启用自动敏感数据发现 - Amazon Macie

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

启用自动敏感数据发现

当您启用自动敏感数据发现后,Amazon Macie 会开始评测您的 Amazon Simple Storage Service (Amazon S3) 清单,并在当前的 AWS 区域中为您的账户执行其他自动化发现活动。如果您是组织的 Macie 管理员,默认情况下,评估和活动包括成员账户拥有的 S3 存储桶。根据您的 Amazon S3 数据资产的大小,统计数据和其他结果可能会在 48 小时内开始显示。

启用自动敏感数据发现后,您可以配置设置,以完善 Macie 执行分析的范围和性质。这些设置指定了要从分析中排除的任何 S3 存储桶。它们还指定托管数据标识符、自定义数据标识符,以及 Macie 在分析 S3 对象时希望使用的允许列表。有关这些设置的信息,请参阅 配置自动敏感数据发现的设置。如果您是组织的 Macie 管理员,则还可以通过为组织中的个人账户启用或禁用自动敏感数据发现来缩小分析范围 case-by-case。

要启用自动敏感数据发现,您必须是组织的 Macie 管理员或拥有独立的 Macie 账户。如果您在组织中拥有成员帐户,请与您的 Macie 管理员合作,为您的帐户启用自动敏感数据发现功能。

启用自动敏感数据发现

如果您是组织的 Macie 管理员或拥有独立的 Macie 账户,则可以使用亚马逊 Macie 控制台或亚马逊 Macie API 启用自动发现敏感数据。如果您是第一次启用它,请先完成先决任务。这有助于确保您拥有所需的资源和权限。

Console

按照以下步骤使用 Amazon Macie 控制台启用自动发现敏感数据。

启用自动敏感数据发现

  1. 打开亚马逊 Macie 主机,网址为。https://console.aws.amazon.com/macie/

  2. 使用页面右上角的 AWS 区域 选择器,选择要在其中启用自动敏感数据发现的区域。

  3. 在导航窗格的设置下,选择自动敏感数据发现

  4. 如果您有独立的 Macie 账户,请在状态部分选择启用

  5. 如果您是组织的 Macie 管理员,请在状态部分中选择一个选项,指定要启用自动敏感数据发现的账户:

    • 要为组织中的所有账户启用该功能,请选择启用。在随后显示的对话框中,选择我的组织。对于中的组织 AWS Organizations,请选择 “为新帐户自动启用”,以同时为随后加入您的组织的帐户自动启用该功能。完成后,选择启用

    • 要只对特定的成员账户启用,请选择管理账户。然后,在 “帐户” 页面的表格中,选中要为其启用的每个帐户对应的复选框。完成后,在操作菜单上选择启用自动敏感数据发现

    • 要只为 Macie 管理员账户启用该功能,请选择启用。在出现的对话框中,选择我的账户,然后清除为新账户自动启用。完成后,选择启用

如果您在多个区域使用 Macie,并希望在其他区域启用自动敏感数据发现,请在每个其他区域重复上述步骤。

要随后检查或更改组织中各个帐户的自动敏感数据发现状态,请在导航窗格中选择帐户。在账户页面上,表中的自动敏感数据发现字段显示账户自动发现功能的当前状态。要更改账户的状态,请选中该账户的复选框。然后使用 “操作” 菜单启用或禁用账户的自动发现。

API

要以编程方式启用自动发现敏感数据,您有以下几种选择:

其他选项和详细信息因您拥有的账户类型而异。

如果您是 Macie 管理员,请使用UpdateAutomatedDiscoveryConfiguration操作或运行update-automated-discovery-configuration命令为您的账户或组织启用自动敏感数据发现功能。在您的请求中,ENABLEDstatus参数指定。对于autoEnableOrganizationMembers参数,请指定要为其启用该参数的帐户。如果您使用的是 AWS CLI,请使用auto-enable-organization-members参数指定帐户。有效值为:

  • ALL(默认)— 为组织中的所有账户启用该功能。这包括您的管理员帐户、现有成员帐户以及随后加入您的组织的帐户。

  • NEW— 为您的管理员帐户启用它。此外,还可为随后加入贵组织的账户自动启用该功能。如果您之前为组织启用了自动发现并指定了此值,则将继续为当前启用的现有成员帐户启用自动发现。

  • NONE— 仅为您的管理员帐户启用该功能。不要为随后加入贵组织的账户自动启用该功能。如果您之前为组织启用了自动发现并指定了此值,则将继续为当前启用的现有成员帐户启用自动发现。

如果要有选择地仅为特定成员帐户启用自动敏感数据发现,请指定NEWNONE。然后,您可以使用该BatchUpdateAutomatedDiscoveryAccounts操作或运行batch-update-automated-discovery-accounts命令来启用账户的自动发现。

如果您有独立的 Macie 帐户,请使用该UpdateAutomatedDiscoveryConfiguration操作或运行update-automated-discovery-configuration命令为您的帐户启用自动敏感数据发现。在您的请求中,ENABLEDstatus参数指定。对于autoEnableOrganizationMembers参数,请考虑您是否计划成为其他账户的 Macie 管理员,并指定相应的值。如果您指定NONE,则当您成为该帐户的 Macie 管理员时,不会自动为该帐户启用自动发现。如果您指定ALLNEW,则会自动为该账户启用自动发现。如果您使用的是 AWS CLI,请使用auto-enable-organization-members参数为此设置指定相应的值。

以下示例说明如何使用为组织中的一个或多个账户启用自动敏感数据发现功能。 AWS CLI 第一个示例首次启用了组织中所有账户的自动发现功能。它允许自动发现 Macie 管理员帐户、所有现有成员帐户以及随后加入组织的所有帐户。

$ aws macie2 update-automated-discovery-configuration --status ENABLED --auto-enable-organization-members ALL --region us-east-1

哪个区域us-east-1是允许账户自动发现敏感数据的区域,即美国东部(弗吉尼亚北部)区域。如果请求成功,Macie 会启用账户的自动发现功能并返回空响应。

下一个示例将组织的成员启用设置更改为。NONE此次变更后,系统不会自动为随后加入该组织的账户启用自动敏感数据发现功能。取而代之的是,它仅适用于 Macie 管理员帐户以及当前为其启用的任何现有成员帐户。

$ aws macie2 update-automated-discovery-configuration --status ENABLED --auto-enable-organization-members NONE --region us-east-1

要更改设置的区域在哪里us-east-1,即美国东部(弗吉尼亚北部)区域。如果请求成功,Macie 会更新设置并返回空响应。

以下示例允许自动发现组织中的两个成员帐户的敏感数据。Macie 管理员已经为该组织启用了自动发现。此示例针对 Linux、macOS 或 Unix 进行格式化,并使用反斜杠 (\) 行继续符来提高可读性。

$ aws macie2 batch-update-automated-discovery-accounts \
--region us-east-1 \
--accounts '[{"accountId":"123456789012","status":"ENABLED"},{"accountId":"111122223333","status":"ENABLED"}]'

此示例针对 Microsoft Windows 进行格式化,并使用脱字号 (^) 行继续符来提高可读性。

C:\> aws macie2 batch-update-automated-discovery-accounts ^
--region us-east-1 ^
--accounts=[{\"accountId\":\"123456789012\",\"status\":\"ENABLED\"},{\"accountId\":\"111122223333\",\"status\":\"ENABLED\"}]

其中:

  • us-east-1是为指定账户启用自动敏感数据发现功能的区域,即美国东部(弗吉尼亚北部)区域。

  • 123456789012并且111122223333是 IDs 用于启用自动敏感数据发现功能的帐户的帐户。

如果所有指定账户的请求均成功,Macie 将返回一个空errors数组。如果某些账户的请求失败,则该数组会指定每个受影响账户发生的错误。例如:

"errors": [
    {
        "accountId": "123456789012",
        "errorCode": "ACCOUNT_PAUSED"
    }
]

在之前的响应中,对指定账户 (123456789012) 的请求失败,因为 Macie 当前已暂停该账户。要解决此错误,Macie 管理员必须先为该账户启用 Macie。

如果所有账户的请求都失败,您将收到一条描述所发生错误的消息。