本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
建立敏感資料探索任務
使用 Amazon Macie,您可以建立和執行敏感資料探索任務,在 Amazon Simple Storage Service (Amazon S3) 一般用途儲存貯體中自動探索、記錄和報告敏感資料。敏感資料探索任務是 Macie 執行的一系列自動化處理和分析任務,以偵測和報告 Amazon S3 物件中的敏感資料。隨著分析的進行,Macie 會提供所找到之敏感資料及其執行分析的詳細報告:敏感資料發現項目、報告 Macie 在個別 S3 物件中找到的敏感資料,以及敏感資料探索結果,記錄有關個別 S3 物件分析的詳細資料。如需詳細資訊,請參閱檢閱工作結果。
建立任務時,首先要指定哪些 S3 儲存貯體存放物件,這些物件會在任務執行時進行分析,也就是您選取的特定儲存貯體或符合特定準則的值區。然後,您可以指定執行工作的頻率 — 一次,或定期每天、每週或每月執行一次。您也可以選擇選項來精簡工作的分析範圍。這些選項包括從 S3 物件屬性衍生而來的自訂準則,例如標籤、首碼,以及上次修改物件的時間。
定義工作的排程和範圍之後,您可以指定要使用的受管理資料識別碼和自訂資料識別碼:
然後您可以選擇性地選取允許使用清單。在 Macie 中,允許清單指定要忽略的文字或文字模式。這些通常是您特定案例或環境的敏感資料例外狀況,例如組織的公用名稱或電話號碼,或組織用於測試的範例資料。如需詳細資訊,請參閱使用允許清單定義敏感資料例外狀況。
完成選擇這些選項後,您就可以輸入工作的一般設定,例如工作的名稱和描述。然後,您可以檢閱並儲存工作。
任務
開始之前:設定重要資源
在建立工作之前,最好先採取下列步驟:
-
確認您已為敏感資料探索結果設定存放庫。若要這樣做,請在 Amazon Macie 主控台的導覽窗格中選擇「探索結果」。若要瞭解這些設定,請參閱儲存及保留敏感資料探索結果。
-
建立您要工作使用的任何自訂資料識別碼。如要瞭解如何作業,請參閱建置自訂資料識別符。
-
建立任何您要工作使用的允許清單。如要瞭解如何作業,請參閱使用允許清單定義敏感資料例外狀況。
-
如果您要分析已加密的 S3 物件,請確定 Macie 可以存取和使用適當的加密金鑰。如需詳細資訊,請參閱分析加密的 S3 物件。
-
如果您想要分析具有限制性儲存貯體政策的 S3 儲存貯體中的物件,請確定允許 Macie 存取這些物件。如需詳細資訊,請參閱允許 Macie 存取 S3 儲存貯體和物件。
如果您在建立工作之前執行這些操作,您可以簡化工作的建立,並協助確保工作能夠分析您想要的資料。
步驟 1:選擇 S3 儲存貯體
建立任務時,第一個步驟是指定哪些 S3 儲存貯體存放您希望 Macie 在任務執行時分析的物件。對於此步驟,您有兩個選擇:
-
選取特定儲存貯體 — 使用此選項,您可以明確選取要分析的每個 S3 儲存貯體。然後,當工作執行時,Macie 只會分析您選取的值區中的物件。
-
指定儲存貯體準則 — 使用此選項,您可以定義執行時期準則,以決定要分析哪些 S3 儲存貯體。條件包含從值區屬性衍生的一或多個條件。然後,當工作執行時,Macie 會識別符合您條件的值區,並分析這些值區中的物件。
如需這些選項的詳細資訊,請參閱 任務的範圍選項。
以下各節提供選擇和配置每個選項的指示。選擇所需選項的區段。
如果您選擇明確選取要分析的每個 S3 儲存貯體,Macie 會為您提供目前一般用途儲存貯體的完整清查 AWS 區域。 然後,您可以使用此庫存來選取工單的一或多個時段。若要瞭解此清單,請參閱選取特定 S3 儲存貯體。
如果您是組織的 Macie 管理員,則資產管理員會包含組織中成員帳戶所擁有的值區。您可以選取多達 1,000 個這些值區,跨越多達 1,000 個帳戶。
若要為任務選取特定的 S3 儲存貯體
在https://console.aws.amazon.com/macie/
打開 Amazon Macie 控制台。 -
在導覽窗格中,選擇 Jobs (任務)。
-
選擇建立作業。
-
在 [選擇 S3 儲存貯體] 頁面上,選擇選取特定儲存貯體。Macie 會顯示目前區域中您帳戶的所有一般用途值區的表格。
-
在「選取 S3 儲存貯體」 區段中,選擇性地選擇重新整理 (
) 以從 Amazon S3 擷取最新的儲存貯體中繼資料。如果資訊圖示 (
) 出現在任何值區名稱旁,我們建議您這麼做。此圖示表示儲存貯體是在過去 24 小時內建立的,可能是在 Macie 上次從 Amazon S3 擷取儲存貯體和物件中繼資料作為每日重新整理週期的一部分之後建立。 -
在表格中,選取您要分析工作的每個值區的核取方塊。
提示
-
若要更輕鬆地尋找特定值區,請在表格上方的篩選方塊中輸入篩選條件。您也可以選擇欄標題來排序表格。
-
若要判斷您是否已將工作設定為定期分析值區中的物件,請參閱按工作監視欄位。如果欄位中出現「是」,則該時段會明確納入週期性工單中,或符合過去 24 小時內週期性工單條件的時段。此外,其中至少有一個工作的狀態為「未取消」。Macie 每天都會更新此數據。
-
若要判斷值區中現有的週期性工作或一次性工作最近分析過的物件時間,請參閱「最新工作執行」欄位。如需有關該工作的其他資訊,請參閱值區的詳細資訊。
-
若要顯示值區的詳細資訊,請選擇值區的名稱。除了工作相關資訊之外,詳細資料面板還提供值區的統計資料和其他資訊,例如值區的公開存取設定。若要進一步瞭解此資料,請參閱檢閱您的 S3 儲存貯體庫存。
-
-
完成選取值區後,請選擇「下一步」。
在下一個步驟中,您將檢閱並確認您的選擇。
如果您選擇指定決定要分析哪些 S3 儲存貯體的執行階段條件,Macie 會提供選項來協助您針對條件中的個別條件選擇欄位、運算子和值。若要進一步了解這些選項,請參閱指定 S3 儲存貯體條件。
若要指定工作的 S3 儲存貯體條件
在https://console.aws.amazon.com/macie/
打開 Amazon Macie 控制台。 -
在導覽窗格中,選擇 Jobs (任務)。
-
選擇建立作業。
-
在 [選擇 S3 儲存貯體] 頁面上,選擇 [指定儲存貯體條件
-
在「指定值區條件」下,執行下列動作,將條件新增至條件:
-
將游標置於篩選方塊中,然後選擇要用於條件的值區內容。
-
在第一個方塊中,選擇條件的運算子,「等於」或「不等於」。
-
在下一個方塊中,輸入性質的一個或多個值。
根據值區屬性的類型和性質,Macie 會顯示輸入值的不同選項。例如,如果您選擇「有效」權限屬性,Macie 會顯示可供選擇的值清單。如果您選擇「帳戶 ID」屬性,Macie 會顯示一個文字方塊,您可以在其中輸入一或多個 AWS 帳戶 IDs。若要在文字方塊中輸入多個值,請輸入每個值,並以逗號分隔每個項目。
-
選擇套用。Macie 會新增條件,並將其顯示在篩選方塊下方。
默認情況下,馬西添加了一個包括語句的條件。這表示工作已設定為分析 (包含) 值區中符合條件的物件。若要略過 (排除) 符合條件的值區,請針對條件選擇「包含」,然後選擇「排除」。
-
針對您要新增至條件的每個其他條件,重複上述步驟。
-
-
若要測試您的條件,請展開「預覽條件結果」區段。此段落顯示目前符合條件的一般用途值區表格。
-
若要精簡您的條件,請執行下列任一項作業:
-
若要移除條件,請選擇「X」做為條件。
-
若要變更條件,請為條件選擇 X 來移除條件。然後新增具有正確設定的條件。
-
若要移除所有條件,請選擇 [清除篩選]。
Macie 會更新條件結果表格,以反映您的變更。
-
-
完成指定值區條件後,請選擇「下一步」。
在下一個步驟中,您將檢閱並驗證您的條件。
步驟 2:查看您的 S3 儲存貯體選擇或條件
對於此步驟,請確認您在上述步驟中選擇了正確的設定:
-
檢閱儲存貯體選項-如果您為工作選取了特定的 S3 儲存貯體,請檢閱值區表,並視需要變更儲存貯體選項。此表格提供了工作分析的預計範圍和成本的深入分析。資料是根據目前儲存在值區中的物件大小和類型而定。
在表格中,「預估成本」欄位會指出分析 S3 儲存貯體中物件的總估計成本 (以美元為單位)。每個估計值都會反映工作將在值區中分析之未壓縮資料的預估數量。如果有任何物件是壓縮檔案或封存檔案,估計值會假設檔案使用 3:1 的壓縮比率,且工作可以分析所有擷取的檔案。如需詳細資訊,請參閱預測和監控任務成本。
-
複查您的時段條件-如果您已指定工單的時段條件,請複查條件中的每個條件。若要變更條件,請選擇「上一步」,然後使用前述步驟中的篩選選項輸入正確的條件。完成後,請選擇下一步。
完成檢閱和驗證設定後,請選擇 [下一步]。
步驟 3:定義排程並細化範圍
在此步驟中,指定您希望執行工作的頻率 — 一次,或每日、每週或每月定期執行一次。也可以選擇各種選項來細化工作的分析範圍。若要瞭解這些選項,請參閱任務的範圍選項。
若要定義排程並精簡工作範圍,請執行下列步驟:
-
在 [精簡範圍] 頁面上,指定您要執行工作的頻率:
-
若只要執行一次工作,請在完成建立工作之後立即選擇「一次性工作」。
-
若要定期執行工作,請選擇 [排定的工作]。在「更新頻率」中,選擇要每天、每週還是每月執行工作。然後使用「包含現有物件」選項來定義工作第一次執行的範圍:
-
選取此核取方塊可在完成建立工作後立即分析所有現有物件。每次後續執行都只會分析在前一次執行之後建立或變更的物件。
-
清除此勾選方塊可略過對所有既有物件的分析。工作的第一次執行只會分析在您完成建立工作後以及第一次執行開始之前所建立或變更的物件。每次後續執行都只會分析在前一次執行之後建立或變更的物件。
清除此核取方塊對於您已經分析資料並希望定期繼續分析資料的情況很有幫助。例如,如果您之前使用其他服務或應用程式來分類資料,而您最近開始使用 Macie,您可以使用此選項來確保繼續探索和分類您的資料,而不會產生不必要的成本或複製分類資料。
-
-
-
(選擇性) 若要指定要工作分析的物件百分比,請在「取樣深度」方塊中輸入百分比。
如果此值小於 100%,Macie 會根據指定的百分比隨機選取要分析的物件,並分析這些物件中的所有資料。預設值為 100%。
-
(選擇性) 若要新增決定哪些 S3 物件要包含或從任務分析中排除的特定條件,請展開 [其他設定] 區段,然後輸入準則。這些準則由從物件性質導出的個別條件組成:
-
若要分析 (包括) 符合特定條件的物件,請輸入條件類型和值,然後選擇「包含」。
-
若要略過 (排除) 符合特定條件的物件,請輸入條件類型和值,然後選擇「排除」。
針對您想要的每個包含或排除條件重複此步驟。
如果您輸入多個條件,任何排除條件的優先順序都會高於包含條件。例如,如果您包括副檔名為 .pdf 的物件,並排除大於 5 MB 的物件,則工作會分析任何具有 .pdf 副檔名的物件,除非該物件大於 5 MB。
-
-
完成後,請選擇下一步。
步驟 4:選取受管理的資料識別碼
在此步驟中,指定工作分析 S3 物件時要使用的受管資料識別碼。您有兩種選擇:
-
使用建議的設定-使用此選項,任務會使用我們針對任務建議的一組受管資料識別碼來分析 S3 物件。此集合旨在檢測敏感數據的常見類別和類型。若要檢閱集合中目前的受管理資料識別碼清單,請參閱建議用於工作的受管資料識別。每當我們在集合中新增或移除受管理的資料識別碼時,我們都會更新該清單。
-
使用自訂設定-使用此選項,任務會使用您選取的受管資料識別碼來分析 S3 物件。這可以是目前可用的全部或僅部分受管理資料識別碼。您也可以將工作設定為不使用任何受管理的資料識別碼。作業只能使用您在下一個步驟中選取的自訂資料識別碼。若要檢閱目前可用的受管理資料識別碼清單,請參閱快速參考:依類型列出的受管資料識別碼。每次我們發布新的託管數據標識符時,我們都會更新該列表。
當您選擇其中一個選項時,Macie 會顯示受管理資料識別碼的表格。在資料表中,敏感資料類型欄位會指定受管理資料識別碼的唯一識別碼 (ID)。此 ID 描述受管資料識別碼用來偵測的機密資料類型,例如:USA_ PASSPORT _ NUMBER 表示美國護照號碼,CREDITCARD_ 表示信NUMBER用卡號碼,PGPPRIVATE_ KEY 表示PGP私密金鑰。若要更快速地尋找特定識別碼,您可以依敏感資料類別或類型來排序和篩選表格。
若要選取工作的受管理資料識別碼
-
在 [選取受管資料識別碼] 頁面的 [受管理的資料識別碼選項] 下,執行下列其中一個動作:
-
若要使用我們針對工作建議的一組受管理資料識別碼,請選擇 [建議]。
如果您選擇此選項,並將工作設定為執行一次以上,則每次執行會在執行開始時自動使用建議集合中的所有受管理資料識別碼。這包括我們釋放並新增至集合的新受管理資料識別碼。它會排除我們從集合中移除且不再建議用於工作的受管資料識別碼。
-
若只要使用您選取的特定受管理資料識別碼,請選擇 [自訂],然後選擇 [使用特定受管資料識別碼]。然後,在表格中,選取您要工作使用的每個受管理資料識別碼的核取方塊。
如果您選擇此選項,並將工作設定為執行一次以上,則每次執行都只會使用您選取的受管理資料識別碼。換句話說,工作每次執行時都會使用這些相同的受管理資料識別碼。
-
若要使用 Macie 目前提供的所有受管理資料識別碼,請選擇 [自訂],然後選擇 [使用特定的受管理資料識別碼]。然後,在表格中,選取選取欄標題中的核取方塊,以選取所有列。
如果您選擇此選項,並將工作設定為執行一次以上,則每次執行都只會使用您選取的受管理資料識別碼。換句話說,工作每次執行時都會使用這些相同的受管理資料識別碼。
-
若要不使用任何受管理的資料識別碼並僅使用自訂資料識別碼,請選擇 [自訂],然後選擇 [不使用任何受管理的資料識別碼]。然後,在下一步中,選取要使用的自訂資料識別碼。
-
-
完成後,請選擇下一步。
步驟 5:選擇自定義數據標識符
在此步驟中,請選取任務在分析 S3 物件時要使用的任何自訂資料識別碼。除了設定工作使用的任何受管理資料識別碼之外,工作還會使用選取的識別碼。若要進一步瞭解自訂資料識別碼,請參閱建置自訂資料識別符。
若要選取工作的自訂資料識別碼
-
在 [選取自訂資料識別碼] 頁面上,選取您要工作使用的每個自訂資料識別碼的核取方塊。您可以選取多達 30 個自訂資料識別碼。
提示
若要在選取自訂資料識別碼之前檢閱或測試自訂資料識別碼的設定,請選擇識別碼名稱旁邊的連結圖示 (
)。Macie 打開一個頁面,顯示標識符的設置。您也可以使用此頁面來測試使用範例資料的識別碼。若要這麼做,請在 [範例資料] 方塊中輸入最多 1,000 個字元的文字,然後選擇 [測試]。Macie 會使用識別碼來評估範例資料,然後報告相符項目的數目。
-
完成選取自訂資料識別碼後,請選擇 [下一步]。
步驟 6:選擇允許列表
在此步驟中,選取任何您希望工作在分析 S3 物件時使用的允許清單。若要深入瞭解允許清單,請參閱使用允許清單定義敏感資料例外狀況。
若要選取工作的允許清單
-
在 [選取允許清單] 頁面上,針對您要工作使用的每個允許清單選取核取方塊。您可以選擇多達 10 個列表。
提示
若要在選取允許清單之前檢閱該清單的設定,請選擇清單名稱旁邊的連結圖示 (
)。Macie 會開啟顯示清單設定的頁面。如果清單指定規則運算式 (regex),您也可以使用此頁面來測試使用範例資料的 regex。若要這麼做,請在 [範例資料] 方塊中輸入最多 1,000 個字元的文字,然後選擇 [測試]。Macie 使用正則表達式評估樣本數據,然後報告匹配的數量。
-
完成選取允許清單後,請選擇 [下一步]。
步驟 7:輸入常規設置
對於此步驟,請指定工作的名稱,並選擇性地指定描述。您也可以為工作指派標籤。標籤是您定義並指定給某些類型的標籤 AWS 的費用。每個標籤都包含必要的標籤鍵和一個可選的標籤值。標籤可協助您以不同的方式識別、分類及管理資源,例如依用途、擁有者、環境或其他條件。如需進一步了解,請參閱 標記 Macie 資源。
輸入工作的一般設定
-
在 [輸入一般設定] 頁面上,於 [Job 名稱] 方塊中輸入工作的名稱。該名稱最多可包含 500 個字元。
-
(選擇性) 在「Job 說明」中,輸入工作的簡短描述。該描述最多可包含 200 個字元。
-
(選擇性) 針對「標籤」,選擇「新增標記」,然後輸入最多 50 個標籤以指派給工作。
-
完成後,請選擇下一步。
步驟 8:檢閱並建立
在最後一個步驟中,檢閱工作的組態設定,並確認它們是否正確。這是一個重要的步驟。建立工作後,您無法變更任何這些設定。這有助於確保您擁有不可變的敏感資料發現歷史記錄,以及您執行的資料隱私權和保護稽核或調查的探索結果。
根據工作的設定,您也可以檢閱執行作業的總估計成本 (以美元計) 一次。如果您為工作選取了特定的 S3 儲存貯體,則預估會根據您選取的儲存貯體中的物件大小和類型,以及該工作可以分析的資料量。如果您為工作指定了值區條件,則預估值會根據目前符合準則的 500 個值區中的物件大小和類型,以及該工作可以分析的資料量。若要瞭解此估計值,請參閱預測和監控任務成本。
檢閱和建立工作的步驟
-
在 [檢閱並建立] 頁面上,檢閱每個設定並確認其正確無誤。若要變更設定,請在包含設定的區段中選擇 [編輯],然後輸入正確的設定。您也可以使用導覽索引標籤移至包含設定的頁面。
-
完成驗證設定後,請選擇送出以建立並儲存工作。Macie 會檢查設置並通知您要解決的任何問題。
注意
如果您尚未為敏感資料探索結果設定儲存庫,Macie 會顯示警告,且不會儲存工作。若要解決此問題,請選擇 [儲存區域中的機密資料探查結果] 區段中的 [設定] 然後輸入存放庫的組態設定。如要瞭解如何作業,請參閱儲存及保留敏感資料探索結果。輸入設定值後,請返回「複查並建立」頁面,然後在頁面的「敏感資料探索結果的儲存區域」段落中選擇 refresh (
)。雖然我們不建議這樣做,但您可以暫時覆寫存放庫需求並儲存工作。如果您這樣做,您可能會遺失工作中的探索結果 — Macie 只會保留 90 天的結果。若要暫時取代需求,請選取取代選項的勾選方塊。
-
如果 Macie 通知您要解決的問題,請解決問題,然後再次選擇「送出」以建立並儲存工作。
如果您設定工作執行一次、每天執行一次,或在一週或每月的目前日期執行,Macie 會在您儲存工作後立即開始執行工作。否則,Macie 會準備在星期或每月的指定日期執行工作。若要監視工作,您可以檢查工作的狀態。
