Behebung von Deckungsproblemen bei der automatisierten Erkennung sensibler Daten - Amazon Macie

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Behebung von Deckungsproblemen bei der automatisierten Erkennung sensibler Daten

Da die automatische Erkennung sensibler Daten täglich voranschreitet, stellt Amazon Macie Statistiken und Details bereit, anhand derer Sie die Abdeckung Ihres Amazon Simple Storage Service (Amazon S3) -Datenbestands beurteilen und überwachen können. Durch die Überprüfung der Deckungsdaten können Sie den Status der automatisierten Erkennung sensibler Daten für Ihren gesamten Datenbestand und für einzelne darin enthaltene S3-Buckets überprüfen. Sie können auch Probleme identifizieren, die Macie daran gehindert haben, Objekte in bestimmten Buckets zu analysieren. Wenn Sie die Probleme beheben, können Sie die Abdeckung Ihrer Amazon S3 S3-Daten in nachfolgenden Analysezyklen erhöhen.

Macie meldet verschiedene Arten von Problemen, die den Schutz Ihrer Amazon S3 S3-Daten durch die automatische Erkennung sensibler Daten verringern. Dazu gehören Probleme auf Bucket-Ebene, die Macie daran hindern, Objekte in einem S3-Bucket zu analysieren. Dazu gehören auch Probleme auf Objektebene. Diese als Klassifizierungsfehler bezeichneten Probleme hinderten Macie daran, bestimmte Objekte in einem Bucket zu analysieren. Die folgenden Informationen können Ihnen helfen, die Probleme zu untersuchen und zu beheben.

Tipp

Um Klassifizierungsfehler auf Objektebene für einen S3-Bucket zu untersuchen, überprüfen Sie zunächst die Liste der Objektbeispiele für den Bucket. Diese Liste gibt für bis zu 100 Objekte an, welche Objekte Macie im Bucket analysiert hat oder versucht hat zu analysieren.

Um die Liste auf der Amazon Macie Macie-Konsole zu überprüfen, wählen Sie den Bucket auf der S3-Buckets-Seite und dann im Detailbereich die Registerkarte Objektbeispiele aus. Verwenden Sie die ListResourceProfileArtifactsBedienung des Amazon Macie, um die Liste programmgesteuert zu überprüfen. API Wenn der Status der Analyse für ein Objekt Skipped (SKIPPED) lautet, hat das Objekt möglicherweise den Fehler verursacht.

Zugriff verweigert

Dieses Problem weist darauf hin, dass die Berechtigungseinstellungen eines S3-Buckets Macie daran hindern, auf den Bucket und die Objekte des Buckets zuzugreifen. Macie kann keine Objekte im Bucket abrufen und analysieren.

Details

Die häufigste Ursache für diese Art von Problem ist eine restriktive Bucket-Richtlinie. Eine Bucket-Richtlinie ist eine ressourcenbasierte AWS Identity and Access Management (IAM) Richtlinie, die festlegt, welche Aktionen ein Principal (Benutzer, Konto, Dienst oder andere Entität) auf einem S3-Bucket ausführen kann und unter welchen Bedingungen ein Principal diese Aktionen ausführen kann. Eine restriktive Bucket-Richtlinie verwendet explizite Allow Deny Anweisungen, die den Zugriff auf die Daten eines Buckets auf der Grundlage bestimmter Bedingungen gewähren oder einschränken. Eine Bucket-Richtlinie kann beispielsweise eine Allow Deny OR-Anweisung enthalten, die den Zugriff auf einen Bucket verweigert, sofern nicht bestimmte Quell-IP-Adressen für den Zugriff auf den Bucket verwendet werden.

Wenn die Bucket-Richtlinie für einen S3-Bucket eine explizite Deny Anweisung mit einer oder mehreren Bedingungen enthält, darf Macie die Objekte des Buckets möglicherweise nicht abrufen und analysieren, um sensible Daten zu erkennen. Macie kann nur eine Teilmenge von Informationen über den Bucket bereitstellen, z. B. den Namen und das Erstellungsdatum des Buckets.

Anleitung zur Problembehebung

Um dieses Problem zu beheben, aktualisieren Sie die Bucket-Richtlinie für den S3-Bucket. Stellen Sie sicher, dass die Richtlinie Macie den Zugriff auf den Bucket und die Objekte des Buckets ermöglicht. Um diesen Zugriff zu ermöglichen, fügen Sie der Richtlinie eine Bedingung für die dienstbezogene Macie-Rolle (AWSServiceRoleForAmazonMacie) hinzu. Die Bedingung sollte die mit dem Dienst verknüpfte Macie-Rolle von der Einhaltung der Deny Einschränkung in der Richtlinie ausschließen. Dazu werden der aws:PrincipalArn globale Bedingungskontextschlüssel und der Amazon-Ressourcenname (ARN) der mit dem Macie-Service verknüpften Rolle für Ihr Konto verwendet.

Wenn Sie die Bucket-Richtlinie aktualisieren und Macie Zugriff auf den S3-Bucket erhält, erkennt Macie die Änderung. In diesem Fall aktualisiert Macie Statistiken, Inventardaten und andere Informationen, die es über Ihre Amazon S3 S3-Daten bereitstellt. Darüber hinaus werden die Objekte des Buckets bei der Analyse in einem nachfolgenden Analysezyklus eine höhere Priorität haben.

Zusätzliche Referenz

Weitere Informationen zur Aktualisierung einer S3-Bucket-Richtlinie, um Macie den Zugriff auf einen Bucket zu ermöglichen, finden Sie unterMacie den Zugriff auf S3-Buckets und Objekte erlauben. Informationen zur Verwendung von Bucket-Richtlinien zur Steuerung des Zugriffs auf Buckets finden Sie unter Bucket-Richtlinien und Wie Amazon S3 eine Anfrage autorisiert im Amazon Simple Storage Service-Benutzerhandbuch.

Klassifizierungsfehler: Ungültiger Inhalt

Diese Art von Klassifizierungsfehler tritt auf, wenn Macie versucht, ein Objekt in einem S3-Bucket zu analysieren und das Objekt fehlerhaft formatiert ist oder wenn das Objekt Inhalt enthält, der ein Kontingent für die Erkennung sensibler Daten überschreitet. Macie kann das Objekt nicht analysieren.

Details

Dieser Fehler tritt normalerweise auf, weil es sich bei einem S3-Objekt um eine falsch formatierte oder beschädigte Datei handelt. Folglich kann Macie nicht alle Daten in der Datei analysieren und analysieren.

Dieser Fehler kann auch auftreten, wenn die Analyse eines S3-Objekts ein Kontingent für die Erkennung sensibler Daten für eine einzelne Datei überschreiten würde. Beispielsweise überschreitet die Speichergröße des Objekts das Größenkontingent für diesen Dateityp.

In beiden Fällen kann Macie die Analyse des S3-Objekts nicht abschließen und der Status der Analyse für das Objekt lautet Skipped ()SKIPPED.

Anleitung zur Problembehebung

Um diesen Fehler zu untersuchen, laden Sie das S3-Objekt herunter und überprüfen Sie die Formatierung und den Inhalt der Datei. Prüfen Sie außerdem den Inhalt der Datei anhand der Macie-Kontingente für die Erkennung sensibler Daten.

Wenn Sie diesen Fehler nicht beheben, versucht Macie, andere Objekte im S3-Bucket zu analysieren. Wenn Macie ein anderes Objekt erfolgreich analysiert, aktualisiert Macie die Deckungsdaten und andere Informationen, die es über den Bucket bereitstellt.

Zusätzliche Referenz

Eine Liste der Kontingente für die Erkennung sensibler Daten, einschließlich der Kontingente für bestimmte Dateitypen, finden Sie unterKontingente für Macie. Informationen darüber, wie Macie die Vertraulichkeitswerte aktualisiert, und weitere Informationen, die Macie zu S3-Buckets bereitstellt, finden Sie unter. So funktioniert die automatische Erkennung sensibler Daten

Klassifizierungsfehler: Ungültige Verschlüsselung

Diese Art von Klassifizierungsfehler tritt auf, wenn Macie versucht, ein Objekt in einem S3-Bucket zu analysieren und das Objekt mit einem vom Kunden bereitgestellten Schlüssel verschlüsselt ist. Das Objekt verwendet die SSE C-Verschlüsselung, was bedeutet, dass Macie das Objekt nicht abrufen und analysieren kann.

Details

Amazon S3 unterstützt mehrere Verschlüsselungsoptionen für S3-Objekte. Bei den meisten dieser Optionen kann Macie ein Objekt mithilfe der mit dem Macie-Dienst verknüpften Rolle für Ihr Konto entschlüsseln. Dies hängt jedoch von der Art der verwendeten Verschlüsselung ab.

Damit Macie ein S3-Objekt entschlüsseln kann, muss das Objekt mit einem Schlüssel verschlüsselt werden, auf den Macie zugreifen kann und den er verwenden darf. Wenn ein Objekt mit einem vom Kunden bereitgestellten Schlüssel verschlüsselt ist, kann Macie nicht das erforderliche Schlüsselmaterial bereitstellen, um das Objekt von Amazon S3 abzurufen. Folglich kann Macie das Objekt nicht analysieren und der Status der Analyse für das Objekt lautet Skipped (). SKIPPED

Anleitung zur Problembehebung

Um diesen Fehler zu beheben, verschlüsseln Sie S3-Objekte mit von Amazon S3 verwalteten Schlüsseln oder AWS Key Management Service (AWS KMS) -Schlüsseln. Wenn Sie lieber AWS KMS Schlüssel verwenden möchten, kann es sich bei den Schlüsseln um AWS verwaltete KMS Schlüssel oder um vom Kunden verwaltete KMS Schlüssel handeln, die Macie verwenden darf.

Um vorhandene S3-Objekte mit Schlüsseln zu verschlüsseln, auf die Macie zugreifen und die sie verwenden kann, können Sie die Verschlüsselungseinstellungen für die Objekte ändern. Um neue Objekte mit Schlüsseln zu verschlüsseln, auf die Macie zugreifen und die sie verwenden kann, ändern Sie die Standardverschlüsselungseinstellungen für den S3-Bucket. Stellen Sie außerdem sicher, dass die Bucket-Richtlinie nicht vorschreibt, dass neue Objekte mit einem vom Kunden bereitgestellten Schlüssel verschlüsselt werden müssen.

Wenn Sie diesen Fehler nicht beheben, versucht Macie, andere Objekte im S3-Bucket zu analysieren. Wenn Macie ein anderes Objekt erfolgreich analysiert, aktualisiert Macie die Deckungsdaten und andere Informationen, die es über den Bucket bereitstellt.

Zusätzliche Referenz

Informationen zu den Anforderungen und Optionen für die Verwendung von Macie zur Analyse verschlüsselter S3-Objekte finden Sie unterAnalysieren verschlüsselter Amazon S3 S3-Objekte. Informationen zu Verschlüsselungsoptionen und Einstellungen für S3-Buckets finden Sie unter Schützen von Daten durch Verschlüsselung und Einstellen des standardmäßigen serverseitigen Verschlüsselungsverhaltens für S3-Buckets im Amazon Simple Storage Service-Benutzerhandbuch.

Klassifizierungsfehler: Ungültiger Schlüssel KMS

Diese Art von Klassifizierungsfehler tritt auf, wenn Macie versucht, ein Objekt in einem S3-Bucket zu analysieren und das Objekt mit einem Schlüssel AWS Key Management Service (AWS KMS) verschlüsselt ist, der nicht mehr verfügbar ist. Macie kann das Objekt nicht abrufen und analysieren.

Details

AWS KMS bietet Optionen zum Deaktivieren und Löschen von Kundenverwaltungen. AWS KMS keys Wenn ein S3-Objekt mit einem KMS Schlüssel verschlüsselt ist, der deaktiviert ist, zum Löschen geplant ist oder gelöscht wurde, kann Macie das Objekt nicht abrufen und entschlüsseln. Folglich kann Macie das Objekt nicht analysieren und der Status der Analyse für das Objekt lautet Skipped (). SKIPPED Damit Macie ein verschlüsseltes Objekt analysieren kann, muss das Objekt mit einem Schlüssel verschlüsselt sein, auf den Macie zugreifen kann und den er verwenden darf.

Anleitung zur Problembehebung

Um diesen Fehler zu beheben, aktivieren Sie je nach aktuellem Status des Schlüssels die entsprechende Option erneut AWS KMS key oder brechen Sie das geplante Löschen des Schlüssels ab. Wenn der entsprechende Schlüssel bereits gelöscht wurde, kann dieser Fehler nicht behoben werden.

Um festzustellen, welches Objekt zum Verschlüsseln eines S3-Objekts verwendet AWS KMS key wurde, können Sie zunächst Macie verwenden, um die serverseitigen Verschlüsselungseinstellungen für den S3-Bucket zu überprüfen. Wenn die Standardverschlüsselungseinstellungen für den Bucket so konfiguriert sind, dass ein KMS Schlüssel verwendet wird, geben die Details des Buckets an, welcher Schlüssel verwendet wird. Sie können dann den Status dieses Schlüssels überprüfen. Alternativ können Sie Amazon S3 verwenden, um die Verschlüsselungseinstellungen für den Bucket und einzelne Objekte im Bucket zu überprüfen.

Wenn Sie diesen Fehler nicht beheben, versucht Macie, andere Objekte im S3-Bucket zu analysieren. Wenn Macie ein anderes Objekt erfolgreich analysiert, aktualisiert Macie die Deckungsdaten und andere Informationen, die es über den Bucket bereitstellt.

Zusätzliche Referenz

Informationen zur Verwendung von Macie zur Überprüfung der serverseitigen Verschlüsselungseinstellungen für einen S3-Bucket finden Sie unter. Überprüfung der Details von S3-Buckets Informationen zum erneuten Aktivieren eines Schlüssels AWS KMS key oder zum Abbrechen des geplanten Löschvorgangs finden Sie unter Aktivieren und Deaktivieren von Schlüsseln und Löschen von Schlüsseln im Entwicklerhandbuch.AWS Key Management Service

Klassifizierungsfehler: Zugriff verweigert

Diese Art von Klassifizierungsfehler tritt auf, wenn Macie versucht, ein Objekt in einem S3-Bucket zu analysieren, und Macie das Objekt aufgrund der Berechtigungseinstellungen für das Objekt oder der Berechtigungseinstellungen für den Schlüssel, der zum Verschlüsseln des Objekts verwendet wurde, nicht abrufen oder entschlüsseln kann. Macie kann das Objekt nicht abrufen und analysieren.

Details

Dieser Fehler tritt normalerweise auf, weil ein S3-Objekt mit einem vom Kunden verwalteten AWS Key Management Service (AWS KMS) Schlüssel verschlüsselt ist, den Macie nicht verwenden darf. Wenn ein Objekt mit einem vom Kunden verwalteten Objekt verschlüsselt wird AWS KMS key, muss die Richtlinie des Schlüssels es Macie ermöglichen, Daten mithilfe des Schlüssels zu entschlüsseln.

Dieser Fehler kann auch auftreten, wenn die Amazon S3 S3-Berechtigungseinstellungen Macie daran hindern, ein S3-Objekt abzurufen. Die Bucket-Richtlinie für den S3-Bucket kann den Zugriff auf bestimmte Bucket-Objekte einschränken oder nur bestimmten Prinzipalen (Benutzern, Konten, Diensten oder anderen Entitäten) den Zugriff auf die Objekte ermöglichen. Oder die Zugriffskontrollliste (ACL) für ein Objekt könnte den Zugriff auf das Objekt einschränken. Folglich darf Macie möglicherweise nicht auf das Objekt zugreifen.

In keinem der oben genannten Fälle kann Macie das Objekt abrufen und analysieren, und der Status der Analyse für das Objekt lautet Skipped (). SKIPPED

Anleitung zur Problembehebung

Um diesen Fehler zu beheben, stellen Sie fest, ob das S3-Objekt verschlüsselt und von einem Kunden verwaltet wird. AWS KMS key Ist dies der Fall, stellen Sie sicher, dass die Richtlinie des Schlüssels es der mit dem Macie-Dienst verknüpften Rolle (AWSServiceRoleForAmazonMacie) ermöglicht, Daten mit dem Schlüssel zu entschlüsseln. Wie Sie diesen Zugriff zulassen, hängt davon ab, ob das Konto, dem der gehört, AWS KMS key auch den S3-Bucket besitzt, in dem das Objekt gespeichert ist. Wenn der KMS Schlüssel und der Bucket demselben Konto gehören, muss ein Benutzer des Kontos die Richtlinie für den Schlüssel aktualisieren. Wenn ein Konto den KMS Schlüssel besitzt und ein anderes Konto den Bucket besitzt, muss ein Benutzer des Kontos, dem der Schlüssel gehört, kontoübergreifenden Zugriff auf den Schlüssel gewähren.

Tipp

Sie können automatisch eine Liste aller verwalteten Kunden generieren, auf AWS KMS keys die Macie zugreifen muss, um Objekte in den S3-Buckets für Ihr Konto zu analysieren. Führen Sie dazu das AWS KMS Permission Analyzer-Skript aus, das im Amazon Macie Scripts-Repository verfügbar GitHub ist. Das Skript kann auch ein zusätzliches Skript mit AWS Command Line Interface (AWS CLI) -Befehlen generieren. Sie können diese Befehle optional ausführen, um die erforderlichen Konfigurationseinstellungen und Richtlinien für die von Ihnen angegebenen KMS Schlüssel zu aktualisieren.

Wenn Macie das entsprechende Objekt bereits verwenden darf AWS KMS key oder das S3-Objekt nicht mit einem vom Kunden verwalteten KMS Schlüssel verschlüsselt ist, stellen Sie sicher, dass die Bucket-Richtlinie Macie den Zugriff auf das Objekt ermöglicht. Stellen Sie außerdem sicher, dass das Objekt Macie ACL erlaubt, die Daten und Metadaten des Objekts zu lesen.

Für die Bucket-Richtlinie können Sie diesen Zugriff zulassen, indem Sie der Richtlinie eine Bedingung für die mit dem Macie-Dienst verknüpfte Rolle hinzufügen. Die Bedingung sollte die Macie-Rolle, die mit dem Service verknüpft ist, von der Einhaltung der Deny Einschränkung in der Richtlinie ausschließen. Dazu werden der aws:PrincipalArn globale Bedingungskontextschlüssel und der Amazon-Ressourcenname (ARN) der mit dem Macie-Service verknüpften Rolle für Ihr Konto verwendet.

Für das Objekt können Sie diesen Zugriff gewährenACL, indem Sie mit dem Objekteigentümer zusammenarbeiten, um Sie AWS-Konto als Empfänger mit READ Berechtigungen für das Objekt hinzuzufügen. Macie kann dann die mit dem Dienst verknüpfte Rolle für Ihr Konto verwenden, um das Objekt abzurufen und zu analysieren. Erwägen Sie auch, die Einstellungen für den Objekteigentum für den Bucket zu ändern. Sie können diese Einstellungen verwenden, um sie ACLs für alle Objekte im Bucket zu deaktivieren und dem Konto, dem der Bucket gehört, Eigentumsrechte zu gewähren.

Wenn Sie diesen Fehler nicht beheben, versucht Macie, andere Objekte im S3-Bucket zu analysieren. Wenn Macie ein anderes Objekt erfolgreich analysiert, aktualisiert Macie die Deckungsdaten und andere Informationen, die es über den Bucket bereitstellt.

Zusätzliche Referenz

Weitere Informationen darüber, wie Macie Daten entschlüsseln kann, wenn ein Kunde verwaltet wird AWS KMS key, finden Sie unter. Macie darf einen vom Kunden verwalteten AWS KMS key Informationen zur Aktualisierung einer S3-Bucket-Richtlinie, um Macie den Zugriff auf einen Bucket zu ermöglichen, finden Sie unter. Macie den Zugriff auf S3-Buckets und Objekte erlauben

Informationen zum Aktualisieren einer Schlüsselrichtlinie finden Sie unter Ändern einer Schlüsselrichtlinie im AWS Key Management Service Entwicklerhandbuch. Informationen zur Verwendung von kundenverwalteten AWS KMS keys S3-Objekten finden Sie unter Verwenden der serverseitigen Verschlüsselung mit AWS KMS Schlüsseln im Amazon Simple Storage Service-Benutzerhandbuch.

Informationen zur Verwendung von Bucket-Richtlinien zur Steuerung des Zugriffs auf S3-Buckets finden Sie unter Zugriffsverwaltung und Wie Amazon S3 eine Anfrage autorisiert im Amazon Simple Storage Service-Benutzerhandbuch. Informationen zur Verwendung von ACLs Objektbesitzeinstellungen zur Steuerung des Zugriffs auf S3-Objekte finden Sie unter Verwaltung des Zugriffs mit Objekten ACLs und Steuerung des Besitzes von Objekten und Deaktivierung ACLs für Ihren Bucket im Amazon Simple Storage Service-Benutzerhandbuch.

Nicht klassifizierbar

Dieses Problem weist darauf hin, dass alle Objekte in einem S3-Bucket in nicht unterstützten Amazon S3 S3-Speicherklassen oder nicht unterstützten Datei- oder Speicherformaten gespeichert werden. Macie kann keine Objekte im Bucket analysieren.

Details

Um für die Auswahl und Analyse in Frage zu kommen, muss ein S3-Objekt eine Amazon S3 S3-Speicherklasse verwenden, die Macie unterstützt. Das Objekt muss außerdem eine Dateinamenerweiterung für ein Datei- oder Speicherformat haben, das Macie unterstützt. Wenn ein Objekt diese Kriterien nicht erfüllt, wird das Objekt als nicht klassifizierbares Objekt behandelt. Macie versucht nicht, Daten in nicht klassifizierbaren Objekten abzurufen oder zu analysieren.

Wenn es sich bei allen Objekten in einem S3-Bucket um nicht klassifizierbare Objekte handelt, ist der gesamte Bucket ein nicht klassifizierbarer Bucket. Macie kann keine automatische Erkennung sensibler Daten für den Bucket durchführen.

Anleitung zur Problembehebung

Um dieses Problem zu beheben, überprüfen Sie die Lebenszykluskonfigurationsregeln und andere Einstellungen, die festlegen, welche Speicherklassen zum Speichern von Objekten im S3-Bucket verwendet werden. Erwägen Sie, diese Einstellungen anzupassen, um Speicherklassen zu verwenden, die Macie unterstützt. Sie können auch die Speicherklasse vorhandener Objekte im Bucket ändern.

Beurteilen Sie auch die Datei- und Speicherformate vorhandener Objekte im S3-Bucket. Um die Objekte zu analysieren, sollten Sie erwägen, die Daten vorübergehend oder dauerhaft auf neue Objekte zu portieren, die ein unterstütztes Format verwenden.

Wenn Objekte zum S3-Bucket hinzugefügt werden und diese eine unterstützte Speicherklasse und ein unterstütztes Speicherformat verwenden, erkennt Macie die Objekte bei der nächsten Auswertung Ihres Bucket-Inventars. In diesem Fall wird Macie nicht mehr melden, dass der Bucket in Statistiken, Abdeckungsdaten und anderen Informationen, die er über Ihre Amazon S3 S3-Daten bereitstellt, nicht klassifizierbar ist. Darüber hinaus werden die neuen Objekte bei der Analyse in einem nachfolgenden Analysezyklus eine höhere Priorität haben.

Zusätzliche Referenz

Informationen zu den Amazon S3 S3-Speicherklassen und den Datei- und Speicherformaten, die Macie unterstützt, finden Sie unterUnterstützte Speicherklassen und Formate. Informationen zu den Lebenszykluskonfigurationsregeln und den Speicherklassenoptionen, die Amazon S3 bietet, finden Sie unter Verwaltung Ihres Speicherlebenszyklus und Verwenden von Amazon S3 S3-Speicherklassen im Amazon Simple Storage Service-Benutzerhandbuch.