在 Macie 中查看你的 S3 存储桶清单

在 Amazon Macie 控制台，S3 存储桶页面详细介绍了当前 AWS 区域中 Amazon Simple Storage Service (Amazon S3) 数据的安全和隐私。通过此页面，您可以查看和分析该区域中 S3 通用存储桶的完整清单，并查看各个存储桶的详细信息和统计数据。如果您是组织的 Macie 管理员，则您的清单将包含您的成员账户拥有的 S3 存储桶的详细信息和统计信息。

S3 存储桶页面还会显示 Macie 最近一次从 Amazon S3 检索账户存储桶或对象元数据的时间。您可以在页面顶部的 上次更新时间字段中找到此信息。如果您是组织的 Macie 管理员，则此字段会显示 Macie 为您组织内账户检索数据的最早日期和时间。有关更多信息，请参阅数据刷新。

请注意，清单数据和统计数据不包括有关 S3 目录存储桶的数据，仅包括通用存储桶。Macie 不监控或分析目录存储桶。此外，大多数库存数据仅限于允许 Macie 为您的账户访问的存储桶。如果存储桶的权限设置阻止 Macie 检索有关该存储桶或存储桶对象的信息，则 Macie 只能提供有关此存储桶的部分信息。如果特定存储桶出现这种情况，Macie 将您的存储桶清单中显示该存储桶的警告图标 ( ) 和消息。有关存储桶的详细信息，Macie 仅显示字段和数据的子集：拥有 AWS 账户该存储桶的账户 ID；存储桶的名称、Amazon 资源名称 (ARN)、创建日期和区域；以及 Macie 最近一次在每日刷新周期中检索存储桶和对象元数据的时间。要调查该问题，请在 Amazon S3 中查看存储桶的策略和权限设置。例如，存储桶可能具有限制性的存储桶策略。有关更多信息，请参阅允许 Macie 访问 S3 存储桶和对象。

如果您更喜欢以编程方式访问和查询库存数据，则可以使用 Ama API zon Macie 的DescribeBuckets操作。

查看 S3 存储桶清单

Amazon Macie 控制台上的 S3 存储桶页面提供了有关当前版本中 S3 通用存储桶的信息。 AWS 区域此页面表格显示了清单中每个存储桶的摘要信息。要自定义视图，您可以对表格进行排序和筛选。如果您在表中选择一个存储桶，则详细信息面板显示有关此存储桶的其他信息。这包括设置详情和统计数据，以及洞察存储桶数据安全和隐私的指标。您可以选择将表中的数据导出到逗号分隔值 (CSV) 文件。

如果启用了自动发现敏感数据，您还可以选择使用交互式热图来查看您的库存。该地图直观显示了整个 Amazon S3 数据资产的数据敏感度。它捕获了 Macie 迄今为止执行的自动敏感数据发现活动的结果。要详细了解相关内容，请参阅使用 S3 存储桶地图观察数据灵敏度。

要查看 S3 存储桶清单

打开亚马逊 Macie 主机，网址为。https://console.aws.amazon.com/macie/
在导航窗格中，选择 S3 存储桶。S3 存储桶页面显示您的存储桶清单。如果页面显示您的库存的交互式地图，请选择页面顶部的表格 ( )。然后，Macie 会显示您的清单中的存储桶数量和存储桶表。

如果启用了自动敏感数据发现，则默认视图不会显示当前不在自动发现范围内的存储桶的数据。要显示此数据，请在筛选框下方的 “由自动发现筛选器监控” 标记中选择 X。
在页面顶部，可以选择刷新 ( )，从 Amazon S3 检索最新的存储桶元数据。

如果信息图标 ( ) 出现在任何存储桶名称旁边，我们建议您这样操作。此图标表明存储桶是在过去 24 小时内创建的，可能是 Macie 在每日刷新周期中最后一次从 Amazon S3 检索存储桶和对象元数据之后创建的。
在 S3 存储桶表中，查看有关清单中每个存储桶的部分信息：
- 敏感度-如果启用了自动敏感数据发现，则存储桶的当前敏感度分数。有关 Macie 定义的灵敏度分数范围的信息，请参阅 S3 存储桶的敏感度评分。
- 存储桶 – 存储桶名称。
- 账户 – 拥有存储桶的 AWS 账户账户 ID。
- 可分类对象 – Macie 可在存储桶中分析以检测敏感数据的对象总数。
- 可分类大小 – Macie 可在存储桶中分析以检测敏感数据的所有对象的总存储大小。
  
  注意，此值不反映任何压缩对象在解压缩后的实际大小。此外，如果为存储桶启用了版本控制，则此值将基于存储桶中每个最新版本对象的存储大小。
- 按任务监控-您是否将任何敏感数据发现任务配置为每天、每周或每月定期分析存储桶中的对象。
  
  如果此字段的值为是，则表示该存储桶已显式包含在定期作业中，或者该存储桶在过去 24 小时内符合定期作业的条件。此外，其中至少有一个作业的状态非已取消。Macie 每天都会更新这些数据。
- 最新运行的任务-如果您配置了任何定期或一次性的敏感数据发现任务来分析存储桶中的对象，则此字段会显示其中一个任务开始运行的最新日期和时间。否则，此字段中会出现短划线 (—)。
在上述数据中，如果对象使用所支持的 Amazon S3 存储类别，并且其文件扩展名表示支持的文件或存储格式，则对象属于可分类。您可以通过使用 Macie 检测对象中的敏感数据。有关更多信息，请参阅支持的存储类别和格式。
要使用表格分析清单，请执行以下操作之一：
- 要按特定字段对表格进行排序，请选择该字段的列标题。要更改排序顺序，请再次选择列标题。
- 要筛选表格并仅显示含特定字段值的存储桶，请将光标置于筛选框内，然后为该字段添加筛选条件。若要进一步优化结果，请为其他字段添加筛选条件。有关更多信息，请参阅筛选您的 S3 存储桶清单。
要查看特定存储桶的详细信息和统计数据，请选择表中的存储桶名称，然后转到详细信息面板。

提示
您可以使用存储桶详细信息面板来深入探究很多字段。要显示某个字段中具有相同值的存储桶，请在该字段中选择。要显示其他字段值的存储桶，请在字段中选择。
要将数据从表导出到CSV文件，请选中要导出的每行的复选框，或者选中选择列标题中的复选框以选择所有行。然后选择页面顶CSV部的导出到。您最多可从表格中导出 50,000 行。

查看 S3 存储桶的详细信息

在 Amazon Macie 控制台上，您可以使用 S3 存储桶页面上的详细信息面板来查看 S3 存储桶清单中每个通用存储桶的统计数据和其他信息。这包括设置和指标详细信息和统计数据，这些详细信息和统计数据提供了存储桶数据安全和隐私的洞察。

例如，您可以查看 S3 存储桶的公共访问设置明细，并确定存储桶的配置目的是重复对象还是与其他 AWS 账户分享。您还可以确定是否配置了任何敏感数据发现任务来检查存储桶中是否有敏感数据。如果有，则可以访问有关最近运行的作业的详细信息，也可以选择显示该作业产生的任何结果。

如果启用了自动敏感数据发现，您还可以使用详细信息面板查看有关单个 S3 存储桶的敏感数据发现统计数据和其他信息。此面板采集 Macie 迄今为止为存储桶执行的、自动敏感数据发现活动的结果。要了解更多详细信息，请参阅查看 S3 存储桶的数据敏感度详细信息。

要查看 S3 存储桶的详细信息

打开亚马逊 Macie 主机，网址为。https://console.aws.amazon.com/macie/
在导航窗格中，选择 S3 存储桶。S3 存储桶页面显示您的存储桶清单。

如果启用了自动敏感数据发现，则默认视图不会显示当前不在自动发现范围内的存储桶的数据。要显示此数据，请在筛选框下方的 “由自动发现筛选器监控” 标记中选择 X。
在页面顶部，可以选择刷新 ( )，从 Amazon S3 检索最新的存储桶元数据。
选择要查看其详细信息的存储桶。此详细信息面板显示有关存储桶的统计数据和其他信息。

在详细信息面板中，统计数据和信息分为以下主要部分：

概述 | 对象统计 | 服务器端加密 | 敏感数据发现 | 公共访问 | 复制 | 标签

在查看每个部分的信息时，您可以选择对某些字段进行转置和向下钻取。要显示某个字段中具有相同值的存储桶，请在该字段中选择。要显示其他字段值的存储桶，请在字段中选择。

概述

本部分提供有关存储桶的一般信息，例如存储桶的名称、存储桶的创建时间以及拥有 AWS 账户该存储桶的账户 ID。特别值得注意的是，上次更新时间字段指示 Macie 最近从 Amazon S3 中检索存储桶或存储桶对象元数据的时间。

共享访问权限字段表示存储桶是与其他人共享 AWS 账户、Amazon CloudFront 源访问身份 (OAI) 还是 CloudFront 源站访问控制 (OAC)：

外部 — 存储桶与以下一个或多个用户或其任意组合共享：a CloudFront OAI CloudFront OAC、a 或组织外部（不属于）的账户。
内部‬ – 存储桶与组织内部（一部分）的一个或多个账户共享。它不会与 CloudFront OAI或共享OAC。
未共享-存储桶未与其他账户 a 或 a CloudFront OAI 共享 CloudFront OAC。
未知 – Macie 无法评测存储桶的共享访问权限设置。

为了确定某个存储桶是否与其他存储桶共享 AWS 账户，Macie 会分析该存储桶的存储桶策略和访问控制列表 (ACL)。分析仅限于存储桶级设置。它不反映用于共享存储桶内特定对象的任何对象级设置。此外，组织被定义为一组 Macie 账户，这些账户通过 AWS Organizations 或通过 Macie 邀请作为一组相关账户进行集中管理。要了解用于共享存储桶的 Amazon S3 选项，请参阅《亚马逊简单存储服务用户指南》中的访问管理。

注意

在某些情况下，Macie 可能会发生错误，指示存储桶与组织外部（非组织内）的 AWS 账户共享。如果 Macie 无法完全评测存储桶策略中的 Principal 元素与该策略 Condition 元素中的某些 AWS 全局条件上下文密钥或 Amazon S3 条件密钥之间的关系，则可能会发生这种情况。适用的条件键是：aws:PrincipalAccount、、aws:PrincipalArn、aws:PrincipalOrgID、aws:PrincipalOrgPaths、、aws:PrincipalTag、aws:PrincipalType、aws:SourceAccount、aws:SourceArn、aws:SourceIp、aws:SourceVpc、aws:SourceVpce、aws:userid、、s3:DataAccessPointAccount、和s3:DataAccessPointArn。我们建议您检查存储桶的策略，以确定此访问是否为预期行为且是安全的。

为了确定存储桶是否与 CloudFront OAI或共享OAC，Macie 会分析该存储桶的存储桶策略。 CloudFront OAI或OAC允许用户通过一个或多个指定的 CloudFront 分配访问存储桶的对象。要了解 CloudFront OAIs和OACs，请参阅《亚马逊 CloudFront 开发者指南》中的限制访问 Amazon S3 源。

概述部分还包括最新自动发现运行字段。此字段表示 Macie 最近在执行自动敏感数据发现时分析存储桶中的对象的时间。如果尚未进行此分析，则此字段中会出现一个短划线 (—)。

对象统计数据

本部分提供关于存储桶对象的信息，首先介绍存储桶内的对象总数（总数）、所有对象的总存储大小（总存储大小），以及所有压缩文件 (.gz、.gzip 或 .zip) 对象的总存储大小（总压缩大小）。本节中的其他统计数据可帮您评测 Macie 可分析的数据量，以检测存储桶内的敏感数据。

如果您最近创建了存储桶，或在过去 24 小时内对存储桶对象进行了重大更改，则可以选择选择刷新 ( ) 以检索存储桶对象的最新元数据。Macie 显示信息图标 ( )，以帮助您确定是否可能出现这种情况。如果存储桶存储的对象不超过 30,000 个，则可以使用刷新选项。

查看本节统计数据时，请牢记以下几点：

如果为存储桶启用了版本控制，则大小值将基于存储桶中每个最新版本对象的存储大小。
如果存储桶存储压缩对象，则大小值不会反映这些对象在解压缩后的实际大小。
如果您刷新存储桶的对象元数据，Macie 会临时报告未知，以获取适用于该对象的加密统计信息。当在 24 小时内对存储桶和对象元数据执行下一次日常刷新，Macie 将重新评测和更新这些统计数据。
默认情况下，对象计数和大小值包括：存储桶内包含的、作为不完全分段上传结果的、任何对象部分数据。如果您刷新存储桶对象元数据，Macie 会从重新计算的值中排除对象部分数据。当 Macie 对存储桶和对象元数据执行下一次日常刷新（24 小时内）时，Macie 会重新计算和更新这些统计数据的值，并将对象部分的数据再次纳入值中。

请注意，Macie 无法通过分析对象部分检测敏感数据。Amazon S3 必须先将分段重组成一个或多个对象，让 Macie 进行分析。有关分段上传和对象分段的信息，包括如何根据生命周期规则自动删除分段，请参阅 Amazon Simple Storage Service 用户指南中的使用分段上传来上传和复制对象。要识别包含对象分段的存储桶，您可以参考 Amazon S3 Storage Lens 存储统计管理工具中的未完成分段上传。有关更多信息，请参阅 Amazon Simple Storage Service 用户指南中的评测您的存储活动和使用情况。

对象统计信息组织方式如下。

可分类对象

此部分所示为 Macie 可分析的对象总数，用于检测这些对象的敏感数据和总存储大小。这些对象使用所支持的 Amazon S3 存储类别，并且其文件扩展名表示支持的文件或存储格式。您可以通过使用 Macie 检测对象中的敏感数据。有关更多信息，请参阅支持的存储类别和格式。

不可分类的对象

此部分所示为 Macie 无法分析的对象总数，用于检测这些对象的敏感数据和总存储大小。这些对象不使用所支持的 Amazon S3 存储类别，并且其文件扩展名未表示支持的文件或存储格式。

不可分类的对象：存储分类

本节详细介绍了 Macie 无法分析对象的数量和存储大小，无法分析的原因是这些对象不使用支持的 Amazon S3 存储类别。

不可分类的对象：文件类型

本节详细介绍了 Macie 无法分析对象的数量和存储大小，无法分析的原因是这些对象未使用支持的文件扩展名或存储格式。

按加密类型统计的对象

本节详细介绍了使用 Amazon S3 支持的每种加密类型的对象数量：

客户提供-使用客户提供的密钥加密的对象数量。这些对象使用 SSE-C 加密。
AWS KMS 托管 — 使用客户托管密钥 AWS 托管式密钥或客户托管密钥加密的对象数量。 AWS KMS key这些对象使用 DSSE-KMS 或 SSE-KMS 加密。
Amazon S3 托管 — 使用 Amazon S3 托管密钥加密的对象数量。这些对象使用 SSE-S3 加密。
不加密 – 未加密或未使用客户端加密的对象数量。（如果对象通过客户端加密，Macie 无法访问和报告对象加密数据。）
未知 – Macie 没有其当前加密元数据的对象数量。如果您最近选择手动刷新存储桶对象元数据，则通常会发生这种情况。当在 24 小时内对存储桶和对象元数据执行下一次日常刷新，Macie 将加密统计数据。

有关每种支持的加密类型的信息，请参阅《Amazon 简单存储服务用户指南》中的使用加密保护数据。

服务器端加密

本节深入介绍存储桶服务器端加密设置。

按存储桶策略要求加密字段指明在向存储桶添加对象时，存储桶】的策略是否要求对对象进行服务器端加密：

否‬ – 存储桶没有存储桶策略，或者存储桶的策略不要求对新对象进行服务器端加密。如果存在存储桶策略，则它不需要PutObject请求中包含有效的服务器端加密标头。
是‬ – 存储桶策略要求对新对象进行服务器端加密。存储桶的 PutObject 请求必须包含有效的服务器端加密标题。否则，Amazon S3 拒绝该请求。
未知‬ – Macie 无法评测存储桶的策略以确定它是否需要对新对象进行服务器端加密。

在此评测中，有效的服务器端加密标题为：x-amz-server-side-encryption 值为AES256或 aws:kms，x-amz-server-side-encryption-customer-algorithm值为AES256。有关使用存储桶策略要求对新对象进行服务器端加密的信息，请参阅 A mazon Simple Storage Service 用户指南中的使用服务器端加密保护数据。

默认加密字段表示存储桶配置为默认应用于添加到存储桶中的对象的服务器端加密算法：

AES256— 存储桶的默认加密设置配置为使用 Amazon S3 托管密钥加密新对象。使用 SSE-S3 加密自动加密新对象。
aws: km s — 存储桶的默认加密设置配置为使用客户托管密钥 AWS 托管式密钥或客户托管密钥加密新对象。 AWS KMS key使用 SSE-加密对新对象进行自动KMS加密。该AWS KMS key字段显示所用密钥的 Amazon 资源名称 (ARN) 或唯一标识符（密钥 ID）。
aws: kms: dsse — 存储桶的默认加密设置配置为使用客户托管密钥或客户托管密钥加密新对象。 AWS KMS key AWS 托管式密钥使用 DSSE-加密对新对象进行自动KMS加密。该AWS KMS key字段显示所用密钥的ARN或密钥 ID。
无 – 存储桶的默认加密设置不为新对象指定服务器端加密行为。

从 2023 年 1 月 5 日起，Amazon S3 自动应用服务器端加密，将 Amazon S3 托管密钥 (SSE-S3) 作为添加到存储桶中的对象的基本加密级别。您可以选择配置存储桶的默认加密设置，改为使用带有密钥 (-) 的服务器端加密或使用 AWS KMS 密钥 (SSE-KMS) 的双层服务器端加密。 AWS KMS DSSE KMS有关默认加密设置和选项的信息，请参阅 Amazon Simple Storage Service 用户指南中的为 S3 存储桶设置默认服务器端加密行为。

敏感数据发现

此部分说明您是否将任何敏感数据发现任务配置为每天、每周或每月定期分析存储桶中的对象。如果由作业主动监控字段的值为是，则该存储桶将明确包含在定期作业中，或者该存储桶在过去 24 小时曾匹配定期作业条件。此外，其中至少有一个作业的状态非已取消。Macie 每天都会更新这些数据。

如果您配置了任何类型的敏感数据发现任务（定期任务或一次性任务）来分析存储桶中的对象，则最新任务字段将为最近开始运行的任务提供唯一标识符。最近作业运行时间字段指示该作业开始运行的时间。

提示

要显示作业生成的所有敏感数据调查发现，请选择最近的作业字段中的链接。在出现的作业详细信息面板中，选择面板顶部的显示结果，然后选择显示调查发现。

公有访问权限

本节还指示存储桶是否可公开访问。它还详细介绍决定这种情况的各类账户和存储桶级设置。有效权限字段指示这些设置的累积结果：

非公开访问 – 存储桶不可公开访问。
公开访问 – 存储桶可公开访问。
未知 – Macie 无法评测存储桶的所有公有访问设置。

请注意，此数据仅限账户和存储桶级设置。它不反映允许公有访问特定存储桶对象的对象级设置。

要了解用于管理存储桶和存储桶数据的公开访问的 Amazon S3 设置，请参阅《亚马逊简单存储服务用户指南》中的访问管理和阻止公众访问您的 Amazon S 3 存储。

复制

在本节中，Replicated 字段指示存储桶是否配置为将对象复制到其他存储桶。如果此字段的值为是，则表示已为此存储桶配置并启用一条或多条复制规则。然后，本部分还列出了每个 AWS 账户拥有目标存储桶的用户的账户 ID。

Repl icated externally 字段指明存储桶是否配置为 AWS 账户将对象复制到组织外部（不是组织的一部分）的存储桶。组织是一组 Macie 账户，这些账户通过 Macie 邀请 AWS Organizations 或通过 Macie 邀请作为一组相关账户进行集中管理。如果此字段的值为 “是”，则为该存储桶配置并启用了复制规则，并将该规则配置为将对象复制到由外部拥有的存储桶 AWS 账户。

注意

在某些情况下，Macie 可能会错误地指出存储桶已配置为将对象复制到由外部 AWS 账户用户拥有的存储桶。如果目标存储桶是在过去 24 小时内，也就是 Macie 在每日刷新周期中从 Amazon S3 检索存储桶和对象元数据之后在不同的 AWS 区域中创建，则可能会发生这种情况。

要使用 Macie 调查问题，请选择刷新 ( ) 从 Amazon S3 检索最新的存储桶元数据。然后查看本节IDs中的账户列表。若要进行更深入的调查，请使用 Amazon S3 查看存储桶的复制规则。

要了解复制存储桶对象的 Amazon S3 选项和设置，请参阅 Amazon Simple Storage Service 用户指南中的复制对象。