Menilai cakupan penemuan data sensitif otomatis

Saat penemuan data sensitif otomatis berlangsung untuk akun atau organisasi Anda, Amazon Macie menyediakan statistik dan detail untuk membantu Anda menilai dan memantau cakupannya atas warisan data Amazon Simple Storage Service (Amazon S3). Dengan data ini, Anda dapat memeriksa status penemuan data sensitif otomatis untuk data estate Anda secara keseluruhan dan untuk bucket S3 individual dalam inventaris bucket Anda. Anda juga dapat mengidentifikasi masalah yang mencegah Macie menganalisis objek dalam ember tertentu. Jika Anda memperbaiki masalah, Anda dapat meningkatkan cakupan data Amazon S3 Anda selama siklus analisis berikutnya.

Data cakupan menyediakan snapshot status penemuan data sensitif otomatis saat ini untuk bucket tujuan umum S3 Anda saat ini. Wilayah AWS Jika Anda adalah administrator Macie untuk suatu organisasi, ini termasuk bucket yang dimiliki akun anggota Anda. Untuk setiap bucket, data menunjukkan apakah masalah terjadi ketika Macie mencoba menganalisis objek di bucket. Jika masalah terjadi, data menunjukkan sifat setiap masalah dan, dalam kasus tertentu, jumlah kejadian. Data diperbarui saat penemuan data sensitif otomatis berlangsung setiap hari. Jika Macie menganalisis atau mencoba menganalisis satu atau lebih objek dalam ember selama siklus analisis harian, Macie memperbarui cakupan dan data lain untuk mencerminkan hasilnya.

Untuk jenis masalah tertentu, Anda dapat meninjau data secara agregat untuk semua bucket tujuan umum S3 Anda dan secara opsional menelusuri detail tambahan tentang setiap bucket. Misalnya, data cakupan dapat membantu Anda dengan cepat mengidentifikasi semua bucket yang tidak diizinkan diakses Macie untuk akun Anda. Data cakupan juga melaporkan masalah tingkat objek yang terjadi. Masalah-masalah ini, yang disebut sebagai kesalahan klasifikasi, mencegah Macie menganalisis objek tertentu dalam ember. Misalnya, Anda dapat menentukan berapa banyak objek yang tidak dapat dianalisis Macie dalam bucket karena objek dienkripsi dengan kunci AWS Key Management Service (AWS KMS) yang tidak lagi tersedia.

Jika Anda menggunakan konsol Amazon Macie untuk meninjau data cakupan, tampilan data Anda mencakup panduan untuk memulihkan setiap jenis masalah. Topik selanjutnya di bagian ini juga memberikan panduan remediasi untuk setiap jenis.

Topik

• Meninjau data cakupan
• Memperbaiki masalah cakupan
  • Akses ditolak
  • Kesalahan klasifikasi: Konten tidak valid
  • Kesalahan klasifikasi: Enkripsi tidak valid
  • Kesalahan klasifikasi: Kunci KMS tidak valid
  • Kesalahan klasifikasi: Izin ditolak
  • Tidak dapat diklasifikasikan

Meninjau data cakupan penemuan data sensitif otomatis

Untuk meninjau dan menilai cakupan penemuan data sensitif otomatis, Anda dapat menggunakan konsol Amazon Macie atau Amazon Macie API. Baik konsol maupun API menyediakan data yang menunjukkan status analisis saat ini untuk bucket tujuan umum Amazon Simple Storage Service (Amazon S3) Anda saat ini. Wilayah AWS Data mencakup informasi tentang masalah yang menciptakan kesenjangan dalam analisis:

• Bucket yang Macie tidak diizinkan untuk diakses. Macie tidak dapat menganalisis objek apa pun di ember ini karena pengaturan izin ember mencegah Macie mengakses ember dan objek ember.

• Ember yang tidak menyimpan objek yang dapat diklasifikasikan. Macie tidak dapat menganalisis objek apa pun di bucket ini karena semua objek menggunakan kelas penyimpanan Amazon S3 yang tidak didukung Macie, atau mereka memiliki ekstensi nama file untuk format file atau penyimpanan yang tidak didukung Macie.

• Bucket yang belum dapat dianalisis Macie karena kesalahan klasifikasi tingkat objek. Macie berusaha menganalisis satu atau lebih objek dalam ember ini. Namun, Macie tidak dapat menganalisis objek karena masalah dengan pengaturan izin tingkat objek, konten objek, atau kuota.

Data cakupan diperbarui saat penemuan data sensitif otomatis berlangsung setiap hari. Jika Anda administrator Macie untuk suatu organisasi, data tersebut menyertakan informasi untuk bucket S3 yang dimiliki akun anggota Anda.

catatan

Data cakupan tidak secara eksplisit menyertakan hasil untuk pekerjaan penemuan data sensitif yang telah Anda buat dan jalankan. Namun, memulihkan masalah cakupan yang memengaruhi hasil penemuan data sensitif otomatis Anda kemungkinan juga akan meningkatkan cakupan oleh pekerjaan penemuan data sensitif yang kemudian Anda jalankan. Untuk menilai cakupan untuk suatu pekerjaan, tinjau statistik dan hasil pekerjaan. Jika peristiwa log pekerjaan atau hasil lainnya menunjukkan masalah cakupan, panduan remediasi nanti di bagian ini dapat membantu Anda mengatasi beberapa masalah.

Untuk meninjau data cakupan penemuan data sensitif otomatis

Anda dapat menggunakan konsol Amazon Macie atau Amazon Macie API untuk meninjau data cakupan akun atau organisasi Anda. Di konsol, satu halaman menyediakan tampilan data cakupan terpadu untuk semua bucket tujuan umum S3 Anda, termasuk rollup masalah yang baru-baru ini terjadi untuk setiap bucket. Halaman ini juga menyediakan opsi untuk meninjau grup data berdasarkan jenis masalah. Untuk melacak penyelidikan masalah untuk bucket tertentu, Anda dapat mengekspor data dari halaman ke file nilai yang dipisahkan koma (CSV).

Console

Ikuti langkah-langkah berikut untuk meninjau data cakupan penemuan data sensitif otomatis dengan menggunakan konsol Amazon Macie.

Untuk meninjau data cakupan

1. Buka konsol Amazon Macie di https://console.aws.amazon.com/macie/.

2. Di panel navigasi, pilih Cakupan sumber daya.

3. Pada halaman cakupan sumber daya, pilih tab untuk jenis data cakupan yang ingin Anda tinjau:

   • Semua — Daftar semua bucket yang dipantau dan dianalisis Macie untuk akun Anda.

     Untuk setiap bucket, bidang Masalah menunjukkan apakah masalah mencegah Macie menganalisis objek di bucket. Jika nilai untuk bidang ini adalah None, Macie telah menganalisis setidaknya satu objek bucket atau Macie belum mencoba menganalisis objek bucket apa pun. Jika ada masalah, bidang ini menunjukkan sifat masalah dan cara memperbaiki masalah. Untuk kesalahan klasifikasi tingkat objek, mungkin juga menunjukkan (dalam tanda kurung) jumlah kejadian kesalahan.

   • Akses ditolak — Daftar bucket yang Macie tidak diizinkan untuk diakses. Pengaturan izin untuk bucket ini mencegah Macie mengakses bucket dan objek ember. Akibatnya, Macie tidak dapat menganalisis objek apa pun di ember ini.

   • Kesalahan klasifikasi — Daftar bucket yang belum dianalisis Macie karena kesalahan klasifikasi tingkat objek—masalah dengan pengaturan izin tingkat objek, konten objek, atau kuota.

     Untuk setiap bucket, field Issues menunjukkan sifat dari setiap jenis kesalahan yang terjadi dan mencegah Macie menganalisis objek di bucket. Ini juga menunjukkan bagaimana memperbaiki setiap jenis kesalahan. Bergantung pada kesalahannya, itu mungkin juga menunjukkan (dalam tanda kurung) jumlah kemunculan kesalahan.

   • Tidak dapat diklasifikasikan - Daftar bucket yang tidak dapat dianalisis Macie karena mereka tidak menyimpan objek yang dapat diklasifikasikan. Semua objek dalam bucket ini menggunakan kelas penyimpanan Amazon S3 yang tidak didukung atau memiliki ekstensi nama file untuk format file atau penyimpanan yang tidak didukung. Akibatnya, Macie tidak dapat menganalisis objek apa pun di ember ini.

4. Untuk menelusuri dan meninjau data pendukung untuk bucket, pilih nama bucket. Kemudian lihat panel detail ember untuk statistik dan informasi lain tentang ember.

5. Untuk mengekspor tabel ke file CSV, pilih Ekspor ke CSV di bagian atas halaman. File CSV yang dihasilkan berisi subset metadata untuk setiap bucket dalam tabel, hingga 50.000 bucket. File tersebut menyertakan bidang Masalah Cakupan. Nilai untuk bidang ini menunjukkan apakah masalah mencegah Macie menganalisis objek di ember dan, jika demikian, sifat masalahnya.

API

Untuk meninjau data cakupan secara terprogram, tentukan kriteria filter dalam kueri yang Anda kirimkan menggunakan DescribeBucketspengoperasian Amazon Macie API. Operasi ini mengembalikan susunan objek. Setiap objek berisi data statistik dan informasi lain tentang bucket tujuan umum S3 yang cocok dengan kriteria filter.

Dalam kriteria filter, sertakan kondisi untuk jenis data cakupan yang ingin Anda tinjau:

• Untuk mengidentifikasi bucket yang tidak diizinkan diakses oleh Macie karena pengaturan izin ember, sertakan kondisi di mana nilai untuk bidang sama. errorCode ACCESS_DENIED

• Untuk mengidentifikasi bucket yang diizinkan diakses oleh Macie dan belum dianalisis, sertakan kondisi di mana nilai untuk sensitivityScore bidang sama 50 dan nilai untuk errorCode bidang tidak sama. ACCESS_DENIED

• Untuk mengidentifikasi bucket yang tidak dapat dianalisis Macie karena semua objek ember menggunakan kelas atau format penyimpanan yang tidak didukung, sertakan kondisi di mana nilai untuk classifiableSizeInBytes bidang sama 0 dan nilai untuk bidang lebih besar dari. sizeInBytes 0

• Untuk mengidentifikasi bucket yang Macie telah menganalisis setidaknya satu objek, sertakan kondisi di mana nilai sensitivityScore lapangan berada dalam kisaran 1-99 tetapi tidak sama dengan. 50 Untuk juga menyertakan bucket di mana Anda secara manual menetapkan skor maksimum, kisarannya harus 1-100.

• Untuk mengidentifikasi bucket yang belum dianalisis Macie karena kesalahan klasifikasi tingkat objek, sertakan kondisi di mana nilai untuk bidang sama. sensitivityScore -1 Untuk kemudian meninjau rincian jenis dan jumlah kesalahan yang terjadi untuk bucket tertentu, gunakan GetResourceProfileoperasi.

Jika Anda menggunakan AWS Command Line Interface (AWS CLI), tentukan kriteria filter dalam kueri yang Anda kirimkan dengan menjalankan perintah describe-buckets. Untuk meninjau rincian jenis dan jumlah kesalahan yang terjadi untuk bucket S3 tertentu, jika ada, jalankan get-resource-profileperintah.

Misalnya, AWS CLI perintah berikut menggunakan kriteria filter untuk mengambil detail semua bucket S3 yang Macie tidak diizinkan untuk diakses karena pengaturan izin ember.

Contoh ini diformat untuk Linux, macOS, atau Unix:

$ aws macie2 describe-buckets --criteria '{"errorCode":{"eq":["ACCESS_DENIED"]}}'

Contoh ini diformat untuk Microsoft Windows:

C:\> aws macie2 describe-buckets --criteria={\"errorCode\":{\"eq\":[\"ACCESS_DENIED\"]}}

Jika permintaan Anda berhasil, Macie mengembalikan array. buckets Array berisi objek untuk setiap bucket S3 yang ada di saat ini Wilayah AWS dan cocok dengan kriteria filter.

Jika tidak ada bucket S3 yang cocok dengan kriteria filter, Macie mengembalikan array kosong. buckets

{
    "buckets": []
}

Untuk informasi selengkapnya tentang menentukan kriteria filter dalam kueri, termasuk contoh kriteria umum, lihat. Memfilter inventaris bucket S3 Anda

Memulihkan masalah cakupan untuk penemuan data sensitif otomatis

Amazon Macie melaporkan beberapa jenis masalah yang mengurangi cakupan penemuan data sensitif otomatis dari data Amazon Simple Storage Service (Amazon S3). Informasi berikut dapat membantu Anda menyelidiki dan memulihkan masalah ini.

Jenis dan detail masalah

• Akses ditolak
• Kesalahan klasifikasi: Konten tidak valid
• Kesalahan klasifikasi: Enkripsi tidak valid
• Kesalahan klasifikasi: Kunci KMS tidak valid
• Kesalahan klasifikasi: Izin ditolak
• Tidak dapat diklasifikasikan

Tip

Untuk menyelidiki kesalahan klasifikasi tingkat objek untuk bucket S3, mulailah dengan meninjau daftar sampel objek untuk bucket. Daftar ini menunjukkan objek mana yang dianalisis atau dicoba dianalisis Macie dalam ember, hingga 100 objek.

Untuk meninjau daftar di konsol Amazon Macie, pilih bucket di halaman bucket S3, lalu pilih tab Object samples di panel bucket details. Untuk meninjau daftar secara terprogram, gunakan ListResourceProfileArtifactspengoperasian Amazon Macie API. Jika status analisis untuk objek adalah Skipped (SKIPPED), objek mungkin telah menyebabkan kesalahan.

Akses ditolak

Masalah ini menunjukkan bahwa setelan izin bucket S3 mencegah Macie mengakses bucket dan objek bucket. Macie tidak dapat mengambil dan menganalisis objek apa pun di ember.

Detail

Penyebab paling umum untuk jenis masalah ini adalah kebijakan bucket yang membatasi. Kebijakan bucket adalah kebijakan berbasis sumber daya AWS Identity and Access Management (IAM) yang menentukan tindakan yang dapat dilakukan oleh prinsipal (pengguna, akun, layanan, atau entitas lain) pada bucket S3, dan kondisi di mana prinsipal dapat melakukan tindakan tersebut. Kebijakan bucket yang membatasi menggunakan pernyataan eksplisit Allow atau Deny pernyataan yang memberikan atau membatasi akses ke data bucket berdasarkan kondisi tertentu. Misalnya, kebijakan bucket mungkin berisi Deny pernyataan Allow atau yang menolak akses ke bucket kecuali alamat IP sumber tertentu digunakan untuk mengakses bucket.

Jika kebijakan bucket untuk bucket S3 berisi Deny pernyataan eksplisit dengan satu atau beberapa kondisi, Macie mungkin tidak diizinkan untuk mengambil dan menganalisis objek bucket untuk mendeteksi data sensitif. Macie hanya dapat memberikan subset informasi tentang bucket, seperti nama bucket dan tanggal pembuatan.

Panduan remediasi

Untuk mengatasi masalah ini, perbarui kebijakan bucket untuk bucket S3. Pastikan kebijakan memungkinkan Macie mengakses bucket dan objek bucket. Untuk mengizinkan akses ini, tambahkan kondisi untuk peran (AWSServiceRoleForAmazonMacie) terkait layanan Macie ke kebijakan. Kondisi tersebut harus mengecualikan peran terkait layanan Macie agar tidak cocok dengan Deny pembatasan dalam kebijakan. Hal ini dapat dilakukan dengan menggunakan kunci konteks kondisi aws:PrincipalArn global dan Amazon Resource Name (ARN) dari peran terkait layanan Macie untuk akun Anda.

Jika Anda memperbarui kebijakan bucket dan Macie mendapatkan akses ke bucket S3, Macie akan mendeteksi perubahan tersebut. Ketika ini terjadi, Macie akan memperbarui statistik, data inventaris, dan informasi lain yang diberikannya tentang data Amazon S3 Anda. Selain itu, objek bucket akan menjadi prioritas yang lebih tinggi untuk analisis selama siklus analisis berikutnya.

Referensi tambahan

Untuk informasi selengkapnya tentang memperbarui kebijakan bucket S3 agar Macie dapat mengakses bucket, lihat. Mengizinkan Amazon Macie untuk mengakses bucket S3 dan objek Untuk informasi tentang penggunaan kebijakan bucket untuk mengontrol akses ke bucket, lihat Kebijakan Bucket dan kebijakan pengguna serta Cara Amazon S3 mengotorisasi permintaan di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

Kesalahan klasifikasi: Konten tidak valid

Jenis kesalahan klasifikasi ini terjadi jika Macie mencoba menganalisis objek dalam bucket S3 dan objek tersebut cacat atau objek berisi konten yang melebihi kuota penemuan data sensitif. Macie tidak bisa menganalisis objeknya.

Detail

Kesalahan ini biasanya terjadi karena objek S3 adalah file yang cacat atau rusak. Akibatnya, Macie tidak dapat mengurai dan menganalisis semua data dalam file.

Kesalahan ini juga dapat terjadi jika analisis objek S3 akan melebihi kuota penemuan data sensitif untuk file individual. Misalnya, ukuran penyimpanan objek melebihi kuota ukuran untuk jenis file tersebut.

Untuk kedua kasus tersebut, Macie tidak dapat menyelesaikan analisisnya terhadap objek S3 dan status analisis untuk objek tersebut adalah Skipped (). SKIPPED

Panduan remediasi

Untuk menyelidiki kesalahan ini, unduh objek S3 dan periksa pemformatan dan isi file. Juga menilai isi file terhadap kuota Macie untuk penemuan data sensitif.

Jika Anda tidak memperbaiki kesalahan ini, Macie akan mencoba menganalisis objek lain di bucket S3. Jika Macie berhasil menganalisis objek lain, Macie akan memperbarui data cakupan dan informasi lain yang diberikannya tentang bucket.

Referensi tambahan

Untuk daftar kuota penemuan data sensitif, termasuk kuota untuk jenis file tertentu, lihat. Kuota Amazon Macie Untuk informasi tentang cara Macie memperbarui skor sensitivitas dan informasi lain yang diberikannya tentang bucket S3, lihat. Cara kerja penemuan data sensitif otomatis

Kesalahan klasifikasi: Enkripsi tidak valid

Jenis kesalahan klasifikasi ini terjadi jika Macie mencoba menganalisis objek dalam bucket S3 dan objek dienkripsi dengan kunci yang disediakan pelanggan. Objek menggunakan enkripsi SSE-C, yang berarti bahwa Macie tidak dapat mengambil dan menganalisis objek.

Detail

Amazon S3 mendukung beberapa opsi enkripsi untuk objek S3. Untuk sebagian besar opsi ini, Macie dapat mendekripsi objek dengan menggunakan peran terkait layanan Macie untuk akun Anda. Namun, ini tergantung pada jenis enkripsi yang digunakan.

Agar Macie dapat mendekripsi objek S3, objek harus dienkripsi dengan kunci yang dapat diakses Macie dan diizinkan untuk digunakan. Jika objek dienkripsi dengan kunci yang disediakan pelanggan, Macie tidak dapat menyediakan materi kunci yang diperlukan untuk mengambil objek dari Amazon S3. Akibatnya, Macie tidak dapat menganalisis objek dan status analisis untuk objek tersebut adalah Skipped ()SKIPPED.

Panduan remediasi

Untuk memperbaiki kesalahan ini, enkripsi objek S3 dengan kunci terkelola Amazon S3 atau kunci (). AWS Key Management Service AWS KMS Jika Anda lebih suka menggunakan AWS KMS kunci, kunci dapat AWS dikelola kunci KMS, atau kunci KMS yang dikelola pelanggan yang diizinkan untuk digunakan oleh Macie.

Untuk mengenkripsi objek S3 yang ada dengan kunci yang dapat diakses dan digunakan Macie, Anda dapat mengubah pengaturan enkripsi untuk objek. Untuk mengenkripsi objek baru dengan kunci yang dapat diakses dan digunakan Macie, ubah pengaturan enkripsi default untuk bucket S3. Pastikan juga bahwa kebijakan bucket tidak memerlukan objek baru untuk dienkripsi dengan kunci yang disediakan pelanggan.

Jika Anda tidak memperbaiki kesalahan ini, Macie akan mencoba menganalisis objek lain di bucket S3. Jika Macie berhasil menganalisis objek lain, Macie akan memperbarui data cakupan dan informasi lain yang diberikannya tentang bucket.

Referensi tambahan

Untuk informasi tentang persyaratan dan opsi untuk menggunakan Macie untuk menganalisis objek S3 terenkripsi, lihat. Menganalisis objek Amazon S3 terenkripsi dengan Amazon Macie Untuk informasi tentang opsi dan setelan enkripsi untuk bucket S3, lihat Melindungi data dengan enkripsi dan Menyetel perilaku enkripsi sisi server default untuk bucket S3 di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

Kesalahan klasifikasi: Kunci KMS tidak valid

Jenis kesalahan klasifikasi ini terjadi jika Macie mencoba menganalisis objek dalam bucket S3 dan objek dienkripsi dengan kunci AWS Key Management Service (AWS KMS) yang tidak lagi tersedia. Macie tidak dapat mengambil dan menganalisis objek.

Detail

AWS KMS menyediakan opsi untuk menonaktifkan dan menghapus pelanggan yang dikelola. AWS KMS keys Jika objek S3 dienkripsi dengan kunci KMS yang dinonaktifkan, dijadwalkan untuk dihapus, atau dihapus, Macie tidak dapat mengambil dan mendekripsi objek. Akibatnya, Macie tidak dapat menganalisis objek dan status analisis untuk objek tersebut adalah Skipped ()SKIPPED. Agar Macie dapat menganalisis objek terenkripsi, objek harus dienkripsi dengan kunci yang dapat diakses Macie dan diizinkan untuk digunakan.

Panduan remediasi

Untuk memperbaiki kesalahan ini, aktifkan kembali atau batalkan penghapusan terjadwal yang berlaku AWS KMS key, tergantung pada status kunci saat ini. Jika kunci yang berlaku sudah dihapus, kesalahan ini tidak dapat diperbaiki.

Untuk menentukan mana AWS KMS key yang digunakan untuk mengenkripsi objek S3, Anda dapat memulai dengan menggunakan Macie untuk meninjau pengaturan enkripsi sisi server untuk bucket S3. Jika pengaturan enkripsi default untuk bucket dikonfigurasi untuk menggunakan kunci KMS, detail bucket menunjukkan kunci mana yang digunakan. Anda kemudian dapat memeriksa status kunci itu. Atau, Anda dapat menggunakan Amazon S3 untuk meninjau pengaturan enkripsi untuk bucket dan objek individual di bucket.

Jika Anda tidak memperbaiki kesalahan ini, Macie akan mencoba menganalisis objek lain di bucket S3. Jika Macie berhasil menganalisis objek lain, Macie akan memperbarui data cakupan dan informasi lain yang diberikannya tentang bucket.

Referensi tambahan

Untuk informasi tentang penggunaan Macie guna meninjau setelan enkripsi sisi server untuk bucket S3, lihat. Meninjau detail ember S3 Untuk informasi tentang mengaktifkan kembali atau membatalkan penghapusan terjadwal AWS KMS key, lihat Mengaktifkan dan menonaktifkan kunci serta Menjadwalkan dan membatalkan penghapusan kunci di Panduan Pengembang.AWS Key Management Service

Kesalahan klasifikasi: Izin ditolak

Jenis kesalahan klasifikasi ini terjadi jika Macie mencoba menganalisis objek dalam bucket S3 dan Macie tidak dapat mengambil atau mendekripsi objek karena pengaturan izin untuk objek atau pengaturan izin untuk kunci yang digunakan untuk mengenkripsi objek. Macie tidak dapat mengambil dan menganalisis objek.

Detail

Kesalahan ini biasanya terjadi karena objek S3 dienkripsi dengan kunci terkelola pelanggan AWS Key Management Service (AWS KMS) yang tidak diizinkan untuk digunakan oleh Macie. Jika objek dienkripsi dengan pelanggan yang dikelola AWS KMS key, kebijakan kunci harus mengizinkan Macie untuk mendekripsi data dengan menggunakan kunci.

Kesalahan ini juga dapat terjadi jika pengaturan izin Amazon S3 mencegah Macie mengambil objek S3. Kebijakan bucket untuk bucket S3 mungkin membatasi akses ke objek bucket tertentu atau hanya mengizinkan prinsipal tertentu (pengguna, akun, layanan, atau entitas lain) untuk mengakses objek. Atau daftar kontrol akses (ACL) untuk objek mungkin membatasi akses ke objek. Akibatnya, Macie mungkin tidak diizinkan untuk mengakses objek.

Untuk salah satu kasus sebelumnya, Macie tidak dapat mengambil dan menganalisis objek, dan status analisis untuk objek adalah Skipped (). SKIPPED

Panduan remediasi

Untuk memperbaiki kesalahan ini, tentukan apakah objek S3 dienkripsi dengan pelanggan yang dikelola. AWS KMS key Jika ya, pastikan bahwa kebijakan kunci memungkinkan Macie service-linked role (AWSServiceRoleForAmazonMacie) untuk mendekripsi data dengan kunci. Bagaimana Anda mengizinkan akses ini tergantung pada apakah akun yang memiliki AWS KMS key juga memiliki bucket S3 yang menyimpan objek. Jika akun yang sama memiliki kunci KMS dan bucket, pengguna akun harus memperbarui kebijakan kunci tersebut. Jika satu akun memiliki kunci KMS dan akun lain memiliki bucket, pengguna akun yang memiliki kunci harus mengizinkan akses lintas akun ke kunci tersebut.

Tip

Anda dapat secara otomatis membuat daftar semua pelanggan yang dikelola AWS KMS keys yang perlu diakses Macie untuk menganalisis objek di bucket S3 untuk akun Anda. Untuk melakukan ini, jalankan skrip AWS KMS Permission Analyzer, yang tersedia dari repositori Amazon Macie Scripts. GitHub Script juga dapat menghasilkan script tambahan dari AWS Command Line Interface (AWS CLI) perintah. Anda dapat menjalankan perintah tersebut secara opsional untuk memperbarui pengaturan konfigurasi dan kebijakan yang diperlukan untuk kunci KMS yang Anda tentukan.

Jika Macie sudah diizinkan untuk menggunakan objek yang berlaku AWS KMS key atau objek S3 tidak dienkripsi dengan kunci KMS yang dikelola pelanggan, pastikan bahwa kebijakan bucket memungkinkan Macie mengakses objek. Juga memverifikasi bahwa ACL objek memungkinkan Macie untuk membaca data objek dan metadata.

Untuk kebijakan bucket, Anda dapat mengizinkan akses ini dengan menambahkan kondisi untuk peran terkait layanan Macie ke kebijakan. Kondisi tersebut harus mengecualikan peran terkait layanan Macie agar tidak cocok dengan Deny pembatasan dalam kebijakan. Hal ini dapat dilakukan dengan menggunakan kunci konteks kondisi aws:PrincipalArn global dan Amazon Resource Name (ARN) dari peran terkait layanan Macie untuk akun Anda.

Untuk objek ACL, Anda dapat mengizinkan akses ini dengan bekerja dengan pemilik objek untuk menambahkan Anda Akun AWS sebagai penerima hibah dengan READ izin untuk objek. Macie kemudian dapat menggunakan peran terkait layanan untuk akun Anda untuk mengambil dan menganalisis objek. Pertimbangkan juga untuk mengubah pengaturan Kepemilikan Objek untuk bucket. Anda dapat menggunakan pengaturan ini untuk menonaktifkan ACL untuk semua objek di bucket dan memberikan izin kepemilikan ke akun yang memiliki bucket.

Jika Anda tidak memperbaiki kesalahan ini, Macie akan mencoba menganalisis objek lain di bucket S3. Jika Macie berhasil menganalisis objek lain, Macie akan memperbarui data cakupan dan informasi lain yang diberikannya tentang bucket.

Referensi tambahan

Untuk informasi selengkapnya tentang mengizinkan Macie mendekripsi data dengan pelanggan yang dikelola AWS KMS key, lihat. Mengizinkan Amazon Macie menggunakan pelanggan yang dikelola AWS KMS key Untuk informasi tentang memperbarui kebijakan bucket S3 agar Macie dapat mengakses bucket, lihat. Mengizinkan Amazon Macie untuk mengakses bucket S3 dan objek

Untuk informasi tentang memperbarui kebijakan kunci, lihat Mengubah kebijakan kunci di Panduan AWS Key Management Service Pengembang. Untuk informasi tentang penggunaan pelanggan yang AWS KMS keys berhasil mengenkripsi objek S3, lihat Menggunakan enkripsi sisi server dengan kunci AWS KMS di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

Untuk informasi tentang penggunaan kebijakan bucket untuk mengontrol akses ke bucket S3, lihat Kebijakan Bucket dan kebijakan pengguna dan Cara Amazon S3 mengotorisasi permintaan di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon. Untuk informasi tentang menggunakan setelan ACL atau Kepemilikan Objek untuk mengontrol akses ke objek S3, lihat Mengelola akses dengan ACL dan Mengontrol kepemilikan objek dan menonaktifkan ACL untuk bucket Anda di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

Tidak dapat diklasifikasikan

Masalah ini menunjukkan bahwa semua objek dalam bucket S3 disimpan menggunakan kelas penyimpanan Amazon S3 yang tidak didukung atau format file atau penyimpanan yang tidak didukung. Macie tidak dapat menganalisis objek apa pun di ember.

Detail

Agar memenuhi syarat untuk seleksi dan analisis, objek S3 harus menggunakan kelas penyimpanan Amazon S3 yang didukung Macie. Objek juga harus memiliki ekstensi nama file untuk file atau format penyimpanan yang didukung Macie. Jika objek tidak memenuhi kriteria ini, objek diperlakukan sebagai objek yang tidak dapat diklasifikasikan. Macie tidak mencoba mengambil atau menganalisis data dalam objek yang tidak dapat diklasifikasikan.

Jika semua objek dalam bucket S3 adalah objek yang tidak dapat diklasifikasikan, keseluruhan bucket adalah bucket yang tidak dapat diklasifikasikan. Macie tidak dapat melakukan penemuan data sensitif otomatis untuk bucket.

Panduan remediasi

Untuk mengatasi masalah ini, tinjau aturan konfigurasi siklus hidup dan setelan lain yang menentukan kelas penyimpanan mana yang digunakan untuk menyimpan objek di bucket S3. Pertimbangkan untuk menyesuaikan pengaturan tersebut untuk menggunakan kelas penyimpanan yang didukung Macie. Anda juga dapat mengubah kelas penyimpanan objek yang ada di bucket.

Juga menilai file dan format penyimpanan objek yang ada di bucket S3. Untuk menganalisis objek, pertimbangkan untuk mem-porting data, baik sementara atau permanen, ke objek baru yang menggunakan format yang didukung.

Jika objek ditambahkan ke bucket S3 dan mereka menggunakan kelas dan format penyimpanan yang didukung, Macie akan mendeteksi objek saat berikutnya mengevaluasi inventaris bucket Anda. Ketika ini terjadi, Macie akan berhenti melaporkan bahwa bucket tidak dapat diklasifikasikan dalam statistik, data cakupan, dan informasi lain yang diberikannya tentang data Amazon S3 Anda. Selain itu, objek baru akan menjadi prioritas yang lebih tinggi untuk analisis selama siklus analisis berikutnya.

Referensi tambahan

Untuk informasi tentang kelas penyimpanan Amazon S3 serta format file dan penyimpanan yang didukung Macie, lihat. Kelas dan format penyimpanan yang didukung oleh Amazon Macie Untuk informasi tentang aturan konfigurasi siklus hidup dan opsi kelas penyimpanan yang disediakan Amazon S3, lihat Mengelola siklus hidup penyimpanan Anda dan Menggunakan kelas penyimpanan Amazon S3 di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.