Macie 中的概念和術語 - Amazon Macie
帳戶管理員帳戶允許清單自動化敏感資料探索AWS安全調查結果格式 (ASFF)可分類的位元組或大小可分類物件自訂資料識別符篩選條件規則問題清單尋找事件job受管資料識別符成員帳戶組織政策調查結果範例問題清單敏感資料調查結果敏感資料探索任務敏感資料探索結果工作階段獨立帳戶隱藏的問題清單禁止規則無法分類的位元組或大小無法分類的物件

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Macie 中的概念和術語

在 Amazon Macie 中,我們以常見的AWS概念和術語為基礎,並使用這些額外的術語。

帳戶

AWS 帳戶標準,其中包含您的AWS資源和可存取這些資源的身分。

若要使用 Macie,請使用AWS您的AWS 帳戶登入資料登入 ,選取您要使用 Macie AWS 區域的 ,然後在AWS 帳戶該區域中為 啟用 Macie。如需詳細資訊,請參閱Macie 入門

Macie 中有三種類型的帳戶:

  • 管理員帳戶 – 此類型的帳戶會管理組織的 Macie 帳戶。組織是一組相互關聯的 Macie 帳戶,並在特定 中以一組相關帳戶集中管理AWS 區域。

  • 成員帳戶 – 此類型的帳戶與組織的 Macie 管理員帳戶相關聯並由其管理。

  • 獨立帳戶 – 此類型的帳戶既不是管理員,也不是成員帳戶。它不是組織的一部分。

您可以透過兩種方式將 Macie 帳戶新增至組織:將 Macie 與 整合,AWS Organizations或傳送和接受 Macie 成員資格邀請。如需詳細資訊,請參閱管理多個 帳戶

管理員帳戶

在 Macie 中,管理組織 Macie 帳戶的 帳戶。組織是一組相互關聯的 Macie 帳戶,在特定 中以一組相關帳戶集中管理AWS 區域。

Macie 管理員帳戶的使用者可存取其組織中所有帳戶的 Amazon Simple Storage Service (Amazon S3) 清查資料、政策調查結果,以及特定 Macie 設定和資源。他們也可以執行自動敏感資料探索和執行敏感資料探索任務,以偵測帳戶擁有的 S3 儲存貯體中的敏感資料。根據將帳戶指定為管理員帳戶的方式,他們也可以為其組織中的其他帳戶執行其他任務。

如需詳細資訊,請參閱管理多個 帳戶

允許清單

在 Macie 中,允許清單會指定您要 Macie 在檢查 S3 物件是否有敏感資料時忽略的文字或文字模式。

您可以在 Macie 中建立兩種類型的允許清單:列出要忽略之特定單字和其他字元序列類型的純文字檔案,或定義要忽略之文字模式的規則表達式 (regex)。如果物件包含符合允許清單中項目或模式的文字,Macie 不會在敏感資料調查結果、統計資料和其他類型的結果中報告文字。即使文字符合受管資料識別符自訂資料識別符的條件,也是如此。

如需詳細資訊,請參閱使用允許清單定義敏感資料例外狀況

自動化敏感資料探索

Macie 持續執行的一系列自動化分析活動,以識別和選取 S3 儲存貯體中的代表性物件,並檢查選取的物件是否有敏感資料。

隨著分析的進行,Macie 會產生其找到的敏感資料 (敏感資料調查結果) 及其執行的分析 (敏感資料探索結果) 的記錄。Macie 也會更新其提供有關 Amazon S3 資料的統計資料和其他資訊。

如需詳細資訊,請參閱執行自動化敏感資料探索

AWS安全調查結果格式 (ASFF)

發佈至 或由 產生之問題清單內容的標準化 JSON 格式AWS Security Hub CSPM。ASFF 包含有關安全問題來源、受影響資源以及調查結果狀態的詳細資訊。

如需 ASFF 的相關資訊,請參閱AWS Security Hub《 使用者指南》中的AWS安全問題清單格式 (ASFF)。如需將 Macie 調查結果發佈至 Security Hub CSPM 的資訊,請參閱 使用 評估問題清單AWS Security Hub CSPM

可分類的位元組或大小

在 Macie 提供的 S3 儲存貯體統計資料中,S3 儲存貯體中所有可分類物件的總儲存大小。

如果已啟用儲存貯體的版本控制,則此值是根據儲存貯體中每個可分類物件的最新版本儲存大小。如果物件是壓縮檔案,此值不會反映檔案解壓縮後檔案內容的實際大小。

如需詳細資訊,請參閱檢閱 S3 儲存貯體庫存評估您的 Amazon S3 安全狀態

可分類物件

Macie 可以分析以偵測敏感資料的 S3 物件。

計算 S3 儲存貯體統計資料時,Macie 會根據物件的儲存類別和檔案名稱副檔名來判斷物件可分類。如果物件使用支援的 Amazon S3 儲存類別,且具有支援的檔案或儲存格式的檔案名稱副檔名,則該物件是可分類的。

如需詳細資訊,請參閱檢閱 S3 儲存貯體庫存支援的儲存類別和格式

對於敏感資料探索,Macie 會根據物件的儲存類別、檔案名稱副檔名和內容來判斷物件可分類。如果物件使用支援的 Amazon S3 儲存類別、具有支援檔案或儲存格式的檔案名稱副檔名,且 Macie 已驗證它可以從物件擷取和分析資料,則可以對物件進行分類

如需詳細資訊,請參閱探索敏感資料支援的儲存類別和格式

自訂資料識別符

一組您定義的條件,用於偵測敏感資料。

此條件包含規則運算式 (Regex),此表達式定義要比對的文字模式,以及可選擇的字元序列和精簡結果之鄰近性規則。字元序列可以是:

  • 關鍵字,其為單詞或片語,必須位於符合 Regex 的文本附近,或者

  • 忽略單詞,其為要從結果中排除的單詞或片語。

除了偵測條件之外,您還可以為自訂資料識別符產生的敏感資料調查結果定義自訂嚴重性設定。

如需詳細資訊,請參閱建置自訂資料識別符

篩選條件規則

您建立並儲存的一組屬性型篩選條件,用於分析 Amazon Macie 主控台上的問題清單。篩選規則可協助您對具有特定特性的問題清單執行一致的分析,例如報告特定類型敏感資料的所有高嚴重性的問題清單。

如需詳細資訊,請參閱定義篩選條件規則

問題清單

Macie 在 S3 物件中找到的敏感資料的詳細報告,或 S3 一般用途儲存貯體的安全性或隱私權潛在問題。每個調查結果都提供詳細資訊,例如嚴重性評分、受影響資源的相關資訊,以及 Macie 何時找到資料或問題。

Macie 會產生兩種問題清單:敏感資料問題清單、Macie 在 S3 物件中偵測到的敏感資料,以及政策問題清單,以及 Macie 使用 S3 儲存貯體的安全和存取控制設定偵測到的潛在問題。在每個類別中,都有特定的問題清單類型。

如需詳細資訊,請參閱問題清單類型

尋找事件

Amazon EventBridge 事件,其中包含敏感資料調查結果政策調查結果的詳細資訊。

Macie 會自動將敏感資料調查結果和政策調查結果以事件形式發佈至 Amazon EventBridge。事件是符合事件 EventBridge 結構描述的 JSON 物件AWS。您可以使用這些事件來監控、處理問題清單,並使用其他應用程式、服務和系統採取行動。

如需詳細資訊,請參閱使用 Amazon EventBridge 處理問題清單問題清單的 Amazon EventBridge 事件結構描述

job

請參閱敏感資料探索任務

受管資料識別符

一組內建條件和技術,旨在偵測特定類型的敏感資料。敏感資料的範例包括信用卡號碼、AWS私密存取金鑰或特定國家或地區的護照號碼。這些識別符可以偵測許多國家和地區的敏感資料類型的大型和不斷增長的清單。

如需詳細資訊,請參閱使用受管資料識別符

成員帳戶

由組織的指定 Macie 管理員帳戶管理的 Macie 帳戶組織是一組相互關聯的 Macie 帳戶,並作為特定 中相關帳戶的群組集中管理AWS 區域。

帳戶可以透過兩種方式成為成員帳戶:在 中整合 Macie 與帳戶的組織,AWS Organizations或接受 Macie 成員資格邀請。

如果您有成員帳戶,您的 Macie 管理員可以存取您帳戶的 Amazon S3 清查資料、政策調查結果,以及特定 Macie 設定和資源。您的管理員也可以執行自動敏感資料探索和執行敏感資料探索任務,以偵測 S3 儲存貯體中的敏感資料。他們也可以為您的帳戶執行其他任務,具體取決於您的帳戶成為成員帳戶的方式。

如需詳細資訊,請參閱管理多個 帳戶

組織

一組相互關聯的 Macie 帳戶,並作為特定 中相關帳戶的群組集中管理AWS 區域。

每個組織都由指定的 Macie 管理員帳戶和一或多個相關聯的成員帳戶組成。管理員帳戶可以存取成員帳戶的特定 Macie 設定、資料和資源。您可以透過兩種方式建立組織:將 Macie 與AWS Organizations整合,或在 Macie 中傳送和接受成員資格邀請。

如需詳細資訊,請參閱管理多個 帳戶

政策調查結果

潛在政策違規或 S3 一般用途儲存貯體之安全性和存取控制設定問題的詳細報告。詳細資訊包括嚴重性評分、受影響資源的相關資訊,以及 Macie 何時發現問題。

當 S3 一般用途儲存貯體的政策或設定以降低儲存貯體和儲存貯體物件的安全性或隱私權的方式變更時,Macie 會產生政策調查結果。Macie 會產生這些調查結果,做為 Amazon S3 資料持續監控活動的一部分。Macie 可以產生多種類型的政策調查結果。

如需詳細資訊,請參閱問題清單類型監控資料安全和隱私權

範例問題清單

使用範例資料和預留位置值來示範問題清單可能包含的資訊類型的問題清單。

如需詳細資訊,請參閱使用範例問題清單

敏感資料調查結果

Macie 在 S3 物件中找到的敏感資料的詳細報告。詳細資訊包括嚴重性評分、受影響資源的相關資訊、Macie 找到的敏感資料的類型和出現次數,以及 Macie 何時找到敏感資料。

如果 Macie 在您執行敏感資料探索任務或執行自動敏感資料探索時,偵測到其分析的 S3 物件中的敏感資料,則會產生敏感資料調查結果。 敏感資料探索任務Macie 可以產生多種類型的敏感資料調查結果。

如需詳細資訊,請參閱問題清單類型探索敏感資料

敏感資料探索任務

也稱為任務,這是 Macie 執行的一系列自動化處理和分析任務,用於偵測和報告 S3 物件中的敏感資料。當您建立任務時,您可以指定您希望任務執行的頻率,並定義任務分析的範圍和性質。

當任務執行時,Macie 會產生找到的敏感資料記錄 (敏感資料調查結果) 及其執行的分析 (敏感資料探索結果)。Macie 也會將記錄資料發佈至 Amazon CloudWatch Logs。

如需詳細資訊,請參閱執行敏感資料探索任務

敏感資料探索結果

記錄 Macie 在 S3 物件上執行之分析詳細資訊的記錄,以判斷物件是否包含敏感資料。Macie 會產生這些記錄並將其寫入 JSON Lines (.jsonl) 檔案,它會加密並存放在您指定的 S3 儲存貯體中。記錄遵循標準化結構描述。

當您執行敏感資料探索任務或 Macie 執行自動敏感資料探索時,Macie 會為每個包含在分析範圍內的物件建立敏感資料探索結果。其中包含:

  • Macie 在其中找到敏感資料的物件,因此也會產生敏感資料調查結果

  • Macie 在其中找不到敏感資料的物件,因此不會產生敏感資料調查結果。

  • Macie 因為許可設定或使用不支援的檔案或儲存格式等錯誤或問題而無法分析的物件。

如需詳細資訊,請參閱儲存及保留敏感資料探索結果

工作階段

代表特定AWS 帳戶中特定 之 Macie 服務的資源AWS 區域。在每個區域中只能AWS 帳戶有一個 Macie 工作階段。

當您第一次啟用 Macie 時,服務會在目前區域中為您的帳戶產生 Macie 工作階段。它也會為該工作階段指派唯一識別符。工作階段可讓 Macie 為 區域中的帳戶運作。

獨立帳戶

Macie 帳戶既不是 管理員,也不是組織中的成員帳戶。帳戶不是組織的一部分。

隱藏的問題清單

隱藏規則自動封存的問題清單。也就是說,Macie 會自動將調查結果的狀態變更為封存,因為當 Macie 產生調查結果時,調查結果符合禁止規則的條件。

如需詳細資訊,請參閱隱藏問題清單

禁止規則

一組屬性型篩選條件,您可以自動建立並儲存至封存 (隱藏) 問題清單。當您已檢閱某類問題清單且不想再次收到通知時,隱藏規則很有用。

如果您使用隱藏規則隱藏問題清單,Macie 會繼續產生符合規則條件的問題清單。不過,Macie 會自動將調查結果的狀態變更為已封存。這表示根據預設,問題清單不會出現在 Amazon Macie 主控台上,而且 Macie 不會將其發佈到其他AWS 服務。

如需詳細資訊,請參閱隱藏問題清單

無法分類的位元組或大小

在 Macie 提供的 S3 儲存貯體統計資料中,S3 儲存貯體中所有不可分類物件的總儲存大小。

如果已啟用儲存貯體的版本控制,則此值是根據儲存貯體中每個不可分類物件之最新版本的儲存體大小。如果物件是壓縮檔案,此值不會反映檔案解壓縮後檔案內容的實際大小。

如需詳細資訊,請參閱檢閱 S3 儲存貯體庫存評估您的 Amazon S3 安全狀態

無法分類的物件

Macie 無法分析以偵測敏感資料的 S3 物件。

計算 S3 儲存貯體統計資料時,Macie 會根據物件的儲存類別和檔案名稱副檔名判斷物件無法分類。如果物件未使用支援的 Amazon S3 儲存類別,或沒有支援的檔案或儲存格式的副檔名,則該物件將無法分類

如需詳細資訊,請參閱檢閱 S3 儲存貯體庫存支援的儲存類別和格式

對於敏感資料探索,Macie 會根據物件的儲存類別、檔案名稱副檔名和內容,判斷物件無法分類。如果物件不使用支援的 Amazon S3 儲存類別、沒有支援檔案或儲存格式的副檔名,或 Macie 無法從物件擷取和分析資料,則該物件將無法分類。例如, 物件是格式不正確的檔案。

如需詳細資訊,請參閱探索敏感資料支援的儲存類別和格式