本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 什么是 Amazon Macie？
<a name="what-is-macie"></a>

Amazon Macie 是一项数据安全服务，该服务使用机器学习和模式匹配来发现敏感数据，提供对数据安全风险的可见性，并实现针对这些风险的自动防护。

为了帮助您管理组织的 Amazon Simple Storage Service (Amazon S3) 数据资产的安全状况，Macie 为您提供 S3 通用存储桶的清单，并自动评测和监控这些存储桶以实现安全性和访问控制。如果 Macie 检测到潜在的数据安全性或隐私问题（例如存储桶变为可供公共访问），Macie 会生成调查发现，供您查看并在必要时进行补救。

Macie 还能自动发现和报告敏感数据，以便您更好地了解您的组织在 Amazon S3 中存储的数据。要检测敏感数据，您可以使用 Macie 提供的内置标准和技术、您定义的自定义标准或两者的组合。如果 Macie 在 S3 对象中检测到敏感数据，Macie 会生成调查发现来通知您其发现的敏感数据。

除了调查发现之外，Macie 还提供统计数据和信息，让您深入了解 Amazon S3 数据的安全状况以及敏感数据可能在数据资产中的位置。统计数据和信息可以指导您做出决策，以便对特定的 S3 存储桶和对象进行更深入的调查。您可以使用 Amazon Macie 控制台或 Amazon Macie API 查看和分析调查发现、统计数据和其他信息。您还可以利用 Macie 与 Amazon EventBridge 的集成，通过使用其他服务、应用程序和系统来监控、处理和补救调查结果。AWS Security Hub CSPM

**Topics**
+ [Macie 的功能](#macie-features)
+ [访问 Macie](#macie-access)
+ [Macie 的定价](#macie-pricing)
+ [相关服务](#macie-related-services)

## Macie 的功能
<a name="macie-features"></a>

以下是 Amazon Macie 可以帮助您发现、监控和保护您在 Amazon S3 中的敏感数据的一些主要方法。

**自动敏感数据发现**  
借助 Macie，您可以通过两种方式自动发现和报告敏感数据：配置 Macie 以[执行自动敏感数据发现](discovery-asdd.md)，以及[创建和运行敏感数据发现作业](discovery-jobs.md)。如果 Macie 在 S3 对象中检测到敏感数据，它会为您创建敏感数据调查发现。调查发现会提供关于 Macie 检测到的敏感数据的详细报告。  
通过自动敏感数据发现，可以广泛了解敏感数据可能存放在您的 Amazon S3 数据资产中的位置。使用此选项，Macie 可以持续评测您的 S3 存储桶清单，并使用采样技术从您的存储桶中识别和选择具有代表性的 S3 对象。然后，Macie 检索并分析所选对象，检查它们是否有敏感数据。  
敏感数据发现作业可提供更深入、更有针对性的分析。使用此选项，您可以定义分析的广度和深度，即要分析的 S3 存储桶、采样深度以及源自 S3 对象属性的自定义标准。您也可以将作业配置为仅运行一次以进行按需分析和评测，或者定期运行以进行定期分析、评测和监控。  
这两个选项都可以帮助您构建和维护组织在 Amazon S3 中存储的数据以及这些数据的任何安全或合规风险的全面视图。

**发现各种敏感数据类型**  
要使用 Macie 发现敏感数据，您可以使用内置标准和技术（例如机器学习和模式匹配）来分析 S3 存储桶中的对象。这些标准和技术被称为[托管数据标识符](managed-data-identifiers.md)，可以检测到许多国家和地区的大量且不断增长的敏感数据类型，包括多种类型的个人身份信息（PII）、财务信息和凭证数据。  
您也可以使用[自定义数据标识符](custom-data-identifiers.md)。自定义数据标识符是您定义的一组检测敏感数据的标准，即定义要匹配的文本模式的正则表达式 (*regex*) 和可选的字符序列，以及优化结果的邻近规则。使用此类标识符，您可以检测反映特定场景、知识产权或专有数据的敏感数据。您可以补充 Macie 提供的托管数据标识符。  
要微调分析，也可以使用[允许列表](allow-lists.md)。允许列表定义您希望 Macie 在 S3 对象中忽略的特定文本和文本模式。这些通常是针对您的特定场景或环境的敏感数据例外情况，例如，您组织的公共代表姓名、组织的公共电话号码或您的组织用于测试的示例数据。

**评测和监控数据以确保安全和访问控制**  
启用 Macie 后，Macie 会自动生成并开始维护您的 S3 通用存储桶的清单。Macie 还开始评测和监控这些存储桶以确保安全性和进行访问控制。如果 Macie 检测到存储桶的安全性或隐私存在潜在问题，它会为您创建[策略调查发现](findings-types.md#findings-policy-types)。  
除了发现结果外，[控制面板](monitoring-s3-dashboard.md)还为您提供 Amazon S3 数据的汇总统计数据的快照。这包括关键指标的统计数据，例如可公开访问或与其他AWS 账户共享的存储桶数量。您可以深入研究每个统计数据以查看支持数据。  
Macie 还提供清单中各个 S3 存储桶的详细信息和统计数据。这些数据包括存储桶的公共访问和加密设置的明细，以及 Macie 可以分析以检测存储桶中敏感数据的对象的大小和数量。您可以[浏览库存](monitoring-s3-inventory.md)，也可以按特定字段对库存进行排序和筛选。

**审查和分析调查发现**  
在 Macie 中，调查发现是对 Macie 在 S3 对象中检测到的敏感数据或 S3 通用存储桶安全性或隐私的潜在问题的详细报告。每个调查发现都提供了严重性评级、有关受影响资源的信息以及其他详细信息，例如 Macie 何时以及如何检测到数据或问题。  
要[查看、分析和管理调查结果](findings.md)，您可以使用 Amazon Macie 控制台上的**调查结果**页面。这些页面列出了您的调查发现，并提供了个别调查发现的详细信息。它们还提供了多个选项，用于对调查发现进行分组、筛选、排序和屏蔽。您也可以使用亚马逊 Macie API 来检索和查看调查结果。如果您使用 API，则可以将数据传递给其他应用程序、服务或系统，以进行更深入的分析、长期存储或报告。

**使用其他服务和系统监控和处理调查发现**  
为了支持与其他服务和系统的集成，Macie [将调查结果 EventBridge作为事件发布给亚马逊](findings-monitor-events-eventbridge.md)。 EventBridge 是一种无服务器事件总线服务，可以将调查结果数据路由到目标，例如AWS Lambda函数和亚马逊简单通知服务 (Amazon SNS) Simple Notification Service 主题。借 EventBridge助，您可以近乎实时地监控和处理调查结果，这是现有安全与合规工作流程的一部分。  
您可以将 Macie 配置为也将[调查发现发布到AWS Security Hub CSPM](securityhub-integration.md)。Security Hub CSPM 是一项服务，可全面了解您在整个AWS环境中的安全状况，并帮助您根据安全行业标准和最佳实践检查您的环境。借助 Security Hub CSPM，您可以更轻松地评估和处理调查结果，作为对组织安全态势的更广泛分析的一部分。AWS您还可以汇总来自多个地区的调查结果AWS 区域，然后评估和处理来自单个区域的聚合结果数据。

**集中管理多个 Macie 账户**  
如果您的AWS环境有多个帐户，则可以[集中管理环境中账户的 Macie](macie-accounts.md)。你可以通过两种方式做到这一点：将 Macie 与 Macie 集成，AWS Organizations或者在 Macie 中发送和接受会员邀请。  
在多账户配置中，指定的 Macie 管理员可以执行某些任务，也可以访问属于同一组织的账户的某些 Macie 设置、数据和资源。任务包括查看有关成员账户拥有的 S3 存储桶的信息、查看这些存储桶的策略调查发现以及检查存储桶中是否有敏感数据。如果账户是通过关联的AWS Organizations，Macie 管理员还可以为组织中的成员账户启用 Macie。

**以编程方式开发和管理资源**  
除了 Amazon Macie 主机外，您还可以使用 [Amazon Macie API](https://docs.aws.amazon.com/macie/latest/APIReference/welcome.html) 与 Macie 互动。亚马逊 Macie API 让您可以通过编程方式全面访问您的 Macie 设置、数据和资源。  
要以编程方式与 Macie 进行交互，您可以直接向 Macie 发送 HTTPS 请求，也可以使用当前版本的AWS命令行工具或 SDK。AWSAWS提供工具 SDKs ，其中包括适用于各种语言和平台（例如 Java、Go、Python PowerShell、C\$1\$1 和.NET）的库和示例代码。

## 访问 Macie
<a name="macie-access"></a>

亚马逊 Macie 在大多数版本中都可用。AWS 区域有关当前已推出 Macie 的所有区域的列表，请参阅 *AWS 一般参考* 中的 [Amazon Macie 端点和配额](https://docs.aws.amazon.com/general/latest/gr/macie.html)。有关为您的管理AWS 区域的信息AWS 账户，请参阅《*AWS 账户管理参考指南》AWS 区域*[中的在您的账户中启用或禁](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html)用。

在每个区域中，您可以通过以下任意方式使用 Macie。

**AWS 管理控制台**  
AWS 管理控制台是一个基于浏览器的界面，可用于创建和管理AWS资源。作为该主机的一部分，Amazon Macie 控制台提供对您的 Macie 账户、数据和资源的访问权限。您可以使用 Macie 控制台执行任何 Macie 任务，包括查看有关 S3 存储桶的统计数据和其他信息、创建和运行敏感数据发现任务、查看和分析调查发现等。

**AWS命令行工具**  
使用AWS命令行工具，你可以在系统的命令行中发出命令来执行 Macie 任务和AWS任务。与控制台相比，使用命令行更快、更方便。如果要构建执行任务的脚本，命令行工具也会十分有用。  
AWS提供了两组命令行工具：AWS Command Line Interface(AWS CLI) 和AWS Tools for PowerShell。有关安装和使用的信息AWS CLI，请参阅《[AWS Command Line Interface用户指南》](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html)。有关安装和使用工具的信息 PowerShell，请参阅《[AWS Tools for PowerShell用户指南》](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-welcome.html)。

**AWS SDKs**  
AWS由各种编程语言和平台（例如 Java、Go、Python、C\$1\$1 和.NET）的库和示例代码组成。 SDKs 它们 SDKs 提供了对 Macie 和其他AWS 服务设备的便捷编程访问。它们可以执行多种任务，例如以加密方式对请求进行签名、管理错误以及自动重试请求等。有关安装和使用的信息AWS SDKs，请参阅[构建工具AWS](https://aws.amazon.com/developer/tools/)。

**Amazon Macie REST API**  
Amazon Macie REST API 允许您以编程方式全面访问您的 Macie 账户、数据和资源。使用此 API，您可以直接向 Macie 发送 HTTPS 请求。但是，与AWS命令行工具和不同 SDKs，使用此 API 需要您的应用程序处理低级细节，例如生成哈希值来签署请求。有关此 API 的信息，请参阅 [Amazon Macie API 参考](https://docs.aws.amazon.com/macie/latest/APIReference/welcome.html)。

## Macie 的定价
<a name="macie-pricing"></a>

与其他AWS产品一样，使用Amazon Macie没有合同或最低承诺。

Macie 的定价基于多个维度：评测和监控 S3 存储桶以实现安全性和访问控制，监控 S3 对象以自动敏感数据发现，以及分析 S3 对象以发现和报告对象中的敏感数据。有关更多信息，请参阅 [Amazon Macie 定价](https://aws.amazon.com/macie/pricing/)。

为了帮助您了解和预测使用 Macie 的费用，Macie 为您的账户提供了估计的使用费用。您可以在 Amazon Macie 主机上[查看这些估算值](account-mgmt-costs-review.md)，然后使用 Amazon Macie API 进行访问。根据您使用服务的方式，将其他AWS 服务功能与某些 Macie 功能结合使用可能会产生额外费用，例如从 Amazon S3 检索存储桶数据以及使用客户管理解密对象AWS KMS keys进行分析。

首次启用 Macie 时，系统会自动注册 Mac AWS 账户 ie 的 30 天免费试用版。这包括作为AWS Organizations中组织的一部分启用的个人账户。在免费试用期间，在适用版本中使用 Macie AWS 区域来评估和监控 S3 存储桶的安全性和访问控制不收取任何费用。根据您的账户设置，免费试用还可能包括对您的 Amazon S3 数据执行自动敏感数据发现。免费试用不包括运行敏感数据发现作业来发现和报告 S3 对象中的敏感数据。

为了帮助您了解和预测免费试用期结束后使用 Macie 的费用，Macie 会根据您在试用期间使用 Macie 的情况向您提供估算的使用成本。您的使用数据还会显示免费试用期结束之前的剩余时间。您可以在 Amazon Macie 主机上查看这些数据，然后使用 Amazon Macie API 进行访问。有关更多信息，请参阅 [参与免费试用](account-mgmt-free-trial.md)。

## 相关服务
<a name="macie-related-services"></a>

为了进一步保护您的数据、工作负载和应用程序AWS，请考虑将以下AWS 服务各项与 Amazon Macie 结合使用。

**AWS Security Hub CSPM**  
AWS Security Hub CSPM让您全面了解AWS资源的安全状态，并帮助您根据安全行业标准和最佳实践检查您的AWS环境。其部分原因是使用、汇总、整理来自多个AWS 服务（包括 Macie）和支持的AWS合作伙伴网络 (APN) 产品的安全调查结果，并对其进行优先排序。Security Hub CSPM 可帮助您分析安全趋势并确定环境中优先级最高的安全问题。AWS  
要了解有关 Security Hub CSPM 的更多信息，请参阅《[AWS Security Hub用户](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)指南》。要了解如何同时使用 Macie 和 Security Hub CSPM，请参阅。[通过以下方式评估 Macie 的调查结果 AWS Security Hub CSPM](securityhub-integration.md)

**Amazon GuardDuty**  
Amazon GuardDuty 是一项安全监控服务，用于分析和处理某些类型的AWS日志，例如 Amazon S3 AWS CloudTrail的数据事件日志 CloudTrail 和管理事件日志。它使用威胁情报源（例如恶意 IP 地址和域名列表）以及机器学习来识别AWS环境中意外且可能未经授权的恶意活动。  
要了解更多信息 GuardDuty，请参阅 [Amazon GuardDuty 用户指南](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html)。

要了解其他AWS安全服务，请参阅[上的 “安全、身份和合规性”AWS](https://aws.amazon.com/products/security/)。