Evaluación de cobertura de detección de datos confidenciales automatizada

A medida que avanza la detección de datos confidenciales automatizada para su cuenta, Amazon Macie proporciona estadísticas y detalles para ayudarle a evaluar y supervisar la cobertura de su patrimonio de datos de Amazon Simple Storage Service (Amazon S3). Con estos datos, puede comprobar el estado de detección de datos confidenciales automatizada para el patrimonio de datos en general y de los buckets de S3 individuales de su inventario de buckets. También puede identificar los problemas que impidieron que Macie analizara objetos en buckets específicos. Si soluciona los problemas, puede aumentar la cobertura de sus datos de Amazon S3 durante los ciclos de análisis posteriores.

Los datos de cobertura proporcionan una instantánea del estado actual de la detección automática de datos confidenciales para sus depósitos de uso general de S3 en la actualidad Región de AWS. Si es el administrador de Macie de una organización, incluirá los buckets que son propiedad de las cuentas miembro. Para cada bucket, los datos indican si se produjeron problemas cuando Macie intentó analizar los objetos del bucket. Si se produjeron problemas, los datos indican la naturaleza de cada problema y, en algunos casos, el número de casos. Los datos se actualizan a medida que avanza la detección de datos confidenciales automatizada en su cuenta cada día. Si Macie analiza o intenta analizar uno o más objetos de un bucket durante un ciclo de análisis diario, Macie actualiza la cobertura y otros datos para reflejar los resultados.

En el caso de determinados tipos de problemas, puede revisar los datos en conjunto de todos los segmentos de uso general de S3 y, si lo desea, profundizar en ellos para obtener detalles adicionales sobre cada uno de ellos. Por ejemplo, los datos de cobertura pueden ayudarte a identificar rápidamente todos los buckets a los que Macie no puede acceder desde su cuenta. Los datos de cobertura también indican los problemas a nivel de objeto que se han producido. Estos problemas, denominados errores de clasificación, impidieron que Macie analizara objetos específicos de un bucket. Por ejemplo, puedes determinar cuántos objetos no pudo analizar Macie en un depósito porque los objetos están cifrados con una clave AWS Key Management Service (AWS KMS) que ya no está disponible.

Si utiliza la consola de Amazon Macie para revisar los datos de cobertura, la vista de los datos incluye un asesoramiento de corrección para solucionar cada tipo de problema. Los temas siguientes de esta sección también proporcionan un asesoramiento de corrección para cada tipo.

Temas

• Revisión de los datos de cobertura
• Solución de problemas de cobertura
  • Acceso denegado
  • Error de clasificación: contenido no válido
  • Error de clasificación: cifrado no válido
  • Error de clasificación: clave KMS no válida
  • Error de clasificación: permiso denegado
  • No clasificable

Revisión de datos de cobertura de detección de datos confidenciales automatizada

Para revisar y evaluar la detección de datos confidenciales automatizada de su cuenta, puede utilizar la consola Amazon Macie o la API de Amazon Macie. Tanto la consola como la API proporcionan datos que indican el estado actual de los análisis de los buckets de uso general de Amazon Simple Storage Service (Amazon S3) en ese momento. Región de AWS Los datos incluyen información sobre los problemas que crean lagunas en los análisis:

• Buckets a los que Macie no puede acceder. Macie no puede analizar ningún objeto de estos buckets porque la configuración de permisos de los buckets impide que Macie acceda a los buckets y a los objetos de los buckets.

• Cubos que no almacenan ningún objeto clasificable. Macie no puede analizar ningún objeto de estos buckets porque todos los objetos utilizan clases de almacenamiento de Amazon S3 que Macie no admite o tienen extensiones de nombre de archivo para formatos de archivo o almacenamiento que Macie no admite.

• Cubos que Macie aún no ha podido analizar debido a errores de clasificación a nivel de objeto. Macie intentó analizar uno o más objetos de estos buckets. Sin embargo, Macie no pudo analizar los objetos debido a problemas con la configuración de los permisos a nivel de objeto, el contenido de los objetos o las cuotas.

Los datos de cobertura se actualizan a medida que avanza la detección de datos confidenciales automatizada para su cuenta cada día. Si es el administrador de Macie de una organización, los datos incluyen información de los buckets de S3 que sean propiedad de sus cuentas de miembros.

nota

Los datos de cobertura no incluyen explícitamente los resultados de los trabajos de detección de datos confidenciales que haya creado y ejecutado. Sin embargo, si corrige los problemas de cobertura que afectan a los resultados de la detección de datos confidenciales automatizada, es probable que también aumente la cobertura de los trabajos de detección de datos confidenciales que ejecute posteriormente. Para evaluar la cobertura de un trabajo, revise las estadísticas y los resultados del trabajo. Si los eventos de registro u otros resultados indican problemas de cobertura, el asesoramiento de corrección que aparece más adelante en esta sección puede ayudarle a solucionar algunos de los problemas.

Para revisar los datos de cobertura de detección de datos confidenciales automatizada

Puede usar la consola de Amazon Macie o la API de Amazon Macie para revisar los datos de cobertura de su cuenta u organización. En la consola, una sola página ofrece una vista unificada de los datos de cobertura de todos los segmentos de uso general de S3, incluido un resumen de los problemas que se han producido recientemente en cada uno de ellos. La página también ofrece opciones para revisar grupos de datos por tipo de problema. Para realizar un seguimiento de la investigación de problemas en buckets específicos, puede exportar los datos de la página a un archivo de valores separados por comas (CSV).

Console

Siga estos pasos para revisar los datos de cobertura de detección de datos confidenciales automatizada mediante la consola de Amazon Macie.

Para revisar los datos de cobertura

1. Abra la consola de Amazon Macie en https://console.aws.amazon.com/macie/.

2. En el panel de navegación, elija Cobertura de recursos.

3. En la página Cobertura de recursos, seleccione la pestaña correspondiente al tipo de datos de cobertura que desea revisar:

   • Todos: muestra todos los depósitos que Macie monitorea y analiza para tu cuenta.

     Para cada bucket, el campo Problemas indica si los problemas impidieron que Macie analizara los objetos del bucket. Si el valor de este campo es Ninguno, Macie ha analizado al menos uno de los objetos del bucket o no ha intentado analizar ninguno de los objetos del bucket todavía. Si hay problemas, este campo indica la naturaleza de los problemas y cómo solucionarlos. En el caso de los errores de clasificación a nivel de objeto, también puede indicar (entre paréntesis) el número de ocurrencias del error.

   • Acceso denegado: muestra los depósitos a los que Macie no puede acceder. La configuración de permisos de estos buckets impide que Macie acceda a los buckets y a los objetos de los buckets. Por lo tanto, Macie no puede analizar ningún objeto de estos buckets.

   • Error de clasificación: muestra los grupos que Macie aún no ha analizado debido a errores de clasificación a nivel de objeto (problemas con la configuración de los permisos, el contenido de los objetos o las cuotas) a nivel de objeto.

     Para cada bucket, el campo Problemas indica la naturaleza de cada tipo de error que se ha producido y ha impedido a Macie analizar un objeto del bucket. También indica cómo corregir cada tipo de error. Dependiendo del error, también puede indicar (entre paréntesis) el número de ocurrencias del error.

   • Inclasificable: enumera los cubos que Macie no puede analizar porque no almacenan ningún objeto clasificable. Todos los objetos de estos buckets utilizan clases de almacenamiento de Amazon S3 no compatibles o tienen extensiones de nombre de archivo para formatos de archivo o almacenamiento no compatibles. Por lo tanto, Macie no puede analizar ningún objeto de estos buckets.

4. Para profundizar y revisar los datos de respaldo de un depósito, elija el nombre del depósito. A continuación, consulte el panel de detalles del bucket para ver las estadísticas y otra información sobre el bucket.

5. Para exportar la tabla a un archivo CSV, seleccione Exportar a CSV en la parte superior de la página. El archivo CSV resultante contiene un subconjunto de metadatos para cada depósito de la tabla, hasta un máximo de 50 000 cubos. El archivo incluye un campo Problemas de cobertura. El valor de este campo indica si los problemas impidieron a Macie analizar los objetos del bucket y, de ser así, la naturaleza de los problemas.

API

Para revisar los datos de cobertura mediante programación, especifique los criterios de filtrado en las consultas que envíe mediante la DescribeBucketsoperación de la API Amazon Macie. Esta operación devuelve una matriz de objetos. Cada objeto contiene datos estadísticos y otra información sobre un depósito de uso general de S3 que coincide con los criterios del filtro.

En los criterios de filtro, incluya una condición para el tipo de datos de cobertura que desee revisar:

• Para identificar los buckets a los que Macie no puede acceder debido a la configuración de permisos de los buckets, incluye una condición en la que el valor del campoerrorCode sea igual a ACCESS_DENIED.

• Para identificar los buckets a los que Macie puede acceder y que aún no ha analizado, incluye las condiciones en las que el valor del campo sensitivityScore sea igual a 50 y el valor del campo errorCode no sea igual a ACCESS_DENIED.

• Para identificar los buckets que Macie no puede analizar porque todos los objetos de los buckets utilizan clases o formatos de almacenamiento no compatibles, incluya condiciones en las que el valor del campo classifiableSizeInBytes sea igual a 0 y el valor del campo sizeInBytes sea mayor que 0.

• Para identificar los grupos en los que Macie ha analizado al menos un objeto, incluya condiciones en las que el valor del campo sensitivityScore esté comprendido entre 1 y 99, pero no sea igual a 50. Para incluir también los buckets en los que se asignó manualmente la puntuación máxima, el rango debe estar comprendido entre 1 y 100.

• Para identificar los buckets que Macie aún no ha analizado debido a errores de clasificación a nivel de objeto, incluye una condición en la que el valor del campo sensitivityScore sea igual a -1. Para, a continuación, revisar un desglose de los tipos y la cantidad de errores que se produjeron en un depósito en particular, utilice la GetResourceProfileoperación.

Si utiliza AWS Command Line Interface (AWS CLI), especifique los criterios de filtro en las consultas que envíe ejecutando el comando describe-buckets. Para revisar un desglose de los tipos y la cantidad de errores que se produjeron en un bucket de S3 concreto, si los hubo, ejecute el get-resource-profilecomando.

Por ejemplo, los siguientes AWS CLI comandos utilizan criterios de filtrado para recuperar los detalles de todos los buckets de S3 a los que Macie no puede acceder debido a la configuración de permisos de los buckets.

Este ejemplo está preparado para Unix, Linux y macOS:

$ aws macie2 describe-buckets --criteria '{"errorCode":{"eq":["ACCESS_DENIED"]}}'

Este ejemplo tiene el formato de Microsoft Windows.

C:\> aws macie2 describe-buckets --criteria={\"errorCode\":{\"eq\":[\"ACCESS_DENIED\"]}}

Si la solicitud se realiza correctamente, Macie devuelve una buckets matriz. La matriz contiene un objeto para cada depósito de S3 que se encuentra en el actual Región de AWS y que coincide con los criterios del filtro.

Si ningún bucket de S3 coincide con los criterios del filtro, Macie devuelve una matriz buckets vacía.

{
    "buckets": []
}

Para obtener más información sobre cómo especificar los criterios de filtro en las consultas, incluidos ejemplos de criterios comunes, consulte Filtrar el inventario de su bucket de S3.

Solución de los problemas de cobertura para la detección de datos confidenciales automatizada

Amazon Macie informa de varios tipos de problemas que reducen la cobertura de la detección de datos confidenciales automatizada de los datos de Amazon Simple Storage Service (Amazon S3). La siguiente información puede ayudarle a investigar y solucionar estos problemas.

Tipos y detalles de los problemas

• Acceso denegado
• Error de clasificación: contenido no válido
• Error de clasificación: cifrado no válido
• Error de clasificación: clave KMS no válida
• Error de clasificación: permiso denegado
• No clasificable

sugerencia

Para investigar los errores de clasificación a nivel de objeto de un bucket de S3, comience por revisar la lista de muestras de objetos del bucket. Esta lista indica los objetos que Macie analizó o intentó analizar en el bucket, para un máximo de 100 objetos.

Para revisar la lista en la consola de Amazon Macie, elija el bucket en la página de buckets de S3 y, a continuación, elija la pestaña Muestras de objetos en el panel de detalles del bucket. Para revisar la lista mediante programación, utilice el ListResourceProfileArtifactsfuncionamiento de la API Amazon Macie. Si el estado del análisis de un objeto es Omitido (SKIPPED), es posible que el objeto haya provocado el error.

Acceso denegado

La configuración de permisos del bucket impide que Macie acceda al bucket y a los objetos del bucket. Macie no puede analizar ningún objeto de este bucket.

Detalles

La causa más común de este tipo de problemas es una política de bucket restrictiva. Una política de bucket es una política basada en recursos AWS Identity and Access Management (IAM) que especifica qué acciones puede realizar un principal (usuario, cuenta, servicio u otra entidad) en un bucket de S3 y las condiciones en las que un principal puede realizar esas acciones. Una política de bucket restrictiva utiliza instrucciones explícitas Allow o Deny restrictivas que conceden o restringen el acceso a los datos de un bucket en función de condiciones específicas. Por ejemplo, una política de bucket puede contener una instrucción Allow o Deny que deniegue el acceso a un bucket a menos que se utilicen direcciones IP de origen específicas para acceder al bucket.

Si la política de bucket de un bucket de S3 contiene una instrucción Deny explícita con una o más condiciones, es posible que a Macie no se le permita recuperar y analizar los objetos del bucket para detectar datos confidenciales. Macie solo puede proporcionar un subconjunto de información sobre el bucket, como el nombre y la fecha de creación del bucket.

Asesoramiento de corrección

Para solucionar este problema, actualice la política del bucket para el bucket de S3. Asegúrese de que la política permita a Macie acceder al bucket y a los objetos del bucket. Para permitir este acceso, añada a la política una condición para el rol vinculado al servicio de Macie (AWSServiceRoleForAmazonMacie). La condición debe impedir que el rol vinculado al servicio de Macie coincida con la restricción Deny de la política. Para ello, puede utilizar la clave de contexto de la condición global aws:PrincipalArn y el nombre de recurso de Amazon (ARN) del rol vinculado al servicio de Macie para su cuenta.

Si actualiza la política del bucket y Macie obtiene acceso al bucket de S3, Macie detectará el cambio. Cuando esto sucede, Macie actualizará las estadísticas, los datos de inventario y demás información que proporcione sobre sus datos de Amazon S3. Además, los objetos del bucket tendrán mayor prioridad para el análisis durante un ciclo de análisis posterior.

Referencia adicional

Para obtener más información sobre cómo actualizar una política de bucket de S3 para permitir que Macie acceda a un bucket, consulte Permitir a Amazon Macie el acceso a buckets y objetos de S3. Para obtener más información acerca de la asociación de políticas a buckets, consulte las políticas de bucket y de usuario y cómo Amazon S3 autoriza una solicitud en el manual del usuario de Amazon Simple Storage.

Error de clasificación: contenido no válido

Este tipo de error de clasificación se produce si Macie intenta analizar un objeto de un bucket de S3 y el objeto tiene un formato incorrecto o contiene contenido que supera la cuota de detección de datos confidenciales. Macie no puede analizar el objeto.

Detalles

Este error suele producirse porque un objeto S3 es un archivo con formato incorrecto o dañado. En consecuencia, Macie no puede analizar todos los datos del archivo.

Este error también puede producirse si el análisis de un objeto de S3 supera la cuota de detección de datos confidenciales de un archivo individual. Por ejemplo, el tamaño de almacenamiento del objeto supera la cuota de tamaño para ese tipo de archivo.

En cualquier caso, Macie no puede completar el análisis del objeto S3 y el estado del análisis del objeto es Omitido (SKIPPED).

Asesoramiento de corrección

Para investigar este error, descargue el objeto de S3 y compruebe el formato y el contenido del archivo. Evalúe también el contenido del archivo comparándolo con las cuotas de Macie para la detección de datos confidenciales.

Si no corrige este error, Macie intentará analizar otros objetos del bucket de S3. Si Macie analiza otro objeto correctamente, actualizará los datos de cobertura y demás información que proporcione sobre el bucket.

Referencia adicional

Para obtener una lista de las cuotas de detección de datos confidenciales, incluidas las cuotas para determinados tipos de archivos, consulteCuotas de Amazon Macie. Para obtener información sobre cómo Macie actualiza las puntuaciones de sensibilidad y otra información que proporciona sobre los buckets de S3, consulte Cómo funciona la detección automatizada de datos confidenciales.

Error de clasificación: cifrado no válido

Este tipo de error de clasificación se produce si Macie intenta analizar un objeto de un bucket de S3 y el objeto está cifrado con una clave proporcionada por el cliente. El objeto utiliza el cifrado SSE-C, lo que significa que Macie no puede recuperar ni analizar el objeto.

Detalles

Amazon S3 admite varias opciones de cifrado para los objetos S3. En la mayoría de estas opciones, Macie puede descifrar un objeto mediante el rol vinculado al servicio de Macie de su cuenta. Sin embargo, esto depende del tipo de cifrado utilizado.

Para que Macie pueda descifrar un objeto de S3, el objeto debe estar cifrado con una clave a la que Macie pueda acceder y que Macie pueda usar. Si un objeto está cifrado con una clave proporcionada por el cliente, Macie no puede proporcionar el material clave necesario para recuperar el objeto de Amazon S3. En consecuencia, Macie no puede analizar el objeto y el estado del análisis del objeto es Omitido (SKIPPED).

Asesoramiento de corrección

Para corregir este error, cifre los objetos S3 con claves administradas o claves AWS Key Management Service (AWS KMS) de Amazon S3. Si prefiere usar AWS KMS claves, las claves pueden ser claves de KMS AWS administradas o claves de KMS administradas por el cliente que Macie puede usar.

Para cifrar los objetos de S3 existentes con claves a las que Macie pueda acceder y utilizar, puede cambiar la configuración de cifrado de los objetos. Para cifrar objetos nuevos con claves a las que Macie pueda acceder y utilizar, cambie la configuración de cifrado predeterminada del bucket de S3. Asegúrese también de que la política del bucket no exija que los objetos nuevos se cifren con una clave proporcionada por el cliente.

Si no corrige este error, Macie intentará analizar otros objetos del bucket de S3. Si Macie analiza otro objeto correctamente, actualizará los datos de cobertura y demás información que proporcione sobre el bucket.

Referencia adicional

Para obtener información sobre los requisitos y las opciones para usar Macie para analizar objetos de S3 cifrados, consulte Análisis de objetos de Amazon S3 cifrados con Amazon Macie. Para obtener información sobre las opciones de cifrado y la configuración de los buckets de S3, consulte la protección de los datos con cifrado y la configuración del comportamiento de cifrado del servidor para los buckets de S3 predeterminado en la guía del usuario de Amazon Simple Storage Service.

Error de clasificación: clave KMS no válida

Este tipo de error de clasificación se produce si Macie intenta analizar un objeto de un bucket de S3 y el objeto se cifra con una clave AWS Key Management Service (AWS KMS) que ya no está disponible. Macie no puede recuperar y analizar el objeto.

Detalles

AWS KMS ofrece opciones para deshabilitar y eliminar las opciones gestionadas por el cliente. AWS KMS keys Si un objeto de S3 está cifrado con una clave KMS desactivada, cuya eliminación está programada o ya se ha eliminado, Macie no podrá recuperar ni descifrar el objeto. En consecuencia, Macie no puede analizar el objeto y el estado del análisis del objeto es Omitido (SKIPPED). Para que Macie pueda analizar un objeto cifrado, el objeto debe estar cifrado con una clave a la que Macie pueda acceder y que Macie pueda usar.

Asesoramiento de corrección

Para corregir este error, vuelva a activar o cancele la eliminación programada de la AWS KMS key aplicable, dependiendo del estado actual de la clave. Si la clave correspondiente ya se ha eliminado, este error no se puede corregir.

Para determinar cuál se AWS KMS key utilizó para cifrar un objeto de S3, puede empezar por utilizar Macie para revisar la configuración de cifrado del lado del servidor para el bucket de S3. Si la configuración de cifrado predeterminada del bucket está configurada para utilizar una clave KMS, los detalles del bucket indican qué clave se utiliza. A continuación, puede comprobar el estado de esa clave. Como alternativa, puede utilizar Amazon S3 para revisar la configuración de cifrado del bucket y los objetos individuales del bucket.

Si no corrige este error, Macie intentará analizar otros objetos del bucket de S3. Si Macie analiza otro objeto correctamente, actualizará los datos de cobertura y demás información que proporcione sobre el bucket.

Referencia adicional

Para obtener información sobre el uso de Macie para revisar la configuración de cifrado del lado del servidor de un bucket de S3, consulte Revisión de los detalles de los bucket de S3. Para obtener información sobre cómo volver a habilitar o cancelar la eliminación programada de un elemento AWS KMS key, consulte Habilitar y deshabilitar claves y Programar y cancelar la eliminación de claves en la Guía para desarrolladores.AWS Key Management Service

Error de clasificación: permiso denegado

Este tipo de error de clasificación se produce si Macie intenta analizar un objeto de un bucket de S3 y Macie no puede recuperarlo ni descifrarlo debido a la configuración de permisos del objeto o a la configuración de permisos de la clave que se utilizó para cifrar el objeto. Macie no puede recuperar y analizar el objeto.

Detalles

Este error suele producirse porque un objeto de S3 está cifrado con una clave AWS Key Management Service (AWS KMS) administrada por el cliente que Macie no puede utilizar. Si un objeto se cifra con una clave gestionada por el cliente AWS KMS key, la política de la clave debe permitir a Macie descifrar los datos mediante la clave.

Este error también puede producirse si la configuración de permisos de Amazon S3 impide que Macie recupere un objeto de S3. La política de bucket para el bucket de S3 puede restringir el acceso a objetos de bucket específicos o permitir que solo determinadas entidades principales (usuarios, cuentas, servicios u otras entidades) accedan a los objetos. O bien, la lista de control de acceso (ACL) de un objeto puede restringir el acceso a ese objeto. En consecuencia, es posible que a Macie no se le permita acceder al objeto.

Para cualquiera de los casos precedentes, Macie no puede recuperar y analizar el objeto y el estado del análisis del objeto es Omitido (SKIPPED).

Asesoramiento de corrección

Para corregir este error, determine si el objeto de S3 está cifrado con una AWS KMS key administrada por el cliente. Si es así, asegúrese de que la política de claves permita al rol vinculado al servicio de Macie (AWSServiceRoleForAmazonMacie) para descifrar los datos con la clave. La forma en que se permita este acceso depende de si la cuenta propietaria AWS KMS key también es propietaria del depósito de S3 que almacena el objeto. Si la misma cuenta es propietaria de la clave KMS y del bucket, el usuario de la cuenta debe actualizar la política de claves. Si una cuenta es propietaria de la clave KMS y otra cuenta es propietaria del bucket, el usuario de la cuenta propietaria de la clave debe permitir el acceso entre cuentas a la clave.

sugerencia

Puedes generar automáticamente una lista de todos los clientes gestionados a los AWS KMS keys que Macie necesita acceder para analizar los objetos de los depósitos de S3 de tu cuenta. Para ello, ejecute el script AWS KMS Permission Analyzer, que está disponible en el repositorio de Amazon Macie Scripts en. GitHub El script también puede generar un script adicional de comandos AWS Command Line Interface (AWS CLI). Si lo desea, puede ejecutar esos comandos para actualizar las políticas y los ajustes de configuración necesarios para las claves de KMS que especifique.

Si a Macie ya se le permite usar el objeto correspondiente AWS KMS key o si el objeto S3 no está cifrado con una clave KMS gestionada por el cliente, asegúrese de que la política del bucket permita a Macie acceder al objeto. Compruebe también que la ACL del objeto permite a Macie leer los datos y metadatos del objeto.

Para la política de bucket, puede permitir este acceso añadiendo una condición para el rol vinculado al servicio de Macie a la política. La condición debe impedir que el rol vinculado al servicio de Macie coincida con la restricción Deny de la política. Para ello, puede utilizar la clave de contexto de la condición global aws:PrincipalArn y el nombre de recurso de Amazon (ARN) del rol vinculado al servicio de Macie para su cuenta.

En el caso de la ACL del objeto, puedes permitir este acceso si trabajas con el propietario del objeto para que te añada Cuenta de AWS como cesionario con READ los permisos para el objeto. A continuación, Macie puede utilizar el rol vinculado al servicio de su cuenta para recuperar y analizar el objeto. Considere también la posibilidad de cambiar la configuración de propiedad del objeto para el bucket. Puede usar esta configuración para deshabilitar las ACL de todos los objetos del bucket y conceder permisos de propiedad a la cuenta propietaria del bucket.

Si no corrige este error, Macie intentará analizar otros objetos del bucket de S3. Si Macie analiza otro objeto correctamente, actualizará los datos de cobertura y demás información que proporcione sobre el bucket.

Referencia adicional

Para obtener más información sobre cómo permitir que Macie descifre datos con una AWS KMS key administrada por el cliente, consulte Permitir que Amazon Macie utilice un sistema gestionado por el cliente AWS KMS key. Para obtener información sobre cómo actualizar una política de bucket de S3 para permitir que Macie acceda a un bucket, consulte Permitir a Amazon Macie el acceso a buckets y objetos de S3.

Para obtener información sobre cómo modificar una política de claves, consulte Cambiar una política de claves en la AWS Key Management Service Guía para desarrolladores. Para obtener información sobre el uso del cifrado de objetos S3 gestionado AWS KMS keys por el cliente, consulte Uso del cifrado del lado del servidor con AWS KMS claves en la Guía del usuario de Amazon Simple Storage Service.

Para obtener más información acerca del uso de políticas de buckets para controlar el acceso a buckets de S3, consulte Uso de políticas de bucket y políticas de usuario y Cómo Amazon S3 autoriza una petición en la Guía del usuario de Amazon Simple Storage Service. Para obtener información sobre el uso de las ACL o la configuración de propiedad de los objetos para controlar el acceso a los objetos de S3, consulte Administración del acceso con las ACL y Control de la propiedad de los objetos y deshabilitación de las ACL de su bucket en la Guía del usuario de Amazon Simple Storage Service.

No clasificable

Este problema indica que todos los objetos de un bucket de S3 se almacenan utilizando clases de almacenamiento de Amazon S3 no compatibles o formatos de archivo o almacenamiento no compatibles. Macie no puede analizar ningún objeto del bucket.

Detalles

Para poder ser seleccionado y analizado, un objeto de S3 debe utilizar una clase de almacenamiento de Amazon S3 compatible con Macie. El objeto también debe tener una extensión de nombre de archivo para un archivo o formato de almacenamiento que Macie admita. Si un objeto no cumple estos criterios, se trata como un objeto no clasificable. Macie no intenta extraer ni analizar los datos en objetos no clasificables.

Si todos los objetos de un bucket de S3 son objetos no clasificables, el bucket total es un bucket no clasificable. Macie no puede realizar una detección de datos confidenciales automatizada para el bucket.

Asesoramiento de corrección

Para solucionar este problema, revise las reglas de configuración del ciclo de vida y otros ajustes que determinan qué clases de almacenamiento se utilizan para almacenar objetos en el bucket de S3. Considere la posibilidad de ajustar esa configuración para utilizar las clases de almacenamiento compatibles con Macie. También puede cambiar la clase de almacenamiento de los objetos existentes en el bucket.

Evalúa también los formatos de archivo y de almacenamiento de los objetos existentes en el bucket de S3. Para analizar los objetos, considere la posibilidad de transferir los datos, de forma temporal o permanente, a objetos nuevos que utilicen un formato compatible.

Si se añaden objetos al bucket de S3 y utilizan una clase y un formato de almacenamiento compatibles, Macie los detectará la próxima vez que evalúe el inventario del bucket. Cuando esto suceda, Macie dejará de informar de que el bucket no clasificable en las estadísticas, los datos de cobertura y otra información que proporciona sobre sus datos de Amazon S3. Además, los nuevos objetos tendrán mayor prioridad para el análisis durante un ciclo de análisis posterior.

Referencia adicional

Para obtener información sobre las clases de almacenamiento de Amazon S3 y los formatos de archivo y almacenamiento compatibles con Macie, consulteClases y formatos de almacenamiento compatibles con Amazon Macie. Para obtener información sobre las reglas de configuración del ciclo de vida y las opciones de clases de almacenamiento que ofrece Amazon S3, consulte Administración del ciclo de vida del almacenamiento y Uso de las clases de almacenamiento de Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.