Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Découvrir des données sensibles avec Amazon Macie
Avec Amazon Macie, vous pouvez automatiser la découverte, la journalisation et le reporting des données sensibles dans votre parc de données Amazon Simple Storage Service (Amazon S3). Vous pouvez le faire de deux manières : en configurant Macie pour effectuer la découverte automatique des données sensibles, et en créant et en exécutant des tâches de découverte de données sensibles.
- Découverte automatisée des données sensibles
-
La découverte automatisée des données sensibles fournit une visibilité étendue sur l'emplacement des données sensibles susceptibles de se trouver dans votre parc de données Amazon S3. Avec cette option, Macie évalue quotidiennement votre inventaire de compartiments S3 et utilise des techniques d'échantillonnage pour identifier et sélectionner des objets S3 représentatifs de vos compartiments. Macie récupère et analyse ensuite les objets sélectionnés, en les inspectant pour détecter la présence de données sensibles. Pour plus d’informations, consultez Réalisation de la découverte automatisée des données sensibles.
- Jobs de découverte de données sensibles
-
Les tâches de découverte de données sensibles permettent une analyse plus approfondie et plus ciblée. Cette option vous permet de définir l'étendue et la profondeur de l'analyse, qu'il s'agisse de compartiments S3 spécifiques que vous sélectionnez ou de compartiments répondant à des critères spécifiques. Vous pouvez également affiner la portée de l'analyse en choisissant des options telles que des critères personnalisés dérivés des propriétés des objets S3. En outre, vous pouvez configurer une tâche pour qu'elle ne soit exécutée qu'une seule fois pour une analyse et une évaluation à la demande, ou de manière récurrente pour une analyse, une évaluation et une surveillance périodiques. Pour plus d’informations, consultez Exécution de tâches de découverte de données sensibles.
Quelle que soit l'option, qu'il s'agisse de découverte automatique de données sensibles ou de tâches de découverte de données sensibles, vous pouvez analyser des objets S3 à l'aide d'identifiants de données gérés fournis par Macie, d'identifiants de données personnalisés que vous définissez ou d'une combinaison des deux. Vous pouvez également affiner l'analyse en utilisant des listes d'autorisation.
- Identifiants de données gérés
-
Les identifiants de données gérés sont des critères et des techniques intégrés conçus pour détecter des types spécifiques de données sensibles, par exemple, les numéros de carte de crédit, les clés d'accès AWS secrètes ou les numéros de passeport pour certains pays ou régions. Ils peuvent détecter une liste longue et croissante de types de données sensibles pour de nombreux pays et régions, notamment plusieurs types de données d'identification, d'informations financières et d'informations personnelles identifiables (PII). Pour plus d’informations, consultez Utilisation des identificateurs de données gérés.
- Identifiants de données personnalisés
-
Les identificateurs de données personnalisés définissent des critères personnalisés pour détecter les données sensibles. Chaque identifiant de données personnalisé spécifie une expression régulière (regex) qui définit un modèle de texte correspondant et, éventuellement, des séquences de caractères et une règle de proximité qui affinent les résultats. Vous pouvez les utiliser pour détecter les données sensibles qui reflètent vos scénarios particuliers, les données de propriété intellectuelle ou les données propriétaires, par exemple les identifiants des employés, les numéros de compte client ou les classifications de données internes. Pour plus d’informations, consultez Création d'identificateurs de données personnalisés.
- Autoriser les listes
-
Dans Macie, les listes d'autorisations spécifient le texte et les modèles de texte à ignorer dans les objets S3, généralement des exceptions de données sensibles pour vos scénarios ou votre environnement particuliers, par exemple les noms publics ou les numéros de téléphone de votre organisation, ou des exemples de données que votre organisation utilise pour les tests. Si Macie trouve du texte correspondant à une entrée ou à un modèle dans une liste d'autorisation, Macie ne signale pas cette occurrence de texte, même si le texte répond aux critères d'un identifiant de données géré ou d'un identifiant de données personnalisé. Pour plus d’informations, consultez Définition des exceptions relatives aux données sensibles à l'aide de listes d'autorisation.
Lorsque Macie analyse un objet S3, Macie récupère la dernière version de l'objet auprès d'Amazon S3, puis inspecte le contenu de l'objet pour détecter la présence de données sensibles. Macie peut analyser un objet si les conditions suivantes sont vraies :
-
L'objet utilise un format de fichier ou de stockage pris en charge et il est stocké dans un compartiment S3 à usage général utilisant une classe de stockage prise en charge. Pour plus d’informations, consultez Classes et formats de stockage pris en charge.
-
Si l'objet est chiffré, il est chiffré avec une clé à laquelle Macie peut accéder et est autorisée à utiliser. Pour plus d’informations, consultez Analyse des objets S3 chiffrés.
-
Si l'objet est stocké dans un compartiment doté d'une politique de compartiment restrictive, cette politique permet à Macie d'accéder aux objets du compartiment. Pour plus d’informations, consultez Autoriser Macie à accéder aux compartiments et aux objets S3.
Pour vous aider à respecter et à maintenir la conformité à vos exigences en matière de sécurité et de confidentialité des données, Macie enregistre les données sensibles qu'elle trouve et les analyses qu'elle effectue, c'est-à-dire les découvertes de données sensibles et les résultats de découverte de données sensibles. Une découverte de données sensibles est un rapport détaillé des données sensibles que Macie a trouvées dans un objet S3. Un résultat de découverte de données sensibles est un enregistrement qui consigne les détails de l'analyse d'un objet. Chaque type d'enregistrement adhère à un schéma standardisé, qui peut vous aider à les interroger, à les surveiller et à les traiter en utilisant d'autres applications, services et systèmes si nécessaire.
Astuce
Bien que Macie soit optimisé pour Amazon S3, vous pouvez l'utiliser pour découvrir des données sensibles dans des ressources que vous stockez actuellement ailleurs. Vous pouvez le faire en déplaçant les données vers Amazon S3 de manière temporaire ou permanente. Par exemple, exportez des instantanés Amazon Relational Database Service ou Amazon Aurora vers Amazon S3 au format Apache Parquet. Ou exportez une table Amazon DynamoDB vers Amazon S3. Vous pouvez ensuite créer une tâche pour analyser les données dans Amazon S3.
Rubriques
- Utilisation des identificateurs de données gérés
- Création d'identificateurs de données personnalisés
- Définition des exceptions relatives aux données sensibles à l'aide de listes d'autorisation
- Réalisation de la découverte automatisée des données sensibles
- Exécution de tâches de découverte de données sensibles
- Analyse des objets S3 chiffrés
- Stockage et conservation des résultats de découverte de données sensibles
- Classes et formats de stockage pris en charge
