Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Investigación de los datos confidenciales con los resultados de Macie
<a name="findings-investigate-sd"></a>

Cuando se ejecutan trabajos de detección de datos confidenciales o Amazon Macie realiza una detección automática de datos confidenciales, Macie captura detalles sobre la ubicación de cada aparición de datos confidenciales que encuentra en los objetos de Amazon Simple Storage Service (Amazon S3). Esto incluye los datos confidenciales que Macie detecta utilizando [identificadores de datos administrados](managed-data-identifiers.md) y los datos que coinciden con los criterios de los [identificadores de datos personalizados](custom-data-identifiers.md) que usted configura para que utilice un trabajo o Macie.

Con los resultados de datos confidenciales, puede revisar estos detalles para un máximo de 15 apariciones de datos confidenciales que Macie encuentra en objetos de S3 individuales. Los detalles proporcionan información sobre la amplitud de las categorías y tipos de datos confidenciales que pueden contener determinados buckets y objetos de S3. Pueden ayudarle a localizar apariciones individuales de datos confidenciales en objetos y a determinar si debe realizar una investigación más profunda de buckets y objetos específicos.

Para obtener información adicional, puede configurar y utilizar opcionalmente Macie para recuperar muestras de datos confidenciales que Macie notifica en resultados individuales. Las muestras pueden ayudarle a verificar la naturaleza de los datos confidenciales que encontró Macie. También pueden ser de ayuda para personalizar la investigación de un objeto y un bucket de S3 afectados. Si opta por recuperar muestras de datos confidenciales para un resultado, Macie utiliza los datos del resultado para localizar de 1 a 10 apariciones de cada tipo de datos confidenciales notificados por el resultado. A continuación, Macie extrae las apariciones de datos confidenciales del objeto afectado y muestra los datos para que usted los revise.

Si un objeto de S3 contiene muchas apariciones de datos confidenciales, un resultado también puede ayudarle a navegar hasta el resultado de detección de datos confidenciales correspondiente. A diferencia de un resultado de datos confidenciales, un resultado de detección de datos confidenciales proporciona datos de localización detallados de hasta 1000 apariciones de cada tipo de datos confidenciales que Macie encuentra en un objeto. Macie utiliza el mismo esquema para los datos de localización en los resultados de datos confidenciales y en los resultados de la detección de datos confidenciales. Para obtener más información sobre los resultados de la detección de datos confidenciales, consulte [Almacenamiento y retención de los resultados de descubrimiento de datos confidenciales](discovery-results-repository-s3.md).

Los temas de esta sección explican cómo localizar y, opcionalmente, recuperar incidencias de datos confidenciales notificadas por resultados de datos confidenciales. También explican el esquema que utiliza Macie para informar de la ubicación de las apariciones individuales de datos confidenciales que encuentra.

**Topics**
+ [Localización de los datos confidenciales](findings-locate-sd.md)
+ [Recuperación de muestras de datos confidenciales](findings-retrieve-sd.md)
+ [Esquema para ubicaciones de datos confidenciales](findings-locate-sd-schema.md)

# Localización de los datos confidenciales con los resultados de Macie
<a name="findings-locate-sd"></a>

Cuando ejecuta trabajos de detección de datos confidenciales o Amazon Macie realiza una detección de datos confidenciales automática, Macie realiza una inspección profunda de la última versión de cada objeto de Amazon Simple Storage Service (Amazon S3) que analiza. Para cada ejecución de trabajo o ciclo de análisis, Macie utiliza un algoritmo de *búsqueda en profundidad* para rellenar los resultados resultantes con detalles sobre la ubicación de apariciones específicas de datos confidenciales que Macie encuentra en los objetos de S3. Estas apariciones proporcionan información sobre las categorías y los tipos de datos confidenciales que pueden contener un bucket y un objeto de S3 afectados. Los detalles pueden ayudarle a localizar apariciones individuales de datos confidenciales en los objetos y a determinar si es necesario realizar una investigación más profunda de buckets y objetos específicos.

Con los resultados de datos confidenciales, puede determinar la ubicación de hasta 15 apariciones de datos confidenciales que Macie encontró en un objeto de S3 afectado. Esto incluye los datos confidenciales que Macie detectó mediante [identificadores de datos administrados](managed-data-identifiers.md) y los datos que cumplen los criterios de [identificadores de datos personalizados](custom-data-identifiers.md) que usted configuró para que utilizara un trabajo o Macie.

Un resultado de datos confidenciales puede proporcionar detalles como:
+ El número de columna y fila de una celda o campo de un libro de Microsoft Excel, un archivo CSV o un archivo TSV.
+ La ruta a un campo o matriz en un archivo JSON o líneas JSON.
+ El número de línea de una línea de un archivo de texto no binario que no sea un archivo CSV, JSON, líneas JSON o TSV, por ejemplo, un archivo HTML, TXT o XML.
+ El número de página de una página de un archivo en formato de documento portátil (PDF) de Adobe.
+ El índice de registro y la ruta a un campo de un registro en un contenedor de objetos de Apache Avro o un archivo de Apache Parquet.

Puede acceder a estos detalles mediante la consola de Amazon Macie o la API de Amazon Macie. También puedes acceder a estos detalles en los hallazgos que Macie publica en otros sitios Servicios de AWS, tanto en Amazon EventBridge como en. AWS Security Hub CSPM Para obtener más información sobre las estructuras JSON que utiliza Macie para informar de estos detalles, consulte [Esquema para informar de la ubicación de los datos confidenciales](findings-locate-sd-schema.md). Para saber cómo acceder a los detalles de los resultados que Macie publica para otros Servicios de AWS, consulte. [Seguimiento y procesamiento de los resultados](findings-monitor.md) 

Si un objeto de S3 contiene muchas apariciones de datos confidenciales, también puede utilizar un resultado para navegar hasta su correspondiente resultado de detección de datos confidenciales. A diferencia de un resultado de datos confidenciales, un resultado de detección de datos confidenciales proporciona datos de localización detallados de hasta 1000 apariciones de cada tipo de dato confidencial que Macie haya encontrado en un objeto. Si un objeto de S3 es un archivo comprimido, como un archivo .tar o .zip, esto incluye apariciones de datos confidenciales en archivos individuales que Macie haya extraído del archivo (Macie no incluye esta información en los resultados de datos confidenciales). Para obtener más información sobre los resultados de la detección de datos confidenciales, consulte [Almacenamiento y retención de los resultados de descubrimiento de datos confidenciales](discovery-results-repository-s3.md). Macie utiliza el mismo esquema para los datos de localización en los resultados de datos confidenciales y en los resultados de la detección de datos confidenciales.

**Para localizar datos confidenciales junto con los hallazgos**  
Para localizar las apariciones de datos confidenciales notificadas por un hallazgo, puede utilizar la consola de Amazon Macie o la API de Amazon Macie. Para hacerlo mediante programación, utilice la operación. [GetFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html) Si un resultado incluye detalles sobre la ubicación de una o más apariciones de un tipo específico de datos confidenciales, los objetos `occurrences` del resultado proporcionan estos detalles. Para obtener más información, consulte [Esquema para informar de la ubicación de los datos confidenciales](findings-locate-sd-schema.md).

Para localizar las apariciones de datos confidenciales mediante la consola, siga estos pasos. 

1. Abra la consola Amazon Macie en. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. En el panel de navegación, seleccione **Resultados**.
**sugerencia**  
Puede mostrar rápidamente todos los resultados de un trabajo de descubrimiento de datos confidenciales en particular. En el panel de navegación, seleccione **Trabajos** y, a continuación, seleccione el nombre del trabajo. En la parte superior del panel de detalles, seleccione **Mostrar resultados** y, a continuación, seleccione **Mostrar resultados**.

1. En la página **resultados**, seleccione el resultado de los datos confidenciales que desea localizar. El panel de detalles muestra información sobre el resultado.

1. En el panel de detalles, desplácese hasta la sección **Datos confidenciales**. Esta sección proporciona información sobre las categorías y los tipos de datos confidenciales que Macie encontró en el objeto de S3 afectado. También indica el número de apariciones de cada tipo de datos confidenciales que encontró Macie.

   Por ejemplo, en la siguiente imagen se muestran algunos detalles de un hallazgo que indica que 30 números de tarjetas de crédito aparecen, 20 aparecen nombres y 29 aparecen números de la Seguridad Social de EE. UU.  
![\[El resultado detalla campos que muestran el número de apariciones de tres tipos de datos confidenciales.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/scrn-sdf-csv-occurrences.png)

   Si el resultado incluye detalles sobre la ubicación de una o más apariciones de un tipo específico de datos confidenciales, el número de apariciones es una conexión. Seleccione la conexión para mostrar los detalles. Macie abre una nueva ventana y muestra los detalles en formato JSON.

   Por ejemplo, la siguiente imagen muestra la ubicación de dos apariciones de números de tarjetas de crédito en un objeto de S3 afectado.  
![\[Los datos de ubicación, en formato JSON, para dos apariciones de números de tarjetas de crédito en un objeto de S3.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/scrn-sdf-csv-occurrences-json.png)

   Para guardar los detalles como un archivo JSON, seleccione **Descargar** y, a continuación, especifique un nombre y una ubicación para el archivo.

1. Para guardar todos los detalles del hallazgo en un archivo JSON, elija el identificador del **hallazgo (Finding ID**) en la parte superior del panel de detalles. Macie abre una nueva ventana y muestra los detalles en formato JSON. Seleccione **Descargar** y, a continuación, especifique un nombre y una ubicación para el archivo.

Para acceder a los detalles sobre la ubicación de hasta 1000 apariciones de cada tipo de datos confidenciales en el objeto afectado, consulte el correspondiente resultado de detección de datos confidenciales para el resultado. Para ello, desplácese hasta el principio de la sección **Detalles** del panel. A continuación, seleccione la conexión en el campo **Ubicación detallada de los resultados**. Macie abre la consola de Amazon S3 y muestra el archivo o la carpeta que contiene el resultado de la detección correspondiente.

# Recuperación de muestras de datos confidenciales con los resultados de Macie
<a name="findings-retrieve-sd"></a>

Para verificar la naturaleza de los datos confidenciales que Amazon Macie notifica en los resultados, puede configurar y usar Macie de manera opcional para recuperar y revelar muestras de datos confidenciales notificados por resultados individuales. Esto incluye los datos confidenciales que Macie detecta mediante [identificadores de datos administrados](managed-data-identifiers.md) y los datos que cumplen los criterios de [identificadores de datos personalizados](custom-data-identifiers.md). Las muestras también pueden ser de ayuda a la hora de personalizar la investigación de un objeto y un bucket de Amazon Simple Storage Service (Amazon S3) afectados.

Si recupera y revela muestras de datos confidenciales de un resultado, Macie lleva a cabo las siguientes tareas generales:

1. Verifica que el resultado especifique la ubicación de las instancias individuales de datos confidenciales y la ubicación del [resultado de la detección de datos confidenciales](discovery-results-repository-s3.md) correspondiente.

1. Evalúa el resultado de la detección de datos confidenciales correspondiente y comprueba la validez de los metadatos del objeto de S3 afectado y de los datos de ubicación de las instancias individuales de datos confidenciales en el objeto afectado.

1. Al utilizar los datos del resultado de detección de datos confidenciales, localiza las primeras 1 a 10 ocurrencias de datos confidenciales reportadas por el resultado y extrae los primeros 1 a 128 caracteres de cada ocurrencia del objeto de S3 afectado. Si el resultado indica varios tipos de datos confidenciales, Macie lo hace para un máximo de 100 tipos.

1. Cifra los datos extraídos con la clave AWS Key Management Service (AWS KMS) que especifique.

1. Almacena temporalmente los datos cifrados en una memoria caché y los muestra para que los revise. Los datos están cifrados en todo momento, tanto en tránsito como en reposo.

1. Poco después de la extracción y el cifrado, elimina permanentemente los datos de la memoria caché, a menos que se requiera una retención adicional temporal para resolver un problema operativo.

Si decide volver a recuperar y revelar muestras de datos confidenciales de un resultado, Macie repite las tareas de localización, extracción, cifrado, almacenamiento y, en última instancia, eliminación de las muestras.

Macie no utiliza el [rol vinculado al servicio de Macie](service-linked-roles.md) en su cuenta para realizar estas tareas. En su lugar, utiliza su identidad de AWS Identity and Access Management (IAM) o permite que Macie asuma un rol de IAM en su cuenta. Si a usted o a su rol se le permite acceder a los recursos y datos necesarios y llevar a cabo las acciones requeridas, puede recuperar y revelar muestras de datos confidenciales de un resultado. Se [ha iniciado sesión](macie-cloudtrail.md) en todas las acciones necesarias. AWS CloudTrail

**importante**  
Se recomienda que restrinja el acceso a esta funcionalidad mediante [políticas de IAM](security-iam.md) personalizadas. Para tener un control de acceso adicional, le recomendamos que cree también una dedicada al AWS KMS key cifrado de las muestras de datos confidenciales que se recuperen y restrinja el uso de la clave únicamente a las personas principales a las que se les debe permitir recuperar y revelar las muestras de datos confidenciales.  
Para ver recomendaciones y ejemplos de políticas que puede usar para controlar el acceso a esta funcionalidad, consulte la siguiente entrada de blog en el *AWS Security Blog*: [How to use Amazon Macie to preview sensitive data in S3 buckets](https://aws.amazon.com/blogs/security/how-to-use-amazon-macie-to-preview-sensitive-data-in-s3-buckets/).

En los temas de esta sección se explica cómo configurar y usar Macie para recuperar y revelar muestras de datos confidenciales para resultados. Puede realizar estas tareas en todas las en las Regiones de AWS que Macie está disponible actualmente, excepto las de Asia-Pacífico (Osaka) e Israel (Tel Aviv).

**Topics**
+ [Opciones de configuración para recuperar muestras](findings-retrieve-sd-options.md)
+ [Configuración de Macie para recuperar muestras](findings-retrieve-sd-configure.md)
+ [Recuperación de muestras](findings-retrieve-sd-proc.md)

# Opciones de configuración para recuperar muestras de datos confidenciales con Macie
<a name="findings-retrieve-sd-options"></a>

Si lo desea, puede configurar y usar Amazon Macie de manera opcional para recuperar y revelar muestras de datos confidenciales que Macie notifica en resultados individuales. Si recupera y revela muestras de datos confidenciales para un resultado, Macie utiliza los datos del [resultado de la detección de datos confidenciales](discovery-results-repository-s3.md) correspondiente para localizar las instancias de datos confidenciales en el objeto de Amazon Simple Storage Service (Amazon S3) afectado. A continuación, Macie extrae muestras de esas ocurrencias del objeto afectado. Macie cifra los datos extraídos con una clave AWS Key Management Service (AWS KMS) que usted especifique, almacena temporalmente los datos cifrados en una memoria caché y devuelve los datos de los resultados para su búsqueda. Poco después de la extracción y el cifrado, Macie elimina permanentemente los datos de la memoria caché, a menos que se requiera una retención adicional temporal para resolver un problema operativo.

Macie no utiliza el [rol vinculado al servicio de Macie](service-linked-roles.md) en su cuenta para localizar, recuperar, cifrar o revelar muestras de datos confidenciales de los objetos de S3 afectados. En su lugar, Macie utiliza los ajustes y los recursos que configura para su cuenta. Al configurar los ajustes en Macie, se especifica cómo acceder a los objetos de S3 afectados. También se especifica cuál se va AWS KMS key a utilizar para cifrar las muestras. Puede configurar los ajustes en todos los Regiones de AWS lugares en los que Macie esté disponible actualmente, excepto en las regiones de Asia Pacífico (Osaka) e Israel (Tel Aviv).

Para acceder a los objetos de S3 afectados y recuperar muestras de datos confidenciales de ellos, tiene dos opciones. Puede configurar Macie para que utilice credenciales de usuario AWS Identity and Access Management (IAM) o asuma una función de IAM:
+ **Utilizar las credenciales de usuario de IAM**: con esta opción, cada usuario de su cuenta utilizará su identidad de IAM individual para localizar, recuperar, cifrar y revelar las muestras. Esto significa que un usuario puede recuperar y revelar muestras de datos confidenciales para un resultado si se le permite acceder a los recursos y datos necesarios y llevar a cabo las acciones necesarias.
+ **Asumir un rol de IAM**: con esta opción, se crea un rol de IAM que delega el acceso a Macie. También debe asegurarse de que las políticas de confianza y permisos del rol cumplan todos los requisitos para que Macie lo asuma. A continuación, Macie asume ese rol cuando un usuario de su cuenta decide localizar, recuperar, cifrar y revelar muestras de datos confidenciales para un resultado.

Puede utilizar cualquier configuración con cualquier tipo de cuenta de Macie: la cuenta de administrador de Macie delegada para una organización, una cuenta de miembro de Macie de una organización o una cuenta de Macie independiente.

En los siguientes temas, se explican las opciones, los requisitos y las consideraciones que pueden ayudarle a determinar cómo configurar los ajustes y los recursos de su cuenta. Esto incluye las políticas de permisos y confianza que se van a asociar a un rol de IAM. Para ver recomendaciones y ejemplos adicionales de políticas que puede usar para recuperar y revelar muestras de datos confidenciales, consulte la siguiente entrada de blog en el *AWS Security Blog*: [How to use Amazon Macie to preview sensitive data in S3 buckets](https://aws.amazon.com/blogs/security/how-to-use-amazon-macie-to-preview-sensitive-data-in-s3-buckets/).

**Topics**
+ [Determinación del método de acceso que se usará](#findings-retrieve-sd-options-s3access)
+ [Uso de las credenciales de usuario de IAM para acceder a los objetos de S3 afectados](#findings-retrieve-sd-options-s3access-user)
+ [Asunción de un rol de IAM para obtener acceso a los objetos de S3 afectados](#findings-retrieve-sd-options-s3access-role)
+ [Configuración de un rol de IAM para obtener acceso a los objetos de S3 afectados](#findings-retrieve-sd-options-s3access-role-configuration)
+ [Descifrado de los objetos de S3 afectados](#findings-retrieve-sd-options-decrypt)

## Determinación del método de acceso que se usará
<a name="findings-retrieve-sd-options-s3access"></a>

Al determinar qué configuración es la mejor para su AWS entorno, una consideración clave es si su entorno incluye varias cuentas de Amazon Macie que se administran de forma centralizada como una organización. Si es el administrador delegado de Macie en una organización, configurar Macie para que asuma un rol de IAM puede agilizar la recuperación de muestras de datos confidenciales de los objetos de S3 afectados para las cuentas de su organización. Con este enfoque, cree un rol de IAM en la cuenta de administrador. También puede crear un rol de IAM en cada cuenta de miembro aplicable. El rol de su cuenta de administrador delega el acceso a Macie. El rol en una cuenta de miembro delega el acceso entre cuentas al rol de su cuenta de administrador. Si se implementa, podrá utilizar el encadenamiento de roles para acceder a los objetos de S3 afectados en sus cuentas de miembros.

Tenga en cuenta también quién tiene acceso directo a los resultados individuales de forma predeterminada. Para recuperar y revelar muestras de datos confidenciales para un resultado, el usuario debe tener acceso al resultado antes:
+ **Trabajos de detección de datos confidenciales**: solo la cuenta que crea un trabajo puede acceder a los resultados que genere el trabajo. Si tiene una cuenta de administrador de Macie, puede configurar un trabajo para analizar los objetos de los buckets de S3 para cualquier cuenta de su organización. Por lo tanto, sus trabajos pueden generar resultados de objetos en los buckets que son propiedad de sus cuentas de miembros. Si tiene una cuenta de miembro o una cuenta de Macie independiente, puede configurar un trabajo para analizar los objetos únicamente en los buckets que sean propiedad de su cuenta.
+ **Detección de datos confidenciales automatizada**: solo la cuenta de administrador de Macie puede acceder a los resultados que la detección automatizada genere para las cuentas de su organización. Las cuentas de los miembros no pueden acceder a estos resultados. Si tiene una cuenta de Macie independiente, solo podrá acceder a los resultados que genere la detección automatizada para su propia cuenta.

Si planea acceder a los objetos de S3 afectados mediante un rol de IAM, tenga en cuenta también lo siguiente:
+ Para localizar instancias de datos confidenciales en un objeto, el resultado de la detección de datos confidenciales correspondiente a un resultado debe almacenarse en un objeto de S3 que Macie haya firmado con una AWS KMS key de código de autenticación de mensajes basado en hash (HMAC). Macie debe poder verificar la integridad y autenticidad del resultado de la detección de datos confidenciales. De lo contrario, Macie no asumirá el rol de IAM para recuperar muestras de datos confidenciales. Se trata de una barrera de protección adicional para restringir el acceso a los datos de los objetos de S3 de una cuenta.
+ Para recuperar muestras de datos confidenciales de un objeto cifrado con un sistema gestionado por el cliente AWS KMS key, el rol de IAM debe poder descifrar los datos con la clave. Más específicamente, la política de claves debe permitir que el rol lleve a cabo la acción `kms:Decrypt`. Para otros tipos de cifrado del servidor, no se requieren permisos ni recursos adicionales para descifrar un objeto afectado. Para obtener más información, consulte [Descifrado de los objetos de S3 afectados](#findings-retrieve-sd-options-decrypt).
+ Para recuperar muestras de datos confidenciales de un objeto para otra cuenta, actualmente debe ser el administrador delegado de Macie para la cuenta de la Región de AWS correspondiente. Además:
  + Actualmente, Macie debe estar habilitado para la cuenta de miembro en la región correspondiente. 
  + La cuenta de miembro debe tener un rol de IAM que delegue el acceso entre cuentas a un rol de IAM en su cuenta de administrador de Macie. El nombre del rol debe ser el mismo en su cuenta de administrador de Macie y en la cuenta de miembro.
  + La política de confianza del rol de IAM en la cuenta del miembro debe incluir una condición que especifique el ID externo correcto para su configuración. Este ID es una cadena alfanumérica única que Macie genera automáticamente después de configurar los ajustes de su cuenta de administrador de Macie. Para obtener información sobre el uso de políticas IDs de confianza externas, consulte el [artículo Acceso a Cuentas de AWS propiedades de terceros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) en la Guía del *AWS Identity and Access Management usuario*.
  + Si el rol de IAM en la cuenta de miembro cumple todos los requisitos de Macie, la cuenta de miembro no necesita configurar ni habilitar los ajustes de Macie para poder recuperar muestras de datos confidenciales de los objetos de su cuenta. Macie utiliza únicamente la configuración y el rol de IAM de su cuenta de administrador de Macie y el rol de IAM de la cuenta de miembro.
**sugerencia**  
Si su cuenta forma parte de una organización grande, considere la posibilidad de utilizar un conjunto de pilas y plantillas de AWS CloudFormation para aprovisionar y administrar los roles de IAM de las cuentas de los miembros de su organización. Para obtener información sobre la creación y el uso de conjuntos de pilas y plantillas, consulte la [Guía del usuario de AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html).  
Para revisar y, si lo desea, descargar una CloudFormation plantilla que pueda servir como punto de partida, puede utilizar la consola Amazon Macie. En el panel de navegación de la consola, en **Configuración**, seleccione **Revelar muestras**. Elija **Editar** y, a continuación, elija **Ver los permisos y la CloudFormation plantilla de los roles de los miembros**.

Los temas siguientes de esta sección proporcionan detalles y consideraciones adicionales para cada tipo de configuración. En el caso de los roles de IAM, esto incluye las políticas de permisos y confianza que se van a asociar a un rol. Si no está seguro de qué tipo de configuración es la mejor para su entorno, pida ayuda a su AWS administrador.

## Uso de las credenciales de usuario de IAM para acceder a los objetos de S3 afectados
<a name="findings-retrieve-sd-options-s3access-user"></a>

Si configura Amazon Macie para recuperar muestras de datos confidenciales mediante credenciales de usuario de IAM, cada usuario de su cuenta de Macie utilizará su identidad de IAM para localizar, recuperar, cifrar y revelar muestras para resultados individuales. Esto significa que un usuario puede recuperar y revelar muestras de datos confidenciales para un resultado si su identidad de IAM tiene permiso para acceder a los recursos y datos necesarios y llevar a cabo las acciones necesarias. [Se registran todas las acciones necesarias en AWS CloudTrail](macie-cloudtrail.md).

Para recuperar y revelar muestras de datos confidenciales para un resultado determinado, un usuario debe tener permiso para acceder a los siguientes datos y recursos: el resultado, el resultado de la detección de datos confidenciales correspondiente al resultado, el bucket de S3 afectado y el objeto de S3 afectado. También se les debe permitir usar la AWS KMS key que se utilizó para cifrar el objeto afectado, si corresponde, y la AWS KMS key que usted configura para que Macie utilice para cifrar muestras de datos confidenciales. Si alguna política de IAM, política de recursos u otra configuración de permisos le deniega el acceso necesario, el usuario no podrá recuperar ni revelar muestras para el resultado.

Para establecer este tipo de configuración, lleve a cabo las siguientes tareas generales:

1. Compruebe que haya configurado un repositorio para los resultados de la detección de datos confidenciales.

1. Configure el AWS KMS key que se utilizará para el cifrado de muestras de datos confidenciales.

1. Compruebe sus permisos para configurar los ajustes en Macie.

1. Configure y habilite los ajustes de Macie.

Para obtener información acerca de cómo llevar a cabo estas tares, consulte [Configuración de Macie para recuperar muestras de datos confidenciales](findings-retrieve-sd-configure.md).

## Asunción de un rol de IAM para obtener acceso a los objetos de S3 afectados
<a name="findings-retrieve-sd-options-s3access-role"></a>

Para configurar Amazon Macie a fin de que recupere muestras de datos confidenciales mediante la asunción de un rol de IAM, comience por crear un rol de IAM que delegue el acceso a Amazon Macie. Asegúrese de que las políticas de confianza y permisos del rol cumplan todos los requisitos para que Macie lo asuma. Cuando un usuario de su cuenta de Macie decide recuperar y revelar muestras de datos confidenciales para un resultado, Macie asume el rol de recuperar las muestras del objeto de S3 afectado. Macie solo asume ese rol cuando un usuario decide recuperar y revelar muestras para un resultado. Para asumir el rol, Macie usa el [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)funcionamiento de la API AWS Security Token Service (AWS STS). Se [ha iniciado sesión](macie-cloudtrail.md) en todas las acciones necesarias. AWS CloudTrail

Para recuperar y mostrar muestras de datos confidenciales para un hallazgo concreto, el usuario debe tener permiso para acceder al hallazgo, al resultado correspondiente de la detección de datos confidenciales y al AWS KMS key que haya configurado Macie para que lo utilice para cifrar las muestras de datos confidenciales. El rol de IAM debe permitir a Macie acceder al bucket de S3 y al objeto de S3 afectados. El rol también debe poder usar el AWS KMS key que se usó para cifrar el objeto afectado, si corresponde. Si alguna política de IAM, política de recursos u otra configuración de permisos le deniega el acceso necesario, el usuario no podrá recuperar ni revelar muestras para el resultado.

Para configurar este tipo de configuración, complete las siguientes tareas generales. Si tiene una cuenta de miembro en una organización, contacte con su administrador de Macie para determinar si debe configurar los ajustes y los recursos de su cuenta y de qué manera.

1. Defina lo siguiente:
   + El nombre del rol de IAM que desea que Macie asuma. Si su cuenta forma parte de una organización, este nombre debe ser el mismo para la cuenta de administrador delegado de Macie y para cada cuenta de miembro aplicable de la organización. De lo contrario, el administrador de Macie no podrá acceder a los objetos de S3 afectados desde la cuenta de miembro correspondiente.
   + El nombre de la política de permisos de IAM que se va a asociar al rol de IAM. Si su cuenta forma parte de una organización, le recomendamos que utilice el mismo nombre de política para cada cuenta de miembro aplicable de la organización. Esto puede agilizar el aprovisionamiento y la administración del rol en las cuentas de los miembros.

1. Compruebe que haya configurado un repositorio para los resultados de la detección de datos confidenciales.

1. Configure el AWS KMS key que se utilizará para el cifrado de muestras de datos confidenciales.

1. Compruebe sus permisos para crear roles de IAM y configurar los ajustes en Macie.

1. Si es el administrador delegado de Macie de una organización o si tiene una cuenta de Macie independiente:

   1. Cree y configure un rol de IAM para la cuenta. Asegúrese de que las políticas de confianza y permisos del rol cumplan todos los requisitos para que Macie lo asuma. Para obtener más información sobre estos requisitos, consulte el [tema siguiente](#findings-retrieve-sd-options-s3access-role-configuration).

   1. Configure y habilite los ajustes de Macie. A continuación, Macie genera un ID externo para la configuración. Si es el administrador de Macie de una organización, anote este ID. La política de confianza del rol de IAM de cada una de sus cuentas de miembro correspondientes debe especificar este ID.

1. Si tiene una cuenta de miembro en una organización:

   1. Solicite al administrador de Macie el ID externo que especificará en la política de confianza para el rol de IAM de la cuenta. Compruebe también el nombre del rol de IAM y la política de permisos que se van a crear.

   1. Cree y configure un rol de IAM para la cuenta. Asegúrese de que las políticas de confianza y permisos del rol cumplan todos los requisitos para que el administrador de Macie lo asuma. Para obtener más información sobre estos requisitos, consulte el [tema siguiente](#findings-retrieve-sd-options-s3access-role-configuration).

   1. (Opcional) Si desea recuperar y revelar muestras de datos confidenciales de los objetos de S3 afectados para su propia cuenta, configure y habilite los ajustes en Macie. Si quiere que Macie asuma un rol de IAM para recuperar las muestras, comience por crear y configurar un rol de IAM adicional en su cuenta. Asegúrese de que las políticas de confianza y permisos de este rol adicional cumplan todos los requisitos para que Macie lo asuma. A continuación, configure los ajustes en Macie y especifique el nombre de este rol adicional. Para obtener más información sobre los requisitos de la política para el rol, consulte el [tema siguiente](#findings-retrieve-sd-options-s3access-role-configuration).

Para obtener información acerca de cómo llevar a cabo estas tares, consulte [Configuración de Macie para recuperar muestras de datos confidenciales](findings-retrieve-sd-configure.md).

## Configuración de un rol de IAM para obtener acceso a los objetos de S3 afectados
<a name="findings-retrieve-sd-options-s3access-role-configuration"></a>

Para acceder a los objetos de S3 afectados mediante un rol de IAM, comience por crear y configurar un rol que delegue el acceso a Amazon Macie. Asegúrese de que las políticas de confianza y permisos del rol cumplan todos los requisitos para que Macie lo asuma. La forma de hacerlo depende del tipo de cuenta de Macie que tenga.

En las siguientes secciones, se proporcionan detalles sobre las políticas de confianza y los permisos que se deben asociar al rol de IAM para cada tipo de cuenta de Macie. Elija la sección correspondiente al tipo de cuenta que tiene. 

**nota**  
Si tiene una cuenta de miembro en una organización, es posible que tenga que crear y configurar dos roles de IAM para la cuenta:  
Para que el administrador de Macie pueda recuperar y revelar muestras de datos confidenciales de los objetos de S3 afectados para su cuenta, cree y configure un rol que pueda asumir la cuenta de su administrador. Para obtener estos detalles, elija la sección **Cuenta de miembro de Macie**.
Para recuperar y revelar muestras de datos confidenciales de los objetos de S3 afectados para la cuenta de su propiedad, cree y configure un rol que pueda asumir Macie. Para obtener estos detalles, elija la sección **Cuenta independiente de Macie**.
Antes de crear y configurar cualquiera de los roles de IAM, trabaje con su administrador de Macie para determinar la configuración adecuada para su cuenta.

Para obtener información detallada sobre el uso de IAM para crear el rol, consulte [Creación de un rol mediante políticas de confianza personalizadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) en la *Guía del usuario de AWS Identity and Access Management *.

### Cuenta de administrador de Macie
<a name="findings-retrieve-sd-options-s3access-role-admin"></a>

Si es el administrador delegado de Macie de una organización, empiece por utilizar el editor de políticas de IAM para crear la política de permisos para el rol de IAM. La política debe ser la siguiente.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RetrieveS3Objects",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "AssumeMacieRevealRoleForCrossAccountAccess",
            "Effect": "Allow",
            "Action": [
                "sts:AssumeRole"
            ],
            "Resource": "arn:aws:iam::*:role/IAMRoleName"
        }
    ]
}
```

------

¿*IAMRoleName*Cuál es el nombre de la función de IAM que debe asumir Macie al recuperar muestras de datos confidenciales de los objetos S3 afectados para las cuentas de su organización? Sustituya este valor por el nombre del rol que está creando para su cuenta y que planea crear para las cuentas de miembros aplicables de su organización. Este nombre debe ser el mismo para su cuenta de administrador de Macie y para cada cuenta de miembro aplicable.

**nota**  
En la política de permisos anterior, el `Resource` elemento de la primera declaración utiliza un carácter comodín (). `*` Esto permite que una entidad de IAM asociada recupere objetos de todos los buckets de S3 que son propiedad de su organización. Para permitir este acceso solo para buckets específicos, sustituya el carácter comodín por el nombre de recurso de Amazon (ARN) de cada bucket. Por ejemplo, para permitir el acceso únicamente a los objetos de un bucket denominado *amzn-s3-demo-bucket1*, cambie el elemento por:  
`"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*"`  
También puede restringir el acceso a objetos de buckets de S3 específicos de cuentas individuales. Para ello, especifique un bucket ARNs en el `Resource` elemento de la política de permisos para el rol de IAM en cada cuenta aplicable. Para obtener más información y ejemplos, consulte [Elementos de política JSON de IAM: Resource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) en la *Guía del usuario de AWS Identity and Access Management *.

Tras crear la política de permisos para el rol de IAM, cree y configure el rol. Si lo hace mediante la consola de IAM, elija **Política de confianza personalizada** como **Tipo de entidad de confianza** para el rol. Para la política de confianza que define las entidades de confianza para el rol, especifique lo siguiente.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowMacieReveal",
            "Effect": "Allow",
            "Principal": {
                "Service": "reveal-samples.macie.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333"
                }
            }
        }
    ]
}
```

------

¿Dónde *111122223333* está el ID de su Cuenta de AWS cuenta? Sustituya este valor por su ID de cuenta de 12 dígitos.

En la política de confianza anterior:
+ El elemento `Principal` especifica la entidad principal de servicio que utiliza Macie al recuperar muestras de datos confidenciales de los objetos de S3 afectados, `reveal-samples.macie.amazonaws.com`.
+ El `Action` elemento especifica la acción que el director del servicio puede realizar, el [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)funcionamiento de la API AWS Security Token Service (AWS STS).
+ El `Condition` elemento define una condición que usa la clave de contexto [aws: SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) global condition. Esta condición determina qué cuenta puede llevar a cabo la acción especificada. En este caso, permite a Macie asumir el rol solo para la cuenta especificada. La condición ayuda a evitar que Macie sea utilizado como un [ayudante confuso](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) durante las transacciones con. AWS STS

Tras definir la política de confianza para el rol de IAM, asocie la política de permisos al rol. Debe ser la política de permisos que creó antes de empezar a crear el rol. A continuación, complete los pasos restantes en IAM para terminar de crear y configurar el rol. Cuando termine, [configure y habilite los ajustes en Macie](findings-retrieve-sd-configure.md).

### Cuenta de miembro de Macie
<a name="findings-retrieve-sd-options-s3access-role-member"></a>

Si tiene una cuenta de miembro de Macie y quiere permitir que su administrador de Macie recupere y revele muestras de datos confidenciales de los objetos de S3 afectados para su cuenta, empiece por pedir al administrador de Macie la siguiente información:
+ El nombre del rol de IAM que se va a crear. El nombre de su cuenta debe ser el mismo que el de la cuenta de administrador de Macie de su organización.
+ El nombre de la política de permisos de IAM que se va a asociar al rol.
+ El ID externo que se va a especificar en la política de confianza para el rol. Este ID debe ser el ID externo que Macie generó para la configuración de su administrador de Macie. 

Tras recibir esta información, utilice el editor de políticas de IAM para crear la política de permisos para el rol. La política debe ser la siguiente.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RetrieveS3Objects",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}
```

------

La política de permisos anterior permite a una entidad de IAM asociada recuperar objetos de todos los buckets de S3 de su cuenta. Esto se debe a que el `Resource` elemento de la política utiliza un carácter comodín ()`*`. Para permitir este acceso solo para buckets específicos, sustituya el carácter comodín por el nombre de recurso de Amazon (ARN) de cada bucket. Por ejemplo, para permitir el acceso únicamente a los objetos de un bucket denominado *amzn-s3-demo-bucket2*, cambie el elemento por:

`"Resource": "arn:aws:s3:::amzn-s3-demo-bucket2/*"`

Para obtener más información y ejemplos, consulte [Elementos de política JSON de IAM: Resource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) en la *Guía del usuario de AWS Identity and Access Management *.

Tras crear la política de permisos para el rol de IAM, cree el rol. Si crea el rol mediante la consola de IAM, elija **Política de confianza personalizada** como **Tipo de entidad de confianza** para el rol. Para la política de confianza que define las entidades de confianza para el rol, especifique lo siguiente.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowMacieAdminRevealRoleForCrossAccountAccess",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/IAMRoleName"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:ExternalId": "externalID",
                    "aws:PrincipalOrgID": "${aws:ResourceOrgID}"
                }
            }
        }
    ]
}
```

------

En la política anterior, sustituya los valores de los marcadores de posición por los valores correctos para su AWS entorno, donde:
+ *111122223333*es el ID de cuenta de 12 dígitos de su cuenta de administrador de Macie.
+ *IAMRoleName*es el nombre del rol de IAM en su cuenta de administrador de Macie. Debe ser el nombre que recibió de su administrador de Macie.
+ *externalID*es el identificador externo que ha recibido de su administrador de Macie.

En general, la política de confianza permite al administrador de Macie asumir el rol de recuperar y revelar muestras de datos confidenciales de los objetos de S3 afectados para su cuenta. El elemento `Principal` especifica el ARN de un rol de IAM en la cuenta de administrador de Macie. Este es el rol que utiliza el administrador de Macie para recuperar y revelar muestras de datos confidenciales para las cuentas de su organización. El bloque `Condition` define dos condiciones que determinan aún más quién puede asumir el rol:
+ La primera condición especifica un ID externo que es exclusivo de la configuración de su organización. Para obtener más información sobre el acceso externo IDs, consulte el [acceso Cuentas de AWS a propiedades de terceros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) en la *Guía del AWS Identity and Access Management usuario*.
+ La segunda condición utiliza la clave de contexto de la condición global [aws: PrincipalOrg ID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid). El valor de la clave es una variable dinámica que representa el identificador único de una organización en AWS Organizations (`${aws:ResourceOrgID}`). La condición restringe el acceso solo a las cuentas que forman parte de la misma organización en AWS Organizations. Si se unió a su organización al aceptar una invitación en Macie, elimine esta condición de la política.

Tras definir la política de confianza para el rol de IAM, asocie la política de permisos al rol. Debe ser la política de permisos que creó antes de empezar a crear el rol. A continuación, complete los pasos restantes en IAM para terminar de crear y configurar el rol. No configure ni introduzca ajustes para el rol en Macie.

### Cuenta independiente de Macie
<a name="findings-retrieve-sd-options-s3access-role-standalone"></a>

Si tiene una cuenta independiente de Macie o una cuenta de miembro de Macie y desea recuperar y revelar muestras de datos confidenciales de los objetos de S3 afectados para su propia cuenta, empiece por utilizar el editor de políticas de IAM para crear la política de permisos para el rol de IAM. La política debe ser la siguiente.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RetrieveS3Objects",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}
```

------

En la política de permisos anterior, el `Resource` elemento utiliza un carácter comodín (`*`). Esto permite que una entidad de IAM asociada recupere objetos de todos los buckets de S3 de su cuenta. Para permitir este acceso solo para buckets específicos, sustituya el carácter comodín por el nombre de recurso de Amazon (ARN) de cada bucket. Por ejemplo, para permitir el acceso únicamente a los objetos de un bucket denominado *amzn-s3-demo-bucket3*, cambie el elemento por:

`"Resource": "arn:aws:s3:::amzn-s3-demo-bucket3/*"`

Para obtener más información y ejemplos, consulte [Elementos de política JSON de IAM: Resource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) en la *Guía del usuario de AWS Identity and Access Management *. 

Tras crear la política de permisos para el rol de IAM, cree el rol. Si crea el rol mediante la consola de IAM, elija **Política de confianza personalizada** como **Tipo de entidad de confianza** para el rol. Para la política de confianza que define las entidades de confianza para el rol, especifique lo siguiente.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowMacieReveal",
            "Effect": "Allow",
            "Principal": {
                "Service": "reveal-samples.macie.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "999999999999"
                }
            }
        }
    ]
}
```

------

¿Dónde *999999999999* está el identificador de su Cuenta de AWS cuenta? Sustituya este valor por su ID de cuenta de 12 dígitos.

En la política de confianza anterior:
+ El elemento `Principal` especifica la entidad principal de servicio que utiliza Macie al recuperar y revelar muestras de datos confidenciales de los objetos de S3 afectados, `reveal-samples.macie.amazonaws.com`.
+ El `Action` elemento especifica la acción que el director del servicio puede realizar, el [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)funcionamiento de la API AWS Security Token Service (AWS STS).
+ El `Condition` elemento define una condición que usa la clave de contexto [aws: SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) global condition. Esta condición determina qué cuenta puede llevar a cabo la acción especificada. Permite a Macie asumir el rol solo para la cuenta especificada. La condición ayuda a evitar que Macie sea utilizado como un [ayudante confuso](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) durante las transacciones con. AWS STS

Tras definir la política de confianza para el rol de IAM, asocie la política de permisos al rol. Debe ser la política de permisos que creó antes de empezar a crear el rol. A continuación, complete los pasos restantes en IAM para terminar de crear y configurar el rol. Cuando termine, [configure y habilite los ajustes en Macie](findings-retrieve-sd-configure.md).

## Descifrado de los objetos de S3 afectados
<a name="findings-retrieve-sd-options-decrypt"></a>

Amazon S3 admite varias opciones de cifrado para los objetos de S3. Para la mayoría de estas opciones, un rol o usuario de IAM no necesita recursos ni permisos adicionales para descifrar y recuperar muestras de datos confidenciales de un objeto afectado. Este es el caso de un objeto se cifra mediante el cifrado en el lado del servidor con una clave administrada por Amazon S3 o una AWS KMS key administrada por AWS .

Sin embargo, si un objeto de S3 se cifra con un sistema gestionado por el cliente AWS KMS key, se requieren permisos adicionales para descifrar y recuperar muestras de datos confidenciales del objeto. Más específicamente, la política de claves de la clave de KMS debe permitir que el rol o usuario de IAM lleve a cabo la acción `kms:Decrypt`. De lo contrario, se produce un error y Amazon Macie no recupera ninguna muestra del objeto. Para obtener información sobre cómo proporcionar este acceso a un usuario de IAM, consulte [KMS key access and permissions](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html) en la *Guía para desarrolladores de AWS Key Management Service *.

La forma de proporcionar este acceso a una función de IAM depende de si la cuenta propietaria AWS KMS key también es la propietaria de la función:
+ Si la misma cuenta es propietaria de la clave de KMS y del rol, el usuario de la cuenta debe actualizar la política de claves. 
+ Si una cuenta es propietaria de la clave de KMS y otra cuenta es propietaria del rol, el usuario de la cuenta propietaria de la clave debe permitir el acceso entre cuentas a la clave.

En este tema, se describe cómo llevar a cabo estas tareas para un rol de IAM que creó a fin de recuperar muestras de datos confidenciales de objetos de S3. También proporciona ejemplos de ambos escenarios. Para obtener información sobre cómo permitir el acceso a la administración AWS KMS keys por el cliente en otros escenarios, consulte las [claves de acceso y permisos de KMS](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html) en la *Guía para AWS Key Management Service desarrolladores*.

### Permitir el acceso de la misma cuenta a una clave administrada por el cliente
<a name="findings-retrieve-sd-options-decrypt-same-account"></a>

Si la misma cuenta es propietaria de la función de IAM AWS KMS key y de la de IAM, el usuario de la cuenta debe añadir una declaración a la política de la clave. La instrucción adicional debe permitir que el rol de IAM utilice la clave para descifrar los datos. Para obtener información sobre cómo modificar una política de claves, consulte [Modificación de una política de claves](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) en la *Guía del desarrollador de AWS Key Management Service *.

En la declaración:
+ El elemento `Principal` debe especificar el nombre de recurso de Amazon (ARN) de un rol de IAM.
+ La matriz `Action` debe especificar la acción `kms:Decrypt`. Esta es la única AWS KMS acción que el rol de IAM debe poder realizar para descifrar un objeto que está cifrado con la clave.

El siguiente es un ejemplo de la instrucción para añadir a la política para una clave KMS. 

```
{
    "Sid": "Allow the Macie reveal role to use the key",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::123456789012:role/IAMRoleName"
    },
    "Action": [
        "kms:Decrypt"
    ],
    "Resource": "*"
}
```

En el ejemplo anterior: 
+ El campo `AWS` del elemento `Principal` especifica el ARN del rol de IAM de la cuenta. Permite que el rol lleve a cabo la acción especificada en la declaración de política. *123456789012*es un ejemplo de ID de cuenta. Sustituya este valor por el ID de cuenta de la cuenta propietaria del rol y de la clave KMS. *IAMRoleName*es un nombre de ejemplo. Sustituya este valor por el nombre del rol de IAM en la cuenta.
+ La matriz `Action` especifica la acción que el rol de IAM puede llevar a cabo mediante la clave de KMS: descifrar el texto cifrado con la clave.

El lugar donde se añada esta declaración a una política de claves depende de la estructura y los elementos que la política contenga actualmente. Cuando añada la instrucción a la política, asegúrese de que la sintaxis sea válida. Las políticas de claves utilizan formato JSON. Esto significa que también hay que añadir una coma antes o después de la declaración, en función de dónde se añada la declaración a la política. 

### Permitir el acceso entre cuentas a una clave administrada por el cliente
<a name="findings-retrieve-sd-options-decrypt-cross-account"></a>

Si una cuenta es propietaria de la AWS KMS key (*propietario de la clave*) y otra cuenta es propietaria del rol de IAM (*propietario del rol*), el propietario de la clave debe proporcionar al propietario del rol acceso a la clave entre cuentas. Una forma de hacerlo es con una concesión. Una *concesión* es un instrumento de política que permite a las entidades principales de AWS utilizar claves de KMS en operaciones criptográficas si se cumplen las condiciones especificadas por la concesión. Para obtener más información sobre las [Concesiones en AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html), consulte Subvenciones en la *AWS Key Management Service Guía para desarrolladores*.

Con este método, el propietario de la clave se asegura primero de que la política de claves permita al propietario del rol crear una concesión para ella. A continuación, el propietario del rol crea una concesión para la clave. La concesión delega los permisos pertinentes en el rol de IAM de su cuenta. Permite que el rol descifre los objetos de S3 que están cifrados con la clave.

**Paso 1: actualización de la política de claves**  
En la política de claves, el propietario de la clave debe asegurarse de que la política incluya una instrucción que permita al propietario del rol crear una concesión para el rol de IAM en su cuenta (la del propietario del rol). En esta instrucción, el elemento `Principal` debe especificar el ARN de la cuenta del propietario del rol. La matriz `Action` debe especificar la acción `kms:CreateGrant`. Un bloqueo `Condition` puede filtrar el acceso a la acción especificada. A continuación, se muestra un ejemplo de esta instrucción en la política de una clave de KMS.

```
{
    "Sid": "Allow a role in an account to create a grant",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:root"
    },
    "Action": [
        "kms:CreateGrant"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:GranteePrincipal": "arn:aws:iam::111122223333:role/IAMRoleName"
        },
        "ForAllValues:StringEquals": {
            "kms:GrantOperations": "Decrypt"
        }
    }
}
```

En el ejemplo anterior:
+ El campo `AWS` del elemento `Principal` especifica el ARN de la cuenta del propietario del rol. Permite a la cuenta realizar la acción especificada en la declaración de política. *111122223333*es un ejemplo de ID de cuenta. Sustituya este valor por el ID de la cuenta del propietario del rol.
+ La matriz `Action` especifica la acción que el propietario del rol puede llevar a cabo en la clave de KMS: crear una concesión para la clave.
+ El bloque `Condition` utiliza los [operadores de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) y las siguientes claves de condición para filtrar el acceso a la acción que el propietario del rol puede llevar a cabo en la clave de KMS:
  + [kms: GranteePrincipal](https://docs.aws.amazon.com/kms/latest/developerguide/conditions-kms.html#conditions-kms-grantee-principal) — Esta condición permite al propietario del rol crear una concesión solo para el beneficiario principal especificado, que es el ARN del rol de IAM en su cuenta. En ese ARN, *111122223333* hay un ejemplo de ID de cuenta. Sustituya este valor por el ID de cuenta de la cuenta del propietario del rol. *IAMRoleName*es un nombre de ejemplo. Sustituya este valor por el nombre del rol de IAM en la cuenta del propietario del rol.
  + [kms: GrantOperations](https://docs.aws.amazon.com/kms/latest/developerguide/conditions-kms.html#conditions-kms-grant-operations) — Esta condición permite al propietario del rol crear una concesión únicamente para delegar el permiso para realizar la AWS KMS `Decrypt` acción (descifrar el texto cifrado con la clave). Impide que el propietario del rol cree concesiones que deleguen permisos para llevar a cabo otras acciones en la clave de KMS. Esta `Decrypt` acción es la única AWS KMS acción que el rol de IAM debe poder realizar para descifrar un objeto que está cifrado con la clave.

Cuando el propietario de la clave agrega esta instrucción a la política de claves, depende de la estructura y los elementos que la directiva contenga actualmente. Cuando el propietario de la clave añada la declaración, debe asegurarse de que la sintaxis sea válida. Las políticas de claves utilizan formato JSON. Esto significa que el propietario de la clave también debe añadir una coma antes o después de la declaración, dependiendo de dónde añada la declaración a la política. Para obtener información sobre cómo modificar una política de claves, consulte [Modificación de una política de claves](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) en la *Guía del desarrollador de AWS Key Management Service *.

**Paso 2: creación de una concesión**  
Una vez que el propietario de la clave actualice la política de claves según sea necesario, el propietario del rol crea una concesión para la clave. La concesión delega los permisos pertinentes en el rol de IAM de su cuenta (la del propietario del rol). Antes de que el propietario del rol cree la concesión, debe comprobar que está autorizado a llevar a cabo la acción `kms:CreateGrant`. Esta acción le permite agregar una concesión a una AWS KMS key existente administrada por el cliente.

Para crear la concesión, el propietario del rol puede usar el [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)funcionamiento de la AWS Key Management Service API. Cuando el propietario del rol cree la concesión, debe especificar los siguientes valores para los parámetros necesarios:
+ `KeyId`: el ARN de la clave de KMS. Para el acceso entre cuentas a una clave de KMS, este valor debe ser un ARN. No puede ser una ID de clave.
+ `GranteePrincipal`: el ARN del rol de IAM de su cuenta. Este valor debe ser `arn:aws:iam::111122223333:role/IAMRoleName` el ID de cuenta de la cuenta del propietario del rol y *IAMRoleName* el nombre del rol. *111122223333*
+ `Operations`— La acción de AWS KMS desencriptación (`Decrypt`). Esta es la única AWS KMS acción que el rol de IAM debe poder realizar para descifrar un objeto que está cifrado con la clave KMS.

Si el propietario del rol usa AWS Command Line Interface (AWS CLI), puede ejecutar el comando [create-grant](https://docs.aws.amazon.com/cli/latest/reference/kms/create-grant.html) para crear la concesión. El siguiente ejemplo muestra cómo. El ejemplo está formateado para Microsoft Windows y utiliza el carácter de continuación de línea de intercalación (^) para mejorar la legibilidad.

```
C:\> aws kms create-grant ^
--key-id arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab ^
--grantee-principal arn:aws:iam::111122223333:role/IAMRoleName ^
--operations "Decrypt"
```

Donde:
+ `key-id` especifica el ARN de la clave de KMS a la que se va a aplicar la concesión.
+ `grantee-principal` especifica el ARN del rol de IAM que puede llevar a cabo la acción especificada en la concesión. Este valor debe coincidir con el ARN especificado en la condición `kms:GranteePrincipal` de la política de claves.
+ `operations` especifica la acción que la concesión permite llevar a cabo a la entidad principal especificada: descifrar el texto cifrado que se cifró con la clave.

Si el comando se ejecuta correctamente, verá un resultado similar al siguiente.

```
{
    "GrantToken": "<grant token>",
    "GrantId": "1a2b3c4d2f5e69f440bae30eaec9570bb1fb7358824f9ddfa1aa5a0dab1a59b2"
}
```

Donde `GrantToken` es una cadena única, no secreta, de longitud variable, codificada en base64 que representa la concesión que se creó y `GrantId` es el identificador único de la concesión.

# Configuración de Macie para recuperar muestras de datos confidenciales
<a name="findings-retrieve-sd-configure"></a>

Si lo desea, puede configurar y usar Amazon Macie de manera opcional para recuperar y revelar muestras de datos confidenciales que Macie notifica en resultados individuales. Las muestras pueden ayudarle a verificar la naturaleza de los datos confidenciales que encontró Macie. También pueden ayudarle a personalizar la investigación de un objeto y un bucket de Amazon Simple Storage Service (Amazon S3) afectados. Puede recuperar y revelar muestras de datos confidenciales en todas las Regiones de AWS que Macie está disponible actualmente, excepto las de Asia-Pacífico (Osaka) e Israel (Tel Aviv).

Al recuperar y revelar muestras de datos confidenciales para un resultados, Macie utiliza los datos del correspondiente resultado de la detección de datos confidenciales para localizar las ocurrencias de datos confidenciales en el objeto S3 afectado. A continuación, Macie extrae muestras de esas ocurrencias del objeto afectado. Macie cifra los datos extraídos con una clave AWS Key Management Service (AWS KMS) que usted especifique, almacena temporalmente los datos cifrados en una memoria caché y devuelve los datos de los resultados para su búsqueda. Poco después de la extracción y el cifrado, Macie elimina permanentemente los datos de la memoria caché, a menos que se requiera una retención adicional temporal para resolver un problema operativo.

Para recuperar y revelar muestras de datos confidenciales para los resultados, primero tiene que configurar y habilitar la configuración de su cuenta de Macie. También debe configurar los recursos y permisos de ayuda para su cuenta. Los temas de esta sección le guiarán por el proceso de configuración de Macie para que recupere y revele muestras de datos confidenciales, así como por el proceso de administración del estado de la configuración de su cuenta.

**Topics**
+ [Antes de empezar](#findings-retrieve-sd-configure-prereqs)
+ [Configuración y habilitación de los ajustes de Macie](#findings-retrieve-sd-configure-enable)
+ [Deshabilitación de la configuración de Macie](#findings-retrieve-sd-configure-manage)

**sugerencia**  
Para ver recomendaciones y ejemplos de políticas que puede usar para controlar el acceso a esta funcionalidad, consulte la siguiente entrada de blog en el *AWS Security Blog*: [How to use Amazon Macie to preview sensitive data in S3 buckets](https://aws.amazon.com/blogs/security/how-to-use-amazon-macie-to-preview-sensitive-data-in-s3-buckets/).

## Antes de empezar
<a name="findings-retrieve-sd-configure-prereqs"></a>

Antes de configurar Amazon Macie para que recupere y revele muestras de datos confidenciales de los resultados, complete las siguientes tareas para garantizar que disponga de los permisos y recursos que necesita.

**Topics**
+ [Paso 1: configuración de un repositorio para los resultados de detección de datos confidenciales](#findings-retrieve-sd-configure-sddr)
+ [Paso 2: elección del método de acceso a los objetos de S3 afectados](#findings-retrieve-sd-configure-s3access)
+ [Paso 3: configuración de una AWS KMS key](#findings-retrieve-sd-configure-key)
+ [Paso 4: verificación de los permisos](#findings-retrieve-sd-configure-permissions)

Estas tareas son opcionales si ya ha configurado Macie para que recupere y revele muestras de datos confidenciales y solo desea cambiar los ajustes de configuración.

### Paso 1: configuración de un repositorio para los resultados de detección de datos confidenciales
<a name="findings-retrieve-sd-configure-sddr"></a>

Al recuperar y revelar muestras de datos confidenciales para un resultado, Macie utiliza los datos del correspondiente resultado de la detección de datos confidenciales para localizar las ocurrencias de datos confidenciales en el objeto de S3 afectado. Por lo tanto, es importante verificar que haya configurado un repositorio para los resultados de la detección de datos confidenciales. De lo contrario, Macie no podrá localizar las muestras de datos confidenciales que desee recuperar y revelar.

Para comprobar que haya configurado este repositorio para su cuenta, puede usar la consola de Amazon Macie: elija **Resultados de la detección** (en **Configuración**) en el panel de navegación. Para hacerlo mediante programación, utilice la [GetClassificationExportConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/classification-export-configuration.html)operación de la API Amazon Macie. Para obtener más información sobre los resultados de la detección de datos confidenciales y sobre cómo configurar este repositorio, consulte [Almacenamiento y retención de los resultados de descubrimiento de datos confidenciales](discovery-results-repository-s3.md).

### Paso 2: elección del método de acceso a los objetos de S3 afectados
<a name="findings-retrieve-sd-configure-s3access"></a>

Para acceder a los objetos de S3 afectados y recuperar muestras de datos confidenciales de ellos, tiene dos opciones. Puede configurar Macie para que utilice sus credenciales de usuario AWS Identity and Access Management (IAM). O bien, puede configurar Macie para que asuma un rol de IAM que delegue el acceso a Macie. Puede utilizar cualquier configuración con cualquier tipo de cuenta de Macie: la cuenta de administrador de Macie delegada para una organización, una cuenta de miembro de Macie de una organización o una cuenta de Macie independiente. Antes de configurar los ajustes de Macie, determine qué método de acceso desea utilizar. Para obtener información detallada sobre las opciones y los requisitos de cada método, consulte [Opciones de configuración para recuperar muestras](findings-retrieve-sd-options.md).

Si planea usar un rol de IAM, cree y configure el rol antes de configurar los ajustes en Macie. Asegúrese también de que las políticas de confianza y permisos del rol cumplan con todos los requisitos para que Macie lo asuma. Si su cuenta forma parte de una organización que administra varias cuentas de Macie de forma centralizada, consúltelo antes con su administrador de Macie para determinar si desea configurar el rol de su cuenta y cómo hacerlo.

### Paso 3: Configura un AWS KMS key
<a name="findings-retrieve-sd-configure-key"></a>

Al recuperar y revelar muestras de datos confidenciales para encontrarlas, Macie cifra las muestras con la clave AWS Key Management Service (AWS KMS) que usted especifique. Por lo tanto, debe determinar qué AWS KMS key desea utilizar para cifrar las muestras. La clave puede ser una clave de KMS existente de su propia cuenta o una clave de KMS existente que pertenezca a otra cuenta. Si desea utilizar una clave de otra cuenta, ingrese el nombre de recurso de Amazon (ARN) de la clave. Deberá especificar este ARN cuando configure los ajustes en Macie.

La clave de KMS debe ser una clave de cifrado simétrico administrada por el cliente. También debe ser una clave de una sola región que esté habilitada en la Región de AWS misma cuenta de Macie. La clave de KMS puede estar en un almacén de claves externo. Sin embargo, es posible que la clave sea más lenta y menos fiable que una clave que se gestione íntegramente dentro de AWS KMS. Si la latencia o un problema de disponibilidad impiden a Macie cifrar las muestras de datos confidenciales que desea recuperar y revelar, se produce un error y Macie no devuelve ninguna muestra para el resultado.

Además, la política clave de la clave debe permitir a los responsables correspondientes (funciones de IAM, usuarios de IAM o Cuentas de AWS) realizar las siguientes acciones:
+ `kms:Decrypt`
+ `kms:DescribeKey`
+ `kms:GenerateDataKey`

**importante**  
Para tener una capa de control de acceso adicional, le recomendamos que cree también una clave de KMS dedicada para el cifrado de las muestras de datos confidenciales que se recuperen y que restrinja el uso de la clave únicamente a las entidades principales a las que se les debe permitir recuperar y revelar las muestras de datos confidenciales. Si a un usuario no se le permite llevar a cabo las acciones anteriores con la clave, Macie rechaza su solicitud para recuperar y revelar muestras de datos confidenciales. Macie no devuelve ninguna muestra para el resultado.

Para obtener más información sobre la creación y configuración de claves de KMS, consulte [Create a KMS key](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) en la *Guía para desarrolladores de AWS Key Management Service *. Para obtener información sobre las políticas de claves para administrar el acceso a claves de KMS, consulte [Políticas de claves en AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) en la *Guía para desarrolladores de AWS Key Management Service *.

### Paso 4: verificación de los permisos
<a name="findings-retrieve-sd-configure-permissions"></a>

Antes de configurar los ajustes de Macie, compruebe también que disponga de los permisos que necesita. Para verificar sus permisos, utilice AWS Identity and Access Management (IAM) para revisar las políticas de IAM asociadas a su identidad de IAM. A continuación, compare la información de esas políticas con la siguiente lista de acciones que debe estar autorizado a realizar.

**Amazon Macie**  
En el caso de Macie, compruebe que está autorizado a realizar las siguientes acciones:  
+ `macie2:GetMacieSession`
+ `macie2:UpdateRevealConfiguration`
La primera acción le permite acceder a su cuenta de Macie. La segunda acción le permite cambiar los ajustes de configuración de la cuenta para recuperar y revelar las muestras de datos confidenciales. Esto incluye habilitar y deshabilitar la configuración de su cuenta.  
Si lo desea, compruebe que también está autorizado a realizar la acción `macie2:GetRevealConfiguration`. Esta acción le permite recuperar los ajustes de configuración actuales y el estado actual de la configuración de su cuenta.

**AWS KMS**  
Si planea usar la consola Amazon Macie para introducir los ajustes de configuración, compruebe también que está autorizado a realizar las siguientes AWS Key Management Service (AWS KMS) acciones:  
+ `kms:DescribeKey`
+ `kms:ListAliases`
Estas acciones le permiten recuperar información sobre la AWS KMS keys de su cuenta. A continuación, puede elegir una de estas claves al especificar la configuración.

**IAM**  
Si planea configurar Macie para que asuma un rol de IAM a fin de recuperar y revelar muestras de datos confidenciales, compruebe también que cuenta con autorización para llevar a cabo la siguiente acción de IAM: `iam:PassRole`. Esta acción le permite transferir el rol a Macie, lo que a su vez le permite a Macie asumir el rol. Cuando ingrese los ajustes de configuración de su cuenta, Macie también podrá comprobar que el rol exista en esta y que esté configurado correctamente.

Si no está autorizado a realizar las acciones necesarias, pida ayuda a su AWS administrador.

## Configuración y habilitación de los ajustes de Macie
<a name="findings-retrieve-sd-configure-enable"></a>

Tras comprobar que disponga de los recursos y los permisos que necesita, puede configurar los ajustes en Amazon Macie y habilitar la configuración de su cuenta.

Si su cuenta forma parte de una organización que administra varias cuentas de Macie de forma centralizada, tenga en cuenta lo siguiente antes de configurar o cambiar los ajustes de su cuenta:
+ Si tiene una cuenta de miembro, consúltelo con su administrador de Macie para determinar si desea configurar los ajustes de su cuenta y cómo hacerlo. El administrador de Macie puede brindarle ayuda para determinar los ajustes de configuración correctos para su cuenta.
+ Si tiene una cuenta de administrador de Macie y cambia la configuración de acceso a los objetos de S3 afectados, los cambios podrían afectar a otras cuentas y recursos de su organización. Esto depende de si Macie está configurado actualmente para asumir una función AWS Identity and Access Management (IAM) a fin de recuperar muestras de datos confidenciales. Si es así y vuelve a configurar Macie para que utilice las credenciales de usuario de IAM, Macie eliminará permanentemente la configuración existente del rol de IAM: el nombre del rol y el ID externo de la configuración. Si, posteriormente, su organización decide volver a utilizar los roles de IAM, tendrá que especificar un nuevo ID externo en la política de confianza para el rol en cada cuenta de miembro correspondiente.

Para obtener más información sobre las opciones de configuración y los requisitos para cada tipo de cuenta, consulte [Opciones de configuración para recuperar muestras](findings-retrieve-sd-options.md).

Para configurar los ajustes de Macie y habilitar la configuración de su cuenta, puede utilizar la consola de Amazon Macie o la API de Amazon Macie.

------
#### [ Console ]

Para configurar y habilitar los ajustes mediante la consola de Amazon Macie, siga estos pasos.

**Configuración y habilitación de los ajustes de Macie**

1. Abra la consola Amazon Macie en. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Con el Región de AWS selector situado en la esquina superior derecha de la página, elija la región en la que desee configurar y permita que Macie recupere y muestre muestras de datos confidenciales.

1. En el panel de navegación, en **Configuración**, seleccione **Revelar muestras**.

1. En la sección **Configuración**, elija **Editar**.

1. Para **Estado**, elija **Habilitado**.

1. En **Acceso**, especifique el método de acceso y la configuración que desee utilizar al recuperar muestras de datos confidenciales de los objetos de S3 afectados:
   + Para usar un rol de IAM que delegue el acceso a Macie, elija **Asumir un rol de IAM**. Si eliges esta opción, Macie recupera las muestras asumiendo la función de IAM que creaste y configuraste en tu. Cuenta de AWS En el recuadro **Nombre de función**, ingrese el nombre del rol.
   + Para usar las credenciales del usuario de IAM que solicita las muestras, elija **Usar credenciales de usuario de IAM**. Si elige esta opción, cada usuario de su cuenta utilizará su identidad de IAM individual para recuperar las muestras.

1. En **Cifrado**, especifique lo AWS KMS key que quiere usar para cifrar las muestras de datos confidenciales que se recuperen:
   + Para usar una clave de su propia cuenta, elija **Seleccionar una clave de la cuenta**. Luego, en la lista **AWS KMS key**, seleccione la clave que desea usar. La lista muestra las claves KMS de cifrado simétrico para su cuenta.
   + Para usar una clave de KMS que pertenezca a otra cuenta, seleccione **Ingrese el ARN de una clave de otra cuenta**. A continuación, en el cuadro **ARN de AWS KMS key **, introduzca el nombre de recurso de Amazon (ARN) de la clave de que se debe utilizar, por ejemplo, **arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab**.

1. Cuando termine con la configuración, elija **Guardar**.

Macie prueba la configuración para verificar que sea correcta. Si ha configurado Macie para que asuma un rol de IAM, Macie también comprueba que el rol exista en su cuenta y que las políticas de confianza y permisos estén configuradas correctamente. Si hay algún problema, Macie muestra un mensaje que describe el problema. 

Para solucionar un problema relacionado con AWS KMS key, consulte los requisitos del [tema anterior](#findings-retrieve-sd-configure-key) y especifique una clave KMS que cumpla con los requisitos. Para solucionar un problema relacionado con el rol de IAM, comience por comprobar que haya ingresado el nombre correcto del rol. Si el nombre es correcto, asegúrese de que las políticas del rol cumplan con todos los requisitos para que Macie lo asuma. Para obtener estos detalles, consulte [Configuración de un rol de IAM para obtener acceso a los objetos de S3 afectados](findings-retrieve-sd-options.md#findings-retrieve-sd-options-s3access-role-configuration). Puede guardar y habilitar la configuración cuando solucione los problemas.

**nota**  
Si es el administrador de Macie de una organización y ha configurado Macie para que asuma un rol de IAM, Macie generará y mostrará un identificador externo después de guardar la configuración de su cuenta. Anote este ID. La política de confianza del rol de IAM de cada una de sus cuentas de miembro correspondientes debe especificar este ID. De lo contrario, no podrá recuperar muestras de datos confidenciales de los objetos de S3 de las cuentas.

------
#### [ API ]

Para configurar y habilitar los ajustes mediante programación, utilice el [UpdateRevealConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/reveal-configuration.html)funcionamiento de la API Amazon Macie. En la solicitud, especifique los valores apropiados para los parámetros admitidos:
+ En cuanto a los parámetros `retrievalConfiguration`, especifique el método de acceso y la configuración que quiera utilizar al recuperar muestras de datos confidenciales de los objetos de S3 afectados: 
  + Para asumir un rol de IAM que delegue el acceso a Macie, especifique `ASSUME_ROLE` en el parámetro `retrievalMode` y especifique el nombre del rol para el parámetro `roleName`. Si especifica estos ajustes, Macie recupera las muestras asumiendo la función de IAM que creó y configuró en su cuenta. Cuenta de AWS
  + Para usar las credenciales del usuario de IAM que solicita las muestras, especifique `CALLER_CREDENTIALS` para el parámetro `retrievalMode`. Si especifica esta configuración, cada usuario de su cuenta utilizará su identidad de IAM individual para recuperar las muestras.
**importante**  
Si no especifica valores para estos parámetros, Macie establece el método de acceso (`retrievalMode`) en `CALLER_CREDENTIALS`. Si Macie está configurado actualmente para usar un rol de IAM para recuperar las muestras, Macie también eliminará permanentemente el nombre del rol actual y el ID externo de su configuración. Para conservar estos ajustes para una configuración existente, incluya los parámetros `retrievalConfiguration` en su solicitud y especifique la configuración actual para esos parámetros. Para recuperar la configuración actual, utilice la [GetRevealConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/reveal-configuration.html)operación o, si utiliza AWS Command Line Interface (AWS CLI), ejecute el comando. [get-reveal-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-reveal-configuration.html)
+ Para el `kmsKeyId` parámetro, especifique el parámetro AWS KMS key que desee usar para cifrar las muestras de datos confidenciales que se recuperen:
  + Para usar una clave de KMS de su propia cuenta, especifique el nombre de recurso de Amazon (ARN), ID o alias de la clave. Si especifica un alias, incluya el prefijo de `alias/`, por ejemplo, `alias/ExampleAlias`.
  + Para usar una clave KMS que sea propiedad de otra cuenta, especifique el ARN de la clave, por ejemplo, `arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`. O bien, especifique el ARN del alias de la clave, por ejemplo, `arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias`.
+ Para el parámetro `status`, especifique `ENABLED` si desea habilitar la configuración de su cuenta de Macie.

En su solicitud, asegúrese también de especificar la configuración Región de AWS en la que desea habilitar y usar la configuración.

Para configurar y habilitar los ajustes mediante el AWS CLI, ejecute el [update-reveal-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-reveal-configuration.html)comando y especifique los valores adecuados para los parámetros admitidos. Por ejemplo, si utilizas el AWS CLI en Microsoft Windows, ejecuta el siguiente comando:

```
C:\> aws macie2 update-reveal-configuration ^
--region us-east-1 ^
--configuration={\"kmsKeyId\":\"arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias\",\"status\":\"ENABLED\"} ^
--retrievalConfiguration={\"retrievalMode\":\"ASSUME_ROLE\",\"roleName\":\"MacieRevealRole\"}
```

Donde: 
+ *us-east-1*es la región en la que se debe habilitar y usar la configuración. En este ejemplo, la region Este de EE. UU. (Norte de Virginia)
+ *arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias*es el ARN del alias que se va AWS KMS key a utilizar. En este ejemplo, la clave pertenece a otra cuenta.
+ El estado de la configuración es `ENABLED`.
+ *ASSUME\$1ROLE*es el método de acceso que se va a utilizar. En este ejemplo, asuma el rol de IAM especificado.
+ *MacieRevealRole*es el nombre de la función de IAM que debe asumir Macie al recuperar muestras de datos confidenciales.

En el ejemplo anterior, se utiliza el carácter de continuación de línea de marca de inserción (^) para mejorar la legibilidad.

Al enviar la solicitud, Macie comprueba la configuración. Si ha configurado Macie para que asuma un rol de IAM, Macie también comprueba que el rol exista en su cuenta y que las políticas de confianza y permisos estén configuradas correctamente. Si se produce un problema, la solicitud fallará y Macie devolverá un mensaje que describe el problema. Para solucionar un problema relacionado con AWS KMS key, consulte los requisitos del [tema anterior](#findings-retrieve-sd-configure-key) y especifique una clave KMS que cumpla con los requisitos. Para solucionar un problema relacionado con el rol de IAM, comience por comprobar que haya especificado el nombre correcto del rol. Si el nombre es correcto, asegúrese de que las políticas del rol cumplan con todos los requisitos para que Macie lo asuma. Para obtener estos detalles, consulte [Configuración de un rol de IAM para obtener acceso a los objetos de S3 afectados](findings-retrieve-sd-options.md#findings-retrieve-sd-options-s3access-role-configuration). Después de abordar el problema, envíe la solicitud de nuevo.

Si la solicitud es correcta, Macie habilita la configuración de su cuenta en la región especificada y recibirá un resultado similar al siguiente.

```
{
  "configuration": {
    "kmsKeyId": "arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias",
    "status": "ENABLED"
  },
  "retrievalConfiguration": {
    "externalId": "o2vee30hs31642lexample",
    "retrievalMode": "ASSUME_ROLE",
    "roleName": "MacieRevealRole"
  }
}
```

Donde se `kmsKeyId` especifica la AWS KMS key que se utilizará para cifrar las muestras de datos confidenciales que se recuperen y `status` es el estado de la configuración de su cuenta de Macie. Los valores de `retrievalConfiguration` especifican el método de acceso y la configuración que se utilizarán al recuperar las muestras.

**nota**  
Si es el administrador de Macie de una organización y ha configurado Macie para que asuma un rol de IAM, anote el ID externo (`externalId`) en la respuesta. La política de confianza del rol de IAM de cada una de sus cuentas de miembro correspondientes debe especificar este ID. De lo contrario, no podrá recuperar muestras de datos confidenciales de los objetos de S3 afectados de las cuentas.

Para comprobar posteriormente los ajustes o el estado de la configuración de su cuenta, utilice la [GetRevealConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/reveal-configuration.html)operación o ejecute el AWS CLI[get-reveal-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-reveal-configuration.html)comando.

------

## Deshabilitación de la configuración de Macie
<a name="findings-retrieve-sd-configure-manage"></a>

Puede deshabilitar los ajustes de configuración de su cuenta de Amazon Macie en cualquier momento. Si deshabilita la configuración, Macie conserva la configuración que especifica qué se debe utilizar AWS KMS key para cifrar las muestras de datos confidenciales que se recuperen. Macie elimina permanentemente la configuración de acceso de Amazon S3 de la configuración.

**aviso**  
Al deshabilitar los ajustes de configuración de su cuenta de Macie, también elimina permanentemente la configuración actual que especifica cómo acceder a los objetos de S3 afectados. Si Macie está configurado actualmente para acceder a los objetos afectados asumiendo una función AWS Identity and Access Management (IAM), esto incluye: el nombre de la función y el identificador externo que Macie generó para la configuración. Estas configuraciones no se pueden recuperar después de eliminarlas.

Para deshabilitar los ajustes de configuración de la cuenta de Macie, puede utilizar la consola de Amazon Macie o la API de Amazon Macie.

------
#### [ Console ]

Para deshabilitar los ajustes de configuración de la cuenta mediante la consola de Amazon Macie, siga estos pasos.

**Deshabilitación de la configuración de Macie**

1. Abra la consola Amazon Macie en. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Con el Región de AWS selector situado en la esquina superior derecha de la página, elija la región en la que desee deshabilitar los ajustes de configuración de su cuenta de Macie.

1. En el panel de navegación, en **Configuración**, seleccione **Revelar muestras**.

1. En la sección **Configuración**, elija **Editar**.

1. En **Estado**, elija **Desactivar**.

1. Seleccione **Save**.

------
#### [ API ]

Para deshabilitar los ajustes de configuración mediante programación, utilice el [UpdateRevealConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/reveal-configuration.html)funcionamiento de la API Amazon Macie. En su solicitud, asegúrese de especificar Región de AWS en qué desea deshabilitar la configuración. En el parámetro `status`, especifique `DISABLED`.

Para deshabilitar los ajustes de configuración mediante AWS Command Line Interface (AWS CLI), ejecute el [update-reveal-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-reveal-configuration.html)comando. Utilice el parámetro `region` para especificar la región en la que desea deshabilitar la configuración. En el parámetro `status`, especifique `DISABLED`. Por ejemplo, si utilizas el AWS CLI en Microsoft Windows, ejecuta el siguiente comando:

```
C:\> aws macie2 update-reveal-configuration --region us-east-1 --configuration={\"status\":\"DISABLED\"}
```

Donde: 
+ *us-east-1*es la región en la que se deshabilitará la configuración. En este ejemplo, la region Este de EE. UU. (Norte de Virginia)
+ `DISABLED` es el nuevo estado de la configuración.

Si la solicitud es correcta, Macie deshabilita la configuración de su cuenta en la región especificada y recibirá un resultado similar al siguiente.

```
{
    "configuration": {
        "status": "DISABLED"
    }
}
```

Donde `status` es el nuevo estado de la configuración de su cuenta de Macie.

------

Si Macie se configuró para asumir un rol de IAM a fin de recuperar muestras de datos confidenciales, si lo desea, puede eliminar el rol y la política de permisos de este. Macie no elimina estos recursos cuando deshabilita los ajustes de configuración de su cuenta. Además, Macie no utiliza estos recursos para llevar a cabo ninguna otra tarea en su cuenta. Para eliminar el rol y su política de permisos, puede utilizar la consola de IAM o la API de IAM. Para obtener más información, consulte [Eliminación de roles](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) en la *Guía del usuario de AWS Identity and Access Management *.

# Recuperación y revelación de muestras de datos confidenciales de un resultado de Macie
<a name="findings-retrieve-sd-proc"></a>

Con Amazon Macie puede recuperar y revelar muestras de datos confidenciales que Macie notifica en resultados de datos confidenciales individuales. Esto incluye los datos confidenciales que Macie detecta mediante [identificadores de datos administrados](managed-data-identifiers.md) y los datos que cumplen los criterios de [identificadores de datos personalizados](custom-data-identifiers.md). Las muestras pueden ayudarle a verificar la naturaleza de los datos confidenciales que encontró Macie. También pueden ayudarle a personalizar la investigación de un objeto y un bucket de Amazon Simple Storage Service (Amazon S3) afectados. Puede recuperar y revelar muestras de datos confidenciales en todos los Regiones de AWS lugares donde Macie está disponible actualmente, excepto en las regiones de Asia Pacífico (Osaka) e Israel (Tel Aviv).

Al recuperar y revelar muestras de datos confidenciales para un resultado, Macie utiliza los datos del [resultado correspondiente de la detección de datos confidenciales](discovery-results-repository-s3.md) para localizar las primeras 1 a 10 ocurrencias de datos confidenciales notificadas por el resultado. A continuación, Macie extrae los primeros 1 a 128 caracteres de cada ocurrencia del objeto de S3 afectado. Si el resultado indica varios tipos de datos confidenciales, Macie lo hace para un máximo de 100 tipos de datos confidenciales notificados por el resultado. 

Cuando Macie extrae datos confidenciales de un objeto S3 afectado, los cifra con la clave AWS Key Management Service (AWS KMS) que usted especifique, almacena temporalmente los datos cifrados en una memoria caché y devuelve los datos a los resultados para su localización. Poco después de la extracción y el cifrado, Macie elimina permanentemente los datos de la memoria caché, a menos que se requiera una retención adicional temporal para resolver un problema operativo.

Si decide recuperar y mostrar muestras de datos confidenciales para volver a encontrarlas, Macie repite el proceso de localización, extracción, cifrado, almacenamiento y, en última instancia, eliminación de las muestras.

Para ver una demostración de cómo puede recuperar y revelar muestras de datos confidenciales mediante la consola de Amazon Macie, vea el siguiente vídeo:




**Topics**
+ [Antes de empezar](#findings-retrieve-sd-proc-prereqs)
+ [Determinación de si hay muestras disponibles de un resultado](#findings-retrieve-sd-proc-criteria)
+ [Recuperación de muestras de un resultado](#findings-retrieve-sd-proc-steps)

## Antes de empezar
<a name="findings-retrieve-sd-proc-prereqs"></a>

Para recuperar y revelar muestras de datos confidenciales de los resultados, antes tiene que [configurar y activar los ajustes de su cuenta de Amazon Macie](findings-retrieve-sd-configure.md). También debe trabajar con su AWS administrador para comprobar que dispone de los permisos y los recursos que necesita.

Al recuperar y revelar muestras de datos confidenciales de un resultado, Macie lleva a cabo una serie de tareas para localizar, recuperar, cifrar y revelar las muestras. Macie no utiliza el [rol vinculado al servicio de Macie](service-linked-roles.md) en su cuenta para realizar estas tareas. En su lugar, utiliza su identidad AWS Identity and Access Management (de IAM) o permite que Macie asuma una función de IAM en su cuenta.

Para recuperar y revelar muestras de datos confidenciales para realizar un hallazgo, debe tener acceso al hallazgo, al resultado correspondiente de la detección de datos confidenciales y al material que ha configurado a Macie para AWS KMS key que lo utilice para cifrar las muestras de datos confidenciales. Además, usted o el rol de IAM deben tener permiso para acceder al bucket de S3 y al objeto de S3 afectados. Usted o el rol también deben poder usar el AWS KMS key que se utilizó para cifrar el objeto afectado, si corresponde. Si alguna política de IAM, política de recursos u otra configuración de permisos le deniega el acceso necesario, se produce un error y Macie no devuelve ninguna muestra para el resultado.

También debe tener permiso para realizar las siguientes acciones de Macie:
+ `macie2:GetMacieSession`
+ `macie2:GetFindings`
+ `macie2:ListFindings`
+ `macie2:GetSensitiveDataOccurrences`

Las tres primeras acciones le permiten acceder a su cuenta de Macie y recuperar los detalles de los resultados. La última acción le permite recuperar y revelar muestras de datos confidenciales de los resultados.

Para utilizar la consola de Amazon Macie a fin de recuperar y revelar muestras de datos confidenciales, también debe poder llevar a cabo la siguiente acción: `macie2:GetSensitiveDataOccurrencesAvailability`. Esta acción le permite determinar si hay muestras disponibles para cada resultado individual. No necesita permiso para realizar esta acción para recuperar y mostrar muestras mediante programación. Sin embargo, tener este permiso puede agilizar la recuperación de muestras.

Si es el administrador delegado de Macie en una organización y ha configurado Macie para que asuma un rol de IAM a fin de recuperar muestras de datos confidenciales, también debe poder llevar a cabo la siguiente acción: `macie2:GetMember`. Esta acción le permite recuperar información sobre la asociación entre su cuenta y la cuenta afectada. Permite a Macie comprobar que usted es actualmente el administrador de Macie de la cuenta afectada.

Si no se le permite realizar las acciones necesarias ni acceder a los datos y recursos necesarios, solicite ayuda a su AWS administrador.

## Determinación de si hay muestras de datos confidenciales disponibles de un resultado
<a name="findings-retrieve-sd-proc-criteria"></a>

Para recuperar y revelar muestras de datos confidenciales para un resultado, el resultado debe cumplir ciertos criterios. Debe incluir datos de ubicación para ocurrencias específicas de datos confidenciales. Además, debe especificar la ubicación de un resultado de detección de datos confidenciales válido y correspondiente. El resultado del descubrimiento de datos confidenciales debe almacenarse en el mismo lugar que Región de AWS el hallazgo. Si configuró Amazon Macie para acceder a los objetos S3 afectados asumiendo una función AWS Identity and Access Management (IAM), el resultado del descubrimiento de datos confidenciales también debe almacenarse en un objeto S3 que Macie haya firmado con un código de autenticación de mensajes (HMAC) basado en Hash. AWS KMS key<a name="findings-retrieve-sd-criteria-mimetype"></a>

El objeto de S3 afectado también debe cumplir ciertos criterios. El tipo de MIME del objeto debe ser uno de los siguientes:
+ *application/avro*, para un contenedor de objetos Apache Avro (.avro)
+ *application/gzip*, para un archivo comprimido GNU Zip (.gz or .gzip)
+ *application/json*, para un archivo JSON o líneas JSON (.json o .jsonl)
+ *application/parquet*, para un archivo Apache Parquet (.parquet)
+ *application/vnd.openxmlformats-officedocument.spreadsheetml.sheet*, para un archivo de libro de Microsoft Excel (.xlsx)
+ *application/zip*, para un archivo comprimido ZIP (.zip)
+ *text/csv*, para un archivo CSV (.csv)
+ *text/plain*, para un archivo de texto no binario que no sea CSV, JSON, JSON Lines o TSV
+ *text/tab-separated-values*, para un archivo TSV (.tsv)

Además, el contenido del objeto de S3 debe ser el mismo que cuando se creó el resultado. Macie comprueba la etiqueta de entidad del objeto (ETag) para determinar si coincide con la especificada en el hallazgo. ETag Además, el tamaño de almacenamiento del objeto no puede superar la cuota de tamaño aplicable para recuperar y revelar muestras de datos confidenciales. Para obtener una lista de las cuotas aplicables, consulte [Cuotas para Macie](macie-quotas.md).

Si un resultado y el objeto de S3 afectado cumplen los criterios anteriores, hay disponibles muestras de datos confidenciales para el resultado. Si lo desea, puede determinar si este es el caso de un resultado concreto antes de intentar recuperar y revelar muestras para él.

**Determinación de si hay muestras de datos confidenciales disponibles para un resultado**  
Puede utilizar la consola de Amazon Macie o la API de Amazon Macie para determinar si hay muestras de datos confidenciales disponibles para un resultado.

------
#### [ Console ]

Siga estos pasos en la consola de Amazon Macie para determinar si hay muestras de datos confidenciales disponibles para un resultado.

**Determinar si hay muestras disponibles para un resultado**

1. Abra la consola Amazon Macie en. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. En el panel de navegación, seleccione **Resultados**.

1. En la página **Resultados**, elija el resultado. El panel de detalles muestra información sobre el resultado.

1. En el panel de detalles, desplácese hasta la sección **Datos confidenciales**. A continuación, consulte el campo **Revelar muestras**.

   Si hay muestras de datos confidenciales disponibles para el resultado, aparece un enlace **Revisar** en el campo, como se muestra en la siguiente imagen.  
![\[El campo Revelar muestras del panel de detalles del resultado. El campo contiene un enlace denominado Revisar.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/scrn-findings-reveal-samples.png)

   Si las muestras de datos confidenciales no están disponibles para el resultado, el campo **Revelar muestras** muestra un texto que indica el motivo:
   + **La cuenta no está en la organización**: no se le permite acceder al objeto de S3 afectado mediante Macie. La cuenta afectada no forma parte de la organización en estos momentos. O bien, la cuenta forma parte de la organización, pero Macie no está habilitado para la cuenta en la Región de AWS actual.
   + **Resultado de clasificación no válido**: no hay un resultado de detección de datos confidenciales para el resultado. O bien, el resultado de la detección de datos confidenciales correspondiente no está disponible en la Región de AWS actual, tiene un formato incorrecto o está dañado, o utiliza un formato de almacenamiento no compatible. Macie no puede verificar la ubicación de los datos confidenciales que desea recuperar.
   + **Firma de resultado no válida**: el resultado de la detección de datos confidenciales correspondiente se almacena en un objeto de S3 que Macie no firmó. Macie no puede verificar la integridad y autenticidad del resultado de la detección de datos confidenciales. Por lo tanto, Macie no puede verificar la ubicación de los datos confidenciales que desea recuperar.
   + **Rol de miembro demasiado permisivo**: la política de confianza o permisos del rol de IAM en la cuenta de miembro afectada no cumple con los requisitos de Macie para restringir el acceso al rol. O bien, la política de confianza del rol no especifica el ID externo correcto para su organización. Macie no puede asumir el rol para recuperar los datos confidenciales.
   + **Falta el GetMember permiso**: no está autorizado a recuperar información sobre la asociación entre su cuenta y la cuenta afectada. Macie no puede determinar si tiene permiso para acceder al objeto de S3 afectado como administrador delegado de Macie de la cuenta afectada.
   + **El objeto supera la cuota de tamaño**: el tamaño de almacenamiento del objeto de S3 afectado supera la cuota de tamaño necesaria para recuperar y revelar muestras de datos confidenciales de ese tipo de archivo.
   + **Objeto no disponible**: el objeto de S3 afectado no está disponible. Se cambió el nombre del objeto, se movió o se eliminó, o su contenido cambió después de que Macie creara el resultado. O el objeto está cifrado con una AWS KMS key que no está disponible. Por ejemplo, la clave está deshabilitada, se ha programado su eliminación o se ha eliminado.
   + **Resultado no firmado**: el resultado de la detección de datos confidenciales correspondiente se almacena en un objeto de S3 que no se ha firmado. Macie no puede verificar la integridad y autenticidad del resultado de la detección de datos confidenciales. Por lo tanto, Macie no puede verificar la ubicación de los datos confidenciales que desea recuperar.
   + **Rol demasiado permisivo**: la cuenta está configurada para recuperar instancias de datos confidenciales mediante un rol de IAM cuya política de confianza o permisos no cumple con los requisitos de Macie para restringir el acceso a ese rol. Macie no puede asumir el rol para recuperar los datos confidenciales.
   + **Tipo de objeto no admitido**: el objeto de S3 afectado utiliza un formato de archivo o almacenamiento que Macie no admite para recuperar y revelar muestras de datos confidenciales. El tipo MIME del objeto de S3 afectado no es uno de los valores de la [lista anterior](#findings-retrieve-sd-criteria-mimetype).

   Si hay algún problema con el resultado de la detección de datos confidenciales, la información del campo **Ubicación detallada de los resultados** del resultado puede ser de ayuda para investigar el problema. Este campo especifica la ruta original al resultado en Amazon S3. Para investigar un problema relacionado con un rol de IAM, asegúrese de que las políticas del rol cumplan todos los requisitos para que Macie asuma ese rol. Para obtener estos detalles, consulte [Configuración de un rol de IAM para obtener acceso a los objetos de S3 afectados](findings-retrieve-sd-options.md#findings-retrieve-sd-options-s3access-role-configuration).

------
#### [ API ]

Para determinar mediante programación si hay muestras de datos confidenciales disponibles para realizar una búsqueda, utilice el [GetSensitiveDataOccurrencesAvailability](https://docs.aws.amazon.com/macie/latest/APIReference/findings-findingid-reveal-availability.html)funcionamiento de la API Amazon Macie. Cuando envíe su solicitud, utilice el parámetro `findingId` para especificar el identificador único del resultado. Para obtener este identificador, puede utilizar la operación. [ListFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings.html)

Si utiliza AWS Command Line Interface (AWS CLI), ejecute el comando [get-sensitive-data-occurrences-availability](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitive-data-occurrences-availability.html) y utilice el `finding-id` parámetro para especificar el identificador único de la búsqueda. Para obtener este identificador, puede ejecutar el comando [list-findings](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-findings.html).

Si su solicitud es correcta y hay muestras disponibles para la búsqueda, verá un resultado similar al siguiente:

```
{
    "code": "AVAILABLE",
    "reasons": []
}
```

Si la solicitud es correcta y no hay muestras disponibles para el resultado, el valor del campo `code` campo es `UNAVAILABLE` y la matriz `reasons` especificará el motivo. Por ejemplo:

```
{
    "code": "UNAVAILABLE",
    "reasons": [
        "UNSUPPORTED_OBJECT_TYPE"
    ]
}
```

Si hay algún problema con el resultado de la detección de datos confidenciales, la información del campo `classificationDetails.detailedResultsLocation` del resultado puede ser de ayuda para investigar el problema. Este campo especifica la ruta original al resultado en Amazon S3. Para investigar un problema relacionado con un rol de IAM, asegúrese de que las políticas del rol cumplan todos los requisitos para que Macie asuma ese rol. Para obtener estos detalles, consulte [Configuración de un rol de IAM para obtener acceso a los objetos de S3 afectados](findings-retrieve-sd-options.md#findings-retrieve-sd-options-s3access-role-configuration).

------

## Recuperación y revelación de muestras de datos confidenciales de un resultado
<a name="findings-retrieve-sd-proc-steps"></a>

Para recuperar y revelar muestras de datos confidenciales para un resultado, puede utilizar la consola de Amazon Macie o la API de Amazon Macie.

------
#### [ Console ]

Siga estos pasos para recuperar y revelar muestras de datos confidenciales para un resultado mediante la consola Amazon Macie.

**Recuperación y revelación de muestras de datos confidenciales para un resultado**

1. Abra la consola Amazon Macie en. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. En el panel de navegación, seleccione **Resultados**.

1. En la página **Resultados**, elija el resultado. El panel de detalles muestra información sobre el resultado.

1. En el panel de detalles, desplácese hasta la sección **Datos confidenciales**. A continuación, en el campo **Revelar muestras**, seleccione **Revisar**:  
![\[El campo Revelar muestras del panel de detalles del resultado. El campo contiene un enlace denominado Revisar.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/scrn-findings-reveal-samples.png)
**nota**  
Si el enlace **Revisar** no aparece en el campo **Revelar muestras**, las muestras de datos confidenciales no estarán disponibles para el resultado. Para determinar por qué es así, consulte el [tema anterior](#findings-retrieve-sd-proc-criteria).

   Tras seleccionar **Revisar**, Macie mostrará una página en la que se resumen los detalles clave del resultado. Los detalles incluyen las categorías, los tipos y el número de ocurrencias de datos confidenciales que Macie encontró en el objeto S3 afectado.

1. En la sección **Datos confidenciales** de la página, seleccione **Revelar muestras**. Macie recupera y revela muestras de las primeras instancias (10 como máximo) de datos confidenciales registradas por el resultado. Cada muestra contiene los primeros 1 a 128 caracteres de una ocurrencia de datos confidenciales. Puede tardar varios minutos en recuperar y revelar las muestras.

   Si el resultado indica varios tipos de datos confidenciales, Macie lo hace para un máximo de 100 tipos. Por ejemplo, la siguiente imagen muestra ejemplos que abarcan varias categorías y tipos de datos confidenciales:AWS credenciales, números de teléfono de EE. UU. y nombres de personas.  
![\[La tabla de muestras. En ella aparecen nueve muestras y la categoría y el tipo de datos confidenciales de cada muestra.\]](http://docs.aws.amazon.com/es_es/macie/latest/user/images/scrn-findings-sd-samples.png)

   Las muestras se organizan primero por categoría de datos confidenciales y, después, por tipo de información confidencial.

------
#### [ API ]

Para recuperar y revelar muestras de datos confidenciales para encontrarlos mediante programación, utilice la [GetSensitiveDataOccurrences](https://docs.aws.amazon.com/macie/latest/APIReference/findings-findingid-reveal.html)operación de la API Amazon Macie. Cuando envíe su solicitud, utilice el parámetro `findingId` para especificar el identificador único del resultado. Para obtener este identificador, puede utilizar la operación. [ListFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings.html)

Para recuperar y revelar muestras de datos confidenciales mediante AWS Command Line Interface (AWS CLI), ejecute el [get-sensitive-data-occurrences](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitive-data-occurrences.html)comando y utilice el `finding-id` parámetro para especificar el identificador único del hallazgo. Por ejemplo:

```
C:\> aws macie2 get-sensitive-data-occurrences --finding-id "1f1c2d74db5d8caa76859ec52example"
```

Dónde *1f1c2d74db5d8caa76859ec52example* está el identificador único del hallazgo. Para obtener este identificador mediante el AWS CLI, puede ejecutar el comando [list-findings](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-findings.html).

Si su solicitud es correcta, Macie empezará a procesarla y verá un resultado similar al siguiente:

```
{
    "status": "PROCESSING"
}
```

Puede tardar varios minutos en crear su plantilla. Espere unos minutos y después envíe la solicitud de nuevo.

Si Macie puede localizar, recuperar y cifrar las muestras de datos confidenciales, Macie las devuelve en un mapa de `sensitiveDataOccurrences`. El mapa especifica de 1 a 100 tipos de datos confidenciales reportados por el resultado y, para cada tipo, de 1 a 10 muestras. Cada muestra contiene los primeros 1 a 128 caracteres de una ocurrencia de datos confidenciales notificados por el resultado.

En el mapa, cada clave es el ID del identificador de datos administrados que detectó los datos confidenciales o el nombre y el identificador único del identificador de datos personalizado que detectó los datos confidenciales. Los valores son muestras del identificador de datos administrados o del identificador de datos personalizado especificado. Por ejemplo, la siguiente respuesta proporciona tres ejemplos de nombres de personas y dos ejemplos de claves de acceso AWS secretas detectadas por los identificadores de datos gestionados (`NAME`y`AWS_CREDENTIALS`, respectivamente).

```
{
    "sensitiveDataOccurrences": {
        "NAME": [
            {
                "value": "Akua Mansa"
            },
            {
                "value": "John Doe"
            },
            {
                "value": "Martha Rivera"
            }
        ],
        "AWS_CREDENTIALS": [
            {
                "value": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY"
            },
            {
                "value": "je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY"
            }
        ]
    },
    "status": "SUCCESS"
}
```

Si la solicitud es válida, pero no hay muestras de datos confidenciales disponibles para el resultado, recibirá un mensaje `UnprocessableEntityException` en el que se le indicará por qué las muestras no están disponibles. Por ejemplo:

```
{
    "message": "An error occurred (UnprocessableEntityException) when calling the GetSensitiveDataOccurrences operation: OBJECT_UNAVAILABLE"
}
```

En el ejemplo anterior, Macie intentó recuperar muestras del objeto de S3 afectado, pero el objeto ya no está disponible. El contenido del objeto cambió después de que Macie creara el resultado.

Si la solicitud es correcta, pero otro tipo de error ha impedido que Macie recupere y muestre muestras de datos confidenciales para el resultado, recibirá un resultado similar al siguiente:

```
{
    "error": "Macie can't retrieve the samples. You're not allowed to access the affected S3 object or the object is encrypted with a key that you're not allowed to use.",
    "status": "ERROR"
}
```

El valor del campo `status` es `ERROR` y el campo `error` describe el error que se ha producido. La información del [tema anterior](#findings-retrieve-sd-proc-criteria) puede ser de ayuda para solucionar el error.

------

# Esquema para informar de la ubicación de los datos confidenciales
<a name="findings-locate-sd-schema"></a>

Amazon Macie utiliza estructuras JSON estandarizadas para almacenar información sobre los lugares en los que encuentra datos confidenciales de los objetos de Amazon Simple Storage Service (Amazon S3). Las estructuras se utilizan para hallar datos confidenciales y para los resultados de la detección de datos confidenciales. En el caso de los resultados de datos confidenciales, las estructuras forman parte del esquema JSON para los resultados. Si desea revisar el esquema JSON completo para ver los resultados, consulte [resultados](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html) en la *Referencia de la API de Amazon Macie.* Para obtener más información sobre los resultados de la detección de datos confidenciales, consulte [Almacenamiento y retención de los resultados de descubrimiento de datos confidenciales](discovery-results-repository-s3.md).

**Topics**
+ [Descripción general del esquema](#findings-locate-sd-schema-overview)
+ [Detalles y ejemplos del esquema](#findings-locate-sd-schema-examples)

## Descripción general del esquema
<a name="findings-locate-sd-schema-overview"></a>

Para informar de la ubicación de los datos confidenciales que Amazon Macie ha encontrado en un objeto S3 afectado, el esquema JSON del resultado de datos confidenciales y los resultados de la detección de datos confidenciales incluye un objeto `customDataIdentifiers` y `sensitiveData`. El objeto `customDataIdentifiers` proporciona detalles sobre los datos que Macie ha detectado mediante [identificadores de datos personalizados](custom-data-identifiers.md). El objeto `sensitiveData` proporciona detalles sobre los datos que Macie ha detectado mediante [identificadores de datos gestionados](managed-data-identifiers.md).

Cada objeto `customDataIdentifiers` y `sensitiveData` contiene una o más matrices de `detections`:
+ En un objeto `customDataIdentifiers`, la matriz de `detections` indica qué identificadores de datos personalizados han detectado los datos y producido el resultado. La matriz también indica el número de apariciones de los datos que ha detectado cada identificador de datos personalizado. También puede indicar la ubicación de los datos que ha detectado el identificador.
+ En un objeto `sensitiveData`, la matriz de `detections` indica los tipos de datos confidenciales que Macie ha detectado mediante identificadores de datos gestionados. Para cada tipo de datos confidenciales, la matriz también indica el número de apariciones de los datos y puede especificar su ubicación.

Para el resultado de datos confidenciales, una matriz de `detections` puede incluir de 1 a 15 objetos `occurrences`. Cada objeto `occurrences` especifica la ubicación en la que Macie ha detectado las apariciones individuales de un tipo específico de datos confidenciales.

Por ejemplo, la siguiente matriz de `detections` indica la ubicación de tres apariciones de datos confidenciales (números de la Seguridad Social de EE. UU.) que Macie encontró en un archivo CSV.

```
"sensitiveData": [
     {
       "category": "PERSONAL_INFORMATION",
       "detections": [
          {
             "count": 30,
             "occurrences": {
                "cells": [
                   {
                      "cellReference": null,
                      "column": 1,
                      "columnName": "SSN",
                      "row": 2
                   },
                   {
                      "cellReference": null,
                      "column": 1,
                      "columnName": "SSN",
                      "row": 3
                   },
                   {
                      "cellReference": null,
                      "column": 1,
                      "columnName": "SSN",
                      "row": 4
                   }
                ]
             },
             "type": "USA_SOCIAL_SECURITY_NUMBER"
           }
```

La ubicación y el número de objetos `occurrences` de una matriz de `detections` varían en función de las categorías, los tipos y el número de apariciones de datos confidenciales que Macie detecte durante un ciclo de análisis automatizado de detección de datos confidenciales o durante la ejecución de un trabajo de detección de datos confidenciales. Para cada ciclo de análisis o ejecución del trabajo, Macie utiliza un algoritmo de *búsqueda en profundidad* para rellenar los resultados resultantes con datos de la ubicación que correspondan a las apariciones de la 1 a la 15 de datos confidenciales que Macie detecta en los objetos de S3. Estas ocurrencias indican las categorías y los tipos de datos confidenciales que pueden contener un bucket y un objeto de S3 afectados.

Un objeto `occurrences` puede contener cualquiera de las siguientes estructuras, según el tipo de archivo o el formato de almacenamiento del objeto de S3 afectado:
+ Matriz de `cells`: esta matriz se aplica a los libros de trabajo, archivos CSV y archivos TSV de Microsoft Excel. El objeto de esta matriz especifica una celda o un campo en el que Macie detectó una aparición de datos confidenciales. 
+ Matriz de `lineRanges`: esta matriz se aplica a los archivos de mensajes de correo electrónico (EML) y a los archivos de texto no binarios distintos de los archivos CSV, JSON, JSON Lines y TSV, por ejemplo, los archivos HTML, TXT y XML. Un objeto de esta matriz especifica una línea o un rango inclusivo de líneas en el que Macie ha detectado la presencia de datos confidenciales y la posición de los datos en la línea o líneas especificadas.

  En algunos casos, el objeto de una matriz de `lineRanges` especifica la ubicación de una detección de datos confidenciales en un tipo de archivo o formato de almacenamiento compatible con otro tipo de matriz. Estos casos son: detección en una sección no estructurada de un archivo estructurado de otro modo, como un comentario en un archivo; detección en un archivo con formato incorrecto que Macie analiza como texto sin formato; y un archivo CSV o TSV que tiene uno o más nombres de columna en los que Macie detectó datos confidenciales.
+ Matriz de `offsetRanges`: esto se reserva para un uso ulterior. Si esta matriz está presente, su valor es nulo.
+ Matriz de `pages`: esta matriz se aplica a los archivos en formato de documento portátil (PDF) de Adobe. El objeto de esta matriz especifica una página en la que Macie detectó una aparición de datos confidenciales.
+ Matriz de `records`: esta matriz se aplica a los contenedores de objetos Apache Avro, a los archivos Apache Parquet, a los archivos JSON y a los archivos JSON Lines. En el caso de los contenedores de objetos Avro y los archivos Parquet, el objeto de esta matriz especifica un índice de registros y la ruta al campo de un registro en el que Macie ha detectado la presencia de datos confidenciales. En el caso de los archivos JSON y JSON Lines, el objeto de esta matriz especifica la ruta al campo o a la matriz en los que Macie ha detectado la presencia de datos confidenciales. En el caso de los archivos JSON Lines, también especifica el índice de la línea que contiene los datos.

El contenido de estas matrices varía en función del tipo de archivo o formato de almacenamiento del objeto de S3 afectado y de su contenido.

## Detalles y ejemplos del esquema
<a name="findings-locate-sd-schema-examples"></a>

Amazon Macie personaliza el contenido de las estructuras JSON que utiliza para indicar dónde detectó datos confidenciales en tipos específicos de archivos y contenido. En los siguientes temas se explican estas estructuras y se proporcionan ejemplos de ellas.

**Topics**
+ [Matriz de celdas](#findings-locate-sd-schema-examples-cell)
+ [LineRanges matriz](#findings-locate-sd-schema-examples-linerange)
+ [Matriz de páginas](#findings-locate-sd-schema-examples-page)
+ [Matriz de registros](#findings-locate-sd-schema-examples-record)

Para obtener una lista completa de las estructuras de JSON que se pueden incluir en un resultado de datos confidenciales, consulte [resultados](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html) en la *Referencia de la API de Amazon Macie*.

### Matriz de celdas
<a name="findings-locate-sd-schema-examples-cell"></a>

**Se aplica a:** libros de trabajo de Microsoft Excel, archivos CSV y archivos TSV

El objeto `cells` de una matriz de `Cell` especifica una celda o un campo en el que Macie detectó una aparición de datos confidenciales. En la siguiente tabla se describe el propósito de cada campo del objeto `Cell`.


| Campo | Tipo | Description (Descripción) | 
| --- | --- | --- | 
| cellReference | Cadena | La ubicación de la celda, como referencia completa de la celda, que contiene la ocurrencia. Este campo se aplica únicamente a los libros de Excel. Este valor es nulo para los archivos CSV y TSV. | 
| column | Entero | El número de la columna que contiene la ocurrencia. En un libro de Excel, este valor se correlaciona con los caracteres alfabéticos del identificador de una columna, por ejemplo, 1 para la columna A, 2 para la columna B, etc. | 
| columnName | Cadena | El nombre de la columna que contiene la ocurrencia, si está disponible. | 
| row | Entero | El número de la fila que contiene la ocurrencia. | 

El siguiente ejemplo muestra la estructura de un objeto `Cell` que especifica la ubicación de una ocurrencia de datos confidenciales que Macie detectó en un archivo CSV.

```
"cells": [
   {
      "cellReference": null,
      "column": 3,
      "columnName": "SSN",
      "row": 5
   }
]
```

En el ejemplo anterior, el resultado indica que Macie detectó datos confidenciales en el campo de la quinta fila de la tercera columna (denominada *SSN*) del archivo.

El siguiente ejemplo muestra la estructura de un objeto `Cell` que especifica la ubicación de una ocurrencia de datos confidenciales que Macie detectó en un libro de trabajo de Excel.

```
"cells": [
   {
      "cellReference": "Sheet2!C5",
      "column": 3,
      "columnName": "SSN",
      "row": 5
   }
]
```

En el ejemplo anterior, el resultado indica que Macie detectó datos confidenciales en la hoja de trabajo denominada *Sheet2* del libro de trabajo. *En esa hoja de trabajo, Macie detectó datos confidenciales en la celda de la quinta fila de la tercera columna (columna C, denominada SSN).*

### LineRanges matriz
<a name="findings-locate-sd-schema-examples-linerange"></a>

**Se aplica a:** los archivos de mensajes de correo electrónico (EML) y a los archivos de texto no binarios distintos de los archivos CSV, JSON, JSON Lines y TSV, por ejemplo, los archivos HTML, TXT y XML

Un objeto de `lineRanges` de esta matriz `Range` especifica una línea o un rango inclusivo de líneas en el que Macie ha detectado la presencia de datos confidenciales y la posición de los datos en la línea o líneas especificadas.

Este objeto suele estar vacío en los tipos de archivos que son compatibles con otros tipos de matrices en objetos `occurrences`. Las excepciones son:
+ Datos en secciones no estructuradas de un archivo estructurado de otro modo, como el comentario de un archivo.
+ Datos de un archivo con formato incorrecto que Macie analiza como texto sin formato.
+ Un archivo CSV o TSV que tiene uno o más nombres de columna en los que Macie detectó datos confidenciales.

En la siguiente tabla se describe el propósito de cada campo del objeto `Range` de una matriz de `lineRanges`.


| Campo | Tipo | Description (Descripción) | 
| --- | --- | --- | 
| end | Entero | El número de líneas desde el principio del archivo hasta el final de la ocurrencia. | 
| start | Entero | El número de líneas desde el principio del archivo hasta el principio de la ocurrencia. | 
| startColumn | Entero | El número de caracteres, con espacios y empezando por 1, desde el principio de la primera línea que contiene la ocurrencia (start) hasta el principio de la misma. | 

El siguiente ejemplo muestra la estructura de un objeto `Range` que especifica la ubicación de una ocurrencia de datos confidenciales que Macie detectó en una única línea de un archivo TXT.

```
"lineRanges": [
   {
      "end": 1,
      "start": 1,
      "startColumn": 119
   }
]
```

En el ejemplo anterior, el resultado indica que Macie detectó una ocurrencia completa de datos confidenciales (una dirección postal) en la primera línea del archivo. El primer carácter de la aparición está a 119 caracteres (con espacios) del principio de esa línea.

El siguiente ejemplo muestra la estructura de un objeto `Range` que especifica la ubicación de una ocurrencia de datos confidenciales que abarca varias líneas de un archivo TXT.

```
"lineRanges": [
   {
      "end": 54,
      "start": 51,
      "startColumn": 1
   }
]
```

En el ejemplo anterior, el resultado indica que Macie detectó una ocurrencia de datos confidenciales (una dirección de correo) que abarca de la línea 51 a la 54 del archivo. El primer carácter de la ocurrencia es el primer carácter de la línea 51 del archivo.

### Matriz de páginas
<a name="findings-locate-sd-schema-examples-page"></a>

**Se aplica a:** archivos en formato de documento portátil (PDF) de Adobe

El objeto `pages` de una matriz de `Page` especifica una página en la que Macie detectó una aparición de datos confidenciales. El objeto contiene un campo de `pageNumber`. El campo de `pageNumber` almacena un número entero que especifica el número de la página que contiene la ocurrencia.

El siguiente ejemplo muestra la estructura de un objeto `Page` que especifica la ubicación de una ocurrencia de datos confidenciales que Macie detectó en un archivo PDF.

```
"pages": [
   {
      "pageNumber": 10
   }
]
```

En el ejemplo anterior, el resultado indica que la página 10 del archivo contiene la ocurrencia.

### Matriz de registros
<a name="findings-locate-sd-schema-examples-record"></a>

**Se aplica a:** contenedores de objetos Apache Avro, a los archivos Apache Parquet, a los archivos JSON y a los archivos JSON Lines

En el caso de un contenedor de objetos Avro o un archivo Parquet, el objeto `Record` de esta matriz de `records` especifica un índice de registros y la ruta al campo de un registro en el que Macie ha detectado la presencia de datos confidenciales. En el caso de los archivos JSON y JSON Lines,un objeto `Record` especifica la ruta al campo o a la matriz en los que Macie ha detectado la presencia de datos confidenciales. En el caso de los archivos JSON Lines, también especifica el índice de la línea que contiene la ocurrencia.

En la siguiente tabla se describe el propósito de cada campo del objeto `Record`.


| Campo | Tipo | Description (Descripción) | 
| --- | --- | --- | 
| jsonPath | Cadena |  La ruta, como JSONPath expresión, a la aparición. En el caso de un contenedor de objetos Avro o un archivo Parquet, esta es la ruta al campo del registro (`recordIndex`) que contiene la ocurrencia. En el caso de un archivo JSON o JSON Lines, esta es la ruta al campo o matriz que contiene la ocurrencia. Si los datos son el valor de una matriz, la ruta también indica qué valor contiene la ocurrencia. Si Macie detecta datos confidenciales en el nombre de cualquier elemento de la ruta, omite el campo `jsonPath` de un objeto `Record`. Si el nombre de un elemento de la ruta supera los 240 caracteres, Macie lo trunca quitando los caracteres del principio del nombre. Si la ruta completa resultante supera los 250 caracteres, Macie también la trunca, empezando por el primer elemento, hasta que contenga 250 caracteres o menos.  | 
| recordIndex | Entero | En el caso de un contenedor de objetos Avro o un archivo Parquet, el índice de registros, empezando por 0, es el registro que contiene la ocurrencia. En el caso de un archivo de líneas JSON, el índice de línea, empezando por 0, de la línea que contiene la ocurrencia. Este valor es siempre 0 para los archivos JSON. | 

El siguiente ejemplo muestra la estructura de un objeto `Record` que especifica la ubicación de una ocurrencia de datos confidenciales que Macie detectó en un archivo Parquet.

```
"records": [
   {
      "jsonPath": "$['abcdefghijklmnopqrstuvwxyz']",
      "recordIndex": 7663
   }
]
```

En el ejemplo anterior, el resultado indica que Macie detectó datos confidenciales en el registro del índice 7663 (número de registro 7664). En ese registro, Macie detectó datos confidenciales en el campo denominado `abcdefghijklmnopqrstuvwxyz`. La ruta JSON completa al campo del registro es `$.abcdefghijklmnopqrstuvwxyz`. El campo es un descendiente directo del objeto raíz (nivel exterior).

El siguiente ejemplo también muestra la estructura de un objeto `Record` para una ocurrencia de datos confidenciales que Macie detectó en un archivo Parquet. Sin embargo, en este ejemplo, Macie truncó el nombre del campo que contiene la ocurrencia porque supera el límite de caracteres.

```
"records": [
   {
      "jsonPath": "$['...uvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyz']",
      "recordIndex": 7663
   }
]
```

En el ejemplo anterior, el campo es un descendiente directo del objeto raíz (nivel exterior).

En el siguiente ejemplo, también en el caso de una aparición de datos confidenciales que Macie detectó en un archivo Parquet, truncó la ruta completa del campo que la contiene. La ruta completa supera el límite de caracteres.

```
"records": [
   {
      "jsonPath": "$..usssn2.usssn3.usssn4.usssn5.usssn6.usssn7.usssn8.usssn9.usssn10.usssn11.usssn12.usssn13.usssn14.usssn15.usssn16.usssn17.usssn18.usssn19.usssn20.usssn21.usssn22.usssn23.usssn24.usssn25.usssn26.usssn27.usssn28.usssn29['abcdefghijklmnopqrstuvwxyz']",
      "recordIndex": 2335
   }
]
```

En el ejemplo anterior, el resultado indica que Macie detectó datos confidenciales en el registro del índice 2335 (número de registro 2336). En ese registro, Macie detectó datos confidenciales en el campo denominado `abcdefghijklmnopqrstuvwxyz`. La ruta JSON completa al campo del registro es:

`$['1234567890']usssn1.usssn2.usssn3.usssn4.usssn5.usssn6.usssn7.usssn8.usssn9.usssn10.usssn11.usssn12.usssn13.usssn14.usssn15.usssn16.usssn17.usssn18.usssn19.usssn20.usssn21.usssn22.usssn23.usssn24.usssn25.usssn26.usssn27.usssn28.usssn29['abcdefghijklmnopqrstuvwxyz']`

El siguiente ejemplo muestra la estructura de un objeto `Record` que especifica la ubicación de una ocurrencia de datos confidenciales que Macie detectó en un archivo JSON. En este ejemplo, la ocurrencia es el valor específico de una matriz.

```
"records": [
   {
      "jsonPath": "$.access.key[2]",
      "recordIndex": 0
   }
]
```

En el ejemplo anterior, el resultado indica que Macie detectó datos confidenciales en el segundo valor de una matriz denominada `key`. La matriz es un elemento secundario de un objeto denominado `access`.

El siguiente ejemplo muestra la estructura de un objeto `Record` que especifica la ubicación de una ocurrencia de datos confidenciales que Macie detectó en un archivo JSON Lines.

```
"records": [
   {
      "jsonPath": "$.access.key",
      "recordIndex": 3
   }
]
```

En el ejemplo anterior, el resultado indica que Macie detectó datos confidenciales en el tercer valor (línea) del archivo. En esa línea, la ocurrencia se encuentra en un campo denominado `key`, que es un elemento secundario de un objeto denominado `access`.