本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 自動化敏感資料探索的運作方式
<a name="discovery-asdd-how-it-works"></a>

當您為 啟用 Amazon Macie 時 AWS 帳戶，Macie 會在目前的 中為您的帳戶建立 AWS Identity and Access Management (IAM) [服務連結角色](service-linked-roles.md) AWS 區域。此角色的許可政策可讓 Macie 代表您呼叫其他 AWS 服務 和監控 AWS 資源。透過使用此角色，Macie 會產生和維護 區域中 Amazon Simple Storage Service (Amazon S3) 一般用途儲存貯體的清查。清查包含儲存貯體中每個 S3 儲存貯體和物件的相關資訊。如果您是組織的 Macie 管理員，您的庫存會包含成員帳戶擁有的儲存貯體相關資訊。如需詳細資訊，請參閱[管理多個 帳戶](macie-accounts.md)。

如果您啟用自動敏感資料探索，Macie 會每天評估您的庫存資料，以識別符合自動探索資格的 S3 物件。作為評估的一部分，Macie 也會選取要分析的代表性物件抽樣。然後，Macie 會擷取和分析每個所選物件的最新版本，並檢查其是否有敏感資料。

隨著分析每天進行，Macie 會更新統計資料、清查資料，以及它提供的其他 Amazon S3 資料相關資訊。Macie 也會產生其找到的敏感資料及其執行的分析記錄。產生的資料可讓您深入了解 Macie 在 Amazon S3 資料資產中發現敏感資料的位置，這可以跨越您帳戶的所有 S3 一般用途儲存貯體。資料可協助您評估 Amazon S3 資料的安全性和隱私權、判斷在何處執行更深入的調查，以及識別需要修復的案例。

如需自動敏感資料探索運作方式的簡短示範，請觀看下列影片：




若要設定和管理自動敏感資料探索，您必須是組織的 Macie 管理員，或擁有獨立的 Macie 帳戶。如果您的帳戶是組織的一部分，只有組織的 Macie 管理員才能啟用或停用組織中帳戶的自動探索。此外，只有 Macie 管理員可以設定和管理帳戶的自動探索設定。這包括定義 Macie 執行之分析範圍和性質的設定。如果您在組織中有成員帳戶，請聯絡您的 Macie 管理員，以了解您帳戶和組織的設定。

**Topics**
+ [關鍵元件](#discovery-asdd-how-it-works-components)
+ [考量事項](#discovery-asdd-how-it-works-considerations)

## 關鍵元件
<a name="discovery-asdd-how-it-works-components"></a>

Amazon Macie 使用功能和技術的組合來執行自動敏感資料探索。這些功能與 Macie 提供的功能搭配使用，可協助您[監控 Amazon S3 資料，以控制安全性和存取控制](monitoring-s3-how-it-works.md)。

**選取要分析的 S3 物件**  
Macie 每天會評估您的 Amazon S3 清查資料，以透過自動化敏感資料探索來識別符合分析資格的 S3 物件。如果您是組織的 Macie 管理員，則根據預設，評估會包含成員帳戶擁有的 S3 儲存貯體資料。  
作為評估的一部分，Macie 使用抽樣技術來選取要分析的代表性 S3 物件。這些技術會定義具有類似中繼資料且可能具有類似內容的物件群組。群組是以儲存貯體名稱、字首、儲存類別、檔案名稱延伸和上次修改日期等維度為基礎。然後，Macie 從每個群組中選取一組代表性的樣本，從 Amazon S3 擷取每個所選物件的最新版本，並分析每個選取的物件，以判斷物件是否包含敏感資料。當分析完成時，Macie 會捨棄物件的副本。  
抽樣策略會優先考慮分散式分析。一般而言，它會使用廣度優先方法來處理 Amazon S3 資料資產。每天，會根據 Amazon S3 資料資產中所有可分類物件的總儲存體大小，盡可能從您的一般用途儲存貯體中選取一組代表性的 S3 物件。 Amazon S3 例如，如果 Macie 已在一個儲存貯體中的物件中分析並找到敏感資料，且尚未分析另一個儲存貯體中的物件，則第二個儲存貯體是分析的較高優先順序。透過此方法，您可以更快地全面了解 Amazon S3 資料的敏感度。根據您的資料資產大小，分析結果可能會在 48 小時內開始出現。  
抽樣策略也會優先分析最近建立或變更的不同類型 S3 物件和物件。任何單一物件範例不保證為定論。因此，分析一組不同的物件可以更深入地了解 S3 儲存貯體可能包含的敏感資料類型和數量。此外，排定新物件或最近變更物件的優先順序，有助於分析適應儲存貯體庫存的變更。例如，如果物件是在先前的分析之後建立或變更，則這些物件是後續分析的較高優先順序。相反地，如果物件先前已分析過，且自該分析以來沒有變更，則 Macie 不會再次分析物件。此方法可協助您建立個別 S3 儲存貯體的敏感度基準。然後，隨著您帳戶的持續增量分析進度，您對個別儲存貯體的敏感度評估可能會以可預測的速度變得越來越深入和詳細。

**定義分析的範圍**  
根據預設，Macie 會在評估您的庫存資料並選取要分析的 S3 物件時，包含您帳戶的所有 S3 一般用途儲存貯體。如果您是組織的 Macie 管理員，這包含成員帳戶擁有的儲存貯體。  
您可以透過從自動化敏感資料探索中排除特定 S3 儲存貯體來調整分析範圍。例如，您可能想要排除通常存放 AWS 記錄資料的儲存貯體，例如 AWS CloudTrail 事件日誌。若要排除儲存貯體，您可以變更帳戶或儲存貯體的自動探索設定。如果您這樣做，Macie 會在下一個每日評估和分析週期開始時開始排除儲存貯體。分析最多可排除 1，000 個儲存貯體。如果您排除 S3 儲存貯體，稍後可以再次包含它。若要這樣做，請再次變更您帳戶或儲存貯體的設定。然後，Macie 會在下一個每日評估和分析週期開始時開始包含儲存貯體。  
如果您是組織的 Macie 管理員，您也可以啟用或停用組織中個別帳戶的自動敏感資料探索。如果您停用帳戶的自動探索，Macie 會排除帳戶擁有的所有 S3 儲存貯體。如果您之後重新啟用帳戶的自動探索，Macie 會再次開始包含儲存貯體。

**決定要偵測和報告的敏感資料類型**  
根據預設，Macie 會使用我們建議用於自動敏感資料探索的一組受管資料識別符來檢查 S3 物件。如需這些受管資料識別符的清單，請參閱 [自動化敏感資料探索的預設設定](discovery-asdd-settings-defaults.md)。  
您可以自訂分析以專注於特定類型的敏感資料。若要這樣做，請使用下列任何方式變更您的自動探索設定：  
+ **新增或移除受管資料識別**符 – *受管資料識別符*是一組內建條件和技術，旨在偵測特定類型的敏感資料，例如信用卡號碼、 AWS 秘密存取金鑰或特定國家或地區的護照號碼。如需詳細資訊，請參閱[使用受管資料識別符](managed-data-identifiers.md)。
+ **新增或移除自訂資料識別**符 – *自訂資料識別符*是您為偵測敏感資料而定義的一組條件。透過自訂資料識別符，您可以偵測反映組織特定案例、智慧財產權或專屬資料的敏感資料。例如，您可以偵測員工 IDs、客戶帳戶號碼或內部資料分類。如需詳細資訊，請參閱[建置自訂資料識別符](custom-data-identifiers.md)。
+ **新增或移除允許清單** – 在 Macie 中，允許清單會指定您要 Macie 在 S3 物件中忽略的文字或文字模式。這些通常是您特定案例或環境的敏感資料例外狀況，例如您組織的公有名稱或電話號碼，或組織用於測試的範例資料。如需詳細資訊，請參閱[使用允許清單定義敏感資料例外狀況](allow-lists.md)。
如果您變更設定，Macie 會在下一個每日分析週期開始時套用您的變更。如果您是組織的 Macie 管理員，Macie 會在分析組織中其他帳戶的 S3 物件時，使用您帳戶的設定。  
您也可以設定儲存貯體層級設定，以判斷特定類型的敏感資料是否包含在儲存貯體的敏感度評估中。如要瞭解如何作業，請參閱[調整 S3 儲存貯體的敏感度分數](discovery-asdd-s3bucket-manage.md)。

**計算敏感度分數**  
根據預設，Macie 會自動計算您帳戶的每個 S3 一般用途儲存貯體的敏感度分數。如果您是組織的 Macie 管理員，這包含成員帳戶擁有的儲存貯體。  
在 Macie 中，*敏感度分數*是兩個主要維度交集的量化指標：Macie 在儲存貯體中找到的敏感資料量，以及 Macie 在儲存貯體中分析的資料量。儲存貯體的敏感度分數會決定 Macie 指派給儲存貯體的敏感度標籤。*敏感度標籤*是儲存貯體敏感度分數的定性表示法，例如*敏感*、*不敏感*和*尚未分析*。如需 Macie 定義的敏感度分數和標籤範圍的詳細資訊，請參閱 [S3 儲存貯體的敏感度評分](discovery-scoring-s3.md)。  
S3 儲存貯體的敏感度分數和標籤不代表或以其他方式指出儲存貯體或儲存貯體物件對您或組織可能具有的嚴重性或重要性。反之，它們旨在提供參考點，以協助您識別和監控潛在的安全風險。
當您第一次啟用自動敏感資料探索時，Macie 會自動為每個 S3 儲存貯體指派 *50* 的敏感分數和*尚未分析*的標籤。例外狀況是空的儲存貯體。*空儲存貯*體是不會存放任何物件的儲存貯體，或儲存貯體的所有物件都包含零 (0) 個位元組的資料。如果是儲存貯體，Macie 會將分數 *1* 指派給儲存貯體，並將*不敏感*標籤指派給儲存貯體。  
隨著自動化敏感資料探索的進行，Macie 會更新敏感分數和標籤，以反映其分析結果。例如：  
+ 如果 Macie 在物件中找不到敏感資料，Macie 會降低儲存貯體的敏感度分數，並視需要更新儲存貯體的敏感度標籤。
+ 如果 Macie 在物件中發現敏感資料，Macie 會提高儲存貯體的敏感度分數，並視需要更新儲存貯體的敏感度標籤。
+ 如果 Macie 在後續變更的物件中找到敏感資料，Macie 會從儲存貯體的敏感度分數中移除物件的敏感資料偵測，並視需要更新儲存貯體的敏感度標籤。
+ 如果 Macie 在後續刪除的物件中發現敏感資料，Macie 會從儲存貯體的敏感度分數中移除物件的敏感資料偵測，並視需要更新儲存貯體的敏感度標籤。
您可以透過從儲存貯體分數中包含或排除特定類型的敏感資料，來調整個別 S3 儲存貯體的敏感度評分設定。您也可以手動將最大分數 (*100*) 指派給儲存貯體，以覆寫儲存貯體的計算分數。如果您指派最高分數，則儲存貯體的標籤為*敏感*。如需詳細資訊，請參閱[調整 S3 儲存貯體的敏感度分數](discovery-asdd-s3bucket-manage.md)。

**產生中繼資料、統計資料和其他類型的結果**  
當您啟用自動敏感資料探索時，Macie 會產生並開始維護有關帳戶 S3 一般用途儲存貯體的其他庫存資料、統計資料和其他資訊。如果您是組織的 Macie 管理員，則預設包含成員帳戶擁有的儲存貯體。  
額外資訊會擷取 Macie 到目前為止執行的自動化敏感資料探索活動的結果。它還補充了 Macie 提供有關 Amazon S3 資料的其他資訊，例如個別儲存貯體的公有存取和共用存取設定。其他資訊包括：  
+ 整個 Amazon S3 資料資產的資料敏感性互動式視覺化呈現。
+ 彙總資料敏感性統計資料，例如 Macie 在其中找到敏感資料的儲存貯體總數，以及可公開存取的儲存貯體數量。
+ 指示分析目前狀態的儲存貯體層級詳細資訊。例如，Macie 在儲存貯體中分析的物件清單、Macie 在儲存貯體中發現的敏感資料類型，以及 Macie 發現的每種敏感資料的發生次數。
此資訊也包含統計資料和詳細資訊，可協助您評估和監控 Amazon S3 資料的涵蓋範圍。您可以檢查整體資料資產和個別 S3 儲存貯體的分析狀態。您也可以識別讓 Macie 無法分析特定儲存貯體中物件的問題。如果您修復問題，您可以在後續分析週期中增加 Amazon S3 資料的涵蓋範圍。如需詳細資訊，請參閱[評估自動化敏感資料探索涵蓋範圍](discovery-coverage.md)。  
Macie 在執行自動敏感資料探索時，會自動重新計算和更新此資訊。例如，如果 Macie 在後續變更或刪除的 S3 物件中發現敏感資料，Macie 會更新適用的儲存貯體中繼資料：從分析的物件清單中移除物件；移除 Macie 在物件中找到的敏感資料；重新計算敏感分數，如果分數是自動計算的；並視需要更新敏感標籤以反映新分數。  
除了中繼資料和統計資料之外，Macie 還會產生其找到的敏感資料記錄及其執行的分析：*敏感資料調查結果*，報告 Macie 在個別 S3 物件中找到的敏感資料，以及*敏感資料探索結果*，這些結果會記錄個別 S3 物件分析的詳細資訊。  
如需詳細資訊，請參閱[檢閱自動化敏感資料探索結果](discovery-asdd-results-s3.md)。

## 考量事項
<a name="discovery-asdd-how-it-works-considerations"></a>

當您設定和使用 Amazon Macie 為您的 Amazon S3 資料執行自動敏感資料探索時，請記住下列事項：
+ 您的自動探索設定僅適用於目前的 AWS 區域。因此，產生的分析和資料僅適用於目前區域中的 S3 一般用途儲存貯體和物件。若要在其他區域中執行自動探索並存取產生的資料，請在每個其他區域中啟用和設定自動探索。
+ 如果您是組織的 Macie 管理員：
  + 只有在目前區域中的帳戶啟用 Macie 時，您才能為成員帳戶執行自動探索。此外，您必須為該區域中的帳戶啟用自動探索。成員無法為自己的帳戶啟用或停用自動探索。
  + 如果您為成員帳戶啟用自動探索，Macie 會在分析成員帳戶的資料時，為您的管理員帳戶使用自動探索設定。適用的設定為：要從分析中排除的 S3 儲存貯體清單，以及受管資料識別符、自訂資料識別符，並允許在分析 S3 物件時使用清單。成員無法檢閱或變更這些設定。
  + 成員無法存取其擁有之個別 S3 儲存貯體的自動探索設定。例如，成員無法檢閱或調整其中一個儲存貯體的敏感度評分設定。只有 Macie 管理員可以存取這些設定。
  + 成員可以讀取敏感資料探索統計資料，以及 Macie 為其 S3 儲存貯體直接提供的其他結果。例如，成員可以使用 Macie 來檢閱 S3 儲存貯體的敏感度分數和涵蓋範圍資料。例外狀況是敏感資料調查結果。只有 Macie 管理員可以直接存取自動探索產生的調查結果。
+ 如果 S3 儲存貯體的許可設定阻止 Macie 存取或擷取儲存貯體或儲存貯體物件的相關資訊，則 Macie 無法執行儲存貯體的自動探索。Macie 只能提供有關儲存貯體的資訊子集，例如 AWS 帳戶 擁有儲存貯體的 帳戶 ID、儲存貯體名稱，以及 Macie 在[每日重新整理週期](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh)中最近擷取儲存貯體的儲存貯體和物件中繼資料時。在您的儲存貯體庫存中，這些儲存貯體的敏感度分數為 *50*，而其敏感度標籤*尚未分析*。若要識別發生這種情況的 S3 儲存貯體，您可以參考涵蓋範圍資料。如需詳細資訊，請參閱[評估自動化敏感資料探索涵蓋範圍](discovery-coverage.md)。
+ 若要符合選取和分析的資格，S3 物件必須存放在一般用途儲存貯體中，且必須*可分類*。*可分類*物件使用支援的 Amazon S3 儲存類別，且具有支援檔案或儲存格式的檔案名稱副檔名。如需詳細資訊，請參閱[支援的儲存類別和格式](discovery-supported-storage.md)。
+ 如果 S3 物件已加密，只有在使用 Macie 可存取且允許使用的金鑰加密時，Macie 才能分析該物件。如需詳細資訊，請參閱[分析加密的 S3 物件](discovery-supported-encryption-types.md)。若要識別加密設定導致 Macie 無法分析儲存貯體中一或多個物件的情況，您可以參考涵蓋範圍資料。如需詳細資訊，請參閱[評估自動化敏感資料探索涵蓋範圍](discovery-coverage.md)。