查看 S3 存储桶的数据灵敏度详细信息 - Amazon Macie

查看 S3 存储桶的数据灵敏度详细信息

在 Amazon Macie 控制台,您可以使用 S3 存储桶页面上的详细信息面板查看 Macie 监控和分析账户的、每个 Amazon Simple Storage Service (Amazon S3) 通用存储桶的统计信息和其他信息。如果您是组织的 Macie 管理员,则这包括您的成员账户拥有的存储桶。

此统计数据和信息包括详细信息,这些详细信息提供了 S3 存储桶数据安全和隐私的洞察。如果启用了自动敏感数据发现,它们还会捕获 Macie 迄今为止为存储桶执行的、自动发现活动结果。例如,您可发现 Macie 在存储桶中分析的对象列表,以及 Macie 在存储桶中发现的敏感数据的类型和出现次数的明细。注意:此数据不包括您创建和运行的敏感数据调查发现作业结果。

Macie 会自动重新计算和更新这些统计信息和详细信息,同时自动发现敏感数据。例如:

  • 如果 Macie 在 S3 对象中找不到敏感数据,Macie 会降低存储桶的灵敏度分数,并在必要时更新存储桶灵敏度标签。Macie 还会将该对象添加至其分析的存储桶对象列表。

  • 如果 Macie 在 S3 对象中发现敏感数据,Macie 会将这些事件添加至 Macie 在存储桶中发现的、灵敏度数据类型的细分中。Macie 还将提高存储桶的灵敏度分数,并在必要时更新存储桶的灵敏度标签。此外,Macie 还会将该对象添加至其分析的存储桶对象列表。除了为对象创建敏感数据调查发现之外,还包含此任务。

  • 如果 Macie 在随后更改或删除的 S3 对象中发现敏感数据,Macie 会从存储桶的敏感数据类型细分中删除此对象的敏感数据。Macie 还将降低存储桶的灵敏度分数,并在必要时更新存储桶的灵敏度标签。此外,Macie 还会将该对象从其分析的存储桶对象列表中移除。

  • 如果 Macie 尝试分析 S3 对象,但是因问题或错误而无法执行,则 Macie 会将该对象添加至存储桶中分析的对象列表中,并表示无法分析该对象。

如果您是组织的 Macie 管理员或者拥有独立的 Macie 账户,您还可以使用详细信息面板来更改 S3 存储桶的某些自动发现设置。例如,您可将特定类型的敏感数据纳入存储桶分数,或将其移除。有关更多信息,请参阅 调整 S3 存储桶的敏感度分数

查看 S3 存储桶数据灵敏度详细信息

  1. 通过以下网址打开 Amazon Macie 控制台:https://console.aws.amazon.com/macie/

  2. 在导航窗格中,选择 S3 存储桶S3 存储桶页面显示您的存储桶清单的交互地图。也可选择页面顶部表格 ( The table view button, which is a button that displays three black horizontal lines. ),以显示您的表格格式清单。

    默认情况下,该页面不会显示当前被排除在自动敏感数据发现之外的存储桶的数据。如果您是组织的 Macie 管理员,则它也不会显示当前禁用了自动敏感数据发现的账户的数据。要显示这些数据,请在筛选框下方的由自动发现筛选器监控标记中选择 X

  3. S3 存储桶地图或表中,选择要查看其详细信息的 S3 存储桶。此详细信息面板显示有关存储桶的统计数据和其他信息。

面板顶部显示了有关存储桶的一般信息:存储桶的名称、拥有该存储桶的 AWS 账户 账户 ID 以及存储桶当前的敏感度分数。如果您是 Macie 管理员或拥有独立的 Macie 账户,它还会提供更改存储桶的某些自动发现设置的选项。其他设置和信息按以下选项卡进行组织:

每个选项卡上的单独设置和信息如下所示。

灵敏度

此选项卡显示存储桶的当前灵敏度分数,范围从 -1100。有关 Macie 定义的灵敏度分数范围的信息,请参阅 S3 存储桶的敏感度分数

该选项卡还详细列出了 Macie 在存储桶对象中发现的敏感数据类型,以及每种类型出现的次数:

  • 敏感数据类型 - 检测数据的托管数据标识符的唯一标识符 (ID),或检测数据的自定义数据标识符名称。

    托管数据标识符的 ID 描述了该标识符旨在检测的敏感数据类型,例如,用于检测美国护照号码的 USA_PASSPORT_NUMBER。有关每个托管数据标识符的详细信息,请参阅 使用托管数据标识符

  • 计数 - 托管或自定义数据标识符检测到的数据出现的总次数。

  • 评分状态:如果您是 Macie 管理员或拥有独立的 Macie 账户,则会显示此字段。它指定是将数据出现次数包括在存储桶的灵敏度分数中还是排除在外。

    如果 Macie 计算存储桶的分数,您可以通过在分数中包含或排除特定类型的敏感数据来调整计算:选中检测到敏感数据的标识符的复选框,以包含或排除,然后在操作菜单中选择一个选项。有关更多信息,请参阅 调整 S3 存储桶的敏感度分数

如果 Macie 未在存储桶当前存储的对象中找到敏感数据,则此部分将显示 未找到检测结果 消息。

请注意,灵敏度 选项卡不包含由 Macie 分析、且随后被更改或删除的对象数据。如果在 Macie 分析对象后更改或从存储桶中删除对象,Macie 会自动重新计算和更新相应的统计信息和数据,以排除这些对象。

存储桶详细信息

此选项卡提供关于存储桶设置的详细信息,包括数据安全和隐私设置。例如,您可以查看存储桶的公共访问设置明细,并确定存储桶重复对象还是与其他 AWS 账户分享。

特别值得注意的是,上次更新时间字段指示 Macie 最近从 Amazon S3 中检索存储桶或存储桶对象元数据的时间。最近的自动发现运行时间字段指示 Macie 最近在执行自动敏感数据发现时分析存储桶对象的时间。如果未进行此分析,则此字段中会出现一个破折号(-)。

该选项卡还提供对象级统计信息,可帮助评测 Macie 可在存储桶中分析的数据量。它还指示是否将任何敏感数据发现任务配置为分析存储桶中的对象。如果有,您可以访问最近运行作业的详细信息,然后选择显示作业产生的任何调查发现。

有关此选项卡的更多详情,请参阅 查看 S3 存储桶的详细信息

对象示例

此选项卡列出了 Macie 在为存储桶执行自动敏感数据发现时选择的分析对象。选择对象名称,以打开 Amazon S3 并显示对象属性。

该列表包含最多 100 个对象的数据。此列表基于对象灵敏度字段值填充:敏感后跟不敏感,后跟 Macie 无法分析的对象。

在列表中,对象灵敏度 字段指示 Macie 是否在对象中找到了敏感数据:

  • 敏感‬:Macie 发现对象中至少出现过一次敏感数据。

  • 不敏感‬:Macie 未在对象中找到敏感数据。

  • 短划线)‬:因问题或错误,Macie 无法完成对对象的分析。

分类结果 字段指示 Macie 是否能够分析对象:

  • 完成‬:Macie 完成了对对象的分析。

  • 部分‬:由于问题或错误,Macie 仅分析部分对象数据。例如,该对象是一个存档文件,其中包含不支持的格式的文件。

  • 已跳过‬:因问题或错误,Macie 无法分析对象中的任何数据。例如,使用不允许 Macie 使用的密钥加密对象。

请注意,该列表不包括 Macie 分析或尝试分析后更改或删除的对象。如果某个对象随后被更改或删除,Macie 会自动从列表中移除此对象。

敏感数据发现

此选项卡为存储桶提供聚合、自动敏感数据发现统计信息:

  • 已分析字节数:Macie 在存储桶中分析的数据总量(以字节为单位)。

  • 可分类字节:Macie 可在存储桶中分析的所有对象的总存储大小(以字节计)。这些对象使用所支持的 Amazon S3 存储类别,并且其文件扩展名表示支持的文件或存储格式。有关更多信息,请参阅 支持的存储类别和格式

  • 检测总数 - Macie 在存储桶中发现的敏感数据的总出现次数。这包括当前被存储桶的灵敏度评分设置隐藏的事件。

已分析对象图表显示 Macie 在存储桶中分析的对象总数。它呈现了 Macie 在其中找到/未找到敏感数据的对象数量。图表下方的图例介绍了这些结果的细分:

  • 敏感对象红色)- Macie 在其中发现至少一次敏感数据的对象总数。

  • 非敏感对象蓝色)- Macie 未在其中找到敏感数据的对象总数。

  • 跳过的对象深灰色)- Macie 因问题或错误而无法分析的对象总数。

该图表图例下方区域详细列出了 Macie 因某些类型的权限问题或加密错误而无法分析对象的情况:

  • 已跳过:无效加密:使用客户提供的密钥加密的对象总数。Macie 无法访问这些密钥。

  • 已跳过:KMS 无效‬:使用 AWS Key Management Service (AWS KMS) 密钥加密、但不再可用的对象总数。这些对象使用已禁用的 AWS KMS keys 加密、计划删除或已删除。Macie 无法使用这些密钥。

  • 已跳过:权限被拒绝‬:因对象的权限设置或用于加密对象密钥的权限设置、导致 Macie 无法访问的对象总数。

有关这些以及可能发生的其他类型的问题和错误的详细信息,请参阅 修复覆盖率问题。如果您修复了这些问题和错误,则可以在后续分析周期中扩大存储桶数据的覆盖范围。

敏感数据发现选项卡上的统计信息中,不包括 Macie 分析或尝试分析后更改或删除的对象数据。如果 Macie 分析或尝试分析后从存储桶更改或删除对象,则 Macie 会自动计算这些统计数据以排除这些对象。