使用 Macie 發現敏感數據 - Amazon Macie

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 Macie 發現敏感數據

使用 Amazon Macie,您可以自動探索、記錄和報告 Amazon Simple Storage Service (Amazon S3) 資料資產中的敏感資料。您可以透過兩種方式執行此操作:將 Macie 設定為執行自動化敏感資料探索,以及建立和執行敏感資料探索工作。

自動化敏感資料探索

自動化敏感資料探索可讓您廣泛掌握敏感資料在 Amazon S3 資料資產中的位置。使用此選項,Macie 會每天評估您的 S3 儲存貯體庫存,並使用取樣技術從儲存貯體中識別和選取具代表性的 S3 物件。然後,Macie 會擷取並分析選取的物件,檢查它們是否有敏感資料。如需詳細資訊,請參閱執行自動化敏感資料探索

敏感性資料探索工作

敏感資料探索工作提供更深入、更具針對性的分析。使用此選項,您可以定義分析的廣度和深度 — 您選取的特定 S3 儲存貯體或符合特定準則的儲存貯體。您也可以選擇選項 (例如從 S3 物件屬性衍生的自訂準則) 來縮小分析範圍。此外,您可以將工作設定為僅執行一次以進行隨選分析和評估,或定期分析、評估和監視定期執行一次。如需詳細資訊,請參閱執行敏感資料探索任務

透過自動化敏感資料探索或敏感資料探索任務,您可以使用 Macie 提供的受管資料識別碼、您定義的自訂資料識別碼或兩者的組合來分析 S3 物件。您也可以使用允許清單來微調分析。

受管資料識別碼

受管理資料識別碼是內建的準則和技術,用來偵測特定類型的敏感資料,例如信用卡號碼、 AWS 特定國家或地區的秘密訪問密鑰或護照號碼。他們可以偵測許多國家和地區不斷增加的敏感資料類型清單,包括多種類型的憑證資料、財務資訊和個人識別資訊 (PII)。如需詳細資訊,請參閱使用受管資料識別符

自訂資料識別碼

自訂資料識別碼定義偵測敏感資料的自訂準則。每個自訂資料識別碼都會指定一個規則運算式 (regex),該運算式會定義要比對的文字模式,以及可選擇性的字元序列和細化結果的鄰近規則。您可以使用它們來偵測反映您特定案例、智慧財產或專屬資料的敏感資料,例如員工IDs、客戶帳戶號碼或內部資料分類。如需詳細資訊,請參閱建置自訂資料識別符

允許清單

在 Macie 中,允許清單指定 S3 物件中要忽略的文字和文字模式,通常是針對特定案例或環境的敏感資料例外狀況,例如組織的公用名稱或電話號碼,或組織用於測試的範例資料。如果 Macie 在允許清單中找到符合項目或模式的文字,Macie 就不會報告該文字出現,即使該文字符合受管理或自訂資料識別碼的準則。如需詳細資訊,請參閱使用允許清單定義敏感資料例外狀況

當 Macie 分析 S3 物件時,Macie 會從 Amazon S3 擷取物件的最新版本,然後檢查物件的內容是否有敏感資料。如果符合以下條件,Macie 可以分析物件:

  • 物件使用支援的檔案或儲存格式,並使用支援的儲存類別存放在 S3 一般用途儲存貯體中。如需詳細資訊,請參閱支援的儲存類別和格式

  • 如果物件已加密,則會使用 Macie 可存取且允許使用的金鑰加密物件。如需詳細資訊,請參閱分析加密的 S3 物件

  • 如果物件儲存在具有限制性值區政策的值區中,則此政策允許 Macie 存取值區中的物件。如需詳細資訊,請參閱允許 Macie 存取 S3 儲存貯體和物件

為了協助您符合資料安全性和隱私權要求,Macie 會產生所找到的敏感資料及其執行的分析記錄,包括敏感資料發現和敏感資料探索結果敏感資料發現是 Macie 在 S3 物件中找到的敏感資料的詳細報告。敏感資料探索結果是記錄物件分析之相關詳細資料的報告。每種類型的記錄都遵循標準化的結構描述,可協助您視需要使用其他應用程式、服務和系統來查詢、監視和處理這些記錄。

提示

雖然 Macie 已針對 Amazon S3 進行了最佳化,但您可以使用它來探索目前存放在其他地方的資源中的敏感資料。您可以暫時或永久地將資料移至 Amazon S3 來執行此操作。例如,將 Amazon Relational Database Service 服務或 Amazon Aurora 快照以 Apache 實木複合格式匯出到 Amazon S3。或將亞馬遜動態資料表匯出至 Amazon S3。然後,您可以建立任務來分析 Amazon S3 中的資料。