Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Konzepte und Terminologie in Macie
In Amazon Macie bauen wir auf gemeinsamen AWS Konzepten und Terminologie auf und verwenden diese zusätzlichen Begriffe.
Konto
Ein Standard AWS-Konto , der Ihre AWS Ressourcen und die Identitäten enthält, die auf diese Ressourcen zugreifen können.
Um Macie zu verwenden, melden Sie sich AWS mit Ihren AWS-Konto Anmeldeinformationen an, wählen das aus, AWS-Region in dem Sie Macie verwenden möchten, und aktivieren dann Macie für Sie AWS-Konto in dieser Region. Weitere Informationen finden Sie unter Erste Schritte mit Macie.
In Macie gibt es drei Arten von Konten:
-
Administratorkonto — Dieser Kontotyp verwaltet Macie-Konten für eine Organisation. Eine Organisation besteht aus einer Reihe von Macie-Konten, die miteinander verknüpft und als Gruppe verwandter Konten in einem bestimmten Bereich zentral verwaltet werden. AWS-Region
-
Mitgliedskonto — Dieser Kontotyp ist dem Macie-Administratorkonto einer Organisation zugeordnet und wird von diesem verwaltet.
-
Eigenständiges Konto — Bei diesem Kontotyp handelt es sich weder um ein Administrator- noch um ein Mitgliedskonto. Es ist nicht Teil einer Organisation.
Sie können Macie-Konten auf zwei Arten zu einer Organisation hinzufügen: indem Sie Macie in Macie integrieren AWS Organizations oder indem Sie Einladungen zur Macie-Mitgliedschaft senden und annehmen. Weitere Informationen finden Sie unter Verwalten mehrerer Konten.
Administratorkonto
In Macie ein Konto, das Macie-Konten für eine Organisation verwaltet. Eine Organisation ist eine Gruppe von Macie-Konten, die miteinander verknüpft und als Gruppe verwandter Konten in einem bestimmten Bereich zentral verwaltet werden. AWS-Region
Benutzer eines Macie-Administratorkontos haben Zugriff auf Inventardaten, Richtlinienfeststellungen und bestimmte Macie-Einstellungen und Ressourcen für alle Konten in ihrer Organisation von Amazon Simple Storage Service (Amazon S3). Sie können auch eine automatische Erkennung sensibler Daten durchführen und Aufgaben zur Erkennung sensibler Daten ausführen, um sensible Daten in S3-Buckets zu erkennen, die den Konten gehören. Je nachdem, wie ein Konto als Administratorkonto bezeichnet wird, können sie möglicherweise auch zusätzliche Aufgaben für andere Konten in ihrer Organisation ausführen.
Weitere Informationen finden Sie unter Verwalten mehrerer Konten.
Zulassungsliste
In Macie gibt eine Zulassungsliste Text oder ein Textmuster an, das Macie ignorieren soll, wenn es S3-Objekte auf sensible Daten untersucht.
In Macie können Sie zwei Arten von Zulassungslisten erstellen: eine Klartextdatei, die bestimmte Wörter und andere Arten von Zeichenfolgen auflistet, die ignoriert werden sollen, oder einen regulären Ausdruck (Regex), der ein zu ignorierendes Textmuster definiert. Wenn ein Objekt Text enthält, der einem Eintrag oder einem Muster in einer Zulassungsliste entspricht, meldet Macie den Text nicht in Ergebnissen für sensible Daten, Statistiken und anderen Arten von Ergebnissen. Dies ist auch dann der Fall, wenn der Text den Kriterien einer verwalteten Daten-ID oder einer benutzerdefinierten Daten-ID entspricht.
Weitere Informationen finden Sie unter Definition von Ausnahmen für sensible Daten mit Zulassungslisten.
automatisierte Erkennung sensibler Daten
Eine Reihe automatisierter Analyseaktivitäten, die Macie kontinuierlich durchführt, um repräsentative Objekte aus S3-Buckets zu identifizieren und auszuwählen und die ausgewählten Objekte auf sensible Daten zu untersuchen.
Im Laufe der Analysen erstellt Macie Aufzeichnungen über die gefundenen sensiblen Daten (Ergebnisse sensibler Daten) und über die durchgeführten Analysen (Ergebnisse der Entdeckung sensibler Daten). Macie aktualisiert auch Statistiken und andere Informationen, die es zu Amazon S3 S3-Daten bereitstellt.
Weitere Informationen finden Sie unter Durchführung einer automatisierten Erkennung sensibler Daten.
AWS Format für Sicherheitssuche () ASFF
Ein standardisiertes JSON Format für den Inhalt von Ergebnissen, die veröffentlicht oder von generiert wurden AWS Security Hub. Das ASFF beinhaltet Details zur Ursache eines Sicherheitsproblems, zu den betroffenen Ressourcen und zum Status eines Befundes.
Weitere Informationen dazu ASFF finden Sie unter Format für AWS Sicherheitssuche (ASFF) im AWS Security Hub Benutzerhandbuch. Informationen zur Veröffentlichung von Macie-Ergebnissen auf Security Hub finden Sie unterAuswertung der Ergebnisse mit AWS Security Hub.
klassifizierbare Byte oder Größe
In den von Macie bereitgestellten S3-Bucket-Statistiken die Gesamtspeichergröße aller klassifizierbaren Objekte in einem S3-Bucket.
Wenn die Versionierung für einen Bucket aktiviert ist, basiert dieser Wert auf der Speichergröße der neuesten Version jedes klassifizierbaren Objekts im Bucket. Wenn es sich bei einem Objekt um eine komprimierte Datei handelt, spiegelt dieser Wert nicht die tatsächliche Größe des Dateiinhalts nach der Dekomprimierung wider.
Weitere Informationen erhalten Sie unter Überprüfen Sie Ihr S3-Bucket-Inventar und Bewertung Ihres Amazon S3 S3-Sicherheitsstatus.
klassifizierbares Objekt
Ein S3-Objekt, das Macie analysieren kann, um sensible Daten zu erkennen.
Bei der Berechnung der S3-Bucket-Statistiken stellt Macie fest, dass ein Objekt anhand der Speicherklasse und der Dateinamenerweiterung des Objekts klassifizierbar ist. Ein Objekt ist klassifizierbar, wenn es eine unterstützte Amazon S3 S3-Speicherklasse verwendet und eine Dateinamenerweiterung für ein unterstütztes Datei- oder Speicherformat hat.
Weitere Informationen erhalten Sie unter Überprüfen Sie Ihr S3-Bucket-Inventar und Unterstützte Speicherklassen und Formate.
Bei der Erkennung sensibler Daten bestimmt Macie, dass ein Objekt anhand der Speicherklasse, der Dateinamenerweiterung und des Inhalts des Objekts klassifizierbar ist. Ein Objekt ist klassifizierbar, wenn: es eine unterstützte Amazon S3 S3-Speicherklasse verwendet, eine Dateinamenerweiterung für ein unterstütztes Datei- oder Speicherformat hat und Macie bestätigt hat, dass es Daten aus dem Objekt extrahieren und analysieren kann.
Weitere Informationen erhalten Sie unter Erkennen vertraulicher Daten und Unterstützte Speicherklassen und Formate.
benutzerdefinierte Daten-ID
Eine Reihe von Kriterien, die Sie definieren, um sensible Daten zu erkennen.
Die Kriterien bestehen aus einem regulären Ausdruck (Regex), der ein zu suchendes Textmuster definiert und optional Zeichenfolgen und eine Näherungsregel zur Eingrenzung der Ergebnisse festlegt. Die Zeichenfolgen können Folgendes sein:
-
Schlüsselwörter – Wörter oder Ausdrücke, die sich in der Nähe von Text befinden müssen, der dem Regex entspricht
-
Zu ignorierende Wörter – Wörter oder Ausdrücke, die aus den Ergebnissen ausgeschlossen werden sollen
Zusätzlich zu den Erkennungskriterien können Sie benutzerdefinierte Schweregradeinstellungen für die Ergebnisse sensibler Daten definieren, die eine benutzerdefinierte Daten-ID hervorruft.
Weitere Informationen finden Sie unter Erstellen von benutzerdefinierten Datenbezeichnern.
Filterregel
Eine Reihe von attributbasierten Filterkriterien, die Sie erstellen und speichern, um Ergebnisse auf der Amazon Macie Macie-Konsole zu analysieren. Mithilfe von Filterregeln können Sie Ergebnisse mit bestimmten Merkmalen konsistent analysieren, z. B. alle Ergebnisse mit hohem Schweregrad, die einen bestimmten Typ vertraulicher Daten melden.
Weitere Informationen finden Sie unter Definition von Filterregeln.
Ergebnis
Ein detaillierter Bericht über sensible Daten, die Macie in einem S3-Objekt gefunden hat, oder über ein potenzielles Problem mit der Sicherheit oder dem Datenschutz eines S3-Allzweck-Buckets. Jedes Ergebnis enthält Einzelheiten wie einen Schweregrad, Informationen über die betroffene Ressource und den Zeitpunkt, zu dem Macie die Daten oder das Problem gefunden hat.
Macie generiert zwei Kategorien von Ergebnissen: Ergebnisse vertraulicher Daten für sensible Daten, die Macie in S3-Objekten entdeckt, und Richtlinienergebnisse für potenzielle Probleme, die Macie mit den Sicherheits- und Zugriffskontrolleinstellungen für S3-Buckets entdeckt. Innerhalb jeder Kategorie gibt es spezifische Arten von Ergebnissen.
Weitere Informationen finden Sie unter Arten von Ergebnissen.
Ereignis finden
Ein EventBridge Amazon-Ereignis, das die Einzelheiten einer Feststellung sensibler Daten oder einer Richtlinienfeststellung enthält.
Macie veröffentlicht automatisch Ergebnisse sensibler Daten und politische Ergebnisse EventBridge als Ereignisse an Amazon. Ein Ereignis ist ein JSON Objekt, das dem EventBridge Schema für AWS Ereignisse entspricht. Sie können diese Ereignisse verwenden, um Ergebnisse zu überwachen, zu verarbeiten und darauf zu reagieren, indem Sie andere Anwendungen, Dienste und Systeme verwenden.
Weitere Informationen erhalten Sie unter Bearbeitung von Ergebnissen mit Amazon EventBridge und EventBridge Amazon-Ereignisschema für Ergebnisse.
Auftrag
Siehe Job zur Erkennung sensibler Daten.
ID für verwaltete Daten
Eine Reihe integrierter Kriterien und Techniken, die darauf ausgelegt sind, einen bestimmten Typ vertraulicher Daten zu erkennen. Zu den sensiblen Daten gehören beispielsweise Kreditkartennummern, AWS geheime Zugangsschlüssel oder Passnummern für ein bestimmtes Land oder eine bestimmte Region. Diese Identifikatoren können eine große und wachsende Liste sensibler Datentypen für viele Länder und Regionen erkennen.
Weitere Informationen finden Sie unter Verwenden von verwalteten Datenbezeichnern.
Mitgliedskonto
Ein Macie-Konto, das vom designierten Macie-Administratorkonto für eine Organisation verwaltet wird. Eine Organisation besteht aus einer Reihe von Macie-Konten, die miteinander verknüpft und als Gruppe verwandter Konten in einem bestimmten Bereich zentral verwaltet werden. AWS-Region
Ein Konto kann auf zwei Arten zu einem Mitgliedskonto werden: durch die Integration von Macie in die Organisation des Kontos AWS Organizations oder durch Annahme einer Einladung zur Macie-Mitgliedschaft.
Wenn Sie ein Mitgliedskonto haben, hat Ihr Macie-Administrator Zugriff auf Amazon S3 S3-Inventardaten, Richtlinienfeststellungen und bestimmte Macie-Einstellungen und Ressourcen für Ihr Konto. Ihr Administrator kann auch eine automatische Erkennung sensibler Daten durchführen und Aufgaben zur Erkennung sensibler Daten ausführen, um sensible Daten in Ihren S3-Buckets zu erkennen. Je nachdem, wie Ihr Konto zu einem Mitgliedskonto wurde, können sie möglicherweise auch zusätzliche Aufgaben für Ihr Konto ausführen.
Weitere Informationen finden Sie unter Verwalten mehrerer Konten.
Organisation
Eine Reihe von Macie-Konten, die miteinander verknüpft sind und als Gruppe verwandter Konten in einem bestimmten AWS-Region Bereich zentral verwaltet werden.
Jede Organisation besteht aus einem bestimmten Macie-Administratorkonto und einem oder mehreren zugehörigen Mitgliedskonten. Das Administratorkonto kann auf bestimmte Macie-Einstellungen, Daten und Ressourcen für Mitgliedskonten zugreifen. Sie können eine Organisation auf zwei Arten erstellen: durch die Integration von Macie in Macie AWS Organizations oder durch das Senden und Annehmen von Mitgliedschaftseinladungen in Macie.
Weitere Informationen finden Sie unter Verwalten mehrerer Konten.
Festlegung von Richtlinien
Ein detaillierter Bericht über einen möglichen Richtlinienverstoß oder ein Problem mit den Sicherheits- und Zugriffskontrolleinstellungen für einen S3-Allzweck-Bucket. Zu den Details gehören eine Bewertung des Schweregrads, Informationen zur betroffenen Ressource und wann Macie das Problem gefunden hat.
Macie generiert Richtlinienergebnisse, wenn die Richtlinien oder Einstellungen für einen S3-Allzweck-Bucket so geändert werden, dass die Sicherheit oder der Datenschutz des Buckets und der Objekte des Buckets beeinträchtigt werden. Macie generiert diese Ergebnisse im Rahmen seiner laufenden Überwachungsaktivitäten für Ihre Amazon S3 S3-Daten. Macie kann verschiedene Arten von politischen Ergebnissen generieren.
Weitere Informationen erhalten Sie unter Arten von Ergebnissen und Überwachung der Datensicherheit und des Datenschutzes.
Befund einer Stichprobe
Ein Ergebnis, bei dem anhand von Beispieldaten und Platzhalterwerten veranschaulicht wird, welche Arten von Informationen ein Ergebnis enthalten könnte.
Weitere Informationen finden Sie unter Mit Stichprobenergebnissen arbeiten.
Feststellung sensibler Daten
Ein detaillierter Bericht über sensible Daten, die Macie in einem S3-Objekt gefunden hat. Zu den Einzelheiten gehören ein Schweregrad, Informationen über die betroffene Ressource, Art und Anzahl der Vorkommen der sensiblen Daten, die Macie gefunden hat, und wann Macie die sensiblen Daten gefunden hat.
Macie generiert Ergebnisse zu sensiblen Daten, wenn es sensible Daten in S3-Objekten entdeckt, die es analysiert, wenn Sie Erkennungsaufträge für vertrauliche Daten ausführen, oder wenn es eine automatisierte Erkennung sensibler Daten durchführt. Macie kann verschiedene Arten von Ergebnissen für sensible Daten generieren.
Weitere Informationen erhalten Sie unter Arten von Ergebnissen und Erkennen vertraulicher Daten.
Job zur Entdeckung sensibler Daten
Wird auch als Job bezeichnet. Dabei handelt es sich um eine Reihe automatisierter Verarbeitungs- und Analyseaufgaben, die Macie ausführt, um sensible Daten in S3-Objekten zu erkennen und zu melden. Wenn Sie einen Job erstellen, geben Sie an, wie oft der Job ausgeführt werden soll, und Sie definieren den Umfang und die Art der Analyse des Jobs.
Wenn ein Job ausgeführt wird, erstellt Macie Aufzeichnungen über die gefundenen vertraulichen Daten (Ergebnisse sensibler Daten) und über die durchgeführten Analysen (Ergebnisse der Erkennung sensibler Daten). Macie veröffentlicht auch Protokolldaten in Amazon CloudWatch Logs.
Weitere Informationen finden Sie unter Ausführen von Erkennungsaufgaben für vertrauliche Daten.
Ergebnis der Entdeckung sensibler Daten
Ein Datensatz, der Details zu der Analyse protokolliert, die Macie an einem S3-Objekt durchgeführt hat, um festzustellen, ob das Objekt vertrauliche Daten enthält. Macie generiert und schreibt diese Datensätze in JSON Lines-Dateien (.jsonl), verschlüsselt sie und speichert sie in einem von Ihnen angegebenen S3-Bucket. Die Datensätze entsprechen einem standardisierten Schema.
Wenn Sie einen Discovery-Job für sensible Daten ausführen oder Macie eine automatische Erkennung sensibler Daten durchführt, erstellt Macie für jedes Objekt, das in den Umfang der Analyse einbezogen wird, ein Erkennungsergebnis für sensible Daten. Dies umfasst:
-
Objekte, in denen Macie sensible Daten findet und die daher auch zu Ergebnissen sensibler Daten führen.
-
Objekte, in denen Macie keine sensiblen Daten findet und die daher keine Ergebnisse mit sensiblen Daten liefern.
-
Objekte, die Macie aufgrund von Fehlern oder Problemen nicht analysieren kann, z. B. aufgrund von Berechtigungseinstellungen oder der Verwendung eines nicht unterstützten Datei- oder Speicherformats.
Weitere Informationen finden Sie unter Speicherung und Beibehaltung der Erkennungsergebnisse von vertraulichen Daten.
Sitzung
Eine Ressource, die den Macie-Dienst für ein bestimmtes Objekt AWS-Konto in einem bestimmten Bereich darstellt. AWS-Region Ein AWS-Konto kann in jeder Region nur eine Macie-Sitzung haben.
Wenn Sie Macie zum ersten Mal aktivieren, generiert der Dienst eine Macie-Sitzung für Ihr Konto in der aktuellen Region. Außerdem wird dieser Sitzung eine eindeutige Kennung zugewiesen. Die Sitzung ermöglicht es Macie, für Ihr Konto in der Region betriebsbereit zu werden.
eigenständiges Konto
Ein Macie-Konto, das weder ein Administrator- noch ein Mitgliedskonto in einer Organisation ist. Das Konto ist nicht Teil einer Organisation.
unterdrückter Befund
Ein Ergebnis, das automatisch durch eine Unterdrückungsregel archiviert wurde. Das heißt, Macie hat den Status des Ergebnisses automatisch in archiviert geändert, weil das Ergebnis den Kriterien einer Unterdrückungsregel entsprach, als Macie das Ergebnis generierte.
Weitere Informationen finden Sie unter Unterdrücken von Ergebnissen.
Unterdrückungsregel
Eine Reihe von attributbasierten Filterkriterien, die Sie erstellen und speichern, um Ergebnisse automatisch zu archivieren (zu unterdrücken). Unterdrückungsregeln sind in Situationen hilfreich, in denen Sie eine Gruppe von Ergebnissen überprüft haben und nicht erneut darüber informiert werden möchten.
Wenn Sie Ergebnisse mit einer Unterdrückungsregel unterdrücken, generiert Macie weiterhin Ergebnisse, die den Kriterien der Regel entsprechen. Macie ändert den Status der Ergebnisse jedoch automatisch in archiviert. Das bedeutet, dass die Ergebnisse nicht standardmäßig auf der Amazon Macie Macie-Konsole angezeigt werden und Macie sie nicht auf anderen veröffentlicht. AWS-Services
Weitere Informationen finden Sie unter Unterdrücken von Ergebnissen.
nicht klassifizierbare Byte oder Größe
In den von Macie bereitgestellten S3-Bucket-Statistiken die Gesamtspeichergröße aller nicht klassifizierbaren Objekte in einem S3-Bucket.
Wenn die Versionierung für einen Bucket aktiviert ist, basiert dieser Wert auf der Speichergröße der neuesten Version jedes nicht klassifizierbaren Objekts im Bucket. Wenn es sich bei einem Objekt um eine komprimierte Datei handelt, spiegelt dieser Wert nicht die tatsächliche Größe des Dateiinhalts nach der Dekomprimierung wider.
Weitere Informationen erhalten Sie unter Überprüfen Sie Ihr S3-Bucket-Inventar und Bewertung Ihres Amazon S3 S3-Sicherheitsstatus.
nicht klassifizierbares Objekt
Ein S3-Objekt, das Macie nicht analysieren kann, um sensible Daten zu erkennen.
Bei der Berechnung der S3-Bucket-Statistiken stellt Macie anhand der Speicherklasse und der Dateinamenerweiterung des Objekts fest, dass ein Objekt nicht klassifizierbar ist. Ein Objekt ist nicht klassifizierbar, wenn es keine unterstützte Amazon S3 S3-Speicherklasse verwendet oder keine Dateinamenerweiterung für ein unterstütztes Datei- oder Speicherformat hat.
Weitere Informationen erhalten Sie unter Überprüfen Sie Ihr S3-Bucket-Inventar und Unterstützte Speicherklassen und Formate.
Bei der Erkennung sensibler Daten bestimmt Macie anhand der Speicherklasse, der Dateinamenerweiterung und des Inhalts des Objekts, dass ein Objekt nicht klassifizierbar ist. Ein Objekt ist nicht klassifizierbar, wenn: es keine unterstützte Amazon S3 S3-Speicherklasse verwendet, es keine Dateinamenerweiterung für ein unterstütztes Datei- oder Speicherformat hat oder Macie keine Daten aus dem Objekt extrahieren und analysieren konnte. Das Objekt ist beispielsweise eine fehlerhafte Datei.
Weitere Informationen erhalten Sie unter Erkennen vertraulicher Daten und Unterstützte Speicherklassen und Formate.
