使用 Macie 發現敏感數據

使用 Amazon Macie，您可以自動探索、記錄和報告 Amazon Simple Storage Service (Amazon S3) 資料資產中的敏感資料。您可以透過兩種方式執行此操作：將 Macie 設定為執行自動化敏感資料探索，以及建立和執行敏感資料探索工作。

自動化敏感資料探索

自動化敏感資料探索可讓您廣泛掌握敏感資料在 Amazon S3 資料資產中的位置。使用此選項，Macie 會每天評估您的 S3 儲存貯體庫存，並使用取樣技術從儲存貯體中識別和選取具代表性的 S3 物件。然後，Macie 會擷取並分析選取的物件，檢查它們是否有敏感資料。如需詳細資訊，請參閱執行自動化敏感資料探索。

敏感性資料探索工作

敏感資料探索工作提供更深入、更具針對性的分析。使用此選項，您可以定義分析的廣度和深度 — 您選取的特定 S3 儲存貯體或符合特定準則的儲存貯體。您也可以選擇選項 (例如從 S3 物件屬性衍生的自訂準則) 來縮小分析範圍。此外，您可以將工作設定為僅執行一次以進行隨選分析和評估，或定期分析、評估和監視定期執行一次。如需詳細資訊，請參閱執行敏感資料探索任務。

透過自動化敏感資料探索或敏感資料探索任務，您可以使用 Macie 提供的受管資料識別碼、您定義的自訂資料識別碼或兩者的組合來分析 S3 物件。您也可以使用允許清單來微調分析。

受管資料識別碼

受管理資料識別碼是內建的準則和技術，用來偵測特定類型的敏感資料，例如信用卡號碼、 AWS 特定國家或地區的秘密訪問密鑰或護照號碼。他們可以偵測許多國家和地區不斷增加的敏感資料類型清單，包括多種類型的憑證資料、財務資訊和個人識別資訊 (PII)。如需詳細資訊，請參閱使用受管資料識別符。

自訂資料識別碼

自訂資料識別碼定義偵測敏感資料的自訂準則。每個自訂資料識別碼都會指定一個規則運算式 (regex)，該運算式會定義要比對的文字模式，以及可選擇性的字元序列和細化結果的鄰近規則。您可以使用它們來偵測反映您特定案例、智慧財產或專屬資料的敏感資料，例如員工IDs、客戶帳戶號碼或內部資料分類。如需詳細資訊，請參閱建置自訂資料識別符。

允許清單

在 Macie 中，允許清單指定 S3 物件中要忽略的文字和文字模式，通常是針對特定案例或環境的敏感資料例外狀況，例如組織的公用名稱或電話號碼，或組織用於測試的範例資料。如果 Macie 在允許清單中找到符合項目或模式的文字，Macie 就不會報告該文字出現，即使該文字符合受管理或自訂資料識別碼的準則。如需詳細資訊，請參閱使用允許清單定義敏感資料例外。

當 Macie 分析 S3 物件時，Macie 會從 Amazon S3 擷取物件的最新版本，然後檢查物件的內容是否有敏感資料。如果符合以下條件，Macie 可以分析物件：

• 物件使用支援的檔案或儲存格式，並使用支援的儲存類別存放在 S3 一般用途儲存貯體中。如需詳細資訊，請參閱支援的儲存類別和格式。

• 如果物件已加密，則會使用 Macie 可存取且允許使用的金鑰加密物件。如需詳細資訊，請參閱分析加密的 S3 物件。

• 如果物件儲存在具有限制性值區政策的值區中，則此政策允許 Macie 存取值區中的物件。如需詳細資訊，請參閱允許 Macie 存取 S3 儲存貯體和物件。

為了協助您符合資料安全性和隱私權要求，Macie 會產生所找到的敏感資料及其執行的分析記錄，包括敏感資料發現和敏感資料探索結果。敏感資料發現是 Macie 在 S3 物件中找到的敏感資料的詳細報告。敏感資料探索結果是記錄物件分析之相關詳細資料的報告。每種類型的記錄都遵循標準化的結構描述，可協助您視需要使用其他應用程式、服務和系統來查詢、監視和處理這些記錄。

提示

雖然 Macie 已針對 Amazon S3 進行了最佳化，但您可以使用它來探索目前存放在其他地方的資源中的敏感資料。您可以暫時或永久地將資料移至 Amazon S3 來執行此操作。例如，將 Amazon Relational Database Service 服務或 Amazon Aurora 快照以 Apache 實木複合格式匯出到 Amazon S3。或將亞馬遜動態資料表匯出至 Amazon S3。然後，您可以建立任務來分析 Amazon S3 中的資料。

主題

• 使用受管資料識別符
• 建置自訂資料識別符
• 使用允許清單定義敏感資料例外
• 執行自動化敏感資料探索
• 執行敏感資料探索任務
• 分析加密的 S3 物件
• 儲存及保留敏感資料探索結果
• 支援的儲存類別和格式