Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Analisi dei dati sensibili con i risultati di Macie
<a name="findings-investigate-sd"></a>

Quando esegui processi di rilevamento di dati sensibili o Amazon Macie esegue il rilevamento automatico di dati sensibili, Macie acquisisce i dettagli sulla posizione di ogni occorrenza di dati sensibili che trova negli oggetti Amazon Simple Storage Service (Amazon S3). Ciò include i dati sensibili che Macie rileva utilizzando identificatori di [dati gestiti e i dati che corrispondono ai criteri degli identificatori](managed-data-identifiers.md) di [dati personalizzati](custom-data-identifiers.md) che configuri per un job o Macie per l'utilizzo.

Con i dati sensibili rilevati, puoi esaminare questi dettagli per un massimo di 15 occorrenze di dati sensibili che Macie trova nei singoli oggetti S3. I dettagli forniscono informazioni sull'ampiezza delle categorie e dei tipi di dati sensibili che specifici bucket e oggetti S3 potrebbero contenere. Possono aiutarti a localizzare le singole occorrenze di dati sensibili negli oggetti e a determinare se eseguire un'indagine più approfondita su bucket e oggetti specifici.

Per ulteriori informazioni, puoi facoltativamente configurare e utilizzare Macie per recuperare campioni di dati sensibili che Macie riporta nei singoli risultati. Gli esempi possono aiutarti a verificare la natura dei dati sensibili trovati da Macie. Possono anche aiutarti a personalizzare l'indagine su un bucket e un oggetto S3 interessati. Se scegli di recuperare campioni di dati sensibili per un risultato, Macie utilizza i dati del risultato per individuare da 1 a 10 occorrenze di ogni tipo di dato sensibile riportato dal risultato. Macie estrae quindi le occorrenze di dati sensibili dall'oggetto interessato e visualizza i dati affinché tu possa esaminarli.

Se un oggetto S3 contiene molte occorrenze di dati sensibili, una scoperta può anche aiutarti a navigare verso il corrispondente risultato della scoperta dei dati sensibili. A differenza di un rilevamento di dati sensibili, un risultato di rilevamento di dati sensibili fornisce dati dettagliati sulla posizione per un massimo di 1.000 occorrenze di ogni tipo di dati sensibili che Macie trova in un oggetto. Macie utilizza lo stesso schema per i dati sulla posizione nelle rilevazioni di dati sensibili e nei risultati della scoperta di dati sensibili. Per ulteriori informazioni sui risultati della scoperta di dati sensibili, consulta[Archiviazione e mantenimento dei risultati di rilevamento dei dati sensibili](discovery-results-repository-s3.md).

Gli argomenti di questa sezione spiegano come individuare e, facoltativamente, recuperare le occorrenze di dati sensibili segnalati dai rilevamenti di dati sensibili. Spiegano inoltre lo schema utilizzato da Macie per segnalare la posizione delle singole occorrenze di dati sensibili rilevati da Macie.

**Topics**
+ [Individuazione di dati sensibili](findings-locate-sd.md)
+ [Recupero di campioni di dati sensibili](findings-retrieve-sd.md)
+ [Schema per l'ubicazione dei dati sensibili](findings-locate-sd-schema.md)

# Individuazione dei dati sensibili con i risultati di Macie
<a name="findings-locate-sd"></a>

Quando esegui processi di rilevamento di dati sensibili o Amazon Macie esegue il rilevamento automatico di dati sensibili, Macie esegue un'ispezione approfondita della versione più recente di ogni oggetto Amazon Simple Storage Service (Amazon S3) che analizza. Per ogni esecuzione di lavoro o ciclo di analisi, Macie utilizza anche un algoritmo di *ricerca approfondito* per compilare i risultati risultanti con dettagli sulla posizione di occorrenze specifiche di dati sensibili che Macie trova negli oggetti S3. Queste occorrenze forniscono informazioni sulle categorie e sui tipi di dati sensibili che un bucket e un oggetto S3 interessati potrebbero contenere. I dettagli possono aiutarti a individuare le singole occorrenze di dati sensibili negli oggetti e a determinare se eseguire un'indagine più approfondita su bucket e oggetti specifici.

Con i dati sensibili rilevati, puoi determinare la posizione di ben 15 occorrenze di dati sensibili che Macie ha trovato in un oggetto S3 interessato. Ciò include i dati sensibili rilevati da Macie utilizzando [identificatori di dati gestiti](managed-data-identifiers.md) e i dati che corrispondono ai criteri degli [identificatori di dati personalizzati che hai configurato per un job](custom-data-identifiers.md) o Macie per l'utilizzo.

Una ricerca di dati sensibili può fornire dettagli come:
+ Il numero di colonna e di riga per una cella o un campo in una cartella di lavoro di Microsoft Excel, un file CSV o un file TSV.
+ Il percorso di un campo o di una matrice in un file JSON o JSON Lines.
+ Il numero di riga di una riga in un file di testo non binario diverso da un file CSV, JSON, JSON Lines o TSV, ad esempio un file HTML, TXT o XML.
+ Il numero di pagina di una pagina in un file Adobe Portable Document Format (PDF).
+ L'indice dei record e il percorso di un campo in un record in un contenitore di oggetti Apache Avro o in un file Apache Parquet.

Puoi accedere a questi dettagli utilizzando la console Amazon Macie o l'API Amazon Macie. Puoi anche accedere a questi dettagli nei risultati che Macie pubblica ad altri Servizi AWS, sia Amazon EventBridge che. AWS Security Hub CSPM Per maggiori informazioni sulle strutture JSON utilizzate da Macie per riportare questi dettagli, consulta. [Schema per la segnalazione della posizione dei dati sensibili](findings-locate-sd-schema.md) Per informazioni su come accedere ai dettagli dei risultati che Macie pubblica ad altri, consulta. Servizi AWS[Monitoraggio ed elaborazione dei risultati](findings-monitor.md) 

Se un oggetto S3 contiene molte occorrenze di dati sensibili, puoi anche utilizzare un risultato per accedere al corrispondente risultato della scoperta di dati sensibili. A differenza di un rilevamento di dati sensibili, un risultato di rilevamento di dati sensibili fornisce dati dettagliati sulla posizione per un massimo di 1.000 occorrenze di ogni tipo di dati sensibili che Macie ha trovato in un oggetto. Se un oggetto S3 è un file di archivio, ad esempio un file.tar o.zip, ciò include le occorrenze di dati sensibili nei singoli file che Macie ha estratto dall'archivio. (Macie non include queste informazioni nelle rilevazioni di dati sensibili.) Per ulteriori informazioni sui risultati della scoperta di dati sensibili, consulta[Archiviazione e mantenimento dei risultati di rilevamento dei dati sensibili](discovery-results-repository-s3.md). Macie utilizza lo stesso schema per i dati sulla posizione nelle rilevazioni di dati sensibili e nei risultati della scoperta di dati sensibili.

**Per individuare i dati sensibili con i risultati**  
Per individuare le occorrenze di dati sensibili segnalati da un risultato, puoi utilizzare la console Amazon Macie o l'API Amazon Macie. Per eseguire questa operazione a livello di codice, usa l'operazione. [GetFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html) Se un risultato include dettagli sulla posizione di una o più occorrenze di un tipo specifico di dati sensibili, `occurrences` gli oggetti del risultato forniscono tali dettagli. Per ulteriori informazioni, consulta [Schema per la segnalazione della posizione dei dati sensibili](findings-locate-sd-schema.md).

Per individuare le occorrenze di dati sensibili utilizzando la console, segui questi passaggi. 

1. Apri la console Amazon Macie all'indirizzo. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Nel riquadro di navigazione, seleziona **Esiti**.
**Suggerimento**  
Puoi visualizzare rapidamente tutti i risultati di un particolare processo di rilevamento di dati sensibili. A tale scopo, scegli **Lavori** nel riquadro di navigazione, quindi scegli il nome del lavoro. Nella parte superiore del pannello dei dettagli, scegli **Mostra risultati**, quindi scegli **Mostra risultati**.

1. Nella pagina **Risultati**, scegli il risultato relativo ai dati sensibili che desideri individuare. Il pannello dei dettagli mostra le informazioni relative al risultato.

1. Nel pannello dei dettagli, scorri fino alla sezione **Dati sensibili**. Questa sezione fornisce informazioni sulle categorie e sui tipi di dati sensibili che Macie ha trovato nell'oggetto S3 interessato. Indica anche il numero di occorrenze di ogni tipo di dati sensibili rilevati da Macie.

   Ad esempio, l'immagine seguente mostra alcuni dettagli di una scoperta che riporta 30 occorrenze di numeri di carte di credito, 20 occorrenze di nomi e 29 occorrenze di numeri di previdenza sociale degli Stati Uniti.  
![\[I campi dei dettagli della ricerca che mostrano il numero di occorrenze di tre tipi di dati sensibili.\]](http://docs.aws.amazon.com/it_it/macie/latest/user/images/scrn-sdf-csv-occurrences.png)

   Se la scoperta include dettagli sulla posizione di una o più occorrenze di un tipo specifico di dati sensibili, il numero di occorrenze è un collegamento. Scegli il link per mostrare i dettagli. Macie apre una nuova finestra e visualizza i dettagli in formato JSON.

   Ad esempio, l'immagine seguente mostra la posizione di due occorrenze di numeri di carta di credito in un oggetto S3 interessato.  
![\[I dati sulla posizione, in formato JSON, per due occorrenze di numeri di carta di credito in un oggetto S3.\]](http://docs.aws.amazon.com/it_it/macie/latest/user/images/scrn-sdf-csv-occurrences-json.png)

   Per salvare i dettagli come file JSON, scegli **Scarica**, quindi specifica un nome e una posizione per il file.

1. Per salvare tutti i dettagli del risultato come file JSON, scegli l'identificatore del risultato (**Finding ID**) nella parte superiore del pannello dei dettagli. Macie apre una nuova finestra e visualizza tutti i dettagli in formato JSON. Scegli **Scarica**, quindi specifica un nome e una posizione per il file.

Per accedere ai dettagli sulla posizione di ben 1.000 occorrenze di ogni tipo di dati sensibili nell'oggetto interessato, fate riferimento al corrispondente risultato della scoperta dei dati sensibili relativo al risultato. A tale scopo, scorrete fino all'inizio della sezione **Dettagli** del pannello. Quindi scegli il link nel campo **Posizione dettagliata dei risultati**. Macie apre la console Amazon S3 e visualizza il file o la cartella che contiene il risultato del rilevamento corrispondente.

# Recupero di campioni di dati sensibili con i risultati di Macie
<a name="findings-retrieve-sd"></a>

Per verificare la natura dei dati sensibili che Amazon Macie riporta nei risultati, puoi facoltativamente configurare e utilizzare Macie per recuperare e rivelare campioni di dati sensibili segnalati da singoli risultati. [Ciò include i dati sensibili che Macie rileva utilizzando identificatori di [dati gestiti e i dati che corrispondono ai criteri degli identificatori](managed-data-identifiers.md) di dati personalizzati.](custom-data-identifiers.md) Gli esempi possono aiutarti a personalizzare l'indagine su un oggetto e un bucket Amazon Simple Storage Service (Amazon S3) interessati.

Se recuperi e riveli campioni di dati sensibili per scopi di ricerca, Macie esegue le seguenti attività generali:

1. [Verifica che il risultato specifichi la posizione delle singole occorrenze di dati sensibili e la posizione del corrispondente risultato della scoperta di dati sensibili.](discovery-results-repository-s3.md)

1. Valuta il risultato del rilevamento dei dati sensibili corrispondente, verificando la validità dei metadati per l'oggetto S3 interessato e i dati sulla posizione per rilevare eventuali occorrenze di dati sensibili nell'oggetto.

1. Utilizzando i dati nel risultato del rilevamento dei dati sensibili, individua le prime 1-10 occorrenze di dati sensibili riportate dal risultato ed estrae i primi 1-128 caratteri di ogni occorrenza dall'oggetto S3 interessato. Se il risultato riporta più tipi di dati sensibili, Macie lo fa per un massimo di 100 tipi.

1. Crittografa i dati estratti con una chiave AWS Key Management Service (AWS KMS) specificata dall'utente.

1. Memorizza temporaneamente i dati crittografati in una cache e visualizza i dati per consentirne la revisione. I dati vengono crittografati in ogni momento, sia in transito che a riposo.

1. Subito dopo l'estrazione e la crittografia, elimina definitivamente i dati dalla cache, a meno che non sia temporaneamente necessaria una conservazione aggiuntiva per risolvere un problema operativo.

Se scegli di recuperare e rivelare campioni di dati sensibili da ritrovare, Macie ripete queste operazioni per localizzarli, estrarli, crittografarli, archiviarli e infine eliminarli.

Macie non utilizza il [ruolo collegato al servizio Macie per il tuo account per eseguire](service-linked-roles.md) queste attività. Invece, usi la tua identità AWS Identity and Access Management (IAM) o consenti a Macie di assumere un ruolo IAM nel tuo account. Puoi recuperare e rivelare campioni di dati sensibili a scopo di ricerca se tu o il ruolo avete il permesso di accedere alle risorse e ai dati necessari ed eseguire le azioni richieste. [Tutte le azioni richieste vengono registrate. AWS CloudTrail](macie-cloudtrail.md)

**Importante**  
Ti consigliamo di limitare l'accesso a questa funzionalità utilizzando [policy IAM personalizzate](security-iam.md). Per un ulteriore controllo degli accessi, ti consigliamo di creare anche uno strumento dedicato alla AWS KMS key crittografia dei campioni di dati sensibili che vengono recuperati e di limitare l'uso della chiave solo ai responsabili che devono essere autorizzati a recuperare e rivelare campioni di dati sensibili.  
Per consigli ed esempi di politiche che potresti utilizzare per controllare l'accesso a questa funzionalità, consulta il seguente post sul blog sulla *AWS sicurezza*: [Come usare Amazon Macie per visualizzare in anteprima i dati sensibili nei bucket S3](https://aws.amazon.com/blogs/security/how-to-use-amazon-macie-to-preview-sensitive-data-in-s3-buckets/).

Gli argomenti di questa sezione spiegano come configurare e usare Macie per recuperare e rivelare campioni di dati sensibili da analizzare. Puoi eseguire queste attività in tutte le aree in Regioni AWS cui Macie è attualmente disponibile, ad eccezione delle regioni di Asia Pacifico (Osaka) e Israele (Tel Aviv).

**Topics**
+ [Opzioni di configurazione per il recupero dei campioni](findings-retrieve-sd-options.md)
+ [Configurazione di Macie per recuperare campioni](findings-retrieve-sd-configure.md)
+ [Recupero di campioni](findings-retrieve-sd-proc.md)

# Opzioni di configurazione per il recupero di campioni di dati sensibili con Macie
<a name="findings-retrieve-sd-options"></a>

Facoltativamente, puoi configurare e utilizzare Amazon Macie per recuperare e rivelare campioni di dati sensibili che Macie riporta nei singoli risultati. Se recuperi e riveli campioni di dati sensibili per una ricerca, Macie utilizza i dati nel corrispondente [risultato della scoperta dei dati sensibili](discovery-results-repository-s3.md) per individuare le occorrenze di dati sensibili nell'oggetto Amazon Simple Storage Service (Amazon S3) interessato. Macie estrae quindi campioni di tali occorrenze dall'oggetto interessato. Macie crittografa i dati estratti con una chiave AWS Key Management Service (AWS KMS) specificata dall'utente, archivia temporaneamente i dati crittografati in una cache e restituisce i dati nei risultati per la ricerca. Subito dopo l'estrazione e la crittografia, Macie elimina definitivamente i dati dalla cache, a meno che non sia temporaneamente necessaria una conservazione aggiuntiva per risolvere un problema operativo.

Macie non utilizza il [ruolo collegato al servizio Macie](service-linked-roles.md) per l'account per individuare, recuperare, crittografare o rivelare campioni di dati sensibili per gli oggetti S3 interessati. Macie utilizza invece le impostazioni e le risorse che configuri per il tuo account. Quando configuri le impostazioni in Macie, specifichi come accedere agli oggetti S3 interessati. È inoltre necessario specificare quale utilizzare AWS KMS key per crittografare i campioni. Puoi configurare le impostazioni in tutte le aree in Regioni AWS cui Macie è attualmente disponibile, ad eccezione delle regioni Asia Pacifico (Osaka) e Israele (Tel Aviv).

Per accedere agli oggetti S3 interessati e recuperare campioni di dati sensibili da essi, hai due opzioni. Puoi configurare Macie per utilizzare le credenziali utente AWS Identity and Access Management (IAM) o assumere un ruolo IAM:
+ **Usa le credenziali utente IAM**: con questa opzione, ogni utente del tuo account utilizza la propria identità IAM individuale per individuare, recuperare, crittografare e rivelare gli esempi. Ciò significa che un utente può recuperare e rivelare campioni di dati sensibili a fini di ricerca se è autorizzato ad accedere alle risorse e ai dati necessari ed eseguire le azioni richieste.
+ **Assumi un ruolo IAM**: con questa opzione, crei un ruolo IAM che delega l'accesso a Macie. Ti assicuri inoltre che le politiche di fiducia e autorizzazioni per il ruolo soddisfino tutti i requisiti necessari per l'assunzione del ruolo da parte di Macie. Macie assume quindi il ruolo quando un utente del tuo account sceglie di individuare, recuperare, crittografare e rivelare campioni di dati sensibili a scopo di ricerca.

Puoi utilizzare entrambe le configurazioni con qualsiasi tipo di account Macie: l'account amministratore Macie delegato per un'organizzazione, un account membro Macie in un'organizzazione o un account Macie autonomo.

I seguenti argomenti spiegano le opzioni, i requisiti e le considerazioni che possono aiutarti a determinare come configurare le impostazioni e le risorse per il tuo account. Ciò include le politiche di fiducia e autorizzazioni da collegare a un ruolo IAM. Per ulteriori consigli ed esempi di politiche che potresti utilizzare per recuperare e rivelare campioni di dati sensibili, consulta il seguente post sul blog sulla *AWS sicurezza*: [Come usare Amazon Macie per visualizzare in anteprima i dati sensibili nei bucket](https://aws.amazon.com/blogs/security/how-to-use-amazon-macie-to-preview-sensitive-data-in-s3-buckets/) S3.

**Topics**
+ [Determinazione del metodo di accesso da utilizzare](#findings-retrieve-sd-options-s3access)
+ [Utilizzo delle credenziali utente IAM per accedere agli oggetti S3 interessati](#findings-retrieve-sd-options-s3access-user)
+ [Assumendo un ruolo IAM per accedere agli oggetti S3 interessati](#findings-retrieve-sd-options-s3access-role)
+ [Configurazione di un ruolo IAM per accedere agli oggetti S3 interessati](#findings-retrieve-sd-options-s3access-role-configuration)
+ [Decrittografia degli oggetti S3 interessati](#findings-retrieve-sd-options-decrypt)

## Determinazione del metodo di accesso da utilizzare
<a name="findings-retrieve-sd-options-s3access"></a>

Nel determinare la configurazione migliore per il proprio AWS ambiente, una considerazione fondamentale è se l'ambiente include più account Amazon Macie gestiti centralmente come organizzazione. Se sei l'amministratore Macie delegato di un'organizzazione, la configurazione di Macie per l'assunzione di un ruolo IAM può semplificare il recupero di campioni di dati sensibili dagli oggetti S3 interessati per gli account dell'organizzazione. Con questo approccio, crei un ruolo IAM nel tuo account amministratore. Inoltre, crei un ruolo IAM in ogni account membro applicabile. Il ruolo nel tuo account amministratore delega l'accesso a Macie. Il ruolo in un account membro delega l'accesso tra account diversi al ruolo nel tuo account amministratore. Se implementato, puoi quindi utilizzare il concatenamento dei ruoli per accedere agli oggetti S3 interessati per i tuoi account membro.

Considera anche chi ha accesso diretto ai singoli risultati per impostazione predefinita. Per recuperare e rivelare campioni di dati sensibili relativi a un risultato, un utente deve prima avere accesso al risultato:
+ **Lavori di rilevamento di dati sensibili**: solo l'account che crea un lavoro può accedere ai risultati prodotti dal lavoro. Se disponi di un account amministratore Macie, puoi configurare un job per analizzare gli oggetti nei bucket S3 per qualsiasi account della tua organizzazione. Pertanto, i tuoi lavori possono produrre risultati per gli oggetti contenuti nei bucket di proprietà dei tuoi account membro. Se disponi di un account membro o di un account Macie autonomo, puoi configurare un processo per analizzare gli oggetti solo nei bucket di proprietà del tuo account.
+ **Rilevamento automatico dei dati sensibili**: solo l'account amministratore di Macie può accedere ai risultati prodotti dal rilevamento automatico per gli account della propria organizzazione. Gli account dei membri non possono accedere a questi risultati. Se disponi di un account Macie indipendente, puoi accedere ai risultati che il rilevamento automatico produce solo per il tuo account.

Se prevedi di accedere agli oggetti S3 interessati utilizzando un ruolo IAM, considera anche quanto segue:
+ Per individuare le occorrenze di dati sensibili in un oggetto, il risultato della scoperta dei dati sensibili corrispondente a un risultato deve essere archiviato in un oggetto S3 firmato da Macie con un Message Authentication Code (HMAC) basato su Hash. AWS KMS key Macie deve essere in grado di verificare l'integrità e l'autenticità del risultato della scoperta dei dati sensibili. Altrimenti, Macie non assumerà il ruolo di IAM per recuperare campioni di dati sensibili. Si tratta di una barriera aggiuntiva per limitare l'accesso ai dati negli oggetti S3 per un account.
+ Per recuperare campioni di dati sensibili da un oggetto crittografato e gestito da un cliente AWS KMS key, è necessario consentire al ruolo IAM di decrittografare i dati con la chiave. Più specificamente, la policy della chiave deve consentire al ruolo di eseguire l'azione. `kms:Decrypt` Per altri tipi di crittografia lato server, non sono necessarie autorizzazioni o risorse aggiuntive per decrittografare un oggetto interessato. Per ulteriori informazioni, consulta [Decrittografia degli oggetti S3 interessati](#findings-retrieve-sd-options-decrypt).
+ Per recuperare campioni di dati sensibili da un oggetto per un altro account, devi attualmente essere l'amministratore Macie delegato per l'account nell'elenco applicabile. Regione AWS Inoltre:
  + Macie deve essere attualmente abilitato per l'account membro nella regione applicabile. 
  + L'account membro deve avere un ruolo IAM che delega l'accesso tra account diversi a un ruolo IAM nell'account amministratore di Macie. Il nome del ruolo deve essere lo stesso nell'account amministratore Macie e nell'account membro.
  + La politica di fiducia per il ruolo IAM nell'account membro deve includere una condizione che specifichi l'ID esterno corretto per la configurazione. Questo ID è una stringa alfanumerica unica che Macie genera automaticamente dopo aver configurato le impostazioni per l'account amministratore Macie. *Per informazioni sull'utilizzo di policy di trust esterne IDs , consulta [Accesso ai contenuti di Account AWS proprietà di terze parti nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) per l'utente.AWS Identity and Access Management *
  + Se il ruolo IAM nell'account membro soddisfa tutti i requisiti di Macie, non è necessario che l'account membro configuri e abiliti le impostazioni di Macie per recuperare campioni di dati sensibili dagli oggetti relativi all'account. Macie utilizza solo le impostazioni e il ruolo IAM nell'account amministratore Macie e il ruolo IAM nell'account membro.
**Suggerimento**  
Se il tuo account fa parte di un'organizzazione di grandi dimensioni, prendi in considerazione l'utilizzo di un AWS CloudFormation modello e di un set di stack per fornire e gestire i ruoli IAM per gli account dei membri della tua organizzazione. Per informazioni sulla creazione e l'utilizzo di modelli e set di stack, consulta la Guida per l'[AWS CloudFormation utente](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html).  
Per esaminare e, facoltativamente, scaricare un CloudFormation modello che possa fungere da punto di partenza, puoi utilizzare la console Amazon Macie. Nel pannello di navigazione della console, in **Impostazioni**, scegli **Reveal** samples. Scegli **Modifica**, quindi scegli **Visualizza le autorizzazioni e il CloudFormation modello del ruolo del membro**.

Gli argomenti successivi di questa sezione forniscono dettagli e considerazioni aggiuntivi per ogni tipo di configurazione. Per i ruoli IAM, ciò include le politiche di fiducia e autorizzazioni da associare a un ruolo. Se non sei sicuro del tipo di configurazione migliore per il tuo ambiente, chiedi assistenza AWS all'amministratore.

## Utilizzo delle credenziali utente IAM per accedere agli oggetti S3 interessati
<a name="findings-retrieve-sd-options-s3access-user"></a>

Se configuri Amazon Macie per recuperare campioni di dati sensibili utilizzando le credenziali utente IAM, ogni utente del tuo account Macie utilizza la propria identità IAM per individuare, recuperare, crittografare e rivelare campioni per singoli risultati. Ciò significa che un utente può recuperare e rivelare campioni di dati sensibili per verificare se la sua identità IAM è autorizzata ad accedere alle risorse e ai dati necessari ed eseguire le azioni necessarie. [Tutte le azioni richieste vengono registrate. AWS CloudTrail](macie-cloudtrail.md)

Per recuperare e rivelare campioni di dati sensibili per un particolare risultato, a un utente deve essere consentito di accedere ai seguenti dati e risorse: il risultato, il corrispondente risultato della scoperta dei dati sensibili, il bucket S3 interessato e l'oggetto S3 interessato. È inoltre necessario consentire loro di utilizzare AWS KMS key quello che è stato utilizzato per crittografare l'oggetto interessato, se applicabile, e AWS KMS key quello che Macie è stato configurato per utilizzare per crittografare campioni di dati sensibili. Se alcune policy IAM, policy di risorse o altre impostazioni di autorizzazione negano l'accesso richiesto, l'utente non sarà in grado di recuperare e rivelare gli esempi del risultato.

Per configurare questo tipo di configurazione, completa le seguenti attività generali:

1. Verifica di aver configurato un repository per i risultati del rilevamento dei dati sensibili.

1. Configuralo AWS KMS key da utilizzare per la crittografia di campioni di dati sensibili.

1. Verifica le tue autorizzazioni per configurare le impostazioni in Macie.

1. Configura e abilita le impostazioni in Macie.

Per informazioni sull'esecuzione di queste attività, consulta[Configurazione di Macie per recuperare campioni di dati sensibili](findings-retrieve-sd-configure.md).

## Assumendo un ruolo IAM per accedere agli oggetti S3 interessati
<a name="findings-retrieve-sd-options-s3access-role"></a>

Per configurare Amazon Macie per recuperare campioni di dati sensibili assumendo un ruolo IAM, inizia creando un ruolo IAM che deleghi l'accesso ad Amazon Macie. Assicurati che le politiche di fiducia e autorizzazioni per il ruolo soddisfino tutti i requisiti necessari per l'assunzione del ruolo da parte di Macie. Quando un utente del tuo account Macie sceglie quindi di recuperare e rivelare campioni di dati sensibili per una ricerca, Macie si assume il ruolo di recuperare i campioni dall'oggetto S3 interessato. Macie assume il ruolo solo quando un utente sceglie di recuperare e rivelare i campioni per un risultato. Per assumere il ruolo, Macie utilizza il [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)funzionamento dell'API (). AWS Security Token Service AWS STS Tutte le azioni richieste vengono [registrate](macie-cloudtrail.md). AWS CloudTrail

Per recuperare e rivelare campioni di dati sensibili relativi a un particolare risultato, a un utente deve essere consentito di accedere al risultato della scoperta, al corrispondente risultato della scoperta dei dati sensibili e ai dati configurati da Macie per crittografare i campioni di dati sensibili. AWS KMS key Il ruolo IAM deve consentire a Macie di accedere al bucket S3 e all'oggetto S3 interessato. Il ruolo deve inoltre essere autorizzato a utilizzare AWS KMS key ciò che è stato utilizzato per crittografare l'oggetto interessato, se applicabile. Se le politiche IAM, le politiche delle risorse o altre impostazioni di autorizzazione negano l'accesso richiesto, l'utente non sarà in grado di recuperare e rivelare gli esempi del risultato.

Per configurare questo tipo di configurazione, completa le seguenti attività generali. Se disponi di un account membro in un'organizzazione, collabora con l'amministratore di Macie per determinare se e come configurare le impostazioni e le risorse per il tuo account.

1. Definisci quanto segue:
   + Il nome del ruolo IAM che vuoi che Macie assuma. Se il tuo account fa parte di un'organizzazione, questo nome deve essere lo stesso per l'account amministratore Macie delegato e per ogni account membro applicabile dell'organizzazione. Altrimenti, l'amministratore Macie non sarà in grado di accedere agli oggetti S3 interessati per un account membro applicabile.
   + Il nome della policy di autorizzazione IAM da allegare al ruolo IAM. Se il tuo account fa parte di un'organizzazione, ti consigliamo di utilizzare lo stesso nome di policy per ogni account membro applicabile nell'organizzazione. Questo può semplificare il provisioning e la gestione del ruolo negli account dei membri.

1. Verifica di aver configurato un repository per i risultati del rilevamento dei dati sensibili.

1. Configuralo AWS KMS key da utilizzare per la crittografia di campioni di dati sensibili.

1. Verifica le tue autorizzazioni per la creazione di ruoli IAM e la configurazione delle impostazioni in Macie.

1. Se sei l'amministratore Macie delegato di un'organizzazione o hai un account Macie autonomo:

   1. Crea e configura il ruolo IAM per il tuo account. Assicurati che le politiche di fiducia e autorizzazioni per il ruolo soddisfino tutti i requisiti necessari per l'assunzione del ruolo da parte di Macie. Per informazioni dettagliate su questi requisiti, consulta l'argomento [successivo](#findings-retrieve-sd-options-s3access-role-configuration).

   1. Configura e abilita le impostazioni in Macie. Macie genera quindi un ID esterno per la configurazione. Se sei l'amministratore Macie di un'organizzazione, prendi nota di questo ID. La politica di fiducia per il ruolo IAM in ciascuno degli account membro applicabili deve specificare questo ID.

1. Se disponi di un account membro in un'organizzazione:

   1. Chiedi all'amministratore di Macie l'ID esterno da specificare nella policy di fiducia per il ruolo IAM nel tuo account. Verifica anche il nome del ruolo IAM e la politica di autorizzazione da creare.

   1. Crea e configura il ruolo IAM per il tuo account. Assicurati che le politiche di fiducia e autorizzazioni per il ruolo soddisfino tutti i requisiti per l'assunzione del ruolo da parte dell'amministratore Macie. Per informazioni dettagliate su questi requisiti, consulta l'argomento [successivo](#findings-retrieve-sd-options-s3access-role-configuration).

   1. (Facoltativo) Se desideri recuperare e rivelare campioni di dati sensibili dagli oggetti S3 interessati per il tuo account, configura e abilita le impostazioni in Macie. Se vuoi che Macie assuma un ruolo IAM per recuperare gli esempi, inizia creando e configurando un ruolo IAM aggiuntivo nel tuo account. Assicurati che le politiche di fiducia e autorizzazioni per questo ruolo aggiuntivo soddisfino tutti i requisiti necessari affinché Macie possa assumere il ruolo. Quindi configura le impostazioni in Macie e specifica il nome di questo ruolo aggiuntivo. Per informazioni dettagliate sui requisiti politici per il ruolo, consulta l'[argomento successivo](#findings-retrieve-sd-options-s3access-role-configuration).

Per informazioni sull'esecuzione di queste attività, vedere[Configurazione di Macie per recuperare campioni di dati sensibili](findings-retrieve-sd-configure.md).

## Configurazione di un ruolo IAM per accedere agli oggetti S3 interessati
<a name="findings-retrieve-sd-options-s3access-role-configuration"></a>

Per accedere agli oggetti S3 interessati utilizzando un ruolo IAM, inizia creando e configurando un ruolo che deleghi l'accesso ad Amazon Macie. Assicurati che le politiche di fiducia e autorizzazioni per il ruolo soddisfino tutti i requisiti necessari per l'assunzione del ruolo da parte di Macie. Il modo in cui esegui questa operazione dipende dal tipo di account Macie che possiedi.

Le sezioni seguenti forniscono dettagli sulle politiche di fiducia e autorizzazioni da associare al ruolo IAM per ogni tipo di account Macie. Scegli la sezione relativa al tipo di account che possiedi. 

**Nota**  
Se disponi di un account membro in un'organizzazione, potresti dover creare e configurare due ruoli IAM per il tuo account:  
Per consentire all'amministratore Macie di recuperare e rivelare campioni di dati sensibili dagli oggetti S3 interessati per il tuo account, crea e configura un ruolo che l'account dell'amministratore possa assumere. Per questi dettagli, scegli la sezione Account membro **Macie**.
Per recuperare e rivelare campioni di dati sensibili dagli oggetti S3 interessati per il tuo account, crea e configura un ruolo che Macie possa assumere. Per questi dettagli, scegli la sezione Account Macie **standalone.**
Prima di creare e configurare uno dei ruoli IAM, collabora con l'amministratore di Macie per determinare la configurazione appropriata per il tuo account.

Per informazioni dettagliate sull'utilizzo di IAM per creare il ruolo, consulta [Creazione di un ruolo utilizzando politiche di fiducia personalizzate](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) nella *Guida per l'AWS Identity and Access Management utente*.

### Account amministratore Macie
<a name="findings-retrieve-sd-options-s3access-role-admin"></a>

Se sei l'amministratore Macie delegato di un'organizzazione, inizia utilizzando l'editor delle politiche IAM per creare la politica di autorizzazione per il ruolo IAM. La politica dovrebbe essere la seguente.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RetrieveS3Objects",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "AssumeMacieRevealRoleForCrossAccountAccess",
            "Effect": "Allow",
            "Action": [
                "sts:AssumeRole"
            ],
            "Resource": "arn:aws:iam::*:role/IAMRoleName"
        }
    ]
}
```

------

*IAMRoleName*Dov'è il nome del ruolo IAM che Macie deve assumere quando recupera campioni di dati sensibili dagli oggetti S3 interessati per gli account dell'organizzazione. Sostituisci questo valore con il nome del ruolo che stai creando per il tuo account e che intendi creare per gli account membro applicabili nella tua organizzazione. Questo nome deve essere lo stesso per il tuo account amministratore Macie e per ogni account membro applicabile.

**Nota**  
Nella precedente politica di autorizzazione, l'`Resource`elemento della prima istruzione utilizza un carattere jolly (). `*` Ciò consente a un'entità IAM collegata di recuperare oggetti da tutti i bucket S3 di proprietà dell'organizzazione. Per consentire questo accesso solo per bucket specifici, sostituisci il carattere jolly con l'Amazon Resource Name (ARN) di ogni bucket. Ad esempio, per consentire l'accesso solo agli oggetti in un bucket denominato *amzn-s3-demo-bucket1*, modifica l'elemento in:  
`"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*"`  
Puoi anche limitare l'accesso agli oggetti in specifici bucket S3 per singoli account. Per fare ciò, specifica il bucket ARNs nell'`Resource`elemento della politica di autorizzazione per il ruolo IAM in ogni account applicabile. *Per ulteriori informazioni ed esempi, consulta [IAM JSON Policy elements: Resource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) in the AWS Identity and Access Management User Guide.*

Dopo aver creato la politica di autorizzazione per il ruolo IAM, crea e configura il ruolo. Se lo fai utilizzando la console IAM, scegli **Custom trust policy** come **tipo di entità affidabile** per il ruolo. Per la politica di fiducia che definisce le entità attendibili per il ruolo, specifica quanto segue.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowMacieReveal",
            "Effect": "Allow",
            "Principal": {
                "Service": "reveal-samples.macie.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333"
                }
            }
        }
    ]
}
```

------

*111122223333*Dov'è l'ID dell'account per il tuo Account AWS. Sostituisci questo valore con l'ID del tuo account a 12 cifre.

Nella precedente politica di fiducia:
+ L'`Principal`elemento specifica il servizio principale che Macie utilizza per recuperare campioni di dati sensibili dagli oggetti S3 interessati,. `reveal-samples.macie.amazonaws.com`
+ L'`Action`elemento specifica l'azione che il responsabile del servizio è autorizzato a eseguire, il [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)funzionamento dell'API (). AWS Security Token Service AWS STS
+ L'`Condition`elemento definisce una condizione che utilizza la chiave di contesto [aws: SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) global condition. Questa condizione determina quale account può eseguire l'azione specificata. In questo caso, consente a Macie di assumere il ruolo solo per l'account specificato. Questa condizione aiuta a evitare che Macie venga usato come [agente confuso](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) durante le transazioni con. AWS STS

Dopo aver definito la politica di fiducia per il ruolo IAM, collega la politica di autorizzazione al ruolo. Questa dovrebbe essere la politica di autorizzazione che hai creato prima di iniziare a creare il ruolo. Quindi completa i passaggi rimanenti in IAM per completare la creazione e la configurazione del ruolo. Al termine, [configura e abilita le impostazioni in Macie](findings-retrieve-sd-configure.md).

### Account membro Macie
<a name="findings-retrieve-sd-options-s3access-role-member"></a>

Se disponi di un account membro Macie e desideri consentire al tuo amministratore Macie di recuperare e rivelare campioni di dati sensibili dagli oggetti S3 interessati per il tuo account, inizia chiedendo all'amministratore Macie le seguenti informazioni:
+ Il nome del ruolo IAM da creare. Il nome deve essere lo stesso per il tuo account e per l'account amministratore Macie della tua organizzazione.
+ Il nome della policy di autorizzazione IAM da allegare al ruolo.
+ L'ID esterno da specificare nella politica di fiducia per il ruolo. Questo ID deve essere l'ID esterno generato da Macie per la configurazione dell'amministratore di Macie. 

Dopo aver ricevuto queste informazioni, utilizza l'editor delle politiche IAM per creare la politica di autorizzazione per il ruolo. La politica dovrebbe essere la seguente.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RetrieveS3Objects",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}
```

------

La politica di autorizzazione precedente consente a un'entità IAM collegata di recuperare oggetti da tutti i bucket S3 del tuo account. Questo perché l'`Resource`elemento della policy utilizza un carattere jolly (). `*` Per consentire questo accesso solo per bucket specifici, sostituisci il carattere jolly con l'Amazon Resource Name (ARN) di ogni bucket. Ad esempio, per consentire l'accesso solo agli oggetti in un bucket denominato *amzn-s3-demo-bucket2*, modifica l'elemento in:

`"Resource": "arn:aws:s3:::amzn-s3-demo-bucket2/*"`

Per ulteriori informazioni ed esempi, consulta [IAM JSON Policy elements: Resource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) in the *AWS Identity and Access Management User* Guide.

Dopo aver creato la politica di autorizzazione per il ruolo IAM, crea il ruolo. Se crei il ruolo utilizzando la console IAM, scegli **Custom trust policy** come **tipo di entità affidabile** per il ruolo. Per la politica di fiducia che definisce le entità attendibili per il ruolo, specifica quanto segue.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowMacieAdminRevealRoleForCrossAccountAccess",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/IAMRoleName"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:ExternalId": "externalID",
                    "aws:PrincipalOrgID": "${aws:ResourceOrgID}"
                }
            }
        }
    ]
}
```

------

Nella politica precedente, sostituisci i valori segnaposto con i valori corretti per il tuo AWS ambiente, dove:
+ *111122223333*è l'ID dell'account a 12 cifre per l'account dell'amministratore di Macie.
+ *IAMRoleName*è il nome del ruolo IAM nell'account dell'amministratore di Macie. Dovrebbe essere il nome che hai ricevuto dall'amministratore di Macie.
+ *externalID*è l'ID esterno che hai ricevuto dall'amministratore di Macie.

In generale, la politica di fiducia consente all'amministratore Macie di assumere il ruolo di recuperare e rivelare campioni di dati sensibili dagli oggetti S3 interessati per il tuo account. L'`Principal`elemento specifica l'ARN di un ruolo IAM nell'account dell'amministratore di Macie. Questo è il ruolo che l'amministratore Macie utilizza per recuperare e rivelare campioni di dati sensibili per gli account della tua organizzazione. Il `Condition` blocco definisce due condizioni che determinano ulteriormente chi può assumere il ruolo:
+ La prima condizione specifica un ID esterno univoco per la configurazione dell'organizzazione. Per ulteriori informazioni sugli elementi esterni IDs, consulta [Accesso ai dati Account AWS di proprietà di terzi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'AWS Identity and Access Management utente*.
+ La seconda condizione utilizza la chiave di contesto della condizione globale [aws: PrincipalOrg ID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid). Il valore della chiave è una variabile dinamica che rappresenta l'identificatore univoco di un'organizzazione in AWS Organizations (`${aws:ResourceOrgID}`). La condizione limita l'accesso solo agli account che fanno parte della stessa organizzazione in. AWS Organizations Se sei entrato a far parte della tua organizzazione accettando un invito su Macie, rimuovi questa condizione dalla politica.

Dopo aver definito la politica di fiducia per il ruolo IAM, collega la politica di autorizzazione al ruolo. Questa dovrebbe essere la politica di autorizzazione che hai creato prima di iniziare a creare il ruolo. Quindi completa i passaggi rimanenti in IAM per completare la creazione e la configurazione del ruolo. Non configurate né inserite le impostazioni per il ruolo in Macie.

### Account Macie autonomo
<a name="findings-retrieve-sd-options-s3access-role-standalone"></a>

Se disponi di un account Macie indipendente o di un account membro Macie e desideri recuperare e rivelare campioni di dati sensibili dagli oggetti S3 interessati per il tuo account, inizia a utilizzare l'editor delle politiche di IAM per creare la politica di autorizzazione per il ruolo IAM. La politica dovrebbe essere la seguente.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RetrieveS3Objects",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}
```

------

Nella precedente politica di autorizzazione, l'`Resource`elemento utilizza un carattere jolly (). `*` Ciò consente a un'entità IAM collegata di recuperare oggetti da tutti i bucket S3 del tuo account. Per consentire questo accesso solo per bucket specifici, sostituisci il carattere jolly con l'Amazon Resource Name (ARN) di ogni bucket. Ad esempio, per consentire l'accesso solo agli oggetti in un bucket denominato *amzn-s3-demo-bucket3*, modifica l'elemento in:

`"Resource": "arn:aws:s3:::amzn-s3-demo-bucket3/*"`

Per ulteriori informazioni ed esempi, consulta [IAM JSON Policy elements: Resource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) in the *AWS Identity and Access Management User* Guide. 

Dopo aver creato la politica di autorizzazione per il ruolo IAM, crea il ruolo. Se crei il ruolo utilizzando la console IAM, scegli **Custom trust policy** come **tipo di entità affidabile** per il ruolo. Per la politica di fiducia che definisce le entità attendibili per il ruolo, specifica quanto segue.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowMacieReveal",
            "Effect": "Allow",
            "Principal": {
                "Service": "reveal-samples.macie.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "999999999999"
                }
            }
        }
    ]
}
```

------

*999999999999*Dov'è l'ID dell'account per il tuo Account AWS. Sostituisci questo valore con l'ID del tuo account a 12 cifre.

Nella precedente politica di fiducia:
+ L'`Principal`elemento specifica il servizio principale che Macie utilizza per recuperare e rivelare campioni di dati sensibili dagli oggetti S3 interessati,. `reveal-samples.macie.amazonaws.com`
+ L'`Action`elemento specifica l'azione che il responsabile del servizio è autorizzato a eseguire, il funzionamento dell'[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)API (). AWS Security Token Service AWS STS
+ L'`Condition`elemento definisce una condizione che utilizza la chiave di contesto [aws: SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) global condition. Questa condizione determina quale account può eseguire l'azione specificata. Consente a Macie di assumere il ruolo solo per l'account specificato. La condizione aiuta a evitare che Macie venga usato come [vice confuso](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) durante le transazioni con. AWS STS

Dopo aver definito la politica di fiducia per il ruolo IAM, collega la politica di autorizzazione al ruolo. Questa dovrebbe essere la politica di autorizzazione che hai creato prima di iniziare a creare il ruolo. Quindi completa i passaggi rimanenti in IAM per completare la creazione e la configurazione del ruolo. Al termine, [configura e abilita le impostazioni in Macie](findings-retrieve-sd-configure.md).

## Decrittografia degli oggetti S3 interessati
<a name="findings-retrieve-sd-options-decrypt"></a>

Amazon S3 supporta diverse opzioni di crittografia per oggetti S3. Per la maggior parte di queste opzioni, non sono necessarie risorse o autorizzazioni aggiuntive affinché un utente o un ruolo IAM possa decrittografare e recuperare campioni di dati sensibili da un oggetto interessato. Questo è il caso di un oggetto crittografato utilizzando la crittografia lato server con una chiave gestita Amazon S3 o una chiave gestita. AWS AWS KMS key

Tuttavia, se un oggetto S3 è crittografato con un oggetto gestito dal cliente AWS KMS key, sono necessarie autorizzazioni aggiuntive per decrittografare e recuperare campioni di dati sensibili dall'oggetto. Più specificamente, la policy chiave per la chiave KMS deve consentire all'utente o al ruolo IAM di eseguire l'azione. `kms:Decrypt` In caso contrario, si verifica un errore e Amazon Macie non recupera alcun campione dall'oggetto. *Per sapere come fornire questo accesso a un utente IAM, consulta l'[accesso e le autorizzazioni delle chiavi KMS](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html) nella Guida per gli sviluppatori.AWS Key Management Service *

Il modo in cui fornire questo accesso per un ruolo IAM dipende dal fatto che l'account proprietario possieda AWS KMS key anche il ruolo:
+ Se lo stesso account possiede la chiave KMS e il ruolo, un utente dell'account deve aggiornare la politica della chiave. 
+ Se un account possiede la chiave KMS e un altro account possiede il ruolo, un utente dell'account che possiede la chiave deve consentire l'accesso alla chiave da più account.

Questo argomento descrive come eseguire queste attività per un ruolo IAM creato per recuperare campioni di dati sensibili dagli oggetti S3. Fornisce inoltre esempi per entrambi gli scenari. Per informazioni su come consentire l'accesso ai servizi gestiti dal cliente AWS KMS keys per altri scenari, consulta [l'accesso e le autorizzazioni con chiave KMS nella Guida](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html) per gli *AWS Key Management Service sviluppatori*.

### Consentire l'accesso dello stesso account a una chiave gestita dal cliente
<a name="findings-retrieve-sd-options-decrypt-same-account"></a>

Se lo stesso account possiede AWS KMS key sia il ruolo che quello IAM, un utente dell'account deve aggiungere una dichiarazione alla policy della chiave. L'istruzione aggiuntiva deve consentire al ruolo IAM di decrittografare i dati utilizzando la chiave. Per informazioni dettagliate sull'aggiornamento di una policy chiave, consulta [Changing a key policy](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) nella *AWS Key Management Service Developer* Guide.

Nella dichiarazione:
+ L'`Principal`elemento deve specificare l'Amazon Resource Name (ARN) del ruolo IAM.
+ L'`Action`array deve specificare l'`kms:Decrypt`azione. Questa è l'unica AWS KMS azione che il ruolo IAM deve essere autorizzato a eseguire per decrittografare un oggetto crittografato con la chiave.

Di seguito è riportato un esempio dell'istruzione da aggiungere alla politica per una chiave KMS. 

```
{
    "Sid": "Allow the Macie reveal role to use the key",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::123456789012:role/IAMRoleName"
    },
    "Action": [
        "kms:Decrypt"
    ],
    "Resource": "*"
}
```

Nell'esempio precedente: 
+ Il `AWS` campo nell'`Principal`elemento specifica l'ARN del ruolo IAM nell'account. Consente al ruolo di eseguire l'azione specificata dalla dichiarazione politica. *123456789012*è un esempio di ID di account. Sostituisci questo valore con l'ID dell'account che possiede il ruolo e la chiave KMS. *IAMRoleName*è un nome di esempio. Sostituisci questo valore con il nome del ruolo IAM nell'account.
+ L'`Action`array specifica l'azione che il ruolo IAM può eseguire utilizzando la chiave KMS: decrittografare il testo cifrato crittografato con la chiave.

La posizione in cui si aggiunge questa dichiarazione a una politica chiave dipende dalla struttura e dagli elementi attualmente contenuti nella politica. Quando aggiungete l'istruzione, assicuratevi che la sintassi sia valida. Le politiche chiave utilizzano il formato JSON. Ciò significa che è necessario aggiungere anche una virgola prima o dopo l'istruzione, a seconda di dove si aggiunge l'istruzione alla politica. 

### Consentire l'accesso tra più account a una chiave gestita dal cliente
<a name="findings-retrieve-sd-options-decrypt-cross-account"></a>

Se un account possiede il AWS KMS key (*proprietario della chiave*) e un altro account possiede il ruolo IAM (*proprietario del ruolo*), il proprietario della chiave deve fornire al proprietario del ruolo l'accesso alla chiave da più account. Un modo per farlo è utilizzare una sovvenzione. Una *sovvenzione* è uno strumento politico che consente ai AWS committenti di utilizzare le chiavi KMS nelle operazioni crittografiche se le condizioni specificate dalla concessione sono soddisfatte. *Per maggiori informazioni sulle sovvenzioni, consulta [Grants nella AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) Developer Guide.AWS Key Management Service *

Con questo approccio, il proprietario della chiave si assicura innanzitutto che la politica della chiave consenta al proprietario del ruolo di creare una concessione per la chiave. Il proprietario del ruolo crea quindi una concessione per la chiave. La concessione delega le autorizzazioni pertinenti al ruolo IAM nel loro account. Consente al ruolo di decrittografare gli oggetti S3 crittografati con la chiave.

**Fase 1: Aggiornare la politica chiave**  
Nella policy chiave, il proprietario della chiave deve assicurarsi che la policy includa una dichiarazione che consenta al proprietario del ruolo di creare una sovvenzione per il ruolo IAM nel proprio account (del proprietario del ruolo). In questa dichiarazione, l'`Principal`elemento deve specificare l'ARN dell'account del proprietario del ruolo. L'`Action`array deve specificare l'`kms:CreateGrant`azione. Un `Condition` blocco può filtrare l'accesso all'azione specificata. Di seguito è riportato un esempio di questa dichiarazione nella politica per una chiave KMS.

```
{
    "Sid": "Allow a role in an account to create a grant",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:root"
    },
    "Action": [
        "kms:CreateGrant"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:GranteePrincipal": "arn:aws:iam::111122223333:role/IAMRoleName"
        },
        "ForAllValues:StringEquals": {
            "kms:GrantOperations": "Decrypt"
        }
    }
}
```

Nell'esempio precedente:
+ Il `AWS` campo nell'`Principal`elemento specifica l'ARN dell'account del proprietario del ruolo. Consente all'account di eseguire l'azione specificata dalla dichiarazione politica. *111122223333*è un esempio di ID di account. Sostituisci questo valore con l'ID dell'account del proprietario del ruolo.
+ L'`Action`array specifica l'azione che il proprietario del ruolo è autorizzato a eseguire sulla chiave KMS: creare una concessione per la chiave.
+ Il `Condition` blocco utilizza [gli operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) e le seguenti chiavi di condizione per filtrare l'accesso all'azione che il proprietario del ruolo è autorizzato a eseguire sulla chiave KMS:
  + [kms: GranteePrincipal](https://docs.aws.amazon.com/kms/latest/developerguide/conditions-kms.html#conditions-kms-grantee-principal) — Questa condizione consente al proprietario del ruolo di creare una concessione solo per il beneficiario principale specificato, che è l'ARN del ruolo IAM nel proprio account. In quell'ARN, *111122223333* c'è un esempio di ID account. Sostituisci questo valore con l'ID dell'account del proprietario del ruolo. *IAMRoleName*è un nome di esempio. Sostituisci questo valore con il nome del ruolo IAM nell'account del proprietario del ruolo.
  + [kms: GrantOperations](https://docs.aws.amazon.com/kms/latest/developerguide/conditions-kms.html#conditions-kms-grant-operations) — Questa condizione consente al proprietario del ruolo di creare una concessione solo per delegare l'autorizzazione a eseguire l' AWS KMS `Decrypt`azione (decrittografare il testo cifrato crittografato con la chiave). Impedisce al proprietario del ruolo di creare concessioni che delegano le autorizzazioni per eseguire altre azioni sulla chiave KMS. L'`Decrypt`azione è l'unica AWS KMS azione che il ruolo IAM deve essere autorizzato a eseguire per decrittografare un oggetto crittografato con la chiave.

Il punto in cui il proprietario della chiave aggiunge questa dichiarazione alla policy chiave dipende dalla struttura e dagli elementi attualmente contenuti nella policy. Quando il proprietario della chiave aggiunge l'istruzione, deve assicurarsi che la sintassi sia valida. Le politiche chiave utilizzano il formato JSON. Ciò significa che il proprietario della chiave deve aggiungere anche una virgola prima o dopo l'istruzione, a seconda di dove aggiunge l'istruzione alla politica. Per informazioni dettagliate sull'aggiornamento di una politica chiave, consulta [Modifica di una politica chiave](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) nella *Guida per gli AWS Key Management Service sviluppatori*.

**Fase 2: Creare una sovvenzione**  
Dopo che il proprietario della chiave ha aggiornato la politica chiave secondo necessità, il proprietario del ruolo crea una concessione per la chiave. La concessione delega le autorizzazioni pertinenti al ruolo IAM nel loro account (del proprietario del ruolo). Prima che il proprietario del ruolo crei la concessione, deve verificare di essere autorizzato a eseguire l'azione`kms:CreateGrant`. Questa azione consente loro di aggiungere una sovvenzione a una sovvenzione esistente gestita dal cliente AWS KMS key.

Per creare la concessione, il proprietario del ruolo può utilizzare il [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)funzionamento dell' AWS Key Management Service API. Quando il proprietario del ruolo crea la concessione, deve specificare i seguenti valori per i parametri richiesti:
+ `KeyId`— L'ARN della chiave KMS. Per l'accesso da più account a una chiave KMS, questo valore deve essere un ARN. Non può essere un ID chiave.
+ `GranteePrincipal`— L'ARN del ruolo IAM nel loro account. Questo valore dovrebbe essere`arn:aws:iam::111122223333:role/IAMRoleName`: *111122223333* dov'è l'ID dell'account del proprietario del ruolo e *IAMRoleName* il nome del ruolo.
+ `Operations`— L'azione AWS KMS di decrittografia ()`Decrypt`. Questa è l'unica AWS KMS azione che il ruolo IAM deve essere autorizzato a eseguire per decrittografare un oggetto crittografato con la chiave KMS.

Se il proprietario del ruolo utilizza AWS Command Line Interface (AWS CLI), può eseguire il comando [create-grant per creare](https://docs.aws.amazon.com/cli/latest/reference/kms/create-grant.html) la concessione. L’esempio seguente mostra come. L'esempio è formattato per Microsoft Windows e utilizza il carattere di continuazione di riga (^) per migliorare la leggibilità.

```
C:\> aws kms create-grant ^
--key-id arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab ^
--grantee-principal arn:aws:iam::111122223333:role/IAMRoleName ^
--operations "Decrypt"
```

Dove:
+ `key-id`specifica l'ARN della chiave KMS a cui applicare la concessione.
+ `grantee-principal`specifica l'ARN del ruolo IAM a cui è consentito eseguire l'azione specificata dalla concessione. Questo valore deve corrispondere all'ARN specificato dalla `kms:GranteePrincipal` condizione nella politica chiave.
+ `operations`specifica l'azione che la concessione consente al principale specificato di eseguire: decrittografare il testo cifrato crittografato con la chiave.

Se eseguirai il comando correttamente, riceverai un output simile al seguente.

```
{
    "GrantToken": "<grant token>",
    "GrantId": "1a2b3c4d2f5e69f440bae30eaec9570bb1fb7358824f9ddfa1aa5a0dab1a59b2"
}
```

Dove `GrantToken` è una stringa univoca, non segreta, a lunghezza variabile e con codifica in base64 che rappresenta la concessione creata e ne rappresenta l'identificatore univoco. `GrantId`

# Configurazione di Macie per recuperare campioni di dati sensibili
<a name="findings-retrieve-sd-configure"></a>

Facoltativamente, puoi configurare e utilizzare Amazon Macie per recuperare e rivelare campioni di dati sensibili che Macie riporta nei singoli risultati. Gli esempi possono aiutarti a verificare la natura dei dati sensibili trovati da Macie. Possono anche aiutarti a personalizzare l'indagine su un oggetto e un bucket Amazon Simple Storage Service (Amazon S3) interessati. Puoi recuperare e rivelare campioni di dati sensibili in tutte le regioni in Regioni AWS cui Macie è attualmente disponibile, ad eccezione delle regioni di Asia Pacifico (Osaka) e Israele (Tel Aviv).

Quando recuperi e riveli campioni di dati sensibili per una ricerca, Macie utilizza i dati contenuti nel corrispondente risultato della scoperta dei dati sensibili per individuare le occorrenze di dati sensibili nell'oggetto S3 interessato. Macie estrae quindi campioni di tali occorrenze dall'oggetto interessato. Macie crittografa i dati estratti con una chiave AWS Key Management Service (AWS KMS) specificata dall'utente, archivia temporaneamente i dati crittografati in una cache e restituisce i dati nei risultati per la ricerca. Subito dopo l'estrazione e la crittografia, Macie elimina definitivamente i dati dalla cache, a meno che non sia temporaneamente necessaria una conservazione aggiuntiva per risolvere un problema operativo.

Per recuperare e rivelare campioni di dati sensibili per i risultati, devi prima configurare e abilitare le impostazioni per il tuo account Macie. Devi anche configurare le risorse di supporto e le autorizzazioni per il tuo account. Gli argomenti di questa sezione ti guidano nel processo di configurazione di Macie per recuperare e rivelare campioni di dati sensibili e nella gestione dello stato della configurazione del tuo account.

**Topics**
+ [Prima di iniziare](#findings-retrieve-sd-configure-prereqs)
+ [Configurazione e attivazione delle impostazioni di Macie](#findings-retrieve-sd-configure-enable)
+ [Disabilitazione delle impostazioni di Macie](#findings-retrieve-sd-configure-manage)

**Suggerimento**  
Per consigli ed esempi di politiche che potresti utilizzare per controllare l'accesso a questa funzionalità, consulta il seguente post sul blog sulla *AWS sicurezza*: [Come usare Amazon Macie per visualizzare in anteprima i dati sensibili nei bucket S3](https://aws.amazon.com/blogs/security/how-to-use-amazon-macie-to-preview-sensitive-data-in-s3-buckets/).

## Prima di iniziare
<a name="findings-retrieve-sd-configure-prereqs"></a>

Prima di configurare Amazon Macie per recuperare e rivelare campioni di dati sensibili per i risultati, completa le seguenti attività per assicurarti di disporre delle risorse e delle autorizzazioni necessarie.

**Topics**
+ [Fase 1: Configurare un repository per i risultati del rilevamento di dati sensibili](#findings-retrieve-sd-configure-sddr)
+ [Fase 2: Determinare come accedere agli oggetti S3 interessati](#findings-retrieve-sd-configure-s3access)
+ [Fase 3: Configurare un AWS KMS key](#findings-retrieve-sd-configure-key)
+ [Fase 4: Verifica le tue autorizzazioni](#findings-retrieve-sd-configure-permissions)

Queste attività sono facoltative se hai già configurato Macie per recuperare e rivelare campioni di dati sensibili e desideri modificare solo le impostazioni di configurazione.

### Passaggio 1: configura un archivio per i risultati della scoperta di dati sensibili
<a name="findings-retrieve-sd-configure-sddr"></a>

Quando recuperi e riveli campioni di dati sensibili per una ricerca, Macie utilizza i dati del corrispondente risultato di rilevamento dei dati sensibili per individuare le occorrenze di dati sensibili nell'oggetto S3 interessato. Pertanto, è importante verificare di aver configurato un repository per i risultati del rilevamento dei dati sensibili. Altrimenti, Macie non sarà in grado di individuare campioni di dati sensibili che desideri recuperare e rivelare.

Per determinare se hai configurato questo repository per il tuo account, puoi utilizzare la console Amazon Macie: **scegli Discovery results** (in **Impostazioni**) nel pannello di navigazione. Per eseguire questa operazione a livello di codice, utilizza il [GetClassificationExportConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/classification-export-configuration.html)funzionamento dell'API Amazon Macie. Per ulteriori informazioni sui risultati della scoperta di dati sensibili e su come configurare questo repository, consulta. [Archiviazione e mantenimento dei risultati di rilevamento dei dati sensibili](discovery-results-repository-s3.md)

### Fase 2: Determinare come accedere agli oggetti S3 interessati
<a name="findings-retrieve-sd-configure-s3access"></a>

Per accedere agli oggetti S3 interessati e recuperare campioni di dati sensibili da essi, hai due opzioni. Puoi configurare Macie per utilizzare le tue credenziali utente AWS Identity and Access Management (IAM). Oppure puoi configurare Macie in modo che assuma un ruolo IAM che deleghi l'accesso a Macie. Puoi utilizzare entrambe le configurazioni con qualsiasi tipo di account Macie: l'account amministratore Macie delegato per un'organizzazione, un account membro Macie in un'organizzazione o un account Macie autonomo. Prima di configurare le impostazioni in Macie, stabilisci quale metodo di accesso desideri utilizzare. Per informazioni dettagliate sulle opzioni e i requisiti di ciascun metodo, consulta[Opzioni di configurazione per il recupero dei campioni](findings-retrieve-sd-options.md).

Se prevedi di utilizzare un ruolo IAM, crea e configura il ruolo prima di configurare le impostazioni in Macie. Assicurati inoltre che le politiche di fiducia e autorizzazioni per il ruolo soddisfino tutti i requisiti necessari per l'assunzione del ruolo da parte di Macie. Se il tuo account fa parte di un'organizzazione che gestisce centralmente più account Macie, collabora con l'amministratore Macie per determinare innanzitutto se e come configurare il ruolo per il tuo account.

### Fase 3: Configurare un AWS KMS key
<a name="findings-retrieve-sd-configure-key"></a>

Quando recuperi e riveli campioni di dati sensibili per una ricerca, Macie li crittografa con una chiave AWS Key Management Service (AWS KMS) specificata dall'utente. Pertanto, è necessario determinare quale AWS KMS key utilizzare per crittografare i campioni. La chiave può essere una chiave KMS esistente del tuo account o una chiave KMS esistente di proprietà di un altro account. Se desideri utilizzare una chiave di proprietà di un altro account, ottieni l'Amazon Resource Name (ARN) della chiave. Dovrai specificare questo ARN quando accedi alle impostazioni di configurazione in Macie.

La chiave KMS deve essere una chiave di crittografia simmetrica gestita dal cliente. Inoltre, deve essere una chiave a regione singola abilitata nello stesso account Regione AWS Macie. La chiave KMS può trovarsi in un archivio di chiavi esterno. Tuttavia, la chiave potrebbe quindi essere più lenta e meno affidabile di una chiave gestita interamente all'interno. AWS KMS Se la latenza o un problema di disponibilità impediscono a Macie di crittografare i campioni di dati sensibili che desideri recuperare e rivelare, si verifica un errore e Macie non restituisce alcun campione per la ricerca.

Inoltre, la policy chiave per la chiave deve consentire ai responsabili appropriati (ruoli IAM, utenti IAM o Account AWS) di eseguire le seguenti azioni:
+ `kms:Decrypt`
+ `kms:DescribeKey`
+ `kms:GenerateDataKey`

**Importante**  
Come ulteriore livello di controllo degli accessi, ti consigliamo di creare una chiave KMS dedicata per la crittografia dei campioni di dati sensibili che vengono recuperati e di limitare l'uso della chiave solo ai principali che devono essere autorizzati a recuperare e rivelare campioni di dati sensibili. Se a un utente non è consentito eseguire le azioni precedenti per la chiave, Macie respinge la richiesta di recuperare e rivelare campioni di dati sensibili. Macie non restituisce alcun campione per la scoperta.

*Per informazioni sulla creazione e la configurazione delle chiavi KMS, consulta [Create a KMS key](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) nella Developer Guide.AWS Key Management Service * *Per informazioni sull'utilizzo delle politiche chiave per gestire l'accesso alle chiavi KMS, consulta le [politiche chiave AWS KMS nella](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) Guida per gli sviluppatori.AWS Key Management Service *

### Passaggio 4: verifica le tue autorizzazioni
<a name="findings-retrieve-sd-configure-permissions"></a>

Prima di configurare le impostazioni in Macie, verifica anche di disporre delle autorizzazioni necessarie. Per verificare le tue autorizzazioni, utilizza AWS Identity and Access Management (IAM) per esaminare le policy IAM allegate alla tua identità IAM. Quindi confronta le informazioni contenute in tali policy con il seguente elenco di azioni che devi essere autorizzato a eseguire.

**Amazon Macie**  
Per Macie, verifica di avere il permesso di eseguire le seguenti azioni:  
+ `macie2:GetMacieSession`
+ `macie2:UpdateRevealConfiguration`
La prima azione ti consente di accedere al tuo account Macie. La seconda azione consente di modificare le impostazioni di configurazione per il recupero e la visualizzazione di campioni di dati sensibili. Ciò include l'attivazione e la disabilitazione della configurazione per l'account.  
Facoltativamente, verifica che anche tu sia autorizzato a eseguire l'azione`macie2:GetRevealConfiguration`. Questa azione ti consente di recuperare le impostazioni di configurazione correnti e lo stato attuale della configurazione per il tuo account.

**AWS KMS**  
Se prevedi di utilizzare la console Amazon Macie per accedere alle impostazioni di configurazione, verifica anche di essere autorizzato a eseguire le seguenti AWS Key Management Service (AWS KMS) azioni:  
+ `kms:DescribeKey`
+ `kms:ListAliases`
Queste azioni ti consentono di recuperare informazioni AWS KMS keys relative al tuo account. È quindi possibile scegliere uno di questi tasti quando si accede alle impostazioni.

**IAM**  
Se prevedi di configurare Macie per assumere un ruolo IAM per recuperare e rivelare campioni di dati sensibili, verifica anche di essere autorizzato a eseguire la seguente azione IAM:. `iam:PassRole` Questa azione ti consente di passare il ruolo a Macie, che a sua volta consente a Macie di assumere il ruolo. Quando inserisci le impostazioni di configurazione per il tuo account, Macie può anche verificare che il ruolo esista nel tuo account e sia configurato correttamente.

Se non sei autorizzato a eseguire le azioni richieste, chiedi assistenza AWS all'amministratore.

## Configurazione e attivazione delle impostazioni di Macie
<a name="findings-retrieve-sd-configure-enable"></a>

Dopo aver verificato di disporre delle risorse e delle autorizzazioni necessarie, puoi configurare le impostazioni in Amazon Macie e abilitare la configurazione per il tuo account.

Se il tuo account fa parte di un'organizzazione che gestisce centralmente più account Macie, tieni presente quanto segue prima di configurare o modificare successivamente le impostazioni del tuo account:
+ Se hai un account membro, collabora con l'amministratore di Macie per determinare se e come configurare le impostazioni per il tuo account. L'amministratore di Macie può aiutarti a determinare le impostazioni di configurazione corrette per il tuo account.
+ Se disponi di un account amministratore Macie e modifichi le impostazioni per l'accesso agli oggetti S3 interessati, le modifiche potrebbero influire su altri account e risorse dell'organizzazione. Ciò dipende dal fatto che Macie sia attualmente configurato per assumere un ruolo AWS Identity and Access Management (IAM) per recuperare campioni di dati sensibili. Se lo è e riconfigurate Macie per utilizzare le credenziali utente IAM, Macie elimina definitivamente le impostazioni esistenti per il ruolo IAM, ovvero il nome del ruolo e l'ID esterno per la configurazione. Se successivamente la tua organizzazione sceglie di utilizzare nuovamente i ruoli IAM, dovrai specificare un nuovo ID esterno nella politica di fiducia per il ruolo in ogni account membro applicabile.

Per dettagli sulle opzioni di configurazione e sui requisiti per entrambi i tipi di account, consulta[Opzioni di configurazione per il recupero dei campioni](findings-retrieve-sd-options.md).

Per configurare le impostazioni in Macie e abilitare la configurazione per il tuo account, puoi utilizzare la console Amazon Macie o l'API Amazon Macie.

------
#### [ Console ]

Segui questi passaggi per configurare e abilitare le impostazioni utilizzando la console Amazon Macie.

**Per configurare e abilitare le impostazioni di Macie**

1. Apri la console Amazon Macie all'indirizzo. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Utilizzando il Regione AWS selettore nell'angolo superiore destro della pagina, scegli la regione in cui desideri configurare e consenti a Macie di recuperare e rivelare campioni di dati sensibili.

1. ****Nel pannello di navigazione, in Impostazioni, scegli Reveal samples.****

1. Nella sezione **Settings** (Impostazioni), scegli **Edit** (Modifica).

1. In **Stato**, scegli **Abilitato**.

1. In **Access**, specifica il metodo di accesso e le impostazioni che desideri utilizzare per recuperare campioni di dati sensibili dagli oggetti S3 interessati:
   + **Per utilizzare un ruolo IAM che delega l'accesso a Macie, scegli Assumi un ruolo IAM.** Se scegli questa opzione, Macie recupera gli esempi assumendo il ruolo IAM che hai creato e configurato nel tuo. Account AWS Nella casella **Nome ruolo**, inserisci il nome del ruolo.
   + Per utilizzare le credenziali dell'utente IAM che richiede gli esempi, scegli **Usa credenziali utente IAM**. Se scegli questa opzione, ogni utente del tuo account utilizza la propria identità IAM individuale per recuperare gli esempi.

1. In **Crittografia**, specifica AWS KMS key quello che desideri utilizzare per crittografare i campioni di dati sensibili che vengono recuperati:
   + Per utilizzare una chiave KMS del tuo account, scegli **Seleziona una chiave dal** tuo account. Quindi, nell'**AWS KMS key**elenco, scegli la chiave da usare. L'elenco mostra le chiavi KMS di crittografia simmetrica esistenti per il tuo account.
   + Per utilizzare una chiave KMS di proprietà di un altro account, scegli **Inserisci l'ARN di una chiave di un** altro account. Quindi, nella casella **AWS KMS key ARN**, inserisci l'Amazon Resource Name (ARN) della chiave da utilizzare, ad esempio. **arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab**

1. **Quando hai finito di inserire le impostazioni, scegli Salva.**

Macie verifica le impostazioni e verifica che siano corrette. Se hai configurato Macie per assumere un ruolo IAM, Macie verifica anche che il ruolo esista nel tuo account e che le politiche di fiducia e autorizzazioni siano configurate correttamente. Se c'è un problema, Macie visualizza un messaggio che descrive il problema. 

Per risolvere un problema relativo a AWS KMS key, fai riferimento ai requisiti nell'[argomento precedente](#findings-retrieve-sd-configure-key) e specifica una chiave KMS che soddisfi i requisiti. Per risolvere un problema relativo al ruolo IAM, inizia verificando di aver inserito il nome del ruolo corretto. Se il nome è corretto, assicurati che le politiche del ruolo soddisfino tutti i requisiti necessari affinché Macie possa assumere il ruolo. Per questi dettagli, vedi[Configurazione di un ruolo IAM per accedere agli oggetti S3 interessati](findings-retrieve-sd-options.md#findings-retrieve-sd-options-s3access-role-configuration). Dopo aver risolto eventuali problemi, puoi salvare e abilitare le impostazioni.

**Nota**  
Se sei l'amministratore Macie di un'organizzazione e hai configurato Macie per assumere un ruolo IAM, Macie genera e visualizza un ID esterno dopo aver salvato le impostazioni del tuo account. Annota questo ID. La politica di fiducia per il ruolo IAM in ciascuno degli account membro applicabili deve specificare questo ID. Altrimenti, non sarai in grado di recuperare campioni di dati sensibili dagli oggetti S3 di proprietà degli account.

------
#### [ API ]

Per configurare e abilitare le impostazioni a livello di codice, utilizza il [UpdateRevealConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/reveal-configuration.html)funzionamento dell'API Amazon Macie. Nella richiesta, specifica i valori appropriati per i parametri supportati:
+ Per i `retrievalConfiguration` parametri, specifica il metodo di accesso e le impostazioni che desideri utilizzare per recuperare campioni di dati sensibili dagli oggetti S3 interessati: 
  + Per assumere un ruolo IAM che deleghi l'accesso a Macie, specifica il `retrievalMode` parametro e specifica il nome del ruolo `ASSUME_ROLE` per il parametro. `roleName` Se specifichi queste impostazioni, Macie recupera gli esempi assumendo il ruolo IAM che hai creato e configurato nel tuo. Account AWS
  + Per utilizzare le credenziali dell'utente IAM che richiede gli esempi, specifica `CALLER_CREDENTIALS` il parametro. `retrievalMode` Se specifichi questa impostazione, ogni utente del tuo account utilizza la propria identità IAM individuale per recuperare gli esempi.
**Importante**  
Se non specificate valori per questi parametri, Macie imposta il metodo di accesso (`retrievalMode`) su. `CALLER_CREDENTIALS` Se Macie è attualmente configurato per utilizzare un ruolo IAM per recuperare gli esempi, Macie elimina anche in modo permanente il nome del ruolo corrente e l'ID esterno per la configurazione. Per mantenere queste impostazioni per una configurazione esistente, includi i `retrievalConfiguration` parametri nella richiesta e specifica le impostazioni correnti per tali parametri. Per recuperare le impostazioni correnti, usa l'[GetRevealConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/reveal-configuration.html)operazione o, se stai usando il AWS Command Line Interface (AWS CLI), esegui il [get-reveal-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-reveal-configuration.html)comando.
+ Per il `kmsKeyId` parametro, specifica AWS KMS key quello che desideri utilizzare per crittografare i campioni di dati sensibili che vengono recuperati:
  + Per utilizzare una chiave KMS dal tuo account, specifica l'Amazon Resource Name (ARN), l'ID o l'alias per la chiave. Se specifichi un alias, includi il prefisso, ad esempio. `alias/` `alias/ExampleAlias`
  + Per utilizzare una chiave KMS di proprietà di un altro account, specifica l'ARN della chiave, ad esempio. `arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab` Oppure specifica l'ARN dell'alias per la chiave, ad esempio. `arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias`
+ Per il `status` parametro, specifica di abilitare la configurazione `ENABLED` per il tuo account Macie.

Nella richiesta, assicurati inoltre di specificare Regione AWS in che modo desideri abilitare e utilizzare la configurazione.

Per configurare e abilitare le impostazioni utilizzando il AWS CLI, esegui il [update-reveal-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-reveal-configuration.html)comando e specifica i valori appropriati per i parametri supportati. Ad esempio, se utilizzi Microsoft Windows, esegui il comando seguente: AWS CLI 

```
C:\> aws macie2 update-reveal-configuration ^
--region us-east-1 ^
--configuration={\"kmsKeyId\":\"arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias\",\"status\":\"ENABLED\"} ^
--retrievalConfiguration={\"retrievalMode\":\"ASSUME_ROLE\",\"roleName\":\"MacieRevealRole\"}
```

Dove: 
+ *us-east-1*è la regione in cui abilitare e utilizzare la configurazione. In questo esempio, la regione degli Stati Uniti orientali (Virginia settentrionale).
+ *arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias*è l'ARN dell'alias da utilizzare. AWS KMS key In questo esempio, la chiave è di proprietà di un altro account.
+ `ENABLED`è lo stato della configurazione.
+ *ASSUME\$1ROLE*è il metodo di accesso da utilizzare. In questo esempio, assumiamo il ruolo IAM specificato.
+ *MacieRevealRole*è il nome del ruolo IAM che Macie deve assumere durante il recupero di campioni di dati sensibili.

L'esempio precedente utilizza il carattere di continuazione di riga con accento circonflesso (^) per migliorare la leggibilità.

Quando invii la richiesta, Macie verifica le impostazioni. Se hai configurato Macie per assumere un ruolo IAM, Macie verifica anche che il ruolo esista nel tuo account e che le politiche di fiducia e autorizzazioni siano configurate correttamente. Se c'è un problema, la tua richiesta fallisce e Macie restituisce un messaggio che descrive il problema. Per risolvere un problema con il AWS KMS key, fai riferimento ai requisiti nell'[argomento precedente](#findings-retrieve-sd-configure-key) e specifica una chiave KMS che soddisfi i requisiti. Per risolvere un problema relativo al ruolo IAM, inizia verificando di aver specificato il nome del ruolo corretto. Se il nome è corretto, assicurati che le politiche del ruolo soddisfino tutti i requisiti necessari affinché Macie possa assumere il ruolo. Per questi dettagli, vedi[Configurazione di un ruolo IAM per accedere agli oggetti S3 interessati](findings-retrieve-sd-options.md#findings-retrieve-sd-options-s3access-role-configuration). Dopo aver risolto il problema, invia nuovamente la richiesta.

Se la richiesta ha esito positivo, Macie abilita la configurazione del tuo account nella regione specificata e riceverai un output simile al seguente.

```
{
  "configuration": {
    "kmsKeyId": "arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias",
    "status": "ENABLED"
  },
  "retrievalConfiguration": {
    "externalId": "o2vee30hs31642lexample",
    "retrievalMode": "ASSUME_ROLE",
    "roleName": "MacieRevealRole"
  }
}
```

Dove `kmsKeyId` specifica AWS KMS key da usare per crittografare i campioni di dati sensibili che vengono recuperati ed `status` è lo stato della configurazione per il tuo account Macie. I `retrievalConfiguration` valori specificano il metodo di accesso e le impostazioni da utilizzare per il recupero dei campioni.

**Nota**  
Se sei l'amministratore Macie di un'organizzazione e hai configurato Macie per assumere un ruolo IAM, annota l'ID esterno (`externalId`) nella risposta. La politica di fiducia per il ruolo IAM in ciascuno degli account membro applicabili deve specificare questo ID. Altrimenti, non sarai in grado di recuperare campioni di dati sensibili dagli oggetti S3 interessati di proprietà degli account.

Per verificare successivamente le impostazioni o lo stato della configurazione del tuo account, usa l'[GetRevealConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/reveal-configuration.html)operazione o, per il AWS CLI, esegui il comando. [get-reveal-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-reveal-configuration.html)

------

## Disabilitazione delle impostazioni di Macie
<a name="findings-retrieve-sd-configure-manage"></a>

Puoi disabilitare le impostazioni di configurazione per il tuo account Amazon Macie in qualsiasi momento. Se disabiliti la configurazione, Macie mantiene l'impostazione che specifica quale utilizzare AWS KMS key per crittografare i campioni di dati sensibili che vengono recuperati. Macie elimina definitivamente le impostazioni di accesso di Amazon S3 per la configurazione.

**avvertimento**  
Quando disabiliti le impostazioni di configurazione per il tuo account Macie, elimini definitivamente anche le impostazioni correnti che specificano come accedere agli oggetti S3 interessati. Se Macie è attualmente configurato per accedere agli oggetti interessati assumendo un ruolo AWS Identity and Access Management (IAM), ciò include: il nome del ruolo e l'ID esterno generato da Macie per la configurazione. Queste impostazioni non possono essere recuperate dopo essere state eliminate.

Per disabilitare le impostazioni di configurazione per il tuo account Macie, puoi utilizzare la console Amazon Macie o l'API Amazon Macie.

------
#### [ Console ]

Segui questi passaggi per disabilitare le impostazioni di configurazione per il tuo account utilizzando la console Amazon Macie.

**Per disabilitare le impostazioni di Macie**

1. Apri la console Amazon Macie all'indirizzo. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Utilizzando il Regione AWS selettore nell'angolo superiore destro della pagina, scegli la regione in cui desideri disabilitare le impostazioni di configurazione per il tuo account Macie.

1. **Nel pannello di navigazione, in **Impostazioni**, scegli Reveal samples.**

1. Nella sezione **Settings** (Impostazioni), scegli **Edit** (Modifica).

1. Per **Stato**, scegli **Disabilita**.

1. Scegli **Save** (Salva).

------
#### [ API ]

Per disabilitare le impostazioni di configurazione a livello di codice, utilizza il [UpdateRevealConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/reveal-configuration.html)funzionamento dell'API Amazon Macie. Nella richiesta, assicurati di specificare il campo Regione AWS in cui desideri disabilitare la configurazione. Per il parametro `status`, specifica `DISABLED`.

Per disabilitare le impostazioni di configurazione utilizzando AWS Command Line Interface (AWS CLI), esegui il [update-reveal-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-reveal-configuration.html)comando. Utilizzate il `region` parametro per specificare la regione in cui desiderate disabilitare la configurazione. Per il parametro `status`, specifica `DISABLED`. Ad esempio, se utilizzi Microsoft Windows, esegui il comando seguente: AWS CLI 

```
C:\> aws macie2 update-reveal-configuration --region us-east-1 --configuration={\"status\":\"DISABLED\"}
```

Dove: 
+ *us-east-1*è la regione in cui disattivare la configurazione. In questo esempio, la regione degli Stati Uniti orientali (Virginia settentrionale).
+ `DISABLED`è il nuovo stato della configurazione.

Se la richiesta ha esito positivo, Macie disabilita la configurazione del tuo account nella regione specificata e ricevi un output simile al seguente.

```
{
    "configuration": {
        "status": "DISABLED"
    }
}
```

`status`Dov'è il nuovo stato della configurazione del tuo account Macie.

------

Se Macie è stato configurato per assumere un ruolo IAM per recuperare campioni di dati sensibili, puoi facoltativamente eliminare il ruolo e la politica di autorizzazione del ruolo. Macie non elimina queste risorse quando disabiliti le impostazioni di configurazione per il tuo account. Inoltre, Macie non utilizza queste risorse per eseguire altre attività per il tuo account. Per eliminare il ruolo e la relativa politica di autorizzazione, puoi utilizzare la console IAM o l'API IAM. Per ulteriori informazioni, consulta [Eliminazione dei ruoli nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) per l'*AWS Identity and Access Management utente*.

# Recupero di campioni di dati sensibili per una scoperta di Macie
<a name="findings-retrieve-sd-proc"></a>

Utilizzando Amazon Macie, puoi recuperare e rivelare campioni di dati sensibili che Macie riporta nelle singole rilevazioni di dati sensibili. [Ciò include i dati sensibili che Macie rileva utilizzando identificatori di [dati gestiti e i dati che corrispondono ai criteri degli identificatori](managed-data-identifiers.md) di dati personalizzati.](custom-data-identifiers.md) Gli esempi possono aiutarti a verificare la natura dei dati sensibili trovati da Macie. Possono anche aiutarti a personalizzare l'indagine su un oggetto e un bucket Amazon Simple Storage Service (Amazon S3) interessati. Puoi recuperare e rivelare campioni di dati sensibili in tutte le regioni in Regioni AWS cui Macie è attualmente disponibile, ad eccezione delle regioni di Asia Pacifico (Osaka) e Israele (Tel Aviv).

Se recuperi e riveli campioni di dati sensibili per un risultato, Macie utilizza i dati contenuti nel corrispondente risultato della [scoperta di dati sensibili per individuare le prime 1-10 occorrenze di dati sensibili segnalate dal risultato](discovery-results-repository-s3.md). Macie estrae quindi i primi 1-128 caratteri di ogni occorrenza dall'oggetto S3 interessato. Se un risultato riporta più tipi di dati sensibili, Macie lo fa per un massimo di 100 tipi di dati sensibili segnalati dal risultato. 

Quando Macie estrae dati sensibili da un oggetto S3 interessato, Macie crittografa i dati con una chiave AWS Key Management Service (AWS KMS) specificata dall'utente, archivia temporaneamente i dati crittografati in una cache e restituisce i dati nei risultati per la ricerca. Subito dopo l'estrazione e la crittografia, Macie elimina definitivamente i dati dalla cache, a meno che non sia temporaneamente necessaria una conservazione aggiuntiva per risolvere un problema operativo.

Se scegli di recuperare e rivelare campioni di dati sensibili per un nuovo ritrovamento, Macie ripete il processo per localizzare, estrarre, crittografare, archiviare e infine eliminare i campioni.

Per una dimostrazione di come recuperare e rivelare campioni di dati sensibili utilizzando la console Amazon Macie, guarda il seguente video:




**Topics**
+ [Prima di iniziare](#findings-retrieve-sd-proc-prereqs)
+ [Determinare se i campioni sono disponibili per una scoperta](#findings-retrieve-sd-proc-criteria)
+ [Recupero di campioni per una scoperta](#findings-retrieve-sd-proc-steps)

## Prima di iniziare
<a name="findings-retrieve-sd-proc-prereqs"></a>

Prima di poter recuperare e rivelare campioni di dati sensibili per i risultati, devi [configurare e abilitare le impostazioni per il tuo account Amazon Macie](findings-retrieve-sd-configure.md). Inoltre, devi collaborare con il tuo AWS amministratore per verificare di disporre delle autorizzazioni e delle risorse necessarie.

Quando recuperi e riveli campioni di dati sensibili per una ricerca, Macie esegue una serie di attività per localizzare, recuperare, crittografare e rivelare i campioni. Macie non utilizza il [ruolo collegato al servizio Macie per il tuo account per eseguire](service-linked-roles.md) queste attività. Invece, usi la tua identità AWS Identity and Access Management (IAM) o consenti a Macie di assumere un ruolo IAM nel tuo account.

Per recuperare e rivelare campioni di dati sensibili per un risultato, devi avere accesso al risultato della scoperta, al corrispondente risultato della scoperta dei dati sensibili e a AWS KMS key quello che hai configurato Macie per utilizzare per crittografare i campioni di dati sensibili. Inoltre, a te o al ruolo IAM deve essere consentito di accedere al bucket S3 e all'oggetto S3 interessato. A te o al ruolo deve inoltre essere consentito di utilizzare AWS KMS key ciò che è stato utilizzato per crittografare l'oggetto interessato, se applicabile. Se alcune politiche IAM, politiche delle risorse o altre impostazioni di autorizzazione negano l'accesso richiesto, si verifica un errore e Macie non restituisce alcun esempio del risultato.

Devi inoltre avere il permesso di eseguire le seguenti azioni di Macie:
+ `macie2:GetMacieSession`
+ `macie2:GetFindings`
+ `macie2:ListFindings`
+ `macie2:GetSensitiveDataOccurrences`

Le prime tre azioni ti consentono di accedere al tuo account Macie e recuperare i dettagli dei risultati. L'ultima azione consente di recuperare e rivelare campioni di dati sensibili per i risultati.

Per utilizzare la console Amazon Macie per recuperare e rivelare campioni di dati sensibili, devi inoltre essere autorizzato a eseguire la seguente azione:. `macie2:GetSensitiveDataOccurrencesAvailability` Questa azione consente di determinare se i campioni sono disponibili per i singoli risultati. Non è necessaria l'autorizzazione per eseguire questa azione per recuperare e rivelare campioni a livello di codice. Tuttavia, disporre di questa autorizzazione può semplificare il recupero dei campioni.

Se sei l'amministratore Macie delegato di un'organizzazione e hai configurato Macie per assumere un ruolo IAM per recuperare campioni di dati sensibili, devi anche essere autorizzato a eseguire la seguente azione:. `macie2:GetMember` Questa azione ti consente di recuperare informazioni sull'associazione tra il tuo account e un account interessato. Consente a Macie di verificare che tu sia attualmente l'amministratore Macie dell'account interessato.

Se non sei autorizzato a eseguire le azioni richieste o ad accedere ai dati e alle risorse necessari, chiedi assistenza all'amministratore AWS .

## Determinare se sono disponibili campioni di dati sensibili ai fini di una ricerca
<a name="findings-retrieve-sd-proc-criteria"></a>

Per recuperare e rivelare campioni di dati sensibili per un risultato, il risultato deve soddisfare determinati criteri. Deve includere dati sulla posizione per occorrenze specifiche di dati sensibili. Inoltre, deve specificare la posizione di un risultato valido e corrispondente alla scoperta di dati sensibili. Il risultato della scoperta di dati sensibili deve essere archiviato nello Regione AWS stesso del risultato. Se hai configurato Amazon Macie per accedere agli oggetti S3 interessati assumendo un ruolo AWS Identity and Access Management (IAM), anche il risultato del rilevamento dei dati sensibili deve essere archiviato in un oggetto S3 firmato da Macie con un codice di autenticazione dei messaggi basato su Hash (HMAC). AWS KMS key<a name="findings-retrieve-sd-criteria-mimetype"></a>

L'oggetto S3 interessato deve inoltre soddisfare determinati criteri. Il tipo MIME dell'oggetto deve essere uno dei seguenti:
+ *application/avro*, per un file contenitore di oggetti Apache Avro (.avro)
+ *application/gzip*, per un file di archivio compresso GNU Zip (.gz o .gzip)
+ *application/json*, per un file JSON o JSON Lines (.json o .jsonl)
+ *application/parquet*, per un file Apache Parquet (.parquet)
+ *application/vnd.openxmlformats-officedocument.spreadsheetml.sheet*, per un file di cartella di lavoro di Microsoft Excel (.xlsx)
+ *application/zip*, per un file di archivio compresso ZIP (.zip)
+ *text/csv*, per un file CSV (.csv)
+ *text/plain*, per un file di testo non binario diverso da un file CSV, JSON, JSON Lines o TSV
+ *text/tab-separated-values*, per un file TSV (.tsv)

Inoltre, il contenuto dell'oggetto S3 deve essere lo stesso di quando è stato creato il risultato. Macie controlla il tag di entità (ETag) dell'oggetto per determinare se corrisponde a quello ETag specificato dal risultato. Inoltre, la dimensione di archiviazione dell'oggetto non può superare la quota di dimensioni applicabile per il recupero e la rivelazione di campioni di dati sensibili. Per un elenco delle quote applicabili, vedere. [Quote per Macie](macie-quotas.md)

Se un risultato e l'oggetto S3 interessato soddisfano i criteri precedenti, sono disponibili esempi di dati sensibili per il risultato. Facoltativamente, è possibile determinare se questo è il caso di un particolare risultato prima di provare a recuperarlo e rivelarne degli esempi.

**Per determinare se sono disponibili campioni di dati sensibili per un risultato**  
Puoi utilizzare la console Amazon Macie o l'API Amazon Macie per determinare se sono disponibili campioni di dati sensibili per una ricerca.

------
#### [ Console ]

Segui questi passaggi sulla console Amazon Macie per determinare se sono disponibili campioni di dati sensibili per una ricerca.

**Per determinare se i campioni sono disponibili per un risultato**

1. Apri la console Amazon Macie all'indirizzo. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Nel riquadro di navigazione, seleziona **Esiti**.

1. Nella pagina **Risultati**, scegli il risultato. Il pannello dei dettagli mostra le informazioni relative al risultato.

1. Nel pannello dei dettagli, scorri fino alla sezione **Dati sensibili**. Quindi fai riferimento al campo **Reveal samples**.

   Se sono disponibili campioni di dati sensibili per la ricerca, nel campo viene visualizzato un link **Revisione**, come mostrato nell'immagine seguente.  
![\[Il campo Reveal samples nel pannello dei dettagli del risultato. Il campo contiene un link denominato Review.\]](http://docs.aws.amazon.com/it_it/macie/latest/user/images/scrn-findings-reveal-samples.png)

   Se per la ricerca non sono disponibili campioni di dati sensibili, nel campo **Rivela esempi** viene visualizzato un testo che indica il motivo:
   + **Account non appartenente all'organizzazione**: non ti è consentito accedere all'oggetto S3 interessato utilizzando Macie. L'account interessato non fa attualmente parte della tua organizzazione. Oppure l'account fa parte della tua organizzazione ma Macie non è attualmente abilitato per l'account nella versione corrente Regione AWS.
   + Risultato di **classificazione non valido: non esiste un risultato** corrispondente all'individuazione di dati sensibili per il risultato. Oppure il risultato dell'individuazione dei dati sensibili corrispondente non è disponibile nella versione corrente Regione AWS, è difettoso o danneggiato o utilizza un formato di archiviazione non supportato. Macie non può verificare la posizione dei dati sensibili da recuperare.
   + **Firma del risultato non valida**: il risultato corrispondente del rilevamento dei dati sensibili è archiviato in un oggetto S3 che non è stato firmato da Macie. Macie non può verificare l'integrità e l'autenticità del risultato del rilevamento dei dati sensibili. Pertanto, Macie non può verificare la posizione dei dati sensibili da recuperare.
   + **Ruolo del membro troppo permissivo**: la politica di fiducia o di autorizzazione per il ruolo IAM nell'account membro interessato non soddisfa i requisiti di Macie per la limitazione dell'accesso al ruolo. Oppure la policy di fiducia del ruolo non specifica l'ID esterno corretto per la tua organizzazione. Macie non può assumersi il ruolo di recuperare i dati sensibili.
   + ** GetMember Autorizzazione mancante**: non ti è consentito recuperare informazioni sull'associazione tra il tuo account e l'account interessato. Macie non è in grado di determinare se sei autorizzato ad accedere all'oggetto S3 interessato come amministratore Macie delegato per l'account interessato.
   + **L'oggetto supera la quota di dimensione**: la dimensione di archiviazione dell'oggetto S3 interessato supera la quota di dimensioni per il recupero e la visualizzazione di campioni di dati sensibili da quel tipo di file.
   + **Oggetto non disponibile**: l'oggetto S3 interessato non è disponibile. L'oggetto è stato rinominato, spostato o eliminato o il suo contenuto è stato modificato dopo che Macie ha creato il risultato. Oppure l'oggetto è crittografato con un file AWS KMS key che non è disponibile. Ad esempio, la chiave è disabilitata, è pianificata per l'eliminazione o è stata eliminata.
   + **Risultato non firmato**: il risultato corrispondente del rilevamento dei dati sensibili viene archiviato in un oggetto S3 che non è stato firmato. Macie non può verificare l'integrità e l'autenticità del risultato della scoperta dei dati sensibili. Pertanto, Macie non può verificare la posizione dei dati sensibili da recuperare.
   + **Ruolo troppo permissivo**: il tuo account è configurato per recuperare le occorrenze di dati sensibili utilizzando un ruolo IAM la cui politica di fiducia o di autorizzazione non soddisfa i requisiti di Macie per la limitazione dell'accesso al ruolo. Macie non può assumersi il ruolo di recuperare i dati sensibili.
   + **Tipo di oggetto non supportato**: l'oggetto S3 interessato utilizza un formato di file o di archiviazione che Macie non supporta per il recupero e la rivelazione di campioni di dati sensibili. [Il tipo MIME dell'oggetto S3 interessato non è uno dei valori nell'elenco precedente.](#findings-retrieve-sd-criteria-mimetype)

   Se c'è un problema con il risultato dell'individuazione di dati sensibili relativi al risultato, le informazioni nel campo **Posizione dettagliata dei risultati del risultato** possono aiutarvi a risolvere il problema. Questo campo specifica il percorso originale del risultato in Amazon S3. Per esaminare un problema relativo a un ruolo IAM, assicurati che le politiche del ruolo soddisfino tutti i requisiti necessari per l'assunzione del ruolo da parte di Macie. Per questi dettagli, vedi[Configurazione di un ruolo IAM per accedere agli oggetti S3 interessati](findings-retrieve-sd-options.md#findings-retrieve-sd-options-s3access-role-configuration).

------
#### [ API ]

Per determinare in modo programmatico se sono disponibili campioni di dati sensibili per una ricerca, utilizza il [GetSensitiveDataOccurrencesAvailability](https://docs.aws.amazon.com/macie/latest/APIReference/findings-findingid-reveal-availability.html)funzionamento dell'API Amazon Macie. Quando invii la richiesta, utilizza il `findingId` parametro per specificare l'identificatore univoco per il risultato. Per ottenere questo identificatore, è possibile utilizzare l'[ListFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings.html)operazione.

Se stai usando il AWS Command Line Interface (AWS CLI), esegui il comando [get-sensitive-data-occurrences-availability](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitive-data-occurrences-availability.html) e usa il `finding-id` parametro per specificare l'identificatore univoco per il risultato. [Per ottenere questo identificatore, puoi eseguire il comando list-finding.](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-findings.html)

Se la richiesta ha esito positivo e sono disponibili campioni per la ricerca, si ottiene un risultato simile al seguente:

```
{
    "code": "AVAILABLE",
    "reasons": []
}
```

Se la richiesta ha esito positivo e i campioni non sono disponibili per la ricerca, il valore del `code` campo è `UNAVAILABLE` e l'`reasons`array specifica il motivo. Esempio:

```
{
    "code": "UNAVAILABLE",
    "reasons": [
        "UNSUPPORTED_OBJECT_TYPE"
    ]
}
```

Se c'è un problema con il risultato dell'individuazione di dati sensibili relativi al risultato, le informazioni contenute nel `classificationDetails.detailedResultsLocation` campo del risultato possono aiutarti a risolvere il problema. Questo campo specifica il percorso originale del risultato in Amazon S3. Per esaminare un problema relativo a un ruolo IAM, assicurati che le politiche del ruolo soddisfino tutti i requisiti necessari per l'assunzione del ruolo da parte di Macie. Per questi dettagli, vedi[Configurazione di un ruolo IAM per accedere agli oggetti S3 interessati](findings-retrieve-sd-options.md#findings-retrieve-sd-options-s3access-role-configuration).

------

## Recupero di campioni di dati sensibili per una ricerca
<a name="findings-retrieve-sd-proc-steps"></a>

Per recuperare e rivelare campioni di dati sensibili per una ricerca, puoi utilizzare la console Amazon Macie o l'API Amazon Macie.

------
#### [ Console ]

Segui questi passaggi per recuperare e rivelare campioni di dati sensibili per una ricerca utilizzando la console Amazon Macie.

**Per recuperare e rivelare campioni di dati sensibili ai fini di una scoperta**

1. Apri la console Amazon Macie all'indirizzo. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Nel riquadro di navigazione, seleziona **Esiti**.

1. Nella pagina **Risultati**, scegli il risultato. Il pannello dei dettagli mostra le informazioni relative al risultato.

1. Nel pannello dei dettagli, scorri fino alla sezione **Dati sensibili**. Quindi, nel campo **Reveal samples**, scegli **Revisione**:  
![\[Il campo Reveal samples nel pannello dei dettagli della ricerca. Il campo contiene un link denominato Review.\]](http://docs.aws.amazon.com/it_it/macie/latest/user/images/scrn-findings-reveal-samples.png)
**Nota**  
Se il link **Review** non viene visualizzato nel campo **Reveal samples**, non sono disponibili esempi di dati sensibili per il risultato. Per determinare il motivo di questa situazione, consultate l'[argomento precedente](#findings-retrieve-sd-proc-criteria).

   Dopo aver scelto **Revisione**, Macie visualizza una pagina che riassume i dettagli chiave del risultato. I dettagli includono le categorie, i tipi e il numero di occorrenze di dati sensibili che Macie ha trovato nell'oggetto S3 interessato.

1. **Nella sezione **Dati sensibili** della pagina, scegli Reveal samples.** Macie recupera quindi e rivela i campioni delle prime 1-10 occorrenze di dati sensibili riportate dalla scoperta. Ogni campione contiene i primi 1—128 caratteri di una occorrenza di dati sensibili. Il recupero e la visualizzazione dei campioni possono richiedere diversi minuti.

   Se il risultato riporta diversi tipi di dati sensibili, Macie recupera e rivela campioni per un massimo di 100 tipi. Ad esempio, l'immagine seguente mostra esempi che comprendono più categorie e tipi di dati sensibili:AWS credenziali, numeri di telefono statunitensi e nomi di persone.  
![\[La tabella degli esempi. Elenca nove campioni e la categoria e il tipo di dati sensibili di ciascun campione.\]](http://docs.aws.amazon.com/it_it/macie/latest/user/images/scrn-findings-sd-samples.png)

   I campioni sono organizzati prima per categoria di dati sensibili e poi per tipo di dati sensibili.

------
#### [ API ]

Per recuperare e rivelare campioni di dati sensibili per una ricerca a livello di codice, utilizza il [GetSensitiveDataOccurrences](https://docs.aws.amazon.com/macie/latest/APIReference/findings-findingid-reveal.html)funzionamento dell'API Amazon Macie. Quando invii la richiesta, utilizza il `findingId` parametro per specificare l'identificatore univoco per il risultato. Per ottenere questo identificatore, è possibile utilizzare l'[ListFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings.html)operazione.

Per recuperare e rivelare campioni di dati sensibili utilizzando AWS Command Line Interface (AWS CLI), esegui il [get-sensitive-data-occurrences](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitive-data-occurrences.html)comando e utilizza il `finding-id` parametro per specificare l'identificatore univoco per il risultato. Esempio:

```
C:\> aws macie2 get-sensitive-data-occurrences --finding-id "1f1c2d74db5d8caa76859ec52example"
```

*1f1c2d74db5d8caa76859ec52example*Dov'è l'identificatore univoco del risultato. Per ottenere questo identificatore utilizzando AWS CLI, è possibile eseguire il comando [list-finding](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-findings.html).

Se la tua richiesta ha esito positivo, Macie inizia a elaborarla e ricevi un output simile al seguente:

```
{
    "status": "PROCESSING"
}
```

L'elaborazione della richiesta può richiedere diversi minuti. Entro pochi minuti, invia nuovamente la richiesta.

Se Macie è in grado di localizzare, recuperare e crittografare i campioni di dati sensibili, Macie restituisce gli esempi in una mappa. `sensitiveDataOccurrences` La mappa specifica da 1 a 100 tipi di dati sensibili riportati dalla scoperta e da 1 a 10 campioni per ogni tipo. Ogni campione contiene i primi 1-128 caratteri di un'occorrenza di dati sensibili segnalati dal risultato.

Nella mappa, ogni chiave è l'ID dell'identificatore di dati gestito che ha rilevato i dati sensibili oppure il nome e l'identificatore univoco dell'identificatore di dati personalizzato che ha rilevato i dati sensibili. I valori sono esempi per l'identificatore di dati gestito o l'identificatore di dati personalizzato specificato. Ad esempio, la risposta seguente fornisce tre esempi di nomi di persone e due esempi di chiavi di accesso AWS segrete rilevate dagli identificatori di dati gestiti (`NAME`e`AWS_CREDENTIALS`, rispettivamente).

```
{
    "sensitiveDataOccurrences": {
        "NAME": [
            {
                "value": "Akua Mansa"
            },
            {
                "value": "John Doe"
            },
            {
                "value": "Martha Rivera"
            }
        ],
        "AWS_CREDENTIALS": [
            {
                "value": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY"
            },
            {
                "value": "je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY"
            }
        ]
    },
    "status": "SUCCESS"
}
```

Se la richiesta ha esito positivo ma non sono disponibili campioni di dati sensibili per la ricerca, riceverai un `UnprocessableEntityException` messaggio che indica il motivo per cui i campioni non sono disponibili. Esempio:

```
{
    "message": "An error occurred (UnprocessableEntityException) when calling the GetSensitiveDataOccurrences operation: OBJECT_UNAVAILABLE"
}
```

Nell'esempio precedente, Macie ha tentato di recuperare campioni dall'oggetto S3 interessato, ma l'oggetto non è più disponibile. Il contenuto dell'oggetto è cambiato dopo che Macie ha creato il risultato.

Se la richiesta ha esito positivo ma un altro tipo di errore ha impedito a Macie di recuperare e rivelare campioni di dati sensibili necessari alla ricerca, riceverai un output simile al seguente:

```
{
    "error": "Macie can't retrieve the samples. You're not allowed to access the affected S3 object or the object is encrypted with a key that you're not allowed to use.",
    "status": "ERROR"
}
```

Il valore del `status` campo è `ERROR` e il campo descrive l'errore che si è verificato`error`. Le informazioni contenute nell'[argomento precedente](#findings-retrieve-sd-proc-criteria) possono aiutarti a esaminare l'errore.

------

# Schema per la segnalazione della posizione dei dati sensibili
<a name="findings-locate-sd-schema"></a>

Amazon Macie utilizza strutture JSON standardizzate per archiviare informazioni su dove trova dati sensibili negli oggetti Amazon Simple Storage Service (Amazon S3). Le strutture vengono utilizzate per la rilevazione di dati sensibili e per i risultati della scoperta di dati sensibili. Per i risultati di dati sensibili, le strutture fanno parte dello schema JSON per i risultati. Per esaminare lo schema JSON completo per i risultati, consulta [Findings](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html) in *Amazon Macie* API Reference. Per ulteriori informazioni sui risultati della scoperta di dati sensibili, consulta. [Archiviazione e mantenimento dei risultati di rilevamento dei dati sensibili](discovery-results-repository-s3.md)

**Topics**
+ [Panoramica dello schema](#findings-locate-sd-schema-overview)
+ [Dettagli ed esempi dello schema](#findings-locate-sd-schema-examples)

## Panoramica dello schema
<a name="findings-locate-sd-schema-overview"></a>

Per segnalare la posizione dei dati sensibili che Amazon Macie ha trovato in un oggetto S3 interessato, lo schema JSON per il rilevamento di dati sensibili e i risultati del rilevamento di dati sensibili include un `customDataIdentifiers` oggetto e un oggetto. `sensitiveData` [L'`customDataIdentifiers`oggetto fornisce dettagli sui dati rilevati da Macie utilizzando identificatori di dati personalizzati.](custom-data-identifiers.md) L'`sensitiveData`oggetto fornisce dettagli sui dati rilevati da Macie utilizzando identificatori di dati [gestiti](managed-data-identifiers.md).

Ogni `customDataIdentifiers` `sensitiveData` oggetto contiene uno o più `detections` array:
+ In un `customDataIdentifiers` oggetto, l'`detections`array indica quali identificatori di dati personalizzati hanno rilevato i dati e prodotto il risultato. Per ogni identificatore di dati personalizzato, l'array indica anche il numero di occorrenze dei dati rilevati dall'identificatore. Può anche indicare la posizione dei dati rilevati dall'identificatore.
+ In un `sensitiveData` oggetto, un `detections` array indica i tipi di dati sensibili rilevati da Macie utilizzando identificatori di dati gestiti. Per ogni tipo di dati sensibili, l'array indica anche il numero di occorrenze dei dati e può indicare la posizione dei dati.

Per la ricerca di dati sensibili, un `detections` array può includere da 1 `occurrences` a 15 oggetti. Ogni `occurrences` oggetto specifica dove Macie ha rilevato le singole occorrenze di un tipo specifico di dati sensibili.

Ad esempio, l'`detections`array seguente indica la posizione di tre occorrenze di dati sensibili (numeri di previdenza sociale degli Stati Uniti) che Macie ha trovato in un file CSV.

```
"sensitiveData": [
     {
       "category": "PERSONAL_INFORMATION",
       "detections": [
          {
             "count": 30,
             "occurrences": {
                "cells": [
                   {
                      "cellReference": null,
                      "column": 1,
                      "columnName": "SSN",
                      "row": 2
                   },
                   {
                      "cellReference": null,
                      "column": 1,
                      "columnName": "SSN",
                      "row": 3
                   },
                   {
                      "cellReference": null,
                      "column": 1,
                      "columnName": "SSN",
                      "row": 4
                   }
                ]
             },
             "type": "USA_SOCIAL_SECURITY_NUMBER"
           }
```

La posizione e il numero di `occurrences` oggetti in un `detections` array variano in base alle categorie, ai tipi e al numero di occorrenze di dati sensibili rilevati da Macie durante un ciclo di analisi automatizzato di rilevamento di dati sensibili o l'esecuzione di un processo di rilevamento di dati sensibili. Per ogni ciclo di analisi o processo eseguito, Macie utilizza un algoritmo di *ricerca basato sulla profondità per compilare i* risultati risultanti con i dati sulla posizione per 1-15 occorrenze di dati sensibili che Macie rileva negli oggetti S3. Queste occorrenze sono indicative delle categorie e dei tipi di dati sensibili che un bucket e un oggetto S3 interessati potrebbero contenere.

Un `occurrences` oggetto può contenere una delle seguenti strutture, a seconda del tipo di file o del formato di archiviazione dell'oggetto S3 interessato:
+ `cells`array: questo array si applica alle cartelle di lavoro di Microsoft Excel, ai file CSV e ai file TSV. Un oggetto in questo array specifica una cella o un campo in cui Macie ha rilevato una presenza di dati sensibili. 
+ `lineRanges`array: questo array si applica ai file di messaggi di posta elettronica (EML) e ai file di testo non binari diversi dai file CSV, JSON, JSON Lines e TSV, ad esempio file HTML, TXT e XML. Un oggetto in questo array specifica una riga o un intervallo di righe inclusivo in cui Macie ha rilevato la presenza di dati sensibili e la posizione dei dati sulla riga o sulle righe specificate.

  In alcuni casi, un oggetto in un `lineRanges` array specifica la posizione del rilevamento di dati sensibili in un tipo di file o formato di archiviazione supportato da un altro tipo di array. Questi casi sono: un rilevamento in una sezione non strutturata di un file altrimenti strutturato, ad esempio un commento in un file; un rilevamento in un file non valido che Macie analizza come testo normale; e un file CSV o TSV con uno o più nomi di colonna in cui Macie ha rilevato dati sensibili.
+ `offsetRanges`array — Questo array è riservato per utilizzi futuri. Se questo array è presente, il suo valore è nullo.
+ `pages`array: questo array si applica ai file Adobe Portable Document Format (PDF). Un oggetto in questo array specifica una pagina in cui Macie ha rilevato una presenza di dati sensibili.
+ `records`array: questo array si applica ai contenitori di oggetti Apache Avro, ai file Apache Parquet, ai file JSON e ai file JSON Lines. Per i contenitori di oggetti Avro e i file Parquet, un oggetto in questo array specifica un indice di record e il percorso di un campo in un record in cui Macie ha rilevato una presenza di dati sensibili. Per i file JSON e JSON Lines, un oggetto in questo array specifica il percorso di un campo o di un array in cui Macie ha rilevato una presenza di dati sensibili. Per i file JSON Lines, specifica anche l'indice della riga che contiene i dati.

Il contenuto di questi array varia in base al tipo di file o al formato di archiviazione dell'oggetto S3 interessato e al relativo contenuto.

## Dettagli ed esempi dello schema
<a name="findings-locate-sd-schema-examples"></a>

Amazon Macie personalizza i contenuti delle strutture JSON utilizzate per indicare dove ha rilevato dati sensibili in tipi specifici di file e contenuti. I seguenti argomenti spiegano e forniscono esempi di queste strutture.

**Topics**
+ [Matrice di celle](#findings-locate-sd-schema-examples-cell)
+ [LineRanges matrice](#findings-locate-sd-schema-examples-linerange)
+ [Matrice di pagine](#findings-locate-sd-schema-examples-page)
+ [Matrice di record](#findings-locate-sd-schema-examples-record)

Per un elenco completo delle strutture JSON che possono essere incluse in una ricerca di dati sensibili, consulta [Findings](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html) in the *Amazon Macie* API Reference.

### Matrice di celle
<a name="findings-locate-sd-schema-examples-cell"></a>

**Si applica a:** cartelle di lavoro Microsoft Excel, file CSV e file TSV

In un `cells` array, un `Cell` oggetto specifica una cella o un campo in cui Macie ha rilevato una presenza di dati sensibili. La tabella seguente descrive lo scopo di ogni campo in un `Cell` oggetto.


| Campo | Tipo | Description | 
| --- | --- | --- | 
| cellReference | Stringa | La posizione della cella, come riferimento assoluto, che contiene l'occorrenza. Questo campo si applica solo alle cartelle di lavoro di Excel. Questo valore è nullo per i file CSV e TSV. | 
| column | Numero intero | Il numero di colonna della colonna che contiene l'occorrenza. Per una cartella di lavoro di Excel, questo valore è correlato ai caratteri alfabetici di un identificatore di colonna, ad esempio per la colonna A, 1 per la colonna B e così 2 via. | 
| columnName | Stringa | Il nome della colonna che contiene l'occorrenza, se disponibile. | 
| row | Numero intero | Il numero di riga della riga che contiene l'occorrenza. | 

L'esempio seguente mostra la struttura di un `Cell` oggetto che specifica la posizione di un'occorrenza di dati sensibili rilevati da Macie in un file CSV.

```
"cells": [
   {
      "cellReference": null,
      "column": 3,
      "columnName": "SSN",
      "row": 5
   }
]
```

Nell'esempio precedente, la scoperta indica che Macie ha rilevato dati sensibili nel campo nella quinta riga della terza colonna (denominata *SSN*) del file.

L'esempio seguente mostra la struttura di un `Cell` oggetto che specifica la posizione di un'occorrenza di dati sensibili rilevati da Macie in una cartella di lavoro di Excel.

```
"cells": [
   {
      "cellReference": "Sheet2!C5",
      "column": 3,
      "columnName": "SSN",
      "row": 5
   }
]
```

*Nell'esempio precedente, la scoperta indica che Macie ha rilevato dati sensibili nel foglio di lavoro denominato Sheet2 della cartella di lavoro.* *In quel foglio di lavoro, Macie ha rilevato dati sensibili nella cella nella quinta riga della terza colonna (colonna C, denominata SSN).*

### LineRanges matrice
<a name="findings-locate-sd-schema-examples-linerange"></a>

**Si applica a:** file di messaggi di posta elettronica (EML) e file di testo non binari diversi dai file CSV, JSON, JSON Lines e TSV, ad esempio file HTML, TXT e XML

In un `lineRanges` array, un `Range` oggetto specifica una riga o un intervallo di righe inclusivo in cui Macie ha rilevato la presenza di dati sensibili e la posizione dei dati sulla riga o sulle righe specificate.

Questo oggetto è spesso vuoto per i tipi di file supportati da altri tipi di matrici negli oggetti. `occurrences` Le eccezioni sono:
+ Dati in sezioni non strutturate di un file altrimenti strutturato, ad esempio un commento in un file.
+ Dati in un file in formato errato che Macie analizza come testo non crittografato.
+ Un file CSV o TSV con uno o più nomi di colonne in cui Macie ha rilevato dati sensibili.

La tabella seguente descrive lo scopo di ogni campo in un `Range` oggetto di un array. `lineRanges`


| Campo | Tipo | Description | 
| --- | --- | --- | 
| end | Numero intero | Il numero di righe dall'inizio del file alla fine dell'occorrenza. | 
| start | Numero intero | Il numero di righe dall'inizio del file all'inizio dell'occorrenza. | 
| startColumn | Numero intero | Il numero di caratteri, con spazi e a partire da 1, dall'inizio della prima riga che contiene l'occorrenza (start) all'inizio dell'occorrenza. | 

L'esempio seguente mostra la struttura di un `Range` oggetto che specifica la posizione di un'occorrenza di dati sensibili rilevati da Macie su una singola riga di un file TXT.

```
"lineRanges": [
   {
      "end": 1,
      "start": 1,
      "startColumn": 119
   }
]
```

Nell'esempio precedente, la scoperta indica che Macie ha rilevato un'occorrenza completa di dati sensibili (un indirizzo postale) nella prima riga del file. Il primo carattere dell'occorrenza corrisponde a 119 caratteri (con spazi) dall'inizio di quella riga.

L'esempio seguente mostra la struttura di un `Range` oggetto che specifica la posizione di un'occorrenza di dati sensibili che si estende su più righe in un file TXT.

```
"lineRanges": [
   {
      "end": 54,
      "start": 51,
      "startColumn": 1
   }
]
```

Nell'esempio precedente, la scoperta indica che Macie ha rilevato una presenza di dati sensibili (un indirizzo postale) tra le righe da 51 a 54 del file. Il primo carattere dell'occorrenza è il primo carattere sulla riga 51 del file.

### Matrice di pagine
<a name="findings-locate-sd-schema-examples-page"></a>

**Si applica a:** file Adobe Portable Document Format (PDF)

In un `pages` array, un `Page` oggetto specifica una pagina in cui Macie ha rilevato una presenza di dati sensibili. L'oggetto contiene un `pageNumber` campo. Il `pageNumber` campo memorizza un numero intero che specifica il numero di pagina della pagina che contiene l'occorrenza.

L'esempio seguente mostra la struttura di un `Page` oggetto che specifica la posizione di un'occorrenza di dati sensibili rilevati da Macie in un file PDF.

```
"pages": [
   {
      "pageNumber": 10
   }
]
```

Nell'esempio precedente, il risultato indica che la pagina 10 del file contiene l'occorrenza.

### Matrice di record
<a name="findings-locate-sd-schema-examples-record"></a>

**Si applica a:** contenitori di oggetti Apache Avro, file Apache Parquet, file JSON e file JSON Lines

Per un contenitore di oggetti Avro o un file Parquet, un `Record` oggetto in un `records` array specifica un indice di record e il percorso di un campo in un record in cui Macie ha rilevato una presenza di dati sensibili. Per i file JSON e JSON Lines, un `Record` oggetto specifica il percorso di un campo o di un array in cui Macie ha rilevato una presenza di dati sensibili. Per i file JSON Lines, specifica anche l'indice della riga che contiene l'occorrenza.

La tabella seguente descrive lo scopo di ogni campo in un `Record` oggetto.


| Campo | Tipo | Description | 
| --- | --- | --- | 
| jsonPath | Stringa |  Il percorso, come JSONPath espressione, dell'occorrenza. Per un contenitore di oggetti Avro o un file Parquet, questo è il percorso del campo nel record (`recordIndex`) che contiene l'occorrenza. Per un file JSON o JSON Lines, questo è il percorso del campo o dell'array che contiene l'occorrenza. Se i dati sono un valore in una matrice, il percorso indica anche quale valore contiene l'occorrenza. Se Macie rileva dati sensibili nel nome di qualsiasi elemento del percorso, Macie omette il `jsonPath` campo da un oggetto. `Record` Se il nome di un elemento del percorso supera i 240 caratteri, Macie tronca il nome rimuovendo i caratteri dall'inizio del nome. Se il percorso completo risultante supera i 250 caratteri, Macie tronca anche il percorso, a partire dal primo elemento del percorso, finché il percorso non contiene 250 caratteri o meno.  | 
| recordIndex | Numero intero | Per un contenitore di oggetti Avro o un file Parquet, l'indice dei record, a partire da 0, per il record che contiene l'occorrenza. Per un file JSON Lines, l'indice di riga, a partire da 0, per la riga che contiene l'occorrenza. Questo valore è sempre valido 0 per i file JSON. | 

L'esempio seguente mostra la struttura di un `Record` oggetto che specifica la posizione di un'occorrenza di dati sensibili rilevati da Macie in un file Parquet.

```
"records": [
   {
      "jsonPath": "$['abcdefghijklmnopqrstuvwxyz']",
      "recordIndex": 7663
   }
]
```

Nell'esempio precedente, la scoperta indica che Macie ha rilevato dati sensibili nel record dell'indice 7663 (numero di record 7664). In quel record, Macie ha rilevato dati sensibili nel campo denominato. `abcdefghijklmnopqrstuvwxyz` Il percorso JSON completo del campo nel record è. `$.abcdefghijklmnopqrstuvwxyz` Il campo è un discendente diretto dell'oggetto radice (di livello esterno).

L'esempio seguente mostra anche la struttura di un `Record` oggetto per un'occorrenza di dati sensibili rilevati da Macie in un file Parquet. Tuttavia, in questo esempio, Macie ha troncato il nome del campo che contiene l'occorrenza perché il nome supera il limite di caratteri.

```
"records": [
   {
      "jsonPath": "$['...uvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyz']",
      "recordIndex": 7663
   }
]
```

Nell'esempio precedente, il campo è un discendente diretto dell'oggetto radice (di livello esterno).

Nell'esempio seguente, sempre per un'occorrenza di dati sensibili rilevata da Macie in un file Parquet, Macie ha troncato il percorso completo del campo che contiene l'occorrenza. Il percorso completo supera il limite di caratteri.

```
"records": [
   {
      "jsonPath": "$..usssn2.usssn3.usssn4.usssn5.usssn6.usssn7.usssn8.usssn9.usssn10.usssn11.usssn12.usssn13.usssn14.usssn15.usssn16.usssn17.usssn18.usssn19.usssn20.usssn21.usssn22.usssn23.usssn24.usssn25.usssn26.usssn27.usssn28.usssn29['abcdefghijklmnopqrstuvwxyz']",
      "recordIndex": 2335
   }
]
```

Nell'esempio precedente, il risultato indica che Macie ha rilevato dati sensibili nel record dell'indice 2335 (numero di record 2336). In quel record, Macie ha rilevato dati sensibili nel campo denominato. `abcdefghijklmnopqrstuvwxyz` Il percorso JSON completo del campo nel record è:

`$['1234567890']usssn1.usssn2.usssn3.usssn4.usssn5.usssn6.usssn7.usssn8.usssn9.usssn10.usssn11.usssn12.usssn13.usssn14.usssn15.usssn16.usssn17.usssn18.usssn19.usssn20.usssn21.usssn22.usssn23.usssn24.usssn25.usssn26.usssn27.usssn28.usssn29['abcdefghijklmnopqrstuvwxyz']`

L'esempio seguente mostra la struttura di un `Record` oggetto che specifica la posizione di un'occorrenza di dati sensibili rilevati da Macie in un file JSON. In questo esempio, l'occorrenza è un valore specifico in una matrice.

```
"records": [
   {
      "jsonPath": "$.access.key[2]",
      "recordIndex": 0
   }
]
```

Nell'esempio precedente, il risultato indica che Macie ha rilevato dati sensibili nel secondo valore di un array denominato. `key` L'array è un elemento secondario di un oggetto denominato. `access`

L'esempio seguente mostra la struttura di un `Record` oggetto che specifica la posizione di un'occorrenza di dati sensibili rilevati da Macie in un file JSON Lines.

```
"records": [
   {
      "jsonPath": "$.access.key",
      "recordIndex": 3
   }
]
```

Nell'esempio precedente, la scoperta indica che Macie ha rilevato dati sensibili nel terzo valore (riga) del file. In quella riga, l'occorrenza si trova in un campo denominato`key`, che è un elemento secondario di un oggetto denominato. `access`