Visualización del panel Descripción de los componentes del panel Descripción de las estadísticas de seguridad de los datos

Evaluación de la postura de seguridad de Amazon S3 con Amazon Macie

Para evaluar el nivel de seguridad de sus datos de Amazon Simple Storage Service (Amazon S3) y determinar qué medidas tomar, puede utilizar el panel de Resumen de la consola de Amazon Macie.

El panel de Resumen proporciona una instantánea de las estadísticas agregadas de sus datos de Amazon S3 en la Región de AWS actual. Las estadísticas incluyen datos de métricas de seguridad clave, como la cantidad de buckets a los que se puede acceder públicamente o que se comparten con otras Cuentas de AWS. El panel también muestra grupos de datos de resultados agregados de su cuenta, por ejemplo, los tipos de resultados que tuvieron el mayor número de casos durante los siete días anteriores. Si es el administrador de Macie de una organización, el panel proporciona estadísticas y datos agregados de todas las cuentas de su organización. Si lo desea, puede filtrar los datos por cuenta.

Para realizar un análisis más profundo, puede desglosar y revisar los datos de respaldo de los elementos individuales del panel de control. También puede revisar y analizar su inventario de cubos de S3 mediante la consola de Amazon Macie, o consultar y analizar los datos de inventario mediante programación mediante el DescribeBucketsfuncionamiento de la API de Amazon Macie.

Temas

Visualización del panel
Descripción de los componentes del panel
Descripción de las estadísticas de seguridad de los datos

Mostrar el panel Resumen

En la consola de Amazon Macie, el panel Resumen proporciona una instantánea de las estadísticas agregadas y los datos de resultados de sus datos de Amazon S3 en la Región de AWS actual. Si prefiere consultar las estadísticas mediante programación, puede utilizar el GetBucketStatisticsfuncionamiento de la API de Amazon Macie.

Para mostrar el panel Resumen

Abra la consola de Amazon Macie en https://console.aws.amazon.com/macie/.
En el panel de navegación, elija Resumen. Macie muestra el panel Resumen.
Para determinar cuándo fue la última vez que Macie recuperó metadatos de buckets u objetos de Amazon S3 para su cuenta, consulte el campo Última actualización en la parte superior del panel de control. Para obtener más información, consulte Actualizaciones de datos.
Para profundizar y revisar los datos de respaldo de un elemento del panel de control, selecciónelo.

Si es el administrador de Macie de una organización, el panel muestra estadísticas y datos agregados de su cuenta y de las cuentas de miembros de la organización. Para filtrar el panel y mostrar los datos solo para una cuenta determinada, especifique el ID de la cuenta en el cuadro Cuenta en la parte superior del panel.

Descripción de los componentes del panel Resumen

En el panel Resumen, las estadísticas y los datos están organizados en varias secciones. En la parte superior del panel, encontrará estadísticas agregadas que indican la cantidad de datos que almacena en Amazon S3 y la cantidad de esos datos que Amazon Macie puede analizar para detectar datos confidenciales. También puede consultar el campo Última actualización para determinar cuándo Macie recuperó por última vez los metadatos de buckets u objetos de Amazon S3 para su cuenta. Las secciones adicionales proporcionan estadísticas y datos de resultados recientes que pueden ayudarlo a evaluar la seguridad, la privacidad y la confidencialidad de sus datos de Amazon S3 en la Región de AWS actual.

Las estadísticas y los datos están organizados en las siguientes secciones:

Al revisar cada sección, si lo desea, elija un elemento para desglosar y revisar los datos de respaldo.

Almacenamiento y detección de datos confidenciales

Las estadísticas de la parte superior del panel indican cuántos datos almacena en Amazon S3 y cuántos de esos datos puede analizar Macie para detectar datos confidenciales. Por ejemplo:

En esta sección:

Total de cuentas: este campo aparece si es el administrador de Macie de una organización o si tiene una cuenta de Macie independiente. Indica el número total de Cuentas de AWS que tienen buckets en su inventario de buckets de S3. Si es administrador de Macie, este es el número total de cuentas de Macie que administra para su organización. Si tiene una cuenta Macie independiente, este valor es 1.

Total de buckets de S3: este campo aparece si su cuenta de Macie es miembro de una organización. Indica el número total de buckets de su inventario, incluidos los buckets que no contienen ningún objeto.
Almacenamiento: estas métricas proporcionan información sobre el tamaño de almacenamiento de los objetos de su inventario de buckets:
- Clasificable: el tamaño total de almacenamiento de todos los objetos que Macie puede analizar en los buckets.
- Total: el tamaño total de almacenamiento de todos los objetos de los buckets, incluidos los objetos que Macie no puede analizar.
Si alguno de los objetos son archivos comprimidos, estos valores no reflejan el tamaño real de esos archivos una vez descomprimidos. Si el control de versiones está habilitado para alguno de los buckets, estos valores se basan en el tamaño de almacenamiento de la última versión de cada objeto de esos buckets.
Objetos: estas métricas ofrecen información sobre el número de objetos en su inventario de buckets:
- Clasificable el número total de objetos que Macie puede analizar en los buckets.
- Total: el número total de objetos de los buckets, incluidos los objetos que Macie no puede analizar.

En las estadísticas anteriores, los objetos son clasificables si utilizan una clase de almacenamiento de Amazon S3 compatible y tienen una extensión de nombre de archivo para un archivo o formato de almacenamiento admitido. Puede detectar datos confidenciales en los objetos mediante Macie. Para obtener más información, consulte Clases y formatos de almacenamiento compatibles.

Tenga en cuenta que las estadísticas de Almacenamiento y Objetos no incluyen datos sobre los objetos de los buckets a los que Macie no puede acceder. Por ejemplo, los objetos de los buckets que tienen políticas de bucket restrictivas. Para identificar los buckets que son el caso, puede revisar su inventario de bucket utilizando la tabla de buckets de S3. Si el icono de advertencia ( ) aparece junto al nombre de un bucket, significa que Macie no puede acceder al bucket.

Detección automatizada y Problemas de cobertura

Si la detección automatizada de datos confidenciales está habilitada en su cuenta, estas secciones aparecen en el panel de control. Las estadísticas de estas secciones recopilan el estado y los resultados de las actividades de detección automatizada de datos confidenciales que Macie haya realizado hasta el momento para sus datos de Amazon S3. Por ejemplo:

Para obtener detalles sobre estas estadísticas, consulte Revisión de estadísticas agregadas de confidencialidad de los datos en el panel de resumen.

Seguridad de los datos

En esta sección se proporcionan estadísticas que indican los posibles riesgos de seguridad y privacidad para sus datos de Amazon S3. Por ejemplo:

Para obtener detalles sobre estas estadísticas, consulte Descripción de las estadísticas de seguridad de los datos en el panel Resumen.

Principales buckets de S3

En esta sección se enumeran los buckets de S3 que generaron la mayor cantidad de resultados de cualquier tipo durante los siete días previos, hasta un total de cinco buckets. También indica el número de resultados que Macie generó para cada bucket. Por ejemplo:

Para mostrar y, si lo desea, profundizar en todos los resultados para un bucket del período de los siete días previos, seleccione el valor en el campo Resultados totales. Para mostrar todos los resultados actuales de todos sus buckets, agrupados por bucket, seleccione Ver todos los resultados por bucket.

Esta sección está vacía si Macie no generó ningún resultado durante los siete días previos. O bien, todos los resultados que se generaron durante los siete días previos se suprimieron mediante una regla de supresión.

Tipos de resultados principales

En esta sección se enumeran los tipos de resultados que tuvieron el mayor número de casos durante los siete días previos, hasta un total de cinco tipos de resultados. También indica el número de resultados que Macie generó para cada tipo. Por ejemplo:

La sección Principales tipos de resultados del panel Resumen. La sección contiene datos de ejemplo para 5 tipos de resultados.

Para mostrar y, si lo desea, profundizar en todos los resultados de un tipo concreto de los siete días previos, seleccione el valor en el campo Resultados totales. Para mostrar todos los resultados actuales, agrupados por tipo de resultado, seleccione Ver todos los resultados por tipo.

Resultados de política

En esta sección se enumeran los resultados de política que Macie generó o actualizó más recientemente, hasta un máximo de diez resultados. Por ejemplo:

Para mostrar los detalles de un resultado en particular, selecciónelo.

Esta sección estará vacía si Macie no generó ni actualizó ningún resultado de política durante los siete días previos. O bien, todos los resultados de política que se generaron o actualizaron durante los siete días previos se suprimieron mediante una regla de supresión.

Descripción de las estadísticas de seguridad de los datos en el panel Resumen

La sección Seguridad de los datos del panel Resumen ofrece estadísticas que pueden ayudarlo a identificar e investigar posibles riesgos de seguridad y privacidad de sus datos de Amazon S3 en la Región de AWS actual. Por ejemplo, puede usar estos datos para identificar los buckets de S3 a los que se puede acceder públicamente o que se comparten con otras Cuentas de AWS.

Si su cuenta de Macie es miembro de una organización, las estadísticas de almacenamiento y detección de datos confidenciales que aparecen en la parte superior de esta sección indican cuántos datos almacena en Amazon S3 y cuántos de esos datos puede analizar Macie para detectar datos confidenciales.

Para cualquier tipo de cuenta Macie, las estadísticas adicionales se organizan en tres áreas, tal y como se muestra en la siguiente imagen.

La sección de Seguridad de los datos del panel Resumen de la consola de Amazon Macie. Cada área de la sección contiene datos de ejemplo.

Las estadísticas individuales de cada sección son las siguientes.

Public access (Acceso público)

Estas estadísticas indican cuántos buckets de S3 son o no de acceso público:

De acceso público: el número y porcentaje de buckets que permiten al público general tener acceso de lectura o escritura al bucket.
De acceso público de escritura: el número y porcentaje de buckets que permiten al público general tener acceso de escritura al bucket.
De acceso público de lectura: el número y porcentaje de buckets que permiten al público general tener acceso de lectura al bucket.
De acceso no público: el número y porcentaje de buckets que no permiten al público general tener acceso de lectura o escritura al bucket.

Para calcular cada porcentaje, Macie divide el número de buckets que correspondan entre el número total de buckets de su inventario de buckets.

Para determinar los valores de esta sección, Macie analiza una combinación de configuraciones de niveles de cuentas y de buckets para cada bucket: la configuración de bloqueo de acceso público de la cuenta, la configuración de bloqueo de acceso público del bucket, la política de buckets para ese bucket y la lista de control de acceso (ACL) del bucket. Para obtener información sobre esta configuración, consulte Administración de identidades y accesos en Amazon S3 y Bloquear el acceso público a su almacenamiento de Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.

En algunos casos, la sección Acceso público también muestra valores correspondientes a Desconocido. Si aparecen esos valores, es que Macie no ha podido evaluar la configuración de acceso público en el número y porcentaje de buckets especificados. Por ejemplo, un problema temporal o la configuración de permisos de los buckets impidieron que Macie recuperara los datos necesarios. O Macie no pudo determinar completamente si una o más instrucciones de política permitían que una entidad externa accediera a los buckets.

Cifrado

Estas estadísticas indican cuántos buckets de S3 están configurados para aplicar determinados tipos de cifrado del lado del servidor a los objetos que se añaden a los buckets:

Cifrado de forma predeterminada (SSE-S3): número y porcentaje de buckets con configuración de cifrado predeterminada para cifrar objetos nuevos con una clave administrada por Amazon S3. Para estos buckets, los objetos nuevos se cifran automáticamente mediante cifrado SSE-S3.
Cifrar de forma predeterminada (DSSE-KMS/SSE-KMS): el número y el porcentaje de depósitos cuya configuración de cifrado predeterminada está configurada para cifrar nuevos objetos con una clave, ya sea una o una administrada por el cliente. AWS KMS key Clave administrada de AWS En estos depósitos, los objetos nuevos se cifran automáticamente mediante el cifrado DSSE-KMS o SSE-KMS.

Para calcular cada porcentaje, Macie divide el número de buckets que correspondan entre el número total de buckets de su inventario de buckets.

Para determinar los valores de esta sección, Macie analiza la configuración de cifrado predeterminada de cada bucket. A partir del 5 de enero de 2023, Amazon S3 aplica el cifrado del lado del servidor con claves administradas por Amazon S3 (SSE-S3) como el nivel básico de cifrado para cada objeto añadido a un bucket. Si lo desea, puede configurar los ajustes de cifrado predeterminados de un bucket para utilizar el cifrado del lado del servidor con una AWS KMS clave (SSE-KMS) o el cifrado de doble capa del lado del servidor con una clave (DSSE-KMS). AWS KMS Para obtener información sobre las opciones y la configuración de cifrado, consulte Establecer el comportamiento del cifrado predeterminado del servidor para los bucket de Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.

En algunos casos, la sección Cifrado también muestra valores correspondientes a Desconocido. Si aparecen esos valores, es que Macie no ha podido evaluar la configuración de cifrado en el número y porcentaje de buckets especificados. Por ejemplo, un problema temporal o la configuración de permisos de los buckets impidieron que Macie recuperara los datos necesarios.

Uso compartido

Estas estadísticas indican cuántos buckets de S3 se comparten o no con otras Cuentas de AWS identidades de acceso de CloudFront origen (OAI) o controles de acceso de CloudFront origen (OAC) de Amazon:

Compartidos de forma externa: la cantidad y el porcentaje de depósitos que se comparten con una o más de las siguientes entidades o con cualquier combinación de las siguientes: una CloudFront OAI, una CloudFront OAC o una cuenta que no pertenece a la misma organización.
Compartido internamente: número y porcentaje de buckets que se comparten con una o más cuentas de la misma organización. Estos depósitos no se comparten con las OAI ni con CloudFront las OAC.
No compartidos: la cantidad y el porcentaje de grupos que no se comparten con otras cuentas, CloudFront OAI u OAC. CloudFront

Para calcular cada porcentaje, Macie divide el número de buckets que correspondan entre el número total de buckets de su inventario de buckets.

Para determinar si los buckets se comparten con otras Cuentas de AWS, Macie analiza la política del bucket y la ACL de cada bucket. Además, una organización se define como un conjunto de cuentas de Macie que se administran de forma centralizada como cuentas relacionadas mediante AWS Organizations o una invitación de Macie. Para obtener información sobre las opciones de Amazon S3 para compartir buckets, consulte Administración de identidades y accesos en Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.

nota

En algunos casos, es posible que Macie notifique erróneamente que un bucket está compartido con alguna Cuenta de AWS que no pertenece a la misma organización. Esto puede ocurrir si Macie no puede evaluar completamente la relación entre el elemento Principal de la política del bucket y determinadas claves de contexto de condiciones AWS globales o claves de condición de Amazon S3 del elemento Condition de la política. Las claves de condición aplicables son: aws:PrincipalAccount, aws:PrincipalArn, aws:PrincipalOrgID, aws:PrincipalOrgPaths, aws:PrincipalTag, aws:PrincipalType, aws:SourceAccount, aws:SourceArn, aws:userid, s3:DataAccessPointAccount y s3:DataAccessPointArn.

Para determinar si este es el caso de buckets individuales, seleccione la estadística Compartido externamente en el panel de control. En la tabla que aparece, anote el nombre de cada bucket. A continuación, utilice Amazon S3 para revisar la política de cada bucket y determinar si la configuración de acceso compartido es adecuada y segura.

Para determinar si los depósitos se comparten con las CloudFront OAI o los OAC, Macie analiza la política de los depósitos de cada grupo. Una CloudFront OAI o una OAC permiten a los usuarios acceder a los objetos de un depósito a través de una o más distribuciones específicas. CloudFront Para obtener información sobre las CloudFront OAI y las OAC, consulte Restringir el acceso a un origen de Amazon S3 en la Guía para CloudFront desarrolladores de Amazon.

En algunos casos, la sección Compartido también muestra valores correspondientes a Desconocido. Si aparecen estos valores, Macie no ha podido determinar si el número y el porcentaje de cubos especificados se comparten con otras cuentas, CloudFront OAI u OAC. CloudFront Por ejemplo, un problema temporal o la configuración de permisos de los buckets impidieron que Macie recuperara los datos necesarios. O Macie no pudo evaluar completamente las políticas de los buckets o las ACL.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Cómo supervisa Macie la seguridad de los datos de Amazon S3

Análisis de la posición de seguridad de Amazon S3