本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 Macie 評估您的 Amazon S3 安全狀態
若要評估 Amazon Simple Storage Service (Amazon S3) 資料的整體安全性狀態,並判斷要採取動作的位置,您可以使用 Amazon Macie 主控台上的**摘要**儀表板。
**摘要**儀表板提供目前 Amazon S3 資料彙總統計資料的快照 AWS 區域。統計資料包含關鍵安全性指標的資料,例如可公開存取或與其他 共用的一般用途儲存貯體數量 AWS 帳戶。儀表板也會顯示您帳戶的彙總調查結果資料群組,例如,在過去七天內發生次數最高的調查結果類型。如果您是組織的 Macie 管理員,儀表板會提供組織中所有帳戶的彙總統計資料和資料。您可以選擇性地依帳戶篩選資料。
若要執行更深入的分析,您可以向下切入並檢閱儀表板上個別項目的支援資料。您也可以使用 Amazon Macie 主控台[檢閱和分析 S3 儲存貯體庫存](monitoring-s3-inventory.md),或使用 Amazon Macie API 的 [DescribeBuckets](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3.html) 操作,以程式設計方式查詢和分析庫存資料。
**Topics**
+ [顯示儀表板](#monitoring-s3-dashboard-view)
+ [了解儀表板元件](#monitoring-s3-dashboard-components-main)
+ [了解儀表板上的資料安全統計資料](#monitoring-s3-dashboard-statistics-s3)
## 顯示摘要儀表板
在 Amazon Macie 主控台上,**摘要**儀表板提供目前 中 Amazon S3 資料的彙總統計資料和調查結果資料的快照 AWS 區域。如果您偏好以程式設計方式查詢統計資料,您可以使用 Amazon Macie API 的 [GetBucketStatistics](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3-statistics.html) 操作。
**顯示摘要儀表板**
1. 在 https://[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。
1. 在導覽窗格中,選擇**摘要**。Macie 會顯示**摘要**儀表板。
1. 若要判斷 Macie 最近何時從 Amazon S3 擷取您帳戶的儲存貯體或物件中繼資料,請參閱儀表板頂端的**上次更新**欄位。如需詳細資訊,請參閱[資料重新整理](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh)。
1. 若要向下切入並檢閱儀表板上項目的支援資料,請選擇項目。
如果您是組織的 Macie 管理員,儀表板會顯示您組織中帳戶和成員帳戶的彙總統計資料和資料。若要篩選儀表板並僅顯示特定帳戶的資料,請在儀表板上方的帳戶方塊中輸入**帳戶的** ID。
## 了解摘要儀表板的元件
在**摘要**儀表板上,統計資料和資料會組織成數個區段。在儀表板頂端,您可以找到彙總統計資料,指出您在 Amazon S3 中存放的資料量,以及 Amazon Macie 可以分析的資料量,以偵測敏感資料。您也可以參考**上次更新**欄位,以判斷 Macie 最近何時從 Amazon S3 擷取您帳戶的儲存貯體或物件中繼資料。其他區段提供統計資料和最近的調查結果資料,可協助您評估目前 Amazon S3 資料的安全性、隱私權和敏感度 AWS 區域。
統計資料和資料會整理成下列區段:
[儲存和敏感資料探索](#monitoring-s3-dashboard-storage-statistics) \$1 [自動化探索和涵蓋範圍問題](#monitoring-s3-dashboard-asdd-statistics) \$1 [資料安全性](#monitoring-s3-dashboard-security-statistics) \$1 [最高 S3 儲存貯](#monitoring-s3-dashboard-top-buckets-statistics)體 \$1 [最高調查結果類型](#monitoring-s3-dashboard-top-findings-statistics) \$1 [政策調查結果](#monitoring-s3-dashboard-policy-finding-statistics)
當您檢閱每個區段時,選擇性地選擇要向下切入的項目,並檢閱支援資料。另請注意,儀表板不包含 S3 目錄儲存貯體的資料,僅包含一般用途儲存貯體的資料。Macie 不會監控或分析目錄儲存貯體。
**儲存和敏感資料探索**
在儀表板頂端,統計資料會指出您在 Amazon S3 中存放多少資料,以及 Macie 可以分析多少資料來偵測敏感資料。下圖顯示具有七個帳戶之組織的這些統計資料範例。
![\[儀表板的儲存和敏感資料探索區段。每個欄位都包含範例資料。\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/scrn-summary-dashboard-storage.png)
本節中的個別統計資料為:
+ **帳戶總數** – 如果您是組織的 Macie 管理員或擁有獨立的 Macie 帳戶,則會顯示此欄位。它會指出儲存貯體庫存中擁有 AWS 帳戶 儲存貯體的 總數。如果您是 Macie 管理員,這是您為組織管理的 Macie 帳戶總數。如果您有獨立的 Macie 帳戶,此值為 *1*。
**S3 儲存貯體總計** – 如果您在組織中有成員帳戶,則會顯示此欄位。它表示清查中一般用途儲存貯體的總數,包括未存放任何物件的儲存貯體。
+ **儲存** – 這些統計資料提供儲存貯體庫存中物件儲存大小的相關資訊:
+ **可分類** – Macie 可在儲存貯體中分析的所有物件的總儲存大小。
+ **總計** – 儲存貯體中所有物件的總儲存大小,包括 Macie 無法分析的物件。
如果任何物件是壓縮檔案,這些值不會反映解壓縮後這些檔案的實際大小。如果針對任何儲存貯體啟用版本控制,這些值會根據這些儲存貯體中每個物件最新版本的儲存體大小而定。
+ **物件** – 這些統計資料提供有關儲存貯體庫存中物件數量的資訊:
+ **可分類** – Macie 可以在儲存貯體中分析的物件總數。
+ **總計** – 儲存貯體中的物件總數,包括 Macie 無法分析的物件。
在上述統計資料中,如果資料和物件使用支援的 Amazon S3 儲存類別,且具有支援的檔案或儲存格式的檔案名稱副檔名,則可*分類*。您可以使用 Macie 偵測物件中的敏感資料。如需詳細資訊,請參閱[支援的儲存類別和格式](discovery-supported-storage.md)。
請注意,**儲存**體和**物件**統計資料不包含 Macie 不允許存取之儲存貯體中物件的資料。例如,儲存貯體中具有限制性儲存貯體政策的物件。若要識別發生這種情況的儲存貯體,您可以使用 **S3 **[儲存貯體資料表來檢閱儲存貯體庫存](monitoring-s3-inventory-review.md)。如果儲存貯體名稱旁出現警告圖示 (![\[The warning icon, which is a red triangle that has an exclamation point in it.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/icon-warning-red.png)),則不允許 Macie 存取儲存貯體。
**自動化探索****和****涵蓋範圍問題**
如果啟用自動敏感資料探索,這些區段會出現在儀表板上。它們會擷取 Macie 到目前為止為您的 Amazon S3 資料執行的自動化敏感資料探索活動的狀態和結果。下圖顯示這些區段提供的統計資料範例。
![\[儀表板上的自動化敏感資料探索統計資料。每個統計資料都有範例資料。\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/scrn-summary-dashboard-sensitivity.png)
如需這些統計資料的詳細資訊,請參閱 [在摘要儀表板上檢閱資料敏感性統計資料](discovery-asdd-results-s3-dashboard.md)。
**資料安全性**
本節提供統計資料,指出 Amazon S3 資料的潛在安全性和隱私權風險。下圖顯示本節中的統計資料範例。
![\[儀表板的資料安全區段。它包含每個統計資料的範例資料。\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/scrn-summary-dashboard-security.png)
如需這些統計資料的詳細資訊,請參閱 [了解摘要儀表板上的資料安全統計資料](#monitoring-s3-dashboard-statistics-s3)。
**最高 S3 儲存貯體**
本節列出過去七天內產生最多任何類型調查結果的 S3 儲存貯體,最多可產生五個儲存貯體。它也會指出 Macie 為每個儲存貯體建立的問題清單數量。下圖顯示本節提供的資料範例。
![\[儀表板的前 S3 儲存貯體區段。它包含五個 S3 儲存貯體的範例資料。\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/scrn-summary-dashboard-top-buckets.png)
若要顯示並選擇性地深入了解前七天儲存貯體的所有問題清單,請在問題**清單總計**欄位中選擇 值。若要顯示所有儲存貯體的目前問題清單,依儲存貯體分組,請選擇**依儲存貯體檢視所有問題清單**。
如果 Macie 在前七天內未建立任何問題清單,則此區段為空白。或者,在過去七天內建立的所有問題清單都被[禁止規則抑制](findings-suppression.md)。
**最佳調查結果類型**
本節列出過去七天內發生次數最高的[問題清單類型](findings-types.md),最多可達 5 種問題清單類型。它也會指出 Macie 為每個類型建立的問題清單數量。下圖顯示本節提供的資料範例。
![\[儀表板的頂部調查結果類型區段。它包含五種問題清單類型的範例資料。\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/scrn-summary-dashboard-top-finding-types.png)
若要顯示並選擇性地深入了解前七天中特定類型的所有問題清單,請在問題**清單總數**欄位中選擇 值。若要顯示依問題清單類型分組的所有目前問題清單,請選擇**依類型檢視所有問題清單**。
如果 Macie 在前七天內未建立任何問題清單,則此區段為空白。或者,在過去七天內建立的所有問題清單都被[禁止規則抑制](findings-suppression.md)。
**政策調查結果**
本節列出 Macie 最近建立或更新[的政策調查結果](findings-types.md#findings-policy-types),最多可達 10 個調查結果。下圖顯示本節提供的資料範例。
![\[儀表板的政策調查結果區段。它包含六個政策調查結果的範例資料。\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/scrn-summary-dashboard-recent-findings-policy.png)
若要顯示特定問題清單的詳細資訊,請選擇問題清單。
如果 Macie 在過去七天內未建立或更新任何政策調查結果,則此區段為空白。或者,在前七天內建立或更新的所有政策調查結果都被[禁止規則抑制](findings-suppression.md)。
## 了解摘要儀表板上的資料安全統計資料
**摘要**儀表板**的資料安全**區段提供統計資料,可協助您識別和調查目前 Amazon S3 資料的潛在安全與隱私權風險 AWS 區域。例如,您可以使用此資料來識別可公開存取或與其他 共用的一般用途儲存貯體 AWS 帳戶。
如果停用自動敏感資料探索,本節上方的[儲存和敏感資料探索統計資料](#monitoring-s3-dashboard-storage-statistics)會指出您在 Amazon S3 中存放的資料量,以及 Amazon Macie 可以分析的資料量,以偵測敏感資料。其他統計資料會組織成三個區域,如下圖所示。
![\[儀表板的資料安全區段。每個區域都包含範例資料。\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/scrn-summary-dashboard-security.png)
當您檢閱每個區域時,選擇性地選擇要向下切入的項目,並檢閱支援資料。另請注意,統計資料不包含 S3 目錄儲存貯體的資料,僅包含一般用途儲存貯體的資料。Macie 不會監控或分析目錄儲存貯體。
每個區域中的個別統計資料如下所示。
**公用存取**
這些統計資料指出有多少 S3 儲存貯體可供公開存取或無法公開存取:
+ **可公開存取** – 允許一般大眾對儲存貯體進行讀取或寫入存取的儲存貯體數量和百分比。
+ **可公開寫入世界** – 允許一般大眾寫入儲存貯體的儲存貯體數量和百分比。
+ **可公開讀取世界** – 允許一般大眾存取儲存貯體的儲存貯體數量和百分比。
+ **不可公開存取** – 不允許一般大眾對儲存貯體進行讀取或寫入存取的儲存貯體數量和百分比。
為了計算每個百分比,Macie 會將適用的儲存貯體數量除以儲存貯體庫存中的儲存貯體總數。
為了判斷此區域中的值,Macie 會分析每個儲存貯體的帳戶層級和儲存貯體層級設定的組合:帳戶的封鎖公開存取設定、儲存貯體的封鎖公開存取設定、儲存貯體的儲存貯體政策,以及儲存貯體的存取控制清單 (ACL)。如需這些設定的相關資訊,請參閱《Amazon *Simple Storage Service 使用者指南*》中的[存取控制](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html)和封鎖對 Amazon S3 儲存的公開存取。 [ Amazon S3 ](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html)
在某些情況下,**公有存取**區域也會顯示**未知**的值。如果出現這些值,Macie 就無法評估指定數量和儲存貯體百分比的公有存取設定。例如,暫時性問題或儲存貯體的許可設定導致 Macie 無法擷取必要資料。或者 Macie 無法完全判斷一或多個政策陳述式是否允許外部實體存取儲存貯體。對於超過預防性控制監控配額的儲存貯體,也可能是這種情況。Macie 會評估和監控帳戶不超過 10,000 個儲存貯體的安全性和隱私權,也就是最近建立或變更的 10,000 個儲存貯體。
**加密**
這些統計資料指出有多少 S3 儲存貯體設定為將特定類型的伺服器端加密套用至新增至儲存貯體的物件:
+ **預設加密 – SSE-S3** – 預設加密設定設定為使用 Amazon S3 受管金鑰加密新物件的儲存貯體數量和百分比。對於這些儲存貯體,新的物件會使用 SSE-S3 加密自動加密。
+ **預設加密 – DSSE-KMS/SSE-KMS** – 預設加密設定設定為使用 AWS KMS key AWS 受管金鑰 或客戶受管金鑰加密新物件的儲存貯體數量和百分比。對於這些儲存貯體,新的物件會使用 DSSE-KMS 或 SSE-KMS 加密自動加密。
為了計算每個百分比,Macie 會將適用的儲存貯體數量除以儲存貯體庫存中的儲存貯體總數。
為了判斷此區域中的值,Macie 會分析每個儲存貯體的預設加密設定。從 2023 年 1 月 5 日開始,Amazon S3 會自動使用 Amazon S3 受管金鑰 (SSE-S3) 套用伺服器端加密,做為新增至儲存貯體之物件的基本加密層級。您可以選擇將儲存貯體的預設加密設定設定為 ,改為使用具有 AWS KMS 金鑰的伺服器端加密 (SSE-KMS) 或具有 AWS KMS 金鑰的雙層伺服器端加密 (DSSE-KMS)。如需預設加密設定和選項的相關資訊,請參閱《*Amazon Simple Storage Service 使用者指南*》中的[設定 S3 儲存貯體的預設伺服器端加密行為](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html)。
在某些情況下,**加密**區域也會顯示**未知**的值。如果出現這些值,Macie 就無法評估指定數量和儲存貯體百分比的預設加密設定。例如,暫時性問題或儲存貯體的許可設定導致 Macie 無法擷取必要資料。或者,儲存貯體超過預防性控制監控的配額。Macie 會評估和監控帳戶不超過 10,000 個儲存貯體的安全性和隱私權,也就是最近建立或變更的 10,000 個儲存貯體。
**共用**
這些統計資料指出有多少 S3 儲存貯體正在或不會與其他 AWS 帳戶、Amazon CloudFront 原始存取身分 (OAIs) 或 CloudFront 原始存取控制 (OACs) 共用:
+ **外部共用** – 與下列一或多個或下列任意組合共用的儲存貯體數量和百分比:CloudFront OAI、CloudFront OAC 或不在相同組織中的帳戶。
+ **內部共用** – 與相同組織中的一或多個帳戶共用的儲存貯體數量和百分比。這些儲存貯體不會與 CloudFront OAIs 或 OACs 共用。
+ **未共用** – 未與其他帳戶、CloudFront OAIs 或 CloudFront OACs 共用的儲存貯體數量和百分比。
為了計算每個百分比,Macie 會將適用的儲存貯體數量除以儲存貯體庫存中的儲存貯體總數。
為了判斷儲存貯體是否與其他儲存貯體共用 AWS 帳戶,Macie 會分析每個儲存貯體的儲存貯體政策和 ACL。此外,*組織*定義為一組 Macie 帳戶,透過 Macie 邀請 AWS Organizations 或由 Macie 邀請集中管理為相關帳戶群組。如需共用儲存貯體的 Amazon S3 選項相關資訊,請參閱《*Amazon Simple Storage Service 使用者指南*》中的[存取控制](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html)。
在某些情況下,Macie 可能會錯誤地報告與不在相同組織中 AWS 帳戶 的 共用儲存貯體。如果 Macie 無法完整評估儲存貯體政策中的 `Principal`元素與`Condition`政策 元素中的特定[AWS 全域條件內容索引](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)鍵或 [Amazon S3 條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-policy-keys)之間的關係,就可能發生這種情況。下列條件索引鍵可能是這種情況:`aws:PrincipalAccount`、`aws:PrincipalArn`、`aws:PrincipalOrgID``aws:PrincipalOrgPaths`、`aws:PrincipalTag`、`aws:PrincipalType`、`aws:SourceAccount`、、`aws:SourceArn``aws:SourceIp`、`aws:SourceOrgID`、`aws:SourceOrgPaths``aws:SourceVpc`、`aws:SourceVpce`、、、 `aws:userid` `s3:DataAccessPointAccount`和 `s3:DataAccessPointArn`。
若要判斷個別儲存貯體是否為這種情況,請在儀表板上選擇**共用外部**統計資料。在出現的表格中,記下每個儲存貯體的名稱。然後使用 Amazon S3 檢閱每個儲存貯體的政策,並判斷共用存取設定是否預期且安全。
為了判斷儲存貯體是否與 CloudFront OAIs 或 OACs 共用,Macie 會分析每個儲存貯體的儲存貯體政策。CloudFront OAI 或 OAC 允許使用者透過一或多個指定的 CloudFront 分佈存取儲存貯體的物件。如需 CloudFront OAIs 和 OACs 的相關資訊,請參閱《[Amazon CloudFront 開發人員指南》中的限制對 Amazon S3 原始伺服器的存取](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html)。 *Amazon CloudFront *
在某些情況下,**共用**區域也會顯示**未知**的值。如果出現這些值,Macie 無法判斷指定的儲存貯體數量和百分比是否與其他帳戶、CloudFront OAIs或 CloudFront OACs共用。例如,暫時性問題或儲存貯體的許可設定導致 Macie 無法擷取必要資料。或者 Macie 無法完整評估儲存貯體的政策或 ACLs。對於超過預防性控制監控配額的儲存貯體,也可能是這種情況。Macie 會評估和監控帳戶不超過 10,000 個儲存貯體的安全性和隱私權,也就是最近建立或變更的 10,000 個儲存貯體。