使用 S3 存储桶地图观察数据灵敏度 - Amazon Macie
解读地图中的数据与地图交互

使用 S3 存储桶地图观察数据灵敏度

在 Amazon Macie 控制台,S3 存储桶热图提供了 Amazon Simple Storage Service (Amazon S3) 数据资产中数据灵敏度的交互式可视化表示。它采集 Macie 迄今为止针对当前 AWS 区域 中 Amazon S3 数据执行的自动敏感数据发现活动的结果。

如果您是组织的 Macie 管理员,则该地图将包含您的成员账户拥有的 S3 存储桶的结果。数据按 AWS 账户 分组并按账户 ID 排序,如下图中所示。

S3 存储桶地图。它显示不同的彩色方块,每个存储桶对应一个方块,按账户分组。

地图的每一页最多可显示 99 个账户或 1000 个存储桶的数据,具体取决于您的组织或 Amazon S3 数据资产大小。

要展示地图,在控制台的导航窗格中选择 S3 存储桶。然后在页面顶部选择地图 ( The map view button, which is a button that displays four black squares. )。仅当启用了自动敏感数据发现时,才会显示此地图。它不包括您创建和运行的敏感数据发现作业的结果。

解读 S3 存储桶地图中的数据

S3 存储桶地图中,每个方块都代表通用存储桶清单中的一个 S3 存储桶。正方形的颜色代表存储桶的当前灵敏度分数,它衡量两个主要维度的交集:即 Macie 在存储桶中发现的敏感数据量和 Macie 在存储桶内分析的数据量。颜色色调的强度表示一系列数据灵敏度值中评分下降位置,如下图所示。

敏感度分数的色谱:蓝色色调代表 1-49,红色色调代表 51-100,灰色色调代表 -1。

通常,您可以按如下方式解读颜色和色调强度:

  • 蓝色:如果存储桶的当前灵敏度分数介于 149 之间,则该桶的正方形为蓝色,存储桶的灵敏度标签为 不敏感。蓝色色调的强度反映了 Macie 在存储桶中分析的唯一对象的数量与存储桶中唯一对象总数的比率。色调越深,表示灵敏度分数越低。

  • 无颜色:如果存储桶的当前灵敏度分数为 50,则该桶的正方形未着色,并且桶的灵敏度标签为未分析。此外,正方形还有虚线边框。

  • 红色:如果存储桶的当前灵敏度分数介于 51100 之间,则该桶的正方形为红色,存储桶的灵敏度标签为 敏感。红色调的强度反映了 Macie 在存储桶内发现的敏感数据量。色调越深表示灵敏度分数越高。

  • 灰色:如果存储桶的当前灵敏度分数为 -1,则该存储桶的正方形为深灰色,存储桶的灵敏度标签显示分类错误。色相强度无变化。

有关 Macie 定义的灵敏度分数范围和标签的详细信息,请参阅 S3 存储桶的敏感度分数

地图中的 S3 存储桶的正方形也可能包含一个符号。该符号表示可能影响您对存储桶灵敏度评测的错误、问题或其他类型注意事项。符号也可以表示存储桶的安全性存在潜在问题,例如存储桶可公开访问。下表列出了 Macie 用于通知您这些情况的符号。

符号 定义 说明
The Access denied symbol, which is a gray exclamation point. 访问被拒绝

不允许 Macie 访问存储桶或存储桶对象。因此,Macie 无法分析这些存储桶内的任何对象。

此问题的原因通常是存储桶具有限制性存储桶策略。有关如何解决此问题的信息,请参阅 允许 Macie 访问 S3 存储桶和对象
The Publicly accessible symbol, which is a solid, gray, upward-facing arrow. 公开访问

公众对存储桶拥有读写权限。

为了做出此决策,Macie 会分析每个存储桶的账户和存储桶级别设置组合,例如账户和存储桶的阻止公共访问设置,以及存储桶的存储桶策略。有关更多信息,请参阅 Macie 如何监控 Amazon S3 数据安全性
The Unclassifiable symbol, which is a gray question mark. 不可分类

Macie 无法分析存储桶内的任何对象。所有存储桶对象都使用 Macie 不支持的 Amazon S3 存储类别,或者有 Macie 不支持的文件扩展名或存储格式。

Macie 要分析某个对象,该对象必须使用所支持的存储类别,并且其文件扩展名表示支持的文件或存储格式。有关更多信息,请参阅 支持的存储类别和格式
The Zero bytes symbol, which is the number zero. 零字节

此存储桶不存储任何要由 Macie 分析的对象。存储桶为空,或存储桶中的所有对象都包含零 (0) 字节的数据。

与 S3 存储桶地图交互

在查看 S3 存储桶地图时,您可以通过不同的方式与其交互,以揭示和评测单个账户和存储桶的其他数据和详细信息。请按照以下步骤显示地图并使用其提供的各种功能。

与 S3 存储桶地图进行交互

  1. 通过以下网址打开 Amazon Macie 控制台:https://console.aws.amazon.com/macie/

  2. 在导航窗格中,选择 S3 存储桶S3 存储桶页面显示您的存储桶清单地图。如果页面以表格格式显示您的存储桶清单,请选择页面顶部的地图 ( The map view button, which is a button that displays four black squares. )。

    默认情况下,地图不会显示当前被排除在自动敏感数据发现之外的存储桶的数据。如果您是组织的 Macie 管理员,则它也不会显示当前禁用了自动敏感数据发现的账户的数据。要显示这些数据,请在筛选框下方的由自动发现筛选器监控标记中选择 X

  3. 在页面顶部,可以选择刷新 ( The refresh button, which is a button that displays an empty, dark gray circle with an arrow. ),从 Amazon S3 检索最新的存储桶元数据。

  4. S3 存储桶地图中,执行以下任一操作:

    • 要确定有多少存储桶包含特定的灵敏度标签,请参阅AWS 账户 ID 正下方的彩色徽章。此徽章显示按灵敏度标签细分的汇总存储桶计数。

      例如,红色徽章会报告该账户拥有、且带有灵敏度标签的存储桶的总数。这些存储桶的灵敏度分数介于 51100 之间。蓝色徽章报告该账户拥有且带有 不敏感 标签的存储桶总数。这些存储桶的灵敏度分数介于 149 之间。

    • 要查看有关存储桶的信息子集,请将鼠标悬停在存储桶的正方形上。弹出框显示存储桶的名称和当前的灵敏度分数。

      弹出框还会显示 Macie 可以在存储桶中分析的对象总数,以及这些对象的最新版本的总存储大小。这些对象为 可分类。它们使用所支持的 Amazon S3 存储类别,并且其文件扩展名表示支持的文件或存储格式。有关更多信息,请参阅 支持的存储类别和格式

    • 要筛选地图并仅显示含特定字段值的存储桶,请将光标置于筛选框内,然后为该字段添加筛选条件。Macie 应用条件并在筛选框下方显示该条件。若要进一步优化结果,请为其他字段添加筛选条件。有关更多信息,请参阅 筛选您的 S3 存储桶清单

    • 要深入查看并仅显示特定账户拥有的存储桶,请选择该账户 ID。Macie 会打开新选项卡,该选项卡仅筛选和显示该账户数据。

  5. 要查看特定存储桶的所有敏感数据发现统计信息和其他信息,请选择该存储桶的方格,然后参阅详细信息面板。如需了解这些详细信息,请参阅 查看 S3 存储桶的数据灵敏度详细信息

    提示

    在面板的存储桶详细信息选项卡,您可以对许多字段进行转置和向下钻取。要显示某个字段中具有相同值的存储桶,请在该字段中选择 The zoom in icon, which is a magnifying glass that has a plus sign in it. 。要显示其他字段值的存储桶,请在字段中选择 The zoom out icon, which is a magnifying glass that has a minus sign in it.