Amazon Macie 功能

Amazon Macie 会持续评估您的 Amazon S3 环境，并提供您所有账户的数据安全状况摘要。您可以按元数据变量（例如存储桶名称、标签和安全控制措施，如加密状态或公共可访问性）搜索和筛选 S3 存储桶并对其进行排序。对于任何未加密的存储桶、可公开访问的存储桶或与您在 AWS Organizations 中定义的账户以外的 AWS 账户共享的存储桶，您可以收到相关警报以便采取措施。然后，Macie 会自动对 S3 存储桶中的对象进行采样和分析，检查它们是否包含个人身份信息（PII）等敏感数据，构建 S3 中敏感数据跨账户所在位置的交互式数据映射，并为每个存储桶提供敏感度分数。交互式数据映射可以指导您通过使用 Macie 运行有针对性的敏感数据发现作业，从而对特定 S3 存储桶进行更深入的调查。

借助 Amazon Macie，您可以针对 Amazon S3 存储桶中的所有或部分对象运行一次性、每日、每周或每月一次的敏感数据发现作业。对于有针对性的敏感数据发现作业，Amazon Macie 会自动跟踪对存储桶的更改，并会随时间推移仅评估新对象或修改过的对象。

Amazon Macie 维护着一个不断增加的敏感数据类型列表，其中包括常见的个人身份信息（PII）和数据隐私法规（如 GDPR、PCI-DSS 和 HIPAA）定义的其他敏感数据类型。这些数据类型使用包括机器学习在内的各种数据检测技术，并会随着时间的推移不断增加和改进。

Amazon Macie 使您能够使用正则表达式添加自定义数据类型，以使 Macie 能够发现您企业的专有或唯一敏感数据。

Macie 按对象或存储桶整合发现结果，以此来减少警报量并加快分类速度。Macie 发现结果会根据严重程度进行优先级排序，每个发现结果都包括敏感数据类型、标签、公共可访问性和加密状态等详细信息。发现结果会保留 30 天，您可以在 AWS 管理控制台或通过 API 获取这些结果。完整的敏感数据发现详细信息将自动写入客户拥有的 S3 存储桶，以便长期保留。

Macie 支持一次性临时检索在 S3 中发现的多达 10 个敏感数据示例。借助这项功能，您可以更轻松地查看和了解 S3 对象的哪些内容被识别为敏感内容，以便您查看、验证并根据需要快速采取行动。捕获的所有敏感数据示例均使用客户管理的 AWS 密钥管理服务（KMS）密钥进行加密，并且在检索后可在 Macie 控制台中临时查看。

Macie 的允许列表功能可以帮助您减少因环境中不需要操作的数据文本或格式而导致的警报数量。允许列表定义您希望 Macie 在检查 S3 对象的敏感数据时忽略的特定文本或文本模式。如果文本与允许列表中的条目或模式匹配，Macie 不会在敏感数据调查结果或敏感数据发现结果中报告该文本，即使该文本与托管数据标识符或自定义数据标识符的条件匹配。

只需在 AWS 管理控制台中一次性选择或通过一个 API 调用，您就可以为单个账户启用 Amazon Macie。只需在控制台上进行几次选择，您就可以为多个账户启用 Macie。启用后，Macie 会跨账户生成一个持续的 S3 资源摘要，其中包括存储桶和对象计数以及存储桶级安全性和访问控制措施。

在多账户配置中，单个 Macie 管理员账户可以管理所有成员账户，包括跨账户创建和管理敏感数据发现作业。Macie 通过 AWS Organizations 集成支持多个账户。安全性和敏感数据发现结果将汇总在 Macie 管理员账户中，并发送到 Amazon EventBridge。现在，只需使用一个账户，您就可以与事件管理、工作流和票证系统集成，或将 Macie 发现结果与 AWS Step Functions 结合使用以自动执行补救措施。