Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Stockage et conservation des résultats de découverte de données sensibles avec Amazon Macie
Lorsque vous exécutez une tâche de découverte de données sensibles ou qu'Amazon Macie effectue une découverte automatique de données sensibles, Macie crée un enregistrement d'analyse pour chaque objet Amazon Simple Storage Service (Amazon S3) inclus dans le périmètre de l'analyse. Ces enregistrements, appelés résultats de découverte de données sensibles, enregistrent les détails de l'analyse que Macie effectue sur des objets S3 individuels. Cela inclut les objets dans lesquels Macie ne détecte pas de données sensibles et ne produit donc pas de résultats, ainsi que les objets que Macie ne peut pas analyser en raison d'erreurs ou de problèmes. Si Macie détecte des données sensibles dans un objet, l'enregistrement inclut les données de la découverte correspondante ainsi que des informations supplémentaires. Les résultats de découverte de données sensibles vous fournissent des enregistrements d'analyse qui peuvent être utiles pour les audits ou les enquêtes sur la confidentialité et la protection des données.
Macie conserve les résultats de la découverte de vos données sensibles pendant 90 jours seulement. Pour accéder à vos résultats et permettre leur stockage et leur conservation à long terme, configurez Macie pour chiffrer les résultats avec une clé AWS Key Management Service (AWS KMS) et les stocker dans un compartiment S3. Le bucket peut servir de référentiel définitif à long terme pour tous vos résultats de découverte de données sensibles. Vous pouvez ensuite éventuellement accéder aux résultats de ce référentiel et les interroger.
Cette rubrique vous explique comment utiliser le AWS Management Console pour configurer un référentiel pour vos résultats de découverte de données sensibles. La configuration est une combinaison d'un AWS KMS key qui chiffre les résultats, d'un compartiment S3 à usage général qui stocke les résultats et de paramètres Macie qui indiquent la clé et le compartiment à utiliser. Si vous préférez configurer les paramètres Macie par programmation, vous pouvez utiliser l'API PutClassificationExportConfigurationAmazon Macie.
Lorsque vous configurez les paramètres dans Macie, vos choix s'appliquent uniquement aux paramètres actuels Région AWS. Si vous êtes l'administrateur Macie d'une organisation, vos choix s'appliquent uniquement à votre compte. Ils ne s'appliquent pas aux comptes membres associés.
Si vous utilisez Macie à plusieurs reprises Régions AWS, configurez les paramètres du référentiel pour chaque région dans laquelle vous utilisez Macie. Vous pouvez éventuellement stocker les résultats de découverte de données sensibles pour plusieurs régions dans le même compartiment S3. Notez toutefois les exigences suivantes :
-
Pour stocker les résultats d'une région AWS activée par défaut Comptes AWS, telle que la région USA Est (Virginie du Nord), vous devez choisir un compartiment dans une région activée par défaut. Les résultats ne peuvent pas être stockés dans un compartiment d'une région optionnelle (région désactivée par défaut).
-
Pour stocker les résultats d'une région optionnelle, telle que la région du Moyen-Orient (Bahreïn), vous devez choisir un compartiment dans cette même région ou une région activée par défaut. Les résultats ne peuvent pas être stockés dans un compartiment situé dans une autre région optionnelle.
Pour déterminer si une région est activée par défaut, consultez la section Régions et points de terminaison dans le guide de l'AWS Identity and Access Management utilisateur. Outre les exigences précédentes, déterminez également si vous souhaitez récupérer des échantillons de données sensibles que Macie rapporte dans des résultats individuels. Pour récupérer des échantillons de données sensibles d'un objet S3 concerné, toutes les ressources et données suivantes doivent être stockées dans la même région : l'objet concerné, le résultat applicable et le résultat de découverte de données sensibles correspondant.
Tâches
Présentation
Amazon Macie crée automatiquement un résultat de découverte de données sensibles pour chaque objet Amazon S3 qu'il analyse ou tente d'analyser lorsque vous exécutez une tâche de découverte de données sensibles ou qu'il effectue une découverte automatique de données sensibles pour votre compte ou votre organisation. Cela consiste notamment à :
-
Objets dans lesquels Macie détecte des données sensibles et, par conséquent, produisent également des résultats de données sensibles.
-
Objets dans lesquels Macie ne détecte pas de données sensibles et ne produisent donc pas de résultats de données sensibles.
-
Objets que Macie ne peut pas analyser en raison d'erreurs ou de problèmes tels que les paramètres d'autorisation ou l'utilisation d'un format de fichier ou de stockage non pris en charge.
Si Macie détecte des données sensibles dans un objet S3, le résultat de la découverte de données sensibles inclut les données issues de la recherche de données sensibles correspondante. Il fournit également des informations supplémentaires, telles que l'emplacement de pas moins de 1 000 occurrences de chaque type de données sensibles trouvées par Macie dans l'objet. Par exemple :
-
Numéro de colonne et de ligne d'une cellule ou d'un champ dans un classeur Microsoft Excel, un fichier CSV ou un fichier TSV
-
Le chemin d'accès à un champ ou à un tableau dans un fichier JSON ou JSON Lines
-
Numéro de ligne d'une ligne dans un fichier texte non binaire autre qu'un fichier CSV, JSON, JSON Lines ou TSV, par exemple un fichier HTML, TXT ou XML
-
Numéro de page d'une page dans un fichier Adobe Portable Document Format (PDF)
-
L'index d'enregistrement et le chemin d'accès à un champ dans un enregistrement d'un conteneur d'objets Apache Avro ou d'un fichier Apache Parquet
Si l'objet S3 concerné est un fichier d'archive, tel qu'un fichier .tar ou .zip, le résultat de la découverte de données sensibles fournit également des données de localisation détaillées pour les occurrences de données sensibles dans des fichiers individuels que Macie extrait de l'archive. Macie n'inclut pas ces informations dans les résultats de données sensibles pour les fichiers d'archive. Pour signaler les données de localisation, les résultats de découverte de données sensibles utilisent un schéma JSON standardisé.
Un résultat de découverte de données sensibles n'inclut pas les données sensibles trouvées par Macie. Il vous fournit plutôt un enregistrement d'analyse qui peut être utile pour les audits ou les enquêtes.
Macie conserve les résultats de la découverte de vos données sensibles pendant 90 jours. Vous ne pouvez pas y accéder directement depuis la console Amazon Macie ou via l'API Amazon Macie. Suivez plutôt les étapes décrites dans cette rubrique pour configurer Macie afin qu'il crypte vos résultats avec un AWS KMS key que vous spécifiez et qu'il stocke les résultats dans un compartiment S3 à usage général que vous spécifiez également. Macie écrit ensuite les résultats dans des fichiers JSON Lines (.jsonl), ajoute les fichiers au bucket sous forme de fichiers GNU Zip (.gz) et chiffre les données à l'aide du chiffrement SSE-KMS. Depuis le 8 novembre 2023, Macie signe également les objets S3 obtenus avec un code d'authentification de message basé sur le hachage (HMAC). AWS KMS key
Une fois que vous avez configuré Macie pour stocker les résultats de la découverte de vos données sensibles dans un compartiment S3, le compartiment peut servir de référentiel définitif à long terme pour les résultats. Vous pouvez ensuite éventuellement accéder aux résultats de ce référentiel et les interroger.
Astuce
Pour un exemple détaillé et instructif de la manière dont vous pouvez interroger et utiliser les résultats de découverte de données sensibles pour analyser et signaler les risques potentiels liés à la sécurité des données, consultez le billet de blog Comment interroger et visualiser les résultats de découverte de données sensibles de Macie avec Amazon Athena et QuickSight
Pour obtenir des exemples de requêtes Amazon Athena que vous pouvez utiliser pour analyser les résultats de découverte de données sensibles, consultez le référentiel Amazon Macie Results Analytics sur
Étape 1 : Vérifier vos autorisations
Avant de configurer un référentiel pour vos résultats de découverte de données sensibles, vérifiez que vous disposez des autorisations nécessaires pour chiffrer et stocker les résultats. Pour vérifier vos autorisations, utilisez AWS Identity and Access Management (IAM) pour examiner les politiques IAM associées à votre identité IAM. Comparez ensuite les informations contenues dans ces politiques à la liste suivante des actions que vous devez être autorisé à effectuer pour configurer le référentiel.
- Amazon Macie
-
Pour Macie, vérifiez que vous êtes autorisé à effectuer l'action suivante :
macie2:PutClassificationExportConfigurationCette action vous permet d'ajouter ou de modifier les paramètres du référentiel dans Macie.
- Amazon S3
-
Pour Amazon S3, vérifiez que vous êtes autorisé à effectuer les actions suivantes :
-
s3:CreateBucket -
s3:GetBucketLocation -
s3:ListAllMyBuckets -
s3:PutBucketAcl -
s3:PutBucketPolicy -
s3:PutBucketPublicAccessBlock -
s3:PutObject
Ces actions vous permettent d'accéder à un compartiment S3 à usage général pouvant servir de référentiel et de le configurer.
-
- AWS KMS
-
Pour utiliser la console Amazon Macie afin d'ajouter ou de modifier les paramètres du référentiel, vérifiez également que vous êtes autorisé à effectuer les actions suivantes : AWS KMS
-
kms:DescribeKey -
kms:ListAliases
Ces actions vous permettent de récupérer et d'afficher les informations relatives AWS KMS keys à votre compte. Vous pouvez ensuite choisir l'une de ces clés pour chiffrer les résultats de la découverte de données sensibles.
Si vous envisagez d'en créer un nouveau AWS KMS key pour chiffrer les données, vous devez également être autorisé à effectuer les actions suivantes :
kms:CreateKeykms:GetKeyPolicy, etkms:PutKeyPolicy. -
Si vous n'êtes pas autorisé à effectuer les actions requises, demandez de l'aide à votre AWS administrateur avant de passer à l'étape suivante.
Étape 2 : configurer un AWS KMS key
Après avoir vérifié vos autorisations, déterminez celle que AWS KMS key vous souhaitez que Macie utilise pour chiffrer les résultats de la découverte de vos données sensibles. La clé doit être une clé KMS de chiffrement symétrique gérée par le client et activée au même endroit Région AWS que le compartiment S3 dans lequel vous souhaitez stocker les résultats.
La clé peut être une clé existante AWS KMS key de votre propre compte ou une clé existante détenue AWS KMS key par un autre compte. Si vous souhaitez utiliser une nouvelle clé KMS, créez-la avant de continuer. Si vous souhaitez utiliser une clé existante détenue par un autre compte, obtenez l'Amazon Resource Name (ARN) de la clé. Vous devez saisir cet ARN lorsque vous configurez les paramètres du référentiel dans Macie. Pour plus d'informations sur la création et la révision des paramètres des clés KMS, consultez la section Gestion des clés dans le guide du AWS Key Management Service développeur.
Note
La clé peut se trouver AWS KMS key dans un magasin de clés externe. Cependant, la clé peut alors être plus lente et moins fiable qu'une clé entièrement gérée en interne AWS KMS. Vous pouvez réduire ce risque en stockant les résultats de la découverte de vos données sensibles dans un compartiment S3 configuré pour utiliser la clé comme clé de compartiment S3. Cela réduit le nombre de AWS KMS demandes à effectuer pour chiffrer les résultats de la découverte de données sensibles.
Pour plus d'informations sur l'utilisation des clés KMS dans les magasins de clés externes, consultez la section Stockages de clés externes du manuel du AWS Key Management Service développeur. Pour plus d'informations sur l'utilisation des clés de compartiment S3, consultez la section Réduction du coût du SSE-KMS avec les clés de compartiment Amazon S3 dans le guide de l'utilisateur d'Amazon Simple Storage Service.
Après avoir déterminé la clé KMS que vous souhaitez que Macie utilise, autorisez Macie à utiliser la clé. Sinon, Macie ne sera pas en mesure de chiffrer ou de stocker vos résultats dans le référentiel. Pour autoriser Macie à utiliser la clé, mettez à jour la politique de clé pour la clé. Pour obtenir des informations détaillées sur les politiques clés et la gestion de l'accès aux clés KMS, consultez la section Politiques clés du guide du AWS Key Management Service développeur. AWS KMS
Pour mettre à jour la politique clé
-
Ouvrez la AWS KMS console à l'adresse https://console.aws.amazon.com/kms
. -
Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.
-
Choisissez la clé que vous souhaitez que Macie utilise pour chiffrer les résultats de la découverte de données sensibles.
-
Dans l'onglet Stratégie de clé choisissez Modifier.
-
Copiez la déclaration suivante dans votre presse-papiers, puis ajoutez-la à la politique :
{ "Sid": "Allow Macie to use the key", "Effect": "Allow", "Principal": { "Service": "macie.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Encrypt" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": [ "arn:aws:macie2:Region:111122223333:export-configuration:*", "arn:aws:macie2:Region:111122223333:classification-job/*" ] } } }Lorsque vous ajoutez l'instruction, assurez-vous que la syntaxe est valide. Les stratégies utilisent le format JSON. Cela signifie que vous devez également ajouter une virgule avant ou après la déclaration, en fonction de l'endroit où vous ajoutez la déclaration à la stratégie. Si vous ajoutez l'instruction en tant que dernière instruction, ajoutez une virgule après l'accolade de fermeture pour l'instruction précédente. Si vous l'ajoutez en tant que première instruction ou entre deux instructions existantes, ajoutez une virgule après l'accolade de fermeture de l'instruction.
-
Mettez à jour l'instruction avec les valeurs correctes pour votre environnement :
-
Dans les
Conditionchamps, remplacez les valeurs d'espace réservé, où :-
111122223333est l'identifiant de votre compte. Compte AWS -
La
régionest Région AWS celle dans laquelle vous utilisez Macie et vous souhaitez autoriser Macie à utiliser la clé.Si vous utilisez Macie dans plusieurs régions et que vous souhaitez autoriser Macie à utiliser la clé dans d'autres régions, ajoutez des
aws:SourceArnconditions pour chaque région supplémentaire. Par exemple :"aws:SourceArn": [ "arn:aws:macie2:us-east-1:111122223333:export-configuration:*", "arn:aws:macie2:us-east-1:111122223333:classification-job/*", "arn:aws:macie2:us-west-2:111122223333:export-configuration:*", "arn:aws:macie2:us-west-2:111122223333:classification-job/*" ]Vous pouvez également autoriser Macie à utiliser la clé dans toutes les régions. Pour ce faire, remplacez la valeur de l'espace réservé par le caractère générique (*). Par exemple :
"aws:SourceArn": [ "arn:aws:macie2:*:111122223333:export-configuration:*", "arn:aws:macie2:*:111122223333:classification-job/*" ]
-
-
Si vous utilisez Macie dans une région optionnelle, ajoutez le code de région approprié à la valeur du champ.
ServicePar exemple, si vous utilisez Macie dans la région du Moyen-Orient (Bahreïn), dont le code de région est me-south-1, remplacez par.macie.amazonaws.commacie.me-south-1.amazonaws.comPour obtenir la liste des régions dans lesquelles Macie est actuellement disponible et le code régional de chacune d'entre elles, consultez la section Points de terminaison et quotas Amazon Macie dans le. Références générales AWS
Notez que les
Conditionchamps utilisent deux clés de condition globales IAM :-
aws : SourceAccount — Cette condition permet à Macie d'effectuer les actions spécifiées uniquement pour votre compte. Plus précisément, il détermine quel compte peut effectuer les actions spécifiées pour les ressources et les actions spécifiées par la
aws:SourceArncondition.Pour permettre à Macie d'effectuer les actions spécifiées pour des comptes supplémentaires, ajoutez l'ID de compte de chaque compte supplémentaire à cette condition. Par exemple :
"aws:SourceAccount": [111122223333,444455556666] -
aws : SourceArn — Cette condition empêche les autres d' Services AWS effectuer les actions spécifiées. Cela empêche également Macie d'utiliser la clé lors d'autres actions pour votre compte. En d'autres termes, cela permet à Macie de chiffrer les objets S3 avec la clé uniquement s'ils sont des résultats de découverte de données sensibles, et uniquement si ces résultats concernent la découverte automatique de données sensibles ou des tâches de découverte de données sensibles créées par le compte spécifié dans la région spécifiée.
Pour permettre à Macie d'effectuer les actions spécifiées pour des comptes supplémentaires, ajoutez des ARN pour chaque compte supplémentaire à cette condition. Par exemple :
"aws:SourceArn": [ "arn:aws:macie2:us-east-1:111122223333:export-configuration:*", "arn:aws:macie2:us-east-1:111122223333:classification-job/*", "arn:aws:macie2:us-east-1:444455556666:export-configuration:*", "arn:aws:macie2:us-east-1:444455556666:classification-job/*" ]
Les comptes spécifiés par les
aws:SourceArnconditionsaws:SourceAccountet doivent correspondre.Ces conditions permettent d'éviter que Macie ne soit utilisée comme une adjointe confuse lors de transactions avec AWS KMS. Bien que cela ne soit pas recommandé, vous pouvez supprimer ces conditions de la déclaration.
-
-
Lorsque vous avez terminé d'ajouter et de mettre à jour le relevé, choisissez Enregistrer les modifications.
Étape 3 : Choisissez un compartiment S3
Après avoir vérifié vos autorisations et les avoir AWS KMS key configurées, vous êtes prêt à spécifier le compartiment S3 que vous souhaitez utiliser comme référentiel pour les résultats de la découverte de vos données sensibles. Vous avez deux options :
-
Utiliser un nouveau compartiment S3 créé par Macie : si vous choisissez cette option, Macie crée automatiquement un nouveau compartiment S3 à usage général dans le compartiment actuel Région AWS pour les résultats de votre découverte. Macie applique également une politique de compartiment au compartiment. La politique permet à Macie d'ajouter des objets au compartiment. Cela nécessite également que les objets soient chiffrés avec AWS KMS key ce que vous spécifiez, à l'aide du cryptage SSE-KMS. Pour consulter la politique, choisissez Afficher la politique sur la console Amazon Macie après avoir spécifié le nom du bucket et la clé KMS à utiliser.
-
Utilisez un compartiment S3 existant que vous créez : si vous préférez stocker les résultats de votre découverte dans un compartiment S3 spécifique que vous créez, créez-le avant de continuer. Le godet doit être un godet à usage général. En outre, les paramètres et la politique du compartiment doivent permettre à Macie d'ajouter des objets au compartiment. Cette rubrique explique les paramètres à vérifier et comment mettre à jour la politique. Il fournit également des exemples de déclarations à ajouter à la politique.
Les sections suivantes fournissent des instructions pour chaque option. Choisissez la section correspondant à l'option souhaitée.
Si vous préférez utiliser un nouveau compartiment S3 créé par Macie pour vous, la dernière étape du processus consiste à configurer les paramètres du référentiel dans Macie.
Pour configurer les paramètres du référentiel dans Macie
Ouvrez la console Amazon Macie à l'adresse https://console.aws.amazon.com/macie/.
-
Dans le volet de navigation, sous Paramètres, sélectionnez Résultats de découverte.
-
Sous Référentiel pour les résultats de découverte de données sensibles, choisissez Create bucket.
-
Dans le champ Créer un compartiment, entrez le nom du compartiment.
Le nom doit être unique pour tous les compartiments S3. En outre, le nom ne peut être composé que de lettres minuscules, de chiffres, de points (.) et de tirets (-). Pour connaître les exigences de dénomination supplémentaires, consultez les règles de dénomination des compartiments dans le guide de l'utilisateur d'Amazon Simple Storage Service.
-
Développez la section Avancé.
-
(Facultatif) Pour spécifier un préfixe à utiliser dans le chemin d'accès à un emplacement du compartiment, entrez le préfixe dans la zone Préfixe du résultat de la découverte des données.
Lorsque vous entrez une valeur, Macie met à jour l'exemple ci-dessous pour indiquer le chemin d'accès à l'emplacement du compartiment où il stockera les résultats de votre découverte.
-
Pour Bloquer tout accès public, choisissez Oui pour activer tous les paramètres de blocage de l'accès public pour le bucket.
Pour plus d'informations sur ces paramètres, consultez la section Blocage de l'accès public à votre espace de stockage Amazon S3 dans le guide de l'utilisateur d'Amazon Simple Storage Service.
-
Sous Paramètres de chiffrement, spécifiez celui AWS KMS key que vous souhaitez que Macie utilise pour chiffrer les résultats :
-
Pour utiliser une clé de votre propre compte, choisissez Sélectionner une clé de votre compte. Choisissez ensuite dans la AWS KMS keyliste la clé à utiliser. La liste affiche les clés KMS de chiffrement symétriques gérées par le client pour votre compte.
-
Pour utiliser une clé détenue par un autre compte, choisissez Enter the ARN of a key from another account. Ensuite, dans le champ AWS KMS key ARN, entrez le nom de ressource Amazon (ARN) de la clé à utiliser, par exemple.
arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
-
-
Lorsque vous avez fini de saisir les paramètres, choisissez Enregistrer.
Macie teste les paramètres pour vérifier qu'ils sont corrects. Si certains paramètres sont incorrects, Macie affiche un message d'erreur pour vous aider à résoudre le problème.
Après avoir enregistré les paramètres du référentiel, Macie ajoute au référentiel les résultats de découverte existants des 90 jours précédents. Macie commence également à ajouter de nouveaux résultats de découverte au référentiel.
Si vous préférez stocker vos données sensibles, les résultats de découverte dans un compartiment S3 spécifique, vous devez créer et configurer le compartiment avant de configurer les paramètres du référentiel dans Macie. Lorsque vous créez le bucket, tenez compte des exigences suivantes :
-
Le godet doit être un godet à usage général. Il ne peut pas s'agir d'un bucket de répertoire.
-
Si vous activez Object Lock pour le bucket, vous devez désactiver le paramètre de rétention par défaut pour cette fonctionnalité. Sinon, Macie ne pourra pas ajouter les résultats de votre découverte au bucket. Pour plus d'informations sur ce paramètre, consultez la section Utilisation de S3 Object Lock dans le guide de l'utilisateur d'Amazon Simple Storage Service.
-
Pour stocker les résultats de votre découverte pour une région activée par défaut Comptes AWS, telle que la région USA Est (Virginie du Nord), le bucket doit se trouver dans une région activée par défaut. Les résultats ne peuvent pas être stockés dans un compartiment d'une région optionnelle (région désactivée par défaut).
-
Pour stocker les résultats de votre découverte pour une région optionnelle, telle que la région du Moyen-Orient (Bahreïn), le bucket doit se trouver dans la même région ou dans une région activée par défaut. Les résultats ne peuvent pas être stockés dans un compartiment situé dans une autre région optionnelle.
Pour déterminer si une région est activée par défaut, consultez la section Régions et points de terminaison dans le guide de l'AWS Identity and Access Management utilisateur.
Après avoir créé le compartiment, mettez à jour la politique du compartiment pour permettre à Macie de récupérer des informations sur le compartiment et d'y ajouter des objets. Vous pouvez ensuite configurer les paramètres du référentiel dans Macie.
Pour mettre à jour la politique relative au compartiment
Ouvrez la console Amazon S3 sur https://console.aws.amazon.com/s3/
. -
Choisissez le compartiment dans lequel vous souhaitez stocker les résultats de votre découverte.
-
Choisissez l’onglet Permissions (Autorisations).
-
Dans la section Bucket policy (Politique de compartiment), sélectionnez Edit (Modifier).
-
Copiez l'exemple de stratégie suivant dans votre Presse-papiers :
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow Macie to use the GetBucketLocation operation", "Effect": "Allow", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:GetBucketLocation", "Resource": "arn:aws:s3:::myBucketName", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": [ "arn:aws:macie2:Region:111122223333:export-configuration:*", "arn:aws:macie2:Region:111122223333:classification-job/*" ] } } }, { "Sid": "Allow Macie to add objects to the bucket", "Effect": "Allow", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::myBucketName/[optional prefix/]*", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": [ "arn:aws:macie2:Region:111122223333:export-configuration:*", "arn:aws:macie2:Region:111122223333:classification-job/*" ] } } }, { "Sid": "Deny unencrypted object uploads. This is optional", "Effect": "Deny", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::myBucketName/[optional prefix/]*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption": "aws:kms" } } }, { "Sid": "Deny incorrect encryption headers. This is optional", "Effect": "Deny", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::myBucketName/[optional prefix/]*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption-aws-kms-key-id": "arn:aws:kms:Region:111122223333:key/KMSKeyId" } } }, { "Sid": "Deny non-HTTPS access", "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": "arn:aws:s3:::myBucketName/*", "Condition": { "Bool": { "aws:SecureTransport": "false" } } } ] } -
Collez l'exemple de politique dans l'éditeur de politique Bucket sur la console Amazon S3.
-
Mettez à jour l'exemple de politique avec les valeurs correctes pour votre environnement :
-
Dans l'instruction facultative qui refuse les en-têtes de chiffrement incorrects :
-
Remplacez
myBucketNamepar le nom du compartiment. -
Dans ce cas,
StringNotEqualsremplacezarn:aws:kms:region:111122223333:key/KMSpar le nom de ressource Amazon (ARN) à utiliser pour le KeyId chiffrement des résultats de votre découverte. AWS KMS key
-
-
Dans toutes les autres instructions, remplacez les valeurs d'espace réservé, où :
-
myBucketNameest le nom du compartiment. -
111122223333est l'identifiant de votre compte. Compte AWS -
La
régionest Région AWS celle dans laquelle vous utilisez Macie et souhaitez autoriser Macie à ajouter les résultats de découverte au bucket.Si vous utilisez Macie dans plusieurs régions et que vous souhaitez autoriser Macie à ajouter des résultats au bucket pour des régions supplémentaires, ajoutez des
aws:SourceArnconditions pour chaque région supplémentaire. Par exemple :"aws:SourceArn": [ "arn:aws:macie2:us-east-1:111122223333:export-configuration:*", "arn:aws:macie2:us-east-1:111122223333:classification-job/*", "arn:aws:macie2:us-west-2:111122223333:export-configuration:*", "arn:aws:macie2:us-west-2:111122223333:classification-job/*" ]Vous pouvez également autoriser Macie à ajouter des résultats au bucket pour toutes les régions dans lesquelles vous utilisez Macie. Pour ce faire, remplacez la valeur de l'espace réservé par le caractère générique (*). Par exemple :
"aws:SourceArn": [ "arn:aws:macie2:*:111122223333:export-configuration:*", "arn:aws:macie2:*:111122223333:classification-job/*" ]
-
-
Si vous utilisez Macie dans une région optionnelle, ajoutez le code de région approprié à la valeur du
Servicechamp de chaque instruction qui spécifie le principal du service Macie. Par exemple, si vous utilisez Macie dans la région du Moyen-Orient (Bahreïn), dont le code de région est me-south-1,macie.amazonaws.comremplacez-le parmacie.me-south-1.amazonaws.comdans chaque énoncé applicable. Pour obtenir la liste des régions dans lesquelles Macie est actuellement disponible et le code régional de chacune d'entre elles, consultez la section Points de terminaison et quotas Amazon Macie dans le. Références générales AWS
Notez que l'exemple de politique inclut des instructions qui permettent à Macie de déterminer dans quelle région réside le compartiment (
GetBucketLocation) et d'ajouter des objets au compartiment (PutObject). Ces instructions définissent les conditions qui utilisent deux clés de condition globales IAM :-
aws : SourceAccount — Cette condition permet à Macie d'ajouter les résultats de découverte de données sensibles au bucket uniquement pour votre compte. Cela empêche Macie d'ajouter les résultats de découverte d'autres comptes au bucket. Plus précisément, la condition indique quel compte peut utiliser le bucket pour les ressources et les actions spécifiées par la
aws:SourceArncondition.Pour stocker les résultats de comptes supplémentaires dans le compartiment, ajoutez l'ID de compte de chaque compte supplémentaire à cette condition. Par exemple :
"aws:SourceAccount": [111122223333,444455556666] -
aws : SourceArn — Cette condition restreint l'accès au compartiment en fonction de la source des objets ajoutés au compartiment. Cela empêche les autres Services AWS utilisateurs d'ajouter des objets au compartiment. Cela empêche également Macie d'ajouter des objets au compartiment tout en effectuant d'autres actions pour votre compte. Plus précisément, cette condition permet à Macie d'ajouter des objets au compartiment uniquement s'ils sont des résultats de découverte de données sensibles, et uniquement si ces résultats concernent la découverte automatique de données sensibles ou des tâches de découverte de données sensibles créées par le compte spécifié dans la région spécifiée.
Pour permettre à Macie d'effectuer les actions spécifiées pour des comptes supplémentaires, ajoutez des ARN pour chaque compte supplémentaire à cette condition. Par exemple :
"aws:SourceArn": [ "arn:aws:macie2:us-east-1:111122223333:export-configuration:*", "arn:aws:macie2:us-east-1:111122223333:classification-job/*", "arn:aws:macie2:us-east-1:444455556666:export-configuration:*", "arn:aws:macie2:us-east-1:444455556666:classification-job/*" ]
Les comptes spécifiés par les
aws:SourceArnconditionsaws:SourceAccountet doivent correspondre.Ces deux conditions permettent d'éviter que Macie ne soit utilisée comme une adjointe confuse lors des transactions avec Amazon S3. Bien que cela ne soit pas recommandé, vous pouvez supprimer ces conditions de la politique relative aux compartiments.
-
-
Lorsque vous avez terminé de mettre à jour la politique de compartiment, choisissez Enregistrer les modifications.
Vous pouvez désormais configurer les paramètres du référentiel dans Macie.
Pour configurer les paramètres du référentiel dans Macie
Ouvrez la console Amazon Macie à l'adresse https://console.aws.amazon.com/macie/.
-
Dans le volet de navigation, sous Paramètres, sélectionnez Résultats de découverte.
-
Sous Référentiel pour les résultats de découverte de données sensibles, sélectionnez Compartiment existant.
-
Pour Choisir un compartiment, sélectionnez le compartiment dans lequel vous souhaitez stocker les résultats de votre découverte.
-
(Facultatif) Pour spécifier un préfixe à utiliser dans le chemin d'accès à un emplacement dans le compartiment, développez la section Avancé. Ensuite, pour le préfixe du résultat de la découverte des données, entrez le préfixe à utiliser.
Lorsque vous entrez une valeur, Macie met à jour l'exemple ci-dessous pour indiquer le chemin d'accès à l'emplacement du compartiment où il stockera les résultats de votre découverte.
-
Sous Paramètres de chiffrement, spécifiez celui AWS KMS key que vous souhaitez que Macie utilise pour chiffrer les résultats :
-
Pour utiliser une clé de votre propre compte, choisissez Sélectionner une clé de votre compte. Choisissez ensuite dans la AWS KMS keyliste la clé à utiliser. La liste affiche les clés KMS de chiffrement symétriques gérées par le client pour votre compte.
-
Pour utiliser une clé détenue par un autre compte, choisissez Enter the ARN of a key from another account. Ensuite, dans le champ AWS KMS key ARN, entrez l'ARN de la clé à utiliser, par exemple.
arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
-
-
Lorsque vous avez fini de saisir les paramètres, choisissez Enregistrer.
Macie teste les paramètres pour vérifier qu'ils sont corrects. Si certains paramètres sont incorrects, Macie affiche un message d'erreur pour vous aider à résoudre le problème.
Après avoir enregistré les paramètres du référentiel, Macie ajoute au référentiel les résultats de découverte existants des 90 jours précédents. Macie commence également à ajouter de nouveaux résultats de découverte au référentiel.
Note
Si vous modifiez par la suite le paramètre du préfixe des résultats de découverte des données, mettez également à jour la politique de compartiment dans Amazon S3. Les déclarations de politique qui spécifient le chemin précédent doivent spécifier le nouveau chemin. Sinon, Macie ne sera pas autorisé à ajouter les résultats de votre découverte au bucket.
Astuce
Pour réduire les coûts de chiffrement côté serveur, configurez également le compartiment S3 pour utiliser une clé de compartiment S3 et spécifiez AWS KMS key celle que vous avez configurée pour le chiffrement des résultats de découverte de vos données sensibles. L'utilisation d'une clé de compartiment S3 permet de réduire le nombre d'appels AWS KMS, ce qui peut réduire les coûts liés aux AWS KMS demandes. Si la clé KMS se trouve dans un magasin de clés externe, l'utilisation d'une clé de compartiment S3 peut également minimiser l'impact sur les performances de l'utilisation de la clé. Pour en savoir plus, consultez la section Réduire le coût du SSE-KMS avec les clés de compartiment Amazon S3 dans le guide de l'utilisateur d'Amazon Simple Storage Service.
