Detección de datos confidenciales con Macie - Amazon Macie

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Detección de datos confidenciales con Macie

Con Amazon Macie, puede automatizar la detección, el registro y la notificación de información confidencial en su conjunto de datos de Amazon Simple Storage Service (Amazon S3). Puede hacerlo de dos maneras: configurando Macie para que realice la detección de datos confidenciales automatizada y creando y ejecutando tareas de detección de datos confidenciales.

La detección de datos confidenciales proporciona una amplia visibilidad de dónde pueden residir los datos confidenciales en su patrimonio de datos de Amazon S3. Con esta opción, Macie evalúa su inventario de buckets de S3 a diario y utiliza técnicas de muestreo para identificar y seleccionar objetos de S3 representativos de sus buckets. A continuación, Macie recupera y analiza los objetos seleccionados, inspeccionándolos en busca de datos confidenciales. Para obtener más información, consulte Realización de la detección de datos confidenciales automatizada.

Los trabajos de detección de datos confidenciales proporcionan un análisis más profundo y específico. Con esta opción, usted define la amplitud y la profundidad del análisis: bucket de S3 específicos que seleccione o buckets que coincidan con criterios específicos. También puede ajustar el ámbito del análisis eligiendo opciones, como los criterios personalizados que se derivan de las propiedades de los objetos de S3. Además, puede configurar un trabajo para que se ejecute solo una vez para el análisis y la evaluación bajo demanda, o de forma periódica para el análisis, la evaluación y la supervisión periódicos. Para obtener más información, consulte Ejecución de trabajos de detección de datos confidenciales.

Con cualquiera de las opciones, el descubrimiento automatizado de datos confidenciales o los trabajos de descubrimiento de datos confidenciales, puede configurar Macie para que analice los objetos de S3 mediante los identificadores de datos gestionados que proporciona, los identificadores de datos personalizados que defina o una combinación de ambos. También puede ajustar el análisis con listas de permitidos. Al configurar los ajustes para la detección automática de datos confidenciales o un trabajo de descubrimiento de datos confidenciales, debe especificar cuáles usar:

  • Identificadores de datos gestionados: son criterios y técnicas integrados que están diseñados para detectar tipos específicos de datos confidenciales. Por ejemplo, pueden detectar números de tarjetas de crédito, claves de acceso AWS secretas y números de pasaporte de determinados países y regiones. Pueden detectar una lista amplia y creciente de tipos de datos confidenciales en muchos países y regiones. Esto incluye varios tipos de información de identificación personal (PII), información financiera y datos de credenciales. Para obtener más información, consulte Uso de identificadores de datos administrados.

  • Identificadores de datos personalizados: son criterios personalizados que se definen para detectar datos confidenciales. Cada identificador de datos personalizados especifíca una expresión regular (regex) que define un patrón de texto para que coincida y, opcionalmente, secuencias de caracteres y una regla de proximidad que perfeccionen los resultados. Puede usarlos para detectar datos confidenciales que reflejen sus escenarios particulares, propiedad intelectual o datos patentados, por ejemplo, números de cuentas de empleados IDs o clientes o clasificaciones de datos internas. Para obtener más información, consulte Creación de identificadores de datos personalizados.

  • Listas de permisos: especifican el texto y los patrones de texto que quieres que Macie ignore. Puede utilizarlos para especificar excepciones de datos confidenciales para sus escenarios o entornos particulares, por ejemplo, nombres públicos o números de teléfono de su organización, o datos de muestra que su organización utiliza para las pruebas. Si Macie encuentra texto que coincide con una entrada o un patrón en una lista de permitidos, Macie no informa de la aparición del texto. Este es el caso incluso aunque el texto coincida con los criterios de un identificador de datos administrado o personalizado. Para obtener más información, consulte Definición de excepciones de datos confidenciales con las listas de permitidos.

Cuando Macie analiza un objeto de S3, recupera la última versión del objeto de Amazon S3 y, a continuación, inspecciona el contenido del objeto en busca de datos confidenciales. Macie puede analizar un objeto si se cumple lo siguiente:

  • El objeto utiliza un archivo o formato de almacenamiento admitido y se almacena en un bucket de uso general de S3 mediante una clase de almacenamiento compatible. Para obtener más información, consulte Clases y formatos de almacenamiento compatibles.

  • Si el objeto está cifrado, asegúrese de que también esté cifrado con una clave que Macie pueda usar. Para obtener más información, consulte Análisis de objetos de S3 cifrados.

  • Si el objeto está almacenado en un bucket que tiene una política de bucket restrictiva, la política permite a Macie acceder a los objetos del bucket. Para obtener más información, consulte Permitir a Macie el acceso a buckets y objetos de S3.

Para ayudarle a cumplir y mantener el cumplimiento de sus requisitos de seguridad y privacidad de datos, Macie crea registros de los datos confidenciales que encuentra y de los análisis que realiza: tanto los resultados de datos confidenciales como los resultados de la detección de datos confidenciales. Un resultado de datos confidenciales es un informe detallado de los datos confidenciales que Macie encontró en un objeto de S3. Un resultado de detección de datos confidenciales es un registro de los detalles sobre el análisis de un objeto. Cada tipo de registro sigue un esquema estandarizado, que puede ayudarle a consultarlos, supervisarlos y procesarlos mediante el uso de otras aplicaciones, servicios y sistemas, según sea necesario.

sugerencia

Aunque Macie está optimizado para Amazon S3, puede usarlo para detectar datos confidenciales en recursos que actualmente almacena en otros lugares. Para ello, puede mover los datos a Amazon S3 de forma temporal o permanente. Por ejemplo, exporte instantáneas Amazon Relational Database Service o Amazon Aurora a Amazon S3 en formato Apache Parquet. O exporte una tabla de Amazon DynamoDB a Amazon S3. A continuación, puede crear un trabajo para analizar los datos en Amazon S3.

Temas