Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Opzioni di ambito per i lavori di rilevamento di dati sensibili
Con i processi di rilevamento di dati sensibili, definisci l'ambito dell'analisi che Amazon Macie esegue per rilevare e segnalare dati sensibili nei bucket generici di Amazon Simple Storage Service (Amazon S3). Per aiutarti a farlo, Macie offre diverse opzioni specifiche per il lavoro che puoi scegliere quando crei e configuri un lavoro.
Opzioni di ambito
Bucket S3 o criteri relativi ai bucket
Quando crei un processo di rilevamento di dati sensibili, specifichi in quali bucket S3 vengono archiviati gli oggetti che desideri che Macie analizzi durante l'esecuzione del lavoro. Puoi farlo in due modi: selezionando bucket S3 specifici dall'inventario dei bucket o specificando criteri personalizzati che derivano dalle proprietà dei bucket S3.
- Seleziona bucket S3 specifici
-
Con questa opzione, selezioni esplicitamente ogni bucket S3 da analizzare. Quindi, quando il job viene eseguito, analizza gli oggetti solo nei bucket selezionati. Se si configura un processo per l'esecuzione periodica su base giornaliera, settimanale o mensile, il processo analizza gli oggetti contenuti negli stessi bucket ogni volta che viene eseguito.
Questa configurazione è utile nei casi in cui si desidera eseguire un'analisi mirata di un set specifico di dati. Ti offre un controllo preciso e prevedibile sui bucket analizzati da un job.
- Specificate i criteri del bucket S3
-
Con questa opzione, definisci i criteri di runtime che determinano quali bucket S3 analizzare. I criteri consistono in una o più condizioni che derivano dalle proprietà del bucket, come le impostazioni e i tag di accesso pubblico. Quando il processo viene eseguito, identifica i bucket che corrispondono ai criteri specificati e quindi analizza gli oggetti in tali bucket. Se si configura un processo per l'esecuzione periodica, il processo esegue questa operazione ogni volta che viene eseguito. Di conseguenza, il job potrebbe analizzare gli oggetti in diversi bucket ogni volta che viene eseguito, a seconda delle modifiche all'inventario dei bucket e dei criteri definiti.
Questa configurazione è utile nei casi in cui desideri che l'ambito dell'analisi si adatti dinamicamente alle modifiche all'inventario dei bucket. Se configuri un processo per utilizzare i criteri del bucket e lo esegui periodicamente, il processo identifica automaticamente i nuovi bucket che corrispondono ai criteri e ispeziona tali bucket per verificare la presenza di dati sensibili.
Gli argomenti di questa sezione forniscono dettagli aggiuntivi su ciascuna opzione.
Selezione di bucket S3 specifici
Se scegli di selezionare esplicitamente ogni bucket S3 che desideri venga analizzato da un job, Macie ti fornisce un inventario completo dei bucket per uso generico attualmente in uso. Regione AWS Puoi quindi rivedere il tuo inventario e selezionare i bucket che desideri. Se sei l'amministratore Macie di un'organizzazione, il tuo inventario include i bucket di proprietà dei tuoi account membro. Puoi selezionare fino a 1.000 di questi bucket, che coprono fino a 1.000 account.
Per aiutarti a selezionare i bucket, l'inventario fornisce dettagli e statistiche per ogni bucket. Ciò include la quantità di dati che un job può analizzare in ogni bucket: gli oggetti classificabili sono oggetti che utilizzano una classe di storage Amazon S3 supportata e hanno un'estensione del nome di file per un file o un formato di storage supportato. L'inventario indica anche se sono stati configurati lavori esistenti per analizzare gli oggetti in un bucket. Questi dettagli possono aiutarti a stimare l'ampiezza di un lavoro e a perfezionare le tue selezioni.
Nella tabella dell'inventario:
-
Sensibilità: specifica il punteggio di sensibilità corrente del bucket, se il rilevamento automatico dei dati sensibili è abilitato.
-
Oggetti classificabili: specifica il numero totale di oggetti che il job può analizzare nel bucket.
-
Dimensione classificabile: specifica la dimensione di archiviazione totale di tutti gli oggetti che il job può analizzare nel bucket.
Se il bucket memorizza oggetti compressi, questo valore non riflette la dimensione effettiva di tali oggetti dopo la loro decompressione. Se il controllo delle versioni è abilitato per il bucket, questo valore si basa sulla dimensione di archiviazione della versione più recente di ogni oggetto nel bucket.
-
Monitorato per processo: specifica se sono stati configurati lavori esistenti per analizzare periodicamente gli oggetti nel bucket su base giornaliera, settimanale o mensile.
Se il valore di questo campo è Sì, il bucket viene incluso in modo esplicito in un processo periodico oppure il bucket corrisponde ai criteri per un processo periodico nelle ultime 24 ore. Inoltre, lo stato di almeno uno di questi lavori non è Annullato. Macie aggiorna questi dati su base giornaliera.
-
Ultimo processo eseguito: se hai configurato un processo periodico o occasionale per analizzare gli oggetti nel bucket, questo campo specifica la data e l'ora più recenti in cui uno di questi lavori ha iniziato a essere eseguito. Altrimenti, in questo campo viene visualizzato un trattino (—).
Se l'icona delle informazioni ( ) appare accanto ai nomi dei bucket, ti consigliamo di recuperare i metadati dei bucket più recenti da Amazon S3. Per fare ciò, scegli refresh () sopra la tabella. L'icona delle informazioni indica che un bucket è stato creato nelle ultime 24 ore, probabilmente dopo l'ultima volta che Macie ha recuperato i metadati del bucket e dell'oggetto da Amazon S3 come parte del ciclo di aggiornamento giornaliero. Per ulteriori informazioni, consulta Aggiornamenti dei dati.
Se l'icona di avviso ( ) appare accanto al nome di un bucket, a Macie non è consentito accedere al bucket o agli oggetti del bucket. Ciò significa che il job non sarà in grado di analizzare gli oggetti nel bucket. Per esaminare il problema, consulta la policy e le impostazioni delle autorizzazioni del bucket in Amazon S3. Ad esempio, il bucket potrebbe avere una politica restrittiva. Per ulteriori informazioni, consulta Consentire a Macie di accedere a bucket e oggetti S3.
Per personalizzare la visualizzazione dell'inventario e trovare più facilmente i bucket specifici, puoi filtrare la tabella inserendo i criteri di filtro nella casella del filtro. La tabella seguente mostra alcuni esempi.
Per mostrare tutti i bucket che... | Applica questo filtro... |
---|---|
Sono di proprietà di un account specifico | ID account = the
12-digit ID for the account |
Sono accessibili al pubblico | Autorizzazione effettiva = Pubblica |
Non sono inclusi in nessun lavoro periodico | Monitorato attivamente dal lavoro = False |
Non sono inclusi in nessun lavoro periodico o occasionale | Definito in job = False |
Hai una chiave di tag specifica* | Chiave tag = the tag
key |
Hanno un valore di tag specifico* | Valore del tag = the tag
value |
Archivia oggetti non crittografati (o oggetti che utilizzano la crittografia lato client) | Il numero di oggetti mediante crittografia è Nessuna crittografia e Da = 1 |
* Le chiavi e i valori dei tag distinguono tra maiuscole e minuscole. Inoltre, è necessario specificare un valore completo e valido per questi campi in un filtro. Non è possibile specificare valori parziali o utilizzare caratteri jolly.
Per visualizzare dettagli aggiuntivi per un bucket, scegli il nome del bucket e consulta il pannello dei dettagli. Nel pannello puoi anche:
-
Orientati e approfondisci determinati campi scegliendo una lente d'ingrandimento per il campo. Scegli di mostrare i bucket con lo stesso valore o scegli di mostrare i bucket con altri valori.
-
Recupera i metadati più recenti per gli oggetti nel bucket. Questo può essere utile se hai creato di recente un bucket o hai apportato modifiche significative agli oggetti del bucket nelle ultime 24 ore. Per recuperare i dati, scegliete refresh ( ) nella sezione Statistiche degli oggetti del pannello. Questa opzione è disponibile per i bucket che memorizzano 30.000 o meno oggetti.
Specificazione dei criteri del bucket S3
Se scegli di specificare i criteri del bucket per un lavoro, Macie offre opzioni per definire e testare i criteri. Questi sono criteri di runtime che determinano quali bucket S3 memorizzano gli oggetti da analizzare. Ogni volta che il processo viene eseguito, Macie identifica i bucket generici che corrispondono ai criteri specificati, quindi analizza gli oggetti nei bucket appropriati. Se sei l'amministratore Macie di un'organizzazione, questo include i bucket di proprietà dei tuoi account membro.
Definizione dei criteri del bucket
I criteri del bucket sono costituiti da una o più condizioni che derivano dalle proprietà dei bucket S3. Ogni condizione, nota anche come criterio, è composta dalle seguenti parti:
-
Un campo basato su proprietà, ad esempio ID account o Autorizzazione effettiva.
-
Un operatore, uguale a (
eq
) o non uguale a ().neq
-
Uno o più valori.
-
Un'istruzione di inclusione o esclusione che indica se analizzare (includere) o ignorare (escludere) i bucket che corrispondono alla condizione.
Se specifichi più di un valore per un campo, Macie usa la logica OR per unire i valori. Se specifichi più di una condizione per i criteri, Macie utilizza la AND logica per unire le condizioni. Inoltre, le condizioni di esclusione hanno la precedenza sulle condizioni di inclusione. Ad esempio, se includi bucket accessibili pubblicamente ed escludi bucket con tag specifici, il job analizza gli oggetti in qualsiasi bucket accessibile pubblicamente a meno che il bucket non abbia uno dei tag specificati.
Puoi definire condizioni che derivano da uno qualsiasi dei seguenti campi basati sulle proprietà per i bucket S3.
- ID account
-
L'identificatore univoco (ID) di chi possiede un bucket. Account AWS Per specificare più valori per questo campo, inserisci l'ID di ogni account e separa ogni voce con una virgola.
Nota che Macie non supporta l'uso di caratteri jolly o valori parziali per questo campo.
- Nome bucket
-
Il nome di un bucket. Questo campo è correlato al campo Name, non al campo Amazon Resource Name (ARN), in Amazon S3. Per specificare più valori per questo campo, inserisci il nome di ogni bucket e separa ogni voce con una virgola.
Nota che i valori distinguono tra maiuscole e minuscole. Inoltre, Macie non supporta l'uso di caratteri jolly o valori parziali per questo campo.
- Autorizzazione effettiva
-
Speciifica se un bucket è accessibile pubblicamente. È possibile scegliere uno o più dei seguenti valori per questo campo:
-
Non pubblico: il pubblico in generale non dispone dell'accesso in lettura o scrittura al bucket.
-
Pubblico: il pubblico in generale ha accesso in lettura o scrittura al bucket.
-
Sconosciuto: Macie non è stata in grado di valutare le impostazioni di accesso pubblico per il bucket.
Per determinare se un bucket è accessibile pubblicamente, Macie analizza una combinazione di impostazioni a livello di account e bucket per il bucket: le impostazioni di blocco dell'accesso pubblico per l'account, le impostazioni di blocco dell'accesso pubblico per il bucket, la politica del bucket per il bucket e la lista di controllo degli accessi () per il bucket. ACL
-
- Accesso condiviso
-
Speciifica se un bucket è condiviso con un altro Account AWS, un'identità di accesso di CloudFront origine Amazon (OAI) o un controllo di accesso di CloudFront origine (OAC). Puoi scegliere uno o più dei seguenti valori per questo campo:
-
Esterno: il bucket è condiviso con uno o più dei seguenti elementi o con una combinazione di: a CloudFront OAI, a o un account esterno all'organizzazione (che non fa parte della). CloudFront OAC
-
Interno: il bucket viene condiviso con uno o più account interni (che fanno parte della) organizzazione. Non è condiviso con un CloudFront OAI oOAC.
-
Non condiviso: il bucket non è condiviso con un altro account CloudFront OAI, a o a CloudFront OAC.
-
Sconosciuto: Macie non è stata in grado di valutare le impostazioni di accesso condiviso per il bucket.
Per determinare se un bucket è condiviso con un altro Account AWS, Macie analizza la policy del bucket e per il bucket. ACL Inoltre, un'organizzazione è definita come un insieme di account Macie gestiti centralmente come gruppo di account correlati tramite o su invito di Macie. AWS Organizations Per informazioni sulle opzioni di Amazon S3 per la condivisione dei bucket, consulta Gestione degli accessi nella Guida per l'utente di Amazon Simple Storage Service.
Per determinare se un bucket è condiviso con un CloudFront OAI oOAC, Macie analizza la policy relativa al bucket. A CloudFront OAI or OAC consente agli utenti di accedere agli oggetti di un bucket tramite una o più distribuzioni specificate. CloudFront Per informazioni su CloudFront OAIs eOACs, consulta la sezione Restrizione dell'accesso a un'origine Amazon S3 nella CloudFront Amazon Developer Guide.
-
- Tag
-
I tag associati a un bucket. I tag sono etichette che è possibile definire e assegnare a determinati tipi di AWS risorse, inclusi i bucket S3. Ogni tag è composto da una chiave di tag obbligatoria e da un valore di tag opzionale. Per informazioni sull'etichettatura dei bucket S3, consulta Using cost allocation S3 bucket tag nella Amazon Simple Storage Service User Guide.
Per un processo di rilevamento di dati sensibili, puoi utilizzare questo tipo di condizione per includere o escludere bucket che hanno una chiave di tag specifica, un valore di tag specifico o una chiave di tag e un valore di tag specifici (in coppia). Per esempio:
-
Se si specifica
Project
come chiave di tag e non si specifica alcun valore di tag per una condizione, qualsiasi bucket con la chiave di tag Project soddisfa i criteri della condizione, indipendentemente dai valori di tag associati a quella chiave di tag. -
Se specificate
Development
eTest
come valori di tag e non specificate alcuna chiave di tag per una condizione, qualsiasi bucket con il valore delTest
tagDevelopment
o corrisponde ai criteri della condizione, indipendentemente dalle chiavi di tag associate a tali valori di tag.
Per specificare più chiavi di tag in una condizione, inserisci ogni chiave di tag nel campo Chiave e separa ogni voce con una virgola. Per specificare più valori di tag in una condizione, inserisci ogni valore di tag nel campo Valore e separa ogni voce con una virgola.
Nota che le chiavi e i valori dei tag fanno distinzione tra maiuscole e minuscole. Inoltre, Macie non supporta l'uso di caratteri jolly o valori parziali nelle condizioni dei tag.
-
Test dei criteri del bucket
Mentre definisci i criteri del bucket, puoi testare e perfezionare i criteri visualizzando in anteprima i risultati. A tale scopo, espandi la sezione Visualizza l'anteprima dei risultati dei criteri che appare sotto i criteri sulla console. Questa sezione mostra una tabella di bucket S3 per uso generico che attualmente soddisfano i criteri.
La tabella fornisce anche informazioni sulla quantità di dati che il job può analizzare in ogni bucket: gli oggetti classificabili sono oggetti che utilizzano una classe di storage Amazon S3 supportata e hanno un'estensione del nome di file per un file o un formato di storage supportato. La tabella indica anche se sono stati configurati lavori esistenti per analizzare periodicamente gli oggetti in un bucket.
Nella tabella:
-
Sensibilità: specifica il punteggio di sensibilità corrente del bucket, se il rilevamento automatico dei dati sensibili è abilitato.
-
Oggetti classificabili: specifica il numero totale di oggetti che il job può analizzare nel bucket.
-
Dimensione classificabile: specifica la dimensione di archiviazione totale di tutti gli oggetti che il job può analizzare nel bucket.
Se il bucket memorizza oggetti compressi, questo valore non riflette la dimensione effettiva di tali oggetti dopo la loro decompressione. Se il controllo delle versioni è abilitato per il bucket, questo valore si basa sulla dimensione di archiviazione della versione più recente di ogni oggetto nel bucket.
-
Monitorato per processo: specifica se sono stati configurati lavori esistenti per analizzare periodicamente gli oggetti nel bucket su base giornaliera, settimanale o mensile.
Se il valore di questo campo è Sì, il bucket viene incluso in modo esplicito in un processo periodico oppure il bucket corrisponde ai criteri per un processo periodico nelle ultime 24 ore. Inoltre, lo stato di almeno uno di questi lavori non è Annullato. Macie aggiorna questi dati su base giornaliera.
Se l'icona di avviso ( ) appare accanto al nome di un bucket, a Macie non è consentito accedere al bucket o agli oggetti del bucket. Ciò significa che il job non sarà in grado di analizzare gli oggetti nel bucket. Per esaminare il problema, consulta la policy e le impostazioni delle autorizzazioni del bucket in Amazon S3. Ad esempio, il bucket potrebbe avere una politica restrittiva. Per ulteriori informazioni, consulta Consentire a Macie di accedere a bucket e oggetti S3.
Per rifinire i criteri del bucket per il job, utilizza le opzioni di filtro per aggiungere, modificare o rimuovere condizioni dai criteri. Macie aggiorna quindi la tabella in base alle modifiche apportate.
Profondità di campionamento
Con questa opzione, specifichi la percentuale di oggetti S3 idonei che desideri che venga analizzato da un processo di rilevamento di dati sensibili. Gli oggetti idonei sono oggetti che: utilizzano una classe di storage Amazon S3 supportata, hanno un'estensione del nome di file per un file o un formato di storage supportato e soddisfano altri criteri specificati per il processo.
Se questo valore è inferiore al 100%, Macie seleziona gli oggetti idonei da analizzare a caso, fino alla percentuale specificata, e analizza tutti i dati in tali oggetti. Ad esempio, se si configura un lavoro per analizzare 10.000 oggetti e si specifica una profondità di campionamento del 20%, Macie analizza circa 2.000 oggetti idonei selezionati casualmente durante l'esecuzione del lavoro.
La riduzione della profondità di campionamento di un lavoro può ridurre i costi e ridurre la durata di un lavoro. È utile nei casi in cui i dati negli oggetti sono estremamente coerenti e si desidera determinare se un bucket S3, anziché ogni oggetto, memorizza dati sensibili.
Nota che questa opzione controlla la percentuale di oggetti che vengono analizzati, non la percentuale di byte che vengono analizzati. Se inserisci una profondità di campionamento inferiore al 100%, Macie analizza tutti i dati in ogni oggetto selezionato, non la percentuale dei dati in ogni oggetto selezionato.
Esecuzione iniziale: include gli oggetti S3 esistenti
È possibile utilizzare processi di rilevamento di dati sensibili per eseguire analisi continue e incrementali degli oggetti nei bucket S3. Se configuri un processo per l'esecuzione periodica, Macie esegue questa operazione automaticamente: ogni esecuzione analizza solo gli oggetti che sono stati creati o modificati dopo l'esecuzione precedente. Con l'opzione Includi oggetti esistenti, scegli il punto di partenza per il primo incremento:
-
Per analizzare tutti gli oggetti esistenti subito dopo aver terminato la creazione del lavoro, selezionate la casella di controllo relativa a questa opzione.
-
Per attendere e analizzare solo gli oggetti che vengono creati o modificati dopo la creazione del lavoro e prima della prima esecuzione, deselezionate la casella di controllo relativa a questa opzione.
La deselezione di questa casella di controllo è utile nei casi in cui i dati sono già stati analizzati e si desidera continuare ad analizzarli periodicamente. Ad esempio, se in precedenza hai utilizzato un altro servizio o un'applicazione per classificare i dati e hai recentemente iniziato a utilizzare Macie, puoi utilizzare questa opzione per garantire la continua scoperta e classificazione dei dati senza incorrere in costi inutili o duplicare i dati di classificazione.
Ogni esecuzione successiva di un processo periodico analizza automaticamente solo gli oggetti che vengono creati o modificati dopo l'esecuzione precedente.
Sia per i lavori periodici che per quelli occasionali, è inoltre possibile configurare un lavoro per analizzare solo gli oggetti che vengono creati o modificati prima o dopo un determinato periodo o durante un determinato intervallo di tempo. A tale scopo, aggiungete criteri relativi agli oggetti che utilizzano la data dell'ultima modifica per gli oggetti.
Criteri relativi agli oggetti S3
Per ottimizzare l'ambito di un processo di rilevamento di dati sensibili, puoi definire criteri personalizzati per gli oggetti S3. Macie utilizza questi criteri per determinare quali oggetti analizzare (includere) o ignorare (escludere) durante l'esecuzione del lavoro. I criteri consistono in una o più condizioni che derivano dalle proprietà degli oggetti S3. Le condizioni si applicano agli oggetti in tutti i bucket S3 inclusi nell'analisi. Se un bucket memorizza più versioni di un oggetto, le condizioni si applicano alla versione più recente dell'oggetto.
Se definisci più condizioni come criteri dell'oggetto, Macie usa AND la logica per unire le condizioni. Inoltre, le condizioni di esclusione hanno la precedenza sulle condizioni di inclusione. Ad esempio, se si includono oggetti con estensione pdf ed si escludono oggetti di dimensioni superiori a 5 MB, il job analizza qualsiasi oggetto con estensione pdf, a meno che l'oggetto non sia più grande di 5 MB.
È possibile definire condizioni che derivano da una qualsiasi delle seguenti proprietà degli oggetti S3.
- Estensione del nome del file
-
Ciò è correlato all'estensione del nome di file di un oggetto S3. È possibile utilizzare questo tipo di condizione per includere o escludere oggetti in base al tipo di file. Per eseguire questa operazione per più tipi di file, inserisci l'estensione del nome di file per ogni tipo e separa ogni voce con una virgola, ad esempio:.
docx,pdf,xlsx
Se inserisci più estensioni di nomi di file come valori per una condizione, Macie usa la logica OR per unire i valori.Nota che i valori distinguono tra maiuscole e minuscole. Inoltre, Macie non supporta l'uso di valori parziali o caratteri jolly in questo tipo di condizione.
Per informazioni sui tipi di file che Macie può analizzare, consulta. Formati di file e di archiviazione supportati
- Ultima modifica
-
Ciò è correlato al campo Ultima modifica in Amazon S3. In Amazon S3, questo campo memorizza la data e l'ora in cui un oggetto S3 è stato creato o modificato l'ultima volta, a seconda di quale sia l'ultima.
Per un processo di rilevamento di dati sensibili, questa condizione può essere una data specifica, una data e un'ora specifiche o un intervallo di tempo esclusivo:
-
Per analizzare gli oggetti che sono stati modificati l'ultima volta dopo una certa data o data e ora, inserisci i valori nei campi Da.
-
Per analizzare gli oggetti che sono stati modificati l'ultima volta prima di una certa data o data e ora, inserite i valori nei campi To.
-
Per analizzare gli oggetti che sono stati modificati l'ultima volta in un determinato intervallo di tempo, utilizzate i campi Da per inserire i valori per la prima data o data e ora nell'intervallo di tempo. Utilizzate i campi To per inserire i valori per l'ultima data o data e ora nell'intervallo di tempo.
-
Per analizzare gli oggetti che sono stati modificati l'ultima volta in qualsiasi momento durante un determinato giorno, inserisci la data nel campo Data di inizio. Inserisci la data del giorno successivo nel campo Fino alla data. Quindi verifica che entrambi i campi relativi all'ora siano vuoti. (Macie considera un campo orario vuoto come
00:00:00
.) Ad esempio, per analizzare gli oggetti che sono stati modificati il 9 agosto 2023, immettete2023/08/09
nel campo Data di inizio, immettete2023/08/10
nel campo Alla data e non immettete un valore in nessuno dei campi relativi all'ora.
Immettete qualsiasi valore temporale in Coordinated Universal Time (UTC) e utilizzate la notazione a 24 ore.
-
- Prefisso
-
Ciò è correlato al campo Key in Amazon S3. In Amazon S3, questo campo memorizza il nome di un oggetto S3, incluso il prefisso dell'oggetto. Un prefisso è simile a un percorso di directory all'interno di un bucket. Consente di raggruppare oggetti simili in un bucket, proprio come si potrebbero archiviare file simili in una cartella su un file system. Per informazioni sui prefissi e sulle cartelle degli oggetti in Amazon S3, consulta Organization objects in the Amazon S3 using folders nella Amazon Simple Storage Service User Guide.
Puoi utilizzare questo tipo di condizione per includere o escludere oggetti le cui chiavi (nomi) iniziano con un determinato valore. Ad esempio, per escludere tutti gli oggetti la cui chiave inizia con AWSLogs, immettete
AWSLogs
come valore una condizione Prefix, quindi scegliete Escludi.Se inserisci più prefissi come valori per una condizione, Macie usa la logica OR per unire i valori. Ad esempio, se inserite
AWSLogs1
eAWSLogs2
come valori per una condizione, qualsiasi oggetto la cui chiave inizia con AWSLogs1o AWSLogs2corrisponde ai criteri della condizione.Quando inserite un valore per una condizione Prefix, tenete presente quanto segue:
-
I valori distinguono tra maiuscole e minuscole
-
Macie non supporta l'uso di caratteri jolly in questi valori.
-
In Amazon S3, la chiave di un oggetto non include il nome del bucket che memorizza l'oggetto. Per questo motivo, non specificare i nomi dei bucket in questi valori.
-
Se un prefisso include un delimitatore, includete il delimitatore nel valore. Ad esempio, immettete per definire una condizione
AWSLogs/eventlogs
per tutti gli oggetti la cui chiave inizia con /eventlogs. AWSLogs Macie supporta il delimitatore predefinito di Amazon S3, che è una barra (/), e i delimitatori personalizzati.
Tieni inoltre presente che un oggetto soddisfa i criteri di una condizione solo se la chiave dell'oggetto corrisponde esattamente al valore immesso, a partire dal primo carattere nella chiave dell'oggetto. Inoltre, Macie applica una condizione al valore Key completo di un oggetto, incluso il nome del file dell'oggetto.
Ad esempio, se la chiave di un oggetto è AWSLogs/eventlogs/testlog.csv e si inserisce uno dei seguenti valori per una condizione, l'oggetto soddisfa i criteri della condizione:
-
AWSLogs
-
AWSLogs/event
-
AWSLogs/eventlogs/
-
AWSLogs/eventlogs/testlog
-
AWSLogs/eventlogs/testlog.csv
Tuttavia, se lo inserite
eventlogs
, l'oggetto non corrisponde ai criteri: il valore della condizione non include la prima parte della chiave,/. AWSLogs Analogamente, se si immetteawslogs
, l'oggetto non corrisponde ai criteri a causa delle differenze nelle lettere maiuscole. -
- Dimensioni dello spazio di archiviazione
-
Ciò è correlato al campo Dimensione in Amazon S3. In Amazon S3, questo campo indica la dimensione totale di storage di un oggetto S3. Se un oggetto è un file compresso, questo valore non riflette la dimensione effettiva del file dopo la decompressione.
È possibile utilizzare questo tipo di condizione per includere o escludere oggetti più piccoli di una certa dimensione, più grandi di una certa dimensione o che rientrano in un determinato intervallo di dimensioni. Macie applica questo tipo di condizione a tutti i tipi di oggetti, compresi i file compressi o di archivio e i file in essi contenuti. Per informazioni sulle restrizioni basate sulle dimensioni per ogni formato supportato, consulta. Quote per Macie
- Tag
-
I tag associati a un oggetto S3. I tag sono etichette che è possibile definire e assegnare a determinati tipi di AWS risorse, inclusi gli oggetti S3. Ogni tag è composto da una chiave di tag obbligatoria e da un valore di tag opzionale. Per informazioni sull'etichettatura degli oggetti S3, consulta Categorizzazione dello storage mediante tag nella Guida per l'utente di Amazon Simple Storage Service.
Per un processo di rilevamento di dati sensibili, puoi utilizzare questo tipo di condizione per includere o escludere oggetti con un tag specifico. Può trattarsi di una chiave di tag specifica o di una chiave di tag e di un valore di tag specifici (in coppia). Se specifichi più tag come valori per una condizione, Macie usa la logica OR per unire i valori. Ad esempio, se specificate
Project1
e utilizzateProject2
come chiavi di tag per una condizione, qualsiasi oggetto che ha la chiave di tag Project1 o Project2 soddisfa i criteri della condizione.Nota che le chiavi e i valori dei tag fanno distinzione tra maiuscole e minuscole. Inoltre, Macie non supporta l'uso di valori parziali o caratteri jolly in questo tipo di condizione.