本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Macie 入門
本教學課程提供 Amazon Macie 的簡介。您將了解如何為您的 啟用 Macie AWS 帳戶。您也將了解如何評估 Amazon Simple Storage Service (Amazon S3) 安全狀態,並設定金鑰設定和資源,以探索和報告 S3 儲存貯體中的敏感資料。
開始之前
當您註冊 Amazon Web Services (AWS) 時,您的帳戶會自動註冊所有 AWS 服務,包括 Amazon Macie。不過,若要啟用和使用 Macie,您必須先設定許可,以允許您存取 Amazon Macie 主控台和 API 操作。您或您的 AWS 管理員可以使用 AWS Identity and Access Management (IAM) 將名為 的 AWS 受管政策連接至AmazonMacieFullAccess您的 IAM 身分,以執行此操作。如需進一步了解,請參閱 AWS Macie 的 受管政策。
步驟 1:啟用 Macie
設定必要的許可後,您可以為 啟用 Amazon Macie AWS 帳戶。請依照下列步驟為您的帳戶啟用 Macie。
啟用 Macie
在 https://console.aws.amazon.com/macie/
:// 開啟 Amazon Macie 主控台。 -
使用頁面右上角的 AWS 區域 選取器,選擇您要啟用並使用 Macie 的區域。
-
在 Amazon Macie 頁面上,選擇開始使用。
-
(選用) 當您啟用 Macie 時,Macie 會自動建立服務連結角色,允許它代表您呼叫其他 AWS 服務 和監控 AWS 資源。若要檢閱此角色的許可政策,請選擇主控台上的檢視角色許可。若要進一步了解此角色,請參閱 使用 Macie 的服務連結角色。
-
選擇 Enable Macie (啟用 Macie)。
在幾分鐘內,Macie 會自動產生並開始維護目前區域中 S3 一般用途儲存貯體的庫存。Macie 也開始評估和監控儲存貯體,以進行安全性和存取控制。如需進一步了解,請參閱 監控資料安全和隱私權。
根據您的帳戶設定,Macie 也會開始為您的 S3 儲存貯體執行自動敏感資料探索。Macie 開始持續識別、選取和分析儲存貯體中的代表性物件,檢查物件是否有敏感資料。隨著分析的進行,Macie 提供統計資料和其他結果供您檢閱,通常在 48 小時內。您可以自訂分析。如需進一步了解,請參閱 執行自動化敏感資料探索。
若要檢閱 Amazon S3 資料的彙總統計資料,請在主控台的導覽窗格中選擇摘要。若要檢閱庫存中個別 S3 儲存貯體的詳細資訊,請在導覽窗格中選擇 S3 儲存貯體。若要接著顯示儲存貯體的詳細資訊,請選擇儲存貯體。詳細資訊面板會顯示統計資料和其他資訊,提供對儲存貯體資料的安全性、隱私權和敏感度的深入見解。若要了解這些詳細資訊,請參閱 檢閱 S3 儲存貯體庫存。
步驟 2:為敏感資料探索結果設定儲存庫
使用 Amazon Macie,您可以透過兩種方式探索 S3 儲存貯體中的敏感資料:將 Macie 設定為執行自動敏感資料探索,以及執行敏感資料探索任務。敏感資料探索任務是您建立的任務,用於分析 S3 儲存貯體中的物件,以判斷物件是否包含敏感資料。
Macie 會為每個 S3 物件建立記錄,當您執行敏感資料探索任務或執行自動敏感資料探索時,它會分析這些物件。這些記錄稱為敏感資料探索結果,記錄個別物件分析的詳細資訊。Macie 也會為因為錯誤或問題而無法分析的物件建立敏感資料探索結果。敏感資料探索結果為您提供分析記錄,有助於資料隱私權和保護稽核或調查。
Macie 只會儲存您的敏感資料探索結果 90 天。若要存取結果並啟用長期儲存和保留,請設定 Macie 將結果存放在 S3 儲存貯體中。您應該在啟用 Macie 的 30 天內執行此操作。完成此操作後,儲存貯體可以做為所有敏感資料探索結果的確定性長期儲存庫。
若要了解如何設定此儲存庫,請參閱 儲存及保留敏感資料探索結果。
步驟 3:探索範例調查結果
在 Amazon Macie 中,有兩種問題清單、政策問題清單和敏感資料問題清單。當 S3 一般用途儲存貯體的政策或設定變更時,Macie 會建立政策調查結果,以減少儲存貯體和儲存貯體物件的安全性或隱私權。Macie 在偵測到 S3 物件中的敏感資料時,會建立敏感資料調查結果。在每個類別中,有多種類型的問題清單。
若要探索和了解 Macie 提供的不同問題清單類別和類型,請選擇性地建立和檢閱範例問題清單。範例問題清單使用範例資料和預留位置值,示範 Macie 可能在每個問題清單類型中包含的資訊類型。
請依照下列步驟建立和檢閱範例調查結果。
建立和檢閱範例調查結果
在 https://console.aws.amazon.com/macie/
:// 開啟 Amazon Macie 主控台。 -
在導覽窗格中,選擇設定。
-
在範例問題清單下,選擇產生範例問題清單。Macie 會針對 Macie 支援的每種問題清單類型產生一個範例問題清單。
-
在導覽窗格中,選擇調查結果。問題清單頁面會顯示您帳戶中目前的問題清單 AWS 區域。這包括您在上一個步驟中建立的範例調查結果。
-
在問題清單頁面上,尋找其類型開頭為 【SAMPLE】 的問題清單。
-
若要檢閱特定範例問題清單的詳細資訊,請選擇問題清單。詳細資訊面板會顯示調查結果的詳細資訊。
若要了解每種問題清單類型,請參閱 問題清單類型。若要進一步了解如何建立和檢閱範例調查結果,請參閱 使用範例問題清單。
步驟 4:建立任務以探索敏感資料
若要探索和報告 S3 儲存貯體中的敏感資料,您可以執行敏感資料探索任務。敏感資料探索任務是您建立的工作,用於分析 S3 儲存貯體中的物件,以判斷物件是否包含敏感資料。與自動化敏感資料探索不同,您可以定義分析的廣度和深度。您也可以指定執行任務的頻率,一次或定期執行。
請依照下列步驟,建立執行一次的任務,並在建立任務後立即執行,並使用預設設定。若要了解如何建立定期執行或使用自訂設定的任務,請參閱 建立敏感資料探索任務。
建立敏感資料探索任務
在 https://console.aws.amazon.com/macie/
:// 開啟 Amazon Macie 主控台。 -
在導覽窗格中,選擇 Jobs (任務)。
-
選擇建立作業。
-
針對選擇 S3 儲存貯體步驟,選擇選取特定儲存貯體。然後,在資料表中,選取您希望任務分析的每個 S3 儲存貯體的核取方塊。
資料表提供目前 中 S3 一般用途儲存貯體的庫存 AWS 區域。若要更輕鬆地尋找特定儲存貯體,請在資料表上方的篩選條件方塊中輸入篩選條件。您也可以選擇欄標題來排序資料表。
-
完成選取儲存貯體後,請選擇下一步。
-
對於檢閱 S3 儲存貯體步驟,檢閱並驗證您的儲存貯體選擇,然後選擇下一步。
-
針對縮小範圍步驟,選擇一次性任務,然後選擇下一步。
-
針對選取受管資料識別符步驟,選擇建議。選擇性地檢閱我們建議用於任務的受管資料識別符資料表,然後選擇下一步。
受管資料識別符是一組內建條件和技術,旨在偵測特定類型的敏感資料,例如,信用卡號碼、 AWS 秘密存取金鑰或特定國家或地區的護照號碼。如需進一步了解,請參閱 使用受管資料識別符。
-
針對選取自訂資料識別符步驟,選擇下一步。
自訂資料識別符是您用來偵測敏感資料的一組條件:定義要比對文字模式的規則表達式 (regex),以及選擇性的角色序列和精簡結果的鄰近規則。如需進一步了解,請參閱 建置自訂資料識別符。
-
針對選取允許清單步驟,選擇下一步。
在 Macie 中,允許清單會指定您要 Macie 在檢查 S3 物件是否有敏感資料時忽略的文字或文字模式。這些通常是特定案例或環境的敏感資料例外狀況。如需進一步了解,請參閱 使用允許清單定義敏感資料例外狀況。
-
在輸入一般設定步驟中,輸入任務的名稱和選擇性描述。然後選擇下一步。
-
對於檢閱和建立步驟,請檢閱任務的組態設定,並確認其正確。
您也可以檢閱執行任務的總預估成本 (以美元為單位)。預估值可協助您決定是否在儲存任務之前調整任務的設定。如需進一步了解,請參閱 預測敏感資料探索任務的成本。
-
當您完成檢閱和驗證任務的設定時,請選擇提交。
Macie 立即開始執行任務。若要了解如何監控任務,請參閱檢查敏感資料探索任務的狀態。
步驟 5:檢閱問題清單
Amazon Macie 會自動監控 S3 一般用途儲存貯體的安全性和存取控制,並建立政策調查結果,以報告儲存貯體安全性或隱私權的潛在問題。如果您執行敏感資料探索任務,或設定 Macie 執行自動敏感資料探索,Macie 會建立敏感資料調查結果,以報告在 S3 物件中偵測到的敏感資料。
請依照下列步驟檢閱問題清單。
檢閱問題清單
在 https://console.aws.amazon.com/macie/
:// 開啟 Amazon Macie 主控台。 -
在導覽窗格中,選擇調查結果。調查結果頁面會顯示您帳戶中目前的問題清單 AWS 區域。
-
若要依特定條件篩選問題清單,請在資料表上方的篩選條件方塊中輸入條件。
-
若要檢閱特定調查結果的詳細資訊,請選擇調查結果。詳細資訊面板會顯示調查結果的詳細資訊。
若要進一步了解問題清單,包括如何分組和篩選問題清單,請參閱 檢閱和分析調查結果。
