Macie 中的概念和术语 - Amazon Macie
account管理员账户允许列表自动敏感数据发现AWS 安全调查结果格式 (ASFF)可分类的字节或大小可分类对象自定义数据标识符筛选规则调查发现调查发现事件作业托管数据标识符成员账户organization策略调查发现示例调查发现敏感数据调查发现敏感数据发现作业敏感数据发现结果单独账户抑制的调查发现抑制规则不可分类的字节或大小不可分类的对象

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Macie 中的概念和术语

在 Amazon Macie 中,我们建立在通用 AWS 概念和术语的基础上,并使用这些附加术语。

account

AWS 账户 包含您的 AWS 资源和可以访问这些资源的身份的标准。

要使用 Macie,您需要使用自己的 AWS AWS 账户 凭据登录,选择要 AWS 区域 在其中使用 Macie 的,然后在该 AWS 账户 地区为你启用 Macie。有关更多信息,请参阅 开始使用 Macie

Macie 中有三种类型的账户:

  • 管理员账户 - 这种类型的账户管理组织的 Macie 账户。组织是一组 Macie 账户,它们相互关联,并作为特定 AWS 区域中的一组相关账户进行集中管理。

  • 成员账户 - 此类账户与组织的 Macie 管理员账户关联并由其管理。

  • 独立账户 – 这种类型的账户既不是管理员账户,也不是成员账户。它不是组织的一部分。

您可以通过两种方式将 Macie 账户添加到组织:将 Macie 与 AWS Organizations 集成,或者发送和接受 Macie 成员邀请。有关更多信息,请参阅 管理多个账户

管理员账户

在 Macie 中,一种管理组织的 Macie 账户的账户。组织是一组 Macie 账户,它们相互关联,并作为特定 AWS 区域中的一组相关账户进行集中管理。

Macie 管理员账户的用户可以访问其组织中所有账户的 Amazon Simple Storage Service (Amazon S3) 库存数据、策略调查发现以及某些 Macie 设置和资源。他们还可以执行自动敏感数据发现,并运行敏感数据发现作业来检测账户拥有的 S3 存储桶中的敏感数据。根据账户被指定为管理员账户的方式,他们可能还能够为组织中的其他账户执行其他任务。

有关更多信息,请参阅 管理多个账户

允许列表

在 Macie 中,允许列表指定了您希望 Macie 在检查 S3 对象是否存在敏感数据时忽略的文本或文本模式。

您可以在 Macie 中创建两种类型的允许列表:列出要忽略的特定单词和其他类型的字符序列的纯文本文件,或者定义要忽略的文本模式的正则表达式(regex)。如果对象包含与允许列表中的条目或模式匹配的文本,Macie 不会在敏感数据调查发现、统计数据和其他类型的结果中报告该文本,即使该文本与托管数据标识符自定义数据标识符的标准匹配。

有关更多信息,请参阅 使用允许列表定义敏感数据例外

自动敏感数据发现

Macie 持续执行的一系列自动分析活动,用于从 S3 存储桶中识别和选择具有代表性的对象,并检查所选对象中是否有敏感数据。

随着分析的进行,Macie 会生成其调查发现的敏感数据(敏感数据调查发现)及其执行的分析(敏感数据发现结果)的记录。Macie 还会更新其提供的有关 Amazon S3 数据的统计数据和其他信息。

有关更多信息,请参阅 执行自动敏感数据发现

AWS 安全调查结果格式 (ASFF)

发布给或由其生成的调查结果内容的标准化JSON格式 AWS Security Hub。ASFF包括有关安全问题来源、受影响的资源和发现状态的详细信息。

有关信息ASFF,请参阅《AWS Security Hub 用户指南》中的AWS 安全调查结果格式 (ASFF)。有关将 Macie 调查发现发布到 Security Hub 的信息,请参阅 使用以下方法评估调查结果 AWS Security Hub

可分类的字节或大小

在 Macie 提供的 S3 存储桶统计数据中,S3 存储桶中所有可分类对象的总存储大小。

如果对存储桶启用了版本控制,则该值基于存储桶中每个可分类对象的最新版本的存储大小。如果对象是压缩文件,则该值并不反映文件解压后文件内容的实际大小。

有关更多信息,请参阅 查看 S3 存储桶清单评测您的 Amazon S3 安全状况

可分类对象

Macie 可以分析以检测敏感数据的 S3 对象。

在计算 S3 存储桶统计数据时,Macie 会根据对象的存储类别和文件扩展名确定该对象是否可分类。如果对象使用支持的 Amazon S3 存储类并且具有支持的文件或存储格式的文件扩展名,则该对象可分类

有关更多信息,请参阅查看 S3 存储桶清单支持的存储类别和格式

为了发现敏感数据,Macie 会根据对象的存储类别、文件扩展名和内容来确定该对象是否可分类。如果满足以下条件,则对象可分类:它使用受支持的 Amazon S3 存储类,它具有受支持的文件或存储格式的文件扩展名,并且 Macie 验证它可以从对象中提取和分析数据。

有关更多信息,请参阅发现敏感数据支持的存储类别和格式

自定义数据标识符

您定义的一组用于检测敏感数据的标准。

标准由定义要匹配的文本模式的正则表达式(regex)和可选的字符序列以及优化结果的邻近规则组成。字符序列可以是:

  • 关键字,即必须靠近匹配正则表达式的文本的字词或短语,或者

  • 忽略字词,即要从结果中排除的字词或短语。

除了检测标准外,您还可以为自定义数据标识符生成的敏感数据调查发现定义自定义严重性设置。

有关更多信息,请参阅 构建自定义数据标识符

筛选规则

您创建并保存的一组基于属性的筛选标准,用于在 Amazon Macie 控制台上分析调查发现。筛选规则可以帮助您对具有特定特征的调查发现进行一致的分析,例如所有报告特定类型敏感数据的高严重性调查发现。

有关更多信息,请参阅 创建和管理筛选规则

调查发现

详细报告 Macie 在 S3 对象中发现的敏感数据或 S3 通用存储桶的安全或隐私方面的潜在问题。每个调查发现都提供了详细信息,例如严重性评级、有关受影响资源的信息以及 Macie 发现数据或问题的时间。

Macie 生成两类调查发现:敏感数据调查发现(针对 Macie 在 S3 对象中检测到的敏感数据)和策略调查发现(针对 Macie 在 S3 存储桶的安全和访问控制设置中检测到的潜在问题)。每个类别中都有特定类型的调查发现。

有关更多信息,请参阅 调查发现的类型

调查发现事件

包含敏感数据发现或政策发现详情的 Amazon EventBridge 事件。

Macie 会自动将敏感数据调查结果和政策调查结果 EventBridge作为事件发布给 Amazon。事件是符合 AWS 事件 EventBridge 架构的JSON对象。您可以通过使用其他应用程序、服务和系统,使用这些事件来监视、处理调查发现并根据调查发现采取行动。

有关更多信息,请参阅使用 Amazon 处理调查结果 EventBridge用于查找结果的 Amazon EventBridge 事件架构

作业

参见敏感数据发现作业

托管数据标识符

一组内置标准和技术,旨在检测特定类型的敏感数据。敏感数据的示例包括信用卡号、 AWS 秘密访问密钥或特定国家或地区的护照号码。这些标识符可以检测许多国家和地区的大量且不断增长的敏感数据类型。

有关更多信息,请参阅 使用托管数据标识符

成员账户

由组织指定的 Macie 管理员账户管理的 Macie 账户。组织是一组 Macie 帐户,它们相互关联,并作为特定 AWS 区域帐户中的一组相关帐户进行集中管理。

账户可以通过两种方式成为成员账户:将 Macie 与账户组织集成, AWS Organizations 或者接受 Macie 会员资格邀请。

如果您拥有成员账户,则您的 Macie 管理员可以访问您的账户的 Amazon S3 清单数据、政策调查发现以及某些 Macie 设置和资源。您的管理员还可以执行自动敏感数据发现并运行敏感数据发现作业,以检测您的 S3 存储桶中的敏感数据。他们可能还能为您的账户执行其他任务,具体取决于您的账户如何成为成员账户。

有关更多信息,请参阅 管理多个账户

organization

一组 Macie 账户,它们相互关联,并作为特定 AWS 区域账户中的一组相关账户进行集中管理。

每个组织都由一个指定的 Macie 管理员账户和一个或多个关联的成员账户组成。管理员账户可以访问成员账户的某些 Macie 设置、数据和资源。您可以通过两种方式创建组织:将 Macie 与 AWS Organizations 集成,或者在 Macie 中发送和接受成员邀请。

有关更多信息,请参阅 管理多个账户

策略调查发现

有关 S3 通用存储桶的安全和访问控制设置可能存在的违反策略或问题的详细报告。详细信息包括严重性评级、有关受影响资源的信息以及 Macie 发现问题的时间。

当 S3 通用存储桶的策略或设置发生更改以降低存储桶和存储桶对象的安全性或隐私性时,Macie 会生成策略调查结果。Macie 生成这些调查发现,作为其对您的 Amazon S3 数据的持续监控活动的一部分。Macie 可以生成多种类型的策略调查发现。

有关更多信息,请参阅调查发现的类型监控数据安全和隐私

示例调查发现

使用示例数据和占位符值来演示调查发现可能包含的信息类型的调查发现

有关更多信息,请参阅 处理样本调查发现

敏感数据调查发现

这是 Macie 在 S3 对象中发现的敏感数据的详细报告。详细信息包括:严重性等级、有关受影响资源的信息、Macie 发现的敏感数据的类型和出现次数,以及 Macie 发现敏感数据的时间。

如果 Macie 在您运行敏感数据发现作业时分析的 S3 对象中检测到敏感数据,或者在其执行自动敏感数据发现时检测到敏感数据,会生成敏感数据调查发现。Macie 可以生成几种类型的敏感数据调查发现。

有关更多信息,请参阅调查发现的类型发现敏感数据

敏感数据发现作业

也称为作业,是 Macie 执行的一系列自动处理和分析任务,用于检测和报告 S3 对象中的敏感数据。创建作业时,您需要指定希望作业运行的频率,并定义作业分析的范围和性质。

在运行作业时,Macie 会生成其发现的敏感数据(敏感数据调查发现)及其执行的分析(敏感数据发现结果)的记录。Macie 还将日志数据发布到 Amazon CloudWatch 日志。

有关更多信息,请参阅 运行敏感数据发现作业

敏感数据发现结果

记录有关 Macie 为确定该对象是否包含敏感数据而对 S3 对象执行的分析的详细信息的记录。Macie 生成这些记录并将其写入 Lin JSON es (.jsonl) 文件,然后对其进行加密并存储在您指定的 S3 存储桶中。记录遵循标准化架构。

当您运行敏感数据发现作业 或 Macie 执行自动敏感数据发现时,Macie 会为分析范围中包含的每个对象创建敏感数据发现结果。这包括:

  • Macie 在其中检测到敏感数据的对象,因此也会生成敏感数据调查发现

  • Macie 没有在其中检测到敏感数据的对象,因此不会生成敏感数据调查发现。

  • Macie 由于错误或问题(例如权限设置或使用不受支持的文件或存储格式)而无法分析的对象。

有关更多信息,请参阅 存储和保留敏感数据发现结果

单独账户

组织中既不是管理员也不是成员账户的 Macie 账户。该账户不是组织的一部分。

抑制的调查发现

根据抑制规则自动存档的调查发现。也就是说,Macie 自动将调查发现的状态更改为已存档,因为在 Macie 生成调查发现时,该发现符合抑制规则的标准。

有关更多信息,请参阅 取消发现结果

抑制规则

一组基于属性的筛选条件,您可以创建并保存这些条件以自动存档(隐藏查找结果。如果您已经查看了一类调查发现并且不想再次收到有关这些发现的通知,则抑制规则会很有用。

如果您使用抑制规则抑制调查发现,Macie 会继续生成符合该规则标准的调查发现。但是,Macie 会自动将调查发现的状态更改为已存档。这意味着默认情况下,这些调查发现不会出现在 Amazon Macie 控制台上,Macie 也不会将其发布给其他 AWS 服务。

有关更多信息,请参阅 取消发现结果

不可分类的字节或大小

在 Macie 提供的 S3 存储桶统计数据中,S3 存储桶中所有不可分类的对象的总存储大小。

如果对存储桶启用了版本控制,则该值基于存储桶中每个不可分类的对象的最新版本的存储大小。如果对象是压缩文件,则该值并不反映文件解压后文件内容的实际大小。

有关更多信息,请参阅查看 S3 存储桶清单评测您的 Amazon S3 安全状况

不可分类的对象

Macie 无法通过分析以检测其中的敏感数据的 S3 对象。

在计算 S3 存储桶统计数据时,Macie 会根据对象的存储类别和文件扩展名确定该对象是否不可分类。如果一个对象不使用支持的 Amazon S3 存储类或者没有支持的文件或存储格式的文件扩展名,则该对象不可分类

有关更多信息,请参阅查看 S3 存储桶清单支持的存储类别和格式

为了发现敏感数据,Macie 会根据对象的存储类别、文件扩展名和内容来确定该对象是否不可分类。如果出现以下情况,则对象不可分类:它不使用支持的 Amazon S3 存储类、没有支持的文件或存储格式的文件扩展名,或者 Macie 无法从对象中提取和分析数据。例如,该对象是一个格式错误的文件。

有关更多信息,请参阅发现敏感数据支持的存储类别和格式