Amazon Macie 是一种数据安全服务,它使用机器学习和模式匹配来发现敏感数据,提供对数据安全风险的可见性,并使您能够自动防御这些风险。为了帮助您管理 Amazon S3 环境的数据安全状况,Macie 不断评估您的 S3 存储桶的安全性和访问控制,并生成结果,以通知您未加密的存储桶、可公开访问的存储桶以及与您组织外部的 AWS 账户共享的存储桶等问题。然后,Macie 会自动对 S3 存储桶中的对象进行采样和分析,检查它们是否包含个人身份信息(PII)等敏感数据,构建 S3 中敏感数据跨账户所在位置的交互式数据映射,并为每个存储桶提供敏感度分数。交互式数据映射可以指导您通过使用 Macie 运行有针对性的敏感数据发现作业,从而对特定 S3 存储桶进行更深入的调查。运行有针对性的敏感数据发现作业可以帮助您满足法规要求,例如《健康保险流通与责任法案》(HIPAA)和《通用数据隐私条例》(GDPR)。所有 Macie 调查结果都会发送到 Amazon EventBridge,也可以发布到 AWS Security Hub 以启动自动修复,例如阻止对您的 S3 存储的公共访问。您可以通过 30 天免费试用开始使用 Macie,其中包括自动敏感数据发现和 S3 存储桶级评估。免费试用还可以帮助您在承诺付费使用之前了解继续使用的估计支出。

持续评估您的 Amazon S3 安全状况

Amazon Macie 会持续评估您的 Amazon S3 环境,并提供您所有账户的数据安全状况摘要。您可以按元数据变量(例如存储桶名称、标签和安全控制措施,如加密状态或公共可访问性)搜索和筛选 S3 存储桶并对其进行排序。对于任何未加密的存储桶、可公开访问的存储桶或与您在 AWS Organizations 中定义的账户以外的 AWS 账户共享的存储桶,您可以收到相关警报以便采取措施。然后,Macie 会自动对 S3 存储桶中的对象进行采样和分析,检查它们是否包含个人身份信息(PII)等敏感数据,构建 S3 中敏感数据跨账户所在位置的交互式数据映射,并为每个存储桶提供敏感度分数。交互式数据映射可以指导您通过使用 Macie 运行有针对性的敏感数据发现作业,从而对特定 S3 存储桶进行更深入的调查。

有针对性的敏感数据发现

借助 Amazon Macie,您可以针对 Amazon S3 存储桶中的所有或部分对象运行一次性、每日、每周或每月一次的敏感数据发现作业。对于有针对性的敏感数据发现作业,Amazon Macie 会自动跟踪对存储桶的更改,并会随时间推移仅评估新对象或修改过的对象。

完全托管的敏感数据类型

Amazon Macie 维护着一个不断增加的敏感数据类型列表,其中包括常见的个人身份信息(PII)和数据隐私法规(如 GDPR、PCI-DSS 和 HIPAA)定义的其他敏感数据类型。这些数据类型使用包括机器学习在内的各种数据检测技术,并会随着时间的推移不断增加和改进。

发现专属或独特的数据类型

Amazon Macie 使您能够使用正则表达式添加自定义数据类型,以使 Macie 能够发现您企业的专有或唯一敏感数据。

详细可行的安全性和敏感数据发现结果

Macie 按对象或存储桶整合发现结果,以此来减少警报量并加快分类速度。Macie 发现结果会根据严重程度进行优先级排序,每个发现结果都包括敏感数据类型、标签、公共可访问性和加密状态等详细信息。发现结果会保留 30 天,您可以在 AWS 管理控制台或通过 API 获取这些结果。完整的敏感数据发现详细信息将自动写入客户拥有的 S3 存储桶,以便长期保留。

安全地审查和验证在 Amazon S3 对象中找到的敏感数据

Macie 支持一次性临时检索在 S3 中发现的多达 10 个敏感数据示例。借助这项功能,您可以更轻松地查看和了解 S3 对象的哪些内容被识别为敏感内容,以便您查看、验证并根据需要快速采取行动。捕获的所有敏感数据示例均使用客户管理的 AWS 密钥管理服务(KMS)密钥进行加密,并且在检索后可在 Macie 控制台中临时查看。

创建和管理允许列表以指定文本或文本模式

Macie 的允许列表功能可以帮助您减少因环境中不需要操作的数据文本或格式而导致的警报数量。允许列表定义您希望 Macie 在检查 S3 对象的敏感数据时忽略的特定文本或文本模式。如果文本与允许列表中的条目或模式匹配,Macie 不会在敏感数据调查结果或敏感数据发现结果中报告该文本,即使该文本与托管数据标识符或自定义数据标识符的条件匹配。

一次性部署,无需预先集成数据来源

只需在 AWS 管理控制台中一次性选择或通过一个 API 调用,您就可以为单个账户启用 Amazon Macie。只需在控制台上进行几次选择,您就可以为多个账户启用 Macie。启用后,Macie 会跨账户生成一个持续的 S3 资源摘要,其中包括存储桶和对象计数以及存储桶级安全性和访问控制措施。

多账户支持以及与 AWS Organizations 的集成

在多账户配置中,单个 Macie 管理员账户可以管理所有成员账户,包括跨账户创建和管理敏感数据发现作业。Macie 通过 AWS Organizations 集成支持多个账户。安全性和敏感数据发现结果将汇总在 Macie 管理员账户中,并发送到 Amazon EventBridge。现在,只需使用一个账户,您就可以与事件管理、工作流和票证系统集成,或将 Macie 发现结果与 AWS Step Functions 结合使用以自动执行补救措施。

Read the documentation
阅读文档

请阅读文档,了解有关 Amazon Macie 功能和实施的更多信息。

阅读文档 
注册 AWS 账户
注册免费账户

立即享受 AWS 免费套餐。 

注册 
开始使用
开始使用 Amazon Macie

开始使用 Amazon Macie 进行构建

开始使用