Creación y administración de listas de permitidos en Amazon Macie - Amazon Macie
Crear listas de permitidosComprobación del estado de las listas de permitidosCambiar las listas de permitidosEliminar listas de permitidos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Creación y administración de listas de permitidos en Amazon Macie

En Amazon Macie, una lista de permitidos define un texto específico o un patrón de texto que debe ignorar Macie al inspeccionar objetos de Amazon Simple Storage Service (Amazon S3) en busca de datos confidenciales. Si los datos coinciden con una entrada o un patrón en una lista de permitidos, Macie no informa los datos en resultados de datos confidenciales, estadísticas u otros tipos de resultados, incluso si el texto coincide con los criterios de un identificador de datos administrado o un identificador de datos personalizado.

Puede crear y administrar los siguientes tipos de listas de permitidos en Macie.

Texto predefinido

Use este tipo de lista para especificar palabras, frases y otros tipos de secuencias de caracteres específicas que no son confidenciales, no es probable que cambien y que no se adhieren a un patrón común necesariamente. Algunos ejemplos son los nombres de los representantes públicos de su organización, números de teléfono específicos y datos de muestra específicos que su organización utiliza para las pruebas. Si usa este tipo de lista, Macie ignora el texto que coincida exactamente con una entrada de la lista.

Para este tipo de lista, se crea un archivo de texto sin formato delimitado por líneas en el que se muestra el texto específico que se debe ignorar. A continuación, se ignora el archivo en un bucket de S3 y configura los ajustes para que Macie acceda a la lista del bucket. A continuación, puede crear y configurar trabajos de detección de datos confidenciales para usar la lista o añadir la lista a la configuración automática de detección de datos confidenciales de su cuenta. Cuando cada trabajo comienza a ejecutarse o se inicia el siguiente ciclo de análisis de detección automatizado, Macie recupera la última versión de la lista de Amazon S3. Luego, Macie usa esa versión de la lista cuando inspecciona los objetos de S3 en busca de datos confidenciales. Si Macie encuentra texto que coincida exactamente con una entrada de la lista, Macie no informa de la aparición del texto como datos confidenciales.

Expresión regular

Use este tipo de lista para especificar una expresión regular (regex) que defina el patrón de texto que se va a ignorar. Algunos ejemplos son los números de teléfono públicos de su organización, las direcciones de correo electrónico del dominio de su organización y los datos de muestra modelados que su organización utiliza para las pruebas. Si usa este tipo de lista, Macie ignora el texto que coincide completamente con el patrón de expresión regular definido por la lista.

Para este tipo de lista, debe crear una expresión regular que defina un patrón común para el texto que no es confidencial, pero que varía o es probable que cambie. A diferencia de una lista de texto predefinido, se crea y almacena la expresión regular y el resto de la configuración de la lista en Macie. A continuación, puede crear y configurar trabajos de detección de datos confidenciales para usar la lista o añadir la lista a la configuración automática de detección de datos confidenciales de su cuenta. Cuando se ejecutan esos trabajos o Macie realiza una detección automática para tu cuenta, Macie utiliza la última versión de la expresión regular de la lista para analizar los datos. Si Macie encuentra texto que coincida exactamente con el patrón definido por la lista, Macie no informa de la aparición del texto como datos confidenciales.

Para ver los requisitos detallados, las recomendaciones y los ejemplos de cada tipo de lista, consulte Requisitos y opciones de listas de permitidos. Puede crear hasta 10 listas de permisos para su cuenta en cada una de las admitidas Región de AWS, hasta cinco listas de permisos que especifiquen texto predefinido y hasta cinco listas de permisos que especifiquen expresiones regulares. Puede crear y utilizar listas de personas permitidas en todos los Regiones de AWS lugares en los que Macie esté disponible actualmente, excepto en la región de Asia Pacífico (Osaka).

Para crear y gestionar listas de usuarios permitidos, puede utilizar la consola Amazon Macie o Amazon Macie. API En los siguientes temas se explica cómo hacerlo. En el API caso de, los temas incluyen ejemplos de cómo realizar estas tareas mediante el comando AWS Command Line Interface ()AWS CLI. También puede realizar estas tareas utilizando una versión actual de otra herramienta de línea de AWS comandos o una AWS SDK, o enviando HTTPS las solicitudes directamente a Macie. Para obtener información sobre AWS las herramientas ySDKs, consulte Herramientas sobre AWS las que construir.

Crear listas de permitidos

La forma de crear una lista de permitidos en Amazon Macie depende del tipo de lista que desee crear. Una lista de permitidos puede ser un archivo que incluye texto predefinido para ignorarlo, o puede ser una expresión regular (regex) que define un patrón de texto que se debe ignorar. Elija la sección para el tipo de lista que desea crear.

Antes de crear este tipo de lista de permitidos en Macie, siga estos pasos:

  1. Con un editor de texto, cree un archivo de texto sin formato delimitado por líneas que enumere el texto específico que desee ignorar, por ejemplo, un archivo .txt, .text o .plain. Para obtener más información, consulte Requisitos de sintaxis para las listas de texto predefinidas.

  2. Cargue el archivo en un depósito de uso general de S3 y anote el nombre del depósito y del objeto. Deberá introducir estos nombres cuando haga los ajustes en Macie.

  3. Asegúrese de que la configuración del bucket y el objeto de S3 les permita a Macie y a usted recuperar la lista del bucket. Para obtener más información, consulte Requisitos de almacenamiento para las listas de texto predefinido.

  4. Si cifró el objeto de S3, asegúrese de que también esté cifrado con una clave que pueda usted y Macie puedan usar. Para obtener más información, consulte Requisitos de cifrado y descifrado para listas de texto predefinido.

Tras realizar estos pasos, estará listo para hacer los ajustes de la lista en Macie. Puede configurar los ajustes mediante la consola Amazon Macie o Amazon Macie. API

Console

Para hacer los ajustes para una lista de permitidos mediante la consola de Amazon Macie, siga los pasos siguientes.

Para hacer los ajustes de la lista de permitidos en Macie

  1. Abra la consola Amazon Macie en. https://console.aws.amazon.com/macie/

  2. En el panel de navegación, en Configuración, seleccione Listas de permitidos.

  3. En la página Listas de permitidos, seleccione Crear.

  4. En Seleccione un tipo de lista, elija Texto predefinido.

  5. En Configuración de lista, utilice las siguientes opciones para introducir ajustes adicionales para la lista de permitidos:

    • En Nombre, ingrese el nombre de la lista. El nombre puede contener hasta 128 caracteres.

    • En Descripción, escriba una breve descripción de la lista. La descripción puede contener hasta 512 caracteres.

    • Para el nombre del bucket de S3, introduzca el nombre del bucket que almacena la lista.

      En Amazon S3, puede encontrar este valor en el campo Nombre de las propiedades del bucket. Este valor distingue entre mayúsculas y minúsculas. Además, no utilice caracteres comodín ni valores parciales al ingresar el nombre.

    • Para el nombre del objeto de S3, introduzca el nombre del objeto de S3 que almacena la lista.

      En Amazon S3, puede encontrar este valor en el campo Clave de las propiedades del objeto. Si el nombre contiene una ruta, asegúrese de incluir la ruta completa al introducir el nombre, por ejemplo allowlists/macie/mylist.txt. Este valor distingue entre mayúsculas y minúsculas. Además, no utilice caracteres comodín ni valores parciales al ingresar el nombre.

  6. (Opcional) En Etiquetas, seleccione Añadir etiqueta y, a continuación, introduzca hasta 50 etiquetas para asignarlas a la lista de permitidos.

    Una etiqueta es una etiqueta que se define y se asigna a determinados tipos de AWS recursos. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Las etiquetas pueden ayudarle a identificar, clasificar y administrar recursos de distintas formas, como por finalidad, propietario, entorno u otros criterios. Para obtener más información, consulte Etiquetado de recursos de Amazon Macie.

  7. Cuando haya terminado, elija Create (Crear).

Macie comprueba la configuración de la lista. Macie también comprueba que puede recuperar la lista de Amazon S3 y analizar su contenido. Si se ha producido un error, Macie muestra un mensaje que describe el error. Para obtener información detallada que puede ayudarle a solucionar el error, consulte Opciones y requisitos para las listas de texto predefinidas. Tras corregir los errores, puede guardar la configuración de la lista.

API

Para configurar los ajustes de la lista de permitidos mediante programación, utilice la CreateAllowListoperación de Amazon API Macie y especifique los valores adecuados para los parámetros requeridos.

Para el parámetro criteria, utilice un objeto s3WordsList para especificar el nombre del bucket de S3 (bucketName) y el nombre del objeto de S3 (objectKey) que almacena la lista. Para determinar el nombre del bucket, consulte el campo Name de Amazon S3. Para determinar el nombre del objeto, consulte el campo Key de Amazon S3. Tenga en cuenta que estos valores distinguen entre mayúsculas y minúsculas. Además, no utilice caracteres comodín ni valores parciales cuando especifique estos nombres.

Para configurar los ajustes mediante el AWS CLI, ejecute el create-allow-listcomando y especifique los valores adecuados para los parámetros requeridos. Los siguientes ejemplos muestran cómo configurar los ajustes de una lista de permitidos que se almacena en un bucket de S3 denominado DOC-EXAMPLE-BUCKET. El nombre del objeto S3 que almacena la lista es allowlists/macie/mylist.txt.

Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\) de continuación de línea para mejorar la legibilidad.

$ aws macie2 create-allow-list \
--criteria '{"s3WordsList":{"bucketName":"DOC-EXAMPLE-BUCKET","objectKey":"allowlists/macie/mylist.txt"}}' \
--name my_allow_list \
--description "Lists public phone numbers and names for Example Corp."

Este ejemplo está formateado para Microsoft Windows y utiliza el carácter de continuación de línea de intercalación (^) para mejorar la legibilidad.

C:\> aws macie2 create-allow-list ^
--criteria={\"s3WordsList\":{\"bucketName\":\"DOC-EXAMPLE-BUCKET\",\"objectKey\":\"allowlists/macie/mylist.txt\"}} ^
--name my_allow_list ^
--description "Lists public phone numbers and names for Example Corp."

Al enviar la solicitud, Macie comprueba la configuración de la lista. Macie también comprueba que puede recuperar la lista de Amazon S3 y analizar su contenido. Si se produce un error, su solicitud fallará y Macie devolverá un mensaje que describe el error. Para obtener información detallada que puede ayudarle a solucionar el error, consulte Opciones y requisitos para las listas de texto predefinidas.

Si Macie puede recuperar y analizar la lista, la solicitud se realizará correctamente y verá un resultado similar al siguiente.

{
    "arn": "arn:aws:macie2:us-west-2:123456789012:allow-list/nkr81bmtu2542yyexample",
    "id": "nkr81bmtu2542yyexample"
}

Dónde arn está el nombre del recurso de Amazon (ARN) de la lista de permitidos que se creó y id es el identificador único de la lista.

Una vez guardada la configuración de la lista, puede crear y configurar trabajos de detección de datos confidenciales para utilizarla, o bien añadir la lista a su configuración automática de detección de datos confidenciales. Cada vez que esos trabajos comienzan a ejecutarse o se inicia un ciclo de análisis de descubrimiento automatizado, Macie recupera la última versión de la lista de Amazon S3. Luego, Macie usa esa versión de la lista cuando analiza los datos.

Cuando crea una lista de permitidos que especifica una expresión regular (regex), define la expresión regular y todos los demás ajustes de la lista directamente en Macie. Macie admite un subconjunto de la sintaxis de patrones de expresiones regulares () proporcionada por la biblioteca Perl Compatible Regular Expressions (). PCRE Para obtener más información, consulte Soporte y recomendaciones sobre la sintaxis.

Puede crear este tipo de lista mediante la consola Amazon Macie o Amazon Macie. API

Console

Siga estos pasos para crear una lista de permitidos mediante la consola de Amazon Macie.

Para crear una lista de permitidos

  1. Abra la consola Amazon Macie en. https://console.aws.amazon.com/macie/

  2. En el panel de navegación, en Configuración, seleccione Listas de permitidos.

  3. En la página Listas de permitidos, seleccione Crear.

  4. En Seleccione un tipo de lista, elija Expresión regular.

  5. En Configuración de lista, utilice las siguientes opciones para introducir ajustes adicionales para la lista de permitidos:

    • En Nombre, ingrese el nombre de la lista. El nombre puede contener hasta 128 caracteres.

    • En Descripción, escriba una breve descripción de la lista. La descripción puede contener hasta 512 caracteres.

    • Para la Expresión regular, ingrese la expresión regular que define el patrón de texto que se debe omitir. La expresión regular puede contener hasta 512 caracteres.

  6. (Opcional) Para Evaluar, introduzca hasta 1000 caracteres en el cuadro Datos de muestra y, a continuación, elija Probar para comprobar la expresión regular. Macie evalúa los datos de muestra e informa del número de apariciones del texto que coincide con la expresión regular. Puede repetir este paso tantas veces como desee para refinar y optimizar la expresión regular.

    nota

    Le recomendamos que pruebe y refine la expresión regular con varios conjuntos de datos de muestra. Si crea una expresión regular demasiado general, Macie podría ignorar las apariciones de texto que considere confidenciales. Si la expresión regular es demasiado específica, Macie podría ignorar las apariciones de texto que no considere confidenciales.

  7. (Opcional) En Etiquetas, seleccione Añadir etiqueta y, a continuación, introduzca hasta 50 etiquetas para asignarlas a la lista de permitidos.

    Una etiqueta es una etiqueta que usted define y asigna a ciertos tipos de AWS recursos. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Las etiquetas pueden ayudarle a identificar, clasificar y administrar recursos de distintas formas, como por finalidad, propietario, entorno u otros criterios. Para obtener más información, consulte Etiquetado de recursos de Amazon Macie.

  8. Cuando haya terminado, elija Create (Crear).

Macie comprueba la configuración de la lista. Macie también prueba la expresión regular para comprobar que puede compilar la expresión. Si se ha producido un error, Macie muestra un mensaje que describe el error. Para obtener información detallada que puede ayudarle a solucionar el error, consulte Opciones y requisitos de las expresiones regulares en las listas de permitidos. Tras corregir los errores, puede guardar la lista de permitidos.

API

Antes de crear este tipo de lista de permitidos en Macie, le recomendamos que pruebe y refine la expresión regular con varios conjuntos de datos de muestra. Si crea una expresión regular demasiado general, Macie podría ignorar las apariciones de texto que considere confidenciales. Si la expresión regular es demasiado específica, Macie podría ignorar las apariciones de texto que no considere confidenciales.

Para probar una expresión con Macie, puede utilizar la TestCustomDataIdentifieroperación Amazon API Macie o, para ello, ejecutar AWS CLItest-custom-data-identifierel comando. Macie usa el mismo código subyacente para compilar expresiones con el fin de permitir listas e identificadores de datos personalizados. Si prueba una expresión de este modo, asegúrese de especificar valores únicamente para los parámetros regex y sampleText. De lo contrario, verá resultados inexactos.

Cuando esté listo para crear este tipo de lista de permitidos, utilice la CreateAllowListoperación de Amazon Macie API y especifique los valores adecuados para los parámetros requeridos. Para el parámetro criteria, utilice el campo regex para especificar la expresión regular que define el patrón de texto que se debe omitir. La expresión puede contener hasta 512 caracteres.

Para crear este tipo de lista mediante el AWS CLI, ejecute el create-allow-listcomando y especifique los valores adecuados para los parámetros necesarios. En los ejemplos siguientes se crea una lista de permitidos denominada my_allow_list. La expresión regular está diseñada para ignorar todas las direcciones de correo electrónico que, de otro modo, un identificador de datos personalizado podría detectar para el example.com dominio.

Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\) de continuación de línea para mejorar la legibilidad.

$ aws macie2 create-allow-list \
--criteria '{"regex":"[a-z]@example.com"}' \
--name my_allow_list \
--description "Ignores all email addresses for Example Corp."

Este ejemplo está formateado para Microsoft Windows y utiliza el carácter de continuación de línea de intercalación (^) para mejorar la legibilidad.

C:\> aws macie2 create-allow-list ^
--criteria={\"regex\":\"[a-z]@example.com\"} ^
--name my_allow_list ^
--description "Ignores all email addresses for Example Corp."

Al enviar la solicitud, Macie comprueba la configuración de la lista. Macie también prueba la expresión regular para comprobar que puede compilar la expresión. Si se produce un error, la solicitud fallará y Macie devolverá un mensaje que describe el error. Para obtener información detallada que puede ayudarle a solucionar el error, consulte Opciones y requisitos de las expresiones regulares en las listas de permitidos.

Si Macie puede compilar la expresión, la solicitud se realizará correctamente y verá un resultado similar al siguiente:

{
    "arn": "arn:aws:macie2:us-west-2:123456789012:allow-list/km2d4y22hp6rv05example",
    "id": "km2d4y22hp6rv05example"
}

Dónde arn está el nombre del recurso de Amazon (ARN) de la lista de permitidos que se creó y id es el identificador único de la lista.

Tras guardar la lista, puede crear y configurar trabajos de detección de datos confidenciales para utilizarla o añadirla a su configuración automática de detección de datos confidenciales. Cuando se ejecutan esos trabajos o Macie realiza una detección automática para tu cuenta, Macie utiliza la última versión de la expresión regular de la lista para analizar los datos.

Comprobación del estado de las listas de permitidos

Es importante comprobar el estado de las listas de permitidos de forma periódica. De lo contrario, los errores podrían provocar que Amazon Macie produzca resultados de análisis inesperados, como resultados de datos confidenciales para el texto que especificó en una lista de permitidos.

Si configura un trabajo de detección de datos confidenciales para que utilice una lista de permitidos y Macie no puede acceder a la lista o utilizarla cuando el trabajo comience a ejecutarse, el trabajo seguirá ejecutándose. Sin embargo, Macie no usa la lista cuando analiza los objetos de S3. Del mismo modo, si se inicia un ciclo de análisis para la detección automática de datos confidenciales y Macie no puede acceder a una lista de permitidos específica ni utilizarla, el análisis continúa pero Macie no lo utiliza.

Es poco probable que se produzcan errores en una lista de permitidos que especifique una expresión regular (regex). Esto se debe en parte a que Macie prueba automáticamente la expresión regular al crear o actualizar la configuración de la lista. Además, debe almacenar la expresión regular y el resto de la configuración de la lista en Macie.

Sin embargo, pueden producirse errores en una lista de permitidos que especifica texto predefinido, en parte porque se guarda la lista en Amazon S3 en lugar de en Macie. Las causas comunes de errores son:

  • Se elimina el bucket o el objeto de S3.

  • Se cambia el nombre del bucket u objeto de S3 y la configuración de la lista en Macie no especifica el nuevo nombre.

  • Se cambia la configuración de permisos del bucket de S3 y Macie pierde el acceso al bucket y al objeto.

  • La configuración de cifrado del bucket de S3 ha cambiado y Macie no puede descifrar el objeto que almacena la lista.

  • Se cambia la política de la clave de cifrado y Macie pierde el acceso a la clave. Macie no puede descifrar el objeto S3 que almacena la lista.

importante

Dado que estos errores afectan a los resultados de sus análisis, le recomendamos que compruebe periódicamente el estado de las listas de personas permitidas. Le recomendamos que también lo haga si cambia los permisos o la configuración de cifrado de un bucket de S3 que almacena una lista de permitidos, o si cambia la política de una clave AWS Key Management Service (AWS KMS) que se utiliza para cifrar una lista.

Puedes comprobar el estado de tus listas de usuarios permitidos mediante la consola Amazon Macie o Amazon Macie. API Para obtener información detallada que puede ayudarle a solucionar errores que sucedan, consulte Opciones y requisitos para las listas de texto predefinidas.

Console

Siga estos pasos para revisar el estado de sus listas de permitidos mediante la consola de Amazon Macie.

Para revisar el estado de sus listas de permitidos

  1. Abra la consola Amazon Macie en. https://console.aws.amazon.com/macie/

  2. En el panel de navegación, en Configuración, seleccione Listas de permitidos.

  3. En la página Listas de permitidos, seleccione actualizar ( The refresh button, which is a button that displays an empty, dark gray circle with an arrow. ). Macie comprueba la configuración de todas las listas de permitidos y actualiza el campo Estado para indicar el estado actual de cada lista.

    Si una lista especifica una expresión regular, su estado suele ser Correcto. Esto significa que Macie puede compilar la expresión. Si una lista especifica texto predefinido, su estado puede ser alguno de los siguientes valores.

    OK (Correcto)

    Macie puede recuperar y analizar el contenido de la lista.

    Acceso denegado

    A Macie no se le permite acceder al objeto S3 que almacena la lista. Amazon S3 denegó la solicitud para recuperar el objeto. Una lista también puede tener este estado si el objeto está cifrado con un cliente gestionado por un cliente AWS KMS key que Macie no puede utilizar.

    Para tratar este error, revise la política de bucket y otra configuración de permisos para el bucket y el objeto. Asegúrese de que Macie pueda acceder al objeto y recuperarlo. Si el objeto está cifrado con una clave AWS KMS gestionada por un cliente, revise también la política de claves y asegúrese de que Macie pueda usar la clave.

    Error

    Se produjo un error transitorio o interno cuando Macie intentó recuperar o analizar el contenido de la lista. Una lista de permitidos también puede tener este estado si está cifrada con un cifrado al que Amazon S3 y Macie no pueden acceder ni usar.

    Para solucionar este error, espere unos minutos y, a continuación, seleccione actualizar ( The refresh button, which is a button that displays an empty, dark gray circle with an arrow. ) de nuevo. Si el estado sigue siendo Error, compruebe la configuración de cifrado del objeto de S3. Asegúrese de que el objeto esté cifrado con una clave a la que Amazon S3 y Macie puedan acceder y usar.

    El objeto está vacío

    Macie puede recuperar la lista de Amazon S3, pero la lista no tiene ningún contenido.

    Para solucionar este error, descargue el objeto de Amazon S3 y asegúrese de que contiene las entradas correctas. Si las entradas son correctas, revise la configuración de la lista en Macie. Asegúrese de que los nombres de los buckets y objetos especificados sean correctos.

    No se ha encontrado el objeto

    La lista no existe en Amazon S3.

    Para solucionar este error, revise la configuración de la lista en Macie. Asegúrese de que los nombres de los buckets y objetos especificados sean correctos.

    Cuota excedida

    Macie puede acceder a la lista en Amazon S3. Sin embargo, el número de entradas de la lista o el tamaño de almacenamiento de la lista superan la cuota de una lista de permitidos.

    Para solucionar este error, divida la lista en varios archivos. Asegúrese de que cada archivo contenga menos de 100 000 entradas. Asegúrese también de que el tamaño de cada archivo sea inferior a 35 MB. A continuación, cargue cada archivo en Amazon S3. Al terminar, ha los ajustes de la lista de permitidos en Macie para cada archivo. Puede tener hasta cinco listas de texto predefinido en cada Región de AWS compatible.

    Solicitudes restringidas

    Amazon S3 limitó la solicitud para recuperar la lista.

    Para solucionar este error, espere unos minutos y, a continuación, seleccione actualizar ( The refresh button, which is a button that displays an empty, dark gray circle with an arrow. ) de nuevo.

    Acceso de usuario denegado

    Amazon S3 denegó la solicitud para recuperar el objeto. Si el objeto especificado existe, no puedes acceder a él o está cifrado con una AWS KMS clave que no puedes usar.

    Para solucionar este error, póngase en contacto con el AWS administrador para asegurarse de que la configuración de la lista especifique los nombres correctos del depósito y del objeto y de que tenga acceso de lectura al depósito y al objeto. Si el objeto está cifrado, asegúrese de que también esté cifrado con una clave que pueda usar.

  4. Para revisar la configuración y el estado de una lista específica, elija el nombre de la lista.

API

Para comprobar el estado de una lista de permitidos mediante programación, utilice la GetAllowListoperación de Amazon API Macie o, para ello, ejecute AWS CLI el comando. get-allow-list

Para el parámetro id, especifique el identificador único de la lista de permitidos cuyo estado desea comprobar. Para obtener este identificador, puede usar la operación. ListAllowLists La operación ListAllowLists recupera información sobre todas las listas de permitidos de la cuenta. Si utiliza el AWS CLI, puede ejecutar el list-allow-listscomando para recuperar esta información.

Al enviar una solicitud GetAllowList, Macie comprueba todos los ajustes de la lista de permitidos. Si la configuración especifica una expresión regular (regex), Macie comprueba que puede compilar la expresión. Si la configuración especifica una lista de texto predefinido, Macie comprueba que puede recuperar y analizar la lista.

A continuación, Macie devuelve un objeto GetAllowListResponse que proporciona los detalles de la lista de permitidos. En el objeto GetAllowListResponse, el objeto status indica el estado actual de la lista: un código de estado (code) y, según el código de estado, una breve descripción del estado de la lista (description).

Si la lista de permitidos especifica una expresión regular, el código de estado suele ser OK y no hay una descripción asociada. Esto significa que Macie compiló la expresión con éxito.

Si la lista de permitidos especifica un texto predefinido, el código de estado varía en función de los resultados de la prueba:

  • Si Macie recuperó y analizó la lista correctamente, el código de estado es OK y no hay ninguna descripción asociada.

  • Si un error ha impedido a Macie recuperar o analizar la lista, el código de estado y la descripción indican la naturaleza del error que se ha producido.

Para obtener una lista de los posibles códigos de estado y una descripción de cada uno de ellos, consulta AllowListStatusla Referencia de Amazon Macie. API

Cambiar las listas de permitidos

Después de crear una lista de permitidos, puede cambiar la mayoría de los ajustes de la lista en Amazon Macie. Por ejemplo, puede cambiar el nombre y la descripción de la lista, y puede añadir y editar las etiquetas de la lista. La única configuración que no puede cambiar es el tipo de lista. Por ejemplo, si una lista de permitidos existente especifica una expresión regular, no puede cambiar su tipo a texto predefinido.

Si una lista de permitidos especifica texto predefinido, también puede cambiar las entradas de la lista. Para ello, actualice el archivo que contiene las entradas y, a continuación, cargue la nueva versión del archivo en Amazon S3. La próxima vez que Macie se prepare para usar la lista, recuperará la última versión del archivo de Amazon S3. Cuando cargue el nuevo archivo, asegúrese de guardarlo en el mismo bucket y objeto de S3. O bien, si cambia el nombre del bucket o del objeto, asegúrse de actualizar la configuración de la lista en Macie.

Puede cambiar la configuración de una lista de permitidos mediante la consola Amazon Macie o Amazon Macie. API

Console

Para cambiar la configuración de una lista de permitidos mediante la consola de Amazon Macie, siga los pasos siguientes.

Para cambiar una lista de permitidos

  1. Abra la consola Amazon Macie en. https://console.aws.amazon.com/macie/

  2. En el panel de navegación, en Configuración, seleccione Listas de permitidos.

  3. En la página Listas de permitidos, elija el nombre de la lista de permitidos que desea cambiar. Se abre la página de listas de permitidos y muestra la configuración actual de la lista.

  4. Para asignar o editar las etiquetas de la lista de permitidos, en la sección Etiquetas, elija Administrar etiquetas. A continuación, cambie las etiquetas según sea necesario. Cuando termine, elija Save (Guardar).

  5. Para cambiar otros ajustes de la lista de permitidos, seleccione Editar en la sección Ajustes de la lista. A continuación, cambie la configuración como desee:

    • Nombre: ingrese un nombre nuevo para la lista. El nombre puede contener hasta 128 caracteres.

    • Descripción: introduzca una nueva descripción de la lista. La descripción puede contener hasta 512 caracteres.

    • Si la lista de permitidos especifica un texto predefinido:

      • Nombre del bucket S3: introduzca el nombre del bucket que actualmente almacena la lista.

        En Amazon S3, puede encontrar este valor en el campo Nombre de las propiedades del bucket. Este valor distingue entre mayúsculas y minúsculas. Además, no utilice caracteres comodín ni valores parciales al ingresar el nombre.

      • Nombre del objeto S3: introduzca el nombre del objeto S3 que actualmente almacena la lista.

        En Amazon S3, puede encontrar este valor en el campo Clave de las propiedades del objeto. Si el nombre contiene una ruta, asegúrese de incluir la ruta completa al introducir el nombre, por ejemplo allowlists/macie/mylist.txt. Este valor distingue entre mayúsculas y minúsculas. Además, no utilice caracteres comodín ni valores parciales al ingresar el nombre.

    • Si la lista de permitidos especifica una expresión regular (regex), introduzca una nueva expresión regular en el cuadro Expresión regular. La expresión regular puede contener hasta 512 caracteres.

      Después de introducir la nueva expresión regular, si lo desea, pruébela. Para ello, introduzca hasta 1000 caracteres en el cuadro Datos de muestra y, a continuación, seleccione Probar. Macie evalúa los datos de muestra e informa del número de apariciones del texto que coincide con la expresión regular. Puede repetir este paso tantas veces como desee para refinar y optimizar la expresión regular antes de guardar los cambios.

    Cuando termine con los cambios a la configuración, elija Guardar.

Macie comprueba la configuración de la lista. Para una lista de texto predefinido, Macie también comprueba que puede recuperar la lista de Amazon S3 y analizar su contenido. Para una expresión regular, Macie también verifica que puede compilar la expresión. Si se ha producido un error, Macie muestra un mensaje que describe el error. Para obtener información detallada que puede ayudarle a solucionar el error, consulte Requisitos y opciones de listas de permitidos. Después de corregir los errores, puede guardar los cambios.

API

Para cambiar una lista de permitidos mediante programación, utilice la UpdateAllowListoperación de Amazon API Macie o, para ello, ejecute AWS CLI el comando. update-allow-list En su solicitud, utilice los parámetros admitidos con el fin de especificar un nuevo valor para cada configuración que desee cambiar. Tenga en cuenta que los parámetros criteria, id y name son obligatorios. Si no desea cambiar el valor de un parámetro obligatorio, especifique el valor actual del parámetro.

Por ejemplo, el siguiente comando cambia el nombre y la descripción de una lista de permitidos existente. El ejemplo está formateado para Microsoft Windows y utiliza el carácter de continuación de línea de intercalación (^) para mejorar la legibilidad.

C:\> aws macie2 update-allow-list ^
--id km2d4y22hp6rv05example ^
--name my_allow_list-email ^
--criteria={\"regex\":\"[a-z]@example.com\"} ^
--description "Ignores all email addresses for the example.com domain"

Donde:

  • km2d4y22hp6rv05example es el identificador único de la lista.

  • my_allow_list-email es el nuevo nombre de la lista.

  • [a-z]@example.com es el criterio de la lista, una expresión regular.

  • Ignores all email addresses for the example.com domain es la nueva descripción de la lista.

Al enviar la solicitud, Macie comprueba la configuración de la lista. Si la lista especifica texto predefinido, esto incluye verificar que Macie puede recuperar la lista de Amazon S3 y analizar su contenido. Si la lista especifica una expresión regular, esto incluye comprobar que Macie puede compilar la expresión.

Si se produce un error cuando Macie prueba la configuración, su solicitud fallará y Macie devolverá un mensaje que describe el error. Para obtener información detallada que puede ayudarle a solucionar el error, consulte Requisitos y opciones de listas de permitidos. Si la solicitud falla por otro motivo, Macie devuelve una respuesta de HTTP 4 xx ó 500 que indica el motivo del error de la operación.

Si su solicitud tiene éxito, Macie actualiza la configuración de la lista y recibirá un resultado similar al siguiente.

{
    "arn": "arn:aws:macie2:us-west-2:123456789012:allow-list/km2d4y22hp6rv05example",
    "id": "km2d4y22hp6rv05example"
}

Dónde arn está el nombre del recurso de Amazon (ARN) de la lista de permitidos que se actualizó y id es el identificador único de la lista.

Eliminar listas de permitidos

Al eliminar una lista de permitidos en Amazon Macie, se eliminan permanentemente todas las configuraciones de la lista. Estas configuraciones no se pueden recuperar después de eliminarlas. Si la configuración especifica una lista de texto predefinido que almacena en Amazon S3, Macie no elimina el objeto S3 que almacena la lista. Solo se eliminan las configuracines de Macie.

Si configura los trabajos de detección de datos confidenciales para que utilicen una lista de permitidos y, posteriormente, elimina la lista, los trabajos se ejecutarán según lo programado. Sin embargo, los resultados de su trabajo, tanto los resultados de datos confidenciales como los resultados de la detección de datos confidenciales, pueden incluir texto que especificó previamente en una lista de permitidos. Del mismo modo, si configura la detección automática de datos confidenciales para utilizar una lista y, posteriormente, la elimina, continuarán los ciclos de análisis diarios. Sin embargo, los resultados de datos confidenciales, las estadísticas u otros tipos de resultados pueden incluir texto que especificó previamente en una lista de permitidos.

Antes de eliminar una lista de permitidos, le recomendamos que revise su inventario de tareas para identificar los trabajos que utilizan la lista y que están programados para ejecutarse en el futuro. En el inventario, el panel de detalles indica si un trabajo está configurado para usar alguna lista de permitidos y, de ser así, cuáles. Además, compruebe la configuración de detección automática de datos confidenciales. Puede que decida que es mejor cambiar una lista en lugar de eliminarla.

Como medida de seguridad adicional, Macie comprueba la configuración de todos sus trabajos cuando intenta eliminar una lista de permitidos. Si ha configurado trabajos para usar la lista y alguno de esos trabajos tiene un estado distinto de Completado o Cancelado, Macie no eliminará la lista a menos que usted proporcione una confirmación adicional.

Puede eliminar una lista de permitidos mediante la consola Amazon Macie o Amazon Macie. API

Console

Siga estos pasos para eliminar una regla de filtrado mediante la consola de Amazon Macie.

Para eliminar una lista de permitidos

  1. Abra la consola Amazon Macie en. https://console.aws.amazon.com/macie/

  2. En el panel de navegación, en Configuración, seleccione Listas de permitidos.

  3. En la página Listas de permitidos, seleccione la casilla de la lista de permitidos que desea eliminar.

  4. En el menú Actions (Acciones), elija Delete (Eliminar).

  5. Cuando se le pida confirmación, ingrese delete y elija Delete (Eliminar).

API

Para eliminar una lista de permitidos mediante programación, utilice la DeleteAllowListoperación de Amazon Macie. API Para el parámetro id, especifique el identificador único de la lista de permitidos que desee eliminar. Puede obtener este identificador mediante la operación. ListAllowLists La operación ListAllowLists recupera información sobre todas las listas de permitidos de la cuenta. Si utiliza el AWS CLI, puede ejecutar el list-allow-listscomando para recuperar esta información.

Para el parámetro ignoreJobChecks, especifique si desea forzar la eliminación de la lista, incluso si los trabajos de detección de datos confidenciales están configurados para usar la lista:

  • Si especifica false, Macie comprobará la configuración de todos los trabajos que tengan un estado distinto de COMPLETE o CANCELLED. Si ninguno de esos trabajos está configurado para usar la lista, Macie lo borra permanentemente. Si alguno de esos trabajos está configurado para usar la lista, Macie rechazará tu solicitud y mostrará un error HTTP 400 (ValidationException). El mensaje de error indica el número de trabajos aplicables para un máximo de 200 trabajos.

  • Si especifica true, Macie eliminará la lista de forma permanente sin comprobar la configuración de ninguno de sus trabajos.

Para eliminar una lista de permitidos mediante el AWS CLI, ejecute el delete-allow-listcomando. Por ejemplo:

C:\> aws macie2 delete-allow-list --id nkr81bmtu2542yyexample --ignore-job-checks false

Donde nkr81bmtu2542yyexample es el identificador único de la lista de personas que se pueden eliminar.

Si la solicitud es correcta, Macie devuelve una respuesta vacía de HTTP 200. De lo contrario, Macie devuelve una respuesta de HTTP 4 xx ó 500 que indica el motivo del error de la operación.

Si la lista de permitidos especificaba un texto predefinido, si lo desea, puede eliminar el objeto de S3 que almacena la lista. Sin embargo, conservar este objeto puede ayudar a garantizar que tiene un historial inmutable de resultados de datos confidenciales y resultados de detección para las auditorías o investigaciones de privacidad y protección de datos.