設定 Amazon Macie 以擷取和揭示含有發現項目的敏感資料樣本

您可以選擇性地設定和使用 Amazon Macie 擷取和揭示 Macie 在個別敏感資料發現項目中報告的敏感資料樣本。這些範例可協助您驗證 Macie 找到的敏感資料的性質。他們還可以協助您針對受影響的 Amazon 簡單儲存服務 (Amazon S3) 物件和儲存貯體量身打造調查。除了亞太區域 (大阪) 和以色列 (特拉維夫) 區域外，您可以擷取並揭露所有 Macie 目前可用的機密資料樣本。AWS 區域

當您擷取並顯示發現項目的敏感資料樣本時，Macie 會使用對應敏感資料探索結果中的資料，找出受影響 S3 物件中敏感資料的出現次數。然後，Macie 會從受影響的物件中擷取這些出現位置的樣本。Macie 會使用您指定的 AWS Key Management Service (AWS KMS) 金鑰加密擷取的資料，將加密的資料暫時儲存在快取中，然後傳回結果中的資料以供尋找結果使用。在擷取和加密之後不久，Macie 會永久刪除快取中的資料，除非暫時需要額外保留才能解決操作問題。

若要擷取和顯示發現項目的敏感資料範例，您必須先設定並啟用 Macie 帳戶的設定。您還需要為您的帳戶配置支持的資源和權限。本節中的主題將引導您完成設定 Macie 以擷取和顯示敏感資料樣本，以及管理帳戶組態狀態的程序。

提示

如需可用來控制此功能存取權的政策建議和範例，請參閱AWS安全部落格上的如何使用 Amazon Macie 預覽 S3 儲存貯體中的敏感資料部落格文章。

開始之前

在將 Amazon Macie 設定為擷取和顯示發現項目的敏感資料樣本之前，請先完成以下任務，以確保您擁有所需的資源和許可。

任務

• 步驟 1：設定敏感資料探索結果的儲存庫
• 步驟 2：決定如何存取受影響的 S3 物件
• 步驟 3：設定 AWS KMS key
• 步驟 4：驗證您的權限

如果您已將 Macie 設定為擷取和顯示敏感資料範例，而且只想變更您的組態設定，則這些工作是選用的。

步驟 1：設定敏感資料探索結果的儲存庫

當您擷取並顯示發現項目的敏感資料樣本時，Macie 會使用對應敏感資料探索結果中的資料，找出受影響 S3 物件中敏感資料的出現次數。因此，請務必確認您是否為敏感性資料探索結果設定存放庫。否則，Macie 將無法找到您要檢索和顯示的敏感數據樣本。

若要判斷您是否已為帳戶設定此儲存庫，可以使用 Amazon Macie 主控台：在導覽窗格中選擇 [探索結果] (在 [設定] 下)。要以編程方式執行此GetClassificationExportConfiguration操作，請使用 Amazon Macie API 的操作。若要進一步瞭解敏感資料探索結果以及如何設定此存放庫，請參閱儲存及保留敏感資料探索結果。

步驟 2：決定如何存取受影響的 S3 物件

若要存取受影響的 S3 物件並從中擷取敏感資料樣本，您有兩種選擇。您可以將 Macie 設定為使用您的 AWS Identity and Access Management (IAM) 使用者登入資料。或者，您可以將 Macie 設定為可委派存取 Macie 的 IAM 角色。您可以使用任何類型的 Macie 帳戶 (組織的委派 Macie 管理員帳戶、組織中的 Macie 成員帳戶或獨立的 Macie 帳戶) 來使用任何組態。在 Macie 中設定設定之前，請先決定您要使用的存取方法。如需有關每種方法的選項和需求的詳細資訊，請參閱擷取含有發現項目之敏感資料範例的組態選項和需求。

如果您打算使用 IAM 角色，請先建立並設定角色，然後再在 Macie 中設定設定。此外，請確定角色的信任和權限原則符合 Macie 擔任該角色的所有需求。如果您的帳戶屬於集中管理多個 Macie 帳戶的組織，請與您的 Macie 管理員合作，先決定是否為您的帳戶設定角色以及如何設定角色。

步驟 3：設定 AWS KMS key

當您擷取並顯示發現項目的敏感資料樣本時，Macie 會使用您指定的 AWS Key Management Service (AWS KMS) 金鑰加密範例。因此，您需要決定AWS KMS key要使用哪一個來加密樣本。金鑰可以是您自己帳戶中的現有 KMS 金鑰，也可以是其他帳戶擁有的現有 KMS 金鑰。如果您想要使用其他帳戶擁有的金鑰，請取得該金鑰的 Amazon 資源名稱 (ARN)。當您在 Macie 中輸入組態設定時，您需要指定此 ARN。

KMS 金鑰必須是客戶管理的對稱加密金鑰。它也必須是與您的 Macie 帳戶相同AWS 區域啟用的單一區域金鑰。KMS 金鑰可以位於外部金鑰存放區中。但是，與完全在其中管理的密鑰相比，密鑰可能會慢且不太可靠AWS KMS。如果延遲或可用性問題導致 Macie 無法加密您要擷取和顯示的敏感資料樣本，就會發生錯誤，而且 Macie 不會傳回任何尋找項目的範例。

此外，金鑰的金鑰政策必須允許適當的主體 (IAM 角色、IAM 使用者或AWS 帳戶) 執行下列動作：

• kms:Decrypt

• kms:DescribeKey

• kms:GenerateDataKey

重要

作為存取控制的額外層，我們建議您建立專用的 KMS 金鑰來加密所擷取的敏感資料樣本，並將金鑰的使用限制為只有必須允許擷取和揭露敏感資料樣本的主體。如果不允許使用者針對金鑰執行上述動作，Macie 會拒絕其擷取和揭露敏感資料樣本的要求。Macie 不會返回任何發現的樣本。

如需建立和設定 KMS 金鑰的詳細資訊，請參閱AWS Key Management Service開發人員指南中的管理金鑰。如需使用金鑰原則管理 KMS 金鑰存取權的詳細資訊，請參閱AWS Key Management Service開發人員指南AWS KMS中的金鑰政策。

步驟 4：驗證您的權限

在 Macie 中設定設定之前，請確認您擁有所需的權限。若要驗證您的許可，請使用 AWS Identity and Access Management (IAM) 檢閱附加到 IAM 身分的 IAM 政策。然後將這些策略中的資訊與下列必須允許您執行的動作清單進行比較。

Amazon Macie

對於 Macie，請確認您是否允許執行下列動作：

• macie2:GetMacieSession

• macie2:UpdateRevealConfiguration

第一個動作允許您訪問您的 Macie 帳戶。第二個動作可讓您變更用於擷取和顯示敏感資料樣本的組態設定。這包括啟用和停用帳戶的設定。

選擇性地確認您也被允許執行macie2:GetRevealConfiguration動作。此動作可讓您擷取目前的組態設定和帳戶組態的目前狀態。

AWS KMS

如果您計劃使用 Amazon Macie 主控台輸入組態設定，請確認您可以執行下列 AWS Key Management Service (AWS KMS) 動作：

• kms:DescribeKey

• kms:ListAliases

這些動作可讓您擷取您帳戶AWS KMS keys的相關資訊。然後，您可以在輸入設定時選擇其中一個按鍵。

IAM

如果您計劃將 Macie 設定為假設 IAM 角色來擷取和揭露敏感資料範例，請確認您是否可以執行下列 IAM 動作：iam:PassRole。此操作允許您將角色傳遞給 Macie，這反過來又允許 Macie 擔任該角色。當您輸入帳戶的組態設定時，Macie 也可以接著驗證該角色是否存在於您的帳戶中，且已正確設定。

如果您不允許執行必要的動作，請向AWS管理員尋求協助。

設定和啟用 Amazon Macie 設定

確認擁有所需的資源和許可後，您可以在 Amazon Macie 中設定設定並啟用帳戶的組態。

如果您的帳戶屬於集中管理多個 Macie 帳戶的組織，請在設定或隨後變更帳戶的設定之前，請注意下列事項：

• 如果您有會員帳戶，請與您的 Macie 管理員合作，以決定是否以及如何為您的帳戶進行設定。您的 Macie 管理員可協助您決定帳戶的正確組態設定。

• 如果您擁有 Macie 管理員帳戶，且變更存取受影響 S3 物件的設定，則您的變更可能會影響組織的其他帳戶和資源。這取決於 Macie 目前是否設定為假設 AWS Identity and Access Management (IAM) 角色來擷取敏感資料樣本。如果是，且您重新設定 Macie 以使用 IAM 使用者登入資料，Macie 會永久刪除 IAM 角色的現有設定 — 角色名稱和組態的外部 ID。如果您的組織隨後選擇再次使用 IAM 角色，則需要在信任政策中為每個適用成員帳戶中的角色指定新的外部 ID。

如需任一帳戶類型的組態選項的詳細資訊，請參閱擷取含有發現項目之敏感資料範例的組態選項和需求。

要在 Macie 中配置設置並為您的帳戶啟用配置，您可以使用 Amazon Macie 控制台或 Amazon Macie API。

Console

請依照下列步驟使用 Amazon Macie 主控台來設定和啟用設定。

若要設定和啟用 Macie 設定

1. 在以下位置打開 Amazon Macie 亞控制台 https://console.aws.amazon.com/macie/。

2. 使用頁面右上角的選取AWS 區域器，選取您要設定的區域，然後啟用 Macie 擷取和顯示敏感資料樣本。

3. 在導覽窗格的 [設定] 下，選擇 [顯示範例]。

4. 在 Settings (設定) 區段中，選擇 Edit (編輯)。

5. 針對 Status (狀態)，請選擇 Enable (啟用)。

6. 在 Access 下，指定從受影響 S3 物件擷取敏感資料樣本時要使用的存取方法和設定：

   • 若要使用將存取權委派給 Macie 的 IAM 角色，請選擇假設 IAM 角色。如果您選擇此選項，Macie 會假設您AWS 帳戶在. 在 [角色名稱] 方塊中，輸入角色的名稱。

   • 若要使用要求範例的 IAM 使用者登入資料，請選擇「使用 IAM 使用者登入資料」。如果您選擇此選項，您帳戶的每個使用者都會使用其個別的 IAM 身分來擷取範例。

7. 在「加密」下，指AWS KMS key定您要用來加密所擷取之敏感資料樣本的項目：

   • 若要使用您自己帳戶中的 KMS 金鑰，請選擇 [從您的帳戶選取金鑰]。然後，在AWS KMS key清單中選擇要使用的金鑰。此清單會顯示您帳戶的現有對稱加密 KMS 金鑰。

   • 若要使用其他帳戶擁有的 KMS 金鑰，請選擇 [輸入其他帳戶金鑰的 ARN]。然後，在 AWS KMS keyARN 方塊中，輸入要使用的金鑰的 Amazon 資源名稱 (ARN)，例如。arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

8. 完成輸入設定後，請選擇 [儲存]。

Macie 測試設置並驗證它們是否正確。如果您將 Macie 設定為擔任 IAM 角色，Macie 也會驗證該角色存在於您的帳戶中，並且信任和許可政策設定正確。如果發生問題，Macie 會顯示描述問題的訊息。

若要解決的問題AWS KMS key，請參閱上一主題中的需求，並指定符合需求的 KMS 金鑰。若要解決 IAM 角色的問題，請先驗證您輸入的角色名稱是否正確。如果名稱正確，請確保角色的策略符合 Macie 擔任該角色的所有要求。如需這些詳細資訊，請參閱設定 IAM 角色以存取受影響的 S3 物件。解決任何問題後，您可以保存並啟用設置。

注意

如果您是組織的 Macie 管理員，並且將 Macie 設定為擔任 IAM 角色，Macie 會在您儲存帳戶的設定後產生並顯示外部 ID。請注意此識別碼。每個適用成員帳戶中 IAM 角色的信任政策都必須指定此 ID。否則，您將無法從帳戶擁有的 S3 物件擷取敏感資料樣本。

API

若要以程式設計方式設定和啟用設定，請使用 Amazon Macie API 的UpdateRevealConfiguration操作。在您的請求中，為支援的參數指定適當的值：

• 對於retrievalConfiguration參數，請指定從受影響 S3 物件擷取敏感資料樣本時要使用的存取方法和設定：

  • 若要採用將存取權委派給 Macie 的 IAM 角色，請ASSUME_ROLE為retrievalMode參數指定並指定參roleName數的角色名稱。如果您指定這些設定，Macie 會假設您AWS 帳戶在.

  • 若要使用要求範例的 IAM 使用者登入資料，請CALLER_CREDENTIALS為retrievalMode參數指定。如果指定此設定，您帳戶的每個使用者都會使用其個別的 IAM 身分來擷取範例。

  重要

  如果您未指定這些參數的值，Macie 會將CALLER_CREDENTIALS存取方法 (retrievalMode) 設定為。如果 Macie 目前設定為使用 IAM 角色擷取範例，Macie 也會永久刪除組態的目前角色名稱和外部 ID。若要保留現有組態的這些設定，請在請求中包含retrievalConfiguration參數，並為這些參數指定目前的設定。若要擷取目前的設定，請使用GetRevealConfiguration作業，或者，如果您使用的是 AWS Command Line Interface (AWS CLI)，請執行get-reveal-configuration命令。

• 針對kmsKeyId參數，指定要AWS KMS key用來加密所擷取之敏感資料樣本的參數：

  • 若要使用您自己帳戶的 KMS 金鑰，請指定金鑰的 Amazon 資源名稱 (ARN)、ID 或別名。如果您指定別名，請包括alias/首碼，例如。alias/ExampleAlias

  • 若要使用其他帳戶擁有的 KMS 金鑰，請指定金鑰的 ARN，例如。arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab或者指定金鑰別名的 ARN — 例如，。arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias

• 對於status參數，請指定ENABLED為您的 Macie 帳戶啟用設定。

在您的要求中，也請確定您指定要AWS 區域在其中啟用並使用組態。

若要使用配置和啟用設定AWS CLI，請執行命update-reveal-configuration令並為支援的參數指定適當的值。例如，如果您AWS CLI在 Microsoft 視窗上使用，請執行下列命令：

C:\> aws macie2 update-reveal-configuration ^
--region us-east-1 ^
--configuration={\"kmsKeyId\":\"arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias\",\"status\":\"ENABLED\"} ^
--retrievalConfiguration={\"retrievalMode\":\"ASSUME_ROLE\",\"roleName\":\"MacieRevealRole\"}

其中：

• us-east-1 是要在其中啟用和使用配置的區域。在此範例中，美國東部 (維吉尼亞北部) 區域。

• ARN: aws: 公里:美國東部-1:1111223 ExampleAlias 33: 別名/是要使用的別名的 ARN。AWS KMS key在此範例中，金鑰是由另一個帳戶所擁有。

• ENABLED是組態的狀態。

• 角色是要使用的訪問方法。在此範例中，假設指定的 IAM 角色。

• MacieRevealRole是 Macie 在擷取敏感資料樣本時要承擔的 IAM 角色名稱。

上述範例使用脫字元 (^) 行接續字元來改善可讀性。

當您提交請求時，Macie 會測試設定。如果您將 Macie 設定為擔任 IAM 角色，Macie 也會驗證該角色存在於您的帳戶中，並且信任和許可政策設定正確。如果發生問題，表示您的要求失敗，而 Macie 會傳回描述問題的訊息。若要解決的問題AWS KMS key，請參閱上一主題中的需求，並指定符合需求的 KMS 金鑰。若要解決 IAM 角色的問題，請先驗證您指定了正確的角色名稱。如果名稱正確，請確保角色的策略符合 Macie 擔任該角色的所有要求。如需這些詳細資訊，請參閱設定 IAM 角色以存取受影響的 S3 物件。解決問題後，請再次提交您的要求。

如果您的要求成功，Macie 會在指定區域啟用您帳戶的設定，並且您會收到類似下列內容的輸出。

{
  "configuration": {
    "kmsKeyId": "arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias",
    "status": "ENABLED"
  },
  "retrievalConfiguration": {
    "externalId": "o2vee30hs31642lexample",
    "retrievalMode": "ASSUME_ROLE",
    "roleName": "MacieRevealRole"
  }
}

其中kmsKeyId指定用AWS KMS key來加密所擷取的敏感資料樣本，而且status是 Macie 帳戶的組態狀態。這retrievalConfiguration些值指定擷取樣本時要使用的存取方法和設定。

注意

如果您是組織的 Macie 管理員，並且已將 Macie 設定為擔任 IAM 角色，請在回應中記下外部 ID (externalId)。每個適用成員帳戶中 IAM 角色的信任政策都必須指定此 ID。否則，您將無法從帳戶擁有的受影響 S3 物件擷取敏感資料樣本。

若要隨後檢查帳戶的設定或組態狀態，請使用GetRevealConfiguration作業AWS CLI，或執行命get-reveal-configuration令。

禁用 Amazon Macie 設置

您可以隨時停用 Amazon Macie 帳戶的組態設定。如果停用組態，Macie 會保留指定AWS KMS key要用來加密所擷取之敏感資料樣本的設定。Macie 會永久刪除該組態的 Amazon S3 存取設定。

警告

當您停用 Macie 帳戶的組態設定時，也會永久刪除指定如何存取受影響 S3 物件的目前設定。如果 Macie 目前設定為透過假設 AWS Identity and Access Management (IAM) 角色來存取受影響的物件，則包括：角色名稱，以及 Macie 為組態產生的外部 ID。刪除這些設定後無法復原。

若要停用 Macie 帳戶的組態設定，您可以使用 Amazon Macie 主控台或 Amazon Macie API。

Console

請依照下列步驟使用 Amazon Macie 主控台停用帳戶的組態設定。

若要停用馬西埃設定

1. 在以下位置打開 Amazon Macie 亞控制台 https://console.aws.amazon.com/macie/。

2. 使用頁面右上角的選取AWS 區域器，選取您要停用 Macie 帳戶組態設定的區域。

3. 在導覽窗格的 [設定] 下，選擇 [顯示範例]。

4. 在 Settings (設定) 區段中，選擇 Edit (編輯)。

5. 在「狀態」 中選擇「停用」。

6. 選擇儲存。

API

若要以程式設計方式停用組態設定，請使用 Amazon Macie API 的UpdateRevealConfiguration操作。在您的要求中，請確定AWS 區域您已指定要停用組態的項目。針對 status 參數，請指定 DISABLED。

若要使用 AWS Command Line Interface (AWS CLI) 停用組態設定，請執行update-reveal-configuration命令。使用region參數可指定要在其中停用組態的「區域」。針對 status 參數，請指定 DISABLED。例如，如果您AWS CLI在 Microsoft 視窗上使用，請執行下列命令：

C:\> aws macie2 update-reveal-configuration --region us-east-1 --configuration={\"status\":\"DISABLED\"}

其中：

• us-east-1 是要在其中禁用配置的區域。在此範例中，美國東部 (維吉尼亞北部) 區域。

• DISABLED是組態的新狀態。

如果您的要求成功，Macie 會停用指定區域中帳戶的設定，並且您會收到類似下列內容的輸出。

{
    "configuration": {
        "status": "DISABLED"
    }
}

您status的 Macie 帳戶配置的新狀態在哪裡。

如果 Macie 設定為假設 IAM 角色來擷取敏感資料範例，您可以選擇性地刪除角色和角色的許可政策。當您停用帳戶的組態設定時，Macie 不會刪除這些資源。此外，Macie 不會使用這些資源為您的帳戶執行任何其他任務。若要刪除角色及其許可政策，您可以使用 IAM 主控台或 IAM API。如需詳細資訊，請參閱《使用指南》中的AWS Identity and Access Management〈刪除角色〉。