选择您的 Cookie 首选项

我们使用必要 Cookie 和类似工具提供我们的网站和服务。我们使用性能 Cookie 收集匿名统计数据,以便我们可以了解客户如何使用我们的网站并进行改进。必要 Cookie 无法停用,但您可以单击“自定义”或“拒绝”来拒绝性能 Cookie。

如果您同意,AWS 和经批准的第三方还将使用 Cookie 提供有用的网站功能、记住您的首选项并显示相关内容,包括相关广告。要接受或拒绝所有非必要 Cookie,请单击“接受”或“拒绝”。要做出更详细的选择,请单击“自定义”。

存储和保留敏感数据发现结果

聚焦模式
存储和保留敏感数据发现结果 - Amazon Macie

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

当您运行敏感数据发现任务或 Amazon Macie 执行自动敏感数据发现时,Macie 会为分析范围中包含的每个 Amazon Simple Storage Service (Amazon S3) 对象创建分析记录。这些记录被称为敏感数据发现结果,记录了有关 Macie 对单个 S3 对象执行的分析的详细信息。这包括 Macie 无法检测到敏感数据的对象,因此不会生成调查发现,以及 Macie 由于错误或问题而无法分析的对象。如果 Macie 在物体中检测到敏感数据,则记录将包括来自相应发现的数据以及其他信息。敏感数据发现结果为您提供分析记录,这些记录可能有助于数据隐私和保护审计或调查。

Macie 仅将您的敏感数据发现结果存储 90 天。要访问您的结果并启用它们的长期存储和保留,请将 Macie 配置为使用 AWS Key Management Service (AWS KMS) 密钥加密结果并将其存储在 S3 存储桶中。存储桶可以用作所有敏感数据发现结果的最终长期存储库。然后,您可以选择访问和查询该存储库中的结果。

本主题将指导您完成使用 AWS Management Console 为敏感数据发现结果配置存储库的过程。该配置由用于加密结果的、用于存储结果的 S3 通用存储桶以及指定要使用哪个密钥和存储桶的 Macie 设置组合而成。 AWS KMS key 如果您更喜欢以编程方式配置 Macie 设置,则可以使用 Amazon Macie 的PutClassificationExportConfiguration操作。API

在 Macie 中配置设置时,您的选择仅适用于当前的 AWS 区域。如果您是组织的 Macie 管理员,则您的选择仅适用于您的账户。它们不适用于任何关联的成员账户。如果您启用自动发现敏感数据或运行敏感数据发现任务来分析成员帐户的数据,Macie 会将敏感数据发现结果存储在管理员帐户的存储库中。

如果您在多个区域中使用 Macie AWS 区域,请为使用 Macie 的每个区域配置存储库设置。您可以选择将多个区域的敏感数据发现结果存储在同一个 S3 存储桶中。不过,请注意以下要求:

  • 要存储默认 AWS 启用的区域(例如美国东部(弗吉尼亚北部)地区的结果,您必须在默认启用的区域中选择一个存储桶。 AWS 账户结果不能存储在选择加入型区域(默认情况下被禁用的区域)的存储桶中。

  • 对于选择加入型区域,例如如中东(巴林)区域,要存储该区域的结果,您必须在同一区域或默认启用的区域中选择存储桶。结果不能存储在另一个选择加入型区域的存储桶中。

要确定某个区域是否在默认情况下处于启用状态,请参阅AWS Account Management 用户指南 AWS 区域 中的在您的账户中启用或禁用。除了上述要求外,还要考虑是否要检索 Macie 在个别调查结果中报告的敏感数据样本。要从受影响的 S3 对象检索敏感数据样本,必须将以下所有资源和数据存储在同一个区域中:受影响的对象、适用的发现结果和相应的敏感数据发现结果。

开始之前:学习关键概念

当您运行敏感数据发现任务或自动发现敏感数据时,Amazon Macie 会自动为其分析或尝试分析的每个 Amazon S3 对象创建敏感数据发现结果。这包括:

  • Macie 在其中检测敏感数据的对象,因此也会生成敏感数据调查发现。

  • Macie 不会检测到敏感数据的对象,因此不会生成敏感数据调查发现。

  • Macie 由于错误或问题(例如权限设置或使用不受支持的文件或存储格式)而无法分析的对象。

如果 Macie 在 S3 对象中检测到敏感数据,则敏感数据调查发现将包含来自相应敏感数据查找的数据。它还提供了其他信息,例如 Macie 在对象中发现的每种敏感数据出现多达 1000 次的位置。例如:

  • Microsoft Excel 工作簿、CSV文件或文件中单元格或TSV字段的列号和行号

  • 或 Lin JSON es 文件中字段或数组的JSON路径

  • CSV、JSON、行或文件以外的非二进制文本文件中某JSON行的行号TSV,例如、或文件 HTML TXT XML

  • Adobe 便携文档格式 (PDF) 文件中页面的页码

  • Apache Avro 对象容器或 Apache Parquet 文件中记录的字段的记录索引和路径

如果受影响的 S3 对象是存档文件,例如.tar 或.zip 文件,则敏感数据发现结果还会提供 Macie 从存档中提取的各个文件中出现的敏感数据的详细位置数据。Macie 不会在存档文件的敏感数据调查发现中包含此信息。要报告位置数据,敏感数据发现结果使用标准化JSON架构

敏感数据发现结果不包括 Macie 发现的敏感数据。相反,它为您提供了有助于审计或调查的分析记录。

Macie 会将您的敏感数据发现结果存储 90 天。你无法直接在亚马逊 Macie 主机或亚马逊 Macie 上访问它们。API相反,请按照本主题中的步骤将 Macie 配置为 AWS KMS key 使用您指定的加密结果,并将结果存储在您也指定的 S3 通用存储桶中。然后,Macie 将结果写入 Lin JSON es (.jsonl) 文件,将文件作为 GNU Zip (.gz) 文件添加到存储桶中,然后使用-加密对数据进行加密。SSE KMS自 2023 年 11 月 8 日起,Macie 还使用基于哈希的消息身份验证码 () HMAC 对生成的 S3 对象进行签名。 AWS KMS key

将 Macie 配置为将您的敏感数据发现结果存储在某个 S3 存储桶中后,该存储桶可以作为这些结果的权威长期存储库。然后,您可以选择访问和查询该存储库中的结果。

提示

有关如何查询和使用敏感数据发现结果来分析和报告潜在的数据安全风险的详细教学示例,请参阅安全博客上的以下博客文章:如何使用 Amazon Athena 和 Amazon 查询和可视化 Macie 敏感数据发现结果。AWS QuickSight

有关可用于分析敏感数据发现结果的 Amazon Athena 查询示例,请访问上的 Amazon Macie 结果分析存储库。 GitHub此存储库还提供了有关配置 Athena 以检索和解密结果的说明,以及用于为结果创建表的脚本。

第 1 步:验证权限

在为敏感数据发现结果配置存储库之前,请确认您具有加密和存储结果所需的权限。要验证您的权限,请使用 AWS Identity and Access Management (IAM) 查看附加到您的IAM身份的IAM策略。然后,将这些策略中的信息与以下操作列表进行比较,您必须允许这些操作来配置存储库。

Amazon Macie

对于 Macie,请验证是否允许您执行以下操作:

macie2:PutClassificationExportConfiguration

此操作允许您在 Macie 中添加或更改存储库设置。

Amazon S3

对于 Amazon S3,请验证您是否可以执行以下操作:

  • s3:CreateBucket

  • s3:GetBucketLocation

  • s3:ListAllMyBuckets

  • s3:PutBucketAcl

  • s3:PutBucketPolicy

  • s3:PutBucketPublicAccessBlock

  • s3:PutObject

这些操作允许您访问和配置可用作存储库的 S3 通用存储桶。

AWS KMS

要使用 Amazon Macie 控制台添加或更改存储库设置,还要验证您是否被允许执行以下 AWS KMS 操作:

  • kms:DescribeKey

  • kms:ListAliases

通过这些操作,您可以检索和显示有关账户的 AWS KMS keys 的信息。然后,您可以选择其中一个密钥来加密敏感数据发现结果。

如果您计划创建新的 AWS KMS key 来加密数据,则还需要允许您执行以下操作:kms:CreateKeykms:GetKeyPolicy、和kms:PutKeyPolicy

如果不允许你执行必要的操作,请在继续下一步之前向 AWS 管理员寻求帮助。

步骤 2:配置 AWS KMS key

验证权限后,确定 AWS KMS key 您希望 Macie 使用哪个来加密您的敏感数据发现结果。密钥必须是客户托管的对称加密KMS密钥,该密钥与您要存储结果的 S3 存储桶 AWS 区域 相同。

密钥可以是您自己账户 AWS KMS key 中的现有密钥,也可以是其他账户拥有 AWS KMS key 的现有密钥。如果要使用新KMS密钥,请在继续操作之前创建密钥。如果您想使用其他账户拥有的现有密钥,请获取该密钥的 Amazon 资源名称 (ARN)。在 Macie 中配置存储库设置ARN时,需要输入此信息。有关创建和查看KMS密钥设置的信息,请参阅AWS Key Management Service 开发者指南

注意

密钥可以 AWS KMS key 位于外部密钥存储库中。但是,与完全在 AWS KMS中管理的密钥相比,密钥可能更慢且更不可靠。您可以通过将敏感数据发现结果存储在配置为将密钥用作 S3 Bucket 密钥的 S3 存储桶中来降低此风险。这样做可以减少加密敏感数据发现结果所必须发出的 AWS KMS 请求数。

有关在外部KMS密钥存储库中使用密钥的信息,请参阅《AWS Key Management Service 开发人员指南》中的外部密钥存储。有关使用 S3 存储桶密钥的信息,请参阅《亚马逊简单存储服务用户指南》中的使用 Amazon S3 存储桶密钥降低成本。SSE KMS

确定希望 Macie 使用哪个KMS密钥后,请授予 Macie 使用该密钥的权限。否则,Macie 将无法在存储库中加密或存储您的结果。若要授予 Macie 使用密钥的权限,请更新密钥的密钥政策。有关密钥策略和管理密KMS钥访问权限的详细信息,请参阅AWS Key Management Service 开发人员指南 AWS KMS中的密钥策略

更新密钥策略
  1. https://console.aws.amazon.com/km AWS KMS s 处打开控制台。

  2. 要更改 AWS 区域,请使用页面右上角的区域选择器。

  3. 选择您希望 Macie 用于加密敏感数据发现结果的密钥。

  4. 密钥策略选项卡上,选择编辑

  5. 将以下语句复制到剪贴板,然后将其添加到策略中:

    { "Sid": "Allow Macie to use the key", "Effect": "Allow", "Principal": { "Service": "macie.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Encrypt" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": [ "arn:aws:macie2:Region:111122223333:export-configuration:*", "arn:aws:macie2:Region:111122223333:classification-job/*" ] } } }
    注意

    将该语句添加到策略时,请确保语法有效。策略使用JSON格式。这意味着您还需要在语句之前或之后添加逗号,具体取决于将语句添加到策略的位置。如果将该语句添加为最后一个语句,请在前一个语句的右大括号后添加逗号。如果将其添加为第一个语句或两个现有语句之间,请在语句的右大括号后添加逗号。

  6. 使用适合您的环境的正确值更新语句:

    • Condition 字段中,替换占位符值,其中:

      • 111122223333 是您的账户 ID AWS 账户。

      • Region 是你 AWS 区域 在使用 Macie 并且你想让 Macie 使用密钥的地方。

        如果您在多个区域中使用 Macie,并希望允许 Macie 在其他区域中使用密钥,请为每个附加区域添加 aws:SourceArn 个条件。例如:

        "aws:SourceArn": [ "arn:aws:macie2:us-east-1:111122223333:export-configuration:*", "arn:aws:macie2:us-east-1:111122223333:classification-job/*", "arn:aws:macie2:us-west-2:111122223333:export-configuration:*", "arn:aws:macie2:us-west-2:111122223333:classification-job/*" ]

        或者,您可以允许 Macie 在所有区域中使用密钥。为此,请将占位符值替换为通配符 (*)。例如:

        "aws:SourceArn": [ "arn:aws:macie2:*:111122223333:export-configuration:*", "arn:aws:macie2:*:111122223333:classification-job/*" ]
    • 如果您在选择加入型区域中使用 Macie,请将相应的区域代码添加到 Service 字段的值中。例如,如果您在中东(巴林)区域中使用 Macie,其区域代码为 me-south-1,请将 macie.amazonaws.com 替换为 macie.me-south-1.amazonaws.com。有关 Macie 当前可用区域的列表以及每个区域的区域代码,请参阅 AWS 一般参考 中的 Amazon Macie 端点和限额

    请注意,这些Condition字段使用两个IAM全局条件键:

    • a@@ ws: SourceAccount — 此条件仅允许 Macie 对您的账户执行指定操作。更具体地说,它确定哪个账户可以对 aws:SourceArn 条件指定的资源和操作执行指定的操作。

      若要允许 Macie 对其他账户执行指定操作,请将每个其他账户的账户 ID 添加到此条件中。例如:

      "aws:SourceAccount": [111122223333,444455556666]
    • a@@ w SourceArn s: — 此条件会 AWS 服务 阻止其他人执行指定的操作。它还可以防止 Macie 在为您的账户执行其他操作时使用该密钥。换句话说,只有在以下情况下,它才允许 Macie 使用密钥加密 S3 对象:对象是敏感数据发现结果,并且结果是自动发现敏感数据或指定账户在指定区域中创建的敏感数据发现任务。

      要允许 Macie 对其他账户执行指定操作,请ARNs为每增加一个账户添加此条件。例如:

      "aws:SourceArn": [ "arn:aws:macie2:us-east-1:111122223333:export-configuration:*", "arn:aws:macie2:us-east-1:111122223333:classification-job/*", "arn:aws:macie2:us-east-1:444455556666:export-configuration:*", "arn:aws:macie2:us-east-1:444455556666:classification-job/*" ]

    aws:SourceAccountaws:SourceArn 条件指定的账户应匹配。

    这些条件有助于防止Macie在与之进行交易时被用作困惑不解的 AWS KMS副手。尽管我们不建议这样做,但您可以从语句中删除这些条件。

  7. 添加和更新完语句后,选择 保存更改

步骤 3:选择 S3 存储桶

在验证权限并配置之后 AWS KMS key,您就可以指定要使用哪个 S3 存储桶作为敏感数据发现结果的存储库了。您有两种选择:

  • 使用 Macie 创建的新 S3 存储桶 — 如果您选择此选项,Macie 会自动在当前版本中 AWS 区域 为您的发现结果创建一个新的 S3 通用存储桶。Macie 还会将存储桶策略应用于存储桶。该策略允许 Macie 向存储桶添加对象。它还要求使用您指定的加密对对象进行加密,使用 SSE-KMS 加密。 AWS KMS key 要查看该策略,请在指定存储桶的名称和要使用的KMS密钥后,在 Amazon Macie 控制台上选择查看策略

  • 使用您创建的现有 S3 存储桶 – 如果您希望将发现结果存储在您创建的特定 S3 存储桶中,请先创建该存储桶,然后再继续。存储桶必须是通用存储桶。此外,存储桶的设置和策略必须允许 Macie 向存储桶添加对象。本主题介绍要检查的设置以及如何更新策略。它还提供了要添加到策略中的语句的示例。

以下部分提供了每个选项的说明。选择所需选项的部分。

如果您希望使用 Macie 为您创建的新 S3 存储桶,则该过程的最后一步是在 Macie 中配置存储库设置。

在 Macie 中配置存储库设置
  1. 打开亚马逊 Macie 主机,网址为。https://console.aws.amazon.com/macie/

  2. 在导航窗格中的设置下,选择发现结果

  3. 敏感数据发现结果存储库下,选择创建存储桶

  4. 创建存储桶对话框中,输入存储桶的名称。

    该名称在所有 S3 存储桶中必须是唯一的。此外,名称只能由小写字母、数字、句点 (.) 和连字符 (-) 组成。有关其他命名要求,请参阅 Amazon Simple Storage Service 用户指南中的存储桶命名规则

  5. 展开 Advanced (高级) 部分。

  6. (可选)要指定要在存储桶中某个位置的路径中使用的前缀,请在数据发现结果前缀框中输入前缀。

    当您输入值时,Macie 会更新框下方的示例,以显示存储发现结果的存储桶位置的路径。

  7. 对于 阻止所有公有访问,选择 以启用存储桶的所有阻止公有访问设置。

    有关这些设置的信息,请参阅 Amazon Simple Storage Service 用户指南中的阻止对 Amazon S3 存储的公有访问

  8. 加密设置下,指定您希望 Macie 用于加密结果的 AWS KMS key :

    • 要使用您自己账户中的密钥,请选择 从您的账户中选择密钥。然后,在AWS KMS key列表中,选择要使用的密钥。该列表显示您账户的客户管理的对称加密KMS密钥。

    • 要使用其他账户拥有的密钥,请选择输入其他账户ARN的密钥。然后,在AWS KMS key ARN框中输入要使用的密钥的 Amazon 资源名称 (ARN),例如。arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

  9. 输入完设置后,选择保存

    Macie 会测试设置以验证它们是否正确。如果任何设置不正确,Macie 会显示一条错误消息,以帮助您解决问题。

保存存储库设置后,Macie 会将前 90 天的现有发现结果添加到存储库中。Macie 还开始向存储库添加新的发现结果。

如果您希望使用 Macie 为您创建的新 S3 存储桶,则该过程的最后一步是在 Macie 中配置存储库设置。

在 Macie 中配置存储库设置
  1. 打开亚马逊 Macie 主机,网址为。https://console.aws.amazon.com/macie/

  2. 在导航窗格中的设置下,选择发现结果

  3. 敏感数据发现结果存储库下,选择创建存储桶

  4. 创建存储桶对话框中,输入存储桶的名称。

    该名称在所有 S3 存储桶中必须是唯一的。此外,名称只能由小写字母、数字、句点 (.) 和连字符 (-) 组成。有关其他命名要求,请参阅 Amazon Simple Storage Service 用户指南中的存储桶命名规则

  5. 展开 Advanced (高级) 部分。

  6. (可选)要指定要在存储桶中某个位置的路径中使用的前缀,请在数据发现结果前缀框中输入前缀。

    当您输入值时,Macie 会更新框下方的示例,以显示存储发现结果的存储桶位置的路径。

  7. 对于 阻止所有公有访问,选择 以启用存储桶的所有阻止公有访问设置。

    有关这些设置的信息,请参阅 Amazon Simple Storage Service 用户指南中的阻止对 Amazon S3 存储的公有访问

  8. 加密设置下,指定您希望 Macie 用于加密结果的 AWS KMS key :

    • 要使用您自己账户中的密钥,请选择 从您的账户中选择密钥。然后,在AWS KMS key列表中,选择要使用的密钥。该列表显示您账户的客户管理的对称加密KMS密钥。

    • 要使用其他账户拥有的密钥,请选择输入其他账户ARN的密钥。然后,在AWS KMS key ARN框中输入要使用的密钥的 Amazon 资源名称 (ARN),例如。arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

  9. 输入完设置后,选择保存

    Macie 会测试设置以验证它们是否正确。如果任何设置不正确,Macie 会显示一条错误消息,以帮助您解决问题。

保存存储库设置后,Macie 会将前 90 天的现有发现结果添加到存储库中。Macie 还开始向存储库添加新的发现结果。

如果您希望将敏感数据发现结果存储在您创建的特定 S3 存储桶中,请先创建并配置该存储桶,然后再在 Macie 中配置设置。创建存储桶时,请注意以下要求:

  • 存储桶必须是通用存储桶。它不能是目录存储桶。

  • 如果为存储桶启用对象锁定,则必须禁用该功能的默认保留设置。否则,Macie 将无法将您的发现结果添加到存储桶中。有关此设置的信息,请参阅 Amazon Simple Storage Service 用户指南中的使用 S3 对象锁定

  • 要存储默认启用的区域(例如美国东部(弗吉尼亚北部)地区的发现结果,存储桶必须位于默认启用的区域中。 AWS 账户结果不能存储在选择加入型区域(默认情况下被禁用的区域)的存储桶中。

  • 对于选择加入型区域,例如如中东(巴林)区域,要存储该区域的发现结果,该存储桶必须位于同一区域或默认启用的区域。结果不能存储在另一个选择加入型区域的存储桶中。

要确定某个区域是否在默认情况下处于启用状态,请参阅AWS Account Management 用户指南 AWS 区域 中的在您的账户中启用或禁用

创建存储桶后,更新存储桶的策略以允许 Macie 检索有关存储桶的信息并将对象添加到存储桶。然后,您可以在 Macie 中配置这些设置。

更新存储桶的存储桶策略
  1. 打开 Amazon S3 控制台,网址为https://console.aws.amazon.com/s3/

  2. 选择要在其中存储发现结果的存储桶。

  3. 选择权限选项卡。

  4. 存储桶策略部分中,选择编辑

  5. 将以下示例策略复制到剪贴板:

    { "Version": "2012-10-17", "Statement": [ { "Sid": "Allow Macie to use the GetBucketLocation operation", "Effect": "Allow", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:GetBucketLocation", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": [ "arn:aws:macie2:Region:111122223333:export-configuration:*", "arn:aws:macie2:Region:111122223333:classification-job/*" ] } } }, { "Sid": "Allow Macie to add objects to the bucket", "Effect": "Allow", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional prefix/]*", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": [ "arn:aws:macie2:Region:111122223333:export-configuration:*", "arn:aws:macie2:Region:111122223333:classification-job/*" ] } } }, { "Sid": "Deny unencrypted object uploads. This is optional", "Effect": "Deny", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional prefix/]*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption": "aws:kms" } } }, { "Sid": "Deny incorrect encryption headers. This is optional", "Effect": "Deny", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional prefix/]*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption-aws-kms-key-id": "arn:aws:kms:Region:111122223333:key/KMSKeyId" } } }, { "Sid": "Deny non-HTTPS access", "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*", "Condition": { "Bool": { "aws:SecureTransport": "false" } } } ] }
  6. 将示例策略粘贴到 Amazon S3 控制台上的存储桶策略编辑器中。

  7. 使用适合您环境的正确值更新示例策略:

    • 在拒绝不正确的加密标头的可选语句中:

      • Replace(替换) amzn-s3-demo-bucket 使用存储桶的名称。要同时为存储桶中某个位置的路径指定前缀,请替换 [optional prefix/] 带前缀。否则,请删除 [optional prefix/] 占位符值。

      • StringNotEquals条件下,更换 arn:aws:kms:Region:111122223333:key/KMSKeyId 使用的 Amazon 资源名称 (ARN) AWS KMS key ,用于加密您的发现结果。

    • 在所有其他语句中,替换占位符值,其中:

      • amzn-s3-demo-bucket 是存储桶的名称。

      • [optional prefix/] 是指向存储桶中某个位置的路径的前缀。如果您不想指定前缀,请删除此占位符值。

      • 111122223333 是您的账户 ID AWS 账户。

      • Region 是 AWS 区域 你使用 Macie 并希望允许 Macie 将发现结果添加到存储桶中的位置。

        如果您在多个区域中使用 Macie,并希望允许 Macie 将结果添加到其他区域的存储桶中,请为每个其他区域添加 aws:SourceArn 条件。例如:

        "aws:SourceArn": [ "arn:aws:macie2:us-east-1:111122223333:export-configuration:*", "arn:aws:macie2:us-east-1:111122223333:classification-job/*", "arn:aws:macie2:us-west-2:111122223333:export-configuration:*", "arn:aws:macie2:us-west-2:111122223333:classification-job/*" ]

        或者,您可以允许 Macie 将结果添加到您使用 Macie 的所有区域的存储桶中。为此,请将占位符值替换为通配符 (*)。例如:

        "aws:SourceArn": [ "arn:aws:macie2:*:111122223333:export-configuration:*", "arn:aws:macie2:*:111122223333:classification-job/*" ]
    • 如果您在选择加入型区域中使用 Macie,请在每个指定 Macie 服务主体的语句中将相应的区域代码添加到 Service 字段的值中。例如,如果您在中东(巴林)区域使用 Macie,其区域代码为 me-south-1,请在每个适用的语句中将 macie.amazonaws.com 替换为 macie.me-south-1.amazonaws.com。有关 Macie 当前可用区域的列表以及每个区域的区域代码,请参阅 AWS 一般参考 中的 Amazon Macie 端点和限额

    请注意,示例策略包含允许 Macie 确定存储桶所在的区域(GetBucketLocation)以及向存储桶添加对象(PutObject)的语句。这些语句定义了使用两个IAM全局条件键的条件:

    • a@@ ws: SourceAccount — 此条件仅允许 Macie 将您的账户的敏感数据发现结果添加到存储桶中。它可以防止 Macie 将其他账户的发现结果添加到存储桶中。更具体地说,该条件指定哪个账户可以将存储桶用于 aws:SourceArn 条件指定的资源和操作。

      要在存储桶中存储其他账户的结果,请将每个其他账户的账户 ID 添加到此条件中。例如:

      "aws:SourceAccount": [111122223333,444455556666]
    • a@@ ws: SourceArn — 此条件根据要添加到存储桶中的对象的来源限制对存储桶的访问权限。它可以 AWS 服务 防止其他人向存储桶添加对象。它还可以防止 Macie 在为您的账户执行其他操作时向存储桶添加对象。更具体地说,该条件仅允许 Macie 在以下情况下向存储桶添加对象:对象是敏感数据发现结果,并且结果是自动发现敏感数据或指定账户在指定区域中创建的敏感数据发现任务的结果。

      要允许 Macie 对其他账户执行指定操作,请ARNs为每增加一个账户添加此条件。例如:

      "aws:SourceArn": [ "arn:aws:macie2:us-east-1:111122223333:export-configuration:*", "arn:aws:macie2:us-east-1:111122223333:classification-job/*", "arn:aws:macie2:us-east-1:444455556666:export-configuration:*", "arn:aws:macie2:us-east-1:444455556666:classification-job/*" ]

    aws:SourceAccountaws:SourceArn 条件指定的账户应匹配。

    这两种情况都有助于防止 Macie 在与 Amazon S3 的交易中被用作混乱的代理。尽管我们不建议这样做,但您可以从存储桶策略中删除这些条件。

  8. 完成存储桶策略更新后,选择保存更改

您现在可以在 Macie 中配置存储库设置。

在 Macie 中配置存储库设置
  1. 打开亚马逊 Macie 主机,网址为。https://console.aws.amazon.com/macie/

  2. 在导航窗格中的设置下,选择发现结果

  3. 敏感数据发现结果存储库 下,选择 现有存储桶

  4. 对于选择存储桶,选择要在其中存储发现结果的存储桶。

  5. 要为存储桶中某个位置的路径指定前缀,请展开 “高级” 部分。然后,在数据发现结果前缀中输入前缀。

    当您输入值时,Macie 会更新框下方的示例,以显示存储发现结果的存储桶位置的路径。

  6. 加密设置下,指定您希望 Macie 用于加密结果的 AWS KMS key :

    • 要使用您自己账户中的密钥,请选择 从您的账户中选择密钥。然后,在AWS KMS key列表中,选择要使用的密钥。该列表显示您账户的客户管理的对称加密KMS密钥。

    • 要使用其他账户拥有的密钥,请选择输入其他账户ARN的密钥。然后,在AWS KMS key ARN框中ARN输入要使用的密钥,例如。arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

  7. 输入完设置后,选择保存

    Macie 会测试设置以验证它们是否正确。如果任何设置不正确,Macie 会显示一条错误消息,以帮助您解决问题。

保存存储库设置后,Macie 会将前 90 天的现有发现结果添加到存储库中。Macie 还开始向存储库添加新的发现结果。

注意

如果您随后更改了数据发现结果前缀设置,请同时更新 Amazon S3 中的存储桶策略。指定先前前缀的策略语句必须指定新的前缀。否则,Macie 将无法将您的发现结果添加到该存储桶。

如果您希望将敏感数据发现结果存储在您创建的特定 S3 存储桶中,请先创建并配置该存储桶,然后再在 Macie 中配置设置。创建存储桶时,请注意以下要求:

  • 存储桶必须是通用存储桶。它不能是目录存储桶。

  • 如果为存储桶启用对象锁定,则必须禁用该功能的默认保留设置。否则,Macie 将无法将您的发现结果添加到存储桶中。有关此设置的信息,请参阅 Amazon Simple Storage Service 用户指南中的使用 S3 对象锁定

  • 要存储默认启用的区域(例如美国东部(弗吉尼亚北部)地区的发现结果,存储桶必须位于默认启用的区域中。 AWS 账户结果不能存储在选择加入型区域(默认情况下被禁用的区域)的存储桶中。

  • 对于选择加入型区域,例如如中东(巴林)区域,要存储该区域的发现结果,该存储桶必须位于同一区域或默认启用的区域。结果不能存储在另一个选择加入型区域的存储桶中。

要确定某个区域是否在默认情况下处于启用状态,请参阅AWS Account Management 用户指南 AWS 区域 中的在您的账户中启用或禁用

创建存储桶后,更新存储桶的策略以允许 Macie 检索有关存储桶的信息并将对象添加到存储桶。然后,您可以在 Macie 中配置这些设置。

更新存储桶的存储桶策略
  1. 打开 Amazon S3 控制台,网址为https://console.aws.amazon.com/s3/

  2. 选择要在其中存储发现结果的存储桶。

  3. 选择权限选项卡。

  4. 存储桶策略部分中,选择编辑

  5. 将以下示例策略复制到剪贴板:

    { "Version": "2012-10-17", "Statement": [ { "Sid": "Allow Macie to use the GetBucketLocation operation", "Effect": "Allow", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:GetBucketLocation", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": [ "arn:aws:macie2:Region:111122223333:export-configuration:*", "arn:aws:macie2:Region:111122223333:classification-job/*" ] } } }, { "Sid": "Allow Macie to add objects to the bucket", "Effect": "Allow", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional prefix/]*", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": [ "arn:aws:macie2:Region:111122223333:export-configuration:*", "arn:aws:macie2:Region:111122223333:classification-job/*" ] } } }, { "Sid": "Deny unencrypted object uploads. This is optional", "Effect": "Deny", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional prefix/]*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption": "aws:kms" } } }, { "Sid": "Deny incorrect encryption headers. This is optional", "Effect": "Deny", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional prefix/]*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption-aws-kms-key-id": "arn:aws:kms:Region:111122223333:key/KMSKeyId" } } }, { "Sid": "Deny non-HTTPS access", "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*", "Condition": { "Bool": { "aws:SecureTransport": "false" } } } ] }
  6. 将示例策略粘贴到 Amazon S3 控制台上的存储桶策略编辑器中。

  7. 使用适合您环境的正确值更新示例策略:

    • 在拒绝不正确的加密标头的可选语句中:

      • Replace(替换) amzn-s3-demo-bucket 使用存储桶的名称。要同时为存储桶中某个位置的路径指定前缀,请替换 [optional prefix/] 带前缀。否则,请删除 [optional prefix/] 占位符值。

      • StringNotEquals条件下,更换 arn:aws:kms:Region:111122223333:key/KMSKeyId 使用的 Amazon 资源名称 (ARN) AWS KMS key ,用于加密您的发现结果。

    • 在所有其他语句中,替换占位符值,其中:

      • amzn-s3-demo-bucket 是存储桶的名称。

      • [optional prefix/] 是指向存储桶中某个位置的路径的前缀。如果您不想指定前缀,请删除此占位符值。

      • 111122223333 是您的账户 ID AWS 账户。

      • Region 是 AWS 区域 你使用 Macie 并希望允许 Macie 将发现结果添加到存储桶中的位置。

        如果您在多个区域中使用 Macie,并希望允许 Macie 将结果添加到其他区域的存储桶中,请为每个其他区域添加 aws:SourceArn 条件。例如:

        "aws:SourceArn": [ "arn:aws:macie2:us-east-1:111122223333:export-configuration:*", "arn:aws:macie2:us-east-1:111122223333:classification-job/*", "arn:aws:macie2:us-west-2:111122223333:export-configuration:*", "arn:aws:macie2:us-west-2:111122223333:classification-job/*" ]

        或者,您可以允许 Macie 将结果添加到您使用 Macie 的所有区域的存储桶中。为此,请将占位符值替换为通配符 (*)。例如:

        "aws:SourceArn": [ "arn:aws:macie2:*:111122223333:export-configuration:*", "arn:aws:macie2:*:111122223333:classification-job/*" ]
    • 如果您在选择加入型区域中使用 Macie,请在每个指定 Macie 服务主体的语句中将相应的区域代码添加到 Service 字段的值中。例如,如果您在中东(巴林)区域使用 Macie,其区域代码为 me-south-1,请在每个适用的语句中将 macie.amazonaws.com 替换为 macie.me-south-1.amazonaws.com。有关 Macie 当前可用区域的列表以及每个区域的区域代码,请参阅 AWS 一般参考 中的 Amazon Macie 端点和限额

    请注意,示例策略包含允许 Macie 确定存储桶所在的区域(GetBucketLocation)以及向存储桶添加对象(PutObject)的语句。这些语句定义了使用两个IAM全局条件键的条件:

    • a@@ ws: SourceAccount — 此条件仅允许 Macie 将您的账户的敏感数据发现结果添加到存储桶中。它可以防止 Macie 将其他账户的发现结果添加到存储桶中。更具体地说,该条件指定哪个账户可以将存储桶用于 aws:SourceArn 条件指定的资源和操作。

      要在存储桶中存储其他账户的结果,请将每个其他账户的账户 ID 添加到此条件中。例如:

      "aws:SourceAccount": [111122223333,444455556666]
    • a@@ ws: SourceArn — 此条件根据要添加到存储桶中的对象的来源限制对存储桶的访问权限。它可以 AWS 服务 防止其他人向存储桶添加对象。它还可以防止 Macie 在为您的账户执行其他操作时向存储桶添加对象。更具体地说,该条件仅允许 Macie 在以下情况下向存储桶添加对象:对象是敏感数据发现结果,并且结果是自动发现敏感数据或指定账户在指定区域中创建的敏感数据发现任务的结果。

      要允许 Macie 对其他账户执行指定操作,请ARNs为每增加一个账户添加此条件。例如:

      "aws:SourceArn": [ "arn:aws:macie2:us-east-1:111122223333:export-configuration:*", "arn:aws:macie2:us-east-1:111122223333:classification-job/*", "arn:aws:macie2:us-east-1:444455556666:export-configuration:*", "arn:aws:macie2:us-east-1:444455556666:classification-job/*" ]

    aws:SourceAccountaws:SourceArn 条件指定的账户应匹配。

    这两种情况都有助于防止 Macie 在与 Amazon S3 的交易中被用作混乱的代理。尽管我们不建议这样做,但您可以从存储桶策略中删除这些条件。

  8. 完成存储桶策略更新后,选择保存更改

您现在可以在 Macie 中配置存储库设置。

在 Macie 中配置存储库设置
  1. 打开亚马逊 Macie 主机,网址为。https://console.aws.amazon.com/macie/

  2. 在导航窗格中的设置下,选择发现结果

  3. 敏感数据发现结果存储库 下,选择 现有存储桶

  4. 对于选择存储桶,选择要在其中存储发现结果的存储桶。

  5. 要为存储桶中某个位置的路径指定前缀,请展开 “高级” 部分。然后,在数据发现结果前缀中输入前缀。

    当您输入值时,Macie 会更新框下方的示例,以显示存储发现结果的存储桶位置的路径。

  6. 加密设置下,指定您希望 Macie 用于加密结果的 AWS KMS key :

    • 要使用您自己账户中的密钥,请选择 从您的账户中选择密钥。然后,在AWS KMS key列表中,选择要使用的密钥。该列表显示您账户的客户管理的对称加密KMS密钥。

    • 要使用其他账户拥有的密钥,请选择输入其他账户ARN的密钥。然后,在AWS KMS key ARN框中ARN输入要使用的密钥,例如。arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

  7. 输入完设置后,选择保存

    Macie 会测试设置以验证它们是否正确。如果任何设置不正确,Macie 会显示一条错误消息,以帮助您解决问题。

保存存储库设置后,Macie 会将前 90 天的现有发现结果添加到存储库中。Macie 还开始向存储库添加新的发现结果。

注意

如果您随后更改了数据发现结果前缀设置,请同时更新 Amazon S3 中的存储桶策略。指定先前前缀的策略语句必须指定新的前缀。否则,Macie 将无法将您的发现结果添加到该存储桶。

提示

要降低服务器端加密成本,还要将 S3 存储桶配置为使用 S3 存储桶密钥,并指定您为加密敏感数据发现结果而配置的。 AWS KMS key 使用 S3 存储桶密钥可以减少对的调用次数 AWS KMS,从而降低 AWS KMS 请求成本。如果KMS密钥位于外部密钥存储中,则使用 S3 存储桶密钥还可以最大限度地减少使用密钥对性能的影响。要了解更多信息,请参阅亚马逊简单存储服务用户指南中的KMS使用 Amazon S3 存储桶密钥降低成本。SSE

隐私网站条款Cookie 首选项
© 2024, Amazon Web Services, Inc. 或其附属公司。保留所有权利。