本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
本教程介绍了 Amazon Macie。您将了解如何为您的 AWS 账户启用 Macie。您还将学习如何评测您的 Amazon Simple Storage Service (Amazon S3) 安全态势,以及如何配置密钥设置和资源,以发现和报告 S3 存储桶中的敏感数据。
开始前的准备工作
当您注册 Amazon Web Services 时 (AWS),您的账户会自动注册所有 AWS 服务,包括 Amazon Macie。但是,要启用和使用 Macie,首先必须设置允许您访问 Amazon Macie 控制台和 API 操作的权限。为此,您或您的 AWS 管理员可以使用 AWS Identity and Access Management (IAM) 将名为的 AWS 托管策略附加AmazonMacieFullAccess
到您的 IAM 身份。要了解更多信息,请参阅 AWS 适用于 Macie 的托管策略。
步骤 1:启用 Macie
设置所需权限后,您可以为您的 AWS 账户启用 Amazon Macie。按照以下步骤为您的账户启用 Macie。
启用 Macie
打开亚马逊 Macie 主机,网址为。https://console.aws.amazon.com/macie/
-
使用页面右上角的 AWS 区域 选择器,选择要启用的区域并使用 Macie。
-
在 Amazon Macie 页面上,选择开始。
-
(可选)启用 Macie 后,Macie 会自动创建一个服务相关角色,允许它代表您呼叫其他人 AWS 服务 并监控 AWS 资源。要查看此角色的权限策略,请在控制台上选择查看角色权限。要了解有关此角色的更多信息,请参阅 使用 Macie 的服务相关角色。
-
选择 Enable Macie (启用 Macie)。
几分钟之内,Macie 就会自动生成并开始维护当前区域中您的 S3 通用存储桶的清单。Macie 还开始评测和监控这些存储桶以确保安全性和进行访问控制。要了解更多信息,请参阅 监控数据安全和隐私。
根据您的账户设置,Macie 还会开始对您的 S3 存储桶执行自动敏感数据发现。Macie 开始不断识别、选择和分析存储桶中具有代表性的对象,检查这些对象中是否有敏感数据。随着分析的进行,Macie 会提供统计数据和其他结果供您查看,通常是 48 小时内。您可以自定义分析。要了解更多信息,请参阅 执行自动敏感数据发现。
要查看 Amazon S3 数据的汇总统计信息,请在控制台导航窗格中选择 概要。要查看清单中各个 S3 存储桶的详细信息,请在导航窗格中选择 S3 存储桶。要随后显示存储桶的详细信息,请选择存储桶。详细信息面板显示统计数据和其他信息,可让您深入了解存储桶数据的安全性、隐私性和敏感性。要了解更多详细信息,请参阅 查看 S3 存储桶清单。
步骤 2:配置用于存储敏感数据发现结果的存储库
借助 Amazon Macie,您可以通过两种方式发现 S3 存储桶中的敏感数据:将 Macie 配置为自动敏感数据发现,以及运行敏感数据发现作业。敏感数据发现作业是您创建的作业,用于分析 S3 存储桶中的对象以确定这些对象是否包含敏感数据。
当您运行敏感数据发现作业或执行自动敏感数据发现时,Macie 为其分析的每个 S3 对象创建一条记录。这些记录称为敏感数据发现结果,记录有关单个对象分析的详细信息。Macie 还会为由于错误或问题而无法分析的对象创建敏感数据发现结果。敏感数据发现结果为您提供分析记录,这些记录可能有助于数据隐私和保护审计或调查。
Macie 仅将您的敏感数据发现结果存储 90 天。要访问结果并对其进行长期存储和保留,请将 Macie 配置为将结果存储在 S3 存储桶中。您应该在启用 Macie 后的 30 天内完成此操作。完成此操作后,存储桶可以作为所有敏感数据发现结果的权威长期存储库。
要了解如何配置此存储库,请参阅存储和保留敏感数据发现结果。
步骤 3:探索调查发现样本
Amazon Macie 会生成两类调查发现:策略调查发现和敏感数据调查发现。当存储桶的策略或设置发生更改而降低了 S3 通用存储桶及其对象的安全性或隐私性时,Macie 会创建一个策略调查发现。当 Macie 在 S3 对象中检测到敏感数据时,Macie 会创建敏感数据调查发现。在每个类别中,都有多种类型的调查发现。
要探索和了解 Macie 提供的不同类别和类型的调查发现,可以选择创建和查看样本调查发现。样本调查发现使用示例数据和占位符值来演示 Macie 可能包含在每类调查发现中的信息类型。
按照以下步骤创建和查看样本调查发现。
创建和查看样本调查发现
打开亚马逊 Macie 主机,网址为。https://console.aws.amazon.com/macie/
-
在导航窗格中,选择 Settings(设置)。
-
在 Sample findings 下,选择 Generate sample findings。Macie 会为 Macie 支持的每种调查发现生成一个样本调查发现。
-
在导航窗格中,选择 调查发现。调查发现页面显示当前 AWS 区域中您的账户的调查发现。这包括您在前面步骤中创建的样本调查发现。
-
在 调查发现页面上,找到类型以 [样本]开头的调查发现。
-
要查看特定样本调查发现的详细信息,请选择该调查发现。详细信息面板显示了调查发现的详细信息。
要了解有关每种类型的调查发现的更多信息,请参阅 调查发现的类型。要了解有关创建和查看样本调查发现的更多信息,请参阅 使用样本调查发现。
步骤 4:创建发现敏感数据的作业
要发现和报告 S3 存储桶中的敏感数据,您可以运行敏感数据发现作业。敏感数据发现作业是您创建的作业,用于分析 S3 存储桶中的对象以确定这些对象是否包含敏感数据。与自动敏感数据发现不同,您可以定义分析的广度和深度。您还可以指定运行作业的频率,即按计划运行一次或定期运行。
按照以下步骤创建一个作业,该作业将在您创建后立即运行一次,并使用默认设置。要了解如何创建定期运行或使用自定义设置的作业,请参阅创建敏感数据发现作业。
创建敏感数据发现作业
打开亚马逊 Macie 主机,网址为。https://console.aws.amazon.com/macie/
-
在导航窗格中,选择作业。
-
请选择 Create job (创建作业)。
-
在 选择 S3 存储桶步骤中,选择选择特定存储桶。然后,在表中,选中您希望任务分析的每个 S3 存储桶对应的复选框。
该表提供了当前 AWS 区域的 S3 通用存储桶的清单。要更轻松地查找特定存储桶,请在表格上方的筛选框中输入筛选标准。您还可以通过选择列标题对表格进行排序。
-
选择完存储桶后,选择下一步。
-
在 查看 S3 存储桶步骤中,查看并验证您的存储桶选择,然后选择 下一步。
-
在 缩小范围步骤中,选择 一次性作业,然后选择下一步。
-
在 选择托管数据标识符步骤中,选择 推荐。(可选)查看我们为作业推荐的托管数据标识符表,然后选择 下一步。
托管数据标识符是一组内置标准和技术,旨在检测特定类型的敏感数据,例如信用卡号、 AWS 秘密访问密钥或特定国家或地区的护照号码。要了解更多信息,请参阅 使用托管数据标识符。
-
在 选择自定义数据标识符步骤中,选择 下一步。
自定义数据标识符是您定义的一组检测敏感数据的标准,即定义要匹配的文本模式的正则表达式 (regex) 和可选的字符序列,以及优化结果的邻近规则。要了解更多信息,请参阅 构建自定义数据标识符。
-
在 选择允许列表步骤中,选择 下一步。
在 Macie 中,允许列表指定了您希望 Macie 在检查 S3 对象是否存在敏感数据时忽略的文本或文本模式。这些通常是特定场景或环境的敏感数据异常。要了解更多信息,请参阅 使用允许列表定义敏感数据例外。
-
在 输入常规设置步骤中,输入作业的名称和描述(可选)。然后选择下一步。
-
对于 检查和创建步骤,检查作业的配置设置并验证它们是否正确。
您还可以查看运行该任务的估计总成本(以美元为单位)。该估算值可以帮助您在保存作业之前确定是否要调整作业的设置。要了解更多信息,请参阅 预测敏感数据发现作业的成本。
-
完成查看和验证作业设置后,选择提交。
Macie 立即开始运行这项作业。要了解如何监控作业,请参阅检查敏感数据发现作业的状态。
步骤 5:查看调查发现
Amazon Macie 自动监控您的 S3 通用存储桶以实现安全性和访问控制,并且创建策略调查发现来报告存储桶安全或隐私方面的潜在问题。如果您运行敏感数据发现作业,或者将 Macie 配置为执行自动敏感数据发现,Macie 会创建敏感数据调查发现以报告其在 S3 对象中检测到的敏感数据。
请按照以下步骤查看调查发现。
要查看调查发现
打开亚马逊 Macie 主机,网址为。https://console.aws.amazon.com/macie/
-
在导航窗格中,选择 调查发现。调查发现页面显示当前 AWS 区域中您的账户的调查发现。
-
要按特定条件筛选调查发现,请在表格上方的筛选框中输入标准。
-
要查看特定调查发现的详细信息,请选择该调查发现。详细信息面板显示了调查发现的详细信息。
要了解有关调查发现的更多信息,包括如何对调查发现进行分组和筛选,请参阅 查看和分析调查发现。