选择您的 Cookie 首选项

我们使用必要 Cookie 和类似工具提供我们的网站和服务。我们使用性能 Cookie 收集匿名统计数据,以便我们可以了解客户如何使用我们的网站并进行改进。必要 Cookie 无法停用,但您可以单击“自定义”或“拒绝”来拒绝性能 Cookie。

如果您同意,AWS 和经批准的第三方还将使用 Cookie 提供有用的网站功能、记住您的首选项并显示相关内容,包括相关广告。要接受或拒绝所有非必要 Cookie,请单击“接受”或“拒绝”。要做出更详细的选择,请单击“自定义”。

Macie 入门

聚焦模式
Macie 入门 - Amazon Macie

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

本教程介绍了 Amazon Macie。您将了解如何为您的 AWS 账户启用 Macie。您还将学习如何评测您的 Amazon Simple Storage Service (Amazon S3) 安全态势,以及如何配置密钥设置和资源,以发现和报告 S3 存储桶中的敏感数据。

开始前的准备工作

当您注册 Amazon Web Services 时 (AWS),您的账户会自动注册所有 AWS 服务,包括 Amazon Macie。但是,要启用和使用 Macie,首先必须设置允许您访问 Amazon Macie 控制台和 API 操作的权限。为此,您或您的 AWS 管理员可以使用 AWS Identity and Access Management (IAM) 将名为的 AWS 托管策略附加AmazonMacieFullAccess到您的 IAM 身份。要了解更多信息,请参阅 AWS 适用于 Macie 的托管策略

步骤 1:启用 Macie

设置所需权限后,您可以为您的 AWS 账户启用 Amazon Macie。按照以下步骤为您的账户启用 Macie。

启用 Macie
  1. 打开亚马逊 Macie 主机,网址为。https://console.aws.amazon.com/macie/

  2. 使用页面右上角的 AWS 区域 选择器,选择要启用的区域并使用 Macie。

  3. 在 Amazon Macie 页面上,选择开始

  4. (可选)启用 Macie 后,Macie 会自动创建一个服务相关角色,允许它代表您呼叫其他人 AWS 服务 并监控 AWS 资源。要查看此角色的权限策略,请在控制台上选择查看角色权限。要了解有关此角色的更多信息,请参阅 使用 Macie 的服务相关角色

  5. 选择 Enable Macie (启用 Macie)

几分钟之内,Macie 就会自动生成并开始维护当前区域中您的 S3 通用存储桶的清单。Macie 还开始评测和监控这些存储桶以确保安全性和进行访问控制。要了解更多信息,请参阅 监控数据安全和隐私

根据您的账户设置,Macie 还会开始对您的 S3 存储桶执行自动敏感数据发现。Macie 开始不断识别、选择和分析存储桶中具有代表性的对象,检查这些对象中是否有敏感数据。随着分析的进行,Macie 会提供统计数据和其他结果供您查看,通常是 48 小时内。您可以自定义分析。要了解更多信息,请参阅 执行自动敏感数据发现

要查看 Amazon S3 数据的汇总统计信息,请在控制台导航窗格中选择 概要。要查看清单中各个 S3 存储桶的详细信息,请在导航窗格中选择 S3 存储桶。要随后显示存储桶的详细信息,请选择存储桶。详细信息面板显示统计数据和其他信息,可让您深入了解存储桶数据的安全性、隐私性和敏感性。要了解更多详细信息,请参阅 查看 S3 存储桶清单

步骤 2:配置用于存储敏感数据发现结果的存储库

借助 Amazon Macie,您可以通过两种方式发现 S3 存储桶中的敏感数据:将 Macie 配置为自动敏感数据发现,以及运行敏感数据发现作业。敏感数据发现作业是您创建的作业,用于分析 S3 存储桶中的对象以确定这些对象是否包含敏感数据。

当您运行敏感数据发现作业或执行自动敏感数据发现时,Macie 为其分析的每个 S3 对象创建一条记录。这些记录称为敏感数据发现结果,记录有关单个对象分析的详细信息。Macie 还会为由于错误或问题而无法分析的对象创建敏感数据发现结果。敏感数据发现结果为您提供分析记录,这些记录可能有助于数据隐私和保护审计或调查。

Macie 仅将您的敏感数据发现结果存储 90 天。要访问结果并对其进行长期存储和保留,请将 Macie 配置为将结果存储在 S3 存储桶中。您应该在启用 Macie 后的 30 天内完成此操作。完成此操作后,存储桶可以作为所有敏感数据发现结果的权威长期存储库。

要了解如何配置此存储库,请参阅存储和保留敏感数据发现结果

步骤 3:探索调查发现样本

Amazon Macie 会生成两类调查发现:策略调查发现敏感数据调查发现。当存储桶的策略或设置发生更改而降低了 S3 通用存储桶及其对象的安全性或隐私性时,Macie 会创建一个策略调查发现。当 Macie 在 S3 对象中检测到敏感数据时,Macie 会创建敏感数据调查发现。在每个类别中,都有多种类型的调查发现。

要探索和了解 Macie 提供的不同类别和类型的调查发现,可以选择创建和查看样本调查发现。样本调查发现使用示例数据和占位符值来演示 Macie 可能包含在每类调查发现中的信息类型。

按照以下步骤创建和查看样本调查发现。

创建和查看样本调查发现
  1. 打开亚马逊 Macie 主机,网址为。https://console.aws.amazon.com/macie/

  2. 在导航窗格中,选择 Settings(设置)

  3. Sample findings 下,选择 Generate sample findings。Macie 会为 Macie 支持的每种调查发现生成一个样本调查发现。

  4. 在导航窗格中,选择 调查发现调查发现页面显示当前 AWS 区域中您的账户的调查发现。这包括您在前面步骤中创建的样本调查发现。

  5. 调查发现页面上,找到类型以 [样本]开头的调查发现。

  6. 要查看特定样本调查发现的详细信息,请选择该调查发现。详细信息面板显示了调查发现的详细信息。

要了解有关每种类型的调查发现的更多信息,请参阅 调查发现的类型。要了解有关创建和查看样本调查发现的更多信息,请参阅 使用样本调查发现

步骤 4:创建发现敏感数据的作业

要发现和报告 S3 存储桶中的敏感数据,您可以运行敏感数据发现作业。敏感数据发现作业是您创建的作业,用于分析 S3 存储桶中的对象以确定这些对象是否包含敏感数据。与自动敏感数据发现不同,您可以定义分析的广度和深度。您还可以指定运行作业的频率,即按计划运行一次或定期运行。

按照以下步骤创建一个作业,该作业将在您创建后立即运行一次,并使用默认设置。要了解如何创建定期运行或使用自定义设置的作业,请参阅创建敏感数据发现作业

创建敏感数据发现作业
  1. 打开亚马逊 Macie 主机,网址为。https://console.aws.amazon.com/macie/

  2. 在导航窗格中,选择作业

  3. 请选择 Create job (创建作业)

  4. 选择 S3 存储桶步骤中,选择选择特定存储桶。然后,在表中,选中您希望任务分析的每个 S3 存储桶对应的复选框。

    该表提供了当前 AWS 区域的 S3 通用存储桶的清单。要更轻松地查找特定存储桶,请在表格上方的筛选框中输入筛选标准。您还可以通过选择列标题对表格进行排序。

  5. 选择完存储桶后,选择下一步

  6. 查看 S3 存储桶步骤中,查看并验证您的存储桶选择,然后选择 下一步

  7. 缩小范围步骤中,选择 一次性作业,然后选择下一步

  8. 选择托管数据标识符步骤中,选择 推荐。(可选)查看我们为作业推荐的托管数据标识符表,然后选择 下一步

    托管数据标识符是一组内置标准和技术,旨在检测特定类型的敏感数据,例如信用卡号、 AWS 秘密访问密钥或特定国家或地区的护照号码。要了解更多信息,请参阅 使用托管数据标识符

  9. 选择自定义数据标识符步骤中,选择 下一步

    自定义数据标识符是您定义的一组检测敏感数据的标准,即定义要匹配的文本模式的正则表达式 (regex) 和可选的字符序列,以及优化结果的邻近规则。要了解更多信息,请参阅 构建自定义数据标识符

  10. 选择允许列表步骤中,选择 下一步

    在 Macie 中,允许列表指定了您希望 Macie 在检查 S3 对象是否存在敏感数据时忽略的文本或文本模式。这些通常是特定场景或环境的敏感数据异常。要了解更多信息,请参阅 使用允许列表定义敏感数据例外

  11. 输入常规设置步骤中,输入作业的名称和描述(可选)。然后选择下一步

  12. 对于 检查和创建步骤,检查作业的配置设置并验证它们是否正确。

    您还可以查看运行该任务的估计总成本(以美元为单位)。该估算值可以帮助您在保存作业之前确定是否要调整作业的设置。要了解更多信息,请参阅 预测敏感数据发现作业的成本

  13. 完成查看和验证作业设置后,选择提交

Macie 立即开始运行这项作业。要了解如何监控作业,请参阅检查敏感数据发现作业的状态

步骤 5:查看调查发现

Amazon Macie 自动监控您的 S3 通用存储桶以实现安全性和访问控制,并且创建策略调查发现来报告存储桶安全或隐私方面的潜在问题。如果您运行敏感数据发现作业,或者将 Macie 配置为执行自动敏感数据发现,Macie 会创建敏感数据调查发现以报告其在 S3 对象中检测到的敏感数据。

请按照以下步骤查看调查发现。

要查看调查发现
  1. 打开亚马逊 Macie 主机,网址为。https://console.aws.amazon.com/macie/

  2. 在导航窗格中,选择 调查发现调查发现页面显示当前 AWS 区域中您的账户的调查发现。

  3. 要按特定条件筛选调查发现,请在表格上方的筛选框中输入标准。

  4. 要查看特定调查发现的详细信息,请选择该调查发现。详细信息面板显示了调查发现的详细信息。

要了解有关调查发现的更多信息,包括如何对调查发现进行分组和筛选,请参阅 查看和分析调查发现

隐私网站条款Cookie 首选项
© 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。