Tipe temuan Amazon Macie

Amazon Macie menghasilkan dua kategori temuan: temuan kebijakan dan temuan data sensitif. Temuan kebijakan adalah laporan terperinci tentang potensi pelanggaran kebijakan atau masalah keamanan atau privasi bucket tujuan umum Amazon Simple Storage Service (Amazon S3). Macie menghasilkan temuan kebijakan sebagai bagian dari kegiatan yang sedang berlangsung untuk mengevaluasi dan memantau ember tujuan umum Anda untuk keamanan dan kontrol akses. Temuan data sensitif adalah laporan rinci dari data sensitif yang dideteksi Macie dalam objek S3. Macie menghasilkan temuan data sensitif sebagai bagian dari aktivitas yang dilakukannya saat Anda menjalankan pekerjaan penemuan data sensitif atau melakukan penemuan data sensitif otomatis.

Dalam setiap kategori, ada jenis tertentu. Jenis temuan memberikan wawasan tentang sifat masalah atau data sensitif yang ditemukan Macie. Detail temuan memberikan peringkat keparahan, informasi tentang sumber daya yang terpengaruh, dan informasi tambahan, seperti kapan dan bagaimana Macie menemukan masalah atau data sensitif. Tingkat keparahan dan detail setiap temuan bervariasi tergantung pada jenis dan sifat temuan.

Tip

Untuk mengeksplorasi dan mempelajari tentang berbagai kategori dan jenis temuan yang dapat dihasilkan Macie, buatlah temuan sampel. Temuan sampel menggunakan data contoh dan nilai placeholder untuk menunjukkan jenis informasi yang mungkin terkandung dalam setiap jenis temuan.

Jenis temuan kebijakan

Amazon Macie menghasilkan temuan kebijakan saat kebijakan atau pengaturan untuk bucket tujuan umum S3 diubah dengan cara yang mengurangi keamanan atau privasi bucket dan objek bucket. Untuk informasi tentang cara Macie mendeteksi perubahan ini, lihat. Bagaimana Macie memantau keamanan data Amazon S3

Macie menghasilkan temuan kebijakan hanya jika perubahan terjadi setelah Anda mengaktifkan Macie untuk Anda. Akun AWS Misalnya, jika setelan blokir akses publik dinonaktifkan untuk bucket S3 setelah Anda mengaktifkan Macie, Macie akan menghasilkan temuan Policy: IAMUser /S3 BlockPublicAccessDisabled untuk bucket. Jika setelan blokir akses publik dinonaktifkan untuk bucket saat Anda mengaktifkan Macie dan setelan tersebut terus dinonaktifkan, Macie tidak akan menghasilkan BlockPublicAccessDisabled temuan Policy: IAMUser /S3 untuk bucket tersebut.

Jika Macie mendeteksi kejadian berikutnya dari temuan kebijakan yang ada, Macie memperbarui temuan yang ada dengan menambahkan rincian tentang kejadian berikutnya dan menambah jumlah kejadian. Macie menyimpan temuan kebijakan selama 90 hari.

Macie dapat menghasilkan jenis temuan kebijakan berikut untuk ember tujuan umum S3.

Policy:IAMUser/S3BlockPublicAccessDisabled

Semua pengaturan akses publik blok tingkat ember dinonaktifkan untuk bucket. Akses ke bucket dikendalikan oleh pengaturan blokir akses publik untuk akun, daftar kontrol akses (ACLs), dan kebijakan bucket untuk bucket.

Untuk mempelajari pengaturan blok akses publik untuk bucket S3, lihat Memblokir akses publik ke penyimpanan Amazon S3 Anda di Panduan Pengguna Amazon Simple Storage Service.

Policy:IAMUser/S3BucketEncryptionDisabled

Pengaturan enkripsi default untuk bucket disetel ulang ke perilaku enkripsi Amazon S3 default, yaitu mengenkripsi objek baru secara otomatis dengan kunci terkelola Amazon S3.

Mulai 5 Januari 2023, Amazon S3 secara otomatis menerapkan enkripsi sisi server dengan SSE kunci terkelola Amazon S3 (-S3) sebagai tingkat dasar enkripsi untuk objek yang ditambahkan ke bucket. Anda dapat mengonfigurasi pengaturan enkripsi default bucket secara opsional untuk menggunakan enkripsi sisi server dengan enkripsi sisi server AWS KMS kunci (SSE-KMS) atau dual-layer dengan kunci (-). AWS KMS DSSE KMS Untuk mempelajari setelan dan opsi enkripsi default untuk bucket S3, lihat Menyetel perilaku enkripsi sisi server default untuk bucket S3 di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

Jika Macie membuat jenis temuan ini sebelum 5 Januari 2023, temuan tersebut menunjukkan bahwa pengaturan enkripsi default dinonaktifkan untuk bucket yang terpengaruh. Ini berarti bahwa pengaturan bucket tidak menentukan perilaku enkripsi sisi server default untuk objek baru. Kemampuan untuk menonaktifkan pengaturan enkripsi default untuk bucket tidak lagi didukung oleh Amazon S3.

Policy:IAMUser/S3BucketPublic

Kebijakan ACL atau bucket untuk bucket diubah untuk mengizinkan akses oleh pengguna anonim atau semua identitas AWS Identity and Access Management (IAM) yang diautentikasi.

Untuk mempelajari tentang ACLs dan kebijakan bucket untuk bucket S3, lihat Manajemen akses di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

Policy:IAMUser/S3BucketReplicatedExternally

Replikasi diaktifkan dan dikonfigurasi untuk mereplikasi objek dari bucket ke bucket untuk Akun AWS yang eksternal (bukan bagian dari) organisasi Anda. Organisasi adalah seperangkat akun Macie yang dikelola secara terpusat sebagai sekelompok akun terkait melalui AWS Organizations atau oleh undangan Macie.

Dalam kondisi tertentu, Macie mungkin menghasilkan jenis temuan ini untuk bucket yang tidak dikonfigurasi untuk mereplikasi objek ke bucket untuk eksternal. Akun AWSHal ini dapat terjadi jika bucket tujuan dibuat berbeda Wilayah AWS selama 24 jam sebelumnya, setelah Macie mengambil bucket dan metadata objek dari Amazon S3 sebagai bagian dari siklus penyegaran harian. Untuk menyelidiki temuan, mulailah dengan menyegarkan data inventaris Anda. Kemudian tinjau detail ember. Detailnya menunjukkan apakah bucket dikonfigurasi untuk mereplikasi objek ke bucket lain. Jika bucket dikonfigurasi untuk melakukan ini, detailnya menyertakan ID akun untuk setiap akun yang memiliki bucket tujuan.

Untuk mempelajari tentang pengaturan replikasi untuk bucket S3, lihat Mereplikasi objek di Panduan Pengguna Amazon Simple Storage Service.

Policy:IAMUser/S3BucketSharedExternally

Kebijakan ACL atau bucket untuk bucket diubah agar bucket dapat dibagikan dengan Akun AWS yang eksternal (bukan bagian dari) organisasi Anda. Organisasi adalah seperangkat akun Macie yang dikelola secara terpusat sebagai sekelompok akun terkait melalui AWS Organizations atau oleh undangan Macie.

Dalam kasus tertentu, Macie mungkin menghasilkan jenis temuan ini untuk bucket yang tidak dibagikan dengan AWS akun eksternal. Hal ini dapat terjadi jika Macie tidak dapat sepenuhnya mengevaluasi hubungan antara Principal elemen dalam kebijakan bucket dan kunci konteks kondisi AWS global tertentu atau kunci kondisi Amazon S3 dalam Condition elemen kebijakan. Kunci kondisi yang berlaku adalah:aws:PrincipalAccount,aws:PrincipalArn,aws:PrincipalOrgID,aws:PrincipalOrgPaths,,aws:PrincipalTag,aws:PrincipalType,aws:SourceAccount,aws:SourceArn,aws:SourceIp,aws:SourceVpc,aws:SourceVpce,aws:userid,s3:DataAccessPointAccount, dans3:DataAccessPointArn. Kami menyarankan Anda meninjau kebijakan bucket untuk menentukan apakah akses ini dimaksudkan dan aman.

Untuk mempelajari tentang ACLs dan kebijakan bucket untuk bucket S3, lihat Manajemen akses di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

Policy:IAMUser/S3BucketSharedWithCloudFront

Kebijakan bucket untuk bucket diubah agar bucket dapat dibagikan dengan identitas akses CloudFront asal Amazon (OAI), kontrol akses CloudFront asal (OAC), atau keduanya a CloudFront OAI dan a CloudFront OAC. A CloudFront OAI atau OAC memungkinkan pengguna untuk mengakses objek bucket melalui satu atau CloudFront beberapa distribusi tertentu.

Untuk mempelajari CloudFront OAIs danOACs, lihat Membatasi akses ke asal Amazon S3 di Panduan Pengembang CloudFrontAmazon.

catatan

Dalam kasus tertentu, Macie menghasilkan temuan Policy: IAMUser /S3 alih-alih BucketSharedExternally temuan Policy: IAMUser /S3 BucketSharedWithCloudFront untuk bucket. Kasus-kasus ini adalah:

• Bucket dibagikan dengan Akun AWS yang eksternal untuk organisasi Anda, selain CloudFront OAI atauOAC.

• Kebijakan bucket menentukan ID pengguna kanonik, bukan Amazon Resource Name (ARN), dari file. CloudFront OAI

Ini menghasilkan temuan kebijakan tingkat keparahan yang lebih tinggi untuk ember.

Jenis temuan data sensitif

Macie menghasilkan temuan data sensitif ketika mendeteksi data sensitif dalam objek S3 yang dianalisis untuk menemukan data sensitif. Ini termasuk analisis yang dilakukan Macie saat Anda menjalankan pekerjaan penemuan data sensitif atau melakukan penemuan data sensitif otomatis.

Misalnya, jika Anda membuat dan menjalankan pekerjaan penemuan data sensitif dan Macie mendeteksi nomor rekening bank di objek S3, Macie menghasilkan temuan: SensitiveData S3Object/Financial untuk objek tersebut. Demikian pula, jika Macie mendeteksi nomor rekening bank dalam objek S3 yang dianalisis selama siklus penemuan data sensitif otomatis, Macie menghasilkan temuan objek: SensitiveData S3Object/Financial untuk objek tersebut.

Jika Macie mendeteksi data sensitif dalam objek S3 yang sama selama menjalankan pekerjaan berikutnya atau siklus penemuan data sensitif otomatis, Macie menghasilkan temuan data sensitif baru untuk objek tersebut. Tidak seperti temuan kebijakan, semua temuan data sensitif diperlakukan sebagai baru (unik). Macie menyimpan temuan data sensitif selama 90 hari.

Macie dapat menghasilkan jenis temuan data sensitif berikut untuk objek S3.

SensitiveData:S3Object/Credentials

Objek berisi data kredensil sensitif, seperti kunci akses AWS rahasia atau kunci pribadi.

SensitiveData:S3Object/CustomIdentifier

Objek berisi teks yang cocok dengan kriteria deteksi dari satu atau lebih pengidentifikasi data kustom. Objek mungkin berisi lebih dari satu tipe data sensitif.

SensitiveData:S3Object/Financial

Objek tersebut berisi informasi keuangan yang sensitif, seperti nomor rekening bank atau nomor kartu kredit.

SensitiveData:S3Object/Multiple

Objek berisi lebih dari satu kategori data sensitif—kombinasi data kredensil, informasi keuangan, informasi pribadi, atau teks yang sesuai dengan kriteria deteksi satu atau lebih pengidentifikasi data kustom.

SensitiveData:S3Object/Personal

Objek tersebut berisi informasi pribadi yang sensitif — informasi yang dapat diidentifikasi secara pribadi (PII) seperti nomor paspor atau nomor identifikasi SIM, informasi kesehatan pribadi (PHI) seperti asuransi kesehatan atau nomor identifikasi medis, atau kombinasi dari dan. PII PHI

Untuk informasi tentang jenis data sensitif yang dapat dideteksi Macie menggunakan kriteria dan teknik bawaan, lihatMenggunakan pengidentifikasi data terkelola. Untuk informasi tentang tipe objek S3 yang dapat dianalisis oleh Macie, lihat Kelas dan format penyimpanan yang didukung.