调整 S3 存储桶的敏感度分数 - Amazon Macie

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

调整 S3 存储桶的敏感度分数

在查看和评测统计信息、数据和其他自动敏感数据发现结果时,您可能需要微调 Amazon Simple Storage Service (Amazon S3) 存储桶的敏感度评测结果。您可能还想捕获您或您的组织针对特定存储桶执行的调查结果。如果您是组织的 Amazon Macie 管理员或拥有独立的 Macie 账户,则可以通过调整各个存储桶的敏感度分数和其他设置来进行这些更改。如果您拥有组织中的成员账户,请联系您的 Macie 管理员以调整您拥有的存储桶的设置。只有您组织的 Macie 管理员才能调整您的存储桶设置。

如果您是 Macie 管理员或拥有独立的 Macie 账户,则可以通过以下方式调整 S3 存储桶的敏感度分数:

  • 分配灵敏度分数-默认情况下,Macie 会自动计算存储桶的灵敏度分数。该分数主要基于 Macie 在存储桶中发现的敏感数据量,以及 Macie 在存储桶中分析的数据量。有关更多信息,请参阅 S3 存储桶的敏感度评分

    您可以覆盖存储桶的计算分数并手动分配最高分数 (100),这也会将敏感标签应用于该存储桶。如果您这样做,Macie 将继续对存储桶执行自动敏感数据发现。但是,随后的分析不会影响存储桶的分数。要再次自动计算分数,请再次更改设置。

  • 在@@ 敏感度分数中排除或包含敏感数据类型 — 如果是自动计算的,则存储桶的敏感度分数将部分基于 Macie 在存储桶中发现的敏感数据量。这主要源于 Macie 发现的敏感数据类型的性质和数量以及每种类型的出现次数。默认情况下,Macie 在计算存储桶的分数时会包含所有类型的敏感数据的出现次数。

    您可以通过在存储桶的分数中排除或包含特定类型的敏感数据来调整计算方式。例如,如果 Macie 在存储桶中检测到邮寄地址,而您认为这是可以接受的,则可以将所有出现的邮件地址从存储桶的分数中排除。如果您排除某个敏感数据类型,Macie 将继续检查存储桶中是否有该类型的数据,并报告发现的事件。但是,这些事件不会影响存储桶的分数。要再次在分数中包含敏感数据类型,请再次更改设置。

您也可以在后续分析中排除 S3 存储桶。如果您排除某个存储桶,则该存储桶的现有敏感数据发现统计数据和详细信息将保留。例如,存储桶的当前敏感度分数保持不变。但是,当 Macie 执行自动敏感数据发现时,它会停止分析存储桶中的对象。排除了某个存储桶后,您可以随后再次将其包括在内。

如果您更改了影响 S3 存储桶敏感度分数的设置,Macie 会立即开始重新计算分数。Macie 还会更新相关统计信息以及它提供的有关存储桶和您的 Amazon S3 数据总体情况的其他信息。例如,如果您为存储桶分配最高分数,Macie 会增加聚合统计数据中敏感存储桶的计数。

调整 S3 存储桶的灵敏度分数或其他设置

要调整 S3 存储桶的敏感度分数或其他设置,您可以使用 Amazon Macie 控制台或 Amazon Macie API。

Console

使用 Amazon Macie 控制台,按照以下步骤调整 S3 存储桶的灵敏度分数或设置。

  1. 打开亚马逊 Macie 主机,网址为。https://console.aws.amazon.com/macie/

  2. 在导航窗格中,选择 S3 存储桶S3 存储桶页面显示您的存储桶清单。

    默认情况下,该页面不会显示当前被排除在分析之外的存储桶的数据。如果您是组织的 Macie 管理员,则它也不会显示当前禁用了自动敏感数据发现的账户的数据。要显示这些数据,请在筛选框下方的由自动发现筛选器监控标记中选择 X

  3. 选择带有调整设置的 S3 存储桶。您可以使用表格视图 ( The table view button, which is a button that displays three black horizontal lines. ) 或交互式地图 ( The map view button, which is a button that displays four black squares. ) 来选择存储桶。

  4. 在详细信息面板中,执行以下任一操作:

    • 要覆盖计算得出的敏感度分数和手动分配分数,请打开分配最高分数( A toggle switch with a gray background and the toggle positioned to the left. )。这会将存储桶的分数更改为 100,并将敏感标签应用于该存储桶。

    • 要指定 Macie 自动计算的敏感度分数,请关闭 分配最高分数( A toggle switch with a blue background and the toggle positioned to the right. )。

    • 要在敏感度分数中排除或包括特定类型的敏感数据,请选择敏感度选项卡。在 “检测” 表中,选中要排除或包含的敏感数据类型的复选框。然后,在操作菜单上,选择从分数中排除以排除该类型,或者选择包含在分数中以包含该类型。

      在表中,敏感数据类型字段指定了检测到数据的托管数据标识符或自定义数据标识符。管理数据标识符的唯一标识符 (ID) 描述了该标识符旨在检测的敏感数据类型,例如,用于检测美国护照号码的 USA_PASSPORT_NUMBER。有关每个托管数据标识符的详细信息,请参阅 使用托管数据标识符

    • 要将存储桶排除在后续分析之外,请开启从自动发现中排除 ( A toggle switch with a gray background and the toggle positioned to the left. )。

    • 如果您之前将存储桶排除在自动发现之外,若要在后续分析中将其包括在内,请关闭从自动发现中排除 ( A toggle switch with a blue background and the toggle positioned to the right. )。

API

要以编程方式调整 S3 存储桶的灵敏度分数或设置,您有几种选择。适当的选项取决于您要调整的内容。

分配敏感度分数

要为 S3 存储桶分配敏感度分数,请使用UpdateResourceProfile操作。在您的请求中,使用resourceArn参数指定存储桶的 Amazon 资源名称 (ARN)。对于sensitivityScoreOverride参数,请执行以下任一操作:

  • 要覆盖计算得出的分数并手动分配最高分数,请指定100

  • 要指定 Macie 自动计算的分数,请省略该参数。如果此参数为空,Macie 将计算并分配分数。

如果您使用的是 AWS Command Line Interface (AWS CLI),请运行update-resource-profile命令为 S3 存储桶分配敏感度分数。在您的请求中,使用resource-arn参数指定存储桶的 ARN。省略或使用sensitivity-score-override参数指定要分配的分数。

如果您的请求成功,Macie 会分配指定的分数并返回空响应。

在敏感度分数中排除或包括敏感数据类型

要在 S3 存储桶的敏感度分数中排除或包含敏感数据类型,请使用UpdateResourceProfileDetections操作。使用此操作时,您会覆盖存储分数的当前包含和排除设置。因此,最好先检索当前设置并确定要保留哪些设置。要检索当前设置,请使用ListResourceProfileDetections操作。

准备好更新设置时,使用resourceArn参数指定 S3 存储桶的 ARN。对于suppressDataIdentifiers参数,请执行以下任一操作:

  • 要从存储桶的分数中排除敏感数据类型,请使用type参数指定检测到数据的数据标识符的类型、托管数据标识符 (MANAGED) 或自定义数据标识符 (CUSTOM)。使用id参数为检测到数据的托管或自定义数据标识符指定唯一标识符。

  • 要在存储桶的分数中包含敏感数据类型,请不要为检测到数据的托管或自定义数据标识符指定任何详细信息。

  • 要在存储桶的分数中包含所有敏感数据类型,请不要指定任何值。如果suppressDataIdentifiers参数的值为空(空),则 Macie 在计算分数时会包括所有类型的检测。

如果您使用的是 AWS CLI,请运行update-resource-profile-detections命令在 S3 存储桶的敏感度分数中排除或包含敏感数据类型。使用resource-arn参数指定存储桶的 ARN。使用suppress-data-identifiers参数指定要排除或包含在存储桶分数中的敏感数据类型。要首先检索并查看存储桶的当前设置,请运行list-resource-profile-detections命令。

如果您的请求成功,Macie 会更新设置并返回空响应。

在分析中排除或包含 S3 存储桶

要在分析中排除或随后包含一个 S3 存储桶,请使用UpdateClassificationScope操作。或者,如果您使用的是 AWS CLI,请运行该update-classification-scope命令。有关其他详细信息和示例,请参阅在自动敏感数据发现中排除或包含 S3 存储桶

以下示例说明如何使用调整 S3 存储桶的各个设置。 AWS CLI 第一个示例手动将最大灵敏度分数 (100) 分配给存储桶。它会覆盖存储桶的计算分数。

$ aws macie2 update-resource-profile --resource-arn arn:aws:s3:::amzn-s3-demo-bucket --sensitivity-score-override 100

S3 存储桶arn:aws:s3:::amzn-s3-demo-bucket的 ARN 在哪里。

下一个示例将 S3 存储桶的敏感度分数更改为 Macie 自动计算的分数。该存储桶当前有一个手动分配的分数,该分数会覆盖计算得出的分数。此示例通过在请求中省略sensitivity-score-override参数来移除该覆盖。

$ aws macie2 update-resource-profile --resource-arn arn:aws:s3:::amzn-s3-demo-bucket2

S3 存储桶arn:aws:s3:::amzn-s3-demo-bucket2的 ARN 在哪里。

以下示例将特定类型的敏感数据排除在 S3 存储桶的敏感度分数之外。此示例针对 Linux、macOS 或 Unix 进行格式化,并使用反斜杠 (\) 行继续符来提高可读性。

$ aws macie2 update-resource-profile-detections \
--resource-arn arn:aws:s3:::amzn-s3-demo-bucket3 \
--suppress-data-identifiers '[{"type":"MANAGED","id":"ADDRESS"},{"type":"CUSTOM","id":"3293a69d-4a1e-4a07-8715-208ddexample"}]'

此示例针对 Microsoft Windows 进行格式化,并使用脱字号 (^) 行继续符来提高可读性。

C:\> aws macie2 update-resource-profile-detections ^
--resource-arn arn:aws:s3:::amzn-s3-demo-bucket3 ^
--suppress-data-identifiers=[{\"type\":\"MANAGED\",\"id\":\"ADDRESS\"},{\"type\":\"CUSTOM\",\"id\":\"3293a69d-4a1e-4a07-8715-208ddexample\"}]

其中:

  • arn:aws:s3:::amzn-s3-demo-bucket3是 S3 存储桶的 ARN。

  • ADDRESS是检测到要排除的一类敏感数据(邮寄地址)的托管数据标识符的唯一标识符。

  • 3293a69d-4a1e-4a07-8715-208ddexample是自定义数据标识符的唯一标识符,该标识符检测到要排除的敏感数据类型。

接下来的示例集在 S3 存储桶的敏感度分数中包含了所有类型的敏感数据。它通过为suppress-data-identifiers参数指定一个空(空)值来覆盖存储桶的当前排除设置。对于 Linux、macOS 或 Unix:

$ aws macie2 update-resource-profile-detections --resource-arn arn:aws:s3:::amzn-s3-demo-bucket3 --suppress-data-identifiers '[]'

对于 Microsoft Windows:

C:\> aws macie2 update-resource-profile-detections --resource-arn arn:aws:s3:::amzn-s3-demo-bucket3 --suppress-data-identifiers=[]

S3 存储桶arn:aws:s3:::amzn-s3-demo-bucket3的 ARN 在哪里。