Criação e gerenciamento de listas de permissão no Amazon Macie - Amazon Macie
Criação de listas de permissõesVerificar o status das listas de permissãoAlterando as listas de permissõesExcluindo listas de permissões

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criação e gerenciamento de listas de permissão no Amazon Macie

No Amazon Macie, uma lista de permissões define um texto específico ou um padrão de texto que você deseja que o Macie deverá ignorar ao inspecionar objetos do Amazon Simple Storage Service (Amazon S3) em busca de dados em busca de dados confidenciais. Se o texto corresponder a uma entrada ou padrão em uma lista de permissões, o Macie não relatará o texto em descobertas de dados confidenciais, estatísticas ou outros tipos de resultados, mesmo que o texto corresponda aos critérios de um identificador de dados gerenciados ou de um identificador de dados personalizado.

Você pode criar e gerenciar os seguintes tipos de listas de permissão no Macie.

Texto predefinido

Use esse tipo de lista para especificar palavras, frases e outros tipos de sequências de caracteres que não são sensíveis, não têm probabilidade de mudar e não necessariamente aderem a um padrão comum. Os exemplos são os nomes dos representantes públicos da sua organização, números de telefone específicos e dados de amostra específicos que sua organização usa para testes. Se você usar esse tipo de lista, o Macie ignorará um texto que corresponder exatamente a uma entrada da lista.

Para esse tipo de lista, você cria um arquivo de texto simples delimitado por linha que lista o texto específico a ser ignorado. Em seguida, você armazena o arquivo em um bucket S3 e define as configurações para que o Macie acesse a lista no bucket. Em seguida, você pode criar e configurar trabalhos de descoberta de dados confidenciais para usar a lista ou adicioná-la às configurações automatizadas de descoberta de dados confidenciais da sua conta. Quando cada trabalho começa a ser executado ou o próximo ciclo automatizado de análise de descoberta começa, Macie recupera a versão mais recente da lista no Amazon S3. Em seguida, o Macie usa essa versão da lista ao inspecionar objetos do S3 em busca de dados confidenciais. Se o Macie encontrar um texto que corresponda exatamente a uma entrada da lista, o Macie não reportará essa ocorrência de texto como dados confidenciais.

Expressão regular

Use este tipo de lista para especificar uma expressão regular (regex) que defina um padrão de texto a ser ignorado. Os exemplos são números de telefone públicos da sua organização, endereços de e-mail do domínio da sua organização e dados de amostra padronizados que sua organização usa para testes. Se você usar esse tipo de lista, o Macie ignorará o texto que corresponda completamente ao padrão regex definido pela lista.

Para esse tipo de lista, você cria um regex que define um padrão comum para um texto que não é confidencial mas que varia ou pode ser alterado. Ao contrário de uma lista de texto predefinido, você cria e armazena o regex e todas as outras configurações de lista no Macie. Em seguida, você pode criar e configurar trabalhos de descoberta de dados confidenciais para usar a lista ou adicioná-la às configurações automatizadas de descoberta de dados confidenciais da sua conta. Quando esses trabalhos são executados ou quando o Macie realiza uma descoberta automática para sua conta, o Macie usa a versão mais recente do regex da lista para analisar os dados. Se o Macie encontrar um texto que corresponda exatamente ao padrão definido pela lista, o Macie não reportará essa ocorrência de texto como dados confidenciais.

Para obter requisitos detalhados, recomendações e exemplos de cada tipo de lista, consulte Permitir opções e requisitos de listas. Você pode criar até 10 listas de permissão para sua conta em cada uma compatível Região da AWS, até cinco listas de permissão que especificam texto predefinido e até cinco listas de permissão que especificam expressões regulares. Você pode criar e usar listas de permissão em todos os Regiões da AWS lugares onde o Macie está disponível atualmente, exceto na região Ásia-Pacífico (Osaka).

Para criar e gerenciar listas de permissões, você pode usar o console do Amazon Macie ou a API do Amazon Macie. Os tópicos a seguir explicam como. Para a API, os tópicos incluem exemplos de como realizar essas tarefas usando o AWS Command Line Interface (AWS CLI). Você também pode realizar essas tarefas usando uma versão atual de outra ferramenta de linha de AWS comando ou de um AWS SDK, ou enviando solicitações HTTPS diretamente para o Macie. Para obter informações sobre AWS ferramentas e SDKs, consulte Ferramentas para desenvolver. AWS

Criação de listas de permissões

A forma como você cria uma lista de permissões no Amazon Macie depende do tipo de lista que você deseja criar. Uma lista de permissões pode ser um arquivo que lista texto predefinido a ser ignorado ou pode ser uma expressão regular (regex) que define um padrão de texto a ser ignorado. Escolha a seção do tipo de lista que você deseja criar.

Antes de criar esse tipo de lista de permissões no Macie, execute as seguintes etapas:

  1. Usando um editor de texto, crie um arquivo de texto simples delimitado por linha que lista texto específico a ser ignorado — por exemplo, um arquivo.txt, .text ou.plain. Para ter mais informações, consulte Requisitos de sintaxe para listas de texto predefinido.

  2. Faça upload do arquivo em um bucket de uso geral do S3 e anote o nome do bucket e do objeto. Você precisará inserir esses nomes ao definir as configurações no Macie.

  3. Certifique-se de que as configurações do bucket e do objeto do S3 permitam que você e o Macie recuperem a lista do bucket. Para ter mais informações, consulte Requisitos de armazenamento para listas de texto predefinido.

  4. Se você criptografou o objeto do S3, certifique-se de que ele esteja criptografado com uma chave que você e o Macie tenham permissão para usar. Para ter mais informações, consulte Requisitos de criptografia/descriptografia para listas de texto predefinido.

Depois de executar essas etapas, você estará pronto para definir as configurações da lista no Macie. Você pode definir as configurações usando o console do Amazon Macie ou a API do Amazon Macie.

Console

Siga estas etapas para definir as configurações de uma lista de permissões usando o console do Amazon Macie.

Para definir as configurações da lista de permissões no Macie

  1. Abra o console do Amazon Macie em https://console.aws.amazon.com/macie/.

  2. No painel de navegação, em Configurações, selecione Listas de permissões.

  3. Na página Listas de permissões, escolha Criar.

  4. Em Selecionar um tipo de lista, escolha Texto predefinido.

  5. Em Configurações da lista, use as seguintes opções para inserir configurações adicionais para a lista de permissões:

    • Em Nome, insira um nome para a regra. Um nome pode conter até 128 caracteres.

    • Para Descrição, insira opcionalmente uma breve descrição da lista. A descrição pode conter até 512 caracteres.

    • Em Nome do bucket do S3, insira o nome do bucket que armazena a lista.

      No Amazon S3, você pode encontrar esse valor no campo Nome das propriedades do bucket. Esse valor diferencia maiúsculas de minúsculas. Além disso, não use caracteres curinga ou valores parciais ao inserir o nome.

    • Em Nome do objeto do S3, insira o nome do objeto do S3 que armazena a lista.

      No Amazon S3, você pode encontrar esse valor no campo Chave das propriedades do objeto. Se o nome incluir um caminho, certifique-se de incluir o caminho completo ao inserir o nome, por exemplo allowlists/macie/mylist.txt. Esse valor diferencia maiúsculas de minúsculas. Além disso, não use caracteres curinga ou valores parciais ao inserir o nome.

  6. (Opcional) Em Tags, escolha Adicionar tag e insira até 50 tags para atribuir à lista de permissões.

    Uma tag é um rótulo que você define e atribui a determinados tipos de AWS recursos. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. As tags podem ajudá-lo a identificar, categorizar e gerenciar recursos de diferentes maneiras, como por finalidade, proprietário, ambiente ou outros critérios. Para saber mais, consulte Marcar recursos do Amazon Macie.

  7. Ao concluir, selecione Create.

Macie testa as configurações da lista. O Macie também verifica se pode recuperar a lista do Amazon S3 e analisar o conteúdo da lista. Se ocorrer um erro, o Macie exibirá uma mensagem que descreve o erro. Para obter informações detalhadas que podem ajudar você a resolver o erro, consulte Opções e requisitos para listas de texto predefinido. Depois de corrigir qualquer erro, você pode salvar as configurações da lista.

API

Para definir as configurações da lista de permissões de forma programática, use a CreateAllowListoperação da API Amazon Macie e especifique os valores apropriados para os parâmetros necessários.

Para o parâmetro criteria, use um objeto s3WordsList para especificar o nome do bucket do S3 (bucketName) e o nome do objeto do S3 (objectKey) que armazena a lista. Para determinar o nome do bucket, consulte o campo Name no Amazon S3. Para determinar o nome do objeto, consulte o campo Key no Amazon S3. Observe que esses valores diferenciam maiúsculas de minúsculas. Além disso, não use caracteres curinga ou valores parciais ao especificar esses nomes.

Para definir as configurações usando o AWS CLI, execute o create-allow-listcomando e especifique os valores apropriados para os parâmetros necessários. Os exemplos a seguir mostram como definir as configurações de uma lista de permissões armazenada em um bucket do S3 chamado DOC-EXAMPLE-BUCKET. O nome do objeto S3 que armazena a lista é allowlists/macie/mylist.txt.

Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha de barra invertida (\) para melhorar a legibilidade.

$ aws macie2 create-allow-list \
--criteria '{"s3WordsList":{"bucketName":"DOC-EXAMPLE-BUCKET","objectKey":"allowlists/macie/mylist.txt"}}' \
--name my_allow_list \
--description "Lists public phone numbers and names for Example Corp."

Este exemplo foi formatado para Microsoft Windows e usa o caractere de continuação de linha circunflexo (^) para melhorar a legibilidade.

C:\> aws macie2 create-allow-list ^
--criteria={\"s3WordsList\":{\"bucketName\":\"DOC-EXAMPLE-BUCKET\",\"objectKey\":\"allowlists/macie/mylist.txt\"}} ^
--name my_allow_list ^
--description "Lists public phone numbers and names for Example Corp."

Quando você envia sua solicitação, o Macie testa as configurações da lista. O Macie também verifica se pode recuperar a lista do Amazon S3 e analisar o conteúdo da lista. Se ocorrer um erro, sua solicitação falhará e o Macie retornará uma mensagem descrevendo o erro. Para obter informações detalhadas que podem ajudar você a resolver o erro, consulte Opções e requisitos para listas de texto predefinido.

Se o Macie puder recuperar e analisar a lista, sua solicitação será bem-sucedida e você receberá um resultado semelhante ao seguinte.

{
    "arn": "arn:aws:macie2:us-west-2:123456789012:allow-list/nkr81bmtu2542yyexample",
    "id": "nkr81bmtu2542yyexample"
}

Onde arn está o nome do recurso da Amazon (ARN) da lista de permissões que foi criada e id é o identificador exclusivo da lista.

Depois de salvar as configurações da lista, você pode criar e configurar trabalhos de descoberta de dados confidenciais para usar a lista ou adicionar a lista às suas configurações automatizadas de descoberta de dados confidenciais. Cada vez que esses trabalhos começam a ser executados ou um ciclo automatizado de análise de descoberta é iniciado, o Macie recupera a versão mais recente da lista no Amazon S3. Em seguida, Macie usa essa versão da lista ao analisar os dados.

Ao criar uma lista de permissões que especifica uma expressão regular (regex), você define a regex e todas as outras configurações da lista diretamente no Macie. O Macie suporta um subconjunto da sintaxe do padrão regex fornecida pela biblioteca Perl Compatible Regular Expressions (PCRE). Para ter mais informações, consulte Suporte e recomendações de sintaxe.

Você pode criar esse tipo de lista usando o console do Amazon Macie ou a API do Amazon Macie.

Console

Siga estas etapas para criar uma lista de permissões usando o console do Amazon Macie.

Para criar uma lista de permissões

  1. Abra o console do Amazon Macie em https://console.aws.amazon.com/macie/.

  2. No painel de navegação, em Configurações, selecione Listas de permissões.

  3. Na página Listas de permissões, escolha Criar.

  4. Em Selecionar um tipo de lista, escolha Expressão regular.

  5. Em Configurações da lista, use as seguintes opções para inserir configurações adicionais para a lista de permissões:

    • Em Nome, insira um nome para a regra. Um nome pode conter até 128 caracteres.

    • Para Descrição, insira opcionalmente uma breve descrição da lista. A descrição pode conter até 512 caracteres.

    • A expressão regular, insira a regex que define o padrão de texto a ser ignorado. A regex pode conter até 512 caracteres.

  6. (Opcional) Em Avaliar, insira até 1.000 caracteres na caixa Dados de exemplo e escolha Testar para testar o regex. Macie avalia os dados da amostra e relata o número de ocorrências de texto que correspondem ao regex. Você pode repetir essa etapa quantas vezes quiser para refinar e otimizar o regex.

    nota

    Recomendamos que você teste e refine o regex com vários conjuntos de dados de amostra. Se você criar um regex muito geral, o Macie poderá ignorar ocorrências de texto que você considera confidenciais. Se um regex for muito específico, o Macie pode não ignorar ocorrências de texto que você não considera confidenciais.

  7. (Opcional) Em Tags, escolha Adicionar tag e insira até 50 tags para atribuir à lista de permissões.

    Uma tag é um rótulo que você define e atribui a determinados tipos de AWS recursos. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. As tags podem ajudá-lo a identificar, categorizar e gerenciar recursos de diferentes maneiras, como por finalidade, proprietário, ambiente ou outros critérios. Para saber mais, consulte Marcar recursos do Amazon Macie.

  8. Ao concluir, selecione Create.

Macie testa as configurações da lista. O Macie também testa o regex para verificar se ele pode compilar a expressão. Se ocorrer um erro, o Macie exibirá uma mensagem que descreve o erro. Para obter informações detalhadas que podem ajudar você a resolver o erro, consulte Opções e requisitos para expressões regulares em listas de permissões. Depois de corrigir qualquer erro, você pode salvar a lista de permissões.

API

Antes de criar esse tipo de lista de permissões no Macie, recomendamos que você teste e refine a expressão regular com vários conjuntos de dados de amostra. Se você criar um regex muito geral, o Macie poderá ignorar ocorrências de texto que você considera confidenciais. Se um regex for muito específico, o Macie pode não ignorar ocorrências de texto que você não considera confidenciais.

Para testar uma expressão com o Macie, você pode usar a TestCustomDataIdentifieroperação da API do Amazon Macie ou, para AWS CLI o, executar test-custom-data-identifiero comando. O Macie usa o mesmo código subjacente para compilar expressões para listas de permissões e identificadores de dados personalizados. Se você testar uma expressão dessa forma, certifique-se de especificar valores somente para os parâmetros regex e sampleText. Caso contrário, você receberá resultados imprecisos.

Quando você estiver pronto para criar esse tipo de lista de permissões, use a CreateAllowListoperação da API Amazon Macie e especifique os valores apropriados para os parâmetros necessários. Para o parâmetro criteria, use o campo regex para especificar a expressão regular que define o padrão de texto a ser ignorado. A expressão pode conter até 512 caracteres.

Para criar esse tipo de lista usando o AWS CLI, execute o create-allow-listcomando e especifique os valores apropriados para os parâmetros necessários. Os exemplos a seguir criam uma lista de permissões chamada my_allow_list. O regex foi criado para ignorar todos os endereços de e-mail que um identificador de dados personalizado poderia detectar no domínio example.com.

Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha de barra invertida (\) para melhorar a legibilidade.

$ aws macie2 create-allow-list \
--criteria '{"regex":"[a-z]@example.com"}' \
--name my_allow_list \
--description "Ignores all email addresses for Example Corp."

Este exemplo foi formatado para Microsoft Windows e usa o caractere de continuação de linha circunflexo (^) para melhorar a legibilidade.

C:\> aws macie2 create-allow-list ^
--criteria={\"regex\":\"[a-z]@example.com\"} ^
--name my_allow_list ^
--description "Ignores all email addresses for Example Corp."

Quando você envia sua solicitação, o Macie testa as configurações da lista. O Macie também testa o regex para verificar se ele pode compilar a expressão. Se ocorrer um erro, a solicitação falhará e o Macie retornará uma mensagem descrevendo o erro. Para obter informações detalhadas que podem ajudar você a resolver o erro, consulte Opções e requisitos para expressões regulares em listas de permissões.

Se o Macie puder compilar a expressão, a solicitação será bem-sucedida e você receberá um resultado semelhante a este:

{
    "arn": "arn:aws:macie2:us-west-2:123456789012:allow-list/km2d4y22hp6rv05example",
    "id": "km2d4y22hp6rv05example"
}

Onde arn está o nome do recurso da Amazon (ARN) da lista de permissões que foi criada e id é o identificador exclusivo da lista.

Depois de salvar a lista, você pode criar e configurar trabalhos de descoberta de dados confidenciais para usá-la ou adicioná-la às suas configurações automatizadas de descoberta de dados confidenciais. Quando esses trabalhos são executados ou quando o Macie realiza uma descoberta automática para sua conta, o Macie usa a versão mais recente do regex da lista para analisar os dados.

Verificar o status das listas de permissão

É importante verificar o status de suas listas de permissão periodicamente. Caso contrário, erros podem fazer com que o Amazon Macie produza resultados de análise inesperados, como descobertas de dados confidenciais para textos que você especificou em uma lista de permissões.

Se você configurar uma tarefa de descoberta de dados confidenciais para usar uma lista de permissões e o Macie não conseguir acessar ou usar a lista quando a tarefa começar a ser executada, a tarefa continuará sendo executada. No entanto, Macie não usa a lista ao analisar objetos do S3. Da mesma forma, se um ciclo de análise for iniciado para a descoberta automatizada de dados confidenciais e o Macie não puder acessar ou usar uma lista de permissões especificada, a análise continuará, mas o Macie não usará a lista.

É improvável que ocorram erros em uma lista de permissões que especifica uma expressão regular (regex). Isso ocorre em parte porque o Macie testa automaticamente o regex quando você cria ou atualiza as configurações da lista. Além disso, você armazena o regex e todas as outras configurações da lista no Macie.

No entanto, podem ocorrer erros em uma lista de permissões que especifica texto predefinido, em parte porque você armazena a lista no Amazon S3 em vez de no Macie. As causas comuns de erros são:

  • O bucket ou objeto do S3 é excluído.

  • O bucket ou objeto do S3 é renomeado e as configurações da lista no Macie não especificam o novo nome.

  • As configurações de permissões do bucket do S3 são alteradas e o Macie perde o acesso ao bucket e ao objeto.

  • As configurações de criptografia do bucket do S3 foram alteradas e o Macie não consegue descriptografar o objeto que armazena a lista.

  • A política da chave de criptografia é alterada e Macie perde o acesso à chave. Macie não consegue decifrar o objeto do S3 que armazena a lista.

Importante

Como esses erros afetam os resultados de suas análises, recomendamos que você verifique o status de suas listas de permissões periodicamente. Recomendamos que você também faça isso se alterar as permissões ou as configurações de criptografia de um bucket do S3 que armazena uma lista de permissões ou alterar a política de uma chave AWS Key Management Service (AWS KMS) usada para criptografar uma lista.

Você pode verificar o status de suas listas de permissão usando o console do Amazon Macie ou a API do Amazon Macie. Para obter informações detalhadas que podem ajudá-lo a solucionar erros que ocorrem, consulte Opções e requisitos para listas de texto predefinido.

Console

Siga estas etapas para verificar o status de suas listas de permissão usando o console do Amazon Macie.

Para verificar o status de suas listas de permissão

  1. Abra o console do Amazon Macie em https://console.aws.amazon.com/macie/.

  2. No painel de navegação, em Configurações, selecione Listas de permissões.

  3. Na página Permitir listas, escolha atualizar ( The refresh button, which is a button that contains an empty, dark gray circle with an arrow ). O Macie testa as configurações de todas as suas listas de permissão e atualiza o campo Status para indicar o status atual de cada lista.

    Se uma lista especificar uma expressão regular, seu status normalmente será OK. Isso significa que o Macie pode compilar a expressão. Se uma lista especificar um texto predefinido, seu status poderá ser qualquer um dos seguintes valores.

    OK

    O Macie pode recuperar e analisar o conteúdo da lista.

    Acesso negado

    Macie não tem permissão para acessar o objeto do S3 que armazena a lista. O Amazon S3 negou a solicitação de recuperação do objeto. Uma lista também pode ter esse status se o objeto for criptografado com um cliente gerenciado AWS KMS key que o Macie não tem permissão para usar.

    Para resolver esse erro, revise a política do bucket e outras configurações de permissões do bucket e do objeto. Certifique-se de que o Macie tenha permissão para acessar e recuperar o objeto. Se o objeto for criptografado com uma chave do AWS KMS gerenciada pelo cliente, revise também a política de chaves e certifique-se de que Macie tenha permissão para usar a chave.

    Erro

    Ocorreu um erro transitório ou interno quando o Macie tentou recuperar ou analisar o conteúdo da lista. Uma lista de permissões também poderá ter esse status se estiver criptografada com uma chave de criptografia que o Amazon S3 e o Macie não possam acessar ou usar.

    Para resolver esse erro, aguarde alguns minutos e escolha refresh ( The refresh button, which is a button that contains an empty, dark gray circle with an arrow ) novamente. Se o status continuar sendo Erro, verifique as configurações de criptografia do objeto S3. Certifique-se de que o objeto seja criptografado com uma chave que o Amazon S3 e o Macie possam acessar e usar.

    O objeto está vazio

    O Macie pode recuperar a lista do Amazon S3 mas a lista não tem nenhum conteúdo.

    Para resolver esse erro, baixe o objeto do Amazon S3 e certifique-se de que ele contenha as entradas corretas. Se as entradas estiverem corretas, revise as configurações da lista no Macie. Verifique se os nomes especificados do bucket e do objeto estão corretos.

    Objeto não encontrado

    A lista não existe no Amazon S3.

    Para solucionar esse erro, revise as configurações da lista no Macie. Verifique se os nomes especificados do bucket e do objeto estão corretos.

    Cota excedida

    Macie pode acessar a lista no Amazon S3. No entanto, o número de entradas na lista ou o tamanho do armazenamento da lista excede a cota de uma lista de permissões.

    Para resolver esse erro, divida a lista em vários arquivos. Certifique-se de que cada arquivo contenha menos de 100.000 entradas. Certifique-se também de que o tamanho de cada arquivo seja menor que 35 MB. Em seguida, faça o upload de cada arquivo no Amazon S3. Ao terminar, defina as configurações da lista de permissões no Macie para cada arquivo. Você pode ter até cinco listas de texto predefinidos em cada Região da AWS suportada.

    Limitados

    O Amazon S3 limitou a solicitação para recuperar a lista.

    Para resolver esse erro, aguarde alguns minutos e escolha refresh ( The refresh button, which is a button that contains an empty, dark gray circle with an arrow ) novamente.

    Acesso do usuário negado

    O Amazon S3 negou a solicitação de recuperação do objeto. Se o objeto especificado existir, você não poderá acessá-lo ou ele será criptografado com uma AWS KMS chave que você não tem permissão para usar.

    Para resolver esse erro, trabalhe com seu AWS administrador para garantir que as configurações da lista especifiquem os nomes corretos do bucket e do objeto, e que você tenha acesso de leitura ao bucket e ao objeto. Se o objeto for criptografado, certifique-se também de que ele seja criptografado com uma chave que o Macie tenha permissão de usar.

  4. Para revisar as configurações e o status de uma lista específica, escolha o nome da lista.

API

Para verificar o status de uma lista de permissões programaticamente, use a GetAllowListoperação da API Amazon Macie ou, para isso, execute AWS CLI o comando. get-allow-list

Para o parâmetro id, especifique o identificador exclusivo da lista de permissões cujo status você deseja verificar. Para obter esse identificador, você pode usar a ListAllowListsoperação. A operação ListAllowLists recupera informações sobre todas as listas de permissão da sua conta. Se você estiver usando o AWS CLI, você pode executar o list-allow-listscomando para recuperar essas informações.

Quando você envia uma solicitação GetAllowList, o Macie testa todas as configurações da lista de permissões. Se as configurações especificarem uma expressão regular (regex), o Macie verifica se ele pode compilar a expressão. Se as configurações especificarem uma lista de texto predefinido, o Macie verifica se ele pode recuperar e analisar a lista.

Em seguida, Macie retorna um objeto GetAllowListResponse que fornece os detalhes da lista de permissões. No objeto GetAllowListResponse, o objeto status indica o status atual da lista: um código de status (code) e, dependendo do código de status, uma breve descrição do status da lista (description).

Se a lista de permissões especificar um regex, o código de status normalmente é OK e não há uma descrição associada. Isso significa que Macie compilou a expressão com sucesso.

Se a lista de permissões especificar um texto predefinido, o código de status varia de acordo com os resultados do teste:

  • Se Macie recuperou e analisou a lista com sucesso, o código de status é OK e não há uma descrição associada.

  • Se um erro impediu que o Macie recuperasse ou analisasse a lista, o código de status e a descrição indicarão a natureza do erro que ocorreu.

Para obter uma lista de possíveis códigos de status e uma descrição de cada um, consulte a Referência AllowListStatusde API do Amazon Macie.

Alterando as listas de permissões

Depois de criar uma lista de permissões, você pode alterar a maioria das configurações da lista no Amazon Macie. Por exemplo, você pode alterar o nome e a descrição da lista e adicionar e editar as tags da lista. A única configuração que você não pode alterar é o tipo de lista. Por exemplo, se uma lista de permissões existente especificar uma expressão regular, você não poderá alterar seu tipo para texto predefinido.

Se uma lista de permissões especificar um texto predefinido, você também poderá alterar as entradas na lista. Para fazer isso, atualize o arquivo que contém as entradas e, em seguida, faça o upload da nova versão do arquivo para o Amazon S3. Na próxima vez que Macie se preparar para usar a lista, Macie recuperará a versão mais recente do arquivo do Amazon S3. Ao fazer o upload do novo arquivo, certifique-se de armazená-lo no mesmo bucket e objeto do S3. Ou, se você alterar o nome do bucket ou objeto, certifique-se de atualizar as configurações da lista no Macie.

Você pode alterar as configurações de uma lista de permissões usando o console do Amazon Macie ou a API do Amazon Macie.

Console

Siga estas etapas para alterar as configurações de uma lista de permissões usando o console do Amazon Macie.

Para alterar uma lista de permissões

  1. Abra o console do Amazon Macie em https://console.aws.amazon.com/macie/.

  2. No painel de navegação, em Configurações, selecione Listas de permissões.

  3. Na página Listas de permissões, escolha o nome da lista de permissões que você deseja alterar. A página da lista de permissões é aberta e exibe as configurações atuais da lista.

  4. Para atribuir ou editar tags para a lista de permissões, escolha Gerenciar tags na seção Tags. Em seguida, altere as etiquetas conforme necessário. Ao concluir, escolha Salvar.

  5. Para alterar outras configurações da lista de permissões, escolha Editar na seção Configurações da lista. Em seguida, altere as configurações desejadas:

    • Nome — Insira um novo nome para a lista. Um nome pode conter até 128 caracteres.

    • Descrição — Insira uma nova descrição da lista. A descrição pode conter até 512 caracteres.

    • Se a lista de permissões especificar um texto predefinido:

      • Nome do bucket do S3 — insira o nome do bucket que atualmente armazena a lista.

        No Amazon S3, você pode encontrar esse valor no campo Nome das propriedades do bucket. Esse valor diferencia maiúsculas de minúsculas. Além disso, não use caracteres curinga ou valores parciais ao inserir o nome.

      • Nome do objeto S3 — Insira o nome do objeto S3 que atualmente armazena a lista.

        No Amazon S3, você pode encontrar esse valor no campo Chave das propriedades do objeto. Se o nome incluir um caminho, certifique-se de incluir o caminho completo ao inserir o nome, por exemplo allowlists/macie/mylist.txt. Esse valor diferencia maiúsculas de minúsculas. Além disso, não use caracteres curinga ou valores parciais ao inserir o nome.

    • Se a lista de permissões especificar uma expressão regular (regex), insira uma nova regex na caixa Expressão regular. A regex pode conter até 512 caracteres.

      Depois de inserir o novo regex, teste-o opcionalmente. Para fazer isso, insira até 1.000 caracteres na caixa Dados da amostra e escolha Teste. Macie avalia os dados da amostra e relata o número de ocorrências de texto que correspondem ao regex. Você pode repetir essa etapa quantas vezes quiser para refinar e otimizar o regex antes de salvar suas alterações.

    Ao terminar de alterar as configurações, escolha Salvar.

Macie testa as configurações da lista. Para obter uma lista de texto predefinido, o Macie também verifica se ele pode recuperar a lista do Amazon S3 e analisar o conteúdo da lista. Para um regex, o Macie também verifica se ele pode compilar a expressão. Se ocorrer um erro, o Macie exibirá uma mensagem que descreve o erro. Para obter informações detalhadas que podem ajudar você a resolver o erro, consulte Permitir opções e requisitos de listas. Depois de resolver qualquer erro, você poderá salvar as alterações.

API

Para alterar uma lista de permissões programaticamente, use a UpdateAllowListoperação da API Amazon Macie ou, para isso, execute AWS CLI o comando. update-allow-list Em sua solicitação, use os parâmetros compatíveis para especificar um novo valor para cada configuração que você deseja alterar. Observe que os parâmetros criteria, id e name são obrigatórios. Se você não quiser alterar o valor de um parâmetro obrigatório, especifique o valor atual do parâmetro.

Por exemplo, o comando a seguir altera o nome e a descrição de uma lista de permissões existente. O exemplo está formatado para Microsoft Windows e usa o caractere de continuação de linha circunflexo (^) para melhorar a legibilidade.

C:\> aws macie2 update-allow-list ^
--id km2d4y22hp6rv05example ^
--name my_allow_list-email ^
--criteria={\"regex\":\"[a-z]@example.com\"} ^
--description "Ignores all email addresses for the example.com domain"

Em que:

  • km2d4y22hp6rv05example é o identificador exclusivo da lista.

  • my_allow_list-email é o novo nome da lista.

  • [a-z]@example.com é o critério da lista, uma expressão regular.

  • Ignora todos os endereços de e-mail do domínio example.com é a nova descrição da lista.

Quando você envia sua solicitação, o Macie testa as configurações da lista. Se a lista especificar um texto predefinido, isso inclui verificar se o Macie pode recuperar a lista do Amazon S3 e analisar o conteúdo da lista. Se a lista especificar um regex, isso inclui verificar se o Macie pode compilar a expressão.

Se ocorrer um erro ao testar as configurações, sua solicitação falhará e o Macie retornará uma mensagem descrevendo o erro. Para obter informações detalhadas que podem ajudar você a resolver o erro, consulte Permitir opções e requisitos de listas. Se a solicitação falhar por outro motivo, o Macie retornará uma resposta HTTP 4xx ou 500 que indica por que a operação falhou.

Se a sua solicitação for realizada com êxito, o Macie atualizará as configurações da lista e você receberá um resultado semelhante ao seguinte.

{
    "arn": "arn:aws:macie2:us-west-2:123456789012:allow-list/km2d4y22hp6rv05example",
    "id": "km2d4y22hp6rv05example"
}

Onde arn está o nome do recurso da Amazon (ARN) da lista de permissões que foi atualizada e id é o identificador exclusivo da lista.

Excluindo listas de permissões

Ao excluir uma lista de permissões no Amazon Macie, você exclui permanentemente todas as configurações da lista. Essas configurações não podem ser recuperadas depois de excluídas. Se as configurações especificarem uma lista de texto predefinido que você armazena no Amazon S3, o Macie não excluirá o objeto do S3 que armazena a lista. Somente as configurações no Macie são excluídas.

Se você configurar trabalhos confidenciais de descoberta de dados para usar uma lista de permissões e, posteriormente, excluir a lista, os trabalhos serão executados conforme programado. No entanto, os resultados do seu trabalho, tanto descobertas de dados confidenciais quanto resultados de descoberta de dados confidenciais, podem relatar texto que você especificou anteriormente em uma lista de permissões. Da mesma forma, se você configurar a descoberta automática de dados confidenciais para usar uma lista e, posteriormente, excluir a lista, os ciclos diários de análises continuarão. No entanto, descobertas de dados confidenciais, estatísticas ou outros tipos de resultados podem relatar texto que você especificou anteriormente em uma lista de permissões.

Antes de excluir uma lista de permissões, recomendamos que você revise seu inventário de trabalhos para identificar trabalhos que usam a lista e estão programados para serem executados no futuro. No inventário, o painel de detalhes indica se um trabalho está configurado para usar qualquer lista de permissões e, em caso afirmativo, quais. Além disso, verifique suas configurações automatizadas de descoberta de dados confidenciais. Você pode determinar que é melhor alterar uma lista em vez de excluí-la.

Como proteção adicional, Macie verifica as configurações de todos os seus trabalhos quando você tenta excluir uma lista de permissões. Se você configurou trabalhos para usar a lista e qualquer um desses trabalhos tiver um status diferente de Concluído ou Cancelado, o Macie não excluirá a lista, a menos que você forneça uma confirmação adicional.

Você pode excluir uma lista de permissões usando o console do Amazon Macie ou a API do Amazon Macie.

Console

Siga estas etapas para excluir uma lista de permissões usando o console do Amazon Macie.

Para excluir uma lista de permissões

  1. Abra o console do Amazon Macie em https://console.aws.amazon.com/macie/.

  2. No painel de navegação, em Configurações, selecione Listas de permissões.

  3. Na página Listas de permissões, marque a caixa de seleção da lista de permissões que você deseja excluir.

  4. No menu Ações, escolha Excluir.

  5. Quando a confirmação for solicitada, insira delete e escolha Delete.

API

Para excluir uma lista de permissões programaticamente, use a DeleteAllowListoperação da API Amazon Macie. Para o parâmetro id, especifique o identificador exclusivo da lista de permissões a ser excluída. Você pode obter esse identificador usando a ListAllowListsoperação. A operação ListAllowLists recupera informações sobre todas as listas de permissão da sua conta. Se você estiver usando o AWS CLI, você pode executar o list-allow-listscomando para recuperar essas informações.

Para o parâmetro ignoreJobChecks, especifique se deseja forçar a exclusão da lista, mesmo que trabalhos confidenciais de descoberta de dados estejam configurados para usar a lista:

  • Se você especificar false, o Macie verifica as configurações de todos os seus trabalhos que têm um status diferente de COMPLETE ou CANCELLED. Se nenhum desses trabalhos estiver configurado para usar a lista, o Macie excluirá a lista permanentemente. Se algum desses trabalhos estiver configurado para usar a lista, o Macie rejeitará sua solicitação e retornará um erro HTTP 400 (ValidationException). A mensagem de erro indica o número de trabalhos aplicáveis para até 200 trabalhos.

  • Se você especificar true, o Macie excluirá a lista permanentemente sem verificar as configurações de nenhum dos seus trabalhos.

Para excluir uma lista de permissões usando o AWS CLI, execute o delete-allow-listcomando. Por exemplo: .

C:\> aws macie2 delete-allow-list --id nkr81bmtu2542yyexample --ignore-job-checks false

Onde nkr81bmtu2542yyexample é o identificador exclusivo da lista de permissões a ser excluída.

Se a sua solicitação for realizada com êxito, o Macie retornará uma resposta HTTP 200 vazia. Caso contrário, o Macie retornará uma resposta HTTP 4xx ou 500 que indica por que a operação falhou.

Se a lista de permissões especificar um texto predefinido, você pode, opcionalmente, excluir o objeto do S3 que armazena a lista. No entanto, manter esse objeto pode ajudar a garantir que você tenha um histórico imutável de descobertas de dados confidenciais e resultados de descoberta para auditorias ou investigações de privacidade e proteção de dados.