Introducción a Macie - Amazon Macie
Antes de empezarPaso 1: habilitación de MaciePaso 2: configuración de un repositorio para los resultados de la detección de datos confidencialesPaso 3: exploración de resultados de muestraPaso 4: Crear un trabajo para descubrir datos confidencialesPaso 5: revisión de resultados

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Introducción a Macie

En este tutorial se proporciona una introducción a Amazon Macie. Aprenderá a habilitar Macie para su Cuenta de AWS. También aprenderá a evaluar su postura de seguridad de Amazon Simple Storage Service (Amazon S3) y a configurar los ajustes clave y los recursos para detectar y notificar datos confidenciales en sus buckets de S3.

Antes de empezar

Cuando se registra en Amazon Web Services (AWS), su cuenta se registra automáticamente para todos los Servicios de AWS, incluido Amazon Macie. Sin embargo, para activar y utilizar Macie, primero tiene que configurar los permisos que le permitan acceder a la consola API y a las operaciones de Amazon Macie. Para ello, usted o su AWS administrador pueden utilizar AWS Identity and Access Management (IAM) para adjuntar la política AWS gestionada nombrada AmazonMacieFullAccess a su IAM identidad. Para obtener más información, consulte AWS políticas gestionadas para Macie.

Paso 1: habilitación de Macie

Después de configurar los permisos necesarios, puede habilitar Amazon Macie para su Cuenta de AWS. Siga estos pasos para habilitar Macie para su cuenta.

Para habilitar Macie

  1. Abra la consola Amazon Macie en. https://console.aws.amazon.com/macie/

  2. Con el Región de AWS selector situado en la esquina superior derecha de la página, elija la región en la que desee activar y utilizar Macie.

  3. En la página de Amazon Macie, seleccione Comenzar.

  4. (Opcional) Al activar Macie, Macie crea automáticamente un rol vinculado al servicio que le permite llamar a otros Servicios de AWS y supervisar los recursos en tu nombre. AWS Para revisar la política de permisos de este rol, seleccione Ver los permisos del rol en la consola. Para obtener más información sobre este rol, consulte Uso de roles vinculados a servicios de Macie.

  5. Seleccione Habilitar Macie.

En cuestión de minutos, Macie genera automáticamente y comienza a mantener un inventario de sus depósitos de uso general de S3 en la región actual. Macie también comienza a evaluar y supervisar los buckets para ofrecer seguridad y control de acceso. Para obtener más información, consulte Supervisión de la seguridad y la privacidad de los datos.

En función de la configuración de su cuenta, Macie también comienza a realizar la detección automática de datos confidenciales para sus buckets de S3. Macie comienza a identificar, seleccionar y analizar continuamente los objetos representativos de sus buckets, inspeccionándolos en busca de datos confidenciales. A medida que avanzan los análisis, Macie proporciona estadísticas y otros resultados que puede revisar, normalmente en un plazo de 48 horas. Puede personalizar los análisis. Para obtener más información, consulte Realización de la detección de datos confidenciales automatizada.

Para revisar las estadísticas agregadas de sus datos de Amazon S3, seleccione Resumen en el panel de navegación de la consola. Para revisar los detalles de los buckets de S3 individuales de su inventario, elija los grupos de buckets de S3 en el panel de navegación. Para mostrar a continuación los detalles de un bucket, elija el bucket. El panel de detalles muestra estadísticas y otra información que proporciona datos sobre la seguridad, privacidad y confidencialidad de los datos del bucket. Para obtener más información sobre estos detalles, consulte Revisión del inventario de buckets de S3.

Paso 2: configuración de un repositorio para los resultados de la detección de datos confidenciales

Con Amazon Macie, puede detectar datos confidenciales en buckets de S3 de dos maneras: configurando Macie para que realice una detección de datos confidenciales automatizada y ejecutando tareas de detección de datos confidenciales. Un trabajo de detección de datos confidenciales es un trabajo que se crea para analizar los objetos de los buckets de S3 y determinar si los objetos contienen datos confidenciales.

Macie crea un registro para cada objeto de S3 que analiza cuando ejecuta tareas de detección de datos confidenciales o realiza un detección automatizada de datos confidenciales. Estos registros, denominados resultados del detección de datos confidenciales, recogen detalles sobre el análisis de objetos individuales. Macie también crea resultados de detección de datos confidenciales para objetos que no puede analizar debido a errores o problemas. Los resultados del detección de datos confidenciales le proporcionan registros de análisis que pueden resultar útiles para auditorías o investigaciones sobre la privacidad y la protección de los datos.

Macie almacena los resultados de la detección de datos confidenciales solo durante 90 días. Para acceder a los resultados y permitir su almacenamiento y retención a largo plazo, configure Macie para que almacene los resultados en un bucket de S3. Debe hacerlo en un plazo de 30 días a partir de la activación de Macie. Una vez hecho esto, el bucket puede servir como un repositorio definitivo y a largo plazo para todos sus resultados de detección de datos confidenciales.

Para obtener información sobre cómo configurar este repositorio, consulte Almacenamiento y retención de los resultados de detección de datos confidenciales.

Paso 3: exploración de resultados de muestra

En Amazon Macie hay dos categorías de resultados: resultados de políticas y resultados de datos confidenciales. Macie crea un resultado de política cuando las políticas o la configuración de un bucket de uso general de S3 se modifican de forma que se reduzca la seguridad o la privacidad del bucket y de sus objetos. Macie crea un resultado de datos confidenciales cuando detecta datos confidenciales en un objeto de S3. Dentro de cada categoría, hay varios tipos de resultados.

Para explorar y conocer las diferentes categorías y tipos de resultados que proporciona Macie, si lo desea, cree y revise ejemplos de resultados. Los resultados de la muestra utilizan datos de ejemplo y valores de marcador de posición para demostrar los tipos de información que Macie podría incluir en cada tipo de resultado.

Siga estos pasos para crear y revisar los resultados de las muestras.

Para crear y revisar ejemplos de resultados

  1. Abra la consola Amazon Macie en. https://console.aws.amazon.com/macie/

  2. En el panel de navegación, seleccione Configuración.

  3. En Muestra de resultados, seleccione Generar muestra de resultados. Macie genera una muestra de resultado para cada tipo de resultado respaldado por Macie.

  4. En el panel de navegación, seleccione Resultados. La página de Resultados muestra los resultados de su cuenta en la versión actual Región de AWS. Esto incluye los resultados de muestra que creó en el paso anterior.

  5. En la página Hallazgos, localice los hallazgos cuyo tipo comience por [SAMPLE].

  6. Para revisar los detalles de un resultado de muestra en particular, elija el resultado. El panel de detalles muestra los detalles del resultado.

Para obtener más información sobre cada tipo de resultado, consulte Tipos de resultados. Para obtener más información sobre cómo crear y revisar ejemplos de resultados, consulte Trabajar con muestras de resultados.

Paso 4: Crear un trabajo para descubrir datos confidenciales

Para detectar y reportar datos confidenciales en buckets de S3, puede ejecutar trabajos de detección de datos confidenciales. Un trabajo de detección de datos confidenciales es un trabajo que se crea para analizar los objetos de los buckets de S3 y determinar si los objetos contienen datos confidenciales. A diferencia del detección automatizado de datos confidenciales, usted define la amplitud y profundidad del análisis. También puede especificar la frecuencia con la que se debe ejecutar un trabajo: una vez o periódicamente de forma programada.

Siga estos pasos para crear un trabajo que se ejecute una vez, inmediatamente después de crearlo, y utilice la configuración predeterminada. Para obtener información sobre cómo crear un trabajo que se ejecute periódicamente o utilice configuraciones personalizadas, consulte Creación de un trabajo de detección de datos confidenciales.

Crear un trabajo de detección de información confidencial

  1. Abra la consola Amazon Macie en. https://console.aws.amazon.com/macie/

  2. En el panel de navegación, seleccione Trabajos.

  3. Seleccione Crear trabajo.

  4. Para el paso Elegir buckets S3, seleccione Seleccionar buckets específicos. A continuación, en la tabla, seleccione la casilla de verificación de cada depósito de S3 que desee que analice el trabajo.

    La tabla proporciona un inventario de los depósitos de uso general de S3 actuales. Región de AWS Para encontrar buckets específicos más fácilmente, introduzca los criterios de filtro en el cuadro de filtro situado sobre la tabla. Puede ordenar las filas de la tabla si elige un encabezado de columna.

  5. Cuando termine de seleccionar los buckets, elija Siguiente.

  6. Para el paso Revisar los buckets de S3, revise y verifique tus selecciones de buckets y, a continuación, seleccione Siguiente.

  7. Para el paso Refinar el alcance, seleccione Trabajo único y, a continuación, selecciona Siguiente.

  8. Para el paso Seleccionar identificadores de datos gestionados, seleccione Recomendado. Si lo desea, revise la tabla de identificadores de datos gestionados que recomendamos para los trabajos y, a continuación, seleccione Siguiente.

    Un identificador de datos gestionado es un conjunto de criterios y técnicas integrados que están diseñados para detectar un tipo específico de datos confidenciales, por ejemplo, números de tarjetas de crédito, claves de acceso AWS secretas o números de pasaporte de un país o región determinados. Para obtener más información, consulte Uso de identificadores de datos administrados.

  9. Para el paso Seleccionar identificadores de datos personalizados, seleccione Siguiente.

    Un identificador de datos personalizado es un conjunto de criterios que usted define para detectar datos confidenciales: una expresión regular (regex) que define un patrón de texto para coincidir y, opcionalmente, secuencias de caracteres y una regla de proximidad que refina los resultados. Para obtener más información, consulte Creación de identificadores de datos personalizados.

  10. Para el paso Seleccionar listas permitidas, elija Siguiente.

    En Amazon Macie, una lista de permitidos especifica un texto o un patrón de texto que Macie debe ignorar al inspeccionar objetos de S3 en busca de datos confidenciales. Por lo general, se trata de excepciones de datos confidenciales para escenarios o entornos particulares. Para obtener más información, consulte Definición de excepciones de datos confidenciales con las listas de permitidos.

  11. Para el paso Introducir la configuración general, introduzca un nombre y, si lo desea, una descripción del trabajo. A continuación, elija Siguiente.

  12. Para el paso Revisar y crear revise los ajustes de configuración del trabajo y verifique que sean correctos.

    También puede revisar el costo total estimado (en dólares estadounidenses) de ejecutar el trabajo. La estimación puede ayudarle a determinar si debe ajustar la configuración del trabajo antes de guardarlo. Para obtener más información, consulte Previsión del costo de un trabajo de detección de información confidencial.

  13. Cuando termine de revisar y verificar la configuración del trabajo, seleccione Enviar.

Macie comienza inmediatamente a ejecutar el trabajo. Para obtener información sobre cómo supervisar el trabajo, consulte Comprobar el estado de los trabajos de detección de datos confidenciales.

Paso 5: revisión de resultados

Amazon Macie supervisa automáticamente sus buckets de uso general de S3 en cuanto a la seguridad y el control de acceso y crea resultados de políticas para informar sobre posibles problemas de seguridad o privacidad de los buckets. Si ejecuta un trabajo de detección de datos confidenciales o configura a Macie para que realice una detección automatizada de datos confidenciales, Macie crea resultados de datos confidenciales para informar sobre los datos confidenciales que detecta en los objetos de S3.

Siga estos pasos para revisar resultados.

Revisión de resultados

  1. Abra la consola Amazon Macie en. https://console.aws.amazon.com/macie/

  2. En el panel de navegación, seleccione Resultados. La página de Resultados muestra los resultados de su cuenta en la Región de AWS actual.

  3. Para filtrar los resultados por criterios específicos, introduzca los criterios en el cuadro de filtro situado encima de la tabla.

  4. Para revisar los detalles de un resultado en particular, seleccione el resultado. El panel de detalles muestra los detalles del resultado.

Para obtener más información sobre los resultados, incluido cómo agruparlos y filtrarlos, consulte Revisión y análisis de resultados.