什麼是 Amazon Macie？

Amazon Macie 是一種資料安全服務，透過使用機器學習和模式比對來探索敏感資料、提供資料安全風險的可見性，以及啟用自動保護以防範這些風險。

為了協助您管理組織 Amazon Simple Storage Service (Amazon S3) 資料資產的安全狀態，Macie 會提供 S3 一般用途儲存貯體的清單，並自動評估和監控儲存貯體的安全性和存取控制。如果 Macie 偵測到您資料的安全性或隱私權存在潛在問題，例如變成可公開存取的儲存貯體，Macie 會視需要產生調查結果來檢閱並修補此問題。

Macie 也會自動化敏感資料的探索和報告，讓您更好地瞭解組織在 Amazon S3 中存放的資料。若要偵測敏感資料，您可以使用 Macie 提供的內建條件和技術，您定義的自訂條件，或兩者的組合。如果 Macie 偵測到 S3 物件中的敏感資料，Macie 會產生一個發現項目，通知您找到的敏感資料。

除了發現結果之外，Macie 還提供統計資料和資訊，可深入瞭解 Amazon S3 資料的安全狀態，以及敏感資料可能存放在資料資產中的位置。統計資料和資訊可指導您決策，對特定 S3 儲存貯體和物件執行更深入的調查。您可以使用 Amazon Macie 主控台或 Amazon Macie API 來檢閱和分析發現項目、統計資料和其他資訊。您也可以利用與 Amazon 的 Macie 整合， EventBridge 並使用其他服務、應用程式和系統 AWS Security Hub 來監控、處理和補救發現結果。

Amazon Macie 的特點

以下是 Amazon Macie 可協助您探索、監控和保護 Amazon S3 中敏感資料的一些關鍵方法。

自動探索敏感資料

使用 Macie，您可以透過兩種方式自動探索和報告敏感資料：將 Macie 設定為執行自動化的敏感資料探索，以及建立和執行敏感資料探索工作。如果 Macie 偵測到 S3 物件中的敏感資料，就會為您建立敏感資料尋找。此發現項目提供 Macie 偵測到之敏感資料的詳細報告。

自動化敏感資料探索可讓您廣泛掌握敏感資料在 Amazon S3 資料資產中的位置。使用此選項，Macie 會持續評估您的 S3 儲存貯體庫存，並使用取樣技術從儲存貯體中識別和選取代表性的 S3 物件。然後，Macie 會擷取並分析選取的物件，檢查它們是否有敏感資料。

敏感資料探索工作提供更深入、更具針對性的分析。使用此選項，您可以定義分析的廣度和深度 — 要分析的 S3 儲存貯體、取樣深度，以及從 S3 物件屬性衍生的自訂準則。您也可以將工作設定為僅執行一次以進行隨選分析和評估，或定期分析、評估和監視定期執行一次。

這兩個選項都可協助您建立和維護組織存放在 Amazon S3 中的資料以及該資料的任何安全或合規風險的全面檢視。

探索各種敏感資料類型

若要使用 Macie 探索敏感資料，您可以使用內建的準則和技術 (例如機器學習和模式比對) 來分析 S3 儲存貯體中的物件。這些標準和技術 (稱為受管資料識別碼) 可以偵測許多國家和地區不斷增加的敏感資料類型清單，包括多種類型的個人識別資訊 (PII)、財務資訊和憑證資料。

您也可以使用自訂資料識別碼。自訂資料識別碼是您定義用來偵測機密資料的一組準則 (regex)，定義要比對的文字模式 (可選擇性地定義字元序列和細化結果的鄰近規則)。使用此類識別碼，您可以偵測反映特定案例、智慧財產權或專屬資料的敏感資料。您可以補充 Macie 提供的受管理資料識別碼。

若要微調分析，您也可以使用允許清單。允許清單定義您希望 Macie 在 S3 物件中忽略的特定文字和文字模式。這些通常是您特定案例或環境的敏感資料例外狀況，例如組織的公開代表姓名、組織的公用電話號碼或組織用於測試的範例資料。

評估和監控資料以確保安全性和存取控制

當您啟用 Macie 時，Macie 會自動產生並開始維護 S3 一般用途儲存貯體的完整庫存。Macie 還開始評估和監視存儲桶的安全性和訪問控制。如果 Macie 偵測到值區的安全性或隱私權存在潛在問題，就會為您建立原則搜尋結果。

除了特定發現項目之外，儀表板還提供 Amazon S3 資料彙總統計資料的快照。這包括關鍵指標的統計資料，例如可公開存取或與其他人共用的值區數目 AWS 帳戶。您可以向下鑽研每個統計資料以檢閱支援資料。

Macie 也會針對庫存中的個別 S3 儲存貯體提供詳細資訊和統計資料。資料包括值區公開存取和加密設定的劃分，以及 Macie 可分析以偵測值區中敏感資料的物件大小和數量。您可以瀏覽庫存，或按特定字段對庫存進行排序和過濾。

審查和分析發現

在 Macie 中，發現項目是 Macie 在 S3 物件中偵測到的敏感資料的詳細報告，或 S3 一般用途儲存貯體的安全性或隱私權的潛在問題。每個發現項目都會提供嚴重性等級、受影響資源的相關資訊，以及其他詳細資訊，例如 Macie 偵測到資料或問題的時間和方式。

若要檢閱、分析和管理發現項目，您可以使用 Amazon Macie 主控台上的「發現項目」頁面。這些頁面列出您的發現項目，並提供個別發現項目的詳細資訊 它們還提供了多個選項，用於分組，過濾，排序和抑制發現項目。您也可以使用 Amazon Macie API 來查詢、擷取和隱藏發現項目。如果您使用 API，您可以將資料傳遞至其他應用程式、服務或系統，以進行更深入的分析、長期儲存或報告。

監控和處理與其他服務和系統的發現

為了支援與其他服務和系統的整合，Macie 將調查結果發佈給 Amazon EventBridge 作為尋找事件。 EventBridge 是一種無伺服器事件匯流排服務，可將發現項目資料路由到 AWS Lambda 功能和 Amazon Simple Notification Service (Amazon SNS) 主題等目標。有了 EventBridge，您可以在現有的安全性和合規性工作流程中，以近乎即時的方式監控和處理發現項目。

您可以設定 Macie 也將發現項目發佈至 AWS Security Hub。Security Hub 是一項服務，可提供您 AWS 環境中安全性狀態的全面檢視，並協助您根據安全性產業標準和最佳做法來檢查環境。使用 Security Hub，您可以更輕鬆地監視和處理發現項目，作為對組織中的安全性狀態進行更廣泛分析的一部分 AWS。您也可以彙總多個發現項目 AWS 區域，然後監視並處理來自單一「區域」的彙總發現項目資料。

集中管理多個 Macie 帳戶

如果您的 AWS 環境有多個帳戶，您可以集中管理環境中帳戶的 Macie。您可以通過兩種方式執行此操作，通過將 Macie 與 Macie 集成 AWS Organizations 或通過在 Macie 中發送和接受會員邀請來完成此操作。

在多帳戶配置中，指定的 Macie 管理員可以執行某些任務，並訪問屬於同一組織成員的帳戶的某些 Macie 設置，數據和資源。任務包括檢閱成員帳戶所擁有之 S3 儲存貯體的相關資訊、檢閱這些儲存貯體的政策發現項目，以及檢查值區中是否有敏感資料。如果帳戶透過關聯 AWS Organizations，Macie 管理員也可以為組織中的成員帳戶啟用 Macie。

以程式設計方式開發和管

除了 Amazon Macie 控制台外，您還可以使用亞馬遜 Macie API 與 Macie 進行交互。Amazon Macie API 可讓您以程式設計方式存取 Macie 帳戶設定、資料和資源。

若要以程式設計方式與 Macie 互動，您可以將 HTTPS 要求直接傳送至 Macie，或使用目前版本的 AWS 命令列工具或 SDK。 AWS AWS 提供包含各種語言和平台的程式庫和範例程式碼 (例如 Java PowerShell、Go、Python、C++ 和 .NET) 的工具和 SDK。

訪問 Amazon Macie

Amazon Macie 是在大多數 AWS 區域可用. 如需目前可使用 Macie 的區域清單，請參閱. AWS 一般參考 如需管理您的帳戶 AWS 區域 的相關資訊 AWS 帳戶，請參閱AWS Account Management 參考指南中的「指定 AWS 區域 您的帳戶可以使用的項目」。

在每個區域中，您可以使用以下任何一種方式與 Macie 合作。

AWS Management Console

這 AWS Management Console 是一個基於瀏覽器的介面，您可以使用它來建立和管理 AWS 資源。作為該主控台的一部分，Amazon Macie 主控台可讓您存取 Macie 帳戶、資料和資源。您可以使用 Macie 主控台來執行任何 Macie 工作 — 檢閱 S3 儲存貯體的統計資料和其他資訊、建立和執行敏感資料探索任務、檢閱和分析發現項目等。

AWS 命令行工具

使用 AWS 命令行工具，您可以在系統的命令行中發出命令以執行 Macie 任務和 AWS 任務。使用命令行可以比使用控制台更快，更方便。若您想要建構執行 任務的指令碼，命令列工具也非常實用。

AWS 提供兩組指令行工具： AWS Command Line Interface (AWS CLI) 和 AWS Tools for PowerShell. 若要取得有關安裝和使用的資訊 AWS CLI，請參閱《使AWS Command Line Interface 用指南》。若要取得有關安裝和使用的「工具」的資訊 PowerShell，請參閱《使AWS Tools for PowerShell 用指南》。

AWS 開發套件

AWS 提供包含各種程式設計語言和平台 (例如 Java、Go、Python、C++ 和 .NET) 的程式庫和範例程式碼的開發套件。SDK 提供方便、程式化的方式存取 Macie 和其他功能。 AWS 服務他們還處理諸如密碼編譯簽名請求，管理錯誤以及自動重試請求等任務。如需安裝和使用 AWS SDK 的詳細資訊，請參閱建置在其上 AWS的工具。

Amazon Macie 休息 API

Amazon Macie REST API 為您提供對 Macie 帳戶、資料和資源的全面程式設計存取。使用此 API，您可以將 HTTPS 請求直接發送到馬西。但是，與 AWS 命令行工具和 SDK 不同，使用此 API 需要您的應用程序處理低級別的詳細信息，例如生成散列以簽署請求。如需有關此 API 的資訊，請參閱 Amazon Macie API 參考資料。

Amazon Macie 的定價

與其他 AWS 產品一樣，使用 Amazon Macie 沒有合約或最低承諾。

Macie 定價以多種維度為基礎，包括評估和監控 S3 儲存貯體的安全性和存取控制、監控 S3 物件以自動化敏感資料探索，以及分析 S3 物件以探索和報告物件中的敏感資料。如需詳細資訊，請參閱 Amazon Macie 定價。

為了幫助您了解和預測使用 Macie 的成本，Macie 會為您的帳戶提供估計的使用費用。您可以在 Amazon Macie 控制台上查看這些估計值，並使用 Amazon Macie API 訪問它們。視您使用服務的方式而定，搭配使用其他 AWS 服務 功能時可能會產生額外費用，例如從 Amazon S3 擷取儲存貯體資料，以及使用客戶管理解密物件 AWS KMS keys 以進行分析。

當您第一次啟用 Macie 時，系統會自動註冊您 AWS 帳戶 的 Macie 30 天免費試用版。這包括在中作為組織一部分啟用的個別帳戶 AWS Organizations。在免費試用期間，在適用項目中使用 Macie AWS 區域 來評估和監控 S3 儲存貯體的安全性和存取控制無須付費。根據您的帳戶設定，免費試用還包括針對 Amazon S3 資料執行自動化敏感資料探索。免費試用不包括執行敏感資料探索任務來探索和報告 S3 物件中的敏感資料。

為了幫助您了解並預測免費試用期結束後使用 Macie 的成本，Macie 會根據您在試用期間使用 Macie 的情況，為您提供估計的使用費用。您的使用量資料也會指出免費試用期結束前剩餘的時間長度。您可以在 Amazon Macie 主控台上查看此資料，並使用 Amazon Macie API 進行存取。

相關服務

為了在中進一步保護您的資料、工作負載和應用程式 AWS，請考慮將以下 AWS 服務 內容與 Amazon Macie 結合使用。

AWS Security Hub

AWS Security Hub 可讓您全面檢視 AWS 資源的安全狀態，並協助您根據安全性產業標準和最佳實務來檢查 AWS 環境。部分原因是從多個 AWS 服務 (包括 Macie) 和支援的 AWS 合作夥伴網路 (APN) 產品中使用、彙總、組織和優先順序排列您的安全發現結果。Security Hub 可協助您分析安全性趨勢，並識別 AWS 環境中最優先順序的安全性問題。

若要進一步了解資訊 Security Hub，請參閱使AWS Security Hub 用者指南。若要瞭解如何一起使用 Macie 和 Security Hub，請參閱Amazon Macie 與集成 AWS Security Hub。

Amazon GuardDuty

Amazon GuardDuty 是一種安全監控服務，可分析和處理特定類型的 AWS 日誌，例如 Amazon S3 的 AWS CloudTrail 資料事件日誌和 CloudTrail 管理事件日誌。它使用威脅情報摘要，例如惡意 IP 位址和網域的清單，以及機器學習來識別您 AWS 環境中未預期和潛在未經授權的惡意活動。

若要進一步了解 GuardDuty，請參閱 Amazon GuardDuty 使用者指南。

若要深入了解其他 AWS 安全性服務，請參閱上的安全性、身分識別和合規性 AWS。