View a markdown version of this page

調整 S3 儲存貯體的敏感度分數 - Amazon Macie

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

調整 S3 儲存貯體的敏感度分數

當您檢閱和評估自動敏感資料探索的統計資料、資料和其他結果時,在某些情況下,您可能會想要微調 Amazon Simple Storage Service (Amazon S3) 儲存貯體的敏感度評估。您可能也想要擷取您或您的組織針對特定儲存貯體執行的調查結果。如果您是組織的 Amazon Macie 管理員,或擁有獨立的 Macie 帳戶,您可以透過調整個別儲存貯體的敏感度分數和其他設定來進行這些變更。如果您在組織中有成員帳戶,請與您的 Macie 管理員合作,調整您擁有之儲存貯體的設定。只有組織的 Macie 管理員可以調整儲存貯體的這些設定。

如果您是 Macie 管理員或擁有獨立的 Macie 帳戶,您可以透過以下方式調整 S3 儲存貯體的敏感度分數:

  • 指派敏感度分數 – Macie 預設會自動計算儲存貯體的敏感度分數。分數主要是根據 Macie 在儲存貯體中找到的敏感資料量,以及 Macie 在儲存貯體中分析的資料量。如需詳細資訊,請參閱S3 儲存貯體的敏感度評分

    您可以覆寫儲存貯體的計算分數,並手動指派最高分數 (100),這也會將敏感標籤套用至儲存貯體。如果您這樣做,Macie 會停止對儲存貯體執行自動敏感資料探索,因為分數為 100 的儲存貯體將無法進一步掃描。若要再次自動計算分數並繼續掃描,請再次變更設定。

  • 敏感度分數中排除或包含敏感資料類型 – 如果自動計算,則儲存貯體的敏感度分數部分取決於 Macie 在儲存貯體中找到的敏感資料量。這主要衍生自 Macie 找到的敏感資料類型的性質和數量,以及每種類型的出現次數。根據預設,Macie 會在計算儲存貯體分數時包含所有類型敏感資料的出現次數。

    您可以透過在儲存貯體的分數中排除或包含特定類型的敏感資料來調整計算。例如,如果 Macie 偵測到儲存貯體中的郵寄地址,而且您判斷這是可接受的,您可以從儲存貯體的分數中排除所有出現的郵寄地址。如果您排除敏感資料類型,Macie 會繼續檢查儲存貯體是否有該類型的資料,並報告其發現的發生。不過,這些事件不會影響儲存貯體的分數。若要再次在分數中包含敏感資料類型,請再次變更設定。

您也可以從後續分析中排除 S3 儲存貯體。如果您排除儲存貯體,儲存貯體的現有敏感資料探索統計資料和詳細資訊會持續存在。例如,儲存貯體目前的敏感度分數保持不變。不過,Macie 在執行自動敏感資料探索時,會停止分析儲存貯體中的物件。排除儲存貯體之後,您可以稍後再次包含該儲存貯體。

如果您變更影響 S3 儲存貯體敏感度分數的設定,Macie 會立即開始重新計算分數。Macie 也會更新有關儲存貯體和 Amazon S3 資料整體的相關統計資料和其他資訊。例如,如果您將最大分數指派給儲存貯體,Macie 會在彙總統計資料中遞增敏感儲存貯體的計數。

調整 S3 儲存貯體的敏感度分數或其他設定

若要調整 S3 儲存貯體的敏感度分數或其他設定,您可以使用 Amazon Macie 主控台或 Amazon Macie API。

Console

請依照下列步驟,使用 Amazon Macie 主控台調整 S3 儲存貯體的敏感度分數或設定。

  1. 在 https://https://console.aws.amazon.com/macie/ 開啟 Amazon Macie 主控台。

  2. 在導覽窗格中,選擇 S3 儲存貯體。S3 儲存貯體頁面會顯示您的儲存貯體庫存。

    根據預設,頁面不會顯示目前從分析中排除的儲存貯體資料。如果您是組織的 Macie 管理員,也不會顯示目前停用自動敏感資料探索的帳戶資料。若要顯示此資料,請在篩選條件方塊下方的由自動探索篩選條件字符監控中選擇 X

  3. 選擇具有要調整之設定的 S3 儲存貯體。您可以使用資料表檢視 ( The table view button, which is a button that displays three black horizontal lines. ) 或互動式地圖 () 選擇儲存貯體 The map view button, which is a button that displays four black squares.

  4. 在詳細資訊面板中,執行下列任一動作:

    • 若要覆寫計算的敏感度分數並手動指派分數,請開啟指派最高分數 ( A toggle switch with a gray background and the toggle positioned to the left. )。這會將儲存貯體的分數變更為 100,並將敏感標籤套用至儲存貯體。

    • 若要指派 Macie 自動計算的敏感度分數,請關閉指派最高分數 ( A toggle switch with a blue background and the toggle positioned to the right. )。

    • 若要在敏感度分數中排除或包含特定類型的敏感資料,請選擇敏感度索引標籤。在偵測表格中,選取要排除或包含之敏感資料類型的核取方塊。然後,在動作功能表中,選擇從分數中排除以排除類型,或選擇包含在分數中以包含類型。

      在表格中,敏感資料類型欄位會指定偵測到資料的受管資料識別符或自訂資料識別符。對於受管資料識別符,這是唯一識別符 (ID),描述識別符設計用於偵測的敏感資料類型,例如美國護照號碼的 USA_PASSPORT_NUMBER。如需每個受管資料識別符的詳細資訊,請參閱 使用受管資料識別符

    • 若要從後續分析中排除儲存貯體,請開啟從自動探索中排除 ( A toggle switch with a gray background and the toggle positioned to the left. )。

    • 若要在後續分析中包含儲存貯體,如果您先前將其排除,請關閉從自動探索排除 ( A toggle switch with a blue background and the toggle positioned to the right. )。

API

若要以程式設計方式調整 S3 儲存貯體的敏感度分數或設定,您有幾個選項。適當的選項取決於您要調整的項目。

指派敏感度分數

若要將敏感分數指派給 S3 儲存貯體,請使用 UpdateResourceProfile 操作。在您的請求中,使用 resourceArn 參數來指定儲存貯體的 Amazon Resource Name (ARN)。針對 sensitivityScoreOverride 參數,執行下列其中一項操作:

  • 若要覆寫計算的分數並手動指派最高分數,請指定 100

  • 若要指派 Macie 自動計算的分數,請省略 參數。如果此參數為 null,Macie 會計算並指派分數。

如果您使用的是 AWS Command Line Interface (AWS CLI),請執行 update-resource-profile 命令,將敏感分數指派給 S3 儲存貯體。在您的請求中,使用 resource-arn 參數來指定儲存貯體的 ARN。省略或使用 sensitivity-score-override 參數來指定要指派的分數。

如果您的請求成功,Macie 會指派指定的分數並傳回空的回應。

在敏感度分數中排除或包含敏感資料類型

若要在 S3 儲存貯體的敏感度分數中排除或包含敏感資料類型,請使用 UpdateResourceProfileDetections 操作。當您使用此操作時,會覆寫儲存貯體分數目前的包含和排除設定。因此,最好先擷取目前的設定,並決定要保留哪些設定。若要擷取目前的設定,請使用 ListResourceProfileDetections 操作。

當您準備好更新設定時,請使用 resourceArn 參數來指定 S3 儲存貯體的 ARN。針對 suppressDataIdentifiers 參數,執行下列其中一項:

  • 若要從儲存貯體的分數中排除敏感資料類型,請使用 type 參數指定偵測到資料的資料識別符類型、受管資料識別符 (MANAGED) 或自訂資料識別符 ()CUSTOM。使用 id 參數為偵測到資料的受管或自訂資料識別符指定唯一識別符。

  • 若要在儲存貯體的分數中包含敏感資料類型,請勿為偵測到資料的受管或自訂資料識別符指定任何詳細資訊。

  • 若要在儲存貯體的分數中包含所有敏感資料類型,請勿指定任何值。如果 suppressDataIdentifiers 參數的值為 null (空白),Macie 會在計算分數時包含所有類型的偵測。

如果您使用的是 AWS CLI,請執行 update-resource-profile-detections 命令,在 S3 儲存貯體的敏感度分數中排除或包含敏感資料類型。使用 resource-arn 參數來指定儲存貯體的 ARN。使用 suppress-data-identifiers 參數來指定要排除或包含在儲存貯體分數中的敏感資料類型。若要先擷取並檢閱儲存貯體的目前設定,請執行 list-resource-profile-detections 命令。

如果您的請求成功,Macie 會更新設定並傳回空白回應。

在分析中排除或包含 S3 儲存貯體

若要在分析中排除或隨後包含 S3 儲存貯體,請使用 UpdateClassificationScope 操作。或者,如果您使用的是 AWS CLI,請執行 update-classification-scope 命令。如需其他詳細資訊和範例,請參閱 在自動化敏感資料探索中排除或包含 S3 儲存貯體

下列範例示範如何使用 AWS CLI 來調整 S3 儲存貯體的個別設定。第一個範例會手動將敏感度分數上限 (100) 指派給儲存貯體。它會覆寫儲存貯體的計算分數。

$ aws macie2 update-resource-profile --resource-arn arn:aws:s3:::amzn-s3-demo-bucket --sensitivity-score-override 100

其中 arn:aws:s3::amzn-s3-demo-bucket 是 S3 儲存貯體的 ARN。

下一個範例會將 S3 儲存貯體的敏感度分數變更為 Macie 自動計算的分數。儲存貯體目前具有可覆寫計算分數的手動指派分數。此範例會省略請求中的 sensitivity-score-override 參數,以移除該覆寫。

$ aws macie2 update-resource-profile --resource-arn arn:aws:s3:::amzn-s3-demo-bucket2

其中 arn:aws:s3::amzn-s3-demo-bucket2 是 S3 儲存貯體的 ARN。

下列範例會從 S3 儲存貯體的敏感度分數中排除特定類型的敏感資料。此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\) 行接續字元來改善可讀性。

$ aws macie2 update-resource-profile-detections \
--resource-arn arn:aws:s3:::amzn-s3-demo-bucket3 \
--suppress-data-identifiers '[{"type":"MANAGED","id":"ADDRESS"},{"type":"CUSTOM","id":"3293a69d-4a1e-4a07-8715-208ddexample"}]'

此範例已針對 Microsoft Windows 進行格式化,並使用八進制 (^) 換行字元來改善可讀性。

C:\> aws macie2 update-resource-profile-detections ^
--resource-arn arn:aws:s3:::amzn-s3-demo-bucket3 ^
--suppress-data-identifiers=[{\"type\":\"MANAGED\",\"id\":\"ADDRESS\"},{\"type\":\"CUSTOM\",\"id\":\"3293a69d-4a1e-4a07-8715-208ddexample\"}]

其中:

  • arn:aws:s3::amzn-s3-demo-bucket3 是 S3 儲存貯體的 ARN。

  • ADDRESS 是受管資料識別符的唯一識別符,可偵測要排除的敏感資料類型 (電子郵件地址)。

  • 3293a69d-4a1e-4a07-8715-208ddexample 是自訂資料識別符的唯一識別符,可偵測要排除的敏感資料類型。

下一組範例稍後會在 S3 儲存貯體的敏感度分數中包含所有類型的敏感資料。它會指定 suppress-data-identifiers 參數的空白 (空) 值,覆寫儲存貯體目前的排除設定。針對 Linux、macOS 或 Unix:

$ aws macie2 update-resource-profile-detections --resource-arn arn:aws:s3:::amzn-s3-demo-bucket3 --suppress-data-identifiers '[]'

對於 Microsoft Windows:

C:\> aws macie2 update-resource-profile-detections --resource-arn arn:aws:s3:::amzn-s3-demo-bucket3 --suppress-data-identifiers=[]

其中 arn:aws:s3::amzn-s3-demo-bucket3 是 S3 儲存貯體的 ARN。