Revisión de los detalles de confidencialidad de los datos de los buckets de S3

A medida que avance la detección automática de datos confidenciales, podrá revisar los resultados detallados de las estadísticas y demás información que Amazon Macie proporciona sobre cada uno de sus depósitos de Amazon Simple Storage Service (Amazon S3). Si es el administrador de Macie de una organización, incluirá los buckets que sean propiedad de las cuentas de miembro.

Las estadísticas y la información incluyen detalles que proporcionan información sobre la seguridad y la privacidad de los datos de un bucket de S3. También recopilan los resultados de las actividades automatizadas de descubrimiento de datos confidenciales que Macie ha llevado a cabo hasta ahora en un solo paquete. Por ejemplo, puede encontrar una lista de objetos que Macie ha analizado en un depósito. También puede encontrar un desglose de los tipos y el número de apariciones de datos confidenciales que Macie ha encontrado en un depósito. Tenga en cuenta que estos datos no incluyen los resultados de los trabajos de descubrimiento de datos confidenciales que usted cree y ejecute.

Macie recalcula y actualiza automáticamente las estadísticas y los detalles de sus depósitos de S3 mientras realiza la detección automática de datos confidenciales. Por ejemplo:

Si Macie no encuentra datos confidenciales en un objeto de S3, reduce la puntuación de confidencialidad del bucket y actualiza la etiqueta de confidencialidad del bucket según sea necesario. Macie también añade el objeto a la lista de objetos que ha seleccionado para su análisis.
Si Macie encuentra datos confidenciales en un objeto de S3, Macie añade esas apariciones al desglose de los tipos de datos confidenciales que Macie ha encontrado en el bucket. Macie también aumenta la puntuación de confidencialidad del bucket y actualiza la etiqueta de confidencialidad del bucket según sea necesario. Además, Macie añade el objeto a la lista de objetos que ha seleccionado para el análisis. Estas tareas se suman a la creación de un resultado de datos confidenciales para el objeto.
Si Macie encuentra datos confidenciales en un objeto de S3 que posteriormente se modifican o eliminan, Macie elimina las incidencias de datos confidenciales del objeto del desglose de tipos de datos confidenciales del depósito. Macie también reduce la puntuación de confidencialidad del bucket y actualiza la etiqueta de confidencialidad del bucket según sea necesario. Además, Macie elimina el objeto de la lista de objetos que ha seleccionado para su análisis.
Si Macie intenta analizar un objeto S3 pero un problema o error impide el análisis, Macie añade el objeto a la lista de objetos que ha seleccionado para el análisis e indica que no ha podido analizarlo.

Si es el administrador de Macie de una organización o tiene una cuenta de Macie independiente, si lo desea, puede utilizar estos detalles para evaluar y ajustar determinadas configuraciones de detección automática para un bucket de S3. Por ejemplo, puede incluir o excluir tipos específicos de datos confidenciales de la puntuación de un segmento. Para obtener más información, consulte Ajuste de las puntuaciones de confidencialidad para buckets de S3.

Para revisar los detalles de confidencialidad de datos de un bucket de S3

Para revisar la confidencialidad de los datos y otros detalles de un bucket de S3, puede utilizar la consola Amazon Macie o la API de Amazon Macie. En la consola, el panel de detalles proporciona un acceso centralizado a esta información. Con la API, puede recuperar y procesar los datos mediante programación.

Console

Siga estos pasos para revisar la confidencialidad de los datos y otros detalles de un bucket de S3 mediante la consola Amazon Macie.

Para revisar los detalles de un bucket de S3

Abra la consola Amazon Macie en. https://console.aws.amazon.com/macie/
En el panel de navegación, elija Buckets de S3. La página Buckets de S3 muestra un mapa interactivo de su inventario de buckets. Si lo prefiere, elija tabla ( ) en la parte superior de la página para mostrar el inventario en formato tabular.

De forma predeterminada, la página no muestra los datos de los buckets que actualmente están excluidos de la detección de datos confidenciales automatizada. Si es el administrador de Macie de una organización, tampoco muestra los datos de las cuentas para las que la detección de datos confidenciales automatizada esté deshabilitada actualmente. Para mostrar estos datos, seleccione una X en el marcador del filtro ¿Está supervisado por la detección automatizada? situado debajo del cuadro de filtro.
Para recuperar los metadatos del bucket más recientes de Amazon S3, seleccione actualizar ( ) en la parte superior de la página.
Seleccione el bucket cuyos detalles quiera revisar. El panel de detalles muestra estadísticas de confidencialidad de los datos y otra información sobre el depósito.

En la parte superior del panel se muestra información general sobre el depósito: el nombre del depósito, el ID de cuenta del Cuenta de AWS propietario del depósito y la puntuación de sensibilidad actual del depósito. Si es administrador de Macie o tiene una cuenta de Macie independiente, también ofrece opciones para cambiar determinadas configuraciones de la detección automatizada en el bucket. Los ajustes e información adicionales se organizan en las siguientes pestañas:

Sensibilidad | Detalles del depósito | Muestras de objetos | Descubrimiento de datos confidenciales

Los ajustes individuales y la información de cada pestaña son los siguientes.

Confidencialidad

Esta pestaña muestra la puntuación de confidencialidad actual del bucket, que va de -1 a 100. Para obtener información sobre el rango de puntuaciones de confidencialidad que define Macie, consulte Puntuación de confidencialidad para buckets de S3.

La pestaña también proporciona un desglose de los tipos de datos confidenciales que Macie ha encontrado en los objetos del bucket y el número de veces que aparecen cada tipo:

Tipo de datos confidenciales: el identificador único (ID) del identificador de datos administrados que ha detectado los datos o el nombre del identificador de datos personalizado que ha detectado los datos.

El ID de un identificador de datos administrados describe el tipo de datos confidenciales para cuya detección está diseñado; por ejemplo, USA_PASSPORT_NUMBER para los números de pasaporte estadounidenses. Para obtener más información sobre cada identificador de datos administrados, consulte Uso de identificadores de datos administrados.
Recuento: el número total de apariciones de los datos que detectó el identificador de datos administrado o personalizado.
Estado de la puntuación: este campo aparece si es administrador de Macie o si tiene una cuenta de Macie independiente. Especifica si las apariciones de los datos se incluyen o excluyen de la puntuación de confidencialidad del bucket.

Si Macie calcula la puntuación del segmento, usted puede ajustar el cálculo incluyendo o excluyendo tipos específicos de datos confidenciales de la puntuación: seleccione la casilla de verificación del identificador que detectó los datos confidenciales que desee incluir o excluir y, a continuación, seleccione una opción del menú Acciones. Para obtener más información, consulte Ajuste de las puntuaciones de confidencialidad para buckets de S3.

Si Macie no ha encontrado datos confidenciales en los objetos que el bucket almacena actualmente, en esta sección se muestra el mensaje No se encontraron detecciones.

Tenga en cuenta que la pestaña Sensibilidad no incluye los datos de los objetos que se modificaron o eliminaron después de que Macie los analizara. Si los objetos se modifican o eliminan después del análisis, Macie recalcula y actualiza automáticamente las estadísticas y los datos correspondientes para excluir los objetos.

Detalles del bucket

Esta pestaña proporciona detalles sobre la configuración del bucket, incluida la configuración de seguridad y privacidad de los datos. Por ejemplo, puede revisar los desgloses de la configuración de acceso público del bucket y determinar si el bucket replica objetos o se comparte con otros Cuentas de AWS.

Cabe destacar que el campo Última actualización indica cuándo Macie recuperó por última vez los metadatos del bucket o de los objetos del bucket de Amazon S3. El campo Última ejecución de detección automatizada indica cuándo Macie analizó por última vez los objetos del bucket mientras realizaba una detección de datos confidenciales automatizada. Si este análisis no se realizó, aparecerá un guion (–) en este campo.

La pestaña también proporciona estadísticas de objeto que pueden ayudarle a evaluar la cantidad de datos que Macie puede analizar en el bucket. También indica si ha configurado algún trabajo de detección de datos confidenciales para analizar los objetos del bucket. En caso afirmativo, puede acceder a los detalles del trabajo que se ejecutó más recientemente y, si lo desea, mostrar los resultados que arroje el trabajo.

En algunos casos, es posible que esta pestaña no incluya todos los detalles de un depósito. Esto puede ocurrir si almacena más de 10 000 depósitos en Amazon S3. Macie mantiene los datos de inventario completos de solo 10 000 cubos por cuenta, es decir, los 10 000 depósitos que se crearon o modificaron más recientemente. Sin embargo, Macie puede analizar los objetos de los depósitos que superen esta cuota. Para revisar los detalles adicionales de los buckets, utilice Amazon S3.

Para obtener más información sobre la información de esta pestaña, consulte Revisión de los detalles de los bucket de S3.

Muestras de objetos

En esta pestaña se enumeran los objetos que Macie ha seleccionado para el análisis mientras realizaba la detección de datos confidenciales automatizada para el bucket. Si lo desea, elija el nombre de un objeto para abrir la consola de Amazon S3 y mostrar las propiedades del objeto.

La lista incluye datos de hasta 100 objetos. La lista se rellena en función del valor del campo Confidencialidad del objeto: Confidencial, seguido de No confidencial, seguido de los objetos que Macie no ha podido analizar.

En la lista, el campo Confidencialidad del objeto indica si Macie encontró datos confidenciales en un objeto:

Confidencial: Macie encontró al menos una aparición de datos confidenciales en el objeto.
No confidencial: Macie no encontró datos confidenciales en el objeto.
– (guión): Macie no pudo completar el análisis del objeto debido a un problema o error.

El campo Resultados de clasificación indica si Macie pudo analizar un objeto:

Completado: Macie completó el análisis del objeto.
Parcial: Macie analizó solo un subconjunto de datos del objeto debido a un problema o error. Por ejemplo, el objeto es un archivo comprimido que contiene archivos en un formato no compatible.
Omitido: Macie no pudo analizar ningún dato del objeto debido a un problema o error. Por ejemplo, el objeto está cifrado con una clave que Macie no puede usar.

Tenga en cuenta que la lista no incluye los objetos que se modificaron o eliminaron después de que Macie los analizara o intentara analizarlos. Macie elimina automáticamente un objeto de la lista si el objeto se modifica o elimina posteriormente.

Detección de datos confidenciales

Esta pestaña proporciona estadísticas agregadas y automatizadas de detección de datos confidenciales para el bucket:

Bytes analizados: la cantidad total de datos, en bytes, que Macie ha analizado en el bucket.
Tamaño clasificable: el tamaño total de almacenamiento de todos los objetos que Macie puede analizar en el bucket. Estos objetos utilizan una clase de almacenamiento de Amazon S3 compatible y tienen una extensión de nombre de archivo para un archivo o formato de almacenamiento admitido. Para obtener más información, consulte Clases y formatos de almacenamiento compatibles.
Detecciones totales: el número total de apariciones de datos confidenciales que Macie ha encontrado en el bucket. Esto incluye las incidencias que actualmente están suprimidas por la configuración de la puntuación de confidencialidad del bucket.

El gráfico Objetos analizados indica el número total de objetos que Macie ha analizado en el bucket. También proporciona una representación visual del número de objetos en los que Macie encontró o no encontró datos confidenciales. La leyenda que aparece debajo del gráfico muestra un desglose de estos resultados:

Objetos confidenciales (rojo): el número total de objetos en los que Macie encontró al menos una aparición de datos confidenciales.
Objetos no confidenciales (azul): el número total de objetos en los que Macie no encontró datos confidenciales.
Objetos omitidos (gris oscuro): el número total de objetos que Macie no pudo analizar debido a un problema o error.

En el área situada debajo de la leyenda del gráfico se muestra un desglose de los casos en los que Macie no ha podido analizar los objetos porque se produjeron ciertos problemas de permisos o errores criptográficos:

Omitido: cifrado no válido: número total de objetos cifrados con claves proporcionadas por el cliente. Macie no puede acceder a estas claves.
Omitido: KMS no válido: número total de objetos cifrados con claves AWS Key Management Service (AWS KMS) que ya no están disponibles. Estos objetos se cifran con las AWS KMS keys que estaban deshabilitadas, están programadas para su eliminación o se eliminaron. Macie no puede usar estas claves.
Omitido: permiso denegado: el número total de objetos a los que Macie no puede acceder debido a la configuración de permisos del objeto o a la configuración de permisos de la clave que se utilizó para cifrar el objeto.

Para obtener más información sobre estos y otros tipos de problemas y errores que pueden producirse, consulte Solución de problemas de cobertura. Si corrige los problemas y errores, puede aumentar la cobertura de los datos del bucket durante los ciclos de análisis posteriores.

Las estadísticas de la pestaña Detección de datos confidenciales no incluyen los datos de los objetos que se modificaron o eliminaron después de que Macie los analizara o intentara analizarlos. Si los objetos se modifican o eliminan después de que Macie los analice o intente analizarlos, Macie recalcula automáticamente estas estadísticas para excluirlos.

API

Para recuperar la confidencialidad de los datos y otros detalles de un bucket de S3 mediante programación, dispone de varias opciones. La opción adecuada depende de los detalles que desee recuperar:

Para recuperar la puntuación de sensibilidad actual de un depósito y las estadísticas de análisis agregadas, utilice la GetResourceProfileoperación. O bien, si está utilizando AWS Command Line Interface (AWS CLI), ejecute el get-resource-profilecomando. Las estadísticas incluyen datos como el número de objetos que Macie ha analizado y el número de objetos en los que Macie ha encontrado datos confidenciales.
Para obtener un desglose de los tipos y la cantidad de datos confidenciales que Macie ha encontrado en un depósito, utilice la operación. ListResourceProfileDetections O bien, si está utilizando el AWS CLI, ejecute el list-resource-profile-detectionscomando. El desglose también proporciona detalles sobre el identificador de datos administrado o personalizado que detectó cada tipo de datos confidenciales.
Para recuperar una lista de hasta 100 objetos que Macie seleccionó de un depósito para su análisis, utilice la ListResourceProfileArtifactsoperación. O bien, si está utilizando el AWS CLI, ejecute el list-resource-profile-artifactscomando. Para cada objeto, la lista especifica: el nombre de recurso de Amazon (ARN) del objeto, si Macie completó su análisis del objeto y si Macie encontró datos confidenciales en el objeto.

En su solicitud, utilice el resourceArn parámetro para especificar el ARN del depósito del que se van a recuperar los detalles. Si utiliza el AWS CLI, utilice el resource-arn parámetro para especificar el ARN.

Para obtener detalles adicionales sobre un depósito de S3, como la configuración de acceso público del depósito, utilice la DescribeBucketsoperación. Si utilizas el comando describe-buckets AWS CLI, ejecuta el comando describe-buckets para recuperar estos detalles. En su solicitud, si lo desea, utilice criterios de filtro para especificar el nombre del depósito. Para obtener más información y ejemplos, consulta Filtrado del inventario de un bucket de S3.

Los siguientes ejemplos muestran cómo utilizarlos AWS CLI para recuperar los detalles de confidencialidad de los datos de un depósito de S3. En este primer ejemplo, se recupera la puntuación de sensibilidad actual y las estadísticas de análisis agregadas de un depósito.


$ aws macie2 get-resource-profile --resource-arn arn:aws:s3:::amzn-s3-demo-bucket

¿Dónde arn:aws:s3:::amzn-s3-demo-bucket está el ARN de la cubeta? Si la solicitud se realiza correctamente, recibirá un resultado similar al siguiente:


{
    "profileUpdatedAt": "2024-11-21T15:44:46+00:00",
    "sensitivityScore": 83,
    "sensitivityScoreOverridden": false,
    "statistics": {
        "totalBytesClassified": 933599,
        "totalDetections": 3641,
        "totalDetectionsSuppressed": 0,
        "totalItemsClassified": 111,
        "totalItemsSensitive": 84,
        "totalItemsSkipped": 1,
        "totalItemsSkippedInvalidEncryption": 0,
        "totalItemsSkippedInvalidKms": 0,
        "totalItemsSkippedPermissionDenied": 0
    }
}

El siguiente ejemplo muestra un desglose de los tipos de datos confidenciales que Macie ha encontrado en un depósito de S3 y el número de veces que aparece cada tipo. El desglose también especifica qué identificador de datos gestionados o identificador de datos personalizado detectó los datos. También indica si las apariciones están actualmente excluidas (suppressed) de la puntuación de sensibilidad del depósito, si Macie calcula la puntuación automáticamente.


$ aws macie2 list-resource-profile-detections --resource-arn arn:aws:s3:::amzn-s3-demo-bucket

¿Dónde arn:aws:s3:::amzn-s3-demo-bucket está el ARN de la cubeta? Si la solicitud se realiza correctamente, recibirá un resultado similar al siguiente:


{
    "detections": [
        {
            "count": 8,
            "id": "AWS_CREDENTIALS",
            "name": "AWS_CREDENTIALS",
            "suppressed": false,
            "type": "MANAGED"
        },
        {
            "count": 1194,
            "id": "CREDIT_CARD_NUMBER",
            "name": "CREDIT_CARD_NUMBER",
            "suppressed": false,
            "type": "MANAGED"
        },
        {
            "count": 1194,
            "id": "CREDIT_CARD_SECURITY_CODE",
            "name": "CREDIT_CARD_SECURITY_CODE",
            "suppressed": false,
            "type": "MANAGED"
        },
        {
            "arn": "arn:aws:macie2:us-east-1:123456789012:custom-data-identifier/3293a69d-4a1e-4a07-8715-208ddexample",
            "count": 8,
            "id": "3293a69d-4a1e-4a07-8715-208ddexample",
            "name": "Employee IDs with keyword",
            "suppressed": false,
            "type": "CUSTOM"
        },
        {
            "count": 1237,
            "id": "USA_SOCIAL_SECURITY_NUMBER",
            "name": "USA_SOCIAL_SECURITY_NUMBER",
            "suppressed": false,
            "type": "MANAGED"
        }
    ]
}

En este ejemplo, se recupera una lista de objetos que Macie seleccionó de un bucket de S3 para su análisis. Para cada objeto, la lista también indica si Macie completó su análisis del objeto y si Macie encontró datos confidenciales en el objeto.


$ aws macie2 list-resource-profile-artifacts --resource-arn arn:aws:s3:::amzn-s3-demo-bucket

¿Dónde arn:aws:s3:::amzn-s3-demo-bucket está el ARN de la cubeta? Si la solicitud se realiza correctamente, recibirá un resultado similar al siguiente:


{
    "artifacts": [
        {
            "arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object1.csv",
            "classificationResultStatus": "COMPLETE",
            "sensitive": true
        },
        {
            "arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object2.xlsx",
            "classificationResultStatus": "COMPLETE",
            "sensitive": true
        },
        {
            "arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object3.json",
            "classificationResultStatus": "COMPLETE",
            "sensitive": true
        },
        {
            "arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object4.pdf",
            "classificationResultStatus": "COMPLETE",
            "sensitive": true
        },
        {
            "arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object5.zip",
            "classificationResultStatus": "PARTIAL",
            "sensitive": true
        },
        {
            "arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object6.vssx",
            "classificationResultStatus": "SKIPPED"
        }
    ]
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Evaluación de la confidencialidad de los datos con la tabla de buckets S3

Análisis de resultados de datos confidenciales