Configuración de Amazon Macie para recuperar y revelar muestras de datos confidenciales con resultados - Amazon Macie
Antes de empezarConfiguración y habilitación de los ajustes de MacieDeshabilitación de la configuración de Macie

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración de Amazon Macie para recuperar y revelar muestras de datos confidenciales con resultados

Si lo desea, puede configurar y usar Amazon Macie para recuperar y revelar muestras de datos confidenciales que Macie notifica en resultados de datos confidenciales individuales. Las muestras pueden ayudarle a verificar la naturaleza de los datos confidenciales que encontró Macie. También pueden ayudarle a personalizar la investigación de un objeto y un bucket de Amazon Simple Storage Service (Amazon S3) afectados. Puede recuperar y revelar muestras de datos confidenciales en todas las Regiones de AWS que Macie está disponible actualmente, excepto las de Asia-Pacífico (Osaka) e Israel (Tel Aviv).

Al recuperar y revelar muestras de datos confidenciales para un resultados, Macie utiliza los datos del correspondiente resultado de la detección de datos confidenciales para localizar las ocurrencias de datos confidenciales en el objeto S3 afectado. A continuación, Macie extrae muestras de esas ocurrencias del objeto afectado. Macie cifra los datos extraídos con una clave AWS Key Management Service (AWS KMS) que usted especifique, almacena temporalmente los datos cifrados en una memoria caché y devuelve los datos en sus resultados para el resultado. Poco después de la extracción y el cifrado, Macie elimina permanentemente los datos de la memoria caché, a menos que se requiera una retención adicional temporal para resolver un problema operativo.

Para recuperar y revelar muestras de datos confidenciales para los resultados, primero tiene que configurar y habilitar la configuración de su cuenta de Macie. También debe configurar los recursos y permisos de ayuda para su cuenta. Los temas de esta sección le guiarán por el proceso de configuración de Macie para que recupere y revele muestras de datos confidenciales, así como por el proceso de administración del estado de la configuración de su cuenta.

sugerencia

Para ver recomendaciones y ejemplos de políticas que puede usar para controlar el acceso a esta funcionalidad, consulte la entrada del blog sobre cómo usar Amazon Macie para obtener una vista previa de datos confidenciales en buckets de S3 en el blog de seguridad de AWS.

Antes de empezar

Antes de configurar Amazon Macie para que recupere y revele muestras de datos confidenciales de los resultados, complete las siguientes tareas para garantizar que disponga de los permisos y recursos que necesita.

Estas tareas son opcionales si ya ha configurado Macie para que recupere y revele muestras de datos confidenciales y solo desea cambiar los ajustes de configuración.

Paso 1: configuración de un repositorio para los resultados de detección de datos confidenciales

Al recuperar y revelar muestras de datos confidenciales para un resultados, Macie utiliza los datos del correspondiente resultado de la detección de datos confidenciales para localizar las ocurrencias de datos confidenciales en el objeto S3 afectado. Por lo tanto, es importante verificar que haya configurado un repositorio para los resultados de la detección de datos confidenciales. De lo contrario, Macie no podrá localizar las muestras de datos confidenciales que desee recuperar y revelar.

Para comprobar que haya configurado este repositorio para su cuenta, puede usar la consola de Amazon Macie: elija Resultados de la detección (en Configuración) en el panel de navegación. Para hacerlo mediante programación, utilice la operación GetClassificationExportConfiguration de la API de Amazon Macie. Para obtener más información sobre los resultados de la detección de datos confidenciales y sobre cómo configurar este repositorio, consulte Almacenamiento y retención de los resultados de descubrimiento de datos confidenciales.

Paso 2: elección del método de acceso a los objetos de S3 afectados

Para acceder a los objetos de S3 afectados y recuperar muestras de datos confidenciales de ellos, tiene dos opciones. Puede configurar Macie para que utilice sus credenciales de usuario de AWS Identity and Access Management (IAM). O bien, puede configurar Macie para que asuma un rol de IAM que delegue el acceso a Macie. Puede utilizar cualquier configuración con cualquier tipo de cuenta de Macie: la cuenta de administrador de Macie delegada para una organización, una cuenta de miembro de Macie de una organización o una cuenta de Macie independiente. Antes de configurar los ajustes de Macie, determine qué método de acceso desea utilizar. Para obtener información detallada sobre las opciones y los requisitos de cada método, consulte Opciones de configuración y requisitos para recuperar muestras de datos confidenciales con resultados.

Si planea usar un rol de IAM, cree y configure el rol antes de configurar los ajustes en Macie. Asegúrese también de que las políticas de confianza y permisos del rol cumplan con todos los requisitos para que Macie lo asuma. Si su cuenta forma parte de una organización que administra varias cuentas de Macie de forma centralizada, consúltelo antes con su administrador de Macie para determinar si desea configurar el rol de su cuenta y cómo hacerlo.

Paso 3: configuración de una AWS KMS key

Al recuperar y revelar muestras de datos confidenciales de un resultado, Macie cifra las muestras con una clave de AWS Key Management Service (AWS KMS) que tiene que especificar. Por lo tanto, debe determinar qué AWS KMS key desea utilizar para cifrar las muestras. La clave puede ser una clave de KMS existente de su propia cuenta o una clave de KMS existente que pertenezca a otra cuenta. Si desea utilizar una clave de otra cuenta, ingrese el nombre de recurso de Amazon (ARN) de la clave. Deberá especificar este ARN cuando configure los ajustes en Macie.

La clave de KMS debe ser una clave de cifrado simétrico administrada por el cliente. También debe ser una clave de una sola región que esté habilitada en la misma región Región de AWS que su cuenta de Macie. La clave de KMS puede estar en un almacén de claves externo. Sin embargo, es posible que la clave sea más lenta y menos fiable que una clave que se gestione íntegramente dentro de AWS KMS. Si la latencia o un problema de disponibilidad impiden a Macie cifrar las muestras de datos confidenciales que desea recuperar y revelar, se produce un error y Macie no devuelve ninguna muestra para el resultado.

Además, la política de claves para la clave debe permitir a las entidades principales correspondientes (roles de IAM, usuarios de IAM oCuentas de AWS) realizar las siguientes acciones:

  • kms:Decrypt

  • kms:DescribeKey

  • kms:GenerateDataKey

importante

Para tener una capa de control de acceso adicional, le recomendamos que cree también una clave KMS dedicads para el cifrado de las muestras de datos confidenciales que se recuperen y restrinja el uso de la clave únicamente a las entidades principales a las que se les debe permitir recuperar y revelar las muestras de datos confidenciales. Si a un usuario no se le permite llevar a cabo las acciones anteriores con la clave, Macie rechaza su solicitud para recuperar y revelar muestras de datos confidenciales. Macie no devuelve ninguna muestra para el resultado.

Para obtener más información sobre la creación y configuración de claves de KMS, consulte Administración de claves en la Guía para desarrolladores de AWS Key Management Service. Para obtener información sobre las políticas de claves para administrar el acceso a claves de KMS, consulte Políticas de claves en AWS KMS en la Guía para desarrolladores de AWS Key Management Service.

Paso 4: verificación de los permisos

Antes de configurar los ajustes de Macie, compruebe también que disponga de los permisos que necesita. Para verificar sus permisos, utilice AWS Identity and Access Management (IAM) para revisar las políticas de IAM asociadas a su identidad de IAM. A continuación, compare la información de esas políticas con la siguiente lista de acciones que debe estar autorizado a realizar.

Amazon Macie

En el caso de Macie, compruebe que está autorizado a realizar las siguientes acciones:

  • macie2:GetMacieSession

  • macie2:UpdateRevealConfiguration

La primera acción le permite acceder a su cuenta de Macie. La segunda acción le permite cambiar los ajustes de configuración de la cuenta para recuperar y revelar las muestras de datos confidenciales. Esto incluye habilitar y deshabilitar la configuración de su cuenta.

Si lo desea, compruebe que también está autorizado a realizar la acción macie2:GetRevealConfiguration. Esta acción le permite recuperar los ajustes de configuración actuales y el estado actual de la configuración de su cuenta.

AWS KMS

Si planea utilizar la consola de Amazon Macie para ingresar los ajustes de configuración, compruebe también que cuenta con autorización para llevar a cabo las siguientes acciones de AWS Key Management Service (AWS KMS):

  • kms:DescribeKey

  • kms:ListAliases

Estas acciones le permiten recuperar información sobre las AWS KMS keys de su cuenta. A continuación, puede elegir una de estas teclas al entrar en la configuración.

IAM

Si planea configurar Macie para que asuma un rol de IAM a fin de recuperar y revelar muestras de datos confidenciales, compruebe también que cuenta con autorización para llevar a cabo la siguiente acción de IAM: iam:PassRole. Esta acción le permite transferir el rol a Macie, lo que a su vez le permite a Macie asumir el rol. Cuando ingrese los ajustes de configuración de su cuenta, Macie también podrá comprobar que el rol exista en esta y que esté configurado correctamente.

Si no está autorizado a realizar las acciones necesarias, pida ayuda a su administrador de AWS.

Configuración y habilitación de los ajustes de Amazon Macie

Tras comprobar que disponga de los recursos y los permisos que necesita, puede configurar los ajustes en Amazon Macie y habilitar la configuración de su cuenta.

Si su cuenta forma parte de una organización que administra varias cuentas de Macie de forma centralizada, tenga en cuenta lo siguiente antes de configurar o cambiar los ajustes de su cuenta:

  • Si tiene una cuenta de miembro, consúltelo con su administrador de Macie para determinar si desea configurar los ajustes de su cuenta y cómo hacerlo. El administrador de Macie puede brindarle ayuda para determinar los ajustes de configuración correctos para su cuenta.

  • Si tiene una cuenta de administrador de Macie y cambia la configuración de acceso a los objetos de S3 afectados, los cambios podrían afectar a otras cuentas y recursos de su organización. Esto depende de si Macie está configurado actualmente para asumir un rol de AWS Identity and Access Management (IAM) a fin de recuperar muestras de datos confidenciales. Si es así y vuelve a configurar Macie para que utilice las credenciales de usuario de IAM, Macie eliminará permanentemente la configuración existente del rol de IAM: el nombre del rol y el ID externo de la configuración. Si, posteriormente, su organización decide volver a utilizar los roles de IAM, tendrá que especificar un nuevo ID externo en la política de confianza para el rol en cada cuenta de miembro correspondiente.

Para obtener más información sobre las opciones de configuración para cada tipo de cuenta, consulte Opciones de configuración y requisitos para recuperar muestras de datos confidenciales con resultados.

Para configurar los ajustes de Macie y habilitar la configuración de su cuenta, puede utilizar la consola de Amazon Macie o la API de Amazon Macie.

Console

Para configurar y habilitar los ajustes mediante la consola de Amazon Macie, siga estos pasos.

Configuración y habilitación de los ajustes de Macie

  1. Abra la consola de Amazon Macie en https://console.aws.amazon.com/macie/.

  2. Utilice el selector de Región de AWS de la esquina superior derecha de la página para seleccionar la región en la que desea configurar y habilitar Macie para recuperar y revelar muestras de datos confidenciales.

  3. En el panel de navegación, en Configuración, seleccione Revelar muestras.

  4. En la sección Settings (Configuración), elija Editar.

  5. Para Status (Estado), elija Enabled (Habilitado).

  6. En Acceso, especifique el método de acceso y la configuración que desee utilizar al recuperar muestras de datos confidenciales de los objetos de S3 afectados:

    • Para usar un rol de IAM que delegue el acceso a Macie, elija Asumir un rol de IAM. Si elige esta opción, Macie asume el rol de IAM que creó y configuró en su Cuenta de AWS para recuperar las muestras. En el recuadro Nombre de función, ingrese el nombre del rol.

    • Para usar las credenciales del usuario de IAM que solicita las muestras, elija Usar credenciales de usuario de IAM. Si elige esta opción, cada usuario de su cuenta utilizará su identidad de IAM individual para recuperar las muestras.

  7. En Cifrado, especifique la clave de AWS KMS key que desea utilizar para cifrar las muestras de datos confidenciales que se recuperan:

    • Para usar una clave de su propia cuenta, elija Seleccionar una clave de la cuenta. Luego, en la lista AWS KMS key, seleccione la clave que desea usar. La lista muestra las claves KMS de cifrado simétrico para su cuenta.

    • Para usar una clave de KMS que pertenezca a otra cuenta, seleccione Ingrese el ARN de una clave de otra cuenta. A continuación, en el cuadro AWS KMS keyARN, introduzca el nombre de recurso de Amazon (ARN) de la clave de que se debe utilizar, como por ejemplo, arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab.

  8. Cuando termine con la configuración, elija Guardar.

Macie prueba la configuración para verificar que sea correcta. Si ha configurado Macie para que asuma un rol de IAM, Macie también comprueba que el rol exista en su cuenta y que las políticas de confianza y permisos estén configuradas correctamente. Si hay algún problema, Macie muestra un mensaje que describe el problema.

Para solucionar un problema relacionado con AWS KMS key, consulte los requisitos del tema anterior y especifique una clave de KMS que cumpla con los requisitos. Para solucionar un problema relacionado con el rol de IAM, comience por comprobar que haya ingresado el nombre correcto del rol. Si el nombre es correcto, asegúrese de que las políticas del rol cumplan con todos los requisitos para que Macie lo asuma. Para obtener estos detalles, consulte Configuración de un rol de IAM para obtener acceso a los objetos de S3 afectados. Puede guardar y habilitar la configuración cuando solucione los problemas.

nota

Si es el administrador de Macie de una organización y ha configurado Macie para que asuma un rol de IAM, Macie generará y mostrará un identificador externo después de guardar la configuración de su cuenta. Anote este ID. La política de confianza del rol de IAM de cada una de sus cuentas de miembro correspondientes debe especificar este ID. De lo contrario, no podrá recuperar muestras de datos confidenciales de los objetos de S3 de las cuentas.

API

Para configurar y habilitar los ajustes mediante programación, use la operación UpdateRevealConfiguration de la API de Amazon Macie. En la solicitud, especifique los valores apropiados para los parámetros admitidos:

  • En cuanto a los parámetros retrievalConfiguration, especifique el método de acceso y la configuración que quiera utilizar al recuperar muestras de datos confidenciales de los objetos de S3 afectados:

    • Para asumir un rol de IAM que delegue el acceso a Macie, especifique ASSUME_ROLE en el parámetro retrievalMode y especifique el nombre del rol para el parámetro roleName. Si especifica esta configuración, Macie asume el rol de IAM que creó y configuró en su Cuenta de AWS para recuperar las muestras.

    • Para usar las credenciales del usuario de IAM que solicita las muestras, especifique CALLER_CREDENTIALS para el parámetro retrievalMode. Si especifica esta configuración, cada usuario de su cuenta utilizará su identidad de IAM individual para recuperar las muestras.

    importante

    Si no especifica valores para estos parámetros, Macie establece el método de acceso (retrievalMode) en CALLER_CREDENTIALS. Si Macie está configurado actualmente para usar un rol de IAM para recuperar las muestras, Macie también eliminará permanentemente el nombre del rol actual y el ID externo de su configuración. Para conservar estos ajustes para una configuración existente, incluya los parámetros retrievalConfiguration en su solicitud y especifique la configuración actual para esos parámetros. Para recuperar la configuración actual, utilice la operación GetRevealConfiguration o, si usa AWS Command Line Interface (AWS CLI), ejecute el comando get-reveal-configuration.

  • En el parámetro kmsKeyId, especifique la AWS KMS key que quiera usar para cifrar muestras de datos confidenciales que se recuperan:

    • Para usar una clave de KMS de su propia cuenta, especifique el nombre de recurso de Amazon (ARN), ID o alias de la clave. Si especifica un alias, incluya el prefijo de alias/, por ejemplo, alias/ExampleAlias.

    • Para usar una clave KMS que sea propiedad de otra cuenta, especifique el ARN de la clave, por ejemplo, arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab. O bien, especifique el ARN del alias de la clave, por ejemplo, arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias.

  • Para el parámetro status, especifique ENABLED si desea habilitar la configuración de su cuenta de Macie.

En su solicitud, asegúrese también de especificar la Región de AWS donde desea activar y utilizar la configuración.

Para configurar y habilitar los ajustes mediante la AWS CLI, ejecute el comando update-reveal-configuration y especifique los valores adecuados para los parámetros admitidos. Por ejemplo, si está utilizando la AWS CLI en Microsoft Windows, ejecute el siguiente comando:

C:\> aws macie2 update-reveal-configuration ^
--region us-east-1 ^
--configuration={\"kmsKeyId\":\"arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias\",\"status\":\"ENABLED\"} ^
--retrievalConfiguration={\"retrievalMode\":\"ASSUME_ROLE\",\"roleName\":\"MacieRevealRole\"}

Donde:

  • us-east-1 es la región en la que se habilitará y utilizará la configuración. En este ejemplo, la region Este de EE. UU. (Norte de Virginia)

  • arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias es el ARN del alias que debe utilizar la clave de AWS KMS key. En este ejemplo, la clave pertenece a otra cuenta.

  • El estado de la configuración es ENABLED.

  • ASSUME_ROLE es el método de acceso que se debe utilizar. En este ejemplo, asuma el rol de IAM especificado.

  • MacieRevealRole es el nombre del rol de IAM que Macie debe asumir al recuperar muestras de datos confidenciales.

En el ejemplo anterior, se utiliza el carácter de continuación de línea de marca de inserción (^) para mejorar la legibilidad.

Al enviar la solicitud, Macie comprueba la configuración. Si ha configurado Macie para que asuma un rol de IAM, Macie también comprueba que el rol exista en su cuenta y que las políticas de confianza y permisos estén configuradas correctamente. Si se produce un problema, la solicitud fallará y Macie devolverá un mensaje que describe el problema. Para solucionar un problema relacionado con AWS KMS key, consulte los requisitos del tema anterior y especifique una clave de KMS que cumpla con los requisitos. Para solucionar un problema relacionado con el rol de IAM, comience por comprobar que haya especificado el nombre correcto del rol. Si el nombre es correcto, asegúrese de que las políticas del rol cumplan con todos los requisitos para que Macie lo asuma. Para obtener estos detalles, consulte Configuración de un rol de IAM para obtener acceso a los objetos de S3 afectados. Después de abordar el problema, envíe la solicitud de nuevo.

Si la solicitud es correcta, Macie habilita la configuración de su cuenta en la región especificada y recibirá un resultado similar al siguiente.

{
  "configuration": {
    "kmsKeyId": "arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias",
    "status": "ENABLED"
  },
  "retrievalConfiguration": {
    "externalId": "o2vee30hs31642lexample",
    "retrievalMode": "ASSUME_ROLE",
    "roleName": "MacieRevealRole"
  }
}

Donde kmsKeyId especifica la AWS KMS key que se utilizará para cifrar las muestras de datos confidenciales que se recuperen y revelen y status es el estado de la configuración de la cuenta de Macie. Los valores de retrievalConfiguration especifican el método de acceso y la configuración que se utilizarán al recuperar las muestras.

nota

Si es el administrador de Macie de una organización y ha configurado Macie para que asuma un rol de IAM, anote el ID externo (externalId) en la respuesta. La política de confianza del rol de IAM de cada una de sus cuentas de miembro correspondientes debe especificar este ID. De lo contrario, no podrá recuperar muestras de datos confidenciales de los objetos de S3 afectados de las cuentas.

Para comprobar posteriormente los ajustes o el estado de la configuración de su cuenta, utilice la operación getRevealConfiguration o, para la AWS CLI, ejecute el comando get-reveal-configuration.

Deshabilitación de la configuración de Amazon Macie

Puede deshabilitar los ajustes de configuración de su cuenta de Amazon Macie en cualquier momento. Si deshabilita la configuración, Macie conserva la configuración que especifica qué AWS KMS key debe usar para cifrar las muestras de datos confidenciales que se recuperen. Macie elimina permanentemente la configuración de acceso de Amazon S3 de la configuración.

aviso

Al deshabilitar los ajustes de configuración de su cuenta de Macie, también elimina permanentemente la configuración actual que especifica cómo acceder a los objetos de S3 afectados. Si Macie está configurado actualmente para acceder a los objetos afectados después de asumir un rol de AWS Identity and Access Management (IAM), esto incluye el nombre del rol y el ID externo que Macie generó para la configuración. Estas configuraciones no se pueden recuperar después de eliminarlas.

Para deshabilitar los ajustes de configuración de la cuenta de Macie, puede utilizar la consola de Amazon Macie o la API de Amazon Macie.

Console

Para deshabilitar los ajustes de configuración de la cuenta mediante la consola de Amazon Macie, siga estos pasos.

Deshabilitación de la configuración de Macie

  1. Abra la consola de Amazon Macie en https://console.aws.amazon.com/macie/.

  2. Utilice el selector de Región de AWS de la esquina superior derecha de la página para seleccionar la región en la que desea desactivar los ajustes de configuración de la cuenta de Macie.

  3. En el panel de navegación, en Configuración, seleccione Revelar muestras.

  4. En la sección Settings (Configuración), elija Editar.

  5. En Estado, elija Desactivar.

  6. Elija Guardar.

API

Para desactivar la detección automatizada mediante programación, use la operación UpdateRevealConfiguration de la API de Amazon Macie. En su solicitud, asegúrese también de especificar la Región de AWS donde desea deshabilitar la configuración. En el parámetro status, especifique DISABLED.

Para deshabilitar los ajustes de configuración mediante la AWS Command Line Interface (AWS CLI), ejecute el comando update-reveal-configuration. Utilice el parámetro region para especificar la región en la que desea deshabilitar la configuración. En el parámetro status, especifique DISABLED. Por ejemplo, si está utilizando la AWS CLI en Microsoft Windows, ejecute el siguiente comando:

C:\> aws macie2 update-reveal-configuration --region us-east-1 --configuration={\"status\":\"DISABLED\"}

Donde:

  • us-east-1 es la región en la que se deshabilitará la configuración. En este ejemplo, la region Este de EE. UU. (Norte de Virginia)

  • DISABLED es el nuevo estado de la configuración.

Si la solicitud es correcta, Macie deshabilita la configuración de su cuenta en la región especificada y recibirá un resultado similar al siguiente.

{
    "configuration": {
        "status": "DISABLED"
    }
}

Donde status es el nuevo estado de la configuración de su cuenta de Macie.

Si Macie se configuró para asumir un rol de IAM a fin de recuperar muestras de datos confidenciales, si lo desea, puede eliminar el rol y la política de permisos de este. Macie no elimina estos recursos cuando deshabilita los ajustes de configuración de su cuenta. Además, Macie no utiliza estos recursos para llevar a cabo ninguna otra tarea en su cuenta. Para eliminar el rol y su política de permisos, puede utilizar la consola de IAM o la API de IAM. Para obtener más información, consulte Eliminación de roles en la Guía del usuario de AWS Identity and Access Management.