# Data Discovery and Classification with Amazon Macie ### amazon macie amazon macie 是一個使用在s3上的服務，可以利用macie來掃描(scan)以及分類(classify)，同時也可以和AWS Security Hub 做配合寫Policies來管理s3 bucket 並確保s3的安全性。  ### 建立macie 在使用macie分類s3時需要注意到一點，macie再分類前會先掃描文件，如果是加密文件則macie無法掃描並分類，在沒辦法分析並分類的情況下文件最多只能保留90天，如果想要長期保存加密文件 則會需要KMS(AWS Key Management Service) 如果是用KMS對加密文件再加密macie會把文件寫入json line s3會會認為加密文件認定為GNU zip從而達到長期儲存。 (記得給予maice正確的KMS否則仍然無法掃描)  ### macie 連結 security hub 如果要把macie的policy跟資料傳到security hub擇要在macie的console選擇旁邊的Publication fo results做勾選policy和sensitive data並傳送。  ### 自訂義identifier 可以在Amazon Macie 的 Custom data identifier來自定義分類，EX.我要查找有"project" 或是"unicorn"名稱的文件，則我需要在regular expression (regex)打上(?i)unicorn "(?i)不分大小寫" 跟key word 打上project來做查找，並且在maximum(最大值)打上搜尋資料上限(最多50)  ### event bridge 在有了自定義的分類後需要創建一個EventBridge rule來把剛剛自訂分類的工作結果連接到其他服務例如Software-as-a-Service (SaaS),先去到 Amazon EventBridge console並開始Create rule,在Event Pattern選擇Custom Pattern然後打上程式碼來蒐集執行結果，接著把連接的target設為lambda function下面function選擇要連接的lambda，然後創建  ### 設定macie的分類 現在要來創建數據分類了首先先讓macie來做他默認的分類，先到 macie console選擇要掃描的s3 bucket然後creat job更改scope的檢查頻率其他為默認,就可以創建了。 接下來則是第2個數據分類，選擇one-time job 然後在object cruteria選tag 然後add tag 並在key打上classification然後在value打上public 跟 internal(s3bucket)然後next --- ## 檢視macie ### macie summary 從Macie Summary裡可以看到環境中的s3清單，提供總s3的數量，及消耗了多少空間、公開或未公開共享的、加密或未加密及在帳戶或組織共享的s3  ### Security Hub 在security Hub李可以看到macie轉發的警報 當有策略或設定被改變成會減少s3的時，會在裡面跳出警訊 可以在security hub裡面查看調查結果、降建自定義檢查或使用自動化工程來才取行動。   ###### tags: `JAM` `