Fonctionnalités d’Amazon Macie

Qu'est-ce qu'Amazon Macie ?

Amazon Macie est un service de sécurisation des données qui identifie les données sensibles à l'aide du machine learning et de la comparaison de séquences, fournit une visibilité sur les risques relatifs à la sécurité des données et permet une protection automatisée contre ces risques. Pour vous aider à gérer la posture de sécurisation des données de votre environnement Amazon S3, Macie évalue en continu vos compartiments S3 en termes de sécurité et de contrôles d’accès, et génère des résultats pour vous notifier de problèmes tels que des compartiments non chiffrés, accessibles publiquement et des compartiments partagés avec des comptes AWS extérieurs à votre organisation. Macie échantillonne et analyse ensuite des objets dans vos compartiments S3, les inspecte pour repérer des données sensibles telles que des données d’identification personnelle (PII), établit une carte de données interactive du lieu de résidence de vos données sensibles S3 à travers les comptes et attribue un score de sensibilité à chaque compartiment. La carte interactive de données peut vous pousser à mener des investigations plus poussées sur des compartiments S3 spécifiques, en lançant des tâches de découverte de données sensibles ciblées, avec Macie. Les tâches de découverte de données sensibles ciblées peuvent vous aider à vous conformer aux réglementations, telles que la loi Health Insurance Portability and Accountability Act (HIPAA) et le Règlement Général sur la Protection des Données (RGPD). Tous les résultats Macie sont envoyés à Amazon EventBridge et peuvent être publiés dans le AWS Security Hub pour initier une réhabilitation automatisée, comme par exemple le blocage de l’accès public à votre stockage S3. Démarrez avec Macie en utilisant votre essai gratuit de 30 jours, qui inclut la découverte automatique de données sensibles et l’évaluation au niveau des compartiments S3. Cet essai gratuit peut vous aider à comprendre les dépenses estimées pour usage continu avant de vous engager à une utilisation payante.

Fonctions principales

Évaluation permanente de votre posture de sécurité Amazon S3

Amazon Macie évalue en permanence votre environnement Amazon S3 et fournit une synthèse de votre posture de sécurité des données sur tous vos comptes. Vous pouvez rechercher, filtrer et trier les compartiments S3 en fonction de leurs métadonnées tels que le nom, les balises ou les contrôles de sécurité, comme le statut de chiffrement ou l’accessibilité au public. Vous pouvez recevoir des alertes concernant les compartiments non chiffrés, publics ou partagés avec des comptes AWS n’étant pas définis dans AWS Organizations. Macie échantillonne et analyse ensuite des objets dans vos compartiments S3, les inspecte pour repérer des données sensibles telles que des données d’identification personnelle (PII), construit une carte de données interactive du lieu de résidence de vos données sensibles S3 à travers les comptes et attribue un score de sensibilité à chaque compartiment. La carte interactive de données peut vous pousser à mener des investigations plus poussées sur des compartiments S3 spécifiques, en lançant des tâches de découverte de données sensibles ciblées, avec Macie.

Identification ciblée des données sensibles

Amazon Macie vous permet d’exécuter des tâches d’identification des données sensibles de manière ponctuelle, quotidienne, hebdomadaire ou mensuelle sur l’ensemble ou une partie des objets d’un compartiment Amazon S3. Pour l’identification ciblée des données sensibles, Amazon Macie assure un suivi automatique des modifications des compartiments et évalue uniquement les objets récemment ajoutés ou modifiés.

Types de données sensibles entièrement gérés

Amazon Macie gère une liste de types de données sensibles en constante évolution. Cette liste inclut les données d’identification personnelles (PII) courantes et d’autres types de données sensibles définis par des réglementations relatives à la confidentialité des données comme le RGPD, la norme PCI DSS et la loi HIPAA. Ces types de données sont gérés à l’aide de diverses techniques de détection comme le machine learning et font l’objet de mises à jour régulières.

Découvrez les types de données propriétaires ou uniques

Vous pouvez ajouter des types de données personnalisés à l'aide d'expressions régulières afin qu'Amazon Macie puisse identifier des données sensibles uniques ou propriétaires pertinentes pour votre entreprise.

Résultats détaillés et exploitables relatifs à la sécurité et à l’identification des données sensibles

Amazon Macie réduit le volume d’alertes et accélère le tri en regroupant les résultats par objet ou compartiment. Les résultats sont hiérarchisés en fonction du niveau de gravité et fournissent des informations détaillées comme le type de données sensibles, les balises, l’accessibilité au public et le statut de chiffrement. Ils sont conservés pendant 30 jours et sont disponibles dans AWS Management Console ou depuis l’API. Tous les détails de l’identification des données sensibles sont enregistrés automatiquement dans un compartiment S3 détenu par le client à des fins de conservation à long terme.

Passer en revue et valider en toute sécurité des données sensibles trouvées dans un objet Amazon S3

Macie autorise, pour une sélection unique, la récupération temporaire jusqu’à 10 exemples de données sensibles trouvées dans S3. Cette fonctionnalité vous permet de consulter et de comprendre plus facilement quel contenu d’un objet S3 a été identifié comme sensible afin que vous puissiez examiner, valider et effectuer rapidement une opération selon les besoins. Tous les exemples de données sensibles capturés sont chiffrés à l’aide de clés AWS Key Management Service (KMS) gérées par l’utilisateur et sont consultables temporairement dans la console Macie après leur récupération.

Créer et gérer les listes d’autorisation pour spécifier des textes ou séquences de texte

La fonctionnalité de liste d’autorisation de Macie peut vous aider à réduire le volume des alertes dues à des textes ou à des formats de données dans votre environnement ne nécessitant pas d’action. Une liste d’autorisation définit un texte ou une séquence de texte spécifique que vous souhaitez que Macie ignore lors de son inspection de données sensibles pour les objets S3. Si du texte correspond à une entrée ou à un motif d’une liste d’autorisation, Macie ne reporte pas le texte dans les résultats de données sensibles ou d’identification de données sensibles, même si le texte correspond au critère d’un identifiant de données gérées ou d’un identifiant de données personnalisé.

Support multicompte et intégration avec AWS Organizations

Avec la configuration multicompte, un compte administrateur Amazon Macie unique peut gérer l’ensemble des comptes membres, y compris la création et la gestion des tâches d’identification des données sensibles sur l’ensemble des comptes. Macie prend en charge plusieurs comptes par le biais d’une intégration à AWS Organizations. Les résultats relatifs à l’identification des données sensibles et à la sécurité sont regroupés dans le compte administrateur Amazon Macie et transmis à Amazon EventBridge. À partir d’un seul compte, vous pouvez désormais intégrer des systèmes de gestion des événements, de flux de travail et de rapport des incidents ou utiliser les résultats d’Amazon Macie dans AWS Step Functions pour automatiser les mesures de correction.

Étapes suivantes

Documentation

Pour en savoir plus sur les fonctionnalités et l'implémentation d'Amazon Macie, lisez la documentation

Lire la documentation

Console

Commencez à créer avec Amazon Macie

Démarrer avec Amazon Macie