查看 Macie 中的 S3 存储桶清单

在 Amazon Macie 控制台，S3 存储桶页面详细介绍了当前AWS 区域中 Amazon Simple Storage Service (Amazon S3) 数据的安全和隐私。借此页面，您可以查看和分析区域内 S3 通用存储桶的完整清单，并查看各个存储桶的详细信息和统计数据。如果您是组织的 Macie 管理员，则您的清单包括您的成员账户拥有的 S3 存储桶的详细信息和统计信息。

S3 存储桶页面还会显示 Macie 最近一次从 Amazon S3 检索账户存储桶或对象元数据的时间。您可以在页面顶部的 上次更新时间字段中找到此信息。如果您是组织的 Macie 管理员，则此字段会显示 Macie 为您组织内账户检索数据的最早日期和时间。有关更多信息，请参阅数据刷新。

请注意，库存数据和统计信息不包括 S3 目录存储桶的数据，仅包括通用存储桶的数据。Macie 不监控或分析目录存储桶。此外，大多数清单数据仅限允许 Macie 通过您的账户访问的存储桶。如果存储桶的权限设置阻止 Macie 检索有关该存储桶或存储桶对象的信息，则 Macie 只能提供有关此存储桶的部分信息。如果特定存储桶出现这种情况，Macie 将您的存储桶清单中显示该存储桶的警告图标 ( ) 和消息。有关存储桶的详细信息，Macie 仅显示字段和数据子集：拥有该存储桶的 AWS 账户的账户 ID；存储桶的名称、Amazon 资源名称（ARN）、创建日期和区域；以及 Macie 最近一次在每日刷新周期中检索存储桶和对象元数据的时间。要调查该问题，请在 Amazon S3 中查看存储桶的策略和权限设置。例如，存储桶可能具有限制性的存储桶策略。有关更多信息，请参阅允许 Macie 访问 S3 存储桶和对象。

如果您更喜欢以编程方式访问和查询清单数据，则可以使用 Amazon Macie API 的 DescribeBuckets 操作。

查看 S3 存储桶清单

Amazon Macie 控制台上的 S3 通用存储桶页面提供关于当前 AWS 区域中 S3 存储桶的信息。此页面表格显示了清单中每个存储桶的摘要信息。要自定义视图，您可以对表格进行排序和筛选。如果您在表中选择一个存储桶，则详细信息面板显示有关此存储桶的其他信息。这包括设置详情和统计数据，以及洞察存储桶数据安全和隐私的指标。您可以选择将数据从表中导出至逗号分隔值 (CSV) 文件。

如果启用了自动敏感数据发现，您还可通过交互式热图查看清单。该地图直观显示了整个 Amazon S3 数据资产的数据敏感度。它采集 Macie 迄今为止执行的自动敏感数据发现活动的结果。要详细了解相关内容，请参阅使用 S3 存储桶地图观察数据灵敏度。

要查看 S3 存储桶清单

通过以下网址打开 Amazon Macie 控制台：https://console.aws.amazon.com/macie/。
在导航窗格中，选择 S3 存储桶。S3 存储桶页面显示您的存储桶清单。如果页面显示您的清单的交互式地图，请选择页面顶部的表格 ( )。然后，Macie 会显示您的清单中的存储桶数量和存储桶表。

如果启用了自动敏感数据发现，则默认视图不会显示当前被排除在自动敏感数据发现之外的其他存储桶的数据。要显示这些数据，请在筛选框下方的由自动发现筛选器监控标记中选择 X。
在页面顶部，可以选择刷新 ( )，从 Amazon S3 检索最新的存储桶元数据。

如果信息图标 ( ) 出现在任何存储桶名称旁边，我们建议您这样操作。此图标表明存储桶是在过去 24 小时内创建的，可能是 Macie 在每日刷新周期中最后一次从 Amazon S3 检索存储桶和对象元数据之后创建的。
在 S3 存储桶表中，查看有关清单内每个存储桶的子信息：
- 敏感度：如果启用了自动敏感数据发现，则显示存储桶当前敏感度分数。有关 Macie 定义的灵敏度分数范围的信息，请参阅 S3 存储桶的敏感度分数。
- 存储桶：存储桶名称。
- 账户：拥有存储桶的 AWS 账户账户 ID。
- 可分类对象：Macie 可在存储桶中分析以检测敏感数据的对象总数。
- 可分类大小：Macie 可在存储桶中分析以检测敏感数据的所有对象的总存储大小。
  
  注意，此值不反映任何压缩对象在解压缩后的实际大小。此外，如果为存储桶启用了版本控制，则此值将基于存储桶中每个最新版本对象的存储大小。
- 按作业监控：是否将任何敏感数据发现作业配置为：每天、每周或每月定期分析存储桶中的对象。
  
  如果此字段的值为是，则表示该存储桶已显式包含在定期作业中，或者该存储桶在过去 24 小时内符合定期作业的条件。此外，其中至少有一个作业的状态非已取消。Macie 每天都会更新这些数据。
- 最新运行的作业：如果将任何定期或一次性的敏感数据发现作业配置为分析存储桶中的对象，则此字段表示其中一个作业开始运行的最新日期和时间。否则，该字段中会出现破折号 (-)。
在上述数据中，如果对象使用所支持的 Amazon S3 存储类别，并且其文件扩展名表示支持的文件或存储格式，则对象属于可分类。您可以通过使用 Macie 检测对象中的敏感数据。有关更多信息，请参阅支持的存储类别和格式。
要使用表格分析清单，请执行以下操作之一：
- 要按特定字段对表格进行排序，请选择该字段的列标题。若要更改排序顺序，请再次选择列标题。
- 要筛选表格并仅显示含特定字段值的存储桶，请将光标置于筛选框内，然后为该字段添加筛选条件。若要进一步优化结果，请为其他字段添加筛选条件。有关更多信息，请参阅筛选您的 S3 存储桶清单。
要查看特定存储桶的详细信息和统计数据，请选择表中的存储桶名称，然后转到详细信息面板。

提示
您可以使用存储桶详细信息面板来深入探究很多字段。要显示某个字段中具有相同值的存储桶，请在该字段中选择。要显示其他字段值的存储桶，请在字段中选择。
要以 CSV 格式文件导出表内数据，请选择您想导出的每行的复选框，或选中选择列标题中的复选框以选择所有行。然后在页面顶部选择导出到 CSV。您最多可从表格中导出 50000 行。

查看 S3 存储桶的详细信息

您可在 Amazon Macie 控制台上，使用S3 存储桶页面的详细信息面板查看关于 S3 存储桶清单内的通用存储桶的统计数据和其他信息。这包括设置和指标详细信息和统计数据，这些详细信息和统计数据提供了存储桶数据安全和隐私的洞察。

例如，您可以查看 S3 存储桶的公共访问设置明细，并确定存储桶的配置目的是重复对象还是与其他 AWS 账户分享。您还可以确定是否配置任何敏感数据发现作业，以检查存储桶内是否有敏感数据。如果有，您可以访问最近运行作业的详细信息，选择显示作业产生的任何调查发现。

如果启用了自动敏感数据发现，您还可以使用详细信息面板查看有关单独 S3 存储桶的敏感数据发现统计数据和其他信息。此面板采集 Macie 迄今为止为存储桶执行的、自动敏感数据发现活动的结果。要了解更多详细信息，请参阅查看 S3 存储桶的数据灵敏度详细信息。

要查看 S3 存储桶的详细信息

通过以下网址打开 Amazon Macie 控制台：https://console.aws.amazon.com/macie/。
在导航窗格中，选择 S3 存储桶。S3 存储桶页面显示您的存储桶清单。

如果启用了自动敏感数据发现，则默认视图不会显示当前被排除在自动敏感数据发现之外的其他存储桶的数据。要显示这些数据，请在筛选框下方的由自动发现筛选器监控标记中选择 X。
在页面顶部，可以选择刷新 ( )，从 Amazon S3 检索最新的存储桶元数据。
请选择要查看的存储桶的详细信息。此详细信息面板显示有关存储桶的统计数据和其他信息。

详细信息面板中的统计数据和信息分为以下主要部分：

概述 | 对象统计 | 服务器端加密 | 敏感数据发现 | 公共访问 | 复制 | 标签

在查看每个部分的信息时，您可以选择对某些字段进行转置和向下钻取。要显示某个字段中具有相同值的存储桶，请在该字段中选择。要显示其他字段值的存储桶，请在字段中选择。

概述

本部分提供有关存储桶的一般信息，例如存储桶名称、存储桶创建时间以及拥有该存储桶的 AWS 账户的账户 ID。特别值得注意的是，上次更新时间字段指示 Macie 最近从 Amazon S3 中检索存储桶或存储桶对象元数据的时间。

共享访问 字段表示存储桶与其他AWS 账户、Amazon CloudFront 来源访问身份（OAI）或 CloudFront 来源访问控制 (OAC) 共享：

外部‬：该存储桶与以下一个或多个或以下任意组合共享：CloudFront OAI、CloudFront OAC 或组织外部(不属于组织)的账户。
内部‬：存储桶与组织内部（一部分）的一个或多个账户共享。它不与 CloudFront OAI 或 OAC 共享。
未共享‬：存储桶不会与其他账户、CloudFront OAI 或 CloudFront OAC 共享。
未知‬：Macie 无法评测存储桶的共享访问权限设置。

为了确定存储桶是否与其他AWS 账户共享，Macie 会分析存储桶的存储桶策略和访问控制列表（ACL）。分析仅限于存储桶级设置。它不反映用于共享存储桶内特定对象的任何对象级设置。此外，组织被定义为一组 Macie 账户，这些账户通过 AWS Organizations 或受 Macie 邀请作为一组相关账户进行集中管理。要了解分享存储桶的 Amazon S3 选项，请参阅《Amazon Simple Storage Service 用户指南》中的访问管理。

注意

在某些情况下，Macie 可能会发生错误，指示存储桶与组织外部（非组织内）的 AWS 账户共享。如果 Macie 无法完全评测存储桶策略中的 Principal 元素与该策略 Condition 元素中的某些 AWS 全局条件上下文密钥或 Amazon S3 条件密钥之间的关系，则可能会发生这种情况。适用的条件密钥为：aws:PrincipalAccount、aws:PrincipalArn、aws:PrincipalOrgID、aws:PrincipalOrgPaths、aws:PrincipalTag、aws:PrincipalType、aws:SourceAccount、aws:SourceArn、aws:SourceIp、aws:SourceVpc、aws:SourceVpce、aws:userid、s3:DataAccessPointAccount 和 s3:DataAccessPointArn。我们建议您检查存储桶的策略，以确定此访问是否为预期行为且是安全的。

为了确定存储桶的共享对象是 CloudFront OAI 还是 OAC 共享，Macie 会分析该存储桶的策略。CloudFront OAI 或 OAC 允许用户通过一个或多个指定的 CloudFront 分配访问存储桶的对象。要了解 CloudFront OAI 和 OAC，请参阅 Amazon CloudFront 开发人员指南中的限制对 Amazon S3 源的访问。

概述部分还包括最近的自动发现运行时间字段。该字段指示 Macie 最近在执行自动敏感数据发现时分析存储桶对象的时间。如果未进行此分析，则此字段中会出现一个破折号（-）。

对象统计数据

本部分提供关于存储桶对象的信息，首先介绍存储桶内的对象总数（总数）、所有对象的总存储大小（总存储大小），以及所有压缩文件 (.gz、.gzip 或 .zip) 对象的总存储大小（总压缩大小）。本节中的其他统计数据可帮您评测 Macie 可分析的数据量，以检测存储桶内的敏感数据。

如果您最近创建了存储桶，或在过去 24 小时内对存储桶对象进行了重大更改，则可以选择性选择刷新 ( ) 以检索存储桶对象的最新元数据。Macie 显示信息图标 ( )，以帮助您确定是否可能出现这种情况。如果存储桶存储的对象数量小于等于 30000 个，则可以使用刷新选项。

查看本节统计数据时，请牢记以下几点：

如果为存储桶启用了版本控制，则大小值将基于存储桶中每个最新版本对象的存储大小。
如果存储桶内存储压缩对象，则大小值不反映这些对象在解压缩后的实际大小。
如果您刷新存储桶的对象元数据，Macie 会临时报告未知，以获取适用于该对象的加密统计信息。当在 24 小时内对存储桶和对象元数据执行下一次日常刷新，Macie 将重新评测和更新这些统计数据。
默认情况下，对象计数和大小值包括：存储桶内包含的、作为不完全分段上传结果的、任何对象部分数据。如果您刷新存储桶对象元数据，Macie 会从重新计算的值中排除对象部分数据。当 Macie 对存储桶和对象元数据执行下一次日常刷新（24 小时内）时，Macie 会重新计算和更新这些统计数据的值，并将对象部分的数据再次纳入值中。

请注意，Macie 无法通过分析对象部分检测敏感数据。Amazon S3 必须先将分段重组成一个或多个对象，让 Macie 进行分析。有关分段上传和对象分段的信息，包括如何根据生命周期规则自动删除分段，请参阅 Amazon Simple Storage Service 用户指南中的使用分段上传来上传和复制对象。要识别包含对象分段的存储桶，您可以参考 Amazon S3 Storage Lens 存储统计管理工具中的未完成分段上传。有关更多信息，请参阅 Amazon Simple Storage Service 用户指南中的评测您的存储活动和使用情况。

对象统计信息组织方式如下。

可分类对象

此部分所示为 Macie 可分析的对象总数，用于检测这些对象的敏感数据和总存储大小。这些对象使用所支持的 Amazon S3 存储类别，并且其文件扩展名表示支持的文件或存储格式。您可以通过使用 Macie 检测对象中的敏感数据。有关更多信息，请参阅支持的存储类别和格式。

不可分类的对象

此部分所示为 Macie 无法分析的对象总数，用于检测这些对象的敏感数据和总存储大小。这些对象不使用所支持的 Amazon S3 存储类别，并且其文件扩展名未表示支持的文件或存储格式。

不可分类的对象：存储分类

本节详细介绍了 Macie 无法分析对象的数量和存储大小，无法分析的原因是这些对象不使用支持的 Amazon S3 存储类别。

不可分类的对象：文件类型

本节详细介绍了 Macie 无法分析对象的数量和存储大小，无法分析的原因是这些对象未使用支持的文件扩展名或存储格式。

按加密类型统计的对象

本节详细介绍了使用 Amazon S3 支持的每种加密类型的对象数量：

客户提供的：使用客户提供的密钥加密的对象数量。这些对象使用 SSE-C 加密。
AWS KMS 托管：使用 AWS KMS key 加密的对象数量，即 AWS 托管式密钥或客户托管密钥。这些对象使用 DSSE-KMS 或 SSE-KMS 加密。
Amazon S3 托管：使用 Amazon S3 托管式密钥加密的对象数量。这些对象使用 SSE-S3 加密。
不加密：未加密或未使用客户端加密的对象数量。（如果对象通过客户端加密，Macie 无法访问和报告对象加密数据。）
未知：Macie 没有其当前加密元数据的对象数量。如果您最近选择手动刷新存储桶对象元数据，则通常会发生这种情况。当在 24 小时内对存储桶和对象元数据执行下一次日常刷新，Macie 将加密统计数据。

有关每个所支持的加密类型的更多信息，请参阅 Amazon Simple Storage Service 用户指南中的使用加密保护数据。

服务器端加密

本节深入介绍存储桶服务器端加密设置。

按存储桶策略要求加密字段指明在向存储桶添加对象时，存储桶】的策略是否要求对对象进行服务器端加密：

否‬：存储桶没有存储桶策略，或者存储桶的策略不要求对新对象进行服务器端加密。如果存在存储桶策略，则它不要求在 PutObject 请求中纳入与有效服务器端加密标题。
是‬：存储桶策略要求对新对象进行服务器端加密。存储桶的 PutObject 请求必须包含有效的服务器端加密标题。否则，Amazon S3 拒绝该请求。
未知‬：Macie 无法评测存储桶的策略以确定它是否需要对新对象进行服务器端加密。

在此评测中，有效的服务器端加密标题为：x-amz-server-side-encryption 值为 AES256 或 aws:kms，x-amz-server-side-encryption-customer-algorithm 值为 AES256。有关使用存储桶政策要求服务器端对新对象加密的更多信息，请参阅《Amazon Simple Storage Service 用户指南》中的使用服务器端加密保护数据。

默认加密字段表示存储桶默认配置为对添加到存储桶的对象应用的服务器端加密算法：

AES256‬：存储桶的默认加密设置配置为：通过 Amazon S3 托管密钥加密新对象。新对象通过 SSE-S3 加密法自动加密。
aws:kms：存储桶的默认加密设置配置为：通过 AWS KMS key，AWS 托管式密钥或客户托管密钥加密新对象。新对象使用 SSE-KMS 加密法自动加密。AWS KMS key 字段显示所用密钥 Amazon 资源名称（ARN）或唯一标识符 (密钥 ID)。
aws:kms:dsse：存储桶的默认加密设置配置为：通过 AWS KMS key，AWS 托管式密钥或客户托管密钥加密新对象。新对象使用 DSSE-KMS 加密法自动加密。AWS KMS key 字段显示所用密钥的 ARN 或密钥 ID。
无：存储桶的默认加密设置不为新对象指定服务器端加密行为。

从 2023 年 1 月 5 日开始，Amazon S3 自动应用服务器端加密，并使用 Amazon S3 托管式密钥 (SSE-S3) 作为添加到存储桶的对象的基本加密级别。您可以选择配置存储桶的默认加密设置，改为使用带 AWS KMS 密钥（SSE-KMS）的服务器端加密或带 AWS KMS 密钥（DSSE-KMS）的双层服务器端加密。有关默认加密设置和选项的信息，请参阅 Amazon Simple Storage Service 用户指南中的为 S3 存储桶设置默认服务器端加密行为。

敏感数据发现

本节详细介绍了是否将任何敏感数据发现作业配置为：每天、每周或每月定期分析存储桶中的对象。如果由作业主动监控字段的值为是，则该存储桶将明确包含在定期作业中，或者该存储桶在过去 24 小时曾匹配定期作业条件。此外，其中至少有一个作业的状态非已取消。Macie 每天都会更新这些数据。

如果您配置了任何类型的敏感数据发现作业（定期作业或一次性作业）来分析存储桶中的对象，则最新作业字段将提供最近开始运行的作业的唯一标识符。最近作业运行时间字段指示该作业开始运行的时间。

提示

要显示作业生成的所有敏感数据调查发现，请选择最近的作业字段中的链接。在出现的作业详细信息面板中，选择面板顶部的显示结果，然后选择显示调查发现。

公有访问权限

本节还指示存储桶是否可公开访问。它还详细介绍决定这种情况的各类账户和存储桶级设置。有效权限字段指示这些设置的累积结果：

非公开访问：存储桶不可公开访问。
公开访问：存储桶可公开访问。
未知：Macie 无法评测存储桶的所有公有访问设置。

请注意，此数据仅限账户和存储桶级设置。它不反映允许公有访问特定存储桶对象的对象级设置。

要了解管理存储桶和存储桶数据公开访问的 Amazon S3 设置，请参阅 Amazon Simple Storage Service 用户指南中的访问管理和阻止对 Amazon S3 存储的公共访问。

复制

在本节中，Replicated 字段指示存储桶是否配置为将对象复制到其他存储桶。如果此字段的值为是，则表示已为此存储桶配置并启用一条或多条复制规则。本部分还列出了拥有目标存储桶的、每个AWS 账户的账户 ID。

外部复制 字段指明存储桶是否配置为：复制AWS 账户的、组织以外的存储桶对象。组织被定义为一组 Macie 账户，这些账户通过 AWS Organizations 或受 Macie 邀请作为一组相关账户进行集中管理。如果此字段的值为是，则为该存储桶配置并启用了复制规则，并将该规则配置为：将对象复制到由外部AWS 账户拥有的存储桶。

注意

在某些条件下，Macie 可能不正确地指示存储桶配置为将对象复制到外部 AWS 账户拥有的存储桶。如果目标存储桶是在过去 24 小时内，也就是 Macie 在每日刷新周期中从 Amazon S3 检索存储桶和对象元数据之后在不同的 AWS 区域中创建，则可能会发生这种情况。

要使用 Macie 调查问题，请选择刷新 ( ) 从 Amazon S3 检索最新的存储桶元数据。然后查看本节的账户 ID 列表。若要进行更深入的调查，请使用 Amazon S3 查看存储桶的复制规则。

要了解复制存储桶对象的 Amazon S3 选项和设置，请参阅 Amazon Simple Storage Service 用户指南中的复制对象。