敏感資料探索工作的範圍選項 - Amazon Macie
S3 儲存貯體初始執行:現有 S3 物件採樣深度S3 物件條件

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

敏感資料探索工作的範圍選項

使用敏感資料探索任務時,您可以定義 Amazon Macie 分析的 Amazon 簡單儲存服務 (Amazon S3) 資料範圍,以偵測和報告敏感資料。為了協助您執行此操作,Macie 提供了數個工作特定選項,您可以在建立和設定工作時選擇這些選項。

S3 儲存貯體

建立敏感資料探索任務時,您可以指定哪些 S3 儲存貯體存放您希望 Macie 在任務執行時分析的物件。您可以透過兩種方式執行此操作:從儲存貯體庫存中選取特定的 S3 儲存貯體,或指定從 S3 儲存貯體屬性衍生的自訂條件。

選取特定 S3 儲存貯體

使用此選項,您可以明確選取要分析的每個 S3 儲存貯體。然後,當工作執行時,它只會分析您選取的值區中的物件。如果您將工作設定為每天、每週或每月定期執行,則工作會在每次執行時分析相同值區中的物件。

對於您想要對特定資料集執行目標分析的情況,此組態非常有用。它可讓您精確且可預測的控制工作分析的值區。

指定 S3 儲存貯體條件

使用此選項,您可以定義執行階段準則,以決定要分析哪些 S3 儲存貯體。此條件包含一或多個衍生自值區屬性的條件,例如公用存取設定和標籤。工作執行時,會識別符合您準則的值區,然後分析這些值區中的物件。如果您將工作設定為定期執行,則每次執行工作時都會執行此作業。因此,工作可能會在每次執行時分析不同值區中的物件,具體取決於值區詳細目錄的變更以及您定義的條件。

對於您希望分析範圍動態適應值區庫存變更的情況,此組態非常有用。如果您將工作設定為使用值區條件並定期執行,工作會自動識別符合條件的新值區,並檢查這些值區中是否有機密資料。

本節中的主題提供有關每個選項的其他詳細資訊。

選取特定 S3 儲存貯體

如果您選擇明確選取要分析任務的每個 S3 儲存貯體,Macie 會為您提供目前 AWS 區域一般用途儲存貯體的完整清查。然後,您可以複查庫存並選取所需的時段。若要瞭解 Macie 如何為您產生和維護此庫存,請參閱Macie 如何監控 Amazon S3 數據安全

如果您是組織的 Macie 管理員,則資產管理員會包含組織中成員帳戶所擁有的值區。您可以選取多達 1,000 個這些值區,跨越多達 1,000 個帳戶。

為了協助您選擇值區,詳細目錄會提供每個值區的詳細資料和統計資料。這包括任務可以在每個儲存貯體中分析的資料量 — 可分類的物件是使用支援的 Amazon S3 儲存類別的物件,且具有支援檔案或儲存格式的副檔名。詳細目錄也會指出是否已將任何現有工作設定為分析值區中的物件。這些詳細資料可協助您估計工作的廣度,並精簡值區選擇。

在庫存表格中:

  • 敏感 — 如果啟用了自動化敏感資料探索,則指出值區目前的敏感度分數。

  • 可分類的物件 — 指出工作可在值區中分析的物件總數。

  • 可分類大小 — 指出工作可在值區中分析之所有物件的儲存大小總計。

    如果值區儲存壓縮物件,這個值並不會反映這些物件解壓縮後的實際大小。如果儲存貯體已啟用版本控制,則此值會根據值區中每個物件最新版本的儲存大小而定。

  • 依工作監視 — 指出是否已將任何現有工作設定為每日、每週或每月定期分析值區中的物件。

    如果此欄位的值為「」,則時段會明確納入週期性工單中,或符合過去 24 小時內週期性工單條件的時段。此外,其中至少有一個工作的狀態為「未取消」。Macie 每天更新此數據。

  • 新工作執行 — 如果將現有的週期性或一次性工作配置為分析值區中的物件,則此欄位會指出其中一個工作開始執行的最近日期與時間。否則,此欄位中會出現一個破折號 (—)。

如果資訊圖示 ( A blue circle with a blue, lowercase letter i in it ) 出現在表格中的任何儲存貯體名稱旁,建議您從 Amazon S3 擷取最新的儲存貯體中繼資料。若要這麼做,請選擇表格上方的重新整理 ( The refresh button, which is a button that contains an empty, dark gray circle with an arrow )。資訊圖示表示儲存貯體是在過去 24 小時內建立的,可能是在 Macie 上次從 Amazon S3 擷取儲存貯體和物件中繼資料作為每日重新整理週期的一部分之後建立。如需詳細資訊,請參閱 數據刷新

如果表格中值區名稱旁邊出現警告圖示 ( A red triangle with a red exclamation point in it ),表示不允許 Macie 存取值區或值區的物件。這表示工作將無法分析值區中的物件。若要調查問題,請檢閱 Amazon S3 中儲存貯體的政策和許可設定。例如,值區可能具有限制性的值區政策。如需詳細資訊,請參閱 允許 Macie 存取 S3 儲存貯體和物件

若要自訂您的庫存檢視並更輕鬆地尋找特定值區,您可以在篩選方塊中輸入篩選條件來篩選表格。下表提供一些範例。

若要顯示所有值區... 套用此篩選器...
由特定帳戶擁有 帳戶 ID = 帳戶的 12 位數識別碼
可公開存取 有效許可 = 公開
不包括在任何定期工作中 主動監控工作 =
不包含在任何定期或一次性工作中 在工作中定義 =
擁有特定的標籤金鑰 * 標籤鍵 = 標籤鍵
具有特定的標籤值 * 標籤值 = 標籤值
儲存未加密的物件 (或使用用戶端加密的物件) 加密的物件計數為「無加密」,「」= 1

* 標籤鍵和值區分大小寫。此外,您必須在篩選器中為這些欄位指定完整、有效的值。您不能指定部分值或使用萬用字元。

若要顯示值區的詳細資訊,請選擇值區的名稱並參閱詳細資料面板。從那裡,您還可以:

  • 透過選擇欄位的放大鏡,對某些欄位進行樞紐分析和深入研究。選擇 A magnifying glass with a plus sign 顯示具有相同值的值區,或選擇 A magnifying glass with a minus sign 顯示具有其他值的值區。

  • 擷取值區中物件的最新中繼資料。如果您最近建立了值區,或在過去 24 小時內對值區的物件進行了重大變更,這會很有幫助。若要擷取資料,請在面板的「物件統計資料」區段中選擇 refresh ( The refresh button, which is a button that contains an empty, dark gray circle with an arrow )。此選項適用於儲存 30,000 個或更少物件的值區。

指定 S3 儲存貯體條件

如果您選擇指定工作的儲存貯體條件,Macie 會提供用於定義和測試條件的選項。這些是決定要分析哪些 S3 儲存貯體存放物件的執行階段準則。每次工作執行時,都會識別符合您準則的一般用途值區,然後分析適當值區中的物件。如果您是組織的 Macie 管理員,這包括組織中成員帳戶所擁有的值區。

定義時段條件

儲存貯體條件包含從 S3 儲存貯體屬性衍生的一或多個條件。每個條件 (也稱為準則) 由下列部分組成:

  • 以屬性為基礎的欄位,例如「帳戶 ID」或「有效」權限。

  • 一個運算符,無論是等於eq)或不等於neq)。

  • 一或多個值。

  • 包含或排除陳述式,指出要分析 (包含) 或略過 (排除) 符合條件的值區。

如果您為欄位指定多個值,Macie 會使用 OR 邏輯來聯結這些值。如果您為準則指定多個條件,Macie 會使用 AND 邏輯來連接這些條件。此外,排除條件的優先順序高於包含條件。例如,如果您包含可公開存取的值區,並排除具有特定標籤的值區,則工作會分析任何可公開存取的值區中的物件,除非值區具有其中一個指定的標記。

您可以為 S3 儲存貯體定義從下列任何屬性欄位衍生的條件。

帳戶 ID

擁有值區的 AWS 帳戶 唯一識別碼 (ID)。若要為此欄位指定多個值,請輸入每個帳戶的 ID,並以逗號分隔每個項目。

請注意,Macie 不支援此欄位使用萬用字元或部分值。

儲存貯體名稱

值區的名稱。此欄位與 Amazon Amazon S3 中的「名稱」欄位相關,而不是 Amazon 資源名稱 (ARN) 欄位。若要為此欄位指定多個值,請輸入每個值區的名稱,並以逗號分隔每個項目。

請注意,值區分大小寫。此外,Macie 不支援此欄位使用萬用字元或部分值。

有效許可

指定值區是否可公開存取。您可以為此欄位選擇下列一或多個值:

  • 不公開 — 一般大眾沒有值區的讀取或寫入權限。

  • 用 — 一般大眾擁有值區的讀取或寫入存取權。

  • 未知 — Macie 無法評估值區的公開存取設定。

為了決定值區的此值,Macie 會分析值區的帳戶層次與時段層次設定組合:帳戶的區塊公用存取設定、值區的區塊公用存取設定、值區的值區塊公開存取設定、值區的值區政策,以及值區的存取控制清單 (ACL)。

共用存取

指定儲存貯體是與另一個儲存貯體共用 AWS 帳戶、Amazon CloudFront 原始存取身分 (OAI) 還是 CloudFront 來源存取控制 (OAC)。您可以為此欄位選擇下列一或多個值:

  • 外部 — 值區會與下列一或多項或下列任何組合共用: CloudFront OAI、CloudFront OAC 或組織外部 (不屬於) 組織的帳戶。

  • 內部 — 值區會與一或多個屬於您組織內部 (部分) 的帳戶共用。它不會與 CloudFront OAI 或 OAC 共用。

  • 未共用 — 值區不會與其他帳戶、 CloudFront OAI 或 CloudFront OAC 共用。

  • 未知 — Macie 無法評估值區的共用存取設定。

為了判斷某個值區是否與另一個值區共用 AWS 帳戶,Macie 會分析值區政策和值區的 ACL。此外,組被定義為一組 Macie 帳戶,透過 AWS Organizations 或透過 Macie 邀請集中管理為一組相關帳戶。如需 Amazon S3 共用儲存貯體選項的相關資訊,請參閱 Amazon 簡單儲存服務使用者指南中的 Amazon S3 中的身分和存取管理

若要判斷值區是否與 CloudFront OAI 或 OAC 共用,Macie 會分析值區的值區政策。 CloudFront OAI 或 OAC 可讓使用者透過一或多個指 CloudFront定的發行版存取值區的物件。如需 CloudFront OAI 和 OAC 的相關資訊,請參閱 Amazon 開發人員指南中的限制對 Amazon S3 來源的存取。 CloudFront

Tags (標籤)

與值區相關聯的標籤。標籤是您可以定義並指派給特定類型 AWS 資源 (包括 S3 儲存貯體) 的標籤。每個標籤都包含必要的標籤鍵和一個可選的標籤值。如需標記 S3 儲存貯體的相關資訊,請參閱 Amazon 簡單儲存服務使用者指南中的使用成本分配 S3 儲存貯體標籤

對於敏感資料探索工作,您可以使用這種類型的條件來包含或排除具有特定標籤鍵、特定標籤值或特定標籤鍵和標籤值 (以配對形式) 的值區。例如:

  • 如果您指定Project為標籤鍵,但未指定條件的任何標籤值,則任何具有 Project 標籤鍵的值區都會符合條件的準則,而不論與該標籤鍵相關聯的標籤值為何。

  • 如果您將Development和指定Test為標籤值,但未為條件指定任何標籤鍵,則任何具有DevelopmentTest標籤值的值區都會符合條件的準則,而不論與這些標籤值相關聯的標籤鍵為何。

若要在條件中指定多個標籤鍵,請在「金鑰」欄位中輸入每個標籤,並以逗號分隔每個項目。若要在條件中指定多個標籤值,請在「值」欄位中輸入每個標籤,並以逗號分隔每個項目。

請注意,標籤鍵和值是區分大小寫的。此外,Macie 不支援在標籤條件中使用萬用字元或部分值。

測試桶標準

定義值區條件時,您可以透過預覽結果來測試和細化條件。若要這麼做,請展開主控台上顯示在條件下方的 [預覽條件結果] 區段。本節顯示目前符合條件的 S3 一般用途儲存貯體的表格。

此表格也提供任務在每個儲存貯體中可分析的資料量深入分析 — 可分類的物件是使用受支援的 Amazon S3 儲存類別,且具有支援檔案或儲存格式副檔名的物件。此表格也會指出是否已將任何現有工作設定為定期分析值區中的物件。

在資料表中:

  • 敏感 — 如果啟用了自動化敏感資料探索,則指出值區目前的敏感度分數。

  • 可分類的物件 — 指出工作可在值區中分析的物件總數。

  • 可分類大小 — 指出工作可在值區中分析之所有物件的儲存大小總計。

    如果值區儲存壓縮物件,這個值並不會反映這些物件解壓縮後的實際大小。如果值區已啟用版本控制,則此值會根據值區中每個物件最新版本的儲存大小而定。

  • 依工作監視 — 指出是否已將任何現有工作設定為每日、每週或每月定期分析值區中的物件。

    如果此欄位的值為「」,則時段會明確納入週期性工單中,或符合過去 24 小時內週期性工單條件的時段。此外,其中至少有一個工作的狀態為「未取消」。Macie 每天更新此數據。

如果值區名稱旁邊出現警告圖示 ( A red triangle with a red exclamation point in it ),表示不允許 Macie 存取值區或值區的物件。這表示工作將無法分析值區中的物件。若要調查問題,請檢閱 Amazon S3 中儲存貯體的政策和許可設定。例如,值區可能具有限制性的值區政策。如需詳細資訊,請參閱 允許 Macie 存取 S3 儲存貯體和物件

若要精簡工作的值區條件,請使用篩選選項來新增、變更或移除條件中的條件。然後 Macie 會更新表格以反映您的變更。

初始執行:現有 S3 物件

您可以使用敏感資料探索任務,對 S3 儲存貯體中的物件執行持續的增量分析。如果您將工作設定為定期執行,Macie 會自動執行此動作 — 每次執行都只會分析在上次執行之後建立或變更的物件。使用「包括現有物件」選項,您可以選擇第一個增量的起點:

  • 若要在完成建立工作後立即分析所有現有物件,請選取此選項的核取方塊。

  • 若只要等待並分析建立工作之後以及第一次執行之前所建立或變更的物件,請清除此選項的核取方塊。

    清除此核取方塊對於您已經分析資料且想要定期繼續分析資料的情況很有幫助。例如,如果您之前使用其他服務或應用程式來分類資料,而您最近開始使用 Macie,您可以使用此選項來確保繼續探索和分類您的資料,而不會產生不必要的成本或複製分類資料。

每次後續執行週期性工作,都只會自動分析在前一次執行之後建立或變更的物件。

對於定期和一次性工作,您也可以將工作配置為僅分析那些在特定時間之前或之後或在特定時間範圍內建立或變更的物件。若要執行此操作,請新增使用物件上次修改日期的物件條件。

採樣深度

使用此選項,您可以指定要敏感資料探索任務分析的合格 S3 物件百分比。符合條件的物件是指以下物件:使用支援的 Amazon S3 儲存類別支援的檔案或儲存格式具有副檔名,以及符合您為任務指定的其他準則。

如果此值小於 100%,Macie 會隨機選取合格的物件進行分析,最多可達指定的百分比,並分析這些物件中的所有資料。例如,如果您將工作設定為分析 10,000 個物件,並指定 20% 的取樣深度,Macie 會在工作執行時分析大約 2,000 個隨機選取的合格物件。

減少工作的取樣深度可以降低成本並減少工作的持續時間。對於物件中的資料高度一致,而您想要判斷 S3 儲存貯體 (而非每個物件) 是否存放敏感資料的情況,這很有幫助。

請注意,此選項會控制分析物件的百分比,而不是分析的位元組百分比。如果您輸入的取樣深度小於 100%,Macie 會分析每個選取物件中的所有資料,而非每個所選物件中資料的該百分比。

S3 物件條件

若要微調敏感資料探索任務的範圍,您也可以定義自訂條件,以決定 Macie 在任務分析中包含或排除哪些 S3 物件。這些準則包含從 S3 物件屬性衍生的一或多個條件。這些條件適用於您設定要分析任務的所有 S3 儲存貯體中的物件。如果值區儲存了物件的多個版本,則這些條件會套用至物件的最新版本。

如果您將多個條件定義為物件準則,Macie 會使用 AND 邏輯來連接條件。此外,排除條件的優先順序高於包含條件。例如,如果您包括副檔名為 .pdf 的物件,並排除大於 5 MB 的物件,則工作會分析任何具有 .pdf 副檔名的物件,除非該物件大於 5 MB。

您可以定義從 S3 物件的下列任何屬性衍生出來的條件。

副檔名

這與 S3 物件的副檔名相關。您可以使用此類型的條件,根據檔案類型包括或排除物件。若要針對多種類型的檔案執行此動作,請輸入每個類型的副檔名,並以逗號分隔每個項目,例如:。docx,pdf,xlsx如果您輸入多個副檔名作為條件的值,Macie 會使用 OR 邏輯來結合這些值。

請注意,值區分大小寫。此外,Macie 不支援在此類型條件中使用部分值或萬用字元。

如需有關 Macie 可以分析的檔案類型的資訊,請參閱支援的檔案和儲存格式

上次修改

這與 Amazon S3 中的「上次修改」欄位相關。在 Amazon S3 中,此欄位會儲存建立或上次變更 S3 物件的日期和時間,以最新的日期和時間為準。

對於敏感性資料探索工作,此條件可以是特定日期、特定日期和時間或獨佔時間範圍:

  • 若要分析在特定日期或日期和時間之後上次修改的物件,請在「」欄位中輸入值。

  • 若要分析上次在特定日期或日期和時間之前修改的物件,請在「」(To) 欄位中輸入值。

  • 若要分析特定時間範圍內上次修改的物件,請使用「」欄位輸入時間範圍內第一個日期或日期與時間的值。使用「」欄位可輸入時間範圍內上次日期或日期與時間的值。

  • 若要分析某一天內隨時修改的物件,請在「起始日期」欄位輸入日期。在「終止日期」欄位中輸入下一天的日期。然後確認兩個時間欄位都是空白的。(Macie 將空白時間字段視為00:00:00。) 例如,若要分析在 2023 年 8 月 9 日變更的物件,請2023/08/09在「起日期」欄位2023/08/10中輸入「結束日期」欄位,並且不要在任一時間欄位中輸入值。

以國際標準時間 (UTC) 輸入任何時間值,並使用 24 小時標記法。

字首

這與 Amazon S3 中的關字段相關。在 Amazon S3 中,此欄位存放 S3 物件的名稱,包括物件的前置詞。前綴類似於存儲桶中的目錄路徑。它可讓您將類似物件分組在值區中,就像您可能會將類似檔案一起儲存在檔案系統上的資料夾中。如需 Amazon S3 中物件前置詞和資料夾的相關資訊,請參閱 Amazon 簡單儲存服務使用者指南中的使用資料夾組織 Amazon S3 主控台中的物件。

您可以使用這種類型的條件來包含或排除其索引鍵 (名稱) 以特定值開頭的物件。例如,若要排除其索引鍵開頭AWSLogs為的所有物件 AWSLogs,請輸入「首碼」條件的值,然後選擇「排除」。

如果您輸入多個字首作為條件的值,Macie 會使用 OR 邏輯來結合這些值。例如,如果您輸入 AWSLogs1 and AWSLogs2 做為條件的值,則索引鍵以 AWSLogs1AWSLogs2 開頭的任何物件都會符合條件的準則。

當您輸入「首碼」條件的值時,請記住下列事項:

  • 值是區分大小寫的。

  • Macie 不支援在這些值中使用萬用字元。

  • 在 Amazon S3 中,物件的金鑰不包含存放物件的儲存貯體名稱。因此,請勿在這些值中指定值區名稱。

  • 如果字首包含分隔符號,請在值中包含分隔符號。例如,輸入AWSLogs/eventlogs以定義其索引鍵開頭為 AWSLogs/event logs 的所有物件的條件。Macie 支援預設的 Amazon S3 分隔符號,也就是斜線 (/) 和自訂分隔符號。

另請注意,只有當物件的索引鍵完全符合您輸入的值 (從物件索引鍵中的第一個字元開始) 時,物件才符合條件的準則。此外,Macie 會將條件套用至物件的完整 Key 值,包括物件的檔案名稱。

例如,如果物件的索引鍵是 AWSLogs/eventlogs/testlog.csv,而您針對條件輸入下列任一值,則該物件就會符合條件的準則:

  • AWSLogs

  • AWSLogs/event

  • AWSLogs/eventlogs/

  • AWSLogs/eventlogs/testlog

  • AWSLogs/eventlogs/testlog.csv

但是,如果您輸入eventlogs,則該對象與條件不匹配-條件的值不包括鍵的第一部分/。AWSLogs同樣地,如果您輸入awslogs,則由於大小寫差異,物件與準則不符。

儲存體大小

這與 Amazon S3 中的大小字段相關。在 Amazon S3 中,此欄位會指出 S3 物件的總儲存大小。如果物件是壓縮檔案,這個值不會反映檔案解壓縮後的實際大小。

您可以使用此類型的條件來包括或排除小於特定大小、大於特定大小或落在特定大小範圍內的物件。Macie 會將這種類型的條件套用至所有類型的物件,包括壓縮檔案或封存檔案,以及它們所包含的檔案。如需每種支援格式之大小限制的相關資訊,請參閱。Amazon Macie 配額

Tags (標籤)

與 S3 物件相關聯的標籤。標籤是您可以定義並指派給特定類型 AWS 資源 (包括 S3 物件) 的標籤。每個標籤都包含必要的標籤鍵和一個可選的標籤值。如需標記 S3 物件的相關資訊,請參閱 Amazon 簡單儲存服務使用者指南中的使用標籤對儲存進行分類

對於敏感性資料探索工作,您可以使用此類型的條件來包含或排除具有特定標籤的物件。這可以是特定的標籤鍵,也可以是特定的標籤鍵和標籤值 (作為一對)。如果您指定多個標籤作為條件的值,Macie 會使用 OR 邏輯來連接這些值。例如,如果您指定Project1Project2做為條件的標籤關鍵字,則任何具有 Project1 或 Projec t2 標籤鍵的物件都會符合條件的準則。

請注意,標籤鍵和值是區分大小寫的。此外,Macie 不支援在此類型的條件中使用部分值或萬用字元。