本页介绍了适用于 Amazon S3 的敏感数据保护发现功能。只有在企业层级激活了 Security Command Center 的客户才能使用此功能。
敏感数据保护发现功能可帮助您了解自己在 S3 中存储的数据类型以及数据的敏感性级别。分析 S3 数据时,您会生成文件存储区数据分析文件,这些文件会提供有关 S3 存储分区的数据分析和元数据。对于每个 S3 存储桶,文件存储空间数据分析文件包含以下信息:
- 您存储在存储桶中的文件类型,分类为文件集群
- 存储桶中数据的敏感度级别
- 有关每个检测到的文件集群的摘要,包括找到的敏感信息类型
如需查看每个文件存储区数据分析文件中的分析洞见和元数据的完整列表,请参阅文件存储区数据分析文件。
如需详细了解发现服务,请参阅数据配置文件。
工作流
对 Amazon S3 数据进行性能分析的概要工作流程如下:
在 Security Command Center 中,为 Amazon Web Services (AWS) 创建连接器。请务必选中为 Sensitive Data Protection 发现服务授予权限复选框,然后按照说明配置具有敏感数据发现权限的连接器。
如果您已有连接器未选择为 Sensitive Data Protection 发现服务授予权限,请参阅向现有 AWS 连接器授予敏感数据发现权限。
在
global区域或您计划存储发现扫描配置和所有生成的数据分析文件的区域创建检查模板。-
敏感数据保护功能会根据您指定的时间表对您的数据进行分析。
价格
分析 Amazon S3 数据时,您需要支付 Discovery 价格中列出的敏感数据保护费用。此外,AWS 还会针对 Sensitive Data Protection 发出的请求以及从 S3 到互联网的数据传输向您收费。
发现服务对您的数据进行性能分析时,会扫描 S3 存储桶中的数据样本。发现功能使用启发词语方法来确定要在每个存储桶和特定文件中抽样的数据量。在此过程中,部分数据会传输到 Google Cloud,并使用 Sensitive Data Protection 的内容检查服务进行检查。在大多数情况下,如果没有间歇性错误,则每个存储桶传输和扫描的数据不会超过 30 GB。为每个存储桶抽取的数据量可以小于 30 GB。
敏感数据保护功能发出的请求
Sensitive Data Protection 在对 S3 存储分区进行性能分析的过程中会执行以下操作:
- 每个配置文件的 S3 存储桶每天约有 50 次
LIST请求。 - 在已分析的令牌桶中,每个文件的
GET请求数约为 10 次。Sensitive Data Protection 通常会进行少于 10 万次GET调用。在优化费用时,请勿依赖此值;此值将来可能会发生变化。
AWS 对每 1,000 次请求收取的价格因 S3 存储桶所在的区域而异。如需了解详情,请参阅 Amazon S3 价格文档中的请求和数据检索部分。
从 S3 到互联网的数据传输
当敏感数据保护功能分析 S3 数据时,系统会将数据视为从 S3 传输到互联网。您可能需要支付 AWS 费用。如需了解详情,请参阅 Amazon S3 价格文档中的从 Amazon S3 向互联网传输数据。
计算示例
假设您要分析美国东部(北卡罗莱纳州)弗吉尼亚州)区域。您可以按如下方式估算与发现操作直接相关的 Amazon 费用。
示例:请求和数据检索
| 每个存储桶中的估算请求数 | 10 个分桶的预计请求数 | Amazon 费率 | 小计 | |
|---|---|---|---|---|
LIST |
50 | 500 | 每 1,000 次调用 $0.005 | 0.005 |
GET |
28,000 | 280,000 | 每 1,000 次调用 $0.0004 | 0.112 |
| 总计 | 0.117 |
示例:将数据从 Amazon S3 传输到互联网
| 每个存储桶 抽取的数据量 |
Amazon 费率 | 每个存储桶的价格 |
|---|---|---|
| 最多 30 GB | 每 GB $0.09 | 最高 $2.70 |
数据驻留注意事项
在规划 Amazon S3 数据分析时,请考虑以下事项:
数据分析文件会与发现扫描配置一起存储。相比之下,当您对 Google Cloud 数据进行性能分析时,配置文件会存储在要分析的数据所在的区域。
如果您将检查模板存储在
global区域,系统会在您存储发现扫描配置的区域中读取该模板的内存副本。您的 S3 数据不会被修改。系统会在您存储发现扫描配置的区域中读取数据的内存副本。不过,敏感数据保护功能无法保证数据在到达公共互联网后会经过哪些位置。数据会使用 SSL 加密。