Comment Amazon Macie surveille la sécurité des données Amazon S3 - Amazon Macie
Composants clésActualisations de donnéesConsidérations supplémentaires

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comment Amazon Macie surveille la sécurité des données Amazon S3

Lorsque vous activez Amazon Macie pour votre compte Compte AWS, Macie crée actuellement un rôle lié au service AWS Identity and Access Management (IAM) pour votre compte. Région AWS La politique d'autorisation pour ce rôle permet à Macie d'appeler d'autres personnes Services AWS et de surveiller AWS les ressources en votre nom. En utilisant ce rôle, Macie génère et gère un inventaire complet de vos compartiments à usage général Amazon Simple Storage Service (Amazon S3) dans la région. Macie surveille et évalue également les compartiments à des fins de sécurité et de contrôle d'accès.

Si vous êtes l'administrateur Macie d'une organisation, l'inventaire inclut des données statistiques et autres sur les compartiments S3 pour votre compte et les comptes des membres de votre organisation. Grâce à ces données, vous pouvez utiliser Macie pour surveiller et évaluer le niveau de sécurité de votre entreprise dans l'ensemble de votre parc de données Amazon S3. Pour plus d’informations, consultez Gestion de plusieurs comptes .

Composants clés

Amazon Macie utilise une combinaison de fonctionnalités et de techniques pour fournir et gérer les données d'inventaire relatives à vos compartiments S3 à usage général, ainsi que pour surveiller et évaluer les compartiments à des fins de sécurité et de contrôle d'accès.

Collecte de métadonnées et calcul de statistiques

Pour générer et gérer les métadonnées et les statistiques de votre inventaire de compartiments, Macie récupère les métadonnées des compartiments et des objets directement depuis Amazon S3. Pour chaque compartiment, les métadonnées incluent :

  • Informations générales sur le bucket, telles que le nom du bucket, le nom Amazon Resource Name (ARN), la date de création, les paramètres de chiffrement, les balises et l' Compte AWS ID de compte du propriétaire du bucket.

  • Paramètres d'autorisations au niveau du compte qui s'appliquent au compartiment, tels que les paramètres de blocage de l'accès public pour le compte.

  • Paramètres d'autorisations au niveau du compartiment, tels que les paramètres de blocage de l'accès public pour le compartiment et les paramètres dérivés d'une politique de compartiment ou d'une liste de contrôle d'accès (ACL).

  • Paramètres d'accès et de réplication partagés pour le compartiment, notamment si les données du compartiment sont répliquées ou partagées avec des Comptes AWS personnes ne faisant pas partie de votre organisation.

  • Nombre d'objets et paramètres des objets du compartiment, tels que le nombre d'objets dans le compartiment et la répartition du nombre d'objets par type de chiffrement, type de fichier et classe de stockage.

Macie vous fournit ces informations directement. Macie utilise également ces informations pour calculer des statistiques et fournir des évaluations sur la sécurité et la confidentialité de votre inventaire global et des compartiments individuels de votre inventaire. Par exemple, vous pouvez trouver la taille totale du stockage et le nombre de compartiments dans votre inventaire, la taille totale du stockage et le nombre d'objets contenus dans ces compartiments, ainsi que la taille totale du stockage et le nombre d'objets que Macie peut analyser pour détecter les données sensibles dans les compartiments.

Par défaut, les métadonnées et les statistiques incluent les données relatives à toutes les parties de l'objet qui existent en raison de chargements partitionnés incomplets. Si vous actualisez manuellement les métadonnées d'un objet pour un bucket spécifique, Macie recalcule les statistiques du bucket et de votre inventaire global, et exclut les données relatives aux parties de l'objet des valeurs recalculées. La prochaine fois que Macie récupérera les métadonnées des compartiments et des objets sur Amazon S3 dans le cadre du cycle d'actualisation quotidien, Macie mettra à jour vos données d'inventaire et inclura à nouveau les données relatives aux parties de l'objet. Pour plus d'informations sur le moment où Macie récupère les métadonnées des compartiments et des objets, consultez. Actualisations de données

Il est important de noter que Macie ne peut pas analyser des parties d'objets pour détecter des données sensibles. Amazon S3 doit d'abord terminer l'assemblage des pièces en un ou plusieurs objets pour que Macie puisse les analyser. Pour plus d'informations sur les chargements partitionnés et les parties d'objets, notamment sur la façon de supprimer automatiquement des parties conformément aux règles du cycle de vie, consultez la section Chargement et copie d'objets à l'aide du téléchargement partitionné dans le guide de l'utilisateur d'Amazon Simple Storage Service. Pour identifier les buckets contenant des parties d'objets, vous pouvez vous référer aux métriques de chargement partitionné incomplètes dans Amazon S3 Storage Lens. Pour plus d'informations, consultez la section Évaluation de votre activité et de votre utilisation du stockage dans le guide de l'utilisateur d'Amazon Simple Storage Service.

Surveillance de la sécurité et de la confidentialité des compartiments

Pour garantir l'exactitude des données au niveau du compartiment dans votre inventaire, Macie surveille et analyse certains AWS CloudTrailévénements susceptibles de se produire pour les données Amazon S3. Si un événement pertinent se produit, Macie met à jour les données d'inventaire appropriées.

Par exemple, si vous activez les paramètres de blocage de l'accès public pour un bucket, Macie met à jour toutes les données relatives aux paramètres d'accès public du bucket. De même, si vous ajoutez ou mettez à jour la politique de compartiment pour un compartiment, Macie analyse la politique et met à jour les données pertinentes de votre inventaire.

Macie surveille et analyse les données relatives aux CloudTrail événements suivants :

  • événements au niveau du compte — et DeletePublicAccessBlock PutPublicAccessBlock

  • Événements au niveau du bucket :CreateBucket, DeleteAccountPublicAccessBlock, DeleteBucket,DeleteBucketEncryption, DeleteBucketPolicy, DeleteBucketPublicAccessBlock,DeleteBucketReplication, DeleteBucketTagging, PutAccountPublicAccessBlock,,PutBucketAcl, PutBucketEncryption, PutBucketPolicy, PutBucketPublicAccessBlock PutBucketReplication, et PutBucketTagging PutBucketVersioning

Vous ne pouvez pas activer la surveillance pour CloudTrail des événements supplémentaires ou désactiver la surveillance pour aucun des événements précédents. Pour obtenir des informations détaillées sur les opérations correspondantes pour les événements précédents, consultez le manuel Amazon Simple Storage Service API Reference.

Astuce

Pour surveiller les événements au niveau des objets, nous vous recommandons d'utiliser la fonctionnalité de protection Amazon S3 d'Amazon. GuardDuty Cette fonctionnalité surveille les événements liés aux données Amazon S3 au niveau des objets et les analyse pour détecter toute activité malveillante ou suspecte. Pour plus d'informations, consultez la section Protection d'Amazon S3 sur Amazon GuardDuty dans le guide de GuardDuty l'utilisateur Amazon.

Évaluation de la sécurité des compartiments et du contrôle d'accès

Pour évaluer la sécurité et le contrôle d'accès au niveau du compartiment, Macie utilise un raisonnement automatique basé sur la logique pour analyser les politiques basées sur les ressources qui s'appliquent à un compartiment. Macie analyse également les paramètres d'autorisation au niveau du compte et du compartiment qui s'appliquent à un compartiment. Cette analyse prend en compte les politiques de compartiment, les ACL au niveau du compartiment et les paramètres de blocage de l'accès public pour le compte et le compartiment.

Pour les politiques basées sur les ressources, Macie utilise Zelkova. Zelkova est un moteur de raisonnement automatisé qui traduit les politiques AWS Identity and Access Management (IAM) en déclarations logiques et exécute une suite de résolveurs logiques spécialisés et à usage général (théories du modulo de satisfaisabilité) pour résoudre le problème de décision. Macie applique Zelkova à plusieurs reprises à une politique avec des requêtes de plus en plus spécifiques pour caractériser les catégories de comportements autorisées par la politique. Pour en savoir plus sur la nature des solveurs utilisés par Zelkova, consultez la section Satisfiability Modulo Theories.

Important

Pour effectuer les tâches précédentes pour un bucket, celui-ci doit être un bucket S3 à usage général. Macie ne surveille ni n'analyse les compartiments de répertoire S3.

De plus, Macie doit être autorisé à accéder au bucket. Si les paramètres d'autorisation d'un bucket empêchent Macie de récupérer les métadonnées du bucket ou des objets du bucket, Macie ne peut fournir qu'un sous-ensemble d'informations sur le bucket, telles que le nom et la date de création du bucket. Macie ne peut effectuer aucune tâche supplémentaire pour le bucket. Pour plus d’informations, consultez Autoriser Macie à accéder aux compartiments et aux objets S3.

Actualisations de données

Lorsque vous activez Amazon Macie pour votre compte Compte AWS, Macie extrait les métadonnées de vos buckets et objets à usage général S3 directement depuis Amazon S3. Macie récupère ensuite automatiquement les métadonnées des compartiments et des objets directement depuis Amazon S3, dans le cadre d'un cycle d'actualisation quotidien.

Macie récupère également les métadonnées des compartiments directement depuis Amazon S3 lorsque l'une des situations suivantes se produit :

  • Vous actualisez vos données d'inventaire en choisissant refresh ( The refresh button, which is a button that contains an empty, dark gray circle with an arrow ) sur la console Amazon Macie. Vous pouvez actualiser les données toutes les cinq minutes.

  • Vous soumettez une DescribeBucketsdemande à l'API Amazon Macie par programmation et vous n'en avez pas soumis au cours des cinq DescribeBuckets minutes précédentes.

  • Macie détecte un AWS CloudTrail événement pertinent.

Macie peut également récupérer les dernières métadonnées d'objets pour un compartiment spécifique si vous choisissez d'actualiser manuellement ces données. Cela peut être utile si vous avez récemment créé un bucket ou si vous avez apporté des modifications importantes aux objets d'un bucket au cours des dernières 24 heures. Pour actualiser manuellement les métadonnées d'un objet pour un compartiment, choisissez refresh ( The refresh button, which is a button that contains an empty, dark gray circle with an arrow ) dans la section Statistiques des objets du panneau des détails du compartiment sur la page des compartiments S3 de la console. Cette fonctionnalité est disponible pour les seaux contenant 30 000 objets ou moins.

Chaque fois que Macie récupère les métadonnées d'un bucket ou d'un objet, Macie met automatiquement à jour toutes les données pertinentes de votre inventaire. Si Macie détecte des différences qui affectent la sécurité ou la confidentialité d'un bucket, Macie commence immédiatement à évaluer et à analyser les modifications. Lorsque l'analyse est terminée, Macie met à jour les données pertinentes de votre inventaire. Si des différences réduisent la sécurité ou la confidentialité d'un bucket, Macie établit également les conclusions de politique appropriées que vous pouvez examiner et corriger si nécessaire.

Pour déterminer à quel moment Macie a récemment récupéré les métadonnées du bucket ou de l'objet pour votre compte, vous pouvez vous référer au champ Dernière mise à jour de la console. Ce champ apparaît sur le tableau de bord récapitulatif, sur la page des compartiments S3 et dans le panneau des détails du compartiment sur la page des compartiments S3. (Si vous utilisez l'API Amazon Macie pour interroger les données d'inventaire, le lastUpdated champ fournit ces informations.) Si vous êtes l'administrateur Macie d'une organisation, le champ Dernière mise à jour indique la date et l'heure les plus anciennes auxquelles Macie a récupéré les données d'un compte de votre organisation.

Dans de rares cas, dans certaines conditions, la latence et d'autres problèmes peuvent empêcher Macie de récupérer les métadonnées des compartiments et des objets. Ils peuvent également retarder les notifications que Macie reçoit concernant les modifications apportées à votre inventaire de compartiments ou les paramètres et politiques d'autorisation pour les compartiments individuels. Par exemple, des problèmes de livraison liés à CloudTrail des événements peuvent entraîner des retards. Dans ce cas, Macie analyse les données nouvelles et mises à jour lors de la prochaine actualisation quotidienne, soit dans les 24 heures.

Considérations supplémentaires

Lorsque vous utilisez Amazon Macie pour surveiller et évaluer le niveau de sécurité de vos données Amazon S3, gardez à l'esprit les points suivants :

  • Les données d'inventaire ne s'appliquent actuellement Région AWS qu'aux compartiments S3 à usage général. Pour accéder aux données de régions supplémentaires, activez et utilisez Macie dans chaque région supplémentaire.

  • Si vous êtes l'administrateur Macie d'une organisation, vous pouvez accéder aux données d'inventaire d'un compte membre uniquement si Macie est activé pour ce compte dans la région actuelle.

  • Si les paramètres d'autorisation d'un bucket empêchent Macie de récupérer des informations sur le bucket ou les objets du bucket, Macie ne peut pas évaluer et surveiller la sécurité et la confidentialité des données du bucket ou fournir des informations détaillées sur le bucket.

    Pour vous aider à identifier un compartiment dans lequel c'est le cas, Macie effectue les opérations suivantes :

    • Dans l'inventaire de votre compartiment, Macie affiche une icône d'avertissement ( A red triangle with a red exclamation point in it ) pour le compartiment. Pour les détails du bucket, Macie affiche uniquement un sous-ensemble de champs et de données : l'ID de compte du Compte AWS propriétaire du bucket ; le nom du bucket, Amazon Resource Name (ARN), la date de création et la région ; et la date et l'heure auxquelles Macie a récemment récupéré les métadonnées du bucket et de l'objet pour le bucket dans le cadre du cycle d'actualisation quotidien. Si vous utilisez l'API Amazon Macie pour interroger les données d'inventaire, Macie fournit un code d'erreur et un message pour le compartiment, et la valeur de la plupart des propriétés du compartiment est nulle.

    • Dans le tableau de bord récapitulatif, le bucket a la valeur Inconnu pour les statistiques d'accès public, de chiffrement et de partage. (Si vous utilisez l'API Amazon Macie pour interroger les statistiques, le bucket a une valeur de unknown pour ces statistiques.) En outre, Macie exclut le bucket lorsqu'il calcule les données pour les statistiques relatives au stockage et aux objets.

    Pour étudier le problème, consultez la politique du compartiment et les paramètres d'autorisation dans Amazon S3. Par exemple, le compartiment peut avoir une politique de compartiment restrictive. Pour plus d’informations, consultez Autoriser Macie à accéder aux compartiments et aux objets S3.

  • Les données relatives à l'accès et aux autorisations sont limitées aux paramètres du compte et du bucket. Il ne reflète pas les paramètres au niveau de l'objet qui déterminent l'accès à des objets spécifiques dans un compartiment. Par exemple, si l'accès public est activé pour un objet spécifique dans un bucket, Macie n'indique pas que le bucket ou les objets du bucket sont accessibles au public.

    Pour surveiller les opérations au niveau des objets et identifier les risques de sécurité potentiels, nous vous recommandons d'utiliser la fonctionnalité de protection Amazon S3 d'Amazon. GuardDuty Cette fonctionnalité surveille les événements liés aux données Amazon S3 au niveau des objets et les analyse pour détecter toute activité malveillante ou suspecte. Pour plus d'informations, consultez la section Protection d'Amazon S3 sur Amazon GuardDuty dans le guide de GuardDuty l'utilisateur Amazon.

  • Si vous actualisez manuellement les métadonnées d'un objet pour un compartiment spécifique, Macie signale temporairement Unknown pour les statistiques de chiffrement qui s'appliquent aux objets. La prochaine fois que Macie procédera à l'actualisation quotidienne des données (dans les 24 heures), Macie réévaluera les métadonnées de chiffrement des objets et rapportera à nouveau des données quantitatives pour les statistiques.

  • Si vous actualisez manuellement les métadonnées d'un objet pour un bucket spécifique, Macie exclut temporairement les données de toutes les parties d'objet contenues dans le bucket en raison de chargements partitionnés incomplets. La prochaine fois que Macie procédera à l'actualisation quotidienne des données (dans les 24 heures), Macie recalcule le nombre et les valeurs de taille de stockage pour les objets du bucket et inclut les données relatives aux pièces dans ces calculs.

  • Dans de rares cas, Macie peut ne pas être en mesure de déterminer si un bucket est accessible au public ou partagé, ou si les nouveaux objets doivent être chiffrés côté serveur. Par exemple, un problème temporaire peut empêcher Macie de récupérer et d'analyser les données requises. Il se peut également que Macie ne soit pas en mesure de déterminer complètement si une ou plusieurs déclarations de politique accordent l'accès à une entité externe. Dans ces cas, Macie indique « Inconnu » pour les statistiques et les champs pertinents de l'inventaire. Pour étudier ces cas, consultez la politique du compartiment et les paramètres d'autorisation dans Amazon S3.

Notez également que Macie génère des conclusions relatives aux politiques uniquement si la sécurité ou la confidentialité d'un bucket sont réduites une fois que vous avez activé Macie pour votre compte. Par exemple, si vous désactivez les paramètres de blocage de l'accès public pour un bucket après avoir activé Macie, Macie génère une recherche BlockPublicAccessDisabledPolicy:IAMuser/S3 pour le bucket. Toutefois, si les paramètres de blocage de l'accès public ont été désactivés pour un bucket lorsque vous avez activé Macie et qu'ils continuent de l'être, Macie ne génère pas de recherche BlockPublicAccessDisabledPolicy:IAMuser/S3 pour le bucket.

En outre, lorsque Macie évalue la sécurité et la confidentialité d'un bucket, il n'examine pas les journaux d'accès ni n'analyse les utilisateurs, les rôles et les autres configurations pertinentes pour les comptes. Au lieu de cela, Macie analyse et rapporte les données relatives aux paramètres clés qui indiquent les risques de sécurité potentiels. Par exemple, si une constatation de politique indique qu'un compartiment est accessible au public, cela ne signifie pas nécessairement qu'une entité externe a accédé au compartiment. De même, si une politique indique qu'un bucket est partagé avec une personne Compte AWS extérieure à votre organisation, Macie n'essaie pas de déterminer si cet accès est intentionnel et sûr. Ces résultats indiquent plutôt qu'une entité externe peut potentiellement accéder aux données du compartiment, ce qui peut constituer un risque de sécurité involontaire.