Options d'étendue pour les tâches de découverte de données sensibles - Amazon Macie
Compartiments S3 ou critères relatifs aux compartimentsProfondeur d'échantillonnageExécution initiale : inclure les objets S3 existantsCritères relatifs aux objets S3

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Options d'étendue pour les tâches de découverte de données sensibles

Avec les tâches de découverte de données sensibles, vous définissez l'étendue de l'analyse qu'Amazon Macie effectue pour détecter et signaler les données sensibles dans vos compartiments à usage général Amazon Simple Storage Service (Amazon S3). Pour vous aider à le faire, Macie propose plusieurs options spécifiques à la tâche que vous pouvez choisir lorsque vous créez et configurez une tâche.

Compartiments S3 ou critères relatifs aux compartiments

Lorsque vous créez une tâche de découverte de données sensibles, vous spécifiez les compartiments S3 qui stockent les objets que vous souhaitez que Macie analyse lors de l'exécution de la tâche. Vous pouvez le faire de deux manières : en sélectionnant des compartiments S3 spécifiques dans votre inventaire de compartiments ou en spécifiant des critères personnalisés dérivés des propriétés des compartiments S3.

Sélectionnez des compartiments S3 spécifiques

Avec cette option, vous sélectionnez explicitement chaque compartiment S3 à analyser. Ensuite, lorsque la tâche s'exécute, elle analyse les objets uniquement dans les compartiments que vous sélectionnez. Si vous configurez une tâche pour qu'elle s'exécute régulièrement sur une base quotidienne, hebdomadaire ou mensuelle, la tâche analyse les objets contenus dans ces mêmes compartiments à chaque fois qu'elle s'exécute.

Cette configuration est utile dans les cas où vous souhaitez effectuer une analyse ciblée d'un ensemble de données spécifique. Il vous permet de contrôler de manière précise et prévisible les catégories analysées par un poste.

Spécifier les critères du compartiment S3

Avec cette option, vous définissez des critères d'exécution qui déterminent les compartiments S3 à analyser. Les critères consistent en une ou plusieurs conditions dérivées des propriétés du compartiment, telles que les paramètres d'accès public et les balises. Lorsque la tâche est exécutée, elle identifie les compartiments correspondant à vos critères, puis analyse les objets qu'ils contiennent. Si vous configurez une tâche pour qu'elle s'exécute régulièrement, elle le fait à chaque fois qu'elle s'exécute. Par conséquent, la tâche peut analyser des objets dans différents compartiments à chaque exécution, en fonction des modifications apportées à votre inventaire de compartiments et des critères que vous définissez.

Cette configuration est utile dans les cas où vous souhaitez que l'étendue de l'analyse s'adapte de manière dynamique aux modifications apportées à votre inventaire de compartiments. Si vous configurez une tâche pour utiliser des critères de compartiment et qu'elle est exécutée régulièrement, la tâche identifie automatiquement les nouveaux compartiments qui répondent aux critères et inspecte ces compartiments pour détecter la présence de données sensibles.

Les rubriques de cette section fournissent des informations supplémentaires sur chaque option.

Sélection de compartiments S3 spécifiques

Si vous choisissez de sélectionner explicitement chaque compartiment S3 que vous souhaitez qu'une tâche analyse, Macie vous fournit un inventaire complet de vos compartiments à usage général actuels. Région AWS Vous pouvez ensuite consulter votre inventaire et sélectionner les compartiments que vous souhaitez. Si vous êtes l'administrateur Macie d'une organisation, votre inventaire inclut les compartiments que possèdent vos comptes membres. Vous pouvez sélectionner jusqu'à 1 000 de ces compartiments, couvrant jusqu'à 1 000 comptes.

Pour vous aider à sélectionner vos compartiments, l'inventaire fournit des détails et des statistiques pour chaque compartiment. Cela inclut la quantité de données qu'une tâche peut analyser dans chaque compartiment. Les objets classifiables sont des objets qui utilisent une classe de stockage Amazon S3 prise en charge et qui ont une extension de nom de fichier pour un format de fichier ou de stockage pris en charge. L'inventaire indique également si vous avez configuré des tâches existantes pour analyser les objets d'un compartiment. Ces informations peuvent vous aider à estimer l'étendue d'une tâche et à affiner vos sélections de compartiments.

Dans le tableau d'inventaire :

  • Sensibilité — Spécifie le score de sensibilité actuel du compartiment, si la découverte automatique des données sensibles est activée.

  • Objets classifiables — Spécifie le nombre total d'objets que la tâche peut analyser dans le compartiment.

  • Taille classifiable — Spécifie la taille de stockage totale de tous les objets que la tâche peut analyser dans le compartiment.

    Si le bucket stocke des objets compressés, cette valeur ne reflète pas la taille réelle de ces objets après leur décompression. Si le contrôle de version est activé pour le compartiment, cette valeur est basée sur la taille de stockage de la dernière version de chaque objet du compartiment.

  • Surveillé par tâche : indique si vous avez configuré des tâches existantes pour analyser périodiquement les objets du compartiment sur une base quotidienne, hebdomadaire ou mensuelle.

    Si la valeur de ce champ est Oui, le compartiment est explicitement inclus dans une tâche périodique ou le compartiment a répondu aux critères d'une tâche périodique au cours des dernières 24 heures. En outre, le statut d'au moins un de ces emplois n'est pas annulé. Macie met à jour ces données quotidiennement.

  • Dernière exécution de la tâche : si vous avez configuré des tâches périodiques ou ponctuelles pour analyser les objets du compartiment, ce champ indique la date et l'heure les plus récentes auxquelles l'une de ces tâches a commencé à s'exécuter. Dans le cas contraire, un tiret (—) apparaît dans ce champ.

Si l'icône d'information ( The information icon, which is a blue circle that has a lowercase letter i in it. ) apparaît à côté d'un nom de compartiment, nous vous recommandons de récupérer les dernières métadonnées du compartiment sur Amazon S3. Pour ce faire, choisissez refresh ( The refresh button, which is a button that displays an empty, dark gray circle with an arrow. ) au-dessus du tableau. L'icône d'information indique qu'un bucket a été créé au cours des dernières 24 heures, probablement après que Macie ait récupéré pour la dernière fois les métadonnées du bucket et de l'objet sur Amazon S3 dans le cadre du cycle d'actualisation quotidien. Pour plus d’informations, consultez Actualisations de données.

Si l'icône d'avertissement ( The warning icon, which is a red triangle that has an exclamation point in it. ) apparaît à côté du nom d'un bucket, Macie n'est pas autorisé à accéder au bucket ou aux objets du bucket. Cela signifie que la tâche ne sera pas en mesure d'analyser les objets du compartiment. Pour étudier le problème, consultez la politique du compartiment et les paramètres d'autorisation dans Amazon S3. Par exemple, le compartiment peut avoir une politique de compartiment restrictive. Pour plus d’informations, consultez Autoriser Macie à accéder aux compartiments et aux objets S3.

Pour personnaliser votre affichage de l'inventaire et trouver plus facilement des compartiments spécifiques, vous pouvez filtrer le tableau en saisissant des critères de filtre dans la zone de filtre. Le tableau suivant fournit quelques exemples.

Pour afficher tous les seaux qui... Appliquer ce filtre...
Détenus par un compte spécifique ID de compte = the 12-digit ID for the account
Sont accessibles au public Autorisation effective = Publique
Ne sont inclus dans aucun emploi périodique Surveillé activement par tâche = Faux
Ne sont inclus dans aucun travail périodique ou ponctuel Défini dans le job = False
Disposer d'une clé de tag spécifique* Clé du tag = the tag key
Avoir une valeur de tag spécifique* Valeur du tag = the tag value
Stockez des objets non chiffrés (ou des objets utilisant le chiffrement côté client) Le nombre d'objets par chiffrement est « Aucun chiffrement » et « From » = 1

* Les clés et les valeurs des balises distinguent les majuscules et minuscules. Vous devez également spécifier une valeur complète et valide pour ces champs dans un filtre. Vous ne pouvez pas spécifier de valeurs partielles ni utiliser de caractères génériques.

Pour afficher des informations supplémentaires sur un bucket, choisissez le nom du bucket et consultez le panneau des détails. Dans le panneau, vous pouvez également :

  • Faites pivoter et explorez certains champs vers le bas en choisissant une loupe pour le champ. Choisissez The zoom in icon, which is a magnifying glass that has a plus sign in it. d'afficher les compartiments avec la même valeur ou d' The zoom out icon, which is a magnifying glass that has a minus sign in it. afficher les compartiments avec d'autres valeurs.

  • Récupérez les dernières métadonnées pour les objets du compartiment. Cela peut être utile si vous avez récemment créé un bucket ou si vous avez apporté des modifications importantes aux objets du bucket au cours des dernières 24 heures. Pour récupérer les données, choisissez refresh ( The refresh button, which is a button that displays an empty, dark gray circle with an arrow. ) dans la section Statistiques des objets du panneau. Cette option est disponible pour les seaux contenant 30 000 objets ou moins.

Spécification des critères du compartiment S3

Si vous choisissez de définir des critères de compartiment pour une tâche, Macie propose des options permettant de définir et de tester les critères. Il s'agit de critères d'exécution qui déterminent quels compartiments S3 stockent les objets à analyser. Chaque fois que la tâche est exécutée, Macie identifie les compartiments à usage général qui correspondent à vos critères, puis analyse les objets dans les compartiments appropriés. Si vous êtes l'administrateur Macie d'une organisation, cela inclut les compartiments que possèdent vos comptes membres.

Définition des critères du bucket

Les critères de compartiment consistent en une ou plusieurs conditions dérivées des propriétés des compartiments S3. Chaque condition, également appelée critère, comprend les éléments suivants :

  • Un champ basé sur des propriétés, tel que l'ID de compte ou l'autorisation effective.

  • Un opérateur, égal à (eq) ou non égal (neq).

  • Une ou plusieurs valeurs.

  • Une instruction d'inclusion ou d'exclusion qui indique s'il faut analyser (inclure) ou ignorer (exclure) les compartiments correspondant à la condition.

Si vous spécifiez plusieurs valeurs pour un champ, Macie utilise la logique OR pour joindre les valeurs. Si vous spécifiez plusieurs conditions pour les critères, Macie utilise la AND logique pour joindre les conditions. En outre, les conditions d'exclusion ont priorité sur les conditions d'inclusion. Par exemple, si vous incluez des compartiments accessibles au public et que vous excluez les compartiments dotés de balises spécifiques, la tâche analyse les objets de tout compartiment accessible au public, sauf si le compartiment possède l'une des balises spécifiées.

Vous pouvez définir des conditions dérivées de l'un des champs de propriété suivants pour les compartiments S3.

ID de compte

Identifiant unique (ID) du propriétaire Compte AWS d'un compartiment. Pour spécifier plusieurs valeurs pour ce champ, entrez l'ID de chaque compte et séparez chaque entrée par une virgule.

Notez que Macie ne prend pas en charge l'utilisation de caractères génériques ou de valeurs partielles pour ce champ.

Nom du compartiment

Le nom d'un bucket. Ce champ est en corrélation avec le champ Name, et non avec le champ Amazon Resource Name (ARN), dans Amazon S3. Pour spécifier plusieurs valeurs pour ce champ, entrez le nom de chaque compartiment et séparez chaque entrée par une virgule.

Notez que les valeurs distinguent les majuscules et minuscules. De plus, Macie ne prend pas en charge l'utilisation de caractères génériques ou de valeurs partielles pour ce champ.

Autorisation effective

Spécifie si un compartiment est accessible au public. Vous pouvez choisir une ou plusieurs des valeurs suivantes pour ce champ :

  • Non public : le grand public n'a pas accès au bucket en lecture ou en écriture.

  • Public : le grand public dispose d'un accès en lecture ou en écriture au bucket.

  • Inconnu : Macie n'a pas pu évaluer les paramètres d'accès public du bucket.

Pour déterminer si un bucket est accessible au public, Macie analyse une combinaison de paramètres au niveau du compte et du bucket pour le bucket : les paramètres de blocage de l'accès public pour le compte ; les paramètres de blocage de l'accès public pour le bucket ; la politique du bucket pour le bucket ; et la liste de contrôle d'accès (ACL) pour le bucket.

Accès partagé

Spécifie si un compartiment est partagé avec un autre Compte AWS utilisateur, une identité CloudFront d'accès d'origine Amazon (OAI) ou un contrôle CloudFront d'accès d'origine (OAC). Vous pouvez choisir une ou plusieurs des valeurs suivantes pour ce champ :

  • Externe : le bucket est partagé avec un ou plusieurs des comptes suivants ou une combinaison des éléments suivants : un CloudFront OAI CloudFront OAC, un compte ou un compte externe à votre organisation (ne faisant pas partie de celle-ci).

  • Interne : le bucket est partagé avec un ou plusieurs comptes internes à (une partie de) votre organisation. Il n'est pas partagé avec un CloudFront OAI ouOAC.

  • Non partagé : le bucket n'est pas partagé avec un autre compte CloudFront OAI, un ou un CloudFront OAC.

  • Inconnu : Macie n'a pas pu évaluer les paramètres d'accès partagé pour le compartiment.

Pour déterminer si un bucket est partagé avec un autre Compte AWS, Macie analyse la politique du bucket et ACL le bucket. En outre, une organisation est définie comme un ensemble de comptes Macie gérés de manière centralisée en tant que groupe de comptes connexes via AWS Organizations ou sur invitation de Macie. Pour plus d'informations sur les options Amazon S3 pour le partage de compartiments, consultez la section Gestion des accès dans le guide de l'utilisateur d'Amazon Simple Storage Service.

Pour déterminer si un compartiment est partagé avec un CloudFront OAI ouOAC, Macie analyse la politique de compartiment applicable au compartiment. A CloudFront OAI ou OAC permet aux utilisateurs d'accéder aux objets d'un bucket via une ou plusieurs CloudFront distributions spécifiées. Pour plus d'informations sur CloudFront OAIs etOACs, consultez Restreindre l'accès à une origine Amazon S3 dans le manuel Amazon CloudFront Developer Guide.

Balises

Les balises associées à un bucket. Les balises sont des étiquettes que vous pouvez définir et attribuer à certains types de AWS ressources, notamment les compartiments S3. Chaque balise se compose d'une clé de balise obligatoire et d'une valeur de balise facultative. Pour plus d'informations sur le balisage des compartiments S3, consultez la section Utilisation des balises de compartiment S3 pour la répartition des coûts dans le guide de l'utilisateur d'Amazon Simple Storage Service.

Pour une tâche de découverte de données sensibles, vous pouvez utiliser ce type de condition pour inclure ou exclure des compartiments dotés d'une clé de balise spécifique, d'une valeur de balise spécifique ou d'une clé de balise et d'une valeur de balise spécifiques (par paire). Par exemple :

  • Si vous spécifiez Project en tant que clé de balise et que vous ne spécifiez aucune valeur de balise pour une condition, tout compartiment contenant la clé de balise Project répond aux critères de la condition, quelles que soient les valeurs de balise associées à cette clé de balise.

  • Si vous spécifiez Development et Test en tant que valeurs de balise et que vous ne spécifiez aucune clé de balise pour une condition, tout compartiment contenant la valeur de Test balise Development ou correspond aux critères de la condition, quelles que soient les clés de balise associées à ces valeurs de balise.

Pour spécifier plusieurs clés de balise dans une condition, entrez chaque clé de balise dans le champ Clé et séparez chaque entrée par une virgule. Pour spécifier plusieurs valeurs de balise dans une condition, entrez chaque valeur de balise dans le champ Valeur et séparez chaque entrée par une virgule.

Notez que les clés et les valeurs des balises distinguent les majuscules et minuscules. De plus, Macie ne prend pas en charge l'utilisation de caractères génériques ou de valeurs partielles dans les conditions des balises.

Critères du godet de test

Lorsque vous définissez les critères de votre compartiment, vous pouvez tester et affiner les critères en prévisualisant les résultats. Pour ce faire, développez la section Aperçu des résultats des critères qui apparaît sous les critères sur la console. Cette section affiche un tableau des compartiments S3 à usage général qui répondent actuellement aux critères.

Le tableau fournit également un aperçu de la quantité de données que la tâche peut analyser dans chaque compartiment. Les objets classifiables sont des objets qui utilisent une classe de stockage Amazon S3 prise en charge et qui ont une extension de nom de fichier pour un format de fichier ou de stockage pris en charge. Le tableau indique également si vous avez configuré des tâches existantes pour analyser régulièrement les objets d'un bucket.

Dans le tableau :

  • Sensibilité — Spécifie le score de sensibilité actuel du compartiment, si la découverte automatique des données sensibles est activée.

  • Objets classifiables — Spécifie le nombre total d'objets que la tâche peut analyser dans le compartiment.

  • Taille classifiable — Spécifie la taille de stockage totale de tous les objets que la tâche peut analyser dans le compartiment.

    Si le bucket stocke des objets compressés, cette valeur ne reflète pas la taille réelle de ces objets après leur décompression. Si le contrôle de version est activé pour le compartiment, cette valeur est basée sur la taille de stockage de la dernière version de chaque objet du compartiment.

  • Surveillé par tâche : indique si vous avez configuré des tâches existantes pour analyser périodiquement les objets du compartiment sur une base quotidienne, hebdomadaire ou mensuelle.

    Si la valeur de ce champ est Oui, le compartiment est explicitement inclus dans une tâche périodique ou le compartiment a répondu aux critères d'une tâche périodique au cours des dernières 24 heures. En outre, le statut d'au moins un de ces emplois n'est pas annulé. Macie met à jour ces données quotidiennement.

Si l'icône d'avertissement ( The warning icon, which is a red triangle that has an exclamation point in it. ) apparaît à côté du nom d'un bucket, Macie n'est pas autorisé à accéder au bucket ou aux objets du bucket. Cela signifie que la tâche ne sera pas en mesure d'analyser les objets du compartiment. Pour étudier le problème, consultez la politique du compartiment et les paramètres d'autorisation dans Amazon S3. Par exemple, le compartiment peut avoir une politique de compartiment restrictive. Pour plus d’informations, consultez Autoriser Macie à accéder aux compartiments et aux objets S3.

Pour affiner les critères du bucket pour la tâche, utilisez les options de filtre pour ajouter, modifier ou supprimer des conditions des critères. Macie met ensuite à jour le tableau pour refléter vos modifications.

Profondeur d'échantillonnage

Avec cette option, vous spécifiez le pourcentage d'objets S3 éligibles que vous souhaitez qu'une tâche de découverte de données sensibles analyse. Les objets éligibles sont les objets qui : utilisent une classe de stockage Amazon S3 prise en charge, ont une extension de nom de fichier pour un format de fichier ou de stockage pris en charge et répondent à d'autres critères que vous spécifiez pour la tâche.

Si cette valeur est inférieure à 100 %, Macie sélectionne les objets éligibles à analyser au hasard, jusqu'au pourcentage spécifié, et analyse toutes les données contenues dans ces objets. Par exemple, si vous configurez une tâche pour analyser 10 000 objets et que vous spécifiez une profondeur d'échantillonnage de 20 %, Macie analyse environ 2 000 objets éligibles sélectionnés au hasard lors de l'exécution de la tâche.

La réduction de la profondeur d'échantillonnage d'une tâche peut réduire le coût et la durée d'une tâche. C'est utile lorsque les données contenues dans les objets sont très cohérentes et que vous souhaitez déterminer si c'est un compartiment S3, plutôt que chaque objet, qui stocke des données sensibles.

Notez que cette option contrôle le pourcentage d'objets analysés, et non le pourcentage d'octets analysés. Si vous entrez une profondeur d'échantillonnage inférieure à 100 %, Macie analyse toutes les données de chaque objet sélectionné, et non le pourcentage des données de chaque objet sélectionné.

Exécution initiale : inclure les objets S3 existants

Vous pouvez utiliser des tâches de découverte de données sensibles pour effectuer une analyse continue et incrémentielle des objets dans des compartiments S3. Si vous configurez une tâche pour qu'elle s'exécute régulièrement, Macie le fait automatiquement pour vous : chaque exécution analyse uniquement les objets créés ou modifiés après l'exécution précédente. Avec l'option Inclure les objets existants, vous choisissez le point de départ du premier incrément :

  • Pour analyser tous les objets existants immédiatement après avoir créé la tâche, cochez la case correspondant à cette option.

  • Pour attendre et analyser uniquement les objets créés ou modifiés après la création de la tâche et avant la première exécution, décochez la case correspondant à cette option.

    La désactivation de cette case à cocher est utile lorsque vous avez déjà analysé les données et que vous souhaitez continuer à les analyser régulièrement. Par exemple, si vous avez déjà utilisé un autre service ou une autre application pour classer les données et que vous avez récemment commencé à utiliser Macie, vous pouvez utiliser cette option pour garantir la découverte et la classification continues de vos données sans encourir de coûts inutiles ni dupliquer les données de classification.

Chaque exécution suivante d'une tâche périodique analyse automatiquement uniquement les objets créés ou modifiés après l'exécution précédente.

Pour les tâches périodiques et ponctuelles, vous pouvez également configurer une tâche pour analyser uniquement les objets créés ou modifiés avant ou après un certain temps ou pendant une certaine période. Pour ce faire, ajoutez des critères d'objet qui utilisent la date de dernière modification des objets.

Critères relatifs aux objets S3

Pour affiner l'étendue d'une tâche de découverte de données sensibles, vous pouvez définir des critères personnalisés pour les objets S3. Macie utilise ces critères pour déterminer les objets à analyser (inclure) ou à ignorer (exclure) lors de l'exécution de la tâche. Les critères consistent en une ou plusieurs conditions dérivées des propriétés des objets S3. Les conditions s'appliquent aux objets de tous les compartiments S3 inclus dans l'analyse. Si un bucket stocke plusieurs versions d'un objet, les conditions s'appliquent à la dernière version de l'objet.

Si vous définissez plusieurs conditions comme critères d'objet, Macie utilise AND la logique pour joindre les conditions. En outre, les conditions d'exclusion ont priorité sur les conditions d'inclusion. Par exemple, si vous incluez des objets portant l'extension de nom de fichier .pdf et que vous excluez des objets dont la taille est supérieure à 5 Mo, la tâche analyse tout objet portant l'extension de nom de fichier .pdf, sauf si l'objet est supérieur à 5 Mo.

Vous pouvez définir des conditions qui dérivent de l'une des propriétés suivantes des objets S3.

Extension de nom de fichier

Cela correspond à l'extension du nom de fichier d'un objet S3. Vous pouvez utiliser ce type de condition pour inclure ou exclure des objets en fonction du type de fichier. Pour ce faire pour plusieurs types de fichiers, entrez l'extension du nom de fichier pour chaque type et séparez chaque entrée par une virgule, par exemple :. docx,pdf,xlsx Si vous entrez plusieurs extensions de nom de fichier comme valeurs pour une condition, Macie utilise la logique OR pour joindre les valeurs.

Notez que les valeurs distinguent les majuscules et minuscules. De plus, Macie ne prend pas en charge l'utilisation de valeurs partielles ou de caractères génériques dans ce type de condition.

Pour plus d'informations sur les types de fichiers que Macie peut analyser, consultezFormats de fichiers et de stockage pris en charge.

Dernière modification

Cela correspond au champ Dernière modification dans Amazon S3. Dans Amazon S3, ce champ enregistre la date et l'heure de création ou de dernière modification d'un objet S3, selon la date la plus récente.

Pour une tâche de découverte de données sensibles, cette condition peut être une date précise, une date et une heure spécifiques ou une plage horaire exclusive :

  • Pour analyser les objets qui ont été modifiés pour la dernière fois après une certaine date ou une certaine date et heure, entrez les valeurs dans les champs De.

  • Pour analyser les objets qui ont été modifiés pour la dernière fois avant une certaine date ou date et heure, entrez les valeurs dans les champs À.

  • Pour analyser les objets qui ont été modifiés pour la dernière fois pendant une certaine période, utilisez les champs From pour saisir les valeurs de la date ou de la première date et heure de la plage horaire. Utilisez les champs À pour saisir les valeurs de la dernière date ou de la dernière date et heure de la plage horaire.

  • Pour analyser les objets qui ont été modifiés pour la dernière fois au cours d'une journée donnée, entrez la date dans le champ Date de début. Entrez la date du jour suivant dans le champ Date limite. Vérifiez ensuite que les deux champs temporels sont vides. (Macie traite un champ horaire vide comme00:00:00.) Par exemple, pour analyser des objets qui ont changé le 9 août 2023, entrez 2023/08/09 dans le champ Date de début, entrez 2023/08/10 dans le champ Date de fin et n'entrez de valeur dans aucun des champs temporels.

Entrez toutes les valeurs temporelles en temps universel coordonné (UTC) et utilisez une notation de 24 heures.

Préfixe

Cela correspond au champ Key dans Amazon S3. Dans Amazon S3, ce champ stocke le nom d'un objet S3, y compris le préfixe de l'objet. Un préfixe est similaire à un chemin de répertoire dans un bucket. Il vous permet de regrouper des objets similaires dans un compartiment, de la même manière que vous stockiez des fichiers similaires dans un dossier d'un système de fichiers. Pour plus d'informations sur les préfixes d'objets et les dossiers dans Amazon S3, consultez la section Organisation des objets dans la console Amazon S3 à l'aide de dossiers dans le guide de l'utilisateur d'Amazon Simple Storage Service.

Vous pouvez utiliser ce type de condition pour inclure ou exclure des objets dont les clés (noms) commencent par une certaine valeur. Par exemple, pour exclure tous les objets dont la clé commence par AWSLogs, entrez AWSLogs la valeur d'une condition de préfixe, puis choisissez Exclure.

Si vous entrez plusieurs préfixes comme valeurs pour une condition, Macie utilise la logique OR pour joindre les valeurs. Par exemple, si vous entrez AWSLogs1 et AWSLogs2 en tant que valeurs pour une condition, tout objet dont la clé commence par AWSLogs1ou AWSLogs2correspond aux critères de la condition.

Lorsque vous entrez une valeur pour une condition de préfixe, gardez les points suivants à l'esprit :

  • Les valeurs distinguent les majuscules et minuscules.

  • Macie ne prend pas en charge l'utilisation de caractères génériques dans ces valeurs.

  • Dans Amazon S3, la clé d'un objet n'inclut pas le nom du compartiment qui stocke l'objet. Pour cette raison, ne spécifiez pas de nom de compartiment dans ces valeurs.

  • Si un préfixe inclut un délimiteur, incluez-le dans la valeur. Par exemple, entrez AWSLogs/eventlogs pour définir une condition pour tous les objets dont la clé commence par AWSLogs/eventlogs. Macie prend en charge le délimiteur Amazon S3 par défaut, qui est une barre oblique (/), et les délimiteurs personnalisés.

Notez également qu'un objet répond aux critères d'une condition uniquement si la clé de l'objet correspond exactement à la valeur que vous entrez, en commençant par le premier caractère de la clé de l'objet. En outre, Macie applique une condition à la valeur clé complète d'un objet, y compris le nom de fichier de l'objet.

Par exemple, si la clé d'un objet est AWSLogs/eventlogs/testlog.csv et que vous entrez l'une des valeurs suivantes pour une condition, l'objet répond aux critères de la condition :

  • AWSLogs

  • AWSLogs/event

  • AWSLogs/eventlogs/

  • AWSLogs/eventlogs/testlog

  • AWSLogs/eventlogs/testlog.csv

Toutefois, si vous entrezeventlogs, l'objet ne correspond pas aux critères : la valeur de la condition n'inclut pas la première partie de la clé,/. AWSLogs De même, si vous entrezawslogs, l'objet ne correspond pas aux critères en raison de différences de capitalisation.

Taille de rangement

Cela correspond au champ Size dans Amazon S3. Dans Amazon S3, ce champ indique la taille de stockage totale d'un objet S3. Si un objet est un fichier compressé, cette valeur ne reflète pas la taille réelle du fichier une fois celui-ci décompressé.

Vous pouvez utiliser ce type de condition pour inclure ou exclure des objets inférieurs à une certaine taille, supérieurs à une certaine taille ou se situant dans une certaine plage de tailles. Macie applique ce type de condition à tous les types d'objets, y compris les fichiers compressés ou d'archive et les fichiers qu'ils contiennent. Pour plus d'informations sur les restrictions basées sur la taille pour chaque format pris en charge, consultezQuotas pour Macie.

Balises

Les balises associées à un objet S3. Les balises sont des étiquettes que vous pouvez définir et attribuer à certains types de AWS ressources, notamment aux objets S3. Chaque balise se compose d'une clé de balise obligatoire et d'une valeur de balise facultative. Pour plus d'informations sur le balisage des objets S3, consultez la section Catégorisation de votre stockage à l'aide de balises dans le guide de l'utilisateur d'Amazon Simple Storage Service.

Pour une tâche de découverte de données sensibles, vous pouvez utiliser ce type de condition pour inclure ou exclure des objets dotés d'une balise spécifique. Il peut s'agir d'une clé de balise spécifique ou d'une clé de balise et d'une valeur de balise spécifiques (par paire). Si vous spécifiez plusieurs balises comme valeurs pour une condition, Macie utilise la logique OR pour joindre les valeurs. Par exemple, si vous spécifiez Project1 et Project2 en tant que clés de balise pour une condition, tout objet doté de la clé de balise Project1 ou Project2 répond aux critères de la condition.

Notez que les clés et les valeurs des balises distinguent les majuscules et minuscules. De plus, Macie ne prend pas en charge l'utilisation de valeurs partielles ou de caractères génériques dans ce type de condition.