Amazon S3 機密資料探索

本頁說明如何搭配 Amazon S3 使用 Sensitive Data Protection 探索功能。這項功能僅適用於已啟用 Enterprise 級 Security Command Center 的客戶。

透過 Sensitive Data Protection 探索功能，您可以瞭解儲存在 S3 中的資料類型，以及資料的機密程度。剖析 S3 資料時，系統會產生檔案儲存庫資料剖析檔，提供 S3 儲存空間的洞察資料和中繼資料。針對每個 S3 值區，檔案儲存庫資料剖析檔會包含下列資訊：

• 儲存在值區中的檔案類型，分類為檔案叢集
• bucket 中資料的機密程度
• 每個偵測到的檔案集合摘要，包括找到的機密資訊類型

如需每個檔案儲存庫資料剖析檔的洞察資料和中繼資料完整清單，請參閱「檔案儲存庫資料剖析檔」。

如要進一步瞭解探索服務，請參閱資料設定檔。

工作流程

剖析 Amazon S3 資料的大致工作流程如下：

1. 在 Security Command Center 中，為 Amazon Web Services (AWS) 建立連接器。請務必選取「將權限授予 Sensitive Data Protection 探索服務」核取方塊，然後按照操作說明，設定具有機密資料探索權限的連接器。

   如果現有連結器未選取「將權限授予 Sensitive Data Protection 探索服務」，請參閱「將機密資料探索權限授予現有 AWS 連結器」。

2. 在 global 區域或您打算儲存探索掃描設定和所有產生的資料剖析檔的區域，建立檢查範本。

3. 為 Amazon S3 建立探索掃描設定。

   Sensitive Data Protection 會按照您指定的時間表剖析資料。

定價

剖析 Amazon S3 資料時，AWS 會針對 Sensitive Data Protection 發出的要求，以及 從 S3 傳輸至網際網路的資料向您收費。

探索服務剖析資料時，會掃描 S3 儲存空間中的資料樣本。Discovery 會使用啟發式方法，判斷每個值區和特定檔案中要取樣的資料量。在此過程中，部分資料會傳輸至 Google Cloud 並使用 Sensitive Data Protection 的內容檢查服務進行檢查。在大多數情況下，如果沒有間歇性錯誤，每個 bucket 轉移及掃描的資料不會超過 30 GB。每個值區的取樣資料可能小於 30 GB。

來自 Sensitive Data Protection 的要求

Sensitive Data Protection 在剖析 S3 值區的過程中，會執行下列作業：

• 每個已剖析的 S3 儲存貯體每天約 50 個要求。LIST
• 如果設定檔儲存空間最多有 7,000 個檔案，每個檔案約有 4 個要求。GETSensitive Data Protection 通常會發出不到 10 萬次 GET 呼叫。請勿在盡量降低成本時依據這個值，因為這個值日後可能會變更。

AWS 對每 1,000 個要求收取的費用，會因 S3 儲存空間的區域而異。詳情請參閱 Amazon S3 定價說明文件中的「要求和資料擷取」。

從 S3 轉移資料至網際網路

Sensitive Data Protection 剖析 S3 資料時，系統會將資料視為從 S3 傳輸至網際網路。可能需要支付 AWS 費用。詳情請參閱 Amazon S3 定價說明文件中的「從 Amazon S3 移轉至網際網路的資料」一節。

計算範例

假設您想在美國東部 (北維吉尼亞) 剖析 10 個 S3 Standard 值區，維吉尼亞州) 區域。您可以按照下列方式，估算與探索作業直接相關的 Amazon 費用。

範例：要求和資料擷取

示例：從 Amazon S3 轉出資料至網際網路

資料落地注意事項

如要分析其他雲端服務供應商的資料，請注意下列事項：

• 資料設定檔會與探索掃描設定一併儲存。相反地，當您剖析 Google Cloud 資料時，剖析檔會儲存在與要剖析的資料相同的區域。
• 如果將檢查範本儲存在 global 地區，系統會在儲存探索掃描設定的地區讀取該範本的記憶體內副本。
• 但不會修改資料。系統會在您儲存探索掃描設定的區域中，讀取資料的記憶體內副本。不過，Sensitive Data Protection 無法保證資料在連上公用網際網路後會經過哪些路徑。資料會以 SSL 加密。

後續步驟

• 剖析 Amazon S3 資料