修复自动敏感数据发现的覆盖率问题 - Amazon Macie

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

修复自动敏感数据发现的覆盖率问题

随着每天自动发现敏感数据的进展,Amazon Macie 会提供统计数据和详细信息,以帮助您评估和监控其对亚马逊简单存储服务 (Amazon S3) 数据资产的覆盖范围。通过查看覆盖率数据,您可以检查整个数据资产及其中的个别 S3 存储桶的自动敏感数据发现状态。您还可以找出阻碍 Macie 分析特定存储桶中对象的问题。如果您修复了这些问题,则可以在后续分析周期中扩大 Amazon S3 数据的覆盖范围。

Macie 报告了几种类型的问题,这些问题通过自动发现敏感数据来缩小 Amazon S3 数据的覆盖范围。这包括阻止 Macie 分析 S3 存储桶中任何对象的存储桶级别问题。它还包括对象级问题。这些问题被称为分类错误,使 Macie 无法分析存储桶中的特定对象。以下信息可以帮助您调查和修复问题。

提示

要调查 S3 存储桶的对象级分类错误,请先查看该存储桶的对象样本列表。此列表显示 Macie 在存储桶中分析或尝试分析哪些对象,最多可包含 100 个对象。

要查看 Amazon Macie 控制台上的列表,请在 S3 存储页面上选择存储桶,然后在详细信息面板中选择对象示例选项卡。要以编程方式查看列表,请使用 Ama API zon Macie 的ListResourceProfileArtifacts操作。如果某个对象的分析状态为已跳过 (SKIPPED),则可能是该对象导致了错误。

拒绝访问

此问题表明 S3 存储桶的权限设置阻止 Macie 访问该存储桶和存储桶的对象。Macie 无法检索和分析存储桶内的任何对象。

详细信息

此类问题的最常见原因是限制性存储桶策略。存储桶策略是一种基于资源的 AWS Identity and Access Management (IAM) 策略,它指定委托人(用户、账户、服务或其他实体)可以对 S3 存储桶执行哪些操作,以及委托人可以在哪些条件下执行这些操作。限制性存储桶策略使用明确的 AllowDeny 声明,根据特定条件授予或限制对存储桶数据的访问权限。例如,存储桶策略可能包含拒绝访问存储桶的 AllowDeny 语句,除非使用特定的源 IP 地址访问存储桶。

如果 S3 存储桶的存储桶策略包含带有一个或多个条件的明确 Deny 声明,则可能不允许 Macie 检索和分析存储桶的对象以检测敏感数据。Macie 只能提供有关存储桶的部分信息,例如存储桶的名称和创建日期。

补救指南

要修复此问题,请更新 S3 存储桶的存储桶策略。确保该策略允许 Macie 访问存储桶和存储桶的对象。要允许此访问权限,请在策略中添加 Macie 服务相关角色 (AWSServiceRoleForAmazonMacie) 的条件。该条件应将 Macie 服务相关角色排除在与策略 Deny 限制的匹配范围之外。它可以通过为您的账户使用aws:PrincipalArn全局条件上下文密钥和 Macie 服务相关角色的 Amazon 资源名称 (ARN) 来实现此目的。

如果您更新存储桶策略且 Macie 获得了对 S3 存储桶的访问权限,Macie 将检测到更改。发生这种情况时,Macie 将更新统计数据、库存数据以及它提供的有关您的 Amazon S3 数据的其他信息。此外,在随后的分析周期中,存储桶的对象将具有更高的优先级进行分析。

其他参考资料

有关更新 S3 存储桶策略以允许 Macie 访问存储桶的更多信息,请参阅允许 Macie 访问 S3 存储桶和对象。有关使用存储桶策略控制对存储桶的访问的信息,请参阅《亚马逊简单存储服务用户指南》中的存储桶策略和 Ama zon S3 如何授权请求。

分类错误:内容无效

如果 Macie 尝试分析 S3 存储桶中的对象,但该对象格式不正确,或者该对象包含的内容超过敏感数据发现配额,则会发生此类分类错误。Macie 无法分析该对象。

详细信息

出现此错误的原因通常是因为 S3 对象是格式错误或损坏的文件。因此,Macie 无法解析和分析文件中的所有数据。

如果对 S3 对象的分析超过单个文件的敏感数据发现配额,也会发生此错误。例如,对象的存储大小超过了该类型文件的大小配额。

无论哪种情况,Macie 都无法完成对 S3 对象的分析,并且该对象的分析状态为已跳过 (SKIPPED)。

补救指南

要调查此错误,请下载 S3 对象并检查文件的格式和内容。此外,还要根据 Macie 配额评测文件内容,以发现敏感数据。

如果您不修复此错误,Macie 将尝试分析 S3 存储桶中的其他对象。如果 Macie 成功分析了另一个对象,Macie 将更新覆盖率数据以及它提供的有关该存储桶的其他信息。

其他参考资料

有关敏感数据发现配额的列表,包括某些类型的文件的配额,请参阅 Macie 的配额。有关 Macie 如何更新敏感度分数以及它提供的有关 S3 存储桶的其他信息的信息,请参阅 自动敏感数据发现的工作原理

分类错误:加密无效

如果 Macie 尝试分析 S3 存储桶中的对象,并且该对象使用客户提供的密钥进行加密,则会发生此类分类错误。该对象使用 SSE-C 加密,这意味着 Macie 无法检索和分析该对象。

详细信息

Amazon S3 支持多种 S3 对象的加密选项。对于其中的大多数选项,Macie 都可以使用您账户的 Macie 服务关联角色来解密对象。但是,这取决于其使用的加密类型。

要让 Macie 解密 S3 对象,必须使用 Macie 可以访问并允许使用的密钥对该对象进行加密。如果使用客户提供的密钥对对象进行加密,则 Macie 无法提供从 Amazon S3 检索该对象所需的密钥材料。因此,Macie 无法分析该对象,并且该对象的分析状态为已跳过 (SKIPPED)。

补救指南

要纠正此错误,请使用 Amazon S3 托管密钥或 AWS Key Management Service (AWS KMS) 密钥加密 S3 对象。如果您更喜欢使用 AWS KMS 密钥,则密钥可以是 AWS 托管KMS密钥或允许 Macie 使用的客户托管KMS密钥。

要使用 Macie 可以访问和使用的密钥加密现有 S3 对象,您可以更改对象的加密设置。要使用 Macie 可以访问和使用的密钥加密新对象,请更改 S3 存储桶的默认加密设置。还要确保存储桶的策略不要求使用客户提供的密钥对新对象进行加密。

如果您不修复此错误,Macie 将尝试分析 S3 存储桶中的其他对象。如果 Macie 成功分析了另一个对象,Macie 将更新覆盖率数据以及它提供的有关该存储桶的其他信息。

其他参考资料

有关使用 Macie 分析加密的 S3 对象的要求和选项的信息,请参阅分析加密的 Amazon S3 对象。有关 S3 存储桶的加密选项和设置的信息,请参阅 Amazon Simple Storage Service 用户指南中的使用加密保护数据为 S3 存储桶设置默认服务器端加密行为

分类错误:KMS密钥无效

如果 Macie 尝试分析 S3 存储桶中的对象,并且该对象使用不再可用的 AWS Key Management Service (AWS KMS) 密钥进行加密,则会发生此类分类错误。Macie 无法检索和分析该对象。

详细信息

AWS KMS 提供了禁用和删除客户管理的选项 AWS KMS keys。如果 S3 对象使用已禁用、计划删除或已被删除的KMS密钥加密,Macie 将无法检索和解密该对象。因此,Macie 无法分析该对象,并且该对象的分析状态为已跳过 (SKIPPED)。为使 Macie 分析加密对象,必须使用 Macie 可以访问和使用的密钥对该对象进行加密。

补救指南

要纠正此错误,请根据密钥的当前状态重新启用适用的密钥 AWS KMS key 或取消对密钥的计划删除。如果适用的密钥已被删除,则无法纠正此错误。

要确定哪 AWS KMS key 个对象用于加密 S3 对象,您可以先使用 Macie 查看 S3 存储桶的服务器端加密设置。如果存储桶的默认加密设置配置为使用KMS密钥,则存储桶的详细信息会显示使用的是哪个密钥。然后,您可以查看该密钥的状态。或者,您可以使用 Amazon S3 查看存储桶和存储桶中各个对象的加密设置。

如果您不修复此错误,Macie 将尝试分析 S3 存储桶中的其他对象。如果 Macie 成功分析了另一个对象,Macie 将更新覆盖率数据以及它提供的有关该存储桶的其他信息。

其他参考资料

有关使用 Macie 查看 S3 存储桶的服务器端加密设置的信息,请参阅 查看 S3 存储桶的详细信息。有关重新启用密钥 AWS KMS key 或取消按计划删除密钥的信息,请参阅《AWS Key Management Service 开发者指南》中的启用和禁用密钥以及删除密钥

分类错误:权限被拒绝

如果 Macie 尝试分析 S3 存储桶中的对象,而 Macie 由于该对象的权限设置或用于加密该对象的密钥的权限设置而无法检索或解密该对象,则会发生此类分类错误。Macie 无法检索和分析该对象。

详细信息

之所以出现此错误,通常是因为 S3 对象使用不允许 Macie 使用的客户托管 AWS Key Management Service (AWS KMS) 密钥进行加密。如果使用客户管理的对象进行加密 AWS KMS key,则密钥的策略必须允许 Macie 使用该密钥解密数据。

如果 Amazon S3 权限设置阻止 Macie 检索 S3 对象,也会发生此错误。S3 存储桶的存储桶策略可能会限制对特定存储桶对象的访问权限,或者仅允许某些主体(用户、账户、服务或其他实体)访问这些对象。或者,对象的访问控制列表 (ACL) 可能会限制对该对象的访问。因此,可能不允许 Macie 访问该对象。

对于上述任何情况,Macie 都无法检索和分析对象,并且该对象的分析状态为已跳过 (SKIPPED)。

补救指南

要纠正此错误,请确定 S3 对象是否使用客户托管的 AWS KMS key进行加密。如果是,请确保密钥的策略允许 Macie 服务相关角色 (AWSServiceRoleForAmazonMacie) 使用密钥解密数据。您如何允许此访问取决于拥有的账户是否 AWS KMS key 还拥有存储该对象的 S3 存储桶。如果同一个账户拥有KMS密钥和存储桶,则该账户的用户必须更新密钥的策略。如果一个账户拥有KMS密钥而另一个账户拥有该存储桶,则拥有该密钥的账户的用户必须允许跨账户访问该密钥。

提示

您可以自动生成一份列表,列出 Macie 需要访问的所有客户托管 AWS KMS keys 的列表,以分析您账户的 S3 存储桶中的对象。为此,请运行 AWS KMS 权限分析器脚本,该脚本可从上的 Amazon Macie 脚本存储库中获得。 GitHub该脚本还可以生成 AWS Command Line Interface (AWS CLI) 命令的附加脚本。您可以选择运行这些命令来更新您指定的KMS密钥所需的配置设置和策略。

如果已允许 Macie 使用适用的, AWS KMS key 或者 S3 对象未使用客户托管KMS密钥加密,请确保存储桶的策略允许 Macie 访问该对象。还要验证对象是否ACL允许 Macie 读取对象的数据和元数据。

对于存储桶策略,您可以通过向策略中添加 Macie 服务相关角色的条件来允许此访问权限。该条件应将 Macie 服务相关角色排除在与策略 Deny 限制的匹配范围之外。它可以通过为您的账户使用aws:PrincipalArn全局条件上下文密钥和 Macie 服务相关角色的 Amazon 资源名称 (ARN) 来实现此目的。

对于该对象ACL,您可以通过与对象所有者合作将您 AWS 账户 添加为拥有该对象权限的被授权者来允许此访问READ权限。然后 Macie 可以使用您账户的服务相关角色检索和分析该对象。还可以考虑更改存储桶的对象所有权设置。您可以使用这些设置禁ACLs用存储桶中的所有对象,并向拥有该存储桶的账户授予所有权权限。

如果您不修复此错误,Macie 将尝试分析 S3 存储桶中的其他对象。如果 Macie 成功分析了另一个对象,Macie 将更新覆盖率数据以及它提供的有关该存储桶的其他信息。

其他参考资料

有关允许 Macie 在客户管理的 AWS KMS key的情况下解密数据的更多信息,请参阅 允许 Macie 使用客户管理的服务器 AWS KMS key。有关更新 S3 存储桶策略以允许 Macie 访问存储桶的信息,请参阅 允许 Macie 访问 S3 存储桶和对象

有关更新密钥政策的信息,请参阅 AWS Key Management Service 开发者指南中的更改密钥政策。有关使用客户托管 AWS KMS keys 加密 S3 对象的信息,请参阅 A mazon 简单存储服务用户指南中的使用带 AWS KMS 密钥的服务器端加密

有关使用存储桶策略控制 S3 存储桶访问权限的信息,请参阅《亚马逊简单存储服务用户指南》中的访问管理和 Ama zon S3 如何授权请求。有关使用ACLs或对象所有权设置来控制对 S3 对象的访问的信息,请参阅 Amazon S imple Storage Service 用户指南中的管理对象访问ACLs和控制对象所有权以及禁用ACLs存储

不可分类

此问题表明 S3 存储桶中的所有对象均使用不支持的 Amazon S3 存储类或不支持的文件或存储格式进行存储。Macie 无法分析存储桶内的任何对象。

详细信息

要获得选择和分析资格,S3 对象必须使用 Macie 支持的 Amazon S3 存储类。该对象还必须具有 Macie 支持的文件或存储格式的文件扩展名。如果对象不符合这些标准,则该对象将被视为不可分类的对象。Macie 不会尝试检索或分析不可分类的对象中的数据。

如果 S3 存储桶中的所有对象都是不可分类的对象,则整个存储桶是不可分类的存储桶。Macie 无法对存储桶执行自动敏感数据发现。

补救指南

要解决此问题,请查看生命周期配置规则和其他设置,以确定哪些存储类用于在 S3 存储桶中存储对象。考虑调整这些设置以使用 Macie 支持的存储类别。您也可以更改存储桶中现有对象的存储类别。

还要评测 S3 存储桶中现有对象的文件和存储格式。要分析对象,可以考虑将数据临时或永久移植到使用支持格式的新对象。

如果将对象添加到 S3 存储桶中,并且它们使用支持的存储类和格式,则 Macie 将在下次评测您的存储桶清单时检测到这些对象。发生这种情况时,Macie 将停止报告该存储桶在统计数据、覆盖率数据以及它提供的有关您的 Amazon S3 数据的其他信息中不可分类的情况。此外,在随后的分析周期中,新对象将具有更高的分析优先级。

其他参考资料

有关 Amazon S3 存储类别以及 Macie 支持的文件和存储格式的信息,请参阅 支持的存储类别和格式。有关生命周期配置规则和 Amazon S3 提供的存储类选项的信息,请参阅 Amazon Simple Storage Service 用户指南中的管理存储生命周期使用 Amazon S3 存储类别