Umfangsoptionen für Aufgaben zur Erkennung sensibler Daten - Amazon Macie
S3-BucketsErster Lauf: Bestehende S3-ObjekteTiefe der ProbenahmeS3-Objektkriterien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Umfangsoptionen für Aufgaben zur Erkennung sensibler Daten

Mit Aufträgen zur Erkennung sensibler Daten definieren Sie den Umfang der Amazon Simple Storage Service (Amazon S3) -Daten, die Amazon Macie analysiert, um sensible Daten zu erkennen und zu melden. Um Ihnen dabei zu helfen, bietet Macie mehrere auftragsspezifische Optionen, die Sie bei der Erstellung und Konfiguration eines Jobs auswählen können.

S3-Buckets

Wenn Sie einen Discovery-Job für sensible Daten erstellen, geben Sie an, in welchen S3-Buckets Objekte gespeichert werden, die Macie analysieren soll, wenn der Job ausgeführt wird. Sie können dies auf zwei Arten tun: indem Sie bestimmte S3-Buckets aus Ihrem Bucket-Inventar auswählen oder indem Sie benutzerdefinierte Kriterien angeben, die sich aus den Eigenschaften von S3-Buckets ableiten.

Wählen Sie bestimmte S3-Buckets aus

Mit dieser Option wählen Sie explizit jeden S3-Bucket aus, der analysiert werden soll. Wenn der Job dann ausgeführt wird, analysiert er nur Objekte in den von Ihnen ausgewählten Buckets. Wenn Sie einen Job so konfigurieren, dass er regelmäßig täglich, wöchentlich oder monatlich ausgeführt wird, analysiert der Job bei jeder Ausführung Objekte in denselben Buckets.

Diese Konfiguration ist hilfreich für Fälle, in denen Sie eine gezielte Analyse eines bestimmten Datensatzes durchführen möchten. Sie gibt Ihnen eine präzise und vorhersehbare Kontrolle darüber, welche Buckets ein Job analysiert.

Geben Sie S3-Bucket-Kriterien an

Mit dieser Option definieren Sie Laufzeitkriterien, die bestimmen, welche S3-Buckets analysiert werden sollen. Die Kriterien bestehen aus einer oder mehreren Bedingungen, die sich aus Bucket-Eigenschaften wie Einstellungen und Tags für den öffentlichen Zugriff ergeben. Wenn der Job ausgeführt wird, identifiziert er Buckets, die Ihren Kriterien entsprechen, und analysiert dann Objekte in diesen Buckets. Wenn Sie einen Job so konfigurieren, dass er regelmäßig ausgeführt wird, erfolgt dies bei jeder Ausführung. Folglich analysiert der Job bei jeder Ausführung möglicherweise Objekte in unterschiedlichen Buckets, abhängig von Änderungen an Ihrem Bucket-Inventar und den von Ihnen definierten Kriterien.

Diese Konfiguration ist in Fällen hilfreich, in denen Sie möchten, dass sich der Umfang der Analyse dynamisch an Änderungen an Ihrem Bucket-Inventar anpasst. Wenn Sie einen Job so konfigurieren, dass er Bucket-Kriterien verwendet und regelmäßig ausgeführt wird, identifiziert der Job automatisch neue Buckets, die den Kriterien entsprechen, und überprüft diese Buckets auf sensible Daten.

Die Themen in diesem Abschnitt enthalten zusätzliche Informationen zu den einzelnen Optionen.

Auswahl bestimmter S3-Buckets

Wenn Sie sich dafür entscheiden, explizit jeden S3-Bucket auszuwählen, den ein Job analysieren soll, stellt Macie Ihnen eine vollständige Bestandsaufnahme Ihrer aktuellen Allzweck-Buckets zur Verfügung. AWS-Region Anschließend können Sie Ihr Inventar überprüfen und die gewünschten Buckets auswählen. Informationen darüber, wie Macie dieses Inventar für Sie generiert und verwaltet, finden Sie unter. Wie Macie die Amazon S3 S3-Datensicherheit überwacht

Wenn Sie der Macie-Administrator einer Organisation sind, umfasst das Inventar Buckets, die Mitgliedskonten in Ihrer Organisation gehören. Sie können bis zu 1.000 dieser Buckets auswählen, die sich über bis zu 1.000 Konten erstrecken.

Um Ihnen bei der Auswahl Ihrer Buckets zu helfen, enthält das Inventar Details und Statistiken für jeden Bucket. Dazu gehört die Datenmenge, die der Job in jedem Bucket analysieren kann. Klassifizierbare Objekte sind Objekte, die eine unterstützte Amazon S3 S3-Speicherklasse verwenden und eine Dateinamenerweiterung für ein unterstütztes Datei- oder Speicherformat haben. Das Inventar gibt auch an, ob bestehende Jobs für die Analyse von Objekten in einem Bucket konfiguriert sind. Anhand dieser Details können Sie den Umfang eines Jobs einschätzen und Ihre Bucket-Auswahl verfeinern.

In der Inventartabelle:

  • Sensitivität — Gibt den aktuellen Vertraulichkeitswert eines Buckets an, wenn die automatische Erkennung sensibler Daten aktiviert ist.

  • Klassifizierbare Objekte — Gibt die Gesamtzahl der Objekte an, die der Job in einem Bucket analysieren kann.

  • Klassifizierbare Größe — Gibt die Gesamtspeichergröße aller Objekte an, die der Job in einem Bucket analysieren kann.

    Wenn ein Bucket komprimierte Objekte speichert, gibt dieser Wert nicht die tatsächliche Größe dieser Objekte nach der Dekomprimierung wieder. Wenn die Versionsverwaltung für einen Bucket aktiviert ist, basiert dieser Wert auf der Speichergröße der neuesten Version jedes Objekts im Bucket.

  • Auftragsweise überwacht — Gibt an, ob vorhandene Jobs so konfiguriert sind, dass Objekte in einem Bucket regelmäßig täglich, wöchentlich oder monatlich analysiert werden.

    Wenn der Wert für dieses Feld Ja lautet, ist der Bucket explizit in einem periodischen Job enthalten oder der Bucket hat innerhalb der letzten 24 Stunden die Kriterien für einen periodischen Job erfüllt. Darüber hinaus lautet der Status von mindestens einem dieser Jobs nicht Storniert. Macie aktualisiert diese Daten täglich.

  • Letzte Auftragsausführung — Wenn bestehende periodische oder einmalige Jobs so konfiguriert sind, dass sie Objekte in einem Bucket analysieren, gibt dieses Feld das Datum und die Uhrzeit an, zu der einer dieser Jobs zuletzt gestartet wurde. Andernfalls erscheint in diesem Feld ein Bindestrich (—).

Wenn das Informationssymbol ( A blue circle with a blue, lowercase letter i in it ) neben einem beliebigen Bucket-Namen in der Tabelle angezeigt wird, empfehlen wir Ihnen, die neuesten Bucket-Metadaten von Amazon S3 abzurufen. Wählen Sie dazu über der Tabelle refresh ( The refresh button, which is a button that contains an empty, dark gray circle with an arrow ) aus. Das Informationssymbol weist darauf hin, dass in den letzten 24 Stunden ein Bucket erstellt wurde, möglicherweise nachdem Macie im Rahmen des täglichen Aktualisierungszyklus das letzte Mal Bucket- und Objektmetadaten von Amazon S3 abgerufen hat. Weitere Informationen finden Sie unter Daten werden aktualisiert.

Wenn das Warnsymbol ( A red triangle with a red exclamation point in it ) neben dem Namen eines Buckets in der Tabelle erscheint, darf Macie nicht auf den Bucket oder die Objekte des Buckets zugreifen. Das bedeutet, dass der Job keine Objekte im Bucket analysieren kann. Um das Problem zu untersuchen, überprüfen Sie die Richtlinien- und Berechtigungseinstellungen des Buckets in Amazon S3. Beispielsweise könnte der Bucket eine restriktive Bucket-Richtlinie haben. Weitere Informationen finden Sie unter Erlaubt Macie den Zugriff auf S3-Buckets und -Objekte.

Um Ihre Ansicht des Inventars anzupassen und bestimmte Buckets leichter zu finden, können Sie die Tabelle filtern, indem Sie Filterkriterien in das Filterfeld eingeben. Die folgende Tabelle bietet einige Beispiele.

Um alle Buckets anzuzeigen, die... Wende diesen Filter an...
Gehören einem bestimmten Konto Konto-ID = die 12-stellige ID für das Konto
Sind öffentlich zugänglich Wirksame Genehmigung = Öffentlich
Sind in keinen regelmäßigen Jobs enthalten Aktiv vom Job überwacht = Falsch
Sind nicht in regelmäßigen oder einmaligen Aufträgen enthalten Definiert in Job = False
Habe einen bestimmten Tag-Schlüssel* Tag-Schlüssel = der Tag-Schlüssel
Habe einen bestimmten Tag-Wert* Tag-Wert = der Tag-Wert
Speichern Sie unverschlüsselte Objekte (oder Objekte, die clientseitige Verschlüsselung verwenden) Die Anzahl der Objekte bei Verschlüsselung ist „Keine Verschlüsselung“ und „Von“ = 1

* Bei Tag-Schlüsseln und -Werten wird zwischen Groß- und Kleinschreibung unterschieden. Außerdem müssen Sie in einem Filter einen vollständigen, gültigen Wert für diese Felder angeben. Sie können keine Teilwerte angeben oder Platzhalterzeichen verwenden.

Um die Details eines Buckets anzuzeigen, wählen Sie den Namen des Buckets aus und schauen Sie im Detailbereich nach. Von dort aus können Sie auch Folgendes tun:

  • Wählen Sie ein Vergrößerungsglas für das Feld, um bestimmte Felder zu öffnen und nach unten zu gelangen. Wählen A magnifying glass with a plus sign Sie, ob Bereiche mit demselben Wert oder Bereiche mit anderen A magnifying glass with a minus sign Werten angezeigt werden sollen.

  • Rufen Sie die neuesten Metadaten für Objekte im Bucket ab. Dies kann hilfreich sein, wenn Sie kürzlich einen Bucket erstellt haben oder in den letzten 24 Stunden wesentliche Änderungen an den Objekten des Buckets vorgenommen haben. Um die Daten abzurufen, wählen Sie im Bereich Objektstatistiken des Bedienfelds die Option refresh ( The refresh button, which is a button that contains an empty, dark gray circle with an arrow ) aus. Diese Option ist für Buckets verfügbar, die 30.000 oder weniger Objekte speichern.

Angabe von S3-Bucket-Kriterien

Wenn Sie Bucket-Kriterien für einen Job angeben möchten, bietet Macie Optionen zum Definieren und Testen der Kriterien. Dies sind Laufzeitkriterien, die bestimmen, in welchen S3-Buckets zu analysierende Objekte gespeichert werden. Bei jeder Ausführung des Jobs werden allgemeine Buckets identifiziert, die Ihren Kriterien entsprechen, und anschließend die Objekte in den entsprechenden Buckets analysiert. Wenn Sie der Macie-Administrator einer Organisation sind, schließt dies auch Buckets ein, die Mitgliedskonten in Ihrer Organisation gehören.

Definition von Bucket-Kriterien

Bucket-Kriterien bestehen aus einer oder mehreren Bedingungen, die sich aus den Eigenschaften von S3-Buckets ergeben. Jede Bedingung, auch als Kriterium bezeichnet, besteht aus den folgenden Teilen:

  • Ein eigenschaftsbasiertes Feld, z. B. Konto-ID oder Gültige Berechtigung.

  • Ein Operator, entweder gleich (eq) oder ungleich (). neq

  • Ein oder mehrere Werte.

  • Eine Include- oder Exclude-Anweisung, die angibt, ob Buckets, die der Bedingung entsprechen, analysiert (eingeschlossen) oder übersprungen (ausgeschlossen) werden sollen.

Wenn Sie mehr als einen Wert für ein Feld angeben, verwendet Macie die OR-Logik, um die Werte zu verknüpfen. Wenn Sie mehr als eine Bedingung für die Kriterien angeben, verwendet Macie die UND-Logik, um die Bedingungen zu verknüpfen. Außerdem haben Ausschlussbedingungen Vorrang vor Einschlussbedingungen. Wenn Sie beispielsweise öffentlich zugängliche Buckets einbeziehen und Buckets mit bestimmten Tags ausschließen, analysiert der Job Objekte in allen Buckets, auf die öffentlich zugegriffen werden kann, sofern der Bucket nicht über eines der angegebenen Tags verfügt.

Sie können Bedingungen definieren, die sich aus einem der folgenden eigenschaftsbasierten Felder für S3-Buckets ableiten.

Konto-ID

Die eindeutige Kennung (ID) für den, dem ein Bucket AWS-Konto gehört. Um mehrere Werte für dieses Feld anzugeben, geben Sie die ID für jedes Konto ein und trennen Sie jeden Eintrag durch ein Komma.

Beachten Sie, dass Macie die Verwendung von Platzhalterzeichen oder Teilwerten für dieses Feld nicht unterstützt.

Bucket-Name

Der Name eines Buckets. Dieses Feld entspricht dem Feld Name, nicht dem Feld Amazon Resource Name (ARN) in Amazon S3. Um mehrere Werte für dieses Feld anzugeben, geben Sie den Namen jedes Buckets ein und trennen Sie jeden Eintrag durch ein Komma.

Beachten Sie, dass bei Werten zwischen Groß- und Kleinschreibung unterschieden wird. Darüber hinaus unterstützt Macie die Verwendung von Platzhalterzeichen oder Teilwerten für dieses Feld nicht.

Wirksame Erlaubnis

Gibt an, ob ein Bucket öffentlich zugänglich ist. Sie können einen oder mehrere der folgenden Werte für dieses Feld wählen:

  • Nicht öffentlich — Die allgemeine Öffentlichkeit hat keinen Lese- oder Schreibzugriff auf den Bucket.

  • Öffentlich — Die allgemeine Öffentlichkeit hat Lese- oder Schreibzugriff auf den Bucket.

  • Unbekannt — Macie war nicht in der Lage, die Einstellungen für den öffentlichen Zugriff für den Bucket auszuwerten.

Um diesen Wert für einen Bucket zu ermitteln, analysiert Macie eine Kombination von Einstellungen auf Konto- und Bucket-Ebene für den Bucket: die Einstellungen für den Block öffentlichen Zugriff für das Konto, die Einstellungen für den Block öffentlichen Zugriff für den Bucket, die Bucket-Richtlinie für den Bucket und die Zugriffskontrollliste (ACL) für den Bucket.

Gemeinsamer Zugriff

Gibt an, ob ein Bucket mit einem anderen AWS-Konto, einer Amazon CloudFront Origin Access Identity (OAI) oder einer CloudFront Origin Access Control (OAC) geteilt wird. Sie können einen oder mehrere der folgenden Werte für dieses Feld wählen:

  • Extern — Der Bucket wird mit einer oder mehreren der folgenden Personen oder einer beliebigen Kombination der folgenden Personen gemeinsam genutzt: eine CloudFront OAI, eine CloudFront OAC oder ein Konto, das extern zu Ihrer Organisation gehört (nicht Teil davon ist).

  • Intern — Der Bucket wird mit einem oder mehreren Konten geteilt, die zu Ihrer Organisation gehören (Teil davon). Es wird nicht mit einer CloudFront OAI oder OAC geteilt.

  • Nicht geteilt — Der Bucket wird nicht mit einem anderen Konto, einer CloudFront OAI oder einem OAC geteilt. CloudFront

  • Unbekannt — Macie war nicht in der Lage, die Einstellungen für den gemeinsamen Zugriff für den Bucket auszuwerten.

Um festzustellen, ob ein Bucket mit einem anderen gemeinsam genutzt wird AWS-Konto, analysiert Macie die Bucket-Richtlinie und die ACL für den Bucket. Darüber hinaus ist eine Organisation als eine Gruppe von Macie-Konten definiert, die über AWS Organizations oder auf Einladung von Macie als Gruppe verwandter Konten zentral verwaltet werden. Informationen zu den Amazon S3-Optionen für die gemeinsame Nutzung von Buckets finden Sie unter Identitäts- und Zugriffsverwaltung in Amazon S3 im Amazon Simple Storage Service-Benutzerhandbuch.

Um festzustellen, ob ein Bucket mit einer CloudFront OAI oder OAC gemeinsam genutzt wird, analysiert Macie die Bucket-Richtlinie für den Bucket. Eine CloudFront OAI oder OAC ermöglicht es Benutzern, über eine oder mehrere angegebene Distributionen auf die Objekte eines Buckets zuzugreifen. CloudFront Informationen zu CloudFront OAIs und OACs finden Sie unter Beschränken des Zugriffs auf einen Amazon S3 S3-Ursprung im Amazon CloudFront Developer Guide.

Tags

Die Tags, die einem Bucket zugeordnet sind. Tags sind Labels, die Sie definieren und bestimmten Ressourcentypen, einschließlich S3-Buckets, zuweisen können. AWS Jedes Tag besteht aus einem erforderlichen Tag-Schlüssel und einem optionalen Tag-Wert. Informationen zum Taggen von S3-Buckets finden Sie unter Verwenden von S3-Bucket-Tags für die Kostenzuweisung im Amazon Simple Storage Service-Benutzerhandbuch.

Bei einem Discovery-Job für sensible Daten können Sie diese Art von Bedingung verwenden, um Buckets mit einem bestimmten Tag-Schlüssel, einem bestimmten Tag-Wert oder einem bestimmten Tag-Schlüssel und Tag-Wert (als Paar) ein- oder auszuschließen. Beispielsweise:

  • Wenn Sie einen Tag-Schlüssel angeben Project und keine Tag-Werte für eine Bedingung angeben, entspricht jeder Bucket, der den Tag-Schlüssel Project enthält, den Kriterien der Bedingung, unabhängig von den Tag-Werten, die diesem Tag-Schlüssel zugeordnet sind.

  • Wenn Sie Development und Test als Tag-Werte angeben und keine Tag-Schlüssel für eine Bedingung angeben, entspricht jeder Bucket, der den Development oder Test -Tag-Wert enthält, den Kriterien der Bedingung, unabhängig von den Tag-Schlüsseln, die diesen Tag-Werten zugeordnet sind.

Um mehrere Tag-Schlüssel in einer Bedingung anzugeben, geben Sie jeden Tag-Schlüssel in das Schlüsselfeld ein und trennen Sie jeden Eintrag durch ein Komma. Um mehrere Tagwerte in einer Bedingung anzugeben, geben Sie jeden Tagwert in das Feld Wert ein und trennen Sie jeden Eintrag durch ein Komma.

Beachten Sie, dass bei Tag-Schlüsseln und -Werten zwischen Groß- und Kleinschreibung unterschieden wird. Darüber hinaus unterstützt Macie die Verwendung von Platzhalterzeichen oder Teilwerten in Tag-Bedingungen nicht.

Bucket-Kriterien testen

Während Sie Ihre Bucket-Kriterien definieren, können Sie die Kriterien testen und verfeinern, indem Sie sich eine Vorschau der Ergebnisse ansehen. Erweitern Sie dazu den Abschnitt Vorschau der Kriterienergebnisse anzeigen, der unter den Kriterien in der Konsole angezeigt wird. In diesem Abschnitt wird eine Tabelle mit S3-Allzweck-Buckets angezeigt, die derzeit den Kriterien entsprechen.

Die Tabelle bietet auch einen Einblick in die Datenmenge, die der Job in jedem Bucket analysieren kann. Klassifizierbare Objekte sind Objekte, die eine unterstützte Amazon S3 S3-Speicherklasse verwenden und eine Dateinamenerweiterung für ein unterstütztes Datei- oder Speicherformat haben. Die Tabelle gibt auch an, ob bestehende Jobs so konfiguriert sind, dass sie Objekte in einem Bucket regelmäßig analysieren.

In der Tabelle:

  • Sensitivität — Gibt den aktuellen Sensitivitätswert eines Buckets an, wenn die automatische Erkennung sensibler Daten aktiviert ist.

  • Klassifizierbare Objekte — Gibt die Gesamtzahl der Objekte an, die der Job in einem Bucket analysieren kann.

  • Klassifizierbare Größe — Gibt die Gesamtspeichergröße aller Objekte an, die der Job in einem Bucket analysieren kann.

    Wenn ein Bucket komprimierte Objekte speichert, gibt dieser Wert nicht die tatsächliche Größe dieser Objekte nach der Dekomprimierung wieder. Wenn die Versionsverwaltung für einen Bucket aktiviert ist, basiert dieser Wert auf der Speichergröße der neuesten Version jedes Objekts im Bucket.

  • Auftragsweise überwacht — Gibt an, ob vorhandene Jobs so konfiguriert sind, dass Objekte in einem Bucket regelmäßig täglich, wöchentlich oder monatlich analysiert werden.

    Wenn der Wert für dieses Feld Ja lautet, ist der Bucket explizit in einem periodischen Job enthalten oder der Bucket hat innerhalb der letzten 24 Stunden die Kriterien für einen periodischen Job erfüllt. Darüber hinaus lautet der Status von mindestens einem dieser Jobs nicht Storniert. Macie aktualisiert diese Daten täglich.

Wenn das Warnsymbol ( A red triangle with a red exclamation point in it ) neben dem Namen eines Buckets erscheint, darf Macie nicht auf den Bucket oder die Objekte des Buckets zugreifen. Das bedeutet, dass der Job keine Objekte im Bucket analysieren kann. Um das Problem zu untersuchen, überprüfen Sie die Richtlinien- und Berechtigungseinstellungen des Buckets in Amazon S3. Beispielsweise könnte der Bucket eine restriktive Bucket-Richtlinie haben. Weitere Informationen finden Sie unter Erlaubt Macie den Zugriff auf S3-Buckets und -Objekte.

Um die Bucket-Kriterien für den Job zu verfeinern, verwenden Sie die Filteroptionen, um Bedingungen zu den Kriterien hinzuzufügen, zu ändern oder zu entfernen. Macie aktualisiert dann die Tabelle, um Ihre Änderungen widerzuspiegeln.

Erster Lauf: Bestehende S3-Objekte

Sie können Aufgaben zur Erkennung sensibler Daten verwenden, um eine fortlaufende, inkrementelle Analyse von Objekten in S3-Buckets durchzuführen. Wenn Sie einen Job so konfigurieren, dass er regelmäßig ausgeführt wird, erledigt Macie dies automatisch für Sie. Bei jedem Lauf werden nur die Objekte analysiert, die nach dem vorherigen Lauf erstellt oder geändert wurden. Mit der Option Bestehende Objekte einbeziehen wählen Sie den Startpunkt für das erste Inkrement:

  • Um alle vorhandenen Objekte unmittelbar nach Abschluss der Erstellung des Jobs zu analysieren, aktivieren Sie das Kontrollkästchen für diese Option.

  • Um zu warten und nur die Objekte zu analysieren, die nach der Erstellung des Jobs und vor der ersten Ausführung erstellt oder geändert wurden, deaktivieren Sie das Kontrollkästchen für diese Option.

    Das Deaktivieren dieses Kontrollkästchens ist in Fällen hilfreich, in denen Sie die Daten bereits analysiert haben und sie regelmäßig weiter analysieren möchten. Wenn Sie beispielsweise zuvor einen anderen Dienst oder eine andere Anwendung zum Klassifizieren von Daten verwendet haben und seit Kurzem Macie verwenden, können Sie diese Option verwenden, um sicherzustellen, dass Ihre Daten kontinuierlich erkannt und klassifiziert werden, ohne dass Ihnen unnötige Kosten entstehen oder Klassifizierungsdaten dupliziert werden.

Bei jeder nachfolgenden Ausführung eines periodischen Jobs werden automatisch nur die Objekte analysiert, die nach dem vorherigen Lauf erstellt oder geändert wurden.

Sowohl für periodische als auch für einmalige Jobs können Sie einen Job auch so konfigurieren, dass nur die Objekte analysiert werden, die vor oder nach einer bestimmten Zeit oder in einem bestimmten Zeitraum erstellt oder geändert wurden. Fügen Sie dazu Objektkriterien hinzu, die das Datum der letzten Änderung für Objekte verwenden.

Tiefe der Probenahme

Mit dieser Option geben Sie den Prozentsatz der in Frage kommenden S3-Objekte an, die von einem Discovery-Job für sensible Daten analysiert werden sollen. In Frage kommende Objekte sind Objekte, die: eine unterstützte Amazon S3 S3-Speicherklasse verwenden, eine Dateinamenerweiterung für ein unterstütztes Datei- oder Speicherformat haben und andere Kriterien erfüllen, die Sie für den Job angeben.

Wenn dieser Wert unter 100% liegt, wählt Macie nach dem Zufallsprinzip geeignete Objekte für die Analyse bis zum angegebenen Prozentsatz aus und analysiert alle Daten in diesen Objekten. Wenn Sie beispielsweise einen Job für die Analyse von 10.000 Objekten konfigurieren und eine Stichprobentiefe von 20% angeben, analysiert Macie ungefähr 2.000 zufällig ausgewählte, geeignete Objekte, wenn der Job ausgeführt wird.

Durch die Reduzierung der Stichprobentiefe eines Jobs können die Kosten gesenkt und die Dauer eines Jobs verkürzt werden. Dies ist hilfreich in Fällen, in denen die Daten in Objekten sehr konsistent sind und Sie feststellen möchten, ob nicht jedes Objekt, sondern ein S3-Bucket sensible Daten speichert.

Beachten Sie, dass diese Option den Prozentsatz der analysierten Objekte steuert, nicht den Prozentsatz der analysierten Byte. Wenn Sie eine Stichprobentiefe von weniger als 100% eingeben, analysiert Macie alle Daten in jedem ausgewählten Objekt, nicht den Prozentsatz der Daten in jedem ausgewählten Objekt.

S3-Objektkriterien

Um den Umfang eines Discovery-Jobs für sensible Daten zu optimieren, können Sie auch benutzerdefinierte Kriterien definieren, die bestimmen, welche S3-Objekte Macie in die Analyse eines Jobs einbezieht oder ausschließt. Diese Kriterien bestehen aus einer oder mehreren Bedingungen, die sich aus den Eigenschaften von S3-Objekten ergeben. Die Bedingungen gelten für Objekte in allen S3-Buckets, für deren Analyse Sie einen Job konfigurieren. Wenn ein Bucket mehrere Versionen eines Objekts speichert, gelten die Bedingungen für die neueste Version des Objekts.

Wenn Sie mehrere Bedingungen als Objektkriterien definieren, verwendet Macie die UND-Logik, um die Bedingungen zu verknüpfen. Außerdem haben Ausschlussbedingungen Vorrang vor Einschlussbedingungen. Wenn Sie beispielsweise Objekte mit der Dateinamenerweiterung PDF einbeziehen und Objekte ausschließen, die größer als 5 MB sind, analysiert der Job jedes Objekt mit der Dateinamenerweiterung PDF, sofern das Objekt nicht größer als 5 MB ist.

Sie können Bedingungen definieren, die sich aus einer der folgenden Eigenschaften von S3-Objekten ableiten.

Erweiterung des Dateinamens

Dies entspricht der Dateinamenerweiterung eines S3-Objekts. Sie können diese Art von Bedingung verwenden, um Objekte basierend auf dem Dateityp ein- oder auszuschließen. Um dies für mehrere Dateitypen zu tun, geben Sie die Dateinamenerweiterung für jeden Typ ein und trennen Sie jeden Eintrag durch ein Komma, zum Beispiel:. docx,pdf,xlsx Wenn Sie mehrere Dateinamenerweiterungen als Werte für eine Bedingung eingeben, verwendet Macie die OR-Logik, um die Werte zu verknüpfen.

Beachten Sie, dass bei Werten zwischen Groß- und Kleinschreibung unterschieden wird. Darüber hinaus unterstützt Macie die Verwendung von Teilwerten oder Platzhalterzeichen in dieser Art von Bedingung nicht.

Hinweise zu den Dateitypen, die Macie analysieren kann, finden Sie unter. Unterstützte Datei- und Speicherformate

Zuletzt geändert

Dies entspricht dem Feld Letzte Änderung in Amazon S3. In Amazon S3 speichert dieses Feld das Datum und die Uhrzeit der Erstellung oder letzten Änderung eines S3-Objekts, je nachdem, welcher Zeitpunkt zuletzt ist.

Bei einem Discovery-Job für sensible Daten kann es sich bei dieser Bedingung um ein bestimmtes Datum, ein bestimmtes Datum und eine bestimmte Uhrzeit oder um einen exklusiven Zeitraum handeln:

  • Um Objekte zu analysieren, die nach einem bestimmten Datum oder Datum und Uhrzeit zuletzt geändert wurden, geben Sie die Werte in die Felder Von ein.

  • Um Objekte zu analysieren, die vor einem bestimmten Datum oder Datum und Uhrzeit zuletzt geändert wurden, geben Sie die Werte in die Felder Bis ein.

  • Um Objekte zu analysieren, die in einem bestimmten Zeitraum zuletzt geändert wurden, verwenden Sie die Felder Von, um die Werte für das erste Datum oder Datum und die erste Uhrzeit im Zeitraum einzugeben. Verwenden Sie die Felder Bis, um die Werte für das letzte Datum oder Datum und die letzte Uhrzeit im Zeitraum einzugeben.

  • Um Objekte zu analysieren, die zu einem beliebigen Zeitpunkt an einem bestimmten Tag zuletzt geändert wurden, geben Sie das Datum in das Feld Startdatum ein. Geben Sie das Datum für den nächsten Tag in das Feld Bis ein. Vergewissern Sie sich dann, dass beide Zeitfelder leer sind. (Macie behandelt ein leeres Zeitfeld als00:00:00.) Um beispielsweise Objekte zu analysieren, die sich am 9. August 2023 geändert haben, geben Sie 2023/08/09 in das Feld Startdatum und 2023/08/10 in das Feld Bis Datum ein, und geben Sie in keinem der beiden Zeitfelder einen Wert ein.

Geben Sie beliebige Zeitwerte in der koordinierten Weltzeit (UTC) ein und verwenden Sie die 24-Stunden-Notation.

Präfix

Dies entspricht dem Schlüsselfeld in Amazon S3. In Amazon S3 speichert dieses Feld den Namen eines S3-Objekts, einschließlich des Präfixes des Objekts. Ein Präfix ähnelt einem Verzeichnispfad innerhalb eines Buckets. Es ermöglicht Ihnen, ähnliche Objekte in einem Bucket zu gruppieren, ähnlich wie Sie ähnliche Dateien zusammen in einem Ordner auf einem Dateisystem speichern könnten. Informationen zu Objektpräfixen und Ordnern in Amazon S3 finden Sie unter Organisieren von Objekten in der Amazon S3 S3-Konsole mithilfe von Ordnern im Amazon Simple Storage Service-Benutzerhandbuch.

Sie können diese Art von Bedingung verwenden, um Objekte ein- oder auszuschließen, deren Schlüssel (Namen) mit einem bestimmten Wert beginnen. Um beispielsweise alle Objekte auszuschließen, deren Schlüssel mit 1 beginnt AWSLogs, geben Sie AWSLogs als Wert für eine Präfix-Bedingung ein und wählen Sie dann Ausschließen.

Wenn Sie mehrere Präfixe als Werte für eine Bedingung eingeben, verwendet Macie die OR-Logik, um die Werte zu verknüpfen. Wenn Sie beispielsweise AWSLogs1 und AWSLogs2 als Werte für eine Bedingung eingeben, entspricht jedes Objekt, dessen Schlüssel mit AWSLogs1 oder AWSLogs2 beginnt, den Kriterien der Bedingung.

Wenn Sie einen Wert für eine Präfix-Bedingung eingeben, sollten Sie Folgendes beachten:

  • Bei Werten wird zwischen Groß- und Kleinschreibung unterschieden.

  • Macie unterstützt die Verwendung von Platzhalterzeichen in diesen Werten nicht.

  • In Amazon S3 enthält der Schlüssel eines Objekts nicht den Namen des Buckets, in dem das Objekt gespeichert ist. Geben Sie aus diesem Grund in diesen Werten keine Bucket-Namen an.

  • Wenn ein Präfix ein Trennzeichen enthält, nehmen Sie das Trennzeichen in den Wert auf. Geben Sie beispielsweise ein, AWSLogs/eventlogs um eine Bedingung für alle Objekte zu definieren, deren Schlüssel mit /eventlogs beginnt. AWSLogs Macie unterstützt das standardmäßige Amazon S3 S3-Trennzeichen, bei dem es sich um einen Schrägstrich (/) handelt, und benutzerdefinierte Trennzeichen.

Beachten Sie auch, dass ein Objekt nur dann den Kriterien einer Bedingung entspricht, wenn der Schlüssel des Objekts genau dem von Ihnen eingegebenen Wert entspricht, beginnend mit dem ersten Zeichen im Objektschlüssel. Darüber hinaus wendet Macie eine Bedingung auf den kompletten Schlüsselwert für ein Objekt an, einschließlich des Dateinamens des Objekts.

Wenn der Schlüssel eines Objekts beispielsweise AWSLogs/eventlogs/testlog.csv lautet und Sie einen der folgenden Werte für eine Bedingung eingeben, entspricht das Objekt den Kriterien der Bedingung:

  • AWSLogs

  • AWSLogs/event

  • AWSLogs/eventlogs/

  • AWSLogs/eventlogs/testlog

  • AWSLogs/eventlogs/testlog.csv

Wenn Sie jedoch eingebeneventlogs, entspricht das Objekt nicht den Kriterien — der Wert der Bedingung enthält nicht den ersten Teil des Schlüssels,AWSLogs/. Ebenso entspricht das Objekt bei der Eingabe awslogs aufgrund von Unterschieden in der Groß- und Kleinschreibung nicht den Kriterien.

Größe des Speichers

Dies entspricht dem Feld Größe in Amazon S3. In Amazon S3 gibt dieses Feld die Gesamtspeichergröße eines S3-Objekts an. Wenn es sich bei einem Objekt um eine komprimierte Datei handelt, spiegelt dieser Wert nicht die tatsächliche Größe der Datei nach der Dekomprimierung wider.

Sie können diese Art von Bedingung verwenden, um Objekte ein- oder auszuschließen, die kleiner als eine bestimmte Größe sind, größer als eine bestimmte Größe sind oder in einen bestimmten Größenbereich fallen. Macie wendet diese Art von Bedingung auf alle Objekttypen an, einschließlich komprimierter Dateien oder Archivdateien und der darin enthaltenen Dateien. Informationen zu größenabhängigen Einschränkungen für jedes unterstützte Format finden Sie unter. Amazon Macie Macie-Kontingente

Tags

Die Tags, die einem S3-Objekt zugeordnet sind. Tags sind Beschriftungen, die Sie definieren und bestimmten Ressourcentypen AWS , einschließlich S3-Objekten, zuweisen können. Jedes Tag besteht aus einem erforderlichen Tag-Schlüssel und einem optionalen Tag-Wert. Informationen zum Taggen von S3-Objekten finden Sie unter Kategorisieren Ihres Speichers mithilfe von Tags im Amazon Simple Storage Service-Benutzerhandbuch.

Für einen Job zur Erkennung sensibler Daten können Sie diese Art von Bedingung verwenden, um Objekte mit einem bestimmten Tag ein- oder auszuschließen. Dabei kann es sich um einen bestimmten Tag-Schlüssel oder um einen bestimmten Tag-Schlüssel und Tag-Wert (als Paar) handeln. Wenn Sie mehrere Tags als Werte für eine Bedingung angeben, verwendet Macie die OR-Logik, um die Werte zu verknüpfen. Wenn Sie beispielsweise Project1 und Project2 als Tagschlüssel für eine Bedingung angeben, entspricht jedes Objekt, das den Tagschlüssel Project1 oder Project2 besitzt, den Kriterien der Bedingung.

Beachten Sie, dass bei Tag-Schlüsseln und -Werten zwischen Groß- und Kleinschreibung unterschieden wird. Außerdem unterstützt Macie die Verwendung von Teilwerten oder Platzhalterzeichen in dieser Art von Bedingung nicht.