Bewertung Ihres Amazon S3 S3-Sicherheitsstatus mit Amazon Macie - Amazon Macie
Das Dashboard anzeigenGrundlegendes zu Dashboard-KomponentenGrundlegendes zu den Datensicherheitsstatistiken im Dashboard

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewertung Ihres Amazon S3 S3-Sicherheitsstatus mit Amazon Macie

Um den allgemeinen Sicherheitsstatus Ihrer Amazon Simple Storage Service (Amazon S3) -Daten zu beurteilen und zu entscheiden, wo Maßnahmen ergriffen werden müssen, können Sie das Übersichts-Dashboard auf der Amazon Macie Macie-Konsole verwenden.

Das Übersichts-Dashboard bietet eine Momentaufnahme der aggregierten Statistiken für Ihre aktuellen AWS-Region Amazon S3 S3-Daten. Die Statistiken enthalten Daten für wichtige Sicherheitsmetriken wie die Anzahl der Allzweck-Buckets, auf die öffentlich zugegriffen werden kann oder die gemeinsam mit anderen genutzt werden. AWS-Konten Das Dashboard zeigt auch Gruppen von aggregierten Ergebnisdaten für Ihr Konto an, z. B. die Arten von Ergebnissen, die in den letzten sieben Tagen am häufigsten aufgetreten sind. Wenn Sie der Macie-Administrator einer Organisation sind, bietet das Dashboard aggregierte Statistiken und Daten für alle Konten in Ihrer Organisation. Sie können die Daten optional nach Konto filtern.

Um eine tiefere Analyse durchzuführen, können Sie die unterstützenden Daten für einzelne Elemente im Dashboard aufschlüsseln und überprüfen. Sie können Ihr S3-Bucket-Inventar auch mithilfe der Amazon Macie Macie-Konsole überprüfen und analysieren oder Inventardaten mithilfe der Amazon Macie Macie-API programmgesteuert abfragen und analysieren. DescribeBuckets

Anzeige des Übersichts-Dashboards

In der Amazon Macie Macie-Konsole bietet das Übersichts-Dashboard eine Momentaufnahme der aggregierten Statistiken und Ergebnisdaten für Ihre aktuellen Amazon S3 S3-Daten. AWS-Region Wenn Sie die Statistiken lieber programmgesteuert abfragen möchten, können Sie den GetBucketStatisticsBetrieb der Amazon Macie Macie-API verwenden.

Um das Übersichts-Dashboard anzuzeigen

  1. Öffnen Sie die Amazon Macie Macie-Konsole unter https://console.aws.amazon.com/macie/.

  2. Wählen Sie im Navigationsbereich Zusammenfassung aus. Macie zeigt das Übersichts-Dashboard an.

  3. Informationen darüber, wann Macie zuletzt Bucket- oder Objekt-Metadaten von Amazon S3 für Ihr Konto abgerufen hat, finden Sie im Feld Letzte Aktualisierung oben im Dashboard. Weitere Informationen finden Sie unter Daten werden aktualisiert.

  4. Um die unterstützenden Daten für ein Element im Dashboard genauer zu untersuchen und zu überprüfen, wählen Sie das Element aus.

Wenn Sie der Macie-Administrator einer Organisation sind, zeigt das Dashboard aggregierte Statistiken und Daten für Ihr Konto und Ihre Mitgliedskonten in Ihrer Organisation an. Um das Dashboard zu filtern und nur Daten für ein bestimmtes Konto anzuzeigen, geben Sie die Konto-ID in das Feld Konto über dem Dashboard ein.

Grundlegendes zu den Komponenten des Übersichts-Dashboards

Im Übersichts-Dashboard sind Statistiken und Daten in mehrere Abschnitte unterteilt. Oben im Dashboard finden Sie aggregierte Statistiken, die angeben, wie viele Daten Sie in Amazon S3 speichern und wie viele dieser Daten Amazon Macie analysieren kann, um sensible Daten zu erkennen. Sie können auch im Feld Letzte Aktualisierung nachsehen, wann Macie zuletzt Bucket- oder Objekt-Metadaten von Amazon S3 für Ihr Konto abgerufen hat. Zusätzliche Abschnitte enthalten Statistiken und aktuelle Erkenntnisse, anhand derer Sie die Sicherheit, den Datenschutz und die Sensibilität Ihrer Amazon S3 S3-Daten in der aktuellen Situation beurteilen können AWS-Region.

Statistiken und Daten sind in die folgenden Abschnitte unterteilt:

Speicherung und Erkennung sensibler Daten | Probleme mit automatisierter Erkennung und Abdeckung | Datensicherheit | Wichtigste S3-Bereiche | Wichtigste Ermittlungsarten | Politische Ergebnisse

Wählen Sie bei der Durchsicht der einzelnen Abschnitte optional ein Element aus, das Sie aufschlüsseln und die unterstützenden Daten überprüfen möchten. Beachten Sie außerdem, dass das Dashboard keine Daten für S3-Verzeichnis-Buckets, sondern nur allgemeine Buckets enthält. Macie überwacht oder analysiert keine Verzeichnis-Buckets.

Speicherung und Erkennung sensibler Daten

Die Statistiken oben im Dashboard geben an, wie viele Daten Sie in Amazon S3 speichern und wie viele dieser Daten Macie analysieren kann, um sensible Daten zu erkennen. Beispielsweise:

Der Bereich Speicher und Erkennung sensibler Daten im Übersichts-Dashboard. Jedes Feld enthält Beispieldaten.

In diesem Abschnitt:

  • Konten insgesamt — Dieses Feld wird angezeigt, wenn Sie der Macie-Administrator einer Organisation sind oder ein eigenständiges Macie-Konto haben. Es gibt die Gesamtzahl AWS-Konten dieser eigenen Buckets in Ihrem Bucket-Inventar an. Wenn Sie ein Macie-Administrator sind, ist dies die Gesamtzahl der Macie-Konten, die Sie für Ihre Organisation verwalten. Wenn Sie ein eigenständiges Macie-Konto haben, ist dieser Wert 1.

    S3-Buckets insgesamt — Dieses Feld wird angezeigt, wenn Ihr Macie-Konto Mitglied einer Organisation ist. Es gibt die Gesamtzahl der Buckets für allgemeine Zwecke in Ihrem Inventar an, einschließlich Buckets, in denen keine Objekte gespeichert sind.

  • Speicher — Diese Kennzahlen geben Aufschluss über die Speichergröße der Objekte in Ihrem Bucket-Inventar:

    • Klassifizierbar — Die Gesamtspeichergröße aller Objekte, die Macie in den Buckets analysieren kann.

    • Insgesamt — Die Gesamtspeichergröße aller Objekte in den Buckets, einschließlich der Objekte, die Macie nicht analysieren kann.

    Wenn es sich bei den Objekten um komprimierte Dateien handelt, geben diese Werte nicht die tatsächliche Größe dieser Dateien nach der Dekomprimierung wieder. Wenn die Versionsverwaltung für einen der Buckets aktiviert ist, basieren diese Werte auf der Speichergröße der neuesten Version jedes Objekts in diesen Buckets.

  • Objekte — Diese Metriken liefern Informationen über die Anzahl der Objekte in Ihrem Bucket-Inventar:

    • Klassifizierbar — Die Gesamtzahl der Objekte, die Macie in den Buckets analysieren kann.

    • Insgesamt — Die Gesamtzahl der Objekte in den Buckets, einschließlich der Objekte, die Macie nicht analysieren kann.

In den obigen Statistiken sind Daten und Objekte klassifizierbar, wenn sie eine unterstützte Amazon S3 S3-Speicherklasse verwenden und eine Dateinamenerweiterung für ein unterstütztes Datei- oder Speicherformat haben. Mithilfe von Macie können Sie sensible Daten in den Objekten erkennen. Weitere Informationen finden Sie unter Unterstützte Speicherklassen und -formate.

Beachten Sie, dass die Speicher - und Objektstatistiken keine Daten über Objekte in Buckets enthalten, auf die Macie nicht zugreifen darf. Zum Beispiel Objekte in Buckets, für die restriktive Bucket-Richtlinien gelten. Um Buckets zu identifizieren, in denen dies der Fall ist, können Sie Ihr Bucket-Inventar anhand der S3-Buckets-Tabelle überprüfen. Wenn das Warnsymbol ( A red triangle with a red exclamation point in it ) neben dem Namen eines Buckets angezeigt wird, darf Macie nicht auf den Bucket zugreifen.

Probleme mit automatisierter Erkennung und Abdeckung

Wenn die automatische Erkennung sensibler Daten aktiviert ist, werden diese Abschnitte im Dashboard angezeigt. Die Statistiken in diesen Abschnitten erfassen den Status und die Ergebnisse der automatisierten Erkennungsaktivitäten, die Macie bisher für Ihre Amazon S3 S3-Daten durchgeführt hat. Beispielsweise:

Die Abschnitte Automatisierte Erkennung und Probleme im Zusammenhang mit der Berichterstattung im Übersichts-Dashboard. Jeder Abschnitt enthält Beispieldaten.

Einzelheiten zu diesen Statistiken finden Sie unterÜberprüfung der aggregierten Statistiken zur Datensensitivität im Übersichts-Dashboard.

Datensicherheit

Dieser Abschnitt enthält Statistiken, die auf potenzielle Sicherheits- und Datenschutzrisiken für Ihre Amazon S3 S3-Daten hinweisen. Beispielsweise:

Der Bereich Datensicherheit im Übersichts-Dashboard. Jeder Bereich enthält Beispieldaten.

Einzelheiten zu diesen Statistiken finden Sie unterGrundlegendes zu den Datensicherheitsstatistiken im Übersichts-Dashboard.

Die besten S3-Buckets

In diesem Abschnitt sind die S3-Buckets aufgeführt, die in den letzten sieben Tagen die meisten Ergebnisse aller Art generiert haben, und zwar für bis zu fünf Buckets. Außerdem wird die Anzahl der Ergebnisse angegeben, die Macie für jeden Bucket erstellt hat. Beispielsweise:

Der Abschnitt „Die wichtigsten S3-Buckets“ des Übersichts-Dashboards. Der Abschnitt enthält Beispieldaten für 5 Buckets.

Um alle Ergebnisse für einen Bucket der letzten sieben Tage anzuzeigen und optional einen Drilldown durchzuführen, wählen Sie den Wert im Feld Ergebnisse insgesamt aus. Um alle aktuellen Ergebnisse für all Ihre Buckets, gruppiert nach Bucket, anzuzeigen, wählen Sie Alle Ergebnisse nach Bucket anzeigen.

Dieser Abschnitt ist leer, wenn Macie in den letzten sieben Tagen keine Ergebnisse erstellt hat. Oder alle Ergebnisse, die in den letzten sieben Tagen erstellt wurden, wurden durch eine Unterdrückungsregel unterdrückt.

Die häufigsten Arten von Ergebnissen

In diesem Abschnitt werden die Arten von Befunden aufgeführt, bei denen in den letzten sieben Tagen die meisten Fälle aufgetreten sind, und zwar für bis zu fünf Arten von Befunden. Es gibt auch die Anzahl der Ergebnisse an, die Macie für jeden Typ erstellt hat. Beispielsweise:

Der Abschnitt mit den häufigsten Ergebnisarten im Übersichts-Dashboard. Der Abschnitt enthält Beispieldaten für fünf Arten von Ergebnissen.

Wählen Sie den Wert im Feld Ergebnisse insgesamt aus, um alle Ergebnisse eines bestimmten Typs für die letzten sieben Tage anzuzeigen und optional einen Drilldown durchzuführen. Um alle aktuellen Ergebnisse, gruppiert nach Ergebnisart, anzuzeigen, wählen Sie Alle Ergebnisse nach Typ anzeigen.

Dieser Abschnitt ist leer, wenn Macie in den letzten sieben Tagen keine Ergebnisse erstellt hat. Oder alle Ergebnisse, die in den letzten sieben Tagen erstellt wurden, wurden durch eine Unterdrückungsregel unterdrückt.

Politische Erkenntnisse

In diesem Abschnitt sind die politischen Ergebnisse aufgeführt, die Macie in letzter Zeit erstellt oder aktualisiert hat, und zwar für bis zu zehn Ergebnisse. Beispielsweise:

Der Abschnitt mit den Ergebnissen der Richtlinie im Übersichts-Dashboard. Der Abschnitt enthält Beispieldaten für 8 Ergebnisse.

Um die Details eines bestimmten Ergebnisses anzuzeigen, wählen Sie das Ergebnis aus.

Dieser Abschnitt ist leer, wenn Macie in den letzten sieben Tagen keine Richtlinienergebnisse erstellt oder aktualisiert hat. Oder alle Richtlinienergebnisse, die in den letzten sieben Tagen erstellt oder aktualisiert wurden, wurden durch eine Unterdrückungsregel unterdrückt.

Grundlegendes zu den Datensicherheitsstatistiken im Übersichts-Dashboard

Der Bereich Datensicherheit des Übersichts-Dashboards enthält Statistiken, anhand derer Sie potenzielle Sicherheits- und Datenschutzrisiken für Ihre Amazon S3 S3-Daten in der aktuellen Zeit identifizieren und untersuchen können AWS-Region. Sie können diese Daten beispielsweise verwenden, um allgemeine Bereiche zu identifizieren, auf die öffentlich zugegriffen werden kann oder die gemeinsam mit anderen AWS-Konten genutzt werden.

Wenn Ihr Macie-Konto Mitglied einer Organisation ist, geben die Statistiken zu Speicher und Erkennung vertraulicher Daten oben in diesem Abschnitt an, wie viele Daten Sie in Amazon S3 speichern und wie viele dieser Daten Macie analysieren kann, um sensible Daten zu erkennen.

Für jede Art von Macie-Konto sind zusätzliche Statistiken in drei Bereiche unterteilt, wie in der folgenden Abbildung dargestellt.

Der Bereich Datensicherheit im Übersichts-Dashboard. Jeder Bereich enthält Beispieldaten.

Wählen Sie bei der Überprüfung der einzelnen Bereiche optional ein Element aus, das Sie aufschlüsseln und die unterstützenden Daten überprüfen möchten. Beachten Sie außerdem, dass die Statistiken keine Daten für S3-Verzeichnis-Buckets enthalten, sondern nur allgemeine Buckets. Macie überwacht oder analysiert keine Verzeichnis-Buckets.

Die einzelnen Statistiken in den einzelnen Bereichen lauten wie folgt.

Öffentlicher Zugriff

Diese Statistiken geben an, wie viele S3-Buckets öffentlich zugänglich sind oder nicht:

  • Öffentlich zugänglich — Die Anzahl und der Prozentsatz der Buckets, die der Öffentlichkeit Lese- oder Schreibzugriff auf den Bucket ermöglichen.

  • Öffentlich beschreibbar — Die Anzahl und der Prozentsatz der Buckets, die der Öffentlichkeit Schreibzugriff auf den Bucket gewähren.

  • Öffentlich lesbar — Die Anzahl und der Prozentsatz der Buckets, die der Öffentlichkeit den Lesezugriff auf den Bucket ermöglichen.

  • Nicht öffentlich zugänglich — Die Anzahl und der Prozentsatz der Buckets, die der Öffentlichkeit keinen Lese- oder Schreibzugriff auf den Bucket gewähren.

Um jeden Prozentsatz zu berechnen, dividiert Macie die Anzahl der entsprechenden Buckets durch die Gesamtzahl der Buckets in Ihrem Bucket-Inventar.

Um die Werte in diesem Abschnitt zu ermitteln, analysiert Macie eine Kombination von Einstellungen auf Konto- und Bucket-Ebene für jeden Bucket: die Einstellungen für den Block öffentlichen Zugriff für das Konto, die Einstellungen für den Block für öffentlichen Zugriff, die Bucket-Richtlinie für den Bucket und die Zugriffskontrollliste (ACL) für den Bucket. Informationen zu diesen Einstellungen finden Sie unter Identitäts- und Zugriffsverwaltung in Amazon S3 und Blockieren des öffentlichen Zugriffs auf Ihren Amazon S3 S3-Speicher im Amazon Simple Storage Service-Benutzerhandbuch.

In bestimmten Fällen werden im Bereich Öffentlicher Zugriff auch Werte für Unbekannt angezeigt. Wenn diese Werte angezeigt werden, war Macie nicht in der Lage, die Einstellungen für den öffentlichen Zugriff für die angegebene Anzahl und den angegebenen Prozentsatz von Buckets auszuwerten. Beispielsweise hinderte ein vorübergehendes Problem oder die Berechtigungseinstellungen der Buckets Macie daran, die erforderlichen Daten abzurufen. Oder Macie konnte nicht vollständig feststellen, ob eine oder mehrere Richtlinienerklärungen einer externen Entität den Zugriff auf die Buckets gestatten.

Verschlüsselung

Diese Statistiken geben an, wie viele S3-Buckets so konfiguriert sind, dass sie bestimmte Arten der serverseitigen Verschlüsselung auf Objekte anwenden, die zu den Buckets hinzugefügt werden:

  • Standardmäßig verschlüsseln — SSE-S3 — Anzahl und Prozentsatz der Buckets, deren Standardverschlüsselungseinstellungen so konfiguriert sind, dass neue Objekte mit einem von Amazon S3 verwalteten Schlüssel verschlüsselt werden. Für diese Buckets werden neue Objekte automatisch mithilfe der SSE-S3-Verschlüsselung verschlüsselt.

  • Standardmäßig verschlüsseln — DSSE-KMS/SSE-KMS — Die Anzahl und der Prozentsatz der Buckets, deren Standardverschlüsselungseinstellungen so konfiguriert sind, dass neue Objekte entweder mit einem oder einem vom Kunden verwalteten Schlüssel verschlüsselt werden. AWS KMS key Von AWS verwalteter Schlüssel Für diese Buckets werden neue Objekte automatisch mithilfe der DSSE-KMS- oder SSE-KMS-Verschlüsselung verschlüsselt.

Um jeden Prozentsatz zu berechnen, dividiert Macie die Anzahl der zutreffenden Buckets durch die Gesamtzahl der Buckets in Ihrem Bucket-Inventar.

Um die Werte in diesem Abschnitt zu ermitteln, analysiert Macie die Standardverschlüsselungseinstellungen für jeden Bucket. Ab dem 5. Januar 2023 wendet Amazon S3 automatisch serverseitige Verschlüsselung mit Amazon S3 S3-verwalteten Schlüsseln (SSE-S3) als Basisverschlüsselungsebene für Objekte an, die zu Buckets hinzugefügt werden. Sie können optional die Standardverschlüsselungseinstellungen eines Buckets so konfigurieren, dass sie stattdessen eine serverseitige Verschlüsselung mit einem AWS KMS Schlüssel (SSE-KMS) oder eine zweischichtige serverseitige Verschlüsselung mit einem Schlüssel (DSSE-KMS) verwenden. AWS KMS Informationen zu den Standardverschlüsselungseinstellungen und -optionen finden Sie unter Einstellung des standardmäßigen serverseitigen Verschlüsselungsverhaltens für S3-Buckets im Amazon Simple Storage Service-Benutzerhandbuch.

In bestimmten Fällen werden im Bereich Verschlüsselung auch Werte für Unbekannt angezeigt. Wenn diese Werte angezeigt werden, war Macie nicht in der Lage, die Standardverschlüsselungseinstellungen für die angegebene Anzahl und den angegebenen Prozentsatz von Buckets auszuwerten. Beispielsweise hinderte ein vorübergehendes Problem oder die Berechtigungseinstellungen der Buckets Macie daran, die erforderlichen Daten abzurufen.

Teilen

Diese Statistiken geben an, wie viele S3-Buckets mit anderen AWS-Konten Amazon CloudFront Origin Access Identities (OAIs) oder Origin Access Controls (OACs) gemeinsam genutzt werden oder CloudFront nicht:

  • Extern geteilt — Die Anzahl und der Prozentsatz der Buckets, die mit einer oder mehreren der folgenden Personen oder einer beliebigen Kombination der folgenden Personen geteilt werden: eine CloudFront OAI, eine CloudFront OAC oder ein Konto, das sich nicht in derselben Organisation befindet.

  • Innerhalb geteilt — Die Anzahl und der Prozentsatz der Buckets, die mit einem oder mehreren Konten in derselben Organisation geteilt werden. Diese Buckets werden nicht mit CloudFront OAIs oder OACs geteilt.

  • Nicht geteilt — Die Anzahl und der Prozentsatz der Buckets, die nicht mit anderen Konten, OAIs oder CloudFront OACs geteilt wurden. CloudFront

Um jeden Prozentsatz zu berechnen, dividiert Macie die Anzahl der entsprechenden Buckets durch die Gesamtzahl der Buckets in Ihrem Bucket-Inventar.

Um festzustellen, ob Buckets mit anderen geteilt werden AWS-Konten, analysiert Macie die Bucket-Richtlinie und die ACL für jeden Bucket. Darüber hinaus wird eine Organisation als eine Gruppe von Macie-Konten definiert, die über AWS Organizations oder auf Einladung von Macie als Gruppe verwandter Konten zentral verwaltet werden. Informationen zu den Amazon S3-Optionen für die gemeinsame Nutzung von Buckets finden Sie unter Identitäts- und Zugriffsverwaltung in Amazon S3 im Amazon Simple Storage Service-Benutzerhandbuch.

Anmerkung

In bestimmten Fällen meldet Macie möglicherweise fälschlicherweise, dass ein Bucket mit einem Bucket geteilt wird AWS-Konto , das sich nicht in derselben Organisation befindet. Dies kann passieren, wenn Macie nicht in der Lage ist, die Beziehung zwischen dem Principal Element in der Richtlinie eines Buckets und bestimmten AWS globalen Bedingungskontextschlüsseln oder Amazon S3 S3-Bedingungsschlüsseln im Condition Element der Richtlinie vollständig auszuwerten. Die zutreffenden Bedingungsschlüssel sind: aws:PrincipalAccountaws:PrincipalArn,aws:PrincipalOrgID,aws:PrincipalOrgPaths,aws:PrincipalTag,aws:PrincipalType,aws:SourceAccount,aws:SourceArn,aws:SourceIp,,aws:SourceVpc,aws:SourceVpce, aws:userids3:DataAccessPointAccount, unds3:DataAccessPointArn.

Um festzustellen, ob dies für einzelne Buckets der Fall ist, wählen Sie im Dashboard die Option Gemeinsam genutzte externe Statistik aus. Notieren Sie sich in der nun angezeigten Tabelle den Namen der einzelnen Buckets. Verwenden Sie dann Amazon S3, um die Richtlinien der einzelnen Buckets zu überprüfen und festzustellen, ob die Einstellungen für den gemeinsamen Zugriff beabsichtigt und sicher sind.

Um festzustellen, ob Buckets mit CloudFront OAIs oder OACs gemeinsam genutzt werden, analysiert Macie die Bucket-Richtlinie für jeden Bucket. Eine CloudFront OAI oder ein OAC ermöglicht es Benutzern, über eine oder mehrere angegebene Distributionen auf die Objekte eines Buckets zuzugreifen. CloudFront Informationen zu CloudFront OAIs und OACs finden Sie unter Beschränken des Zugriffs auf einen Amazon S3 S3-Ursprung im Amazon CloudFront Developer Guide.

In bestimmten Fällen werden im Bereich Teilen auch Werte für Unbekannt angezeigt. Wenn diese Werte angezeigt werden, konnte Macie nicht feststellen, ob die angegebene Anzahl und der angegebene Prozentsatz der Buckets mit anderen Konten, CloudFront OAIs oder OACs gemeinsam genutzt werden. CloudFront Beispielsweise hinderte ein vorübergehendes Problem oder die Berechtigungseinstellungen der Buckets Macie daran, die erforderlichen Daten abzurufen. Oder Macie war nicht in der Lage, die Richtlinien oder ACLs der Buckets vollständig auszuwerten.