Corrigindo problemas de cobertura para descoberta automatizada de dados confidenciais

A causa mais comum desse tipo de problema é uma política restritiva de bucket. Uma política de bucket é uma política baseada em recursos AWS Identity and Access Management (IAM) que especifica quais ações um principal (usuário, conta, serviço ou outra entidade) pode realizar em um bucket do S3 e as condições sob as quais um principal pode realizar essas ações. Uma política restritiva de bucket usa Allow explícitas ou declarações Deny que concedem ou restringem o acesso aos dados de um bucket com base em condições específicas. Por exemplo, uma política de buckets pode conter uma declaração Allow ou Deny que nega acesso a um bucket, a menos que endereços IP de origem específicos sejam usados para acessar o bucket.

Se a política de buckets para um bucket do S3 contiver uma declaração Deny explícita com uma ou mais condições, o Macie pode não ter permissão para recuperar e analisar os objetos do bucket para detectar dados confidenciais. O Macie pode fornecer somente um subconjunto de informações sobre o bucket, como o nome e a data de criação do bucket.

Para corrigir esse problema, atualize a política de bucket para o bucket S3. Certifique-se de que a política permita que o Macie acesse o bucket e os objetos do bucket. Para permitir esse acesso, adicione uma condição para a função vinculada ao serviço do Macie (AWSServiceRoleForAmazonMacie) à política. A condição deve impedir que a função vinculada ao serviço do Macie corresponda à restrição Deny na política. Ele pode fazer isso usando a chave de contexto de condição aws:PrincipalArn global e o Amazon Resource Name (ARN) da função vinculada ao serviço Macie para sua conta.

Se você atualizar a política do bucket e o Macie obtiver acesso ao bucket do S3, o Macie detectará a alteração. Quando isso ocorre, o Macie atualizará estatísticas, dados de inventário e outras informações que fornece sobre seus dados Amazon S3. Além disso, os objetos do bucket terão maior prioridade para análise durante um ciclo de análise subsequente.

Para obter mais informações sobre a atualização de uma política de bucket do S3 para permitir que o Macie acesse um bucket, consulte Permitindo que o Amazon Macie acesse buckets e objetos do S3. Para obter informações sobre o uso de políticas de bucket para controlar o acesso a buckets, consulte Políticas de bucket e Como o Amazon S3 autoriza uma solicitação no Guia do usuário do Amazon Simple Storage Service.

Esse erro geralmente ocorre porque um objeto do S3 é um arquivo malformado ou corrompido. Consequentemente, o Macie não consegue analisar todos os dados no arquivo.

Esse erro também pode ocorrer se a análise de um objeto do S3 exceder uma cota de descoberta de dados confidenciais para um arquivo individual. Por exemplo, o tamanho de armazenamento do objeto excede a cota de tamanho desse tipo de arquivo.

Em ambos os casos, o Macie não consegue concluir a análise do objeto S3 e o status da análise do objeto é Ignorado (SKIPPED).

Para investigar esse erro, baixe o objeto S3 e verifique a formatação e o conteúdo do arquivo. Avalie também o conteúdo do arquivo em relação às cotas do Macie para descoberta de dados confidenciais.

Se você não corrigir esse erro, o Macie tentará analisar outros objetos no bucket do S3. Se o Macie analisar outro objeto com sucesso, o Macie atualizará os dados de cobertura e outras informações que ele fornece sobre o bucket.

Para obter uma lista de cotas de descoberta de dados confidenciais, incluindo as cotas para determinados tipos de arquivos, consulte Cotas para Macie. Para obter informações sobre como o Macie atualiza as pontuações de sensibilidade e outras informações que ele fornece sobre buckets do S3, consulte Como funciona a descoberta automatizada de dados confidenciais.

O Amazon S3 oferece suporte a várias opções de criptografia para objetos do S3. Para a maioria dessas opções, o Macie pode descriptografar um objeto usando a função vinculada ao serviço do Macie para a sua conta. No entanto, isso depende do tipo de criptografia usada.

Para que o Macie descriptografe um objeto do S3, o objeto deve ter sido criptografado com uma chave que o Macie possa acessar e usar. Se um objeto for criptografado com uma chave fornecida pelo cliente, o Macie não poderá fornecer o material de chave necessário para recuperar o objeto do Amazon S3. Consequentemente, o Macie não consegue analisar o objeto e o status da análise do objeto é Ignorado (SKIPPED).

Para corrigir esse erro, criptografe objetos do S3 com chaves gerenciadas ou chaves () gerenciadas do Amazon S3. AWS Key Management Service AWS KMS Se você preferir usar AWS KMS chaves, elas podem ser chaves AWS gerenciadas ou KMS chaves gerenciadas pelo KMS cliente que o Macie tem permissão para usar.

Para criptografar objetos S3 existentes com chaves que o Macie possa acessar e usar, você pode alterar as configurações de criptografia dos objetos. Para criptografar novos objetos com chaves que o Macie possa acessar e usar, altere as configurações de criptografia do bucket S3. Além disso, certifique-se de que a política do bucket não exija que novos objetos sejam criptografados com uma chave fornecida pelo cliente.

Se você não corrigir esse erro, o Macie tentará analisar outros objetos no bucket do S3. Se o Macie analisar outro objeto com sucesso, o Macie atualizará os dados de cobertura e outras informações que ele fornece sobre o bucket.

Para obter informações sobre os requisitos e as opções de uso do Macie para analisar objetos criptografados do S3, consulte Análise de objetos criptografados do Amazon S3. Para saber mais sobre as configurações e opções de criptografia para buckets S3, consulte Proteção de dados por criptografia e Definindo o comportamento de criptografia padrão no lado do cliente para buckets do S3 no Guia do usuário do Amazon Simple Storage Service.

AWS KMS fornece opções para desativar e excluir o gerenciamento do cliente. AWS KMS keys Se um objeto do S3 for criptografado com uma KMS chave desativada, agendada para exclusão ou excluída, o Macie não poderá recuperar e descriptografar o objeto. Consequentemente, o Macie não consegue analisar o objeto e o status da análise do objeto é Ignorado (SKIPPED). Para que o Macie analise um objeto criptografado, o objeto deve ser criptografado com uma chave que o Macie possa acessar e usar.

Para corrigir esse erro, reative o aplicável AWS KMS key ou cancele a exclusão programada da chave, dependendo do status atual da chave. Se a chave aplicável já tiver sido excluída, esse erro não poderá ser corrigido.

Para determinar qual AWS KMS key foi usado para criptografar um objeto do S3, você pode começar usando o Macie para revisar as configurações de criptografia do lado do servidor para o bucket do S3. Se as configurações de criptografia padrão do bucket estiverem configuradas para usar uma KMS chave, os detalhes do bucket indicarão qual chave é usada. Em seguida, você pode verificar o status dessa chave. Como alternativa, você pode usar o Amazon S3 para revisar as configurações de criptografia do bucket e dos objetos individuais no bucket.

Se você não corrigir esse erro, o Macie tentará analisar outros objetos no bucket do S3. Se o Macie analisar outro objeto com sucesso, o Macie atualizará os dados de cobertura e outras informações que ele fornece sobre o bucket.

Para obter informações sobre como usar o Macie para revisar as configurações de criptografia do lado do servidor para um bucket do S3, consulte Analisar os detalhes dos buckets do S3. Para obter informações sobre como reativar AWS KMS key ou cancelar a exclusão programada de uma chave, consulte Ativação e desativação de chaves e exclusão de chaves no Guia do desenvolvedor.AWS Key Management Service

Esse erro geralmente ocorre porque um objeto do S3 é criptografado com uma chave AWS Key Management Service (AWS KMS) gerenciada pelo cliente que o Macie não tem permissão para usar. Se um objeto for criptografado com um cliente gerenciado AWS KMS key, a política da chave deve permitir que o Macie decifre os dados usando a chave.

Esse erro também pode ocorrer se as configurações de permissões do Amazon S3 impedirem o Macie de recuperar um objeto do S3. A política de buckets do S3 bucket pode restringir o acesso a objetos específicos do bucket ou permitir que somente algumas entidades principais (usuários, contas, serviços ou outras entidades) acessem os objetos. Ou a lista de controle de acesso (ACL) de um objeto pode restringir o acesso ao objeto. Consequentemente, pode ser que o Macie não tenha permissão para acessar o objeto.

Nesses casos descritos acima, o Macie não consegue recuperar e analisar o objeto e, por isso, o status da análise do objeto é Ignorado (SKIPPED).

Para corrigir esse erro, determine se o objeto do S3 está criptografado com uma AWS KMS key gerenciada pelo cliente. Se estiver, certifique-se de que a política de chave permita que a função vinculada ao serviço (AWSServiceRoleForAmazonMacie) do Macie decifre dados com a chave. A forma como você permite esse acesso depende se a conta proprietária AWS KMS key também possui o bucket do S3 que armazena o objeto. Se a mesma conta possuir a KMS chave e o bucket, um usuário da conta precisará atualizar a política da chave. Se uma conta possui a KMS chave e uma conta diferente possui o bucket, um usuário da conta que possui a chave deve permitir o acesso entre contas à chave.

Se o Macie já tiver permissão para usar o aplicável AWS KMS key ou se o objeto do S3 não estiver criptografado com uma KMS chave gerenciada pelo cliente, certifique-se de que a política do bucket permita que o Macie acesse o objeto. Verifique também se o objeto ACL permite que Macie leia os dados e metadados do objeto.

Para a política de bucket, você pode permitir esse acesso adicionando à política uma condição para a função vinculada ao serviço do Macie. A condição deve impedir que a função vinculada ao serviço do Macie corresponda à restrição Deny na política. Ele pode fazer isso usando a chave de contexto de condição aws:PrincipalArn global e o Amazon Resource Name (ARN) da função vinculada ao serviço Macie para sua conta.

Para o objetoACL, você pode permitir esse acesso trabalhando com o proprietário do objeto para adicioná-lo Conta da AWS como beneficiário com READ permissões para o objeto. O Macie pode usar a função vinculada ao serviço na sua conta para recuperar e analisar o objeto. Considere também alterar as configurações de propriedade do objeto para o bucket. Você pode usar essas configurações ACLs para desativar todos os objetos no bucket e conceder permissões de propriedade à conta proprietária do bucket.

Se você não corrigir esse erro, o Macie tentará analisar outros objetos no bucket do S3. Se o Macie analisar outro objeto com sucesso, o Macie atualizará os dados de cobertura e outras informações que ele fornece sobre o bucket.

Para obter mais informações sobre como permitir que o Macie decodifique dados com um AWS KMS key gerenciado pelo cliente, consulte Permitindo que Macie use um serviço gerenciado pelo cliente AWS KMS key. Para obter mais informações sobre a atualização de uma política de bucket do S3 para permitir que o Macie acesse um bucket, consulte Permitindo que o Amazon Macie acesse buckets e objetos do S3.

Para obter informações sobre como atualizar uma política de chaves, consulte Alterar uma política de chaves no Guia do desenvolvedor do AWS Key Management Service . Para obter informações sobre o uso gerenciado pelo cliente AWS KMS keys para criptografar objetos do S3, consulte Uso da criptografia do lado do servidor com chaves AWS KMS no Guia do usuário do Amazon Simple Storage Service.

Para obter informações sobre o uso de políticas de bucket para controlar o acesso aos buckets do S3, consulte Gerenciamento de acesso e Como o Amazon S3 autoriza uma solicitação no Guia do usuário do Amazon Simple Storage Service. Para obter informações sobre o uso ACLs das configurações de propriedade de objetos para controlar o acesso aos objetos do S3, consulte Gerenciamento do acesso ACLs e controle da propriedade de objetos e desativação ACLs do seu bucket no Guia do usuário do Amazon Simple Storage Service.

Para ser elegível para seleção e análise, um objeto do S3 deve usar uma classe de armazenamento Amazon S3 compatível com o Macie. O objeto também deve ter uma extensão de nome de arquivo para um arquivo ou formato de armazenamento compatível com o Macie. Se um objeto não atender a esses critérios, ele será tratado como um objeto inclassificável. O Macie não tenta recuperar ou analisar dados em objetos inclassificáveis.

Se todos os objetos em um bucket do S3 forem objetos inclassificáveis, o bucket geral será um bucket inclassificável. O Macie não pode realizar a descoberta automatizada de dados confidenciais para o bucket.

Para resolver esse problema, revise as regras de configuração do ciclo de vida e outras configurações que determinam quais classes de armazenamento são usadas para armazenar objetos no bucket do S3. Considere ajustar essas configurações para usar as classes de armazenamento suportadas pelo Macie. Você também pode alterar a classe de armazenamento dos objetos existentes no bucket.

Avalie também os formatos de arquivo e de armazenamento de objetos existentes no bucket do S3. Para analisar os objetos, considere transferir os dados, de modo temporário ou permanente, para novos objetos que usem um formato compatível.

Se os objetos forem adicionados ao bucket do S3 e usarem uma classe e um formato de armazenamento compatíveis, o Macie detectará os objetos na próxima vez em que avaliar seu inventário do bucket. Quando isso acontecer, o Macie deixará de relatar que o bucket não é classificável em estatísticas, dados de cobertura e outras informações que ele fornece sobre seus dados do Amazon S3. Além disso, os novos objetos terão maior prioridade para análise durante um ciclo de análise subsequente.

Para obter informações sobre as classes de armazenamento do Amazon S3 e os formatos de arquivo e armazenamento compatíveis com o Macie, consulte Classes e formatos de armazenamento suportados. Para obter informações sobre as regras de configuração do ciclo de vida e opções de classe de armazenamento que o Amazon S3 fornece, consulte Gerenciando o ciclo de vida do seu armazenamento e Usando as classes de armazenamento do Amazon S3 no Guia do usuário do Amazon Simple Storage Service.