查看 S3 存储桶的数据敏感度详细信息 - Amazon Macie

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

查看 S3 存储桶的数据敏感度详细信息

在 Amazon Macie 控制台上,您可以使用 S3 存储桶页面上的详细信息面板来查看 Macie 为您的账户监控和分析的每个亚马逊简单存储服务 (Amazon S3) 通用存储桶的统计数据和其他信息。如果您是组织的 Macie 管理员,则这包括您的成员账户拥有的存储桶。

此统计数据和信息包括详细信息,这些详细信息提供了 S3 存储桶数据安全和隐私的洞察。如果启用了自动敏感数据发现,它们还会捕获 Macie 迄今为止为存储桶执行的自动发现活动的结果。例如,您可发现 Macie 在存储桶中分析的对象列表,以及 Macie 在存储桶中发现的敏感数据的类型和出现次数的明细。请注意,这些数据不包括您创建和运行的敏感数据发现任务的结果。

Macie 在自动发现敏感数据时会自动重新计算和更新这些统计数据和详细信息。例如:

  • 如果 Macie 在 S3 对象中找不到敏感数据,Macie 会降低存储桶的灵敏度分数,并在必要时更新存储桶灵敏度标签。Macie 还会将该对象添加至其分析的存储桶对象列表。

  • 如果 Macie 在 S3 对象中发现敏感数据,Macie 会将这些事件添加至 Macie 在存储桶中发现的、灵敏度数据类型的细分中。Macie 还将提高存储桶的灵敏度分数,并在必要时更新存储桶的灵敏度标签。此外,Macie 还会将该对象添加至其分析的存储桶对象列表。除了为对象创建敏感数据调查发现之外,还包含此任务。

  • 如果 Macie 在随后更改或删除的 S3 对象中发现敏感数据,Macie 会从存储桶的敏感数据类型细分中删除此对象的敏感数据。Macie 还将降低存储桶的灵敏度分数,并在必要时更新存储桶的灵敏度标签。此外,Macie 还会将该对象从其分析的存储桶对象列表中移除。

  • 如果 Macie 尝试分析 S3 对象,但是因问题或错误而无法执行,则 Macie 会将该对象添加至存储桶中分析的对象列表中,并表示无法分析该对象。

如果您是组织的 Macie 管理员或拥有独立的 Macie 帐户,也可以使用详细信息面板更改 S3 存储桶的某些自动发现设置。例如,您可将特定类型的敏感数据纳入存储桶分数,或将其移除。有关更多信息,请参阅 调整 S3 存储桶的灵敏度分数

查看 S3 存储桶数据灵敏度详细信息
  1. 打开亚马逊 Macie 主机,网址为。https://console.aws.amazon.com/macie/

  2. 在导航窗格中,选择 S3 存储桶S3 存储桶页面显示您的存储桶清单的交互地图。也可选择页面顶部表格 ( The table view button, which is a button that displays three black horizontal lines. ),以显示您的表格格式清单。

    默认情况下,该页面不显示当前被排除在自动敏感数据发现之外的存储桶的数据。如果您是组织的 Macie 管理员,它也不会显示当前已禁用自动敏感数据发现功能的帐户的数据。要显示此数据,请在筛选框下方的 “由自动发现筛选器监控” 标记中选择 X

  3. S3 存储桶地图或表中,选择要查看其详细信息的 S3 存储桶。此详细信息面板显示有关存储桶的统计数据和其他信息。

面板顶部显示有关存储桶的一般信息:存储桶的名称、拥有该存储桶的账户 ID 以及该存储桶的当前敏感度分数。 AWS 账户 如果您是 Macie 管理员或拥有独立的 Macie 账户,它还提供用于更改存储分区某些自动发现设置的选项。其他设置和信息组织到以下选项卡中:

每个选项卡上的单独设置和信息如下所示。

灵敏度

此选项卡显示存储桶的当前灵敏度分数,范围从 -1100。有关 Macie 定义的灵敏度分数范围的信息,请参阅 S3 存储桶的敏感度评分

该选项卡还详细列出了 Macie 在存储桶对象中发现的敏感数据类型,以及每种类型出现的次数:

  • 敏感数据类型 - 检测数据的托管数据标识符的唯一标识符 (ID),或检测数据的自定义数据标识符名称。

    托管数据标识符的 ID 描述了其设计用于检测的敏感数据类型,例如,USAPASSPORT_ NUMBER 表示美国护照号码。有关每个托管数据标识符的详细信息,请参阅 使用托管数据标识符

  • 计数 - 托管或自定义数据标识符检测到的数据出现的总次数。

  • 评分状态-如果您是 Macie 管理员或拥有独立的 Macie 帐户,则会显示此字段。它指定在存储桶的敏感度分数中是包括还是排除数据的出现次数。

    如果 Macie 计算存储桶的分数,则可以通过在分数中包含或排除特定类型的敏感数据来调整计算方式:选中检测到要包含或排除的敏感数据的标识符对应的复选框,然后在 “操作” 菜单上选择一个选项。有关更多信息,请参阅 调整 S3 存储桶的灵敏度分数

如果 Macie 未在存储桶当前存储的对象中找到敏感数据,则此部分将显示 未找到检测结果 消息。

请注意,灵敏度 选项卡不包含由 Macie 分析、且随后被更改或删除的对象数据。如果在 Macie 分析对象后更改或从存储桶中删除对象,Macie 会自动重新计算和更新相应的统计信息和数据,以排除这些对象。

存储桶详细信息

此选项卡提供关于存储桶设置的详细信息,包括数据安全和隐私设置。例如,您可以查看存储桶的公共访问设置明细,并确定存储桶重复对象还是与其他 AWS 账户分享。

特别值得注意的是,上次更新时间字段指示 Macie 最近从 Amazon S3 中检索存储桶或存储桶对象元数据的时间。最新自动发现运行字段指示 Macie 最近在执行自动敏感数据发现时分析存储桶中的对象的时间。如果尚未进行此分析,则此字段中会出现一个短划线 (—)。

该选项卡还提供对象级统计信息,可帮助评测 Macie 可在存储桶中分析的数据量。它还会指示您是否配置了任何敏感数据发现任务来分析存储桶中的对象。如果有,则可以访问有关最近运行的作业的详细信息,然后可以选择显示该作业产生的任何结果。

有关此选项卡的更多详情,请参阅 查看 S3 存储桶的详细信息

对象示例

此选项卡列出了 Macie 在对存储桶执行自动敏感数据发现时选择进行分析的对象。选择对象名称,以打开 Amazon S3 并显示对象属性。

该列表包含最多 100 个对象的数据。此列表基于对象灵敏度字段值填充:敏感后跟不敏感,后跟 Macie 无法分析的对象。

在列表中,对象灵敏度 字段指示 Macie 是否在对象中找到了敏感数据:

  • 敏感‬ – Macie 发现对象中至少出现过一次敏感数据。

  • 不敏感‬ – Macie 未在对象中找到敏感数据。

  • 短划线)‬ – 因问题或错误,Macie 无法完成对对象的分析。

分类结果 字段指示 Macie 是否能够分析对象:

  • 完成‬ – Macie 完成了对象分析。

  • 部分‬ – 由于问题或错误,Macie 仅分析部分对象数据。例如,该对象是一个存档文件,其中包含不支持的格式的文件。

  • 已跳过‬ – 因问题或错误,Macie 无法分析对象中的任何数据。例如,使用不允许 Macie 使用的密钥加密对象。

请注意,该列表不包括 Macie 分析或尝试分析后更改或删除的对象。如果某个对象随后被更改或删除,Macie 会自动从列表中移除此对象。

敏感数据发现

此选项卡为存储桶提供聚合、自动敏感数据发现统计信息:

  • 已分析字节数 – Macie 在存储桶中分析的数据总量(以字节为单位)。

  • 可分类字节 – Macie 可在存储桶中分析的所有对象的总存储大小(以字节计)。这些对象使用所支持的 Amazon S3 存储类别,并且其文件扩展名表示支持的文件或存储格式。有关更多信息,请参阅 支持的存储类别和格式

  • 检测总数 - Macie 在存储桶中发现的敏感数据的总出现次数。这包括当前被存储桶的灵敏度评分设置隐藏的事件。

已分析对象图表显示 Macie 在存储桶中分析的对象总数。它呈现了 Macie 在其中找到/未找到敏感数据的对象数量。图表下方的图例介绍了这些结果的细分:

  • 敏感对象红色)- Macie 在其中发现至少一次敏感数据的对象总数。

  • 非敏感对象蓝色)- Macie 未在其中找到敏感数据的对象总数。

  • 跳过的对象深灰色)- Macie 因问题或错误而无法分析的对象总数。

图表图例下方的区域详细列出了 Macie 因出现某些类型的权限问题或加密错误而无法分析对象的情况:

  • 已跳过:加密无效-使用客户提供的密钥加密的对象总数。Macie 无法访问这些密钥。

  • 已跳过:无效 KMS — 使用 AWS Key Management Service (AWS KMS) 密钥加密但不再可用的对象总数。这些对象使用 AWS KMS keys 已禁用、计划删除或已删除的对象进行加密。Macie 无法使用这些按键。

  • 已跳过:权限被拒绝 — 由于对象的权限设置或用于加密对象的密钥的权限设置,Macie 无法访问的对象总数。

有关这些问题以及可能发生的其他类型的问题和错误的详细信息,请参阅修复覆盖率问题。如果您修复了问题和错误,则可以在随后的分析周期中增加存储桶数据的覆盖范围。

敏感数据发现 选项卡上的统计信息中,不包括 Macie 分析或尝试分析后更改或删除的对象数据。如果 Macie 分析或尝试分析后从存储桶更改或删除对象,则 Macie 会自动计算这些统计数据以排除这些对象。