Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Almacenamiento y retención de los resultados de detección de datos confidenciales con Amazon Macie
Cuando ejecuta un trabajo de detección de datos confidenciales o Amazon Macie realiza una detección automatizado de datos confidenciales, Macie crea un registro de análisis para cada objeto de Amazon Simple Storage Service (Amazon S3) que se incluye en el ámbito del análisis. Estos registros, denominados resultados de la detección de datos confidenciales, registran detalles sobre el análisis que Macie realiza en objetos S3 individuales. Esto incluye objetos en los que Macie no detecta datos confidenciales y, por lo tanto, no produce resultados, y objetos que Macie no puede analizar debido a errores o problemas. Si Macie detecta datos sensibles en un objeto, el registro incluye los datos del hallazgo correspondiente, así como información adicional. Los resultados del detección de datos confidenciales le proporcionan registros de análisis que pueden resultar útiles para auditorías o investigaciones sobre la privacidad y la protección de los datos.
Macie almacena los resultados de la detección de datos confidenciales solo durante 90 días. Para acceder a sus resultados y permitir su almacenamiento y conservación a largo plazo, configure Macie para que cifre los resultados con una clave AWS Key Management Service (AWS KMS) y los almacene en un bucket de S3. El bucket puede servir como un repositorio definitivo y a largo plazo para todos sus resultados de detección de datos confidenciales. A continuación, si lo desea, puede acceder a los resultados de ese repositorio y consultarlos.
Este tema le guía a través del proceso de uso del AWS Management Console para configurar un repositorio para los resultados del descubrimiento de datos confidenciales. La configuración es una combinación de una AWS KMS key que cifra los resultados, un bucket de S3 que almacena los resultados y los ajustes de Macie que indican qué clave y qué bucket utilizar. Si prefiere configurar los ajustes de Macie mediante programación, puede utilizar el PutClassificationExportConfigurationfuncionamiento de la API de Amazon Macie.
Al configurar los ajustes en Macie, sus elecciones se aplica únicamente a la Región de AWS actual. Si usted es el administrador de Macie para una organización, sus opciones se aplican solo a su cuenta. No se aplican a ninguna cuenta de miembro asociada.
Si utiliza Macie en varias ocasiones Regiones de AWS, configure los ajustes del repositorio para cada región en la que utilice Macie. De forma opcional, puede almacenar los resultados de la detección de información confidencial de varias regiones en el mismo bucket de S3. Sin embargo, tenga en cuenta los siguientes requisitos:
-
Para almacenar los resultados de una región que esté AWS habilitada de forma predeterminada Cuentas de AWS, como la región EE.UU. Este (Virginia del Norte), debe elegir un segmento de una región que esté habilitada de forma predeterminada. Los resultados no se pueden almacenar en un bucket de una región opcional (región que está deshabilitada de forma predeterminada).
-
Para almacenar los resultados de una región opcional, como la región Medio Oriente (Baréin), debe elegir un bucket de una región que esté habilitada de forma predeterminada. Los resultados no se pueden almacenar en un bucket de una región opcional diferente.
Para determinar si una región está habilitada de forma predeterminada, consulte Regiones y puntos de conexión en la Guía del usuario de AWS Identity and Access Management . Además de los requisitos anteriores, considere también si desea recuperar muestras de datos confidenciales de los que Macie informa en sus hallazgos individuales. Para recuperar muestras de datos confidenciales de un objeto S3 afectado, todos los siguientes recursos y datos deben almacenarse en la misma región: el objeto afectado, el hallazgo correspondiente y el resultado del descubrimiento de los datos confidenciales correspondientes.
Tareas
Información general
Amazon Macie crea automáticamente un resultado de detección de datos confidenciales para cada objeto de Amazon S3 que analiza o intenta analizar cuando usted ejecuta un trabajo de detección de datos confidenciales o cuando Macie lleva a cabo una detección automatizada de datos confidenciales para su cuenta u organización. Esto incluye:
-
Los objetos en los que Macie detecta datos confidenciales y, por lo tanto, también producen resultados de datos confidenciales.
-
Los objetos en los que Macie no detecta datos confidenciales y, por lo tanto, también producen resultados de datos confidenciales.
-
Objetos que Macie no puede analizar debido a errores o problemas, como la configuración de los permisos o el uso de un archivo o formato de almacenamiento no compatible.
Si Macie encuentra datos confidenciales en un objeto, el resultado de la detección de datos confidenciales incluirá los datos del resultado correspondiente. También proporciona información adicional, como la ubicación de hasta 1000 apariciones de cada tipo de datos confidenciales que Macie encontró en el objeto. Por ejemplo:
-
El número de columna y fila de una celda o campo de un libro de Microsoft Excel, un archivo CSV o un archivo TSV
-
La ruta a un campo o matriz en un archivo JSON o líneas JSON
-
El número de línea de una línea de un archivo de texto no binario que no sea un archivo CSV, JSON, líneas JSON o TSV, por ejemplo, un archivo HTML, TXT o XML
-
El número de página de una página de un archivo en formato de documento portátil (PDF) de Adobe
-
El índice de registro y la ruta a un campo de un registro en un contenedor de objetos de Apache Avro o un archivo de Apache Parquet
Si el objeto S3 afectado es un archivo de almacenamiento, como un archivo .tar o .zip, el resultado de la detección de datos confidenciales también proporciona datos de ubicación detallados para la aparición de datos confidenciales en archivos individuales que Macie extrae del archivo. Macie no incluye esta información en los resultados de datos confidenciales para los archivos archivados. Para informar sobre los datos de ubicación, los resultados de la detección de datos confidenciales utilizan un esquema JSON estandarizado.
Un resultado de detección de datos confidenciales no incluye los datos confidenciales que encontró Macie. En su lugar, le proporciona un registro de análisis que puede ser útil para auditorías o investigaciones.
Macie almacena los resultados de la detección de datos confidenciales durante 90 días. No puede acceder a ellos directamente en la consola de Amazon Macie ni con la API de Amazon Macie. En su lugar, siga los pasos de este tema para configurar Macie de forma que cifre los resultados con la AWS KMS key que usted especifique y almacene los resultados en un depósito de S3 que también especifique. A continuación, Macie escribe los resultados en archivos de líneas JSON (.jsonl), agrega los archivos al bucket como archivos GNU Zip (.gz) y cifra los datos mediante el cifrado SSE-KMS. A partir del 8 de noviembre de 2023, Macie también firma los objetos de S3 resultantes con una AWS KMS key de código de autenticación de mensajes basado en hash (HMAC).
Cuando configure Macie para que almacene los resultados de la detección de datos confidenciales en un bucket de S3, puede usar el bucket como un repositorio definitivo y a largo plazo para los resultados. A continuación, si lo desea, puede acceder a los resultados de ese repositorio y consultarlos.
sugerencia
Para ver un ejemplo detallado e instructivo de cómo puede consultar y utilizar los resultados del descubrimiento de datos confidenciales para analizar e informar sobre los posibles riesgos de seguridad de los datos, consulte la entrada del blog Cómo consultar y visualizar los resultados del descubrimiento de datos confidenciales de Macie con Amazon Athena y QuickSight
Para ver ejemplos de consultas de Amazon Athena que puede utilizar para analizar los resultados del descubrimiento de datos confidenciales, visite el repositorio de Amazon Macie Results
Paso 1: Verificar sus permisos
Antes de configurar un repositorio para los resultados de la detección de datos confidenciales, compruebe que dispone de los permisos necesarios para cifrar y almacenar los resultados. Para verificar sus permisos, utilice AWS Identity and Access Management (IAM) para revisar las políticas de IAM asociadas a su identidad de IAM. A continuación, compare la información de esas directivas con la siguiente lista de acciones que debe poder realizar para configurar el repositorio.
- Amazon Macie
-
Para Macie, verifique que se le permite realizar la siguiente acción:
macie2:PutClassificationExportConfigurationEsta acción le permite añadir o cambiar la configuración del repositorio en Macie.
- Amazon S3
-
Para Amazon S3, verifique que se le permite realizar las siguientes acciones:
-
s3:CreateBucket -
s3:GetBucketLocation -
s3:ListAllMyBuckets -
s3:PutBucketAcl -
s3:PutBucketPolicy -
s3:PutBucketPublicAccessBlock -
s3:PutObject
Estas acciones le permiten acceder a un bucket de S3 que puede funcionar como repositorio y configurarlo.
-
- AWS KMS
-
Para usar la consola de Amazon Macie para añadir o cambiar la configuración del repositorio, verifique también que se le permita realizar las siguientes acciones AWS KMS :
-
kms:DescribeKey -
kms:ListAliases
Estas acciones le permiten extraer y mostrar información sobre la AWS KMS keys de su cuenta. A continuación, puede elegir una de estas claves para cifrar los resultados de la detección de datos confidenciales.
Si planea crear una nueva AWS KMS key para cifrar los datos, también debe poder realizar las siguientes acciones:
kms:CreateKey, y.kms:GetKeyPolicykms:PutKeyPolicy -
Si no está autorizado a realizar las acciones necesarias, pida ayuda a su AWS administrador antes de continuar con el siguiente paso.
Paso 2: Configurar en AWS KMS key
Tras verificar sus permisos, determine cuáles AWS KMS key desea que Macie utilice para cifrar los resultados de la detección de datos confidenciales. La clave debe ser una clave KMS de cifrado simétrico y administrada por el cliente que esté habilitada en el Región de AWS mismo lugar que el depósito de S3 en el que desea almacenar los resultados.
La clave puede ser una existente AWS KMS key de su propia cuenta o una existente AWS KMS key que sea propiedad de otra cuenta. Si quiere utilizar una clave de KMS nueva, cree la clave antes de continuar. Si desea utilizar una clave ya existente que es propiedad de otra cuenta, obtenga el nombre de recurso de Amazon (ARN) de la clave. Deberá ingresar este ARN cuando configure los ajustes del repositorio en Macie. Para obtener información sobre cómo crear y revisar la configuración de las claves de KMS, consulte Administración de claves en la AWS Key Management Service Guía para desarrolladores.
nota
La clave puede estar AWS KMS key en un almacén de claves externo. Sin embargo, es posible que la clave sea más lenta y menos fiable que una clave que se gestione íntegramente dentro de AWS KMS. Puede reducir este riesgo almacenando los resultados de la detección de información confidencial en un bucket de S3 que esté configurado para utilizar la clave como una bucket de S3. De este modo, se reduce la cantidad de solicitudes de AWS KMS que se deben realizar para cifrar los resultados de la detección de datos confidenciales.
Para obtener información sobre el uso de claves de KMS en almacenes de claves externos, consulte Almacenes de claves externos en la AWS Key Management Service Guía para desarrolladores. Para obtener más información sobre el uso de claves de Bucket de S3, consulte Reducción del costo de SSE-KMS con las claves de bucket de Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.
Después de determinar qué clave de KMS quiere que utilice Macie, dé permiso a Macie para que utilice la clave. De lo contrario, Macie no podrá cifrar ni almacenar los resultados en el repositorio. Para dar permiso a Macie para usar la clave, actualiza la política de claves de la clave. Para obtener información detallada sobre las políticas clave y la administración del acceso a las claves de KMS, consulte la Política de claves en AWS KMS la AWS Key Management Service Guía para desarrolladores.
Actualización de la política de claves
-
Abra la AWS KMS consola en https://console.aws.amazon.com/kms
. -
Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.
-
Elija la clave que quiera que Macie utilice para cifrar los resultados de la detección de datos confidenciales.
-
En la pestaña Política de claves, elija Editar.
-
Copie la siguiente declaración en el portapapeles y, a continuación, agréguela a la política:
{ "Sid": "Allow Macie to use the key", "Effect": "Allow", "Principal": { "Service": "macie.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Encrypt" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": [ "arn:aws:macie2:Region:111122223333:export-configuration:*", "arn:aws:macie2:Region:111122223333:classification-job/*" ] } } }Cuando añada la instrucción a la política, asegúrese de que la sintaxis sea válida. Las políticas utilizan formato JSON. Esto significa que también debe añadir una coma antes o después de la declaración, dependiendo de dónde añada la declaración a la directiva. Si añade la instrucción como la última instrucción de la política, inserte la coma después del corchete de cierre de la sección anterior. Si lo añade como la primera declaración o entre dos declaraciones existentes, añada una coma después de la llave de cierre para la declaración.
-
Actualice la declaración con los valores correctos para su entorno:
-
En los campos
Condition, sustituya los valores de los marcadores de posición, donde:-
111122223333es el identificador de la cuenta. Cuenta de AWS -
La
regiónes Región de AWS en la que utilizas Macie y quieres permitir que Macie utilice la clave.Si utilizas Macie en varias regiones y quieres permitir que Macie utilice la clave en otras regiones, añade
aws:SourceArncondiciones para cada región adicional. Por ejemplo:"aws:SourceArn": [ "arn:aws:macie2:us-east-1:111122223333:export-configuration:*", "arn:aws:macie2:us-east-1:111122223333:classification-job/*", "arn:aws:macie2:us-west-2:111122223333:export-configuration:*", "arn:aws:macie2:us-west-2:111122223333:classification-job/*" ]De forma alternativa, puede permitir a Macie utilizar la clave en todas las regiones. Para ello, sustituya el valor del marcador de posición por el carácter comodín (*). Por ejemplo:
"aws:SourceArn": [ "arn:aws:macie2:*:111122223333:export-configuration:*", "arn:aws:macie2:*:111122223333:classification-job/*" ]
-
-
Si utiliza Macie en una región opcional, agregue el código de región correspondiente al valor del campo
Service. Por ejemplo, si está usando Macie en la región de Medio Oriente (Baréin), que tiene el código de región me-sur-1, reemplacemacie.amazonaws.comconmacie.me-south-1.amazonaws.com. Para obtener una lista de todas las regiones en las que Macie se encuentra actualmente disponible, consulte Puntos de conexión y cuotas de Amazon Macie cuotas en la Referencia general de AWS.
Tenga en cuenta que los campos
Conditionutilizan dos claves de condición globales de IAM:-
aws: SourceAccount — Esta condición permite a Macie realizar las acciones especificadas solo para tu cuenta. Más específicamente, determina qué cuenta puede realizar las acciones especificadas para los recursos y acciones especificados por la condición
aws:SourceArn.Para permitir que Macie realice las acciones especificadas para cuentas adicionales, añada el ID de cuenta para cada cuenta adicional a esta condición. Por ejemplo:
"aws:SourceAccount": [111122223333,444455556666] -
aws: SourceArn — Esta condición impide que otras personas Servicios de AWS realicen las acciones especificadas. También impide que Macie utilice la clave mientras realiza otras acciones en su cuenta. En otras palabras, permite a Macie cifrar objetos de S3 con la clave solo si se trata de resultados de detección de datos confidenciales y únicamente si esos resultados corresponden a una detección de datos confidenciales automatizada o a trabajos de detección de datos confidenciales creados por la cuenta especificada en la región especificada.
Para permitir que Macie lleve a cabo las acciones especificadas para cuentas adicionales, añada los ARN de cada cuenta adicional a esta condición. Por ejemplo:
"aws:SourceArn": [ "arn:aws:macie2:us-east-1:111122223333:export-configuration:*", "arn:aws:macie2:us-east-1:111122223333:classification-job/*", "arn:aws:macie2:us-east-1:444455556666:export-configuration:*", "arn:aws:macie2:us-east-1:444455556666:classification-job/*" ]
Las cuentas que se especifican en las condiciones
aws:SourceAccountyaws:SourceArndeberían coincidir.Estas condiciones ayudan a evitar que Macie sea utilizado como un ayudante confuso durante las transacciones con AWS KMS. Aunque no lo recomendamos, puede eliminar estas condiciones de la declaración.
-
-
Cuando termine de añadir y actualizar la declaración, seleccione Guardar cambios.
Paso 3: Elegir un bucket de S3
Tras comprobar sus permisos y configurarlos AWS KMS key, podrá especificar qué depósito de S3 quiere utilizar como repositorio para los resultados de su descubrimiento de datos confidenciales. Dispone de dos opciones para hacerlo:
-
Utilice un nuevo depósito de S3 creado por Macie: si elige esta opción, Macie creará automáticamente un nuevo depósito de S3 en el actual Región de AWS para los resultados de su descubrimiento. Macie también aplica una política de bucket al bucket. La política permite a Macie añadir objetos al bucket. También requiere que los objetos estén cifrados con la AWS KMS key que especifique, mediante el cifrado SSE-KMS. Para revisar la política, seleccione Ver política en la consola de Amazon Macie después de especificar un nombre para el bucket y la clave de KMS que se va a utilizar.
-
Utilice un bucket de S3 existente que haya creado: si prefiere almacenar los resultados de su detección en un bucket de S3 concreto que haya creado, cree el bucket antes de continuar. A continuación, compruebe la configuración del bucket y actualice la política del bucket para asegurarse de que Macie pueda añadir objetos al bucket. En este tema se explica qué ajustes se deben comprobar y cómo actualizar la política. También proporciona ejemplos de las declaraciones que se deben añadir a la política.
Las siguientes secciones proporcionan instrucciones para cada opción. Elija la sección para la opción que desee.
Si prefiere utilizar un nuevo bucket de S3 que Macie cree para usted, el último paso del proceso consiste en configurar los ajustes del repositorio en Macie.
Para configurar los ajustes del repositorio en Macie
Abra la consola de Amazon Macie en https://console.aws.amazon.com/macie/
. -
En el panel de navegación, en Ajustes, seleccione Resultados de la detección.
-
En Repositorio de resultados de detección de datos confidenciales, seleccione Crear bucket.
-
En el cuadro de diálogo Crear un bucket escriba un nombre para el bucket.
El nombre debe ser único en todos los buckets de S3. Los nombres de bucket pueden consistir únicamente de letras minúsculas, números, puntos (.) y guiones (-). Para conocer los requisitos de nomenclatura adicionales, consulte Reglas de nomenclatura de buckets en la Guía del usuario de Amazon Simple Storage Service.
-
Expanda la sección Advanced (Configuración avanzada).
-
(Opcional) Para especificar un prefijo que se utilizará en la ruta a una ubicación del bucket, introdúzcalo en el cuadro de prefijo del resultado de la detección de datos.
Al introducir un valor, Macie actualiza el ejemplo situado debajo del cuadro para mostrar la ruta a la ubicación del bucket en la que almacenará los resultados de la detección.
-
En Bloquear todo el acceso público, elija Sí para activar todos los ajustes de bloqueo de acceso público del bucket.
Para obtener información sobre estos ajustes, consulte Bloquear el acceso público a su almacenamiento de Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.
-
En Configuración del cifrado, especifique la AWS KMS key que Macie tiene que utilizar para cifrar los resultados:
-
Para usar una clave de su propia cuenta, elija Seleccionar una clave de su cuenta. Luego, en la lista AWS KMS key, seleccione la clave que desea usar. La lista muestra las claves KMS de cifrado simétrico administradas por el cliente para su cuenta.
-
Para usar una clave que pertenezca a otra cuenta, seleccione Ingrese el ARN de una clave de otra cuenta. A continuación, en el cuadro AWS KMS key ARN, introduzca el nombre de recurso de Amazon (ARN) de la clave de que se debe utilizar, por ejemplo,
arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab.
-
-
Cuando termine con la configuración, elija Guardar.
Macie comprueba la configuración para verificar que es correcta. Si alguna configuración es incorrecta, Macie muestra un mensaje de error que lo ayuda a solucionar el problema.
Tras guardar la configuración del repositorio, Macie añade al mismo los resultados de detección existentes de los 90 días anteriores. Macie también comienza a añadir nuevos resultados de detección al repositorio.
Si prefiere almacenar los resultados de la detección de datos confidenciales en un bucket de S3 concreto que debe crear, cree y configure el bucket antes de configurar los ajustes del repositorio en Macie. Al crear el bucket, tenga en cuenta los siguientes requisitos:
-
Si habilita el bloqueo de objetos para el bucket, debe deshabilitar la configuración de retención predeterminada para esa característica. De lo contrario, Macie no podrá añadir los resultados de la detección al bucket. Para obtener más información, consulte Funcionamiento de Object Lock de Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.
-
Para almacenar los resultados de los descubrimientos en una región que esté habilitada de forma predeterminada Cuentas de AWS, como la región EE.UU. Este (Virginia del Norte), el depósito debe estar en una región que esté habilitada de forma predeterminada. Los resultados no se pueden almacenar en un bucket de una región opcional (región que está deshabilitada de forma predeterminada).
-
Para almacenar los resultados de la detección de una región opcional, como la región Medio Oriente (Baréin), el bucket debe estar en esa misma región o en una región que esté habilitada de forma predeterminada. Los resultados no se pueden almacenar en un bucket de una región opcional diferente.
Para determinar si una región está habilitada de forma predeterminada, consulte Regiones y puntos de conexión en la Guía del usuario de AWS Identity and Access Management .
Tras crear el bucket, actualice la política del bucket para que Macie pueda extraer información sobre el bucket y añadir objetos al bucket. A continuación, puede configurar los ajustes del repositorio en Macie.
Para actualizar la política de bucket
Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3
. -
Elija el bucket en el que desea almacenar sus resultados de detección.
-
Elija la pestaña Permisos.
-
Elija Editar en la sección Política de bucket.
-
Copie el siguiente ejemplo de política en su portapapeles:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow Macie to use the GetBucketLocation operation", "Effect": "Allow", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:GetBucketLocation", "Resource": "arn:aws:s3:::myBucketName", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": [ "arn:aws:macie2:Region:111122223333:export-configuration:*", "arn:aws:macie2:Region:111122223333:classification-job/*" ] } } }, { "Sid": "Allow Macie to add objects to the bucket", "Effect": "Allow", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::myBucketName/[optional prefix/]*", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": [ "arn:aws:macie2:Region:111122223333:export-configuration:*", "arn:aws:macie2:Region:111122223333:classification-job/*" ] } } }, { "Sid": "Deny unencrypted object uploads. This is optional", "Effect": "Deny", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::myBucketName/[optional prefix/]*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption": "aws:kms" } } }, { "Sid": "Deny incorrect encryption headers. This is optional", "Effect": "Deny", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::myBucketName/[optional prefix/]*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption-aws-kms-key-id": "arn:aws:kms:Region:111122223333:key/KMSKeyId" } } }, { "Sid": "Deny non-HTTPS access", "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": "arn:aws:s3:::myBucketName/*", "Condition": { "Bool": { "aws:SecureTransport": "false" } } } ] } -
Pegue la política de ejemplo en el editor de políticas de Bucket de la consola de Amazon S3.
-
Actualice la política de ejemplo con los valores correctos para su entorno:
-
En la declaración opcional que niega los encabezados de cifrado incorrectos:
-
myBucketNameSustitúyalo por el nombre del depósito. -
En
StringNotEqualsesta condición, sustituyaarn:AWS:KMS:Region:111122223333:key/KMS KeyIdpor el nombre de recurso de Amazon (ARN) del que se utilizará para cifrar los resultados del descubrimiento. AWS KMS key
-
-
En todas las demás sentencias, sustituya los valores de los marcadores de posición, donde:
-
myBucketNamees el nombre del depósito. -
111122223333es el identificador de la cuenta. Cuenta de AWS -
Regiónes aquella Región de AWS en la que utiliza Macie y quiere permitir que Macie añada los resultados de las detecciones al bucket.Si utiliza Macie en varias regiones y quiere permitir que Macie añada resultados al bucket de regiones adicionales, añada
aws:SourceArncondiciones para cada región adicional. Por ejemplo:"aws:SourceArn": [ "arn:aws:macie2:us-east-1:111122223333:export-configuration:*", "arn:aws:macie2:us-east-1:111122223333:classification-job/*", "arn:aws:macie2:us-west-2:111122223333:export-configuration:*", "arn:aws:macie2:us-west-2:111122223333:classification-job/*" ]Como alternativa, puede permitir que Macie añada resultados al bucket para todas las regiones en las que utilice Macie. Para ello, sustituya el valor del marcador de posición por el carácter comodín (*). Por ejemplo:
"aws:SourceArn": [ "arn:aws:macie2:*:111122223333:export-configuration:*", "arn:aws:macie2:*:111122223333:classification-job/*" ]
-
-
Si está utilizando Macie en una región opcional, agregue el código de región correspondiente al valor del campo
Serviceen cada instrucción que especifique la entidad principal del servicio de Macie. Por ejemplo, si utiliza Macie en la región de Medio Oriente (Baréin), que tiene el código de región me-south-1, sustituyamacie.amazonaws.compormacie.me-south-1.amazonaws.comen cada afirmación aplicable. Para obtener una lista de todas las regiones en las que Macie se encuentra actualmente disponible, consulte Puntos de conexión y cuotas de Amazon Macie cuotas en la Referencia general de AWS.
Tenga en cuenta que la política de ejemplo incluye instrucciones que permiten a Macie determinar en qué región reside el bucket (
GetBucketLocation) y agregar objetos al bucket (PutObject). Estas declaraciones definen condiciones que utilizan dos claves de condición globales de IAM:-
aws: SourceAccount — Esta condición permite a Macie añadir los resultados del descubrimiento de datos confidenciales al depósito solo para su cuenta. Impide que Macie añada los resultados de detección de otras cuentas al bucket. Más específicamente, la condición especifica qué cuenta puede usar el bucket para los recursos y las acciones especificados en la
aws:SourceArncondición.Para almacenar los resultados de cuentas adicionales en el bucket, añada el identificador de cada cuenta adicional a esta condición. Por ejemplo:
"aws:SourceAccount": [111122223333,444455556666] -
aws: SourceArn — Esta condición restringe el acceso al depósito en función del origen de los objetos que se van a añadir al depósito. Impide que otras Servicios de AWS personas añadan objetos al depósito. También evita que Macie añada objetos al bucket mientras realiza otras acciones en su cuenta. Más concretamente, la condición permite a Macie agregar objetos al bucket solo si se trata de resultados de detección de datos confidenciales y únicamente si esos resultados corresponden a una detección de datos confidenciales automatizada o a trabajos de detección de datos confidenciales creados por la cuenta especificada en la región especificada.
Para permitir que Macie lleve a cabo las acciones especificadas para cuentas adicionales, añada los ARN de cada cuenta adicional a esta condición. Por ejemplo:
"aws:SourceArn": [ "arn:aws:macie2:us-east-1:111122223333:export-configuration:*", "arn:aws:macie2:us-east-1:111122223333:classification-job/*", "arn:aws:macie2:us-east-1:444455556666:export-configuration:*", "arn:aws:macie2:us-east-1:444455556666:classification-job/*" ]
Las cuentas especificadas en las condiciones
aws:SourceAccountyaws:SourceArndeben coincidir.Ambas condiciones ayudan a evitar que Macie sea utilizado como un ayudante confuso durante las transacciones con Amazon S3. Aunque no lo recomendamos, puedes eliminar estas condiciones de la política del bucket.
-
-
Cuando haya terminado de actualizar la política del bucket, elija Guardar cambios.
Ahora, puede configurar los ajustes del repositorio en Macie.
Configuración de los ajustes del repositorio en Macie
Abra la consola de Amazon Macie en https://console.aws.amazon.com/macie/
. -
En el panel de navegación, en Ajustes, seleccione Resultados de la detección.
-
En Repositorio para ver los resultados de la detección de datos confidenciales, elija Bucket existente.
-
En Elegir un bucket, seleccione el bucket en el que desea almacenar los resultados de la detección.
-
(Opcional) Para especificar un prefijo para usarlo en la ruta a una ubicación del bucket, amplíe la sección Avanzadas. Luego, para el Prefijo de resultado de detección de datos, introduzca el prefijo que va a usar.
Al introducir un valor, Macie actualiza el ejemplo situado debajo del cuadro para mostrar la ruta a la ubicación del bucket en la que almacenará los resultados de la detección.
-
En Configuración del cifrado, especifique la AWS KMS key que Macie tiene que utilizar para cifrar los resultados:
-
Para usar una clave de su propia cuenta, elija Seleccionar una clave de su cuenta. Luego, en la lista AWS KMS key, seleccione la clave que desea usar. La lista muestra las claves KMS de cifrado simétrico administradas por el cliente para su cuenta.
-
Para usar una clave que pertenezca a otra cuenta, seleccione Ingrese el ARN de una clave de otra cuenta. A continuación, en el cuadro AWS KMS key ARN, introduzca el ARN de la clave que se va a utilizar, como por ejemplo,
arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab.
-
-
Cuando termine con la configuración, elija Guardar.
Macie comprueba la configuración para verificar que es correcta. Si alguna configuración es incorrecta, Macie muestra un mensaje de error que lo ayuda a solucionar el problema.
Tras guardar la configuración del repositorio, Macie añade al mismo los resultados de detección existentes de los 90 días anteriores. Macie también comienza a añadir nuevos resultados de detección al repositorio.
nota
Si posteriormente cambia la configuración de Prefijo de resultados de detección de datos, actualice también la política de buckets en Amazon S3. Las instrucciones de política que especifican la ruta anterior deben especificar la nueva ruta. De lo contrario, Macie no podrá agregar los resultados de la detección al bucket.
sugerencia
Para reducir los costes de cifrado del lado del servidor, configure también el depósito de S3 para que utilice una clave de depósito de S3 y especifique la AWS KMS key que haya configurado para cifrar los resultados de la detección de datos confidenciales. El uso de una clave de depósito de S3 reduce el número de llamadas AWS KMS, lo que puede reducir los costes de las AWS KMS solicitudes. Si la clave de KMS se encuentra en un almacén de claves externo, el uso de una clave de bucket de S3 también puede minimizar el impacto en el rendimiento de usar una clave. Para obtener más información, consulte Reducción del costo de SSE-KMS con las claves de bucket de Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.
