Amazon Macie 功能

Amazon Macie 會持續評估 Amazon S3 環境，並提供一份所有帳戶的資料安全狀態摘要。您可以依中繼資料變數搜尋、篩選和排序 Amazon S3 儲存貯體，例如，儲存貯體名稱、標記，以及加密狀態或公開存取性等安全控制項。對於任何未加密的儲存貯體、可公開存取的儲存貯體，或者與 AWS Organizations 定義外的 AWS 帳戶共用的儲存貯體，系統會發出提醒，方便您採取相關措施。然後，Amazon Macie 會自動對您的 S3 儲存貯體中的物件進行取樣和分析，檢查其是否存在個人身分識別資訊 (PII) 等敏感資料，建置互動式資料映射，說明敏感資料在 S3 中跨帳戶的駐留位置，並為每個儲存貯體提供敏感度評分。互動式資料映射可指導您使用 Amazon Macie 執行具有針對性的敏感資料探索任務，藉此對特定 Amazon S3 儲存貯體進行更深入的調查。

Amazon Macie 可讓您針對 Amazon S3 儲存貯體中的所有或部分物件，執行一次性、每日、每週或每月的敏感資料探索任務。對於針對性敏感資料探索任務，Amazon Macie 會自動追蹤儲存貯體的變動，而且只評估一段時間內新的或修改過的物件。

Amazon Macie 會保管一份不斷增加的敏感資料類型清單，其中包括一般個人身分識別資訊 (PII) 以及資料隱私法規所定義的其他敏感資料類型，例如 GDPR、PCI DSS 和 HIPAA。這些資料類型使用各種不同的資料偵測技術，包括機器學習，並隨著時間不斷增加和改進。

Amazon Macie 可讓您使用規則表達式來新增自訂資料類型，這樣 Macie 便可以為您的企業探索專有或唯一的敏感資料。

Macie 可根據物件或儲存貯體來合併探索結果，以此減少提醒數量並加速分類。Macie 探索結果可根據嚴重程度排定優先順序，每一筆探索的結果都包括詳細資訊，例如敏感資料類型、標記、公開存取性和加密狀態。探索結果會保留 30 天，可透過 AWS 管理主控台或 API 查看這些結果。完整的敏感資料探索詳細資訊會自動寫入客戶擁有的 Amazon S3 儲存貯體，方便長期保存。

Amazon Macie 支援一鍵式、臨時擷取最多 10 個在 Amazon S3 中找到的敏感資料範例。此功能可協助您更輕鬆地檢視和了解 Amazon S3 物件的哪些內容被識別為敏感內容，以便您可以檢閱、驗證並視需快速採取行動。擷取的所有敏感資料範例均使用客戶受管 AWS Key Management Service (KMS) 金鑰進行加密，並且在擷取後可在 Amazon Macie 主控台中臨時檢視。

Amazon Macie 的允許清單功能可協助您減少因環境中不需要操作的資料文字或格式而導致的提醒量。允許清單定義您希望 Amazon Macie 在檢查 Amazon S3 物件的敏感資料時忽略的特定文字或文字模式。如果文字與允許清單中的項目或模式相符，Amazon Macie 則不會在敏感資料問題清單或敏感資料探索結果中報告該文字，即使該文字與受管資料識別符或自訂資料識別符的條件相符。

只要在 AWS 管理主控台選擇一次或發出單一 API 呼叫，即可在單一帳戶啟用 Amazon Macie。此外，只要在主控台選擇幾次，就能為多個帳戶啟用 Amazon Macie。啟用之後，Amazon Macie 會針對各帳戶產生一個持續的 Amazon S3 資源摘要，其中包括儲存貯體和物件計數以及儲存貯體級別安全和存取控制。

在多帳戶組態中，單一 Amazon Macie 管理員帳戶可以管理所有成員帳戶，包括建立和管理各帳戶的敏感資料探索任務。Amazon Macie 可透過 AWS Organizations 整合支援多個帳戶。安全和敏感資料探索結果會在 Macie 管理員帳戶中進行彙整，然後傳送到 Amazon EventBridge。現在只要使用一個帳戶，就能與事件管理、工作流程和票證系統整合，或者搭配使用 Amazon Macie 探索結果與 AWS Step Functions，自動執行修正動作。