本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 使用 Macie 分析您的 Amazon S3 安全状况 分析您的 Amazon S3 安全状况 为了帮助您对亚马逊简单存储服务 (Amazon S3) Simple S3 Service 数据进行深入分析和评估其安全状况,Amazon Macie 会在您使用 Macie 的每个地方生成并维护您的 S3 通用存储桶清单。 AWS 区域 要了解 Macie 如何为您维护此清单,请参阅 [Macie 如何监控 Amazon S3 数据安全性](monitoring-s3-how-it-works.md)。如果您是组织的 Macie 管理员,则此清单包括您的成员账户拥有的 S3 存储桶。 通过使用此清单,您可以查看您的 Amazon S3 数据资产,并检查适用于单个 S3 存储桶的关键安全设置和指标的详细信息和统计数据。例如,您可以访问每个存储桶分区的公共访问和加密设置明细,以及 Macie 可以分析用于检测每个存储桶中敏感数据的对象大小和数量。您还可以确定是否配置了敏感数据发现作业或自动敏感数据发现来分析存储桶中的对象。如果有,则您的库存数据会显示最近进行该分析的时间。如果启用了自动敏感数据发现,您还可以使用清单来查看 Macie 迄今为您的 Amazon S3 数据执行的自动敏感数据发现活动的结果。有关更多信息,请参阅 [发现敏感数据](data-classification.md)。 您可以使用 Amazon Macie 控制台上的 **S3 存储桶**页面浏览和筛选清单数据。您还可以使用亚马逊 Macie API 的[DescribeBuckets](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3.html)操作,以编程方式访问您的库存数据。 **Topics** + [查看 S3 存储桶清单](monitoring-s3-inventory-review.md) + [筛选您的 S3 存储桶清单](monitoring-s3-inventory-filter.md) # 查看 Macie 中的 S3 存储桶清单 查看 S3 存储桶清单 在 Amazon Macie 控制台,**S3 存储桶**页面详细介绍了当前 AWS 区域中 Amazon Simple Storage Service (Amazon S3) 数据的安全和隐私。通过此页面,您可以查看和分析该区域中 S3 通用存储桶的清单,并查看各个存储桶的详细信息和统计数据。有关 Macie 如何生成和维护此库存的信息,请参阅[Macie 如何监控 Amazon S3 数据安全性](monitoring-s3-how-it-works.md)。如果您是组织的 Macie 管理员,则您的清单包括您的成员账户拥有的 S3 存储桶的详细信息和统计信息。 **S3 存储桶**页面还会显示 Macie 最近一次从 Amazon S3 检索账户存储桶或对象元数据的时间。您可以在页面顶部的 **上次更新时间**字段中找到此信息。如果您是组织的 Macie 管理员,则此字段会显示 Macie 为您组织内账户检索数据的最早日期和时间。有关更多信息,请参阅 [数据刷新](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh)。 请注意,库存数据和统计信息不包括 S3 目录存储桶的数据,仅包括通用存储桶的数据。Macie 不监控或分析目录存储桶。此外,Macie 会为一个账户保留不超过 10,000 个通用存储桶的完整库存数据。如果您的账户超过此配额,Macie 会为最近创建或更改的 10,000 个存储桶提供完整的库存数据。对于所有其他存储桶,Macie 仅提供有关每个存储桶的部分信息。如果您是组织的 Macie 管理员,则此配额适用于您组织中的每个账户,而不是整个组织的账户。 另请注意,大多数库存数据仅限于允许 Macie 为您的账户访问的存储桶。如果存储桶的权限设置阻止 Macie 检索有关该存储桶或存储桶对象的信息,则 Macie 只能提供有关此存储桶的部分信息。如果特定存储桶出现这种情况,Macie 将您的存储桶清单中显示该存储桶的警告图标 (![\[The warning icon, which is a red triangle that has an exclamation point in it.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-warning-red.png)) 和消息。有关存储桶的详细信息,Macie 仅提供部分字段的数据:拥有 AWS 账户 该存储桶的账户 ID;存储桶的名称、Amazon 资源名称 (ARN)、创建日期和区域;以及 Macie 最近一次在每日刷新周期中检索存储桶和对象元数据的时间。要调查该问题,请在 Amazon S3 中查看存储桶的策略和权限设置。例如,存储桶可能具有限制性的存储桶策略。有关更多信息,请参阅 [允许 Macie 访问 S3 存储桶和对象](monitoring-restrictive-s3-buckets.md)。 如果您更喜欢以编程方式访问和查询库存数据,则可以使用 Amazon Macie API 的[DescribeBuckets](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3.html)操作。 **Topics** + [ ## 查看 S3 存储桶清单 ](#monitoring-s3-inventory-view) + [ ## 查看 S3 存储桶的详细信息 ](#monitoring-s3-inventory-view-details) ## 查看 S3 存储桶清单 查看存储桶清单 Amazon Macie 控制台上的 **S3 通用存储桶**页面提供关于当前 AWS 区域中 S3 存储桶的信息。此页面表格显示了清单中每个存储桶的摘要信息。要自定义视图,您可以对表格进行排序和筛选。如果您在表中选择一个存储桶,则详细信息面板显示有关此存储桶的其他信息。这包括设置详情和统计数据,以及洞察存储桶数据安全和隐私的指标。您可以选择将数据从表中导出至逗号分隔值 (CSV) 文件。 如果启用了自动敏感数据发现,您还可通过交互式热图查看清单。该地图直观显示了整个 Amazon S3 数据资产的数据敏感度。它采集 Macie 迄今为止执行的自动敏感数据发现活动的结果。要详细了解相关内容,请参阅 [使用 S3 存储桶地图观察数据灵敏度](discovery-asdd-results-s3-inventory-map.md)。 **要查看 S3 存储桶清单** 1. 打开亚马逊 Macie 主机,网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 1. 在导航窗格中,选择** S3 存储桶**。**S3 存储桶**页面显示您的存储桶清单。如果页面显示您的清单的交互式地图,请选择页面顶部的表格 (![\[The table view button, which is a button that displays three black horizontal lines.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/btn-s3-table-view.png))。然后,Macie 会显示您的清单中的存储桶数量和存储桶表。 如果启用了自动敏感数据发现,则默认视图不会显示当前被排除在自动敏感数据发现之外的其他存储桶的数据。要显示这些数据,请在筛选框下方的**由自动发现筛选器监控**标记中选择 **X**。 1. 在页面顶部,可以选择刷新 (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/btn-refresh-data.png)),从 Amazon S3 检索最新的存储桶元数据。 如果信息图标 (![\[The information icon, which is a blue circle that has a lowercase letter i in it.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-info-blue.png)) 出现在任何存储桶名称旁边,我们建议您这样操作。此图标表明存储桶是在过去 24 小时内创建的,可能是 Macie 在[每日刷新周期](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh)中最后一次从 Amazon S3 检索存储桶和对象元数据之后创建的。 1. 在 **S3 存储桶**表中,查看有关清单内每个存储桶的子信息: + **敏感度**:如果启用了自动敏感数据发现,则显示存储桶当前敏感度分数。有关 Macie 定义的灵敏度分数范围的信息,请参阅 [S3 存储桶的敏感度评分](discovery-scoring-s3.md)。 + **存储桶** – 存储桶名称。 + **账户** – 拥有存储桶的 AWS 账户 账户 ID。 + **可分类对象** – Macie 可在存储桶中分析以检测敏感数据的对象总数。 + **可分类大小** – Macie 可在存储桶中分析以检测敏感数据的所有对象的总存储大小。 注意,此值不反映任何压缩对象在解压缩后的实际大小。此外,如果为存储桶启用了版本控制,则此值将基于存储桶中每个最新版本对象的存储大小。 + **按作业监控**:是否将任何敏感数据发现作业配置为:每天、每周或每月定期分析存储桶中的对象。 如果此字段的值为*是*,则表示该存储桶已显式包含在定期作业中,或者该存储桶在过去 24 小时内符合定期作业的条件。此外,其中至少有一个作业的状态非*已取消*。Macie 每天都会更新这些数据。 + **最新运行的作业**:如果将任何定期或一次性的敏感数据发现作业配置为分析存储桶中的对象,则此字段表示其中一个作业开始运行的最新日期和时间。否则,该字段中会出现破折号 (-)。 在上述数据中,如果对象使用所支持的 Amazon S3 存储类别,并且其文件扩展名表示支持的文件或存储格式,则对象属于*可分类*。您可以通过使用 Macie 检测对象中的敏感数据。有关更多信息,请参阅 [支持的存储类别和格式](discovery-supported-storage.md)。 1. 要使用表格分析清单,请执行以下操作之一: + 要按特定字段对表格进行排序,请选择该字段的列标题。若要更改排序顺序,请再次选择列标题。 + 要筛选表格并仅显示含特定字段值的存储桶,请将光标置于筛选框内,然后为该字段添加筛选条件。若要进一步优化结果,请为其他字段添加筛选条件。有关更多信息,请参阅 [筛选您的 S3 存储桶清单](monitoring-s3-inventory-filter.md)。 1. 要查看特定存储桶的详细信息和统计数据,请选择表中的存储桶名称,然后转到详细信息面板。 **提示** 您可以使用存储桶详细信息面板来深入探究很多字段。要显示某个字段中具有相同值的存储桶,请在该字段中选择 ![\[The zoom in icon, which is a magnifying glass that has a plus sign in it.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-magnifying-glass-plus-sign.png)。要显示其他字段值的存储桶,请在字段中选择 ![\[The zoom out icon, which is a magnifying glass that has a minus sign in it.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-magnifying-glass-minus-sign.png)。 1. 要将数据从表格导出到 CSV 文件,请选中要导出的每行的复选框,或者选中选择列标题中的复选框以选择所有行。然后在页面顶部选择**导出到 CSV**。您最多可从表格中导出 50,000 行。 ## 查看 S3 存储桶的详细信息 查看存储桶的详细信息 要查看 S3 通用存储桶的详细信息和统计数据,您可以使用 Amazon Macie 控制台 S3 **存储桶**页面上的详细信息面板。该面板显示详细信息和统计数据,可让您深入了解存储桶数据的安全性和隐私性。 例如,您可以查看 S3 存储桶的公共访问设置明细,并确定存储桶的配置目的是重复对象还是与其他 AWS 账户分享。您还可以确定是否配置任何敏感数据发现作业,以检查存储桶内是否有敏感数据。如果有,您可以访问最近运行作业的详细信息,选择显示作业产生的任何调查发现。 如果启用了自动敏感数据发现,您还可以使用详细信息面板查看有关单独 S3 存储桶的敏感数据发现统计数据和其他信息。此面板采集 Macie 迄今为止为存储桶执行的、自动敏感数据发现活动的结果。要了解更多详细信息,请参阅 [查看 S3 存储桶的数据灵敏度详细信息](discovery-asdd-results-s3-inventory-details.md)。 **要查看 S3 存储桶的详细信息** 1. 打开亚马逊 Macie 主机,网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 1. 在导航窗格中,选择** S3 存储桶**。**S3 存储桶**页面显示您的存储桶清单。 如果启用了自动敏感数据发现,则默认视图不会显示当前被排除在自动敏感数据发现之外的其他存储桶的数据。要显示这些数据,请在筛选框下方的**由自动发现筛选器监控**标记中选择 **X**。 1. 在页面顶部,可以选择刷新 (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/btn-refresh-data.png)),从 Amazon S3 检索最新的存储桶元数据。 1. 请选择要查看的存储桶的详细信息。此详细信息面板显示有关存储桶的统计数据和其他信息。 详细信息面板中的统计数据和信息分为以下主要部分: [**概述**](#monitoring-s3-inventory-view-details-general) [**\$1 [**对象统计**](#monitoring-s3-inventory-view-details-objects) \$1 [**服务器端加密**](#monitoring-s3-inventory-view-details-sse) \$1 [**敏感数据发现**](#monitoring-s3-inventory-view-details-discovery) \$1 [**公共访问**](#monitoring-s3-inventory-view-details-public-access) \$1 [**复制**](#monitoring-s3-inventory-view-details-replication) \$1 标签**](#monitoring-s3-inventory-view-details-tags) 在查看每个部分的信息时,您可以选择对某些字段进行转置和向下钻取。要显示某个字段中具有相同值的存储桶,请在该字段中选择 ![\[The zoom in icon, which is a magnifying glass that has a plus sign in it.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-magnifying-glass-plus-sign.png)。要显示其他字段值的存储桶,请在字段中选择 ![\[The zoom out icon, which is a magnifying glass that has a minus sign in it.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-magnifying-glass-minus-sign.png)。 ### 概述 本部分提供有关存储桶的一般信息,例如存储桶的名称、存储桶的创建时间以及拥有 AWS 账户 该存储桶的账户 ID。特别值得注意的是,**上次更新时间**字段指示 Macie 最近从 Amazon S3 中检索存储桶或存储桶对象元数据的时间。 **共享访问权限**字段表示该存储桶是与其他人共享 AWS 账户、Amazon CloudFront 源访问身份 (OAI) 还是 CloudFront 原始访问控制 (OAC): + **外部** — 存储桶与以下一个或多个或任意组合共享: CloudFront OAI、CloudFront OAC 或组织外部(不属于)的账户。 + **内部**‬ – 存储桶与组织内部(一部分)的一个或多个账户共享。它不会与 CloudFront OAI 或 OAC 共享。 + **未共享**-存储桶未与其他账户、 CloudFront OAI 或 OAC 共享。 CloudFront + **未知** – Macie 无法评测存储桶的共享访问权限设置。例如,配额或临时问题使 Macie 无法检索和评估必要数据。 为了确定某个存储桶是否与其他存储桶共享 AWS 账户,Macie 会分析该存储桶的存储桶策略和访问控制列表 (ACL)。分析仅限于存储桶级设置。它不反映用于共享存储桶内特定对象的任何对象级设置。此外,*组织*被定义为一组 Macie 账户,这些账户通过 AWS Organizations 或通过 Macie 邀请作为一组相关账户进行集中管理。要了解用于共享存储桶的 Amazon S3 选项,请参阅《*亚马逊简单存储服务用户指南》*中的[访问控制](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html)。 **注意** 在某些情况下,Macie 可能会错误地指明存储桶是 AWS 账户 与组织外部(不属于组织的一部分)共享的。如果 Macie 无法完全评测存储桶策略中的 `Principal` 元素与该策略 `Condition` 元素中的某些 [AWS 全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)或 [Amazon S3 条件密钥](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-policy-keys)之间的关系,则可能会发生这种情况。以下条件键可能就是这种情况:`aws:PrincipalAccount`、、、、`aws:PrincipalArn`、`aws:PrincipalOrgID`、`aws:PrincipalOrgPaths`、`aws:PrincipalTag`、`aws:PrincipalType`、`aws:SourceAccount`、`aws:SourceArn`、`aws:SourceIp`、`aws:SourceOrgID`、`aws:SourceOrgPaths`、`aws:SourceVpc`、`aws:SourceVpce`、`aws:userid`、`s3:DataAccessPointAccount`、和`s3:DataAccessPointArn`。 我们建议您检查存储桶的策略,以确定此访问是否为预期行为且是安全的。 为了确定存储桶是与 CloudFront OAI 还是 OAC 共享,Macie 会分析该存储桶的存储桶策略。 CloudFront OAI 或 OAC 允许用户通过一个或多个指定的 CloudFront 分配访问存储桶的对象。要了解 CloudFront OAIs和 OACs,请参阅《[亚马逊* CloudFront 开发者指南》中的限制访问 Amazon* S3 源](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html)。 **概述**部分还包括**最近的自动发现运行时间**字段。该字段指示 Macie 最近在执行自动敏感数据发现时分析存储桶对象的时间。如果未进行此分析,则此字段中会出现一个破折号(-)。 ### 对象统计数据 本部分提供关于存储桶对象的信息,首先介绍存储桶内的对象总数(**总数**)、所有对象的总存储大小(**总存储大小**),以及所有压缩文件 (.gz、.gzip 或 .zip) 对象的总存储大小(**总压缩大小**)。本节中的其他统计数据可帮您评测 Macie 可分析的数据量,以检测存储桶内的敏感数据。 如果您最近创建了存储桶,或在过去 24 小时内对存储桶对象进行了重大更改,则可以选择性选择刷新 (![\[The refresh button, which is a button that displays an empty, dark gray circle with an arrow.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/btn-refresh-object-data.png)) 以检索存储桶对象的最新元数据。Macie 显示信息图标 (![\[The information icon, which is a blue circle that has a lowercase letter i in it.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-info-blue.png)),以帮助您确定是否可能出现这种情况。如果存储桶存储的对象数量小于等于 30000 个,则可以使用刷新选项。 查看本节统计数据时,请牢记以下几点: + 如果为存储桶启用了版本控制,则大小值将基于存储桶中每个最新版本对象的存储大小。 + 如果存储桶内存储压缩对象,则大小值不反映这些对象在解压缩后的实际大小。 + 如果您刷新存储桶的对象元数据,Macie 会临时报告*未知*,以获取适用于该对象的加密统计信息。当在 24 小时内对存储桶和对象元数据执行下一次[日常刷新](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh),Macie 将重新评测和更新这些统计数据。 + 默认情况下,对象计数和大小值包括:存储桶内包含的、作为不完全分段上传结果的、任何对象部分数据。如果您刷新存储桶对象元数据,Macie 会从重新计算的值中排除对象部分数据。当 Macie 对存储桶和对象元数据执行下一次日常刷新(24 小时内)时,Macie 会重新计算和更新这些统计数据的值,并将对象部分的数据再次纳入值中。 请注意,Macie 无法通过分析对象部分检测敏感数据。Amazon S3 必须先将分段重组成一个或多个对象,让 Macie 进行分析。有关分段上传和对象分段的信息,包括如何根据生命周期规则自动删除分段,请参阅 *Amazon Simple Storage Service 用户指南*中的[使用分段上传来上传和复制对象](https://docs.aws.amazon.com/AmazonS3/latest/userguide/mpuoverview.html)。要识别包含对象分段的存储桶,您可以参考 Amazon S3 Storage Lens 存储统计管理工具中的*未完成分段上传*。有关更多信息,请参阅 *Amazon Simple Storage Service 用户指南*中的[评测您的存储活动和使用情况](https://docs.aws.amazon.com/AmazonS3/latest/userguide/storage_lens.html)。 对象统计信息组织方式如下。 **可分类对象** 此部分所示为 Macie 可分析的对象总数,用于检测这些对象的敏感数据和总存储大小。这些对象使用所支持的 Amazon S3 存储类别,并且其文件扩展名表示支持的文件或存储格式。您可以通过使用 Macie 检测对象中的敏感数据。有关更多信息,请参阅 [支持的存储类别和格式](discovery-supported-storage.md)。 **不可分类的对象** 此部分所示为 Macie 无法分析的对象总数,用于检测这些对象的敏感数据和总存储大小。这些对象不使用所支持的 Amazon S3 存储类别,并且其文件扩展名未表示支持的文件或存储格式。 **不可分类的对象:存储分类** 本节详细介绍了 Macie 无法分析对象的数量和存储大小,无法分析的原因是这些对象不使用支持的 Amazon S3 存储类别。 **不可分类的对象:文件类型** 本节详细介绍了 Macie 无法分析对象的数量和存储大小,无法分析的原因是这些对象未使用支持的文件扩展名或存储格式。 **按加密类型统计的对象** 本节详细介绍了使用 Amazon S3 支持的每种加密类型的对象数量: + **客户提供的**:使用客户提供的密钥加密的对象数量。这些对象使用 SSE-C 加密。 + **AWS KMS 托管** — 使用客户托管密钥 AWS 托管式密钥 或客户托管密钥加密的对象数量。 AWS KMS key这些对象使用 DSSE-KMS 或 SSE-KMS 加密。 + **Amazon S3 托管**:使用 Amazon S3 托管式密钥加密的对象数量。这些对象使用 SSE-S3 加密。 + **不加密**:未加密或未使用客户端加密的对象数量。(如果对象通过客户端加密,Macie 无法访问和报告对象加密数据。) + **未知**:Macie 没有其当前加密元数据的对象数量。如果您最近选择手动刷新存储桶对象元数据,则通常会发生这种情况。当在 24 小时内对存储桶和对象元数据执行下一次日常刷新,Macie 将加密统计数据。 有关每个所支持的加密类型的更多信息,请参阅* Amazon Simple Storage Service 用户指南*中的[使用加密保护数据](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingEncryption.html)。 ### 服务器端加密 本节深入介绍存储桶服务器端加密设置。 **按存储桶策略要求加密**字段指明在向存储桶添加对象时,存储桶】的策略是否要求对对象进行服务器端加密: + **否**‬:存储桶没有存储桶策略,或者存储桶的策略不要求对新对象进行服务器端加密。如果存在存储桶策略,则它不需要[PutObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html)请求中包含有效的服务器端加密标头。 + **是**‬:存储桶策略要求对新对象进行服务器端加密。存储桶的 **PutObject** 请求必须包含有效的服务器端加密标题。否则,Amazon S3 拒绝该请求。 + **未知**‬:Macie 无法评测存储桶的策略以确定它是否需要对新对象进行服务器端加密。例如,配额或问题阻止 Macie 检索和评估策略。 在此评测中,有效的服务器端加密标题为:`x-amz-server-side-encryption` 值为 `AES256` 或 `aws:kms`,`x-amz-server-side-encryption-customer-algorithm` 值为 `AES256`。有关使用存储桶政策要求服务器端对新对象加密的更多信息,请参阅*《Amazon Simple Storage Service 用户指南》*中的[使用服务器端加密保护数据](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html)。 **默认加密**字段表示存储桶默认配置为对添加到存储桶的对象应用的服务器端加密算法: + **AES256**— 存储桶的默认加密设置配置为使用 Amazon S3 托管密钥加密新对象。新对象通过 SSE-S3 加密法自动加密。 + **aws: km** s — 存储桶的默认加密设置配置为使用客户托管密钥 AWS 托管式密钥 或客户托管密钥加密新对象。 AWS KMS key新对象使用 SSE-KMS 加密法自动加密。**AWS KMS key** 字段显示所用密钥 Amazon 资源名称(ARN)或唯一标识符 (密钥 ID)。 + **aws: kms: dsse** — 存储桶的默认加密设置配置为使用客户托管密钥或客户托管密钥加密新对象。 AWS KMS key AWS 托管式密钥 新对象使用 DSSE-KMS 加密法自动加密。**AWS KMS key** 字段显示所用密钥的 ARN 或密钥 ID。 + **无**:存储桶的默认加密设置不为新对象指定服务器端加密行为。 从 2023 年 1 月 5 日开始,Amazon S3 自动应用服务器端加密,并使用 Amazon S3 托管式密钥 (SSE-S3) 作为添加到存储桶的对象的基本加密级别。您可以选择配置存储桶的默认加密设置,改为使用带密钥的服务器端加密 (SSE-KMS) 或使用 AWS KMS 密钥的双层服务器端加密 (DSSE-KM AWS KMS S)。有关默认加密设置和选项的信息,请参阅 *Amazon Simple Storage Service 用户指南*中的[为 S3 存储桶设置默认服务器端加密行为](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html)。 ### 敏感数据发现 本节详细介绍了是否将任何敏感数据发现作业配置为:每天、每周或每月定期分析存储桶中的对象。如果**由作业主动监控**字段的值为*是*,则该存储桶将明确包含在定期作业中,或者该存储桶在过去 24 小时曾匹配定期作业条件。此外,其中至少有一个作业的状态非*已取消*。Macie 每天都会更新这些数据。 如果您配置了任何类型的敏感数据发现作业(定期作业或一次性作业)来分析存储桶中的对象,则**最新作业**字段将提供最近开始运行的作业的唯一标识符。**最近作业运行时间**字段指示该作业开始运行的时间。 **提示** 要显示作业生成的所有敏感数据调查发现,请选择**最近的作业**字段中的链接。在出现的作业详细信息面板中,选择面板顶部的**显示结果**,然后选择**显示调查发现**。 ### 公有访问权限 本节还指示存储桶是否可公开访问。它还详细介绍决定这种情况的各类账户和存储桶级设置。**有效权限**字段指示这些设置的累积结果: + **非公开访问**:存储桶不可公开访问。 + **公开访问**:存储桶可公开访问。 + **未知**:Macie 无法评测存储桶的所有公有访问设置。例如,配额或临时问题使 Macie 无法检索和评估必要数据。 在此评估中,Macie 分析了每个存储桶的账户级和存储分区级设置组合:账户的封禁公开访问设置;存储桶的封禁公开访问设置;存储桶的存储桶策略;以及存储桶的访问控制列表 (ACL)。请注意,评估不包括允许公众访问存储桶中特定对象的对象级设置。 要了解用于管理存储桶和存储桶数据的公开访问的 Amazon S3 设置,请参阅《[亚马逊简单存储服务用户指南》中的[访问控制](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html)和阻止公众访问您的 Amazon S](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html) *3 存储*。 ### 复制 在本节中,**Replicated** 字段指示存储桶是否配置为将对象复制到其他存储桶。如果此字段的值为 *是*,则表示已为此存储桶配置并启用一条或多条复制规则。然后,本部分还列出了每个 AWS 账户 拥有目标存储桶的用户的账户 ID。 Repl **icated externally** 字段指明存储桶是否配置为 AWS 账户 将对象复制到组织外部(不是组织的一部分)的存储桶。*组织*是一组 Macie 账户,这些账户通过 Macie 邀请 AWS Organizations 或通过 Macie 邀请作为一组相关账户进行集中管理。如果此字段的值为 “*是*”,则为该存储桶配置并启用了复制规则,并将该规则配置为将对象复制到由外部拥有的存储桶 AWS 账户。 **注意** 在某些情况下,Macie 可能会错误地指出存储桶已配置为将对象复制到由外部 AWS 账户用户拥有的存储桶。如果目标存储桶是在过去 24 小时内,也就是 Macie 在[每日刷新周期](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh)中从 Amazon S3 检索存储桶和对象元数据之后在不同的 AWS 区域 中创建,则可能会发生这种情况。要使用 Macie 调查问题,请选择刷新 (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/btn-refresh-data.png)) 从 Amazon S3 检索最新的存储桶元数据。然后查看本节 IDs 中的账户列表。若要进行更深入的调查,请使用 Amazon S3 查看存储桶的复制规则。 要了解复制存储桶对象的 Amazon S3 选项和设置,请参阅 *Amazon Simple Storage Service 用户指南*中的[复制对象](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication.html)。 ### 标签 如果标签与存储桶相关联,则此部分将在面板中显示,并列出这些标签。标签是您可以定义并分配给某些类型的 AWS 资源(包括 S3 存储桶)的标签。每个标签都包含一个必需的标签键和一个可选的标签值。 要了解标签存储桶,请参阅 *Amazon Simple Storage Service 用户指南*中的[使用成本分配 S3 存储桶标签](https://docs.aws.amazon.com/AmazonS3/latest/userguide/CostAllocTagging.html)。 # 在 Macie 中筛选您的 S3 存储桶清单 筛选您的 S3 存储桶清单 要识别并关注具有特定特征的存储桶,您可以在 Amazon Macie 控制台和使用 Amazon Macie API 以编程方式提交的查询中筛选您的 S3 存储桶清单。创建筛选条件时,您可以使用特定的存储桶属性来定义在视图或查询结果中包含或排除存储桶的标准。*存储桶属性*是存储存储桶特定元数据的字段。 Macie 中的筛选条件包含一个或多个条件。每个条件,也称为*标准*,由三个部分组成: + 基于属性的字段,例如**存储桶名称**、**标签键**或**在作业中定义**。 + 一个运算符,例如*等于*或*不等于*。 + 一个或多个值。值的类型和数量取决于您选择的字段和运算符。 如何定义和应用筛选条件取决于您使用的是 Amazon Macie 主机还是 Amazon Macie API。 **Topics** + [在主机上筛选您的库存](#monitoring-s3-inventory-filter-console) + [以编程方式筛选库存](#monitoring-s3-inventory-filter-api) ## 在 Amazon Macie 主机上筛选您的库存 在主机上筛选您的库存 如果您使用 Amazon Macie 控制台筛选 S3 存储桶清单,Macie 会提供一些选项来帮助您为各个条件选择字段、运算符和值。您可以使用 **S3 存储桶**页面上的筛选框访问这些选项,如下图中所示。 ![\[S3 存储桶页面的筛选框。\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/scrn-buckets-filter-bar-empty.png) 当您将光标置于筛选条件框中时,Macie 会显示可在筛选条件中使用的字段列表。这些字段按逻辑类别组织。例如,**常用字段**类别包括存储有关 S3 存储桶的一般信息的字段。**公共访问**类别包括存储有关可应用于存储桶的各种类型的公共访问权限设置数据的字段。这些字段在每个类别中按字母顺序排序。 要添加条件,请先从列表中选择一个字段。要查找字段,请浏览完整列表,或输入部分字段名称以缩小字段列表范围。 根据您选择的字段,Macie 显示不同的选项。这些选项反映了您选择的字段的类型和性质。例如,如果您选择**共享访问权限**字段,Macie 会显示一个值列表供您选择。如果您选择**存储桶名称**字段,Macie 会显示一个文本框,您可以在其中输入 S3 存储桶的名称。无论您选择哪个字段,Macie 都会指导您完成添加包含该字段所需设置的条件的步骤。 添加条件后,Macie 会为该条件应用标准,并在筛选框下方的筛选条件令牌中显示该条件,如下图所示。 ![\[带有条件筛选令牌的筛选条件框。\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/scrn-buckets-filter-bar-public.png) 在此示例中,条件配置为包括所有可公开访问的存储桶,并排除所有其他存储桶。它返回**有效权限**字段的值*等于*** Public **的存储桶。 当您添加更多条件时,Macie 会应用其标准并将其显示在筛选框下方。如果您添加多个条件,Macie 会使用 AND 逻辑来连接条件并评测筛选标准。这意味着,只有当 S3 存储桶与筛选条件中的所有条件都匹配时,它才会匹配筛选标准。您可以随时参考筛选框下方的区域,以确定您应用了哪些标准。 **使用控制台筛选清单** 1. 打开亚马逊 Macie 主机,网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 1. 在导航窗格中,选择** S3 存储桶**。**S3 存储桶**页面显示您的存储桶清单。 如果启用了自动敏感数据发现,则默认视图不会显示当前被排除在自动敏感数据发现之外的其他存储桶的数据。如果您是组织的 Macie 管理员,则它也不会显示当前禁用了自动发现的账户的数据。要显示这些数据,请在筛选框下方的**由自动发现筛选器监控**标记中选择 **X**。 1. 在页面顶部,可以选择刷新 (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/btn-refresh-data.png)),从 Amazon S3 检索最新的存储桶元数据。 1. 将光标置于筛选框中,然后选择要用于条件的字段。 1. 请记住以下提示,为该字段选择或输入适当的值类型。 **日期、时间和时间范围** 对于日期和时间,使用**从**和**到**框定义包含的时间范围: + 要定义固定的时间范围,请使用**从**和**到**框分别指定该范围内的第一个日期和时间以及最后一个日期和时间。 + 要定义从特定日期和时间开始并在当前时间结束的相对时间范围,请在**从**框中输入开始日期和时间,然后删除**到**框中的任何文本。 + 要定义在特定日期和时间结束的相对时间范围,请在**到**框中输入结束日期和时间,然后删除**从**框中的任何文本。 请注意,时间值使用 24 小时表示法。如果您使用日期选择器选择日期,则可以通过直接在**从**和**到**框中输入文本来细化值。 **数字和数值范围** 对于数值,使用**从**和**到**框输入定义包含数值范围的整数: + 要定义固定的数值范围,请使用**从**和**到**框分别指定该范围内的最小和最高数字。 + 要定义仅限于一个特定值的固定数值范围,请在**从**和**到**框中输入该值。例如,要仅存储恰好包含 15 个对象的 S3 存储桶,请在**从**和**到**框中输入 **15**。 + 要定义从某个数字开始的相对数值范围,请在**从**框中输入数字,不要在**到**框中输入任何文本。 + 要定义以特定数字结尾的相对数值范围,请在**到**框中输入数字,不要在**从**框中输入任何文本。 **文本(字符串)值** 对于此类值,请为该字段输入一个完整、有效的值。值区分大小写。 请注意,您不能在此类型的值中使用部分值或通配符。唯一的例外是**存储桶名称**字段。对于该字段,您可以指定前缀而不是完整的存储桶名称。例如,要查找名称以 *my-S3* 开头的所有 S3 存储桶,请输入 **my-S3** 作为**存储桶名称**字段的筛选值。如果您输入任何其他值,例如 **My-s3** 或 **my\$1**,Macie 将不会返回存储桶。 1. 为该字段添加完值后,选择 **应用**。Macie 应用筛选标准并在筛选条件框下方的筛选器令牌中显示条件。 1. 对于要添加的每个附加条件,重复步骤 4 到 6。 1. 要删除条件,请在筛选条件令牌中为该条件选择 **X**。 1. 要更改条件,请通过在条件的筛选条件令牌中选择 **X** 来移除该条件。然后重复步骤 4 到 6,添加设置正确的条件。 ## 使用 Amazon Macie API 以编程方式筛选您的库存 以编程方式筛选库存 要以编程方式筛选 S3 存储桶清单,请在使用 Amazon Macie API 的[DescribeBuckets](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3.html)操作提交的查询中指定筛选标准。此操作返回对象数组。每个对象都包含与筛选标准相匹配的存储桶的统计数据和其他信息。 要在查询中指定筛选标准,请在请求中加入筛选条件地图。为每个条件指定一个字段、一个运算符以及该字段的一个或多个值。值的类型和数量取决于您选择的字段和运算符。有关可在条件中使用的字段、运算符和值类型的信息,请参阅* Amazon Macie API 参考*中的 [Amazon S3 数据来源](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3.html)。 以下示例向您展示了如何在使用 [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) 提交的查询中指定筛选标准。您也可以使用其他 AWS 命令行工具或 AWS SDK 的当前版本,或者直接向 Macie 发送 HTTPS 请求来执行此操作。有关 AWS 工具和的信息 SDKs,请参阅[构建工具 AWS](https://aws.amazon.com/developer/tools/)。 **Topics** + [按存储桶名称查找存储桶](#monitoring-s3-inventory-filter-api-example1) + [查找可公开访问的存储桶](#monitoring-s3-inventory-filter-api-example2) + [查找存储未加密对象的存储桶](#monitoring-s3-inventory-filter-api-example3) + [查找将数据复制到外部账户的存储桶](#monitoring-s3-inventory-filter-api-example5) + [查找未受敏感数据发现任务监控的存储桶](#monitoring-s3-inventory-filter-api-example4) + [查找不受自动敏感数据发现监控的存储桶](#monitoring-s3-inventory-filter-api-example-asdd) + [根据多个条件查找存储桶](#monitoring-s3-inventory-filter-api-example6) 这些示例使用 [describe-buckets](https://docs.aws.amazon.com/cli/latest/reference/macie2/describe-buckets.html) 命令。如果命令成功运行,Macie 将返回一个 `buckets` 数组。该数组包含当前存储桶中 AWS 区域 且符合筛选条件的每个存储桶的对象。有关此输出的示例,请展开以下部分。 ### `buckets` 数组示例 在此示例中,`buckets` 数组提供了与查询中指定的筛选条件相匹配的两个存储桶的详细信息。 ``` { "buckets": [ { "accountId": "123456789012", "allowsUnencryptedObjectUploads": "FALSE", "automatedDiscoveryMonitoringStatus": "MONITORED", "bucketArn": "arn:aws:s3:::amzn-s3-demo-bucket1", "bucketCreatedAt": "2020-05-18T19:54:00+00:00", "bucketName": "amzn-s3-demo-bucket1", "classifiableObjectCount": 13, "classifiableSizeInBytes": 1592088, "jobDetails": { "isDefinedInJob": "TRUE", "isMonitoredByJob": "TRUE", "lastJobId": "08c81dc4a2f3377fae45c9ddaexample", "lastJobRunTime": "2024-05-26T14:55:30.270000+00:00" }, "lastAutomatedDiscoveryTime": "2024-06-07T19:11:25.364000+00:00", "lastUpdated": "2024-06-12T07:33:06.337000+00:00", "objectCount": 13, "objectCountByEncryptionType": { "customerManaged": 0, "kmsManaged": 2, "s3Managed": 7, "unencrypted": 4, "unknown": 0 }, "publicAccess": { "effectivePermission": "NOT_PUBLIC", "permissionConfiguration": { "accountLevelPermissions": { "blockPublicAccess": { "blockPublicAcls": true, "blockPublicPolicy": true, "ignorePublicAcls": true, "restrictPublicBuckets": true } }, "bucketLevelPermissions": { "accessControlList": { "allowsPublicReadAccess": false, "allowsPublicWriteAccess": false }, "blockPublicAccess": { "blockPublicAcls": true, "blockPublicPolicy": true, "ignorePublicAcls": true, "restrictPublicBuckets": true }, "bucketPolicy": { "allowsPublicReadAccess": false, "allowsPublicWriteAccess": false } } } }, "region": "us-east-1", "replicationDetails": { "replicated": false, "replicatedExternally": false, "replicationAccounts": [] }, "sensitivityScore": 78, "serverSideEncryption": { "kmsMasterKeyId": null, "type": "NONE" }, "sharedAccess": "NOT_SHARED", "sizeInBytes": 4549746, "sizeInBytesCompressed": 0, "tags": [ { "key": "Division", "value": "HR" }, { "key": "Team", "value": "Recruiting" } ], "unclassifiableObjectCount": { "fileType": 0, "storageClass": 0, "total": 0 }, "unclassifiableObjectSizeInBytes": { "fileType": 0, "storageClass": 0, "total": 0 }, "versioning": true }, { "accountId": "123456789012", "allowsUnencryptedObjectUploads": "TRUE", "automatedDiscoveryMonitoringStatus": "MONITORED", "bucketArn": "arn:aws:s3:::amzn-s3-demo-bucket2", "bucketCreatedAt": "2020-11-25T18:24:38+00:00", "bucketName": "amzn-s3-demo-bucket2", "classifiableObjectCount": 8, "classifiableSizeInBytes": 133810, "jobDetails": { "isDefinedInJob": "TRUE", "isMonitoredByJob": "FALSE", "lastJobId": "188d4f6044d621771ef7d65f2example", "lastJobRunTime": "2024-04-09T19:37:11.511000+00:00" }, "lastAutomatedDiscoveryTime": "2024-06-07T19:11:25.364000+00:00", "lastUpdated": "2024-06-12T07:33:06.337000+00:00", "objectCount": 8, "objectCountByEncryptionType": { "customerManaged": 0, "kmsManaged": 0, "s3Managed": 8, "unencrypted": 0, "unknown": 0 }, "publicAccess": { "effectivePermission": "NOT_PUBLIC", "permissionConfiguration": { "accountLevelPermissions": { "blockPublicAccess": { "blockPublicAcls": true, "blockPublicPolicy": true, "ignorePublicAcls": true, "restrictPublicBuckets": true } }, "bucketLevelPermissions": { "accessControlList": { "allowsPublicReadAccess": false, "allowsPublicWriteAccess": false }, "blockPublicAccess": { "blockPublicAcls": true, "blockPublicPolicy": true, "ignorePublicAcls": true, "restrictPublicBuckets": true }, "bucketPolicy": { "allowsPublicReadAccess": false, "allowsPublicWriteAccess": false } } } }, "region": "us-east-1", "replicationDetails": { "replicated": false, "replicatedExternally": false, "replicationAccounts": [] }, "sensitivityScore": 95, "serverSideEncryption": { "kmsMasterKeyId": null, "type": "AES256" }, "sharedAccess": "EXTERNAL", "sizeInBytes": 175978, "sizeInBytesCompressed": 0, "tags": [ { "key": "Division", "value": "HR" }, { "key": "Team", "value": "Recruiting" } ], "unclassifiableObjectCount": { "fileType": 3, "storageClass": 0, "total": 3 }, "unclassifiableObjectSizeInBytes": { "fileType": 2999826, "storageClass": 0, "total": 2999826 }, "versioning": true } ] } ``` 如果没有符合筛选标准的存储桶,Macie 将返回一个空的 `buckets` 数组。 ``` { "buckets": [] } ``` ### 示例:按存储桶名称查找存储桶 按存储桶名称查找存储桶 此示例查询当前存储桶的元数据,这些存储桶的名称以 *m AWS 区域 * y-S3 开头。 对于 Linux、macOS 或 Unix: ``` $ aws macie2 describe-buckets --criteria '{"bucketName":{"prefix":"my-S3"}}' ``` 对于 Microsoft Windows: ``` C:\> aws macie2 describe-buckets --criteria={\"bucketName\":{\"prefix\":\"my-S3\"}} ``` 其中: + *bucketName*指定**存储桶名称字段的 JSON 名称**。 + *prefix*指定前*缀*运算符。 + *my-S3*是 “**存储桶名称**” 字段的值。 ### 示例:查找可公开访问的存储桶 查找可公开访问的存储桶 此示例查询当前存储桶的元数据,这些存储桶处于当前状态, AWS 区域 并且基于权限设置的组合,可以公开访问。 对于 Linux、macOS 或 Unix: ``` $ aws macie2 describe-buckets --criteria '{"publicAccess.effectivePermission":{"eq":["PUBLIC"]}}' ``` 对于 Microsoft Windows: ``` C:\> aws macie2 describe-buckets --criteria={\"publicAccess.effectivePermission\":{\"eq\":[\"PUBLIC\"]}} ``` 其中: + *publicAccess.effectivePermission*指定**有效权限**字段的 JSON 名称。 + *eq* 指定 *等于* 运算符。 + *PUBLIC*是 “**有效权限**” 字段的枚举值。 ### 示例:查找存储未加密对象的存储桶 查找存储未加密对象的存储桶 此示例查询当前存储桶的元数据 AWS 区域 并存储未加密的对象。 对于 Linux、macOS 或 Unix: ``` $ aws macie2 describe-buckets --criteria '{"objectCountByEncryptionType.unencrypted":{"gte":1}}' ``` 对于 Microsoft Windows: ``` C:\> aws macie2 describe-buckets --criteria={\"objectCountByEncryptionType.unencrypted\":{\"gte\":1}} ``` 其中: + *objectCountByEncryptionType.unencrypted*指定 “**不加密**” 字段的 JSON 名称。 + *gte*指定*大于或等于*运算符。 + *1*是 “**不加密**” 字段在包含的相对数值范围内的最低值。 ### 示例:查找将数据复制到外部账户的存储桶 查找将数据复制到外部账户的存储桶 此示例查询当前存储桶的元数据 AWS 区域 ,这些存储桶配置为将对象复制到不 AWS 账户 属于您的组织的存储桶。 对于 Linux、macOS 或 Unix: ``` $ aws macie2 describe-buckets --criteria '{"replicationDetails.replicatedExternally":{"eq":["true"]}}' ``` 对于 Microsoft Windows: ``` C:\> aws macie2 describe-buckets --criteria={\"replicationDetails.replicatedExternally\":{\"eq\":[\"true\"]}} ``` 其中: + *replicationDetails.replicatedExternally*指定 “**外部复制**” 字段的 JSON 名称。 + *eq* 指定 *等于* 运算符。 + *true*为 “**外部复制**” 字段指定布尔值。 ### 示例:查找未受敏感数据发现任务监控的存储桶 查找未受敏感数据发现任务监控的存储桶 此示例查询当前存储桶的元数据,这些存储桶处于当前状态 AWS 区域 且与任何定期敏感数据发现任务无关。 对于 Linux、macOS 或 Unix: ``` $ aws macie2 describe-buckets --criteria '{"jobDetails.isMonitoredByJob":{"eq":["FALSE"]}}' ``` 对于 Microsoft Windows: ``` C:\> aws macie2 describe-buckets --criteria={\"jobDetails.isMonitoredByJob\":{\"eq\":[\"FALSE\"]}} ``` 其中: + *jobDetails.isMonitoredByJob*指定 “受任务**主动监控” 字段的 J** SON 名称。 + *eq* 指定 *等于* 运算符。 + *FALSE*是 “受**工作主动监控**” 字段的枚举值。 ### 示例:查找不受自动敏感数据发现监控的存储桶 查找不受自动敏感数据发现监控的存储桶 此示例查询当前存储桶的元数据,这些存储桶处于当前状态 AWS 区域 且不在自动敏感数据发现范围内。 对于 Linux、macOS 或 Unix: ``` $ aws macie2 describe-buckets --criteria '{"automatedDiscoveryMonitoringStatus":{"eq":["NOT_MONITORED"]}}' ``` 对于 Microsoft Windows: ``` C:\> aws macie2 describe-buckets --criteria={\"automatedDiscoveryMonitoringStatus\":{\"eq\":[\"NOT_MONITORED\"]}} ``` 其中: + *automatedDiscoveryMonitoringStatus*指定 “**由自动发现监控” 字段的** JSON 名称。 + *eq* 指定 *等于* 运算符。 + *NOT\$1MONITORED*是 “**由自动发现监控**” 字段的枚举值。 ### 示例:根据多个条件查找存储桶 根据多个条件查找存储桶 此示例查询当前 AWS 区域 存储桶的元数据,这些存储桶符合以下条件:可根据权限设置组合公开访问;存储未加密的对象;以及不与任何定期敏感数据发现任务相关联。 对于 Linux、macOS 或 Unix,使用反斜杠 (\$1) 行继续符来提高可读性: ``` $ aws macie2 describe-buckets \ --criteria '{"publicAccess.effectivePermission":{"eq":["PUBLIC"]},"objectCountByEncryptionType.unencrypted":{"gte":1},"jobDetails.isMonitoredByJob":{"eq":["FALSE"]}}' ``` 对于 Microsoft Windows,使用脱字符 (^) 行继续符来提高可读性: ``` C:\> aws macie2 describe-buckets ^ --criteria={\"publicAccess.effectivePermission\":{\"eq\":[\"PUBLIC\"]},\"objectCountByEncryptionType.unencrypted\":{\"gte\":1},\"jobDetails.isMonitoredByJob\":{\"eq\":[\"FALSE\"]}} ``` 其中: + *publicAccess.effectivePermission*指定**有效权限**字段的 JSON 名称,以及: + *eq* 指定 *等于* 运算符。 + *PUBLIC*是 “**有效权限**” 字段的枚举值。 + *objectCountByEncryptionType.unencrypted*指定 “**不加密**” 字段的 JSON 名称,以及: + *gte*指定*大于或等于*运算符。 + *1*是 “**不加密**” 字段在包含的相对数值范围内的最低值。 + *jobDetails.isMonitoredByJob*指定 “受任务**主动监控” 字段的 J** SON 名称,以及: + *eq* 指定 *等于* 运算符。 + *FALSE*是 “受**工作主动监控**” 字段的枚举值。