檢索 Macie 發現的敏感數據樣本 - Amazon Macie
開始之前確定樣本是否可用於發現項目擷取尋找項目的範例

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

檢索 Macie 發現的敏感數據樣本

透過使用 Amazon Macie,您可以擷取並揭示 Macie 在個別敏感資料發現項目中報告的敏感資料樣本。這包括 Macie 使用受管理資料識別碼偵測到的敏感資料,以及符合自訂資料識別碼條件的資料。這些範例可協助您驗證 Macie 找到的敏感資料的性質。他們還可以協助您針對受影響的 Amazon 簡單儲存服務 (Amazon S3) 物件和儲存貯體量身打造調查。您可以檢索和顯示所有的敏感數據樣本 AWS 區域 目前提供 Macie 服務,亞太區域(大阪)和以色列(特拉維夫)地區除外。

如果您擷取並顯示發現項目的敏感資料樣本,Macie 會使用對應的敏感資料探索結果中的資料來尋找發現項目所報告之敏感資料的前 1 至 10 次出現次出現。然後,Macie 會從受影響的 S3 物件擷取每次出現的前 1-128 個字元。如果發現項目報告了多種類型的敏感資料,Macie 會針對發現項目所報告的最多 100 種敏感資料執行此動作。

當 Macie 從受影響的 S3 物件擷取敏感資料時,Macie 會使用 AWS Key Management Service (AWS KMS) 您指定的金鑰、將加密的資料暫時儲存在快取中,並傳回結果中的資料以供發現項目使用。在擷取和加密之後不久,Macie 會永久刪除快取中的資料,除非暫時需要額外保留才能解決操作問題。

如果您選擇再次擷取和顯示發現項目的敏感資料樣本,Macie 會重複尋找、擷取、加密、儲存和最終刪除範例的程序。

如需如何使用 Amazon Macie 主控台擷取和顯示敏感資料樣本的示範,請觀看下列影片:

開始之前

您必須先設定並啟用 Amazon Macie 帳戶的設定,才能擷取和顯示發現項目的敏感資料範例。您還需要與您的工作 AWS 管理員驗證您是否擁有所需的權限和資源。

當您擷取和顯示尋找項目的敏感資料樣本時,Macie 會執行一系列工作來尋找、擷取、加密和顯示範例。Macie 不會針對您的帳戶使用 Macie 服務連結角色來執行這些工作。相反,您使用您的 AWS Identity and Access Management (IAM)身份或允許 Macie 在您的帳戶中擔任IAM角色。

若要擷取和顯示發現項目的敏感資料範例,您必須擁有發現項目、對應敏感資料探索結果的存取權,以及 AWS KMS key 您已將 Macie 設定為用來加密敏感資料樣本。此外,您或IAM角色必須被允許存取受影響的 S3 儲存貯體和受影響的 S3 物件。您或角色也必須被允許使用 AWS KMS key 用於加密受影響物件 (如果適用的話)。如果有任何IAM策略、資源策略或其他權限設定拒絕必要的存取權,就會發生錯誤,而且 Macie 不會傳回發現項目的任何範例。

您還必須被允許執行以下 Macie 操作:

  • macie2:GetMacieSession

  • macie2:GetFindings

  • macie2:ListFindings

  • macie2:GetSensitiveDataOccurrences

前三個操作允許您訪問您的 Macie 帳戶並檢索發現的詳細信息。最後一個動作可讓您擷取和顯示發現項目的敏感資料範例。

若要使用 Amazon Macie 主控台擷取和顯示敏感資料樣本,您還必須允許執行下列動作:macie2:GetSensitiveDataOccurrencesAvailability此動作可讓您判斷個別發現項目是否可使用範例。您不需要執行此動作的權限,即可透過程式設計方式擷取和顯示範例。但是,擁有此權限可以簡化您的樣本擷取作業。

如果您是組織委派的 Macie 系統管理員,而且您將 Macie 設定為擔任擷取敏感資料範例的IAM角色,您也必須被允許執行下列動作:。macie2:GetMember此動作可讓您擷取有關帳戶與受影響帳戶之間關聯的資訊。它可讓 Macie 驗證您目前是受影響帳戶的 Macie 管理員。

如果您不允許執行必要的操作或訪問必要的數據和資源,請詢問 AWS 管理員的協助。

判斷敏感資料樣本是否可用於尋找項目

若要擷取和顯示發現項目的敏感資料範例,尋找項目必須符合特定條件。它必須包括特定出現的敏感數據的位置數據。此外,它必須指定有效、對應的敏感資料探索結果的位置。敏感數據發現結果必須存儲在相同的 AWS 區域 作為發現。如果您將 Amazon Macie 設定為透過假設存取受影響的 S3 物件 AWS Identity and Access Management (IAM)角色,敏感數據發現結果也必須存儲在使用基於哈希的消息身份驗證碼()Macie 簽名的 S3 對象中 HMAC AWS KMS key.

受影響的 S3 物件也需要符合特定條件。物件的MIME類型必須是下列其中一種:

  • application/avro,對於一個阿帕奇阿夫羅對象容器(.avro)文件

  • application/gzip,適用於壓縮GNU壓縮封存檔 (.gz 或 .gzip) 檔案

  • application/json,針對JSON或JSON行 (.json 或 .jsonl) 檔案

  • application/parquet,對於一個阿帕奇鑲木地板(. 鑲木地板)文件

  • application/vnd.openxmlformats-officedocument.spreadsheetml.sheet,適用於 Microsoft Excel 活頁簿 (.xlsx) 檔案

  • application/zip,適用於ZIP壓縮的歸檔 (.zip) 檔案

  • text/csv,表示一個 CSV (.csv) 檔案

  • text/plain,適用於非二進位文字檔案 (非CSV、JSON、JSON行或TSV檔案)

  • text/tab-separated-values,表示一個 TSV (.tsv) 檔案

此外,S3 物件的內容必須與建立發現項目時的內容相同。Macie 會檢查物件的實體標籤 (ETag),以判斷它是否符合發現項目所ETag指定的。此外,物件的儲存區大小不能超過擷取和顯示敏感資料樣本的適用大小配額。如需適用配額的清單,請參閱馬西的配額

如果發現項目和受影響的 S3 物件符合上述條件,則可以使用敏感資料範例來尋找。在嘗試擷取和顯示特定發現項目的範例之前,您可以選擇性地決定是否適用於特定發現項目。

判斷機密資料範例是否可用於發現項目

您可以使用 Amazon Macie 主控台或 Amazon Macie API 來判斷敏感資料樣本是否可用於尋找項目。

Console

請在 Amazon Macie 主控台上執行下列步驟,以判斷是否有機密資料樣本可供尋找。

若要判斷是否可用於發現項目的範例

  1. https://console.aws.amazon.com/macie/打開 Amazon Macie 控制台。

  2. 在導覽窗格中,選擇調查結果

  3. 在「發現的項目」頁面上,選擇發現項目。詳細資料面板會顯示發現項目的資訊。

  4. 在詳細資料面板中,捲動至「敏感資料」區段。然後請參閱「顯示範例」欄位。

    如果發現項目可使用敏感資料範例,則欄位中會顯示「檢閱」連結,如下圖所示。

    尋找結果詳細資料面板中的「顯示範例」欄位。此欄位包含標示為「檢閱」的連結。

    如果發現項目無法使用敏感資料範例,「顯示範例」欄位會顯示文字,指出下列原因:

    • 不在組織中的帳戶 — 您無法使用 Macie 存取受影響的 S3 物件。受影響的帳戶目前不屬於您組織的一部分。或者該帳戶屬於您組織的一部分,但目前尚未針對該帳戶啟用 Macie AWS 區域.

    • 無效的分類結果 — 發現項目沒有對應的敏感資料探索結果。或者目前無法使用對應的敏感資料探索結果 AWS 區域、格式錯誤或損毀,或使用不支援的儲存格式。Macie 無法驗證要檢索的敏感數據的位置。

    • 無效的結果簽章 — 對應的敏感資料探索結果會儲存在未由 Macie 簽署的 S3 物件中。Macie 無法驗證敏感數據發現結果的完整性和真實性。因此,Macie 無法驗證要檢索的敏感數據的位置。

    • 成員角色過於寬鬆 — 受影響成員帳戶中IAM角色的信任或權限策略不符合限制角色訪問的 Macie 要求。或者角色的信任原則不會為您的組織指定正確的外部 ID。Macie 不能承擔檢索敏感數據的角色。

    • 遺失 GetMember 權限 — 您無法擷取帳戶與受影響帳戶之間關聯的相關資訊。Macie 無法判斷是否允許您以受影響帳戶的委派 Macie 管理員身分存取受影響的 S3 物件。

    • 物件超出大小配額 — 受影響 S3 物件的儲存大小超過了從該類型檔案擷取和顯示敏感資料樣本的大小配額。

    • 無法使用物件 — 受影響的 S3 物件無法使用。在 Macie 建立尋找項目之後,物件已重新命名、移動或刪除,或其內容已變更。或者該對像被加密 AWS KMS key 這是不可用的。例如,金鑰已停用、排程刪除或已刪除。

    • 未簽署結果 — 對應的敏感資料探索結果會儲存在尚未簽署的 S3 物件中。Macie 無法驗證敏感數據發現結果的完整性和真實性。因此,Macie 無法驗證要檢索的敏感數據的位置。

    • 角色過於寬鬆 — 您的帳戶配置為使用其信任或權限策略不符合 Macie 限制IAM角色存取權限的角色來擷取敏感資料。Macie 不能承擔檢索敏感數據的角色。

    • 不支援的物件類型 — 受影響的 S3 物件使用 Macie 不支援擷取和顯示敏感資料樣本的檔案或儲存格式。受影響 S3 物件的MIME類型不是上述清單中的其中一個值。

    如果發現項目的敏感資料探索結果發生問題,發現項目的「詳細結果位置」欄位中的資訊可協助您調查問題。此欄位會指定 Amazon S3 中結果的原始路徑。若要調查IAM角色的問題,請確定角色的策略符合 Macie 擔任該角色的所有要求。如需這些詳細資訊,請參閱設定IAM角色以存取受影響的 S3 物件

API

若要以程式設計方式判斷敏感資料樣本是否可用於尋找項目,請使用 Amazon Macie API 的GetSensitiveDataOccurrencesAvailability操作。當您提交請求時,請使用findingId參數來指定發現項目的唯一識別碼。要獲取此標識符,您可以使用該ListFindings操作。

如果您使用的是 AWS Command Line Interface (AWS CLI),執行 get-sensitive-data-occurrences-availability 命令,並使用finding-id參數來指定發現項目的唯一識別碼。要獲取此標識符,您可以運行列表發現項目命令。

如果您的要求成功,且尋找項目有可用的範例,您會收到類似下列的輸出:

{
    "code": "AVAILABLE",
    "reasons": []
}

如果您的要求成功且尋找項目無法使用範例,則code欄位的值為,UNAVAILABLEreasons陣列會指定原因。例如:

{
    "code": "UNAVAILABLE",
    "reasons": [
        "UNSUPPORTED_OBJECT_TYPE"
    ]
}

如果發現項目的敏感資料探索結果發生問題,發現項目classificationDetails.detailedResultsLocation欄位中的資訊可協助您調查問題。此欄位會指定 Amazon S3 中結果的原始路徑。若要調查IAM角色的問題,請確定角色的策略符合 Macie 擔任該角色的所有要求。如需這些詳細資訊,請參閱設定IAM角色以存取受影響的 S3 物件

擷取用於尋找項目的敏感資料範例

若要擷取和顯示發現項目的敏感資料樣本,您可以使用 Amazon Macie 主控台或 Amazon Mac API ie。

Console

請遵循下列步驟,使用 Amazon Macie 主控台擷取和顯示用於尋找的敏感資料範例。

若要擷取和顯示發現項目的敏感資料範例

  1. https://console.aws.amazon.com/macie/打開 Amazon Macie 控制台。

  2. 在導覽窗格中,選擇調查結果

  3. 在「發現的項目」頁面上,選擇發現項目。詳細資料面板會顯示發現項目的資訊。

  4. 在詳細資料面板中,捲動至「敏感資料」區段。然後,在「顯示範例」欄位中,選擇「檢閱」:

    尋找結果詳細資料面板中的「顯示範例」欄位。此欄位包含標示為「檢閱」的連結。
    注意

    如果 [顯示範例] 欄位中未顯示 [檢閱] 連結,表示發現項目無法使用敏感資料範例。若要判斷發生這種情況的原因,請參閱前面的主題

    選擇複查之後,Macie 會顯示一個頁面,其中摘要發現項目的主要詳細資訊。詳細資料包括 Macie 在受影響的 S3 物件中找到的敏感資料的類別、類型和出現次數。

  5. 在頁面的「機密資料」區段中,選擇「顯示範例」。然後,Macie 會擷取並揭示發現項目所報告之前 1-10 次出現之敏感資料的樣本。每個樣本都包含敏感資料出現的前 1—128 個字元。檢索和顯示樣本可能需要幾分鐘的時間。

    如果發現項目報告了多種類型的敏感資料,Macie 會擷取並顯示多達 100 種類型的樣本。例如,下圖顯示了跨越多種類別和類型敏感資料的範例:AWS 憑據,美國電話號碼和人的姓名。

    樣本表。它列出了九個樣本以及每個樣本的敏感數據類別和類型。

    範例會先依機密資料類別組織,然後依機密資料類型進行組織。

API

若要擷取和顯示以程式設計方式尋找的敏感資料範例,請使用 Amazon Macie API 的GetSensitiveDataOccurrences操作。當您提交請求時,請使用findingId參數來指定發現項目的唯一識別碼。要獲取此標識符,您可以使用該ListFindings操作。

若要擷取和顯示敏感資料範例,請使用 AWS Command Line Interface (AWS CLI),執行命get-sensitive-data-occurrences令並使用finding-id參數來指定發現項目的唯一識別碼。例如:

C:\> aws macie2 get-sensitive-data-occurrences --finding-id "1f1c2d74db5d8caa76859ec52example"

位置 1f1c2d74db5d8caa76859ec52example 是發現項目的唯一識別碼。若要取得此識別碼,請使用 AWS CLI,您可以運行列表發現項目命令。

如果您的要求成功,Macie 會開始處理您的要求,而您會收到類似下列內容的輸出:

{
    "status": "PROCESSING"
}

處理您的請求可能需要幾分鐘的時間。在幾分鐘內,再次提交您的請求。

如果 Macie 可以尋找、擷取和加密敏感資料樣本,Macie 會在地圖中傳回樣本。sensitiveDataOccurrences此對映會指定發現項目所報告的敏感資料的 1—100 種類型,每種類型指定 1—10 個範例。每個範例都包含發現項目所報告之敏感資料出現的前 1—128 個字元。

在對映中,每個金鑰都是偵測到敏感資料的受管理資料識別碼的 ID,或偵測到敏感資料的自訂資料識別碼的名稱和唯一識別碼。這些值是指定受管理資料識別碼或自訂資料識別碼的範例。例如,下面的響應提供了三個人的姓名樣本和兩個樣本 AWS 受管理資料識別碼 (NAMEAWS_CREDENTIALS分別) 偵測到的秘密存取金鑰。

{
    "sensitiveDataOccurrences": {
        "NAME": [
            {
                "value": "Akua Mansa"
            },
            {
                "value": "John Doe"
            },
            {
                "value": "Martha Rivera"
            }
        ],
        "AWS_CREDENTIALS": [
            {
                "value": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY"
            },
            {
                "value": "je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY"
            }
        ]
    },
    "status": "SUCCESS"
}

如果您的要求成功,但尋找項目無法使用敏感資料範例,您會收到一則UnprocessableEntityException訊息,指出無法使用範例的原因。例如:

{
    "message": "An error occurred (UnprocessableEntityException) when calling the GetSensitiveDataOccurrences operation: OBJECT_UNAVAILABLE"
}

在上述範例中,Macie 嘗試從受影響的 S3 物件擷取樣本,但該物件不再可用。在 Macie 建立尋找項目之後,物件的內容會變更。

如果您的要求成功,但是另一種錯誤類型導致 Macie 無法擷取和顯示發現項目的敏感資料樣本,您會收到類似下列的輸出:

{
    "error": "Macie can't retrieve the samples. You're not allowed to access the affected S3 object or the object is encrypted with a key that you're not allowed to use.",
    "status": "ERROR"
}

status欄位的值為ERROR,欄error位說明發生的錯誤。上述主題中的資訊可協助您調查錯誤。