設定自動敏感資料探索的設定 - Amazon Macie
組織的組態選項排除或包含 S3 儲存貯體新增或移除受管資料識別碼新增或移除自訂資料識別碼新增或移除允許清單

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定自動敏感資料探索的設定

如果您為帳戶或組織啟用自動敏感資料探索,您可以調整自動探索設定,以精簡 Amazon Macie 執行的分析。這些設定指定要從分析中排除的 Amazon Simple Storage Service (Amazon S3) 儲存貯體。它們也會指定要偵測和報告的敏感資料的類型和發生次數,包括受管資料識別碼、自訂資料識別碼,並允許清單在分析 S3 物件時使用。

根據預設,Macie 會針對其監控和分析您帳戶的所有 S3 一般用途儲存貯體執行自動敏感資料探索。如果您是組織的 Macie 管理員,這包含成員帳戶擁有的儲存貯體。您可以從分析中排除特定儲存貯體。例如,您可以排除通常存放 AWS 記錄資料的儲存貯體,例如 AWS CloudTrail 事件日誌。如果您排除儲存貯體,您可以稍後再次包含該儲存貯體。

此外,Macie 只會使用我們推薦用於自動敏感資料探索的一組受管資料識別碼來分析 S3 物件。Macie 不會使用自訂資料識別碼,也不允許您定義的清單。若要自訂分析,您可以新增或移除特定受管資料識別碼、自訂資料識別碼和允許清單。

如果您變更設定,Macie 會在下一個評估和分析週期開始時套用您的變更,通常是在 24 小時內。此外,您的變更僅適用於目前的 AWS 區域。若要在其他區域中進行相同的變更,請在每個其他區域中重複適用的步驟。

注意

若要設定自動敏感資料探索的設定,您必須是組織的 Macie 管理員,或擁有獨立的 Macie 帳戶。如果您的 帳戶是組織的一部分,只有組織的 Macie 管理員可以為組織中的帳戶設定和管理這些設定。如果您有成員帳戶,請聯絡您的 Macie 管理員,以了解帳戶和組織的設定。

組織的組態選項

如果帳戶是集中管理多個 Amazon Macie 帳戶的組織的一部分,組織的 Macie 管理員會設定和管理組織中帳戶的自動敏感資料探索。這包括定義 Macie 為帳戶執行之分析的範圍和性質的設定。成員無法存取自己帳戶的這些設定。

如果您是組織的 Macie 管理員,您可以用幾種方式定義分析範圍:

  • 自動啟用帳戶的自動敏感資料探索 – 當您啟用自動敏感資料探索時,您可以指定是否要為所有現有帳戶和新成員帳戶自動啟用,僅限新成員帳戶,或沒有帳戶。如果您為新的成員帳戶自動啟用,當帳戶在 Macie 中加入您的組織時,任何後續加入您組織的帳戶都會啟用此功能。如果為 帳戶啟用,Macie 會包含帳戶擁有的 S3 儲存貯體。如果帳戶已停用,Macie 會排除帳戶擁有的儲存貯體。

  • 選擇性地啟用帳戶的自動敏感資料探索 – 使用此選項,您可以啟用或停用個別帳戶的 case-by-case自動敏感資料探索。如果您為 帳戶啟用它,Macie 會包含該帳戶擁有的 S3 儲存貯體。如果您未啟用或停用帳戶,Macie 會排除帳戶擁有的儲存貯體。

  • 從自動敏感資料探索中排除特定 S3 儲存貯體 – 如果您為一或多個帳戶啟用自動敏感資料探索,則可以排除帳戶擁有的特定 S3 儲存貯體。然後,Macie 會在為組織執行自動探索時略過儲存貯體。若要排除特定儲存貯體,請將它們新增至管理員帳戶的組態設定中的排除清單。您可以為組織排除多達 1,000 個儲存貯體。

根據預設,自動為組織中的所有新帳戶和現有帳戶啟用自動敏感資料探索。此外,Macie 包含帳戶擁有的所有 S3 儲存貯體。如果您保留預設設定,Macie 會針對其監控和分析管理員帳戶的所有儲存貯體執行自動探索,其中包括成員帳戶擁有的所有儲存貯體。

身為 Macie 管理員,您也可以定義 Macie 為組織執行之分析的性質。您可以設定管理員帳戶的其他設定,即受管資料識別碼、自訂資料識別碼,並允許 Macie 在分析 S3 物件時要使用的清單。Macie 在分析組織中其他帳戶的 S3 物件時,會使用管理員帳戶的設定。

排除或包含 S3 儲存貯體

根據預設,Amazon Macie 會針對其監控和分析您帳戶的所有 S3 一般用途儲存貯體執行自動敏感資料探索。如果您是組織的 Macie 管理員,這包含成員帳戶擁有的儲存貯體。

若要縮小範圍,您可以從分析中排除多達 1,000 個 S3 儲存貯體。如果您排除儲存貯體,Macie 會在執行自動敏感資料探索時停止選取和分析儲存貯體中的物件。儲存貯體的現有敏感資料探索統計資料和詳細資訊會持續存在。例如,儲存貯體目前的敏感度分數保持不變。排除儲存貯體之後,您可以稍後再包含該儲存貯體。

排除或包含 S3 儲存貯體

您可以使用 Amazon Macie 主控台或 Amazon Macie 排除或後續包含 S3 儲存貯體API。若要以程式設計方式執行此操作,請使用下列操作:GetClassificationScope、 檢閱目前從分析中排除的儲存貯體清單,或 UpdateClassificationScope、 將儲存貯體排除或包含在後續分析中。

若要使用主控台排除或後續包含 S3 儲存貯體,請遵循下列步驟。

  1. 在 開啟 Amazon Macie 主控台https://console.aws.amazon.com/macie/

  2. 使用頁面右上角的 AWS 區域 選取器,選擇要在分析中排除或包含特定 S3 儲存貯體的區域。

  3. 在導覽窗格中的設定 下,選擇自動敏感資料探索

    自動化敏感資料探索頁面隨即出現,並顯示您目前的設定。在該頁面上,S3 儲存貯體區段會列出目前排除的 S3 儲存貯體,或指出目前包含所有儲存貯體。

  4. S3 儲存貯體區段中,選擇編輯

  5. 執行以下任意一項:

    • 若要排除一或多個 S3 儲存貯體,請選擇將儲存貯體新增至排除清單 。然後,在 S3 儲存貯體資料表中,選取要排除的每個儲存貯體的核取方塊。資料表列出目前區域中您帳戶或組織的所有一般用途儲存貯體。

    • 若要包含您先前排除的一或多個 S3 儲存貯體,請從排除清單中選擇移除儲存貯體。然後,在 S3 儲存貯體資料表中,選取要包含的每個儲存貯體的核取方塊。資料表列出目前從分析中排除的所有儲存貯體。

    若要更輕鬆地尋找特定儲存貯體,請在資料表上方的搜尋方塊中輸入搜尋條件。您也可以選擇欄標題來排序資料表。

  6. 當您完成選取儲存貯體時,請根據您在上一個步驟中選擇的選項,選擇新增移除

提示

您也可以在主控台上檢閱儲存貯體詳細資訊時, case-by-case根據基準排除或包含個別 S3 儲存貯體。若要執行此操作,請在 S3 儲存貯體頁面上選擇儲存貯體。然後,在詳細資訊面板中,變更從儲存貯體的自動探索排除設定。

新增或移除受管資料識別碼

受管資料識別符是一組內建條件和技術,旨在偵測特定類型的敏感資料,例如,信用卡號碼、 AWS 秘密存取金鑰或特定國家或地區的護照號碼。根據預設,Amazon Macie 會使用我們推薦用於自動敏感資料探索的一組受管資料識別碼來分析 S3 物件。若要檢閱這些識別碼的清單,請參閱 自動化敏感資料探索的預設設定

您可以自訂分析以專注於特定類型的敏感資料:

  • 為您希望 Macie 偵測和報告的敏感資料類型新增受管資料識別碼,以及

  • 移除您不希望 Macie 偵測和報告的敏感資料類型的受管資料識別碼。

如果您移除受管資料識別符,您的變更不會影響 S3 儲存貯體的現有敏感資料探索統計資料和詳細資訊。例如,如果您移除秘密存取金鑰的 AWS 受管資料識別碼,且 Macie 先前偵測到儲存貯體中的資料,則 Macie 會繼續報告這些偵測。

提示

您不必移除會影響所有 S3 儲存貯體後續分析的受管資料識別符,而只能從特定儲存貯體的敏感度分數中排除其偵測。如需詳細資訊,請參閱調整 S3 儲存貯體的敏感度分數

新增或移除受管資料識別碼

您可以使用 Amazon Macie 主控台或 Amazon Macie 來新增或移除受管資料識別符API。若要以程式設計方式執行此操作,請使用下列操作:GetSensitivityInspectionTemplate、 來判斷您從目前分析中新增或移除哪些受管資料識別符,或 UpdateSensitivityInspectionTemplate來從後續分析中新增或移除受管資料識別符。

若要使用主控台新增或移除受管資料識別符,請遵循下列步驟。

  1. 在 開啟 Amazon Macie 主控台https://console.aws.amazon.com/macie/

  2. 使用頁面右上角的 AWS 區域 選取器,選擇要在其中新增或移除分析中受管資料識別碼的區域。

  3. 在導覽窗格中的設定 下,選擇自動敏感資料探索

    自動化敏感資料探索頁面隨即出現,並顯示您目前的設定。在該頁面上,受管資料識別符區段會顯示您目前的設定,並組織成兩個索引標籤:

    • 已新增至預設值 – 此標籤列出您新增的受管資料識別碼。Macie 除了預設集中的識別碼之外,還使用這些識別碼,而且您尚未移除。

    • 已從預設中移除 – 此標籤列出您移除的受管資料識別碼。Macie 不會使用這些識別碼。

  4. 受管資料識別碼區段中,選擇編輯

  5. 執行下列任何一項:

    • 若要新增一或多個受管資料識別碼,請選擇新增至預設索引標籤。然後,在表格中,針對要新增的每個受管資料識別碼,選取核取方塊。如果已選取核取方塊,則表示您已新增該識別符。

    • 若要移除一或多個受管資料識別符,請選擇從預設標籤移除。然後,在表格中,針對要移除的每個受管資料識別符,選取其核取方塊。如果已選取核取方塊,表示您已移除該識別符。

    在每個索引標籤上,資料表會顯示 Macie 目前提供的所有受管資料識別碼清單。在表格中,第一欄指定每個受管資料識別碼的 ID。ID 描述了識別符旨在偵測的敏感資料類型,例如美國護照號碼為 USA_PASSPORT_NUMBER。若要更輕鬆地尋找特定受管資料識別碼,請在資料表上方的搜尋方塊中輸入搜尋條件。您也可以選擇欄標題來排序資料表。如需每個識別符的詳細資訊,請參閱 使用受管資料識別符

  6. 完成後,請選擇儲存

新增或移除自訂資料識別碼

自訂資料識別符是您為偵測敏感資料而定義的一組條件。此條件包含規則運算式 (Regex),此表達式定義要比對的文字模式,以及可選擇的字元序列和精簡結果之鄰近性規則。如需進一步了解,請參閱 建置自訂資料識別符

根據預設,Amazon Macie 在執行自動敏感資料探索時,不會使用自訂資料識別碼。如果您想要 Macie 使用特定的自訂資料識別符,您可以將它們新增至分析。然後,除了您設定 Macie 使用的任何受管資料識別符之外,Macie 還會使用自訂資料識別符。

如果您新增自訂資料識別符,稍後可以將其移除。您的變更不會影響 S3 儲存貯體現有的敏感資料探索統計資料和詳細資訊。也就是說,如果您移除先前為儲存貯體產生偵測的自訂資料識別碼,Macie 會繼續報告這些偵測。但是,考慮從僅特定儲存貯體的敏感度分數中排除其偵測,而不是移除影響所有儲存貯體後續分析的識別符。如需詳細資訊,請參閱調整 S3 儲存貯體的敏感度分數

新增或移除自訂資料識別碼

您可以使用 Amazon Macie 主控台或 Amazon Macie 來新增或移除自訂資料識別碼API。若要以程式設計方式執行此操作,請使用下列操作:GetSensitivityInspectionTemplate、 來判斷目前在分析中使用的自訂資料識別碼,或 UpdateSensitivityInspectionTemplate來新增或移除後續分析中的自訂資料識別碼。

若要使用主控台新增或移除自訂資料識別符,請遵循下列步驟。

  1. 在 開啟 Amazon Macie 主控台https://console.aws.amazon.com/macie/

  2. 使用頁面右上角的 AWS 區域 選取器,選擇要從分析中新增或移除自訂資料識別碼的區域。

  3. 在導覽窗格中的設定 下,選擇自動敏感資料探索

    自動化敏感資料探索頁面隨即出現,並顯示您目前的設定。在該頁面上,自訂資料識別符區段會列出您已新增的自訂資料識別符,或者表示您尚未新增任何自訂資料識別符。

  4. 自訂資料識別碼區段中,選擇編輯

  5. 執行下列任何一項:

    • 若要新增一或多個自訂資料識別碼,請選取要新增的每個自訂資料識別碼的核取方塊。如果已選取核取方塊,則表示您已新增該識別符。

    • 若要移除一或多個自訂資料識別碼,請清除每個要移除之自訂資料識別碼的核取方塊。如果已清除核取方塊,Macie 目前不會使用該識別符。

    提示

    若要在新增或移除自訂資料識別碼之前檢閱或測試其設定,請選擇識別碼名稱旁的連結圖示 ( The link icon, which is a gray box that has an arrow in it. )。Macie 會開啟一個頁面,顯示識別符的設定。若要使用範例資料測試識別符,請在此頁面的範例資料方塊中輸入最多 1,000 個字元的文字。然後選擇測試 。Macie 會評估範例資料並報告相符項目的數量。

  6. 完成後,請選擇儲存

新增或移除允許清單

在 Amazon Macie 中,允許清單會定義特定文字或文字模式,您希望 Macie 在檢查 S3 物件是否有敏感資料時忽略這些文字或文字模式。如果文字符合允許清單中的項目或模式,Macie 不會報告文字。即使文字符合受管或自訂資料識別碼的條件,也是如此。如需進一步了解,請參閱 使用允許清單定義敏感資料例外狀況

根據預設,Macie 在執行自動敏感資料探索時,不會使用允許清單。如果您想要 Macie 使用特定允許清單,您可以將它們新增至分析。如果您新增允許清單,稍後可以將其移除。

若要新增或移除允許清單

您可以使用 Amazon Macie 主控台或 Amazon Macie 來新增或移除允許清單API。若要以程式設計方式執行此操作,請使用下列操作:GetSensitivityInspectionTemplate、 來判斷目前在分析中使用的允許清單,或 UpdateSensitivityInspectionTemplate來從後續分析中新增或移除允許清單。

若要使用主控台新增或移除允許清單,請遵循下列步驟。

  1. 在 開啟 Amazon Macie 主控台https://console.aws.amazon.com/macie/

  2. 使用頁面右上角的 AWS 區域 選取器,選擇要從分析中新增或移除允許清單的區域。

  3. 在導覽窗格中的設定 下,選擇自動敏感資料探索

    自動化敏感資料探索頁面隨即出現,並顯示您目前的設定。在該頁面上,允許清單區段會指定您已新增的允許清單,或表示您尚未新增任何允許清單。

  4. 允許清單區段中,選擇編輯

  5. 執行下列任何一項:

    • 若要新增一或多個允許清單,請選取要新增的每個允許清單的核取方塊。如果已選取核取方塊,則表示您已新增該清單。

    • 若要移除一或多個允許清單,請清除每個允許清單要移除的核取方塊。如果已清除核取方塊,Macie 目前不會使用該清單。

    提示

    若要在新增或移除允許清單之前檢閱其設定,請選擇清單名稱旁的連結圖示 ( The link icon, which is a gray box that has an arrow in it. )。Macie 會開啟顯示清單設定的頁面。如果清單指定了規則運算式 (regex ),您也可以使用此頁面,使用範例資料測試 regex。若要執行此操作,請在範例資料方塊中輸入最多 1,000 個字元的文字,然後選擇測試 。Macie 會評估範例資料並報告相符項目的數量。

  6. 完成後,請選擇儲存