Überprüfung der Deckungsdaten für die automatische Erkennung sensibler Daten - Amazon Macie

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Überprüfung der Deckungsdaten für die automatische Erkennung sensibler Daten

Um die Abdeckung durch automatische Erkennung sensibler Daten zu überprüfen und zu bewerten, können Sie die Amazon Macie-Konsole oder Amazon API Macie verwenden. Sowohl die Konsole als auch die API stellen Daten bereit, die den aktuellen Status der Analysen für Ihre Allzweck-Buckets von Amazon Simple Storage Service (Amazon S3) anzeigen. AWS-Region Die Daten enthalten Informationen zu Problemen, die zu Lücken in den Analysen führen:

  • Buckets, auf die Macie nicht zugreifen darf. Macie kann keine Objekte in diesen Buckets analysieren. Die Berechtigungseinstellungen der Buckets verhindern, dass Macie auf die Buckets und die Objekte der Buckets zugreift.

  • Buckets, die keine klassifizierbaren Objekte speichern. Macie kann keine Objekte in diesen Buckets analysieren. Alle Objekte verwenden Amazon S3 S3-Speicherklassen, die Macie nicht unterstützt, oder sie haben Dateinamenerweiterungen für Datei- oder Speicherformate, die Macie nicht unterstützt.

  • Buckets, die Macie aufgrund von Klassifizierungsfehlern auf Objektebene noch nicht analysieren konnte. Macie versuchte, ein oder mehrere Objekte in diesen Buckets zu analysieren. Macie konnte die Objekte jedoch aufgrund von Problemen mit den Berechtigungseinstellungen auf Objektebene, dem Objektinhalt oder den Kontingenten nicht analysieren.

Die Deckungsdaten werden täglich aktualisiert, wenn die automatische Erkennung sensibler Daten voranschreitet. Wenn Sie der Macie-Administrator einer Organisation sind, enthalten die Daten Informationen für S3-Buckets, die Ihren Mitgliedskonten gehören.

Anmerkung

Zu den Deckungsdaten gehören nicht ausdrücklich die Ergebnisse von Aufträgen zur Erkennung sensibler Daten, die Sie erstellen und ausführen. Durch die Behebung von Deckungsproblemen, die sich auf die automatische Erkennung sensibler Daten auswirken, wird jedoch wahrscheinlich auch die Abdeckung durch Jobs erhöht, die Sie anschließend ausführen. Sehen Sie sich die Ergebnisse des Auftrags an, um den Versicherungsschutz für einen Job einzuschätzen. Wenn die Protokollereignisse oder andere Ergebnisse eines Auftrags auf Probleme mit der Abdeckung hinweisen, können Ihnen Anleitungen zur Problembehebung für die automatische Erkennung sensibler Daten dabei helfen, einige der Probleme zu lösen.

Um die Deckungsdaten für die automatische Erkennung sensibler Daten zu überprüfen

Um die Deckungsdaten für die automatische Erkennung sensibler Daten zu überprüfen, können Sie die Amazon Macie-Konsole oder Amazon API Macie verwenden. Auf der Konsole bietet eine einzige Seite eine einheitliche Ansicht der Abdeckungsdaten für all Ihre S3-Allzweck-Buckets in der aktuellen Region. Dies beinhaltet eine Zusammenfassung der Probleme, die kürzlich für jeden Bucket aufgetreten sind. Die Seite bietet auch Optionen für die Überprüfung von Datengruppen nach Problemtyp. Um Ihre Untersuchung von Problemen für bestimmte Bereiche nachzuverfolgen, können Sie Daten von der Seite in eine Datei mit kommagetrennten Werten () CSV exportieren.

Console

Gehen Sie wie folgt vor, um die Deckungsdaten mithilfe der Amazon Macie Macie-Konsole zu überprüfen.

Um die Deckungsdaten zu überprüfen

  1. Öffnen Sie die Amazon Macie Macie-Konsole unter https://console.aws.amazon.com/macie/.

  2. Wählen Sie im Navigationsbereich die Option Ressourcenabdeckung aus.

  3. Wählen Sie auf der Seite Ressourcenabdeckung die Registerkarte für den Typ der Deckungsdaten aus, die Sie überprüfen möchten:

    • Alle — Listet alle Buckets auf, die Macie für Ihr Konto überwacht und analysiert. Für jeden Bucket gibt das Feld Probleme an, ob Macie aufgrund von Problemen daran gehindert wurde, Objekte im Bucket zu analysieren. Wenn der Wert für dieses Feld „Keine“ lautet, hat Macie mindestens eines der Objekte des Buckets analysiert oder Macie hat noch nicht versucht, eines der Objekte des Buckets zu analysieren. Wenn es Probleme gibt, gibt dieses Feld die Art der Probleme an und wie sie behoben werden können. Bei Klassifizierungsfehlern auf Objektebene kann es auch (in Klammern) die Häufigkeit des Auftretens des Fehlers angeben.

    • Zugriff verweigert — Listet Buckets auf, auf die Macie nicht zugreifen darf. Die Berechtigungseinstellungen für diese Buckets verhindern, dass Macie auf die Buckets und die Objekte der Buckets zugreift. Folglich kann Macie keine Objekte in den Buckets analysieren.

    • Klassifizierungsfehler — Führt Buckets auf, die Macie aufgrund von Klassifizierungsfehlern auf Objektebene — also Problemen mit Berechtigungseinstellungen auf Objektebene, Objektinhalten oder Kontingenten — noch nicht analysiert hat. Für jeden Bucket gibt das Feld Probleme die Art der einzelnen Fehlertypen an, die aufgetreten sind und Macie daran gehindert haben, ein Objekt im Bucket zu analysieren. Außerdem wird angegeben, wie die einzelnen Fehlertypen behoben werden können. Je nach Fehler kann es auch (in Klammern) angeben, wie oft der Fehler aufgetreten ist.

    • Nicht klassifizierbar — Führt Buckets auf, die Macie nicht analysieren kann, weil sie keine klassifizierbaren Objekte speichern. Alle Objekte in diesen Buckets verwenden nicht unterstützte Amazon S3 S3-Speicherklassen oder sie haben Dateinamenerweiterungen für nicht unterstützte Datei- oder Speicherformate. Folglich kann Macie keine Objekte in den Buckets analysieren.

  4. Um die unterstützenden Daten für einen Bucket genauer zu untersuchen und zu überprüfen, wählen Sie den Namen des Buckets aus. Statistiken und weitere Informationen zum Bucket finden Sie anschließend im Detailbereich.

  5. Um die Tabelle in eine CSV Datei zu exportieren, wählen Sie oben CSV auf der Seite die Option Exportieren nach aus. Die resultierende CSV Datei enthält eine Teilmenge von Metadaten für jeden Bucket in der Tabelle, für bis zu 50.000 Buckets. Die Datei enthält ein Feld mit dem Geltungsbereich. Der Wert für dieses Feld gibt an, ob Macie aufgrund von Problemen daran gehindert wurde, Objekte im Bucket zu analysieren, und falls ja, um welche Art von Problemen es sich handelt.

API

Um die Deckungsdaten programmgesteuert zu überprüfen, geben Sie Filterkriterien in Abfragen an, die Sie mithilfe des DescribeBucketsAmazon Macie einreichen. API Dieser Vorgang gibt ein Array von Objekten zurück. Jedes Objekt enthält statistische Daten und andere Informationen über einen S3-Allzweck-Bucket, der den Filterkriterien entspricht.

Fügen Sie in den Filterkriterien eine Bedingung für den Typ der Deckungsdaten ein, die Sie überprüfen möchten:

  • Um Buckets zu identifizieren, auf die Macie aufgrund der Berechtigungseinstellungen der Buckets nicht zugreifen darf, fügen Sie eine Bedingung hinzu, bei der der Wert für das Feld gleich ist. errorCode ACCESS_DENIED

  • Um Buckets zu identifizieren, auf die Macie zugreifen darf und die sie noch nicht analysiert hat, geben Sie Bedingungen an, bei denen der Wert für das sensitivityScore Feld gleich 50 und der Wert für das Feld ungleich ist. errorCode ACCESS_DENIED

  • Um Buckets zu identifizieren, die Macie nicht analysieren kann, weil alle Objekte der Buckets nicht unterstützte Speicherklassen oder -formate verwenden, fügen Sie Bedingungen hinzu, bei denen der Wert für das classifiableSizeInBytes Feld gleich 0 und der Wert für das Feld größer als ist. sizeInBytes 0

  • Um Buckets zu identifizieren, für die Macie mindestens ein Objekt analysiert hat, geben Sie Bedingungen an, bei denen der Wert für das sensitivityScore Feld im Bereich von 1—99 liegt, aber nicht gleich ist. 50 Um auch Bereiche einzubeziehen, denen Sie die Höchstpunktzahl manuell zugewiesen haben, sollte der Bereich zwischen 1 und 100 liegen.

  • Um Bereiche zu identifizieren, die Macie aufgrund von Klassifizierungsfehlern auf Objektebene noch nicht analysiert hat, fügen Sie eine Bedingung hinzu, bei der der Wert für das Feld gleich ist. sensitivityScore -1 Verwenden Sie die Operation, um anschließend eine Aufschlüsselung der Arten und der Anzahl der Fehler zu überprüfen, die für einen bestimmten Bereich aufgetreten sind. GetResourceProfile

Wenn Sie AWS Command Line Interface (AWS CLI) verwenden, geben Sie Filterkriterien in Abfragen an, die Sie einreichen, indem Sie den Befehl describe-buckets ausführen. Führen Sie den Befehl aus, um eine Aufschlüsselung der Typen und der Anzahl der Fehler zu überprüfen, die für einen bestimmten S3-Bucket aufgetreten sind, falls vorhanden. get-resource-profile

Die folgenden AWS CLI Befehle verwenden beispielsweise Filterkriterien, um die Details aller S3-Buckets abzurufen, auf die Macie aufgrund der Berechtigungseinstellungen der Buckets nicht zugreifen darf.

Dieses Beispiel ist für Linux, macOS oder Unix formatiert:

$ aws macie2 describe-buckets --criteria '{"errorCode":{"eq":["ACCESS_DENIED"]}}'

Dieses Beispiel ist für Microsoft Windows formatiert:

C:\> aws macie2 describe-buckets --criteria={\"errorCode\":{\"eq\":[\"ACCESS_DENIED\"]}}

Wenn Ihre Anfrage erfolgreich ist, gibt Macie ein Array zurück. buckets Das Array enthält ein Objekt für jeden S3-Bucket, der sich im aktuellen Bucket befindet AWS-Region und den Filterkriterien entspricht.

Wenn keine S3-Buckets den Filterkriterien entsprechen, gibt Macie ein leeres buckets Array zurück.

{
    "buckets": []
}

Weitere Informationen zur Angabe von Filterkriterien in Abfragen, einschließlich Beispielen für häufig verwendete Kriterien, finden Sie unter. Filterung Ihres S3-Bucket-Inventars

Ausführliche Informationen, die Ihnen bei der Lösung von Deckungsproblemen helfen können, finden Sie unterBehebung von Deckungsproblemen bei der automatisierten Erkennung sensibler Daten.