Bewertung der Reichweite automatisierter Erkennung sensibler Daten

Während die automatische Erkennung sensibler Daten für Ihr Konto oder Ihre Organisation voranschreitet, stellt Amazon Macie Statistiken und Details bereit, anhand derer Sie die Abdeckung Ihres Amazon Simple Storage Service (Amazon S3) -Datenbestands beurteilen und überwachen können. Mit diesen Daten können Sie den Status der automatisierten Erkennung sensibler Daten für Ihren gesamten Datenbestand und für einzelne S3-Buckets in Ihrem Bucket-Inventar überprüfen. Sie können auch Probleme identifizieren, die Macie daran gehindert haben, Objekte in bestimmten Buckets zu analysieren. Wenn Sie die Probleme beheben, können Sie die Abdeckung Ihrer Amazon S3 S3-Daten in nachfolgenden Analysezyklen erhöhen.

Die Abdeckungsdaten bieten eine Momentaufnahme des aktuellen Status der automatisierten Erkennung sensibler Daten für Ihre S3-Allzweck-Buckets in der aktuellen Zeit. AWS-Region Wenn Sie der Macie-Administrator einer Organisation sind, schließt dies auch Buckets ein, die Ihren Mitgliedskonten gehören. Für jeden Bucket geben die Daten an, ob Probleme aufgetreten sind, als Macie versuchte, Objekte im Bucket zu analysieren. Falls Probleme aufgetreten sind, geben die Daten Auskunft über die Art der einzelnen Probleme und in bestimmten Fällen über deren Anzahl. Die Daten werden täglich aktualisiert, sobald die automatische Erkennung sensibler Daten voranschreitet. Wenn Macie während eines täglichen Analysezyklus ein oder mehrere Objekte in einem Bucket analysiert oder versucht, sie zu analysieren, aktualisiert Macie den Erfassungsbereich und andere Daten, um die Ergebnisse widerzuspiegeln.

Bei bestimmten Arten von Problemen können Sie die aggregierten Daten für alle Ihre S3-Allzweck-Buckets überprüfen und optional weitere Details zu den einzelnen Buckets abrufen. Mithilfe von Deckungsdaten können Sie beispielsweise schnell alle Buckets identifizieren, auf die Macie für Ihr Konto nicht zugreifen darf. In den Deckungsdaten wird auch über aufgetretene Probleme auf Objektebene berichtet. Diese als Klassifizierungsfehler bezeichneten Probleme hinderten Macie daran, bestimmte Objekte in einem Bucket zu analysieren. Sie können beispielsweise feststellen, wie viele Objekte Macie in einem Bucket nicht analysieren konnte, weil die Objekte mit einem Schlüssel AWS Key Management Service (AWS KMS) verschlüsselt sind, der nicht mehr verfügbar ist.

Wenn Sie die Amazon Macie Macie-Konsole verwenden, um die Deckungsdaten zu überprüfen, enthält Ihre Ansicht der Daten Anleitungen zur Behebung der einzelnen Arten von Problemen. Die nachfolgenden Themen in diesem Abschnitt enthalten auch Anleitungen zur Problembehebung für jeden Typ.

Themen

• Überprüfung der Deckungsdaten
• Behebung von Deckungsproblemen
  • Zugriff verweigert
  • Klassifizierungsfehler: Ungültiger Inhalt
  • Klassifizierungsfehler: Ungültige Verschlüsselung
  • Klassifizierungsfehler: Ungültiger KMS-Schlüssel
  • Klassifizierungsfehler: Zugriff verweigert
  • Nicht klassifizierbar

Überprüfung der Deckungsdaten der automatisierten Erkennung sensibler Daten

Um den Umfang der automatisierten Erkennung sensibler Daten zu überprüfen und zu bewerten, können Sie die Amazon Macie Macie-Konsole oder die Amazon Macie Macie-API verwenden. Sowohl die Konsole als auch die API stellen Daten bereit, die den aktuellen Status der Analysen für Ihre Allzweck-Buckets von Amazon Simple Storage Service (Amazon S3) anzeigen. AWS-Region Die Daten enthalten Informationen zu Problemen, die zu Lücken in den Analysen führen:

• Buckets, auf die Macie nicht zugreifen darf. Macie kann keine Objekte in diesen Buckets analysieren, da die Berechtigungseinstellungen der Buckets Macie daran hindern, auf die Buckets und die Objekte der Buckets zuzugreifen.

• Buckets, die keine klassifizierbaren Objekte speichern. Macie kann keine Objekte in diesen Buckets analysieren, da alle Objekte Amazon S3 S3-Speicherklassen verwenden, die Macie nicht unterstützt, oder sie haben Dateinamenerweiterungen für Datei- oder Speicherformate, die Macie nicht unterstützt.

• Buckets, die Macie aufgrund von Klassifizierungsfehlern auf Objektebene noch nicht analysieren konnte. Macie hat versucht, ein oder mehrere Objekte in diesen Buckets zu analysieren. Macie konnte die Objekte jedoch aufgrund von Problemen mit den Berechtigungseinstellungen auf Objektebene, dem Objektinhalt oder den Kontingenten nicht analysieren.

Die Deckungsdaten werden täglich aktualisiert, wenn die automatische Erkennung sensibler Daten voranschreitet. Wenn Sie der Macie-Administrator einer Organisation sind, enthalten die Daten Informationen für S3-Buckets, die Ihren Mitgliedskonten gehören.

Anmerkung

Zu den Deckungsdaten gehören nicht ausdrücklich die Ergebnisse von Aufträgen zur Erkennung sensibler Daten, die Sie erstellt und ausgeführt haben. Durch die Behebung von Deckungsproblemen, die sich auf Ihre Ergebnisse der automatisierten Erkennung vertraulicher Daten auswirken, wird jedoch wahrscheinlich auch die Abdeckung durch Aufgaben zur Erkennung sensibler Daten erhöht, die Sie anschließend ausführen. Sehen Sie sich die Statistiken und Ergebnisse der jeweiligen Stelle an, um den Versicherungsschutz für eine Stelle einzuschätzen. Wenn die Protokollereignisse oder andere Ergebnisse eines Auftrags auf Probleme mit der Abdeckung hinweisen, können Ihnen die weiter unten in diesem Abschnitt aufgeführten Anleitungen zur Problembehebung weiterhelfen.

Um die Deckungsdaten der automatisierten Erkennung sensibler Daten zu überprüfen

Sie können die Amazon Macie Macie-Konsole oder die Amazon Macie Macie-API verwenden, um die Deckungsdaten für Ihr Konto oder Ihre Organisation zu überprüfen. Auf der Konsole bietet eine einzige Seite eine einheitliche Ansicht der Deckungsdaten für all Ihre S3-Allzweck-Buckets, einschließlich einer Zusammenfassung der Probleme, die kürzlich für jeden Bucket aufgetreten sind. Die Seite bietet auch Optionen für die Überprüfung von Datengruppen nach Problemtyp. Um Ihre Untersuchung von Problemen für bestimmte Bereiche nachzuverfolgen, können Sie Daten von der Seite in eine Datei mit kommagetrennten Werten (CSV) exportieren.

Console

Gehen Sie wie folgt vor, um die Daten zur automatischen Erkennung sensibler Daten mithilfe der Amazon Macie Macie-Konsole zu überprüfen.

Um die Deckungsdaten zu überprüfen

1. Öffnen Sie die Amazon Macie Macie-Konsole unter https://console.aws.amazon.com/macie/.

2. Wählen Sie im Navigationsbereich die Option Ressourcenabdeckung aus.

3. Wählen Sie auf der Seite Ressourcenabdeckung die Registerkarte für den Typ der Deckungsdaten aus, die Sie überprüfen möchten:

   • Alle — Listet alle Buckets auf, die Macie für Ihr Konto überwacht und analysiert.

     Für jeden Bucket gibt das Feld Probleme an, ob Macie aufgrund von Problemen daran gehindert wurde, Objekte im Bucket zu analysieren. Wenn der Wert für dieses Feld „Keine“ lautet, hat Macie mindestens eines der Objekte des Buckets analysiert oder Macie hat noch nicht versucht, eines der Objekte des Buckets zu analysieren. Wenn es Probleme gibt, gibt dieses Feld die Art der Probleme an und gibt an, wie die Probleme behoben werden können. Bei Klassifizierungsfehlern auf Objektebene kann es auch (in Klammern) die Häufigkeit des Auftretens des Fehlers angeben.

   • Zugriff verweigert — Listet Buckets auf, auf die Macie nicht zugreifen darf. Die Berechtigungseinstellungen für diese Buckets verhindern, dass Macie auf die Buckets und die Objekte der Buckets zugreift. Folglich kann Macie keine Objekte in diesen Buckets analysieren.

   • Klassifizierungsfehler — Führt Buckets auf, die Macie aufgrund von Klassifizierungsfehlern auf Objektebene — also Problemen mit Berechtigungseinstellungen auf Objektebene, Objektinhalten oder Kontingenten — noch nicht analysiert hat.

     Für jeden Bucket gibt das Feld Probleme die Art der einzelnen Fehlertypen an, die aufgetreten sind und Macie daran gehindert haben, ein Objekt im Bucket zu analysieren. Außerdem wird angegeben, wie die einzelnen Fehlertypen behoben werden können. Je nach Fehler kann es auch (in Klammern) angeben, wie oft der Fehler aufgetreten ist.

   • Nicht klassifizierbar — Führt Buckets auf, die Macie nicht analysieren kann, weil sie keine klassifizierbaren Objekte speichern. Alle Objekte in diesen Buckets verwenden nicht unterstützte Amazon S3 S3-Speicherklassen oder haben Dateinamenerweiterungen für nicht unterstützte Datei- oder Speicherformate. Folglich kann Macie keine Objekte in diesen Buckets analysieren.

4. Um die unterstützenden Daten für einen Bucket genauer zu untersuchen und zu überprüfen, wählen Sie den Namen des Buckets aus. Statistiken und weitere Informationen zum Bucket finden Sie anschließend im Bereich mit den Bucket-Details.

5. Um die Tabelle in eine CSV-Datei zu exportieren, wählen Sie oben auf der Seite In CSV exportieren aus. Die resultierende CSV-Datei enthält eine Teilmenge von Metadaten für jeden Bucket in der Tabelle für bis zu 50.000 Buckets. Die Datei enthält ein Feld mit dem Geltungsbereich. Der Wert für dieses Feld gibt an, ob Macie aufgrund von Problemen daran gehindert wurde, Objekte im Bucket zu analysieren, und falls ja, um welche Art von Problemen es sich handelt.

API

Um die Deckungsdaten programmgesteuert zu überprüfen, geben Sie Filterkriterien in Abfragen an, die Sie mithilfe der Amazon DescribeBucketsMacie Macie-API einreichen. Dieser Vorgang gibt ein Array von Objekten zurück. Jedes Objekt enthält statistische Daten und andere Informationen über einen S3-Allzweck-Bucket, der den Filterkriterien entspricht.

Fügen Sie in den Filterkriterien eine Bedingung für den Typ der Deckungsdaten ein, die Sie überprüfen möchten:

• Um Buckets zu identifizieren, auf die Macie aufgrund der Berechtigungseinstellungen der Buckets nicht zugreifen darf, fügen Sie eine Bedingung hinzu, bei der der Wert für das Feld gleich ist. errorCode ACCESS_DENIED

• Um Buckets zu identifizieren, auf die Macie zugreifen darf und die sie noch nicht analysiert hat, geben Sie Bedingungen an, bei denen der Wert für das sensitivityScore Feld gleich 50 und der Wert für das Feld ungleich ist. errorCode ACCESS_DENIED

• Um Buckets zu identifizieren, die Macie nicht analysieren kann, weil alle Objekte der Buckets nicht unterstützte Speicherklassen oder -formate verwenden, fügen Sie Bedingungen hinzu, bei denen der Wert für das classifiableSizeInBytes Feld gleich 0 und der Wert für das Feld größer als ist. sizeInBytes 0

• Um Buckets zu identifizieren, für die Macie mindestens ein Objekt analysiert hat, geben Sie Bedingungen an, bei denen der Wert für das sensitivityScore Feld im Bereich von 1—99 liegt, aber nicht gleich ist. 50 Um auch Bereiche einzubeziehen, denen Sie die Höchstpunktzahl manuell zugewiesen haben, sollte der Bereich zwischen 1 und 100 liegen.

• Um Bereiche zu identifizieren, die Macie aufgrund von Klassifizierungsfehlern auf Objektebene noch nicht analysiert hat, fügen Sie eine Bedingung hinzu, bei der der Wert für das Feld gleich ist. sensitivityScore -1 Verwenden Sie die Operation, um anschließend eine Aufschlüsselung der Arten und der Anzahl der Fehler zu überprüfen, die für einen bestimmten Bereich aufgetreten sind. GetResourceProfile

Wenn Sie AWS Command Line Interface (AWS CLI) verwenden, geben Sie Filterkriterien in Abfragen an, die Sie einreichen, indem Sie den Befehl describe-buckets ausführen. Führen Sie den Befehl aus, um eine Aufschlüsselung der Typen und der Anzahl der Fehler zu überprüfen, die für einen bestimmten S3-Bucket aufgetreten sind, falls vorhanden. get-resource-profile

Die folgenden AWS CLI Befehle verwenden beispielsweise Filterkriterien, um die Details aller S3-Buckets abzurufen, auf die Macie aufgrund der Berechtigungseinstellungen der Buckets nicht zugreifen darf.

Dieses Beispiel ist für Linux, macOS oder Unix formatiert:

$ aws macie2 describe-buckets --criteria '{"errorCode":{"eq":["ACCESS_DENIED"]}}'

Dieses Beispiel ist für Microsoft Windows formatiert:

C:\> aws macie2 describe-buckets --criteria={\"errorCode\":{\"eq\":[\"ACCESS_DENIED\"]}}

Wenn Ihre Anfrage erfolgreich ist, gibt Macie ein Array zurück. buckets Das Array enthält ein Objekt für jeden S3-Bucket, der sich im aktuellen Bucket befindet AWS-Region und den Filterkriterien entspricht.

Wenn keine S3-Buckets den Filterkriterien entsprechen, gibt Macie ein leeres buckets Array zurück.

{
    "buckets": []
}

Weitere Informationen zur Angabe von Filterkriterien in Abfragen, einschließlich Beispielen für häufig verwendete Kriterien, finden Sie unter. Filtern Ihres S3-Bucket-Inventars

Behebung von Deckungsproblemen bei der automatisierten Erkennung sensibler Daten

Amazon Macie meldet verschiedene Arten von Problemen, die den Schutz Ihrer Amazon Simple Storage Service (Amazon S3) -Daten durch automatische Erkennung sensibler Daten verringern. Die folgenden Informationen können Ihnen helfen, diese Probleme zu untersuchen und zu beheben.

Arten von Problemen und Einzelheiten

• Zugriff verweigert
• Klassifizierungsfehler: Ungültiger Inhalt
• Klassifizierungsfehler: Ungültige Verschlüsselung
• Klassifizierungsfehler: Ungültiger KMS-Schlüssel
• Klassifizierungsfehler: Zugriff verweigert
• Nicht klassifizierbar

Tipp

Um Klassifizierungsfehler auf Objektebene für einen S3-Bucket zu untersuchen, überprüfen Sie zunächst die Liste der Objektbeispiele für den Bucket. Diese Liste gibt an, welche Objekte Macie im Bucket analysiert oder versucht hat zu analysieren, und zwar für bis zu 100 Objekte.

Um die Liste auf der Amazon Macie Macie-Konsole zu überprüfen, wählen Sie den Bucket auf der S3-Buckets-Seite und dann im Bereich mit den Bucket-Details die Registerkarte Objektbeispiele aus. Um die Liste programmgesteuert zu überprüfen, verwenden Sie den ListResourceProfileArtifactsBetrieb der Amazon Macie Macie-API. Wenn der Status der Analyse für ein Objekt Skipped (SKIPPED) lautet, hat das Objekt möglicherweise den Fehler verursacht.

Zugriff verweigert

Dieses Problem weist darauf hin, dass die Berechtigungseinstellungen eines S3-Buckets Macie daran hindern, auf den Bucket und die Objekte des Buckets zuzugreifen. Macie kann keine Objekte im Bucket abrufen und analysieren.

Details

Die häufigste Ursache für diese Art von Problem ist eine restriktive Bucket-Richtlinie. Eine Bucket-Richtlinie ist eine ressourcenbasierte AWS Identity and Access Management (IAM) -Richtlinie, die festlegt, welche Aktionen ein Principal (Benutzer, Konto, Dienst oder andere Entität) auf einem S3-Bucket ausführen kann und unter welchen Bedingungen ein Principal diese Aktionen ausführen kann. Eine restriktive Bucket-Richtlinie verwendet explizite Allow Deny Anweisungen, die den Zugriff auf die Daten eines Buckets auf der Grundlage bestimmter Bedingungen gewähren oder einschränken. Eine Bucket-Richtlinie kann beispielsweise eine Allow Deny OR-Anweisung enthalten, die den Zugriff auf einen Bucket verweigert, sofern nicht bestimmte Quell-IP-Adressen für den Zugriff auf den Bucket verwendet werden.

Wenn die Bucket-Richtlinie für einen S3-Bucket eine explizite Deny Anweisung mit einer oder mehreren Bedingungen enthält, darf Macie die Objekte des Buckets möglicherweise nicht abrufen und analysieren, um sensible Daten zu erkennen. Macie kann nur eine Teilmenge von Informationen über den Bucket bereitstellen, z. B. den Namen und das Erstellungsdatum des Buckets.

Anleitung zur Problembehebung

Um dieses Problem zu beheben, aktualisieren Sie die Bucket-Richtlinie für den S3-Bucket. Stellen Sie sicher, dass die Richtlinie Macie den Zugriff auf den Bucket und die Objekte des Buckets ermöglicht. Um diesen Zugriff zu ermöglichen, fügen Sie der Richtlinie eine Bedingung für die mit dem Macie-Dienst verknüpfte Rolle (AWSServiceRoleForAmazonMacie) hinzu. Die Bedingung sollte die mit dem Dienst verknüpfte Macie-Rolle von der Einhaltung der Deny Einschränkung in der Richtlinie ausschließen. Dazu werden der aws:PrincipalArn globale Bedingungskontextschlüssel und der Amazon-Ressourcenname (ARN) der mit dem Macie-Service verknüpften Rolle für Ihr Konto verwendet.

Wenn Sie die Bucket-Richtlinie aktualisieren und Macie Zugriff auf den S3-Bucket erhält, erkennt Macie die Änderung. In diesem Fall aktualisiert Macie Statistiken, Inventardaten und andere Informationen, die es über Ihre Amazon S3 S3-Daten bereitstellt. Darüber hinaus werden die Objekte des Buckets bei der Analyse in einem nachfolgenden Analysezyklus eine höhere Priorität haben.

Zusätzliche Referenz

Weitere Informationen zur Aktualisierung einer S3-Bucket-Richtlinie, um Macie den Zugriff auf einen Bucket zu ermöglichen, finden Sie unterAmazon Macie den Zugriff auf S3-Buckets und Objekte erlauben. Informationen zur Verwendung von Bucket-Richtlinien zur Steuerung des Zugriffs auf Buckets finden Sie unter Bucket-Richtlinien und Benutzerrichtlinien und Wie Amazon S3 eine Anfrage autorisiert im Amazon Simple Storage Service-Benutzerhandbuch.

Klassifizierungsfehler: Ungültiger Inhalt

Diese Art von Klassifizierungsfehler tritt auf, wenn Macie versucht, ein Objekt in einem S3-Bucket zu analysieren und das Objekt fehlerhaft formatiert ist oder wenn das Objekt Inhalt enthält, der ein Kontingent für die Erkennung sensibler Daten überschreitet. Macie kann das Objekt nicht analysieren.

Details

Dieser Fehler tritt normalerweise auf, weil es sich bei einem S3-Objekt um eine falsch formatierte oder beschädigte Datei handelt. Folglich kann Macie nicht alle Daten in der Datei analysieren und analysieren.

Dieser Fehler kann auch auftreten, wenn die Analyse eines S3-Objekts ein Kontingent für die Erkennung sensibler Daten für eine einzelne Datei überschreiten würde. Beispielsweise überschreitet die Speichergröße des Objekts das Größenkontingent für diesen Dateityp.

In beiden Fällen kann Macie die Analyse des S3-Objekts nicht abschließen und der Status der Analyse für das Objekt lautet Skipped ()SKIPPED.

Anleitung zur Problembehebung

Um diesen Fehler zu untersuchen, laden Sie das S3-Objekt herunter und überprüfen Sie die Formatierung und den Inhalt der Datei. Prüfen Sie außerdem den Inhalt der Datei anhand der Macie-Kontingente für die Erkennung sensibler Daten.

Wenn Sie diesen Fehler nicht beheben, versucht Macie, andere Objekte im S3-Bucket zu analysieren. Wenn Macie ein anderes Objekt erfolgreich analysiert, aktualisiert Macie die Deckungsdaten und andere Informationen, die es über den Bucket bereitstellt.

Zusätzliche Referenz

Eine Liste der Kontingente für die Erkennung sensibler Daten, einschließlich der Kontingente für bestimmte Dateitypen, finden Sie unterAmazon Macie Macie-Kontingente. Informationen darüber, wie Macie die Vertraulichkeitswerte aktualisiert, und weitere Informationen, die Macie zu S3-Buckets bereitstellt, finden Sie unter. So funktioniert die automatische Erkennung sensibler Daten

Klassifizierungsfehler: Ungültige Verschlüsselung

Diese Art von Klassifizierungsfehler tritt auf, wenn Macie versucht, ein Objekt in einem S3-Bucket zu analysieren und das Objekt mit einem vom Kunden bereitgestellten Schlüssel verschlüsselt ist. Das Objekt verwendet die SSE-C-Verschlüsselung, was bedeutet, dass Macie das Objekt nicht abrufen und analysieren kann.

Details

Amazon S3 unterstützt mehrere Verschlüsselungsoptionen für S3-Objekte. Bei den meisten dieser Optionen kann Macie ein Objekt mithilfe der mit dem Macie-Dienst verknüpften Rolle für Ihr Konto entschlüsseln. Dies hängt jedoch von der Art der verwendeten Verschlüsselung ab.

Damit Macie ein S3-Objekt entschlüsseln kann, muss das Objekt mit einem Schlüssel verschlüsselt werden, auf den Macie zugreifen kann und den er verwenden darf. Wenn ein Objekt mit einem vom Kunden bereitgestellten Schlüssel verschlüsselt ist, kann Macie nicht das erforderliche Schlüsselmaterial bereitstellen, um das Objekt von Amazon S3 abzurufen. Folglich kann Macie das Objekt nicht analysieren und der Status der Analyse für das Objekt lautet Skipped (). SKIPPED

Anleitung zur Problembehebung

Um diesen Fehler zu beheben, verschlüsseln Sie S3-Objekte mit von Amazon S3 verwalteten Schlüsseln oder AWS Key Management Service (AWS KMS) -Schlüsseln. Wenn Sie lieber AWS KMS Schlüssel verwenden möchten, können die Schlüssel AWS verwaltete KMS-Schlüssel oder vom Kunden verwaltete KMS-Schlüssel sein, die Macie verwenden darf.

Um vorhandene S3-Objekte mit Schlüsseln zu verschlüsseln, auf die Macie zugreifen und die sie verwenden kann, können Sie die Verschlüsselungseinstellungen für die Objekte ändern. Um neue Objekte mit Schlüsseln zu verschlüsseln, auf die Macie zugreifen und die sie verwenden kann, ändern Sie die Standardverschlüsselungseinstellungen für den S3-Bucket. Stellen Sie außerdem sicher, dass die Bucket-Richtlinie nicht vorschreibt, dass neue Objekte mit einem vom Kunden bereitgestellten Schlüssel verschlüsselt werden müssen.

Wenn Sie diesen Fehler nicht beheben, versucht Macie, andere Objekte im S3-Bucket zu analysieren. Wenn Macie ein anderes Objekt erfolgreich analysiert, aktualisiert Macie die Deckungsdaten und andere Informationen, die es über den Bucket bereitstellt.

Zusätzliche Referenz

Informationen zu den Anforderungen und Optionen für die Verwendung von Macie zur Analyse verschlüsselter S3-Objekte finden Sie unterAnalysieren verschlüsselter Amazon S3 S3-Objekte mit Amazon Macie. Informationen zu Verschlüsselungsoptionen und Einstellungen für S3-Buckets finden Sie unter Schützen von Daten durch Verschlüsselung und Einstellen des standardmäßigen serverseitigen Verschlüsselungsverhaltens für S3-Buckets im Amazon Simple Storage Service-Benutzerhandbuch.

Klassifizierungsfehler: Ungültiger KMS-Schlüssel

Diese Art von Klassifizierungsfehler tritt auf, wenn Macie versucht, ein Objekt in einem S3-Bucket zu analysieren und das Objekt mit einem Schlüssel AWS Key Management Service (AWS KMS) verschlüsselt ist, der nicht mehr verfügbar ist. Macie kann das Objekt nicht abrufen und analysieren.

Details

AWS KMS bietet Optionen zum Deaktivieren und Löschen von Kundenverwaltungen. AWS KMS keys Wenn ein S3-Objekt mit einem KMS-Schlüssel verschlüsselt ist, der deaktiviert ist, zum Löschen geplant ist oder gelöscht wurde, kann Macie das Objekt nicht abrufen und entschlüsseln. Folglich kann Macie das Objekt nicht analysieren und der Status der Analyse für das Objekt lautet Skipped (). SKIPPED Damit Macie ein verschlüsseltes Objekt analysieren kann, muss das Objekt mit einem Schlüssel verschlüsselt sein, auf den Macie zugreifen kann und den er verwenden darf.

Anleitung zur Problembehebung

Um diesen Fehler zu beheben, aktivieren Sie je nach aktuellem Status des Schlüssels das geplante Löschen der entsprechenden AWS KMS key Datei erneut oder brechen Sie sie ab. Wenn der entsprechende Schlüssel bereits gelöscht wurde, kann dieser Fehler nicht behoben werden.

Um festzustellen, welches Objekt zum Verschlüsseln eines S3-Objekts verwendet AWS KMS key wurde, können Sie zunächst Macie verwenden, um die serverseitigen Verschlüsselungseinstellungen für den S3-Bucket zu überprüfen. Wenn die Standardverschlüsselungseinstellungen für den Bucket für die Verwendung eines KMS-Schlüssels konfiguriert sind, geben die Details des Buckets an, welcher Schlüssel verwendet wird. Sie können dann den Status dieses Schlüssels überprüfen. Alternativ können Sie Amazon S3 verwenden, um die Verschlüsselungseinstellungen für den Bucket und einzelne Objekte im Bucket zu überprüfen.

Wenn Sie diesen Fehler nicht beheben, versucht Macie, andere Objekte im S3-Bucket zu analysieren. Wenn Macie ein anderes Objekt erfolgreich analysiert, aktualisiert Macie die Deckungsdaten und andere Informationen, die es über den Bucket bereitstellt.

Zusätzliche Referenz

Informationen zur Verwendung von Macie zur Überprüfung der serverseitigen Verschlüsselungseinstellungen für einen S3-Bucket finden Sie unter. Überprüfung der Details von S3-Buckets Informationen zum erneuten Aktivieren oder Abbrechen des geplanten Löschvorgangs eines finden Sie unter Aktivieren und Deaktivieren von Schlüsseln und Planen und Abbrechen der Schlüssellöschung im Entwicklerhandbuch. AWS KMS keyAWS Key Management Service

Klassifizierungsfehler: Zugriff verweigert

Diese Art von Klassifizierungsfehler tritt auf, wenn Macie versucht, ein Objekt in einem S3-Bucket zu analysieren, und Macie das Objekt aufgrund der Berechtigungseinstellungen für das Objekt oder der Berechtigungseinstellungen für den Schlüssel, der zum Verschlüsseln des Objekts verwendet wurde, nicht abrufen oder entschlüsseln kann. Macie kann das Objekt nicht abrufen und analysieren.

Details

Dieser Fehler tritt normalerweise auf, weil ein S3-Objekt mit einem vom Kunden verwalteten AWS Key Management Service (AWS KMS) Schlüssel verschlüsselt ist, den Macie nicht verwenden darf. Wenn ein Objekt mit einem vom Kunden verwalteten Objekt verschlüsselt wird AWS KMS key, muss die Richtlinie des Schlüssels es Macie ermöglichen, Daten mithilfe des Schlüssels zu entschlüsseln.

Dieser Fehler kann auch auftreten, wenn die Amazon S3 S3-Berechtigungseinstellungen Macie daran hindern, ein S3-Objekt abzurufen. Die Bucket-Richtlinie für den S3-Bucket kann den Zugriff auf bestimmte Bucket-Objekte einschränken oder nur bestimmten Prinzipalen (Benutzern, Konten, Diensten oder anderen Entitäten) den Zugriff auf die Objekte ermöglichen. Oder die Zugriffskontrollliste (ACL) für ein Objekt könnte den Zugriff auf das Objekt einschränken. Folglich darf Macie möglicherweise nicht auf das Objekt zugreifen.

In keinem der oben genannten Fälle kann Macie das Objekt abrufen und analysieren, und der Status der Analyse für das Objekt lautet Skipped (). SKIPPED

Anleitung zur Problembehebung

Um diesen Fehler zu beheben, stellen Sie fest, ob das S3-Objekt verschlüsselt und von einem Kunden verwaltet wird. AWS KMS key Ist dies der Fall, stellen Sie sicher, dass die Richtlinie des Schlüssels es der mit dem Macie-Dienst verknüpften Rolle (AWSServiceRoleForAmazonMacie) ermöglicht, Daten mit dem Schlüssel zu entschlüsseln. Wie Sie diesen Zugriff zulassen, hängt davon ab, ob das Konto, dem der gehört, AWS KMS key auch den S3-Bucket besitzt, in dem das Objekt gespeichert ist. Wenn dasselbe Konto den KMS-Schlüssel und den Bucket besitzt, muss ein Benutzer des Kontos die Richtlinie des Schlüssels aktualisieren. Wenn ein Konto den KMS-Schlüssel besitzt und ein anderes Konto den Bucket besitzt, muss ein Benutzer des Kontos, dem der Schlüssel gehört, kontenübergreifenden Zugriff auf den Schlüssel gewähren.

Tipp

Sie können automatisch eine Liste aller verwalteten Kunden generieren, auf AWS KMS keys die Macie zugreifen muss, um Objekte in den S3-Buckets für Ihr Konto zu analysieren. Führen Sie dazu das AWS KMS Permission Analyzer-Skript aus, das im Amazon Macie Scripts-Repository verfügbar GitHub ist. Das Skript kann auch ein zusätzliches Skript mit AWS Command Line Interface (AWS CLI) -Befehlen generieren. Sie können diese Befehle optional ausführen, um die erforderlichen Konfigurationseinstellungen und Richtlinien für die von Ihnen angegebenen KMS-Schlüssel zu aktualisieren.

Wenn Macie das entsprechende Objekt bereits verwenden darf AWS KMS key oder das S3-Objekt nicht mit einem vom Kunden verwalteten KMS-Schlüssel verschlüsselt ist, stellen Sie sicher, dass die Bucket-Richtlinie Macie den Zugriff auf das Objekt ermöglicht. Stellen Sie außerdem sicher, dass Macie anhand der ACL des Objekts die Daten und Metadaten des Objekts lesen kann.

Für die Bucket-Richtlinie können Sie diesen Zugriff zulassen, indem Sie der Richtlinie eine Bedingung für die mit dem Macie-Dienst verknüpfte Rolle hinzufügen. Die Bedingung sollte die Macie-Rolle, die mit dem Service verknüpft ist, von der Einhaltung der Deny Einschränkung in der Richtlinie ausschließen. Dazu werden der aws:PrincipalArn globale Bedingungskontextschlüssel und der Amazon-Ressourcenname (ARN) der mit dem Macie-Service verknüpften Rolle für Ihr Konto verwendet.

Für die Objekt-ACL können Sie diesen Zugriff gewähren, indem Sie mit dem Objekteigentümer zusammenarbeiten, um Sie AWS-Konto als Empfänger mit READ Berechtigungen für das Objekt hinzuzufügen. Macie kann dann die mit dem Dienst verknüpfte Rolle für Ihr Konto verwenden, um das Objekt abzurufen und zu analysieren. Erwägen Sie auch, die Einstellungen für den Objekteigentum für den Bucket zu ändern. Sie können diese Einstellungen verwenden, um ACLs für alle Objekte im Bucket zu deaktivieren und dem Konto, dem der Bucket gehört, Eigentumsrechte zu gewähren.

Wenn Sie diesen Fehler nicht beheben, versucht Macie, andere Objekte im S3-Bucket zu analysieren. Wenn Macie ein anderes Objekt erfolgreich analysiert, aktualisiert Macie die Deckungsdaten und andere Informationen, die es über den Bucket bereitstellt.

Zusätzliche Referenz

Weitere Informationen darüber, wie Macie Daten entschlüsseln kann, wenn ein Kunde verwaltet wird AWS KMS key, finden Sie unter. Amazon Macie die Nutzung eines vom Kunden verwalteten AWS KMS key Informationen zur Aktualisierung einer S3-Bucket-Richtlinie, um Macie den Zugriff auf einen Bucket zu ermöglichen, finden Sie unter. Amazon Macie den Zugriff auf S3-Buckets und Objekte erlauben

Informationen zum Aktualisieren einer Schlüsselrichtlinie finden Sie unter Ändern einer Schlüsselrichtlinie im AWS Key Management Service Entwicklerhandbuch. Informationen zur Verwendung von kundenverwalteten AWS KMS keys S3-Objekten finden Sie unter Verwenden der serverseitigen Verschlüsselung mit AWS KMS Schlüsseln im Amazon Simple Storage Service-Benutzerhandbuch.

Informationen zur Verwendung von Bucket-Richtlinien zur Steuerung des Zugriffs auf S3-Buckets finden Sie unter Bucket-Richtlinien und Benutzerrichtlinien und Wie Amazon S3 eine Anfrage autorisiert im Amazon Simple Storage Service-Benutzerhandbuch. Informationen zur Verwendung von ACLs oder Objektbesitzeinstellungen zur Steuerung des Zugriffs auf S3-Objekte finden Sie unter Zugriff mit ACLs verwalten und Eigentum an Objekten kontrollieren und ACLs für Ihren Bucket deaktivieren im Amazon Simple Storage Service-Benutzerhandbuch.

Nicht klassifizierbar

Dieses Problem weist darauf hin, dass alle Objekte in einem S3-Bucket in nicht unterstützten Amazon S3 S3-Speicherklassen oder nicht unterstützten Datei- oder Speicherformaten gespeichert werden. Macie kann keine Objekte im Bucket analysieren.

Details

Um für die Auswahl und Analyse in Frage zu kommen, muss ein S3-Objekt eine Amazon S3 S3-Speicherklasse verwenden, die Macie unterstützt. Das Objekt muss außerdem eine Dateinamenerweiterung für ein Datei- oder Speicherformat haben, das Macie unterstützt. Wenn ein Objekt diese Kriterien nicht erfüllt, wird das Objekt als nicht klassifizierbares Objekt behandelt. Macie versucht nicht, Daten in nicht klassifizierbaren Objekten abzurufen oder zu analysieren.

Wenn es sich bei allen Objekten in einem S3-Bucket um nicht klassifizierbare Objekte handelt, ist der gesamte Bucket ein nicht klassifizierbarer Bucket. Macie kann keine automatische Erkennung sensibler Daten für den Bucket durchführen.

Anleitung zur Problembehebung

Um dieses Problem zu beheben, überprüfen Sie die Lebenszykluskonfigurationsregeln und andere Einstellungen, die festlegen, welche Speicherklassen zum Speichern von Objekten im S3-Bucket verwendet werden. Erwägen Sie, diese Einstellungen anzupassen, um Speicherklassen zu verwenden, die Macie unterstützt. Sie können auch die Speicherklasse vorhandener Objekte im Bucket ändern.

Beurteilen Sie auch die Datei- und Speicherformate vorhandener Objekte im S3-Bucket. Um die Objekte zu analysieren, sollten Sie erwägen, die Daten vorübergehend oder dauerhaft auf neue Objekte zu portieren, die ein unterstütztes Format verwenden.

Wenn Objekte zum S3-Bucket hinzugefügt werden und diese eine unterstützte Speicherklasse und ein unterstütztes Speicherformat verwenden, erkennt Macie die Objekte bei der nächsten Auswertung Ihres Bucket-Inventars. In diesem Fall wird Macie nicht mehr melden, dass der Bucket in Statistiken, Abdeckungsdaten und anderen Informationen, die er über Ihre Amazon S3 S3-Daten bereitstellt, nicht klassifizierbar ist. Darüber hinaus werden die neuen Objekte bei der Analyse in einem nachfolgenden Analysezyklus eine höhere Priorität haben.

Zusätzliche Referenz

Informationen zu den Amazon S3 S3-Speicherklassen und den Datei- und Speicherformaten, die Macie unterstützt, finden Sie unterVon Amazon Macie unterstützte Speicherklassen und -formate. Informationen zu den Lebenszykluskonfigurationsregeln und den Speicherklassenoptionen, die Amazon S3 bietet, finden Sie unter Verwaltung Ihres Speicherlebenszyklus und Verwenden von Amazon S3 S3-Speicherklassen im Amazon Simple Storage Service-Benutzerhandbuch.