Cara kerja penemuan data sensitif otomatis - Amazon Macie
Komponen kunciPertimbangan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Cara kerja penemuan data sensitif otomatis

Saat Anda mengaktifkan Amazon Macie untuk Anda Akun AWS, Macie membuat peran terkait layanan AWS Identity and Access Management (IAM) untuk akun Anda saat ini. Wilayah AWS Kebijakan izin untuk peran ini memungkinkan Macie memanggil sumber lain Layanan AWS dan memantau AWS sumber daya atas nama Anda. Dengan menggunakan peran ini, Macie menghasilkan dan memelihara inventaris lengkap bucket tujuan umum Amazon Simple Storage Service (Amazon S3) Anda di Wilayah. Inventaris mencakup informasi tentang masing-masing ember dan objek S3 Anda di ember. Jika Anda administrator Macie untuk suatu organisasi, inventaris Anda menyertakan informasi tentang bucket yang dimiliki akun anggota Anda. Untuk informasi selengkapnya, lihat Mengelola beberapa akun.

Jika Anda mengaktifkan penemuan data sensitif otomatis, Macie mengevaluasi data inventaris Anda setiap hari untuk mengidentifikasi objek S3 yang memenuhi syarat untuk penemuan otomatis. Sebagai bagian dari evaluasi, Macie juga memilih sampel objek representatif untuk dianalisis. Macie kemudian mengambil dan menganalisis versi terbaru dari setiap objek yang dipilih, memeriksanya untuk data sensitif.

Saat analisis berlangsung setiap hari, Macie memperbarui statistik, data inventaris, dan informasi lain yang diberikannya tentang data Amazon S3 Anda. Macie juga menghasilkan catatan data sensitif yang ditemukannya dan analisis yang dilakukannya. Data yang dihasilkan memberikan wawasan tentang tempat Macie menemukan data sensitif di estat data Amazon S3 Anda, yang dapat menjangkau semua bucket tujuan umum S3 yang dipantau dan dianalisis Macie untuk akun Anda. Data dapat membantu Anda menilai keamanan dan privasi data Amazon S3 Anda, menentukan tempat untuk melakukan penyelidikan lebih dalam, dan mengidentifikasi kasus di mana remediasi diperlukan.

Untuk demonstrasi singkat tentang cara kerja penemuan data sensitif otomatis, tonton video berikut:

Untuk mengonfigurasi dan mengelola penemuan data sensitif otomatis, Anda harus menjadi administrator Macie untuk organisasi atau memiliki akun Macie mandiri. Jika akun Anda adalah bagian dari organisasi, hanya administrator Macie untuk organisasi Anda yang dapat mengaktifkan atau menonaktifkan penemuan otomatis untuk akun di organisasi. Selain itu, hanya administrator Macie yang dapat mengonfigurasi dan mengelola pengaturan penemuan otomatis untuk akun. Ini termasuk pengaturan yang menentukan ruang lingkup dan sifat analisis yang dilakukan Macie. Jika Anda memiliki akun anggota di organisasi, hubungi administrator Macie Anda untuk mempelajari setelan akun dan organisasi Anda.

Komponen utama

Amazon Macie menggunakan kombinasi fitur dan teknik untuk melakukan penemuan data sensitif otomatis. Ini bekerja sama dengan fitur yang disediakan Macie untuk membantu Anda memantau data Amazon S3 Anda untuk keamanan dan kontrol akses.

Memilih objek S3 untuk dianalisis

Setiap hari, Macie mengevaluasi data inventaris Amazon S3 Anda untuk mengidentifikasi objek S3 yang memenuhi syarat untuk dianalisis dengan penemuan data sensitif otomatis. Jika Anda administrator Macie untuk suatu organisasi, secara default evaluasi menyertakan data untuk bucket S3 yang dimiliki akun anggota Anda.

Sebagai bagian dari evaluasi, Macie menggunakan teknik pengambilan sampel untuk memilih objek S3 yang representatif untuk dianalisis. Teknik mendefinisikan kelompok objek yang memiliki metadata serupa dan cenderung memiliki konten serupa. Grup didasarkan pada dimensi seperti nama bucket, awalan, kelas penyimpanan, ekstensi nama file, dan tanggal modifikasi terakhir. Macie kemudian memilih kumpulan sampel yang representatif dari setiap grup, mengambil versi terbaru dari setiap objek yang dipilih dari Amazon S3, dan menganalisis setiap objek yang dipilih untuk menentukan apakah objek tersebut berisi data sensitif. Ketika analisis selesai, Macie membuang salinan objeknya.

Strategi pengambilan sampel memprioritaskan analisis terdistribusi. Secara umum, ini menggunakan pendekatan luas-pertama ke estate data Amazon S3 Anda. Setiap hari, satu set objek S3 yang representatif dipilih dari sebanyak mungkin bucket tujuan umum Anda berdasarkan ukuran penyimpanan total semua objek yang dapat diklasifikasikan di estat data Amazon S3 Anda. Misalnya, jika Macie telah menganalisis dan menemukan data sensitif dalam objek dalam satu ember dan belum menganalisis objek di ember lain, bucket terakhir adalah prioritas yang lebih tinggi untuk analisis. Dengan pendekatan ini, Anda mendapatkan wawasan luas tentang sensitivitas data Amazon S3 Anda dengan lebih cepat. Tergantung pada ukuran data estate Anda, hasil analisis dapat mulai muncul dalam waktu 48 jam.

Strategi pengambilan sampel juga memprioritaskan analisis berbagai jenis objek dan objek S3 yang baru saja dibuat atau diubah. Sampel objek tunggal apa pun tidak dijamin konklusif. Oleh karena itu, analisis kumpulan objek yang beragam dapat menghasilkan wawasan yang lebih baik tentang jenis dan jumlah data sensitif yang mungkin berisi bucket S3. Selain itu, memprioritaskan objek baru atau yang baru saja diubah membantu analisis beradaptasi dengan perubahan inventaris bucket Anda. Misalnya, jika objek dibuat atau diubah setelah analisis sebelumnya, objek tersebut adalah prioritas yang lebih tinggi untuk analisis selanjutnya. Sebaliknya, jika sebuah objek sebelumnya dianalisis dan tidak berubah sejak analisis itu, Macie tidak menganalisis objek lagi. Pendekatan ini membantu Anda menetapkan garis dasar sensitivitas untuk masing-masing bucket S3. Kemudian, seiring dengan kemajuan analisis bertahap yang berkelanjutan untuk akun Anda, penilaian sensitivitas Anda terhadap bucket individu dapat menjadi semakin dalam dan terperinci pada tingkat yang dapat diprediksi.

Mendefinisikan ruang lingkup analisis

Secara default, Macie menyertakan semua bucket tujuan umum S3 yang dipantau dan dianalisis untuk akun Anda saat mengevaluasi data inventaris Anda dan memilih objek S3 untuk dianalisis. Jika Anda administrator Macie untuk suatu organisasi, ini termasuk bucket yang dimiliki akun anggota Anda.

Anda dapat menyesuaikan cakupan analisis dengan mengecualikan bucket S3 tertentu dari penemuan data sensitif otomatis. Misalnya, Anda mungkin lebih memilih untuk mengecualikan bucket yang biasanya menyimpan data AWS logging, seperti log AWS CloudTrail peristiwa. Untuk mengecualikan bucket, Anda dapat mengubah pengaturan penemuan otomatis untuk akun atau bucket Anda. Jika Anda melakukan ini, Macie mulai mengecualikan ember ketika siklus evaluasi dan analisis harian berikutnya dimulai. Anda dapat mengecualikan sebanyak 1.000 ember dari analisis. Jika Anda mengecualikan bucket S3, Anda dapat memasukkannya lagi nanti. Untuk melakukan ini, ubah pengaturan untuk akun Anda atau ember lagi. Macie kemudian mulai memasukkan ember ketika siklus evaluasi dan analisis harian berikutnya dimulai.

Jika Anda administrator Macie untuk suatu organisasi, Anda juga dapat mengaktifkan atau menonaktifkan penemuan data sensitif otomatis untuk masing-masing akun di organisasi Anda. Jika Anda menonaktifkan penemuan otomatis untuk sebuah akun, Macie mengecualikan semua bucket S3 yang dimiliki akun tersebut. Jika Anda kemudian mengaktifkan kembali penemuan otomatis untuk akun tersebut, Macie mulai memasukkan bucket lagi.

Menentukan jenis data sensitif mana yang akan dideteksi dan dilaporkan

Secara default, Macie memeriksa objek S3 dengan menggunakan kumpulan pengidentifikasi data terkelola yang kami rekomendasikan untuk penemuan data sensitif otomatis. Untuk daftar pengidentifikasi data terkelola ini, lihatPengaturan default untuk penemuan data sensitif otomatis.

Anda dapat menyesuaikan analisis untuk fokus pada jenis data sensitif tertentu. Untuk melakukannya, ubah setelan penemuan otomatis Anda dengan salah satu cara berikut:

  • Menambah atau menghapus pengidentifikasi data terkelola — Pengidentifikasi data terkelola adalah seperangkat kriteria dan teknik bawaan yang dirancang untuk mendeteksi jenis data sensitif tertentu, seperti nomor kartu kredit, kunci akses AWS rahasia, atau nomor paspor untuk negara atau wilayah tertentu. Untuk informasi selengkapnya, lihat Menggunakan pengidentifikasi data terkelola.

  • Menambah atau menghapus pengidentifikasi data kustom - Pengidentifikasi data kustom adalah serangkaian kriteria yang Anda tentukan untuk mendeteksi data sensitif. Dengan pengidentifikasi data khusus, Anda dapat mendeteksi data sensitif yang mencerminkan skenario, kekayaan intelektual, atau data hak milik organisasi Anda. Misalnya, Anda dapat mendeteksi karyawanIDs, nomor akun pelanggan, atau klasifikasi data internal. Untuk informasi selengkapnya, lihat Membangun pengidentifikasi data kustom.

  • Tambahkan atau hapus daftar izinkan - Di Macie, daftar izinkan menentukan teks atau pola teks yang Anda ingin Macie abaikan di objek S3. Ini biasanya pengecualian data sensitif untuk skenario atau lingkungan tertentu, seperti nama publik atau nomor telepon untuk organisasi Anda, atau data sampel yang digunakan organisasi Anda untuk pengujian. Untuk informasi selengkapnya, lihat Mendefinisikan pengecualian data sensitif dengan daftar izinkan.

Jika Anda mengubah pengaturan, Macie menerapkan perubahan Anda ketika siklus analisis harian berikutnya dimulai. Jika Anda administrator Macie untuk suatu organisasi, Macie menggunakan pengaturan untuk akun Anda saat menganalisis objek S3 untuk akun lain di organisasi Anda.

Anda juga dapat mengonfigurasi pengaturan tingkat ember yang menentukan apakah jenis data sensitif tertentu disertakan dalam penilaian sensitivitas bucket. Untuk mempelajari caranya, lihat Menyesuaikan skor sensitivitas untuk bucket S3.

Menghitung skor sensitivitas

Secara default, Macie secara otomatis menghitung skor sensitivitas untuk setiap bucket tujuan umum S3 yang dipantau dan dianalisis untuk akun Anda. Jika Anda administrator Macie untuk suatu organisasi, ini termasuk bucket yang dimiliki akun anggota Anda.

Di Macie, skor sensitivitas adalah ukuran kuantitatif dari persimpangan dua dimensi utama: jumlah data sensitif yang ditemukan Macie dalam ember, dan jumlah data yang telah dianalisis Macie dalam ember. Skor sensitivitas bucket menentukan label sensitivitas mana yang diberikan Macie ke bucket. Label sensitivitas adalah representasi kualitatif dari skor sensitivitas bucket — misalnya, Sensitif, Tidak sensitif, dan Belum dianalisis. Untuk detail tentang rentang skor sensitivitas dan label yang didefinisikan Macie, lihat. Penilaian sensitivitas untuk bucket S3

penting

Skor sensitivitas dan label bucket S3 tidak menyiratkan atau menunjukkan kekritisan atau kepentingan yang mungkin dimiliki bucket atau objek bucket untuk Anda atau organisasi Anda. Sebaliknya, mereka dimaksudkan untuk memberikan titik referensi yang dapat membantu Anda mengidentifikasi dan memantau potensi risiko keamanan.

Saat Anda mengaktifkan penemuan data sensitif otomatis untuk pertama kalinya, Macie secara otomatis menetapkan skor sensitivitas 50 dan label Belum dianalisis ke setiap bucket S3. Pengecualiannya adalah ember kosong. Bucket kosong adalah bucket yang tidak menyimpan objek apa pun atau semua objek bucket berisi nol (0) byte data. Jika ini adalah kasus untuk ember, Macie memberikan skor 1 ke ember dan memberikan label Tidak sensitif ke ember.

Saat penemuan data sensitif otomatis berlangsung, Macie memperbarui skor sensitivitas dan label untuk mencerminkan hasil analisisnya. Sebagai contoh:

  • Jika Macie tidak menemukan data sensitif dalam suatu objek, Macie mengurangi skor sensitivitas bucket dan memperbarui label sensitivitas bucket seperlunya.

  • Jika Macie menemukan data sensitif dalam suatu objek, Macie meningkatkan skor sensitivitas bucket dan memperbarui label sensitivitas bucket seperlunya.

  • Jika Macie menemukan data sensitif dalam objek yang kemudian diubah, Macie menghapus deteksi data sensitif untuk objek dari skor sensitivitas bucket dan memperbarui label sensitivitas bucket seperlunya.

  • Jika Macie menemukan data sensitif dalam objek yang kemudian dihapus, Macie menghapus deteksi data sensitif untuk objek dari skor sensitivitas bucket dan memperbarui label sensitivitas bucket seperlunya.

Anda dapat menyesuaikan pengaturan penilaian sensitivitas untuk masing-masing bucket S3 dengan menyertakan atau mengecualikan jenis data sensitif tertentu dari skor bucket. Anda juga dapat mengganti skor yang dihitung bucket dengan menetapkan skor maksimum (100) secara manual ke bucket. Jika Anda menetapkan skor maksimum, label bucket adalah Sensitif. Untuk informasi selengkapnya, lihat Menyesuaikan skor sensitivitas untuk bucket S3.

Menghasilkan metadata, statistik, dan jenis hasil lainnya

Saat Anda mengaktifkan penemuan data sensitif otomatis, Macie menghasilkan dan mulai memelihara data inventaris tambahan, statistik, dan informasi lainnya tentang bucket tujuan umum S3 yang dipantau dan dianalisis untuk akun Anda. Jika Anda administrator Macie untuk suatu organisasi, secara default ini termasuk bucket yang dimiliki akun anggota Anda.

Informasi tambahan menangkap hasil aktivitas penemuan data sensitif otomatis yang telah dilakukan Macie sejauh ini. Ini juga melengkapi informasi lain yang disediakan Macie tentang data Amazon S3 Anda, seperti akses publik dan pengaturan akses bersama untuk masing-masing bucket. Informasi tambahan meliputi:

  • Representasi visual interaktif dari sensitivitas data di seluruh kawasan data Amazon S3 Anda.

  • Statistik sensitivitas data agregat, seperti jumlah total bucket tempat Macie menemukan data sensitif dan berapa banyak bucket tersebut yang dapat diakses publik.

  • Detail tingkat ember yang menunjukkan status analisis saat ini. Misalnya, daftar objek yang telah dianalisis Macie dalam ember, jenis data sensitif yang ditemukan Macie dalam ember, dan jumlah kemunculan setiap jenis data sensitif yang ditemukan Macie.

Informasi ini juga mencakup statistik dan detail yang dapat membantu Anda menilai dan memantau cakupan data Amazon S3 Anda. Anda dapat memeriksa status analisis untuk data estate Anda secara keseluruhan dan untuk bucket S3 individual. Anda juga dapat mengidentifikasi masalah yang mencegah Macie menganalisis objek dalam ember tertentu. Jika Anda memperbaiki masalah, Anda dapat meningkatkan cakupan data Amazon S3 Anda selama siklus analisis berikutnya. Untuk informasi selengkapnya, lihat Menilai cakupan penemuan data sensitif otomatis.

Macie secara otomatis menghitung ulang dan memperbarui informasi ini saat melakukan penemuan data sensitif otomatis. Misalnya, jika Macie menemukan data sensitif dalam objek S3 yang kemudian diubah atau dihapus, Macie memperbarui metadata bucket yang berlaku: menghapus objek dari daftar objek yang dianalisis; menghapus kemunculan data sensitif yang ditemukan Macie di objek; menghitung ulang skor sensitivitas, jika skor dihitung secara otomatis; dan, memperbarui label sensitivitas seperlunya untuk mencerminkan skor baru.

Selain metadata dan statistik, Macie menghasilkan catatan data sensitif yang ditemukannya dan analisis yang dilakukannya: temuan data sensitif, yang melaporkan data sensitif yang ditemukan Macie di objek S3 individu, dan hasil penemuan data sensitif, yang mencatat detail tentang analisis objek S3 individu.

Untuk informasi selengkapnya, lihat Meninjau hasil penemuan data sensitif otomatis.

Pertimbangan

Saat Anda mengonfigurasi dan menggunakan Amazon Macie untuk melakukan penemuan data sensitif otomatis untuk data Amazon S3 Anda, ingatlah hal berikut:

  • Pengaturan penemuan otomatis Anda hanya berlaku untuk saat ini Wilayah AWS. Akibatnya, analisis dan data yang dihasilkan hanya berlaku untuk bucket dan objek tujuan umum S3 di Wilayah saat ini. Untuk melakukan penemuan otomatis dan mengakses data yang dihasilkan di Wilayah tambahan, aktifkan dan konfigurasikan penemuan otomatis di setiap Wilayah tambahan.

  • Jika Anda administrator Macie untuk sebuah organisasi:

    • Anda dapat melakukan penemuan otomatis untuk akun anggota hanya jika Macie diaktifkan untuk akun di Wilayah saat ini. Selain itu, Anda harus mengaktifkan penemuan otomatis untuk akun di Wilayah tersebut. Anggota tidak dapat mengaktifkan atau menonaktifkan penemuan otomatis untuk akun mereka sendiri.

    • Jika Anda mengaktifkan penemuan otomatis untuk akun anggota, Macie menggunakan pengaturan penemuan otomatis untuk akun administrator Anda saat menganalisis data untuk akun anggota. Pengaturan yang berlaku adalah: daftar bucket S3 untuk dikecualikan dari analisis, dan pengidentifikasi data terkelola, pengidentifikasi data khusus, dan daftar yang diizinkan untuk digunakan saat menganalisis objek S3. Anggota tidak dapat meninjau atau mengubah pengaturan ini.

    • Anggota tidak dapat mengakses pengaturan penemuan otomatis untuk bucket S3 individual yang mereka miliki. Misalnya, anggota tidak dapat meninjau atau menyesuaikan pengaturan penilaian sensitivitas untuk salah satu bucket mereka. Hanya administrator Macie yang dapat mengakses pengaturan ini.

    • Anggota telah membaca akses ke statistik penemuan data sensitif dan hasil lain yang langsung disediakan Macie untuk bucket S3 mereka. Misalnya, anggota dapat menggunakan Macie untuk meninjau skor sensitivitas dan data cakupan untuk bucket S3 mereka. Pengecualiannya adalah temuan data sensitif. Hanya administrator Macie yang memiliki akses langsung ke temuan yang dihasilkan oleh penemuan otomatis.

  • Jika setelan izin bucket S3 mencegah Macie mengakses atau mengambil informasi tentang bucket atau objek bucket, Macie tidak dapat melakukan penemuan otomatis untuk bucket tersebut. Macie hanya dapat memberikan subset informasi tentang bucket, seperti ID akun untuk pemilik bucket, nama bucket, dan kapan Macie baru-baru ini mengambil bucket dan metadata objek untuk bucket sebagai bagian dari siklus penyegaran harian. Akun AWS Dalam inventaris bucket Anda, skor sensitivitas untuk bucket ini adalah 50 dan label sensitivitasnya Belum dianalisis. Untuk mengidentifikasi bucket S3 di mana hal ini terjadi, Anda dapat merujuk ke data cakupan. Untuk informasi selengkapnya, lihat Menilai cakupan penemuan data sensitif otomatis.

  • Agar memenuhi syarat untuk seleksi dan analisis, objek S3 harus disimpan dalam ember tujuan umum dan harus dapat diklasifikasikan. Objek yang dapat diklasifikasikan menggunakan kelas penyimpanan Amazon S3 yang didukung dan memiliki ekstensi nama file untuk file atau format penyimpanan yang didukung. Untuk informasi selengkapnya, lihat Kelas dan format penyimpanan yang didukung.

  • Jika objek S3 dienkripsi, Macie dapat menganalisisnya hanya jika dienkripsi dengan kunci yang dapat diakses Macie dan diizinkan untuk digunakan. Untuk informasi selengkapnya, lihat Menganalisis objek S3 terenkripsi. Untuk mengidentifikasi kasus di mana pengaturan enkripsi mencegah Macie menganalisis satu atau beberapa objek dalam ember, Anda dapat merujuk ke data cakupan. Untuk informasi selengkapnya, lihat Menilai cakupan penemuan data sensitif otomatis.