本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
建立允許清單
在 Amazon Macie 中,允許清單會定義特定文字或文字模式,您希望 Macie 在檢查 Amazon Simple Storage Service (Amazon S3) 物件是否有敏感資料時忽略這些文字或文字模式。如果文字符合允許清單中的項目或模式,Macie 不會在敏感資料調查結果、統計資料或其他類型的結果中報告文字。即使文字符合受管資料識別碼或自訂資料識別碼的條件,也是如此。
您可以在 Macie 中建立下列類型的允許清單。
- 預先定義的文字
-
使用此類型的清單來指定不敏感、不太可能變更且不一定遵循常見模式的單字、片語和其他類型的字元序列。範例包括:您組織的公有代表名稱、特定電話號碼,以及組織用於測試的特定範例資料。如果您使用此類型的清單,Macie 會忽略完全符合清單中項目的文字。
對於此類型的清單,您可以建立以行分隔的純文字檔案,列出要忽略的特定文字。然後,您將檔案存放在 S3 儲存貯體中,並設定 Macie 存取儲存貯體中清單的設定。然後,您可以建立和設定敏感資料探索任務以使用清單,或將清單新增至您的設定,以進行自動化敏感資料探索。當每個任務開始執行或下一個自動探索分析週期開始時,Macie 會從 Amazon S3 擷取清單的最新版本。然後,Macie 會在檢查 S3 物件是否有敏感資料時使用該版本的清單。如果 Macie 找到與清單中項目完全相符的文字,Macie 不會將該文字的出現報告為敏感資料。
- Regular expression (常規表達式)
-
使用此類型的清單來指定規則表達式 (regex),定義要忽略的文字模式。範例包括:組織的公有電話號碼、組織網域的電子郵件地址,以及組織用於測試的模式化範例資料。如果您使用此類型的清單,Macie 會忽略完全符合清單所定義之 regex 模式的文字。
對於此類型的清單,您可以建立 regex,定義不敏感但不同或可能變更之文字的常見模式。與預先定義的文字清單不同,您可以在 Macie 中建立和存放 regex 和所有其他清單設定。然後,您可以建立和設定敏感資料探索任務以使用清單,或將清單新增至您的設定,以進行自動化敏感資料探索。當這些任務執行或 Macie 執行自動探索時,Macie 會使用最新版本的清單 regex 來分析資料。如果 Macie 找到完全符合清單定義模式的文字,Macie 不會將該文字的出現報告為敏感資料。
如需每種類型的詳細需求、建議和範例,請參閱允許清單的組態選項和要求。
您可以在每個支援的清單中建立最多 10 個允許清單 AWS 區域:最多五個允許指定預先定義文字的清單,以及最多五個允許指定規則表達式的清單。您可以在目前可使用 AWS 區域 Macie 的所有 中建立和使用允許清單,亞太區域 (大阪) 區域除外。
建立允許清單
建立允許清單的方式取決於您要建立的清單類型:列出要忽略之預先定義文字的檔案,或定義要忽略之文字模式的規則表達式。以下各節提供每種類型的說明。選擇您要建立之清單類型的區段。
在 Macie 中建立此類型的允許清單之前,請執行下列動作:
-
透過使用文字編輯器,建立以行分隔的純文字檔案,列出要忽略的特定文字,例如 .txt、.text 或 .plain 檔案。如需詳細資訊,請參閱語法需求。
-
將檔案上傳至 S3 一般用途儲存貯體,並記下儲存貯體的名稱和物件。在 Macie 中設定設定時,您需要輸入這些名稱。
-
請確定 S3 儲存貯體和物件的設定可讓您和 Macie 從儲存貯體擷取清單。如需詳細資訊,請參閱儲存需求。
-
如果您已加密 S3 物件,請確定已使用您和 Macie 可使用的金鑰進行加密。如需詳細資訊,請參閱加密/解密要求。
完成這些任務後,您就可以在 Macie 中設定清單的設定。您可以使用 Amazon Macie 主控台或 Amazon Macie API 來設定設定。
- Console
-
請依照下列步驟,使用 Amazon Macie 主控台來設定允許清單的設定。
在 Macie 中設定允許清單設定
在 https://console.aws.amazon.com/macie/:// 開啟 Amazon Macie 主控台。
-
在導覽窗格中的設定下,選擇允許清單。
-
在允許清單頁面上,選擇建立。
-
在選取清單類型下,選擇預先定義文字。
-
在清單設定下,使用下列選項輸入允許清單的其他設定:
-
針對名稱,輸入清單的名稱。該名稱最多可包含 128 個字元。
-
針對描述,選擇性地輸入清單的簡短描述。該描述最多可包含 512 個字元。
-
針對 S3 儲存貯體名稱,輸入存放清單的儲存貯體名稱。
在 Amazon S3 中,您可以在儲存貯體屬性的名稱欄位中找到此值。此值區分大小寫。此外,當您輸入名稱時,請勿使用萬用字元或部分值。
-
針對 S3 物件名稱,輸入存放清單的 S3 物件名稱。
在 Amazon S3 中,您可以在物件屬性的金鑰欄位中找到此值。如果名稱包含路徑,請務必在輸入名稱時包含完整的路徑,例如 allowlists/macie/mylist.txt
。此值區分大小寫。此外,當您輸入名稱時,請勿使用萬用字元或部分值。
-
(選用) 在標籤下,選擇新增標籤,然後輸入最多 50 個標籤來指派給允許清單。
Atag 是您定義並指派給特定類型 AWS 資源的標籤。每個標籤都包含必要的標籤索引鍵和選用的標籤值。標籤可協助您以不同方式識別、分類和管理資源,例如依用途、擁有者、環境或其他條件。如需進一步了解,請參閱 標記 Macie 資源。
-
當您完成時,請選擇建立。
Macie 會測試清單的設定。Macie 也會驗證它可以從 Amazon S3 擷取清單,並剖析清單的內容。如果發生錯誤,Macie 會顯示說明錯誤的訊息。如需可協助您對錯誤進行故障診斷的詳細資訊,請參閱 預先定義文字清單的選項和需求。解決任何錯誤之後,您可以儲存清單的設定。
- API
-
若要以程式設計方式設定允許清單設定,請使用 Amazon Macie API 的 CreateAllowList 操作,並為所需的參數指定適當的值。
針對 criteria
參數,使用 s3WordsList
物件來指定 S3 儲存貯體 (bucketName
) 的名稱,以及存放清單的 S3 物件 (objectKey
) 名稱。若要判斷儲存貯體名稱,請參閱 Amazon S3 中的 Name
欄位。若要判斷物件名稱,請參閱 Amazon S3 中的 Key
欄位。請注意,這些值區分大小寫。此外,當您指定這些名稱時,請勿使用萬用字元或部分值。
若要使用 來設定設定 AWS CLI,請執行 create-allow-list 命令,並指定所需參數的適當值。下列範例示範如何為存放在名為 amzn-s3-demo-bucket
的 S3 儲存貯體中的允許清單設定設定。存放清單的 S3 物件名稱為 allowlists/macie/mylist.txt
。
此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\) 行接續字元來改善可讀性。
$
aws macie2 create-allow-list \
--criteria '{"s3WordsList":{"bucketName":"amzn-s3-demo-bucket
","objectKey":"allowlists/macie/mylist.txt
"}}' \
--name my_allow_list
\
--description "Lists public phone numbers and names for Example Corp.
"
此範例已針對 Microsoft Windows 進行格式化,並使用 caret (^) line-contination 字元來改善可讀性。
C:\>
aws macie2 create-allow-list ^
--criteria={\"s3WordsList\":{\"bucketName\":\"amzn-s3-demo-bucket
\",\"objectKey\":\"allowlists/macie/mylist.txt
\"}} ^
--name my_allow_list
^
--description "Lists public phone numbers and names for Example Corp.
"
當您提交請求時,Macie 會測試清單的設定。Macie 也會驗證它可以從 Amazon S3 擷取清單,並剖析清單的內容。如果發生錯誤,您的請求會失敗,Macie 會傳回說明錯誤的訊息。如需可協助您對錯誤進行故障診斷的詳細資訊,請參閱 預先定義文字清單的選項和需求。
如果 Macie 可以擷取和剖析清單,您的請求就會成功,而且您會收到類似以下的輸出。
{
"arn": "arn:aws:macie2:us-west-2:123456789012:allow-list/nkr81bmtu2542yyexample",
"id": "nkr81bmtu2542yyexample"
}
其中 arn
是所建立允許清單的 Amazon Resource Name (ARN),id
也是清單的唯一識別符。
儲存清單的設定後,您可以建立和設定敏感資料探索任務以使用清單,或將清單新增至您的設定以進行自動敏感資料探索。每次這些任務開始執行或自動探索分析週期開始時,Macie 都會從 Amazon S3 擷取最新版本的清單。然後,Macie 會在分析資料時使用該版本的清單。
當您建立指定規則表達式 (regex) 的允許清單時,您可以直接在 Macie 中定義 regex 和所有其他清單設定。對於 regex,Macie 支援 Perl 相容規則表達式 (PCRE) 程式庫提供的模式語法子集。如需詳細資訊,請參閱語法支援和建議。
您可以使用 Amazon Macie 主控台或 Amazon Macie API 來建立此類型的清單。
- Console
-
請依照下列步驟,使用 Amazon Macie 主控台建立允許清單。
使用主控台建立允許清單
在 https://console.aws.amazon.com/macie/:// 開啟 Amazon Macie 主控台。
-
在導覽窗格中的設定下,選擇允許清單。
-
在允許清單頁面上,選擇建立。
-
在選取清單類型下,選擇規則表達式。
-
在清單設定下,使用下列選項輸入允許清單的其他設定:
-
針對名稱,輸入清單的名稱。該名稱最多可包含 128 個字元。
-
針對描述,選擇性地輸入清單的簡短描述。該描述最多可包含 512 個字元。
-
對於規則表達式,輸入定義要忽略的文字模式的 regex。regex 最多可包含 512 個字元。
-
(選用) 針對評估,在範例資料方塊中輸入最多 1,000 個字元,然後選擇測試以測試 regex。Macie 會評估範例資料,並報告符合 regex 的文字出現次數。您可以重複此步驟任意次數,以精簡和最佳化 regex。
建議您使用多組範例資料來測試和精簡 regex。如果您建立過於一般的 regex,Macie 可能會忽略您認為敏感的文字。如果 regex 太具體,Macie 可能不會忽略您不認為敏感的文字。
-
(選用) 在標籤下,選擇新增標籤,然後輸入最多 50 個標籤來指派給允許清單。
Atag 是您定義並指派給特定類型 AWS 資源的標籤。每個標籤都包含必要的標籤索引鍵和選用的標籤值。標籤可協助您以不同方式識別、分類和管理資源,例如依用途、擁有者、環境或其他條件。如需進一步了解,請參閱 標記 Macie 資源。
-
當您完成時,請選擇建立。
Macie 會測試清單的設定。Macie 也會測試 regex,以確認它可以編譯表達式。如果發生錯誤,Macie 會顯示說明錯誤的訊息。如需可協助您排除錯誤的詳細資訊,請參閱 規則表達式的選項和要求。解決任何錯誤之後,您可以儲存允許清單。
- API
-
在 Macie 中建立此類型的允許清單之前,我們建議您使用多組範例資料來測試和精簡 regex。如果您建立過於一般的 regex,Macie 可能會忽略您認為敏感的文字。如果 regex 太具體,Macie 可能不會忽略您不認為敏感的文字。
若要使用 Macie 測試表達式,您可以使用 Amazon Macie API 的 TestCustomDataIdentifier 操作,或針對 AWS CLI執行 test-custom-data-identifier 命令。Macie 使用相同的基礎程式碼來編譯允許清單和自訂資料識別符的表達式。如果您以這種方式測試表達式,請務必僅指定 regex
和 sampleText
參數的值。否則,您將收到不準確的結果。
當您準備好建立此類型的允許清單時,請使用 Amazon Macie API 的 CreateAllowList 操作,並為所需的參數指定適當的值。針對 criteria
參數,使用 regex
欄位指定定義要忽略的文字模式的規則表達式。該運算式最多可包含 512 個字元。
若要使用 建立此類型的清單 AWS CLI,請執行 create-allow-list 命令,並指定所需參數的適當值。下列範例會建立名為 my_allow_list
的允許清單。regex 旨在忽略自訂資料識別符可能以其他方式為example.com
網域偵測的所有電子郵件地址。
此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\) 行接續字元來改善可讀性。
$
aws macie2 create-allow-list \
--criteria '{"regex":"[a-z]@example.com
"}' \
--name my_allow_list
\
--description "Ignores all email addresses for Example Corp.
"
此範例已針對 Microsoft Windows 進行格式化,並使用 caret (^) line-contination 字元來改善可讀性。
C:\>
aws macie2 create-allow-list ^
--criteria={\"regex\":\"[a-z]@example.com
\"} ^
--name my_allow_list
^
--description "Ignores all email addresses for Example Corp.
"
當您提交請求時,Macie 會測試清單的設定。Macie 也會測試 regex,以確認它可以編譯表達式。如果發生錯誤,請求會失敗,Macie 會傳回說明錯誤的訊息。如需可協助您排除錯誤的詳細資訊,請參閱 規則表達式的選項和要求。
如果 Macie 可以編譯表達式,則請求會成功,而您會收到類似以下的輸出:
{
"arn": "arn:aws:macie2:us-west-2:123456789012:allow-list/km2d4y22hp6rv05example",
"id": "km2d4y22hp6rv05example"
}
其中 arn
是所建立允許清單的 Amazon Resource Name (ARN),id
也是清單的唯一識別符。
儲存清單後,您可以建立和設定敏感資料探索任務來使用,或將其新增至您的設定,以進行自動敏感資料探索。當這些任務執行或 Macie 執行自動探索時,Macie 會使用最新版本的清單 regex 來分析資料。