什麼是 Amazon Macie？

使用 Macie，您可以透過兩種方式自動探索和報告敏感資料：透過設定 Macie 執行自動敏感資料探索，以及建立和執行敏感資料探索任務。如果 Macie 偵測到 S3 物件中的敏感資料，它會為您建立敏感資料調查結果。調查結果提供 Macie 偵測到的敏感資料的詳細報告。

自動化敏感資料探索可讓您廣泛了解敏感資料可能位於 Amazon S3 資料資產中的位置。使用此選項，Macie 會持續評估您的 S3 儲存貯體庫存，並使用取樣技術來識別和選取儲存貯體中的代表性 S3 物件。然後，Macie 會擷取和分析選取的物件，檢查它們是否有敏感資料。

敏感資料探索任務可提供更深入、更精準的分析。使用此選項，您可以定義分析的廣度和深度：要分析的 S3 儲存貯體、取樣深度，以及衍生自 S3 物件屬性的自訂條件。您也可以將任務設定為僅執行一次以進行隨需分析和評估，或定期執行定期分析、評估和監控。

這兩個選項都可協助您建置和維護組織存放在 Amazon S3 中的資料的完整檢視，以及該資料的任何安全或合規風險。

若要使用 Macie 探索敏感資料，您可以使用內建的條件和技術，例如機器學習和模式比對，來分析 S3 儲存貯體中的物件。這些標準和技術稱為受管資料識別符，可以偵測許多國家和地區的敏感資料類型的大型和不斷增長的清單，包括多種個人識別資訊 (PII)、財務資訊和登入資料。

您也可以使用自訂資料識別符。自訂資料識別符是您定義用來偵測敏感資料的一組條件：定義要比對的文字模式的規則表達式 (regex)，以及選擇性的字元序列和精簡結果的鄰近規則。透過此類型的識別符，您可以偵測反映特定案例、智慧財產權或專屬資料的敏感資料。您可以補充 Macie 提供的受管資料識別碼。

若要微調分析，您也可以使用允許清單。允許清單定義您希望 Macie 在 S3 物件中忽略的特定文字和文字模式。這些通常是您特定案例或環境的敏感資料例外狀況，例如您組織的公有代表名稱、您組織的公有電話號碼，或組織用於測試的範例資料。

當您啟用 Macie 時，Macie 會自動產生並開始維護 S3 一般用途儲存貯體的清查。Macie 也開始評估和監控儲存貯體，以進行安全性和存取控制。如果 Macie 偵測到儲存貯體的安全性或隱私權潛在問題，它會為您建立政策調查結果。

除了問題清單之外，儀表板還為您提供 Amazon S3 資料的彙總統計資料快照。這包括關鍵指標的統計資料，例如可公開存取或與其他 共用的儲存貯體數量 AWS 帳戶。您可以深入查看每個統計資料，以檢閱支援資料。

Macie 也提供庫存中個別 S3 儲存貯體的詳細資訊和統計資料。資料包括儲存貯體的公開存取和加密設定的明細，以及 Macie 可以分析以偵測儲存貯體中敏感資料的大小和數量。您可以瀏覽清查，或依特定欄位排序和篩選清查。

在 Macie 中，問題清單是 Macie 在 S3 物件中偵測到的敏感資料的詳細報告，或是 S3 一般用途儲存貯體的安全性或隱私權潛在問題。每個調查結果都提供嚴重性評分、受影響資源的相關資訊，以及其他詳細資訊，例如 Macie 偵測到資料或問題的時間和方式。

若要檢閱、分析和管理問題清單，您可以使用 Amazon Macie 主控台上的問題清單頁面。這些頁面會列出您的問題清單，並提供個別問題清單的詳細資訊。它們也提供多個選項來分組、篩選、排序和隱藏問題清單。您也可以使用 Amazon Macie API 來擷取和檢閱問題清單。如果您使用 API，您可以將資料傳遞至另一個應用程式、服務或系統，以進行更深入的分析、長期儲存或報告。

為了支援與其他 服務和系統的整合，Macie 會將調查結果發佈至 Amazon EventBridge 做為事件。EventBridge 是一種無伺服器事件匯流排服務，可將問題清單資料路由至 AWS Lambda 函數和 Amazon Simple Notification Service (Amazon SNS) 主題等目標。使用 EventBridge，您可以近乎即時地監控和處理問題清單，作為現有安全和合規工作流程的一部分。

您可以將 Macie 設定為也可以將問題清單發佈至 AWS Security Hub 。Security Hub 是一項服務，可讓您全面檢視整個 AWS 環境的安全狀態，並協助您根據安全產業標準和最佳實務來檢查環境。使用 Security Hub，您可以更輕鬆地評估和處理調查結果，作為組織安全性狀態更廣泛分析的一部分 AWS。您也可以彙總多個 的調查結果 AWS 區域，然後評估和處理來自單一 區域的彙總調查結果資料。

如果您的 AWS 環境有多個帳戶，您可以集中管理環境中帳戶的 Macie。您可以透過兩種方式執行此操作：將 Macie 與 整合， AWS Organizations 或在 Macie 中傳送和接受成員資格邀請。

在多帳戶組態中，指定的 Macie 管理員可以為屬於相同組織的帳戶執行特定任務，並存取特定 Macie 設定、資料和資源。任務包括檢閱成員帳戶擁有的 S3 儲存貯體相關資訊、檢閱這些儲存貯體的政策調查結果，以及檢查儲存貯體是否有敏感資料。如果帳戶透過 建立關聯 AWS Organizations，Macie 管理員也可以為組織中的成員帳戶啟用 Macie。

除了 Amazon Macie 主控台之外，您還可以使用 Amazon Macie API 與 Macie 互動。Amazon Macie API 可讓您以程式設計方式存取 Macie 設定、資料和資源。

若要以程式設計方式與 Macie 互動，您可以直接將 HTTPS 請求傳送至 Macie，或使用目前版本的 AWS 命令列工具或 AWS SDK。 AWS 提供包含各種語言和平台的程式庫和範例程式碼的工具和 SDKs，例如 PowerShell、Java、Go、Python、C++ 和 .NET。

AWS Management Console 是以瀏覽器為基礎的介面，可用來建立和管理 AWS 資源。作為該主控台的一部分，Amazon Macie 主控台可讓您存取 Macie 帳戶、資料和資源。您可以使用 Macie 主控台來執行任何 Macie 任務：檢閱 S3 儲存貯體的統計資料和其他資訊、建立和執行敏感資料探索任務、檢閱和分析問題清單等。

使用 AWS 命令列工具，您可以在系統的命令列發出命令，以執行 Macie 任務和 AWS 任務。使用命令列可以比使用 主控台更快、更方便。若您想要建構執行 任務的指令碼，命令列工具也非常實用。

AWS 提供兩組命令列工具： AWS Command Line Interface (AWS CLI) 和 AWS Tools for PowerShell。如需有關安裝和使用 的資訊 AWS CLI，請參閱 AWS Command Line Interface 使用者指南。如需安裝和使用 Tools for PowerShell 的相關資訊，請參閱 AWS Tools for PowerShell 使用者指南。

AWS 提供包含程式庫和範例程式碼SDKs，適用於各種程式設計語言和平台，例如 Java、Go、Python、C++ 和 .NET。SDKs提供便利、程式設計的 Macie 和其他存取 AWS 服務。他們也會處理諸如密碼編譯簽署請求、管理錯誤和自動重試請求等任務。如需有關安裝和使用 AWS SDKs的資訊，請參閱要建置的工具 AWS。

Amazon Macie REST API 可讓您以程式設計方式存取 Macie 帳戶、資料和資源。使用此 API，您可以直接將 HTTPS 請求傳送至 Macie。不過，與 AWS 命令列工具和 SDKs 不同，使用此 API 需要您的應用程式處理低階詳細資訊，例如產生雜湊來簽署請求。如需此 API 的相關資訊，請參閱 Amazon Macie API 參考。

AWS Security Hub 可讓您全面檢視 AWS 資源的安全狀態，並協助您根據安全產業標準和最佳實務來檢查 AWS 環境。其部分做法是取用、彙總、組織和排定來自多個 AWS 服務 （包括 Macie) 和支援 AWS Partner Network (APN) 產品的安全調查結果優先順序。Security Hub 可協助您分析安全趨勢，並識別整個 AWS 環境中最優先的安全性問題。

若要進一步了解 Security Hub，請參閱 AWS Security Hub 使用者指南。若要了解如何同時使用 Macie 和 Security Hub，請參閱評估與馬西埃發現 AWS Security Hub。

Amazon GuardDuty 是一種安全監控服務，可分析和處理特定類型的 AWS 日誌，例如 Amazon S3 和 CloudTrail 管理事件日誌 AWS CloudTrail 的資料事件日誌。它使用威脅情報摘要，例如惡意 IP 地址和網域的清單，以及機器學習，來識別您 AWS 環境中非預期和可能未經授權的惡意活動。

若要進一步了解 GuardDuty，請參閱 Amazon GuardDuty 使用者指南。