管理单个 S3 存储桶的自动敏感数据发现 - Amazon Macie

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

管理单个 S3 存储桶的自动敏感数据发现

在查看和评估自动敏感数据发现统计数据和结果时,您可以调整各个 Amazon Simple Storage Service (Amazon S3) 存储桶的敏感度评分和其他设置。通过调整这些设置,您可以微调对整个 Amazon S3 数据资产及其中的特定存储桶的敏感度评测。您还可以捕获对特定存储桶执行的调查的结果。

您可以通过以下方式调整 S3 存储桶的自动敏感数据发现设置。

分配灵敏度分数

默认情况下,Amazon Macie 会自动计算存储桶的敏感度分数。该分数主要基于 Macie 在存储桶中发现的敏感数据量,以及 Macie 在存储桶中分析的数据量。有关更多信息,请参阅 S3 存储桶的敏感度评分

您可以覆盖存储桶的计算分数并手动分配最高分数 (100),这也会将敏感标签应用于该存储桶。如果您这样做,Macie 将继续对存储桶执行自动发现。但是,随后的分析不会影响存储桶的分数。要再次自动计算分数,请再次更改设置。

在敏感度分数中排除或包括特定的敏感数据类型

如果自动计算,则存储桶的敏感度分数将部分基于 Macie 在存储桶中发现的敏感数据量。这主要源于 Macie 在存储桶中发现的敏感数据类型的性质和数量以及每种类型的出现次数。默认情况下,Macie 在计算存储桶的敏感度分数时会包含所有类型的敏感数据的出现次数。

您可以通过在存储桶的分数中排除或包含特定类型的敏感数据来调整计算方式。例如,如果 Macie 在存储桶中检测到邮寄地址,而您认为这是可以接受的,则可以将所有出现的邮件地址从存储桶的分数中排除。如果您排除某个敏感数据类型,Macie 将继续检查存储桶中是否有该类型的数据,并报告发现的事件。但是,这些事件不会影响存储桶的计算分数。要再次在计算存储中包含敏感数据类型,请再次更改设置。

在后续分析中排除或包含该存储桶

默认情况下,Macie 会自动发现它为你的账户监控和分析的所有通用存储桶。如果您是组织的 Macie 管理员,则默认设置包括您的成员账户拥有的存储桶。您可以将特定的存储桶排除在分析之外。例如,您可以排除通常存储 AWS 日志数据的存储桶,例如 AWS CloudTrail 事件日志。

如果您排除某个存储桶,则该存储桶的现有敏感数据发现统计数据和详细信息将保持不变,例如,该存储桶的当前敏感度分数保持不变。但是,Macie 在执行自动发现时会停止分析存储桶中的对象。排除某个存储桶后,您可以随后再次将其包括在内。

如果您更改了影响 S3 存储桶敏感度分数的设置,Macie 会立即开始重新计算和更新它提供的有关您的 Amazon S3 数据的相关统计数据和信息。例如,如果您为存储桶分配最高分数,Macie 会增加您的账户或组织的汇总统计数据中敏感存储桶的数量。

按照以下步骤使用 Amazon Macie 控制台更改设置。要以编程方式更改设置,您可以使用 Amazon Macie API 的以下操作 UpdateResourceProfile:为存储桶分配敏感度分数 UpdateResourceProfileDetections;在存储桶的分数中排除或随后包含敏感数据类型;以及在UpdateClassificationScope后续分析中排除或包含存储桶。

更改 S3 存储桶的自动敏感数据发现设置

  1. 通过以下网址打开 Amazon Macie 控制台:https://console.aws.amazon.com/macie/

  2. 在导航窗格中,选择 S3 存储桶S3 存储桶页面显示您的存储桶清单。

    默认情况下,该页面不显示当前从分析中排除的存储桶的数据。如果您是组织的 Macie 管理员,它也不会显示当前已禁用自动敏感数据发现功能的帐户的数据。要显示此数据,请在筛选框下方的 “由自动发现筛选器监控” 标记中选择 X

  3. 选择要更改其设置的 S3 存储桶。您可以使用表格视图 ( The table view button, which is a button that contains three black horizontal lines ) 或交互式地图 ( The map view button, which is a button that contains four black squares ) 来选择存储桶。

  4. 在详细信息面板中,执行以下任一操作:

    • 要覆盖计算得出的分数并手动将敏感度分数分配给存储桶,请打开 分配最高分数( A toggle switch with a gray background and the toggle positioned to the left. )。这会将存储桶的分数更改为 100,并将 敏感标签应用于该存储桶。

      要指定 Macie 自动计算的分数,请关闭 分配最高分数( A toggle switch with a blue background and the toggle positioned to the right. )。

    • 要将存储桶排除在后续分析之外,请开启从自动发现中排除 ( A toggle switch with a gray background and the toggle positioned to the left. )。

      如果您之前将存储桶排除在分析之外,请关闭从自动发现中排除 ( A toggle switch with a blue background and the toggle positioned to the right. ) 以再次将其包括在内。

    • 要在存储桶的敏感度分数中排除或包括出现的特定类型的敏感数据,请选择 敏感度选项卡。在 检测表中,选中要排除或包含的敏感数据类型的复选框。然后,在 操作菜单上,选择 从分数中排除以排除该类型,或者选择 包含在分数中 以包含该类型。

      在表中,敏感数据类型字段指定了检测到数据的托管数据标识符的唯一标识符 (ID),或检测到数据的自定义数据标识符的名称。托管数据标识符的 ID 描述了该标识符旨在检测的敏感数据类型,例如,用于检测美国护照号码的 USA_PASSPORT_NUMBER。有关每个托管数据标识符的详细信息,请参阅 使用托管数据标识符

如果您更改了影响 S3 存储桶敏感度分数的设置,Macie 会立即开始重新计算和更新相关的敏感数据发现统计数据以及有关该存储桶的其他信息。