Valutazione della copertura automatizzata del rilevamento di dati sensibili - Amazon Macie
Revisione dei dati di coperturaRisolvere i problemi di copertura

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Valutazione della copertura automatizzata del rilevamento di dati sensibili

Man mano che l'individuazione automatica dei dati sensibili del tuo account procede, Amazon Macie fornisce statistiche e dettagli per aiutarti a valutare e monitorare la copertura del tuo patrimonio di dati Amazon Simple Storage Service (Amazon S3). Con questi dati, puoi verificare lo stato del rilevamento automatico dei dati sensibili per il tuo patrimonio di dati in generale e per i singoli bucket S3 presenti nell'inventario dei bucket. Puoi anche identificare i problemi che impedivano a Macie di analizzare gli oggetti in bucket specifici. Se risolvi i problemi, puoi aumentare la copertura dei dati di Amazon S3 durante i cicli di analisi successivi.

I dati di copertura forniscono un'istantanea dello stato attuale del rilevamento automatico dei dati sensibili per i bucket generici S3 nella versione attuale. Regione AWS Se sei l'amministratore Macie di un'organizzazione, questo include i bucket di proprietà dei tuoi account membro. Per ogni bucket, i dati indicano se si sono verificati problemi quando Macie ha tentato di analizzare gli oggetti nel bucket. Se si sono verificati problemi, i dati indicano la natura di ciascun problema e, in alcuni casi, il numero di ricorrenze. I dati vengono aggiornati ogni giorno man mano che l'individuazione automatica dei dati sensibili dell'account procede. Se Macie analizza o tenta di analizzare uno o più oggetti in un bucket durante un ciclo di analisi giornaliero, Macie aggiorna la copertura e altri dati per riflettere i risultati.

Per determinati tipi di problemi, puoi esaminare i dati in forma aggregata per tutti i bucket S3 per uso generico e, facoltativamente, approfondire per ulteriori dettagli su ciascun bucket. Ad esempio, i dati sulla copertura possono aiutarti a identificare rapidamente tutti i bucket a cui Macie non può accedere per il tuo account. I dati di copertura riportano anche i problemi a livello di oggetto che si sono verificati. Questi problemi, denominati errori di classificazione, impedivano a Macie di analizzare oggetti specifici in un bucket. Ad esempio, puoi determinare quanti oggetti Macie non è in grado di analizzare in un bucket perché gli oggetti sono crittografati con una chiave AWS Key Management Service (AWS KMS) che non è più disponibile.

Se utilizzi la console Amazon Macie per esaminare i dati di copertura, la visualizzazione dei dati include indicazioni per risolvere ogni tipo di problema. Gli argomenti successivi di questa sezione forniscono anche linee guida per la risoluzione di ogni tipo.

Revisione dei dati di copertura automatizzati relativi al rilevamento di dati sensibili

Per esaminare e valutare la copertura del rilevamento automatico di dati sensibili per il tuo account, puoi utilizzare la console Amazon Macie o l'API Amazon Macie. Sia la console che l'API forniscono dati che indicano lo stato attuale delle analisi per i bucket generici Amazon Simple Storage Service (Amazon S3) nell'attuale sistema. Regione AWS I dati includono informazioni sui problemi che creano lacune nelle analisi:

  • Bucket a cui Macie non può accedere. Macie non può analizzare alcun oggetto in questi bucket perché le impostazioni delle autorizzazioni dei bucket impediscono a Macie di accedere ai bucket e agli oggetti dei bucket.

  • Bucket che non memorizzano oggetti classificabili. Macie non può analizzare alcun oggetto in questi bucket perché tutti gli oggetti utilizzano classi di storage Amazon S3 che Macie non supporta oppure hanno estensioni di nomi di file per formati di file o di storage che Macie non supporta.

  • Bucket che Macie non è ancora riuscita ad analizzare a causa di errori di classificazione a livello di oggetto. Macie ha tentato di analizzare uno o più oggetti in questi bucket. Tuttavia, Macie non è riuscita ad analizzare gli oggetti a causa di problemi relativi alle impostazioni delle autorizzazioni a livello di oggetto, al contenuto degli oggetti o alle quote.

I dati di copertura vengono aggiornati ogni giorno man mano che l'individuazione automatica dei dati sensibili dell'account procede. Se sei l'amministratore Macie di un'organizzazione, i dati includono informazioni per i bucket S3 di proprietà dei tuoi account membro.

Nota

I dati di copertura non includono esplicitamente i risultati dei processi di rilevamento di dati sensibili che hai creato ed eseguito. Tuttavia, è probabile che la risoluzione dei problemi di copertura che influiscono sui risultati di rilevamento automatizzato dei dati sensibili aumenti anche la copertura dei processi di rilevamento di dati sensibili eseguiti successivamente. Per valutare la copertura di un lavoro, consulta le statistiche e i risultati del lavoro. Se gli eventi registrati di un lavoro o altri risultati indicano problemi di copertura, la guida alla risoluzione riportata di seguito in questa sezione può aiutarti a risolvere alcuni di questi problemi.

Per esaminare i dati automatici relativi all'individuazione di dati sensibili e alla copertura

Puoi utilizzare la console Amazon Macie o l'API Amazon Macie per esaminare i dati di copertura per il tuo account o la tua organizzazione. Sulla console, una singola pagina offre una visualizzazione unificata dei dati di copertura per tutti i bucket generici S3, incluso un elenco dei problemi che si sono verificati di recente per ogni bucket. La pagina fornisce anche opzioni per la revisione di gruppi di dati per tipo di problema. Per tenere traccia dell'analisi dei problemi relativi a bucket specifici, puoi esportare i dati dalla pagina in un file con valori separati da virgole (CSV).

Console

Segui questi passaggi per esaminare i dati automatici sulla copertura del rilevamento di dati sensibili utilizzando la console Amazon Macie.

Per esaminare i dati di copertura

  1. Apri la console Amazon Macie all'indirizzo https://console.aws.amazon.com/macie/.

  2. Nel pannello di navigazione, scegli Copertura delle risorse.

  3. Nella pagina Copertura delle risorse, scegli la scheda relativa al tipo di dati di copertura che desideri esaminare:

    • Tutti: elenca tutti i bucket che Macie monitora e analizza per il tuo account.

      Per ogni bucket, il campo Problemi indica se i problemi hanno impedito a Macie di analizzare gli oggetti nel bucket. Se il valore di questo campo è Nessuno, Macie ha analizzato almeno uno degli oggetti del bucket o Macie non ha ancora tentato di analizzare nessuno degli oggetti del bucket. Se ci sono problemi, questo campo indica la natura dei problemi e come risolverli. Per gli errori di classificazione a livello di oggetto, potrebbe anche indicare (tra parentesi) il numero di occorrenze dell'errore.

    • Accesso negato: elenca i bucket a cui Macie non può accedere. Le impostazioni delle autorizzazioni per questi bucket impediscono a Macie di accedere ai bucket e agli oggetti dei bucket. Di conseguenza, Macie non può analizzare alcun oggetto in questi bucket.

    • Errore di classificazione: elenca i bucket che Macie non ha ancora analizzato a causa di errori di classificazione a livello di oggetto, ovvero problemi con le impostazioni delle autorizzazioni a livello di oggetto, il contenuto degli oggetti o le quote.

      Per ogni bucket, il campo Problemi indica la natura di ogni tipo di errore che si è verificato e ha impedito a Macie di analizzare un oggetto nel bucket. Indica inoltre come correggere ogni tipo di errore. A seconda dell'errore, potrebbe anche indicare (tra parentesi) il numero di occorrenze dell'errore.

    • Inclassificabile: elenca i bucket che Macie non può analizzare perché non memorizzano oggetti classificabili. Tutti gli oggetti in questi bucket utilizzano classi di storage Amazon S3 non supportate o hanno estensioni di nomi di file per formati di file o di storage non supportati. Di conseguenza, Macie non può analizzare alcun oggetto in questi bucket.

  4. Per approfondire ed esaminare i dati di supporto per un bucket, scegli il nome del bucket. Quindi consulta il pannello dei dettagli del bucket per le statistiche e altre informazioni sul bucket.

  5. Per esportare la tabella in un file CSV, scegli Esporta in CSV nella parte superiore della pagina. Il file CSV risultante contiene un sottoinsieme di metadati per ogni bucket della tabella, per un massimo di 50.000 bucket. Il file include un campo Problemi di copertura. Il valore di questo campo indica se i problemi hanno impedito a Macie di analizzare gli oggetti nel bucket e, in caso affermativo, la natura dei problemi.

API

Per esaminare i dati di copertura in modo programmatico, specifica i criteri di filtro nelle query inviate utilizzando il DescribeBucketsfunzionamento dell'API Amazon Macie. Questa operazione restituisce una serie di oggetti. Ogni oggetto contiene dati statistici e altre informazioni su un bucket S3 per uso generico che corrisponde ai criteri di filtro.

Nei criteri di filtro, includi una condizione per il tipo di dati di copertura che desideri esaminare:

  • Per identificare i bucket a cui Macie non può accedere a causa delle impostazioni delle autorizzazioni dei bucket, includi una condizione in cui il valore del campo sia uguale. errorCode ACCESS_DENIED

  • Per identificare i bucket a cui Macie può accedere e che non ha ancora analizzato, includi le condizioni in cui il valore del campo è uguale e il valore del sensitivityScore campo non è uguale50. errorCode ACCESS_DENIED

  • Per identificare i bucket che Macie non può analizzare perché tutti gli oggetti dei bucket utilizzano classi o formati di archiviazione non supportati, includi condizioni in cui il valore del campo è uguale 0 e il valore del classifiableSizeInBytes campo è maggiore di. sizeInBytes 0

  • Per identificare i bucket per i quali Macie ha analizzato almeno un oggetto, includi le condizioni in cui il valore del sensitivityScore campo rientra nell'intervallo da 1 a 99 ma non è uguale a. 50 Per includere anche i bucket in cui è stato assegnato manualmente il punteggio massimo, l'intervallo deve essere compreso tra 1 e 100.

  • Per identificare i bucket che Macie non ha ancora analizzato a causa di errori di classificazione a livello di oggetto, includi una condizione in cui il valore del campo sia uguale. sensitivityScore -1 Per esaminare quindi un'analisi dettagliata dei tipi e del numero di errori che si sono verificati per un determinato bucket, utilizza l'operazione. GetResourceProfile

Se utilizzi AWS Command Line Interface (AWS CLI), specifica i criteri di filtro nelle query inviate eseguendo il comando describe-buckets. Per esaminare un'analisi dettagliata dei tipi e del numero di errori che si sono verificati per un determinato bucket S3, se presenti, esegui il comando. get-resource-profile

Ad esempio, i seguenti AWS CLI comandi utilizzano criteri di filtro per recuperare i dettagli di tutti i bucket S3 a cui Macie non può accedere a causa delle impostazioni delle autorizzazioni dei bucket.

Questo esempio è formattato per Linux, macOS o Unix:

$ aws macie2 describe-buckets --criteria '{"errorCode":{"eq":["ACCESS_DENIED"]}}'

Questo esempio è formattato per Microsoft Windows:

C:\> aws macie2 describe-buckets --criteria={\"errorCode\":{\"eq\":[\"ACCESS_DENIED\"]}}

Se la richiesta ha esito positivo, Macie restituisce un array. buckets L'array contiene un oggetto per ogni bucket S3 presente nella versione corrente Regione AWS e che corrisponde ai criteri di filtro.

Se nessun bucket S3 soddisfa i criteri di filtro, Macie restituisce un array vuoto. buckets

{
    "buckets": []
}

Per ulteriori informazioni sulla specificazione dei criteri di filtro nelle query, inclusi esempi di criteri comuni, consulta. Filtrare l'inventario dei bucket S3

Risolvere i problemi di copertura per l'individuazione automatica dei dati sensibili

Amazon Macie segnala diversi tipi di problemi che riducono la copertura del rilevamento automatico di dati sensibili dei dati di Amazon Simple Storage Service (Amazon S3). Le seguenti informazioni possono aiutarti a indagare e risolvere questi problemi.

Suggerimento

Per analizzare gli errori di classificazione a livello di oggetto per un bucket S3, inizia esaminando l'elenco degli esempi di oggetti per il bucket. Questo elenco indica quali oggetti Macie ha analizzato o ha tentato di analizzare nel bucket, per un massimo di 100 oggetti.

Per esaminare l'elenco sulla console Amazon Macie, scegli il bucket nella pagina dei bucket S3, quindi scegli la scheda Esempi di oggetti nel pannello dei dettagli del bucket. Per esaminare l'elenco a livello di codice, utilizza il ListResourceProfileArtifactsfunzionamento dell'API Amazon Macie. Se lo stato dell'analisi di un oggetto è Skipped (SKIPPED), l'oggetto potrebbe aver causato l'errore.

Accesso negato

Questo problema indica che le impostazioni delle autorizzazioni di un bucket S3 impediscono a Macie di accedere al bucket e agli oggetti del bucket. Macie non può recuperare e analizzare alcun oggetto nel bucket.

Dettagli

La causa più comune di questo tipo di problema è una policy restrittiva sui bucket. Una bucket policy è una policy basata sulle risorse AWS Identity and Access Management (IAM) che specifica quali azioni un principale (utente, account, servizio o altra entità) può eseguire su un bucket S3 e le condizioni in base alle quali un principale può eseguire tali azioni. Una policy bucket restrittiva utilizza Deny dichiarazioni Allow o dichiarazioni esplicite che concedono o limitano l'accesso ai dati di un bucket in base a condizioni specifiche. Ad esempio, una policy bucket potrebbe contenere un'Denyistruzione Allow or che nega l'accesso a un bucket a meno che non vengano utilizzati indirizzi IP di origine specifici per accedere al bucket.

Se la policy del bucket per un bucket S3 contiene un'Denyistruzione esplicita con una o più condizioni, a Macie potrebbe non essere consentito di recuperare e analizzare gli oggetti del bucket per rilevare dati sensibili. Macie può fornire solo un sottoinsieme di informazioni sul bucket, come il nome e la data di creazione del bucket.

Linee guida per la riparazione

Per risolvere questo problema, aggiorna la policy del bucket S3. Assicurati che la policy consenta a Macie di accedere al bucket e agli oggetti del bucket. Per consentire questo accesso, aggiungi una condizione per il ruolo collegato al servizio Macie () alla policy. AWSServiceRoleForAmazonMacie La condizione dovrebbe escludere che il ruolo collegato al servizio Macie corrisponda alla restrizione della policy. Deny Può farlo utilizzando la chiave di contesto della condizione aws:PrincipalArn globale e l'Amazon Resource Name (ARN) del ruolo collegato al servizio Macie per il tuo account.

Se aggiorni la policy del bucket e Macie ottiene l'accesso al bucket S3, Macie rileverà la modifica. Quando ciò accade, Macie aggiornerà le statistiche, i dati di inventario e altre informazioni che fornisce sui dati di Amazon S3. Inoltre, gli oggetti del bucket avranno una priorità più elevata per l'analisi durante un ciclo di analisi successivo.

Riferimento aggiuntivo

Per ulteriori informazioni sull'aggiornamento di una policy sui bucket S3 per consentire a Macie di accedere a un bucket, consulta. Consentire ad Amazon Macie di accedere a bucket e oggetti S3 Per informazioni sull'utilizzo delle policy dei bucket per controllare l'accesso ai bucket, consulta le politiche dei bucket e le politiche degli utenti e Come Amazon S3 autorizza una richiesta nella Guida per l'utente di Amazon Simple Storage Service.

Errore di classificazione: contenuto non valido

Questo tipo di errore di classificazione si verifica se Macie tenta di analizzare un oggetto in un bucket S3 e l'oggetto presenta un formato errato o l'oggetto contiene contenuti che superano la quota di rilevamento di dati sensibili. Macie non può analizzare l'oggetto.

Dettagli

Questo errore si verifica in genere perché un oggetto S3 è un file malformato o danneggiato. Di conseguenza, Macie non può analizzare e analizzare tutti i dati del file.

Questo errore può verificarsi anche se l'analisi di un oggetto S3 supera la quota di rilevamento di dati sensibili per un singolo file. Ad esempio, la dimensione di archiviazione dell'oggetto supera la quota di dimensione per quel tipo di file.

In entrambi i casi, Macie non può completare l'analisi dell'oggetto S3 e lo stato dell'analisi dell'oggetto è Skipped (). SKIPPED

Linee guida per la riparazione

Per indagare su questo errore, scaricate l'oggetto S3 e controllate la formattazione e il contenuto del file. Valuta anche il contenuto del file rispetto alle quote di Macie per l'individuazione di dati sensibili.

Se non correggi questo errore, Macie proverà ad analizzare altri oggetti nel bucket S3. Se Macie analizza correttamente un altro oggetto, Macie aggiornerà i dati di copertura e le altre informazioni che fornisce sul bucket.

Riferimento aggiuntivo

Per un elenco delle quote di rilevamento dei dati sensibili, incluse le quote per determinati tipi di file, vedere. Quote Amazon Macie Per informazioni su come Macie aggiorna i punteggi di sensibilità e altre informazioni che fornisce sui bucket S3, consulta. Come funziona l'individuazione automatica dei dati sensibili

Errore di classificazione: crittografia non valida

Questo tipo di errore di classificazione si verifica se Macie tenta di analizzare un oggetto in un bucket S3 e l'oggetto viene crittografato con una chiave fornita dal cliente. L'oggetto utilizza la crittografia SSE-C, il che significa che Macie non può recuperare e analizzare l'oggetto.

Dettagli

Amazon S3 supporta diverse opzioni di crittografia per oggetti S3. Per la maggior parte di queste opzioni, Macie può decrittografare un oggetto utilizzando il ruolo collegato al servizio Macie per il tuo account. Tuttavia, ciò dipende dal tipo di crittografia utilizzato.

Affinché Macie possa decrittografare un oggetto S3, l'oggetto deve essere crittografato con una chiave a cui Macie possa accedere e che possa usare. Se un oggetto è crittografato con una chiave fornita dal cliente, Macie non può fornire il materiale chiave necessario per recuperare l'oggetto da Amazon S3. Di conseguenza, Macie non è in grado di analizzare l'oggetto e lo stato dell'analisi dell'oggetto è Skipped (). SKIPPED

Linee guida per la riparazione

Per correggere questo errore, crittografa gli oggetti S3 con chiavi gestite o chiavi () di Amazon S3. AWS Key Management Service AWS KMS Se preferisci utilizzare AWS KMS le chiavi, le chiavi possono essere chiavi KMS AWS gestite o chiavi KMS gestite dal cliente che Macie può utilizzare.

Per crittografare gli oggetti S3 esistenti con chiavi accessibili e utilizzabili da Macie, puoi modificare le impostazioni di crittografia degli oggetti. Per crittografare nuovi oggetti con chiavi accessibili e utilizzabili da Macie, modifica le impostazioni di crittografia predefinite per il bucket S3. Assicurati inoltre che la politica del bucket non richieda la crittografia di nuovi oggetti con una chiave fornita dal cliente.

Se non correggi questo errore, Macie proverà ad analizzare altri oggetti nel bucket S3. Se Macie analizza correttamente un altro oggetto, Macie aggiornerà i dati di copertura e le altre informazioni che fornisce sul bucket.

Riferimento aggiuntivo

Per informazioni sui requisiti e sulle opzioni per l'utilizzo di Macie per analizzare oggetti S3 crittografati, consulta. Analisi di oggetti Amazon S3 crittografati con Amazon Macie Per informazioni sulle opzioni e le impostazioni di crittografia per i bucket S3, consulta Protezione dei dati con crittografia e Impostazione del comportamento predefinito di crittografia lato server per i bucket S3 nella Guida per l'utente di Amazon Simple Storage Service.

Errore di classificazione: chiave KMS non valida

Questo tipo di errore di classificazione si verifica se Macie tenta di analizzare un oggetto in un bucket S3 e l'oggetto viene crittografato con una chiave AWS Key Management Service (AWS KMS) che non è più disponibile. Macie non può recuperare e analizzare l'oggetto.

Dettagli

AWS KMS offre opzioni per disabilitare ed eliminare Customer Managed. AWS KMS keys Se un oggetto S3 è crittografato con una chiave KMS che è disabilitata, è programmata per l'eliminazione o è stata eliminata, Macie non può recuperare e decrittografare l'oggetto. Di conseguenza, Macie non può analizzare l'oggetto e lo stato dell'analisi dell'oggetto è Skipped (). SKIPPED Affinché Macie analizzi un oggetto crittografato, l'oggetto deve essere crittografato con una chiave a cui Macie possa accedere e che possa usare.

Linee guida per la riparazione

Per correggere questo errore, riattiva o annulla l'eliminazione pianificata della chiave pertinente AWS KMS key, a seconda dello stato corrente della chiave. Se la chiave applicabile è già stata eliminata, questo errore non può essere corretto.

Per determinare quale oggetto AWS KMS key è stato utilizzato per crittografare un oggetto S3, puoi iniziare utilizzando Macie per rivedere le impostazioni di crittografia lato server per il bucket S3. Se le impostazioni di crittografia predefinite per il bucket sono configurate per utilizzare una chiave KMS, i dettagli del bucket indicano quale chiave viene utilizzata. È quindi possibile controllare lo stato di quella chiave. In alternativa, puoi utilizzare Amazon S3 per rivedere le impostazioni di crittografia per il bucket e i singoli oggetti nel bucket.

Se non correggi questo errore, Macie proverà ad analizzare altri oggetti nel bucket S3. Se Macie analizza correttamente un altro oggetto, Macie aggiornerà i dati di copertura e le altre informazioni che fornisce sul bucket.

Riferimento aggiuntivo

Per informazioni sull'utilizzo di Macie per rivedere le impostazioni di crittografia lato server per un bucket S3, consulta. Analisi dei dettagli dei bucket S3 Per informazioni sulla riattivazione o l'annullamento dell'eliminazione pianificata di un AWS KMS key, consulta Abilitazione e disabilitazione delle chiavi e Pianificazione e annullamento dell'eliminazione delle chiavi nella Developer Guide.AWS Key Management Service

Errore di classificazione: autorizzazione negata

Questo tipo di errore di classificazione si verifica se Macie tenta di analizzare un oggetto in un bucket S3 e Macie non riesce a recuperare o decrittografare l'oggetto a causa delle impostazioni delle autorizzazioni per l'oggetto o delle impostazioni delle autorizzazioni per la chiave utilizzata per crittografare l'oggetto. Macie non può recuperare e analizzare l'oggetto.

Dettagli

Questo errore si verifica in genere perché un oggetto S3 è crittografato con una chiave gestita dal cliente AWS Key Management Service (AWS KMS) che Macie non può utilizzare. Se un oggetto è crittografato con una soluzione gestita dal cliente AWS KMS key, la policy della chiave deve consentire a Macie di decrittografare i dati utilizzando la chiave.

Questo errore può verificarsi anche se le impostazioni delle autorizzazioni di Amazon S3 impediscono a Macie di recuperare un oggetto S3. La policy del bucket per il bucket S3 potrebbe limitare l'accesso a oggetti bucket specifici o consentire solo a determinati soggetti (utenti, account, servizi o altre entità) di accedere agli oggetti. Oppure la lista di controllo degli accessi (ACL) di un oggetto potrebbe limitare l'accesso all'oggetto. Di conseguenza, a Macie potrebbe non essere consentito di accedere all'oggetto.

In nessuno dei casi precedenti, Macie non è in grado di recuperare e analizzare l'oggetto e lo stato dell'analisi dell'oggetto è Ignorato (). SKIPPED

Linee guida per la riparazione

Per correggere questo errore, stabilisci se l'oggetto S3 è crittografato con un servizio gestito dal cliente. AWS KMS key In caso affermativo, assicurati che la politica della chiave consenta al ruolo collegato al servizio Macie (AWSServiceRoleForAmazonMacie) di decrittografare i dati con la chiave. Il modo in cui consenti questo accesso dipende dal fatto che l'account proprietario possieda AWS KMS key anche il bucket S3 che memorizza l'oggetto. Se lo stesso account possiede la chiave KMS e il bucket, un utente dell'account deve aggiornare la politica della chiave. Se un account possiede la chiave KMS e un altro account possiede il bucket, un utente dell'account che possiede la chiave deve consentire l'accesso alla chiave da più account.

Suggerimento

Puoi generare automaticamente un elenco di tutti i clienti gestiti a AWS KMS keys cui Macie deve accedere per analizzare gli oggetti nei bucket S3 del tuo account. A tale scopo, esegui lo script AWS KMS Permission Analyzer, disponibile nel repository Amazon Macie Scripts su. GitHub Lo script può anche generare uno script aggiuntivo di comandi (). AWS Command Line Interface AWS CLI Facoltativamente, puoi eseguire questi comandi per aggiornare le impostazioni e le politiche di configurazione richieste per le chiavi KMS che specifichi.

Se a Macie è già consentito utilizzare l'oggetto applicabile AWS KMS key o se l'oggetto S3 non è crittografato con una chiave KMS gestita dal cliente, assicurati che la politica del bucket consenta a Macie di accedere all'oggetto. Verifica inoltre che l'ACL dell'oggetto consenta a Macie di leggere i dati e i metadati dell'oggetto.

Per quanto riguarda la policy bucket, puoi consentire questo accesso aggiungendo una condizione per il ruolo collegato al servizio Macie alla policy. La condizione dovrebbe escludere che il ruolo collegato al servizio Macie corrisponda alla restrizione della policy. Deny Può farlo utilizzando la chiave di contesto della condizione aws:PrincipalArn globale e l'Amazon Resource Name (ARN) del ruolo collegato al servizio Macie per il tuo account.

Per quanto riguarda l'ACL dell'oggetto, puoi consentire questo accesso collaborando con il proprietario dell'oggetto per aggiungere il tuo nome Account AWS come beneficiario con le autorizzazioni per l'oggetto. READ Macie può quindi utilizzare il ruolo collegato al servizio per il tuo account per recuperare e analizzare l'oggetto. Valuta anche la possibilità di modificare le impostazioni di proprietà dell'oggetto per il bucket. È possibile utilizzare queste impostazioni per disabilitare gli ACL per tutti gli oggetti nel bucket e concedere le autorizzazioni di proprietà all'account proprietario del bucket.

Se non correggi questo errore, Macie proverà ad analizzare altri oggetti nel bucket S3. Se Macie analizza correttamente un altro oggetto, Macie aggiornerà i dati di copertura e le altre informazioni che fornisce sul bucket.

Riferimento aggiuntivo

Per ulteriori informazioni su come consentire a Macie di decrittografare i dati con un servizio gestito AWS KMS key dal cliente, consulta. Consentire ad Amazon Macie di utilizzare un servizio gestito dal cliente AWS KMS key Per informazioni sull'aggiornamento di una policy relativa ai bucket S3 per consentire a Macie di accedere a un bucket, consulta. Consentire ad Amazon Macie di accedere a bucket e oggetti S3

Per informazioni sull'aggiornamento di una policy chiave, consulta Changing a key policy nella Developer Guide.AWS Key Management Service Per informazioni sull'utilizzo della crittografia gestita dal cliente AWS KMS keys per gli oggetti S3, consulta Using server-side encryption with keys AWS KMS nella Amazon Simple Storage Service User Guide.

Per informazioni sull'utilizzo delle policy dei bucket per controllare l'accesso ai bucket S3, consulta Politiche e politiche utente di Bucket e Come Amazon S3 autorizza una richiesta nella Guida per l'utente di Amazon Simple Storage Service. Per informazioni sull'utilizzo degli ACL o delle impostazioni di proprietà degli oggetti per controllare l'accesso agli oggetti S3, consulta Gestione dell'accesso con ACL e Controllo della proprietà degli oggetti e disabilitazione degli ACL per il tuo bucket nella Guida per l'utente di Amazon Simple Storage Service.

Non classificabile

Questo problema indica che tutti gli oggetti in un bucket S3 vengono archiviati utilizzando classi di storage Amazon S3 non supportate o formati di file o storage non supportati. Macie non è in grado di analizzare alcun oggetto nel bucket.

Dettagli

Per essere idoneo alla selezione e all'analisi, un oggetto S3 deve utilizzare una classe di storage Amazon S3 supportata da Macie. L'oggetto deve inoltre avere un'estensione del nome di file per un formato di file o di archiviazione supportato da Macie. Se un oggetto non soddisfa questi criteri, viene trattato come un oggetto inclassificabile. Macie non tenta di recuperare o analizzare dati in oggetti inclassificabili.

Se tutti gli oggetti in un bucket S3 sono oggetti inclassificabili, l'intero bucket è un bucket inclassificabile. Macie non è in grado di eseguire il rilevamento automatico dei dati sensibili per il bucket.

Linee guida per la riparazione

Per risolvere questo problema, esamina le regole di configurazione del ciclo di vita e altre impostazioni che determinano quali classi di storage vengono utilizzate per archiviare gli oggetti nel bucket S3. Valuta la possibilità di modificare queste impostazioni per utilizzare le classi di archiviazione supportate da Macie. Puoi anche modificare la classe di archiviazione degli oggetti esistenti nel bucket.

Valuta anche i formati di file e di archiviazione degli oggetti esistenti nel bucket S3. Per analizzare gli oggetti, prendi in considerazione la possibilità di trasferire i dati, temporaneamente o permanentemente, su nuovi oggetti che utilizzano un formato supportato.

Se gli oggetti vengono aggiunti al bucket S3 e utilizzano una classe e un formato di archiviazione supportati, Macie rileverà gli oggetti la prossima volta che valuterà l'inventario dei bucket. Quando ciò accade, Macie smetterà di segnalare che il bucket non è classificabile nelle statistiche, nei dati di copertura e in altre informazioni che fornisce sui dati di Amazon S3. Inoltre, i nuovi oggetti avranno una priorità più elevata per l'analisi durante un ciclo di analisi successivo.

Riferimento aggiuntivo

Per informazioni sulle classi di storage di Amazon S3 e sui formati di file e storage supportati da Macie, consulta. Classi e formati di storage supportati da Amazon Macie Per informazioni sulle regole di configurazione del ciclo di vita e sulle opzioni delle classi di storage offerte da Amazon S3, consulta Managing your storage lifecycle e Using Amazon S3 Storage Classes nella Amazon Simple Storage Service User Guide.