本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 Macie 發現項目檢索敏感數據樣本
若要驗證 Amazon Macie 在發現項目中報告的敏感資料本質,您可以選擇性地設定並使用 Macie 來擷取和顯示個別發現項目所報告的敏感資料樣本。這包括 Macie 使用受管理資料識別碼偵測到的敏感資料,以及符合自訂資料識別碼條件的資料。這些範例可協助您針對受影響的 Amazon 簡單儲存服務 (Amazon S3) 物件和儲存貯體量身打造調查。
如果您擷取並顯示尋找項目的敏感資料範例,Macie 會執行下列一般工作:
-
驗證發現項目是否指定敏感資料個別出現的位置,以及對應敏感資料探索結果的位置。
-
評估對應的敏感資料探索結果,檢查受影響 S3 物件的中繼資料的有效性,以及物件中出現敏感資料的位置資料。
-
透過使用敏感資料探索結果中的資料,找出發現項目報告的第一個 1-10 次出現的敏感資料,並從受影響的 S3 物件擷取每個出現的前 1—128 個字元。如果發現項目報告了多種類型的敏感資料,Macie 會針對多達 100 種類型執行此動作。
-
使用您指定的 AWS Key Management Service (AWS KMS) 金鑰加密擷取的資料。
-
將加密的資料暫時儲存在快取中,並顯示資料供您檢閱。無論是在傳輸中還是靜態,資料都會隨時加密。
-
擷取和加密之後不久,會永久刪除快取中的資料,除非暫時需要額外保留才能解決操作問題。
如果您選擇再次擷取和顯示發現項目的敏感資料樣本,Macie 會重複執行這些工作,以尋找、擷取、加密、儲存並最終刪除範例。
Macie 不會針對您的帳戶使用 Macie 服務連結角色來執行這些工作。相反,您可以使用您的 AWS Identity and Access Management (IAM)身份或允許 Macie 在您的帳戶中擔任IAM角色。如果您或角色被允許存取必要的資源和資料,並執行必要的動作,您就可以擷取和顯示發現項目的敏感資料範例。所有必要的動作都會登入 AWS CloudTrail。
重要
我們建議您使用自訂IAM原則來限制對此功能的存取。如需其他存取控制,我們建議您同時建立一個專用 AWS KMS key 於加密所擷取之敏感資料樣本,並將金鑰的使用限制為只有必須允許擷取和揭露敏感資料樣本的主體。
如需可用來控制此功能存取權的政策建議和範例,請參閱AWS 安全部落格上的如何使用 Amazon Macie 預覽 S3 儲存貯體中的敏感資料
本節中的主題說明如何設定及使用 Macie 來擷取和顯示發現項目的敏感資料範例。除了亞太區域(大阪)和以色列(特拉維夫)區域以外,您可以在目前所有提供 Macie 的地 AWS 區域 方執行這些任務。