本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 创建允许列表
在 Amazon Macie 中,允许列表定义了 Macie 在检查 Amazon Simple Storage Service (Amazon S3) 对象时是否存在敏感数据时要忽略的特定文本或文本模式。如果文本与允许列表中的条目或模式匹配,则 Macie 不会在敏感数据调查发现、统计或其他类型的结果中报告该文本。即使文本符合[托管数据标识符](managed-data-identifiers.md)或[自定义数据](custom-data-identifiers.md)标识符的标准,情况也是如此。
您可通过 Macie 创建以下类型的允许列表。
**预定义的文本**
使用这种类型的列表来指定单词、短语和其他类型的字符序列,它们不敏感,不太可能改变,也不一定遵循通用模式。例如,您的组织公共代表的姓名、具体的电话号码以及您的组织用于测试的具体样本数据。如果您使用此类列表,Macie 会忽略与列表中的条目完全匹配的文本。
对于这种类型的列表,您可以创建一个以行分隔的纯文本文件,其中列出了要忽略的指定文本。然后,将文件存储在一个 S3 存储桶并配置 Macie 的设置以访问桶中的列表。然后,您可以创建和配置敏感数据发现作业以使用该列表,或将该列表添加到自动敏感数据发现的设置中。当每项作业开始运行或下一个自动发现分析周期开始时,Macie 会从 Amazon S3 中检索最新版本列表。然后,Macie 在检查 S3 对象中是否有敏感数据时,使用该版本列表。如果 Macie 发现与列表中的条目完全匹配的文本,Macie 不会将所示文本报告为敏感数据。
**正则表达式**
使用这种类型的列表(*正则表达式*),指定一个正则表达式来定义要忽略的文本模式。示例包括贵组织的公共电话号码、组织域的电子邮件地址,以及组织用于测试的模式化示例数据。如果您使用这种类型的列表,Macie 会忽略与列表定义的正则表达式完全匹配的文本。
对于此类列表,您可以创建正则表达式,该正则表达式定义不敏感、但有所变化或可能发生变化的文本。与包含预定义文本的列表不同,您可以创建并将正则表达式和所有其他列表设置存储在 Macie 中。然后,您可以创建和配置敏感数据发现作业以使用该列表,或将该列表添加到自动敏感数据发现的设置中。当运行此作业或 Macie 执行自动发现时,Macie 会使用最新版本的列表正则表达式分析数据。如果 Macie 发现与列表定义模式完全匹配的文本,Macie 不会将所示文本报告为敏感数据。
有关每种类型的详细要求、建议和示例,请参阅 [允许列表的配置选项和要求](allow-lists-options.md)。
您可以在每个支持的允许列表中创建多达 10 个允许列表 AWS 区域:最多五个允许列表指定预定义文本,最多五个允许列表指定正则表达式。除了亚太地区(大阪)区域,你可以在目前可用 Macie 的所有地区创建和使用允许列表。 AWS 区域
**若要创建允许列表**
如何创建允许列表取决于您想要创建的列表类型:列出要忽略的预定义文本的文件,或者定义要忽略的文本模式的正则表达式。以下部分提供了每个类型的说明。选择您想要创建的列表类型部分。
## 预定义的文本
在 Macie 中创建此类允许列表前,请执行以下操作:
1. 使用文本编辑器创建以行分隔的纯文本文件,其中列出了要忽略的特定文本,例如 .txt、.text 或 .plain 文件。有关更多信息,请参阅 [语法要求](allow-lists-options.md#allow-lists-options-s3list-syntax)。
1. 将文件上传至 S3 通用存储桶并记下存储桶和对象的名称。在 Macie 中配置设置时,需要输入此名称。
1. 确保 S3 存储桶和对象的设置允许您和 Macie 从存储桶检索列表。有关更多信息,请参阅 [存储需求](allow-lists-options.md#allow-lists-options-s3list-storage)。
1. 如果对 S3 对象进行了加密,还要确保使用允许您和 Macie 使用的密钥对其进行加密。有关更多信息,请参阅 [加密/解密要求](allow-lists-options.md#allow-lists-options-s3list-encryption)。
完成这些任务后,就可以在 Macie 中配置列表设置了。您可通过 Amazon Macie 控制台或 Amazon Macie API 配置设置。
------
#### [ Console ]
按照以下步骤,使用 Amazon Macie 控制台配置允许列表设置。
**若要在 Macie 中配置允许列表设置**
1. 打开亚马逊 Macie 主机,网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. 在导航窗格中的 **设置** 下,选择 **允许列表**。
1. 在 **允许列表**页面,选择 **创建**。
1. 在 **选择列表类型** 下,选择 **预定义文本**。
1. 在 **列表设置** 下,使用以下选项,输入允许列表的其他设置:
+ 对于 **名称**,输入列表名称。名称可以包含多达 128 个字符。
+ 对于 **描述**,选择性地输入列表的简要描述。描述可包含多达 512 个字符。
+ 在 **S3 存储桶名称**中,输入存储列表的存储桶的名称。
在 Amazon S3 中,您可在存储桶属性的**名称**字段中找到此值。此值区分大小写。此外,输入名称时不要使用通配符或部分值。
+ 在 **S3 对象名称**中,输入存储列表的 S3 对象的名称。
在 Amazon S3 中,您可在对象属性的**密钥**字段中找到此值。如果名称包含路径,请确保在输入名称时包含完整路径,例如**allowlists/macie/mylist.txt**。此值区分大小写。此外,输入名称时不要使用通配符或部分值。
1. (可选)在 **标签**下,选择 **添加标记**,然后最多可输入 50 个可分配至允许列表的标签。
*标签*是您定义并分配给某些类型的 AWS 资源的标签。每个标签都包含一个必需的标签键和一个可选的标签值。标签可以帮助您以不同的方式识别、分类和管理资源,例如,按用途、所有者、环境或其他标准。要了解更多信息,请参阅 [为 Macie 资源添加标签](tagging-resources.md)。
1. 完成后,选择**创建**。
Macie 正在测试列表设置。Macie 还会验证它是否可从 Amazon S3 中检索列表和解析列表内容。如果出现了错误,Macie 则显示一条说明错误的消息。有关错误故障排除的详细信息,请参阅 [预定义文本列表的选项与要求](allow-lists-options.md#allow-lists-options-s3list)。解决任何错误后,您可以保存列表设置。
------
#### [ API ]
要以编程方式配置允许列表设置,请使用 Amazon Macie API 的[CreateAllowList](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists.html)操作并为所需参数指定相应的值。
对于 `criteria` 参数,使用 `s3WordsList` 对象指定 S3 存储桶 (`bucketName`) 的名称和存储列表的 S3 对象 (`objectKey`) 的名称。若要确定存储桶名称,请参阅 Amazon S3 中的 `Name` 字段。若要确定对象名称,请参阅 Amazon S3 中的 `Key` 字段。注意,这些值区分大小写。此外,指定这些名称时不要使用通配符或部分值。
要使用配置设置 AWS CLI,请运行[create-allow-list](https://docs.aws.amazon.com/cli/latest/reference/macie2/create-allow-list.html)命令并为所需参数指定相应的值。以下示例说明如何为存储在名为的 S3 存储桶中的允许列表配置设置{{amzn-s3-demo-bucket}}。存储列表的 S3 对象的名称是{{allowlists/macie/mylist.txt}}。
此示例针对 Linux、macOS 或 Unix 进行格式化,并使用反斜杠 (\\) 行继续符来提高可读性。
```
$ aws macie2 create-allow-list \
--criteria '{"s3WordsList":{"bucketName":"{{amzn-s3-demo-bucket}}","objectKey":"{{allowlists/macie/mylist.txt}}"}}' \
--name {{my_allow_list}} \
--description "{{Lists public phone numbers and names for Example Corp.}}"
```
此示例针对 Microsoft Windows 进行格式化,并使用脱字号 (^) 行继续符来提高可读性。
```
C:\> aws macie2 create-allow-list ^
--criteria={\"s3WordsList\":{\"bucketName\":\"{{amzn-s3-demo-bucket}}\",\"objectKey\":\"{{allowlists/macie/mylist.txt}}\"}} ^
--name {{my_allow_list}} ^
--description "{{Lists public phone numbers and names for Example Corp.}}"
```
当您提交请求时,Macie 会测试列表设置。Macie 还会验证它是否可从 Amazon S3 中检索列表和解析列表内容。如果发生错误,您的请求将会失败,Macie 会返回一条描述错误的消息。有关错误故障排除的详细信息,请参阅 [预定义文本列表的选项与要求](allow-lists-options.md#allow-lists-options-s3list)。
如果 Macie 能够检索并解析列表,则您的请求成功,并且您将收到与以下类似的输入内容。
```
{
"arn": "arn:aws:macie2:us-west-2:123456789012:allow-list/nkr81bmtu2542yyexample",
"id": "nkr81bmtu2542yyexample"
}
```
`arn` 是所创建允许列表的 Amazon 资源名称(ARN),`id`是此列表的唯一标识符。
------
保存列表设置后,您可以[创建和配置敏感数据发现作业](discovery-jobs-create.md)以使用该列表,或[将列表添加至自动敏感数据发现设置中](discovery-asdd-account-configure.md)。当作业开始运行或自动发现分析周期开始时,Macie 会从 Amazon S3 中检索最新版本列表。然后,Macie 在分析数据时使用该版本列表。
## 正则表达式
当您创建指定正则表达式 (*regex*) 的允许列表时,可以直接在 Macie 中定义正则表达式和所有其他列表设置。对于 regex,Macie 支持 [Perl 兼容正则表达式 (PCRE)](https://www.pcre.org/) 库提供的 regex 模式语法子集。有关更多信息,请参阅 [语法支持和建议](allow-lists-options.md#allow-lists-options-regex-syntax)。
您可以使用 Amazon Macie 控制台或 Amazon Macie API 创建此类列表。
------
#### [ Console ]
按照以下步骤,使用 Amazon Macie 控制台创建允许列表。
**要使用控制台创建允许列表**
1. 打开亚马逊 Macie 主机,网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. 在导航窗格中的 **设置** 下,选择 **允许列表**。
1. 在**允许列表**页面,选择 **创建**。
1. 在 **选择列表类型** 下,选择 **正则表达式**。
1. 在 **列表设置** 下,使用以下选项,输入允许列表的其他设置:
+ 对于 **名称**,输入列表名称。名称可以包含多达 128 个字符。
+ 对于 **描述**,选择性地输入列表的简要描述。描述可包含多达 512 个字符。
+ 用于 **正则表达式**,输入定义要忽略的文本模式的正则表达式。正则表达式可以包含多达 512 个字符。
1. (可选)对于 **评测**,在 **样本数据**框中输入最多 1000 个字符,然后选择 **测试**以测试正则表达式。Macie 评测样本数据,并报告与正则表达式匹配的文本出现次数。您可根据需要多次重复此步骤,以完善和优化正则表达式。
**注意**
我们建议您通过多组样本数据测试和完善正则表达式。如果您创建的正则表达式过于笼统,Macie 可能会忽略您视为敏感的文本。如果正则表达式过于具体,Macie 可能会忽略您未视为敏感的文本。
1. (可选)在 **标签**下,选择 **添加标记**,然后最多可输入 50 个可分配至允许列表的标签。
*标签*是您定义并分配给某些类型的 AWS 资源的标签。每个标签都包含一个必需的标签键和一个可选的标签值。标签可以帮助您以不同的方式识别、分类和管理资源,例如,按用途、所有者、环境或其他标准。要了解更多信息,请参阅 [为 Macie 资源添加标签](tagging-resources.md)。
1. 完成后,选择**创建**。
Macie 正在测试列表设置。Macie 还会测试正则表达式,以验证它是否可以编译表达式。如果出现了错误,Macie 则显示一条说明错误的消息。有关错误故障排除的详细信息,请参阅 [正则表达式的选项和要求](allow-lists-options.md#allow-lists-options-regex)。解决任何错误后,您可以保存允许列表设置。
------
#### [ API ]
在 Macie 中创建此类允许列表前,我们建议您使用多组示例数据测试和完善 regex。如果您创建的正则表达式过于笼统,Macie 可能会忽略您视为敏感的文本。如果正则表达式过于具体,Macie 可能会忽略您未视为敏感的文本。
要使用 Macie 测试表达式,你可以使用 Amazon Macie API 的[TestCustomDataIdentifier](https://docs.aws.amazon.com/macie/latest/APIReference/custom-data-identifiers-test.html) AWS CLI操作,或者运行命令[test-custom-data-identifier](https://docs.aws.amazon.com/cli/latest/reference/macie2/test-custom-data-identifier.html)。Macie 使用相同的基础代码编译允许列表和自定义数据标识符的表达式。如果以这种方式测试表达式,请确保仅为 `regex` 和 `sampleText` 参数指定值。否则,您将无法收到准确结果。
当您准备好创建此类允许列表时,请使用 Amazon Macie API 的[CreateAllowList](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists.html)操作并为所需参数指定相应的值。对于 `criteria` 参数,使用`regex`字段,以指定送一待忽略文本模式的正则表达式。表达式可包含多达 512 个字符。
要使用创建此类列表 AWS CLI,请运行[create-allow-list](https://docs.aws.amazon.com/cli/latest/reference/macie2/create-allow-list.html)命令并为所需参数指定相应的值。以下示例创建名为的允许列表{{my\_allow\_list}}。正则表达式旨在忽略自定义数据标识符能够检测到的、`example.com` 域的所有电子邮件地址。
此示例针对 Linux、macOS 或 Unix 进行格式化,并使用反斜杠 (\\) 行继续符来提高可读性。
```
$ aws macie2 create-allow-list \
--criteria '{"regex":"{{[a-z]@example.com}}"}' \
--name {{my_allow_list}} \
--description "{{Ignores all email addresses for Example Corp.}}"
```
此示例针对 Microsoft Windows 进行格式化,并使用脱字号 (^) 行继续符来提高可读性。
```
C:\> aws macie2 create-allow-list ^
--criteria={\"regex\":\"{{[a-z]@example.com}}\"} ^
--name {{my_allow_list}} ^
--description "{{Ignores all email addresses for Example Corp.}}"
```
当您提交请求时,Macie 会测试列表设置。Macie 还会测试正则表达式,以验证它是否可以编译表达式。如果发生错误,请求将会失败,Macie 会返回一条描述错误的消息。有关错误故障排除的详细信息,请参阅 [正则表达式的选项和要求](allow-lists-options.md#allow-lists-options-regex)。
如果 Macie 可编译表达式,则请求成功并且您将收到类似于以下内容的输出:
```
{
"arn": "arn:aws:macie2:us-west-2:123456789012:allow-list/km2d4y22hp6rv05example",
"id": "km2d4y22hp6rv05example"
}
```
`arn` 是所创建允许列表的 Amazon 资源名称(ARN),`id`是此列表的唯一标识符。
------
保存列表后,您可以[创建和配置敏感数据发现作业](discovery-jobs-create.md)以使用该列表,或[将列表添加至自动敏感数据发现设置中](discovery-asdd-account-configure.md)。当运行此作业或 Macie 执行自动发现时,Macie 会使用最新版本的列表正则表达式分析数据。