本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 Macie 探索敏感資料
使用 Amazon Macie,您可以自動探索、記錄和報告 Amazon Simple Storage Service (Amazon S3) 資料資產中的敏感資料。您可以透過兩種方式執行此操作:透過設定 Macie 執行自動敏感資料探索,以及建立和執行敏感資料探索任務。
自動化敏感資料探索可讓您廣泛了解敏感資料可能位於 Amazon S3 資料資產中的位置。使用此選項,Macie 會每天評估您的 S3 儲存貯體庫存,並使用抽樣技術來識別和選取儲存貯體中的代表性 S3 物件。然後,Macie 會擷取和分析選取的物件,檢查它們是否有敏感資料。如需詳細資訊,請參閱執行自動化敏感資料探索。
敏感資料探索任務提供更深入、更針對性的分析。使用此選項,您可以定義分析的廣度和深度,即您選取的特定 S3 儲存貯體或符合特定條件的儲存貯體。您也可以選擇選項來縮小分析範圍,例如衍生自 S3 物件屬性的自訂條件。此外,您可以將任務設定為僅執行一次以進行隨需分析和評估,或定期執行一次以進行定期分析、評估和監控。如需詳細資訊,請參閱執行敏感資料探索任務。
使用任一選項、自動化敏感資料探索或敏感資料探索任務,您可以設定 Macie 使用其提供的受管資料識別符、您定義的自訂資料識別符,或兩者的組合來分析 S3 物件。您也可以使用允許清單微調分析。當您設定自動敏感資料探索或敏感資料探索任務的設定時,您可以指定要使用的項目:
-
受管資料識別符 – 這些是內建的標準和技術,旨在偵測特定類型的敏感資料。例如,他們可以偵測特定國家和區域的信用卡號碼、 AWS 私密存取金鑰和護照號碼。他們可以偵測許多國家和地區的敏感資料類型的大型和不斷增長的清單。這包括多種類型的個人識別資訊 (PII)、財務資訊和登入資料。如需詳細資訊,請參閱使用受管資料識別符。
-
自訂資料識別符 – 這些是您用來偵測敏感資料的自訂條件。每個自訂資料識別符都會指定規則表達式 (regex),以定義要比對的文字模式,以及選擇性的字元序列和精簡結果的鄰近規則。您可以使用它們來偵測反映特定案例、智慧財產權或專屬資料的敏感資料,例如員工 IDs、客戶帳戶號碼或內部資料分類。如需詳細資訊,請參閱建置自訂資料識別符。
-
允許清單 – 這些指定您要 Macie 忽略的文字和文字模式。您可以使用它們來指定特定案例或環境的敏感資料例外狀況,例如您組織的公有名稱或電話號碼,或組織用於測試的範例資料。如果 Macie 在允許清單中找到符合項目或模式的文字,Macie 不會報告該文字的出現。即使文字符合受管或自訂資料識別符的條件,也是如此。如需詳細資訊,請參閱使用允許清單定義敏感資料例外狀況。
當 Macie 分析 S3 物件時,Macie 會從 Amazon S3 擷取物件的最新版本,然後檢查物件的內容是否有敏感資料。如果下列項目為 true,Macie 可以分析物件:
-
物件使用支援的檔案或儲存格式,並使用支援的儲存類別儲存在 S3 一般用途儲存貯體中。如需詳細資訊,請參閱支援的儲存類別和格式。
-
如果物件已加密,則會使用 Macie 可存取並允許使用的金鑰進行加密。如需詳細資訊,請參閱分析加密的 S3 物件。
-
如果物件存放在具有限制性儲存貯體政策的儲存貯體中,則此政策允許 Macie 存取儲存貯體中的物件。如需詳細資訊,請參閱允許 Macie 存取 S3 儲存貯體和物件。
為了協助您符合並維持對資料安全與隱私權要求的合規,Macie 會產生其找到的敏感資料記錄,以及其執行的分析,例如敏感資料調查結果和敏感資料探索結果。敏感資料問題清單是 Macie 在 S3 物件中找到的敏感資料的詳細報告。敏感資料探索結果是記錄物件分析之相關詳細資料的報告。每種類型的記錄都遵循標準化結構描述,這可協助您視需要使用其他應用程式、服務和系統來查詢、監控和處理這些結構描述。
提示
雖然 Macie 已針對 Amazon S3 最佳化,但您可以使用它來探索您目前存放在其他位置的資源中的敏感資料。您可以暫時或永久將資料移至 Amazon S3 來執行此操作。例如,以 Apache Parquet 格式將 Amazon Relational Database Service 或 Amazon Aurora 快照匯出至 Amazon S3。或將 Amazon DynamoDB 資料表匯出至 Amazon S3。然後,您可以建立任務來分析 Amazon S3 中的資料。
