Macie 調查結果的類型 - Amazon Macie
政策調查結果的類型敏感資料調查結果的類型

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Macie 調查結果的類型

Amazon Macie 會產生兩種問題清單:政策問題清單敏感資料問題清單政策調查結果是潛在政策違規或 Amazon Simple Storage Service (Amazon S3) 一般用途儲存貯體安全性或隱私權問題的詳細報告。Macie 會產生政策調查結果,做為其持續活動的一部分,以評估和監控您的一般用途儲存貯體,以進行安全性和存取控制。敏感資料調查結果是 Macie 在 S3 物件中偵測到的敏感資料的詳細報告。Macie 會產生敏感資料調查結果,做為執行敏感資料探索任務或執行自動敏感資料探索時所執行活動的一部分。

在每個類別中,都有特定的類型。問題清單的類型可讓您深入了解 Macie 發現的問題或敏感資料的性質。調查結果的詳細資訊提供嚴重性評分、受影響資源的相關資訊,以及其他資訊,例如 Macie 何時及如何發現問題或敏感資料。每個調查結果的嚴重性和詳細資訊取決於調查結果的類型和性質。

提示

若要探索和了解 Macie 可以產生的不同問題清單類別和類型,請建立範例問題清單。範例問題清單使用範例資料和預留位置值來示範每種問題清單可能包含的資訊類型。

政策調查結果的類型

當 S3 一般用途儲存貯體的政策或設定變更時,Amazon Macie 會產生政策調查結果,以減少儲存貯體和儲存貯體物件的安全性或隱私權。如需有關 Macie 如何偵測和評估這些變更的資訊,請參閱 Macie 如何監控 Amazon S3 資料安全性

請注意,只有當您為 Macie 啟用 Macie 之後發生變更時,Macie 才會產生政策調查結果 AWS 帳戶。例如,如果在啟用 Macie 之後停用 S3 儲存貯體的封鎖公開存取設定,Macie 會為儲存貯體產生 Policy:IAMUser/S3BlockPublicAccessDisabled 調查結果。如果在您啟用 Macie 時停用儲存貯體的封鎖公有存取設定,且繼續停用,則 Macie 不會為儲存貯體產生 Policy:IAMUser/S3BlockPublicAccessDisabled 調查結果。

如果 Macie 偵測到現有政策調查結果的後續出現,則 Macie 會新增後續出現的詳細資訊並增加出現次數,以更新現有調查結果。Macie 會將政策調查結果存放 90 天。

Macie 可以為 S3 一般用途儲存貯體產生下列類型的政策調查結果。

Policy:IAMUser/S3BlockPublicAccessDisabled

儲存貯體的所有儲存貯體層級區塊公開存取設定都已停用。對儲存貯體的公開存取是由 帳戶的封鎖公開存取設定、存取控制清單 (ACLs)、儲存貯體的儲存貯體政策,以及其他適用於儲存貯體的設定和政策所控制。

若要調查調查結果,請先在 Macie 中檢閱儲存貯體的詳細資訊。詳細資訊包括儲存貯體的公有存取設定的明細。如需設定的詳細資訊,請參閱《Amazon Simple Storage Service 使用者指南》中的存取控制和封鎖對 Amazon S3 儲存體的公開存取。 Amazon S3

Policy:IAMUser/S3BucketEncryptionDisabled

儲存貯體的預設加密設定已重設為預設 Amazon S3 加密行為,也就是使用 Amazon S3 受管金鑰自動加密新物件。

自 2023 年 1 月 5 日起,Amazon S3 會自動套用伺服器端加密與 Amazon S3 受管金鑰 (SSE-S3),做為新增至儲存貯體之物件的基本加密層級。您可以選擇將儲存貯體的預設加密設定設定為 ,改為使用具有 AWS KMS 金鑰的伺服器端加密 (SSE-KMS) 或具有 AWS KMS 金鑰的雙層伺服器端加密 (DSSE-KMS)。如果 Macie 在 2023 年 1 月 5 日之前產生此類型的調查結果,則調查結果會指出受影響的儲存貯體已停用預設加密設定。這表示儲存貯體的設定並未指定新物件的預設伺服器端加密行為。Amazon S3 不再支援停用儲存貯體的預設加密設定。

若要了解 S3 儲存貯體的預設加密設定和選項,請參閱《Amazon Simple Storage Service 使用者指南》中的為 S3 儲存貯體設定預設伺服器端加密行為

Policy:IAMUser/S3BucketPublic

儲存貯體的 ACL 或儲存貯體政策已變更,以允許匿名使用者或所有已驗證的 AWS Identity and Access Management (IAM) 身分存取。

若要調查調查結果,請先在 Macie 中檢閱儲存貯體的詳細資訊。詳細資訊包括儲存貯體的公有存取設定的明細。如需 S3 儲存貯體ACLs、儲存貯體政策和存取設定的詳細資訊,請參閱《Amazon Simple Storage Service 使用者指南》中的存取控制

Policy:IAMUser/S3BucketReplicatedExternally

已啟用複寫功能,並設定 將物件從儲存貯體複寫至組織外部 AWS 帳戶 (非組織的一部分) 的 儲存貯體。組織是一組 Macie 帳戶,透過 Macie 邀請 AWS Organizations 或由 Macie 邀請集中管理為一組相關帳戶。

在某些情況下,Macie 可能會為未設定為將物件複寫至外部儲存貯體的儲存貯體產生這類問題清單 AWS 帳戶。如果目的地儲存貯體在 AWS 區域 前 24 小時內以不同的 建立,則在每日重新整理週期中,Macie 從 Amazon S3 擷取儲存貯體和物件中繼資料之後,就會發生這種情況。

若要調查調查結果,請先重新整理 Macie 中的庫存資料。然後檢閱儲存貯體的詳細資訊。詳細資訊指出儲存貯體是否設定為將物件複寫至其他儲存貯體。如果儲存貯體設定為這樣做,詳細資訊會包含擁有目的地儲存貯體之每個帳戶的帳戶 ID。如需 S3 儲存貯體複寫設定的詳細資訊,請參閱《Amazon Simple Storage Service 使用者指南》中的複寫物件

Policy:IAMUser/S3BucketSharedExternally

儲存貯體的 ACL 或儲存貯體政策已變更,以允許儲存貯體與組織外部 (非組織的一部分) AWS 帳戶 的 共用。組織是一組 Macie 帳戶,透過 Macie 邀請 AWS Organizations 或由 Macie 邀請集中管理為一組相關帳戶。

在某些情況下,Macie 可能會為未與外部共用的儲存貯體產生此類問題清單 AWS 帳戶。如果 Macie 無法完整評估儲存貯體政策中的 Principal元素與Condition政策 元素中的特定AWS 全域條件內容索引鍵或 Amazon S3 條件索引鍵之間的關係,就可能發生這種情況。下列條件索引鍵的情況可能是:aws:PrincipalAccount、、aws:PrincipalArnaws:PrincipalOrgIDaws:PrincipalOrgPathsaws:PrincipalTagaws:PrincipalType、、aws:SourceAccountaws:SourceArnaws:SourceIpaws:SourceOrgIDaws:SourceOrgPathsaws:SourceVpc、、aws:SourceVpceaws:userids3:DataAccessPointAccounts3:DataAccessPointArn。建議您檢閱儲存貯體的政策,以判斷此存取是否預期且安全。

若要了解 S3 儲存貯體的 ACLs 和儲存貯體政策,請參閱《Amazon Simple Storage Service 使用者指南》中的存取控制

Policy:IAMUser/S3BucketSharedWithCloudFront

儲存貯體的儲存貯體政策已變更,以允許儲存貯體與 Amazon CloudFront 原始伺服器存取身分 (OAI)、CloudFront 原始伺服器存取控制 (OAC) 或 CloudFront OAI 和 CloudFront OAC 共用。CloudFront OAI 或 OAC 允許使用者透過一或多個指定的 CloudFront 分佈存取儲存貯體的物件。

若要了解 CloudFront OAIs 和 OACs,請參閱《Amazon CloudFront 開發人員指南》中的限制對 Amazon S3 原始伺服器的存取Amazon CloudFront

注意

在某些情況下,Macie 會產生儲存貯體的政策:IAMUser/S3BucketSharedExternally 調查結果,而不是政策:IAMUser/S3BucketSharedWithCloudFront 調查結果。這些案例包括:

  • 除了 CloudFront OAI 或 OAC 之外,儲存貯體也會與組織 AWS 帳戶 外部的 共用。

  • 儲存貯體的政策會指定 CloudFront OAI 的一般使用者 ID,而不是 Amazon Resource Name (ARN)。

這會為儲存貯體產生更高的嚴重性政策調查結果。

敏感資料調查結果的類型

Amazon Macie 在偵測 S3 物件中敏感資料以探索敏感資料時,會產生敏感資料調查結果。這包括 Macie 在您執行敏感資料探索任務或執行自動敏感資料探索時執行的分析。

例如,如果您建立並執行敏感資料探索任務,且 Macie 在 S3 物件中偵測到銀行帳戶號碼,則 Macie 會為物件產生 SensitiveData:S3Object/Financial 調查結果。同樣地,如果 Macie 在自動化敏感資料探索週期期間偵測到 S3 物件中的銀行帳戶號碼,Macie 會為物件產生 SensitiveData:S3Object/Financial 調查結果。

如果 Macie 在後續任務執行或自動化敏感資料探索週期中偵測到相同 S3 物件中的敏感資料,Macie 會為物件產生新的敏感資料調查結果。與政策調查結果不同,所有敏感資料調查結果都會視為新的 (唯一)。Macie 會存放敏感資料調查結果 90 天。

Macie 可以為 S3 物件產生下列類型的敏感資料調查結果。

SensitiveData:S3Object/Credentials

物件包含敏感的登入資料,例如 AWS 私密存取金鑰或私有金鑰。

SensitiveData:S3Object/CustomIdentifier

物件包含的文字符合一或多個自訂資料識別符的偵測條件。物件可能包含多種類型的敏感資料。

SensitiveData:S3Object/Financial

物件包含敏感的財務資訊,例如銀行帳戶號碼或信用卡號碼。

SensitiveData:S3Object/Multiple

物件包含超過一個類別的敏感資料,任何符合一或多個自訂資料識別符偵測條件的登入資料、財務資訊、個人資訊或文字組合。

SensitiveData:S3Object/Personal

物件包含敏感個人資訊:個人識別資訊 (PII),例如護照號碼或駕照識別號碼、個人健康資訊 (PHI),例如健康保險或醫療識別號碼,或 PII 和 PHI 的組合。

如需有關 Macie 可以使用內建條件和技術偵測之敏感資料類型的資訊,請參閱 使用受管資料識別符。如需有關 Macie 可分析之 S3 物件類型的資訊,請參閱支援的儲存類別和格式