Alla scoperta di dati sensibili con Macie - Amazon Macie

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Alla scoperta di dati sensibili con Macie

Con Amazon Macie, puoi automatizzare il rilevamento, la registrazione e il reporting di dati sensibili nel tuo patrimonio di dati Amazon Simple Storage Service (Amazon S3). Puoi farlo in due modi: configurando Macie per eseguire il rilevamento automatico dei dati sensibili e creando ed eseguendo processi di rilevamento di dati sensibili.

Il rilevamento automatico dei dati sensibili offre un'ampia visibilità su dove potrebbero risiedere i dati sensibili nel tuo patrimonio di dati Amazon S3. Con questa opzione, Macie valuta l'inventario dei bucket S3 su base giornaliera e utilizza tecniche di campionamento per identificare e selezionare oggetti S3 rappresentativi dai bucket. Macie recupera e analizza quindi gli oggetti selezionati, ispezionandoli alla ricerca di dati sensibili. Per ulteriori informazioni, consulta Esecuzione del rilevamento automatico di dati sensibili.

I lavori di rilevamento di dati sensibili forniscono un'analisi più approfondita e mirata. Con questa opzione, definisci l'ampiezza e la profondità dell'analisi: bucket S3 specifici che selezioni o bucket che soddisfano criteri specifici. Puoi anche affinare l'ambito dell'analisi scegliendo opzioni come criteri personalizzati che derivano dalle proprietà degli oggetti S3. Inoltre, è possibile configurare un job in modo che venga eseguito una sola volta per l'analisi e la valutazione su richiesta o su base ricorrente per l'analisi, la valutazione e il monitoraggio periodici. Per ulteriori informazioni, consulta Esecuzione di processi di rilevamento dei dati sensibili.

Con entrambe le opzioni, i processi di rilevamento automatico di dati sensibili o di rilevamento di dati sensibili, puoi configurare Macie per analizzare gli oggetti S3 utilizzando gli identificatori di dati gestiti che fornisce, identificatori di dati personalizzati definiti dall'utente o una combinazione dei due. Puoi anche ottimizzare l'analisi con gli elenchi consentiti. Quando si configurano le impostazioni per l'individuazione automatica di dati sensibili o un processo di rilevamento di dati sensibili, si specifica quale utilizzare:

  • Identificatori di dati gestiti: si tratta di criteri e tecniche integrati progettati per rilevare tipi specifici di dati sensibili. Ad esempio, possono rilevare numeri di carte di credito, chiavi di accesso AWS segrete e numeri di passaporto per determinati paesi e regioni. Sono in grado di rilevare un elenco ampio e crescente di tipi di dati sensibili per molti paesi e regioni. Ciò include diversi tipi di informazioni di identificazione personale (PII), informazioni finanziarie e dati sulle credenziali. Per ulteriori informazioni, consulta Utilizzo di identificatori di dati gestiti.

  • Identificatori di dati personalizzati: si tratta di criteri personalizzati definiti dall'utente per rilevare dati sensibili. Ogni identificatore di dati personalizzato specifica un'espressione regolare (regex) che definisce uno schema di testo da abbinare e, facoltativamente, sequenze di caratteri e una regola di prossimità che perfezionano i risultati. È possibile utilizzarli per rilevare dati sensibili che riflettono scenari particolari, proprietà intellettuale o dati proprietari, ad esempio dipendentiIDs, numeri di conto clienti o classificazioni interne dei dati. Per ulteriori informazioni, consulta Creazione di identificatori di dati personalizzati.

  • Elenchi consentiti: specificano il testo e i modelli di testo che vuoi che Macie ignori. È possibile utilizzarli per specificare eccezioni relative ai dati sensibili per scenari o ambienti particolari, ad esempio nomi o numeri di telefono pubblici dell'organizzazione o dati di esempio utilizzati dall'organizzazione per i test. Se Macie trova del testo che corrisponde a una voce o a uno schema in un elenco consentito, Macie non segnala tale occorrenza di testo. Questo è il caso anche se il testo corrisponde ai criteri di un identificatore di dati gestito o personalizzato. Per ulteriori informazioni, consulta Definizione delle eccezioni relative ai dati sensibili con gli elenchi consentiti.

Quando Macie analizza un oggetto S3, Macie recupera la versione più recente dell'oggetto da Amazon S3, quindi ispeziona il contenuto dell'oggetto alla ricerca di dati sensibili. Macie può analizzare un oggetto se è vero quanto segue:

  • L'oggetto utilizza un file o un formato di archiviazione supportato ed è archiviato in un bucket S3 generico utilizzando una classe di archiviazione supportata. Per ulteriori informazioni, consulta Classi e formati di archiviazione supportati.

  • Se l'oggetto è crittografato, viene crittografato con una chiave a cui Macie può accedere e che può usare. Per ulteriori informazioni, consulta Analisi di oggetti S3 crittografati.

  • Se l'oggetto è archiviato in un bucket con una politica restrittiva, la policy consente a Macie di accedere agli oggetti nel bucket. Per ulteriori informazioni, consulta Consentire a Macie di accedere a bucket e oggetti S3.

Per aiutarti a soddisfare e mantenere la conformità ai requisiti di sicurezza e privacy dei dati, Macie registra i dati sensibili che trova e le analisi che esegue: rilevamenti di dati sensibili e risultati di scoperta di dati sensibili. Un rilevamento di dati sensibili è un rapporto dettagliato sui dati sensibili che Macie ha trovato in un oggetto S3. Un risultato di rilevamento dei dati sensibili è un report che registra i dettagli relativi all'analisi di un oggetto. Ogni tipo di record aderisce a uno schema standardizzato, che può aiutarti a interrogarli, monitorarli ed elaborarli utilizzando altre applicazioni, servizi e sistemi, se necessario.

Suggerimento

Sebbene Macie sia ottimizzato per Amazon S3, puoi utilizzarlo per scoprire dati sensibili nelle risorse che attualmente memorizzi altrove. Puoi farlo spostando i dati su Amazon S3 in modo temporaneo o permanente. Ad esempio, esporta le istantanee di Amazon Relational Database Service o Amazon Aurora su Amazon S3 in formato Apache Parquet. Oppure esporta una tabella Amazon DynamoDB in Amazon S3. È quindi possibile creare un processo per analizzare i dati in Amazon S3.

Argomenti