本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 Macie 监控数据安全和隐私
<a name="monitoring-s3"></a>

当你为你启用 Amazon Macie 时 AWS 账户，Macie 会自动生成并开始维护当前的亚马逊简单存储服务 (Amazon S3) Storage Service 通用存储桶的清单。 AWS 区域 Macie 还开始评测和监控这些存储桶以确保安全性和进行访问控制。如果 Macie 检测到降低存储桶安全性或隐私的事件，Macie 会创建一个[策略调查发现](findings-types.md#findings-policy-types)供您查看并在必要时进行补救。

要同时评测和监控 S3 存储桶中是否存在敏感数据，您可以创建和运行敏感数据发现任务。敏感数据发现任务可以每天、每周或每月对存储桶对象执行增量分析。如果 Macie 在 S3 对象中检测到敏感数据，Macie 会创建一个[敏感数据调查发现](findings-types.md#findings-sensitive-data-types)来通知您找到敏感数据。根据您的账户设置，您还可以将 Macie 配置为执行自动敏感数据发现。自动敏感数据发现使用采样技术持续识别、选择和分析存储桶中的代表性对象。有关这两个选项的更多信息，请参阅 [发现敏感数据](data-classification.md)。

Macie 还能持续监控您的 Amazon S3 数据的安全性和隐私。要评测您的数据的安全状况并确定在何处采取行动，您可以使用控制台上的**摘要**仪表板。控制面板提供您的 Amazon S3 数据的汇总统计数据的快照。统计数据包括关键安全指标的数据，例如可公开访问或与其他 AWS 账户共享的通用存储桶的数量。控制面板还会显示您账户的汇总调查发现数据组，例如，在过去 7 天内发现次数最多的 1-5 个存储桶的名称。您可以深入研究每个统计数据以查看其支持数据。要以编程方式查询统计数据，请使用亚马逊 Macie API 的[GetBucketStatistics](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3-statistics.html)操作。

为了进行更深入的分析和评测，Macie 提供了清单中各个 S3 存储桶的详细信息和统计数据。这包括每个存储桶的公共访问和加密设置的明细，以及 Macie 可以分析以检测存储桶中敏感数据的对象的大小和数量。清单还会显示您配置了敏感数据发现作业还是配置了自动敏感数据发现来分析存储桶中的对象。如果有，它会显示最近进行该分析的时间。您可以使用亚马逊 Macie 控制台或亚马逊 Macie API 的[DescribeBuckets](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3.html)操作来浏览、排序和筛选库存。

如果您是组织的 Macie 管理员，则可以访问有关您的成员账户拥有的 S3 存储桶的统计数据和其他数据。您还可以访问 Macie 为存储桶生成的策略调查发现，并检查存储桶中是否有敏感数据。这意味着您可以使用 Macie 来评测和监控贵组织的 Amazon S3 数据资产的整体安全状况。有关更多信息，请参阅 [管理多个账户](macie-accounts.md)。

**Topics**
+ [Macie 如何监控 Amazon S3 数据安全性](monitoring-s3-how-it-works.md)
+ [使用 Macie 评测您的 Amazon S3 安全状况](monitoring-s3-dashboard.md)
+ [使用 Macie 分析您的 Amazon S3 安全状况](monitoring-s3-inventory.md)
+ [允许 Macie 访问 S3 存储桶和对象](monitoring-restrictive-s3-buckets.md)

# Macie 如何监控 Amazon S3 数据安全性
<a name="monitoring-s3-how-it-works"></a>

当你为你的账户启用 Amazon Macie 时 AWS 账户，Macie 会为你的账户创建一个 AWS Identity and Access Management (IAM) [服务相关角色](service-linked-roles.md)。 AWS 区域此角色的权限策略允许 Macie 代表您呼叫其他人 AWS 服务 并监控 AWS 资源。通过使用此角色，Macie 会生成并维护您在该地区的亚马逊简单存储服务 (Amazon S3) Simple Storage Service 通用存储桶的清单。Macie 还监控和评测这些存储桶以确保安全性和进行访问控制。

如果您是组织的 Macie 管理员，则清单中包含您账户和您组织中成员账户的 S3 存储桶的统计信息和其他数据。利用这些数据，您可以使用 Macie 来监控和评测您的组织在 Amazon S3 数据资产中的安全状况。有关更多信息，请参阅 [管理多个账户](macie-accounts.md)。

**Topics**
+ [关键组件](#monitoring-s3-how-it-works-components)
+ [数据刷新](#monitoring-s3-how-it-works-data-refresh)
+ [注意事项](#monitoring-s3-how-it-works-considerations)

## 关键组件
<a name="monitoring-s3-how-it-works-components"></a>

Amazon Macie 使用多种功能和技术来提供和维护您的 S3 通用存储桶的库存数据，并监控和评估存储桶的安全和访问控制。

**收集元数据和计算统计信息**  
为了生成和维护您的存储桶清单的元数据和统计信息，Macie 会直接从 Amazon S3 检索存储桶和对象元数据。对于每个存储桶，元数据包括：  
+ 有关存储桶的一般信息，例如存储桶的名称、Amazon 资源名称 (ARN)、创建日期、加密设置、标签以及拥有 AWS 账户 该存储桶的账户 ID。
+ 适用于存储桶的账户级别权限设置，例如账户的阻止公有访问设置。
+ 存储桶的存储桶级别权限设置，例如存储桶的阻止公有访问设置以及源自存储桶策略或访问控制列表（ACL）的设置。
+ 存储分区的共享访问权限和复制设置，包括存储桶数据是复制到不属于您的组织的 AWS 账户 ，还是与之共享。
+ 存储桶中对象的对象计数和设置，例如存储桶中对象的数量以及按加密类型、文件类型和存储类划分的对象计数明细。
Macie 直接向您提供这些信息。Macie 还使用这些信息来计算统计数据，并对您的存储桶清单以及库存中各个存储桶的安全性和隐私性进行评估。例如，您可以找到清单中的总存储大小和存储桶数量、这些存储桶中的总存储大小和对象数量，以及 Macie 可以分析以检测存储桶中的敏感数据的总存储大小和对象数量。  
默认情况下，元数据和统计信息包括由于分段上传不完整而存在的任何对象分段的数据。如果您手动刷新特定存储桶的对象元数据，Macie 会重新计算该存储桶和您的存储桶清单的总体统计信息，并从重新计算的值中排除对象分段的数据。下次 Macie 在每日刷新周期中从 Amazon S3 检索存储桶和对象元数据时，Macie 会更新您的清单数据并再次包含对象分段的数据。有关 Macie 何时检索存储桶和对象元数据的信息，请参阅[数据刷新](#monitoring-s3-how-it-works-data-refresh)。  
请注意，Macie 无法通过分析对象分段检测敏感数据。Amazon S3 必须先将分段重组成一个或多个对象，让 Macie 进行分析。有关分段上传和对象分段的信息，包括如何根据生命周期规则自动删除分段，请参阅 *Amazon Simple Storage Service 用户指南*中的[使用分段上传来上传和复制对象](https://docs.aws.amazon.com/AmazonS3/latest/userguide/mpuoverview.html)。要识别包含对象分段的存储桶，您可以参考 Amazon S3 Storage Lens 存储统计管理工具中的*未完成分段上传*。有关更多信息，请参阅 *Amazon Simple Storage Service 用户指南*中的[评测您的存储活动和使用情况](https://docs.aws.amazon.com/AmazonS3/latest/userguide/storage_lens.html)。

**监控存储桶的安全性和隐私性**  
为了帮助确保清单中存储桶级数据的准确性，Macie 会监控和分析 Amazon S3 数据可能发生的某些 [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) 事件。如果发生相关事件，Macie 会更新相应的清单数据。  
例如，如果您为存储桶启用阻止公有访问设置，Macie 会更新有关该存储桶公有访问设置的所有数据。同样，如果您为存储桶添加或更新存储桶策略，Macie 会分析该策略并更新清单中的相应数据。  
如果 Macie 确定某事件降低了存储桶的安全性或隐私性，Macie 还会创建一份[政策调查结果](findings-types.md#findings-policy-types)供您查看并在必要时进行补救。  
Macie 监控和分析以下 CloudTrail 事件的数据：  
+ **账户级别的事件 — 以及** DeletePublicAccessBlock PutPublicAccessBlock
+ **存储桶级别的事件** — CreateBucket、、、 DeleteAccountPublicAccessBlock、 DeleteBucket、DeleteBucketEncryption、、 DeleteBucketPolicy、DeleteBucketPublicAccessBlock、 DeleteBucketReplication、、DeleteBucketTagging、 PutAccountPublicAccessBlock、 PutBucketAcl、PutBucketEncryption、、 PutBucketPolicy PutBucketPublicAccessBlock、和 PutBucketReplication PutBucketTagging PutBucketVersioning
您无法启用对其他 CloudTrail 事件的监控，也无法禁用对上述任何事件的监控。有关上述事件的相应操作的详细信息，请参阅 [Amazon Simple Storage Service API 参考](https://docs.aws.amazon.com/AmazonS3/latest/API/API_Operations_Amazon_Simple_Storage_Service.html)。  
要监控对象级事件，我们建议您使用亚马逊的 Amazon S3 保护功能。 GuardDuty此功能监控对象级的 Amazon S3 数据事件，并分析它们是否存在恶意和可疑活动。有关更多信息，请参阅 [GuardDuty Ama *zon GuardDuty 用户指南*中的 S3 保护](https://docs.aws.amazon.com/guardduty/latest/ug/s3-protection.html)。

**评测存储桶的安全性和访问控制**  
为了评测存储桶级别的安全性和访问控制，Macie 使用基于逻辑的自动推理来分析适用于存储桶的基于资源的策略。Macie 还会分析适用于存储桶的账户和存储桶级别的权限设置。此分析考虑了账户和存储桶的存储桶策略 ACLs、存储桶级别和封禁公共访问设置。  
对于基于资源的策略，Macie 使用 [Zelkova](https://aws.amazon.com/blogs/security/protect-sensitive-data-in-the-cloud-with-automated-reasoning-zelkova/)。Zelkova 是一个自动推理引擎，它将 AWS Identity and Access Management （IAM）策略转换为逻辑语句，并针对决策问题运行一套通用和专业的逻辑求解器（可*满足性模数理*论）。要详细了解 Zelkova 使用的求解器的性质，请参阅[可满足模理论](https://people.eecs.berkeley.edu/~sseshia/pubdir/SMT-BookChapter.pdf)。  
Macie 反复将 Zelkova 应用于基于资源的策略，使用越来越具体的查询来描述该策略允许的行为类别。该分析旨在识别您的 Amazon S3 数据的潜在安全风险并最大限度地减少误报。它不包括定义组织资源最大可用权限的 AWS Organizations 授权策略，例如服务控制策略 (SCPs) 或资源控制策略 (RCPs)。它也不包括关联的关键策略 AWS KMS keys。例如，如果存储桶策略使用 [s3: x-amz-server-side-encryption-aws-kms-key-id](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-policy-keys) 条件键来限制对存储桶的写入权限，则 Macie 不会分析指定密钥的密钥策略。这意味着 Macie 可能会报告该存储桶是可公开访问的，具体取决于存储桶策略的其他组成部分以及适用于该存储段的 Amazon S3 权限设置。  
此外，当 Macie 评测存储桶的安全性和隐私性时，它不会检查访问日志，也不会分析账户的用户、角色和其他相关配置。相反，Macie 会分析和报告指明*潜在*安全风险的关键设置数据。例如，如果一个策略调查发现指明存储桶可公开访问，则不一定意味着外部实体访问了该存储桶。同样，如果政策调查结果表明存储桶与组织 AWS 账户 外部人员共享，则 Macie 不会尝试确定这种访问是否有意且安全。相反，这些调查发现指明外部实体可能会访问存储桶的数据，这可能会带来意想不到的安全风险。  
如果 Macie 报告外部实体可能访问 S3 存储桶，我们建议您查看存储桶的策略和设置，以确定这种访问是否有意且安全。如果适用，还要查看相关资源的策略和设置 AWS KMS keys，例如您的组织的 AWS Organizations 授权策略。

**重要**  
要执行上述任务，存储桶必须是 S3 通用存储桶。Macie 不监控或分析 S3 目录存储桶。  
此外，必须允许 Macie 访问该存储桶。如果存储桶的权限设置阻止 Macie 检索该存储桶或存储桶对象的元数据，Macie 只能提供有关该存储桶的信息子集，例如存储桶的名称和创建日期。Macie 无法为存储桶执行任何其他任务。有关更多信息，请参阅 [允许 Macie 访问 S3 存储桶和对象](monitoring-restrictive-s3-buckets.md)。  
对于一个账户，Macie 最多可以为 10,000 个存储桶执行上述任务。如果您在 Amazon S3 中存储的存储桶超过 10,000 个，则 Macie 仅对最近创建或更改的 10,000 个存储桶执行这些任务。对于所有其他存储桶，Macie 不会维护完整的库存数据、评估或监控存储桶数据的安全性和隐私性，也不会生成政策调查结果。相反，Macie 仅提供有关存储桶的部分信息。

## 数据刷新
<a name="monitoring-s3-how-it-works-data-refresh"></a>

当你为你的启用 Amazon Macie 时 AWS 账户，Macie 会直接从亚马逊 S3 检索你的 S3 通用存储桶和对象的元数据。此后，作为每日刷新周期的一部分，Macie 每天自动直接从 Amazon S3 检索存储桶和对象元数据。

在出现以下任一情况时，Macie 还会直接从 Amazon S3 检索桶元数据：
+ Macie 检测到相关 AWS CloudTrail 事件。
+ 您可以通过在 Amazon Macie 控制台上选择刷新 (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/btn-refresh-data.png)) 来刷新您的清单数据。根据数据资产的大小，您可以每五分钟刷新一次数据。
+ 您以编程方式向 Amazon Macie API 提交[DescribeBuckets](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3.html)请求，Macie 已完成对之前任何请求的处理。**DescribeBuckets**

如果您选择手动刷新特定存储桶的最新对象元数据，Macie 还可以检索该数据。如果您最近创建了存储桶或在过去 24 小时内对存储桶的对象进行了重大更改，这会很有帮助。要手动刷新存储桶的对象元数据，请在控制台的 **S3 存储桶**页面的[存储桶详细信息面板](monitoring-s3-inventory-review.md#monitoring-s3-inventory-view-details)的**对象统计信息**部分中选择刷新 (![\[The refresh button, which is a button that displays an empty, dark gray circle with an arrow.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/btn-refresh-object-data.png))。此功能适用于所存储对象数量小于等于 30000 的存储桶。

要确定 Macie 最近检索您账户的存储桶或对象元数据的时间，您可以参考控制台上的**上次更新时间**字段。此字段显示在**摘要**控制面板和 **S3 存储桶**页面上，以及 **S3 存储桶**页面上的[存储桶详细信息面板](monitoring-s3-inventory-review.md#monitoring-s3-inventory-view-details)中。如果您使用 Amazon Macie API 查询库存数据，则该`lastUpdated`字段会提供这些信息。如果您是组织的 Macie 管理员，则该字段指示 Macie 检索组织中某个账户数据的最早日期和时间。

每次 Macie 检索存储桶或对象元数据时，Macie 都会自动更新清单中的相应数据。如果 Macie 检测到影响存储桶安全性或隐私性的差异，则 Macie 会立即开始评测和分析这些更改。分析完成后，Macie 会更新库存中的相应数据。如果任何差异降低了存储桶的安全性或隐私性，则 Macie 还会创建适当的[策略调查发现](findings-types.md#findings-policy-types)供您在必要时进行查看和补救。Macie 会为您的账户执行多达 10,000 个存储桶。如果您的存储桶超过 10,000 个，Macie 会对最近创建或更改的 10,000 个存储分区执行此操作。如果您是组织的 Macie 管理员，则此配额适用于您组织中的每个账户，而不是整个组织的账户。

在极少数情况下，在某些条件下，延迟和其他问题可能会阻止 Macie 检索存储桶和对象元数据。它们还可能延迟 Macie 收到的有关您的存储桶清单变更或各个存储桶的权限设置和策略的通知。例如， CloudTrail 事件的交付问题可能会导致延迟。如果发生此情况，Macie 会在下次执行每日刷新时（24 小时内）分析新数据和更新后的数据。

## 注意事项
<a name="monitoring-s3-how-it-works-considerations"></a>

在使用 Amazon Macie 监控和评测 Amazon S3 数据的安全状况时，请记住以下几点：
+ 清单数据仅适用于当前 AWS 区域中的 S3 通用存储桶。要访问其他区域的数据，请在每个其他区域中启用 Macie 并使用它。
+ 如果您是组织的 Macie 管理员，则只有在当前区域为成员账户启用了 Macie 后，您才能访问该账户的清单数据。
+ Macie 可以为一个账户提供不超过 10,000 个存储桶的完整库存数据。此外，Macie 可以评估和监控一个账户不超过 10,000 个存储桶的安全性和隐私性。如果您的账户超过此配额，Macie 会评估、监控并提供有关最近创建或更改的 10,000 个存储桶的详细信息。对于所有其他存储桶，Macie 仅提供有关存储桶的部分信息。

  如果您的账户接近该配额，我们会通过为您的账户创建 AWS Health 活动来通知您。我们还会向与您的账户关联的地址发送电子邮件。如果您的账户超过配额，我们会再次通知您。如果您是 Macie 管理员，则此配额适用于您组织中的每个账户，而不是整个组织的账户。
+ 如果存储桶的权限设置阻止 Macie 检索有关该存储桶或存储桶对象的信息，则 Macie 无法评测和监控该存储桶数据的安全性和隐私性，也无法提供有关该存储桶的详细信息。为了帮助您识别属于这种情况的存储桶，Macie 会执行以下操作：
  + 在控制台上的存储桶清单中，Macie 会显示该存储桶的警告图标 (![\[The warning icon, which is a red triangle that has an exclamation point in it.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-warning-red.png))。
  + 有关存储桶的详细信息，Macie 仅提供部分字段的数据：拥有 AWS 账户 该存储桶的账户 ID；存储桶的名称、Amazon 资源名称 (ARN)、创建日期和区域；以及 Macie 最近一次在每日刷新周期中检索存储桶和对象元数据的日期和时间。如果您使用 Amazon Macie API 以编程方式查询库存数据，Macie 还会为存储桶提供错误代码和消息。
  + **在控制台的 Summary 控制面板中，**公共访问**、**加密**和**共享**统计数据的存储桶值为 “**未知**”。**此外，Macie 在计算**存储**和**对象**统计信息的数据时会排除存储桶。
  + 如果您使用[GetBucketStatistics](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3-statistics.html)操作以编程方式查询聚合统计数据，则许多统计数据的存储桶值为，而 Macie 在计算对象计数和存储大小值时会排除该存储桶。`unknown`

  要调查该问题，请在 Amazon S3 中查看存储桶的策略和权限设置。例如，存储桶可能具有限制性的存储桶策略。有关更多信息，请参阅 [允许 Macie 访问 S3 存储桶和对象](monitoring-restrictive-s3-buckets.md)。
+ 有关访问和权限的数据仅限于账户和存储桶级别的设置。它不反映确定对存储桶中特定对象的访问的对象级别设置。例如，如果为存储桶中的特定对象启用了公有访问权限，则 Macie 不会报告该存储桶或该存储桶的对象可公开访问。

  要监控对象级操作并识别潜在的安全风险，我们建议您使用 Amazon 的 Amazon S3 保护功能。 GuardDuty此功能监控对象级的 Amazon S3 数据事件，并分析它们是否存在恶意和可疑活动。有关更多信息，请参阅 [GuardDuty Ama *zon GuardDuty 用户指南*中的 S3 保护](https://docs.aws.amazon.com/guardduty/latest/ug/s3-protection.html)。
+ 如果您手动刷新特定存储桶的对象元数据：
  + Macie 会临时报告 “*未知*”，以获取适用于对象的加密统计信息。下次 Macie 执行每日数据刷新时（24 小时内），Macie 会重新评测对象的加密元数据，并再次报告统计信息的定量数据。
  + 由于分段上传不完整，Macie 会暂时排除存储桶包含的任何对象部分的数据。下次 Macie 执行每日数据刷新时（24 小时内），Macie 会重新计算存储桶对象的数量值和存储大小值，并在这些计算中包括各部分的数据。
+ 在某些情况下，Macie 可能无法确定存储桶是可公开访问还是共享，或者需要对新对象进行服务器端加密。例如，配额或临时问题可能会阻止 Macie 检索和分析必需的数据。或者 Macie 可能无法完全确定一个或多个策略语句是否授予对外部实体的访问权限。在这些情况下，Macie 会将存储桶清单中的相关统计数据和字段报告为 “*未知*”。要调查这些情况，请检查 Amazon S3 中存储桶的策略和权限设置。

另请注意，只有在您为账户启用 Macie 后，存储桶的安全性或隐私性降低时，Macie 才会生成策略调查发现。例如，如果您在启用 Macie 后禁用存储桶的阻止公开访问设置，Macie 会为该存储桶生成一个 Pol **icy: IAMUser /S3 BlockPublicAccessDisabled** 查找结果。但是，如果您在启用 Macie 时禁用了存储桶的封禁公共访问设置，但这些设置继续处于禁用状态，则 Macie 不会为该存储桶生成**策略：IAMUser/S3 BlockPublicAccessDisabled** 查找结果。

# 使用 Macie 评测您的 Amazon S3 安全状况
<a name="monitoring-s3-dashboard"></a>

要评测您的 Amazon Simple Storage Service (Amazon S3) 数据的整体安全状况并确定在何处采取行动，您可以使用 Amazon Macie 控制台上的**摘要**控制面板。

**摘要**控制面板在当前 AWS 区域中提供您的 Amazon S3 数据的汇总统计信息的快照。统计数据包括关键安全指标的数据，例如可公开访问或与其他 AWS 账户共享的通用存储桶的数量。该控制面板还会显示关于您账户的几组调查发现汇总数据 — 例如，过去七天内出现次数最多的调查发现类型。如果您是组织的 Macie 管理员，则控制面板会提供组织中所有账户的汇总统计结果和数据。您可选择按账户筛选数据。

要进行更深入的分析，可以在控制面板上深入挖掘并查看各个项目的支持数据。您还可以使用 Amazon Macie 控制台[查看和分析您的 S3 存储桶清单](monitoring-s3-inventory.md)，或者使用 Amazon Macie API 的[DescribeBuckets](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3.html)操作以编程方式查询和分析库存数据。

**Topics**
+ [显示控制面板](#monitoring-s3-dashboard-view)
+ [了解控制面板组件](#monitoring-s3-dashboard-components-main)
+ [了解控制面板上的数据安全性统计信息](#monitoring-s3-dashboard-statistics-s3)

## 显示“摘要”控制面板
<a name="monitoring-s3-dashboard-view"></a>

在 Amazon Macie 控制台上，**摘要**控制面板在当前 AWS 区域中针对您的 Amazon S3 数据提供汇总统计信息和调查发现数据的快照。如果您更喜欢以编程方式查询统计数据，则可以使用 Amazon Macie API 的[GetBucketStatistics](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3-statistics.html)操作。

**要显示“摘要”控制面板**

1. 打开亚马逊 Macie 主机，网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. 在导航窗格中，选择**摘要**。Macie 会显示**摘要**控制面板。

1. 要确定 Macie 最近何时从 Amazon S3 为您的账户检索存储桶或对象元数据，请参阅控制面板顶部的**上次更新时间**字段。有关更多信息，请参阅 [数据刷新](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh)。

1. 要在控制面板上深入查看某一项的支持数据，请选择该项。

如果您是组织的 Macie 管理员，则控制面板会显示组织中您的账户和成员账户的汇总统计结果和数据。要对控制面板应用筛选条件，以仅显示特定账户的数据，请在控制面板上方的**账户**框中输入账户 ID。

## 了解“摘要”控制面板的组件
<a name="monitoring-s3-dashboard-components-main"></a>

在**摘要**控制面板上，统计信息和数据分为几个部分。在控制面板的顶部，您将找到汇总的统计信息，这些统计信息指明您在 Amazon S3 中存储了多少数据，以及 Amazon Macie 可以分析多少这类数据以检测敏感数据。您还可以参考**上次更新时间**字段来确定 Macie 最近从 Amazon S3 为您的账户检索存储桶或对象元数据的时间。其他部分提供了统计信息和最新调查发现数据，它们可帮助您评测当前 AWS 区域中您的 Amazon S3 数据的安全性、隐私性和敏感性。

统计信息和数据分为以下几个部分：

[存储和敏感数据发现](#monitoring-s3-dashboard-storage-statistics) \$1 [自动发现和覆盖率问题](#monitoring-s3-dashboard-asdd-statistics) \$1 [数据安全性](#monitoring-s3-dashboard-security-statistics) \$1 [最常见的 S3 存储桶](#monitoring-s3-dashboard-top-buckets-statistics) \$1 [最常见的调查发现类型](#monitoring-s3-dashboard-top-findings-statistics) \$1 [策略调查发现](#monitoring-s3-dashboard-policy-finding-statistics)

在查看每个部分时，可以选择一个项目进行深入研究并查看支持数据。另请注意，控制面板不包含 S3 目录存储桶的数据，仅包含通用存储桶的数据。Macie 不监控或分析目录存储桶。<a name="monitoring-s3-dashboard-storage-statistics"></a>

**存储和敏感数据发现**  
控制面板顶部的统计信息会指明您在 Amazon S3 中存储了多少数据，以及 Macie 可以分析多少这类数据来检测敏感数据。下图显示了一个拥有七个账户的组织的这些统计数据示例。  

![\[控制面板的存储和敏感数据发现部分。每个字段都包含示例数据。\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/scrn-summary-dashboard-storage.png)

本部分的单独统计信息：  
+ **账户总数** – 如果您是组织的 Macie 管理员或拥有独立的 Macie 账户，则会显示此字段。它表示您的存储桶清单 AWS 账户 中自有存储桶的总数。如果您是 Macie 管理员，这是您为组织管理的 Macie 账户总数。如果您有一个独立的 Macie 账户，则该值为 *1*。

  **S3 存储桶总数**：如果您在组织中拥有成员账户，则会显示此字段。它表示您的清单中的通用存储桶总数，包括不存储任何对象的存储桶。
+ **存储**：这些统计信息提供有关存储桶清单中对象的存储大小的信息：
  + **可分类** – Macie 可在存储桶中分析的所有对象的总存储大小。
  + **总计** – 存储桶中所有对象的总存储大小，包括 Macie 无法分析的对象。

  如果任何对象为压缩文件，则这些值不反映这些文件解压缩后的实际大小。如果对任何存储桶启用了版本控制，则这些值基于这些存储桶中每个对象最新版本的存储大小。
+ **对象**：这些统计信息提供有关存储桶清单中对象数量的信息：
  + **可分类** – Macie 可在存储桶中分析的对象的总数。
  + **总计** – 存储桶中所有对象的总数，包括 Macie 无法分析的对象。
在上述统计数据中，如果数据和对象使用所支持的 Amazon S3 存储类别，并且其文件扩展名表示支持的文件或存储格式，则数据和对象属于*可分类*。您可以通过使用 Macie 检测对象中的敏感数据。有关更多信息，请参阅 [支持的存储类别和格式](discovery-supported-storage.md)。  
请注意，**存储**和**对象**统计信息不包括 Macie 不允许 Macie 访问的、存储桶内对象的相关数据。例如，具有限制性存储桶策略的存储桶中的对象。要确定存在这种情况的存储桶，您可以通过使用 **S3 存储桶**表[查看存储桶清单](monitoring-s3-inventory-review.md)。如果存储桶名称旁边出现警告图标 (![\[The warning icon, which is a red triangle that has an exclamation point in it.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-warning-red.png))，则表示不允许 Macie 访问该存储桶。

** 自动发现****和****覆盖范围问题**  
如果启用了自动敏感数据发现，则这些部分将显示在控制面板上。它们采集 Macie 迄今为止为 Amazon S3 数据执行的、自动敏感数据发现活动的状态和结果。下图显示了这些部分提供的统计信息示例。  

![\[控制面板上的自动敏感数据发现统计信息。每项统计数据都包含示例数据。\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/scrn-summary-dashboard-sensitivity.png)

有关这些统计信息的详细信息，请参阅[在摘要控制面板上查看数据敏感度统计数据](discovery-asdd-results-s3-dashboard.md)。

**数据安全性**  
本部分提供的统计信息表明您的 Amazon S3 数据存在潜在的安全性和隐私性风险。下图为此部分统计信息的示例。  

![\[控制面板的数据安全性部分。它包含每部分统计信息的示例数据。\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/scrn-summary-dashboard-security.png)

有关这些统计信息的详细信息，请参阅[了解“摘要”控制面板上的数据安全统计信息](#monitoring-s3-dashboard-statistics-s3)。

**最常见的 S3 存储桶**  
本部分列出过去七天内生成了最多任意类型调查发现的 S3 存储桶，有多达五个存储桶。它还会指明 Macie 为每个存储桶创建的调查发现次数。下图显示了此部分提供的数据示例。  

![\[控制面板的最常见的 S3 存储桶部分。它包含五个 S3 存储桶的示例数据。\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/scrn-summary-dashboard-top-buckets.png)

要显示并选择深入了解过去七天内某个存储桶的所有调查发现，请在**调查发现总数**字段中选择该值。要显示所有存储桶的所有当前调查发现（按存储桶分组），请选择**按存储桶查看所有调查发现**。  
如果 Macie 在过去七天内未创建任何调查发现，则此部分为空。或者在过去七天内创建的所有调查发现均受[抑制规则](findings-suppression.md)抑制。

**最常见的调查发现类型**  
本部分列出过去七天内出现次数最多的[调查发现类型](findings-types.md)，有多达五种类型的调查发现。它还会指明 Macie 为每种类型创建的调查发现次数。下图显示了此部分提供的数据示例。  

![\[控制面板的最常见的调查发现类型部分。它包含五种调查发现的示例数据。\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/scrn-summary-dashboard-top-finding-types.png)

要显示并选择深入了解过去七天内特定类型的所有调查发现，请在**调查发现总数**字段中选择该值。要显示按调查发现类型分组的所有当前调查发现，请选择**按类型查看所有调查发现**。  
如果 Macie 在过去七天内未创建任何调查发现，则此部分为空。或者在过去七天内创建的所有调查发现均受[抑制规则](findings-suppression.md)抑制。

**策略调查发现**  
本部分列出 Macie 最近创建或更新的[策略调查发现](findings-types.md#findings-policy-types)，有多达十项调查发现。下图显示了此部分提供的数据示例。  

![\[控制面板的策略调查发现部分。它包含六种策略调查发现的示例数据。\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/scrn-summary-dashboard-recent-findings-policy.png)

要显示特定调查发现的详细信息，请选择该调查发现。  
如果 Macie 在过去七天内未创建或更新任何策略调查发现，则此部分为空。或者在过去七天内创建或更新的所有策略调查发现均受[抑制规则](findings-suppression.md)抑制。

## 了解“摘要”控制面板上的数据安全统计信息
<a name="monitoring-s3-dashboard-statistics-s3"></a>

**摘要**控制面板的**数据安全性**部分提供的统计信息可帮助您识别和调查您在当前 AWS 区域中的 Amazon S3 数据的潜在安全性和隐私性风险。例如，您可以使用这些数据来识别可公开访问或与其他 AWS 账户共享的通用存储桶。

如果禁用了自动敏感数据发现，则本节顶部的[存储和敏感数据发现统计](#monitoring-s3-dashboard-storage-statistics)数据会显示您在 Amazon S3 中存储了多少数据，以及 Amazon Macie 可以分析其中多少数据来检测敏感数据。其他统计信息分为三个区域，如下图中所示。

![\[控制面板的数据安全性部分。每个区域都包含示例数据。\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/scrn-summary-dashboard-security.png)


在查看每个区域时，可以选择一个项目进行深入研究并查看支持数据。另请注意，统计信息不包含 S3 目录存储桶的数据，仅包含通用存储桶的数据。Macie 不监控或分析目录存储桶。

每个区域中的单独统计信息如下。

**公有访问权限**  
这些统计信息指明有多少个 S3 存储桶可公开访问或不可公开访问：  
+ **可公开访问** - 允许公众对存储桶进行读或写访问的存储桶的数量和百分比。
+ **公开可写** - 允许公众对存储桶进行写访问的存储桶的数量和百分比。
+ **公开可读**：允许公众对存储桶进行读访问的存储桶的数量和百分比。
+ **不可公开访问** - 允许公众对存储桶进行读或写访问的存储桶的数量和百分比。
要计算每个百分比，Macie 会将适用存储桶的数量除以存储桶清单中的存储桶总数。  
为了确定此区域中的值，Macie 分析每个存储桶的账户级别和存储桶级别设置的组合：账户的阻止公有访问设置；存储桶的阻止公有访问设置；存储桶的存储桶策略；以及存储桶的访问控制列表（ACL）。有关这些设置的信息，请参阅《[亚马逊简单存储服务用户指南》中的[访问控制](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html)和阻止公众访问您的 Amazon S](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html) *3 存储*。  
在某些情况下，**公有访问**区域还会显示**未知**的值。如果出现这些值，则 Macie 无法评测指定数量和百分比的存储桶的公有访问设置。例如，由于临时问题或存储桶的权限设置，Macie 无法检索必要的数据。或者 Macie 无法完全确定一个或多个策略语句是否允许外部实体访问存储桶。对于超过预防性控制监控配额的存储桶，也可能出现这种情况。Macie 会评估和监控一个账户不超过 10,000 个存储桶的安全性和隐私性，这些存储桶是最近创建或更改的 10,000 个存储桶。

**加密**  
这些统计信息会指明有多少 S3 存储桶被配置为对添加到存储桶的对象应用某些类型的服务器端加密：  
+ **默认加密：SSE-S3**：默认加密设置被配置为使用 Amazon S3 托管式密钥加密新对象的存储桶的数量和百分比。对于这些存储桶，将自动使用 SSE-S3 加密对新对象进行加密。
+ **默认加密 — DSSE-KMS/SSE-KMS** — 默认加密设置配置为使用客户托管密钥或客户托管密钥加密新对象的存储桶的数量和百分比。 AWS KMS key AWS 托管式密钥 对于这些存储桶来说，将使用 DSSE-KMS 或 SSE-KMS 加密对新对象进行加密。
要计算每个百分比，Macie 会将适用存储桶的数量除以存储桶清单中的存储桶总数。  
为了确定此区域中的值，Macie 会分析每个存储桶的默认加密设置。从 2023 年 1 月 5 日开始，Amazon S3 自动应用服务器端加密，并使用 Amazon S3 托管式密钥 (SSE-S3) 作为添加到存储桶的对象的基本加密级别。您可以选择配置存储桶的默认加密设置，改为使用带密钥的服务器端加密 (SSE-KMS) 或使用 AWS KMS 密钥的双层服务器端加密 (DSSE-KM AWS KMS S)。有关默认加密设置和选项的信息，请参阅 *Amazon Simple Storage Service 用户指南*中的[为 S3 存储桶设置默认服务器端加密行为](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html)。  
在某些情况下，**加密**区域还会显示**未知**的值。如果出现这些值，则 Macie 无法评测指定数量和百分比的存储桶的默认加密设置。例如，由于临时问题或存储桶的权限设置，Macie 无法检索必要的数据。或者存储桶超过了预防性控制监控的配额。Macie 会评估和监控一个账户不超过 10,000 个存储桶的安全性和隐私性，这些存储桶是最近创建或更改的 10,000 个存储桶。

**共享**  
这些统计数据表明有多少 S3 存储桶与其他 AWS 账户、Amazon O CloudFront rigin 访问身份 (OAIs) 或源站访问控制 (OACs) 共享，或 CloudFront未共享：  
+ **外部共享** — 与以下一个或多个机构或任意组合共享存储桶的数量和百分比： CloudFront OAI、 CloudFront OAC 或不在同一组织中的账户。
+ **内部共享**：与同一组织中的一个或多个账户共享的存储桶的数量和百分比。这些存储桶不与 CloudFront OAIs 或OACs共享。
+ **未共享** — 未与其他账户共享的存储桶的数量和百分比 CloudFront OAIs，或CloudFront OACs。
要计算每个百分比，Macie 会将适用存储桶的数量除以存储桶清单中的存储桶总数。  
为了确定是否与其他人共享存储桶 AWS 账户，Macie 会分析每个存储桶的存储桶策略和 ACL。此外，*组织*被定义为一组 Macie 账户，这些账户通过 AWS Organizations 或受 Macie 邀请作为一组相关账户进行集中管理。有关用于共享存储桶的 Amazon S3 选项的信息，请参阅《*亚马逊简单存储服务用户指南》*中的[访问控制](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html)。  
在某些情况下，Macie 可能会错误地报告存储桶与不在同 AWS 账户 一个组织中的用户共享。如果 Macie 无法完全评测存储桶策略中的 `Principal` 元素与该策略 `Condition` 元素中的某些 [AWS 全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)或 [Amazon S3 条件密钥](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-policy-keys)之间的关系，则可能会发生这种情况。以下条件键可能就是这种情况：`aws:PrincipalAccount`、、、、`aws:PrincipalArn`、`aws:PrincipalOrgID`、`aws:PrincipalOrgPaths`、`aws:PrincipalTag`、`aws:PrincipalType`、`aws:SourceAccount`、`aws:SourceArn`、`aws:SourceIp`、`aws:SourceOrgID`、`aws:SourceOrgPaths`、`aws:SourceVpc`、`aws:SourceVpce`、`aws:userid`、`s3:DataAccessPointAccount`、和`s3:DataAccessPointArn`。  
要确定各个存储桶是否属于这种情况，请在控制面板上选择**外部共享**统计信息。在显示的表中，记下每个存储桶的名称。然后使用 Amazon S3 查看每个存储桶的策略，并确定共享访问设置是否符合预期且安全。
为了确定是否与 CloudFront OAIs 或共享存储桶 OACs，Macie 会分析每个存储桶的存储桶策略。 CloudFront OAI 或 OAC 允许用户通过一个或多个指定的 CloudFront分配访问存储桶的对象。有关 CloudFront OAIs 和的信息 OACs，请参阅《[亚马逊* CloudFront 开发者指南》中的限制对 Amaz* on S3 源的访问](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html)。  
在某些情况下，**共享**区域还会显示**未知**的值。如果显示这些值，则 Macie 无法确定指定数量和百分比的存储桶是否与其他账户共享 CloudFront OAIs、或。 CloudFront OACs例如，由于临时问题或存储桶的权限设置，Macie 无法检索必要的数据。或者Macie无法全面评估存储桶的政策，或者. ACLs 对于超过预防性控制监控配额的存储桶，也可能出现这种情况。Macie 会评估和监控一个账户不超过 10,000 个存储桶的安全性和隐私性，这些存储桶是最近创建或更改的 10,000 个存储桶。

# 使用 Macie 分析您的 Amazon S3 安全状况
<a name="monitoring-s3-inventory"></a>

为了帮助您对亚马逊简单存储服务 (Amazon S3) Simple S3 Service 数据进行深入分析和评估其安全状况，Amazon Macie 会在您使用 Macie 的每个地方生成并维护您的 S3 通用存储桶清单。 AWS 区域 要了解 Macie 如何为您维护此清单，请参阅 [Macie 如何监控 Amazon S3 数据安全性](monitoring-s3-how-it-works.md)。如果您是组织的 Macie 管理员，则此清单包括您的成员账户拥有的 S3 存储桶。

通过使用此清单，您可以查看您的 Amazon S3 数据资产，并检查适用于单个 S3 存储桶的关键安全设置和指标的详细信息和统计数据。例如，您可以访问每个存储桶分区的公共访问和加密设置明细，以及 Macie 可以分析用于检测每个存储桶中敏感数据的对象大小和数量。您还可以确定是否配置了敏感数据发现作业或自动敏感数据发现来分析存储桶中的对象。如果有，则您的库存数据会显示最近进行该分析的时间。如果启用了自动敏感数据发现，您还可以使用清单来查看 Macie 迄今为您的 Amazon S3 数据执行的自动敏感数据发现活动的结果。有关更多信息，请参阅 [发现敏感数据](data-classification.md)。

您可以使用 Amazon Macie 控制台上的 **S3 存储桶**页面浏览和筛选清单数据。您还可以使用亚马逊 Macie API 的[DescribeBuckets](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3.html)操作，以编程方式访问您的库存数据。

**Topics**
+ [查看 S3 存储桶清单](monitoring-s3-inventory-review.md)
+ [筛选您的 S3 存储桶清单](monitoring-s3-inventory-filter.md)

# 查看 Macie 中的 S3 存储桶清单
<a name="monitoring-s3-inventory-review"></a>

在 Amazon Macie 控制台，**S3 存储桶**页面详细介绍了当前 AWS 区域中 Amazon Simple Storage Service (Amazon S3) 数据的安全和隐私。通过此页面，您可以查看和分析该区域中 S3 通用存储桶的清单，并查看各个存储桶的详细信息和统计数据。有关 Macie 如何生成和维护此库存的信息，请参阅[Macie 如何监控 Amazon S3 数据安全性](monitoring-s3-how-it-works.md)。如果您是组织的 Macie 管理员，则您的清单包括您的成员账户拥有的 S3 存储桶的详细信息和统计信息。

**S3 存储桶**页面还会显示 Macie 最近一次从 Amazon S3 检索账户存储桶或对象元数据的时间。您可以在页面顶部的 **上次更新时间**字段中找到此信息。如果您是组织的 Macie 管理员，则此字段会显示 Macie 为您组织内账户检索数据的最早日期和时间。有关更多信息，请参阅 [数据刷新](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh)。

请注意，库存数据和统计信息不包括 S3 目录存储桶的数据，仅包括通用存储桶的数据。Macie 不监控或分析目录存储桶。此外，Macie 会为一个账户保留不超过 10,000 个通用存储桶的完整库存数据。如果您的账户超过此配额，Macie 会为最近创建或更改的 10,000 个存储桶提供完整的库存数据。对于所有其他存储桶，Macie 仅提供有关每个存储桶的部分信息。如果您是组织的 Macie 管理员，则此配额适用于您组织中的每个账户，而不是整个组织的账户。

另请注意，大多数库存数据仅限于允许 Macie 为您的账户访问的存储桶。如果存储桶的权限设置阻止 Macie 检索有关该存储桶或存储桶对象的信息，则 Macie 只能提供有关此存储桶的部分信息。如果特定存储桶出现这种情况，Macie 将您的存储桶清单中显示该存储桶的警告图标 (![\[The warning icon, which is a red triangle that has an exclamation point in it.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-warning-red.png)) 和消息。有关存储桶的详细信息，Macie 仅提供部分字段的数据：拥有 AWS 账户 该存储桶的账户 ID；存储桶的名称、Amazon 资源名称 (ARN)、创建日期和区域；以及 Macie 最近一次在每日刷新周期中检索存储桶和对象元数据的时间。要调查该问题，请在 Amazon S3 中查看存储桶的策略和权限设置。例如，存储桶可能具有限制性的存储桶策略。有关更多信息，请参阅 [允许 Macie 访问 S3 存储桶和对象](monitoring-restrictive-s3-buckets.md)。

如果您更喜欢以编程方式访问和查询库存数据，则可以使用 Amazon Macie API 的[DescribeBuckets](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3.html)操作。

**Topics**
+ [查看 S3 存储桶清单](#monitoring-s3-inventory-view)
+ [查看 S3 存储桶的详细信息](#monitoring-s3-inventory-view-details)

## 查看 S3 存储桶清单
<a name="monitoring-s3-inventory-view"></a>

Amazon Macie 控制台上的 **S3 通用存储桶**页面提供关于当前 AWS 区域中 S3 存储桶的信息。此页面表格显示了清单中每个存储桶的摘要信息。要自定义视图，您可以对表格进行排序和筛选。如果您在表中选择一个存储桶，则详细信息面板显示有关此存储桶的其他信息。这包括设置详情和统计数据，以及洞察存储桶数据安全和隐私的指标。您可以选择将数据从表中导出至逗号分隔值 (CSV) 文件。

如果启用了自动敏感数据发现，您还可通过交互式热图查看清单。该地图直观显示了整个 Amazon S3 数据资产的数据敏感度。它采集 Macie 迄今为止执行的自动敏感数据发现活动的结果。要详细了解相关内容，请参阅 [使用 S3 存储桶地图观察数据灵敏度](discovery-asdd-results-s3-inventory-map.md)。

**要查看 S3 存储桶清单**

1. 打开亚马逊 Macie 主机，网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. 在导航窗格中，选择** S3 存储桶**。**S3 存储桶**页面显示您的存储桶清单。如果页面显示您的清单的交互式地图，请选择页面顶部的表格 (![\[The table view button, which is a button that displays three black horizontal lines.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/btn-s3-table-view.png))。然后，Macie 会显示您的清单中的存储桶数量和存储桶表。

   如果启用了自动敏感数据发现，则默认视图不会显示当前被排除在自动敏感数据发现之外的其他存储桶的数据。要显示这些数据，请在筛选框下方的**由自动发现筛选器监控**标记中选择 **X**。

1. 在页面顶部，可以选择刷新 (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/btn-refresh-data.png))，从 Amazon S3 检索最新的存储桶元数据。

   如果信息图标 (![\[The information icon, which is a blue circle that has a lowercase letter i in it.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-info-blue.png)) 出现在任何存储桶名称旁边，我们建议您这样操作。此图标表明存储桶是在过去 24 小时内创建的，可能是 Macie 在[每日刷新周期](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh)中最后一次从 Amazon S3 检索存储桶和对象元数据之后创建的。

1. 在 **S3 存储桶**表中，查看有关清单内每个存储桶的子信息：
   + **敏感度**：如果启用了自动敏感数据发现，则显示存储桶当前敏感度分数。有关 Macie 定义的灵敏度分数范围的信息，请参阅 [S3 存储桶的敏感度评分](discovery-scoring-s3.md)。
   + **存储桶** – 存储桶名称。
   + **账户** – 拥有存储桶的 AWS 账户 账户 ID。
   + **可分类对象** – Macie 可在存储桶中分析以检测敏感数据的对象总数。
   + **可分类大小** – Macie 可在存储桶中分析以检测敏感数据的所有对象的总存储大小。

     注意，此值不反映任何压缩对象在解压缩后的实际大小。此外，如果为存储桶启用了版本控制，则此值将基于存储桶中每个最新版本对象的存储大小。
   + **按作业监控**：是否将任何敏感数据发现作业配置为：每天、每周或每月定期分析存储桶中的对象。

     如果此字段的值为*是*，则表示该存储桶已显式包含在定期作业中，或者该存储桶在过去 24 小时内符合定期作业的条件。此外，其中至少有一个作业的状态非*已取消*。Macie 每天都会更新这些数据。
   + **最新运行的作业**：如果将任何定期或一次性的敏感数据发现作业配置为分析存储桶中的对象，则此字段表示其中一个作业开始运行的最新日期和时间。否则，该字段中会出现破折号 (-)。

   在上述数据中，如果对象使用所支持的 Amazon S3 存储类别，并且其文件扩展名表示支持的文件或存储格式，则对象属于*可分类*。您可以通过使用 Macie 检测对象中的敏感数据。有关更多信息，请参阅 [支持的存储类别和格式](discovery-supported-storage.md)。

1. 要使用表格分析清单，请执行以下操作之一：
   + 要按特定字段对表格进行排序，请选择该字段的列标题。若要更改排序顺序，请再次选择列标题。
   + 要筛选表格并仅显示含特定字段值的存储桶，请将光标置于筛选框内，然后为该字段添加筛选条件。若要进一步优化结果，请为其他字段添加筛选条件。有关更多信息，请参阅 [筛选您的 S3 存储桶清单](monitoring-s3-inventory-filter.md)。

1. 要查看特定存储桶的详细信息和统计数据，请选择表中的存储桶名称，然后转到详细信息面板。
**提示**  
您可以使用存储桶详细信息面板来深入探究很多字段。要显示某个字段中具有相同值的存储桶，请在该字段中选择 ![\[The zoom in icon, which is a magnifying glass that has a plus sign in it.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-magnifying-glass-plus-sign.png)。要显示其他字段值的存储桶，请在字段中选择 ![\[The zoom out icon, which is a magnifying glass that has a minus sign in it.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-magnifying-glass-minus-sign.png)。

1. 要将数据从表格导出到 CSV 文件，请选中要导出的每行的复选框，或者选中选择列标题中的复选框以选择所有行。然后在页面顶部选择**导出到 CSV**。您最多可从表格中导出 50,000 行。

## 查看 S3 存储桶的详细信息
<a name="monitoring-s3-inventory-view-details"></a>

要查看 S3 通用存储桶的详细信息和统计数据，您可以使用 Amazon Macie 控制台 S3 **存储桶**页面上的详细信息面板。该面板显示详细信息和统计数据，可让您深入了解存储桶数据的安全性和隐私性。

例如，您可以查看 S3 存储桶的公共访问设置明细，并确定存储桶的配置目的是重复对象还是与其他 AWS 账户分享。您还可以确定是否配置任何敏感数据发现作业，以检查存储桶内是否有敏感数据。如果有，您可以访问最近运行作业的详细信息，选择显示作业产生的任何调查发现。

如果启用了自动敏感数据发现，您还可以使用详细信息面板查看有关单独 S3 存储桶的敏感数据发现统计数据和其他信息。此面板采集 Macie 迄今为止为存储桶执行的、自动敏感数据发现活动的结果。要了解更多详细信息，请参阅 [查看 S3 存储桶的数据灵敏度详细信息](discovery-asdd-results-s3-inventory-details.md)。

**要查看 S3 存储桶的详细信息**

1. 打开亚马逊 Macie 主机，网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. 在导航窗格中，选择** S3 存储桶**。**S3 存储桶**页面显示您的存储桶清单。

   如果启用了自动敏感数据发现，则默认视图不会显示当前被排除在自动敏感数据发现之外的其他存储桶的数据。要显示这些数据，请在筛选框下方的**由自动发现筛选器监控**标记中选择 **X**。

1. 在页面顶部，可以选择刷新 (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/btn-refresh-data.png))，从 Amazon S3 检索最新的存储桶元数据。

1. 请选择要查看的存储桶的详细信息。此详细信息面板显示有关存储桶的统计数据和其他信息。<a name="monitoring-s3-inventory-bucket-details"></a>

详细信息面板中的统计数据和信息分为以下主要部分：

[**概述**](#monitoring-s3-inventory-view-details-general) [**\$1 [**对象统计**](#monitoring-s3-inventory-view-details-objects) \$1 [**服务器端加密**](#monitoring-s3-inventory-view-details-sse) \$1 [**敏感数据发现**](#monitoring-s3-inventory-view-details-discovery) \$1 [**公共访问**](#monitoring-s3-inventory-view-details-public-access) \$1 [**复制**](#monitoring-s3-inventory-view-details-replication) \$1 标签**](#monitoring-s3-inventory-view-details-tags)

在查看每个部分的信息时，您可以选择对某些字段进行转置和向下钻取。要显示某个字段中具有相同值的存储桶，请在该字段中选择 ![\[The zoom in icon, which is a magnifying glass that has a plus sign in it.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-magnifying-glass-plus-sign.png)。要显示其他字段值的存储桶，请在字段中选择 ![\[The zoom out icon, which is a magnifying glass that has a minus sign in it.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-magnifying-glass-minus-sign.png)。

### 概述
<a name="monitoring-s3-inventory-view-details-general"></a>

本部分提供有关存储桶的一般信息，例如存储桶的名称、存储桶的创建时间以及拥有 AWS 账户 该存储桶的账户 ID。特别值得注意的是，**上次更新时间**字段指示 Macie 最近从 Amazon S3 中检索存储桶或存储桶对象元数据的时间。

**共享访问权限**字段表示该存储桶是与其他人共享 AWS 账户、Amazon CloudFront 源访问身份 (OAI) 还是 CloudFront 原始访问控制 (OAC)：
+ **外部** — 存储桶与以下一个或多个或任意组合共享： CloudFront OAI、CloudFront OAC 或组织外部（不属于）的账户。
+ **内部**‬ – 存储桶与组织内部（一部分）的一个或多个账户共享。它不会与 CloudFront OAI 或 OAC 共享。
+ **未共享**-存储桶未与其他账户、 CloudFront OAI 或 OAC 共享。 CloudFront 
+ **未知** – Macie 无法评测存储桶的共享访问权限设置。例如，配额或临时问题使 Macie 无法检索和评估必要数据。

为了确定某个存储桶是否与其他存储桶共享 AWS 账户，Macie 会分析该存储桶的存储桶策略和访问控制列表 (ACL)。分析仅限于存储桶级设置。它不反映用于共享存储桶内特定对象的任何对象级设置。此外，*组织*被定义为一组 Macie 账户，这些账户通过 AWS Organizations 或通过 Macie 邀请作为一组相关账户进行集中管理。要了解用于共享存储桶的 Amazon S3 选项，请参阅《*亚马逊简单存储服务用户指南》*中的[访问控制](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html)。

**注意**  
在某些情况下，Macie 可能会错误地指明存储桶是 AWS 账户 与组织外部（不属于组织的一部分）共享的。如果 Macie 无法完全评测存储桶策略中的 `Principal` 元素与该策略 `Condition` 元素中的某些 [AWS 全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)或 [Amazon S3 条件密钥](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-policy-keys)之间的关系，则可能会发生这种情况。以下条件键可能就是这种情况：`aws:PrincipalAccount`、、、、`aws:PrincipalArn`、`aws:PrincipalOrgID`、`aws:PrincipalOrgPaths`、`aws:PrincipalTag`、`aws:PrincipalType`、`aws:SourceAccount`、`aws:SourceArn`、`aws:SourceIp`、`aws:SourceOrgID`、`aws:SourceOrgPaths`、`aws:SourceVpc`、`aws:SourceVpce`、`aws:userid`、`s3:DataAccessPointAccount`、和`s3:DataAccessPointArn`。  
我们建议您检查存储桶的策略，以确定此访问是否为预期行为且是安全的。

为了确定存储桶是与 CloudFront OAI 还是 OAC 共享，Macie 会分析该存储桶的存储桶策略。 CloudFront OAI 或 OAC 允许用户通过一个或多个指定的 CloudFront 分配访问存储桶的对象。要了解 CloudFront OAIs和 OACs，请参阅《[亚马逊* CloudFront 开发者指南》中的限制访问 Amazon* S3 源](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html)。

**概述**部分还包括**最近的自动发现运行时间**字段。该字段指示 Macie 最近在执行自动敏感数据发现时分析存储桶对象的时间。如果未进行此分析，则此字段中会出现一个破折号（-）。

### 对象统计数据
<a name="monitoring-s3-inventory-view-details-objects"></a>

本部分提供关于存储桶对象的信息，首先介绍存储桶内的对象总数（**总数**）、所有对象的总存储大小（**总存储大小**），以及所有压缩文件 (.gz、.gzip 或 .zip) 对象的总存储大小（**总压缩大小**）。本节中的其他统计数据可帮您评测 Macie 可分析的数据量，以检测存储桶内的敏感数据。

如果您最近创建了存储桶，或在过去 24 小时内对存储桶对象进行了重大更改，则可以选择性选择刷新 (![\[The refresh button, which is a button that displays an empty, dark gray circle with an arrow.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/btn-refresh-object-data.png)) 以检索存储桶对象的最新元数据。Macie 显示信息图标 (![\[The information icon, which is a blue circle that has a lowercase letter i in it.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-info-blue.png))，以帮助您确定是否可能出现这种情况。如果存储桶存储的对象数量小于等于 30000 个，则可以使用刷新选项。

查看本节统计数据时，请牢记以下几点：
+ 如果为存储桶启用了版本控制，则大小值将基于存储桶中每个最新版本对象的存储大小。
+ 如果存储桶内存储压缩对象，则大小值不反映这些对象在解压缩后的实际大小。
+ 如果您刷新存储桶的对象元数据，Macie 会临时报告*未知*，以获取适用于该对象的加密统计信息。当在 24 小时内对存储桶和对象元数据执行下一次[日常刷新](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh)，Macie 将重新评测和更新这些统计数据。
+ 默认情况下，对象计数和大小值包括：存储桶内包含的、作为不完全分段上传结果的、任何对象部分数据。如果您刷新存储桶对象元数据，Macie 会从重新计算的值中排除对象部分数据。当 Macie 对存储桶和对象元数据执行下一次日常刷新（24 小时内）时，Macie 会重新计算和更新这些统计数据的值，并将对象部分的数据再次纳入值中。

  请注意，Macie 无法通过分析对象部分检测敏感数据。Amazon S3 必须先将分段重组成一个或多个对象，让 Macie 进行分析。有关分段上传和对象分段的信息，包括如何根据生命周期规则自动删除分段，请参阅 *Amazon Simple Storage Service 用户指南*中的[使用分段上传来上传和复制对象](https://docs.aws.amazon.com/AmazonS3/latest/userguide/mpuoverview.html)。要识别包含对象分段的存储桶，您可以参考 Amazon S3 Storage Lens 存储统计管理工具中的*未完成分段上传*。有关更多信息，请参阅 *Amazon Simple Storage Service 用户指南*中的[评测您的存储活动和使用情况](https://docs.aws.amazon.com/AmazonS3/latest/userguide/storage_lens.html)。

对象统计信息组织方式如下。

**可分类对象**  
此部分所示为 Macie 可分析的对象总数，用于检测这些对象的敏感数据和总存储大小。这些对象使用所支持的 Amazon S3 存储类别，并且其文件扩展名表示支持的文件或存储格式。您可以通过使用 Macie 检测对象中的敏感数据。有关更多信息，请参阅 [支持的存储类别和格式](discovery-supported-storage.md)。

**不可分类的对象**  
此部分所示为 Macie 无法分析的对象总数，用于检测这些对象的敏感数据和总存储大小。这些对象不使用所支持的 Amazon S3 存储类别，并且其文件扩展名未表示支持的文件或存储格式。

**不可分类的对象：存储分类**  
本节详细介绍了 Macie 无法分析对象的数量和存储大小，无法分析的原因是这些对象不使用支持的 Amazon S3 存储类别。

**不可分类的对象：文件类型**  
本节详细介绍了 Macie 无法分析对象的数量和存储大小，无法分析的原因是这些对象未使用支持的文件扩展名或存储格式。

**按加密类型统计的对象**  
本节详细介绍了使用 Amazon S3 支持的每种加密类型的对象数量：  
+ **客户提供的**：使用客户提供的密钥加密的对象数量。这些对象使用 SSE-C 加密。
+ **AWS KMS 托管** — 使用客户托管密钥 AWS 托管式密钥 或客户托管密钥加密的对象数量。 AWS KMS key这些对象使用 DSSE-KMS 或 SSE-KMS 加密。
+ **Amazon S3 托管**：使用 Amazon S3 托管式密钥加密的对象数量。这些对象使用 SSE-S3 加密。
+ **不加密**：未加密或未使用客户端加密的对象数量。（如果对象通过客户端加密，Macie 无法访问和报告对象加密数据。） 
+ **未知**：Macie 没有其当前加密元数据的对象数量。如果您最近选择手动刷新存储桶对象元数据，则通常会发生这种情况。当在 24 小时内对存储桶和对象元数据执行下一次日常刷新，Macie 将加密统计数据。
有关每个所支持的加密类型的更多信息，请参阅* Amazon Simple Storage Service 用户指南*中的[使用加密保护数据](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingEncryption.html)。

### 服务器端加密
<a name="monitoring-s3-inventory-view-details-sse"></a>

本节深入介绍存储桶服务器端加密设置。

**按存储桶策略要求加密**字段指明在向存储桶添加对象时，存储桶】的策略是否要求对对象进行服务器端加密：
+ **否**‬：存储桶没有存储桶策略，或者存储桶的策略不要求对新对象进行服务器端加密。如果存在存储桶策略，则它不需要[PutObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html)请求中包含有效的服务器端加密标头。
+ **是**‬：存储桶策略要求对新对象进行服务器端加密。存储桶的 **PutObject** 请求必须包含有效的服务器端加密标题。否则，Amazon S3 拒绝该请求。
+ **未知**‬：Macie 无法评测存储桶的策略以确定它是否需要对新对象进行服务器端加密。例如，配额或问题阻止 Macie 检索和评估策略。

在此评测中，有效的服务器端加密标题为：`x-amz-server-side-encryption` 值为 `AES256` 或 `aws:kms`，`x-amz-server-side-encryption-customer-algorithm` 值为 `AES256`。有关使用存储桶政策要求服务器端对新对象加密的更多信息，请参阅*《Amazon Simple Storage Service 用户指南》*中的[使用服务器端加密保护数据](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html)。

**默认加密**字段表示存储桶默认配置为对添加到存储桶的对象应用的服务器端加密算法：
+ **AES256**— 存储桶的默认加密设置配置为使用 Amazon S3 托管密钥加密新对象。新对象通过 SSE-S3 加密法自动加密。
+ **aws: km** s — 存储桶的默认加密设置配置为使用客户托管密钥 AWS 托管式密钥 或客户托管密钥加密新对象。 AWS KMS key新对象使用 SSE-KMS 加密法自动加密。**AWS KMS key** 字段显示所用密钥 Amazon 资源名称（ARN）或唯一标识符 (密钥 ID)。
+ **aws: kms: dsse** — 存储桶的默认加密设置配置为使用客户托管密钥或客户托管密钥加密新对象。 AWS KMS key AWS 托管式密钥 新对象使用 DSSE-KMS 加密法自动加密。**AWS KMS key** 字段显示所用密钥的 ARN 或密钥 ID。
+ **无**：存储桶的默认加密设置不为新对象指定服务器端加密行为。

从 2023 年 1 月 5 日开始，Amazon S3 自动应用服务器端加密，并使用 Amazon S3 托管式密钥 (SSE-S3) 作为添加到存储桶的对象的基本加密级别。您可以选择配置存储桶的默认加密设置，改为使用带密钥的服务器端加密 (SSE-KMS) 或使用 AWS KMS 密钥的双层服务器端加密 (DSSE-KM AWS KMS S)。有关默认加密设置和选项的信息，请参阅 *Amazon Simple Storage Service 用户指南*中的[为 S3 存储桶设置默认服务器端加密行为](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html)。

### 敏感数据发现
<a name="monitoring-s3-inventory-view-details-discovery"></a>

本节详细介绍了是否将任何敏感数据发现作业配置为：每天、每周或每月定期分析存储桶中的对象。如果**由作业主动监控**字段的值为*是*，则该存储桶将明确包含在定期作业中，或者该存储桶在过去 24 小时曾匹配定期作业条件。此外，其中至少有一个作业的状态非*已取消*。Macie 每天都会更新这些数据。

如果您配置了任何类型的敏感数据发现作业（定期作业或一次性作业）来分析存储桶中的对象，则**最新作业**字段将提供最近开始运行的作业的唯一标识符。**最近作业运行时间**字段指示该作业开始运行的时间。

**提示**  
要显示作业生成的所有敏感数据调查发现，请选择**最近的作业**字段中的链接。在出现的作业详细信息面板中，选择面板顶部的**显示结果**，然后选择**显示调查发现**。

### 公有访问权限
<a name="monitoring-s3-inventory-view-details-public-access"></a>

本节还指示存储桶是否可公开访问。它还详细介绍决定这种情况的各类账户和存储桶级设置。**有效权限**字段指示这些设置的累积结果：
+ **非公开访问**：存储桶不可公开访问。
+ **公开访问**：存储桶可公开访问。
+ **未知**：Macie 无法评测存储桶的所有公有访问设置。例如，配额或临时问题使 Macie 无法检索和评估必要数据。

在此评估中，Macie 分析了每个存储桶的账户级和存储分区级设置组合：账户的封禁公开访问设置；存储桶的封禁公开访问设置；存储桶的存储桶策略；以及存储桶的访问控制列表 (ACL)。请注意，评估不包括允许公众访问存储桶中特定对象的对象级设置。

要了解用于管理存储桶和存储桶数据的公开访问的 Amazon S3 设置，请参阅《[亚马逊简单存储服务用户指南》中的[访问控制](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html)和阻止公众访问您的 Amazon S](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html) *3 存储*。

### 复制
<a name="monitoring-s3-inventory-view-details-replication"></a>

在本节中，**Replicated** 字段指示存储桶是否配置为将对象复制到其他存储桶。如果此字段的值为 *是*，则表示已为此存储桶配置并启用一条或多条复制规则。然后，本部分还列出了每个 AWS 账户 拥有目标存储桶的用户的账户 ID。

Repl **icated externally** 字段指明存储桶是否配置为 AWS 账户 将对象复制到组织外部（不是组织的一部分）的存储桶。*组织*是一组 Macie 账户，这些账户通过 Macie 邀请 AWS Organizations 或通过 Macie 邀请作为一组相关账户进行集中管理。如果此字段的值为 “*是*”，则为该存储桶配置并启用了复制规则，并将该规则配置为将对象复制到由外部拥有的存储桶 AWS 账户。

**注意**  
在某些情况下，Macie 可能会错误地指出存储桶已配置为将对象复制到由外部 AWS 账户用户拥有的存储桶。如果目标存储桶是在过去 24 小时内，也就是 Macie 在[每日刷新周期](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh)中从 Amazon S3 检索存储桶和对象元数据之后在不同的 AWS 区域 中创建，则可能会发生这种情况。要使用 Macie 调查问题，请选择刷新 (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/btn-refresh-data.png)) 从 Amazon S3 检索最新的存储桶元数据。然后查看本节 IDs 中的账户列表。若要进行更深入的调查，请使用 Amazon S3 查看存储桶的复制规则。

要了解复制存储桶对象的 Amazon S3 选项和设置，请参阅 *Amazon Simple Storage Service 用户指南*中的[复制对象](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication.html)。

### 标签
<a name="monitoring-s3-inventory-view-details-tags"></a>

如果标签与存储桶相关联，则此部分将在面板中显示，并列出这些标签。标签是您可以定义并分配给某些类型的 AWS 资源（包括 S3 存储桶）的标签。每个标签都包含一个必需的标签键和一个可选的标签值。

要了解标签存储桶，请参阅 *Amazon Simple Storage Service 用户指南*中的[使用成本分配 S3 存储桶标签](https://docs.aws.amazon.com/AmazonS3/latest/userguide/CostAllocTagging.html)。

# 在 Macie 中筛选您的 S3 存储桶清单
<a name="monitoring-s3-inventory-filter"></a>

要识别并关注具有特定特征的存储桶，您可以在 Amazon Macie 控制台和使用 Amazon Macie API 以编程方式提交的查询中筛选您的 S3 存储桶清单。创建筛选条件时，您可以使用特定的存储桶属性来定义在视图或查询结果中包含或排除存储桶的标准。*存储桶属性*是存储存储桶特定元数据的字段。

Macie 中的筛选条件包含一个或多个条件。每个条件，也称为*标准*，由三个部分组成：
+ 基于属性的字段，例如**存储桶名称**、**标签键**或**在作业中定义**。
+ 一个运算符，例如*等于*或*不等于*。
+ 一个或多个值。值的类型和数量取决于您选择的字段和运算符。

如何定义和应用筛选条件取决于您使用的是 Amazon Macie 主机还是 Amazon Macie API。

**Topics**
+ [在主机上筛选您的库存](#monitoring-s3-inventory-filter-console)
+ [以编程方式筛选库存](#monitoring-s3-inventory-filter-api)

## 在 Amazon Macie 主机上筛选您的库存
<a name="monitoring-s3-inventory-filter-console"></a>

如果您使用 Amazon Macie 控制台筛选 S3 存储桶清单，Macie 会提供一些选项来帮助您为各个条件选择字段、运算符和值。您可以使用 **S3 存储桶**页面上的筛选框访问这些选项，如下图中所示。

![\[S3 存储桶页面的筛选框。\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/scrn-buckets-filter-bar-empty.png)


当您将光标置于筛选条件框中时，Macie 会显示可在筛选条件中使用的字段列表。这些字段按逻辑类别组织。例如，**常用字段**类别包括存储有关 S3 存储桶的一般信息的字段。**公共访问**类别包括存储有关可应用于存储桶的各种类型的公共访问权限设置数据的字段。这些字段在每个类别中按字母顺序排序。

要添加条件，请先从列表中选择一个字段。要查找字段，请浏览完整列表，或输入部分字段名称以缩小字段列表范围。

根据您选择的字段，Macie 显示不同的选项。这些选项反映了您选择的字段的类型和性质。例如，如果您选择**共享访问权限**字段，Macie 会显示一个值列表供您选择。如果您选择**存储桶名称**字段，Macie 会显示一个文本框，您可以在其中输入 S3 存储桶的名称。无论您选择哪个字段，Macie 都会指导您完成添加包含该字段所需设置的条件的步骤。

添加条件后，Macie 会为该条件应用标准，并在筛选框下方的筛选条件令牌中显示该条件，如下图所示。

![\[带有条件筛选令牌的筛选条件框。\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/scrn-buckets-filter-bar-public.png)


在此示例中，条件配置为包括所有可公开访问的存储桶，并排除所有其他存储桶。它返回**有效权限**字段的值*等于*** Public **的存储桶。

当您添加更多条件时，Macie 会应用其标准并将其显示在筛选框下方。如果您添加多个条件，Macie 会使用 AND 逻辑来连接条件并评测筛选标准。这意味着，只有当 S3 存储桶与筛选条件中的所有条件都匹配时，它才会匹配筛选标准。您可以随时参考筛选框下方的区域，以确定您应用了哪些标准。

**使用控制台筛选清单**

1. 打开亚马逊 Macie 主机，网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. 在导航窗格中，选择** S3 存储桶**。**S3 存储桶**页面显示您的存储桶清单。

   如果启用了自动敏感数据发现，则默认视图不会显示当前被排除在自动敏感数据发现之外的其他存储桶的数据。如果您是组织的 Macie 管理员，则它也不会显示当前禁用了自动发现的账户的数据。要显示这些数据，请在筛选框下方的**由自动发现筛选器监控**标记中选择 **X**。

1. 在页面顶部，可以选择刷新 (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/btn-refresh-data.png))，从 Amazon S3 检索最新的存储桶元数据。

1. 将光标置于筛选框中，然后选择要用于条件的字段。

1. 请记住以下提示，为该字段选择或输入适当的值类型。

     
**日期、时间和时间范围**  
对于日期和时间，使用**从**和**到**框定义包含的时间范围：  
   + 要定义固定的时间范围，请使用**从**和**到**框分别指定该范围内的第一个日期和时间以及最后一个日期和时间。
   + 要定义从特定日期和时间开始并在当前时间结束的相对时间范围，请在**从**框中输入开始日期和时间，然后删除**到**框中的任何文本。
   + 要定义在特定日期和时间结束的相对时间范围，请在**到**框中输入结束日期和时间，然后删除**从**框中的任何文本。
请注意，时间值使用 24 小时表示法。如果您使用日期选择器选择日期，则可以通过直接在**从**和**到**框中输入文本来细化值。  
**数字和数值范围**  
对于数值，使用**从**和**到**框输入定义包含数值范围的整数：  
   + 要定义固定的数值范围，请使用**从**和**到**框分别指定该范围内的最小和最高数字。
   + 要定义仅限于一个特定值的固定数值范围，请在**从**和**到**框中输入该值。例如，要仅存储恰好包含 15 个对象的 S3 存储桶，请在**从**和**到**框中输入 **15**。
   + 要定义从某个数字开始的相对数值范围，请在**从**框中输入数字，不要在**到**框中输入任何文本。
   + 要定义以特定数字结尾的相对数值范围，请在**到**框中输入数字，不要在**从**框中输入任何文本。  
**文本（字符串）值**  
对于此类值，请为该字段输入一个完整、有效的值。值区分大小写。  
请注意，您不能在此类型的值中使用部分值或通配符。唯一的例外是**存储桶名称**字段。对于该字段，您可以指定前缀而不是完整的存储桶名称。例如，要查找名称以 *my-S3* 开头的所有 S3 存储桶，请输入 **my-S3** 作为**存储桶名称**字段的筛选值。如果您输入任何其他值，例如 **My-s3** 或 **my\$1**，Macie 将不会返回存储桶。

1. 为该字段添加完值后，选择 **应用**。Macie 应用筛选标准并在筛选条件框下方的筛选器令牌中显示条件。

1. 对于要添加的每个附加条件，重复步骤 4 到 6。

1. 要删除条件，请在筛选条件令牌中为该条件选择 **X**。

1. 要更改条件，请通过在条件的筛选条件令牌中选择 **X** 来移除该条件。然后重复步骤 4 到 6，添加设置正确的条件。

## 使用 Amazon Macie API 以编程方式筛选您的库存
<a name="monitoring-s3-inventory-filter-api"></a>

要以编程方式筛选 S3 存储桶清单，请在使用 Amazon Macie API 的[DescribeBuckets](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3.html)操作提交的查询中指定筛选标准。此操作返回对象数组。每个对象都包含与筛选标准相匹配的存储桶的统计数据和其他信息。

要在查询中指定筛选标准，请在请求中加入筛选条件地图。为每个条件指定一个字段、一个运算符以及该字段的一个或多个值。值的类型和数量取决于您选择的字段和运算符。有关可在条件中使用的字段、运算符和值类型的信息，请参阅* Amazon Macie API 参考*中的 [Amazon S3 数据来源](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3.html)。

以下示例向您展示了如何在使用 [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) 提交的查询中指定筛选标准。您也可以使用其他 AWS 命令行工具或 AWS SDK 的当前版本，或者直接向 Macie 发送 HTTPS 请求来执行此操作。有关 AWS 工具和的信息 SDKs，请参阅[构建工具 AWS](https://aws.amazon.com/developer/tools/)。

**Topics**
+ [按存储桶名称查找存储桶](#monitoring-s3-inventory-filter-api-example1)
+ [查找可公开访问的存储桶](#monitoring-s3-inventory-filter-api-example2)
+ [查找存储未加密对象的存储桶](#monitoring-s3-inventory-filter-api-example3)
+ [查找将数据复制到外部账户的存储桶](#monitoring-s3-inventory-filter-api-example5)
+ [查找未受敏感数据发现任务监控的存储桶](#monitoring-s3-inventory-filter-api-example4)
+ [查找不受自动敏感数据发现监控的存储桶](#monitoring-s3-inventory-filter-api-example-asdd)
+ [根据多个条件查找存储桶](#monitoring-s3-inventory-filter-api-example6)

这些示例使用 [describe-buckets](https://docs.aws.amazon.com/cli/latest/reference/macie2/describe-buckets.html) 命令。如果命令成功运行，Macie 将返回一个 `buckets` 数组。该数组包含当前存储桶中 AWS 区域 且符合筛选条件的每个存储桶的对象。有关此输出的示例，请展开以下部分。

### `buckets` 数组示例
<a name="monitoring-s3-inventory-buckets-array"></a>

在此示例中，`buckets` 数组提供了与查询中指定的筛选条件相匹配的两个存储桶的详细信息。

```
{
    "buckets": [
        {
            "accountId": "123456789012",
            "allowsUnencryptedObjectUploads": "FALSE",
            "automatedDiscoveryMonitoringStatus": "MONITORED", 
            "bucketArn": "arn:aws:s3:::amzn-s3-demo-bucket1",
            "bucketCreatedAt": "2020-05-18T19:54:00+00:00",
            "bucketName": "amzn-s3-demo-bucket1",
            "classifiableObjectCount": 13,
            "classifiableSizeInBytes": 1592088,
            "jobDetails": {
                "isDefinedInJob": "TRUE",
                "isMonitoredByJob": "TRUE",
                "lastJobId": "08c81dc4a2f3377fae45c9ddaexample",
                "lastJobRunTime": "2024-05-26T14:55:30.270000+00:00"
            },
            "lastAutomatedDiscoveryTime": "2024-06-07T19:11:25.364000+00:00",
            "lastUpdated": "2024-06-12T07:33:06.337000+00:00",
            "objectCount": 13,
            "objectCountByEncryptionType": {
                "customerManaged": 0,
                "kmsManaged": 2,
                "s3Managed": 7,
                "unencrypted": 4,
                "unknown": 0
            },
            "publicAccess": {
                "effectivePermission": "NOT_PUBLIC",
                "permissionConfiguration": {
                    "accountLevelPermissions": {
                        "blockPublicAccess": {
                            "blockPublicAcls": true,
                            "blockPublicPolicy": true,
                            "ignorePublicAcls": true,
                            "restrictPublicBuckets": true
                        }
                    },
                    "bucketLevelPermissions": {
                        "accessControlList": {
                            "allowsPublicReadAccess": false,
                            "allowsPublicWriteAccess": false
                        },
                        "blockPublicAccess": {
                            "blockPublicAcls": true,
                            "blockPublicPolicy": true,
                            "ignorePublicAcls": true,
                            "restrictPublicBuckets": true
                        },
                        "bucketPolicy": {
                            "allowsPublicReadAccess": false,
                            "allowsPublicWriteAccess": false
                        }
                    }
                }
            },
            "region": "us-east-1",
            "replicationDetails": {
                "replicated": false,
                "replicatedExternally": false,
                "replicationAccounts": []
            },
            "sensitivityScore": 78,
            "serverSideEncryption": {
                "kmsMasterKeyId": null,
                "type": "NONE"
            },
            "sharedAccess": "NOT_SHARED",
            "sizeInBytes": 4549746,
            "sizeInBytesCompressed": 0,
            "tags": [
                {
                    "key": "Division",
                    "value": "HR"
                },
                {
                    "key": "Team",
                    "value": "Recruiting"
                }
            ],
            "unclassifiableObjectCount": {
                "fileType": 0,
                "storageClass": 0,
                "total": 0
            },
            "unclassifiableObjectSizeInBytes": {
                "fileType": 0,
                "storageClass": 0,
                "total": 0
            },
            "versioning": true
        },
        {
            "accountId": "123456789012",
            "allowsUnencryptedObjectUploads": "TRUE",
            "automatedDiscoveryMonitoringStatus": "MONITORED",
            "bucketArn": "arn:aws:s3:::amzn-s3-demo-bucket2",
            "bucketCreatedAt": "2020-11-25T18:24:38+00:00",
            "bucketName": "amzn-s3-demo-bucket2",
            "classifiableObjectCount": 8,
            "classifiableSizeInBytes": 133810,
            "jobDetails": {
                "isDefinedInJob": "TRUE",
                "isMonitoredByJob": "FALSE",
                "lastJobId": "188d4f6044d621771ef7d65f2example",
                "lastJobRunTime": "2024-04-09T19:37:11.511000+00:00"
            },
            "lastAutomatedDiscoveryTime": "2024-06-07T19:11:25.364000+00:00",
            "lastUpdated": "2024-06-12T07:33:06.337000+00:00",
            "objectCount": 8,
            "objectCountByEncryptionType": {
                "customerManaged": 0,
                "kmsManaged": 0,
                "s3Managed": 8,
                "unencrypted": 0,
                "unknown": 0
            },
            "publicAccess": {
                "effectivePermission": "NOT_PUBLIC",
                "permissionConfiguration": {
                    "accountLevelPermissions": {
                        "blockPublicAccess": {
                            "blockPublicAcls": true,
                            "blockPublicPolicy": true,
                            "ignorePublicAcls": true,
                            "restrictPublicBuckets": true
                        }
                    },
                    "bucketLevelPermissions": {
                        "accessControlList": {
                            "allowsPublicReadAccess": false,
                            "allowsPublicWriteAccess": false
                        },
                        "blockPublicAccess": {
                            "blockPublicAcls": true,
                            "blockPublicPolicy": true,
                            "ignorePublicAcls": true,
                            "restrictPublicBuckets": true
                        },
                        "bucketPolicy": {
                            "allowsPublicReadAccess": false,
                            "allowsPublicWriteAccess": false
                        }
                    }
                }
            },
            "region": "us-east-1",
            "replicationDetails": {
                "replicated": false,
                "replicatedExternally": false,
                "replicationAccounts": []
            },
            "sensitivityScore": 95,
            "serverSideEncryption": {
                "kmsMasterKeyId": null,
                "type": "AES256"
            },
            "sharedAccess": "EXTERNAL",
            "sizeInBytes": 175978,
            "sizeInBytesCompressed": 0,
            "tags": [
                {
                    "key": "Division",
                    "value": "HR"
                },
                {
                    "key": "Team",
                    "value": "Recruiting"
                }
            ],
            "unclassifiableObjectCount": {
                "fileType": 3,
                "storageClass": 0,
                "total": 3
            },
            "unclassifiableObjectSizeInBytes": {
                "fileType": 2999826,
                "storageClass": 0,
                "total": 2999826
            },
            "versioning": true
        }
    ]
}
```

如果没有符合筛选标准的存储桶，Macie 将返回一个空的 `buckets` 数组。

```
{
    "buckets": []
}
```

### 示例：按存储桶名称查找存储桶
<a name="monitoring-s3-inventory-filter-api-example1"></a>

此示例查询当前存储桶的元数据，这些存储桶的名称以 *m AWS 区域 * y-S3 开头。

对于 Linux、macOS 或 Unix：

```
$ aws macie2 describe-buckets --criteria '{"bucketName":{"prefix":"my-S3"}}'
```

对于 Microsoft Windows：

```
C:\> aws macie2 describe-buckets --criteria={\"bucketName\":{\"prefix\":\"my-S3\"}}
```

其中：
+ *bucketName*指定**存储桶名称字段的 JSON 名称**。
+ *prefix*指定前*缀*运算符。
+ *my-S3*是 “**存储桶名称**” 字段的值。

### 示例：查找可公开访问的存储桶
<a name="monitoring-s3-inventory-filter-api-example2"></a>

此示例查询当前存储桶的元数据，这些存储桶处于当前状态， AWS 区域 并且基于权限设置的组合，可以公开访问。

对于 Linux、macOS 或 Unix：

```
$ aws macie2 describe-buckets --criteria '{"publicAccess.effectivePermission":{"eq":["PUBLIC"]}}'
```

对于 Microsoft Windows：

```
C:\> aws macie2 describe-buckets --criteria={\"publicAccess.effectivePermission\":{\"eq\":[\"PUBLIC\"]}}
```

其中：
+ *publicAccess.effectivePermission*指定**有效权限**字段的 JSON 名称。
+ *eq* 指定 *等于* 运算符。
+ *PUBLIC*是 “**有效权限**” 字段的枚举值。

### 示例：查找存储未加密对象的存储桶
<a name="monitoring-s3-inventory-filter-api-example3"></a>

此示例查询当前存储桶的元数据 AWS 区域 并存储未加密的对象。

对于 Linux、macOS 或 Unix：

```
$ aws macie2 describe-buckets --criteria '{"objectCountByEncryptionType.unencrypted":{"gte":1}}'
```

对于 Microsoft Windows：

```
C:\> aws macie2 describe-buckets --criteria={\"objectCountByEncryptionType.unencrypted\":{\"gte\":1}}
```

其中：
+ *objectCountByEncryptionType.unencrypted*指定 “**不加密**” 字段的 JSON 名称。
+ *gte*指定*大于或等于*运算符。
+ *1*是 “**不加密**” 字段在包含的相对数值范围内的最低值。

### 示例：查找将数据复制到外部账户的存储桶
<a name="monitoring-s3-inventory-filter-api-example5"></a>

此示例查询当前存储桶的元数据 AWS 区域 ，这些存储桶配置为将对象复制到不 AWS 账户 属于您的组织的存储桶。

对于 Linux、macOS 或 Unix：

```
$ aws macie2 describe-buckets --criteria '{"replicationDetails.replicatedExternally":{"eq":["true"]}}'
```

对于 Microsoft Windows：

```
C:\> aws macie2 describe-buckets --criteria={\"replicationDetails.replicatedExternally\":{\"eq\":[\"true\"]}}
```

其中：
+ *replicationDetails.replicatedExternally*指定 “**外部复制**” 字段的 JSON 名称。
+ *eq* 指定 *等于* 运算符。
+ *true*为 “**外部复制**” 字段指定布尔值。

### 示例：查找未受敏感数据发现任务监控的存储桶
<a name="monitoring-s3-inventory-filter-api-example4"></a>

此示例查询当前存储桶的元数据，这些存储桶处于当前状态 AWS 区域 且与任何定期敏感数据发现任务无关。

对于 Linux、macOS 或 Unix：

```
$ aws macie2 describe-buckets --criteria '{"jobDetails.isMonitoredByJob":{"eq":["FALSE"]}}'
```

对于 Microsoft Windows：

```
C:\> aws macie2 describe-buckets --criteria={\"jobDetails.isMonitoredByJob\":{\"eq\":[\"FALSE\"]}}
```

其中：
+ *jobDetails.isMonitoredByJob*指定 “受任务**主动监控” 字段的 J** SON 名称。
+ *eq* 指定 *等于* 运算符。
+ *FALSE*是 “受**工作主动监控**” 字段的枚举值。

### 示例：查找不受自动敏感数据发现监控的存储桶
<a name="monitoring-s3-inventory-filter-api-example-asdd"></a>

此示例查询当前存储桶的元数据，这些存储桶处于当前状态 AWS 区域 且不在自动敏感数据发现范围内。

对于 Linux、macOS 或 Unix：

```
$ aws macie2 describe-buckets --criteria '{"automatedDiscoveryMonitoringStatus":{"eq":["NOT_MONITORED"]}}'
```

对于 Microsoft Windows：

```
C:\> aws macie2 describe-buckets --criteria={\"automatedDiscoveryMonitoringStatus\":{\"eq\":[\"NOT_MONITORED\"]}}
```

其中：
+ *automatedDiscoveryMonitoringStatus*指定 “**由自动发现监控” 字段的** JSON 名称。
+ *eq* 指定 *等于* 运算符。
+ *NOT\$1MONITORED*是 “**由自动发现监控**” 字段的枚举值。

### 示例：根据多个条件查找存储桶
<a name="monitoring-s3-inventory-filter-api-example6"></a>

此示例查询当前 AWS 区域 存储桶的元数据，这些存储桶符合以下条件：可根据权限设置组合公开访问；存储未加密的对象；以及不与任何定期敏感数据发现任务相关联。

对于 Linux、macOS 或 Unix，使用反斜杠 (\$1) 行继续符来提高可读性：

```
$ aws macie2 describe-buckets \
--criteria '{"publicAccess.effectivePermission":{"eq":["PUBLIC"]},"objectCountByEncryptionType.unencrypted":{"gte":1},"jobDetails.isMonitoredByJob":{"eq":["FALSE"]}}'
```

对于 Microsoft Windows，使用脱字符 (^) 行继续符来提高可读性：

```
C:\> aws macie2 describe-buckets ^
--criteria={\"publicAccess.effectivePermission\":{\"eq\":[\"PUBLIC\"]},\"objectCountByEncryptionType.unencrypted\":{\"gte\":1},\"jobDetails.isMonitoredByJob\":{\"eq\":[\"FALSE\"]}}
```

其中：
+ *publicAccess.effectivePermission*指定**有效权限**字段的 JSON 名称，以及：
  + *eq* 指定 *等于* 运算符。
  + *PUBLIC*是 “**有效权限**” 字段的枚举值。
+ *objectCountByEncryptionType.unencrypted*指定 “**不加密**” 字段的 JSON 名称，以及：
  + *gte*指定*大于或等于*运算符。
  + *1*是 “**不加密**” 字段在包含的相对数值范围内的最低值。
+ *jobDetails.isMonitoredByJob*指定 “受任务**主动监控” 字段的 J** SON 名称，以及：
  + *eq* 指定 *等于* 运算符。
  + *FALSE*是 “受**工作主动监控**” 字段的枚举值。

# 允许 Macie 访问 S3 存储桶和对象
<a name="monitoring-restrictive-s3-buckets"></a>

当你为你启用 Amazon Macie 时 AWS 账户，Macie 会创建一个[服务相关角色，该角色](service-linked-roles.md)授予 Macie 代表你调用亚马逊简单存储服务 (Amazon S3) 和其他服务所需的权限。 AWS 服务 服务相关角色简化了设置的过程， AWS 服务 因为您不必手动添加服务权限即可代表您完成操作。要了解这类角色，请参阅《AWS Identity and Access Management 用户指南》**中的 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)。

Macie 服务相关角色 (`AWSServiceRoleForAmazonMacie`) 的权限策略允许 Macie 执行操作，包括检索有关您的 S3 存储桶和对象的信息，以及从您的存储桶中检索对象。如果您是组织的 Macie 管理员，则此策略还允许 Macie 代表您组织中的成员账户执行以下作业。

Macie 使用这些权限执行以下作业：
+ 生成并维护 S3 通用存储桶的清单。
+ 提供有关存储桶和存储桶中对象的统计数据和其他数据。
+ 监控和评测存储桶的安全性和访问控制。
+ 分析存储桶中的对象以检测敏感数据。

在大多数情况下，Macie 拥有执行这些作业所需的权限。但是，如果 S3 存储桶具有限制性存储桶策略，则该策略可能会阻止 Macie 执行部分或全部作业。

*存储桶策略*是一种基于资源的 AWS Identity and Access Management (IAM) 策略，它指定委托人（用户、账户、服务或其他实体）可以对 S3 存储桶执行哪些操作，以及委托人可以在哪些条件下执行这些操作。这些操作和条件可能适用于存储桶级别的操作（例如检索有关存储桶的信息）和对象级操作（例如从存储桶中检索对象）。

存储桶策略通常使用显式 `Allow` 或 `Deny` 语句和条件来授予或限制访问权限。例如，存储桶策略可能包含拒绝访问存储桶的`Allow`或`Deny`语句，除非使用特定的源 IP 地址、Amazon Virtual Private Cloud (Amazon VPC) 终端节点或 VPCs 用于访问存储桶。有关使用存储桶策略授予或限制对存储桶的访问权限的信息，请参阅*《Amazon Simple Storage Service 用户指南》*中的 [Amazon S3 的存储桶策略](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html)以及 [Amazon S3 如何授权请求](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-s3-evaluates-access-control.html)。

如果存储桶策略使用显式 `Allow` 语句，该策略不会阻止 Macie 检索有关存储桶和存储桶对象的信息，或从存储桶中检索对象。这是因为 Macie 服务相关角色的权限策略中的 `Allow` 语句授予了这些权限。

但是，如果存储桶策略使用带有一个或多个条件的显式 `Deny` 语句，则可能不允许 Macie 检索有关存储桶或存储桶对象的信息，也不允许检索存储桶的对象。例如，如果存储桶策略明确拒绝来自除特定 IP 地址之外的所有来源的访问，则在您运行敏感数据发现作业时，将不允许 Macie 分析存储桶的对象。这是因为限制性存储桶策略优先于 Macie 服务相关角色的权限策略中的 `Allow` 语句。

要允许 Macie 访问具有限制性存储桶策略的 S3 存储桶，您可以在存储桶策略中添加 Macie 服务相关角色的条件 (`AWSServiceRoleForAmazonMacie`)。该条件可以将 Macie 服务相关角色排除在与策略 `Deny` 限制的匹配范围之外。它可以通过使用 `aws:PrincipalArn` [全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)和 Macie 服务相关角色的 Amazon 资源名称（ARN）来完成此操作。

下面的程序将指导您完成这一过程，并提供了一个示例。

**将 Macie 服务相关角色添加到存储桶策略中**

1. 登录 AWS 管理控制台 并打开 Amazon S3 控制台，网址为[https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)。

1. 在导航窗格中，选择**存储桶**。

1. 请选择要允许 Macie 访问的 S3 存储桶。

1. 在 **Permissions**（权限）标签页中，在 **Bucket policy**（存储桶策略）下，请选择 **Edit**（编辑）。

1. 在 **存储桶策略**编辑器中，标识限制访问权限并阻止 Macie 访问存储桶或存储桶对象的每条 `Deny` 语句。

1. 在每条 `Deny` 语句中，添加一个使用 `aws:PrincipalArn` 全局条件上下文密钥的条件，并为您的 AWS 账户指定 Macie 服务相关角色的 ARN。

   条件键的值应为`arn:aws:iam::123456789012:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie`，其中*123456789012*是您的账户 ID AWS 账户。

将其添加到存储桶策略的位置取决于该策略当前包含的结构、元素和条件。要了解支持的结构和元素，请参阅*《Amazon Simple Storage Service 用户指南》*中的 [Amazon S3 中的策略和权限](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-policy-language-overview.html)。

以下是存储桶策略的示例，该策略使用显式 `Deny` 语句来限制对名为 `amzn-s3-demo-bucket` 的 S3 存储桶的访问。根据当前策略，只能从 ID 为 `vpce-1a2b3c4d` 的 VPC 端点访问存储桶。所有其他 VPC 终端节点的访问均被拒绝，包括来自 AWS 管理控制台 和 Macie 的访问。

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Id": "Policy1415115example",
   "Statement": [
      {
         "Sid": "Access only from specific VPCE",
         "Effect": "Deny",
         "Principal": "*",
         "Action": "s3:*",
         "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket",
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
         ],
         "Condition": {
            "StringNotEquals": {
               "aws:SourceVpce": "vpce-1a2b3c4d"
            }
         }
      }
   ]
}
```

------

要更改此策略并允许 Macie 访问 S3 存储桶和存储桶的对象，我们可以添加一个使用`StringNotLike` [条件运算符](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)和`aws:PrincipalArn` [全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)的条件。此附加条件将 Macie 服务相关角色排除在与 `Deny` 限制的匹配范围之外。

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Id":" Policy1415115example ",
   "Statement": [
      {
         "Sid": "Access only from specific VPCE and Macie",
         "Effect": "Deny",
         "Principal": "*",
         "Action": "s3:*",
         "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket",
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
         ],
         "Condition": {
            "StringNotEquals": {
               "aws:SourceVpce": "vpce-1a2b3c4d"
            },
            "StringNotLike": {
               "aws:PrincipalArn": "arn:aws:iam::123456789012:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie"
            }
         }
      }
   ]
}
```

------

在前面的示例中，`StringNotLike` 条件运算符使用 `aws:PrincipalArn` 条件上下文密钥指定 Macie 服务相关角色的 ARN，其中：
+ `123456789012`是允许使用 Mac AWS 账户 ie 检索有关存储桶和存储桶对象的信息以及从存储桶检索对象的账户 ID。
+ `macie.amazonaws.com` 是 Macie 服务主体的标识符。
+ `AWSServiceRoleForAmazonMacie` 是 Macie 服务相关角色的名称。

我们之所以使用 `StringNotLike` 运算符，是因为策略已经使用了 `StringNotEquals` 运算符。一个策略只能使用 `StringNotEquals` 运算符一次。

有关管理 Amazon S3 资源访问权限的其他策略示例和详细信息，请参阅《*亚马逊简单存储服务用户指南》*中的[访问控制](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html)。