Solución de los problemas de cobertura para la detección de datos confidenciales automatizada

La causa más común de este tipo de problemas es una política de bucket restrictiva. Una política de bucket es una política basada en recursos AWS Identity and Access Management (IAM) que especifica qué acciones puede realizar un principal (usuario, cuenta, servicio u otra entidad) en un bucket de S3 y las condiciones en las que un principal puede realizar esas acciones. Una política de bucket restrictiva utiliza instrucciones explícitas Allow o Deny restrictivas que conceden o restringen el acceso a los datos de un bucket en función de condiciones específicas. Por ejemplo, una política de bucket puede contener una instrucción Allow o Deny que deniegue el acceso a un bucket a menos que se utilicen direcciones IP de origen específicas para acceder al bucket.

Si la política de bucket de un bucket de S3 contiene una instrucción Deny explícita con una o más condiciones, es posible que a Macie no se le permita recuperar y analizar los objetos del bucket para detectar datos confidenciales. Macie solo puede proporcionar un subconjunto de información sobre el bucket, como el nombre y la fecha de creación del bucket.

Para solucionar este problema, actualice la política del bucket para el bucket de S3. Asegúrese de que la política permita a Macie acceder al bucket y a los objetos del bucket. Para permitir este acceso, añada a la política una condición para el rol vinculado al servicio de Macie (AWSServiceRoleForAmazonMacie). La condición debe impedir que el rol vinculado al servicio de Macie coincida con la restricción Deny de la política. Para ello, puede utilizar la clave de contexto de condición aws:PrincipalArn global y el nombre del recurso de Amazon (ARN) del rol vinculado al servicio de Macie para su cuenta.

Si actualiza la política del bucket y Macie obtiene acceso al bucket de S3, Macie detectará el cambio. Cuando esto sucede, Macie actualizará las estadísticas, los datos de inventario y demás información que proporcione sobre sus datos de Amazon S3. Además, los objetos del bucket tendrán mayor prioridad para el análisis durante un ciclo de análisis posterior.

Para obtener más información sobre cómo actualizar una política de bucket de S3 para permitir que Macie acceda a un bucket, consulte Permitir a Macie el acceso a buckets y objetos de S3. Para obtener información sobre el uso de políticas de bucket para controlar el acceso a los buckets, consulte Políticas de bucket y Cómo Amazon S3 autoriza una solicitud en la Guía del usuario de Amazon Simple Storage Service.

Este error suele producirse porque un objeto S3 es un archivo con formato incorrecto o dañado. En consecuencia, Macie no puede analizar todos los datos del archivo.

Este error también puede producirse si el análisis de un objeto de S3 supera la cuota de detección de datos confidenciales de un archivo individual. Por ejemplo, el tamaño de almacenamiento del objeto supera la cuota de tamaño para ese tipo de archivo.

En cualquier caso, Macie no puede completar el análisis del objeto S3 y el estado del análisis del objeto es Omitido (SKIPPED).

Para investigar este error, descargue el objeto de S3 y compruebe el formato y el contenido del archivo. Evalúe también el contenido del archivo comparándolo con las cuotas de Macie para la detección de datos confidenciales.

Si no corrige este error, Macie intentará analizar otros objetos del bucket de S3. Si Macie analiza otro objeto correctamente, actualizará los datos de cobertura y demás información que proporcione sobre el bucket.

Para obtener una lista de las cuotas de detección de datos confidenciales, incluidas las cuotas para determinados tipos de archivos, consulteCuotas para Macie. Para obtener información sobre cómo Macie actualiza las puntuaciones de sensibilidad y otra información que proporciona sobre los buckets de S3, consulte Cómo funciona la detección automatizada de datos confidenciales.

Amazon S3 admite varias opciones de cifrado para los objetos S3. En la mayoría de estas opciones, Macie puede descifrar un objeto mediante el rol vinculado al servicio de Macie de su cuenta. Sin embargo, esto depende del tipo de cifrado utilizado.

Para que Macie pueda descifrar un objeto de S3, el objeto debe estar cifrado con una clave a la que Macie pueda acceder y que Macie pueda usar. Si un objeto está cifrado con una clave proporcionada por el cliente, Macie no puede proporcionar el material clave necesario para recuperar el objeto de Amazon S3. En consecuencia, Macie no puede analizar el objeto y el estado del análisis del objeto es Omitido (SKIPPED).

Para corregir este error, cifre los objetos S3 con claves administradas o claves AWS Key Management Service (AWS KMS) de Amazon S3. Si prefiere usar AWS KMS claves, las claves pueden ser claves administradas o KMS claves AWS administradas por el cliente que Macie pueda usar. KMS

Para cifrar los objetos de S3 existentes con claves a las que Macie pueda acceder y utilizar, puede cambiar la configuración de cifrado de los objetos. Para cifrar objetos nuevos con claves a las que Macie pueda acceder y utilizar, cambie la configuración de cifrado predeterminada del bucket de S3. Asegúrese también de que la política del bucket no exija que los objetos nuevos se cifren con una clave proporcionada por el cliente.

Si no corrige este error, Macie intentará analizar otros objetos del bucket de S3. Si Macie analiza otro objeto correctamente, actualizará los datos de cobertura y demás información que proporcione sobre el bucket.

Para obtener información sobre los requisitos y las opciones para usar Macie para analizar objetos de S3 cifrados, consulte Análisis de objetos cifrados de Amazon S3. Para obtener información sobre las opciones de cifrado y la configuración de los buckets de S3, consulte la protección de los datos con cifrado y la configuración del comportamiento de cifrado del servidor para los buckets de S3 predeterminado en la guía del usuario de Amazon Simple Storage Service.

AWS KMS ofrece opciones para deshabilitar y eliminar la opción gestionada por el cliente. AWS KMS keys Si un objeto de S3 está cifrado con una KMS clave desactivada, cuya eliminación está programada o ya se ha eliminado, Macie no podrá recuperar ni descifrar el objeto. En consecuencia, Macie no puede analizar el objeto y el estado del análisis del objeto es Omitido (SKIPPED). Para que Macie pueda analizar un objeto cifrado, el objeto debe estar cifrado con una clave a la que Macie pueda acceder y que Macie pueda usar.

Para corregir este error, vuelva a activar la opción correspondiente AWS KMS key o cancele la eliminación programada de la clave, en función del estado actual de la clave. Si la clave correspondiente ya se ha eliminado, este error no se puede corregir.

Para determinar cuál se AWS KMS key utilizó para cifrar un objeto de S3, puede empezar por utilizar Macie para revisar la configuración de cifrado del lado del servidor para el bucket de S3. Si la configuración de cifrado predeterminada del depósito está configurada para usar una KMS clave, los detalles del depósito indican qué clave se utiliza. A continuación, puede comprobar el estado de esa clave. Como alternativa, puede utilizar Amazon S3 para revisar la configuración de cifrado del bucket y los objetos individuales del bucket.

Si no corrige este error, Macie intentará analizar otros objetos del bucket de S3. Si Macie analiza otro objeto correctamente, actualizará los datos de cobertura y demás información que proporcione sobre el bucket.

Para obtener información sobre el uso de Macie para revisar la configuración de cifrado del lado del servidor de un bucket de S3, consulte Revisión de los detalles de los bucket de S3. Para obtener información sobre cómo volver a habilitar AWS KMS key o cancelar la eliminación programada de una clave, consulte Habilitar y deshabilitar claves y Eliminar claves en la AWS Key Management Service Guía para desarrolladores.

Este error suele producirse porque un objeto de S3 está cifrado con una clave AWS Key Management Service (AWS KMS) administrada por el cliente que Macie no puede utilizar. Si un objeto se cifra con una clave gestionada por el cliente AWS KMS key, la política de la clave debe permitir a Macie descifrar los datos mediante la clave.

Este error también puede producirse si la configuración de permisos de Amazon S3 impide que Macie recupere un objeto de S3. La política de bucket para el bucket de S3 puede restringir el acceso a objetos de bucket específicos o permitir que solo determinadas entidades principales (usuarios, cuentas, servicios u otras entidades) accedan a los objetos. O bien, la lista de control de acceso (ACL) de un objeto podría restringir el acceso al objeto. En consecuencia, es posible que a Macie no se le permita acceder al objeto.

Para cualquiera de los casos precedentes, Macie no puede recuperar y analizar el objeto y el estado del análisis del objeto es Omitido (SKIPPED).

Para corregir este error, determine si el objeto de S3 está cifrado con una AWS KMS key administrada por el cliente. Si es así, asegúrese de que la política de claves permita al rol vinculado al servicio de Macie (AWSServiceRoleForAmazonMacie) para descifrar los datos con la clave. La forma en que se permita este acceso depende de si la cuenta propietaria AWS KMS key también es propietaria del depósito de S3 que almacena el objeto. Si la KMS clave y el depósito son propiedad de la misma cuenta, el usuario de la cuenta debe actualizar la política de la clave. Si una cuenta es propietaria de la KMS clave y otra cuenta es propietaria del depósito, el usuario de la cuenta propietaria de la clave debe permitir el acceso a la clave entre cuentas.

Si a Macie ya se le permite usar el objeto correspondiente AWS KMS key o si el objeto S3 no está cifrado con una KMS clave gestionada por el cliente, asegúrese de que la política del bucket permita a Macie acceder al objeto. Compruebe también que el objeto ACL permite a Macie leer sus datos y metadatos.

Para la política de bucket, puede permitir este acceso añadiendo una condición para el rol vinculado al servicio de Macie a la política. La condición debe impedir que el rol vinculado al servicio de Macie coincida con la restricción Deny de la política. Para ello, puede utilizar la clave de contexto de condición aws:PrincipalArn global y el nombre del recurso de Amazon (ARN) del rol vinculado al servicio de Macie para su cuenta.

En el caso del objetoACL, puedes permitir este acceso trabajando con el propietario del objeto para que te añada Cuenta de AWS como cesionario con READ los permisos para el objeto. A continuación, Macie puede utilizar el rol vinculado al servicio de su cuenta para recuperar y analizar el objeto. Considere también la posibilidad de cambiar la configuración de propiedad del objeto para el bucket. Puedes usar esta configuración ACLs para inhabilitar todos los objetos del depósito y conceder permisos de propiedad a la cuenta propietaria del depósito.

Si no corrige este error, Macie intentará analizar otros objetos del bucket de S3. Si Macie analiza otro objeto correctamente, actualizará los datos de cobertura y demás información que proporcione sobre el bucket.

Para obtener más información sobre cómo permitir que Macie descifre datos con una AWS KMS key administrada por el cliente, consulte Permitir a Macie utilizar un sistema gestionado por el cliente AWS KMS key. Para obtener información sobre cómo actualizar una política de bucket de S3 para permitir que Macie acceda a un bucket, consulte Permitir a Macie el acceso a buckets y objetos de S3.

Para obtener información sobre cómo modificar una política de claves, consulte Cambiar una política de claves en la AWS Key Management Service Guía para desarrolladores. Para obtener información sobre el uso del cifrado de objetos S3 gestionado AWS KMS keys por el cliente, consulte Uso del cifrado del lado del servidor con AWS KMS claves en la Guía del usuario de Amazon Simple Storage Service.

Para obtener información sobre el uso de políticas de bucket para controlar el acceso a los buckets de S3, consulte Administración de acceso y Cómo Amazon S3 autoriza una solicitud en la Guía del usuario de Amazon Simple Storage Service. Para obtener información sobre el uso ACLs de la configuración de propiedad de objetos para controlar el acceso a los objetos de S3, consulte Administrar el acceso ACLs y controlar la propiedad de los objetos y deshabilitar ACLs su bucket en la Guía del usuario de Amazon Simple Storage Service.

Para poder ser seleccionado y analizado, un objeto de S3 debe utilizar una clase de almacenamiento de Amazon S3 compatible con Macie. El objeto también debe tener una extensión de nombre de archivo para un archivo o formato de almacenamiento que Macie admita. Si un objeto no cumple estos criterios, se trata como un objeto no clasificable. Macie no intenta extraer ni analizar los datos en objetos no clasificables.

Si todos los objetos de un bucket de S3 son objetos no clasificables, el bucket total es un bucket no clasificable. Macie no puede realizar una detección de datos confidenciales automatizada para el bucket.

Para solucionar este problema, revise las reglas de configuración del ciclo de vida y otros ajustes que determinan qué clases de almacenamiento se utilizan para almacenar objetos en el bucket de S3. Considere la posibilidad de ajustar esa configuración para utilizar las clases de almacenamiento compatibles con Macie. También puede cambiar la clase de almacenamiento de los objetos existentes en el bucket.

Evalúa también los formatos de archivo y de almacenamiento de los objetos existentes en el bucket de S3. Para analizar los objetos, considere la posibilidad de transferir los datos, de forma temporal o permanente, a objetos nuevos que utilicen un formato compatible.

Si se añaden objetos al bucket de S3 y utilizan una clase y un formato de almacenamiento compatibles, Macie los detectará la próxima vez que evalúe el inventario del bucket. Cuando esto suceda, Macie dejará de informar de que el bucket no clasificable en las estadísticas, los datos de cobertura y otra información que proporciona sobre sus datos de Amazon S3. Además, los nuevos objetos tendrán mayor prioridad para el análisis durante un ciclo de análisis posterior.

Para obtener información sobre las clases de almacenamiento de Amazon S3 y los formatos de archivo y almacenamiento compatibles con Macie, consulteClases y formatos de almacenamiento compatibles. Para obtener información sobre las reglas de configuración del ciclo de vida y las opciones de clases de almacenamiento que ofrece Amazon S3, consulte Administración del ciclo de vida del almacenamiento y Uso de las clases de almacenamiento de Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.