메이시 연구 결과 유형

Amazon Macie는 정책 조사 결과와 민감한 데이터 조사 결과라는 두 가지 범주의 결과를 생성합니다. 정책 결과는 Amazon Simple Storage Service (Amazon S3) 범용 버킷의 보안 또는 개인 정보 보호 관련 잠재적 정책 위반 또는 문제에 대한 자세한 보고서입니다. Macie는 보안 및 액세스 제어를 위해 범용 버킷을 평가하고 모니터링하기 위한 지속적인 활동의 일환으로 정책 조사 결과를 생성합니다. 민감한 데이터 결과는 Macie가 S3 객체에서 감지한 민감한 데이터에 대한 상세 보고서입니다. Macie는 민감한 데이터 검색 작업을 실행하거나 민감한 데이터 자동 검색을 수행할 때 수행하는 활동의 일환으로 민감한 데이터 검색 결과를 생성합니다.

각 범주에는 특정 유형이 있습니다. 조사 결과 유형은 Macie가 발견한 문제의 본질이나 민감한 데이터에 대한 통찰력을 제공합니다. 조사 결과의 세부 정보에는 심각도 등급, 영향을 받는 리소스에 대한 정보, 추가 정보(예: Macie가 문제 또는 민감한 데이터를 발견한 시기와 방법)가 제공됩니다. 각 조사 결과의 심각도 및 세부 사항은 조사 결과의 유형과 특성에 따라 달라집니다.

작은 정보

Amazon Macie가 생성할 수 있는 다양한 범주와 유형의 조사 결과를 탐색하고 알아보기 위해 샘플 조사 결과를 생성할 수 있습니다. 샘플 조사 결과는 예제 데이터와 자리 표시자 값을 사용하여 각 조사 결과에 포함될 수 있는 정보의 종류를 보여줍니다.

정책 조사 결과의 유형

Amazon Macie는 S3 범용 버킷의 정책 또는 설정이 버킷 및 버킷 객체의 보안 또는 개인 정보 보호를 약화시키는 방식으로 변경되는 시기를 찾는 정책을 생성합니다. Macie가 이러한 변경 사항을 감지하는 방법에 대한 정보는 Macie가 Amazon S3 데이터 보안을 모니터링하는 방법을(를) 참조하십시오.

Macie는 사용자가 AWS 계정에 대해 Macie를 사용하도록 설정한 후 변경된 경우에만 정책 조사 결과를 생성합니다. 예를 들어, Macie를 활성화한 후 S3 버킷에 대한 퍼블릭 액세스 차단 설정이 비활성화되면 Macie는 해당 버킷에 대해 Policy: IAMUser BlockPublicAccessDisabled /S3를 생성합니다. Macie를 활성화했을 때 버킷에 대한 퍼블릭 액세스 차단 설정이 비활성화되었는데도 계속 비활성화되어 있는 경우 Macie는 해당 버킷에 대한 Policy: IAMUser BlockPublicAccessDisabled /S3 검색을 생성하지 않습니다.

Macie가 기존 정책 검색 결과의 후속 발생을 감지하면 Macie는 후속 조사 결과에 대한 세부 정보를 추가하고 발생 횟수를 늘려 기존 조사 결과를 업데이트합니다. Macie는 정책 조사 결과를 90일 동안 저장합니다.

Macie는 S3 범용 버킷에 대해 다음과 같은 유형의 정책 결과를 생성할 수 있습니다.

Policy:IAMUser/S3BlockPublicAccessDisabled

버킷에 대한 모든 버킷 수준 퍼블릭 액세스 차단 설정이 비활성화되었습니다. 버킷에 대한 액세스는 계정의 퍼블릭 액세스 차단 설정, 액세스 제어 목록 (ACLs) 및 버킷의 버킷 정책에 의해 제어됩니다.

Amazon S3 버킷에 대한 퍼블릭 액세스 설정 차단에 대해 알아보려면 Amazon Simple Storage Service 사용 설명서의 Amazon S3 Storage에 대한 퍼블릭 액세스 차단을 참조하세요.

Policy:IAMUser/S3BucketEncryptionDisabled

버킷의 기본 암호화 설정이 Amazon S3 관리 키를 사용하여 새 객체를 자동으로 암호화하는 기본 Amazon S3 암호화 동작으로 재설정되었습니다.

2023년 1월 5일부터 Amazon S3는 버킷에 추가되는 객체에 대해 Amazon S3 관리 키 (SSE-S3) 를 기본 암호화 수준으로 사용하여 서버 측 암호화를 자동으로 적용합니다. 선택적으로 키 (-) 를 사용한 서버 측 암호화 또는 AWS KMS 키 (SSE-KMS) 를 사용한 이중 레이어 서버 측 암호화를 대신 사용하도록 버킷의 기본 암호화 설정을 구성할 수 있습니다. AWS KMS DSSE KMS S3 버킷의 기본 암호화 설정 및 옵션에 대해 알아보려면 Amazon Simple Storage Service 사용 설명서의 S3 버킷에 대한 기본 서버 측 암호화 동작 설정을 참조하세요.

Macie가 2023년 1월 5일 이전에 이러한 유형의 조사 결과를 생성한 경우 해당 조사 결과는 영향을 받는 버킷에 대해 기본 암호화 설정이 비활성화되었음을 알 수 있습니다. 즉, 버킷 설정에는 새 객체에 대한 기본 서버 측 암호화 동작이 지정되지 않았습니다. Amazon S3에서는 버킷의 기본 암호화 설정을 비활성화하는 기능을 더 이상 지원하지 않습니다.

Policy:IAMUser/S3BucketPublic

익명 사용자 ACL 또는 모든 인증 () ID를 통한 액세스를 허용하도록 버킷에 대한 또는 버킷 정책이 변경되었습니다. AWS Identity and Access Management IAM

S3 버킷에 대한 자세한 ACLs 내용과 버킷 정책은 Amazon 심플 스토리지 서비스 사용 설명서의 액세스 관리를 참조하십시오.

Policy:IAMUser/S3BucketReplicatedExternally

복제가 활성화되고 버킷의 객체를 조직 외부 (일부가 아닌) 의 버킷으로 복제하도록 구성되었습니다. AWS 계정 조직은 Macie 초대를 통해 AWS Organizations 또는 Macie의 초대를 통해 관련 계정 그룹으로 중앙에서 관리되는 Macie 계정 집합입니다.

특정 상황에서 Macie는 객체를 외부 버킷에 복제하도록 구성되지 않은 버킷에 대해 이러한 유형의 검색 결과를 생성할 수 있습니다. AWS 계정이는 Macie가 일일 새로 고침 주기의 일부로 Amazon S3에서 버킷 및 객체 메타데이터를 검색한 후 이전 24시간 AWS 리전 동안 다른 버킷에서 대상 버킷을 생성한 경우 발생할 수 있습니다. 조사 결과를 조사하려면 먼저 인벤토리 데이터를 새로 고치는 것으로 시작합니다. 그런 다음 버킷의 세부 정보를 검토합니다. 세부 정보는 버킷이 객체를 다른 버킷에 복제하도록 구성되었는지 여부를 나타냅니다. 이렇게 하도록 버킷을 구성한 경우 세부 정보에는 대상 버킷을 소유한 각 계정의 계정 ID가 포함됩니다.

S3 버킷의 복제 설정에 대해 알아보려면 Amazon Simple Storage Service 사용 설명서의 객체 복제를 참조하세요.

Policy:IAMUser/S3BucketSharedExternally

버킷에 대한 ACL or 버킷 정책이 조직 외부 (일부가 아닌) 와 버킷을 공유할 수 있도록 변경되었습니다. AWS 계정 조직은 Macie 초대를 통해 AWS Organizations 또는 Macie 초대를 통해 관련 계정 그룹으로 중앙에서 관리되는 Macie 계정 집합입니다.

경우에 따라 Macie는 외부 계정과 공유되지 않는 버킷에 대해 이러한 유형의 검색 결과를 생성할 수 있습니다. AWS 이는 Macie가 버킷 정책의 Principal 요소와 정책의 Condition 요소의 특정 AWS 글로벌 조건 컨텍스트 키 또는 Amazon S3 조건 키 간의 관계를 완전히 평가할 수 없는 경우 발생할 수 있습니다. 적용 가능한 조건 키는aws:PrincipalAccount,,,,aws:PrincipalArn,aws:PrincipalOrgID,aws:PrincipalOrgPaths,aws:PrincipalTag,aws:PrincipalType,aws:SourceAccount,aws:SourceArn,aws:SourceIp,,aws:SourceVpc, aws:SourceVpce aws:userids3:DataAccessPointAccount, 등입니다. s3:DataAccessPointArn 버킷 정책을 검토하여 이러한 액세스가 의도적이고 안전한지 판단하는 것이 좋습니다.

S3 버킷에 대한 자세한 ACLs 내용과 버킷 정책은 Amazon 심플 스토리지 서비스 사용 설명서의 액세스 관리를 참조하십시오.

Policy:IAMUser/S3BucketSharedWithCloudFront

버킷의 버킷 정책은 Amazon CloudFront 원본 액세스 ID (OAI), CloudFront 원본 액세스 제어 (OAC) 또는 a CloudFront OAI 및 a 모두와 버킷을 공유할 수 있도록 변경되었습니다 CloudFront OAC. A CloudFront OAI 또는 OAC 에서는 사용자가 하나 이상의 지정된 CloudFront 배포를 통해 버킷의 객체에 액세스할 수 있도록 허용합니다.

에 대해 CloudFront OAIs OACs 알아보려면 Amazon CloudFront개발자 안내서의 Amazon S3 오리진에 대한 액세스 제한을 참조하십시오.

참고

경우에 따라 Macie는 IAMUser버킷에 대해 Policy: /S3 BucketSharedExternally 검색 결과 대신 Policy: IAMUser /S3 BucketSharedWithCloudFront 검색 결과를 생성합니다. 이러한 경우는 다음과 같습니다.

• 버킷은 OR뿐만 아니라 조직 외부의 사용자와도 공유됩니다. AWS 계정 CloudFront OAI OAC

• 버킷 정책은 a의 Amazon 리소스 이름 (ARN) 대신 표준 사용자 ID를 지정합니다. CloudFront OAI

그러면 버킷에 대해 더 높은 심각도의 정책 조사 결과가 생성됩니다.

민감한 데이터 조사 결과의 유형

Amazon Macie는 S3 객체에서 민감한 데이터를 탐지하면 이를 분석하여 민감한 데이터를 발견할 때 민감한 데이터를 생성합니다. 여기에는 민감한 데이터 검색 작업을 실행할 때 Macie가 수행하거나 민감한 데이터 자동 검색을 수행할 때 수행하는 분석이 포함됩니다.

예를 들어 민감한 데이터 검색 작업을 생성하여 실행할 때 Macie가 S3 객체에서 은행 계좌 번호를 감지하면 Macie는 해당 객체에 SensitiveData 대해:S3Object/재무 검색 결과를 생성합니다. 마찬가지로 Macie는 자동화된 민감한 데이터 검색 주기 동안 분석하는 S3 객체에서 은행 계좌 번호를 감지하면 해당 객체에 대한:S3Object/Financial 검색 결과를 생성합니다. SensitiveData

Macie는 후속 작업 실행 또는 자동화된 민감한 데이터 검색 주기 중에 동일한 S3 객체에서 민감한 데이터를 감지하면 해당 객체에 대한 새로운 민감한 데이터 조사 결과를 생성합니다. 정책 조사 결과와는 달리 민감한 데이터 조사 결과는 모두 새로운(고유한) 것으로 취급됩니다. Macie는 민감한 데이터 조사 결과를 90일 동안 저장합니다.

Macie는 S3 객체에 대해 다음과 같은 유형의 민감한 데이터 조사 결과를 생성할 수 있습니다.

SensitiveData:S3Object/Credentials

객체에는 비밀 액세스 키나 개인 키와 같은 민감한 자격 증명 데이터가 포함되어 있습니다. AWS

SensitiveData:S3Object/CustomIdentifier

객체에는 하나 이상의 사용자 지정 데이터 식별자의 탐지 기준과 일치하는 텍스트가 포함되어 있습니다. 객체에는 두 가지 이상의 민감한 데이터 유형이 포함될 수 있습니다.

SensitiveData:S3Object/Financial

객체에는 은행 계좌 번호나 신용 카드 번호와 같은 민감한 금융 정보가 포함되어 있습니다.

SensitiveData:S3Object/Multiple

객체에는 두 가지 이상의 사용자 지정 데이터 식별자의 탐지 기준과 일치하는 자격 증명 데이터, 금융 정보, 개인 정보 또는 텍스트의 조합을 비롯한 여러 범주의 민감한 데이터가 포함되어 있습니다.

SensitiveData:S3Object/Personal

객체에는 여권 번호나 운전면허 식별 번호와 같은 개인 식별 정보 (PII), 건강 보험 또는 의료 식별 번호와 같은 개인 건강 정보 (PHI) 또는 와 같은 민감한 개인 정보가 포함되어 있습니다. PII PHI

Macie가 기본 제공 기준 및 기술을 사용하여 탐지할 수 있는 민감한 데이터 유형에 대한 자세한 내용은 관리형 데이터 식별자 사용을(를) 참조하십시오. Macie에서 분석할 수 있는 S3 객체 유형에 대한 자세한 내용은 지원하는 스토리지 클래스 및 형식을(를) 참조하십시오.