Notation de sensibilité pour les compartiments S3 - Amazon Macie
Dimensions et fourchettes de notationScores de surveillance

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Notation de sensibilité pour les compartiments S3

Si la découverte automatique des données sensibles est activée, Amazon Macie calcule et attribue automatiquement un score de sensibilité à chaque compartiment à usage général Amazon Simple Storage Service (Amazon S3) qu'il surveille et analyse pour un compte ou une organisation. Un score de sensibilité est une représentation quantitative de la quantité de données sensibles qu'un compartiment S3 peut contenir. Sur la base de ce score, Macie attribue également une étiquette de sensibilité à chaque seau. Une étiquette de sensibilité est une représentation qualitative du score de sensibilité d'un compartiment. Ces valeurs peuvent servir de points de référence pour déterminer où les données sensibles peuvent se trouver dans votre patrimoine de données Amazon S3, ainsi que pour identifier et surveiller les risques de sécurité potentiels liés à ces données.

Par défaut, le score de sensibilité et l'étiquette d'un compartiment S3 reflètent les résultats des activités automatisées de découverte de données sensibles que Macie a effectuées jusqu'à présent pour le compartiment. Ils ne reflètent pas les résultats des tâches de découverte de données sensibles que vous créez et exécutez. En outre, ni le score ni le label n'impliquent ou n'indiquent de quelque manière que ce soit la criticité ou l'importance qu'un bucket ou les objets d'un bucket peuvent avoir pour vous ou votre organisation. Cependant, vous pouvez annuler le score calculé d'un bucket en attribuant manuellement le score maximum (100) au bucket. Cela attribue également l'étiquette Sensitive au compartiment. Pour annuler un score calculé, vous devez être l'administrateur Macie du compte propriétaire du bucket ou disposer d'un compte Macie autonome.

Dimensions et plages de notation de sensibilité

S'il est calculé par Amazon Macie, le score de sensibilité d'un compartiment S3 est une mesure quantitative de l'intersection de deux dimensions principales :

  • La quantité de données sensibles que Macie a trouvées dans le compartiment. Cela tient principalement à la nature et au nombre de types de données sensibles que Macie a trouvés dans le compartiment, ainsi qu'au nombre d'occurrences de chaque type.

  • La quantité de données que Macie a analysées dans le compartiment. Cela provient principalement du nombre d'objets uniques analysés par Macie dans le compartiment par rapport au nombre total d'objets uniques dans le compartiment.

Le score de sensibilité d'un compartiment S3 détermine également l'étiquette de sensibilité que Macie attribue au compartiment. L'étiquette de sensibilité est une représentation qualitative du score, par exemple, Sensible ou Non sensible. Sur la console Amazon Macie, le score de sensibilité d'un bucket détermine également la couleur que Macie utilise pour représenter le bucket dans les visualisations de données, comme le montre l'image suivante.

Le spectre de couleurs pour les scores de sensibilité : teintes bleues pour 1 à 49, teintes rouges pour 51 à 100 et gris pour -1.

Les scores de sensibilité vont de -1 à 100, comme décrit dans le tableau suivant. Pour évaluer les entrées dans le score d'un compartiment S3, vous pouvez vous référer aux statistiques de découverte de données sensibles et aux autres informations fournies par Macie à propos du compartiment.

Score de sensibilité Étiquette de sensibilité Informations supplémentaires
-1 Erreur de classification

Macie n'a encore réussi à analyser aucun des objets du compartiment en raison d'erreurs de classification au niveau des objets (problèmes liés aux paramètres des autorisations au niveau des objets, au contenu des objets ou aux quotas).

Lorsque Macie a essayé d'analyser un ou plusieurs objets du compartiment, des erreurs se sont produites. Par exemple, un objet est un fichier mal formé ou un objet est chiffré avec une clé à laquelle Macie ne peut pas accéder ou n'est pas autorisée à utiliser. Les données de couverture du compartiment peuvent vous aider à étudier et à corriger les erreurs. Pour de plus amples informations, veuillez consulter Évaluation de la couverture de la découverte automatique des données sensibles.

Macie continuera d'essayer d'analyser les objets contenus dans le compartiment. Si Macie analyse un objet avec succès, Macie mettra à jour le score de sensibilité et l'étiquette du bucket pour refléter les résultats de l'analyse.
1-49 Non sensible

Dans cette fourchette, un score plus élevé, 49 par exemple, indique que Macie a analysé relativement peu d'objets dans le compartiment. Un score inférieur, tel que 1, indique que Macie a analysé de nombreux objets du compartiment (par rapport au nombre total d'objets contenus dans le compartiment) et a détecté relativement peu de types et d'occurrences de données sensibles dans ces objets.

Un score de 1 peut également indiquer que le compartiment ne stocke aucun objet ou que tous les objets du compartiment contiennent zéro (0) octet de données. Les statistiques relatives aux objets figurant dans les détails du compartiment peuvent vous aider à déterminer si tel est le cas. Pour de plus amples informations, veuillez consulter Consulter les détails du bucket S3.
50 Pas encore analysé

Macie n'a pas encore essayé d'analyser ou d'analyser aucun des objets du compartiment.

Macie attribue automatiquement ce score lorsque la découverte automatique est initialement activée ou qu'un compartiment est ajouté à l'inventaire des compartiments d'un compte. Dans une organisation, un bucket peut également avoir ce score si la découverte automatique n'a jamais été activée pour le compte propriétaire du bucket.

Un score de 50 peut également indiquer que les paramètres d'autorisation du bucket empêchent Macie d'accéder au bucket ou aux objets du bucket. Cela est généralement dû à une politique de compartiment restrictive. Les détails du bucket peuvent vous aider à déterminer si c'est le cas, car Macie ne peut fournir qu'un sous-ensemble d'informations sur le bucket. Pour plus d'informations sur la manière de résoudre ce problème, consultezAutoriser Macie à accéder aux compartiments et aux objets S3.
51-99 Sensible

Dans cette fourchette, un score plus élevé, tel que 99, indique que Macie a analysé de nombreux objets du compartiment (par rapport au nombre total d'objets contenus dans le compartiment) et détecté de nombreux types et occurrences de données sensibles dans ces objets. Un score inférieur, tel que 51, indique que Macie a analysé un nombre modéré d'objets dans le compartiment (par rapport au nombre total d'objets dans le compartiment) et détecté au moins quelques types et occurrences de données sensibles dans ces objets.
100 Sensible

Le score a été attribué manuellement au compartiment, remplaçant le score calculé. Macie n'attribue pas ce score aux buckets.

Surveillance des scores de sensibilité

Lorsque la découverte automatique des données sensibles est initialement activée pour un compte, Amazon Macie attribue automatiquement un score de sensibilité de 50 à chaque compartiment S3 détenu par le compte. Macie attribue également ce score à un compartiment lorsque celui-ci est ajouté à l'inventaire des compartiments d'un compte. Sur la base de ce score, l'étiquette de sensibilité de chaque seau n'est pas encore analysée. L'exception est un compartiment vide, c'est-à-dire un compartiment qui ne stocke aucun objet ou dans lequel tous les objets du compartiment contiennent zéro (0) octet de données. Si tel est le cas pour un bucket, Macie attribue un score de 1 au bucket et l'étiquette de sensibilité du bucket est Non sensible.

Au fur et à mesure que la découverte automatique des données sensibles progresse chaque jour, Macie met à jour les scores de sensibilité et les étiquettes des compartiments S3 afin de refléter les résultats de son analyse. Par exemple :

  • Si Macie ne trouve aucune donnée sensible dans un objet, Macie diminue le score de sensibilité du compartiment et met à jour l'étiquette de sensibilité si nécessaire.

  • Si Macie trouve des données sensibles dans un objet, Macie augmente le score de sensibilité du compartiment et met à jour l'étiquette de sensibilité si nécessaire.

  • Si Macie trouve des données sensibles dans un objet qui est ensuite modifié, Macie supprime les données sensibles détectées pour l'objet du score de sensibilité du compartiment et met à jour l'étiquette de sensibilité si nécessaire.

  • Si Macie trouve des données sensibles dans un objet qui est ensuite supprimé, Macie supprime les données sensibles détectées pour l'objet du score de sensibilité du compartiment et met à jour l'étiquette de sensibilité si nécessaire.

  • Si un objet est ajouté à un compartiment qui était auparavant vide et que Macie trouve des données sensibles dans l'objet, Macie augmente le score de sensibilité du compartiment et met à jour l'étiquette de sensibilité si nécessaire.

  • Si les paramètres d'autorisation d'un bucket empêchent Macie d'accéder ou de récupérer des informations sur le bucket ou les objets du bucket, Macie modifie le score de sensibilité du bucket à 50 et change l'étiquette de sensibilité du bucket sur Non encore analysé.

Les résultats d'analyse peuvent commencer à apparaître dans les 48 heures suivant l'activation de la découverte automatique des données sensibles pour un compte.

Si vous êtes l'administrateur Macie d'une organisation ou si vous possédez un compte Macie autonome, vous pouvez ajuster les paramètres de score de sensibilité pour votre organisation ou votre compte :

  • Pour ajuster les paramètres pour les analyses ultérieures de tous les compartiments S3, modifiez les paramètres de votre compte. Vous pouvez commencer à inclure ou à exclure des identifiants de données gérés spécifiques, des identifiants de données personnalisés ou des listes d'autorisation. Vous pouvez également exclure des buckets spécifiques. Pour de plus amples informations, veuillez consulter Configuration des paramètres de découverte automatique.

  • Pour ajuster les paramètres des compartiments S3 individuels, modifiez les paramètres de chaque compartiment. Vous pouvez inclure ou exclure des types spécifiques de données sensibles du score d'un bucket. Vous pouvez également spécifier s'il convient d'attribuer un score calculé automatiquement à un bucket. Pour de plus amples informations, veuillez consulter Ajustement des scores de sensibilité pour les compartiments S3.

Si vous désactivez la découverte automatique des données sensibles, l'effet varie en fonction des scores de sensibilité et des étiquettes existants. Si vous le désactivez pour le compte d'un membre d'une organisation, les scores et étiquettes existants sont conservés pour les compartiments S3 détenus par le compte. Si vous le désactivez pour l'ensemble d'une organisation ou pour un compte Macie autonome, les scores et labels existants ne sont conservés que pendant 30 jours. Au bout de 30 jours, Macie réinitialise les scores et les étiquettes pour tous les compartiments détenus par l'organisation ou le compte. Si un compartiment contient des objets, Macie change le score à 50 et attribue le label Pas encore analysé au compartiment. Si un compartiment est vide, Macie change le score à 1 et attribue le label Non sensible au compartiment. Après cette réinitialisation, Macie arrête de mettre à jour les scores de sensibilité et les étiquettes des compartiments, sauf si vous réactivez la découverte automatique des données sensibles pour l'organisation ou le compte.