Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configuration de Macie pour récupérer des échantillons de données sensibles à des fins de recherche
Vous pouvez éventuellement configurer et utiliser Amazon Macie pour récupérer et révéler des échantillons de données sensibles que Macie rapporte dans ses conclusions individuelles relatives aux données sensibles. Les exemples peuvent vous aider à vérifier la nature des données sensibles découvertes par Macie. Ils peuvent également vous aider à personnaliser votre enquête sur un objet ou un bucket Amazon Simple Storage Service (Amazon S3) concernés. Vous pouvez récupérer et révéler des échantillons de données sensibles dans tous les Régions AWS où Macie est actuellement disponible, sauf dans les régions Asie-Pacifique (Osaka) et Israël (Tel Aviv).
Lorsque vous récupérez et révélez des échantillons de données sensibles pour une recherche, Macie utilise les données du résultat de découverte de données sensibles correspondant pour localiser les occurrences de données sensibles dans l'objet S3 concerné. Macie extrait ensuite des échantillons de ces occurrences de l'objet concerné. Macie chiffre les données extraites avec un AWS Key Management Service (AWS KMS) clé que vous spécifiez, stocke temporairement les données chiffrées dans un cache et renvoie les données dans vos résultats pour la recherche. Peu après l'extraction et le chiffrement, Macie supprime définitivement les données du cache, sauf si une conservation supplémentaire est temporairement requise pour résoudre un problème opérationnel.
Pour récupérer et révéler des échantillons de données sensibles à des fins de recherche, vous devez d'abord configurer et activer les paramètres de votre compte Macie. Vous devez également configurer les ressources de support et les autorisations pour votre compte. Les rubriques de cette section vous guident tout au long du processus de configuration de Macie pour récupérer et révéler des échantillons de données sensibles, et de gestion de l'état de la configuration de votre compte.
Rubriques
Astuce
Pour obtenir des recommandations et des exemples de politiques que vous pouvez utiliser pour contrôler l'accès à cette fonctionnalité, consultez le billet de blog suivant sur le AWS Blog sur la sécurité : Comment utiliser Amazon Macie pour prévisualiser les données sensibles contenues dans des compartiments S3
Avant de commencer
Avant de configurer Amazon Macie pour récupérer et révéler des échantillons de données sensibles à des fins de recherche, effectuez les tâches suivantes pour vous assurer que vous disposez des ressources et des autorisations dont vous avez besoin.
Tâches
Ces tâches sont facultatives si vous avez déjà configuré Macie pour récupérer et révéler des échantillons de données sensibles et que vous souhaitez uniquement modifier vos paramètres de configuration.
Étape 1 : Configuration d'un référentiel pour les résultats de découverte de données sensibles
Lorsque vous récupérez et révélez des échantillons de données sensibles pour une recherche, Macie utilise les données du résultat de découverte de données sensibles correspondant pour localiser les occurrences de données sensibles dans l'objet S3 concerné. Il est donc important de vérifier que vous avez configuré un référentiel pour vos résultats de découverte de données sensibles. Sinon, Macie ne sera pas en mesure de localiser les échantillons de données sensibles que vous souhaitez récupérer et révéler.
Pour déterminer si vous avez configuré ce référentiel pour votre compte, vous pouvez utiliser la console Amazon Macie : choisissez Discovery results (sous Paramètres) dans le volet de navigation. Pour ce faire par programmation, utilisez le GetClassificationExportConfigurationfonctionnement d'Amazon Macie. API Pour en savoir plus sur les résultats de découverte de données sensibles et sur la façon de configurer ce référentiel, consultezStockage et conservation des résultats de découverte de données sensibles.
Étape 2 : Déterminer comment accéder aux objets S3 concernés
Pour accéder aux objets S3 concernés et en extraire des échantillons de données sensibles, deux options s'offrent à vous. Vous pouvez configurer Macie pour qu'il utilise votre AWS Identity and Access Management (IAM) informations d'identification de l'utilisateur. Vous pouvez également configurer Macie pour qu'il assume un IAM rôle qui délègue l'accès à Macie. Vous pouvez utiliser l'une ou l'autre configuration avec n'importe quel type de compte Macie : un compte administrateur Macie délégué pour une organisation, un compte de membre Macie dans une organisation ou un compte Macie autonome. Avant de configurer les paramètres dans Macie, déterminez la méthode d'accès que vous souhaitez utiliser. Pour plus de détails sur les options et les exigences de chaque méthode, consultezOptions de configuration pour la récupération d'échantillons.
Si vous envisagez d'utiliser un IAM rôle, créez-le et configurez-le avant de configurer les paramètres dans Macie. Assurez-vous également que les politiques de confiance et d'autorisation relatives au rôle répondent à toutes les exigences pour que Macie assume le rôle. Si votre compte fait partie d'une organisation qui gère de manière centralisée plusieurs comptes Macie, contactez d'abord votre administrateur Macie pour déterminer si et comment configurer le rôle de votre compte.
Étape 3 : Configuration d'un AWS KMS key
Lorsque vous récupérez et révélez des échantillons de données sensibles à des fins de recherche, Macie chiffre les échantillons à l'aide d'un AWS Key Management Service (AWS KMS) clé que vous spécifiez. Par conséquent, vous devez déterminer lequel AWS KMS key que vous souhaitez utiliser pour chiffrer les échantillons. La clé peut être une KMS clé existante de votre propre compte ou une KMS clé existante détenue par un autre compte. Si vous souhaitez utiliser une clé détenue par un autre compte, obtenez le nom de ressource Amazon (ARN) de la clé. Vous devez le spécifier ARN lorsque vous entrez les paramètres de configuration dans Macie.
La KMS clé doit être une clé de chiffrement symétrique gérée par le client. Il doit également s'agir d'une clé à région unique activée dans le même Région AWS comme compte Macie. La KMS clé peut se trouver dans un magasin de clés externe. Cependant, la clé peut alors être plus lente et moins fiable qu'une clé entièrement gérée dans AWS KMS. Si un problème de latence ou de disponibilité empêche Macie de chiffrer les échantillons de données sensibles que vous souhaitez récupérer et révéler, une erreur se produit et Macie ne renvoie aucun échantillon pour la recherche.
En outre, la politique clé pour la clé doit autoriser les principaux appropriés (IAMrôles, IAM utilisateurs ou Comptes AWS) pour effectuer les actions suivantes :
-
kms:Decrypt
-
kms:DescribeKey
-
kms:GenerateDataKey
Important
Comme niveau supplémentaire de contrôle d'accès, nous vous recommandons de créer une KMS clé dédiée pour le chiffrement des échantillons de données sensibles récupérés, et de limiter l'utilisation de la clé aux personnes principales qui doivent être autorisées à récupérer et à révéler des échantillons de données sensibles. Si un utilisateur n'est pas autorisé à effectuer les actions précédentes pour la clé, Macie rejette sa demande de récupération et de divulgation d'échantillons de données sensibles. Macie ne renvoie aucun échantillon pour la découverte.
Pour plus d'informations sur la création et la configuration des KMS clés, consultez la section Gestion des clés dans AWS Key Management Service Guide du développeur. Pour plus d'informations sur l'utilisation de politiques clés pour gérer l'accès aux KMS clés, voir Politiques clés dans AWS KMS dans le .AWS Key Management Service Guide du développeur.
Étape 4 : Vérifiez vos autorisations
Avant de configurer les paramètres dans Macie, vérifiez également que vous disposez des autorisations nécessaires. Pour vérifier vos autorisations, utilisez AWS Identity and Access Management (IAM) pour passer en revue les IAM politiques liées à votre IAM identité. Comparez ensuite les informations contenues dans ces politiques à la liste suivante des actions que vous devez être autorisé à effectuer.
- Amazon Macie
-
Pour Macie, vérifiez que vous êtes autorisé à effectuer les actions suivantes :
-
macie2:GetMacieSession
-
macie2:UpdateRevealConfiguration
La première action vous permet d'accéder à votre compte Macie. La deuxième action vous permet de modifier vos paramètres de configuration pour récupérer et révéler des échantillons de données sensibles. Cela inclut l'activation et la désactivation de la configuration de votre compte.
Vérifiez éventuellement que vous êtes également autorisé à effectuer l'
macie2:GetRevealConfiguration
action. Cette action vous permet de récupérer vos paramètres de configuration actuels et l'état actuel de la configuration de votre compte. -
- AWS KMS
-
Si vous prévoyez d'utiliser la console Amazon Macie pour entrer les paramètres de configuration, vérifiez également que vous êtes autorisé à effectuer les opérations suivantes AWS Key Management Service (AWS KMS) actions :
-
kms:DescribeKey
-
kms:ListAliases
Ces actions vous permettent de récupérer des informations sur AWS KMS keys pour votre compte. Vous pouvez ensuite choisir l'une de ces touches lorsque vous entrez les paramètres.
-
- IAM
-
Si vous envisagez de configurer Macie pour qu'il assume un IAM rôle de récupération et de divulgation d'échantillons de données sensibles, vérifiez également que vous êtes autorisé à effectuer l'IAMaction suivante :
iam:PassRole
. Cette action vous permet de passer le rôle à Macie, qui à son tour permet à Macie d'assumer le rôle. Lorsque vous entrez les paramètres de configuration de votre compte, Macie peut également vérifier que le rôle existe dans votre compte et qu'il est correctement configuré.
Si vous n'êtes pas autorisé à effectuer les actions requises, demandez à AWS administrateur pour obtenir de l'aide.
Configuration et activation des paramètres Macie
Après avoir vérifié que vous disposez des ressources et des autorisations nécessaires, vous pouvez configurer les paramètres dans Amazon Macie et activer la configuration de votre compte.
Si votre compte fait partie d'une organisation qui gère de manière centralisée plusieurs comptes Macie, notez ce qui suit avant de configurer ou de modifier ultérieurement les paramètres de votre compte :
-
Si vous avez un compte membre, contactez votre administrateur Macie pour déterminer si et comment configurer les paramètres de votre compte. Votre administrateur Macie peut vous aider à déterminer les paramètres de configuration appropriés pour votre compte.
-
Si vous disposez d'un compte administrateur Macie et que vous modifiez les paramètres d'accès aux objets S3 concernés, vos modifications peuvent affecter d'autres comptes et ressources de votre organisation. Cela dépend si Macie est actuellement configuré pour assumer un AWS Identity and Access Management (IAM) rôle pour récupérer des échantillons de données sensibles. Si tel est le cas et que vous reconfigurez Macie pour utiliser les informations IAM d'identification utilisateur, Macie supprime définitivement les paramètres existants pour le IAM rôle, à savoir le nom du rôle et l'ID externe de votre configuration. Si votre organisation choisit par la suite d'utiliser à nouveau les IAM rôles, vous devrez spécifier un nouvel identifiant externe dans la politique de confiance pour le rôle dans chaque compte membre applicable.
Pour plus de détails sur les options de configuration et les exigences relatives à chaque type de compte, consultezOptions de configuration pour la récupération d'échantillons.
Pour configurer les paramètres dans Macie et activer la configuration de votre compte, vous pouvez utiliser la console Amazon Macie ou Amazon Macie. API
Désactivation des paramètres Macie
Vous pouvez désactiver les paramètres de configuration de votre compte Amazon Macie à tout moment. Si vous désactivez la configuration, Macie conserve le paramètre qui spécifie lequel AWS KMS key à utiliser pour chiffrer les échantillons de données sensibles récupérés. Macie supprime définitivement les paramètres d'accès Amazon S3 pour la configuration.
Avertissement
Lorsque vous désactivez les paramètres de configuration de votre compte Macie, vous supprimez également définitivement les paramètres actuels qui indiquent comment accéder aux objets S3 concernés. Si Macie est actuellement configuré pour accéder aux objets concernés en supposant un AWS Identity and Access Management (IAM), cela inclut : le nom du rôle et l'ID externe généré par Macie pour la configuration. Ces paramètres ne peuvent pas être restaurés après leur suppression.
Pour désactiver les paramètres de configuration de votre compte Macie, vous pouvez utiliser la console Amazon Macie ou Amazon Macie. API
Si Macie a été configuré pour assumer un IAM rôle dans la récupération d'échantillons de données sensibles, vous pouvez éventuellement supprimer le rôle et la politique d'autorisation du rôle. Macie ne supprime pas ces ressources lorsque vous désactivez les paramètres de configuration de votre compte. De plus, Macie n'utilise pas ces ressources pour effectuer d'autres tâches pour votre compte. Pour supprimer le rôle et sa politique d'autorisations, vous pouvez utiliser la IAM console ou le IAMAPI. Pour plus d'informations, consultez la section Suppression de rôles dans AWS Identity and Access Management Guide de l'utilisateur.