Tipos de descobertas do Amazon Macie - Amazon Macie
Tipos de descobertas de políticasTipos de descobertas de dados confidenciais

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Tipos de descobertas do Amazon Macie

O Amazon Macie gera duas categorias de descobertas: descobertas de políticas e descobertas de dados confidenciais. Uma constatação de política é um relatório detalhado de uma possível violação de política ou problema com a segurança ou a privacidade de um bucket de uso geral do Amazon Simple Storage Service (Amazon S3). A Macie gera descobertas de políticas como parte de suas atividades contínuas para avaliar e monitorar seus buckets de uso geral para segurança e controle de acesso. Uma descoberta de dados confidenciais é um relatório detalhado de dados confidenciais que o Macie detectou em um objeto do S3. O Macie gera descobertas de dados confidenciais como parte das atividades que ele executa quando você executa trabalhos de descoberta de dados confidenciais ou realiza a descoberta automatizada de dados confidenciais.

Dentro de cada categoria, há tipos específicos. O tipo de descoberta fornece informações sobre a natureza do problema ou dos dados confidenciais encontrados pelo Macie. Cada descoberta fornece detalhes como uma classificação de gravidade, informações sobre o recurso afetado e informações, como quando e como o Macie encontrou o problema ou os dados confidenciais. A gravidade e os detalhes de cada descoberta variam de acordo com o tipo e a natureza da descoberta.

dica

Para explorar e aprender sobre as diferentes categorias e tipos de descobertas que o Macie pode gerar, crie amostras de descobertas. Amostras de descobertas usam dados de exemplo e valores de espaço reservado para demonstrar os tipos de informações que cada tipo de descoberta pode conter.

Tipos de descobertas de políticas

O Amazon Macie gera uma constatação de política quando as políticas ou configurações de um bucket de uso geral do S3 são alteradas de uma forma que reduz a segurança ou a privacidade do bucket e dos objetos do bucket. Para obter informações sobre como o Macie detecta essas alterações, consulte Como o Macie monitora a segurança de dados do Amazon S3.

O Macie gera uma descoberta de política somente se a alteração ocorrer após você habilitar o Macie para seu Conta da AWS. Por exemplo, se as configurações de bloqueio de acesso público forem desativadas para um bucket do S3 depois que você habilitar o Macie, o Macie gerará uma descoberta BlockPublicAccessDisabledPolicy:iamUser/S3 para o bucket. Se as configurações de bloqueio de acesso público foram desativadas para um bucket quando você habilitou o Macie e elas continuarem desativadas, o Macie não gerará uma descoberta BlockPublicAccessDisabledPolicy:iamUser/s3 para o bucket.

Descobertas atualizadas – Se o Macie detectar uma ocorrência posterior de uma descoberta de política existente, o Macie atualizará a descoberta existente adicionando detalhes sobre a ocorrência posterior e incrementando a contagem de ocorrências. O Macie armazena as descobertas da política por 90 dias.

O Macie pode gerar os seguintes tipos de descobertas de políticas para um bucket de uso geral do S3.

Policy:IAMUser/S3BlockPublicAccessDisabled

Todas as configurações de bloqueio de acesso público ao bloco no nível de bucket foram desabilitadas para o bucket. O acesso ao bucket é controlado pelas configurações de bloqueio de acesso público para a conta, pelas listas de controle de acesso (ACLs) e pela política de buckets para o bucket.

Para saber mais sobre as configurações de bloqueio de acesso público para buckets do S3, consulte Bloqueio do acesso público ao seu armazenamento no Amazon S3 no Guia do Usuário do Amazon Simple Storage Service.

Policy:IAMUser/S3BucketEncryptionDisabled

As configurações de criptografia padrão do bucket foram redefinidas para o comportamento padrão de criptografia do Amazon S3, que consiste em criptografar novos objetos automaticamente com uma chave gerenciada do Amazon S3.

A partir de 5 de janeiro de 2023, o Amazon S3 aplica automaticamente a criptografia do lado do servidor com chaves gerenciadas do Amazon S3 (SSE-S3) como nível básico de criptografia para objetos adicionados aos buckets. Opcionalmente, você pode definir as configurações de criptografia padrão de um bucket para, em vez disso, usar a criptografia do lado do servidor com uma AWS KMS chave (SSE-KMS) ou a criptografia do lado do servidor de camada dupla com uma chave (DSSE-KMS). AWS KMS Para saber mais sobre as configurações e opções de criptografia padrão para buckets S3, consulte Como definir o comportamento padrão de criptografia do lado do servidor para buckets S3 no Guia do usuário do Amazon Simple Storage Service.

Se o Macie gerou esse tipo de descoberta antes de 5 de janeiro de 2023, a descoberta indica que as configurações de criptografia padrão foram desativadas para o bucket afetado. Isso significava que as configurações do bucket não especificavam o comportamento padrão de criptografia do lado do servidor para novos objetos. A capacidade de desativar as configurações de criptografia padrão para um bucket não é mais suportada pelo Amazon S3.

Policy:IAMUser/S3BucketPublic

Uma política de ACL ou bucket para o bucket foi alterada para permitir o acesso de usuários anônimos ou de todas as identidades autenticadas AWS Identity and Access Management (IAM).

Para saber mais sobre políticas de buckets e ACLs para buckets S3, consulte o Gerenciamento de identidade e acesso no Amazon S3 no Guia do Usuário do Amazon Simple Storage Service.

Policy:IAMUser/S3BucketReplicatedExternally

A replicação foi habilitada e configurada para replicar objetos do bucket para um bucket externo ( Conta da AWS que não faz parte da) sua organização. Uma organização é um conjunto de contas do Macie que são gerenciadas centralmente como um grupo de contas relacionadas por meio de AWS Organizations ou por convite do Macie.

Sob certas condições, o Macie pode gerar esse tipo de descoberta para um bucket que não está configurado para replicar objetos em um bucket externo. Conta da AWSIsso pode ocorrer se o bucket de destino tiver sido criado em um local diferente Região da AWS durante as 24 horas anteriores, depois que o Macie recuperou os metadados do bucket e do objeto do Amazon S3 como parte do ciclo diário de atualização. Para investigar a descoberta, comece atualizando seus dados de inventário. Em seguida, revise os detalhes do bucket. Os detalhes indicam se o bucket está configurado para replicar objetos em outros buckets. Se o bucket estiver configurado para fazer isso, os detalhes incluirão o ID cada conta que possui um bucket de destino.

Para saber mais sobre as configurações de replicação para buckets do S3, consulte a Replicação de objetos no Guia do usuário do Amazon Simple Storage Service.

Policy:IAMUser/S3BucketSharedExternally

Uma política de ACL ou bucket para o bucket foi alterada para permitir que o bucket seja compartilhado com alguém externo à sua organização ( Conta da AWS que não faz parte dela). Uma organização é um conjunto de contas do Macie que são gerenciadas centralmente como um grupo de contas relacionadas por meio de AWS Organizations ou por convite do Macie.

Em certos casos, o Macie pode gerar esse tipo de descoberta para um bucket que não é compartilhado com uma conta AWS externa. Isso pode ocorrer se o Macie não conseguir avaliar totalmente a relação entre o elemento Principal na política do bucket e determinadas chaves de contexto de condição global AWS ou chaves de condição do Amazon S3 no elemento Condition da política. As chaves de condição aplicáveis são: aws:PrincipalAccountaws:PrincipalArn,aws:PrincipalOrgID, aws:PrincipalOrgPathsaws:PrincipalTag,aws:PrincipalType,aws:SourceAccount,aws:SourceArn,aws:SourceIp,aws:SourceVpc,aws:SourceVpce,aws:userid,s3:DataAccessPointAccount,, s3:DataAccessPointArn e. Recomendamos que você analise a política do bucket para determinar se esse acesso é intencional e seguro.

Para saber mais sobre políticas de buckets e ACLs para buckets S3, consulte o Gerenciamento de identidade e acesso no Amazon S3 no Guia do Usuário do Amazon Simple Storage Service.

Policy:IAMUser/S3BucketSharedWithCloudFront

A política do bucket foi alterada para permitir que o bucket seja compartilhado com uma identidade de acesso de CloudFront origem da Amazon (OAI), um controle de acesso de CloudFront origem (OAC) ou um CloudFront OAI e um OAC. CloudFront Um CloudFront OAI ou OAC permite que os usuários acessem os objetos de um bucket por meio de uma ou mais distribuições especificadas CloudFront.

Para saber mais sobre CloudFront OAIs e OACs, consulte Restringir o acesso a uma origem do Amazon S3 no Amazon Developer Guide. CloudFront

nota

Em certos casos, o Macie gera uma descoberta policy:iamuser/s3 em vez de uma BucketSharedExternally descoberta policy:iamuser/s3 para um bucket. BucketSharedWithCloudFront Nesses casos:

  • O bucket é compartilhado com um Conta da AWS externo à sua organização, além de um CloudFront OAI ou OAC.

  • A política do bucket especifica um ID de usuário canônico, em vez do Amazon Resource Name (ARN), de um OAI. CloudFront

Isso produz a descoberta de uma política de severidade mais alta para o bucket.

Tipos de descobertas de dados confidenciais

O Macie gera uma descoberta de dados confidenciais ao detectar dados confidenciais em um objeto do S3 que ele analisa para descobrir dados confidenciais. Isso inclui a análise que o Macie realiza quando você executa um trabalho de descoberta de dados confidenciais ou realiza uma descoberta automatizada de dados confidenciais.

Por exemplo, se você criar e executar um trabalho confidencial de descoberta de dados e o Macie detectar números de contas bancárias em um objeto do S3, o Macie gerará uma descoberta financeira do objeto: SensitiveData S3Object/Financial. Da mesma forma, se o Macie detectar números de contas bancárias em um objeto do S3 que ele analisa durante um ciclo automatizado de descoberta de dados confidenciais, o Macie gera uma descoberta financeira do objeto: S3. SensitiveData

Se o Macie detectar dados confidenciais no mesmo objeto do S3 durante uma execução de trabalho subsequente ou um ciclo automatizado de descoberta de dados confidenciais, o Macie gerará uma nova descoberta de dados confidenciais para o objeto. Diferentemente das descobertas de políticas, todas as descobertas de dados confidenciais são tratadas como novas (únicas). O Macie armazena as descobertas de dados confidenciais por 90 dias.

O Macie pode gerar os seguintes tipos de descobertas de dados confidenciais para um objeto do S3.

SensitiveData:S3Object/Credentials

O objeto contém dados confidenciais de credenciais, como chaves de acesso AWS secretas ou chaves privadas.

SensitiveData:S3Object/CustomIdentifier

O objeto contém texto que corresponde aos critérios de detecção de um ou mais identificadores de dados personalizados. O objeto pode conter mais de um tipo de dados confidenciais.

SensitiveData:S3Object/Financial

O objeto contém informações financeiras confidenciais, como números de contas bancárias ou números de cartão de crédito.

SensitiveData:S3Object/Multiple

O objeto contém mais de uma categoria de dados confidenciais — qualquer combinação de dados de credenciais, informações financeiras, informações pessoais ou texto que corresponda aos critérios de detecção de um ou mais identificadores de dados personalizados.

SensitiveData:S3Object/Personal

O objeto contém informações pessoais confidenciais — informações de identificação pessoal (PII), como números de passaporte ou números de identificação da carteira de motorista, informações pessoais de saúde (PHI), como números de seguro saúde ou de identificação médica, ou uma combinação de PII e PHI.

Para obter informações sobre os tipos de dados confidenciais que o Macie pode detectar usando técnicas e critérios incorporados, consulte Usar identificadores de dados gerenciados. Para obter informações sobre os tipos de objetos do S3 que o Macie pode analisar, consulte Classes e formatos de armazenamento suportados.