Visualización del panel Descripción de los componentes del panel Descripción de las estadísticas de seguridad de los datos

Evaluación de su postura de seguridad en Amazon S3 con Macie

Para evaluar el nivel de seguridad de sus datos de Amazon Simple Storage Service (Amazon S3) y determinar qué medidas tomar, puede utilizar el panel de Resumen de la consola de Amazon Macie.

El panel de Resumen proporciona una instantánea de las estadísticas agregadas de sus datos de Amazon S3 en la Región de AWS actual. Las estadísticas incluyen datos sobre métricas de seguridad clave, como el número de grupos de uso general a los que se puede acceder públicamente o que se comparten con otros Cuentas de AWS. El panel también muestra grupos de datos de resultados agregados de su cuenta, por ejemplo, los tipos de resultados que tuvieron el mayor número de casos durante los siete días anteriores. Si es el administrador de Macie de una organización, el panel proporciona estadísticas y datos agregados de todas las cuentas de su organización. Si lo desea, puede filtrar los datos por cuenta.

Para realizar un análisis más profundo, puede desglosar y revisar los datos de respaldo de los elementos individuales del panel de control. También puede revisar y analizar su inventario de cubos de S3 mediante la consola de Amazon Macie, o consultar y analizar los datos de inventario mediante programación mediante la DescribeBucketsoperación de Amazon Macie. API

Temas

Visualización del panel
Descripción de los componentes del panel
Descripción de las estadísticas de seguridad de los datos

Mostrar el panel Resumen

En la consola de Amazon Macie, el panel Resumen proporciona una instantánea de las estadísticas agregadas y los datos de resultados de sus datos de Amazon S3 en la Región de AWS actual. Si prefiere consultar las estadísticas mediante programación, puede utilizar la GetBucketStatisticsoperación de Amazon Macie. API

Para mostrar el panel Resumen

Abra la consola Amazon Macie en. https://console.aws.amazon.com/macie/
En el panel de navegación, elija Resumen. Macie muestra el panel Resumen.
Para determinar cuándo fue la última vez que Macie recuperó metadatos de buckets u objetos de Amazon S3 para su cuenta, consulte el campo Última actualización en la parte superior del panel de control. Para obtener más información, consulte Actualizaciones de datos.
Para profundizar y revisar los datos de respaldo de un elemento del panel de control, selecciónelo.

Si es el administrador de Macie de una organización, el panel muestra estadísticas y datos agregados de su cuenta y de las cuentas de miembros de la organización. Para filtrar el panel y mostrar los datos solo para una cuenta determinada, especifique el ID de la cuenta en el cuadro Cuenta en la parte superior del panel.

Descripción de los componentes del panel Resumen

En el panel Resumen, las estadísticas y los datos están organizados en varias secciones. En la parte superior del panel, encontrará estadísticas agregadas que indican la cantidad de datos que almacena en Amazon S3 y la cantidad de esos datos que Amazon Macie puede analizar para detectar datos confidenciales. También puede consultar el campo Última actualización para determinar cuándo Macie recuperó por última vez los metadatos de buckets u objetos de Amazon S3 para su cuenta. Las secciones adicionales proporcionan estadísticas y datos de resultados recientes que pueden ayudarlo a evaluar la seguridad, la privacidad y la confidencialidad de sus datos de Amazon S3 en la Región de AWS actual.

Las estadísticas y los datos están organizados en las siguientes secciones:

Al revisar cada sección, si lo desea, elija un elemento para desglosar y revisar los datos de respaldo. Tenga en cuenta también que el panel no incluye los datos de los depósitos de directorio de S3, solo los de uso general. Macie no monitorea ni analiza los depósitos de directorios.

Almacenamiento y detección de datos confidenciales

En la parte superior del panel, las estadísticas indican la cantidad de datos que almacena en Amazon S3 y la cantidad de esos datos que Macie puede analizar para detectar datos confidenciales. La siguiente imagen muestra un ejemplo de estas estadísticas para una organización con siete cuentas de Macie.

La sección de almacenamiento y descubrimiento de datos confidenciales del panel de control. Cada campo contiene datos de ejemplo.

Las estadísticas individuales de esta sección son:

Total de cuentas: este campo aparece si es el administrador de Macie de una organización o si tiene una cuenta de Macie independiente. Indica el número total de Cuentas de AWS cubos propios en tu inventario de cubos. Si es administrador de Macie, este es el número total de cuentas de Macie que administra para su organización. Si tiene una cuenta Macie independiente, este valor es 1.

Total de cubos S3: este campo aparece si tienes una cuenta de miembro en una organización. Indica el número total de depósitos de uso general de tu inventario, incluidos los depósitos que no almacenan ningún objeto.
Almacenamiento: estas estadísticas proporcionan información sobre el tamaño de almacenamiento de los objetos de tu inventario de cubos:
- Clasificable: el tamaño total de almacenamiento de todos los objetos que Macie puede analizar en los buckets.
- Total: el tamaño total de almacenamiento de todos los objetos de los buckets, incluidos los objetos que Macie no puede analizar.
Si alguno de los objetos son archivos comprimidos, estos valores no reflejan el tamaño real de esos archivos una vez descomprimidos. Si el control de versiones está habilitado para alguno de los buckets, estos valores se basan en el tamaño de almacenamiento de la última versión de cada objeto de esos buckets.
Objetos: estas estadísticas proporcionan información sobre la cantidad de objetos de tu inventario de cubos:
- Clasificable el número total de objetos que Macie puede analizar en los buckets.
- Total: el número total de objetos de los buckets, incluidos los objetos que Macie no puede analizar.

En las estadísticas anteriores, los objetos son clasificables si utilizan una clase de almacenamiento de Amazon S3 compatible y tienen una extensión de nombre de archivo para un archivo o formato de almacenamiento admitido. Puede detectar datos confidenciales en los objetos mediante Macie. Para obtener más información, consulte Clases y formatos de almacenamiento compatibles.

Tenga en cuenta que las estadísticas de Almacenamiento y Objetos no incluyen datos sobre los objetos de los buckets a los que Macie no puede acceder. Por ejemplo, los objetos de los buckets que tienen políticas de bucket restrictivas. Para identificar los buckets que son el caso, puede revisar su inventario de bucket utilizando la tabla de buckets de S3. Si el icono de advertencia ( ) aparece junto al nombre de un bucket, significa que Macie no puede acceder al bucket.

Problemas de detección y cobertura automatizados

Si la detección automática de datos confidenciales está habilitada, estas secciones aparecen en el panel de control. Capturan el estado y los resultados de las actividades automatizadas de descubrimiento de datos confidenciales que Macie ha realizado hasta ahora para sus datos de Amazon S3. La siguiente imagen muestra un ejemplo de las estadísticas que proporcionan estas secciones.

Estadísticas automatizadas de descubrimiento de datos confidenciales en el panel de control. Cada estadística tiene datos de ejemplo.

Para obtener detalles sobre estas estadísticas, consulte Revisar las estadísticas de confidencialidad de los datos en el panel de resumen.

Seguridad de los datos

En esta sección se proporcionan estadísticas que indican los posibles riesgos de seguridad y privacidad para sus datos de Amazon S3. La siguiente imagen muestra un ejemplo de las estadísticas de esta sección.

La sección de seguridad de datos del panel de control. Contiene datos de ejemplo para cada estadística.

Para obtener detalles sobre estas estadísticas, consulte Descripción de las estadísticas de seguridad de los datos en el panel Resumen.

Principales buckets de S3

En esta sección se enumeran los buckets de S3 que generaron la mayor cantidad de resultados de cualquier tipo durante los siete días previos, hasta un total de cinco buckets. También indica el número de resultados que Macie generó para cada bucket. La siguiente imagen muestra un ejemplo de los datos que proporciona esta sección.

La sección de cubos S3 principales del panel de control. Contiene datos de ejemplo de cinco cubos de S3.

Para mostrar y, si lo desea, profundizar en todos los resultados para un bucket del período de los siete días previos, seleccione el valor en el campo Resultados totales. Para mostrar todos los resultados actuales de todos sus buckets, agrupados por bucket, seleccione Ver todos los resultados por bucket.

Esta sección está vacía si Macie no generó ningún resultado durante los siete días previos. O bien, todos los resultados que se generaron durante los siete días previos se suprimieron mediante una regla de supresión.

Tipos de resultados principales

En esta sección se enumeran los tipos de resultados que tuvieron el mayor número de casos durante los siete días previos, hasta un total de cinco tipos de resultados. También indica el número de resultados que Macie generó para cada tipo. La siguiente imagen muestra un ejemplo de los datos que proporciona esta sección.

La sección Principales tipos de búsqueda del panel de control. Contiene datos de ejemplo para cinco tipos de hallazgos.

Para mostrar y, si lo desea, profundizar en todos los resultados de un tipo concreto de los siete días previos, seleccione el valor en el campo Resultados totales. Para mostrar todos los resultados actuales, agrupados por tipo de resultado, seleccione Ver todos los resultados por tipo.

Resultados de política

En esta sección se enumeran los resultados de política que Macie generó o actualizó más recientemente, hasta un máximo de diez resultados. La siguiente imagen muestra un ejemplo de los datos que proporciona esta sección.

La sección de conclusiones sobre políticas del panel de control. Contiene datos de ejemplo de seis conclusiones políticas.

Para mostrar los detalles de un resultado en particular, selecciónelo.

Esta sección estará vacía si Macie no generó ni actualizó ningún resultado de política durante los siete días previos. O bien, todos los resultados de política que se generaron o actualizaron durante los siete días previos se suprimieron mediante una regla de supresión.

Descripción de las estadísticas de seguridad de los datos en el panel Resumen

La sección Seguridad de los datos del panel Resumen ofrece estadísticas que pueden ayudarlo a identificar e investigar posibles riesgos de seguridad y privacidad de sus datos de Amazon S3 en la Región de AWS actual. Por ejemplo, puedes usar estos datos para identificar grupos de uso general a los que se puede acceder públicamente o que se comparten con otras Cuentas de AWS personas.

Si la detección automática de datos confidenciales está deshabilitada en su cuenta, las estadísticas de almacenamiento y descubrimiento de datos confidenciales que aparecen en la parte superior de esta sección indican la cantidad de datos que almacena en Amazon S3 y la cantidad de esos datos que Amazon Macie puede analizar para detectar datos confidenciales. Las estadísticas adicionales se organizan en tres áreas, como se muestra en la siguiente imagen.

La sección de seguridad de datos del panel de control. Cada área contiene datos de ejemplo.

Al revisar cada área, si lo desea, elija un elemento para profundizar y revisar los datos de respaldo. Tenga en cuenta también que las estadísticas no incluyen los datos de los depósitos de directorio de S3, solo los de uso general. Macie no monitorea ni analiza los depósitos de directorios.

Las estadísticas individuales de cada sección son las siguientes.

Public access (Acceso público)

Estas estadísticas indican cuántos buckets de S3 son o no de acceso público:

De acceso público: el número y porcentaje de buckets que permiten al público general tener acceso de lectura o escritura al bucket.
De acceso público de escritura: el número y porcentaje de buckets que permiten al público general tener acceso de escritura al bucket.
De acceso público de lectura: el número y porcentaje de buckets que permiten al público general tener acceso de lectura al bucket.
De acceso no público: el número y porcentaje de buckets que no permiten al público general tener acceso de lectura o escritura al bucket.

Para calcular cada porcentaje, Macie divide el número de buckets que correspondan entre el número total de buckets de su inventario de buckets.

Para determinar los valores de esta área, Macie analiza una combinación de configuraciones a nivel de cuenta y de bucket para cada bucket: la configuración de bloqueo de acceso público de la cuenta, la configuración de bloqueo de acceso público del bucket, la política de bucket para el bucket y la lista de control de acceso () ACL para el bucket. Para obtener información sobre estos ajustes, consulte Administración de acceso y Bloqueo del acceso público a su almacenamiento de Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.

En algunos casos, el área de acceso público también muestra los valores de Desconocido. Si aparecen esos valores, es que Macie no ha podido evaluar la configuración de acceso público en el número y porcentaje de buckets especificados. Por ejemplo, un problema temporal o la configuración de permisos de los buckets impidieron que Macie recuperara los datos necesarios. O Macie no pudo determinar completamente si una o más instrucciones de política permitían que una entidad externa accediera a los buckets.

Cifrado

Estas estadísticas indican cuántos buckets de S3 están configurados para aplicar determinados tipos de cifrado del lado del servidor a los objetos que se añaden a los buckets:

Cifrar de forma predeterminada: SSE -S3: el número y el porcentaje de depósitos cuya configuración de cifrado predeterminada está configurada para cifrar objetos nuevos con una clave gestionada por Amazon S3. En estos depósitos, los objetos nuevos se cifran automáticamente mediante el cifrado -S3. SSE
Cifre de forma predeterminada — DSSE -KMS/SSE- KMS — El número y el porcentaje de depósitos cuya configuración de cifrado predeterminada está configurada para cifrar nuevos objetos con una clave AWS KMS key, ya sea una Clave administrada de AWS o una gestionada por el cliente. En estos depósitos, los objetos nuevos se cifran automáticamente mediante (oDSSE) KMS cifrado. SSE KMS

Para calcular cada porcentaje, Macie divide el número de buckets que correspondan entre el número total de buckets de su inventario de buckets.

Para determinar los valores de esta área, Macie analiza la configuración de cifrado predeterminada de cada depósito. A partir del 5 de enero de 2023, Amazon S3 aplica automáticamente el cifrado del lado del servidor con claves administradas de Amazon S3 (SSE-S3) como nivel base de cifrado para los objetos que se añaden a los buckets. Si lo desea, puede configurar los ajustes de cifrado predeterminados de un bucket para utilizar el cifrado del lado del servidor con una AWS KMS clave (SSE-KMS) o el cifrado de doble capa del lado del servidor con una clave (-). AWS KMS DSSE KMS Para obtener información sobre las opciones y la configuración de cifrado, consulte Establecer el comportamiento del cifrado predeterminado del servidor para los bucket de Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.

En algunos casos, el área de cifrado también muestra los valores de Desconocido. Si aparecen esos valores, es que Macie no ha podido evaluar la configuración de cifrado en el número y porcentaje de buckets especificados. Por ejemplo, un problema temporal o la configuración de permisos de los buckets impidieron que Macie recuperara los datos necesarios.

Uso compartido

Estas estadísticas indican cuántos buckets de S3 se comparten o no con otras Cuentas de AWS identidades de acceso de CloudFront origen de Amazon (OAIs) o controles de acceso de CloudFront origen (OACs):

Compartidos de forma externa: el número y el porcentaje de depósitos que se comparten con una o más de las siguientes entidades, o con cualquier combinación de las siguientes: una CloudFront OAI CloudFrontOAC, una o una cuenta que no pertenece a la misma organización.
Compartido internamente: número y porcentaje de buckets que se comparten con una o más cuentas de la misma organización. Estos depósitos no se comparten con CloudFront OAIs o. OACs
No compartidos: la cantidad y el porcentaje de depósitos que no se comparten con otras cuentas CloudFront OAIs, o. CloudFront OACs

Para calcular cada porcentaje, Macie divide el número de buckets que correspondan entre el número total de buckets de su inventario de buckets.

Para determinar si los depósitos se comparten con otros Cuentas de AWS, Macie analiza la política de los grupos y ACL para cada uno de ellos. Además, una organización se define como un conjunto de cuentas de Macie que se administran de forma centralizada como un grupo de cuentas relacionadas mediante una invitación de Macie AWS Organizations o por invitación de Macie. Para obtener información sobre las opciones de Amazon S3 para compartir depósitos, consulte Administración de acceso en la Guía del usuario de Amazon Simple Storage Service.

nota

En algunos casos, es posible que Macie notifique erróneamente que un bucket está compartido con alguna Cuenta de AWS que no pertenece a la misma organización. Esto puede ocurrir si Macie no puede evaluar completamente la relación entre el elemento Principal de la política del bucket y determinadas claves de contexto de condiciones AWS globales o claves de condición de Amazon S3 del elemento Condition de la política. Las claves de condición aplicables son: aws:PrincipalAccountaws:PrincipalArn,aws:PrincipalOrgID,aws:PrincipalOrgPaths,aws:PrincipalTag,aws:PrincipalType,aws:SourceAccount,aws:SourceArn,aws:SourceIp,aws:SourceVpc,aws:SourceVpce, aws:userids3:DataAccessPointAccount, ys3:DataAccessPointArn.

Para determinar si este es el caso de buckets individuales, seleccione la estadística Compartido externamente en el panel de control. En la tabla que aparece, anote el nombre de cada bucket. A continuación, utilice Amazon S3 para revisar la política de cada bucket y determinar si la configuración de acceso compartido es adecuada y segura.

Para determinar si los cubos se comparten con CloudFront OAIs oOACs, Macie analiza la política de cubos de cada grupo. A CloudFront OAI o OAC permite a los usuarios acceder a los objetos de un depósito a través de una o más distribuciones específicas CloudFront. Para obtener más información CloudFront OAIs yOACs, consulte Restringir el acceso a un origen de Amazon S3 en la Guía para CloudFront desarrolladores de Amazon.

En algunos casos, el área de uso compartido también muestra los valores de Desconocido. Si aparecen estos valores, Macie no ha podido determinar si el número y el porcentaje de cubos especificados se comparten con otras cuentas CloudFront OAIs, o. CloudFront OACs Por ejemplo, un problema temporal o la configuración de permisos de los buckets impidieron que Macie recuperara los datos necesarios. O Macie no pudo evaluar completamente las políticas de los grupos o. ACLs

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Cómo supervisa Macie la seguridad de los datos de Amazon S3

Análisis de la posición de seguridad de Amazon S3