Risolvere i problemi di copertura per l'individuazione automatica dei dati sensibili

La causa più comune di questo tipo di problema è una policy restrittiva sui bucket. Una bucket policy è una policy basata sulle risorse AWS Identity and Access Management (IAM) che specifica quali azioni un principale (utente, account, servizio o altra entità) può eseguire su un bucket S3 e le condizioni in base alle quali un principale può eseguire tali azioni. Una policy bucket restrittiva utilizza Deny dichiarazioni Allow o dichiarazioni esplicite che concedono o limitano l'accesso ai dati di un bucket in base a condizioni specifiche. Ad esempio, una policy bucket potrebbe contenere un'Denyistruzione Allow or che nega l'accesso a un bucket a meno che non vengano utilizzati indirizzi IP di origine specifici per accedere al bucket.

Se la policy del bucket per un bucket S3 contiene un'Denyistruzione esplicita con una o più condizioni, a Macie potrebbe non essere consentito di recuperare e analizzare gli oggetti del bucket per rilevare dati sensibili. Macie può fornire solo un sottoinsieme di informazioni sul bucket, come il nome e la data di creazione del bucket.

Per risolvere questo problema, aggiorna la policy del bucket S3. Assicurati che la policy consenta a Macie di accedere al bucket e agli oggetti del bucket. Per consentire questo accesso, aggiungi una condizione per il ruolo collegato al servizio Macie () alla policy. AWSServiceRoleForAmazonMacie La condizione dovrebbe escludere che il ruolo collegato al servizio Macie corrisponda alla restrizione della policy. Deny Può farlo utilizzando la chiave di contesto della condizione aws:PrincipalArn globale e l'Amazon Resource Name (ARN) del ruolo collegato al servizio Macie per il tuo account.

Se aggiorni la policy sui bucket e Macie ottiene l'accesso al bucket S3, Macie rileverà la modifica. Quando ciò accade, Macie aggiornerà le statistiche, i dati di inventario e altre informazioni che fornisce sui dati di Amazon S3. Inoltre, gli oggetti del bucket avranno una priorità più elevata per l'analisi durante un ciclo di analisi successivo.

Per ulteriori informazioni sull'aggiornamento di una policy sui bucket S3 per consentire a Macie di accedere a un bucket, consulta. Consentire a Macie di accedere a bucket e oggetti S3 Per informazioni sull'utilizzo delle policy dei bucket per controllare l'accesso ai bucket, consulta le politiche dei bucket e il modo in cui Amazon S3 autorizza una richiesta nella Guida per l'utente di Amazon Simple Storage Service.

Questo errore si verifica in genere perché un oggetto S3 è un file malformato o danneggiato. Di conseguenza, Macie non può analizzare e analizzare tutti i dati del file.

Questo errore può verificarsi anche se l'analisi di un oggetto S3 supera la quota di rilevamento di dati sensibili per un singolo file. Ad esempio, la dimensione di archiviazione dell'oggetto supera la quota di dimensione per quel tipo di file.

In entrambi i casi, Macie non può completare l'analisi dell'oggetto S3 e lo stato dell'analisi dell'oggetto è Skipped (). SKIPPED

Per indagare su questo errore, scaricate l'oggetto S3 e controllate la formattazione e il contenuto del file. Valuta anche il contenuto del file rispetto alle quote di Macie per l'individuazione di dati sensibili.

Se non correggi questo errore, Macie proverà ad analizzare altri oggetti nel bucket S3. Se Macie analizza correttamente un altro oggetto, Macie aggiornerà i dati di copertura e le altre informazioni che fornisce sul bucket.

Per un elenco delle quote di rilevamento dei dati sensibili, incluse le quote per determinati tipi di file, vedere. Quote per Macie Per informazioni su come Macie aggiorna i punteggi di sensibilità e altre informazioni che fornisce sui bucket S3, consulta. Come funziona l'individuazione automatica dei dati sensibili

Amazon S3 supporta diverse opzioni di crittografia per oggetti S3. Per la maggior parte di queste opzioni, Macie può decrittografare un oggetto utilizzando il ruolo collegato al servizio Macie per il tuo account. Tuttavia, ciò dipende dal tipo di crittografia utilizzato.

Affinché Macie possa decrittografare un oggetto S3, l'oggetto deve essere crittografato con una chiave a cui Macie possa accedere e che possa usare. Se un oggetto è crittografato con una chiave fornita dal cliente, Macie non può fornire il materiale chiave necessario per recuperare l'oggetto da Amazon S3. Di conseguenza, Macie non è in grado di analizzare l'oggetto e lo stato dell'analisi dell'oggetto è Skipped (). SKIPPED

Per correggere questo errore, crittografa gli oggetti S3 con chiavi gestite o chiavi () di Amazon S3. AWS Key Management Service AWS KMS Se preferisci utilizzare AWS KMS le chiavi, le chiavi possono essere chiavi gestite o KMS chiavi AWS gestite dal cliente che Macie può utilizzare. KMS

Per crittografare gli oggetti S3 esistenti con chiavi accessibili e utilizzabili da Macie, puoi modificare le impostazioni di crittografia degli oggetti. Per crittografare nuovi oggetti con chiavi accessibili e utilizzabili da Macie, modifica le impostazioni di crittografia predefinite per il bucket S3. Assicurati inoltre che la politica del bucket non richieda la crittografia di nuovi oggetti con una chiave fornita dal cliente.

Se non correggi questo errore, Macie proverà ad analizzare altri oggetti nel bucket S3. Se Macie analizza correttamente un altro oggetto, Macie aggiornerà i dati di copertura e le altre informazioni che fornisce sul bucket.

Per informazioni sui requisiti e sulle opzioni per l'utilizzo di Macie per analizzare oggetti S3 crittografati, consulta. Analisi di oggetti Amazon S3 crittografati Per informazioni sulle opzioni e le impostazioni di crittografia per i bucket S3, consulta Protezione dei dati con crittografia e Impostazione del comportamento predefinito di crittografia lato server per i bucket S3 nella Guida per l'utente di Amazon Simple Storage Service.

AWS KMS offre opzioni per disabilitare ed eliminare Customer Managed. AWS KMS keys Se un oggetto S3 è crittografato con una KMS chiave disabilitata, di cui è prevista l'eliminazione o è stata eliminata, Macie non può recuperare e decrittografare l'oggetto. Di conseguenza, Macie non può analizzare l'oggetto e lo stato dell'analisi dell'oggetto è Skipped (). SKIPPED Affinché Macie analizzi un oggetto crittografato, l'oggetto deve essere crittografato con una chiave a cui Macie possa accedere e che possa usare.

Per correggere questo errore, riattiva la chiave applicabile AWS KMS key o annulla l'eliminazione pianificata della chiave, a seconda dello stato corrente della chiave. Se la chiave applicabile è già stata eliminata, questo errore non può essere corretto.

Per determinare quale oggetto AWS KMS key è stato utilizzato per crittografare un oggetto S3, puoi iniziare utilizzando Macie per rivedere le impostazioni di crittografia lato server per il bucket S3. Se le impostazioni di crittografia predefinite per il bucket sono configurate per utilizzare una KMS chiave, i dettagli del bucket indicano quale chiave viene utilizzata. È quindi possibile controllare lo stato di quella chiave. In alternativa, puoi utilizzare Amazon S3 per rivedere le impostazioni di crittografia per il bucket e i singoli oggetti nel bucket.

Se non correggi questo errore, Macie proverà ad analizzare altri oggetti nel bucket S3. Se Macie analizza correttamente un altro oggetto, Macie aggiornerà i dati di copertura e le altre informazioni che fornisce sul bucket.

Per informazioni sull'utilizzo di Macie per rivedere le impostazioni di crittografia lato server per un bucket S3, consulta. Analisi dei dettagli dei bucket S3 Per informazioni sulla riattivazione AWS KMS key o sull'annullamento dell'eliminazione pianificata di una chiave, consulta Abilitazione e disabilitazione delle chiavi e Eliminazione delle chiavi nella Guida per gli sviluppatori.AWS Key Management Service

Questo errore si verifica in genere perché un oggetto S3 è crittografato con una chiave gestita dal cliente AWS Key Management Service (AWS KMS) che Macie non può utilizzare. Se un oggetto è crittografato con una soluzione gestita dal cliente AWS KMS key, la policy della chiave deve consentire a Macie di decrittografare i dati utilizzando la chiave.

Questo errore può verificarsi anche se le impostazioni delle autorizzazioni di Amazon S3 impediscono a Macie di recuperare un oggetto S3. La policy del bucket per il bucket S3 potrebbe limitare l'accesso a oggetti bucket specifici o consentire solo a determinati soggetti (utenti, account, servizi o altre entità) di accedere agli oggetti. Oppure la lista di controllo degli accessi (ACL) per un oggetto potrebbe limitare l'accesso all'oggetto. Di conseguenza, a Macie potrebbe non essere consentito di accedere all'oggetto.

In nessuno dei casi precedenti, Macie non è in grado di recuperare e analizzare l'oggetto e lo stato dell'analisi dell'oggetto è Ignorato (). SKIPPED

Per correggere questo errore, stabilisci se l'oggetto S3 è crittografato con un servizio gestito dal cliente. AWS KMS key In caso affermativo, assicurati che la politica della chiave consenta al ruolo collegato al servizio Macie (AWSServiceRoleForAmazonMacie) di decrittografare i dati con la chiave. Il modo in cui consenti questo accesso dipende dal fatto che l'account proprietario possieda AWS KMS key anche il bucket S3 che memorizza l'oggetto. Se lo stesso account possiede la KMS chiave e il bucket, un utente dell'account deve aggiornare la politica della chiave. Se un account possiede la KMS chiave e un altro account possiede il bucket, un utente dell'account che possiede la chiave deve consentire l'accesso alla chiave da più account.

Se Macie è già autorizzato a utilizzare l'oggetto applicabile AWS KMS key o se l'oggetto S3 non è crittografato con una KMS chiave gestita dal cliente, assicurati che la politica del bucket consenta a Macie di accedere all'oggetto. Verifica inoltre che l'oggetto ACL consenta a Macie di leggere i dati e i metadati dell'oggetto.

Per quanto riguarda la policy bucket, puoi consentire questo accesso aggiungendo una condizione per il ruolo collegato al servizio Macie alla policy. La condizione dovrebbe escludere che il ruolo collegato al servizio Macie corrisponda alla restrizione della policy. Deny Può farlo utilizzando la chiave di contesto della condizione aws:PrincipalArn globale e l'Amazon Resource Name (ARN) del ruolo collegato al servizio Macie per il tuo account.

Per quanto riguarda l'oggettoACL, puoi consentire questo accesso collaborando con il proprietario dell'oggetto per aggiungerlo Account AWS come beneficiario con READ le autorizzazioni per l'oggetto. Macie può quindi utilizzare il ruolo collegato al servizio per il tuo account per recuperare e analizzare l'oggetto. Valuta anche la possibilità di modificare le impostazioni di proprietà dell'oggetto per il bucket. È possibile utilizzare queste impostazioni ACLs per disabilitare tutti gli oggetti nel bucket e concedere le autorizzazioni di proprietà all'account proprietario del bucket.

Se non correggi questo errore, Macie proverà ad analizzare altri oggetti nel bucket S3. Se Macie analizza correttamente un altro oggetto, Macie aggiornerà i dati di copertura e le altre informazioni che fornisce sul bucket.

Per ulteriori informazioni su come consentire a Macie di decrittografare i dati con un servizio gestito AWS KMS key dal cliente, consulta. Consentire a Macie di utilizzare un servizio gestito dal cliente AWS KMS key Per informazioni sull'aggiornamento di una policy relativa ai bucket S3 per consentire a Macie di accedere a un bucket, consulta. Consentire a Macie di accedere a bucket e oggetti S3

Per informazioni sull'aggiornamento di una policy chiave, consulta Changing a key policy nella Developer Guide.AWS Key Management Service Per informazioni sull'utilizzo di oggetti S3 gestiti AWS KMS keys dal cliente, consulta Using server-side encryption with keys AWS KMS nella Amazon Simple Storage Service User Guide.

Per informazioni sull'utilizzo delle policy dei bucket per controllare l'accesso ai bucket S3, consulta Gestione degli accessi e Come Amazon S3 autorizza una richiesta nella Guida per l'utente di Amazon Simple Storage Service. Per informazioni sull'utilizzo ACLs delle impostazioni di proprietà degli oggetti per controllare l'accesso agli oggetti S3, consulta Gestione dell'accesso ACLs e controllo della proprietà degli oggetti e disattivazione del bucket nella ACLs Guida per l'utente di Amazon Simple Storage Service.

Per essere idoneo alla selezione e all'analisi, un oggetto S3 deve utilizzare una classe di storage Amazon S3 supportata da Macie. L'oggetto deve inoltre avere un'estensione del nome di file per un formato di file o di archiviazione supportato da Macie. Se un oggetto non soddisfa questi criteri, viene trattato come un oggetto inclassificabile. Macie non tenta di recuperare o analizzare dati in oggetti inclassificabili.

Se tutti gli oggetti in un bucket S3 sono oggetti inclassificabili, l'intero bucket è un bucket inclassificabile. Macie non può eseguire il rilevamento automatico dei dati sensibili per il bucket.

Per risolvere questo problema, esamina le regole di configurazione del ciclo di vita e altre impostazioni che determinano quali classi di storage vengono utilizzate per archiviare gli oggetti nel bucket S3. Valuta la possibilità di modificare queste impostazioni per utilizzare le classi di archiviazione supportate da Macie. Puoi anche modificare la classe di archiviazione degli oggetti esistenti nel bucket.

Valuta anche i formati di file e di archiviazione degli oggetti esistenti nel bucket S3. Per analizzare gli oggetti, prendi in considerazione la possibilità di trasferire i dati, temporaneamente o permanentemente, su nuovi oggetti che utilizzano un formato supportato.

Se gli oggetti vengono aggiunti al bucket S3 e utilizzano una classe e un formato di archiviazione supportati, Macie rileverà gli oggetti la prossima volta che valuterà l'inventario dei bucket. Quando ciò accade, Macie smetterà di segnalare che il bucket non è classificabile nelle statistiche, nei dati di copertura e in altre informazioni che fornisce sui dati di Amazon S3. Inoltre, i nuovi oggetti avranno una priorità più elevata per l'analisi durante un ciclo di analisi successivo.

Per informazioni sulle classi di storage di Amazon S3 e sui formati di file e storage supportati da Macie, consulta. Classi e formati di storage supportati Per informazioni sulle regole di configurazione del ciclo di vita e sulle opzioni delle classi di storage offerte da Amazon S3, consulta Managing your storage lifecycle e Using Amazon S3 Storage Classes nella Amazon Simple Storage Service User Guide.