自動化敏感資料探索如何運作

當您為您啟用 Amazon Macie 時 AWS 帳戶，Macie 會在當前帳戶中為您的帳戶創建一個 AWS Identity and Access Management （IAM）服務鏈接角色。 AWS 區域此角色的權限原則允許 Macie 代表您呼叫其他 AWS 資源 AWS 服務 並監視資源。透過使用此角色，Macie 會產生並維護區域中 Amazon Simple Storage Service (Amazon S3) 一般用途儲存貯體的完整庫存。詳細目錄包含儲存貯體中每個 S3 儲存貯體和物件的相關資訊。如果您是某個組織的 Macie 管理員，則您的庫存管理員會包含您會員帳戶所擁有的值區的相關資訊。如需詳細資訊，請參閱 管理多個 帳戶。

如果您啟用自動化敏感資料探索，Macie 會每天評估您的庫存資料，以識別符合自動探索資格的 S3 物件。作為評估的一部分，Macie 還選擇了代表性對象的樣本進行分析。然後，Macie 會擷取並分析每個所選物件的最新版本，並檢查其中是否有敏感資料。

隨著分析每天進行，Macie 會更新提供有關 Amazon S3 資料的統計資料、庫存資料和其他資訊。Macie 還會產生它找到的敏感數據和它執行的分析的記錄。產生的資料可讓您深入了解 Macie 在 Amazon S3 資料資產中發現敏感資料的位置，這些資料可橫跨 Macie 為您帳戶監控和分析的所有 S3 一般用途儲存貯體。這些資料可協助您評估 Amazon S3 資料的安全性和隱私權、判斷在何處執行更深入的調查，以及識別需要修復的案例。

如需自動化敏感資料探索如何運作的簡短示範，請觀看下列影片：

若要設定和管理自動化敏感資料探索，您必須是組織的 Macie 管理員，或擁有獨立的 Macie 帳戶。如果您的帳戶是組織的一部分，則只有組織的 Macie 管理員可以啟用或停用組織中帳戶的自動探索。此外，只有 Macie 管理員可以設定和管理帳戶的自動探索設定。這包括定義 Macie 執行之分析的範圍和性質的設定。如果您在組織中擁有成員帳戶，請聯絡您的 Macie 管理員，以瞭解您的帳戶和組織的設定。

關鍵元件

Amazon Macie 使用功能和技術的組合來執行自動化的敏感資料探索。這些功能與 Macie 提供的功能搭配使用，協助您監控 Amazon S3 資料的安全性和存取控制。

選取要分析的 S3 物件

Macie 每天都會評估您的 Amazon S3 庫存資料，藉由自動化敏感資料探索來識別符合分析資格的 S3 物件。如果您是組織的 Macie 管理員，則評估預設會包含您的成員帳戶所擁有的 S3 儲存貯體的資料。

作為評估的一部分，Macie 使用取樣技術來選取要分析的具有代表性的 S3 物件。這些技術定義了具有類似中繼資料且可能具有類似內容的物件群組。這些群組是以儲存貯體名稱、字首、儲存區類別、副檔名和上次修改日期等維度為基礎。然後，Macie 會從每個群組中選取一組代表性的範例，從 Amazon S3 擷取每個所選物件的最新版本，並分析每個選取的物件以判斷物件是否包含敏感資料。分析完成後，Macie 會捨棄其物件複本。

採樣策略會優先考慮分散式分析。一般而言，它會使用廣度優先的方法來處理 Amazon S3 資料資產。每天，系統會根據 Amazon S3 資料資產中所有可分類物件的總儲存大小，從盡可能多的一般用途儲存貯體中選取一組代表性的 S3 物件。例如，如果 Macie 已經分析並發現某個值區中物件中的敏感資料，但尚未分析另一個值區中的物件，則後一個值區的分析優先順序較高。使用這種方法，您可以更快地獲得對 Amazon S3 資料敏感度的廣泛洞察。根據資料資產的大小，分析結果可能會在 48 小時內開始顯示。

取樣策略也會優先分析最近建立或變更的不同類型 S3 物件和物件。不能保證任何單個對象樣本是確定性的。因此，分析各種物件集可以對 S3 儲存貯體可能包含的敏感資料類型和數量產生更好的洞察力。此外，設定新物件或最近變更物件的優先順序，有助於分析適應值區庫存的變更。例如，如果在先前的分析之後建立或變更了物件，則這些物件對於後續分析的優先順序較高。相反地，如果物件先前已經過分析，而且自該分析之後沒有變更，Macie 就不會再次分析該物件。此方法可協助您為個別 S3 儲存貯體建立敏感度基準。然後，隨著帳戶的持續增量分析進展，您對單個時段的敏感性評估可能會以可預測的速率變得越來越深入和詳細。

定義分析範圍

根據預設，Macie 會在評估您的庫存資料並選取要分析的 S3 物件時，包含所有 S3 一般用途儲存貯體，這些儲存貯體會為您的帳戶監控和分析。如果您是組織的 Macie 管理員，這包括您的成員帳戶所擁有的值區。

您可以透過排除特定的 S3 儲存貯體來調整分析範圍。例如，您可能希望排除通常存儲日誌 AWS 記錄數據的存儲桶，例如 AWS CloudTrail 事件日誌。若要排除值區，您可以變更帳戶或儲存貯體的自動化敏感資料探索設定。如果您這樣做，Macie 會在下一個每日評估和分析週期開始時開始排除值區。您可以從分析中排除多達 1,000 個值區。如果您排除 S3 儲存貯體，之後可以再次包含它。若要這麼做，請再次變更帳戶或值區的設定。然後，Macie 在下一個每日評估和分析週期開始時開始包括存儲桶。

如果您是組織的 Macie 系統管理員，也可以啟用或停用組織中個別帳戶的自動敏感資料探索功能。如果您停用帳戶的自動探索，Macie 會排除該帳戶擁有的所有 S3 儲存貯體。如果您之後重新啟用帳戶的自動探索，Macie 會再次開始包含值區。

判斷要偵測和報告的敏感資料類型

根據預設，Macie 會使用我們建議用於自動化敏感資料探索的一組受管資料識別碼來檢查 S3 物件。如需這些受管資料識別碼的清單，請參閱自動化敏感資料探索的預設設定。

您可以調整分析以專注於特定類型的敏感資料。若要這麼做，請使用下列任一方式變更自動化敏感資料探索設定：

• 新增或移除受管資料識別碼 — 受管資料識別碼是一組內建準則和技術，用來偵測特定類型的敏感資料，例如特定國家或地區的信用卡號碼、 AWS 秘密存取金鑰或護照號碼。如需詳細資訊，請參閱 使用受管資料識別符。

• 新增或移除自訂資料識別碼 — 自訂資料識別碼是您定義用來偵測敏感資料的一組準則。使用自訂資料識別碼，您可以偵測反映組織特定案例、智慧財產或專屬資料的敏感資料，例如員工IDs、客戶帳號或內部資料分類。如需詳細資訊，請參閱 建置自訂資料識別符。

• 新增或移除允許清單 — 在 Macie 中，允許清單會指定您希望 Macie 在 S3 物件中忽略的文字或文字模式。這些通常是您特定案例或環境的敏感資料例外狀況，例如組織的公用名稱或電話號碼，或是組織用於測試的範例資料。如需詳細資訊，請參閱 使用允許清單定義敏感資料例外。

如果您變更設定，Macie 會在下一個每日分析週期開始時套用您的變更。如果您是組織的 Macie 管理員，當 Macie 分析組織中其他帳戶的 S3 物件時，會使用您帳戶的設定。

您也可以設定值區層級設定，以決定是否要在值區敏感度評估中包含特定類型的機密資料。如要瞭解如何作業，請參閱管理個別 S3 儲存貯體的自動化敏感資料探索。

計算敏感度分數

根據預設，Macie 會針對您的帳戶監控和分析的每個 S3 一般用途儲存貯體自動計算敏感度分數。如果您是組織的 Macie 管理員，這包括您的成員帳戶所擁有的值區。

在 Macie 中，敏感度分數是兩個主要維度交集的量化測量方法：Macie 在值區中找到的敏感資料量，以及 Macie 在值區中分析的資料量。值區的靈敏度分數會決定 Macie 指派給值區的敏感度標籤。敏感度標籤是值區靈敏度分數的定性表示法，例如「敏感」、「不敏感」和「尚未分析」。如需有關 Macie 定義之敏感度分數和標籤範圍的詳細資訊，請參閱S3 儲存貯體的靈敏度評分。

重要

S3 儲存貯體的敏感度分數和標籤並不暗示或以其他方式表示儲存貯體或儲存貯體的物件對您或您的組織可能具有的重要性或重要性。相反，它們旨在提供可幫助您識別和監控潛在安全風險的參考點。

當您第一次啟用自動化敏感資料探索時，Macie 會自動為每個 S3 儲存貯體指派 50 的敏感度分數和尚未分析的標籤。例外情況是空值區。空值區是不儲存任何物件的值區，或是值區的所有物件都包含零 (0) 個位元組的資料。如果儲存貯體是這種情況，Macie 會將分數 1 指派給值區，並將「不敏感」標籤指派給值區。

隨著自動化敏感資料探索的進展，Macie 會更新敏感度分數和標籤，以反映其分析結果。例如：

• 如果 Macie 在物件中找不到敏感資料，Macie 會降低值區的敏感度分數，並視需要更新值區的敏感度標籤。

• 如果 Macie 在物件中找到敏感資料，Macie 會增加值區的敏感度分數，並視需要更新值區的敏感度標籤。

• 如果 Macie 在隨後變更的物件中找到敏感資料，Macie 會從值區的敏感度評分中移除物件的敏感性資料偵測，並視需要更新值區的敏感性標籤。

• 如果 Macie 在隨後刪除的物件中找到敏感資料，Macie 會從值區的敏感度分數中移除物件的敏感性資料偵測，並視需要更新值區的敏感性標籤。

您可以在儲存貯體分數中包含或排除特定類型的敏感資料，以調整個別 S3 儲存貯體的敏感度評分設定。您也可以手動將最高分數 (100) 指派給值區，以覆寫值區的計算得分。如果您指派最高分數，則值區的標籤為「敏感」。如需詳細資訊，請參閱 管理個別 S3 儲存貯體的自動化探索。

產生中繼資料、統計資料和結果

當您啟用自動化敏感資料探索時，Macie 會產生並開始維護其他有關 S3 一般用途儲存貯體的其他庫存資料、統計資料和其他資訊，這些資訊會監控並分析您的帳戶。如果您是組織的 Macie 管理員，預設會包含您的成員帳戶所擁有的值區。

其他資訊會擷取 Macie 迄今為止執行的自動化敏感資料探索活動的結果。它還補充了 Macie 提供有關 Amazon S3 資料的其他資訊，例如個別儲存貯體的公用存取和共用存取設定。其他資訊包括：

• 以互動式視覺化方式呈現 Amazon S3 資料資產的資料敏感度。

• 彙總的資料敏感性統計資料，例如 Macie 在其中找到敏感資料的儲存貯體總數，以及可公開存取的值區數量。

• 指出分析目前狀態的值區層級詳細資訊。例如，Macie 在值區中分析過的物件清單、Macie 在值區中找到的敏感資料類型，以及 Macie 找到的每種敏感資料類型的出現次數。

這些資訊還包括統計資料和詳細資料，可協助您評估和監控 Amazon S3 資料的涵蓋範圍。您可以檢查整體資料資產和個別 S3 儲存貯體的分析狀態。您也可以找出阻止 Macie 分析特定值區中物件的問題。如果修復問題，您可以在後續的分析週期中增加 Amazon S3 資料的涵蓋範圍。如需詳細資訊，請參閱 評估自動化敏感資料探索範圍。

Macie 會在執行自動化敏感資料探索時自動重新計算和更新此資訊。例如，如果 Macie 在 S3 物件中發現隨後變更或刪除的機密資料，Macie 會更新適用儲存貯體的中繼資料：從分析物件清單中移除該物件；移除 Macie 在物件中找到的敏感性資料；如果分數是自動計算的，則重新計算敏感度分數；並視需要更新敏感度標籤以反映新的分數。

除了中繼資料和統計資料之外，Macie 還會產生所找到的敏感資料及其執行的分析記錄：敏感資料發現項目、報告 Macie 在個別 S3 物件中找到的敏感資料，以及敏感資料探索結果，記錄有關個別 S3 物件分析的詳細資料。

如需詳細資訊，請參閱 檢閱自動化的敏感資料探索統計資料和。

考量事項

當您設定和使用 Amazon Macie 為 Amazon S3 資料執行自動化敏感資料探索時，請記住以下事項：

• 您的自動探索設定僅適用於目前的 AWS 區域。因此，產生的分析和資料僅適用於目前區域中的 S3 一般用途儲存貯體和物件。若要在其他區域中執行自動化探索並存取產生的資料，請在每個額外的區域中啟用和設定自動化探索。

• 如果您是組織的 Macie 管理員：

  • 只有當目前區域中的帳戶啟用 Macie 時，您才能為成員帳戶執行自動探索。此外，您必須為該區域中的帳戶啟用自動探索功能。成員無法為自己的帳戶啟用或停用自動探索功能。

  • 如果您為成員帳戶啟用自動探索功能，Macie 會在分析成員帳戶的資料時，使用您的管理員帳戶的自動探索設定。適用的設定包括：要從分析中排除的 S3 儲存貯體清單、受管資料識別碼、自訂資料識別碼，以及允許在分析 S3 物件時使用的清單。會員無法檢視或變更這些設定。

  • 成員無法針對自己擁有的個別 S3 儲存貯體存取自動化探索設定。例如，成員無法檢視或調整其中一個值區的敏感度評分設定。只有 Macie 管理員可以存取這些設定。

  • 成員可讀取敏感資料探索統計資料，以及 Macie 直接為其 S3 儲存貯體提供的其他結果。例如，成員可以使用 Macie 檢閱其 S3 儲存貯體的敏感度分數和涵蓋範圍資料。例外情況是敏感數據發現。只有 Macie 管理員才能直接存取自動化探索產生的發現項目。

• 如果 S3 儲存貯體的許可設定阻止 Macie 存取或擷取儲存貯體或儲存貯體物件的相關資訊，Macie 就無法執行儲存貯體的自動探索。Macie 只能提供值區的相關資訊子集，例如擁有 AWS 帳戶 該值區的帳戶 ID、值區的名稱，以及 Macie 最近擷取值區的值區和物件中繼資料作為每日重新整理週期的一部分的時間。在您的值區庫存中，這些值區的敏感度分數為 50，而且尚未分析其敏感度標籤。若要識別發生這種情況的 S3 儲存貯體，您可以參考涵蓋範圍資料。如需詳細資訊，請參閱 評估自動化敏感資料探索範圍。

• 若要符合選取和分析的資格，S3 物件必須存放在一般用途儲存貯體中，且必須可分類。可分類的物件使用支援的 Amazon S3 儲存類別，且其副檔名為支援的檔案或儲存格式。如需詳細資訊，請參閱 支援的儲存類別和格式。

• 如果 S3 物件已加密，Macie 只有在使用 Macie 可存取且允許使用的金鑰加密時，才能對其進行分析。如需詳細資訊，請參閱 分析加密的 S3 物件。若要識別加密設定無法 Macie 分析值區中的一或多個物件的案例，您可以參考涵蓋範圍資料。如需更多詳細資訊，請參閱 評估自動化敏感資料探索範圍。