查看覆盖范围数据以自动发现敏感数据 - Amazon Macie

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

查看覆盖范围数据以自动发现敏感数据

要查看和评估自动发现敏感数据的覆盖范围,您可以使用亚马逊 Macie 控制台或 Amazon Macie。API控制台和API提供的数据都表明当前亚马逊简单存储服务 (Amazon S3) Simple Service 通用存储桶的分析的当前状态。 AWS 区域这些数据包括有关在分析中造成差距的问题的信息:

  • 不允许 Macie 访问的存储桶。Macie 无法分析这些存储桶内的任何对象。存储桶的权限设置会阻止 Macie 访问存储桶和存储桶对象。

  • 不存储任何可分类对象的存储桶。Macie 无法分析这些存储桶内的任何对象。所有对象使用 Macie 不支持的 Amazon S3 存储类别,并且其文件扩展名表示 Macie 不支持的文件或存储格式。

  • 由于对象级分类错误,Macie 还无法分析这些存储桶。Macie 试图分析这些存储桶中的一个或多个对象。但是,由于对象级权限设置、对象内容或配额存在问题,Macie 无法分析对象。

覆盖率数据会随着每天自动发现敏感数据的进展而更新。如果您是一个组织的 Macie 管理员,则这些数据将包含您的成员账户拥有的 S3 存储桶的信息。

注意

覆盖率数据并未明确包含您创建和运行的敏感数据发现任务的结果。但是,修复影响自动发现敏感数据的覆盖范围问题也可能增加您随后运行的作业的覆盖范围。要评估某项工作的覆盖范围,请查看该工作的结果。如果作业的日志事件或其他结果表明存在覆盖范围问题,则自动发现敏感数据的补救指南可以帮助您解决部分问题。

查看覆盖范围数据以自动发现敏感数据

要查看自动发现敏感数据的覆盖范围数据,你可以使用 Amazon Macie 控制台或 Amazon Macie。API在控制台上,单个页面提供了当前区域中所有 S3 通用存储桶的覆盖率数据的统一视图。这包括每个存储桶最近发生的问题的汇总。该页面还提供了按问题类型查看数据组的选项。要跟踪您对特定存储桶问题的调查,可以将页面中的数据导出到以逗号分隔的值 () CSV 文件中。

Console

按照以下步骤使用 Amazon Macie 控制台查看覆盖率数据。

若要查看覆盖率数据

  1. 打开亚马逊 Macie 主机,网址为。https://console.aws.amazon.com/macie/

  2. 在导航窗格中,选择资源覆盖率

  3. 资源覆盖率页面上,选择要查看的覆盖率数据类型的选项卡:

    • 全部 — 列出 Macie 为你的账户监控和分析的所有存储桶。对于每个存储桶,问题字段会显示是否存在问题阻止 Macie 分析存储桶中的对象。如果此字段的值为,则表示 Macie 已经分析了存储桶的至少一个对象,或者 Macie 尚未尝试分析该存储桶的任何对象。如果存在问题,则此字段会显示问题的性质以及如何进行修复。对于对象级分类错误,它还可以(在括号中)显示错误的出现次数。

    • 访问被拒绝-列出不允许 Macie 访问的存储桶。这些存储桶的权限设置会阻止 Macie 访问存储桶和存储桶的对象。因此,Macie 无法分析存储桶中的任何对象。

    • 分类错误-列出 Macie 由于对象级分类错误(对象级权限设置、对象内容或配额存在问题)而尚未分析的存储桶。对于每个存储桶,问题字段会显示所发生的每种类型的错误的性质,这些错误阻止 Macie 分析存储桶中的对象。它还显示如何修复每种类型的错误。根据错误的不同,它还可以(在括号中)显示错误的出现次数。

    • 不可分类-列出 Macie 无法分析的存储桶,因为它们不存储任何可分类的对象。这些存储桶中的所有对象都使用不受支持的 Amazon S3 存储类别,或者它们具有不支持的文件或存储格式的文件扩展名。因此,Macie 无法分析存储桶中的任何对象。

  4. 要深入研究并查看存储桶的支持数据,请选择该存储桶的名称。然后,请参阅详细信息面板,了解有关存储桶的统计数据和其他信息。

  5. 要将表格导出到CSV文件,请选择页面顶CSV部的导出到。生成的CSV文件包含表中每个存储桶的元数据子集,最多 50,000 个存储桶。该文件包含覆盖率问题字段。此字段的值表明问题是否阻止 Macie 分析存储桶中的对象,如果是,则指示问题的性质。

API

要以编程方式查看覆盖率数据,请在使用 Ama API zon Macie 的DescribeBuckets操作提交的查询中指定筛选条件。此操作返回对象数组。每个对象都包含与筛选条件相匹配的 S3 通用存储桶的统计数据和其他信息。

在筛选条件中,包括要查看的覆盖率数据类型的条件:

  • 要识别由于存储桶的权限设置而不允许 Macie 访问的存储桶,请包括 errorCode 字段值等于 ACCESS_DENIED 的条件。

  • 要识别允许 Macie 访问但尚未分析的存储桶,请包括 sensitivityScore 字段值等于 50errorCode 字段值不等于 ACCESS_DENIED 的条件。

  • 要识别因所有存储分区对象都使用不支持的存储类或格式而导致 Macie 无法分析的存储桶,请包括 classifiableSizeInBytes 字段值等于 0sizeInBytes 字段值大于 0 的条件。

  • 要识别 Macie 已经分析了至少一个对象的存储桶,请包括 sensitivityScore 字段值在 1—99 范围内但不等于 50 的条件。要同时包括您手动分配最高分数的存储桶,范围应为 1—100。

  • 要识别 Macie 由于对象级分类错误而尚未分析的存储桶,请包括 sensitivityScore 字段值等于 -1 的条件。然后,要查看特定存储桶发生的错误类型和错误数量的明细,请使用GetResourceProfile操作。

如果您使用的是 AWS Command Line Interface (AWS CLI),请通过运行 desc ribe-b uckets 命令在您提交的查询中指定筛选条件。要查看特定 S3 存储桶发生的错误类型和数量的明细(如果有),请运行该get-resource-profile命令。

例如,以下 AWS CLI 命令使用筛选条件来检索 Macie 由于存储桶的权限设置而无法访问的所有 S3 存储桶的详细信息。

此示例的格式适用于 Linux、macOS 或 Unix:

$ aws macie2 describe-buckets --criteria '{"errorCode":{"eq":["ACCESS_DENIED"]}}'

此示例的格式适用于 Microsoft Windows:

C:\> aws macie2 describe-buckets --criteria={\"errorCode\":{\"eq\":[\"ACCESS_DENIED\"]}}

如果请求成功,Macie 将返回一个 buckets 数组。该数组包含每个 S3 存储桶的对象,该对象位于当前存储桶中, AWS 区域 并且符合筛选条件。

如果没有符合筛选条件的 S3 存储桶,Macie 将返回一个空 buckets 数组。

{
    "buckets": []
}

有关在查询中指定筛选条件的更多信息(包括常用条件的示例),请参阅 筛选您的 S3 存储桶清单

有关可以帮助您解决覆盖范围问题的详细信息,请参阅修复自动敏感数据发现的覆盖率问题