在 Macie 中檢閱 S3 儲存貯體庫存

在 Amazon Macie 主控台上，S3 儲存貯體頁面可讓您詳細了解目前中 Amazon Simple Storage Service (Amazon S3) 資料的安全性和隱私權 AWS 區域。透過此頁面，您可以檢閱和分析區域中 S3 一般用途儲存貯體的清查，並檢閱個別儲存貯體的詳細資訊和統計資料。如果您是組織的 Macie 管理員，您的庫存會包含成員帳戶擁有的 S3 儲存貯體的詳細資訊和統計資料。

S3 儲存貯體頁面也會指出 Macie 最近何時從 Amazon S3 擷取您帳戶的儲存貯體或物件中繼資料。您可以在頁面頂端的上次更新欄位中找到此資訊。如果您是組織的 Macie 管理員，此欄位會指出 Macie 擷取組織中帳戶資料的最早日期和時間。如需詳細資訊，請參閱資料重新整理。

請注意，庫存資料和統計資料不包含 S3 目錄儲存貯體的資料，僅包含一般用途儲存貯體。Macie 不會監控或分析目錄儲存貯體。此外，Macie 會維護帳戶不超過 10，000 個一般用途儲存貯體的完整庫存資料。如果您的帳戶超過此配額，Macie 會提供最近建立或變更的 10，000 個儲存貯體的完整庫存資料。對於所有其他儲存貯體，Macie 僅提供每個儲存貯體的相關資訊子集。如果您是組織的 Macie 管理員，則此配額適用於組織中的每個帳戶，而不是整個組織。

另請注意，大多數庫存資料僅限於允許 Macie 存取您帳戶的儲存貯體。如果儲存貯體的許可設定阻止 Macie 擷取儲存貯體或儲存貯體物件的相關資訊，則 Macie 只能提供儲存貯體的相關資訊子集。如果是特定儲存貯體的情況，Macie 會顯示儲存貯體庫存中儲存貯體的警告圖示 ( ) 和訊息。對於儲存貯體的詳細資訊，Macie 僅提供欄位子集的資料： AWS 帳戶擁有儲存貯體的帳戶 ID；儲存貯體的名稱、Amazon Resource Name (ARN)、建立日期和區域；以及當 Macie 最近擷取儲存貯體的儲存貯體和物件中繼資料，作為每日重新整理週期的一部分。若要調查問題，請檢閱 Amazon S3 中的儲存貯體政策和許可設定。例如，儲存貯體可能有限制性儲存貯體政策。如需詳細資訊，請參閱允許 Macie 存取 S3 儲存貯體和物件。

如果您想要以程式設計方式存取和查詢庫存資料，您可以使用 Amazon Macie DescribeBuckets的操作API。

檢閱 S3 儲存貯體庫存

Amazon Macie 主控台上的 S3 儲存貯體頁面提供目前 S3 一般用途儲存貯體的相關資訊 AWS 區域。在此頁面上，資料表會顯示庫存中每個儲存貯體的摘要資訊。若要自訂檢視，您可以排序和篩選資料表。如果您在資料表中選擇儲存貯體，詳細資訊面板會顯示儲存貯體的其他資訊。這包括設定和指標的詳細資訊和統計資料，這些設定和指標可深入了解儲存貯體資料的安全性和隱私權。您可以選擇將資料從資料表匯出至逗號分隔值 (CSV) 檔案。

如果啟用自動敏感資料探索，您也可以選擇使用互動式熱度圖來檢閱您的庫存。地圖提供整個 Amazon S3 資料資產的資料敏感性視覺呈現。它會擷取 Macie 到目前為止執行的自動化敏感資料探索活動的結果。若要了解此地圖，請參閱使用 S3 儲存貯體映射視覺化資料敏感度。

若要檢閱 S3 儲存貯體庫存

在開啟 Amazon Macie 主控台https://console.aws.amazon.com/macie/。
在導覽窗格中，選擇 S3 儲存貯體。S3 儲存貯體頁面會顯示您的儲存貯體庫存。如果頁面顯示庫存的互動式地圖，請選擇頁面頂端的資料表 ( )。Macie 接著會顯示庫存中的儲存貯體數量，以及儲存貯體的資料表。

如果啟用自動敏感資料探索，預設檢視不會顯示目前從自動探索排除的儲存貯體的資料。若要顯示此資料，請在篩選條件方塊下方的「由自動探索篩選條件權杖監控」中選擇 X。
在頁面頂端，選擇性地選擇重新整理 ( ) 以從 Amazon S3 擷取最新的儲存貯體中繼資料。

如果資訊圖示 ( ) 出現在任何儲存貯體名稱旁，建議您執行此操作。此圖示表示儲存貯體在過去 24 小時內建立，可能是在 Macie 上次從 Amazon S3 擷取儲存貯體和物件中繼資料之後，做為每日重新整理週期的一部分。
在 S3 儲存貯體資料表中，檢閱庫存中每個儲存貯體的相關資訊子集：
- 敏感度 – 如果啟用自動敏感資料探索，儲存貯體目前的敏感度分數。如需有關 Macie 定義之敏感度分數範圍的資訊，請參閱 S3 儲存貯體的敏感度評分。
- 儲存貯體 – 儲存貯體的名稱。
- 帳戶 – 擁有儲存貯體 AWS 帳戶之的帳戶 ID。
- 可分類物件 – Macie 可以分析以偵測儲存貯體中敏感資料的物件總數。
- 可分類大小 – Macie 可以分析的所有物件的總儲存大小，以偵測儲存貯體中的敏感資料。
  
  請注意，此值不會反映解壓縮物件後的實際大小。此外，如果為儲存貯體啟用版本控制，則此值是根據儲存貯體中每個物件最新版本的儲存體大小。
- 依任務監控 – 您是否設定任何敏感資料探索任務，以每日、每週或每月定期分析儲存貯體中的物件。
  
  如果此欄位的值為是，則儲存貯體會明確包含在定期任務中，或儲存貯體符合過去 24 小時內定期任務的條件。此外，至少其中一個任務的狀態不會取消。Macie 每天更新此資料。
- 最新任務執行 – 如果您設定任何定期或一次性敏感資料探索任務來分析儲存貯體中的物件，此欄位會指出其中一個任務開始執行的最新日期和時間。否則，此欄位會顯示破折號 (–)。
在上述資料中，如果物件使用支援的 Amazon S3 儲存類別，且具有支援的檔案或儲存格式的檔案名稱副檔名，則可以分類物件。您可以使用 Macie 偵測物件中的敏感資料。如需詳細資訊，請參閱支援的儲存類別和格式。
若要使用資料表來分析您的庫存，請執行下列任一動作：
- 若要依特定欄位排序資料表，請選擇欄位的欄位標題。若要變更排序順序，請再次選擇欄標題。
- 若要篩選資料表並僅顯示具有特定欄位值的儲存貯體，請將游標放在篩選方塊中，然後為欄位新增篩選條件。若要進一步精簡結果，請新增其他欄位的篩選條件。如需詳細資訊，請參閱篩選 S3 儲存貯體庫存。
若要檢閱特定儲存貯體的詳細資訊和統計資料，請在資料表中選擇儲存貯體的名稱，然後參閱詳細資訊面板。

提示
您可以在儲存貯體詳細資訊面板中的許多欄位上進行樞紐分析和深入分析。若要顯示欄位具有相同值的儲存貯體，請在欄位中選擇。若要顯示欄位具有其他值的儲存貯體，請在欄位中選擇。
若要將資料從資料表匯出至CSV檔案，請選取您要匯出之每一列的核取方塊，或選取選取欄標題中的核取方塊以選取所有列。然後選擇頁面頂端的匯出至 CSV 。您最多可以從資料表匯出 50，000 個資料列。

檢閱 S3 儲存貯體的詳細資訊

若要檢閱 S3 一般用途儲存貯體的詳細資訊和統計資料，您可以使用 Amazon Macie 主控台 S3 儲存貯體頁面上的詳細資訊面板。面板會顯示詳細資訊和統計資料，讓您深入了解儲存貯體資料的安全性和隱私權。

例如，您可以檢閱 S3 儲存貯體的公有存取設定的明細，並判斷儲存貯體是否設定為複寫物件或與其他共用 AWS 帳戶。您也可以判斷是否設定任何敏感資料探索任務，以檢查儲存貯體是否有敏感資料。如果您有，您可以存取最近執行的任務詳細資訊，並選擇性地顯示任務產生的任何問題清單。

如果已啟用自動敏感資料探索，您也可以使用詳細資訊面板來檢閱敏感資料探索統計資料和個別 S3 儲存貯體的其他資訊。此面板會擷取 Macie 到目前為止為儲存貯體執行的自動化敏感資料探索活動的結果。若要了解這些詳細資訊，請參閱檢閱 S3 儲存貯體的資料敏感度詳細資訊。

若要檢閱 S3 儲存貯體的詳細資訊

在開啟 Amazon Macie 主控台https://console.aws.amazon.com/macie/。
在導覽窗格中，選擇 S3 儲存貯體。S3 儲存貯體頁面會顯示您的儲存貯體庫存。

如果啟用自動敏感資料探索，預設檢視不會顯示目前從自動探索排除的儲存貯體的資料。若要顯示此資料，請在篩選條件方塊下方的「由自動探索篩選條件權杖監控」中選擇 X。
在頁面頂端，選擇性地選擇重新整理 ( ) 以從 Amazon S3 擷取最新的儲存貯體中繼資料。
選擇您要檢閱其詳細資訊的儲存貯體。詳細資訊面板會顯示儲存貯體的統計資料和其他資訊。

在詳細資訊面板中，統計資料和資訊會整理為下列主要區段：

概觀 | 物件統計資料 | 伺服器端加密 | 敏感資料探索 | 公有存取 | 複寫 | 標籤

當您檢閱每個區段中的資訊時，您可以選擇在特定欄位上進行樞紐分析和深入分析。若要顯示欄位具有相同值的儲存貯體，請在欄位中選擇。若要顯示欄位具有其他值的儲存貯體，請在欄位中選擇。

概觀

本節提供有關儲存貯體的一般資訊，例如儲存貯體名稱、建立儲存貯體的時間，以及 AWS 帳戶擁有儲存貯體之的帳戶 ID。特別注意，上次更新欄位指出 Macie 最近何時從 Amazon S3 擷取儲存貯體或儲存貯體物件的中繼資料。

共用存取欄位指出儲存貯體是與另一個 AWS 帳戶、Amazon CloudFront 原始伺服器存取身分 (OAI) 或 CloudFront 原始伺服器存取控制 () 共用OAC：

外部 – 儲存貯體會與下列一或多個或下列任意組合共用：a CloudFront OAI、 CloudFront OAC或或帳戶，其位於組織外部（非組織的一部分）。
內部 – 儲存貯體會與組織內部（部分）的一或多個帳戶共用。它不會與 CloudFront OAI或共用OAC。
未共用 – 儲存貯體不會與其他帳戶 CloudFront OAI、或共用 CloudFront OAC。
未知 – Macie 無法評估儲存貯體的共用存取設定。例如，配額或暫時問題導致 Macie 無法擷取和評估必要資料。

為了判斷儲存貯體是否與另一個儲存貯體共用 AWS 帳戶，Macie 會分析儲存貯體的儲存貯體政策和存取控制清單 (ACL)。分析僅限於儲存貯體層級設定。它不會反映用於共用儲存貯體中特定物件的任何物件層級設定。此外，組織定義為一組 Macie 帳戶，這些帳戶會透過 AWS Organizations 或 Macie 邀請集中管理為相關帳戶群組。若要了解共用儲存貯體的 Amazon S3 選項，請參閱《Amazon Simple Storage Service 使用者指南》中的存取控制。

注意

在某些情況下，Macie 可能會錯誤地指出儲存貯體與組織外部（不屬於組織） AWS 帳戶的共用。如果 Macie 無法完整評估儲存貯體政策中的 Principal元素與Condition政策元素中的特定AWS 全域條件內容索引鍵或 Amazon S3 條件索引鍵之間的關係，就可能發生這種情況。適用的條件索引鍵為：aws:PrincipalAccount、aws:PrincipalArn、aws:PrincipalOrgID、aws:PrincipalOrgPaths、aws:PrincipalTagaws:PrincipalType、aws:SourceAccount、aws:SourceArn、aws:SourceIp、aws:SourceOrgID、、aws:SourceOrgPathsaws:SourceVpc、aws:SourceVpce、aws:userid、 s3:DataAccessPointAccount和 s3:DataAccessPointArn。我們建議您檢閱儲存貯體的政策，以判斷此存取是否預期且安全。

為了判斷儲存貯體是否與 CloudFront OAI或共用OAC，Macie 會分析儲存貯體的儲存貯體政策。或 CloudFront OAIOAC允許使用者透過一或多個指定的 CloudFront 分佈來存取儲存貯體的物件。若要了解 CloudFront OAIs 和 OACs，請參閱《Amazon 開發人員指南》中的限制對 Amazon S3 原始伺服器的存取。 CloudFront

概觀區段也包含最新的自動探索執行欄位。此欄位指出 Macie 在執行自動敏感資料探索時，最近分析儲存貯體中的物件的時間。如果尚未進行此分析，此欄位中會顯示破折號 (–)。

物件統計資料

本節提供有關儲存貯體中物件的資訊，從儲存貯體中的物件總數 (總計數)、所有這些物件的總儲存體大小 (總儲存體大小)，以及壓縮 (.gz、.gzip 或 .zip) 檔案 (總壓縮大小) 的所有物件的總儲存體大小開始。本節中的其他統計資料可協助您評估 Macie 可以分析多少資料，以偵測儲存貯體中的敏感資料。

如果您最近建立儲存貯體，或在過去 24 小時內對儲存貯體的物件進行了重大變更，可選擇重新整理 ( ) 以擷取儲存貯體物件的最新中繼資料。Macie 會顯示資訊圖示 ( )，以協助您判斷是否發生這種情況。如果儲存貯體存放 30，000 個或更少的物件，則重新整理選項可供使用。

當您檢閱本節中的統計資料時，請記住下列事項：

如果已啟用儲存貯體的版本控制，大小值會根據儲存貯體中每個物件最新版本的儲存體大小而定。
如果儲存貯體存放壓縮的物件，大小值不會反映解壓縮後這些物件的實際大小。
如果您重新整理儲存貯體的物件中繼資料，Macie 會暫時回報套用至物件的加密統計資料未知。Macie 將在 24 小時內執行儲存貯體和物件中繼資料的下一次每日重新整理時重新評估和更新這些統計資料的資料。
根據預設，物件計數和大小值會包含儲存貯體因未完成分段上傳而包含的任何物件部分的資料。如果您重新整理儲存貯體的物件中繼資料，Macie 會從重新計算的值中排除物件部分的資料。當 Macie 執行儲存貯體和物件中繼資料的下一次每日重新整理時 (24 小時內），Macie 會重新計算和更新這些統計資料的值，並再次將物件部分的資料包含在值中。

請注意，Macie 無法分析物件部分來偵測敏感資料。Amazon S3 必須先將組件組合成一或多個物件，讓 Macie 進行分析。如需分段上傳和物件組件的相關資訊，包括如何使用生命週期規則自動刪除組件，請參閱《Amazon Simple Storage Service 使用者指南》中的使用分段上傳上傳和複製物件。若要識別包含物件部分的儲存貯體，您可以參考 Amazon S3 Storage Lens 中不完整的分段上傳指標。如需詳細資訊，請參閱《Amazon Simple Storage Service 使用者指南》中的評估您的儲存活動和用量。

物件統計資料的整理方式如下。

可分類物件

本節指出 Macie 可以分析的物件總數，以偵測敏感資料和這些物件的總儲存體大小。這些物件使用支援的 Amazon S3 儲存類別，並具有支援檔案或儲存格式的檔案名稱副檔名。您可以使用 Macie 偵測物件中的敏感資料。如需詳細資訊，請參閱支援的儲存類別和格式。

無法分類的物件

本節指出 Macie 無法分析以偵測敏感資料的物件總數，以及這些物件的總儲存大小。這些物件不使用支援的 Amazon S3 儲存體方案，或沒有支援的檔案或儲存體格式的檔案名稱副檔名。

無法分類的物件：儲存類別

本節提供 Macie 無法分析之物件的數量和儲存體大小明細，因為物件不使用支援的 Amazon S3 儲存體方案。

無法分類的物件：檔案類型

本節提供 Macie 無法分析之物件的數量和儲存體大小明細，因為物件沒有支援檔案或儲存體格式的副檔名。

依加密類型的物件

本節提供使用 Amazon S3 支援之每種加密類型的物件數量明細：

客戶提供 – 使用客戶提供的金鑰加密的物件數量。這些物件使用 SSE-C 加密。
AWS KMS 受管 – 使用 AWS KMS key AWS 受管金鑰或客戶受管金鑰加密的物件數量。這些物件使用 DSSEKMS或 SSEKMS加密。
Amazon S3 受管 – 使用 Amazon S3 受管金鑰加密的物件數量。這些物件使用 SSE-S3 加密。
不加密 – 未加密或使用用戶端加密的物件數量。（如果使用用戶端加密來加密物件，Macie 無法存取和報告物件的加密資料。)
未知 – Macie 目前沒有加密中繼資料的物件數量。如果您最近選擇手動重新整理儲存貯體物件的中繼資料，通常會發生這種情況。Macie 會在執行儲存貯體和物件中繼資料的下一次每日重新整理時更新加密統計資料，也就是 24 小時內。

如需每個支援的加密類型的相關資訊，請參閱《Amazon Simple Storage Service 使用者指南》中的使用加密保護資料。

伺服器端加密

本節提供儲存貯體的伺服器端加密設定的洞見。

儲存貯體政策所需的加密欄位指出當物件新增至儲存貯體時，儲存貯體的政策是否需要物件的伺服器端加密：

否 – 儲存貯體沒有儲存貯體政策，或儲存貯體的政策不需要對新物件進行伺服器端加密。如果儲存貯體政策存在，則不需要PutObject請求來包含有效的伺服器端加密標頭。
是 – 儲存貯體的政策需要對新物件進行伺服器端加密。儲存貯體的PutObject請求必須包含有效的伺服器端加密標頭。否則，Amazon S3 會拒絕要求。
未知 – Macie 無法評估儲存貯體的政策，以判斷它是否需要對新物件進行伺服器端加密。例如，配額或問題導致 Macie 無法擷取和評估政策。

在此評估中，有效的伺服器端加密標頭為：的值x-amz-server-side-encryption為 AES256或 aws:kms，x-amz-server-side-encryption-customer-algorithm而的值為 AES256。如需使用儲存貯體政策要求伺服器端加密新物件的相關資訊，請參閱《Amazon Simple Storage Service 使用者指南》中的使用伺服器端加密保護資料。

預設加密欄位會指出儲存貯體設定為套用的伺服器端加密演算法，預設會套用至新增至儲存貯體的物件：

AES256 – 儲存貯體的預設加密設定設定為使用 Amazon S3 受管金鑰加密新物件。新的物件會使用 SSE-S3 加密自動加密。
aws：kms – 儲存貯體的預設加密設定設定為使用 AWS KMS key AWS 受管金鑰或客戶受管金鑰來加密新物件。新物件會使用 SSE-KMS 加密自動加密。AWS KMS key 欄位會顯示所使用金鑰的 Amazon Resource Name (ARN) 或唯一識別碼（金鑰 ID)。
aws：kms：dsse – 儲存貯體的預設加密設定設定為使用 AWS KMS key AWS 受管金鑰或客戶受管金鑰來加密新物件。新物件會使用 DSSE-KMS 加密自動加密。AWS KMS key 欄位會顯示所使用金鑰的 ARN或金鑰 ID。
無 – 儲存貯體的預設加密設定不會指定新物件的伺服器端加密行為。

自 2023 年 1 月 5 日起，Amazon S3 會自動套用伺服器端加密與 Amazon S3 受管金鑰 (SSE-S3)，做為新增至儲存貯體之物件的基本加密層級。您可以選擇性地將儲存貯體的預設加密設定設定為，而改用伺服器端加密搭配 AWS KMS 金鑰 (SSE-KMS) 或雙層伺服器端加密搭配 AWS KMS 金鑰 (DSSE-KMS)。如需預設加密設定和選項的相關資訊，請參閱《Amazon Simple Storage Service 使用者指南》中的設定 S3 儲存貯體的預設伺服器端加密行為。

敏感資料探索

本節指出您是否設定任何敏感資料探索任務，以每日、每週或每月定期分析儲存貯體中的物件。如果主動監控的任務欄位的值為是，則儲存貯體會明確包含在定期任務中，或儲存貯體符合過去 24 小時內定期任務的條件。此外，至少其中一個任務的狀態不會取消。Macie 每天更新此資料。

如果您已設定任何類型的敏感資料探索任務（定期任務或一次性任務）來分析儲存貯體中的物件，最新任務欄位會提供最近開始執行的任務的唯一識別符。最新任務執行欄位指出該任務何時開始執行。

提示

若要顯示任務產生的所有敏感資料調查結果，請在最新任務欄位中選擇連結。在出現的任務詳細資訊面板中，選擇在面板頂端顯示結果，然後選擇顯示問題清單。

公用存取

本節指出儲存貯體是否可公開存取。它也提供各種帳戶層級和儲存貯體層級設定的明細，以判斷是否為這種情況。有效許可欄位指出這些設定的累積結果：

不公開 – 儲存貯體無法公開存取。
公有 – 儲存貯體可公開存取。
未知 – Macie 無法評估儲存貯體的所有公有存取設定。例如，配額或暫時問題導致 Macie 無法擷取和評估必要資料。

在此評估中，Macie 會分析每個儲存貯體的帳戶層級和儲存貯體層級設定的組合：帳戶的區塊公開存取設定；儲存貯體的區塊公開存取設定；儲存貯體的儲存貯體政策；以及儲存貯體的存取控制清單 (ACL)。請注意，評估不包含物件層級設定，可公開存取儲存貯體中的特定物件。

若要了解管理儲存貯體和儲存貯體資料的公有存取權的 Amazon S3 設定，請參閱《Amazon Simple Storage Service 使用者指南》中的存取控制和封鎖對 Amazon S3 儲存體的公有存取權。

複寫

在本節中，複寫欄位指出儲存貯體是否設定為將物件複寫至其他儲存貯體。如果此欄位的值為是，則會為儲存貯體設定並啟用一或多個複寫規則。本節也會列出擁有目的地儲存貯體之每個 AWS 帳戶的帳戶 ID。

外部複寫欄位指出儲存貯體是否設定為將物件複寫至組織外部 AWS 帳戶（非組織的一部分）的儲存貯體。組織是一組 Macie 帳戶，透過 Macie 邀請 AWS Organizations 或由 Macie 邀請集中管理為一組相關帳戶。如果此欄位的值為是，則會為儲存貯體設定並啟用複寫規則，並且將規則設定為將物件複寫至外部擁有的儲存貯體 AWS 帳戶。

注意

在某些情況下，Macie 可能會錯誤地指出儲存貯體已設定為將物件複寫至外部所擁有的儲存貯體 AWS 帳戶。如果目的地儲存貯體在 AWS 區域前 24 小時內以不同的建立，則在 Macie 從 Amazon S3 擷取儲存貯體和物件中繼資料之後，做為每日重新整理週期的一部分，就會發生這種情況。

若要使用 Macie 調查問題，請選擇重新整理 ( ) 從 Amazon S3 擷取最新的儲存貯體中繼資料。然後檢閱本節IDs中的帳戶清單。若要深入調查，請使用 Amazon S3 來檢閱儲存貯體的複寫規則。

若要了解用於複寫儲存貯體物件的 Amazon S3 選項和設定，請參閱《Amazon Simple Storage Service 使用者指南》中的複寫物件。