Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menyimpan dan mempertahankan hasil penemuan data sensitif dengan Amazon Macie
Saat Anda menjalankan pekerjaan penemuan data sensitif atau Amazon Macie melakukan penemuan data sensitif otomatis, Macie membuat catatan analisis untuk setiap objek Amazon Simple Storage Service (Amazon S3) yang disertakan dalam cakupan analisis. Catatan ini, disebut sebagai hasil penemuan data sensitif, mencatat detail tentang analisis yang dilakukan Macie pada objek S3 individu. Ini termasuk objek yang Macie tidak mendeteksi data sensitif, dan karena itu tidak menghasilkan temuan, dan objek yang tidak dapat dianalisis Macie karena kesalahan atau masalah. Jika Macie mendeteksi data sensitif dalam suatu objek, catatan tersebut mencakup data dari temuan yang sesuai serta informasi tambahan. Hasil penemuan data sensitif memberi Anda catatan analisis yang dapat membantu audit atau investigasi privasi dan perlindungan data.
Macie menyimpan hasil penemuan data sensitif Anda hanya selama 90 hari. Untuk mengakses hasil Anda dan mengaktifkan penyimpanan dan retensi jangka panjang, konfigurasikan Macie untuk mengenkripsi hasil dengan kunci AWS Key Management Service (AWS KMS) dan menyimpannya dalam bucket S3. Bucket dapat berfungsi sebagai repositori jangka panjang definitif untuk semua hasil penemuan data sensitif Anda. Anda kemudian dapat secara opsional mengakses dan menanyakan hasil di repositori itu.
Topik ini memandu Anda melalui proses penggunaan AWS Management Console untuk mengonfigurasi repositori untuk hasil penemuan data sensitif Anda. Konfigurasi adalah kombinasi dari enkripsi hasil, bucket tujuan umum S3 yang menyimpan hasil, dan pengaturan Macie yang menentukan kunci dan bucket mana yang akan digunakan. AWS KMS key Jika Anda lebih suka mengonfigurasi pengaturan Macie secara terprogram, Anda dapat menggunakan PutClassificationExportConfigurationpengoperasian Amazon Macie. API
Ketika Anda mengonfigurasi pengaturan di Macie, pilihan Anda hanya berlaku untuk Wilayah AWS saat ini. Jika Anda administrator Macie untuk suatu organisasi, pilihan Anda hanya berlaku untuk akun Anda. Pilihan tersebut tidak berlaku untuk akun anggota yang terkait. Jika Anda mengaktifkan penemuan data sensitif otomatis atau menjalankan pekerjaan penemuan data sensitif untuk menganalisis data untuk akun anggota, Macie menyimpan hasil penemuan data sensitif di repositori untuk akun administrator Anda.
Jika Anda menggunakan Macie dalam beberapa Wilayah AWS, konfigurasikan pengaturan repositori untuk setiap Wilayah tempat Anda menggunakan Macie. Anda dapat secara opsional menyimpan hasil penemuan data sensitif untuk beberapa Wilayah dalam bucket S3 yang sama. Namun, perhatikan persyaratan berikut:
-
Untuk menyimpan hasil untuk Wilayah yang AWS diaktifkan secara default Akun AWS, seperti Wilayah AS Timur (Virginia N.), Anda harus memilih bucket di Wilayah yang diaktifkan secara default. Hasilnya tidak dapat disimpan dalam bucket di Wilayah keikutsertaan (Wilayah yang dinonaktifkan secara default).
-
Untuk menyimpan hasil untuk Wilayah keikutsertaan, seperti Wilayah Timur Tengah (Bahrain), Anda harus memilih ember di Wilayah yang sama atau Wilayah yang diaktifkan secara default. Hasilnya tidak dapat disimpan dalam ember di Wilayah keikutsertaan yang berbeda.
Untuk menentukan apakah Wilayah diaktifkan secara default, lihat Wilayah dan titik akhir di Panduan AWS Identity and Access Management Pengguna. Selain persyaratan sebelumnya, pertimbangkan juga apakah Anda ingin mengambil sampel data sensitif yang dilaporkan Macie dalam temuan individu. Untuk mengambil sampel data sensitif dari objek S3 yang terpengaruh, semua sumber daya dan data berikut harus disimpan di Wilayah yang sama: objek yang terpengaruh, temuan yang berlaku, dan hasil penemuan data sensitif yang sesuai.
Tugas
Gambaran Umum
Amazon Macie secara otomatis membuat hasil penemuan data sensitif untuk setiap objek Amazon S3 yang dianalisis atau coba dianalisis saat Anda menjalankan pekerjaan penemuan data sensitif atau melakukan penemuan data sensitif otomatis. Hal ini mencakup:
-
Objek yang Macie mendeteksi data sensitif, dan karena itu juga menghasilkan temuan data sensitif.
-
Objek yang Macie tidak mendeteksi data sensitif, dan karenanya tidak menghasilkan temuan data sensitif.
-
Objek yang tidak dapat dianalisis Macie karena kesalahan atau masalah seperti pengaturan izin atau penggunaan file atau format penyimpanan yang tidak didukung.
Jika Macie mendeteksi data sensitif dalam objek S3, hasil penemuan data sensitif mencakup data dari temuan data sensitif yang sesuai. Ini memberikan informasi tambahan juga, seperti lokasi tempat terjadinya 1.000 kejadian dari setiap tipe data sensitif yang Macie temukan dalam objek. Sebagai contoh:
-
Nomor kolom dan baris untuk sel atau bidang di buku kerja, CSV file, atau TSV file Microsoft Excel
-
Jalur ke bidang atau array dalam file JSON atau JSON Garis
-
Nomor baris untuk baris dalam file teks non-biner selainCSV,, JSON GarisJSON, atau TSV file — misalnya, file, atau HTML TXT XML
-
Nomor halaman untuk halaman dalam file Adobe Portable Document Format (PDF)
-
Indeks catatan dan jalur ke bidang dalam catatan di kontainer objek Apache Avro atau file Apache Parket
Jika objek S3 yang terpengaruh adalah file arsip, seperti file.tar atau .zip, hasil penemuan data sensitif juga menyediakan data lokasi terperinci untuk kemunculan data sensitif dalam file individual yang diekstrak Macie dari arsip. Macie tidak menyertakan informasi ini dalam temuan data sensitif untuk file arsip. Untuk melaporkan data lokasi, hasil penemuan data sensitif menggunakan skema standar. JSON
Hasil penemuan data sensitif tidak termasuk data sensitif yang ditemukan Macie. Sebaliknya, ini memberi Anda catatan analisis yang dapat membantu untuk audit atau investigasi.
Macie menyimpan hasil penemuan data sensitif Anda selama 90 hari. Anda tidak dapat mengaksesnya langsung di konsol Amazon Macie atau dengan Amazon Macie. API Sebagai gantinya, ikuti langkah-langkah dalam topik ini untuk mengonfigurasi Macie untuk mengenkripsi hasil Anda dengan AWS KMS key yang Anda tentukan, dan simpan hasilnya dalam bucket tujuan umum S3 yang juga Anda tentukan. Macie kemudian menulis hasilnya ke file JSON Lines (.jsonl), menambahkan file ke bucket sebagai file GNU Zip (.gz), dan mengenkripsi data menggunakan enkripsi -. SSE KMS Pada 8 November 2023, Macie juga menandatangani objek S3 yang dihasilkan dengan Kode Otentikasi Pesan berbasis Hash (). HMAC AWS KMS key
Setelah Anda mengonfigurasi Macie untuk menyimpan hasil penemuan data sensitif Anda di bucket S3, bucket dapat berfungsi sebagai repositori jangka panjang definitif untuk hasilnya. Anda kemudian dapat secara opsional mengakses dan menanyakan hasil di repositori itu.
Kiat
Untuk contoh terperinci dan instruksional tentang bagaimana Anda dapat menanyakan dan menggunakan hasil penemuan data sensitif untuk menganalisis dan melaporkan potensi risiko keamanan data, lihat posting blog berikut di Blog AWS Keamanan: Cara menanyakan dan memvisualisasikan hasil penemuan data sensitif Macie dengan Amazon Athena
Untuk contoh kueri Amazon Athena yang dapat Anda gunakan untuk menganalisis hasil penemuan data sensitif, kunjungi repositori Amazon Macie Results Analytics
Langkah 1: Verifikasi izin Anda
Sebelum Anda mengonfigurasi repositori untuk hasil penemuan data sensitif Anda, verifikasi bahwa Anda memiliki izin yang Anda perlukan untuk mengenkripsi dan menyimpan hasilnya. Untuk memverifikasi izin Anda, gunakan AWS Identity and Access Management (IAM) untuk meninjau IAM kebijakan yang dilampirkan pada IAM identitas Anda. Kemudian bandingkan informasi dalam kebijakan tersebut dengan daftar tindakan berikut yang harus Anda lakukan untuk mengonfigurasi repositori.
- Amazon Macie
-
Untuk Macie, verifikasi bahwa Anda diizinkan untuk melakukan tindakan berikut:
macie2:PutClassificationExportConfigurationTindakan ini memungkinkan Anda menambahkan atau mengubah pengaturan repositori di Macie.
- Amazon S3
-
Untuk Amazon S3, verifikasi bahwa Anda diizinkan untuk melakukan tindakan berikut:
-
s3:CreateBucket -
s3:GetBucketLocation -
s3:ListAllMyBuckets -
s3:PutBucketAcl -
s3:PutBucketPolicy -
s3:PutBucketPublicAccessBlock -
s3:PutObject
Tindakan ini memungkinkan Anda mengakses dan mengonfigurasi bucket tujuan umum S3 yang dapat berfungsi sebagai repositori.
-
- AWS KMS
-
Untuk menggunakan konsol Amazon Macie untuk menambah atau mengubah setelan repositori, pastikan juga bahwa Anda diizinkan melakukan tindakan berikut: AWS KMS
-
kms:DescribeKey -
kms:ListAliases
Tindakan ini memungkinkan Anda untuk mengambil dan menampilkan informasi tentang AWS KMS keys untuk akun Anda. Anda kemudian dapat memilih salah satu kunci ini untuk mengenkripsi hasil penemuan data sensitif Anda.
Jika Anda berencana untuk membuat yang baru AWS KMS key untuk mengenkripsi data, Anda juga harus diizinkan untuk melakukan tindakan berikut:
kms:CreateKey,kms:GetKeyPolicy, dankms:PutKeyPolicy. -
Jika Anda tidak diizinkan untuk melakukan tindakan yang diperlukan, mintalah bantuan AWS administrator Anda sebelum melanjutkan ke langkah berikutnya.
Langkah 2: Konfigurasikan AWS KMS key
Setelah memverifikasi izin, tentukan yang AWS KMS key ingin digunakan Macie untuk mengenkripsi hasil penemuan data sensitif Anda. Kuncinya harus berupa KMS kunci enkripsi simetris yang dikelola pelanggan yang diaktifkan Wilayah AWS sama dengan bucket S3 tempat Anda ingin menyimpan hasilnya.
Kuncinya bisa ada AWS KMS key dari akun Anda sendiri, atau yang sudah ada AWS KMS key yang dimiliki akun lain. Jika Anda ingin menggunakan KMS kunci baru, buat kunci sebelum melanjutkan. Jika Anda ingin menggunakan kunci yang ada yang dimiliki akun lain, dapatkan Amazon Resource Name (ARN) dari kunci tersebut. Anda harus memasukkan ini ARN ketika Anda mengkonfigurasi pengaturan repositori di Macie. Untuk informasi tentang membuat dan meninjau pengaturan KMS kunci, lihat Mengelola kunci di Panduan AWS Key Management Service Pengembang.
catatan
Kuncinya bisa berupa AWS KMS key di toko kunci eksternal. Namun, kuncinya mungkin lebih lambat dan kurang dapat diandalkan daripada kunci yang dikelola sepenuhnya di dalamnya AWS KMS. Anda dapat mengurangi risiko ini dengan menyimpan hasil penemuan data sensitif Anda di bucket S3 yang dikonfigurasi untuk menggunakan kunci sebagai Kunci Bucket S3. Melakukannya mengurangi jumlah AWS KMS permintaan yang harus dibuat untuk mengenkripsi hasil penemuan data sensitif Anda.
Untuk informasi tentang penggunaan KMS kunci di penyimpanan kunci eksternal, lihat Penyimpanan kunci eksternal di Panduan AWS Key Management Service Pengembang. Untuk informasi tentang menggunakan Kunci Bucket S3, lihat Mengurangi biaya SSE - KMS dengan Kunci Bucket Amazon S3 di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.
Setelah Anda menentukan KMS kunci mana yang ingin digunakan Macie, berikan izin kepada Macie untuk menggunakan kunci tersebut. Jika tidak, Macie tidak akan dapat mengenkripsi atau menyimpan hasil Anda di repositori. Untuk memberikan izin kepada Macie untuk menggunakan kunci, perbarui kebijakan kunci untuk kunci tersebut. Untuk informasi terperinci tentang kebijakan utama dan mengelola akses ke KMS kunci, lihat Kebijakan utama AWS KMS di Panduan AWS Key Management Service Pengembang.
Untuk memperbarui kebijakan utama
-
Buka AWS KMS konsol di https://console.aws.amazon.com/kms
. -
Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.
-
Pilih kunci yang Anda ingin Macie gunakan untuk mengenkripsi hasil penemuan data sensitif Anda.
-
Di tab Kebijakan kunci, pilih Edit.
-
Salin pernyataan berikut ke clipboard Anda, lalu tambahkan ke kebijakan:
{ "Sid": "Allow Macie to use the key", "Effect": "Allow", "Principal": { "Service": "macie.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Encrypt" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": [ "arn:aws:macie2:Region:111122223333:export-configuration:*", "arn:aws:macie2:Region:111122223333:classification-job/*" ] } } }catatan
Saat Anda menambahkan pernyataan ke kebijakan, pastikan sintaksnya valid. Kebijakan menggunakan JSON format. Ini berarti bahwa Anda juga perlu menambahkan koma sebelum atau sesudah pernyataan, tergantung di tempat Anda menambahkan pernyataan ke kebijakan. Jika Anda menambahkan pernyataan sebagai pernyataan terakhir, tambahkan koma setelah tanda kurung kurawal penutup untuk pernyataan sebelumnya. Jika Anda menambahkannya sebagai pernyataan pertama atau di antara dua pernyataan yang ada, tambahkan koma setelah tanda kurung kurawal penutup untuk pernyataan tersebut.
-
Perbarui pernyataan dengan nilai yang benar untuk lingkungan Anda:
-
Di
Conditionbidang, ganti nilai placeholder, di mana:-
111122223333adalah ID akun untuk Anda Akun AWS. -
Regionadalah Wilayah AWS di mana Anda menggunakan Macie dan Anda ingin mengizinkan Macie untuk menggunakan kunci.Jika Anda menggunakan Macie di beberapa Wilayah dan ingin mengizinkan Macie menggunakan kunci di Wilayah tambahan, tambahkan
aws:SourceArnketentuan untuk setiap Wilayah tambahan. Sebagai contoh:"aws:SourceArn": [ "arn:aws:macie2:us-east-1:111122223333:export-configuration:*", "arn:aws:macie2:us-east-1:111122223333:classification-job/*", "arn:aws:macie2:us-west-2:111122223333:export-configuration:*", "arn:aws:macie2:us-west-2:111122223333:classification-job/*" ]Atau, Anda dapat mengizinkan Macie untuk menggunakan kunci di semua Wilayah. Untuk melakukan ini, ganti nilai placeholder dengan karakter wildcard (*). Sebagai contoh:
"aws:SourceArn": [ "arn:aws:macie2:*:111122223333:export-configuration:*", "arn:aws:macie2:*:111122223333:classification-job/*" ]
-
-
Jika Anda menggunakan Macie di Wilayah keikutsertaan, tambahkan kode Wilayah yang sesuai ke nilai bidang tersebut
Service. Misalnya, jika Anda menggunakan Macie di Wilayah Middle East (Bahrain), yang memiliki kode Wilayah me-south-1, gantimacie.amazonaws.comdenganmacie.me-south-1.amazonaws.com. Untuk daftar Wilayah di mana Macie saat ini tersedia dan kode Wilayah untuk masing-masing wilayah, lihat titik akhir dan kuota Amazon Macie di. Referensi Umum AWS
Perhatikan bahwa
Conditionbidang menggunakan dua kunci kondisi IAM global:-
aws: SourceAccount — Kondisi ini memungkinkan Macie untuk melakukan tindakan yang ditentukan hanya untuk akun Anda. Lebih khusus lagi, ini menentukan akun mana yang dapat melakukan tindakan yang ditentukan untuk sumber daya dan tindakan yang ditentukan oleh
aws:SourceArnkondisi.Untuk memungkinkan Macie melakukan tindakan yang ditentukan untuk akun tambahan, tambahkan ID akun untuk setiap akun tambahan ke kondisi ini. Sebagai contoh:
"aws:SourceAccount": [111122223333,444455556666] -
aws: SourceArn — Kondisi ini AWS layanan mencegah other melakukan tindakan yang ditentukan. Ini juga mencegah Macie menggunakan kunci saat melakukan tindakan lain untuk akun Anda. Dengan kata lain, ini memungkinkan Macie untuk mengenkripsi objek S3 dengan kunci hanya jika: objek adalah hasil penemuan data sensitif, dan hasilnya adalah untuk penemuan data sensitif otomatis atau pekerjaan penemuan data sensitif yang dibuat oleh akun yang ditentukan di Wilayah yang ditentukan.
Untuk memungkinkan Macie melakukan tindakan yang ditentukan untuk akun tambahan, tambahkan ARNs untuk setiap akun tambahan ke kondisi ini. Sebagai contoh:
"aws:SourceArn": [ "arn:aws:macie2:us-east-1:111122223333:export-configuration:*", "arn:aws:macie2:us-east-1:111122223333:classification-job/*", "arn:aws:macie2:us-east-1:444455556666:export-configuration:*", "arn:aws:macie2:us-east-1:444455556666:classification-job/*" ]
Akun yang ditentukan oleh
aws:SourceAccountdanaws:SourceArnkondisi harus cocok.Kondisi ini membantu mencegah Macie digunakan sebagai wakil yang bingung selama transaksi dengan AWS KMS. Meskipun kami tidak merekomendasikannya, Anda dapat menghapus kondisi ini dari pernyataan.
-
-
Setelah selesai menambahkan dan memperbarui pernyataan, pilih Simpan perubahan.
Langkah 3: Pilih ember S3
Setelah memverifikasi izin dan mengonfigurasinya AWS KMS key, Anda siap menentukan bucket S3 mana yang ingin Anda gunakan sebagai repositori untuk hasil penemuan data sensitif Anda. Anda memiliki dua opsi:
-
Gunakan bucket S3 baru yang dibuat Macie — Jika Anda memilih opsi ini, Macie secara otomatis membuat bucket tujuan umum S3 baru saat ini Wilayah AWS untuk hasil penemuan Anda. Macie juga menerapkan kebijakan bucket ke bucket. Kebijakan ini memungkinkan Macie menambahkan objek ke bucket. Hal ini juga membutuhkan objek untuk dienkripsi dengan AWS KMS key yang Anda tentukan, menggunakan SSE - KMS enkripsi. Untuk meninjau kebijakan, pilih Lihat kebijakan di konsol Amazon Macie setelah Anda menentukan nama untuk bucket dan KMS kunci yang akan digunakan.
-
Gunakan bucket S3 yang ada yang Anda buat – Jika Anda lebih memilih untuk menyimpan hasil penemuan Anda dalam bucket S3 tertentu yang Anda buat, buat bucket sebelum Anda melanjutkan. Ember harus berupa ember tujuan umum. Selain itu, pengaturan dan kebijakan bucket harus mengizinkan Macie menambahkan objek ke bucket. Topik ini menjelaskan pengaturan mana yang harus diperiksa dan cara memperbarui kebijakan. Topik ini juga memberikan contoh pernyataan untuk menambah kebijakan.
Bagian berikut memberikan instruksi untuk setiap opsi. Pilih bagian untuk opsi yang Anda inginkan.
Jika Anda lebih memilih menggunakan bucket S3 baru yang dibuat Macie untuk Anda, langkah terakhir dalam prosesnya adalah mengonfigurasi pengaturan repositori di Macie.
Untuk mengonfigurasi pengaturan repositori di Macie
Buka konsol Amazon Macie di. https://console.aws.amazon.com/macie/
-
Di panel navigasi, di bawah Pengaturan, pilih Hasil penemuan.
-
Di bawah Repositori untuk hasil penemuan data sensitif, pilih Buat bucket.
-
Di kotak Buat bucket, masukkan nama untuk bucket.
Nama harus unik di semua bucket S3. Selain itu, nama hanya dapat terdiri dari huruf kecil, angka, titik (.), dan tanda hubung (-). Untuk persyaratan penamaan tambahan, lihat Aturan penamaan bucket di dalam Panduan Pengguna Amazon Simple Storage Service.
-
Perluas bagian Advanced.
-
(Opsional) Untuk menentukan awalan yang akan digunakan di jalur ke lokasi di bucket, masukkan awalan di kotak awalan hasil penemuan data.
Saat Anda memasukkan nilai, Macie memperbarui contoh di bawah kotak untuk menunjukkan jalur ke lokasi bucket tempat ia akan menyimpan hasil penemuan Anda.
-
Untuk Blokir semua akses publik, pilih Ya untuk mengaktifkan semua pengaturan blokir akses publik untuk bucket.
Untuk informasi tentang pengaturan ini, lihat Memblokir akses publik ke penyimpanan Amazon S3 Anda di dalam Panduan Pengguna Amazon Simple Storage Service.
-
Di bawah Pengaturan enkripsi, tentukan AWS KMS key yang Anda ingin Macie gunakan untuk mengenkripsi hasil:
-
Untuk menggunakan kunci dari akun Anda sendiri, pilih Pilih kunci dari akun Anda. Kemudian, dalam AWS KMS keydaftar, pilih kunci yang akan digunakan. Daftar ini menampilkan KMS kunci enkripsi simetris yang dikelola pelanggan untuk akun Anda.
-
Untuk menggunakan kunci yang dimiliki akun lain, pilih Masukkan ARN kunci dari akun lain. Kemudian, di AWS KMS key ARNkotak, masukkan Amazon Resource Name (ARN) dari kunci yang akan digunakan—misalnya,.
arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
-
-
Setelah Anda selesai memasukkan pengaturan, pilih Simpan.
Macie menguji pengaturan untuk memverifikasi bahwa mereka benar. Jika pengaturan salah, Macie menampilkan pesan kesalahan untuk membantu Anda mengatasi masalah.
Setelah Anda menyimpan pengaturan repositori, Macie menambahkan hasil penemuan yang ada untuk 90 hari sebelumnya ke repositori. Macie juga mulai menambahkan hasil penemuan baru ke repositori.
Jika Anda lebih suka menyimpan hasil penemuan data sensitif di bucket S3 tertentu yang Anda buat, buat dan konfigurasikan bucket sebelum mengonfigurasi pengaturan di Macie. Saat Anda membuat bucket, perhatikan persyaratan berikut:
-
Ember harus berupa ember tujuan umum. Itu tidak bisa menjadi ember direktori.
-
Jika Anda mengaktifkan Object Lock untuk bucket, Anda harus menonaktifkan pengaturan retensi default untuk fitur tersebut. Jika tidak, Macie tidak akan dapat menambahkan hasil penemuan Anda ke bucket. Untuk informasi tentang pengaturan ini, lihat Menggunakan Lock Object S3 di Panduan Pengguna Amazon Simple Storage Service.
-
Untuk menyimpan hasil penemuan Anda untuk Wilayah yang diaktifkan secara default Akun AWS, seperti Wilayah AS Timur (Virginia N.), bucket harus berada di Wilayah yang diaktifkan secara default. Hasilnya tidak dapat disimpan dalam bucket di Wilayah keikutsertaan (Wilayah yang dinonaktifkan secara default).
-
Untuk menyimpan hasil penemuan Anda untuk Wilayah keikutsertaan, seperti Wilayah Timur Tengah (Bahrain), bucket harus berada di Wilayah atau Wilayah yang sama yang diaktifkan secara default. Hasilnya tidak dapat disimpan dalam ember di Wilayah keikutsertaan yang berbeda.
Untuk menentukan apakah Wilayah diaktifkan secara default, lihat Wilayah dan titik akhir di Panduan AWS Identity and Access Management Pengguna.
Setelah membuat bucket, perbarui kebijakan bucket agar Macie dapat mengambil informasi tentang bucket dan menambahkan objek ke bucket. Anda kemudian dapat mengkonfigurasi pengaturan di Macie.
Untuk memperbarui kebijakan bucket untuk bucket
Buka konsol Amazon S3 di. https://console.aws.amazon.com/s3/
-
Pilih bucket yang ingin Anda gunakan untuk menyimpan hasil penemuan Anda.
-
Pilih tab Izin.
-
Di bagian Kebijakan bucket, pilih Edit.
-
Salin kebijakan contoh berikut ke clipboard Anda:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow Macie to use the GetBucketLocation operation", "Effect": "Allow", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:GetBucketLocation", "Resource": "arn:aws:s3:::myBucketName", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": [ "arn:aws:macie2:Region:111122223333:export-configuration:*", "arn:aws:macie2:Region:111122223333:classification-job/*" ] } } }, { "Sid": "Allow Macie to add objects to the bucket", "Effect": "Allow", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::myBucketName/[optional prefix/]*", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": [ "arn:aws:macie2:Region:111122223333:export-configuration:*", "arn:aws:macie2:Region:111122223333:classification-job/*" ] } } }, { "Sid": "Deny unencrypted object uploads. This is optional", "Effect": "Deny", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::myBucketName/[optional prefix/]*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption": "aws:kms" } } }, { "Sid": "Deny incorrect encryption headers. This is optional", "Effect": "Deny", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::myBucketName/[optional prefix/]*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption-aws-kms-key-id": "arn:aws:kms:Region:111122223333:key/KMSKeyId" } } }, { "Sid": "Deny non-HTTPS access", "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": "arn:aws:s3:::myBucketName/*", "Condition": { "Bool": { "aws:SecureTransport": "false" } } } ] } -
Tempel kebijakan contoh di editor Kebijakan bucket di konsol Amazon S3.
-
Perbarui kebijakan contoh dengan nilai yang benar untuk lingkungan Anda:
-
Dalam pernyataan opsional yang menyangkal header enkripsi yang salah:
-
Ganti
myBucketNamedengan nama ember. -
Dalam
StringNotEqualskondisi tersebut, gantiarn:aws:kms:Region:111122223333:key/KMSKeyIddengan Amazon Resource Name (ARN) yang AWS KMS key akan digunakan untuk enkripsi hasil penemuan Anda.
-
-
Dalam semua pernyataan lainnya, ganti nilai placeholder, di mana:
-
myBucketNameadalah nama ember. -
111122223333adalah ID akun untuk Anda Akun AWS. -
Regionadalah Wilayah AWS tempat Anda menggunakan Macie dan ingin mengizinkan Macie menambahkan hasil penemuan ke ember.Jika Anda menggunakan Macie di beberapa Wilayah dan ingin mengizinkan Macie menambahkan hasil ke bucket untuk Wilayah tambahan, tambahkan
aws:SourceArnketentuan untuk setiap Wilayah tambahan. Sebagai contoh:"aws:SourceArn": [ "arn:aws:macie2:us-east-1:111122223333:export-configuration:*", "arn:aws:macie2:us-east-1:111122223333:classification-job/*", "arn:aws:macie2:us-west-2:111122223333:export-configuration:*", "arn:aws:macie2:us-west-2:111122223333:classification-job/*" ]Atau, Anda dapat mengizinkan Macie untuk menambahkan hasil ke bucket untuk semua Wilayah di mana Anda menggunakan Macie. Untuk melakukan ini, ganti nilai placeholder dengan karakter wildcard (*). Sebagai contoh:
"aws:SourceArn": [ "arn:aws:macie2:*:111122223333:export-configuration:*", "arn:aws:macie2:*:111122223333:classification-job/*" ]
-
-
Jika Anda menggunakan Macie di Region opt-in, tambahkan kode Region yang sesuai ke nilai untuk
Servicebidang di setiap pernyataan yang menentukan prinsip layanan Macie. Misalnya, jika Anda menggunakan Macie di Wilayah Middle East (Bahrain), yang memiliki kode Wilayah me-south-1, gantimacie.amazonaws.comdenganmacie.me-south-1.amazonaws.comdalam setiap pernyataan yang berlaku. Untuk daftar Wilayah di mana Macie saat ini tersedia dan kode Wilayah untuk masing-masing wilayah, lihat titik akhir dan kuota Amazon Macie di. Referensi Umum AWS
Perhatikan bahwa kebijakan contoh menyertakan pernyataan yang memungkinkan Macie menentukan Region mana bucket berada di (
GetBucketLocation) dan menambahkan objek ke bucket (PutObject). Pernyataan ini mendefinisikan kondisi yang menggunakan dua kunci kondisi IAM global:-
aws: SourceAccount — Kondisi ini memungkinkan Macie untuk menambahkan hasil penemuan data sensitif ke bucket hanya untuk akun Anda. Ini mencegah Macie menambahkan hasil penemuan untuk akun lain ke ember. Lebih khusus lagi, kondisi menentukan akun mana yang dapat menggunakan bucket untuk sumber daya dan tindakan yang ditentukan oleh
aws:SourceArnkondisi.Untuk menyimpan hasil akun tambahan di bucket, tambahkan ID akun untuk setiap akun tambahan ke kondisi ini. Sebagai contoh:
"aws:SourceAccount": [111122223333,444455556666] -
aws: SourceArn — Kondisi ini membatasi akses ke bucket berdasarkan sumber objek yang ditambahkan ke bucket. Ini mencegah orang lain AWS layanan menambahkan objek ke ember. Ini juga mencegah Macie menambahkan objek ke bucket saat melakukan tindakan lain untuk akun Anda. Lebih khusus lagi, kondisi ini memungkinkan Macie untuk menambahkan objek ke bucket hanya jika: objek adalah hasil penemuan data sensitif, dan hasilnya adalah untuk penemuan data sensitif otomatis atau pekerjaan penemuan data sensitif yang dibuat oleh akun yang ditentukan di Wilayah yang ditentukan.
Untuk memungkinkan Macie melakukan tindakan yang ditentukan untuk akun tambahan, tambahkan ARNs untuk setiap akun tambahan ke kondisi ini. Sebagai contoh:
"aws:SourceArn": [ "arn:aws:macie2:us-east-1:111122223333:export-configuration:*", "arn:aws:macie2:us-east-1:111122223333:classification-job/*", "arn:aws:macie2:us-east-1:444455556666:export-configuration:*", "arn:aws:macie2:us-east-1:444455556666:classification-job/*" ]
Akun yang ditentukan oleh
aws:SourceAccountdanaws:SourceArnkondisi harus cocok.Kedua kondisi tersebut membantu mencegah Macie digunakan sebagai wakil yang bingung selama transaksi dengan Amazon S3. Meskipun kami tidak merekomendasikannya, Anda dapat menghapus kondisi ini dari kebijakan bucket.
-
-
Setelah Anda selesai memperbarui kebijakan bucket, pilih Simpan perubahan.
Anda sekarang dapat mengonfigurasi pengaturan repositori di Macie.
Untuk mengonfigurasi pengaturan repositori di Macie
Buka konsol Amazon Macie di. https://console.aws.amazon.com/macie/
-
Di panel navigasi, di dalam Pengaturan, pilih Hasil penemuan.
-
DI bawah Repositori untuk hasil penemuan data sensitif, pilih Bucket yang ada.
-
Untuk Pilih bucket, pilih bucket yang ingin Anda simpan hasil penemuan Anda.
-
(Opsional) Untuk menentukan awalan yang akan digunakan di jalur ke lokasi di bucket, perluas bagian Advanced. Kemudian, untuk awalan hasil penemuan data, masukkan awalan yang akan digunakan.
Saat Anda memasukkan nilai, Macie memperbarui contoh di bawah kotak untuk menunjukkan jalur ke lokasi bucket tempat ia akan menyimpan hasil penemuan Anda.
-
Di bawah Pengaturan enkripsi, tentukan AWS KMS key yang Anda ingin Macie gunakan untuk mengenkripsi hasil:
-
Untuk menggunakan kunci dari akun Anda sendiri, pilih Pilih kunci dari akun Anda. Kemudian, dalam AWS KMS keydaftar, pilih kunci yang akan digunakan. Daftar ini menampilkan KMS kunci enkripsi simetris yang dikelola pelanggan untuk akun Anda.
-
Untuk menggunakan kunci yang dimiliki akun lain, pilih Masukkan ARN kunci dari akun lain. Kemudian, di dalam AWS KMS key ARNkotak, masukkan kunci yang akan ARN digunakan—misalnya,.
arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
-
-
Setelah Anda selesai memasukkan pengaturan, pilih Simpan.
Macie menguji pengaturan untuk memverifikasi bahwa mereka benar. Jika pengaturan salah, Macie menampilkan pesan kesalahan untuk membantu Anda mengatasi masalah.
Setelah Anda menyimpan pengaturan repositori, Macie menambahkan hasil penemuan yang ada untuk 90 hari sebelumnya ke repositori. Macie juga mulai menambahkan hasil penemuan baru ke repositori.
catatan
Jika Anda kemudian mengubah setelan awalan hasil penemuan data, perbarui juga kebijakan bucket di Amazon S3. Pernyataan kebijakan yang menentukan jalur sebelumnya harus menentukan jalur baru. Jika tidak, Macie tidak akan diizinkan untuk menambahkan hasil penemuan Anda ke ember.
Tip
Untuk mengurangi biaya enkripsi sisi server, konfigurasikan juga bucket S3 untuk menggunakan Kunci Bucket S3, dan tentukan AWS KMS key yang Anda konfigurasikan untuk enkripsi hasil penemuan data sensitif Anda. Penggunaan Kunci Bucket S3 mengurangi jumlah panggilan AWS KMS, yang dapat mengurangi biaya AWS KMS permintaan. Jika KMS kunci berada di penyimpanan kunci eksternal, penggunaan Kunci Bucket S3 juga dapat meminimalkan dampak kinerja penggunaan kunci. Untuk mempelajari lebih lanjut, lihat Mengurangi biaya SSE - KMS dengan Kunci Bucket Amazon S3 di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.
