本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Macie 调查发现的类型
<a name="findings-types"></a>

Amazon Macie 会生成两类调查发现：*策略调查发现*和*敏感数据调查发现*。*策略调查发现*是有关 Amazon Simple Storage Service (Amazon S3) 通用存储桶的潜在策略违规或安全或隐私问题的详细报告。Macie 会生成策略调查发现，作为其持续活动的一部分，以评测和监控您的通用存储桶的安全性和访问控制。*敏感数据调查发现*是 Macie 在 S3 对象中检测到的敏感数据的详细报告。当您运行敏感数据发现作业或执行自动敏感数据发现时，Macie 会生成敏感数据调查发现，作为其执行的活动的一部分。

在每个类别中，都有特定的类型。调查发现的类型有助于深入了解 Macie 发现的问题或敏感数据的性质。调查发现的详细信息提供了[严重性评级](findings-severity.md)、受影响资源的信息以及其他信息，例如 Macie 何时以及如何发现问题或敏感数据。每个调查发现的严重性和细节因其类型和性质而异。

**Topics**
+ [

## 策略调查发现的类型
](#findings-policy-types)
+ [

## 敏感数据调查发现的类型
](#findings-sensitive-data-types)

**提示**  
要探索和了解 Macie 可以生成的不同类别和类型的调查发现，请[创建示例调查发现](findings-samples.md)。样本调查发现使用示例数据和占位符值来演示每种类型的调查发现可能包含的信息类型。

## 策略调查发现的类型
<a name="findings-policy-types"></a>

当 S3 通用存储桶的策略或设置更改导致存储桶及其对象的安全性或隐私性降低时，Amazon Macie 会生成策略调查发现。有关 Macie 如何检测和评估这些更改的信息，请参阅。[Macie 如何监控 Amazon S3 数据安全性](monitoring-s3-how-it-works.md)

请注意，只有在您为自己启用 Macie 之后发生更改时，Macie 才会生成策略调查结果。 AWS 账户例如，如果在启用 Macie 后禁用了 S3 存储桶的封禁公共访问设置，Macie 会为该存储桶生成一个 Pol **icy: IAMUser /S3 BlockPublicAccessDisabled** 查找结果。如果您在启用 Macie 时禁用了存储桶的封锁公共访问设置，但这些设置仍处于禁用状态，则 Macie 不会为该存储桶生成**策略：IAMUser/S3 BlockPublicAccessDisabled** 查找结果。

如果 Macie 检测到现有策略调查发现后续出现，Macie 会通过添加有关后续事件的详细信息并增加发生次数来更新现有调查发现。Macie 将策略调查发现存储 90 天。

Macie 可以为 S3 通用存储桶生成以下类型的策略调查发现。

**Policy:IAMUser/S3BlockPublicAccessDisabled**  
该存储桶的所有存储桶级阻止公共访问设置均已禁用。对存储桶的公开访问由账户的封禁公共访问设置、访问控制列表 (ACLs)、存储桶的存储桶策略以及适用于该存储桶的其他设置和策略来控制。  
要调查这一发现，请先在 Macie [中查看存储桶的详细信息](monitoring-s3-inventory-review.md#monitoring-s3-inventory-view-details)。详细信息包括存储桶的公共访问设置明细。有关设置的详细信息，请参阅《[亚马逊简单存储服务用户指南》中的[访问控制](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html)和阻止公众访问您的 Amazon S](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html) *3 存储*。

**Policy:IAMUser/S3BucketEncryptionDisabled**  
存储桶的默认加密设置已重置为默认 Amazon S3 加密行为，即使用 Amazon S3 托管密钥自动加密新对象。  
从 2023 年 1 月 5 日开始，Amazon S3 自动应用服务器端加密，并使用 Amazon S3 托管式密钥 (SSE-S3) 作为添加到存储桶的对象的基本加密级别。您可以选择配置存储桶的默认加密设置，改为使用带密钥的服务器端加密 (SSE-KMS) 或使用 AWS KMS 密钥的双层服务器端加密 (DSSE-KM AWS KMS S)。如果 Macie 在 2023 年 1 月 5 日之前生成了此类调查发现，则该调查发现表明受影响的存储桶已禁用默认加密设置。这意味着存储桶的设置没有为新对象指定默认的服务器端加密行为。Amazon S3 不再支持禁用存储桶默认加密设置的功能。  
要了解 S3 存储桶的默认加密设置和选项，请参阅 *《Amazon Simple Storage Service 用户指南》*中的[设置 S3 存储桶的默认服务器端加密行为](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html)。

**Policy:IAMUser/S3BucketPublic**  
存储桶的 ACL 或存储桶策略已更改为允许匿名用户或所有经过身份验证的 AWS Identity and Access Management (IAM) 身份进行访问。  
要调查这一发现，请先在 Macie [中查看存储桶的详细信息](monitoring-s3-inventory-review.md#monitoring-s3-inventory-view-details)。详细信息包括存储桶的公共访问设置明细。有关 ACLs S3 存储桶的存储桶策略和访问设置的详细信息，请参阅 *Amazon 简单存储服务用户指南*中的[访问控制](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html)。

**Policy:IAMUser/S3BucketReplicatedExternally**  
复制已启用并配置为将对象从存储桶复制到组织外部（不是组织的一部分）的存储桶。 AWS 账户 *组织*是一组 Macie 账户，这些账户通过 Macie 邀请 AWS Organizations 或通过 Macie 邀请作为一组相关账户进行集中管理。  
在某些条件下，Macie 可能会为未配置为将对象复制到存储桶以供外部 AWS 账户存储桶使用的存储桶生成此类查找结果。如果 Macie 在[每日刷新周期](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh)中从 Amazon S3 检索存储桶和对象元数据后，在过去 24 小时内 AWS 区域 在不同的存储桶中创建了目标存储桶，则可能会发生这种情况。  
要调查调查结果，请先在 Macie 中刷新库存数据。然后[查看存储桶的详细信息](monitoring-s3-inventory-review.md#monitoring-s3-inventory-view-details)。详细信息会显示存储桶是否配置为将对象复制到其他存储桶。如果存储桶配置为执行此操作，则详细信息将包括拥有目标存储桶的每个账户的账户 ID。有关 S3 存储桶复制设置的详细信息，请参阅 A *mazon 简单存储服务用户*指南中的[复制对象](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication.html)。

**Policy:IAMUser/S3BucketSharedExternally**  
存储桶的 ACL 或存储桶策略已更改，允许与组织外部（非其一 AWS 账户 部分）共享存储桶。*组织*是一组 Macie 账户，这些账户通过 Macie 邀请 AWS Organizations 或通过 Macie 邀请作为一组相关账户进行集中管理。  
在某些情况下，Macie 可能会为未与外部 AWS 账户共享的存储桶生成此类查找结果。如果 Macie 无法完全评测存储桶策略中的 `Principal` 元素与该策略 `Condition` 元素中的某些 [AWS 全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)或 [Amazon S3 条件密钥](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-policy-keys)之间的关系，则可能会发生这种情况。以下条件键可能就是这种情况：`aws:PrincipalAccount`、、、、`aws:PrincipalArn`、`aws:PrincipalOrgID`、`aws:PrincipalOrgPaths`、`aws:PrincipalTag`、`aws:PrincipalType`、`aws:SourceAccount`、`aws:SourceArn`、`aws:SourceIp`、`aws:SourceOrgID`、`aws:SourceOrgPaths`、`aws:SourceVpc`、`aws:SourceVpce`、`aws:userid`、`s3:DataAccessPointAccount`、和`s3:DataAccessPointArn`。我们建议您检查存储桶的策略，以确定此访问是否为预期行为且是安全的。  
要了解有关 ACLs S3 存储桶的存储桶策略的信息，请参阅 *Amazon 简单存储服务用户指南*中的[访问控制](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html)。

**Policy:IAMUser/S3BucketSharedWithCloudFront**  
存储桶的存储桶策略已更改，允许与 Amazon CloudFront 原始访问身份 (OAI)、源站访问控制 (OAC) 或 OAI 和 OA CloudFront I 和 OAC 共享存储桶。 CloudFront CloudFront CloudFront OAI 或 OAC 允许用户通过一个或多个指定的 CloudFront分配访问存储桶的对象。  
要了解 CloudFront OAIs 和 OACs，请参阅《[亚马逊* CloudFront开发者指南》中的限制访问 Amazon* S3 源](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html)。

**注意**  
在某些情况下，Macie 会为**IAMUser存储桶生成策略:/S3 BucketSharedExternally** 查找结果，而不是**策略:IAMUser/S3 BucketSharedWithCloudFront** 查找结果。这些情况包括：  
除了 CloudFront OAI 或 OAC 之外， AWS 账户 该存储桶还与组织外部的用户共享。
存储桶的策略指定 OAI 的规范用户 ID，而不是亚马逊资源名称 (ARN)。 CloudFront 
这会为存储桶生成更高严重性的策略调查发现。

## 敏感数据调查发现的类型
<a name="findings-sensitive-data-types"></a>

Amazon Macie 在 S3 对象中检测到敏感数据时，会生成敏感数据调查发现，并对其进行分析以发现敏感数据。这包括 Macie 在您运行敏感数据发现作业或执行自动敏感数据发现时执行的分析。

**例如，如果您创建并运行敏感数据发现任务，而 Macie 在 S3 对象中检测到银行账号，则 Macie 会为该对象生成 A: s3Ob SensitiveData ject/Financial 查找结果。****同样，如果 Macie 在自动敏感数据发现周期中检测到其分析的 S3 对象中的银行账号，则 Macie 会为该对象生成 A: s3Ob SensitiveData ject/Financial 查找结果。**

如果 Macie 在随后的作业运行或自动敏感数据发现周期中检测到同一 S3 对象中的敏感数据，则 Macie 会为该对象生成新的敏感数据调查发现。与策略调查发现不同，所有敏感数据调查发现都被视为新的（唯一的）。Macie 会将敏感数据调查发现存储 90 天。

Macie 可以为 S3 对象生成以下类型的敏感数据调查发现。

**SensitiveData:S3Object/Credentials**  
该对象包含敏感的凭据数据，例如私有访问 AWS 密钥或私钥。

**SensitiveData:S3Object/CustomIdentifier**  
该对象包含与一个或多个自定义数据标识符的检测标准相匹配的文本。该对象可能包含多种类型的敏感数据。

**SensitiveData:S3Object/Financial**  
该对象包含敏感的财务信息，例如银行账户或信用卡号。

**SensitiveData:S3Object/Multiple**  
该对象包含多个类别的敏感数据，即符合一个或多个自定义数据标识符检测标准的凭证数据、财务信息、个人信息或文本的任意组合。

**SensitiveData:S3Object/Personal**  
该对象包含敏感的个人信息——个人身份信息（PII），例如护照号码或驾照识别号，个人健康信息 (PHI)，例如健康保险或医疗识别号，或者个人身份信息和 PHI 的组合。

有关 Macie 可以使用内置标准和技术检测到的敏感数据的类型的信息，请参阅 [使用托管数据标识符](managed-data-identifiers.md)。有关 Macie 可以分析的 S3 对象类型的信息，请参阅 [支持的存储类别和格式](discovery-supported-storage.md)。