什么是 Amazon Macie？

Amazon Macie 是一项数据安全服务，该服务使用机器学习和模式匹配来发现敏感数据，提供对数据安全风险的可见性，并实现针对这些风险的自动防护。

为了帮助您管理组织亚马逊简单存储服务 (Amazon S3) Simple Storage Service 数据资产的安全状况，Macie 为您提供了 S3 通用存储桶的清单，并自动评估和监控存储桶的安全和访问控制。如果 Macie 检测到潜在的数据安全性或隐私问题（例如存储桶变为可供公共访问），Macie 会生成调查发现，供您查看并在必要时进行补救。

Macie 还能自动发现和报告敏感数据，以便您更好地了解您的组织在 Amazon S3 中存储的数据。要检测敏感数据，您可以使用 Macie 提供的内置标准和技术、您定义的自定义标准或两者的组合。如果 Macie 在 S3 对象中检测到敏感数据，Macie 会生成一个调查结果，通知您它发现的敏感数据。

除了调查结果外，Macie 还提供统计数据和信息，让您可以深入了解您的 Amazon S3 数据的安全状况以及敏感数据可能在您的数据资产中的位置。统计数据和信息可以指导您做出决策，对特定的 S3 存储桶和对象进行更深入的调查。您可以使用亚马逊 Macie 控制台或 Amazon Macie API 查看和分析调查结果、统计数据和其他信息。您还可以利用 Macie 与 Amazon EventBridge 的集成，通过使用其他服务、应用程序和系统来监控、处理和补救调查结果。 AWS Security Hub

Amazon Macie 的功能

以下是 Amazon Macie 可以帮助您发现、监控和保护您在 Amazon S3 中的敏感数据的一些主要方法。

自动化敏感数据发现

借助 Macie，您可以通过两种方式自动发现和报告敏感数据：配置 Macie 以执行敏感数据自动发现，以及创建和运行敏感数据发现作业。如果 Macie 在 S3 对象中检测到敏感数据，它会为您创建敏感数据调查发现。该发现提供了Macie检测到的敏感数据的详细报告。

通过自动敏感数据发现，可以广泛了解敏感数据可能存放在您的 Amazon S3 数据资产中的位置。使用此选项，Macie 可以持续评测您的 S3 存储桶清单，并使用采样技术从您的存储桶中识别和选择具有代表性的 S3 对象。然后，Macie 检索并分析所选对象，检查它们是否有敏感数据。

敏感数据发现作业可提供更深入、更有针对性的分析。使用此选项，您可以定义分析的广度和深度，即要分析的 S3 存储桶、采样深度以及源自 S3 对象属性的自定义标准。您也可以将作业配置为仅运行一次以进行按需分析和评测，或者定期运行以进行定期分析、评测和监控。

这两个选项都可以帮助您构建和维护组织在 Amazon S3 中存储的数据以及这些数据的任何安全或合规风险的全面视图。

发现各种敏感数据类型

要使用 Macie 发现敏感数据，您可以使用内置标准和技术（例如机器学习和模式匹配）来分析 S3 存储桶中的对象。这些标准和技术被称为托管数据标识符，可以检测到许多国家和地区的大量且不断增长的敏感数据类型，包括多种类型的个人身份信息（PII）、财务信息和凭证数据。

您也可以使用自定义数据标识符。自定义数据标识符是您定义的一组检测敏感数据的标准，即定义要匹配的文本模式的正则表达式 (regex) 和可选的字符序列，以及优化结果的邻近规则。使用此类标识符，您可以检测反映特定场景、知识产权或专有数据的敏感数据。您可以补充 Macie 提供的托管数据标识符。

要微调分析，也可以使用允许列表。允许列表定义您希望 Macie 在 S3 对象中忽略的特定文本和文本模式。这些通常是针对您的特定场景或环境的敏感数据例外情况，例如，您组织的公共代表姓名、组织的公共电话号码或您的组织用于测试的示例数据。

评测和监控数据以确保安全和访问控制

启用 Macie 后，Macie 会自动生成并开始维护您的 S3 通用存储桶的完整清单。Macie 还开始评测和监控这些存储桶以确保安全性和进行访问控制。如果 Macie 检测到存储桶的安全性或隐私存在潜在问题，它会为您创建策略调查发现。

除了具体的调查发现外，控制面板还为您提供 Amazon S3 数据的汇总统计数据的快照。这包括关键指标的统计信息，例如可公开访问或与其他 AWS 账户人共享的存储桶数量。您可以深入研究每个统计数据以查看支持数据。

Macie 还提供清单中各个 S3 存储桶的详细信息和统计数据。这些数据包括存储桶的公共访问和加密设置的明细，以及 Macie 可以分析以检测存储桶中敏感数据的对象的大小和数量。您可以浏览库存，也可以按特定字段对库存进行排序和筛选。

审查和分析调查发现

在 Macie 中，调查结果是 Macie 在 S3 对象中检测到的敏感数据或 S3 通用存储桶的安全或隐私方面的潜在问题的详细报告。每项发现都提供了严重性评级、有关受影响资源的信息以及其他详细信息，例如 Macie 何时以及如何检测到数据或问题。

要查看、分析和管理调查发现，您可以使用 Amazon Macie 控制台上的调查发现页面。这些页面列出了您的调查发现，并提供了个别调查发现的详细信息。它们还提供了多个选项，用于对调查发现进行分组、筛选、排序和屏蔽。您还可以使用 Amazon Macie API 查询、检索和屏蔽调查发现。如果您使用 API，则可以将数据传递给其他应用程序、服务或系统，以进行更深入的分析、长期存储或报告。

使用其他服务和系统监控和处理调查发现

为了支持与其他服务和系统的集成，Macie 将调查结果 EventBridge作为查找事件发布给 Amazon。 EventBridge 是一种无服务器事件总线服务，可以将调查结果数据路由到目标，例如 AWS Lambda 函数和亚马逊简单通知服务 (Amazon SNS) Simple Notification Service 主题。借 EventBridge助，您可以近乎实时地监控和处理调查结果，这是现有安全与合规工作流程的一部分。

您可以将 Macie 配置为也将调查发现发布到 AWS Security Hub。Security Hub 是一项服务，可全面了解您在整个 AWS 环境中的安全状况，并帮助您根据安全行业标准和最佳实践检查您的环境。借助 Security Hub，您可以更轻松地监控和处理调查发现，并将其作为对 AWS环境中组织安全状况的更广泛分析的一部分。您还可以汇总来自多个区域的调查结果 AWS 区域，然后监控和处理来自单个区域的聚合结果数据。

集中管理多个 Macie 账户

如果您的 AWS 环境有多个帐户，则可以集中管理环境中账户的 Macie。你可以通过两种方式做到这一点：将 Macie 与 Macie 集成， AWS Organizations 或者在 Macie 中发送和接受会员邀请。

在多账户配置中，指定的 Macie 管理员可以执行某些任务，也可以访问属于同一组织的账户的某些 Macie 设置、数据和资源。任务包括查看有关成员账户拥有的 S3 存储桶的信息、查看这些存储桶的策略调查发现以及检查存储桶中是否有敏感数据。如果账户是通过关联的 AWS Organizations，Macie 管理员还可以为组织中的成员账户启用 Macie。

以编程方式开发和管理资源

除了 Amazon Macie 主机外，您还可以使用 Amazon Macie API 与 Macie 互动。Amazon Macie API 让您可以通过编程方式全面访问您的 Macie 账户设置、数据和资源。

要以编程方式与 Macie 进行交互，您可以直接向 Macie 发送 HTTPS 请求，也可以使用当前版本的 AWS 命令行工具或 SDK。 AWS AWS 提供的工具和软件开发工具包由适用于各种语言和平台（例如 Java、Go、Python PowerShell、C++ 和.NET）的库和示例代码组成。

访问 Amazon Macie

亚马逊 Macie 在大多数版本中都可用。 AWS 区域有关当前已推出 Macie 的所有区域的列表，请参阅 AWS 一般参考 中的 Amazon Macie 端点和配额。有关管理 AWS 区域 您的账户的信息 AWS 账户，请参阅《AWS Account Management 参考指南》中的指定 AWS 区域 您的账户可以使用。

在每个区域中，您可以通过以下任意方式使用 Macie。

AWS Management Console

AWS Management Console 是一个基于浏览器的界面，可用于创建和管理 AWS 资源。作为该主机的一部分，Amazon Macie 控制台提供对您的 Macie 账户、数据和资源的访问权限。您可以使用 Macie 控制台执行任何 Macie 任务，包括查看有关 S3 存储桶的统计数据和其他信息、创建和运行敏感数据发现任务、查看和分析调查发现等。

AWS 命令行工具

使用 AWS 命令行工具，你可以在系统的命令行中发出命令来执行 Macie 任务和 AWS 任务。与控制台相比，使用命令行更快、更方便。如果要构建执行任务的脚本，命令行工具也会十分有用。

AWS 提供了两组命令行工具： AWS Command Line Interface (AWS CLI) 和 AWS Tools for PowerShell。有关安装和使用的信息 AWS CLI，请参阅《AWS Command Line Interface 用户指南》。有关安装和使用的 “工具” 的信息 PowerShell，请参阅《AWS Tools for PowerShell 用户指南》。

AWS 开发工具包

AWS 提供由各种编程语言和平台（例如 Java、Go、Python、C++ 和.NET）的库和示例代码组成的软件开发工具包。这些软件开发工具包提供了对 Macie 和其他软件的便捷编程访问。 AWS 服务它们可以执行多种任务，例如以加密方式对请求进行签名、管理错误以及自动重试请求等。有关安装和使用 AWS 软件开发工具包的信息，请参阅构建工具。 AWS

Amazon Macie REST API

Amazon Macie REST API 允许您以编程方式全面访问您的 Macie 账户、数据和资源。使用此 API，您可以直接向 Macie 发送 HTTPS 请求。但是，与 AWS 命令行工具和软件开发工具包不同，使用此 API 需要您的应用程序处理低级细节，例如生成哈希值来签署请求。有关此 API 的信息，请参阅 Amazon Macie API 参考。

Amazon Macie 的定价

与其他 AWS 产品一样，使用 Amazon Macie 没有合同或最低承诺。

Macie 的定价基于多个维度：评测和监控 S3 存储桶以实现安全性和访问控制，监控 S3 对象以自动敏感数据发现，以及分析 S3 对象以发现和报告对象中的敏感数据。有关更多信息，请参阅 Amazon Macie 定价。

为了帮助您了解和预测使用 Macie 的费用，Macie 为您的账户提供了估计的使用费用。您可以在 Amazon Macie 主机上查看这些估算值，然后使用 Amazon Macie API 进行访问。根据您使用服务的方式，将其他 AWS 服务 功能与某些 Macie 功能结合使用可能会产生额外费用，例如从 Amazon S3 检索存储桶数据以及使用客户管理解密对象 AWS KMS keys 进行分析。

首次启用 Macie 时，系统会自动注册 Mac AWS 账户 ie 的 30 天免费试用版。这包括作为 AWS Organizations中组织的一部分启用的个人账户。在免费试用期间，在适用版本中使用 Macie AWS 区域 来评估和监控 S3 存储桶的安全性和访问控制不收取任何费用。根据您的账户设置，免费试用还可能包括对您的 Amazon S3 数据执行自动敏感数据发现。免费试用不包括运行敏感数据发现作业来发现和报告 S3 对象中的敏感数据。

为了帮助您了解和预测免费试用期结束后使用 Macie 的费用，Macie 会根据您在试用期间使用 Macie 的情况向您提供估算的使用成本。您的使用数据还会显示免费试用期结束之前的剩余时间。您可以在 Amazon Macie 主机上查看这些数据，然后使用 Amazon Macie API 进行访问。

相关服务

为了进一步保护您的数据、工作负载和应用程序 AWS，请考虑将以下 AWS 服务 各项与 Amazon Macie 结合使用。

AWS Security Hub

AWS Security Hub 为您提供 AWS 资源安全状态的全面视图，并帮助您根据安全行业标准和最佳实践检查您的 AWS 环境。其部分原因是使用、汇总、整理来自多个 AWS 服务 （包括 Macie）和支持的 AWS 合作伙伴网络 (APN) 产品的安全调查结果，并对其进行优先排序。Security Hub 可帮助您分析安全趋势，确定 AWS 环境中优先级最高的安全问题。

要了解有关 Security Hub 的更多信息，请参阅 AWS Security Hub 用户指南。要了解如何同时使用 Macie 和 Security Hub，请参阅 Amazon Macie 与 AWS Security Hub 集成。

Amazon GuardDuty

Amazon GuardDuty 是一项安全监控服务，用于分析和处理某些类型的 AWS 日志，例如 Amazon S3 AWS CloudTrail 的数据事件日志 CloudTrail 和管理事件日志。它使用威胁情报源（例如恶意 IP 地址和域名列表）以及机器学习来识别 AWS 环境中意外且可能未经授权的恶意活动。

要了解更多信息 GuardDuty，请参阅 Amazon GuardDuty 用户指南。

要了解其他 AWS 安全服务，请参阅上的 “安全、身份和合规性” AWS。