As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Investigar dados confidenciais com as descobertas do Macie
Quando você executa trabalhos de descoberta de dados confidenciais ou o Amazon Macie realiza uma descoberta automática de dados confidenciais, o Macie captura detalhes sobre a localização de cada ocorrência de dados confidenciais em objetos do Amazon Simple Storage Service (Amazon S3) que ele acha. Isso inclui dados confidenciais que o Macie detectou usando [identificadores de dados gerenciados](managed-data-identifiers.md) e dados que correspondem aos critérios dos [identificadores de dados personalizados](custom-data-identifiers.md) que você configurou para um trabalho ou para o Macie usar.
Com as descobertas de dados confidenciais, você pode analisar esses detalhes de até 15 ocorrências de dados confidenciais que o Macie encontrou em objetos individuais do S3. Os detalhes fornecem informações sobre as categorias e os tipos de dados confidenciais que buckets e objetos específicos do S3 podem conter. Eles podem ajudá-lo a localizar ocorrências individuais de dados confidenciais em objetos e determinar se é necessário realizar uma investigação mais profunda de buckets e objetos específicos.
Para obter informações adicionais, você pode, como opção, configurar e usar o Macie para recuperar amostras de dados confidenciais que o Macie relata em descobertas individuais. As amostras podem ajudar você a verificar a natureza dos dados confidenciais que o Macie encontrou. Eles também podem ajudar você a personalizar sua investigação de um bucket e objeto do S3 afetados. Se você optar por recuperar amostras de dados confidenciais para uma descoberta, o Macie usa os dados na descoberta para localizar de 1 a 10 ocorrências de cada tipo de dado confidencial relatado pela descoberta. Em seguida, o Macie extrai essas ocorrências de dados confidenciais do objeto afetado e exibe os dados para você analisar.
Se um objeto do S3 contiver muitas ocorrências de dados confidenciais, uma descoberta também pode ajudar a navegar até o resultado correspondente da descoberta de dados confidenciais. Ao contrário de uma descoberta de dados confidenciais, um resultado de descoberta de dados confidenciais fornece dados de localização detalhados para até 1.000 ocorrências de cada tipo de dado confidencial que Macie encontrou em um objeto. O Macie usa o mesmo esquema para dados de localização em descobertas de dados confidenciais e resultados de descobertas de dados confidenciais. Para saber mais sobre os resultados da detecção de dados confidenciais, consulte [Armazenamento e retenção de resultados de descoberta de dados confidenciais](discovery-results-repository-s3.md).
Os tópicos desta seção explicam como localizar e, como opção, recuperar ocorrências de dados confidenciais relatadas por descobertas de dados confidenciais. Eles também explicam o esquema que o Macie usa para relatar a localização de ocorrências individuais de dados confidenciais que o Macie encontra.
**Topics**
+ [Localizar dados confidenciais](findings-locate-sd.md)
+ [Recuperar amostras de dados confidenciais](findings-retrieve-sd.md)
+ [Esquema para locais de dados confidenciais](findings-locate-sd-schema.md)
# Localizar dados confidenciais com as descobertas do Macie
Quando você executa trabalhos de descoberta de dados confidenciais ou o Amazon Macie realiza uma descoberta automática de dados confidenciais, o Macie realiza uma inspeção profunda da versão mais recente de cada objeto do Amazon Simple Storage Service (Amazon S3) que ele analisa. Para cada execução de trabalho ou ciclo de análise, o Macie também usa um algoritmo de *pesquisa em profundidade* para preencher as descobertas resultantes com detalhes sobre a localização de ocorrências específicas de dados confidenciais que o Macie encontra nos objetos do S3. Essas ocorrências fornecem informações sobre as categorias e os tipos de dados confidenciais que um bucket e um objeto do S3 afetados podem conter. Os detalhes podem ajudá-lo a localizar ocorrências individuais de dados confidenciais em objetos e determinar se é necessário realizar uma investigação mais profunda de buckets e objetos específicos.
Com as descobertas de dados confidenciais, você pode determinar a localização de até 15 ocorrências de dados confidenciais que o Macie encontrou em um objeto do S3 afetado. Isso inclui dados confidenciais que o Macie detectou usando [identificadores de dados gerenciados](managed-data-identifiers.md) e dados que correspondem aos critérios dos [identificadores de dados personalizados](custom-data-identifiers.md) que você configurou para um trabalho ou o Macie usar.
Uma descoberta de dados confidenciais pode fornecer detalhes como:
+ O número da coluna e da linha de uma célula ou campo em uma pasta de trabalho do Microsoft Excel, arquivo CSV ou arquivo TSV.
+ O caminho para um campo ou matriz em um arquivo JSON ou JSON Lines.
+ O número da linha de uma linha em um arquivo de texto não binário que não seja um arquivo CSV, JSON, JSON Lines ou TSV; por exemplo, um arquivo HTML, TXT ou XML.
+ O número da página de uma página em um arquivo Adobe Portable Document Format (PDF).
+ O índice do registro e o caminho para um campo em um registro em um contêiner de objetos Apache Avro ou arquivo Apache Parquet.
Você pode acessar esses detalhes usando o console do Amazon Macie ou a API do Amazon Macie. Você também pode acessar esses detalhes nas descobertas que Macie publica para outros Serviços da AWS, tanto na Amazon EventBridge quanto na. AWS Security Hub CSPM Para saber mais sobre as estruturas JSON que o Macie usa para relatar esses detalhes, consulte [Esquema para relatar a localização de dados confidenciais](findings-locate-sd-schema.md). Para saber como acessar os detalhes das descobertas que Macie publica para outros Serviços da AWS, consulte. [Monitorar e processar descobertas](findings-monitor.md)
Se um objeto do S3 contiver muitas ocorrências de dados confidenciais, você também poderá usar uma descoberta para navegar até o resultado correspondente da descoberta de dados confidenciais. Ao contrário de uma descoberta de dados confidenciais, um resultado de detecção de dados confidenciais fornece dados de localização detalhados para até 1.000 ocorrências de cada tipo de dado confidencial que o Macie encontrou em um objeto. Se um objeto do S3 for um arquivo de arquivamento, como um arquivo.tar ou .zip, isso inclui ocorrências de dados confidenciais em arquivos individuais que o Macie extraiu do arquivo. (O Macie não inclui essas informações nas descobertas de dados confidenciais). Para saber mais sobre os resultados da detecção de dados confidenciais, consulte [Armazenamento e retenção de resultados de descoberta de dados confidenciais](discovery-results-repository-s3.md). O Macie usa o mesmo esquema para dados de localização em descobertas de dados confidenciais e resultados de descobertas de dados confidenciais.
**Para localizar dados confidenciais com descobertas**
Para localizar ocorrências de dados confidenciais relatadas por uma descoberta, você pode usar o console do Amazon Macie ou a API do Amazon Macie. Para fazer isso programaticamente, use a [GetFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html)operação. Se uma descoberta incluir detalhes sobre a localização de uma ou mais ocorrências de um tipo específico de dados confidenciais, os objetos `occurrences` na descoberta fornecerão esses detalhes. Para obter mais informações, consulte [Esquema para relatar a localização de dados confidenciais](findings-locate-sd-schema.md).
Para localizar ocorrências de dados confidenciais usando o console, siga estas etapas.
1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. No painel de navegação, selecione **Descobertas**.
**dica**
Você pode exibir rapidamente todas as descobertas de um trabalho específico de descoberta de dados confidenciais. No painel de navegação, selecione **Trabalhos** e, então, selecione o nome do trabalho. Na parte superior do painel de detalhes, selecione **Exibir resultados** e, em seguida, selecione **Exibir descobertas**.
1. Na página **Descobertas**, selecione a descoberta dos dados confidenciais que deseja localizar. O painel de detalhes exibirá informações sobre a descoberta.
1. No painel de detalhes, vá até a seção **Dados confidenciais**. Esta seção fornece informações sobre as categorias e os tipos de dados confidenciais que o Macie encontrou no objeto do S3 afetado. Também indica o número de ocorrências de cada tipo de dado confidencial que o Macie encontrou.
Por exemplo, a imagem a seguir mostra alguns detalhes de uma descoberta que relata 30 ocorrências de números de cartão de crédito, 20 ocorrências de nomes e 29 ocorrências de números do Seguro Social dos EUA.
![\[Os campos de detalhes da descoberta que mostram o número de ocorrências de três tipos de dados confidenciais.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/scrn-sdf-csv-occurrences.png)
Se uma descoberta incluir detalhes sobre a localização de uma ou mais ocorrências de um tipo específico de dado confidencial, o número de ocorrências será um link. Selecione o link para mostrar os detalhes. O Macie abre uma nova janela e exibe os detalhes no formato JSON.
Por exemplo, a imagem a seguir mostra a localização de duas ocorrências de números de cartão de crédito em um objeto do S3 afetado.
![\[Os dados de localização, no formato JSON, de duas ocorrências de números de cartão de crédito em um objeto do S3.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/scrn-sdf-csv-occurrences-json.png)
Para salvar os detalhes como um arquivo JSON, selecione **Baixar** e, em seguida, especifique um nome e um local para o arquivo.
1. Para salvar todos os detalhes da descoberta como um arquivo JSON, escolha o identificador da descoberta (**ID da descoberta**) na parte superior do painel de detalhes. O Macie abre uma nova janela e exibe todos os detalhes no formato JSON. Selecione **Baixar** e, em seguida, especifique um nome e um local para o arquivo.
Para acessar detalhes sobre a localização de até 1.000 ocorrências de cada tipo de dado confidencial no objeto afetado, consulte o resultado correspondente da detecção de dados confidenciais para a descoberta. Para fazer isso, vá até o início da seção **Detalhes** do painel. Em seguida, selecione o link no campo **Localização detalhada do resultado**. O Macie abre o console do Amazon S3 e exibe o arquivo ou pasta que contém o resultado da descoberta correspondente.
# Recuperar amostras de dados confidenciais com as descobertas do Macie
Para verificar a natureza dos dados confidenciais que o Amazon Macie relata nas descobertas, você pode, opcionalmente, configurar e usar o Macie para recuperar e revelar amostras de dados confidenciais relatados por determinadas descobertas. Isso inclui dados confidenciais que o Macie detectou usando [identificadores de dados gerenciados](managed-data-identifiers.md) e dados que correspondem aos critérios dos [identificadores de dados personalizados](custom-data-identifiers.md). As amostras podem ajudar você a personalizar sua investigação sobre o objeto e o bucket afetados do Amazon Simple Storage Service (Amazon S3).
Se você recuperar e revelar amostras de dados confidenciais para uma descoberta, o Macie executará as seguintes tarefas gerais:
1. Verifica se a descoberta especifica a localização de determinadas ocorrências de dados confidenciais e a localização de um [resultado da descoberta de dados confidenciais](discovery-results-repository-s3.md) correspondente.
1. Avalia o resultado correspondente da descoberta de dados confidenciais, verificando a validade dos metadados do objeto afetado do S3 e os dados de localização para ocorrências de dados confidenciais no objeto.
1. Ao usar dados no resultado da descoberta de dados confidenciais, localiza as primeiras 1 a 10 ocorrências de dados confidenciais relatadas pela descoberta e extrai os primeiros 1 a 128 caracteres de cada ocorrência do objeto do S3 afetado. Se a descoberta relatar vários tipos de dados confidenciais, o Macie fará isso para até cem tipos.
1. Criptografa os dados extraídos com uma chave AWS Key Management Service (AWS KMS) especificada por você.
1. Armazena temporariamente os dados criptografados em um cache e exibe os dados para você revisar. Os dados são criptografados o tempo todo, tanto em trânsito quanto em repouso.
1. Logo após a extração e a criptografia, ele exclui permanentemente os dados do cache, a menos que uma retenção adicional seja temporariamente necessária para resolver um problema operacional.
Se você optar por recuperar e revelar amostras de dados confidenciais para uma descoberta novamente, o Macie repetirá essas tarefas para localizar, extrair, criptografar, armazenar e, por fim, excluir as amostras.
O Macie não usa o [perfil vinculado a serviços](service-linked-roles.md) do Macie em sua conta para realizar essas tarefas. Em vez disso, você usa sua identidade do AWS Identity and Access Management (IAM) ou permite que o Macie assuma um perfil do IAM em sua conta. É possível recuperar e revelar amostras de dados confidenciais para uma descoberta se você ou o perfil tiver permissão para acessar os recursos e dados necessários, e também para realizar as ações necessárias. Todas as ações necessárias estão [logadas](macie-cloudtrail.md). AWS CloudTrail
**Importante**
Recomendamos que você restrinja o acesso a essa funcionalidade usando [políticas personalizadas do IAM](security-iam.md). Para controle de acesso adicional, recomendamos que você também crie um dedicado AWS KMS key para criptografia de amostras de dados confidenciais que são recuperadas e restrinja o uso da chave somente aos principais que devem ter permissão para recuperar e revelar amostras de dados confidenciais.
Para obter recomendações e exemplos de políticas que você pode usar para controlar o acesso a essa funcionalidade, consulte o blog em *Blog de segurança do AWS *: [Como usar o Amazon Macie para visualizar dados confidenciais em buckets do S3](https://aws.amazon.com/blogs/security/how-to-use-amazon-macie-to-preview-sensitive-data-in-s3-buckets/).
Os tópicos desta seção explicam como configurar e usar o Macie para recuperar e revelar amostras de dados confidenciais para as descobertas. Você pode realizar essas tarefas em todas as Regiões da AWS em que o Macie está atualmente disponível, exceto nas regiões Asia Pacific (Osaka) e Israel (Tel Aviv).
**Topics**
+ [Opções de configuração para recuperar amostras](findings-retrieve-sd-options.md)
+ [Configurar o Macie para recuperar amostras](findings-retrieve-sd-configure.md)
+ [Recuperar amostras](findings-retrieve-sd-proc.md)
# Opções de configuração para recuperar amostras de dados confidenciais com o Macie
Como opção é possível configurar e usar o Amazon Macie para recuperar e revelar amostras de dados confidenciais que o Macie relata em descobertas individuais. Se você recuperar e revelar amostras de dados confidenciais para uma descoberta, o Macie vai usar os dados no [resultado da descoberta de dados confidenciais](discovery-results-repository-s3.md) correspondente para localizar ocorrências de dados confidenciais no objeto afetado do Amazon Simple Storage Service (Amazon S3). Em seguida, o Macie extrai amostras dessas ocorrências do objeto afetado. O Macie criptografa os dados extraídos com uma chave AWS Key Management Service (AWS KMS) que você especifica, armazena temporariamente os dados criptografados em um cache e retorna os dados em seus resultados para a descoberta. Logo após a extração e a criptografia, o Macie exclui permanentemente os dados do cache, a menos que uma retenção adicional seja temporariamente necessária para resolver um problema operacional.
O Macie não usa o [perfil vinculado a serviço do Macie](service-linked-roles.md) em sua conta para localizar, recuperar, criptografar ou revelar amostras de dados confidenciais para objetos afetados do S3. Em vez disso, o Macie usa configurações e recursos que você configura para sua conta. Ao definir as configurações no Macie, você especifica como acessar os objetos afetados do S3. Você também especifica qual usar AWS KMS key para criptografar as amostras. Você pode definir as configurações em todas as regiões em Regiões da AWS que o Macie está disponível atualmente, exceto nas regiões Ásia-Pacífico (Osaka) e Israel (Tel Aviv).
Você tem duas opções para acessar objetos afetados do S3 e recuperar amostras de dados confidenciais deles. Você pode configurar o Macie para usar credenciais de usuário AWS Identity and Access Management (IAM) ou assumir uma função do IAM:
+ **Usar credenciais de usuário do IAM**: com essa opção, cada usuário da sua conta usa sua identidade individual do IAM para localizar, recuperar, criptografar e revelar as amostras. Isso significa que um usuário pode recuperar e revelar amostras de dados confidenciais para uma descoberta se tiver permissão para acessar os recursos e dados necessários, e também para realizar as ações necessárias.
+ **Assumir um perfil do IAM**: com essa opção, você cria um perfil do IAM que delega acesso ao Macie. Você também garante que as políticas de confiança e permissões do perfil atendam a todos os requisitos para que o Macie assuma o perfil. Posteriormente, o Macie vai assumir o perfil quando um usuário da sua conta optar por localizar, recuperar, criptografar e revelar amostras de dados confidenciais para uma descoberta.
Você pode usar qualquer uma das configurações com qualquer tipo de conta do Macie, ou seja, a conta delegada de administrador do Macie para uma organização, uma conta de membro do Macie em uma organização ou uma conta autônoma do Macie.
Os tópicos a seguir explicam as opções, os requisitos e os fatores que podem ajudar você a determinar como definir as configurações e os recursos para sua conta. Isso inclui as políticas de confiabilidade e permissão para anexar a um perfil do IAM. Para obter recomendações e exemplos adicionais de políticas que você pode usar para recuperar e revelar amostras de dados confidenciais, consulte o blog em *Blog de segurança do AWS *: [Como usar o Amazon Macie para visualizar dados confidenciais nos buckets do S3](https://aws.amazon.com/blogs/security/how-to-use-amazon-macie-to-preview-sensitive-data-in-s3-buckets/).
**Topics**
+ [Como determinar qual método de acesso usar](#findings-retrieve-sd-options-s3access)
+ [Como usar credenciais de usuário do IAM para acessar objetos afetados do S3](#findings-retrieve-sd-options-s3access-user)
+ [Assumir um perfil do IAM para acessar objetos afetados do S3](#findings-retrieve-sd-options-s3access-role)
+ [Configurar um perfil do IAM para acessar objetos afetados do S3](#findings-retrieve-sd-options-s3access-role-configuration)
+ [Como descriptografar objetos afetados do S3](#findings-retrieve-sd-options-decrypt)
## Como determinar qual método de acesso usar
Ao determinar qual configuração é melhor para seu AWS ambiente, uma consideração importante é se seu ambiente inclui várias contas do Amazon Macie que são gerenciadas centralmente como uma organização. Se você for o administrador delegado do Macie de uma organização, configurar o Macie para assumir um perfil do IAM pode agilizar a recuperação de amostras de dados confidenciais de objetos do S3 afetados para contas em sua organização. Com essa abordagem, você cria um perfil do IAM em sua conta de administrador. Você também cria um perfil do IAM em cada conta de membro aplicável. O perfil na sua conta de administrador delega acesso ao Macie. O perfil em uma conta de membro delega o acesso entre contas ao perfil em sua conta de administrador. Se implementado, você poderá usar o encadeamento de perfis para acessar objetos do S3 afetados para as contas de membros.
Considere também quem tem acesso direto às descobertas individuais por padrão. A fim de recuperar e revelar amostras de dados confidenciais para uma descoberta, primeiro o usuário deve ter acesso à descoberta:
+ **Trabalhos de descoberta de dados confidenciais**: somente a conta que cria um trabalho pode acessar as descobertas produzidas pelo trabalho. Se você tiver uma conta de administrador do Macie, poderá configurar um trabalho para analisar objetos em buckets do S3 para qualquer conta em sua organização. Portanto, seus trabalhos podem produzir descobertas para objetos em buckets pertencentes às suas contas de membros. Se você tiver uma conta de membro ou uma conta autônoma do Macie, poderá configurar um trabalho para analisar objetos somente nos buckets pertencentes à sua conta.
+ **Descoberta automatizada de dados confidenciais**: somente a conta de administrador do Macie pode acessar descobertas que o processo automatizado de descoberta produz para contas na organização. As contas de membros não podem acessar essas descobertas. Se você tiver uma conta autônoma do Macie, só poderá acessar as descobertas que a descoberta automatizada produz para sua própria conta.
Se você planeja acessar objetos afetados do S3 usando uma perfil do IAM, considere também o seguinte:
+ Para localizar ocorrências de dados confidenciais em um objeto, é necessário armazenar o resultado correspondente da descoberta de dados confidenciais para uma descoberta em um objeto do S3 que o Macie tenha assinado com uma AWS KMS key de código de autenticação de mensagens por hash (HMAC). O Macie deve ser capaz de verificar a integridade e a autenticidade do resultado da descoberta de dados confidenciais. Caso contrário, o Macie não assumirá o perfil do IAM para recuperar amostras de dados confidenciais. Essa é uma barreira de proteção adicional que visa restringir o acesso a dados em objetos do S3 para uma conta.
+ Para recuperar amostras de dados confidenciais de um objeto criptografado com um cliente gerenciado AWS KMS key, a função do IAM deve ter permissão para descriptografar dados com a chave. Mais especificamente, a política da chave deve permitir que o perfil execute a ação `kms:Decrypt`. Para outros tipos de criptografia no lado do servidor, é necessário ter permissões ou recursos adicionais para descriptografar um objeto afetado. Para obter mais informações, consulte [Como descriptografar objetos afetados do S3](#findings-retrieve-sd-options-decrypt).
+ Para recuperar amostras de dados confidenciais de um objeto para outra conta, você deve ser o administrador delegado do Macie para a conta na Região da AWS aplicável. Além disso:
+ No momento, o Macie deve estar habilitado para a conta de membro na região aplicável.
+ A conta de membro deve ter um perfil do IAM que delegue o acesso entre contas a um perfil do IAM na sua conta de administrador do Macie. O nome do perfil deve ser o mesmo em sua conta de administrador do Macie e na conta de membro.
+ A política de confiança para o perfil do IAM na conta de membro deve incluir uma condição que especifique o ID externo correto para sua configuração. Esse ID é uma string alfanumérica exclusiva que o Macie gera automaticamente depois que você define as configurações da sua conta de administrador do Macie. Para obter informações sobre o uso de políticas externas IDs confiáveis, consulte [Acesso a Contas da AWS terceiros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) no *Guia do AWS Identity and Access Management usuário*.
+ Se o perfil do IAM na conta de membro atender a todos os requisitos do Macie, a conta de membro não precisará definir e ativar as configurações do Macie para que você recupere amostras de dados confidenciais dos objetos da conta. O Macie usará somente as configurações e o perfil do IAM na sua conta de administrador do Macie e o perfil do IAM na conta de membro.
**dica**
Se sua conta integrar uma grande organização, considere usar um modelo do AWS CloudFormation e um conjunto de pilhas para provisionar e gerenciar os perfis do IAM para contas de membro em sua organização. Para obter informações sobre como criar e usar modelos e conjuntos de pilhas, consulte o [Guia do usuário do AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html).
Para revisar e, opcionalmente, baixar um CloudFormation modelo que pode servir como ponto de partida, você pode usar o console do Amazon Macie. No painel de navegação no console, em **Configurações**, selecione **Revelar amostras**. Escolha **Editar** e, em seguida, escolha **Exibir permissões e CloudFormation modelo de função de membro**.
Os tópicos subsequentes desta seção fornecem detalhes e considerações adicionais para cada tipo de configuração. Para perfis do IAM, isso inclui as políticas de confiabilidade e permissão para anexar a um perfil. Se você não tiver certeza de qual tipo de configuração é melhor para seu ambiente, peça ajuda ao AWS administrador.
## Como usar credenciais de usuário do IAM para acessar objetos afetados do S3
Se você configurar o Amazon Macie para recuperar amostras de dados confidenciais usando credenciais de usuário do IAM, cada usuário da sua conta do Macie usará a própria identidade do IAM para localizar, recuperar, criptografar e revelar amostras para descobertas individuais. Isso significa que um usuário pode recuperar e revelar amostras de dados confidenciais para uma descoberta se a identidade do IAM dele tiver permissão para acessar os recursos e dados necessários, e também para realizar as ações necessárias. Todas as ações necessárias estão [registradas em AWS CloudTrail](macie-cloudtrail.md).
Para recuperar e revelar amostras de dados confidenciais de uma descoberta específica, o usuário precisa ter permissão para acessar os seguintes dados e recursos: a descoberta; o resultado correspondente da descoberta de dados confidenciais, o bucket afetado do S3 e o objeto afetado do S3. Eles também devem ter permissão para usar o AWS KMS key que foi usado para criptografar o objeto afetado, se aplicável, e o AWS KMS key que você configura o Macie para usar para criptografar amostras de dados confidenciais. Se alguma política do IAM, política de recursos ou outras configurações de permissões negar o acesso necessário, o usuário não conseguirá recuperar e revelar nenhuma amostra para a descoberta.
Para definir esse tipo de configuração, conclua as seguintes tarefas gerais:
1. Verifique se você configurou um repositório para os resultados da descoberta de dados confidenciais.
1. Configure o AWS KMS key para uso na criptografia de amostras de dados confidenciais.
1. Verifique suas permissões para definir as configurações no Macie.
1. Configure e ative as configurações no Macie.
Para obter informações sobre como realizar essas tarefas, consulte [Configurar o Macie para recuperar amostras de dados confidenciais](findings-retrieve-sd-configure.md).
## Assumir um perfil do IAM para acessar objetos afetados do S3
Para configurar o Amazon Macie para recuperar amostras de dados confidenciais assumindo um perfil do IAM, comece criando um perfil do IAM que delegue acesso ao Amazon Macie. Garanta que as políticas de confiança e permissões do perfil atendam a todos os requisitos para que o Macie assuma o perfil. Quando um usuário da sua conta do Macie optar por recuperar e revelar amostras de dados confidenciais para uma descoberta, o Macie assumirá a função de recuperar as amostras do objeto afetado do S3. O Macie só assume o perfil quando um usuário opta por recuperar e revelar amostras para uma descoberta. Para assumir a função, Macie usa a [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)operação da API AWS Security Token Service (AWS STS). Todas as ações necessárias estão [logadas](macie-cloudtrail.md). AWS CloudTrail
Para recuperar e revelar amostras de dados confidenciais para uma descoberta específica, o usuário deve ter permissão para acessar a descoberta, o resultado correspondente da descoberta de dados confidenciais e o AWS KMS key que você configura o Macie para usar para criptografar amostras de dados confidenciais. O perfil do IAM deve permitir que o Macie acesse o bucket afetado do S3 e o objeto afetado do S3. A função também deve ter permissão para usar o AWS KMS key que foi usado para criptografar o objeto afetado, se aplicável. Se alguma política do IAM, política de recursos ou outras configurações de permissões negar o acesso necessário, o usuário não conseguirá recuperar e revelar nenhuma amostra para a descoberta.
Para definir esse tipo de configuração, conclua as seguintes tarefas gerais. Se você tiver uma conta de membro em uma organização, trabalhe com o administrador do Macie para determinar se e como definir as configurações e os recursos da sua conta.
1. Defina o seguinte:
+ O nome do perfil do IAM que você deseja que o Macie assuma. Se sua conta fizer parte de uma organização, esse nome deverá ser o mesmo para a conta de administrador delegada do Macie e para cada conta de membro aplicável na organização. Caso contrário, o administrador do Macie não poderá acessar os objetos afetados do S3 para uma conta de membro aplicável.
+ O nome da política de permissão do IAM para anexar ao perfil do IAM. Se sua conta fizer parte de uma organização, recomendamos que você use o mesmo nome de política para cada conta de membro aplicável na organização. Isso pode simplificar o provisionamento e o gerenciamento do perfil nas contas dos membros.
1. Verifique se você configurou um repositório para os resultados da descoberta de dados confidenciais.
1. Configure o AWS KMS key para uso na criptografia de amostras de dados confidenciais.
1. Verifique suas permissões para criar perfis do IAM e definir as configurações no Macie.
1. Se você for o administrador delegado do Macie para uma organização ou se tiver uma conta autônoma no Macie:
1. Crie e configure o perfil do IAM para sua conta. Garanta que as políticas de confiança e permissões do perfil atendam a todos os requisitos para que o Macie assuma o perfil. Para obter detalhes sobre esses requisitos, consulte o [próximo tópico](#findings-retrieve-sd-options-s3access-role-configuration).
1. Configure e ative as configurações no Macie. Em seguida, o Macie vai gerar um ID externo para a configuração. Se você for o administrador do Macie para uma organização, anote esse ID. A política de confiança para o perfil do IAM em cada uma das suas contas de membro aplicáveis deve especificar esse ID.
1. Se você tiver uma conta de membro em uma organização:
1. Peça ao administrador do Macie o ID externo a ser especificado na política de confiança do perfil do IAM em sua conta. Além disso, verifique o nome do perfil do IAM e a política de permissões a ser criada.
1. Crie e configure o perfil do IAM para sua conta. Garanta que as políticas de confiança e permissões do perfil atendam a todos os requisitos para que o seu administrador do Macie assuma o perfil. Para obter detalhes sobre esses requisitos, consulte o [próximo tópico](#findings-retrieve-sd-options-s3access-role-configuration).
1. (Opcional) Se você quiser recuperar e revelar amostras de dados confidenciais de objetos afetados do S3 para sua própria conta, defina e ative as configurações no Macie. Se você quiser que o Macie assuma uma perfil do IAM para recuperar as amostras, comece criando e configurando um perfil adicional do IAM em sua conta. Garanta que as políticas de confiança e permissões para esse perfil adicional atendam a todos os requisitos para que o Macie assuma o perfil. Em seguida, defina as configurações no Macie e especifique o nome desse perfil adicional. Para obter detalhes sobre os requisitos de política para o perfil, consulte o [próximo tópico](#findings-retrieve-sd-options-s3access-role-configuration).
Para obter informações sobre como realizar essas tarefas, consulte [Configurar o Macie para recuperar amostras de dados confidenciais](findings-retrieve-sd-configure.md).
## Configurar um perfil do IAM para acessar objetos afetados do S3
Para acessar os objetos afetados do S3 usando um perfil do IAM, comece criando e configurando um perfil que delegue acesso ao Amazon Macie. Garanta que as políticas de confiança e permissões do perfil atendam a todos os requisitos para que o Macie assuma o perfil. A maneira de fazer isso dependerá do seu tipo de conta Macie.
As seções a seguir fornecem detalhes sobre as políticas de confiança e permissões a serem anexadas ao perfil do IAM para cada tipo de conta do Macie. Escolha a seção para o tipo de conta que você tem.
**nota**
Se você tiver uma conta de membro em uma organização, talvez seja necessário criar e configurar dois perfis do IAM para sua conta:
Para permitir que seu administrador do Macie recupere e revele amostras de dados confidenciais de objetos afetados do S3 para sua conta, crie e configure um perfil que a conta do seu administrador possa assumir. Para obter esses detalhes, escolha a seção de **conta de membro do Macie**.
Para recuperar e revelar amostras de dados confidenciais de objetos afetados do S3 para sua própria conta, crie e configure um perfil que seu Macie possa assumir. Para obter esses detalhes, escolha a seção de **conta autônoma do Macie**.
Antes de criar e configurar qualquer perfil do IAM, trabalhe com o administrador do Macie para determinar a configuração adequada para sua conta.
Para obter informações detalhadas sobre como usar o IAM para criar o perfil, consulte [Como criar um perfil usando políticas personalizadas de confiança](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) no *Guia do usuário do AWS Identity and Access Management *.
### Conta de administrador do Macie
Se você for o administrador delegado do Macie de uma organização, comece usando o editor de políticas do IAM para criar a política de permissões para o perfil do IAM. A política deve seguir o exemplo abaixo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RetrieveS3Objects",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"*"
]
},
{
"Sid": "AssumeMacieRevealRoleForCrossAccountAccess",
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Resource": "arn:aws:iam::*:role/IAMRoleName"
}
]
}
```
------
Onde *IAMRoleName* está o nome da função do IAM que Macie deve assumir ao recuperar amostras de dados confidenciais dos objetos do S3 afetados para as contas da sua organização. Substitua esse valor pelo nome do perfil que você está criando para sua conta e planeja criar para contas de membros aplicáveis em sua organização. Esse nome deve ser o mesmo para sua conta de administrador do Macie e para cada conta de membro aplicável.
**nota**
Na política de permissões anterior, o `Resource` elemento na primeira instrução usa um caractere curinga ()`*`. Isso permite que uma entidade do IAM anexada recupere objetos de todos os buckets do S3 que sua organização possui. Para permitir esse acesso apenas a buckets específicos, substitua o caractere curinga pelo nome do recurso da Amazon (ARN) de cada bucket. Por exemplo, para permitir o acesso somente a objetos em um bucket chamado *amzn-s3-demo-bucket1*, altere o elemento para:
`"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*"`
Também é possível restringir o acesso a objetos em buckets específicos do S3 para contas individuais. Para fazer isso, especifique o bucket ARNs no `Resource` elemento da política de permissões para a função do IAM em cada conta aplicável. Para obter mais informações e exemplos, consulte [Elementos da política JSON do IAM: recurso](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) no *Guia do usuário do AWS Identity and Access Management *.
Após criar a política de permissões para o perfil do IAM, crie e configure o perfil. Se você fizer isso usando o console do IAM, escolha **Política de confiança personalizada** como o **Tipo de entidade confiável** para o perfil. Especifique o seguinte para a política de confiança que define entidades confiáveis para o perfil.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowMacieReveal",
"Effect": "Allow",
"Principal": {
"Service": "reveal-samples.macie.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
}
}
}
]
}
```
------
Onde *111122223333* está o ID da conta do seu Conta da AWS. Substitua esse valor pelo seu ID de conta com 12 dígitos.
Na política de confiança anterior:
+ O elemento `Principal` especifica a entidade principal de serviço que o Macie usa ao recuperar amostras de dados confidenciais dos objetos afetados do S3, `reveal-samples.macie.amazonaws.com`.
+ O `Action` elemento especifica a ação que o responsável pelo serviço tem permissão para realizar, a [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)operação da API AWS Security Token Service (AWS STS).
+ O `Condition` elemento define uma condição que usa a chave de contexto [aws:](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) condição SourceAccount global. Essa condição determina qual conta pode realizar a ação especificada. Nesse caso, ele permite que Macie assuma a função somente para a conta especificada. A condição ajuda a evitar que Macie seja usada como [representante confusa](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) durante transações com AWS STS.
Após definir a política de confiança para o perfil do IAM, anexe a política de permissões ao perfil. Essa deve ser a política de permissões que você criou antes de começar a criar o perfil. Em seguida, conclua as etapas restantes no IAM para concluir a criação e a configuração do perfil. Ao terminar, [defina e ative as configurações no Macie](findings-retrieve-sd-configure.md).
### Conta de membro do Macie
Se você tiver uma conta de membro do Macie e quiser permitir que seu administrador do Macie recupere e revele amostras de dados confidenciais dos objetos afetados do S3 para sua conta, comece solicitando as seguintes informações ao administrador do Macie:
+ O nome do perfil do IAM a ser criado. O nome deve ser igual para sua conta e para a conta de administrador do Macie da sua organização.
+ O nome da política de permissão do IAM para anexar ao perfil.
+ O ID externo para especificar na política de confiabilidade do perfil. Esse ID deve ser o ID externo que o Macie gerou para a configuração do administrador do Macie.
Após receber essas informações, use o editor de políticas do IAM para criar a política de permissões para o perfil. A política deve seguir o exemplo abaixo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RetrieveS3Objects",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"*"
]
}
]
}
```
------
A política de permissão anterior permite que uma entidade do IAM anexada recupere objetos de todos os buckets do S3 da sua conta. Isso ocorre porque o `Resource` elemento na política usa um caractere curinga (`*`). Para permitir esse acesso apenas a buckets específicos, substitua o caractere curinga pelo nome do recurso da Amazon (ARN) de cada bucket. Por exemplo, para permitir o acesso somente a objetos em um bucket chamado *amzn-s3-demo-bucket2*, altere o elemento para:
`"Resource": "arn:aws:s3:::amzn-s3-demo-bucket2/*"`
Para obter mais informações e exemplos, consulte [Elementos da política JSON do IAM: recurso](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) no *Guia do usuário do AWS Identity and Access Management *.
Após criar a política de permissões para o perfil do IAM, crie o perfil. Se você criar o perfil usando o console do IAM, escolha **Política de confiança personalizada** como o **Tipo de entidade confiável** para o perfil. Especifique o seguinte para a política de confiança que define entidades confiáveis para o perfil.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowMacieAdminRevealRoleForCrossAccountAccess",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/IAMRoleName"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": "externalID",
"aws:PrincipalOrgID": "${aws:ResourceOrgID}"
}
}
}
]
}
```
------
Na política anterior, substitua os valores do espaço reservado pelos valores corretos para seu AWS ambiente, onde:
+ *111122223333*é o ID da conta de 12 dígitos da sua conta de administrador do Macie.
+ *IAMRoleName*é o nome da função do IAM na sua conta de administrador do Macie. Deve ser o nome que você recebeu do administrador do Macie.
+ *externalID*é a ID externa que você recebeu do administrador do Macie.
Em geral, a política de confiança permite que o administrador do Macie assuma o perfil para recuperar e revelar amostras de dados confidenciais de objetos afetados do S3 para sua conta. O elemento `Principal` especifica o ARN de um perfil do IAM na sua conta de administrador do Macie. Esse é o perfil que o administrador do Macie usa para recuperar e revelar amostras de dados confidenciais das contas da sua organização. O bloco `Condition` define duas condições que determinam adicionalmente quem pode assumir o perfil:
+ A primeira condição especifica um ID externo exclusivo para a configuração da sua organização. Para saber mais sobre o externo IDs, consulte [Contas da AWS Acesso a terceiros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) no *Guia do AWS Identity and Access Management usuário*.
+ A segunda condição usa a chave de contexto de condição global [aws: PrincipalOrg ID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid). O valor da chave é uma variável dinâmica que representa o identificador exclusivo de uma organização em AWS Organizations (`${aws:ResourceOrgID}`). A condição restringe o acesso somente às contas que fazem parte da mesma organização no AWS Organizations. Se você tiver ingressado na sua organização aceitando um convite no Macie, remova essa condição da política.
Após definir a política de confiança para o perfil do IAM, anexe a política de permissões ao perfil. Essa deve ser a política de permissões que você criou antes de começar a criar o perfil. Em seguida, conclua as etapas restantes no IAM para concluir a criação e a configuração do perfil. Não defina nem insira configurações para o perfil no Macie.
### Conta autônoma do Macie
Se você tiver uma conta autônoma do Macie ou uma conta de membro do Macie e quiser recuperar e revelar amostras de dados confidenciais dos objetos afetados do S3 para sua própria conta, comece usando o editor de políticas do IAM para criar a política de permissões para o perfil do IAM. A política deve seguir o exemplo abaixo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RetrieveS3Objects",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"*"
]
}
]
}
```
------
Na política de permissões anterior, o `Resource` elemento usa um caractere curinga ()`*`. Isso permite que uma entidade do IAM anexada recupere objetos de todos os buckets do S3 da sua conta. Para permitir esse acesso apenas a buckets específicos, substitua o caractere curinga pelo nome do recurso da Amazon (ARN) de cada bucket. Por exemplo, para permitir o acesso somente a objetos em um bucket chamado *amzn-s3-demo-bucket3*, altere o elemento para:
`"Resource": "arn:aws:s3:::amzn-s3-demo-bucket3/*"`
Para obter mais informações e exemplos, consulte [Elementos da política JSON do IAM: recurso](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) no *Guia do usuário do AWS Identity and Access Management *.
Após criar a política de permissões para o perfil do IAM, crie o perfil. Se você criar o perfil usando o console do IAM, escolha **Política de confiança personalizada** como o **Tipo de entidade confiável** para o perfil. Especifique o seguinte para a política de confiança que define entidades confiáveis para o perfil.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowMacieReveal",
"Effect": "Allow",
"Principal": {
"Service": "reveal-samples.macie.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "999999999999"
}
}
}
]
}
```
------
Onde *999999999999* está o ID da conta do seu Conta da AWS. Substitua esse valor pelo seu ID de conta com 12 dígitos.
Na política de confiança anterior:
+ O elemento `Principal` especifica a entidade principal de serviço que o Macie usa ao recuperar e revelar amostras de dados confidenciais dos objetos afetados do S3, `reveal-samples.macie.amazonaws.com`.
+ O `Action` elemento especifica a ação que o responsável pelo serviço tem permissão para realizar, a [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)operação da API AWS Security Token Service (AWS STS).
+ O `Condition` elemento define uma condição que usa a chave de contexto [aws:](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) condição SourceAccount global. Essa condição determina qual conta pode realizar a ação especificada. Isso permite que Macie assuma a função somente para a conta especificada. A condição ajuda a evitar que Macie seja usada como [representante confusa](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) durante transações com AWS STS.
Após definir a política de confiança para o perfil do IAM, anexe a política de permissões ao perfil. Essa deve ser a política de permissões que você criou antes de começar a criar o perfil. Em seguida, conclua as etapas restantes no IAM para concluir a criação e a configuração do perfil. Ao terminar, [defina e ative as configurações no Macie](findings-retrieve-sd-configure.md).
## Como descriptografar objetos afetados do S3
O Amazon S3 oferece suporte a várias opções de criptografia para objetos do S3. Para a maioria dessas opções, não é necessário ter nenhum recurso ou permissão adicional para que um perfil ou usuário do IAM decodifique e recupere amostras de dados confidenciais de um objeto afetado. Esse é o caso para um objeto criptografado usando criptografia no lado do servidor com uma chave gerenciada pelo Amazon S3 ou uma AWS KMS key gerenciada pela AWS .
No entanto, se um objeto do S3 for criptografado com um cliente gerenciado AWS KMS key, serão necessárias permissões adicionais para descriptografar e recuperar amostras de dados confidenciais do objeto. Mais especificamente, a política de chave da chave KMS deverá permitir que o perfil ou usuário do IAM execute a ação `kms:Decrypt`. Caso contrário, ocorrerá um erro e o Amazon Macie não recuperará nenhuma amostra do objeto. Para saber como fornecer esse acesso a um usuário do IAM, consulte [Permissões e acesso à chave KMS](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html) no *Guia do desenvolvedor do AWS Key Management Service *.
A forma de fornecer esse acesso para uma função do IAM depende se a conta proprietária AWS KMS key também possui a função:
+ Se a mesma conta for proprietária da chave KMS e do perfil, um usuário da conta precisará atualizar a política da chave.
+ Se uma conta for proprietária da chave KMS e outra conta diferente for proprietária do perfil, um usuário da conta proprietária da chave deverá permitir o acesso entre contas à chave.
Este tópico descreve como realizar essas tarefas para um perfil do IAM que você criou para recuperar amostras de dados confidenciais de objetos do S3. Ele também fornece exemplos para os dois cenários. Para obter informações sobre como permitir o acesso ao cliente gerenciado AWS KMS keys em outros cenários, consulte [Acesso e permissões da chave KMS](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html) no *Guia do AWS Key Management Service desenvolvedor*.
### Permitir acesso da mesma conta a uma chave gerenciada pelo cliente
Se a mesma conta possuir a função do IAM AWS KMS key e a do IAM, um usuário da conta precisará adicionar uma declaração à política da chave. A declaração adicional deverá permitir que o perfil do IAM decifre dados usando a chave. Para obter informações detalhadas sobre como atualizar uma política principal, consulte [Alterar uma política de chave](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) no *Guia do desenvolvedor AWS Key Management Service *.
Na declaração:
+ O elemento `Principal` precisará especificar o nome do recurso da Amazon (ARN) do perfil do IAM.
+ O array `Action` deve especificar a ação `kms:Decrypt`. Essa é a única AWS KMS ação que a função do IAM deve ter permissão para descriptografar um objeto criptografado com a chave.
Veja a seguir um exemplo da instrução a ser adicionada à política de uma chave do KMS.
```
{
"Sid": "Allow the Macie reveal role to use the key",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/IAMRoleName"
},
"Action": [
"kms:Decrypt"
],
"Resource": "*"
}
```
No exemplo anterior:
+ O campo `AWS` no elemento `Principal` especifica o ARN do perfil do IAM na conta. Ele permite que a função execute a ação especificada pela declaração de política. *123456789012*é um exemplo de ID de conta. Substitua esse valor pelo ID da conta que possui a função e a chave KMS. *IAMRoleName*é um nome de exemplo. Substitua esse valor pelo nome do perfil do IAM na conta.
+ A matriz `Action` especifica a ação que o perfil do IAM pode realizar usando a chave do KMS: descriptografar o texto cifrado que foi criptografado com a chave.
O local em que você adiciona essa declaração a uma política de chave depende da estrutura e dos elementos que a política contém atualmente. Ao adicionar a instrução, certifique-se de que a sintaxe seja válida. As políticas de chaves usam o formato JSON. Isso significa que você também precisa adicionar uma vírgula antes ou depois da declaração, dependendo de onde você adiciona a declaração à política.
### Permitir acesso entre contas a uma chave gerenciada pelo cliente
Se uma conta possuir o AWS KMS key (*proprietário da chave*) e uma conta diferente possuir a função do IAM (*proprietário da função*), o proprietário da chave deverá fornecer ao proprietário da função acesso cruzado à chave. Uma maneira de fazer isso é usando uma concessão Uma *concessão* é um instrumento de política que permite que as AWS entidades principais usem chaves KMS em operações criptográficas se as condições especificadas pela concessão forem atendidas. Para saber mais sobre concessões, consulte [Subsídios AWS KMS no](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) *AWS Key Management Service Guia do desenvolvedor*.
Com essa abordagem, primeiro o proprietário da chave garante que a política da chave permita que o proprietário do perfil crie uma concessão para a chave. Em seguida, o proprietário do perfil criará uma concessão para a chave. A concessão delega as permissões relevantes ao perfil do IAM em sua conta. Ele permite que o perfil decifre objetos do S3 que são criptografados com a chave.
**Etapa 1: atualizar a política de chave**
Na política de chave, o proprietário da chave deve garantir que a política inclua uma declaração que permita ao proprietário do perfil criar uma concessão para o perfil do IAM na conta dele (do proprietário do perfil). Nessa declaração, o elemento `Principal` deverá especificar o ARN da conta do proprietário do perfil. O array `Action` deve especificar a ação `kms:CreateGrant`. Um bloco `Condition` pode filtrar o acesso à ação especificada. Veja a seguir um exemplo da instrução a ser adicionada à política de uma chave do KMS.
```
{
"Sid": "Allow a role in an account to create a grant",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:GranteePrincipal": "arn:aws:iam::111122223333:role/IAMRoleName"
},
"ForAllValues:StringEquals": {
"kms:GrantOperations": "Decrypt"
}
}
}
```
No exemplo anterior:
+ O campo `AWS` no elemento `Principal` especifica o ARN da conta do proprietário do perfil. Ele permite que a conta execute a ação especificada pela declaração de política. *111122223333*é um exemplo de ID de conta. Substitua esse valor pelo ID da conta do proprietário do perfil.
+ A matriz `Action` especifica a ação que o proprietário do perfil pode realizar na chave do KMS: criar uma concessão para a chave.
+ O bloco `Condition` usa [operadores de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) e as seguintes chaves de condição para filtrar o acesso à ação que o proprietário do perfil tem permissão para executar na chave do KMS:
+ [kms: GranteePrincipal](https://docs.aws.amazon.com/kms/latest/developerguide/conditions-kms.html#conditions-kms-grantee-principal) — Essa condição permite que o proprietário da função crie uma concessão somente para o principal beneficiário especificado, que é o ARN da função do IAM em sua conta. Nesse ARN, *111122223333* está um exemplo de ID de conta. Substitua esse valor pelo ID da conta do proprietário da função. *IAMRoleName*é um nome de exemplo. Substitua esse valor pelo nome do perfil do IAM na conta do proprietário do perfil.
+ [kms: GrantOperations](https://docs.aws.amazon.com/kms/latest/developerguide/conditions-kms.html#conditions-kms-grant-operations) — Essa condição permite que o proprietário da função crie uma concessão somente para delegar permissão para realizar a AWS KMS `Decrypt` ação (descriptografar texto cifrado criptografado com a chave). Isso impede que o proprietário do perfil crie concessões que deleguem permissões para realizar outras ações na chave do KMS. A `Decrypt` ação é a única AWS KMS ação que a função do IAM deve ter permissão para descriptografar um objeto criptografado com a chave.
O local no qual o proprietário adicionará essa declaração a uma política de chave dependerá da estrutura e dos elementos atualmente contidos na política. Quando o proprietário da chave adiciona a declaração, ele deve garantir que a sintaxe seja válida. As políticas de chaves usam o formato JSON. Isso significa que você também precisa adicionar uma vírgula antes ou depois da declaração, dependendo de onde você adiciona a declaração à política. Para obter informações detalhadas sobre como atualizar uma política principal, consulte [Alterar uma política de chave](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) no *Guia do desenvolvedor AWS Key Management Service *.
**Etapa 2: criar uma concessão**
Depois que o proprietário da chave atualizar a política de chave conforme necessário, o proprietário do perfil criará uma concessão para a chave. A concessão delega as permissões relevantes ao perfil do IAM na conta dele (o proprietário do perfil). Antes que o proprietário do perfil crie a concessão, ele deverá verificar se tem permissão para realizar a ação `kms:CreateGrant`. Essa ação permite que ele adicione uma concessão a uma AWS KMS key existente gerenciada pelo cliente.
Para criar a concessão, o proprietário da função pode usar a [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)operação da AWS Key Management Service API. Quando o proprietário do perfil criar a concessão, ele deverá especificar os seguintes valores para os parâmetros necessários:
+ `KeyId`: o ARN da chave do KMS. Para acesso entre contas a uma chave do KMS, esse valor deve ser um ARN. Não pode ser um ID de chave.
+ `GranteePrincipal`: o ARN do perfil do IAM na conta dele. Esse valor deve ser`arn:aws:iam::111122223333:role/IAMRoleName`, onde *111122223333* está o ID da conta do proprietário da função e *IAMRoleName* o nome da função.
+ `Operations`— A ação de AWS KMS descriptografia (). `Decrypt` Essa é a única AWS KMS ação que a função do IAM deve ter permissão para descriptografar um objeto criptografado com a chave KMS.
Se o proprietário da função estiver usando o AWS Command Line Interface (AWS CLI), ele poderá executar o comando [create-grant](https://docs.aws.amazon.com/cli/latest/reference/kms/create-grant.html) para criar a concessão. O exemplo a seguir mostra como. O exemplo está formatado para Microsoft Windows e usa o caractere de continuação de linha circunflexo (^) para melhorar a legibilidade.
```
C:\> aws kms create-grant ^
--key-id arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab ^
--grantee-principal arn:aws:iam::111122223333:role/IAMRoleName ^
--operations "Decrypt"
```
Em que:
+ `key-id` especifica o ARN da chave do KMS à qual aplicar a concessão.
+ `grantee-principal` especifica o ARN do perfil do IAM que tem permissão para realizar a ação especificada pela concessão. Esse valor deve corresponder ao ARN especificado pela condição `kms:GranteePrincipal` na política de chave.
+ `operations` especifica a ação que a concessão permite que a entidade principal especificada execute: descriptografar o texto cifrado que foi criptografado com a chave.
Se o comando for executado com sucesso, você receberá um resultado semelhante ao seguinte.
```
{
"GrantToken": "",
"GrantId": "1a2b3c4d2f5e69f440bae30eaec9570bb1fb7358824f9ddfa1aa5a0dab1a59b2"
}
```
Onde `GrantToken` é uma string única, não secreta, de comprimento variável e codificada em base64 que representa a concessão que foi criada e `GrantId` é o identificador exclusivo da concessão.
# Configurar o Macie para recuperar amostras de dados confidenciais
Como opção é possível configurar e usar o Amazon Macie para recuperar e revelar amostras de dados confidenciais que o Macie relata em descobertas individuais. As amostras podem ajudar você a verificar a natureza dos dados confidenciais que o Macie encontrou. Eles podem ajudar você a personalizar sua investigação sobre o objeto e o bucket afetados do Amazon Simple Storage Service (Amazon S3). Você pode recuperar e revelar amostras de dados confidenciais em todas as Regiões da AWS nas quais o Macie está atualmente disponível, salvo nas regiões Asia Pacific (Osaka) e Israel (Tel Aviv).
Quando você recupera e revela amostras de dados confidenciais de uma descoberta, o Macie usa dados no resultado correspondente da descoberta de dados confidenciais para localizar ocorrências de dados confidenciais no objeto do S3 afetado. Em seguida, o Macie extrai amostras dessas ocorrências do objeto afetado. O Macie criptografa os dados extraídos com uma chave AWS Key Management Service (AWS KMS) que você especifica, armazena temporariamente os dados criptografados em um cache e retorna os dados em seus resultados para a descoberta. Logo após a extração e a criptografia, o Macie exclui permanentemente os dados do cache, a menos que uma retenção adicional seja temporariamente necessária para resolver um problema operacional.
Para recuperar e revelar amostras de dados confidenciais para descobertas, primeiro você precisa definir e habilitar as configurações da sua conta no Macie. Você também precisa configurar recursos de apoio e permissões para sua conta. Os tópicos desta seção orientam você no processo de configuração do Macie para recuperar e revelar amostras de dados confidenciais e no gerenciamento do status da configuração da sua conta.
**Topics**
+ [Antes de começar](#findings-retrieve-sd-configure-prereqs)
+ [Como definir e habilitar as configurações do Macie](#findings-retrieve-sd-configure-enable)
+ [Como desabilitar configurações do Macie](#findings-retrieve-sd-configure-manage)
**dica**
Para obter recomendações e exemplos de políticas que você pode usar para controlar o acesso a essa funcionalidade, consulte o blog em *Blog de segurança do AWS *: [Como usar o Amazon Macie para visualizar dados confidenciais em buckets do S3](https://aws.amazon.com/blogs/security/how-to-use-amazon-macie-to-preview-sensitive-data-in-s3-buckets/).
## Antes de começar
Antes de configurar o Amazon Macie para recuperar e revelar amostras de dados confidenciais de descobertas, execute as tarefas a seguir para garantir que você tenha os recursos e as permissões necessários.
**Topics**
+ [Etapa 1: configurar um repositório para resultados de descoberta de dados confidenciais](#findings-retrieve-sd-configure-sddr)
+ [Etapa 2: determinar como acessar os objetos afetados do S3](#findings-retrieve-sd-configure-s3access)
+ [Etapa 3: configurar o AWS KMS key](#findings-retrieve-sd-configure-key)
+ [Etapa 4: verificar suas permissões](#findings-retrieve-sd-configure-permissions)
Essas tarefas são opcionais se você já tiver configurado o Macie para recuperar e revelar amostras de dados confidenciais e só quiser alterar suas configurações.
### Etapa 1: configurar um repositório para resultados de descoberta de dados confidenciais
Quando você recupera e revela amostras de dados confidenciais de uma descoberta, o Macie usa dados no resultado correspondente da descoberta de dados confidenciais para localizar ocorrências de dados confidenciais no objeto do S3 afetado. Portanto, é importante verificar se você configurou um repositório para os resultados de descoberta de dados confidenciais. Caso contrário, o Macie não conseguirá localizar amostras de dados confidenciais que você deseja recuperar e revelar.
Para determinar se você configurou esse repositório para a sua conta, é possível usar o console do Amazon Macie: escolha **Resultados da descoberta** (em **Configurações**) no painel de navegação. Para fazer isso programaticamente, use a [GetClassificationExportConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/classification-export-configuration.html)operação da API Amazon Macie. Para saber mais sobre os resultados de descoberta de dados confidenciais e como configurar esse repositório, consulte [Armazenamento e retenção de resultados de descoberta de dados confidenciais](discovery-results-repository-s3.md).
### Etapa 2: determinar como acessar os objetos afetados do S3
Você tem duas opções para acessar objetos afetados do S3 e recuperar amostras de dados confidenciais deles. Você pode configurar o Macie para usar suas credenciais de usuário AWS Identity and Access Management (IAM). Como alternativa, é possível configurar o Macie para assumir um perfil do IAM que delegue acesso ao Macie. Você pode usar qualquer uma das configurações com qualquer tipo de conta do Macie, ou seja, a conta delegada de administrador do Macie para uma organização, uma conta de membro do Macie em uma organização ou uma conta autônoma do Macie. Antes de definir as configurações no Macie, determine qual método de acesso deseja usar. Para obter detalhes sobre as opções e os requisitos de cada método, consulte [Opções de configuração para recuperar amostras](findings-retrieve-sd-options.md).
Se você planeja usar um perfil do IAM, crie e configure a função antes de definir as configurações no Macie. Além disso, garanta que as políticas de confiança e permissões do perfil atendam a todos os requisitos para que o Macie assuma o perfil. Se sua conta integrar uma organização que gerencie centralmente várias contas do Macie, trabalhe com o administrador do Macie para determinar primeiro se e como configurar o perfil para a sua conta.
### Etapa 3: configurar um AWS KMS key
Quando você recupera e revela amostras de dados confidenciais para uma descoberta, o Macie criptografa as amostras com uma chave AWS Key Management Service (AWS KMS) especificada por você. Portanto, você precisa determinar qual AWS KMS key deseja usar para criptografar as amostras. A chave pode ser uma chave do KMS existente na sua própria conta ou uma chave do KMS existente que outra conta possui. Se você desejar usar uma chave que outra conta possui, obtenha o nome do recurso da Amazon (ARN) da chave. Você precisará especificar esse ARN ao inserir as configurações no Macie.
A chave do KMS deve ser uma chave do KMS de criptografia simétrica e gerenciada pelo cliente. Também deve ser uma chave de região única ativada da Região da AWS mesma forma que sua conta Macie. A chave do KMS pode estar em um repositório de chaves externo. No entanto, a chave pode, então, ser mais lenta e menos confiável do que uma chave totalmente gerenciada no AWS KMS. Se a latência ou um problema de disponibilidade impedir o Macie de criptografar amostras de dados confidenciais que você deseja recuperar e revelar, ocorre um erro e o Macie não retorna nenhuma amostra para a descoberta.
Além disso, a política de chaves para a chave deve permitir que os principais apropriados (funções do IAM, usuários do IAM ou Contas da AWS) realizem as seguintes ações:
+ `kms:Decrypt`
+ `kms:DescribeKey`
+ `kms:GenerateDataKey`
**Importante**
Como uma camada adicional de controle de acesso, recomendamos que você crie uma chave do KMS dedicada para criptografia de amostras de dados confidenciais que são recuperadas e restrinja o uso da chave somente às entidades principais que devem ter permissão para recuperar e revelar amostras de dados confidenciais. Se um usuário não tiver permissão para realizar as ações anteriores para a chave, o Macie vai rejeitar a solicitação de recuperar e revelar amostras de dados confidenciais. O Macie não retornará nenhuma amostra para a descoberta.
Para obter informações sobre como criar e configurar chaves do KMS, consulte [Criar uma chave do KMS](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) no *Guia do desenvolvedor do AWS Key Management Service *. Para obter informações sobre o uso de políticas de chaves para gerenciar o acesso às chaves do KMS, consulte [Políticas de chaves no AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) no *Guia do desenvolvedor do AWS Key Management Service *.
### Etapa 4: verificar suas permissões
Antes de definir as configurações no Macie, verifique também se você tem as permissões necessárias. Para verificar suas permissões, use AWS Identity and Access Management (IAM) para revisar as políticas do IAM que estão anexadas à sua identidade do IAM. Em seguida, compare as informações dessas políticas com a seguinte lista de ações que você deve ter permissão para realizar.
**Amazon Macie**
Verifique também se você tem permissão para realizar as seguintes ações:
+ `macie2:GetMacieSession`
+ `macie2:UpdateRevealConfiguration`
A primeira ação permite que você acesse sua conta no Macie. A segunda ação permite que você altere suas configurações para recuperar e revelar amostras de dados confidenciais. Isso inclui habilitar e desabilitar a configuração.
Opcionalmente, verifique se você também tem permissão para realizar a ação `macie2:GetRevealConfiguration`. Essa ação permite que você recupere suas configurações atuais e o status atual da configuração para sua conta.
**AWS KMS**
Se você planeja usar o console do Amazon Macie para inserir as definições de configuração, verifique também se você tem permissão para realizar as seguintes AWS Key Management Service (AWS KMS) ações:
+ `kms:DescribeKey`
+ `kms:ListAliases`
Essas ações permitem que você recupere informações sobre o da AWS KMS keys sua conta. Em seguida, você pode escolher uma dessas chaves ao inserir as configurações.
**IAM**
Se você planeja configurar o Macie para assumir um perfil do IAM para recuperar e revelar amostras de dados confidenciais, verifique também se tem permissão para realizar a seguinte ação do IAM: `iam:PassRole`. Essa ação permite que você transmita o perfil para o Macie, o que permitirá que o Macie assuma o perfil. Quando você inserir as configurações da sua conta, o Macie também poderá verificar se o perfil existe na sua conta e está configurada corretamente.
Se você não tiver permissão para realizar as ações necessárias, peça ajuda ao AWS administrador.
## Como definir e habilitar as configurações do Macie
Após verificar se você tem os recursos e as permissões necessários, você poderá definir as configurações no Amazon Macie e habilitar a configuração da sua conta.
Se sua conta integrar uma organização que gerencie centralmente várias contas do Macie, observe o seguinte antes de configurar ou alterar posteriormente as configurações da sua conta:
+ Se você tiver uma conta de membro, trabalhe com o administrador do Macie para determinar se e como definir as configurações da sua conta. Seu administrador do Macie poderá ajudar a determinar as configurações corretas para sua conta.
+ Se você tiver uma conta de administrador do Macie e alterar suas configurações para acessar objetos afetados do S3, suas alterações poderão afetar outras contas e recursos da sua organização. Isso depende se o Macie está atualmente configurado para assumir uma função AWS Identity and Access Management (IAM) para recuperar amostras de dados confidenciais. Se estiver e você reconfigurar o Macie para usar as credenciais de usuário do IAM, o Macie excluirá permanentemente as configurações existentes do perfil do IAM: o nome do perfil e o ID externo da sua configuração. Posteriormente, se sua organização optar por usar os perfis do IAM novamente, você precisará especificar um novo ID externo na política de confiança para o perfil em cada conta de membro aplicável.
Para obter detalhes sobre as opções de configuração e os requisitos para os tipos de conta, consulte [Opções de configuração para recuperar amostras](findings-retrieve-sd-options.md).
Para definir as configurações no Macie e habilitar a configuração da sua conta, você pode usar o console do Amazon Macie ou a API do Amazon Macie.
------
#### [ Console ]
Siga estas etapas para definir e habilitar as configurações usando o console do Amazon Macie.
**Para definir e habilitar as configurações do Macie**
1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. Usando o Região da AWS seletor no canto superior direito da página, escolha a região na qual você deseja configurar e permita que o Macie recupere e revele amostras de dados confidenciais.
1. No painel de navegação, em **Configurações**, selecione **Revelar amostras**.
1. Na seção **Configurações**, escolha **Editar**.
1. Em **Status**, escolha **Habilitar**.
1. Em **Acesso**, especifique o método de acesso e as configurações que deseja usar ao recuperar amostras de dados confidenciais dos objetos afetados do S3:
+ Para usar um perfil do IAM que delegue acesso ao Macie, escolha **Assumir um perfil do IAM**. Se você escolher essa opção, o Macie recuperará as amostras assumindo a função do IAM que você criou e configurou no seu. Conta da AWS Na caixa **Nome do perfil**, insira o nome do perfil.
+ Para usar as credenciais do usuário do IAM que solicita as amostras, escolha **Usar credenciais do usuário do IAM**. Se você escolher essa opção, cada usuário da sua conta usará sua identidade individual do IAM para recuperar as amostras.
1. Em **Criptografia**, especifique o AWS KMS key que você deseja usar para criptografar amostras de dados confidenciais que são recuperadas:
+ Para usar uma chave do KMS da sua própria conta, escolha **Selecionar uma chave da sua conta**. Em seguida, na lista **AWS KMS key**, selecione a chave a ser usada. A lista exibe as chaves do KMS de criptografia simétrica existentes para sua conta.
+ Para usar uma chave do KMS de outra conta, selecione **Inserir o ARN de uma chave de outra conta**. Em seguida, na caixa **AWS KMS key ARN**, insira o nome do recurso da Amazon (ARN) da chave a ser utilizada — por exemplo, **arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab**.
1. Após terminar de inserir configurações, escolha **Salvar**.
O Macie testa as configurações e verifica se elas estão corretas. Se você tiver configurado o Macie para assumir um perfil do IAM, o Macie também verificará se o perfil existe na sua conta e se as políticas de confiança e permissões estão configuradas corretamente. Se houver algum problema, o Macie exibirá uma mensagem descrevendo o problema.
Para resolver um problema com o AWS KMS key, consulte os requisitos no [tópico anterior](#findings-retrieve-sd-configure-key) e especifique uma chave KMS que atenda aos requisitos. Para resolver um problema com o perfil do IAM, comece verificando se você inseriu o nome correto do perfil. Se o nome estiver correto, certifique-se de que as políticas do perfil atendam a todos os requisitos para que o Macie assuma o perfil. Para obter esses detalhes, consulte [Configurar um perfil do IAM para acessar objetos afetados do S3](findings-retrieve-sd-options.md#findings-retrieve-sd-options-s3access-role-configuration). Após corrigir qualquer erro, você poderá salvar e habilitar as configurações.
**nota**
Se você for o administrador do Macie para uma organização e tiver configurado o Macie para assumir um perfil do IAM, o serviço vai gerar e exibir um ID externo depois que você salvar as configurações da sua conta. Anote esse ID. A política de confiança para o perfil do IAM em cada uma das suas contas de membro aplicáveis deve especificar esse ID. Caso contrário, não será possível recuperar amostras de dados confidenciais de objetos do S3 de propriedade da conta.
------
#### [ API ]
Para configurar e ativar as configurações de forma programática, use a [UpdateRevealConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/reveal-configuration.html)operação da API Amazon Macie. Em sua solicitação, especifique os valores adequados para os parâmetros compatíveis:
+ Para os parâmetros de `retrievalConfiguration`, especifique o método de acesso e as configurações que deseja usar ao recuperar amostras de dados confidenciais dos objetos afetados do S3:
+ Para assumir um perfil do IAM que delegue acesso ao Macie, especifique `ASSUME_ROLE` para o parâmetro `retrievalMode` e especifique o nome do perfil do parâmetro `roleName`. Se você especificar essas configurações, o Macie recuperará as amostras assumindo a função do IAM que você criou e configurou no seu. Conta da AWS
+ Para usar as credenciais do usuário do IAM que solicita as amostras, especifique `CALLER_CREDENTIALS` para o parâmetro `retrievalMode`. Se você especificar essa configuração, cada usuário da sua conta usará sua identidade individual do IAM para recuperar as amostras.
**Importante**
Se você não especificar valores para esses parâmetros, o Macie definirá o método de acesso (`retrievalMode`) como `CALLER_CREDENTIALS`. Se o Macie estiver configurado para usar um perfil do IAM para recuperar as amostras, o Macie também excluirá permanentemente o nome do perfil atual e o ID externo da sua configuração. Para manter essas configurações em uma configuração existente, inclua os parâmetros `retrievalConfiguration` em sua solicitação e especifique suas configurações atuais para esses parâmetros. Para recuperar suas configurações atuais, use a [GetRevealConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/reveal-configuration.html)operação ou, se estiver usando o AWS Command Line Interface (AWS CLI), execute o [get-reveal-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-reveal-configuration.html)comando.
+ Para o `kmsKeyId` parâmetro, especifique o AWS KMS key que você deseja usar para criptografar amostras de dados confidenciais que são recuperadas:
+ Para usar uma chave do KMS da sua própria conta, especifique o nome do recurso da Amazon (ARN), o ID ou o alias da chave. Se você especificar um alias, inclua o prefixo `alias/`, por exemplo, `alias/ExampleAlias`.
+ Para usar uma chave do KMS que outra conta possui, especifique o ARN da chave, por exemplo, `arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`. Ou especifique o ARN do alias da chave, por exemplo, `arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias`.
+ Para o parâmetro `status`, especifique `ENABLED` para habilitar a configuração da sua conta Macie.
Em sua solicitação, certifique-se também de especificar o Região da AWS no qual você deseja habilitar e usar a configuração.
Para definir e ativar as configurações usando o AWS CLI, execute o [update-reveal-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-reveal-configuration.html)comando e especifique os valores apropriados para os parâmetros suportados. Por exemplo, se você estiver usando o AWS CLI no Microsoft Windows, execute o seguinte comando:
```
C:\> aws macie2 update-reveal-configuration ^
--region us-east-1 ^
--configuration={\"kmsKeyId\":\"arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias\",\"status\":\"ENABLED\"} ^
--retrievalConfiguration={\"retrievalMode\":\"ASSUME_ROLE\",\"roleName\":\"MacieRevealRole\"}
```
Em que:
+ *us-east-1*é a região na qual ativar e usar a configuração. Neste exemplo, a Região Leste dos EUA (Norte da Virgínia).
+ *arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias*é o ARN do alias a ser usado. AWS KMS key Neste exemplo, a chave pertence a outra conta.
+ `ENABLED` é o status da configuração.
+ *ASSUME\$1ROLE*é o método de acesso a ser usado. Neste exemplo, assuma o perfil do IAM especificado.
+ *MacieRevealRole*é o nome da função do IAM que Macie deve assumir ao recuperar amostras de dados confidenciais.
O exemplo anterior usa o caractere circunflexo (^) de continuação de linha para melhorar a legibilidade.
Quando você envia sua solicitação, o Macie testa as configurações. Se você tiver configurado o Macie para assumir um perfil do IAM, o Macie também verificará se o perfil existe na sua conta e se as políticas de confiança e permissões estão configuradas corretamente. Se houver algum problema, sua solicitação vai falhar e o Macie retornará uma mensagem descrevendo o erro. Para resolver um problema com o AWS KMS key, consulte os requisitos no [tópico anterior](#findings-retrieve-sd-configure-key) e especifique uma chave KMS que atenda aos requisitos. Para resolver um problema com o perfil do IAM, comece verificando se você especificou o nome correto do perfil. Se o nome estiver correto, certifique-se de que as políticas do perfil atendam a todos os requisitos para que o Macie assuma o perfil. Para obter esses detalhes, consulte [Configurar um perfil do IAM para acessar objetos afetados do S3](findings-retrieve-sd-options.md#findings-retrieve-sd-options-s3access-role-configuration). Reenvie sua solicitação após resolver o problema.
Se a sua solicitação for realizada com êxito, o Macie habilitará a configuração da sua conta na Região especificada e você receberá um resultado semelhante ao seguinte.
```
{
"configuration": {
"kmsKeyId": "arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias",
"status": "ENABLED"
},
"retrievalConfiguration": {
"externalId": "o2vee30hs31642lexample",
"retrievalMode": "ASSUME_ROLE",
"roleName": "MacieRevealRole"
}
}
```
Onde `kmsKeyId` especifica o uso AWS KMS key para criptografar amostras de dados confidenciais que são recuperadas e `status` é o status da configuração da sua conta Macie. Os valores `retrievalConfiguration` especificam o método de acesso e as configurações a serem usadas ao recuperar as amostras.
**nota**
Se você for o administrador do Macie de uma organização e tiver configurado o Macie para assumir um perfil do IAM, anote o ID externo (`externalId`) na resposta. A política de confiança para o perfil do IAM em cada uma das suas contas de membro aplicáveis deve especificar esse ID. Caso contrário, não será possível recuperar amostras de dados confidenciais de objetos afetados do S3 de propriedade da conta.
Para verificar posteriormente as configurações ou o status da configuração da sua conta, use a [GetRevealConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/reveal-configuration.html)operação ou, para o. AWS CLI, execute o [get-reveal-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-reveal-configuration.html)comando.
------
## Como desabilitar configurações do Macie
É possível desabilitar a qualquer momento as configurações da sua conta do Amazon Macie. Se você desabilitar a configuração, o Macie manterá a configuração que especifica qual usar AWS KMS key para criptografar amostras de dados confidenciais que são recuperadas. O Macie excluirá permanentemente as configurações de acesso do Amazon S3 para a configuração.
**Atenção**
Ao desabilitar as configurações da sua conta do Macie, você também exclui permanentemente as configurações atuais que especificam como acessar os objetos afetados do S3. Se o Macie estiver atualmente configurado para acessar objetos afetados assumindo uma função AWS Identity and Access Management (IAM), isso inclui: o nome da função e a ID externa que o Macie gerou para a configuração. Essas configurações não podem ser recuperadas depois de excluídas.
Para desabilitar as configurações da sua conta do Macie, você pode usar o console do Amazon Macie ou a API do Amazon Macie.
------
#### [ Console ]
Siga estas etapas para desabilitar as configurações da sua conta usando o console do Amazon Macie.
**Para desabilitar as configurações do Macie**
1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. Usando o Região da AWS seletor no canto superior direito da página, escolha a região na qual você deseja desativar as configurações da sua conta Macie.
1. No painel de navegação, em **Configurações**, selecione **Revelar amostras**.
1. Na seção **Configurações**, escolha **Editar**.
1. Em **Status**, escolha **Desabilitar**.
1. Escolha **Salvar**.
------
#### [ API ]
Para desativar as configurações de forma programática, use a [UpdateRevealConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/reveal-configuration.html)operação da API Amazon Macie. Em sua solicitação, certifique-se de especificar a Região da AWS na qual você deseja desabilitar a configuração. Para o parâmetro `status`, especifique `DISABLED`.
Para desativar as configurações usando o AWS Command Line Interface (AWS CLI), execute o [update-reveal-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-reveal-configuration.html)comando. Use o parâmetro `region` para especificar a região na qual deseja desabilitar a configuração. Para o parâmetro `status`, especifique `DISABLED`. Por exemplo, se você estiver usando o AWS CLI no Microsoft Windows, execute o seguinte comando:
```
C:\> aws macie2 update-reveal-configuration --region us-east-1 --configuration={\"status\":\"DISABLED\"}
```
Em que:
+ *us-east-1*é a região na qual a configuração deve ser desativada. Neste exemplo, a Região Leste dos EUA (Norte da Virgínia).
+ `DISABLED` é o novo status da configuração.
Se a sua solicitação for realizada com êxito, o Macie desabilitará a configuração da sua conta na Região especificada e você receberá um resultado semelhante ao seguinte.
```
{
"configuration": {
"status": "DISABLED"
}
}
```
Onde `status` é o novo status da configuração da sua conta do Macie.
------
Se o Macie tiver sido configurado para assumir um perfil do IAM para recuperar amostras de dados confidenciais, você poderá excluir o perfil e a política de permissões do perfil de maneira opcional. O Macie não exclui esses recursos quando você desabilita as configurações da sua conta. Além disso, o Macie não usa esses recursos para realizar nenhuma outra tarefa na sua conta. Para excluir o perfil e sua política de permissão, é possível usar o console do IAM ou a API do IAM. Para obter mais informações, consulte [Excluir perfis](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) no *Guia do usuário do AWS Identity and Access Management *.
# Recuperar amostras de dados confidenciais para uma descoberta do Macie
Com o Amazon Macie, é possível recuperar e revelar amostras de dados confidenciais que o Macie relata em descobertas individuais de dados confidenciais. Isso inclui dados confidenciais que o Macie detectou usando [identificadores de dados gerenciados](managed-data-identifiers.md) e dados que correspondem aos critérios dos [identificadores de dados personalizados](custom-data-identifiers.md). As amostras podem ajudar você a verificar a natureza dos dados confidenciais que o Macie encontrou. Eles podem ajudar você a personalizar sua investigação sobre o objeto e o bucket afetados do Amazon Simple Storage Service (Amazon S3). Você pode recuperar e revelar amostras de dados confidenciais em todas as regiões Regiões da AWS onde o Macie está disponível atualmente, exceto nas regiões Ásia-Pacífico (Osaka) e Israel (Tel Aviv).
Se você recuperar e revelar amostras de dados confidenciais para uma descoberta, o Macie usará os dados no [resultado da descoberta de dados confidenciais](discovery-results-repository-s3.md) correspondente para localizar as primeiras 1 a 10 ocorrências de dados confidenciais relatadas pela descoberta. Em seguida, o Macie extrai os primeiros 1 a 128 caracteres de cada ocorrência do objeto do S3 afetado. Se uma descoberta relata vários tipos de dados confidenciais, o Macie faz isso para até cem tipos de dados confidenciais relatados pela descoberta.
Quando o Macie extrai dados confidenciais de um objeto do S3 afetado, o Macie criptografa os dados com uma chave AWS Key Management Service (AWS KMS) especificada por você, armazena temporariamente os dados criptografados em um cache e retorna os dados em seus resultados para a descoberta. Logo após a extração e a criptografia, o Macie exclui permanentemente os dados do cache, a menos que uma retenção adicional seja temporariamente necessária para resolver um problema operacional.
Se você optar por recuperar e revelar amostras de dados confidenciais para uma descoberta novamente, o Macie repetirá o processo para localizar, extrair, criptografar, armazenar e, por fim, excluir as amostras.
Para uma demonstração de como você pode recuperar e revelar amostras de dados confidenciais usando o console do Amazon Macie, assista ao vídeo a seguir:
**Topics**
+ [Antes de começar](#findings-retrieve-sd-proc-prereqs)
+ [Como determinar se as amostras estão disponíveis para uma descoberta](#findings-retrieve-sd-proc-criteria)
+ [Recuperar amostras para uma descoberta](#findings-retrieve-sd-proc-steps)
## Antes de começar
Antes que possa recuperar e revelar amostras de dados confidenciais para descobertas, você precisará [definir e habilitar as configurações da sua conta do Amazon Macie](findings-retrieve-sd-configure.md). Você também precisa trabalhar com seu AWS administrador para verificar se você tem as permissões e os recursos necessários.
Quando você recupera e revela amostras de dados confidenciais para uma descoberta, o Macie executa uma série de tarefas para localizar, recuperar, criptografar e revelar as amostras. O Macie não usa o [perfil vinculado a serviços](service-linked-roles.md) do Macie em sua conta para realizar essas tarefas. Em vez disso, você usa sua identidade AWS Identity and Access Management (IAM) ou permite que Macie assuma uma função do IAM em sua conta.
Para recuperar e revelar amostras de dados confidenciais para uma descoberta, você deve ter acesso à descoberta, ao resultado correspondente da descoberta de dados confidenciais e ao AWS KMS key que você configurou o Macie para usar para criptografar amostras de dados confidenciais. Além disso, você ou o perfil do IAM deve ter permissão para acessar o bucket afetado do S3 e o objeto afetado do S3. Você ou a função também devem ter permissão para usar o AWS KMS key que foi usado para criptografar o objeto afetado, se aplicável. Se alguma política do IAM, política de recursos ou outras configurações de permissões negar o acesso necessário, haverá um erro e o Macie não retornará nenhuma amostra para a descoberta.
Você também precisa ter permissão para realizar as seguintes ações do Macie:
+ `macie2:GetMacieSession`
+ `macie2:GetFindings`
+ `macie2:ListFindings`
+ `macie2:GetSensitiveDataOccurrences`
As três primeiras ações permitem que você acesse sua conta do Macie e recupere os detalhes das descobertas. A última ação permite que você recupere e revele amostras de dados confidenciais das descobertas.
Para usar o console do Amazon Macie a fim de recuperar e revelar amostras de dados confidenciais, você também deve ter permissão para realizar a seguinte ação: `macie2:GetSensitiveDataOccurrencesAvailability`. Essa ação permite determinar se as amostras estão disponíveis para descobertas individuais. Você não precisa de permissão para realizar essa ação para recuperar e revelar amostras de forma programática. No entanto, ter essa permissão pode agilizar sua recuperação de amostras.
Se você for o administrador delegado do Macie de uma organização e tiver configurado o Macie para assumir um perfil do IAM para recuperar amostras de dados confidenciais, também deverá ter permissão para realizar a seguinte ação: `macie2:GetMember`. Essa ação permite que você recupere informações sobre a associação entre sua conta e uma conta afetada. Ela permite que o Macie verifique se você é atualmente o administrador do Macie para a conta afetada.
Se você não tiver permissão para realizar as ações necessárias ou acessar os dados e recursos necessários, peça ajuda ao AWS administrador.
## Como determinar se as amostras de dados confidenciais estão disponíveis para uma descoberta
Para recuperar e revelar amostras de dados confidenciais para uma descoberta, a descoberta precisa atender a determinados critérios. Ele deve incluir dados de localização para ocorrências específicas de dados confidenciais. Além disso, ele precisa especificar a localização de um resultado de descoberta de dados confidenciais válido e correspondente. O resultado da descoberta de dados confidenciais deve ser armazenado da Região da AWS mesma forma que a descoberta. Se você configurou o Amazon Macie para acessar os objetos afetados do S3 assumindo uma função AWS Identity and Access Management (IAM), o resultado da descoberta de dados confidenciais também deve ser armazenado em um objeto do S3 que o Macie assinou com um Código de Autenticação de Mensagens (HMAC) baseado em Hash. AWS KMS key
O objeto do S3 afetado também precisa atender a determinados critérios. O tipo de MIME do objeto deve ser um dos seguintes:
+ *application/avro*, para um arquivo de contêiner de objetos Apache Avro (.avro)
+ *application/gzip*, para um arquivo compactado GNU Zip (.gz ou .gzip)
+ *application/json*, para um arquivo JSON ou JSON Lines (.json ou .jsonl)
+ *application/parquet*, para um arquivo Apache Parquet (.parquet)
+ *application/vnd.openxmlformats-officedocument.spreadsheetml.sheet*, para um arquivo de pasta de trabalho do Microsoft Excel (.xlsx)
+ *application/zip*, para um arquivo compactado GNU Zip (.gz ou .gzip)
+ *text/csv*, para um arquivo CSV (.csv)
+ *text/plain*, para um arquivo de texto não binário diferente de um arquivo CSV, JSON, JSON Lines ou TSV
+ *text/tab-separated-values*, para um arquivo TSV (.tsv)
Além disso, o conteúdo do objeto do S3 deve ser o mesmo de quando a descoberta foi criada. Macie verifica a tag de entidade do objeto (ETag) para determinar se ela corresponde à ETag especificada pela descoberta. Além disso, o tamanho de armazenamento do objeto não pode exceder a cota de tamanho aplicável para recuperar e revelar amostras de dados confidenciais. Para obter uma lista das cotas aplicáveis, consulte[Cotas para o Macie](macie-quotas.md).
Se uma descoberta e o objeto do S3 afetado atenderem aos critérios anteriores, amostras de dados confidenciais estarão disponíveis para a descoberta. Se preferir, você pode determinar se esse é o caso de uma descoberta específica antes de tentar recuperar e revelar amostras para ela.
**Determinando se as amostras de dados confidenciais estão disponíveis para descobertas**
Você pode usar o console do Amazon Macie ou a API do Amazon Macie para determinar se amostras de dados confidenciais estão disponíveis para uma descoberta.
------
#### [ Console ]
Siga essas etapas no console do Amazon Macie para determinar se existem amostras de dados confidenciais disponíveis para uma descoberta.
**Determinando se as amostras de dados confidenciais estão disponíveis para descobertas**
1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. No painel de navegação, selecione **Descobertas**.
1. Na página **Descobertas**, selecione a descoberta. O painel de detalhes exibirá informações sobre a descoberta.
1. No painel de detalhes, vá até a seção **Dados confidenciais**. Em seguida, consulte o campo **Revelar amostras**.
Se houver amostras de dados confidenciais disponíveis para a descoberta, um link **Revisar** será exibido no campo, conforme mostrado na seguinte imagem.
![\[O campo Revelar amostras no painel de detalhes da descoberta. O campo contém um link chamado Revisão.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/scrn-findings-reveal-samples.png)
Se não houver amostras de dados confidenciais disponíveis para a descoberta, o campo **Revelar amostras** exibirá um texto indicando o motivo:
+ **Conta fora da organização**: você não tem permissão para acessar o objeto afetado do S3 usando o Macie. A conta afetada não faz parte da sua organização. Ou a conta faz parte da sua organização, mas o Macie não está habilitado para a conta na Região da AWS atual.
+ **Resultado inválido de classificação**: não há um resultado correspondente de descoberta de dados confidenciais para a descoberta. Ou o resultado correspondente da descoberta de dados confidenciais não está disponível no Região da AWS atual, está malformado ou corrompido ou usa um formato de armazenamento incompatível. O Macie não consegue verificar a localização dos dados confidenciais a serem recuperados.
+ **Assinatura de resultado inválida**: o resultado correspondente da descoberta de dados confidenciais é armazenado em um objeto do S3 que não foi assinado pelo Macie. O Macie não consegue verificar a integridade e a autenticidade do resultado da descoberta de dados confidenciais. Portanto, o Macie não consegue verificar a localização dos dados confidenciais a serem recuperados.
+ **Perfil de membro muito permissivo**: a política de confiança ou de permissões para o perfil do IAM na conta de membro afetada não atende aos requisitos do Macie para restringir o acesso ao perfil. Ou a política de confiança do perfil não especifica o ID externo correto para sua organização. O Macie não pode assumir o perfil para recuperar os dados confidenciais.
+ ** GetMember Permissão ausente — Você não tem permissão** para recuperar informações sobre a associação entre sua conta e a conta afetada. O Macie não consegue determinar se você não tem permissão para acessar o objeto afetado do S3 como administrador delegado do Macie para a conta afetada.
+ **Objeto excede a cota de tamanho**: o tamanho de armazenamento do objeto afetado do S3 excede a cota de tamanho para recuperar e revelar amostras de dados confidenciais desse tipo de arquivo.
+ **Objeto indisponível**: o objeto afetado do S3 não está disponível. O objeto foi renomeado, movido ou excluído, ou seu conteúdo foi alterado depois que o Macie criou a descoberta. Ou o objeto está criptografado com um AWS KMS key que não está disponível. Por exemplo, a chave está desabilitada, programada para exclusão ou foi excluída.
+ **Resultado não assinado**: o resultado correspondente da descoberta de dados confidenciais está armazenado em um objeto do S3 que não foi assinado. O Macie não consegue verificar a integridade e a autenticidade do resultado da descoberta de dados confidenciais. Portanto, o Macie não consegue verificar a localização dos dados confidenciais a serem recuperados.
+ **Perfil muito permissivo**: sua conta está configurada para recuperar ocorrências de dados confidenciais usando um perfil do IAM cuja política de confiança ou permissões não atende aos requisitos do Macie para restringir o acesso ao perfil. O Macie não pode assumir o perfil para recuperar os dados confidenciais.
+ **Tipo de objeto incompatível**: o objeto afetado do S3 usa um formato de arquivo ou armazenamento não compatível com o Macie para recuperar e revelar amostras de dados confidenciais. O tipo MIME do objeto afetado do S3 não é um dos valores na [lista anterior](#findings-retrieve-sd-criteria-mimetype).
Se houver um problema com o resultado da descoberta de dados confidenciais, as informações no campo **Localização detalhada do resultado** da descoberta poderão ajudar você a investigar o problema. Esse campo especifica o caminho original para o resultado no Amazon S3. Para investigar um problema com um perfil do IAM, certifique-se de que as políticas do perfil atendam a todos os requisitos para que o Macie assuma o perfil. Para obter esses detalhes, consulte [Configurar um perfil do IAM para acessar objetos afetados do S3](findings-retrieve-sd-options.md#findings-retrieve-sd-options-s3access-role-configuration).
------
#### [ API ]
Para determinar programaticamente se amostras de dados confidenciais estão disponíveis para uma descoberta, use a [GetSensitiveDataOccurrencesAvailability](https://docs.aws.amazon.com/macie/latest/APIReference/findings-findingid-reveal-availability.html)operação da API Amazon Macie. Ao enviar sua solicitação, use o parâmetro `findingId` para especificar o identificador exclusivo da descoberta. Para obter esse identificador, você pode usar a [ListFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings.html)operação.
Se você estiver usando o AWS Command Line Interface (AWS CLI), execute o comando [get-sensitive-data-occurrences-availability](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitive-data-occurrences-availability.html) e use o `finding-id` parâmetro para especificar o identificador exclusivo para a descoberta. Para obter esse identificador, você pode usar a operação [ListFindings](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-findings.html).
Se sua solicitação tiver êxito e as amostras estiverem disponíveis para a descoberta, você receberá um resultado semelhante a este:
```
{
"code": "AVAILABLE",
"reasons": []
}
```
Se sua solicitação tiver êxito e as amostras não estiverem disponíveis para a descoberta, o valor do campo `code` será `UNAVAILABLE` e a matriz `reasons` especificará o motivo. Por exemplo:
```
{
"code": "UNAVAILABLE",
"reasons": [
"UNSUPPORTED_OBJECT_TYPE"
]
}
```
Se houver um problema com o resultado da descoberta de dados confidenciais, as informações no campo `classificationDetails.detailedResultsLocation` da descoberta poderão ajudar você a investigar o problema. Esse campo especifica o caminho original para o resultado no Amazon S3. Para investigar um problema com um perfil do IAM, certifique-se de que as políticas do perfil atendam a todos os requisitos para que o Macie assuma o perfil. Para obter esses detalhes, consulte [Configurar um perfil do IAM para acessar objetos afetados do S3](findings-retrieve-sd-options.md#findings-retrieve-sd-options-s3access-role-configuration).
------
## Recuperar amostras de dados confidenciais para uma descoberta
Para recuperar e revelar amostras de dados confidenciais de uma descoberta, você pode usar o console do Amazon Macie ou a API do Amazon Macie.
------
#### [ Console ]
Siga estas etapas para recuperar e revelar amostras de dados confidenciais de uma descoberta usando o console do Amazon Macie.
**Para recuperar e revelar amostras de dados confidenciais de uma descoberta**
1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. No painel de navegação, selecione **Descobertas**.
1. Na página **Descobertas**, selecione a descoberta. O painel de detalhes exibirá informações sobre a descoberta.
1. No painel de detalhes, vá até a seção **Dados confidenciais**. Em seguida, no campo **Revelar amostras**, selecione **Revisar**:
![\[O campo Revelar amostras no painel de detalhes da descoberta. O campo contém um link chamado Revisão.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/scrn-findings-reveal-samples.png)
**nota**
Se o link **Revisar** não aparecer no campo **Revelar amostras**, as amostras de dados confidenciais não estarão disponíveis para a descoberta. Para determinar por que esse é o caso, consulte o [tópico anterior](#findings-retrieve-sd-proc-criteria).
Depois de selecionar **Revisar**, o Macie exibe uma página que resume os principais detalhes da descoberta. Os detalhes incluem as categorias, os tipos e o número de ocorrências de dados confidenciais que o Macie encontrou no objeto do S3 afetado.
1. Na seção **Dados confidenciais** da página, selecione **Revelar amostras**. Em seguida, o Macie vai recuperar e revelar amostras das primeiras 1 a 10 ocorrências de dados confidenciais relatadas pela descoberta. Cada amostra contém os primeiros 1 a 128 caracteres de uma ocorrência de dados confidenciais. A recuperação e revelação das amostras pode demorar vários minutos.
Se a descoberta relatar vários tipos de dados confidenciais, o Macie recupera e revela amostras de até cem tipos. Por exemplo, a imagem a seguir mostra amostras que abrangem várias categorias e tipos de dados confidenciais:AWS credenciais, números de telefone dos EUA e nomes de pessoas.
![\[A tabela de amostras. Ela lista nove amostras e a categoria e o tipo de dados confidenciais de cada amostra.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/scrn-findings-sd-samples.png)
As amostras são organizadas, primeiro, por categoria de dados confidenciais e, depois, por tipo de dados confidenciais.
------
#### [ API ]
Para recuperar e revelar amostras de dados confidenciais para uma descoberta de forma programática, use a [GetSensitiveDataOccurrences](https://docs.aws.amazon.com/macie/latest/APIReference/findings-findingid-reveal.html)operação da API do Amazon Macie. Ao enviar sua solicitação, use o parâmetro `findingId` para especificar o identificador exclusivo da descoberta. Para obter esse identificador, você pode usar a [ListFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings.html)operação.
Para recuperar e revelar amostras de dados confidenciais usando o AWS Command Line Interface (AWS CLI), execute o [get-sensitive-data-occurrences](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitive-data-occurrences.html)comando e use o `finding-id` parâmetro para especificar o identificador exclusivo da descoberta. Por exemplo:
```
C:\> aws macie2 get-sensitive-data-occurrences --finding-id "1f1c2d74db5d8caa76859ec52example"
```
Onde *1f1c2d74db5d8caa76859ec52example* está o identificador exclusivo da descoberta. Para obter esse identificador usando o AWS CLI, você pode executar o comando [list-findings](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-findings.html).
Se a sua solicitação for realizada com êxito, o Macie começará a processar sua solicitação e você receberá um resultado semelhante a este:
```
{
"status": "PROCESSING"
}
```
Pode demorar vários minutos para processar a sua solicitação. Em alguns minutos, envie sua solicitação novamente.
Se o Macie puder localizar, recuperar e criptografar as amostras de dados confidenciais, o Macie retornará as amostras em um mapa `sensitiveDataOccurrences`. O mapa especifica de 1 a 100 tipos de dados confidenciais relatados pela descoberta e, para cada tipo, de 1 a 10 amostras. Cada amostra contém os primeiros 1 a 128 caracteres de uma ocorrência de dados confidenciais relatada pela descoberta.
No mapa, cada chave é o ID do identificador de dados gerenciados que detectou os dados confidenciais, ou o nome e o identificador exclusivo do identificador de dados personalizado que detectou os dados confidenciais. Os valores são exemplos do identificador de dados gerenciados ou do identificador de dados personalizado especificado. Por exemplo, a resposta a seguir fornece três amostras de nomes de pessoas e duas amostras de chaves de acesso AWS secretas que foram detectadas por identificadores de dados gerenciados (`NAME`e`AWS_CREDENTIALS`, respectivamente).
```
{
"sensitiveDataOccurrences": {
"NAME": [
{
"value": "Akua Mansa"
},
{
"value": "John Doe"
},
{
"value": "Martha Rivera"
}
],
"AWS_CREDENTIALS": [
{
"value": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY"
},
{
"value": "je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY"
}
]
},
"status": "SUCCESS"
}
```
Se sua solicitação tiver êxito, mas não houver amostras de dados confidenciais disponíveis para a descoberta, você receberá uma mensagem `UnprocessableEntityException` indicando porque as amostras não estão disponíveis. Por exemplo:
```
{
"message": "An error occurred (UnprocessableEntityException) when calling the GetSensitiveDataOccurrences operation: OBJECT_UNAVAILABLE"
}
```
No exemplo anterior, o Macie tentou recuperar amostras do objeto afetado do S3, mas o objeto não estava mais disponível. O conteúdo do objeto mudou depois que o Macie criou a descoberta.
Se sua solicitação tiver êxito, mas outro tipo de erro tiver impedido o Macie de recuperar e revelar amostras de dados confidenciais para a descoberta, você receberá uma saída semelhante à seguinte:
```
{
"error": "Macie can't retrieve the samples. You're not allowed to access the affected S3 object or the object is encrypted with a key that you're not allowed to use.",
"status": "ERROR"
}
```
O valor do campo `status` é `ERROR` e o campo `error` descreve o erro que ocorreu. As informações do [tópico anterior](#findings-retrieve-sd-proc-criteria) podem ajudar você a investigar o erro.
------
# Esquema para relatar a localização de dados confidenciais
O Amazon Macie usa estruturas JSON padronizadas para armazenar informações sobre onde encontra dados confidenciais nos objetos do Amazon Simple Storage Service (Amazon S3). As estruturas são usadas por descobertas de dados confidenciais e resultados de detecções de dados confidenciais. Para descobertas de dados confidenciais, as estruturas fazem parte do esquema JSON para descobertas. Para analisar o esquema JSON completo das descobertas, consulte [Descobertas](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html) na *Referência de API do Amazon Macie*. Para saber mais sobre os resultados da detecção de dados confidenciais, consulte [Armazenamento e retenção de resultados de descoberta de dados confidenciais](discovery-results-repository-s3.md).
**Topics**
+ [Visão geral do esquema](#findings-locate-sd-schema-overview)
+ [Detalhes e exemplos do esquema](#findings-locate-sd-schema-examples)
## Visão geral do esquema
Para relatar a localização de dados confidenciais que o Amazon Macie encontrou em um objeto do S3 afetado, o esquema JSON para descobertas de dados confidenciais e resultados de descobertas de dados confidenciais inclui um objeto `customDataIdentifiers` e um objeto `sensitiveData`. O `customDataIdentifiers` objeto fornece detalhes sobre os dados que o Macie detectou usando [identificadores de dados personalizados](custom-data-identifiers.md). O `sensitiveData` objeto fornece detalhes sobre os dados que o Macie detectou usando [identificadores de dados gerenciados](managed-data-identifiers.md).
Cada objeto `customDataIdentifiers` e `sensitiveData` contém uma ou mais matrizes `detections`:
+ Em um objeto `customDataIdentifiers`, a matriz `detections` indica quais identificadores de dados personalizados detectaram os dados e produziram a descoberta. Para cada identificador de dados personalizado, a matriz também indica o número de ocorrências dos dados que o identificador detectou. Também pode indicar a localização dos dados que o identificador detectou.
+ Em um objeto `sensitiveData`, uma matriz `detections` indica os tipos de dados confidenciais que o Macie detectou usando identificadores de dados gerenciados. Para cada tipo de dado confidencial, a matriz também indica o número de ocorrências dos dados e pode indicar a localização dos dados.
Para uma descoberta de dados confidenciais, uma matriz `detections` pode incluir de 1 a 15 objetos `occurrences`. Cada objeto `occurrences` especifica onde o Macie detectou ocorrências individuais de um tipo específico de dados confidenciais.
Por exemplo, a matriz `detections` a seguir indica a localização de três ocorrências de dados confidenciais (números do Seguro Social dos EUA) que Macie encontrou em um arquivo CSV.
```
"sensitiveData": [
{
"category": "PERSONAL_INFORMATION",
"detections": [
{
"count": 30,
"occurrences": {
"cells": [
{
"cellReference": null,
"column": 1,
"columnName": "SSN",
"row": 2
},
{
"cellReference": null,
"column": 1,
"columnName": "SSN",
"row": 3
},
{
"cellReference": null,
"column": 1,
"columnName": "SSN",
"row": 4
}
]
},
"type": "USA_SOCIAL_SECURITY_NUMBER"
}
```
A localização e o número de objetos `occurrences` em uma matriz `detections` variam com base nas categorias, tipos e número de ocorrências de dados confidenciais que o Macie detecta durante um ciclo automatizado de análise de descoberta de dados confidenciais ou a execução de um trabalho de descoberta de dados confidenciais. Para cada execução de trabalho ou ciclo de análise, o Macie também usa um algoritmo de *pesquisa detalhada* para preencher as descobertas resultantes com detalhes sobre os dados de localização de 1 a 15 ocorrências específicas de dados confidenciais que o Macie detecta nos objetos do S3. Essas ocorrências são indicativas das categorias e dos tipos de dados confidenciais que um bucket e um objeto do S3 afetados podem conter.
Um objeto `occurrences` pode conter qualquer uma das seguintes estruturas, dependendo do tipo de arquivo ou formato de armazenamento do objeto S3 afetado:
+ Matriz `cells`: essa matriz se aplica às pastas de trabalho do Microsoft Excel, arquivos CSV e arquivos TSV. Um objeto nessa matriz especifica uma célula ou campo em que o Macie detectou uma ocorrência de dados confidenciais.
+ Matriz `lineRanges`: essa matriz se aplica a arquivos de mensagens de e-mail (EML) e arquivos de texto não binários que não sejam arquivos CSV, JSON, JSON Lines e TSV; por exemplo, arquivos HTML, TXT e XML. Um objeto nessa matriz especifica uma linha ou um intervalo inclusivo de linhas em que o Macie detectou uma ocorrência de dados confidenciais e a posição dos dados na linha ou linhas especificadas.
Em certos casos, um objeto em uma matriz `lineRanges` especifica a localização de uma detecção de dados confidenciais em um tipo de arquivo ou formato de armazenamento compatível com outro tipo de matriz. Esses casos são: uma detecção em uma seção não estruturada de um arquivo estruturado no geral, como um comentário em um arquivo; uma detecção em um arquivo malformado que o Macie analisa como texto sem formatação; e um arquivo CSV ou TSV que tem um ou mais nomes de coluna nos quais o Macie detectou dados confidenciais.
+ Matriz `offsetRanges`: isso está reservado para uso futuro. Se essa matriz estiver presente, o valor dela será nulo.
+ matriz `pages`: essa matriz se aplica aos arquivos Adobe Portable Document Format (PDF). Um objeto nessa matriz especifica uma página em que o Macie detectou uma ocorrência de dados confidenciais.
+ matriz `records`: essa matriz se aplica a contêineres de objetos Apache Avro, arquivos Apache Parquet, arquivos JSON e arquivos JSON Lines. Para contêineres de objetos Avro e arquivos Parquet, um objeto nessa matriz especifica um índice de registro e o caminho para um campo em um registro no qual o Macie detectou uma ocorrência de dados confidenciais. Para arquivos JSON e JSON Lines, um objeto nessa matriz especifica um caminho para um campo ou matriz no qual o Macie detectou uma ocorrência de dados confidenciais. Para arquivos JSON Lines, ele também especifica o índice da linha que contém os dados.
O conteúdo dessas matrizes varia de acordo com o tipo de arquivo ou formato de armazenamento do objeto S3 afetado e seu conteúdo.
## Detalhes e exemplos do esquema
O Amazon Macie adapta o conteúdo das estruturas JSON que ele usa para indicar onde detectou dados confidenciais em tipos específicos de arquivos e de conteúdo. Os tópicos a seguir explicam e fornecem exemplos dessas estruturas.
**Topics**
+ [Matriz de células](#findings-locate-sd-schema-examples-cell)
+ [LineRanges matriz](#findings-locate-sd-schema-examples-linerange)
+ [Matriz de páginas](#findings-locate-sd-schema-examples-page)
+ [Matriz de registros](#findings-locate-sd-schema-examples-record)
Para obter uma lista completa das estruturas JSON que podem ser incluídas em uma descoberta de dados confidenciais, consulte [Descobertas](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html) na *Referência de API do Amazon Macie*.
### Matriz de células
**Aplica-se a:** livros de trabalho do Microsoft Excel, arquivos CSV e arquivos TSV
Em uma matriz `cells`, um objeto `Cell` especifica uma célula ou campo em que o Macie detectou uma ocorrência de dados confidenciais. A tabela a seguir descreve a finalidade de cada campo em um objeto `Cell`.
| Campo | Tipo | Description |
| --- | --- | --- |
| cellReference | String | A localização da célula, como referência absoluta da célula, que contém a ocorrência. Esse campo se aplica somente às pastas de trabalho do Excel. Esse valor é nulo para arquivos CSV e TSV. |
| column | Inteiro | O número da coluna que contém a ocorrência. Para uma pasta de trabalho do Excel, esse valor se correlaciona com os caracteres alfabéticos de um identificador de coluna; por exemplo, 1 para a coluna A, 2 para a coluna B e assim por diante. |
| columnName | String | O nome da coluna que contém a ocorrência, se disponível. |
| row | Inteiro | O número da linha que contém a ocorrência. |
O exemplo a seguir mostra a estrutura de um objeto `Cell` que especifica a localização de uma ocorrência de dados confidenciais que o Macie detectou em um arquivo CSV.
```
"cells": [
{
"cellReference": null,
"column": 3,
"columnName": "SSN",
"row": 5
}
]
```
No exemplo anterior, a descoberta indica que o Macie detectou dados confidenciais no campo na quinta linha da terceira coluna (chamada *SSN*) do arquivo.
O exemplo a seguir mostra a estrutura de um objeto `Cell` que especifica a localização de uma ocorrência de dados confidenciais que o Macie detectou em uma pasta de trabalho do Excel.
```
"cells": [
{
"cellReference": "Sheet2!C5",
"column": 3,
"columnName": "SSN",
"row": 5
}
]
```
No exemplo anterior, a descoberta indica que o Macie detectou dados confidenciais na planilha chamada *Planilha2* na pasta de trabalho. Nessa planilha, o Macie detectou dados confidenciais na célula na quinta linha da terceira coluna (coluna C, chamada *SSN*).
### LineRanges matriz
**Aplica-se a:** arquivos de mensagens de e-mail (EML) e arquivos de texto não binários que não sejam arquivos CSV, JSON, JSON Lines e TSV; por exemplo, arquivos HTML, TXT e XML
Em uma matriz `lineRanges`, um objeto `Range` especifica uma linha ou um intervalo inclusivo de linhas em que o Macie detectou uma ocorrência de dados confidenciais e a posição dos dados na linha ou nas linhas especificadas.
Esse objeto geralmente está vazio para tipos de arquivo compatíveis com outros tipos de matrizes em objetos `occurrences`. As exceções são:
+ Dados em seções não estruturadas de um arquivo estruturado no geral, como um comentário em um arquivo.
+ Dados em um arquivo malformado que o Macie analisa como texto sem formatação.
+ Um arquivo CSV ou TSV que tem um ou mais nomes de coluna nos quais o Macie detectou dados confidenciais.
A tabela a seguir descreve a finalidade de cada campo em um objeto `Range` de uma matriz `lineRanges`.
| Campo | Tipo | Description |
| --- | --- | --- |
| end | Inteiro | O número de linhas desde o início do arquivo até o final da ocorrência. |
| start | Inteiro | O número de linhas desde o início do arquivo até o começo da ocorrência. |
| startColumn | Inteiro | O número de caracteres, com espaços e começando em 1, desde o início da primeira linha que contém a ocorrência (start) até o início da ocorrência. |
O exemplo a seguir mostra a estrutura de um objeto `Range` que especifica a localização de uma ocorrência de dados confidenciais que o Macie detectou em um arquivo TXT.
```
"lineRanges": [
{
"end": 1,
"start": 1,
"startColumn": 119
}
]
```
No exemplo anterior, a descoberta indica que o Macie detectou uma ocorrência completa de dados confidenciais (um endereço postal) na primeira linha do arquivo. O primeiro caractere na ocorrência tem 119 caracteres (com espaços) a partir do início dessa linha.
O exemplo a seguir mostra a estrutura de um objeto `Range` que especifica a localização de uma ocorrência de dados confidenciais que engloba várias linhas em um arquivo TXT.
```
"lineRanges": [
{
"end": 54,
"start": 51,
"startColumn": 1
}
]
```
No exemplo anterior, a descoberta indica que o Macie detectou uma ocorrência completa de dados confidenciais (um endereço postal) no intervalo das linhas 51 a 54 do arquivo. O primeiro caractere na ocorrência é o primeiro caractere na linha 51 do arquivo.
### Matriz de páginas
**Aplica-se a:** arquivos Adobe Portable Document Format (PDF)
Em uma matriz `pages`, um objeto `Page` especifica uma página em que o Macie detectou uma ocorrência de dados confidenciais. O objeto contém um campo `pageNumber`. O campo `pageNumber` armazena um número inteiro que especifica o número da página que contém a ocorrência.
O exemplo a seguir mostra a estrutura de um objeto `Page` que especifica a localização de uma ocorrência de dados confidenciais que o Macie detectou em um arquivo PDF.
```
"pages": [
{
"pageNumber": 10
}
]
```
No exemplo anterior, a descoberta indica que a página 10 do arquivo contém a ocorrência.
### Matriz de registros
**Aplica-se a:** contêineres de objetos Apache Avro, arquivos Apache Parquet, arquivos JSON e arquivos JSON Lines
Para um contêiner de objetos Avro ou um arquivo Parquet, um objeto `Record` em uma matriz `records` especifica um índice de registro e o caminho para um campo em um registro no qual o Macie detectou uma ocorrência de dados confidenciais. Para arquivos JSON e JSON Lines, um objeto `Record` especifica um caminho para um campo ou matriz no qual o Macie detectou uma ocorrência de dados confidenciais. Para arquivos JSON Lines, ele também especifica o índice da linha que contém a ocorrência.
A tabela a seguir descreve a finalidade de cada campo em um objeto `Record`.
| Campo | Tipo | Description |
| --- | --- | --- |
| jsonPath | String | O caminho, como JSONPath expressão, até a ocorrência. Para um contêiner de objeto Avro ou um arquivo Parquet, esse é o caminho para o campo no registro (`recordIndex`) que contém a ocorrência. Para um arquivo JSON ou JSON Lines, esse é o caminho para o campo ou matriz que contém a ocorrência. Se os dados forem um valor em uma matriz, o caminho também indicará qual valor contém a ocorrência. Se o Macie detectar dados confidenciais no nome de qualquer elemento no caminho, o Macie omite o campo `jsonPath` de um objeto `Record`. Se o nome de um elemento de caminho exceder 240 caracteres, o Macie truncará o nome removendo caracteres do início do nome. Se o caminho completo resultante exceder 250 caracteres, o Macie também truncará o caminho, começando com o primeiro elemento no caminho, até que o caminho contenha 250 caracteres ou menos. |
| recordIndex | Inteiro | Para um contêiner de objeto Avro ou um arquivo Parquet, o índice do registro, começando em 0, para o registro que contém a ocorrência. Para um arquivo JSON Lines, o índice da linha, começando em 0, para a linha que contém a ocorrência. Esse valor é sempre 0 para arquivos JSON. |
O exemplo a seguir mostra a estrutura de um objeto `Record` que especifica a localização de uma ocorrência de dados confidenciais que o Macie detectou em um arquivo Parquet.
```
"records": [
{
"jsonPath": "$['abcdefghijklmnopqrstuvwxyz']",
"recordIndex": 7663
}
]
```
No exemplo anterior, a descoberta indica que o Macie detectou dados confidenciais no registro do índice 7663 (registro número 7664). Naquele registro, o Macie detectou dados confidenciais no campo nomeado `abcdefghijklmnopqrstuvwxyz`. O caminho JSON completo para o campo no registro é `$.abcdefghijklmnopqrstuvwxyz`. O campo é descendente direto do objeto raiz (nível externo).
O exemplo a seguir também mostra a estrutura de um objeto `Record` para uma ocorrência de dados confidenciais que o Macie detectou em um arquivo Parquet. No entanto, neste exemplo, o Macie truncou o nome do campo que contém a ocorrência porque o nome excede o limite de caracteres.
```
"records": [
{
"jsonPath": "$['...uvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyz']",
"recordIndex": 7663
}
]
```
No exemplo anterior, o campo é descendente direto do objeto raiz (nível externo).
No exemplo a seguir, também para uma ocorrência de dados confidenciais que o Macie detectou em um arquivo Parquet, o Macie truncou o caminho completo para o campo que contém a ocorrência. O caminho completo excede o limite de caracteres.
```
"records": [
{
"jsonPath": "$..usssn2.usssn3.usssn4.usssn5.usssn6.usssn7.usssn8.usssn9.usssn10.usssn11.usssn12.usssn13.usssn14.usssn15.usssn16.usssn17.usssn18.usssn19.usssn20.usssn21.usssn22.usssn23.usssn24.usssn25.usssn26.usssn27.usssn28.usssn29['abcdefghijklmnopqrstuvwxyz']",
"recordIndex": 2335
}
]
```
No exemplo anterior, a descoberta indica que o Macie detectou dados confidenciais no registro do índice 2335 (registro número 2336). Naquele registro, o Macie detectou dados confidenciais no campo nomeado `abcdefghijklmnopqrstuvwxyz`. O caminho JSON completo para o campo no registro é:
`$['1234567890']usssn1.usssn2.usssn3.usssn4.usssn5.usssn6.usssn7.usssn8.usssn9.usssn10.usssn11.usssn12.usssn13.usssn14.usssn15.usssn16.usssn17.usssn18.usssn19.usssn20.usssn21.usssn22.usssn23.usssn24.usssn25.usssn26.usssn27.usssn28.usssn29['abcdefghijklmnopqrstuvwxyz']`
O exemplo a seguir mostra a estrutura de um objeto `Record` que especifica a localização de uma ocorrência de dados confidenciais que o Macie detectou em um arquivo JSON. Neste exemplo, a ocorrência é um valor específico em uma matriz.
```
"records": [
{
"jsonPath": "$.access.key[2]",
"recordIndex": 0
}
]
```
No exemplo anterior, a descoberta indica que o Macie detectou dados confidenciais no segundo valor de uma matriz chamada. `key` A matriz é filha de um objeto chamado`access`.
O exemplo a seguir mostra a estrutura de um objeto `Record` que especifica a localização de uma ocorrência de dados confidenciais que o Macie detectou em um arquivo JSON Lines.
```
"records": [
{
"jsonPath": "$.access.key",
"recordIndex": 3
}
]
```
No exemplo anterior, a descoberta indica que o Macie detectou dados confidenciais no terceiro valor (linha) no arquivo. Naquela linha, a ocorrência está em um campo chamado `key`, que é filho de um objeto chamado `access`.