Évaluation du niveau de sécurité de votre Amazon S3 avec Macie - Amazon Macie
Afficher le tableau de bordComprendre les composants du tableau de bordComprendre les statistiques de sécurité des données sur le tableau de bord

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Évaluation du niveau de sécurité de votre Amazon S3 avec Macie

Pour évaluer le niveau de sécurité global de vos données Amazon Simple Storage Service (Amazon S3) et déterminer les mesures à prendre, vous pouvez utiliser le tableau de bord récapitulatif de la console Amazon Macie.

Le tableau de bord récapitulatif fournit un aperçu des statistiques agrégées relatives à vos données Amazon S3 actuelles Région AWS. Les statistiques incluent des données relatives à des indicateurs de sécurité clés tels que le nombre de compartiments à usage général accessibles au public ou partagés avec d'autres Comptes AWS personnes. Le tableau de bord affiche également des groupes de données de résultats agrégées pour votre compte, par exemple les types de résultats ayant enregistré le plus grand nombre d'occurrences au cours des sept jours précédents. Si vous êtes l'administrateur Macie d'une organisation, le tableau de bord fournit des statistiques et des données agrégées pour tous les comptes de votre organisation. Vous pouvez éventuellement filtrer les données par compte.

Pour effectuer une analyse plus approfondie, vous pouvez parcourir et consulter les données de support relatives à des éléments individuels sur le tableau de bord. Vous pouvez également consulter et analyser l'inventaire de votre compartiment S3 à l'aide de la console Amazon Macie, ou interroger et analyser les données d'inventaire par programmation en utilisant le DescribeBucketsfonctionnement d'Amazon Macie. API

Afficher le tableau de bord récapitulatif

Sur la console Amazon Macie, le tableau de bord récapitulatif fournit un aperçu des statistiques agrégées et des données de résultats pour vos données Amazon S3 actuelles. Région AWS Si vous préférez interroger les statistiques par programmation, vous pouvez utiliser le GetBucketStatisticsfonctionnement d'Amazon Macie. API

Pour afficher le tableau de bord récapitulatif

  1. Ouvrez la console Amazon Macie à l'adresse. https://console.aws.amazon.com/macie/

  2. Dans le volet de navigation, choisissez Résumé. Macie affiche le tableau de bord récapitulatif.

  3. Pour savoir à quel moment Macie a récemment récupéré les métadonnées de bucket ou d'objet d'Amazon S3 pour votre compte, reportez-vous au champ Dernière mise à jour en haut du tableau de bord. Pour de plus amples informations, veuillez consulter Actualisations de données.

  4. Pour accéder aux données justificatives d'un élément du tableau de bord et passer en revue les données correspondantes, sélectionnez l'élément en question.

Si vous êtes l'administrateur Macie d'une organisation, le tableau de bord affiche des statistiques et des données agrégées pour votre compte et les comptes des membres de votre organisation. Pour filtrer le tableau de bord et afficher les données uniquement pour un compte en particulier, entrez l'identifiant du compte dans le champ Compte situé au-dessus du tableau de bord.

Comprendre les composants du tableau de bord récapitulatif

Dans le tableau de bord récapitulatif, les statistiques et les données sont organisées en plusieurs sections. En haut du tableau de bord, vous trouverez des statistiques agrégées qui indiquent la quantité de données que vous stockez dans Amazon S3 et la quantité de données qu'Amazon Macie peut analyser pour détecter les données sensibles. Vous pouvez également consulter le champ Dernière mise à jour pour déterminer à quel moment Macie a récemment récupéré les métadonnées de bucket ou d'objet d'Amazon S3 pour votre compte. Des sections supplémentaires fournissent des statistiques et des données récentes qui peuvent vous aider à évaluer la sécurité, la confidentialité et la sensibilité de vos données Amazon S3 à l'heure actuelle Région AWS.

Les statistiques et les données sont organisées dans les sections suivantes :

Stockage et découverte de données sensibles | Problèmes de découverte et de couverture automatisés | Sécurité des données | Principaux compartiments S3 | Principaux types de détection | Conclusions relatives aux politiques

Lorsque vous passez en revue chaque section, choisissez éventuellement un élément à explorer vers le bas et examinez les données justificatives. Notez également que le tableau de bord n'inclut pas les données relatives aux compartiments de répertoire S3, mais uniquement les compartiments à usage général. Macie ne surveille ni n'analyse les compartiments de répertoires.

Stockage et découverte de données sensibles

En haut du tableau de bord, les statistiques indiquent la quantité de données que vous stockez dans Amazon S3 et la quantité de données que Macie peut analyser pour détecter les données sensibles. L'image suivante montre un exemple de ces statistiques pour une organisation possédant sept comptes Macie.

La section Stockage et découverte des données sensibles du tableau de bord. Chaque champ contient des exemples de données.

Les statistiques individuelles présentées dans cette section sont les suivantes :

  • Nombre total de comptes — Ce champ apparaît si vous êtes l'administrateur Macie d'une organisation ou si vous possédez un compte Macie autonome. Il indique le nombre total de Comptes AWS ces propres compartiments dans votre inventaire de compartiments. Si vous êtes administrateur Macie, il s'agit du nombre total de comptes Macie que vous gérez pour votre organisation. Si vous avez un compte Macie autonome, cette valeur est 1.

    Nombre total de compartiments S3 : ce champ apparaît si vous avez un compte membre dans une organisation. Il indique le nombre total de seaux à usage général présents dans votre inventaire, y compris les seaux qui ne contiennent aucun objet.

  • Stockage : ces statistiques fournissent des informations sur la taille de stockage des objets de votre inventaire de compartiments :

    • Classifiable : taille de stockage totale de tous les objets que Macie peut analyser dans les compartiments.

    • Total : taille de stockage totale de tous les objets contenus dans les compartiments, y compris les objets que Macie ne peut pas analyser.

    Si l'un des objets est un fichier compressé, ces valeurs ne reflètent pas la taille réelle de ces fichiers après leur décompression. Si le versionnement est activé pour l'un des compartiments, ces valeurs sont basées sur la taille de stockage de la dernière version de chaque objet contenu dans ces compartiments.

  • Objets : ces statistiques fournissent des informations sur le nombre d'objets contenus dans votre inventaire de compartiments :

    • Classifiable : nombre total d'objets que Macie peut analyser dans les compartiments.

    • Total : nombre total d'objets contenus dans les compartiments, y compris les objets que Macie ne peut pas analyser.

Dans les statistiques précédentes, les données et les objets sont classifiables s'ils utilisent une classe de stockage Amazon S3 prise en charge et s'ils possèdent une extension de nom de fichier pour un format de fichier ou de stockage pris en charge. Vous pouvez détecter des données sensibles dans les objets à l'aide de Macie. Pour de plus amples informations, veuillez consulter Classes et formats de stockage pris en charge.

Notez que les statistiques relatives au stockage et aux objets n'incluent pas les données relatives aux objets contenus dans des compartiments auxquels Macie n'est pas autorisé à accéder. Par exemple, des objets placés dans des compartiments soumis à des politiques de compartiment restrictives. Pour identifier les compartiments dans lesquels c'est le cas, vous pouvez consulter votre inventaire de compartiments à l'aide du tableau des compartiments S3. Si l'icône d'avertissement ( The warning icon, which is a red triangle that has an exclamation point in it. ) apparaît à côté du nom d'un bucket, Macie n'est pas autorisé à accéder au bucket.

Problèmes de découverte et de couverture automatisés

Si la découverte automatique des données sensibles est activée, ces sections apparaissent sur le tableau de bord. Ils capturent l'état et les résultats des activités automatisées de découverte de données sensibles que Macie a effectuées jusqu'à présent pour vos données Amazon S3. L'image suivante montre un exemple des statistiques fournies par ces sections.

Statistiques automatisées de découverte de données sensibles sur le tableau de bord. Chaque statistique contient des exemples de données.

Pour plus de détails sur ces statistiques, consultezConsulter les statistiques de sensibilité des données sur le tableau de bord récapitulatif.

Sécurité des données

Cette section fournit des statistiques qui indiquent les risques potentiels en matière de sécurité et de confidentialité pour vos données Amazon S3. L'image suivante montre un exemple des statistiques de cette section.

La section Sécurité des données du tableau de bord. Il contient des exemples de données pour chaque statistique.

Pour plus de détails sur ces statistiques, consultezComprendre les statistiques de sécurité des données sur le tableau de bord récapitulatif.

Les meilleurs seaux S3

Cette section répertorie les compartiments S3 qui ont généré le plus grand nombre de résultats de tous types au cours des sept jours précédents, pour un maximum de cinq compartiments. Il indique également le nombre de résultats créés par Macie pour chaque compartiment. L'image suivante montre un exemple des données fournies par cette section.

La section Top S3 buckets du tableau de bord. Il contient des exemples de données pour cinq compartiments S3.

Pour afficher et éventuellement explorer tous les résultats d'un bucket au cours des sept jours précédents, choisissez la valeur dans le champ Total des résultats. Pour afficher tous les résultats actuels de tous vos compartiments, regroupés par compartiment, choisissez Afficher tous les résultats par compartiment.

Cette section est vide si Macie n'a créé aucun résultat au cours des sept jours précédents. Ou toutes les découvertes créées au cours des sept jours précédents ont été supprimées par une règle de suppression.

Principaux types de recherche

Cette section répertorie les types de constatations ayant enregistré le plus grand nombre d'occurrences au cours des sept jours précédents, pour un maximum de cinq types de constatations. Il indique également le nombre de résultats créés par Macie pour chaque type. L'image suivante montre un exemple des données fournies par cette section.

La section Principaux types de recherche du tableau de bord. Il contient des exemples de données pour cinq types de résultats.

Pour afficher et éventuellement approfondir tous les résultats d'un type particulier des sept jours précédents, choisissez la valeur dans le champ Total des résultats. Pour afficher tous les résultats actuels, regroupés par type de recherche, choisissez Afficher tous les résultats par type.

Cette section est vide si Macie n'a créé aucun résultat au cours des sept jours précédents. Ou toutes les découvertes créées au cours des sept jours précédents ont été supprimées par une règle de suppression.

Résultats politiques

Cette section répertorie les conclusions politiques que Macie a créées ou mises à jour récemment, pour un maximum de dix conclusions. L'image suivante montre un exemple des données fournies par cette section.

La section Conclusions relatives aux politiques du tableau de bord. Il contient des exemples de données pour six conclusions politiques.

Pour afficher les détails d'un résultat en particulier, choisissez-le.

Cette section est vide si Macie n'a pas créé ou mis à jour de conclusions relatives aux politiques au cours des sept jours précédents. Ou toutes les conclusions relatives aux politiques créées ou mises à jour au cours des sept jours précédents ont été supprimées par une règle de suppression.

Comprendre les statistiques de sécurité des données sur le tableau de bord récapitulatif

La section Sécurité des données du tableau de bord récapitulatif fournit des statistiques qui peuvent vous aider à identifier et à étudier les risques potentiels liés à la sécurité et à la confidentialité de vos données Amazon S3 dans le contexte actuel Région AWS. Par exemple, vous pouvez utiliser ces données pour identifier les compartiments à usage général accessibles au public ou partagés avec d'autres Comptes AWS personnes.

Si la découverte automatique des données sensibles est désactivée pour votre compte, les statistiques de stockage et de découverte de données sensibles présentées en haut de cette section indiquent la quantité de données que vous stockez dans Amazon S3 et la quantité de données qu'Amazon Macie peut analyser pour détecter les données sensibles. Les statistiques supplémentaires sont organisées en trois zones, comme le montre l'image suivante.

La section Sécurité des données du tableau de bord. Chaque zone contient des exemples de données.

Lorsque vous passez en revue chaque domaine, choisissez éventuellement un élément à explorer vers le bas et examinez les données justificatives. Notez également que les statistiques n'incluent pas les données relatives aux compartiments de répertoire S3, mais uniquement les compartiments à usage général. Macie ne surveille ni n'analyse les compartiments de répertoires.

Les statistiques individuelles dans chaque domaine sont les suivantes.

Accès public

Ces statistiques indiquent combien de compartiments S3 sont ou ne sont pas accessibles au public :

  • Accessible au public : nombre et pourcentage de compartiments qui permettent au grand public d'avoir un accès en lecture ou en écriture au compartiment.

  • Accessible au public dans le monde entier : nombre et pourcentage de compartiments qui permettent au grand public d'avoir un accès en écriture au compartiment.

  • Lisible par le public : nombre et pourcentage de compartiments qui permettent au grand public d'y accéder en lecture.

  • Non accessible au public : nombre et pourcentage de compartiments qui n'autorisent pas le grand public à accéder au compartiment en lecture ou en écriture.

Pour calculer chaque pourcentage, Macie divise le nombre de compartiments applicables par le nombre total de compartiments dans votre inventaire de compartiments.

Pour déterminer les valeurs dans cette zone, Macie analyse une combinaison de paramètres au niveau du compte et du compartiment pour chaque compartiment : les paramètres de blocage de l'accès public pour le compte ; les paramètres de blocage de l'accès public pour le compartiment ; la politique du compartiment ; et la liste de contrôle d'accès (ACL) pour le compartiment. Pour plus d'informations sur ces paramètres, consultez les sections Gestion des accès et blocage de l'accès public à votre espace de stockage Amazon S3 dans le guide de l'utilisateur d'Amazon Simple Storage Service.

Dans certains cas, la zone d'accès public affiche également des valeurs pour Inconnu. Si ces valeurs apparaissent, Macie n'a pas été en mesure d'évaluer les paramètres d'accès public pour le nombre et le pourcentage de compartiments spécifiés. Par exemple, un problème temporaire ou les paramètres d'autorisation des compartiments ont empêché Macie de récupérer les données requises. Ou Macie n'a pas été en mesure de déterminer complètement si une ou plusieurs déclarations de politique autorisaient une entité externe à accéder aux compartiments.

Chiffrement

Ces statistiques indiquent le nombre de compartiments S3 configurés pour appliquer certains types de chiffrement côté serveur aux objets ajoutés aux compartiments :

  • Chiffrer par défaut — SSE -S3 — Le nombre et le pourcentage de compartiments dont les paramètres de chiffrement par défaut sont configurés pour chiffrer de nouveaux objets avec une clé gérée par Amazon S3. Pour ces compartiments, les nouveaux objets sont chiffrés automatiquement à l'aide du chiffrement SSE -S3.

  • Chiffrer par défaut — DSSE -KMS/SSE- KMS — Nombre et pourcentage de compartiments dont les paramètres de chiffrement par défaut sont configurés pour chiffrer les nouveaux objets à l'aide d'une AWS KMS key clé gérée par le client Clé gérée par AWS ou d'une clé gérée par le client. Pour ces compartiments, les nouveaux objets sont chiffrés automatiquement à l'aide DSSE du chiffrement KMS ou SSE du KMS chiffrement.

Pour calculer chaque pourcentage, Macie divise le nombre de compartiments applicables par le nombre total de compartiments dans votre inventaire de compartiments.

Pour déterminer les valeurs dans cette zone, Macie analyse les paramètres de chiffrement par défaut pour chaque compartiment. À compter du 5 janvier 2023, Amazon S3 applique automatiquement le chiffrement côté serveur avec les clés gérées par Amazon S3 (SSE-S3) comme niveau de chiffrement de base pour les objets ajoutés aux compartiments. Vous pouvez éventuellement configurer les paramètres de chiffrement par défaut d'un compartiment pour utiliser à la place le chiffrement côté serveur avec une AWS KMS clé (SSE-KMS) ou le chiffrement double couche côté serveur avec une AWS KMS clé (-). DSSE KMS Pour plus d'informations sur les paramètres et options de chiffrement par défaut, consultez la section Définition du comportement de chiffrement côté serveur par défaut pour les compartiments S3 dans le guide de l'utilisateur d'Amazon Simple Storage Service.

Dans certains cas, la zone Chiffrement affiche également des valeurs pour Inconnu. Si ces valeurs apparaissent, Macie n'a pas pu évaluer les paramètres de chiffrement par défaut pour le nombre et le pourcentage de compartiments spécifiés. Par exemple, un problème temporaire ou les paramètres d'autorisation des compartiments ont empêché Macie de récupérer les données requises.

Partage

Ces statistiques indiquent le nombre de compartiments S3 partagés ou non avec d'autres Comptes AWS identités d'accès à l' CloudFront origine Amazon (OAIs) ou contrôles CloudFront d'accès à l'origine (OACs) :

  • Partagé en externe : nombre et pourcentage de buckets partagés avec un ou plusieurs des comptes suivants ou une combinaison des éléments suivants : un CloudFront OAI, un compte ou un CloudFront OAC compte qui n'appartient pas à la même organisation.

  • Partagé en interne : nombre et pourcentage de buckets partagés avec un ou plusieurs comptes de la même organisation. Ces compartiments ne sont pas partagés avec CloudFront OAIs ouOACs.

  • Non partagé : nombre et pourcentage de compartiments qui ne sont pas partagés avec d'autres comptes CloudFront OAIs, ou CloudFront OACs.

Pour calculer chaque pourcentage, Macie divise le nombre de compartiments applicables par le nombre total de compartiments dans votre inventaire de compartiments.

Pour déterminer si les buckets sont partagés avec d'autres Comptes AWS, Macie analyse la politique relative aux compartiments et ACL pour chaque compartiment. En outre, une organisation est définie comme un ensemble de comptes Macie gérés de manière centralisée en tant que groupe de comptes connexes via AWS Organizations ou sur invitation de Macie. Pour plus d'informations sur les options Amazon S3 pour le partage de compartiments, consultez la section Gestion des accès dans le guide de l'utilisateur d'Amazon Simple Storage Service.

Note

Dans certains cas, Macie peut signaler à tort qu'un bucket est partagé avec un utilisateur Compte AWS n'appartenant pas à la même organisation. Cela peut se produire si Macie n'est pas en mesure d'évaluer pleinement la relation entre l'Principalélément de la politique d'un compartiment et certaines clés de contexte de condition AWS globales ou certaines clés de condition Amazon S3 présentes dans l'Conditionélément de la politique. Les clés de condition applicables sont les suivantes : aws:PrincipalAccount aws:PrincipalArn aws:PrincipalOrgIDaws:PrincipalOrgPaths,aws:PrincipalTag,aws:PrincipalType,aws:SourceAccount,aws:SourceArn,aws:SourceIp,aws:SourceVpc,aws:SourceVpce,aws:userid,s3:DataAccessPointAccount, ets3:DataAccessPointArn.

Pour déterminer si c'est le cas pour les compartiments individuels, choisissez la statistique externe partagée sur le tableau de bord. Dans le tableau qui apparaît, notez le nom de chaque compartiment. Utilisez ensuite Amazon S3 pour examiner la politique de chaque compartiment et déterminer si les paramètres d'accès partagé sont intentionnels et sûrs.

Pour déterminer si les compartiments sont partagés avec CloudFront OAIs ouOACs, Macie analyse la politique relative aux compartiments pour chaque compartiment. A CloudFront OAI ou OAC permet aux utilisateurs d'accéder aux objets d'un bucket via une ou plusieurs CloudFront distributions spécifiées. Pour plus d'informations sur CloudFront OAIs etOACs, consultez Restreindre l'accès à une origine Amazon S3 dans le manuel Amazon CloudFront Developer Guide.

Dans certains cas, la zone de partage affiche également des valeurs pour Inconnu. Si ces valeurs apparaissent, Macie n'a pas été en mesure de déterminer si le nombre et le pourcentage de buckets spécifiés sont partagés avec d'autres comptes CloudFront OAIs, ou. CloudFront OACs Par exemple, un problème temporaire ou les paramètres d'autorisation des compartiments ont empêché Macie de récupérer les données requises. Ou Macie n'a pas été en mesure d'évaluer pleinement les politiques des compartiments ou. ACLs