创建允许列表 - Amazon Macie

创建允许列表

在 Amazon Macie 中,允许列表定义了 Macie 在检查 Amazon Simple Storage Service (Amazon S3) 对象时是否存在敏感数据时要忽略的特定文本或文本模式。如果文本与允许列表中的条目或模式匹配,则 Macie 不会在敏感数据调查发现、统计或其他类型的结果中报告该文本。即使文本符合托管数据标识符自定义数据标识符的标准,情况也是如此。

您可通过 Macie 创建以下类型的允许列表。

预定义的文本

使用这种类型的列表来指定单词、短语和其他类型的字符序列,它们不敏感,不太可能改变,也不一定遵循通用模式。例如,您的组织公共代表的姓名、具体的电话号码以及您的组织用于测试的具体样本数据。如果您使用此类列表,Macie 会忽略与列表中的条目完全匹配的文本。

对于这种类型的列表,您可以创建一个以行分隔的纯文本文件,其中列出了要忽略的指定文本。然后,将文件存储在一个 S3 存储桶并配置 Macie 的设置以访问桶中的列表。然后,您可以创建和配置敏感数据发现作业以使用该列表,或将该列表添加到自动敏感数据发现的设置中。当每项作业开始运行或下一个自动发现分析周期开始时,Macie 会从 Amazon S3 中检索最新版本列表。然后,Macie 在检查 S3 对象中是否有敏感数据时,使用该版本列表。如果 Macie 发现与列表中的条目完全匹配的文本,Macie 不会将所示文本报告为敏感数据。

正则表达式

使用这种类型的列表(正则表达式),指定一个正则表达式来定义要忽略的文本模式。示例包括贵组织的公共电话号码、组织域的电子邮件地址,以及组织用于测试的模式化示例数据。如果您使用这种类型的列表,Macie 会忽略与列表定义的正则表达式完全匹配的文本。

对于此类列表,您可以创建正则表达式,该正则表达式定义不敏感、但有所变化或可能发生变化的文本。与包含预定义文本的列表不同,您可以创建并将正则表达式和所有其他列表设置存储在 Macie 中。然后,您可以创建和配置敏感数据发现作业以使用该列表,或将该列表添加到自动敏感数据发现的设置中。当运行此作业或 Macie 执行自动发现时,Macie 会使用最新版本的列表正则表达式分析数据。如果 Macie 发现与列表定义模式完全匹配的文本,Macie 不会将所示文本报告为敏感数据。

有关每种类型的详细要求、建议和示例,请参阅 允许列表的配置选项和要求

在每个支持的 AWS 区域 中可创建最多 10 条允许列表、最多五条指定预定义文本的允许列表、最多五条指定正则表达式的允许列表。您可以在除亚太地区(大阪)区域以外 Macie 当前可用的所有 AWS 区域 中创建和使用允许列表。

若要创建允许列表

如何创建允许列表取决于您想要创建的列表类型:列出要忽略的预定义文本的文件,或者定义要忽略的文本模式的正则表达式。以下部分提供了每个类型的说明。选择您想要创建的列表类型部分。

在 Macie 中创建此类允许列表前,请执行以下操作:

  1. 使用文本编辑器创建以行分隔的纯文本文件,其中列出了要忽略的特定文本,例如 .txt、.text 或 .plain 文件。有关更多信息,请参阅 语法要求

  2. 将文件上传至 S3 通用存储桶并记下存储桶和对象的名称。在 Macie 中配置设置时,需要输入此名称。

  3. 确保 S3 存储桶和对象的设置允许您和 Macie 从存储桶检索列表。有关更多信息,请参阅 存储需求

  4. 如果对 S3 对象进行了加密,还要确保使用允许您和 Macie 使用的密钥对其进行加密。有关更多信息,请参阅 加密/解密要求

完成这些任务后,就可以在 Macie 中配置列表设置了。您可通过 Amazon Macie 控制台或 Amazon Macie API 配置设置。

Console

按照以下步骤,使用 Amazon Macie 控制台配置允许列表设置。

若要在 Macie 中配置允许列表设置

  1. 通过以下网址打开 Amazon Macie 控制台:https://console.aws.amazon.com/macie/

  2. 在导航窗格中的 设置 下,选择 允许列表

  3. 允许列表页面,选择 创建

  4. 选择列表类型 下,选择 预定义文本

  5. 列表设置 下,使用以下选项,输入允许列表的其他设置:

    • 对于 名称,输入列表名称。名称可以包含多达 128 个字符。

    • 对于 描述,选择性地输入列表的简要描述。描述可包含多达 512 个字符。

    • S3 存储桶名称中,输入存储列表的存储桶的名称。

      在 Amazon S3 中,您可在存储桶属性的名称字段中找到此值。此值区分大小写。此外,输入名称时不要使用通配符或部分值。

    • S3 对象名称中,输入存储列表的 S3 对象的名称。

      在 Amazon S3 中,您可在对象属性的密钥字段中找到此值。如果名称包含路径,请确保在输入名称时包含完整路径,例如allowlists/macie/mylist.txt。此值区分大小写。此外,输入名称时不要使用通配符或部分值。

  6. (可选)在 标签下,选择 添加标记,然后最多可输入 50 个可分配至允许列表的标签。

    标签是您定义并分配给某些类型的 AWS 资源的标记。每个标签都包含一个必需的标签键和一个可选的标签值。标签可以帮助您以不同的方式识别、分类和管理资源,例如,按用途、所有者、环境或其他标准。要了解更多信息,请参阅 为 Macie 资源添加标签

  7. 完成后,选择 Create(创建)

Macie 正在测试列表设置。Macie 还会验证它是否可从 Amazon S3 中检索列表和解析列表内容。如果出现了错误,Macie 则显示一条说明错误的消息。有关错误故障排除的详细信息,请参阅 预定义文本列表的选项与要求。解决任何错误后,您可以保存列表设置。

API

要以编程方式配置允许列表设置,请使用 Amazon Macie API 的 CreateAllowList 操作,并为所需参数指定相应值。

对于 criteria 参数,使用 s3WordsList 对象指定 S3 存储桶 (bucketName) 的名称和存储列表的 S3 对象 (objectKey) 的名称。若要确定存储桶名称,请参阅 Amazon S3 中的 Name 字段。若要确定对象名称,请参阅 Amazon S3 中的 Key 字段。注意,这些值区分大小写。此外,指定这些名称时不要使用通配符或部分值。

若要使用AWS CLI配置设置,请运行create-allow-list命令,并为所需参数指定相应的值。以下示例介绍了如何为存储于 S3 存储桶内的、名为 amzn-s3-demo-bucket 的允许列表配置设置。存储列表的 S3 对象名称是 allowlists/macie/mylist.txt

此示例针对 Linux、macOS 或 Unix 进行格式化,并使用反斜杠 (\) 行继续符来提高可读性。

$ aws macie2 create-allow-list \
--criteria '{"s3WordsList":{"bucketName":"amzn-s3-demo-bucket","objectKey":"allowlists/macie/mylist.txt"}}' \
--name my_allow_list \
--description "Lists public phone numbers and names for Example Corp."

此示例针对 Microsoft Windows 进行格式化,并使用脱字号 (^) 行继续符来提高可读性。

C:\> aws macie2 create-allow-list ^
--criteria={\"s3WordsList\":{\"bucketName\":\"amzn-s3-demo-bucket\",\"objectKey\":\"allowlists/macie/mylist.txt\"}} ^
--name my_allow_list ^
--description "Lists public phone numbers and names for Example Corp."

当您提交请求时,Macie 会测试列表设置。Macie 还会验证它是否可从 Amazon S3 中检索列表和解析列表内容。如果发生错误,您的请求将会失败,Macie 会返回一条描述错误的消息。有关错误故障排除的详细信息,请参阅 预定义文本列表的选项与要求

如果 Macie 能够检索并解析列表,则您的请求成功,并且您将收到与以下类似的输入内容。

{
    "arn": "arn:aws:macie2:us-west-2:123456789012:allow-list/nkr81bmtu2542yyexample",
    "id": "nkr81bmtu2542yyexample"
}

arn 是所创建允许列表的 Amazon 资源名称(ARN),id是此列表的唯一标识符。

保存列表设置后,您可以创建和配置敏感数据发现作业以使用该列表,或将列表添加至自动敏感数据发现设置中。当作业开始运行或自动发现分析周期开始时,Macie 会从 Amazon S3 中检索最新版本列表。然后,Macie 在分析数据时使用该版本列表。

当您创建指定正则表达式 (regex) 的允许列表时,可以直接在 Macie 中定义正则表达式和所有其他列表设置。对于 regex,Macie 支持 Perl 兼容正则表达式 (PCRE) 库提供的 regex 模式语法子集。有关更多信息,请参阅 语法支持和建议

您可以使用 Amazon Macie 控制台或 Amazon Macie API 创建此类列表。

Console

按照以下步骤,使用 Amazon Macie 控制台创建允许列表。

要使用控制台创建允许列表

  1. 通过以下网址打开 Amazon Macie 控制台:https://console.aws.amazon.com/macie/

  2. 在导航窗格中的 设置 下,选择 允许列表

  3. 允许列表页面,选择 创建

  4. 选择列表类型 下,选择 正则表达式

  5. 列表设置 下,使用以下选项,输入允许列表的其他设置:

    • 对于 名称,输入列表名称。名称可以包含多达 128 个字符。

    • 对于 描述,选择性地输入列表的简要描述。描述可包含多达 512 个字符。

    • 用于 正则表达式,输入定义要忽略的文本模式的正则表达式。正则表达式可以包含多达 512 个字符。

  6. (可选)对于 评测,在 样本数据框中输入最多 1000 个字符,然后选择 测试以测试正则表达式。Macie 评测样本数据,并报告与正则表达式匹配的文本出现次数。您可根据需要多次重复此步骤,以完善和优化正则表达式。

    注意

    我们建议您通过多组样本数据测试和完善正则表达式。如果您创建的正则表达式过于笼统,Macie 可能会忽略您视为敏感的文本。如果正则表达式过于具体,Macie 可能会忽略您未视为敏感的文本。

  7. (可选)在 标签下,选择 添加标记,然后最多可输入 50 个可分配至允许列表的标签。

    标签是您定义并分配给某些类型的 AWS 资源的标记。每个标签都包含一个必需的标签键和一个可选的标签值。标签可以帮助您以不同的方式识别、分类和管理资源,例如,按用途、所有者、环境或其他标准。要了解更多信息,请参阅 为 Macie 资源添加标签

  8. 完成后,选择 Create(创建)

Macie 正在测试列表设置。Macie 还会测试正则表达式,以验证它是否可以编译表达式。如果出现了错误,Macie 则显示一条说明错误的消息。有关错误故障排除的详细信息,请参阅 正则表达式的选项和要求。解决任何错误后,您可以保存允许列表设置。

API

在 Macie 中创建此类允许列表前,我们建议您使用多组示例数据测试和完善 regex。如果您创建的正则表达式过于笼统,Macie 可能会忽略您视为敏感的文本。如果正则表达式过于具体,Macie 可能会忽略您未视为敏感的文本。

若要测试 Macie 测试表达式,您可使用 Amazon Macie API 的TestCustomDataIdentifier操作;或对于AWS CLI,运行test-custom-data-identifier命令。Macie 使用相同的基础代码编译允许列表和自定义数据标识符的表达式。如果以这种方式测试表达式,请确保仅为 regexsampleText 参数指定值。否则,您将无法收到准确结果。

当您准备好创建此类允许列表时,请使用 Amazon Macie API 的 CreateAllowList 操作,并为所需参数指定相应的值。对于 criteria 参数,使用regex字段,以指定送一待忽略文本模式的正则表达式。表达式可包含多达 512 个字符。

若要使用 AWS CLI创建此类列表,请运行 create-allow-list 命令,并为所需参数指定相应的值。以下示例创建了名为my_allow_list的允许列表。正则表达式旨在忽略自定义数据标识符能够检测到的、example.com 域的所有电子邮件地址。

此示例针对 Linux、macOS 或 Unix 进行格式化,并使用反斜杠 (\) 行继续符来提高可读性。

$ aws macie2 create-allow-list \
--criteria '{"regex":"[a-z]@example.com"}' \
--name my_allow_list \
--description "Ignores all email addresses for Example Corp."

此示例针对 Microsoft Windows 进行格式化,并使用脱字号 (^) 行继续符来提高可读性。

C:\> aws macie2 create-allow-list ^
--criteria={\"regex\":\"[a-z]@example.com\"} ^
--name my_allow_list ^
--description "Ignores all email addresses for Example Corp."

当您提交请求时,Macie 会测试列表设置。Macie 还会测试正则表达式,以验证它是否可以编译表达式。如果发生错误,请求将会失败,Macie 会返回一条描述错误的消息。有关错误故障排除的详细信息,请参阅 正则表达式的选项和要求

如果 Macie 可编译表达式,则请求成功并且您将收到类似于以下内容的输出:

{
    "arn": "arn:aws:macie2:us-west-2:123456789012:allow-list/km2d4y22hp6rv05example",
    "id": "km2d4y22hp6rv05example"
}

arn 是所创建允许列表的 Amazon 资源名称(ARN),id是此列表的唯一标识符。

保存列表后,您可以创建和配置敏感数据发现作业以使用该列表,或将列表添加至自动敏感数据发现设置中。当运行此作业或 Macie 执行自动发现时,Macie 会使用最新版本的列表正则表达式分析数据。