Macie
📘 ¿Qué es Amazon Macie?
Amazon Macie es un servicio de seguridad totalmente administrado que utiliza Machine Learning y patrones de coincidencia para descubrir, clasificar y proteger datos sensibles almacenados en Amazon S3.
Ideal para detectar automáticamente información personal identificable (PII), información financiera y otros datos confidenciales.
🧠 ¿Para qué sirve?
-
Identificar datos confidenciales (PII, PCI, PHI, etc.)
-
Detectar exposiciones accidentales (S3 públicos o mal configurados)
-
Automatizar la clasificación de datos almacenados en S3
-
Generar alertas sobre riesgos de seguridad
-
Cumplir normativas como GDPR, HIPAA, PCI-DSS
🧩 Características clave
| Funcionalidad | Descripción |
|---|---|
| Análisis automatizado | Explora S3 para encontrar y clasificar datos sensibles |
| Clasificación de datos | Por tipo (nombres, correos, tarjetas, SSN, etc.) |
| Alertas de seguridad | Detecta buckets públicos, cifrado deshabilitado, etc. |
| Machine Learning | Para mejorar detección precisa de patrones |
| Integración con EventBridge | Para automatizar respuestas ante hallazgos |
| Multi-Account Support | Consolida hallazgos desde cuentas miembro con AWS Organizations |
📂 Tipos de análisis en Macie
| Tipo de análisis | Descripción |
|---|---|
| Análisis continuo de buckets | Revisión diaria del estado de configuración del bucket (acceso público, cifrado, etc.) |
| Clasificación de datos sensibles (on-demand o periódica) | Análisis profundo de los objetos en S3 (contenido + metadatos) |
🔍 Tipos de datos que detecta
-
Identificación personal (PII)
- Nombres, direcciones, teléfonos
-
Datos financieros
- Tarjetas de crédito, cuentas bancarias
-
Identificación gubernamental
- SSN, DNI, pasaporte
-
Credenciales y secretos
- Tokens de acceso, claves privadas
-
Archivos sensibles
- PDF, CSV, logs, DOCX, JSON, etc.
📦 Integraciones comunes
| Servicio AWS | Uso |
|---|---|
| Amazon S3 | Repositorio donde se realiza el análisis |
| EventBridge | Activación de flujos automatizados ante hallazgos |
| Security Hub | Consolida hallazgos con otros servicios de seguridad |
| AWS Organizations | Gestión centralizada multi-cuenta |
| CloudTrail | Auditar acciones de Macie o accesos a buckets |
💰 Precios
| Concepto | Precio aproximado |
|---|---|
| Buckets evaluados (continuamente) | $0.10 por bucket/mes |
| Clasificación de datos sensibles | $1 por GB analizado |
| Hallazgos almacenados | Incluido sin costo adicional |
| Costo en cuentas miembro (Org) | Consolidado en cuenta principal |
Más detalles: https://aws.amazon.com/macie/pricing/
🔐 Seguridad y control
-
IAM controla quién puede usar Macie y ver hallazgos
-
Todos los hallazgos se almacenan cifrados con KMS
-
Compatible con auditorías y controles regulatorios
-
Opcional: enviar hallazgos a Amazon S3 o Security Hub
🧠 Preguntas tipo certificación
-
¿Qué servicio detecta datos confidenciales como PII en S3?
- ✅ Amazon Macie
-
¿Macie puede identificar datos como tarjetas de crédito en archivos CSV en S3?
- ✅ Sí
-
¿Qué tecnología usa para clasificar datos sensibles?
- ✅ Machine Learning y reglas predefinidas
-
¿Dónde se realiza el escaneo de datos con Macie?
- ✅ En objetos almacenados en Amazon S3
-
¿Qué servicio puede activar flujos de respuesta ante hallazgos de Macie?
- ✅ Amazon EventBridge
📚 Recursos útiles
✅ Casos de uso típicos
-
Auditoría previa a migraciones a S3
-
Prevención de fuga de datos
-
Verificación de cumplimiento de normativas
-
Integración con flujos de seguridad automatizados