Arten von Macie-Befunden

Amazon Macie generiert zwei Kategorien von Ergebnissen: politische Ergebnisse und Ergebnisse sensibler Daten. Eine Richtlinienfeststellung ist ein detaillierter Bericht über einen potenziellen Richtlinienverstoß oder ein Problem mit der Sicherheit oder dem Datenschutz eines Allzweck-Buckets von Amazon Simple Storage Service (Amazon S3). Macie generiert politische Ergebnisse im Rahmen seiner laufenden Aktivitäten zur Bewertung und Überwachung Ihrer allgemeinen Bereiche im Hinblick auf Sicherheit und Zugriffskontrolle. Ein Ergebnis sensibler Daten ist ein detaillierter Bericht über sensible Daten, die Macie in einem S3-Objekt entdeckt hat. Macie generiert Ergebnisse im Rahmen der Aktivitäten, die bei der Ausführung von Aufträgen zur Erkennung sensibler Daten oder bei der automatisierten Erkennung sensibler Daten ausgeführt werden.

Innerhalb jeder Kategorie gibt es bestimmte Typen. Der Typ eines Befundes gibt Aufschluss über die Art des Problems oder über sensible Daten, die Macie gefunden hat. Die Details eines Ergebnisses enthalten eine Bewertung des Schweregrads, Informationen über die betroffene Ressource und zusätzliche Informationen, z. B. wann und wie Macie das Problem gefunden hat, oder sensible Daten. Der Schweregrad und die Einzelheiten der einzelnen Ergebnisse variieren je nach Art und Art des Ergebnisses.

Tipp

Erstellen Sie Stichprobenergebnisse, um die verschiedenen Kategorien und Arten von Ergebnissen, die Macie generieren kann, zu untersuchen und mehr über sie zu erfahren. Anhand von Beispieldaten und Platzhalterwerten wird anhand von Beispieldaten und Platzhalterwerten veranschaulicht, welche Arten von Informationen die einzelnen Befunde enthalten können.

Arten von politischen Ergebnissen

Amazon Macie generiert eine Richtlinienfeststellung, wenn die Richtlinien oder Einstellungen für einen S3-Allzweck-Bucket so geändert werden, dass die Sicherheit oder der Datenschutz des Buckets und der Objekte des Buckets beeinträchtigt werden. Informationen darüber, wie Macie diese Änderungen erkennt, finden Sie unter. Wie Macie die Amazon S3 S3-Datensicherheit überwacht

Macie generiert nur dann eine Richtlinienfeststellung, wenn die Änderung erfolgt, nachdem Sie Macie für Ihren aktiviert haben. AWS-Konto Wenn beispielsweise die Einstellungen für den öffentlichen Zugriff blockieren für einen S3-Bucket deaktiviert sind, nachdem Sie Macie aktiviert haben, generiert Macie einen Policy: IAMUser BlockPublicAccessDisabled /S3-Befund für den Bucket. Wenn die Einstellungen zum Blockieren des öffentlichen Zugriffs für einen Bucket deaktiviert waren, als Sie Macie aktiviert haben, sie aber weiterhin deaktiviert sind, generiert Macie keinen Policy: IAMUser BlockPublicAccessDisabled /S3-Befund für den Bucket.

Wenn Macie ein späteres Auftreten eines vorhandenen Richtlinienbefundes feststellt, aktualisiert Macie das bestehende Ergebnis, indem es Details zu dem nachfolgenden Ereignis hinzufügt und die Anzahl der Vorkommen erhöht. Macie speichert die Ergebnisse der Police 90 Tage lang.

Macie kann die folgenden Arten von Richtlinienergebnissen für einen S3-Allzweck-Bucket generieren.

Policy:IAMUser/S3BlockPublicAccessDisabled

Alle Einstellungen für den öffentlichen Zugriff auf Bucket-Ebene wurden für den Bucket deaktiviert. Der Zugriff auf den Bucket wird durch die Einstellungen zum Blockieren des öffentlichen Zugriffs für das Konto, die Zugriffskontrolllisten (ACLs) und die Bucket-Richtlinie für den Bucket gesteuert.

Weitere Informationen zu den Einstellungen zum Sperren des öffentlichen Zugriffs für S3-Buckets finden Sie unter Blockieren des öffentlichen Zugriffs auf Ihren Amazon S3 S3-Speicher im Amazon Simple Storage Service-Benutzerhandbuch.

Policy:IAMUser/S3BucketEncryptionDisabled

Die Standardverschlüsselungseinstellungen für den Bucket wurden auf das standardmäßige Amazon S3-Verschlüsselungsverhalten zurückgesetzt, das darin besteht, neue Objekte automatisch mit einem von Amazon S3 verwalteten Schlüssel zu verschlüsseln.

Ab dem 5. Januar 2023 wendet Amazon S3 automatisch serverseitige Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln (SSE-S3) als Basisverschlüsselungsebene für Objekte an, die zu Buckets hinzugefügt werden. Sie können optional die Standardverschlüsselungseinstellungen eines Buckets so konfigurieren, dass sie stattdessen eine serverseitige Verschlüsselung mit einem AWS KMS Schlüssel (SSE-KMS) oder eine zweischichtige serverseitige Verschlüsselung mit einem Schlüssel (-) verwenden. AWS KMS DSSE KMS Weitere Informationen zu den Standardverschlüsselungseinstellungen und -optionen für S3-Buckets finden Sie unter Einstellung des standardmäßigen serverseitigen Verschlüsselungsverhaltens für S3-Buckets im Amazon Simple Storage Service-Benutzerhandbuch.

Wenn Macie diese Art von Ergebnis vor dem 5. Januar 2023 generiert hat, deutet das Ergebnis darauf hin, dass die Standardverschlüsselungseinstellungen für den betroffenen Bucket deaktiviert wurden. Das bedeutete, dass die Einstellungen des Buckets kein standardmäßiges serverseitiges Verschlüsselungsverhalten für neue Objekte spezifizierten. Die Möglichkeit, die Standardverschlüsselungseinstellungen für einen Bucket zu deaktivieren, wird von Amazon S3 nicht mehr unterstützt.

Policy:IAMUser/S3BucketPublic

Eine ACL oder Bucket-Richtlinie für den Bucket wurde geändert, um den Zugriff durch anonyme Benutzer oder alle authentifizierten AWS Identity and Access Management (IAM) Identitäten zu ermöglichen.

Weitere Informationen zu ACLs und Bucket-Richtlinien für S3-Buckets finden Sie unter Zugriffsverwaltung im Amazon Simple Storage Service-Benutzerhandbuch.

Policy:IAMUser/S3BucketReplicatedExternally

Die Replikation wurde aktiviert und konfiguriert, um Objekte aus dem Bucket in einen Bucket für einen Bucket zu replizieren AWS-Konto , der sich außerhalb Ihres Unternehmens befindet (nicht Teil davon ist). Eine Organisation besteht aus einer Gruppe von Macie-Konten, die als Gruppe verwandter Konten über AWS Organizations oder auf Einladung von Macie zentral verwaltet werden.

Unter bestimmten Bedingungen generiert Macie diese Art von Ergebnissen möglicherweise für einen Bucket, der nicht dafür konfiguriert ist, Objekte in einen Bucket für einen externen Bucket zu replizieren. AWS-Konto Dies kann der Fall sein, wenn der Ziel-Bucket in den AWS-Region letzten 24 Stunden in einem anderen erstellt wurde, nachdem Macie im Rahmen des täglichen Aktualisierungszyklus Bucket- und Objekt-Metadaten von Amazon S3 abgerufen hat. Um das Ergebnis zu untersuchen, aktualisieren Sie zunächst Ihre Inventardaten. Überprüfen Sie dann die Details des Buckets. Die Details geben an, ob der Bucket so konfiguriert ist, dass er Objekte in andere Buckets repliziert. Wenn der Bucket dafür konfiguriert ist, enthalten die Details die Konto-ID für jedes Konto, das einen Ziel-Bucket besitzt.

Weitere Informationen zu den Replikationseinstellungen für S3-Buckets finden Sie unter Objekte replizieren im Amazon Simple Storage Service-Benutzerhandbuch.

Policy:IAMUser/S3BucketSharedExternally

Eine ACL OR-Bucket-Richtlinie für den Bucket wurde geändert, sodass der Bucket mit einem Benutzer geteilt werden kann AWS-Konto , der nicht Teil Ihres Unternehmens ist (nicht Teil von) ist. Eine Organisation besteht aus einer Gruppe von Macie-Konten, die als Gruppe verwandter Konten über AWS Organizations oder auf Einladung von Macie zentral verwaltet werden.

In bestimmten Fällen generiert Macie diese Art von Ergebnissen möglicherweise für einen Bucket, der nicht mit einem externen Konto geteilt wird. AWS Dies kann passieren, wenn Macie nicht in der Lage ist, die Beziehung zwischen dem Principal Element in der Bucket-Richtlinie und bestimmten AWS globalen Bedingungskontextschlüsseln oder Amazon S3 S3-Bedingungsschlüsseln im Condition Element der Richtlinie vollständig auszuwerten. Die zutreffenden Bedingungsschlüssel sind: aws:PrincipalAccountaws:PrincipalArn,aws:PrincipalOrgID,aws:PrincipalOrgPaths,aws:PrincipalTag,aws:PrincipalType,aws:SourceAccount,aws:SourceArn,aws:SourceIp,,aws:SourceVpc,aws:SourceVpce, aws:userids3:DataAccessPointAccount, unds3:DataAccessPointArn. Wir empfehlen Ihnen, die Richtlinien des Buckets zu überprüfen, um festzustellen, ob dieser Zugriff beabsichtigt und sicher ist.

Weitere Informationen zu ACLs und Bucket-Richtlinien für S3-Buckets finden Sie unter Zugriffsverwaltung im Amazon Simple Storage Service-Benutzerhandbuch.

Policy:IAMUser/S3BucketSharedWithCloudFront

Die Bucket-Richtlinie für den Bucket wurde geändert, sodass der Bucket mit einer CloudFront Amazon-Origin-Zugriffsidentität (OAI), einer CloudFront Origin-Zugriffskontrolle (OAC) oder CloudFront OAI sowohl a als auch a geteilt werden kann CloudFront OAC. A CloudFront OAI oder OAC ermöglicht Benutzern den Zugriff auf die Objekte eines Buckets über eine oder mehrere angegebene CloudFront Distributionen.

Weitere Informationen zu CloudFront OAIs und OACs finden Sie unter Beschränken des Zugriffs auf einen Amazon S3 S3-Ursprung im Amazon CloudFront Developer Guide.

Anmerkung

In bestimmten Fällen generiert Macie einen Policy: IAMUser BucketSharedExternally /S3-Befund anstelle eines Policy: BucketSharedWithCloudFront /S3-Finding für einen IAMUser Bucket. In diesen Fällen handelt es sich um:

• Der Bucket wird zusammen mit einem AWS-Konto Bucket außerhalb Ihrer Organisation verwendet, zusätzlich zu einem CloudFront OAI oderOAC.

• Die Richtlinie des Buckets spezifiziert eine kanonische Benutzer-ID anstelle des Amazon-Ressourcennamens (ARN) von a. CloudFront OAI

Dies führt zu einem höheren Schweregrad der Richtlinie für den Bucket.

Arten von Ergebnissen sensibler Daten

Amazon Macie generiert eine Entdeckung sensibler Daten, wenn es sensible Daten in einem S3-Objekt erkennt, das analysiert wird, um sensible Daten zu ermitteln. Dazu gehören Analysen, die Macie durchführt, wenn Sie einen Discovery-Job für sensible Daten ausführen, oder es führt eine automatisierte Erkennung sensibler Daten durch.

Wenn Sie beispielsweise einen Discovery-Job für sensible Daten erstellen und ausführen und Macie Bankkontonummern in einem S3-Objekt erkennt, generiert Macie SensitiveData einen:S3Object/Finanzergebnis für das Objekt. Ähnlich verhält es sich, wenn Macie Bankkontonummern in einem S3-Objekt erkennt, das während eines automatisierten Erkennungszyklus sensibler Daten analysiert wird, generiert Macie einen:S3Object/Finanzergebnis für das Objekt. SensitiveData

Wenn Macie während eines nachfolgenden Joblaufs oder eines automatisierten Erkennungszyklus vertrauliche Daten in demselben S3-Objekt entdeckt, generiert Macie einen neuen Befund für sensible Daten für das Objekt. Im Gegensatz zu politischen Ergebnissen werden alle Ergebnisse sensibler Daten als neu (einzigartig) behandelt. Macie speichert Ergebnisse sensibler Daten 90 Tage lang.

Macie kann die folgenden Arten von Ergebnissen aus sensiblen Daten für ein S3-Objekt generieren.

SensitiveData:S3Object/Credentials

Das Objekt enthält vertrauliche Anmeldeinformationen, z. B. AWS geheime Zugriffsschlüssel oder private Schlüssel.

SensitiveData:S3Object/CustomIdentifier

Das Objekt enthält Text, der den Erkennungskriterien einer oder mehrerer benutzerdefinierter Datenbezeichner entspricht. Das Objekt kann mehr als einen Typ vertraulicher Daten enthalten.

SensitiveData:S3Object/Financial

Das Objekt enthält vertrauliche Finanzinformationen wie Bankkontonummern oder Kreditkartennummern.

SensitiveData:S3Object/Multiple

Das Objekt enthält mehr als eine Kategorie vertraulicher Daten — eine beliebige Kombination aus Anmeldeinformationen, Finanzinformationen, persönlichen Informationen oder Text, die den Erkennungskriterien einer oder mehrerer benutzerdefinierter Datenkennungen entspricht.

SensitiveData:S3Object/Personal

Das Objekt enthält sensible personenbezogene Daten — persönlich identifizierbare Informationen (PII) wie Passnummern oder Führerschein-Identifikationsnummern, persönliche Gesundheitsinformationen (PHI) wie Krankenversicherungs- oder medizinische Identifikationsnummern oder eine Kombination aus und. PII PHI

Informationen zu den Arten sensibler Daten, die Macie mithilfe integrierter Kriterien und Techniken erkennen kann, finden Sie unter. Verwenden von verwalteten Datenbezeichnern Informationen zu den Typen von S3-Objekten, die Macie analysieren kann, finden Sie unter. Unterstützte Speicherklassen und Formate