Types de découvertes de Macie - Amazon Macie

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Types de découvertes de Macie

Amazon Macie génère deux catégories de résultats : les résultats relatifs aux politiques et les résultats relatifs aux données sensibles. Une constatation de politique est un rapport détaillé faisant état d'une violation potentielle d'une politique ou d'un problème lié à la sécurité ou à la confidentialité d'un bucket à usage général Amazon Simple Storage Service (Amazon S3). Macie produit des conclusions relatives aux politiques dans le cadre de ses activités continues visant à évaluer et à surveiller vos compartiments à usage général en matière de sécurité et de contrôle d'accès. Une découverte de données sensibles est un rapport détaillé des données sensibles détectées par Macie dans un objet S3. Macie génère des découvertes de données sensibles dans le cadre des activités qu'il effectue lorsque vous exécutez des tâches de découverte de données sensibles ou lorsqu'il effectue une découverte automatique de données sensibles.

Dans chaque catégorie, il existe des types spécifiques. Le type de résultat donne un aperçu de la nature du problème ou des données sensibles détectées par Macie. Les détails d'une constatation fournissent une note de gravité, des informations sur la ressource affectée et des informations supplémentaires, telles que le moment et la manière dont Macie a découvert le problème ou des données sensibles. La gravité et les détails de chaque constatation varient en fonction du type et de la nature de la constatation.

Astuce

Pour explorer et découvrir les différentes catégories et types de résultats que Macie peut générer, créez des exemples de résultats. Les exemples de résultats utilisent des exemples de données et des valeurs d'espace réservé pour démontrer le type d'informations que chaque type de résultat peut contenir.

Types de conclusions relatives aux politiques

Amazon Macie génère une recherche de politique lorsque les politiques ou les paramètres d'un compartiment à usage général S3 sont modifiés d'une manière qui réduit la sécurité ou la confidentialité du compartiment et de ses objets. Pour plus d'informations sur la façon dont Macie détecte ces modifications, consultezComment Macie surveille la sécurité des données Amazon S3.

Macie génère une recherche de politique uniquement si le changement intervient après que vous avez activé Macie pour votre. Compte AWS Par exemple, si les paramètres de blocage de l'accès public sont désactivés pour un compartiment S3 après avoir activé Macie, Macie génère une BlockPublicAccessDisabled recherche Policy : IAMUser /S3 pour le compartiment. Si les paramètres de blocage de l'accès public étaient désactivés pour un bucket lorsque vous avez activé Macie et qu'ils continuent de l'être, Macie ne génère pas de BlockPublicAccessDisabled recherche Policy : IAMUser /S3 pour le bucket.

Si Macie détecte une occurrence ultérieure d'une constatation de politique existante, Macie met à jour la constatation existante en ajoutant des détails sur l'occurrence suivante et en augmentant le nombre d'occurrences. Macie conserve les résultats de ses politiques pendant 90 jours.

Macie peut générer les types de conclusions politiques suivants pour un bucket S3 à usage général.

Policy:IAMUser/S3BlockPublicAccessDisabled

Tous les paramètres de blocage de l'accès public au niveau du compartiment ont été désactivés pour le compartiment. L'accès au bucket est contrôlé par les paramètres de blocage de l'accès public pour le compte, les listes de contrôle d'accès (ACLs) et la politique du bucket pour le bucket.

Pour en savoir plus sur les paramètres de blocage de l'accès public pour les compartiments S3, consultez la section Blocage de l'accès public à votre espace de stockage Amazon S3 dans le guide de l'utilisateur d'Amazon Simple Storage Service.

Policy:IAMUser/S3BucketEncryptionDisabled

Les paramètres de chiffrement par défaut du compartiment ont été réinitialisés selon le comportement de chiffrement par défaut d'Amazon S3, qui consiste à chiffrer automatiquement les nouveaux objets avec une clé gérée par Amazon S3.

À compter du 5 janvier 2023, Amazon S3 applique automatiquement le chiffrement côté serveur avec les clés gérées par Amazon S3 (SSE-S3) comme niveau de chiffrement de base pour les objets ajoutés aux compartiments. Vous pouvez éventuellement configurer les paramètres de chiffrement par défaut d'un compartiment pour utiliser à la place le chiffrement côté serveur avec une AWS KMS clé (SSE-KMS) ou le chiffrement double couche côté serveur avec une AWS KMS clé (-). DSSE KMS Pour en savoir plus sur les paramètres et options de chiffrement par défaut pour les compartiments S3, consultez la section Définition du comportement de chiffrement côté serveur par défaut pour les compartiments S3 dans le guide de l'utilisateur d'Amazon Simple Storage Service.

Si Macie a généré ce type de découverte avant le 5 janvier 2023, cela indique que les paramètres de chiffrement par défaut ont été désactivés pour le compartiment concerné. Cela signifiait que les paramètres du compartiment ne spécifiaient pas le comportement de chiffrement par défaut côté serveur pour les nouveaux objets. La possibilité de désactiver les paramètres de chiffrement par défaut pour un compartiment n'est plus prise en charge par Amazon S3.

Policy:IAMUser/S3BucketPublic

Une politique de compartiment ACL or pour le compartiment a été modifiée pour autoriser l'accès aux utilisateurs anonymes ou à toutes les identités authentifiées AWS Identity and Access Management (IAM).

Pour en savoir plus sur ACLs les politiques relatives aux compartiments S3, consultez la section Gestion des accès dans le guide de l'utilisateur d'Amazon Simple Storage Service.

Policy:IAMUser/S3BucketReplicatedExternally

La réplication a été activée et configurée pour répliquer des objets du compartiment vers un compartiment externe à votre organisation (ne faisant pas partie de celui-ci). Compte AWS Une organisation est un ensemble de comptes Macie gérés de manière centralisée en tant que groupe de comptes connexes via AWS Organizations ou sur invitation de Macie.

Dans certaines conditions, Macie peut générer ce type de recherche pour un bucket qui n'est pas configuré pour répliquer des objets vers un bucket externe. Compte AWS Cela peut se produire si le compartiment de destination a été créé différemment Région AWS au cours des 24 heures précédentes, après que Macie ait récupéré les métadonnées du bucket et de l'objet sur Amazon S3 dans le cadre du cycle d'actualisation quotidien. Pour étudier le résultat, commencez par actualiser les données de votre inventaire. Passez ensuite en revue les détails du compartiment. Les détails indiquent si le compartiment est configuré pour répliquer des objets dans d'autres compartiments. Si le bucket est configuré pour cela, les détails incluent l'ID de compte pour chaque compte propriétaire d'un bucket de destination.

Pour en savoir plus sur les paramètres de réplication pour les compartiments S3, consultez la section Réplication d'objets dans le guide de l'utilisateur d'Amazon Simple Storage Service.

Policy:IAMUser/S3BucketSharedExternally

Une politique de compartiment ACL ou relative au compartiment a été modifiée afin de permettre le partage du compartiment avec une Compte AWS personne externe à votre organisation (ne faisant pas partie de celle-ci). Une organisation est un ensemble de comptes Macie gérés de manière centralisée en tant que groupe de comptes connexes via AWS Organizations ou sur invitation de Macie.

Dans certains cas, Macie peut générer ce type de recherche pour un bucket qui n'est pas partagé avec un AWS compte externe. Cela peut se produire si Macie n'est pas en mesure d'évaluer pleinement la relation entre l'Principalélément de la politique du compartiment et certaines clés de contexte de condition AWS globales ou les clés de condition Amazon S3 présentes dans l'Conditionélément de la politique. Les clés de condition applicables sont les suivantes : aws:PrincipalAccount aws:PrincipalArn aws:PrincipalOrgIDaws:PrincipalOrgPaths,aws:PrincipalTag,aws:PrincipalType,aws:SourceAccount,aws:SourceArn,aws:SourceIp,aws:SourceVpc,aws:SourceVpce,aws:userid,s3:DataAccessPointAccount, ets3:DataAccessPointArn. Nous vous recommandons de consulter la politique du bucket afin de déterminer si cet accès est prévu et sûr.

Pour en savoir plus sur ACLs les politiques relatives aux compartiments S3, consultez la section Gestion des accès dans le guide de l'utilisateur d'Amazon Simple Storage Service.

Policy:IAMUser/S3BucketSharedWithCloudFront

La politique relative au compartiment a été modifiée afin de permettre le partage du compartiment avec une identité CloudFront d'accès d'origine Amazon (OAI), un contrôle CloudFront d'accès d'origine (OAC), ou les deux CloudFront OAC. CloudFront OAI A CloudFront OAI ou OAC permet aux utilisateurs d'accéder aux objets d'un bucket via une ou plusieurs CloudFront distributions spécifiées.

Pour en savoir plus sur CloudFront OAIs etOACs, consultez Restreindre l'accès à une origine Amazon S3 dans le manuel Amazon CloudFront Developer Guide.

Note

Dans certains cas, Macie génère une recherche Policy : IAMUser /S3 au lieu d'une BucketSharedExternally recherche Policy : IAMUser /S3 pour un BucketSharedWithCloudFront bucket. Ces cas sont les suivants :

  • Le bucket est partagé avec un Compte AWS utilisateur externe à votre organisation, en plus d'un CloudFront OAI ouOAC.

  • La politique du bucket spécifie un ID utilisateur canonique, au lieu du nom de ressource Amazon (ARN), d'un CloudFront OAI.

Cela permet de trouver une politique de sévérité plus élevée pour le compartiment.

Types de résultats relatifs à des données sensibles

Amazon Macie génère une recherche de données sensibles lorsqu'il détecte des données sensibles dans un objet S3 qu'il analyse pour découvrir des données sensibles. Cela inclut l'analyse que Macie effectue lorsque vous exécutez une tâche de découverte de données sensibles ou lorsqu'il effectue une découverte automatique de données sensibles.

Par exemple, si vous créez et exécutez une tâche de découverte de données sensibles et que Macie détecte des numéros de compte bancaire dans un objet S3, Macie génère un résultat SensitiveData :S3Object/Financial finding pour l'objet. De même, si Macie détecte des numéros de compte bancaire dans un objet S3 qu'il analyse au cours d'un cycle automatique de découverte de données sensibles, Macie génère un résultat SensitiveData :S3Object/Financial pour l'objet.

Si Macie détecte des données sensibles dans le même objet S3 lors d'une exécution de tâche ultérieure ou d'un cycle de découverte automatique de données sensibles, Macie génère une nouvelle recherche de données sensibles pour l'objet. Contrairement aux conclusions relatives aux politiques, toutes les découvertes relatives aux données sensibles sont traitées comme nouvelles (uniques). Macie conserve les résultats de données sensibles pendant 90 jours.

Macie peut générer les types suivants de résultats de données sensibles pour un objet S3.

SensitiveData:S3Object/Credentials

L'objet contient des données d'identification sensibles, telles que des clés d'accès AWS secrètes ou des clés privées.

SensitiveData:S3Object/CustomIdentifier

L'objet contient du texte qui correspond aux critères de détection d'un ou de plusieurs identificateurs de données personnalisés. L'objet peut contenir plusieurs types de données sensibles.

SensitiveData:S3Object/Financial

L'objet contient des informations financières sensibles, telles que des numéros de compte bancaire ou de carte de crédit.

SensitiveData:S3Object/Multiple

L'objet contient plusieurs catégories de données sensibles : toute combinaison de données d'identification, d'informations financières, d'informations personnelles ou de texte correspondant aux critères de détection d'un ou de plusieurs identifiants de données personnalisés.

SensitiveData:S3Object/Personal

L'objet contient des informations personnelles sensibles : des informations personnellement identifiables (PII) telles que les numéros de passeport ou de permis de conduire, des informations médicales personnelles (PHI) telles que les numéros d'assurance maladie ou d'identification médicale, ou une combinaison de PII et. PHI

Pour plus d'informations sur les types de données sensibles que Macie peut détecter à l'aide de critères et de techniques intégrés, consultezUtilisation des identificateurs de données gérés. Pour plus d'informations sur les types d'objets S3 que Macie peut analyser, consultezClasses et formats de stockage pris en charge.