Macie 调查发现的类型 - Amazon Macie
策略调查发现的类型敏感数据调查发现的类型

Macie 调查发现的类型

Amazon Macie 会生成两类调查发现:策略调查发现敏感数据调查发现策略调查发现是有关 Amazon Simple Storage Service (Amazon S3) 通用存储桶的潜在策略违规或安全或隐私问题的详细报告。Macie 会生成策略调查发现,作为其持续活动的一部分,以评测和监控您的通用存储桶的安全性和访问控制。敏感数据调查发现是 Macie 在 S3 对象中检测到的敏感数据的详细报告。当您运行敏感数据发现作业或执行自动敏感数据发现时,Macie 会生成敏感数据调查发现,作为其执行的活动的一部分。

在每个类别中,都有特定的类型。调查发现的类型有助于深入了解 Macie 发现的问题或敏感数据的性质。调查发现的详细信息提供了严重性评级、受影响资源的信息以及其他信息,例如 Macie 何时以及如何发现问题或敏感数据。每个调查发现的严重性和细节因其类型和性质而异。

提示

要探索和了解 Macie 可以生成的不同类别和类型的调查发现,请创建示例调查发现。样本调查发现使用示例数据和占位符值来演示每种类型的调查发现可能包含的信息类型。

策略调查发现的类型

当 S3 通用存储桶的策略或设置更改导致存储桶及其对象的安全性或隐私性降低时,Amazon Macie 会生成策略调查发现。有关 Macie 如何检测这些更改的信息,请参阅 Macie 如何监控 Amazon S3 数据安全性

只有您在为您的 AWS 账户 启用 Macie 之后发生更改时,Macie 才会生成策略调查发现。例如,如果您在启用 Macie 时禁用了 S3 存储桶的阻止公共访问设置,则 Macie 会为该存储桶生成一个 Policy:IAMUser/S3BlockPublicAccessDisabled 调查发现。如果您在启用 Macie 时禁用了存储桶的阻止公共访问设置,并且这些设置继续处于禁用状态,则 Macie 不会为该存储桶生成 Policy:IAMUser/S3BlockPublicAccessDisabled 调查发现。

如果 Macie 检测到现有策略调查发现后续出现,Macie 会通过添加有关后续事件的详细信息并增加发生次数来更新现有调查发现。Macie 将策略调查发现存储 90 天。

Macie 可以为 S3 通用存储桶生成以下类型的策略调查发现。

Policy:IAMUser/S3BlockPublicAccessDisabled

该存储桶的所有存储桶级阻止公共访问设置均已禁用。对存储桶的访问由账户的阻止公共访问设置、访问控制列表(ACL)以及存储桶的存储桶策略控制。

要了解 S3 存储桶的阻止公共访问设置,请参阅 《Amazon Simple Storage Service 用户指南》中的阻止对 Amazon S3 存储的公共访问

Policy:IAMUser/S3BucketEncryptionDisabled

存储桶的默认加密设置已重置为默认 Amazon S3 加密行为,即使用 Amazon S3 托管密钥自动加密新对象。

从 2023 年 1 月 5 日开始,Amazon S3 自动应用服务器端加密,并使用 Amazon S3 托管式密钥 (SSE-S3) 作为添加到存储桶的对象的基本加密级别。您可以选择配置存储桶的默认加密设置,改为使用带 AWS KMS 密钥(SSE-KMS)的服务器端加密或带 AWS KMS 密钥(DSSE-KMS)的双层服务器端加密。要了解 S3 存储桶的默认加密设置和选项,请参阅 《Amazon Simple Storage Service 用户指南》中的设置 S3 存储桶的默认服务器端加密行为

如果 Macie 在 2023 年 1 月 5 日之前生成了此类调查发现,则该调查发现表明受影响的存储桶已禁用默认加密设置。这意味着存储桶的设置没有为新对象指定默认的服务器端加密行为。Amazon S3 不再支持禁用存储桶默认加密设置的功能。

Policy:IAMUser/S3BucketPublic

存储桶的 ACL 或存储桶策略已更改为允许匿名用户或所有经过身份验证的 AWS Identity and Access Management (IAM) 身份访问。

要了解 S3 存储桶的 ACL 和存储桶策略,请参阅 Amazon Simple Storage Service 用户指南中的访问管理

Policy:IAMUser/S3BucketReplicatedExternally

复制已启用并配置为将对象从存储桶复制到组织外部(不是组织的一部分)的 AWS 账户 中。组织被定义为一组 Macie 账户,这些账户通过 AWS Organizations 或受 Macie 邀请作为一组相关账户进行集中管理。

在某些条件下,Macie 可能会为未配置为将对象复制到外部 AWS 账户 存储桶的存储桶生成此类调查发现。如果目标存储桶是在过去 24 小时内,也就是 Macie 在每日刷新周期中从 Amazon S3 检索存储桶和对象元数据之后在不同的 AWS 区域 中创建,则可能会发生这种情况。要调查发现结果,请先刷新您的清单数据。然后查看存储桶的详细信息。详细信息会显示存储桶是否配置为将对象复制到其他存储桶。如果存储桶配置为执行此操作,则详细信息将包括拥有目标存储桶的每个账户的账户 ID。

要了解 S3 存储桶的复制设置,请参阅 《Amazon Simple Storage Service 用户指南》中的复制对象

Policy:IAMUser/S3BucketSharedExternally

存储桶的 ACL 或存储桶策略已更改,以允许与组织外部的 AWS 账户(不是组织的一部分)共享存储桶。组织被定义为一组 Macie 账户,这些账户通过 AWS Organizations 或受 Macie 邀请作为一组相关账户进行集中管理。

在某些情况下,Macie 可能会为未与外部 Amazon Web Services account 共享的存储桶生成此类调查发现。如果 Macie 无法完全评测存储桶策略中的 Principal 元素与该策略 Condition 元素中的某些 AWS 全局条件上下文密钥Amazon S3 条件密钥之间的关系,则可能会发生这种情况。适用的条件密钥为:aws:PrincipalAccountaws:PrincipalArnaws:PrincipalOrgIDaws:PrincipalOrgPathsaws:PrincipalTagaws:PrincipalTypeaws:SourceAccountaws:SourceArnaws:SourceIpaws:SourceVpcaws:SourceVpceaws:userids3:DataAccessPointAccounts3:DataAccessPointArn。我们建议您检查存储桶的策略,以确定此访问是否为预期行为且是安全的。

要了解 S3 存储桶的 ACL 和存储桶策略,请参阅 Amazon Simple Storage Service 用户指南中的访问管理

Policy:IAMUser/S3BucketSharedWithCloudFront

存储桶的存储桶策略已更改,允许与 Amazon CloudFront 来源访问身份(OAI)、CloudFront 来源访问控制 (OAC) 或 CloudFront OAI 和 CloudFront OAC 两者共享存储桶。CloudFront OAI 或 OAC 允许用户通过一个或多个指定的 CloudFront 分配访问存储桶的对象。

要了解 CloudFront OAI 和 OAC,请参阅 Amazon CloudFront 开发人员指南中的限制对 Amazon S3 源的访问

注意

在某些情况下,Macie 会为存储桶生成一个 Policy:IAMUser/S3BucketSharedExternally 调查发现,而不是 Policy:IAMUser/S3BucketSharedWithCloudFront 调查发现。这些情况包括:

  • 除了 CloudFront OAI 或 OAC 之外,该存储桶还与组织外部的 AWS 账户 共享。

  • 存储桶的策略指定 CloudFront OAI 的规范用户 ID,而不是 Amazon 资源名称(ARN)。

这会为存储桶生成更高严重性的策略调查发现。

敏感数据调查发现的类型

Amazon Macie 在 S3 对象中检测到敏感数据时,会生成敏感数据调查发现,并对其进行分析以发现敏感数据。这包括 Macie 在您运行敏感数据发现作业或执行自动敏感数据发现时执行的分析。

例如,如果您创建并运行敏感数据发现作业,而 Macie 在 S3 对象中检测到银行账户,则 Macie 会为该对象生成 SensitiveData:S3Object/Financial 调查发现。同样,如果 Macie 在自动敏感数据发现周期中检测到其分析的 S3 对象中的银行账户,则 Macie 会为该对象生成 SensitiveData:S3Object/Financial 调查发现。

如果 Macie 在随后的作业运行或自动敏感数据发现周期中检测到同一 S3 对象中的敏感数据,则 Macie 会为该对象生成新的敏感数据调查发现。与策略调查发现不同,所有敏感数据调查发现都被视为新的(唯一的)。Macie 会将敏感数据调查发现存储 90 天。

Macie 可以为 S3 对象生成以下类型的敏感数据调查发现。

SensitiveData:S3Object/Credentials

该对象包含敏感的凭证数据,例如私有访问 AWS 秘密访问密钥或私有密钥。

SensitiveData:S3Object/CustomIdentifier

该对象包含与一个或多个自定义数据标识符的检测标准相匹配的文本。该对象可能包含多种类型的敏感数据。

SensitiveData:S3Object/Financial

该对象包含敏感的财务信息,例如银行账户或信用卡号。

SensitiveData:S3Object/Multiple

该对象包含多个类别的敏感数据,即符合一个或多个自定义数据标识符检测标准的凭证数据、财务信息、个人信息或文本的任意组合。

SensitiveData:S3Object/Personal

该对象包含敏感的个人信息——个人身份信息(PII),例如护照号码或驾照识别号,个人健康信息 (PHI),例如健康保险或医疗识别号,或者个人身份信息和 PHI 的组合。

有关 Macie 可以使用内置标准和技术检测到的敏感数据的类型的信息,请参阅 使用托管数据标识符。有关 Macie 可以分析的 S3 对象类型的信息,请参阅 支持的存储类别和格式