Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Mengambil sampel data sensitif dengan temuan Macie
<a name="findings-retrieve-sd"></a>

Untuk memverifikasi sifat data sensitif yang dilaporkan Amazon Macie dalam temuan, Anda dapat mengonfigurasi dan menggunakan Macie secara opsional untuk mengambil dan mengungkapkan sampel data sensitif yang dilaporkan oleh temuan individu. Ini termasuk data sensitif yang dideteksi Macie menggunakan [pengidentifikasi data terkelola](managed-data-identifiers.md), dan data yang cocok dengan kriteria pengidentifikasi data [kustom](custom-data-identifiers.md). Sampel dapat membantu Anda menyesuaikan penyelidikan objek dan bucket Amazon Simple Storage Service (Amazon S3) yang terpengaruh.

Jika Anda mengambil dan mengungkapkan sampel data sensitif untuk temuan, Macie melakukan tugas umum berikut:

1. Memverifikasi bahwa temuan menentukan lokasi kejadian individu dari data sensitif dan lokasi hasil penemuan [data sensitif](discovery-results-repository-s3.md) yang sesuai.

1. Mengevaluasi hasil penemuan data sensitif yang sesuai, memeriksa validitas metadata untuk objek S3 yang terpengaruh dan data lokasi untuk kejadian data sensitif dalam objek.

1. Dengan menggunakan data dalam hasil penemuan data sensitif, menempatkan 1-10 kejadian pertama dari data sensitif yang dilaporkan oleh temuan, dan mengekstrak 1-128 karakter pertama dari setiap kejadian dari objek S3 yang terpengaruh. Jika temuan melaporkan beberapa jenis data sensitif, Macie melakukan ini hingga 100 jenis.

1. Mengenkripsi data yang diekstrak dengan kunci AWS Key Management Service (AWS KMS) yang Anda tentukan.

1. Menyimpan sementara data terenkripsi dalam cache dan menampilkan data untuk Anda tinjau. Data dienkripsi setiap saat, baik dalam perjalanan maupun saat istirahat.

1. Segera setelah ekstraksi dan enkripsi, secara permanen menghapus data dari cache kecuali retensi tambahan sementara diperlukan untuk menyelesaikan masalah operasional.

Jika Anda memilih untuk mengambil dan mengungkapkan sampel data sensitif untuk temuan lagi, Macie mengulangi tugas-tugas ini untuk mencari, mengekstrak, mengenkripsi, menyimpan, dan akhirnya menghapus sampel.

Macie tidak menggunakan [peran terkait layanan Macie untuk akun Anda untuk melakukan tugas-tugas](service-linked-roles.md) ini. Sebagai gantinya, Anda menggunakan identitas AWS Identity and Access Management (IAM) Anda atau mengizinkan Macie untuk mengambil peran IAM di akun Anda. Anda dapat mengambil dan mengungkapkan sampel data sensitif untuk temuan jika Anda atau peran diizinkan untuk mengakses sumber daya dan data yang diperlukan, dan melakukan tindakan yang diperlukan. Semua tindakan yang diperlukan [masuk AWS CloudTrail](macie-cloudtrail.md).

**penting**  
Kami menyarankan Anda membatasi akses ke fungsi ini dengan menggunakan kebijakan [IAM khusus](security-iam.md). Untuk kontrol akses tambahan, kami menyarankan Anda juga membuat khusus AWS KMS key untuk enkripsi sampel data sensitif yang diambil, dan membatasi penggunaan kunci hanya untuk prinsipal yang harus diizinkan untuk mengambil dan mengungkapkan sampel data sensitif.  
Untuk rekomendasi dan contoh kebijakan yang mungkin Anda gunakan untuk mengontrol akses ke fungsi ini, lihat posting blog berikut di *Blog AWS Keamanan*: [Cara menggunakan Amazon Macie untuk melihat pratinjau data sensitif di bucket S3](https://aws.amazon.com/blogs/security/how-to-use-amazon-macie-to-preview-sensitive-data-in-s3-buckets/).

Topik di bagian ini menjelaskan cara mengonfigurasi dan menggunakan Macie untuk mengambil dan mengungkapkan sampel data sensitif untuk temuan. Anda dapat melakukan tugas-tugas ini di semua Wilayah AWS tempat Macie saat ini tersedia kecuali Wilayah Asia Pasifik (Osaka) dan Israel (Tel Aviv).

**Topics**
+ [Opsi konfigurasi untuk mengambil sampel](findings-retrieve-sd-options.md)
+ [Mengkonfigurasi Macie untuk mengambil sampel](findings-retrieve-sd-configure.md)
+ [Mengambil sampel](findings-retrieve-sd-proc.md)

# Opsi konfigurasi untuk mengambil sampel data sensitif dengan Macie
<a name="findings-retrieve-sd-options"></a>

Anda dapat mengonfigurasi dan menggunakan Amazon Macie secara opsional untuk mengambil dan mengungkapkan sampel data sensitif yang dilaporkan Macie dalam temuan individual. Jika Anda mengambil dan mengungkapkan sampel data sensitif untuk temuan, Macie menggunakan data dalam [hasil penemuan data sensitif terkait untuk menemukan kejadian data sensitif](discovery-results-repository-s3.md) di objek Amazon Simple Storage Service (Amazon S3) yang terpengaruh. Macie kemudian mengekstrak sampel kejadian tersebut dari objek yang terpengaruh. Macie mengenkripsi data yang diekstrak dengan kunci AWS Key Management Service (AWS KMS) yang Anda tentukan, menyimpan sementara data terenkripsi dalam cache, dan mengembalikan data dalam hasil Anda untuk temuan tersebut. Segera setelah ekstraksi dan enkripsi, Macie secara permanen menghapus data dari cache kecuali retensi tambahan sementara diperlukan untuk menyelesaikan masalah operasional.

Macie tidak menggunakan [peran terkait layanan Macie](service-linked-roles.md) untuk akun Anda untuk menemukan, mengambil, mengenkripsi, atau mengungkapkan sampel data sensitif untuk objek S3 yang terpengaruh. Sebagai gantinya, Macie menggunakan pengaturan dan sumber daya yang Anda konfigurasikan untuk akun Anda. Saat Anda mengonfigurasi pengaturan di Macie, Anda menentukan cara mengakses objek S3 yang terpengaruh. Anda juga menentukan mana yang AWS KMS key akan digunakan untuk mengenkripsi sampel. Anda dapat mengonfigurasi pengaturan di semua Wilayah AWS tempat Macie saat ini tersedia kecuali Wilayah Asia Pasifik (Osaka) dan Israel (Tel Aviv).

Untuk mengakses objek S3 yang terpengaruh dan mengambil sampel data sensitif darinya, Anda memiliki dua opsi. Anda dapat mengonfigurasi Macie untuk menggunakan kredensil pengguna AWS Identity and Access Management (IAM) atau mengambil peran IAM:
+ **Gunakan kredensil pengguna IAM** — Dengan opsi ini, setiap pengguna akun Anda menggunakan identitas IAM masing-masing untuk mencari, mengambil, mengenkripsi, dan mengungkapkan sampel. Ini berarti bahwa pengguna dapat mengambil dan mengungkapkan sampel data sensitif untuk temuan jika mereka diizinkan untuk mengakses sumber daya dan data yang diperlukan, dan melakukan tindakan yang diperlukan.
+ **Asumsikan peran IAM** - Dengan opsi ini, Anda membuat peran IAM yang mendelegasikan akses ke Macie. Anda juga memastikan bahwa kebijakan kepercayaan dan izin untuk peran tersebut memenuhi semua persyaratan bagi Macie untuk mengambil peran tersebut. Macie kemudian mengambil peran ketika pengguna akun Anda memilih untuk mencari, mengambil, mengenkripsi, dan mengungkapkan sampel data sensitif untuk sebuah temuan.

Anda dapat menggunakan konfigurasi dengan semua jenis akun Macie—akun administrator Macie yang didelegasikan untuk organisasi, akun anggota Macie di organisasi, atau akun Macie mandiri.

Topik berikut menjelaskan opsi, persyaratan, dan pertimbangan yang dapat membantu Anda menentukan cara mengonfigurasi pengaturan dan sumber daya untuk akun Anda. Ini termasuk kebijakan kepercayaan dan izin untuk dilampirkan ke peran IAM. Untuk rekomendasi tambahan dan contoh kebijakan yang mungkin Anda gunakan untuk mengambil dan mengungkapkan sampel data sensitif, lihat posting blog berikut di *Blog AWS Keamanan*: [Cara menggunakan Amazon Macie untuk melihat pratinjau data sensitif di](https://aws.amazon.com/blogs/security/how-to-use-amazon-macie-to-preview-sensitive-data-in-s3-buckets/) bucket S3.

**Topics**
+ [Menentukan metode akses mana yang akan digunakan](#findings-retrieve-sd-options-s3access)
+ [Menggunakan kredensi pengguna IAM untuk mengakses objek S3 yang terpengaruh](#findings-retrieve-sd-options-s3access-user)
+ [Dengan asumsi peran IAM untuk mengakses objek S3 yang terpengaruh](#findings-retrieve-sd-options-s3access-role)
+ [Mengkonfigurasi peran IAM untuk mengakses objek S3 yang terpengaruh](#findings-retrieve-sd-options-s3access-role-configuration)
+ [Mendekripsi objek S3 yang terpengaruh](#findings-retrieve-sd-options-decrypt)

## Menentukan metode akses mana yang akan digunakan
<a name="findings-retrieve-sd-options-s3access"></a>

Saat menentukan konfigurasi mana yang terbaik untuk AWS lingkungan Anda, pertimbangan utama adalah apakah lingkungan Anda menyertakan beberapa akun Amazon Macie yang dikelola secara terpusat sebagai organisasi. Jika Anda adalah administrator Macie yang didelegasikan untuk organisasi, mengonfigurasi Macie untuk mengambil peran IAM dapat merampingkan pengambilan sampel data sensitif dari objek S3 yang terpengaruh untuk akun di organisasi Anda. Dengan pendekatan ini, Anda membuat peran IAM di akun administrator Anda. Anda juga membuat peran IAM di setiap akun anggota yang berlaku. Peran di akun administrator Anda mendelegasikan akses ke Macie. Peran dalam akun anggota mendelegasikan akses lintas akun ke peran di akun administrator Anda. Jika diterapkan, Anda kemudian dapat menggunakan rantai peran untuk mengakses objek S3 yang terpengaruh untuk akun anggota Anda.

Juga pertimbangkan siapa yang memiliki akses langsung ke temuan individu secara default. Untuk mengambil dan mengungkapkan sampel data sensitif untuk temuan, pengguna harus terlebih dahulu memiliki akses ke temuan tersebut:
+ **Pekerjaan penemuan data sensitif** — Hanya akun yang menciptakan pekerjaan yang dapat mengakses temuan yang dihasilkan pekerjaan tersebut. Jika Anda memiliki akun administrator Macie, Anda dapat mengonfigurasi pekerjaan untuk menganalisis objek di bucket S3 untuk akun apa pun di organisasi Anda. Oleh karena itu, pekerjaan Anda dapat menghasilkan temuan untuk objek dalam ember yang dimiliki akun anggota Anda. Jika Anda memiliki akun anggota atau akun Macie mandiri, Anda dapat mengonfigurasi pekerjaan untuk menganalisis objek hanya dalam ember yang dimiliki akun Anda.
+ **Penemuan data sensitif otomatis** — Hanya akun administrator Macie yang dapat mengakses temuan yang dihasilkan penemuan otomatis untuk akun di organisasi mereka. Akun anggota tidak dapat mengakses temuan ini. Jika Anda memiliki akun Macie mandiri, Anda dapat mengakses temuan yang dihasilkan penemuan otomatis hanya untuk akun Anda sendiri.

Jika Anda berencana untuk mengakses objek S3 yang terpengaruh dengan menggunakan peran IAM, pertimbangkan juga hal berikut:
+ Untuk menemukan kemunculan data sensitif dalam suatu objek, hasil penemuan data sensitif yang sesuai untuk temuan harus disimpan dalam objek S3 yang ditandatangani Macie dengan Kode Otentikasi Pesan berbasis Hash (HMAC). AWS KMS key Macie harus dapat memverifikasi integritas dan keaslian hasil penemuan data sensitif. Jika tidak, Macie tidak mengambil peran IAM untuk mengambil sampel data sensitif. Ini adalah pagar pembatas tambahan untuk membatasi akses ke data dalam objek S3 untuk akun.
+ Untuk mengambil sampel data sensitif dari objek yang dienkripsi dengan pelanggan yang dikelola AWS KMS key, peran IAM harus diizinkan untuk mendekripsi data dengan kunci. Lebih khusus lagi, kebijakan kunci harus memungkinkan peran untuk melakukan `kms:Decrypt` tindakan. Untuk jenis enkripsi sisi server lainnya, tidak ada izin atau sumber daya tambahan yang diperlukan untuk mendekripsi objek yang terpengaruh. Untuk informasi selengkapnya, lihat [Mendekripsi objek S3 yang terpengaruh](#findings-retrieve-sd-options-decrypt).
+ Untuk mengambil sampel data sensitif dari objek untuk akun lain, saat ini Anda harus menjadi administrator Macie yang didelegasikan untuk akun yang berlaku. Wilayah AWS Selain itu:
  + Macie saat ini harus diaktifkan untuk akun anggota di Wilayah yang berlaku. 
  + Akun anggota harus memiliki peran IAM yang mendelegasikan akses lintas akun ke peran IAM di akun administrator Macie Anda. Nama peran harus sama di akun administrator Macie Anda dan akun anggota.
  + Kebijakan kepercayaan untuk peran IAM di akun anggota harus menyertakan kondisi yang menentukan ID eksternal yang benar untuk konfigurasi Anda. ID ini adalah string alfanumerik unik yang dihasilkan Macie secara otomatis setelah Anda mengonfigurasi pengaturan untuk akun administrator Macie Anda. Untuk informasi tentang penggunaan kebijakan IDs kepercayaan eksternal, lihat [Akses ke yang Akun AWS dimiliki oleh pihak ketiga](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dalam *Panduan AWS Identity and Access Management Pengguna*.
  + Jika peran IAM di akun anggota memenuhi semua persyaratan Macie, akun anggota tidak perlu mengonfigurasi dan mengaktifkan pengaturan Macie agar Anda dapat mengambil sampel data sensitif dari objek untuk akun mereka. Macie hanya menggunakan pengaturan dan peran IAM di akun administrator Macie Anda dan peran IAM di akun anggota.
**Tip**  
Jika akun Anda adalah bagian dari organisasi besar, pertimbangkan untuk menggunakan AWS CloudFormation templat dan tumpukan yang disetel ke penyediaan dan kelola peran IAM untuk akun anggota di organisasi Anda. Untuk informasi tentang membuat dan menggunakan templat dan kumpulan tumpukan, lihat [Panduan AWS CloudFormation Pengguna](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html).  
Untuk meninjau dan mengunduh CloudFormation templat yang dapat berfungsi sebagai titik awal, Anda dapat menggunakan konsol Amazon Macie. Di panel navigasi di konsol, di bawah **Pengaturan**, pilih **Reveal samples**. Pilih **Edit**, lalu pilih **Lihat izin dan CloudFormation templat peran anggota**.

Topik selanjutnya di bagian ini memberikan rincian dan pertimbangan tambahan untuk setiap jenis konfigurasi. Untuk peran IAM, ini termasuk kebijakan kepercayaan dan izin untuk dilampirkan ke peran. Jika Anda tidak yakin jenis konfigurasi mana yang terbaik untuk lingkungan Anda, mintalah bantuan AWS administrator Anda.

## Menggunakan kredensi pengguna IAM untuk mengakses objek S3 yang terpengaruh
<a name="findings-retrieve-sd-options-s3access-user"></a>

Jika Anda mengonfigurasi Amazon Macie untuk mengambil sampel data sensitif dengan menggunakan kredensil pengguna IAM, setiap pengguna akun Macie Anda menggunakan identitas IAM mereka untuk mencari, mengambil, mengenkripsi, dan mengungkapkan sampel untuk temuan individual. Ini berarti bahwa pengguna dapat mengambil dan mengungkapkan sampel data sensitif untuk temuan jika identitas IAM mereka diizinkan untuk mengakses sumber daya dan data yang diperlukan, dan melakukan tindakan yang diperlukan. Semua tindakan yang diperlukan [masuk AWS CloudTrail](macie-cloudtrail.md).

Untuk mengambil dan mengungkapkan sampel data sensitif untuk temuan tertentu, pengguna harus diizinkan mengakses data dan sumber daya berikut: temuan, hasil penemuan data sensitif yang sesuai, bucket S3 yang terpengaruh, dan objek S3 yang terpengaruh. Mereka juga harus diizinkan untuk menggunakan AWS KMS key yang digunakan untuk mengenkripsi objek yang terpengaruh, jika berlaku, dan AWS KMS key yang Anda konfigurasi Macie untuk digunakan untuk mengenkripsi sampel data sensitif. Jika ada kebijakan IAM, kebijakan sumber daya, atau setelan izin lainnya yang menolak akses yang diperlukan, pengguna tidak akan dapat mengambil dan mengungkapkan sampel untuk temuan tersebut.

Untuk mengatur jenis konfigurasi ini, selesaikan tugas umum berikut:

1. Verifikasi bahwa Anda mengonfigurasi repositori untuk hasil penemuan data sensitif Anda.

1.  AWS KMS key Konfigurasikan yang akan digunakan untuk enkripsi sampel data sensitif.

1. Verifikasi izin Anda untuk mengonfigurasi pengaturan di Macie.

1. Konfigurasikan dan aktifkan pengaturan di Macie.

Untuk informasi tentang melakukan tugas-tugas ini, lihat[Mengkonfigurasi Macie untuk mengambil sampel data sensitif](findings-retrieve-sd-configure.md).

## Dengan asumsi peran IAM untuk mengakses objek S3 yang terpengaruh
<a name="findings-retrieve-sd-options-s3access-role"></a>

Untuk mengonfigurasi Amazon Macie untuk mengambil sampel data sensitif dengan mengasumsikan peran IAM, mulailah dengan membuat peran IAM yang mendelegasikan akses ke Amazon Macie. Pastikan kebijakan kepercayaan dan izin untuk peran tersebut memenuhi semua persyaratan bagi Macie untuk mengambil peran tersebut. Ketika pengguna akun Macie Anda kemudian memilih untuk mengambil dan mengungkapkan sampel data sensitif untuk temuan, Macie mengasumsikan peran untuk mengambil sampel dari objek S3 yang terpengaruh. Macie mengasumsikan peran hanya ketika pengguna memilih untuk mengambil dan mengungkapkan sampel untuk temuan. Untuk mengambil peran, Macie menggunakan [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)operasi AWS Security Token Service (AWS STS) API. Semua tindakan yang diperlukan [masuk AWS CloudTrail](macie-cloudtrail.md).

Untuk mengambil dan mengungkapkan sampel data sensitif untuk temuan tertentu, pengguna harus diizinkan mengakses temuan, hasil penemuan data sensitif yang sesuai, dan AWS KMS key yang Anda konfigurasi Macie untuk digunakan untuk mengenkripsi sampel data sensitif. Peran IAM harus memungkinkan Macie mengakses bucket S3 yang terpengaruh dan objek S3 yang terpengaruh. Peran juga harus diizinkan untuk menggunakan AWS KMS key yang digunakan untuk mengenkripsi objek yang terpengaruh, jika berlaku. Jika ada kebijakan IAM, kebijakan sumber daya, atau setelan izin lainnya yang menolak akses yang diperlukan, pengguna tidak akan dapat mengambil dan mengungkapkan sampel untuk temuan tersebut.

Untuk mengatur jenis konfigurasi ini, selesaikan tugas-tugas umum berikut. Jika Anda memiliki akun anggota di suatu organisasi, bekerjalah dengan administrator Macie Anda untuk menentukan apakah dan cara mengonfigurasi pengaturan dan sumber daya untuk akun Anda.

1. Tentukan yang berikut ini:
   + Nama peran IAM yang Anda ingin Macie untuk mengambil alih. Jika akun Anda adalah bagian dari organisasi, nama ini harus sama untuk akun administrator Macie yang didelegasikan dan setiap akun anggota yang berlaku di organisasi. Jika tidak, administrator Macie tidak akan dapat mengakses objek S3 yang terpengaruh untuk akun anggota yang berlaku.
   + Nama kebijakan izin IAM untuk dilampirkan ke peran IAM. Jika akun Anda adalah bagian dari organisasi, kami sarankan Anda menggunakan nama kebijakan yang sama untuk setiap akun anggota yang berlaku di organisasi. Ini dapat merampingkan penyediaan dan pengelolaan peran dalam akun anggota.

1. Verifikasi bahwa Anda mengonfigurasi repositori untuk hasil penemuan data sensitif Anda.

1.  AWS KMS key Konfigurasikan yang akan digunakan untuk enkripsi sampel data sensitif.

1. Verifikasi izin Anda untuk membuat peran IAM dan mengonfigurasi pengaturan di Macie.

1. Jika Anda adalah administrator Macie yang didelegasikan untuk suatu organisasi atau Anda memiliki akun Macie mandiri:

   1. Buat dan konfigurasikan peran IAM untuk akun Anda. Pastikan kebijakan kepercayaan dan izin untuk peran tersebut memenuhi semua persyaratan bagi Macie untuk mengambil peran tersebut. Untuk detail tentang persyaratan ini, lihat [topik berikutnya](#findings-retrieve-sd-options-s3access-role-configuration).

   1. Konfigurasikan dan aktifkan pengaturan di Macie. Macie kemudian menghasilkan ID eksternal untuk konfigurasi. Jika Anda administrator Macie untuk suatu organisasi, perhatikan ID ini. Kebijakan kepercayaan untuk peran IAM di setiap akun anggota Anda yang berlaku harus menentukan ID ini.

1. Jika Anda memiliki akun anggota di suatu organisasi:

   1. Minta administrator Macie Anda untuk ID eksternal untuk menentukan dalam kebijakan kepercayaan untuk peran IAM di akun Anda. Juga verifikasi nama peran IAM dan kebijakan izin yang akan dibuat.

   1. Buat dan konfigurasikan peran IAM untuk akun Anda. Pastikan kebijakan kepercayaan dan izin untuk peran tersebut memenuhi semua persyaratan bagi administrator Macie Anda untuk mengambil peran tersebut. Untuk detail tentang persyaratan ini, lihat [topik berikutnya](#findings-retrieve-sd-options-s3access-role-configuration).

   1. (Opsional) Jika Anda ingin mengambil dan mengungkapkan sampel data sensitif dari objek S3 yang terpengaruh untuk akun Anda sendiri, konfigurasikan dan aktifkan pengaturan di Macie. Jika Anda ingin Macie mengambil peran IAM untuk mengambil sampel, mulailah dengan membuat dan mengonfigurasi peran IAM tambahan di akun Anda. Pastikan kebijakan kepercayaan dan izin untuk peran tambahan ini memenuhi semua persyaratan bagi Macie untuk mengambil peran tersebut. Kemudian konfigurasikan pengaturan di Macie dan tentukan nama peran tambahan ini. Untuk detail tentang persyaratan kebijakan untuk peran tersebut, lihat [topik berikutnya](#findings-retrieve-sd-options-s3access-role-configuration).

Untuk informasi tentang melakukan tugas-tugas ini, lihat[Mengkonfigurasi Macie untuk mengambil sampel data sensitif](findings-retrieve-sd-configure.md).

## Mengkonfigurasi peran IAM untuk mengakses objek S3 yang terpengaruh
<a name="findings-retrieve-sd-options-s3access-role-configuration"></a>

Untuk mengakses objek S3 yang terpengaruh dengan menggunakan peran IAM, mulailah dengan membuat dan mengonfigurasi peran yang mendelegasikan akses ke Amazon Macie. Pastikan kebijakan kepercayaan dan izin untuk peran tersebut memenuhi semua persyaratan bagi Macie untuk mengambil peran tersebut. Bagaimana Anda melakukan ini tergantung pada jenis akun Macie yang Anda miliki.

Bagian berikut memberikan rincian tentang kebijakan kepercayaan dan izin untuk dilampirkan ke peran IAM untuk setiap jenis akun Macie. Pilih bagian untuk jenis akun yang Anda miliki. 

**catatan**  
Jika Anda memiliki akun anggota di organisasi, Anda mungkin perlu membuat dan mengonfigurasi dua peran IAM untuk akun Anda:  
Untuk memungkinkan administrator Macie mengambil dan mengungkapkan sampel data sensitif dari objek S3 yang terpengaruh untuk akun Anda, buat dan konfigurasikan peran yang dapat diasumsikan oleh akun administrator Anda. Untuk detail ini, pilih bagian **akun anggota Macie**.
Untuk mengambil dan mengungkapkan sampel data sensitif dari objek S3 yang terpengaruh untuk akun Anda sendiri, buat dan konfigurasikan peran yang dapat diasumsikan oleh Macie. Untuk detail ini, pilih bagian **akun Standalone Macie**.
Sebelum Anda membuat dan mengonfigurasi peran IAM, bekerjalah dengan administrator Macie Anda untuk menentukan konfigurasi yang sesuai untuk akun Anda.

Untuk informasi mendetail tentang penggunaan IAM untuk membuat peran, lihat [Membuat peran menggunakan kebijakan kepercayaan khusus](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) di *Panduan AWS Identity and Access Management Pengguna*.

### Akun administrator Macie
<a name="findings-retrieve-sd-options-s3access-role-admin"></a>

Jika Anda adalah administrator Macie yang didelegasikan untuk organisasi, mulailah dengan menggunakan editor kebijakan IAM untuk membuat kebijakan izin untuk peran IAM. Kebijakan tersebut harus sebagai berikut.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RetrieveS3Objects",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "AssumeMacieRevealRoleForCrossAccountAccess",
            "Effect": "Allow",
            "Action": [
                "sts:AssumeRole"
            ],
            "Resource": "arn:aws:iam::*:role/IAMRoleName"
        }
    ]
}
```

------

Di *IAMRoleName* mana nama peran IAM untuk diasumsikan oleh Macie saat mengambil sampel data sensitif dari objek S3 yang terpengaruh untuk akun organisasi Anda. Ganti nilai ini dengan nama peran yang Anda buat untuk akun Anda, dan rencanakan untuk membuat akun anggota yang berlaku di organisasi Anda. Nama ini harus sama untuk akun administrator Macie Anda dan setiap akun anggota yang berlaku.

**catatan**  
Dalam kebijakan izin sebelumnya, `Resource` elemen dalam pernyataan pertama menggunakan karakter wildcard (). `*` Hal ini memungkinkan entitas IAM terlampir untuk mengambil objek dari semua bucket S3 yang dimiliki organisasi Anda. Untuk mengizinkan akses ini hanya untuk bucket tertentu, ganti karakter wildcard dengan Amazon Resource Name (ARN) dari setiap bucket. Misalnya, untuk mengizinkan akses hanya ke objek dalam bucket bernama *amzn-s3-demo-bucket1*, ubah elemen menjadi:  
`"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*"`  
Anda juga dapat membatasi akses ke objek dalam bucket S3 tertentu untuk masing-masing akun. Untuk melakukannya, tentukan bucket ARNs dalam `Resource` elemen kebijakan izin untuk peran IAM di setiap akun yang berlaku. Untuk informasi dan contoh selengkapnya, lihat [elemen kebijakan IAM JSON: Sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) di *AWS Identity and Access Management Panduan Pengguna*.

Setelah Anda membuat kebijakan izin untuk peran IAM, buat dan konfigurasikan peran tersebut. Jika Anda melakukannya dengan menggunakan konsol IAM, pilih **Kebijakan kepercayaan khusus** sebagai **jenis entitas tepercaya** untuk peran tersebut. Untuk kebijakan kepercayaan yang mendefinisikan entitas tepercaya untuk peran tersebut, tentukan hal berikut.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowMacieReveal",
            "Effect": "Allow",
            "Principal": {
                "Service": "reveal-samples.macie.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333"
                }
            }
        }
    ]
}
```

------

Di *111122223333* mana ID akun untuk Anda Akun AWS. Ganti nilai ini dengan ID akun 12 digit Anda.

Dalam kebijakan kepercayaan sebelumnya:
+ `Principal`Elemen menentukan prinsip layanan yang digunakan Macie saat mengambil sampel data sensitif dari objek S3 yang terpengaruh,. `reveal-samples.macie.amazonaws.com`
+ `Action`Elemen menentukan tindakan yang diizinkan untuk dilakukan oleh prinsipal layanan, [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)pengoperasian AWS Security Token Service (AWS STS) API.
+ `Condition`Elemen mendefinisikan kondisi yang menggunakan [aws: SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) global condition context key. Kondisi ini menentukan akun mana yang dapat melakukan tindakan yang ditentukan. Dalam hal ini, ini memungkinkan Macie untuk mengambil peran hanya untuk akun yang ditentukan. Kondisi ini membantu mencegah Macie digunakan sebagai [wakil yang bingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) selama transaksi dengan AWS STS.

Setelah Anda menentukan kebijakan kepercayaan untuk peran IAM, lampirkan kebijakan izin ke peran tersebut. Ini harus menjadi kebijakan izin yang Anda buat sebelum Anda mulai membuat peran. Kemudian selesaikan langkah-langkah yang tersisa di IAM untuk menyelesaikan pembuatan dan konfigurasi peran. Setelah selesai, [konfigurasikan dan aktifkan pengaturan di Macie](findings-retrieve-sd-configure.md).

### Akun anggota Macie
<a name="findings-retrieve-sd-options-s3access-role-member"></a>

Jika Anda memiliki akun anggota Macie dan Anda ingin mengizinkan administrator Macie untuk mengambil dan mengungkapkan sampel data sensitif dari objek S3 yang terpengaruh untuk akun Anda, mulailah dengan meminta administrator Macie Anda untuk informasi berikut:
+ Nama peran IAM untuk dibuat. Nama harus sama untuk akun Anda dan akun administrator Macie untuk organisasi Anda.
+ Nama kebijakan izin IAM untuk dilampirkan ke peran.
+ ID eksternal yang akan ditentukan dalam kebijakan kepercayaan untuk peran tersebut. ID ini harus berupa ID eksternal yang dihasilkan Macie untuk konfigurasi administrator Macie Anda. 

Setelah Anda menerima informasi ini, gunakan editor kebijakan IAM untuk membuat kebijakan izin untuk peran tersebut. Kebijakan tersebut harus sebagai berikut.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RetrieveS3Objects",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}
```

------

Kebijakan izin sebelumnya memungkinkan entitas IAM terlampir untuk mengambil objek dari semua bucket S3 untuk akun Anda. Ini karena `Resource` elemen dalam kebijakan menggunakan karakter wildcard (`*`). Untuk mengizinkan akses ini hanya untuk bucket tertentu, ganti karakter wildcard dengan Amazon Resource Name (ARN) dari setiap bucket. Misalnya, untuk mengizinkan akses hanya ke objek dalam bucket bernama *amzn-s3-demo-bucket2*, ubah elemen menjadi:

`"Resource": "arn:aws:s3:::amzn-s3-demo-bucket2/*"`

Untuk informasi dan contoh selengkapnya, lihat [elemen kebijakan IAM JSON: Sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) di *AWS Identity and Access Management Panduan Pengguna*.

Setelah Anda membuat kebijakan izin untuk peran IAM, buat peran tersebut. Jika Anda membuat peran menggunakan konsol IAM, pilih **Kebijakan kepercayaan khusus** sebagai **jenis entitas tepercaya** untuk peran tersebut. Untuk kebijakan kepercayaan yang mendefinisikan entitas tepercaya untuk peran tersebut, tentukan hal berikut.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowMacieAdminRevealRoleForCrossAccountAccess",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/IAMRoleName"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:ExternalId": "externalID",
                    "aws:PrincipalOrgID": "${aws:ResourceOrgID}"
                }
            }
        }
    ]
}
```

------

Dalam kebijakan sebelumnya, ganti nilai placeholder dengan nilai yang benar untuk lingkungan Anda AWS , di mana:
+ *111122223333*adalah ID akun 12 digit untuk akun administrator Macie Anda.
+ *IAMRoleName*adalah nama peran IAM di akun administrator Macie Anda. Itu harus menjadi nama yang Anda terima dari administrator Macie Anda.
+ *externalID*adalah ID eksternal yang Anda terima dari administrator Macie Anda.

Secara umum, kebijakan kepercayaan memungkinkan administrator Macie Anda untuk mengambil peran untuk mengambil dan mengungkapkan sampel data sensitif dari objek S3 yang terpengaruh untuk akun Anda. `Principal`Elemen menentukan ARN peran IAM di akun administrator Macie Anda. Ini adalah peran yang digunakan administrator Macie Anda untuk mengambil dan mengungkapkan sampel data sensitif untuk akun organisasi Anda. `Condition`Blok mendefinisikan dua kondisi yang selanjutnya menentukan siapa yang dapat mengambil peran:
+ Kondisi pertama menentukan ID eksternal yang unik untuk konfigurasi organisasi Anda. Untuk mempelajari lebih lanjut tentang eksternal IDs, lihat [Akses ke Akun AWS dimiliki oleh pihak ketiga](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) di *Panduan AWS Identity and Access Management Pengguna*.
+ Kondisi kedua menggunakan kunci konteks kondisi global [aws: PrincipalOrg ID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid). Nilai untuk kunci adalah variabel dinamis yang mewakili pengidentifikasi unik untuk organisasi di AWS Organizations (`${aws:ResourceOrgID}`). Kondisi ini membatasi akses hanya ke akun-akun yang merupakan bagian dari organisasi yang sama di AWS Organizations. Jika Anda bergabung dengan organisasi Anda dengan menerima undangan di Macie, hapus ketentuan ini dari kebijakan.

Setelah Anda menentukan kebijakan kepercayaan untuk peran IAM, lampirkan kebijakan izin ke peran tersebut. Ini harus menjadi kebijakan izin yang Anda buat sebelum Anda mulai membuat peran. Kemudian selesaikan langkah-langkah yang tersisa di IAM untuk menyelesaikan pembuatan dan konfigurasi peran. Jangan mengkonfigurasi dan memasukkan pengaturan untuk peran di Macie.

### Akun Macie mandiri
<a name="findings-retrieve-sd-options-s3access-role-standalone"></a>

Jika Anda memiliki akun Macie mandiri atau akun anggota Macie dan Anda ingin mengambil dan mengungkapkan sampel data sensitif dari objek S3 yang terpengaruh untuk akun Anda sendiri, mulailah dengan menggunakan editor kebijakan IAM untuk membuat kebijakan izin untuk peran IAM. Kebijakan tersebut harus sebagai berikut.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RetrieveS3Objects",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}
```

------

Dalam kebijakan izin sebelumnya, `Resource` elemen menggunakan karakter wildcard (). `*` Hal ini memungkinkan entitas IAM terlampir untuk mengambil objek dari semua bucket S3 untuk akun Anda. Untuk mengizinkan akses ini hanya untuk bucket tertentu, ganti karakter wildcard dengan Amazon Resource Name (ARN) dari setiap bucket. Misalnya, untuk mengizinkan akses hanya ke objek dalam bucket bernama *amzn-s3-demo-bucket3*, ubah elemen menjadi:

`"Resource": "arn:aws:s3:::amzn-s3-demo-bucket3/*"`

Untuk informasi dan contoh selengkapnya, lihat [elemen kebijakan IAM JSON: Sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) di *AWS Identity and Access Management Panduan Pengguna*. 

Setelah Anda membuat kebijakan izin untuk peran IAM, buat peran tersebut. Jika Anda membuat peran menggunakan konsol IAM, pilih **Kebijakan kepercayaan khusus** sebagai **jenis entitas tepercaya** untuk peran tersebut. Untuk kebijakan kepercayaan yang mendefinisikan entitas tepercaya untuk peran tersebut, tentukan hal berikut.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowMacieReveal",
            "Effect": "Allow",
            "Principal": {
                "Service": "reveal-samples.macie.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "999999999999"
                }
            }
        }
    ]
}
```

------

Di *999999999999* mana ID akun untuk Anda Akun AWS. Ganti nilai ini dengan ID akun 12 digit Anda.

Dalam kebijakan kepercayaan sebelumnya:
+ `Principal`Elemen menentukan prinsip layanan yang digunakan Macie saat mengambil dan mengungkapkan sampel data sensitif dari objek S3 yang terpengaruh,. `reveal-samples.macie.amazonaws.com`
+ `Action`Elemen menentukan tindakan yang diizinkan untuk dilakukan oleh prinsipal layanan, [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)pengoperasian AWS Security Token Service (AWS STS) API.
+ `Condition`Elemen mendefinisikan kondisi yang menggunakan [aws: SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) global condition context key. Kondisi ini menentukan akun mana yang dapat melakukan tindakan yang ditentukan. Hal ini memungkinkan Macie untuk mengambil peran hanya untuk akun yang ditentukan. Kondisi ini membantu mencegah Macie digunakan sebagai [wakil yang bingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) selama transaksi dengan AWS STS.

Setelah Anda menentukan kebijakan kepercayaan untuk peran IAM, lampirkan kebijakan izin ke peran tersebut. Ini harus menjadi kebijakan izin yang Anda buat sebelum Anda mulai membuat peran. Kemudian selesaikan langkah-langkah yang tersisa di IAM untuk menyelesaikan pembuatan dan konfigurasi peran. Setelah selesai, [konfigurasikan dan aktifkan pengaturan di Macie](findings-retrieve-sd-configure.md).

## Mendekripsi objek S3 yang terpengaruh
<a name="findings-retrieve-sd-options-decrypt"></a>

Amazon S3 mendukung beberapa opsi enkripsi untuk objek S3. Untuk sebagian besar opsi ini, tidak ada sumber daya tambahan atau izin yang diperlukan untuk pengguna IAM atau peran untuk mendekripsi dan mengambil sampel data sensitif dari objek yang terpengaruh. Ini adalah kasus untuk objek yang dienkripsi menggunakan enkripsi sisi server dengan kunci terkelola Amazon S3 atau terkelola. AWS AWS KMS key

Namun, jika objek S3 dienkripsi dengan pelanggan yang dikelola AWS KMS key, izin tambahan diperlukan untuk mendekripsi dan mengambil sampel data sensitif dari objek. Lebih khusus lagi, kebijakan kunci untuk kunci KMS harus memungkinkan pengguna atau peran IAM untuk melakukan tindakan. `kms:Decrypt` Jika tidak, terjadi kesalahan dan Amazon Macie tidak mengambil sampel apa pun dari objek. *Untuk mempelajari cara menyediakan akses ini bagi pengguna IAM, lihat [akses kunci KMS dan izin](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html) di Panduan Pengembang AWS Key Management Service .*

Cara menyediakan akses ini untuk peran IAM tergantung pada apakah akun yang memiliki AWS KMS key juga memiliki peran tersebut:
+ Jika akun yang sama memiliki kunci KMS dan peran, pengguna akun harus memperbarui kebijakan kunci. 
+ Jika satu akun memiliki kunci KMS dan akun yang berbeda memiliki peran tersebut, pengguna akun yang memiliki kunci harus mengizinkan akses lintas akun ke kunci tersebut.

Topik ini menjelaskan cara melakukan tugas ini untuk peran IAM yang Anda buat untuk mengambil sampel data sensitif dari objek S3. Ini juga memberikan contoh untuk kedua skenario. Untuk informasi tentang mengizinkan akses ke pelanggan yang dikelola AWS KMS keys untuk skenario lain, lihat [akses kunci KMS dan izin di Panduan AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html) *Pengembang*.

### Mengizinkan akses akun yang sama ke kunci yang dikelola pelanggan
<a name="findings-retrieve-sd-options-decrypt-same-account"></a>

Jika akun yang sama memiliki peran AWS KMS key dan IAM, pengguna akun harus menambahkan pernyataan ke kebijakan kunci. Pernyataan tambahan harus memungkinkan peran IAM untuk mendekripsi data dengan menggunakan kunci. Untuk informasi detail tentang pembaruan kebijakan kunci, lihat [Mengganti kebijakan kunci](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) dalam *Panduan Developer AWS Key Management Service *.

Dalam pernyataan:
+ `Principal`Elemen harus menentukan Nama Sumber Daya Amazon (ARN) dari peran IAM.
+ Array `Action` harus menentukan tindakan `kms:Decrypt`. Ini adalah satu-satunya AWS KMS tindakan yang peran IAM harus diizinkan untuk melakukan dekripsi objek yang dienkripsi dengan kunci.

Berikut ini adalah contoh pernyataan untuk ditambahkan ke kebijakan untuk kunci KMS. 

```
{
    "Sid": "Allow the Macie reveal role to use the key",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::123456789012:role/IAMRoleName"
    },
    "Action": [
        "kms:Decrypt"
    ],
    "Resource": "*"
}
```

Dalam contoh sebelumnya: 
+ `AWS`Bidang dalam `Principal` elemen menentukan ARN dari peran IAM dalam akun. Hal ini memungkinkan peran untuk melakukan tindakan yang ditentukan oleh pernyataan kebijakan. *123456789012*adalah contoh ID akun. Ganti nilai ini dengan ID akun untuk akun yang memiliki peran dan kunci KMS. *IAMRoleName*adalah nama contoh. Ganti nilai ini dengan nama peran IAM di akun.
+ `Action`Array menentukan tindakan yang diizinkan untuk dilakukan oleh peran IAM menggunakan kunci KMS — mendekripsi ciphertext yang dienkripsi dengan kunci.

Tempat Anda menambahkan pernyataan ini ke kebijakan kunci bergantung pada struktur dan elemen yang saat ini berisi kebijakan. Ketika Anda menambahkan pernyataan, pastikan bahwa sintaksnya valid. Kebijakan kunci menggunakan format JSON. Ini berarti bahwa Anda juga harus menambahkan koma sebelum atau setelah pernyataan, tergantung pada tempat Anda menambahkan pernyataan ke kebijakan. 

### Mengizinkan akses lintas akun ke kunci yang dikelola pelanggan
<a name="findings-retrieve-sd-options-decrypt-cross-account"></a>

Jika satu akun memiliki AWS KMS key (*pemilik kunci*) dan akun yang berbeda memiliki peran IAM (*pemilik peran), pemilik* kunci harus memberi pemilik peran akses lintas akun ke kunci tersebut. Salah satu cara untuk melakukannya adalah dengan menggunakan hibah. *Hibah* adalah instrumen kebijakan yang memungkinkan AWS prinsipal untuk menggunakan kunci KMS dalam operasi kriptografi jika kondisi yang ditentukan oleh hibah terpenuhi. Untuk mempelajari tentang hibah, lihat [Hibah AWS KMS di Panduan AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) *Pengembang*.

Dengan pendekatan ini, pemilik kunci pertama-tama memastikan bahwa kebijakan kunci memungkinkan pemilik peran untuk membuat hibah untuk kunci tersebut. Pemilik peran kemudian membuat hibah untuk kunci tersebut. Hibah tersebut mendelegasikan izin yang relevan ke peran IAM di akun mereka. Hal ini memungkinkan peran untuk mendekripsi objek S3 yang dienkripsi dengan kunci.

**Langkah 1: Perbarui kebijakan utama**  
Dalam kebijakan kunci, pemilik kunci harus memastikan bahwa kebijakan tersebut menyertakan pernyataan yang memungkinkan pemilik peran untuk membuat hibah untuk peran IAM di akun mereka (pemilik peran). Dalam pernyataan ini, `Principal` elemen harus menentukan ARN dari akun pemilik peran. Array `Action` harus menentukan tindakan `kms:CreateGrant`. Sebuah `Condition` blok dapat memfilter akses ke tindakan yang ditentukan. Berikut ini adalah contoh pernyataan ini dalam kebijakan untuk kunci KMS.

```
{
    "Sid": "Allow a role in an account to create a grant",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:root"
    },
    "Action": [
        "kms:CreateGrant"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:GranteePrincipal": "arn:aws:iam::111122223333:role/IAMRoleName"
        },
        "ForAllValues:StringEquals": {
            "kms:GrantOperations": "Decrypt"
        }
    }
}
```

Dalam contoh sebelumnya:
+ `AWS`Bidang dalam `Principal` elemen menentukan ARN dari akun pemilik peran. Ini memungkinkan akun untuk melakukan tindakan yang ditentukan oleh pernyataan kebijakan. *111122223333*adalah contoh ID akun. Ganti nilai ini dengan ID akun untuk akun pemilik peran.
+ `Action`Array menentukan tindakan yang diizinkan oleh pemilik peran pada kunci KMS—buat hibah untuk kunci tersebut.
+ `Condition`Blok menggunakan [operator kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) dan kunci kondisi berikut untuk memfilter akses ke tindakan yang diizinkan dilakukan oleh pemilik peran pada kunci KMS:
  + [kms: GranteePrincipal](https://docs.aws.amazon.com/kms/latest/developerguide/conditions-kms.html#conditions-kms-grantee-principal) — Kondisi ini memungkinkan pemilik peran untuk membuat hibah hanya untuk pokok penerima hibah yang ditentukan, yang merupakan ARN dari peran IAM di akun mereka. Dalam ARN itu, *111122223333* adalah contoh ID akun. Ganti nilai ini dengan ID akun untuk akun pemilik peran. *IAMRoleName*adalah nama contoh. Ganti nilai ini dengan nama peran IAM di akun pemilik peran.
  + [kms: GrantOperations](https://docs.aws.amazon.com/kms/latest/developerguide/conditions-kms.html#conditions-kms-grant-operations) — Kondisi ini memungkinkan pemilik peran untuk membuat hibah hanya untuk mendelegasikan izin untuk melakukan AWS KMS `Decrypt` tindakan (mendekripsi ciphertext yang dienkripsi dengan kunci). Ini mencegah pemilik peran membuat hibah yang mendelegasikan izin untuk melakukan tindakan lain pada kunci KMS. `Decrypt`Tindakan adalah satu-satunya AWS KMS tindakan yang harus diizinkan untuk dilakukan peran IAM untuk mendekripsi objek yang dienkripsi dengan kunci.

Di mana pemilik kunci menambahkan pernyataan ini ke kebijakan kunci tergantung pada struktur dan elemen yang saat ini terkandung dalam kebijakan tersebut. Ketika pemilik kunci menambahkan pernyataan, mereka harus memastikan bahwa sintaksnya valid. Kebijakan kunci menggunakan format JSON. Ini berarti bahwa pemilik kunci juga harus menambahkan koma sebelum atau setelah pernyataan, tergantung pada tempat mereka menambahkan pernyataan ke kebijakan. Untuk informasi detail tentang pembaruan kebijakan kunci, lihat [Mengganti kebijakan kunci](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) dalam *Panduan Developer AWS Key Management Service *.

**Langkah 2: Buat hibah**  
Setelah pemilik kunci memperbarui kebijakan kunci seperlunya, pemilik peran membuat hibah untuk kunci tersebut. Hibah mendelegasikan izin yang relevan ke peran IAM di akun mereka (pemilik peran). Sebelum pemilik peran membuat hibah, mereka harus memverifikasi bahwa mereka diizinkan untuk melakukan `kms:CreateGrant` tindakan. Tindakan ini memungkinkan mereka untuk menambahkan hibah ke pelanggan yang sudah ada dan dikelola AWS KMS key.

Untuk membuat hibah, pemilik peran dapat menggunakan [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)pengoperasian AWS Key Management Service API. Saat pemilik peran membuat hibah, mereka harus menentukan nilai berikut untuk parameter yang diperlukan:
+ `KeyId`— ARN dari kunci KMS. Untuk akses lintas akun ke kunci KMS, nilai ini harus berupa ARN. Tidak bisa menggunakan kunci ID.
+ `GranteePrincipal`— ARN dari peran IAM dalam akun mereka. Nilai ini seharusnya`arn:aws:iam::111122223333:role/IAMRoleName`, di *111122223333* mana ID akun untuk akun pemilik peran dan *IAMRoleName* merupakan nama peran.
+ `Operations`— Tindakan AWS KMS dekripsi ()`Decrypt`. Ini adalah satu-satunya AWS KMS tindakan yang peran IAM harus diizinkan untuk melakukan dekripsi objek yang dienkripsi dengan kunci KMS.

Jika pemilik peran menggunakan AWS Command Line Interface (AWS CLI), mereka dapat menjalankan perintah [create-grant](https://docs.aws.amazon.com/cli/latest/reference/kms/create-grant.html) untuk membuat hibah. Contoh berikut menunjukkan caranya. Contoh ini diformat untuk Microsoft Windows dan menggunakan karakter kelanjutan baris caret (^) untuk meningkatkan keterbacaan.

```
C:\> aws kms create-grant ^
--key-id arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab ^
--grantee-principal arn:aws:iam::111122223333:role/IAMRoleName ^
--operations "Decrypt"
```

Di mana:
+ `key-id`menentukan ARN dari kunci KMS untuk menerapkan hibah ke.
+ `grantee-principal`menentukan ARN dari peran IAM yang diizinkan untuk melakukan tindakan yang ditentukan oleh hibah. Nilai ini harus sesuai dengan ARN yang ditentukan oleh `kms:GranteePrincipal` kondisi dalam kebijakan kunci.
+ `operations`menentukan tindakan bahwa hibah memungkinkan prinsipal yang ditentukan untuk melakukan—mendekripsi ciphertext yang dienkripsi dengan kunci.

Jika perintah berjalan dengan berhasil, Anda menerima output yang mirip dengan berikut ini.

```
{
    "GrantToken": "<grant token>",
    "GrantId": "1a2b3c4d2f5e69f440bae30eaec9570bb1fb7358824f9ddfa1aa5a0dab1a59b2"
}
```

Yang mana `GrantToken` merupakan string yang unik, non-rahasia, variabel-panjang, base64-encoded yang mewakili hibah yang diciptakan, dan `GrantId` adalah pengidentifikasi unik untuk hibah.

# Mengkonfigurasi Macie untuk mengambil sampel data sensitif
<a name="findings-retrieve-sd-configure"></a>

Anda dapat mengonfigurasi dan menggunakan Amazon Macie secara opsional untuk mengambil dan mengungkapkan sampel data sensitif yang dilaporkan Macie dalam temuan individual. Sampel dapat membantu Anda memverifikasi sifat data sensitif yang ditemukan Macie. Mereka juga dapat membantu Anda menyesuaikan penyelidikan Anda terhadap objek dan bucket Amazon Simple Storage Service (Amazon S3) yang terpengaruh. Anda dapat mengambil dan mengungkapkan sampel data sensitif di semua Wilayah AWS tempat Macie saat ini tersedia kecuali Wilayah Asia Pasifik (Osaka) dan Israel (Tel Aviv).

Saat Anda mengambil dan mengungkapkan sampel data sensitif untuk sebuah temuan, Macie menggunakan data dalam hasil penemuan data sensitif yang sesuai untuk menemukan kejadian data sensitif di objek S3 yang terpengaruh. Macie kemudian mengekstrak sampel kejadian tersebut dari objek yang terpengaruh. Macie mengenkripsi data yang diekstrak dengan kunci AWS Key Management Service (AWS KMS) yang Anda tentukan, menyimpan sementara data terenkripsi dalam cache, dan mengembalikan data dalam hasil Anda untuk temuan. Segera setelah ekstraksi dan enkripsi, Macie secara permanen menghapus data dari cache kecuali retensi tambahan sementara diperlukan untuk menyelesaikan masalah operasional.

Untuk mengambil dan mengungkapkan sampel data sensitif untuk temuan, Anda harus terlebih dahulu mengonfigurasi dan mengaktifkan pengaturan untuk akun Macie Anda. Anda juga perlu mengonfigurasi sumber daya dan izin pendukung untuk akun Anda. Topik di bagian ini memandu Anda melalui proses konfigurasi Macie untuk mengambil dan mengungkapkan sampel data sensitif, dan mengelola status konfigurasi untuk akun Anda.

**Topics**
+ [Sebelum Anda mulai](#findings-retrieve-sd-configure-prereqs)
+ [Mengkonfigurasi dan mengaktifkan pengaturan Macie](#findings-retrieve-sd-configure-enable)
+ [Menonaktifkan pengaturan Macie](#findings-retrieve-sd-configure-manage)

**Tip**  
Untuk rekomendasi dan contoh kebijakan yang mungkin Anda gunakan untuk mengontrol akses ke fungsi ini, lihat posting blog berikut di *Blog AWS Keamanan*: [Cara menggunakan Amazon Macie untuk melihat pratinjau data sensitif di bucket S3](https://aws.amazon.com/blogs/security/how-to-use-amazon-macie-to-preview-sensitive-data-in-s3-buckets/).

## Sebelum Anda mulai
<a name="findings-retrieve-sd-configure-prereqs"></a>

Sebelum Anda mengonfigurasi Amazon Macie untuk mengambil dan mengungkapkan sampel data sensitif untuk temuan, selesaikan tugas berikut untuk memastikan bahwa Anda memiliki sumber daya dan izin yang Anda butuhkan.

**Topics**
+ [Langkah 1: Konfigurasikan repositori untuk hasil penemuan data sensitif](#findings-retrieve-sd-configure-sddr)
+ [Langkah 2: Tentukan cara mengakses objek S3 yang terpengaruh](#findings-retrieve-sd-configure-s3access)
+ [Langkah 3: Konfigurasikan AWS KMS key](#findings-retrieve-sd-configure-key)
+ [Langkah 4: Verifikasi izin Anda](#findings-retrieve-sd-configure-permissions)

Tugas-tugas ini bersifat opsional jika Anda sudah mengonfigurasi Macie untuk mengambil dan mengungkapkan sampel data sensitif dan hanya ingin mengubah pengaturan konfigurasi Anda.

### Langkah 1: Konfigurasikan repositori untuk hasil penemuan data sensitif
<a name="findings-retrieve-sd-configure-sddr"></a>

Saat Anda mengambil dan mengungkapkan sampel data sensitif untuk sebuah temuan, Macie menggunakan data dalam hasil penemuan data sensitif yang sesuai untuk menemukan kejadian data sensitif di objek S3 yang terpengaruh. Oleh karena itu, penting untuk memverifikasi bahwa Anda mengonfigurasi repositori untuk hasil penemuan data sensitif Anda. Jika tidak, Macie tidak akan dapat menemukan sampel data sensitif yang ingin Anda ambil dan ungkapkan.

Untuk menentukan apakah Anda telah mengonfigurasi repositori ini untuk akun Anda, Anda dapat menggunakan konsol Amazon Macie: **pilih Hasil penemuan** (**di bawah** Pengaturan) di panel navigasi. Untuk melakukan ini secara terprogram, gunakan [GetClassificationExportConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/classification-export-configuration.html)pengoperasian Amazon Macie API. Untuk mempelajari lebih lanjut tentang hasil penemuan data sensitif dan cara mengonfigurasi repositori ini, lihat. [Menyimpan dan mempertahankan hasil penemuan data sensitif](discovery-results-repository-s3.md)

### Langkah 2: Tentukan cara mengakses objek S3 yang terpengaruh
<a name="findings-retrieve-sd-configure-s3access"></a>

Untuk mengakses objek S3 yang terpengaruh dan mengambil sampel data sensitif darinya, Anda memiliki dua opsi. Anda dapat mengonfigurasi Macie untuk menggunakan kredensil pengguna AWS Identity and Access Management (IAM) Anda. Atau Anda dapat mengonfigurasi Macie untuk mengambil peran IAM yang mendelegasikan akses ke Macie. Anda dapat menggunakan konfigurasi dengan semua jenis akun Macie—akun administrator Macie yang didelegasikan untuk organisasi, akun anggota Macie di organisasi, atau akun Macie mandiri. Sebelum Anda mengonfigurasi pengaturan di Macie, tentukan metode akses mana yang ingin Anda gunakan. Untuk detail tentang opsi dan persyaratan untuk setiap metode, lihat[Opsi konfigurasi untuk mengambil sampel](findings-retrieve-sd-options.md).

Jika Anda berencana untuk menggunakan peran IAM, buat dan konfigurasikan peran tersebut sebelum Anda mengonfigurasi pengaturan di Macie. Pastikan juga bahwa kebijakan kepercayaan dan izin untuk peran tersebut memenuhi semua persyaratan bagi Macie untuk mengambil peran tersebut. Jika akun Anda adalah bagian dari organisasi yang mengelola beberapa akun Macie secara terpusat, bekerjalah dengan administrator Macie Anda untuk terlebih dahulu menentukan apakah dan cara mengonfigurasi peran untuk akun Anda.

### Langkah 3: Konfigurasikan AWS KMS key
<a name="findings-retrieve-sd-configure-key"></a>

Saat Anda mengambil dan mengungkapkan sampel data sensitif untuk temuan, Macie mengenkripsi sampel dengan kunci AWS Key Management Service (AWS KMS) yang Anda tentukan. Oleh karena itu, Anda perlu menentukan mana yang ingin AWS KMS key Anda gunakan untuk mengenkripsi sampel. Kuncinya dapat berupa kunci KMS yang ada dari akun Anda sendiri, atau kunci KMS yang ada yang dimiliki akun lain. Jika Anda ingin menggunakan kunci yang dimiliki akun lain, dapatkan Nama Sumber Daya Amazon (ARN) dari kunci tersebut. Anda harus menentukan ARN ini ketika Anda memasukkan pengaturan konfigurasi di Macie.

Kunci KMS harus berupa kunci enkripsi simetris yang dikelola pelanggan. Ini juga harus berupa kunci wilayah Tunggal yang diaktifkan Wilayah AWS sama dengan akun Macie Anda. Kunci KMS dapat berada di toko kunci eksternal. Namun, kuncinya mungkin lebih lambat dan kurang dapat diandalkan daripada kunci yang dikelola sepenuhnya di dalamnya AWS KMS. Jika latensi atau masalah ketersediaan mencegah Macie mengenkripsi sampel data sensitif yang ingin Anda ambil dan ungkapkan, kesalahan terjadi dan Macie tidak mengembalikan sampel apa pun untuk temuan tersebut.

Selain itu, kebijakan kunci untuk kunci harus mengizinkan prinsipal yang sesuai (peran IAM, pengguna IAM, atau Akun AWS) untuk melakukan tindakan berikut:
+ `kms:Decrypt`
+ `kms:DescribeKey`
+ `kms:GenerateDataKey`

**penting**  
Sebagai lapisan tambahan kontrol akses, kami menyarankan Anda membuat kunci KMS khusus untuk enkripsi sampel data sensitif yang diambil, dan membatasi penggunaan kunci hanya untuk prinsipal yang harus diizinkan untuk mengambil dan mengungkapkan sampel data sensitif. Jika pengguna tidak diizinkan untuk melakukan tindakan sebelumnya untuk kunci, Macie menolak permintaan mereka untuk mengambil dan mengungkapkan sampel data sensitif. Macie tidak mengembalikan sampel apa pun untuk temuan itu.

*Untuk informasi tentang membuat dan mengonfigurasi kunci KMS, lihat [Membuat kunci KMS di Panduan Pengembang](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)AWS Key Management Service .* Untuk informasi tentang penggunaan kebijakan utama untuk mengelola akses ke kunci KMS, lihat [Kebijakan utama AWS KMS di](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) *Panduan AWS Key Management Service Pengembang*.

### Langkah 4: Verifikasi izin Anda
<a name="findings-retrieve-sd-configure-permissions"></a>

Sebelum Anda mengonfigurasi pengaturan di Macie, verifikasi juga bahwa Anda memiliki izin yang Anda butuhkan. Untuk memverifikasi izin Anda, gunakan AWS Identity and Access Management (IAM) untuk meninjau kebijakan IAM yang dilampirkan pada identitas IAM Anda. Kemudian bandingkan informasi dalam kebijakan tersebut dengan daftar tindakan berikut yang harus Anda lakukan.

**Amazon Macie**  
Untuk Macie, verifikasi bahwa Anda diizinkan untuk melakukan tindakan berikut:  
+ `macie2:GetMacieSession`
+ `macie2:UpdateRevealConfiguration`
Tindakan pertama memungkinkan Anda mengakses akun Macie Anda. Tindakan kedua memungkinkan Anda mengubah pengaturan konfigurasi untuk mengambil dan mengungkapkan sampel data sensitif. Ini termasuk mengaktifkan dan menonaktifkan konfigurasi untuk akun Anda.  
Secara opsional, verifikasi bahwa Anda juga diizinkan untuk melakukan `macie2:GetRevealConfiguration` tindakan. Tindakan ini memungkinkan Anda untuk mengambil pengaturan konfigurasi Anda saat ini dan status konfigurasi saat ini untuk akun Anda.

**AWS KMS**  
Jika Anda berencana menggunakan konsol Amazon Macie untuk masuk ke pengaturan konfigurasi, pastikan juga bahwa Anda diizinkan melakukan tindakan AWS Key Management Service (AWS KMS) berikut:  
+ `kms:DescribeKey`
+ `kms:ListAliases`
Tindakan ini memungkinkan Anda untuk mengambil informasi tentang AWS KMS keys untuk akun Anda. Anda kemudian dapat memilih salah satu tombol ini ketika Anda memasukkan pengaturan.

**IAM**  
Jika Anda berencana mengonfigurasi Macie untuk mengambil peran IAM untuk mengambil dan mengungkapkan sampel data sensitif, pastikan juga bahwa Anda diizinkan melakukan tindakan IAM berikut:. `iam:PassRole` Tindakan ini memungkinkan Anda untuk meneruskan peran ke Macie, yang pada gilirannya memungkinkan Macie untuk mengambil peran tersebut. Saat Anda memasukkan pengaturan konfigurasi untuk akun Anda, Macie juga dapat memverifikasi bahwa peran tersebut ada di akun Anda dan dikonfigurasi dengan benar.

Jika Anda tidak diizinkan untuk melakukan tindakan yang diperlukan, mintalah bantuan AWS administrator Anda.

## Mengkonfigurasi dan mengaktifkan pengaturan Macie
<a name="findings-retrieve-sd-configure-enable"></a>

Setelah Anda memverifikasi bahwa Anda memiliki sumber daya dan izin yang Anda butuhkan, Anda dapat mengonfigurasi pengaturan di Amazon Macie dan mengaktifkan konfigurasi untuk akun Anda.

Jika akun Anda adalah bagian dari organisasi yang mengelola beberapa akun Macie secara terpusat, perhatikan hal berikut sebelum Anda mengonfigurasi atau selanjutnya mengubah pengaturan untuk akun Anda:
+ Jika Anda memiliki akun anggota, bekerjalah dengan administrator Macie Anda untuk menentukan apakah dan cara mengonfigurasi pengaturan untuk akun Anda. Administrator Macie Anda dapat membantu Anda menentukan pengaturan konfigurasi yang benar untuk akun Anda.
+ Jika Anda memiliki akun administrator Macie dan mengubah pengaturan untuk mengakses objek S3 yang terpengaruh, perubahan dapat memengaruhi akun dan sumber daya lain untuk organisasi Anda. Ini tergantung pada apakah Macie saat ini dikonfigurasi untuk mengambil peran AWS Identity and Access Management (IAM) untuk mengambil sampel data sensitif. Jika ya dan Anda mengkonfigurasi ulang Macie untuk menggunakan kredensil pengguna IAM, Macie secara permanen menghapus pengaturan yang ada untuk peran IAM—nama peran dan ID eksternal untuk konfigurasi Anda. Jika organisasi Anda kemudian memilih untuk menggunakan peran IAM lagi, Anda harus menentukan ID eksternal baru dalam kebijakan kepercayaan untuk peran di setiap akun anggota yang berlaku.

Untuk detail tentang opsi konfigurasi dan persyaratan untuk salah satu jenis akun, lihat[Opsi konfigurasi untuk mengambil sampel](findings-retrieve-sd-options.md).

Untuk mengonfigurasi pengaturan di Macie dan mengaktifkan konfigurasi untuk akun Anda, Anda dapat menggunakan konsol Amazon Macie atau Amazon Macie API.

------
#### [ Console ]

Ikuti langkah-langkah ini untuk mengonfigurasi dan mengaktifkan pengaturan dengan menggunakan konsol Amazon Macie.

**Untuk mengkonfigurasi dan mengaktifkan pengaturan Macie**

1. Buka konsol Amazon Macie di. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Dengan menggunakan Wilayah AWS pemilih di sudut kanan atas halaman, pilih Wilayah di mana Anda ingin mengkonfigurasi dan mengaktifkan Macie untuk mengambil dan mengungkapkan sampel data sensitif.

1. Di panel navigasi, di bawah **Pengaturan**, pilih **Reveal samples**.

1. Di bagian **Pengaturan**, pilih **Edit**.

1. Untuk **Status**, pilih **Aktifkan**.

1. Di bawah **Access**, tentukan metode akses dan pengaturan yang ingin Anda gunakan saat mengambil sampel data sensitif dari objek S3 yang terpengaruh:
   + Untuk menggunakan peran IAM yang mendelegasikan akses ke Macie, pilih **Asumsikan peran** IAM. Jika Anda memilih opsi ini, Macie mengambil sampel dengan mengasumsikan peran IAM yang Anda buat dan konfigurasikan di Anda. Akun AWS Di kotak **Nama peran**, masukkan nama peran.
   + Untuk menggunakan kredensil pengguna IAM yang meminta sampel, pilih **Gunakan kredenal pengguna IAM**. Jika Anda memilih opsi ini, setiap pengguna akun Anda menggunakan identitas IAM masing-masing untuk mengambil sampel.

1. Di bawah **Enkripsi**, tentukan AWS KMS key yang ingin Anda gunakan untuk mengenkripsi sampel data sensitif yang diambil:
   + Untuk menggunakan kunci KMS dari akun Anda sendiri, pilih **Pilih kunci dari akun Anda**. Kemudian, dalam **AWS KMS key**daftar, pilih kunci yang akan digunakan. Daftar ini menampilkan kunci KMS enkripsi simetris yang ada untuk akun Anda.
   + Untuk menggunakan kunci KMS yang dimiliki akun lain, pilih **Masukkan ARN kunci dari** akun lain. Kemudian, di kotak **AWS KMS key ARN**, masukkan Nama Sumber Daya Amazon (ARN) dari kunci yang akan digunakan—misalnya,. **arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab**

1. Setelah Anda selesai memasukkan pengaturan, pilih **Simpan**.

Macie menguji pengaturan dan memverifikasi bahwa mereka benar. Jika Anda mengonfigurasi Macie untuk mengambil peran IAM, Macie juga memverifikasi bahwa peran tersebut ada di akun Anda dan kebijakan kepercayaan dan izin dikonfigurasi dengan benar. Jika ada masalah, Macie menampilkan pesan yang menjelaskan masalah tersebut. 

Untuk mengatasi masalah dengan AWS KMS key, lihat persyaratan dalam [topik sebelumnya](#findings-retrieve-sd-configure-key) dan tentukan kunci KMS yang memenuhi persyaratan. Untuk mengatasi masalah dengan peran IAM, mulailah dengan memverifikasi bahwa Anda memasukkan nama peran yang benar. Jika namanya benar, pastikan bahwa kebijakan peran memenuhi semua persyaratan bagi Macie untuk mengambil peran tersebut. Untuk detail ini, lihat[Mengkonfigurasi peran IAM untuk mengakses objek S3 yang terpengaruh](findings-retrieve-sd-options.md#findings-retrieve-sd-options-s3access-role-configuration). Setelah Anda mengatasi masalah apa pun, Anda dapat menyimpan dan mengaktifkan pengaturan.

**catatan**  
Jika Anda adalah administrator Macie untuk sebuah organisasi dan Anda mengonfigurasi Macie untuk mengambil peran IAM, Macie membuat dan menampilkan ID eksternal setelah Anda menyimpan pengaturan untuk akun Anda. Perhatikan ID ini. Kebijakan kepercayaan untuk peran IAM di setiap akun anggota Anda yang berlaku harus menentukan ID ini. Jika tidak, Anda tidak akan dapat mengambil sampel data sensitif dari objek S3 yang dimiliki akun.

------
#### [ API ]

Untuk mengonfigurasi dan mengaktifkan pengaturan secara terprogram, gunakan [UpdateRevealConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/reveal-configuration.html)pengoperasian Amazon Macie API. Dalam permintaan Anda, tentukan nilai yang sesuai untuk parameter yang didukung:
+ Untuk `retrievalConfiguration` parameter, tentukan metode akses dan pengaturan yang ingin Anda gunakan saat mengambil sampel data sensitif dari objek S3 yang terpengaruh: 
  + Untuk mengasumsikan peran IAM yang mendelegasikan akses ke Macie, tentukan `ASSUME_ROLE` `retrievalMode` parameter dan tentukan nama peran untuk parameter tersebut. `roleName` Jika Anda menentukan pengaturan ini, Macie mengambil sampel dengan mengasumsikan peran IAM yang Anda buat dan konfigurasikan dalam pengaturan Anda. Akun AWS
  + Untuk menggunakan kredensil pengguna IAM yang meminta sampel, tentukan `CALLER_CREDENTIALS` parameternya. `retrievalMode` Jika Anda menentukan pengaturan ini, setiap pengguna akun Anda menggunakan identitas IAM masing-masing untuk mengambil sampel.
**penting**  
Jika Anda tidak menentukan nilai untuk parameter ini, Macie menetapkan metode akses (`retrievalMode`) ke`CALLER_CREDENTIALS`. Jika Macie saat ini dikonfigurasi untuk menggunakan peran IAM untuk mengambil sampel, Macie juga secara permanen menghapus nama peran saat ini dan ID eksternal untuk konfigurasi Anda. Untuk menyimpan pengaturan ini untuk konfigurasi yang ada, sertakan `retrievalConfiguration` parameter dalam permintaan Anda dan tentukan pengaturan Anda saat ini untuk parameter tersebut. Untuk mengambil pengaturan Anda saat ini, gunakan [GetRevealConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/reveal-configuration.html)operasi atau, jika Anda menggunakan AWS Command Line Interface (AWS CLI), jalankan [get-reveal-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-reveal-configuration.html)perintah.
+ Untuk `kmsKeyId` parameter, tentukan AWS KMS key yang ingin Anda gunakan untuk mengenkripsi sampel data sensitif yang diambil:
  + Untuk menggunakan kunci KMS dari akun Anda sendiri, tentukan Nama Sumber Daya Amazon (ARN), ID, atau alias untuk kunci tersebut. Jika Anda menentukan alias, sertakan `alias/` awalannya—misalnya,. `alias/ExampleAlias`
  + Untuk menggunakan kunci KMS yang dimiliki akun lain, tentukan ARN dari kunci—misalnya,. `arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab` Atau tentukan ARN alias untuk kunci—misalnya,. `arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias`
+ Untuk `status` parameter, tentukan `ENABLED` untuk mengaktifkan konfigurasi untuk akun Macie Anda.

Dalam permintaan Anda, pastikan juga bahwa Anda menentukan Wilayah AWS di mana Anda ingin mengaktifkan dan menggunakan konfigurasi.

Untuk mengkonfigurasi dan mengaktifkan pengaturan dengan menggunakan AWS CLI, jalankan [update-reveal-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-reveal-configuration.html)perintah dan tentukan nilai yang sesuai untuk parameter yang didukung. Misalnya, jika Anda menggunakan Microsoft Windows, jalankan perintah berikut: AWS CLI 

```
C:\> aws macie2 update-reveal-configuration ^
--region us-east-1 ^
--configuration={\"kmsKeyId\":\"arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias\",\"status\":\"ENABLED\"} ^
--retrievalConfiguration={\"retrievalMode\":\"ASSUME_ROLE\",\"roleName\":\"MacieRevealRole\"}
```

Di mana: 
+ *us-east-1*adalah Wilayah untuk mengaktifkan dan menggunakan konfigurasi. Dalam contoh ini, Wilayah AS Timur (Virginia N.).
+ *arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias*adalah ARN dari alias untuk digunakan. AWS KMS key Dalam contoh ini, kunci dimiliki oleh akun lain.
+ `ENABLED`adalah status konfigurasi.
+ *ASSUME\$1ROLE*adalah metode akses untuk digunakan. Dalam contoh ini, asumsikan peran IAM yang ditentukan.
+ *MacieRevealRole*adalah nama peran IAM untuk diasumsikan oleh Macie saat mengambil sampel data sensitif.

Contoh sebelumnya menggunakan karakter kelanjutan baris tanda sisipan (^) untuk meningkatkan keterbacaan.

Saat Anda mengirimkan permintaan Anda, Macie menguji pengaturannya. Jika Anda mengonfigurasi Macie untuk mengambil peran IAM, Macie juga memverifikasi bahwa peran tersebut ada di akun Anda dan kebijakan kepercayaan dan izin dikonfigurasi dengan benar. Jika ada masalah, permintaan Anda gagal dan Macie mengembalikan pesan yang menjelaskan masalah tersebut. Untuk mengatasi masalah dengan AWS KMS key, lihat persyaratan dalam [topik sebelumnya](#findings-retrieve-sd-configure-key) dan tentukan kunci KMS yang memenuhi persyaratan. Untuk mengatasi masalah dengan peran IAM, mulailah dengan memverifikasi bahwa Anda menentukan nama peran yang benar. Jika namanya benar, pastikan bahwa kebijakan peran memenuhi semua persyaratan bagi Macie untuk mengambil peran tersebut. Untuk detail ini, lihat[Mengkonfigurasi peran IAM untuk mengakses objek S3 yang terpengaruh](findings-retrieve-sd-options.md#findings-retrieve-sd-options-s3access-role-configuration). Setelah Anda mengatasi masalah ini, kirimkan permintaan Anda lagi.

Jika permintaan Anda berhasil, Macie mengaktifkan konfigurasi untuk akun Anda di Wilayah yang ditentukan dan Anda menerima output yang serupa dengan berikut ini.

```
{
  "configuration": {
    "kmsKeyId": "arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias",
    "status": "ENABLED"
  },
  "retrievalConfiguration": {
    "externalId": "o2vee30hs31642lexample",
    "retrievalMode": "ASSUME_ROLE",
    "roleName": "MacieRevealRole"
  }
}
```

Di mana `kmsKeyId` menentukan yang AWS KMS key akan digunakan untuk mengenkripsi sampel data sensitif yang diambil, dan `status` merupakan status konfigurasi untuk akun Macie Anda. `retrievalConfiguration`Nilai menentukan metode akses dan pengaturan yang akan digunakan saat mengambil sampel.

**catatan**  
Jika Anda adalah administrator Macie untuk organisasi dan Anda mengonfigurasi Macie untuk mengambil peran IAM, perhatikan ID eksternal (`externalId`) dalam respons. Kebijakan kepercayaan untuk peran IAM di setiap akun anggota Anda yang berlaku harus menentukan ID ini. Jika tidak, Anda tidak akan dapat mengambil sampel data sensitif dari objek S3 yang terpengaruh yang dimiliki akun.

Untuk selanjutnya memeriksa pengaturan atau status konfigurasi untuk akun Anda, gunakan [GetRevealConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/reveal-configuration.html)operasi atau, untuk AWS CLI, jalankan [get-reveal-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-reveal-configuration.html)perintah.

------

## Menonaktifkan pengaturan Macie
<a name="findings-retrieve-sd-configure-manage"></a>

Anda dapat menonaktifkan pengaturan konfigurasi untuk akun Amazon Macie Anda kapan saja. Jika Anda menonaktifkan konfigurasi, Macie mempertahankan pengaturan yang menentukan mana yang akan digunakan AWS KMS key untuk mengenkripsi sampel data sensitif yang diambil. Macie secara permanen menghapus pengaturan akses Amazon S3 untuk konfigurasi.

**Awas**  
Saat Anda menonaktifkan pengaturan konfigurasi untuk akun Macie Anda, Anda juga secara permanen menghapus pengaturan saat ini yang menentukan cara mengakses objek S3 yang terpengaruh. Jika Macie saat ini dikonfigurasi untuk mengakses objek yang terpengaruh dengan mengasumsikan peran AWS Identity and Access Management (IAM), ini termasuk: nama peran, dan ID eksternal yang dihasilkan Macie untuk konfigurasi. Pengaturan ini tidak dapat dipulihkan setelah dihapus.

Untuk menonaktifkan pengaturan konfigurasi untuk akun Macie Anda, Anda dapat menggunakan konsol Amazon Macie atau Amazon Macie API.

------
#### [ Console ]

Ikuti langkah-langkah ini untuk menonaktifkan pengaturan konfigurasi untuk akun Anda dengan menggunakan konsol Amazon Macie.

**Untuk menonaktifkan pengaturan Macie**

1. Buka konsol Amazon Macie di. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Dengan menggunakan Wilayah AWS pemilih di sudut kanan atas halaman, pilih Wilayah tempat Anda ingin menonaktifkan pengaturan konfigurasi untuk akun Macie Anda.

1. Di panel navigasi, di bawah **Pengaturan**, pilih **Reveal samples**.

1. Di bagian **Pengaturan**, pilih **Edit**.

1. Untuk **Status**, pilih **Nonaktifkan**.

1. Pilih **Simpan**.

------
#### [ API ]

Untuk menonaktifkan pengaturan konfigurasi secara terprogram, gunakan [UpdateRevealConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/reveal-configuration.html)pengoperasian Amazon Macie API. Dalam permintaan Anda, pastikan Anda menentukan Wilayah AWS di mana Anda ingin menonaktifkan konfigurasi. Untuk parameter `status`, tentukan `DISABLED`.

Untuk menonaktifkan pengaturan konfigurasi dengan menggunakan AWS Command Line Interface (AWS CLI), jalankan [update-reveal-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-reveal-configuration.html)perintah. Gunakan `region` parameter untuk menentukan Wilayah di mana Anda ingin menonaktifkan konfigurasi. Untuk parameter `status`, tentukan `DISABLED`. Misalnya, jika Anda menggunakan Microsoft Windows, jalankan perintah berikut: AWS CLI 

```
C:\> aws macie2 update-reveal-configuration --region us-east-1 --configuration={\"status\":\"DISABLED\"}
```

Di mana: 
+ *us-east-1*adalah Wilayah untuk menonaktifkan konfigurasi. Dalam contoh ini, Wilayah AS Timur (Virginia N.).
+ `DISABLED`adalah status baru dari konfigurasi.

Jika permintaan Anda berhasil, Macie menonaktifkan konfigurasi untuk akun Anda di Wilayah yang ditentukan dan Anda menerima output yang serupa dengan berikut ini.

```
{
    "configuration": {
        "status": "DISABLED"
    }
}
```

Di `status` mana status baru konfigurasi untuk akun Macie Anda.

------

Jika Macie dikonfigurasi untuk mengambil peran IAM untuk mengambil sampel data sensitif, Anda dapat menghapus peran dan kebijakan izin peran secara opsional. Macie tidak menghapus sumber daya ini saat Anda menonaktifkan pengaturan konfigurasi untuk akun Anda. Selain itu, Macie tidak menggunakan sumber daya ini untuk melakukan tugas lain untuk akun Anda. Untuk menghapus peran dan kebijakan izinnya, Anda dapat menggunakan konsol IAM atau API IAM. Untuk informasi selengkapnya, lihat [Menghapus peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) di *Panduan AWS Identity and Access Management Pengguna*.

# Mengambil sampel data sensitif untuk temuan Macie
<a name="findings-retrieve-sd-proc"></a>

Dengan menggunakan Amazon Macie, Anda dapat mengambil dan mengungkapkan sampel data sensitif yang dilaporkan Macie dalam temuan data sensitif individu. Ini termasuk data sensitif yang dideteksi Macie menggunakan [pengidentifikasi data terkelola](managed-data-identifiers.md), dan data yang cocok dengan kriteria pengidentifikasi data [kustom](custom-data-identifiers.md). Sampel dapat membantu Anda memverifikasi sifat data sensitif yang ditemukan Macie. Mereka juga dapat membantu Anda menyesuaikan penyelidikan Anda terhadap objek dan bucket Amazon Simple Storage Service (Amazon S3) yang terpengaruh. Anda dapat mengambil dan mengungkapkan sampel data sensitif di semua Wilayah AWS tempat Macie saat ini tersedia kecuali Wilayah Asia Pasifik (Osaka) dan Israel (Tel Aviv).

Jika Anda mengambil dan mengungkapkan sampel data sensitif untuk sebuah temuan, Macie menggunakan data dalam [hasil penemuan data sensitif](discovery-results-repository-s3.md) yang sesuai untuk menemukan 1-10 kejadian pertama dari data sensitif yang dilaporkan oleh temuan tersebut. Macie kemudian mengekstrak 1-128 karakter pertama dari setiap kejadian dari objek S3 yang terpengaruh. Jika sebuah temuan melaporkan beberapa jenis data sensitif, Macie melakukan ini hingga 100 jenis data sensitif yang dilaporkan oleh temuan tersebut. 

Saat Macie mengekstrak data sensitif dari objek S3 yang terpengaruh, Macie mengenkripsi data dengan kunci AWS Key Management Service (AWS KMS) yang Anda tentukan, menyimpan sementara data terenkripsi dalam cache, dan mengembalikan data dalam hasil Anda untuk temuan tersebut. Segera setelah ekstraksi dan enkripsi, Macie secara permanen menghapus data dari cache kecuali retensi tambahan sementara diperlukan untuk menyelesaikan masalah operasional.

Jika Anda memilih untuk mengambil dan mengungkapkan sampel data sensitif untuk temuan lagi, Macie mengulangi proses untuk menemukan, mengekstrak, mengenkripsi, menyimpan, dan akhirnya menghapus sampel.

Untuk demonstrasi bagaimana Anda dapat mengambil dan mengungkapkan sampel data sensitif menggunakan konsol Amazon Macie, tonton video berikut:




**Topics**
+ [Sebelum Anda mulai](#findings-retrieve-sd-proc-prereqs)
+ [Menentukan apakah sampel tersedia untuk temuan](#findings-retrieve-sd-proc-criteria)
+ [Mengambil sampel untuk temuan](#findings-retrieve-sd-proc-steps)

## Sebelum Anda mulai
<a name="findings-retrieve-sd-proc-prereqs"></a>

Sebelum Anda dapat mengambil dan mengungkapkan sampel data sensitif untuk temuan, Anda perlu [mengonfigurasi dan mengaktifkan pengaturan untuk akun Amazon Macie Anda](findings-retrieve-sd-configure.md). Anda juga perlu bekerja dengan AWS administrator Anda untuk memverifikasi bahwa Anda memiliki izin dan sumber daya yang Anda butuhkan.

Saat Anda mengambil dan mengungkapkan sampel data sensitif untuk sebuah temuan, Macie melakukan serangkaian tugas untuk mencari, mengambil, mengenkripsi, dan mengungkapkan sampel. Macie tidak menggunakan [peran terkait layanan Macie untuk akun Anda untuk melakukan tugas-tugas](service-linked-roles.md) ini. Sebagai gantinya, Anda menggunakan identitas AWS Identity and Access Management (IAM) Anda atau mengizinkan Macie untuk mengambil peran IAM di akun Anda.

Untuk mengambil dan mengungkapkan sampel data sensitif untuk temuan, Anda harus memiliki akses ke temuan, hasil penemuan data sensitif yang sesuai, dan AWS KMS key yang Anda konfigurasi Macie untuk digunakan untuk mengenkripsi sampel data sensitif. Selain itu, Anda atau peran IAM harus diizinkan untuk mengakses bucket S3 yang terpengaruh dan objek S3 yang terpengaruh. Anda atau peran juga harus diizinkan untuk menggunakan AWS KMS key yang digunakan untuk mengenkripsi objek yang terpengaruh, jika berlaku. Jika ada kebijakan IAM, kebijakan sumber daya, atau setelan izin lainnya yang menolak akses yang diperlukan, kesalahan akan terjadi dan Macie tidak mengembalikan sampel apa pun untuk temuan tersebut.

Anda juga harus diizinkan untuk melakukan tindakan Macie berikut:
+ `macie2:GetMacieSession`
+ `macie2:GetFindings`
+ `macie2:ListFindings`
+ `macie2:GetSensitiveDataOccurrences`

Tiga tindakan pertama memungkinkan Anda mengakses akun Macie Anda dan mengambil detail temuan. Tindakan terakhir memungkinkan Anda untuk mengambil dan mengungkapkan sampel data sensitif untuk temuan.

Untuk menggunakan konsol Amazon Macie untuk mengambil dan menampilkan sampel data sensitif, Anda juga harus diizinkan untuk melakukan tindakan berikut:. `macie2:GetSensitiveDataOccurrencesAvailability` Tindakan ini memungkinkan Anda untuk menentukan apakah sampel tersedia untuk temuan individu. Anda tidak memerlukan izin untuk melakukan tindakan ini untuk mengambil dan mengungkapkan sampel secara terprogram. Namun, memiliki izin ini dapat merampingkan pengambilan sampel Anda.

Jika Anda adalah administrator Macie yang didelegasikan untuk organisasi dan Anda mengonfigurasi Macie untuk mengambil peran IAM untuk mengambil sampel data sensitif, Anda juga harus diizinkan untuk melakukan tindakan berikut:. `macie2:GetMember` Tindakan ini memungkinkan Anda untuk mengambil informasi tentang hubungan antara akun Anda dan akun yang terpengaruh. Ini memungkinkan Macie untuk memverifikasi bahwa Anda saat ini administrator Macie untuk akun yang terpengaruh.

Jika Anda tidak diizinkan untuk melakukan tindakan yang diperlukan atau mengakses data dan sumber daya yang diperlukan, mintalah bantuan AWS administrator Anda.

## Menentukan apakah sampel data sensitif tersedia untuk temuan
<a name="findings-retrieve-sd-proc-criteria"></a>

Untuk mengambil dan mengungkapkan sampel data sensitif untuk suatu temuan, temuan tersebut harus memenuhi kriteria tertentu. Ini harus menyertakan data lokasi untuk kejadian spesifik dari data sensitif. Selain itu, ia harus menentukan lokasi hasil penemuan data sensitif yang valid dan sesuai. Hasil penemuan data sensitif harus disimpan Wilayah AWS sama dengan temuan. Jika Anda mengonfigurasi Amazon Macie untuk mengakses objek S3 yang terpengaruh dengan mengasumsikan peran AWS Identity and Access Management (IAM), hasil penemuan data sensitif juga harus disimpan dalam objek S3 yang ditandatangani Macie dengan Kode Otentikasi Pesan (HMAC) berbasis Hash. AWS KMS key<a name="findings-retrieve-sd-criteria-mimetype"></a>

Objek S3 yang terpengaruh juga harus memenuhi kriteria tertentu. Jenis MIME objek harus salah satu dari yang berikut:
+ *application/avro*, untuk file wadah objek Apache Avro (.avro)
+ *application/gzip*, untuk file arsip terkompresi GNU Zip (.gz atau.gzip)
+ *application/json*, untuk file JSON atau JSON Lines (.json atau .jsonl)
+ *application/parquet*, untuk file Apache Parquet (.parquet)
+ *application/vnd.openxmlformats-officedocument.spreadsheetml.sheet*, untuk file buku kerja Microsoft Excel (.xlsx)
+ *application/zip*, untuk file arsip terkompresi ZIP (.zip)
+ *text/csv*, untuk file CSV (.csv)
+ *text/plain*, untuk file teks non-biner selain file CSV, JSON, JSON Lines, atau TSV
+ *text/tab-separated-values*, untuk file TSV (.tsv)

Selain itu, isi objek S3 harus sama dengan saat temuan dibuat. Macie memeriksa tag entitas objek (ETag) untuk menentukan apakah itu cocok dengan yang ETag ditentukan oleh temuan. Selain itu, ukuran penyimpanan objek tidak dapat melebihi kuota ukuran yang berlaku untuk mengambil dan mengungkapkan sampel data sensitif. Untuk daftar kuota yang berlaku, lihat[Kuota untuk Macie](macie-quotas.md).

Jika temuan dan objek S3 yang terpengaruh memenuhi kriteria sebelumnya, sampel data sensitif tersedia untuk temuan tersebut. Anda dapat secara opsional menentukan apakah ini kasus untuk temuan tertentu sebelum Anda mencoba mengambil dan mengungkapkan sampel untuk itu.

**Untuk menentukan apakah sampel data sensitif tersedia untuk temuan**  
Anda dapat menggunakan konsol Amazon Macie atau Amazon Macie API untuk menentukan apakah sampel data sensitif tersedia untuk temuan.

------
#### [ Console ]

Ikuti langkah-langkah ini di konsol Amazon Macie untuk menentukan apakah sampel data sensitif tersedia untuk temuan.

**Untuk menentukan apakah sampel tersedia untuk temuan**

1. Buka konsol Amazon Macie di. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Di panel navigasi, pilih **Temuan**.

1. Pada halaman **Temuan**, pilih temuannya. Panel detail menampilkan informasi untuk temuan.

1. Di panel detail, gulir ke bagian **Data sensitif**. Kemudian lihat bidang **Reveal samples**.

   Jika sampel data sensitif tersedia untuk temuan, tautan **Tinjauan akan** muncul di bidang, seperti yang ditunjukkan pada gambar berikut.  
![\[Bidang Reveal samples di panel rincian temuan. Kolom berisi tautan berlabel Tinjauan.\]](http://docs.aws.amazon.com/id_id/macie/latest/user/images/scrn-findings-reveal-samples.png)

   Jika sampel data sensitif tidak tersedia untuk temuan, bidang **Reveal samples** menampilkan teks yang menunjukkan alasannya:
   + **Akun tidak dalam organisasi** — Anda tidak diizinkan mengakses objek S3 yang terpengaruh dengan menggunakan Macie. Akun yang terpengaruh saat ini bukan bagian dari organisasi Anda. Atau akun adalah bagian dari organisasi Anda tetapi Macie saat ini tidak diaktifkan untuk akun saat ini Wilayah AWS.
   + **Hasil klasifikasi tidak valid - Tidak ada hasil** penemuan data sensitif yang sesuai untuk temuan tersebut. Atau hasil penemuan data sensitif terkait tidak tersedia saat ini Wilayah AWS, cacat atau rusak, atau menggunakan format penyimpanan yang tidak didukung. Macie tidak dapat memverifikasi lokasi data sensitif untuk diambil.
   + **Tanda tangan hasil tidak valid** - Hasil penemuan data sensitif terkait disimpan dalam objek S3 yang tidak ditandatangani oleh Macie. Macie tidak dapat memverifikasi integritas dan keaslian hasil penemuan data sensitif. Oleh karena itu, Macie tidak dapat memverifikasi lokasi data sensitif untuk diambil.
   + **Peran anggota terlalu permisif** — Kebijakan kepercayaan atau izin untuk peran IAM di akun anggota yang terpengaruh tidak memenuhi persyaratan Macie untuk membatasi akses ke peran tersebut. Atau kebijakan kepercayaan peran tidak menentukan ID eksternal yang benar untuk organisasi Anda. Macie tidak dapat mengambil peran untuk mengambil data sensitif.
   + ** GetMember Izin hilang** — Anda tidak diizinkan untuk mengambil informasi tentang hubungan antara akun Anda dan akun yang terpengaruh. Macie tidak dapat menentukan apakah Anda diizinkan mengakses objek S3 yang terpengaruh sebagai administrator Macie yang didelegasikan untuk akun yang terpengaruh.
   + **Objek melebihi kuota ukuran** — Ukuran penyimpanan objek S3 yang terpengaruh melebihi kuota ukuran untuk mengambil dan mengungkapkan sampel data sensitif dari jenis file tersebut.
   + **Objek tidak tersedia** - Objek S3 yang terpengaruh tidak tersedia. Objek diubah namanya, dipindahkan, atau dihapus, atau isinya berubah setelah Macie membuat temuan. Atau objek dienkripsi dengan AWS KMS key yang tidak tersedia. Misalnya, kunci dinonaktifkan, dijadwalkan untuk dihapus, atau dihapus.
   + **Hasil tidak ditandatangani** - Hasil penemuan data sensitif terkait disimpan dalam objek S3 yang belum ditandatangani. Macie tidak dapat memverifikasi integritas dan keaslian hasil penemuan data sensitif. Oleh karena itu, Macie tidak dapat memverifikasi lokasi data sensitif untuk diambil.
   + **Peran terlalu permisif** — Akun Anda dikonfigurasi untuk mengambil kemunculan data sensitif dengan menggunakan peran IAM yang kebijakan kepercayaan atau izinnya tidak memenuhi persyaratan Macie untuk membatasi akses ke peran. Macie tidak dapat mengambil peran untuk mengambil data sensitif.
   + **Jenis objek yang tidak didukung** - Objek S3 yang terpengaruh menggunakan format file atau penyimpanan yang tidak didukung Macie untuk mengambil dan mengungkapkan sampel data sensitif. Tipe MIME dari objek S3 yang terpengaruh bukanlah salah satu nilai dalam daftar [sebelumnya](#findings-retrieve-sd-criteria-mimetype).

   Jika ada masalah dengan hasil penemuan data sensitif untuk temuan tersebut, informasi di bidang **lokasi hasil terperinci** dari temuan dapat membantu Anda menyelidiki masalah tersebut. Bidang ini menentukan jalur asli ke hasil di Amazon S3. Untuk menyelidiki masalah dengan peran IAM, pastikan bahwa kebijakan peran memenuhi semua persyaratan bagi Macie untuk mengambil peran tersebut. Untuk detail ini, lihat[Mengkonfigurasi peran IAM untuk mengakses objek S3 yang terpengaruh](findings-retrieve-sd-options.md#findings-retrieve-sd-options-s3access-role-configuration).

------
#### [ API ]

Untuk menentukan secara terprogram apakah sampel data sensitif tersedia untuk temuan, gunakan [GetSensitiveDataOccurrencesAvailability](https://docs.aws.amazon.com/macie/latest/APIReference/findings-findingid-reveal-availability.html)pengoperasian Amazon Macie API. Saat Anda mengirimkan permintaan Anda, gunakan `findingId` parameter untuk menentukan pengenal unik untuk temuan tersebut. Untuk mendapatkan pengenal ini, Anda dapat menggunakan [ListFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings.html)operasi ini.

Jika Anda menggunakan AWS Command Line Interface (AWS CLI), jalankan perintah [get-sensitive-data-occurrences-availability](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitive-data-occurrences-availability.html) dan gunakan `finding-id` parameter untuk menentukan identifier unik untuk temuan. Untuk mendapatkan pengenal ini, Anda dapat menjalankan perintah [daftar-temuan](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-findings.html).

Jika permintaan Anda berhasil dan sampel tersedia untuk temuan, Anda menerima output yang mirip dengan berikut ini:

```
{
    "code": "AVAILABLE",
    "reasons": []
}
```

Jika permintaan Anda berhasil dan sampel tidak tersedia untuk temuan, nilai untuk `code` bidang adalah `UNAVAILABLE` dan `reasons` array menentukan alasannya. Contoh:

```
{
    "code": "UNAVAILABLE",
    "reasons": [
        "UNSUPPORTED_OBJECT_TYPE"
    ]
}
```

Jika ada masalah dengan hasil penemuan data sensitif untuk temuan tersebut, informasi di `classificationDetails.detailedResultsLocation` bidang temuan dapat membantu Anda menyelidiki masalah tersebut. Bidang ini menentukan jalur asli ke hasil di Amazon S3. Untuk menyelidiki masalah dengan peran IAM, pastikan bahwa kebijakan peran memenuhi semua persyaratan bagi Macie untuk mengambil peran tersebut. Untuk detail ini, lihat[Mengkonfigurasi peran IAM untuk mengakses objek S3 yang terpengaruh](findings-retrieve-sd-options.md#findings-retrieve-sd-options-s3access-role-configuration).

------

## Mengambil sampel data sensitif untuk temuan
<a name="findings-retrieve-sd-proc-steps"></a>

Untuk mengambil dan mengungkapkan sampel data sensitif untuk temuan, Anda dapat menggunakan konsol Amazon Macie atau Amazon Macie API.

------
#### [ Console ]

Ikuti langkah-langkah berikut untuk mengambil dan mengungkapkan sampel data sensitif untuk temuan menggunakan konsol Amazon Macie.

**Untuk mengambil dan mengungkapkan sampel data sensitif untuk temuan**

1. Buka konsol Amazon Macie di. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Di panel navigasi, pilih **Temuan**.

1. Pada halaman **Temuan**, pilih temuannya. Panel detail menampilkan informasi untuk temuan.

1. Di panel detail, gulir ke bagian **Data sensitif**. Kemudian, di bidang **Reveal samples**, pilih **Review**:  
![\[Bidang Reveal samples di panel rincian temuan. Kolom berisi tautan berlabel Tinjauan.\]](http://docs.aws.amazon.com/id_id/macie/latest/user/images/scrn-findings-reveal-samples.png)
**catatan**  
Jika tautan **Tinjauan** tidak muncul di bidang **Reveal samples**, sampel data sensitif tidak tersedia untuk temuan tersebut. Untuk menentukan mengapa hal ini terjadi, lihat [topik sebelumnya.](#findings-retrieve-sd-proc-criteria)

   Setelah Anda memilih **Review**, Macie menampilkan halaman yang merangkum detail kunci dari temuan tersebut. Detailnya mencakup kategori, jenis, dan jumlah kemunculan data sensitif yang ditemukan Macie di objek S3 yang terpengaruh.

1. Di bagian **Data sensitif** halaman, pilih **Ungkapkan sampel**. Macie kemudian mengambil dan mengungkapkan sampel dari 1-10 kejadian pertama dari data sensitif yang dilaporkan oleh temuan tersebut. Setiap sampel berisi 1-128 karakter pertama dari kejadian data sensitif. Diperlukan beberapa menit untuk mengambil dan mengungkapkan sampel.

   Jika temuan melaporkan beberapa jenis data sensitif, Macie mengambil dan mengungkapkan sampel hingga 100 jenis. Misalnya, gambar berikut menunjukkan sampel yang mencakup beberapa kategori dan jenis data sensitif—AWS kredensil, nomor telepon AS, dan nama orang.  
![\[Tabel sampel. Ini mencantumkan sembilan sampel dan kategori dan jenis data sensitif setiap sampel.\]](http://docs.aws.amazon.com/id_id/macie/latest/user/images/scrn-findings-sd-samples.png)

   Sampel diatur pertama berdasarkan kategori data sensitif, dan kemudian oleh tipe data sensitif.

------
#### [ API ]

Untuk mengambil dan mengungkapkan sampel data sensitif untuk temuan secara terprogram, gunakan [GetSensitiveDataOccurrences](https://docs.aws.amazon.com/macie/latest/APIReference/findings-findingid-reveal.html)pengoperasian Amazon Macie API. Saat Anda mengirimkan permintaan Anda, gunakan `findingId` parameter untuk menentukan pengenal unik untuk temuan tersebut. Untuk mendapatkan pengenal ini, Anda dapat menggunakan [ListFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings.html)operasi ini.

Untuk mengambil dan mengungkapkan sampel data sensitif dengan menggunakan AWS Command Line Interface (AWS CLI), jalankan [get-sensitive-data-occurrences](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitive-data-occurrences.html)perintah dan gunakan `finding-id` parameter untuk menentukan pengidentifikasi unik untuk temuan. Contoh:

```
C:\> aws macie2 get-sensitive-data-occurrences --finding-id "1f1c2d74db5d8caa76859ec52example"
```

Di *1f1c2d74db5d8caa76859ec52example* mana pengenal unik untuk temuan tersebut. Untuk mendapatkan pengenal ini dengan menggunakan AWS CLI, Anda dapat menjalankan perintah [daftar-temuan](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-findings.html).

Jika permintaan Anda berhasil, Macie mulai memproses permintaan Anda dan Anda menerima output yang serupa dengan berikut ini:

```
{
    "status": "PROCESSING"
}
```

Diperlukan beberapa menit untuk memproses permintaan Anda. Dalam beberapa menit, kirimkan permintaan Anda lagi.

Jika Macie dapat menemukan, mengambil, dan mengenkripsi sampel data sensitif, Macie mengembalikan sampel dalam peta. `sensitiveDataOccurrences` Peta menentukan 1-100 jenis data sensitif yang dilaporkan oleh temuan dan 1-10 sampel untuk setiap jenis. Setiap sampel berisi 1-128 karakter pertama dari kejadian data sensitif yang dilaporkan oleh temuan tersebut.

Di peta, setiap kunci adalah ID pengidentifikasi data terkelola yang mendeteksi data sensitif, atau nama dan pengidentifikasi unik untuk pengidentifikasi data khusus yang mendeteksi data sensitif. Nilai adalah sampel untuk pengenal data terkelola tertentu atau pengidentifikasi data kustom. Misalnya, respons berikut menyediakan tiga sampel nama orang dan dua sampel kunci akses AWS rahasia yang terdeteksi oleh pengidentifikasi data terkelola (`NAME`dan`AWS_CREDENTIALS`, masing-masing).

```
{
    "sensitiveDataOccurrences": {
        "NAME": [
            {
                "value": "Akua Mansa"
            },
            {
                "value": "John Doe"
            },
            {
                "value": "Martha Rivera"
            }
        ],
        "AWS_CREDENTIALS": [
            {
                "value": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY"
            },
            {
                "value": "je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY"
            }
        ]
    },
    "status": "SUCCESS"
}
```

Jika permintaan Anda berhasil tetapi sampel data sensitif tidak tersedia untuk temuan, Anda menerima `UnprocessableEntityException` pesan yang menunjukkan mengapa sampel tidak tersedia. Contoh:

```
{
    "message": "An error occurred (UnprocessableEntityException) when calling the GetSensitiveDataOccurrences operation: OBJECT_UNAVAILABLE"
}
```

Dalam contoh sebelumnya, Macie berusaha mengambil sampel dari objek S3 yang terpengaruh tetapi objek tidak tersedia lagi. Isi objek berubah setelah Macie membuat temuan.

Jika permintaan Anda berhasil tetapi jenis kesalahan lain mencegah Macie mengambil dan mengungkapkan sampel data sensitif untuk temuan tersebut, Anda menerima output yang serupa dengan berikut ini:

```
{
    "error": "Macie can't retrieve the samples. You're not allowed to access the affected S3 object or the object is encrypted with a key that you're not allowed to use.",
    "status": "ERROR"
}
```

Nilai untuk `status` bidang adalah `ERROR` dan `error` bidang menjelaskan kesalahan yang terjadi. Informasi dalam [topik sebelumnya](#findings-retrieve-sd-proc-criteria) dapat membantu Anda menyelidiki kesalahan.

------