当你把越来越多的数据放到云端时，你需要依靠安全自动化来保证它的安全。许多数据泄露不是未经授权用户的恶意行为造成的，而是授权用户的错误造成的。要监视和管理敏感数据的安全性，首先必须能够识别它。AWS推出了Amazon Macie，这是一项完全托管的数据安全和数据隐私服务，使用机器学习和模式匹配帮助您检测、分类，并更好地保护存储在AWS云中的敏感数据。 

Macie原理

Macie将机器学习和模式匹配技术应用于您选择的S3存储桶，以识别敏感数据，并向您发出警报，例如个人身份信息(PII)。您可以在AWS管理控制台中搜索和筛选Macie的警报或调查结果，并将其发送到Amazon EventBridge（前称 Amazon CloudWatch Events），以便轻松与现有工作流程或事件管理系统集成，或与AWS服务（例如 AWS Step Functions）结合使用，以执行自动修复操作。这可以帮助您满足法规要求，例如《健康保险携带和责任法案》(HIPAA) 以及《通用数据隐私条例》(GDPR)。

Macie使用场景

在数据迁移中识别敏感数据

将大量数据迁移到 AWS 时，您可以设置一个安全的 Amazon S3 环境，用作使用 Macie 发现敏感数据的初始暂存区。您还可以从应用程序（如电子邮件、文件共享、协作工具）中提取文件，并传输到 S3 以供 Macie 评估。评估结果可帮助您了解迁移数据应存储在何处以及需要应用哪些安全控制（如加密和资源标记）。利用 Macie 的调查结果，您可以在数据迁移到 AWS 时自动配置数据保护和基于角色的访问策略。

评估您的数据隐私性和安全性

保持正确的数据安全级别的一个重要方面是能够持续地识别敏感数据并评估安全性和访问控制。Amazon Macie 让您可以在整个 Amazon S3 环境中做到这一点，生成可指导行动的调查结果，以便在需要时快速响应。使用 Macie，您还可以通过将敏感数据临时移动到 S3 来灵活地识别驻留在其他数据存储中的敏感数据。例如，您可以启动 Amazon Relational Database Service (RDS) 或 Amazon Aurora 快照，将这些服务中的数据导出到 Amazon S3，在其中可以使用 Macie 对敏感数据进行评估。这样您就可以利用 Macie 来帮助您维护数据隐私性和安全性。

保持合规性

合规团队需要监控敏感数据所在的位置，对其进行适当保护，并提供证据证明他们正在实施数据安全和隐私保护，以满足合规要求。Amazon Macie提供了不同的数据分析计划选项，如一次、每日、每周或每月敏感数据发现作业，以帮助您满足和保持数据隐私和合规要求。Macie会自动将所有敏感数据发现作业的输出（包括调查结果、评估结果、时间戳以及被扫描是否存在敏感数据的所有存储桶和对象的历史记录）发送到您拥有的S3存储桶。这些敏感数据发现详细报告可用于数据隐私和保护审核以及长期保留。

Macie如何收费

Macie针对存储桶级安全性及访问控制评估的Amazon S3存储桶数量，以及针对敏感数据发现处理的数据量进行收费。Macie仅对其检查的受支持对象类型中处理的字节收费。

作为Macie敏感数据发现作业的一部分，还将产生针对GET和LIST请求的标准Amazon S3费用。

以俄亥俄区域为例：

收费示例

一个账户中启用了 Macie，该账户拥有 15 个 Amazon S3 存储桶。而且，您为存储桶提交了敏感数据发现作业，S3 标准存储中有 1000000 个对象，结果处理了 100GB 数据。

• 15 个 Amazon S3 存储桶
• 针对敏感数据发现处理 100GB 的数据
• 1000000 个对象，所有支持的对象类型

Macie 费用 =15 * 0.10 USD（每个 S3 存储桶每月 0.10 USD）+ 1 * 0.00 USD（每月前 1GB）+ 99 * 1.00 USD（每月超出 1GB 后的 50000GB）= 1.50 USD + 0.00 USD + 99.00 USD= 100.50 USD Macie 费用

S3 费用 =0.005 USD（1000 个 S3 LIST 请求返回 1000 个对象，每 1000 个调用的费用为 0.005 USD）+ 0.0004 USD * 1000（1000000 个对象，每 1000 个 S3 GET 请求的费用为 0.0004 USD）= 0.005 USD + 0.4 USD= 0.405 USD S3 费用