建立允許清單 - Amazon Macie

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立允許清單

在 Amazon Macie 中,允許清單會定義特定文字或文字模式,您希望 Macie 在檢查 Amazon Simple Storage Service (Amazon S3) 物件是否有敏感資料時忽略這些文字或文字模式。如果文字符合允許清單中的項目或模式,Macie 不會在敏感資料調查結果、統計資料或其他類型的結果中報告文字。即使文字符合受管資料識別碼自訂資料識別碼的條件,也是如此。

您可以在 Macie 中建立下列類型的允許清單。

預先定義的文字

使用此類型的清單來指定不敏感、不太可能變更且不一定遵循常見模式的單字、片語和其他類型的字元序列。範例包括:您組織的公有代表名稱、特定電話號碼,以及組織用於測試的特定範例資料。如果您使用此類型的清單,Macie 會忽略完全符合清單中項目的文字。

對於此類型的清單,您可以建立以行分隔的純文字檔案,列出要忽略的特定文字。然後,您將檔案存放在 S3 儲存貯體中,並設定 Macie 存取儲存貯體中清單的設定。然後,您可以建立和設定敏感資料探索任務以使用清單,或將清單新增至您的設定,以進行自動化敏感資料探索。當每個任務開始執行或下一個自動探索分析週期開始時,Macie 會從 Amazon S3 擷取清單的最新版本。然後,Macie 會在檢查 S3 物件是否有敏感資料時使用該版本的清單。如果 Macie 找到與清單中項目完全相符的文字,Macie 不會將該文字的出現報告為敏感資料。

Regular expression (常規表達式)

使用此類型的清單來指定規則表達式 (regex),定義要忽略的文字模式。範例包括:組織的公有電話號碼、組織網域的電子郵件地址,以及組織用於測試的模式化範例資料。如果您使用此類型的清單,Macie 會忽略完全符合清單所定義之 regex 模式的文字。

對於此類型的清單,您可以建立 regex,定義不敏感但不同或可能變更之文字的常見模式。與預先定義的文字清單不同,您可以在 Macie 中建立和存放 regex 和所有其他清單設定。然後,您可以建立和設定敏感資料探索任務以使用清單,或將清單新增至您的設定,以進行自動化敏感資料探索。當這些任務執行或 Macie 執行自動探索時,Macie 會使用最新版本的清單 regex 來分析資料。如果 Macie 找到完全符合清單定義模式的文字,Macie 不會將該文字的出現報告為敏感資料。

如需每種類型的詳細需求、建議和範例,請參閱允許清單的組態選項和要求

您可以在每個支援的清單中建立最多 10 個允許清單 AWS 區域:最多五個允許指定預先定義文字的清單,以及最多五個允許指定規則表達式的清單。您可以在目前可使用 AWS 區域 Macie 的所有 中建立和使用允許清單,亞太區域 (大阪) 區域除外。

建立允許清單

建立允許清單的方式取決於您要建立的清單類型:列出要忽略之預先定義文字的檔案,或定義要忽略之文字模式的規則表達式。以下各節提供每種類型的說明。選擇您要建立之清單類型的區段。

在 Macie 中建立此類型的允許清單之前,請執行下列動作:

  1. 透過使用文字編輯器,建立以行分隔的純文字檔案,列出要忽略的特定文字,例如 .txt、.text 或 .plain 檔案。如需詳細資訊,請參閱語法需求

  2. 將檔案上傳至 S3 一般用途儲存貯體,並記下儲存貯體的名稱和物件。在 Macie 中設定設定時,您需要輸入這些名稱。

  3. 請確定 S3 儲存貯體和物件的設定可讓您和 Macie 從儲存貯體擷取清單。如需詳細資訊,請參閱儲存需求

  4. 如果您已加密 S3 物件,請確定已使用您和 Macie 可使用的金鑰進行加密。如需詳細資訊,請參閱加密/解密要求

完成這些任務後,您就可以在 Macie 中設定清單的設定。您可以使用 Amazon Macie 主控台或 Amazon Macie API 來設定設定。

Console

請依照下列步驟,使用 Amazon Macie 主控台來設定允許清單的設定。

在 Macie 中設定允許清單設定

  1. https://console.aws.amazon.com/macie/:// 開啟 Amazon Macie 主控台。

  2. 在導覽窗格中的設定下,選擇允許清單

  3. 允許清單頁面上,選擇建立

  4. 選取清單類型下,選擇預先定義文字

  5. 清單設定下,使用下列選項輸入允許清單的其他設定:

    • 針對名稱,輸入清單的名稱。該名稱最多可包含 128 個字元。

    • 針對描述,選擇性地輸入清單的簡短描述。該描述最多可包含 512 個字元。

    • 針對 S3 儲存貯體名稱,輸入存放清單的儲存貯體名稱。

      在 Amazon S3 中,您可以在儲存貯體屬性的名稱欄位中找到此值。此值區分大小寫。此外,當您輸入名稱時,請勿使用萬用字元或部分值。

    • 針對 S3 物件名稱,輸入存放清單的 S3 物件名稱。

      在 Amazon S3 中,您可以在物件屬性的金鑰欄位中找到此值。如果名稱包含路徑,請務必在輸入名稱時包含完整的路徑,例如 allowlists/macie/mylist.txt。此值區分大小寫。此外,當您輸入名稱時,請勿使用萬用字元或部分值。

  6. (選用) 在標籤下,選擇新增標籤,然後輸入最多 50 個標籤來指派給允許清單。

    Atag 是您定義並指派給特定類型 AWS 資源的標籤。每個標籤都包含必要的標籤索引鍵和選用的標籤值。標籤可協助您以不同方式識別、分類和管理資源,例如依用途、擁有者、環境或其他條件。如需進一步了解,請參閱 標記 Macie 資源

  7. 當您完成時,請選擇建立

Macie 會測試清單的設定。Macie 也會驗證它可以從 Amazon S3 擷取清單,並剖析清單的內容。如果發生錯誤,Macie 會顯示說明錯誤的訊息。如需可協助您對錯誤進行故障診斷的詳細資訊,請參閱 預先定義文字清單的選項和需求。解決任何錯誤之後,您可以儲存清單的設定。

API

若要以程式設計方式設定允許清單設定,請使用 Amazon Macie API 的 CreateAllowList 操作,並為所需的參數指定適當的值。

針對 criteria 參數,使用 s3WordsList 物件來指定 S3 儲存貯體 (bucketName) 的名稱,以及存放清單的 S3 物件 (objectKey) 名稱。若要判斷儲存貯體名稱,請參閱 Amazon S3 中的 Name 欄位。若要判斷物件名稱,請參閱 Amazon S3 中的 Key 欄位。請注意,這些值區分大小寫。此外,當您指定這些名稱時,請勿使用萬用字元或部分值。

若要使用 來設定設定 AWS CLI,請執行 create-allow-list 命令,並指定所需參數的適當值。下列範例示範如何為存放在名為 amzn-s3-demo-bucket 的 S3 儲存貯體中的允許清單設定設定。存放清單的 S3 物件名稱為 allowlists/macie/mylist.txt

此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\) 行接續字元來改善可讀性。

$ aws macie2 create-allow-list \
--criteria '{"s3WordsList":{"bucketName":"amzn-s3-demo-bucket","objectKey":"allowlists/macie/mylist.txt"}}' \
--name my_allow_list \
--description "Lists public phone numbers and names for Example Corp."

此範例已針對 Microsoft Windows 進行格式化,並使用 caret (^) line-contination 字元來改善可讀性。

C:\> aws macie2 create-allow-list ^
--criteria={\"s3WordsList\":{\"bucketName\":\"amzn-s3-demo-bucket\",\"objectKey\":\"allowlists/macie/mylist.txt\"}} ^
--name my_allow_list ^
--description "Lists public phone numbers and names for Example Corp."

當您提交請求時,Macie 會測試清單的設定。Macie 也會驗證它可以從 Amazon S3 擷取清單,並剖析清單的內容。如果發生錯誤,您的請求會失敗,Macie 會傳回說明錯誤的訊息。如需可協助您對錯誤進行故障診斷的詳細資訊,請參閱 預先定義文字清單的選項和需求

如果 Macie 可以擷取和剖析清單,您的請求就會成功,而且您會收到類似以下的輸出。

{
    "arn": "arn:aws:macie2:us-west-2:123456789012:allow-list/nkr81bmtu2542yyexample",
    "id": "nkr81bmtu2542yyexample"
}

其中 arn是所建立允許清單的 Amazon Resource Name (ARN),id也是清單的唯一識別符。

儲存清單的設定後,您可以建立和設定敏感資料探索任務以使用清單,或將清單新增至您的設定以進行自動敏感資料探索。每次這些任務開始執行或自動探索分析週期開始時,Macie 都會從 Amazon S3 擷取最新版本的清單。然後,Macie 會在分析資料時使用該版本的清單。

當您建立指定規則表達式 (regex) 的允許清單時,您可以直接在 Macie 中定義 regex 和所有其他清單設定。對於 regex,Macie 支援 Perl 相容規則表達式 (PCRE) 程式庫提供的模式語法子集。如需詳細資訊,請參閱語法支援和建議

您可以使用 Amazon Macie 主控台或 Amazon Macie API 來建立此類型的清單。

Console

請依照下列步驟,使用 Amazon Macie 主控台建立允許清單。

使用主控台建立允許清單

  1. https://console.aws.amazon.com/macie/:// 開啟 Amazon Macie 主控台。

  2. 在導覽窗格中的設定下,選擇允許清單

  3. 允許清單頁面上,選擇建立

  4. 選取清單類型下,選擇規則表達式。

  5. 清單設定下,使用下列選項輸入允許清單的其他設定:

    • 針對名稱,輸入清單的名稱。該名稱最多可包含 128 個字元。

    • 針對描述,選擇性地輸入清單的簡短描述。該描述最多可包含 512 個字元。

    • 對於規則表達式,輸入定義要忽略的文字模式的 regex。regex 最多可包含 512 個字元。

  6. (選用) 針對評估,在範例資料方塊中輸入最多 1,000 個字元,然後選擇測試以測試 regex。Macie 會評估範例資料,並報告符合 regex 的文字出現次數。您可以重複此步驟任意次數,以精簡和最佳化 regex。

    注意

    建議您使用多組範例資料來測試和精簡 regex。如果您建立過於一般的 regex,Macie 可能會忽略您認為敏感的文字。如果 regex 太具體,Macie 可能不會忽略您不認為敏感的文字。

  7. (選用) 在標籤下,選擇新增標籤,然後輸入最多 50 個標籤來指派給允許清單。

    Atag 是您定義並指派給特定類型 AWS 資源的標籤。每個標籤都包含必要的標籤索引鍵和選用的標籤值。標籤可協助您以不同方式識別、分類和管理資源,例如依用途、擁有者、環境或其他條件。如需進一步了解,請參閱 標記 Macie 資源

  8. 當您完成時,請選擇建立

Macie 會測試清單的設定。Macie 也會測試 regex,以確認它可以編譯表達式。如果發生錯誤,Macie 會顯示說明錯誤的訊息。如需可協助您排除錯誤的詳細資訊,請參閱 規則表達式的選項和要求。解決任何錯誤之後,您可以儲存允許清單。

API

在 Macie 中建立此類型的允許清單之前,我們建議您使用多組範例資料來測試和精簡 regex。如果您建立過於一般的 regex,Macie 可能會忽略您認為敏感的文字。如果 regex 太具體,Macie 可能不會忽略您不認為敏感的文字。

若要使用 Macie 測試表達式,您可以使用 Amazon Macie API 的 TestCustomDataIdentifier 操作,或針對 AWS CLI執行 test-custom-data-identifier 命令。Macie 使用相同的基礎程式碼來編譯允許清單和自訂資料識別符的表達式。如果您以這種方式測試表達式,請務必僅指定 regexsampleText 參數的值。否則,您將收到不準確的結果。

當您準備好建立此類型的允許清單時,請使用 Amazon Macie API 的 CreateAllowList 操作,並為所需的參數指定適當的值。針對 criteria 參數,使用 regex 欄位指定定義要忽略的文字模式的規則表達式。該運算式最多可包含 512 個字元。

若要使用 建立此類型的清單 AWS CLI,請執行 create-allow-list 命令,並指定所需參數的適當值。下列範例會建立名為 my_allow_list 的允許清單。regex 旨在忽略自訂資料識別符可能以其他方式為example.com網域偵測的所有電子郵件地址。

此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\) 行接續字元來改善可讀性。

$ aws macie2 create-allow-list \
--criteria '{"regex":"[a-z]@example.com"}' \
--name my_allow_list \
--description "Ignores all email addresses for Example Corp."

此範例已針對 Microsoft Windows 進行格式化,並使用 caret (^) line-contination 字元來改善可讀性。

C:\> aws macie2 create-allow-list ^
--criteria={\"regex\":\"[a-z]@example.com\"} ^
--name my_allow_list ^
--description "Ignores all email addresses for Example Corp."

當您提交請求時,Macie 會測試清單的設定。Macie 也會測試 regex,以確認它可以編譯表達式。如果發生錯誤,請求會失敗,Macie 會傳回說明錯誤的訊息。如需可協助您排除錯誤的詳細資訊,請參閱 規則表達式的選項和要求

如果 Macie 可以編譯表達式,則請求會成功,而您會收到類似以下的輸出:

{
    "arn": "arn:aws:macie2:us-west-2:123456789012:allow-list/km2d4y22hp6rv05example",
    "id": "km2d4y22hp6rv05example"
}

其中 arn是所建立允許清單的 Amazon Resource Name (ARN),id也是清單的唯一識別符。

儲存清單後,您可以建立和設定敏感資料探索任務來使用,或將其新增至您的設定,以進行自動敏感資料探索。當這些任務執行或 Macie 執行自動探索時,Macie 會使用最新版本的清單 regex 來分析資料。