配置自动发现敏感数据 - Amazon Macie
开始前的准备工作组织的配置选项启用自动发现配置自动发现禁用自动发现

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

配置自动发现敏感数据

通过自动发现敏感数据,Amazon Macie 可以持续从您的亚马逊简单存储服务 (Amazon S3) Simple S3 通用存储桶中选择示例对象,并分析这些对象以确定它们是否包含敏感数据。如果您是组织的 Macie 管理员,则默认情况下,这包括您的成员账户拥有的 S3 存储桶中的对象。随着分析的进行,Macie 会更新统计数据、清单数据及其提供的有关您的 Amazon S3 数据的其他信息。Macie 还会记录其发现的敏感数据及其执行的分析。有关更多信息,请参阅 自动敏感数据发现的工作原理

如果您拥有独立的 Macie 帐户,或者您是组织的 Macie 管理员,则可以为您的账户或组织配置和管理自动发现敏感数据。这包括启用和禁用自动发现,以及配置用于定义 Macie 执行分析的范围和性质的设置。如果您在组织中拥有成员帐户,请联系您的 Macie 管理员以了解您的账户和组织的设置。只有组织的 Macie 管理员才能启用或禁用组织中帐户的自动发现。此外,只有 Macie 管理员可以为账户配置自动发现设置。

启用、配置或禁用自动敏感数据发现时,您的更改仅适用于当前的 AWS 区域。要在其他区域进行相同的更改,请在每个其他区域中重复适用的步骤。

开始前的准备工作

在启用或配置自动敏感数据发现之前,请完成以下任务以确保您拥有所需的资源和权限。

如果您已经启用并配置了自动敏感数据发现,并且只想更改设置或禁用它,则这些任务是可选的。

为敏感数据发现结果配置存储库

当 Amazon Macie 执行自动发现敏感数据时,它会为其选择进行分析的每个亚马逊简单存储服务 (Amazon S3) 对象创建分析记录。这些记录称为敏感数据发现结果,记录有关单个 S3 对象分析的详细信息。这包括 Macie 找不到敏感数据的对象,以及 Macie 由于权限设置等错误或问题而无法分析的对象。如果 Macie 在对象中发现敏感数据,则敏感数据发现结果将包括有关 Macie 发现的敏感数据的信息。敏感数据发现结果为您提供分析记录,这些记录可能有助于数据隐私和保护审计或调查。

Macie 仅将您的敏感数据发现结果存储 90 天。要访问结果并对其进行长期存储和保留,请将 Macie 配置为将结果存储在 S3 存储桶中。存储桶可以用作所有敏感数据发现结果的最终长期存储库。

要验证您是否配置了此存储库,请在 Amazon Macie 控制台的导航窗格中选择发现结果。如果您更喜欢以编程方式执行此操作,请使用 Ama API zon Macie 的GetClassificationExportConfiguration操作。要详细了解敏感数据发现结果以及如何配置此存储库,请参阅 存储和保留敏感数据发现结果

如果您配置了存储库,则当您首次启用自动敏感数据发现功能时,Macie 会在存储库automated-sensitive-data-discovery中创建一个名为的文件夹。此文件夹存储 Macie 在为您的账户或组织执行自动发现时创建的敏感数据发现结果。

验证您的权限

要验证您的权限,请使用 AWS Identity and Access Management (IAM) 查看附加到您的IAM身份的IAM策略。然后将这些策略中的信息与以下必须允许您执行的操作列表进行比较:

  • macie2:GetMacieSession

  • macie2:UpdateAutomatedDiscoveryConfiguration

  • macie2:ListClassificationScopes

  • macie2:UpdateClassificationScope

  • macie2:ListSensitivityInspectionTemplates

  • macie2:UpdateSensitivityInspectionTemplate

第一个操作允许您访问您的 Amazon Macie 账户。第二个操作允许您为账户或组织启用或禁用自动发现敏感数据。对于组织而言,它还允许您自动为组织中的帐户启用自动敏感数据发现功能。其余操作允许您识别和更改配置设置。

如果您计划使用 Amazon Macie 控制台来查看或更改配置设置,还要确认是否允许您执行以下操作:

  • macie2:GetAutomatedDiscoveryConfiguration

  • macie2:GetClassificationScope

  • macie2:GetSensitivityInspectionTemplate

这些操作允许您检索账户或组织的当前配置设置以及自动发现敏感数据的状态。如果您计划以编程方式更改配置设置,则执行这些操作的权限是可选的。

如果您是组织的 Macie 管理员,还需要允许您执行以下操作:

  • macie2:ListAutomatedDiscoveryAccounts

  • macie2:BatchUpdateAutomatedDiscoveryAccounts

第一个操作允许您检索组织中各个帐户的自动敏感数据发现状态。第二个操作允许您启用或禁用组织中各个帐户的自动敏感数据发现。

如果不允许你执行必要的操作,请向 AWS 管理员寻求帮助。

组织的配置选项

如果某个账户属于集中管理多个 Amazon Macie 账户的组织,则该组织的 Macie 管理员会配置和管理该组织中账户的自动敏感数据发现。这包括定义 Macie 对账户执行的分析的范围和性质的设置。成员无法为自己的账户访问这些设置。

如果您是组织的 Macie 管理员,则可以通过多种方式定义分析范围:

  • 自动为账户启用自动敏感数据发现-启用自动敏感数据发现功能时,您可以指定是为所有现有账户和新成员账户自动启用,还是仅为新成员账户自动启用,还是不为账户自动启用。如果您为新成员账户自动启用该功能,则当该账户在 Macie 中加入您的组织时,系统会为随后加入组织的所有账户启用该功能。如果为账户启用了该功能,则 Macie 会包含该账户拥有的 S3 存储桶。如果某个账户禁用了该功能,Macie 将排除该账户拥有的存储桶。

  • 有选择地为帐户启用自动敏感数据发现-使用此选项,您可以 case-by-case 逐个启用或禁用个人帐户的自动敏感数据发现。如果您为账户启用该功能,Macie 会包含该账户拥有的 S3 存储桶。如果您没有为某个账户启用或禁用它,Macie 会排除该账户拥有的存储桶。

  • 将特定的 S3 存储桶排除在自动敏感数据发现之外 — 如果您为一个或多个账户启用自动敏感数据发现,则可以排除这些账户拥有的特定 S3 存储桶。然后,Macie 在为您的组织执行自动发现时会跳过存储桶。要排除特定的存储桶,请在管理员账户的配置设置中将其添加到存储桶排除列表中。您最多可以为组织排除 1,000 个存储桶。

默认情况下,系统会自动为组织中的所有新账户和现有账户启用自动发现敏感数据。此外,Macie 还包括账户拥有的所有 S3 存储桶。如果您保留默认设置,Macie 会自动发现其监控和分析您的管理员账户的所有存储分区,其中包括您的成员账户拥有的所有存储分区。

作为 Macie 管理员,您还要定义 Macie 为您的组织执行的分析的性质。为此,您可以为管理员帐户配置其他设置,包括托管数据标识符、自定义数据标识符以及您希望 Macie 在分析 S3 对象时使用的允许列表。Macie 在分析组织中其他账户的 S3 对象时,会使用您的管理员帐户的设置。

启用自动发现敏感数据

启用自动敏感数据发现后,Amazon Macie 会开始评估您的 Amazon S3 库存数据,并在当前为您的账户执行其他自动发现活动。 AWS 区域如果您是组织的 Macie 管理员,则默认情况下,这包括您的成员账户拥有的 S3 存储桶。根据您的 Amazon S3 数据资产的大小,敏感数据发现统计数据和其他结果可能会在 48 小时内开始显示。

要启用自动发现敏感数据,您可以使用亚马逊 Macie 控制台或亚马逊 Macie。API要使用控制台将其启用,请按照以下步骤操作。要以编程方式启用它,请使用 Amazon API Macie 的以下操作 BatchUpdateAutomatedDiscoveryAccounts:用于组织中的个人账户、组织中的个人账户、UpdateAutomatedDiscoveryConfigurationMacie 管理员账户或独立的 Macie 账户。

启用自动发现敏感数据

  1. 打开亚马逊 Macie 主机,网址为。https://console.aws.amazon.com/macie/

  2. 使用页面右上角的 AWS 区域 选择器,选择要在其中启用自动敏感数据发现的区域。

  3. 在导航窗格的 “设置” 下,选择 “自动发现敏感数据”。

  4. 如果您有独立的 Macie 账户,请在 “状态” 部分中选择 “启用”。

  5. 如果您是组织的 Macie 管理员,请在 “状态” 部分中选择一个选项,指定要为以下各项启用自动敏感数据发现功能的帐户:

    • 要为组织中的所有账户启用该功能,请选择启用。在出现的对话框中,选择我的组织。要同时为随后加入组织的帐户自动启用该功能,请选择为新帐户自动启用。完成后,选择 “启用”。

    • 要仅为特定的成员账户启用该功能,请选择管理账户。然后,在 “帐户” 页面的表格中,选中要为其启用该功能的每个帐户对应的复选框。完成后,在 “操作” 菜单上选择 “启用自动发现敏感数据”。

    • 要仅为您的 Macie 管理员帐户启用该功能,请选择 “启用”。在出现的对话框中,选择 “我的帐户”,然后清除 “为新帐户自动启用”。完成后,选择 “启用”。

    要随后检查或更改组织中各个账户的自动敏感数据发现状态,请在导航窗格中选择 “帐户”。在 “帐户” 页面上,表中的自动敏感数据发现字段表示自动发现帐户的当前状态。要更改帐户的状态,请选择该帐户,然后使用 “操作” 菜单启用以禁用该帐户的自动发现。

启用自动敏感数据发现后,请查看和配置您的设置以完善 Macie 执行的分析。

配置自动敏感数据发现设置

如果您为账户或组织启用自动发现敏感数据,则可以调整自动发现设置以完善 Amazon Macie 执行的分析。这些设置指定要从分析中排除的 S3 存储桶。它们还指定要检测和报告的敏感数据的类型和出现次数,包括托管数据标识符、自定义数据标识符以及分析 S3 对象时使用的允许列表。

默认情况下,Macie 会针对您的账户监控和分析的所有 S3 通用存储桶执行自动敏感数据发现。如果您是组织的 Macie 管理员,则这包括您的成员账户拥有的存储桶。您可以将特定的存储桶排除在分析之外。例如,您可以排除通常存储 AWS 日志数据的存储桶,例如 AWS CloudTrail 事件日志。如果您排除了某个存储桶,可以随后再次将其包括在内。

此外,Macie 仅使用我们推荐用于自动化敏感数据发现的一组托管数据标识符来分析 S3 对象。Macie 不使用您定义的自定义数据标识符或允许列表。要自定义分析,您可以将 Macie 配置为使用特定的托管数据标识符、自定义数据标识符和允许列表。

以下各节提供了有关每种设置类型的更多信息。他们还解释了如何使用亚马逊 Macie 主机更改设置。选择一个部分以了解更多信息。要以编程方式查看或更改设置,您可以使用 Amazon API Macie 的以下操作 UpdateClassificationScope:指定要从分析中排除的 S3 存储桶,UpdateSensitivityInspectionTemplate以及指定要使用的托管数据标识符、自定义数据标识符和允许列表。

如果您更改了设置,Macie 会在下一个评测和分析周期开始时应用您的更改,以便自动化敏感数据发现,通常在 24 小时内。

默认情况下,Macie 会针对您的账户监控和分析的所有 S3 通用存储桶执行自动敏感数据发现。如果您是组织的 Macie 管理员,则这包括您的成员账户拥有的存储桶。

要细化范围,您可以从分析中排除多达 1,000 个 S3 存储桶。如果您排除某个存储桶,Macie 会在执行自动敏感数据发现时停止选择和分析存储桶中的对象。存储桶的现有敏感数据发现统计数据和详细信息将保留——例如,存储桶的当前灵敏度评分保持不变。排除某个存储桶后,您可以随后再次将其包括在内。

排除或包含特定的 S3 存储桶

  1. 打开亚马逊 Macie 主机,网址为。https://console.aws.amazon.com/macie/

  2. 使用页面右上角的 AWS 区域 选择器,选择要在分析中排除或包含特定 S3 存储桶的区域。

  3. 在导航窗格的 “设置” 下,选择 “自动发现敏感数据”。

    将出现自动化敏感数据发现页面,并显示您的当前设置。在该页面上,S3 存储桶部分列出了当前被排除的 S3 存储桶,或者显示当前包含的所有存储桶。

  4. S3 存储桶部分中,选择 编辑

  5. 请执行以下操作之一:

    • 要排除一个或多个 S3 存储桶,请选择 将存储桶添加到排除列表。然后,在 S3 存储桶表中,选中要排除的每个存储桶对应的复选框。该表列出了您的账户或组织在当前区域的所有通用存储桶。

    • 要包含您之前排除的一个或多个 S3 存储桶,请选择 从排除列表中删除存储桶。然后,在 S3 存储桶表中,选中要包含的每个存储桶对应的复选框。该表列出了当前排除在分析之外的所有存储桶。

    要更轻松地查找特定存储桶,请在表格上方的搜索框中输入搜索条件。您还可以通过选择列标题对表格进行排序。

  6. 选择完存储桶后,根据您在上一步中选择的选项,选择添加移除

托管数据标识符是一组内置标准和技术,旨在检测特定类型的敏感数据,例如信用卡号、 AWS 秘密访问密钥或特定国家或地区的护照号码。默认情况下,Macie 使用我们为自动化敏感数据发现推荐的一组托管数据标识符来分析 S3 对象。要查看这些标识符的列表,请参阅自动敏感数据发现的默认设置

您可以定制分析以侧重于特定类型的敏感数据:

  • 为您希望 Macie 检测和报告的敏感数据类型添加托管数据标识符,以及

  • 移除您不希望 Macie 检测和报告的敏感数据类型的托管数据标识符。

如果您移除托管数据标识符,则您的更改不会影响 S3 存储桶的现有敏感数据发现统计信息和 S3 存储桶的详细信息。例如,如果您移除了私有访问 AWS 密钥的托管数据标识符,而 Macie 之前在存储桶中检测到该类型的数据,则 Macie 会继续报告该存储桶的这些检测结果。

提示

您可以将其检测排除在特定存储分段的敏感度分数之外,而不是移除会影响所有 S3 存储桶后续分析的托管数据标识符。有关更多信息,请参阅 管理单个 S3 存储桶的自动敏感数据发现

要添加或删除托管数据标识符

  1. 打开亚马逊 Macie 主机,网址为。https://console.aws.amazon.com/macie/

  2. 使用页面右上角的 AWS 区域 选择器,选择要在其中添加托管数据标识符或从分析中移除托管数据标识符的区域。

  3. 在导航窗格的 “设置” 下,选择 “自动发现敏感数据”。

    将出现自动化敏感数据发现页面,并显示您的当前设置。在该页面上,托管数据标识符部分显示您当前的设置,这些设置分为两个选项卡:

    • 已添加到默认值-此选项卡列出了您添加的托管数据标识符。Macie 除了默认设置中且您尚未删除的标识符外,还使用这些标识符。

    • 已从默认值中移除-此选项卡列出了已删除的托管数据标识符。Macie 不使用这些标识符。

  4. 托管数据标识符部分中,选择 编辑

  5. 执行以下任一操作:

    • 要添加一个或多个托管数据标识符,请选择已添加到默认设置选项卡。然后,在表中,选中要添加的每个托管数据标识符对应的复选框。如果已选中某个复选框,则表示您已经添加了该标识符。

    • 要删除一个或多个托管数据标识符,请选择从默认设置中移除选项卡。然后,在表中,选中要移除的每个托管数据标识符对应的复选框。如果已选中某个复选框,则表示您已经删除了该标识符。

    在每个选项卡上,该表显示了 Macie 当前提供的所有托管数据标识符的列表。在表中,第一列指定了每个托管数据标识符的 ID。该身份证描述了标识符旨在检测的敏感数据类型,例如美国护照号码NUMBER的 USAPASSPORT_ _。要更轻松地查找特定的托管数据标识符,请在表格上方的搜索框中输入搜索条件。您还可以通过选择列标题对表格进行排序。有关每个标识符的详细信息,请参阅 使用托管数据标识符

  6. 完成后,选择保存

自定义数据标识符是您为检测敏感数据定义的一组标准。标准由定义要匹配的文本模式的正则表达式(regex)和可选的字符序列以及优化结果的邻近规则组成。要了解更多信息,请参阅 构建自定义数据标识符

默认情况下,Amazon Macie 在执行自动化敏感数据发现时不使用自定义数据标识符。如果您希望 Macie 使用特定的自定义数据标识符,可以将其添加到分析中。然后,除了您配置 Macie 要使用的任何托管数据标识符外,Macie 还会使用自定义数据标识符。

如果您添加了自定义数据标识符,则可以随后将其删除。您的更改不会影响 S3 存储桶的现有敏感数据发现统计数据和详细信息。也就是说,如果您移除之前为存储桶生成检测结果的自定义数据标识符,Macie 将继续报告该存储桶的这些检测结果。但是,与其删除标识符(这会影响所有存储桶的后续分析),不如考虑将其检测结果仅从特定存储桶的敏感度分数中排除。有关更多信息,请参阅 管理单个 S3 存储桶的自动敏感数据发现

要添加或删除自定义数据标识符

  1. 打开亚马逊 Macie 主机,网址为。https://console.aws.amazon.com/macie/

  2. 使用页面右上角的 AWS 区域 选择器,选择要在其中添加或删除分析中的自定义数据标识符的区域。

  3. 在导航窗格的 “设置” 下,选择 “自动发现敏感数据”。

    将出现自动化敏感数据发现页面,并显示您的当前设置。在该页面上,自定义数据标识符部分列出了您已经添加的自定义数据标识符,或者表示您尚未选择任何自定义数据标识符。

  4. 自定义数据标识符部分中,选择 编辑

  5. 执行以下任一操作:

    • 要添加一个或多个自定义数据标识符,请选中要添加的每个自定义数据标识符对应的复选框。如果已选中某个复选框,则表示您已经添加了该标识符。

    • 要移除一个或多个自定义数据标识符,请清除要删除的每个自定义数据标识符对应的复选框。如果某个复选框已被清除,则 Macie 当前不使用该标识符。

    提示

    要在添加或删除自定义数据标识符之前查看或测试其设置,请选择该标识符名称旁边的链接图标 ( The link icon, which is a gray box that has an arrow in it. )。Macie 会打开一个显示标识符设置的页面。要同时使用样本数据测试标识符,请在该页面的样本数据框中输入最多 1,000 个字符的文本。然后选择 “测试”。Macie 评估样本数据并报告匹配次数。

  6. 完成后,选择保存

在 Amazon Macie 中,允许列表定义了您希望 Macie 在检查 S3 对象中是否存在敏感数据时忽略的特定文本或文本模式。如果文本与允许列表中的条目或模式匹配,则 Macie 不会报告该文本。即使文本符合托管或自定义数据标识符的标准,也是如此。要了解更多信息,请参阅 使用允许列表定义敏感数据例外

默认情况下,Macie 在执行自动化敏感数据发现时不使用允许列表。如果您希望 Macie 使用特定的允许列表,可以将其添加到分析中。如果您添加了允许列表,则可以随后将其删除。

要添加或删除允许列表

  1. 打开亚马逊 Macie 主机,网址为。https://console.aws.amazon.com/macie/

  2. 使用页面右上角的 AWS 区域 选择器,选择要在其中添加或删除分析允许列表的区域。

  3. 在导航窗格的 “设置” 下,选择 “自动发现敏感数据”。

    将出现自动化敏感数据发现页面,并显示您的当前设置。在该页面上,“允许列表” 部分指定了您已经添加的允许列表,或者表示您尚未选择任何允许列表。

  4. 允许列表部分中选择 编辑

  5. 执行以下任一操作:

    • 要添加一个或多个允许列表,请选中要添加的每个允许列表对应的复选框。如果已选中某个复选框,则表示您已经添加了该列表。

    • 要删除一个或多个允许列表,请清除要删除的每个允许列表对应的复选框。如果某个复选框已被清除,则 Macie 当前不使用该列表。

    提示

    要在添加或删除允许列表之前查看其设置,请选择列表名称旁边的链接图标 ( The link icon, which is a gray box that has an arrow in it. )。Macie 会打开一个显示列表设置的页面。如果列表指定了正则表达式 (regex),您也可以使用此页使用示例数据测试正则表达式。为此,请在示例数据框中输入最多包含 1,000 个字符的文本,然后选择测试。Macie 评估样本数据并报告匹配次数。

  6. 完成后,选择保存

禁用自动发现敏感数据

您可以随时禁用账户或组织的自动敏感数据发现。如果您这样做,Amazon Macie 将在随后的评估和分析周期开始之前(通常在 48 小时内)停止为账户或组织执行所有自动发现活动。其他效果各不相同:

  • 如果您是 Macie 管理员,并且您为组织中的个人账户禁用了该功能,则您和该账户可以继续访问 Macie 在自动发现该账户时生成和直接提供的所有统计数据、库存数据和其他信息。您可以再次为该账户启用自动发现。然后,Macie 会恢复该账户的所有自动发现活动。

  • 如果您是 Macie 管理员并且为组织禁用了该功能,则您和组织中的帐户将无法访问 Macie 在为您的组织执行自动发现时生成和直接提供的所有统计数据、库存数据和其他信息。例如,您的 S3 存储桶清单不再包含敏感度可视化或分析统计数据。随后,您可以再次为您的组织启用自动发现。然后,Macie 会恢复组织中帐户的所有自动发现活动。如果您在 30 天内重新启用,则您和账户将重新获得对 Macie 之前在执行自动发现时生成和直接提供的数据和信息的访问权限。如果您未在 30 天内重新启用,Macie 会永久删除这些数据和信息。

  • 如果您为独立的 Macie 账户禁用该功能,您将无法访问 Macie 在为您的账户执行自动发现时生成和直接提供的所有统计数据、库存数据和其他信息。如果您未在 30 天内重新启用,Macie 会永久删除这些数据和信息。

您可以继续访问 Macie 在为您的组织或帐户执行自动敏感数据发现时生成的敏感数据发现。Macie 会将调查发现存储 90 天。此外,您存储或发布给他人的数据保持不 AWS 服务 变,不受影响,例如在 Amazon S3 中发现敏感数据和在 Amazon 中查找事件 EventBridge。

要禁用自动发现敏感数据,您可以使用亚马逊 Macie 控制台或亚马逊 Macie。API要使用控制台将其禁用,请按照以下步骤操作。要以编程方式将其禁用,请使用 Amazon API Macie 的以下操作 BatchUpdateAutomatedDiscoveryAccounts:组织中的个人账户、组织中的个人账户、UpdateAutomatedDiscoveryConfigurationMacie 管理员账户或独立的 Macie 账户。

禁用自动发现敏感数据

  1. 打开亚马逊 Macie 主机,网址为。https://console.aws.amazon.com/macie/

  2. 使用页面右上角的 AWS 区域 选择器,选择要禁用自动敏感数据发现的区域。

  3. 在导航窗格的 “设置” 下,选择 “自动发现敏感数据”。

  4. 如果您是组织的 Macie 管理员,请在 “状态” 部分中选择一个选项,指定要禁用自动敏感数据发现功能的帐户:

    • 要仅为特定的成员账户禁用该功能,请选择管理账户。然后,在 “帐户” 页面的表格中,选中要为其禁用该功能的每个帐户对应的复选框。完成后,在 “操作” 菜单上选择 “禁用自动发现敏感数据”。

    • 要仅为您的 Macie 管理员帐户禁用该功能,请选择 “禁用”。在出现的对话框中,选择 “我的帐户”,然后选择 “禁用”。

    • 要对组织中的所有帐户和整个组织中的所有帐户禁用该功能,请选择 “禁用”。在出现的对话框中,选择我的组织,然后选择禁用

  5. 如果您有独立的 Macie 帐户,请在 “状态” 部分中选择 “禁用”。