什麼是 Amazon Macie？

使用 Macie，您可以透過兩種方式自動探索和報告敏感資料：設定 Macie 執行自動敏感資料探索，以及建立和執行敏感資料探索任務。如果 Macie 在 S3 物件中偵測到敏感資料，它會為您建立敏感資料調查結果。調查結果提供 Macie 偵測到的敏感資料的詳細報告。

自動化敏感資料探索可讓您廣泛了解敏感資料可能位於 Amazon S3 資料資產中的位置。使用此選項，Macie 會持續評估您的 S3 儲存貯體庫存，並使用抽樣技術來識別和選取儲存貯體中的代表性 S3 物件。Macie 接著會擷取和分析選取的物件，並檢查它們是否有敏感資料。

敏感資料探索任務提供更深入、更有針對性的分析。使用此選項，您可以定義分析的廣度和深度：要分析的 S3 儲存貯體、取樣深度，以及衍生自 S3 物件屬性的自訂條件。您也可以將任務設定為僅執行一次以進行隨需分析和評估，或定期執行一次以進行定期分析、評估和監控。

這兩個選項都可協助您建置和維護組織存放在 Amazon S3 中的資料的完整檢視，以及該資料的任何安全或合規風險。

若要使用 Macie 探索敏感資料，您可以使用內建的條件和技術，例如機器學習和模式比對，來分析 S3 儲存貯體中的物件。這些標準和技術稱為受管資料識別符，可以偵測許多國家和地區的敏感資料類型的大型和不斷增長的清單，包括多種個人識別資訊 (PII)、財務資訊和登入資料。

您也可以使用自訂資料識別符。自訂資料識別符是您定義用於偵測敏感資料的一組條件：定義要比對文字模式的規則表達式 (regex)，以及選擇性的字元序列和精簡結果的鄰近規則。透過這種類型的識別符，您可以偵測反映特定案例、智慧財產權或專屬資料的敏感資料。您可以補充 Macie 提供的受管資料識別符。

若要微調分析，您也可以使用允許清單。允許清單定義您希望 Macie 在 S3 物件中忽略的特定文字和文字模式。這些通常是您特定案例或環境的敏感資料例外狀況，例如，組織的公有代表名稱、組織的公有電話號碼，或組織用於測試的範例資料。

當您啟用 Macie 時，Macie 會自動產生並開始維護 S3 一般用途儲存貯體的庫存。Macie 也開始評估和監控儲存貯體的安全性和存取控制。如果 Macie 偵測到儲存貯體安全性或隱私權的潛在問題，它會為您建立政策調查結果。

除了問題清單之外，儀表板還提供 Amazon S3 資料的彙總統計資料快照。這包括關鍵指標的統計資料，例如可公開存取或與其他 共用的儲存貯體數量AWS 帳戶。您可以深入查看每個統計資料，以檢閱支援的資料。

Macie 也提供庫存中個別 S3 儲存貯體的詳細資訊和統計資料。資料包括儲存貯體的公有存取和加密設定的明細，以及 Macie 可以分析以偵測儲存貯體中敏感資料的物件大小和數量。您可以瀏覽庫存，或依特定欄位排序和篩選庫存。

在 Macie 中，問題清單是 Macie 在 S3 物件中偵測到的敏感資料的詳細報告，或 S3 一般用途儲存貯體的安全性或隱私權潛在問題。每個調查結果都會提供嚴重性評分、受影響資源的相關資訊，以及其他詳細資訊，例如 Macie 偵測到資料或問題的時間和方式。

若要檢閱、分析和管理問題清單，您可以使用 Amazon Macie 主控台上的問題清單頁面。這些頁面會列出您的問題清單，並提供個別問題清單的詳細資訊。它們還提供多個選項來分組、篩選、排序和隱藏問題清單。您也可以使用 Amazon Macie API 來擷取和檢閱問題清單。如果您使用 API，您可以將資料傳遞至另一個應用程式、服務或系統，以進行更深入的分析、長期儲存或報告。

為了支援與其他 服務和系統的整合，Macie 會將調查結果發佈至 Amazon EventBridge 做為事件。EventBridge 是一種無伺服器事件匯流排服務，可將問題清單資料路由到AWS Lambda函數和 Amazon Simple Notification Service (Amazon SNS) 主題等目標。使用 EventBridge，您可以近乎即時地監控和處理問題清單，作為現有安全和合規工作流程的一部分。

您可以將 Macie 設定為也發佈問題清單至AWS Security Hub CSPM 。Security Hub CSPM 是一項服務，可讓您全面檢視整個AWS環境的安全狀態，並協助您根據安全產業標準和最佳實務檢查環境。使用 Security Hub CSPM，您可以更輕鬆地評估和處理調查結果，作為組織安全狀態更廣泛分析的一部分AWS。您也可以彙總來自多個 的問題清單AWS 區域，然後評估和處理來自單一區域的彙總問題清單資料。

如果您的AWS環境有多個帳戶，您可以集中管理環境中帳戶的 Macie。您可以透過兩種方式執行此操作：將 Macie 與 整合，AWS Organizations或在 Macie 中傳送和接受成員資格邀請。

在多帳戶組態中，指定的 Macie 管理員可以為屬於相同組織的帳戶執行特定任務並存取特定 Macie 設定、資料和資源。任務包括檢閱成員帳戶擁有的 S3 儲存貯體相關資訊、檢閱這些儲存貯體的政策調查結果，以及檢查儲存貯體是否有敏感資料。如果帳戶透過 建立關聯AWS Organizations，Macie 管理員也可以為組織中的成員帳戶啟用 Macie。

除了 Amazon Macie 主控台之外，您還可以使用 Amazon Macie API 與 Macie 互動。Amazon Macie API 可讓您以程式設計方式完整存取 Macie 設定、資料和資源。

若要以程式設計方式與 Macie 互動，您可以將 HTTPS 請求直接傳送至 Macie，或使用目前版本的AWS命令列工具或AWS SDK。AWS提供工具和 SDKs，其中包含適用於各種語言和平台的程式庫和範本程式碼，例如 PowerShell、Java、Go、Python、C++ 和 .NET。

AWS 管理主控台是以瀏覽器為基礎的界面，可用來建立和管理AWS資源。作為該主控台的一部分，Amazon Macie 主控台可讓您存取 Macie 帳戶、資料和資源。您可以使用 Macie 主控台來執行任何 Macie 任務：檢閱 S3 儲存貯體的統計資料和其他資訊、建立和執行敏感資料探索任務、檢閱和分析問題清單等。

使用AWS命令列工具，您可以在系統的命令列發出命令，以執行 Macie 任務和AWS任務。使用命令列比使用主控台更快、更方便。若您想要建構執行 任務的指令碼，命令列工具也非常實用。

AWS提供兩組命令列工具：AWS Command Line Interface(AWS CLI) 和AWS Tools for PowerShell。如需安裝和使用 的詳細資訊AWS CLI，請參閱AWS Command Line Interface《 使用者指南》。如需安裝和使用 Tools for PowerShell 的相關資訊，請參閱 AWS Tools for PowerShell使用者指南。

AWS提供 SDKs，其中包含適用於各種程式設計語言和平台的程式庫和範本程式碼，例如 Java、Go、Python、C++ 和 .NET。SDKs提供 Macie 和其他 的便利、程式設計存取AWS 服務。它們也會處理諸如密碼編譯簽署請求、管理錯誤和自動重試請求等任務。如需安裝和使用AWS SDKs的資訊，請參閱要建置的工具AWS。

Amazon Macie REST API 可讓您以程式設計方式存取 Macie 帳戶、資料和資源。使用此 API，您可以直接將 HTTPS 請求傳送至 Macie。不過，與AWS命令列工具和SDKs不同，使用此 API 需要您的應用程式處理低階詳細資訊，例如產生雜湊來簽署請求。如需此 API 的相關資訊，請參閱 Amazon Macie API 參考。

AWS Security Hub CSPM可讓您全面檢視AWS資源的安全狀態，並協助您根據安全產業標準和最佳實務檢查AWS環境。它透過取用、彙總、組織和優先處理來自多個AWS 服務（包括 Macie) 和支援的AWS合作夥伴網路 (APN) 產品的安全性問題清單，進行部分操作。Security Hub CSPM 可協助您分析安全趨勢，並識別整個AWS環境中最優先的安全問題。

若要進一步了解 Security Hub CSPM，請參閱 AWS Security Hub使用者指南。若要了解如何同時使用 Macie 和 Security Hub CSPM，請參閱 使用 評估 Macie 調查結果 AWS Security Hub CSPM。

Amazon GuardDuty 是一種安全監控服務，可分析和處理特定類型的AWS日誌，例如 Amazon S3 和 CloudTrail 管理事件日誌AWS CloudTrail的資料事件日誌。它使用威脅情報摘要，例如惡意 IP 地址和網域的清單，以及機器學習，來識別您AWS環境中非預期和可能未經授權的惡意活動。

若要進一步了解 GuardDuty，請參閱 Amazon GuardDuty 使用者指南。