As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Revisar e analisar as descobertas do Macie
O Amazon Macie gera descobertas quando detecta possíveis violações de políticas ou problemas com a segurança ou a privacidade de seus buckets do Amazon Simple Storage Service (Amazon S3) ou detecta dados confidenciais em objetos do S3. Uma *descoberta* é um relatório detalhado de um possível problema do ou dados confidenciais encontrados por Macie. Cada descoberta fornece detalhes como uma classificação de gravidade, informações sobre o recurso afetado e quando o Macie encontrou os dados ou o problema. O Macie armazena sua política e as descobertas de dados confidenciais por 90 dias.
Você pode revisar, analisar e gerenciar suas descobertas das seguintes maneiras.
**Console Amazon Macie**
As páginas de **descobertas** no console do Amazon Macie listam suas descobertas e fornecem informações detalhadas para descobertas individuais. Essas páginas também fornecem opções para agrupar, filtrar e classificar descobertas e para criar e gerenciar regras de supressão. As regras de supressão podem ajudá-lo a simplificar a análise das descobertas.
**API do Amazon Macie**
Com a API do Amazon Macie, você pode consultar e recuperar dados de descobertas usando uma ferramenta de linha de AWS comando ou um AWS SDK, ou enviando solicitações HTTPS diretamente para o Macie. Para consultar os dados, você envia uma solicitação para a API do Amazon Macie e usa parâmetros compatíveis para especificar quais descobertas você deseja recuperar. Depois de enviar sua solicitação, o Macie retorna os resultados em uma resposta JSON. Em seguida, você pode passar os resultados para outro serviço ou aplicativo para uma análise mais aprofundada, armazenamento de longo prazo ou relatórios. Para obter mais informações, consulte a [Referência da API do Amazon Macie](https://docs.aws.amazon.com/macie/latest/APIReference/welcome.html).
**Amazon EventBridge**
Para apoiar ainda mais a integração com outros serviços e sistemas, como sistemas de monitoramento ou gerenciamento de eventos, a Macie publica as descobertas na Amazon EventBridge como eventos. EventBridge, anteriormente Amazon CloudWatch Events, é um serviço de barramento de eventos sem servidor que pode fornecer um fluxo de dados em tempo real de seus próprios aplicativos, aplicativos de software como serviço (SaaS) e como o Macie.Serviços da AWS Ele pode encaminhar esses dados para destinos como AWS Lambda funções, tópicos do Amazon Simple Notification Service e streams do Amazon Kinesis para processamento adicional e automatizado. O uso de EventBridge também ajuda a garantir a retenção de longo prazo dos dados das descobertas. Para saber mais sobre isso EventBridge, consulte o [Guia EventBridge do usuário da Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html).
O Macie publica automaticamente os eventos EventBridge para novas descobertas. Ele também publica eventos automaticamente para ocorrências subsequentes de descobertas de políticas existentes. Como os dados das descobertas são estruturados como EventBridge eventos, você pode monitorar, analisar e agir de acordo com as descobertas com mais facilidade usando outros serviços e ferramentas. Por exemplo, você pode usar EventBridge para enviar automaticamente tipos específicos de novas descobertas para uma AWS Lambda função que, por sua vez, processa e envia os dados para seu sistema de gerenciamento de incidentes e eventos de segurança (SIEM). Se você se integrar Notificações de Usuários da AWS ao Macie, também poderá usar os eventos para ser notificado das descobertas automaticamente por meio dos canais de entrega que você especificar. Para saber mais sobre o uso de EventBridge eventos para monitorar e processar descobertas, consulte[Processando descobertas com a Amazon EventBridge](findings-monitor-events-eventbridge.md).
**AWS Security Hub CSPM**
Para uma análise adicional e mais ampla da postura de segurança da sua organização, você também pode publicar as descobertas em AWS Security Hub CSPM. O Security Hub CSPM é um serviço que coleta dados de segurança Serviços da AWS e soluções de AWS Partner Network segurança suportadas para fornecer uma visão abrangente do estado de segurança em todo o ambiente.AWS O Security Hub CSPM também ajuda você a verificar seu ambiente em relação aos padrões e às melhores práticas do setor de segurança. Para saber mais sobre o CSPM do Security Hub, consulte o Guia do [AWS Security Hub Usuário](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html). Para saber mais sobre o uso do Security Hub CSPM para avaliar e processar descobertas, consulte. [Avaliar as descobertas com AWS Security Hub CSPM](securityhub-integration.md)
Além das descobertas, o Macie cria resultados de descoberta de dados confidenciais para objetos do S3 que ele analisa para descobrir dados confidenciais. Um *resultado de descoberta de dados confidenciais* é um registro de detalhes sobre a análise de um objeto. Isso inclui objetos nos quais o Macie não encontra dados confidenciais e, portanto, não produz descobertas, e objetos que o Macie não pode analisar devido a erros ou problemas. Os resultados confidenciais da descoberta de dados fornecem registros de análise que podem ser úteis para auditorias ou investigações de privacidade e proteção de dados. Você não pode acessar resultados confidenciais da descoberta de dados diretamente no console do Amazon Macie ou com a API do Amazon Macie. Em vez disso, você configura o Macie para armazenar os resultados em um bucket do S3. Em seguida, você pode, opcionalmente, acessar e consultar os resultados nesse bucket. Para saber como configurar o Macie para armazenar os resultados, consulte [Armazenamento e retenção de resultados de descoberta de dados confidenciais](discovery-results-repository-s3.md).
**Topics**
+ [Tipos de descobertas](findings-types.md)
+ [Pontuação de severidade das descobertas](findings-severity.md)
+ [Trabalhar com descobertas de amostras](findings-samples.md)
+ [Analisar descobertas](findings-view.md)
+ [Filtrar descobertas](findings-filter-overview.md)
+ [Investigar dados confidenciais com as descobertas](findings-investigate-sd.md)
+ [Suprimir descobertas](findings-suppression.md)
# Tipos de descobertas do Macie
O Amazon Macie gera duas categorias de descobertas: *descobertas de políticas* e *descobertas de dados confidenciais*. Uma *descoberta de políticas* é um relatório detalhado de uma possível violação da política ou problema na segurança ou na privacidade de um bucket geral do Amazon Simple Storage Service (Amazon S3). O Macie gera descobertas de políticas como parte de suas atividades contínuas para avaliar e monitorar buckets para fins de segurança e controle de acesso. Uma *descoberta de dados confidenciais* é um relatório detalhado de dados confidenciais que o Macie detectou em um objeto do S3. O Macie gera descobertas de dados confidenciais como parte das atividades que ele executa quando você executa trabalhos de descoberta de dados confidenciais ou realiza a descoberta automatizada de dados confidenciais.
Dentro de cada categoria, há tipos específicos. O tipo de descoberta fornece informações sobre a natureza do problema ou dos dados confidenciais encontrados pelo Macie. Cada descoberta fornece detalhes como uma [classificação de gravidade](findings-severity.md), informações sobre o recurso afetado e informações, como quando e como o Macie encontrou o problema ou os dados confidenciais. A gravidade e os detalhes de cada descoberta variam de acordo com o tipo e a natureza da descoberta.
**Topics**
+ [Tipos de descobertas de políticas](#findings-policy-types)
+ [Tipos de descobertas de dados confidenciais](#findings-sensitive-data-types)
**dica**
Para explorar e aprender sobre as diferentes categorias e tipos de descobertas que o Macie pode gerar, [crie amostras de descobertas](findings-samples.md). Amostras de descobertas usam dados de exemplo e valores de espaço reservado para demonstrar os tipos de informações que cada tipo de descoberta pode conter.
## Tipos de descobertas de políticas
O Amazon Macie gera uma descoberta de políticas quando as políticas ou configurações de um bucket geral do S3 são alteradas de uma forma que reduz a segurança ou a privacidade do bucket e dos objetos do bucket. Para obter informações sobre como o Macie detecta e avalia essas alterações, consulte. [Como o Macie monitora a segurança de dados do Amazon S3](monitoring-s3-how-it-works.md)
Observe que o Macie gera uma constatação de política somente se a alteração ocorrer após você habilitar o Macie para seu. Conta da AWS Por exemplo, se as configurações de bloqueio de acesso público forem desativadas para um bucket do S3 após você habilitar o Macie, o Macie gerará uma descoberta **Policy: IAMUser /S3 BlockPublicAccessDisabled** para o bucket. Se as configurações de bloqueio de acesso público foram desativadas para um bucket quando você habilitou o Macie e elas continuarem desativadas, o Macie não gerará uma BlockPublicAccessDisabled descoberta **Policy: IAMUser /S3** para o bucket.
Se o Macie detectar uma ocorrência posterior de uma descoberta de política existente, ele atualizará a descoberta existente adicionando detalhes sobre a ocorrência posterior e incrementando a contagem de ocorrências. O Macie armazena as descobertas da política por 90 dias.
O Macie pode gerar os seguintes tipos de descobertas de políticas para um bucket geral do S3.
**Policy:IAMUser/S3BlockPublicAccessDisabled**
Todas as configurações de bloqueio de acesso público ao bloco no nível de bucket foram desabilitadas para o bucket. O acesso público ao bucket é controlado pelas configurações de bloqueio de acesso público da conta, pelas listas de controle de acesso (ACLs), pela política do bucket e por outras configurações e políticas que se aplicam ao bucket.
Para investigar a descoberta, comece [analisando os detalhes do bucket](monitoring-s3-inventory-review.md#monitoring-s3-inventory-view-details) no Macie. Os detalhes incluem um detalhamento das configurações de acesso público do bucket. Para obter informações detalhadas sobre as configurações, consulte [Controle de acesso](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html) e [bloqueio do acesso público ao seu armazenamento do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html) no Guia do *usuário do Amazon Simple Storage Service*.
**Policy:IAMUser/S3BucketEncryptionDisabled**
As configurações de criptografia padrão do bucket foram redefinidas para o comportamento padrão de criptografia do Amazon S3, que consiste em criptografar novos objetos automaticamente com uma chave gerenciada do Amazon S3.
A partir de 5 de janeiro de 2023, o Amazon S3 aplica automaticamente a criptografia do lado do servidor com chaves gerenciadas do Amazon S3 (SSE-S3) como nível básico de criptografia para objetos adicionados aos buckets. Opcionalmente, você pode definir as configurações de criptografia padrão de um bucket para, em vez disso, usar a criptografia do lado do servidor com uma AWS KMS chave (SSE-KMS) ou a criptografia do lado do servidor de camada dupla com uma chave (DSSE-KMS). AWS KMS Se o Macie gerou esse tipo de descoberta antes de 5 de janeiro de 2023, a descoberta indica que as configurações de criptografia padrão foram desativadas para o bucket afetado. Isso significava que as configurações do bucket não especificavam o comportamento padrão de criptografia do lado do servidor para novos objetos. A capacidade de desativar as configurações de criptografia padrão para um bucket não é mais suportada pelo Amazon S3.
Para saber mais sobre as configurações e opções de criptografia padrão para buckets S3, consulte [Como definir o comportamento padrão de criptografia do lado do servidor para buckets S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html) no *Guia do usuário do Amazon Simple Storage Service*.
**Policy:IAMUser/S3BucketPublic**
Uma política de ACL ou bucket para o bucket foi alterada para permitir o acesso de usuários anônimos ou de todas as identidades autenticadas AWS Identity and Access Management (IAM).
Para investigar a descoberta, comece [analisando os detalhes do bucket](monitoring-s3-inventory-review.md#monitoring-s3-inventory-view-details) no Macie. Os detalhes incluem um detalhamento das configurações de acesso público do bucket. Para obter informações detalhadas sobre ACLs políticas de bucket e configurações de acesso para buckets S3, consulte [Controle de acesso](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html) no Guia do *usuário do Amazon Simple Storage Service*.
**Policy:IAMUser/S3BucketReplicatedExternally**
A replicação foi habilitada e configurada para replicar objetos do bucket para um bucket externo ( Conta da AWS que não faz parte da) sua organização. Uma *organização* é um conjunto de contas do Macie que são gerenciadas centralmente como um grupo de contas relacionadas por meio de AWS Organizations ou por convite do Macie.
Sob certas condições, o Macie pode gerar esse tipo de descoberta para um bucket que não está configurado para replicar objetos em um bucket externo. Conta da AWS[Isso pode ocorrer se o bucket de destino tiver sido criado em um local diferente Região da AWS durante as 24 horas anteriores, depois que o Macie recuperou os metadados do bucket e do objeto do Amazon S3 como parte do ciclo diário de atualização.](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh)
Para investigar a descoberta, comece atualizando seus dados de inventário no Macie. Em seguida, [revise os detalhes do bucket](monitoring-s3-inventory-review.md#monitoring-s3-inventory-view-details). Os detalhes indicam se o bucket está configurado para replicar objetos em outros buckets. Se o bucket estiver configurado para fazer isso, os detalhes incluirão o ID cada conta que possui um bucket de destino. Para obter informações detalhadas sobre as configurações de replicação para buckets do S3, consulte [Replicação de objetos no Guia do usuário](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication.html) do *Amazon Simple Storage Service*.
**Policy:IAMUser/S3BucketSharedExternally**
Uma política de ACL ou bucket para o bucket foi alterada para permitir que o bucket seja compartilhado com alguém externo à sua organização ( Conta da AWS que não faz parte dela). Uma *organização* é um conjunto de contas do Macie que são gerenciadas centralmente como um grupo de contas relacionadas por meio de AWS Organizations ou por convite do Macie.
Em certos casos, o Macie pode gerar esse tipo de descoberta para um bucket que não é compartilhado com um externo Conta da AWS. Isso pode ocorrer se o Macie não conseguir avaliar totalmente a relação entre o elemento `Principal` na política do bucket e determinadas [chaves de contexto de condição global AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) ou [chaves de condição do Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-policy-keys) no elemento `Condition` da política. Esse pode ser o caso das seguintes chaves de condição: `aws:PrincipalAccount` `aws:PrincipalArn``aws:PrincipalOrgID`,`aws:PrincipalOrgPaths`,`aws:PrincipalTag`, `aws:PrincipalType``aws:SourceAccount`,`aws:SourceArn`,`aws:SourceIp`,`aws:SourceOrgID`,`aws:SourceOrgPaths`,`aws:SourceVpc`, `aws:SourceVpce``aws:userid`,`s3:DataAccessPointAccount`,, `s3:DataAccessPointArn` e. Recomendamos que você analise a política do bucket para determinar se esse acesso é intencional e seguro.
Para saber mais sobre ACLs políticas de bucket para buckets S3, consulte [Controle de acesso](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html) no Guia do *usuário do Amazon Simple Storage Service*.
**Policy:IAMUser/S3BucketSharedWithCloudFront**
A política do bucket foi alterada para permitir que o bucket seja compartilhado com uma identidade de acesso de CloudFront origem da Amazon (OAI), um controle de acesso de CloudFront origem (OAC) ou um CloudFront OAI e um OAC. CloudFront Um CloudFront OAI ou OAC permite que os usuários acessem os objetos de um bucket por meio de uma ou mais distribuições especificadas CloudFront.
Para saber mais sobre CloudFront OAIs e OACs, consulte [Restringir o acesso a uma origem do Amazon S3](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) no * CloudFrontAmazon Developer Guide*.
**nota**
Em certos casos, o Macie gera uma descoberta **Policy: IAMUser /S3** em vez de uma BucketSharedExternally descoberta **Policy: IAMUser /S3 BucketSharedWithCloudFront** para um bucket. Nesses casos:
O bucket é compartilhado com um Conta da AWS externo à sua organização, além de um CloudFront OAI ou OAC.
A política do bucket especifica um ID de usuário canônico, em vez do Amazon Resource Name (ARN), de um OAI. CloudFront
Isso produz a descoberta de uma política de severidade mais alta para o bucket.
## Tipos de descobertas de dados confidenciais
O Amazon Macie gera uma descoberta de dados confidenciais ao detectar dados confidenciais em um objeto do S3 que ele analisa para descobrir dados confidenciais. Isso inclui a análise que o Macie realiza quando você executa um trabalho de descoberta de dados confidenciais ou quando ele executa uma descoberta automatizada de dados confidenciais.
**Por exemplo, se você criar e executar um trabalho confidencial de descoberta de dados e o Macie detectar números de contas bancárias em um objeto do S3, o Macie gerará uma descoberta financeira do objeto: SensitiveData S3Object/Financial.** **Da mesma forma, se o Macie detectar números de contas bancárias em um objeto do S3 que ele analisa durante um ciclo automatizado de descoberta de dados confidenciais, o Macie gera uma descoberta financeira do objeto: S3. SensitiveData**
Se o Macie detectar dados confidenciais no mesmo objeto do S3 durante uma execução de trabalho subsequente ou um ciclo automatizado de descoberta de dados confidenciais, o Macie gerará uma nova descoberta de dados confidenciais para o objeto. Diferentemente das descobertas de políticas, todas as descobertas de dados confidenciais são tratadas como novas (únicas). O Macie armazena as descobertas de dados confidenciais por 90 dias.
O Macie pode gerar os seguintes tipos de descobertas de dados confidenciais para um objeto do S3.
**SensitiveData:S3Object/Credentials**
O objeto contém dados confidenciais de credenciais, como chaves de acesso AWS secretas ou chaves privadas.
**SensitiveData:S3Object/CustomIdentifier**
O objeto contém texto que corresponde aos critérios de detecção de um ou mais identificadores de dados personalizados. O objeto pode conter mais de um tipo de dados confidenciais.
**SensitiveData:S3Object/Financial**
O objeto contém informações financeiras confidenciais, como números de contas bancárias ou números de cartão de crédito.
**SensitiveData:S3Object/Multiple**
O objeto contém mais de uma categoria de dados confidenciais. Qualquer combinação de dados de credenciais, informações financeiras, informações pessoais ou texto que corresponda aos critérios de detecção de um ou mais identificadores de dados personalizados.
**SensitiveData:S3Object/Personal**
O objeto contém informações pessoais confidenciais. Informações de identificação pessoal (PII), como números de passaporte ou números de identificação da carteira de motorista, informações pessoais de saúde (PHI), como números de seguro saúde ou de identificação médica, ou uma combinação de PII e PHI.
Para obter informações sobre os tipos de dados confidenciais que o Macie pode detectar usando técnicas e critérios incorporados, consulte [Usar identificadores de dados gerenciados](managed-data-identifiers.md). Para obter informações sobre os tipos de objetos do S3 que o Macie pode analisar, consulte [Classes e formatos de armazenamento suportados](discovery-supported-storage.md).
# Pontuação de severidade das descobertas do Macie
Quando o Amazon Macie gera uma descoberta de política ou de dados confidenciais, ele atribui automaticamente uma severidade à descoberta. A gravidade de uma descoberta reflete as principais características da descoberta, o que pode ajudá-lo a avaliar e priorizar a descoberta. A gravidade de uma descoberta não implica nem indica o caráter crítico ou a importância que um recurso afetado pode ter para sua organização.
Para as descobertas de política, a severidade se baseia na natureza de um possível problema com a segurança ou a privacidade de um bucket geral do Amazon Simple Storage Service (Amazon S3). Para descobertas de dados confidenciais, a gravidade é baseada na natureza e no número de ocorrências de dados confidenciais que o Macie detectou em um objeto do S3.
No Macie, a severidade de um achado é representada de duas maneiras.
**Nível de severidade**
Essa é uma representação qualitativa da severidade. Os níveis de severidade variam de *Low*, para menos severo, até *High*, para mais severo.
Os níveis de severidade aparecem diretamente no console do Amazon Macie. Eles também estão disponíveis em representações JSON de descobertas no console do Macie, da API Amazon Macie e em resultados de descobertas de dados confidenciais que se correlacionam com descobertas de dados confidenciais. Os níveis de severidade também estão incluídos na busca de eventos que o Macie publica na Amazon EventBridge e nas descobertas para os quais o Macie publica. AWS Security Hub CSPM
**Pontuação de severidade**
Essa é uma representação numérica da severidade. As pontuações de severidade variam de *1* a *3* e são mapeadas diretamente para os níveis de severidade:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/findings-severity.html)
As pontuações de severidade não aparecem diretamente no console do Amazon Macie. No entanto, eles estão disponíveis em representações JSON de descobertas no console do Macie, da API Amazon Macie e em resultados de descobertas de dados confidenciais que se correlacionam com descobertas de dados confidenciais. As pontuações de severidade também estão incluídas na busca de eventos que o Macie publica na Amazon. EventBridge Eles não estão incluídos nas descobertas que Macie publica. AWS Security Hub CSPM
Os tópicos desta seção indicam como o Macie determina a severidade das descobertas de políticas e de dados confidenciais.
**Topics**
+ [Pontuação de severidade das descobertas de políticas](#findings-severity-policy)
+ [Pontuação de severidade de descobertas de dados confidenciais](#findings-severity-mdis)
## Pontuação de severidade das descobertas de políticas
A severidade de uma descoberta de política é baseada na natureza de um possível problema com a segurança ou a privacidade de um bucket geral do S3. A tabela a seguir lista os níveis de severidade que o Amazon Macie atribui a cada tipo de descoberta de política. Para obter uma descrição de cada tipo, consulte [Tipos de descobertas](findings-types.md).
| Tipo de descoberta | Nível de severidade |
| --- | --- |
| Policy:IAMUser/S3BlockPublicAccessDisabled | Alto |
| Policy:IAMUser/S3BucketEncryptionDisabled | Baixo |
| Policy:IAMUser/S3BucketPublic | Alto |
| Policy:IAMUser/S3BucketReplicatedExternally | Alto |
| Policy:IAMUser/S3BucketSharedExternally | Alto |
| Policy:IAMUser/S3BucketSharedWithCloudFront | Médio |
A severidade de uma descoberta de política não muda com base no número de ocorrências da descoberta.
## Pontuação de severidade de descobertas de dados confidenciais
A gravidade de uma descoberta de dados confidenciais é baseada na natureza e no número de ocorrências de dados confidenciais que o Amazon Macie detectou em um objeto do S3. Os tópicos a seguir indicam como o Macie determina a severidade de cada tipo de descoberta de dados confidenciais:
+ [SensitiveData:S3Object/Credentials](#findings-severity-credentials)
+ [SensitiveData:S3Object/CustomIdentifier](#findings-severity-cdis)
+ [SensitiveData:S3Object/Financial](#findings-severity-financial)
+ [SensitiveData:S3Object/Personal](#findings-severity-personal)
+ [SensitiveData:S3Object/Multiple](#findings-severity-multiple)
Para obter detalhes sobre os tipos de dados confidenciais que o Macie pode detectar e relatar em descobertas de dados confidenciais, consulte [Usar identificadores de dados gerenciados](managed-data-identifiers.md) e. [Criar identificadores de dados personalizados](custom-data-identifiers.md)
### SensitiveData:S3Object/Credentials
A:A **SensitiveDatadescoberta** do S3Object/Credentials indica que o Macie detectou dados confidenciais de credenciais em um objeto do S3. Para esse tipo de descoberta, o Macie determina a gravidade com base no tipo e no número de ocorrências dos dados de credenciais que o Macie detectou no objeto.
A tabela a seguir indica os níveis de severidade que o Macie atribui às descobertas que relatam ocorrências de dados de credenciais em um objeto do S3.
| Tipo de dado confidencial | 1 ocorrência | 2 a 99 ocorrências | 100 ou mais ocorrências |
| --- | --- | --- | --- |
| AWS chave de acesso secreta | Alto | Alto | Alto |
| Chave da API do Google Cloud | Alto | Alto | Alto |
| Cabeçalho de autorização básica HTTP | Alto | Alto | Alto |
| JSON Web Token (JWT) | Alto | Alto | Alto |
| Chave privada OpenSSH | Alto | Alto | Alto |
| Chave privada PGP | Alto | Alto | Alto |
| Chave privada do padrão de criptografia de chave pública (PKCS) | Alto | Alto | Alto |
| Chave privada PuTTY | Alto | Alto | Alto |
| Chave da API Stripe | Alto | Alto | Alto |
### SensitiveData:S3Object/CustomIdentifier
A:S3Object/ A **SensitiveDatadescoberta CustomIdentifier** indica que um objeto S3 contém texto que corresponde aos critérios de detecção de um ou mais identificadores de dados personalizados. O objeto pode conter mais de um tipo de dados confidenciais.
Por padrão, o Macie atribui o nível de severidade **Médio** a esse tipo de descoberta. Se o objeto S3 afetado contiver pelo menos uma ocorrência de texto que corresponda aos critérios de detecção de pelo menos um identificador de dados personalizado, o Macie atribuirá automaticamente o nível de severidade **Médio** à descoberta. A severidade da descoberta não muda com base no número de ocorrências de texto que correspondem aos critérios de um identificador de dados personalizado.
No entanto, a severidade desse tipo de descoberta pode variar se você definir configurações de severidade personalizadas para um identificador de dados personalizado que produziu a descoberta. Se for esse o caso, o Macie determina a severidade da seguinte forma:
+ Se o objeto do S3 contiver texto que corresponda aos critérios de detecção de apenas um identificador de dados personalizado, o Macie determinará a severidade da descoberta com base nas configurações de severidade para aquele identificador.
+ Se o objeto do S3 contiver texto que corresponda aos critérios de detecção de mais de um identificador de dados personalizado, o Macie determinará a severidade da descoberta avaliando as configurações de severidade de cada identificador de dados personalizado, determinando qual dessas configurações produz a maior severidade e, em seguida, atribuindo aquela maior severidade à descoberta.
Para revisar as configurações de severidade de um identificador de dados personalizado, você pode usar o console do Amazon Macie ou a API do Amazon Macie. Para revisar as configurações no console, escolha **Identificadores de dados personalizados** no painel de navegação e escolha o nome do identificador de dados personalizado. A seção **Severidade** mostra as configurações. Para recuperar as configurações programaticamente, use a [GetCustomDataIdentifier](https://docs.aws.amazon.com/macie/latest/APIReference/custom-data-identifiers-id.html)operação ou, se estiver usando o AWS Command Line Interface, execute o comando. [get-custom-data-identifier](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-custom-data-identifier.html) Para saber mais sobre as configurações, consulte[Opções de configuração para identificadores de dados personalizados](cdis-options.md).
### SensitiveData:S3Object/Financial
A:S3Object/Financial A **SensitiveDatadescoberta** indica que Macie detectou informações financeiras confidenciais em um objeto S3. Para esse tipo de descoberta, Macie determina a severidade com base no tipo e número de ocorrências das informações financeiras que Macie detectou no objeto.
A tabela a seguir indica os níveis de severidade que o Macie atribui às descobertas que relatam ocorrências de dados financeiros em um objeto do S3.
| Tipo de dado confidencial | 1 ocorrência | 2 a 99 ocorrências | 100 ou mais ocorrências |
| --- | --- | --- | --- |
| Número da conta bancária 1 | Alto | Alto | Alto |
| Data de validade do cartão de crédito | Baixo | Médio | Alto |
| Dados da faixa magnética do cartão de crédito | Alto | Alto | Alto |
| Números de cartão de crédito 2 | Alto | Alto | Alto |
| Código de verificação do cartão de crédito | Médio | Alto | Alto |
1. Os níveis de severidade são os mesmos para qualquer tipo de número de conta bancária; um Número Básico de Conta Bancária (BBAN), um Número Internacional de Conta Bancária (IBAN) ou um número de conta bancária do Canadá ou dos EUA.
1. Os níveis de severidade são os mesmos para números de cartão de crédito que estão ou não próximos a uma palavra-chave.
Se uma descoberta relata vários tipos de informações financeiras em um objeto do S3, Macie determina a severidade da descoberta calculando a severidade de cada tipo de informação financeira detectada por Macie, determinando qual tipo produz a maior severidade e atribuindo a maior severidade à descoberta. Por exemplo, se o Macie detectar 10 datas de vencimento do cartão de crédito (nível de severidade **médio**) e 10 números de cartão de crédito (**alto** nível de severidade) em um objeto, o Macie atribuirá o nível de severidade **alto** à descoberta.
### SensitiveData:S3Object/Personal
A:S3Object/Personal A **SensitiveDatadescoberta** indica que Macie detectou informações pessoais confidenciais em um objeto S3. As informações podem ser informações pessoais de saúde (PHI), informações de identificação pessoal (PII) ou uma combinação das duas. Para esse tipo de descoberta, o Macie determina a gravidade com base no tipo e no número de ocorrências das informações pessoais que o Macie detectou no objeto.
A tabela a seguir indica os níveis de severidade que o Macie atribui às descobertas que relatam ocorrências de dados de confidenciais de PHI em um objeto do S3.
| Tipo de dado confidencial | 1 ocorrência | 2 a 99 ocorrências | 100 ou mais ocorrências |
| --- | --- | --- | --- |
| Número de registro da Agência Antidrogas (DEA) | Alto | Alto | Alto |
| Número de reivindicação de seguro saúde (HICN) | Alto | Alto | Alto |
| Número de identificação médica ou do seguro de saúde | Alto | Alto | Alto |
| Código do Healthcare Common Procedure Coding System (HCPCS) | Alto | Alto | Alto |
| Código Nacional de Medicamentos (NDC) | Alto | Alto | Alto |
| Identificador do provedor nacional (NPI) | Alto | Alto | Alto |
| Identificador exclusivo de dispositivo (UDI) | Baixo | Médio | Alto |
A tabela a seguir indica os níveis de severidade que o Macie atribui às descobertas de dados confidenciais que relatam ocorrências de PII em um objeto do S3.
| Tipo de dado confidencial | 1 ocorrência | 2 a 99 ocorrências | 100 ou mais ocorrências |
| --- | --- | --- | --- |
| Datas de nascimento | Baixo | Médio | Alto |
| Número de identificação da carteira de habilitação | Baixo | Médio | Alto |
| Número de registro eleitoral | Alto | Alto | Alto |
| Nome completo | Baixo | Médio | Alto |
| Coordenadas do sistema de posicionamento global (GPS) | Baixo | Médio | Médio |
| Cookie HTTP | Baixo | Médio | Alto |
| Endereço postal | Baixo | Médio | Alto |
| Número de identificação nacional | Alto | Alto | Alto |
| Número do Seguro Nacional (NINO) | Alto | Alto | Alto |
| Número de passaporte | Médio | Alto | Alto |
| Número de residência permanente | Alto | Alto | Alto |
| Número de telefone | Baixo | Médio | Alto |
| Número do cartão de transporte público | Médio | Médio | Alto |
| Número do Seguro Social (SIN) | Alto | Alto | Alto |
| Número da Previdência Social (SSN) | Alto | Alto | Alto |
| Identificação do contribuinte ou número de referência \$1 | Alto | Alto | Alto |
| Número de identificação de veículo (VIN) | Baixo | Baixo | Médio |
\$1 As exceções são: números CUIT para organizações na Argentina (`ARGENTINA_ORGANIZATION_TAX_IDENTIFICATION_NUMBER`), números NIT para organizações na Colômbia (`COLOMBIA_ORGANIZATION_NIT_NUMBER`) e números RFC para organizações no México (). `MEXICO_ORGANIZATION_RFC_NUMBER` Para esses tipos, os níveis de severidade são: **Médio** para 1 a 99 ocorrências e **Alto** para 100 ou mais ocorrências.
Se uma descoberta relatar vários tipos de informações de PHI, PII ou PHI e PII em um objeto, o Macie determinará a severidade da descoberta calculando a severidade de cada tipo de informação, determinando qual tipo produz a maior severidade e atribuindo a maior severidade à descoberta.
Por exemplo, se o Macie detectar 10 nomes completos (nível de severidade **médio**) e 5 números de passaporte (**alto** nível de severidade) em um objeto, o Macie atribuirá o nível de severidade **alto** à descoberta. Da mesma forma, se Macie detectar 10 nomes completos (nível de severidade **médio**) e 10 números de identificação de seguro saúde (**alto** nível de severidade) em um objeto, Macie atribuirá o nível de severidade **alto** à descoberta.
### SensitiveData:S3Object/Multiple
A:S3Object/A **SensitiveDatadescoberta** múltipla indica que o Macie detectou várias categorias de dados confidenciais em um objeto do S3. Os dados confidenciais podem ser qualquer combinação de dados de credenciais, informações financeiras, informações pessoais ou texto que corresponda aos critérios de detecção de um ou mais identificadores de dados personalizados.
Para esse tipo de descoberta, o Macie determina a gravidade calculando a gravidade de cada tipo de dado confidencial que o Macie detectou (conforme indicado nos tópicos anteriores), determinando qual tipo produz a maior severidade e atribuindo a maior severidade à descoberta.
Por exemplo, se o Macie detectar 10 nomes completos (nível de severidade **médio**) e 10 chaves de acesso AWS secretas (**alto** nível de severidade) em um objeto, o Macie atribuirá o nível de severidade **alto** à descoberta.
# Trabalhar com descobertas de amostras do Macie
Para explorar e aprender sobre os diferentes [tipos de descobertas](findings-types.md) que o Amazon Macie pode gerar, você pode criar amostras de descobertas. Amostras de descobertas usam dados de exemplo e valores de espaço reservado para demonstrar os tipos de informações que cada tipo de descoberta pode conter.
Por exemplo, o exemplo de descoberta **Policy: IAMUser /S3 BucketPublic** contém detalhes sobre um bucket fictício do Amazon Simple Storage Service (Amazon S3). Os detalhes da descoberta incluem dados de exemplo sobre um ator e uma ação que alteraram a lista de controle de acesso (ACL) do bucket e tornaram o bucket acessível ao público. Da mesma forma, a descoberta de **SensitiveDataamostra** de:s3object/multiple contém detalhes sobre uma pasta de trabalho fictícia do Microsoft Excel. Os detalhes da descoberta incluem exemplos de dados sobre os tipos e a localização de dados confidenciais na pasta de trabalho.
Além de se familiarizar com as informações que diferentes tipos de descobertas podem conter, você pode usar exemplos de descobertas para testar a integração com outros aplicativos, serviços e sistemas. Dependendo das [regras de supressão](findings-suppression.md) da sua conta, o Macie pode publicar exemplos de descobertas na Amazon EventBridge como eventos. Os dados de exemplo desses eventos podem ajudá-lo a desenvolver e testar soluções automatizadas para monitorar e processar descobertas com EventBridge. Dependendo das [configurações de publicação](findings-publish-frequency.md) da sua conta, o Macie também publica as descobertas no AWS Security Hub CSPM. Isso significa que você também pode usar amostras de descobertas para desenvolver e testar soluções para avaliar as descobertas do Macie com o Security Hub CSPM. Para obter informações sobre a publicação de descobertas nesses serviços, consulte [Monitorar e processar descobertas](findings-monitor.md).
**Topics**
+ [Como gerar amostras de descobertas](#findings-samples-create)
+ [Analisar exemplos de descobertas](#findings-samples-review)
+ [Suprimir exemplos de descobertas](#findings-samples-suppress)
## Como gerar amostras de descobertas
Você pode criar amostras de descobertas usando o console do Amazon Macie ou a API do Amazon Macie. Se você usa o console, o Macie gera automaticamente um exemplo de descoberta para cada tipo de descoberta compatível com o Macie. Se você usar a API, poderá criar um exemplo para cada tipo ou somente para determinados tipos que você especificar.
------
#### [ Console ]
Siga estas etapas para criar amostras de descobertas usando o console do Amazon Macie.
**Para criar exemplos de descobertas**
1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. No painel de navegação, selecione **Configurações**.
1. Em **Sample findings**, escolha **Generate sample findings**.
------
#### [ API ]
Para criar amostras de descobertas de forma programática, use a [CreateSampleFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings-sample.html)operação da API Amazon Macie. Ao enviar sua solicitação, opcionalmente use o parâmetro `findingTypes` para especificar somente determinados tipos de descobertas de amostra a serem criadas. Para criar automaticamente exemplos de todos os tipos, não inclua esse parâmetro na sua solicitação.
Para criar exemplos de descobertas usando o AWS Command Line Interface(AWS CLI), execute o [create-sample-findings](https://docs.aws.amazon.com/cli/latest/reference/macie2/create-sample-findings.html)comando. Para criar automaticamente amostras de todos os tipos de descobertas, não inclua o parâmetro `finding-types`. Para criar exemplos somente de determinados tipos de descobertas, inclua esse parâmetro e especifique os tipos de exemplos de descobertas a serem criados. Por exemplo:
```
C:\> aws macie2 create-sample-findings --finding-types "SensitiveData:S3Object/Multiple" "Policy:IAMUser/S3BucketPublic"
```
Onde *SensitiveData:S3Object/Multiple* é um tipo de descoberta de dados confidenciais a ser criada e *Policy:IAMUser/S3BucketPublic* é um tipo de descoberta de política a ser criada.
Se o comando for executado com sucesso, o Macie retornará uma resposta vazia.
------
Se você criar amostras de descobertas novamente em 90 dias, o Macie gerará uma nova descoberta para cada tipo de descoberta de dados confidenciais que você criar. Para descobertas de políticas, o Macie atualiza cada descoberta de amostra existente incrementando a contagem de ocorrências e atualizando detalhes sobre quando a ocorrência subsequente ocorreu.
## Analisar exemplos de descobertas
Para ajudar você a identificar os exemplos de descobertas, o Amazon Macie define o valor do campo **Exemplo** de cada exemplo de descoberta como *Verdadeiro*. Além disso, o nome do bucket S3 afetado é o mesmo para todas as descobertas de amostra: *macie-sample-finding-bucket*. Se você analisar amostras de descobertas usando as páginas **Descobertas** no console do Amazon Macie, o Macie também exibirá o prefixo **[EXEMPLO]** no campo **Tipo de descoberta** para cada exemplo de descoberta.
------
#### [ Console ]
Siga estas etapas para analisar amostras de descobertas usando o console do Amazon Macie.
**Para revisar amostras de descobertas**
1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. No painel de navegação, selecione **Descobertas**.
1. Na página **Descobertas** siga um destes procedimentos:
+ Na coluna **Tipo de descoberta**, localize descobertas cujo tipo comece com **[EXEMPLO]**, conforme mostrado na imagem a seguir.
![\[A coluna Tipo de descoberta na página Descobertas. Lista as descobertas que têm o prefixo [EXEMPLO].\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/scrn-findings-samples-all.png)
+ Usando a caixa **Critérios de filtro** acima da tabela, filtre a tabela para exibir somente descobertas de exemplos. Para fazer isso, coloque o cursor na caixa. Na lista de campos exibida, selecione **Exemplo**. Selecione **Verdadeiro** e, em seguida, selecione **Aplicar**.
1. Para analisar os detalhes de um exemplo de descoberta específico, selecione a descoberta. O painel de detalhes exibirá informações sobre a descoberta.
Você também pode baixar e salvar os detalhes de um ou mais exemplos de descobertas como um arquivo JSON. Para fazer isso, marque a caixa de seleção para cada amostra de descoberta que você deseja baixar e salvar. Em seguida, selecione **Exportar (JSON)** no menu **Ações** na parte superior da página **Descobertas**. Na janela exibida, selecione **Baixar**. Para obter descrições detalhadas dos campos JSON que uma descoberta pode incluir, consulte [Descobertas](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html) na *Referência de API do Amazon Macie*.
------
#### [ API ]
Para analisar as descobertas da amostra de forma programática, primeiro use a [ListFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings.html)operação da API do Amazon Macie para recuperar o identificador exclusivo `findingId` () para cada descoberta de amostra que você criou. Em seguida, use a [GetFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html)operação para recuperar os detalhes dessas descobertas.
Ao enviar a solicitação de **ListFindings**, você pode especificar critérios de filtro para incluir somente resultados de amostra nos resultados. Para fazer isso, adicione uma condição de filtro onde o valor do campo `sample` seja `true`. Se você estiver usando o AWS CLI, execute o comando [list-findings](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-findings.html) e use o `finding-criteria` parâmetro para especificar a condição do filtro. Por exemplo:
```
C:\> aws macie2 list-findings --finding-criteria={\"criterion\":{\"sample\":{\"eq\":[\"true\"]}}}
```
Se a sua solicitação for realizada com êxito, o Macie retornará uma matriz `findingIds`. A matriz lista o identificador exclusivo de cada descoberta de exemplo para sua conta na Região da AWS atual.
Para então recuperar os detalhes das descobertas da amostra, especifique esses identificadores exclusivos em uma **GetFindings** solicitação ou, para o AWS CLI, ao executar o comando [get-findings](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-findings.html).
------
## Suprimir exemplos de descobertas
Como outras descobertas, o Amazon Macie armazena exemplos de descobertas por 90 dias. Depois de concluir a revisão e a experimentação das amostras, você pode arquivá-las, opcionalmente, [criando uma regra de supressão](findings-suppression-rule-create.md). Se você fizer isso, os exemplos de descobertas deixarão de aparecer por padrão no console e seu status mudará para *arquivado*.
Para arquivar amostras de descobertas usando o console do Amazon Macie, configure a regra para arquivar descobertas em que o valor do campo **Amostra** seja **Verdadeiro**. Para arquivar amostras de descobertas usando a API do Amazon Macie, configure a regra para arquivar descobertas em que o valor do campo `sample` seja `true`.
# Analisar descobertas do Macie usando o console
O Amazon Macie monitora seu AWS ambiente e gera descobertas de políticas quando detecta possíveis violações de políticas ou problemas com a segurança ou a privacidade de seus buckets de uso geral do Amazon Simple Storage Service (Amazon S3). O Macie gera descobertas de dados confidenciais quando detecta dados confidenciais em objetos do S3. O Macie armazena suas descobertas de políticas e dados confidenciais por 90 dias.
Cada descoberta especifica um [tipo de descoberta](findings-types.md) e uma [classificação de severidade](findings-severity.md). Detalhes adicionais incluem informações sobre o recurso afetado e quando e como Macie encontrou o problema ou dados confidenciais relatados pela descoberta. A severidade e os detalhes de cada descoberta variam de acordo com o tipo e a natureza da descoberta.
Ao usar o console do Amazon Macie, você pode revisar e analisar descobertas e acessar os detalhes de descobertas individuais. Você também pode exportar uma ou mais descobertas para um arquivo JSON. Para agilizar sua análise, o console oferece várias opções que podem ajudá-lo a criar visualizações personalizadas das descobertas.
**Use agrupamentos predefinidos**
Use páginas específicas para analisar as descobertas agrupadas por critérios, como bucket do S3 afetado, tipo de descoberta ou trabalho de descoberta de dados confidenciais. Com essas páginas, você pode analisar as estatísticas agregadas de cada grupo, como a contagem de descobertas por severidade. Você também pode detalhar para analisar os detalhes de descobertas individuais em um grupo e aplicar filtros para refinar sua análise.
Por exemplo, se você agrupar todas as descobertas por bucket do S3 e observar que um determinado bucket tem uma violação de política, você pode determinar rapidamente se também há descobertas de dados confidenciais para o bucket. Para fazer isso, selecione **Por bucket** no painel de navegação (em **Descobertas**) e, em seguida, selecione o bucket. No painel de detalhes exibido, a seção **Descobertas por tipo** lista os tipos de descobertas que se aplicam ao bucket, conforme mostrado na imagem a seguir.
![\[O painel de detalhes de um bucket na página Descobertas por bucket.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/scrn-findings-group-bucket.png)
Para investigar um tipo específico, selecione o número do tipo. O Macie exibe uma tabela de todas as descobertas que correspondem ao tipo selecionado e se aplicam ao bucket do S3. Para refinar os resultados, filtre a tabela.
**Crie e aplique filtros**
Use atributos de descoberta específicos para incluir ou excluir determinadas descobertas de uma tabela de **descobertas**. *Atributo de descoberta* é um campo que armazena dados específicos para uma descoberta, como tipo de descoberta, severidade ou nome do bucket do S3 afetado. Se você filtrar uma tabela, poderá identificar com mais facilidade as descobertas que têm características específicas. Em seguida, você pode analisar essas descobertas detalhadamente.
Por exemplo, para analisar todas as descobertas de dados confidenciais, adicione critérios de filtro ao campo **Categoria**. Para refinar os resultados e incluir somente um tipo específico de descoberta de dados confidenciais, adicione critérios de filtro para o campo **Tipo de descoberta**. Por exemplo:
![\[A caixa de critérios de filtro, na página Descobertas, com tokens de filtro para duas condições.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/scrn-findings-filter-bar-sd-example.png)
Para depois analisar os detalhes de uma descoberta específica, selecione a descoberta. O painel de detalhes exibirá informações sobre a descoberta.
É possível classificar descobertas gerenciadas pelo cliente em ordem ascendente ou descendente pelos campos determinados. Para fazer isso, clique no título da coluna do campo. Para alterar a ordem de classificação, selecione outra vez o título da coluna.
**Para analisar descobertas usando o console**
1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. No painel de navegação, selecione **Descobertas**. A página **Descobertas** exibe as descobertas que Macie criou ou atualizou para sua conta atualmente nos Região da AWS últimos 90 dias. Por padrão, isso não inclui descobertas que foram suprimidas por uma regra de [supressão](findings-suppression.md).
1. Para articular e analisar as descobertas por meio de um grupo lógico predefinido, selecione **Por bucket**, **Por tipo** ou **Por trabalho** no painel de navegação (em **Descobertas)**). Em seguida, selecione um item na tabela. No painel de detalhes, selecione o link do campo para dinamizar.
1. Para filtrar as descobertas por critérios específicos, use as opções de filtro acima da tabela:
+ Para exibir descobertas que foram suprimidas por uma regra de supressão, use o menu **Status da busca**. Escolha **Tudo** para exibir descobertas suprimidas e não suprimidas, ou escolha **Arquivado** para exibir somente descobertas suprimidas. Para ocultar novamente as descobertas suprimidas, selecione **Atual**.
+ Para exibir somente as descobertas que têm um atributo específico, use a caixa **Filtrar critérios**. Coloque o cursor na caixa e adicione uma condição de filtro para o atributo. Para refinar ainda mais os resultados, adicione condições para atributos adicionais. Para então remover uma condição, selecione o ícone de remoção da condição (![\[The remove filter condition icon, which is a circle that has an X in it.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/icon-filter-remove.png)) da condição a ser removida.
Para obter mais informações sobre filtragem, consulte [Criar e aplicar filtros às descobertas do Macie](findings-filter-procedure.md).
1. Para classificar as descobertas por um campo específico, clique no título da coluna do campo. Para alterar a ordem de classificação, selecione outra vez o título da coluna.
1. Para visualizar os detalhes de uma determinada descoberta, selecione a descoberta. O painel de detalhes exibirá informações sobre a descoberta.
**Dicas**
No painel de detalhes, você pode dinamizar e detalhar determinados campos. Para mostrar descobertas que tenham o mesmo valor para um campo, selecione ![\[The zoom in icon, which is a magnifying glass that has a plus sign in it.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/icon-magnifying-glass-plus-sign.png) no campo. Escolha ![\[The zoom out icon, which is a magnifying glass that has a minus sign in it.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/icon-magnifying-glass-minus-sign.png) mostrar descobertas que tenham outros valores para o campo.
Para uma descoberta de dados confidenciais, você também pode usar o painel de detalhes para investigar dados confidenciais que Macie encontrou no objeto S3 afetado:
Para localizar ocorrências de um tipo específico de dados confidenciais, selecione o link numérico no campo para esse tipo de dados. O Macie exibe informações (no formato JSON) sobre onde o Macie encontrou os dados. Para obter mais informações, consulte [Localizar dados confidenciais](findings-locate-sd.md).
Para recuperar amostras dos dados confidenciais que o Macie encontrou, selecione **Analisar** no campo **Revelar amostras**. Para obter mais informações, consulte [Recuperar amostras de dados confidenciais](findings-retrieve-sd.md).
Para navegar até o resultado correspondente da descoberta de dados confidenciais, selecione o link no campo **Localização detalhada do resultado**. Macie abre o console do Amazon S3 e exibe o arquivo ou pasta que contém o resultado da descoberta. Para obter mais informações, consulte [Armazenamento e retenção de resultados de descoberta de dados confidenciais](discovery-results-repository-s3.md).
1. Para baixar e salvar os detalhes de uma ou mais descobertas como um arquivo JSON, marque a caixa de seleção de cada descoberta para baixar e salvar. Em seguida, escolha **Exportar (JSON)** no menu **Ações**. Na janela exibida, selecione **Baixar**. Para obter descrições detalhadas dos campos JSON que uma descoberta pode incluir, consulte [Descobertas](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html) na *Referência de API do Amazon Macie*.
Em certos casos, uma descoberta pode não incluir todos os detalhes de um bucket do S3 afetado. Isso pode ocorrer se você armazenar mais de 10.000 buckets no Amazon S3. O Macie mantém dados completos de inventário de apenas 10.000 compartimentos de uma conta — os 10.000 compartimentos que foram criados ou alterados mais recentemente. Para analisar detalhes adicionais de um bucket afetado, você pode usar os dados na descoberta para determinar o nome do bucket, o ID da conta do Conta da AWS proprietário do bucket e do Região da AWS que armazena o bucket. Em seguida, você pode usar o Amazon S3 para revisar todos os detalhes do bucket.
# Filtrar descobertas do Macie
Para realizar análises direcionadas e analisar as descobertas com mais eficiência, você pode filtrar as descobertas do Amazon Macie. Com filtros, você cria visualizações e consultas personalizadas para descobertas, o que pode ajudá-lo a identificar e enfocar descobertas com características específicas. Use o console do Amazon Macie para filtrar descobertas ou enviar consultas programaticamente usando a API do Amazon Macie.
Ao criar um filtro, você usa atributos específicos das descobertas para definir critérios para incluir ou excluir descobertas de uma exibição ou dos resultados da consulta. *Atributo de descoberta* é um campo que armazena dados específicos para uma descoberta, como gravidade, tipo ou nome do bucket do S3 ao qual a descoberta se aplica.
No Macie, um filtro consiste em uma ou mais condições. Cada condição, também chamada de *critério*, consiste em três partes:
+ Um campo baseado em atributos, como **Gravidade** ou **tipo de descoberta**.
+ Um operador, como *igual a* ou *não igual a*.
+ Um ou mais valores. O tipo e o número de valores dependem do campo e do operador que você escolher.
Se você criar um filtro que queira usar novamente, poderá salvá-lo como uma *regra de filtro*. Uma *regra de filtro* é um conjunto de critérios de filtro que você cria e salva para reaplicar ao analisar as descobertas no console do Amazon Macie.
Você também pode salvar um filtro como *regra de supressão*. Uma *regra de supressão* é um conjunto de critérios de filtro que você cria e salva para arquivar automaticamente descobertas que correspondam aos critérios da regra. Para saber mais sobre regras de supressão, consulte [Suprimir descobertas](findings-suppression.md).
**Topics**
+ [Fundamentos de filtro](findings-filter-basics.md)
+ [Campos para filtrar descobertas](findings-filter-fields.md)
+ [Criar e aplicar filtros](findings-filter-procedure.md)
+ [Definir regras de filtro](findings-filter-rule-procedures.md)
# Fundamentos da filtragem de descobertas do Macie
Ao filtrar descobertas, lembre-se dos atributos e diretrizes a seguir. Observe também que os resultados filtrados estão limitados aos 90 dias anteriores e aos Região da AWS atuais. O Amazon Macie armazena suas descobertas por apenas 90 dias em cada uma. Região da AWS
**Topics**
+ [Uso de várias condições em um filtro](#findings-filter-basics-multiple-criteria)
+ [Especificando valores para campos](#findings-filter-basics-value-types)
+ [Especificando vários valores para um campo](#findings-filter-basics-multiple-values)
+ [Usando operadores em condições](#findings-filter-basics-operators)
## Uso de várias condições em um filtro
Um filtro pode incluir uma ou mais condições. Cada condição, também chamada de *critério*, consiste em três partes:
+ Um campo baseado em atributos, como **Gravidade** ou **tipo de descoberta**. Para obter uma lista de campos que você pode usar, consulte [Campos para filtrar descobertas do Macie](findings-filter-fields.md).
+ Um operador, como *igual* ou *não igual*. Para obter uma lista de operadores que você pode usar, consulte [Usando operadores em condições](#findings-filter-basics-operators).
+ Um ou mais valores. O tipo e o número de valores dependem do campo e do operador que você escolher.
Se um filtro contiver várias condições, o Amazon Macie usará a lógica AND para unir as condições e avaliar os critérios do filtro. Isso significa que uma descoberta corresponde aos critérios do filtro somente se corresponder a *todas* as condições do filtro.
Por exemplo, se você adicionar uma condição para incluir somente descobertas de alta gravidade e adicionar outra condição para incluir somente descobertas de dados confidenciais, o Macie retornará todas as descobertas de dados confidenciais de alta gravidade. Em outras palavras, o Macie exclui todas as conclusões de políticas e todas as descobertas de dados confidenciais de gravidade média e baixa.
Você pode usar um campo somente uma vez em um filtro. No entanto, você pode especificar vários valores para vários campos.
Por exemplo, se uma condição usa o campo **Gravidade** para incluir somente descobertas de alta gravidade, você não pode usar o campo **Gravidade** em outra condição para incluir descobertas de gravidade média ou baixa. Em vez disso, especifique vários valores para a condição existente ou use um operador diferente para a condição existente. *Por exemplo, para incluir todas as descobertas de gravidade média e alta, adicione uma condição **Gravidade** *igual* a *Média, Alta* ou adicione uma condição **Gravidade** *não* igual a Baixa*.
## Especificando valores para campos
Quando você especifica um valor para um campo, o valor precisa estar em conformidade com o tipo de dados subjacente do campo. Dependendo do campo, você pode especificar um dos seguintes tipos de valores.
**Matriz de texto (sequências de caracteres)**
Especifica uma lista de valores de texto (string) para um campo. **Cada string se correlaciona a um valor predefinido ou existente para um campo — por exemplo, *Alto* para o campo **Severidade**, :S3Object/Financial para o campo **Tipo de descoberta ou o nome de um bucket do S3 *SensitiveDatapara* o campo de nome** do bucket do S3.**
Se você usar uma matriz, observe o seguinte:
+ Os valores diferenciam maiúsculas de minúsculas.
+ Você não pode especificar valores parciais nem usar caracteres curinga nos valores. Você precisa especificar um valor completo e válido para o campo.
Por exemplo, para filtrar as descobertas de um bucket do S3 chamado *my-S3-bucket*, insira **my-S3-bucket** como valor para o campo de **nome do bucket do S3.** Se você inserir qualquer outro valor, como **my-s3-bucket** ou **my-S3**, o Macie não retornará as descobertas para o bucket.
Para obter uma lista de valores válidos para cada campo, consulte [Campos para filtrar descobertas do Macie](findings-filter-fields.md).
Você pode especificar até 50 valores em uma matriz. A forma como você especifica os valores depende do uso do console do Amazon Macie ou da API do Amazon Macie, conforme discutido em [Especificando vários valores para um campo](#findings-filter-basics-multiple-values).
**Booleano**
Especifica um dos dois valores mutuamente exclusivos para um campo.
Se você usar o console do Amazon Macie para especificar esse tipo de valor, o console fornecerá uma lista de valores para você escolher. Se você usa a API do Amazon Macie, especifique `true` ou `false` para o valor.
**Data/hora (e intervalos de tempo)**
Especifica uma data e hora absolutas para um campo. Se você especificar esse tipo de valor, precisará especificar uma data e uma hora.
No console do Amazon Macie, os valores de data e hora estão em seu fuso horário local e usam notação de 24 horas. Em todos os outros contextos, esses valores estão no Tempo Universal Coordenado (UTC) e no formato ISO 8601 estendido, por exemplo, `2020-09-01T14:31:13Z` para 14:31:13 UTC de 1º de setembro de 2020.
Se um campo armazenar um date/time valor, você poderá usar o campo para definir um intervalo de tempo fixo ou relativo. Por exemplo, você pode incluir somente as descobertas que foram criadas entre duas datas e horários específicos ou somente aquelas que foram criadas antes ou depois de uma data e hora específicas. A forma como você define um intervalo de tempo depende se você usa o console do Amazon Macie ou a API do Amazon Macie:
+ No console, use um seletor de data ou insira o texto diretamente nas caixas **De** e **Para**.
+ Com a API, defina um intervalo de tempo fixo adicionando uma condição que especifica a primeira data e hora no intervalo e adicione outra condição que especifica a última data e hora no intervalo. Se você fizer isso, Macie usa a lógica AND para unir as condições. Para definir um intervalo de tempo relativo, adicione uma condição que especifique a primeira ou a última data e hora no intervalo. Especifique os valores como timestamps Unix em milissegundos, por exemplo, `1604616572653` para 22:49:32 UTC de 5 de novembro de 2020.
No console, os intervalos de tempo são inclusivos. Com a API, os intervalos de tempo podem ser inclusivos ou exclusivos, dependendo do operador que você escolher.
**Número (e intervalos numéricos)**
Especifica um número inteiro longo para um campo.
Se um campo armazenar um valor de data/hora, você poderá usar o campo para definir um intervalo de tempo fixo ou relativo. Por exemplo, você pode incluir somente as descobertas que relatam de 50 a 90 ocorrências de dados confidenciais em um objeto do S3. A forma como você define um intervalo de tempo depende se você usa o console do Amazon Macie ou a API do Amazon Macie:
+ No console, use as caixas **De** e **Para para** inserir os números mais baixos e mais altos no intervalo, respectivamente.
+ Com a API, defina um intervalo de tempo fixo adicionando uma condição que especifica a primeira data e hora no intervalo e adicione outra condição que especifica a última data e hora no intervalo. Se você fizer isso, Macie usa a lógica AND para unir as condições. Para definir um intervalo numérico relativo, adicione uma condição que especifique o menor ou o maior número no intervalo.
No console, os intervalos de tempo são inclusivos. Com a API, os intervalos de tempo podem ser inclusivos ou exclusivos, dependendo do operador que você escolher.
**Texto (string)**
Especifica uma lista de valores de texto (string) para um campo. A string está correlacionada a um valor predefinido ou existente para um campo, por exemplo, *Alto* para o campo **Gravidade**, o nome de um bucket do S3 para o campo de **nome do bucket do S3** ou o identificador exclusivo de um trabalho de descoberta de dados confidenciais para o campo **Job ID**.
Se você especificar uma única sequência de texto, observe o seguinte:
+ Os valores diferenciam maiúsculas de minúsculas.
+ Você não pode especificar valores parciais nem usar caracteres curinga nos valores. Você precisa especificar um valor completo e válido para o campo.
Por exemplo, para filtrar as descobertas de um bucket do S3 chamado *my-S3-bucket*, insira **my-S3-bucket** como valor para o campo de **nome do bucket do S3.** Se você inserir qualquer outro valor, como **my-s3-bucket** ou **my-S3**, o Macie não retornará as descobertas para o bucket.
Para obter uma lista de valores válidos para cada campo, consulte [Campos para filtrar descobertas do Macie](findings-filter-fields.md).
## Especificando vários valores para um campo
Com determinados campos e operadores, você pode especificar vários valores para um campo. Se você fizer isso, o Amazon Macie usará a lógica OR para unir os valores e avaliar os critérios do filtro. Isso significa que uma descoberta corresponde aos critérios se tiver *algum* dos valores do campo.
Por exemplo, se você adicionar uma condição para incluir descobertas em que o valor do campo **Tipo de descoberta** seja igual a: S3 *SensitiveData,* o Object/Financial, SensitiveData:S3Object/Personal Macie retornará descobertas de dados confidenciais para objetos do S3 que contêm somente informações financeiras e objetos do S3 que contêm somente informações pessoais. Em outras palavras, Macie exclui todas as descobertas de políticas. O Macie também exclui todas as descobertas de dados confidenciais para objetos que contêm outros tipos de dados confidenciais ou vários tipos de dados confidenciais.
A exceção está nas condições que usam o operador *eqExactMatch*. Se você fizer isso, Macie usa a lógica OR para unir os valores e avaliar os critérios do filtro. Isso significa que uma descoberta corresponde aos critérios somente se tiver *todos os* valores para o campo e *somente* esses valores para o campo. Para saber mais sobre esse operador, consulte [Usando operadores em condições](#findings-filter-basics-operators).
A forma como você especifica os valores depende do uso do console do Amazon Macie ou da API do Amazon Macie, conforme discutido em . Com a API, você usa uma matriz que lista os valores.
No console, você normalmente escolhe os valores de uma lista. No entanto, para alguns campos, você precisa adicionar uma condição distinta para cada valor. Por exemplo, para incluir descobertas de dados que o Macie detectou usando determinados identificadores de dados personalizados, faça o seguinte:
1. Coloque o cursor na caixa **Critérios de filtro** e selecione o campo **Nome do identificador de dados personalizado**. Insira o nome de um identificador de dados personalizado e selecione **Aplicar**.
1. Repita a etapa anterior para cada identificador de dados personalizado adicional que você deseja especificar para o filtro.
Para obter uma lista dos campos para os quais você precisa fazer isso, consulte [Campos para filtrar descobertas do Macie](findings-filter-fields.md).
## Usando operadores em condições
Você pode usar os seguintes tipos de operadores em condições individuais.
**Igual a (eq)**
Corresponde (=) a qualquer valor especificado para o campo. Você pode usar o operador *igual a* com os seguintes tipos de valores: matriz de texto (cadeias de caracteres), booleano, data/hora, número e texto (sequência de caracteres).
Para muitos campos, você pode usar esse operador e especificar até 50 valores para o campo. Se você fizer isso, o Amazon Macie usará a lógica OR para unir os valores. Isso significa que uma descoberta corresponde aos critérios se tiver *algum* dos valores do campo.
Por exemplo:
+ Para incluir descobertas que relatam ocorrências de informações financeiras, informações pessoais ou informações financeiras e pessoais, adicione uma condição que use o campo **Categoria de dados confidenciais** e esse operador e especifique *Informações financeiras* e *Informações pessoais* como valores para o campo.
+ Para incluir descobertas que relatam ocorrências de números de cartão de crédito, endereços de correspondência ou números de cartão de crédito e endereços de correspondência, adicione uma condição para o campo **Tipo de detecção de dados confidenciais**, use esse operador e especifique *CREDIT\$1CARD\$1NUMBER* e *ADDRESS* como valores para o campo.
Se você usar a API do Amazon Macie para definir uma condição que usa esse operador com um date/time valor, especifique o valor como um timestamp Unix em milissegundos — por exemplo, para 22:49:32 UTC de 5 de novembro de 2020. `1604616572653`
**Igual à correspondência exata (eqExactMatch)**
Corresponde exclusivamente a todos os valores especificados para o campo. Você pode usar o operador de *igual a correspondência exata* com um conjunto selecionado de campos.
Se você usar esse operador e especificar vários valores para um campo, o Macie usa a lógica AND para unir os valores. Isso significa que uma descoberta corresponde aos critérios somente se tiver *todos* os valores para o campo e *somente* esses valores para o campo. Você pode especificar até 50 valores para o campo.
Por exemplo:
+ Para incluir descobertas que relatam ocorrências de números de cartão de crédito e nenhum outro tipo de dado confidencial, adicione uma condição para o campo **Tipo de detecção de dados confidenciais**, use esse operador e especifique *CREDIT\$1CARD\$1NUMBER* como o único valor para o campo.
+ Para incluir descobertas que relatam ocorrências de números de cartão de crédito e nenhum outro tipo de dado confidencial, adicione uma condição para o campo **Tipo de detecção de dados confidenciais**, use esse operador e especifique *CREDIT\$1CARD\$1NUMBER* e *ADDRESS* como valores para o campo.
Como o Macie usa a lógica AND para unir os valores de um campo, você não pode usar esse operador em combinação com outros operadores para o mesmo campo. Em outras palavras, se você usar o operador de *igual a correspondência exata* a um campo em uma condição, precisará usá-lo em todas as outras condições que usam o mesmo campo.
Como outros operadores, você pode usar o operador de *igual a correspondência exata* em mais de uma condição em um filtro. Se você fizer isso, Macie usa a lógica AND para unir as condições. Isso significa que uma descoberta corresponde aos critérios do filtro somente se tiver *todos* os valores especificados por *todas* as condições do filtro.
Por exemplo, para incluir descobertas que foram criadas após um certo tempo, relatar ocorrências de números de cartão de crédito e não relatar nenhum outro tipo de dado confidencial, faça o seguinte:
1. Adicione uma condição que use o campo **Criado em**, use o operador *maior que* e especifique a data e a hora de início do filtro.
1. Adicione outra condição que use o campo **Tipo de detecção de dados confidenciais**, use o operador de *igual a correspondência exata* e especifique *CREDIT\$1CARD\$1NUMBER* como o único valor para o campo.
Você pode usar o operador de *igual a correspondência exata* com os seguintes campos:
+ Identificador de dados personalizado (`customDataIdentifiers.detections.arn`)
+ Nome do identificador de dados personalizado (`customDataIdentifiers.detections.name`)
+ Chave de tag de bucket S3 (`resourcesAffected.s3Bucket.tags.key`)
+ Valor de tag de bucket S3 (`resourcesAffected.s3Bucket.tags.value`)
+ Chave de tag de objeto S3 (`resourcesAffected.s3Object.tags.key`)
+ Valor da tag de objeto S3 (`resourcesAffected.s3Object.tags.value`)
+ Tipo de detecção de dados confidenciais (`sensitiveData.detections.type`)
+ Categoria de dados confidenciais (`sensitiveData.category`)
Na lista anterior, o nome entre parênteses usa a notação de pontos para indicar o nome do campo nas representações JSON das descobertas e na API Amazon Macie.
**Maior que (gt)**
É maior que (>) o valor especificado para o campo. Você pode usar o operador *maior que* com valores numéricos e de data/hora.
Por exemplo, para incluir somente as descobertas que relatam mais de 90 ocorrências de dados confidenciais em um objeto do S3, adicione uma condição que use o campo **Contagem total de dados confidenciais** e esse operador e especifique 90 como o valor do campo. Para fazer isso no console do Amazon Macie, insira **91** na caixa **De**, não insira um valor na caixa **Para** e selecione **Aplicar**. As comparações numéricas e baseadas em tempo estão incluídas no console.
Se você usar a API do Amazon Macie para definir um intervalo de tempo que usa esse operador, precisará especificar date/time os valores como timestamps Unix em milissegundos — por exemplo, para 22:49:32 UTC de 5 de novembro de 2020. `1604616572653`
**Maior ou igual a (gte)**
É maior ou igual ao (>=) valor especificado para o campo. Você pode usar o operador *maior ou igual a* com números e date/time valores.
Por exemplo, para incluir somente as descobertas que relatam mais de 90 ocorrências de dados confidenciais em um objeto do S3, adicione uma condição que use o campo **Contagem total de dados confidenciais** e esse operador e especifique 90 como o valor do campo. Para fazer isso no console do Amazon Macie, insira **90** na caixa **De**, não insira um valor na caixa **Para** e selecione **Aplicar**.
Se você usar a API do Amazon Macie para definir um intervalo de tempo que usa esse operador, precisará especificar date/time os valores como timestamps Unix em milissegundos — por exemplo, para 22:49:32 UTC de 5 de novembro de 2020. `1604616572653`
**Menor que (lt)**
É menor que (>) o valor especificado para o campo. Você pode usar o operador *menor que* com valores numéricos e de data/hora.
Por exemplo, para incluir somente as descobertas que relatam mais de 90 ocorrências de dados confidenciais em um objeto do S3, adicione uma condição que use o campo **Contagem total de dados confidenciais** e esse operador e especifique 90 como o valor do campo. Para fazer isso no console do Amazon Macie, insira **89** na caixa **De**, não insira um valor na caixa **Para** e selecione **Aplicar**. As comparações numéricas e baseadas em tempo estão incluídas no console.
Se você usar a API do Amazon Macie para definir um intervalo de tempo que usa esse operador, precisará especificar date/time os valores como timestamps Unix em milissegundos — por exemplo, para 22:49:32 UTC de 5 de novembro de 2020. `1604616572653`
**Menor ou igual a (lte)**
É menor ou igual ao (<=) valor especificado para o campo. Você pode usar o operador *menor ou igual a* com números e date/time valores.
Por exemplo, para incluir somente as descobertas que relatam 90 ou menos ocorrências de dados confidenciais em um objeto do S3, adicione uma condição que use o campo **Contagem total de dados confidenciais** e esse operador e especifique 90 como o valor do campo. Para fazer isso no console do Amazon Macie, insira **90** na caixa **Até**, não insira um valor na caixa **De** e selecione **Aplicar**.
Se você usar a API do Amazon Macie para definir um intervalo de tempo que usa esse operador, precisará especificar date/time os valores como timestamps Unix em milissegundos — por exemplo, para 22:49:32 UTC de 5 de novembro de 2020. `1604616572653`
**Não são iguais (neq)**
Não corresponde (=) a qualquer valor especificado para o campo. Você pode usar o operador *não igual a* com os seguintes tipos de valores: matriz de texto (cadeias de caracteres), booleano, data/hora, número e texto (sequência de caracteres).
Para muitos campos, você pode usar esse operador e especificar até 50 valores para o campo. Se você fizer isso, Macie usa a lógica OR para unir as condições. Isso significa que uma descoberta corresponde aos critérios se tiver *algum* dos valores do campo.
Por exemplo:
+ Para excluir descobertas que relatam ocorrências de informações financeiras, informações pessoais ou informações financeiras e pessoais, adicione uma condição que use o campo **Categoria de dados confidenciais** e esse operador e especifique *Informações financeiras* e *Informações pessoais* como valores para o campo.
+ Para excluir descobertas que relatam ocorrências de números de cartão de crédito, adicione uma condição para o campo **Tipo de detecção de dados confidenciais**, use esse operador e especifique *CREDIT\$1CARD\$1NUMBER* como o único valor para o campo.
+ Para excluir descobertas que relatam ocorrências de números de cartão de crédito, endereços de correspondência ou números de cartão de crédito e endereços de correspondência, adicione uma condição para o campo **Tipo de detecção de dados confidenciais**, use esse operador e especifique *CREDIT\$1CARD\$1NUMBER* e *ADDRESS* como valores para o campo.
Se você usar a API do Amazon Macie para definir uma condição que usa esse operador com um date/time valor, especifique o valor como um timestamp Unix em milissegundos — por exemplo, para 22:49:32 UTC de 5 de novembro de 2020. `1604616572653`
# Campos para filtrar descobertas do Macie
Para ajudar você a analisar as descobertas com mais eficiência, o console do Amazon Macie e a API do Amazon Macie fornecem acesso a vários conjuntos de campos para filtrar as descobertas:
+ **Campos comuns**: esses campos armazenam dados que se aplicam a qualquer tipo de descoberta. Eles se correlacionam com atributos comuns das descobertas, como severidade, tipo de descoberta e ID da descoberta.
+ **Campos de recursos afetados**: esses campos armazenam dados sobre os recursos aos quais uma descoberta se aplica, como nome, tags e configurações de criptografia de um bucket ou objeto do S3 afetado.
+ **Campos de descobertas da política**: esses campos armazenam dados específicos das descobertas da política, como a ação que produziu uma descoberta e a entidade que executou a ação.
+ **Campos de descobertas de dados confidenciais**: esses campos armazenam dados específicos das descobertas de dados confidenciais, como a categoria e os tipos de dados confidenciais que o Macie encontrou em um objeto do S3 afetado.
Um filtro pode usar uma combinação de campos de qualquer um dos conjuntos anteriores. Os tópicos desta seção listam e descrevem campos individuais em cada conjunto. Para obter detalhes adicionais sobre esses campos, incluindo quaisquer relações entre os campos, consulte [Descobertas](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html) na *Referência de API do Amazon Macie*.
**Topics**
+ [Campos comuns](#findings-filter-fields-common)
+ [Campos de recursos afetados](#findings-filter-fields-affected-resource)
+ [Campos para descobertas de políticas](#findings-filter-fields-policy)
+ [Campos para descobertas de dados confidenciais](#findings-filter-fields-sd)
## Campos comuns
A tabela a seguir lista e descreve os campos que você pode usar para filtrar descobertas com base em atributos de descoberta comuns. Esses campos armazenam dados que se aplicam a qualquer tipo de descoberta.
Na tabela, a coluna **Campo** indica o nome do campo no console do Amazon Macie. A coluna do **campo JSON** usa notação de pontos para indicar o nome do campo nas representações JSON das descobertas e na API Amazon Macie. A coluna **Descrição** fornece uma breve descrição dos dados que o campo armazena e indica quaisquer requisitos para valores de filtro. A tabela é classificada em ordem alfabética crescente por campo e, em seguida, por campo JSON.
| Campo | Campo JSON | Description |
| --- | --- | --- |
| ID da conta\$1 | `accountId` | O identificador exclusivo ao Conta da AWS qual a descoberta se aplica. Normalmente, essa é a conta que é proprietária do recurso afetado. |
| — | `archived` | Um valor booleano que especifica se a descoberta foi suprimida (arquivada automaticamente) por uma regra de supressão. Para usar esse campo em um filtro no console, selecione uma opção no menu **Status da descoberta** Menu: **Arquivado** (somente suprimido), **Atual** (somente não suprimido) ou **Tudo** (suprimido e não suprimido). |
| Categoria | `category` | A categoria da descoberta. O console fornece uma lista de valores para escolher quando você adiciona esse campo a um filtro. Na API, os valores válidos são: `CLASSIFICATION`, para uma descoberta de dados sigilosos; e, `POLICY`, para uma descoberta de política. |
| — | `count` | O número total de ocorrências da descoberta. Para descobertas de dados sigilosos, esse valor é sempre `1`. Todas as descobertas de dados sigilosos são consideradas únicas. Esse campo não está disponível como opção de filtro no console. Com a API, você pode usar esse campo para definir um intervalo numérico para um filtro. |
| Criado em | `createdAt` | A data e a hora em que o Macie criou a descoberta.Você pode usar esse campo para definir um intervalo de tempo para um filtro. |
| ID\$1 da descoberta | `id` | O identificador único para a descoberta. Essa é uma sequência aleatória que o Macie gera e atribui a uma descoberta ao criar a descoberta. |
| Tipo\$1 de descoberta | `type` | O tipo da descoberta, por exemplo, `SensitiveData:S3Object/Personal` ou `Policy:IAMUser/S3BucketPublic`. O console fornece uma lista de valores para escolher quando você adiciona esse campo a um filtro. Para obter uma lista de valores válidos na API, consulte [FindingType](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html#findings-describe-model-findingtype)a Referência de *API do Amazon Macie.* |
| Região | `region` | Aquele em Região da AWS que Macie criou a descoberta — por exemplo, ou. `us-east-1` `ca-central-1` |
| Amostra | `sample` | Um valor booleano que especifica se a descoberta é uma amostra de descoberta. Uma *amostra de descoberta* é uma descoberta que usa dados de exemplo e valores de marcadores para demonstrar os tipos de informações que uma descoberta pode conter. O console fornece uma lista de valores para escolher quando você adiciona esse campo a um filtro. |
| Gravidade | `severity.description` | A representação qualitativa da gravidade da descoberta. O console fornece uma lista de valores para escolher quando você adiciona esse campo a um filtro. Na API, os valores válidos são `Low`, `Medium` e `High`. |
| Atualizado em | `updatedAt` | A data e a hora em que a descoberta foi atualizada pela última vez. Para descobertas de dados sigilosos, esse valor é igual ao valor do campo **Criado em**. Todas as descobertas de dados sigilosos são consideradas novas (únicas). Você pode usar esse campo para definir um intervalo de tempo para um filtro. |
\$1 Para especificar vários valores para esse campo no console, adicione uma condição que use o campo e que especifique um valor distinto para o filtro, e então, repita essa etapa para cada valor adicional. Para fazer isso com a API, use uma matriz que lista os valores a serem usados para o filtro.
## Campos de recursos afetados
As tabelas a seguir listam e descrevem os campos que você pode usar para filtrar as descobertas com base no tipo de recurso ao qual uma descoberta se aplica: um [bucket do S3](#findings-filter-fields-affected-resource-S3bucket) ou um [objeto do S3](#findings-filter-fields-affected-resource-S3object).
### Bucket do S3
Esta tabela lista e descreve os campos que você pode usar para filtrar as descobertas com base nas características do bucket do S3 ao qual uma descoberta se aplica.
Na tabela, a coluna **Campo** indica o nome do campo no console do Amazon Macie. A coluna do **campo JSON** usa notação de pontos para indicar o nome do campo nas representações JSON das descobertas e na API Amazon Macie. (Nomes de campo JSON mais longos usam a sequência de caracteres de nova linha (`\n`) para melhorar a legibilidade.) A coluna **Descrição** fornece uma breve descrição dos dados que o campo armazena e indica quaisquer requisitos para valores de filtro. A tabela é classificada em ordem alfabética crescente por campo e, em seguida, por campo JSON.
| Campo | Campo JSON | Description |
| --- | --- | --- |
| — | `resourcesAffected.s3Bucket.createdAt` | A data e a hora em que o bucket afetado foi criado, ou alterações, como edições na política do bucket, foram feitas mais recentemente no bucket afetado. Esse campo não está disponível como opção de filtro no console. Com a API, você pode usar esse campo para definir um intervalo numérico para um filtro. |
| Criptografia padrão para buckets do S3 | `resourcesAffected.s3Bucket.\n` `defaultServerSideEncryption.encryptionType` | O algoritmo de criptografia do lado do servidor usado por padrão para criptografar objetos que são adicionados ao bucket afetado. O console fornece uma lista de valores para escolher quando você adiciona esse campo a um filtro. Para obter uma lista de valores válidos para a API, consulte a [EncryptionType](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html#findings-describe-model-encryptiontype)Referência de *API do Amazon Macie.* |
| Id da chave KMS com criptografia de bucket S3\$1 | `resourcesAffected.s3Bucket.\n` `defaultServerSideEncryption.kmsMasterKeyId` | O nome de recurso da Amazon (ARN) ou o identificador exclusivo (ID da chave) do AWS KMS key que é usado por padrão para criptografar objetos que são adicionados ao bucket afetado. |
| Criptografia de bucket do S3 necessária pela política de bucket | `resourcesAffected.s3Bucket.allowsUnencryptedObjectUploads` | Especifica se a política de bucket para o bucket afetado exige criptografia de objetos no lado do servidor quando objetos são adicionados ao bucket. O console fornece uma lista de valores para escolher quando você adiciona esse campo a um filtro. Para obter uma lista de valores válidos na API, consulte [S3Bucket](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html#findings-describe-model-s3bucket) na *Referência de API do Amazon Macie*. |
| O nome do bucket do S3\$1 | `resourcesAffected.s3Bucket.name` | O nome completo do bucket afetado. |
| Nome de exibição do proprietário do bucket S3\$1 | `resourcesAffected.s3Bucket.owner.displayName` | O nome de exibição do AWS usuário proprietário do bucket afetado. |
| Permissão de acesso público ao bucket S3 | `resourcesAffected.s3Bucket.publicAccess.effectivePermission` | Especifica se o bucket afetado pode ser acessado publicamente com base em uma combinação de configurações de permissões que se aplicam ao bucket. O console fornece uma lista de valores para escolher quando você adiciona esse campo a um filtro. Para obter uma lista de valores válidos para a API, consulte a [BucketPublicAccess](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html#findings-describe-model-bucketpublicaccess)Referência de *API do Amazon Macie.* |
| — | `resourcesAffected.s3Bucket.publicAccess.\n` `permissionConfiguration.accountLevelPermissions.\n` `blockPublicAccess.blockPublicAcls` | Um valor booleano que especifica se o Amazon S3 bloqueia listas de controle de acesso público ACLs () para o bucket afetado e os objetos no bucket. Essa é uma configuração de bloqueio de acesso público em nível de conta para o bucket. Esse campo não está disponível como opção de filtro no console. |
| — | `resourcesAffected.s3Bucket.publicAccess.\n` `permissionConfiguration.accountLevelPermissions.\n` `blockPublicAccess.blockPublicPolicy` | Um valor booleano que especifica se o Amazon S3 bloqueia listas de controle de acesso públicas para o bucket afetado. Essa é uma configuração de bloqueio de acesso público em nível de conta para o bucket. Esse campo não está disponível como opção de filtro no console. |
| — | `resourcesAffected.s3Bucket.publicAccess.\n` `permissionConfiguration.accountLevelPermissions.\n` `blockPublicAccess.ignorePublicAcls` | Um valor booleano que especifica se o Amazon S3 ignora o ACLs público do bucket afetado e dos objetos no bucket. Essa é uma configuração de bloqueio de acesso público em nível de conta para o bucket. Esse campo não está disponível como opção de filtro no console. |
| — | `resourcesAffected.s3Bucket.publicAccess.\n` `permissionConfiguration.accountLevelPermissions.\n` `blockPublicAccess.restrictPublicBuckets` | Um valor booleano que especifica se o Amazon S3 restringe políticas públicas do bucket para o bucket afetado. Essa é uma configuração de bloqueio de acesso público em nível de conta para o bucket. Esse campo não está disponível como opção de filtro no console. |
| — | `resourcesAffected.s3Bucket.publicAccess.\n` `permissionConfiguration.bucketLevelPermissions.\n` `accessControlList.allowsPublicReadAccess` | Um valor booleano que especifica se a ACL em nível de bucket para o bucket afetado concede ao público em geral permissões de acesso de leitura para o bucket. Esse campo não está disponível como opção de filtro no console. |
| — | `resourcesAffected.s3Bucket.publicAccess.\n` `permissionConfiguration.bucketLevelPermissions.\n` `accessControlList.allowsPublicWriteAccess` | Um valor booleano que especifica se a ACL em nível de bucket para o bucket afetado concede ao público em geral permissões de acesso de gravação para o bucket. Esse campo não está disponível como opção de filtro no console. |
| — | `resourcesAffected.s3Bucket.publicAccess.\n` `permissionConfiguration.bucketLevelPermissions.\n` `blockPublicAccess.blockPublicAcls` | Um valor booleano que especifica se o Amazon S3 bloqueia o ACLs público para o bucket afetado e os objetos no bucket. Essa é uma configuração de bloqueio de acesso público em nível de bucket para o bucket. Esse campo não está disponível como opção de filtro no console. |
| — | `resourcesAffected.s3Bucket.publicAccess.\n` `permissionConfiguration.bucketLevelPermissions.\n` `blockPublicAccess.blockPublicPolicy` | Um valor booleano que especifica se o Amazon S3 bloqueia políticas públicas de bucket para o bucket afetado. Essa é uma configuração de bloqueio de acesso público em nível de bucket para o bucket. Esse campo não está disponível como opção de filtro no console. |
| — | `resourcesAffected.s3Bucket.publicAccess.\n` `permissionConfiguration.bucketLevelPermissions.\n` `blockPublicAccess.ignorePublicAcls` | Um valor booleano que especifica se o Amazon S3 ignora o ACLs público do bucket afetado e dos objetos no bucket. Essa é uma configuração de bloqueio de acesso público em nível de bucket para o bucket. Esse campo não está disponível como opção de filtro no console. |
| — | `resourcesAffected.s3Bucket.publicAccess.\n` `permissionConfiguration.bucketLevelPermissions.\n` `blockPublicAccess.restrictPublicBuckets` | Um valor booleano que especifica se o Amazon S3 restringe políticas públicas do bucket para o bucket afetado. Essa é uma configuração de bloqueio de acesso público em nível de bucket para o bucket. Esse campo não está disponível como opção de filtro no console. |
| — | `resourcesAffected.s3Bucket.publicAccess.\n` `permissionConfiguration.bucketLevelPermissions.\n` `bucketPolicy.allowsPublicReadAccess` | Um valor booleano que especifica se a política do bucket afetado permite que o público em geral tenha acesso de leitura ao bucket. Esse campo não está disponível como opção de filtro no console. |
| — | `resourcesAffected.s3Bucket.publicAccess.\n` `permissionConfiguration.bucketLevelPermissions.\n` `bucketPolicy.allowsPublicWriteAccess` | Um valor booleano que especifica se a política do bucket afetado permite que o público em geral tenha acesso de gravação ao bucket. Esse campo não está disponível como opção de filtro no console. |
| Chave de tag do Bucket S3\$1 | `resourcesAffected.s3Bucket.tags.key` | Uma chave de tag associada ao bucket afetado. |
| Valor do tag do Bucket\$1 | `resourcesAffected.s3Bucket.tags.value` | Um valor de tag que é associado ao bucket afetado. |
\$1 Para especificar vários valores para esse campo no console, adicione uma condição que use o campo e que especifique um valor distinto para o filtro, e então, repita essa etapa para cada valor adicional. Para fazer isso com a API, use uma matriz que lista os valores a serem usados para o filtro.
### objeto do S3
Esta tabela lista e descreve os campos que você pode usar para filtrar as descobertas com base nas características do bucket do S3 ao qual uma descoberta se aplica.
Na tabela, a coluna **Campo** indica o nome do campo no console do Amazon Macie. A coluna do **campo JSON** usa notação de pontos para indicar o nome do campo nas representações JSON das descobertas e na API Amazon Macie. (Nomes de campo JSON mais longos usam a sequência de caracteres de nova linha (`\n`) para melhorar a legibilidade.) A coluna **Descrição** fornece uma breve descrição dos dados que o campo armazena e indica quaisquer requisitos para valores de filtro. A tabela é classificada em ordem alfabética crescente por campo e, em seguida, por campo JSON.
| Campo | Campo JSON | Description |
| --- | --- | --- |
| Id da chave KMS com criptografia de objeto S3\$1 | `resourcesAffected.s3Object.\n` `serverSideEncryption.kmsMasterKeyId` | O nome de recurso da Amazon (ARN) ou o identificador exclusivo (ID da chave) do AWS KMS key que foi usado para criptografar o objeto afetado. |
| Tipo de criptografia de objetos do S3 | `resourcesAffected.s3Object.\n` `serverSideEncryption.encryptionType` | O algoritmo de criptografia do lado do servidor que foi usado para criptografar o objeto afetado. O console fornece uma lista de valores para escolher quando você adiciona esse campo a um filtro. Para obter uma lista de valores válidos para a API, consulte a [EncryptionType](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html#findings-describe-model-encryptiontype)Referência de *API do Amazon Macie.* |
| — | `resourcesAffected.s3Object.extension` | A extensão do nome do arquivo do objeto afetado. Para objetos que não têm uma extensão de nome de arquivo, especifique `""` como o valor do filtro. Esse campo não está disponível como opção de filtro no console. |
| — | `resourcesAffected.s3Object.lastModified` | A data e a hora em que o objeto afetado foi criado ou alterado pela última vez, o que for mais recente. Esse campo não está disponível como opção de filtro no console. Com a API, você pode usar esse campo para definir um intervalo numérico para um filtro. |
| Chave de objeto S3\$1 | `resourcesAffected.s3Object.key` | O nome completo (*chave*) do objeto afetado, incluindo o prefixo do objeto, se aplicável. |
| — | `resourcesAffected.s3Object.path` | O caminho completo para o objeto afetado, incluindo o nome do bucket afetado e o nome do objeto (*chave*). Esse campo não está disponível como opção de filtro no console. |
| acesso público ao objeto S3 | `resourcesAffected.s3Object.publicAccess` | Um valor booleano que especifica se o bucket afetado pode ser acessado publicamente com base em uma combinação de configurações de permissões que se aplicam ao bucket. O console fornece uma lista de valores para escolher quando você adiciona esse campo a um filtro. |
| Chave de tag de objeto S3\$1 | `resourcesAffected.s3Object.tags.key` | Uma chave de tag associada ao bucket afetado. |
| Valor da tag de objeto S3\$1 | `resourcesAffected.s3Object.tags.value` | Um valor de tag que é associado ao objeto afetado. |
\$1 Para especificar vários valores para esse campo no console, adicione uma condição que use o campo e que especifique um valor distinto para o filtro, e então, repita essa etapa para cada valor adicional. Para fazer isso com a API, use uma matriz que lista os valores a serem usados para o filtro.
## Campos para descobertas de políticas
A tabela a seguir lista e descreve os campos que você pode usar para filtrar descobertas de políticas. Esses campos armazenam dados específicos das descobertas de políticas.
Na tabela, a coluna **Campo** indica o nome do campo no console do Amazon Macie. A coluna do **campo JSON** usa notação de pontos para indicar o nome do campo nas representações JSON das descobertas e na API Amazon Macie. (Nomes de campo JSON mais longos usam a sequência de caracteres de nova linha (`\n`) para melhorar a legibilidade.) A coluna **Descrição** fornece uma breve descrição dos dados que o campo armazena e indica quaisquer requisitos para valores de filtro. A tabela é classificada em ordem alfabética crescente por campo e, em seguida, por campo JSON.
| Campo | Campo JSON | Description |
| --- | --- | --- |
| Tipo de ação | `policyDetails.action.actionType` | O tipo de ação que produziu a descoberta. O único valor válido é para este campo é `AWS_API_CALL`. |
| Nome da chamada de API\$1 | `policyDetails.action.apiCallDetails.api` | O nome da operação que foi invocada mais recentemente e produziu a descoberta. |
| Nome do serviço de API\$1 | `policyDetails.action.apiCallDetails.apiServiceName` | O URL do AWS service (Serviço da AWS) que fornece a operação que foi invocada e produziu a descoberta, por exemplo,. `s3.amazonaws.com` |
| — | `policyDetails.action.apiCallDetails.firstSeen` | A primeira data e hora em que qualquer operação foi invocada e produziu a descoberta.Esse campo não está disponível como opção de filtro no console. Com a API, você pode usar esse campo para definir um intervalo numérico para um filtro. |
| — | `policyDetails.action.apiCallDetails.lastSeen` | A data e a hora mais recentes em que a operação especificada (**nome da chamada de API** ou `api`) foi invocada e produziu a descoberta.Esse campo não está disponível como opção de filtro no console. Com a API, você pode usar esse campo para definir um intervalo numérico para um filtro. |
| — | `policyDetails.actor.domainDetails.domainName` | O nome de domínio do dispositivo usado para realizar a ação.Esse campo não está disponível como opção de filtro no console. |
| Cidade IP\$1 | `policyDetails.actor.ipAddressDetails.ipCity.name` | O nome da cidade de origem do endereço IP do dispositivo que foi usado para realizar a ação. |
| País IP\$1 | `policyDetails.actor.ipAddressDetails.ipCountry.name` | O nome da cidade de origem do endereço IP do dispositivo que foi usado para realizar a ação, poe exemplo, `United States`. |
| — | `policyDetails.actor.ipAddressDetails.ipOwner.asn` | O Número de Sistema Autônomo (ASN) do sistema autônomo que incluía o endereço IP do dispositivo usado para realizar a ação.Esse campo não está disponível como opção de filtro no console. |
| Proprietário do IP ASN org\$1 | `policyDetails.actor.ipAddressDetails.ipOwner.asnOrg` | O identificador da organização associado ao ASN do sistema autônomo que inclui o endereço IP do dispositivo usado para realizar a ação. |
| ISP proprietário do IP\$1 | `policyDetails.actor.ipAddressDetails.ipOwner.isp` | O nome do provedor de serviços de Internet (ISP) que possuía o endereço IP do dispositivo usado para realizar a ação. |
| Endereço de IP V4\$1 | `policyDetails.actor.ipAddressDetails.ipAddressV4` | O endereço do Protocolo de Internet versão 4 (IPv4) do dispositivo usado para realizar a ação. |
| — | `policyDetails.actor.userIdentity.\n` `assumedRole.accessKeyId` | Para uma ação realizada com credenciais de segurança temporárias que foram obtidas usando a `AssumeRole` operação da AWS STS API, o ID da chave de AWS acesso que identifica as credenciais.Esse campo não está disponível como opção de filtro no console. |
| Identidade do usuário, função assumida, ID da conta\$1 | `policyDetails.actor.userIdentity.\n` `assumedRole.accountId` | Para uma ação realizada com credenciais de segurança temporárias que foram obtidas usando a `AssumeRole` operação da AWS STS API, o identificador exclusivo do Conta da AWS proprietário da entidade que foi usada para obter as credenciais. |
| ID da entidade principal assumida plea identidade do usuário\$1 | `policyDetails.actor.userIdentity.\n` `assumedRole.principalId` | Para uma ação realizada com credenciais de segurança temporárias que foram obtidas usando a operação `AssumeRole` do API AWS STS , o identificador único para a entidade que foi usada para obter as credenciais. |
| Identidade do usuário, função assumida, ARN da sessão\$1 | `policyDetails.actor.userIdentity.\n` `assumedRole.arn` | Para uma ação realizada com credenciais de segurança temporárias que foram obtidas usando a operação `AssumeRole` do API AWS STS , o nome do recurso da Amazon (ARN) do conta fonte, usuário do IAM, ou a função que foi usada para obter as credenciais. |
| — | `policyDetails.actor.userIdentity.\n` `assumedRole.sessionContext.sessionIssuer.type` | Para uma ação realizada com credenciais de segurança temporárias que foram obtidas usando a `AssumeRole` operação da AWS STS API, a origem das credenciais de segurança temporárias — por exemplo,, `Root``IAMUser`, ou. `Role`Esse campo não está disponível como opção de filtro no console. |
| — | `policyDetails.actor.userIdentity.\n` `assumedRole.sessionContext.sessionIssuer.userName` | Para uma ação realizada com credenciais de segurança temporárias obtidas usando a `AssumeRole` operação da AWS STS API, o nome ou alias do usuário ou função que emitiu a sessão. Observe que esse valor é nulo se as credenciais foram obtidas de uma conta raiz que não tem um apelido.Esse campo não está disponível como opção de filtro no console. |
| ID da AWS conta de identidade do usuário\$1 | `policyDetails.actor.userIdentity.\n` `awsAccount.accountId` | Para uma ação realizada usando as credenciais de outra Conta da AWS, o identificador exclusivo da conta. |
| Identidade do usuário: ID principal da AWS conta\$1 | `policyDetails.actor.userIdentity.\n` `awsAccount.principalId` | Para uma ação executada usando as credenciais de outra Conta da AWS, o identificador exclusivo da entidade que executou a ação. |
| AWS Serviço de identidade de usuário invocado por | `policyDetails.actor.userIdentity.\n` `awsService.invokedBy` | Para uma ação realizada por uma conta que pertence a um AWS service (Serviço da AWS), o nome do serviço. |
| — | `policyDetails.actor.userIdentity.\n` `federatedUser.accessKeyId` | Para uma ação realizada com credenciais de segurança temporárias que foram obtidas usando a `GetFederationToken` operação da AWS STS API, o ID da chave de AWS acesso que identifica as credenciais.Esse campo não está disponível como opção de filtro no console. |
| Identidade federada do usuário da sessão ARN\$1 | `policyDetails.actor.userIdentity.\n` `federatedUser.arn` | Para uma ação realizada com credenciais de segurança temporárias obtidas usando a `GetFederationToken` operação da AWS STS API, o ARN da entidade usada para obter as credenciais. |
| Identidade do usuário ID da conta de usuário federada\$1 | `policyDetails.actor.userIdentity.\n` `federatedUser.accountId` | Para uma ação realizada com credenciais de segurança temporárias que foram obtidas usando a `GetFederationToken` operação da AWS STS API, o identificador exclusivo do Conta da AWS proprietário da entidade que foi usada para obter as credenciais. |
| ID principal do usuário da entidade principal federada\$1 | `policyDetails.actor.userIdentity.\n` `federatedUser.principalId` | Para uma ação realizada com credenciais de segurança temporárias que foram obtidas usando a `GetFederationToken` operação da AWS STS API, o identificador exclusivo da entidade que foi usada para obter as credenciais. |
| — | `policyDetails.actor.userIdentity.\n` `federatedUser.sessionContext.sessionIssuer.type` | Para uma ação realizada com credenciais de segurança temporárias que foram obtidas usando a `GetFederationToken` operação da AWS STS API, a origem das credenciais de segurança temporárias — por exemplo,,, `Root` ou. `IAMUser` `Role`Esse campo não está disponível como opção de filtro no console. |
| — | `policyDetails.actor.userIdentity.\n` `federatedUser.sessionContext.sessionIssuer.userName` | Para uma ação realizada com credenciais de segurança temporárias obtidas usando a `GetFederationToken` operação da AWS STS API, o nome ou alias do usuário ou função que emitiu a sessão. Observe que esse valor é nulo se as credenciais foram obtidas de uma conta raiz que não tem um apelido.Esse campo não está disponível como opção de filtro no console. |
| Identidade da conta do usuário do IAM\$1 | `policyDetails.actor.userIdentity.\n` `iamUser.accountId` | Para uma ação realizada usando as credenciais de um usuário do IAM, o identificador exclusivo do Conta da AWS que está associado ao usuário do IAM que executou a ação. |
| Identidade do usuário ID da entidade principal do IAM\$1 | `policyDetails.actor.userIdentity.\n` `iamUser.principalId` | Para uma ação realizada usando as credenciais de um usuário do IAM, o identificador único para o usuário do IAM que realizou a ação. |
| Identidade de usuário Nome de usuário do IAM \$1 | `policyDetails.actor.userIdentity.\n` `iamUser.userName` | Para uma ação realizada usando as credenciais de um usuário do IAM, o nome de usuário do usuário do IAM que realizou a ação. |
| ID da conta raiz da identidade do usuário\$1 | `policyDetails.actor.userIdentity.\n` `root.accountId` | Para uma ação realizada usando as credenciais da sua Conta da AWS, o identificador exclusivo da conta. |
| ID da entidade principal raiz da identidade do usuário\$1 | `policyDetails.actor.userIdentity.\n` `root.principalId` | Para uma ação realizada usando as credenciais de sua Conta da AWS, o identificador exclusivo da entidade que executou a ação. |
| Tipo de identidade do usuário | `policyDetails.actor.userIdentity.type` | O tipo de entidade que realizou a ação que produziu a descoberta. O console fornece uma lista de valores para escolher quando você adiciona esse campo a um filtro. Para obter uma lista de valores válidos para a API, consulte a [UserIdentityType](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html#findings-describe-model-useridentitytype)Referência de *API do Amazon Macie.* |
\$1 Para especificar vários valores para esse campo no console, adicione uma condição que use o campo e que especifique um valor distinto para o filtro, e então, repita essa etapa para cada valor adicional. Para fazer isso com a API, use uma matriz que lista os valores a serem usados para o filtro.
## Campos para descobertas de dados confidenciais
A tabela a seguir lista e descreve campos que você pode usar para filtrar descobertas de dados confidenciais. Esses campos armazenam dados específicos para descobertas de dados sigilosos.
Na tabela, a coluna **Campo** indica o nome do campo no console do Amazon Macie. A coluna do **campo JSON** usa notação de pontos para indicar o nome do campo nas representações JSON das descobertas e na API Amazon Macie. (Nomes de campo JSON mais longos usam a sequência de caracteres de nova linha (`\n`) para melhorar a legibilidade.) A coluna **Descrição** fornece uma breve descrição dos dados que o campo armazena e indica quaisquer requisitos para valores de filtro. A tabela é classificada em ordem alfabética crescente por campo e, em seguida, por campo JSON.
| Campo | Campo JSON | Description |
| --- | --- | --- |
| ID do identificador de dados personalizados\$1 | `classificationDetails.result.\n` `customDataIdentifiers.detections.arn` | O identificador exclusivo do identificador de dados personalizados que detectou os dados e produziu a descoberta. |
| Nome do identificador de dados personalizados\$1 | `classificationDetails.result.\n` `customDataIdentifiers.detections.name` | O nome do identificador de dados personalizados que detectou os dados e produziu a descoberta. |
| Contagem total de identificadores de dados personalizados | `classificationDetails.result.\n` `customDataIdentifiers.detections.count` | O número total de ocorrências de dados que foram detectadas por identificadores de dados personalizados e produziram a descoberta. Você pode usar esse campo para definir um intervalo numérico para um filtro. |
| ID do trabalho\$1 | `classificationDetails.jobId` | O identificador exclusivo do trabalho de descoberta de dados sigilosos que produziu a descoberta. |
| Tipo da origem | `classificationDetails.originType` | Como o Macie encontrou os dados sigilosos que produziram a descoberta: `AUTOMATED_SENSITIVE_DATA_DISCOVERY` ou `SENSITIVE_DATA_DISCOVERY_JOB`. |
| — | `classificationDetails.result.mimeType` | O tipo de conteúdo, como um tipo MIME, ao qual a descoberta se aplica; por exemplo, `text/csv` para um arquivo CSV ou `application/pdf` para um arquivo Adobe Portable Document Format.Esse campo não está disponível como opção de filtro no console. |
| — | `classificationDetails.result.sizeClassified` | O tamanho total do armazenamento, em bytes, do objeto S3 ao qual a descoberta se aplica.Esse campo não está disponível como opção de filtro no console. Com a API, você pode usar esse campo para definir um intervalo numérico para um filtro. |
| Código de status do resultado\$1 | `classificationDetails.result.status.code` | O status da descoberta. Os valores válidos são: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/findings-filter-fields.html) |
| Categoria de dados confidenciais | `classificationDetails.result.\n` `sensitiveData.category` | A categoria de dados sigilosos que foram detectados e produziram a descoberta. O console fornece uma lista de valores para escolher quando você adiciona esse campo a um filtro. Na API, os valores válidos são: `CREDENTIALS`, `FINANCIAL_INFORMATION` e `PERSONAL_INFORMATION`. |
| Tipo de detecção de dados sigilosos | `classificationDetails.result.\n` `sensitiveData.detections.type` | O tipo de dados confidenciais que foram detectados e produziram a descoberta. Esse é o identificador exclusivo do identificador de dados gerenciados que detectou os dados. O console fornece uma lista de valores para escolher quando você adiciona esse campo a um filtro. Para obter uma lista de valores válidos para o console e a API, consulte [Referência rápida: identificadores de dados gerenciados por tipo](mdis-reference-quick.md). |
| Contagem total de dados confidenciais | `classificationDetails.result.\n` `sensitiveData.detections.count` | O número total de ocorrências do tipo de dados confidenciais que foram detectados e produziram a descoberta. Você pode usar esse campo para definir um intervalo numérico para um filtro. |
\$1 Para especificar vários valores para esse campo no console, adicione uma condição que use o campo e que especifique um valor distinto para o filtro, e então, repita essa etapa para cada valor adicional. Para fazer isso com a API, use uma matriz que lista os valores a serem usados para o filtro.
# Criar e aplicar filtros às descobertas do Macie
Para identificar e focar nas descobertas que têm características específicas, você pode filtrar as descobertas no console do Amazon Macie e nas consultas que envia programaticamente usando a API do Amazon Macie. Ao criar um filtro, você usa atributos específicos das descobertas para definir critérios para incluir ou excluir descobertas de uma exibição ou dos resultados da consulta. O *atributo de descoberta* é um campo que armazena dados específicos para uma descoberta, como severidade, tipo ou nome do recurso ao qual a descoberta se aplica.
No Macie, um filtro consiste em uma ou mais condições. Cada condição, também chamada de *critério*, consiste em três partes:
+ Um campo baseado em atributos, como **Gravidade** ou **tipo de descoberta**.
+ Um operador, como *igual a* ou *não igual a*.
+ Um ou mais valores. O tipo e o número de valores dependem do campo e do operador que você escolher.
A forma como você define e aplica as condições do filtro depende do uso do console do Amazon Macie ou da API do Amazon Macie.
**Topics**
+ [Filtrar descobertas usando o console](#findings-filter-procedure-console)
+ [Como filtrar descobertas de forma programática](#findings-filter-procedure-api)
## Filtrar descobertas usando o console do Amazon Macie
Se você usa o console do Amazon Macie para filtrar as descobertas, o Macie oferece opções para ajudá-lo a escolher campos, operadores e valores para condições individuais. Você acessa essas opções usando as configurações de filtro nas páginas **Descobertas**, conforme mostrado na imagem a seguir.
![\[As configurações do filtro em uma página de Descobertas, o menu Status da descoberta e a caixa Critérios do filtro.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/scrn-findings-filter-bar-empty.png)
Ao usar o menu **Status da descoberta**, você pode especificar se deseja incluir descobertas que foram suprimidas (arquivadas automaticamente) por uma [regra de supressão](findings-suppression.md). Usando a caixa **Critérios de filtro**, você pode inserir as condições do filtro.
Quando você coloca o seu cursor na caixa **Critérios de filtro**, o Macie exibe uma lista de campos que você pode usar em condições do filtro. Os campos são organizados por categoria lógica. Por exemplo, a categoria **Campos comuns** inclui campos que se aplicam a qualquer tipo de descoberta, e a categoria **Campos de classificação** inclui campos que se aplicam somente a descobertas de dados confidenciais. Os campos são classificados em ordem alfabética dentro de cada categoria.
Para adicionar uma condição, comece escolhendo um campo na lista. Para encontrar um campo, navegue pela lista completa ou insira parte do nome do campo para restringir a lista de campos.
Dependendo do campo que você escolher, O Macie exibirá diferentes opções. As opções refletem o tipo e a natureza do campo escolhido. Por exemplo, se você escolher o campo **Severidade**, o Macie exibirá uma lista de valores para escolher: **Baixa**, **Média** e **Alta**. Se você escolher o campo **Nome do bucket do S3**, o Macie exibirá uma caixa de texto na qual você poderá inserir um nome do bucket. Seja qual for o campo escolhido, o Macie o guiará pelas etapas para adicionar uma condição que inclua as configurações necessárias para o campo.
Depois de adicionar uma condição, o Macie aplica os critérios para a condição e adiciona a condição a um token de filtro na caixa **Critérios de filtro**, conforme mostrado na imagem a seguir.
![\[A caixa Critérios de filtro com um token para uma condição que especifica valores para o campo Severidade.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/scrn-findings-filter-bar-severity.png)
Neste exemplo, a condição é configurada para incluir todas as descobertas de severidade média e alta e para excluir todas as descobertas de baixa severidade. **Ele retorna descobertas em que o valor do campo **Severidade** é *igual* a **Médio **ou Alto**.
**dica**
Para muitos campos, você pode alterar o operador de uma condição de *igual* para *não igual* escolhendo o ícone de igual (![\[The equals icon, which is a solid gray circle.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/icon-operator-equals.png)) no token de filtro para a condição. Se você fizer isso, o Macie alterará o operador para *não igual* e exibirá o ícone diferente (![\[The not equals icon, which is an empty gray circle that has a backslash in it.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/icon-operator-not-equals.png)) no token. Para alternar novamente para o operador *igual*, selecione o ícone de não é igual.
À medida que você adiciona mais condições, o Macie aplica seus critérios e os adiciona aos tokens na caixa **Critérios de filtro**. Você pode consultar a caixa a qualquer momento para determinar quais critérios você aplicou. Para remover uma condição, selecione o ícone de remoção da condição (![\[The remove filter condition icon, which is a circle that has an X in it.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/icon-filter-remove.png)) no token da condição.
**Para filtrar descobertas usando o console**
1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. No painel de navegação, selecione **Descobertas**.
1. (Opcional) Para primeiro analisar e revisar as descobertas por um grupo lógico predefinido, selecione **Por bucket**, **Por tipo** ou **Por trabalho** no painel de navegação (em **Descobertas)**. Em seguida, selecione um item na tabela. No painel de detalhes, selecione o link do campo a analisar.
1. (Opcional) Para exibir descobertas que foram suprimidas por uma [regra de supressão](findings-suppression.md), altere a configuração de **Status do filtro**. Selecione **Arquivado** para exibir somente descobertas suprimidas ou selecione **Tudo** para exibir descobertas suprimidas e não suprimidas. Para ocultar as descobertas suprimidas, selecione **Atual**.
1. Para adicionar uma condição de filtro:
1. Coloque o cursor na caixa **Critérios de filtro** e selecione o campo a ser usado para a condição. Para obter mais informações sobre os campos que você pode usar, consulte [Campos para filtrar descobertas do Macie](findings-filter-fields.md).
1. Insira o tipo de valor apropriado para o campo. Para obter informações detalhadas sobre os diferentes tipos de valores, consulte [Especificando valores para campos](findings-filter-basics.md#findings-filter-basics-value-types).
**Matriz de texto (string)**
Para esse tipo de valor, o Macie geralmente fornece uma lista de valores para você escolher. Se for esse o caso, selecione cada valor que você deseja usar na condição.
Se o Macie não fornecer uma lista de valores, insira um valor completo e válido para o campo. Para especificar valores adicionais para o campo, selecione **Aplicar** e, em seguida, adicione outra condição para cada valor adicional.
Observe que valores diferenciam entre maiúsculas e minúsculas. Além disso, você não pode usar valores parciais ou caracteres curinga nos valores. **Por exemplo, para filtrar as descobertas de um bucket do S3 chamado *my-S3-bucket*, insira como valor para o campo **my-S3-bucket**nome do bucket do S3**. Se você inserir qualquer outro valor, como **my-s3-bucket** ou **my-S3**, o Macie não retornará as descobertas para o bucket.
**Booleano**
Para esse tipo de valor, o Macie fornece uma lista de valores para você escolher. Selecione o valor que deseja usar na condição.
**Data/hora (intervalos de tempo)**
Para esse tipo de valor, use as caixas **De** e **Para** para definir um intervalo de tempo inclusivo:
+ Para definir um intervalo de tempo fixo, use as caixas **De** e **Para** para especificar a primeira data e hora e a última data e hora no intervalo, respectivamente.
+ Para definir um intervalo de tempo relativo que começa em uma determinada data e hora e termina na hora atual, insira a data e a hora de início nas caixas **De** e exclua qualquer texto nas caixas **Para**.
+ Para definir um intervalo de tempo relativo que termina em uma determinada data e hora, insira a data e a hora de término nas caixas **Para** e exclua qualquer texto nas caixas **De**.
Observe que os valores de tempo usam a notação de 24 horas. Se você usar o seletor de datas para escolher datas, poderá refinar os valores inserindo texto diretamente nas caixas **De** e **Para**.
**Número (e intervalos numéricos)**
Para esse tipo de valor, use as caixas **De** e **Para** para inserir um ou mais números inteiros que definam um intervalo numérico inclusivo, fixo ou relativo.
**Valores de texto (string)**
Para esse tipo de valor, insira um valor completo e válido para o campo.
Observe que valores diferenciam entre maiúsculas e minúsculas. Além disso, você não pode usar valores parciais ou caracteres curinga nos valores. **Por exemplo, para filtrar as descobertas de um bucket do S3 chamado *my-S3-bucket*, insira como valor para o campo **my-S3-bucket**nome do bucket do S3**. Se você inserir qualquer outro valor, como **my-s3-bucket** ou **my-S3**, o Macie não retornará as descobertas para o bucket.
1. Ao terminar de adicionar valores para o campo, selecione **Aplicar**. O Macie aplica seus critérios de filtro e adiciona a condição a um token de filtro na caixa **Critérios de filtro**.
1. Repita essa etapa 5 para cada condição que deseja adicionar.
1. Para remover uma condição, selecione o ícone de remoção da condição (![\[The remove filter condition icon, which is a circle that has an X in it.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/icon-filter-remove.png)) no token de filtro da condição.
1. Para alterar uma condição, remova a condição escolhendo o ícone de remoção da condição (![\[The remove filter condition icon, which is a circle that has an X in it.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/icon-filter-remove.png)) no token de filtro da condição. Em seguida, repita a etapa 5 para adicionar uma condição com as configurações corretas.
**dica**
Se quiser usar esse conjunto de condições de novo posteriormente, você pode salvar o conjunto como uma regra de filtro. Para fazer isso, selecione **Salvar regra** na caixa **Critérios de filtro**. Em seguida, insira um nome e, se preferir, uma descrição para a regra. Ao concluir, selecione **Salvar**.
## Como filtrar descobertas de forma programática com a API do Amazon Macie
Para filtrar as descobertas de forma programática, especifique os critérios de filtro nas consultas que você envia usando a [GetFindingStatistics](https://docs.aws.amazon.com/macie/latest/APIReference/findings-statistics.html)operação [ListFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings.html)ou da API do Amazon Macie. A **ListFindings** operação retorna uma matriz de descobertas IDs, uma ID para cada descoberta que corresponda aos critérios do filtro. A operação **GetFindingStatistics** retorna dados estatísticos agregados sobre todas as descobertas que correspondem aos critérios do filtro, agrupados por um campo que você especifica em sua solicitação.
Observe que as operações **ListFindings** e **GetFindingStatistics** são diferentes das operações que você usa para [suprimir descobertas](findings-suppression.md). Ao contrário das operações de supressão, que também especificam critérios de filtro, as operações **ListFindings** e **GetFindingStatistics** consultam apenas os dados das descobertas. Eles não realizam qualquer ação nas descobertas que correspondam aos critérios de filtro. Para suprimir descobertas, use a [CreateFindingsFilter](https://docs.aws.amazon.com/macie/latest/APIReference/findingsfilters.html)operação da API Amazon Macie.
Para especificar critérios de filtro em uma consulta, inclua um mapa das condições do filtro em sua solicitação. Para cada condição, você deve especificar um campo, um operador e um ou mais valores para o campo. O tipo e o número de valores dependem do campo e do operador que você escolher. Para obter informações sobre os campos, operadores e tipos de valores que você pode usar em uma condição, consulte[Campos para filtrar descobertas do Macie](findings-filter-fields.md), [Usando operadores em condições](findings-filter-basics.md#findings-filter-basics-operators) e [Especificando valores para campos](findings-filter-basics.md#findings-filter-basics-value-types).
Os exemplos a seguir mostram como especificar critérios de filtro nas consultas enviadas usando o [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html). Você também pode fazer isso usando uma versão atual de outra ferramenta de linha de AWS comando ou de um AWS SDK, ou enviando solicitações HTTPS diretamente para o Macie. Para obter informações sobre AWS ferramentas e SDKs, consulte [Ferramentas para desenvolver AWS](https://aws.amazon.com/developer/tools/).
**Topics**
+ [Filtrar descobertas com base na severidade](#findings-filter-procedure-api-ex1)
+ [Filtrar descobertas com base na categoria de dados confidenciais](#findings-filter-procedure-api-ex2)
+ [Filtrar descobertas com base em um intervalo de tempo fixo](#findings-filter-procedure-api-ex3)
+ [Filtrar descobertas com base no status de supressão](#findings-filter-procedure-api-ex4)
+ [Filtrar descobertas com base em vários campos e tipos de valores](#findings-filter-procedure-api-ex5)
Os exemplos usam o comando [list-findings](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-findings.html). Se um exemplo for executado com sucesso, o Macie retornará uma matriz `findingIds`. A matriz lista o identificador exclusivo de cada descoberta que corresponde aos critérios de filtro, conforme mostrado no exemplo a seguir.
```
{
"findingIds": [
"1f1c2d74db5d8caa76859ec52example",
"6cfa9ac820dd6d55cad30d851example",
"702a6fd8750e567d1a3a63138example",
"826e94e2a820312f9f964cf60example",
"274511c3fdcd87010a19a3a42example"
]
}
```
Se nenhuma descoberta corresponder aos critérios do filtro, o Macie retornará uma matriz `findingIds` vazia.
```
{
"findingIds": []
}
```
### Exemplo 1: filtro de descobertas baseado em severidade
Este exemplo recupera a descoberta IDs de todas as descobertas atuais de alta e média severidade. Região da AWS
Para Linux, macOS ou Unix:
```
$ aws macie2 list-findings --finding-criteria '{"criterion":{"severity.description":{"eq":["High","Medium"]}}}'
```
Para o Microsoft Windows:
```
C:\> aws macie2 list-findings --finding-criteria={\"criterion\":{\"severity.description\":{\"eq\":[\"High\",\"Medium\"]}}}
```
Em que:
+ *severity.description*especifica o nome JSON do campo **Severidade**.
+ *eq* especifica o operador *igual*.
+ *High***e *Medium* são uma matriz de valores enumerados para o campo Severidade.**
### Exemplo 2: Descobertas de filtro baseadas categoria de dados confidenciais
Este exemplo recupera a descoberta IDs de todas as descobertas de dados confidenciais que estão na região atual e relata ocorrências de informações financeiras (e nenhuma outra categoria de dados confidenciais) em objetos do S3.
Para Linux, macOS ou Unix, usando o caractere de continuação de linha de barra invertida (\$1) para melhorar a legibilidade:
```
$ aws macie2 list-findings \
--finding-criteria '{"criterion":{"classificationDetails.result.sensitiveData.category":{"eqExactMatch":["FINANCIAL_INFORMATION"]}}}'
```
Para Microsoft Windows, usando o caractere de continuação de linha circunflexo (^) para melhorar a legibilidade:
```
C:\> aws macie2 list-findings ^
--finding-criteria={\"criterion\":{\"classificationDetails.result.sensitiveData.category\":{\"eqExactMatch\":[\"FINANCIAL_INFORMATION\"]}}}
```
Em que:
+ *classificationDetails.result.sensitiveData.category*especifica o nome JSON do campo **Categoria de dados confidenciais**.
+ *eqExactMatch*especifica o operador *de correspondência exata igual.*
+ *FINANCIAL\$1INFORMATION*é um valor enumerado para o campo Categoria de **dados confidenciais**.
### Exemplo 3: Filtrar descobertas com base em um intervalo de tempo fixo
Este exemplo recupera a descoberta IDs de todas as descobertas que estão na região atual e foram criadas entre 07:00 UTC de 5 de outubro de 2020 e 07:00 UTC de 5 de novembro de 2020 (inclusive).
Para Linux, macOS ou Unix:
```
$ aws macie2 list-findings --finding-criteria '{"criterion":{"createdAt":{"gte":1601881200000,"lte":1604559600000}}}'
```
Para o Microsoft Windows:
```
C:\> aws macie2 list-findings --finding-criteria={\"criterion\":{\"createdAt\":{\"gte\":1601881200000,\"lte\":1604559600000}}}
```
Em que:
+ *createdAt*especifica o nome JSON do campo **Criado em**.
+ *gte*especifica o operador *maior ou igual* a.
+ *1601881200000*é a primeira data e hora (como um carimbo de data/hora do Unix em milissegundos) no intervalo de tempo.
+ *lte*especifica o operador *menor ou igual* a.
+ *1604559600000*é a última data e hora (como um carimbo de data/hora do Unix em milissegundos) no intervalo de tempo.
### Exemplo 4: filtrar descobertas com base no status de supressão
Este exemplo recupera a descoberta IDs de todas as descobertas que estão na região atual e foram suprimidas (arquivadas automaticamente) por uma regra de supressão.
Para Linux, macOS ou Unix:
```
$ aws macie2 list-findings --finding-criteria '{"criterion":{"archived":{"eq":["true"]}}}'
```
Para o Microsoft Windows:
```
C:\> aws macie2 list-findings --finding-criteria={\"criterion\":{\"archived\":{\"eq\":[\"true\"]}}}
```
Em que:
+ *archived*especifica o nome JSON do campo **Arquivado**.
+ *eq* especifica o operador *igual*.
+ *true*é um valor booleano para o campo **Arquivado.**
### Exemplo 5: filtrar descobertas com base em vários campos e tipos de valores
Este exemplo recupera a descoberta IDs de todas as descobertas de dados confidenciais que estão na região atual e correspondem aos seguintes critérios: foram criadas entre 07:00 UTC de 5 de outubro de 2020 e 07:00 UTC de 5 de novembro de 2020 (exclusivamente); relatam ocorrências de dados financeiros e nenhuma outra categoria de dados confidenciais em objetos do S3; e não foram suprimidas (arquivadas automaticamente) por uma regra de supressão.
Para Linux, macOS ou Unix, usando o caractere de continuação de linha de barra invertida (\$1) para melhorar a legibilidade:
```
$ aws macie2 list-findings \
--finding-criteria '{"criterion":{"createdAt":{"gt":1601881200000,"lt":1604559600000},"classificationDetails.result.sensitiveData.category":{"eqExactMatch":["FINANCIAL_INFORMATION"]},"archived":{"eq":["false"]}}}'
```
Para Microsoft Windows, usando o caractere de continuação de linha circunflexo (^) para melhorar a legibilidade:
```
C:\> aws macie2 list-findings ^
--finding-criteria={\"criterion\":{\"createdAt\":{\"gt\":1601881200000,\"lt\":1604559600000},\"classificationDetails.result.sensitiveData.category\":{\"eqExactMatch\":[\"FINANCIAL_INFORMATION\"]},\"archived\":{\"eq\":[\"false\"]}}}
```
Em que:
+ *createdAt*especifica o nome JSON do campo **Criado em** e:
+ *gt*especifica o operador *maior ou igual* a.
+ *1601881200000*é a primeira data e hora (como um carimbo de data/hora do Unix em milissegundos) no intervalo de tempo.
+ *lt*especifica o operador *menor ou igual* a.
+ *1604559600000*é a última data e hora (como um carimbo de data/hora do Unix em milissegundos) no intervalo de tempo.
+ *classificationDetails.result.sensitiveData.category*especifica o nome JSON do campo de **categoria de dados confidenciais** e:
+ *eqExactMatch*especifica o operador *de correspondência exata igual.*
+ *FINANCIAL\$1INFORMATION* é um valor enumerado para o campo.
+ *archived*especifica o nome JSON do campo **Arquivado** e:
+ *eq* especifica o operador *igual*.
+ *false*é um valor booleano para o campo.
# Definir regras de filtro para descobertas do Macie
Para realizar uma análise consistente das descobertas, você pode criar e aplicar regras de filtro. Uma *regra de filtro* é um conjunto de critérios de filtro que você cria e salva para usar novamente ao analisar as descobertas no console do Amazon Macie. As regras de filtro podem ajudá-lo a realizar uma análise consistente e repetida das descobertas que têm características específicas. Por exemplo, você pode criar uma regra de filtro para analisar todas as descobertas de dados confidenciais de alta severidade que relatam tipos específicos de dados confidenciais. Você pode criar outra regra de filtro para analisar todas as descobertas de políticas de alta severidade para buckets do Amazon Simple Storage Service (Amazon S3) que armazenam objetos não criptografados.
Ao criar uma regra de filtro, você usa atributos específicos das descobertas para definir critérios para incluir ou excluir descobertas de uma exibição. *Atributo de descoberta* é um campo que armazena dados específicos para uma descoberta, como gravidade, tipo ou nome do bucket do S3 ao qual a descoberta se aplica. Você também especifica um nome e, se preferir, uma descrição da regra. Para analisar descobertas que correspondam aos critérios da regra, escolha a regra. O Macie aplica os critérios da regra e exibe somente as descobertas que correspondem aos critérios. O Macie também exibe os critérios para ajudá-lo a determinar quais critérios foram aplicados.
Observe que as regras de filtro são diferentes das regras de supressão. Uma *regra de supressão* é um conjunto de critérios de filtro que você cria e salva para arquivar automaticamente descobertas que correspondam aos critérios da regra. Embora os dois tipos de regras armazenem e apliquem critérios de filtro, uma regra de filtro não executa nenhuma ação nas descobertas que correspondem aos critérios da regra. Em vez disso, uma regra de filtro determina apenas quais descobertas aparecem no console depois que você aplica a regra. Para obter mais informações sobre regras de supressão, consulte [Suprimir descobertas](findings-suppression.md).
**Topics**
+ [Criar uma regra de filtro](findings-filter-rule-create.md)
+ [Aplicar uma regra de filtro](findings-filter-rule-apply.md)
+ [Alterar uma regra de filtro](findings-filter-rule-change.md)
+ [Excluir uma regra de filtro](findings-filter-rule-delete.md)
# Criar uma regra de filtro para descobertas do Macie
Uma *regra de filtro* é um conjunto de critérios de filtro que você cria e salva para usar novamente ao analisar as descobertas no console do Amazon Macie. As regras de filtro podem ajudá-lo a realizar uma análise consistente e repetida das descobertas que têm características específicas. Por exemplo, você pode criar uma regra de filtro para analisar todas as descobertas de dados confidenciais de alta severidade que relatam ocorrências de dados confidenciais em buckets do Amazon Simple Storage Service (Amazon S3) específicos. Em seguida, você pode aplicar essa regra de filtro sempre que quiser identificar e analisar descobertas que tenham as características especificadas.
Ao criar uma regra de filtro, você especifica critérios de filtro, um nome e, opcionalmente, uma descrição da regra. Para os critérios de filtro, você usa atributos específicos das descobertas para especificar se deve incluir ou excluir as descobertas de uma exibição. O *atributo de descoberta* é um campo que armazena dados específicos para uma descoberta, como severidade, tipo ou nome do recurso ao qual a descoberta se aplica. Os critérios de filtro consistem em uma ou mais condições. Cada condição, também chamada de *critério*, consiste em três partes:
+ Um campo baseado em atributos, como **Gravidade** ou **tipo de descoberta**.
+ Um operador, como *igual a* ou *não igual a*.
+ Um ou mais valores. O tipo e o número de valores dependem do campo e do operador que você escolher.
Depois de criar e salvar uma regra de filtro, você aplica seus critérios de filtro escolhendo a regra. Em seguida, o Macie usa os critérios para determinar quais descobertas exibir. O Macie também exibe os critérios para ajudá-lo a determinar quais critérios você aplicou.
Observe que as regras de filtro são diferentes das regras de supressão. Uma *regra de supressão* é um conjunto de critérios de filtro que você cria e salva para arquivar automaticamente descobertas que correspondam aos critérios da regra. Embora os dois tipos de regras armazenem e apliquem critérios de filtro, uma regra de filtro não executa nenhuma ação nas descobertas que correspondem aos critérios da regra. Em vez disso, uma regra de filtro determina apenas quais descobertas aparecem no console depois que você aplica a regra. Para obter mais informações sobre regras de supressão, consulte [Suprimir descobertas](findings-suppression.md).
**Para criar uma regra de filtro para descobertas**
Você pode criar uma regra de filtro usando o console do Amazon Macie ou a API do Amazon Macie.
------
#### [ Console ]
Siga estas etapas para criar uma regra de filtro usando o console do Amazon Macie.
**Para criar uma regra de filtro**
1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. No painel de navegação, selecione **Descobertas**.
**dica**
Para usar uma regra de filtro existente como ponto de partida, selecione a regra na lista **Regras salvas**.
Você também pode simplificar a criação de uma regra ao analisar e detalhar antes as descobertas por meio de um grupo lógico predefinido. Se você fizer isso, o Macie criará e aplicará automaticamente as condições do filtro apropriadas, o que pode ser um ponto de partida útil para se criar uma regra. Para fazer isso, selecione **Por bucket**, **Por tipo** ou **Por trabalho** no painel de navegação (em **Descobertas**). Em seguida, selecione um item na tabela. No painel de detalhes, selecione o link do campo a analisar.
1. Na caixa **Critérios de filtro**, adicione condições que definam os critérios de filtro para a regra.
![\[A caixa Critérios de filtro na página Descobertas.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/scrn-findings-filter-bar-empty-conditions.png)
Para saber como adicionar condições de filtro, consulte [Criar e aplicar filtros às descobertas do Macie](findings-filter-procedure.md).
1. Ao terminar de definir os critérios de filtro para a regra, selecione **Salvar regra** na caixa **Critérios de filtro**.
![\[O link Salvar regra na caixa Critérios de filtro na página Descobertas.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/scrn-findings-filter-bar-save-rule.png)
1. Em **Regra de filtro**, insira um nome e, opcionalmente, uma descrição da regra.
1. Escolha **Salvar**.
------
#### [ API ]
Para criar uma regra de filtro programaticamente, use a [CreateFindingsFilter](https://docs.aws.amazon.com/macie/latest/APIReference/findingsfilters.html)operação da API Amazon Macie e especifique os valores apropriados para os parâmetros necessários:
+ Para o parâmetro `action`, especifique `NOOP` para garantir que o Macie não suprima (arquive automaticamente) as descobertas que correspondam aos critérios da regra.
+ Para o parâmetro `criterion`, especifique um mapa de condições que defina os critérios de filtro para a regra.
No mapa, cada condição deve especificar um campo, um operador e um ou mais valores para o campo. O tipo e o número de valores dependem do campo e do operador que você escolher. Para obter informações sobre os campos, operadores e tipos de valores que você pode usar em uma condição, consulte: [Campos para filtrar descobertas do Macie](findings-filter-fields.md), [Usando operadores em condições](findings-filter-basics.md#findings-filter-basics-operators) e [Especificando valores para campos](findings-filter-basics.md#findings-filter-basics-value-types).
Para criar uma regra de filtro usando o AWS Command Line Interface (AWS CLI), execute o [create-findings-filter](https://docs.aws.amazon.com/cli/latest/reference/macie2/create-findings-filter.html)comando e especifique os valores apropriados para os parâmetros necessários. Os exemplos a seguir criam uma regra de filtro que retorna todas as descobertas de dados confidenciais que estão nas informações atuais Região da AWS e relatam ocorrências de informações pessoais (e nenhuma outra categoria de dados confidenciais) em objetos do S3.
Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.
```
$ aws macie2 create-findings-filter \
--action NOOP \
--name my_filter_rule \
--finding-criteria '{"criterion":{"classificationDetails.result.sensitiveData.category":{"eqExactMatch":["PERSONAL_INFORMATION"]}}}'
```
Este exemplo foi formatado para Microsoft Windows e usa o caractere de continuação de linha circunflexo (^) para melhorar a legibilidade.
```
C:\> aws macie2 create-findings-filter ^
--action NOOP ^
--name my_filter_rule ^
--finding-criteria={\"criterion\":{\"classificationDetails.result.sensitiveData.category\":{\"eqExactMatch\":[\"PERSONAL_INFORMATION\"]}}}
```
Em que:
+ *my\$1filter\$1rule*é o nome personalizado da regra.
+ `criterion` é um mapa das condições do filtro para a regra:
+ *classificationDetails.result.sensitiveData.category*é o nome JSON do campo **Categoria de dados confidenciais**.
+ *eqExactMatch*especifica o operador *de correspondência exata igual.*
+ *PERSONAL\$1INFORMATION*é um valor enumerado para o campo Categoria de **dados confidenciais**.
Se o comando for executado com sucesso, você receberá um resultado semelhante ao seguinte.
```
{
"arn": "arn:aws:macie2:us-west-2:123456789012:findings-filter/9b2b4508-aa2f-4940-b347-d1451example",
"id": "9b2b4508-aa2f-4940-b347-d1451example"
}
```
Onde `arn` é o nome do recurso da Amazon (ARN) para a regra de filtro que foi criada e `id` é o identificador exclusivo da regra.
Para obter exemplos adicionais de critérios de filtro, consulte [Como filtrar descobertas de forma programática com a API do Amazon Macie](findings-filter-procedure.md#findings-filter-procedure-api).
------
# Aplicar uma regra de filtro às descobertas do Macie
Quando você aplica uma regra de filtro, o Amazon Macie usa os critérios da regra para determinar quais descobertas incluir ou excluir da sua visualização de descobertas no console. O Macie também exibe os critérios para ajudá-lo a determinar quais critérios você aplicou.
**dica**
Embora as regras de filtro tenham sido projetadas para uso com o console do Amazon Macie, você pode usar os critérios de uma regra para consultar dados de descobertas de forma programática com a API do Amazon Macie. Para fazer isso, recupere os critérios de filtro para a regra e, em seguida, adicione os critérios à sua consulta. Para recuperar os critérios, use a [GetFindingsFilter](https://docs.aws.amazon.com/macie/latest/APIReference/findingsfilters-id.html)operação. Para então identificar descobertas que correspondam aos critérios, use a [ListFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings.html)operação e especifique os critérios em sua consulta. Para obter informações sobre como especificar critérios de filtro em uma consulta, consulte [Criar e aplicar filtros às descobertas do Macie](findings-filter-procedure.md).
**Para aplicar uma regra de filtro às descobertas**
Siga estas etapas para filtrar as descobertas no console do Amazon Macie aplicando uma regra de filtro.
1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. No painel de navegação, selecione **Descobertas**.
1. Na lista **Regras salvas**, selecione a regra de filtro que você deseja aplicar. O Macie aplica os critérios da regra e exibe os critérios na caixa **Filtrar critérios**.
1. Para refinar os critérios, use a caixa **Critérios de filtro** para adicionar ou remover condições do filtro. Se você fizer isso, suas alterações não afetarão as configurações da regra. O Macie salvará suas alterações somente se você salvá-las explicitamente como uma nova regra.
1. Para aplicar uma regra de filtro diferente, repita a etapa 3.
Depois de aplicar uma regra de filtro, você pode remover rapidamente todos os critérios de filtro da exibição. Para fazer isso, escolha o **X** na caixa **Critérios de filtro**.
# Alterar uma regra de filtro para descobertas do Macie
Depois de criar uma regra de filtro, você pode refinar seus critérios e alterar outras configurações da regra. Uma *regra de filtro* é um conjunto de critérios de filtro que você cria e salva para usar novamente ao analisar as descobertas no console do Amazon Macie. As regras de filtro podem ajudá-lo a realizar uma análise consistente e repetida das descobertas que têm características específicas. Cada regra consiste em um conjunto de critérios de filtro, um nome e, opcionalmente, uma descrição.
Além de alterar os critérios de filtro ou outras configurações de uma regra, você pode atribuir tags a uma regra. Uma *tag* é um rótulo que você define e atribui a determinados tipos de AWS recursos. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. As tags podem ajudá-lo a identificar, categorizar e gerenciar recursos de diferentes maneiras, como por finalidade, proprietário, ambiente ou outros critérios. Para saber mais, consulte [Marcar recursos do Macie](tagging-resources.md).
**Para alterar uma regra de filtro para descobertas**
Para atribuir tags ou mudar as configurações de uma regra de filtro, você pode usar o console do Amazon Macie ou a API do Amazon Macie.
------
#### [ Console ]
Siga estas etapas para atribuir tags ou alterar as configurações de uma regra de filtro usando o console do Amazon Macie.
**Para alterar uma regra de filtro**
1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. No painel de navegação, selecione **Descobertas**.
1. Na lista **Regras salvas**, selecione o ícone de edição (![\[The edit icon, which is a blue pencil.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/icon-edit-resource-blue.png)) ao lado da regra de filtro que deseja alterar ou atribuir tags.
1. Faça o seguinte:
+ Para alterar os critérios de filtro da regra, use a caixa **Critérios de filtro**. Na caixa, insira as condições para os critérios que você deseja. Para saber como, consulte [Criar e aplicar filtros às descobertas do Macie](findings-filter-procedure.md).
+ Para alterar o nome da regra, insira um novo nome na caixa **Nome** em **Regra de filtro**.
+ Para alterar a descrição da regra, insira uma nova descrição na caixa **Descrição** em **Regra de filtro**.
+ Para atribuir tags à regra, selecione **Gerenciar tags** em **Regra de filtro**. Em seguida, adicione, analise e altere as tags conforme necessário. Uma regra pode ter até 50 tags.
1. Quando terminar de fazer as alterações, escolha **Salvar**.
------
#### [ API ]
Para alterar uma regra de filtro programaticamente, use a [UpdateFindingsFilter](https://docs.aws.amazon.com/macie/latest/APIReference/findingsfilters-id.html)operação da API Amazon Macie. Ao enviar sua solicitação, use os parâmetros compatíveis para especificar um novo valor para cada configuração que você deseja alterar.
Para o parâmetro `id`, especifique o identificador único da regra que será alterada. Você pode obter esse identificador usando a [ListFindingsFilter](https://docs.aws.amazon.com/macie/latest/APIReference/findingsfilters.html)operação para recuperar uma lista de regras de filtro e supressão para sua conta. Se você estiver usando o AWS Command Line Interface (AWS CLI), execute o [list-findings-filters](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-findings-filters.html)comando para recuperar essa lista.
Para alterar uma regra de filtro usando o AWS CLI, execute o [update-findings-filter](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-findings-filter.html)comando e use os parâmetros suportados para especificar um novo valor para cada configuração que você deseja alterar. Por exemplo, o comando a seguir altera o nome de uma regra de filtro existente.
```
C:\> aws macie2 update-findings-filter --id 9b2b4508-aa2f-4940-b347-d1451example --name personal_information_only
```
Em que:
+ *9b2b4508-aa2f-4940-b347-d1451example*é o identificador exclusivo da regra.
+ *personal\$1information\$1only*é o novo nome da regra.
Se o comando for executado com sucesso, você receberá um resultado semelhante ao seguinte.
```
{
"arn": "arn:aws:macie2:us-west-2:123456789012:findings-filter/9b2b4508-aa2f-4940-b347-d1451example",
"id": "9b2b4508-aa2f-4940-b347-d1451example"
}
```
Onde `arn` é o nome do recurso da Amazon (ARN) para a regra de supressão que foi criada e `id` é o identificador exclusivo da regra.
Da mesma forma, o exemplo a seguir converte uma [regra de supressão](findings-suppression.md) em uma regra de filtro alterando o valor do parâmetro `action` de `ARCHIVE` para `NOOP`.
```
C:\> aws macie2 update-findings-filter --id 8a1c3508-aa2f-4940-b347-d1451example --action NOOP
```
Em que:
+ *8a1c3508-aa2f-4940-b347-d1451example*é o identificador exclusivo da regra.
+ *NOOP*é a nova ação que Macie deve realizar com base em descobertas que correspondam aos critérios da regra — não realizar nenhuma ação (não suprimir as descobertas).
Se o comando for executado com êxito, você receberá um resultado semelhante ao seguinte:
```
{
"arn": "arn:aws:macie2:us-west-2:123456789012:findings-filter/8a1c3508-aa2f-4940-b347-d1451example",
"id": "8a1c3508-aa2f-4940-b347-d1451example"
}
```
Onde `arn` é o nome do recurso da Amazon (ARN) para a regra que foi alterada e `id` é o identificador único e exclusivo da regra.
------
# Excluir uma regra de filtro para descobertas do Macie
Se você criar uma regra de filtro, poderá excluí-la a qualquer momento. Uma *regra de filtro* é um conjunto de critérios de filtro que você cria e salva para usar novamente ao analisar as descobertas no console do Amazon Macie. Se você excluir uma regra de filtro, sua alteração não afetará descobertas que correspondam aos critérios da regra. Uma regra de filtro determina apenas quais descobertas aparecem no console depois que você aplica a regra.
**Para excluir uma regra de filtro para descobertas**
Você pode excluir uma regra de filtro usando o console do Amazon Macie ou a API do Amazon Macie.
------
#### [ Console ]
Siga estas etapas para excluir uma regra de filtro usando o console do Amazon Macie.
**Para excluir uma regra de filtro**
1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. No painel de navegação, selecione **Descobertas**.
1. Na lista **Regras salvas**, selecione o ícone de edição (![\[The edit icon, which is a blue pencil.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/icon-edit-resource-blue.png)) ao lado da regra de filtro que deseja excluir.
1. Em **Regra de filtro**, selecione **Excluir**.
------
#### [ API ]
Para excluir uma regra de filtro programaticamente, use a [DeleteFindingsFilter](https://docs.aws.amazon.com/macie/latest/APIReference/findingsfilters-id.html)operação da API Amazon Macie. Para o parâmetro `id`, especifique o identificador único para a regra de filtro a excluir. Você pode obter esse identificador usando a [ListFindingsFilter](https://docs.aws.amazon.com/macie/latest/APIReference/findingsfilters.html)operação para recuperar uma lista de regras de filtro e supressão para sua conta. Se você estiver usando o AWS Command Line Interface (AWS CLI), execute o [list-findings-filters](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-findings-filters.html)comando para recuperar essa lista.
Para excluir uma regra de filtro usando o AWS CLI, execute o [delete-findings-filter](https://docs.aws.amazon.com/cli/latest/reference/macie2/delete-findings-filter.html)comando. Por exemplo:
```
C:\> aws macie2 delete-findings-filter --id 9b2b4508-aa2f-4940-b347-d1451example
```
Onde *9b2b4508-aa2f-4940-b347-d1451example* está o identificador exclusivo da regra de filtro a ser excluída.
Se o comando for executado com sucesso, o Macie retornará uma resposta HTTP 200 vazia. Caso contrário, o Macie retornará uma resposta HTTP 4*xx* ou 500 que indica o motivo de a operação ter falhado.
------
# Investigar dados confidenciais com as descobertas do Macie
Quando você executa trabalhos de descoberta de dados confidenciais ou o Amazon Macie realiza uma descoberta automática de dados confidenciais, o Macie captura detalhes sobre a localização de cada ocorrência de dados confidenciais em objetos do Amazon Simple Storage Service (Amazon S3) que ele acha. Isso inclui dados confidenciais que o Macie detectou usando [identificadores de dados gerenciados](managed-data-identifiers.md) e dados que correspondem aos critérios dos [identificadores de dados personalizados](custom-data-identifiers.md) que você configurou para um trabalho ou para o Macie usar.
Com as descobertas de dados confidenciais, você pode analisar esses detalhes de até 15 ocorrências de dados confidenciais que o Macie encontrou em objetos individuais do S3. Os detalhes fornecem informações sobre as categorias e os tipos de dados confidenciais que buckets e objetos específicos do S3 podem conter. Eles podem ajudá-lo a localizar ocorrências individuais de dados confidenciais em objetos e determinar se é necessário realizar uma investigação mais profunda de buckets e objetos específicos.
Para obter informações adicionais, você pode, como opção, configurar e usar o Macie para recuperar amostras de dados confidenciais que o Macie relata em descobertas individuais. As amostras podem ajudar você a verificar a natureza dos dados confidenciais que o Macie encontrou. Eles também podem ajudar você a personalizar sua investigação de um bucket e objeto do S3 afetados. Se você optar por recuperar amostras de dados confidenciais para uma descoberta, o Macie usa os dados na descoberta para localizar de 1 a 10 ocorrências de cada tipo de dado confidencial relatado pela descoberta. Em seguida, o Macie extrai essas ocorrências de dados confidenciais do objeto afetado e exibe os dados para você analisar.
Se um objeto do S3 contiver muitas ocorrências de dados confidenciais, uma descoberta também pode ajudar a navegar até o resultado correspondente da descoberta de dados confidenciais. Ao contrário de uma descoberta de dados confidenciais, um resultado de descoberta de dados confidenciais fornece dados de localização detalhados para até 1.000 ocorrências de cada tipo de dado confidencial que Macie encontrou em um objeto. O Macie usa o mesmo esquema para dados de localização em descobertas de dados confidenciais e resultados de descobertas de dados confidenciais. Para saber mais sobre os resultados da detecção de dados confidenciais, consulte [Armazenamento e retenção de resultados de descoberta de dados confidenciais](discovery-results-repository-s3.md).
Os tópicos desta seção explicam como localizar e, como opção, recuperar ocorrências de dados confidenciais relatadas por descobertas de dados confidenciais. Eles também explicam o esquema que o Macie usa para relatar a localização de ocorrências individuais de dados confidenciais que o Macie encontra.
**Topics**
+ [Localizar dados confidenciais](findings-locate-sd.md)
+ [Recuperar amostras de dados confidenciais](findings-retrieve-sd.md)
+ [Esquema para locais de dados confidenciais](findings-locate-sd-schema.md)
# Localizar dados confidenciais com as descobertas do Macie
Quando você executa trabalhos de descoberta de dados confidenciais ou o Amazon Macie realiza uma descoberta automática de dados confidenciais, o Macie realiza uma inspeção profunda da versão mais recente de cada objeto do Amazon Simple Storage Service (Amazon S3) que ele analisa. Para cada execução de trabalho ou ciclo de análise, o Macie também usa um algoritmo de *pesquisa em profundidade* para preencher as descobertas resultantes com detalhes sobre a localização de ocorrências específicas de dados confidenciais que o Macie encontra nos objetos do S3. Essas ocorrências fornecem informações sobre as categorias e os tipos de dados confidenciais que um bucket e um objeto do S3 afetados podem conter. Os detalhes podem ajudá-lo a localizar ocorrências individuais de dados confidenciais em objetos e determinar se é necessário realizar uma investigação mais profunda de buckets e objetos específicos.
Com as descobertas de dados confidenciais, você pode determinar a localização de até 15 ocorrências de dados confidenciais que o Macie encontrou em um objeto do S3 afetado. Isso inclui dados confidenciais que o Macie detectou usando [identificadores de dados gerenciados](managed-data-identifiers.md) e dados que correspondem aos critérios dos [identificadores de dados personalizados](custom-data-identifiers.md) que você configurou para um trabalho ou o Macie usar.
Uma descoberta de dados confidenciais pode fornecer detalhes como:
+ O número da coluna e da linha de uma célula ou campo em uma pasta de trabalho do Microsoft Excel, arquivo CSV ou arquivo TSV.
+ O caminho para um campo ou matriz em um arquivo JSON ou JSON Lines.
+ O número da linha de uma linha em um arquivo de texto não binário que não seja um arquivo CSV, JSON, JSON Lines ou TSV; por exemplo, um arquivo HTML, TXT ou XML.
+ O número da página de uma página em um arquivo Adobe Portable Document Format (PDF).
+ O índice do registro e o caminho para um campo em um registro em um contêiner de objetos Apache Avro ou arquivo Apache Parquet.
Você pode acessar esses detalhes usando o console do Amazon Macie ou a API do Amazon Macie. Você também pode acessar esses detalhes nas descobertas que Macie publica para outros Serviços da AWS, tanto na Amazon EventBridge quanto na. AWS Security Hub CSPM Para saber mais sobre as estruturas JSON que o Macie usa para relatar esses detalhes, consulte [Esquema para relatar a localização de dados confidenciais](findings-locate-sd-schema.md). Para saber como acessar os detalhes das descobertas que Macie publica para outros Serviços da AWS, consulte. [Monitorar e processar descobertas](findings-monitor.md)
Se um objeto do S3 contiver muitas ocorrências de dados confidenciais, você também poderá usar uma descoberta para navegar até o resultado correspondente da descoberta de dados confidenciais. Ao contrário de uma descoberta de dados confidenciais, um resultado de detecção de dados confidenciais fornece dados de localização detalhados para até 1.000 ocorrências de cada tipo de dado confidencial que o Macie encontrou em um objeto. Se um objeto do S3 for um arquivo de arquivamento, como um arquivo.tar ou .zip, isso inclui ocorrências de dados confidenciais em arquivos individuais que o Macie extraiu do arquivo. (O Macie não inclui essas informações nas descobertas de dados confidenciais). Para saber mais sobre os resultados da detecção de dados confidenciais, consulte [Armazenamento e retenção de resultados de descoberta de dados confidenciais](discovery-results-repository-s3.md). O Macie usa o mesmo esquema para dados de localização em descobertas de dados confidenciais e resultados de descobertas de dados confidenciais.
**Para localizar dados confidenciais com descobertas**
Para localizar ocorrências de dados confidenciais relatadas por uma descoberta, você pode usar o console do Amazon Macie ou a API do Amazon Macie. Para fazer isso programaticamente, use a [GetFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html)operação. Se uma descoberta incluir detalhes sobre a localização de uma ou mais ocorrências de um tipo específico de dados confidenciais, os objetos `occurrences` na descoberta fornecerão esses detalhes. Para obter mais informações, consulte [Esquema para relatar a localização de dados confidenciais](findings-locate-sd-schema.md).
Para localizar ocorrências de dados confidenciais usando o console, siga estas etapas.
1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. No painel de navegação, selecione **Descobertas**.
**dica**
Você pode exibir rapidamente todas as descobertas de um trabalho específico de descoberta de dados confidenciais. No painel de navegação, selecione **Trabalhos** e, então, selecione o nome do trabalho. Na parte superior do painel de detalhes, selecione **Exibir resultados** e, em seguida, selecione **Exibir descobertas**.
1. Na página **Descobertas**, selecione a descoberta dos dados confidenciais que deseja localizar. O painel de detalhes exibirá informações sobre a descoberta.
1. No painel de detalhes, vá até a seção **Dados confidenciais**. Esta seção fornece informações sobre as categorias e os tipos de dados confidenciais que o Macie encontrou no objeto do S3 afetado. Também indica o número de ocorrências de cada tipo de dado confidencial que o Macie encontrou.
Por exemplo, a imagem a seguir mostra alguns detalhes de uma descoberta que relata 30 ocorrências de números de cartão de crédito, 20 ocorrências de nomes e 29 ocorrências de números do Seguro Social dos EUA.
![\[Os campos de detalhes da descoberta que mostram o número de ocorrências de três tipos de dados confidenciais.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/scrn-sdf-csv-occurrences.png)
Se uma descoberta incluir detalhes sobre a localização de uma ou mais ocorrências de um tipo específico de dado confidencial, o número de ocorrências será um link. Selecione o link para mostrar os detalhes. O Macie abre uma nova janela e exibe os detalhes no formato JSON.
Por exemplo, a imagem a seguir mostra a localização de duas ocorrências de números de cartão de crédito em um objeto do S3 afetado.
![\[Os dados de localização, no formato JSON, de duas ocorrências de números de cartão de crédito em um objeto do S3.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/scrn-sdf-csv-occurrences-json.png)
Para salvar os detalhes como um arquivo JSON, selecione **Baixar** e, em seguida, especifique um nome e um local para o arquivo.
1. Para salvar todos os detalhes da descoberta como um arquivo JSON, escolha o identificador da descoberta (**ID da descoberta**) na parte superior do painel de detalhes. O Macie abre uma nova janela e exibe todos os detalhes no formato JSON. Selecione **Baixar** e, em seguida, especifique um nome e um local para o arquivo.
Para acessar detalhes sobre a localização de até 1.000 ocorrências de cada tipo de dado confidencial no objeto afetado, consulte o resultado correspondente da detecção de dados confidenciais para a descoberta. Para fazer isso, vá até o início da seção **Detalhes** do painel. Em seguida, selecione o link no campo **Localização detalhada do resultado**. O Macie abre o console do Amazon S3 e exibe o arquivo ou pasta que contém o resultado da descoberta correspondente.
# Recuperar amostras de dados confidenciais com as descobertas do Macie
Para verificar a natureza dos dados confidenciais que o Amazon Macie relata nas descobertas, você pode, opcionalmente, configurar e usar o Macie para recuperar e revelar amostras de dados confidenciais relatados por determinadas descobertas. Isso inclui dados confidenciais que o Macie detectou usando [identificadores de dados gerenciados](managed-data-identifiers.md) e dados que correspondem aos critérios dos [identificadores de dados personalizados](custom-data-identifiers.md). As amostras podem ajudar você a personalizar sua investigação sobre o objeto e o bucket afetados do Amazon Simple Storage Service (Amazon S3).
Se você recuperar e revelar amostras de dados confidenciais para uma descoberta, o Macie executará as seguintes tarefas gerais:
1. Verifica se a descoberta especifica a localização de determinadas ocorrências de dados confidenciais e a localização de um [resultado da descoberta de dados confidenciais](discovery-results-repository-s3.md) correspondente.
1. Avalia o resultado correspondente da descoberta de dados confidenciais, verificando a validade dos metadados do objeto afetado do S3 e os dados de localização para ocorrências de dados confidenciais no objeto.
1. Ao usar dados no resultado da descoberta de dados confidenciais, localiza as primeiras 1 a 10 ocorrências de dados confidenciais relatadas pela descoberta e extrai os primeiros 1 a 128 caracteres de cada ocorrência do objeto do S3 afetado. Se a descoberta relatar vários tipos de dados confidenciais, o Macie fará isso para até cem tipos.
1. Criptografa os dados extraídos com uma chave AWS Key Management Service (AWS KMS) especificada por você.
1. Armazena temporariamente os dados criptografados em um cache e exibe os dados para você revisar. Os dados são criptografados o tempo todo, tanto em trânsito quanto em repouso.
1. Logo após a extração e a criptografia, ele exclui permanentemente os dados do cache, a menos que uma retenção adicional seja temporariamente necessária para resolver um problema operacional.
Se você optar por recuperar e revelar amostras de dados confidenciais para uma descoberta novamente, o Macie repetirá essas tarefas para localizar, extrair, criptografar, armazenar e, por fim, excluir as amostras.
O Macie não usa o [perfil vinculado a serviços](service-linked-roles.md) do Macie em sua conta para realizar essas tarefas. Em vez disso, você usa sua identidade do AWS Identity and Access Management (IAM) ou permite que o Macie assuma um perfil do IAM em sua conta. É possível recuperar e revelar amostras de dados confidenciais para uma descoberta se você ou o perfil tiver permissão para acessar os recursos e dados necessários, e também para realizar as ações necessárias. Todas as ações necessárias estão [logadas](macie-cloudtrail.md). AWS CloudTrail
**Importante**
Recomendamos que você restrinja o acesso a essa funcionalidade usando [políticas personalizadas do IAM](security-iam.md). Para controle de acesso adicional, recomendamos que você também crie um dedicado AWS KMS key para criptografia de amostras de dados confidenciais que são recuperadas e restrinja o uso da chave somente aos principais que devem ter permissão para recuperar e revelar amostras de dados confidenciais.
Para obter recomendações e exemplos de políticas que você pode usar para controlar o acesso a essa funcionalidade, consulte o blog em *Blog de segurança do AWS *: [Como usar o Amazon Macie para visualizar dados confidenciais em buckets do S3](https://aws.amazon.com/blogs/security/how-to-use-amazon-macie-to-preview-sensitive-data-in-s3-buckets/).
Os tópicos desta seção explicam como configurar e usar o Macie para recuperar e revelar amostras de dados confidenciais para as descobertas. Você pode realizar essas tarefas em todas as Regiões da AWS em que o Macie está atualmente disponível, exceto nas regiões Asia Pacific (Osaka) e Israel (Tel Aviv).
**Topics**
+ [Opções de configuração para recuperar amostras](findings-retrieve-sd-options.md)
+ [Configurar o Macie para recuperar amostras](findings-retrieve-sd-configure.md)
+ [Recuperar amostras](findings-retrieve-sd-proc.md)
# Opções de configuração para recuperar amostras de dados confidenciais com o Macie
Como opção é possível configurar e usar o Amazon Macie para recuperar e revelar amostras de dados confidenciais que o Macie relata em descobertas individuais. Se você recuperar e revelar amostras de dados confidenciais para uma descoberta, o Macie vai usar os dados no [resultado da descoberta de dados confidenciais](discovery-results-repository-s3.md) correspondente para localizar ocorrências de dados confidenciais no objeto afetado do Amazon Simple Storage Service (Amazon S3). Em seguida, o Macie extrai amostras dessas ocorrências do objeto afetado. O Macie criptografa os dados extraídos com uma chave AWS Key Management Service (AWS KMS) que você especifica, armazena temporariamente os dados criptografados em um cache e retorna os dados em seus resultados para a descoberta. Logo após a extração e a criptografia, o Macie exclui permanentemente os dados do cache, a menos que uma retenção adicional seja temporariamente necessária para resolver um problema operacional.
O Macie não usa o [perfil vinculado a serviço do Macie](service-linked-roles.md) em sua conta para localizar, recuperar, criptografar ou revelar amostras de dados confidenciais para objetos afetados do S3. Em vez disso, o Macie usa configurações e recursos que você configura para sua conta. Ao definir as configurações no Macie, você especifica como acessar os objetos afetados do S3. Você também especifica qual usar AWS KMS key para criptografar as amostras. Você pode definir as configurações em todas as regiões em Regiões da AWS que o Macie está disponível atualmente, exceto nas regiões Ásia-Pacífico (Osaka) e Israel (Tel Aviv).
Você tem duas opções para acessar objetos afetados do S3 e recuperar amostras de dados confidenciais deles. Você pode configurar o Macie para usar credenciais de usuário AWS Identity and Access Management (IAM) ou assumir uma função do IAM:
+ **Usar credenciais de usuário do IAM**: com essa opção, cada usuário da sua conta usa sua identidade individual do IAM para localizar, recuperar, criptografar e revelar as amostras. Isso significa que um usuário pode recuperar e revelar amostras de dados confidenciais para uma descoberta se tiver permissão para acessar os recursos e dados necessários, e também para realizar as ações necessárias.
+ **Assumir um perfil do IAM**: com essa opção, você cria um perfil do IAM que delega acesso ao Macie. Você também garante que as políticas de confiança e permissões do perfil atendam a todos os requisitos para que o Macie assuma o perfil. Posteriormente, o Macie vai assumir o perfil quando um usuário da sua conta optar por localizar, recuperar, criptografar e revelar amostras de dados confidenciais para uma descoberta.
Você pode usar qualquer uma das configurações com qualquer tipo de conta do Macie, ou seja, a conta delegada de administrador do Macie para uma organização, uma conta de membro do Macie em uma organização ou uma conta autônoma do Macie.
Os tópicos a seguir explicam as opções, os requisitos e os fatores que podem ajudar você a determinar como definir as configurações e os recursos para sua conta. Isso inclui as políticas de confiabilidade e permissão para anexar a um perfil do IAM. Para obter recomendações e exemplos adicionais de políticas que você pode usar para recuperar e revelar amostras de dados confidenciais, consulte o blog em *Blog de segurança do AWS *: [Como usar o Amazon Macie para visualizar dados confidenciais nos buckets do S3](https://aws.amazon.com/blogs/security/how-to-use-amazon-macie-to-preview-sensitive-data-in-s3-buckets/).
**Topics**
+ [Como determinar qual método de acesso usar](#findings-retrieve-sd-options-s3access)
+ [Como usar credenciais de usuário do IAM para acessar objetos afetados do S3](#findings-retrieve-sd-options-s3access-user)
+ [Assumir um perfil do IAM para acessar objetos afetados do S3](#findings-retrieve-sd-options-s3access-role)
+ [Configurar um perfil do IAM para acessar objetos afetados do S3](#findings-retrieve-sd-options-s3access-role-configuration)
+ [Como descriptografar objetos afetados do S3](#findings-retrieve-sd-options-decrypt)
## Como determinar qual método de acesso usar
Ao determinar qual configuração é melhor para seu AWS ambiente, uma consideração importante é se seu ambiente inclui várias contas do Amazon Macie que são gerenciadas centralmente como uma organização. Se você for o administrador delegado do Macie de uma organização, configurar o Macie para assumir um perfil do IAM pode agilizar a recuperação de amostras de dados confidenciais de objetos do S3 afetados para contas em sua organização. Com essa abordagem, você cria um perfil do IAM em sua conta de administrador. Você também cria um perfil do IAM em cada conta de membro aplicável. O perfil na sua conta de administrador delega acesso ao Macie. O perfil em uma conta de membro delega o acesso entre contas ao perfil em sua conta de administrador. Se implementado, você poderá usar o encadeamento de perfis para acessar objetos do S3 afetados para as contas de membros.
Considere também quem tem acesso direto às descobertas individuais por padrão. A fim de recuperar e revelar amostras de dados confidenciais para uma descoberta, primeiro o usuário deve ter acesso à descoberta:
+ **Trabalhos de descoberta de dados confidenciais**: somente a conta que cria um trabalho pode acessar as descobertas produzidas pelo trabalho. Se você tiver uma conta de administrador do Macie, poderá configurar um trabalho para analisar objetos em buckets do S3 para qualquer conta em sua organização. Portanto, seus trabalhos podem produzir descobertas para objetos em buckets pertencentes às suas contas de membros. Se você tiver uma conta de membro ou uma conta autônoma do Macie, poderá configurar um trabalho para analisar objetos somente nos buckets pertencentes à sua conta.
+ **Descoberta automatizada de dados confidenciais**: somente a conta de administrador do Macie pode acessar descobertas que o processo automatizado de descoberta produz para contas na organização. As contas de membros não podem acessar essas descobertas. Se você tiver uma conta autônoma do Macie, só poderá acessar as descobertas que a descoberta automatizada produz para sua própria conta.
Se você planeja acessar objetos afetados do S3 usando uma perfil do IAM, considere também o seguinte:
+ Para localizar ocorrências de dados confidenciais em um objeto, é necessário armazenar o resultado correspondente da descoberta de dados confidenciais para uma descoberta em um objeto do S3 que o Macie tenha assinado com uma AWS KMS key de código de autenticação de mensagens por hash (HMAC). O Macie deve ser capaz de verificar a integridade e a autenticidade do resultado da descoberta de dados confidenciais. Caso contrário, o Macie não assumirá o perfil do IAM para recuperar amostras de dados confidenciais. Essa é uma barreira de proteção adicional que visa restringir o acesso a dados em objetos do S3 para uma conta.
+ Para recuperar amostras de dados confidenciais de um objeto criptografado com um cliente gerenciado AWS KMS key, a função do IAM deve ter permissão para descriptografar dados com a chave. Mais especificamente, a política da chave deve permitir que o perfil execute a ação `kms:Decrypt`. Para outros tipos de criptografia no lado do servidor, é necessário ter permissões ou recursos adicionais para descriptografar um objeto afetado. Para obter mais informações, consulte [Como descriptografar objetos afetados do S3](#findings-retrieve-sd-options-decrypt).
+ Para recuperar amostras de dados confidenciais de um objeto para outra conta, você deve ser o administrador delegado do Macie para a conta na Região da AWS aplicável. Além disso:
+ No momento, o Macie deve estar habilitado para a conta de membro na região aplicável.
+ A conta de membro deve ter um perfil do IAM que delegue o acesso entre contas a um perfil do IAM na sua conta de administrador do Macie. O nome do perfil deve ser o mesmo em sua conta de administrador do Macie e na conta de membro.
+ A política de confiança para o perfil do IAM na conta de membro deve incluir uma condição que especifique o ID externo correto para sua configuração. Esse ID é uma string alfanumérica exclusiva que o Macie gera automaticamente depois que você define as configurações da sua conta de administrador do Macie. Para obter informações sobre o uso de políticas externas IDs confiáveis, consulte [Acesso a Contas da AWS terceiros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) no *Guia do AWS Identity and Access Management usuário*.
+ Se o perfil do IAM na conta de membro atender a todos os requisitos do Macie, a conta de membro não precisará definir e ativar as configurações do Macie para que você recupere amostras de dados confidenciais dos objetos da conta. O Macie usará somente as configurações e o perfil do IAM na sua conta de administrador do Macie e o perfil do IAM na conta de membro.
**dica**
Se sua conta integrar uma grande organização, considere usar um modelo do AWS CloudFormation e um conjunto de pilhas para provisionar e gerenciar os perfis do IAM para contas de membro em sua organização. Para obter informações sobre como criar e usar modelos e conjuntos de pilhas, consulte o [Guia do usuário do AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html).
Para revisar e, opcionalmente, baixar um CloudFormation modelo que pode servir como ponto de partida, você pode usar o console do Amazon Macie. No painel de navegação no console, em **Configurações**, selecione **Revelar amostras**. Escolha **Editar** e, em seguida, escolha **Exibir permissões e CloudFormation modelo de função de membro**.
Os tópicos subsequentes desta seção fornecem detalhes e considerações adicionais para cada tipo de configuração. Para perfis do IAM, isso inclui as políticas de confiabilidade e permissão para anexar a um perfil. Se você não tiver certeza de qual tipo de configuração é melhor para seu ambiente, peça ajuda ao AWS administrador.
## Como usar credenciais de usuário do IAM para acessar objetos afetados do S3
Se você configurar o Amazon Macie para recuperar amostras de dados confidenciais usando credenciais de usuário do IAM, cada usuário da sua conta do Macie usará a própria identidade do IAM para localizar, recuperar, criptografar e revelar amostras para descobertas individuais. Isso significa que um usuário pode recuperar e revelar amostras de dados confidenciais para uma descoberta se a identidade do IAM dele tiver permissão para acessar os recursos e dados necessários, e também para realizar as ações necessárias. Todas as ações necessárias estão [registradas em AWS CloudTrail](macie-cloudtrail.md).
Para recuperar e revelar amostras de dados confidenciais de uma descoberta específica, o usuário precisa ter permissão para acessar os seguintes dados e recursos: a descoberta; o resultado correspondente da descoberta de dados confidenciais, o bucket afetado do S3 e o objeto afetado do S3. Eles também devem ter permissão para usar o AWS KMS key que foi usado para criptografar o objeto afetado, se aplicável, e o AWS KMS key que você configura o Macie para usar para criptografar amostras de dados confidenciais. Se alguma política do IAM, política de recursos ou outras configurações de permissões negar o acesso necessário, o usuário não conseguirá recuperar e revelar nenhuma amostra para a descoberta.
Para definir esse tipo de configuração, conclua as seguintes tarefas gerais:
1. Verifique se você configurou um repositório para os resultados da descoberta de dados confidenciais.
1. Configure o AWS KMS key para uso na criptografia de amostras de dados confidenciais.
1. Verifique suas permissões para definir as configurações no Macie.
1. Configure e ative as configurações no Macie.
Para obter informações sobre como realizar essas tarefas, consulte [Configurar o Macie para recuperar amostras de dados confidenciais](findings-retrieve-sd-configure.md).
## Assumir um perfil do IAM para acessar objetos afetados do S3
Para configurar o Amazon Macie para recuperar amostras de dados confidenciais assumindo um perfil do IAM, comece criando um perfil do IAM que delegue acesso ao Amazon Macie. Garanta que as políticas de confiança e permissões do perfil atendam a todos os requisitos para que o Macie assuma o perfil. Quando um usuário da sua conta do Macie optar por recuperar e revelar amostras de dados confidenciais para uma descoberta, o Macie assumirá a função de recuperar as amostras do objeto afetado do S3. O Macie só assume o perfil quando um usuário opta por recuperar e revelar amostras para uma descoberta. Para assumir a função, Macie usa a [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)operação da API AWS Security Token Service (AWS STS). Todas as ações necessárias estão [logadas](macie-cloudtrail.md). AWS CloudTrail
Para recuperar e revelar amostras de dados confidenciais para uma descoberta específica, o usuário deve ter permissão para acessar a descoberta, o resultado correspondente da descoberta de dados confidenciais e o AWS KMS key que você configura o Macie para usar para criptografar amostras de dados confidenciais. O perfil do IAM deve permitir que o Macie acesse o bucket afetado do S3 e o objeto afetado do S3. A função também deve ter permissão para usar o AWS KMS key que foi usado para criptografar o objeto afetado, se aplicável. Se alguma política do IAM, política de recursos ou outras configurações de permissões negar o acesso necessário, o usuário não conseguirá recuperar e revelar nenhuma amostra para a descoberta.
Para definir esse tipo de configuração, conclua as seguintes tarefas gerais. Se você tiver uma conta de membro em uma organização, trabalhe com o administrador do Macie para determinar se e como definir as configurações e os recursos da sua conta.
1. Defina o seguinte:
+ O nome do perfil do IAM que você deseja que o Macie assuma. Se sua conta fizer parte de uma organização, esse nome deverá ser o mesmo para a conta de administrador delegada do Macie e para cada conta de membro aplicável na organização. Caso contrário, o administrador do Macie não poderá acessar os objetos afetados do S3 para uma conta de membro aplicável.
+ O nome da política de permissão do IAM para anexar ao perfil do IAM. Se sua conta fizer parte de uma organização, recomendamos que você use o mesmo nome de política para cada conta de membro aplicável na organização. Isso pode simplificar o provisionamento e o gerenciamento do perfil nas contas dos membros.
1. Verifique se você configurou um repositório para os resultados da descoberta de dados confidenciais.
1. Configure o AWS KMS key para uso na criptografia de amostras de dados confidenciais.
1. Verifique suas permissões para criar perfis do IAM e definir as configurações no Macie.
1. Se você for o administrador delegado do Macie para uma organização ou se tiver uma conta autônoma no Macie:
1. Crie e configure o perfil do IAM para sua conta. Garanta que as políticas de confiança e permissões do perfil atendam a todos os requisitos para que o Macie assuma o perfil. Para obter detalhes sobre esses requisitos, consulte o [próximo tópico](#findings-retrieve-sd-options-s3access-role-configuration).
1. Configure e ative as configurações no Macie. Em seguida, o Macie vai gerar um ID externo para a configuração. Se você for o administrador do Macie para uma organização, anote esse ID. A política de confiança para o perfil do IAM em cada uma das suas contas de membro aplicáveis deve especificar esse ID.
1. Se você tiver uma conta de membro em uma organização:
1. Peça ao administrador do Macie o ID externo a ser especificado na política de confiança do perfil do IAM em sua conta. Além disso, verifique o nome do perfil do IAM e a política de permissões a ser criada.
1. Crie e configure o perfil do IAM para sua conta. Garanta que as políticas de confiança e permissões do perfil atendam a todos os requisitos para que o seu administrador do Macie assuma o perfil. Para obter detalhes sobre esses requisitos, consulte o [próximo tópico](#findings-retrieve-sd-options-s3access-role-configuration).
1. (Opcional) Se você quiser recuperar e revelar amostras de dados confidenciais de objetos afetados do S3 para sua própria conta, defina e ative as configurações no Macie. Se você quiser que o Macie assuma uma perfil do IAM para recuperar as amostras, comece criando e configurando um perfil adicional do IAM em sua conta. Garanta que as políticas de confiança e permissões para esse perfil adicional atendam a todos os requisitos para que o Macie assuma o perfil. Em seguida, defina as configurações no Macie e especifique o nome desse perfil adicional. Para obter detalhes sobre os requisitos de política para o perfil, consulte o [próximo tópico](#findings-retrieve-sd-options-s3access-role-configuration).
Para obter informações sobre como realizar essas tarefas, consulte [Configurar o Macie para recuperar amostras de dados confidenciais](findings-retrieve-sd-configure.md).
## Configurar um perfil do IAM para acessar objetos afetados do S3
Para acessar os objetos afetados do S3 usando um perfil do IAM, comece criando e configurando um perfil que delegue acesso ao Amazon Macie. Garanta que as políticas de confiança e permissões do perfil atendam a todos os requisitos para que o Macie assuma o perfil. A maneira de fazer isso dependerá do seu tipo de conta Macie.
As seções a seguir fornecem detalhes sobre as políticas de confiança e permissões a serem anexadas ao perfil do IAM para cada tipo de conta do Macie. Escolha a seção para o tipo de conta que você tem.
**nota**
Se você tiver uma conta de membro em uma organização, talvez seja necessário criar e configurar dois perfis do IAM para sua conta:
Para permitir que seu administrador do Macie recupere e revele amostras de dados confidenciais de objetos afetados do S3 para sua conta, crie e configure um perfil que a conta do seu administrador possa assumir. Para obter esses detalhes, escolha a seção de **conta de membro do Macie**.
Para recuperar e revelar amostras de dados confidenciais de objetos afetados do S3 para sua própria conta, crie e configure um perfil que seu Macie possa assumir. Para obter esses detalhes, escolha a seção de **conta autônoma do Macie**.
Antes de criar e configurar qualquer perfil do IAM, trabalhe com o administrador do Macie para determinar a configuração adequada para sua conta.
Para obter informações detalhadas sobre como usar o IAM para criar o perfil, consulte [Como criar um perfil usando políticas personalizadas de confiança](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) no *Guia do usuário do AWS Identity and Access Management *.
### Conta de administrador do Macie
Se você for o administrador delegado do Macie de uma organização, comece usando o editor de políticas do IAM para criar a política de permissões para o perfil do IAM. A política deve seguir o exemplo abaixo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RetrieveS3Objects",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"*"
]
},
{
"Sid": "AssumeMacieRevealRoleForCrossAccountAccess",
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Resource": "arn:aws:iam::*:role/IAMRoleName"
}
]
}
```
------
Onde *IAMRoleName* está o nome da função do IAM que Macie deve assumir ao recuperar amostras de dados confidenciais dos objetos do S3 afetados para as contas da sua organização. Substitua esse valor pelo nome do perfil que você está criando para sua conta e planeja criar para contas de membros aplicáveis em sua organização. Esse nome deve ser o mesmo para sua conta de administrador do Macie e para cada conta de membro aplicável.
**nota**
Na política de permissões anterior, o `Resource` elemento na primeira instrução usa um caractere curinga ()`*`. Isso permite que uma entidade do IAM anexada recupere objetos de todos os buckets do S3 que sua organização possui. Para permitir esse acesso apenas a buckets específicos, substitua o caractere curinga pelo nome do recurso da Amazon (ARN) de cada bucket. Por exemplo, para permitir o acesso somente a objetos em um bucket chamado *amzn-s3-demo-bucket1*, altere o elemento para:
`"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*"`
Também é possível restringir o acesso a objetos em buckets específicos do S3 para contas individuais. Para fazer isso, especifique o bucket ARNs no `Resource` elemento da política de permissões para a função do IAM em cada conta aplicável. Para obter mais informações e exemplos, consulte [Elementos da política JSON do IAM: recurso](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) no *Guia do usuário do AWS Identity and Access Management *.
Após criar a política de permissões para o perfil do IAM, crie e configure o perfil. Se você fizer isso usando o console do IAM, escolha **Política de confiança personalizada** como o **Tipo de entidade confiável** para o perfil. Especifique o seguinte para a política de confiança que define entidades confiáveis para o perfil.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowMacieReveal",
"Effect": "Allow",
"Principal": {
"Service": "reveal-samples.macie.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
}
}
}
]
}
```
------
Onde *111122223333* está o ID da conta do seu Conta da AWS. Substitua esse valor pelo seu ID de conta com 12 dígitos.
Na política de confiança anterior:
+ O elemento `Principal` especifica a entidade principal de serviço que o Macie usa ao recuperar amostras de dados confidenciais dos objetos afetados do S3, `reveal-samples.macie.amazonaws.com`.
+ O `Action` elemento especifica a ação que o responsável pelo serviço tem permissão para realizar, a [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)operação da API AWS Security Token Service (AWS STS).
+ O `Condition` elemento define uma condição que usa a chave de contexto [aws:](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) condição SourceAccount global. Essa condição determina qual conta pode realizar a ação especificada. Nesse caso, ele permite que Macie assuma a função somente para a conta especificada. A condição ajuda a evitar que Macie seja usada como [representante confusa](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) durante transações com AWS STS.
Após definir a política de confiança para o perfil do IAM, anexe a política de permissões ao perfil. Essa deve ser a política de permissões que você criou antes de começar a criar o perfil. Em seguida, conclua as etapas restantes no IAM para concluir a criação e a configuração do perfil. Ao terminar, [defina e ative as configurações no Macie](findings-retrieve-sd-configure.md).
### Conta de membro do Macie
Se você tiver uma conta de membro do Macie e quiser permitir que seu administrador do Macie recupere e revele amostras de dados confidenciais dos objetos afetados do S3 para sua conta, comece solicitando as seguintes informações ao administrador do Macie:
+ O nome do perfil do IAM a ser criado. O nome deve ser igual para sua conta e para a conta de administrador do Macie da sua organização.
+ O nome da política de permissão do IAM para anexar ao perfil.
+ O ID externo para especificar na política de confiabilidade do perfil. Esse ID deve ser o ID externo que o Macie gerou para a configuração do administrador do Macie.
Após receber essas informações, use o editor de políticas do IAM para criar a política de permissões para o perfil. A política deve seguir o exemplo abaixo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RetrieveS3Objects",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"*"
]
}
]
}
```
------
A política de permissão anterior permite que uma entidade do IAM anexada recupere objetos de todos os buckets do S3 da sua conta. Isso ocorre porque o `Resource` elemento na política usa um caractere curinga (`*`). Para permitir esse acesso apenas a buckets específicos, substitua o caractere curinga pelo nome do recurso da Amazon (ARN) de cada bucket. Por exemplo, para permitir o acesso somente a objetos em um bucket chamado *amzn-s3-demo-bucket2*, altere o elemento para:
`"Resource": "arn:aws:s3:::amzn-s3-demo-bucket2/*"`
Para obter mais informações e exemplos, consulte [Elementos da política JSON do IAM: recurso](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) no *Guia do usuário do AWS Identity and Access Management *.
Após criar a política de permissões para o perfil do IAM, crie o perfil. Se você criar o perfil usando o console do IAM, escolha **Política de confiança personalizada** como o **Tipo de entidade confiável** para o perfil. Especifique o seguinte para a política de confiança que define entidades confiáveis para o perfil.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowMacieAdminRevealRoleForCrossAccountAccess",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/IAMRoleName"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": "externalID",
"aws:PrincipalOrgID": "${aws:ResourceOrgID}"
}
}
}
]
}
```
------
Na política anterior, substitua os valores do espaço reservado pelos valores corretos para seu AWS ambiente, onde:
+ *111122223333*é o ID da conta de 12 dígitos da sua conta de administrador do Macie.
+ *IAMRoleName*é o nome da função do IAM na sua conta de administrador do Macie. Deve ser o nome que você recebeu do administrador do Macie.
+ *externalID*é a ID externa que você recebeu do administrador do Macie.
Em geral, a política de confiança permite que o administrador do Macie assuma o perfil para recuperar e revelar amostras de dados confidenciais de objetos afetados do S3 para sua conta. O elemento `Principal` especifica o ARN de um perfil do IAM na sua conta de administrador do Macie. Esse é o perfil que o administrador do Macie usa para recuperar e revelar amostras de dados confidenciais das contas da sua organização. O bloco `Condition` define duas condições que determinam adicionalmente quem pode assumir o perfil:
+ A primeira condição especifica um ID externo exclusivo para a configuração da sua organização. Para saber mais sobre o externo IDs, consulte [Contas da AWS Acesso a terceiros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) no *Guia do AWS Identity and Access Management usuário*.
+ A segunda condição usa a chave de contexto de condição global [aws: PrincipalOrg ID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid). O valor da chave é uma variável dinâmica que representa o identificador exclusivo de uma organização em AWS Organizations (`${aws:ResourceOrgID}`). A condição restringe o acesso somente às contas que fazem parte da mesma organização no AWS Organizations. Se você tiver ingressado na sua organização aceitando um convite no Macie, remova essa condição da política.
Após definir a política de confiança para o perfil do IAM, anexe a política de permissões ao perfil. Essa deve ser a política de permissões que você criou antes de começar a criar o perfil. Em seguida, conclua as etapas restantes no IAM para concluir a criação e a configuração do perfil. Não defina nem insira configurações para o perfil no Macie.
### Conta autônoma do Macie
Se você tiver uma conta autônoma do Macie ou uma conta de membro do Macie e quiser recuperar e revelar amostras de dados confidenciais dos objetos afetados do S3 para sua própria conta, comece usando o editor de políticas do IAM para criar a política de permissões para o perfil do IAM. A política deve seguir o exemplo abaixo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RetrieveS3Objects",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"*"
]
}
]
}
```
------
Na política de permissões anterior, o `Resource` elemento usa um caractere curinga ()`*`. Isso permite que uma entidade do IAM anexada recupere objetos de todos os buckets do S3 da sua conta. Para permitir esse acesso apenas a buckets específicos, substitua o caractere curinga pelo nome do recurso da Amazon (ARN) de cada bucket. Por exemplo, para permitir o acesso somente a objetos em um bucket chamado *amzn-s3-demo-bucket3*, altere o elemento para:
`"Resource": "arn:aws:s3:::amzn-s3-demo-bucket3/*"`
Para obter mais informações e exemplos, consulte [Elementos da política JSON do IAM: recurso](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) no *Guia do usuário do AWS Identity and Access Management *.
Após criar a política de permissões para o perfil do IAM, crie o perfil. Se você criar o perfil usando o console do IAM, escolha **Política de confiança personalizada** como o **Tipo de entidade confiável** para o perfil. Especifique o seguinte para a política de confiança que define entidades confiáveis para o perfil.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowMacieReveal",
"Effect": "Allow",
"Principal": {
"Service": "reveal-samples.macie.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "999999999999"
}
}
}
]
}
```
------
Onde *999999999999* está o ID da conta do seu Conta da AWS. Substitua esse valor pelo seu ID de conta com 12 dígitos.
Na política de confiança anterior:
+ O elemento `Principal` especifica a entidade principal de serviço que o Macie usa ao recuperar e revelar amostras de dados confidenciais dos objetos afetados do S3, `reveal-samples.macie.amazonaws.com`.
+ O `Action` elemento especifica a ação que o responsável pelo serviço tem permissão para realizar, a [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)operação da API AWS Security Token Service (AWS STS).
+ O `Condition` elemento define uma condição que usa a chave de contexto [aws:](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) condição SourceAccount global. Essa condição determina qual conta pode realizar a ação especificada. Isso permite que Macie assuma a função somente para a conta especificada. A condição ajuda a evitar que Macie seja usada como [representante confusa](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) durante transações com AWS STS.
Após definir a política de confiança para o perfil do IAM, anexe a política de permissões ao perfil. Essa deve ser a política de permissões que você criou antes de começar a criar o perfil. Em seguida, conclua as etapas restantes no IAM para concluir a criação e a configuração do perfil. Ao terminar, [defina e ative as configurações no Macie](findings-retrieve-sd-configure.md).
## Como descriptografar objetos afetados do S3
O Amazon S3 oferece suporte a várias opções de criptografia para objetos do S3. Para a maioria dessas opções, não é necessário ter nenhum recurso ou permissão adicional para que um perfil ou usuário do IAM decodifique e recupere amostras de dados confidenciais de um objeto afetado. Esse é o caso para um objeto criptografado usando criptografia no lado do servidor com uma chave gerenciada pelo Amazon S3 ou uma AWS KMS key gerenciada pela AWS .
No entanto, se um objeto do S3 for criptografado com um cliente gerenciado AWS KMS key, serão necessárias permissões adicionais para descriptografar e recuperar amostras de dados confidenciais do objeto. Mais especificamente, a política de chave da chave KMS deverá permitir que o perfil ou usuário do IAM execute a ação `kms:Decrypt`. Caso contrário, ocorrerá um erro e o Amazon Macie não recuperará nenhuma amostra do objeto. Para saber como fornecer esse acesso a um usuário do IAM, consulte [Permissões e acesso à chave KMS](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html) no *Guia do desenvolvedor do AWS Key Management Service *.
A forma de fornecer esse acesso para uma função do IAM depende se a conta proprietária AWS KMS key também possui a função:
+ Se a mesma conta for proprietária da chave KMS e do perfil, um usuário da conta precisará atualizar a política da chave.
+ Se uma conta for proprietária da chave KMS e outra conta diferente for proprietária do perfil, um usuário da conta proprietária da chave deverá permitir o acesso entre contas à chave.
Este tópico descreve como realizar essas tarefas para um perfil do IAM que você criou para recuperar amostras de dados confidenciais de objetos do S3. Ele também fornece exemplos para os dois cenários. Para obter informações sobre como permitir o acesso ao cliente gerenciado AWS KMS keys em outros cenários, consulte [Acesso e permissões da chave KMS](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html) no *Guia do AWS Key Management Service desenvolvedor*.
### Permitir acesso da mesma conta a uma chave gerenciada pelo cliente
Se a mesma conta possuir a função do IAM AWS KMS key e a do IAM, um usuário da conta precisará adicionar uma declaração à política da chave. A declaração adicional deverá permitir que o perfil do IAM decifre dados usando a chave. Para obter informações detalhadas sobre como atualizar uma política principal, consulte [Alterar uma política de chave](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) no *Guia do desenvolvedor AWS Key Management Service *.
Na declaração:
+ O elemento `Principal` precisará especificar o nome do recurso da Amazon (ARN) do perfil do IAM.
+ O array `Action` deve especificar a ação `kms:Decrypt`. Essa é a única AWS KMS ação que a função do IAM deve ter permissão para descriptografar um objeto criptografado com a chave.
Veja a seguir um exemplo da instrução a ser adicionada à política de uma chave do KMS.
```
{
"Sid": "Allow the Macie reveal role to use the key",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/IAMRoleName"
},
"Action": [
"kms:Decrypt"
],
"Resource": "*"
}
```
No exemplo anterior:
+ O campo `AWS` no elemento `Principal` especifica o ARN do perfil do IAM na conta. Ele permite que a função execute a ação especificada pela declaração de política. *123456789012*é um exemplo de ID de conta. Substitua esse valor pelo ID da conta que possui a função e a chave KMS. *IAMRoleName*é um nome de exemplo. Substitua esse valor pelo nome do perfil do IAM na conta.
+ A matriz `Action` especifica a ação que o perfil do IAM pode realizar usando a chave do KMS: descriptografar o texto cifrado que foi criptografado com a chave.
O local em que você adiciona essa declaração a uma política de chave depende da estrutura e dos elementos que a política contém atualmente. Ao adicionar a instrução, certifique-se de que a sintaxe seja válida. As políticas de chaves usam o formato JSON. Isso significa que você também precisa adicionar uma vírgula antes ou depois da declaração, dependendo de onde você adiciona a declaração à política.
### Permitir acesso entre contas a uma chave gerenciada pelo cliente
Se uma conta possuir o AWS KMS key (*proprietário da chave*) e uma conta diferente possuir a função do IAM (*proprietário da função*), o proprietário da chave deverá fornecer ao proprietário da função acesso cruzado à chave. Uma maneira de fazer isso é usando uma concessão Uma *concessão* é um instrumento de política que permite que as AWS entidades principais usem chaves KMS em operações criptográficas se as condições especificadas pela concessão forem atendidas. Para saber mais sobre concessões, consulte [Subsídios AWS KMS no](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) *AWS Key Management Service Guia do desenvolvedor*.
Com essa abordagem, primeiro o proprietário da chave garante que a política da chave permita que o proprietário do perfil crie uma concessão para a chave. Em seguida, o proprietário do perfil criará uma concessão para a chave. A concessão delega as permissões relevantes ao perfil do IAM em sua conta. Ele permite que o perfil decifre objetos do S3 que são criptografados com a chave.
**Etapa 1: atualizar a política de chave**
Na política de chave, o proprietário da chave deve garantir que a política inclua uma declaração que permita ao proprietário do perfil criar uma concessão para o perfil do IAM na conta dele (do proprietário do perfil). Nessa declaração, o elemento `Principal` deverá especificar o ARN da conta do proprietário do perfil. O array `Action` deve especificar a ação `kms:CreateGrant`. Um bloco `Condition` pode filtrar o acesso à ação especificada. Veja a seguir um exemplo da instrução a ser adicionada à política de uma chave do KMS.
```
{
"Sid": "Allow a role in an account to create a grant",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:GranteePrincipal": "arn:aws:iam::111122223333:role/IAMRoleName"
},
"ForAllValues:StringEquals": {
"kms:GrantOperations": "Decrypt"
}
}
}
```
No exemplo anterior:
+ O campo `AWS` no elemento `Principal` especifica o ARN da conta do proprietário do perfil. Ele permite que a conta execute a ação especificada pela declaração de política. *111122223333*é um exemplo de ID de conta. Substitua esse valor pelo ID da conta do proprietário do perfil.
+ A matriz `Action` especifica a ação que o proprietário do perfil pode realizar na chave do KMS: criar uma concessão para a chave.
+ O bloco `Condition` usa [operadores de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) e as seguintes chaves de condição para filtrar o acesso à ação que o proprietário do perfil tem permissão para executar na chave do KMS:
+ [kms: GranteePrincipal](https://docs.aws.amazon.com/kms/latest/developerguide/conditions-kms.html#conditions-kms-grantee-principal) — Essa condição permite que o proprietário da função crie uma concessão somente para o principal beneficiário especificado, que é o ARN da função do IAM em sua conta. Nesse ARN, *111122223333* está um exemplo de ID de conta. Substitua esse valor pelo ID da conta do proprietário da função. *IAMRoleName*é um nome de exemplo. Substitua esse valor pelo nome do perfil do IAM na conta do proprietário do perfil.
+ [kms: GrantOperations](https://docs.aws.amazon.com/kms/latest/developerguide/conditions-kms.html#conditions-kms-grant-operations) — Essa condição permite que o proprietário da função crie uma concessão somente para delegar permissão para realizar a AWS KMS `Decrypt` ação (descriptografar texto cifrado criptografado com a chave). Isso impede que o proprietário do perfil crie concessões que deleguem permissões para realizar outras ações na chave do KMS. A `Decrypt` ação é a única AWS KMS ação que a função do IAM deve ter permissão para descriptografar um objeto criptografado com a chave.
O local no qual o proprietário adicionará essa declaração a uma política de chave dependerá da estrutura e dos elementos atualmente contidos na política. Quando o proprietário da chave adiciona a declaração, ele deve garantir que a sintaxe seja válida. As políticas de chaves usam o formato JSON. Isso significa que você também precisa adicionar uma vírgula antes ou depois da declaração, dependendo de onde você adiciona a declaração à política. Para obter informações detalhadas sobre como atualizar uma política principal, consulte [Alterar uma política de chave](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) no *Guia do desenvolvedor AWS Key Management Service *.
**Etapa 2: criar uma concessão**
Depois que o proprietário da chave atualizar a política de chave conforme necessário, o proprietário do perfil criará uma concessão para a chave. A concessão delega as permissões relevantes ao perfil do IAM na conta dele (o proprietário do perfil). Antes que o proprietário do perfil crie a concessão, ele deverá verificar se tem permissão para realizar a ação `kms:CreateGrant`. Essa ação permite que ele adicione uma concessão a uma AWS KMS key existente gerenciada pelo cliente.
Para criar a concessão, o proprietário da função pode usar a [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)operação da AWS Key Management Service API. Quando o proprietário do perfil criar a concessão, ele deverá especificar os seguintes valores para os parâmetros necessários:
+ `KeyId`: o ARN da chave do KMS. Para acesso entre contas a uma chave do KMS, esse valor deve ser um ARN. Não pode ser um ID de chave.
+ `GranteePrincipal`: o ARN do perfil do IAM na conta dele. Esse valor deve ser`arn:aws:iam::111122223333:role/IAMRoleName`, onde *111122223333* está o ID da conta do proprietário da função e *IAMRoleName* o nome da função.
+ `Operations`— A ação de AWS KMS descriptografia (). `Decrypt` Essa é a única AWS KMS ação que a função do IAM deve ter permissão para descriptografar um objeto criptografado com a chave KMS.
Se o proprietário da função estiver usando o AWS Command Line Interface (AWS CLI), ele poderá executar o comando [create-grant](https://docs.aws.amazon.com/cli/latest/reference/kms/create-grant.html) para criar a concessão. O exemplo a seguir mostra como. O exemplo está formatado para Microsoft Windows e usa o caractere de continuação de linha circunflexo (^) para melhorar a legibilidade.
```
C:\> aws kms create-grant ^
--key-id arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab ^
--grantee-principal arn:aws:iam::111122223333:role/IAMRoleName ^
--operations "Decrypt"
```
Em que:
+ `key-id` especifica o ARN da chave do KMS à qual aplicar a concessão.
+ `grantee-principal` especifica o ARN do perfil do IAM que tem permissão para realizar a ação especificada pela concessão. Esse valor deve corresponder ao ARN especificado pela condição `kms:GranteePrincipal` na política de chave.
+ `operations` especifica a ação que a concessão permite que a entidade principal especificada execute: descriptografar o texto cifrado que foi criptografado com a chave.
Se o comando for executado com sucesso, você receberá um resultado semelhante ao seguinte.
```
{
"GrantToken": "",
"GrantId": "1a2b3c4d2f5e69f440bae30eaec9570bb1fb7358824f9ddfa1aa5a0dab1a59b2"
}
```
Onde `GrantToken` é uma string única, não secreta, de comprimento variável e codificada em base64 que representa a concessão que foi criada e `GrantId` é o identificador exclusivo da concessão.
# Configurar o Macie para recuperar amostras de dados confidenciais
Como opção é possível configurar e usar o Amazon Macie para recuperar e revelar amostras de dados confidenciais que o Macie relata em descobertas individuais. As amostras podem ajudar você a verificar a natureza dos dados confidenciais que o Macie encontrou. Eles podem ajudar você a personalizar sua investigação sobre o objeto e o bucket afetados do Amazon Simple Storage Service (Amazon S3). Você pode recuperar e revelar amostras de dados confidenciais em todas as Regiões da AWS nas quais o Macie está atualmente disponível, salvo nas regiões Asia Pacific (Osaka) e Israel (Tel Aviv).
Quando você recupera e revela amostras de dados confidenciais de uma descoberta, o Macie usa dados no resultado correspondente da descoberta de dados confidenciais para localizar ocorrências de dados confidenciais no objeto do S3 afetado. Em seguida, o Macie extrai amostras dessas ocorrências do objeto afetado. O Macie criptografa os dados extraídos com uma chave AWS Key Management Service (AWS KMS) que você especifica, armazena temporariamente os dados criptografados em um cache e retorna os dados em seus resultados para a descoberta. Logo após a extração e a criptografia, o Macie exclui permanentemente os dados do cache, a menos que uma retenção adicional seja temporariamente necessária para resolver um problema operacional.
Para recuperar e revelar amostras de dados confidenciais para descobertas, primeiro você precisa definir e habilitar as configurações da sua conta no Macie. Você também precisa configurar recursos de apoio e permissões para sua conta. Os tópicos desta seção orientam você no processo de configuração do Macie para recuperar e revelar amostras de dados confidenciais e no gerenciamento do status da configuração da sua conta.
**Topics**
+ [Antes de começar](#findings-retrieve-sd-configure-prereqs)
+ [Como definir e habilitar as configurações do Macie](#findings-retrieve-sd-configure-enable)
+ [Como desabilitar configurações do Macie](#findings-retrieve-sd-configure-manage)
**dica**
Para obter recomendações e exemplos de políticas que você pode usar para controlar o acesso a essa funcionalidade, consulte o blog em *Blog de segurança do AWS *: [Como usar o Amazon Macie para visualizar dados confidenciais em buckets do S3](https://aws.amazon.com/blogs/security/how-to-use-amazon-macie-to-preview-sensitive-data-in-s3-buckets/).
## Antes de começar
Antes de configurar o Amazon Macie para recuperar e revelar amostras de dados confidenciais de descobertas, execute as tarefas a seguir para garantir que você tenha os recursos e as permissões necessários.
**Topics**
+ [Etapa 1: configurar um repositório para resultados de descoberta de dados confidenciais](#findings-retrieve-sd-configure-sddr)
+ [Etapa 2: determinar como acessar os objetos afetados do S3](#findings-retrieve-sd-configure-s3access)
+ [Etapa 3: configurar o AWS KMS key](#findings-retrieve-sd-configure-key)
+ [Etapa 4: verificar suas permissões](#findings-retrieve-sd-configure-permissions)
Essas tarefas são opcionais se você já tiver configurado o Macie para recuperar e revelar amostras de dados confidenciais e só quiser alterar suas configurações.
### Etapa 1: configurar um repositório para resultados de descoberta de dados confidenciais
Quando você recupera e revela amostras de dados confidenciais de uma descoberta, o Macie usa dados no resultado correspondente da descoberta de dados confidenciais para localizar ocorrências de dados confidenciais no objeto do S3 afetado. Portanto, é importante verificar se você configurou um repositório para os resultados de descoberta de dados confidenciais. Caso contrário, o Macie não conseguirá localizar amostras de dados confidenciais que você deseja recuperar e revelar.
Para determinar se você configurou esse repositório para a sua conta, é possível usar o console do Amazon Macie: escolha **Resultados da descoberta** (em **Configurações**) no painel de navegação. Para fazer isso programaticamente, use a [GetClassificationExportConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/classification-export-configuration.html)operação da API Amazon Macie. Para saber mais sobre os resultados de descoberta de dados confidenciais e como configurar esse repositório, consulte [Armazenamento e retenção de resultados de descoberta de dados confidenciais](discovery-results-repository-s3.md).
### Etapa 2: determinar como acessar os objetos afetados do S3
Você tem duas opções para acessar objetos afetados do S3 e recuperar amostras de dados confidenciais deles. Você pode configurar o Macie para usar suas credenciais de usuário AWS Identity and Access Management (IAM). Como alternativa, é possível configurar o Macie para assumir um perfil do IAM que delegue acesso ao Macie. Você pode usar qualquer uma das configurações com qualquer tipo de conta do Macie, ou seja, a conta delegada de administrador do Macie para uma organização, uma conta de membro do Macie em uma organização ou uma conta autônoma do Macie. Antes de definir as configurações no Macie, determine qual método de acesso deseja usar. Para obter detalhes sobre as opções e os requisitos de cada método, consulte [Opções de configuração para recuperar amostras](findings-retrieve-sd-options.md).
Se você planeja usar um perfil do IAM, crie e configure a função antes de definir as configurações no Macie. Além disso, garanta que as políticas de confiança e permissões do perfil atendam a todos os requisitos para que o Macie assuma o perfil. Se sua conta integrar uma organização que gerencie centralmente várias contas do Macie, trabalhe com o administrador do Macie para determinar primeiro se e como configurar o perfil para a sua conta.
### Etapa 3: configurar um AWS KMS key
Quando você recupera e revela amostras de dados confidenciais para uma descoberta, o Macie criptografa as amostras com uma chave AWS Key Management Service (AWS KMS) especificada por você. Portanto, você precisa determinar qual AWS KMS key deseja usar para criptografar as amostras. A chave pode ser uma chave do KMS existente na sua própria conta ou uma chave do KMS existente que outra conta possui. Se você desejar usar uma chave que outra conta possui, obtenha o nome do recurso da Amazon (ARN) da chave. Você precisará especificar esse ARN ao inserir as configurações no Macie.
A chave do KMS deve ser uma chave do KMS de criptografia simétrica e gerenciada pelo cliente. Também deve ser uma chave de região única ativada da Região da AWS mesma forma que sua conta Macie. A chave do KMS pode estar em um repositório de chaves externo. No entanto, a chave pode, então, ser mais lenta e menos confiável do que uma chave totalmente gerenciada no AWS KMS. Se a latência ou um problema de disponibilidade impedir o Macie de criptografar amostras de dados confidenciais que você deseja recuperar e revelar, ocorre um erro e o Macie não retorna nenhuma amostra para a descoberta.
Além disso, a política de chaves para a chave deve permitir que os principais apropriados (funções do IAM, usuários do IAM ou Contas da AWS) realizem as seguintes ações:
+ `kms:Decrypt`
+ `kms:DescribeKey`
+ `kms:GenerateDataKey`
**Importante**
Como uma camada adicional de controle de acesso, recomendamos que você crie uma chave do KMS dedicada para criptografia de amostras de dados confidenciais que são recuperadas e restrinja o uso da chave somente às entidades principais que devem ter permissão para recuperar e revelar amostras de dados confidenciais. Se um usuário não tiver permissão para realizar as ações anteriores para a chave, o Macie vai rejeitar a solicitação de recuperar e revelar amostras de dados confidenciais. O Macie não retornará nenhuma amostra para a descoberta.
Para obter informações sobre como criar e configurar chaves do KMS, consulte [Criar uma chave do KMS](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) no *Guia do desenvolvedor do AWS Key Management Service *. Para obter informações sobre o uso de políticas de chaves para gerenciar o acesso às chaves do KMS, consulte [Políticas de chaves no AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) no *Guia do desenvolvedor do AWS Key Management Service *.
### Etapa 4: verificar suas permissões
Antes de definir as configurações no Macie, verifique também se você tem as permissões necessárias. Para verificar suas permissões, use AWS Identity and Access Management (IAM) para revisar as políticas do IAM que estão anexadas à sua identidade do IAM. Em seguida, compare as informações dessas políticas com a seguinte lista de ações que você deve ter permissão para realizar.
**Amazon Macie**
Verifique também se você tem permissão para realizar as seguintes ações:
+ `macie2:GetMacieSession`
+ `macie2:UpdateRevealConfiguration`
A primeira ação permite que você acesse sua conta no Macie. A segunda ação permite que você altere suas configurações para recuperar e revelar amostras de dados confidenciais. Isso inclui habilitar e desabilitar a configuração.
Opcionalmente, verifique se você também tem permissão para realizar a ação `macie2:GetRevealConfiguration`. Essa ação permite que você recupere suas configurações atuais e o status atual da configuração para sua conta.
**AWS KMS**
Se você planeja usar o console do Amazon Macie para inserir as definições de configuração, verifique também se você tem permissão para realizar as seguintes AWS Key Management Service (AWS KMS) ações:
+ `kms:DescribeKey`
+ `kms:ListAliases`
Essas ações permitem que você recupere informações sobre o da AWS KMS keys sua conta. Em seguida, você pode escolher uma dessas chaves ao inserir as configurações.
**IAM**
Se você planeja configurar o Macie para assumir um perfil do IAM para recuperar e revelar amostras de dados confidenciais, verifique também se tem permissão para realizar a seguinte ação do IAM: `iam:PassRole`. Essa ação permite que você transmita o perfil para o Macie, o que permitirá que o Macie assuma o perfil. Quando você inserir as configurações da sua conta, o Macie também poderá verificar se o perfil existe na sua conta e está configurada corretamente.
Se você não tiver permissão para realizar as ações necessárias, peça ajuda ao AWS administrador.
## Como definir e habilitar as configurações do Macie
Após verificar se você tem os recursos e as permissões necessários, você poderá definir as configurações no Amazon Macie e habilitar a configuração da sua conta.
Se sua conta integrar uma organização que gerencie centralmente várias contas do Macie, observe o seguinte antes de configurar ou alterar posteriormente as configurações da sua conta:
+ Se você tiver uma conta de membro, trabalhe com o administrador do Macie para determinar se e como definir as configurações da sua conta. Seu administrador do Macie poderá ajudar a determinar as configurações corretas para sua conta.
+ Se você tiver uma conta de administrador do Macie e alterar suas configurações para acessar objetos afetados do S3, suas alterações poderão afetar outras contas e recursos da sua organização. Isso depende se o Macie está atualmente configurado para assumir uma função AWS Identity and Access Management (IAM) para recuperar amostras de dados confidenciais. Se estiver e você reconfigurar o Macie para usar as credenciais de usuário do IAM, o Macie excluirá permanentemente as configurações existentes do perfil do IAM: o nome do perfil e o ID externo da sua configuração. Posteriormente, se sua organização optar por usar os perfis do IAM novamente, você precisará especificar um novo ID externo na política de confiança para o perfil em cada conta de membro aplicável.
Para obter detalhes sobre as opções de configuração e os requisitos para os tipos de conta, consulte [Opções de configuração para recuperar amostras](findings-retrieve-sd-options.md).
Para definir as configurações no Macie e habilitar a configuração da sua conta, você pode usar o console do Amazon Macie ou a API do Amazon Macie.
------
#### [ Console ]
Siga estas etapas para definir e habilitar as configurações usando o console do Amazon Macie.
**Para definir e habilitar as configurações do Macie**
1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. Usando o Região da AWS seletor no canto superior direito da página, escolha a região na qual você deseja configurar e permita que o Macie recupere e revele amostras de dados confidenciais.
1. No painel de navegação, em **Configurações**, selecione **Revelar amostras**.
1. Na seção **Configurações**, escolha **Editar**.
1. Em **Status**, escolha **Habilitar**.
1. Em **Acesso**, especifique o método de acesso e as configurações que deseja usar ao recuperar amostras de dados confidenciais dos objetos afetados do S3:
+ Para usar um perfil do IAM que delegue acesso ao Macie, escolha **Assumir um perfil do IAM**. Se você escolher essa opção, o Macie recuperará as amostras assumindo a função do IAM que você criou e configurou no seu. Conta da AWS Na caixa **Nome do perfil**, insira o nome do perfil.
+ Para usar as credenciais do usuário do IAM que solicita as amostras, escolha **Usar credenciais do usuário do IAM**. Se você escolher essa opção, cada usuário da sua conta usará sua identidade individual do IAM para recuperar as amostras.
1. Em **Criptografia**, especifique o AWS KMS key que você deseja usar para criptografar amostras de dados confidenciais que são recuperadas:
+ Para usar uma chave do KMS da sua própria conta, escolha **Selecionar uma chave da sua conta**. Em seguida, na lista **AWS KMS key**, selecione a chave a ser usada. A lista exibe as chaves do KMS de criptografia simétrica existentes para sua conta.
+ Para usar uma chave do KMS de outra conta, selecione **Inserir o ARN de uma chave de outra conta**. Em seguida, na caixa **AWS KMS key ARN**, insira o nome do recurso da Amazon (ARN) da chave a ser utilizada — por exemplo, **arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab**.
1. Após terminar de inserir configurações, escolha **Salvar**.
O Macie testa as configurações e verifica se elas estão corretas. Se você tiver configurado o Macie para assumir um perfil do IAM, o Macie também verificará se o perfil existe na sua conta e se as políticas de confiança e permissões estão configuradas corretamente. Se houver algum problema, o Macie exibirá uma mensagem descrevendo o problema.
Para resolver um problema com o AWS KMS key, consulte os requisitos no [tópico anterior](#findings-retrieve-sd-configure-key) e especifique uma chave KMS que atenda aos requisitos. Para resolver um problema com o perfil do IAM, comece verificando se você inseriu o nome correto do perfil. Se o nome estiver correto, certifique-se de que as políticas do perfil atendam a todos os requisitos para que o Macie assuma o perfil. Para obter esses detalhes, consulte [Configurar um perfil do IAM para acessar objetos afetados do S3](findings-retrieve-sd-options.md#findings-retrieve-sd-options-s3access-role-configuration). Após corrigir qualquer erro, você poderá salvar e habilitar as configurações.
**nota**
Se você for o administrador do Macie para uma organização e tiver configurado o Macie para assumir um perfil do IAM, o serviço vai gerar e exibir um ID externo depois que você salvar as configurações da sua conta. Anote esse ID. A política de confiança para o perfil do IAM em cada uma das suas contas de membro aplicáveis deve especificar esse ID. Caso contrário, não será possível recuperar amostras de dados confidenciais de objetos do S3 de propriedade da conta.
------
#### [ API ]
Para configurar e ativar as configurações de forma programática, use a [UpdateRevealConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/reveal-configuration.html)operação da API Amazon Macie. Em sua solicitação, especifique os valores adequados para os parâmetros compatíveis:
+ Para os parâmetros de `retrievalConfiguration`, especifique o método de acesso e as configurações que deseja usar ao recuperar amostras de dados confidenciais dos objetos afetados do S3:
+ Para assumir um perfil do IAM que delegue acesso ao Macie, especifique `ASSUME_ROLE` para o parâmetro `retrievalMode` e especifique o nome do perfil do parâmetro `roleName`. Se você especificar essas configurações, o Macie recuperará as amostras assumindo a função do IAM que você criou e configurou no seu. Conta da AWS
+ Para usar as credenciais do usuário do IAM que solicita as amostras, especifique `CALLER_CREDENTIALS` para o parâmetro `retrievalMode`. Se você especificar essa configuração, cada usuário da sua conta usará sua identidade individual do IAM para recuperar as amostras.
**Importante**
Se você não especificar valores para esses parâmetros, o Macie definirá o método de acesso (`retrievalMode`) como `CALLER_CREDENTIALS`. Se o Macie estiver configurado para usar um perfil do IAM para recuperar as amostras, o Macie também excluirá permanentemente o nome do perfil atual e o ID externo da sua configuração. Para manter essas configurações em uma configuração existente, inclua os parâmetros `retrievalConfiguration` em sua solicitação e especifique suas configurações atuais para esses parâmetros. Para recuperar suas configurações atuais, use a [GetRevealConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/reveal-configuration.html)operação ou, se estiver usando o AWS Command Line Interface (AWS CLI), execute o [get-reveal-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-reveal-configuration.html)comando.
+ Para o `kmsKeyId` parâmetro, especifique o AWS KMS key que você deseja usar para criptografar amostras de dados confidenciais que são recuperadas:
+ Para usar uma chave do KMS da sua própria conta, especifique o nome do recurso da Amazon (ARN), o ID ou o alias da chave. Se você especificar um alias, inclua o prefixo `alias/`, por exemplo, `alias/ExampleAlias`.
+ Para usar uma chave do KMS que outra conta possui, especifique o ARN da chave, por exemplo, `arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`. Ou especifique o ARN do alias da chave, por exemplo, `arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias`.
+ Para o parâmetro `status`, especifique `ENABLED` para habilitar a configuração da sua conta Macie.
Em sua solicitação, certifique-se também de especificar o Região da AWS no qual você deseja habilitar e usar a configuração.
Para definir e ativar as configurações usando o AWS CLI, execute o [update-reveal-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-reveal-configuration.html)comando e especifique os valores apropriados para os parâmetros suportados. Por exemplo, se você estiver usando o AWS CLI no Microsoft Windows, execute o seguinte comando:
```
C:\> aws macie2 update-reveal-configuration ^
--region us-east-1 ^
--configuration={\"kmsKeyId\":\"arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias\",\"status\":\"ENABLED\"} ^
--retrievalConfiguration={\"retrievalMode\":\"ASSUME_ROLE\",\"roleName\":\"MacieRevealRole\"}
```
Em que:
+ *us-east-1*é a região na qual ativar e usar a configuração. Neste exemplo, a Região Leste dos EUA (Norte da Virgínia).
+ *arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias*é o ARN do alias a ser usado. AWS KMS key Neste exemplo, a chave pertence a outra conta.
+ `ENABLED` é o status da configuração.
+ *ASSUME\$1ROLE*é o método de acesso a ser usado. Neste exemplo, assuma o perfil do IAM especificado.
+ *MacieRevealRole*é o nome da função do IAM que Macie deve assumir ao recuperar amostras de dados confidenciais.
O exemplo anterior usa o caractere circunflexo (^) de continuação de linha para melhorar a legibilidade.
Quando você envia sua solicitação, o Macie testa as configurações. Se você tiver configurado o Macie para assumir um perfil do IAM, o Macie também verificará se o perfil existe na sua conta e se as políticas de confiança e permissões estão configuradas corretamente. Se houver algum problema, sua solicitação vai falhar e o Macie retornará uma mensagem descrevendo o erro. Para resolver um problema com o AWS KMS key, consulte os requisitos no [tópico anterior](#findings-retrieve-sd-configure-key) e especifique uma chave KMS que atenda aos requisitos. Para resolver um problema com o perfil do IAM, comece verificando se você especificou o nome correto do perfil. Se o nome estiver correto, certifique-se de que as políticas do perfil atendam a todos os requisitos para que o Macie assuma o perfil. Para obter esses detalhes, consulte [Configurar um perfil do IAM para acessar objetos afetados do S3](findings-retrieve-sd-options.md#findings-retrieve-sd-options-s3access-role-configuration). Reenvie sua solicitação após resolver o problema.
Se a sua solicitação for realizada com êxito, o Macie habilitará a configuração da sua conta na Região especificada e você receberá um resultado semelhante ao seguinte.
```
{
"configuration": {
"kmsKeyId": "arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias",
"status": "ENABLED"
},
"retrievalConfiguration": {
"externalId": "o2vee30hs31642lexample",
"retrievalMode": "ASSUME_ROLE",
"roleName": "MacieRevealRole"
}
}
```
Onde `kmsKeyId` especifica o uso AWS KMS key para criptografar amostras de dados confidenciais que são recuperadas e `status` é o status da configuração da sua conta Macie. Os valores `retrievalConfiguration` especificam o método de acesso e as configurações a serem usadas ao recuperar as amostras.
**nota**
Se você for o administrador do Macie de uma organização e tiver configurado o Macie para assumir um perfil do IAM, anote o ID externo (`externalId`) na resposta. A política de confiança para o perfil do IAM em cada uma das suas contas de membro aplicáveis deve especificar esse ID. Caso contrário, não será possível recuperar amostras de dados confidenciais de objetos afetados do S3 de propriedade da conta.
Para verificar posteriormente as configurações ou o status da configuração da sua conta, use a [GetRevealConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/reveal-configuration.html)operação ou, para o. AWS CLI, execute o [get-reveal-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-reveal-configuration.html)comando.
------
## Como desabilitar configurações do Macie
É possível desabilitar a qualquer momento as configurações da sua conta do Amazon Macie. Se você desabilitar a configuração, o Macie manterá a configuração que especifica qual usar AWS KMS key para criptografar amostras de dados confidenciais que são recuperadas. O Macie excluirá permanentemente as configurações de acesso do Amazon S3 para a configuração.
**Atenção**
Ao desabilitar as configurações da sua conta do Macie, você também exclui permanentemente as configurações atuais que especificam como acessar os objetos afetados do S3. Se o Macie estiver atualmente configurado para acessar objetos afetados assumindo uma função AWS Identity and Access Management (IAM), isso inclui: o nome da função e a ID externa que o Macie gerou para a configuração. Essas configurações não podem ser recuperadas depois de excluídas.
Para desabilitar as configurações da sua conta do Macie, você pode usar o console do Amazon Macie ou a API do Amazon Macie.
------
#### [ Console ]
Siga estas etapas para desabilitar as configurações da sua conta usando o console do Amazon Macie.
**Para desabilitar as configurações do Macie**
1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. Usando o Região da AWS seletor no canto superior direito da página, escolha a região na qual você deseja desativar as configurações da sua conta Macie.
1. No painel de navegação, em **Configurações**, selecione **Revelar amostras**.
1. Na seção **Configurações**, escolha **Editar**.
1. Em **Status**, escolha **Desabilitar**.
1. Escolha **Salvar**.
------
#### [ API ]
Para desativar as configurações de forma programática, use a [UpdateRevealConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/reveal-configuration.html)operação da API Amazon Macie. Em sua solicitação, certifique-se de especificar a Região da AWS na qual você deseja desabilitar a configuração. Para o parâmetro `status`, especifique `DISABLED`.
Para desativar as configurações usando o AWS Command Line Interface (AWS CLI), execute o [update-reveal-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-reveal-configuration.html)comando. Use o parâmetro `region` para especificar a região na qual deseja desabilitar a configuração. Para o parâmetro `status`, especifique `DISABLED`. Por exemplo, se você estiver usando o AWS CLI no Microsoft Windows, execute o seguinte comando:
```
C:\> aws macie2 update-reveal-configuration --region us-east-1 --configuration={\"status\":\"DISABLED\"}
```
Em que:
+ *us-east-1*é a região na qual a configuração deve ser desativada. Neste exemplo, a Região Leste dos EUA (Norte da Virgínia).
+ `DISABLED` é o novo status da configuração.
Se a sua solicitação for realizada com êxito, o Macie desabilitará a configuração da sua conta na Região especificada e você receberá um resultado semelhante ao seguinte.
```
{
"configuration": {
"status": "DISABLED"
}
}
```
Onde `status` é o novo status da configuração da sua conta do Macie.
------
Se o Macie tiver sido configurado para assumir um perfil do IAM para recuperar amostras de dados confidenciais, você poderá excluir o perfil e a política de permissões do perfil de maneira opcional. O Macie não exclui esses recursos quando você desabilita as configurações da sua conta. Além disso, o Macie não usa esses recursos para realizar nenhuma outra tarefa na sua conta. Para excluir o perfil e sua política de permissão, é possível usar o console do IAM ou a API do IAM. Para obter mais informações, consulte [Excluir perfis](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) no *Guia do usuário do AWS Identity and Access Management *.
# Recuperar amostras de dados confidenciais para uma descoberta do Macie
Com o Amazon Macie, é possível recuperar e revelar amostras de dados confidenciais que o Macie relata em descobertas individuais de dados confidenciais. Isso inclui dados confidenciais que o Macie detectou usando [identificadores de dados gerenciados](managed-data-identifiers.md) e dados que correspondem aos critérios dos [identificadores de dados personalizados](custom-data-identifiers.md). As amostras podem ajudar você a verificar a natureza dos dados confidenciais que o Macie encontrou. Eles podem ajudar você a personalizar sua investigação sobre o objeto e o bucket afetados do Amazon Simple Storage Service (Amazon S3). Você pode recuperar e revelar amostras de dados confidenciais em todas as regiões Regiões da AWS onde o Macie está disponível atualmente, exceto nas regiões Ásia-Pacífico (Osaka) e Israel (Tel Aviv).
Se você recuperar e revelar amostras de dados confidenciais para uma descoberta, o Macie usará os dados no [resultado da descoberta de dados confidenciais](discovery-results-repository-s3.md) correspondente para localizar as primeiras 1 a 10 ocorrências de dados confidenciais relatadas pela descoberta. Em seguida, o Macie extrai os primeiros 1 a 128 caracteres de cada ocorrência do objeto do S3 afetado. Se uma descoberta relata vários tipos de dados confidenciais, o Macie faz isso para até cem tipos de dados confidenciais relatados pela descoberta.
Quando o Macie extrai dados confidenciais de um objeto do S3 afetado, o Macie criptografa os dados com uma chave AWS Key Management Service (AWS KMS) especificada por você, armazena temporariamente os dados criptografados em um cache e retorna os dados em seus resultados para a descoberta. Logo após a extração e a criptografia, o Macie exclui permanentemente os dados do cache, a menos que uma retenção adicional seja temporariamente necessária para resolver um problema operacional.
Se você optar por recuperar e revelar amostras de dados confidenciais para uma descoberta novamente, o Macie repetirá o processo para localizar, extrair, criptografar, armazenar e, por fim, excluir as amostras.
Para uma demonstração de como você pode recuperar e revelar amostras de dados confidenciais usando o console do Amazon Macie, assista ao vídeo a seguir:
**Topics**
+ [Antes de começar](#findings-retrieve-sd-proc-prereqs)
+ [Como determinar se as amostras estão disponíveis para uma descoberta](#findings-retrieve-sd-proc-criteria)
+ [Recuperar amostras para uma descoberta](#findings-retrieve-sd-proc-steps)
## Antes de começar
Antes que possa recuperar e revelar amostras de dados confidenciais para descobertas, você precisará [definir e habilitar as configurações da sua conta do Amazon Macie](findings-retrieve-sd-configure.md). Você também precisa trabalhar com seu AWS administrador para verificar se você tem as permissões e os recursos necessários.
Quando você recupera e revela amostras de dados confidenciais para uma descoberta, o Macie executa uma série de tarefas para localizar, recuperar, criptografar e revelar as amostras. O Macie não usa o [perfil vinculado a serviços](service-linked-roles.md) do Macie em sua conta para realizar essas tarefas. Em vez disso, você usa sua identidade AWS Identity and Access Management (IAM) ou permite que Macie assuma uma função do IAM em sua conta.
Para recuperar e revelar amostras de dados confidenciais para uma descoberta, você deve ter acesso à descoberta, ao resultado correspondente da descoberta de dados confidenciais e ao AWS KMS key que você configurou o Macie para usar para criptografar amostras de dados confidenciais. Além disso, você ou o perfil do IAM deve ter permissão para acessar o bucket afetado do S3 e o objeto afetado do S3. Você ou a função também devem ter permissão para usar o AWS KMS key que foi usado para criptografar o objeto afetado, se aplicável. Se alguma política do IAM, política de recursos ou outras configurações de permissões negar o acesso necessário, haverá um erro e o Macie não retornará nenhuma amostra para a descoberta.
Você também precisa ter permissão para realizar as seguintes ações do Macie:
+ `macie2:GetMacieSession`
+ `macie2:GetFindings`
+ `macie2:ListFindings`
+ `macie2:GetSensitiveDataOccurrences`
As três primeiras ações permitem que você acesse sua conta do Macie e recupere os detalhes das descobertas. A última ação permite que você recupere e revele amostras de dados confidenciais das descobertas.
Para usar o console do Amazon Macie a fim de recuperar e revelar amostras de dados confidenciais, você também deve ter permissão para realizar a seguinte ação: `macie2:GetSensitiveDataOccurrencesAvailability`. Essa ação permite determinar se as amostras estão disponíveis para descobertas individuais. Você não precisa de permissão para realizar essa ação para recuperar e revelar amostras de forma programática. No entanto, ter essa permissão pode agilizar sua recuperação de amostras.
Se você for o administrador delegado do Macie de uma organização e tiver configurado o Macie para assumir um perfil do IAM para recuperar amostras de dados confidenciais, também deverá ter permissão para realizar a seguinte ação: `macie2:GetMember`. Essa ação permite que você recupere informações sobre a associação entre sua conta e uma conta afetada. Ela permite que o Macie verifique se você é atualmente o administrador do Macie para a conta afetada.
Se você não tiver permissão para realizar as ações necessárias ou acessar os dados e recursos necessários, peça ajuda ao AWS administrador.
## Como determinar se as amostras de dados confidenciais estão disponíveis para uma descoberta
Para recuperar e revelar amostras de dados confidenciais para uma descoberta, a descoberta precisa atender a determinados critérios. Ele deve incluir dados de localização para ocorrências específicas de dados confidenciais. Além disso, ele precisa especificar a localização de um resultado de descoberta de dados confidenciais válido e correspondente. O resultado da descoberta de dados confidenciais deve ser armazenado da Região da AWS mesma forma que a descoberta. Se você configurou o Amazon Macie para acessar os objetos afetados do S3 assumindo uma função AWS Identity and Access Management (IAM), o resultado da descoberta de dados confidenciais também deve ser armazenado em um objeto do S3 que o Macie assinou com um Código de Autenticação de Mensagens (HMAC) baseado em Hash. AWS KMS key
O objeto do S3 afetado também precisa atender a determinados critérios. O tipo de MIME do objeto deve ser um dos seguintes:
+ *application/avro*, para um arquivo de contêiner de objetos Apache Avro (.avro)
+ *application/gzip*, para um arquivo compactado GNU Zip (.gz ou .gzip)
+ *application/json*, para um arquivo JSON ou JSON Lines (.json ou .jsonl)
+ *application/parquet*, para um arquivo Apache Parquet (.parquet)
+ *application/vnd.openxmlformats-officedocument.spreadsheetml.sheet*, para um arquivo de pasta de trabalho do Microsoft Excel (.xlsx)
+ *application/zip*, para um arquivo compactado GNU Zip (.gz ou .gzip)
+ *text/csv*, para um arquivo CSV (.csv)
+ *text/plain*, para um arquivo de texto não binário diferente de um arquivo CSV, JSON, JSON Lines ou TSV
+ *text/tab-separated-values*, para um arquivo TSV (.tsv)
Além disso, o conteúdo do objeto do S3 deve ser o mesmo de quando a descoberta foi criada. Macie verifica a tag de entidade do objeto (ETag) para determinar se ela corresponde à ETag especificada pela descoberta. Além disso, o tamanho de armazenamento do objeto não pode exceder a cota de tamanho aplicável para recuperar e revelar amostras de dados confidenciais. Para obter uma lista das cotas aplicáveis, consulte[Cotas para o Macie](macie-quotas.md).
Se uma descoberta e o objeto do S3 afetado atenderem aos critérios anteriores, amostras de dados confidenciais estarão disponíveis para a descoberta. Se preferir, você pode determinar se esse é o caso de uma descoberta específica antes de tentar recuperar e revelar amostras para ela.
**Determinando se as amostras de dados confidenciais estão disponíveis para descobertas**
Você pode usar o console do Amazon Macie ou a API do Amazon Macie para determinar se amostras de dados confidenciais estão disponíveis para uma descoberta.
------
#### [ Console ]
Siga essas etapas no console do Amazon Macie para determinar se existem amostras de dados confidenciais disponíveis para uma descoberta.
**Determinando se as amostras de dados confidenciais estão disponíveis para descobertas**
1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. No painel de navegação, selecione **Descobertas**.
1. Na página **Descobertas**, selecione a descoberta. O painel de detalhes exibirá informações sobre a descoberta.
1. No painel de detalhes, vá até a seção **Dados confidenciais**. Em seguida, consulte o campo **Revelar amostras**.
Se houver amostras de dados confidenciais disponíveis para a descoberta, um link **Revisar** será exibido no campo, conforme mostrado na seguinte imagem.
![\[O campo Revelar amostras no painel de detalhes da descoberta. O campo contém um link chamado Revisão.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/scrn-findings-reveal-samples.png)
Se não houver amostras de dados confidenciais disponíveis para a descoberta, o campo **Revelar amostras** exibirá um texto indicando o motivo:
+ **Conta fora da organização**: você não tem permissão para acessar o objeto afetado do S3 usando o Macie. A conta afetada não faz parte da sua organização. Ou a conta faz parte da sua organização, mas o Macie não está habilitado para a conta na Região da AWS atual.
+ **Resultado inválido de classificação**: não há um resultado correspondente de descoberta de dados confidenciais para a descoberta. Ou o resultado correspondente da descoberta de dados confidenciais não está disponível no Região da AWS atual, está malformado ou corrompido ou usa um formato de armazenamento incompatível. O Macie não consegue verificar a localização dos dados confidenciais a serem recuperados.
+ **Assinatura de resultado inválida**: o resultado correspondente da descoberta de dados confidenciais é armazenado em um objeto do S3 que não foi assinado pelo Macie. O Macie não consegue verificar a integridade e a autenticidade do resultado da descoberta de dados confidenciais. Portanto, o Macie não consegue verificar a localização dos dados confidenciais a serem recuperados.
+ **Perfil de membro muito permissivo**: a política de confiança ou de permissões para o perfil do IAM na conta de membro afetada não atende aos requisitos do Macie para restringir o acesso ao perfil. Ou a política de confiança do perfil não especifica o ID externo correto para sua organização. O Macie não pode assumir o perfil para recuperar os dados confidenciais.
+ ** GetMember Permissão ausente — Você não tem permissão** para recuperar informações sobre a associação entre sua conta e a conta afetada. O Macie não consegue determinar se você não tem permissão para acessar o objeto afetado do S3 como administrador delegado do Macie para a conta afetada.
+ **Objeto excede a cota de tamanho**: o tamanho de armazenamento do objeto afetado do S3 excede a cota de tamanho para recuperar e revelar amostras de dados confidenciais desse tipo de arquivo.
+ **Objeto indisponível**: o objeto afetado do S3 não está disponível. O objeto foi renomeado, movido ou excluído, ou seu conteúdo foi alterado depois que o Macie criou a descoberta. Ou o objeto está criptografado com um AWS KMS key que não está disponível. Por exemplo, a chave está desabilitada, programada para exclusão ou foi excluída.
+ **Resultado não assinado**: o resultado correspondente da descoberta de dados confidenciais está armazenado em um objeto do S3 que não foi assinado. O Macie não consegue verificar a integridade e a autenticidade do resultado da descoberta de dados confidenciais. Portanto, o Macie não consegue verificar a localização dos dados confidenciais a serem recuperados.
+ **Perfil muito permissivo**: sua conta está configurada para recuperar ocorrências de dados confidenciais usando um perfil do IAM cuja política de confiança ou permissões não atende aos requisitos do Macie para restringir o acesso ao perfil. O Macie não pode assumir o perfil para recuperar os dados confidenciais.
+ **Tipo de objeto incompatível**: o objeto afetado do S3 usa um formato de arquivo ou armazenamento não compatível com o Macie para recuperar e revelar amostras de dados confidenciais. O tipo MIME do objeto afetado do S3 não é um dos valores na [lista anterior](#findings-retrieve-sd-criteria-mimetype).
Se houver um problema com o resultado da descoberta de dados confidenciais, as informações no campo **Localização detalhada do resultado** da descoberta poderão ajudar você a investigar o problema. Esse campo especifica o caminho original para o resultado no Amazon S3. Para investigar um problema com um perfil do IAM, certifique-se de que as políticas do perfil atendam a todos os requisitos para que o Macie assuma o perfil. Para obter esses detalhes, consulte [Configurar um perfil do IAM para acessar objetos afetados do S3](findings-retrieve-sd-options.md#findings-retrieve-sd-options-s3access-role-configuration).
------
#### [ API ]
Para determinar programaticamente se amostras de dados confidenciais estão disponíveis para uma descoberta, use a [GetSensitiveDataOccurrencesAvailability](https://docs.aws.amazon.com/macie/latest/APIReference/findings-findingid-reveal-availability.html)operação da API Amazon Macie. Ao enviar sua solicitação, use o parâmetro `findingId` para especificar o identificador exclusivo da descoberta. Para obter esse identificador, você pode usar a [ListFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings.html)operação.
Se você estiver usando o AWS Command Line Interface (AWS CLI), execute o comando [get-sensitive-data-occurrences-availability](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitive-data-occurrences-availability.html) e use o `finding-id` parâmetro para especificar o identificador exclusivo para a descoberta. Para obter esse identificador, você pode usar a operação [ListFindings](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-findings.html).
Se sua solicitação tiver êxito e as amostras estiverem disponíveis para a descoberta, você receberá um resultado semelhante a este:
```
{
"code": "AVAILABLE",
"reasons": []
}
```
Se sua solicitação tiver êxito e as amostras não estiverem disponíveis para a descoberta, o valor do campo `code` será `UNAVAILABLE` e a matriz `reasons` especificará o motivo. Por exemplo:
```
{
"code": "UNAVAILABLE",
"reasons": [
"UNSUPPORTED_OBJECT_TYPE"
]
}
```
Se houver um problema com o resultado da descoberta de dados confidenciais, as informações no campo `classificationDetails.detailedResultsLocation` da descoberta poderão ajudar você a investigar o problema. Esse campo especifica o caminho original para o resultado no Amazon S3. Para investigar um problema com um perfil do IAM, certifique-se de que as políticas do perfil atendam a todos os requisitos para que o Macie assuma o perfil. Para obter esses detalhes, consulte [Configurar um perfil do IAM para acessar objetos afetados do S3](findings-retrieve-sd-options.md#findings-retrieve-sd-options-s3access-role-configuration).
------
## Recuperar amostras de dados confidenciais para uma descoberta
Para recuperar e revelar amostras de dados confidenciais de uma descoberta, você pode usar o console do Amazon Macie ou a API do Amazon Macie.
------
#### [ Console ]
Siga estas etapas para recuperar e revelar amostras de dados confidenciais de uma descoberta usando o console do Amazon Macie.
**Para recuperar e revelar amostras de dados confidenciais de uma descoberta**
1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. No painel de navegação, selecione **Descobertas**.
1. Na página **Descobertas**, selecione a descoberta. O painel de detalhes exibirá informações sobre a descoberta.
1. No painel de detalhes, vá até a seção **Dados confidenciais**. Em seguida, no campo **Revelar amostras**, selecione **Revisar**:
![\[O campo Revelar amostras no painel de detalhes da descoberta. O campo contém um link chamado Revisão.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/scrn-findings-reveal-samples.png)
**nota**
Se o link **Revisar** não aparecer no campo **Revelar amostras**, as amostras de dados confidenciais não estarão disponíveis para a descoberta. Para determinar por que esse é o caso, consulte o [tópico anterior](#findings-retrieve-sd-proc-criteria).
Depois de selecionar **Revisar**, o Macie exibe uma página que resume os principais detalhes da descoberta. Os detalhes incluem as categorias, os tipos e o número de ocorrências de dados confidenciais que o Macie encontrou no objeto do S3 afetado.
1. Na seção **Dados confidenciais** da página, selecione **Revelar amostras**. Em seguida, o Macie vai recuperar e revelar amostras das primeiras 1 a 10 ocorrências de dados confidenciais relatadas pela descoberta. Cada amostra contém os primeiros 1 a 128 caracteres de uma ocorrência de dados confidenciais. A recuperação e revelação das amostras pode demorar vários minutos.
Se a descoberta relatar vários tipos de dados confidenciais, o Macie recupera e revela amostras de até cem tipos. Por exemplo, a imagem a seguir mostra amostras que abrangem várias categorias e tipos de dados confidenciais:AWS credenciais, números de telefone dos EUA e nomes de pessoas.
![\[A tabela de amostras. Ela lista nove amostras e a categoria e o tipo de dados confidenciais de cada amostra.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/scrn-findings-sd-samples.png)
As amostras são organizadas, primeiro, por categoria de dados confidenciais e, depois, por tipo de dados confidenciais.
------
#### [ API ]
Para recuperar e revelar amostras de dados confidenciais para uma descoberta de forma programática, use a [GetSensitiveDataOccurrences](https://docs.aws.amazon.com/macie/latest/APIReference/findings-findingid-reveal.html)operação da API do Amazon Macie. Ao enviar sua solicitação, use o parâmetro `findingId` para especificar o identificador exclusivo da descoberta. Para obter esse identificador, você pode usar a [ListFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings.html)operação.
Para recuperar e revelar amostras de dados confidenciais usando o AWS Command Line Interface (AWS CLI), execute o [get-sensitive-data-occurrences](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitive-data-occurrences.html)comando e use o `finding-id` parâmetro para especificar o identificador exclusivo da descoberta. Por exemplo:
```
C:\> aws macie2 get-sensitive-data-occurrences --finding-id "1f1c2d74db5d8caa76859ec52example"
```
Onde *1f1c2d74db5d8caa76859ec52example* está o identificador exclusivo da descoberta. Para obter esse identificador usando o AWS CLI, você pode executar o comando [list-findings](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-findings.html).
Se a sua solicitação for realizada com êxito, o Macie começará a processar sua solicitação e você receberá um resultado semelhante a este:
```
{
"status": "PROCESSING"
}
```
Pode demorar vários minutos para processar a sua solicitação. Em alguns minutos, envie sua solicitação novamente.
Se o Macie puder localizar, recuperar e criptografar as amostras de dados confidenciais, o Macie retornará as amostras em um mapa `sensitiveDataOccurrences`. O mapa especifica de 1 a 100 tipos de dados confidenciais relatados pela descoberta e, para cada tipo, de 1 a 10 amostras. Cada amostra contém os primeiros 1 a 128 caracteres de uma ocorrência de dados confidenciais relatada pela descoberta.
No mapa, cada chave é o ID do identificador de dados gerenciados que detectou os dados confidenciais, ou o nome e o identificador exclusivo do identificador de dados personalizado que detectou os dados confidenciais. Os valores são exemplos do identificador de dados gerenciados ou do identificador de dados personalizado especificado. Por exemplo, a resposta a seguir fornece três amostras de nomes de pessoas e duas amostras de chaves de acesso AWS secretas que foram detectadas por identificadores de dados gerenciados (`NAME`e`AWS_CREDENTIALS`, respectivamente).
```
{
"sensitiveDataOccurrences": {
"NAME": [
{
"value": "Akua Mansa"
},
{
"value": "John Doe"
},
{
"value": "Martha Rivera"
}
],
"AWS_CREDENTIALS": [
{
"value": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY"
},
{
"value": "je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY"
}
]
},
"status": "SUCCESS"
}
```
Se sua solicitação tiver êxito, mas não houver amostras de dados confidenciais disponíveis para a descoberta, você receberá uma mensagem `UnprocessableEntityException` indicando porque as amostras não estão disponíveis. Por exemplo:
```
{
"message": "An error occurred (UnprocessableEntityException) when calling the GetSensitiveDataOccurrences operation: OBJECT_UNAVAILABLE"
}
```
No exemplo anterior, o Macie tentou recuperar amostras do objeto afetado do S3, mas o objeto não estava mais disponível. O conteúdo do objeto mudou depois que o Macie criou a descoberta.
Se sua solicitação tiver êxito, mas outro tipo de erro tiver impedido o Macie de recuperar e revelar amostras de dados confidenciais para a descoberta, você receberá uma saída semelhante à seguinte:
```
{
"error": "Macie can't retrieve the samples. You're not allowed to access the affected S3 object or the object is encrypted with a key that you're not allowed to use.",
"status": "ERROR"
}
```
O valor do campo `status` é `ERROR` e o campo `error` descreve o erro que ocorreu. As informações do [tópico anterior](#findings-retrieve-sd-proc-criteria) podem ajudar você a investigar o erro.
------
# Esquema para relatar a localização de dados confidenciais
O Amazon Macie usa estruturas JSON padronizadas para armazenar informações sobre onde encontra dados confidenciais nos objetos do Amazon Simple Storage Service (Amazon S3). As estruturas são usadas por descobertas de dados confidenciais e resultados de detecções de dados confidenciais. Para descobertas de dados confidenciais, as estruturas fazem parte do esquema JSON para descobertas. Para analisar o esquema JSON completo das descobertas, consulte [Descobertas](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html) na *Referência de API do Amazon Macie*. Para saber mais sobre os resultados da detecção de dados confidenciais, consulte [Armazenamento e retenção de resultados de descoberta de dados confidenciais](discovery-results-repository-s3.md).
**Topics**
+ [Visão geral do esquema](#findings-locate-sd-schema-overview)
+ [Detalhes e exemplos do esquema](#findings-locate-sd-schema-examples)
## Visão geral do esquema
Para relatar a localização de dados confidenciais que o Amazon Macie encontrou em um objeto do S3 afetado, o esquema JSON para descobertas de dados confidenciais e resultados de descobertas de dados confidenciais inclui um objeto `customDataIdentifiers` e um objeto `sensitiveData`. O `customDataIdentifiers` objeto fornece detalhes sobre os dados que o Macie detectou usando [identificadores de dados personalizados](custom-data-identifiers.md). O `sensitiveData` objeto fornece detalhes sobre os dados que o Macie detectou usando [identificadores de dados gerenciados](managed-data-identifiers.md).
Cada objeto `customDataIdentifiers` e `sensitiveData` contém uma ou mais matrizes `detections`:
+ Em um objeto `customDataIdentifiers`, a matriz `detections` indica quais identificadores de dados personalizados detectaram os dados e produziram a descoberta. Para cada identificador de dados personalizado, a matriz também indica o número de ocorrências dos dados que o identificador detectou. Também pode indicar a localização dos dados que o identificador detectou.
+ Em um objeto `sensitiveData`, uma matriz `detections` indica os tipos de dados confidenciais que o Macie detectou usando identificadores de dados gerenciados. Para cada tipo de dado confidencial, a matriz também indica o número de ocorrências dos dados e pode indicar a localização dos dados.
Para uma descoberta de dados confidenciais, uma matriz `detections` pode incluir de 1 a 15 objetos `occurrences`. Cada objeto `occurrences` especifica onde o Macie detectou ocorrências individuais de um tipo específico de dados confidenciais.
Por exemplo, a matriz `detections` a seguir indica a localização de três ocorrências de dados confidenciais (números do Seguro Social dos EUA) que Macie encontrou em um arquivo CSV.
```
"sensitiveData": [
{
"category": "PERSONAL_INFORMATION",
"detections": [
{
"count": 30,
"occurrences": {
"cells": [
{
"cellReference": null,
"column": 1,
"columnName": "SSN",
"row": 2
},
{
"cellReference": null,
"column": 1,
"columnName": "SSN",
"row": 3
},
{
"cellReference": null,
"column": 1,
"columnName": "SSN",
"row": 4
}
]
},
"type": "USA_SOCIAL_SECURITY_NUMBER"
}
```
A localização e o número de objetos `occurrences` em uma matriz `detections` variam com base nas categorias, tipos e número de ocorrências de dados confidenciais que o Macie detecta durante um ciclo automatizado de análise de descoberta de dados confidenciais ou a execução de um trabalho de descoberta de dados confidenciais. Para cada execução de trabalho ou ciclo de análise, o Macie também usa um algoritmo de *pesquisa detalhada* para preencher as descobertas resultantes com detalhes sobre os dados de localização de 1 a 15 ocorrências específicas de dados confidenciais que o Macie detecta nos objetos do S3. Essas ocorrências são indicativas das categorias e dos tipos de dados confidenciais que um bucket e um objeto do S3 afetados podem conter.
Um objeto `occurrences` pode conter qualquer uma das seguintes estruturas, dependendo do tipo de arquivo ou formato de armazenamento do objeto S3 afetado:
+ Matriz `cells`: essa matriz se aplica às pastas de trabalho do Microsoft Excel, arquivos CSV e arquivos TSV. Um objeto nessa matriz especifica uma célula ou campo em que o Macie detectou uma ocorrência de dados confidenciais.
+ Matriz `lineRanges`: essa matriz se aplica a arquivos de mensagens de e-mail (EML) e arquivos de texto não binários que não sejam arquivos CSV, JSON, JSON Lines e TSV; por exemplo, arquivos HTML, TXT e XML. Um objeto nessa matriz especifica uma linha ou um intervalo inclusivo de linhas em que o Macie detectou uma ocorrência de dados confidenciais e a posição dos dados na linha ou linhas especificadas.
Em certos casos, um objeto em uma matriz `lineRanges` especifica a localização de uma detecção de dados confidenciais em um tipo de arquivo ou formato de armazenamento compatível com outro tipo de matriz. Esses casos são: uma detecção em uma seção não estruturada de um arquivo estruturado no geral, como um comentário em um arquivo; uma detecção em um arquivo malformado que o Macie analisa como texto sem formatação; e um arquivo CSV ou TSV que tem um ou mais nomes de coluna nos quais o Macie detectou dados confidenciais.
+ Matriz `offsetRanges`: isso está reservado para uso futuro. Se essa matriz estiver presente, o valor dela será nulo.
+ matriz `pages`: essa matriz se aplica aos arquivos Adobe Portable Document Format (PDF). Um objeto nessa matriz especifica uma página em que o Macie detectou uma ocorrência de dados confidenciais.
+ matriz `records`: essa matriz se aplica a contêineres de objetos Apache Avro, arquivos Apache Parquet, arquivos JSON e arquivos JSON Lines. Para contêineres de objetos Avro e arquivos Parquet, um objeto nessa matriz especifica um índice de registro e o caminho para um campo em um registro no qual o Macie detectou uma ocorrência de dados confidenciais. Para arquivos JSON e JSON Lines, um objeto nessa matriz especifica um caminho para um campo ou matriz no qual o Macie detectou uma ocorrência de dados confidenciais. Para arquivos JSON Lines, ele também especifica o índice da linha que contém os dados.
O conteúdo dessas matrizes varia de acordo com o tipo de arquivo ou formato de armazenamento do objeto S3 afetado e seu conteúdo.
## Detalhes e exemplos do esquema
O Amazon Macie adapta o conteúdo das estruturas JSON que ele usa para indicar onde detectou dados confidenciais em tipos específicos de arquivos e de conteúdo. Os tópicos a seguir explicam e fornecem exemplos dessas estruturas.
**Topics**
+ [Matriz de células](#findings-locate-sd-schema-examples-cell)
+ [LineRanges matriz](#findings-locate-sd-schema-examples-linerange)
+ [Matriz de páginas](#findings-locate-sd-schema-examples-page)
+ [Matriz de registros](#findings-locate-sd-schema-examples-record)
Para obter uma lista completa das estruturas JSON que podem ser incluídas em uma descoberta de dados confidenciais, consulte [Descobertas](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html) na *Referência de API do Amazon Macie*.
### Matriz de células
**Aplica-se a:** livros de trabalho do Microsoft Excel, arquivos CSV e arquivos TSV
Em uma matriz `cells`, um objeto `Cell` especifica uma célula ou campo em que o Macie detectou uma ocorrência de dados confidenciais. A tabela a seguir descreve a finalidade de cada campo em um objeto `Cell`.
| Campo | Tipo | Description |
| --- | --- | --- |
| cellReference | String | A localização da célula, como referência absoluta da célula, que contém a ocorrência. Esse campo se aplica somente às pastas de trabalho do Excel. Esse valor é nulo para arquivos CSV e TSV. |
| column | Inteiro | O número da coluna que contém a ocorrência. Para uma pasta de trabalho do Excel, esse valor se correlaciona com os caracteres alfabéticos de um identificador de coluna; por exemplo, 1 para a coluna A, 2 para a coluna B e assim por diante. |
| columnName | String | O nome da coluna que contém a ocorrência, se disponível. |
| row | Inteiro | O número da linha que contém a ocorrência. |
O exemplo a seguir mostra a estrutura de um objeto `Cell` que especifica a localização de uma ocorrência de dados confidenciais que o Macie detectou em um arquivo CSV.
```
"cells": [
{
"cellReference": null,
"column": 3,
"columnName": "SSN",
"row": 5
}
]
```
No exemplo anterior, a descoberta indica que o Macie detectou dados confidenciais no campo na quinta linha da terceira coluna (chamada *SSN*) do arquivo.
O exemplo a seguir mostra a estrutura de um objeto `Cell` que especifica a localização de uma ocorrência de dados confidenciais que o Macie detectou em uma pasta de trabalho do Excel.
```
"cells": [
{
"cellReference": "Sheet2!C5",
"column": 3,
"columnName": "SSN",
"row": 5
}
]
```
No exemplo anterior, a descoberta indica que o Macie detectou dados confidenciais na planilha chamada *Planilha2* na pasta de trabalho. Nessa planilha, o Macie detectou dados confidenciais na célula na quinta linha da terceira coluna (coluna C, chamada *SSN*).
### LineRanges matriz
**Aplica-se a:** arquivos de mensagens de e-mail (EML) e arquivos de texto não binários que não sejam arquivos CSV, JSON, JSON Lines e TSV; por exemplo, arquivos HTML, TXT e XML
Em uma matriz `lineRanges`, um objeto `Range` especifica uma linha ou um intervalo inclusivo de linhas em que o Macie detectou uma ocorrência de dados confidenciais e a posição dos dados na linha ou nas linhas especificadas.
Esse objeto geralmente está vazio para tipos de arquivo compatíveis com outros tipos de matrizes em objetos `occurrences`. As exceções são:
+ Dados em seções não estruturadas de um arquivo estruturado no geral, como um comentário em um arquivo.
+ Dados em um arquivo malformado que o Macie analisa como texto sem formatação.
+ Um arquivo CSV ou TSV que tem um ou mais nomes de coluna nos quais o Macie detectou dados confidenciais.
A tabela a seguir descreve a finalidade de cada campo em um objeto `Range` de uma matriz `lineRanges`.
| Campo | Tipo | Description |
| --- | --- | --- |
| end | Inteiro | O número de linhas desde o início do arquivo até o final da ocorrência. |
| start | Inteiro | O número de linhas desde o início do arquivo até o começo da ocorrência. |
| startColumn | Inteiro | O número de caracteres, com espaços e começando em 1, desde o início da primeira linha que contém a ocorrência (start) até o início da ocorrência. |
O exemplo a seguir mostra a estrutura de um objeto `Range` que especifica a localização de uma ocorrência de dados confidenciais que o Macie detectou em um arquivo TXT.
```
"lineRanges": [
{
"end": 1,
"start": 1,
"startColumn": 119
}
]
```
No exemplo anterior, a descoberta indica que o Macie detectou uma ocorrência completa de dados confidenciais (um endereço postal) na primeira linha do arquivo. O primeiro caractere na ocorrência tem 119 caracteres (com espaços) a partir do início dessa linha.
O exemplo a seguir mostra a estrutura de um objeto `Range` que especifica a localização de uma ocorrência de dados confidenciais que engloba várias linhas em um arquivo TXT.
```
"lineRanges": [
{
"end": 54,
"start": 51,
"startColumn": 1
}
]
```
No exemplo anterior, a descoberta indica que o Macie detectou uma ocorrência completa de dados confidenciais (um endereço postal) no intervalo das linhas 51 a 54 do arquivo. O primeiro caractere na ocorrência é o primeiro caractere na linha 51 do arquivo.
### Matriz de páginas
**Aplica-se a:** arquivos Adobe Portable Document Format (PDF)
Em uma matriz `pages`, um objeto `Page` especifica uma página em que o Macie detectou uma ocorrência de dados confidenciais. O objeto contém um campo `pageNumber`. O campo `pageNumber` armazena um número inteiro que especifica o número da página que contém a ocorrência.
O exemplo a seguir mostra a estrutura de um objeto `Page` que especifica a localização de uma ocorrência de dados confidenciais que o Macie detectou em um arquivo PDF.
```
"pages": [
{
"pageNumber": 10
}
]
```
No exemplo anterior, a descoberta indica que a página 10 do arquivo contém a ocorrência.
### Matriz de registros
**Aplica-se a:** contêineres de objetos Apache Avro, arquivos Apache Parquet, arquivos JSON e arquivos JSON Lines
Para um contêiner de objetos Avro ou um arquivo Parquet, um objeto `Record` em uma matriz `records` especifica um índice de registro e o caminho para um campo em um registro no qual o Macie detectou uma ocorrência de dados confidenciais. Para arquivos JSON e JSON Lines, um objeto `Record` especifica um caminho para um campo ou matriz no qual o Macie detectou uma ocorrência de dados confidenciais. Para arquivos JSON Lines, ele também especifica o índice da linha que contém a ocorrência.
A tabela a seguir descreve a finalidade de cada campo em um objeto `Record`.
| Campo | Tipo | Description |
| --- | --- | --- |
| jsonPath | String | O caminho, como JSONPath expressão, até a ocorrência. Para um contêiner de objeto Avro ou um arquivo Parquet, esse é o caminho para o campo no registro (`recordIndex`) que contém a ocorrência. Para um arquivo JSON ou JSON Lines, esse é o caminho para o campo ou matriz que contém a ocorrência. Se os dados forem um valor em uma matriz, o caminho também indicará qual valor contém a ocorrência. Se o Macie detectar dados confidenciais no nome de qualquer elemento no caminho, o Macie omite o campo `jsonPath` de um objeto `Record`. Se o nome de um elemento de caminho exceder 240 caracteres, o Macie truncará o nome removendo caracteres do início do nome. Se o caminho completo resultante exceder 250 caracteres, o Macie também truncará o caminho, começando com o primeiro elemento no caminho, até que o caminho contenha 250 caracteres ou menos. |
| recordIndex | Inteiro | Para um contêiner de objeto Avro ou um arquivo Parquet, o índice do registro, começando em 0, para o registro que contém a ocorrência. Para um arquivo JSON Lines, o índice da linha, começando em 0, para a linha que contém a ocorrência. Esse valor é sempre 0 para arquivos JSON. |
O exemplo a seguir mostra a estrutura de um objeto `Record` que especifica a localização de uma ocorrência de dados confidenciais que o Macie detectou em um arquivo Parquet.
```
"records": [
{
"jsonPath": "$['abcdefghijklmnopqrstuvwxyz']",
"recordIndex": 7663
}
]
```
No exemplo anterior, a descoberta indica que o Macie detectou dados confidenciais no registro do índice 7663 (registro número 7664). Naquele registro, o Macie detectou dados confidenciais no campo nomeado `abcdefghijklmnopqrstuvwxyz`. O caminho JSON completo para o campo no registro é `$.abcdefghijklmnopqrstuvwxyz`. O campo é descendente direto do objeto raiz (nível externo).
O exemplo a seguir também mostra a estrutura de um objeto `Record` para uma ocorrência de dados confidenciais que o Macie detectou em um arquivo Parquet. No entanto, neste exemplo, o Macie truncou o nome do campo que contém a ocorrência porque o nome excede o limite de caracteres.
```
"records": [
{
"jsonPath": "$['...uvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyz']",
"recordIndex": 7663
}
]
```
No exemplo anterior, o campo é descendente direto do objeto raiz (nível externo).
No exemplo a seguir, também para uma ocorrência de dados confidenciais que o Macie detectou em um arquivo Parquet, o Macie truncou o caminho completo para o campo que contém a ocorrência. O caminho completo excede o limite de caracteres.
```
"records": [
{
"jsonPath": "$..usssn2.usssn3.usssn4.usssn5.usssn6.usssn7.usssn8.usssn9.usssn10.usssn11.usssn12.usssn13.usssn14.usssn15.usssn16.usssn17.usssn18.usssn19.usssn20.usssn21.usssn22.usssn23.usssn24.usssn25.usssn26.usssn27.usssn28.usssn29['abcdefghijklmnopqrstuvwxyz']",
"recordIndex": 2335
}
]
```
No exemplo anterior, a descoberta indica que o Macie detectou dados confidenciais no registro do índice 2335 (registro número 2336). Naquele registro, o Macie detectou dados confidenciais no campo nomeado `abcdefghijklmnopqrstuvwxyz`. O caminho JSON completo para o campo no registro é:
`$['1234567890']usssn1.usssn2.usssn3.usssn4.usssn5.usssn6.usssn7.usssn8.usssn9.usssn10.usssn11.usssn12.usssn13.usssn14.usssn15.usssn16.usssn17.usssn18.usssn19.usssn20.usssn21.usssn22.usssn23.usssn24.usssn25.usssn26.usssn27.usssn28.usssn29['abcdefghijklmnopqrstuvwxyz']`
O exemplo a seguir mostra a estrutura de um objeto `Record` que especifica a localização de uma ocorrência de dados confidenciais que o Macie detectou em um arquivo JSON. Neste exemplo, a ocorrência é um valor específico em uma matriz.
```
"records": [
{
"jsonPath": "$.access.key[2]",
"recordIndex": 0
}
]
```
No exemplo anterior, a descoberta indica que o Macie detectou dados confidenciais no segundo valor de uma matriz chamada. `key` A matriz é filha de um objeto chamado`access`.
O exemplo a seguir mostra a estrutura de um objeto `Record` que especifica a localização de uma ocorrência de dados confidenciais que o Macie detectou em um arquivo JSON Lines.
```
"records": [
{
"jsonPath": "$.access.key",
"recordIndex": 3
}
]
```
No exemplo anterior, a descoberta indica que o Macie detectou dados confidenciais no terceiro valor (linha) no arquivo. Naquela linha, a ocorrência está em um campo chamado `key`, que é filho de um objeto chamado `access`.
# Suprimir descobertas do Macie
Para simplificar sua análise das descobertas, você pode criar e usar regras de supressão. Uma *regra de supressão* é um conjunto de critérios de filtro baseados em atributos que define os casos em que você deseja que o Amazon Macie arquive as descobertas automaticamente. As regras de supressão são úteis em situações em que você revisou uma classe de descobertas e não quer ser notificado sobre elas novamente.
Por exemplo, você pode decidir permitir que os buckets do S3 contenham endereços de correspondência se os buckets não permitirem acesso público e criptografarem novos objetos automaticamente com um AWS KMS key particular. Nesse caso, você pode criar uma regra de supressão que especifique critérios de filtro para os seguintes campos: **tipo de detecção de dados confidenciais**, **permissão de acesso público ao bucket S3** e **ID da chave KMS de criptografia do bucket S3**. A regra suprime descobertas futuras que correspondam aos critérios do filtro.
Se você suprimir descobertas com uma regra de supressão, o Macie continuará gerando descobertas para ocorrências subsequentes de dados confidenciais e possíveis violações de políticas que correspondam aos critérios da regra. Porém, o Macie altera automaticamente o status das descobertas para *arquivadas*. Isso significa que as descobertas não aparecem por padrão no console do Amazon Macie, mas persistem no Macie até expirarem. O Macie armazena as descobertas por 90 dias.
Além disso, Macie não publica descobertas suprimidas na Amazon EventBridge como eventos ou para. AWS Security Hub CSPM No entanto, o Macie continua a criar e armazenar [resultados de descoberta de dados confidenciais](discovery-results-repository-s3.md) que se correlacionam com descobertas de dados confidenciais que você suprime. Isso ajuda a garantir que você tenha um histórico imutável de descobertas de auditorias de privacidade e de proteção de dados ou investigações que você realiza.
**nota**
Se a sua conta fizer parte de uma organização que gerencia de forma centralizada várias contas do Macie, as regras de supressão podem funcionar de forma diferente para a sua conta. Isso depende da categoria de descobertas que você deseja suprimir e se você tem uma conta de administrador ou membro do Macie:
**Descobertas de políticas** – Somente um administrador do Macie pode suprimir descobertas de políticas para as contas da organização.
Se você tiver uma conta de administrador no Macie e criar uma regra de supressão, o Macie aplicará a regra às descobertas de políticas de todas as contas da sua organização, a menos que você configure a regra para excluir contas específicas. Se você tiver uma conta de membro e quiser suprimir as descobertas da política para sua conta, entre em contato com o administrador do Macie.
**Descobertas de dados confidenciais** – Um administrador do Macie e membros individuais podem suprimir descobertas de dados confidenciais que seus trabalhos de descoberta de dados confidenciais produzem. Um administrador do Macie também pode suprimir as descobertas que o Macie gera ao realizar a descoberta automatizada de dados confidenciais para a organização.
Somente a conta que cria um trabalho de descoberta de dados confidenciais pode suprimir ou acessar as descobertas de dados confidenciais que o trabalho produzir. Somente a conta de administrador do Macie de uma organização pode suprimir ou acessar os resultados que a descoberta automatizada de dados confidenciais produz para contas na organização.
Para obter mais informações sobre as tarefas que administradores e membros podem realizar, consulte [Relações entre administradores do Macie e contas de membros](accounts-mgmt-relationships.md).
**Topics**
+ [Criar uma regra de supressão](findings-suppression-rule-create.md)
+ [Analisar descobertas suprimidas](findings-suppression-view-findings.md)
+ [Alterar uma regra de supressão](findings-suppression-rule-change.md)
+ [Excluir uma regra de supressão](findings-suppression-rule-delete.md)
# Criar uma regra de supressão para descobertas do Macie
Uma *regra de supressão* é um conjunto de critérios de filtro baseados em atributos que define os casos em que você deseja que o Amazon Macie arquive as descobertas automaticamente. As regras de supressão são úteis em situações em que você revisou uma classe de descobertas e não quer ser notificado sobre elas novamente. Ao criar uma regra de supressão, você especifica critérios de filtro, um nome e, opcionalmente, uma descrição da regra. Em seguida, o Macie usa os critérios da regra para determinar quais descobertas devem ser arquivadas automaticamente. Ao usar as regras de supressão, você pode simplificar a análise das descobertas.
Se você suprimir descobertas com uma regra de supressão, o Macie continuará gerando descobertas para ocorrências subsequentes de dados confidenciais e possíveis violações de políticas que correspondam aos critérios da regra. Porém, o Macie altera automaticamente o status das descobertas para *arquivadas*. Isso significa que as descobertas não aparecem por padrão no console do Amazon Macie, mas persistem no Macie até expirarem. (O Macie armazena as descobertas por 90 dias.) Isso também significa que Macie não publica as descobertas na Amazon EventBridge como eventos ou para AWS Security Hub CSPM.
Observe que as regras de supressão podem funcionar de maneira diferente para sua conta, se a conta fizer parte de uma organização que gerencia de forma centralizada várias contas do Macie. Isso depende da categoria de descobertas que você deseja suprimir e se você tem uma conta de administrador ou membro do Macie:
+ **Descobertas de políticas** – Somente um administrador do Macie pode suprimir descobertas de políticas para as contas da organização.
Se você tiver uma conta de administrador no Macie e criar uma regra de supressão, o Macie aplicará a regra às descobertas de políticas de todas as contas da sua organização, a menos que você configure a regra para excluir contas específicas. Se você tiver uma conta de membro e quiser suprimir as descobertas da política para sua conta, entre em contato com o administrador do Macie para suprimir as descobertas.
+ **Descobertas de dados confidenciais** – Um administrador do Macie e membros individuais podem suprimir descobertas de dados confidenciais que seus trabalhos de descoberta de dados confidenciais produzem. Um administrador do Macie também pode suprimir as descobertas que o Macie gera ao realizar a descoberta automatizada de dados confidenciais para a organização.
Somente a conta que cria um trabalho de descoberta de dados confidenciais pode suprimir ou acessar as descobertas de dados confidenciais que o trabalho produzir. Somente a conta de administrador do Macie de uma organização pode suprimir ou acessar os resultados que a descoberta automatizada de dados confidenciais produz para contas na organização.
Para obter mais informações sobre as tarefas que administradores e membros podem realizar, consulte [Relações entre administradores do Macie e contas de membros](accounts-mgmt-relationships.md).
Observe também que as regras de supressão são diferentes das regras de filtro. Uma *regra de filtro* é um conjunto de critérios de filtro que você cria e salva para usar novamente ao analisar as descobertas no console do Amazon Macie. Embora os dois tipos de regras armazenem e apliquem critérios de filtro, uma regra de filtro não executa nenhuma ação nas descobertas que correspondem aos critérios da regra. Em vez disso, uma regra de filtro determina apenas quais descobertas aparecem no console depois que você aplica a regra. Para obter mais informações, consulte [Definir regras de filtro](findings-filter-rule-procedures.md). Dependendo de suas metas de análise, você pode determinar que é melhor criar uma regra de filtro em vez de uma regra de supressão.
**Para criar uma regra de supressão para descobertas**
Você pode criar uma regra de supressão usando o console do Amazon Macie ou a API do Amazon Macie. Antes de criar uma regra de supressão, é importante observar que você não pode restaurar (desarquivar) descobertas suprimidas usando uma regra de supressão. No entanto, você pode [analisar as descobertas suprimidas](findings-suppression-view-findings.md) usando o Macie.
------
#### [ Console ]
Siga estas etapas para criar uma regra de supressão usando o console do Amazon Macie.
**Como criar uma regra de supressão**
1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. No painel de navegação, selecione **Descobertas**.
**dica**
Para usar uma regra de supressão ou filtro existente como ponto de partida, selecione a regra na lista **Regras salvas**.
Você também pode simplificar a criação de uma regra ao analisar e detalhar antes as descobertas por meio de um grupo lógico predefinido. Se você fizer isso, o Macie criará e aplicará automaticamente as condições do filtro apropriadas, o que pode ser um ponto de partida útil para se criar uma regra. Para fazer isso, selecione **Por bucket**, **Por tipo** ou **Por trabalho** no painel de navegação (em **Descobertas**). Em seguida, selecione um item na tabela. No painel de detalhes, selecione o link do campo a analisar.
1. Na caixa **Critérios de filtro**, adicione condições de filtro que especifiquem os atributos das descobertas que você deseja que a regra suprima.
![\[Caixa de Critérios do filtro na página Descobertas.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/scrn-findings-filter-bar-empty-conditions.png)
Para saber como adicionar condições de filtro, consulte [Criar e aplicar filtros às descobertas do Macie](findings-filter-procedure.md).
1. Ao terminar de adicionar condições de filtro para a regra, selecione **Suprimir descobertas**.
1. Em **Regra de supressão**, insira um nome e, opcionalmente, uma descrição da regra.
1. Escolha **Salvar**.
------
#### [ API ]
Para criar uma regra de supressão programaticamente, use a [CreateFindingsFilter](https://docs.aws.amazon.com/macie/latest/APIReference/findingsfilters.html)operação da API do Amazon Macie e especifique os valores apropriados para os parâmetros necessários:
+ Para o parâmetro `action`, especifique `ARCHIVE` para garantir que o Macie suprima as descobertas que correspondam aos critérios da regra.
+ Para o parâmetro `criterion`, especifique um mapa de condições que defina os critérios de filtro para a regra.
No mapa, cada condição deve especificar um campo, um operador e um ou mais valores para o campo. O tipo e o número de valores dependem do campo e do operador que você escolher. Para obter informações sobre os campos, operadores e tipos de valores que você pode usar em uma condição, consulte: [Campos para filtrar descobertas do Macie](findings-filter-fields.md), [Usando operadores em condições](findings-filter-basics.md#findings-filter-basics-operators) e [Especificando valores para campos](findings-filter-basics.md#findings-filter-basics-value-types).
Para criar uma regra de supressão usando o AWS Command Line Interface (AWS CLI), execute o [create-findings-filter](https://docs.aws.amazon.com/cli/latest/reference/macie2/create-findings-filter.html)comando e especifique os valores apropriados para os parâmetros necessários. Os exemplos a seguir criam uma regra de supressão que retorna todas as descobertas de dados confidenciais que estão nos dados atuais Região da AWS e relatam ocorrências de endereços de correspondência (e nenhum outro tipo de dados confidenciais) em objetos do S3.
Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.
```
$ aws macie2 create-findings-filter \
--action ARCHIVE \
--name my_suppression_rule \
--finding-criteria '{"criterion":{"classificationDetails.result.sensitiveData.detections.type":{"eqExactMatch":["ADDRESS"]}}}'
```
Este exemplo foi formatado para Microsoft Windows e usa o caractere de continuação de linha circunflexo (^) para melhorar a legibilidade.
```
C:\> aws macie2 create-findings-filter ^
--action ARCHIVE ^
--name my_suppression_rule ^
--finding-criteria={\"criterion\":{\"classificationDetails.result.sensitiveData.detections.type\":{\"eqExactMatch\":[\"ADDRESS\"]}}}
```
Em que:
+ *my\$1suppression\$1rule*é o nome personalizado da regra.
+ `criterion` é um mapa das condições do filtro para a regra:
+ *classificationDetails.result.sensitiveData.detections.type*é o nome JSON do campo **Tipo de detecção de dados confidenciais**.
+ *eqExactMatch*especifica o operador *de correspondência exata igual.*
+ *ADDRESS*é um valor enumerado para o campo Tipo de **detecção de dados confidenciais**.
Se o comando for executado com sucesso, você receberá um resultado semelhante a este.
```
{
"arn": "arn:aws:macie2:us-west-2:123456789012:findings-filter/8a3c5608-aa2f-4940-b347-d1451example",
"id": "8a3c5608-aa2f-4940-b347-d1451example"
}
```
Onde `arn` é o nome do recurso da Amazon (ARN) para a regra de supressão que foi criada e `id` é o identificador exclusivo da regra.
Para obter exemplos adicionais de critérios de filtro, consulte [Como filtrar descobertas de forma programática com a API do Amazon Macie](findings-filter-procedure.md#findings-filter-procedure-api).
------
# Analisar descobertas suprimidas no Macie
Se você suprimir descobertas com uma regra de supressão, o Amazon Macie continuará gerando descobertas para ocorrências subsequentes de dados confidenciais e possíveis violações de políticas que correspondam aos critérios da regra. Porém, o Macie altera automaticamente o status das descobertas para *arquivadas*. Isso significa que as descobertas não aparecem por padrão no console do Amazon Macie, mas persistem no Macie até expirarem. (O Macie armazena as descobertas por 90 dias.) Isso também significa que Macie não publica as descobertas na Amazon EventBridge como eventos ou para AWS Security Hub CSPM.
Como as descobertas suprimidas persistem no Macie por até 90 dias, você pode acessá-las e analisá-las antes que elas expirem. Além de ampliar sua análise das descobertas, isso pode ajudar você a determinar se deve ajustar seus critérios de supressão. Para ajustar os critérios, [altere as regras de supressão](findings-suppression-rule-change.md) da sua conta.
Você pode analisar as descobertas suprimidas no console do Amazon Macie alterando as configurações de filtro.
**Para analisar as descobertas suprimidas no console**
1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. No painel de navegação, selecione **Descobertas**. A página **Descobertas** exibe as descobertas que Macie criou ou atualizou para sua conta atualmente nos Região da AWS últimos 90 dias. Por padrão, isso não inclui descobertas que foram suprimidas por uma regra de supressão.
1. Para articular e analisar as descobertas por meio de um grupo lógico predefinido, selecione **Por bucket**, **Por tipo** ou **Por trabalho** no painel de navegação (em **Descobertas**).
1. Para **Status da descoberta**, faça um dos seguintes procedimentos:
+ Para exibir somente descobertas suprimidas, selecione **Arquivado**.
+ Para exibir descobertas suprimidas e não suprimidas, selecione **Tudo**.
+ Para ocultar novamente as descobertas suprimidas, selecione **Atual**.
Você também pode acessar descobertas suprimidas usando a API do Amazon Macie. Para recuperar uma lista de descobertas suprimidas, use a [ListFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings.html)operação. Em sua solicitação, inclua uma condição de filtro que especifique `true` para o campo `archived`. Para um exemplo de como fazer isso usando a AWS Command Line Interface (AWS CLI), consulte [Como filtrar descobertas de forma programática](findings-filter-procedure.md#findings-filter-procedure-api). Para então recuperar os detalhes de uma ou mais descobertas suprimidas, use a [GetFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html)operação. Em sua solicitação, especifique o identificador exclusivo para cada descoberta a ser recuperada.
**nota**
Ao analisar as descobertas, observe que as regras de supressão podem funcionar de forma diferente para contas que fazem parte de uma organização. Isso depende da categoria de descobertas e se você tem uma conta de administrador ou de membro do Macie:
**Descobertas de políticas** – Somente um administrador do Macie pode suprimir descobertas de políticas para as contas da organização.
Se você tiver uma conta de administrador no Macie e tiver criado uma regra de supressão, o Macie aplicará a regra às descobertas de políticas para todas as contas da organização, a menos que você tenha configurado a regra para excluir contas específicas. Se você tiver uma conta de membro e quiser suprimir as descobertas da política para sua conta, entre em contato com o administrador do Macie para suprimir as descobertas.
**Descobertas de dados confidenciais** – Um administrador do Macie e membros individuais podem suprimir descobertas de dados confidenciais que seus trabalhos de descoberta de dados confidenciais produzem. Um administrador do Macie também pode suprimir as descobertas que o Macie gera ao realizar a descoberta automatizada de dados confidenciais para a organização.
Somente a conta que cria um trabalho de descoberta de dados confidenciais pode suprimir ou acessar as descobertas de dados confidenciais que o trabalho produzir. Somente a conta de administrador do Macie de uma organização pode suprimir ou acessar os resultados que a descoberta automatizada de dados confidenciais produz para contas na organização.
Para obter mais informações sobre as tarefas que administradores e membros podem realizar, consulte [Relações entre administradores do Macie e contas de membros](accounts-mgmt-relationships.md).
# Alterar uma regra de supressão para descobertas do Macie
Depois de criar uma regra de supressão, você pode alterar as configurações da regra. Uma *regra de supressão* é um conjunto de critérios de filtro baseados em atributos que define os casos em que você deseja que o Amazon Macie arquive as descobertas automaticamente. As regras de supressão são úteis em situações em que você revisou uma classe de descobertas e não quer ser notificado sobre elas novamente. Cada regra consiste em um conjunto de critérios de filtro, um nome e, opcionalmente, uma descrição.
Se você alterar os critérios de uma regra de supressão, as descobertas anteriormente suprimidas pela regra continuarão sendo suprimidas. As descobertas continuam com o status de *arquivadas* e Macie não as publica na Amazon EventBridge ou. AWS Security Hub CSPM O Macie aplica os novos critérios somente a novas descobertas de dados confidenciais, novas descobertas de políticas e ocorrências subsequentes de descobertas de políticas existentes.
Além de alterar os critérios ou outras configurações de uma regra, você pode atribuir tags a uma regra. Uma *tag* é um rótulo que você define e atribui a determinados tipos de AWS recursos. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. As tags podem ajudá-lo a identificar, categorizar e gerenciar recursos de diferentes maneiras, como por finalidade, proprietário, ambiente ou outros critérios. Para saber mais, consulte [Marcar recursos do Macie](tagging-resources.md).
**Para alterar uma regra de supressão para descobertas**
Para atribuir tags ou mudar as configurações de uma regra de supressão, você pode usar o console do Amazon Macie ou a API do Amazon Macie.
------
#### [ Console ]
Siga estas etapas para atribuir tags ou alterar as configurações de uma regra de supressão usando o console do Amazon Macie.
**Para alterar uma regra de supressão**
1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. No painel de navegação, selecione **Descobertas**.
1. Na lista **Regras salvas**, selecione o ícone de edição (![\[The edit icon, which is a blue pencil.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/icon-edit-resource-blue.png)) ao lado da regra de supressão que você deseja alterar ou atribuir tags.
1. Faça o seguinte:
+ Para alterar os critérios da regra, use a caixa **Filtrar critérios**. Na caixa, insira as condições que especificam os atributos das descobertas que você deseja que a regra suprima. Para saber como, consulte [Criar e aplicar filtros às descobertas do Macie](findings-filter-procedure.md).
+ Para alterar o nome da regra, insira um novo nome na caixa **Nome** em **Regra de supressão**.
+ Para alterar a descrição da regra, insira uma nova descrição na caixa **Descrição** em **Regra de supressão**.
+ Para atribuir tags à regra, selecione **Gerenciar tags** em **Regra de supressão**. Em seguida, adicione, analise e altere as tags conforme necessário. Uma regra pode ter até 50 tags.
1. Quando terminar de fazer as alterações, escolha **Salvar**.
------
#### [ API ]
Para alterar uma regra de supressão programaticamente, use a [UpdateFindingsFilter](https://docs.aws.amazon.com/macie/latest/APIReference/findingsfilters-id.html)operação da API Amazon Macie. Ao enviar sua solicitação, use os parâmetros compatíveis para especificar um novo valor para cada configuração que você deseja alterar.
Para o parâmetro `id`, especifique o identificador único da regra que será alterada. Você pode obter esse identificador usando a [ListFindingsFilter](https://docs.aws.amazon.com/macie/latest/APIReference/findingsfilters.html)operação para recuperar uma lista de regras de supressão e filtro para sua conta. Se você estiver usando o AWS Command Line Interface (AWS CLI), execute o [list-findings-filters](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-findings-filters.html)comando para recuperar essa lista.
Para alterar uma regra de supressão usando o AWS CLI, execute o [update-findings-filter](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-findings-filter.html)comando e use os parâmetros suportados para especificar um novo valor para cada configuração que você deseja alterar. Por exemplo, o comando a seguir altera o nome de uma regra de supressão existente.
```
C:\> aws macie2 update-findings-filter --id 8a3c5608-aa2f-4940-b347-d1451example --name mailing_addresses_only
```
Em que:
+ *8a3c5608-aa2f-4940-b347-d1451example*é o identificador exclusivo da regra.
+ *mailing\$1addresses\$1only*é o novo nome da regra.
Se o comando for executado com sucesso, você receberá um resultado semelhante ao seguinte.
```
{
"arn": "arn:aws:macie2:us-west-2:123456789012:findings-filter/8a3c5608-aa2f-4940-b347-d1451example",
"id": "8a3c5608-aa2f-4940-b347-d1451example"
}
```
Onde `arn` é o nome do recurso da Amazon (ARN) para a regra de supressão que foi criada e `id` é o identificador exclusivo da regra.
Da mesma forma, o exemplo a seguir converte uma [regra de filtro](findings-filter-rule-procedures.md) em uma regra de supressão alterando o valor do parâmetro `action` de `NOOP` para `ARCHIVE`.
```
C:\> aws macie2 update-findings-filter --id 8a1c3508-aa2f-4940-b347-d1451example --action ARCHIVE
```
Em que:
+ *8a1c3508-aa2f-4940-b347-d1451example*é o identificador exclusivo da regra.
+ *ARCHIVE*é a nova ação que Macie deve realizar com base em descobertas que correspondam aos critérios da regra — suprimir as descobertas.
Se o comando for executado com êxito, você receberá um resultado semelhante ao seguinte:
```
{
"arn": "arn:aws:macie2:us-west-2:123456789012:findings-filter/8a1c3508-aa2f-4940-b347-d1451example",
"id": "8a1c3508-aa2f-4940-b347-d1451example"
}
```
Onde `arn` é o nome do recurso da Amazon (ARN) para a regra que foi alterada e `id` é o identificador único e exclusivo da regra.
------
# Excluir uma regra de supressão para descobertas do Macie
É possível excluir uma regra de supressão a qualquer momento. Se você excluir uma regra de supressão, o Amazon Macie deixará de suprimir ocorrências novas e subsequentes de descobertas que correspondem aos critérios da regra e não são suprimidas por outras regras. Observe, no entanto, que o Macie pode continuar suprimindo as descobertas que estiver processando atualmente e que correspondem aos critérios da regra.
Depois que você exclui uma regra de supressão, ocorrências novas e subsequentes de descobertas que correspondam aos critérios da regra têm o status *atual* (não *arquivado*). Isso indica que elas aparecem por padrão no console do Amazon Macie. Além disso, Macie os publica na Amazon EventBridge como eventos. Dependendo das [configurações de publicação](findings-publish-frequency.md) da sua conta, o Macie também publica as descobertas em AWS Security Hub CSPM.
**Para excluir uma regra de supressão para descobertas**
Você pode excluir uma regra de supressão usando o console do Amazon Macie ou a API do Amazon Macie.
------
#### [ Console ]
Siga estas etapas para excluir uma regra de supressão usando o console do Amazon Macie.
**Excluir uma regra de supressão**
1. Abra o console do Amazon Macie em. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. No painel de navegação, selecione **Descobertas**.
1. Na lista de **Regras salvas**, selecione o ícone de edição (![\[The edit icon, which is a blue pencil.\]](http://docs.aws.amazon.com/pt_br/macie/latest/user/images/icon-edit-resource-blue.png)) ao lado da regra de supressão que você deseja excluir.
1. Em **Regra de supressão**, selecione **Excluir**.
------
#### [ API ]
Para excluir uma regra de supressão programaticamente, use a [DeleteFindingsFilter](https://docs.aws.amazon.com/macie/latest/APIReference/findingsfilters-id.html)operação da API Amazon Macie. Para o parâmetro `id`, especifique o identificador único para a regra de supressão a excluir. Você pode obter esse identificador usando a [ListFindingsFilter](https://docs.aws.amazon.com/macie/latest/APIReference/findingsfilters.html)operação para recuperar uma lista de regras de supressão e filtro para sua conta. Se você estiver usando o AWS Command Line Interface (AWS CLI), execute o [list-findings-filters](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-findings-filters.html)comando para recuperar essa lista.
Para excluir uma regra de supressão usando o AWS CLI, execute o [delete-findings-filter](https://docs.aws.amazon.com/cli/latest/reference/macie2/delete-findings-filter.html)comando. Por exemplo:
```
C:\> aws macie2 delete-findings-filter --id 8a3c5608-aa2f-4940-b347-d1451example
```
Onde *8a3c5608-aa2f-4940-b347-d1451example* está o identificador exclusivo da regra de supressão a ser excluída.
Se o comando for executado com sucesso, o Macie retornará uma resposta HTTP 200 vazia. Caso contrário, o Macie retornará uma resposta HTTP 4*xx* ou 500 que indica o motivo de a operação ter falhado.
------