儲存及保留敏感資料探索結果 - Amazon Macie
在您開始之前:學習關鍵概念步驟 1:驗證您的權限步驟 2:設定 AWS KMS key步驟 3:選擇 S3 儲存貯體

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

儲存及保留敏感資料探索結果

當您執行敏感資料探索任務或 Amazon Macie 執行自動化敏感資料探索時,Macie 會為分析範圍中包含的每個 Amazon 簡單儲存服務 (Amazon S3) 物件建立分析記錄。這些記錄稱為敏感資料探索結果,記錄 Macie 在個別 S3 物件上執行之分析的詳細資料。這包括 Macie 無法在其中偵測敏感資料,因此不會產生發現項目的物件,以及 Macie 因錯誤或問題而無法分析的物件。如果 Macie 偵測到物件中的敏感資料,則記錄會包含來自對應發現項目的資料以及其他資訊。敏感資料探索結果為您提供分析記錄,這些記錄對於資料隱私權和保護稽核或調查有幫助。

Macie 只會儲存您的敏感資料探索結果 90 天。若要存取結果並啟用長期儲存和保留結果,請將 Macie 設定為使用 AWS Key Management Service (AWS KMS) 金鑰加密結果,並將其存放在 S3 儲存貯體中。儲存貯體可作為所有敏感資料探索結果的確定長期存放庫。然後,您可以選擇性地存取和查詢該儲存庫中的結果。

本主題將引導您完成使用 AWS Management Console 來設定敏感資料探查結果存放庫的程序。組態是加密結果的組 AWS KMS key 合、儲存結果的 S3 一般用途儲存貯體,以及指定要使用哪個金鑰和儲存貯體的 Macie 設定的組合。如果您偏好以程式設計方式設定 Macie 設定,可以使用 Amazon Mac API ie 的PutClassificationExportConfiguration操作。

當您在 Macie 中設定設定時,您的選擇只會套用至目前 AWS 區域的。如果您是組織的 Macie 管理員,您的選擇僅適用於您的帳戶。它們不適用於任何關聯的成員帳戶。如果您啟用自動化敏感資料探索或執行敏感資料探索工作來分析成員帳戶的資料,Macie 會將敏感資料探索結果儲存在管理員帳戶的儲存庫中。

如果您使用多個 Macie AWS 區域,請為您使用 Macie 的每個區域設定儲存庫設定。您可以選擇性地將多個區域的敏感資料探索結果存放在同一 S3 儲存貯體中。但是,請注意以下要求:

  • 若要儲存預設 AWS 啟用的區域 (例如美國東部 (維吉尼亞北部) 區域的結果,您必須在預設為啟用的區域中選擇值區。 AWS 帳戶結果無法儲存在選擇加入區域的值區中 (預設為停用的區域)。

  • 若要儲存選擇加入區域的結果,例如中東 (巴林) 區域,您必須選擇相同區域中的值區或預設啟用的區域。結果無法儲存在不同選擇加入區域的值區中。

若要確定某個區域是否預設為啟用,請參閱《AWS Identity and Access Management 使用手冊》中的「地區和端點」。除了上述要求之外,還要考慮是否要擷取 Macie 在個別發現項目中報告的敏感資料樣本。若要從受影響的 S3 物件擷取敏感資料樣本,下列所有資源和資料必須儲存在相同的區域:受影響的物件、適用的發現項目,以及對應的敏感資料探索結果。

在您開始之前:學習關鍵概念

Amazon Macie 會自動為每個 Amazon S3 物件建立敏感資料探索結果,這些物件會在您執行敏感資料探索任務或執行自動化敏感資料探索時進行分析或嘗試分析的每個 Amazon S3 物件。其中包含:

  • Macie 偵測到敏感資料的物件,因此也會產生敏感資料發現項目。

  • Macie 未偵測敏感資料的物件,因此不會產生敏感資料發現項目。

  • Macie 因權限設定或使用不支援的檔案或儲存格式等錯誤或問題而無法分析的物件。

如果 Macie 偵測到 S3 物件中的敏感資料,敏感資料探索結果會包含來自對應敏感資料發現的資料。它也會提供其他資訊,例如 Macie 在物件中找到的每種敏感資料類型多達 1,000 次出現的位置。例如:

  • Microsoft Excel 活頁簿、CSV檔案或檔案中儲存格或欄位的欄位與資料列編號 TSV

  • 或 Lines 檔案中欄位或陣列的路徑 JSON JSON

  • 非二進位文字檔案中的行號,而非CSVJSON、JSON行或檔TSV案 — 例如、或檔案 HTML TXT XML

  • Adobe 可攜式文件格式 (PDF) 檔案中頁面的頁碼

  • 記錄索引和路徑在一個 Apache 的 Avro 對象容器或 Apache 實木複合地板文件中的記錄字段

如果受影響的 S3 物件是封存檔案 (例如 .tar 或 .zip 檔案),敏感資料探索結果也會針對 Macie 從封存中擷取的個別檔案中出現的敏感資料提供詳細位置資料。Macie 不會在封存檔案的敏感資料發現項目中包含此資訊。若要報告位置資料,敏感資料探索結果會使用標準化結JSON構描述

敏感資料探索結果不包含 Macie 找到的敏感資料。相反,它提供了一個分析記錄,可以幫助您進行審核或調查。

Macie 會將您的敏感資料探索結果儲存 90 天。您不能直接在 Amazon Macie 控制台或使用 Amazon Macie 訪問它們。API請改為遵循本主題中的步驟,將 Macie 設定為使用您指定的加密結果,並將結果存放在您也指定的 S3 一般用途儲存貯體中。 AWS KMS key 然後,Macie 將結果寫入JSON行(.jsonl)文件,將文件添加到存儲桶作為 GNU Zip(.gz)文件,並使用-加密對數據進行加密。SSE KMS自 2023 年 11 月 8 日起,Macie 也會使用雜湊型訊息驗證碼 () 來簽署產生的 S3 物件。HMAC AWS KMS key

將 Macie 設定為將敏感資料探索結果存放在 S3 儲存貯體之後,儲存貯體可做為結果的確定長期存放庫。然後,您可以選擇性地存取和查詢該儲存庫中的結果。

提示

如需如何查詢和使用敏感資料探索結果來分析和報告潛在資料安全風險的詳細說明範例,請參閱安全部落格上的下列部落格文章:如何使用 Amazon Athena 和 Amazon 查詢和視覺化 Macie 敏感資料探索結果並加以視覺化。AWS QuickSight

如需可用來分析敏感資料探索結果的 Amazon Athena 查詢範例,請造訪上 GitHub的 Amazon Macie 結果分析儲存庫。此儲存庫也提供設定 Athena 擷取和解密結果的指示,以及建立結果表格的指令碼。

步驟 1:驗證您的權限

在為敏感性資料探索結果設定存放庫之前,請確認您具有加密和儲存結果所需的權限。若要驗證您的權限,請使用 AWS Identity and Access Management (IAM) 檢閱附加至您IAM身分的IAM原則。然後將這些原則中的資訊與下列動作清單進行比較,您必須執行這些動作才能設定存放庫。

Amazon Macie

若為 Macie,請確認您已被允許執行下列動作:

macie2:PutClassificationExportConfiguration

此動作可讓您在 Macie 中新增或變更存放庫設定。

Amazon Simple Storage Service (Amazon S3)

對於 Amazon S3,請確認您是否允許執行下列動作:

  • s3:CreateBucket

  • s3:GetBucketLocation

  • s3:ListAllMyBuckets

  • s3:PutBucketAcl

  • s3:PutBucketPolicy

  • s3:PutBucketPublicAccessBlock

  • s3:PutObject

這些動作可讓您存取和設定可做為存放庫的 S3 一般用途儲存貯體。

AWS KMS

若要使用 Amazon Macie 主控台新增或變更儲存庫設定,請確認您可以執行下列 AWS KMS 動作:

  • kms:DescribeKey

  • kms:ListAliases

這些動作可讓您擷取和顯示您帳戶 AWS KMS keys 的相關資訊。然後,您可以選擇其中一個金鑰來加密敏感資料探索結果。

如果您計劃建立新資料 AWS KMS key 來加密資料,您還需要被允許執行下列動作:kms:CreateKeykms:GetKeyPolicy、和kms:PutKeyPolicy

如果您無法執行必要的動作,請先向 AWS 管理員尋求協助,然後再繼續進行下一個步驟。

步驟 2:設定 AWS KMS key

驗證您的權限後,請決定 AWS KMS key 您希望 Macie 使用哪一個來加密您的敏感資料探索結果。金鑰必須是客戶管理的對稱加密KMS金鑰,與您要存放結果的 S3 儲存貯體相同 AWS 區域 。

該密鑰可以是您自己帳戶 AWS KMS key 中的現有密鑰,也可以 AWS KMS key 是另一個帳戶擁有的現有密鑰。如果您要使用新的KMS金鑰,請先建立金鑰,然後再繼續。如果您想要使用其他帳戶擁有的現有金鑰,請取得該金鑰的 Amazon 資源名稱 (ARN)。當您在 Macie 中設定儲存庫設定ARN時,您需要輸入此選項。如需有關建立和檢閱KMS金鑰設定的詳細資訊,請參閱AWS Key Management Service 開發人員指南中的管理金鑰

注意

金鑰可以是外部金鑰存放區 AWS KMS key 中的金鑰。但是,與完全在其中管理的密鑰相比,密鑰可能會慢且不太可靠 AWS KMS。您可以將敏感資料探索存放在設定為使用金鑰做為 S3 儲存貯體金鑰的 S3 儲存貯體,藉此降低此風險。這樣可以減少加密敏感資料探索結果所必須提出的 AWS KMS 要求數量。

如需在外部KMS金鑰存放區中使用金鑰的詳細資訊,請參閱AWS Key Management Service 開發人員指南中的外部金鑰存放區 如需使用 S3 儲存貯體金鑰的相關資訊,請參閱 Amazon 簡單儲存服務使KMS用者指南中的使用 Amazon S3 儲存貯體金鑰降低成本。SSE

在您決定要 Macie 使用哪個KMS金鑰之後,請授予 Macie 使用金鑰的權限。否則,Macie 將無法在存儲庫中加密或存儲您的結果。若要授予 Macie 使用金鑰的權限,請更新金鑰的金鑰原則。如需有關金鑰原則和管理KMS金鑰存取權的詳細資訊,請參閱AWS Key Management Service 開發人員指南 AWS KMS中的金鑰政策

若要更新金鑰原則

  1. https://console.aws.amazon.com/kms 處開啟 AWS KMS 主控台。

  2. 若要變更 AWS 區域,請使用頁面右上角的「地區」選取器。

  3. 選擇您希望 Macie 用來加密敏感資料探索結果的金鑰。

  4. 金鑰原則索引標籤上,選擇編輯

  5. 將下列陳述式複製到剪貼簿,然後將其新增至原則:

    {
    "Sid": "Allow Macie to use the key",
    "Effect": "Allow",
    "Principal": {
        "Service": "macie.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Encrypt"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": "111122223333"
         },
         "ArnLike": {
             "aws:SourceArn": [
                 "arn:aws:macie2:Region:111122223333:export-configuration:*",
                 "arn:aws:macie2:Region:111122223333:classification-job/*"
             ]
         }
    }
}
    注意

    當您將陳述式新增至政策時,請確定語法有效。策略使用JSON格式。這表示您也需要在陳述式之前或之後加上逗號,視您將陳述式新增至原則的位置而定。如果您將陳述式新增為最後一個陳述式,請在前述陳述式的右大括號後加上逗號。如果您將它新增為第一個陳述式或兩個現有陳述式之間,請在陳述式的右大括號後加上逗號。

  6. 使用適合您環境的正確值更新陳述式:

    • Condition欄位中,取代預留位置值,其中:

      • 111122223333 是您的帳戶 ID AWS 帳戶。

      • Region 是您正 AWS 區域 在使用 Macie 的,並且您希望允許 Macie 使用密鑰。

        如果您在多個區域中使用 Macie,並希望允許 Macie 在其他區域中使用密鑰,請為每個額外的區域添加aws:SourceArn條件。例如:

        "aws:SourceArn": [
    "arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
    "arn:aws:macie2:us-east-1:111122223333:classification-job/*",
    "arn:aws:macie2:us-west-2:111122223333:export-configuration:*",
    "arn:aws:macie2:us-west-2:111122223333:classification-job/*"
]

        或者,您也可以允許 Macie 在所有區域中使用金鑰。若要這麼做,請以萬用字元 (*) 取代預留位置值。例如:

        "aws:SourceArn": [
    "arn:aws:macie2:*:111122223333:export-configuration:*",
    "arn:aws:macie2:*:111122223333:classification-job/*"
]

    • 如果您在選擇加入的區域中使用 Macie,請將適當的區域代碼新增至欄位的Service值。例如,如果您在中東 (巴林) 區域中使用 Macie,其中的區域代碼為 me-south-1,請取代為. macie.amazonaws.com macie.me-south-1.amazonaws.com 如需目前可使用 Macie 的區域清單以及每個區域的 Amazon Macie 域代碼,請參閱. AWS 一般參考

    請注意,這些Condition字段使用兩個IAM全局條件鍵:

    • aws:SourceAccount— 此條件允許 Macie 僅針對您的帳戶執行指定的操作。更具體地說,它決定哪個帳戶可以針對aws:SourceArn條件指定的資源和動作執行指定的動作。

      若要允許 Macie 針對其他帳號執行指定的動作,請將每個額外帳戶的帳號 ID 新增至此條件。例如:

      "aws:SourceAccount": [111122223333,444455556666]

    • aws:SourceArn-此條件可防 AWS 服務 止其他人執行指定的操作。它還可以防止 Macie 在為您的帳戶執行其他操作時使用密鑰。換句話說,只有在以下情況下,才允許 Macie 使用金鑰加密 S3 物件:物件為敏感資料探索結果,而結果是針對由指定區域中指定帳戶建立的自動化敏感資料探索或敏感資料探索任務。

      若要允許 Macie 針對其他帳號執行指定的動作,請將每個ARNs額外帳號新增至此條件。例如:

      "aws:SourceArn": [
    "arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
    "arn:aws:macie2:us-east-1:111122223333:classification-job/*",
    "arn:aws:macie2:us-east-1:444455556666:export-configuration:*",
    "arn:aws:macie2:us-east-1:444455556666:classification-job/*"
]

    aws:SourceAccountaws:SourceArn條件所指定的帳戶應該符合。

    這些條件有助於防止 Macie 在與 AWS KMS交易過程中被用作混淆的副手。雖然我們不建議這樣做,但您可以從陳述式中移除這些條件。

  7. 當您完成新增和更新陳述式時,請選擇 [儲存變更]。

步驟 3:選擇 S3 儲存貯體

驗證許可並設定後 AWS KMS key,即可指定要用作敏感資料探索結果的存放庫的 S3 儲存貯體。您有兩種選擇:

  • 使用 Macie 建立的新 S3 儲存貯體 — 如果您選擇此選項,Macie 會自動在目前的目前 AWS 區域 為您的探索結果建立新的 S3 通用儲存貯體。Macie 也會將值區政策套用至值區。此政策允許 Macie 將物件新增至值區。它還要求使用您指定的對象進 AWS KMS key 行加密,使用 SSE-KMS 加密。若要檢閱政策,請在指定儲存貯體的名稱和要使用的KMS金鑰後,在 Amazon Macie 主控台上選擇「檢視政策」。

  • 使用您建立的現有 S3 儲存貯體 — 如果您偏好將探索結果存放在您建立的特定 S3 儲存貯體中,請在繼續之前建立儲存貯體。該桶必須是一個通用的存儲桶。此外,值區的設定和政策必須允許 Macie 將物件新增至值區。本主題說明要檢查的設定以及如何更新原則。它也提供要新增至原則的陳述式範例。

以下各節提供每個選項的指示。選擇所需選項的區段。

如果您偏好使用 Macie 為您建立的新 S3 儲存貯體,程序的最後一個步驟是在 Macie 中設定儲存庫設定。

若要在 Macie 中設定儲存庫設定

  1. https://console.aws.amazon.com/macie/打開 Amazon Macie 控制台。

  2. 在功能窗格的 [設定] 下,選擇 [探索結果]。

  3. 敏感資料探索結果的儲存庫下,選擇 [建立值區]。

  4. 在「建立值區」方塊中,輸入值區的名稱。

    該名稱在所有 S3 儲存貯體中必須是唯一的。此外,名稱只能由小寫字母、數字、點 (.) 和連字號 (-) 組成。如需其他命名需求,請參閱 Amazon 簡單儲存服務使用者指南中的儲存貯體命名規則

  5. 展開 Advanced (進階) 區段。

  6. (選擇性) 若要指定值區中某個位置的路徑中要使用的前置詞,請在資料探索結果前置詞方塊中輸入前置詞。

    當您輸入值時,Macie 會更新方塊下方的範例,以顯示儲存探索結果的值區位置路徑。

  7. 在 [封鎖所有公開存取] 中,選擇 [] 以啟用值區的所有封鎖公開存取設定。

    如需這些設定的相關資訊,請參閱 Amazon 簡單儲存服務使用者指南中的封鎖對 Amazon S3 儲存的公開存取

  8. 在「加密設定」下,指 AWS KMS key 定您希望 Macie 用來加密結果的項目:

    • 若要使用您自己帳戶中的金鑰,請選擇 [從您的帳戶選取金鑰]。然後,在AWS KMS key清單中選擇要使用的金鑰。此清單會顯示您帳戶的客戶管理、對稱加密KMS金鑰。

    • 若要使用其他帳號擁有ARN的金鑰,請選擇 [輸入其他帳號的金鑰]。然後,在方AWS KMS key ARN塊中輸入要使用的金鑰的 Amazon 資源名稱 (ARN),例如。arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

  9. 完成輸入設定後,請選擇 [儲存]。

    Macie 會測試設定以確認設定是否正確。如果有任何設定不正確,Macie 會顯示錯誤訊息來協助您解決問題。

儲存存放庫設定後,Macie 會將過去 90 天的現有探查結果新增至存放庫。Macie 也開始將新的探索結果新增至儲存庫。

如果您偏好將敏感資料探索存放在您建立的特定 S3 儲存貯體中,請先建立並設定儲存貯體,然後再在 Macie 中設定設定。建立值區時,請注意下列需求:

  • 該桶必須是一個通用的存儲桶。它不能是目錄存儲桶。

  • 如果您啟用值區的物件鎖定,就必須停用該功能的預設保留設定。否則,Macie 將無法將您的探索結果新增至值區。如需此設定的相關資訊,請參閱 Amazon 簡單儲存服務使用者指南中的使用 S3 物件鎖定。

  • 若要將探索結果儲存在預設為啟用的區域 (例如美國東部 (維吉尼亞北部) 區域,值區必須位於 AWS 帳戶預設為啟用的區域中。結果無法儲存在選擇加入區域的值區中 (預設為停用的區域)。

  • 若要儲存選擇加入區域的探索結果,例如中東 (巴林) 區域,值區必須位於預設啟用的相同區域或區域。結果無法儲存在不同選擇加入區域的值區中。

若要確定某個區域是否預設為啟用,請參閱《AWS Identity and Access Management 使用手冊》中的「地區和端點」。

建立值區之後,請更新值區的政策,以允許 Macie 擷取值區的相關資訊,並將物件新增至值區。然後,您可以在 Macie 中配置設置。

若要更新值區的值區政策

  1. 在開啟 Amazon S3 主控台https://console.aws.amazon.com/s3/

  2. 選擇您要儲存探索結果的儲存貯體。

  3. 選擇許可索引標籤標籤。

  4. 儲存貯體政策區段中,選擇編輯

  5. 將下列範例原則複製到剪貼簿:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow Macie to use the GetBucketLocation operation",
            "Effect": "Allow",
            "Principal": {
                "Service": "macie.amazonaws.com"
            },
            "Action": "s3:GetBucketLocation",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333"
                },
                "ArnLike": {
                    "aws:SourceArn": [
                        "arn:aws:macie2:Region:111122223333:export-configuration:*",
                        "arn:aws:macie2:Region:111122223333:classification-job/*"
                    ]
                }
            }
        },
        {
            "Sid": "Allow Macie to add objects to the bucket",
            "Effect": "Allow",
            "Principal": {
                "Service": "macie.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional prefix/]*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333"
                },
                "ArnLike": {
                    "aws:SourceArn": [
                        "arn:aws:macie2:Region:111122223333:export-configuration:*",
                        "arn:aws:macie2:Region:111122223333:classification-job/*"
                    ]
                }
            }
        },
        {
            "Sid": "Deny unencrypted object uploads. This is optional",
            "Effect": "Deny",
            "Principal": {
                "Service": "macie.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional prefix/]*",
            "Condition": {
                "StringNotEquals": {
                    "s3:x-amz-server-side-encryption": "aws:kms"
                }
            }
        },
        {
            "Sid": "Deny incorrect encryption headers. This is optional",
            "Effect": "Deny",
            "Principal": {
                "Service": "macie.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional prefix/]*",
            "Condition": {
                "StringNotEquals": {
                    "s3:x-amz-server-side-encryption-aws-kms-key-id": "arn:aws:kms:Region:111122223333:key/KMSKeyId"
                }
            }
        },
        {
            "Sid": "Deny non-HTTPS access",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
            "Condition": {
                "Bool": {
                    "aws:SecureTransport": "false"
                }
            }
        }
    ]
}

  6. 將範例政策貼到 Amazon S3 主控台的儲存貯體政策編輯器中。

  7. 使用適用於您環境的正確值更新範例原則:

    • 在拒絕不正確加密標頭的可選語句中:

      • Replace (取代) amzn-s3-demo-bucket 與存儲桶的名稱。若要同時為值區中某個位置的路徑指定前置詞,請取代 [optional prefix/] 帶有前綴。否則,請移除 [optional prefix/] 預留位置值。

      • StringNotEquals條件下,更換 arn:aws:kms:Region:111122223333:key/KMSKeyId 使用的 Amazon 資源名稱 (ARN), AWS KMS key 用於加密您的探索結果。

    • 在所有其他語句中,替換佔位符值,其中:

      • amzn-s3-demo-bucket 是值區的名稱。

      • [optional prefix/] 是值區中某個位置之路徑的前置詞。如果您不想指定首碼,請移除此預留位置值。

      • 111122223333 是您的帳戶 ID AWS 帳戶。

      • Region 是您正 AWS 區域 在使用 Macie 的,並希望允許 Macie 將發現結果添加到存儲桶中。

        如果您在多個區域中使用 Macie,並且想要允許 Macie 將結果新增至其他區域的值區,請為每個額外的區域新增aws:SourceArn條件。例如:

        "aws:SourceArn": [
    "arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
    "arn:aws:macie2:us-east-1:111122223333:classification-job/*",
    "arn:aws:macie2:us-west-2:111122223333:export-configuration:*",
    "arn:aws:macie2:us-west-2:111122223333:classification-job/*"
]

        或者,您也可以允許 Macie 將結果新增至您使用 Macie 的所有區域的值區。若要這麼做,請以萬用字元 (*) 取代預留位置值。例如:

        "aws:SourceArn": [
    "arn:aws:macie2:*:111122223333:export-configuration:*",
    "arn:aws:macie2:*:111122223333:classification-job/*"
]

    • 如果您在選擇加入的區域中使用 Macie,請在每個指定 Macie 服務主體的陳述式中,將適當的區域代碼新增至Service欄位值。例如,如果您在中東 (巴林) 區域中使用 Macie,而該區域的區域代碼為 me-south-1,請macie.me-south-1.amazonaws.com在每個適用的陳述式中取macie.amazonaws.com代為。如需目前可使用 Macie 的區域清單以及每個區域的 Amazon Macie 域代碼,請參閱. AWS 一般參考

    請注意,範例政策包含的陳述式可讓 Macie 判斷值區所在的區域 (GetBucketLocation),並將物件新增至值區 (PutObject)。這些陳述式會定義使用兩個IAM全域條件索引鍵的條件:

    • aws:SourceAccount— 此條件允許 Macie 僅為您的帳戶將敏感數據發現結果添加到存儲桶中。它可以防止 Macie 將其他帳戶的探索結果新增至值區。更具體地說,條件會指定哪個帳戶可以針對條aws:SourceArn件指定的資源和動作使用值區。

      若要將其他帳戶的結果儲存在值區中,請將每個額外帳戶的帳戶 ID 新增至此條件。例如:

      "aws:SourceAccount": [111122223333,444455556666]

    • aws:SourceArn— 此條件會根據要添加到存儲桶的對象的來源限制對存儲桶的訪問。它可以防 AWS 服務 止其他人將物件新增至值區。它也可以防止 Macie 在為您的帳戶執行其他動作時將物件新增至值區。更具體地說,只有在以下情況下,此條件才允許 Macie 將物件新增至值區:物件為敏感資料探索結果,且結果適用於指定區域中指定帳戶所建立的自動化敏感資料探索或敏感資料探索工作。

      若要允許 Macie 針對其他帳號執行指定的動作,請將每個ARNs額外帳號新增至此條件。例如:

      "aws:SourceArn": [
    "arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
    "arn:aws:macie2:us-east-1:111122223333:classification-job/*",
    "arn:aws:macie2:us-east-1:444455556666:export-configuration:*",
    "arn:aws:macie2:us-east-1:444455556666:classification-job/*"
]

    aws:SourceAccountaws:SourceArn條件所指定的帳戶應該符合。

    這兩種情況都有助於防止 Macie 在與 Amazon S3 進行交易時被用作混淆的副手。雖然我們不建議這樣做,但您可以從值區政策中移除這些條件。

  8. 完成值區政策更新後,請選擇 [儲存變更]。

現在,您可以在 Macie 中配置存儲庫設置。

若要在 Macie 中設定儲存庫設定

  1. https://console.aws.amazon.com/macie/打開 Amazon Macie 控制台。

  2. 在功能窗格的 [設定] 下,選擇 [探索結果]。

  3. 敏感資料探索結果的儲存庫下,選擇現有儲存貯體

  4. 針對 [選擇值區],選取您要儲存探索結果的儲存貯體。

  5. 若要為值區中某個位置的路徑指定首碼,請展開「進」區段。然後,對於資料探索結果前置詞,輸入前置詞。

    當您輸入值時,Macie 會更新方塊下方的範例,以顯示儲存探索結果的值區位置路徑。

  6. 在「加密設定」下,指 AWS KMS key 定您希望 Macie 用來加密結果的項目:

    • 若要使用您自己帳戶中的金鑰,請選擇 [從您的帳戶選取金鑰]。然後,在AWS KMS key清單中選擇要使用的金鑰。此清單會顯示您帳戶的客戶管理、對稱加密KMS金鑰。

    • 若要使用其他帳號擁有ARN的金鑰,請選擇 [輸入其他帳號的金鑰]。然後,在方AWS KMS key ARN塊中輸入要使用ARN的金鑰,例如。arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

  7. 完成輸入設定後,請選擇 [儲存]。

    Macie 會測試設定以確認設定是否正確。如果有任何設定不正確,Macie 會顯示錯誤訊息來協助您解決問題。

儲存存放庫設定後,Macie 會將過去 90 天的現有探查結果新增至存放庫。Macie 也開始將新的探索結果新增至儲存庫。

注意

如果您隨後變更資料探索結果前置詞設定,請同時更新 Amazon S3 中的儲存貯體政策。指定前一個前置詞的政策陳述式必須指定新的前置詞。否則,Macie 將不允許將您的探索結果新增至值區。

提示

若要降低伺服器端加密成本,請同時將 S3 儲存貯體設定為使用 S3 儲存貯體金鑰,並指 AWS KMS key 定您針對敏感資料探索結果加密所設定的金鑰。使用 S3 儲存貯體金鑰可減少呼叫次數 AWS KMS,進而降低 AWS KMS 請求成本。如果KMS金鑰位於外部金鑰存放區中,使用 S3 儲存貯體金鑰也可以將使用金鑰的效能影響降到最低。若要進一步了解,請參閱 Amazon 簡單儲存服務使用者指南中的SSE使用 Amazon S3 儲存貯體金鑰降低成本。KMS