使用调查发现检索和显示敏感数据样本 - Amazon Macie
开始前的准备工作确定调查发现是否有样本可用检索和显示调查发现的样本

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用调查发现检索和显示敏感数据样本

使用 Amazon Macie,您可以检索并显示 Macie 在单独的敏感数据调查发现中报告的敏感数据样本。这包括 Macie 使用托管数据标识符检测到的敏感数据,以及符合自定义数据标识符标准的数据。这些样本可以帮助您验证 Macie 发现的敏感数据的性质。他们还可以帮助您对受影响的 Amazon Simple Storage Service (Amazon S3) 对象和存储桶定制调查。除亚太地区(大阪)和以色列(特拉维夫)地区外,您可以检索和显示当前所有 Macie 可用区域的敏感数据样本。 AWS 区域

如果您检索并显示某项发现的敏感数据样本,Macie 会使用相应敏感数据发现结果中的数据来定位该发现报告的前 1-10 次出现的敏感数据。然后,Macie 从受影响的 S3 对象中提取每次出现的前 1-128 个字符。如果一项调查发现报告了多种类型的敏感数据,则 Macie 会对调查发现报告的多达 100 种敏感数据执行此操作。

当 Macie 从受影响的 S3 对象中提取敏感数据时,Macie 会使用您指定的 AWS Key Management Service (AWS KMS) 密钥对数据进行加密,将加密的数据临时存储在缓存中,然后返回结果中的数据以进行查找。解压缩和加密后不久,Macie 会从缓存中永久删除数据,除非临时需要额外保留以解决操作问题。

如果您选择重新检索和显示有关某个调查发现的敏感数据样本,Macie 会重复查找、提取、加密、存储和最终删除样本的过程。

要演示如何使用 Amazon Macie 控制台检索和显示敏感数据样本,请观看以下视频:

开始前的准备工作

您首先需要 为您的 Amazon Macie 账户配置并启用设置,然后才能检索和显示调查发现的敏感数据样本。您还需要与 AWS 管理员合作,验证自己是否拥有所需的权限和资源。

当您检索和显示某项调查发现的敏感数据样本时,Macie 会执行一系列任务来查找、检索、加密和显示样本。Macie 不会使用账户的 服务相关角色来执行这些任务。相反,你使用你的 AWS Identity and Access Management (IAM) 身份或者允许 Macie 在你的账户中IAM扮演角色。

要检索和显示某项发现的敏感数据样本,您必须有权访问调查结果、相应的敏感数据发现结果以及您配置 Macie 用于加密敏感数据样本的结果。 AWS KMS key 此外,必须允许您或该IAM角色访问受影响的 S3 存储桶和受影响的 S3 对象。还必须允许您或该角色使用用于加密受影响对象的(如果适用)。 AWS KMS key 如果任何IAM策略、资源策略或其他权限设置拒绝必要的访问权限,则会发生错误,并且 Macie 不会返回调查结果的任何样本。

还必须允许您执行以下 Macie 操作:

  • macie2:GetMacieSession

  • macie2:GetFindings

  • macie2:ListFindings

  • macie2:GetSensitiveDataOccurrences

前三个操作允许您访问您的 Macie 账户并检索调查发现的详细信息。最后一个操作允许您检索和显示调查发现的敏感数据样本。

要使用 Amazon Macie 控制台检索和显示敏感数据样本,还必须允许您执行以下操作:macie2:GetSensitiveDataOccurrencesAvailability。此操作允许您确定是否有针对个别调查发现的样本。您无需权限即可执行此操作以编程方式检索和显示样本。但是,拥有此权限可以简化样本检索流程。

如果您是组织委托的 Macie 管理员,并且已将 Macie 配置为担任检索敏感数据样本的IAM角色,则还必须允许您执行以下操作:。macie2:GetMember此操作将允许您检索有关您的账户与受影响账户之间关联的信息。这让 Macie 能够验证您当前是否是受影响账户的 Macie 管理员。

如果不允许您执行必要的操作或访问必需的数据和资源,请向 AWS 管理员寻求帮助。

确定调查发现是否有敏感数据样本可用

要检索和显示某项调查发现的敏感数据样本,该调查发现需要满足某些标准。它必须包括特定出现的敏感数据的位置数据。此外,它还必须指定有效的、相应的敏感数据发现结果的位置。敏感数据发现结果必须与发现 AWS 区域 结果存储在同一位置。如果您通过担任 AWS Identity and Access Management (IAM) 角色将 Amazon Macie 配置为访问受影响的 S3 对象,则敏感数据发现结果还必须存储在 Macie 使用基于哈希的消息身份验证码 () 签名的 S3 对象中。HMAC AWS KMS key

受影响的 S3 对象还需要满足某些标准。对象的MIME类型必须是以下类型之一:

  • application/avro,用于 Apache Avro 对象容器 (.avro) 文件

  • application/gzip,用于 GNU Zip 压缩存档(.gz 或.gzip)文件

  • application/json,用于JSON或JSON行(.json 或.jsonl)文件

  • application/parquet,用于 Apache Parquet (.parquet) 文件

  • application/vnd.openxmlformats-officedocument.spreadsheetml.sheet,用于 Microsoft Excel 工作簿(.xlsx)文件

  • application/zip,用于ZIP压缩存档 (.zip) 文件

  • text/csv,对于 CSV (.csv) 文件

  • text/plain,对于、、Lin JSON es 或TSV文件以CSV外的非二进制文本文件 JSON

  • text/tab-separated-values,对于 TSV (.tsv) 文件

此外,该 S3 对象的内容必须与创建调查发现时的内容相同。Macie 会检查对象的实体标签 (ETag),以确定它是否与发现结果所ETag指定的内容相匹配。此外,对象的存储大小不能超过检索和显示敏感数据样本的适用大小配额。有关适用配额的列表,请参阅Amazon Macie 限额

如果调查发现和受影响的 S3 对象符合上述标准,则该调查发现就有敏感数据样本可用。在尝试检索和显示某项调查发现的样本之前,您可以选择确定某项调查发现是否属于这种情况。

若要确定是否有敏感数据样本可用于调查发现

您可以使用 Amazon Macie 控制台或 Amazon API Macie 来确定是否有敏感数据样本可供查找。

Console

在 Amazon Macie 控制台上执行以下步骤,确定是否有敏感数据样本可用于调查发现。

确定是否有样本可用于调查发现

  1. 打开亚马逊 Macie 主机,网址为。https://console.aws.amazon.com/macie/

  2. 在导航窗格中,选择 调查发现

  3. 调查发现页面上,选择该调查发现。详细信息面板会显示调查发现的信息。

  4. 在详细信息面板中,滚动至敏感数据部分。然后参阅 显示样本字段。

    如果调查发现有敏感数据样本可用,则字段中会出现 查看链接,如下图所示。

    调查发现详细信息面板中的显示样本字段。该字段包含一个标有 查看的链接。

    如果调查发现没有敏感数据样本可用,则 显示样本字段会显示文本,说明原因:

    • 账户不属于组织 – 您无权使用 Macie 访问受影响的 S3 对象。受影响的账户不属于您的组织。或者该账户属于您的组织,但当前未在当前 AWS 区域中为该账户启用 Macie。

    • 分类结果无效 – 该调查发现没有相应的敏感数据发现结果。或者相应的敏感数据发现结果在当前 AWS 区域中不可用、格式错误或已损坏,或者使用了不支持的存储格式。Macie 无法验证要检索的敏感数据的位置。

    • 结果签名无效 – 相应的敏感数据发现结果存储在未经 Macie 签名的 S3 对象中。Macie 无法验证敏感数据发现结果的完整性和真实性。因此,Macie 无法验证要检索的敏感数据的位置。

    • 成员角色过于宽松 — 受影响成员账户中该IAM角色的信任或权限策略不符合 Macie 限制角色访问权限的要求。或者,该角色的信任策略没有为您的组织指定正确的外部 ID。Macie 无法代入该角色来检索敏感数据。

    • 缺少 GetMember 权限-不允许您检索有关您的账户与受影响账户之间关联的信息。Macie 无法确定您是否有权以受影响账户的委派 Macie 管理员身份访问受影响的 S3 对象。

    • 对象超出大小限额 – 受影响 S3 对象的存储大小超过了从该类型文件中检索和显示敏感数据样本的大小限额。

    • 对象不可用 – 受影响的 S3 对象不可用。在 Macie 创建调查发现后,该对象已被重命名、移动或删除,或其内容发生了变化。或者,用于加密该对象的 AWS KMS key 当前被禁用。

    • 结果未签名 – 相应的敏感数据发现结果存储在未签名的 S3 对象中。Macie 无法验证敏感数据发现结果的完整性和真实性。因此,Macie 无法验证要检索的敏感数据的位置。

    • 角色过于宽松 — 您的账户配置为使用信任或权限策略不符合 Macie 限制IAM角色访问权限要求的角色来检索出现的敏感数据。Macie 无法代入该角色来检索敏感数据。

    • 不支持的对象类型 – 受影响的 S3 对象使用了 Macie 不支持用来检索和显示敏感数据样本的文件或存储格式。受影响的 S3 对象的MIME类型不是前面列表中的值之一。

    如果调查发现的敏感数据发现结果存在问题,则该调查发现的详细结果位置字段中的信息有助于您调查问题。此字段指定了发现结果在 Amazon S3 中的原始路径。要调查角色的问题,请确保该IAM角色的策略符合 Macie 担任该角色的所有要求。有关详细信息,请参阅 配置IAM角色以访问受影响的 S3 对象

API

要以编程方式确定敏感数据样本是否可用于查找,请使用 Ama API zon Macie 的GetSensitiveDataOccurrencesAvailability操作。提交请求时,使用 findingId 参数指定调查发现的唯一标识符。要获取此标识符,您可以使用ListFindings操作。

如果您使用的是 AWS Command Line Interface (AWS CLI),请运行 get-sensitive-data-occurrences-availabil ity 命令并使用finding-id参数指定查找结果的唯一标识符。要获取此标识符,可以运行 list-findings 命令。

如果您的请求成功并且有样本可用于调查发现,则您将收到类似于以下内容的输出:

{
    "code": "AVAILABLE",
    "reasons": []
}

如果您的请求成功并且没有样本可用于调查发现,则该 code 字段的值为 UNAVAILABLEreasons 数组会指定原因。例如:

{
    "code": "UNAVAILABLE",
    "reasons": [
        "UNSUPPORTED_OBJECT_TYPE"
    ]
}

如果调查发现的敏感数据发现结果存在问题,则该调查发现的 classificationDetails.detailedResultsLocation 字段中的信息有助于您调查问题。此字段指定了发现结果在 Amazon S3 中的原始路径。要调查角色的问题,请确保该IAM角色的策略符合 Macie 担任该角色的所有要求。有关详细信息,请参阅 配置IAM角色以访问受影响的 S3 对象

检索和显示调查发现的敏感数据样本

要检索和显示发现的敏感数据样本,你可以使用 Amazon Macie 控制台或 Amazon Macie。API

Console

按照以下步骤使用 Amazon Macie 控制台检索和显示敏感数据样本以用于调查发现。

检索和显示调查发现的敏感数据样本

  1. 打开亚马逊 Macie 主机,网址为。https://console.aws.amazon.com/macie/

  2. 在导航窗格中,选择 调查发现

  3. 调查发现页面上,选择该调查发现。详细信息面板会显示调查发现的信息。

  4. 在详细信息面板中,滚动至敏感数据部分。然后,在显示样本字段中,选择查看

    调查发现详细信息面板中的显示样本字段。该字段包含一个标有 查看的链接。
    注意

    如果 查看样本字段中未显示 查看链接,则敏感数据样本不可用于调查发现。有关为什么会出现这种情况的信息,请参阅前面的主题

    选择 查看后,Macie 会显示一个页面,其中汇总了调查发现的关键细节。详细信息包括 Macie 在受影响的 S3 对象中发现的敏感数据的类别、类型和出现次数。

  5. 在页面的 敏感数据部分,选择 显示样本。然后,Macie 将检索并显示了该调查发现报告的前 1-10 次敏感数据的样本。每个样本都包含敏感数据出现次数的前 1-128 个字符。可能需要几分钟时间才能检索和显示这些样本。

    如果调查发现报告了多种类型的敏感数据,Macie 会检索并显示最多 100 种类型的样本。例如,下图显示了涵盖多个类别和类型的敏感数据(AWS 凭证、美国电话号码和人员姓名)的示例。

    样本表。它列出了九个样本以及每个样本的敏感数据类别和类型。

    样本首先按敏感数据类别进行组织,然后按敏感数据类型进行组织。

API

要以编程方式检索和显示查找结果的敏感数据样本,请使用 Ama API zon Macie 的GetSensitiveDataOccurrences操作。提交请求时,使用 findingId 参数指定调查发现的唯一标识符。要获取此标识符,您可以使用ListFindings操作。

要使用 AWS Command Line Interface (AWS CLI) 检索和显示敏感数据样本,请运行get-sensitive-data-occurrences命令并使用finding-id参数指定查找结果的唯一标识符。例如:

C:\> aws macie2 get-sensitive-data-occurrences --finding-id "1f1c2d74db5d8caa76859ec52example"

位置 1f1c2d74db5d8caa76859ec52example 是发现的唯一标识符。要使用获取此标识符 AWS CLI,可以运行 list-findings 命令。

如果您的请求成功,Macie 将开始处理您的请求,您将收到类似于以下内容的输出:

{
    "status": "PROCESSING"
}

处理您的申请可能需要几分钟时间。几分钟后,再次提交您的申请。

如果 Macie 可以定位、检索和加密敏感数据样本,则 Macie 会在 sensitiveDataOccurrences 地图中返回样本。该映射指定了调查发现报告的 1—100 种敏感数据类型,每种类型指定了 1—10 个样本。每个样本都包含调查发现报告的敏感数据的前 1-128 个字符。

在映射中,每个键都是检测到敏感数据的托管式数据标识符的 ID,或检测到敏感数据的自定义数据标识符的名称和唯一标识符。这些值是指定托管数据标识符或自定义数据标识符的样本。例如,以下响应提供了三个人员姓名样本和两个由托管数据标识符(NAMEAWS_CREDENTIALS)检测到的私有访问 AWS 密钥样本。

{
    "sensitiveDataOccurrences": {
        "NAME": [
            {
                "value": "Akua Mansa"
            },
            {
                "value": "John Doe"
            },
            {
                "value": "Martha Rivera"
            }
        ],
        "AWS_CREDENTIALS": [
            {
                "value": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY"
            },
            {
                "value": "je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY"
            }
        ]
    },
    "status": "SUCCESS"
}

如果您的请求成功但敏感数据样本不可用于调查发现,则您会收到一条 UnprocessableEntityException 消息,说明样本不可用的原因。例如:

{
    "message": "An error occurred (UnprocessableEntityException) when calling the GetSensitiveDataOccurrences operation: OBJECT_UNAVAILABLE"
}

在前面的示例中,Macie 尝试从受影响的 S3 对象中检索样本,但该对象已不再可用。在 Macie 创建调查发现后,对象的内容发生了变化。

如果您的请求成功,但由于其他类型的错误使 Macie 无法检索和显示调查发现的敏感数据样本,则您会收到类似于以下内容的输出:

{
    "error": "Macie can't retrieve the samples. You're not allowed to access the affected S3 object or the object is encrypted with a key that you're not allowed to use.",
    "status": "ERROR"
}

status 字段的值为 ERROR,该 error 字段描述了发生的错误。前述主题 中的信息有助您调查错误。