Amazon Macie 调查发现的类型

Amazon Macie 会生成两类调查发现：策略调查发现和敏感数据调查发现。政策调查结果是关于亚马逊简单存储服务 (Amazon S3) Service 通用存储桶可能存在的违反政策或安全或隐私问题的详细报告。Macie 将生成策略调查结果作为其持续活动的一部分，以评估和监控您的通用存储桶的安全性和访问控制。敏感数据调查发现是 Macie 在 S3 对象中检测到的敏感数据的详细报告。当你运行敏感数据发现任务或自动发现敏感数据时，Macie 会生成敏感数据发现作为其执行的活动的一部分。

在每个类别中，都有特定的类型。调查发现的类型有助于深入了解 Macie 发现的问题或敏感数据的性质。调查发现的详细信息提供了严重性评级、受影响资源的信息以及其他信息，例如 Macie 何时以及如何发现问题或敏感数据。每个调查发现的严重性和细节因其类型和性质而异。

提示

要探索和了解 Macie 可以生成的不同类别和类型的调查发现，请创建示例调查发现。样本调查发现使用示例数据和占位符值来演示每种类型的调查发现可能包含的信息类型。

策略调查发现的类型

当 S3 通用存储桶的策略或设置发生更改，从而降低存储桶和存储桶对象的安全性或隐私性时，Amazon Macie 会生成策略发现。有关 Macie 如何检测这些更改的信息，请参阅 Macie 如何监控 Amazon S3 数据安全性。

只有您在为您的 AWS 账户启用 Macie 之后发生更改时，Macie 才会生成策略调查发现。例如，如果在启用 Macie 后禁用了 S3 存储桶的封禁公开访问设置，则 Macie 会为该存储桶生成一个策略：iam BlockPublicAccessDisabled user/S3 查找结果。如果您在启用 Macie 时禁用了存储桶的封锁公共访问设置，但这些设置仍处于禁用状态，则 Macie 不会为该存储桶生成策略:iamU BlockPublicAccessDisabled ser/S3 查找结果。

如果 Macie 检测到现有策略调查发现后续出现，Macie 会通过添加有关后续事件的详细信息并增加发生次数来更新现有调查发现。Macie 将策略调查发现存储 90 天。

Macie 可以为 S3 通用存储桶生成以下类型的策略调查结果。

Policy:IAMUser/S3BlockPublicAccessDisabled

该存储桶的所有存储桶级阻止公共访问设置均已禁用。对存储桶的访问由账户的阻止公共访问设置、访问控制列表（ACL）以及存储桶的存储桶策略控制。

要了解 S3 存储桶的阻止公共访问设置，请参阅 《Amazon Simple Storage Service 用户指南》中的阻止对 Amazon S3 存储的公共访问。

Policy:IAMUser/S3BucketEncryptionDisabled

存储桶的默认加密设置已重置为默认 Amazon S3 加密行为，即使用 Amazon S3 托管密钥自动加密新对象。

从 2023 年 1 月 5 日开始，Amazon S3 自动应用服务器端加密，并使用 Amazon S3 托管式密钥 (SSE-S3) 作为添加到存储桶的对象的基本加密级别。您可以选择配置存储桶的默认加密设置，改为使用带密钥的服务器端加密 (SSE-KMS) 或使用 AWS KMS 密钥的双层服务器端加密 (DSSE-KM AWS KMS S)。要了解 S3 存储桶的默认加密设置和选项，请参阅 《Amazon Simple Storage Service 用户指南》中的设置 S3 存储桶的默认服务器端加密行为。

如果 Macie 在 2023 年 1 月 5 日之前生成了此类调查发现，则该调查发现表明受影响的存储桶已禁用默认加密设置。这意味着存储桶的设置没有为新对象指定默认的服务器端加密行为。Amazon S3 不再支持禁用存储桶默认加密设置的功能。

Policy:IAMUser/S3BucketPublic

存储桶的 ACL 或存储桶策略已更改为允许匿名用户或所有经过身份验证的 AWS Identity and Access Management (IAM) 身份进行访问。

要了解 S3 存储桶的 ACL 和存储桶策略，请参阅 Amazon Simple Storage Service 用户指南中的 Amazon S3 中的身份和访问管理。

Policy:IAMUser/S3BucketReplicatedExternally

复制已启用并配置为将对象从存储桶复制到组织外部（不是组织的一部分）的存储桶。 AWS 账户组织是一组 Macie 账户，这些账户通过 Macie 邀请 AWS Organizations 或通过 Macie 邀请作为一组相关账户进行集中管理。

在某些条件下，Macie 可能会为未配置为将对象复制到存储桶以供外部 AWS 账户存储桶使用的存储桶生成此类查找结果。如果 Macie 在每日刷新周期中从 Amazon S3 检索存储桶和对象元数据后，在过去 24 小时内 AWS 区域在不同的存储桶中创建了目标存储桶，则可能会发生这种情况。要调查发现结果，请先刷新您的清单数据。然后查看存储桶的详细信息。详细信息会显示存储桶是否配置为将对象复制到其他存储桶。如果存储桶配置为执行此操作，则详细信息将包括拥有目标存储桶的每个账户的账户 ID。

要了解 S3 存储桶的复制设置，请参阅 《Amazon Simple Storage Service 用户指南》中的复制对象。

Policy:IAMUser/S3BucketSharedExternally

存储桶的 ACL 或存储桶策略已更改，允许与组织外部（非其一 AWS 账户部分）共享存储桶。组织是一组 Macie 账户，这些账户通过 Macie 邀请 AWS Organizations 或通过 Macie 邀请作为一组相关账户进行集中管理。

在某些情况下，Macie 可能会为未与外部 Amazon Web Services account 共享的存储桶生成此类调查发现。如果 Macie 无法完全评测存储桶策略中的 Principal 元素与该策略 Condition 元素中的某些 AWS 全局条件上下文密钥或 Amazon S3 条件密钥之间的关系，则可能会发生这种情况。适用的条件键是：aws:PrincipalAccount、、aws:PrincipalArn、aws:PrincipalOrgID、aws:PrincipalOrgPaths、aws:PrincipalTag、aws:PrincipalType、aws:SourceAccount、aws:SourceArn、aws:SourceIp、aws:SourceVpc、、aws:SourceVpce、aws:userid、s3:DataAccessPointAccount、和s3:DataAccessPointArn。我们建议您检查存储桶的策略，以确定此访问是否为预期行为且是安全的。

要了解 S3 存储桶的 ACL 和存储桶策略，请参阅 Amazon Simple Storage Service 用户指南中的 Amazon S3 中的身份和访问管理。

Policy:IAMUser/S3BucketSharedWithCloudFront

存储桶的存储桶策略已更改，允许与 Amazon CloudFront 原始访问身份 (OAI)、源站访问控制 (OAC) 或 OAI 和 OA CloudFront I 和 OAC 共享存储桶。 CloudFront CloudFront CloudFront OAI 或 OAC 允许用户通过一个或多个指定的 CloudFront分配访问存储桶的对象。

要了解 CloudFront OAI 和 OAC，请参阅《亚马逊 CloudFront开发者指南》中的限制对 Amazon S3 来源的访问。

注意

在某些情况下，Macie 会为存储桶生成策略:iamuser/S3 BucketSharedExternally 查找结果，而不是策略:iamUser/S3 查找结果。BucketSharedWithCloudFront这些情况包括：

除了 CloudFront OAI 或 OAC 之外， AWS 账户该存储桶还与组织外部的用户共享。
存储桶的策略指定 OAI 的规范用户 ID，而不是亚马逊资源名称 (ARN)。 CloudFront

这会为存储桶生成更高严重性的策略调查发现。

敏感数据调查发现的类型

Macie 在 S3 对象中检测到敏感数据时，会生成敏感数据调查发现，并对其进行分析以发现敏感数据。这包括 Macie 在你运行敏感数据发现任务或自动发现敏感数据时执行的分析。

例如，如果您创建并运行敏感数据发现任务，而 Macie 在 S3 对象中检测到银行账号，则 Macie 会为该对象生成 A: s3Ob SensitiveData ject/Financial 查找结果。同样，如果 Macie 在自动敏感数据发现周期中检测到其分析的 S3 对象中的银行账号，则 Macie 会为该对象生成 A: s3Ob SensitiveData ject/Financial 查找结果。

如果 Macie 在随后的作业运行或自动化敏感数据发现周期中检测到同一 S3 对象中的敏感数据，则 Macie 会为该对象生成新的敏感数据调查发现。与策略调查发现不同，所有敏感数据调查发现都被视为新的（唯一的）。Macie 会将敏感数据调查发现存储 90 天。

Macie 可以为 S3 对象生成以下类型的敏感数据调查发现。

SensitiveData:S3Object/Credentials: 该对象包含敏感的凭据数据，例如私有访问 AWS 密钥或私钥。
SensitiveData:S3Object/CustomIdentifier: 该对象包含与一个或多个自定义数据标识符的检测标准相匹配的文本。该对象可能包含多种类型的敏感数据。
SensitiveData:S3Object/Financial: 该对象包含敏感的财务信息，例如银行账户或信用卡号。
SensitiveData:S3Object/Multiple: 该对象包含多个类别的敏感数据，即符合一个或多个自定义数据标识符检测标准的凭证数据、财务信息、个人信息或文本的任意组合。
SensitiveData:S3Object/Personal: 该对象包含敏感的个人信息——个人身份信息（PII），例如护照号码或驾照识别号，个人健康信息 (PHI)，例如健康保险或医疗识别号，或者个人身份信息和 PHI 的组合。

有关 Macie 可以使用内置标准和技术检测到的敏感数据的类型的信息，请参阅使用托管数据标识符。有关 Macie 可以分析的 S3 对象类型的信息，请参阅支持的存储类别和格式。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

分析调查发现

处理样本调查发现