S3 儲存貯體的靈敏度評分 - Amazon Macie
評分尺寸和範圍監控分數

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

S3 儲存貯體的靈敏度評分

如果啟用自動化敏感資料探索,Amazon Macie 會自動計算和指派敏感度分數給每個 Amazon Simple Storage Service (Amazon S3) 一般用途儲存貯體,以監控和分析帳戶或組織。敏感度分數是 S3 儲存貯體可能包含之敏感資料量的量化表示。根據該分數,Macie 也會為每個值區指派一個敏感度標籤。敏感度標籤是值區靈敏度分數的定性表示。這些值可作為參考點,用於確定敏感資料可能存放在 Amazon S3 資料資產中的位置,以及識別和監控該資料的潛在安全風險。

根據預設,S3 儲存貯體的敏感度分數和標籤會反映 Macie 迄今為止為儲存貯體執行的自動化敏感資料探索活動的結果。它們不會反映您已建立和執行的敏感資料探索工作的結果。此外,分數和標籤都不會暗示或以其他方式表示值區或值區的物件對您的組織可能具有的重要性或重要性。不過,您可以手動將最高分數 (100) 指派給值區,以覆寫值區的計算得分,同時也會將「敏感」標籤指派給值區。

靈敏度評分尺寸和範圍

如果由 Amazon Macie 計算,S3 儲存貯體的靈敏度分數是兩個主要維度交集的量化度量:

  • Macie 在值區中找到的敏感資料量。這主要衍生自 Macie 在值區中找到的敏感資料類型的性質和數量,以及每種類型的出現次數。

  • Macie 在值區中分析的資料量。這主要衍生自 Macie 在值區中分析的唯一物件數量 (相對於值區中的唯一物件總數)。

S3 儲存貯體的靈敏度分數也會決定 Macie 指派給儲存貯體的敏感度標籤。敏感度標籤是評分的定性表示法,例如「敏感」或「不敏感」。在 Amazon Macie 主控台上,值區的敏感度分數也會決定 Macie 在資料視覺效果中用來表示值區的顏色,如下圖所示。

顯示敏感度分數色相的色譜。51-100 的紅色色調。1-49 的藍色色調。灰色代表 -1。

敏感度分數範圍介於 -1100 之間,如下表所述。若要評估 S3 儲存貯體分數的輸入,您可以參考敏感資料探索統計資料以及 Macie 提供有關儲存貯體的其他詳細資料。

靈敏度分數 敏感性標籤 其他資訊
-1 分類錯誤

由於物件層級分類錯誤(物件層級權限設定、物件內容或配額有問題),Macie 尚未成功分析值區的任何物件。

當 Macie 嘗試分析值區中的一或多個物件時,發生錯誤。例如,物件是格式錯誤的檔案,或是物件使用 Macie 無法存取或不允許使用的金鑰加密。值區的涵蓋範圍資料可協助您調查和修正錯誤。如需詳細資訊,請參閱 評估自動化敏感資料探索範圍

Macie 將繼續嘗試分析存儲桶中的對象。如果 Macie 成功分析物件,Macie 會更新值區的敏感度分數和標籤,以反映分析結果。
1-49 不敏感

在此範圍內,較高的分數(例如 49)表示 Macie 分析了值區中相對較少的物件。較低的分數 (例如 1) 表示 Macie 分析了值區中的許多物件 (相對於值區中的物件總數),並偵測到這些物件中敏感資料的類型和出現次數相對較少。

分數為 1 也可以表示值區未儲存任何物件,或儲存貯體中的所有物件都包含零 (0) 個位元組的資料。值區詳細資料中的物件統計資料可協助您判斷是否發生這種情況。如需詳細資訊,請參閱 檢閱 S3 儲存貯體詳情
50 尚未分析

Macie 尚未嘗試分析或分析值區的任何物件。

當初始啟用自動探索或將值區新增至帳戶的儲存貯體詳細目錄時,Macie 會自動指派此分數。在組織中,如果從未針對擁有值區的帳戶啟用自動探索功能,值區也可以具有此分數。

50 分也表示值區的權限設定會阻止 Macie 存取值區或值區的物件。這通常是因為值區政策有限制。值區的詳細資料可協助您判斷是否發生這種情況,因為 Macie 只能提供值區相關資訊的子集。如需如何解決此問題的詳細資訊,請參閱允許 Macie 存取 S3 儲存貯體和物件
51-99 敏感

在此範圍內,較高的分數 (例如 99) 表示 Macie 已經分析了值區中的許多物件 (相對於值區中的物件總數),並偵測到這些物件中多種類型和機密資料的出現次數。較低的分數 (例如 51) 表示 Macie 已經分析了值區中的中等數目物件 (相對於值區中的物件總數),並偵測到這些物件中至少一些類型和出現的機密資料。
100 敏感

分數已手動指派給值區,並覆寫計算得分。Macie 不會將此分數指派給值區。

監控敏感度分數

一開始為帳戶啟用自動敏感資料探索時,Amazon Macie 會自動為帳戶擁有的每個 S3 儲存貯體指派 50 的敏感度分數。當值區新增至帳戶的值區庫存時,Macie 也會將此分數指派給值區。根據該分數,尚未分析每個值區的敏感度標籤。例外情況是一個空值區,它是一個不存儲任何對象的存儲桶,或者存儲桶中的所有對象包含零(0)個字節的數據。如果值區是這種情況,Macie 會將分數指派給值區 1,且值區的靈敏度標籤不敏感

隨著自動化敏感資料探索每天進行,Macie 會更新 S3 儲存貯體的敏感度分數和標籤,以反映其分析結果。例如:

  • 如果 Macie 在物件中找不到敏感資料,Macie 會降低值區的敏感度分數,並視需要更新值區的敏感度標籤。

  • 如果 Macie 在物件中找到敏感資料,Macie 會增加值區的敏感度分數,並視需要更新值區的敏感度標籤。

  • 如果 Macie 在隨後變更的物件中找到敏感資料,Macie 會從值區的敏感度評分中移除物件的敏感性資料偵測,並視需要更新值區的敏感性標籤。

  • 如果 Macie 在隨後刪除的物件中找到敏感資料,Macie 會從值區的敏感度分數中移除物件的敏感性資料偵測,並視需要更新值區的敏感性標籤。

  • 如果將物件新增至先前為空的值區,而 Macie 在物件中找到敏感資料,Macie 會增加值區的敏感度分數,並視需要更新值區的敏感度標籤。

  • 如果值區的權限設定讓 Macie 無法擷取或存取值區或值區物件的相關資訊,Macie 會將值區的敏感度分數變更為 50,並將值區的敏感度標籤變更為「尚未分析」。

分析結果可在啟用帳戶的自動敏感資料探索後 48 小時內開始顯示。

如果您是組織的 Macie 管理員,或者您擁有獨立的 Macie 帳戶,則可以調整組織或帳戶的敏感度評分設定:

  • 若要調整後續分析所有 S3 儲存貯體的設定,請變更帳戶的自動化敏感資料探索設定。您可以開始包含或排除特定受管資料識別碼、自訂資料識別碼或允許清單。您也可以排除特定值區。如需詳細資訊,請參閱 設定自動化探索

  • 若要調整個別 S3 儲存貯體的設定,請變更每個儲存貯體的自動化敏感資料探索設定。您可以在值區的分數中包含或排除特定類型的敏感資料。您也可以指定是否要將自動計算的分數指派給值區。如需詳細資訊,請參閱 管理個別 S3 儲存貯體的自動化探索

如果停用自動化敏感資料探索,對現有敏感度評分和標籤的影響會有所不同。如果您為組織中的成員帳戶停用此功能,則該帳戶擁有的 S3 儲存貯體會持續存在現有的分數和標籤。如果您針對整個組織或獨立的 Macie 帳戶停用此功能,則現有評分和標籤只會保留 30 天。在 30 天後,Macie 會重設組織或帳戶擁有之所有時段的評分與標籤。如果值區儲存物件,Macie 會將分數變更為 50,並將尚未分析的標籤指派給值區。如果值區為空,Macie 會將分數變更為 1,並將「不敏感」標籤指派給值區。此重設之後,Macie 會停止更新值區的敏感度分數和標籤,除非您再次為組織或帳戶啟用自動化敏感資料探索功能。