Amazon Macie를 통한 민감한 데이터 검색

Amazon Macie를 사용하면 Amazon Simple Storage Service(S3) 데이터 에스테이트에서 민감한 데이터의 검색, 로깅 및 보고를 자동화할 수 있습니다. 두 가지 방법으로 이 작업을 수행할 수 있습니다. 하나는 계정 또는 조직에 대한 민감한 데이터 자동 검색을 수행하도록 구성하는 것이고, 다른 하나는 계정 또는 조직에 대한 민감한 데이터 검색 작업을 생성하고 실행하는 것입니다.

민감한 데이터 자동 검색

민감한 데이터 자동 검색을 통해 Amazon S3 데이터 자산에서 민감한 데이터가 어디에 있는지 폭넓게 파악할 수 있게 해줍니다. 이 옵션을 사용하여 Macie는 매일 S3 버킷 인벤토리를 평가하고 샘플링 기법을 사용하여 버킷의 대표적인 S3 객체를 식별하고 선택합니다. 그런 다음 Macie는 선택한 객체를 검색 및 분석하여 민감한 데이터가 있는지 검사합니다. 자세한 내용은 민감한 데이터 자동 검색 수행 섹션을 참조하세요.

민감한 데이터 검색 작업

민감한 데이터 검색 작업은 심층적이고 표적화된 분석을 제공합니다. 이 옵션을 사용하여 선택한 특정 S3 버킷 또는 특정 기준과 일치하는 버킷 등 분석의 범위와 깊이를 정의합니다. 또한 S3 객체의 속성에서 파생되는 사용자 지정 기준과 같은 옵션을 선택하여 분석 범위를 좁힐 수 있습니다. 또한 온디맨드 분석 및 평가의 경우 한 번만 실행하도록 작업을 구성하거나 정기적인 분석, 평가 및 모니터링의 경우 반복적으로 실행하도록 구성할 수 있습니다. 자세한 내용은 민감한 데이터 검색 작업 실행 섹션을 참조하세요.

민감한 데이터 자동 검색 또는 민감한 데이터 검색 작업 중 하나를 사용하면 Macie가 제공하는 관리형 데이터 식별자, 사용자가 정의한 사용자 지정 데이터 식별자 또는 이 둘의 조합을 사용하여 S3 객체를 분석할 수 있습니다. 허용 목록을 사용하여 분석을 세밀하게 조정할 수도 있습니다.

관리형 데이터 식별자

각 관리형 데이터 식별자는 신용카드 번호, AWS 비밀 액세스 키 또는 특정 국가 또는 리전의 여권 번호와 같은 특정 유형의 민감한 데이터를 탐지하도록 설계된 기본 기준 및 기술입니다. 이를 통해 여러 유형의 보안 인증 데이터, 금융 정보 및 개인 식별 정보(PII)를 포함하여 많은 국가 및 리전에 대해 증가하는 대규모 민감한 데이터 유형의 목록을 감지할 수 있습니다. 자세한 내용은 관리형 데이터 식별자 사용 섹션을 참조하세요.

사용자 지정 데이터 식별자

사용자 지정 데이터 식별자는 민감한 데이터를 감지하기 위해 사용자 지정 기준을 정의합니다. 각 사용자 지정 데이터 식별자는 일치시킬 텍스트 패턴을 정의하고 선택적으로 문자 시퀀스와 결과를 세분화하는 근접성 규칙을 정의하는 정규 표현식(regex)을 지정합니다. 특정 시나리오, 지적 재산 또는 독점 데이터(예: 직원 ID, 고객 계정 번호 또는 내부 데이터 분류)를 반영하는 민감한 데이터를 감지하는 데 사용할 수 있습니다. 자세한 내용은 사용자 지정 데이터 식별자 빌드 섹션을 참조하세요.

허용 목록

Macie에서 허용 목록은 S3 객체에서 무시할 텍스트 또는 텍스트 패턴을 지정합니다. 일반적으로 특정 시나리오나 환경에 대한 민감한 데이터(예: 조직의 공개 이름이나 전화 번호 또는 조직에서 테스트에 사용하는 샘플 데이터)는 예외입니다. Macie는 허용 목록에서 입력이나 패턴과 일치하는 텍스트를 찾으면 텍스트가 관리형 데이터 식별자 또는 사용자 지정 데이터 식별자의 기준과 일치하더라도 Macie는 해당 텍스트 발생을 보고하지 않습니다. 자세한 내용은 허용 목록을 사용하여 민감한 데이터 예외사항 정의 섹션을 참조하세요.

Macie가 S3 객체를 분석할 때, Macie는 Amazon S3에서 객체의 최신 버전을 검색한 다음 민감한 데이터에 대한 객체의 콘텐츠를 검사합니다. Macie는 다음이 참일 경우 객체를 분석할 수 있습니다.

• 객체는 지원되는 파일 또는 스토리지 형식을 사용하며 지원되는 스토리지 클래스를 사용하여 Amazon S3에 직접 저장됩니다. 자세한 내용은 지원하는 스토리지 클래스 및 형식 섹션을 참조하세요.

• 객체가 암호화된 경우 Macie에서 액세스할 수 있고 사용할 수 있는 키로 해당 암호화됩니다. 자세한 내용은 암호화된 S3 객체 분석 섹션을 참조하세요.

• 객체가 제한적인 버킷 정책이 적용되는 버킷에 저장되는 경우, 정책은 Macie가 버킷의 객체에 액세스할 수 있도록 허용합니다. 자세한 내용은 Macie가 S3 버킷 및 객체에 액세스할 수 있도록 허용 섹션을 참조하세요.

데이터 보안 및 개인 정보 보호 요구 사항을 충족하고 규정 준수를 유지할 수 있도록 Macie는 발견한 민감한 데이터와 수행하는 분석(민감한 데이터 조사 결과 및 민감한 데이터 검색 결과)의 기록을 생성합니다. 민감한 데이터 조사 결과는 Macie가 S3 객체에서 발견한 민감한 데이터에 대한 상세 보고서입니다. 민감한 데이터 검색 결과는 객체 분석에 대한 세부 정보를 기록하는 레코드입니다. 각 레코드 유형은 표준화된 스키마를 따르므로 필요에 따라 다른 애플리케이션, 서비스 및 시스템을 사용하여 쿼리, 모니터링 및 처리하는 데 도움이 됩니다.

작은 정보

Macie는 Amazon S3에 최적화되어 있지만, 이를 사용하여 현재 다른 곳에 저장하고 있는 리소스에서 민감한 데이터를 검색할 수 있습니다. 데이터를 Amazon S3로 임시 또는 영구적으로 이동하여 이 작업을 수행할 수 있습니다. 예를 들어 Amazon 관계형 데이터베이스 서비스 또는 Amazon Aurora 스냅샷을 Apache Parquet 형식으로 Amazon S3로 내보낼 수 있습니다. 또는 Amazon DynamoDB 표를 Amazon S3로 내보냅니다. 그런 다음 Amazon S3의 데이터를 분석하는 작업을 생성할 수 있습니다.

주제

• 관리형 데이터 식별자 사용
• 사용자 지정 데이터 식별자 빌드
• 허용 목록을 사용하여 민감한 데이터 예외사항 정의
• 민감한 데이터 자동 검색 수행
• 민감한 데이터 검색 작업 실행
• 암호화된 S3 객체 분석
• 민감한 데이터 검색 결과 저장 및 유지
• 지원하는 스토리지 클래스 및 형식