使用 Amazon Macie 的调查发现检索敏感数据样本

要验证 Amazon Macie 在调查发现中报告的敏感数据的性质，您可以配置并使用 Amazon Macie 来检索和显示在单独的调查发现中报告的敏感数据样本。这包括 Macie 使用托管数据标识符检测到的敏感数据，以及符合自定义数据标识符标准的数据。这些样本有助您定制对受影响的 Amazon Simple Storage Service（Amazon S3）对象和存储桶的调查。

检索和显示调查发现的敏感数据样本时，Macie 会执行以下常规任务：

1. 验证调查发现是否指定了敏感数据单次出现的位置，以及相应的 敏感数据发现位置。

2. 评估相应的敏感数据发现结果，检查受影响 S3 对象的元数据的有效性，以及受影响对象中敏感数据的出现位置数据的有效性。

3. 通过使用敏感数据发现结果的数据，可以定位调查发现报告的前 1-10 次出现的敏感数据，并从受影响的 S3 对象中提取每次出现的前 1-128 个字符。如果调查发现报告多种类型敏感数据，Macie 报告最多 100 种类型。

4. 它使用您指定的 AWS Key Management Service （AWS KMS）密钥加密已提取的数据。

5. 将加密的数据临时存储在缓存中，并显示数据以供您查看。传输中的数据和静态中的数据均可加密。

6. 解压缩和加密后不久，会永久删除缓存数据，临时需要额外保留以解决操作问题的情况除外。

如果您选择重新检索和显示某个调查发现的敏感数据样本，Macie 会重复这些任务来查找、提取、加密、存储和最终删除样本。

Macie 不会使用账户的 服务相关角色来执行这些任务。而应使用您的 AWS Identity and Access Management（IAM）身份或允许 Macie 代入您账户中的 IAM 角色。如果您或该角色有权访问必要的资源和数据，以及执行必要的操作，则可以检索和显示调查发现的敏感数据样本。所有必需的操作都 已登录AWS CloudTrail。

重要

我们建议您使用自定义 IAM 策略 限制对此功能的访问。作为额外的访问控制，我们建议您创建专用 AWS KMS key，以加密检索到的敏感数据样本，并限制该密钥的使用，使密钥仅限于必须允许其检索和显示敏感数据样本的主体。

有关您想要控制访问此功能的策略建议和样本，请参见AWS 安全博客中的如何使用 Amazon Macie 预览 S3 存储桶中的敏感数据。

此部分中的主题介绍了：如何配置和使用 Macie 检索和显示敏感数据样本以获取调查发现。您可在 Macie 当前可用的所有 AWS 区域中执行该任务，亚太地区（大阪）和以色列（特拉维夫）地区除外。

主题

• 配置选项和要求
• 配置 Macie 以检索和显示样本
• 检索和显示样本