使用 Macie 評估您的 Amazon S3 安全狀態 - Amazon Macie
顯示儀表板了解儀表板元件了解儀表板上的資料安全統計資料

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 Macie 評估您的 Amazon S3 安全狀態

若要評估 Amazon Simple Storage Service (Amazon S3) 資料的整體安全性狀態,並判斷要採取動作的位置,您可以使用 Amazon Macie 主控台上的摘要儀表板。

摘要儀表板提供目前 Amazon S3 資料的彙總統計資料快照 AWS 區域。統計資料包括關鍵安全指標的資料,例如可公開存取或與其他 共用的一般用途儲存貯體數量 AWS 帳戶。儀表板也會顯示您帳戶的彙總問題清單資料群組,例如,過去七天內發生次數最高的問題清單類型。如果您是組織的 Macie 管理員,儀表板會提供組織中所有帳戶的彙總統計資料和資料。您可以選擇性地依帳戶篩選資料。

若要執行更深入的分析,您可以向下切入並檢閱儀表板上個別項目的支援資料。您也可以使用 Amazon Macie 主控台檢閱和分析 S3 儲存貯體庫存,或使用 Amazon Macie DescribeBuckets的操作,以程式設計方式查詢和分析庫存資料API。

顯示摘要儀表板

在 Amazon Macie 主控台上,摘要儀表板提供目前 中 Amazon S3 資料的彙總統計資料和調查結果資料的快照 AWS 區域。如果您想要以程式設計方式查詢統計資料,您可以使用 Amazon Macie GetBucketStatistics的操作API。

顯示摘要儀表板

  1. 在 開啟 Amazon Macie 主控台https://console.aws.amazon.com/macie/

  2. 在導覽窗格中,選擇摘要。Macie 會顯示摘要儀表板。

  3. 若要判斷 Macie 最近何時從 Amazon S3 擷取您帳戶的儲存貯體或物件中繼資料,請參閱儀表板頂端的上次更新欄位。如需詳細資訊,請參閱資料重新整理

  4. 若要向下切入並檢閱儀表板上項目的支援資料,請選擇項目。

如果您是組織的 Macie 管理員,儀表板會顯示您組織中帳戶和成員帳戶的彙總統計資料和資料。若要篩選儀表板並僅顯示特定帳戶的資料,請在儀表板上方的帳戶方塊中輸入帳戶的 ID。

了解摘要儀表板的元件

摘要儀表板上,統計資料和資料會組織成數個區段。在儀表板頂端,您會找到彙總統計資料,指出您在 Amazon S3 中存放的資料量,以及 Amazon Macie 可以分析的資料量,以偵測敏感資料。您也可以參考上次更新欄位,判斷 Macie 最近何時從 Amazon S3 擷取您帳戶的儲存貯體或物件中繼資料。其他區段提供統計資料和最近的調查結果資料,可協助您評估目前 Amazon S3 資料的安全性、隱私權和敏感度 AWS 區域。

統計資料和資料會整理成下列區段:

儲存和敏感資料探索 | 自動化探索和涵蓋範圍問題 | 資料安全性 | 熱門 S3 儲存貯體 | 熱門調查結果類型 | 政策調查結果

當您檢閱每個區段時,您可以選擇要向下切入的項目並檢閱支援資料。另請注意,儀表板不包含 S3 目錄儲存貯體的資料,僅包含一般用途儲存貯體的資料。Macie 不會監控或分析目錄儲存貯體。

儲存和敏感資料探索

在儀表板頂端,統計資料會指出您在 Amazon S3 中存放的資料量,以及 Macie 可以分析以偵測敏感資料的資料量。下圖顯示具有七個帳戶之組織的這些統計資料範例。

儀表板的儲存和敏感資料探索區段。每個欄位都包含範例資料。

本節中的個別統計資料為:

  • 帳戶總數 – 如果您是組織的 Macie 管理員,或擁有獨立的 Macie 帳戶,則會顯示此欄位。它指出儲存貯體庫存中 AWS 帳戶 擁有儲存貯體的總數。如果您是 Macie 管理員,這是您為組織管理的 Macie 帳戶總數。如果您有獨立的 Macie 帳戶,此值為 1

    總 S3 儲存貯體 – 如果您在組織中有成員帳戶,則會顯示此欄位。它會指出您庫存中一般用途儲存貯體的總數,包括未存放任何物件的儲存貯體。

  • 儲存 – 這些統計資料提供儲存貯體庫存中物件儲存體大小的相關資訊:

    • 可分類 – Macie 可在儲存貯體中分析的所有物件的總儲存體大小。

    • 總計 – 儲存貯體中所有物件的總儲存體大小,包括 Macie 無法分析的物件。

    如果任何物件是壓縮檔案,這些值不會反映解壓縮後這些檔案的實際大小。如果針對任何儲存貯體啟用版本控制,這些值會根據這些儲存貯體中每個物件最新版本的儲存體大小而定。

  • 物件 – 這些統計資料提供有關儲存貯體庫存中物件數量的資訊:

    • 可分類 – Macie 可以在儲存貯體中分析的物件總數。

    • 總計 – 儲存貯體中的物件總數,包括 Macie 無法分析的物件。

在上述統計資料中,如果資料和物件使用支援的 Amazon S3 儲存類別,且具有支援的檔案或儲存格式的檔案名稱副檔名,則可分類。您可以使用 Macie 偵測物件中的敏感資料。如需詳細資訊,請參閱支援的儲存類別和格式

請注意,儲存體和物件統計資料不包含 Macie 不允許存取之儲存貯體中物件的資料。例如,儲存貯體中的物件具有限制性儲存貯體政策。若要識別發生這種情況的儲存貯體,您可以使用 S3 儲存貯體資料表來檢閱儲存貯體庫存。如果儲存貯體名稱旁出現警告圖示 ( The warning icon, which is a red triangle that has an exclamation point in it. ),則不允許 Macie 存取儲存貯體。

自動化探索涵蓋範圍問題

如果啟用自動敏感資料探索,這些區段會出現在儀表板上。它們會擷取 Macie 到目前為止為您的 Amazon S3 資料執行的自動化敏感資料探索活動的狀態和結果。下圖顯示這些區段提供的統計資料範例。

儀表板上的自動化敏感資料探索統計資料。每個統計資料都有範例資料。

如需這些統計資料的詳細資訊,請參閱 在摘要儀表板上檢閱資料敏感性統計資料

資料安全

本節提供統計資料,指出 Amazon S3 資料的潛在安全性和隱私權風險。下圖顯示本節中統計資料的範例。

儀表板的資料安全區段。它包含每個統計資料的範例資料。

如需這些統計資料的詳細資訊,請參閱 了解摘要儀表板上的資料安全統計資料

前 S3 儲存貯體

本節列出在前七天內產生最多任何類型調查結果的 S3 儲存貯體,最多可產生五個儲存貯體。它也會指出 Macie 為每個儲存貯體建立的調查結果數量。下圖顯示本節提供的資料範例。

儀表板的前 S3 儲存貯體區段。它包含五個 S3 儲存貯體的範例資料。

若要顯示並選擇性地深入了解前七天儲存貯體的所有調查結果,請在總調查結果欄位中選擇值。若要顯示所有儲存貯體的目前問題清單,依儲存貯體分組,請選擇依儲存貯體檢視所有問題清單

如果 Macie 在前七天內未建立任何問題清單,則此區段為空白。或者,在前七天內建立的所有問題清單都被禁止規則抑制

熱門調查結果類型

本節列出過去七天中發生次數最高的問題清單類型,最多可達五種問題清單類型。它也會指出 Macie 為每個類型建立的調查結果數量。下圖顯示本節提供的資料範例。

儀表板的最熱門問題清單類型區段。它包含五種問題清單類型的範例資料。

若要顯示並選擇性地深入了解前七天中特定類型的所有問題清單,請在問題清單總計欄位中選擇 值。若要顯示所有目前問題清單,依問題清單類型分組,請選擇依類型檢視所有問題清單

如果 Macie 在前七天內未建立任何問題清單,則此區段為空白。或者,在過去七天內建立的所有問題清單都被禁止規則所隱藏

政策調查結果

本節列出 Macie 最近建立或更新的政策問題清單,最多可達 10 個問題清單。下圖顯示本節提供的資料範例。

儀表板的政策調查結果區段。它包含六個政策調查結果的範例資料。

若要顯示特定調查結果的詳細資訊,請選擇調查結果。

如果 Macie 在過去七天內未建立或更新任何政策問題清單,則此區段為空白。或者,在前七天內建立或更新的所有政策問題清單,都會受到禁止規則的禁止

了解摘要儀表板上的資料安全統計資料

摘要儀表板的資料安全區段提供統計資料,可協助您識別和調查目前 Amazon S3 資料的潛在安全和隱私權風險 AWS 區域。例如,您可以使用此資料來識別可公開存取或與其他 共用的一般用途儲存貯體 AWS 帳戶。

如果停用自動敏感資料探索,本節頂部的儲存和敏感資料探索統計資料會指出您在 Amazon S3 中存放的資料量,以及 Amazon Macie 可以分析的資料量,以偵測敏感資料。其他統計資料會分為三個區域,如下圖所示。

儀表板的資料安全區段。每個區域都包含範例資料。

當您檢閱每個區域時,可選擇選擇要向下切入的項目,並檢閱支援資料。另請注意,統計資料不包含 S3 目錄儲存貯體的資料,僅包含一般用途儲存貯體。Macie 不會監控或分析目錄儲存貯體。

每個區域的個別統計資料如下所示。

公用存取

這些統計資料指出有多少 S3 儲存貯體可供公開存取或無法公開存取:

  • 可公開存取 – 允許一般大眾對儲存貯體具有讀取或寫入存取權的儲存貯體數量和百分比。

  • 公開世界可寫入 – 允許一般大眾寫入儲存貯體的儲存貯體數量和百分比。

  • 可公開讀取世界 – 允許一般大眾存取儲存貯體的儲存貯體數量和百分比。

  • 不可公開存取 – 不允許一般大眾對儲存貯體具有讀取或寫入存取權的儲存貯體數量和百分比。

為了計算每個百分比,Macie 會將適用的儲存貯體數量除以儲存貯體庫存中的儲存貯體總數。

若要判斷此區域中的值,Macie 會分析每個儲存貯體的帳戶層級和儲存貯體層級設定組合:帳戶的封鎖公有存取設定;儲存貯體的封鎖公有存取設定;儲存貯體的儲存貯體政策;以及儲存貯體的存取控制清單 (ACL)。如需這些設定的相關資訊,請參閱《Amazon Simple Storage Service 使用者指南》中的存取控制和封鎖對 Amazon S3 儲存體的公開存取。 Amazon S3

在某些情況下,公有存取區域也會顯示未知的值。如果出現這些值,Macie 就無法評估指定數量和儲存貯體百分比的公有存取設定。例如,暫時性問題或儲存貯體的許可設定,導致 Macie 無法擷取必要資料。或者 Macie 無法完全判斷一或多個政策陳述式是否允許外部實體存取儲存貯體。對於超過預防性控制監控配額的儲存貯體,也可能發生這種情況。Macie 會評估和監控帳戶不超過 10,000 個儲存貯體的安全性和隱私權,也就是最近建立或變更的 10,000 個儲存貯體。

加密

這些統計資料指出有多少 S3 儲存貯體已設定為將特定類型的伺服器端加密套用至新增至儲存貯體的物件:

  • 根據預設加密 – SSE-S3 – 預設加密設定設定為使用 Amazon S3 受管金鑰加密新物件的儲存貯體數量和百分比。對於這些儲存貯體,新的物件會使用 SSE-S3 加密自動加密。

  • 依預設加密 – DSSE-KMS/SSE-KMS – 預設加密設定設定為使用 AWS KMS key AWS 受管金鑰 或客戶受管金鑰加密新物件的儲存貯體數量和百分比。對於這些儲存貯體,新的物件會使用 DSSE或KMS SSE自動KMS加密。

為了計算每個百分比,Macie 會將適用的儲存貯體數量除以儲存貯體庫存中的儲存貯體總數。

為了判斷此區域中的值,Macie 會分析每個儲存貯體的預設加密設定。自 2023 年 1 月 5 日起,Amazon S3 會自動套用伺服器端加密與 Amazon S3 受管金鑰 (SSE-S3),做為新增至儲存貯體之物件的基本加密層級。您可以選擇將儲存貯體的預設加密設定設定為 ,而改用伺服器端加密搭配 AWS KMS 金鑰 (SSE-KMS) 或雙層伺服器端加密搭配 AWS KMS 金鑰 (DSSE-KMS)。如需預設加密設定和選項的相關資訊,請參閱《Amazon Simple Storage Service 使用者指南》中的設定 S3 儲存貯體的預設伺服器端加密行為

在某些情況下,加密區域也會顯示未知的值。如果出現這些值,Macie 就無法評估指定數量和儲存貯體百分比的預設加密設定。例如,暫時性問題或儲存貯體的許可設定,導致 Macie 無法擷取必要資料。或者,儲存貯體超過預防性控制監控的配額。Macie 會評估和監控帳戶不超過 10,000 個儲存貯體的安全性和隱私權,也就是最近建立或變更的 10,000 個儲存貯體。

共用

這些統計資料會指出有多少 S3 儲存貯體要或沒有與其他 AWS 帳戶 Amazon CloudFront 原始存取身分 (OAIs) 或 CloudFront原始存取控制 () 共用OACs:

  • 外部共用 – 與下列一或多個或下列任何組合共用的儲存貯體數量和百分比:a CloudFront OAI、 CloudFront OAC或不在相同組織中的帳戶。

  • 內部共用 – 與相同組織中的一或多個帳戶共用的儲存貯體數量和百分比。這些儲存貯體不會與 CloudFront OAIs 或 共用OACs。

  • 未共用 – 未與其他帳戶共用的儲存貯體數量和百分比 CloudFront OAIs,或 CloudFront OACs。

為了計算每個百分比,Macie 會將適用的儲存貯體數量除以儲存貯體庫存中的儲存貯體總數。

為了判斷儲存貯體是否與其他儲存貯體共用 AWS 帳戶,Macie 會分析儲存貯體政策和每個儲存貯ACL體。此外,組織定義為一組 Macie 帳戶,這些帳戶透過 Macie 邀請 AWS Organizations 或由 Macie 邀請集中管理為相關帳戶群組。如需共用儲存貯體的 Amazon S3 選項相關資訊,請參閱《Amazon Simple Storage Service 使用者指南》中的存取控制

注意

在某些情況下,Macie 可能會錯誤地報告儲存貯體與 AWS 帳戶 不在相同組織中的 共用。如果 Macie 無法完整評估儲存貯體政策中的 Principal元素與特定AWS 全域條件內容索引鍵或政策 Condition 元素中的 Amazon S3 條件索引鍵之間的關係,就可能發生這種情況。適用的條件索引鍵為:aws:PrincipalAccountaws:PrincipalArnaws:PrincipalOrgIDaws:PrincipalOrgPathsaws:PrincipalTagaws:PrincipalTypeaws:SourceAccountaws:SourceArnaws:SourceIpaws:SourceOrgID、、aws:SourceOrgPathsaws:SourceVpcaws:SourceVpceaws:userids3:DataAccessPointAccounts3:DataAccessPointArn

若要判斷個別儲存貯體是否如此,請選擇儀表板上的共用外部統計資料。在顯示的表格中,記下每個儲存貯體的名稱。然後使用 Amazon S3 檢閱每個儲存貯體的政策,並判斷共用存取設定是否預期且安全。

為了判斷儲存貯體是否與 CloudFront OAIs 或 共用OACs,Macie 會分析每個儲存貯體的儲存貯體政策。或 CloudFront OAIOAC允許使用者透過一或多個指定的 CloudFront分佈來存取儲存貯體的物件。如需 和 的相關資訊 CloudFront OAIsOACs,請參閱《Amazon 開發人員指南》中的限制對 Amazon S3 原始伺服器的存取 CloudFront

在某些情況下,共用區域也會顯示未知的值。如果出現這些值,Macie 就無法判斷指定的儲存貯體數量和百分比是否與其他帳戶共用 CloudFront OAIs,或 CloudFront OACs。例如,暫時性問題或儲存貯體的許可設定,導致 Macie 無法擷取必要資料。或者 Macie 無法完整評估儲存貯體的政策或 ACLs。對於超過預防性控制監控配額的儲存貯體,也可能發生這種情況。Macie 會評估和監控帳戶不超過 10,000 個儲存貯體的安全性和隱私權,也就是最近建立或變更的 10,000 個儲存貯體。