Mengambil sampel data sensitif dengan temuan Macie - Amazon Macie

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengambil sampel data sensitif dengan temuan Macie

Untuk memverifikasi sifat data sensitif yang dilaporkan Amazon Macie dalam temuan, Anda dapat mengonfigurasi dan menggunakan Macie secara opsional untuk mengambil dan mengungkapkan sampel data sensitif yang dilaporkan oleh temuan individu. Ini termasuk data sensitif yang dideteksi Macie menggunakan pengidentifikasi data terkelola, dan data yang cocok dengan kriteria pengidentifikasi data kustom. Sampel dapat membantu Anda menyesuaikan penyelidikan objek dan bucket Amazon Simple Storage Service (Amazon S3) yang terpengaruh.

Jika Anda mengambil dan mengungkapkan sampel data sensitif untuk temuan, Macie melakukan tugas umum berikut:

  1. Memverifikasi bahwa temuan menentukan lokasi kejadian individu dari data sensitif dan lokasi hasil penemuan data sensitif yang sesuai.

  2. Mengevaluasi hasil penemuan data sensitif yang sesuai, memeriksa validitas metadata untuk objek S3 yang terpengaruh dan data lokasi untuk kejadian data sensitif dalam objek.

  3. Dengan menggunakan data dalam hasil penemuan data sensitif, menempatkan 1-10 kejadian pertama dari data sensitif yang dilaporkan oleh temuan, dan mengekstrak 1-128 karakter pertama dari setiap kejadian dari objek S3 yang terpengaruh. Jika temuan melaporkan beberapa jenis data sensitif, Macie melakukan ini hingga 100 jenis.

  4. Mengenkripsi data yang diekstraksi dengan AWS Key Management Service (AWS KMS) kunci yang Anda tentukan.

  5. Menyimpan sementara data terenkripsi dalam cache dan menampilkan data untuk Anda tinjau. Data dienkripsi setiap saat, baik dalam perjalanan maupun saat istirahat.

  6. Segera setelah ekstraksi dan enkripsi, secara permanen menghapus data dari cache kecuali retensi tambahan sementara diperlukan untuk menyelesaikan masalah operasional.

Jika Anda memilih untuk mengambil dan mengungkapkan sampel data sensitif untuk temuan lagi, Macie mengulangi tugas-tugas ini untuk mencari, mengekstrak, mengenkripsi, menyimpan, dan akhirnya menghapus sampel.

Macie tidak menggunakan peran terkait layanan Macie untuk akun Anda untuk melakukan tugas-tugas ini. Sebaliknya, Anda menggunakan AWS Identity and Access Management (IAM) identitas atau mengizinkan Macie untuk mengambil IAM peran dalam akun Anda. Anda dapat mengambil dan mengungkapkan sampel data sensitif untuk temuan jika Anda atau peran diizinkan untuk mengakses sumber daya dan data yang diperlukan, dan melakukan tindakan yang diperlukan. Semua tindakan yang diperlukan masuk AWS CloudTrail.

penting

Kami menyarankan Anda membatasi akses ke fungsi ini dengan menggunakan IAMkebijakan khusus. Untuk kontrol akses tambahan, kami sarankan Anda juga membuat khusus AWS KMS key untuk enkripsi sampel data sensitif yang diambil, dan membatasi penggunaan kunci hanya untuk prinsipal yang harus diizinkan untuk mengambil dan mengungkapkan sampel data sensitif.

Untuk rekomendasi dan contoh kebijakan yang mungkin Anda gunakan untuk mengontrol akses ke fungsi ini, lihat posting blog berikut di AWS Blog Keamanan: Cara menggunakan Amazon Macie untuk melihat pratinjau data sensitif di bucket S3.

Topik di bagian ini menjelaskan cara mengonfigurasi dan menggunakan Macie untuk mengambil dan mengungkapkan sampel data sensitif untuk temuan. Anda dapat melakukan tugas-tugas ini di semua Wilayah AWS Di mana Macie saat ini tersedia kecuali Wilayah Asia Pasifik (Osaka) dan Israel (Tel Aviv).

Topik