Comment fonctionne la découverte automatique des données sensibles - Amazon Macie
Composants clésConsidérations

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comment fonctionne la découverte automatique des données sensibles

Lorsque vous activez Amazon Macie pour votre compte Compte AWS, Macie crée actuellement un rôle lié au service AWS Identity and Access Management (IAM) pour votre compte. Région AWS La politique d'autorisation pour ce rôle permet à Macie d'appeler d'autres personnes Services AWS et de surveiller AWS les ressources en votre nom. En utilisant ce rôle, Macie génère et gère un inventaire complet de vos compartiments à usage général Amazon Simple Storage Service (Amazon S3) dans la région. L'inventaire inclut des informations sur chacun de vos compartiments S3 et sur les objets qu'ils contiennent. Si vous êtes l'administrateur Macie d'une organisation, votre inventaire inclut des informations sur les compartiments que possèdent vos comptes membres. Pour plus d’informations, consultez Gestion de plusieurs comptes .

Si vous activez la découverte automatique des données sensibles, Macie évalue quotidiennement vos données d'inventaire afin d'identifier les objets S3 éligibles à la découverte automatique. Dans le cadre de l'évaluation, Macie sélectionne également un échantillon d'objets représentatifs à analyser. Macie récupère et analyse ensuite la dernière version de chaque objet sélectionné, en l'inspectant pour détecter les données sensibles.

Au fur et à mesure que l'analyse progresse chaque jour, Macie met à jour les statistiques, les données d'inventaire et les autres informations qu'il fournit sur vos données Amazon S3. Macie produit également des enregistrements des données sensibles qu'il trouve et des analyses qu'il effectue. Les données obtenues permettent de savoir où Macie a trouvé des données sensibles dans votre patrimoine de données Amazon S3, qui peut couvrir tous les compartiments S3 à usage général que Macie surveille et analyse pour votre compte. Les données peuvent vous aider à évaluer la sécurité et la confidentialité de vos données Amazon S3, à déterminer où effectuer une enquête plus approfondie et à identifier les cas où des mesures correctives sont nécessaires.

Pour une brève démonstration du fonctionnement de la découverte automatique des données sensibles, regardez la vidéo suivante :

Pour configurer et gérer la découverte automatique des données sensibles, votre compte doit être le compte administrateur Macie d'une organisation ou un compte Macie autonome. Si votre compte fait partie d'une organisation, seul l'administrateur Macie de votre organisation peut activer ou désactiver la découverte automatique des données sensibles pour les comptes de votre organisation. En outre, seul l'administrateur Macie peut configurer et gérer les paramètres de découverte automatique des données sensibles pour les comptes.

Composants clés

Amazon Macie utilise une combinaison de fonctionnalités et de techniques pour effectuer la découverte automatisée de données sensibles. Elles fonctionnent conjointement avec les fonctionnalités fournies par Macie pour vous aider à surveiller vos données Amazon S3 à des fins de sécurité et de contrôle d'accès.

Sélection des objets S3 à analyser

Macie évalue quotidiennement vos données d'inventaire Amazon S3 afin d'identifier les objets S3 susceptibles d'être analysés par découverte automatique de données sensibles. Si vous êtes l'administrateur Macie d'une organisation, l'évaluation inclut par défaut les données relatives aux compartiments S3 que possèdent vos comptes membres.

Dans le cadre de l'évaluation, Macie utilise des techniques d'échantillonnage pour sélectionner des objets S3 représentatifs à analyser. Les techniques définissent des groupes d'objets dotés de métadonnées similaires et susceptibles d'avoir un contenu similaire. Les groupes sont basés sur des dimensions telles que le nom du compartiment, le préfixe, la classe de stockage, l'extension du nom de fichier et la date de dernière modification. Macie sélectionne ensuite un ensemble représentatif d'échantillons de chaque groupe, récupère la dernière version de chaque objet sélectionné sur Amazon S3 et analyse chaque objet sélectionné pour déterminer s'il contient des données sensibles. Lorsque l'analyse est terminée, Macie supprime sa copie de l'objet.

La stratégie d'échantillonnage donne la priorité aux analyses distribuées. En général, il utilise une approche axée sur l'étendue de votre parc de données Amazon S3. Chaque jour, un ensemble représentatif d'objets S3 est sélectionné parmi le plus grand nombre possible de compartiments à usage général en fonction de la taille de stockage totale de tous les objets classifiables de votre parc de données Amazon S3. Par exemple, si Macie a déjà analysé et trouvé des données sensibles dans des objets d'un compartiment et n'a pas encore analysé d'objets dans un autre compartiment, ce dernier compartiment est une priorité d'analyse plus élevée. Cette approche vous permet de mieux comprendre plus rapidement la sensibilité de vos données Amazon S3. En fonction de la taille de votre parc de données, les résultats d'analyse peuvent commencer à apparaître dans les 48 heures.

La stratégie d'échantillonnage donne également la priorité à l'analyse des différents types d'objets S3 et d'objets récemment créés ou modifiés. Il n'est pas garanti qu'un échantillon d'objet soit concluant. Par conséquent, l'analyse d'un ensemble diversifié d'objets peut permettre de mieux comprendre les types et la quantité de données sensibles qu'un compartiment S3 peut contenir. En outre, la hiérarchisation des objets nouveaux ou récemment modifiés permet à l'analyse de s'adapter aux modifications apportées à votre inventaire de compartiments. Par exemple, si des objets sont créés ou modifiés après une analyse précédente, ils sont prioritaires pour les analyses ultérieures. Inversement, si un objet a déjà été analysé et n'a pas changé depuis cette analyse, Macie ne l'analyse pas à nouveau. Cette approche vous permet d'établir des lignes de base de sensibilité pour des compartiments S3 individuels. Ensuite, au fur et à mesure que les analyses continues et progressives de votre compte progressent, vos évaluations de sensibilité des compartiments individuels peuvent devenir de plus en plus approfondies et détaillées à un rythme prévisible.

Définition de la portée des analyses

Par défaut, Macie inclut tous les compartiments S3 à usage général qu'il surveille et analyse pour votre compte lorsqu'il évalue vos données d'inventaire et sélectionne les objets S3 à analyser. Si vous êtes l'administrateur Macie d'une organisation, cela inclut les compartiments que possèdent vos comptes membres.

Vous pouvez ajuster la portée des analyses en excluant des compartiments S3 spécifiques. Par exemple, vous pouvez préférer exclure les compartiments qui stockent généralement des données de AWS journalisation, telles que les journaux AWS CloudTrail d'événements. Pour exclure un bucket, vous pouvez modifier les paramètres de découverte automatique des données sensibles pour votre compte ou le bucket. Dans ce cas, Macie commence à exclure le bucket au début du prochain cycle quotidien d'évaluation et d'analyse. Vous pouvez exclure jusqu'à 1 000 compartiments des analyses. Si vous excluez un compartiment S3, vous pouvez ensuite l'inclure à nouveau. Pour ce faire, modifiez à nouveau les paramètres de votre compte ou du bucket. Macie commence ensuite à inclure le godet au début du prochain cycle quotidien d'évaluation et d'analyse.

Si vous êtes l'administrateur Macie d'une organisation, vous pouvez également activer ou désactiver la découverte automatique des données sensibles pour les comptes individuels de votre organisation. Si vous désactivez la découverte automatique pour un compte, Macie exclut tous les compartiments S3 que possède le compte. Si vous réactivez ensuite la découverte automatique pour le compte, Macie recommence à inclure les buckets.

Déterminer les types de données sensibles à détecter et à signaler

Par défaut, Macie inspecte les objets S3 à l'aide de l'ensemble d'identifiants de données gérés que nous recommandons pour la découverte automatique des données sensibles. Pour obtenir la liste de ces identifiants de données gérés, consultezParamètres par défaut pour la découverte automatique des données sensibles.

Vous pouvez adapter les analyses pour qu'elles se concentrent sur des types spécifiques de données sensibles. Pour ce faire, modifiez les paramètres de découverte automatique des données sensibles de votre compte de l'une des manières suivantes :

  • Ajouter ou supprimer des identifiants de données gérées — Un identifiant de données gérées est un ensemble de critères et de techniques intégrés conçus pour détecter un type spécifique de données sensibles, telles que les numéros de carte de crédit, les clés d'accès AWS secrètes ou les numéros de passeport d'un pays ou d'une région en particulier. Pour plus d’informations, consultez Utilisation des identificateurs de données gérés.

  • Ajouter ou supprimer des identifiants de données personnalisés : un identifiant de données personnalisé est un ensemble de critères que vous définissez pour détecter les données sensibles. Grâce aux identificateurs de données personnalisés, vous pouvez détecter les données sensibles qui reflètent les scénarios particuliers de votre organisation, la propriété intellectuelle ou les données propriétaires, telles que les identifiants des employés, les numéros de compte client ou les classifications de données internes. Pour plus d’informations, consultez Création d'identificateurs de données personnalisés.

  • Ajouter ou supprimer des listes d'autorisation : dans Macie, une liste d'autorisation indique le texte ou un modèle de texte que vous souhaitez que Macie ignore dans les objets S3. Il s'agit généralement d'exceptions relatives aux données sensibles propres à vos scénarios ou à votre environnement particuliers, telles que les noms publics ou les numéros de téléphone de votre organisation, ou des exemples de données que votre organisation utilise à des fins de test. Pour plus d’informations, consultez Définition des exceptions relatives aux données sensibles à l'aide de listes d'autorisation.

Si vous modifiez les paramètres, Macie les applique au début du cycle d'analyse quotidien suivant. Si vous êtes l'administrateur Macie d'une organisation, Macie utilise les paramètres de votre compte lorsqu'il analyse les objets S3 pour d'autres comptes de votre organisation.

Vous pouvez également ajuster les paramètres au niveau du compartiment afin de déterminer si des types spécifiques de données sensibles sont inclus dans les évaluations de la sensibilité d'un compartiment. Pour savoir comment procéder, veuillez consulter la section Gestion de la découverte automatisée des données sensibles pour des compartiments S3 individuels.

Calcul des scores de sensibilité

Par défaut, Macie calcule automatiquement un score de sensibilité pour chaque compartiment S3 à usage général qu'il surveille et analyse pour votre compte. Si vous êtes l'administrateur Macie d'une organisation, cela inclut les compartiments que possèdent vos comptes membres.

Dans Macie, un score de sensibilité est une mesure quantitative de l'intersection de deux dimensions principales : la quantité de données sensibles que Macie a trouvées dans un bucket et la quantité de données que Macie a analysées dans un bucket. Le score de sensibilité d'un seau détermine l'étiquette de sensibilité que Macie attribue au seau. Une étiquette de sensibilité est une représentation qualitative du score de sensibilité d'un compartiment, par exemple, Sensible, Non sensible et Pas encore analysé. Pour plus de détails sur la plage de scores de sensibilité et d'étiquettes définie par Macie, voirNotation de sensibilité pour les compartiments S3.

Important

Le score de sensibilité et l'étiquette d'un compartiment S3 n'impliquent ni n'indiquent le caractère critique ou l'importance que le compartiment ou les objets du compartiment peuvent avoir pour votre organisation. Ils sont plutôt destinés à fournir des points de référence qui peuvent vous aider à identifier et à surveiller les risques de sécurité potentiels.

Lorsque vous activez initialement la découverte automatique des données sensibles, Macie attribue automatiquement un score de sensibilité de 50 et l'étiquette Pas encore analysé à chaque compartiment S3. L'exception concerne les seaux vides. Un bucket vide est un bucket qui ne stocke aucun objet ou qui ne contient aucun (0) octet de données. Si tel est le cas pour un compartiment, Macie attribue un score de 1 au compartiment et lui attribue l'étiquette Non sensible.

À mesure que la découverte automatique des données sensibles progresse, Macie met à jour les scores de sensibilité et les étiquettes pour refléter les résultats des analyses. Par exemple :

  • Si Macie ne trouve aucune donnée sensible dans un objet, Macie diminue le score de sensibilité du compartiment et met à jour l'étiquette de sensibilité du compartiment si nécessaire.

  • Si Macie trouve des données sensibles dans un objet, Macie augmente le score de sensibilité du compartiment et met à jour l'étiquette de sensibilité du compartiment si nécessaire.

  • Si Macie trouve des données sensibles dans un objet qui est ensuite modifié, Macie supprime les données sensibles détectées pour l'objet du score de sensibilité du compartiment et met à jour l'étiquette de sensibilité du compartiment si nécessaire.

  • Si Macie trouve des données sensibles dans un objet qui est ensuite supprimé, Macie supprime les données sensibles détectées pour l'objet du score de sensibilité du compartiment et met à jour l'étiquette de sensibilité du compartiment si nécessaire.

Vous pouvez ajuster les paramètres de notation de sensibilité pour des compartiments S3 individuels en incluant ou en excluant des types spécifiques de données sensibles du score d'un compartiment. Vous pouvez également annuler le score calculé d'un compartiment en attribuant manuellement le score maximum (100) au compartiment. Si vous attribuez le score maximum, le compartiment est étiqueté Sensible. Pour plus d’informations, consultez Gestion de la découverte automatique pour des compartiments S3 individuels.

Génération de métadonnées, de statistiques et de résultats

Lorsque vous activez la découverte automatique des données sensibles, Macie génère et commence à gérer des données d'inventaire, des statistiques et d'autres informations supplémentaires sur les compartiments à usage général S3 qu'il surveille et analyse pour votre compte. Si vous êtes l'administrateur Macie d'une organisation, cela inclut par défaut les compartiments que possèdent vos comptes membres.

Les informations supplémentaires capturent les résultats des activités automatisées de découverte de données sensibles effectuées par Macie jusqu'à présent. Elle complète également les autres informations fournies par Macie concernant vos données Amazon S3, telles que les paramètres d'accès public et d'accès partagé pour les compartiments individuels. Les informations supplémentaires incluent :

  • Statistiques agrégées sur la sensibilité des données, telles que le nombre total de compartiments dans lesquels Macie a trouvé des données sensibles et le nombre de ces compartiments accessibles au public.

  • Une représentation visuelle interactive de la sensibilité des données dans l'ensemble de votre parc de données Amazon S3.

  • Informations détaillées au niveau du compartiment indiquant l'état actuel des analyses. Par exemple, une liste des objets que Macie a analysés dans un compartiment, les types de données sensibles que Macie a trouvés dans un compartiment et le nombre d'occurrences de chaque type de données sensibles trouvées par Macie.

Les informations incluent également des statistiques et des informations qui peuvent vous aider à évaluer et à surveiller la couverture de vos données Amazon S3. Vous pouvez vérifier l'état des analyses pour l'ensemble de votre parc de données et pour les compartiments S3 individuels de votre inventaire de compartiments. Vous pouvez également identifier les problèmes qui empêchaient Macie d'analyser des objets dans des compartiments spécifiques. Si vous corrigez les problèmes, vous pouvez augmenter la couverture de vos données Amazon S3 lors des cycles d'analyse suivants. Pour plus d’informations, consultez Évaluation de la couverture de la découverte automatique des données sensibles.

Macie recalcule et met à jour automatiquement ces informations pendant qu'il effectue la découverte automatique des données sensibles. Par exemple, si Macie trouve des données sensibles dans un objet S3 qui est ensuite modifié ou supprimé, Macie met à jour les métadonnées du compartiment applicable : supprime l'objet de la liste des objets analysés ; supprime les occurrences de données sensibles trouvées par Macie dans l'objet ; recalcule le score de sensibilité, s'il est calculé automatiquement ; et met à jour l'étiquette de sensibilité si nécessaire pour refléter le nouveau score.

Outre les métadonnées et les statistiques, Macie produit des enregistrements des données sensibles qu'elle trouve et des analyses qu'elle effectue : les résultats de données sensibles, qui signalent les données sensibles trouvées par Macie dans des objets S3 individuels, et les résultats de découverte de données sensibles, qui enregistrent les détails de l'analyse des objets S3 individuels.

Pour plus d’informations, consultez Examen des statistiques et des résultats de découverte automatique de données sensibles.

Considérations

Lorsque vous configurez et utilisez Amazon Macie pour effectuer une découverte automatique des données sensibles relatives à vos données Amazon S3, gardez à l'esprit les points suivants :

  • Vos paramètres de découverte automatique s'appliquent uniquement aux paramètres actuels Région AWS. Par conséquent, les analyses et les données qui en résultent ne s'appliquent qu'aux compartiments et objets à usage général S3 de la région actuelle. Pour effectuer une découverte automatique et accéder aux données obtenues dans des régions supplémentaires, activez et configurez la découverte automatique dans chaque région supplémentaire.

  • Si vous êtes l'administrateur Macie d'une organisation :

    • Vous pouvez effectuer une découverte automatique pour un compte membre uniquement si Macie est activé pour le compte dans la région actuelle. En outre, vous devez activer la découverte automatique du compte dans cette région. Les membres ne peuvent pas activer la découverte automatique pour leurs propres comptes.

    • Si vous activez la découverte automatique pour un compte membre, Macie utilise les paramètres de découverte automatique de votre compte administrateur lorsqu'elle analyse les données du compte membre. Les paramètres applicables sont les suivants : la liste des compartiments S3 à exclure des analyses, ainsi que les identifiants de données gérés, les identifiants de données personnalisés et les listes d'autorisation à utiliser lors de l'analyse des objets S3. Les membres ne peuvent pas configurer ces paramètres pour leurs propres comptes.

    • Les membres ne peuvent pas accéder aux paramètres de découverte automatique pour leurs compartiments S3. Par exemple, un membre ne peut pas ajuster les paramètres de score de sensibilité d'un bucket dont il est propriétaire. Seul l'administrateur Macie peut accéder à ces paramètres.

    • Les membres ne peuvent pas accéder aux statistiques de découverte de données sensibles et aux autres résultats que Macie fournit directement à leurs compartiments S3. Par exemple, un membre ne peut pas utiliser Macie pour examiner les scores de sensibilité de ses compartiments S3 ou accéder aux résultats produits par la découverte automatique pour ses objets S3. Seul l'administrateur de Macie peut accéder à ces données à l'aide de Macie.

  • Si les paramètres d'autorisation d'un compartiment S3 empêchent Macie de récupérer des informations sur le compartiment ou les objets du compartiment ou d'y accéder, Macie ne peut pas effectuer de découverte automatique pour le compartiment. Macie ne peut fournir qu'un sous-ensemble d'informations sur le bucket, telles que l'ID de compte du propriétaire du Compte AWS bucket, le nom du bucket et la date à laquelle Macie a récemment récupéré les métadonnées du bucket et de l'objet pour le bucket dans le cadre du cycle d'actualisation quotidien. Dans votre inventaire de compartiments, le score de sensibilité de ces compartiments est de 50 et leur étiquette de sensibilité n'a pas encore été analysée.

    Pour identifier rapidement les compartiments S3 dans ce cas, reportez-vous aux données de couverture de vos découvertes automatisées. Pour plus d’informations, consultez Évaluation de la couverture de la découverte automatique des données sensibles. Pour étudier le problème lié à un compartiment en particulier, consultez la politique et les paramètres d'autorisation du compartiment dans Amazon S3. Par exemple, le compartiment peut avoir une politique de compartiment restrictive. Pour plus d’informations, consultez Autoriser Macie à accéder aux compartiments et aux objets S3.

  • Pour être éligible à la sélection et à l'analyse, un objet S3 doit être stocké dans un compartiment à usage général et doit être classifiable. Un objet classifiable utilise une classe de stockage Amazon S3 prise en charge et possède une extension de nom de fichier pour un format de fichier ou de stockage pris en charge. Pour plus d’informations, consultez Classes et formats de stockage pris en charge.

  • Si un objet S3 est chiffré, Macie ne peut l'analyser que s'il est chiffré avec une clé à laquelle Macie peut accéder et est autorisée à utiliser. Pour plus d’informations, consultez Analyse des objets S3 chiffrés. Pour identifier les cas où les paramètres de chiffrement empêchaient Macie d'analyser un ou plusieurs objets d'un compartiment, reportez-vous aux données de couverture de vos découvertes automatisées. Pour plus d'informations, voir Évaluation de la couverture de la découverte automatique des données sensibles.