Évaluation de la couverture de la découverte automatique des données sensibles - Amazon Macie
Révision des données de couvertureCorriger les problèmes de couverture

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Évaluation de la couverture de la découverte automatique des données sensibles

Au fur et à mesure que la découverte automatique des données sensibles progresse pour votre compte ou votre organisation, Amazon Macie fournit des statistiques et des informations pour vous aider à évaluer et à surveiller sa couverture de votre parc de données Amazon Simple Storage Service (Amazon S3). Grâce à ces données, vous pouvez vérifier l'état de la découverte automatique des données sensibles pour l'ensemble de votre parc de données et pour les compartiments S3 individuels de votre inventaire de compartiments. Vous pouvez également identifier les problèmes qui empêchaient Macie d'analyser des objets dans des compartiments spécifiques. Si vous corrigez les problèmes, vous pouvez augmenter la couverture de vos données Amazon S3 lors des cycles d'analyse suivants.

Les données de couverture fournissent un aperçu de l'état actuel de la découverte automatique de données sensibles pour vos compartiments à usage général S3 à l'heure actuelle Région AWS. Si vous êtes l'administrateur Macie d'une organisation, cela inclut les compartiments que possèdent vos comptes membres. Pour chaque compartiment, les données indiquent si des problèmes sont survenus lorsque Macie a tenté d'analyser les objets du compartiment. Si des problèmes sont survenus, les données indiquent la nature de chaque problème et, dans certains cas, le nombre d'incidents. Les données sont mises à jour au fur et à mesure que la découverte automatique des données sensibles progresse chaque jour. Si Macie analyse ou tente d'analyser un ou plusieurs objets d'un compartiment au cours d'un cycle d'analyse quotidien, Macie met à jour la couverture et les autres données pour refléter les résultats.

Pour certains types de problèmes, vous pouvez consulter les données agrégées pour tous vos compartiments S3 à usage général et éventuellement effectuer une analyse détaillée pour obtenir des informations supplémentaires sur chaque compartiment. Par exemple, les données de couverture peuvent vous aider à identifier rapidement tous les compartiments auxquels Macie n'est pas autorisée à accéder pour votre compte. Les données de couverture signalent également les problèmes survenus au niveau de l'objet. Ces problèmes, appelés erreurs de classification, empêchaient Macie d'analyser des objets spécifiques dans un compartiment. Par exemple, vous pouvez déterminer le nombre d'objets que Macie n'a pas pu analyser dans un compartiment parce que les objets sont chiffrés avec une clé AWS Key Management Service (AWS KMS) qui n'est plus disponible.

Si vous utilisez la console Amazon Macie pour consulter les données de couverture, votre consultation des données inclut des conseils pour résoudre chaque type de problème. Les rubriques suivantes de cette section fournissent également des conseils de correction pour chaque type.

Examen des données de couverture relatives à la découverte automatique des données sensibles

Pour examiner et évaluer la couverture de la découverte automatique des données sensibles, vous pouvez utiliser la console Amazon Macie ou l'API Amazon Macie. La console et l'API fournissent des données qui indiquent l'état actuel des analyses pour vos compartiments à usage général Amazon Simple Storage Service (Amazon S3) dans le contexte actuel. Région AWS Les données incluent des informations sur les problèmes qui créent des lacunes dans les analyses :

  • Des compartiments auxquels Macie n'est pas autorisé à accéder. Macie ne peut analyser aucun objet dans ces compartiments car les paramètres d'autorisation des compartiments empêchent Macie d'accéder aux compartiments et aux objets des compartiments.

  • Des compartiments qui ne stockent aucun objet classifiable. Macie ne peut analyser aucun objet dans ces compartiments, car tous les objets utilisent des classes de stockage Amazon S3 non prises en charge par Macie, ou ils ont des extensions de nom de fichier pour des formats de fichier ou de stockage non pris en charge par Macie.

  • Des compartiments que Macie n'a pas encore pu analyser en raison d'erreurs de classification au niveau des objets. Macie a tenté d'analyser un ou plusieurs objets contenus dans ces compartiments. Cependant, Macie n'a pas pu analyser les objets en raison de problèmes liés aux paramètres des autorisations au niveau des objets, au contenu des objets ou aux quotas.

Les données de couverture sont mises à jour au fur et à mesure que la découverte automatique des données sensibles progresse chaque jour. Si vous êtes l'administrateur Macie d'une organisation, les données incluent des informations relatives aux compartiments S3 que possèdent vos comptes membres.

Note

Les données de couverture n'incluent pas explicitement les résultats des tâches de découverte de données sensibles que vous avez créées et exécutées. Cependant, la résolution des problèmes de couverture qui affectent vos résultats de découverte automatique de données sensibles est également susceptible d'augmenter la couverture par les tâches de découverte de données sensibles que vous exécutez ultérieurement. Pour évaluer la couverture d'un emploi, examinez les statistiques et les résultats du poste. Si les événements enregistrés dans le journal d'une tâche ou d'autres résultats indiquent des problèmes de couverture, les conseils de correction présentés plus loin dans cette section peuvent vous aider à résoudre certains de ces problèmes.

Pour examiner les données de couverture relatives à la découverte automatique des données sensibles

Vous pouvez utiliser la console Amazon Macie ou l'API Amazon Macie pour consulter les données de couverture de votre compte ou de votre organisation. Sur la console, une seule page fournit une vue unifiée des données de couverture pour tous vos compartiments S3 à usage général, y compris un récapitulatif des problèmes récemment survenus pour chaque compartiment. La page propose également des options permettant de consulter des groupes de données par type de problème. Pour suivre votre enquête sur les problèmes liés à des compartiments spécifiques, vous pouvez exporter les données de la page vers un fichier CSV (valeurs séparées par des virgules).

Console

Suivez ces étapes pour consulter les données de couverture relatives à la découverte automatique de données sensibles à l'aide de la console Amazon Macie.

Pour consulter les données de couverture

  1. Ouvrez la console Amazon Macie à l'adresse https://console.aws.amazon.com/macie/.

  2. Dans le volet de navigation, choisissez Resource coverage.

  3. Sur la page Couverture des ressources, choisissez l'onglet correspondant au type de données de couverture que vous souhaitez consulter :

    • Tout — Répertorie tous les compartiments que Macie surveille et analyse pour votre compte.

      Pour chaque compartiment, le champ Problèmes indique si des problèmes ont empêché Macie d'analyser les objets du compartiment. Si la valeur de ce champ est None, Macie a analysé au moins un des objets du compartiment ou Macie n'a encore tenté d'analyser aucun des objets du compartiment. S'il y a des problèmes, ce champ indique la nature des problèmes et la manière de les résoudre. Pour les erreurs de classification au niveau de l'objet, il peut également indiquer (entre parenthèses) le nombre d'occurrences de l'erreur.

    • Accès refusé — Répertorie les compartiments auxquels Macie n'est pas autorisé à accéder. Les paramètres d'autorisation pour ces compartiments empêchent Macie d'accéder aux compartiments et aux objets des compartiments. Par conséquent, Macie ne peut analyser aucun objet dans ces compartiments.

    • Erreur de classification : répertorie les compartiments que Macie n'a pas encore analysés en raison d'erreurs de classification au niveau des objets (problèmes liés aux paramètres des autorisations au niveau des objets, au contenu des objets ou aux quotas).

      Pour chaque compartiment, le champ Problèmes indique la nature de chaque type d'erreur qui s'est produit et a empêché Macie d'analyser un objet dans le compartiment. Il indique également comment corriger chaque type d'erreur. En fonction de l'erreur, il peut également indiquer (entre parenthèses) le nombre d'occurrences de l'erreur.

    • Inclassable : répertorie les compartiments que Macie ne peut pas analyser car ils ne contiennent aucun objet classable. Tous les objets de ces compartiments utilisent des classes de stockage Amazon S3 non prises en charge ou possèdent des extensions de nom de fichier pour des formats de fichier ou de stockage non pris en charge. Par conséquent, Macie ne peut analyser aucun objet dans ces compartiments.

  4. Pour effectuer une analyse détaillée et consulter les données de support d'un bucket, choisissez le nom du bucket. Reportez-vous ensuite au panneau des détails du compartiment pour obtenir des statistiques et d'autres informations sur le compartiment.

  5. Pour exporter le tableau vers un fichier CSV, choisissez Exporter au format CSV en haut de la page. Le fichier CSV obtenu contient un sous-ensemble de métadonnées pour chaque compartiment du tableau, pour un maximum de 50 000 compartiments. Le fichier inclut un champ Problèmes de couverture. La valeur de ce champ indique si des problèmes ont empêché Macie d'analyser les objets du compartiment et, dans l'affirmative, la nature des problèmes.

API

Pour examiner les données de couverture par programmation, spécifiez des critères de filtre dans les requêtes que vous soumettez à l'aide DescribeBucketsde l'API Amazon Macie. Cette opération renvoie un tableau d'objets. Chaque objet contient des données statistiques et d'autres informations sur un compartiment S3 à usage général répondant aux critères du filtre.

Dans les critères de filtre, incluez une condition pour le type de données de couverture que vous souhaitez examiner :

  • Pour identifier les compartiments auxquels Macie n'est pas autorisé à accéder en raison des paramètres d'autorisation des compartiments, incluez une condition selon laquelle la valeur du champ est égale à. errorCode ACCESS_DENIED

  • Pour identifier les compartiments auxquels Macie est autorisé à accéder et qu'il n'a pas encore analysés, incluez les conditions dans lesquelles la valeur du sensitivityScore champ est égale 50 et la valeur du errorCode champ n'est pas égale. ACCESS_DENIED

  • Pour identifier les compartiments que Macie ne peut pas analyser parce que tous leurs objets utilisent des classes ou des formats de stockage non pris en charge, incluez les conditions dans lesquelles la valeur du classifiableSizeInBytes champ est égale 0 et la valeur du champ est supérieure à. sizeInBytes 0

  • Pour identifier les compartiments pour lesquels Macie a analysé au moins un objet, incluez les conditions dans lesquelles la valeur du sensitivityScore champ se situe entre 1 et 99 mais n'est pas égale à. 50 Pour inclure également les compartiments dans lesquels vous avez attribué manuellement le score maximum, la plage doit être comprise entre 1 et 100.

  • Pour identifier les compartiments que Macie n'a pas encore analysés en raison d'erreurs de classification au niveau des objets, incluez une condition selon laquelle la valeur du champ est égale à. sensitivityScore -1 Pour ensuite passer en revue le détail des types et du nombre d'erreurs survenues pour un compartiment donné, utilisez l'GetResourceProfileopération.

Si vous utilisez le AWS Command Line Interface (AWS CLI), spécifiez les critères de filtre dans les requêtes que vous soumettez en exécutant la commande describe-buckets. Pour consulter le détail des types et du nombre d'erreurs survenues pour un compartiment S3 donné, le cas échéant, exécutez la get-resource-profilecommande.

Par exemple, les AWS CLI commandes suivantes utilisent des critères de filtre pour récupérer les détails de tous les compartiments S3 auxquels Macie n'est pas autorisé à accéder en raison des paramètres d'autorisation des compartiments.

Cet exemple est formaté pour Linux, macOS ou Unix :

$ aws macie2 describe-buckets --criteria '{"errorCode":{"eq":["ACCESS_DENIED"]}}'

Cet exemple est formaté pour Microsoft Windows :

C:\> aws macie2 describe-buckets --criteria={\"errorCode\":{\"eq\":[\"ACCESS_DENIED\"]}}

Si votre demande aboutit, Macie renvoie un buckets tableau. Le tableau contient un objet pour chaque compartiment S3 présent dans le compartiment actuel Région AWS et répondant aux critères du filtre.

Si aucun compartiment S3 ne correspond aux critères du filtre, Macie renvoie un tableau vide. buckets

{
    "buckets": []
}

Pour plus d'informations sur la spécification de critères de filtre dans les requêtes, notamment des exemples de critères courants, consultezFiltrer l'inventaire de votre compartiment S3.

Résolution des problèmes de couverture pour la découverte automatique des données sensibles

Amazon Macie signale plusieurs types de problèmes qui réduisent la couverture de vos données Amazon Simple Storage Service (Amazon S3) par la découverte automatique des données sensibles. Les informations suivantes peuvent vous aider à étudier et à résoudre ces problèmes.

Astuce

Pour étudier les erreurs de classification au niveau des objets pour un compartiment S3, commencez par consulter la liste des exemples d'objets pour le compartiment. Cette liste indique les objets que Macie a analysés ou a tenté d'analyser dans le compartiment, pour un maximum de 100 objets.

Pour consulter la liste sur la console Amazon Macie, choisissez le compartiment sur la page des compartiments S3, puis choisissez l'onglet Exemples d'objets dans le panneau des détails du compartiment. Pour consulter la liste par programmation, utilisez l'ListResourceProfileArtifactsAPI Amazon Macie. Si le statut de l'analyse d'un objet est ignoré (SKIPPED), l'objet est peut-être à l'origine de l'erreur.

Accès refusé

Ce problème indique que les paramètres d'autorisation d'un compartiment S3 empêchent Macie d'accéder au compartiment et aux objets du compartiment. Macie ne peut récupérer ni analyser aucun objet dans le compartiment.

Détails

La cause la plus courante de ce type de problème est une politique de compartiment restrictive. Une politique de compartiment est une politique basée sur les ressources AWS Identity and Access Management (IAM) qui spécifie les actions qu'un principal (utilisateur, compte, service ou autre entité) peut effectuer sur un compartiment S3, ainsi que les conditions dans lesquelles un principal peut effectuer ces actions. Une politique de compartiment restrictive utilise des Deny déclarations explicites Allow ou des instructions qui accordent ou limitent l'accès aux données d'un compartiment en fonction de conditions spécifiques. Par exemple, une politique de compartiment peut contenir une Deny instruction Allow or qui refuse l'accès à un compartiment à moins que des adresses IP source spécifiques ne soient utilisées pour accéder au compartiment.

Si la politique de compartiment d'un compartiment S3 contient une Deny déclaration explicite avec une ou plusieurs conditions, Macie ne sera peut-être pas autorisée à récupérer et à analyser les objets du compartiment pour détecter des données sensibles. Macie ne peut fournir qu'un sous-ensemble d'informations sur le bucket, telles que son nom et sa date de création.

Conseils de remédiation

Pour résoudre ce problème, mettez à jour la politique de compartiment pour le compartiment S3. Assurez-vous que la politique autorise Macie à accéder au compartiment et aux objets du compartiment. Pour autoriser cet accès, ajoutez une condition pour le rôle lié au service Macie (AWSServiceRoleForAmazonMacie) à la politique. La condition doit empêcher le rôle lié au service Macie de correspondre à la Deny restriction de la politique. Il peut le faire en utilisant la clé de contexte de condition aws:PrincipalArn globale et le nom de ressource Amazon (ARN) du rôle lié au service Macie pour votre compte.

Si vous mettez à jour la politique du compartiment et que Macie accède au compartiment S3, Macie détectera le changement. Lorsque cela se produit, Macie met à jour les statistiques, les données d'inventaire et les autres informations qu'il fournit sur vos données Amazon S3. En outre, les objets du compartiment seront analysés en priorité lors d'un cycle d'analyse ultérieur.

Référence supplémentaire

Pour plus d'informations sur la mise à jour d'une politique de compartiment S3 afin de permettre à Macie d'accéder à un compartiment, consultezAutoriser Amazon Macie à accéder aux compartiments et aux objets S3. Pour plus d'informations sur l'utilisation des politiques relatives aux compartiments pour contrôler l'accès aux compartiments, consultez les sections Politiques relatives aux compartiments et politiques utilisateur et Comment Amazon S3 autorise une demande dans le guide de l'utilisateur d'Amazon Simple Storage Service.

Erreur de classification : contenu non valide

Ce type d'erreur de classification se produit si Macie tente d'analyser un objet dans un compartiment S3 et que l'objet est mal formé ou que le contenu de l'objet dépasse le quota de découverte de données sensibles. Macie ne peut pas analyser l'objet.

Détails

Cette erreur se produit généralement parce qu'un objet S3 est un fichier mal formé ou endommagé. Par conséquent, Macie ne peut pas analyser et analyser toutes les données du fichier.

Cette erreur peut également se produire si l'analyse d'un objet S3 dépasse le quota de découverte de données sensibles pour un fichier individuel. Par exemple, la taille de stockage de l'objet dépasse le quota de taille pour ce type de fichier.

Dans les deux cas, Macie ne peut pas terminer son analyse de l'objet S3 et le statut de l'analyse de l'objet est ignoré ()SKIPPED.

Conseils de remédiation

Pour examiner cette erreur, téléchargez l'objet S3 et vérifiez le formatage et le contenu du fichier. Évaluez également le contenu du fichier par rapport aux quotas Macie pour la découverte de données sensibles.

Si vous ne corrigez pas cette erreur, Macie essaiera d'analyser les autres objets du compartiment S3. Si Macie analyse un autre objet avec succès, Macie mettra à jour les données de couverture et les autres informations fournies sur le compartiment.

Référence supplémentaire

Pour obtenir la liste des quotas de découverte de données sensibles, y compris les quotas pour certains types de fichiers, consultezQuotas Amazon Macie. Pour plus d'informations sur la façon dont Macie met à jour les scores de sensibilité et les autres informations qu'il fournit sur les compartiments S3, consultez. Comment fonctionne la découverte automatique des données sensibles

Erreur de classification : chiffrement non valide

Ce type d'erreur de classification se produit si Macie tente d'analyser un objet dans un compartiment S3 et que l'objet est chiffré à l'aide d'une clé fournie par le client. L'objet utilise le chiffrement SSE-C, ce qui signifie que Macie ne peut ni récupérer ni analyser l'objet.

Détails

Amazon S3 prend en charge plusieurs options de chiffrement pour les objets S3. Pour la plupart de ces options, Macie peut déchiffrer un objet en utilisant le rôle lié au service Macie pour votre compte. Cela dépend toutefois du type de chiffrement utilisé.

Pour que Macie puisse déchiffrer un objet S3, celui-ci doit être chiffré avec une clé à laquelle Macie peut accéder et qu'il est autorisé à utiliser. Si un objet est chiffré à l'aide d'une clé fournie par le client, Macie ne peut pas fournir le matériel de clé requis pour récupérer l'objet sur Amazon S3. Par conséquent, Macie ne peut pas analyser l'objet et le statut de l'analyse de l'objet est ignoré ()SKIPPED.

Conseils de remédiation

Pour corriger cette erreur, chiffrez les objets S3 avec des clés gérées ou AWS Key Management Service (AWS KMS) Amazon S3. Si vous préférez utiliser des AWS KMS clés, il peut s'agir de clés KMS AWS gérées ou de clés KMS gérées par le client que Macie est autorisé à utiliser.

Pour chiffrer des objets S3 existants avec des clés auxquelles Macie peut accéder et utiliser, vous pouvez modifier les paramètres de chiffrement des objets. Pour chiffrer de nouveaux objets avec des clés auxquelles Macie peut accéder et utiliser, modifiez les paramètres de chiffrement par défaut du compartiment S3. Assurez-vous également que la politique du compartiment n'exige pas que les nouveaux objets soient chiffrés à l'aide d'une clé fournie par le client.

Si vous ne corrigez pas cette erreur, Macie essaiera d'analyser les autres objets du compartiment S3. Si Macie analyse un autre objet avec succès, Macie mettra à jour les données de couverture et les autres informations fournies sur le compartiment.

Référence supplémentaire

Pour plus d'informations sur les exigences et les options relatives à l'utilisation de Macie pour analyser des objets S3 chiffrés, consultezAnalyse d'objets Amazon S3 chiffrés avec Amazon Macie. Pour plus d'informations sur les options et les paramètres de chiffrement pour les compartiments S3, consultez les sections Protection des données par chiffrement et Configuration du comportement de chiffrement côté serveur par défaut pour les compartiments S3 dans le guide de l'utilisateur d'Amazon Simple Storage Service.

Erreur de classification : clé KMS non valide

Ce type d'erreur de classification se produit si Macie tente d'analyser un objet dans un compartiment S3 et que l'objet est chiffré avec une clé AWS Key Management Service (AWS KMS) qui n'est plus disponible. Macie ne peut pas récupérer et analyser l'objet.

Détails

AWS KMS fournit des options pour désactiver et supprimer la gestion par AWS KMS keys le client. Si un objet S3 est chiffré avec une clé KMS désactivée, dont la suppression est prévue ou qui a été supprimée, Macie ne peut ni récupérer ni déchiffrer l'objet. Par conséquent, Macie ne peut pas analyser l'objet et le statut de l'analyse de l'objet est ignoré ()SKIPPED. Pour que Macie puisse analyser un objet chiffré, celui-ci doit être chiffré avec une clé à laquelle Macie peut accéder et qu'il est autorisé à utiliser.

Conseils de remédiation

Pour corriger cette erreur, réactivez ou annulez la suppression planifiée de la clé applicable AWS KMS key, en fonction de l'état actuel de la clé. Si la clé applicable a déjà été supprimée, cette erreur ne peut pas être corrigée.

Pour déterminer lequel AWS KMS key a été utilisé pour chiffrer un objet S3, vous pouvez commencer par utiliser Macie pour vérifier les paramètres de chiffrement côté serveur du compartiment S3. Si les paramètres de chiffrement par défaut du compartiment sont configurés pour utiliser une clé KMS, les détails du compartiment indiquent quelle clé est utilisée. Vous pouvez ensuite vérifier l'état de cette clé. Vous pouvez également utiliser Amazon S3 pour vérifier les paramètres de chiffrement du compartiment et des objets individuels qu'il contient.

Si vous ne corrigez pas cette erreur, Macie essaiera d'analyser les autres objets du compartiment S3. Si Macie analyse un autre objet avec succès, Macie mettra à jour les données de couverture et les autres informations fournies sur le compartiment.

Référence supplémentaire

Pour plus d'informations sur l'utilisation de Macie pour vérifier les paramètres de chiffrement côté serveur d'un compartiment S3, consultez. Examiner les détails des compartiments S3 Pour plus d'informations sur la réactivation ou l'annulation de la suppression planifiée d'un AWS KMS key, voir Activation et désactivation des clés et Planification et annulation de la suppression de clés dans le guide du développeur.AWS Key Management Service

Erreur de classification : autorisation refusée

Ce type d'erreur de classification se produit si Macie tente d'analyser un objet dans un compartiment S3 et qu'il ne parvient pas à récupérer ou à déchiffrer l'objet en raison des paramètres d'autorisation de l'objet ou des paramètres d'autorisation de la clé utilisée pour chiffrer l'objet. Macie ne peut pas récupérer et analyser l'objet.

Détails

Cette erreur se produit généralement parce qu'un objet S3 est chiffré avec une clé gérée par le client AWS Key Management Service (AWS KMS) que Macie n'est pas autorisée à utiliser. Si un objet est chiffré et géré par un client AWS KMS key, la politique de la clé doit autoriser Macie à déchiffrer les données à l'aide de la clé.

Cette erreur peut également se produire si les paramètres d'autorisation d'Amazon S3 empêchent Macie de récupérer un objet S3. La politique de compartiment pour le compartiment S3 peut restreindre l'accès à des objets de compartiment spécifiques ou autoriser uniquement certains principaux (utilisateurs, comptes, services ou autres entités) à accéder aux objets. La liste de contrôle d'accès (ACL) d'un objet peut également restreindre l'accès à celui-ci. Par conséquent, Macie pourrait ne pas être autorisé à accéder à l'objet.

Dans les cas précédents, Macie ne peut pas récupérer et analyser l'objet, et le statut de l'analyse de l'objet est ignoré ()SKIPPED.

Conseils de remédiation

Pour corriger cette erreur, déterminez si l'objet S3 est chiffré avec un compte géré AWS KMS key par le client. Si tel est le cas, assurez-vous que la politique de la clé autorise le rôle lié au service Macie (AWSServiceRoleForAmazonMacie) à déchiffrer les données avec la clé. La manière dont vous autorisez cet accès dépend du fait que le compte propriétaire possède AWS KMS key également le compartiment S3 qui stocke l'objet. Si le même compte possède la clé KMS et le bucket, un utilisateur du compte doit mettre à jour la politique de la clé. Si un compte possède la clé KMS et qu'un autre compte possède le compartiment, un utilisateur du compte propriétaire de la clé doit autoriser l'accès entre comptes à la clé.

Astuce

Vous pouvez générer automatiquement une liste de tous les clients gérés AWS KMS keys auxquels Macie doit accéder pour analyser les objets contenus dans les compartiments S3 de votre compte. Pour ce faire, exécutez le script AWS KMS Permission Analyzer, disponible dans le référentiel Amazon Macie Scripts sur. GitHub Le script peut également générer un script supplémentaire de commandes AWS Command Line Interface (AWS CLI). Vous pouvez éventuellement exécuter ces commandes pour mettre à jour les paramètres de configuration et les politiques requis pour les clés KMS que vous spécifiez.

Si Macie est déjà autorisé à utiliser la clé applicable AWS KMS key ou si l'objet S3 n'est pas chiffré avec une clé KMS gérée par le client, assurez-vous que la politique du bucket autorise Macie à accéder à l'objet. Vérifiez également que l'ACL de l'objet autorise Macie à lire les données et les métadonnées de l'objet.

Pour la politique du bucket, vous pouvez autoriser cet accès en ajoutant une condition pour le rôle lié au service Macie à la politique. La condition doit empêcher le rôle lié au service Macie de correspondre à la Deny restriction de la politique. Il peut le faire en utilisant la clé de contexte de condition aws:PrincipalArn globale et le nom de ressource Amazon (ARN) du rôle lié au service Macie pour votre compte.

Pour l'ACL de l'objet, vous pouvez autoriser cet accès en collaborant avec le propriétaire de l'objet pour vous ajouter Compte AWS en tant que bénéficiaire avec READ des autorisations pour l'objet. Macie peut ensuite utiliser le rôle lié au service associé à votre compte pour récupérer et analyser l'objet. Pensez également à modifier les paramètres de propriété de l'objet pour le bucket. Vous pouvez utiliser ces paramètres pour désactiver les ACL pour tous les objets du compartiment et accorder des autorisations de propriété au compte propriétaire du compartiment.

Si vous ne corrigez pas cette erreur, Macie essaiera d'analyser les autres objets du compartiment S3. Si Macie analyse un autre objet avec succès, Macie mettra à jour les données de couverture et les autres informations fournies sur le compartiment.

Référence supplémentaire

Pour plus d'informations sur l'autorisation à Macie de déchiffrer des données gérées par un client AWS KMS key, consultez. Autoriser Amazon Macie à utiliser un service géré par le client AWS KMS key Pour plus d'informations sur la mise à jour d'une politique de compartiment S3 afin de permettre à Macie d'accéder à un compartiment, consultezAutoriser Amazon Macie à accéder aux compartiments et aux objets S3.

Pour plus d'informations sur la mise à jour d'une politique clé, consultez la section Modification d'une politique clé dans le Guide du AWS Key Management Service développeur. Pour plus d'informations sur l'utilisation d'objets S3 gérés par AWS KMS keys le client, consultez la section Utilisation du chiffrement côté serveur avec des AWS KMS clés dans le guide de l'utilisateur d'Amazon Simple Storage Service.

Pour plus d'informations sur l'utilisation des politiques de compartiment pour contrôler l'accès aux compartiments S3, consultez les sections Politiques relatives aux compartiments et politiques utilisateur et Comment Amazon S3 autorise une demande dans le guide de l'utilisateur d'Amazon Simple Storage Service. Pour plus d'informations sur l'utilisation des ACL ou des paramètres de propriété des objets pour contrôler l'accès aux objets S3, consultez la section Gestion de l'accès à l'aide des ACL, contrôle de la propriété des objets et désactivation des ACL pour votre compartiment dans le guide de l'utilisateur d'Amazon Simple Storage Service.

Inclassable

Ce problème indique que tous les objets d'un compartiment S3 sont stockés à l'aide de classes de stockage Amazon S3 non prises en charge ou de formats de fichiers ou de stockage non pris en charge. Macie ne peut analyser aucun objet dans le compartiment.

Détails

Pour être éligible à la sélection et à l'analyse, un objet S3 doit utiliser une classe de stockage Amazon S3 prise en charge par Macie. L'objet doit également avoir une extension de nom de fichier pour un format de fichier ou de stockage pris en charge par Macie. Si un objet ne répond pas à ces critères, il est traité comme un objet inclassable. Macie n'essaie pas de récupérer ou d'analyser des données dans des objets inclassables.

Si tous les objets d'un compartiment S3 sont des objets inclassables, le compartiment global est un compartiment inclassable. Macie ne peut pas effectuer de découverte automatique de données sensibles pour le compartiment.

Conseils de remédiation

Pour résoudre ce problème, passez en revue les règles de configuration du cycle de vie et les autres paramètres qui déterminent les classes de stockage utilisées pour stocker les objets dans le compartiment S3. Envisagez d'ajuster ces paramètres pour utiliser les classes de stockage prises en charge par Macie. Vous pouvez également modifier la classe de stockage des objets existants dans le compartiment.

Évaluez également les formats de fichier et de stockage des objets existants dans le compartiment S3. Pour analyser les objets, envisagez de porter les données, temporairement ou définitivement, vers de nouveaux objets utilisant un format pris en charge.

Si des objets sont ajoutés au compartiment S3 et qu'ils utilisent une classe et un format de stockage pris en charge, Macie détectera les objets lors de la prochaine évaluation de votre inventaire de compartiments. Dans ce cas, Macie cessera de signaler que le compartiment est inclassable en termes de statistiques, de données de couverture et d'autres informations qu'il fournit sur vos données Amazon S3. En outre, les nouveaux objets seront analysés en priorité lors d'un cycle d'analyse ultérieur.

Référence supplémentaire

Pour plus d'informations sur les classes de stockage Amazon S3 et les formats de fichiers et de stockage pris en charge par Macie, consultezClasses et formats de stockage pris en charge par Amazon Macie. Pour plus d'informations sur les règles de configuration du cycle de vie et les options de classe de stockage proposées par Amazon S3, consultez les sections Gestion du cycle de vie du stockage et Utilisation des classes de stockage Amazon S3 dans le guide de l'utilisateur d'Amazon Simple Storage Service.