Memperbaiki masalah cakupan untuk penemuan data sensitif otomatis

Penyebab paling umum untuk jenis masalah ini adalah kebijakan bucket yang membatasi. Kebijakan bucket adalah kebijakan berbasis sumber daya AWS Identity and Access Management (IAM) yang menentukan tindakan yang dapat dilakukan oleh prinsipal (pengguna, akun, layanan, atau entitas lain) pada bucket S3, dan kondisi di mana prinsipal dapat melakukan tindakan tersebut. Kebijakan bucket yang membatasi menggunakan pernyataan eksplisit Allow atau Deny pernyataan yang memberikan atau membatasi akses ke data bucket berdasarkan kondisi tertentu. Misalnya, kebijakan bucket mungkin berisi Deny pernyataan Allow atau yang menolak akses ke bucket kecuali jika alamat IP sumber tertentu digunakan untuk mengakses bucket.

Jika kebijakan bucket untuk bucket S3 berisi Deny pernyataan eksplisit dengan satu atau beberapa kondisi, Macie mungkin tidak diizinkan untuk mengambil dan menganalisis objek bucket untuk mendeteksi data sensitif. Macie hanya dapat memberikan subset informasi tentang bucket, seperti nama bucket dan tanggal pembuatan.

Untuk mengatasi masalah ini, perbarui kebijakan bucket untuk bucket S3. Pastikan kebijakan memungkinkan Macie mengakses bucket dan objek bucket. Untuk mengizinkan akses ini, tambahkan kondisi untuk peran (AWSServiceRoleForAmazonMacie) terkait layanan Macie ke kebijakan. Kondisi tersebut harus mengecualikan peran terkait layanan Macie agar tidak cocok dengan Deny pembatasan dalam kebijakan. Hal ini dapat dilakukan dengan menggunakan kunci konteks kondisi aws:PrincipalArn global dan Amazon Resource Name (ARN) dari peran terkait layanan Macie untuk akun Anda.

Jika Anda memperbarui kebijakan bucket dan Macie mendapatkan akses ke bucket S3, Macie akan mendeteksi perubahan tersebut. Ketika ini terjadi, Macie akan memperbarui statistik, data inventaris, dan informasi lain yang diberikannya tentang data Amazon S3 Anda. Selain itu, objek bucket akan menjadi prioritas yang lebih tinggi untuk analisis selama siklus analisis berikutnya.

Untuk informasi selengkapnya tentang memperbarui kebijakan bucket S3 agar Macie dapat mengakses bucket, lihat. Mengizinkan Macie untuk mengakses bucket S3 dan objek Untuk informasi tentang penggunaan kebijakan bucket untuk mengontrol akses ke bucket, lihat Kebijakan Bucket dan Cara Amazon S3 mengotorisasi permintaan di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

Kesalahan ini biasanya terjadi karena objek S3 adalah file yang cacat atau rusak. Akibatnya, Macie tidak dapat mengurai dan menganalisis semua data dalam file.

Kesalahan ini juga dapat terjadi jika analisis objek S3 akan melebihi kuota penemuan data sensitif untuk file individual. Misalnya, ukuran penyimpanan objek melebihi kuota ukuran untuk jenis file tersebut.

Untuk kedua kasus tersebut, Macie tidak dapat menyelesaikan analisisnya terhadap objek S3 dan status analisis untuk objek tersebut adalah Skipped (). SKIPPED

Untuk menyelidiki kesalahan ini, unduh objek S3 dan periksa pemformatan dan isi file. Juga menilai isi file terhadap kuota Macie untuk penemuan data sensitif.

Jika Anda tidak memperbaiki kesalahan ini, Macie akan mencoba menganalisis objek lain di bucket S3. Jika Macie berhasil menganalisis objek lain, Macie akan memperbarui data cakupan dan informasi lain yang diberikannya tentang bucket.

Untuk daftar kuota penemuan data sensitif, termasuk kuota untuk jenis file tertentu, lihat. Kuota untuk Macie Untuk informasi tentang cara Macie memperbarui skor sensitivitas dan informasi lain yang diberikannya tentang bucket S3, lihat. Cara kerja penemuan data sensitif otomatis

Amazon S3 mendukung beberapa opsi enkripsi untuk objek S3. Untuk sebagian besar opsi ini, Macie dapat mendekripsi objek dengan menggunakan peran terkait layanan Macie untuk akun Anda. Namun, ini tergantung pada jenis enkripsi yang digunakan.

Agar Macie dapat mendekripsi objek S3, objek harus dienkripsi dengan kunci yang dapat diakses Macie dan diizinkan untuk digunakan. Jika objek dienkripsi dengan kunci yang disediakan pelanggan, Macie tidak dapat menyediakan materi kunci yang diperlukan untuk mengambil objek dari Amazon S3. Akibatnya, Macie tidak dapat menganalisis objek dan status analisis untuk objek tersebut adalah Skipped ()SKIPPED.

Untuk memperbaiki kesalahan ini, enkripsi objek S3 dengan kunci terkelola Amazon S3 atau kunci (). AWS Key Management Service AWS KMS Jika Anda lebih suka menggunakan AWS KMS kunci, kunci dapat berupa kunci yang AWS dikelola, atau KMS kunci yang dikelola KMS pelanggan yang diizinkan untuk digunakan oleh Macie.

Untuk mengenkripsi objek S3 yang ada dengan kunci yang dapat diakses dan digunakan Macie, Anda dapat mengubah pengaturan enkripsi untuk objek. Untuk mengenkripsi objek baru dengan kunci yang dapat diakses dan digunakan Macie, ubah pengaturan enkripsi default untuk bucket S3. Pastikan juga bahwa kebijakan bucket tidak memerlukan objek baru untuk dienkripsi dengan kunci yang disediakan pelanggan.

Jika Anda tidak memperbaiki kesalahan ini, Macie akan mencoba menganalisis objek lain di bucket S3. Jika Macie berhasil menganalisis objek lain, Macie akan memperbarui data cakupan dan informasi lain yang diberikannya tentang bucket.

Untuk informasi tentang persyaratan dan opsi untuk menggunakan Macie untuk menganalisis objek S3 terenkripsi, lihat. Menganalisis objek Amazon S3 terenkripsi Untuk informasi tentang opsi dan setelan enkripsi untuk bucket S3, lihat Melindungi data dengan enkripsi dan Menyetel perilaku enkripsi sisi server default untuk bucket S3 di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

AWS KMS menyediakan opsi untuk menonaktifkan dan menghapus pelanggan yang dikelola. AWS KMS keys Jika objek S3 dienkripsi dengan KMS kunci yang dinonaktifkan, dijadwalkan untuk dihapus, atau dihapus, Macie tidak dapat mengambil dan mendekripsi objek. Akibatnya, Macie tidak dapat menganalisis objek dan status analisis untuk objek tersebut adalah Skipped ()SKIPPED. Agar Macie dapat menganalisis objek terenkripsi, objek harus dienkripsi dengan kunci yang dapat diakses Macie dan diizinkan untuk digunakan.

Untuk memperbaiki kesalahan ini, aktifkan kembali yang berlaku AWS KMS key atau batalkan penghapusan kunci yang dijadwalkan, tergantung pada status kunci saat ini. Jika kunci yang berlaku sudah dihapus, kesalahan ini tidak dapat diperbaiki.

Untuk menentukan mana AWS KMS key yang digunakan untuk mengenkripsi objek S3, Anda dapat memulai dengan menggunakan Macie untuk meninjau pengaturan enkripsi sisi server untuk bucket S3. Jika pengaturan enkripsi default untuk bucket dikonfigurasi untuk menggunakan KMS kunci, detail bucket menunjukkan kunci mana yang digunakan. Anda kemudian dapat memeriksa status kunci itu. Atau, Anda dapat menggunakan Amazon S3 untuk meninjau pengaturan enkripsi untuk bucket dan objek individual di bucket.

Jika Anda tidak memperbaiki kesalahan ini, Macie akan mencoba menganalisis objek lain di bucket S3. Jika Macie berhasil menganalisis objek lain, Macie akan memperbarui data cakupan dan informasi lain yang diberikannya tentang bucket.

Untuk informasi tentang penggunaan Macie guna meninjau setelan enkripsi sisi server untuk bucket S3, lihat. Meninjau detail ember S3 Untuk informasi tentang mengaktifkan kembali AWS KMS key atau membatalkan penghapusan kunci yang dijadwalkan, lihat Mengaktifkan dan menonaktifkan kunci dan Menghapus kunci di Panduan Pengembang.AWS Key Management Service

Kesalahan ini biasanya terjadi karena objek S3 dienkripsi dengan kunci terkelola pelanggan AWS Key Management Service (AWS KMS) yang tidak diizinkan untuk digunakan oleh Macie. Jika objek dienkripsi dengan pelanggan yang dikelola AWS KMS key, kebijakan kunci harus mengizinkan Macie untuk mendekripsi data dengan menggunakan kunci.

Kesalahan ini juga dapat terjadi jika pengaturan izin Amazon S3 mencegah Macie mengambil objek S3. Kebijakan bucket untuk bucket S3 mungkin membatasi akses ke objek bucket tertentu atau hanya mengizinkan prinsipal tertentu (pengguna, akun, layanan, atau entitas lain) untuk mengakses objek. Atau daftar kontrol akses (ACL) untuk objek mungkin membatasi akses ke objek. Akibatnya, Macie mungkin tidak diizinkan untuk mengakses objek.

Untuk salah satu kasus sebelumnya, Macie tidak dapat mengambil dan menganalisis objek, dan status analisis untuk objek adalah Skipped (). SKIPPED

Untuk memperbaiki kesalahan ini, tentukan apakah objek S3 dienkripsi dengan pelanggan yang dikelola. AWS KMS key Jika ya, pastikan bahwa kebijakan kunci memungkinkan Macie service-linked role (AWSServiceRoleForAmazonMacie) untuk mendekripsi data dengan kunci. Bagaimana Anda mengizinkan akses ini tergantung pada apakah akun yang memiliki AWS KMS key juga memiliki bucket S3 yang menyimpan objek. Jika akun yang sama memiliki KMS kunci dan bucket, pengguna akun harus memperbarui kebijakan kunci. Jika satu akun memiliki KMS kunci dan akun lain memiliki bucket, pengguna akun yang memiliki kunci harus mengizinkan akses lintas akun ke kunci tersebut.

Jika Macie sudah diizinkan untuk menggunakan objek yang berlaku AWS KMS key atau objek S3 tidak dienkripsi dengan KMS kunci yang dikelola pelanggan, pastikan bahwa kebijakan bucket memungkinkan Macie mengakses objek. Juga memverifikasi bahwa objek ACL memungkinkan Macie untuk membaca data objek dan metadata.

Untuk kebijakan bucket, Anda dapat mengizinkan akses ini dengan menambahkan kondisi untuk peran terkait layanan Macie ke kebijakan. Kondisi tersebut harus mengecualikan peran terkait layanan Macie agar tidak cocok dengan Deny pembatasan dalam kebijakan. Hal ini dapat dilakukan dengan menggunakan kunci konteks kondisi aws:PrincipalArn global dan Amazon Resource Name (ARN) dari peran terkait layanan Macie untuk akun Anda.

Untuk objekACL, Anda dapat mengizinkan akses ini dengan bekerja dengan pemilik objek untuk menambahkan Anda Akun AWS sebagai penerima hibah dengan READ izin untuk objek. Macie kemudian dapat menggunakan peran terkait layanan untuk akun Anda untuk mengambil dan menganalisis objek. Pertimbangkan juga untuk mengubah pengaturan Kepemilikan Objek untuk bucket. Anda dapat menggunakan pengaturan ini ACLs untuk menonaktifkan semua objek di bucket dan memberikan izin kepemilikan ke akun yang memiliki bucket.

Jika Anda tidak memperbaiki kesalahan ini, Macie akan mencoba menganalisis objek lain di bucket S3. Jika Macie berhasil menganalisis objek lain, Macie akan memperbarui data cakupan dan informasi lain yang diberikannya tentang bucket.

Untuk informasi selengkapnya tentang mengizinkan Macie mendekripsi data dengan pelanggan yang dikelola AWS KMS key, lihat. Mengizinkan Macie menggunakan pelanggan yang dikelola AWS KMS key Untuk informasi tentang memperbarui kebijakan bucket S3 agar Macie dapat mengakses bucket, lihat. Mengizinkan Macie untuk mengakses bucket S3 dan objek

Untuk informasi tentang memperbarui kebijakan kunci, lihat Mengubah kebijakan kunci di Panduan AWS Key Management Service Pengembang. Untuk informasi tentang penggunaan pelanggan yang AWS KMS keys berhasil mengenkripsi objek S3, lihat Menggunakan enkripsi sisi server dengan kunci AWS KMS di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

Untuk informasi tentang penggunaan kebijakan bucket untuk mengontrol akses ke bucket S3, lihat Kontrol akses dan Cara Amazon S3 mengotorisasi permintaan di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon. Untuk informasi tentang penggunaan ACLs atau setelan Kepemilikan Objek untuk mengontrol akses ke objek S3, lihat Mengelola akses dengan ACLs dan Mengontrol kepemilikan objek dan menonaktifkan ACLs bucket Anda di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

Agar memenuhi syarat untuk seleksi dan analisis, objek S3 harus menggunakan kelas penyimpanan Amazon S3 yang didukung Macie. Objek juga harus memiliki ekstensi nama file untuk file atau format penyimpanan yang didukung Macie. Jika objek tidak memenuhi kriteria ini, objek diperlakukan sebagai objek yang tidak dapat diklasifikasikan. Macie tidak mencoba mengambil atau menganalisis data dalam objek yang tidak dapat diklasifikasikan.

Jika semua objek dalam bucket S3 adalah objek yang tidak dapat diklasifikasikan, keseluruhan bucket adalah bucket yang tidak dapat diklasifikasikan. Macie tidak dapat melakukan penemuan data sensitif otomatis untuk bucket.

Untuk mengatasi masalah ini, tinjau aturan konfigurasi siklus hidup dan setelan lain yang menentukan kelas penyimpanan mana yang digunakan untuk menyimpan objek di bucket S3. Pertimbangkan untuk menyesuaikan pengaturan tersebut untuk menggunakan kelas penyimpanan yang didukung Macie. Anda juga dapat mengubah kelas penyimpanan objek yang ada di bucket.

Juga menilai file dan format penyimpanan objek yang ada di bucket S3. Untuk menganalisis objek, pertimbangkan untuk mem-porting data, baik sementara atau permanen, ke objek baru yang menggunakan format yang didukung.

Jika objek ditambahkan ke bucket S3 dan mereka menggunakan kelas dan format penyimpanan yang didukung, Macie akan mendeteksi objek saat berikutnya mengevaluasi inventaris bucket Anda. Ketika ini terjadi, Macie akan berhenti melaporkan bahwa bucket tidak dapat diklasifikasikan dalam statistik, data cakupan, dan informasi lain yang diberikannya tentang data Amazon S3 Anda. Selain itu, objek baru akan menjadi prioritas yang lebih tinggi untuk analisis selama siklus analisis berikutnya.

Untuk informasi tentang kelas penyimpanan Amazon S3 serta format file dan penyimpanan yang didukung Macie, lihat. Kelas dan format penyimpanan yang didukung Untuk informasi tentang aturan konfigurasi siklus hidup dan opsi kelas penyimpanan yang disediakan Amazon S3, lihat Mengelola siklus hidup penyimpanan Anda dan Menggunakan kelas penyimpanan Amazon S3 di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.