Opzioni di configurazione e requisiti per il recupero di campioni di dati sensibili con risultati

Facoltativamente, puoi configurare e utilizzare Amazon Macie per recuperare e rivelare campioni di dati sensibili che Macie riporta nei singoli risultati. Se recuperi e riveli campioni di dati sensibili per una ricerca, Macie utilizza i dati nel corrispondente risultato della scoperta dei dati sensibili per individuare le occorrenze di dati sensibili nell'oggetto Amazon Simple Storage Service (Amazon S3) interessato. Macie estrae quindi campioni di tali occorrenze dall'oggetto interessato. Macie crittografa i dati estratti con una chiave AWS Key Management Service (AWS KMS) specificata dall'utente, archivia temporaneamente i dati crittografati in una cache e restituisce i dati nei risultati per la ricerca. Subito dopo l'estrazione e la crittografia, Macie elimina definitivamente i dati dalla cache, a meno che non sia temporaneamente necessaria una conservazione aggiuntiva per risolvere un problema operativo.

Macie non utilizza il ruolo collegato al servizio Macie per l'account per individuare, recuperare, crittografare o rivelare campioni di dati sensibili per gli oggetti S3 interessati. Macie utilizza invece le impostazioni e le risorse che configuri per il tuo account. Quando configuri le impostazioni in Macie, specifichi come accedere agli oggetti S3 interessati. È inoltre necessario specificare quale utilizzare AWS KMS key per crittografare i campioni. Puoi configurare le impostazioni in tutte le aree in Regioni AWS cui Macie è attualmente disponibile, ad eccezione delle regioni Asia Pacifico (Osaka) e Israele (Tel Aviv).

Per accedere agli oggetti S3 interessati e recuperare campioni di dati sensibili da essi, hai due opzioni. Puoi configurare Macie per utilizzare le credenziali utente AWS Identity and Access Management (IAM) o assumere un ruolo IAM:

• Usa le credenziali utente IAM: con questa opzione, ogni utente del tuo account utilizza la propria identità IAM individuale per individuare, recuperare, crittografare e rivelare gli esempi. Ciò significa che un utente può recuperare e rivelare campioni di dati sensibili a fini di ricerca se è autorizzato ad accedere alle risorse e ai dati necessari ed eseguire le azioni richieste.

• Assumi un ruolo IAM: con questa opzione, crei un ruolo IAM che delega l'accesso a Macie. Ti assicuri inoltre che le politiche di fiducia e autorizzazioni per il ruolo soddisfino tutti i requisiti necessari affinché Macie possa assumere il ruolo. Macie assume quindi il ruolo quando un utente del tuo account sceglie di individuare, recuperare, crittografare e rivelare campioni di dati sensibili a scopo di ricerca.

Puoi utilizzare entrambe le configurazioni con qualsiasi tipo di account Macie: l'account amministratore Macie delegato per un'organizzazione, un account membro Macie in un'organizzazione o un account Macie autonomo.

I seguenti argomenti spiegano opzioni, requisiti e considerazioni che possono aiutarti a determinare come configurare le impostazioni e le risorse per il tuo account. Ciò include le politiche di fiducia e autorizzazioni da collegare a un ruolo IAM. Per ulteriori consigli ed esempi di politiche che potresti utilizzare per recuperare e rivelare campioni di dati sensibili, consulta il post di blog Come usare Amazon Macie per visualizzare in anteprima i dati sensibili nei bucket S3 sul Security Blog. AWS

Determinazione del metodo di accesso da utilizzare

Nel determinare la configurazione migliore per il proprio AWS ambiente, una considerazione fondamentale è se l'ambiente include più account Amazon Macie gestiti centralmente come organizzazione. Se sei l'amministratore Macie delegato di un'organizzazione, la configurazione di Macie per l'assunzione di un ruolo IAM può semplificare il recupero di campioni di dati sensibili dagli oggetti S3 interessati per gli account dell'organizzazione. Con questo approccio, crei un ruolo IAM nel tuo account amministratore. Inoltre, crei un ruolo IAM in ogni account membro applicabile. Il ruolo nel tuo account amministratore delega l'accesso a Macie. Il ruolo in un account membro delega l'accesso tra account diversi al ruolo nel tuo account amministratore. Se implementato, puoi quindi utilizzare il concatenamento dei ruoli per accedere agli oggetti S3 interessati per i tuoi account membro.

Considera anche chi ha accesso diretto ai singoli risultati per impostazione predefinita. Per recuperare e rivelare campioni di dati sensibili relativi a un risultato, un utente deve prima avere accesso al risultato:

• Lavori di rilevamento di dati sensibili: solo l'account che crea un lavoro può accedere ai risultati prodotti dal lavoro. Se disponi di un account amministratore Macie, puoi configurare un job per analizzare gli oggetti nei bucket S3 per qualsiasi account della tua organizzazione. Pertanto, i tuoi lavori possono produrre risultati per gli oggetti contenuti nei bucket di proprietà dei tuoi account membro. Se disponi di un account membro o di un account Macie autonomo, puoi configurare un processo per analizzare gli oggetti solo nei bucket di proprietà del tuo account.

• Rilevamento automatico dei dati sensibili: solo l'account amministratore di Macie può accedere ai risultati prodotti dal rilevamento automatico per gli account della propria organizzazione. Gli account dei membri non possono accedere a questi risultati. Se disponi di un account Macie indipendente, puoi accedere ai risultati che il rilevamento automatico produce solo per il tuo account.

Se prevedi di accedere agli oggetti S3 interessati utilizzando un ruolo IAM, considera anche quanto segue:

• Per individuare le occorrenze di dati sensibili in un oggetto, il risultato della scoperta dei dati sensibili corrispondente a un risultato deve essere archiviato in un oggetto S3 firmato da Macie con un Message Authentication Code (HMAC) basato su Hash. AWS KMS key Macie deve essere in grado di verificare l'integrità e l'autenticità del risultato della scoperta dei dati sensibili. Altrimenti, Macie non assumerà il ruolo di IAM per recuperare campioni di dati sensibili. Si tratta di una barriera aggiuntiva per limitare l'accesso ai dati negli oggetti S3 per un account.

• Per recuperare campioni di dati sensibili da un oggetto crittografato e gestito da un clienteAWS KMS key, è necessario consentire al ruolo IAM di decrittografare i dati con la chiave. Più specificamente, la policy della chiave deve consentire al ruolo di eseguire l'azione. kms:Decrypt Per altri tipi di crittografia lato server, non sono necessarie autorizzazioni o risorse aggiuntive per decrittografare un oggetto interessato. Per ulteriori informazioni, consulta Decrittografia degli oggetti S3 interessati.

• Per recuperare campioni di dati sensibili da un oggetto per un altro account, devi attualmente essere l'amministratore Macie delegato per l'account nell'elenco applicabile. Regione AWS Inoltre:

  • Macie deve essere attualmente abilitato per l'account membro nella regione applicabile.

  • L'account membro deve avere un ruolo IAM che delega l'accesso tra account diversi a un ruolo IAM nell'account amministratore di Macie. Il nome del ruolo deve essere lo stesso nell'account amministratore Macie e nell'account membro.

  • La politica di fiducia per il ruolo IAM nell'account membro deve includere una condizione che specifichi l'ID esterno corretto per la configurazione. Questo ID è una stringa alfanumerica unica che Macie genera automaticamente dopo aver configurato le impostazioni per l'account amministratore Macie. Per informazioni sull'utilizzo di ID esterni nelle politiche di attendibilità, consulta Come utilizzare un ID esterno per concedere l'accesso alle AWS risorse a terzi nella Guida per l'utente. AWS Identity and Access Management

  • Se il ruolo IAM nell'account membro soddisfa tutti i requisiti di Macie, non è necessario che l'account membro configuri e abiliti le impostazioni di Macie per recuperare campioni di dati sensibili dagli oggetti relativi all'account. Macie utilizza solo le impostazioni e il ruolo IAM nell'account amministratore Macie e il ruolo IAM nell'account membro.

    Suggerimento

    Se il tuo account fa parte di un'organizzazione di grandi dimensioni, prendi in considerazione l'utilizzo di un AWS CloudFormation modello e di un set di stack per fornire e gestire i ruoli IAM per gli account dei membri della tua organizzazione. Per informazioni sulla creazione e l'utilizzo di modelli e set di stack, consulta la Guida per l'AWS CloudFormationutente.

    Per esaminare e, facoltativamente, scaricare un CloudFormation modello che possa fungere da punto di partenza, puoi utilizzare la console Amazon Macie. Nel pannello di navigazione della console, in Impostazioni, scegli Reveal samples. Scegli Modifica, quindi scegli Visualizza le autorizzazioni e il CloudFormation modello del ruolo del membro.

Gli argomenti successivi di questa sezione forniscono dettagli e considerazioni aggiuntivi per ogni tipo di configurazione. Per i ruoli IAM, ciò include le politiche di fiducia e autorizzazioni da associare a un ruolo. Se non sei sicuro del tipo di configurazione migliore per il tuo ambiente, chiedi assistenza AWS all'amministratore.

Utilizzo delle credenziali utente IAM per accedere agli oggetti S3 interessati

Se configuri Amazon Macie per recuperare campioni di dati sensibili utilizzando le credenziali utente IAM, ogni utente del tuo account Macie utilizza la propria identità IAM per individuare, recuperare, crittografare e rivelare campioni per singoli risultati. Ciò significa che un utente può recuperare e rivelare campioni di dati sensibili per verificare se la sua identità IAM è autorizzata ad accedere alle risorse e ai dati necessari ed eseguire le azioni necessarie. Tutte le azioni richieste vengono registrate. AWS CloudTrail

Per recuperare e rivelare campioni di dati sensibili per un particolare risultato, a un utente deve essere consentito di accedere ai seguenti dati e risorse: il risultato, il corrispondente risultato della scoperta dei dati sensibili, il bucket S3 interessato e l'oggetto S3 interessato. È inoltre necessario consentire loro di utilizzare AWS KMS key quello che è stato utilizzato per crittografare l'oggetto interessato, se applicabile, e AWS KMS key quello che Macie è stato configurato per utilizzare per crittografare campioni di dati sensibili. Se alcune policy IAM, policy di risorse o altre impostazioni di autorizzazione negano l'accesso richiesto, l'utente non sarà in grado di recuperare e rivelare gli esempi del risultato.

Per configurare questo tipo di configurazione, completa le seguenti attività generali:

1. Verifica di aver configurato un repository per i risultati del rilevamento dei dati sensibili.

2. Configuralo AWS KMS key da utilizzare per la crittografia di campioni di dati sensibili.

3. Verifica le tue autorizzazioni per configurare le impostazioni in Macie.

4. Configura e abilita le impostazioni in Macie.

Per informazioni sull'esecuzione di queste attività, consultaConfigurazione di Amazon Macie per recuperare e rivelare campioni di dati sensibili con risultati.

Assumendo un ruolo IAM per accedere agli oggetti S3 interessati

Per configurare Amazon Macie per recuperare campioni di dati sensibili assumendo un ruolo IAM, inizia creando un ruolo IAM che deleghi l'accesso a Macie. Assicurati che le politiche di fiducia e autorizzazioni per il ruolo soddisfino tutti i requisiti necessari per l'assunzione del ruolo da parte di Macie. Quando un utente del tuo account Macie sceglie quindi di recuperare e rivelare campioni di dati sensibili per una ricerca, Macie si assume il ruolo di recuperare i campioni dall'oggetto S3 interessato. Macie assume il ruolo solo quando un utente sceglie di recuperare e rivelare i campioni per un risultato. Per assumere il ruolo, Macie utilizza il AssumeRolefunzionamento dell'API (). AWS Security Token Service AWS STS Tutte le azioni richieste vengono registrate. AWS CloudTrail

Per recuperare e rivelare campioni di dati sensibili relativi a un particolare risultato, a un utente deve essere consentito di accedere al risultato della scoperta, al corrispondente risultato della scoperta dei dati sensibili e ai dati configurati da Macie per crittografare i campioni di dati sensibili. AWS KMS key Il ruolo IAM deve consentire a Macie di accedere al bucket S3 e all'oggetto S3 interessato. Il ruolo deve inoltre essere autorizzato a utilizzare AWS KMS key ciò che è stato utilizzato per crittografare l'oggetto interessato, se applicabile. Se le politiche IAM, le politiche delle risorse o altre impostazioni di autorizzazione negano l'accesso richiesto, l'utente non sarà in grado di recuperare e rivelare gli esempi del risultato.

Per configurare questo tipo di configurazione, completa le seguenti attività generali. Se disponi di un account membro in un'organizzazione, collabora con l'amministratore di Macie per determinare se e come configurare le impostazioni e le risorse per il tuo account.

1. Definisci quanto segue:

   • Il nome del ruolo IAM che vuoi che Macie assuma. Se il tuo account fa parte di un'organizzazione, questo nome deve essere lo stesso per l'account amministratore Macie delegato e per ogni account membro applicabile dell'organizzazione. Altrimenti, l'amministratore Macie non sarà in grado di accedere agli oggetti S3 interessati per un account membro applicabile.

   • Il nome della policy di autorizzazione IAM da allegare al ruolo IAM. Se il tuo account fa parte di un'organizzazione, ti consigliamo di utilizzare lo stesso nome di policy per ogni account membro applicabile nell'organizzazione. Questo può semplificare il provisioning e la gestione del ruolo negli account dei membri.

2. Verifica di aver configurato un repository per i risultati del rilevamento dei dati sensibili.

3. Configuralo AWS KMS key da utilizzare per la crittografia di campioni di dati sensibili.

4. Verifica le tue autorizzazioni per la creazione di ruoli IAM e la configurazione delle impostazioni in Macie.

5. Se sei l'amministratore Macie delegato di un'organizzazione o hai un account Macie autonomo:

   1. Crea e configura il ruolo IAM per il tuo account. Assicurati che le politiche di fiducia e autorizzazioni per il ruolo soddisfino tutti i requisiti necessari per l'assunzione del ruolo da parte di Macie. Per informazioni dettagliate su questi requisiti, consulta l'argomento successivo.

   2. Configura e abilita le impostazioni in Macie. Macie genera quindi un ID esterno per la configurazione. Se sei l'amministratore Macie di un'organizzazione, prendi nota di questo ID. La politica di fiducia per il ruolo IAM in ciascuno degli account membro applicabili deve specificare questo ID.

6. Se disponi di un account membro in un'organizzazione:

   1. Chiedi all'amministratore di Macie l'ID esterno da specificare nella policy di fiducia per il ruolo IAM nel tuo account. Verifica anche il nome del ruolo IAM e la politica di autorizzazione da creare.

   2. Crea e configura il ruolo IAM per il tuo account. Assicurati che le politiche di fiducia e autorizzazioni per il ruolo soddisfino tutti i requisiti per l'assunzione del ruolo da parte dell'amministratore Macie. Per informazioni dettagliate su questi requisiti, consulta l'argomento successivo.

   3. (Facoltativo) Se desideri recuperare e rivelare campioni di dati sensibili dagli oggetti S3 interessati per il tuo account, configura e abilita le impostazioni in Macie. Se vuoi che Macie assuma un ruolo IAM per recuperare gli esempi, inizia creando e configurando un ruolo IAM aggiuntivo nel tuo account. Assicurati che le politiche di fiducia e autorizzazioni per questo ruolo aggiuntivo soddisfino tutti i requisiti necessari affinché Macie possa assumere il ruolo. Quindi configura le impostazioni in Macie e specifica il nome di questo ruolo aggiuntivo. Per informazioni dettagliate sui requisiti politici per il ruolo, consulta l'argomento successivo.

Per informazioni sull'esecuzione di queste attività, vedereConfigurazione di Amazon Macie per recuperare e rivelare campioni di dati sensibili con risultati.

Configurazione di un ruolo IAM per accedere agli oggetti S3 interessati

Per accedere agli oggetti S3 interessati utilizzando un ruolo IAM, inizia creando e configurando un ruolo che deleghi l'accesso ad Amazon Macie. Assicurati che le politiche di fiducia e autorizzazioni per il ruolo soddisfino tutti i requisiti necessari per l'assunzione del ruolo da parte di Macie. Il modo in cui esegui questa operazione dipende dal tipo di account Macie che possiedi.

Le sezioni seguenti forniscono dettagli sulle politiche di fiducia e autorizzazioni da associare al ruolo IAM per ogni tipo di account Macie. Scegli la sezione relativa al tipo di account che possiedi.

Nota

Se disponi di un account membro in un'organizzazione, potresti dover creare e configurare due ruoli IAM per il tuo account:

• Per consentire all'amministratore Macie di recuperare e rivelare campioni di dati sensibili dagli oggetti S3 interessati per il tuo account, crea e configura un ruolo che l'account dell'amministratore possa assumere. Per questi dettagli, scegli la sezione Account membro Macie.

• Per recuperare e rivelare campioni di dati sensibili dagli oggetti S3 interessati per il tuo account, crea e configura un ruolo che Macie possa assumere. Per questi dettagli, scegli la sezione Account Macie standalone.

Prima di creare e configurare uno dei ruoli IAM, collabora con l'amministratore di Macie per determinare la configurazione appropriata per il tuo account.

Per informazioni dettagliate sull'utilizzo di IAM per creare il ruolo, consulta Creazione di un ruolo utilizzando politiche di fiducia personalizzate nella Guida per l'AWS Identity and Access Managementutente.

Account amministratore Macie

Se sei l'amministratore Macie delegato di un'organizzazione, inizia utilizzando l'editor delle politiche IAM per creare la politica di autorizzazione per il ruolo IAM. La politica dovrebbe essere la seguente.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RetrieveS3Objects",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "AssumeMacieRevealRoleForCrossAccountAccess",
            "Effect": "Allow",
            "Action": [
                "sts:AssumeRole"
            ],
            "Resource": "arn:aws:iam::*:role/IAMRoleName"
        }
    ]
}

Dove IAM RoleName è il nome del ruolo IAM che Macie deve assumere quando recupera campioni di dati sensibili dagli oggetti S3 interessati per gli account dell'organizzazione. Sostituisci questo valore con il nome del ruolo che stai creando per il tuo account e che intendi creare per gli account membro applicabili nella tua organizzazione. Questo nome deve essere lo stesso per il tuo account amministratore Macie e per ogni account membro applicabile.

Nota

Nella precedente politica di autorizzazione, l'Resourceelemento della prima istruzione utilizza un carattere jolly (*). Ciò consente a un'entità IAM collegata di recuperare oggetti da tutti i bucket S3 di proprietà dell'organizzazione. Per consentire questo accesso solo a bucket specifici, sostituisci il carattere jolly con l'Amazon Resource Name (ARN) di ogni bucket. Ad esempio, per consentire l'accesso solo agli oggetti in un bucket denominato DOC-EXAMPLE-BUCKET, modifica l'elemento in:

"Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"

Puoi anche limitare l'accesso agli oggetti in specifici bucket S3 per singoli account. A tale scopo, specifica gli ARN dei bucket nell'Resourceelemento della politica di autorizzazione per il ruolo IAM in ogni account applicabile. Per ulteriori informazioni ed esempi, consulta IAM JSON Policy elements: Resource in the User Guide. AWS Identity and Access Management

Dopo aver creato la politica di autorizzazione per il ruolo IAM, crea e configura il ruolo. Se lo fai utilizzando la console IAM, scegli Custom trust policy come tipo di entità affidabile per il ruolo. Per la policy di fiducia che definisce le entità attendibili per il ruolo, specifica quanto segue.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowMacieReveal",
            "Effect": "Allow",
            "Principal": {
                "Service": "reveal-samples.macie.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "accountID"
                }
            }
        }
    ]
}

Dove AccountId è l'ID dell'account per il tuo. Account AWS Sostituisci questo valore con l'ID del tuo account a 12 cifre.

Nella precedente politica di fiducia:

• L'Principalelemento specifica il servizio principale che Macie utilizza per recuperare campioni di dati sensibili dagli oggetti S3 interessati,. reveal-samples.macie.amazonaws.com

• L'Actionelemento specifica l'azione che il responsabile del servizio è autorizzato a eseguire, il AssumeRolefunzionamento dell'API (). AWS Security Token Service AWS STS

• L'Conditionelemento definisce una condizione che utilizza la chiave di contesto aws: SourceAccount global condition. Questa condizione determina quale account può eseguire l'azione specificata. In questo caso, consente a Macie di assumere il ruolo solo per l'account specificato (AccountID). Questa condizione aiuta a evitare che Macie venga usato come agente confuso durante le transazioni con. AWS STS

Dopo aver definito la politica di fiducia per il ruolo IAM, collega la politica di autorizzazione al ruolo. Questa dovrebbe essere la politica di autorizzazioni che hai creato prima di iniziare a creare il ruolo. Quindi completa i passaggi rimanenti in IAM per completare la creazione e la configurazione del ruolo. Al termine, configura e abilita le impostazioni in Macie.

Account membro Macie

Se disponi di un account membro Macie e desideri consentire al tuo amministratore Macie di recuperare e rivelare campioni di dati sensibili dagli oggetti S3 interessati per il tuo account, inizia chiedendo all'amministratore Macie le seguenti informazioni:

• Il nome del ruolo IAM da creare. Il nome deve essere lo stesso per il tuo account e per l'account amministratore Macie della tua organizzazione.

• Il nome della policy di autorizzazione IAM da allegare al ruolo.

• L'ID esterno da specificare nella politica di fiducia per il ruolo. Questo ID deve essere l'ID esterno generato da Macie per la configurazione dell'amministratore di Macie.

Dopo aver ricevuto queste informazioni, utilizza l'editor delle politiche IAM per creare la politica di autorizzazione per il ruolo. La politica dovrebbe essere la seguente.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RetrieveS3Objects",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

La politica di autorizzazione precedente consente a un'entità IAM collegata di recuperare oggetti da tutti i bucket S3 del tuo account. Questo perché l'Resourceelemento della policy utilizza un carattere jolly (*). Per consentire questo accesso solo a bucket specifici, sostituisci il carattere jolly con l'Amazon Resource Name (ARN) di ogni bucket. Ad esempio, per consentire l'accesso solo agli oggetti in un bucket denominato DOC-EXAMPLE-BUCKET2, modifica l'elemento in:

"Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET2/*"

Per ulteriori informazioni ed esempi, consulta IAM JSON Policy elements: Resource in the AWS Identity and Access ManagementUser Guide.

Dopo aver creato la politica di autorizzazione per il ruolo IAM, crea il ruolo. Se crei il ruolo utilizzando la console IAM, scegli Custom trust policy come tipo di entità affidabile per il ruolo. Per la politica di fiducia che definisce le entità attendibili per il ruolo, specifica quanto segue.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowMacieAdminRevealRoleForCrossAccountAccess",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::administratorAccountID:role/IAMRoleName"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:ExternalId": "externalID",
                    "aws:PrincipalOrgID": "${aws:ResourceOrgID}"
                }
            }
        }
    ]
}

Nella politica precedente, sostituisci i valori segnaposto con i valori corretti per il tuo AWS ambiente, dove:

• AdministratorAccountID è l'ID account a 12 cifre per l'account dell'amministratore di Macie.

• IAM RoleName è il nome del ruolo IAM nell'account dell'amministratore di Macie. Dovrebbe essere il nome che hai ricevuto dall'amministratore di Macie.

• ExternalID è l'ID esterno che hai ricevuto dall'amministratore di Macie.

In generale, la politica di fiducia consente all'amministratore di Macie di assumere il ruolo di recuperare e rivelare campioni di dati sensibili dagli oggetti S3 interessati per il tuo account. L'Principalelemento specifica l'ARN di un ruolo IAM nell'account dell'amministratore di Macie. Questo è il ruolo che l'amministratore Macie utilizza per recuperare e rivelare campioni di dati sensibili per gli account della tua organizzazione. Il Condition blocco definisce due condizioni che determinano ulteriormente chi può assumere il ruolo:

• La prima condizione specifica un ID esterno univoco per la configurazione dell'organizzazione. Per ulteriori informazioni sugli ID esterni, consulta Come utilizzare un ID esterno per concedere l'accesso alle AWS risorse a terzi nella Guida per l'AWS Identity and Access Managementutente.

• La seconda condizione utilizza la chiave di contesto della condizione globale aws: PrincipalOrg ID. Il valore della chiave è una variabile dinamica che rappresenta l'identificatore univoco di un'organizzazione in AWS Organizations (${aws:ResourceOrgID}). La condizione limita l'accesso solo agli account che fanno parte della stessa organizzazione in. AWS Organizations Se sei entrato a far parte della tua organizzazione accettando un invito su Macie, rimuovi questa condizione dalla politica.

Dopo aver definito la politica di fiducia per il ruolo IAM, collega la politica di autorizzazione al ruolo. Questa dovrebbe essere la politica di autorizzazioni che hai creato prima di iniziare a creare il ruolo. Quindi completa i passaggi rimanenti in IAM per completare la creazione e la configurazione del ruolo. Non configurate né inserite le impostazioni per il ruolo in Macie.

Account Macie autonomo

Se disponi di un account Macie indipendente o di un account membro Macie e desideri recuperare e rivelare campioni di dati sensibili dagli oggetti S3 interessati per il tuo account, inizia a utilizzare l'editor delle politiche di IAM per creare la politica di autorizzazione per il ruolo IAM. La politica dovrebbe essere la seguente.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RetrieveS3Objects",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Nella precedente politica di autorizzazione, l'Resourceelemento utilizza un carattere jolly (*). Ciò consente a un'entità IAM collegata di recuperare oggetti da tutti i bucket S3 del tuo account. Per consentire questo accesso solo a bucket specifici, sostituisci il carattere jolly con l'Amazon Resource Name (ARN) di ogni bucket. Ad esempio, per consentire l'accesso solo agli oggetti in un bucket denominato DOC-EXAMPLE-BUCKET3, modifica l'elemento in:

"Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET3/*"

Per ulteriori informazioni ed esempi, consulta IAM JSON Policy elements: Resource in the AWS Identity and Access ManagementUser Guide.

Dopo aver creato la politica di autorizzazione per il ruolo IAM, crea il ruolo. Se crei il ruolo utilizzando la console IAM, scegli Custom trust policy come tipo di entità affidabile per il ruolo. Per la politica di fiducia che definisce le entità attendibili per il ruolo, specifica quanto segue.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowMacieReveal",
            "Effect": "Allow",
            "Principal": {
                "Service": "reveal-samples.macie.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "accountID"
                }
            }
        }
    ]
}

Dove AccountId è l'ID dell'account per il tuo. Account AWS Sostituisci questo valore con l'ID del tuo account a 12 cifre.

Nella precedente politica di fiducia:

• L'Principalelemento specifica il servizio principale che Macie utilizza per recuperare e rivelare campioni di dati sensibili dagli oggetti S3 interessati,. reveal-samples.macie.amazonaws.com

• L'Actionelemento specifica l'azione che il responsabile del servizio è autorizzato a eseguire, il funzionamento dell'AssumeRoleAPI (). AWS Security Token Service AWS STS

• L'Conditionelemento definisce una condizione che utilizza la chiave di contesto aws: SourceAccount global condition. Questa condizione determina quale account può eseguire l'azione specificata. Consente a Macie di assumere il ruolo solo per l'account specificato (AccountID). Questa condizione aiuta a evitare che Macie venga usato come agente confuso durante le transazioni con. AWS STS

Dopo aver definito la politica di fiducia per il ruolo IAM, collega la politica di autorizzazione al ruolo. Questa dovrebbe essere la politica di autorizzazioni che hai creato prima di iniziare a creare il ruolo. Quindi completa i passaggi rimanenti in IAM per completare la creazione e la configurazione del ruolo. Al termine, configura e abilita le impostazioni in Macie.

Decrittografia degli oggetti S3 interessati

Amazon S3 supporta diverse opzioni di crittografia per oggetti S3. Per la maggior parte di queste opzioni, non sono necessarie risorse o autorizzazioni aggiuntive affinché un utente o un ruolo IAM possa decrittografare e recuperare campioni di dati sensibili da un oggetto interessato. Questo è il caso di un oggetto crittografato utilizzando la crittografia lato server con una chiave gestita Amazon S3 o una chiave gestita. AWS AWS KMS key

Tuttavia, se un oggetto S3 è crittografato con un oggetto gestito dal clienteAWS KMS key, sono necessarie autorizzazioni aggiuntive per decrittografare e recuperare campioni di dati sensibili dall'oggetto. Più specificamente, la policy chiave per la chiave KMS deve consentire all'utente o al ruolo IAM di eseguire l'azione. kms:Decrypt In caso contrario, si verifica un errore e Macie non recupera alcun campione dall'oggetto. Per sapere come fornire questo accesso a un utente IAM, consulta Authentication and access control AWS KMS nella AWS Key Management ServiceDeveloper Guide.

Il modo in cui fornire questo accesso per un ruolo IAM dipende dal fatto che l'account proprietario possieda AWS KMS key anche il ruolo:

• Se lo stesso account possiede la chiave KMS e il ruolo, un utente dell'account deve aggiornare la politica della chiave.

• Se un account possiede la chiave KMS e un altro account possiede il ruolo, un utente dell'account che possiede la chiave deve consentire l'accesso alla chiave da più account.

Questo argomento descrive come eseguire queste attività per un ruolo IAM che hai creato per recuperare campioni di dati sensibili dagli oggetti S3. Fornisce inoltre esempi per entrambi gli scenari. Per informazioni su come consentire l'accesso ai servizi gestiti dal cliente AWS KMS keys per altri scenari, consulta Authentication and access control AWS KMS nella AWS Key Management ServiceDeveloper Guide.

Consentire l'accesso dello stesso account a una chiave gestita dal cliente

Se lo stesso account possiede AWS KMS key sia il ruolo che quello IAM, un utente dell'account deve aggiungere una dichiarazione alla policy della chiave. L'istruzione aggiuntiva deve consentire al ruolo IAM di decrittografare i dati utilizzando la chiave. Per informazioni dettagliate sull'aggiornamento di una policy chiave, consulta Changing a key policy nella AWS Key Management ServiceDeveloper Guide.

Nella dichiarazione:

• L'Principalelemento deve specificare l'Amazon Resource Name (ARN) del ruolo IAM.

• L'Actionarray deve specificare l'kms:Decryptazione. Questa è l'unica AWS KMS azione che il ruolo IAM deve essere autorizzato a eseguire per decrittografare un oggetto crittografato con la chiave.

Di seguito è riportato un esempio dell'istruzione da aggiungere alla politica per una chiave KMS.

{
    "Sid": "Allow the Macie reveal role to use the key",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::123456789012:role/IAMRoleName"
    },
    "Action": [
        "kms:Decrypt"
    ],
    "Resource": "*"
}

Nell'esempio precedente:

• Il AWS campo nell'Principalelemento specifica l'ARN del ruolo IAM nell'account. Consente al ruolo di eseguire l'azione specificata dalla dichiarazione politica. 123456789012 è un esempio di ID account. Sostituisci questo valore con l'ID dell'account che possiede il ruolo e la chiave KMS. IAM RoleName è un nome di esempio. Sostituisci questo valore con il nome del ruolo IAM nell'account.

• L'Actionarray specifica l'azione che il ruolo IAM può eseguire utilizzando la chiave KMS: decrittografare il testo cifrato crittografato con la chiave.

La posizione in cui si aggiunge questa dichiarazione a una politica chiave dipende dalla struttura e dagli elementi attualmente contenuti nella politica. Quando aggiungete l'istruzione, assicuratevi che la sintassi sia valida. Le politiche chiave utilizzano il formato JSON. Ciò significa che è necessario aggiungere anche una virgola prima o dopo l'istruzione, a seconda di dove si aggiunge l'istruzione alla politica.

Consentire l'accesso tra più account a una chiave gestita dal cliente

Se un account possiede il AWS KMS key (proprietario della chiave) e un altro account possiede il ruolo IAM (proprietario del ruolo), il proprietario della chiave deve fornire al proprietario del ruolo l'accesso alla chiave da più account. Un modo per farlo è utilizzare una sovvenzione. Una sovvenzione è uno strumento politico che consente ai AWS committenti di utilizzare le chiavi KMS nelle operazioni crittografiche se le condizioni specificate dalla concessione sono soddisfatte. Per maggiori informazioni sulle sovvenzioni, consulta Grants nella AWS KMS Developer Guide. AWS Key Management Service

Con questo approccio, il proprietario della chiave si assicura innanzitutto che la politica della chiave consenta al proprietario del ruolo di creare una concessione per la chiave. Il proprietario del ruolo crea quindi una concessione per la chiave. La concessione delega le autorizzazioni pertinenti al ruolo IAM nel loro account. Consente al ruolo di decrittografare gli oggetti S3 crittografati con la chiave.

Fase 1: Aggiornare la politica chiave

Nella policy chiave, il proprietario della chiave deve assicurarsi che la policy includa una dichiarazione che consenta al proprietario del ruolo di creare una sovvenzione per il ruolo IAM nel proprio account (del proprietario del ruolo). In questa dichiarazione, l'Principalelemento deve specificare l'ARN dell'account del proprietario del ruolo. L'Actionarray deve specificare l'kms:CreateGrantazione. Un Condition blocco può filtrare l'accesso all'azione specificata. Di seguito è riportato un esempio di questa dichiarazione nella politica per una chiave KMS.

{
    "Sid": "Allow a role in an account to create a grant",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:root"
    },
    "Action": [
        "kms:CreateGrant"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:GranteePrincipal": "arn:aws:iam::111122223333:role/IAMRoleName"
        },
        "ForAllValues:StringEquals": {
            "kms:GrantOperations": "Decrypt"
        }
    }
}

Nell'esempio precedente:

• Il AWS campo nell'Principalelemento specifica l'ARN dell'account del proprietario del ruolo. Consente all'account di eseguire l'azione specificata dalla dichiarazione politica. 111122223333 è un esempio di ID account. Sostituisci questo valore con l'ID dell'account del proprietario del ruolo.

• L'Actionarray specifica l'azione che il proprietario del ruolo è autorizzato a eseguire sulla chiave KMS: creare una concessione per la chiave.

• Il Condition blocco utilizza gli operatori di condizione e le seguenti chiavi di condizione per filtrare l'accesso all'azione che il proprietario del ruolo è autorizzato a eseguire sulla chiave KMS:

  • kms: GranteePrincipal — Questa condizione consente al proprietario del ruolo di creare una concessione solo per il beneficiario principale specificato, che è l'ARN del ruolo IAM nel proprio account. In quell'ARN, 111122223333 è un ID di account di esempio. Sostituisci questo valore con l'ID dell'account del proprietario del ruolo. IAM RoleName è un nome di esempio. Sostituisci questo valore con il nome del ruolo IAM nell'account del proprietario del ruolo.

  • kms: GrantOperations — Questa condizione consente al proprietario del ruolo di creare una concessione solo per delegare l'autorizzazione a eseguire l'AWS KMSDecryptazione (decrittografare il testo cifrato crittografato con la chiave). Impedisce al proprietario del ruolo di creare concessioni che delegano le autorizzazioni per eseguire altre azioni sulla chiave KMS. L'Decryptazione è l'unica AWS KMS azione che il ruolo IAM deve essere autorizzato a eseguire per decrittografare un oggetto crittografato con la chiave.

Il punto in cui il proprietario della chiave aggiunge questa dichiarazione alla policy chiave dipende dalla struttura e dagli elementi attualmente contenuti nella policy. Quando il proprietario della chiave aggiunge l'istruzione, deve assicurarsi che la sintassi sia valida. Le politiche chiave utilizzano il formato JSON. Ciò significa che il proprietario della chiave deve aggiungere anche una virgola prima o dopo l'istruzione, a seconda di dove aggiunge l'istruzione alla politica. Per informazioni dettagliate sull'aggiornamento di una politica chiave, consulta Modifica di una politica chiave nella Guida per gli AWS Key Management Service sviluppatori.

Fase 2: Creare una sovvenzione

Dopo che il proprietario della chiave ha aggiornato la politica chiave secondo necessità, il proprietario del ruolo crea una concessione per la chiave. La concessione delega le autorizzazioni pertinenti al ruolo IAM nel loro account (del proprietario del ruolo). Prima che il proprietario del ruolo crei la concessione, deve verificare di essere autorizzato a eseguire l'azionekms:CreateGrant. Questa azione consente loro di aggiungere una sovvenzione a una sovvenzione esistente gestita dal clienteAWS KMS key.

Per creare la concessione, il proprietario del ruolo può utilizzare il CreateGrantfunzionamento dell'AWS Key Management ServiceAPI. Quando il proprietario del ruolo crea la concessione, deve specificare i seguenti valori per i parametri richiesti:

• KeyId— L'ARN della chiave KMS. Per l'accesso da più account a una chiave KMS, questo valore deve essere un ARN. Non può essere un ID chiave.

• GranteePrincipal— L'ARN del ruolo IAM nel loro account. Questo valore dovrebbe esserearn:aws:iam::111122223333:role/IAMRoleName, dove 111122223333 è l'ID dell'account del proprietario del ruolo e IAM RoleName è il nome del ruolo.

• Operations— L'AWS KMSazione di decrittografia (). Decrypt Questa è l'unica AWS KMS azione che il ruolo IAM deve essere autorizzato a eseguire per decrittografare un oggetto crittografato con la chiave KMS.

Se il proprietario del ruolo utilizza AWS Command Line Interface (AWS CLI), può eseguire il comando create-grant per creare la concessione. L'esempio seguente mostra come. L'esempio è formattato per Microsoft Windows e utilizza il carattere di continuazione di riga (^) per migliorare la leggibilità.

C:\> aws kms create-grant ^
--key-id arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab ^
--grantee-principal arn:aws:iam::111122223333:role/IAMRoleName ^
--operations "Decrypt"

Dove:

• key-idspecifica l'ARN della chiave KMS a cui applicare la concessione.

• grantee-principalspecifica l'ARN del ruolo IAM a cui è consentito eseguire l'azione specificata dalla concessione. Questo valore deve corrispondere all'ARN specificato dalla kms:GranteePrincipal condizione nella politica chiave.

• operationsspecifica l'azione che la concessione consente al principale specificato di eseguire: decrittografare il testo cifrato crittografato con la chiave.

Se eseguirai il comando correttamente, riceverai un output simile al seguente.

{
    "GrantToken": "<grant token>",
    "GrantId": "1a2b3c4d2f5e69f440bae30eaec9570bb1fb7358824f9ddfa1aa5a0dab1a59b2"
}

Dove GrantToken è una stringa univoca, non segreta, a lunghezza variabile e con codifica in base64 che rappresenta la concessione creata e ne rappresenta l'identificatore univoco. GrantId