本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Macie 入门
<a name="getting-started"></a>

本教程介绍了 Amazon Macie。您将了解如何为您的 AWS 账户启用 Macie。您还将学习如何评测您的 Amazon Simple Storage Service (Amazon S3) 安全态势，以及如何配置密钥设置和资源，以发现和报告 S3 存储桶中的敏感数据。

**Topics**
+ [开始前的准备工作](#prerequisites)
+ [步骤 1：启用 Macie](#enable-macie)
+ [步骤 2：配置用于存储敏感数据发现结果的存储库](#gs-configure-repository)
+ [步骤 3：探索调查发现样本](#gs-create-sample-findings)
+ [步骤 4：创建发现敏感数据的作业](#gs-create-job)
+ [步骤 5：查看调查发现](#review-findings)

## 开始前的准备工作
<a name="prerequisites"></a>

当您注册 Amazon Web Services 时 (AWS)，您的账户会自动注册所有 AWS 服务，包括 Amazon Macie。但是，要启用和使用 Macie，首先必须设置允许您访问 Amazon Macie 控制台和 API 操作的权限。为此，您或您的 AWS 管理员可以使用 AWS Identity and Access Management (IAM) 将名为的 AWS 托管策略附加`AmazonMacieFullAccess`到您的 IAM 身份。要了解更多信息，请参阅[AWS 适用于 Macie 的托管策略](security-iam-awsmanpol.md)。

## 步骤 1：启用 Macie
<a name="enable-macie"></a>

设置所需权限后，您可以为您的 AWS 账户启用 Amazon Macie。按照以下步骤为您的账户启用 Macie。

**启用 Macie**

1. 打开亚马逊 Macie 主机，网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. 使用页面右上角的 AWS 区域 选择器，选择要启用的区域并使用 Macie。

1. 在 Amazon Macie 页面上，选择**开始**。

1. （可选）启用 Macie 后，Macie 会自动创建一个服务相关角色，允许它代表您呼叫其他人 AWS 服务 并监控 AWS 资源。要查看此角色的权限策略，请在控制台上选择**查看角色权限**。要了解有关此角色的更多信息，请参阅 [使用 Macie 的服务相关角色](service-linked-roles.md)。

1. 选择 **Enable Macie (启用 Macie)**。

几分钟之内，Macie 就会自动生成并开始维护当前区域中您的 S3 通用存储桶的清单。Macie 还开始评测和监控这些存储桶以确保安全性和进行访问控制。要了解更多信息，请参阅[监控数据安全和隐私](monitoring-s3.md)。

根据您的账户设置，Macie 还会开始对您的 S3 存储桶执行自动敏感数据发现。Macie 开始不断识别、选择和分析存储桶中具有代表性的对象，检查这些对象中是否有敏感数据。随着分析的进行，Macie 会提供统计数据和其他结果供您查看，通常是 48 小时内。您可以自定义分析。要了解更多信息，请参阅[执行自动敏感数据发现](discovery-asdd.md)。

要查看 Amazon S3 数据的汇总统计信息，请在控制台导航窗格中选择 **概要**。要查看清单中各个 S3 存储桶的详细信息，请在导航窗格中选择 **S3 存储桶**。要随后显示存储桶的详细信息，请选择存储桶。详细信息面板显示统计数据和其他信息，可让您深入了解存储桶数据的安全性、隐私性和敏感性。要了解更多详细信息，请参阅 [查看 S3 存储桶清单](monitoring-s3-inventory-review.md)。

## 步骤 2：配置用于存储敏感数据发现结果的存储库
<a name="gs-configure-repository"></a>

借助 Amazon Macie，您可以通过两种方式发现 S3 存储桶中的敏感数据：将 Macie 配置为自动敏感数据发现，以及运行敏感数据发现作业。*敏感数据发现作业*是您创建的作业，用于分析 S3 存储桶中的对象以确定这些对象是否包含敏感数据。

当您运行敏感数据发现作业或执行自动敏感数据发现时，Macie 为其分析的每个 S3 对象创建一条记录。这些记录称为*敏感数据发现结果*，记录有关单个对象分析的详细信息。Macie 还会为由于错误或问题而无法分析的对象创建敏感数据发现结果。敏感数据发现结果为您提供分析记录，这些记录可能有助于数据隐私和保护审计或调查。

Macie 仅将您的敏感数据发现结果存储 90 天。要访问结果并对其进行长期存储和保留，请将 Macie 配置为将结果存储在 S3 存储桶中。您应该在启用 Macie 后的 30 天内完成此操作。完成此操作后，存储桶可以作为所有敏感数据发现结果的权威长期存储库。

要了解如何配置此存储库，请参阅[存储和保留敏感数据发现结果](discovery-results-repository-s3.md)。

## 步骤 3：探索调查发现样本
<a name="gs-create-sample-findings"></a>

Amazon Macie 会生成两类调查发现：*策略调查发现*和*敏感数据调查发现*。当存储桶的策略或设置发生更改而降低了 S3 通用存储桶及其对象的安全性或隐私性时，Macie 会创建一个策略调查发现。当 Macie 在 S3 对象中检测到敏感数据时，Macie 会创建敏感数据调查发现。在每个类别中，都有多种类型的调查发现。

要探索和了解 Macie 提供的不同类别和类型的调查发现，可以选择创建和查看样本调查发现。样本调查发现使用示例数据和占位符值来演示 Macie 可能包含在每类调查发现中的信息类型。

按照以下步骤创建和查看样本调查发现。

**创建和查看样本调查发现**

1. 打开亚马逊 Macie 主机，网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. 在导航窗格中，选择**设置**。

1. 在 **Sample findings** 下，选择 **Generate sample findings**。Macie 会为 Macie 支持的每种调查发现生成一个样本调查发现。

1. 在导航窗格中，选择 **调查发现**。**调查发现**页面显示当前 AWS 区域中您的账户的调查发现。这包括您在前面步骤中创建的样本调查发现。

1. 在 **调查发现**页面上，找到类型以 **[样本]**开头的调查发现。

1. 要查看特定样本调查发现的详细信息，请选择该调查发现。详细信息面板显示了调查发现的详细信息。

要了解有关每种类型的调查发现的更多信息，请参阅 [调查发现的类型](findings-types.md)。要了解有关创建和查看样本调查发现的更多信息，请参阅 [使用样本调查发现](findings-samples.md)。

## 步骤 4：创建发现敏感数据的作业
<a name="gs-create-job"></a>

要发现和报告 S3 存储桶中的敏感数据，您可以运行敏感数据发现作业。*敏感数据发现作业*是您创建的作业，用于分析 S3 存储桶中的对象以确定这些对象是否包含敏感数据。与自动敏感数据发现不同，您可以定义分析的广度和深度。您还可以指定运行作业的频率，即按计划运行一次或定期运行。

按照以下步骤创建一个作业，该作业将在您创建后立即运行一次，并使用默认设置。要了解如何创建定期运行或使用自定义设置的作业，请参阅[创建敏感数据发现作业](discovery-jobs-create.md)。

**创建敏感数据发现作业**

1. 打开亚马逊 Macie 主机，网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. 在导航窗格中，选择**作业**。

1. 请选择 **Create job (创建作业)**。

1. 在 **选择 S3 存储桶**步骤中，选择**选择特定存储桶**。然后，在表中，选中您希望任务分析的每个 S3 存储桶对应的复选框。

   该表提供了当前 AWS 区域的 S3 通用存储桶的清单。要更轻松地查找特定存储桶，请在表格上方的筛选框中输入筛选标准。您还可以通过选择列标题对表格进行排序。

1. 选择完存储桶后，选择**下一步**。

1. 在 **查看 S3 存储桶**步骤中，查看并验证您的存储桶选择，然后选择 **下一步**。

1. 在 **缩小范围**步骤中，选择 **一次性作业**，然后选择**下一步**。

1. 在 **选择托管数据标识符**步骤中，选择 **推荐**。（可选）查看我们为作业推荐的托管数据标识符表，然后选择 **下一步**。

   *托管数据标识符*是一组内置标准和技术，旨在检测特定类型的敏感数据，例如信用卡号、 AWS 秘密访问密钥或特定国家或地区的护照号码。要了解更多信息，请参阅[使用托管数据标识符](managed-data-identifiers.md)。

1. 在 **选择自定义数据标识符**步骤中，选择 **下一步**。

   *自定义数据标识符*是您定义的一组检测敏感数据的标准，即定义要匹配的文本模式的正则表达式 (*regex*) 和可选的字符序列，以及优化结果的邻近规则。要了解更多信息，请参阅[构建自定义数据标识符](custom-data-identifiers.md)。

1. 在 **选择允许列表**步骤中，选择 **下一步**。

   在 Macie 中，*允许列表*指定了您希望 Macie 在检查 S3 对象是否存在敏感数据时忽略的文本或文本模式。这些通常是特定场景或环境的敏感数据异常。要了解更多信息，请参阅[使用允许列表定义敏感数据例外](allow-lists.md)。

1. 在 **输入常规设置**步骤中，输入作业的名称和描述（可选）。然后选择**下一步**。

1. 对于 **检查和创建**步骤，检查作业的配置设置并验证它们是否正确。

   您还可以查看运行该任务的估计总成本（以美元为单位）。该估算值可以帮助您在保存作业之前确定是否要调整作业的设置。要了解更多信息，请参阅[预测敏感数据发现作业的成本](discovery-jobs-costs.md#discovery-jobs-costs-forecast)。

1. 完成查看和验证作业设置后，选择**提交**。

Macie 立即开始运行这项作业。要了解如何监控作业，请参阅[检查敏感数据发现作业的状态](discovery-jobs-status-check.md)。

## 步骤 5：查看调查发现
<a name="review-findings"></a>

Amazon Macie 自动监控您的 S3 通用存储桶以实现安全性和访问控制，并且创建策略调查发现来报告存储桶安全或隐私方面的潜在问题。如果您运行敏感数据发现作业，或者将 Macie 配置为执行自动敏感数据发现，Macie 会创建敏感数据调查发现以报告其在 S3 对象中检测到的敏感数据。

请按照以下步骤查看调查发现。

**要查看调查发现**

1. 打开亚马逊 Macie 主机，网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. 在导航窗格中，选择 **调查发现**。**调查发现**页面显示当前 AWS 区域中您的账户的调查发现。

1. 要按特定条件筛选调查发现，请在表格上方的筛选框中输入标准。

1. 要查看特定调查发现的详细信息，请选择该调查发现。详细信息面板显示了调查发现的详细信息。

要了解有关调查发现的更多信息，包括如何对调查发现进行分组和筛选，请参阅 [查看和分析调查发现](findings.md)。