Puntuación de confidencialidad para buckets de S3 - Amazon Macie
Dimensiones y rangos de puntuaciónMonitorización de las puntuaciones

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Puntuación de confidencialidad para buckets de S3

Si la detección automática de datos confidenciales está habilitada, Amazon Macie calcula y asigna automáticamente una puntuación de sensibilidad a cada segmento de uso general de Amazon Simple Storage Service (Amazon S3) que monitorea y analiza para una cuenta u organización. Una puntuación de confidencialidad es una representación cuantitativa de la cantidad de datos confidenciales que puede contener un bucket de S3. En función de esa puntuación, Macie también asigna una etiqueta de confidencialidad a cada bucket. Una etiqueta de confidencialidad es una representación cualitativa de la puntuación de confidencialidad de un bucket. Estos valores pueden servir como puntos de referencia para determinar dónde pueden residir los datos confidenciales en su patrimonio de datos de Amazon S3 e identificar y supervisar los posibles riesgos de seguridad de esos datos.

De forma predeterminada, la puntuación de confidencialidad y la etiqueta de un bucket de S3 reflejan los resultados de las actividades automatizadas de detección de datos confidenciales que Macie ha realizado hasta ahora para ese bucket. No reflejan los resultados de los trabajos de detección de datos confidenciales que haya creado y ejecutado. Además, ni la puntuación ni la etiqueta implican ni indican de otro modo la criticidad o importancia que un bucket o los objetos de un bucket pueden tener para su organización. Puede anular la puntuación calculada de un bucket y asignar manualmente la puntuación máxima (100), con lo que también se aplica la etiqueta de confidencialidad al bucket.

Dimensiones y rangos de puntuación de confidencialidad

Si la calcula Amazon Macie, la puntuación de confidencialidad de un bucket S3 es una medida cuantitativa de la intersección de dos dimensiones principales:

  • La cantidad de datos confidenciales que Macie ha encontrado en el bucket. Esto se debe principalmente a la naturaleza y el número de tipos de datos confidenciales que Macie ha encontrado en el bucket y al número de veces que aparece cada tipo.

  • La cantidad de datos que Macie ha analizado en el bucket. Esto se debe principalmente al número de objetos únicos que Macie ha analizado en el bucket en relación con el número total de objetos únicos del bucket.

La puntuación de confidencialidad de un bucket de S3 determina qué etiqueta de confidencialidad asigna Macie al bucket. La etiqueta de confidencialidad es una representación cualitativa de la puntuación, por ejemplo: Confidencial o No confidencial. En la consola de Amazon Macie, la puntuación de confidencialidad de un bucket también determina qué color utiliza Macie para representar el bucket en las visualizaciones de datos, como se muestra en la siguiente imagen.

Un espectro de colores que muestra los tonos para las puntuaciones de sensibilidad. Tonos rojos para 51 a 100. Tonos azules para 1-49. Gris para -1.

Las puntuaciones de confidencialidad oscilan entre -1 y 100, tal y como se describe en la siguiente tabla. Para evaluar las entradas de la puntuación de un bucket de S3, puede consultar las estadísticas de detección de datos confidenciales y otros detalles que Macie proporcione sobre el bucket.

Puntuación de confidencialidad Etiqueta de confidencialidad Información adicional
-1 Clasificación de errores

Macie aún no ha analizado correctamente ninguno de los objetos del depósito debido a errores de clasificación a nivel de objeto (problemas con la configuración de los permisos, el contenido de los objetos o las cuotas) a nivel de objeto.

Cuando Macie intentó analizar uno o más objetos del bucket, se produjeron errores. Por ejemplo, un objeto es un archivo con un formato incorrecto o un objeto está cifrado con una clave a la que Macie no puede acceder o que no puede utilizar. Los datos de cobertura del bucket pueden ayudarle a investigar y corregir los errores. Para obtener más información, consulte Evaluación de cobertura de detección de datos confidenciales automatizada.

Macie seguirá intentando analizar los objetos del bucket. Si Macie analiza un objeto correctamente, actualizará la puntuación de confidencialidad y la etiqueta del bucket para reflejar los resultados del análisis.
1-49 No confidencial

En este rango, una puntuación más alta, como 49, indica que Macie ha analizado relativamente pocos objetos del bucket. Una puntuación más baja, como 1, indica que Macie ha analizado muchos objetos del bucket (en relación con el número total de objetos del bucket) y ha detectado relativamente pocos tipos y casos de datos confidenciales en esos objetos.

Una puntuación de 1 también puede indicar que el depósito no almacena ningún objeto o que todos los objetos del depósito contienen cero (0) bytes de datos. Las estadísticas de los objetos incluidas en los detalles del bucket pueden ayudarle a determinar si este es el caso. Para obtener más información, consulte Revisión de los detalles del bucket de S3.
50 Aún no se ha analizado

Macie aún no ha intentado analizar ni analizado ninguno de los objetos del bucket.

Macie asigna automáticamente esta puntuación cuando se activa inicialmente la detección automática o cuando se añade un depósito al inventario de depósitos de una cuenta. En una organización, un depósito también puede tener esta puntuación si la detección automática nunca se ha activado para la cuenta propietaria del depósito.

Una puntuación de 50 también puede indicar que la configuración de permisos del bucket impide que Macie acceda al bucket o a los objetos del bucket. Por lo general, esto se debe a una política de bucket restrictiva. Los detalles del bucket pueden ayudarle a determinar si este es el caso, ya que Macie solo puede proporcionar un subconjunto de información sobre el bucket. Para obtener información acerca de cómo resolver este problema, consulte Permitir a Macie el acceso a buckets y objetos de S3.
51-99 Confidencial

En este rango, una puntuación más alta, como 99, indica que Macie ha analizado muchos objetos del bucket (en relación con el número total de objetos del bucket) y ha detectado muchos tipos y apariciones de datos confidenciales en esos objetos. Una puntuación más baja, como 51, indica que Macie ha analizado un número moderado de objetos del bucket (en relación con el número total de objetos del bucket) y ha detectado al menos algunos tipos y apariciones de datos confidenciales en esos objetos.
100 Confidencial

La puntuación se asignó manualmente al bucket y prevaleció sobre la puntuación calculada. Macie no asigna esta puntuación a los buckets.

Monitorización de las puntuaciones de confidencialidad

Cuando la detección automática de datos confidenciales está habilitada inicialmente para una cuenta, Amazon Macie asigna automáticamente una puntuación de sensibilidad de 50 a cada depósito de S3 que posea la cuenta. Macie también asigna esta puntuación a un grupo cuando el grupo se añade al inventario de cubos de una cuenta. En función de esa puntuación, la etiqueta de confidencialidad de cada bucket es Aún no se ha analizado. La excepción es un depósito vacío, que es un depósito que no almacena ningún objeto o que todos los objetos del depósito contienen cero (0) bytes de datos. Si este es el caso de un bucket, Macie le asigna una puntuación de 1 al bucket y le asigna la etiqueta No confidencial.

A medida que la detección automática de datos confidenciales avanza día a día, Macie actualiza las puntuaciones y etiquetas de sensibilidad de los cubos S3 para reflejar los resultados de su análisis. Por ejemplo:

  • Si Macie no encuentra datos confidenciales en un objeto, reduce la puntuación de confidencialidad del bucket y actualiza la etiqueta de confidencialidad del bucket según sea necesario.

  • Si Macie encuentra datos confidenciales en un objeto, aumenta la puntuación de confidencialidad del bucket y actualiza la etiqueta de confidencialidad del bucket según sea necesario.

  • Si Macie encuentra datos confidenciales en un objeto que se ha modificado posteriormente, elimina las detecciones de datos confidenciales del objeto de la puntuación de confidencialidad del bucket y actualiza la etiqueta de confidencialidad del bucket según sea necesario.

  • Si Macie encuentra datos confidenciales en un objeto y los elimina posteriormente, elimina las detecciones de datos confidenciales del objeto de la puntuación de confidencialidad del bucket y actualiza la etiqueta de confidencialidad del bucket según sea necesario.

  • Si se añade un objeto a un bucket que antes estaba vacío y Macie encuentra datos confidenciales en el objeto, Macie aumenta la puntuación de sensibilidad del bucket y actualiza la etiqueta de confidencialidad del bucket según sea necesario.

  • Si la configuración de permisos de un bucket impide a Macie recuperar información sobre el bucket o los objetos del bucket o acceder a ellos, Macie cambia la puntuación de confidencialidad del depósito a 50 y cambia la etiqueta de confidencialidad del bucket a Aún no se ha analizado.

Los resultados del análisis pueden empezar a aparecer en un plazo de 48 horas a partir de la activación de la detección automática de datos confidenciales para una cuenta.

Si es el administrador de Macie de una organización o tiene una cuenta de Macie independiente, puede ajustar la configuración de la puntuación de sensibilidad de su organización o cuenta:

  • Para ajustar la configuración para los análisis posteriores de todos los segmentos de S3, cambie la configuración de detección automática de datos confidenciales de su cuenta. Puede empezar a incluir o excluir identificadores de datos gestionados específicos, identificadores de datos personalizados o listas de permitidos. También puedes excluir grupos específicos. Para obtener más información, consulte Configuración de la detección automática.

  • Para ajustar la configuración de los depósitos de S3 individuales, cambie la configuración de detección automática de datos confidenciales de cada depósito. Puedes incluir o excluir tipos específicos de datos confidenciales de la puntuación de un segmento. También puede especificar si desea asignar una puntuación calculada automáticamente a un grupo. Para obtener más información, consulte Gestión de la detección automatizada de buckets de S3 individuales.

Si desactiva la detección automática de datos confidenciales, el efecto en las puntuaciones y etiquetas de sensibilidad existentes varía. Si la inhabilitas para una cuenta de miembro de una organización, las puntuaciones y etiquetas existentes se mantendrán para los grupos de S3 que sean propiedad de la cuenta. Si lo inhabilitas para una organización en general o para una cuenta independiente de Macie, las partituras y etiquetas existentes solo se conservarán durante 30 días. Transcurridos 30 días, Macie restablece las puntuaciones y las etiquetas de todos los grupos que son propiedad de la organización o la cuenta. Si un depósito almacena objetos, Macie cambia la puntuación a 50 y le asigna la etiqueta Aún no se ha analizado. Si un cubo está vacío, Macie cambia la puntuación a 1 y asigna la etiqueta No sensible al cubo. Tras este restablecimiento, Macie deja de actualizar las puntuaciones de sensibilidad y las etiquetas de los cubos, a menos que vuelvas a activar la detección automática de datos confidenciales para la organización o la cuenta.