Amazon Macie 入门 - Amazon Macie
开始前的准备工作步骤 1:启用 Amazon Macie步骤 2:配置存储库以获取敏感数据发现结果步骤 3:探索调查发现样本步骤 4:创建发现敏感数据的作业步骤 5:查看调查发现

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Macie 入门

本教程介绍了 Amazon Macie。您将了解如何为您的 AWS 账户启用 Macie。您还将学习如何评估您的亚马逊简单存储服务 (Amazon S3) 安全态势,以及如何配置用于发现和报告 S3 存储桶中的敏感数据的关键设置和资源。

开始前的准备工作

当您注册 Amazon Web Services 时 (AWS),您的账户会自动注册所有 AWS 服务,包括 Amazon Macie。但是,要启用和使用 Macie,首先必须设置允许您访问 Amazon Macie 控制台和 API 操作的权限。为此,您或您的 AWS 管理员可以使用 AWS Identity and Access Management (IAM) 将名为的 AWS 托管策略附加AmazonMacieFullAccess到您的 IAM 身份。要了解更多信息,请参阅适用于 Amazon Macie 的 AWS 托管式策略

步骤 1:启用 Amazon Macie

设置所需权限后,您可以为您的 AWS 账户启用 Amazon Macie。按照以下步骤为您的账户启用 Macie。

启用 Macie

  1. 通过以下网址打开 Amazon Macie 控制台:https://console.aws.amazon.com/macie/

  2. 使用页面右上角的 AWS 区域 选择器,选择要启用并使用 Macie 的区域。

  3. 在 Amazon Macie 页上,选择 开始

  4. (可选)启用 Macie 时,Macie 会自动创建一个服务相关角色,该角色授予 Macie 代表您调用其他资源 AWS 服务 和监控 AWS 资源所需的权限。要查看此角色的权限策略,请在控制台上选择查看角色权限。要了解有关此角色的更多信息,请参阅 Amazon Macie 的服务相关角色

  5. 选择 Enable Macie (启用 Macie)

几分钟之内,Macie 就会自动生成并开始维护当前区域中 S3 通用存储桶的完整清单。Macie 还开始评测和监控这些存储桶以确保安全性和进行访问控制。要了解更多信息,请参阅Macie 如何监控 Amazon S3 数据安全性

根据您的账户设置,Macie 还会开始对您的 S3 存储桶执行自动敏感数据发现。Macie 开始不断识别、选择和分析存储桶中的代表性对象,检查对象中是否有敏感数据。随着分析的进行,Macie 会提供统计数据和其他结果供您查看,通常是在为您的账户启用 Macie 后的 48 小时内。您可以通过为账户配置自动敏感数据发现设置来定制分析。要了解更多信息,请参阅自动敏感数据发现的工作原理

要查看您的 Amazon S3 数据的汇总统计数据,请在控制台的导航窗格中选择摘要。要查看清单中各个 S3 存储桶的详细信息,请在导航窗格中选择 S3 存储桶。要随后显示存储桶的详细信息,请选择存储桶。详细信息面板显示统计数据和其他信息,可让您深入了解存储桶数据的安全性、隐私性和敏感性。要了解更多详细信息,请参阅 查看 S3 存储桶清单

步骤 2:配置存储库以获取敏感数据发现结果

借助 Amazon Macie,您可以通过两种方式发现 S3 存储桶中的敏感数据:将 Macie 配置为自动敏感数据发现,以及运行敏感数据发现作业。敏感数据发现作业是您创建的作业,用于分析 S3 存储桶中的对象以确定这些对象是否包含敏感数据。

Macie 会为每个 S3 对象创建一条记录,当你运行敏感数据发现任务或自动发现敏感数据时,Macie 会对这些对象进行分析。这些记录称为敏感数据发现结果,记录有关单个对象分析的详细信息。Macie 还会为由于错误或问题而无法分析的对象创建敏感数据发现结果。敏感数据发现结果为您提供分析记录,这些记录可能有助于数据隐私和保护审计或调查。

Macie 仅将您的敏感数据发现结果存储 90 天。要访问结果并对其进行长期存储和保留,请将 Macie 配置为将结果存储在 S3 存储桶中。您应该在启用 Macie 后的 30 天内完成此操作。完成此操作后,存储桶可以作为所有敏感数据发现结果的权威长期存储库。

要了解如何配置此存储库,请参阅存储和保留敏感数据发现结果

步骤 3:探索调查发现样本

在 Amazon Macie 中,有两类调查结果,即政策调查结果敏感数据调查结果。当 S3 通用存储桶的策略或设置发生更改时,Macie 会创建一项策略,以降低存储桶和存储桶对象的安全性或隐私性。当 Macie 在 S3 对象中检测到敏感数据时,Macie 会创建敏感数据调查发现。在每个类别中,都有多种类型的调查发现。

要探索和了解 Macie 提供的不同类别和类型的调查发现,可以选择创建和查看样本调查发现。样本调查发现使用示例数据和占位符值来演示 Macie 可能包含在每类调查发现中的信息类型。

按照以下步骤创建和查看样本调查发现。

创建和查看样本调查发现

  1. 通过以下网址打开 Amazon Macie 控制台:https://console.aws.amazon.com/macie/

  2. 在导航窗格中,选择 Settings(设置)

  3. Sample findings 下,选择 Generate sample findings。Macie 会为 Macie 支持的每种调查发现生成一个样本调查发现。

  4. 在导航窗格中,选择 调查发现调查发现页面显示当前 AWS 区域中您的账户的调查发现。这包括您在前面步骤中创建的样本调查发现。

  5. 调查发现页面上,找到类型以 [样本]开头的调查发现。

  6. 要查看特定样本调查发现的详细信息,请选择该调查发现。详细信息面板显示了调查发现的详细信息。

要了解有关每种类型的调查发现的更多信息,请参阅 调查发现的类型。要了解有关创建和查看样本调查发现的更多信息,请参阅 处理样本调查发现

步骤 4:创建发现敏感数据的作业

要发现和报告 S3 存储桶中的敏感数据,您可以运行敏感数据发现作业。敏感数据发现作业是您创建的作业,用于分析 S3 存储桶中的对象以确定这些对象是否包含敏感数据。与自动敏感数据发现不同,您可以定义分析的广度和深度。您还可以指定运行作业的频率,即按计划运行一次或定期运行。

按照以下步骤创建一个作业,该作业将在您创建后立即运行一次,并使用默认设置。要了解如何创建定期运行或使用自定义设置的作业,请参阅创建敏感数据发现作业

创建敏感数据发现作业

  1. 通过以下网址打开 Amazon Macie 控制台:https://console.aws.amazon.com/macie/

  2. 在导航窗格中,选择作业

  3. 请选择 Create job (创建作业)

  4. 选择 S3 存储桶步骤中,选择选择特定存储桶。然后,在表中选中要作业分析的每个 S3 存储桶对应的复选框。

    该表提供了当前 AWS 区域 S3 通用存储桶的完整清单。要更轻松地查找特定存储桶,请在表格上方的筛选框中输入筛选标准。还可以选择表中的列标题对表进行排序。

  5. 选择完存储桶后,选择下一步

  6. 查看 S3 存储桶步骤中,查看并验证您的存储桶选择,然后选择 下一步

  7. 缩小范围步骤中,选择 一次性作业,然后选择下一步

  8. 选择托管数据标识符步骤中,选择 推荐。(可选)查看我们为作业推荐的托管数据标识符表,然后选择 下一步

    托管数据标识符是一组内置标准和技术,旨在检测特定类型的敏感数据,例如信用卡号、 AWS 秘密访问密钥或特定国家或地区的护照号码。要了解更多信息,请参阅使用托管数据标识符

  9. 选择自定义数据标识符步骤中,选择 下一步

    自定义数据标识符是您定义的一组检测敏感数据的标准,即定义要匹配的文本模式的正则表达式 (regex) 和可选的字符序列,以及优化结果的邻近规则。要了解更多信息,请参阅构建自定义数据标识符

  10. 选择允许列表步骤中,选择 下一步

    在 Macie 中,允许列表指定了您希望 Macie 在检查 S3 对象是否存在敏感数据时忽略的文本或文本模式。这些通常是特定场景或环境的敏感数据异常。要了解更多信息,请参阅使用允许列表定义敏感数据例外

  11. 输入常规设置步骤中,输入作业的名称和描述(可选)。然后选择下一步

  12. 对于 检查和创建步骤,检查作业的配置设置并验证它们是否正确。

    您还可以查看运行作业的总估计成本(以美元计)。该估算值可以帮助您在保存作业之前确定是否要调整作业的设置。要了解更多信息,请参阅预测敏感数据发现作业的成本

  13. 完成查看和验证作业设置后,选择提交

Macie 立即开始运行这项作业。要了解如何监控作业,请参阅检查敏感数据发现作业的状态

步骤 5:查看调查发现

Amazon Macie 会自动监控您的 S3 通用存储桶以实现安全和访问控制,并创建策略调查结果以报告存储桶安全或隐私方面的潜在问题。如果您运行敏感数据发现任务或将 Macie 配置为执行自动敏感数据发现,Macie 会创建敏感数据发现以报告其在 S3 对象中检测到的敏感数据。要了解有关调查发现的更多信息,请参阅 分析调查发现

请按照以下步骤查看您的调查发现。

若要查看调查发现

  1. 通过以下网址打开 Amazon Macie 控制台:https://console.aws.amazon.com/macie/

  2. 在导航窗格中,选择 调查发现调查发现页面显示当前 AWS 区域中您的账户的调查发现。

  3. (可选)要按特定条件筛选调查发现,请在表格上方的筛选框中输入标准。

  4. 要查看特定调查发现的详细信息,请选择该调查发现。详细信息面板显示了调查发现的详细信息。

要了解更多信息,包括如何对调查发现进行分组和筛选,请参阅查看调查发现