Amazon S3 敏感数据发现

本页介绍了适用于 Amazon S3 的 Sensitive Data Protection 发现功能。只有在企业层级激活了 Security Command Center 的客户才能使用此功能。

敏感数据保护发现功能可帮助您了解自己在 S3 中存储的数据类型以及数据的敏感性级别。分析 S3 数据时，您会生成文件存储区数据分析文件，这些文件可提供有关 S3 存储分区的数据分析和元数据。对于每个 S3 存储分区，文件存储空间数据分析文件包含以下信息：

• 您存储在存储分区中的文件类型，分类为文件集群
• 存储分区中数据的敏感度级别
• 有关每个检测到的文件集群的摘要，包括找到的敏感信息类型

如需查看每个文件存储区数据分析文件中包含的数据分析和元数据的完整列表，请参阅文件存储区数据分析文件。

如需详细了解发现服务，请参阅数据配置文件。

工作流

对 Amazon S3 数据进行性能分析的概要工作流程如下：

1. 在 Security Command Center 中，为 Amazon Web Services (AWS) 创建连接器。请务必选中为 Sensitive Data Protection 发现服务授予权限复选框，然后按照说明配置具有敏感数据发现权限的连接器。

   如果您已有连接器未选择为 Sensitive Data Protection 发现服务授予权限，请参阅向现有 AWS 连接器授予敏感数据发现权限。

2. 在 global 区域或您计划存储发现扫描配置和所有生成的数据分析文件的区域创建检查模板。

3. 为 Amazon S3 创建发现扫描配置。

   敏感数据保护功能会根据您指定的时间表对您的数据进行分析。

价格

当您对 Amazon S3 数据进行分析时，AWS 会对 Sensitive Data Protection 发出的请求以及从 S3 到互联网的数据传输收费。

发现服务对您的数据进行性能分析时，会扫描 S3 存储分区中的数据样本。发现功能使用启发词语方法来确定要在每个存储分区和特定文件中抽样的数据量。在此过程中，系统会将部分数据传输到 Sensitive Data Protection，并使用其内容检查服务对其进行检查。 Google Cloud 在大多数情况下，如果没有间歇性错误，则每个存储分区传输和扫描的数据不会超过 30 GB。为每个存储分区抽取的数据可以少于 30 GB。

敏感数据保护功能发出的请求

Sensitive Data Protection 会在对 S3 存储分区进行性能分析的过程中执行以下操作：

• 每个配置文件的 S3 存储分区每天约有 50 次 LIST 请求。
• 每个文件约 4 个 GET 请求，配置文件分桶中的文件数量最多为 7,000 个。Sensitive Data Protection 通常会进行不到 10 万次 GET 调用。在优化费用时，请勿依赖此值；此值将来可能会发生变化。

AWS 对每 1,000 次请求收取的价格因 S3 存储分区所在的区域而异。如需了解详情，请参阅 Amazon S3 价格文档中的请求和数据检索部分。

从 S3 到互联网的数据传输

当敏感数据保护功能分析 S3 数据时，系统会将数据视为从 S3 传输到互联网。您可能需要支付 AWS 费用。如需了解详情，请参阅 Amazon S3 价格文档中的从 Amazon S3 向互联网传输数据。

计算示例

假设您要分析美国东部（北卡罗莱纳州）弗吉尼亚州）区域。您可以按如下方式估算与发现操作直接相关的 Amazon 费用。

示例：请求和数据检索

示例：将数据从 Amazon S3 传输到互联网

数据驻留注意事项

在规划从其他云提供商分析数据时，请考虑以下事项：

• 数据分析文件会与发现扫描配置一起存储。相比之下，当您对数据进行性能分析时，配置文件会存储在要分析的数据所在的区域中。 Google Cloud
• 如果您将检查模板存储在 global 区域，系统会在您存储发现扫描配置的区域中读取该模板的内存副本。
• 您的数据不会被修改。系统会在您存储发现扫描配置的区域中读取数据的内存副本。不过，Sensitive Data Protection 不保证数据在到达公共互联网后会经过哪些位置。数据会使用 SSL 加密。

后续步骤

• 分析 Amazon S3 数据