S3 存储桶的敏感度评分 - Amazon Macie
评分维度和范围监控分数

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

S3 存储桶的敏感度评分

如果启用了自动发现敏感数据,Amazon Macie 会自动计算敏感度分数,并将其分配给它为账户或组织监控和分析的每个亚马逊简单存储服务 (Amazon S3) Simple Service 通用存储桶。敏感度分数是 S3 存储桶可能包含的敏感数据量的定量表示。根据该分数,Macie 还会为每个存储桶分配一个敏感度标签。敏感度标签是存储桶敏感度分数的定性表示。这些值可以作为参考点,用于确定敏感数据可能存放在您的 Amazon S3 数据资产中的位置,以及识别和监控这些数据的潜在安全风险。

默认情况下,S3 存储桶的敏感度分数和标签反映了 Macie 迄今为止为该存储桶执行的自动敏感数据发现活动的结果。它们不反映您创建和运行的敏感数据发现作业的结果。此外,分数和标签均不暗示或以其他方式表明存储桶或存储桶对象可能对您的组织具有的关键性或重要性。但是,您可以通过手动为存储桶分配最高分数 (100) 来覆盖存储桶的计算得分,这也会为存储桶分配敏感标签。

敏感度评分维度和范围

如果由 Amazon Macie 计算,则 S3 存储桶的敏感度分数是两个主要维度交叉点的定量衡量标准:

  • Macie 在存储桶中找到的敏感数据量。这主要源于 Macie 在存储桶中发现的敏感数据类型的性质和数量以及每种类型的出现次数。

  • Macie 在存储桶内分析的数据量。这主要源于 Macie 在存储桶中分析的唯一对象的数量相对于存储桶中唯一对象的总数。

S3 存储桶的敏感度分数决定了 Macie 为存储桶分配哪个敏感度标签。敏感度标签是分数的定性表示形式,例如敏感不敏感。在 Amazon Macie 控制台上,存储桶的敏感度分数还决定了 Macie 在数据可视化中使用哪种颜色来表示存储桶,如下图所示。

一种显示灵敏度分数色调的色谱。红色色调表示 51-100。蓝色色调表示 1-49。灰色表示 -1。

敏感度分数介于 -1100 之间,如下表所述。要评测对 S3 存储桶分数的输入,您可以参考 Macie 提供的有关该存储桶的敏感数据发现统计数据和其他详细信息。

敏感度评分 敏感度标签 其他信息
–1 分类错误

由于对象级分类错误(对象级权限设置、对象内容或配额存在问题),Macie 尚未成功分析存储桶的任何对象。

当 Macie 尝试分析存储桶中的一个或多个对象时,出现了错误。例如,对象是格式错误的文件,或者对象是使用 Macie 无法访问或不允许使用的密钥加密的。存储桶的覆盖数据可以帮助您调查和修复错误。有关更多信息,请参阅 评测自动敏感数据发现覆盖率

Macie 将继续尝试分析存储桶中的对象。如果 Macie 成功分析了对象,Macie 将更新存储桶的敏感度分数和标签以反映分析结果。
1-49 不敏感

在此范围内,较高的分数(例如 49)表明 Macie 已经分析了存储桶中相对较少的对象。较低的分数(例如 1)表示 Macie 已经分析了存储桶中的许多对象(相对于存储桶中对象的总数),并且在这些对象中检测到的敏感数据的类型和出现次数相对较少。

分数为 1 也表示存储桶未存储任何对象,或者存储桶中的所有对象都包含零 (0) 字节的数据。存储桶详细信息中的对象统计信息可以帮助您确定是否是这种情况。有关更多信息,请参阅 查看 S3 存储桶的详细信息
50 尚未分析

Macie 尚未尝试分析或分析存储桶中的任何对象。

当最初启用自动发现功能或向账户的存储桶清单中添加存储桶时,Macie 会自动分配此分数。在组织中,如果从未为拥有存储桶的账户启用自动发现,则该存储桶也可以获得此分数。

分数为 50 也表示存储桶的权限设置阻止 Macie 访问存储桶或存储桶的对象。这通常是由限制性存储桶策略造成的。存储桶的详细信息可以帮助您确定是否是这种情况,因为 Macie 只能提供有关存储桶的部分信息。有关如何解决此问题的信息,请参阅 允许 Macie 访问 S3 存储桶和对象
51-99 敏感

在这个范围内,分数越高,例如 99,表明 Macie 分析了存储桶中的许多对象(相对于存储桶中对象的总数),并且在这些对象中检测到许多类型和出现多次的敏感数据。较低的分数,例如 51,表明 Macie 分析了存储桶中中等数量的对象(相对于存储桶中对象的总数),并且在这些对象中检测到至少几种类型和出现几次的敏感数据。
100 敏感

分数是手动分配给桶的,覆盖了计算得出的分数。Macie 不会将此分数分配给存储桶。

监控敏感度分数

最初为账户启用自动敏感数据发现功能时,Amazon Macie 会自动为该账户拥有的每个 S3 存储桶分配 50 的敏感度分数。当存储桶添加到账户的存储桶清单时,Macie 还会将该分数分配给该存储桶。根据该分数,每个存储桶的敏感度标签为尚未分析。唯一的例外是空存储桶,它是一个不存储任何对象的存储桶,或者存储桶中的所有对象都包含零 (0) 字节的数据。如果存储桶是这种情况,Macie 给存储桶分配 1 分,存储桶的灵敏度标签为不敏感

随着每天自动发现敏感数据的进展,Macie 会更新 S3 存储桶的敏感度分数和标签,以反映其分析结果。例如:

  • 如果 Macie 在对象中找不到敏感数据,Macie 会降低存储桶的敏感度分数,并在必要时更新存储桶敏感度标签。

  • 如果 Macie 在对象中找到敏感数据,Macie 会增加存储桶的敏感度分数,并在必要时更新存储桶敏感度标签。

  • 如果 Macie 在随后更改的对象中发现敏感数据,Macie 会从存储桶的敏感度分数中删除该对象的敏感数据检测,并根据需要更新存储桶的敏感度标签。

  • 如果 Macie 在随后删除的对象中发现敏感数据,Macie 会从存储桶的敏感度分数中删除该对象的敏感数据检测,并根据需要更新存储桶的敏感度标签。

  • 如果一个对象被添加到一个先前为空的存储桶中,并且 Macie 在该对象中发现了敏感数据,Macie 会增加存储桶的敏感度评分,并根据需要更新存储桶的敏感度标签。

  • 如果存储桶的权限设置阻止 Macie 检索有关该存储桶或存储桶对象的信息或访问该存储桶或存储桶的对象,Macie 会将该存储桶的敏感度分数更改为 50,并将该存储桶的敏感度标签更改为尚未分析

分析结果可以在启用账户自动发现敏感数据后的 48 小时内开始显示。

如果您是组织的 Macie 管理员或拥有独立的 Macie 帐户,则可以调整组织或帐户的敏感度评分设置:

  • 要调整对所有 S3 存储桶进行后续分析的设置,请更改账户的自动敏感数据发现设置。您可以开始包括或排除特定的托管数据标识符、自定义数据标识符或允许列表。您也可以排除特定的存储桶。有关更多信息,请参阅 配置自动发现

  • 要调整单个 S3 存储桶的设置,请更改每个存储桶的自动敏感数据发现设置。您可以在存储桶的分数中包含或排除特定类型的敏感数据。您还可以指定是否为存储分区分配自动计算的分数。有关更多信息,请参阅 管理单个 S3 存储桶的自动发现

如果您禁用自动发现敏感数据,则对现有敏感度分数和标签的影响会有所不同。如果您为组织中的成员账户禁用该功能,则该账户拥有的 S3 存储桶的现有分数和标签将保留。如果您为整个组织或独立的 Macie 账户禁用该功能,则现有分数和标签仅保留 30 天。30 天后,Macie 会重置组织或账户拥有的所有存储分区的分数和标签。如果存储桶存储对象,Macie 会将分数更改为 50,并将尚未分析的标签分配给该存储桶。如果存储桶为空,Macie 会将分数更改为 1,并将不敏感标签分配给该存储桶。重置后,除非您再次为组织或账户启用自动发现敏感数据,否则 Macie 将停止更新存储分区的敏感度分数和标签。