Cloud Data Loss Prevention (Cloud DLP) 现已成为敏感数据保护功能的一部分。API 名称保持不变：Cloud Data Loss Prevention API (DLP API)。如需了解构成敏感数据保护的服务，请参阅敏感数据保护概览。

此页面由 Cloud Translation API 翻译。

适用于 Amazon S3 的敏感数据发现

本页面介绍了 Sensitive Data Protection 发现，适用于 Amazon S3。此功能仅适用于满足以下条件的客户：在企业环境中激活了 Security Command Center 层级。

Sensitive Data Protection 发现可帮助您了解各类 S3 和 S3 数据层级。分析 S3 数据时，您将生成文件存储数据分析文件，提供有关 S3 存储分区对于每个 S3 存储桶文件存储数据分析文件包含以下信息：

如需查看每个文件存储数据分析文件中的数据分析和元数据的完整列表，请参阅文件存储数据个人资料。

如需详细了解发现服务，请参阅数据配置文件。

工作流

分析 Amazon S3 数据的概要工作流如下：

在 Security Command Center 中，为 Amazon Web Services (AWS) 创建连接器。请确保您选择授予发现敏感数据保护的权限 复选框，并按照说明使用敏感数据发现权限。

如果您已有连接器未选择为 Sensitive Data Protection 发现服务授予权限，请参阅向现有 AWS 连接器授予敏感数据发现权限。
创建检查模板位于 global 区域或您计划存储发现的区域中扫描配置和所有生成的数据分析文件。
为 Amazon S3 创建发现扫描配置。

敏感数据保护会根据您指定的时间表来分析您的数据。

分析 Amazon S3 数据时，您需要支付 Discovery 价格中列出的敏感数据保护费用。此外，AWS 还会针对 Sensitive Data Protection 发出的请求以及从 S3 到互联网的数据传输向您收费。

Sensitive Data Protection 在对 S3 存储桶进行性能分析的过程中会执行以下操作：

每个配置文件的 S3 存储桶每天约有 50 次 LIST 请求。
已分析存储桶中的每个文件大约有 10 个 GET 请求。 Sensitive Data Protection 通常会进行不到 10 万次 GET 调用。在优化费用时，请勿依赖此值；此值将来可能会发生变化。

AWS 对每 1,000 次请求收取的价格因 S3 存储桶所在的区域而异。有关详情，请参阅请求和数据 Amazon S3 价格中的“检索数量”部分） 文档。

当 Sensitive Data Protection 分析 S3 数据时，数据将被视为从 S3 传输到。您可能需要支付 AWS 费用。如需了解详情，请参阅数据传出从 Amazon S3 到互联网（Amazon S3 价格）文档。

计划分析 Amazon S3 数据时，请考虑以下事项：

数据分析文件与发现扫描配置一起存储。在相比之下，对 Google Cloud 数据进行分析时，这些分析结果会存储在要分析的数据所在的区域。
如果您将检查模板存储在 global 区域中，则内存中系统会在您存储发现的区域中读取该模板的副本扫描配置。
您的 S3 数据。系统会在您存储发现扫描配置的区域中读取数据的内存副本。不过，敏感数据保护功能无法保证数据到达公共互联网后会经过哪些位置。数据会使用 SSL 加密。