Tipos de resultados de Amazon Macie - Amazon Macie

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Tipos de resultados de Amazon Macie

Amazon Macie ofrece dos categorías de resultados: resultados de políticas y datos confidenciales. Un resultado de política es un informe detallado de una posible infracción de política o problema con la seguridad o privacidad de un bucket de Amazon Simple Storage Service (Amazon S3). Macie genera resultados de políticas como parte de sus actividades continuas para evaluar y supervisar sus buckets de S3 para garantizar la seguridad y el control de acceso. Un resultado de datos confidenciales es un informe detallado de los datos confidenciales que Macie encontró en un objeto de S3. Macie recopila datos confidenciales como parte de las actividades que lleva a cabo cuando usted realiza tareas de detección de datos confidenciales o cuando descubre datos confidenciales de forma automática para su cuenta.

Dentro de cada categoría, hay tipos específicos. El tipo de resultado proporciona información sobre la naturaleza del problema o de los datos confidenciales encontrados por Macie. Los detalles de un resultado proporcionan una clasificación de gravedad, información sobre el recurso afectado y detalles adicionales, como cuándo y cómo Macie detectó el problema o los datos confidenciales. La gravedad y los detalles de cada resultado varían según el tipo y la naturaleza del resultado.

sugerencia

Para obtener información sobre los distintos tipos de resultados que proporciona Macie, puede generar ejemplos de resultados. Los resultados de los ejemplos utilizan datos de ejemplo y valores de marcador de posición para demostrar los tipos de información que puede contener cada tipo de resultado.

Tipos de resultados de políticas

Amazon Macie crea un resultado de políticas cuando las políticas o la configuración de un bucket de S3 se modifican de forma que se reduce la seguridad o la privacidad del bucket y de sus objetos. Para obtener más información sobre cómo Macie detecta estos cambios, consulte Cómo supervisa Macie la seguridad de los datos de Amazon S3.

Macie genera un resultado de políticas solo si el cambio se produce después de activar Macie para su Cuenta de AWS. Por ejemplo, si la configuración de bloqueo de acceso público está deshabilitada para un bucket de S3 después de activar Macie, Macie generará una búsqueda BlockPublicAccessDisabledPolicy:iamUser/S3 para el bucket. Sin embargo, si la configuración de bloquear el acceso público estaba deshabilitada en un bucket cuando activaste Macie y sigue estando deshabilitada, Macie no generará ninguna búsqueda Polic:iamUser/S3 para el bucket. BlockPublicAccessDisabled

Si Macie detecta una ocurrencia posterior a un resultado de política existente, Macie actualiza el resultado existente añadiendo detalles sobre la ocurrencia posterior e incrementando el recuento de ocurrencias. Macie guarda los resultados de políticas durante 90 días.

Macie puede generar los siguientes tipos de resultados de políticas para un bucket de S3.

Policy:IAMUser/S3BlockPublicAccessDisabled

Todas las configuraciones de acceso público en bloque a nivel de bucket para el bucket. El acceso al bucket se controla mediante la configuración de bloqueo de acceso público de la cuenta, las listas de control de acceso (ACL) y la política del bucket.

Para obtener más información sobre la configuración del bloqueo de acceso público de los buckets de S3, consulte Configuración de los ajustes de bloqueo de acceso público para sus buckets de S3 en la Guía del usuario de Amazon Simple Storage Service.

Policy:IAMUser/S3BucketEncryptionDisabled

La configuración de cifrado predeterminada del bucket se restableció al comportamiento de cifrado predeterminado de Amazon S3, que consiste en cifrar los nuevos objetos automáticamente con una clave gestionada por Amazon S3.

A partir del 5 de enero de 2023, Amazon S3 aplica el cifrado del lado del servidor con claves administradas por Amazon S3 (SSE-S3) como el nivel básico de cifrado para cada objeto añadido a un bucket. Si lo desea, puede configurar los ajustes de cifrado predeterminados de un bucket para utilizar el cifrado del lado del servidor con una clave (SSE-KMS) o el cifrado de doble capa del lado del servidor con una AWS KMS clave (DSSE-KMS). AWS KMS Para obtener información sobre las opciones y la configuración de cifrado para buckets de S3, consulte Establecer el comportamiento del cifrado predeterminado del servidor para los bucket de Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.

Si Macie generó este tipo de resultado antes del 5 de enero de 2023, el resultado indica que la configuración de cifrado predeterminada estaba deshabilitada para el bucket afectado. Esto significaba que la configuración del bucket no especificaba el comportamiento de cifrado predeterminado del lado del servidor para los objetos nuevos. Amazon S3 ya no admite la capacidad de deshabilitar la configuración de cifrado predeterminada de un bucket.

Policy:IAMUser/S3BucketPublic

Se modificó la política de ACL o bucket del bucket para permitir el acceso de usuarios anónimos o de todas las identidades (IAM) de AWS Identity and Access Management autenticadas.

Para obtener información sobre las políticas de ACL y políticas de buckets, consulte Administración de identidades y accesos en Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.

Policy:IAMUser/S3BucketReplicatedExternally

La replicación se habilitó y configuró para replicar los objetos del bucket en una Cuenta de AWS externa a su organización (no parte de ella). Una organización es un conjunto de cuentas de Macie que se administran de forma centralizada como relacionadas mediante AWS Organizations o una invitación de Macie.

En determinadas condiciones, Macie podría generar este tipo de resultados para un bucket que no esté configurado para replicar objetos en un bucket externo. Cuenta de AWS Esto puede ocurrir si el bucket de destino se creó en una Región de AWS diferente durante las 24 horas anteriores, después de que Macie recuperara los metadatos del bucket y del objeto de Amazon S3 como parte del ciclo de actualización diario. Para investigar el resultado, comience por actualizar los datos de su inventario. A continuación, revise los detalles del bucket. Los detalles indican si el bucket está configurado para replicar objetos en otros buckets. Si el bucket está configurado para ello, los detalles incluyen el ID de cuenta de cada cuenta propietaria de un bucket de destino.

Para obtener información acerca de las configuraciones de replicar de los buckets de S3, consulte Replicación de objetos en la Guía del usuario de Amazon Simple Storage Service.

Policy:IAMUser/S3BucketSharedExternally

Se modificó una política de ACL o bucket para el bucket para permitir que este se comparta con una Cuenta de AWS externa a su organización (que no forma parte de ella). Una organización es un conjunto de cuentas de Macie que se administran de forma centralizada como relacionadas mediante AWS Organizations o una invitación de Macie.

En algunos casos, Macie podría generar este tipo de resultado para un bucket que no se comparta con una cuenta de AWS externa. Esto puede ocurrir si Macie no puede evaluar completamente la relación entre el elemento Principal de la política del bucket y determinadas claves de contexto de condiciones AWS globales o claves de condición de Amazon S3 del elemento Condition de la política. Las claves de condición aplicables son: aws:PrincipalAccount, aws:PrincipalArn, aws:PrincipalOrgID, aws:PrincipalOrgPaths, aws:PrincipalTag, aws:PrincipalType, aws:SourceAccount, aws:SourceArn, aws:userid, s3:DataAccessPointAccount y s3:DataAccessPointArn. Le recomendamos que revise la política del bucket para determinar si este acceso está previsto y es seguro.

Para obtener información sobre las políticas de ACL y políticas de buckets, consulte Administración de identidades y accesos en Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.

Policy:IAMUser/S3BucketSharedWithCloudFront

La política del depósito se modificó para permitir que el depósito se comparta con una identidad de acceso al CloudFront origen (OAI) de Amazon, un control de acceso al CloudFront origen (OAC) o con una CloudFront OAI y una OAC a la vez. CloudFront Una CloudFront OAI o una OAC permiten a los usuarios acceder a los objetos de un bucket a través de una o más distribuciones específicas. CloudFront

Para obtener más información sobre las CloudFront OAI y las OAC, consulte Restringir el acceso a un origen de Amazon S3 en la Guía para CloudFrontdesarrolladores de Amazon.

nota

En algunos casos, Macie genera una búsqueda Policy:iamUser/S3 en lugar de una BucketSharedExternally búsqueda Policy:iamUser/S3 para un bucket. BucketSharedWithCloudFront Estos casos son:

  • El depósito se comparte con una entidad externa a tu organización, además de con una OAI o una Cuenta de AWS OAC. CloudFront

  • La política del bucket especifica un ID de usuario canónico, en lugar del nombre de recurso de Amazon (ARN), de una OAI. CloudFront

Esto produce un resultado de política de mayor gravedad para el bucket.

Tipos de resultado de datos confidenciales

Macie genera un resultado de datos confidenciales cuando detecta datos confidenciales en un objeto de S3 que analiza para detectar datos confidenciales. Esto incluye el análisis que Macie realiza cuando se ejecuta un trabajo de detección de datos confidenciales y cuando realiza una detección automatizada de datos confidenciales.

Por ejemplo, si creas y ejecutas un trabajo de descubrimiento de datos confidenciales y Macie detecta números de cuentas bancarias en un objeto S3, Macie genera un resultado financiero o un objeto S3Object para el objeto. SensitiveData Del mismo modo, si Macie detecta números de cuentas bancarias en un objeto de S3 y los analiza durante un ciclo automatizado de descubrimiento de datos confidenciales, Macie genera un resultado de tipo :S3Object/Financial para el objeto. SensitiveData

Si Macie detecta datos confidenciales en el mismo objeto de S3 durante una ejecución posterior de un trabajo o un ciclo de detección automatizado de datos confidenciales, Macie genera un nuevo resultado de d atos confidenciales para el objeto. Los resultados de datos confidenciales, a diferencia de los resultados de políticas, se tratan todos como nuevos (únicos). Macie almacena los resultados de datos confidenciales durante 90 días.

Macie puede generar los siguientes tipos de resultados de datos confidenciales para un objeto de S3.

SensitiveData:S3Object/Credentials

El objeto contiene datos confidenciales de credenciales, como AWSclaves de acceso secretas o claves privadas.

SensitiveData:S3Object/CustomIdentifier

El objeto contiene texto que coincide con los criterios de detección de uno o más identificadores de datos personalizados. El objeto puede contener más de un tipo de datos confidenciales.

SensitiveData:S3Object/Financial

El objeto contiene información financiera confidencial, como números de cuentas bancarias o números de tarjetas de crédito.

SensitiveData:S3Object/Multiple

El objeto contiene más de una categoría de datos confidenciales: cualquier combinación de datos de credenciales, información financiera, información personal o texto que coincida con los criterios de detección de uno o más identificadores de datos personalizados.

SensitiveData:S3Object/Personal

El objeto contiene información personal confidencial: información de identificación personal (PII), como números de pasaporte o números de identificación del carné de conducir, información de salud personal (PHI), como números de seguro médico o de identificación médica, o una combinación de PII y PHI.

Para obtener información acerca de los tipos de datos confidenciales que Macie puede detectar mediante técnicas y criterios integrados, consulteUso de identificadores de datos administrados. Para obtener información sobre los tipos de objetos S3 que Macie puede analizar, consulte Clases y formatos de almacenamiento compatibles.