停用自動化敏感資料探索 - Amazon Macie

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

停用自動化敏感資料探索

您可以隨時停用帳戶或組織的自動敏感資料探索。如果您這樣做,Amazon Macie 會在後續評估和分析週期開始之前停止執行帳戶或組織的所有自動探索活動,通常是在 48 小時內。其他效果會有所不同:

  • 如果您是 Macie 管理員,並針對組織中的個別帳戶停用它,則您和帳戶可以繼續存取 Macie 在為帳戶執行自動探索時產生和直接提供的所有統計資料、庫存資料和其他資訊。您可以再次為帳戶啟用自動探索。Macie 接著會繼續帳戶的所有自動探索活動。

  • 如果您是 Macie 管理員,並停用組織的管理員,您和組織中的帳戶將無法存取 Macie 在為組織執行自動探索時產生和直接提供的所有統計資料、庫存資料和其他資訊。例如,您的 S3 儲存貯體庫存不再包含敏感視覺化或分析統計資料。您之後可以再次為組織啟用自動探索。Macie 接著會繼續組織中帳戶的所有自動探索活動。如果您在 30 天內重新啟用,您和帳戶會重新取得 Macie 在執行自動探索時先前產生和直接提供的資料和資訊的存取權。如果您未在 30 天內重新啟用,Macie 會永久刪除此資料和資訊。

  • 如果您為獨立 Macie 帳戶停用它,您會失去對 Macie 在為您的帳戶執行自動探索時產生和直接提供的所有統計資料、庫存資料和其他資訊的存取權。如果您未在 30 天內重新啟用,Macie 會永久刪除此資料和資訊。

您可以繼續存取 Macie 在為帳戶或組織執行自動化敏感資料探索時產生的敏感資料調查結果。Macie 會將問題清單存放 90 天。Macie 也會保留您的組態設定以進行自動探索。此外,您存放或發佈至其他 的資料 AWS 服務 保持不變且不會受到影響,例如敏感資料探索會導致 Amazon S3 和在 Amazon EventBridge 中尋找事件。

停用自動敏感資料探索

如果您是組織的 Macie 管理員,或擁有獨立的 Macie 帳戶,您可以使用 Amazon Macie 主控台或 Amazon Macie API 來停用自動敏感資料探索。如果您在組織中有成員帳戶,請與您的 Macie 管理員合作,停用帳戶的自動探索。只有 Macie 管理員可以停用帳戶的自動探索。

Console

請依照下列步驟,使用 Amazon Macie 主控台停用自動敏感資料探索。

停用自動敏感資料探索

  1. 在 https://https://console.aws.amazon.com/macie/ 開啟 Amazon Macie 主控台。

  2. 使用頁面右上角的 AWS 區域 選取器,選擇您要停用自動敏感資料探索的區域。

  3. 在導覽窗格中的設定下,選擇自動敏感資料探索

  4. 如果您是組織的 Macie 管理員,請在狀態區段中選擇選項,以指定帳戶來停用自動敏感資料探索:

    • 若要僅針對特定成員帳戶停用,請選擇管理帳戶。然後,在帳戶頁面上的表格中,選取要為其停用的每個帳戶的核取方塊。完成後,請在動作功能表上選擇停用自動敏感資料探索

    • 若要僅針對 Macie 管理員帳戶停用它,請選擇停用。在出現的對話方塊中,選擇我的帳戶,然後選擇停用

    • 若要針對組織和組織整體中的所有帳戶停用此功能,請選擇停用。在出現的對話方塊中,選擇我的組織,然後選擇停用

  5. 如果您有獨立的 Macie 帳戶,請在狀態區段中選擇停用

如果您在多個區域中使用 Macie,並想要在其他區域中停用自動敏感資料探索,請在每個其他區域中重複上述步驟。

API

使用 Amazon Macie API,您可以透過兩種方式停用自動敏感資料探索。停用的方式,部分取決於您擁有的帳戶類型。如果您是組織的 Macie 管理員,這也取決於您是否只針對特定成員帳戶或整個組織停用自動探索。如果您為組織停用它,您可以為目前屬於組織的所有帳戶停用它。如果其他帳戶隨後加入您的組織,這些帳戶也會停用自動探索。

若要停用組織或獨立 Macie 帳戶的自動敏感資料探索,請使用 UpdateAutomatedDiscoveryConfiguration 操作。或者,如果您使用的 AWS Command Line Interface 是 (AWS CLI),請執行 update-automated-discovery-configuration 命令。在您的請求中,DISABLEDstatus 參數指定 。

若要針對組織中的特定成員帳戶停用自動敏感資料探索,請使用 BatchUpdateAutomatedDiscoveryAccounts 操作。或者,如果您使用的是 AWS CLI,請執行 batch-update-automated-discovery-accounts 命令。在您的請求中,使用 accountId 參數指定您要停用自動探索的帳戶的帳戶 ID。針對 status 參數,請指定 DISABLED。若要停用帳戶的自動探索,目前必須為帳戶啟用 Macie。

下列範例示範如何使用 AWS CLI 來停用組織中一或多個帳戶的自動敏感資料探索。第一個範例會停用組織的自動探索。它會停用 Macie 管理員帳戶和組織中所有成員帳戶的自動探索。

$ aws macie2 update-automated-discovery-configuration --status DISABLED --region us-east-1

其中 us-east-1 是停用組織的自動敏感資料探索的區域,即美國東部 (維吉尼亞北部) 區域。如果請求成功,Macie 會停用組織的自動探索,並傳回空白回應。

這些下一個範例會停用組織中兩個成員帳戶的自動敏感資料探索。此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\) 行接續字元來改善可讀性。

$ aws macie2 batch-update-automated-discovery-accounts \
--region us-east-1 \
--accounts '[{"accountId":"123456789012","status":"DISABLED"},{"accountId":"111122223333","status":"DISABLED"}]'

此範例已針對 Microsoft Windows 進行格式化,並使用八進制 (^) 換行字元來改善可讀性。

C:\> aws macie2 batch-update-automated-discovery-accounts ^
--region us-east-1 ^
--accounts=[{\"accountId\":\"123456789012\",\"status\":\"DISABLED\"},{\"accountId\":\"111122223333\",\"status\":\"DISABLED\"}]

其中:

  • us-east-1 是要停用指定帳戶自動敏感資料探索的區域,美國東部 (維吉尼亞北部) 區域。

  • 123456789012111122223333 是帳戶要停用自動敏感資料探索的帳戶 IDs。

如果所有指定帳戶的請求成功,Macie 會傳回空errors陣列。如果某些帳戶的請求失敗,陣列會指定每個受影響帳戶發生的錯誤。例如:

"errors": [
    {
        "accountId": "123456789012",
        "errorCode": "ACCOUNT_PAUSED"
    }
]

在上述回應中,指定帳戶 (123456789012) 的請求失敗,因為該帳戶的 Macie 目前已暫停。

如果所有帳戶的請求都失敗,您會收到說明發生錯誤的訊息。例如:

An error occurred (ConflictException) when calling the BatchUpdateAutomatedDiscoveryAccounts operation: Cannot modify account states
while auto-enable is set to ALL.

在上述回應中,請求失敗,因為組織的成員啟用設定目前設定為為所有帳戶啟用自動敏感資料探索 (ALL)。若要解決錯誤,Macie 管理員必須先將此設定變更為 NONENEW。如需有關此設定的詳細資訊,請參閱 啟用自動敏感資料探索