Amazon Macie 是一種資料安全服務,該服務使用機器學習和模式比對來探索敏感資料,提供對資料安全風險的可視性,並讓您針對這些風險啟用自動化保護。為協助您管理 Amazon S3 環境的資料安全狀態,Amazon Macie 會不斷評估您的 Amazon S3 儲存貯體的安全性和存取控制,並產生問題清單以通知您未加密的儲存貯體、可公開存取的儲存貯體,以及與您的組織外部的 AWS 帳戶共用的儲存貯體等問題。然後,Amazon Macie 會自動對您的 Amazon S3 儲存貯體中的物件進行取樣和分析,檢查其是否存在個人身分識別資訊 (PII) 等敏感資料,建置互動式資料映射,說明敏感資料在 Amazon S3 中跨帳戶的駐留位置,並為每個儲存貯體提供敏感度評分。互動式資料映射可指導您使用 Amazon Macie 執行具有針對性的敏感資料探索任務,藉此對特定 Amazon S3 儲存貯體進行更深入的調查。執行針對性敏感資料探索任務,可協助您達成健康保險流通與責任法案 (HIPAA) 和一般資料保護規範 (GDPR) 等法規要求。所有 Amazon Macie 問題清單都會傳送至 Amazon EventBridge,也可以發佈到 AWS Security Hub 以啟動自動修復,例如阻止對您的 Amazon S3 儲存的公開存取。您可以透過 30 天免費試用來開始使用 Amazon Macie,其中包括自動化敏感資料探索和 Amazon S3 儲存貯體層級評估。免費試用還可協助您在承諾付費使用之前,了解持續使用的預估支出。
對 Amazon S3 安全狀態的持續評估
Amazon Macie 會持續評估 Amazon S3 環境,並提供一份所有帳戶的資料安全狀態摘要。您可以依中繼資料變數搜尋、篩選和排序 Amazon S3 儲存貯體,例如,儲存貯體名稱、標記,以及加密狀態或公開存取性等安全控制項。對於任何未加密的儲存貯體、可公開存取的儲存貯體,或者與 AWS Organizations 定義外的 AWS 帳戶共用的儲存貯體,系統會發出提醒,方便您採取相關措施。然後,Amazon Macie 會自動對您的 S3 儲存貯體中的物件進行取樣和分析,檢查其是否存在個人身分識別資訊 (PII) 等敏感資料,建置互動式資料映射,說明敏感資料在 S3 中跨帳戶的駐留位置,並為每個儲存貯體提供敏感度評分。互動式資料映射可指導您使用 Amazon Macie 執行具有針對性的敏感資料探索任務,藉此對特定 Amazon S3 儲存貯體進行更深入的調查。
針對性敏感資料探索
Amazon Macie 可讓您針對 Amazon S3 儲存貯體中的所有或部分物件,執行一次性、每日、每週或每月的敏感資料探索任務。對於針對性敏感資料探索任務,Amazon Macie 會自動追蹤儲存貯體的變動,而且只評估一段時間內新的或修改過的物件。
全受管的敏感資料類型
Amazon Macie 會保管一份不斷增加的敏感資料類型清單,其中包括一般個人身分識別資訊 (PII) 以及資料隱私法規所定義的其他敏感資料類型,例如 GDPR、PCI DSS 和 HIPAA。這些資料類型使用各種不同的資料偵測技術,包括機器學習,並隨著時間不斷增加和改進。
探索專有或獨特的資料類型
Amazon Macie 可讓您使用規則表達式來新增自訂資料類型,這樣 Macie 便可以為您的企業探索專有或唯一的敏感資料。
詳細且可行的安全和敏感資料探索結果
Macie 可根據物件或儲存貯體來合併探索結果,以此減少提醒數量並加速分類。Macie 探索結果可根據嚴重程度排定優先順序,每一筆探索的結果都包括詳細資訊,例如敏感資料類型、標記、公開存取性和加密狀態。探索結果會保留 30 天,可透過 AWS 管理主控台或 API 查看這些結果。完整的敏感資料探索詳細資訊會自動寫入客戶擁有的 Amazon S3 儲存貯體,方便長期保存。
安全地審查和驗證在 Amazon S3 物件中找到的敏感資料
Amazon Macie 支援一鍵式、臨時擷取最多 10 個在 Amazon S3 中找到的敏感資料範例。此功能可協助您更輕鬆地檢視和了解 Amazon S3 物件的哪些內容被識別為敏感內容,以便您可以檢閱、驗證並視需快速採取行動。擷取的所有敏感資料範例均使用客戶受管 AWS Key Management Service (KMS) 金鑰進行加密,並且在擷取後可在 Amazon Macie 主控台中臨時檢視。
建立和管理允許清單,以指定文字或文字模式
Amazon Macie 的允許清單功能可協助您減少因環境中不需要操作的資料文字或格式而導致的提醒量。允許清單定義您希望 Amazon Macie 在檢查 Amazon S3 物件的敏感資料時忽略的特定文字或文字模式。如果文字與允許清單中的項目或模式相符,Amazon Macie 則不會在敏感資料問題清單或敏感資料探索結果中報告該文字,即使該文字與受管資料識別符或自訂資料識別符的條件相符。
一鍵式部署,無需前期資料來源整合
只要在 AWS 管理主控台選擇一次或發出單一 API 呼叫,即可在單一帳戶啟用 Amazon Macie。此外,只要在主控台選擇幾次,就能為多個帳戶啟用 Amazon Macie。啟用之後,Amazon Macie 會針對各帳戶產生一個持續的 Amazon S3 資源摘要,其中包括儲存貯體和物件計數以及儲存貯體級別安全和存取控制。
多帳戶支援以及與 AWS Organizations 的整合
在多帳戶組態中,單一 Amazon Macie 管理員帳戶可以管理所有成員帳戶,包括建立和管理各帳戶的敏感資料探索任務。Amazon Macie 可透過 AWS Organizations 整合支援多個帳戶。安全和敏感資料探索結果會在 Macie 管理員帳戶中進行彙整,然後傳送到 Amazon EventBridge。現在只要使用一個帳戶,就能與事件管理、工作流程和票證系統整合,或者搭配使用 Amazon Macie 探索結果與 AWS Step Functions,自動執行修正動作。