Amazon Macie 發現的類型 - Amazon Macie
政策發現的類型敏感資料發現項目的類型

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon Macie 發現的類型

Amazon Macie 產生兩類發現項目:政策發現敏感資料發現政策發現是 Amazon 簡單儲存體 (Amazon S3) 一般用途儲存貯體的潛在政策違規或安全性或隱私問題的詳細報告。Macie 會產生原則發現項目,作為其持續活動的一部分,以評估和監視您的一般用途值區,以確保安全性和存取控制。敏感資料發現是 Macie 在 S3 物件中偵測到的敏感資料的詳細報告。Macie 會產生敏感資料發現項目,做為執行敏感資料探索工作或執行自動化敏感資料探索時所執行的活動的一部分。

在每個品類中,都有特定的類型。發現項目的類型可讓您深入瞭解 Macie 找到的問題性質或敏感資料。發現項目的詳細資料會提供嚴重性等級、受影響資源的相關資訊,以及其他資訊,例如 Macie 發現問題或敏感資料的時間和方式。每個發現項目的嚴重性和詳細資料會根據發現項目的類型和性質而有所不同。

提示

若要探索並瞭解 Macie 可產生的不同類別和發現項目類型,請建立範例發現項目。範例發現項目會使用範例資料和預留位置值來示範每種發現項目類型可能包含的資訊類型。

政策發現的類型

Amazon Macie 會在 S3 一般用途儲存貯體的政策或設定以降低儲存貯體和儲存貯體物件的安全性或隱私權的方式變更時,產生政策查詢。如需有關 Macie 如何偵測這些變更的資訊,請參閱Macie 如何監控 Amazon S3 數據安全

只有在您為您啟用 Macie 之後發生變更時,Macie 才會產生原則尋找。 AWS 帳戶例如,如果在啟用 Macie 之後停用 S3 儲存貯體的區塊公用存取設定,Macie 會產生一個政策:儲存貯體的 IAM BlockPublicAccessDisabled USER/S3 尋找。如果在您啟用 Macie 時停用儲存貯體的封鎖公用存取設定,而且繼續停用這些設定,Macie 不會產生原則:儲存貯體的 IAMUS BlockPublicAccessDisabled ER/S3 尋找。

如果 Macie 偵測到現有原則發現的後續發現項目,Macie 會新增有關後續發現項目的詳細資料,並遞增發生次數,以更新現有的發現項目。Macie 會儲存 90 天的政策調查結果。

Macie 可以針對 S3 一般用途儲存貯體產生下列類型的政策發現項目。

Policy:IAMUser/S3BlockPublicAccessDisabled

值區的所有值區層級區塊公開存取設定都已停用。值區的存取權由帳戶的區塊公開存取設定、存取控制清單 (ACL) 以及值區的值區政策所控制。

若要了解 S3 儲存貯體的區塊公開存取設定,請參閱 Amazon 簡單儲存服務使用者指南中的封鎖對 Amazon S3 儲存的公開存取

Policy:IAMUser/S3BucketEncryptionDisabled

儲存貯體的預設加密設定已重設為預設的 Amazon S3 加密行為,即使用 Amazon S3 受管金鑰自動加密新物件。

自 2023 年 1 月 5 日起,Amazon S3 會自動使用 Amazon S3 受管金鑰 (SSE-S3) 套用伺服器端加密,作為新增至儲存貯體之物件的基礎加密層級。您可以選擇性地設定值區的預設加密設定,改為使用金鑰 (SSE-KMS) 的伺服器端加密,或使用金 AWS KMS 鑰 (DSSE-KMS) 進行雙層伺服器端加密。 AWS KMS 若要了解 S3 儲存貯體的預設加密設定和選項,請參閱 Amazon 簡單儲存貯體使用者指南中的設定 S3 儲存貯體的預設伺服器端加密行為

如果 Macie 在 2023 年 1 月 5 日之前產生此類型的發現項目,則發現項目表示受影響值區的預設加密設定已停用。這表示值區的設定未指定新物件的預設伺服器端加密行為。Amazon S3 不再支援停用儲存貯體預設加密設定的功能。

Policy:IAMUser/S3BucketPublic

儲存貯體的 ACL 或值區政策已變更,以允許匿名使用者或所有已驗證 AWS Identity and Access Management (IAM) 身分存取。

若要了解 S3 儲存貯體的 ACL 和儲存貯體政策,請參閱 Amazon 簡單儲存服務使用者指南中的 Amazon S3 中的身分和存取管理

Policy:IAMUser/S3BucketReplicatedExternally

已啟用複寫,並設定為將物件從值區複製到組 AWS 帳戶 織外部 (非組織一部分) 的值區。組織是一組 Macie 帳戶,可透過 AWS Organizations 或透過 Macie 邀請集中管理為一組相關帳戶。

在特定情況下,Macie 可能會針對未設定為將物件複製到外部 AWS 帳戶值區的值區產生這種類型的尋找項目。如果在 Macie 從 Amazon S3 擷取儲存貯體和物件中繼資料作為每日重新整理週期的一部分之後,目標儲存貯體是在前 24 小時內建立的,則可能會發生這種 AWS 區域 情況。若要調查發現項目,請先重新整理庫存資料。然後檢閱值區的詳細資訊。詳細資訊會指出值區是否設定為將物件複製到其他值區。如果值區設定為執行此操作,則詳細資料會包含擁有目標值區之每個帳戶的帳戶 ID。

若要了解 S3 儲存貯體的複寫設定,請參閱 Amazon 簡單儲存服務使用者指南中的複寫物件

Policy:IAMUser/S3BucketSharedExternally

值區的 ACL 或值區政策已變更,以允許與組織外部 (非屬於) 的值區共用值區。 AWS 帳戶 組織是一組 Macie 帳戶,可透過 AWS Organizations 或透過 Macie 邀請集中管理為一組相關帳戶。

在某些情況下,Macie 可能會針對未與外部 AWS 帳戶共用的儲存貯體產生這種類型的尋找項目。如果 Macie 無法完全評估儲存貯體政策中的元素與政策Principal元素中的特定AWS 全域條件內容金鑰或 Amazon S3 條件金鑰之間的關係,就會發生這種情況。Condition適用的條件鍵為:aws:PrincipalAccountaws:PrincipalArnaws:PrincipalOrgIDaws:PrincipalOrgPaths、、aws:PrincipalTagaws:PrincipalTypeaws:SourceAccountaws:SourceArnaws:SourceIpaws:SourceVpcaws:SourceVpceaws:userids3:DataAccessPointAccount、和s3:DataAccessPointArn。我們建議您檢閱值區的政策,以判斷此存取是否有意且安全。

若要了解 S3 儲存貯體的 ACL 和儲存貯體政策,請參閱 Amazon 簡單儲存服務使用者指南中的 Amazon S3 中的身分和存取管理

Policy:IAMUser/S3BucketSharedWithCloudFront

儲存貯體的儲存貯體政策已變更為允許與 Amazon CloudFront 原始存取身分 (OAI)、 CloudFront 原始存取控制 (OAC) 或 O CloudFront AI 和 OAC 共用儲存貯體。 CloudFront CloudFront OAI 或 OAC 可讓使用者透過一或多個指 CloudFront定的發行版存取值區的物件。

若要了解 CloudFront OAI 和 OAC,請參閱 Amazon 開發人員指南中的限制對 Amazon S3 來源的存取。 CloudFront

注意

在某些情況下,Macie 會生成一個策略:IAMUSER/S3 BucketSharedExternally 查找而不是策略:IAMUSER/S3 查找存儲桶。BucketSharedWithCloudFront這些情況是:

  • 除了 CloudFront OAI 或 OAC AWS 帳戶 之外,還會與組織外部的值區共用。

  • 儲存貯體的政策會指定 OAI 的規範使用者 ID,而不是 Amazon 資源名稱 (ARN)。 CloudFront

這會產生值區的嚴重性較高的原則發現項目。

敏感資料發現項目的類型

當 Macie 偵測到 S3 物件中的敏感資料時,會產生敏感資料尋找,而該物件會分析以探索敏感資料。這包括 Macie 在您執行敏感資料探索工作或執行自動化敏感資料探索時所執行的分析。

例如,如果您建立並執行敏感資料探索工作,而 Macie 偵測到 S3 物件中的銀行帳戶號碼,Macie 會為物件產生一個:S3 物件/SensitiveData財務尋找。同樣地,如果 Macie 在自動化敏感資料探索週期中偵測到 S3 物件中所分析的銀行帳戶號碼,Macie 就會為該物件產生 A: SensitiveData S3 物件/財務尋找。

如果 Macie 在後續任務執行或自動化敏感資料探索週期期間偵測到相同 S3 物件中的敏感資料,Macie 會為物件產生新的敏感資料尋找項目。與原則發現項目不同,所有發現的敏感資料都會被視為新的 (唯一)。Macie 存儲敏感數據發現 90 天。

Macie 可以為 S3 物件產生下列類型的敏感資料發現項目。

SensitiveData:S3Object/Credentials

物件包含機密認證資料,例如 AWS 秘密存取金鑰或私密金鑰。

SensitiveData:S3Object/CustomIdentifier

物件包含符合一或多個自訂資料識別碼偵測準則的文字。物件可能包含一種以上的敏感資料類型。

SensitiveData:S3Object/Financial

物件包含敏感的財務資訊,例如銀行帳號或信用卡號碼。

SensitiveData:S3Object/Multiple

物件包含一種以上的敏感資料類別,包括認證資料、財務資訊、個人資訊或符合一或多個自訂資料識別碼偵測準則的文字組合。

SensitiveData:S3Object/Personal

該物件包含敏感的個人資訊 — 個人識別資訊 (PII),例如護照號碼或駕照識別號碼、個人健康資訊 (PHI),例如健康保險或醫療識別號碼,或 PII 和 PHI 的組合。

如需 Macie 可以使用內建準則和技術偵測之敏感資料類型的相關資訊,請參閱使用受管資料識別符。如需 Macie 可分析之 S3 物件類型的相關資訊,請參閱支援的儲存類別和格式