Conceitos básicos do Amazon Macie

Este tutorial fornece uma introdução ao Amazon Macie. Você aprenderá como habilitar o Macie para o seu Conta da AWS. Você também aprenderá a avaliar a postura de segurança do seu Amazon Simple Storage Service (Amazon S3) e definir as principais configurações do Macie para descobrir e relatar dados confidenciais em seus buckets no S3.

Antes de começar

Quando você se cadastra na Amazon Web Services, sua conta (AWS) é cadastrada automaticamente em todos os produtos da Serviços da AWS, incluindo o Amazon Macie. Porém, para usar o Macie, é necessário configurar permissões que permitam o acesso às operações de API e ao console do Amazon Macie. Você ou seu administrador AWS pode fazer isso usando AWS Identity and Access Management (IAM) para anexar a política AWS gerenciada chamada AmazonMacieFullAccess à sua identidade do IAM. Para saber mais, consulte AWS políticas gerenciadas para o Amazon Macie.

Etapa 1: habilitar o Amazon Macie

Depois de configurar as permissões necessárias, você pode habilitar o Amazon Macie para seu Conta da AWS. Siga estas etapas para habilitar o Macie para sua conta.

Para habilitar o Macie

1. Abra o console do Amazon Macie em https://console.aws.amazon.com/macie/.

2. Ao usar o seletor Região da AWS no canto superior direito da página, selecione a região na qual você deseja habilitar e usar o Macie.

3. Na página do Amazon Macie, selecione Comece a usar.

4. (Opcional) Quando você ativa o Macie, o Macie cria automaticamente uma função vinculada ao serviço que concede ao Macie as permissões necessárias para chamar outras pessoas Serviços da AWS e monitorar AWS recursos em seu nome. Para revisar a política de permissões para essa função, selecione Visualizar permissões da função no console. Para saber mais sobre essa função, consulte Funções vinculadas ao serviço do Amazon Macie.

5. Escolha Enable Macie (Habilitar Macie).

Em minutos, o Macie gera automaticamente e começa a manter um inventário completo de seus buckets no S3 na região atual. O Macie também começa a avaliar e monitorar os buckets em relação à segurança e ao controle de acesso. Para saber mais, consulte Como o Macie monitora a segurança de dados do Amazon S3.

Dependendo das configurações da sua conta, o Macie também começa a realizar a descoberta automática de dados confidenciais para seus buckets no S3. Macie começa a identificar, selecionar e revisar continuamente objetos representativos do S3 em seus buckets, inspecionando os objetos em busca de dados confidenciais. À medida que as análises progridem, o Macie fornece estatísticas e outros resultados que você pode revisar, normalmente dentro de 48 horas após ativar o Macie para sua conta. Você pode personalizar as análises definindo configurações automatizadas de descoberta de dados confidenciais para sua conta. Para saber mais, consulte Como funciona a descoberta automatizada de dados confidenciais.

Para revisar estatísticas agregadas, selecione Resumo no painel de navegação no console. Para revisar detalhes sobre buckets no S3 individuais em seu inventário, selecione buckets no S3 no painel de navegação. Para exibir os detalhes de um bucket, selecione o bucket. O painel de detalhes exibe estatísticas e outras informações que fornecem informações sobre a segurança, a privacidade e a confidencialidade dos dados do bucket. Para saber mais sobre esses detalhes, consulte Analisar seu inventário de buckets do S3.

Etapa 2: Configurar um repositório de resultados de descoberta de dados confidenciais

Com o Amazon Macie, você pode descobrir dados confidenciais em seus buckets no S3 de duas maneiras: configurando o Macie para realizar a descoberta automática de dados confidenciais e executando trabalhos de descoberta de dados confidenciais. Um trabalho de descoberta de dados confidenciais é um trabalho que você cria para revisar objetos em buckets no S3 para determinar se os objetos contêm dados confidenciais.

O Macie cria um registro para cada objeto do S3 que ele analisa quando você executa trabalhos de descoberta de dados confidenciais ou realiza a descoberta automatizada de dados confidenciais. Esses registros, chamados de resultados confidenciais da descoberta de dados, registram detalhes sobre a análise de objetos individuais. O Macie também cria resultados confidenciais de descoberta de dados para objetos que ele não pode revisar devido a erros ou problemas. Os resultados confidenciais da descoberta de dados fornecem registros de análise que podem ser úteis para auditorias ou investigações de privacidade e proteção de dados.

O Macie armazena seus resultados confidenciais de descoberta de dados por apenas 90 dias. Para acessar os resultados e permitir seu armazenamento e retenção a longo prazo, configure o Macie para armazenar os resultados em um bucket do S3. Você deve fazer isso dentro de 30 dias após ativar o Macie. Depois de fazer isso, o bucket pode servir como um repositório definitivo e de longo prazo para todos os seus resultados confidenciais de descoberta de dados.

Para saber como configurar esse repositório, consulte Armazenamento e retenção de resultados de descoberta de dados confidenciais.

Etapa 3: explorar exemplos de descobertas

No Amazon Macie, uma descoberta é um relatório detalhado de uma possível violação de política que o Macie detecta em um bucket no S3 ou em dados confidenciais que o Macie detecta em um objeto do S3. Macie fornece duas categorias de descobertas: descobertas de políticas e descobertas de dados confidenciais. O Macie cria uma descoberta de política quando as políticas ou configurações de um bucket são alteradas de forma a reduzir a segurança ou a privacidade do bucket e dos objetos do bucket. O Macie cria uma descoberta de dados confidenciais ao detectar dados sigilosos em um objeto do S3. Dentro de cada categoria, há vários tipos de descobertas.

Para explorar e aprender sobre as diferentes categorias e tipos de descobertas que o Macie fornece, opcionalmente, crie e revise amostras de descobertas. As descobertas de amostra usam dados de exemplo e valores de espaço reservado para demonstrar os tipos de informações que o Macie pode incluir em cada tipo de descoberta.

Siga estas etapas para criar e revisar amostras de descobertas.

Para criar e revisar amostras de descobertas

1. Abra o console do Amazon Macie em https://console.aws.amazon.com/macie/.

2. No painel de navegação, selecione Settings (configurações).

3. Em Sample findings, escolha Generate sample findings. O Macie gera uma amostra de descoberta para cada tipo de descoberta que o Macie suporta.

4. No painel de navegação, selecione Descobertas. A página Descobertas exibe as descobertas de sua conta na Região da AWS atual. Isso inclui as descobertas de amostra que você criou na etapa anterior.

5. Na página Descobertas, localize descobertas cujo tipo começa com [AMOSTRA].

6. Para revisar os detalhes de uma descoberta de amostra específica, selecione a descoberta. O painel detalhes exibirá os detalhes da descoberta.

Para saber mais sobre cada tipo de descoberta, consulte Tipos de descobertas. Para saber mais sobre como criar e revisar exemplos de descobertas, consulte Como trabalhar com amostras de descobertas.

Etapa 4: criar um trabalho para descobrir dados confidenciais

Para descobrir e relatar dados confidenciais em buckets no S3, você pode executar trabalhos de descoberta de dados confidenciais. Um trabalho de descoberta de dados confidenciais é um trabalho que você cria para revisar objetos em buckets no S3 para determinar se os objetos contêm dados confidenciais. Ao contrário da descoberta automatizada de dados confidenciais, você define a amplitude e a profundidade da análise. Você também especifica com que frequência executar um trabalho — uma vez ou periodicamente de forma programada.

Siga estas etapas para criar um trabalho que seja executado uma vez, imediatamente após sua criação, e use as configurações padrão. Para saber como criar um trabalho que é executado periodicamente ou usa configurações personalizadas, consulte Criar um trabalho de descoberta de dados confidenciais.

Para criar um trabalho de descoberta de dados confidenciais

1. Abra o console do Amazon Macie em https://console.aws.amazon.com/macie/.

2. No painel de navegação, escolha Jobs (Tarefas).

3. Escolha Create job (Criar trabalho).

4. Para a etapa Escolher buckets do S3, selecione Selecionar buckets específicos. Em seguida, na tabela, marque a caixa de seleção para cada bucket no S3 que você deseja que o trabalho revise.

   A tabela fornece um inventário completo dos seus buckets no S3 atualmente. Região da AWS Para encontrar buckets específicos com mais facilidade, insira critérios de filtro na caixa de filtros acima da tabela. Você também pode classificar a tabela escolhendo um título de coluna na tabela.

5. Ao terminar de selecionar os buckets, selecione Avançar.

6. Para a etapa Revisar buckets no S3, revise e verifique suas seleções de bucket e, em seguida, selecione Avançar.

7. Para a etapa Refinar o escopo, selecione Trabalho único e, em seguida, selecione Avançar.

8. Para a etapa Selecionar identificadores de dados gerenciados, selecione Recomendado. Opcionalmente, revise a tabela de identificadores de dados gerenciados que recomendamos para trabalhos e selecione Avançar.

   Um identificador de dados gerenciados é um conjunto de critérios e técnicas integrados projetados para detectar um tipo específico de dados confidenciais – por exemplo, números de cartão de crédito, AWS chaves de acesso secretas ou números de passaporte de um determinado país ou região. Para saber mais, consulte Usar identificadores de dados gerenciados.

9. Para a etapa Selecionar identificadores de dados personalizados, selecione Avançar.

   Um identificador de dados personalizado é um conjunto de critérios que você define para detectar dados confidenciais — uma expressão regular (regex) que define um padrão de texto a ser correspondido e, opcionalmente, sequências de caracteres e uma regra de proximidade que refinam os resultados. Para saber mais, consulte Criar identificadores de dados personalizados.

10. Para a etapa Selecionar listas de permissões, selecione Avançar.

    No Macie, uma lista de permissões especifica um texto ou um padrão de texto que você deseja que o Macie ignore ao inspecionar objetos do S3 em busca de dados confidenciais. Normalmente, essas são exceções de dados confidenciais para cenários ou ambientes específicos. Para saber mais, consulte Como definir exceções de dados sigilosos com listas de permissões.

11. Para a etapa Inserir configurações gerais, insira um nome e, opcionalmente, uma descrição do trabalho. Em seguida, escolha Next (Próximo).

12. Para a etapa Revisar e criar, revise as definições de configuração do trabalho e verifique se estão corretas.

    Também é possível revisar o custo total estimado (em USD) da execução do trabalho. A estimativa pode ajudá-lo a determinar se as configurações da tarefa devem ser ajustadas antes de salvá-la. Para saber mais, consulte Prever o custo de um trabalho de descoberta de dados confidenciais.

13. Ao terminar de revisar e verificar as configurações do trabalho, selecione Enviar.

Macie imediatamente começa a executar o trabalho. Para saber como monitorar o trabalho, consulte Verificação do status de trabalhos confidenciais de descoberta de dados.

Etapa 5: Revise suas descobertas

O Amazon Macie monitora automaticamente os buckets no S3 quanto à segurança e ao controle de acesso e cria descobertas de políticas para relatar possíveis problemas com a segurança ou a privacidade dos buckets. Se você criar e executar um trabalho de descoberta de dados confidenciais ou configurar o Macie para realizar a descoberta automatizada de dados confidenciais, o Macie também cria descobertas de dados confidenciais para relatar dados confidenciais detectados em objetos do S3. Para saber mais sobre as descobertas, consulte Analisando descobertas.

Siga estas etapas para revisar suas descobertas.

Para visualizar descobertas

1. Abra o console do Amazon Macie em https://console.aws.amazon.com/macie/.

2. No painel de navegação, selecione Descobertas. A página Descobertas exibe as descobertas de sua conta na Região da AWS atual.

3. (Opcional) Para filtrar as descobertas por critérios específicos, insira os critérios na caixa de filtro acima da tabela.

4. Para visualizar os detalhes de uma descoberta, escolha descoberta. O painel de detalhes exibe os detalhes da descoberta.

Para saber mais, inclusive como agrupar e filtrar descobertas, consulte Analisar descobertas.