Examen des données de couverture pour la découverte automatisée des données sensibles - Amazon Macie

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Examen des données de couverture pour la découverte automatisée des données sensibles

Pour examiner et évaluer la couverture par la découverte automatique de données sensibles, vous pouvez utiliser la console Amazon Macie ou Amazon Macie. API La console et le API fournissent des données qui indiquent l'état actuel des analyses pour vos compartiments à usage général Amazon Simple Storage Service (Amazon S3) à l'heure actuelle. Région AWS Les données incluent des informations sur les problèmes qui créent des lacunes dans les analyses :

  • Des compartiments auxquels Macie n'est pas autorisé à accéder. Macie ne peut analyser aucun objet dans ces compartiments. Les paramètres d'autorisation des compartiments empêchent Macie d'accéder aux compartiments et aux objets des compartiments.

  • Des compartiments qui ne contiennent aucun objet classifiable. Macie ne peut analyser aucun objet dans ces compartiments. Tous les objets utilisent des classes de stockage Amazon S3 que Macie ne prend pas en charge, ou ils ont des extensions de nom de fichier pour des formats de fichier ou de stockage non pris en charge par Macie.

  • Des compartiments que Macie n'a pas encore pu analyser en raison d'erreurs de classification au niveau des objets. Macie a tenté d'analyser un ou plusieurs objets contenus dans ces compartiments. Cependant, Macie n'a pas pu analyser les objets en raison de problèmes liés aux paramètres des autorisations au niveau des objets, au contenu des objets ou aux quotas.

Les données de couverture sont mises à jour au fur et à mesure que la découverte automatique des données sensibles progresse chaque jour. Si vous êtes l'administrateur Macie d'une organisation, les données incluent des informations relatives aux compartiments S3 que possèdent vos comptes membres.

Note

Les données de couverture n'incluent pas explicitement les résultats des tâches de découverte de données sensibles que vous créez et exécutez. Cependant, la résolution des problèmes de couverture qui affectent la découverte automatique des données sensibles est également susceptible d'augmenter la couverture des tâches que vous exécuterez par la suite. Pour évaluer la couverture d'un emploi, passez en revue les résultats du poste. Si les événements du journal d'une tâche ou d'autres résultats indiquent des problèmes de couverture, les conseils de correction pour la découverte automatique des données sensibles peuvent vous aider à résoudre certains de ces problèmes.

Pour examiner les données de couverture afin de détecter automatiquement les données sensibles

Pour consulter les données de couverture afin de détecter automatiquement les données sensibles, vous pouvez utiliser la console Amazon Macie ou Amazon Macie. API Sur la console, une seule page fournit une vue unifiée des données de couverture pour tous vos compartiments S3 à usage général dans la région actuelle. Cela inclut un récapitulatif des problèmes récemment survenus pour chaque compartiment. La page propose également des options permettant de consulter des groupes de données par type de problème. Pour suivre votre enquête sur les problèmes liés à des compartiments spécifiques, vous pouvez exporter les données de la page vers un fichier de valeurs séparées par des virgules ()CSV.

Console

Suivez ces étapes pour consulter les données de couverture à l'aide de la console Amazon Macie.

Pour consulter les données de couverture
  1. Ouvrez la console Amazon Macie à l'adresse. https://console.aws.amazon.com/macie/

  2. Dans le volet de navigation, choisissez Resource coverage.

  3. Sur la page Couverture des ressources, choisissez l'onglet correspondant au type de données de couverture que vous souhaitez consulter :

    • Tout : répertorie tous les compartiments que Macie surveille et analyse pour votre compte. Pour chaque compartiment, le champ Problèmes indique si des problèmes ont empêché Macie d'analyser les objets du compartiment. Si la valeur de ce champ est None, Macie a analysé au moins un des objets du bucket ou Macie n'a pas encore essayé d'analyser aucun des objets du bucket. S'il y a des problèmes, ce champ indique leur nature et indique comment y remédier. Pour les erreurs de classification au niveau de l'objet, il peut également indiquer (entre parenthèses) le nombre d'occurrences de l'erreur.

    • Accès refusé — Répertorie les compartiments auxquels Macie n'est pas autorisé à accéder. Les paramètres d'autorisation pour ces compartiments empêchent Macie d'accéder aux compartiments et aux objets des compartiments. Par conséquent, Macie ne peut analyser aucun objet dans les buckets.

    • Erreur de classification : répertorie les compartiments que Macie n'a pas encore analysés en raison d'erreurs de classification au niveau des objets (problèmes liés aux paramètres des autorisations au niveau des objets, au contenu des objets ou aux quotas). Pour chaque compartiment, le champ Problèmes indique la nature de chaque type d'erreur qui s'est produit et a empêché Macie d'analyser un objet dans le compartiment. Il indique également comment corriger chaque type d'erreur. En fonction de l'erreur, il peut également indiquer (entre parenthèses) le nombre d'occurrences de l'erreur.

    • Inclassable : répertorie les compartiments que Macie ne peut pas analyser car ils ne contiennent aucun objet classable. Tous les objets de ces compartiments utilisent des classes de stockage Amazon S3 non prises en charge ou possèdent des extensions de nom de fichier pour des formats de fichier ou de stockage non pris en charge. Par conséquent, Macie ne peut analyser aucun objet dans les buckets.

  4. Pour effectuer une analyse détaillée et consulter les données de support d'un bucket, choisissez le nom du bucket. Reportez-vous ensuite au panneau de détails pour obtenir des statistiques et d'autres informations sur le bucket.

  5. Pour exporter le tableau vers un CSV fichier, choisissez Exporter vers CSV en haut de la page. Le CSV fichier obtenu contient un sous-ensemble de métadonnées pour chaque compartiment de la table, pour un maximum de 50 000 compartiments. Le fichier inclut un champ Problèmes de couverture. La valeur de ce champ indique si des problèmes ont empêché Macie d'analyser les objets du compartiment et, dans l'affirmative, la nature des problèmes.

API

Pour examiner les données de couverture par programmation, spécifiez des critères de filtre dans les requêtes que vous soumettez à l'aide DescribeBucketsd'Amazon Macie. API Cette opération renvoie un tableau d'objets. Chaque objet contient des données statistiques et d'autres informations sur un compartiment S3 à usage général répondant aux critères du filtre.

Dans les critères de filtre, incluez une condition pour le type de données de couverture que vous souhaitez examiner :

  • Pour identifier les compartiments auxquels Macie n'est pas autorisé à accéder en raison des paramètres d'autorisation des compartiments, incluez une condition selon laquelle la valeur du champ est égale à. errorCode ACCESS_DENIED

  • Pour identifier les compartiments auxquels Macie est autorisé à accéder et qu'il n'a pas encore analysés, incluez les conditions dans lesquelles la valeur du sensitivityScore champ est égale 50 et la valeur du errorCode champ n'est pas égale. ACCESS_DENIED

  • Pour identifier les compartiments que Macie ne peut pas analyser parce que tous leurs objets utilisent des classes ou des formats de stockage non pris en charge, incluez les conditions dans lesquelles la valeur du classifiableSizeInBytes champ est égale 0 et la valeur du champ est supérieure à. sizeInBytes 0

  • Pour identifier les compartiments pour lesquels Macie a analysé au moins un objet, incluez les conditions dans lesquelles la valeur du sensitivityScore champ se situe entre 1 et 99 mais n'est pas égale à. 50 Pour inclure également les compartiments dans lesquels vous avez attribué manuellement le score maximum, la plage doit être comprise entre 1 et 100.

  • Pour identifier les compartiments que Macie n'a pas encore analysés en raison d'erreurs de classification au niveau de l'objet, incluez une condition selon laquelle la valeur du champ est égale à. sensitivityScore -1 Pour ensuite passer en revue le détail des types et du nombre d'erreurs survenues pour un compartiment donné, utilisez l'GetResourceProfileopération.

Si vous utilisez le AWS Command Line Interface (AWS CLI), spécifiez les critères de filtre dans les requêtes que vous soumettez en exécutant la commande describe-buckets. Pour consulter le détail des types et du nombre d'erreurs survenues pour un compartiment S3 donné, le cas échéant, exécutez la get-resource-profilecommande.

Par exemple, les AWS CLI commandes suivantes utilisent des critères de filtre pour récupérer les détails de tous les compartiments S3 auxquels Macie n'est pas autorisé à accéder en raison des paramètres d'autorisation des compartiments.

Cet exemple est formaté pour Linux, macOS ou Unix :

$ aws macie2 describe-buckets --criteria '{"errorCode":{"eq":["ACCESS_DENIED"]}}'

Cet exemple est formaté pour Microsoft Windows :

C:\> aws macie2 describe-buckets --criteria={\"errorCode\":{\"eq\":[\"ACCESS_DENIED\"]}}

Si votre demande aboutit, Macie renvoie un buckets tableau. Le tableau contient un objet pour chaque compartiment S3 présent dans le compartiment actuel Région AWS et répondant aux critères du filtre.

Si aucun compartiment S3 ne correspond aux critères du filtre, Macie renvoie un tableau vide. buckets

{ "buckets": [] }

Pour plus d'informations sur la spécification de critères de filtre dans les requêtes, notamment des exemples de critères courants, consultezFiltrer l'inventaire de votre compartiment S3.

Pour obtenir des informations détaillées qui peuvent vous aider à résoudre les problèmes de couverture, consultezRésolution des problèmes de couverture pour la découverte automatique des données sensibles.