Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Archiviazione e conservazione dei risultati della scoperta di dati sensibili con Amazon Macie
Quando esegui un processo di rilevamento di dati sensibili o Amazon Macie esegue un rilevamento automatico di dati sensibili, Macie crea un record di analisi per ogni oggetto Amazon Simple Storage Service (Amazon S3) incluso nell'ambito dell'analisi. Questi record, denominati risultati di rilevamento di dati sensibili, registrano i dettagli sull'analisi eseguita da Macie su singoli oggetti S3. Ciò include oggetti in cui Macie non rileva dati sensibili e che quindi non producono risultati, e oggetti che Macie non può analizzare a causa di errori o problemi. Se Macie rileva dati sensibili in un oggetto, il record include i dati del risultato corrispondente e informazioni aggiuntive. I risultati dell'individuazione di dati sensibili forniscono record di analisi che possono essere utili per controlli o indagini sulla privacy e sulla protezione dei dati.
Macie archivia i risultati della scoperta dei dati sensibili per soli 90 giorni. Per accedere ai risultati e consentirne l'archiviazione e la conservazione a lungo termine, configura Macie per crittografare i risultati con una chiave AWS Key Management Service (AWS KMS) e archiviarli in un bucket S3. Il bucket può fungere da archivio definitivo a lungo termine per tutti i risultati della scoperta di dati sensibili. È quindi possibile, facoltativamente, accedere e interrogare i risultati in tale repository.
Questo argomento illustra il processo di configurazione di un repository AWS Management Console per i risultati della scoperta di dati sensibili. La configurazione è una combinazione di an AWS KMS key che crittografa i risultati, un bucket S3 generico che archivia i risultati e impostazioni Macie che specificano la chiave e il bucket da utilizzare. Se preferisci configurare le impostazioni di Macie a livello di codice, puoi utilizzare il PutClassificationExportConfigurationfunzionamento di Amazon Macie. API
Quando configuri le impostazioni in Macie, le tue scelte si applicano solo a quelle correnti. Regione AWS Se sei l'amministratore Macie di un'organizzazione, le tue scelte si applicano solo al tuo account. Non si applicano agli account dei membri associati. Se abiliti il rilevamento automatico di dati sensibili o esegui processi di rilevamento di dati sensibili per analizzare i dati degli account dei membri, Macie archivia i risultati dell'individuazione dei dati sensibili nell'archivio del tuo account amministratore.
Se usi Macie in più di uno Regioni AWS, configura le impostazioni del repository per ogni regione in cui usi Macie. Facoltativamente, puoi archiviare i risultati del rilevamento di dati sensibili per più regioni nello stesso bucket S3. Tuttavia, tieni presente i seguenti requisiti:
-
Per memorizzare i risultati per una regione AWS abilitata per impostazione predefinita Account AWS, ad esempio la regione Stati Uniti orientali (Virginia settentrionale), devi scegliere un bucket in una regione abilitata per impostazione predefinita. I risultati non possono essere archiviati in un bucket in una regione opzionale (regione disattivata per impostazione predefinita).
-
Per memorizzare i risultati per una regione che richiede l'iscrizione, come la regione del Medio Oriente (Bahrein), devi scegliere un bucket nella stessa regione o in una regione abilitata per impostazione predefinita. I risultati non possono essere archiviati in un bucket in un'altra regione opt-in.
Per determinare se una regione è abilitata per impostazione predefinita, consulta Regioni ed endpoint nella Guida per l'AWS Identity and Access Management utente. Oltre ai requisiti precedenti, valuta anche se desideri recuperare campioni di dati sensibili che Macie riporta nei singoli risultati. Per recuperare campioni di dati sensibili da un oggetto S3 interessato, tutte le seguenti risorse e dati devono essere archiviati nella stessa area: l'oggetto interessato, il risultato applicabile e il corrispondente risultato della scoperta dei dati sensibili.
Attività
Panoramica
Amazon Macie crea automaticamente un risultato di rilevamento di dati sensibili per ogni oggetto Amazon S3 che analizza o tenta di analizzare quando esegui un processo di rilevamento di dati sensibili o esegue un rilevamento automatico di dati sensibili. Questo include:
-
Oggetti in cui Macie rileva dati sensibili e quindi producono anche risultati su dati sensibili.
-
Oggetti in cui Macie non rileva dati sensibili e quindi non producono risultati su dati sensibili.
-
Oggetti che Macie non può analizzare a causa di errori o problemi come le impostazioni delle autorizzazioni o l'uso di un file o di un formato di archiviazione non supportato.
Se Macie rileva dati sensibili in un oggetto S3, il risultato della scoperta dei dati sensibili include i dati della corrispondente ricerca di dati sensibili. Fornisce anche informazioni aggiuntive, come la posizione di ben 1.000 occorrenze di ogni tipo di dati sensibili che Macie ha trovato nell'oggetto. Per esempio:
-
Il numero di colonna e di riga per una cella o un campo in una cartella di lavoro, CSV file o TSV file di Microsoft Excel
-
Il percorso di un campo o di una matrice in un JSON file JSON o Lines
-
Il numero di riga di una riga in un file di testo non binario diverso da un fileCSV,JSON, JSON Righe o TSV file, ad esempio unHTML, TXT o file XML
-
Il numero di pagina di una pagina in un file Adobe Portable Document Format () PDF
-
L'indice dei record e il percorso di un campo in un record in un contenitore di oggetti Apache Avro o in un file Apache Parquet
Se l'oggetto S3 interessato è un file di archivio, ad esempio un file.tar o.zip, il risultato della scoperta dei dati sensibili fornisce anche dati dettagliati sulla posizione delle occorrenze di dati sensibili nei singoli file che Macie ha estratto dall'archivio. Macie non include queste informazioni nelle rilevazioni di dati sensibili per i file di archivio. Per riportare i dati sulla posizione, i risultati del rilevamento dei dati sensibili utilizzano uno schema standardizzato JSON.
Un risultato di scoperta di dati sensibili non include i dati sensibili trovati da Macie. Fornisce invece un record di analisi che può essere utile per audit o indagini.
Macie archivia i risultati della scoperta dei dati sensibili per 90 giorni. Non puoi accedervi direttamente dalla console Amazon Macie o con Amazon Macie. API Segui invece i passaggi descritti in questo argomento per configurare Macie in modo AWS KMS key che crittografi i risultati con un file specificato da te e memorizzi i risultati in un bucket S3 generico da te specificato. Macie scrive quindi i risultati nei file JSON Lines (.jsonl), aggiunge i file al bucket come file GNU Zip (.gz) e cripta i dati utilizzando la crittografia -. SSE KMS A partire dall'8 novembre 2023, Macie firma anche gli oggetti S3 risultanti con un Message Authentication Code () basato su Hash. HMAC AWS KMS key
Dopo aver configurato Macie per archiviare i risultati del rilevamento dei dati sensibili in un bucket S3, il bucket può fungere da archivio definitivo a lungo termine per i risultati. È quindi possibile, facoltativamente, accedere e interrogare i risultati in quel repository.
Suggerimenti
Per un esempio dettagliato e istruttivo su come interrogare e utilizzare i risultati del rilevamento di dati sensibili per analizzare e segnalare potenziali rischi per la sicurezza dei dati, consulta il seguente post sul blog sulla AWS sicurezza: Come interrogare e visualizzare i risultati del rilevamento dei dati sensibili di Macie con Amazon Athena
Per esempi di query Amazon Athena da utilizzare per analizzare i risultati del rilevamento di dati sensibili, visita il repository di Amazon Macie
Passaggio 1: verifica le autorizzazioni
Prima di configurare un repository per i risultati del rilevamento dei dati sensibili, verifica di disporre delle autorizzazioni necessarie per crittografare e archiviare i risultati. Per verificare le tue autorizzazioni, usa AWS Identity and Access Management (IAM) per rivedere le IAM politiche allegate alla tua identità. IAM Quindi confronta le informazioni contenute in tali politiche con il seguente elenco di azioni che devi essere autorizzato a eseguire per configurare il repository.
- Amazon Macie
-
Per Macie, verifica di avere il permesso di eseguire la seguente azione:
macie2:PutClassificationExportConfigurationQuesta azione ti consente di aggiungere o modificare le impostazioni del repository in Macie.
- Amazon S3
-
Per Amazon S3, verifica di essere autorizzato a eseguire le seguenti azioni:
-
s3:CreateBucket -
s3:GetBucketLocation -
s3:ListAllMyBuckets -
s3:PutBucketAcl -
s3:PutBucketPolicy -
s3:PutBucketPublicAccessBlock -
s3:PutObject
Queste azioni consentono di accedere e configurare un bucket S3 generico che può fungere da repository.
-
- AWS KMS
-
Per utilizzare la console Amazon Macie per aggiungere o modificare le impostazioni del repository, verifica anche di essere autorizzato a eseguire le seguenti azioni: AWS KMS
-
kms:DescribeKey -
kms:ListAliases
Queste azioni ti consentono di recuperare e visualizzare informazioni AWS KMS keys relative al tuo account. Puoi quindi scegliere una di queste chiavi per crittografare i risultati del rilevamento dei dati sensibili.
Se prevedi di crearne una nuova AWS KMS key per crittografare i dati, devi anche avere il permesso di eseguire le seguenti azioni:
kms:CreateKeykms:GetKeyPolicy, e.kms:PutKeyPolicy -
Se non sei autorizzato a eseguire le azioni richieste, chiedi assistenza AWS all'amministratore prima di procedere al passaggio successivo.
Passaggio 2: configurare un AWS KMS key
Dopo aver verificato le autorizzazioni, stabilisci quale AWS KMS key vuoi che Macie utilizzi per crittografare i risultati del rilevamento dei dati sensibili. La chiave deve essere una KMS chiave di crittografia simmetrica gestita dal cliente, abilitata nello stesso Regione AWS bucket S3 in cui desideri archiviare i risultati.
La chiave può essere esistente AWS KMS key dal tuo account o esistente AWS KMS key di proprietà di un altro account. Se desideri utilizzare una nuova KMS chiave, crea la chiave prima di procedere. Se desideri utilizzare una chiave esistente di proprietà di un altro account, ottieni l'Amazon Resource Name (ARN) della chiave. Dovrai inserirlo ARN quando configuri le impostazioni del repository in Macie. Per informazioni sulla creazione e la revisione delle impostazioni per le KMS chiavi, consulta Managing keys nella AWS Key Management Service Developer Guide.
Nota
La chiave può trovarsi AWS KMS key in un archivio di chiavi esterno. Tuttavia, la chiave potrebbe quindi essere più lenta e meno affidabile di una chiave gestita interamente all'interno AWS KMS. Puoi ridurre questo rischio archiviando i risultati del rilevamento dei dati sensibili in un bucket S3 configurato per utilizzare la chiave come chiave S3 Bucket. In questo modo si riduce il numero di AWS KMS richieste da effettuare per crittografare i risultati del rilevamento dei dati sensibili.
Per informazioni sull'utilizzo delle KMS chiavi negli archivi di chiavi esterni, consulta Archivi di chiavi esterni nella Guida per gli AWS Key Management Service sviluppatori. Per informazioni sull'uso di S3 Bucket Keys, consulta Reducing the cost of SSE - KMS with Amazon S3 Bucket Keys nella Amazon Simple Storage Service User Guide.
Dopo aver determinato quale KMS chiave vuoi che Macie utilizzi, consenti a Macie il permesso di usare la chiave. Altrimenti, Macie non sarà in grado di crittografare o archiviare i risultati nell'archivio. Per autorizzare Macie a usare la chiave, aggiorna la politica relativa alla chiave. Per informazioni dettagliate sulle politiche chiave e sulla gestione dell'accesso alle KMS chiavi, consulta le politiche chiave AWS KMS nella Guida per gli AWS Key Management Service sviluppatori.
Per aggiornare la politica chiave
-
Apri la AWS KMS console all'indirizzo https://console.aws.amazon.com/kms
. -
Per modificare la Regione AWS, usa il selettore della regione nell'angolo superiore destro della pagina.
-
Scegli la chiave che vuoi che Macie utilizzi per crittografare i risultati del rilevamento dei dati sensibili.
-
Nella scheda Politica chiave, scegli Modifica.
-
Copia la seguente dichiarazione negli appunti, quindi aggiungila alla politica:
{ "Sid": "Allow Macie to use the key", "Effect": "Allow", "Principal": { "Service": "macie.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Encrypt" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": [ "arn:aws:macie2:Region:111122223333:export-configuration:*", "arn:aws:macie2:Region:111122223333:classification-job/*" ] } } }Nota
Quando si aggiunge l'istruzione alla policy, assicurarsi che la sintassi sia valida. Le politiche utilizzano JSON il formato. Ciò significa che è necessario aggiungere anche una virgola prima o dopo l'istruzione, a seconda di dove si aggiunge l'istruzione alla politica. Se aggiungete l'istruzione come ultima istruzione, aggiungete una virgola dopo la parentesi corta di chiusura dell'istruzione precedente. Se la aggiungete come prima istruzione o tra due istruzioni esistenti, aggiungete una virgola dopo la parentesi graffa che chiude l'istruzione.
-
Aggiorna l'istruzione con i valori corretti per il tuo ambiente:
-
Nei
Conditioncampi, sostituisci i valori segnaposto, dove:-
111122223333è l'ID dell'account per il tuo. Account AWS -
Regionè l'applicazione Regione AWS in cui stai usando Macie e vuoi consentire a Macie di usare la chiave.Se usi Macie in più regioni e desideri consentire a Macie di utilizzare la chiave in altre regioni, aggiungi le
aws:SourceArncondizioni per ogni regione aggiuntiva. Per esempio:"aws:SourceArn": [ "arn:aws:macie2:us-east-1:111122223333:export-configuration:*", "arn:aws:macie2:us-east-1:111122223333:classification-job/*", "arn:aws:macie2:us-west-2:111122223333:export-configuration:*", "arn:aws:macie2:us-west-2:111122223333:classification-job/*" ]In alternativa, puoi consentire a Macie di utilizzare la chiave in tutte le regioni. Per fare ciò, sostituisci il valore del segnaposto con il carattere jolly (*). Per esempio:
"aws:SourceArn": [ "arn:aws:macie2:*:111122223333:export-configuration:*", "arn:aws:macie2:*:111122223333:classification-job/*" ]
-
-
Se utilizzi Macie in una regione che richiede l'attivazione, aggiungi il codice regionale appropriato al valore del campo.
ServiceAd esempio, se utilizzi Macie nella regione Medio Oriente (Bahrein), che ha il codice regionale me-south-1, sostituiscilo con.macie.amazonaws.commacie.me-south-1.amazonaws.comPer un elenco delle regioni in cui Macie è attualmente disponibile e il codice regionale per ciascuna di esse, consulta gli endpoint e le quote di Amazon Macie nel. Riferimenti generali di AWS
Tieni presente che i
Conditioncampi utilizzano due IAM chiavi di condizione globali:-
aws: SourceAccount — Questa condizione consente a Macie di eseguire le azioni specificate solo per il tuo account. Più specificamente, determina quale account può eseguire le azioni specificate per le risorse e le azioni specificate dalla
aws:SourceArncondizione.Per consentire a Macie di eseguire le azioni specificate per account aggiuntivi, aggiungi l'ID account per ogni account aggiuntivo a questa condizione. Per esempio:
"aws:SourceAccount": [111122223333,444455556666] -
aws: SourceArn — Questa condizione AWS servizi impedisce ad altri di eseguire le azioni specificate. Inoltre impedisce a Macie di utilizzare la chiave mentre esegue altre azioni per il tuo account. In altre parole, consente a Macie di crittografare gli oggetti S3 con la chiave solo se: gli oggetti sono risultati del rilevamento di dati sensibili e i risultati riguardano il rilevamento automatico di dati sensibili o i processi di scoperta di dati sensibili creati dall'account specificato nella regione specificata.
Per consentire a Macie di eseguire le azioni specificate per account aggiuntivi, aggiungi questa condizione ARNs per ogni account aggiuntivo. Per esempio:
"aws:SourceArn": [ "arn:aws:macie2:us-east-1:111122223333:export-configuration:*", "arn:aws:macie2:us-east-1:111122223333:classification-job/*", "arn:aws:macie2:us-east-1:444455556666:export-configuration:*", "arn:aws:macie2:us-east-1:444455556666:classification-job/*" ]
Gli account specificati dalle
aws:SourceArncondizioniaws:SourceAccounte devono corrispondere.Queste condizioni aiutano a evitare che Macie venga usato come vice confuso durante le transazioni con AWS KMS. Anche se non lo consigliamo, puoi rimuovere queste condizioni dall'informativa.
-
-
Al termine dell'aggiunta e dell'aggiornamento dell'istruzione, scegli Salva modifiche.
Passaggio 3: scegli un bucket S3
Dopo aver verificato le autorizzazioni e configurato il AWS KMS key, sei pronto a specificare quale bucket S3 desideri utilizzare come repository per i risultati del rilevamento dei dati sensibili. Sono disponibili due opzioni:
-
Usa un nuovo bucket S3 creato da Macie: se scegli questa opzione, Macie crea automaticamente un nuovo bucket S3 per uso generico nella versione attuale per i risultati del discovery. Regione AWS Macie applica anche una policy sul bucket. La policy consente a Macie di aggiungere oggetti al bucket. Richiede inoltre AWS KMS key che gli oggetti siano crittografati con il metodo specificato, utilizzando SSE la crittografia. KMS Per rivedere la politica, scegli Visualizza politica sulla console Amazon Macie dopo aver specificato un nome per il bucket e la KMS chiave da utilizzare.
-
Usa un bucket S3 esistente che hai creato: se preferisci archiviare i risultati del discovery in un particolare bucket S3 da te creato, crea il bucket prima di procedere. Il bucket deve essere un bucket generico. Inoltre, le impostazioni e i criteri del bucket devono consentire a Macie di aggiungere oggetti al bucket. Questo argomento spiega quali impostazioni controllare e come aggiornare la policy. Fornisce inoltre esempi di dichiarazioni da aggiungere alla politica.
Le seguenti sezioni forniscono istruzioni per ciascuna opzione. Scegliete la sezione relativa all'opzione desiderata.
Se preferisci usare un nuovo bucket S3 creato da Macie per te, l'ultimo passaggio del processo consiste nel configurare le impostazioni del repository in Macie.
Per configurare le impostazioni del repository in Macie
Apri la console Amazon Macie all'indirizzo. https://console.aws.amazon.com/macie/
-
Nel pannello di navigazione, in Impostazioni, scegli Risultati Discovery.
-
In Repository for sensitive data discovery results, scegli Crea bucket.
-
Nella casella Crea un bucket, inserisci un nome per il bucket.
Il nome deve essere univoco per tutti i bucket S3. Inoltre, il nome può essere composto solo da lettere minuscole, numeri, punti (.) e trattini (-). Per ulteriori requisiti di denominazione, consulta le regole di denominazione dei bucket nella Guida per l'utente di Amazon Simple Storage Service.
-
Espandere la sezione Advanced (Avanzate).
-
(Facoltativo) Per specificare un prefisso da utilizzare nel percorso verso una posizione nel bucket, inserisci il prefisso nella casella Prefisso dei risultati di Data discovery.
Quando inserisci un valore, Macie aggiorna l'esempio sotto la casella per mostrare il percorso della posizione del bucket in cui verranno archiviati i risultati del rilevamento.
-
Per Blocca tutti gli accessi pubblici, scegli Sì per abilitare tutte le impostazioni di blocco di accesso pubblico per il bucket.
Per informazioni su queste impostazioni, consulta Bloccare l'accesso pubblico allo storage Amazon S3 nella Guida per l'utente di Amazon Simple Storage Service.
-
In Impostazioni di crittografia, specifica quelle AWS KMS key che desideri che Macie utilizzi per crittografare i risultati:
-
Per utilizzare una chiave del tuo account, scegli Seleziona una chiave dal tuo account. Quindi, nell'AWS KMS keyelenco, scegli la chiave da usare. L'elenco mostra le KMS chiavi di crittografia simmetriche gestite dal cliente per il tuo account.
-
Per utilizzare una chiave di proprietà di un altro account, scegli Inserisci la chiave ARN di un altro account. Quindi, nella AWS KMS key ARNcasella, inserisci l'Amazon Resource Name (ARN) della chiave da utilizzare, ad esempio.
arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
-
-
Quando hai finito di inserire le impostazioni, scegli Salva.
Macie verifica le impostazioni per verificare che siano corrette. Se alcune impostazioni non sono corrette, Macie visualizza un messaggio di errore per aiutarti a risolvere il problema.
Dopo aver salvato le impostazioni del repository, Macie aggiunge al repository i risultati di rilevamento esistenti degli ultimi 90 giorni. Macie inizia anche ad aggiungere nuovi risultati di scoperta al repository.
Se preferisci archiviare i risultati del rilevamento dei dati sensibili in un particolare bucket S3, devi creare, creare e configurare il bucket prima di configurare le impostazioni in Macie. Quando crei il bucket, tieni presente i seguenti requisiti:
-
Il secchio deve essere un secchio per uso generico. Non può essere un bucket di directory.
-
Se abiliti Object Lock per il bucket, devi disabilitare l'impostazione di conservazione predefinita per quella funzionalità. Altrimenti, Macie non sarà in grado di aggiungere i risultati della scoperta al bucket. Per informazioni su questa impostazione, consulta Using S3 Object Lock nella Amazon Simple Storage Service User Guide.
-
Per memorizzare i risultati di discovery per una regione abilitata di default Account AWS, come la regione Stati Uniti orientali (Virginia settentrionale), il bucket deve trovarsi in una regione abilitata per impostazione predefinita. I risultati non possono essere archiviati in un bucket in una regione opzionale (regione disattivata per impostazione predefinita).
-
Per archiviare i risultati della ricerca per una regione che ha aderito all'iniziativa, come la regione del Medio Oriente (Bahrein), il bucket deve trovarsi nella stessa regione o in una regione abilitata per impostazione predefinita. I risultati non possono essere archiviati in un bucket in un'altra regione opt-in.
Per determinare se una regione è abilitata per impostazione predefinita, consulta Regioni ed endpoint nella Guida per l'AWS Identity and Access Management utente.
Dopo aver creato il bucket, aggiorna la policy del bucket per consentire a Macie di recuperare informazioni sul bucket e aggiungere oggetti al bucket. Puoi quindi configurare le impostazioni in Macie.
Per aggiornare la policy relativa al bucket
Apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/
-
Scegli il bucket in cui desideri archiviare i risultati della scoperta.
-
Scegli la scheda Autorizzazioni.
-
Seleziona Modifica nella sezione Policy bucket.
-
Copia la seguente politica di esempio negli appunti:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow Macie to use the GetBucketLocation operation", "Effect": "Allow", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:GetBucketLocation", "Resource": "arn:aws:s3:::myBucketName", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": [ "arn:aws:macie2:Region:111122223333:export-configuration:*", "arn:aws:macie2:Region:111122223333:classification-job/*" ] } } }, { "Sid": "Allow Macie to add objects to the bucket", "Effect": "Allow", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::myBucketName/[optional prefix/]*", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": [ "arn:aws:macie2:Region:111122223333:export-configuration:*", "arn:aws:macie2:Region:111122223333:classification-job/*" ] } } }, { "Sid": "Deny unencrypted object uploads. This is optional", "Effect": "Deny", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::myBucketName/[optional prefix/]*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption": "aws:kms" } } }, { "Sid": "Deny incorrect encryption headers. This is optional", "Effect": "Deny", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::myBucketName/[optional prefix/]*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption-aws-kms-key-id": "arn:aws:kms:Region:111122223333:key/KMSKeyId" } } }, { "Sid": "Deny non-HTTPS access", "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": "arn:aws:s3:::myBucketName/*", "Condition": { "Bool": { "aws:SecureTransport": "false" } } } ] } -
Incolla la policy di esempio nell'editor di policy Bucket sulla console Amazon S3.
-
Aggiorna la policy di esempio con i valori corretti per il tuo ambiente:
-
Nell'istruzione facoltativa che nega le intestazioni di crittografia errate:
-
Replace (Sostituisci)
myBucketNamecon il nome del bucket. -
Nella
StringNotEqualscondizione, sostituirearn:aws:kms:Region:111122223333:key/KMSKeyIdcon l'Amazon Resource Name (ARN) AWS KMS key da utilizzare per la crittografia dei risultati della scoperta.
-
-
In tutte le altre istruzioni, sostituisci i valori segnaposto, dove:
-
myBucketNameè il nome del bucket. -
111122223333è l'ID dell'account per il tuo Account AWS. -
Regionè l' Regione AWS applicazione in cui stai usando Macie e vuoi consentire a Macie di aggiungere i risultati delle scoperte.Se usi Macie in più regioni e desideri consentire a Macie di aggiungere risultati al bucket per altre regioni, aggiungi
aws:SourceArnle condizioni per ogni regione aggiuntiva. Per esempio:"aws:SourceArn": [ "arn:aws:macie2:us-east-1:111122223333:export-configuration:*", "arn:aws:macie2:us-east-1:111122223333:classification-job/*", "arn:aws:macie2:us-west-2:111122223333:export-configuration:*", "arn:aws:macie2:us-west-2:111122223333:classification-job/*" ]In alternativa, puoi consentire a Macie di aggiungere risultati al bucket per tutte le regioni in cui usi Macie. A tale scopo, sostituisci il valore segnaposto con il carattere jolly (*). Per esempio:
"aws:SourceArn": [ "arn:aws:macie2:*:111122223333:export-configuration:*", "arn:aws:macie2:*:111122223333:classification-job/*" ]
-
-
Se utilizzi Macie in una regione che prevede l'attivazione, aggiungi il codice regionale appropriato al valore del
Servicecampo in ogni istruzione che specifica l'entità del servizio Macie. Ad esempio, se utilizzi Macie nella regione Medio Oriente (Bahrein), che ha il codice regionale me-south-1, sostituiscilo con in ogni istruzione applicabile.macie.amazonaws.commacie.me-south-1.amazonaws.comPer un elenco delle regioni in cui Macie è attualmente disponibile e il codice regionale per ciascuna di esse, consulta gli endpoint e le quote di Amazon Macie nel. Riferimenti generali di AWS
Tieni presente che la politica di esempio include istruzioni che consentono a Macie di determinare in quale regione risiede il bucket (
GetBucketLocation) e di aggiungere oggetti al bucket ().PutObjectQueste istruzioni definiscono condizioni che utilizzano due IAM chiavi di condizione globali:-
aws: SourceAccount — Questa condizione consente a Macie di aggiungere i risultati del rilevamento di dati sensibili al bucket solo per il tuo account. Impedisce a Macie di aggiungere al bucket i risultati di scoperta di altri account. Più specificamente, la condizione specifica quale account può utilizzare il bucket per le risorse e le azioni specificate dalla condizione.
aws:SourceArnPer memorizzare i risultati di account aggiuntivi nel bucket, aggiungi l'ID account per ogni account aggiuntivo a questa condizione. Per esempio:
"aws:SourceAccount": [111122223333,444455556666] -
aws: SourceArn — Questa condizione limita l'accesso al bucket in base alla fonte degli oggetti che vengono aggiunti al bucket. Impedisce ad altri AWS servizi di aggiungere oggetti al bucket. Inoltre impedisce a Macie di aggiungere oggetti al bucket mentre esegue altre azioni per il tuo account. Più specificamente, la condizione consente a Macie di aggiungere oggetti al bucket solo se: gli oggetti sono risultati di scoperta di dati sensibili e i risultati riguardano il rilevamento automatico di dati sensibili o i lavori di scoperta di dati sensibili creati dall'account specificato nella regione specificata.
Per consentire a Macie di eseguire le azioni specificate per account aggiuntivi, aggiungi ARNs per ogni account aggiuntivo questa condizione. Per esempio:
"aws:SourceArn": [ "arn:aws:macie2:us-east-1:111122223333:export-configuration:*", "arn:aws:macie2:us-east-1:111122223333:classification-job/*", "arn:aws:macie2:us-east-1:444455556666:export-configuration:*", "arn:aws:macie2:us-east-1:444455556666:classification-job/*" ]
Gli account specificati dalle
aws:SourceArncondizioniaws:SourceAccounte devono corrispondere.Entrambe le condizioni aiutano a evitare che Macie venga usato come assistente confuso durante le transazioni con Amazon S3. Anche se non lo consigliamo, puoi rimuovere queste condizioni dalla bucket policy.
-
-
Al termine dell'aggiornamento della policy del bucket, scegli Salva modifiche.
Ora puoi configurare le impostazioni del repository in Macie.
Per configurare le impostazioni del repository in Macie
Apri la console Amazon Macie all'indirizzo. https://console.aws.amazon.com/macie/
-
Nel pannello di navigazione, in Impostazioni, scegli Risultati Discovery.
-
In Repository for sensitive data discovery results, scegli Existing bucket.
-
Per Scegli un bucket, seleziona il bucket in cui desideri archiviare i risultati del discovery.
-
(Facoltativo) Per specificare un prefisso da utilizzare nel percorso verso una posizione nel bucket, espandi la sezione Avanzate. Quindi, per il prefisso dei risultati di Data discovery, inserisci il prefisso da utilizzare.
Quando inserisci un valore, Macie aggiorna l'esempio sotto la casella per mostrare il percorso verso la posizione del bucket in cui verranno archiviati i risultati del discovery.
-
In Impostazioni di crittografia, specifica quelle AWS KMS key che desideri che Macie utilizzi per crittografare i risultati:
-
Per utilizzare una chiave del tuo account, scegli Seleziona una chiave dal tuo account. Quindi, nell'AWS KMS keyelenco, scegli la chiave da usare. L'elenco mostra le KMS chiavi di crittografia simmetriche gestite dal cliente per il tuo account.
-
Per utilizzare una chiave di proprietà di un altro account, scegli Inserisci la chiave ARN di un altro account. Quindi, nella AWS KMS key ARNcasella, inserisci ARN la chiave da usare, ad esempio.
arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
-
-
Quando hai finito di inserire le impostazioni, scegli Salva.
Macie verifica le impostazioni per verificare che siano corrette. Se alcune impostazioni non sono corrette, Macie visualizza un messaggio di errore per aiutarti a risolvere il problema.
Dopo aver salvato le impostazioni del repository, Macie aggiunge al repository i risultati di rilevamento esistenti degli ultimi 90 giorni. Macie inizia anche ad aggiungere nuovi risultati di scoperta al repository.
Nota
Se successivamente modifichi l'impostazione del prefisso dei risultati di scoperta dei dati, aggiorna anche la policy del bucket in Amazon S3. Le dichiarazioni politiche che specificano il percorso precedente devono specificare il nuovo percorso. Altrimenti, a Macie non sarà consentito aggiungere i risultati della ricerca al bucket.
Suggerimento
Per ridurre i costi di crittografia lato server, configura anche il bucket S3 per utilizzare una chiave S3 Bucket e specifica AWS KMS key quella che hai configurato per la crittografia dei risultati del rilevamento dei dati sensibili. L'uso di una S3 Bucket Key riduce il numero di chiamate a, il che può ridurre i costi delle richieste. AWS KMS AWS KMS Se la KMS chiave si trova in un archivio di chiavi esterno, l'uso di una S3 Bucket Key può anche ridurre al minimo l'impatto sulle prestazioni dell'utilizzo della chiave. Per ulteriori informazioni, consulta Ridurre il costo di SSE - KMS with Amazon S3 Bucket Keys nella Guida per l'utente di Amazon Simple Storage Service.
