Options de configuration et exigences pour récupérer des échantillons de données sensibles contenant des résultats

Vous pouvez éventuellement configurer et utiliser Amazon Macie pour récupérer et révéler des échantillons de données sensibles que Macie rapporte dans des résultats individuels. Si vous récupérez et révélez des échantillons de données sensibles à des fins de recherche, Macie utilise les données du résultat de découverte de données sensibles correspondant pour localiser les occurrences de données sensibles dans l'objet Amazon Simple Storage Service (Amazon S3) concerné. Macie extrait ensuite des échantillons de ces occurrences de l'objet concerné. Macie chiffre les données extraites avec une clé AWS Key Management Service (AWS KMS) que vous spécifiez, stocke temporairement les données chiffrées dans un cache et renvoie les données dans vos résultats pour la recherche. Peu après l'extraction et le chiffrement, Macie supprime définitivement les données du cache, sauf si une conservation supplémentaire est temporairement requise pour résoudre un problème de fonctionnement.

Macie n'utilise pas le rôle lié au service Macie pour votre compte pour localiser, récupérer, chiffrer ou révéler des échantillons de données sensibles pour les objets S3 concernés. Macie utilise plutôt les paramètres et les ressources que vous configurez pour votre compte. Lorsque vous configurez les paramètres dans Macie, vous spécifiez comment accéder aux objets S3 concernés. Vous spécifiez également celui AWS KMS key à utiliser pour chiffrer les échantillons. Vous pouvez configurer les paramètres dans toutes les régions Régions AWS où Macie est actuellement disponible, à l'exception des régions Asie-Pacifique (Osaka) et Israël (Tel Aviv).

Pour accéder aux objets S3 concernés et en extraire des échantillons de données sensibles, deux options s'offrent à vous. Vous pouvez configurer Macie pour qu'il utilise les informations d'identification utilisateur AWS Identity and Access Management (IAM) ou qu'il assume un rôle IAM :

• Utiliser les informations d'identification de l'utilisateur IAM : avec cette option, chaque utilisateur de votre compte utilise son identité IAM individuelle pour localiser, récupérer, chiffrer et révéler les échantillons. Cela signifie qu'un utilisateur peut récupérer et révéler des échantillons de données sensibles à des fins de recherche s'il est autorisé à accéder aux ressources et aux données requises et à effectuer les actions requises.

• Assumez un rôle IAM : avec cette option, vous créez un rôle IAM qui délègue l'accès à Macie. Vous vous assurez également que les politiques de confiance et d'autorisation relatives au rôle répondent à toutes les exigences pour que Macie assume le rôle. Macie assume ensuite le rôle lorsqu'un utilisateur de votre compte choisit de localiser, de récupérer, de chiffrer et de révéler des échantillons de données sensibles à des fins de recherche.

Vous pouvez utiliser l'une ou l'autre configuration avec n'importe quel type de compte Macie : un compte administrateur Macie délégué pour une organisation, un compte de membre Macie dans une organisation ou un compte Macie autonome.

Les rubriques suivantes décrivent les options, les exigences et les considérations qui peuvent vous aider à déterminer comment configurer les paramètres et les ressources de votre compte. Cela inclut les politiques de confiance et d'autorisation à associer à un rôle IAM. Pour obtenir des recommandations supplémentaires et des exemples de politiques que vous pouvez utiliser pour récupérer et révéler des échantillons de données sensibles, consultez le billet de blog Comment utiliser Amazon Macie pour prévisualiser les données sensibles dans des compartiments S3 sur le AWS blog de sécurité.

Déterminer la méthode d'accès à utiliser

Lorsque vous déterminez quelle configuration convient le mieux à votre AWS environnement, il est essentiel de déterminer si celui-ci inclut plusieurs comptes Amazon Macie gérés de manière centralisée en tant qu'organisation. Si vous êtes l'administrateur Macie délégué d'une organisation, configurer Macie pour qu'il assume un rôle IAM peut rationaliser la récupération d'échantillons de données sensibles à partir des objets S3 concernés pour les comptes de votre organisation. Cette approche vous permet de créer un rôle IAM dans votre compte administrateur. Vous créez également un rôle IAM dans chaque compte membre applicable. Le rôle de votre compte administrateur délègue l'accès à Macie. Le rôle d'un compte membre délègue l'accès entre comptes au rôle de votre compte administrateur. S'il est implémenté, vous pouvez ensuite utiliser le chaînage des rôles pour accéder aux objets S3 concernés pour vos comptes membres.

Déterminez également qui a un accès direct aux résultats individuels par défaut. Pour récupérer et révéler des échantillons de données sensibles pour une découverte, un utilisateur doit d'abord avoir accès à la constatation :

• Tâches de découverte de données sensibles : seul le compte qui crée une tâche peut accéder aux résultats produits par cette tâche. Si vous avez un compte administrateur Macie, vous pouvez configurer une tâche pour analyser des objets dans des compartiments S3 pour n'importe quel compte de votre organisation. Par conséquent, vos tâches peuvent générer des résultats pour des objets se trouvant dans des compartiments appartenant à vos comptes membres. Si vous avez un compte membre ou un compte Macie autonome, vous pouvez configurer une tâche pour analyser les objets uniquement dans les buckets détenus par votre compte.

• Découverte automatique des données sensibles : seul le compte administrateur Macie peut accéder aux résultats produits par la découverte automatique pour les comptes de son organisation. Les comptes des membres ne peuvent pas accéder à ces résultats. Si vous possédez un compte Macie autonome, vous pouvez accéder aux résultats que la découverte automatique produit uniquement pour votre propre compte.

Si vous prévoyez d'accéder aux objets S3 concernés à l'aide d'un rôle IAM, tenez également compte des points suivants :

• Pour localiser les occurrences de données sensibles dans un objet, le résultat de découverte de données sensibles correspondant à une recherche doit être stocké dans un objet S3 que Macie a signé avec un code d'authentification de message basé sur le hachage (HMAC). AWS KMS key Macie doit être en mesure de vérifier l'intégrité et l'authenticité du résultat de la découverte de données sensibles. Sinon, Macie n'assume pas le rôle IAM pour récupérer des échantillons de données sensibles. Il s'agit d'un garde-fou supplémentaire permettant de restreindre l'accès aux données d'un compte dans les objets S3.

• Pour récupérer des échantillons de données sensibles à partir d'un objet chiffré géré par un clientAWS KMS key, le rôle IAM doit être autorisé à déchiffrer les données à l'aide de la clé. Plus précisément, la politique de la clé doit permettre au rôle d'exécuter l'kms:Decryptaction. Pour les autres types de chiffrement côté serveur, aucune autorisation ou ressource supplémentaire n'est requise pour déchiffrer un objet concerné. Pour plus d'informations, consultez Décryptage des objets S3 concernés.

• Pour récupérer des échantillons de données sensibles d'un objet pour un autre compte, vous devez actuellement être l'administrateur Macie délégué du compte dans le compte applicableRégion AWS. En outre :

  • Macie doit actuellement être activé pour le compte membre dans la région applicable.

  • Le compte membre doit avoir un rôle IAM qui délègue l'accès entre comptes à un rôle IAM dans votre compte administrateur Macie. Le nom du rôle doit être le même dans votre compte administrateur Macie et dans le compte membre.

  • La politique de confiance pour le rôle IAM dans le compte membre doit inclure une condition qui spécifie l'ID externe correct pour votre configuration. Cet identifiant est une chaîne alphanumérique unique que Macie génère automatiquement une fois que vous avez configuré les paramètres de votre compte administrateur Macie. Pour plus d'informations sur l'utilisation d'identifiants externes dans les politiques de confiance, voir Comment utiliser un identifiant externe lorsque vous accordez l'accès à vos AWS ressources à un tiers dans le Guide de AWS Identity and Access Management l'utilisateur.

  • Si le rôle IAM dans le compte membre répond à toutes les exigences de Macie, le compte membre n'a pas besoin de configurer et d'activer les paramètres Macie pour que vous puissiez récupérer des échantillons de données sensibles à partir d'objets pour son compte. Macie utilise uniquement les paramètres et le rôle IAM dans votre compte administrateur Macie et le rôle IAM dans le compte membre.

    Astuce

    Si votre compte fait partie d'une grande organisation, pensez à utiliser un AWS CloudFormation modèle et un ensemble de piles pour attribuer et gérer les rôles IAM pour les comptes des membres de votre organisation. Pour plus d'informations sur la création et l'utilisation de modèles et de jeux de piles, consultez le guide de AWS CloudFormation l'utilisateur.

    Pour consulter et éventuellement télécharger un CloudFormation modèle pouvant servir de point de départ, vous pouvez utiliser la console Amazon Macie. Dans le volet de navigation de la console, sous Paramètres, sélectionnez Afficher les échantillons. Choisissez Modifier, puis Afficher les autorisations et le CloudFormation modèle des rôles des membres.

Les rubriques suivantes de cette section fournissent des informations et des considérations supplémentaires pour chaque type de configuration. Pour les rôles IAM, cela inclut les politiques de confiance et d'autorisation à associer à un rôle. Si vous ne savez pas quel type de configuration convient le mieux à votre environnement, demandez de l'aide à votre AWS administrateur.

Utilisation des informations d'identification utilisateur IAM pour accéder aux objets S3 concernés

Si vous configurez Amazon Macie pour récupérer des échantillons de données sensibles à l'aide des informations d'identification utilisateur IAM, chaque utilisateur de votre compte Macie utilise son identité IAM pour localiser, récupérer, chiffrer et révéler des échantillons pour des résultats individuels. Cela signifie qu'un utilisateur peut récupérer et révéler des échantillons de données sensibles afin de déterminer si son identité IAM est autorisée à accéder aux ressources et aux données requises et à effectuer les actions requises. Toutes les actions requises sont enregistrées. AWS CloudTrail

Pour récupérer et révéler des échantillons de données sensibles pour une découverte particulière, un utilisateur doit être autorisé à accéder aux données et ressources suivantes : la recherche, le résultat de découverte de données sensibles correspondant, le compartiment S3 concerné et l'objet S3 concerné. Ils doivent également être autorisés à utiliser celui AWS KMS key qui a été utilisé pour chiffrer l'objet concerné, le cas échéant, et AWS KMS key celui que vous avez configuré Macie pour chiffrer des échantillons de données sensibles. Si des politiques IAM, des politiques de ressources ou d'autres paramètres d'autorisation refusent l'accès requis, l'utilisateur ne sera pas en mesure de récupérer et de révéler des échantillons pour la recherche.

Pour configurer ce type de configuration, effectuez les tâches générales suivantes :

1. Vérifiez que vous avez configuré un référentiel pour les résultats de la découverte de vos données sensibles.

2. Configurez le AWS KMS key à utiliser pour le chiffrement d'échantillons de données sensibles.

3. Vérifiez vos autorisations pour configurer les paramètres dans Macie.

4. Configurez et activez les paramètres dans Macie.

Pour plus d'informations sur l'exécution de ces tâches, consultezConfiguration d'Amazon Macie pour récupérer et révéler des échantillons de données sensibles contenant des résultats.

Assumer un rôle IAM pour accéder aux objets S3 concernés

Pour configurer Amazon Macie afin de récupérer des échantillons de données sensibles en assumant un rôle IAM, commencez par créer un rôle IAM qui délègue l'accès à Macie. Assurez-vous que les politiques de confiance et d'autorisation relatives au rôle répondent à toutes les exigences pour que Macie assume le rôle. Lorsqu'un utilisateur de votre compte Macie choisit ensuite de récupérer et de révéler des échantillons de données sensibles à des fins de recherche, Macie assume le rôle de récupérer les échantillons de l'objet S3 concerné. Macie assume le rôle uniquement lorsqu'un utilisateur choisit de récupérer et de révéler des échantillons à des fins de recherche. Pour assumer ce rôle, Macie utilise le AssumeRolefonctionnement de l'API AWS Security Token Service (AWS STS). Toutes les actions requises sont enregistrées. AWS CloudTrail

Pour récupérer et révéler des échantillons de données sensibles pour une découverte particulière, un utilisateur doit être autorisé à accéder à la découverte de données sensibles, au résultat de découverte de données sensibles correspondant et au AWS KMS key fichier que vous configurez Macie pour chiffrer les échantillons de données sensibles. Le rôle IAM doit permettre à Macie d'accéder au compartiment S3 et à l'objet S3 concernés. Le rôle doit également être autorisé à utiliser celui AWS KMS key qui a été utilisé pour chiffrer l'objet concerné, le cas échéant. Si des politiques IAM, des politiques de ressources ou d'autres paramètres d'autorisation refusent l'accès requis, l'utilisateur ne sera pas en mesure de récupérer et de révéler des échantillons pour la recherche.

Pour configurer ce type de configuration, effectuez les tâches générales suivantes. Si vous avez un compte membre dans une organisation, contactez votre administrateur Macie pour déterminer si et comment configurer les paramètres et les ressources de votre compte.

1. Définissez les éléments suivants :

   • Nom du rôle IAM que vous souhaitez que Macie assume. Si votre compte fait partie d'une organisation, ce nom doit être le même pour le compte administrateur Macie délégué et pour chaque compte de membre applicable de l'organisation. Dans le cas contraire, l'administrateur Macie ne pourra pas accéder aux objets S3 concernés pour un compte de membre applicable.

   • Nom de la politique d'autorisations IAM à associer au rôle IAM. Si votre compte fait partie d'une organisation, nous vous recommandons d'utiliser le même nom de politique pour chaque compte membre applicable de l'organisation. Cela permet de rationaliser le provisionnement et la gestion du rôle dans les comptes des membres.

2. Vérifiez que vous avez configuré un référentiel pour les résultats de la découverte de vos données sensibles.

3. Configurez le AWS KMS key à utiliser pour le chiffrement d'échantillons de données sensibles.

4. Vérifiez vos autorisations pour créer des rôles IAM et configurer les paramètres dans Macie.

5. Si vous êtes l'administrateur Macie délégué d'une organisation ou si vous possédez un compte Macie autonome :

   1. Créez et configurez le rôle IAM pour votre compte. Assurez-vous que les politiques de confiance et d'autorisation relatives au rôle répondent à toutes les exigences pour que Macie assume le rôle. Pour plus de détails sur ces exigences, consultez la rubrique suivante.

   2. Configurez et activez les paramètres dans Macie. Macie génère ensuite un identifiant externe pour la configuration. Si vous êtes l'administrateur Macie d'une organisation, notez cet identifiant. La politique de confiance pour le rôle IAM dans chacun de vos comptes membres applicables doit spécifier cet ID.

6. Si vous avez un compte membre dans une organisation :

   1. Demandez à votre administrateur Macie l'ID externe à spécifier dans la politique de confiance pour le rôle IAM dans votre compte. Vérifiez également le nom du rôle IAM et la politique d'autorisations à créer.

   2. Créez et configurez le rôle IAM pour votre compte. Assurez-vous que les politiques de confiance et d'autorisation relatives au rôle répondent à toutes les exigences pour que votre administrateur Macie assume le rôle. Pour plus de détails sur ces exigences, consultez la rubrique suivante.

   3. (Facultatif) Si vous souhaitez récupérer et révéler des échantillons de données sensibles provenant des objets S3 concernés pour votre propre compte, configurez et activez les paramètres dans Macie. Si vous souhaitez que Macie assume un rôle IAM pour récupérer les échantillons, commencez par créer et configurer un rôle IAM supplémentaire dans votre compte. Assurez-vous que les politiques de confiance et d'autorisation pour ce rôle supplémentaire répondent à toutes les exigences pour que Macie assume le rôle. Configurez ensuite les paramètres dans Macie et spécifiez le nom de ce rôle supplémentaire. Pour plus de détails sur les exigences de politique relatives au rôle, consultez la rubrique suivante.

Pour plus d'informations sur l'exécution de ces tâches, consultezConfiguration d'Amazon Macie pour récupérer et révéler des échantillons de données sensibles contenant des résultats.

Configuration d'un rôle IAM pour accéder aux objets S3 concernés

Pour accéder aux objets S3 concernés à l'aide d'un rôle IAM, commencez par créer et configurer un rôle qui délègue l'accès à Amazon Macie. Assurez-vous que les politiques de confiance et d'autorisation relatives au rôle répondent à toutes les exigences pour que Macie assume le rôle. La façon de procéder dépend du type de compte Macie que vous possédez.

Les sections suivantes fournissent des détails sur les politiques de confiance et d'autorisation à associer au rôle IAM pour chaque type de compte Macie. Choisissez la section correspondant au type de compte que vous possédez.

Note

Si vous avez un compte membre dans une organisation, vous devrez peut-être créer et configurer deux rôles IAM pour votre compte :

• Pour permettre à votre administrateur Macie de récupérer et de révéler des échantillons de données sensibles provenant des objets S3 concernés pour votre compte, créez et configurez un rôle que le compte de votre administrateur peut assumer. Pour plus de détails, choisissez la section du compte de membre Macie.

• Pour récupérer et révéler des échantillons de données sensibles provenant des objets S3 concernés pour votre propre compte, créez et configurez un rôle que Macie peut assumer. Pour plus de détails, choisissez la section Compte Macie autonome.

Avant de créer et de configurer l'un des rôles IAM, contactez votre administrateur Macie pour déterminer la configuration appropriée pour votre compte.

Pour obtenir des informations détaillées sur l'utilisation d'IAM pour créer le rôle, consultez la section Création d'un rôle à l'aide de politiques de confiance personnalisées dans le Guide de AWS Identity and Access Management l'utilisateur.

Compte administrateur Macie

Si vous êtes l'administrateur Macie délégué d'une organisation, commencez par utiliser l'éditeur de stratégie IAM pour créer la politique d'autorisations pour le rôle IAM. La politique doit être la suivante.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RetrieveS3Objects",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "AssumeMacieRevealRoleForCrossAccountAccess",
            "Effect": "Allow",
            "Action": [
                "sts:AssumeRole"
            ],
            "Resource": "arn:aws:iam::*:role/IAMRoleName"
        }
    ]
}

Où IAM RoleName est le nom du rôle IAM que Macie doit assumer lors de la récupération d'échantillons de données sensibles à partir d'objets S3 concernés pour les comptes de votre organisation. Remplacez cette valeur par le nom du rôle que vous créez pour votre compte et que vous prévoyez de créer pour les comptes membres applicables de votre organisation. Ce nom doit être le même pour votre compte administrateur Macie et pour chaque compte de membre applicable.

Note

Dans la politique d'autorisation précédente, l'Resourceélément de la première instruction utilise un caractère générique (*). Cela permet à une entité IAM attachée de récupérer des objets dans tous les compartiments S3 que possède votre organisation. Pour autoriser cet accès uniquement à des compartiments spécifiques, remplacez le caractère générique par le nom de ressource Amazon (ARN) de chaque compartiment. Par exemple, pour autoriser l'accès uniquement aux objets d'un compartiment nommé DOC-EXAMPLE-BUCKET, modifiez l'élément comme suit :

"Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"

Vous pouvez également restreindre l'accès aux objets dans des compartiments S3 spécifiques pour des comptes individuels. Pour ce faire, spécifiez les ARN du bucket dans l'Resourceélément de la politique d'autorisation pour le rôle IAM dans chaque compte applicable. Pour plus d'informations et des exemples, voir Éléments de politique IAM JSON : ressource dans le guide de l'AWS Identity and Access Managementutilisateur.

Après avoir créé la politique d'autorisations pour le rôle IAM, créez et configurez le rôle. Si vous le faites à l'aide de la console IAM, choisissez Custom trust policy comme type d'entité fiable pour le rôle. Pour la politique de confiance qui définit les entités fiables pour le rôle, spécifiez ce qui suit.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowMacieReveal",
            "Effect": "Allow",
            "Principal": {
                "Service": "reveal-samples.macie.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "accountID"
                }
            }
        }
    ]
}

Où AccountID est l'identifiant de compte de votre. Compte AWS Remplacez cette valeur par votre identifiant de compte à 12 chiffres.

Dans la politique de confiance précédente :

• L'Principalélément spécifie le principal de service que Macie utilise lors de la récupération d'échantillons de données sensibles à partir d'objets S3 concernés. reveal-samples.macie.amazonaws.com

• L'Actionélément spécifie l'action que le principal de service est autorisé à effectuer, le AssumeRolefonctionnement de l'API AWS Security Token Service (AWS STS).

• L'Conditionélément définit une condition qui utilise la clé de contexte aws : SourceAccount global condition. Cette condition détermine quel compte peut effectuer l'action spécifiée. Dans ce cas, cela permet à Macie d'assumer le rôle uniquement pour le compte spécifié (AccountID). Cette condition permet d'éviter que Macie ne soit utilisée comme une adjointe confuse lors de transactions avecAWS STS.

Après avoir défini la politique de confiance pour le rôle IAM, associez la politique d'autorisations au rôle. Il doit s'agir de la politique d'autorisation que vous avez créée avant de commencer à créer le rôle. Effectuez ensuite les étapes restantes dans IAM pour terminer la création et la configuration du rôle. Lorsque vous avez terminé, configurez et activez les paramètres dans Macie.

Compte membre Macie

Si vous avez un compte de membre Macie et que vous souhaitez autoriser votre administrateur Macie à récupérer et à révéler des échantillons de données sensibles provenant des objets S3 concernés pour votre compte, commencez par demander les informations suivantes à votre administrateur Macie :

• Nom du rôle IAM à créer. Le nom de votre compte doit être le même que celui du compte administrateur Macie de votre organisation.

• Nom de la politique d'autorisations IAM à associer au rôle.

• ID externe à spécifier dans la politique de confiance du rôle. Cet identifiant doit être l'identifiant externe généré par Macie pour la configuration de votre administrateur Macie.

Après avoir reçu ces informations, utilisez l'éditeur de stratégie IAM pour créer la politique d'autorisations pour le rôle. La politique doit être la suivante.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RetrieveS3Objects",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

La politique d'autorisation précédente permet à une entité IAM attachée de récupérer des objets de tous les compartiments S3 de votre compte. Cela est dû au fait que l'Resourceélément de la politique utilise un caractère générique (*). Pour autoriser cet accès uniquement à des compartiments spécifiques, remplacez le caractère générique par le nom de ressource Amazon (ARN) de chaque compartiment. Par exemple, pour autoriser l'accès uniquement aux objets d'un compartiment nommé DOC-EXAMPLE-BUCKET2, modifiez l'élément comme suit :

"Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET2/*"

Pour plus d'informations et des exemples, voir Éléments de politique IAM JSON : ressource dans le guide de l'AWS Identity and Access Managementutilisateur.

Après avoir créé la politique d'autorisations pour le rôle IAM, créez le rôle. Si vous créez le rôle à l'aide de la console IAM, choisissez Custom trust policy comme type d'entité fiable pour le rôle. Pour la politique de confiance qui définit les entités fiables pour le rôle, spécifiez ce qui suit.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowMacieAdminRevealRoleForCrossAccountAccess",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::administratorAccountID:role/IAMRoleName"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:ExternalId": "externalID",
                    "aws:PrincipalOrgID": "${aws:ResourceOrgID}"
                }
            }
        }
    ]
}

Dans la politique précédente, remplacez les valeurs d'espace réservé par les valeurs correctes pour votre AWS environnement, où :

• AdministratorAccountId est l'identifiant de compte à 12 chiffres du compte de votre administrateur Macie.

• IAM RoleName est le nom du rôle IAM dans le compte de votre administrateur Macie. Il doit s'agir du nom que vous avez reçu de votre administrateur Macie.

• ExternalID est l'ID externe que vous avez reçu de votre administrateur Macie.

En général, la politique de confiance permet à votre administrateur Macie d'assumer le rôle de récupérer et de révéler des échantillons de données sensibles provenant des objets S3 concernés pour votre compte. L'Principalélément spécifie l'ARN d'un rôle IAM dans le compte de votre administrateur Macie. C'est le rôle que votre administrateur Macie utilise pour récupérer et révéler des échantillons de données sensibles pour les comptes de votre organisation. Le Condition bloc définit deux conditions qui déterminent en outre qui peut assumer le rôle :

• La première condition spécifie un identifiant externe propre à la configuration de votre organisation. Pour en savoir plus sur les identifiants externes, consultez la section Comment utiliser un identifiant externe lorsque vous accordez l'accès à vos AWS ressources à un tiers dans le Guide de AWS Identity and Access Management l'utilisateur.

• La deuxième condition utilise la clé de contexte de condition globale aws : PrincipalOrg ID. La valeur de la clé est une variable dynamique qui représente l'identifiant unique d'une organisation dans AWS Organizations (${aws:ResourceOrgID}). La condition restreint l'accès aux seuls comptes appartenant à la même organisation dansAWS Organizations. Si vous avez rejoint votre organisation en acceptant une invitation dans Macie, supprimez cette condition de la politique.

Après avoir défini la politique de confiance pour le rôle IAM, associez la politique d'autorisations au rôle. Il doit s'agir de la politique d'autorisation que vous avez créée avant de commencer à créer le rôle. Effectuez ensuite les étapes restantes dans IAM pour terminer la création et la configuration du rôle. Ne configurez pas et ne saisissez pas les paramètres du rôle dans Macie.

Compte Macie autonome

Si vous avez un compte Macie autonome ou un compte membre Macie et que vous souhaitez récupérer et révéler des échantillons de données sensibles provenant d'objets S3 concernés pour votre propre compte, commencez par utiliser l'éditeur de stratégie IAM pour créer la politique d'autorisations pour le rôle IAM. La politique doit être la suivante.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RetrieveS3Objects",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Dans la politique d'autorisation précédente, l'Resourceélément utilise un caractère générique (*). Cela permet à une entité IAM attachée de récupérer des objets dans tous les compartiments S3 de votre compte. Pour autoriser cet accès uniquement à des compartiments spécifiques, remplacez le caractère générique par le nom de ressource Amazon (ARN) de chaque compartiment. Par exemple, pour autoriser l'accès uniquement aux objets d'un compartiment nommé DOC-EXAMPLE-BUCKET3, modifiez l'élément comme suit :

"Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET3/*"

Pour plus d'informations et des exemples, voir Éléments de politique IAM JSON : ressource dans le guide de l'AWS Identity and Access Managementutilisateur.

Après avoir créé la politique d'autorisations pour le rôle IAM, créez le rôle. Si vous créez le rôle à l'aide de la console IAM, choisissez Custom trust policy comme type d'entité fiable pour le rôle. Pour la politique de confiance qui définit les entités fiables pour le rôle, spécifiez ce qui suit.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowMacieReveal",
            "Effect": "Allow",
            "Principal": {
                "Service": "reveal-samples.macie.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "accountID"
                }
            }
        }
    ]
}

Où AccountID est l'identifiant de compte de votre. Compte AWS Remplacez cette valeur par votre identifiant de compte à 12 chiffres.

Dans la politique de confiance précédente :

• L'Principalélément spécifie le principal de service que Macie utilise pour récupérer et révéler des échantillons de données sensibles provenant d'objets S3 concernés. reveal-samples.macie.amazonaws.com

• L'Actionélément spécifie l'action que le principal de service est autorisé à effectuer, le AssumeRolefonctionnement de l'API AWS Security Token Service (AWS STS).

• L'Conditionélément définit une condition qui utilise la clé de contexte aws : SourceAccount global condition. Cette condition détermine quel compte peut effectuer l'action spécifiée. Cela permet à Macie d'assumer le rôle uniquement pour le compte spécifié (AccountID). Cette condition permet d'éviter que Macie ne soit utilisée comme une adjointe confuse lors de transactions avecAWS STS.

Après avoir défini la politique de confiance pour le rôle IAM, associez la politique d'autorisations au rôle. Il doit s'agir de la politique d'autorisation que vous avez créée avant de commencer à créer le rôle. Effectuez ensuite les étapes restantes dans IAM pour terminer la création et la configuration du rôle. Lorsque vous avez terminé, configurez et activez les paramètres dans Macie.

Décryptage des objets S3 concernés

Amazon S3 prend en charge plusieurs options de chiffrement pour les objets S3. Pour la plupart de ces options, aucune ressource ou autorisation supplémentaire n'est requise pour qu'un utilisateur ou un rôle IAM puisse déchiffrer et récupérer des échantillons de données sensibles d'un objet concerné. C'est le cas d'un objet chiffré à l'aide d'un chiffrement côté serveur à l'aide d'une clé gérée par Amazon S3 ou d'une AWS clé gérée. AWS KMS key

Toutefois, si un objet S3 est chiffré et géré par un clientAWS KMS key, des autorisations supplémentaires sont nécessaires pour déchiffrer et récupérer des échantillons de données sensibles de l'objet. Plus précisément, la politique de clé pour la clé KMS doit autoriser l'utilisateur ou le rôle IAM à effectuer l'kms:Decryptaction. Sinon, une erreur se produit et Macie ne récupère aucun échantillon de l'objet. Pour savoir comment fournir cet accès à un utilisateur IAM, consultez la section Authentification et contrôle d'AWS KMSaccès du Guide du AWS Key Management Service développeur.

La manière de fournir cet accès à un rôle IAM dépend du fait que le compte propriétaire du rôle possède AWS KMS key également le rôle :

• Si le même compte possède la clé KMS et le rôle, un utilisateur du compte doit mettre à jour la politique de la clé.

• Si un compte possède la clé KMS et qu'un autre compte possède le rôle, un utilisateur du compte propriétaire de la clé doit autoriser l'accès entre comptes à la clé.

Cette rubrique décrit comment effectuer ces tâches pour un rôle IAM que vous avez créé pour récupérer des échantillons de données sensibles à partir d'objets S3. Il fournit également des exemples pour les deux scénarios. Pour plus d'informations sur l'autorisation d'accès aux services gérés par le client AWS KMS keys pour d'autres scénarios, consultez la section Authentification et contrôle d'accès AWS KMS dans le guide du AWS Key Management Service développeur.

Permettre à un même compte d'accéder à une clé gérée par le client

Si le même compte possède à la fois le rôle IAM AWS KMS key et le rôle IAM, un utilisateur du compte doit ajouter une déclaration à la politique de la clé. L'instruction supplémentaire doit autoriser le rôle IAM à déchiffrer les données à l'aide de la clé. Pour obtenir des informations détaillées sur la mise à jour d'une politique clé, consultez la section Modification d'une politique clé dans le Guide du AWS Key Management Service développeur.

Dans la déclaration :

• L'Principalélément doit spécifier le nom de ressource Amazon (ARN) du rôle IAM.

• Le Action tableau doit spécifier l'kms:Decryptaction. Il s'agit de la seule AWS KMS action que le rôle IAM doit être autorisé à effectuer pour déchiffrer un objet chiffré avec la clé.

Voici un exemple de l'instruction à ajouter à la politique pour une clé KMS.

{
    "Sid": "Allow the Macie reveal role to use the key",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::123456789012:role/IAMRoleName"
    },
    "Action": [
        "kms:Decrypt"
    ],
    "Resource": "*"
}

Dans l'exemple précédent :

• Le AWS champ de l'Principalélément indique l'ARN du rôle IAM dans le compte. Cela permet au rôle d'exécuter l'action spécifiée par la déclaration de politique. 123456789012 est un exemple d'ID de compte. Remplacez cette valeur par l'ID de compte du compte propriétaire du rôle et de la clé KMS. IAM RoleName est un exemple de nom. Remplacez cette valeur par le nom du rôle IAM dans le compte.

• Le Action tableau indique l'action que le rôle IAM est autorisé à effectuer à l'aide de la clé KMS : déchiffrer le texte chiffré avec la clé.

L'endroit où vous ajoutez cette déclaration à une politique clé dépend de la structure et des éléments que la stratégie contient actuellement. Lorsque vous ajoutez l'instruction, assurez-vous que la syntaxe est valide. Les politiques clés utilisent le format JSON. Cela signifie que vous devez également ajouter une virgule avant ou après la déclaration, selon l'endroit où vous ajoutez la déclaration à la politique.

Autoriser l'accès entre comptes à une clé gérée par le client

Si un compte possède le AWS KMS key (propriétaire de la clé) et qu'un autre compte possède le rôle IAM (propriétaire du rôle), le propriétaire de la clé doit fournir au propriétaire du rôle un accès multicompte à la clé. L'un des moyens d'y parvenir est d'utiliser une subvention. Une subvention est un instrument de politique qui permet AWS aux principaux d'utiliser des clés KMS dans des opérations cryptographiques si les conditions spécifiées par la subvention sont remplies. Pour en savoir plus sur les subventions, consultez la section Subventions AWS KMS dans le guide du AWS Key Management Service développeur.

Avec cette approche, le propriétaire de la clé s'assure d'abord que la politique de la clé permet au propriétaire du rôle de créer une autorisation pour la clé. Le propriétaire du rôle crée ensuite une subvention pour la clé. La subvention délègue les autorisations pertinentes au rôle IAM dans leur compte. Cela permet au rôle de déchiffrer les objets S3 chiffrés avec la clé.

Étape 1 : Mettre à jour la politique clé

Dans la politique clé, le propriétaire de la clé doit s'assurer qu'elle inclut une déclaration qui permet au propriétaire du rôle de créer une autorisation pour le rôle IAM dans son compte (celui du propriétaire du rôle). Dans cette déclaration, l'Principalélément doit spécifier l'ARN du compte du propriétaire du rôle. Le Action tableau doit spécifier l'kms:CreateGrantaction. Un Condition bloc peut filtrer l'accès à l'action spécifiée. Voici un exemple de cette déclaration dans la politique relative à une clé KMS.

{
    "Sid": "Allow a role in an account to create a grant",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:root"
    },
    "Action": [
        "kms:CreateGrant"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:GranteePrincipal": "arn:aws:iam::111122223333:role/IAMRoleName"
        },
        "ForAllValues:StringEquals": {
            "kms:GrantOperations": "Decrypt"
        }
    }
}

Dans l'exemple précédent :

• Le AWS champ de l'Principalélément indique l'ARN du compte du propriétaire du rôle. Il permet au compte d'effectuer l'action spécifiée par la déclaration de politique. 111122223333 est un exemple d'ID de compte. Remplacez cette valeur par l'ID du compte du propriétaire du rôle.

• Le Action tableau indique l'action que le propriétaire du rôle est autorisé à effectuer sur la clé KMS : créer une autorisation pour la clé.

• Le Condition bloc utilise les opérateurs de condition et les clés de condition suivantes pour filtrer l'accès à l'action que le propriétaire du rôle est autorisé à effectuer sur la clé KMS :

  • kms : GranteePrincipal — Cette condition permet au propriétaire du rôle de créer une subvention uniquement pour le bénéficiaire principal spécifié, qui est l'ARN du rôle IAM dans son compte. Dans cet ARN, 111122223333 est un exemple d'ID de compte. Remplacez cette valeur par l'ID du compte du propriétaire du rôle. IAM RoleName est un exemple de nom. Remplacez cette valeur par le nom du rôle IAM dans le compte du propriétaire du rôle.

  • kms : GrantOperations — Cette condition permet au propriétaire du rôle de créer une autorisation uniquement pour déléguer l'autorisation d'effectuer l'AWS KMSDecryptaction (déchiffrer le texte chiffré avec la clé). Cela empêche le propriétaire du rôle de créer des autorisations déléguant des autorisations pour effectuer d'autres actions sur la clé KMS. Il s'agit de la seule AWS KMS action que le rôle IAM doit être autorisé à effectuer pour déchiffrer un objet chiffré avec la clé. Decrypt

L'endroit où le propriétaire de la clé ajoute cette déclaration à la politique clé dépend de la structure et des éléments que la politique contient actuellement. Lorsque le propriétaire de la clé ajoute l'instruction, il doit s'assurer que la syntaxe est valide. Les politiques clés utilisent le format JSON. Cela signifie que le propriétaire de la clé doit également ajouter une virgule avant ou après l'instruction, selon l'endroit où il ajoute l'instruction à la politique. Pour obtenir des informations détaillées sur la mise à jour d'une politique clé, consultez la section Modification d'une politique clé dans le Guide du AWS Key Management Service développeur.

Étape 2 : Création d'une subvention

Une fois que le propriétaire de la clé a mis à jour la politique de clé si nécessaire, le propriétaire du rôle crée une autorisation pour la clé. La subvention délègue les autorisations pertinentes au rôle IAM dans leur compte (celui du propriétaire du rôle). Avant que le propriétaire du rôle ne crée la subvention, il doit vérifier qu'il est autorisé à effectuer l'kms:CreateGrantaction. Cette action leur permet d'ajouter une subvention à une subvention existante gérée par le clientAWS KMS key.

Pour créer la subvention, le propriétaire du rôle peut utiliser le CreateGrantfonctionnement de l'AWS Key Management ServiceAPI. Lorsque le propriétaire du rôle crée la subvention, il doit spécifier les valeurs suivantes pour les paramètres requis :

• KeyId— L'ARN de la clé KMS. Pour un accès entre comptes à une clé KMS, cette valeur doit être un ARN. Il ne peut pas s'agir d'un identifiant clé.

• GranteePrincipal— L'ARN du rôle IAM dans leur compte. Cette valeur doit êtrearn:aws:iam::111122223333:role/IAMRoleName, où 111122223333 est l'ID de compte du propriétaire du rôle et IAM RoleName est le nom du rôle.

• Operations— L'action de AWS KMS déchiffrement (Decrypt). Il s'agit de la seule AWS KMS action que le rôle IAM doit être autorisé à effectuer pour déchiffrer un objet chiffré avec la clé KMS.

Si le propriétaire du rôle utilise le AWS Command Line Interface (AWS CLI), il peut exécuter la commande create-grant pour créer la subvention. L'exemple suivant montre comment procéder. L'exemple est formaté pour Microsoft Windows et utilise le caractère de continuation de ligne caret (^) pour améliorer la lisibilité.

C:\> aws kms create-grant ^
--key-id arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab ^
--grantee-principal arn:aws:iam::111122223333:role/IAMRoleName ^
--operations "Decrypt"

Où :

• key-idspécifie l'ARN de la clé KMS à laquelle appliquer l'autorisation.

• grantee-principalspécifie l'ARN du rôle IAM autorisé à effectuer l'action spécifiée par la subvention. Cette valeur doit correspondre à l'ARN spécifié par la kms:GranteePrincipal condition dans la politique clé.

• operationsspécifie l'action que l'autorisation autorise le principal spécifié à effectuer : déchiffrer le texte chiffré avec la clé.

Si la commande s'exécute correctement, vous recevez une sortie similaire à ce qui suit.

{
    "GrantToken": "<grant token>",
    "GrantId": "1a2b3c4d2f5e69f440bae30eaec9570bb1fb7358824f9ddfa1aa5a0dab1a59b2"
}

Où se GrantToken trouve une chaîne unique, non secrète, de longueur variable, codée en base64 qui représente la subvention créée et GrantId constitue l'identifiant unique de la subvention.