使用 Macie 的发现检索敏感数据样本 - Amazon Macie

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Macie 的发现检索敏感数据样本

要验证 Amazon Macie 在调查发现中报告的敏感数据的性质,您可以配置并使用 Amazon Macie 来检索和显示在单独的调查发现中报告的敏感数据样本。这包括 Macie 使用托管数据标识符检测到的敏感数据,以及符合自定义数据标识符标准的数据。这些样本有助您定制对受影响的 Amazon Simple Storage Service(Amazon S3)对象和存储桶的调查。

检索和显示调查发现的敏感数据样本时,Macie 会执行以下常规任务:

  1. 验证调查发现是否指定了敏感数据单次出现的位置,以及相应的 敏感数据发现位置

  2. 评估相应的敏感数据发现结果,检查受影响 S3 对象的元数据的有效性,以及受影响对象中敏感数据的出现位置数据的有效性。

  3. 通过使用敏感数据发现结果的数据,可以定位调查发现报告的前 1-10 次出现的敏感数据,并从受影响的 S3 对象中提取每次出现的前 1-128 个字符。如果调查发现报告多种类型敏感数据,Macie 报告最多 100 种类型。

  4. 使用加密提取的数据 AWS Key Management Service (AWS KMS) 您指定的密钥。

  5. 将加密的数据临时存储在缓存中,并显示数据以供您查看。传输中的数据和静态中的数据均可加密。

  6. 解压缩和加密后不久,会永久删除缓存数据,临时需要额外保留以解决操作问题的情况除外。

如果您选择重新检索和显示某个调查发现的敏感数据样本,Macie 会重复这些任务来查找、提取、加密、存储和最终删除样本。

Macie 不会使用账户的 服务相关角色来执行这些任务。相反,你使用你的 AWS Identity and Access Management (IAM) 标识或允许 Macie 在您的账户中IAM扮演角色。如果您或该角色有权访问必要的资源和数据,以及执行必要的操作,则可以检索和显示调查发现的敏感数据样本。所有必需的操作都已登录 AWS CloudTrail.

重要

我们建议您使用自定义IAM策略来限制对该功能的访问。要获得其他访问控制,我们建议您同时创建专用 AWS KMS key 用于对检索到的敏感数据样本进行加密,并将密钥的使用仅限于必须允许检索和泄露敏感数据样本的委托人。

有关可用于控制此功能访问权限的策略的建议和示例,请参阅以下博客文章 AWS 安全博客如何使用 Amazon Macie 预览 S3 存储桶中的敏感数据

此部分中的主题介绍了:如何配置和使用 Macie 检索和显示敏感数据样本以获取调查发现。你可以在所有版本中执行这些任务 AWS 区域 除亚太地区(大阪)和以色列(特拉维夫)地区外,Macie 目前在该地区可用。

主题