Cette page décrit la découverte de la protection des données sensibles à utiliser avec Amazon S3. Cette fonctionnalité n'est disponible que pour les clients ayant activé Security Command Center au niveau Enterprise.
La détection de la protection des données sensibles vous aide à découvrir les types de données que vous stockez dans S3 et les niveaux de sensibilité de vos données. Lorsque vous créez un profil de vos données S3, vous générez des profils de données du magasin de fichiers, qui fournissent des insights et des métadonnées sur vos buckets S3. Pour chaque bucket S3, un profil de données de stockage de fichiers inclut les informations suivantes:
- Types de fichiers que vous stockez dans le bucket, classés en clusters de fichiers
- Niveau de sensibilité des données du bucket
- Résumé de chaque cluster de fichiers détecté, y compris les types d'informations sensibles trouvés
Pour obtenir la liste complète des insights et des métadonnées de chaque profil de données du magasin de fichiers, consultez la section Profils de données du magasin de fichiers.
Pour en savoir plus sur le service de découverte, consultez Profils de données.
Workflow
Le workflow général de profilage des données Amazon S3 est le suivant:
Dans Security Command Center, créez un connecteur pour Amazon Web Services (AWS). Assurez-vous de cocher la case Accorder des autorisations pour la découverte Sensitive Data Protection et suivez les instructions pour configurer le connecteur avec des autorisations de découverte des données sensibles.
Si vous disposez déjà d'un connecteur pour lequel l'option Accorder des autorisations pour la découverte Sensitive Data Protection n'est pas sélectionnée, consultez Accorder des autorisations de découverte des données sensibles à un connecteur AWS existant.
Créez un modèle d'inspection dans la région
globalou dans la région où vous prévoyez de stocker la configuration d'analyse de découverte et tous les profils de données générés.Créez une configuration d'analyse de découverte pour Amazon S3.
Sensitive Data Protection profile vos données selon la planification que vous spécifiez.
Tarifs
Lorsque vous créez des profils de données Amazon S3, vous êtes soumis aux frais de protection des données sensibles indiqués dans la tarification de Discovery. De plus, AWS vous facture les requêtes envoyées par Sensitive Data Protection et les transferts de données de S3 vers Internet.
Lorsque le service de découverte profile vos données, il analyse un échantillon de celles-ci dans votre bucket S3. Discovery utilise des méthodes heuristiques pour déterminer la quantité de données à échantillonner dans chaque bucket et dans des fichiers spécifiques. Dans ce processus, certaines données sont transférées vers Google Cloud et inspectées à l'aide du service d'inspection du contenu de Sensitive Data Protection. Dans la plupart des cas, en l'absence d'erreurs intermittentes, les données transférées et analysées pour chaque bucket ne dépassent pas 30 Go. Les données échantillonnées pour chaque bucket peuvent être inférieures à 30 Go.
Requêtes de Sensitive Data Protection
La protection des données sensibles effectue les opérations suivantes lors du profilage de vos buckets S3:
- Environ 50 requêtes
LISTpar jour et par bucket S3 profilé. - Environ 10 requêtes
GETpar fichier dans un bucket profilé. La protection des données sensibles effectue généralement moins de 100 000 appelsGET. Ne vous appuyez pas sur cette valeur lorsque vous optimisez pour le coût. Elle est susceptible de changer à l'avenir.
Le prix facturé par AWS pour 1 000 requêtes varie en fonction de la région du bucket S3. Pour en savoir plus, consultez la section Requêtes et récupérations de données dans la documentation sur la tarification d'Amazon S3.
Transferts de données de S3 vers Internet
Lorsque la protection des données sensibles profile des données S3, elles sont considérées comme transférées de S3 vers Internet. Des frais AWS peuvent s'appliquer. Pour en savoir plus, consultez la section Transfert de données SORTANT d'Amazon S3 vers Internet dans la documentation sur la tarification d'Amazon S3.
Exemples de calculs
Supposons que vous souhaitiez profiler 10 buckets S3 Standard dans la région États-Unis Est (N. (Virginie du Nord) Vous pouvez estimer les coûts Amazon directement liés à l'opération de découverte comme suit.
Exemple: Requêtes et récupérations de données
| Nombre estimé de requêtes par bucket | Nombre estimé de requêtes pour 10 buckets | Tarif Amazon | Sous-total | |
|---|---|---|---|---|
LIST |
50 | 500 | 0,005 $ par ensemble de 1 000 appels | 0,005 |
GET |
28 000 | 280 000 | 0,0004 $ par ensemble de 1 000 appels | 0,112 |
| Total | 0,117 |
Exemple: Transfert de données depuis Amazon S3 vers Internet
| Données échantillonnées par bucket |
Tarif Amazon | Prix par bucket |
|---|---|---|
| Jusqu'à 30 Go | 0,09 $ par Go | Jusqu'à 2,70 $ |
Points à prendre en compte concernant la résidence des données
Tenez compte des points suivants lorsque vous planifiez de créer des profils de données Amazon S3:
Les profils de données sont stockés avec la configuration de l'analyse de découverte. En revanche, lorsque vous profilez des données Google Cloud, les profils sont stockés dans la même région que les données à profiler.
Si vous stockez votre modèle d'inspection dans la région
global, une copie en mémoire de ce modèle est lue dans la région où vous stockez la configuration d'analyse de découverte.Vos données S3 ne sont pas modifiées. Une copie en mémoire de vos données est lue dans la région où vous stockez la configuration de l'analyse de découverte. Toutefois, la protection des données sensibles ne garantit pas les endroits où les données transitent une fois qu'elles ont atteint l'Internet public. Les données sont chiffrées avec SSL.