Menilai postur keamanan Amazon S3 Anda dengan Amazon Macie - Amazon Macie
Menampilkan dasborMemahami komponen dasborMemahami statistik keamanan data di dasbor

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menilai postur keamanan Amazon S3 Anda dengan Amazon Macie

Untuk menilai keseluruhan postur keamanan data Amazon Simple Storage Service (Amazon S3) Anda dan menentukan lokasi untuk mengambil tindakan, Anda dapat menggunakan opsi dasbor Ringkasan pada konsol Amazon Macie.

Dasbor Ringkasan menyediakan snapshot statistik agregat untuk data Amazon S3 Anda saat ini. Wilayah AWS Statistik mencakup data untuk metrik keamanan utama seperti jumlah bucket tujuan umum yang dapat diakses publik atau dibagikan dengan orang lain. Akun AWS Dasbor juga menampilkan kelompok data temuan gabungan untuk akun Anda—misalnya, tipe temuan yang memiliki jumlah kejadian tertinggi selama tujuh hari sebelumnya. Jika Anda administrator Macie untuk suatu organisasi, dasbor menyediakan statistik dan data gabungan untuk semua akun di organisasi Anda. Anda dapat secara opsional memfilter data berdasarkan akun.

Untuk melakukan analisis yang lebih dalam, Anda dapat menelusuri dan meninjau data pendukung untuk masing-masing item di dasbor. Anda juga dapat meninjau dan menganalisis inventaris bucket S3 menggunakan konsol Amazon Macie, atau membuat kueri dan menganalisis data inventaris secara terprogram menggunakan DescribeBucketspengoperasian Amazon Macie API.

Menampilkan dasbor Ringkasan

Di konsol Amazon Macie, dasbor Ringkasan menyediakan snapshot statistik agregat dan data temuan untuk data Amazon S3 Anda saat ini. Wilayah AWS Jika Anda lebih suka menanyakan statistik secara terprogram, Anda dapat menggunakan GetBucketStatisticspengoperasian Amazon Macie API.

Untuk menampilkan dasbor Ringkasan

  1. Buka konsol Amazon Macie di https://console.aws.amazon.com/macie/.

  2. Di panel navigasi, pilih Ringkasan. Macie menampilkan dasbor Ringkasan.

  3. Untuk menentukan kapan Macie baru-baru ini mengambil bucket atau metadata objek dari Amazon S3 untuk akun Anda, lihat bidang Terakhir diperbarui di bagian atas dasbor. Untuk informasi selengkapnya, lihat Penyegaran data.

  4. Untuk menelusuri dan meninjau data pendukung untuk item di dasbor, pilih item tersebut.

Jika Anda adalah administrator Macie untuk organisasi, dasbor menampilkan statistik dan data agregat untuk akun dan akun anggota di organisasi Anda. Untuk mem-filter dasbor dan menampilkan data hanya untuk akun tertentu, masukkan ID akun di kotak Akun di atas dasbor.

Memahami komponen dasbor Ringkasan

Di dasbor Ringkasan, statistik dan data disusun menjadi beberapa bagian. Di bagian atas dasbor, Anda akan menemukan statistik agregat yang menunjukkan berapa banyak data yang Anda simpan di Amazon S3, dan berapa banyak data yang dapat dianalisis Amazon Macie untuk mendeteksi data sensitif. Anda juga dapat merujuk ke bidang Terakhir diperbarui untuk menentukan kapan Macie baru-baru ini mengambil bucket atau metadata objek dari Amazon S3 untuk akun Anda. Bagian tambahan menyediakan statistik dan data temuan terbaru yang dapat membantu Anda menilai keamanan, privasi, dan sensitivitas data Amazon S3 Anda saat ini. Wilayah AWS

Statistik dan data diatur ke dalam bagian-bagian berikut:

Penyimpanan dan penemuan data sensitif | Masalah penemuan & cakupan otomatis | Keamanan data | Bucket S3 teratas | Jenis temuan teratas | Temuan kebijakan

Saat Anda meninjau setiap bagian, secara opsional pilih item untuk ditelusuri dan tinjau data pendukung. Perhatikan juga bahwa dasbor tidak menyertakan data untuk bucket direktori S3, hanya bucket tujuan umum. Macie tidak memantau atau menganalisis bucket direktori.

Penyimpanan dan penemuan data sensitif

Statistik di bagian atas dasbor menunjukkan berapa banyak data yang Anda simpan di Amazon S3, dan berapa banyak data yang dapat dianalisis Macie untuk mendeteksi data sensitif. Sebagai contoh:

Bagian penyimpanan dan penemuan data sensitif pada dasbor Ringkasan. Setiap bidang berisi contoh data.

Di bagian ini:

  • Total akun — Bidang ini muncul jika Anda adalah administrator Macie untuk organisasi atau Anda memiliki akun Macie mandiri. Ini menunjukkan jumlah total ember Akun AWS itu sendiri dalam inventaris ember Anda. Jika Anda seorang administrator Macie, ini adalah jumlah total akun Macie yang Anda kelola untuk organisasi Anda. Jika Anda memiliki akun Macie mandiri, nilai ini adalah 1.

    Total bucket S3 — Bidang ini muncul jika akun Macie Anda adalah anggota organisasi. Ini menunjukkan jumlah total ember tujuan umum dalam inventaris Anda, termasuk ember yang tidak menyimpan objek apa pun.

  • Penyimpanan — Metrik ini memberikan informasi tentang ukuran penyimpanan objek dalam inventaris bucket Anda:

    • Dapat Diklasifikasikan — Ukuran total penyimpanan dari semua objek yang dapat dianalisis oleh Macie di dalam bucket.

    • Total — Ukuran total penyimpanan semua objek dalam bucket, termasuk objek yang tidak dapat dianalisis oleh Macie.

    Jika salah satu objek adalah file kompresi, nilai-nilai ini tidak mencerminkan ukuran asli dari file-file tersebut setelah mereka diekstrak. Jika versioning diaktifkan untuk salah satu bucket, nilai-nilai ini didasarkan pada ukuran penyimpanan versi terbaru dari setiap objek dalam bucket tersebut.

  • Objek — Metrik ini memberikan informasi tentang jumlah objek dalam inventaris bucket Anda:

    • Dapat Diklasifikasikan — Jumlah total dari objek yang dapat dianalisis oleh Macie di dalam bucket.

    • Total — Jumlah toal dari objek di dalam bucket, termasuk objek yang tidak dapat dianalisis oleh Macie.

Dalam statistik sebelumnya, data dan objek dapat diklasifikasikan jika mereka menggunakan kelas penyimpanan Amazon S3 yang didukung dan mereka memiliki ekstensi nama file untuk file atau format penyimpanan yang didukung. Anda dapat mendeteksi data sensitif dalam objek dengan menggunakan Macie. Untuk informasi selengkapnya, lihat Kelas dan format penyimpanan yang didukung.

Perhatikan bahwa statistik Penyimpanan dan Objek tidak menyertakan data tentang objek dalam bucket yang tidak diizinkan diakses oleh Macie. Misalnya, objek dalam bucket yang memiliki kebijakan bucket yang membatasi. Untuk mengidentifikasi bucket di mana hal ini terjadi, Anda dapat meninjau inventaris bucket Anda dengan menggunakan tabel bucket S3. Jika ikon peringatan ( A red triangle with a red exclamation point in it ) muncul di sebelah nama bucket, Macie tidak diizinkan mengakses bucket.

Masalah Penemuan & Cakupan Otomatis

Jika penemuan data sensitif otomatis diaktifkan, bagian ini muncul di dasbor. Statistik di bagian ini menangkap status dan hasil aktivitas penemuan data sensitif otomatis yang telah dilakukan Macie sejauh ini untuk data Amazon S3 Anda. Sebagai contoh:

Penemuan dan Cakupan Otomatis mengeluarkan bagian dasbor Ringkasan. Setiap bagian berisi contoh data.

Untuk detail tentang statistik ini, lihatMeninjau statistik sensitivitas data agregat di dasbor Ringkasan.

Keamanan data

Bagian ini memberikan statistik yang menunjukkan potensi risiko keamanan dan privasi untuk data Amazon S3 Anda. Sebagai contoh:

Bagian keamanan data dari dasbor Ringkasan. Setiap area berisi contoh data.

Untuk detail tentang statistik ini, lihatMemahami statistik keamanan data di dasbor Ringkasan.

Bucket S3 teratas

Bagian ini mencantumkan ember S3 yang menghasilkan temuan terbanyak dari jenis apa pun selama tujuh hari sebelumnya, sebanyak lima ember. Hal ini juga menunjukkan jumlah temuan yang dibuat oleh Macie untuk setiap bucket. Sebagai contoh:

Bagian bucket S3 teratas dari dasbor Ringkasan. Bagian ini berisi contoh data untuk 5 ember.

Untuk menampilkan dan secara opsional menelusuri semua temuan untuk bucket selama tujuh hari sebelumnya, pilih nilai dalam bidang Total temuan. Untuk menampilkan semua temuan terkini untuk semua bucket, dikelompokkan menurut bucket, pilih Melihat semua temuan berdasarkan bucket.

Bagian ini kosong jika Macie tidak membuat temuan apa pun selama tujuh hari ke belakang. Atau semua temuan yang dibuat selama tujuh hari sebelumnya ditekan oleh aturan penindasan.

Jenis temuan teratas

Bagian ini berisi daftar tipe temuan yang memiliki jumlah kejadian tertinggi selama tujuh hari sebelumnya, sebanyak lima tipe temuan. Hal ini juga menunjukkan jumlah temuan yang dibuat oleh Macie untuk setiap tipe. Sebagai contoh:

Bagian Top Finding types dari dasbor Ringkasan. Bagian ini berisi contoh data untuk 5 jenis temuan.

Untuk menampilkan dan secara opsional menelusuri semua temuan dari tipe tertentu selama tujuh hari sebelumnya, pilih nilai dalam bidang Total temuan. Untuk menampilkan semua temuan saat ini, dikelompokkan berdasarkan tipe temuan, pilih Melihat semua temuan berdasarkan tipe.

Bagian ini kosong jika Macie tidak membuat temuan apa pun selama tujuh hari ke belakang. Atau semua temuan yang dibuat selama tujuh hari sebelumnya ditekan oleh aturan penindasan.

Temuan kebijakan

Bagian ini berisi daftar temuan kebijakan yang baru-baru ini dibuat atau diperbarui oleh Macie, sebanyak sepuluh temuan. Sebagai contoh:

Bagian temuan Kebijakan pada dasbor Ringkasan. Bagian ini berisi contoh data untuk 8 temuan.

Untuk menampilkan detail temuan tertentu, pilih temuan.

Bagian ini kosong jika Macie tidak membuat ataupun memperbarui kebijakan temuan apa pun selama tujuh hari ke belakang. Atau semua temuan kebijakan yang dibuat atau diperbarui selama tujuh hari sebelumnya ditekan oleh aturan penindasan.

Memahami statistik keamanan data di dasbor Ringkasan

Bagian keamanan data pada dasbor Ringkasan menyediakan statistik yang dapat membantu Anda mengidentifikasi dan menyelidiki potensi risiko keamanan dan privasi untuk data Amazon S3 Anda saat ini. Wilayah AWS Misalnya, Anda dapat menggunakan data ini untuk mengidentifikasi bucket tujuan umum yang dapat diakses publik atau dibagikan dengan orang lain. Akun AWS

Jika akun Macie Anda adalah anggota organisasi, penyimpanan dan statistik penemuan data sensitif di bagian atas bagian ini menunjukkan berapa banyak data yang Anda simpan di Amazon S3, dan berapa banyak data yang dapat dianalisis Macie untuk mendeteksi data sensitif.

Untuk semua jenis akun Macie, statistik tambahan disusun menjadi tiga area, seperti yang ditunjukkan pada gambar berikut.

Bagian keamanan data dari dasbor Ringkasan. Setiap area berisi contoh data.

Saat Anda meninjau setiap area, secara opsional pilih item untuk ditelusuri dan tinjau data pendukung. Perhatikan juga bahwa statistik tidak menyertakan data untuk bucket direktori S3, hanya bucket tujuan umum. Macie tidak memantau atau menganalisis bucket direktori.

Statistik individu di setiap area adalah sebagai berikut.

Akses publik

Statistik ini menunjukkan berapa banyak bucket S3 yang atau tidak dapat diakses publik:

  • Dapat diakses publik — Jumlah dan persentase bucket yang mengizinkan masyarakat umum untuk mendapat akses membaca atau menulis ke bucket.

  • Dapat ditulis oleh publik — Jumlah dan persentase bucket yang mengizinkan masyarakat umum untuk mendapat akses menulis ke bucket.

  • Dapat dibaca oleh publik — Jumlah dan persentase bucket yang mengizinkan masyarakat umum untuk mendapat akses membaca ke bucket.

  • Tidak dapat diakses publik — Jumlah dan persentase bucket yang tidak mengizinkan masyarakat umum untuk mendapat akses membaca atau menulis ke bucket.

Untuk menghitung setiap persentase, Macie membagi jumlah bucket yang sesuai dengan jumlah total bucket dalam inventaris bucket Anda.

Untuk menentukan nilai di bagian ini, Macie menganalisis kombinasi pengaturan tingkat akun dan ember untuk setiap bucket: pengaturan blokir akses publik untuk akun; pengaturan blokir akses publik untuk bucket; kebijakan bucket untuk bucket; dan, daftar kontrol akses (ACL) untuk bucket. Untuk informasi tentang pengaturan ini, lihat Identity and access management di Amazon S3 dan Melakukan blokir akses publik ke penyimpanan Amazon S3 Anda di Panduan Pengguna Amazon Simple Storage Service.

Dalam kasus tertentu, bagian Akses publik juga menampilkan nilai untuk Tidak Dikenal. Jika nilai ini muncul, Macie tidak dapat mengevaluasi pengaturan akses publik untuk jumlah dan persentase bucket yang telah ditentukan. Misalnya, masalah sementara atau pengaturan izin ember mencegah Macie mengambil data yang diperlukan. Atau Macie tidak dapat sepenuhnya menentukan apakah satu atau beberapa pernyataan kebijakan mengizinkan entitas eksternal untuk mengakses bucket.

Enkripsi

Statistik ini menunjukkan berapa banyak bucket S3 yang dikonfigurasi untuk menerapkan jenis enkripsi sisi server tertentu ke objek yang ditambahkan ke bucket:

  • Enkripsi secara default — SSE-S3 — Jumlah dan persentase bucket yang pengaturan enkripsi defaultnya dikonfigurasi untuk mengenkripsi objek baru dengan kunci terkelola Amazon S3. Untuk bucket ini, objek baru dienkripsi secara otomatis menggunakan enkripsi SSE-S3.

  • Enkripsi secara default — DSSE-KMS/SSE-KMS — Jumlah dan persentase bucket yang pengaturan enkripsi defaultnya dikonfigurasi untuk mengenkripsi objek baru dengan, baik kunci yang dikelola pelanggan atau pelanggan. AWS KMS key Kunci yang dikelola AWS Untuk bucket ini, objek baru dienkripsi secara otomatis menggunakan enkripsi DSSE-KMS atau SSE-KMS.

Untuk menghitung setiap persentase, Macie membagi jumlah bucket yang sesuai dengan jumlah total bucket dalam inventaris bucket Anda.

Untuk menentukan nilai di bagian ini, Macie menganalisis pengaturan enkripsi default untuk setiap bucket. Mulai 5 Januari 2023, Amazon S3 secara otomatis menerapkan enkripsi sisi server dengan kunci terkelola Amazon S3 (SSE-S3) sebagai tingkat dasar enkripsi untuk objek yang ditambahkan ke bucket. Anda dapat mengonfigurasi pengaturan enkripsi default bucket untuk menggunakan enkripsi sisi server dengan AWS KMS kunci (SSE-KMS) atau enkripsi sisi server dua lapis dengan kunci (DSSE-KMS). AWS KMS Untuk informasi tentang setelan dan opsi enkripsi default, lihat Menyetel perilaku enkripsi sisi server default untuk bucket S3 di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

Dalam kasus tertentu, bagian Enkripsi juga menampilkan nilai untuk Tidak Diketahui. Jika nilai ini muncul, Macie tidak dapat mengevaluasi pengaturan enkripsi default untuk jumlah dan persentase bucket yang ditentukan. Misalnya, masalah sementara atau pengaturan izin ember mencegah Macie mengambil data yang diperlukan.

Berbagi

Statistik ini menunjukkan berapa banyak bucket S3 yang atau tidak dibagikan dengan yang lain, identitas akses CloudFront asal Akun AWS Amazon (OAI), atau kontrol akses CloudFront asal (OAC):

  • Dibagikan di luar — Jumlah dan persentase bucket yang dibagikan dengan satu atau beberapa hal berikut atau kombinasi berikut ini: CloudFront OAI, CloudFront OAC, atau akun yang tidak berada di organisasi yang sama.

  • Dibagikan di dalam — Jumlah dan persentase bucket yang dibagikan dengan satu atau beberapa akun di organisasi yang sama. Ember ini tidak dibagikan dengan CloudFront OAI atau OAC.

  • Tidak dibagikan — Jumlah dan persentase bucket yang tidak dibagikan dengan akun lain, CloudFront OAI, atau CloudFront OAC.

Untuk menghitung setiap persentase, Macie membagi jumlah bucket yang sesuai dengan jumlah total bucket dalam inventaris bucket Anda.

Untuk menentukan apakah bucket dibagikan dengan yang lain Akun AWS, Macie menganalisis kebijakan bucket dan ACL untuk setiap bucket. Selain itu, organisasi didefinisikan sebagai satu set akun Macie yang dikelola secara terpusat sebagai sekelompok akun terkait melalui AWS Organizations atau oleh undangan Macie. Untuk informasi tentang opsi Amazon S3 untuk berbagi bucket, lihat Manajemen identitas dan akses di Amazon S3 di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

catatan

Dalam kasus tertentu, Macie mungkin salah melaporkan bahwa ember dibagikan dengan Akun AWS yang tidak berada di organisasi yang sama. Hal ini dapat terjadi jika Macie tidak dapat sepenuhnya mengevaluasi hubungan antara Principal elemen dalam kebijakan bucket dan kunci konteks kondisi AWS global tertentu atau kunci kondisi Amazon S3 dalam Condition elemen kebijakan. Kunci kondisi yang berlaku adalah:aws:PrincipalAccount,aws:PrincipalArn,aws:PrincipalOrgID,aws:PrincipalOrgPaths,,aws:PrincipalTag,aws:PrincipalType,aws:SourceAccount,aws:SourceArn,aws:SourceIp,aws:SourceVpc,aws:SourceVpce,aws:userid,s3:DataAccessPointAccount, dans3:DataAccessPointArn.

Untuk menentukan apakah hal ini terjadi pada bucket individual, pilih statistik dibagikan di luar pada dasbor. Pada tabel yang muncul, perhatikan nama setiap ember. Kemudian gunakan Amazon S3 untuk meninjau kebijakan setiap bucket dan menentukan apakah setelan akses bersama dimaksudkan dan aman.

Untuk menentukan apakah bucket dibagikan dengan CloudFront OAI atau OAC, Macie menganalisis kebijakan bucket untuk setiap bucket. CloudFront OAI atau OAC memungkinkan pengguna untuk mengakses objek bucket melalui satu atau lebih distribusi tertentu CloudFront. Untuk informasi tentang CloudFront OAI dan OAC, lihat Membatasi akses ke asal Amazon S3 di Panduan Pengembang Amazon. CloudFront

Dalam kasus tertentu, bagian Berbagi juga menampilkan nilai untuk Tidak Dikenal. Jika nilai ini muncul, Macie tidak dapat menentukan apakah jumlah dan persentase bucket yang ditentukan dibagikan dengan akun lain, CloudFront OAI, atau OAC. CloudFront Misalnya, masalah sementara atau pengaturan izin ember mencegah Macie mengambil data yang diperlukan. Atau Macie tidak dapat sepenuhnya mengevaluasi kebijakan atau ACL ember.