Empfindlichkeitsbewertung für S3-Buckets - Amazon Macie
Dimensionen und Bereiche der BewertungÜberwachung der Ergebnisse

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Empfindlichkeitsbewertung für S3-Buckets

Wenn die automatische Erkennung sensibler Daten aktiviert ist, berechnet Amazon Macie automatisch jedem Allzweck-Bucket von Amazon Simple Storage Service (Amazon S3), den es für ein Konto oder eine Organisation überwacht und analysiert, und weist ihm eine Vertraulichkeitsbewertung zu. Ein Sensitivitätswert ist eine quantitative Darstellung der Menge sensibler Daten, die ein S3-Bucket enthalten kann. Basierend auf dieser Bewertung weist Macie jedem Bucket auch ein Sensibilitätslabel zu. Ein Sensitivitätslabel ist eine qualitative Darstellung des Sensitivitätswerts eines Buckets. Diese Werte können als Referenzwerte dienen, um zu bestimmen, wo sich sensible Daten in Ihrem Amazon S3-Datenbestand befinden könnten, und um potenzielle Sicherheitsrisiken für diese Daten zu identifizieren und zu überwachen.

Standardmäßig spiegeln die Sensitivitätsbewertung und das Label eines S3-Buckets die Ergebnisse automatisierter Aktivitäten zur Erkennung sensibler Daten wider, die Macie bisher für den Bucket durchgeführt hat. Sie spiegeln nicht die Ergebnisse von Aufträgen zur Erkennung sensibler Daten wider, die Sie erstellen und ausführen. Darüber hinaus implizieren weder die Punktzahl noch die Bezeichnung die Wichtigkeit oder Bedeutung, die ein Bucket oder die Objekte eines Buckets für Sie oder Ihre Organisation haben könnten, oder geben auf andere Weise an. Sie können die berechnete Punktzahl eines Buckets jedoch überschreiben, indem Sie dem Bucket manuell die maximale Punktzahl (100) zuweisen. Dadurch wird dem Bucket auch das Label Sensitiv zugewiesen. Um eine berechnete Punktzahl zu überschreiben, müssen Sie der Macie-Administrator für das Konto sein, dem der Bucket gehört, oder Sie müssen über ein eigenständiges Macie-Konto verfügen.

Dimensionen und Bereiche der Sensitivitätsbewertung

Wenn er von Amazon Macie berechnet wird, ist der Sensitivitätswert eines S3-Buckets ein quantitatives Maß für den Schnittpunkt zweier Hauptdimensionen:

  • Die Menge sensibler Daten, die Macie im Bucket gefunden hat. Dies ist hauptsächlich auf die Art und Anzahl der vertraulichen Datentypen zurückzuführen, die Macie in dem Bucket gefunden hat, sowie auf die Anzahl der Vorkommen jedes Typs.

  • Die Datenmenge, die Macie im Bucket analysiert hat. Dies ergibt sich hauptsächlich aus der Anzahl der eindeutigen Objekte, die Macie im Bucket analysiert hat, im Verhältnis zur Gesamtzahl der eindeutigen Objekte im Bucket.

Die Sensitivitätsbewertung eines S3-Buckets bestimmt auch, welches Sensibilitätslabel Macie dem Bucket zuweist. Das Sensitivitätslabel ist eine qualitative Darstellung der Bewertung, z. B. Sensitiv oder Nicht sensibel. In der Amazon Macie Macie-Konsole bestimmt der Sensitivitätswert eines Buckets auch, welche Farbe Macie verwendet, um den Bucket in Datenvisualisierungen darzustellen, wie in der folgenden Abbildung dargestellt.

Das Farbspektrum für Empfindlichkeitswerte: Blautöne für 1—49, Rottöne für 51-100 und Grau für -1.

Die Empfindlichkeitswerte reichen von -1 bis 100, wie in der folgenden Tabelle beschrieben. Um die Eingaben in die Bewertung eines S3-Buckets einzuschätzen, können Sie sich auf Statistiken zur Erkennung sensibler Daten und andere Details beziehen, die Macie über den Bucket bereitstellt.

Empfindlichkeitswert Sensibilitätskennzeichnung Zusätzliche Informationen
-1 Klassifizierungsfehler

Macie hat aufgrund von Klassifizierungsfehlern auf Objektebene — also Problemen mit Berechtigungseinstellungen auf Objektebene, Objektinhalten oder Kontingenten — noch keines der Objekte des Buckets erfolgreich analysiert.

Als Macie versuchte, ein oder mehrere Objekte im Bucket zu analysieren, traten Fehler auf. Ein Objekt ist beispielsweise eine falsch formatierte Datei, oder ein Objekt ist mit einem Schlüssel verschlüsselt, auf den Macie nicht zugreifen kann oder den er nicht verwenden darf. Mithilfe der Deckungsdaten für den Bucket können Sie die Fehler untersuchen und beheben. Weitere Informationen finden Sie unter Bewertung der Reichweite automatisierter Erkennung sensibler Daten.

Macie wird weiterhin versuchen, Objekte im Bucket zu analysieren. Wenn Macie ein Objekt erfolgreich analysiert, aktualisiert Macie den Sensitivitätswert und die Bezeichnung des Buckets, um die Ergebnisse der Analyse widerzuspiegeln.
1-49 Nicht sensibel

In diesem Bereich weist ein höherer Wert, z. B. 49, darauf hin, dass Macie relativ wenige Objekte im Bucket analysiert hat. Ein niedrigerer Wert, z. B. 1, bedeutet, dass Macie viele Objekte im Bucket analysiert hat (im Verhältnis zur Gesamtzahl der Objekte im Bucket) und relativ wenige Typen und Vorkommen sensibler Daten in diesen Objekten entdeckt hat.

Ein Wert von 1 kann auch bedeuten, dass der Bucket keine Objekte speichert oder dass alle Objekte im Bucket null (0) Byte an Daten enthalten. Mithilfe der Objektstatistiken in den Details des Buckets können Sie feststellen, ob dies der Fall ist. Weitere Informationen finden Sie unter Überprüfung der S3-Bucket-Details.
50 Noch nicht analysiert

Macie hat noch nicht versucht, eines der Objekte des Buckets zu analysieren oder zu analysieren.

Macie weist diese Bewertung automatisch zu, wenn die automatische Erkennung anfänglich aktiviert ist oder ein Bucket zum Bucket-Inventar für ein Konto hinzugefügt wird. In einer Organisation kann ein Bucket diese Bewertung auch dann haben, wenn die automatische Erkennung für das Konto, dem der Bucket gehört, noch nie aktiviert wurde.

Ein Wert von 50 kann auch bedeuten, dass die Berechtigungseinstellungen des Buckets Macie daran hindern, auf den Bucket oder die Objekte des Buckets zuzugreifen. Dies ist in der Regel auf eine restriktive Bucket-Richtlinie zurückzuführen. Anhand der Details des Buckets können Sie feststellen, ob dies der Fall ist, da Macie nur eine Teilmenge der Informationen über den Bucket bereitstellen kann. Informationen zur Behebung dieses Problems finden Sie unter. Macie darf auf S3-Buckets und -Objekte zugreifen
51-99 Sensibel

Ein höherer Wert in diesem Bereich, z. B. 99, bedeutet, dass Macie viele Objekte im Bucket analysiert hat (im Verhältnis zur Gesamtzahl der Objekte im Bucket) und viele Arten und Vorkommen sensibler Daten in diesen Objekten entdeckt hat. Ein niedrigerer Wert, z. B. 51, weist darauf hin, dass Macie eine moderate Anzahl von Objekten im Bucket analysiert hat (im Verhältnis zur Gesamtzahl der Objekte im Bucket) und mindestens einige Typen und Vorkommen sensibler Daten in diesen Objekten entdeckt hat.
100 Sensibel

Die Punktzahl wurde dem Bucket manuell zugewiesen, wodurch die berechnete Punktzahl außer Kraft gesetzt wurde. Macie weist diese Punktzahl keinen Buckets zu.

Überwachung der Sensitivitätswerte

Wenn die automatische Erkennung sensibler Daten anfänglich für ein Konto aktiviert ist, weist Amazon Macie jedem S3-Bucket, den das Konto besitzt, automatisch eine Vertraulichkeitsbewertung von 50 zu. Macie weist diese Bewertung auch einem Bucket zu, wenn der Bucket dem Bucket-Inventar für ein Konto hinzugefügt wird. Basierend auf dieser Bewertung wurde das Sensitivitätslabel jedes Buckets noch nicht analysiert. Die Ausnahme ist ein leerer Bucket. Dabei handelt es sich um einen Bucket, der keine Objekte speichert oder alle Objekte im Bucket null (0) Byte an Daten enthalten. Wenn dies bei einem Bucket der Fall ist, weist Macie dem Bucket eine Punktzahl von 1 zu und die Sensitivitätsbezeichnung des Buckets lautet Nicht sensitiv.

Da die automatische Erkennung sensibler Daten täglich voranschreitet, aktualisiert Macie die Sensibilitätswerte und Kennzeichnungen für S3-Buckets, um die Ergebnisse seiner Analyse widerzuspiegeln. Beispielsweise:

  • Wenn Macie keine sensiblen Daten in einem Objekt findet, senkt Macie den Sensitivitätswert des Buckets und aktualisiert das Sensibilitätslabel nach Bedarf.

  • Wenn Macie sensible Daten in einem Objekt findet, erhöht Macie den Sensitivitätswert des Buckets und aktualisiert die Vertraulichkeitsbeschriftung nach Bedarf.

  • Wenn Macie sensible Daten in einem Objekt findet, das später geändert wurde, entfernt Macie die Erkennungen sensibler Daten für das Objekt aus der Vertraulichkeitsbewertung des Buckets und aktualisiert die Vertraulichkeitsbeschriftung nach Bedarf.

  • Wenn Macie sensible Daten in einem Objekt findet, das anschließend gelöscht wird, entfernt Macie die Erkennungen sensibler Daten für das Objekt aus der Vertraulichkeitsbewertung des Buckets und aktualisiert die Vertraulichkeitsbeschriftung nach Bedarf.

  • Wenn ein Objekt zu einem Bucket hinzugefügt wird, der zuvor leer war, und Macie sensible Daten in dem Objekt findet, erhöht Macie den Vertraulichkeitswert des Buckets und aktualisiert die Vertraulichkeitsbeschriftung nach Bedarf.

  • Wenn die Berechtigungseinstellungen eines Buckets Macie daran hindern, auf Informationen über den Bucket oder die Objekte des Buckets zuzugreifen oder diese abzurufen, ändert Macie den Sensitivitätswert des Buckets auf 50 und ändert die Vertraulichkeitsbeschriftung des Buckets auf Noch nicht analysiert.

Die Analyseergebnisse können innerhalb von 48 Stunden nach der Aktivierung der automatischen Erkennung sensibler Daten für ein Konto angezeigt werden.

Wenn Sie der Macie-Administrator einer Organisation sind oder über ein eigenständiges Macie-Konto verfügen, können Sie die Einstellungen für die Vertraulichkeitsbewertung für Ihre Organisation oder Ihr Konto anpassen:

  • Um die Einstellungen für nachfolgende Analysen aller S3-Buckets anzupassen, ändern Sie die Einstellungen für die automatische Erkennung sensibler Daten für Ihr Konto. Sie können damit beginnen, bestimmte verwaltete Datenkennungen, benutzerdefinierte Datenkennungen oder Zulassungslisten aufzunehmen oder auszuschließen. Sie können auch bestimmte Buckets ausschließen. Weitere Informationen finden Sie unter Konfiguration der automatischen Erkennung.

  • Um die Einstellungen für einzelne S3-Buckets anzupassen, ändern Sie die Einstellungen für die automatische Erkennung sensibler Daten für jeden Bucket. Sie können bestimmte Arten vertraulicher Daten in die Bewertung eines Buckets aufnehmen oder daraus ausschließen. Sie können auch angeben, ob einem Bucket eine automatisch berechnete Punktzahl zugewiesen werden soll. Weitere Informationen finden Sie unter Verwaltung der automatisierten Erkennung für einzelne S3-Buckets.

Wenn Sie die automatische Erkennung sensibler Daten deaktivieren, hat dies unterschiedliche Auswirkungen auf bestehende Sensibilitätsbewertungen und Labels. Wenn Sie es für ein Mitgliedskonto in einer Organisation deaktivieren, bleiben die vorhandenen Bewertungen und Labels für S3-Buckets bestehen, die dem Konto gehören. Wenn Sie es für eine gesamte Organisation oder ein eigenständiges Macie-Konto deaktivieren, bleiben die vorhandenen Ergebnisse und Labels nur 30 Tage lang bestehen. Nach 30 Tagen setzt Macie die Punktzahlen und Labels für alle Bereiche zurück, die der Organisation oder dem Konto gehören. Wenn ein Bucket Objekte speichert, ändert Macie den Wert auf 50 und weist dem Bucket das Label Noch nicht analysiert zu. Wenn ein Bucket leer ist, ändert Macie den Wert auf 1 und weist dem Bucket das Label Nicht sensibel zu. Nach diesem Reset beendet Macie die Aktualisierung der Vertraulichkeitsbewertungen und Labels für die Buckets, es sei denn, Sie aktivieren erneut die automatische Erkennung sensibler Daten für die Organisation oder das Konto.