Opções de escopo para trabalhos de descoberta de dados confidenciais - Amazon Macie
Buckets do S3Execução inicial: objetos S3 existentesProfundidade da amostragemCritérios de objeto do S3

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Opções de escopo para trabalhos de descoberta de dados confidenciais

Com trabalhos de descoberta de dados confidenciais, você define o escopo dos dados do Amazon Simple Storage Service (Amazon S3) que o Amazon Macie analisa para detectar e relatar dados confidenciais. Para ajudá-lo a fazer isso, o Macie fornece várias opções específicas do trabalho que você pode escolher ao criar e configurar um trabalho.

Buckets do S3

Ao criar um trabalho confidencial de descoberta de dados, você especifica quais buckets do S3 armazenam objetos que você deseja que o Macie analise quando o trabalho for executado. Você pode fazer isso de duas maneiras: selecionando buckets S3 específicos do seu inventário de buckets ou especificando critérios personalizados que derivam das propriedades dos buckets S3.

Selecione buckets S3 específicos

Com essa opção, você seleciona explicitamente cada bucket do S3 para analisar. Então, quando o trabalho é executado, ele analisa objetos somente nos buckets que você selecionou. Se você configurar um trabalho para ser executado periodicamente diariamente, semanalmente ou mensalmente, o trabalho analisará objetos nesses mesmos compartimentos sempre que for executado.

Essa configuração é útil para casos em que você deseja realizar uma análise direcionada de um conjunto específico de dados. Ele oferece um controle preciso e previsível sobre quais buckets um trabalho analisa.

Especifique os critérios do bucket S3

Com essa opção, você define critérios de tempo de execução que determinam quais buckets do S3 analisar. Os critérios consistem em uma ou mais condições derivadas das propriedades do bucket, como configurações de acesso público e tags. Quando o trabalho é executado, ele identifica os buckets que correspondem aos seus critérios e, em seguida, analisa os objetos nesses buckets. Se você configurar um trabalho para ser executado periodicamente, o trabalho fará isso toda vez que for executado. Consequentemente, o trabalho pode analisar objetos em diferentes buckets cada vez que é executado, dependendo das alterações no inventário do bucket e dos critérios definidos por você.

Essa configuração é útil nos casos em que você deseja que o escopo da análise se adapte dinamicamente às mudanças no inventário do bucket. Se você configurar um trabalho para usar critérios de bucket e ser executado periodicamente, o trabalho identificará automaticamente novos buckets que correspondam aos critérios e inspeciona esses buckets em busca de dados confidenciais.

Os tópicos desta seção fornecem detalhes adicionais sobre cada opção.

Selecionando buckets do Amazon S3

Se você optar por selecionar explicitamente cada bucket do S3 que deseja que um trabalho analise, o Macie fornece um inventário completo de seus buckets de uso geral no momento. Região da AWS Em seguida, você pode revisar seu inventário e selecionar os buckets desejados. Para saber como o Macie gera e mantém esse inventário para você, consulte Como o Macie monitora a segurança de dados do Amazon S3.

Se você for o administrador do Macie de uma organização, o inventário inclui buckets que pertencem à contas-membro da sua organização. Você pode selecionar até mil desses buckets, abrangendo até mil contas.

Para ajudar a fazer suas seleções de bucket, o inventário fornece detalhes e estatísticas para cada bucket. Isso inclui a quantidade de dados que o trabalho pode analisar em cada bucket — objetos classificáveis são objetos que usam uma classe de armazenamento compatível do Amazon S3 e têm uma extensão de nome de arquivo para um arquivo ou formato de armazenamento compatível. O inventário também indica se algum trabalho existente está configurado para analisar objetos em um bucket. Esses detalhes podem ajudá-lo a estimar a amplitude de um trabalho e refinar suas seleções de bucket.

Na tabela de inventário:

  • Sensibilidade — Indica a pontuação de sensibilidade atual de um bucket, se a descoberta automática de dados confidenciais estiver ativada.

  • Objetos classificáveis – indica o número total de objetos que o trabalho pode analisar em um bucket.

  • Tamanho classificável – indica o tamanho total de armazenamento de todos os objetos que o trabalho pode analisar em um bucket.

    Se um bucket armazena objetos compactados, esse valor não reflete o tamanho real desses objetos depois que eles são descompactados. Se o controle de versão estiver habilitado para um bucket, esse valor será baseado no tamanho de armazenamento da versão mais recente de cada objeto no bucket.

  • Monitorado por trabalho — indica se algum trabalho existente está configurado para analisar periodicamente objetos em um bucket diariamente, semanalmente ou mensalmente.

    Se o valor desse campo for Sim, o bucket será incluído explicitamente em um trabalho periódico ou corresponderá aos critérios de um trabalho periódico nas últimas 24 horas. Além disso, o status de pelo menos um desses trabalhos não é Cancelado. Macie atualiza esses dados diariamente.

  • Última execução do trabalho — se os trabalhos periódicos ou únicos existentes estiverem configurados para analisar objetos em um bucket, esse campo indicará a data e a hora mais recentes em que um desses trabalhos começou a ser executado. Caso contrário, um traço (—) aparecerá nesse campo.

Se o ícone de informações ( A blue circle with a blue, lowercase letter i in it ) aparecer ao lado do nome de qualquer bucket na tabela, recomendamos que você recupere os metadados mais recentes do bucket do Amazon S3. Para fazer isso, selecione atualizar ( The refresh button, which is a button that contains an empty, dark gray circle with an arrow ) acima da tabela. O ícone de informações indica que um bucket foi criado nas últimas 24 horas, possivelmente após a última vez que o Macie recuperou os metadados do bucket e do objeto do Amazon S3 como parte do ciclo diário de atualização. Para ter mais informações, consulte Atualizações de dados.

Se o ícone de aviso ( A red triangle with a red exclamation point in it ) for exibido ao lado do nome de um bucket, o Macie não poderá acessar o bucket. Isso significa que o trabalho não poderá analisar objetos no bucket. Para investigar o problema, revise as configurações de políticas e permissões do bucket no Amazon S3. Por exemplo, o bucket pode ter uma política restritiva de bucket. Para ter mais informações, consulte Permitindo que o Amazon Macie acesse buckets e objetos do S3.

Para personalizar sua visualização do inventário e encontrar buckets específicos com mais facilidade, você pode filtrar a tabela inserindo critérios de filtro na caixa de filtro. A tabela a seguir oferece alguns exemplos.

Para mostrar todos os buckets que… Aplique este filtro…
São propriedade de uma conta específica ID da conta = o ID de 12 dígitos da conta
São acessíveis ao público Permissão efetiva = Pública
Não estão incluídos em nenhum trabalho periódico Monitorado ativamente por trabalho = Falso
Não estão incluídos em nenhum trabalho periódico Definido no trabalho = Falso
Têm uma chave de tag especifica* Chave de tag = a tag da chave
Têm um valor de tag específico* Valor da tag = o valor da tag
Armazene objetos não criptografados (ou objetos que usam criptografia do lado do cliente) Contagem de objetos por criptografia é Sem criptografia e De = 1

As chaves e os valores de tags diferenciam maiúsculas de minúsculas. Você precisa especificar um valor completo e válido para o campo. Você não pode especificar valores parciais nem usar caracteres curinga nos valores.

Para exibir os detalhes de um bucket, selecione o bucket e consulte o painel de detalhes. Nessa página, você também pode:

  • Dinamizar e fazer uma busca detalhada em determinados campos escolhendo uma lupa para o campo. Seleciona A magnifying glass with a plus sign para mostrar buckets com o mesmo valor ou selecione A magnifying glass with a minus sign para mostrar buckets com outros valores.

  • Recupere os metadados mais recentes dos objetos no bucket. Isso pode ser útil se você criou um bucket recentemente ou fez alterações significativas nos objetos do bucket nas últimas 24 horas. Para recuperar os dados, selecione atualizar ( The refresh button, which is a button that contains an empty, dark gray circle with an arrow ) na seção Estatísticas do objeto do painel. Essa opção está disponível para buckets que armazenam 30.000 objetos ou menos.

Especificando critérios de bucket do S3

Se você optar por especificar critérios de bucket para um trabalho, o Macie fornece opções para definir e testar os critérios. Esses são critérios de tempo de execução que determinam quais buckets do S3 armazenam objetos a serem analisados. Sempre que o trabalho é executado, ele identifica os compartimentos de uso geral que correspondem aos seus critérios e, em seguida, analisa os objetos nos compartimentos apropriados. Se você for o administrador do Macie de uma organização, isso inclui buckets que pertencem a contas-membro em sua organização.

Definindo critérios de bucket

Os critérios de bucket consistem em uma ou mais condições que derivam das propriedades dos buckets do S3. Cada condição, também chamada de critério, consiste em três partes:

  • Um campo baseado em propriedades, como o ID da conta ou Permissão efetiva.

  • Um operador, iguala (eq) ou não iguala (neq).

  • Um ou mais valores.

  • Uma declaração de inclusão ou exclusão que indica se você deve analisar (incluir) ou ignorar (excluir) compartimentos que correspondam à condição.

Se você especificar mais de um valor para um campo, o Macie usa a lógica OR para unir os valores. Se você especificar mais de uma condição para os critérios, o Macie usa a lógica AND para unir as condições. Além disso, as condições de exclusão têm precedência sobre as condições de inclusão. Por exemplo, se você incluir buckets acessíveis ao público e excluir buckets com tags específicas, o trabalho analisará os objetos em qualquer bucket que esteja acessível ao público, a menos que o bucket tenha uma das tags especificadas.

Você pode definir condições que derivam de qualquer um dos seguintes campos baseados em propriedades para buckets do S3.

ID da conta

O identificador exclusivo (ID) do proprietário Conta da AWS de um bucket. Para especificar vários valores para esse campo, insira o ID de cada conta e separe cada entrada com uma vírgula.

Observe que o Macie não é compatível com o uso de caracteres curinga ou valores parciais para esse campo.

Bucket name

O nome de um bucket. Esse campo está correlacionado ao campo Nome, não ao campo Nome do recurso da Amazon, no Amazon S3. Para especificar vários valores para esse campo, insira o nome de cada bucket e separe cada entrada com uma vírgula.

Observe que os valores diferenciam entre maiúsculas e minúsculas. Além disso, o Macie não é compatível com o uso de caracteres curinga ou valores parciais para esse campo.

Permissões efetivas

Especifica se um bucket é publicamente acessível. Você pode escolher um ou mais dos seguintes valores para esse campo:

  • Não público — o público em geral não tem acesso de leitura ou gravação ao bucket.

  • Público — o público em geral tem acesso de leitura ou gravação ao bucket.

  • Desconhecido — o Macie não conseguiu avaliar as configurações de acesso público do bucket.

Para determinar esse valor para um bucket, o Macie analisa uma combinação de configurações em nível de conta e de bucket para o bucket: as configurações de bloqueio de acesso público da conta; as configurações de bloqueio de acesso público do bucket; a política de bucket do bucket e a lista de controle de acesso (ACL) do bucket.

Acesso compartilhado

Especifica se um bucket é compartilhado com outro Conta da AWS, com uma identidade de acesso de CloudFront origem da Amazon (OAI) ou com um controle de acesso de CloudFront origem (OAC). Você pode escolher um ou mais dos seguintes valores para esse campo:

  • Externo — O bucket é compartilhado com um ou mais dos itens a seguir ou com qualquer combinação dos seguintes: um CloudFront OAI, um CloudFront OAC ou uma conta externa (que não faz parte da) sua organização.

  • Interno — O bucket é compartilhado com uma ou mais contas internas à (parte da) sua organização. Não é compartilhado com um CloudFront OAI ou OAC.

  • Não compartilhado — O bucket não é compartilhado com outra conta, um CloudFront OAI ou um CloudFront OAC.

  • Desconhecido — o Macie não conseguiu avaliar as configurações de acesso compartilhado do bucket.

Para determinar se um bucket é compartilhado com outro Conta da AWS, o Macie analisa a política do bucket e a ACL do bucket. Além disso, uma organização é definida como um conjunto de contas do Macie que são gerenciadas centralmente como um grupo de contas relacionadas por meio de AWS Organizations ou por convite do Macie. Para obter informações sobre as opções de compartilhamento de buckets do Amazon S3, consulte Identity and Access Management no Amazon S3 no Guia do usuário do Amazon Simple Storage Service.

Para determinar se um bucket é compartilhado com um CloudFront OAI ou OAC, o Macie analisa a política de bucket para o bucket. Um CloudFront OAI ou OAC permite que os usuários acessem os objetos de um bucket por meio de uma ou mais distribuições especificadas CloudFront. Para obter informações sobre CloudFront OAIs e OACs, consulte Restringir o acesso a uma origem do Amazon S3 no Amazon Developer Guide. CloudFront

Tags

As tags associadas a um bucket. As tags são rótulos que você pode definir e atribuir a determinados tipos de AWS recursos, incluindo buckets do S3. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. Para obter informações sobre a marcação de buckets do S3, consulte Usando tags de buckets do S3 para alocação de custos no Guia do usuário do Amazon Simple Storage Service.

Para um trabalho de descoberta de dados confidenciais, você pode usar esse tipo de condição para incluir ou excluir buckets que tenham uma chave de tag específica, um valor de tag específico ou uma chave e um valor de tag específicos (como um par). Por exemplo: .

  • Se você especificar Project como uma chave de tag e não especificar nenhum valor de tag para uma condição, qualquer bucket que tenha a chave de tag Project corresponderá aos critérios da condição, independentemente dos valores de tag associados a essa chave de tag.

  • Se você especificar Development e Test como valores de tag e não especificar nenhuma chave de tag para uma condição, qualquer bucket que tenha o valor de tag Development ou Test corresponderá aos critérios da condição, independentemente das chaves de tag associadas a esses valores de tag.

Para especificar várias chaves de tag em uma condição, insira cada chave de tag no campo Chave e separe cada entrada com uma vírgula. Para especificar vários valores de tag em uma condição, insira cada valor de tag no campo Valor e separe cada entrada com uma vírgula.

Observe que as chaves e os valores de tags diferenciam maiúsculas de minúsculas. Além disso, o Macie não é compatível com o uso de caracteres curinga ou valores parciais em condições de tag.

Critérios de teste do bucket

Ao definir os critérios do bucket, você pode testar e refinar os critérios pré-visualizando os resultados. Para fazer isso, expanda a seção Pré-visualize os resultados dos critérios que é exibida abaixo dos critérios no console. Esta seção exibe uma tabela de buckets de uso geral do S3 que atualmente atendem aos critérios.

A tabela também fornece informações sobre a quantidade de dados que o trabalho pode analisar em cada bucket — objetos classificáveis são objetos que usam uma classe de armazenamento compatível com o Amazon S3 e têm uma extensão de nome de arquivo para um arquivo ou formato de armazenamento compatível. O inventário também indica se algum trabalho existente está configurado para analisar objetos em um bucket.

Na tabela:

  • Sensibilidade — Indica a pontuação de sensibilidade atual de um bucket, se a descoberta automática de dados confidenciais estiver ativada.

  • Objetos classificáveis – indica o número total de objetos que o trabalho pode analisar em um bucket.

  • Tamanho classificável – indica o tamanho total de armazenamento de todos os objetos que o trabalho pode analisar em um bucket.

    Se um bucket armazena objetos compactados, esse valor não reflete o tamanho real desses objetos depois que eles são descompactados. Se o controle de versão estiver habilitado para um bucket, esse valor será baseado no tamanho de armazenamento da versão mais recente de cada objeto no bucket.

  • Monitorado por trabalho — indica se algum trabalho existente está configurado para analisar periodicamente objetos em um bucket diariamente, semanalmente ou mensalmente.

    Se o valor desse campo for Sim, o bucket será incluído explicitamente em um trabalho periódico ou corresponderá aos critérios de um trabalho periódico nas últimas 24 horas. Além disso, o status de pelo menos um desses trabalhos não é Cancelado. Macie atualiza esses dados diariamente.

Se o ícone de aviso ( A red triangle with a red exclamation point in it ) for exibido ao lado do nome do bucket, o Macie não poderá acessar o bucket ou os objetos do bucket. Isso significa que o trabalho não poderá analisar objetos no bucket. Para investigar o problema, revise as configurações de políticas e permissões do bucket no Amazon S3. Por exemplo, o bucket pode ter uma política restritiva de bucket. Para ter mais informações, consulte Permitindo que o Amazon Macie acesse buckets e objetos do S3.

Para refinar os critérios do bucket para o trabalho, use as opções de filtro para adicionar, alterar ou remover condições dos critérios. Em seguida, o Macie atualiza a tabela para refletir suas alterações.

Execução inicial: objetos S3 existentes

Você pode usar trabalhos de descoberta de dados confidenciais para realizar análises contínuas e incrementais de objetos nos buckets do S3. Se você configurar um trabalho para ser executado periodicamente, o Macie faz isso automaticamente — cada execução analisa somente os objetos que foram criados ou alterados após a execução anterior. Com a opção Incluir objetos existentes, você escolhe o ponto de partida para o primeiro incremento:

  • Para analisar todos os objetos existentes imediatamente após a criação do trabalho, marque a caixa de seleção para essa opção.

  • Para esperar e analisar apenas os objetos criados ou alterados após a criação do trabalho e antes da primeira execução, desmarque a caixa de seleção dessa opção.

    Desmarcar essa caixa de seleção é útil nos casos em que você já analisou os dados e deseja continuar a analisá-los periodicamente. Por exemplo, se já usou outro serviço ou aplicativo para classificar dados e recentemente começou a usar o Macie, você pode usar essa opção para garantir a descoberta e a classificação contínuas de seus dados sem incorrer em custos desnecessários ou duplicar os dados de classificação.

Cada execução subsequente de um trabalho periódico analisa automaticamente apenas os objetos criados ou alterados após a execução anterior.

Para trabalhos periódicos e únicos, você também pode configurar um trabalho para analisar apenas os objetos criados ou alterados antes ou depois de um determinado período ou durante um determinado intervalo de tempo. Para fazer isso, adicione critérios de objeto que usem a data da última modificação dos objetos.

Profundidade da amostragem

Com essa opção, você especifica a porcentagem de objetos elegíveis do S3 que você deseja que um trabalho de descoberta de dados confidenciais analise. Objetos elegíveis são objetos que: usam uma classe de armazenamento compatível com o Amazon S3, têm uma extensão de nome de arquivo para um arquivo ou formato de armazenamento compatível e correspondem a outros critérios que você especifica para o trabalho.

Se esse valor for menor que 100%, o Macie selecionará os objetos elegíveis a serem analisados aleatoriamente, até a porcentagem especificada, e analisará todos os dados nesses objetos. Por exemplo, se você configurar uma tarefa para analisar 10.000 objetos e especificar uma profundidade de amostragem de 20%, o Macie analisará aproximadamente 2.000 objetos elegíveis selecionados aleatoriamente quando a tarefa for executada.

Reduzindo a profundidade da amostragem de um trabalho pode reduzir os custos e a duração de um trabalho. É útil nos casos em que os dados nos objetos são altamente consistentes e você deseja determinar se um bucket do S3, em vez de cada objeto, armazena dados confidenciais.

Observe que essa opção controla a porcentagem de objetos que são analisados, não a porcentagem de bytes que são analisados. Se você inserir uma profundidade de amostragem menor que 100%, o Macie analisará todos os dados em cada objeto selecionado, não a porcentagem dos dados em cada objeto selecionado.

Critérios de objeto do S3

Para ajustar o escopo de um trabalho de descoberta de dados confidenciais, você também pode definir critérios personalizados que determinam quais objetos do S3 o Macie inclui ou exclui da análise de um trabalho. Os critérios de bucket consistem em uma ou mais condições que derivam das propriedades dos buckets do S3. As condições se aplicam aos objetos em todos os buckets do S3 para os quais você configura um trabalho para analisar. Se um bucket armazena várias versões de um objeto, as condições se aplicam à versão mais recente do objeto.

Se você definir várias condições como critérios do objeto, o Macie usa a lógica AND para unir as condições. Além disso, as condições de exclusão têm precedência sobre as condições de inclusão. Por exemplo, se você incluir objetos com a extensão de nome de arquivo .pdf e excluir objetos maiores que 5 MB, o trabalho analisará qualquer objeto que tenha a extensão de nome de arquivo .pdf, a menos que o objeto seja maior que 5 MB.

Você pode definir condições que derivam de qualquer um dos seguintes campos baseados em propriedades para buckets do S3.

Extensões do nome do arquivo

Isso se correlaciona com a extensão do nome do arquivo de um objeto do Amazon S3. Você pode usar esse tipo de condição para incluir ou excluir objetos com base no tipo de arquivo. Para fazer isso para vários tipos de arquivos, insira a extensão de nome de arquivo para cada tipo e separe cada entrada com uma vírgula, como, por exemplo: docx,pdf,xlsx. Se você inserir várias extensões de nome de arquivo como valores para uma condição, o Macie usa a lógica OR para unir os valores.

Observe que os valores diferenciam entre maiúsculas e minúsculas. Além disso, o Macie não é compatível com o uso de valores parciais ou caracteres curinga nesse tipo de condição.

Para obter informações sobre os tipos de arquivo que o Macie pode analisar, consulte Formatos de arquivo e armazenamento suportados.

Última modificação

Isso se correlaciona com o campo Última modificação do Amazon S3. No Amazon S3, esse campo armazena a data e a hora em que um objeto do S3 foi criado ou alterado pela última vez, o que for mais recente.

Para um trabalho de descoberta de dados confidenciais, essa condição pode ser uma data específica, uma data e uma hora específicas ou um intervalo de tempo exclusivo:

  • Para analisar objetos que foram modificados pela última vez após uma determinada data ou data e hora, insira os valores nos campos De.

  • Para analisar objetos que foram modificados pela última vez antes de uma determinada data ou data e hora, insira os valores nos campos Até.

  • Para analisar objetos que foram modificados pela última vez durante um determinado intervalo de tempo, use os campos De para inserir os valores da primeira data ou data e hora no intervalo de tempo. Use os campos Até para inserir os valores da última data ou data e hora no intervalo de tempo.

  • Para analisar objetos que foram modificados pela última vez a qualquer momento durante um determinado dia, insira a data no campo de data De. Insira a data do dia seguinte no campo de data Até. Em seguida, verifique se os dois campos de hora estão em branco. (Macie trata um campo de tempo em branco como 00:00:00.) Por exemplo, para analisar objetos que foram alterados em 9 de agosto de 2023, insira 2023/08/09 no campo Data de origem, insira 2023/08/10 no campo Até a data e não insira um valor em nenhum dos campos de hora.

Insira qualquer valor de tempo no Tempo Universal Coordenado (UTC) e use a notação de 24 horas.

Prefixo

Isso se correlaciona com o campo Chave do Amazon S3. No Amazon S3, esse campo armazena o nome de um objeto do S3, incluindo o prefixo do objeto. Um prefixo é semelhante a um caminho de diretório dentro de um bucket. Ele permite agrupar objetos semelhantes em um bucket, da mesma forma que você pode armazenar arquivos semelhantes em uma pasta em um sistema de arquivos. Para obter informações sobre prefixos de objeto e pastas no Amazon S3, consulte Organizando objetos no console do Amazon S3 usando pastas no Guia do usuário do Amazon Simple Storage Service.

Você pode usar esse tipo de condição para incluir ou excluir objetos cujas chaves (nomes) comecem com um determinado valor. Por exemplo, para excluir todos os objetos cuja chave começa com AWSLogs, insira AWSLogs como valor para uma condição de prefixo e escolha Excluir.

Se você inserir vários prefixos como valores para uma condição, o Macie usa a lógica OR para unir os valores. Por exemplo, se você inserir AWSLogs1 e AWSLogs2 como valores para uma condição, qualquer objeto cuja chave comece com AWSLogs1 ou AWSLogs2 corresponderá aos critérios da condição.

Ao inserir um valor para uma condição de Prefixo, lembre-se do seguinte:

  • Os valores diferenciam maiúsculas de minúsculas.

  • O Macie não é compatível com o uso de caracteres curinga nesses valores.

  • No Amazon S3, a chave de um objeto não inclui o nome do bucket que armazena o objeto. Por esse motivo, não especifique nomes de buckets nesses valores.

  • Se um prefixo incluir um delimitador, inclua o delimitador no valor. Por exemplo, insira AWSLogs/eventlogs para definir uma condição para todos os objetos cuja chave começa com AWSLogs/eventlogs. O Macie é compatível com o delimitador padrão do Amazon S3, que é uma barra (/), e delimitadores personalizados.

Observe, também, que um objeto corresponde aos critérios de uma condição somente se a chave do objeto corresponder exatamente ao valor inserido, começando com o primeiro caractere na chave do objeto. Além disso, o Macie aplica uma condição ao valor completo da chave de um objeto, incluindo o nome do arquivo do objeto.

Por exemplo, se a chave de um objeto for AWSLogs/eventlogs/testlog.csv e você inserir qualquer um dos seguintes valores para uma condição, o objeto corresponderá aos critérios da condição:

  • AWSLogs

  • AWSLogs/event

  • AWSLogs/eventlogs/

  • AWSLogs/eventlogs/testlog

  • AWSLogs/eventlogs/testlog.csv

No entanto, se você inserireventlogs, o objeto não corresponde aos critérios — o valor da condição não inclui a primeira parte da chave,AWSLogs/. Da mesma forma, se você inserir awslogs, o objeto não corresponderá aos critérios devido às diferenças de maiúsculas e minúsculas.

Tamanho de armazenamento

Isso se correlaciona com o campo Tamanho do Amazon S3. No Amazon S3, esse campo indica o tamanho total de armazenamento de um objeto do S3. Se um objeto for um arquivo compactado, esse valor não refletirá o tamanho real do arquivo depois que o arquivo for descompactado.

Você pode usar esse tipo de condição para incluir ou excluir objetos menores que um determinado tamanho, maiores que um determinado tamanho ou que estejam dentro de uma determinada faixa de tamanho. O Macie aplica esse tipo de condição a todos os tipos de objetos, incluindo arquivos compactados ou arquivados e os arquivos que eles contêm. Para obter informações sobre restrições baseadas em tamanho para cada formato compatível, consulte Cotas do Amazon Macie.

Tags

As tags associadas a um bucket. As tags são rótulos que você pode definir e atribuir a determinados tipos de AWS recursos, incluindo objetos do S3. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. Para obter informações sobre a marcação de objetos do S3, consulte Categorizando o armazenamento usando tags no Guia do usuário do Amazon Simple Storage Service.

Para um trabalho de descoberta de dados confidenciais, você pode usar esse tipo de condição para incluir ou excluir objetos que tenham uma tag específica. Isso pode ser uma chave de tag específica ou uma chave e valor de tag específicos (como um par). Se você inserir vários prefixos como valores para uma condição, o Macie usa a lógica OR para unir os valores. Por exemplo, se você especificar Project1 e Project2 como chaves de tag para uma condição, qualquer objeto que tenha a chave de tag Project1 ou Project2 corresponderá aos critérios da condição.

Observe que as chaves e os valores de tags diferenciam maiúsculas de minúsculas. Além disso, o Macie não é compatível com o uso de valores parciais ou caracteres curinga nesse tipo de condição.