自動化敏感資料探索如何運作 - Amazon Macie
關鍵元件考量事項

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

自動化敏感資料探索如何運作

當您啟用亞馬遜 Macie 為您AWS 帳戶,馬西創建一個AWS Identity and Access Management(IAM)服務連結角色為您目前的帳戶AWS 區域。此角色的權限原則允許 Macie 呼叫其他角色AWS 服務和監控AWS代表您的資源。透過使用此角色,Macie 會產生並維護該區域中 Amazon 簡單儲存服務 (Amazon S3) 儲存貯體的完整庫存。詳細目錄包含每個 S3 儲存貯體和值區中物件的相關資訊。如果您是組織的 Macie 管理員,則庫存會包含您的成員帳戶所擁有的 S3 儲存貯體的相關資訊。如需詳細資訊,請參閱管理多個 帳戶

如果您的 Macie 帳戶啟用了自動化敏感資料探索,Macie 會每天評估庫存資料,以識別符合自動探索資格的 S3 物件。作為評估的一部分,Macie 還選擇了代表性對象的樣本進行分析。然後,Macie 會從 Amazon S3 擷取並分析每個所選物件的最新版本,檢查每個物件是否存在敏感資料。

隨著分析每天進行,Macie 會更新提供有關 Amazon S3 資料的統計資料、庫存資料和其他資訊。Macie 還會產生它找到的敏感數據和它執行的分析的記錄。產生的資料可讓您深入了解 Macie 在 Amazon S3 資料資產中發現敏感資料的位置,這些資料涵蓋了 Macie 為您帳戶監控和分析的所有 S3 儲存貯體。這些資料可協助您評估敏感資料的安全性和隱私權,判斷在何處執行更深入的調查,以及識別需要進行補救的案例。

如需自動化敏感資料探索如何運作的簡短示範,請觀看下列影片:

若要設定和使用自動化敏感資料探索,您的帳戶必須是獨立的 Macie 帳戶或組織的 Macie 管理員帳戶。

關鍵元件

Amazon Macie 使用各種功能和技術的組合,為您的 Amazon S3 資料執行自動化敏感資料探索。這些功能與 Macie 用來幫助您的功能和技術一起工作監控您的 Amazon S3 資料以取得安全性和存取控制

選取要分析的 S3 物件

Macie 每天都會評估您的 Amazon S3 庫存資料,藉由自動化敏感資料探索來識別符合分析資格的 S3 物件。如果您是組織的 Macie 管理員,這包括您的成員帳戶所擁有的 S3 儲存貯體的庫存資料。

作為評估的一部分,Macie 使用取樣技術來選取要分析的代表性物件。這些技術定義了具有類似中繼資料且可能具有類似內容的物件群組。這些群組是以儲存貯體名稱、字首、儲存區類別、副檔名和上次修改日期等維度為基礎。然後,Macie 會從每個群組中選取一組代表性的範例,從 Amazon S3 擷取每個所選物件的最新版本,並分析每個選取的物件以判斷物件是否包含敏感資料。分析完成後,Macie 會捨棄其物件複本。

採樣策略會優先考慮分散式分析。一般而言,它會使用廣度優先的方法來處理 Amazon S3 資料資產。每天,系統會根據 Amazon S3 資料資產中所有可分類物件的總儲存大小,從盡可能多的儲存貯體中選取一組代表性的 S3 物件。例如,如果 Macie 已經在一個 S3 儲存貯體的物件中分析並發現敏感資料,而且尚未分析另一個儲存貯體中的物件,則後一個儲存貯體的分析優先順序較高。使用這種方法,您可以更快地獲得對 Amazon S3 資料敏感度的廣泛洞察。視資料資產的大小而定,分析結果可能會在為帳戶啟用自動化敏感資料探索後的 48 小時內開始顯示。

取樣策略也會優先分析最近建立或變更的不同類型 S3 物件和物件。不能保證任何單個對象樣本是確定性的。因此,分析各種物件集可以對 S3 儲存貯體可能包含的敏感資料類型和數量產生更好的洞察力。此外,設定新物件或最近變更物件的優先順序,有助於分析適應值區庫存的變更。例如,如果在先前的分析之後建立或變更了物件,則這些物件對於後續分析的優先順序較高。相反地,如果物件先前已經過分析,而且自該分析之後沒有變更,Macie 就不會再次分析該物件。此方法可協助您為個別 S3 儲存貯體建立敏感度基準。然後,隨著帳戶的持續增量分析進展,您對個別時段的敏感度評估可能會以可預測的速率變得越來越深入和詳細。

定義分析範圍

根據預設,Macie 會在評估您的庫存資料並選取要分析的 S3 物件時,包含其監控和分析的所有 S3 儲存貯體。如果您是組織的 Macie 管理員,這包括您的成員帳戶所擁有的值區。

您可以從分析中排除特定的 S3 儲存貯體。例如,您可能更喜歡排除通常存儲的存儲桶AWS記錄資料,例如AWS CloudTrail事件記錄檔。若要排除值區,您可以變更帳戶或儲存貯體的自動化敏感資料探索設定。如果您這樣做,Macie 會在下一個每日評估和分析週期開始時開始排除值區。您可以從分析中排除多達 1,000 個值區。

如果排除值區,之後可以再次包含該值區。若要這麼做,請再次變更帳戶或儲存貯體的自動化敏感資料探索設定。然後,Macie 在下一個每日評估和分析週期開始時開始包括存儲桶。

判斷要偵測和報告哪些類型的敏感資料

根據預設,Macie 會使用我們建議用於自動化敏感資料探索的一組受管資料識別碼來檢查 S3 物件。如需這些受管資料識別碼的清單,請參閱自動化敏感資料探索的預設設定

您可以調整分析以專注於特定類型的敏感資料。若要這麼做,請使用下列任一方式變更帳戶的自動敏感資料探索設定:

  • 新增或移除特定的受管理資料識別碼 — A受管資料識別碼是一組內置標準和技術,旨在檢測特定類型的敏感數據,例如信用卡號碼,AWS特定國家或地區的秘密存取金鑰或護照號碼。如需詳細資訊,請參閱使用受管資料識別符

  • 新增或隨後移除自訂資料識別碼 — A自訂資料識別碼是您定義用來偵測機密資料的一組準則。使用自訂資料識別碼,您可以偵測反映組織特定案例、智慧財產或專屬資料的敏感資料,例如員工 ID、客戶帳號或內部資料分類。如需詳細資訊,請參閱建置自訂資料識別符

  • 新增或隨後移除允許清單 — 在 Macie 中,允許清單會指定您希望 Macie 在 S3 物件中忽略的文字或文字模式,通常是特定案例或環境的敏感資料例外狀況,例如組織的公開名稱或電話號碼,或組織用於測試的範例資料。如需詳細資訊,請參閱使用允許清單定義敏感資料例外

如果您變更設定,Macie 會在下一個每日分析週期開始時套用您的變更。

您也可以調整儲存貯體層級設定,以決定是否要在值區敏感度的評估中包含特定類型的機密資料。如要瞭解如何作業,請參閱 管理個別 S3 儲存貯體的自動化敏感資料探索

計算敏感度分數

根據預設,Macie 會針對您的帳戶監控和分析的每個 S3 儲存貯體自動計算敏感度分數。如果您是組織的 Macie 管理員,這包括您的成員帳戶所擁有的值區。

在馬西, 一敏感度分數是兩個主要維度交集的量化測量方法:Macie 在值區中找到的敏感資料量,以及 Macie 在值區中分析的資料量。值區的靈敏度分數會決定 Macie 指派給值區的敏感度標籤。一個敏感性標籤是桶敏感度分數的定性表示法-例如,敏感,不敏感,以及尚未分析。如需有關 Macie 定義的敏感度分數和標籤範圍的詳細資訊,請參閱S3 儲存貯體的靈敏度評分

重要

S3 儲存貯體的敏感度分數和標籤並不暗示或以其他方式表示儲存貯體或儲存貯體的物件對您的組織可能具有的重要性或重要性。相反,它們旨在提供可幫助您識別和監控潛在安全風險的參考點。

當您一開始為帳戶啟用自動化敏感資料探索時,Macie 會自動指派的敏感度分數50尚未分析標籤到每個 S3 存儲桶。例外情況是空值區。一個空, 水桶是一個不包含任何對象的存儲桶,或者所有存儲桶的對象都包含零(0)個字節的數據。如果存儲桶是這種情況,Macie 會分配一個分數1到存儲桶,它分配不敏感標籤到桶。

隨著帳戶的自動化探索進行,Macie 會更新敏感度分數和標籤,以反映分析結果。例如:

  • 如果 Macie 在物件中找不到敏感資料,Macie 會降低值區的敏感度分數,並視需要更新值區的敏感度標籤。

  • 如果 Macie 在物件中找到敏感資料,Macie 會增加值區的敏感度分數,並視需要更新值區的敏感度標籤。

  • 如果 Macie 在隨後變更的物件中找到敏感資料,Macie 會從值區的敏感度評分中移除物件的敏感性資料偵測,並視需要更新值區的敏感性標籤。

  • 如果 Macie 在隨後刪除的物件中找到敏感資料,Macie 會從值區的敏感度分數中移除物件的敏感性資料偵測,並視需要更新值區的敏感性標籤。

您可以在儲存貯體分數中包含或排除特定類型的敏感資料,以調整個別 S3 儲存貯體的敏感度評分設定。您也可以手動指派最高分數,覆寫值區的計算得分 (100)到桶。如果您指派了最高分數,則值區會標示為敏感。如需詳細資訊,請參閱管理個別 S3 儲存貯體的自動化探索

產生中繼資料、統計資料和結果

如果您的帳戶啟用了自動化敏感資料探索功能,Macie 會自動產生並維護其他有關 S3 儲存貯體的庫存資料、統計資料和其他資訊,以監控和分析您的帳戶。如果您是組織的 Macie 管理員,這包括您的成員帳戶所擁有的值區。

其他資訊會擷取 Macie 迄今為止為您的帳戶執行的自動化敏感資料探索活動的結果。它還補充了 Macie 提供有關 Amazon S3 資料的其他資訊,例如個別儲存貯體的公用存取和共用存取設定。其他資訊包括:

  • 彙總的資料敏感性統計資料,例如 Macie 在其中找到敏感資料的儲存貯體總數,以及可公開存取的值區數量。

  • 以互動式視覺化方式呈現 Amazon S3 資料資產的資料敏感度。

  • 指出目前分析狀態的值區層級詳細資訊,例如 Macie 在值區中分析過的物件清單、Macie 在值區中找到的敏感資料類型,以及 Macie 找到的每種敏感資料類型。

如需詳細資訊,請參閱檢閱自動化的敏感資料探索統計資料和

其他資訊還包括統計資料和詳細資料,可協助您評估和監控 Amazon S3 資料的涵蓋範圍。您可以檢查儲存貯體庫存中整體資料資產和個別 S3 儲存貯體的分析狀態。您也可以找出阻止 Macie 分析特定值區中物件的問題。如果修復問題,您可以在後續的分析週期中增加 Amazon S3 資料的涵蓋範圍。如需詳細資訊,請參閱評估自動化敏感資料探索範圍

Macie 會自動重新計算並更新此資訊,同時為您的帳戶執行自動化的敏感資料探索。例如,如果 Macie 在隨後變更或刪除的物件中找到敏感性資料,Macie 會更新適用值區的中繼資料:從分析物件清單中移除該物件;移除 Macie 在物件中找到的敏感性資料;如果分數是自動計算的,則重新計算敏感度分數;並視需要更新敏感度標籤以反映新評分。

除了中繼資料和統計資料之外,Macie 還會產生所找到的敏感資料及其執行的分析記錄:敏感資料發現項目、報告 Macie 在個別 S3 物件中找到的敏感資料,以及敏感資料探索結果,記錄有關個別 S3 物件分析的詳細資料。

考量事項

當您使用 Amazon Macie 為 Amazon S3 資料執行自動化敏感資料探索時,請記住以下事項:

  • 您的自動探索設定僅適用於目前的AWS 區域。因此,產生的分析和資料只會套用至目前區域中的 S3 儲存貯體和物件。若要在其他區域中執行自動化探索並存取產生的資料,請在每個額外的區域中啟用和設定自動化探索。

  • 如果您是組織的 Macie 管理員:

    • 只有當目前區域中的帳戶啟用 Macie 時,您才能為成員帳戶執行自動探索。會員帳戶無法為自己的帳戶執行自動探索。

    • 成員帳戶無法存取適用於其 S3 儲存貯體的自動探索設定。只有 Macie 管理員可以存取這些設定。

    • 成員帳戶無法存取 Macie 直接為其 S3 儲存貯體提供的敏感資料探索統計資料和其他結果。例如,成員帳戶無法使用 Amazon Macie 主控台檢閱其 S3 儲存貯體的敏感度分數。只有 Macie 管理員可以存取此資料。

  • 如果 S3 儲存貯體的許可設定阻止 Macie 擷取或存取儲存貯體或儲存貯體物件的相關資訊,Macie 就無法執行儲存貯體的自動探索。Macie 只能提供值區相關資訊的子集,例如AWS 帳戶擁有值區、值區的名稱,以及 Macie 最近擷取值區的值區和物件中繼資料,做為每日刷新週期。在您的值區庫存中,這些值區的靈敏度分數為50和他們的敏感性標籤是尚未分析

    若要快速識別出現這種情況的 S3 儲存貯體,請參閱您的自動探索涵蓋範圍資料。如需詳細資訊,請參閱評估自動化敏感資料探索範圍。若要調查特定儲存貯體的問題,請檢閱 Amazon S3 中儲存貯體的政策和許可設定。例如,值區可能具有限制性的值區政策。如需詳細資訊,請參閱允許 Macie 存取 S3 儲存貯體與物件

  • S3 物件必須符合選取和分析的資格可分類。一個可分類的物件使用支援的 Amazon S3 儲存類別,且其副檔名為支援的檔案或儲存格式。如需詳細資訊,請參閱支援的儲存類別和格式

  • 如果 S3 物件已加密,Macie 只有在使用 Macie 可存取且允許使用的金鑰加密時,才能對其進行分析。如需詳細資訊,請參閱分析加密的 S3 物件。若要識別加密設定阻止 Macie 分析值區中一或多個物件的案例,請參閱您的自動探索涵蓋範圍資料。如需詳細資訊,請參閱 評估自動化敏感資料探索範圍