Konfiguration der Einstellungen für die automatische Erkennung sensibler Daten - Amazon Macie
Konfigurationsoptionen für OrganisationenOhne oder einschließlich S3-BucketsVerwaltete Datenkennungen hinzufügen oder entfernenHinzufügen oder Entfernen von benutzerdefinierten DatenkennungenZulassungslisten hinzufügen oder entfernen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfiguration der Einstellungen für die automatische Erkennung sensibler Daten

Wenn Sie die automatische Erkennung sensibler Daten für Ihr Konto oder Ihre Organisation aktivieren, können Sie Ihre Einstellungen für die automatische Erkennung anpassen, um die von Amazon Macie durchgeführten Analysen zu verfeinern. Die Einstellungen spezifizieren Amazon Simple Storage Service (Amazon S3) -Buckets, die von Analysen ausgeschlossen werden sollen. Sie spezifizieren auch die Typen und das Vorkommen sensibler Daten, die erkannt und gemeldet werden sollen — die verwalteten Datenkennungen, die benutzerdefinierten Datenbezeichner und die Verwendung von Listen bei der Analyse von S3-Objekten.

Standardmäßig führt Macie die automatische Erkennung sensibler Daten für alle S3-Allzweck-Buckets Ihres Kontos durch. Wenn Sie der Macie-Administrator einer Organisation sind, schließt dies auch Buckets ein, die Ihren Mitgliedskonten gehören. Sie können bestimmte Bereiche von den Analysen ausschließen. Sie können beispielsweise Buckets ausschließen, in denen normalerweise AWS Protokolldaten gespeichert werden, wie z. B. AWS CloudTrail Ereignisprotokolle. Wenn Sie einen Bucket ausschließen, können Sie ihn später wieder einbeziehen.

Darüber hinaus analysiert Macie S3-Objekte, indem es nur den Satz verwalteter Datenbezeichner verwendet, den wir für die automatische Erkennung sensibler Daten empfehlen. Macie verwendet keine benutzerdefinierten Datenbezeichner und erlaubt auch keine von Ihnen definierten Listen. Um die Analysen anzupassen, können Sie bestimmte verwaltete Datenkennungen, benutzerdefinierte Datenkennungen und Zulassungslisten hinzufügen oder entfernen.

Wenn Sie eine Einstellung ändern, wendet Macie Ihre Änderung an, wenn der nächste Bewertungs- und Analysezyklus beginnt, normalerweise innerhalb von 24 Stunden. Darüber hinaus gilt Ihre Änderung nur für die aktuelle AWS-Region Version. Um dieselbe Änderung in weiteren Regionen vorzunehmen, wiederholen Sie die entsprechenden Schritte in jeder weiteren Region.

Anmerkung

Um Einstellungen für die automatische Erkennung vertraulicher Daten zu konfigurieren, müssen Sie der Macie-Administrator einer Organisation sein oder über ein eigenständiges Macie-Konto verfügen. Wenn Ihr Konto Teil einer Organisation ist, kann nur der Macie-Administrator Ihrer Organisation die Einstellungen für Konten in Ihrer Organisation konfigurieren und verwalten. Wenn Sie ein Mitgliedskonto haben, wenden Sie sich an Ihren Macie-Administrator, um mehr über die Einstellungen für Ihr Konto und Ihre Organisation zu erfahren.

Konfigurationsoptionen für Organisationen

Wenn ein Konto Teil einer Organisation ist, die mehrere Amazon Macie Macie-Konten zentral verwaltet, konfiguriert und verwaltet der Macie-Administrator der Organisation die automatische Erkennung sensibler Daten für Konten in der Organisation. Dazu gehören Einstellungen, die den Umfang und die Art der Analysen definieren, die Macie für die Konten durchführt. Mitglieder können für ihre eigenen Konten nicht auf diese Einstellungen zugreifen.

Wenn Sie der Macie-Administrator einer Organisation sind, können Sie den Umfang der Analysen auf verschiedene Arten definieren:

  • Automatisches Erkennen sensibler Daten für Konten aktivieren — Wenn Sie die automatische Erkennung sensibler Daten aktivieren, geben Sie an, ob sie für alle vorhandenen Konten und neue Mitgliedskonten, nur für neue Mitgliedskonten oder für keine Mitgliedskonten aktiviert werden soll. Wenn Sie es für neue Mitgliedskonten aktivieren, wird es automatisch für jedes Konto aktiviert, das anschließend Ihrer Organisation beitritt, wenn das Konto Ihrer Organisation in Macie beitritt. Wenn es für ein Konto aktiviert ist, schließt Macie S3-Buckets ein, die dem Konto gehören. Wenn es für ein Konto deaktiviert ist, schließt Macie Buckets aus, die dem Konto gehören.

  • Selektives Aktivieren der automatischen Erkennung sensibler Daten für Konten — Mit dieser Option aktivieren oder deaktivieren Sie die automatische Erkennung sensibler Daten für einzelne Konten auf einer bestimmten Basis. case-by-case Wenn Sie es für ein Konto aktivieren, schließt Macie S3-Buckets ein, die dem Konto gehören. Wenn Sie es nicht aktivieren oder für ein Konto deaktivieren, schließt Macie Buckets aus, die dem Konto gehören.

  • Bestimmte S3-Buckets von der automatisierten Erkennung sensibler Daten ausschließen — Wenn Sie die automatische Erkennung sensibler Daten für ein Konto aktivieren, können Sie bestimmte S3-Buckets ausschließen, die dem Konto gehören. Macie überspringt dann die Buckets, wenn es die automatische Erkennung durchführt. Um bestimmte Buckets auszuschließen, fügen Sie sie der Ausschlussliste in den Konfigurationseinstellungen Ihres Administratorkontos hinzu. Sie können bis zu 1.000 Buckets für Ihre Organisation ausschließen.

Standardmäßig ist die automatische Erkennung sensibler Daten für alle neuen und bestehenden Konten in einer Organisation automatisch aktiviert. Darüber hinaus umfasst Macie alle S3-Buckets, die den Konten gehören. Wenn Sie die Standardeinstellungen beibehalten, bedeutet dies, dass Macie eine automatische Erkennung aller Buckets für Ihr Administratorkonto durchführt, einschließlich aller Buckets, die Ihren Mitgliedskonten gehören.

Als Macie-Administrator definieren Sie auch die Art der Analysen, die Macie für Ihr Unternehmen durchführt. Dazu konfigurieren Sie zusätzliche Einstellungen für Ihr Administratorkonto — die verwalteten Datenkennungen, benutzerdefinierte Datenkennungen und Zulassungslisten, die Macie bei der Analyse von S3-Objekten verwenden soll. Macie verwendet die Einstellungen für Ihr Administratorkonto, wenn es S3-Objekte für andere Konten in Ihrer Organisation analysiert.

S3-Buckets bei der automatisierten Erkennung sensibler Daten ausschließen oder einbeziehen

Standardmäßig führt Amazon Macie die automatische Erkennung sensibler Daten für alle S3-Allzweck-Buckets Ihres Kontos durch. Wenn Sie der Macie-Administrator einer Organisation sind, schließt dies auch Buckets ein, die Ihren Mitgliedskonten gehören.

Um den Umfang zu verfeinern, können Sie bis zu 1.000 S3-Buckets von Analysen ausschließen. Wenn Sie einen Bucket ausschließen, beendet Macie die Auswahl und Analyse von Objekten im Bucket, wenn die automatische Erkennung sensibler Daten durchgeführt wird. Bestehende Statistiken und Details zur Erkennung sensibler Daten für den Bucket bleiben bestehen. Beispielsweise bleibt der aktuelle Sensitivitätswert des Buckets unverändert. Nachdem Sie einen Bucket ausgeschlossen haben, können Sie ihn später wieder aufnehmen.

Um einen S3-Bucket in die automatische Erkennung sensibler Daten auszuschließen oder einzubeziehen

Sie können einen S3-Bucket ausschließen oder anschließend hinzufügen, indem Sie die Amazon Macie-Konsole oder Amazon API Macie verwenden.

Console

Gehen Sie wie folgt vor, um einen S3-Bucket mithilfe der Amazon Macie Macie-Konsole auszuschließen oder anschließend einzubeziehen.

Um einen S3-Bucket auszuschließen oder einzubeziehen

  1. Öffnen Sie die Amazon Macie Macie-Konsole unter https://console.aws.amazon.com/macie/.

  2. Wählen Sie mithilfe der AWS-Region Auswahl in der oberen rechten Ecke der Seite die Region aus, in der Sie bestimmte S3-Buckets ausschließen oder in Analysen einbeziehen möchten.

  3. Wählen Sie im Navigationsbereich unter Einstellungen die Option Automatisierte Erkennung sensibler Daten aus.

    Die Seite Automatisierte Erkennung vertraulicher Daten wird mit Ihren aktuellen Einstellungen angezeigt. Auf dieser Seite werden im Abschnitt S3-Buckets S3-Buckets aufgeführt, die derzeit ausgeschlossen sind, oder es wird angegeben, dass alle Buckets derzeit enthalten sind.

  4. Wählen Sie im Abschnitt S3-Buckets die Option Bearbeiten aus.

  5. Führen Sie eine der folgenden Aktionen aus:

    • Um einen oder mehrere S3-Buckets auszuschließen, wählen Sie Buckets zur Ausschlussliste hinzufügen. Aktivieren Sie dann in der Tabelle S3-Buckets das Kontrollkästchen für jeden auszuschließenden Bucket. In der Tabelle sind alle Allzweck-Buckets für Ihr Konto oder Ihre Organisation in der aktuellen Region aufgeführt.

    • Um einen oder mehrere S3-Buckets einzubeziehen, die Sie zuvor ausgeschlossen haben, wählen Sie Buckets entfernen aus der Ausnahmeliste aus. Aktivieren Sie dann in der S3-Bucket-Tabelle das Kontrollkästchen für jeden einzuschließenden Bucket. In der Tabelle sind alle Buckets aufgeführt, die derzeit von Analysen ausgeschlossen sind.

    Um bestimmte Buckets einfacher zu finden, geben Sie Suchkriterien in das Suchfeld über der Tabelle ein. Sie können die Tabelle auch sortieren, indem Sie eine Spaltenüberschrift auswählen.

  6. Wenn Sie mit der Auswahl der Buckets fertig sind, wählen Sie Hinzufügen oder Entfernen, je nachdem, welche Option Sie im vorherigen Schritt ausgewählt haben.

Tipp

Sie können auch einzelne S3-Buckets case-by-case einzeln ausschließen oder einbeziehen, während Sie die Bucket-Details auf der Konsole überprüfen. Wählen Sie dazu den Bucket auf der Seite S3-Buckets aus. Ändern Sie dann im Detailbereich die Einstellung Von automatisierter Erkennung ausschließen für den Bucket.

API

Um einen S3-Bucket programmgesteuert auszuschließen oder später einzubeziehen, verwenden Sie Amazon Macie, API um den Klassifizierungsbereich für Ihr Konto zu aktualisieren. Der Klassifizierungsbereich spezifiziert Bereiche, die Macie bei der automatisierten Erkennung sensibler Daten nicht analysieren soll. Er definiert eine Bucket-Ausschlussliste für die automatische Erkennung.

Wenn Sie den Klassifizierungsbereich aktualisieren, geben Sie an, ob einzelne Bereiche zur Ausschlussliste hinzugefügt oder daraus entfernt werden sollen oder ob die aktuelle Liste mit einer neuen Liste überschrieben werden soll. Daher empfiehlt es sich, zunächst Ihre aktuelle Liste abzurufen und zu überprüfen. Verwenden Sie den GetClassificationScopeVorgang, um die Liste abzurufen. Wenn Sie AWS Command Line Interface (AWS CLI) verwenden, führen Sie den get-classification-scopeBefehl aus, um die Liste abzurufen.

Um den Klassifizierungsbereich abzurufen oder zu aktualisieren, müssen Sie seinen eindeutigen Bezeichner (id) angeben. Sie können diesen Bezeichner mithilfe der GetAutomatedDiscoveryConfigurationOperation abrufen. Bei diesem Vorgang werden Ihre aktuellen Konfigurationseinstellungen für die automatische Erkennung vertraulicher Daten abgerufen, einschließlich der eindeutigen Kennung für den Klassifizierungsbereich Ihres Kontos in der aktuellen AWS-Region Version. Wenn Sie den verwenden AWS CLI, führen Sie den get-automated-discovery-configurationBefehl aus, um diese Informationen abzurufen.

Wenn Sie bereit sind, den Klassifizierungsbereich zu aktualisieren, verwenden Sie den UpdateClassificationScopeVorgang oder, falls Sie den verwenden AWS CLI, führen Sie den update-classification-scopeBefehl aus. Verwenden Sie in Ihrer Anfrage die unterstützten Parameter, um einen S3-Bucket in nachfolgende Analysen auszuschließen oder einzubeziehen:

  • Um einen oder mehrere Buckets auszuschließen, geben Sie den Namen jedes Buckets für den bucketNames Parameter an. Geben Sie für den Parameter operation ADD an:

  • Um einen oder mehrere Buckets einzubeziehen, die Sie zuvor ausgeschlossen haben, geben Sie den Namen jedes Buckets für den bucketNames Parameter an. Geben Sie für den Parameter operation REMOVE an:

  • Um die aktuelle Liste mit einer neuen Liste von auszuschließenden Buckets zu überschreiben, geben Sie REPLACE für den Parameter Folgendes an. operation Geben Sie für den bucketNames Parameter den Namen jedes auszuschließenden Buckets an.

Jeder Wert für den bucketNames Parameter muss der vollständige Name eines vorhandenen Allzweck-Buckets in der aktuellen Region sein. Bei Werten wird zwischen Groß- und Kleinschreibung unterschieden. Wenn Ihre Anfrage erfolgreich ist, aktualisiert Macie den Klassifizierungsbereich und gibt eine leere Antwort zurück.

Die folgenden Beispiele zeigen, wie Sie mit dem AWS CLI den Klassifizierungsbereich für ein Konto aktualisieren können. Die erste Reihe von Beispielen schließt zwei S3-Buckets (amzn-s3-demo-bucket1undamzn-s3-demo-bucket2) aus nachfolgenden Analysen aus. Die Buckets werden der Liste der auszuschließenden Buckets hinzugefügt.

Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\) zur Verbesserung der Lesbarkeit.

$ aws macie2 update-classification-scope \
--id 117aff7ed76b59a59c3224ebdexample \
--s3 '{"excludes":{"bucketNames":["amzn-s3-demo-bucket1","amzn-s3-demo-bucket2"],"operation": "ADD"}}'

Dieses Beispiel ist für Microsoft Windows formatiert und verwendet das Zeilenfortsetzungszeichen Caret (^), um die Lesbarkeit zu verbessern.

C:\> aws macie2 update-classification-scope ^
--id 117aff7ed76b59a59c3224ebdexample ^
--s3={\"excludes\":{\"bucketNames\":[\"amzn-s3-demo-bucket1\",\"amzn-s3-demo-bucket2\"],\"operation\":\"ADD\"}}

Die nächste Reihe von Beispielen bezieht später die Buckets (amzn-s3-demo-bucket1undamzn-s3-demo-bucket2) in nachfolgenden Analysen mit ein. Es entfernt die Buckets aus der Liste der auszuschließenden Buckets. Für Linux, macOS oder Unix:

$ aws macie2 update-classification-scope \
--id 117aff7ed76b59a59c3224ebdexample \
--s3 '{"excludes":{"bucketNames":["amzn-s3-demo-bucket1","amzn-s3-demo-bucket2"],"operation": "REMOVE"}}'

Für Microsoft Windows:

C:\> aws macie2 update-classification-scope ^
--id 117aff7ed76b59a59c3224ebdexample ^
--s3={\"excludes\":{\"bucketNames\":[\"amzn-s3-demo-bucket1\",\"amzn-s3-demo-bucket2\"],\"operation\":\"REMOVE\"}}

In den folgenden Beispielen wird die aktuelle Liste überschrieben und durch eine neue Liste von S3-Buckets ersetzt, die ausgeschlossen werden sollen. In der neuen Liste sind drei auszuschließende Buckets angegeben:amzn-s3-demo-bucket, undamzn-s3-demo-bucket2. amzn-s3-demo-bucket3 Für Linux, macOS oder Unix:

$ aws macie2 update-classification-scope \
--id 117aff7ed76b59a59c3224ebdexample \
--s3 '{"excludes":{"bucketNames":["amzn-s3-demo-bucket","amzn-s3-demo-bucket2","amzn-s3-demo-bucket3"],"operation": "REPLACE"}}'

Für Microsoft Windows:

C:\> aws macie2 update-classification-scope ^
--id 117aff7ed76b59a59c3224ebdexample ^
--s3={\"excludes\":{\"bucketNames\":[\"amzn-s3-demo-bucket\",\"amzn-s3-demo-bucket2\",\"amzn-s3-demo-bucket3\"],\"operation\":\"REPLACE\"}}

Hinzufügen oder Entfernen verwalteter Datenkennungen aus der automatisierten Erkennung sensibler Daten

Ein verwalteter Datenbezeichner besteht aus einer Reihe integrierter Kriterien und Techniken, die darauf ausgelegt sind, eine bestimmte Art vertraulicher Daten zu erkennen, z. B. Kreditkartennummern, AWS geheime Zugangsschlüssel oder Passnummern für ein bestimmtes Land oder eine bestimmte Region. Standardmäßig analysiert Amazon Macie S3-Objekte mithilfe der verwalteten Datenkennungen, die wir für die automatische Erkennung sensibler Daten empfehlen. Eine Liste dieser Identifikatoren finden Sie unter. Standardeinstellungen für die automatische Erkennung sensibler Daten

Sie können die Analysen so anpassen, dass sie sich auf bestimmte Arten sensibler Daten konzentrieren:

  • Fügen Sie verwaltete Datenkennungen für die Arten sensibler Daten hinzu, die Macie erkennen und melden soll, und

  • Entfernen Sie verwaltete Datenkennungen für die Arten vertraulicher Daten, die Macie nicht erkennen und melden soll.

Eine vollständige Liste aller Kennungen für verwaltete Daten, die Macie derzeit bereitstellt, sowie Einzelheiten zu den einzelnen Kennungen finden Sie unter. Verwenden von verwalteten Datenbezeichnern

Wenn Sie eine verwaltete Daten-ID entfernen, wirkt sich Ihre Änderung nicht auf bestehende Statistiken und Details zur Erkennung sensibler Daten für S3-Buckets aus. Wenn Sie beispielsweise die verwaltete Daten-ID für AWS geheime Zugriffsschlüssel entfernen und Macie diese Daten zuvor in einem Bucket erkannt hat, meldet Macie diese Erkennungen weiterhin. Anstatt jedoch die Kennung zu entfernen, was sich auf nachfolgende Analysen aller Buckets auswirkt, sollten Sie erwägen, ihre Erkennungen nur für bestimmte Buckets aus den Sensitivitätsbewertungen auszuschließen. Weitere Informationen finden Sie unter Anpassen der Empfindlichkeitswerte für S3-Buckets.

Um verwaltete Datenkennungen hinzuzufügen oder aus der automatisierten Erkennung sensibler Daten zu entfernen

Sie können verwaltete Datenkennungen mithilfe der Amazon Macie-Konsole oder Amazon Macie hinzufügen oder entfernen. API

Console

Gehen Sie wie folgt vor, um mithilfe der Amazon Macie Macie-Konsole eine verwaltete Daten-ID hinzuzufügen oder zu entfernen.

Um eine verwaltete Daten-ID hinzuzufügen oder zu entfernen

  1. Öffnen Sie die Amazon Macie Macie-Konsole unter https://console.aws.amazon.com/macie/.

  2. Wählen Sie mithilfe der AWS-Region Auswahl in der oberen rechten Ecke der Seite die Region aus, in der Sie eine verwaltete Daten-ID zu Analysen hinzufügen oder daraus entfernen möchten.

  3. Wählen Sie im Navigationsbereich unter Einstellungen die Option Automatisierte Erkennung sensibler Daten aus.

    Die Seite Automatisierte Erkennung vertraulicher Daten wird mit Ihren aktuellen Einstellungen angezeigt. Auf dieser Seite werden im Bereich Verwaltete Datenkennungen Ihre aktuellen Einstellungen angezeigt, die in zwei Tabs unterteilt sind:

    • Zur Standardeinstellung hinzugefügt — Auf dieser Registerkarte werden verwaltete Datenkennungen aufgeführt, die Sie hinzugefügt haben. Macie verwendet diese Kennungen zusätzlich zu denen, die im Standardsatz enthalten sind und die Sie nicht entfernt haben.

    • Aus der Standardeinstellung entfernt — Auf dieser Registerkarte werden verwaltete Datenkennungen aufgeführt, die Sie entfernt haben. Macie verwendet diese Identifikatoren nicht.

  4. Wählen Sie im Abschnitt Verwaltete Datenkennungen die Option Bearbeiten aus.

  5. Führen Sie eine der folgenden Aktionen aus:

    • Um eine oder mehrere verwaltete Datenkennungen hinzuzufügen, wählen Sie die Registerkarte Zur Standardeinstellung hinzugefügt. Aktivieren Sie dann in der Tabelle das Kontrollkästchen für jeden hinzuzufügenden verwalteten Datenbezeichner. Wenn bereits ein Kontrollkästchen aktiviert ist, haben Sie diesen Bezeichner bereits hinzugefügt.

    • Um eine oder mehrere verwaltete Datenkennungen zu entfernen, wählen Sie die Registerkarte Aus Standard entfernt. Aktivieren Sie dann in der Tabelle das Kontrollkästchen für jeden verwalteten Datenbezeichner, der entfernt werden soll. Wenn bereits ein Kontrollkästchen aktiviert ist, haben Sie diesen Bezeichner bereits entfernt.

    Auf jeder Registerkarte wird in der Tabelle eine Liste aller verwalteten Datenkennungen angezeigt, die Macie derzeit bereitstellt. In der Tabelle gibt die erste Spalte die ID der einzelnen verwalteten Datenbezeichner an. Die ID beschreibt die Art der sensiblen Daten, die ein Identifier erkennen soll, z. B. USA_ PASSPORT _ NUMBER für US-Passnummern. Geben Sie Suchkriterien in das Suchfeld über der Tabelle ein, um bestimmte verwaltete Datenkennungen einfacher zu finden. Sie können die Tabelle auch sortieren, indem Sie eine Spaltenüberschrift auswählen.

  6. Wählen Sie Save (Speichern) aus, wenn Sie fertig sind.

API

Um programmgesteuert eine verwaltete Daten-ID hinzuzufügen oder zu entfernen, verwenden Sie Amazon Macie, API um die Vorlage für die Sensibilitätsprüfung für Ihr Konto zu aktualisieren. In der Vorlage werden Einstellungen gespeichert, die angeben, welche verwalteten Datenkennungen zusätzlich zu den im Standardsatz enthaltenen Kennungen verwendet (eingeschlossen) werden sollen. Sie geben auch an, dass verwaltete Datenbezeichner nicht verwendet (ausgeschlossen) werden dürfen. In den Einstellungen werden auch alle benutzerdefinierten Datenbezeichner angegeben und Listen zugelassen, die Macie verwenden soll.

Wenn Sie die Vorlage aktualisieren, überschreiben Sie ihre aktuellen Einstellungen. Daher empfiehlt es sich, zunächst Ihre aktuellen Einstellungen abzurufen und festzulegen, welche Sie behalten möchten. Verwenden Sie den GetSensitivityInspectionTemplateVorgang, um Ihre aktuellen Einstellungen abzurufen. Wenn Sie AWS Command Line Interface (AWS CLI) verwenden, führen Sie den get-sensitivity-inspection-templateBefehl aus, um die Einstellungen abzurufen.

Um die Vorlage abzurufen oder zu aktualisieren, müssen Sie ihren eindeutigen Bezeichner (id) angeben. Sie können diese Kennung mithilfe der GetAutomatedDiscoveryConfigurationOperation abrufen. Bei diesem Vorgang werden Ihre aktuellen Konfigurationseinstellungen für die automatische Erkennung vertraulicher Daten abgerufen, einschließlich der eindeutigen Kennung für die Vorlage zur Prüfung der Vertraulichkeit für Ihr Konto in der aktuellen AWS-Region Version. Wenn Sie den verwenden AWS CLI, führen Sie den get-automated-discovery-configurationBefehl aus, um diese Informationen abzurufen.

Wenn Sie bereit sind, die Vorlage zu aktualisieren, verwenden Sie den UpdateSensitivityInspectionTemplateVorgang oder, falls Sie den verwenden AWS CLI, führen Sie den update-sensitivity-inspection-templateBefehl aus. Verwenden Sie in Ihrer Anfrage die entsprechenden Parameter, um einen oder mehrere verwaltete Datenbezeichner für nachfolgende Analysen hinzuzufügen oder daraus zu entfernen:

  • Um mit der Verwendung eines verwalteten Datenbezeichners zu beginnen, geben Sie dessen ID für den managedDataIdentifierIds Parameter des includes Parameters an.

  • Um die Verwendung eines verwalteten Datenbezeichners zu beenden, geben Sie dessen ID für den managedDataIdentifierIds Parameter des excludes Parameters an.

  • Um die Standardeinstellungen wiederherzustellen, geben Sie keine Einstellungen IDs für die excludes Parameter includes und an. Macie beginnt dann, nur die verwalteten Datenbezeichner zu verwenden, die im Standardsatz enthalten sind.

Verwenden Sie zusätzlich zu den Parametern für verwaltete Datenbezeichner die entsprechenden includes Parameter, um alle benutzerdefinierten Datenbezeichner (customDataIdentifierIds) und Zulassungslisten (allowListIds) anzugeben, die Macie verwenden soll. Geben Sie auch die Region an, für die sich Ihre Anfrage bezieht. Wenn Ihre Anfrage erfolgreich ist, aktualisiert Macie die Vorlage und gibt eine leere Antwort zurück.

Die folgenden Beispiele zeigen, wie Sie die Vorlage AWS CLI zur Prüfung der Vertraulichkeit für ein Konto verwenden können. In den Beispielen wird eine Kennung für verwaltete Daten hinzugefügt und eine weitere aus nachfolgenden Analysen entfernt. Sie behalten auch die aktuellen Einstellungen bei, die angeben, dass zwei benutzerdefinierte Datenkennungen verwendet werden sollen.

Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\) zur Verbesserung der Lesbarkeit.

$ aws macie2 update-sensitivity-inspection-template \
--id fd7b6d71c8006fcd6391e6eedexample \
--excludes '{"managedDataIdentifierIds":["UK_ELECTORAL_ROLL_NUMBER"]}' \
--includes '{"managedDataIdentifierIds":["STRIPE_CREDENTIALS"],"customDataIdentifierIds":["3293a69d-4a1e-4a07-8715-208ddexample","6fad0fb5-3e82-4270-bede-469f2example"]}'

Dieses Beispiel ist für Microsoft Windows formatiert und verwendet das Zeilenfortsetzungszeichen Caret (^), um die Lesbarkeit zu verbessern.

C:\> aws macie2 update-sensitivity-inspection-template ^
--id fd7b6d71c8006fcd6391e6eedexample ^
--excludes={\"managedDataIdentifierIds\":[\"UK_ELECTORAL_ROLL_NUMBER\"]} ^
--includes={\"managedDataIdentifierIds\":[\"STRIPE_CREDENTIALS\"],\"customDataIdentifierIds\":[\"3293a69d-4a1e-4a07-8715-208ddexample\",\"6fad0fb5-3e82-4270-bede-469f2example\"]}

Wobei gilt:

  • fd7b6d71c8006fcd6391e6eedexampleist der eindeutige Bezeichner für die zu aktualisierende Vorlage zur Sensitivitätsprüfung.

  • UK_ELECTORAL_ROLL_NUMBERist die ID für den verwalteten Datenbezeichner, der nicht mehr verwendet (ausgeschlossen) werden soll.

  • STRIPE_CREDENTIALSist die ID für den verwalteten Datenbezeichner, der ab sofort verwendet werden soll (einschließen).

  • 3293a69d-4a1e-4a07-8715-208ddexampleund 6fad0fb5-3e82-4270-bede-469f2example sind die eindeutigen Bezeichner für die zu verwendenden benutzerdefinierten Datenbezeichner.

Hinzufügen oder Entfernen von benutzerdefinierten Datenkennungen aus der automatisierten Erkennung sensibler Daten

Eine benutzerdefinierte Daten-ID besteht aus einer Reihe von Kriterien, die Sie definieren, um vertrauliche Daten zu erkennen. Die Kriterien bestehen aus einem regulären Ausdruck (Regex), der ein zu suchendes Textmuster definiert und optional Zeichenfolgen und eine Näherungsregel zur Eingrenzung der Ergebnisse festlegt. Weitere Informationen hierzu finden Sie unter Erstellen von benutzerdefinierten Datenbezeichnern.

Standardmäßig verwendet Amazon Macie keine benutzerdefinierten Datenbezeichner, wenn es die automatische Erkennung sensibler Daten durchführt. Wenn Sie möchten, dass Macie bestimmte benutzerdefinierte Datenkennungen verwendet, können Sie diese zu nachfolgenden Analysen hinzufügen. Macie verwendet dann die benutzerdefinierten Datenkennungen zusätzlich zu allen verwalteten Datenkennungen, für deren Verwendung Sie Macie konfiguriert haben.

Wenn Sie eine benutzerdefinierte Daten-ID hinzufügen, können Sie sie später entfernen. Ihre Änderung wirkt sich nicht auf bestehende Statistiken und Details zur Erkennung sensibler Daten für S3-Buckets aus. Das heißt, wenn Sie eine benutzerdefinierte Daten-ID entfernen, die zuvor zu Erkennungen für einen Bucket geführt hat, meldet Macie diese Erkennungen weiterhin. Anstatt jedoch die Kennung zu entfernen, was sich auf nachfolgende Analysen aller Buckets auswirkt, sollten Sie erwägen, ihre Erkennungen nur für bestimmte Buckets aus den Sensitivitätsbewertungen auszuschließen. Weitere Informationen finden Sie unter Anpassen der Empfindlichkeitswerte für S3-Buckets.

Um benutzerdefinierte Datenkennungen hinzuzufügen oder aus der automatisierten Erkennung vertraulicher Daten zu entfernen

Sie können benutzerdefinierte Datenkennungen mithilfe der Amazon Macie-Konsole oder Amazon Macie hinzufügen oder entfernen. API

Console

Gehen Sie wie folgt vor, um mithilfe der Amazon Macie Macie-Konsole eine benutzerdefinierte Daten-ID hinzuzufügen oder zu entfernen.

Um eine benutzerdefinierte Daten-ID hinzuzufügen oder zu entfernen

  1. Öffnen Sie die Amazon Macie Macie-Konsole unter https://console.aws.amazon.com/macie/.

  2. Wählen Sie mithilfe der AWS-Region Auswahl in der oberen rechten Ecke der Seite die Region aus, in der Sie eine benutzerdefinierte Daten-ID zu Analysen hinzufügen oder daraus entfernen möchten.

  3. Wählen Sie im Navigationsbereich unter Einstellungen die Option Automatisierte Erkennung sensibler Daten aus.

    Die Seite Automatisierte Erkennung vertraulicher Daten wird mit Ihren aktuellen Einstellungen angezeigt. Auf dieser Seite werden im Abschnitt Benutzerdefinierte Datenbezeichner benutzerdefinierte Datenbezeichner aufgeführt, die Sie bereits hinzugefügt haben, oder es wird darauf hingewiesen, dass Sie keine benutzerdefinierten Datenbezeichner hinzugefügt haben.

  4. Wählen Sie im Abschnitt Benutzerdefinierte Datenbezeichner die Option Bearbeiten aus.

  5. Führen Sie eine der folgenden Aktionen aus:

    • Um eine oder mehrere benutzerdefinierte Datenkennungen hinzuzufügen, aktivieren Sie das Kontrollkästchen für jede benutzerdefinierte Daten-ID, die Sie hinzufügen möchten. Wenn bereits ein Kontrollkästchen aktiviert ist, haben Sie diesen Bezeichner bereits hinzugefügt.

    • Um einen oder mehrere benutzerdefinierte Datenbezeichner zu entfernen, deaktivieren Sie das Kontrollkästchen für jede benutzerdefinierte Daten-ID, die entfernt werden soll. Wenn ein Kontrollkästchen bereits deaktiviert ist, verwendet Macie diese Kennung derzeit nicht.

    Tipp

    Um die Einstellungen für eine benutzerdefinierte Daten-ID zu überprüfen oder zu testen, bevor Sie sie hinzufügen oder entfernen, wählen Sie das Linksymbol ( The link icon, which is a blue box that has an arrow in it. ) neben dem Namen der Kennung. Macie öffnet eine Seite, auf der die Einstellungen der Kennung angezeigt werden. Um den Identifier auch mit Beispieldaten zu testen, geben Sie bis zu 1.000 Zeichen Text in das Feld Beispieldaten auf dieser Seite ein. Wählen Sie dann Test aus. Macie wertet die Beispieldaten aus und gibt die Anzahl der Treffer an.

  6. Wählen Sie Save (Speichern) aus, wenn Sie fertig sind.

API

Um programmgesteuert eine benutzerdefinierte Daten-ID hinzuzufügen oder zu entfernen, verwenden Sie Amazon Macie, API um die Vorlage für die Sensibilitätsprüfung für Ihr Konto zu aktualisieren. In der Vorlage werden Einstellungen gespeichert, die angeben, welche benutzerdefinierten Datenkennungen Macie bei der automatisierten Erkennung sensibler Daten verwenden soll. Die Einstellungen geben auch an, welche verwalteten Datenkennungen verwendet werden sollen, und ermöglichen die Verwendung von Listen.

Wenn Sie die Vorlage aktualisieren, überschreiben Sie ihre aktuellen Einstellungen. Daher empfiehlt es sich, zunächst Ihre aktuellen Einstellungen abzurufen und festzulegen, welche Sie behalten möchten. Verwenden Sie den GetSensitivityInspectionTemplateVorgang, um Ihre aktuellen Einstellungen abzurufen. Wenn Sie AWS Command Line Interface (AWS CLI) verwenden, führen Sie den get-sensitivity-inspection-templateBefehl aus, um die Einstellungen abzurufen.

Um die Vorlage abzurufen oder zu aktualisieren, müssen Sie ihren eindeutigen Bezeichner (id) angeben. Sie können diese Kennung mithilfe der GetAutomatedDiscoveryConfigurationOperation abrufen. Bei diesem Vorgang werden Ihre aktuellen Konfigurationseinstellungen für die automatische Erkennung vertraulicher Daten abgerufen, einschließlich der eindeutigen Kennung für die Vorlage zur Prüfung der Vertraulichkeit für Ihr Konto in der aktuellen AWS-Region Version. Wenn Sie den verwenden AWS CLI, führen Sie den get-automated-discovery-configurationBefehl aus, um diese Informationen abzurufen.

Wenn Sie bereit sind, die Vorlage zu aktualisieren, verwenden Sie den UpdateSensitivityInspectionTemplateVorgang oder, falls Sie den verwenden AWS CLI, führen Sie den update-sensitivity-inspection-templateBefehl aus. Verwenden Sie in Ihrer Anfrage den customDataIdentifierIds Parameter, um einen oder mehrere benutzerdefinierte Datenbezeichner für nachfolgende Analysen hinzuzufügen oder daraus zu entfernen:

  • Um mit der Verwendung eines benutzerdefinierten Datenbezeichners zu beginnen, geben Sie dessen eindeutige Kennung für den Parameter an.

  • Um eine benutzerdefinierte Daten-ID nicht mehr zu verwenden, lassen Sie ihre eindeutige Kennung im Parameter weg.

Verwenden Sie zusätzliche Parameter, um anzugeben, welche verwalteten Datenbezeichner und Zulassungslisten Macie verwenden soll. Geben Sie auch die Region an, für die sich Ihre Anfrage bezieht. Wenn Ihre Anfrage erfolgreich ist, aktualisiert Macie die Vorlage und gibt eine leere Antwort zurück.

Die folgenden Beispiele zeigen, wie Sie die Vorlage AWS CLI zur Prüfung der Vertraulichkeit für ein Konto verwenden können. In den Beispielen werden nachfolgenden Analysen zwei benutzerdefinierte Datenkennungen hinzugefügt. Sie behalten auch die aktuellen Einstellungen bei, die angeben, welche verwalteten Datenkennungen verwendet werden sollen, und ermöglichen die Verwendung von Listen: Verwenden Sie den Standardsatz verwalteter Datenbezeichner und eine Zulassungsliste.

Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\) zur Verbesserung der Lesbarkeit.

$ aws macie2 update-sensitivity-inspection-template \
--id fd7b6d71c8006fcd6391e6eedexample \
--includes '{"allowListIds":["nkr81bmtu2542yyexample"],"customDataIdentifierIds":["3293a69d-4a1e-4a07-8715-208ddexample","6fad0fb5-3e82-4270-bede-469f2example"]}'

Dieses Beispiel ist für Microsoft Windows formatiert und verwendet das Zeilenfortsetzungszeichen Caret (^), um die Lesbarkeit zu verbessern.

C:\> aws macie2 update-sensitivity-inspection-template ^
--id fd7b6d71c8006fcd6391e6eedexample ^
--includes={\"allowListIds\":[\"nkr81bmtu2542yyexample\"],\"customDataIdentifierIds\":[\"3293a69d-4a1e-4a07-8715-208ddexample\",\"6fad0fb5-3e82-4270-bede-469f2example\"]}

Wobei gilt:

  • fd7b6d71c8006fcd6391e6eedexampleist der eindeutige Bezeichner für die zu aktualisierende Vorlage zur Sensitivitätsprüfung.

  • nkr81bmtu2542yyexampleist die eindeutige Kennung, die für die Zulassungsliste verwendet werden soll.

  • 3293a69d-4a1e-4a07-8715-208ddexampleund 6fad0fb5-3e82-4270-bede-469f2example sind die eindeutigen Bezeichner für die zu verwendenden benutzerdefinierten Datenbezeichner.

Hinzufügen oder Entfernen von Zulassungslisten aus der automatisierten Erkennung sensibler Daten

In Amazon Macie definiert eine Zulassungsliste einen bestimmten Text oder ein Textmuster, das Macie ignorieren soll, wenn es S3-Objekte auf sensible Daten untersucht. Wenn Text mit einem Eintrag oder einem Muster in einer Zulassungsliste übereinstimmt, meldet Macie den Text nicht. Dies ist auch dann der Fall, wenn der Text den Kriterien einer verwalteten oder benutzerdefinierten Daten-ID entspricht. Weitere Informationen hierzu finden Sie unter Definition von Ausnahmen für sensible Daten mit Zulassungslisten.

Standardmäßig verwendet Macie bei der automatischen Erkennung vertraulicher Daten keine Zulassungslisten. Wenn Sie möchten, dass Macie bestimmte Zulassungslisten verwendet, können Sie sie zu nachfolgenden Analysen hinzufügen. Wenn Sie eine Zulassungsliste hinzufügen, können Sie sie später entfernen.

Um Zulassungslisten zur automatisierten Erkennung vertraulicher Daten hinzuzufügen oder daraus zu entfernen

Sie können Zulassungslisten mithilfe der Amazon Macie-Konsole oder Amazon Macie hinzufügen oder entfernen. API

Console

Gehen Sie wie folgt vor, um mithilfe der Amazon Macie Macie-Konsole eine Zulassungsliste hinzuzufügen oder zu entfernen.

Um eine Zulassungsliste hinzuzufügen oder zu entfernen

  1. Öffnen Sie die Amazon Macie Macie-Konsole unter https://console.aws.amazon.com/macie/.

  2. Wählen Sie mithilfe der AWS-Region Auswahl in der oberen rechten Ecke der Seite die Region aus, in der Sie eine Zulassungsliste zu Analysen hinzufügen oder daraus entfernen möchten.

  3. Wählen Sie im Navigationsbereich unter Einstellungen die Option Automatisierte Erkennung sensibler Daten aus.

    Die Seite Automatisierte Erkennung vertraulicher Daten wird mit Ihren aktuellen Einstellungen angezeigt. Auf dieser Seite gibt der Abschnitt Zulassungslisten die Zulassungslisten an, die Sie bereits hinzugefügt haben, oder es wird angegeben, dass Sie keine Zulassungslisten hinzugefügt haben.

  4. Wählen Sie im Abschnitt Zulässige Listen die Option Bearbeiten aus.

  5. Führen Sie eine der folgenden Aktionen aus:

    • Um eine oder mehrere Zulassungslisten hinzuzufügen, aktivieren Sie das Kontrollkästchen für jede hinzuzufügende Zulassungsliste. Wenn ein Kontrollkästchen bereits ausgewählt ist, haben Sie diese Liste bereits hinzugefügt.

    • Um eine oder mehrere Zulassungslisten zu entfernen, deaktivieren Sie das Kontrollkästchen für jede Zulassungsliste, die Sie entfernen möchten. Wenn ein Kontrollkästchen bereits deaktiviert ist, verwendet Macie diese Liste derzeit nicht.

    Tipp

    Um die Einstellungen für eine Zulassungsliste zu überprüfen, bevor Sie sie hinzufügen oder entfernen, wählen Sie das Linksymbol ( The link icon, which is a blue box that has an arrow in it. ) neben dem Namen der Liste. Macie öffnet eine Seite, auf der die Einstellungen der Liste angezeigt werden. Wenn in der Liste ein regulärer Ausdruck (Regex) angegeben ist, können Sie diese Seite auch verwenden, um den regulären Ausdruck mit Beispieldaten zu testen. Geben Sie dazu bis zu 1.000 Zeichen Text in das Feld Beispieldaten ein, und wählen Sie dann Test aus. Macie wertet die Beispieldaten aus und gibt die Anzahl der Treffer an.

  6. Wählen Sie Save (Speichern) aus, wenn Sie fertig sind.

API

Um eine Zulassungsliste programmgesteuert hinzuzufügen oder zu entfernen, verwenden Sie Amazon Macie, API um die Vorlage für die Sensibilitätsprüfung für Ihr Konto zu aktualisieren. In der Vorlage werden Einstellungen gespeichert, die angeben, welche Zulassungslisten Macie bei der automatisierten Erkennung sensibler Daten verwenden soll. Die Einstellungen geben auch an, welche verwalteten Datenbezeichner und welche benutzerdefinierten Datenbezeichner verwendet werden sollen.

Wenn Sie die Vorlage aktualisieren, überschreiben Sie ihre aktuellen Einstellungen. Daher empfiehlt es sich, zunächst Ihre aktuellen Einstellungen abzurufen und festzulegen, welche Sie behalten möchten. Verwenden Sie den GetSensitivityInspectionTemplateVorgang, um Ihre aktuellen Einstellungen abzurufen. Wenn Sie AWS Command Line Interface (AWS CLI) verwenden, führen Sie den get-sensitivity-inspection-templateBefehl aus, um die Einstellungen abzurufen.

Um die Vorlage abzurufen oder zu aktualisieren, müssen Sie ihren eindeutigen Bezeichner (id) angeben. Sie können diese Kennung mithilfe der GetAutomatedDiscoveryConfigurationOperation abrufen. Bei diesem Vorgang werden Ihre aktuellen Konfigurationseinstellungen für die automatische Erkennung vertraulicher Daten abgerufen, einschließlich der eindeutigen Kennung für die Vorlage zur Prüfung der Vertraulichkeit für Ihr Konto in der aktuellen AWS-Region Version. Wenn Sie den verwenden AWS CLI, führen Sie den get-automated-discovery-configurationBefehl aus, um diese Informationen abzurufen.

Wenn Sie bereit sind, die Vorlage zu aktualisieren, verwenden Sie den UpdateSensitivityInspectionTemplateVorgang oder, falls Sie den verwenden AWS CLI, führen Sie den update-sensitivity-inspection-templateBefehl aus. Verwenden Sie in Ihrer Anfrage den allowListIds Parameter, um eine oder mehrere Zulassungslisten für nachfolgende Analysen hinzuzufügen oder zu entfernen:

  • Um mit der Verwendung einer Zulassungsliste zu beginnen, geben Sie deren eindeutige Kennung für den Parameter an.

  • Um die Verwendung einer Zulassungsliste zu beenden, lassen Sie ihren eindeutigen Bezeichner im Parameter weg.

Verwenden Sie zusätzliche Parameter, um anzugeben, welche verwalteten Datenbezeichner und welche benutzerdefinierten Datenbezeichner Macie verwenden soll. Geben Sie auch die Region an, für die sich Ihre Anfrage bezieht. Wenn Ihre Anfrage erfolgreich ist, aktualisiert Macie die Vorlage und gibt eine leere Antwort zurück.

Die folgenden Beispiele zeigen, wie Sie die Vorlage AWS CLI zur Prüfung der Vertraulichkeit für ein Konto verwenden können. Die Beispiele fügen nachfolgenden Analysen eine Zulassungsliste hinzu. Sie behalten auch die aktuellen Einstellungen bei, die angeben, welche verwalteten Datenkennungen und benutzerdefinierten Datenkennungen verwendet werden sollen: Verwenden Sie den Standardsatz verwalteter Datenkennungen und zwei benutzerdefinierte Datenkennungen.

Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\) zur Verbesserung der Lesbarkeit.

$ aws macie2 update-sensitivity-inspection-template \
--id fd7b6d71c8006fcd6391e6eedexample \
--includes '{"allowListIds":["nkr81bmtu2542yyexample"],"customDataIdentifierIds":["3293a69d-4a1e-4a07-8715-208ddexample","6fad0fb5-3e82-4270-bede-469f2example"]}'

Dieses Beispiel ist für Microsoft Windows formatiert und verwendet das Zeilenfortsetzungszeichen Caret (^), um die Lesbarkeit zu verbessern.

C:\> aws macie2 update-sensitivity-inspection-template ^
--id fd7b6d71c8006fcd6391e6eedexample ^
--includes={\"allowListIds\":[\"nkr81bmtu2542yyexample\"],\"customDataIdentifierIds\":[\"3293a69d-4a1e-4a07-8715-208ddexample\",\"6fad0fb5-3e82-4270-bede-469f2example\"]}

Wobei gilt:

  • fd7b6d71c8006fcd6391e6eedexampleist der eindeutige Bezeichner für die zu aktualisierende Vorlage zur Sensitivitätsprüfung.

  • nkr81bmtu2542yyexampleist die eindeutige Kennung, die für die Zulassungsliste verwendet werden soll.

  • 3293a69d-4a1e-4a07-8715-208ddexampleund 6fad0fb5-3e82-4270-bede-469f2example sind die eindeutigen Bezeichner für die zu verwendenden benutzerdefinierten Datenbezeichner.