Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menilai postur keamanan Amazon S3 Anda dengan Macie
Untuk menilai keseluruhan postur keamanan data Amazon Simple Storage Service (Amazon S3) Anda dan menentukan lokasi untuk mengambil tindakan, Anda dapat menggunakan opsi dasbor Ringkasan pada konsol Amazon Macie.
Dasbor Ringkasan menyediakan snapshot statistik agregat untuk data Amazon S3 Anda saat ini. Wilayah AWS Statistik mencakup data untuk metrik keamanan utama seperti jumlah bucket tujuan umum yang dapat diakses publik atau dibagikan dengan orang lain. Akun AWS Dasbor juga menampilkan kelompok data temuan gabungan untuk akun Anda—misalnya, tipe temuan yang memiliki jumlah kejadian tertinggi selama tujuh hari sebelumnya. Jika Anda administrator Macie untuk suatu organisasi, dasbor menyediakan statistik dan data gabungan untuk semua akun di organisasi Anda. Anda dapat secara opsional memfilter data berdasarkan akun.
Untuk melakukan analisis yang lebih dalam, Anda dapat menelusuri dan meninjau data pendukung untuk masing-masing item di dasbor. Anda juga dapat meninjau dan menganalisis inventaris bucket S3 Anda dengan menggunakan konsol Amazon Macie, atau menanyakan dan menganalisis data inventaris secara terprogram dengan menggunakan DescribeBucketspengoperasian Amazon Macie. API
Menampilkan dasbor Ringkasan
Di konsol Amazon Macie, dasbor Ringkasan menyediakan snapshot statistik agregat dan data temuan untuk data Amazon S3 Anda saat ini. Wilayah AWS Jika Anda lebih suka menanyakan statistik secara terprogram, Anda dapat menggunakan GetBucketStatisticspengoperasian Amazon Macie. API
Untuk menampilkan dasbor Ringkasan
Buka konsol Amazon Macie di. https://console.aws.amazon.com/macie/
-
Di panel navigasi, pilih Ringkasan. Macie menampilkan dasbor Ringkasan.
-
Untuk menentukan kapan Macie baru-baru ini mengambil bucket atau metadata objek dari Amazon S3 untuk akun Anda, lihat bidang Terakhir diperbarui di bagian atas dasbor. Untuk informasi selengkapnya, lihat Penyegaran data.
-
Untuk menelusuri dan meninjau data pendukung untuk item di dasbor, pilih item tersebut.
Jika Anda adalah administrator Macie untuk organisasi, dasbor menampilkan statistik dan data agregat untuk akun dan akun anggota di organisasi Anda. Untuk mem-filter dasbor dan menampilkan data hanya untuk akun tertentu, masukkan ID akun di kotak Akun di atas dasbor.
Memahami komponen dasbor Ringkasan
Di dasbor Ringkasan, statistik dan data disusun menjadi beberapa bagian. Di bagian atas dasbor, Anda akan menemukan statistik agregat yang menunjukkan berapa banyak data yang Anda simpan di Amazon S3, dan berapa banyak data yang dapat dianalisis Amazon Macie untuk mendeteksi data sensitif. Anda juga dapat merujuk ke bidang Terakhir diperbarui untuk menentukan kapan Macie baru-baru ini mengambil bucket atau metadata objek dari Amazon S3 untuk akun Anda. Bagian tambahan menyediakan statistik dan data temuan terbaru yang dapat membantu Anda menilai keamanan, privasi, dan sensitivitas data Amazon S3 Anda saat ini. Wilayah AWS
Statistik dan data diatur ke dalam bagian-bagian berikut:
Penyimpanan dan penemuan data sensitif | Masalah penemuan dan cakupan otomatis | Keamanan data | Bucket S3 teratas | Jenis temuan teratas | Temuan kebijakan
Saat Anda meninjau setiap bagian, secara opsional pilih item untuk ditelusuri dan tinjau data pendukung. Perhatikan juga bahwa dasbor tidak menyertakan data untuk bucket direktori S3, hanya bucket tujuan umum. Macie tidak memantau atau menganalisis bucket direktori.
- Penyimpanan dan penemuan data sensitif
-
Di bagian atas dasbor, statistik menunjukkan berapa banyak data yang Anda simpan di Amazon S3, dan berapa banyak data yang dapat dianalisis Macie untuk mendeteksi data sensitif. Gambar berikut menunjukkan contoh statistik ini untuk organisasi dengan tujuh akun Macie.
Statistik individu dalam bagian ini adalah:
-
Total akun — Bidang ini muncul jika Anda adalah administrator Macie untuk organisasi atau Anda memiliki akun Macie mandiri. Ini menunjukkan jumlah total ember Akun AWS itu sendiri dalam inventaris ember Anda. Jika Anda seorang administrator Macie, ini adalah jumlah total akun Macie yang Anda kelola untuk organisasi Anda. Jika Anda memiliki akun Macie mandiri, nilai ini adalah 1.
Total bucket S3 — Bidang ini muncul jika Anda memiliki akun anggota di organisasi. Ini menunjukkan jumlah total ember tujuan umum dalam inventaris Anda, termasuk ember yang tidak menyimpan objek apa pun.
-
Penyimpanan — Statistik ini memberikan informasi tentang ukuran penyimpanan objek dalam inventaris bucket Anda:
-
Dapat Diklasifikasikan — Ukuran total penyimpanan dari semua objek yang dapat dianalisis oleh Macie di dalam bucket.
-
Total — Ukuran total penyimpanan semua objek dalam bucket, termasuk objek yang tidak dapat dianalisis oleh Macie.
Jika salah satu objek adalah file kompresi, nilai-nilai ini tidak mencerminkan ukuran asli dari file-file tersebut setelah mereka diekstrak. Jika versioning diaktifkan untuk salah satu bucket, nilai-nilai ini didasarkan pada ukuran penyimpanan versi terbaru dari setiap objek dalam bucket tersebut.
-
-
Objek — Statistik ini memberikan informasi tentang jumlah objek dalam inventaris bucket Anda:
-
Dapat Diklasifikasikan — Jumlah total dari objek yang dapat dianalisis oleh Macie di dalam bucket.
-
Total — Jumlah toal dari objek di dalam bucket, termasuk objek yang tidak dapat dianalisis oleh Macie.
-
Dalam statistik sebelumnya, data dan objek dapat diklasifikasikan jika mereka menggunakan kelas penyimpanan Amazon S3 yang didukung dan mereka memiliki ekstensi nama file untuk file atau format penyimpanan yang didukung. Anda dapat mendeteksi data sensitif dalam objek dengan menggunakan Macie. Untuk informasi selengkapnya, lihat Kelas dan format penyimpanan yang didukung.
Perhatikan bahwa statistik Penyimpanan dan Objek tidak menyertakan data tentang objek dalam bucket yang tidak diizinkan diakses oleh Macie. Misalnya, objek dalam bucket yang memiliki kebijakan bucket terbatas. Untuk mengidentifikasi bucket di mana hal ini terjadi, Anda dapat meninjau inventaris bucket Anda dengan menggunakan tabel bucket S3. Jika ikon peringatan ( ) muncul di sebelah nama bucket, Macie tidak diizinkan mengakses bucket.
-
- Masalah penemuan dan cakupan otomatis
-
Jika penemuan data sensitif otomatis diaktifkan, bagian ini muncul di dasbor. Mereka menangkap status dan hasil aktivitas penemuan data sensitif otomatis yang telah dilakukan Macie sejauh ini untuk data Amazon S3 Anda. Gambar berikut menunjukkan contoh statistik yang disediakan bagian ini.
Untuk detail tentang statistik ini, lihatMeninjau statistik sensitivitas data di dasbor Ringkasan.
- Keamanan data
-
Bagian ini memberikan statistik yang menunjukkan potensi risiko keamanan dan privasi untuk data Amazon S3 Anda. Gambar berikut menunjukkan contoh statistik di bagian ini.
Untuk detail tentang statistik ini, lihatMemahami statistik keamanan data di dasbor Ringkasan.
- Bucket S3 teratas
-
Bagian ini mencantumkan ember S3 yang menghasilkan temuan terbanyak dari jenis apa pun selama tujuh hari sebelumnya, sebanyak lima ember. Hal ini juga menunjukkan jumlah temuan yang dibuat oleh Macie untuk setiap bucket. Gambar berikut menunjukkan contoh data yang disediakan bagian ini.
Untuk menampilkan dan secara opsional menelusuri semua temuan untuk bucket selama tujuh hari sebelumnya, pilih nilai dalam bidang Total temuan. Untuk menampilkan semua temuan terkini untuk semua bucket, dikelompokkan menurut bucket, pilih Melihat semua temuan berdasarkan bucket.
Bagian ini kosong jika Macie tidak membuat temuan apa pun selama tujuh hari ke belakang. Atau semua temuan yang dibuat selama tujuh hari sebelumnya ditekan oleh aturan penindasan.
- Jenis temuan teratas
-
Bagian ini berisi daftar tipe temuan yang memiliki jumlah kejadian tertinggi selama tujuh hari sebelumnya, sebanyak lima tipe temuan. Hal ini juga menunjukkan jumlah temuan yang dibuat oleh Macie untuk setiap tipe. Gambar berikut menunjukkan contoh data yang disediakan bagian ini.
Untuk menampilkan dan secara opsional menelusuri semua temuan dari tipe tertentu selama tujuh hari sebelumnya, pilih nilai dalam bidang Total temuan. Untuk menampilkan semua temuan saat ini, dikelompokkan berdasarkan tipe temuan, pilih Melihat semua temuan berdasarkan tipe.
Bagian ini kosong jika Macie tidak membuat temuan apa pun selama tujuh hari ke belakang. Atau semua temuan yang dibuat selama tujuh hari sebelumnya ditekan oleh aturan penindasan.
- Temuan kebijakan
-
Bagian ini berisi daftar temuan kebijakan yang baru-baru ini dibuat atau diperbarui oleh Macie, sebanyak sepuluh temuan. Gambar berikut menunjukkan contoh data yang disediakan bagian ini.
Untuk menampilkan detail temuan tertentu, pilih temuan.
Bagian ini kosong jika Macie tidak membuat ataupun memperbarui kebijakan temuan apa pun selama tujuh hari ke belakang. Atau semua temuan kebijakan yang dibuat atau diperbarui selama tujuh hari sebelumnya ditekan oleh aturan penindasan.
Memahami statistik keamanan data di dasbor Ringkasan
Bagian keamanan data pada dasbor Ringkasan menyediakan statistik yang dapat membantu Anda mengidentifikasi dan menyelidiki potensi risiko keamanan dan privasi untuk data Amazon S3 Anda saat ini. Wilayah AWS Misalnya, Anda dapat menggunakan data ini untuk mengidentifikasi bucket tujuan umum yang dapat diakses publik atau dibagikan dengan orang lain. Akun AWS
Jika penemuan data sensitif otomatis dinonaktifkan untuk akun Anda, penyimpanan dan statistik penemuan data sensitif di bagian atas bagian ini menunjukkan berapa banyak data yang Anda simpan di Amazon S3, dan berapa banyak data yang dapat dianalisis Amazon Macie untuk mendeteksi data sensitif. Statistik tambahan disusun menjadi tiga area, seperti yang ditunjukkan pada gambar berikut.
Saat Anda meninjau setiap area, secara opsional pilih item untuk ditelusuri dan tinjau data pendukung. Perhatikan juga bahwa statistik tidak menyertakan data untuk bucket direktori S3, hanya bucket tujuan umum. Macie tidak memantau atau menganalisis bucket direktori.
Statistik individu di setiap area adalah sebagai berikut.
- Akses publik
-
Statistik ini menunjukkan berapa banyak bucket S3 yang atau tidak dapat diakses publik:
-
Dapat diakses publik — Jumlah dan persentase bucket yang mengizinkan masyarakat umum untuk mendapat akses membaca atau menulis ke bucket.
-
Dapat ditulis oleh publik — Jumlah dan persentase bucket yang mengizinkan masyarakat umum untuk mendapat akses menulis ke bucket.
-
Dapat dibaca oleh publik — Jumlah dan persentase bucket yang mengizinkan masyarakat umum untuk mendapat akses membaca ke bucket.
-
Tidak dapat diakses publik — Jumlah dan persentase bucket yang tidak mengizinkan masyarakat umum untuk mendapat akses membaca atau menulis ke bucket.
Untuk menghitung setiap persentase, Macie membagi jumlah bucket yang sesuai dengan jumlah total bucket dalam inventaris bucket Anda.
Untuk menentukan nilai di area ini, Macie menganalisis kombinasi pengaturan tingkat akun dan ember untuk setiap bucket: pengaturan blokir akses publik untuk akun; pengaturan blokir akses publik untuk bucket; kebijakan bucket untuk bucket; dan, daftar kontrol akses () untuk bucket. ACL Untuk informasi tentang setelan ini, lihat Manajemen akses dan Memblokir akses publik ke penyimpanan Amazon S3 Anda di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.
Dalam kasus tertentu, area akses Publik juga menampilkan nilai untuk Unknown. Jika nilai ini muncul, Macie tidak dapat mengevaluasi pengaturan akses publik untuk jumlah dan persentase bucket yang telah ditentukan. Misalnya, masalah sementara atau pengaturan izin ember mencegah Macie mengambil data yang diperlukan. Atau Macie tidak dapat sepenuhnya menentukan apakah satu atau beberapa pernyataan kebijakan mengizinkan entitas eksternal untuk mengakses bucket.
-
- Enkripsi
-
Statistik ini menunjukkan berapa banyak bucket S3 yang dikonfigurasi untuk menerapkan jenis enkripsi sisi server tertentu ke objek yang ditambahkan ke bucket:
-
Enkripsi secara default — SSE -S3 — Jumlah dan persentase bucket yang pengaturan enkripsi defaultnya dikonfigurasi untuk mengenkripsi objek baru dengan kunci terkelola Amazon S3. Untuk bucket ini, objek baru dienkripsi secara otomatis menggunakan SSE enkripsi -S3.
-
Enkripsi secara default — DSSE -KMS/SSE- KMS — Jumlah dan persentase bucket yang pengaturan enkripsi defaultnya dikonfigurasi untuk mengenkripsi objek baru dengan AWS KMS key, baik kunci yang dikelola pelanggan Kunci yang dikelola AWS atau pelanggan. Untuk ember ini, objek baru dienkripsi secara otomatis menggunakan DSSE - KMS atau SSE - enkripsi. KMS
Untuk menghitung setiap persentase, Macie membagi jumlah bucket yang sesuai dengan jumlah total bucket dalam inventaris bucket Anda.
Untuk menentukan nilai di area ini, Macie menganalisis pengaturan enkripsi default untuk setiap bucket. Mulai 5 Januari 2023, Amazon S3 secara otomatis menerapkan enkripsi sisi server dengan SSE kunci terkelola Amazon S3 (-S3) sebagai tingkat dasar enkripsi untuk objek yang ditambahkan ke bucket. Anda dapat mengonfigurasi pengaturan enkripsi default bucket secara opsional untuk menggunakan enkripsi sisi server dengan enkripsi sisi server AWS KMS kunci (SSE-KMS) atau dual-layer dengan kunci (-). AWS KMS DSSE KMS Untuk informasi tentang setelan dan opsi enkripsi default, lihat Menyetel perilaku enkripsi sisi server default untuk bucket S3 di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.
Dalam kasus tertentu, area Enkripsi juga menampilkan nilai untuk Unknown. Jika nilai ini muncul, Macie tidak dapat mengevaluasi pengaturan enkripsi default untuk jumlah dan persentase bucket yang ditentukan. Misalnya, masalah sementara atau pengaturan izin ember mencegah Macie mengambil data yang diperlukan.
-
- Berbagi
-
Statistik ini menunjukkan berapa banyak bucket S3 yang dibagikan atau tidak dibagikan dengan yang lain, identitas akses CloudFront asal Akun AWS Amazon (OAIs), atau kontrol akses CloudFront asal (): OACs
-
Dibagikan di luar — Jumlah dan persentase bucket yang dibagikan dengan satu atau beberapa hal berikut atau kombinasi berikut ini: a CloudFront OAI, a CloudFrontOAC, atau akun yang tidak berada dalam organisasi yang sama.
-
Dibagikan di dalam — Jumlah dan persentase bucket yang dibagikan dengan satu atau beberapa akun di organisasi yang sama. Ember ini tidak dibagikan dengan CloudFront OAIs atauOACs.
-
Tidak dibagikan — Jumlah dan persentase bucket yang tidak dibagikan dengan akun lain, CloudFront OAIs, atau CloudFront OACs.
Untuk menghitung setiap persentase, Macie membagi jumlah bucket yang sesuai dengan jumlah total bucket dalam inventaris bucket Anda.
Untuk menentukan apakah bucket dibagikan dengan yang lain Akun AWS, Macie menganalisis kebijakan bucket dan ACL untuk setiap bucket. Selain itu, organisasi didefinisikan sebagai satu set akun Macie yang dikelola secara terpusat sebagai sekelompok akun terkait melalui AWS Organizations atau oleh undangan Macie. Untuk informasi tentang opsi Amazon S3 untuk berbagi bucket, lihat Manajemen akses di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.
catatan
Dalam kasus tertentu, Macie mungkin salah melaporkan bahwa ember dibagikan dengan Akun AWS yang tidak berada di organisasi yang sama. Hal ini dapat terjadi jika Macie tidak dapat sepenuhnya mengevaluasi hubungan antara
Principal
elemen dalam kebijakan bucket dan kunci konteks kondisi AWS global tertentu atau kunci kondisi Amazon S3 dalamCondition
elemen kebijakan. Kunci kondisi yang berlaku adalah:aws:PrincipalAccount
,aws:PrincipalArn
,aws:PrincipalOrgID
,aws:PrincipalOrgPaths
,,aws:PrincipalTag
,aws:PrincipalType
,aws:SourceAccount
,aws:SourceArn
,aws:SourceIp
,aws:SourceVpc
,aws:SourceVpce
,aws:userid
,s3:DataAccessPointAccount
, dans3:DataAccessPointArn
.Untuk menentukan apakah hal ini terjadi pada bucket individual, pilih statistik dibagikan di luar pada dasbor. Pada tabel yang muncul, perhatikan nama setiap ember. Kemudian gunakan Amazon S3 untuk meninjau kebijakan setiap bucket dan menentukan apakah setelan akses bersama dimaksudkan dan aman.
Untuk menentukan apakah bucket dibagikan dengan CloudFront OAIs atauOACs, Macie menganalisis kebijakan bucket untuk setiap bucket. A CloudFront OAI atau OAC memungkinkan pengguna untuk mengakses objek bucket melalui satu atau CloudFront beberapa distribusi tertentu. Untuk informasi tentang CloudFront OAIs danOACs, lihat Membatasi akses ke asal Amazon S3 di Panduan Pengembang CloudFront Amazon.
Dalam kasus tertentu, area Berbagi juga menampilkan nilai untuk Tidak Diketahui. Jika nilai ini muncul, Macie tidak dapat menentukan apakah jumlah dan persentase bucket yang ditentukan dibagikan dengan akun lain, CloudFront OAIs, atau. CloudFront OACs Misalnya, masalah sementara atau pengaturan izin ember mencegah Macie mengambil data yang diperlukan. Atau Macie tidak dapat sepenuhnya mengevaluasi kebijakan ember atau. ACLs
-