Puntuación de confidencialidad para buckets de S3 - Amazon Macie
Dimensiones y rangos de puntuaciónSupervisión de las puntuaciones

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Puntuación de confidencialidad para buckets de S3

Si la detección de datos confidenciales automatizada está habilitada, Amazon Macie calcula y asigna automáticamente una puntuación de confidencialidad a cada bucket de uso general de Amazon Simple Storage Service (Amazon S3) que supervise y analice en una cuenta o para una organización. Una puntuación de confidencialidad es una representación cuantitativa de la cantidad de datos confidenciales que puede contener un bucket de S3. En función de esa puntuación, Macie también asigna una etiqueta de confidencialidad a cada bucket. Una etiqueta de confidencialidad es una representación cualitativa de la puntuación de confidencialidad de un bucket. Estos valores pueden servir como puntos de referencia para determinar dónde pueden residir los datos confidenciales en su patrimonio de datos de Amazon S3 e identificar y supervisar los posibles riesgos de seguridad de esos datos.

De forma predeterminada, la puntuación de confidencialidad y la etiqueta de un bucket de S3 reflejan los resultados de las actividades automatizadas de detección de datos confidenciales que Macie ha realizado hasta ahora para ese bucket. No reflejan los resultados de los trabajos de detección de datos confidenciales que cree y ejecute. Además, ni la puntuación ni la etiqueta implican ni indican de otro modo la criticidad o importancia que un bucket o los objetos de un bucket pueden tener para su organización. Sin embargo, puede anular la puntuación calculada de un bucket y asignar manualmente la puntuación máxima (100) al bucket. Esto también asigna la etiqueta Confidencial al bucket. Para anular una puntuación calculada, debe ser el administrador de Macie de la cuenta propietaria del bucket o tener una cuenta de Macie independiente.

Dimensiones y rangos de puntuación de confidencialidad

Si la calcula Amazon Macie, la puntuación de confidencialidad de un bucket de S3 es una medida cuantitativa de la intersección de dos dimensiones principales:

  • La cantidad de datos confidenciales que Macie ha encontrado en el bucket. Esto se debe principalmente a la naturaleza y el número de tipos de datos confidenciales que Macie ha encontrado en el bucket y al número de veces que aparece cada tipo.

  • La cantidad de datos que Macie ha analizado en el bucket. Esto se debe principalmente al número de objetos únicos que Macie ha analizado en el bucket en relación con el número total de objetos únicos del bucket.

La puntuación de confidencialidad de un bucket de S3 determina qué etiqueta de confidencialidad asigna Macie al bucket. La etiqueta de confidencialidad es una representación cualitativa de la puntuación, por ejemplo: Confidencial o No confidencial. En la consola de Amazon Macie, la puntuación de confidencialidad de un bucket también determina qué color utiliza Macie para representar el bucket en las visualizaciones de datos, como se muestra en la siguiente imagen.

El espectro de colores para las puntuaciones de confidencialidad: tonos azules para 1-49, tonos rojos para 51-100 y gris para -1.

Las puntuaciones de confidencialidad oscilan entre -1 y 100, tal y como se describe en la siguiente tabla. Para evaluar las entradas de la puntuación de un bucket de S3, puede consultar las estadísticas de detección de datos confidenciales y otros detalles que Macie proporcione sobre el bucket.

Puntuación de confidencialidad Etiqueta de confidencialidad Información adicional
-1 Error de clasificación

Macie aún no ha conseguido analizar ninguno de los objetos del bucket debido a errores de clasificación de objetos: problemas con la configuración de los permisos, el contenido de los objetos o las cuotas de objetos.

Cuando Macie intentó analizar uno o más objetos del bucket, se produjeron errores. Por ejemplo, un objeto es un archivo con un formato incorrecto o un objeto está cifrado con una clave a la que Macie no puede acceder o que no puede utilizar. Los datos de cobertura del bucket pueden ayudarle a investigar y corregir los errores. Para obtener más información, consulte Evaluación de cobertura de detección de datos confidenciales automatizada.

Macie seguirá intentando analizar los objetos del bucket. Si Macie analiza un objeto correctamente, actualizará la puntuación de confidencialidad y la etiqueta del bucket para reflejar los resultados del análisis.
1-49 No confidencial

En este rango, una puntuación más alta, como 49, indica que Macie ha analizado relativamente pocos objetos del bucket. Una puntuación más baja, como 1, indica que Macie ha analizado muchos objetos del bucket (en relación con el número total de objetos del bucket) y ha detectado relativamente pocos tipos y casos de datos confidenciales en esos objetos.

Una puntuación de 1 también puede indicar que el bucket no almacena ningún objeto o que todos los objetos del bucket contienen cero (0) bytes de datos. Las estadísticas de los objetos incluidas en los detalles del bucket pueden ayudarle a determinar si este es el caso. Para obtener más información, consulte Revisión de los detalles del bucket de S3.
50 Aún no se ha analizado

Macie aún no ha intentado analizar ni ha analizado ninguno de los objetos del bucket.

Macie asigna automáticamente esta puntuación cuando habilita por primera vez la detección automatizada en su cuenta o cuando se añade un bucket al inventario de buckets de una cuenta. En una organización, un bucket también puede tener esta puntuación si la detección automatizada nunca se ha habilitado para la cuenta propietaria del bucket.

Una puntuación de 50 también puede indicar que la configuración de permisos del bucket impide que Macie acceda al bucket o a los objetos del bucket. Por lo general, esto se debe a una política de bucket restrictiva. Los detalles del bucket pueden ayudarle a determinar si este es el caso, ya que Macie solo puede proporcionar un subconjunto de información sobre el bucket. Para obtener información acerca de cómo resolver este problema, consulte Permitir a Macie el acceso a buckets y objetos de S3.
51–99 Confidencial

En este rango, una puntuación más alta, como 99, indica que Macie ha analizado muchos objetos del bucket (en relación con el número total de objetos del bucket) y ha detectado muchos tipos y apariciones de datos confidenciales en esos objetos. Una puntuación más baja, como 51, indica que Macie ha analizado un número moderado de objetos del bucket (en relación con el número total de objetos del bucket) y ha detectado al menos algunos tipos y apariciones de datos confidenciales en esos objetos.
100 Confidencial

La puntuación se asignó manualmente al bucket y prevaleció sobre la puntuación calculada. Macie no asigna esta puntuación a los buckets.

Supervisión de las puntuaciones de confidencialidad

Cuando habilita inicialmente la detección de datos confidenciales automatizada en su cuenta, Amazon Macie asigna automáticamente una puntuación de confidencialidad de 50 a cada bucket de S3 que sea propiedad de la cuenta. Macie también asigna esta puntuación a un bucket cuando este se añade a su inventario de buckets de una cuenta. En función de esa puntuación, la etiqueta de confidencialidad de cada bucket es Aún no se ha analizado. La excepción es un bucket vacío, que es un bucket que no almacena ningún objeto o que todos los objetos del bucket contienen cero (0) bytes de datos. Si este es el caso de un bucket, Macie le asigna una puntuación de 1 al bucket y le asigna la etiqueta No confidencial.

A medida que avanza la detección automatizada de su cuenta, Macie actualiza las puntuaciones de confidencialidad y las etiquetas de los buckets de S3 para reflejar los resultados del análisis. Por ejemplo:

  • Si Macie no encuentra datos confidenciales en un objeto, reduce la puntuación de confidencialidad del bucket y actualiza la etiqueta de confidencialidad según sea necesario.

  • Si Macie encuentra datos confidenciales en un objeto, aumenta la puntuación de confidencialidad del bucket y actualiza la etiqueta de confidencialidad según sea necesario.

  • Si Macie encuentra datos confidenciales en un objeto que se ha modificado posteriormente, elimina las detecciones de datos confidenciales del objeto de la puntuación de confidencialidad del bucket y actualiza la etiqueta de confidencialidad según sea necesario.

  • Si Macie encuentra datos confidenciales en un objeto y los elimina posteriormente, elimina las detecciones de datos confidenciales del objeto de la puntuación de confidencialidad del bucket y actualiza la etiqueta de confidencialidad según sea necesario.

  • Si se añade un objeto a un bucket que antes estaba vacío y Macie encuentra datos confidenciales en el objeto, Macie aumenta la puntuación de confidencialidad del bucket y actualiza la etiqueta de confidencialidad según sea necesario.

  • Si la configuración de permisos de un bucket impide a Macie recuperar información sobre el bucket o los objetos del bucket o acceder a ellos, Macie cambia la puntuación de confidencialidad del bucket a 50 y cambia la etiqueta de confidencialidad del bucket a Aún no se ha analizado.

Los resultados del análisis pueden empezar a aparecer en un plazo de 48 horas a partir de la activación de la detección de datos confidenciales automatizada para una cuenta.

Si es el administrador de Macie de una organización o si tiene una cuenta de Macie independiente, puede ajustar la configuración de la puntuación de confidencialidad de su organización o cuenta:

  • Para ajustar la configuración de los análisis posteriores de todos los buckets de S3, cambie los ajustes de la cuenta. Puede empezar a incluir o excluir identificadores de datos administrados específicos, identificadores de datos personalizados o listas de permitidos. También puede excluir buckets específicos. Para obtener más información, consulte Configuración de los ajustes de detección automatizada.

  • Para ajustar la configuración de los buckets de S3 individuales, cambie la configuración de cada bucket. Puede incluir o excluir tipos específicos de datos confidenciales de la puntuación de un bucket. También puede especificar si desea asignar una puntuación calculada automáticamente a un bucket. Para obtener más información, consulte Ajuste de las puntuaciones de confidencialidad para buckets de S3.

Si deshabilita la detección de datos confidenciales automatizada, el efecto varía según las puntuaciones y etiquetas de confidencialidad existentes. Si la deshabilita para una cuenta miembro de una organización, las puntuaciones y etiquetas existentes se mantendrán para los buckets de S3 que sean propiedad de la cuenta. Si la deshabilita para una organización en general o para una cuenta independiente de Macie, las puntuaciones y etiquetas existentes solo se conservarán durante 30 días. Transcurridos 30 días, Macie restablece las puntuaciones y las etiquetas de todos los buckets que sean propiedad de la organización o la cuenta. Si un bucket almacena objetos, Macie cambia la puntuación a 50 y le asigna la etiqueta Aún no se ha analizado. Si un bucket está vacío, Macie cambia la puntuación a 1 y asigna la etiqueta No confidencial al bucket. Tras este restablecimiento, Macie deja de actualizar las puntuaciones de confidencialidad y las etiquetas de los buckets, a menos que vuelva a activar la detección de datos confidenciales automatizada para la organización o la cuenta.