Mengambil sampel data sensitif untuk temuan Macie - Amazon Macie
Sebelum Anda mulaiMenentukan apakah sampel tersedia untuk temuanMengambil sampel untuk temuan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengambil sampel data sensitif untuk temuan Macie

Dengan menggunakan Amazon Macie, Anda dapat mengambil dan mengungkapkan sampel data sensitif yang dilaporkan Macie dalam temuan data sensitif individu. Ini termasuk data sensitif yang dideteksi Macie menggunakan pengidentifikasi data terkelola, dan data yang cocok dengan kriteria pengidentifikasi data kustom. Sampel dapat membantu Anda memverifikasi sifat data sensitif yang ditemukan Macie. Mereka juga dapat membantu Anda menyesuaikan penyelidikan Anda terhadap objek dan bucket Amazon Simple Storage Service (Amazon S3) yang terpengaruh. Anda dapat mengambil dan mengungkapkan sampel data sensitif di semua Wilayah AWS tempat Macie saat ini tersedia kecuali Wilayah Asia Pasifik (Osaka) dan Israel (Tel Aviv).

Jika Anda mengambil dan mengungkapkan sampel data sensitif untuk sebuah temuan, Macie menggunakan data dalam hasil penemuan data sensitif yang sesuai untuk menemukan 1-10 kejadian pertama dari data sensitif yang dilaporkan oleh temuan tersebut. Macie kemudian mengekstrak 1-128 karakter pertama dari setiap kejadian dari objek S3 yang terpengaruh. Jika sebuah temuan melaporkan beberapa jenis data sensitif, Macie melakukan ini hingga 100 jenis data sensitif yang dilaporkan oleh temuan tersebut.

Saat Macie mengekstrak data sensitif dari objek S3 yang terpengaruh, Macie mengenkripsi data dengan kunci AWS Key Management Service (AWS KMS) yang Anda tentukan, menyimpan sementara data terenkripsi dalam cache, dan mengembalikan data dalam hasil Anda untuk temuan tersebut. Segera setelah ekstraksi dan enkripsi, Macie secara permanen menghapus data dari cache kecuali retensi tambahan sementara diperlukan untuk menyelesaikan masalah operasional.

Jika Anda memilih untuk mengambil dan mengungkapkan sampel data sensitif untuk temuan lagi, Macie mengulangi proses untuk menemukan, mengekstrak, mengenkripsi, menyimpan, dan akhirnya menghapus sampel.

Untuk demonstrasi bagaimana Anda dapat mengambil dan mengungkapkan sampel data sensitif menggunakan konsol Amazon Macie, tonton video berikut:

Sebelum Anda mulai

Sebelum Anda dapat mengambil dan mengungkapkan sampel data sensitif untuk temuan, Anda perlu mengonfigurasi dan mengaktifkan pengaturan untuk akun Amazon Macie Anda. Anda juga perlu bekerja dengan AWS administrator Anda untuk memverifikasi bahwa Anda memiliki izin dan sumber daya yang Anda butuhkan.

Saat Anda mengambil dan mengungkapkan sampel data sensitif untuk sebuah temuan, Macie melakukan serangkaian tugas untuk mencari, mengambil, mengenkripsi, dan mengungkapkan sampel. Macie tidak menggunakan peran terkait layanan Macie untuk akun Anda untuk melakukan tugas-tugas ini. Sebagai gantinya, Anda menggunakan identitas AWS Identity and Access Management (IAM) Anda atau mengizinkan Macie untuk mengambil peran IAM di akun Anda.

Untuk mengambil dan mengungkapkan sampel data sensitif untuk temuan, Anda harus memiliki akses ke temuan, hasil penemuan data sensitif yang sesuai, dan AWS KMS key yang Anda konfigurasi Macie untuk digunakan untuk mengenkripsi sampel data sensitif. Selain itu, Anda atau peran IAM harus diizinkan untuk mengakses bucket S3 yang terpengaruh dan objek S3 yang terpengaruh. Anda atau peran juga harus diizinkan untuk menggunakan AWS KMS key yang digunakan untuk mengenkripsi objek yang terpengaruh, jika berlaku. Jika ada kebijakan IAM, kebijakan sumber daya, atau setelan izin lainnya yang menolak akses yang diperlukan, kesalahan akan terjadi dan Macie tidak mengembalikan sampel apa pun untuk temuan tersebut.

Anda juga harus diizinkan untuk melakukan tindakan Macie berikut:

  • macie2:GetMacieSession

  • macie2:GetFindings

  • macie2:ListFindings

  • macie2:GetSensitiveDataOccurrences

Tiga tindakan pertama memungkinkan Anda mengakses akun Macie Anda dan mengambil detail temuan. Tindakan terakhir memungkinkan Anda untuk mengambil dan mengungkapkan sampel data sensitif untuk temuan.

Untuk menggunakan konsol Amazon Macie untuk mengambil dan menampilkan sampel data sensitif, Anda juga harus diizinkan untuk melakukan tindakan berikut:. macie2:GetSensitiveDataOccurrencesAvailability Tindakan ini memungkinkan Anda untuk menentukan apakah sampel tersedia untuk temuan individu. Anda tidak memerlukan izin untuk melakukan tindakan ini untuk mengambil dan mengungkapkan sampel secara terprogram. Namun, memiliki izin ini dapat merampingkan pengambilan sampel Anda.

Jika Anda adalah administrator Macie yang didelegasikan untuk organisasi dan Anda mengonfigurasi Macie untuk mengambil peran IAM untuk mengambil sampel data sensitif, Anda juga harus diizinkan untuk melakukan tindakan berikut:. macie2:GetMember Tindakan ini memungkinkan Anda untuk mengambil informasi tentang hubungan antara akun Anda dan akun yang terpengaruh. Ini memungkinkan Macie untuk memverifikasi bahwa Anda saat ini administrator Macie untuk akun yang terpengaruh.

Jika Anda tidak diizinkan untuk melakukan tindakan yang diperlukan atau mengakses data dan sumber daya yang diperlukan, mintalah bantuan AWS administrator Anda.

Menentukan apakah sampel data sensitif tersedia untuk temuan

Untuk mengambil dan mengungkapkan sampel data sensitif untuk suatu temuan, temuan tersebut harus memenuhi kriteria tertentu. Ini harus menyertakan data lokasi untuk kejadian spesifik dari data sensitif. Selain itu, ia harus menentukan lokasi hasil penemuan data sensitif yang valid dan sesuai. Hasil penemuan data sensitif harus disimpan Wilayah AWS sama dengan temuan. Jika Anda mengonfigurasi Amazon Macie untuk mengakses objek S3 yang terpengaruh dengan mengasumsikan peran AWS Identity and Access Management (IAM), hasil penemuan data sensitif juga harus disimpan dalam objek S3 yang ditandatangani Macie dengan Kode Otentikasi Pesan (HMAC) berbasis Hash. AWS KMS key

Objek S3 yang terpengaruh juga harus memenuhi kriteria tertentu. Jenis MIME objek harus salah satu dari yang berikut:

  • application/avro, untuk file wadah objek Apache Avro (.avro)

  • application/gzip, untuk file arsip terkompresi GNU Zip (.gz atau.gzip)

  • application/json, untuk file JSON atau JSON Lines (.json atau .jsonl)

  • application/parquet, untuk file Apache Parquet (.parquet)

  • application/vnd.openxmlformats-officedocument.spreadsheetml.sheet, untuk file buku kerja Microsoft Excel (.xlsx)

  • application/zip, untuk file arsip terkompresi ZIP (.zip)

  • text/csv, untuk file CSV (.csv)

  • text/plain, untuk file teks non-biner selain file CSV, JSON, JSON Lines, atau TSV

  • text/tab-separated-values, untuk file TSV (.tsv)

Selain itu, isi objek S3 harus sama dengan saat temuan dibuat. Macie memeriksa tag entitas objek (ETag) untuk menentukan apakah itu cocok dengan yang ETag ditentukan oleh temuan. Selain itu, ukuran penyimpanan objek tidak dapat melebihi kuota ukuran yang berlaku untuk mengambil dan mengungkapkan sampel data sensitif. Untuk daftar kuota yang berlaku, lihatKuota untuk Macie.

Jika temuan dan objek S3 yang terpengaruh memenuhi kriteria sebelumnya, sampel data sensitif tersedia untuk temuan tersebut. Anda dapat secara opsional menentukan apakah ini kasus untuk temuan tertentu sebelum Anda mencoba mengambil dan mengungkapkan sampel untuk itu.

Untuk menentukan apakah sampel data sensitif tersedia untuk temuan

Anda dapat menggunakan konsol Amazon Macie atau Amazon Macie API untuk menentukan apakah sampel data sensitif tersedia untuk temuan.

Console

Ikuti langkah-langkah ini di konsol Amazon Macie untuk menentukan apakah sampel data sensitif tersedia untuk temuan.

Untuk menentukan apakah sampel tersedia untuk temuan

  1. Buka konsol Amazon Macie di. https://console.aws.amazon.com/macie/

  2. Di panel navigasi, pilih Temuan.

  3. Pada halaman Temuan, pilih temuan. Panel detail menampilkan informasi untuk temuan.

  4. Di panel detail, gulir ke bagian Data sensitif. Kemudian lihat bidang Reveal samples.

    Jika sampel data sensitif tersedia untuk temuan, tautan Tinjauan akan muncul di bidang, seperti yang ditunjukkan pada gambar berikut.

    Bidang Reveal samples di panel rincian temuan. Kolom berisi tautan berlabel Tinjauan.

    Jika sampel data sensitif tidak tersedia untuk temuan, bidang Reveal samples menampilkan teks yang menunjukkan alasannya:

    • Akun tidak dalam organisasi — Anda tidak diizinkan mengakses objek S3 yang terpengaruh dengan menggunakan Macie. Akun yang terpengaruh saat ini bukan bagian dari organisasi Anda. Atau akun adalah bagian dari organisasi Anda tetapi Macie saat ini tidak diaktifkan untuk akun saat ini Wilayah AWS.

    • Hasil klasifikasi tidak valid - Tidak ada hasil penemuan data sensitif yang sesuai untuk temuan tersebut. Atau hasil penemuan data sensitif terkait tidak tersedia saat ini Wilayah AWS, cacat atau rusak, atau menggunakan format penyimpanan yang tidak didukung. Macie tidak dapat memverifikasi lokasi data sensitif untuk diambil.

    • Tanda tangan hasil tidak valid - Hasil penemuan data sensitif terkait disimpan dalam objek S3 yang tidak ditandatangani oleh Macie. Macie tidak dapat memverifikasi integritas dan keaslian hasil penemuan data sensitif. Oleh karena itu, Macie tidak dapat memverifikasi lokasi data sensitif untuk diambil.

    • Peran anggota terlalu permisif — Kebijakan kepercayaan atau izin untuk peran IAM di akun anggota yang terpengaruh tidak memenuhi persyaratan Macie untuk membatasi akses ke peran tersebut. Atau kebijakan kepercayaan peran tidak menentukan ID eksternal yang benar untuk organisasi Anda. Macie tidak dapat mengambil peran untuk mengambil data sensitif.

    • GetMember Izin hilang — Anda tidak diizinkan untuk mengambil informasi tentang hubungan antara akun Anda dan akun yang terpengaruh. Macie tidak dapat menentukan apakah Anda diizinkan mengakses objek S3 yang terpengaruh sebagai administrator Macie yang didelegasikan untuk akun yang terpengaruh.

    • Objek melebihi kuota ukuran — Ukuran penyimpanan objek S3 yang terpengaruh melebihi kuota ukuran untuk mengambil dan mengungkapkan sampel data sensitif dari jenis file tersebut.

    • Objek tidak tersedia - Objek S3 yang terpengaruh tidak tersedia. Objek diubah namanya, dipindahkan, atau dihapus, atau isinya berubah setelah Macie membuat temuan. Atau objek dienkripsi dengan AWS KMS key yang tidak tersedia. Misalnya, kunci dinonaktifkan, dijadwalkan untuk dihapus, atau dihapus.

    • Hasil tidak ditandatangani - Hasil penemuan data sensitif terkait disimpan dalam objek S3 yang belum ditandatangani. Macie tidak dapat memverifikasi integritas dan keaslian hasil penemuan data sensitif. Oleh karena itu, Macie tidak dapat memverifikasi lokasi data sensitif untuk diambil.

    • Peran terlalu permisif — Akun Anda dikonfigurasi untuk mengambil kemunculan data sensitif dengan menggunakan peran IAM yang kebijakan kepercayaan atau izinnya tidak memenuhi persyaratan Macie untuk membatasi akses ke peran. Macie tidak dapat mengambil peran untuk mengambil data sensitif.

    • Jenis objek yang tidak didukung - Objek S3 yang terpengaruh menggunakan format file atau penyimpanan yang tidak didukung Macie untuk mengambil dan mengungkapkan sampel data sensitif. Tipe MIME dari objek S3 yang terpengaruh bukanlah salah satu nilai dalam daftar sebelumnya.

    Jika ada masalah dengan hasil penemuan data sensitif untuk temuan tersebut, informasi di bidang lokasi hasil terperinci dari temuan dapat membantu Anda menyelidiki masalah tersebut. Bidang ini menentukan jalur asli ke hasil di Amazon S3. Untuk menyelidiki masalah dengan peran IAM, pastikan bahwa kebijakan peran memenuhi semua persyaratan bagi Macie untuk mengambil peran tersebut. Untuk detail ini, lihatMengkonfigurasi peran IAM untuk mengakses objek S3 yang terpengaruh.

API

Untuk menentukan secara terprogram apakah sampel data sensitif tersedia untuk temuan, gunakan GetSensitiveDataOccurrencesAvailabilitypengoperasian Amazon Macie API. Saat Anda mengirimkan permintaan Anda, gunakan findingId parameter untuk menentukan pengenal unik untuk temuan tersebut. Untuk mendapatkan pengenal ini, Anda dapat menggunakan ListFindingsoperasi ini.

Jika Anda menggunakan AWS Command Line Interface (AWS CLI), jalankan perintah get-sensitive-data-occurrences-availability dan gunakan finding-id parameter untuk menentukan identifier unik untuk temuan. Untuk mendapatkan pengenal ini, Anda dapat menjalankan perintah daftar-temuan.

Jika permintaan Anda berhasil dan sampel tersedia untuk temuan, Anda menerima output yang mirip dengan berikut ini:

{
    "code": "AVAILABLE",
    "reasons": []
}

Jika permintaan Anda berhasil dan sampel tidak tersedia untuk temuan, nilai untuk code bidang adalah UNAVAILABLE dan reasons array menentukan alasannya. Sebagai contoh:

{
    "code": "UNAVAILABLE",
    "reasons": [
        "UNSUPPORTED_OBJECT_TYPE"
    ]
}

Jika ada masalah dengan hasil penemuan data sensitif untuk temuan tersebut, informasi di classificationDetails.detailedResultsLocation bidang temuan dapat membantu Anda menyelidiki masalah tersebut. Bidang ini menentukan jalur asli ke hasil di Amazon S3. Untuk menyelidiki masalah dengan peran IAM, pastikan bahwa kebijakan peran memenuhi semua persyaratan bagi Macie untuk mengambil peran tersebut. Untuk detail ini, lihatMengkonfigurasi peran IAM untuk mengakses objek S3 yang terpengaruh.

Mengambil sampel data sensitif untuk temuan

Untuk mengambil dan mengungkapkan sampel data sensitif untuk temuan, Anda dapat menggunakan konsol Amazon Macie atau Amazon Macie API.

Console

Ikuti langkah-langkah berikut untuk mengambil dan mengungkapkan sampel data sensitif untuk temuan menggunakan konsol Amazon Macie.

Untuk mengambil dan mengungkapkan sampel data sensitif untuk temuan

  1. Buka konsol Amazon Macie di. https://console.aws.amazon.com/macie/

  2. Di panel navigasi, pilih Temuan.

  3. Pada halaman Temuan, pilih temuan. Panel detail menampilkan informasi untuk temuan.

  4. Di panel detail, gulir ke bagian Data sensitif. Kemudian, di bidang Reveal samples, pilih Review:

    Bidang Reveal samples di panel rincian temuan. Kolom berisi tautan berlabel Tinjauan.
    catatan

    Jika tautan Tinjauan tidak muncul di bidang Reveal samples, sampel data sensitif tidak tersedia untuk temuan tersebut. Untuk menentukan mengapa hal ini terjadi, lihat topik sebelumnya.

    Setelah Anda memilih Ulasan, Macie menampilkan halaman yang merangkum detail kunci dari temuan tersebut. Detailnya mencakup kategori, jenis, dan jumlah kemunculan data sensitif yang ditemukan Macie di objek S3 yang terpengaruh.

  5. Di bagian Data sensitif halaman, pilih Ungkapkan sampel. Macie kemudian mengambil dan mengungkapkan sampel dari 1-10 kejadian pertama dari data sensitif yang dilaporkan oleh temuan tersebut. Setiap sampel berisi 1-128 karakter pertama dari kejadian data sensitif. Diperlukan beberapa menit untuk mengambil dan mengungkapkan sampel.

    Jika temuan melaporkan beberapa jenis data sensitif, Macie mengambil dan mengungkapkan sampel hingga 100 jenis. Misalnya, gambar berikut menunjukkan sampel yang mencakup beberapa kategori dan jenis data sensitif—AWS kredensil, nomor telepon AS, dan nama orang.

    Tabel sampel. Ini mencantumkan sembilan sampel dan kategori dan jenis data sensitif setiap sampel.

    Sampel diatur pertama berdasarkan kategori data sensitif, dan kemudian oleh tipe data sensitif.

API

Untuk mengambil dan mengungkapkan sampel data sensitif untuk temuan secara terprogram, gunakan GetSensitiveDataOccurrencespengoperasian Amazon Macie API. Saat Anda mengirimkan permintaan Anda, gunakan findingId parameter untuk menentukan pengenal unik untuk temuan tersebut. Untuk mendapatkan pengenal ini, Anda dapat menggunakan ListFindingsoperasi ini.

Untuk mengambil dan mengungkapkan sampel data sensitif dengan menggunakan AWS Command Line Interface (AWS CLI), jalankan get-sensitive-data-occurrencesperintah dan gunakan finding-id parameter untuk menentukan pengidentifikasi unik untuk temuan. Sebagai contoh:

C:\> aws macie2 get-sensitive-data-occurrences --finding-id "1f1c2d74db5d8caa76859ec52example"

Di 1f1c2d74db5d8caa76859ec52example mana pengenal unik untuk temuan tersebut. Untuk mendapatkan pengenal ini dengan menggunakan AWS CLI, Anda dapat menjalankan perintah daftar-temuan.

Jika permintaan Anda berhasil, Macie mulai memproses permintaan Anda dan Anda menerima output yang serupa dengan berikut ini:

{
    "status": "PROCESSING"
}

Diperlukan beberapa menit untuk memproses permintaan Anda. Dalam beberapa menit, kirimkan permintaan Anda lagi.

Jika Macie dapat menemukan, mengambil, dan mengenkripsi sampel data sensitif, Macie mengembalikan sampel dalam peta. sensitiveDataOccurrences Peta menentukan 1-100 jenis data sensitif yang dilaporkan oleh temuan dan 1-10 sampel untuk setiap jenis. Setiap sampel berisi 1-128 karakter pertama dari kejadian data sensitif yang dilaporkan oleh temuan tersebut.

Di peta, setiap kunci adalah ID pengidentifikasi data terkelola yang mendeteksi data sensitif, atau nama dan pengidentifikasi unik untuk pengidentifikasi data khusus yang mendeteksi data sensitif. Nilai adalah sampel untuk pengenal data terkelola tertentu atau pengidentifikasi data kustom. Misalnya, respons berikut menyediakan tiga sampel nama orang dan dua sampel kunci akses AWS rahasia yang terdeteksi oleh pengidentifikasi data terkelola (NAMEdanAWS_CREDENTIALS, masing-masing).

{
    "sensitiveDataOccurrences": {
        "NAME": [
            {
                "value": "Akua Mansa"
            },
            {
                "value": "John Doe"
            },
            {
                "value": "Martha Rivera"
            }
        ],
        "AWS_CREDENTIALS": [
            {
                "value": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY"
            },
            {
                "value": "je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY"
            }
        ]
    },
    "status": "SUCCESS"
}

Jika permintaan Anda berhasil tetapi sampel data sensitif tidak tersedia untuk temuan, Anda menerima UnprocessableEntityException pesan yang menunjukkan mengapa sampel tidak tersedia. Sebagai contoh:

{
    "message": "An error occurred (UnprocessableEntityException) when calling the GetSensitiveDataOccurrences operation: OBJECT_UNAVAILABLE"
}

Dalam contoh sebelumnya, Macie berusaha mengambil sampel dari objek S3 yang terpengaruh tetapi objek tidak tersedia lagi. Isi objek berubah setelah Macie membuat temuan.

Jika permintaan Anda berhasil tetapi jenis kesalahan lain mencegah Macie mengambil dan mengungkapkan sampel data sensitif untuk temuan tersebut, Anda menerima output yang serupa dengan berikut ini:

{
    "error": "Macie can't retrieve the samples. You're not allowed to access the affected S3 object or the object is encrypted with a key that you're not allowed to use.",
    "status": "ERROR"
}

Nilai untuk status bidang adalah ERROR dan error bidang menjelaskan kesalahan yang terjadi. Informasi dalam topik sebelumnya dapat membantu Anda menyelidiki kesalahan.