Creazione e gestione di elenchi di autorizzazioni in Amazon Macie - Amazon Macie
Creare elenchi di autorizzazioniVerifica dello stato degli elenchi consentitiModifica degli elenchi consentitiEliminazione degli elenchi consentiti

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione e gestione di elenchi di autorizzazioni in Amazon Macie

In Amazon Macie, un elenco di elementi consentiti definisce un testo specifico o un pattern di testo che vuoi che Macie ignori quando ispeziona gli oggetti Amazon Simple Storage Service (Amazon S3) alla ricerca di dati sensibili. Se il testo corrisponde a una voce o a uno schema in un elenco consentito, Macie non riporta il testo nelle rilevazioni di dati sensibili, nelle statistiche o in altri tipi di risultati, anche se il testo corrisponde ai criteri di un identificatore di dati gestito o di un identificatore di dati personalizzato.

È possibile creare e gestire i seguenti tipi di elenchi consentiti in Macie.

Testo predefinito

Utilizzate questo tipo di elenco per specificare parole, frasi e altri tipi di sequenze di caratteri che non sono sensibili, non sono suscettibili di modifiche e non necessariamente aderiscono a uno schema comune. Alcuni esempi sono i nomi dei rappresentanti pubblici dell'organizzazione, numeri di telefono specifici e dati di esempio specifici utilizzati dall'organizzazione per i test. Se utilizzate questo tipo di elenco, Macie ignora il testo che corrisponde esattamente a una voce dell'elenco.

Per questo tipo di elenco, si crea un file di testo semplice delimitato da righe che elenca il testo specifico da ignorare. Quindi memorizzi il file in un bucket S3 e configuri le impostazioni per consentire a Macie di accedere all'elenco nel bucket. Puoi quindi creare e configurare processi di rilevamento automatico dei dati sensibili per utilizzare l'elenco o aggiungere l'elenco alle impostazioni di rilevamento automatico dei dati sensibili del tuo account. Quando ogni processo inizia a essere eseguito o inizia il successivo ciclo di analisi del rilevamento automatico, Macie recupera l'ultima versione dell'elenco da Amazon S3. Macie utilizza quindi quella versione dell'elenco quando ispeziona gli oggetti S3 alla ricerca di dati sensibili. Se Macie trova del testo che corrisponde esattamente a una voce dell'elenco, Macie non segnala tale presenza di testo come dati sensibili.

Espressione regolare

Usa questo tipo di elenco per specificare un'espressione regolare (regex) che definisce uno schema di testo da ignorare. Alcuni esempi sono i numeri di telefono pubblici dell'organizzazione, gli indirizzi e-mail per il dominio dell'organizzazione e dati di esempio basati su modelli utilizzati dall'organizzazione per i test. Se utilizzi questo tipo di elenco, Macie ignora il testo che corrisponde completamente al modello regex definito dall'elenco.

Per questo tipo di elenco, si crea un'espressione regolare che definisce uno schema comune per il testo che non è sensibile ma varia o è suscettibile di modifiche. A differenza di un elenco di testo predefinito, l'espressione regolare e tutte le altre impostazioni dell'elenco vengono create e memorizzate in Macie. Puoi quindi creare e configurare processi di rilevamento automatico dei dati sensibili per utilizzare l'elenco o aggiungere l'elenco alle impostazioni di rilevamento automatico dei dati sensibili del tuo account. Quando questi processi vengono eseguiti o Macie esegue il rilevamento automatico del tuo account, Macie utilizza l'ultima versione dell'espressione regolare dell'elenco per analizzare i dati. Se Macie trova del testo che corrisponde completamente allo schema definito dall'elenco, Macie non segnala tale presenza di testo come dati sensibili.

Per requisiti dettagliati, consigli ed esempi relativi a ciascun tipo di elenco, consulta. Consenti le opzioni e i requisiti degli elenchi Puoi creare fino a 10 elenchi di autorizzazioni per il tuo account per ogni elenco supportato Regione AWS, fino a cinque elenchi di autorizzazioni che specificano testo predefinito e fino a cinque elenchi di autorizzazioni che specificano espressioni regolari. Puoi creare e utilizzare elenchi consentiti in tutti i paesi in Regioni AWS cui Macie è attualmente disponibile, ad eccezione della regione Asia Pacifico (Osaka).

Per creare e gestire elenchi di autorizzazioni, puoi utilizzare la console Amazon Macie o l'API Amazon Macie. I seguenti argomenti spiegano come. Per l'API, gli argomenti includono esempi di come eseguire queste attività utilizzando il comando AWS Command Line Interface (AWS CLI). Puoi eseguire queste attività anche utilizzando una versione corrente di un altro strumento a riga di AWS comando o di un AWS SDK oppure inviando richieste HTTPS direttamente a Macie. Per informazioni sugli AWS strumenti e gli SDK, consulta Tools to Build on. AWS

Creare elenchi di autorizzazioni

Il modo in cui crei un elenco di utenti consentiti in Amazon Macie dipende dal tipo di elenco che desideri creare. Un elenco consentito può essere un file che elenca il testo predefinito da ignorare oppure può essere un'espressione regolare (regex) che definisce uno schema di testo da ignorare. Scegliete la sezione per il tipo di elenco che desiderate creare.

Prima di creare questo tipo di elenco di autorizzazioni in Macie, procedi nel seguente modo:

  1. Utilizzando un editor di testo, crea un file di testo semplice delimitato da righe che elenchi il testo specifico da ignorare, ad esempio un file con estensione txt, text o plain. Per ulteriori informazioni, consulta Requisiti di sintassi per gli elenchi di testo predefinito.

  2. Carica il file in un bucket S3 generico e annota il nome del bucket e dell'oggetto. Dovrai inserire questi nomi quando configuri le impostazioni in Macie.

  3. Assicurati che le impostazioni per il bucket e l'oggetto S3 consentano a te e Macie di recuperare l'elenco dal bucket. Per ulteriori informazioni, consulta Requisiti di archiviazione per gli elenchi di testo predefinito.

  4. Se hai crittografato l'oggetto S3, assicurati che sia crittografato con una chiave che tu e Macie possiate usare. Per ulteriori informazioni, consulta Requisiti di crittografia/decrittografia per elenchi di testo predefinito.

Dopo aver eseguito questi passaggi, sei pronto per configurare le impostazioni dell'elenco in Macie. Puoi configurare le impostazioni utilizzando la console Amazon Macie o l'API Amazon Macie.

Console

Segui questi passaggi per configurare le impostazioni per un elenco di prodotti consentiti utilizzando la console Amazon Macie.

Per configurare le impostazioni degli elenchi consentiti in Macie

  1. Apri la console Amazon Macie all'indirizzo https://console.aws.amazon.com/macie/.

  2. Nel pannello di navigazione, in Impostazioni, scegli Consenti elenchi.

  3. Nella pagina Consenti elenchi, scegli Crea.

  4. In Seleziona un tipo di elenco, scegli Testo predefinito.

  5. In Impostazioni elenco, utilizzate le seguenti opzioni per inserire impostazioni aggiuntive per l'elenco consentito:

    • Per Nome, inserisci un nome per l'elenco. Il nome può contenere fino a un massimo di 128 caratteri.

    • Per Descrizione, inserisci facoltativamente una breve descrizione dell'elenco. La descrizione può contenere fino a 512 caratteri.

    • Per il nome del bucket S3, inserisci il nome del bucket che memorizza l'elenco.

      In Amazon S3, puoi trovare questo valore nel campo Nome delle proprietà del bucket. Questo valore prevede la distinzione tra lettere maiuscole e minuscole. Inoltre, non utilizzare caratteri jolly o valori parziali quando inserisci il nome.

    • Per il nome dell'oggetto S3, inserisci il nome dell'oggetto S3 che memorizza l'elenco.

      In Amazon S3, puoi trovare questo valore nel campo Chiave delle proprietà dell'oggetto. Se il nome include un percorso, assicurati di includere il percorso completo quando inserisci il nome, ad esempioallowlists/macie/mylist.txt. Questo valore prevede la distinzione tra lettere maiuscole e minuscole. Inoltre, non utilizzate caratteri jolly o valori parziali quando inserite il nome.

  6. (Facoltativo) In Tag, scegli Aggiungi tag, quindi inserisci fino a 50 tag da assegnare all'elenco dei tag consentiti.

    Un tag è un'etichetta che definisci e assegni a determinati tipi di AWS risorse. Ogni tag è composto da una chiave di tag obbligatoria e da un valore di tag opzionale. I tag possono aiutarti a identificare, classificare e gestire le risorse in diversi modi, ad esempio per scopo, proprietario, ambiente o altri criteri. Per ulteriori informazioni, consulta Etichettatura delle risorse Amazon Macie.

  7. Al termine, scegli Save (Salva).

Macie verifica le impostazioni dell'elenco. Macie verifica inoltre di poter recuperare l'elenco da Amazon S3 e analizzarne il contenuto. Se si verifica un errore, Macie visualizza un messaggio che descrive l'errore. Per informazioni dettagliate che possono aiutarti a risolvere l'errore, consulta. Opzioni e requisiti per gli elenchi di testo predefinito Dopo aver corretto gli errori, puoi salvare le impostazioni dell'elenco.

API

Per configurare le impostazioni degli elenchi di autorizzazioni a livello di codice, utilizza il CreateAllowListfunzionamento dell'API Amazon Macie e specifica i valori appropriati per i parametri richiesti.

Per il criteria parametro, usa un s3WordsList oggetto per specificare il nome del bucket S3 (bucketName) e il nome dell'oggetto S3 (objectKey) che memorizza l'elenco. Per determinare il nome del bucket, consulta il Name campo in Amazon S3. Per determinare il nome dell'oggetto, consulta il Key campo in Amazon S3. Tieni presente che questi valori fanno distinzione tra maiuscole e minuscole. Inoltre, non utilizzate caratteri jolly o valori parziali quando specificate questi nomi.

Per configurare le impostazioni utilizzando il AWS CLI, esegui il create-allow-listcomando e specifica i valori appropriati per i parametri richiesti. Gli esempi seguenti mostrano come configurare le impostazioni per un elenco di elementi consentiti archiviato in un bucket S3 denominato DOC-EXAMPLE-BUCKET. Il nome dell'oggetto S3 che memorizza l'elenco è allowlists/macie/mylist.txt.

Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\) per migliorare la leggibilità.

$ aws macie2 create-allow-list \
--criteria '{"s3WordsList":{"bucketName":"DOC-EXAMPLE-BUCKET","objectKey":"allowlists/macie/mylist.txt"}}' \
--name my_allow_list \
--description "Lists public phone numbers and names for Example Corp."

Questo esempio è formattato per Microsoft Windows e utilizza il carattere di continuazione di riga (^) per migliorare la leggibilità.

C:\> aws macie2 create-allow-list ^
--criteria={\"s3WordsList\":{\"bucketName\":\"DOC-EXAMPLE-BUCKET\",\"objectKey\":\"allowlists/macie/mylist.txt\"}} ^
--name my_allow_list ^
--description "Lists public phone numbers and names for Example Corp."

Quando invii la richiesta, Macie verifica le impostazioni dell'elenco. Macie verifica inoltre di poter recuperare l'elenco da Amazon S3 e analizzarne il contenuto. Se si verifica un errore, la richiesta non va a buon fine e Macie restituisce un messaggio che descrive l'errore. Per informazioni dettagliate che possono aiutarti a risolvere l'errore, consulta. Opzioni e requisiti per gli elenchi di testo predefinito

Se Macie riesce a recuperare e analizzare l'elenco, la tua richiesta ha esito positivo e riceverai un risultato simile al seguente.

{
    "arn": "arn:aws:macie2:us-west-2:123456789012:allow-list/nkr81bmtu2542yyexample",
    "id": "nkr81bmtu2542yyexample"
}

arnDov'è l'Amazon Resource Name (ARN) dell'elenco consentito che è stato creato ed id è l'identificatore univoco dell'elenco.

Dopo aver salvato le impostazioni dell'elenco, puoi creare e configurare processi di rilevamento di dati sensibili per utilizzare l'elenco o aggiungere l'elenco alle impostazioni di rilevamento automatico dei dati sensibili. Ogni volta che questi processi iniziano a essere eseguiti o inizia un ciclo di analisi del rilevamento automatico, Macie recupera l'ultima versione dell'elenco da Amazon S3. Macie utilizza quindi quella versione dell'elenco per analizzare i dati.

Quando si crea un elenco consentito che specifica un'espressione regolare (regex), si definiscono l'espressione regolare e tutte le altre impostazioni dell'elenco direttamente in Macie. Macie supporta un sottoinsieme della sintassi del pattern regex fornita dalla libreria Perl Compatible Regular Expressions (PCRE). Per ulteriori informazioni, consulta Supporto e consigli sulla sintassi.

Puoi creare questo tipo di elenco utilizzando la console Amazon Macie o l'API Amazon Macie.

Console

Segui questi passaggi per creare un elenco di autorizzazioni utilizzando la console Amazon Macie.

Per creare un elenco di elementi consentiti

  1. Apri la console Amazon Macie all'indirizzo https://console.aws.amazon.com/macie/.

  2. Nel pannello di navigazione, in Impostazioni, scegli Consenti elenchi.

  3. Nella pagina Consenti elenchi, scegli Crea.

  4. In Seleziona un tipo di elenco, scegli Espressione regolare.

  5. In Impostazioni elenco, utilizzate le seguenti opzioni per inserire impostazioni aggiuntive per l'elenco consentito:

    • Per Nome, inserisci un nome per l'elenco. Il nome può contenere fino a un massimo di 128 caratteri.

    • Per Descrizione, inserisci facoltativamente una breve descrizione dell'elenco. La descrizione può contenere fino a 512 caratteri.

    • Per Espressione regolare, inserite l'espressione regolare che definisce lo schema di testo da ignorare. L'espressione regolare può contenere fino a 512 caratteri.

  6. (Facoltativo) Per Evaluate, inserite fino a 1.000 caratteri nella casella Dati di esempio, quindi scegliete Test per testare l'espressione regolare. Macie valuta i dati di esempio e riporta il numero di occorrenze di testo che corrispondono all'espressione regolare. Puoi ripetere questo passaggio tutte le volte che vuoi per rifinire e ottimizzare l'espressione regolare.

    Nota

    Ti consigliamo di testare e perfezionare l'espressione regolare con più set di dati di esempio. Se crei un'espressione regolare troppo generica, Macie potrebbe ignorare le occorrenze di testo che consideri riservate. Se un'espressione regolare è troppo specifica, Macie potrebbe non ignorare le occorrenze di testo che non consideri sensibili.

  7. (Facoltativo) In Tag, scegli Aggiungi tag, quindi inserisci fino a 50 tag da assegnare all'elenco dei tag consentiti.

    Un tag è un'etichetta che definisci e assegni a determinati tipi di AWS risorse. Ogni tag è composto da una chiave di tag obbligatoria e da un valore di tag opzionale. I tag possono aiutarti a identificare, classificare e gestire le risorse in diversi modi, ad esempio per scopo, proprietario, ambiente o altri criteri. Per ulteriori informazioni, consulta Etichettatura delle risorse Amazon Macie.

  8. Al termine, scegli Save (Salva).

Macie verifica le impostazioni dell'elenco. Macie verifica anche l'espressione regolare per verificare che sia in grado di compilare l'espressione. Se si verifica un errore, Macie visualizza un messaggio che descrive l'errore. Per informazioni dettagliate che possono aiutarti a risolvere l'errore, consulta. Opzioni e requisiti per le espressioni regolari negli elenchi consentiti Dopo aver corretto gli errori, puoi salvare l'elenco degli errori consentiti.

API

Prima di creare questo tipo di elenco di dati consentiti in Macie, ti consigliamo di testare e perfezionare l'espressione regolare con più set di dati di esempio. Se crei un'espressione regolare troppo generica, Macie potrebbe ignorare le occorrenze di testo che consideri sensibili. Se un'espressione regolare è troppo specifica, Macie potrebbe non ignorare le occorrenze di testo che non consideri sensibili.

Per testare un'espressione con Macie, puoi utilizzare il TestCustomDataIdentifierfunzionamento dell'API Amazon Macie o, in alternativa, eseguire AWS CLItest-custom-data-identifieril comando. Macie utilizza lo stesso codice sottostante per compilare espressioni per elenchi di autorizzazioni e identificatori di dati personalizzati. Se testate un'espressione in questo modo, assicuratevi di specificare i valori solo per i regex parametri and. sampleText In caso contrario, riceverai risultati imprecisi.

Quando sei pronto per creare questo tipo di elenco di autorizzazioni, utilizza il CreateAllowListfunzionamento dell'API Amazon Macie e specifica i valori appropriati per i parametri richiesti. Per il criteria parametro, usa il regex campo per specificare l'espressione regolare che definisce lo schema di testo da ignorare. L'espressione può contenere fino a un massimo di 512 caratteri.

Per creare questo tipo di elenco utilizzando AWS CLI, esegui il create-allow-listcomando e specifica i valori appropriati per i parametri richiesti. Gli esempi seguenti creano un elenco di autorizzazioni denominato my_allow_list. L'espressione regolare è progettata per ignorare tutti gli indirizzi e-mail che un identificatore di dati personalizzato potrebbe altrimenti rilevare per il dominio. example.com

Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\) per migliorare la leggibilità.

$ aws macie2 create-allow-list \
--criteria '{"regex":"[a-z]@example.com"}' \
--name my_allow_list \
--description "Ignores all email addresses for Example Corp."

Questo esempio è formattato per Microsoft Windows e utilizza il carattere di continuazione di riga (^) per migliorare la leggibilità.

C:\> aws macie2 create-allow-list ^
--criteria={\"regex\":\"[a-z]@example.com\"} ^
--name my_allow_list ^
--description "Ignores all email addresses for Example Corp."

Quando invii la richiesta, Macie verifica le impostazioni dell'elenco. Macie verifica anche l'espressione regolare per verificare che sia in grado di compilare l'espressione. Se si verifica un errore, la richiesta fallisce e Macie restituisce un messaggio che descrive l'errore. Per informazioni dettagliate che possono aiutarti a risolvere l'errore, consulta. Opzioni e requisiti per le espressioni regolari negli elenchi consentiti

Se Macie è in grado di compilare l'espressione, la richiesta ha esito positivo e si riceve un output simile al seguente:

{
    "arn": "arn:aws:macie2:us-west-2:123456789012:allow-list/km2d4y22hp6rv05example",
    "id": "km2d4y22hp6rv05example"
}

arnDov'è l'Amazon Resource Name (ARN) dell'elenco consentito che è stato creato ed id è l'identificatore univoco dell'elenco.

Dopo aver salvato l'elenco, puoi creare e configurare processi di rilevamento di dati sensibili per utilizzarlo o aggiungerlo alle impostazioni di rilevamento automatico dei dati sensibili. Quando questi processi vengono eseguiti o Macie esegue il rilevamento automatico del tuo account, Macie utilizza l'ultima versione dell'espressione regolare dell'elenco per analizzare i dati.

Verifica dello stato degli elenchi consentiti

È importante controllare periodicamente lo stato degli elenchi consentiti. In caso contrario, gli errori potrebbero far sì che Amazon Macie produca risultati di analisi imprevisti, ad esempio risultati di dati sensibili per il testo specificato in un elenco consentito.

Se configuri un processo di rilevamento di dati sensibili per utilizzare un elenco di dati consentiti e Macie non può accedere o utilizzare l'elenco quando il lavoro inizia a essere eseguito, il lavoro continua a funzionare. Tuttavia, Macie non utilizza l'elenco quando analizza gli oggetti S3. Allo stesso modo, se inizia un ciclo di analisi per l'individuazione automatica di dati sensibili e Macie non riesce ad accedere o utilizzare un elenco consentito specificato, l'analisi continua ma Macie non utilizza l'elenco.

È improbabile che si verifichino errori per un elenco consentito che specifica un'espressione regolare (regex). Ciò è dovuto in parte al fatto che Macie verifica automaticamente l'espressione regolare quando crei o aggiorni le impostazioni dell'elenco. Inoltre, memorizzi l'espressione regolare e tutte le altre impostazioni dell'elenco in Macie.

Tuttavia, possono verificarsi errori per un elenco di elementi consentiti che specifica un testo predefinito, in parte perché l'elenco viene archiviato in Amazon S3 anziché in Macie. Le cause più comuni di errore sono:

  • Il bucket o l'oggetto S3 viene eliminato.

  • Il bucket o l'oggetto S3 viene rinominato e le impostazioni dell'elenco in Macie non specificano il nuovo nome.

  • Le impostazioni delle autorizzazioni del bucket S3 vengono modificate e Macie perde l'accesso al bucket e all'oggetto.

  • Le impostazioni di crittografia per il bucket S3 vengono modificate e Macie non può decrittografare l'oggetto che memorizza l'elenco.

  • La politica per la chiave di crittografia viene modificata e Macie perde l'accesso alla chiave. Macie non può decifrare l'oggetto S3 che memorizza l'elenco.

Importante

Poiché questi errori influiscono sui risultati delle analisi, ti consigliamo di controllare periodicamente lo stato degli elenchi consentiti. Ti consigliamo di farlo anche se modifichi le autorizzazioni o le impostazioni di crittografia per un bucket S3 che memorizza un elenco di elementi consentiti o modifichi la politica per una chiave AWS Key Management Service (AWS KMS) utilizzata per crittografare un elenco.

Puoi controllare lo stato delle tue liste consentite utilizzando la console Amazon Macie o l'API Amazon Macie. Per informazioni dettagliate che possono aiutarti a risolvere gli errori che si verificano, consulta. Opzioni e requisiti per gli elenchi di testo predefinito

Console

Segui questi passaggi per verificare lo stato delle tue liste consentite utilizzando la console Amazon Macie.

Per verificare lo stato delle tue liste consentite

  1. Apri la console Amazon Macie all'indirizzo https://console.aws.amazon.com/macie/.

  2. Nel pannello di navigazione, in Impostazioni, scegli Consenti elenchi.

  3. Nella pagina Consenti elenchi, scegli refresh ( The refresh button, which is a button that contains an empty, dark gray circle with an arrow ). Macie verifica le impostazioni di tutti gli elenchi consentiti e aggiorna il campo Stato per indicare lo stato corrente di ogni elenco.

    Se un elenco specifica un'espressione regolare, il suo stato è in genere OK. Ciò significa che Macie può compilare l'espressione. Se un elenco specifica un testo predefinito, il suo stato può essere uno dei seguenti valori.

    OK

    Macie può recuperare e analizzare il contenuto dell'elenco.

    Accesso negato

    A Macie non è consentito accedere all'oggetto S3 che memorizza l'elenco. Amazon S3 ha negato la richiesta di recupero dell'oggetto. Un elenco può avere questo stato anche se l'oggetto è crittografato con un client gestito AWS KMS key che Macie non può utilizzare.

    Per risolvere questo errore, esamina la policy del bucket e le altre impostazioni di autorizzazione per il bucket e l'oggetto. Assicurati che Macie sia autorizzato ad accedere e recuperare l'oggetto. Se l'oggetto è crittografato con una AWS KMS chiave gestita dal cliente, rivedi anche la politica sulla chiave e assicurati che Macie sia autorizzato a usare la chiave.

    Errore

    Si è verificato un errore temporaneo o interno quando Macie ha tentato di recuperare o analizzare il contenuto dell'elenco. Un elenco consentito può avere questo stato anche se è crittografato con una chiave di crittografia a cui Amazon S3 e Macie non possono accedere o utilizzare.

    Per risolvere questo errore, attendi qualche minuto e poi scegli nuovamente refresh () The refresh button, which is a button that contains an empty, dark gray circle with an arrow . Se lo stato continua a essere Errore, controlla le impostazioni di crittografia per l'oggetto S3. Assicurati che l'oggetto sia crittografato con una chiave accessibile e utilizzabile da Amazon S3 e Macie.

    L'oggetto è vuoto

    Macie può recuperare l'elenco da Amazon S3 ma l'elenco non contiene alcun contenuto.

    Per risolvere questo errore, scarica l'oggetto da Amazon S3 e assicurati che contenga le voci corrette. Se le voci sono corrette, controlla le impostazioni dell'elenco in Macie. Assicurati che i nomi dei bucket e degli oggetti specificati siano corretti.

    Oggetto non trovato

    L'elenco non esiste in Amazon S3.

    Per risolvere questo errore, controlla le impostazioni dell'elenco in Macie. Assicurati che i nomi dei bucket e degli oggetti specificati siano corretti.

    Quota superata

    Macie può accedere all'elenco in Amazon S3. Tuttavia, il numero di voci nell'elenco o le dimensioni di archiviazione dell'elenco superano la quota prevista per un elenco consentito.

    Per risolvere questo errore, suddividi l'elenco in più file. Assicurati che ogni file contenga meno di 100.000 voci. Assicurati inoltre che la dimensione di ogni file sia inferiore a 35 MB. Quindi, carica ogni file su Amazon S3. Al termine, configura le impostazioni degli elenchi consentiti in Macie per ogni file. Puoi avere fino a cinque elenchi di testo predefinito per ogni lista supportata. Regione AWS

    Limitato

    Amazon S3 ha limitato la richiesta di recupero dell'elenco.

    Per risolvere questo errore, attendi qualche minuto e poi scegli nuovamente refresh (). The refresh button, which is a button that contains an empty, dark gray circle with an arrow

    Accesso utente negato

    Amazon S3 ha negato la richiesta di recupero dell'oggetto. Se l'oggetto specificato esiste, non ti è consentito accedervi o è crittografato con una AWS KMS chiave che non sei autorizzato a utilizzare.

    Per risolvere questo errore, collabora con l' AWS amministratore per assicurarti che le impostazioni dell'elenco specifichino i nomi corretti del bucket e degli oggetti e che tu disponga dell'accesso in lettura al bucket e all'oggetto. Se l'oggetto è crittografato, assicurati che sia crittografato con una chiave che sei autorizzato a utilizzare.

  4. Per rivedere le impostazioni e lo stato di un elenco specifico, scegli il nome dell'elenco.

API

Per controllare lo stato di un elenco di opzioni consentite a livello di codice, utilizza l'GetAllowListoperazione dell'API Amazon Macie o, per AWS CLI la, esegui il comando. get-allow-list

Per il id parametro, specifica l'identificatore univoco per l'elenco di utenti consentiti di cui desideri controllare lo stato. Per ottenere questo identificatore, puoi usare l'ListAllowListsoperazione. L'ListAllowListsoperazione recupera informazioni su tutti gli elenchi consentiti per il tuo account. Se utilizzi il AWS CLI, puoi eseguire il list-allow-listscomando per recuperare queste informazioni.

Quando invii una GetAllowList richiesta, Macie verifica tutte le impostazioni dell'elenco consentito. Se le impostazioni specificano un'espressione regolare (regex), Macie verifica che sia in grado di compilare l'espressione. Se le impostazioni specificano un elenco di testo predefinito, Macie verifica che sia in grado di recuperare e analizzare l'elenco.

Macie restituisce quindi un GetAllowListResponse oggetto che fornisce i dettagli dell'elenco consentito. GetAllowListResponseNell'oggetto, l'statusoggetto indica lo stato corrente dell'elenco: un codice di stato (code) e, a seconda del codice di stato, una breve descrizione dello status (description) dell'elenco.

Se l'elenco consentito specifica un'espressione regolare, il codice di stato è in genere OK e non è associata una descrizione. Ciò significa che Macie ha compilato l'espressione con successo.

Se l'elenco degli elementi consentiti specifica un testo predefinito, il codice di stato varia in base ai risultati del test:

  • Se Macie ha recuperato e analizzato l'elenco correttamente, il codice di stato è valido OK e non c'è una descrizione associata.

  • Se un errore ha impedito a Macie di recuperare o analizzare l'elenco, il codice di stato e la descrizione indicano la natura dell'errore che si è verificato.

Per un elenco di possibili codici di stato e una descrizione di ciascuno di essi, consulta AllowListStatusAmazon Macie API Reference.

Modifica degli elenchi consentiti

Dopo aver creato un elenco consentito, puoi modificare la maggior parte delle impostazioni dell'elenco in Amazon Macie. Ad esempio, puoi modificare il nome e la descrizione dell'elenco e aggiungere e modificare i tag dell'elenco. L'unica impostazione che non puoi modificare è il tipo di elenco. Ad esempio, se un elenco di elementi consentiti esistente specifica un'espressione regolare, non è possibile modificarne il tipo in testo predefinito.

Se un elenco di opzioni consentite specifica un testo predefinito, potete anche modificare le voci dell'elenco. A tale scopo, aggiorna il file che contiene le voci, quindi carica la nuova versione del file su Amazon S3. La prossima volta che Macie si prepara a utilizzare l'elenco, Macie recupera l'ultima versione del file da Amazon S3. Quando carichi il nuovo file, assicurati di archiviarlo nello stesso bucket e oggetto S3. Oppure, se modifichi il nome del bucket o dell'oggetto, assicurati di aggiornare le impostazioni dell'elenco in Macie.

Puoi modificare le impostazioni di un elenco di autorizzazioni utilizzando la console Amazon Macie o l'API Amazon Macie.

Console

Segui questi passaggi per modificare le impostazioni di un elenco consentito utilizzando la console Amazon Macie.

Per modificare un elenco di elementi consentiti

  1. Apri la console Amazon Macie all'indirizzo https://console.aws.amazon.com/macie/.

  2. Nel pannello di navigazione, in Impostazioni, scegli Consenti elenchi.

  3. Nella pagina Consenti elenchi, scegli il nome dell'elenco consentito che desideri modificare. Viene visualizzata la pagina dell'elenco degli elenchi consentiti in cui sono visualizzate le impostazioni correnti dell'elenco.

  4. Per assegnare o modificare i tag per l'elenco consentito, scegli Gestisci tag nella sezione Tag. Quindi, se necessario, modificate i tag. Al termine, scegli Salva.

  5. Per modificare altre impostazioni per l'elenco dei file consentiti, scegli Modifica nella sezione Impostazioni elenco. Quindi modifica le impostazioni che desideri:

    • Nome: inserisci un nuovo nome per l'elenco. Il nome può contenere fino a un massimo di 128 caratteri.

    • Descrizione: immettere una nuova descrizione dell'elenco. La descrizione può contenere fino a 512 caratteri.

    • Se l'elenco consentito specifica un testo predefinito:

      • Nome del bucket S3: inserisci il nome del bucket che attualmente memorizza l'elenco.

        In Amazon S3, puoi trovare questo valore nel campo Nome delle proprietà del bucket. Questo valore prevede la distinzione tra lettere maiuscole e minuscole. Inoltre, non utilizzare caratteri jolly o valori parziali quando inserisci il nome.

      • Nome dell'oggetto S3: inserisci il nome dell'oggetto S3 che attualmente memorizza l'elenco.

        In Amazon S3, puoi trovare questo valore nel campo Chiave delle proprietà dell'oggetto. Se il nome include un percorso, assicurati di includere il percorso completo quando inserisci il nome, ad esempioallowlists/macie/mylist.txt. Questo valore prevede la distinzione tra lettere maiuscole e minuscole. Inoltre, non utilizzate caratteri jolly o valori parziali quando inserite il nome.

    • Se l'elenco consentito specifica un'espressione regolare (regex), inserite una nuova espressione regolare nella casella Espressione regolare. L'espressione regolare può contenere fino a 512 caratteri.

      Dopo aver inserito la nuova espressione regolare, opzionalmente testala. A tale scopo, inserisci fino a 1.000 caratteri nella casella Dati di esempio, quindi scegli Test. Macie valuta i dati di esempio e riporta il numero di occorrenze di testo che corrispondono all'espressione regolare. Puoi ripetere questo passaggio tutte le volte che vuoi per rifinire e ottimizzare l'espressione regolare prima di salvare le modifiche.

    Quando hai finito di modificare le impostazioni, scegli Salva.

Macie verifica le impostazioni dell'elenco. Per un elenco di testo predefinito, Macie verifica inoltre di poter recuperare l'elenco da Amazon S3 e analizzarne il contenuto. Per quanto riguarda l'espressione regolare, Macie verifica anche di poter compilare l'espressione. Se si verifica un errore, Macie visualizza un messaggio che descrive l'errore. Per informazioni dettagliate che possono aiutarti a risolvere l'errore, consulta. Consenti le opzioni e i requisiti degli elenchi Dopo aver corretto gli errori, puoi salvare le modifiche.

API

Per modificare un elenco di opzioni consentite a livello di codice, utilizza il UpdateAllowListfunzionamento dell'API Amazon Macie o, in alternativa, esegui AWS CLI il comando. update-allow-list Nella tua richiesta, utilizza i parametri supportati per specificare un nuovo valore per ogni impostazione che desideri modificare. Nota che i name parametri criteriaid, e sono obbligatori. Se non desiderate modificare il valore di un parametro obbligatorio, specificate il valore corrente per il parametro.

Ad esempio, il comando seguente modifica il nome e la descrizione di un elenco di autorizzazioni esistente. L'esempio è formattato per Microsoft Windows e utilizza il carattere di continuazione di riga (^) per migliorare la leggibilità.

C:\> aws macie2 update-allow-list ^
--id km2d4y22hp6rv05example ^
--name my_allow_list-email ^
--criteria={\"regex\":\"[a-z]@example.com\"} ^
--description "Ignores all email addresses for the example.com domain"

Dove:

  • km2d4y22hp6rv05example è l'identificatore univoco dell'elenco.

  • my_allow_list-email è il nuovo nome per l'elenco.

  • [a-z] @example .com è il criterio della lista, un'espressione regolare.

  • Ignora tutti gli indirizzi email del dominio example.com è la nuova descrizione dell'elenco.

Quando invii la richiesta, Macie verifica le impostazioni dell'elenco. Se l'elenco specifica un testo predefinito, ciò include la verifica che Macie possa recuperare l'elenco da Amazon S3 e analizzarne il contenuto. Se l'elenco specifica un'espressione regolare, ciò include la verifica che Macie sia in grado di compilare l'espressione.

Se si verifica un errore durante il test delle impostazioni da parte di Macie, la richiesta ha esito negativo e Macie restituisce un messaggio che descrive l'errore. Per informazioni dettagliate che possono aiutarti a risolvere l'errore, consulta. Consenti le opzioni e i requisiti degli elenchi Se la richiesta fallisce per un altro motivo, Macie restituisce una risposta HTTP 4 xx o 500 che indica il motivo per cui l'operazione non è riuscita.

Se la richiesta ha esito positivo, Macie aggiorna le impostazioni dell'elenco e ricevi un output simile al seguente.

{
    "arn": "arn:aws:macie2:us-west-2:123456789012:allow-list/km2d4y22hp6rv05example",
    "id": "km2d4y22hp6rv05example"
}

arnDov'è l'Amazon Resource Name (ARN) dell'elenco consentito che è stato aggiornato ed id è l'identificatore univoco dell'elenco.

Eliminazione degli elenchi consentiti

Quando elimini un elenco di prodotti consentiti in Amazon Macie, elimini definitivamente tutte le impostazioni dell'elenco. Queste impostazioni non possono essere ripristinate dopo essere state eliminate. Se le impostazioni specificano un elenco di testo predefinito che memorizzi in Amazon S3, Macie non elimina l'oggetto S3 che memorizza l'elenco. Vengono eliminate solo le impostazioni di Macie.

Se si configurano i processi di rilevamento di dati sensibili per utilizzare un elenco consentito e successivamente si elimina l'elenco, i processi verranno eseguiti come pianificato. Tuttavia, i risultati dei processi, sia quelli rilevati con dati sensibili che quelli relativi all'individuazione di dati sensibili, potrebbero riportare il testo precedentemente specificato in un elenco di dati consentiti. Analogamente, se si configura l'individuazione automatica dei dati sensibili per l'utilizzo di un elenco e successivamente si elimina l'elenco, continueranno i cicli di analisi giornalieri. Tuttavia, le rilevazioni di dati sensibili, le statistiche o altri tipi di risultati potrebbero riportare il testo precedentemente specificato in un elenco consentito.

Prima di eliminare un elenco consentito, ti consigliamo di esaminare l'inventario dei lavori per identificare i lavori che utilizzano l'elenco e che sono programmati per essere eseguiti in futuro. Nell'inventario, il pannello dei dettagli indica se un lavoro è configurato per utilizzare elenchi consentiti e, in caso affermativo, quali. Inoltre, controlla le impostazioni di rilevamento automatico dei dati sensibili. Potresti decidere che è meglio modificare un elenco anziché eliminarlo.

Come ulteriore protezione, Macie controlla le impostazioni di tutti i tuoi lavori quando tenti di eliminare un elenco consentito. Se hai configurato dei lavori per utilizzare l'elenco e uno di questi lavori ha uno stato diverso da Completato o Annullato, Macie non elimina l'elenco a meno che tu non fornisca un'ulteriore conferma.

Puoi eliminare un elenco di prodotti consentiti utilizzando la console Amazon Macie o l'API Amazon Macie.

Console

Segui questi passaggi per eliminare un elenco di prodotti consentiti utilizzando la console Amazon Macie.

Per eliminare un elenco di elementi consentiti

  1. Apri la console Amazon Macie all'indirizzo https://console.aws.amazon.com/macie/.

  2. Nel pannello di navigazione, in Impostazioni, scegli Consenti elenchi.

  3. Nella pagina Consenti elenchi, seleziona la casella di controllo relativa all'elenco consentito che desideri eliminare.

  4. Dal menu Actions (Operazioni), scegli Delete (Elimina).

  5. Quando viene richiesta la conferma, inserisci delete e scegli Delete (Elimina).

API

Per eliminare un elenco di prodotti consentiti a livello di programmazione, utilizza il DeleteAllowListfunzionamento dell'API Amazon Macie. Per il id parametro, specifica l'identificatore univoco per l'elenco consentito da eliminare. È possibile ottenere questo identificatore utilizzando l'ListAllowListsoperazione. L'ListAllowListsoperazione recupera informazioni su tutti gli elenchi consentiti per il tuo account. Se utilizzi il AWS CLI, puoi eseguire il list-allow-listscomando per recuperare queste informazioni.

Per il ignoreJobChecks parametro, specifica se forzare l'eliminazione dell'elenco, anche se i processi di rilevamento di dati sensibili sono configurati per utilizzare l'elenco:

  • Se lo specifichifalse, Macie controlla le impostazioni di tutti i tuoi lavori con uno stato diverso da COMPLETE oCANCELLED. Se nessuno di questi lavori è configurato per utilizzare l'elenco, Macie elimina l'elenco in modo permanente. Se uno di questi lavori è configurato per utilizzare l'elenco, Macie rifiuta la richiesta e restituisce un errore HTTP 400 (). ValidationException Il messaggio di errore indica il numero di lavori applicabili per un massimo di 200 lavori.

  • Se lo specifichitrue, Macie elimina definitivamente l'elenco senza controllare le impostazioni per nessuno dei tuoi lavori.

Per eliminare un elenco consentito utilizzando il AWS CLI, esegui il comando. delete-allow-list Per esempio:

C:\> aws macie2 delete-allow-list --id nkr81bmtu2542yyexample --ignore-job-checks false

Dove nkr81bmtu2542yyexample è l'identificatore univoco dell'elenco consentito da eliminare.

Se la richiesta ha esito positivo, Macie restituisce una risposta HTTP 200 vuota. Altrimenti, Macie restituisce una risposta HTTP 4 xx o 500 che indica il motivo per cui l'operazione non è riuscita.

Se l'elenco degli elementi consentiti specificava un testo predefinito, puoi facoltativamente eliminare l'oggetto S3 che memorizza l'elenco. Tuttavia, la conservazione di questo oggetto può contribuire a garantire una cronologia immutabile delle rilevazioni e dei risultati delle scoperte di dati sensibili per controlli o indagini sulla privacy e sulla protezione dei dati.