Umfangsoptionen für Aufgaben zur Erkennung sensibler Daten - Amazon Macie
S3-Buckets oder Bucket-KriterienTiefe der ProbenahmeErster Lauf: Schließt bestehende S3-Objekte einS3-Objektkriterien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Umfangsoptionen für Aufgaben zur Erkennung sensibler Daten

Mit Aufträgen zur Erkennung sensibler Daten definieren Sie den Umfang der Analyse, die Amazon Macie durchführt, um sensible Daten in Ihren Allzweck-Buckets von Amazon Simple Storage Service (Amazon S3) zu erkennen und zu melden. Um Ihnen dabei zu helfen, bietet Macie mehrere auftragsspezifische Optionen, die Sie bei der Erstellung und Konfiguration eines Jobs auswählen können.

S3-Buckets oder Bucket-Kriterien

Wenn Sie einen Discovery-Job für sensible Daten erstellen, geben Sie an, in welchen S3-Buckets Objekte gespeichert werden, die Macie analysieren soll, wenn der Job ausgeführt wird. Sie können dies auf zwei Arten tun: indem Sie bestimmte S3-Buckets aus Ihrem Bucket-Inventar auswählen oder indem Sie benutzerdefinierte Kriterien angeben, die sich aus den Eigenschaften von S3-Buckets ableiten.

Wählen Sie bestimmte S3-Buckets aus

Mit dieser Option wählen Sie explizit jeden S3-Bucket aus, der analysiert werden soll. Wenn der Job dann ausgeführt wird, analysiert Macie nur Objekte in den von Ihnen ausgewählten Buckets. Wenn Sie einen Job so konfigurieren, dass er regelmäßig täglich, wöchentlich oder monatlich ausgeführt wird, analysiert Macie bei jeder Ausführung des Jobs Objekte in denselben Buckets.

Diese Konfiguration ist hilfreich für Fälle, in denen Sie eine gezielte Analyse eines bestimmten Datensatzes durchführen möchten. Sie gibt Ihnen eine präzise und vorhersehbare Kontrolle darüber, welche Buckets ein Job analysiert.

Geben Sie S3-Bucket-Kriterien an

Mit dieser Option definieren Sie Laufzeitkriterien, die bestimmen, welche S3-Buckets analysiert werden sollen. Die Kriterien bestehen aus einer oder mehreren Bedingungen, die sich aus Bucket-Eigenschaften wie Einstellungen und Tags für den öffentlichen Zugriff ergeben. Wenn der Job ausgeführt wird, identifiziert Macie Buckets, die Ihren Kriterien entsprechen, und analysiert dann Objekte in diesen Buckets. Wenn Sie einen Job so konfigurieren, dass er regelmäßig ausgeführt wird, tut Macie dies bei jeder Ausführung des Jobs. Daher analysiert Macie möglicherweise bei jeder Ausführung des Jobs Objekte in unterschiedlichen Buckets, abhängig von den Änderungen an Ihrem Bucket-Inventar und den von Ihnen definierten Kriterien.

Diese Konfiguration ist in Fällen hilfreich, in denen Sie möchten, dass sich der Umfang der Analyse dynamisch an Änderungen an Ihrem Bucket-Inventar anpasst. Wenn Sie einen Job so konfigurieren, dass er Bucket-Kriterien verwendet und regelmäßig ausgeführt wird, identifiziert Macie automatisch neue Buckets, die den Kriterien entsprechen, und überprüft diese Buckets auf sensible Daten.

Die Themen in diesem Abschnitt enthalten zusätzliche Informationen zu den einzelnen Optionen.

Auswahl bestimmter S3-Buckets

Wenn Sie sich dafür entscheiden, explizit jeden S3-Bucket auszuwählen, den ein Job analysieren soll, stellt Macie Ihnen eine Bestandsaufnahme Ihrer aktuellen Allzweck-Buckets zur Verfügung. AWS-Region Anschließend können Sie Ihr Inventar überprüfen und die gewünschten Buckets auswählen. Wenn Sie der Macie-Administrator einer Organisation sind, umfasst Ihr Inventar auch Buckets, die Ihren Mitgliedskonten gehören. Sie können bis zu 1.000 dieser Buckets auswählen, die sich über bis zu 1.000 Konten erstrecken.

Um Ihnen bei der Auswahl Ihrer Buckets zu helfen, enthält das Inventar Details und Statistiken für jeden Bucket. Dazu gehört die Datenmenge, die ein Job in jedem Bucket analysieren kann. Klassifizierbare Objekte sind Objekte, die eine unterstützte Amazon S3 S3-Speicherklasse verwenden und eine Dateinamenerweiterung für ein unterstütztes Datei- oder Speicherformat haben. Das Inventar gibt auch an, ob Sie bestehende Jobs zur Analyse von Objekten in einem Bucket konfiguriert haben. Anhand dieser Details können Sie den Umfang eines Jobs einschätzen und Ihre Bucket-Auswahl verfeinern.

In der Inventartabelle:

  • Sensitivität — Gibt den aktuellen Vertraulichkeitswert des Buckets an, wenn die automatische Erkennung sensibler Daten aktiviert ist.

  • Klassifizierbare Objekte — Gibt die Gesamtzahl der Objekte an, die der Job im Bucket analysieren kann.

  • Klassifizierbare Größe — Gibt die Gesamtspeichergröße aller Objekte an, die der Job im Bucket analysieren kann.

    Wenn der Bucket komprimierte Objekte speichert, gibt dieser Wert nicht die tatsächliche Größe dieser Objekte nach der Dekomprimierung wieder. Wenn die Versionsverwaltung für den Bucket aktiviert ist, basiert dieser Wert auf der Speichergröße der neuesten Version jedes Objekts im Bucket.

  • Nach Job überwacht — Gibt an, ob Sie bestehende Jobs so konfiguriert haben, dass Objekte im Bucket regelmäßig täglich, wöchentlich oder monatlich analysiert werden.

    Wenn der Wert für dieses Feld Ja lautet, ist der Bucket explizit in einem periodischen Job enthalten oder der Bucket hat innerhalb der letzten 24 Stunden die Kriterien für einen periodischen Job erfüllt. Darüber hinaus lautet der Status von mindestens einem dieser Jobs nicht Storniert. Macie aktualisiert diese Daten täglich.

  • Letzte Auftragsausführung — Wenn Sie periodische oder einmalige Jobs zur Analyse von Objekten im Bucket konfiguriert haben, gibt dieses Feld das Datum und die Uhrzeit an, zu der einer dieser Jobs zuletzt gestartet wurde. Andernfalls erscheint in diesem Feld ein Bindestrich (—).

Wenn das Informationssymbol ( The information icon, which is a blue circle that has a lowercase letter i in it. ) neben Bucket-Namen angezeigt wird, empfehlen wir Ihnen, die neuesten Bucket-Metadaten von Amazon S3 abzurufen. Wählen Sie dazu über der Tabelle refresh ( The refresh button, which is a button that displays an empty blue circle with an arrow. ) aus. Das Informationssymbol weist darauf hin, dass in den letzten 24 Stunden ein Bucket erstellt wurde, möglicherweise nachdem Macie im Rahmen des täglichen Aktualisierungszyklus das letzte Mal Bucket- und Objektmetadaten von Amazon S3 abgerufen hat. Weitere Informationen finden Sie unter Daten werden aktualisiert.

Wenn das Warnsymbol ( The warning icon, which is a red triangle that has an exclamation point in it. ) neben dem Namen eines Buckets erscheint, darf Macie nicht auf den Bucket oder die Objekte des Buckets zugreifen. Das bedeutet, dass der Job keine Objekte im Bucket analysieren kann. Um das Problem zu untersuchen, überprüfen Sie die Richtlinien- und Berechtigungseinstellungen des Buckets in Amazon S3. Beispielsweise könnte der Bucket eine restriktive Bucket-Richtlinie haben. Weitere Informationen finden Sie unter Macie darf auf S3-Buckets und -Objekte zugreifen.

Um Ihre Ansicht anzupassen und bestimmte Buckets einfacher zu finden, können Sie die Tabelle filtern, indem Sie Filterkriterien in das Filterfeld eingeben. Die folgende Tabelle bietet einige Beispiele.

Um alle Buckets anzuzeigen, die... Wende diesen Filter an...
Gehören einem bestimmten Konto Konto-ID = the 12-digit ID for the account
Sind öffentlich zugänglich Wirksame Genehmigung = Öffentlich
Sind in keinen regelmäßigen Jobs enthalten Aktiv vom Job überwacht = Falsch
Sind nicht in regelmäßigen oder einmaligen Aufträgen enthalten Definiert in Job = False
Habe einen bestimmten Tag-Schlüssel* Tag-Schlüssel = the tag key
Habe einen bestimmten Tag-Wert* Tag-Wert = the tag value
Speichern Sie unverschlüsselte Objekte (oder Objekte, die clientseitige Verschlüsselung verwenden) Die Anzahl der Objekte bei Verschlüsselung ist „Keine Verschlüsselung“ und „Von“ = 1

* Bei Tag-Schlüsseln und -Werten wird zwischen Groß- und Kleinschreibung unterschieden. Außerdem müssen Sie einen vollständigen, gültigen Wert angeben. Sie können keine Teilwerte angeben oder Platzhalterzeichen verwenden.

Um zusätzliche Details für einen Bucket anzuzeigen, wählen Sie den Namen des Buckets aus und schauen Sie im Detailbereich nach. In dem Bereich können Sie auch:

  • Wählen Sie ein Vergrößerungsglas für das Feld aus, um bestimmte Felder zu öffnen und nach unten zu gelangen. Wählen Sie aus The zoom in icon, which is a magnifying glass that has a plus sign in it. , ob Buckets mit demselben Wert angezeigt werden sollen. Wählen Sie aus The zoom out icon, which is a magnifying glass that has a minus sign in it. , ob Buckets mit anderen Werten angezeigt werden sollen.

  • Ruft die neuesten Metadaten für Objekte im Bucket ab. Dies kann hilfreich sein, wenn Sie kürzlich einen Bucket erstellt haben oder in den letzten 24 Stunden wesentliche Änderungen an den Objekten des Buckets vorgenommen haben. Um die Daten abzurufen, wählen Sie im Bereich Objektstatistiken des Bedienfelds die Option refresh ( The refresh button, which is a button that displays an empty, dark gray circle with an arrow. ) aus. Diese Option ist für Buckets verfügbar, die 30.000 oder weniger Objekte speichern.

In bestimmten Fällen enthält das Panel möglicherweise nicht alle Details eines Buckets. Dies kann vorkommen, wenn Sie mehr als 10.000 Buckets in Amazon S3 speichern. Macie verwaltet vollständige Inventardaten für nur 10.000 Buckets für ein Konto — die 10.000 Buckets, die zuletzt erstellt oder geändert wurden. Sie können jedoch einen Job so konfigurieren, dass Objekte in Buckets analysiert werden, die dieses Kontingent überschreiten. Verwenden Sie Amazon S3, um weitere Details für diese Buckets zu überprüfen.

Angabe von S3-Bucket-Kriterien

Wenn Sie sich dafür entscheiden, Bucket-Kriterien für einen Job anzugeben, bietet Macie Optionen zum Definieren und Testen der Kriterien. Dies sind Laufzeitkriterien, die bestimmen, in welchen S3-Buckets zu analysierende Objekte gespeichert werden. Bei jeder Ausführung des Jobs identifiziert Macie Allzweck-Buckets, die Ihren Kriterien entsprechen, und analysiert dann Objekte in den entsprechenden Buckets. Wenn Sie der Macie-Administrator einer Organisation sind, schließt dies auch Buckets ein, die Ihren Mitgliedskonten gehören.

Definition von Bucket-Kriterien

Bucket-Kriterien bestehen aus einer oder mehreren Bedingungen, die sich aus den Eigenschaften von S3-Buckets ergeben. Jede Bedingung, auch als Kriterium bezeichnet, besteht aus den folgenden Teilen:

  • Ein eigenschaftsbasiertes Feld, z. B. Konto-ID oder Gültige Berechtigung.

  • Ein Operator, entweder gleich (eq) oder ungleich (). neq

  • Ein oder mehrere Werte.

  • Eine Include- oder Exclude-Anweisung, die angibt, ob Buckets, die der Bedingung entsprechen, analysiert (eingeschlossen) oder übersprungen (ausgeschlossen) werden sollen.

Wenn Sie mehr als einen Wert für ein Feld angeben, verwendet Macie die OR-Logik, um die Werte zu verknüpfen. Wenn Sie mehr als eine Bedingung für die Kriterien angeben, verwendet Macie die UND-Logik, um die Bedingungen zu verknüpfen. Außerdem haben Ausschlussbedingungen Vorrang vor Einschlussbedingungen. Wenn Sie beispielsweise öffentlich zugängliche Buckets einbeziehen und Buckets mit bestimmten Tags ausschließen, analysiert der Job Objekte in allen Buckets, auf die öffentlich zugegriffen werden kann, sofern der Bucket nicht über eines der angegebenen Tags verfügt.

Sie können Bedingungen definieren, die sich aus einem der folgenden eigenschaftsbasierten Felder für S3-Buckets ableiten.

Konto-ID

Die eindeutige Kennung (ID) für den, dem ein Bucket AWS-Konto gehört. Um mehrere Werte für dieses Feld anzugeben, geben Sie die ID für jedes Konto ein und trennen Sie jeden Eintrag durch ein Komma.

Beachten Sie, dass Macie die Verwendung von Platzhalterzeichen oder Teilwerten für dieses Feld nicht unterstützt.

Bucket-Name

Der Name eines Buckets. Dieses Feld entspricht dem Feld Name, nicht dem Feld Amazon Resource Name (ARN) in Amazon S3. Um mehrere Werte für dieses Feld anzugeben, geben Sie den Namen jedes Buckets ein und trennen Sie jeden Eintrag durch ein Komma.

Beachten Sie, dass bei Werten zwischen Groß- und Kleinschreibung unterschieden wird. Darüber hinaus unterstützt Macie die Verwendung von Platzhalterzeichen oder Teilwerten für dieses Feld nicht.

Wirksame Erlaubnis

Gibt an, ob ein Bucket öffentlich zugänglich ist. Sie können einen oder mehrere der folgenden Werte für dieses Feld wählen:

  • Nicht öffentlich — Die allgemeine Öffentlichkeit hat keinen Lese- oder Schreibzugriff auf den Bucket.

  • Öffentlich — Die allgemeine Öffentlichkeit hat Lese- oder Schreibzugriff auf den Bucket.

  • Unbekannt — Macie war nicht in der Lage, die Einstellungen für den öffentlichen Zugriff für den Bucket auszuwerten. Ein Problem oder ein Kontingent hinderte Macie daran, die erforderlichen Daten abzurufen und auszuwerten.

Um festzustellen, ob ein Bucket öffentlich zugänglich ist, analysiert Macie eine Kombination von Einstellungen auf Konto- und Bucket-Ebene für den Bucket: die Einstellungen für den Block öffentlichen Zugriff für das Konto, die Einstellungen für den Block für den öffentlichen Zugriff, die Bucket-Richtlinie für den Bucket und die Zugriffskontrollliste (ACL) für den Bucket. Informationen zu diesen Einstellungen finden Sie unter Zugriffskontrolle und Sperren des öffentlichen Zugriffs auf Ihren Amazon S3 S3-Speicher im Amazon Simple Storage Service-Benutzerhandbuch.

Gemeinsamer Zugriff

Gibt an, ob ein Bucket mit einem anderen AWS-Konto, einer Amazon CloudFront Origin Access Identity (OAI) oder einer CloudFront Origin Access Control (OAC) geteilt wird. Sie können einen oder mehrere der folgenden Werte für dieses Feld wählen:

  • Extern — Der Bucket wird mit einer oder mehreren der folgenden Personen oder einer beliebigen Kombination der folgenden Personen gemeinsam genutzt: eine CloudFront OAI, eine CloudFront OAC oder ein Konto, das extern zu Ihrer Organisation gehört (nicht Teil davon ist).

  • Intern — Der Bucket wird mit einem oder mehreren Konten geteilt, die innerhalb (eines Teils) Ihrer Organisation liegen. Es wird nicht mit einer CloudFront OAI oder OAC geteilt.

  • Nicht geteilt — Der Bucket wird nicht mit einem anderen Konto, einer CloudFront OAI oder einem OAC geteilt. CloudFront

  • Unbekannt — Macie war nicht in der Lage, die Einstellungen für den gemeinsamen Zugriff für den Bucket auszuwerten. Ein Problem oder ein Kontingent hinderte Macie daran, die erforderlichen Daten abzurufen und auszuwerten.

Um festzustellen, ob ein Bucket mit einem anderen gemeinsam genutzt wird AWS-Konto, analysiert Macie die Bucket-Richtlinie und die ACL für den Bucket. Darüber hinaus ist eine Organisation als eine Gruppe von Macie-Konten definiert, die über AWS Organizations oder auf Einladung von Macie als Gruppe verwandter Konten zentral verwaltet werden. Informationen zu den Amazon S3 S3-Optionen für die gemeinsame Nutzung von Buckets finden Sie unter Zugriffskontrolle im Amazon Simple Storage Service-Benutzerhandbuch.

Um festzustellen, ob ein Bucket mit einer CloudFront OAI oder OAC gemeinsam genutzt wird, analysiert Macie die Bucket-Richtlinie für den Bucket. Eine CloudFront OAI oder OAC ermöglicht es Benutzern, über eine oder mehrere angegebene Distributionen auf die Objekte eines Buckets zuzugreifen. CloudFront Informationen zu CloudFront OAIs und OACs finden Sie unter Beschränken des Zugriffs auf einen Amazon S3 S3-Ursprung im Amazon CloudFront Developer Guide.

Tags

Die Tags, die einem Bucket zugeordnet sind. Tags sind Labels, die Sie definieren und bestimmten Ressourcentypen, einschließlich S3-Buckets, zuweisen können. AWS Jedes Tag besteht aus einem erforderlichen Tag-Schlüssel und einem optionalen Tag-Wert. Informationen zum Taggen von S3-Buckets finden Sie unter Verwenden von S3-Bucket-Tags für die Kostenzuweisung im Amazon Simple Storage Service-Benutzerhandbuch.

Bei einem Discovery-Job für sensible Daten können Sie diese Art von Bedingung verwenden, um Buckets mit einem bestimmten Tag-Schlüssel, einem bestimmten Tag-Wert oder einem bestimmten Tag-Schlüssel und Tag-Wert (als Paar) ein- oder auszuschließen. Zum Beispiel:

  • Wenn Sie einen Tag-Schlüssel angeben Project und keine Tag-Werte für eine Bedingung angeben, entspricht jeder Bucket, der den Tag-Schlüssel Project enthält, den Kriterien der Bedingung, unabhängig von den Tag-Werten, die diesem Tag-Schlüssel zugeordnet sind.

  • Wenn Sie Development und Test als Tag-Werte angeben und keine Tag-Schlüssel für eine Bedingung angeben, entspricht jeder Bucket, der den Development oder Test -Tag-Wert enthält, den Kriterien der Bedingung, unabhängig von den Tag-Schlüsseln, die diesen Tag-Werten zugeordnet sind.

Bei Tag-Schlüsseln und -Werten muss die Groß- und Kleinschreibung beachtet werden. Darüber hinaus unterstützt Macie die Verwendung von Platzhalterzeichen oder Teilwerten in Tag-Bedingungen nicht.

Um mehrere Tag-Schlüssel in einer Bedingung anzugeben, geben Sie jeden Tag-Schlüssel in das Schlüsselfeld ein und trennen Sie jeden Eintrag durch ein Komma. Um mehrere Tagwerte in einer Bedingung anzugeben, geben Sie jeden Tagwert in das Feld Wert ein und trennen Sie jeden Eintrag durch ein Komma.

Wenn Sie mehr als 10.000 Buckets in Amazon S3 speichern, beachten Sie, dass Macie nicht die Tag-Daten für alle Buckets verwaltet. Macie verwaltet vollständige Inventardaten für nur 10.000 Buckets für ein Konto — die 10.000 Buckets, die zuletzt erstellt oder geändert wurden. Für alle anderen Buckets sind alle zugehörigen Tag-Schlüssel und -Werte nicht in den Inventardaten enthalten. Das bedeutet, dass die Buckets in einer Bedingung, die den Equals () eq -Operator verwendet, keinen bestimmten Tag-Schlüsseln oder -Werten entsprechen. Wenn Sie für eine auf Tags basierende Bedingung den Operator „ungleich“ (neq) angeben, bedeutet dies, dass die Buckets der Bedingung entsprechen.

Bucket-Kriterien werden getestet

Während Sie Ihre Bucket-Kriterien definieren, können Sie die Kriterien testen und verfeinern, indem Sie sich eine Vorschau der Ergebnisse ansehen. Erweitern Sie dazu den Abschnitt Vorschau der Kriterienergebnisse anzeigen, der unter den Kriterien in der Konsole angezeigt wird. In diesem Abschnitt wird eine Tabelle mit bis zu 25 Allzweck-Buckets angezeigt, die derzeit den Kriterien entsprechen.

Die Tabelle bietet auch einen Einblick in die Datenmenge, die der Job in jedem Bucket analysieren kann. Klassifizierbare Objekte sind Objekte, die eine unterstützte Amazon S3 S3-Speicherklasse verwenden und eine Dateinamenerweiterung für ein unterstütztes Datei- oder Speicherformat haben. Die Tabelle gibt auch an, ob Sie bestehende Jobs so konfiguriert haben, dass Objekte in einem Bucket regelmäßig analysiert werden.

In der Tabelle:

  • Sensitivität — Gibt den aktuellen Vertraulichkeitswert des Buckets an, wenn die automatische Erkennung sensibler Daten aktiviert ist.

  • Klassifizierbare Objekte — Gibt die Gesamtzahl der Objekte an, die der Job im Bucket analysieren kann.

  • Klassifizierbare Größe — Gibt die Gesamtspeichergröße aller Objekte an, die der Job im Bucket analysieren kann.

    Wenn der Bucket komprimierte Objekte speichert, gibt dieser Wert nicht die tatsächliche Größe dieser Objekte nach der Dekomprimierung wieder. Wenn die Versionsverwaltung für den Bucket aktiviert ist, basiert dieser Wert auf der Speichergröße der neuesten Version jedes Objekts im Bucket.

  • Nach Job überwacht — Gibt an, ob Sie bestehende Jobs so konfiguriert haben, dass Objekte im Bucket regelmäßig täglich, wöchentlich oder monatlich analysiert werden.

    Wenn der Wert für dieses Feld Ja lautet, ist der Bucket explizit in einem periodischen Job enthalten oder der Bucket hat innerhalb der letzten 24 Stunden die Kriterien für einen periodischen Job erfüllt. Darüber hinaus lautet der Status von mindestens einem dieser Jobs nicht Storniert. Macie aktualisiert diese Daten täglich.

Wenn das Warnsymbol ( The warning icon, which is a red triangle that has an exclamation point in it. ) neben dem Namen eines Buckets erscheint, darf Macie nicht auf den Bucket oder die Objekte des Buckets zugreifen. Das bedeutet, dass der Job keine Objekte im Bucket analysieren kann. Um das Problem zu untersuchen, überprüfen Sie die Richtlinien- und Berechtigungseinstellungen des Buckets in Amazon S3. Beispielsweise könnte der Bucket eine restriktive Bucket-Richtlinie haben. Weitere Informationen finden Sie unter Macie darf auf S3-Buckets und -Objekte zugreifen.

Um die Bucket-Kriterien für den Job zu verfeinern, verwenden Sie die Filteroptionen, um Bedingungen zu den Kriterien hinzuzufügen, zu ändern oder zu entfernen. Macie aktualisiert dann die Tabelle, um Ihre Änderungen widerzuspiegeln.

Tiefe der Probenahme

Mit dieser Option geben Sie den Prozentsatz der in Frage kommenden S3-Objekte an, die von einem Discovery-Job für sensible Daten analysiert werden sollen. In Frage kommende Objekte sind Objekte, die: eine unterstützte Amazon S3 S3-Speicherklasse verwenden, eine Dateinamenerweiterung für ein unterstütztes Datei- oder Speicherformat haben und andere Kriterien erfüllen, die Sie für den Job angeben.

Wenn dieser Wert unter 100% liegt, wählt Macie nach dem Zufallsprinzip geeignete Objekte für die Analyse bis zum angegebenen Prozentsatz aus und analysiert alle Daten in diesen Objekten. Wenn Sie beispielsweise einen Job für die Analyse von 10.000 Objekten konfigurieren und eine Stichprobentiefe von 20% angeben, analysiert Macie ungefähr 2.000 zufällig ausgewählte, geeignete Objekte, wenn der Job ausgeführt wird.

Durch die Reduzierung der Stichprobentiefe eines Jobs können die Kosten gesenkt und die Dauer eines Jobs verkürzt werden. Dies ist hilfreich in Fällen, in denen die Daten in Objekten sehr konsistent sind und Sie feststellen möchten, ob nicht jedes Objekt, sondern ein S3-Bucket sensible Daten speichert.

Beachten Sie, dass diese Option den Prozentsatz der analysierten Objekte steuert, nicht den Prozentsatz der analysierten Byte. Wenn Sie eine Stichprobentiefe von weniger als 100% eingeben, analysiert Macie alle Daten in jedem ausgewählten Objekt, nicht den Prozentsatz der Daten in jedem ausgewählten Objekt.

Erster Lauf: Bestehende S3-Objekte einbeziehen

Sie können Aufgaben zur Erkennung sensibler Daten verwenden, um eine fortlaufende, inkrementelle Analyse von Objekten in S3-Buckets durchzuführen. Wenn Sie einen Job so konfigurieren, dass er regelmäßig ausgeführt wird, erledigt Macie dies automatisch für Sie. Bei jedem Lauf werden nur die Objekte analysiert, die nach dem vorherigen Lauf erstellt oder geändert wurden. Mit der Option Bestehende Objekte einbeziehen wählen Sie den Startpunkt für das erste Inkrement:

  • Um alle vorhandenen Objekte unmittelbar nach Abschluss der Erstellung des Jobs zu analysieren, aktivieren Sie das Kontrollkästchen für diese Option.

  • Um zu warten und nur die Objekte zu analysieren, die nach der Erstellung des Jobs und vor der ersten Ausführung erstellt oder geändert wurden, deaktivieren Sie das Kontrollkästchen für diese Option.

    Das Deaktivieren dieses Kästchens ist in Fällen hilfreich, in denen Sie die Daten bereits analysiert haben und sie regelmäßig weiter analysieren möchten. Wenn Sie beispielsweise zuvor einen anderen Dienst oder eine andere Anwendung zum Klassifizieren von Daten verwendet haben und seit Kurzem Macie verwenden, können Sie diese Option verwenden, um sicherzustellen, dass Ihre Daten kontinuierlich erkannt und klassifiziert werden, ohne dass Ihnen unnötige Kosten entstehen oder Klassifizierungsdaten dupliziert werden.

Bei jeder nachfolgenden Ausführung eines periodischen Jobs werden automatisch nur die Objekte analysiert, die nach der vorherigen Ausführung erstellt oder geändert wurden.

Sowohl für periodische als auch für einmalige Jobs können Sie einen Job auch so konfigurieren, dass nur die Objekte analysiert werden, die vor oder nach einer bestimmten Zeit oder in einem bestimmten Zeitraum erstellt oder geändert wurden. Fügen Sie dazu Objektkriterien hinzu, die das Datum der letzten Änderung für Objekte verwenden.

S3-Objektkriterien

Um den Umfang eines Discovery-Jobs für sensible Daten zu optimieren, können Sie benutzerdefinierte Kriterien für S3-Objekte definieren. Macie verwendet diese Kriterien, um zu bestimmen, welche Objekte analysiert (eingeschlossen) oder übersprungen (ausgeschlossen) werden sollen, wenn der Job ausgeführt wird. Die Kriterien bestehen aus einer oder mehreren Bedingungen, die sich aus den Eigenschaften von S3-Objekten ergeben. Die Bedingungen gelten für Objekte in allen S3-Buckets, die in der Analyse enthalten sind. Wenn ein Bucket mehrere Versionen eines Objekts speichert, gelten die Bedingungen für die neueste Version des Objekts.

Wenn Sie mehrere Bedingungen als Objektkriterien definieren, verwendet Macie die UND-Logik, um die Bedingungen zu verknüpfen. Außerdem haben Ausschlussbedingungen Vorrang vor Einschlussbedingungen. Wenn Sie beispielsweise Objekte mit der Dateinamenerweiterung PDF einbeziehen und Objekte ausschließen, die größer als 5 MB sind, analysiert der Job jedes Objekt mit der Dateinamenerweiterung PDF, sofern das Objekt nicht größer als 5 MB ist.

Sie können Bedingungen definieren, die sich aus einer der folgenden Eigenschaften von S3-Objekten ableiten.

Erweiterung des Dateinamens

Dies entspricht der Dateinamenerweiterung eines S3-Objekts. Sie können diese Art von Bedingung verwenden, um Objekte basierend auf dem Dateityp ein- oder auszuschließen. Um dies für mehrere Dateitypen zu tun, geben Sie die Dateinamenerweiterung für jeden Typ ein und trennen Sie jeden Eintrag durch ein Komma, zum Beispiel:. docx,pdf,xlsx Wenn Sie mehrere Dateinamenerweiterungen als Werte für eine Bedingung eingeben, verwendet Macie die OR-Logik, um die Werte zu verknüpfen.

Beachten Sie, dass bei Werten zwischen Groß- und Kleinschreibung unterschieden wird. Darüber hinaus unterstützt Macie die Verwendung von Teilwerten oder Platzhalterzeichen in dieser Art von Bedingung nicht.

Hinweise zu den Dateitypen, die Macie analysieren kann, finden Sie unter. Unterstützte Datei- und Speicherformate

Zuletzt geändert

Dies entspricht dem Feld Letzte Änderung in Amazon S3. In Amazon S3 speichert dieses Feld Datum und Uhrzeit der Erstellung oder letzten Änderung eines S3-Objekts, je nachdem, welcher Zeitpunkt zuletzt ist.

Bei einem Discovery-Job für sensible Daten kann es sich bei dieser Bedingung um ein bestimmtes Datum, ein bestimmtes Datum und eine bestimmte Uhrzeit oder um einen exklusiven Zeitraum handeln:

  • Um Objekte zu analysieren, die nach einem bestimmten Datum oder Datum und Uhrzeit zuletzt geändert wurden, geben Sie die Werte in die Felder Von ein.

  • Um Objekte zu analysieren, die vor einem bestimmten Datum oder Datum und Uhrzeit zuletzt geändert wurden, geben Sie die Werte in die Felder Bis ein.

  • Um Objekte zu analysieren, die in einem bestimmten Zeitraum zuletzt geändert wurden, verwenden Sie die Felder Von, um die Werte für das erste Datum oder Datum und die erste Uhrzeit im Zeitraum einzugeben. Verwenden Sie die Felder Bis, um die Werte für das letzte Datum oder Datum und die letzte Uhrzeit im Zeitraum einzugeben.

  • Um Objekte zu analysieren, die zu einem beliebigen Zeitpunkt an einem bestimmten Tag zuletzt geändert wurden, geben Sie das Datum in das Feld Startdatum ein. Geben Sie das Datum für den nächsten Tag in das Feld Bis ein. Vergewissern Sie sich dann, dass beide Zeitfelder leer sind. (Macie behandelt ein leeres Zeitfeld als00:00:00.) Um beispielsweise Objekte zu analysieren, die sich am 9. August 2023 geändert haben, geben Sie 2023/08/09 in das Feld Startdatum und 2023/08/10 in das Feld Bis Datum ein, und geben Sie in keinem der beiden Zeitfelder einen Wert ein.

Geben Sie beliebige Zeitwerte in der koordinierten Weltzeit (UTC) ein und verwenden Sie die 24-Stunden-Notation.

Präfix

Dies entspricht dem Schlüsselfeld in Amazon S3. In Amazon S3 speichert dieses Feld den Namen eines S3-Objekts, einschließlich des Präfixes des Objekts. Ein Präfix ähnelt einem Verzeichnispfad innerhalb eines Buckets. Es ermöglicht Ihnen, ähnliche Objekte in einem Bucket zu gruppieren, ähnlich wie Sie ähnliche Dateien zusammen in einem Ordner auf einem Dateisystem speichern könnten. Informationen zu Objektpräfixen und Ordnern in Amazon S3 finden Sie unter Organisieren von Objekten in der Amazon S3 S3-Konsole mithilfe von Ordnern im Amazon Simple Storage Service-Benutzerhandbuch.

Sie können diese Art von Bedingung verwenden, um Objekte ein- oder auszuschließen, deren Schlüssel (Namen) mit einem bestimmten Wert beginnen. Um beispielsweise alle Objekte auszuschließen, deren Schlüssel mit 1 beginnt AWSLogs, geben Sie AWSLogs als Wert für eine Präfix-Bedingung ein und wählen Sie dann Ausschließen.

Wenn Sie mehrere Präfixe als Werte für eine Bedingung eingeben, verwendet Macie die OR-Logik, um die Werte zu verknüpfen. Wenn Sie beispielsweise AWSLogs1 und AWSLogs2 als Werte für eine Bedingung eingeben, ist das jedes Objekt, dessen Schlüssel mit den Kriterien der Bedingung beginnt AWSLogs1oder den AWSLogs2Kriterien der Bedingung entspricht.

Wenn Sie einen Wert für eine Präfix-Bedingung eingeben, sollten Sie Folgendes beachten:

  • Bei Werten wird zwischen Groß- und Kleinschreibung unterschieden.

  • Macie unterstützt die Verwendung von Platzhalterzeichen in diesen Werten nicht.

  • In Amazon S3 enthält der Schlüssel eines Objekts nicht den Namen des Buckets, in dem das Objekt gespeichert ist. Geben Sie aus diesem Grund in diesen Werten keine Bucket-Namen an.

  • Wenn ein Präfix ein Trennzeichen enthält, nehmen Sie das Trennzeichen in den Wert auf. Geben Sie beispielsweise ein, AWSLogs/eventlogs um eine Bedingung für alle Objekte zu definieren, deren Schlüssel mit /eventlogs beginnt. AWSLogs Macie unterstützt das standardmäßige Amazon S3 S3-Trennzeichen, das ein Schrägstrich (/) ist, und benutzerdefinierte Trennzeichen.

Beachten Sie auch, dass ein Objekt nur dann den Kriterien einer Bedingung entspricht, wenn der Schlüssel des Objekts genau dem von Ihnen eingegebenen Wert entspricht, beginnend mit dem ersten Zeichen im Objektschlüssel. Darüber hinaus wendet Macie eine Bedingung auf den kompletten Schlüsselwert für ein Objekt an, einschließlich des Dateinamens des Objekts.

Lautet der Schlüssel eines Objekts beispielsweise AWSLogs/eventlogs/testlog.csv und Sie geben einen der folgenden Werte für eine Bedingung ein, entspricht das Objekt den Kriterien der Bedingung:

  • AWSLogs

  • AWSLogs/event

  • AWSLogs/eventlogs/

  • AWSLogs/eventlogs/testlog

  • AWSLogs/eventlogs/testlog.csv

Wenn Sie jedoch eingebeneventlogs, entspricht das Objekt nicht den Kriterien — der Wert der Bedingung enthält nicht den ersten Teil des Schlüssels,/. AWSLogs Ähnlich verhält es sich, wenn Sie eingebenawslogs, dass das Objekt aufgrund von Unterschieden in der Groß- und Kleinschreibung nicht den Kriterien entspricht.

Größe des Speichers

Dies entspricht dem Feld Größe in Amazon S3. In Amazon S3 gibt dieses Feld die Gesamtspeichergröße eines S3-Objekts an. Wenn es sich bei einem Objekt um eine komprimierte Datei handelt, spiegelt dieser Wert nicht die tatsächliche Größe der Datei nach der Dekomprimierung wider.

Sie können diese Art von Bedingung verwenden, um Objekte ein- oder auszuschließen, die kleiner als eine bestimmte Größe sind, größer als eine bestimmte Größe sind oder in einen bestimmten Größenbereich fallen. Macie wendet diese Art von Bedingung auf alle Objekttypen an, einschließlich komprimierter Dateien oder Archivdateien und der darin enthaltenen Dateien. Informationen zu größenabhängigen Einschränkungen für jedes unterstützte Format finden Sie unter. Kontingente für Macie

Tags

Die Tags, die einem S3-Objekt zugeordnet sind. Tags sind Beschriftungen, die Sie definieren und bestimmten Ressourcentypen AWS , einschließlich S3-Objekten, zuweisen können. Jedes Tag besteht aus einem erforderlichen Tag-Schlüssel und einem optionalen Tag-Wert. Informationen zum Taggen von S3-Objekten finden Sie unter Kategorisieren Ihres Speichers mithilfe von Tags im Amazon Simple Storage Service-Benutzerhandbuch.

Für einen Job zur Erkennung sensibler Daten können Sie diese Art von Bedingung verwenden, um Objekte mit einem bestimmten Tag ein- oder auszuschließen. Dabei kann es sich um einen bestimmten Tag-Schlüssel oder um einen bestimmten Tag-Schlüssel und Tag-Wert (als Paar) handeln. Wenn Sie mehrere Tags als Werte für eine Bedingung angeben, verwendet Macie die OR-Logik, um die Werte zu verknüpfen. Wenn Sie beispielsweise Project1 und Project2 als Tag-Schlüssel für eine Bedingung angeben, entspricht jedes Objekt, das den Tag-Schlüssel Project1 oder Project2 besitzt, den Kriterien der Bedingung.

Beachten Sie, dass bei Tag-Schlüsseln und -Werten zwischen Groß- und Kleinschreibung unterschieden wird. Außerdem unterstützt Macie die Verwendung von Teilwerten oder Platzhalterzeichen in dieser Art von Bedingung nicht.