisieren. Macie extrahiert dann Stichproben dieser Vorkommnisse aus dem betroffenen Objekt. Macie verschlüsselt die extrahierten Daten mit einem von Ihnen angegebenen Schlüssel AWS Key Management Service (AWS KMS), speichert die verschlüsselten Daten vorübergehend in einem Cache und gibt die Daten in Ihren Ergebnissen für die Suche zurück. Kurz nach dem Extrahieren und Verschlüsseln löscht Macie die Daten dauerhaft aus dem Cache, es sei denn, eine zusätzliche Aufbewahrung ist vorübergehend erforderlich, um ein Betriebsproblem zu lösen.

Um Stichproben vertraulicher Daten abzurufen und für Ergebnisse freizugeben, müssen Sie zunächst die Einstellungen für Ihr Macie-Konto konfigurieren und aktivieren. Außerdem müssen Sie unterstützende Ressourcen und Berechtigungen für Ihr Konto konfigurieren. Die Themen in diesem Abschnitt führen Sie durch die Konfiguration von Macie für den Abruf und die Offenlegung sensibler Datenproben sowie durch die Verwaltung des Status der Konfiguration für Ihr Konto.

Tipp

Empfehlungen und Beispiele für Richtlinien, mit denen Sie den Zugriff auf diese Funktion kontrollieren können, finden Sie im Blogbeitrag How to use Amazon Macie to preview sensitive data in S3 Buckets im AWSSecurity Blog.

Bevor Sie beginnen

Bevor Sie Amazon Macie so konfigurieren, dass Stichproben sensibler Daten für Ergebnisse abgerufen und offengelegt werden, führen Sie die folgenden Aufgaben durch, um sicherzustellen, dass Sie über die erforderlichen Ressourcen und Berechtigungen verfügen.

Diese Aufgaben sind optional, wenn Sie Macie bereits für den Abruf und die Offenlegung sensibler Datenproben konfiguriert haben und nur Ihre Konfigurationseinstellungen ändern möchten.

Schritt 1: Konfigurieren Sie ein Repository für die Ergebnisse der Erkennung sensibler Daten

Wenn Sie Stichproben sensibler Daten für einen Befund abrufen und offenlegen, verwendet Macie die Daten aus dem entsprechenden Ermittlungsergebnis für sensible Daten, um das Vorkommen sensibler Daten im betroffenen S3-Objekt zu lokalisieren. Daher ist es wichtig, zu überprüfen, ob Sie ein Repository für die Ergebnisse der Erkennung sensibler Daten konfiguriert haben. Andernfalls wird Macie nicht in der Lage sein, Stichproben sensibler Daten zu finden, die Sie abrufen und offenlegen möchten.

Um festzustellen, ob Sie dieses Repository für Ihr Konto konfiguriert haben, können Sie die Amazon Macie Macie-Konsole verwenden: Wählen Sie im Navigationsbereich Discovery-Ergebnisse (unter Einstellungen) aus. Um dies programmgesteuert zu tun, verwenden Sie den GetClassificationExportConfigurationBetrieb der Amazon Macie Macie-API. Weitere Informationen zu den Ergebnissen der Erkennung sensibler Daten und zur Konfiguration dieses Repositorys finden Sie unter. Speicherung und Beibehaltung der Erkennungsergebnisse von vertraulichen Daten

Schritt 2: Ermitteln Sie, wie auf die betroffenen S3-Objekte zugegriffen werden soll

Um auf betroffene S3-Objekte zuzugreifen und sensible Datenproben von ihnen abzurufen, haben Sie zwei Möglichkeiten. Sie können Macie so konfigurieren, dass es Ihre AWS Identity and Access Management (IAM-) Benutzeranmeldedaten verwendet. Oder Sie können Macie so konfigurieren, dass es eine IAM-Rolle annimmt, die den Zugriff an Macie delegiert. Sie können beide Konfigurationen mit einem beliebigen Macie-Konto verwenden — dem delegierten Macie-Administratorkonto für eine Organisation, einem Macie-Mitgliedskonto in einer Organisation oder einem eigenständigen Macie-Konto. Bevor Sie die Einstellungen in Macie konfigurieren, legen Sie fest, welche Zugriffsmethode Sie verwenden möchten. Einzelheiten zu den Optionen und Anforderungen für die einzelnen Methoden finden Sie unterKonfigurationsoptionen und Anforderungen für den Abruf sensibler Datenproben mit Ergebnissen.

Wenn Sie eine IAM-Rolle verwenden möchten, erstellen und konfigurieren Sie die Rolle, bevor Sie die Einstellungen in Macie konfigurieren. Stellen Sie außerdem sicher, dass die Vertrauens- und Berechtigungsrichtlinien für die Rolle alle Voraussetzungen erfüllen, damit Macie die Rolle übernehmen kann. Wenn Ihr Konto Teil einer Organisation ist, die mehrere Macie-Konten zentral verwaltet, entscheiden Sie zunächst mit Ihrem Macie-Administrator, ob und wie die Rolle für Ihr Konto konfiguriert werden soll.

Schritt 3: Konfigurieren Sie ein AWS KMS key

Wenn Sie sensible Datenproben für einen Befund abrufen und offenlegen, verschlüsselt Macie die Stichproben mit einem von Ihnen AWS KMS angegebenen Schlüssel AWS Key Management Service (). Daher müssen Sie festlegen, welchen AWS KMS key Sie zum Verschlüsseln der Stichproben verwenden möchten. Der Schlüssel kann ein vorhandener KMS-Schlüssel aus Ihrem eigenen Konto oder ein vorhandener KMS-Schlüssel sein, den ein anderes Konto besitzt. Wenn Sie einen Schlüssel verwenden möchten, den ein anderes Konto besitzt, rufen Sie den Amazon-Ressourcennamen (ARN) des Schlüssels ab. Sie müssen diesen ARN angeben, wenn Sie die Konfigurationseinstellungen in Macie eingeben.

Der KMS-Schlüssel muss ein vom Kunden verwalteter, symmetrischer Verschlüsselungsschlüssel sein. Es muss sich außerdem um einen Schlüssel für eine einzelne Region handeln, der genauso aktiviert ist AWS-Region wie Ihr Macie-Konto. Der KMS-Schlüssel kann sich in einem externen Schlüsselspeicher befinden. Der Schlüssel ist dann jedoch möglicherweise langsamer und weniger zuverlässig als ein Schlüssel, der vollständig innerhalb verwaltet wirdAWS KMS. Wenn Macie aufgrund von Latenz- oder Verfügbarkeitsproblemen daran gehindert wird, sensible Datenproben zu verschlüsseln, die Sie abrufen und offenlegen möchten, tritt ein Fehler auf und Macie sendet keine Stichproben für die Suche zurück.

Darüber hinaus muss die Schlüsselrichtlinie für den Schlüssel es den entsprechenden Prinzipalen (IAM-Rollen, IAM-Benutzern oderAWS-Konten) ermöglichen, die folgenden Aktionen auszuführen:

  • kms:Decrypt

  • kms:DescribeKey

  • kms:GenerateDataKey

Wichtig

Als zusätzliche Ebene der Zugriffskontrolle empfehlen wir, einen speziellen KMS-Schlüssel für die Verschlüsselung der abgerufenen vertraulichen Datenproben zu erstellen und die Verwendung des Schlüssels auf die Prinzipale zu beschränken, die sensible Datenproben abrufen und offenlegen dürfen. Wenn ein Benutzer die oben genannten Aktionen für den Schlüssel nicht ausführen darf, lehnt Macie seine Anfrage ab, sensible Datenproben abzurufen und offenzulegen. Macie sendet keine Proben für den Befund zurück.

Informationen zum Erstellen und Konfigurieren von KMS-Schlüsseln finden Sie unter Schlüssel verwalten im AWS Key Management ServiceEntwicklerhandbuch. Informationen zur Verwendung von Schlüsselrichtlinien zur Verwaltung des Zugriffs auf KMS-Schlüssel finden Sie unter Wichtige Richtlinien AWS KMS im AWS Key Management Service Entwicklerhandbuch.

Schritt 4: Überprüfen Sie Ihre Berechtigungen

Bevor Sie die Einstellungen in Macie konfigurieren, stellen Sie außerdem sicher, dass Sie über die erforderlichen Berechtigungen verfügen. Um Ihre Berechtigungen zu überprüfen, verwenden Sie AWS Identity and Access Management (IAM), um die IAM-Richtlinien zu überprüfen, die mit Ihrer IAM-Identität verknüpft sind. Vergleichen Sie dann die Informationen in diesen Richtlinien mit der folgenden Liste von Aktionen, die Sie ausführen dürfen müssen.

Amazon Macie

Stellen Sie für Macie sicher, dass Sie die folgenden Aktionen ausführen dürfen:

  • macie2:GetMacieSession

  • macie2:UpdateRevealConfiguration

Mit der ersten Aktion können Sie auf Ihr Macie-Konto zugreifen. Mit der zweiten Aktion können Sie Ihre Konfigurationseinstellungen für das Abrufen und Offenlegen sensibler Datenproben ändern. Dazu gehört das Aktivieren und Deaktivieren der Konfiguration für Ihr Konto.

Vergewissern Sie sich optional, dass Sie die macie2:GetRevealConfiguration Aktion auch ausführen dürfen. Mit dieser Aktion können Sie Ihre aktuellen Konfigurationseinstellungen und den aktuellen Status der Konfiguration für Ihr Konto abrufen.

AWS KMS

Wenn Sie die Amazon Macie Macie-Konsole verwenden möchten, um die Konfigurationseinstellungen einzugeben, stellen Sie außerdem sicher, dass Sie die folgenden AWS Key Management Service (AWS KMS) Aktionen ausführen dürfen:

  • kms:DescribeKey

  • kms:ListAliases

Diese Aktionen ermöglichen es Ihnen, Informationen über das AWS KMS keys für Ihr Konto abzurufen. Sie können dann bei der Eingabe der Einstellungen einen dieser Schlüssel auswählen.

IAM

Wenn Sie Macie so konfigurieren möchten, dass es eine IAM-Rolle zum Abrufen und Offenlegen vertraulicher Datenproben annimmt, stellen Sie außerdem sicher, dass Sie die folgende IAM-Aktion ausführen dürfen:. iam:PassRole Diese Aktion ermöglicht es Ihnen, die Rolle an Macie zu übergeben, wodurch Macie wiederum die Rolle übernehmen kann. Wenn Sie die Konfigurationseinstellungen für Ihr Konto eingeben, kann Macie dann auch überprüfen, ob die Rolle in Ihrem Konto vorhanden und korrekt konfiguriert ist.

Wenn Sie die erforderlichen Aktionen nicht ausführen dürfen, bitten Sie Ihren AWS Administrator um Unterstützung.

Konfiguration und Aktivierung der Amazon Macie Macie-Einstellungen

Nachdem Sie sich vergewissert haben, dass Sie über die benötigten Ressourcen und Berechtigungen verfügen, können Sie die Einstellungen in Amazon Macie konfigurieren und die Konfiguration für Ihr Konto aktivieren.

Wenn Ihr Konto Teil einer Organisation ist, die mehrere Macie-Konten zentral verwaltet, beachten Sie Folgendes, bevor Sie die Einstellungen für Ihr Konto konfigurieren oder anschließend ändern:

  • Wenn Sie ein Mitgliedskonto haben, entscheiden Sie gemeinsam mit Ihrem Macie-Administrator, ob und wie Sie die Einstellungen für Ihr Konto konfigurieren müssen. Ihr Macie-Administrator kann Ihnen helfen, die richtigen Konfigurationseinstellungen für Ihr Konto zu ermitteln.

  • Wenn Sie über ein Macie-Administratorkonto verfügen und Ihre Einstellungen für den Zugriff auf betroffene S3-Objekte ändern, können sich Ihre Änderungen auf andere Konten und Ressourcen Ihrer Organisation auswirken. Dies hängt davon ab, ob Macie derzeit so konfiguriert ist, dass es eine AWS Identity and Access Management (IAM-) Rolle beim Abrufen sensibler Datenproben übernimmt. Ist dies der Fall und Sie konfigurieren Macie für die Verwendung von IAM-Benutzeranmeldedaten neu, löscht Macie dauerhaft die vorhandenen Einstellungen für die IAM-Rolle — den Namen der Rolle und die externe ID für Ihre Konfiguration. Wenn sich Ihre Organisation später dafür entscheidet, wieder IAM-Rollen zu verwenden, müssen Sie in der Vertrauensrichtlinie für die Rolle in jedem entsprechenden Mitgliedskonto eine neue externe ID angeben.

Einzelheiten zu den Konfigurationsoptionen für beide Kontotypen finden Sie unterKonfigurationsoptionen und Anforderungen für den Abruf sensibler Datenproben mit Ergebnissen.

Um die Einstellungen in Macie zu konfigurieren und die Konfiguration für Ihr Konto zu aktivieren, können Sie die Amazon Macie Macie-Konsole oder die Amazon Macie Macie-API verwenden.

Console

Gehen Sie wie folgt vor, um die Einstellungen mithilfe der Amazon Macie Macie-Konsole zu konfigurieren und zu aktivieren.

Um die Macie-Einstellungen zu konfigurieren und zu aktivieren

  1. Öffnen Sie die Amazon Macie Macie-Konsole unter https://console.aws.amazon.com/macie/.

  2. Wählen Sie mithilfe des AWS-Region Auswahlfensters in der oberen rechten Ecke der Seite die Region aus, in der Sie Macie konfigurieren und aktivieren möchten, um sensible Datenproben abzurufen und anzuzeigen.

  3. Wählen Sie im Navigationsbereich unter Einstellungen die Option Beispiele anzeigen aus.

  4. Wählen Sie im Abschnitt Settings (Einstellungen) die Option Edit (Bearbeiten) aus.

  5. Wählen Sie für Status die Option Aktiviert.

  6. Geben Sie unter Zugriff die Zugriffsmethode und die Einstellungen an, die Sie beim Abrufen sensibler Datenproben von betroffenen S3-Objekten verwenden möchten:

    • Um eine IAM-Rolle zu verwenden, die den Zugriff an Macie delegiert, wählen Sie Assume an IAM-Rolle. Wenn Sie diese Option wählen, ruft Macie die Beispiele ab, indem es die IAM-Rolle annimmt, die Sie in Ihrem erstellt und konfiguriert haben. AWS-Konto Geben Sie im Feld Rollenname den Namen der Rolle ein.

    • Um die Anmeldeinformationen des IAM-Benutzers zu verwenden, der die Beispiele anfordert, wählen Sie „IAM-Benutzeranmeldedaten verwenden“. Wenn Sie diese Option wählen, verwendet jeder Benutzer Ihres Kontos seine individuelle IAM-Identität, um die Samples abzurufen.

  7. Geben Sie unter Verschlüsselung die Daten anAWS KMS key, die Sie zum Verschlüsseln sensibler Datenproben verwenden möchten, die abgerufen werden:

    • Um einen KMS-Schlüssel von Ihrem eigenen Konto zu verwenden, wählen Sie Wählen Sie einen Schlüssel aus Ihrem Konto aus. Wählen Sie dann in der AWS KMS keyListe den Schlüssel aus, den Sie verwenden möchten. In der Liste werden die vorhandenen KMS-Schlüssel mit symmetrischer Verschlüsselung für Ihr Konto angezeigt.

    • Um einen KMS-Schlüssel zu verwenden, der einem anderen Konto gehört, wählen Sie Geben Sie den ARN eines Schlüssels von einem anderen Konto ein. Geben Sie dann in das Feld AWS KMS keyARN den Amazon-Ressourcennamen (ARN) des zu verwendenden Schlüssels ein, z. B. arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

  8. Wenn Sie mit der Eingabe der Einstellungen fertig sind, wählen Sie Speichern.

Macie testet die Einstellungen und stellt sicher, dass sie korrekt sind. Wenn Sie Macie so konfiguriert haben, dass er eine IAM-Rolle annimmt, überprüft Macie auch, ob die Rolle in Ihrem Konto vorhanden ist und dass die Vertrauens- und Berechtigungsrichtlinien korrekt konfiguriert sind. Wenn es ein Problem gibt, zeigt Macie eine Meldung an, in der das Problem beschrieben wird.

Informationen zur Behebung eines Problems mit dem AWS KMS key finden Sie in den Anforderungen im vorherigen Thema und geben Sie einen KMS-Schlüssel an, der die Anforderungen erfüllt. Um ein Problem mit der IAM-Rolle zu beheben, überprüfen Sie zunächst, ob Sie den richtigen Rollennamen eingegeben haben. Wenn der Name korrekt ist, stellen Sie sicher, dass die Richtlinien der Rolle alle Voraussetzungen erfüllen, damit Macie die Rolle übernehmen kann. Diese Einzelheiten finden Sie unterKonfiguration einer IAM-Rolle für den Zugriff auf betroffene S3-Objekte. Nachdem Sie alle Probleme behoben haben, können Sie die Einstellungen speichern und aktivieren.

Anmerkung

Wenn Sie der Macie-Administrator einer Organisation sind und Macie so konfiguriert haben, dass er eine IAM-Rolle annimmt, generiert Macie eine externe ID und zeigt sie an, nachdem Sie die Einstellungen für Ihr Konto gespeichert haben. Notieren Sie sich diese ID. In der Vertrauensrichtlinie für die IAM-Rolle in jedem Ihrer jeweiligen Mitgliedskonten muss diese ID angegeben sein. Andernfalls können Sie keine sensiblen Datenproben von S3-Objekten abrufen, die den Konten gehören.

API

Verwenden Sie den UpdateRevealConfigurationBetrieb der Amazon Macie Macie-API, um die Einstellungen programmgesteuert zu konfigurieren und zu aktivieren. Geben Sie in Ihrer Anfrage die entsprechenden Werte für die unterstützten Parameter an:

  • Geben Sie für die retrievalConfiguration Parameter die Zugriffsmethode und die Einstellungen an, die Sie beim Abrufen sensibler Datenproben von betroffenen S3-Objekten verwenden möchten:

    • Um eine IAM-Rolle anzunehmen, die den Zugriff an Macie delegiert, geben Sie ASSUME_ROLE für den retrievalMode Parameter und den Namen der Rolle für den Parameter an. roleName Wenn Sie diese Einstellungen angeben, ruft Macie die Beispiele ab, indem es die IAM-Rolle annimmt, die Sie in Ihrem erstellt und konfiguriert haben. AWS-Konto

    • Um die Anmeldeinformationen des IAM-Benutzers zu verwenden, der die Beispiele anfordert, geben Sie CALLER_CREDENTIALS für den Parameter Folgendes an. retrievalMode Wenn Sie diese Einstellung angeben, verwendet jeder Benutzer Ihres Kontos seine individuelle IAM-Identität, um die Samples abzurufen.

    Wichtig

    Wenn Sie keine Werte für diese Parameter angeben, setzt Macie die Zugriffsmethode (retrievalMode) auf. CALLER_CREDENTIALS Wenn Macie derzeit so konfiguriert ist, dass eine IAM-Rolle zum Abrufen der Beispiele verwendet wird, löscht Macie auch den aktuellen Rollennamen und die externe ID für Ihre Konfiguration dauerhaft. Um diese Einstellungen für eine bestehende Konfiguration beizubehalten, nehmen Sie die retrievalConfiguration Parameter in Ihre Anfrage auf und geben Sie Ihre aktuellen Einstellungen für diese Parameter an. Um Ihre aktuellen Einstellungen abzurufen, verwenden Sie die GetRevealConfigurationOperation oder, falls Sie die AWS Command Line Interface (AWS CLI) verwenden, führen Sie den get-reveal-configurationBefehl aus.

  • Geben Sie für den kmsKeyId Parameter den AWS KMS key an, den Sie zum Verschlüsseln sensibler Datenproben verwenden möchten, die abgerufen werden:

    • Um einen KMS-Schlüssel aus Ihrem eigenen Konto zu verwenden, geben Sie den Amazon-Ressourcennamen (ARN), die ID oder den Alias für den Schlüssel an. Wenn Sie einen Alias angeben, geben Sie das alias/ Präfix an, z. B. alias/ExampleAlias

    • Um einen KMS-Schlüssel zu verwenden, der einem anderen Konto gehört, geben Sie den ARN des Schlüssels an, z. B.. arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab Oder geben Sie den ARN des Alias für den Schlüssel an, z. B. arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias

  • Geben Sie für den status Parameter an, ob ENABLED die Konfiguration für Ihr Macie-Konto aktiviert werden soll.

Stellen Sie in Ihrer Anfrage außerdem sicher, dass Sie die Konfiguration angeben, AWS-Region in der Sie die Konfiguration aktivieren und verwenden möchten.

Um die Einstellungen mithilfe von zu konfigurieren und zu aktivierenAWS CLI, führen Sie den update-reveal-configurationBefehl aus und geben Sie die entsprechenden Werte für die unterstützten Parameter an. Wenn Sie beispielsweise den AWS CLI unter Microsoft Windows verwenden, führen Sie den folgenden Befehl aus:

C:\> aws macie2 update-reveal-configuration ^
--region us-east-1 ^
--configuration={\"kmsKeyId\":\"arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias\",\"status\":\"ENABLED\"} ^
--retrievalConfiguration={\"retrievalMode\":\"ASSUME_ROLE\",\"roleName\":\"MacieRevealRole\"}

Wobei gilt:

  • us-east-1 ist die Region, in der die Konfiguration aktiviert und verwendet werden soll. In diesem Beispiel die Region USA Ost (Nord-Virginia).

  • arn:aws:kms:us-east- ExampleAlias 1:111122223333:alias/ ist der ARN des zu verwendenden Alias. AWS KMS key In diesem Beispiel gehört der Schlüssel einem anderen Konto.

  • ENABLEDist der Status der Konfiguration.

  • ASSUME_ROLE ist die zu verwendende Zugriffsmethode. Gehen Sie in diesem Beispiel von der angegebenen IAM-Rolle aus.

  • MacieRevealRoleist der Name der IAM-Rolle, die Macie beim Abrufen sensibler Datenproben übernehmen soll.

Im vorherigen Beispiel wird das Zeilenfortsetzungszeichen Caret (^) verwendet, um die Lesbarkeit zu verbessern.

Wenn Sie Ihre Anfrage einreichen, testet Macie die Einstellungen. Wenn Sie Macie so konfiguriert haben, dass es eine IAM-Rolle annimmt, überprüft Macie auch, ob die Rolle in Ihrem Konto vorhanden ist und dass die Vertrauens- und Berechtigungsrichtlinien korrekt konfiguriert sind. Wenn es ein Problem gibt, schlägt Ihre Anfrage fehl und Macie gibt eine Nachricht zurück, in der das Problem beschrieben wird. Um ein Problem mit dem zu behebenAWS KMS key, lesen Sie die Anforderungen im vorherigen Thema und geben Sie einen KMS-Schlüssel an, der die Anforderungen erfüllt. Um ein Problem mit der IAM-Rolle zu beheben, überprüfen Sie zunächst, ob Sie den richtigen Rollennamen angegeben haben. Wenn der Name korrekt ist, stellen Sie sicher, dass die Richtlinien der Rolle alle Voraussetzungen erfüllen, damit Macie die Rolle übernehmen kann. Diese Einzelheiten finden Sie unterKonfiguration einer IAM-Rolle für den Zugriff auf betroffene S3-Objekte. Nachdem Sie das Problem behoben haben, reichen Sie Ihre Anfrage erneut ein.

Wenn Ihre Anfrage erfolgreich ist, aktiviert Macie die Konfiguration für Ihr Konto in der angegebenen Region und Sie erhalten eine Ausgabe, die der folgenden ähnelt.

{
  "configuration": {
    "kmsKeyId": "arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias",
    "status": "ENABLED"
  },
  "retrievalConfiguration": {
    "externalId": "o2vee30hs31642lexample",
    "retrievalMode": "ASSUME_ROLE",
    "roleName": "MacieRevealRole"
  }
}

Wo kmsKeyId gibt das anAWS KMS key, was zur Verschlüsselung sensibler Daten verwendet werden soll, die abgerufen werden, und status ist der Status der Konfiguration für Ihr Macie-Konto. Die retrievalConfiguration Werte geben die Zugriffsmethode und die Einstellungen an, die beim Abrufen der Samples verwendet werden sollen.

Anmerkung

Wenn Sie der Macie-Administrator einer Organisation sind und Macie so konfiguriert haben, dass er eine IAM-Rolle annimmt, notieren Sie sich die externe ID (externalId) in der Antwort. In der Vertrauensrichtlinie für die IAM-Rolle in jedem Ihrer jeweiligen Mitgliedskonten muss diese ID angegeben sein. Andernfalls können Sie keine sensiblen Datenproben von betroffenen S3-Objekten abrufen, die den Konten gehören.

Um anschließend die Einstellungen oder den Status der Konfiguration für Ihr Konto zu überprüfen, verwenden Sie den GetRevealConfigurationVorgang oder führen Sie für den den AWS CLI den get-reveal-configurationBefehl aus.

Amazon Macie Macie-Einstellungen deaktivieren

Sie können die Konfigurationseinstellungen für Ihr Amazon Macie Macie-Konto jederzeit deaktivieren. Wenn Sie die Konfiguration deaktivieren, behält Macie die Einstellung bei, die angibt, welche AWS KMS key für die Verschlüsselung sensibler Datenproben verwendet werden soll, die abgerufen werden. Macie löscht die Amazon S3 S3-Zugriffseinstellungen für die Konfiguration dauerhaft.

Warnung

Wenn Sie die Konfigurationseinstellungen für Ihr Macie-Konto deaktivieren, löschen Sie auch dauerhaft die aktuellen Einstellungen, die angeben, wie auf die betroffenen S3-Objekte zugegriffen werden soll. Wenn Macie derzeit so konfiguriert ist, dass es auf betroffene Objekte zugreift, indem es eine AWS Identity and Access Management (IAM-) Rolle annimmt, beinhaltet dies: den Namen der Rolle und die externe ID, die Macie für die Konfiguration generiert hat. Diese Einstellungen können nicht wiederhergestellt werden, nachdem sie gelöscht wurden.

Um die Konfigurationseinstellungen für Ihr Macie-Konto zu deaktivieren, können Sie die Amazon Macie Macie-Konsole oder die Amazon Macie Macie-API verwenden.

Console

Gehen Sie wie folgt vor, um die Konfigurationseinstellungen für Ihr Konto mithilfe der Amazon Macie Macie-Konsole zu deaktivieren.

Um die Macie-Einstellungen zu deaktivieren

  1. Öffnen Sie die Amazon Macie Macie-Konsole unter https://console.aws.amazon.com/macie/.

  2. Wählen Sie mithilfe der AWS-Region Auswahl in der oberen rechten Ecke der Seite die Region aus, in der Sie die Konfigurationseinstellungen für Ihr Macie-Konto deaktivieren möchten.

  3. Wählen Sie im Navigationsbereich unter Einstellungen die Option Reveal samples aus.

  4. Wählen Sie im Abschnitt Settings (Einstellungen) die Option Edit (Bearbeiten) aus.

  5. Wählen Sie für Status die Option Deaktivieren aus.

  6. Wählen Sie Speichern aus.

API

Um die Konfigurationseinstellungen programmgesteuert zu deaktivieren, verwenden Sie den UpdateRevealConfigurationBetrieb der Amazon Macie Macie-API. Stellen Sie in Ihrer Anfrage sicher, dass Sie angeben, AWS-Region in welcher Version Sie die Konfiguration deaktivieren möchten. Geben Sie für den Parameter status DISABLED an:

Um die Konfigurationseinstellungen mithilfe von AWS Command Line Interface (AWS CLI) zu deaktivieren, führen Sie den update-reveal-configurationBefehl aus. Verwenden Sie den region Parameter, um die Region anzugeben, in der Sie die Konfiguration deaktivieren möchten. Geben Sie für den Parameter status DISABLED an: Wenn Sie beispielsweise den AWS CLI unter Microsoft Windows verwenden, führen Sie den folgenden Befehl aus:

C:\> aws macie2 update-reveal-configuration --region us-east-1 --configuration={\"status\":\"DISABLED\"}

Wobei gilt:

  • us-east-1 ist die Region, in der die Konfiguration deaktiviert werden soll. In diesem Beispiel die Region USA Ost (Nord-Virginia).

  • DISABLEDist der neue Status der Konfiguration.

Wenn Ihre Anfrage erfolgreich ist, deaktiviert Macie die Konfiguration für Ihr Konto in der angegebenen Region und Sie erhalten eine Ausgabe, die der folgenden ähnelt.

{
    "configuration": {
        "status": "DISABLED"
    }
}

Wo status ist der neue Status der Konfiguration für Ihr Macie-Konto?

Wenn Macie so konfiguriert wurde, dass es eine IAM-Rolle zum Abrufen sensibler Datenproben annimmt, können Sie optional die Rolle und die Berechtigungsrichtlinie der Rolle löschen. Macie löscht diese Ressourcen nicht, wenn Sie die Konfigurationseinstellungen für Ihr Konto deaktivieren. Darüber hinaus verwendet Macie diese Ressourcen nicht, um andere Aufgaben für Ihr Konto auszuführen. Um die Rolle und ihre Berechtigungsrichtlinie zu löschen, können Sie die IAM-Konsole oder die IAM-API verwenden. Weitere Informationen finden Sie im AWS Identity and Access ManagementBenutzerhandbuch unter Löschen von Rollen.