本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 Macie 评估你的 Amazon S3 安全态势
要评测您的 Amazon Simple Storage Service (Amazon S3) 数据的整体安全状况并确定在何处采取行动,您可以使用 Amazon Macie 控制台上的摘要控制面板。
摘要控制面板在当前 AWS 区域中提供您的 Amazon S3 数据的汇总统计信息的快照。统计数据包括关键安全指标的数据,例如可公开访问或与其他 AWS 账户人共享的通用存储桶的数量。该控制面板还会显示关于您账户的几组调查发现汇总数据 — 例如,过去七天内出现次数最多的调查发现类型。如果您是组织的 Macie 管理员,则控制面板会提供组织中所有账户的汇总统计结果和数据。您可选择按账户筛选数据。
要进行更深入的分析,可以在控制面板上深入挖掘并查看各个项目的支持数据。您还可以使用 Amazon Macie 控制台查看和分析您的 S3 存储桶清单,或者使用 Amazon Macie 的DescribeBuckets操作以编程方式查询和分析库存数据。API
显示“摘要”控制面板
在 Amazon Macie 控制台上,摘要控制面板在当前 AWS 区域中针对您的 Amazon S3 数据提供汇总统计信息和调查发现数据的快照。如果您更喜欢以编程方式查询统计数据,则可以使用 Ama API zon Macie 的GetBucketStatistics操作。
要显示“摘要”控制面板
打开亚马逊 Macie 主机,网址为。https://console.aws.amazon.com/macie/
-
在导航窗格中,选择摘要。Macie 会显示摘要控制面板。
-
要确定 Macie 最近何时从 Amazon S3 为您的账户检索存储桶或对象元数据,请参阅控制面板顶部的上次更新时间字段。有关更多信息,请参阅 数据刷新。
-
要在控制面板上深入查看某一项的支持数据,请选择该项。
如果您是组织的 Macie 管理员,则控制面板会显示组织中您的账户和成员账户的汇总统计结果和数据。要对控制面板应用筛选条件,以仅显示特定账户的数据,请在控制面板上方的账户框中输入账户 ID。
了解“摘要”控制面板的组件
在摘要控制面板上,统计信息和数据分为几个部分。在控制面板的顶部,您将找到汇总的统计信息,这些统计信息指明您在 Amazon S3 中存储了多少数据,以及 Amazon Macie 可以分析多少这类数据以检测敏感数据。您还可以参考上次更新时间字段来确定 Macie 最近从 Amazon S3 为您的账户检索存储桶或对象元数据的时间。其他部分提供了统计信息和最新调查发现数据,它们可帮助您评测当前 AWS 区域中您的 Amazon S3 数据的安全性、隐私性和敏感性。
统计信息和数据分为以下几个部分:
存储和敏感数据发现 | 自动发现和覆盖范围问题 | 数据安全 | Top S3 存储桶 | 热门发现类型 | 政策调查结果
在查看每个部分时,可以选择一个项目进行深入研究并查看支持数据。另请注意,控制面板不包含 S3 目录存储桶的数据,仅包含通用存储桶。Macie 不监控或分析目录存储桶。
- 存储和敏感数据发现
-
在控制面板的顶部,统计数据显示您在 Amazon S3 中存储了多少数据,以及 Macie 可以分析其中多少数据来检测敏感数据。下图显示了一个拥有七个 Macie 账户的组织的这些统计数据示例。
本节中的个别统计数据是:
-
账户总数 – 如果您是组织的 Macie 管理员或拥有独立的 Macie 账户,则会显示此字段。它表示您的存储桶清单 AWS 账户 中自有存储桶的总数。如果您是 Macie 管理员,这是您为组织管理的 Macie 账户总数。如果您有一个独立的 Macie 账户,则该值为 1。
S3 存储桶总数 — 如果您在组织中拥有成员账户,则会显示此字段。它表示您的库存中通用存储桶的总数,包括不存储任何对象的存储桶。
-
存储 — 这些统计数据提供有关存储桶清单中对象的存储大小的信息:
-
可分类 – Macie 可在存储桶中分析的所有对象的总存储大小。
-
总计 – 存储桶中所有对象的总存储大小,包括 Macie 无法分析的对象。
如果任何对象为压缩文件,则这些值不反映这些文件解压缩后的实际大小。如果对任何存储桶启用了版本控制,则这些值基于这些存储桶中每个对象最新版本的存储大小。
-
-
对象 — 这些统计数据提供有关存储桶清单中对象数量的信息:
-
可分类 – Macie 可在存储桶中分析的对象的总数。
-
总计 – 存储桶中所有对象的总数,包括 Macie 无法分析的对象。
-
在上述统计数据中,如果数据和对象使用所支持的 Amazon S3 存储类别,并且其文件扩展名表示支持的文件或存储格式,则数据和对象属于可分类。您可以通过使用 Macie 检测对象中的敏感数据。有关更多信息,请参阅 支持的存储类别和格式。
请注意,存储和对象统计信息不包括 Macie 不允许 Macie 访问的、存储桶内对象的相关数据。例如,具有限制性存储桶策略的存储桶中的对象。要确定存在这种情况的存储桶,您可以通过使用 S3 存储桶表查看存储桶清单。如果存储桶名称旁边出现警告图标 (
),则表示不允许 Macie 访问该存储桶。 -
- 自动发现和覆盖问题
-
如果启用了自动敏感数据发现,则这些部分将显示在仪表板上。它们捕获 Macie 迄今为止针对您的 Amazon S3 数据执行的自动敏感数据发现活动的状态和结果。下图显示了这些部分提供的统计信息示例。
有关这些统计信息的详细信息,请参阅在 “摘要” 控制面板上查看数据敏感度统计数据。
- 数据安全性
-
本部分提供的统计信息表明您的 Amazon S3 数据存在潜在的安全性和隐私性风险。下图显示了本节中的统计数据示例。
有关这些统计信息的详细信息,请参阅了解“摘要”控制面板上的数据安全统计信息。
- 最常见的 S3 存储桶
-
本部分列出过去七天内生成了最多任意类型调查发现的 S3 存储桶,有多达五个存储桶。它还会指明 Macie 为每个存储桶创建的调查发现次数。下图显示了本节提供的数据示例。
要显示并选择深入了解过去七天内某个存储桶的所有调查发现,请在调查发现总数字段中选择该值。要显示所有存储桶的所有当前调查发现(按存储桶分组),请选择按存储桶查看所有调查发现。
如果 Macie 在过去七天内未创建任何调查发现,则此部分为空。或者在过去七天内创建的所有调查发现均受抑制规则抑制。
- 最常见的调查发现类型
-
本部分列出过去七天内出现次数最多的调查发现类型,有多达五种类型的调查发现。它还会指明 Macie 为每种类型创建的调查发现次数。下图显示了本节提供的数据示例。
要显示并选择深入了解过去七天内特定类型的所有调查发现,请在调查发现总数字段中选择该值。要显示按调查发现类型分组的所有当前调查发现,请选择按类型查看所有调查发现。
如果 Macie 在过去七天内未创建任何调查发现,则此部分为空。或者在过去七天内创建的所有调查发现均受抑制规则抑制。
- 策略调查发现
-
本部分列出 Macie 最近创建或更新的策略调查发现,有多达十项调查发现。下图显示了本节提供的数据示例。
要显示特定调查发现的详细信息,请选择该调查发现。
如果 Macie 在过去七天内未创建或更新任何策略调查发现,则此部分为空。或者在过去七天内创建或更新的所有策略调查发现均受抑制规则抑制。
了解“摘要”控制面板上的数据安全统计信息
摘要控制面板的数据安全性部分提供的统计信息可帮助您识别和调查您在当前 AWS 区域中的 Amazon S3 数据的潜在安全性和隐私性风险。例如,您可以使用这些数据来识别可公开访问或与其他 AWS 账户人共享的通用存储桶。
如果您的账户禁用了自动发现敏感数据,则本节顶部的存储和敏感数据发现统计数据会显示您在 Amazon S3 中存储了多少数据,以及 Amazon Macie 可以分析其中多少数据来检测敏感数据。其他统计数据分为三个区域,如下图所示。
在查看每个区域时,可以选择要向下钻取的项目并查看支持数据。另请注意,统计数据不包括 S3 目录存储桶的数据,仅包括通用存储桶。Macie 不监控或分析目录存储桶。
每个区域中的单独统计信息如下。
- 公有访问权限
-
这些统计信息指明有多少个 S3 存储桶可公开访问或不可公开访问:
-
可公开访问 - 允许公众对存储桶进行读或写访问的存储桶的数量和百分比。
-
公开可写 - 允许公众对存储桶进行写访问的存储桶的数量和百分比。
-
公开可读 – 允许公众对存储桶进行读访问的存储桶的数量和百分比。
-
不可公开访问 - 允许公众对存储桶进行读或写访问的存储桶的数量和百分比。
要计算每个百分比,Macie 会将适用存储桶的数量除以存储桶清单中的存储桶总数。
为了确定该区域的值,Macie 分析了每个存储桶的账户和存储分区级别设置的组合:账户的封禁公共访问设置;存储桶的封禁公开访问设置;存储桶的存储桶策略;以及存储桶的访问控制列表 (ACL)。有关这些设置的信息,请参阅《亚马逊简单存储服务用户指南》中的访问管理和阻止公众访问您的 Amazon S 3 存储。
在某些情况下,公共访问区域还会显示 “未知” 的值。如果出现这些值,则 Macie 无法评测指定数量和百分比的存储桶的公有访问设置。例如,由于临时问题或存储桶的权限设置,Macie 无法检索必要的数据。或者 Macie 无法完全确定一个或多个策略语句是否允许外部实体访问存储桶。
-
- 加密
-
这些统计信息会指明有多少 S3 存储桶被配置为对添加到存储桶的对象应用某些类型的服务器端加密:
-
默认加密 — SSE-S3 — 默认加密设置配置为使用 Amazon S3 托管密钥加密新对象的存储桶的数量和百分比。对于这些存储桶,将使用 SSE-S3 加密自动加密新对象。
-
默认加密 — DSSE-KMS/SSE-KMS — 默认加密设置配置为使用客户托管密钥 AWS 托管式密钥 或客户托管密钥加密新对象 AWS KMS key的存储桶的数量和百分比。对于这些存储桶,将使用 DSSE-KMS 或 SSE-加密自动KMS加密新对象。
要计算每个百分比,Macie 会将适用存储桶的数量除以存储桶清单中的存储桶总数。
为了确定此区域中的值,Macie 会分析每个存储桶的默认加密设置。从 2023 年 1 月 5 日起,Amazon S3 自动应用服务器端加密,将 Amazon S3 托管密钥 (SSE-S3) 作为添加到存储桶中的对象的基本加密级别。您可以选择配置存储桶的默认加密设置,改为使用带有密钥 (-) 的服务器端加密或使用 AWS KMS 密钥 (SSE-KMS) 的双层服务器端加密。 AWS KMS DSSE KMS有关默认加密设置和选项的信息,请参阅 Amazon Simple Storage Service 用户指南中的为 S3 存储桶设置默认服务器端加密行为。
在某些情况下,“加密” 区域还会显示 “未知” 的值。如果出现这些值,则 Macie 无法评测指定数量和百分比的存储桶的默认加密设置。例如,由于临时问题或存储桶的权限设置,Macie 无法检索必要的数据。
-
- 共享
-
这些统计数据表明有多少 S3 存储桶与其他 AWS 账户、Amazon O CloudFront rigin 访问身份 (OAIs) 或源站访问控制 (OACs) 共享,或 CloudFront未共享:
-
外部共享 — 与以下一个或多个用户或以下任意组合共享存储桶的数量和百分比:a CloudFront OAI CloudFront OAC、a 或不在同一个组织中的账户。
-
内部共享 – 与同一组织中的一个或多个账户共享的存储桶的数量和百分比。这些存储桶不与 CloudFront OAIs或OACs共享。
-
未共享 — 未与其他账户共享的存储桶的数量和百分比 CloudFront OAIs,或CloudFront OACs。
要计算每个百分比,Macie 会将适用存储桶的数量除以存储桶清单中的存储桶总数。
为了确定是否与其他人共享存储桶 AWS 账户,Macie 会分析存储桶策略以及ACL每个存储分区的策略。此外,组织被定义为一组 Macie 账户,这些账户通过 AWS Organizations 或受到 Macie 邀请作为一组相关账户进行集中管理。有关用于共享存储桶的 Amazon S3 选项的信息,请参阅《亚马逊简单存储服务用户指南》中的访问管理。
注意
在某些情况下,Macie 可能会错误地报告存储桶与不在同一个组织中的 AWS 账户 共享。如果 Macie 无法完全评测存储桶策略中的
Principal元素与该策略Condition元素中的某些 AWS 全局条件上下文密钥或 Amazon S3 条件密钥之间的关系,则可能会发生这种情况。适用的条件键是:aws:PrincipalAccount、、aws:PrincipalArn、aws:PrincipalOrgID、aws:PrincipalOrgPaths、aws:PrincipalTag、aws:PrincipalType、aws:SourceAccount、aws:SourceArn、aws:SourceIp、aws:SourceVpc、、aws:SourceVpce、aws:userid、s3:DataAccessPointAccount、和s3:DataAccessPointArn。要确定各个存储桶是否属于这种情况,请在控制面板上选择外部共享统计信息。在显示的表中,记下每个存储桶的名称。然后使用 Amazon S3 查看每个存储桶的策略,并确定共享访问设置是否符合预期且安全。
为了确定是否与 CloudFront OAIs或共享存储桶OACs,Macie 会分析每个存储桶的存储桶策略。 CloudFront OAI或OAC允许用户通过一个或多个指定的 CloudFront分配访问存储桶的对象。有关 CloudFront OAIs和的信息OACs,请参阅《亚马逊 CloudFront 开发者指南》中的限制对 Amaz on S3 源的访问。
在某些情况下,共享区域还会显示 “未知” 的值。如果显示这些值,则 Macie 无法确定指定数量和百分比的存储桶是否与其他账户共享 CloudFront OAIs、或。 CloudFront OACs例如,由于临时问题或存储桶的权限设置,Macie 无法检索必要的数据。或者Macie无法全面评估存储桶的政策,或者. ACLs
-
