Exibindo o painel Noções básicas sobre componentes do painel Entendendo as estatísticas de segurança de dados no painel Resumo

Avaliar sua postura de segurança no Amazon S3 com o Macie

Para avaliar a postura de segurança geral de seus dados no Amazon Simple Storage Service (Amazon S3) e determinar onde agir, você pode usar o painel de Resumo no console do Amazon Macie.

O painel Resumo fornece uma imagem das estatísticas agregadas seus dados do Amazon S3 no Região da AWS atual. As estatísticas incluem dados das principais métricas de segurança, como o número de buckets que são acessíveis ao público ou compartilhados com outras Contas da AWS. O painel também exibe grupos de dados agregados de descobertas da sua conta, como, por exemplo, os tipos de descobertas que tiveram o maior número de ocorrências durante os sete dias anteriores. Se você for o administrador do Macie de uma organização, o painel fornece estatísticas e dados agregados para todas as contas da sua organização. Opcionalmente, você pode filtrar os dados por conta.

Para realizar uma análise mais profunda, você pode detalhar e revisar os dados de suporte de itens individuais no painel. Você também pode revisar e analisar seu inventário de buckets do S3 usando o console do Amazon Macie ou consultar e analisar dados de inventário de forma programática usando a operação DescribeBuckets da API Amazon Macie.

Tópicos

Exibindo o painel
Noções básicas sobre componentes do painel
Entendendo as estatísticas de segurança de dados no painel Resumo

Exibindo o painel Resumo

No console do Amazon Macie, o painel Resumo fornece um snapshot das estatísticas agregadas e dos dados de descobertas dos dados do Amazon S3 (Amazon S3) na Região da AWS atual. Se preferir consultar as estatísticas de forma programática, você pode usar a operação GetBucketStatistics da API do Amazon Macie.

Para exibir o painel de resumo

Abra o console do Amazon Macie em https://console.aws.amazon.com/macie/.
No painel de navegação, escolha Resumo. O Macie exibe o painel Resumo.
Para determinar quando o Macie recuperou mais recentemente os metadados de bucket ou objeto da sua conta no Amazon S3, você pode consultar o campo Última atualização na parte superior do painel. Para obter mais informações, consulte Atualizações de dados.
Para detalhar e revisar os dados de suporte de um item no painel, selecione o item.

Se você for o administrador do Macie de uma organização, o painel fornece estatísticas e dados agregados para a sua conta e as contas-membro da sua organização. Para filtrar o painel e exibir dados apenas para uma conta em particular, insira o ID da conta na caixa Conta acima do painel.

Entendendo os componentes do painel Resumo

No painel Resumo, as estatísticas e os dados são organizados em várias seções. Na parte superior do painel, você encontrará estatísticas agregadas que indicam quantos dados você armazena no Amazon S3 e quanto desses dados o Amazon Macie pode analisar para detectar dados confidenciais. Você também pode consultar o campo Última atualização para determinar quando o Macie recuperou mais recentemente os metadados de bucket ou objeto do Amazon S3 para a sua conta. Seções adicionais fornecem estatísticas e dados de descobertas recentes que podem ajudá-lo a avaliar a segurança, a privacidade e a sensibilidade de seus dados do Amazon S3 na Região da AWS atual.

As estatísticas e os dados são organizados nas seguintes seções:

Ao analisar cada seção, selecione, opcionalmente, um item para detalhar e analisar os dados de suporte. Observe também que o painel não inclui dados para buckets de diretório do S3, apenas buckets de uso geral. O Macie não monitora nem analisa buckets de diretórios.

Armazenamento e descoberta de dados confidenciais

Na parte superior do painel, as estatísticas indicam quantos dados você armazena no Amazon S3 e quanto desses dados o Macie pode analisar para detectar dados confidenciais. A imagem a seguir mostra um exemplo dessas estatísticas para uma organização com sete contas do Macie.

As estatísticas individuais nesta seção são:

Total de contas: este campo é exibido se você for o administrador do Macie de uma organização ou se tiver uma conta independente no Macie. Ele indica o número total de Contas da AWS que possuem buckets no inventário. Se você for um administrador do Macie, esse é o número total de contas do Macie que você gerencia para sua organização. Se você tiver uma conta independente do Macie, esse valor será 1.

Total de buckets do S3: este campo aparece se você tiver uma conta de membro na organização. Ele indica o número total de buckets gerais no inventário, incluindo os buckets que não armazenam nenhum objeto.
Armazenamento: estas estatísticas fornecem informações sobre o tamanho de armazenamento dos objetos em seu inventário de buckets:
- Classificável: o tamanho total de armazenamento de todos os objetos que o Macie pode analisar nos buckets.
- Total: o tamanho total de armazenamento de todos os objetos nos buckets, incluindo objetos que o Macie não consegue analisar.
Se algum dos objetos for um arquivo compactado, esses valores não refletirão o tamanho real desses arquivos depois de serem descompactados. Se o versionamento estiver habilitado para um bucket, esse valor será baseado no tamanho de armazenamento da versão mais recente de cada objeto classificável no bucket.
Objetos: essas estatísticas apresentam informações sobre o número de objetos no inventário de buckets:
- Classificável: o número total de objetos que o Macie pode analisar nos buckets.
- Total: o tamanho total de armazenamento de todos os objetos nos buckets, incluindo objetos que o Macie não consegue analisar.

Nas estatísticas anteriores, os dados e objetos são classificáveis se usarem uma classe de armazenamento do Amazon S3 compatível e tiverem uma extensão de nome de arquivo para um arquivo ou formato de armazenamento compatível. Você pode detectar dados confidenciais nos objetos usando Macie. Para obter mais informações, consulte Classes e formatos de armazenamento compatíveis.

Observe que as estatísticas Armazenamento e Objetos não incluem dados sobre objetos em buckets que o Macie não tem permissão para acessar. Por exemplo, objetos em buckets que têm políticas restritivas de bucket. Para identificar buckets onde esse é o caso, você pode revisar seu inventário de buckets usando a tabela de S3 buckets. Se o ícone de aviso ( ) for exibido ao lado do nome de um bucket, o Macie não poderá acessar o bucket.

Descoberta automatizada do e problemas de cobertura

Se a descoberta automatizada de dados confidenciais estiver habilitada, essas seções serão exibidas no painel. Ela captura o status e os resultados das atividades de descoberta automatizada de dados confidenciais que o Macie realizou até agora para seus dados do Amazon S3. A imagem a seguir mostra um exemplo das estatísticas fornecidas por essas seções.

Estatísticas de descoberta automatizada de dados confidenciais no painel. Cada estatística tem dados de exemplo.

Para obter detalhes sobre essas estatísticas, consulte Analisar estatísticas de confidencialidade de dados no painel Resumo.

Segurança de dados

Esta seção fornece estatísticas que indicam possíveis riscos de segurança e privacidade para seus dados do Amazon S3. A imagem a seguir mostra um exemplo das estatísticas nesta seção.

Para obter detalhes sobre essas estatísticas, consulte Entendendo as estatísticas de segurança de dados no painel Resumo.

Principais buckets do S3

Esta seção lista os buckets do S3 que geraram mais descobertas de qualquer tipo durante os sete dias anteriores, para até cinco buckets. Também indica o número de descobertas que o Macie criou para cada bucket. A imagem a seguir mostra um exemplo dos dados fornecidos por esta seção.

Para exibir e, opcionalmente, detalhar todas as descobertas de um bucket nos sete dias anteriores, selecione o valor no campo Total de descobertas. Para exibir todas as descobertas atuais de todos os seus buckets, agrupadas por bucket, selecione Exibir todas as descobertas por bucket.

Essa seção estará vazia se o Macie não tiver criado nenhuma descoberta nos sete dias anteriores. Ou se todas as descobertas criadas durante os sete dias anteriores foram suprimidas por uma regra de supressão.

Principais tipos de descobertas

Essa seção lista os tipos de descobertas que tiveram o maior número de ocorrências nos sete dias anteriores, para até cinco tipos de descobertas. Ela também indica o número de descobertas que o Macie criou para cada tipo. A imagem a seguir mostra um exemplo dos dados fornecidos por esta seção.

Para exibir e, opcionalmente, detalhar todas as descobertas de um determinado tipo nos sete dias anteriores, selecione o valor no campo Total de descobertas. Para exibir todas as descobertas atuais, agrupadas por tipo de descoberta, selecione Exibir todas as descobertas por tipo.

Descobertas de política

Essa seção lista as descobertas de políticas que o Macie criou ou atualizou mais recentemente, para até dez descobertas. A imagem a seguir mostra um exemplo dos dados fornecidos por esta seção.

Para visualizar os detalhes de uma descoberta, selecione descoberta.

Essa seção estará vazia se o Macie não tiver criado ou atualizado nenhuma descoberta de política durante os sete dias anteriores. Ou se todas as descobertas de política que foram criadas ou atualizadas durante os sete dias anteriores foram suprimidas por uma regra de supressão.

Entendendo as estatísticas de segurança de dados no painel Resumo

A seção Segurança de dados do painel Resumo fornece estatísticas que podem ajudá-lo a identificar e investigar possíveis riscos de segurança e privacidade para seus dados do Amazon S3 na Região da AWS atual. Por exemplo, você pode usar esses dados para identificar buckets gerais que são acessíveis ao público ou compartilhados com outras Contas da AWS.

Se a descoberta automatizada de dados confidenciais estiver desabilitada para a conta, as estatísticas de armazenamento e descoberta de dados confidenciais na parte superior desta seção indicam quantos dados você armazena no Amazon S3 e quantos desses dados o Amazon Macie pode analisar para detectar dados confidenciais. Estatísticas adicionais são organizadas em três áreas, conforme mostrado na imagem a seguir.

A seção Segurança de dados do painel. Cada área contém dados de exemplo.

Ao analisar cada área, selecione, opcionalmente, um item para detalhar e analisar os dados de suporte. Observe também que as estatísticas não incluem dados para buckets de diretório do S3, apenas buckets de uso geral. O Macie não monitora nem analisa buckets de diretórios.

As estatísticas individuais em cada área são as seguintes.

Acesso público

Essas estatísticas indicam quantos buckets do S3 estão ou não acessíveis ao público:

Acessível publicamente: o número e a porcentagem de buckets que permitem que o público em geral tenha acesso de leitura ou gravação ao bucket.
Publicamente editável mundialmente: o número e a porcentagem de buckets que permitem que o público em geral tenha acesso de gravação no bucket.
Publicamente legível mundialmente: o número e a porcentagem de buckets que permitem que o público em geral tenha acesso de leitura ao bucket.
Não acessível publicamente: o número e a porcentagem de buckets que não permitem que o público em geral tenha acesso de leitura ou gravação ao bucket.

Para calcular cada porcentagem, o Macie divide o número de buckets aplicáveis pelo número total de buckets em seu inventário de buckets.

Para determinar os valores nessa seção, o Macie analisa uma combinação de configurações em nível de conta e de bucket para cada bucket: as configurações de bloqueio de acesso público para a conta; as configurações de bloqueio de acesso público para o bucket; a política de bucket para o bucket e a lista de controle de acesso (ACL) para o bucket. Para obter informações sobre essas configurações, consulte Gerenciamento de acesso e Bloqueio do acesso público ao seu armazenamento do Amazon S3 no Guia do usuário do Amazon Simple Storage Service.

Em certos casos, a área Acesso público também exibe valores para Desconhecido. Se esses valores aparecerem, o Macie não conseguiu avaliar as configurações de acesso público para o número e a porcentagem especificados de buckets. Por exemplo, um problema temporário ou as configurações de permissões dos buckets impediram que o Macie recuperasse os dados necessários. Ou, talvez, o Macie não conseguiu determinar completamente se uma ou mais instruções de política concedem acesso aos buckets a uma entidade externa.

Criptografia

Essas estatísticas indicam quantos buckets do S3 estão configurados para aplicar certos tipos de criptografia do lado do servidor aos objetos que são adicionados aos buckets:

Criptografar por padrão — SSE-S3: o número e a porcentagem de buckets cujas configurações de criptografia padrão estão definidas para criptografar novos objetos com uma chave gerenciada do Amazon S3. Para esses buckets, novos objetos são criptografados automaticamente usando a criptografia SSE-S3.
Criptografar por padrão — DSSE-KMS/SSE-KMS: o número e a porcentagem de buckets cujas configurações de criptografia padrão são definidas para criptografar novos objetos com uma AWS KMS key, uma Chave gerenciada pela AWS ou uma chave gerenciada pelo cliente. Para esses buckets, novos objetos são criptografados automaticamente usando a criptografia DSSE-KMS ou SSE-KMS.

Para calcular cada porcentagem, o Macie divide o número de buckets aplicáveis pelo número total de buckets em seu inventário de buckets.

Para determinar os valores nessa área, o Macie analisa as configurações de criptografia padrão para cada bucket. A partir de 5 de janeiro de 2023, o Amazon S3 aplica automaticamente a criptografia do lado do servidor com chaves gerenciadas do Amazon S3 (SSE-S3) como nível básico de criptografia para objetos adicionados aos buckets. Opcionalmente, você pode definir as configurações de criptografia padrão do bucket para, em vez disso, usar a criptografia do lado do servidor com uma chave AWS KMS (SSE-KMS) ou a criptografia de camada dupla do lado do servidor com uma chave AWS KMS (DSSE-KMS). Para obter informações sobre as configurações e opções de criptografia padrão, consulte Como definir o comportamento padrão de criptografia do lado do servidor para buckets S3 no Guia do usuário do Amazon Simple Storage Service.

Em certos casos, a área Criptografia também exibe valores para Desconhecido. Se esses valores forem exibidos, o Macie não conseguiu avaliar as configurações de criptografia padrão para o número e a porcentagem especificados de buckets. Por exemplo, um problema temporário ou as configurações de permissões dos buckets impediram que o Macie recuperasse os dados necessários.

Compartilhamento

Essas estatísticas indicam quantos buckets do S3 são ou não compartilhados com outras Contas da AWS, identidades do acesso de origem (OAI) do Amazon CloudFront ou controles de acesso de origem (OACs) do CloudFront:

Compartilhado externamente: o número e a porcentagem de buckets que são compartilhados com um ou mais dos itens a seguir ou com qualquer combinação deles: um CloudFront OAI, um CloudFront OAC ou uma conta que não está na mesma organização.
Compartilhado internamente: o número e a porcentagem de buckets que são compartilhados com uma ou mais contas na mesma organização. Esses buckets não são compartilhados com OAIs ou OACs do CloudFront.
Não compartilhado: o número e a porcentagem de buckets que não são compartilhados com outras contas, CloudFront OAIs ou CloudFront OACs.

Para calcular cada porcentagem, o Macie divide o número de buckets aplicáveis pelo número total de buckets em seu inventário de buckets.

Para determinar se os buckets são compartilhados com outras Contas da AWS, o Macie analisa a política e a ACL de cada bucket. Além disso, uma organização é definida como um conjunto de contas do Macie que são gerenciadas centralmente como um grupo de contas relacionadas por meio do AWS Organizations ou por convite do Macie. Para obter informações sobre as opções do Amazon S3 para o compartilhamento de buckets, consulte Gerenciamento de acesso no Guia do usuário do Amazon Simple Storage Service.

nota

Em certos casos, o Macie pode relatar incorretamente que um bucket está compartilhado com uma Conta da AWS que não está na mesma organização. Isso pode ocorrer se o Macie não conseguir avaliar totalmente a relação entre o elemento Principal em uma política do bucket e determinadas chaves de contexto de condição global AWS ou chaves de condição do Amazon S3 no elemento Condition da política. As chaves de condição aplicáveis são: aws:PrincipalAccount, aws:PrincipalArn, aws:PrincipalOrgID, aws:PrincipalOrgPaths, aws:PrincipalTag, aws:PrincipalType, aws:SourceAccount, aws:SourceArn, aws:SourceIp, aws:SourceVpc, aws:SourceVpce, aws:userid, s3:DataAccessPointAccount e s3:DataAccessPointArn.

Para determinar se esse é o caso para determinados buckets, selecione a estatística Compartilhado externamente no painel. Na tabela exibida, anote o nome de cada bucket. Em seguida, use o Amazon S3 para revisar a política de cada bucket e determinar se as configurações de acesso compartilhado são intencionais e seguras.

Para determinar se os buckets são compartilhados com OAIs ou OACs do CloudFront, o Macie analisa a política de bucket de cada bucket. Um OAI ou OAC do CloudFront permite que os usuários acessem os objetos de um bucket por meio de uma ou mais distribuições específicas do CloudFront. Para saber mais sobre OAIs e OACs do CloudFront, consulte Restringindo o acesso a uma origem do Amazon S3 no Guia do desenvolvedor do Amazon CloudFront.

Em certos casos, a área Compartilhamento também exibe valores para Desconhecido. Se esses valores forem exibidos, o Macie não conseguiu determinar se o número e a porcentagem especificados de buckets são compartilhados com outras contas, OAIs do CloudFront ou OACs do CloudFront. Por exemplo, um problema temporário ou as configurações de permissões dos buckets impediram que o Macie recuperasse os dados necessários. Ou, talvez, o Macie não conseguiu avaliar totalmente as políticas ou ACLs dos buckets.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Como o Macie monitora a segurança de dados do Amazon S3

Analisar sua postura de segurança do Amazon S3