本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 Macie 评测您的 Amazon S3 安全状况
<a name="monitoring-s3-dashboard"></a>

要评测您的 Amazon Simple Storage Service (Amazon S3) 数据的整体安全状况并确定在何处采取行动，您可以使用 Amazon Macie 控制台上的**摘要**控制面板。

**摘要**控制面板在当前 AWS 区域中提供您的 Amazon S3 数据的汇总统计信息的快照。统计数据包括关键安全指标的数据，例如可公开访问或与其他 AWS 账户共享的通用存储桶的数量。该控制面板还会显示关于您账户的几组调查发现汇总数据 — 例如，过去七天内出现次数最多的调查发现类型。如果您是组织的 Macie 管理员，则控制面板会提供组织中所有账户的汇总统计结果和数据。您可选择按账户筛选数据。

要进行更深入的分析，可以在控制面板上深入挖掘并查看各个项目的支持数据。您还可以使用 Amazon Macie 控制台[查看和分析您的 S3 存储桶清单](monitoring-s3-inventory.md)，或者使用 Amazon Macie API 的[DescribeBuckets](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3.html)操作以编程方式查询和分析库存数据。

**Topics**
+ [显示控制面板](#monitoring-s3-dashboard-view)
+ [了解控制面板组件](#monitoring-s3-dashboard-components-main)
+ [了解控制面板上的数据安全性统计信息](#monitoring-s3-dashboard-statistics-s3)

## 显示“摘要”控制面板
<a name="monitoring-s3-dashboard-view"></a>

在 Amazon Macie 控制台上，**摘要**控制面板在当前 AWS 区域中针对您的 Amazon S3 数据提供汇总统计信息和调查发现数据的快照。如果您更喜欢以编程方式查询统计数据，则可以使用 Amazon Macie API 的[GetBucketStatistics](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3-statistics.html)操作。

**要显示“摘要”控制面板**

1. 打开亚马逊 Macie 主机，网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. 在导航窗格中，选择**摘要**。Macie 会显示**摘要**控制面板。

1. 要确定 Macie 最近何时从 Amazon S3 为您的账户检索存储桶或对象元数据，请参阅控制面板顶部的**上次更新时间**字段。有关更多信息，请参阅 [数据刷新](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh)。

1. 要在控制面板上深入查看某一项的支持数据，请选择该项。

如果您是组织的 Macie 管理员，则控制面板会显示组织中您的账户和成员账户的汇总统计结果和数据。要对控制面板应用筛选条件，以仅显示特定账户的数据，请在控制面板上方的**账户**框中输入账户 ID。

## 了解“摘要”控制面板的组件
<a name="monitoring-s3-dashboard-components-main"></a>

在**摘要**控制面板上，统计信息和数据分为几个部分。在控制面板的顶部，您将找到汇总的统计信息，这些统计信息指明您在 Amazon S3 中存储了多少数据，以及 Amazon Macie 可以分析多少这类数据以检测敏感数据。您还可以参考**上次更新时间**字段来确定 Macie 最近从 Amazon S3 为您的账户检索存储桶或对象元数据的时间。其他部分提供了统计信息和最新调查发现数据，它们可帮助您评测当前 AWS 区域中您的 Amazon S3 数据的安全性、隐私性和敏感性。

统计信息和数据分为以下几个部分：

[存储和敏感数据发现](#monitoring-s3-dashboard-storage-statistics) \$1 [自动发现和覆盖率问题](#monitoring-s3-dashboard-asdd-statistics) \$1 [数据安全性](#monitoring-s3-dashboard-security-statistics) \$1 [最常见的 S3 存储桶](#monitoring-s3-dashboard-top-buckets-statistics) \$1 [最常见的调查发现类型](#monitoring-s3-dashboard-top-findings-statistics) \$1 [策略调查发现](#monitoring-s3-dashboard-policy-finding-statistics)

在查看每个部分时，可以选择一个项目进行深入研究并查看支持数据。另请注意，控制面板不包含 S3 目录存储桶的数据，仅包含通用存储桶的数据。Macie 不监控或分析目录存储桶。<a name="monitoring-s3-dashboard-storage-statistics"></a>

**存储和敏感数据发现**  
控制面板顶部的统计信息会指明您在 Amazon S3 中存储了多少数据，以及 Macie 可以分析多少这类数据来检测敏感数据。下图显示了一个拥有七个账户的组织的这些统计数据示例。  

![\[控制面板的存储和敏感数据发现部分。每个字段都包含示例数据。\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/scrn-summary-dashboard-storage.png)

本部分的单独统计信息：  
+ **账户总数** – 如果您是组织的 Macie 管理员或拥有独立的 Macie 账户，则会显示此字段。它表示您的存储桶清单 AWS 账户 中自有存储桶的总数。如果您是 Macie 管理员，这是您为组织管理的 Macie 账户总数。如果您有一个独立的 Macie 账户，则该值为 *1*。

  **S3 存储桶总数**：如果您在组织中拥有成员账户，则会显示此字段。它表示您的清单中的通用存储桶总数，包括不存储任何对象的存储桶。
+ **存储**：这些统计信息提供有关存储桶清单中对象的存储大小的信息：
  + **可分类** – Macie 可在存储桶中分析的所有对象的总存储大小。
  + **总计** – 存储桶中所有对象的总存储大小，包括 Macie 无法分析的对象。

  如果任何对象为压缩文件，则这些值不反映这些文件解压缩后的实际大小。如果对任何存储桶启用了版本控制，则这些值基于这些存储桶中每个对象最新版本的存储大小。
+ **对象**：这些统计信息提供有关存储桶清单中对象数量的信息：
  + **可分类** – Macie 可在存储桶中分析的对象的总数。
  + **总计** – 存储桶中所有对象的总数，包括 Macie 无法分析的对象。
在上述统计数据中，如果数据和对象使用所支持的 Amazon S3 存储类别，并且其文件扩展名表示支持的文件或存储格式，则数据和对象属于*可分类*。您可以通过使用 Macie 检测对象中的敏感数据。有关更多信息，请参阅 [支持的存储类别和格式](discovery-supported-storage.md)。  
请注意，**存储**和**对象**统计信息不包括 Macie 不允许 Macie 访问的、存储桶内对象的相关数据。例如，具有限制性存储桶策略的存储桶中的对象。要确定存在这种情况的存储桶，您可以通过使用 **S3 存储桶**表[查看存储桶清单](monitoring-s3-inventory-review.md)。如果存储桶名称旁边出现警告图标 (![\[The warning icon, which is a red triangle that has an exclamation point in it.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-warning-red.png))，则表示不允许 Macie 访问该存储桶。

** 自动发现****和****覆盖范围问题**  
如果启用了自动敏感数据发现，则这些部分将显示在控制面板上。它们采集 Macie 迄今为止为 Amazon S3 数据执行的、自动敏感数据发现活动的状态和结果。下图显示了这些部分提供的统计信息示例。  

![\[控制面板上的自动敏感数据发现统计信息。每项统计数据都包含示例数据。\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/scrn-summary-dashboard-sensitivity.png)

有关这些统计信息的详细信息，请参阅[在摘要控制面板上查看数据敏感度统计数据](discovery-asdd-results-s3-dashboard.md)。

**数据安全性**  
本部分提供的统计信息表明您的 Amazon S3 数据存在潜在的安全性和隐私性风险。下图为此部分统计信息的示例。  

![\[控制面板的数据安全性部分。它包含每部分统计信息的示例数据。\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/scrn-summary-dashboard-security.png)

有关这些统计信息的详细信息，请参阅[了解“摘要”控制面板上的数据安全统计信息](#monitoring-s3-dashboard-statistics-s3)。

**最常见的 S3 存储桶**  
本部分列出过去七天内生成了最多任意类型调查发现的 S3 存储桶，有多达五个存储桶。它还会指明 Macie 为每个存储桶创建的调查发现次数。下图显示了此部分提供的数据示例。  

![\[控制面板的最常见的 S3 存储桶部分。它包含五个 S3 存储桶的示例数据。\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/scrn-summary-dashboard-top-buckets.png)

要显示并选择深入了解过去七天内某个存储桶的所有调查发现，请在**调查发现总数**字段中选择该值。要显示所有存储桶的所有当前调查发现（按存储桶分组），请选择**按存储桶查看所有调查发现**。  
如果 Macie 在过去七天内未创建任何调查发现，则此部分为空。或者在过去七天内创建的所有调查发现均受[抑制规则](findings-suppression.md)抑制。

**最常见的调查发现类型**  
本部分列出过去七天内出现次数最多的[调查发现类型](findings-types.md)，有多达五种类型的调查发现。它还会指明 Macie 为每种类型创建的调查发现次数。下图显示了此部分提供的数据示例。  

![\[控制面板的最常见的调查发现类型部分。它包含五种调查发现的示例数据。\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/scrn-summary-dashboard-top-finding-types.png)

要显示并选择深入了解过去七天内特定类型的所有调查发现，请在**调查发现总数**字段中选择该值。要显示按调查发现类型分组的所有当前调查发现，请选择**按类型查看所有调查发现**。  
如果 Macie 在过去七天内未创建任何调查发现，则此部分为空。或者在过去七天内创建的所有调查发现均受[抑制规则](findings-suppression.md)抑制。

**策略调查发现**  
本部分列出 Macie 最近创建或更新的[策略调查发现](findings-types.md#findings-policy-types)，有多达十项调查发现。下图显示了此部分提供的数据示例。  

![\[控制面板的策略调查发现部分。它包含六种策略调查发现的示例数据。\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/scrn-summary-dashboard-recent-findings-policy.png)

要显示特定调查发现的详细信息，请选择该调查发现。  
如果 Macie 在过去七天内未创建或更新任何策略调查发现，则此部分为空。或者在过去七天内创建或更新的所有策略调查发现均受[抑制规则](findings-suppression.md)抑制。

## 了解“摘要”控制面板上的数据安全统计信息
<a name="monitoring-s3-dashboard-statistics-s3"></a>

**摘要**控制面板的**数据安全性**部分提供的统计信息可帮助您识别和调查您在当前 AWS 区域中的 Amazon S3 数据的潜在安全性和隐私性风险。例如，您可以使用这些数据来识别可公开访问或与其他 AWS 账户共享的通用存储桶。

如果禁用了自动敏感数据发现，则本节顶部的[存储和敏感数据发现统计](#monitoring-s3-dashboard-storage-statistics)数据会显示您在 Amazon S3 中存储了多少数据，以及 Amazon Macie 可以分析其中多少数据来检测敏感数据。其他统计信息分为三个区域，如下图中所示。

![\[控制面板的数据安全性部分。每个区域都包含示例数据。\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/scrn-summary-dashboard-security.png)


在查看每个区域时，可以选择一个项目进行深入研究并查看支持数据。另请注意，统计信息不包含 S3 目录存储桶的数据，仅包含通用存储桶的数据。Macie 不监控或分析目录存储桶。

每个区域中的单独统计信息如下。

**公有访问权限**  
这些统计信息指明有多少个 S3 存储桶可公开访问或不可公开访问：  
+ **可公开访问** - 允许公众对存储桶进行读或写访问的存储桶的数量和百分比。
+ **公开可写** - 允许公众对存储桶进行写访问的存储桶的数量和百分比。
+ **公开可读**：允许公众对存储桶进行读访问的存储桶的数量和百分比。
+ **不可公开访问** - 允许公众对存储桶进行读或写访问的存储桶的数量和百分比。
要计算每个百分比，Macie 会将适用存储桶的数量除以存储桶清单中的存储桶总数。  
为了确定此区域中的值，Macie 分析每个存储桶的账户级别和存储桶级别设置的组合：账户的阻止公有访问设置；存储桶的阻止公有访问设置；存储桶的存储桶策略；以及存储桶的访问控制列表（ACL）。有关这些设置的信息，请参阅《[亚马逊简单存储服务用户指南》中的[访问控制](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html)和阻止公众访问您的 Amazon S](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html) *3 存储*。  
在某些情况下，**公有访问**区域还会显示**未知**的值。如果出现这些值，则 Macie 无法评测指定数量和百分比的存储桶的公有访问设置。例如，由于临时问题或存储桶的权限设置，Macie 无法检索必要的数据。或者 Macie 无法完全确定一个或多个策略语句是否允许外部实体访问存储桶。对于超过预防性控制监控配额的存储桶，也可能出现这种情况。Macie 会评估和监控一个账户不超过 10,000 个存储桶的安全性和隐私性，这些存储桶是最近创建或更改的 10,000 个存储桶。

**加密**  
这些统计信息会指明有多少 S3 存储桶被配置为对添加到存储桶的对象应用某些类型的服务器端加密：  
+ **默认加密：SSE-S3**：默认加密设置被配置为使用 Amazon S3 托管式密钥加密新对象的存储桶的数量和百分比。对于这些存储桶，将自动使用 SSE-S3 加密对新对象进行加密。
+ **默认加密 — DSSE-KMS/SSE-KMS** — 默认加密设置配置为使用客户托管密钥或客户托管密钥加密新对象的存储桶的数量和百分比。 AWS KMS key AWS 托管式密钥 对于这些存储桶来说，将使用 DSSE-KMS 或 SSE-KMS 加密对新对象进行加密。
要计算每个百分比，Macie 会将适用存储桶的数量除以存储桶清单中的存储桶总数。  
为了确定此区域中的值，Macie 会分析每个存储桶的默认加密设置。从 2023 年 1 月 5 日开始，Amazon S3 自动应用服务器端加密，并使用 Amazon S3 托管式密钥 (SSE-S3) 作为添加到存储桶的对象的基本加密级别。您可以选择配置存储桶的默认加密设置，改为使用带密钥的服务器端加密 (SSE-KMS) 或使用 AWS KMS 密钥的双层服务器端加密 (DSSE-KM AWS KMS S)。有关默认加密设置和选项的信息，请参阅 *Amazon Simple Storage Service 用户指南*中的[为 S3 存储桶设置默认服务器端加密行为](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html)。  
在某些情况下，**加密**区域还会显示**未知**的值。如果出现这些值，则 Macie 无法评测指定数量和百分比的存储桶的默认加密设置。例如，由于临时问题或存储桶的权限设置，Macie 无法检索必要的数据。或者存储桶超过了预防性控制监控的配额。Macie 会评估和监控一个账户不超过 10,000 个存储桶的安全性和隐私性，这些存储桶是最近创建或更改的 10,000 个存储桶。

**共享**  
这些统计数据表明有多少 S3 存储桶与其他 AWS 账户、Amazon O CloudFront rigin 访问身份 (OAIs) 或源站访问控制 (OACs) 共享，或 CloudFront未共享：  
+ **外部共享** — 与以下一个或多个机构或任意组合共享存储桶的数量和百分比： CloudFront OAI、 CloudFront OAC 或不在同一组织中的账户。
+ **内部共享**：与同一组织中的一个或多个账户共享的存储桶的数量和百分比。这些存储桶不与 CloudFront OAIs 或OACs共享。
+ **未共享** — 未与其他账户共享的存储桶的数量和百分比 CloudFront OAIs，或CloudFront OACs。
要计算每个百分比，Macie 会将适用存储桶的数量除以存储桶清单中的存储桶总数。  
为了确定是否与其他人共享存储桶 AWS 账户，Macie 会分析每个存储桶的存储桶策略和 ACL。此外，*组织*被定义为一组 Macie 账户，这些账户通过 AWS Organizations 或受 Macie 邀请作为一组相关账户进行集中管理。有关用于共享存储桶的 Amazon S3 选项的信息，请参阅《*亚马逊简单存储服务用户指南》*中的[访问控制](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html)。  
在某些情况下，Macie 可能会错误地报告存储桶与不在同 AWS 账户 一个组织中的用户共享。如果 Macie 无法完全评测存储桶策略中的 `Principal` 元素与该策略 `Condition` 元素中的某些 [AWS 全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)或 [Amazon S3 条件密钥](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-policy-keys)之间的关系，则可能会发生这种情况。以下条件键可能就是这种情况：`aws:PrincipalAccount`、、、、`aws:PrincipalArn`、`aws:PrincipalOrgID`、`aws:PrincipalOrgPaths`、`aws:PrincipalTag`、`aws:PrincipalType`、`aws:SourceAccount`、`aws:SourceArn`、`aws:SourceIp`、`aws:SourceOrgID`、`aws:SourceOrgPaths`、`aws:SourceVpc`、`aws:SourceVpce`、`aws:userid`、`s3:DataAccessPointAccount`、和`s3:DataAccessPointArn`。  
要确定各个存储桶是否属于这种情况，请在控制面板上选择**外部共享**统计信息。在显示的表中，记下每个存储桶的名称。然后使用 Amazon S3 查看每个存储桶的策略，并确定共享访问设置是否符合预期且安全。
为了确定是否与 CloudFront OAIs 或共享存储桶 OACs，Macie 会分析每个存储桶的存储桶策略。 CloudFront OAI 或 OAC 允许用户通过一个或多个指定的 CloudFront分配访问存储桶的对象。有关 CloudFront OAIs 和的信息 OACs，请参阅《[亚马逊* CloudFront 开发者指南》中的限制对 Amaz* on S3 源的访问](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html)。  
在某些情况下，**共享**区域还会显示**未知**的值。如果显示这些值，则 Macie 无法确定指定数量和百分比的存储桶是否与其他账户共享 CloudFront OAIs、或。 CloudFront OACs例如，由于临时问题或存储桶的权限设置，Macie 无法检索必要的数据。或者Macie无法全面评估存储桶的政策，或者. ACLs 对于超过预防性控制监控配额的存储桶，也可能出现这种情况。Macie 会评估和监控一个账户不超过 10,000 个存储桶的安全性和隐私性，这些存储桶是最近创建或更改的 10,000 个存储桶。