本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在 Amazon Macie 中,我們以常見的 AWS 概念和術語為基礎,並使用這些額外的術語。
帳戶
AWS 帳戶 包含您的 AWS 資源和可存取這些資源之身分的標準。
若要使用 Macie,請使用 AWS 您的 AWS 帳戶 登入資料登入 ,選取您要 AWS 區域 在其中使用 Macie 的 ,然後在 AWS 帳戶 該區域中為 啟用 Macie。如需詳細資訊,請參閱Macie 入門。
Macie 中有三種帳戶類型:
-
管理員帳戶 – 此類型的帳戶會管理組織的 Macie 帳戶。組織是一組相互關聯的 Macie 帳戶,在特定 中以一組相關帳戶集中管理 AWS 區域。
-
成員帳戶 – 此類型的帳戶與組織的 Macie 管理員帳戶相關聯並受其管理。
-
獨立帳戶 – 此帳戶類型既不是管理員,也不是成員帳戶。它不是組織的一部分。
您可以透過兩種方式將 Macie 帳戶新增至組織:將 Macie 與 整合, AWS Organizations 或傳送和接受 Macie 成員資格邀請。如需詳細資訊,請參閱管理多個 帳戶。
管理員帳戶
在 Macie 中,管理組織 Macie 帳戶的帳戶。組織是一組相互關聯的 Macie 帳戶,在特定 中作為一組相關帳戶集中管理 AWS 區域。
Macie 管理員帳戶的使用者可存取其組織中所有帳戶的 Amazon Simple Storage Service (Amazon S3) 庫存資料、政策調查結果,以及特定 Macie 設定和資源。他們也可以執行自動化敏感資料探索,並執行敏感資料探索任務,以偵測帳戶擁有的 S3 儲存貯體中的敏感資料。根據帳戶被指定為管理員帳戶的方式,他們也可以為其組織中的其他帳戶執行其他任務。
如需詳細資訊,請參閱管理多個 帳戶。
允許清單
在 Macie 中,允許清單會指定文字或文字模式,您希望 Macie 在檢查 S3 物件是否有敏感資料時忽略。
您可以在 Macie 中建立兩種類型的允許清單:列出要忽略的特定單字和其他字元序列類型的純文字檔案,或定義要忽略的文字模式的規則表達式 (regex)。如果物件包含與允許清單中的項目或模式相符的文字,Macie 不會在敏感資料調查結果、統計資料和其他類型的結果中報告文字。即使文字符合受管資料識別碼或自訂資料識別碼的條件,也是如此。
如需詳細資訊,請參閱使用允許清單定義敏感資料例外狀況。
自動化敏感資料探索
Macie 持續執行的一系列自動化分析活動,以識別和選取 S3 儲存貯體中的代表性物件,並檢查選取的物件是否有敏感資料。
隨著分析的進行,Macie 會產生其找到的敏感資料記錄 (敏感資料調查結果) 及其執行的分析 (敏感資料探索結果)。Macie 也會更新其提供的 Amazon S3 資料的統計資料和其他資訊。
如需詳細資訊,請參閱執行自動化敏感資料探索。
AWS 安全調查結果格式 (ASFF)
發佈至 或由 產生之問題清單內容的標準化 JSON 格式 AWS Security Hub。ASFF 包含有關安全問題來源、受影響資源和調查結果狀態的詳細資訊。
如需 ASFF 的相關資訊,請參閱AWS Security Hub 《 使用者指南》中的AWS 安全調查結果格式 (ASFF)。如需將 Macie 調查結果發佈至 Security Hub 的資訊,請參閱使用 評估問題清單 AWS Security Hub。
可分類的位元組或大小
在 Macie 提供的 S3 儲存貯體統計資料中,S3 儲存貯體中所有可分類物件的總儲存體大小。
如果已啟用儲存貯體的版本控制,則此值是根據儲存貯體中每個可分類物件的最新版本儲存體大小。如果物件是壓縮檔案,此值不會反映檔案解壓縮後檔案內容的實際大小。
如需詳細資訊,請參閱 檢閱 S3 儲存貯體庫存 和 評估您的 Amazon S3 安全狀態。
可分類物件
Macie 可以分析的 S3 物件,用於偵測敏感資料。
計算 S3 儲存貯體統計資料時,Macie 會根據物件的儲存類別和檔案名稱副檔名來判斷物件可分類。如果物件使用支援的 Amazon S3 儲存類別,且具有支援的檔案或儲存格式的檔案名稱副檔名,則該物件可分類。
如需詳細資訊,請參閱 檢閱 S3 儲存貯體庫存 和 支援的儲存類別和格式。
對於敏感資料探索,Macie 會根據物件的儲存類別、檔案名稱副檔名和內容來判斷物件可分類。如果物件使用支援的 Amazon S3 儲存類別、具有支援檔案或儲存格式的檔案名稱副檔名,且 Macie 已驗證它可以從物件擷取和分析資料,則可以分類物件。
如需詳細資訊,請參閱 探索敏感資料 和 支援的儲存類別和格式。
自訂資料識別符
您為偵測敏感資料而定義的一組條件。
此條件包含規則運算式 (Regex),此表達式定義要比對的文字模式,以及可選擇的字元序列和精簡結果之鄰近性規則。字元序列可以是:
-
關鍵字,其為單詞或片語,必須位於符合 Regex 的文本附近,或者
-
忽略單詞,其為要從結果中排除的單詞或片語。
除了偵測條件之外,您還可以為自訂資料識別符產生的敏感資料調查結果定義自訂嚴重性設定。
如需詳細資訊,請參閱建置自訂資料識別符。
篩選條件規則
一組屬性型篩選條件,您可以建立並儲存這些條件,以分析 Amazon Macie 主控台上的問題清單。篩選規則可協助您對具有特定特徵的調查結果執行一致的分析,例如報告特定類型敏感資料的所有高嚴重性調查結果。
如需詳細資訊,請參閱定義篩選條件規則。
問題清單
Macie 在 S3 物件中找到的敏感資料的詳細報告,或 S3 一般用途儲存貯體的安全性或隱私權潛在問題。每個調查結果都提供詳細資訊,例如嚴重性評分、受影響資源的相關資訊,以及 Macie 何時找到資料或問題。
Macie 會產生兩種問題清單:敏感資料問題清單、Macie 在 S3 物件中偵測到的敏感資料,以及政策問題清單,以及 Macie 使用 S3 儲存貯體的安全和存取控制設定偵測到的潛在問題。在每個類別中,都有特定的問題清單類型。
如需詳細資訊,請參閱問題清單類型。
尋找事件
Amazon EventBridge 事件,其中包含敏感資料調查結果或政策調查結果的詳細資訊。
Macie 會自動將敏感資料調查結果和政策調查結果發佈至 Amazon EventBridge,做為事件。事件是符合 EventBridge 事件結構描述的 JSON 物件 AWS 。您可以使用這些事件,透過使用其他應用程式、服務和系統來監控、處理問題清單並對其採取行動。
如需詳細資訊,請參閱 使用 Amazon EventBridge 處理問題清單 和 問題清單的 Amazon EventBridge 事件結構描述。
job
請參閱敏感資料探索任務。
受管資料識別符
一組內建條件和技術,旨在偵測特定類型的敏感資料。敏感資料的範例包括信用卡號碼、 AWS 秘密存取金鑰或特定國家或地區的護照號碼。這些識別符可以偵測許多國家和地區的敏感資料類型的大型和不斷增長的清單。
如需詳細資訊,請參閱使用受管資料識別符。
成員帳戶
由組織的指定 Macie 管理員帳戶管理的 Macie 帳戶。組織是一組相互關聯的 Macie 帳戶,並作為特定 中相關帳戶的群組集中管理 AWS 區域。
帳戶可以透過兩種方式成為成員帳戶:透過在 中整合 Macie 與帳戶的組織, AWS Organizations 或接受 Macie 成員資格邀請。
如果您有成員帳戶,您的 Macie 管理員可以存取您帳戶的 Amazon S3 清查資料、政策調查結果,以及特定 Macie 設定和資源。您的管理員也可以執行自動敏感資料探索,並執行敏感資料探索任務,以偵測 S3 儲存貯體中的敏感資料。他們也可以為您的帳戶執行其他任務,具體取決於您的帳戶成為成員帳戶的方式。
如需詳細資訊,請參閱管理多個 帳戶。
組織
一組 Macie 帳戶,這些帳戶彼此關聯,並作為特定 中相關帳戶的群組集中管理 AWS 區域。
每個組織都由指定的 Macie 管理員帳戶和一或多個相關聯的成員帳戶組成。管理員帳戶可以存取成員帳戶的特定 Macie 設定、資料和資源。您可以透過兩種方式建立組織:將 Macie 與 AWS Organizations 整合,或在 Macie 中傳送和接受成員資格邀請。
如需詳細資訊,請參閱管理多個 帳戶。
政策調查結果
潛在政策違規或 S3 一般用途儲存貯體安全性和存取控制設定問題的詳細報告。詳細資訊包括嚴重性評分、受影響資源的相關資訊,以及 Macie 何時發現問題。
當 S3 一般用途儲存貯體的政策或設定變更時,Macie 會產生政策調查結果,以減少儲存貯體和儲存貯體物件的安全性或隱私權。Macie 會產生這些調查結果,做為 Amazon S3 資料持續監控活動的一部分。Macie 可以產生多種類型的政策調查結果。
如需詳細資訊,請參閱 問題清單類型 和 監控資料安全和隱私權。
範例問題清單
使用範例資料和預留位置值來示範問題清單可能包含的資訊類型的問題清單。
如需詳細資訊,請參閱使用範例問題清單。
敏感資料調查結果
Macie 在 S3 物件中找到的敏感資料的詳細報告。詳細資訊包括嚴重性評分、受影響資源的相關資訊、Macie 找到的敏感資料的類型和發生次數,以及 Macie 找到敏感資料的時間。
如果 Macie 在執行敏感資料探索任務時,偵測到其分析的 S3 物件中的敏感資料,或執行自動敏感資料探索,則會產生敏感資料調查結果。 敏感資料探索任務Macie 可以產生多種類型的敏感資料調查結果。
敏感資料探索任務
Macie 執行的一系列自動化處理和分析任務也稱為任務,用於偵測和報告 S3 物件中的敏感資料。當您建立任務時,您可以指定您希望任務執行的頻率,並定義任務分析的範圍和性質。
當任務執行時,Macie 會產生其找到的敏感資料記錄 (敏感資料調查結果) 及其執行的分析 (敏感資料探索結果)。Macie 也會將記錄資料發佈至 Amazon CloudWatch Logs。
如需詳細資訊,請參閱執行敏感資料探索任務。
敏感資料探索結果
記錄 Macie 在 S3 物件上執行之分析的詳細資訊的記錄,以判斷物件是否包含敏感資料。Macie 會產生這些記錄並將其寫入 JSON Lines (.jsonl) 檔案,它會加密並存放在您指定的 S3 儲存貯體中。記錄遵循標準化結構描述。
當您執行敏感資料探索任務或 Macie 執行自動敏感資料探索時,Macie 會為每個包含在分析範圍內的物件建立敏感資料探索結果。其中包含:
-
Macie 在其中找到敏感資料的物件,因此也會產生敏感資料調查結果。
-
Macie 在 中找不到敏感資料的物件,因此不會產生敏感資料調查結果。
-
Macie 因許可設定或使用不支援的檔案或儲存格式等錯誤或問題而無法分析的物件。
如需詳細資訊,請參閱儲存及保留敏感資料探索結果。
工作階段
代表特定 AWS 帳戶 中特定 之 Macie 服務的資源 AWS 區域。每個區域中只能 AWS 帳戶 有一個 Macie 工作階段。
當您第一次啟用 Macie 時,服務會在目前區域中為您的帳戶產生 Macie 工作階段。它也會為該工作階段指派唯一的識別符。工作階段可讓 Macie 成為您 區域中帳戶的營運狀態。
獨立帳戶
Macie 帳戶既不是 管理員,也不是組織中的成員帳戶。帳戶不是組織的一部分。
隱藏的調查結果
由禁止規則自動封存的問題清單。也就是說,Macie 會自動將調查結果的狀態變更為封存,因為調查結果符合 Macie 產生調查結果時禁止規則的條件。
如需詳細資訊,請參閱隱藏問題清單。
禁止規則
一組以屬性為基礎的篩選條件,您可以自動建立並儲存到封存 (隱藏) 問題清單。抑制規則在您已檢閱某類問題清單且不想再次收到通知的情況下很有用。
如果您使用禁止規則隱藏問題清單,Macie 會繼續產生符合規則條件的問題清單。不過,Macie 會自動將調查結果的狀態變更為已封存。這表示依預設,問題清單不會出現在 Amazon Macie 主控台上,而且 Macie 不會將其發佈到其他 AWS 服務。
如需詳細資訊,請參閱隱藏問題清單。
無法分類的位元組或大小
在 Macie 提供的 S3 儲存貯體統計資料中,S3 儲存貯體中所有不可分類物件的總儲存體大小。
如果已啟用儲存貯體的版本控制,則此值是根據儲存貯體中每個不可分類物件之最新版本的儲存體大小。如果物件是壓縮檔案,此值不會反映檔案解壓縮後檔案內容的實際大小。
如需詳細資訊,請參閱 檢閱 S3 儲存貯體庫存 和 評估您的 Amazon S3 安全狀態。
無法分類的物件
Macie 無法分析以偵測敏感資料的 S3 物件。
計算 S3 儲存貯體統計資料時,Macie 會根據物件的儲存類別和檔案名稱副檔名判斷物件無法分類。如果物件未使用支援的 Amazon S3 儲存類別,或沒有支援的檔案或儲存格式的檔案名稱副檔名,則該物件將無法分類。
如需詳細資訊,請參閱 檢閱 S3 儲存貯體庫存 和 支援的儲存類別和格式。
對於敏感資料探索,Macie 會根據物件的儲存類別、檔案名稱副檔名和內容,判斷物件無法分類。如果物件不使用支援的 Amazon S3 儲存類別、沒有支援檔案或儲存格式的檔案名稱副檔名,或 Macie 無法從物件擷取和分析資料,則該物件將無法分類。例如,物件是格式不正確的檔案。
如需詳細資訊,請參閱 探索敏感資料 和 支援的儲存類別和格式。
