一般性问题
问:什么是 Amazon Macie?
答:Amazon Macie 是一种数据安全服务,它使用机器学习和模式匹配来发现敏感数据,提供对数据安全风险的可见性,并使您能够自动防御这些风险。
问:GuardDuty 的主要优势有哪些?
答:Macie 使用机器学习和模式匹配,经济高效地大规模发现敏感数据。Macie 会自动检测大量不断增多的敏感数据类型,包括姓名、地址和信用卡号等个人身份信息(PII)。它还使您能够持续查看存储在 Amazon Simple Storage Service (Amazon S3) 中的数据。只需在 AWS 管理控制台中进行一次选择或一次 API 调用,即可轻松设置 Macie。Macie 使用 AWS Organizations 提供多账户支持,因此您只需进行几次选择即可在所有账户中启用 Macie。
问:Macie 的费用是多少?
答:使用 Macie,您将根据三个维度付费:为存储桶清点和监控评估的 S3 存储桶数量、为自动数据发现监控的 S3 对象数量,以及为自动和有针对性的敏感数据发现检查的数据量。请参阅 Macie 定价页面,了解最新定价信息。
问:可以免费试用吗?
答:可以,Macie 的每个新账户都有 30 天的免费试用期。免费试用包括 S3 中的自动敏感数据发现以及存储桶级安全性和访问控制,为期 30 天。AWS 管理控制台会根据您账户中的存储桶总数提供该服务的成本估算。如果您采用多账户配置,成本估算将跨所有账户进行累计,以显示在每个账户免费试用结束后的估算总额。使用 Macie,您每月可以针对敏感数据发现免费处理 1GB 数据。这项免费套餐优惠永不过期,不受 30 天免费试用期限制。
问:Macie 是区域性服务还是全球性服务?
答:Macie 是一项区域性服务。Macie 必需按区域启用,有助于您查看每个区域内所有账户的发现结果。这样可以确保分析的所有数据以区域为基础,且不会跨越 AWS 区域边界。
问:Macie 支持哪些区域?
答:有关 Amazon Macie 的区域可用性的最新信息,请查看 AWS 区域表。
问:如何开始使用 Macie?
答:只需在 AWS 管理控制台中进行一次选择或一次 API 调用,即可启用 Macie。Macie 使用 AWS Organizations 提供多账户支持,因此您只需进行几次选择即可在所有账户中启用 Macie。
问:Macie 如何支持自定义数据类型?
答:借助 Macie,您可以使用正则表达式添加自定义数据类型,以帮助 Macie 发现您企业专有或独有的敏感数据。例如,您的员工 ID 可能有特定格式;一种可能的格式是有一个大写字母,它定义员工是全职还是兼职,后跟破折号,然后是八个数字(例如 F-12345678 代表全职员工)。定义的这些自定义敏感数据类型对每个客户都是唯一的,不会与其他客户共享。
问:我可以排除自动数据发现采样的存储桶吗?
答:可以。您可以使用 Macie S3 存储桶目录导航到感兴趣的存储桶,并将它们标记为从自动敏感数据发现中排除。如果您想排除大量存储桶,可以使用 Macie API 操作将存储桶标记为已排除。您还可以在 Macie 控制台的“设置”页面上应用此配置。
问:自动敏感数据可以免费试用吗?
答:可以。所有新账户和现有账户均可免费试用 30 天,以尝试自动发现敏感数据。在前 30 天内,自动敏感数据发现是免费的。在 30 天免费试用后,请参阅 Macie 定价页面以了解成本估算。
问:使用什么存储桶级别的元数据来丰富 S3 的 Macie 数据映射?
答:Macie 用于数据映射丰富的元数据包括公共可访问性、加密类型、与 AWS 组织外部账户的共享或复制状态、总存储量、可分类存储量和估计的扫描数据总量。此外,它还包括敏感数据存在的指示和每个存储桶的敏感度分数。该分数是根据自动敏感数据发现和您运行的任何目标敏感数据发现作业的结果计算得出的。您可以在 Macie 控制台内或通过 Macie API 操作查看 S3 存储桶表中敏感数据类型的分布。
