使用 Amazon Macie 查看您的 S3 儲存貯體庫存 - Amazon Macie
複查您的時段存貨複查時段明細

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 Amazon Macie 查看您的 S3 儲存貯體庫存

在 Amazon Macie 主控台上,S3 儲存貯體頁面針對目 AWS 區域前 Amazon Simple Storage Service (Amazon S3) 資料的安全性和隱私權提供詳細的見解。使用此頁面,您可以檢閱和分析區域中 S3 一般用途儲存貯體的完整清查,並檢閱個別儲存貯體的詳細資訊和統計資料。如果您是組織的 Macie 管理員,您的庫存會包含成員帳戶所擁有的 S3 儲存貯體的詳細資料和統計資料。

S3 儲存貯體頁面也會指出 Macie 最近從 Amazon S3 擷取您帳戶的儲存貯體或物件中繼資料的時間。您可以在頁面頂端的「上次更新」欄位中找到此資訊。如果您是組織的 Macie 管理員,此欄位會指出 Macie 擷取組織中帳戶資料的最早日期和時間。如需詳細資訊,請參閱 數據刷新

請注意,庫存資料和統計資料不包含 S3 目錄儲存貯體的相關資料,只包含一般用途儲存貯體。Macie 不會監視或分析目錄值區。此外,大多數庫存資料僅限於 Macie 允許您帳戶存取的儲存貯體。如果值區的權限設定阻止 Macie 擷取值區或值區物件的相關資訊,Macie 只能提供值區相關資訊的子集。如果特定值區發生這種情況,Macie 會在值區庫存中顯示該值區的警告圖示 ( A red triangle with a red exclamation point in it ) 和訊息。對於值區的詳細資訊,Macie 僅顯示欄位和資料的子集:擁有 AWS 帳戶 該值區的帳戶 ID、值區的名稱、Amazon 資源名稱 (ARN)、建立日期和區域;以及 Macie 最近擷取值區的值區和物件中繼資料作為每日重新整理週期的一部分時。若要調查問題,請檢閱 Amazon S3 中儲存貯體的政策和許可設定。例如,值區可能具有限制性的值區政策。如需詳細資訊,請參閱 允許 Macie 存取 S3 儲存貯體和物件

如果您偏好以程式設計方式存取和查詢庫存資料,可以使用 Amazon Macie API 的DescribeBuckets操作。

檢閱您的 S3 儲存貯體庫存

Amazon Macie 主控台上的 S3 儲存貯體頁面提供目前 AWS 區域 S3 一般用途儲存貯體的相關資訊。在此頁面上,表格會顯示詳細目錄中每個儲存貯體的摘要資訊。若要自訂檢視,您可以排序和篩選表格。如果您在表格中選擇值區,詳細資料面板會顯示值區的其他相關資訊。這包括設置和指標的詳細信息和統計信息,可提供值區數據的安全性和隱私性的洞察力。您可以選擇性地將資料從表格匯出至逗號分隔值 (CSV) 檔案。

如果啟用了自動化敏感資料探索功能,您也可以選擇使用互動式熱圖來檢閱庫存。該地圖提供 Amazon S3 資料資產中資料敏感度的視覺化呈現。它捕獲 Macie 迄今為止執行的自動化敏感數據發現活動的結果。若要瞭解此地圖,請參閱使用 S3 儲存貯體對應視覺化資料敏感度

若要檢閱您的 S3 儲存貯體庫存

  1. 在以下位置打開 Amazon Macie 控制台 https://console.aws.amazon.com/macie/

  2. 在導覽窗格中,選擇 S3 儲存貯體S3 儲存貯體頁面會顯示儲存貯體庫存。如果頁面顯示庫存的互動式地圖,請選擇頁面頂端的 table ( The table view button, which is a button that contains three black horizontal lines )。然後,Macie 會顯示庫存中的值區數量以及值區表格。

    如果啟用了自動化敏感資料探索,預設檢視不會顯示目前從自動探索中排除的值區的資料。若要顯示此資料,請在篩選器方塊下方的 [由自動探索篩選器權杖監視] 中選擇 [X]。

  3. 在頁面頂端,選擇性地選擇重新整理 ( The refresh button, which is a button that contains an empty, dark gray circle with an arrow ) 以從 Amazon S3 擷取最新的儲存貯體中繼資料。

    如果資訊圖示 ( A blue circle with a blue, lowercase letter i in it ) 出現在任何值區名稱旁,我們建議您這麼做。此圖示表示儲存貯體是在過去 24 小時內建立的,可能是在 Macie 上次從 Amazon S3 擷取儲存貯體和物件中繼資料作為每日重新整理週期的一部分之後。

  4. S3 儲存貯體頁面上,使用表格來檢閱庫存中每個儲存貯體的相關資訊子集:

    • 靈敏度 — 值區目前的靈敏度分數。只有在啟用自動敏感資料探索時,才會顯示此欄。如需有關 Macie 定義之敏感度分數範圍的資訊,請參閱S3 儲存貯體的靈敏度評分

    • 值區」— 值區的名稱。

    • 帳號 — 擁有值區 AWS 帳戶 的帳號 ID。

    • 可分類的物件 — Macie 可以分析以偵測值區中敏感資料的物件總數。

    • 可分類大小 — Macie 可以分析以偵測值區中敏感資料的所有物件的總儲存大小。

      請注意,這個值不會反映任何壓縮物件解壓縮後的實際大小。此外,如果值區已啟用版本控制,則此值會根據值區中每個物件最新版本的儲存大小而定。

    • 依工作監控 — 是否將任何敏感資料探索工作設定為每日、每週或每月定期分析值區中的物件。

      如果此欄位的值為「」,則時段會明確納入週期性工單中,或符合過去 24 小時內週期性工單條件的時段。此外,其中至少有一個工作的狀態為「未取消」。Macie 每天都會更新此數據。

    • 新工作執行 — 如果將任何一次性或定期敏感資料探索工作配置為分析值區中的物件,則此欄位會指出其中一個工作開始執行的最近日期和時間。否則,此欄位中會出現一個破折號 (—)。

    在上述資料中,如果物件使用支援的 Amazon S3 儲存別,且物件具有支援檔案或儲存格式的副檔名,則物件即可分類。您可以通過使用 Macie 檢測對象中的敏感數據。如需詳細資訊,請參閱 支援的儲存類別和格式

  5. 若要使用表格分析庫存,請執行下列任一項作業:

    • 若要依特定欄位對表格進行排序,請選擇欄位的欄標題。若要變更排序順序,請再次選擇欄標題。

    • 若要篩選表格並僅顯示具有特定欄位值的值區,請將游標置於篩選方塊中,然後新增欄位的篩選條件。若要進一步細化結果,請新增其他欄位的篩選條件。如需詳細資訊,請參閱 篩選 S3 儲存貯體庫存

  6. 若要檢閱特定值區的詳細資料和統計資料,請在表格中選擇值區的名稱,然後參閱詳細資料面板。

    提示

    您可以在值區詳細資料面板中樞紐分析和向下鑽研許多欄位。若要顯示欄位具有相同值的值區,請 A magnifying glass with a plus sign 在欄位中選擇。若要顯示具有欄位其他值的值區,請 A magnifying glass with a minus sign 在欄位中選擇。

  7. 若要將資料從表格匯出至 CSV 檔案,請選取要匯出之每一列的核取方塊,或選取選取欄標題中的核取方塊以選取所有列。然後選擇頁面頂端的「匯出為 CSV」。您最多可以從表格中匯出 50,000 列。

檢閱 S3 儲存貯體的詳細資訊

在 Amazon Macie 主控台上,您可以使用 S3 儲存貯體頁面上的詳細資料面板來檢閱 S3 儲存貯體庫存中每個一般用途儲存貯體的統計資料和其他資訊。這包括設置和指標的詳細信息和統計信息,可提供值區數據安全性和隱私性的洞察力。

例如,您可以檢閱 S3 儲存貯體的公開存取設定細分,並判斷儲存貯體是設定為複寫物件還是與其他 AWS 帳戶儲存貯體共用。您也可以判斷是否設定任何敏感資料探索工作來檢查儲存貯體中是否有敏感資料。如果有,您可以存取最近執行之工作的詳細資訊,並選擇性地顯示工作產生的任何發現項目。

如果啟用自動化敏感資料探索,您也可以使用詳細資料面板來檢閱敏感資料探索統計資料以及個別 S3 儲存貯體的其他相關資訊。此面板會擷取 Macie 迄今為止針對值區執行的自動化敏感資料探索活動的結果。若要瞭解這些詳細資訊,請參閱複查個別 S3 儲存貯體的資料敏感度詳細

若要檢閱 S3 儲存貯體的詳細資訊

  1. 在以下位置打開 Amazon Macie 控制台 https://console.aws.amazon.com/macie/

  2. 在導覽窗格中,選擇 S3 儲存貯體S3 儲存貯體頁面會顯示儲存貯體庫存。

    如果啟用了自動化敏感資料探索,預設檢視不會顯示目前從自動探索中排除的值區的資料。若要顯示此資料,請在篩選器方塊下方的 [由自動探索篩選器權杖監視] 中選擇 [X]。

  3. 在頁面頂端,選擇性地選擇重新整理 ( The refresh button, which is a button that contains an empty, dark gray circle with an arrow ) 以從 Amazon S3 擷取最新的儲存貯體中繼資料。

  4. 選擇您要複查其明細的時段。詳細資料面板會顯示值區的統計資料和其他相關資訊。

在詳細資料面板中,統計資料和資訊會組織成下列主要區段:

概觀 | 對象統計信息 | 服務器端加密 | 敏感數據發現 | 公共訪問 | 複製 | 標籤

當您複查每個區段中的資訊時,您可以選擇性地對某些欄位進行樞紐分析和向下鑽研。若要顯示欄位具有相同值的值區,請 A magnifying glass with a plus sign 在欄位中選擇。若要顯示具有欄位其他值的值區,請 A magnifying glass with a minus sign 在欄位中選擇。

概觀

本節提供值區的一般資訊,例如值區的名稱、建立值區的時間,以及擁有 AWS 帳戶 該值區的帳號 ID。特別注意的是,「上次更新」欄位會指出 Macie 最近從 Amazon S3 擷取儲存貯體或儲存貯體物件的中繼資料的時間。

共用存取權欄位會指出儲存貯體是否與另一個儲存貯體共用 AWS 帳戶、Amazon CloudFront 原始存取身分 (OAI) 或 CloudFront 來源存取控制 (OAC):

  • 外部 — 值區會與下列一或多項或下列任何組合共用: CloudFront OAI、CloudFront OAC 或組織外部 (不屬於) 組織的帳戶。

  • 內部 — 值區會與一或多個屬於您組織內部 (部分) 的帳戶共用。它不會與 CloudFront OAI 或 OAC 共用。

  • 未共用 — 值區不會與其他帳戶、 CloudFront OAI 或 CloudFront OAC 共用。

  • 未知 — Macie 無法評估值區的共用存取設定。

為了判斷值區是否與另一個值區共用 AWS 帳戶,Macie 會分析值區的儲存貯體政策和存取控制清單 (ACL)。分析僅限於值區層級設定。它不會反映值區中共用特定物件的任何物件層級設定。此外,組被定義為一組 Macie 帳戶,透過 AWS Organizations 或透過 Macie 邀請集中管理為一組相關帳戶。若要了解 Amazon S3 共用儲存貯體的選項,請參閱 Amazon 簡單儲存服務使用者指南中的 Amazon S3 中的身分和存取管理

注意

在某些情況下,Macie 可能會錯誤地指出儲存貯體與組 AWS 帳戶 織外部 (不屬於) 的值區共用。如果 Macie 無法完全評估儲存貯體政策中的元素與政策Principal元素中的特定AWS 全域條件內容金鑰或 Amazon S3 條件金鑰之間的關係,就會發生這種情況。Condition適用的條件鍵為:aws:PrincipalAccountaws:PrincipalArnaws:PrincipalOrgIDaws:PrincipalOrgPaths、、aws:PrincipalTagaws:PrincipalTypeaws:SourceAccountaws:SourceArnaws:SourceIpaws:SourceVpcaws:SourceVpceaws:userids3:DataAccessPointAccount、和s3:DataAccessPointArn。我們建議您檢閱值區的政策,以判斷此存取是否有意且安全。

若要判斷值區是否與 CloudFront OAI 或 OAC 共用,Macie 會分析值區的值區政策。 CloudFront OAI 或 OAC 可讓使用者透過一或多個指 CloudFront 定的發行版存取值區的物件。若要了解 CloudFront OAI 和 OAC,請參閱 Amazon 開發人員指南中的限制對 Amazon S3 來源的存取。 CloudFront

[概觀] 區段也包含 [最新的自動化探索執行] 欄位。此欄位指出 Macie 最近在執行自動化敏感資料探索時分析值區中物件的時間。如果尚未進行此分析,則此欄位中會出現破折號 (—)。

物件統計

本節提供值區中物件的相關資訊,從值區中的物件總數開始 (總計計數)、所有這些物件的總儲存大小 (儲存大小總計),以及所有壓縮物件 (.gz、.gzip 或 .zip) 檔案的總儲存大小 (壓縮大小總計)。本節中的其他統計資料可協助您評估 Macie 可以分析多少資料以偵測值區中的敏感資料。

如果您最近建立了值區,或在過去 24 小時內對值區的物件進行了重大變更,請選擇重新整理 ( The refresh button, which is a button that contains an empty, dark gray circle with an arrow ) 來擷取值區物件的最新中繼資料。Macie 會顯示資訊圖示 ( A blue circle with a blue, lowercase letter i in it ) 來協助您判斷是否發生這種情況。如果值區儲存 30,000 個或更少的物件,則可使用重新整理選項。

檢閱本節中的統計資料時,請記住下列事項:

  • 如果值區已啟用版本控制,則大小值會根據值區中每個物件最新版本的儲存大小為基礎。

  • 如果值區儲存壓縮物件,則大小值在解壓縮後不會反映這些物件的實際大小。

  • 如果您重新整理值區的物件中繼資料,Macie 會暫時回報未知的加密統計資料套用至物件。Macie 會在 24 小時內執行值區和物件中繼資料的下一次每日重新整理時,重新評估和更新這些統計資料的資料。

  • 根據預設,物件計數和大小值會包含值區因上傳不完整而包含之任何物件零件的資料。如果您重新整理值區的物件中繼資料,Macie 會從重新計算的值中排除物件零件的資料。當 Macie 執行值區和物件中繼資料的下一次每日重新整理時 (在 24 小時內),Macie 會重新計算並更新這些統計資料的值,並在值中再次包含物件部分的資料。

    請注意,Macie 無法分析物件部分來偵測敏感資料。Amazon S3 必須先將零件組裝成一個或多個物件,以便 Macie 進行分析。如需有關分段上傳和物件零件的資訊,包括如何使用生命週期規則自動刪除零件,請參閱 Amazon Simple Storage Service 使用者指南中的使用多部分上傳來上傳和複製物件。若要識別包含物件組件的儲存貯體,您可以參考 Amazon S3 儲存鏡頭中不完整的分段上傳指標。如需詳細資訊,請參閱 Amazon 簡單儲存服務使用者指南中的評估儲存活動和使用情況

物件統計資料的組織方式如下。

可分類的物件

本節指出 Macie 可以分析以偵測敏感資料的物件總數,以及這些物件的總儲存大小。這些物件使用支援的 Amazon S3 儲存類別,並具有支援檔案或儲存格式的副檔名。您可以通過使用 Macie 檢測對象中的敏感數據。如需詳細資訊,請參閱 支援的儲存類別和格式

未分類的物件

本節指出 Macie 無法分析以偵測敏感資料的物件總數,以及這些物件的儲存空間總大小。這些物件不使用支援的 Amazon S3 儲存類別,或者它們沒有支援的檔案或儲存格式的副檔名。

無法分類的物件:儲存類別

本節提供 Macie 無法分析的物件數量和儲存大小明細,因為物件不使用支援的 Amazon S3 儲存類別。

無法分類的物件:檔案類型

本節提供 Macie 無法分析之物件的數量和儲存大小明細,因為物件沒有支援的檔案或儲存格式的副檔名。

各加密類型的物件

本節提供使用 Amazon S3 支援之每種加密類型的物件數目明細:

  • 客戶提供 — 使用客戶提供的金鑰加密的物件數目。這些物件使用 SSE-C 加密。

  • AWS KMS Managed — 使用客戶管理金鑰 AWS 受管金鑰 或客戶管理金鑰加密的物件數目。 AWS KMS key這些物件會使用 DSSE-KMS 或 SSE-KMS 加密。

  • Amazon S3 受管 — 使用 Amazon S3 受管金鑰加密的物件數量。這些物件使用 SSE-S3 加密。

  • [無加密] — 未加密或使用用戶端加密的物件數目。(如果物件使用用戶端加密加密,Macie 就無法存取和報告該物件的加密資料。)

  • 未知 — Macie 目前沒有加密中繼資料的物件數目。如果您最近選擇手動重新整理值區物件的中繼資料,通常會發生這種情況。Macie 會在 24 小時內執行值區和物件中繼資料的下一次每日重新整理時,更新加密統計資料。

如需每種受支援加密類型的相關資訊,請參閱 Amazon 簡單儲存服務使用者指南中的使用加密保護資料

伺服器端加密

本節提供值區伺服器端加密設定的深入資訊。

值區政策所需的加密欄位會指出將物件新增至值區時,值區的政策是否需要對物件進行伺服器端加密:

  • 否 — 值區沒有值區政策,或儲存貯體的政策不需要新物件的伺服器端加密。如果存在值區政策,則不需要要PutObject求包含有效的伺服器端加密標頭。

  • — 值區的政策需要新物件的伺服器端加密。 PutObject值區的要求必須包含有效的伺服器端加密標頭。否則,Amazon S3 會拒絕要求。

  • 未知 — Macie 無法評估值區的政策,以判斷是否需要新物件的伺服器端加密。

對於此評估,有效的伺服器端加密標頭為:x-amz-server-side-encryption值為AES256aws:kms,且x-amz-server-side-encryption-customer-algorithm值為AES256。如需使用儲存貯體政策要求伺服器端加密新物件的相關資訊,請參閱 Amazon 簡單儲存服務使用者指南中的使用伺服器端加密保護資料

預設加密欄位會指出儲存貯體設定為預設套用哪個伺服器端加密演算法至新增至值區的物件:

  • AES256 — 儲存貯體的預設加密設定已設定為使用 Amazon S3 受管金鑰加密新物件。新物件會使用 SSE-S3 加密自動加密。

  • aw:kms — 值區的預設加密設定是設定為使用 AWS KMS key、 AWS 受管金鑰 或客戶管理的金鑰來加密新物件。新物件會使用 SSE-KMS 加密自動加密。此AWS KMS key欄位會顯示所使用金鑰的 Amazon 資源名稱 (ARN) 或唯一識別碼 (金鑰 ID)。

  • aws: kms: dsse — 值區的預設加密設定已設定為使用 (或客戶管理的金鑰) 來加 AWS KMS key密新物件。 AWS 受管金鑰 新物件會使用 DSSE-KMS 加密自動加密。此AWS KMS key欄位會顯示所使用金鑰的 ARN 或金鑰識別碼。

  • — 值區的預設加密設定不會為新物件指定伺服器端加密行為。

自 2023 年 1 月 5 日起,Amazon S3 會自動使用 Amazon S3 受管金鑰 (SSE-S3) 套用伺服器端加密,作為新增至儲存貯體之物件的基礎加密層級。您可以選擇性地設定值區的預設加密設定,改為使用金鑰 (SSE-KMS) 的伺服器端加密,或使用金 AWS KMS 鑰 (DSSE-KMS) 進行雙層伺服器端加密。 AWS KMS 如需有關預設加密設定和選項的資訊,請參閱 Amazon 簡單儲存體服務使用者指南中的設定 S3 儲存貯體的預設伺服器端加密行為

敏感性資料探索

本節指出是否將任何敏感資料探索工作設定為每日、每週或每月定期分析值區中的物件。如果「由工單主動監督」欄位的值為「」,則該時段會明確納入週期性工單中,或符合過去 24 小時內週期性工單之條件的時段。此外,其中至少有一個工作的狀態為「未取消」。Macie 每天都會更新此數據。

如果將任何類型的敏感資料探索工作 (定期工作或一次性工作) 設定為檢查值區,則 [最新作業] 欄位會提供最近開始執行之工作的唯一識別碼。[最近的工作執行] 欄位會指出該工作開始執行的時間。

提示

若要顯示工作產生的所有機密資料發現項目,請選擇「最新工作」欄位中的連結。在出現的工作詳細資料面板中,選擇面板頂端的 [顯示結果],然後選擇 [顯示發現項目]。

公用存取

本節指出儲存貯體是否可公開存取。它也會提供各種帳戶層級和儲存貯體層級設定的明細,以判斷是否發生這種情況。[有效權限] 欄位會指出這些設定的累計結果:

  • 不公開 — 值區不可公開存取。

  • 開 — 值區可公開存取。

  • 未知 — Macie 無法評估值區的所有公開存取設定。

請注意,此資料僅限於帳戶和儲存貯體層級的設定。它不會反映允許公開存取值區中特定物件的物件層級設定。

若要了解用於管理儲存貯體和儲存貯體資料的公有存取權限的 Amazon S3 設定,請參閱 Amazon S3 中的身分和存取管理和 Amazon S3 儲存的公有存取權限,以及 Amazon 簡單儲存服務使用者指南中的封鎖公開存取。

複寫

在此段落中,「已製」欄位會指出值區是否設定為將物件複製到其他值區。如果此欄位的值為 [],則會為值區配置並啟用一或多個複製規則。接著,本節也會列出擁有目標值區 AWS 帳戶 之每個帳號 ID。

「外部複製」欄位會指出值區是否設定為 AWS 帳戶 將物件複製到組織外部 (非屬於) 的值區。組織是一組 Macie 帳戶,可透過 AWS Organizations 或透過 Macie 邀請集中管理為一組相關帳戶。如果此欄位的值為 [],則會針對值區設定並啟用複製規則,且規則會設定為將物件複製到外部所擁有的值區 AWS 帳戶。

注意

在特定情況下,Macie 可能會錯誤地指出值區已設定為將物件複製到外部 AWS 帳戶所擁有的值區。如果在 Macie 從 Amazon S3 擷取儲存貯體和物件中繼資料作為每日重新整理週期的一部分之後,目標儲存貯體是在前 24 小時內建立的,則可能會發生這種 AWS 區域 情況。

若要使用 Macie 調查問題,請選擇重新整理 ( The refresh button, which is a button that contains an empty, dark gray circle with an arrow ) 從 Amazon S3 擷取最新的儲存貯體中繼資料。然後檢閱本節中的帳號 ID 清單。如需更深入的調查,請使用 Amazon S3 檢閱儲存貯體的複寫規則。

若要了解 Amazon S3 複寫儲存貯體物件的選項和設定,請參閱 Amazon 簡單儲存服務使用者指南中的複寫物件

標籤

如果標籤與值區相關聯,此區段就會出現在面板中,並列出這些標籤。標籤是您可以定義並指派給特定類型 AWS 資源 (包括 S3 儲存貯體) 的標籤。每個標籤都包含必要的標籤鍵和一個可選的標籤值。

若要了解如何標記儲存貯體,請參閱 Amazon 簡單儲存服務使用者指南中的使用成本分配 S3 儲存貯體標籤