Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Récupération d'échantillons de données sensibles grâce aux résultats de Macie
Pour vérifier la nature des données sensibles signalées par Amazon Macie dans les résultats, vous pouvez éventuellement configurer et utiliser Macie pour récupérer et révéler des échantillons de données sensibles signalées par des résultats individuels. Cela inclut les données sensibles détectées par Macie à l'aide d'[identifiants de données gérés](managed-data-identifiers.md) et les données qui répondent aux critères des identifiants de [données personnalisés](custom-data-identifiers.md). Les exemples peuvent vous aider à personnaliser votre enquête sur un objet ou un bucket Amazon Simple Storage Service (Amazon S3) concernés.
Si vous récupérez et révélez des échantillons de données sensibles pour une recherche, Macie exécute les tâches générales suivantes :
1. Vérifie que le résultat indique l'emplacement des occurrences individuelles de données sensibles et l'emplacement du [résultat de découverte de données sensibles](discovery-results-repository-s3.md) correspondant.
1. Évalue le résultat de découverte de données sensibles correspondant, en vérifiant la validité des métadonnées de l'objet S3 concerné et des données de localisation pour détecter les occurrences de données sensibles dans l'objet.
1. En utilisant les données dans le résultat de la découverte de données sensibles, localise les 1 à 10 premières occurrences de données sensibles signalées par la découverte et extrait les 1 à 128 premiers caractères de chaque occurrence de l'objet S3 concerné. Si la découverte fait état de plusieurs types de données sensibles, Macie le fait pour un maximum de 100 types.
1. Chiffre les données extraites avec une clé AWS Key Management Service (AWS KMS) que vous spécifiez.
1. Stocke temporairement les données chiffrées dans un cache et les affiche pour que vous puissiez les consulter. Les données sont cryptées à tout moment, à la fois en transit et au repos.
1. Peu après l'extraction et le chiffrement, supprime définitivement les données du cache, sauf si une conservation supplémentaire est temporairement requise pour résoudre un problème opérationnel.
Si vous choisissez de récupérer et de révéler des échantillons de données sensibles pour une nouvelle recherche, Macie répète ces tâches pour localiser, extraire, chiffrer, stocker et finalement supprimer les échantillons.
Macie n'utilise pas le [rôle lié au service Macie](service-linked-roles.md) pour votre compte pour effectuer ces tâches. Au lieu de cela, vous utilisez votre identité Gestion des identités et des accès AWS (IAM) ou vous autorisez Macie à assumer un rôle IAM dans votre compte. Vous pouvez récupérer et révéler des échantillons de données sensibles à des fins de recherche si vous ou le rôle êtes autorisé à accéder aux ressources et aux données requises et à effectuer les actions requises. Toutes les actions requises sont [enregistrées. AWS CloudTrail](macie-cloudtrail.md)
**Important**
Nous vous recommandons de restreindre l'accès à cette fonctionnalité en utilisant des [politiques IAM personnalisées](security-iam.md). Pour un contrôle d'accès supplémentaire, nous vous recommandons également de créer un système dédié au AWS KMS key chiffrement des échantillons de données sensibles récupérés, et de limiter l'utilisation de la clé aux personnes principales qui doivent être autorisées à récupérer et à révéler des échantillons de données sensibles.
Pour obtenir des recommandations et des exemples de politiques que vous pouvez utiliser pour contrôler l'accès à cette fonctionnalité, consultez le billet de blog suivant sur le *blog de AWS sécurité* : [Comment utiliser Amazon Macie pour prévisualiser les données sensibles dans des compartiments S3](https://aws.amazon.com/blogs/security/how-to-use-amazon-macie-to-preview-sensitive-data-in-s3-buckets/).
Les rubriques de cette section expliquent comment configurer et utiliser Macie pour récupérer et révéler des échantillons de données sensibles à des fins de recherche. Vous pouvez effectuer ces tâches dans toutes les régions Régions AWS où Macie est actuellement disponible, à l'exception des régions Asie-Pacifique (Osaka) et Israël (Tel Aviv).
**Topics**
+ [Options de configuration pour récupérer des échantillons](findings-retrieve-sd-options.md)
+ [Configuration de Macie pour récupérer des échantillons](findings-retrieve-sd-configure.md)
+ [Récupération d'échantillons](findings-retrieve-sd-proc.md)
# Options de configuration pour récupérer des échantillons de données sensibles avec Macie
Vous pouvez éventuellement configurer et utiliser Amazon Macie pour récupérer et révéler des échantillons de données sensibles que Macie rapporte dans des résultats individuels. Si vous récupérez et révélez des échantillons de données sensibles à des fins de recherche, Macie utilise les données du [résultat de découverte de données sensibles](discovery-results-repository-s3.md) correspondant pour localiser les occurrences de données sensibles dans l'objet Amazon Simple Storage Service (Amazon S3) concerné. Macie extrait ensuite des échantillons de ces occurrences de l'objet concerné. Macie chiffre les données extraites avec une clé AWS Key Management Service (AWS KMS) que vous spécifiez, stocke temporairement les données chiffrées dans un cache et renvoie les données dans vos résultats pour la recherche. Peu après l'extraction et le chiffrement, Macie supprime définitivement les données du cache, sauf si une conservation supplémentaire est temporairement requise pour résoudre un problème de fonctionnement.
Macie n'utilise pas le [rôle lié au service Macie](service-linked-roles.md) pour votre compte afin de localiser, récupérer, chiffrer ou révéler des échantillons de données sensibles pour les objets S3 concernés. Macie utilise plutôt les paramètres et les ressources que vous configurez pour votre compte. Lorsque vous configurez les paramètres dans Macie, vous spécifiez comment accéder aux objets S3 concernés. Vous spécifiez également celui AWS KMS key à utiliser pour chiffrer les échantillons. Vous pouvez configurer les paramètres dans toutes les régions Régions AWS où Macie est actuellement disponible, à l'exception des régions Asie-Pacifique (Osaka) et Israël (Tel Aviv).
Pour accéder aux objets S3 concernés et en extraire des échantillons de données sensibles, deux options s'offrent à vous. Vous pouvez configurer Macie pour qu'il utilise les informations d'identification utilisateur Gestion des identités et des accès AWS (IAM) ou qu'il assume un rôle IAM :
+ **Utiliser les informations d'identification de l'utilisateur IAM** : avec cette option, chaque utilisateur de votre compte utilise son identité IAM individuelle pour localiser, récupérer, chiffrer et révéler les échantillons. Cela signifie qu'un utilisateur peut récupérer et révéler des échantillons de données sensibles à des fins de recherche s'il est autorisé à accéder aux ressources et aux données requises et à effectuer les actions requises.
+ **Assumez un rôle IAM** : avec cette option, vous créez un rôle IAM qui délègue l'accès à Macie. Vous vous assurez également que les politiques de confiance et d'autorisation relatives au rôle répondent à toutes les exigences pour que Macie assume le rôle. Macie assume ensuite le rôle lorsqu'un utilisateur de votre compte choisit de localiser, de récupérer, de chiffrer et de révéler des échantillons de données sensibles à des fins de recherche.
Vous pouvez utiliser l'une ou l'autre configuration avec n'importe quel type de compte Macie : un compte administrateur Macie délégué pour une organisation, un compte de membre Macie dans une organisation ou un compte Macie autonome.
Les rubriques suivantes décrivent les options, les exigences et les considérations qui peuvent vous aider à déterminer comment configurer les paramètres et les ressources de votre compte. Cela inclut les politiques de confiance et d'autorisation à associer à un rôle IAM. Pour obtenir des recommandations supplémentaires et des exemples de politiques que vous pouvez utiliser pour récupérer et révéler des échantillons de données sensibles, consultez le billet de blog suivant sur le *blog de AWS sécurité* : [Comment utiliser Amazon Macie pour prévisualiser des données sensibles dans des compartiments S3](https://aws.amazon.com/blogs/security/how-to-use-amazon-macie-to-preview-sensitive-data-in-s3-buckets/).
**Topics**
+ [Déterminer la méthode d'accès à utiliser](#findings-retrieve-sd-options-s3access)
+ [Utilisation des informations d'identification utilisateur IAM pour accéder aux objets S3 concernés](#findings-retrieve-sd-options-s3access-user)
+ [Assumer un rôle IAM pour accéder aux objets S3 concernés](#findings-retrieve-sd-options-s3access-role)
+ [Configuration d'un rôle IAM pour accéder aux objets S3 concernés](#findings-retrieve-sd-options-s3access-role-configuration)
+ [Décryptage des objets S3 concernés](#findings-retrieve-sd-options-decrypt)
## Déterminer la méthode d'accès à utiliser
Lorsque vous déterminez quelle configuration convient le mieux à votre AWS environnement, il est essentiel de déterminer si celui-ci inclut plusieurs comptes Amazon Macie gérés de manière centralisée en tant qu'organisation. Si vous êtes l'administrateur Macie délégué d'une organisation, configurer Macie pour qu'il assume un rôle IAM peut rationaliser la récupération d'échantillons de données sensibles à partir des objets S3 concernés pour les comptes de votre organisation. Cette approche vous permet de créer un rôle IAM dans votre compte administrateur. Vous créez également un rôle IAM dans chaque compte membre applicable. Le rôle de votre compte administrateur délègue l'accès à Macie. Le rôle d'un compte membre délègue l'accès entre comptes au rôle de votre compte administrateur. S'il est mis en œuvre, vous pouvez ensuite utiliser le chaînage des rôles pour accéder aux objets S3 concernés pour vos comptes membres.
Déterminez également qui a un accès direct aux résultats individuels par défaut. Pour récupérer et révéler des échantillons de données sensibles pour une découverte, un utilisateur doit d'abord avoir accès à la constatation :
+ Tâches de **découverte de données sensibles** : seul le compte qui crée une tâche peut accéder aux résultats produits par cette tâche. Si vous avez un compte administrateur Macie, vous pouvez configurer une tâche pour analyser des objets dans des compartiments S3 pour n'importe quel compte de votre organisation. Par conséquent, vos tâches peuvent générer des résultats pour des objets se trouvant dans des compartiments appartenant à vos comptes membres. Si vous avez un compte membre ou un compte Macie autonome, vous pouvez configurer une tâche pour analyser les objets uniquement dans les buckets détenus par votre compte.
+ **Découverte automatique des données sensibles** : seul le compte administrateur Macie peut accéder aux résultats produits par la découverte automatique pour les comptes de son organisation. Les comptes des membres ne peuvent pas accéder à ces résultats. Si vous possédez un compte Macie autonome, vous pouvez accéder aux résultats que la découverte automatique produit uniquement pour votre propre compte.
Si vous prévoyez d'accéder aux objets S3 concernés à l'aide d'un rôle IAM, tenez également compte des points suivants :
+ Pour localiser les occurrences de données sensibles dans un objet, le résultat de découverte de données sensibles correspondant à une recherche doit être stocké dans un objet S3 que Macie a signé avec un code d'authentification de message basé sur le hachage (HMAC). AWS KMS key Macie doit être en mesure de vérifier l'intégrité et l'authenticité du résultat de la découverte de données sensibles. Sinon, Macie n'assume pas le rôle IAM pour récupérer des échantillons de données sensibles. Il s'agit d'un garde-fou supplémentaire permettant de restreindre l'accès aux données d'un compte dans les objets S3.
+ Pour récupérer des échantillons de données sensibles à partir d'un objet chiffré géré par un client AWS KMS key, le rôle IAM doit être autorisé à déchiffrer les données à l'aide de la clé. Plus précisément, la politique de la clé doit permettre au rôle d'exécuter l'`kms:Decrypt`action. Pour les autres types de chiffrement côté serveur, aucune autorisation ou ressource supplémentaire n'est requise pour déchiffrer un objet concerné. Pour de plus amples informations, veuillez consulter [Décryptage des objets S3 concernés](#findings-retrieve-sd-options-decrypt).
+ Pour récupérer des échantillons de données sensibles d'un objet pour un autre compte, vous devez actuellement être l'administrateur Macie délégué du compte dans le compte applicable Région AWS. En outre :
+ Macie doit actuellement être activé pour le compte membre dans la région applicable.
+ Le compte membre doit avoir un rôle IAM qui délègue l'accès entre comptes à un rôle IAM dans votre compte administrateur Macie. Le nom du rôle doit être le même dans votre compte administrateur Macie et dans le compte membre.
+ La politique de confiance pour le rôle IAM dans le compte membre doit inclure une condition qui spécifie l'ID externe correct pour votre configuration. Cet identifiant est une chaîne alphanumérique unique que Macie génère automatiquement une fois que vous avez configuré les paramètres de votre compte administrateur Macie. Pour plus d'informations sur l'utilisation IDs de politiques de confiance externes, consultez la section [Accès aux Comptes AWS entités détenues par des tiers](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dans le *Guide de Gestion des identités et des accès AWS l'utilisateur*.
+ Si le rôle IAM dans le compte membre répond à toutes les exigences de Macie, le compte membre n'a pas besoin de configurer et d'activer les paramètres Macie pour que vous puissiez récupérer des échantillons de données sensibles à partir d'objets pour son compte. Macie utilise uniquement les paramètres et le rôle IAM dans votre compte administrateur Macie et le rôle IAM dans le compte membre.
**Astuce**
Si votre compte fait partie d'une grande organisation, pensez à utiliser un AWS CloudFormation modèle et un ensemble de piles pour attribuer et gérer les rôles IAM pour les comptes des membres de votre organisation. Pour plus d'informations sur la création et l'utilisation de modèles et de jeux de piles, consultez le [guide de AWS CloudFormation l'utilisateur](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html).
Pour consulter et éventuellement télécharger un CloudFormation modèle pouvant servir de point de départ, vous pouvez utiliser la console Amazon Macie. Dans le volet de navigation de la console, sous **Paramètres**, sélectionnez Afficher **les échantillons**. Choisissez **Modifier**, puis **Afficher les autorisations et le CloudFormation modèle des rôles des membres**.
Les rubriques suivantes de cette section fournissent des informations et des considérations supplémentaires pour chaque type de configuration. Pour les rôles IAM, cela inclut les politiques de confiance et d'autorisation à associer à un rôle. Si vous ne savez pas quel type de configuration convient le mieux à votre environnement, demandez de l'aide à votre AWS administrateur.
## Utilisation des informations d'identification utilisateur IAM pour accéder aux objets S3 concernés
Si vous configurez Amazon Macie pour récupérer des échantillons de données sensibles à l'aide des informations d'identification utilisateur IAM, chaque utilisateur de votre compte Macie utilise son identité IAM pour localiser, récupérer, chiffrer et révéler des échantillons pour des résultats individuels. Cela signifie qu'un utilisateur peut récupérer et révéler des échantillons de données sensibles afin de déterminer si son identité IAM est autorisée à accéder aux ressources et aux données requises et à effectuer les actions requises. Toutes les actions requises sont [enregistrées. AWS CloudTrail](macie-cloudtrail.md)
Pour récupérer et révéler des échantillons de données sensibles pour une découverte particulière, un utilisateur doit être autorisé à accéder aux données et ressources suivantes : la recherche, le résultat de découverte de données sensibles correspondant, le compartiment S3 concerné et l'objet S3 concerné. Ils doivent également être autorisés à utiliser celui AWS KMS key qui a été utilisé pour chiffrer l'objet concerné, le cas échéant, et AWS KMS key celui que vous avez configuré Macie pour chiffrer des échantillons de données sensibles. Si des politiques IAM, des politiques de ressources ou d'autres paramètres d'autorisation refusent l'accès requis, l'utilisateur ne sera pas en mesure de récupérer et de révéler des échantillons pour la recherche.
Pour configurer ce type de configuration, effectuez les tâches générales suivantes :
1. Vérifiez que vous avez configuré un référentiel pour les résultats de la découverte de vos données sensibles.
1. Configurez le AWS KMS key à utiliser pour le chiffrement d'échantillons de données sensibles.
1. Vérifiez vos autorisations pour configurer les paramètres dans Macie.
1. Configurez et activez les paramètres dans Macie.
Pour plus d'informations sur l'exécution de ces tâches, consultez[Configuration de Macie pour récupérer des échantillons de données sensibles](findings-retrieve-sd-configure.md).
## Assumer un rôle IAM pour accéder aux objets S3 concernés
Pour configurer Amazon Macie afin de récupérer des échantillons de données sensibles en assumant un rôle IAM, commencez par créer un rôle IAM qui délègue l'accès à Amazon Macie. Assurez-vous que les politiques de confiance et d'autorisation relatives au rôle répondent à toutes les exigences pour que Macie assume le rôle. Lorsqu'un utilisateur de votre compte Macie choisit ensuite de récupérer et de révéler des échantillons de données sensibles à des fins de recherche, Macie assume le rôle de récupérer les échantillons de l'objet S3 concerné. Macie assume le rôle uniquement lorsqu'un utilisateur choisit de récupérer et de révéler des échantillons à des fins de recherche. Pour assumer ce rôle, Macie utilise le [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)fonctionnement de l'API AWS Security Token Service (AWS STS). Toutes les actions requises sont [enregistrées. AWS CloudTrail](macie-cloudtrail.md)
Pour récupérer et révéler des échantillons de données sensibles pour une découverte particulière, un utilisateur doit être autorisé à accéder à la découverte de données sensibles, au résultat de découverte de données sensibles correspondant et au AWS KMS key fichier que vous configurez Macie pour chiffrer les échantillons de données sensibles. Le rôle IAM doit permettre à Macie d'accéder au compartiment S3 et à l'objet S3 concernés. Le rôle doit également être autorisé à utiliser celui AWS KMS key qui a été utilisé pour chiffrer l'objet concerné, le cas échéant. Si des politiques IAM, des politiques de ressources ou d'autres paramètres d'autorisation refusent l'accès requis, l'utilisateur ne sera pas en mesure de récupérer et de révéler des échantillons pour la recherche.
Pour configurer ce type de configuration, effectuez les tâches générales suivantes. Si vous avez un compte membre dans une organisation, contactez votre administrateur Macie pour déterminer si et comment configurer les paramètres et les ressources de votre compte.
1. Définissez les éléments suivants :
+ Nom du rôle IAM que vous souhaitez que Macie assume. Si votre compte fait partie d'une organisation, ce nom doit être le même pour le compte administrateur Macie délégué et pour chaque compte de membre applicable de l'organisation. Dans le cas contraire, l'administrateur Macie ne pourra pas accéder aux objets S3 concernés pour un compte de membre applicable.
+ Nom de la politique d'autorisations IAM à associer au rôle IAM. Si votre compte fait partie d'une organisation, nous vous recommandons d'utiliser le même nom de politique pour chaque compte membre applicable de l'organisation. Cela permet de rationaliser le provisionnement et la gestion du rôle dans les comptes des membres.
1. Vérifiez que vous avez configuré un référentiel pour les résultats de la découverte de vos données sensibles.
1. Configurez le AWS KMS key à utiliser pour le chiffrement d'échantillons de données sensibles.
1. Vérifiez vos autorisations pour créer des rôles IAM et configurer les paramètres dans Macie.
1. Si vous êtes l'administrateur Macie délégué d'une organisation ou si vous possédez un compte Macie autonome :
1. Créez et configurez le rôle IAM pour votre compte. Assurez-vous que les politiques de confiance et d'autorisation relatives au rôle répondent à toutes les exigences pour que Macie assume le rôle. Pour plus de détails sur ces exigences, consultez la [rubrique suivante](#findings-retrieve-sd-options-s3access-role-configuration).
1. Configurez et activez les paramètres dans Macie. Macie génère ensuite un identifiant externe pour la configuration. Si vous êtes l'administrateur Macie d'une organisation, notez cet identifiant. La politique de confiance pour le rôle IAM dans chacun de vos comptes membres applicables doit spécifier cet ID.
1. Si vous avez un compte membre dans une organisation :
1. Demandez à votre administrateur Macie l'ID externe à spécifier dans la politique de confiance pour le rôle IAM dans votre compte. Vérifiez également le nom du rôle IAM et la politique d'autorisations à créer.
1. Créez et configurez le rôle IAM pour votre compte. Assurez-vous que les politiques de confiance et d'autorisation relatives au rôle répondent à toutes les exigences pour que votre administrateur Macie assume le rôle. Pour plus de détails sur ces exigences, consultez la [rubrique suivante](#findings-retrieve-sd-options-s3access-role-configuration).
1. (Facultatif) Si vous souhaitez récupérer et révéler des échantillons de données sensibles provenant des objets S3 concernés pour votre propre compte, configurez et activez les paramètres dans Macie. Si vous souhaitez que Macie assume un rôle IAM pour récupérer les échantillons, commencez par créer et configurer un rôle IAM supplémentaire dans votre compte. Assurez-vous que les politiques de confiance et d'autorisation pour ce rôle supplémentaire répondent à toutes les exigences pour que Macie assume le rôle. Configurez ensuite les paramètres dans Macie et spécifiez le nom de ce rôle supplémentaire. Pour plus de détails sur les exigences de politique relatives au rôle, consultez la [rubrique suivante](#findings-retrieve-sd-options-s3access-role-configuration).
Pour plus d'informations sur l'exécution de ces tâches, consultez[Configuration de Macie pour récupérer des échantillons de données sensibles](findings-retrieve-sd-configure.md).
## Configuration d'un rôle IAM pour accéder aux objets S3 concernés
Pour accéder aux objets S3 concernés à l'aide d'un rôle IAM, commencez par créer et configurer un rôle qui délègue l'accès à Amazon Macie. Assurez-vous que les politiques de confiance et d'autorisation relatives au rôle répondent à toutes les exigences pour que Macie assume le rôle. La façon de procéder dépend du type de compte Macie que vous possédez.
Les sections suivantes fournissent des détails sur les politiques de confiance et d'autorisation à associer au rôle IAM pour chaque type de compte Macie. Choisissez la section correspondant au type de compte que vous possédez.
**Note**
Si vous avez un compte membre dans une organisation, vous devrez peut-être créer et configurer deux rôles IAM pour votre compte :
Pour permettre à votre administrateur Macie de récupérer et de révéler des échantillons de données sensibles provenant des objets S3 concernés pour votre compte, créez et configurez un rôle que le compte de votre administrateur peut assumer. Pour plus de détails, choisissez la section du **compte de membre Macie**.
Pour récupérer et révéler des échantillons de données sensibles provenant des objets S3 concernés pour votre propre compte, créez et configurez un rôle que Macie peut assumer. Pour plus de détails, choisissez la **section Compte Macie autonome**.
Avant de créer et de configurer l'un des rôles IAM, contactez votre administrateur Macie pour déterminer la configuration appropriée pour votre compte.
Pour obtenir des informations détaillées sur l'utilisation d'IAM pour créer le rôle, consultez la section [Création d'un rôle à l'aide de politiques de confiance personnalisées](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) dans le *Guide de Gestion des identités et des accès AWS l'utilisateur*.
### Compte administrateur Macie
Si vous êtes l'administrateur Macie délégué d'une organisation, commencez par utiliser l'éditeur de stratégie IAM pour créer la politique d'autorisations pour le rôle IAM. La politique doit être la suivante.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RetrieveS3Objects",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"*"
]
},
{
"Sid": "AssumeMacieRevealRoleForCrossAccountAccess",
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Resource": "arn:aws:iam::*:role/IAMRoleName"
}
]
}
```
------
Où *IAMRoleName* est le nom du rôle IAM que Macie doit assumer lors de la récupération d'échantillons de données sensibles à partir d'objets S3 concernés pour les comptes de votre organisation ? Remplacez cette valeur par le nom du rôle que vous créez pour votre compte et que vous prévoyez de créer pour les comptes membres applicables de votre organisation. Ce nom doit être le même pour votre compte administrateur Macie et pour chaque compte de membre applicable.
**Note**
Dans la politique d'autorisation précédente, l'`Resource`élément de la première instruction utilise un caractère générique (`*`). Cela permet à une entité IAM attachée de récupérer des objets dans tous les compartiments S3 que possède votre organisation. Pour autoriser cet accès uniquement pour des compartiments spécifiques, remplacez le caractère générique par l'Amazon Resource Name (ARN) de chaque compartiment. Par exemple, pour autoriser l'accès uniquement aux objets d'un compartiment nommé *amzn-s3-demo-bucket1*, modifiez l'élément comme suit :
`"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*"`
Vous pouvez également restreindre l'accès aux objets dans des compartiments S3 spécifiques pour des comptes individuels. Pour ce faire, spécifiez le bucket ARNs dans l'`Resource`élément de la politique d'autorisation pour le rôle IAM dans chaque compte applicable. Pour plus d'informations et des exemples, voir [Éléments de politique IAM JSON : ressource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) dans le *guide de l'Gestion des identités et des accès AWS utilisateur*.
Après avoir créé la politique d'autorisations pour le rôle IAM, créez et configurez le rôle. Si vous le faites à l'aide de la console IAM, choisissez **Custom trust policy** comme **type d'entité fiable** pour le rôle. Pour la politique de confiance qui définit les entités fiables pour le rôle, spécifiez ce qui suit.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowMacieReveal",
"Effect": "Allow",
"Principal": {
"Service": "reveal-samples.macie.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
}
}
}
]
}
```
------
Où se *111122223333* trouve l'identifiant de votre compte Compte AWS. Remplacez cette valeur par votre identifiant de compte à 12 chiffres.
Dans la politique de confiance précédente :
+ L'`Principal`élément spécifie le principal de service que Macie utilise lors de la récupération d'échantillons de données sensibles à partir d'objets S3 concernés. `reveal-samples.macie.amazonaws.com`
+ L'`Action`élément spécifie l'action que le principal de service est autorisé à effectuer, le [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)fonctionnement de l'API AWS Security Token Service (AWS STS).
+ L'`Condition`élément définit une condition qui utilise la clé de contexte [aws : SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) global condition. Cette condition détermine quel compte peut effectuer l'action spécifiée. Dans ce cas, cela permet à Macie d'assumer le rôle uniquement pour le compte spécifié. Cette condition permet d'éviter que Macie ne soit utilisée comme une [adjointe confuse](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) lors de transactions avec AWS STS.
Après avoir défini la politique de confiance pour le rôle IAM, associez la politique d'autorisations au rôle. Il doit s'agir de la politique d'autorisation que vous avez créée avant de commencer à créer le rôle. Effectuez ensuite les étapes restantes dans IAM pour terminer la création et la configuration du rôle. Lorsque vous avez terminé, [configurez et activez les paramètres dans Macie](findings-retrieve-sd-configure.md).
### Compte membre Macie
Si vous avez un compte de membre Macie et que vous souhaitez autoriser votre administrateur Macie à récupérer et à révéler des échantillons de données sensibles provenant des objets S3 concernés pour votre compte, commencez par demander les informations suivantes à votre administrateur Macie :
+ Nom du rôle IAM à créer. Le nom de votre compte doit être le même que celui du compte administrateur Macie de votre organisation.
+ Nom de la politique d'autorisations IAM à associer au rôle.
+ ID externe à spécifier dans la politique de confiance pour le rôle. Cet identifiant doit être l'identifiant externe généré par Macie pour la configuration de votre administrateur Macie.
Après avoir reçu ces informations, utilisez l'éditeur de stratégie IAM pour créer la politique d'autorisations pour le rôle. La politique doit être la suivante.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RetrieveS3Objects",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"*"
]
}
]
}
```
------
La politique d'autorisation précédente permet à une entité IAM attachée de récupérer des objets de tous les compartiments S3 de votre compte. Cela est dû au fait que l'`Resource`élément de la politique utilise un caractère générique (`*`). Pour autoriser cet accès uniquement pour des compartiments spécifiques, remplacez le caractère générique par l'Amazon Resource Name (ARN) de chaque compartiment. Par exemple, pour autoriser l'accès uniquement aux objets d'un compartiment nommé *amzn-s3-demo-bucket2*, modifiez l'élément comme suit :
`"Resource": "arn:aws:s3:::amzn-s3-demo-bucket2/*"`
Pour plus d'informations et des exemples, voir [Éléments de politique IAM JSON : ressource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) dans le *guide de l'Gestion des identités et des accès AWS utilisateur*.
Après avoir créé la politique d'autorisations pour le rôle IAM, créez le rôle. Si vous créez le rôle à l'aide de la console IAM, choisissez **Custom trust policy** comme **type d'entité fiable** pour le rôle. Pour la politique de confiance qui définit les entités fiables pour le rôle, spécifiez ce qui suit.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowMacieAdminRevealRoleForCrossAccountAccess",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/IAMRoleName"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": "externalID",
"aws:PrincipalOrgID": "${aws:ResourceOrgID}"
}
}
}
]
}
```
------
Dans la politique précédente, remplacez les valeurs d'espace réservé par les valeurs correctes pour votre AWS environnement, où :
+ *111122223333*est l'identifiant de compte à 12 chiffres du compte de votre administrateur Macie.
+ *IAMRoleName*est le nom du rôle IAM dans le compte de votre administrateur Macie. Il doit s'agir du nom que vous avez reçu de votre administrateur Macie.
+ *externalID*est l'ID externe que vous avez reçu de votre administrateur Macie.
En général, la politique de confiance permet à votre administrateur Macie d'assumer le rôle de récupérer et de révéler des échantillons de données sensibles provenant des objets S3 concernés pour votre compte. L'`Principal`élément spécifie l'ARN d'un rôle IAM dans le compte de votre administrateur Macie. C'est le rôle que votre administrateur Macie utilise pour récupérer et révéler des échantillons de données sensibles pour les comptes de votre organisation. Le `Condition` bloc définit deux conditions qui déterminent en outre qui peut assumer le rôle :
+ La première condition spécifie un identifiant externe propre à la configuration de votre organisation. Pour en savoir plus sur les applications externes IDs, consultez la section [Accès aux Comptes AWS entités détenues par des tiers](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dans le *Guide de Gestion des identités et des accès AWS l'utilisateur*.
+ La deuxième condition utilise la clé de contexte de condition globale [aws : PrincipalOrg ID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid). La valeur de la clé est une variable dynamique qui représente l'identifiant unique d'une organisation dans AWS Organizations (`${aws:ResourceOrgID}`). La condition restreint l'accès aux seuls comptes appartenant à la même organisation dans AWS Organizations. Si vous avez rejoint votre organisation en acceptant une invitation dans Macie, supprimez cette condition de la politique.
Après avoir défini la politique de confiance pour le rôle IAM, associez la politique d'autorisations au rôle. Il doit s'agir de la politique d'autorisation que vous avez créée avant de commencer à créer le rôle. Effectuez ensuite les étapes restantes dans IAM pour terminer la création et la configuration du rôle. Ne configurez pas et ne saisissez pas les paramètres du rôle dans Macie.
### Compte Macie autonome
Si vous avez un compte Macie autonome ou un compte membre Macie et que vous souhaitez récupérer et révéler des échantillons de données sensibles provenant d'objets S3 concernés pour votre propre compte, commencez par utiliser l'éditeur de stratégie IAM pour créer la politique d'autorisations pour le rôle IAM. La politique doit être la suivante.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RetrieveS3Objects",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"*"
]
}
]
}
```
------
Dans la politique d'autorisation précédente, l'`Resource`élément utilise un caractère générique (`*`). Cela permet à une entité IAM attachée de récupérer des objets dans tous les compartiments S3 de votre compte. Pour autoriser cet accès uniquement pour des compartiments spécifiques, remplacez le caractère générique par l'Amazon Resource Name (ARN) de chaque compartiment. Par exemple, pour autoriser l'accès uniquement aux objets d'un compartiment nommé *amzn-s3-demo-bucket3*, modifiez l'élément comme suit :
`"Resource": "arn:aws:s3:::amzn-s3-demo-bucket3/*"`
Pour plus d'informations et des exemples, voir [Éléments de politique IAM JSON : ressource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) dans le *guide de l'Gestion des identités et des accès AWS utilisateur*.
Après avoir créé la politique d'autorisations pour le rôle IAM, créez le rôle. Si vous créez le rôle à l'aide de la console IAM, choisissez **Custom trust policy** comme **type d'entité fiable** pour le rôle. Pour la politique de confiance qui définit les entités fiables pour le rôle, spécifiez ce qui suit.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowMacieReveal",
"Effect": "Allow",
"Principal": {
"Service": "reveal-samples.macie.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "999999999999"
}
}
}
]
}
```
------
Où se *999999999999* trouve l'identifiant de votre compte Compte AWS. Remplacez cette valeur par votre identifiant de compte à 12 chiffres.
Dans la politique de confiance précédente :
+ L'`Principal`élément spécifie le principal de service que Macie utilise pour récupérer et révéler des échantillons de données sensibles provenant d'objets S3 concernés. `reveal-samples.macie.amazonaws.com`
+ L'`Action`élément spécifie l'action que le principal de service est autorisé à effectuer, le [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)fonctionnement de l'API AWS Security Token Service (AWS STS).
+ L'`Condition`élément définit une condition qui utilise la clé de contexte [aws : SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) global condition. Cette condition détermine quel compte peut effectuer l'action spécifiée. Cela permet à Macie d'assumer le rôle uniquement pour le compte spécifié. Cette condition permet d'éviter que Macie ne soit utilisée comme une [adjointe confuse](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) lors de transactions avec AWS STS.
Après avoir défini la politique de confiance pour le rôle IAM, associez la politique d'autorisations au rôle. Il doit s'agir de la politique d'autorisation que vous avez créée avant de commencer à créer le rôle. Effectuez ensuite les étapes restantes dans IAM pour terminer la création et la configuration du rôle. Lorsque vous avez terminé, [configurez et activez les paramètres dans Macie](findings-retrieve-sd-configure.md).
## Décryptage des objets S3 concernés
Amazon S3 prend en charge plusieurs options de chiffrement pour les objets S3. Pour la plupart de ces options, aucune ressource ou autorisation supplémentaire n'est requise pour qu'un utilisateur ou un rôle IAM puisse déchiffrer et récupérer des échantillons de données sensibles d'un objet concerné. C'est le cas d'un objet chiffré à l'aide d'un chiffrement côté serveur à l'aide d'une clé gérée par Amazon S3 ou d'une AWS clé gérée. AWS KMS key
Toutefois, si un objet S3 est chiffré et géré par un client AWS KMS key, des autorisations supplémentaires sont nécessaires pour déchiffrer et récupérer des échantillons de données sensibles de l'objet. Plus précisément, la politique de clé pour la clé KMS doit autoriser l'utilisateur ou le rôle IAM à effectuer l'`kms:Decrypt`action. Dans le cas contraire, une erreur se produit et Amazon Macie ne récupère aucun échantillon de l'objet. Pour savoir comment fournir cet accès à un utilisateur IAM, consultez la section [Accès et autorisations par clé KMS](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html) dans le *Guide du AWS Key Management Service développeur*.
La manière de fournir cet accès à un rôle IAM dépend du fait que le compte propriétaire du rôle possède AWS KMS key également le rôle :
+ Si le même compte possède la clé KMS et le rôle, un utilisateur du compte doit mettre à jour la politique de la clé.
+ Si un compte possède la clé KMS et qu'un autre compte possède le rôle, un utilisateur du compte propriétaire de la clé doit autoriser l'accès entre comptes à la clé.
Cette rubrique décrit comment effectuer ces tâches pour un rôle IAM que vous avez créé pour récupérer des échantillons de données sensibles à partir d'objets S3. Il fournit également des exemples pour les deux scénarios. Pour plus d'informations sur l'autorisation d'accès aux services gérés par AWS KMS keys le client dans d'autres scénarios, consultez la section [Accès et autorisations par clé KMS](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html) dans le *guide du AWS Key Management Service développeur*.
### Permettre à un même compte d'accéder à une clé gérée par le client
Si le même compte possède à la fois le rôle IAM AWS KMS key et le rôle IAM, un utilisateur du compte doit ajouter une déclaration à la politique de la clé. L'instruction supplémentaire doit autoriser le rôle IAM à déchiffrer les données à l'aide de la clé. Pour obtenir des informations détaillées sur la mise à jour d'une politique clé, consultez la section [Modification d'une politique clé](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) dans le *Guide du AWS Key Management Service développeur*.
Dans la déclaration :
+ L'`Principal`élément doit spécifier le nom de ressource Amazon (ARN) du rôle IAM.
+ Le `Action` tableau doit spécifier l'`kms:Decrypt`action. Il s'agit de la seule AWS KMS action que le rôle IAM doit être autorisé à effectuer pour déchiffrer un objet chiffré avec la clé.
Voici un exemple de l'instruction à ajouter à la politique pour une clé KMS.
```
{
"Sid": "Allow the Macie reveal role to use the key",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/IAMRoleName"
},
"Action": [
"kms:Decrypt"
],
"Resource": "*"
}
```
Dans l'exemple précédent :
+ Le `AWS` champ de l'`Principal`élément indique l'ARN du rôle IAM dans le compte. Cela permet au rôle d'exécuter l'action spécifiée par la déclaration de politique. *123456789012*est un exemple d'identifiant de compte. Remplacez cette valeur par l'ID de compte du compte propriétaire du rôle et de la clé KMS. *IAMRoleName*est un exemple de nom. Remplacez cette valeur par le nom du rôle IAM dans le compte.
+ Le `Action` tableau indique l'action que le rôle IAM est autorisé à effectuer à l'aide de la clé KMS : déchiffrer le texte chiffré avec la clé.
L'endroit où vous ajoutez cette déclaration à une politique clé dépend de la structure et des éléments que la stratégie contient actuellement. Lorsque vous ajoutez l'instruction, assurez-vous que la syntaxe est valide. Les politiques clés utilisent le format JSON. Cela signifie que vous devez également ajouter une virgule avant ou après la déclaration, selon l'endroit où vous ajoutez la déclaration à la politique.
### Autoriser l'accès entre comptes à une clé gérée par le client
Si un compte possède le AWS KMS key (*propriétaire de la clé*) et qu'un autre compte possède le rôle IAM (*propriétaire du rôle*), le propriétaire de la clé doit fournir au propriétaire du rôle un accès multicompte à la clé. L'un des moyens d'y parvenir est d'utiliser une subvention. Une *subvention* est un instrument de politique qui permet AWS aux principaux d'utiliser des clés KMS dans des opérations cryptographiques si les conditions spécifiées par la subvention sont remplies. Pour en savoir plus sur les subventions, consultez la section [Subventions AWS KMS dans](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) le *guide du AWS Key Management Service développeur*.
Avec cette approche, le propriétaire de la clé s'assure d'abord que la politique de la clé permet au propriétaire du rôle de créer une autorisation pour la clé. Le propriétaire du rôle crée ensuite une subvention pour la clé. La subvention délègue les autorisations pertinentes au rôle IAM dans leur compte. Cela permet au rôle de déchiffrer les objets S3 chiffrés avec la clé.
**Étape 1 : Mettre à jour la politique clé**
Dans la politique clé, le propriétaire de la clé doit s'assurer qu'elle inclut une déclaration qui permet au propriétaire du rôle de créer une autorisation pour le rôle IAM dans son compte (celui du propriétaire du rôle). Dans cette déclaration, l'`Principal`élément doit spécifier l'ARN du compte du propriétaire du rôle. Le `Action` tableau doit spécifier l'`kms:CreateGrant`action. Un `Condition` bloc peut filtrer l'accès à l'action spécifiée. Voici un exemple de cette déclaration dans la politique relative à une clé KMS.
```
{
"Sid": "Allow a role in an account to create a grant",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:GranteePrincipal": "arn:aws:iam::111122223333:role/IAMRoleName"
},
"ForAllValues:StringEquals": {
"kms:GrantOperations": "Decrypt"
}
}
}
```
Dans l'exemple précédent :
+ Le `AWS` champ de l'`Principal`élément indique l'ARN du compte du propriétaire du rôle. Il permet au compte d'effectuer l'action spécifiée par la déclaration de politique. *111122223333*est un exemple d'identifiant de compte. Remplacez cette valeur par l'ID du compte du propriétaire du rôle.
+ Le `Action` tableau indique l'action que le propriétaire du rôle est autorisé à effectuer sur la clé KMS : créer une autorisation pour la clé.
+ Le `Condition` bloc utilise [les opérateurs de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) et les clés de condition suivantes pour filtrer l'accès à l'action que le propriétaire du rôle est autorisé à effectuer sur la clé KMS :
+ [kms : GranteePrincipal](https://docs.aws.amazon.com/kms/latest/developerguide/conditions-kms.html#conditions-kms-grantee-principal) — Cette condition permet au propriétaire du rôle de créer une subvention uniquement pour le bénéficiaire principal spécifié, qui est l'ARN du rôle IAM dans son compte. Dans cet ARN *111122223333* se trouve un exemple d'ID de compte. Remplacez cette valeur par l'ID du compte du propriétaire du rôle. *IAMRoleName*est un exemple de nom. Remplacez cette valeur par le nom du rôle IAM dans le compte du propriétaire du rôle.
+ [kms : GrantOperations](https://docs.aws.amazon.com/kms/latest/developerguide/conditions-kms.html#conditions-kms-grant-operations) — Cette condition permet au propriétaire du rôle de créer une autorisation uniquement pour déléguer l'autorisation d'effectuer l' AWS KMS `Decrypt`action (déchiffrer le texte chiffré avec la clé). Cela empêche le propriétaire du rôle de créer des autorisations déléguant des autorisations pour effectuer d'autres actions sur la clé KMS. Il s'agit de la seule AWS KMS action que le rôle IAM doit être autorisé à effectuer pour déchiffrer un objet chiffré avec la clé. `Decrypt`
L'endroit où le propriétaire de la clé ajoute cette déclaration à la politique clé dépend de la structure et des éléments que la politique contient actuellement. Lorsque le propriétaire de la clé ajoute l'instruction, il doit s'assurer que la syntaxe est valide. Les politiques clés utilisent le format JSON. Cela signifie que le propriétaire de la clé doit également ajouter une virgule avant ou après l'instruction, selon l'endroit où il ajoute l'instruction à la politique. Pour obtenir des informations détaillées sur la mise à jour d'une politique clé, consultez la section [Modification d'une politique clé](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) dans le *Guide du AWS Key Management Service développeur*.
**Étape 2 : Création d'une subvention**
Une fois que le propriétaire de la clé a mis à jour la politique de clé si nécessaire, le propriétaire du rôle crée une autorisation pour la clé. La subvention délègue les autorisations pertinentes au rôle IAM dans leur compte (celui du propriétaire du rôle). Avant que le propriétaire du rôle ne crée la subvention, il doit vérifier qu'il est autorisé à effectuer l'`kms:CreateGrant`action. Cette action leur permet d'ajouter une subvention à une subvention existante gérée par le client AWS KMS key.
Pour créer la subvention, le propriétaire du rôle peut utiliser le [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)fonctionnement de l' AWS Key Management Service API. Lorsque le propriétaire du rôle crée la subvention, il doit spécifier les valeurs suivantes pour les paramètres requis :
+ `KeyId`— L'ARN de la clé KMS. Pour un accès entre comptes à une clé KMS, cette valeur doit être un ARN. Il ne peut pas s'agir d'un identifiant clé.
+ `GranteePrincipal`— L'ARN du rôle IAM dans leur compte. Cette valeur doit être `arn:aws:iam::111122223333:role/IAMRoleName` la suivante : où se *111122223333* trouve l'ID du compte du propriétaire du rôle et *IAMRoleName* le nom du rôle.
+ `Operations`— L'action de AWS KMS déchiffrement (`Decrypt`). Il s'agit de la seule AWS KMS action que le rôle IAM doit être autorisé à effectuer pour déchiffrer un objet chiffré avec la clé KMS.
Si le propriétaire du rôle utilise le AWS Command Line Interface (AWS CLI), il peut exécuter la commande [create-grant](https://docs.aws.amazon.com/cli/latest/reference/kms/create-grant.html) pour créer la subvention. L’exemple suivant montre comment procéder. L'exemple est formaté pour Microsoft Windows et utilise le caractère de continuation de ligne caret (^) pour améliorer la lisibilité.
```
C:\> aws kms create-grant ^
--key-id arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab ^
--grantee-principal arn:aws:iam::111122223333:role/IAMRoleName ^
--operations "Decrypt"
```
Où :
+ `key-id`spécifie l'ARN de la clé KMS à laquelle appliquer l'autorisation.
+ `grantee-principal`spécifie l'ARN du rôle IAM autorisé à effectuer l'action spécifiée par la subvention. Cette valeur doit correspondre à l'ARN spécifié par la `kms:GranteePrincipal` condition dans la politique clé.
+ `operations`spécifie l'action que l'autorisation autorise le principal spécifié à effectuer : déchiffrer le texte chiffré avec la clé.
Si la commande s'exécute correctement, vous recevez une sortie similaire à ce qui suit.
```
{
"GrantToken": "",
"GrantId": "1a2b3c4d2f5e69f440bae30eaec9570bb1fb7358824f9ddfa1aa5a0dab1a59b2"
}
```
Où se `GrantToken` trouve une chaîne unique, non secrète, de longueur variable, codée en base64 qui représente la subvention créée et `GrantId` constitue l'identifiant unique de la subvention.
# Configuration de Macie pour récupérer des échantillons de données sensibles
Vous pouvez éventuellement configurer et utiliser Amazon Macie pour récupérer et révéler des échantillons de données sensibles que Macie rapporte dans des résultats individuels. Les exemples peuvent vous aider à vérifier la nature des données sensibles découvertes par Macie. Ils peuvent également vous aider à personnaliser votre enquête sur un objet ou un bucket Amazon Simple Storage Service (Amazon S3) concernés. Vous pouvez récupérer et révéler des échantillons de données sensibles dans tous les Régions AWS endroits où Macie est actuellement disponible, à l'exception des régions Asie-Pacifique (Osaka) et Israël (Tel Aviv).
Lorsque vous récupérez et révélez des échantillons de données sensibles pour une recherche, Macie utilise les données du résultat de découverte de données sensibles correspondant pour localiser les occurrences de données sensibles dans l'objet S3 concerné. Macie extrait ensuite des échantillons de ces occurrences de l'objet concerné. Macie chiffre les données extraites avec une clé AWS Key Management Service (AWS KMS) que vous spécifiez, stocke temporairement les données chiffrées dans un cache et renvoie les données dans vos résultats pour la recherche. Peu après l'extraction et le chiffrement, Macie supprime définitivement les données du cache, sauf si une conservation supplémentaire est temporairement requise pour résoudre un problème opérationnel.
Pour récupérer et révéler des échantillons de données sensibles à des fins de recherche, vous devez d'abord configurer et activer les paramètres de votre compte Macie. Vous devez également configurer les ressources de support et les autorisations pour votre compte. Les rubriques de cette section vous guident tout au long du processus de configuration de Macie pour récupérer et révéler des échantillons de données sensibles, et de gestion de l'état de la configuration de votre compte.
**Topics**
+ [Avant de commencer](#findings-retrieve-sd-configure-prereqs)
+ [Configuration et activation des paramètres Macie](#findings-retrieve-sd-configure-enable)
+ [Désactivation des paramètres Macie](#findings-retrieve-sd-configure-manage)
**Astuce**
Pour obtenir des recommandations et des exemples de politiques que vous pouvez utiliser pour contrôler l'accès à cette fonctionnalité, consultez le billet de blog suivant sur le *blog de AWS sécurité* : [Comment utiliser Amazon Macie pour prévisualiser les données sensibles dans des compartiments S3](https://aws.amazon.com/blogs/security/how-to-use-amazon-macie-to-preview-sensitive-data-in-s3-buckets/).
## Avant de commencer
Avant de configurer Amazon Macie pour récupérer et révéler des échantillons de données sensibles à des fins de recherche, effectuez les tâches suivantes pour vous assurer que vous disposez des ressources et des autorisations dont vous avez besoin.
**Topics**
+ [Étape 1 : Configuration d'un référentiel pour les résultats de découverte de données sensibles](#findings-retrieve-sd-configure-sddr)
+ [Étape 2 : Déterminer comment accéder aux objets S3 concernés](#findings-retrieve-sd-configure-s3access)
+ [Étape 3 : Configuration d'un AWS KMS key](#findings-retrieve-sd-configure-key)
+ [Étape 4 : Vérifiez vos autorisations](#findings-retrieve-sd-configure-permissions)
Ces tâches sont facultatives si vous avez déjà configuré Macie pour récupérer et révéler des échantillons de données sensibles et que vous souhaitez uniquement modifier vos paramètres de configuration.
### Étape 1 : Configuration d'un référentiel pour les résultats de découverte de données sensibles
Lorsque vous récupérez et révélez des échantillons de données sensibles pour une recherche, Macie utilise les données du résultat de découverte de données sensibles correspondant pour localiser les occurrences de données sensibles dans l'objet S3 concerné. Il est donc important de vérifier que vous avez configuré un référentiel pour vos résultats de découverte de données sensibles. Sinon, Macie ne sera pas en mesure de localiser les échantillons de données sensibles que vous souhaitez récupérer et révéler.
Pour déterminer si vous avez configuré ce référentiel pour votre compte, vous pouvez utiliser la console Amazon Macie : choisissez **Discovery results** (sous **Paramètres**) dans le volet de navigation. Pour ce faire par programmation, utilisez le [GetClassificationExportConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/classification-export-configuration.html)fonctionnement de l'API Amazon Macie. Pour en savoir plus sur les résultats de découverte de données sensibles et sur la façon de configurer ce référentiel, consultez[Stockage et conservation des résultats de découverte de données sensibles](discovery-results-repository-s3.md).
### Étape 2 : Déterminer comment accéder aux objets S3 concernés
Pour accéder aux objets S3 concernés et en extraire des échantillons de données sensibles, deux options s'offrent à vous. Vous pouvez configurer Macie pour qu'il utilise vos informations d'identification utilisateur Gestion des identités et des accès AWS (IAM). Vous pouvez également configurer Macie pour qu'il assume un rôle IAM qui délègue l'accès à Macie. Vous pouvez utiliser l'une ou l'autre configuration avec n'importe quel type de compte Macie : un compte administrateur Macie délégué pour une organisation, un compte de membre Macie dans une organisation ou un compte Macie autonome. Avant de configurer les paramètres dans Macie, déterminez la méthode d'accès que vous souhaitez utiliser. Pour plus de détails sur les options et les exigences de chaque méthode, consultez[Options de configuration pour récupérer des échantillons](findings-retrieve-sd-options.md).
Si vous envisagez d'utiliser un rôle IAM, créez et configurez le rôle avant de configurer les paramètres dans Macie. Assurez-vous également que les politiques de confiance et d'autorisation relatives au rôle répondent à toutes les exigences pour que Macie assume le rôle. Si votre compte fait partie d'une organisation qui gère de manière centralisée plusieurs comptes Macie, contactez d'abord votre administrateur Macie pour déterminer si et comment configurer le rôle de votre compte.
### Étape 3 : Configuration d'un AWS KMS key
Lorsque vous récupérez et révélez des échantillons de données sensibles pour une recherche, Macie chiffre les échantillons avec une clé AWS Key Management Service (AWS KMS) que vous spécifiez. Par conséquent, vous devez déterminer celui que AWS KMS key vous souhaitez utiliser pour chiffrer les échantillons. La clé peut être une clé KMS existante de votre propre compte ou une clé KMS existante détenue par un autre compte. Si vous souhaitez utiliser une clé détenue par un autre compte, obtenez le nom de ressource Amazon (ARN) de la clé. Vous devez spécifier cet ARN lorsque vous entrez les paramètres de configuration dans Macie.
La clé KMS doit être une clé de chiffrement symétrique gérée par le client. Il doit également s'agir d'une clé à région unique activée en même temps Région AWS que votre compte Macie. La clé KMS peut se trouver dans un magasin de clés externe. Cependant, la clé peut alors être plus lente et moins fiable qu'une clé entièrement gérée en interne AWS KMS. Si un problème de latence ou de disponibilité empêche Macie de chiffrer les échantillons de données sensibles que vous souhaitez récupérer et révéler, une erreur se produit et Macie ne renvoie aucun échantillon pour la recherche.
En outre, la politique de clé associée à la clé doit permettre aux principaux concernés (rôles IAM, utilisateurs IAM ou Comptes AWS) d'effectuer les actions suivantes :
+ `kms:Decrypt`
+ `kms:DescribeKey`
+ `kms:GenerateDataKey`
**Important**
Comme niveau supplémentaire de contrôle d'accès, nous vous recommandons de créer une clé KMS dédiée pour le chiffrement des échantillons de données sensibles récupérés, et de limiter l'utilisation de la clé aux seuls principaux qui doivent être autorisés à récupérer et à révéler des échantillons de données sensibles. Si un utilisateur n'est pas autorisé à effectuer les actions précédentes pour la clé, Macie rejette sa demande de récupération et de divulgation d'échantillons de données sensibles. Macie ne renvoie aucun échantillon pour la découverte.
Pour plus d'informations sur la création et la configuration de clés KMS, voir [Création d'une clé KMS](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) dans le *guide du AWS Key Management Service développeur*. Pour plus d'informations sur l'utilisation de politiques clés pour gérer l'accès aux clés KMS, consultez la section [Politiques clés](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) du *guide du AWS Key Management Service développeur*. AWS KMS
### Étape 4 : Vérifiez vos autorisations
Avant de configurer les paramètres dans Macie, vérifiez également que vous disposez des autorisations nécessaires. Pour vérifier vos autorisations, utilisez Gestion des identités et des accès AWS (IAM) pour examiner les politiques IAM associées à votre identité IAM. Comparez ensuite les informations contenues dans ces politiques à la liste suivante des actions que vous devez être autorisé à effectuer.
**Amazon Macie**
Pour Macie, vérifiez que vous êtes autorisé à effectuer les actions suivantes :
+ `macie2:GetMacieSession`
+ `macie2:UpdateRevealConfiguration`
La première action vous permet d'accéder à votre compte Macie. La deuxième action vous permet de modifier vos paramètres de configuration pour récupérer et révéler des échantillons de données sensibles. Cela inclut l'activation et la désactivation de la configuration de votre compte.
Vérifiez éventuellement que vous êtes également autorisé à effectuer l'`macie2:GetRevealConfiguration`action. Cette action vous permet de récupérer vos paramètres de configuration actuels et l'état actuel de la configuration de votre compte.
**AWS KMS**
Si vous prévoyez d'utiliser la console Amazon Macie pour entrer les paramètres de configuration, vérifiez également que vous êtes autorisé à effectuer les actions suivantes AWS Key Management Service (AWS KMS) :
+ `kms:DescribeKey`
+ `kms:ListAliases`
Ces actions vous permettent de récupérer des informations AWS KMS keys relatives à votre compte. Vous pouvez ensuite choisir l'une de ces touches lorsque vous entrez les paramètres.
**IAM**
Si vous envisagez de configurer Macie pour qu'il assume un rôle IAM afin de récupérer et de révéler des échantillons de données sensibles, vérifiez également que vous êtes autorisé à effectuer l'action IAM suivante :. `iam:PassRole` Cette action vous permet de passer le rôle à Macie, qui à son tour permet à Macie d'assumer le rôle. Lorsque vous entrez les paramètres de configuration de votre compte, Macie peut également vérifier que le rôle existe dans votre compte et qu'il est correctement configuré.
Si vous n'êtes pas autorisé à effectuer les actions requises, demandez de l'aide à votre AWS administrateur.
## Configuration et activation des paramètres Macie
Après avoir vérifié que vous disposez des ressources et des autorisations nécessaires, vous pouvez configurer les paramètres dans Amazon Macie et activer la configuration de votre compte.
Si votre compte fait partie d'une organisation qui gère de manière centralisée plusieurs comptes Macie, notez ce qui suit avant de configurer ou de modifier ultérieurement les paramètres de votre compte :
+ Si vous avez un compte membre, contactez votre administrateur Macie pour déterminer si et comment configurer les paramètres de votre compte. Votre administrateur Macie peut vous aider à déterminer les paramètres de configuration appropriés pour votre compte.
+ Si vous disposez d'un compte administrateur Macie et que vous modifiez les paramètres d'accès aux objets S3 concernés, vos modifications peuvent affecter d'autres comptes et ressources de votre organisation. Cela dépend si Macie est actuellement configuré pour assumer un rôle Gestion des identités et des accès AWS (IAM) afin de récupérer des échantillons de données sensibles. Si tel est le cas et que vous reconfigurez Macie pour utiliser les informations d'identification utilisateur IAM, Macie supprime définitivement les paramètres existants pour le rôle IAM, à savoir le nom du rôle et l'ID externe de votre configuration. Si votre organisation choisit par la suite d'utiliser à nouveau les rôles IAM, vous devrez spécifier un nouvel identifiant externe dans la politique de confiance pour le rôle dans chaque compte membre applicable.
Pour plus de détails sur les options de configuration et les exigences relatives à chaque type de compte, consultez[Options de configuration pour récupérer des échantillons](findings-retrieve-sd-options.md).
Pour configurer les paramètres dans Macie et activer la configuration de votre compte, vous pouvez utiliser la console Amazon Macie ou l'API Amazon Macie.
------
#### [ Console ]
Suivez ces étapes pour configurer et activer les paramètres à l'aide de la console Amazon Macie.
**Pour configurer et activer les paramètres Macie**
1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, choisissez la région dans laquelle vous souhaitez configurer et permettez à Macie de récupérer et de révéler des échantillons de données sensibles.
1. Dans le volet de navigation, sous **Paramètres**, sélectionnez Afficher **les échantillons**.
1. Dans la section **Settings** (Paramètres), choisissez **Edit** (Modifier).
1. Pour **Statut**, choisissez **Activer**.
1. Sous **Accès**, spécifiez la méthode d'accès et les paramètres que vous souhaitez utiliser pour récupérer des échantillons de données sensibles à partir des objets S3 concernés :
+ Pour utiliser un rôle IAM qui délègue l'accès à Macie, choisissez **Assumer un rôle IAM**. Si vous choisissez cette option, Macie récupère les échantillons en assumant le rôle IAM que vous avez créé et configuré dans votre. Compte AWS Dans le champ **Nom du rôle**, entrez le nom du rôle.
+ Pour utiliser les informations d'identification de l'utilisateur IAM qui demande les échantillons, choisissez **Utiliser les informations d'identification de l'utilisateur IAM**. Si vous choisissez cette option, chaque utilisateur de votre compte utilise son identité IAM individuelle pour récupérer les échantillons.
1. Sous **Chiffrement**, spécifiez AWS KMS key celui que vous souhaitez utiliser pour chiffrer les échantillons de données sensibles récupérés :
+ Pour utiliser une clé KMS de votre propre compte, choisissez **Sélectionner une clé de votre compte**. Ensuite, dans la **AWS KMS key**liste, choisissez la clé à utiliser. La liste affiche les clés KMS de chiffrement symétriques existantes pour votre compte.
+ Pour utiliser une clé KMS détenue par un autre compte, choisissez **Enter the ARN of a key from another account**. Ensuite, dans le champ **AWS KMS key ARN**, entrez le nom de ressource Amazon (ARN) de la clé à utiliser, par exemple. **arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab**
1. Lorsque vous avez fini de saisir les paramètres, choisissez **Enregistrer**.
Macie teste les paramètres et vérifie qu'ils sont corrects. Si vous avez configuré Macie pour qu'il assume un rôle IAM, Macie vérifie également que le rôle existe dans votre compte et que les politiques de confiance et d'autorisation sont correctement configurées. En cas de problème, Macie affiche un message décrivant le problème.
Pour résoudre un problème lié au AWS KMS key, reportez-vous aux exigences de la [rubrique précédente](#findings-retrieve-sd-configure-key) et spécifiez une clé KMS répondant à ces exigences. Pour résoudre un problème lié au rôle IAM, commencez par vérifier que vous avez saisi le nom de rôle correct. Si le nom est correct, assurez-vous que les politiques du rôle répondent à toutes les exigences pour que Macie assume le rôle. Pour plus de détails, voir[Configuration d'un rôle IAM pour accéder aux objets S3 concernés](findings-retrieve-sd-options.md#findings-retrieve-sd-options-s3access-role-configuration). Une fois les problèmes résolus, vous pouvez enregistrer et activer les paramètres.
**Note**
Si vous êtes l'administrateur Macie d'une organisation et que vous avez configuré Macie pour qu'il assume un rôle IAM, Macie génère et affiche un identifiant externe après avoir enregistré les paramètres de votre compte. Notez cet identifiant. La politique de confiance pour le rôle IAM dans chacun de vos comptes membres applicables doit spécifier cet ID. Dans le cas contraire, vous ne pourrez pas récupérer d'échantillons de données sensibles à partir d'objets S3 détenus par les comptes.
------
#### [ API ]
Pour configurer et activer les paramètres par programmation, utilisez l'[UpdateRevealConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/reveal-configuration.html)API Amazon Macie. Dans votre demande, spécifiez les valeurs appropriées pour les paramètres pris en charge :
+ Pour les `retrievalConfiguration` paramètres, spécifiez la méthode d'accès et les paramètres que vous souhaitez utiliser lors de la récupération d'échantillons de données sensibles à partir des objets S3 concernés :
+ Pour assumer un rôle IAM qui délègue l'accès à Macie, spécifiez `ASSUME_ROLE` le `retrievalMode` paramètre et le nom du rôle pour le `roleName` paramètre. Si vous spécifiez ces paramètres, Macie récupère les exemples en assumant le rôle IAM que vous avez créé et configuré dans votre. Compte AWS
+ Pour utiliser les informations d'identification de l'utilisateur IAM qui demande les échantillons, spécifiez `CALLER_CREDENTIALS` le `retrievalMode` paramètre. Si vous spécifiez ce paramètre, chaque utilisateur de votre compte utilise son identité IAM individuelle pour récupérer les échantillons.
**Important**
Si vous ne spécifiez aucune valeur pour ces paramètres, Macie définit la méthode d'accès (`retrievalMode`) sur`CALLER_CREDENTIALS`. Si Macie est actuellement configuré pour utiliser un rôle IAM pour récupérer les échantillons, Macie supprime également définitivement le nom du rôle actuel et l'ID externe de votre configuration. Pour conserver ces paramètres pour une configuration existante, incluez-les `retrievalConfiguration` dans votre demande et spécifiez vos paramètres actuels pour ces paramètres. Pour récupérer vos paramètres actuels, utilisez l'[GetRevealConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/reveal-configuration.html)opération ou, si vous utilisez le AWS Command Line Interface (AWS CLI), exécutez la [get-reveal-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-reveal-configuration.html)commande.
+ Pour le `kmsKeyId` paramètre, spécifiez celui AWS KMS key que vous souhaitez utiliser pour chiffrer les échantillons de données sensibles récupérés :
+ Pour utiliser une clé KMS depuis votre propre compte, spécifiez le nom de ressource Amazon (ARN), l'ID ou l'alias de la clé. Si vous spécifiez un alias, incluez le `alias/` préfixe, par exemple,. `alias/ExampleAlias`
+ Pour utiliser une clé KMS détenue par un autre compte, spécifiez l'ARN de la clé, par exemple,. `arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab` Ou spécifiez l'ARN de l'alias de la clé, par exemple,. `arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias`
+ Pour le `status` paramètre, spécifiez `ENABLED` d'activer la configuration pour votre compte Macie.
Dans votre demande, assurez-vous également de spécifier la configuration Région AWS dans laquelle vous souhaitez activer et utiliser.
Pour configurer et activer les paramètres à l'aide de AWS CLI, exécutez la [update-reveal-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-reveal-configuration.html)commande et spécifiez les valeurs appropriées pour les paramètres pris en charge. Par exemple, si vous utilisez AWS CLI le sous Microsoft Windows, exécutez la commande suivante :
```
C:\> aws macie2 update-reveal-configuration ^
--region us-east-1 ^
--configuration={\"kmsKeyId\":\"arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias\",\"status\":\"ENABLED\"} ^
--retrievalConfiguration={\"retrievalMode\":\"ASSUME_ROLE\",\"roleName\":\"MacieRevealRole\"}
```
Où :
+ *us-east-1*est la région dans laquelle activer et utiliser la configuration. Dans cet exemple, la région de l'est des États-Unis (Virginie du Nord).
+ *arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias*est l'ARN de l'alias AWS KMS key à utiliser. Dans cet exemple, la clé appartient à un autre compte.
+ `ENABLED`est l'état de la configuration.
+ *ASSUME\$1ROLE*est la méthode d'accès à utiliser. Dans cet exemple, assumez le rôle IAM spécifié.
+ *MacieRevealRole*est le nom du rôle IAM que Macie doit assumer lors de la récupération d'échantillons de données sensibles.
L'exemple précédent utilise le caractère de continuation de ligne caret (^) pour améliorer la lisibilité.
Lorsque vous soumettez votre demande, Macie teste les paramètres. Si vous avez configuré Macie pour qu'il assume un rôle IAM, Macie vérifie également que le rôle existe dans votre compte et que les politiques de confiance et d'autorisation sont correctement configurées. En cas de problème, votre demande échoue et Macie renvoie un message décrivant le problème. Pour résoudre un problème lié au AWS KMS key, reportez-vous aux exigences de la [rubrique précédente](#findings-retrieve-sd-configure-key) et spécifiez une clé KMS répondant à ces exigences. Pour résoudre un problème lié au rôle IAM, commencez par vérifier que vous avez spécifié le nom de rôle correct. Si le nom est correct, assurez-vous que les politiques du rôle répondent à toutes les exigences pour que Macie assume le rôle. Pour plus de détails, voir[Configuration d'un rôle IAM pour accéder aux objets S3 concernés](findings-retrieve-sd-options.md#findings-retrieve-sd-options-s3access-role-configuration). Une fois le problème résolu, soumettez à nouveau votre demande.
Si votre demande aboutit, Macie active la configuration de votre compte dans la région spécifiée et vous recevez un résultat similaire à ce qui suit.
```
{
"configuration": {
"kmsKeyId": "arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias",
"status": "ENABLED"
},
"retrievalConfiguration": {
"externalId": "o2vee30hs31642lexample",
"retrievalMode": "ASSUME_ROLE",
"roleName": "MacieRevealRole"
}
}
```
Where `kmsKeyId` indique le code AWS KMS key à utiliser pour chiffrer les échantillons de données sensibles récupérés et `status` indique l'état de la configuration de votre compte Macie. Les `retrievalConfiguration` valeurs indiquent la méthode d'accès et les paramètres à utiliser lors de la récupération des échantillons.
**Note**
Si vous êtes l'administrateur Macie d'une organisation et que vous avez configuré Macie pour qu'il assume un rôle IAM, notez l'ID externe (`externalId`) dans la réponse. La politique de confiance pour le rôle IAM dans chacun de vos comptes membres applicables doit spécifier cet ID. Dans le cas contraire, vous ne pourrez pas récupérer d'échantillons de données sensibles à partir des objets S3 concernés détenus par les comptes.
Pour vérifier ultérieurement les paramètres ou l'état de la configuration de votre compte, utilisez l'[GetRevealConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/reveal-configuration.html)opération ou, pour le AWS CLI, exécutez la [get-reveal-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-reveal-configuration.html)commande.
------
## Désactivation des paramètres Macie
Vous pouvez désactiver les paramètres de configuration de votre compte Amazon Macie à tout moment. Si vous désactivez la configuration, Macie conserve le paramètre qui indique lequel utiliser AWS KMS key pour chiffrer les échantillons de données sensibles récupérés. Macie supprime définitivement les paramètres d'accès Amazon S3 pour la configuration.
**Avertissement**
Lorsque vous désactivez les paramètres de configuration de votre compte Macie, vous supprimez également définitivement les paramètres actuels qui indiquent comment accéder aux objets S3 concernés. Si Macie est actuellement configuré pour accéder aux objets concernés en assumant un rôle Gestion des identités et des accès AWS (IAM), cela inclut : le nom du rôle et l'ID externe généré par Macie pour la configuration. Ces paramètres ne peuvent pas être restaurés une fois qu'ils ont été supprimés.
Pour désactiver les paramètres de configuration de votre compte Macie, vous pouvez utiliser la console Amazon Macie ou l'API Amazon Macie.
------
#### [ Console ]
Suivez ces étapes pour désactiver les paramètres de configuration de votre compte à l'aide de la console Amazon Macie.
**Pour désactiver les paramètres Macie**
1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, choisissez la région dans laquelle vous souhaitez désactiver les paramètres de configuration de votre compte Macie.
1. Dans le volet de navigation, sous **Paramètres**, sélectionnez Afficher **les échantillons**.
1. Dans la section **Settings** (Paramètres), choisissez **Edit** (Modifier).
1. Dans le **champ État**, choisissez **Désactiver**.
1. Choisissez **Enregistrer**.
------
#### [ API ]
Pour désactiver les paramètres de configuration par programmation, utilisez l'[UpdateRevealConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/reveal-configuration.html)API Amazon Macie. Dans votre demande, assurez-vous de spécifier la configuration Région AWS dans laquelle vous souhaitez désactiver la configuration. Pour le paramètre `status`, spécifiez `DISABLED`.
Pour désactiver les paramètres de configuration à l'aide de AWS Command Line Interface (AWS CLI), exécutez la [update-reveal-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-reveal-configuration.html)commande. Utilisez le `region` paramètre pour spécifier la région dans laquelle vous souhaitez désactiver la configuration. Pour le paramètre `status`, spécifiez `DISABLED`. Par exemple, si vous utilisez AWS CLI le sous Microsoft Windows, exécutez la commande suivante :
```
C:\> aws macie2 update-reveal-configuration --region us-east-1 --configuration={\"status\":\"DISABLED\"}
```
Où :
+ *us-east-1*est la région dans laquelle vous souhaitez désactiver la configuration. Dans cet exemple, la région de l'est des États-Unis (Virginie du Nord).
+ `DISABLED`est le nouveau statut de la configuration.
Si votre demande aboutit, Macie désactive la configuration de votre compte dans la région spécifiée et vous recevez un résultat similaire à ce qui suit.
```
{
"configuration": {
"status": "DISABLED"
}
}
```
Où `status` est le nouveau statut de la configuration de votre compte Macie.
------
Si Macie a été configuré pour assumer un rôle IAM afin de récupérer des échantillons de données sensibles, vous pouvez éventuellement supprimer le rôle et la politique d'autorisation du rôle. Macie ne supprime pas ces ressources lorsque vous désactivez les paramètres de configuration de votre compte. De plus, Macie n'utilise pas ces ressources pour effectuer d'autres tâches pour votre compte. Pour supprimer le rôle et sa politique d'autorisations, vous pouvez utiliser la console IAM ou l'API IAM. Pour plus d'informations, consultez [la section Suppression de rôles](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) dans le *guide de Gestion des identités et des accès AWS l'utilisateur*.
# Extraction d'échantillons de données sensibles pour une découverte de Macie
En utilisant Amazon Macie, vous pouvez récupérer et révéler des échantillons de données sensibles que Macie rapporte dans ses conclusions individuelles relatives aux données sensibles. Cela inclut les données sensibles détectées par Macie à l'aide d'[identifiants de données gérés](managed-data-identifiers.md) et les données qui répondent aux critères des identifiants de [données personnalisés](custom-data-identifiers.md). Les exemples peuvent vous aider à vérifier la nature des données sensibles découvertes par Macie. Ils peuvent également vous aider à personnaliser votre enquête sur un objet ou un bucket Amazon Simple Storage Service (Amazon S3) concernés. Vous pouvez récupérer et révéler des échantillons de données sensibles dans tous les Régions AWS endroits où Macie est actuellement disponible, à l'exception des régions Asie-Pacifique (Osaka) et Israël (Tel Aviv).
Si vous récupérez et révélez des échantillons de données sensibles pour une découverte, Macie utilise les données du [résultat de découverte de données sensibles](discovery-results-repository-s3.md) correspondant pour localiser les 1 à 10 premières occurrences de données sensibles signalées par la découverte. Macie extrait ensuite les 1 à 128 premiers caractères de chaque occurrence de l'objet S3 concerné. Si une découverte fait état de plusieurs types de données sensibles, Macie le fait pour un maximum de 100 types de données sensibles signalés par la découverte.
Lorsque Macie extrait des données sensibles d'un objet S3 concerné, Macie chiffre les données avec une clé AWS Key Management Service (AWS KMS) que vous spécifiez, stocke temporairement les données chiffrées dans un cache et renvoie les données dans vos résultats pour la recherche. Peu après l'extraction et le chiffrement, Macie supprime définitivement les données du cache, sauf si une conservation supplémentaire est temporairement requise pour résoudre un problème opérationnel.
Si vous choisissez de récupérer et de révéler des échantillons de données sensibles pour une nouvelle recherche, Macie répète le processus de localisation, d'extraction, de chiffrement, de stockage et finalement de suppression des échantillons.
Pour découvrir comment récupérer et révéler des échantillons de données sensibles à l'aide de la console Amazon Macie, regardez la vidéo suivante :
**Topics**
+ [Avant de commencer](#findings-retrieve-sd-proc-prereqs)
+ [Déterminer si des échantillons sont disponibles pour une recherche](#findings-retrieve-sd-proc-criteria)
+ [Extraction d'échantillons pour une découverte](#findings-retrieve-sd-proc-steps)
## Avant de commencer
Avant de pouvoir récupérer et révéler des échantillons de données sensibles à des fins de recherche, vous devez [configurer et activer les paramètres de votre compte Amazon Macie](findings-retrieve-sd-configure.md). Vous devez également travailler avec votre AWS administrateur pour vérifier que vous disposez des autorisations et des ressources dont vous avez besoin.
Lorsque vous récupérez et révélez des échantillons de données sensibles à des fins de recherche, Macie exécute une série de tâches pour localiser, récupérer, chiffrer et révéler les échantillons. Macie n'utilise pas le [rôle lié au service Macie](service-linked-roles.md) pour votre compte pour effectuer ces tâches. Au lieu de cela, vous utilisez votre identité Gestion des identités et des accès AWS (IAM) ou vous autorisez Macie à assumer un rôle IAM dans votre compte.
Pour récupérer et révéler des échantillons de données sensibles pour une découverte, vous devez avoir accès à la découverte de données sensibles, au résultat de découverte de données sensibles correspondant et à celui AWS KMS key que vous avez configuré Macie pour chiffrer les échantillons de données sensibles. En outre, vous ou le rôle IAM devez être autorisé à accéder au compartiment S3 et à l'objet S3 concernés. Vous ou le rôle devez également être autorisé à utiliser celui AWS KMS key qui a été utilisé pour chiffrer l'objet concerné, le cas échéant. Si des politiques IAM, des politiques de ressources ou d'autres paramètres d'autorisation refusent l'accès requis, une erreur se produit et Macie ne renvoie aucun échantillon pour la recherche.
Vous devez également être autorisé à effectuer les actions Macie suivantes :
+ `macie2:GetMacieSession`
+ `macie2:GetFindings`
+ `macie2:ListFindings`
+ `macie2:GetSensitiveDataOccurrences`
Les trois premières actions vous permettent d'accéder à votre compte Macie et de récupérer le détail des résultats. La dernière action vous permet de récupérer et de révéler des échantillons de données sensibles pour les résultats.
Pour utiliser la console Amazon Macie pour récupérer et révéler des échantillons de données sensibles, vous devez également être autorisé à effectuer l'action suivante :. `macie2:GetSensitiveDataOccurrencesAvailability` Cette action vous permet de déterminer si des échantillons sont disponibles pour des résultats individuels. Vous n'avez pas besoin d'autorisation pour effectuer cette action afin de récupérer et de révéler des échantillons par programmation. Toutefois, l'obtention de cette autorisation peut rationaliser la récupération des échantillons.
Si vous êtes l'administrateur Macie délégué d'une organisation et que vous avez configuré Macie pour assumer un rôle IAM afin de récupérer des échantillons de données sensibles, vous devez également être autorisé à effectuer l'action suivante :. `macie2:GetMember` Cette action vous permet de récupérer des informations sur l'association entre votre compte et un compte concerné. Cela permet à Macie de vérifier que vous êtes actuellement l'administrateur Macie du compte concerné.
Si vous n'êtes pas autorisé à effectuer les actions requises ou à accéder aux données et ressources requises, demandez de l'aide à votre AWS administrateur.
## Déterminer si des échantillons de données sensibles sont disponibles pour une recherche
Pour récupérer et révéler des échantillons de données sensibles en vue d'une découverte, celle-ci doit répondre à certains critères. Il doit inclure des données de localisation pour des occurrences spécifiques de données sensibles. En outre, il doit spécifier l'emplacement d'un résultat de découverte de données sensibles valide correspondant. Le résultat de la découverte de données sensibles doit être stocké au même Région AWS endroit que le résultat. Si vous avez configuré Amazon Macie pour accéder aux objets S3 concernés en assumant un rôle Gestion des identités et des accès AWS (IAM), le résultat de la découverte de données sensibles doit également être stocké dans un objet S3 que Macie a signé avec un code d'authentification de message basé sur le hachage (HMAC). AWS KMS key
L'objet S3 concerné doit également répondre à certains critères. Le type MIME de l'objet doit être l'un des suivants :
+ *application/avro*, pour un fichier conteneur d'objets Apache Avro (.avro)
+ *application/gzip*, pour un fichier d'archive compressé GNU Zip (.gz ou .gzip)
+ *application/json*, pour un fichier JSON ou JSON Lines (.json ou .jsonl)
+ *application/parquet*, pour un fichier Apache Parquet (.parquet)
+ *application/vnd.openxmlformats-officedocument.spreadsheetml.sheet*, pour un fichier de classeur Microsoft Excel (.xlsx)
+ *application/zip*, pour un fichier d'archive compressé ZIP (.zip)
+ *text/csv*, pour un fichier CSV (.csv)
+ *text/plain*, pour un fichier texte non binaire autre qu'un fichier CSV, JSON, JSON Lines ou TSV
+ *text/tab-separated-values*, pour un fichier TSV (.tsv)
En outre, le contenu de l'objet S3 doit être le même que lors de la création de la recherche. Macie vérifie la balise d'entité (ETag) de l'objet pour déterminer si elle correspond à celle ETag spécifiée par le résultat. En outre, la taille de stockage de l'objet ne peut pas dépasser le quota de taille applicable pour récupérer et révéler des échantillons de données sensibles. Pour obtenir la liste des quotas applicables, voir[Quotas pour Macie](macie-quotas.md).
Si un résultat et l'objet S3 concerné répondent aux critères précédents, des échantillons de données sensibles sont disponibles pour le résultat. Vous pouvez éventuellement déterminer si tel est le cas pour une découverte particulière avant d'essayer de récupérer et de révéler des échantillons correspondants.
**Pour déterminer si des échantillons de données sensibles sont disponibles pour une recherche**
Vous pouvez utiliser la console Amazon Macie ou l'API Amazon Macie pour déterminer si des échantillons de données sensibles sont disponibles pour une recherche.
------
#### [ Console ]
Suivez ces étapes sur la console Amazon Macie pour déterminer si des échantillons de données sensibles sont disponibles pour une recherche.
**Pour déterminer si des échantillons sont disponibles pour une recherche**
1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. Dans le volet de navigation, choisissez **Conclusions**.
1. Sur la **page Résultats**, sélectionnez le résultat. Le panneau des détails affiche des informations relatives au résultat.
1. Dans le panneau de détails, accédez à la section **Données sensibles**. Reportez-vous ensuite au champ **Reveal samples**.
Si des échantillons de données sensibles sont disponibles pour la recherche, un lien de **révision** apparaît dans le champ, comme illustré dans l'image suivante.
![\[Le champ Afficher les échantillons dans le panneau des détails de la recherche. Le champ contient un lien intitulé Révision.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/scrn-findings-reveal-samples.png)
Si des échantillons de données sensibles ne sont pas disponibles pour la recherche, le **champ Afficher les échantillons** affiche un texte indiquant pourquoi :
+ Le **compte ne fait pas partie de l'organisation** : vous n'êtes pas autorisé à accéder à l'objet S3 concerné à l'aide de Macie. Le compte concerné ne fait actuellement pas partie de votre organisation. Ou bien le compte fait partie de votre organisation, mais Macie n'est actuellement pas activé pour le compte. Région AWS
+ **Résultat de classification non valide** : il n'existe aucun résultat de découverte de données sensibles correspondant à la recherche. Ou le résultat de découverte de données sensibles correspondant n'est pas disponible actuellement Région AWS, est mal formé ou endommagé, ou utilise un format de stockage non pris en charge. Macie ne peut pas vérifier l'emplacement des données sensibles à récupérer.
+ **Signature de résultat non valide** — Le résultat de découverte de données sensibles correspondant est stocké dans un objet S3 qui n'a pas été signé par Macie. Macie ne peut pas vérifier l'intégrité et l'authenticité du résultat de la découverte de données sensibles. Macie ne peut donc pas vérifier l'emplacement des données sensibles à récupérer.
+ **Rôle de membre trop permissif** — La politique de confiance ou d'autorisation pour le rôle IAM dans le compte de membre concerné ne répond pas aux exigences de Macie en matière de restriction de l'accès au rôle. Ou bien, la politique de confiance du rôle ne spécifie pas l'identifiant externe approprié pour votre organisation. Macie ne peut pas assumer le rôle de récupérer les données sensibles.
+ ** GetMember Autorisation manquante** — Vous n'êtes pas autorisé à récupérer les informations relatives à l'association entre votre compte et le compte concerné. Macie ne peut pas déterminer si vous êtes autorisé à accéder à l'objet S3 concerné en tant qu'administrateur Macie délégué pour le compte concerné.
+ **L'objet dépasse le quota de taille** : la taille de stockage de l'objet S3 concerné dépasse le quota de taille pour récupérer et révéler des échantillons de données sensibles à partir de ce type de fichier.
+ **Objet non disponible** : l'objet S3 concerné n'est pas disponible. L'objet a été renommé, déplacé ou supprimé, ou son contenu a été modifié après que Macie a créé la recherche. Ou bien l'objet est chiffré avec un AWS KMS key qui n'est pas disponible. Par exemple, la clé est désactivée, sa suppression est prévue ou a été supprimée.
+ **Résultat non signé** — Le résultat de découverte de données sensibles correspondant est stocké dans un objet S3 qui n'a pas été signé. Macie ne peut pas vérifier l'intégrité et l'authenticité du résultat de la découverte de données sensibles. Macie ne peut donc pas vérifier l'emplacement des données sensibles à récupérer.
+ **Rôle trop permissif** : votre compte est configuré pour récupérer des occurrences de données sensibles en utilisant un rôle IAM dont la politique de confiance ou d'autorisation ne répond pas aux exigences de Macie en matière de restriction de l'accès au rôle. Macie ne peut pas assumer le rôle de récupérer les données sensibles.
+ **Type d'objet non pris en charge** — L'objet S3 concerné utilise un format de fichier ou de stockage que Macie ne prend pas en charge pour récupérer et révéler des échantillons de données sensibles. Le type MIME de l'objet S3 concerné ne figure pas parmi les valeurs de la [liste précédente](#findings-retrieve-sd-criteria-mimetype).
En cas de problème lié au résultat de découverte de données sensibles pour la recherche, les informations contenues dans le champ **Emplacement détaillé des résultats** de la recherche peuvent vous aider à étudier le problème. Ce champ indique le chemin d'origine vers le résultat dans Amazon S3. Pour étudier un problème lié à un rôle IAM, assurez-vous que les politiques du rôle répondent à toutes les exigences permettant à Macie d'assumer ce rôle. Pour plus de détails, voir[Configuration d'un rôle IAM pour accéder aux objets S3 concernés](findings-retrieve-sd-options.md#findings-retrieve-sd-options-s3access-role-configuration).
------
#### [ API ]
Pour déterminer par programmation si des échantillons de données sensibles sont disponibles pour une recherche, utilisez le [GetSensitiveDataOccurrencesAvailability](https://docs.aws.amazon.com/macie/latest/APIReference/findings-findingid-reveal-availability.html)fonctionnement de l'API Amazon Macie. Lorsque vous soumettez votre demande, utilisez le `findingId` paramètre pour spécifier l'identifiant unique de la recherche. Pour obtenir cet identifiant, vous pouvez utiliser l'[ListFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings.html)opération.
Si vous utilisez le AWS Command Line Interface (AWS CLI), exécutez la commande [get-sensitive-data-occurrences-availability](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitive-data-occurrences-availability.html) et utilisez le `finding-id` paramètre pour spécifier l'identifiant unique de la recherche. Pour obtenir cet identifiant, vous pouvez exécuter la commande [list-findings](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-findings.html).
Si votre demande aboutit et que des échantillons sont disponibles pour la recherche, vous recevez un résultat similaire à ce qui suit :
```
{
"code": "AVAILABLE",
"reasons": []
}
```
Si votre demande aboutit et qu'aucun échantillon n'est disponible pour la recherche, la valeur du `code` champ est `UNAVAILABLE` et le `reasons` tableau indique pourquoi. Par exemple :
```
{
"code": "UNAVAILABLE",
"reasons": [
"UNSUPPORTED_OBJECT_TYPE"
]
}
```
En cas de problème lié au résultat de découverte de données sensibles lié à la découverte, les informations contenues dans le `classificationDetails.detailedResultsLocation` champ de la recherche peuvent vous aider à étudier le problème. Ce champ indique le chemin d'origine vers le résultat dans Amazon S3. Pour étudier un problème lié à un rôle IAM, assurez-vous que les politiques du rôle répondent à toutes les exigences permettant à Macie d'assumer ce rôle. Pour plus de détails, voir[Configuration d'un rôle IAM pour accéder aux objets S3 concernés](findings-retrieve-sd-options.md#findings-retrieve-sd-options-s3access-role-configuration).
------
## Extraction d'échantillons de données sensibles pour une découverte
Pour récupérer et révéler des échantillons de données sensibles à des fins de recherche, vous pouvez utiliser la console Amazon Macie ou l'API Amazon Macie.
------
#### [ Console ]
Suivez ces étapes pour récupérer et révéler des échantillons de données sensibles à des fins de recherche à l'aide de la console Amazon Macie.
**Pour récupérer et révéler des échantillons de données sensibles en vue d'une découverte**
1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. Dans le volet de navigation, choisissez **Conclusions**.
1. Sur la **page Résultats**, sélectionnez le résultat. Le panneau des détails affiche des informations relatives au résultat.
1. Dans le panneau de détails, accédez à la section **Données sensibles**. Ensuite, dans le champ **Reveal samples**, sélectionnez **Review** :
![\[Le champ Afficher les échantillons dans le panneau des détails de la recherche. Le champ contient un lien intitulé Révision.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/scrn-findings-reveal-samples.png)
**Note**
Si le lien **Révision** n'apparaît pas dans le champ Afficher **les échantillons**, cela signifie que les échantillons de données sensibles ne sont pas disponibles pour la recherche. Pour savoir pourquoi c'est le cas, reportez-vous à la [rubrique précédente](#findings-retrieve-sd-proc-criteria).
Une fois que vous avez choisi **Réviser**, Macie affiche une page résumant les principaux détails du résultat. Les détails incluent les catégories, les types et le nombre d'occurrences de données sensibles que Macie a trouvées dans l'objet S3 concerné.
1. Dans la section **Données sensibles** de la page, sélectionnez Afficher **les échantillons**. Macie récupère et dévoile ensuite des échantillons des 1 à 10 premières occurrences de données sensibles signalées par la découverte. Chaque échantillon contient les 1 à 128 premiers caractères d'une occurrence de données sensibles. Plusieurs minutes peuvent être nécessaires pour récupérer et révéler les échantillons.
Si la découverte fait état de plusieurs types de données sensibles, Macie récupère et dévoile des échantillons pour un maximum de 100 types. Par exemple, l'image suivante montre des exemples qui couvrent plusieurs catégories et types de données sensibles : informations AWS d'identification, numéros de téléphone américains et noms de personnes.
![\[Le tableau des exemples. Il répertorie neuf échantillons ainsi que la catégorie et le type de données sensibles de chaque échantillon.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/scrn-findings-sd-samples.png)
Les échantillons sont d'abord organisés par catégorie de données sensibles, puis par type de données sensibles.
------
#### [ API ]
Pour récupérer et révéler des échantillons de données sensibles à des fins de recherche par programmation, utilisez le [GetSensitiveDataOccurrences](https://docs.aws.amazon.com/macie/latest/APIReference/findings-findingid-reveal.html)fonctionnement de l'API Amazon Macie. Lorsque vous soumettez votre demande, utilisez le `findingId` paramètre pour spécifier l'identifiant unique de la recherche. Pour obtenir cet identifiant, vous pouvez utiliser l'[ListFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings.html)opération.
Pour récupérer et révéler des échantillons de données sensibles à l'aide de AWS Command Line Interface (AWS CLI), exécutez la [get-sensitive-data-occurrences](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitive-data-occurrences.html)commande et utilisez le `finding-id` paramètre pour spécifier l'identifiant unique de la recherche. Par exemple :
```
C:\> aws macie2 get-sensitive-data-occurrences --finding-id "1f1c2d74db5d8caa76859ec52example"
```
Où se *1f1c2d74db5d8caa76859ec52example* trouve l'identifiant unique de la découverte. Pour obtenir cet identifiant à l'aide de AWS CLI, vous pouvez exécuter la commande [list-findings](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-findings.html).
Si votre demande aboutit, Macie commence à traiter votre demande et vous recevez un résultat similaire à ce qui suit :
```
{
"status": "PROCESSING"
}
```
Le traitement de votre demande peut prendre plusieurs minutes. Dans quelques minutes, soumettez à nouveau votre demande.
Si Macie peut localiser, récupérer et chiffrer les échantillons de données sensibles, Macie renvoie les échantillons sur une carte. `sensitiveDataOccurrences` La carte indique 1 à 100 types de données sensibles signalées par la découverte et 1 à 10 échantillons pour chaque type. Chaque échantillon contient les 1 à 128 premiers caractères d'une occurrence de données sensibles signalées par le résultat.
Sur la carte, chaque clé est l'ID de l'identifiant des données gérées qui a détecté les données sensibles, ou le nom et l'identifiant unique de l'identifiant de données personnalisé qui a détecté les données sensibles. Les valeurs sont des exemples pour l'identifiant de données gérées ou l'identifiant de données personnalisé spécifié. Par exemple, la réponse suivante fournit trois échantillons de noms de personnes et deux échantillons de clés d'accès AWS secrètes détectées par des identifiants de données gérés (`NAME`et`AWS_CREDENTIALS`, respectivement).
```
{
"sensitiveDataOccurrences": {
"NAME": [
{
"value": "Akua Mansa"
},
{
"value": "John Doe"
},
{
"value": "Martha Rivera"
}
],
"AWS_CREDENTIALS": [
{
"value": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY"
},
{
"value": "je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY"
}
]
},
"status": "SUCCESS"
}
```
Si votre demande aboutit mais que les échantillons de données sensibles ne sont pas disponibles pour la recherche, vous recevez un `UnprocessableEntityException` message indiquant pourquoi les échantillons ne sont pas disponibles. Par exemple :
```
{
"message": "An error occurred (UnprocessableEntityException) when calling the GetSensitiveDataOccurrences operation: OBJECT_UNAVAILABLE"
}
```
Dans l'exemple précédent, Macie a tenté de récupérer des échantillons de l'objet S3 concerné, mais celui-ci n'est plus disponible. Le contenu de l'objet a changé après que Macie a créé la découverte.
Si votre demande aboutit mais qu'un autre type d'erreur a empêché Macie de récupérer et de révéler des échantillons de données sensibles pour la recherche, vous recevez un résultat similaire à ce qui suit :
```
{
"error": "Macie can't retrieve the samples. You're not allowed to access the affected S3 object or the object is encrypted with a key that you're not allowed to use.",
"status": "ERROR"
}
```
La valeur du `status` champ est `ERROR` et le `error` champ décrit l'erreur survenue. Les informations de la [rubrique précédente](#findings-retrieve-sd-proc-criteria) peuvent vous aider à étudier l'erreur.
------