Bewertung Ihres Amazon S3-Sicherheitsstatus mit Amazon Macie - Amazon Macie
Anzeigen des DashboardsGrundlegendes zu Dashboard-KomponentenGrundlegendes zu Datensicherheitsstatistiken im Dashboard

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewertung Ihres Amazon S3-Sicherheitsstatus mit Amazon Macie

Um den allgemeinen Sicherheitsstatus Ihrer Amazon Simple Storage Service (Amazon S3)-Daten zu bewerten und zu bestimmen, wo Maßnahmen ergriffen werden sollen, können Sie das Übersichts-Dashboard in der Amazon Macie-Konsole verwenden.

Das Übersichts-Dashboard bietet einen Snapshot aggregierter Statistiken für Ihre Amazon S3-Daten in der aktuellen AWS-Region. Die Statistiken enthalten Daten für wichtige Sicherheitsmetriken wie die Anzahl der Buckets, die öffentlich zugänglich sind oder mit anderen geteilt werdenAWS-Konten. Das Dashboard zeigt auch Gruppen aggregierter Erkenntnisdaten für Ihr Konto an, z. B. die Arten von Erkenntnissen, die in den letzten sieben Tagen am häufigsten aufgetreten sind. Wenn Sie der Macie-Administrator für eine Organisation sind, stellt das Dashboard aggregierte Statistiken und Daten für alle Konten in Ihrer Organisation bereit. Sie können die Daten optional nach Konto filtern.

Um eine tiefere Analyse durchzuführen, können Sie die unterstützenden Daten für einzelne Elemente im Dashboard aufschlüsseln und überprüfen. Sie können Ihren S3-Bucket-Bestand auch mithilfe der Amazon-Macie-Konsole überprüfen und analysieren oder Bestandsdaten programmgesteuert mithilfe der -DescribeBucketsOperation der Amazon Macie-Macie-API abfragen und analysieren. Amazon Macie

Anzeigen des Übersichts-Dashboards

In der Amazon Macie-Konsole bietet das Übersichts-Dashboard einen Snapshot aggregierter Statistiken und Ergebnisdaten für Ihre Amazon S3-Daten in der aktuellen AWS-Region. Wenn Sie die Statistiken lieber programmgesteuert abfragen möchten, können Sie die -GetBucketStatisticsOperation der Amazon Macie-API verwenden.

So zeigen Sie das Übersichts-Dashboard an

  1. Öffnen Sie die Amazon Macie-Konsole unter https://console.aws.amazon.com/macie/.

  2. Wählen Sie im Navigationsbereich Zusammenfassung aus. Macie zeigt das Übersichts-Dashboard an.

  3. Um festzustellen, wann Macie zuletzt Bucket- oder Objektmetadaten von Amazon S3 für Ihr Konto abgerufen hat, lesen Sie das Feld Letzte Aktualisierung oben im Dashboard. Weitere Informationen finden Sie unter Datenaktualisierungen.

  4. Um die unterstützenden Daten für ein Element im Dashboard aufzuschlüsseln und zu überprüfen, wählen Sie das Element aus.

Wenn Sie der Macie-Administrator für eine Organisation sind, zeigt das Dashboard aggregierte Statistiken und Daten für Ihre Konto- und Mitgliedskonten in Ihrer Organisation an. Um das Dashboard zu filtern und Daten nur für ein bestimmtes Konto anzuzeigen, geben Sie die ID des Kontos in das Feld Konto über dem Dashboard ein.

Grundlegendes zu den Komponenten des Übersichts-Dashboards

Im Übersichts-Dashboard sind Statistiken und Daten in mehrere Abschnitte unterteilt. Oben im Dashboard finden Sie aggregierte Statistiken, die angeben, wie viele Daten Sie in Amazon S3 speichern und wie viele dieser Daten Amazon Macie analysieren kann, um sensible Daten zu erkennen. Sie können auch im Feld Letzte Aktualisierung nachsehen, wann Macie zuletzt Bucket- oder Objektmetadaten von Amazon S3 für Ihr Konto abgerufen hat. Zusätzliche Abschnitte enthalten Statistiken und Daten zu aktuellen Erkenntnissen, mit denen Sie die Sicherheit, den Datenschutz und die Vertraulichkeit Ihrer Amazon S3-Daten in der aktuellen bewerten könnenAWS-Region.

Statistiken und Daten sind in den folgenden Abschnitten unterteilt:

Erkennung von Speicher und sensiblen Daten | Automatisierte Erkennungs- und Abdeckungsprobleme | Datensicherheit | Top-S3-Buckets | Top-Erkenntnistypen | Richtlinienergebnisse

Wählen Sie bei der Überprüfung der einzelnen Abschnitte optional ein Element aus, das Sie aufschlüsseln und die unterstützenden Daten überprüfen möchten.

Erkennung von Speicher- und sensiblen Daten

Die Statistiken oben im Dashboard geben an, wie viele Daten Sie in Amazon S3 speichern und wie viel von diesen Daten Macie analysieren kann, um sensible Daten zu erkennen. Beispielsweise:

Der Bereich „Erkennung von Speicher und sensiblen Daten“ des Übersichts-Dashboards. Jedes Feld im Abschnitt enthält Beispieldaten.

In diesem Abschnitt:

  • Konten insgesamt – Dieses Feld wird angezeigt, wenn Sie der Macie-Administrator für eine Organisation sind oder ein eigenständiges Macie-Konto haben. Sie gibt die Gesamtzahl der AWS-Konten eigenen Buckets in Ihrem S3-Bucket-Bestand an. Wenn Sie ein Macie-Administrator sind, ist dies die Gesamtzahl der Macie-Konten, die Sie für Ihre Organisation verwalten. Wenn Sie über ein eigenständiges Macie-Konto verfügen, ist dieser Wert 1.

    Gesamtzahl der S3-Buckets – Dieses Feld wird angezeigt, wenn Ihr Macie-Konto Mitglied einer Organisation ist. Sie gibt die Gesamtzahl der Buckets in Ihrem Bestand an, einschließlich Buckets, die keine Objekte enthalten.

  • Speicher – Diese Metriken liefern Informationen über die Speichergröße von Objekten in Ihrem Bucket-Bestand:

    • Klassifizierbar – Die Gesamtspeichergröße aller Objekte, die Macie in den Buckets analysieren kann.

    • Gesamt – Die Gesamtspeichergröße aller Objekte in den Buckets, einschließlich Objekte, die Macie nicht analysieren kann.

    Wenn es sich bei einem der Objekte um komprimierte Dateien handelt, geben diese Werte nicht die tatsächliche Größe dieser Dateien nach der Dekomprimierung wieder. Wenn Versioning für einen der Buckets aktiviert ist, basieren diese Werte auf der Speichergröße der neuesten Version jedes Objekts in diesen Buckets.

  • Objekte – Diese Metriken liefern Informationen über die Anzahl der Objekte in Ihrem Bucket-Bestand:

    • Klassifizierbar – Die Gesamtzahl der Objekte, die Macie in den Buckets analysieren kann.

    • Gesamt – Die Gesamtzahl der Objekte in den Buckets, einschließlich der Objekte, die Macie nicht analysieren kann.

In den vorherigen Statistiken sind Daten und Objekte klassifizierbar, wenn sie eine unterstützte Amazon S3-Speicherklasse verwenden und eine Dateinamenerweiterung für ein unterstütztes Datei- oder Speicherformat haben. Sie können sensible Daten in den Objekten mithilfe von Macie erkennen. Weitere Informationen finden Sie unter Unterstützte Speicherklassen und -formate.

Beachten Sie, dass Speicher- und Objektstatistiken keine Daten zu Objekten in Buckets enthalten, auf die Macie nicht zugreifen darf. Zum Beispiel Objekte in Buckets mit restriktiven Bucket-Richtlinien. Um Buckets zu identifizieren, in denen dies der Fall ist, können Sie Ihren Bucket-Bestand mithilfe der S3-Bucket-Tabelle überprüfen. S3 Wenn das Warnsymbol ( A red triangle with a red exclamation point in it ) neben dem Namen eines Buckets angezeigt wird, darf Macie nicht auf den Bucket zugreifen.

Probleme bei der
automatisierten Erkennung und Abdeckung

Wenn die automatische Erkennung sensibler Daten für Ihr Konto aktiviert ist, werden diese Abschnitte im Dashboard angezeigt. Die Statistiken in diesen Abschnitten erfassen den Status und die Ergebnisse automatisierter Aktivitäten zur Erkennung sensibler Daten, die Macie bisher für Ihre Amazon S3-Daten ausgeführt hat. Beispielsweise:

Die Abschnitte für automatisierte Erkennungs- und Abdeckungsprobleme des Übersichts-Dashboards. Jeder Abschnitt enthält Beispieldaten.

Einzelheiten zu diesen Statistiken finden Sie unter Überprüfung der aggregierten Statistiken zur Datensensitivität im Übersichts-Dashboard.

Datensicherheit

Dieser Abschnitt enthält Statistiken, die auf potenzielle Sicherheits- und Datenschutzrisiken für Ihre Amazon S3-Daten hinweisen. Beispielsweise:

Der Abschnitt Datensicherheit des Übersichts-Dashboards. Jeder Bereich im Abschnitt enthält Beispieldaten.

Einzelheiten zu diesen Statistiken finden Sie unter Grundlegendes zu Datensicherheitsstatistiken im Übersichts-Dashboard.

Top-S3-Buckets

In diesem Abschnitt werden die S3-Buckets aufgeführt, die in den letzten sieben Tagen für bis zu fünf Buckets die meisten Erkenntnisse eines beliebigen Typs generiert haben. Sie gibt auch die Anzahl der Erkenntnisse an, die Macie für jeden Bucket erstellt hat. Beispielsweise:

Der Abschnitt Top-S3-Buckets des Übersichts-Dashboards. Der Abschnitt enthält Beispieldaten für 5 Buckets.

Um alle Ergebnisse für einen Bucket in den letzten sieben Tagen anzuzeigen und optional aufzuschlüsseln, wählen Sie den Wert im Feld Gesamte Ergebnisse aus. Um alle aktuellen Ergebnisse für alle Ihre Buckets anzuzeigen, gruppiert nach Bucket, wählen Sie Alle Ergebnisse nach Bucket anzeigen.

Dieser Abschnitt ist leer, wenn Macie in den letzten sieben Tagen keine Ergebnisse erstellt hat. Oder alle Erkenntnisse, die in den letzten sieben Tagen erstellt wurden, wurden durch eine Unterdrückungsregel unterdrückt.

Top-Erkenntnistypen

In diesem Abschnitt werden die Arten von Erkenntnissen aufgeführt, die in den letzten sieben Tagen am häufigsten aufgetreten sind, und zwar für bis zu fünf Arten von Erkenntnissen. Sie gibt auch die Anzahl der Erkenntnisse an, die Macie für jeden Typ erstellt hat. Beispielsweise:

Der Abschnitt Top-Erkenntnistypen des Übersichts-Dashboards. Der Abschnitt enthält Beispieldaten für 5 Arten von Erkenntnissen.

Um alle Erkenntnisse eines bestimmten Typs in den letzten sieben Tagen anzuzeigen und optional aufzuschlüsseln, wählen Sie den Wert im Feld Gesamte Erkenntnisse aus. Um alle aktuellen Ergebnisse anzuzeigen, gruppiert nach Erkenntnistyp, wählen Sie Alle Ergebnisse nach Typ anzeigen aus.

Dieser Abschnitt ist leer, wenn Macie in den letzten sieben Tagen keine Ergebnisse erstellt hat. Oder alle Erkenntnisse, die in den letzten sieben Tagen erstellt wurden, wurden durch eine Unterdrückungsregel unterdrückt.

Richtlinienergebnisse

In diesem Abschnitt werden die Richtlinienergebnisse aufgeführt, die Macie zuletzt erstellt oder aktualisiert hat, und zwar für bis zu zehn Ergebnisse. Beispielsweise:

Der Abschnitt „Richtlinienergebnisse“ des Übersichts-Dashboards. Der Abschnitt enthält Beispieldaten für 8 Erkenntnisse.

Um die Details einer bestimmten Erkenntnis anzuzeigen, wählen Sie die Erkenntnis aus.

Dieser Abschnitt ist leer, wenn Macie in den letzten sieben Tagen keine Richtlinienergebnisse erstellt oder aktualisiert hat. Oder alle Richtlinienergebnisse, die in den letzten sieben Tagen erstellt oder aktualisiert wurden, wurden durch eine Unterdrückungsregel unterdrückt.

Grundlegendes zu Datensicherheitsstatistiken im Übersichts-Dashboard

Der Abschnitt Datensicherheit des Übersichts-Dashboards enthält Statistiken, mit denen Sie potenzielle Sicherheits- und Datenschutzrisiken für Ihre Amazon S3-Daten in der aktuellen identifizieren und untersuchen könnenAWS-Region. Sie können diese Daten beispielsweise verwenden, um S3-Buckets zu identifizieren, die öffentlich zugänglich sind oder mit anderen geteilt werdenAWS-Konten.

Wenn Ihr Macie-Konto Mitglied einer Organisation ist, geben Speicher- und Erkennungsstatistiken für sensible Daten oben in diesem Abschnitt an, wie viele Daten Sie in Amazon S3 speichern und wie viel von diesen Daten Macie analysieren kann, um sensible Daten zu erkennen.

Für jede Art von Macie-Konto sind zusätzliche Statistiken in drei Bereiche unterteilt, wie in der folgenden Abbildung gezeigt.

Der Abschnitt Datensicherheit des Übersichts-Dashboards auf der Amazon Macie-Konsole. Jeder Bereich im Abschnitt enthält Beispieldaten.

Einzelne Statistiken in jedem Bereich lauten wie folgt.

Öffentlicher Zugriff

Diese Statistiken geben an, wie viele S3-Buckets öffentlich zugänglich sind oder nicht:

  • Öffentlich zugänglich – Die Anzahl und der Prozentsatz der Buckets, die es der allgemeinen Öffentlichkeit ermöglichen, Lese- oder Schreibzugriff auf den Bucket zu haben.

  • Öffentlich beschreibbar – Die Anzahl und der Prozentsatz der Buckets, die es der allgemeinen Öffentlichkeit ermöglichen, Schreibzugriff auf den Bucket zu haben.

  • Öffentlich weltweit lesbar – Die Anzahl und der Prozentsatz der Buckets, die es der allgemeinen Öffentlichkeit ermöglichen, Lesezugriff auf den Bucket zu haben.

  • Nicht öffentlich zugänglich – Die Anzahl und der Prozentsatz der Buckets, die es der allgemeinen Öffentlichkeit nicht erlauben, Lese- oder Schreibzugriff auf den Bucket zu haben.

Um jeden Prozentsatz zu berechnen, dividiert Macie die Anzahl der anwendbaren Buckets durch die Gesamtzahl der Buckets in Ihrem Bucket-Bestand.

Um die Werte in diesem Abschnitt zu ermitteln, analysiert Macie eine Kombination von Einstellungen auf Konto- und Bucket-Ebene für jeden Bucket: die Block Public Access-Einstellungen für das Konto, die Block Public Access-Einstellungen für den Bucket, die Bucket-Richtlinie für den Bucket und die Zugriffskontrollliste (ACL) für den Bucket. Informationen zu diesen Einstellungen finden Sie unter Identity and Access Management in Amazon S3 und Blockieren des öffentlichen Zugriffs auf Ihren Amazon S3-Speicher im Benutzerhandbuch für Amazon Simple Storage Service.

In bestimmten Fällen zeigt der Abschnitt Öffentlicher Zugriff auch Werte für Unbekannt an. Wenn diese Werte angezeigt werden, konnte Macie die Einstellungen für den öffentlichen Zugriff für die angegebene Anzahl und den Prozentsatz der Buckets nicht auswerten. Beispielsweise verhinderte ein temporäres Problem oder die Berechtigungseinstellungen der Buckets, dass Macie die erforderlichen Daten abrufte. Oder Macie konnte nicht vollständig bestimmen, ob eine oder mehrere Richtlinienanweisungen einer externen Entität den Zugriff auf die Buckets erlauben.

Verschlüsselung

Diese Statistiken geben an, wie viele S3-Buckets so konfiguriert sind, dass bestimmte Arten der serverseitigen Verschlüsselung auf Objekte angewendet werden, die den Buckets hinzugefügt werden:

  • Standardmäßig verschlüsseln – SSE-S3 – Die Anzahl und der Prozentsatz der Buckets, deren Standardverschlüsselungseinstellungen für die Verschlüsselung neuer Objekte mit einem von Amazon S3 verwalteten Schlüssel konfiguriert sind. Für diese Buckets werden neue Objekte automatisch mit SSE-S3-Verschlüsselung verschlüsselt.

  • Standardmäßig verschlüsseln – DSSE-KMS/SSE-KMS – Die Anzahl und der Prozentsatz der Buckets, deren Standardverschlüsselungseinstellungen so konfiguriert sind, dass neue Objekte mit einem AWS KMS key, entweder einem Von AWS verwalteter Schlüssel oder einem vom Kunden verwalteten Schlüssel, verschlüsselt werden. Für diese Buckets werden neue Objekte automatisch mit DSSE-KMS- oder SSE-KMS-Verschlüsselung verschlüsselt.

Um jeden Prozentsatz zu berechnen, dividiert Macie die Anzahl der anwendbaren Buckets durch die Gesamtzahl der Buckets in Ihrem Bucket-Bestand.

Um die Werte in diesem Abschnitt zu ermitteln, analysiert Macie die Standardverschlüsselungseinstellungen für jeden Bucket. Ab dem 5. Januar 2023 wendet Amazon S3 automatisch serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3) als Basisverschlüsselungsstufe für Objekte an, die Buckets hinzugefügt werden. Sie können optional die Standardverschlüsselungseinstellungen eines Buckets so konfigurieren, dass stattdessen die serverseitige Verschlüsselung mit einem -AWS KMSSchlüssel (SSE-KMS) oder die serverseitige Dual-Layer-Verschlüsselung mit einem -AWS KMSSchlüssel (DSSE-KMS) verwendet wird. Informationen zu den Standardverschlüsselungseinstellungen und -optionen finden Sie unter Festlegen des serverseitigen Standardverschlüsselungsverhaltens für S3-Buckets im Benutzerhandbuch für Amazon Simple Storage Service.

In bestimmten Fällen zeigt der Abschnitt Verschlüsselung auch Werte für Unbekannt an. Wenn diese Werte angezeigt werden, konnte Macie die Standardverschlüsselungseinstellungen für die angegebene Anzahl und den Prozentsatz der Buckets nicht auswerten. Beispielsweise verhinderte ein temporäres Problem oder die Berechtigungseinstellungen der Buckets, dass Macie die erforderlichen Daten abrufte.

Freigabe

Diese Statistiken geben an, wie viele S3-Buckets mit anderen AWS-Konten, Amazon- CloudFront Ursprungszugriffsidentitäten (OAIs) oder CloudFront Ursprungszugriffskontrollen (OACs) geteilt werden oder nicht:

  • Freigegeben außerhalb – Die Anzahl und der Prozentsatz der Buckets, die für eine oder mehrere der folgenden oder eine beliebige Kombination der folgenden freigegeben werden: eine CloudFront OAI, eine CloudFront OAC oder ein Konto, das sich nicht in derselben Organisation befindet.

  • In freigegeben – Die Anzahl und der Prozentsatz der Buckets, die für ein oder mehrere Konten in derselben Organisation freigegeben werden. Diese Buckets werden nicht mit CloudFront OAIs oder OACs geteilt.

  • Nicht freigegeben – Die Anzahl und der Prozentsatz der Buckets, die nicht mit anderen Konten, CloudFront OAIs oder CloudFront OACs geteilt werden.

Um jeden Prozentsatz zu berechnen, dividiert Macie die Anzahl der anwendbaren Buckets durch die Gesamtzahl der Buckets in Ihrem Bucket-Bestand.

Um festzustellen, ob Buckets für andere freigegeben sindAWS-Konten, analysiert Macie die Bucket-Richtlinie und ACL für jeden Bucket. Darüber hinaus ist eine Organisation als eine Reihe von Macie-Konten definiert, die zentral als Gruppe verwandter Konten über AWS Organizations oder durch Macie-Einladung verwaltet werden. Informationen zu Amazon S3-Optionen für die Freigabe von Buckets finden Sie unter Identity and Access Management in Amazon S3 im Benutzerhandbuch für Amazon Simple Storage Service.

Anmerkung

In bestimmten Fällen meldet Macie möglicherweise fälschlicherweise, dass ein Bucket mit einem geteilt wirdAWS-Konto, der sich nicht in derselben Organisation befindet. Dies kann vorkommen, wenn Macie die Beziehung zwischen dem Principal Element in der Richtlinie eines Buckets und bestimmten AWS globalen Bedingungskontextschlüsseln oder Amazon S3-Bedingungsschlüsseln im Condition Element der Richtlinie nicht vollständig auswerten kann. Die entsprechenden Bedingungsschlüssel sind: aws:PrincipalAccount, aws:PrincipalArn, aws:PrincipalOrgID, aws:PrincipalOrgPathsaws:PrincipalTag, aws:PrincipalType, aws:SourceAccount, aws:SourceArn, , aws:userid, s3:DataAccessPointAccount, und s3:DataAccessPointArn.

Um festzustellen, ob dies für einzelne Buckets der Fall ist, wählen Sie im Dashboard die Statistik Freigegeben außerhalb von aus. Notieren Sie sich in der angezeigten Tabelle den Namen der einzelnen Buckets. Verwenden Sie dann Amazon S3, um die Richtlinie jedes Buckets zu überprüfen und festzustellen, ob die Einstellungen für den gemeinsamen Zugriff beabsichtigt und sicher sind.

Um festzustellen, ob Buckets mit CloudFront OAIs oder OACs geteilt werden, analysiert Macie die Bucket-Richtlinie für jeden Bucket. Eine CloudFront OAI oder OAC ermöglicht es Benutzern, über eine oder mehrere angegebene CloudFront Verteilungen auf die Objekte eines Buckets zuzugreifen. Informationen zu CloudFront OAIs und OACs finden Sie unter Beschränken des Zugriffs auf einen Amazon S3-Ursprung im Amazon- CloudFront Entwicklerhandbuch.

In bestimmten Fällen zeigt der Abschnitt Freigabe auch Werte für Unbekannt an. Wenn diese Werte erscheinen, konnte Macie nicht feststellen, ob die angegebene Anzahl und der Prozentsatz der Buckets mit anderen Konten, CloudFront OAIs oder CloudFront OACs geteilt werden. Beispielsweise verhinderte ein temporäres Problem oder die Berechtigungseinstellungen der Buckets, dass Macie die erforderlichen Daten abrufte. Oder Macie konnte die Richtlinien oder ACLs der Buckets nicht vollständig auswerten.