Cara kerja penemuan data sensitif otomatis - Amazon Macie
Komponen kunciPertimbangan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Cara kerja penemuan data sensitif otomatis

Saat Anda mengaktifkan Amazon Macie untuk Anda Akun AWS, Macie membuat peran terkait layanan AWS Identity and Access Management (IAM) untuk akun Anda saat ini. Wilayah AWS Kebijakan izin untuk peran ini memungkinkan Macie memanggil sumber daya lain Layanan AWS dan memantau AWS sumber daya atas nama Anda. Dengan menggunakan peran ini, Macie menghasilkan dan memelihara inventaris lengkap bucket tujuan umum Amazon Simple Storage Service (Amazon S3) Anda di Wilayah. Inventaris mencakup informasi tentang masing-masing ember dan objek S3 Anda di ember. Jika Anda administrator Macie untuk suatu organisasi, inventaris mencakup informasi tentang bucket yang dimiliki akun anggota Anda. Untuk informasi selengkapnya, lihat Mengelola beberapa akun.

Jika penemuan data sensitif otomatis diaktifkan untuk akun Macie Anda, Macie mengevaluasi data inventaris setiap hari untuk mengidentifikasi objek S3 yang memenuhi syarat untuk penemuan otomatis. Sebagai bagian dari evaluasi, Macie juga memilih sampel objek representatif untuk dianalisis. Macie kemudian mengambil dan menganalisis versi terbaru dari setiap objek yang dipilih dari Amazon S3, memeriksa setiap objek untuk data sensitif.

Saat analisis berlangsung setiap hari, Macie memperbarui statistik, data inventaris, dan informasi lain yang diberikannya tentang data Amazon S3 Anda. Macie juga menghasilkan catatan data sensitif yang ditemukannya dan analisis yang dilakukannya. Data yang dihasilkan memberikan wawasan tentang tempat Macie menemukan data sensitif di estate data Amazon S3 Anda, mencakup semua bucket tujuan umum S3 yang dipantau dan dianalisis Macie untuk akun Anda. Data dapat membantu Anda menilai keamanan dan privasi data Anda, menentukan di mana harus melakukan penyelidikan yang lebih dalam, dan mengidentifikasi kasus-kasus di mana remediasi diperlukan.

Untuk demonstrasi singkat tentang cara kerja penemuan data sensitif otomatis, tonton video berikut:

Untuk mengonfigurasi dan menggunakan penemuan data sensitif otomatis, akun Anda harus berupa akun Macie mandiri atau akun administrator Macie untuk organisasi.

Komponen utama

Amazon Macie menggunakan kombinasi fitur dan teknik untuk melakukan penemuan data sensitif otomatis untuk data Amazon S3 Anda. Ini bekerja sama dengan fitur dan teknik yang digunakan Macie untuk membantu Anda memantau data Amazon S3 Anda untuk keamanan dan kontrol akses.

Memilih objek S3 untuk dianalisis

Setiap hari, Macie mengevaluasi data inventaris Amazon S3 Anda untuk mengidentifikasi objek S3 yang memenuhi syarat untuk dianalisis dengan penemuan data sensitif otomatis. Jika Anda administrator Macie untuk suatu organisasi, ini termasuk data inventaris untuk bucket S3 yang dimiliki akun anggota Anda.

Sebagai bagian dari evaluasi, Macie menggunakan teknik pengambilan sampel untuk memilih objek S3 yang representatif untuk dianalisis. Teknik mendefinisikan kelompok objek yang memiliki metadata serupa dan cenderung memiliki konten serupa. Grup didasarkan pada dimensi seperti nama bucket, awalan, kelas penyimpanan, ekstensi nama file, dan tanggal modifikasi terakhir. Macie kemudian memilih kumpulan sampel yang representatif dari setiap grup, mengambil versi terbaru dari setiap objek yang dipilih dari Amazon S3, dan menganalisis setiap objek yang dipilih untuk menentukan apakah objek tersebut berisi data sensitif. Ketika analisis selesai, Macie membuang salinan objeknya.

Strategi pengambilan sampel memprioritaskan analisis terdistribusi. Secara umum, ini menggunakan pendekatan luas-pertama ke estate data Amazon S3 Anda. Setiap hari, satu set objek S3 yang representatif dipilih dari sebanyak mungkin bucket tujuan umum Anda berdasarkan ukuran penyimpanan total semua objek yang dapat diklasifikasikan di estat data Amazon S3 Anda. Misalnya, jika Macie telah menganalisis dan menemukan data sensitif dalam objek dalam satu ember dan belum menganalisis objek di ember lain, bucket terakhir adalah prioritas yang lebih tinggi untuk analisis. Dengan pendekatan ini, Anda mendapatkan wawasan luas tentang sensitivitas data Amazon S3 Anda dengan lebih cepat. Bergantung pada ukuran data estate Anda, hasil analisis dapat mulai muncul dalam waktu 48 jam setelah memungkinkan penemuan data sensitif otomatis untuk akun Anda.

Strategi pengambilan sampel juga memprioritaskan analisis berbagai jenis objek dan objek S3 yang baru saja dibuat atau diubah. Sampel objek tunggal apa pun tidak dijamin konklusif. Oleh karena itu, analisis kumpulan objek yang beragam dapat menghasilkan wawasan yang lebih baik tentang jenis dan jumlah data sensitif yang mungkin berisi bucket S3. Selain itu, memprioritaskan objek baru atau yang baru saja diubah membantu analisis beradaptasi dengan perubahan inventaris bucket Anda. Misalnya, jika objek dibuat atau diubah setelah analisis sebelumnya, objek tersebut adalah prioritas yang lebih tinggi untuk analisis selanjutnya. Sebaliknya, jika sebuah objek sebelumnya dianalisis dan tidak berubah sejak analisis itu, Macie tidak menganalisis objek lagi. Pendekatan ini membantu Anda menetapkan garis dasar sensitivitas untuk masing-masing bucket S3. Kemudian, seiring dengan kemajuan analisis bertahap yang berkelanjutan untuk akun Anda, penilaian sensitivitas Anda terhadap bucket individu dapat menjadi semakin dalam dan terperinci pada tingkat yang dapat diprediksi.

Mendefinisikan ruang lingkup analisis

Secara default, Macie menyertakan semua bucket tujuan umum S3 yang dipantau dan dianalisis untuk akun Anda saat mengevaluasi data inventaris Anda dan memilih objek S3 untuk dianalisis. Jika Anda administrator Macie untuk suatu organisasi, ini termasuk bucket yang dimiliki akun anggota Anda.

Anda dapat mengecualikan bucket S3 tertentu dari analisis. Misalnya, Anda mungkin lebih memilih untuk mengecualikan bucket yang biasanya menyimpan data AWS logging, seperti log AWS CloudTrail peristiwa. Untuk mengecualikan bucket, Anda dapat mengubah setelan penemuan data sensitif otomatis untuk akun atau bucket Anda. Jika Anda melakukan ini, Macie mulai mengecualikan ember ketika siklus evaluasi dan analisis harian berikutnya dimulai. Anda dapat mengecualikan sebanyak 1.000 ember dari analisis.

Jika Anda mengecualikan ember S3, Anda selanjutnya dapat memasukkannya lagi. Untuk melakukannya, ubah pengaturan penemuan data sensitif otomatis untuk akun atau bucket Anda lagi. Macie kemudian mulai memasukkan ember ketika siklus evaluasi dan analisis harian berikutnya dimulai.

Menentukan jenis data sensitif mana yang akan dideteksi dan dilaporkan

Secara default, Macie memeriksa objek S3 dengan menggunakan kumpulan pengidentifikasi data terkelola yang kami rekomendasikan untuk penemuan data sensitif otomatis. Untuk daftar pengidentifikasi data terkelola ini, lihatPengaturan default untuk penemuan data sensitif otomatis.

Anda dapat menyesuaikan analisis untuk fokus pada jenis data sensitif tertentu. Untuk melakukannya, ubah pengaturan penemuan data sensitif otomatis untuk akun Anda dengan salah satu cara berikut:

  • Menambah atau menghapus pengidentifikasi data terkelola tertentu — Pengidentifikasi data terkelola adalah seperangkat kriteria dan teknik bawaan yang dirancang untuk mendeteksi jenis data sensitif tertentu, seperti nomor kartu kredit, kunci akses AWS rahasia, atau nomor paspor untuk negara atau wilayah tertentu. Untuk informasi selengkapnya, lihat Menggunakan pengidentifikasi data terkelola.

  • Menambah atau kemudian menghapus pengidentifikasi data kustom - Pengidentifikasi data kustom adalah serangkaian kriteria yang Anda tentukan untuk mendeteksi data sensitif. Dengan pengidentifikasi data khusus, Anda dapat mendeteksi data sensitif yang mencerminkan skenario, kekayaan intelektual, atau data hak milik organisasi Anda, seperti ID karyawan, nomor akun pelanggan, atau klasifikasi data internal. Untuk informasi selengkapnya, lihat Membangun pengidentifikasi data kustom.

  • Menambahkan atau kemudian menghapus daftar izinkan — Di Macie, daftar izin menentukan teks atau pola teks yang Anda ingin Macie abaikan di objek S3, biasanya pengecualian data sensitif untuk skenario atau lingkungan tertentu Anda, seperti nama publik atau nomor telepon untuk organisasi Anda, atau data sampel yang digunakan organisasi Anda untuk pengujian. Untuk informasi selengkapnya, lihat Mendefinisikan pengecualian data sensitif dengan daftar izinkan.

Jika Anda mengubah pengaturan, Macie menerapkan perubahan Anda ketika siklus analisis harian berikutnya dimulai.

Anda juga dapat menyesuaikan pengaturan tingkat ember yang menentukan apakah jenis data sensitif tertentu disertakan dalam penilaian sensitivitas bucket. Untuk mempelajari caranya, lihat Mengelola penemuan data sensitif otomatis untuk bucket S3 individual.

Menghitung skor sensitivitas

Secara default, Macie secara otomatis menghitung skor sensitivitas untuk setiap bucket tujuan umum S3 yang dipantau dan dianalisis untuk akun Anda. Jika Anda administrator Macie untuk suatu organisasi, ini termasuk bucket yang dimiliki akun anggota Anda.

Di Macie, skor sensitivitas adalah ukuran kuantitatif dari persimpangan dua dimensi utama: jumlah data sensitif yang ditemukan Macie dalam ember, dan jumlah data yang telah dianalisis Macie dalam ember. Skor sensitivitas bucket menentukan label sensitivitas mana yang diberikan Macie ke bucket. Label sensitivitas adalah representasi kualitatif dari skor sensitivitas bucket — misalnya, Sensitif, Tidak sensitif, dan Belum dianalisis. Untuk detail tentang rentang skor sensitivitas dan label yang didefinisikan Macie, lihat. Penilaian sensitivitas untuk bucket S3

penting

Skor sensitivitas dan label bucket S3 tidak menyiratkan atau menunjukkan kekritisan atau kepentingan yang mungkin dimiliki bucket atau objek bucket untuk organisasi Anda. Sebaliknya, mereka dimaksudkan untuk memberikan titik referensi yang dapat membantu Anda mengidentifikasi dan memantau potensi risiko keamanan.

Saat Anda mengaktifkan penemuan data sensitif otomatis untuk akun Anda, Macie secara otomatis menetapkan skor sensitivitas 50 dan label Belum dianalisis ke setiap bucket S3. Pengecualiannya adalah ember kosong. Bucket kosong adalah bucket yang tidak menyimpan objek apa pun atau semua objek bucket berisi nol (0) byte data. Jika ini adalah kasus untuk ember, Macie memberikan skor 1 ke ember dan memberikan label Tidak sensitif ke ember.

Saat penemuan otomatis berlangsung untuk akun Anda, Macie memperbarui skor sensitivitas dan label untuk mencerminkan hasil analisis. Sebagai contoh:

  • Jika Macie tidak menemukan data sensitif dalam suatu objek, Macie mengurangi skor sensitivitas bucket dan memperbarui label sensitivitas bucket seperlunya.

  • Jika Macie menemukan data sensitif dalam suatu objek, Macie meningkatkan skor sensitivitas bucket dan memperbarui label sensitivitas bucket seperlunya.

  • Jika Macie menemukan data sensitif dalam objek yang kemudian diubah, Macie menghapus deteksi data sensitif untuk objek dari skor sensitivitas bucket dan memperbarui label sensitivitas bucket seperlunya.

  • Jika Macie menemukan data sensitif dalam objek yang kemudian dihapus, Macie menghapus deteksi data sensitif untuk objek dari skor sensitivitas bucket dan memperbarui label sensitivitas bucket seperlunya.

Anda dapat menyesuaikan pengaturan penilaian sensitivitas untuk masing-masing bucket S3 dengan menyertakan atau mengecualikan jenis data sensitif tertentu dari skor bucket. Anda juga dapat mengganti skor yang dihitung bucket dengan menetapkan skor maksimum (100) secara manual ke bucket. Jika Anda menetapkan skor maksimum, bucket diberi label Sensitive. Untuk informasi selengkapnya, lihat Mengelola penemuan otomatis untuk bucket S3 individu.

Menghasilkan metadata, statistik, dan hasil

Jika penemuan data sensitif otomatis diaktifkan untuk akun Anda, Macie secara otomatis membuat dan memelihara data inventaris tambahan, statistik, dan informasi lainnya tentang bucket tujuan umum S3 yang dipantau dan dianalisis untuk akun Anda. Jika Anda administrator Macie untuk suatu organisasi, ini termasuk bucket yang dimiliki akun anggota Anda.

Informasi tambahan menangkap hasil aktivitas penemuan data sensitif otomatis yang telah dilakukan Macie sejauh ini untuk akun Anda. Ini juga melengkapi informasi lain yang disediakan Macie tentang data Amazon S3 Anda, seperti akses publik dan pengaturan akses bersama untuk masing-masing bucket. Informasi tambahan meliputi:

  • Statistik sensitivitas data agregat, seperti jumlah total bucket tempat Macie menemukan data sensitif dan berapa banyak bucket tersebut yang dapat diakses publik.

  • Representasi visual interaktif dari sensitivitas data di seluruh kawasan data Amazon S3 Anda.

  • Detail tingkat ember yang menunjukkan status analisis saat ini, seperti daftar objek yang telah dianalisis Macie dalam ember, jenis data sensitif yang ditemukan Macie dalam ember, dan jumlah kemunculan setiap jenis data sensitif yang ditemukan Macie.

Untuk informasi selengkapnya, lihat Meninjau statistik dan hasil penemuan data sensitif otomatis.

Informasi tambahan juga mencakup statistik dan detail yang dapat membantu Anda menilai dan memantau cakupan data Amazon S3 Anda. Anda dapat memeriksa status analisis untuk data estate Anda secara keseluruhan dan untuk bucket S3 individual dalam inventaris bucket Anda. Anda juga dapat mengidentifikasi masalah yang mencegah Macie menganalisis objek dalam ember tertentu. Jika Anda memperbaiki masalah, Anda dapat meningkatkan cakupan data Amazon S3 Anda selama siklus analisis berikutnya. Untuk informasi selengkapnya, lihat Menilai cakupan penemuan data sensitif otomatis.

Macie secara otomatis menghitung ulang dan memperbarui informasi ini saat melakukan penemuan data sensitif otomatis untuk akun Anda. Misalnya, jika Macie menemukan data sensitif dalam objek yang kemudian diubah atau dihapus, Macie memperbarui metadata bucket yang berlaku: menghapus objek dari daftar objek yang dianalisis; menghapus kemunculan data sensitif yang ditemukan Macie di objek; menghitung ulang skor sensitivitas, jika skor dihitung secara otomatis; dan, memperbarui label sensitivitas seperlunya untuk mencerminkan skor baru.

Selain metadata dan statistik, Macie menghasilkan catatan data sensitif yang ditemukannya dan analisis yang dilakukannya: temuan data sensitif, yang melaporkan data sensitif yang ditemukan Macie di objek S3 individu, dan hasil penemuan data sensitif, yang mencatat detail tentang analisis objek S3 individu.

Pertimbangan

Saat Anda menggunakan Amazon Macie untuk melakukan penemuan data sensitif otomatis untuk data Amazon S3 Anda, ingatlah hal berikut:

  • Pengaturan penemuan otomatis Anda hanya berlaku untuk saat ini Wilayah AWS. Akibatnya, analisis dan data yang dihasilkan hanya berlaku untuk bucket dan objek tujuan umum S3 di Wilayah saat ini. Untuk melakukan penemuan otomatis dan mengakses data yang dihasilkan di Wilayah tambahan, aktifkan dan konfigurasikan penemuan otomatis di setiap Wilayah tambahan.

  • Jika Anda administrator Macie untuk sebuah organisasi:

    • Anda dapat melakukan penemuan otomatis untuk akun anggota hanya jika Macie diaktifkan untuk akun di Wilayah saat ini. Akun anggota tidak dapat melakukan penemuan otomatis untuk akun mereka sendiri.

    • Akun anggota tidak dapat mengakses setelan penemuan otomatis yang berlaku untuk bucket S3 mereka. Hanya administrator Macie yang dapat mengakses pengaturan ini.

    • Akun anggota tidak dapat mengakses statistik penemuan data sensitif dan hasil lain yang langsung disediakan Macie untuk bucket S3 mereka. Misalnya, akun anggota tidak dapat menggunakan konsol Amazon Macie untuk meninjau skor sensitivitas bucket S3 mereka. Hanya administrator Macie yang dapat mengakses data ini.

  • Jika setelan izin bucket S3 mencegah Macie mengambil informasi tentang atau mengakses bucket atau objek bucket, Macie tidak dapat melakukan penemuan otomatis untuk bucket tersebut. Macie hanya dapat memberikan subset informasi tentang bucket, seperti ID akun untuk pemilik bucket, nama bucket, dan kapan Macie baru-baru ini mengambil bucket dan metadata objek untuk bucket sebagai bagian dari siklus penyegaran harian. Akun AWS Dalam inventaris bucket Anda, skor sensitivitas untuk bucket ini adalah 50 dan label sensitivitasnya Belum dianalisis.

    Untuk mengidentifikasi bucket S3 dengan cepat di mana hal ini terjadi, lihat data cakupan penemuan otomatis Anda. Untuk informasi selengkapnya, lihat Menilai cakupan penemuan data sensitif otomatis. Untuk menyelidiki masalah bucket tertentu, tinjau setelan kebijakan dan izin bucket di Amazon S3. Misalnya, bucket mungkin memiliki kebijakan bucket yang membatasi. Untuk informasi selengkapnya, lihat Mengizinkan Macie untuk mengakses bucket S3 dan objek.

  • Agar memenuhi syarat untuk seleksi dan analisis, objek S3 harus disimpan dalam ember tujuan umum dan harus dapat diklasifikasikan. Objek yang dapat diklasifikasikan menggunakan kelas penyimpanan Amazon S3 yang didukung dan memiliki ekstensi nama file untuk file atau format penyimpanan yang didukung. Untuk informasi selengkapnya, lihat Kelas dan format penyimpanan yang didukung.

  • Jika objek S3 dienkripsi, Macie dapat menganalisisnya hanya jika dienkripsi dengan kunci yang dapat diakses Macie dan diizinkan untuk digunakan. Untuk informasi selengkapnya, lihat Menganalisis objek S3 terenkripsi. Untuk mengidentifikasi kasus di mana pengaturan enkripsi mencegah Macie menganalisis satu atau beberapa objek dalam ember, lihat data cakupan penemuan otomatis Anda. Untuk informasi selengkapnya, lihat Menilai cakupan penemuan data sensitif otomatis.