本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 執行自動化敏感資料探索
為了廣泛了解敏感資料可能位於 Amazon Simple Storage Service (Amazon S3) 資料資產中的位置,請將 Amazon Macie 設定為針對您的帳戶或組織執行自動敏感資料探索。透過自動敏感資料探索,Macie 會持續評估您的 S3 儲存貯體庫存,並使用取樣技術來識別和選取儲存貯體中的代表性 S3 物件。然後,Macie 會擷取和分析選取的物件,檢查它們是否有敏感資料。
根據預設,Macie 會從所有 S3 一般用途儲存貯體中選取和分析物件。如果您是組織的 Macie 管理員,這包含成員帳戶擁有的儲存貯體中的物件。您可以透過排除特定儲存貯體來調整分析範圍。例如,您可以排除通常存放 AWS 記錄資料的儲存貯體。如果您是 Macie 管理員,另一個選項是針對組織中的個別帳戶,依case-by-case啟用或停用自動敏感資料探索。
您可以自訂分析以專注於特定類型的敏感資料。根據預設,Macie 會使用一組我們建議用於自動敏感資料探索的受管資料識別符來分析 S3 物件。若要自訂分析,您可以設定 Macie 使用 Macie 提供的特定[受管資料識別符](managed-data-identifiers.md)、您定義的[自訂資料識別符](custom-data-identifiers.md),或兩者的組合。您也可以透過設定 Macie 使用您指定的[允許清單](allow-lists.md)來精簡分析。
隨著分析每天進行,Macie 會產生其找到的敏感資料記錄及其執行的分析:*敏感資料調查結果*,報告 Macie 在個別 S3 物件中找到的敏感資料,以及*敏感資料探索結果*,這些結果會記錄個別 S3 物件分析的詳細資訊。Macie 也會更新統計資料、清查資料,以及其提供的其他 Amazon S3 資料相關資訊。例如, 主控台上的互動式熱度貼圖提供資料資產間資料敏感度的視覺化呈現:
![\[S3 儲存貯體映射。它會顯示不同的彩色方塊,每個 S3 儲存貯體各一個,依帳戶分組。\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/scrn-s3-map-small.png)
這些功能旨在協助您評估 Amazon S3 資料資產中的資料敏感度,並深入調查和評估個別帳戶、儲存貯體和物件。它們也可以協助您透過執行[敏感資料探索任務](discovery-jobs.md),判斷在何處執行更深入、更即時的分析。結合 Macie 提供的 Amazon S3 資料安全性和隱私權相關資訊,您也可以使用這些功能來識別可能需要立即修復的情況,例如,Macie 發現敏感資料的公開存取儲存貯體。
若要設定和管理自動敏感資料探索,您必須是組織的 Macie 管理員,或擁有獨立的 Macie 帳戶。
**Topics**
+ [自動化敏感資料探索的運作方式](discovery-asdd-how-it-works.md)
+ [設定自動敏感資料探索](discovery-asdd-account-manage.md)
+ [檢閱自動化敏感資料探索結果](discovery-asdd-results-s3.md)
+ [評估自動化敏感資料探索涵蓋範圍](discovery-coverage.md)
+ [調整 S3 儲存貯體的敏感度分數](discovery-asdd-s3bucket-manage.md)
+ [S3 儲存貯體的敏感度評分](discovery-scoring-s3.md)
+ [自動化敏感資料探索的預設設定](discovery-asdd-settings-defaults.md)
# 自動化敏感資料探索的運作方式
當您為 啟用 Amazon Macie 時 AWS 帳戶,Macie 會在目前的 中為您的帳戶建立 AWS Identity and Access Management (IAM) [服務連結角色](service-linked-roles.md) AWS 區域。此角色的許可政策可讓 Macie 代表您呼叫其他 AWS 服務 和監控 AWS 資源。透過使用此角色,Macie 會產生和維護 區域中 Amazon Simple Storage Service (Amazon S3) 一般用途儲存貯體的清查。清查包含儲存貯體中每個 S3 儲存貯體和物件的相關資訊。如果您是組織的 Macie 管理員,您的庫存會包含成員帳戶擁有的儲存貯體相關資訊。如需詳細資訊,請參閱[管理多個 帳戶](macie-accounts.md)。
如果您啟用自動敏感資料探索,Macie 會每天評估您的庫存資料,以識別符合自動探索資格的 S3 物件。作為評估的一部分,Macie 也會選取要分析的代表性物件抽樣。然後,Macie 會擷取和分析每個所選物件的最新版本,並檢查其是否有敏感資料。
隨著分析每天進行,Macie 會更新統計資料、清查資料,以及它提供的其他 Amazon S3 資料相關資訊。Macie 也會產生其找到的敏感資料及其執行的分析記錄。產生的資料可讓您深入了解 Macie 在 Amazon S3 資料資產中發現敏感資料的位置,這可以跨越您帳戶的所有 S3 一般用途儲存貯體。資料可協助您評估 Amazon S3 資料的安全性和隱私權、判斷在何處執行更深入的調查,以及識別需要修復的案例。
如需自動敏感資料探索運作方式的簡短示範,請觀看下列影片:
若要設定和管理自動敏感資料探索,您必須是組織的 Macie 管理員,或擁有獨立的 Macie 帳戶。如果您的帳戶是組織的一部分,只有組織的 Macie 管理員才能啟用或停用組織中帳戶的自動探索。此外,只有 Macie 管理員可以設定和管理帳戶的自動探索設定。這包括定義 Macie 執行之分析範圍和性質的設定。如果您在組織中有成員帳戶,請聯絡您的 Macie 管理員,以了解您帳戶和組織的設定。
**Topics**
+ [關鍵元件](#discovery-asdd-how-it-works-components)
+ [考量事項](#discovery-asdd-how-it-works-considerations)
## 關鍵元件
Amazon Macie 使用功能和技術的組合來執行自動敏感資料探索。這些功能與 Macie 提供的功能搭配使用,可協助您[監控 Amazon S3 資料,以控制安全性和存取控制](monitoring-s3-how-it-works.md)。
**選取要分析的 S3 物件**
Macie 每天會評估您的 Amazon S3 清查資料,以透過自動化敏感資料探索來識別符合分析資格的 S3 物件。如果您是組織的 Macie 管理員,則根據預設,評估會包含成員帳戶擁有的 S3 儲存貯體資料。
作為評估的一部分,Macie 使用抽樣技術來選取要分析的代表性 S3 物件。這些技術會定義具有類似中繼資料且可能具有類似內容的物件群組。群組是以儲存貯體名稱、字首、儲存類別、檔案名稱延伸和上次修改日期等維度為基礎。然後,Macie 從每個群組中選取一組代表性的樣本,從 Amazon S3 擷取每個所選物件的最新版本,並分析每個選取的物件,以判斷物件是否包含敏感資料。當分析完成時,Macie 會捨棄物件的副本。
抽樣策略會優先考慮分散式分析。一般而言,它會使用廣度優先方法來處理 Amazon S3 資料資產。每天,會根據 Amazon S3 資料資產中所有可分類物件的總儲存體大小,盡可能從您的一般用途儲存貯體中選取一組代表性的 S3 物件。 Amazon S3 例如,如果 Macie 已在一個儲存貯體中的物件中分析並找到敏感資料,且尚未分析另一個儲存貯體中的物件,則第二個儲存貯體是分析的較高優先順序。透過此方法,您可以更快地全面了解 Amazon S3 資料的敏感度。根據您的資料資產大小,分析結果可能會在 48 小時內開始出現。
抽樣策略也會優先分析最近建立或變更的不同類型 S3 物件和物件。任何單一物件範例不保證為定論。因此,分析一組不同的物件可以更深入地了解 S3 儲存貯體可能包含的敏感資料類型和數量。此外,排定新物件或最近變更物件的優先順序,有助於分析適應儲存貯體庫存的變更。例如,如果物件是在先前的分析之後建立或變更,則這些物件是後續分析的較高優先順序。相反地,如果物件先前已分析過,且自該分析以來沒有變更,則 Macie 不會再次分析物件。此方法可協助您建立個別 S3 儲存貯體的敏感度基準。然後,隨著您帳戶的持續增量分析進度,您對個別儲存貯體的敏感度評估可能會以可預測的速度變得越來越深入和詳細。
**定義分析的範圍**
根據預設,Macie 會在評估您的庫存資料並選取要分析的 S3 物件時,包含您帳戶的所有 S3 一般用途儲存貯體。如果您是組織的 Macie 管理員,這包含成員帳戶擁有的儲存貯體。
您可以透過從自動化敏感資料探索中排除特定 S3 儲存貯體來調整分析範圍。例如,您可能想要排除通常存放 AWS 記錄資料的儲存貯體,例如 AWS CloudTrail 事件日誌。若要排除儲存貯體,您可以變更帳戶或儲存貯體的自動探索設定。如果您這樣做,Macie 會在下一個每日評估和分析週期開始時開始排除儲存貯體。分析最多可排除 1,000 個儲存貯體。如果您排除 S3 儲存貯體,稍後可以再次包含它。若要這樣做,請再次變更您帳戶或儲存貯體的設定。然後,Macie 會在下一個每日評估和分析週期開始時開始包含儲存貯體。
如果您是組織的 Macie 管理員,您也可以啟用或停用組織中個別帳戶的自動敏感資料探索。如果您停用帳戶的自動探索,Macie 會排除帳戶擁有的所有 S3 儲存貯體。如果您之後重新啟用帳戶的自動探索,Macie 會再次開始包含儲存貯體。
**決定要偵測和報告的敏感資料類型**
根據預設,Macie 會使用我們建議用於自動敏感資料探索的一組受管資料識別符來檢查 S3 物件。如需這些受管資料識別符的清單,請參閱 [自動化敏感資料探索的預設設定](discovery-asdd-settings-defaults.md)。
您可以自訂分析以專注於特定類型的敏感資料。若要這樣做,請使用下列任何方式變更您的自動探索設定:
+ **新增或移除受管資料識別**符 – *受管資料識別符*是一組內建條件和技術,旨在偵測特定類型的敏感資料,例如信用卡號碼、 AWS 秘密存取金鑰或特定國家或地區的護照號碼。如需詳細資訊,請參閱[使用受管資料識別符](managed-data-identifiers.md)。
+ **新增或移除自訂資料識別**符 – *自訂資料識別符*是您為偵測敏感資料而定義的一組條件。透過自訂資料識別符,您可以偵測反映組織特定案例、智慧財產權或專屬資料的敏感資料。例如,您可以偵測員工 IDs、客戶帳戶號碼或內部資料分類。如需詳細資訊,請參閱[建置自訂資料識別符](custom-data-identifiers.md)。
+ **新增或移除允許清單** – 在 Macie 中,允許清單會指定您要 Macie 在 S3 物件中忽略的文字或文字模式。這些通常是您特定案例或環境的敏感資料例外狀況,例如您組織的公有名稱或電話號碼,或組織用於測試的範例資料。如需詳細資訊,請參閱[使用允許清單定義敏感資料例外狀況](allow-lists.md)。
如果您變更設定,Macie 會在下一個每日分析週期開始時套用您的變更。如果您是組織的 Macie 管理員,Macie 會在分析組織中其他帳戶的 S3 物件時,使用您帳戶的設定。
您也可以設定儲存貯體層級設定,以判斷特定類型的敏感資料是否包含在儲存貯體的敏感度評估中。如要瞭解如何作業,請參閱[調整 S3 儲存貯體的敏感度分數](discovery-asdd-s3bucket-manage.md)。
**計算敏感度分數**
根據預設,Macie 會自動計算您帳戶的每個 S3 一般用途儲存貯體的敏感度分數。如果您是組織的 Macie 管理員,這包含成員帳戶擁有的儲存貯體。
在 Macie 中,*敏感度分數*是兩個主要維度交集的量化指標:Macie 在儲存貯體中找到的敏感資料量,以及 Macie 在儲存貯體中分析的資料量。儲存貯體的敏感度分數會決定 Macie 指派給儲存貯體的敏感度標籤。*敏感度標籤*是儲存貯體敏感度分數的定性表示法,例如*敏感*、*不敏感*和*尚未分析*。如需 Macie 定義的敏感度分數和標籤範圍的詳細資訊,請參閱 [S3 儲存貯體的敏感度評分](discovery-scoring-s3.md)。
S3 儲存貯體的敏感度分數和標籤不代表或以其他方式指出儲存貯體或儲存貯體物件對您或組織可能具有的嚴重性或重要性。反之,它們旨在提供參考點,以協助您識別和監控潛在的安全風險。
當您第一次啟用自動敏感資料探索時,Macie 會自動為每個 S3 儲存貯體指派 *50* 的敏感分數和*尚未分析*的標籤。例外狀況是空的儲存貯體。*空儲存貯*體是不會存放任何物件的儲存貯體,或儲存貯體的所有物件都包含零 (0) 個位元組的資料。如果是儲存貯體,Macie 會將分數 *1* 指派給儲存貯體,並將*不敏感*標籤指派給儲存貯體。
隨著自動化敏感資料探索的進行,Macie 會更新敏感分數和標籤,以反映其分析結果。例如:
+ 如果 Macie 在物件中找不到敏感資料,Macie 會降低儲存貯體的敏感度分數,並視需要更新儲存貯體的敏感度標籤。
+ 如果 Macie 在物件中發現敏感資料,Macie 會提高儲存貯體的敏感度分數,並視需要更新儲存貯體的敏感度標籤。
+ 如果 Macie 在後續變更的物件中找到敏感資料,Macie 會從儲存貯體的敏感度分數中移除物件的敏感資料偵測,並視需要更新儲存貯體的敏感度標籤。
+ 如果 Macie 在後續刪除的物件中發現敏感資料,Macie 會從儲存貯體的敏感度分數中移除物件的敏感資料偵測,並視需要更新儲存貯體的敏感度標籤。
您可以透過從儲存貯體分數中包含或排除特定類型的敏感資料,來調整個別 S3 儲存貯體的敏感度評分設定。您也可以手動將最大分數 (*100*) 指派給儲存貯體,以覆寫儲存貯體的計算分數。如果您指派最高分數,則儲存貯體的標籤為*敏感*。如需詳細資訊,請參閱[調整 S3 儲存貯體的敏感度分數](discovery-asdd-s3bucket-manage.md)。
**產生中繼資料、統計資料和其他類型的結果**
當您啟用自動敏感資料探索時,Macie 會產生並開始維護有關帳戶 S3 一般用途儲存貯體的其他庫存資料、統計資料和其他資訊。如果您是組織的 Macie 管理員,則預設包含成員帳戶擁有的儲存貯體。
額外資訊會擷取 Macie 到目前為止執行的自動化敏感資料探索活動的結果。它還補充了 Macie 提供有關 Amazon S3 資料的其他資訊,例如個別儲存貯體的公有存取和共用存取設定。其他資訊包括:
+ 整個 Amazon S3 資料資產的資料敏感性互動式視覺化呈現。
+ 彙總資料敏感性統計資料,例如 Macie 在其中找到敏感資料的儲存貯體總數,以及可公開存取的儲存貯體數量。
+ 指示分析目前狀態的儲存貯體層級詳細資訊。例如,Macie 在儲存貯體中分析的物件清單、Macie 在儲存貯體中發現的敏感資料類型,以及 Macie 發現的每種敏感資料的發生次數。
此資訊也包含統計資料和詳細資訊,可協助您評估和監控 Amazon S3 資料的涵蓋範圍。您可以檢查整體資料資產和個別 S3 儲存貯體的分析狀態。您也可以識別讓 Macie 無法分析特定儲存貯體中物件的問題。如果您修復問題,您可以在後續分析週期中增加 Amazon S3 資料的涵蓋範圍。如需詳細資訊,請參閱[評估自動化敏感資料探索涵蓋範圍](discovery-coverage.md)。
Macie 在執行自動敏感資料探索時,會自動重新計算和更新此資訊。例如,如果 Macie 在後續變更或刪除的 S3 物件中發現敏感資料,Macie 會更新適用的儲存貯體中繼資料:從分析的物件清單中移除物件;移除 Macie 在物件中找到的敏感資料;重新計算敏感分數,如果分數是自動計算的;並視需要更新敏感標籤以反映新分數。
除了中繼資料和統計資料之外,Macie 還會產生其找到的敏感資料記錄及其執行的分析:*敏感資料調查結果*,報告 Macie 在個別 S3 物件中找到的敏感資料,以及*敏感資料探索結果*,這些結果會記錄個別 S3 物件分析的詳細資訊。
如需詳細資訊,請參閱[檢閱自動化敏感資料探索結果](discovery-asdd-results-s3.md)。
## 考量事項
當您設定和使用 Amazon Macie 為您的 Amazon S3 資料執行自動敏感資料探索時,請記住下列事項:
+ 您的自動探索設定僅適用於目前的 AWS 區域。因此,產生的分析和資料僅適用於目前區域中的 S3 一般用途儲存貯體和物件。若要在其他區域中執行自動探索並存取產生的資料,請在每個其他區域中啟用和設定自動探索。
+ 如果您是組織的 Macie 管理員:
+ 只有在目前區域中的帳戶啟用 Macie 時,您才能為成員帳戶執行自動探索。此外,您必須為該區域中的帳戶啟用自動探索。成員無法為自己的帳戶啟用或停用自動探索。
+ 如果您為成員帳戶啟用自動探索,Macie 會在分析成員帳戶的資料時,為您的管理員帳戶使用自動探索設定。適用的設定為:要從分析中排除的 S3 儲存貯體清單,以及受管資料識別符、自訂資料識別符,並允許在分析 S3 物件時使用清單。成員無法檢閱或變更這些設定。
+ 成員無法存取其擁有之個別 S3 儲存貯體的自動探索設定。例如,成員無法檢閱或調整其中一個儲存貯體的敏感度評分設定。只有 Macie 管理員可以存取這些設定。
+ 成員可以讀取敏感資料探索統計資料,以及 Macie 為其 S3 儲存貯體直接提供的其他結果。例如,成員可以使用 Macie 來檢閱 S3 儲存貯體的敏感度分數和涵蓋範圍資料。例外狀況是敏感資料調查結果。只有 Macie 管理員可以直接存取自動探索產生的調查結果。
+ 如果 S3 儲存貯體的許可設定阻止 Macie 存取或擷取儲存貯體或儲存貯體物件的相關資訊,則 Macie 無法執行儲存貯體的自動探索。Macie 只能提供有關儲存貯體的資訊子集,例如 AWS 帳戶 擁有儲存貯體的 帳戶 ID、儲存貯體名稱,以及 Macie 在[每日重新整理週期](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh)中最近擷取儲存貯體的儲存貯體和物件中繼資料時。在您的儲存貯體庫存中,這些儲存貯體的敏感度分數為 *50*,而其敏感度標籤*尚未分析*。若要識別發生這種情況的 S3 儲存貯體,您可以參考涵蓋範圍資料。如需詳細資訊,請參閱[評估自動化敏感資料探索涵蓋範圍](discovery-coverage.md)。
+ 若要符合選取和分析的資格,S3 物件必須存放在一般用途儲存貯體中,且必須*可分類*。*可分類*物件使用支援的 Amazon S3 儲存類別,且具有支援檔案或儲存格式的檔案名稱副檔名。如需詳細資訊,請參閱[支援的儲存類別和格式](discovery-supported-storage.md)。
+ 如果 S3 物件已加密,只有在使用 Macie 可存取且允許使用的金鑰加密時,Macie 才能分析該物件。如需詳細資訊,請參閱[分析加密的 S3 物件](discovery-supported-encryption-types.md)。若要識別加密設定導致 Macie 無法分析儲存貯體中一或多個物件的情況,您可以參考涵蓋範圍資料。如需詳細資訊,請參閱[評估自動化敏感資料探索涵蓋範圍](discovery-coverage.md)。
# 設定自動敏感資料探索
若要廣泛了解敏感資料可能位於 Amazon Simple Storage Service (Amazon S3) 資料資產中的位置,請為您的帳戶或組織啟用並設定自動敏感資料探索。然後,Amazon Macie 會每天評估您的 S3 儲存貯體庫存,並使用抽樣技術來識別和選取儲存貯體中的代表性 S3 物件。Macie 會擷取和分析選取的物件,並檢查它們是否有敏感資料。如果您是組織的 Macie 管理員,根據預設,這包含成員帳戶擁有的 S3 儲存貯體中的物件。
隨著分析每天進行,Macie 會產生其找到的敏感資料記錄及其執行的分析。Macie 也會更新統計資料、庫存資料,以及它提供的 Amazon S3 資料其他資訊。產生的資料可讓您深入了解 Macie 在 Amazon S3 資料資產中發現敏感資料的位置,這可能跨越您帳戶或組織的所有 S3 儲存貯體。如需詳細資訊,請參閱[自動化敏感資料探索的運作方式](discovery-asdd-how-it-works.md)。
如果您有獨立的 Macie 帳戶,或是組織的 Macie 管理員,您可以為帳戶或組織設定和管理自動敏感資料探索。這包括啟用和停用自動探索,以及設定定義 Macie 執行之分析範圍和性質的設定。如果您在組織中有成員帳戶,請聯絡您的 Macie 管理員,以了解您帳戶和組織的設定。
**Topics**
+ [設定自動敏感資料探索的先決條件](discovery-asdd-account-configure-prereqs.md)
+ [啟用自動敏感資料探索](discovery-asdd-account-enable.md)
+ [設定自動敏感資料探索的設定](discovery-asdd-account-configure.md)
+ [停用自動化敏感資料探索](discovery-asdd-account-disable.md)
# 設定自動敏感資料探索的先決條件
啟用或設定自動敏感資料探索的設定之前,請先完成下列任務。這有助於確保您擁有所需的資源和許可。
若要完成這些任務,您必須是組織的 Amazon Macie 管理員,或擁有獨立的 Macie 帳戶。如果您的帳戶是組織的一部分,只有組織的 Macie 管理員才能啟用或停用組織中帳戶的自動敏感資料探索。此外,只有 Macie 管理員可以設定帳戶的自動探索設定。
**Topics**
+ [步驟 1:為敏感資料探索結果設定儲存庫](#discovery-asdd-account-configure-prereqs-sddr)
+ [步驟 2:驗證您的許可](#discovery-asdd-account-configure-prereqs-perms)
+ [後續步驟](#discovery-asdd-account-configure-prereqs-next)
## 步驟 1:為敏感資料探索結果設定儲存庫
當 Amazon Macie 執行自動敏感資料探索時,它會為每個為分析選取的 Amazon Simple Storage Service (Amazon S3) 物件建立分析記錄。這些記錄稱為*敏感資料探索結果*,記錄有關個別 S3 物件分析的詳細資訊。這包括 Macie 找不到敏感資料的物件,以及 Macie 因錯誤或許可設定等問題而無法分析的物件。如果 Macie 在 物件中找到敏感資料,敏感資料探索結果會包含 Macie 找到之敏感資料的相關資訊。敏感資料探索結果為您提供分析記錄,有助於資料隱私權和保護稽核或調查。
Macie 只會儲存您的敏感資料探索結果 90 天。若要存取結果並啟用長期儲存和保留,請設定 Macie 將結果存放在 S3 儲存貯體中。儲存貯體可以做為所有敏感資料探索結果的確定性長期儲存庫。如果您是組織的 Macie 管理員,這包含您啟用自動敏感資料探索之成員帳戶的敏感資料探索結果。
若要驗證是否已設定此儲存庫,請在 Amazon Macie 主控台的導覽窗格中選擇**探索結果**。如果您偏好以程式設計方式執行此操作,請使用 Amazon Macie API 的 [GetClassificationExportConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/classification-export-configuration.html) 操作。若要進一步了解敏感資料探索結果以及如何設定此儲存庫,請參閱 [儲存及保留敏感資料探索結果](discovery-results-repository-s3.md)。
如果您已設定儲存庫,當您第一次啟用自動敏感資料探索時,Macie 會在儲存庫`automated-sensitive-data-discovery`中建立名為 的資料夾。此資料夾存放 Macie 在為您的帳戶或組織執行自動探索時建立的敏感資料探索結果。
如果您在多個 中使用 Macie AWS 區域,請確認您已為每個區域設定儲存庫。
## 步驟 2:驗證您的許可
若要驗證您的許可,請使用 AWS Identity and Access Management (IAM) 檢閱連接至 IAM 身分的 IAM 政策。然後將這些政策中的資訊與下列必須允許您執行的動作清單進行比較:
+ `macie2:GetMacieSession`
+ `macie2:UpdateAutomatedDiscoveryConfiguration`
+ `macie2:ListClassificationScopes`
+ `macie2:UpdateClassificationScope`
+ `macie2:ListSensitivityInspectionTemplates`
+ `macie2:UpdateSensitivityInspectionTemplate`
第一個動作可讓您存取 Amazon Macie 帳戶。第二個動作可讓您啟用或停用帳戶或組織的自動敏感資料探索。對於組織,它還允許您為組織中的帳戶自動啟用自動探索。剩餘的動作可讓您識別和變更組態設定。
如果您打算使用 Amazon Macie 主控台檢閱或變更組態設定,也必須允許您執行下列動作:
+ `macie2:GetAutomatedDiscoveryConfiguration`
+ `macie2:GetClassificationScope`
+ `macie2:GetSensitivityInspectionTemplate`
這些動作可讓您擷取目前的組態設定,以及帳戶或組織的自動敏感資料探索狀態。如果您計劃以程式設計方式變更組態設定,則執行這些動作的許可是選擇性的。
如果您是組織的 Macie 管理員,也必須允許您執行下列動作:
+ `macie2:ListAutomatedDiscoveryAccounts`
+ `macie2:BatchUpdateAutomatedDiscoveryAccounts`
第一個動作可讓您擷取組織中個別帳戶的自動敏感資料探索狀態。第二個動作可讓您啟用或停用組織中個別帳戶的自動探索。
如果您不被允許執行必要動作,請向您的 AWS 管理員尋求協助。
## 後續步驟
完成上述任務後,您就可以啟用和設定帳戶或組織的設定:
+ [啟用自動敏感資料探索](discovery-asdd-account-enable.md)
+ [設定自動敏感資料探索的設定](discovery-asdd-account-configure.md)
# 啟用自動敏感資料探索
當您啟用自動敏感資料探索時,Amazon Macie 會開始評估您的 Amazon Simple Storage Service (Amazon S3) 清查資料,並在目前為您的帳戶執行其他自動探索活動 AWS 區域。如果您是組織的 Macie 管理員,則根據預設,評估和活動包含成員帳戶擁有的 S3 儲存貯體。根據 Amazon S3 資料資產的大小,統計資料和其他結果可能會在 48 小時內開始顯示。
啟用自動敏感資料探索之後,您可以設定設定,以精簡 Macie 執行之分析的範圍和性質。這些設定會指定要從分析中排除的任何 S3 儲存貯體。它們也會指定受管資料識別符、自訂資料識別符,並允許 Macie 在分析 S3 物件時使用的清單。如需這些設定的資訊,請參閱 [設定自動敏感資料探索的設定](discovery-asdd-account-configure.md)。如果您是組織的 Macie 管理員,您也可以根據case-by-case啟用或停用組織中個別帳戶的自動敏感資料探索,以縮小分析範圍。
若要啟用自動敏感資料探索,您必須是組織的 Macie 管理員,或擁有獨立的 Macie 帳戶。如果您在組織中有成員帳戶,請與您的 Macie 管理員合作,為您的帳戶啟用自動敏感資料探索。
**啟用自動敏感資料探索**
如果您是組織的 Macie 管理員,或擁有獨立的 Macie 帳戶,您可以使用 Amazon Macie 主控台或 Amazon Macie API 來啟用自動敏感資料探索。如果您是第一次啟用,請先[完成先決條件任務](discovery-asdd-account-configure-prereqs.md)。這有助於確保您擁有所需的資源和許可。
------
#### [ Console ]
請依照下列步驟,使用 Amazon Macie 主控台啟用自動敏感資料探索。
**啟用自動敏感資料探索**
1. 開啟位於 https://[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 的 Amazon Macie 主控台。
1. 使用頁面右上角的 AWS 區域 選取器,選擇您要啟用自動敏感資料探索的區域。
1. 在導覽窗格中的設定下****,選擇**自動敏感資料探索**。
1. 如果您有獨立的 Macie 帳戶,請在**狀態**區段中選擇**啟用**。
1. 如果您是組織的 Macie 管理員,請在**狀態**區段中選擇選項,以指定帳戶來啟用自動敏感資料探索:
+ 若要為組織中的所有帳戶啟用此功能,請選擇**啟用**。在出現的對話方塊中,選擇**我的組織**。對於 中的組織 AWS Organizations,選取**自動為新帳戶啟用**,以自動為後續加入您組織的帳戶啟用它。完成後,請選擇**啟用**。
+ 若要僅針對特定成員帳戶啟用此功能,請選擇**管理帳戶**。然後,在**帳戶**頁面上的表格中,選取要為其啟用的每個帳戶的核取方塊。完成後,請在**動作**功能表上選擇**啟用自動敏感資料探索**。
+ 若要僅針對 Macie 管理員帳戶啟用它,請選擇**啟用**。在出現的對話方塊中,選擇**我的帳戶**並清除**自動啟用新帳戶**。完成後,請選擇**啟用**。
如果您在多個區域中使用 Macie,並想要在其他區域中啟用自動敏感資料探索,請在每個其他區域中重複上述步驟。
若要後續檢查或變更組織中個別帳戶自動敏感資料探索的狀態,請在導覽窗格中選擇**帳戶**。在**帳戶**頁面上,表格中的**自動化敏感資料探索**欄位指出帳戶自動探索的目前狀態。若要變更帳戶的狀態,請選取帳戶的核取方塊。然後使用**動作**功能表來啟用或停用帳戶的自動探索。
------
#### [ API ]
若要以程式設計方式啟用自動化敏感資料探索,您有幾個選項:
+ 若要為 Macie 管理員帳戶、組織或獨立 Macie 帳戶啟用此功能,請使用 [UpdateAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html) 操作。或者,如果您使用的 AWS Command Line Interface 是 (AWS CLI),請執行 [update-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-automated-discovery-configuration.html) 命令。
+ 若要僅針對組織中的特定成員帳戶啟用此功能,請使用 [BatchUpdateAutomatedDiscoveryAccounts](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-accounts.html) 操作。或者,如果您使用的是 AWS CLI,請執行 [batch-update-automated-discovery-accounts](https://docs.aws.amazon.com/cli/latest/reference/macie2/batch-update-automated-discovery-accounts.html) 命令。若要為成員帳戶啟用自動探索,您必須先為管理員帳戶或組織啟用它。
其他選項和詳細資訊會根據您擁有的帳戶類型而有所不同。
如果您是 Macie 管理員,請使用 **UpdateAutomatedDiscoveryConfiguration**操作或執行 **update-automated-discovery-configuration**命令,為您的 帳戶或組織啟用自動敏感資料探索。在您的請求中,`ENABLED`為 `status` 參數指定 。針對 `autoEnableOrganizationMembers` 參數,指定要為其啟用的帳戶。如果您使用的是 AWS CLI,請使用 `auto-enable-organization-members` 參數指定帳戶。有效的值如下:
+ `ALL` (預設) – 為您組織中的所有帳戶啟用此功能。這包括您的管理員帳戶、現有的成員帳戶,以及後續加入您組織的帳戶。
+ `NEW` – 為您的管理員帳戶啟用它。同時為後續加入您組織的帳戶自動啟用此功能。如果您之前為組織啟用了自動探索,並指定了此值,則將繼續為目前啟用的現有成員帳戶啟用自動探索。
+ `NONE` – 僅啟用您的管理員帳戶。請勿針對後續加入您組織的帳戶自動啟用此功能。如果您之前為組織啟用了自動探索,並指定了此值,則將繼續為目前啟用的現有成員帳戶啟用自動探索。
如果您想要僅針對特定成員帳戶選擇性地啟用自動敏感資料探索,請指定 `NEW`或 `NONE`。然後,您可以使用 **BatchUpdateAutomatedDiscoveryAccounts**操作或執行 **batch-update-automated-discovery-accounts**命令來啟用帳戶的自動探索。
如果您有獨立的 Macie 帳戶,請使用 **UpdateAutomatedDiscoveryConfiguration**操作或執行 **update-automated-discovery-configuration**命令,為您的 帳戶啟用自動敏感資料探索。在您的請求中,`ENABLED`為 `status` 參數指定 。針對 `autoEnableOrganizationMembers` 參數,請考慮您是否計劃成為其他帳戶的 Macie 管理員,並指定適當的值。如果您指定 `NONE`,當您成為帳戶的 Macie 管理員時,帳戶不會自動啟用自動探索。如果您指定 `ALL`或 `NEW`,會自動為帳戶啟用自動探索。如果您使用的是 AWS CLI,請使用 `auto-enable-organization-members` 參數來指定此設定的適當值。
下列範例示範如何使用 AWS CLI 為組織中的一或多個帳戶啟用自動敏感資料探索。第一個範例會首次啟用組織中所有帳戶的自動探索。它可自動探索 Macie 管理員帳戶、所有現有的成員帳戶,以及後續加入組織的任何帳戶。
```
$ aws macie2 update-automated-discovery-configuration --status ENABLED --auto-enable-organization-members ALL --region us-east-1
```
其中 *us-east-1* 是為帳戶啟用自動敏感資料探索的區域,即美國東部 (維吉尼亞北部) 區域。如果請求成功,Macie 會啟用帳戶的自動探索,並傳回空的回應。
下一個範例會將組織的成員啟用設定變更為 `NONE`。透過此變更,不會針對後續加入組織的帳戶自動啟用自動敏感資料探索。相反地,它只會針對 Macie 管理員帳戶及其目前啟用的任何現有成員帳戶啟用。
```
$ aws macie2 update-automated-discovery-configuration --status ENABLED --auto-enable-organization-members NONE --region us-east-1
```
其中 *us-east-1* 是變更設定的區域,即美國東部 (維吉尼亞北部) 區域。如果請求成功,Macie 會更新設定並傳回空白回應。
下列範例可為組織中的兩個成員帳戶啟用自動敏感資料探索。Macie 管理員已為組織啟用自動探索。此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\$1) 行接續字元來改善可讀性。
```
$ aws macie2 batch-update-automated-discovery-accounts \
--region us-east-1 \
--accounts '[{"accountId":"123456789012","status":"ENABLED"},{"accountId":"111122223333","status":"ENABLED"}]'
```
此範例已針對 Microsoft Windows 進行格式化,並使用八進制 (^) 換行字元來改善可讀性。
```
C:\> aws macie2 batch-update-automated-discovery-accounts ^
--region us-east-1 ^
--accounts=[{\"accountId\":\"123456789012\",\"status\":\"ENABLED\"},{\"accountId\":\"111122223333\",\"status\":\"ENABLED\"}]
```
其中:
+ *us-east-1* 是為指定的帳戶美國東部 (維吉尼亞北部) 區域啟用自動敏感資料探索的區域。
+ *123456789012* 和 *111122223333* 是帳戶用來啟用自動敏感資料探索的帳戶 IDs。
如果所有指定帳戶的請求成功,Macie 會傳回空`errors`陣列。如果某些帳戶的請求失敗,陣列會指定每個受影響帳戶的錯誤。例如:
```
"errors": [
{
"accountId": "123456789012",
"errorCode": "ACCOUNT_PAUSED"
}
]
```
在上述回應中,指定帳戶 (`123456789012`) 的請求失敗,因為該帳戶的 Macie 目前已暫停。若要解決此錯誤,Macie 管理員必須先為帳戶啟用 Macie。
如果所有帳戶的請求都失敗,您會收到說明發生錯誤的訊息。
------
# 設定自動敏感資料探索的設定
如果您為帳戶或組織啟用自動敏感資料探索,您可以調整自動探索設定,以精簡 Amazon Macie 執行的分析。這些設定指定要從分析中排除的 Amazon Simple Storage Service (Amazon S3) 儲存貯體。它們也會指定要偵測和報告的敏感資料類型和出現次數,包括受管資料識別符、自訂資料識別符,並允許清單在分析 S3 物件時使用。
根據預設,Macie 會為您帳戶的所有 S3 一般用途儲存貯體執行自動敏感資料探索。如果您是組織的 Macie 管理員,這包含成員帳戶擁有的儲存貯體。您可以從分析中排除特定儲存貯體。例如,您可以排除通常存放 AWS 記錄資料的儲存貯體,例如 AWS CloudTrail 事件日誌。如果您排除儲存貯體,您可以稍後再次包含該儲存貯體。
此外,Macie 只會使用一組我們建議用於自動敏感資料探索的受管資料識別符來分析 S3 物件。Macie 不會使用自訂資料識別符或允許您定義的清單。若要自訂分析,您可以新增或移除特定受管資料識別符、自訂資料識別符和允許清單。
如果您變更設定,Macie 會在下一個評估和分析週期開始時套用變更,通常是在 24 小時內。此外,您的變更僅適用於目前的 AWS 區域。若要在其他區域中進行相同的變更,請在每個其他區域中重複適用的步驟。
**Topics**
+ [組織的組態選項](#discovery-asdd-configure-options-orgs)
+ [排除或包含 S3 儲存貯體](#discovery-asdd-account-configure-s3buckets)
+ [新增或移除受管資料識別符](#discovery-asdd-account-configure-mdis)
+ [新增或移除自訂資料識別符](#discovery-asdd-account-configure-cdis)
+ [新增或移除允許清單](#discovery-asdd-account-configure-als)
**注意**
若要設定自動敏感資料探索的設定,您必須是組織的 Macie 管理員,或擁有獨立的 Macie 帳戶。如果您的帳戶是組織的一部分,則只有組織的 Macie 管理員可以設定和管理組織中帳戶的設定。如果您有成員帳戶,請聯絡您的 Macie 管理員,以了解您帳戶和組織的設定。
## 組織的組態選項
如果帳戶是集中管理多個 Amazon Macie 帳戶的組織的一部分,組織的 Macie 管理員會設定和管理組織中帳戶的自動敏感資料探索。這包括定義 Macie 為帳戶執行之分析範圍和性質的設定。成員無法存取自己帳戶的這些設定。
如果您是組織的 Macie 管理員,您可以透過多種方式定義分析範圍:
+ **自動啟用帳戶的自動敏感資料探索** – 當您啟用自動敏感資料探索時,您可以指定要為所有現有帳戶和新成員帳戶啟用它、僅啟用新成員帳戶,還是不啟用成員帳戶。如果您為新成員帳戶啟用此功能,則會在帳戶在 Macie 中加入您的組織時,自動為後續加入您組織的任何帳戶啟用此功能。如果帳戶已啟用此功能,Macie 會包含帳戶擁有的 S3 儲存貯體。如果帳戶已停用,Macie 會排除帳戶擁有的儲存貯體。
+ **選擇性地啟用帳戶的自動敏感資料探索** – 使用此選項,您可以case-by-case帳戶個別案例啟用或停用自動敏感資料探索。如果您為 帳戶啟用此功能,Macie 會包含帳戶擁有的 S3 儲存貯體。如果您未啟用或停用帳戶的儲存貯體,Macie 會排除帳戶擁有的儲存貯體。
+ **從自動敏感資料探索中排除特定 S3 儲存貯**體 – 如果您為帳戶啟用自動敏感資料探索,則可以排除帳戶擁有的特定 S3 儲存貯體。Macie 接著會在執行自動探索時略過儲存貯體。若要排除特定儲存貯體,請將它們新增至管理員帳戶的組態設定中的排除清單。您可以為您的組織排除多達 1,000 個儲存貯體。
根據預設,自動為組織中的所有新帳戶和現有帳戶啟用自動敏感資料探索。此外,Macie 包含帳戶擁有的所有 S3 儲存貯體。如果您保留預設設定,這表示 Macie 會為您的管理員帳戶執行所有儲存貯體的自動探索,其中包括您的成員帳戶擁有的所有儲存貯體。
身為 Macie 管理員,您也可以定義 Macie 為組織執行之分析的性質。您可以透過為管理員帳戶設定其他設定來執行此操作:受管資料識別符、自訂資料識別符,並允許 Macie 在分析 S3 物件時要使用的清單。Macie 在分析組織中其他帳戶的 S3 物件時,會使用管理員帳戶的設定。
## 在自動化敏感資料探索中排除或包含 S3 儲存貯體
根據預設,Amazon Macie 會為您帳戶的所有 S3 一般用途儲存貯體執行自動敏感資料探索。如果您是組織的 Macie 管理員,這包含成員帳戶擁有的儲存貯體。
若要縮小範圍,您可以從分析中排除多達 1,000 個 S3 儲存貯體。如果您排除儲存貯體,Macie 會在執行自動敏感資料探索時停止選取和分析儲存貯體中的物件。儲存貯體的現有敏感資料探索統計資料和詳細資訊會持續存在。例如,儲存貯體目前的敏感度分數保持不變。排除儲存貯體之後,您可以稍後再次包含該儲存貯體。
**在自動化敏感資料探索中排除或包含 S3 儲存貯體**
您可以使用 Amazon Macie 主控台或 Amazon Macie API 來排除或後續包含 S3 儲存貯體。
------
#### [ Console ]
請依照下列步驟,使用 Amazon Macie 主控台排除或後續包含 S3 儲存貯體。
**排除或包含 S3 儲存貯體**
1. 在 https://[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。
1. 透過使用頁面右上角的 AWS 區域 選取器,選擇您要在分析中排除或包含特定 S3 儲存貯體的區域。
1. 在導覽窗格中的設定下****,選擇**自動敏感資料探索**。
自動化**敏感資料探索**頁面隨即出現,並顯示您目前的設定。在該頁面上,**S3 儲存貯**體區段會列出目前排除的 S3 儲存貯體,或指出目前包含所有儲存貯體。
1. 在 **S3 儲存貯**體區段中,選擇**編輯**。
1. 執行以下任意一項:
+ 若要排除一或多個 S3 儲存貯體,請選擇將儲存**貯體新增至排除清單**。然後,在 **S3 儲存貯**體資料表中,選取要排除的每個儲存貯體的核取方塊。資料表列出目前區域中您帳戶或組織的所有一般用途儲存貯體。
+ 若要包含您先前排除的一或多個 S3 儲存貯體,請從**排除清單中選擇移除儲存貯體**。然後,在 **S3 儲存貯**體資料表中,選取要包含的每個儲存貯體的核取方塊。資料表列出目前從分析中排除的所有儲存貯體。
若要更輕鬆地尋找特定儲存貯體,請在資料表上方的搜尋方塊中輸入搜尋條件。您也可以選擇欄標題來排序資料表。
1. 完成選取儲存貯體後,根據您在上一個步驟中選擇的選項,選擇**新增**或**移除**。
**提示**
您也可以在主控台上檢閱儲存貯體詳細資訊時case-by-case排除或包含個別 S3 儲存貯體。若要這樣做,請在 **S3 儲存貯體頁面上選擇儲存貯體**。然後,在詳細資訊面板中,變更從儲存貯體的**自動探索排除**設定。
------
#### [ API ]
若要以程式設計方式排除或後續包含 S3 儲存貯體,請使用 Amazon Macie API 來更新帳戶的分類範圍。分類範圍會指定您不希望 Macie 在執行自動敏感資料探索時分析的儲存貯體。它定義了自動探索的儲存貯體排除清單。
當您更新分類範圍時,您可以指定要從排除清單中新增或移除個別儲存貯體,還是使用新清單覆寫目前的清單。因此,最好從擷取和檢閱您目前的清單開始。若要擷取清單,請使用 [GetClassificationScope](https://docs.aws.amazon.com/macie/latest/APIReference/classification-scopes-id.html) 操作。如果您使用的是 AWS Command Line Interface (AWS CLI),請執行 [get-classification-scope](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-classification-scope.html) 命令來擷取清單。
若要擷取或更新分類範圍,您必須指定其唯一識別符 (`id`)。您可以使用 [GetAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html) 操作來取得此識別符。此操作會擷取目前用於自動敏感資料探索的組態設定,包括目前帳戶分類範圍的唯一識別符 AWS 區域。如果您使用的是 AWS CLI,請執行 [get-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-automated-discovery-configuration.html) 命令來擷取此資訊。
當您準備好更新分類範圍時,請使用 [UpdateClassificationScope](https://docs.aws.amazon.com/macie/latest/APIReference/classification-scopes-id.html) 操作,或者,如果您使用的是 AWS CLI,請執行 [update-classification-scope](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-classification-scope.html) 命令。在您的請求中,使用支援的參數在後續分析中排除或包含 S3 儲存貯體:
+ 若要排除一或多個儲存貯體,請為 `bucketNames` 參數指定每個儲存貯體的名稱。針對 `operation` 參數,請指定 `ADD`。
+ 若要包含您先前排除的一或多個儲存貯體,請為 `bucketNames` 參數指定每個儲存貯體的名稱。針對 `operation` 參數,請指定 `REMOVE`。
+ 若要使用要排除的新儲存貯體清單覆寫目前的清單,請`REPLACE`為 `operation` 參數指定 。針對 `bucketNames` 參數,指定要排除的每個儲存貯體名稱。
`bucketNames` 參數的每個值必須是目前區域中現有一般用途儲存貯體的完整名稱。值區分大小寫。如果您的請求成功,Macie 會更新分類範圍並傳回空白回應。
下列範例示範如何使用 AWS CLI 更新帳戶的分類範圍。第一組範例會從後續分析中排除兩個 S3 儲存貯體 (*amzn-s3-demo-bucket1* 和 *amzn-s3-demo-bucket2*)。它會將儲存貯體新增至要排除的儲存貯體清單。
此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\$1) 行接續字元來改善可讀性。
```
$ aws macie2 update-classification-scope \
--id 117aff7ed76b59a59c3224ebdexample \
--s3 '{"excludes":{"bucketNames":["amzn-s3-demo-bucket1","amzn-s3-demo-bucket2"],"operation": "ADD"}}'
```
此範例已針對 Microsoft Windows 進行格式化,並使用八進制 (^) 換行字元來改善可讀性。
```
C:\> aws macie2 update-classification-scope ^
--id 117aff7ed76b59a59c3224ebdexample ^
--s3={\"excludes\":{\"bucketNames\":[\"amzn-s3-demo-bucket1\",\"amzn-s3-demo-bucket2\"],\"operation\":\"ADD\"}}
```
下一組範例稍後會在後續分析中包含儲存貯體 (*amzn-s3-demo-bucket1* 和 *amzn-s3-demo-bucket2*)。它會從要排除的儲存貯體清單中移除儲存貯體。針對 Linux、macOS 或 Unix:
```
$ aws macie2 update-classification-scope \
--id 117aff7ed76b59a59c3224ebdexample \
--s3 '{"excludes":{"bucketNames":["amzn-s3-demo-bucket1","amzn-s3-demo-bucket2"],"operation": "REMOVE"}}'
```
對於 Microsoft Windows:
```
C:\> aws macie2 update-classification-scope ^
--id 117aff7ed76b59a59c3224ebdexample ^
--s3={\"excludes\":{\"bucketNames\":[\"amzn-s3-demo-bucket1\",\"amzn-s3-demo-bucket2\"],\"operation\":\"REMOVE\"}}
```
下列範例會覆寫目前清單,並以要排除的新 S3 儲存貯體清單取代目前清單。新清單會指定三個要排除的儲存貯體:*amzn-s3-demo-bucket*、*amzn-s3-demo-bucket2* 和 *amzn-s3-demo-bucket3*。針對 Linux、macOS 或 Unix:
```
$ aws macie2 update-classification-scope \
--id 117aff7ed76b59a59c3224ebdexample \
--s3 '{"excludes":{"bucketNames":["amzn-s3-demo-bucket","amzn-s3-demo-bucket2","amzn-s3-demo-bucket3"],"operation": "REPLACE"}}'
```
對於 Microsoft Windows:
```
C:\> aws macie2 update-classification-scope ^
--id 117aff7ed76b59a59c3224ebdexample ^
--s3={\"excludes\":{\"bucketNames\":[\"amzn-s3-demo-bucket\",\"amzn-s3-demo-bucket2\",\"amzn-s3-demo-bucket3\"],\"operation\":\"REPLACE\"}}
```
------
## 從自動化敏感資料探索新增或移除受管資料識別符
*受管資料識別符*是一組內建條件和技術,旨在偵測特定類型的敏感資料,例如,信用卡號碼、 AWS 私密存取金鑰或特定國家或地區的護照號碼。根據預設,Amazon Macie 會使用我們建議用於自動敏感資料探索的一組受管資料識別符來分析 S3 物件。若要檢閱這些識別符的清單,請參閱 [自動化敏感資料探索的預設設定](discovery-asdd-settings-defaults.md)。
您可以自訂分析以專注於特定類型的敏感資料:
+ 為您希望 Macie 偵測和報告的敏感資料類型新增受管資料識別符,以及
+ 移除您不希望 Macie 偵測和報告的敏感資料類型的受管資料識別符。
如需 Macie 目前提供的所有受管資料識別符的完整清單,以及每個識別符的詳細資訊,請參閱 [使用受管資料識別符](managed-data-identifiers.md)。
如果您移除受管資料識別符,您的變更不會影響 S3 儲存貯體的現有敏感資料探索統計資料和詳細資訊。例如,如果您移除秘密存取金鑰的 AWS 受管資料識別符,且 Macie 先前偵測到儲存貯體中的資料,則 Macie 會繼續報告這些偵測。不過,不要移除會影響所有儲存貯體後續分析的識別符,請考慮將其偵測排除在僅特定儲存貯體的敏感度分數之外。如需詳細資訊,請參閱[調整 S3 儲存貯體的敏感度分數](discovery-asdd-s3bucket-manage.md)。
**從自動化敏感資料探索新增或移除受管資料識別符**
您可以使用 Amazon Macie 主控台或 Amazon Macie API 來新增或移除受管資料識別符。
------
#### [ Console ]
請依照下列步驟,使用 Amazon Macie 主控台新增或移除受管資料識別符。
**新增或移除受管資料識別符**
1. 在 https://[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。
1. 使用頁面右上角的 AWS 區域 選取器,選擇要在其中新增或移除分析中受管資料識別符的區域。
1. 在導覽窗格中的設定下****,選擇**自動敏感資料探索**。
自動化**敏感資料探索**頁面隨即出現,並顯示您目前的設定。在該頁面上,**受管資料識別符**區段會顯示您目前的設定,並組織成兩個索引標籤:
+ **已新增至預設** – 此標籤會列出您新增的受管資料識別符。Macie 除了在預設設定中且您尚未移除的識別符之外,還使用這些識別符。
+ **從預設中移除** – 此標籤列出您移除的受管資料識別符。Macie 不會使用這些識別符。
1. 在**受管資料識別符**區段中,選擇**編輯**。
1. 執行下列任何一項:
+ 若要新增一或多個受管資料識別符,請選擇**新增至預設**索引標籤。然後,在表格中,選取要新增的每個受管資料識別符的核取方塊。如果已選取核取方塊,表示您已新增該識別符。
+ 若要移除一或多個受管資料識別符,請選擇**從預設標籤移除**。然後,在表格中,選取要移除的每個受管資料識別符的核取方塊。如果已選取核取方塊,表示您已移除該識別符。
在每個索引標籤上,資料表會顯示 Macie 目前提供的所有受管資料識別符清單。在表格中,第一欄指定每個受管資料識別符的 ID。ID 說明識別符設計用來偵測的敏感資料類型,例如美國護照號碼的 **USA\$1PASSPORT\$1NUMBER**。若要更輕鬆地尋找特定受管資料識別符,請在資料表上方的搜尋方塊中輸入搜尋條件。您也可以選擇欄標題來排序資料表。
1. 完成後,請選擇**儲存**。
------
#### [ API ]
若要以程式設計方式新增或移除受管資料識別符,請使用 Amazon Macie API 來更新帳戶的敏感檢查範本。範本會儲存設定,除了預設設定中的項目之外,還指定要使用哪些受管資料識別符 (*包括*)。它們也會指定不使用的受管資料識別符 (*排除*)。這些設定也會指定任何自訂資料識別符,並允許您要 Macie 使用的清單。
當您更新範本時,會覆寫其目前的設定。因此,最好先擷取您目前的設定,並決定要保留哪些設定。若要擷取您目前的設定,請使用 [GetSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html) 操作。如果您使用的是 AWS Command Line Interface (AWS CLI),請執行 [get-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitivity-inspection-template.html) 命令來擷取設定。
若要擷取或更新範本,您必須指定其唯一識別符 (`id`)。您可以使用 [GetAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html) 操作來取得此識別符。此操作會擷取目前用於自動敏感資料探索的組態設定,包括目前帳戶中敏感檢查範本的唯一識別符 AWS 區域。如果您使用的是 AWS CLI,請執行 [get-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-automated-discovery-configuration.html) 命令來擷取此資訊。
當您準備好更新範本時,請使用 [UpdateSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html) 操作,或者,如果您使用的是 AWS CLI,請執行 [update-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-sensitivity-inspection-template.html) 命令。在您的請求中,使用適當的參數,從後續分析中新增或移除一或多個受管資料識別符:
+ 若要開始使用受管資料識別符,請為 `managedDataIdentifierIds` 參數的 `includes` 參數指定其 ID。
+ 若要停止使用受管資料識別符,請為 `managedDataIdentifierIds` 參數的 `excludes` 參數指定其 ID。
+ 若要還原預設設定,請勿為 `includes`和 `excludes` 參數指定任何 IDs。然後,Macie 只會開始使用預設設定中的受管資料識別符。
除了受管資料識別符的參數之外,使用適當的`includes`參數來指定您希望 Macie 使用的任何自訂資料識別符 (`customDataIdentifierIds`) 和允許清單 (`allowListIds`)。同時指定您的請求套用的區域。如果您的請求成功,Macie 會更新範本並傳回空的回應。
下列範例示範如何使用 AWS CLI 更新帳戶的敏感度檢查範本。這些範例會新增一個受管資料識別符,並從後續分析中移除另一個識別符。它們也會維護目前設定,指定要使用的兩個自訂資料識別符。
此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\$1) 行接續字元來改善可讀性。
```
$ aws macie2 update-sensitivity-inspection-template \
--id fd7b6d71c8006fcd6391e6eedexample \
--excludes '{"managedDataIdentifierIds":["UK_ELECTORAL_ROLL_NUMBER"]}' \
--includes '{"managedDataIdentifierIds":["STRIPE_CREDENTIALS"],"customDataIdentifierIds":["3293a69d-4a1e-4a07-8715-208ddexample","6fad0fb5-3e82-4270-bede-469f2example"]}'
```
此範例已針對 Microsoft Windows 進行格式化,並使用八進制 (^) 換行字元來改善可讀性。
```
C:\> aws macie2 update-sensitivity-inspection-template ^
--id fd7b6d71c8006fcd6391e6eedexample ^
--excludes={\"managedDataIdentifierIds\":[\"UK_ELECTORAL_ROLL_NUMBER\"]} ^
--includes={\"managedDataIdentifierIds\":[\"STRIPE_CREDENTIALS\"],\"customDataIdentifierIds\":[\"3293a69d-4a1e-4a07-8715-208ddexample\",\"6fad0fb5-3e82-4270-bede-469f2example\"]}
```
其中:
+ *fd7b6d71c8006fcd6391e6eedexample* 是敏感度檢查範本要更新的唯一識別符。
+ *UK\$1ELECTORAL\$1ROLL\$1NUMBER* 是受管資料識別符停止使用的 ID *(排除*)。
+ *STRIPE\$1CREDENTIALS* 是受管資料識別符開始使用 (*包含*) 的 ID。
+ *3293a69d-4a1e-4a07-8715-208ddexample* 和 *6fad0fb5-3e82-4270-bede-469f2example* 是自訂資料識別符要使用的唯一識別符。
------
## 從自動化敏感資料探索新增或移除自訂資料識別符
*自訂資料識別符*是您定義的一組條件,用於偵測敏感資料。此條件包含規則運算式 (*Regex*),此表達式定義要比對的文字模式,以及可選擇的字元序列和精簡結果之鄰近性規則。如需詳細資訊,請參閱 [建置自訂資料識別符](custom-data-identifiers.md)。
根據預設,Amazon Macie 在執行自動敏感資料探索時不會使用自訂資料識別符。如果您希望 Macie 使用特定的自訂資料識別符,您可以將它們新增至後續分析。然後,除了您設定 Macie 使用的任何受管資料識別符之外,Macie 還會使用自訂資料識別符。
如果您新增自訂資料識別符,稍後可以將其移除。您的變更不會影響 S3 儲存貯體的現有敏感資料探索統計資料和詳細資訊。也就是說,如果您移除先前為儲存貯體產生偵測的自訂資料識別符,Macie 會繼續報告這些偵測。不過,不要移除會影響所有儲存貯體後續分析的識別符,請考慮將其偵測排除在僅特定儲存貯體的敏感度分數之外。如需詳細資訊,請參閱[調整 S3 儲存貯體的敏感度分數](discovery-asdd-s3bucket-manage.md)。
**從自動化敏感資料探索新增或移除自訂資料識別符**
您可以使用 Amazon Macie 主控台或 Amazon Macie API 來新增或移除自訂資料識別符。
------
#### [ Console ]
請依照下列步驟,使用 Amazon Macie 主控台新增或移除自訂資料識別符。
**新增或移除自訂資料識別符**
1. 開啟位於 https://[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 的 Amazon Macie 主控台。
1. 使用頁面右上角的 AWS 區域 選取器,選擇要在其中新增或移除分析中自訂資料識別符的區域。
1. 在導覽窗格中的設定下****,選擇**自動敏感資料探索**。
自動化**敏感資料探索**頁面隨即出現,並顯示您目前的設定。在該頁面上,**自訂資料識別符**區段會列出您已新增的自訂資料識別符,或指出您尚未新增任何自訂資料識別符。
1. 在**自訂資料識別符**區段中,選擇**編輯**。
1. 執行下列任何一項:
+ 若要新增一或多個自訂資料識別符,請選取每個要新增之自訂資料識別符的核取方塊。如果已選取核取方塊,表示您已新增該識別符。
+ 若要移除一或多個自訂資料識別符,請清除每個要移除之自訂資料識別符的核取方塊。如果已清除核取方塊,Macie 目前不會使用該識別符。
**提示**
若要在新增或移除自訂資料識別碼之前檢閱或測試其設定,請選擇識別碼名稱旁的連結圖示 (![\[The link icon, which is a blue box that has an arrow in it.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/icon-external-link.png))。Macie 會開啟顯示識別符設定的頁面。若要使用範例資料測試識別符,請在該頁面的範例**資料**方塊中輸入最多 1,000 個字元的文字。然後選擇**測試**。Macie 會評估範例資料並報告相符項目的數量。
1. 完成後,請選擇**儲存**。
------
#### [ API ]
若要以程式設計方式新增或移除自訂資料識別符,請使用 Amazon Macie API 來更新帳戶的敏感檢查範本。範本會存放設定,指定您希望 Macie 在執行自動敏感資料探索時使用的自訂資料識別符。這些設定也會指定要使用的受管資料識別符和允許清單。
當您更新範本時,會覆寫其目前的設定。因此,最好先擷取您目前的設定,並決定要保留哪些設定。若要擷取您目前的設定,請使用 [GetSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html) 操作。如果您使用的是 AWS Command Line Interface (AWS CLI),請執行 [get-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitivity-inspection-template.html) 命令來擷取設定。
若要擷取或更新範本,您必須指定其唯一識別符 (`id`)。您可以使用 [GetAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html) 操作來取得此識別符。此操作會擷取目前用於自動敏感資料探索的組態設定,包括目前帳戶中敏感檢查範本的唯一識別符 AWS 區域。如果您使用的是 AWS CLI,請執行 [get-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-automated-discovery-configuration.html) 命令來擷取此資訊。
當您準備好更新範本時,請使用 [UpdateSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html) 操作,或者,如果您使用的是 AWS CLI,請執行 [update-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-sensitivity-inspection-template.html) 命令。在您的請求中,使用 `customDataIdentifierIds` 參數從後續分析中新增或移除一或多個自訂資料識別符:
+ 若要開始使用自訂資料識別符,請為 參數指定其唯一識別符。
+ 若要停止使用自訂資料識別符,請從 參數中省略其唯一識別符。
使用其他參數來指定您要 Macie 使用的受管資料識別符和允許清單。同時指定您的請求套用的區域。如果您的請求成功,Macie 會更新範本並傳回空的回應。
下列範例示範如何使用 AWS CLI 更新帳戶的敏感度檢查範本。這些範例會將兩個自訂資料識別符新增至後續分析。它們也會維護目前設定,指定要使用的受管資料識別符和允許清單:使用一組預設的受管資料識別符和一個允許清單。
此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\$1) 行接續字元來改善可讀性。
```
$ aws macie2 update-sensitivity-inspection-template \
--id fd7b6d71c8006fcd6391e6eedexample \
--includes '{"allowListIds":["nkr81bmtu2542yyexample"],"customDataIdentifierIds":["3293a69d-4a1e-4a07-8715-208ddexample","6fad0fb5-3e82-4270-bede-469f2example"]}'
```
此範例已針對 Microsoft Windows 進行格式化,並使用八進制 (^) 換行字元來改善可讀性。
```
C:\> aws macie2 update-sensitivity-inspection-template ^
--id fd7b6d71c8006fcd6391e6eedexample ^
--includes={\"allowListIds\":[\"nkr81bmtu2542yyexample\"],\"customDataIdentifierIds\":[\"3293a69d-4a1e-4a07-8715-208ddexample\",\"6fad0fb5-3e82-4270-bede-469f2example\"]}
```
其中:
+ *fd7b6d71c8006fcd6391e6eedexample* 是敏感度檢查範本要更新的唯一識別符。
+ *nkr81bmtu2542yyexample* 是允許清單使用的唯一識別符。
+ *3293a69d-4a1e-4a07-8715-208ddexample* 和 *6fad0fb5-3e82-4270-bede-469f2example* 是自訂資料識別符要使用的唯一識別符。
------
## 從自動化敏感資料探索新增或移除允許清單
在 Amazon Macie 中,允許清單會定義您希望 Macie 在檢查 S3 物件是否有敏感資料時忽略的特定文字或文字模式。如果文字符合允許清單中的項目或模式,Macie 不會報告文字。即使文字符合受管或自訂資料識別符的條件,也是如此。如需詳細資訊,請參閱 [使用允許清單定義敏感資料例外狀況](allow-lists.md)。
根據預設,Macie 在執行自動敏感資料探索時,不會使用允許清單。如果您希望 Macie 使用特定的允許清單,您可以將它們新增至後續分析。如果您新增允許清單,稍後可以將其移除。
**從自動化敏感資料探索新增或移除允許清單**
您可以使用 Amazon Macie 主控台或 Amazon Macie API 來新增或移除允許清單。
------
#### [ Console ]
請依照下列步驟,使用 Amazon Macie 主控台新增或移除允許清單。
**新增或移除允許清單**
1. 在 https://[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。
1. 使用頁面右上角的 AWS 區域 選取器,選擇要從分析中新增或移除允許清單的區域。
1. 在導覽窗格中的設定下****,選擇**自動敏感資料探索**。
自動化**敏感資料探索**頁面隨即出現,並顯示您目前的設定。在該頁面上,**允許清單**區段指定您已新增的允許清單,或指出您尚未新增任何允許清單。
1. 在**允許清單**區段中,選擇**編輯**。
1. 執行下列任何一項:
+ 若要新增一或多個允許清單,請選取每個要新增允許清單的核取方塊。如果已選取核取方塊,表示您已新增該清單。
+ 若要移除一或多個允許清單,請清除每個要移除允許清單的核取方塊。如果已清除核取方塊,Macie 目前不會使用該清單。
**提示**
若要在新增或移除允許清單之前檢閱其設定,請選擇清單名稱旁的連結圖示 (![\[The link icon, which is a blue box that has an arrow in it.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/icon-external-link.png))。Macie 會開啟顯示清單設定的頁面。如果清單指定規則表達式 (*regex*),您也可以使用此頁面以範例資料測試 regex。若要這樣做,請在**範例資料**方塊中輸入最多 1,000 個字元的文字,然後選擇**測試**。Macie 會評估範例資料並報告相符項目的數量。
1. 完成後,請選擇**儲存**。
------
#### [ API ]
若要以程式設計方式新增或移除允許清單,請使用 Amazon Macie API 來更新帳戶的敏感檢查範本。範本會存放指定允許 Macie 在執行自動敏感資料探索時使用的清單的設定。這些設定也會指定要使用的受管資料識別符和自訂資料識別符。
當您更新範本時,會覆寫其目前的設定。因此,最好先擷取您目前的設定,並決定要保留哪些設定。若要擷取您目前的設定,請使用 [GetSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html) 操作。如果您使用的是 AWS Command Line Interface (AWS CLI),請執行 [get-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitivity-inspection-template.html) 命令來擷取設定。
若要擷取或更新範本,您必須指定其唯一識別符 (`id`)。您可以使用 [GetAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html) 操作來取得此識別符。此操作會擷取目前用於自動敏感資料探索的組態設定,包括目前帳戶中敏感檢查範本的唯一識別符 AWS 區域。如果您使用的是 AWS CLI,請執行 [get-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-automated-discovery-configuration.html) 命令來擷取此資訊。
當您準備好更新範本時,請使用 [UpdateSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html) 操作,或者,如果您使用的是 AWS CLI,請執行 [update-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-sensitivity-inspection-template.html) 命令。在您的請求中,使用 `allowListIds` 參數從後續分析中新增或移除一或多個允許清單:
+ 若要開始使用允許清單,請為 參數指定其唯一識別符。
+ 若要停止使用允許清單,請從 參數省略其唯一識別符。
使用其他參數來指定您要 Macie 使用的受管資料識別符和自訂資料識別符。同時指定您的請求套用的區域。如果您的請求成功,Macie 會更新範本並傳回空的回應。
下列範例示範如何使用 AWS CLI 更新帳戶的敏感度檢查範本。這些範例會將允許清單新增至後續分析。它們也會維護目前設定,指定要使用的受管資料識別符和自訂資料識別符:使用一組預設的受管資料識別符和兩個自訂資料識別符。
此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\$1) 行接續字元來改善可讀性。
```
$ aws macie2 update-sensitivity-inspection-template \
--id fd7b6d71c8006fcd6391e6eedexample \
--includes '{"allowListIds":["nkr81bmtu2542yyexample"],"customDataIdentifierIds":["3293a69d-4a1e-4a07-8715-208ddexample","6fad0fb5-3e82-4270-bede-469f2example"]}'
```
此範例已針對 Microsoft Windows 進行格式化,並使用八進制 (^) 換行字元來改善可讀性。
```
C:\> aws macie2 update-sensitivity-inspection-template ^
--id fd7b6d71c8006fcd6391e6eedexample ^
--includes={\"allowListIds\":[\"nkr81bmtu2542yyexample\"],\"customDataIdentifierIds\":[\"3293a69d-4a1e-4a07-8715-208ddexample\",\"6fad0fb5-3e82-4270-bede-469f2example\"]}
```
其中:
+ *fd7b6d71c8006fcd6391e6eedexample* 是敏感度檢查範本要更新的唯一識別符。
+ *nkr81bmtu2542yyexample* 是允許清單使用的唯一識別符。
+ *3293a69d-4a1e-4a07-8715-208ddexample* 和 *6fad0fb5-3e82-4270-bede-469f2example* 是自訂資料識別符要使用的唯一識別符。
------
# 停用自動化敏感資料探索
您可以隨時停用帳戶或組織的自動敏感資料探索。如果您這樣做,Amazon Macie 會在後續評估和分析週期開始之前停止執行帳戶或組織的所有自動探索活動,通常是在 48 小時內。其他效果會有所不同:
+ 如果您是 Macie 管理員,並針對組織中的個別帳戶停用它,則您和帳戶可以繼續存取 Macie 在為帳戶執行自動探索時產生和直接提供的所有統計資料、庫存資料和其他資訊。您可以再次為帳戶啟用自動探索。Macie 接著會繼續帳戶的所有自動探索活動。
+ 如果您是 Macie 管理員,並停用組織的管理員,您和組織中的帳戶將無法存取 Macie 在為組織執行自動探索時產生和直接提供的所有統計資料、庫存資料和其他資訊。例如,您的 S3 儲存貯體庫存不再包含敏感視覺化或分析統計資料。您之後可以再次為組織啟用自動探索。Macie 接著會繼續組織中帳戶的所有自動探索活動。如果您在 30 天內重新啟用,您和帳戶會重新取得 Macie 在執行自動探索時先前產生和直接提供的資料和資訊的存取權。如果您未在 30 天內重新啟用,Macie 會永久刪除此資料和資訊。
+ 如果您為獨立 Macie 帳戶停用它,您會失去對 Macie 在為您的帳戶執行自動探索時產生和直接提供的所有統計資料、庫存資料和其他資訊的存取權。如果您未在 30 天內重新啟用,Macie 會永久刪除此資料和資訊。
您可以繼續存取 Macie 在為帳戶或組織執行自動化敏感資料探索時產生的敏感資料調查結果。Macie 會將問題清單存放 90 天。Macie 也會保留您的組態設定以進行自動探索。此外,您存放或發佈至其他 的資料 AWS 服務 保持不變且不會受到影響,例如敏感資料探索會導致 Amazon S3 和在 Amazon EventBridge 中尋找事件。
**停用自動敏感資料探索**
如果您是組織的 Macie 管理員,或擁有獨立的 Macie 帳戶,您可以使用 Amazon Macie 主控台或 Amazon Macie API 來停用自動敏感資料探索。如果您在組織中有成員帳戶,請與您的 Macie 管理員合作,停用帳戶的自動探索。只有 Macie 管理員可以停用帳戶的自動探索。
------
#### [ Console ]
請依照下列步驟,使用 Amazon Macie 主控台停用自動敏感資料探索。
**停用自動敏感資料探索**
1. 在 https://[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。
1. 使用頁面右上角的 AWS 區域 選取器,選擇您要停用自動敏感資料探索的區域。
1. 在導覽窗格中的設定下****,選擇**自動敏感資料探索**。
1. 如果您是組織的 Macie 管理員,請在**狀態**區段中選擇選項,以指定帳戶來停用自動敏感資料探索:
+ 若要僅針對特定成員帳戶停用,請選擇**管理帳戶**。然後,在**帳戶**頁面上的表格中,選取要為其停用的每個帳戶的核取方塊。完成後,請在**動作**功能表上選擇**停用自動敏感資料探索**。
+ 若要僅針對 Macie 管理員帳戶停用它,請選擇**停用**。在出現的對話方塊中,選擇**我的帳戶**,然後選擇**停用**。
+ 若要針對組織和組織整體中的所有帳戶停用此功能,請選擇**停用**。在出現的對話方塊中,選擇**我的組織**,然後選擇**停用**。
1. 如果您有獨立的 Macie 帳戶,請在**狀態**區段中選擇**停用**。
如果您在多個區域中使用 Macie,並想要在其他區域中停用自動敏感資料探索,請在每個其他區域中重複上述步驟。
------
#### [ API ]
使用 Amazon Macie API,您可以透過兩種方式停用自動敏感資料探索。停用的方式,部分取決於您擁有的帳戶類型。如果您是組織的 Macie 管理員,這也取決於您是否只針對特定成員帳戶或整個組織停用自動探索。如果您為組織停用它,您可以為目前屬於組織的所有帳戶停用它。如果其他帳戶隨後加入您的組織,這些帳戶也會停用自動探索。
若要停用組織或獨立 Macie 帳戶的自動敏感資料探索,請使用 [UpdateAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html) 操作。或者,如果您使用的 AWS Command Line Interface 是 (AWS CLI),請執行 [update-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-automated-discovery-configuration.html) 命令。在您的請求中,`DISABLED`為 `status` 參數指定 。
若要針對組織中的特定成員帳戶停用自動敏感資料探索,請使用 [BatchUpdateAutomatedDiscoveryAccounts](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-accounts.html) 操作。或者,如果您使用的是 AWS CLI,請執行 [batch-update-automated-discovery-accounts](https://docs.aws.amazon.com/cli/latest/reference/macie2/batch-update-automated-discovery-accounts.html) 命令。在您的請求中,使用 `accountId` 參數指定您要停用自動探索的帳戶的帳戶 ID。針對 `status` 參數,請指定 `DISABLED`。若要停用帳戶的自動探索,目前必須為帳戶啟用 Macie。
下列範例示範如何使用 AWS CLI 來停用組織中一或多個帳戶的自動敏感資料探索。第一個範例會停用組織的自動探索。它會停用 Macie 管理員帳戶和組織中所有成員帳戶的自動探索。
```
$ aws macie2 update-automated-discovery-configuration --status DISABLED --region us-east-1
```
其中 *us-east-1* 是停用組織的自動敏感資料探索的區域,即美國東部 (維吉尼亞北部) 區域。如果請求成功,Macie 會停用組織的自動探索,並傳回空白回應。
這些下一個範例會停用組織中兩個成員帳戶的自動敏感資料探索。此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\$1) 行接續字元來改善可讀性。
```
$ aws macie2 batch-update-automated-discovery-accounts \
--region us-east-1 \
--accounts '[{"accountId":"123456789012","status":"DISABLED"},{"accountId":"111122223333","status":"DISABLED"}]'
```
此範例已針對 Microsoft Windows 進行格式化,並使用八進制 (^) 換行字元來改善可讀性。
```
C:\> aws macie2 batch-update-automated-discovery-accounts ^
--region us-east-1 ^
--accounts=[{\"accountId\":\"123456789012\",\"status\":\"DISABLED\"},{\"accountId\":\"111122223333\",\"status\":\"DISABLED\"}]
```
其中:
+ *us-east-1* 是要停用指定帳戶自動敏感資料探索的區域,美國東部 (維吉尼亞北部) 區域。
+ *123456789012* 和 *111122223333* 是帳戶要停用自動敏感資料探索的帳戶 IDs。
如果所有指定帳戶的請求成功,Macie 會傳回空`errors`陣列。如果某些帳戶的請求失敗,陣列會指定每個受影響帳戶發生的錯誤。例如:
```
"errors": [
{
"accountId": "123456789012",
"errorCode": "ACCOUNT_PAUSED"
}
]
```
在上述回應中,指定帳戶 (`123456789012`) 的請求失敗,因為該帳戶的 Macie 目前已暫停。
如果所有帳戶的請求都失敗,您會收到說明發生錯誤的訊息。例如:
```
An error occurred (ConflictException) when calling the BatchUpdateAutomatedDiscoveryAccounts operation: Cannot modify account states
while auto-enable is set to ALL.
```
在上述回應中,請求失敗,因為組織的成員啟用設定目前設定為為所有帳戶啟用自動敏感資料探索 (`ALL`)。若要解決錯誤,Macie 管理員必須先將此設定變更為 `NONE`或 `NEW`。如需有關此設定的詳細資訊,請參閱 [啟用自動敏感資料探索](discovery-asdd-account-enable.md)。
------
# 檢閱自動化敏感資料探索結果
如果啟用自動敏感資料探索,Amazon Macie 會自動為您的帳戶產生和維護有關 Amazon Simple Storage Service (Amazon S3) 一般用途儲存貯體的其他庫存資料、統計資料和其他資訊。如果您是組織的 Macie 管理員,則預設包含成員帳戶擁有的 S3 儲存貯體。
其他資訊會擷取 Macie 到目前為止執行的自動化敏感資料探索活動的結果。它還補充了 Macie 提供有關 Amazon S3 資料的其他資訊,例如個別 S3 儲存貯體的公開存取和加密設定。除了中繼資料和統計資料之外,Macie 還會產生其找到的敏感資料記錄,以及其執行的分析:*敏感資料調查結果*和*敏感資料探索結果*。
隨著自動化敏感資料探索每天進行,下列功能和資料可協助您檢閱和評估結果:
+ [****摘要**儀表板**](discovery-asdd-results-s3-dashboard.md) – 為您的 Amazon S3 資料資產提供彙總統計資料。統計資料包含關鍵指標的資料,例如 Macie 找到敏感資料的儲存貯體總數,以及可公開存取的儲存貯體數量。他們也會報告影響 Amazon S3 資料涵蓋範圍的問題。
+ [****S3 儲存貯**體熱度貼圖**](discovery-asdd-results-s3-inventory-map.md) – 提供跨資料資產的資料敏感性互動式視覺化呈現,依 分組 AWS 帳戶。對於每個帳戶,映射包含彙總的敏感度統計資料,並使用顏色來指出帳戶擁有的每個儲存貯體目前的敏感度分數。地圖也會使用 符號來協助您識別可公開存取、無法由 Macie 分析的儲存貯體等。
+ [****S3 儲存貯**體資料表**](discovery-asdd-results-s3-inventory-table.md) – 提供庫存中每個 S3 儲存貯體的摘要資訊。對於每個儲存貯體,資料表包含資料,例如儲存貯體目前的敏感度分數、Macie 可以在儲存貯體中分析的物件數量,以及您是否設定任何敏感資料探索任務來定期分析儲存貯體中的物件。您可以將資料表中的資料匯出至逗號分隔值 (CSV) 檔案。
+ [****S3 儲存貯**體詳細資訊**](discovery-asdd-results-s3-inventory-details.md) – 提供有關 S3 儲存貯體的詳細統計資料和資訊。詳細資訊包括 Macie 在儲存貯體中分析的物件清單,以及 Macie 在儲存貯體中找到的敏感資料的類型和出現次數明細。這些是有關影響儲存貯體資料安全性和隱私權之設定的詳細資訊。
+ [**敏感資料調查結果**](discovery-asdd-results-s3-findings.md) – 提供 Macie 在個別 S3 物件中找到的敏感資料的詳細報告。詳細資訊包括 Macie 何時找到敏感資料,以及 Macie 找到敏感資料的類型和出現次數。詳細資訊也包含受影響 S3 儲存貯體和物件的相關資訊,包括儲存貯體的公有存取設定,以及最近變更物件的時間。
+ [**敏感資料探索結果**](discovery-asdd-results-s3-sddrs.md) – 提供 Macie 針對個別 S3 物件執行的分析記錄。這包括 Macie 找不到敏感資料的物件,以及 Macie 因為問題或錯誤而無法分析的物件。如果 Macie 在 物件中找到敏感資料,敏感資料探索結果會提供 Macie 找到之敏感資料的相關資訊。
使用此資料,您可以評估 Amazon S3 資料資產中的資料敏感度,並向下切入以評估和調查個別 S3 儲存貯體和物件。結合 Macie 提供有關 Amazon S3 資料安全性和隱私權的資訊,您還可以識別可能需要立即修復的情況,例如,Macie 找到敏感資料的可公開存取儲存貯體。
其他資料可協助您評估和監控 Amazon S3 資料的涵蓋範圍。透過涵蓋範圍資料,您可以檢查整體資料資產和其中個別 S3 儲存貯體的分析狀態。您也可以識別讓 Macie 無法分析特定儲存貯體中物件的問題。如果您修復問題,您可以在後續分析週期中增加 Amazon S3 資料的涵蓋範圍。如需詳細資訊,請參閱[評估自動化敏感資料探索涵蓋範圍](discovery-coverage.md)。
**Topics**
+ [在摘要儀表板上檢閱資料敏感性統計資料](discovery-asdd-results-s3-dashboard.md)
+ [使用 S3 儲存貯體映射視覺化資料敏感度](discovery-asdd-results-s3-inventory-map.md)
+ [使用 S3 儲存貯體資料表評估資料敏感度](discovery-asdd-results-s3-inventory-table.md)
+ [檢閱 S3 儲存貯體的資料敏感性詳細資訊](discovery-asdd-results-s3-inventory-details.md)
+ [分析自動化敏感資料探索的問題清單](discovery-asdd-results-s3-findings.md)
+ [從自動化敏感資料探索存取探索結果](discovery-asdd-results-s3-sddrs.md)
# 在摘要儀表板上檢閱資料敏感性統計資料
在 Amazon Macie 主控台上,**摘要**儀表板提供目前 中 Amazon Simple Storage Service (Amazon S3) 資料的彙總統計資料和調查結果資料的快照 AWS 區域。它旨在協助您評估 Amazon S3 資料的整體安全狀態。
儀表板統計資料包含關鍵安全性指標的資料,例如可公開存取或與其他 共用的 S3 一般用途儲存貯體數量 AWS 帳戶。儀表板也會顯示您帳戶的彙總調查結果資料群組,例如,在過去七天內產生最多調查結果的儲存貯體。如果您是組織的 Macie 管理員,儀表板會提供組織中所有帳戶的彙總統計資料和資料。您可以選擇性地依帳戶篩選資料。
如果啟用自動敏感資料探索,**摘要**儀表板會包含其他統計資料。統計資料會擷取 Macie 到目前為止為您的 Amazon S3 資料執行的自動探索活動的狀態和結果。下圖顯示這些統計資料的範例。
![\[摘要儀表板上的敏感資料探索統計資料。每個統計資料都有範例資料。\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/scrn-summary-dashboard-sensitivity.png)
統計資料主要分為兩個部分:**自動化探索**和**涵蓋範圍問題**。**自動化探索**區段中的統計資料提供自動化敏感資料探索活動目前狀態和結果的快照。**涵蓋範圍問題**區段中的統計資料指出問題是否讓 Macie 無法分析個別 S3 儲存貯體中的物件。統計資料不包含您建立和執行的敏感資料探索任務的資料。不過,修復自動化敏感資料探索的涵蓋範圍問題,也可能會增加您後續執行之任務的涵蓋範圍。
**Topics**
+ [顯示儀表板](#discovery-asdd-results-s3-dashboard-view)
+ [了解儀表板上的統計資料](#discovery-asdd-results-s3-dashboard-statistics)
## 顯示摘要儀表板
請依照下列步驟,在 Amazon Macie 主控台上顯示**摘要**儀表板。若要以程式設計方式查詢統計資料,請使用 Amazon Macie API 的 [GetBucketStatistics](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3-statistics.html) 操作。
**顯示摘要儀表板**
1. 在 https://[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。
1. 在導覽窗格中,選擇**摘要**。Macie 會顯示**摘要**儀表板。
1. 若要向下切入並檢閱儀表板上項目的支援資料,請選擇項目。
如果您是組織的 Macie 管理員,儀表板會顯示您組織中帳戶和成員帳戶的彙總統計資料和資料。若要僅顯示特定帳戶的資料,請在儀表板上方的帳戶方塊中輸入**帳戶的** ID。
## 了解摘要儀表板上的敏感資料探索統計資料
**摘要**儀表板包含彙總統計資料,可協助您監控 Amazon S3 資料的自動敏感資料探索。它提供目前 Amazon S3 資料分析目前狀態和結果的快照 AWS 區域。例如,您可以使用儀表板統計資料,快速判斷 Amazon Macie 在其中找到了多少 S3 儲存貯體,以及可公開存取多少儲存貯體。您也可以評估 Amazon S3 資料的涵蓋範圍。涵蓋範圍統計資料可協助您識別防止 Macie 分析個別 S3 儲存貯體中物件的問題。
在儀表板上,自動化敏感資料探索的統計資料會整理為下列區段:
+ [儲存和敏感資料探索](#discovery-asdd-results-s3-dashboard-storage-statistics)
+ [自動化探索](#discovery-asdd-results-s3-dashboard-sensitivity-statistics)
+ [涵蓋範圍問題](#discovery-asdd-results-s3-dashboard-coverage-statistics)
每個區段中的個別統計資料如下所示。如需儀表板其他區段中統計資料的資訊,請參閱 [了解摘要儀表板的元件](monitoring-s3-dashboard.md#monitoring-s3-dashboard-components-main)。
### 儲存和敏感資料探索
在儀表板頂端,統計資料會指出您在 Amazon S3 中存放多少資料,以及 Amazon Macie 可以分析多少資料來偵測敏感資料。下圖顯示具有七個帳戶之組織的這些統計資料範例。
![\[儀表板的儲存和敏感資料探索區段。每個欄位都包含範例資料。\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/scrn-summary-dashboard-storage.png)
本節中的個別統計資料為:
+ **帳戶總數** – 如果您是組織的 Macie 管理員,或擁有獨立的 Macie 帳戶,則會顯示此欄位。它會指出儲存貯體庫存中擁有 AWS 帳戶 儲存貯體的 總數。如果您是 Macie 管理員,這是您為組織管理的 Macie 帳戶總數。如果您有獨立的 Macie 帳戶,則此值為 *1*。
**S3 儲存貯體總計** – 如果您在組織中有成員帳戶,則會顯示此欄位。它表示清查中一般用途儲存貯體的總數,包括未存放任何物件的儲存貯體。
+ **儲存** – 這些統計資料提供儲存貯體庫存中物件儲存大小的相關資訊:
+ **可分類** – Macie 可在儲存貯體中分析的所有物件的總儲存大小。
+ **總計** – 儲存貯體中所有物件的總儲存大小,包括 Macie 無法分析的物件。
如果任何物件是壓縮檔案,這些值不會反映解壓縮後這些檔案的實際大小。如果針對任何儲存貯體啟用版本控制,這些值會根據這些儲存貯體中每個物件最新版本的儲存體大小而定。
+ **物件** – 這些統計資料提供有關儲存貯體庫存中物件數量的資訊:
+ **可分類** – Macie 可以在儲存貯體中分析的物件總數。
+ **總計** – 儲存貯體中的物件總數,包括 Macie 無法分析的物件。
在上述統計資料中,如果資料和物件使用支援的 Amazon S3 儲存類別,且具有支援的檔案或儲存格式的檔案名稱副檔名,則可*分類*。您可以使用 Macie 偵測物件中的敏感資料。如需詳細資訊,請參閱[支援的儲存類別和格式](discovery-supported-storage.md)。
請注意,**儲存**體和**物件**統計資料不包含不允許 Macie 存取之儲存貯體中物件的資料。若要識別發生這種情況的儲存貯體,請在儀表板的**涵蓋範圍問題**區段中選擇**存取遭拒**統計資料。
### 自動化探索
本節會擷取 Amazon Macie 到目前為止為您的 Amazon S3 資料執行的自動化敏感資料探索活動的狀態和結果。下圖顯示本節提供的統計資料範例。
![\[儀表板的自動探索區段。圖表和相關欄位包含範例資料。\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/scrn-summary-dashboard-asdd.png)
本節中的個別統計資料如下所示。
**儲存貯體總計**
甜甜圈圖表表示儲存貯體庫存中的儲存貯體總數。圖表會根據每個儲存貯體目前的敏感度分數,將儲存貯體分組為類別:
+ **敏感** (*紅色*) – 敏感度分數介於 *51* 到 *100* 之間的儲存貯體總數。
+ **不敏感** (*藍色*) – 敏感度分數介於 *1* 到 *49* 之間的儲存貯體總數。
+ **尚未分析** (*淺灰色*) – 敏感度分數為 *50* 的儲存貯體總數。
+ **分類錯誤** (*深灰色*) – 敏感度分數為 *-1* 的儲存貯體總數。
如需 Macie 定義之敏感度分數和標籤範圍的詳細資訊,請參閱 [S3 儲存貯體的敏感度評分](discovery-scoring-s3.md)。
若要檢閱群組的其他統計資料,請將滑鼠游標移至群組上:
+ **儲存貯體** – 儲存貯體的總數。
+ **可公開存取** – 允許一般大眾對儲存貯體進行讀取或寫入存取的儲存貯體總數。
+ **可分類位元組** – Macie 可在儲存貯體中分析的所有物件的總儲存大小。這些物件使用支援的 Amazon S3 儲存類別,且具有支援檔案或儲存格式的副檔名。如需詳細資訊,請參閱[支援的儲存類別和格式](discovery-supported-storage.md)。
+ **總位元組**數 – 所有儲存貯體的總儲存大小。
在上述統計資料中,儲存體大小值是根據儲存貯體中每個物件最新版本的儲存體大小。如果任何物件是壓縮檔案,這些值不會反映解壓縮後這些檔案的實際大小。
**敏感**
此區域表示目前敏感度分數介於 *51* 到 *100* 之間的儲存貯體總數。在此群組中,**可公開存取**表示儲存貯體總數,這些儲存貯體也允許一般大眾對儲存貯體具有讀取或寫入存取權。
**不敏感**
此區域表示目前敏感度分數介於 *1* 到 *49* 之間的儲存貯體總數。在此群組中,**可公開存取**表示儲存貯體總數,這些儲存貯體也允許一般大眾對儲存貯體具有讀取或寫入存取權。
為了判斷和計算**可公開存取**統計資料的值,Macie 會分析每個儲存貯體的帳戶層級和儲存貯體層級設定組合,例如帳戶和儲存貯體的封鎖公開存取設定,以及儲存貯體的儲存貯體政策。Macie 最多可為 帳戶執行 10,000 個儲存貯體。如需詳細資訊,請參閱[Macie 如何監控 Amazon S3 資料安全性](monitoring-s3-how-it-works.md)。
請注意,**自動探索**區段中的統計資料不包含您建立和執行的敏感資料探索任務的結果。
### 涵蓋範圍問題
在本節中,統計資料會指出特定類型的問題是否導致 Amazon Macie 無法分析個別 S3 儲存貯體中的物件。下圖顯示本節提供的統計資料範例。
![\[儀表板的涵蓋範圍問題區段。每個欄位都包含範例資料。\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/scrn-summary-dashboard-coverage.png)
本節中的個別統計資料為:
+ **存取遭拒** – Macie 不允許存取的儲存貯體總數。Macie 無法分析這些儲存貯體中的任何物件。儲存貯體的許可設定可防止 Macie 存取儲存貯體和儲存貯體的物件。
+ **分類錯誤** – Macie 因物件層級分類錯誤而尚未分析的儲存貯體總數。Macie 嘗試分析這些儲存貯體中的一或多個物件。不過,由於物件層級許可設定、物件內容或配額的問題,Macie 無法分析物件。
+ **不可分類** – 未存放任何可分類物件的儲存貯體總數。Macie 無法分析這些儲存貯體中的任何物件。所有物件都使用 Macie 不支援的 Amazon S3 儲存類別,或具有 Macie 不支援的檔案或儲存格式的副檔名。
選擇統計資料的值,以顯示其他詳細資訊,並視需要顯示修補指引。如果您修復存取問題和分類錯誤,您可以在後續分析週期中增加 Amazon S3 資料的涵蓋範圍。如需詳細資訊,請參閱[評估自動化敏感資料探索涵蓋範圍](discovery-coverage.md)。
請注意,**涵蓋範圍問題**區段中的統計資料不會明確包含您建立和執行之敏感資料探索任務的資料。不過,修復會影響自動敏感資料探索的涵蓋範圍問題,也可能會增加您後續執行之任務的涵蓋範圍。
# 使用 S3 儲存貯體映射視覺化資料敏感度
在 Amazon Macie 主控台上,**S3 儲存貯**體熱度貼圖提供跨 Amazon Simple Storage Service (Amazon S3) 資料資產的資料敏感性互動式視覺化表示。它會擷取 Macie 到目前為止為目前 Amazon S3 資料執行的自動化敏感資料探索活動的結果 AWS 區域。
如果您是組織的 Macie 管理員,映射會包含成員帳戶擁有的 S3 儲存貯體的結果。資料會依帳戶 ID 分組 AWS 帳戶 和排序,如下圖所示。
![\[S3 儲存貯體映射。它會顯示不同的彩色正方形,每個儲存貯體各一個,依帳戶分組。\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/scrn-s3-map-small.png)
映射會顯示每個帳戶最多 100 個 S3 儲存貯體的資料。若要顯示所有儲存貯體的資料,您可以[改為切換到資料表檢視](discovery-asdd-results-s3-inventory-table.md),並以表格格式檢閱資料。
若要顯示映射,請在主控台的導覽窗格中選擇 **S3 儲存貯**體。然後選擇頁面頂端的映射 (![\[The map view button, which is a button that displays four black squares.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/btn-s3-map-view.png))。只有在目前啟用自動敏感資料探索時,地圖才能使用。它不包括您建立和執行的敏感資料探索任務的結果。
**Topics**
+ [解譯 S3 儲存貯體映射中的資料](#discovery-asdd-results-s3-inventory-map-legend)
+ [與 S3 儲存貯體互動映射](#discovery-asdd-results-s3-inventory-map-use)
## 解譯 S3 儲存貯體映射中的資料
在 **S3 儲存貯**體映射中,每個正方形代表儲存貯體庫存中的 S3 一般用途儲存貯體。正方形的顏色代表儲存貯體目前的敏感度分數,可測量兩個主要維度的交集:Macie 在儲存貯體中找到的敏感資料量,以及 Macie 在儲存貯體中分析的資料量。顏色色調的強度代表分數落在資料敏感度值範圍內的位置,如下圖所示。
![\[敏感分數的顏色光譜:1-49 的藍色調、51-100 的紅色調,以及 -1 的灰色。\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/sensitivity-scoring-spectrum.png)
一般而言,您可以解譯顏色和色調強度,如下所示:
+ **藍色** – 如果儲存貯體目前的敏感度分數範圍從 *1* 到 *49*,則儲存貯體的平方為藍色,且儲存貯體的敏感度標籤**不敏感**。藍色色調的強度反映了 Macie 在儲存貯體中分析的唯一物件數量,相對於儲存貯體中唯一物件的總數。較深的色調表示敏感度分數較低。
+ **無顏色** – 如果儲存貯體目前的敏感度分數為 *50*,則儲存貯體的方形不會著色,且儲存貯體的敏感度標籤**尚未分析**。此外,正方形具有虛線邊界。
+ **紅色** – 如果儲存貯體目前的敏感度分數介於 *51* 到 *100* 之間,則儲存貯體的平方為紅色,且儲存貯體的敏感度標籤為**敏感**。紅色調的強度反映 Macie 在儲存貯體中找到的敏感資料量。較深的色調表示較高敏感度分數。
+ **灰色** – 如果儲存貯體目前的敏感度分數為 *-1*,則儲存貯體的方形為深灰色,且儲存貯體的敏感度標籤為**分類錯誤**。Hue 強度不變。
如需 Macie 定義之敏感度分數和標籤範圍的詳細資訊,請參閱 [S3 儲存貯體的敏感度評分](discovery-scoring-s3.md)。
在地圖中,S3 儲存貯體的平方也可能包含 符號。符號表示可能影響您評估儲存貯體敏感度的錯誤、問題或其他類型的考量。符號也可以指出儲存貯體安全性的潛在問題,例如,可以公開存取儲存貯體。下表列出 Macie 用來通知您這些案例的符號。
| Symbol | 定義 | Description |
| --- | --- | --- |
| ![\[The Access denied symbol, which is a gray exclamation point.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/icon-map-access-denied.png) | 存取遭拒 | Macie 不允許存取儲存貯體或儲存貯體的物件。因此,Macie 無法分析儲存貯體中的任何物件。 此問題通常是因為儲存貯體具有限制性儲存貯體政策。如需如何解決此問題的資訊,請參閱 [允許 Macie 存取 S3 儲存貯體和物件](monitoring-restrictive-s3-buckets.md)。 |
| ![\[The Publicly accessible symbol, which is a solid, gray, upward-facing arrow.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/icon-map-publicly-accessible.png) | 可公開存取 | 一般公有 具有對儲存貯體的讀取或寫入存取權。 為了做出此決定,Macie 會分析每個儲存貯體的設定組合,例如帳戶和儲存貯體的封鎖公開存取設定,以及儲存貯體的儲存貯體政策。Macie 最多可為 帳戶執行 10,000 個儲存貯體。如需詳細資訊,請參閱[Macie 如何監控 Amazon S3 資料安全性](monitoring-s3-how-it-works.md)。 |
| ![\[The Unclassifiable symbol, which is a gray question mark.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/icon-map-unclassifiable.png) | 無法分類 | Macie 無法分析儲存貯體中的任何物件。儲存貯體的所有物件都使用 Macie 不支援的 Amazon S3 儲存類別,或具有 Macie 不支援的檔案或儲存格式的副檔名。 若要讓 Macie 分析物件,物件必須使用支援的儲存類別,並具有支援檔案或儲存格式的檔案名稱副檔名。如需詳細資訊,請參閱[支援的儲存類別和格式](discovery-supported-storage.md)。 |
| ![\[The Zero bytes symbol, which is the number zero.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/icon-map-zero-bytes.png) | 零位元組 | 儲存貯體不會存放任何物件供 Macie 分析。儲存貯體是空的,或儲存貯體中的所有物件都包含零 (0) 個位元組的資料。 |
## 與 S3 儲存貯體互動映射
當您檢閱 **S3 儲存貯**體映射時,您可以用不同的方式與其互動,以顯示和評估個別帳戶和儲存貯體的其他資料和詳細資訊。請依照下列步驟顯示地圖,並使用其提供的各種功能。
**與 S3 儲存貯體互動映射**
1. 在 https://[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。
1. 在導覽窗格中,選擇 **S3 儲存貯**體。**S3 儲存貯**體頁面會顯示儲存貯體庫存的映射。如果頁面以表格格式顯示您的庫存,請選擇頁面頂端的映射 (![\[The map view button, which is a button that displays four black squares.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/btn-s3-map-view.png))。
根據預設,映射不會顯示目前從自動敏感資料探索中排除的儲存貯體資料。如果您是組織的 Macie 管理員,也不會顯示目前停用自動敏感資料探索的帳戶資料。若要顯示此資料,請在篩選條件方塊下方的**「由自動探索篩選條件字符監控**」中選擇 **X**。
1. 在頁面頂端,選擇性地選擇重新整理 (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/btn-refresh-data.png)) 以從 Amazon S3 擷取最新的儲存貯體中繼資料。
1. 在 **S3 儲存貯體**映射中,執行下列任一動作:
+ 若要判斷有多少儲存貯體具有特定敏感度標籤,請參閱 AWS 帳戶 ID 下方的彩色徽章。徽章會顯示彙總的儲存貯體計數,依敏感度標籤細分。
例如,紅色徽章會報告帳戶擁有且具有**敏感**標籤的儲存貯體總數。這些儲存貯體的敏感度分數範圍從 *51* 到 *100*。藍色徽章會報告帳戶擁有且具有**不敏感**標籤的儲存貯體總數。這些儲存貯體的敏感度分數範圍從 *1* 到 *49*。
+ 若要檢閱儲存貯體的相關資訊子集,請將滑鼠游標移至儲存貯體的方形上。快顯視窗會顯示儲存貯體的名稱和目前的敏感度分數。
快顯視窗也會顯示 Macie 可在儲存貯體中分析的物件總數,以及這些物件最新版本的儲存體大小總數。這些物件是*可分類*的。它們使用支援的 Amazon S3 儲存類別,並且具有支援的檔案或儲存格式的副檔名。如需詳細資訊,請參閱[支援的儲存類別和格式](discovery-supported-storage.md)。
+ 若要篩選映射並僅顯示具有特定欄位值的儲存貯體,請將游標放在篩選條件方塊中,然後為欄位新增篩選條件。Macie 會套用條件的條件,並在篩選條件方塊下方顯示條件。若要進一步精簡結果,請新增其他欄位的篩選條件。如需詳細資訊,請參閱[篩選 S3 儲存貯體庫存](monitoring-s3-inventory-filter.md)。
+ 若要向下切入並僅顯示特定帳戶擁有的儲存貯體,請選擇帳戶的帳戶 ID。Macie 會開啟新的索引標籤,篩選並僅顯示該帳戶的資料。
1. 若要檢閱特定儲存貯體的資料敏感統計資料和其他資訊,請選擇儲存貯體的平方。然後,請參閱詳細資訊面板。如需這些詳細資訊的詳細資訊,請參閱 [檢閱 S3 儲存貯體的資料敏感性詳細資訊](discovery-asdd-results-s3-inventory-details.md)。
**提示**
在面板的**儲存貯體詳細資訊**索引標籤上,您可以對許多欄位進行樞紐分析和向下切入。若要顯示欄位具有相同值的儲存貯![\[The zoom in icon, which is a magnifying glass that has a plus sign in it.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/icon-magnifying-glass-plus-sign.png)體,請在欄位中選擇 。若要顯示具有欄位其他值的儲存貯![\[The zoom out icon, which is a magnifying glass that has a minus sign in it.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/icon-magnifying-glass-minus-sign.png)體,請在欄位中選擇 。
# 使用 S3 儲存貯體資料表評估資料敏感度
若要檢閱 Amazon Simple Storage Service (Amazon S3) 儲存貯體的摘要資訊,您可以使用 Amazon Macie 主控台上的 **S3 儲存貯**體資料表。透過使用 資料表,您可以檢閱和分析目前 中一般用途儲存貯體的庫存 AWS 區域,並向下切入以檢閱個別儲存貯體的詳細資訊和統計資料。如果您是組織的 Macie 管理員,資料表會包含成員帳戶擁有的儲存貯體相關資訊。如果您偏好以程式設計方式存取和查詢資料,您可以使用 Amazon Macie API 的 [DescribeBuckets](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3.html) 操作。
在 主控台上,您可以排序和篩選資料表來自訂檢視。您也可以將資料表中的資料匯出至逗號分隔值 (CSV) 檔案。如果您在資料表中選擇 S3 儲存貯體,詳細資訊面板會顯示儲存貯體的其他資訊。這包括設定和指標的詳細資訊和統計資料,這些設定和指標可讓您深入了解儲存貯體資料的安全性和隱私權。如果啟用自動敏感資料探索,也會包含擷取 Macie 到目前為止為儲存貯體執行之自動探索活動結果的資料。
**使用 S3 儲存貯體資料表評估資料敏感度**
1. 開啟位於 https://[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 的 Amazon Macie 主控台。
1. 在導覽窗格中,選擇 **S3 儲存貯**體。**S3 儲存貯**體頁面會顯示您的儲存貯體庫存。
根據預設,頁面不會顯示目前從自動敏感資料探索中排除的儲存貯體資料。如果您是組織的 Macie 管理員,也不會顯示目前停用自動敏感資料探索的帳戶資料。若要顯示此資料,請在篩選條件方塊下方的**由自動探索篩選條件字符監控**中選擇 **X**。
1. 選擇頁面頂端的資料表 (![\[The table view button, which is a button that displays three black horizontal lines.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/btn-s3-table-view.png))。Macie 會顯示庫存中的儲存貯體數量,以及儲存貯體的資料表。
1. 若要從 Amazon S3 擷取最新的儲存貯體中繼資料,請選擇頁面頂端的重新整理 (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/btn-refresh-data.png))。
如果資訊圖示 (![\[The information icon, which is a blue circle that has a lowercase letter i in it.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/icon-info-blue.png)) 出現在任何儲存貯體名稱旁,建議您執行此操作。此圖示表示儲存貯體是在過去 24 小時內建立的,可能是在 Macie 上次從 Amazon S3 擷取儲存貯體和物件中繼資料之後,做為[每日重新整理週期](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh)的一部分。
1. 在 **S3 儲存貯**體資料表中,檢閱庫存中每個儲存貯體的摘要資訊:
+ **敏感度** – 儲存貯體目前的敏感度分數。如需有關 Macie 定義之敏感度分數範圍的資訊,請參閱 [S3 儲存貯體的敏感度評分](discovery-scoring-s3.md)。
+ **儲存貯體** – 儲存貯體的名稱。
+ **帳戶** – 擁有儲存貯體 AWS 帳戶 之 的帳戶 ID。
+ **可分類物件** – Macie 可分析以偵測儲存貯體中敏感資料的物件總數。
+ **可分類大小** – Macie 可分析的所有物件的總儲存大小,用於偵測儲存貯體中的敏感資料。
這個值不會反映任何壓縮物件解壓縮之後的實際大小。此外,如果為儲存貯體啟用版本控制,則此值是根據儲存貯體中每個物件最新版本的儲存體大小。
+ **依任務監控** – 您是否設定任何敏感資料探索任務,以每日、每週或每月定期分析儲存貯體中的物件。
如果此欄位的值為*是*,則儲存貯體會明確包含在定期任務中,或儲存貯體符合過去 24 小時內定期任務的條件。此外,至少其中一個任務的狀態不會*取消*。Macie 每天更新此資料。
+ **最新任務執行** – 如果您設定任何一次性或定期敏感資料探索任務來分析儲存貯體中的物件,此欄位會指出其中一個任務開始執行的最新日期和時間。否則,此欄位會顯示破折號 (–)。
在上述資料中,如果物件使用支援的 Amazon S3 儲存類別,且具有支援的檔案或儲存格式的檔案名稱副檔名,則可以*分類*物件。您可以使用 Macie 偵測物件中的敏感資料。如需詳細資訊,請參閱[支援的儲存類別和格式](discovery-supported-storage.md)。
1. 若要使用 資料表分析您的庫存,請執行下列任一動作:
+ 若要依特定欄位排序資料表,請選擇欄位的欄位標題。若要變更排序順序,請再次選擇欄標題。
+ 若要篩選資料表並僅顯示具有特定欄位值的儲存貯體,請將游標放在篩選方塊中,然後為 欄位新增篩選條件。若要進一步精簡結果,請新增其他欄位的篩選條件。如需詳細資訊,請參閱[篩選 S3 儲存貯體庫存](monitoring-s3-inventory-filter.md)。
+ 若要檢閱特定儲存貯體的資料敏感統計資料和其他資訊,請選擇儲存貯體的名稱。然後,請參閱詳細資訊面板。如需這些詳細資訊的詳細資訊,請參閱 [檢閱 S3 儲存貯體詳細資訊](discovery-asdd-results-s3-inventory-details.md)。
**提示**
在面板的**儲存貯體詳細資訊**索引標籤上,您可以對許多欄位進行樞紐分析和向下切入。若要顯示欄位具有相同值的儲存貯![\[The zoom in icon, which is a magnifying glass that has a plus sign in it.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/icon-magnifying-glass-plus-sign.png)體,請在欄位中選擇 。若要顯示具有欄位其他值的儲存貯![\[The zoom out icon, which is a magnifying glass that has a minus sign in it.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/icon-magnifying-glass-minus-sign.png)體,請在欄位中選擇 。
1. 若要將資料從資料表匯出至 CSV 檔案,請選取要匯出每一列的核取方塊,或選取選取欄標題中的核取方塊以選取所有資料列。然後選擇頁面頂端的**匯出至 CSV**。您最多可以從資料表匯出 50,000 個資料列。
1. 若要對一或多個儲存貯體中的物件執行更深入、更即時的分析,請選取每個儲存貯體的核取方塊。然後,選擇 **Create Job** (建立任務)。如需詳細資訊,請參閱[建立敏感資料探索任務](discovery-jobs-create.md)。
# 檢閱 S3 儲存貯體的資料敏感性詳細資訊
隨著自動化敏感資料探索的進行,您可以在 Amazon Macie 針對每個 Amazon Simple Storage Service (Amazon S3) 儲存貯體提供的統計資料和其他資訊中檢閱詳細結果。如果您是組織的 Macie 管理員,這包含成員帳戶擁有的儲存貯體。
統計資料和資訊包含詳細資訊,可讓您深入了解 S3 儲存貯體資料的安全性和隱私權。它們也會擷取 Macie 到目前為止對儲存貯體執行的自動化敏感資料探索活動的結果。例如,您可以找到 Macie 在儲存貯體中分析的物件清單。您也可以找到 Macie 在儲存貯體中找到之敏感資料的類型和出現次數明細。請注意,此資料不包含您建立和執行的敏感資料探索任務的結果。
Macie 在執行自動敏感資料探索時,會自動重新計算和更新 S3 儲存貯體的統計資料和詳細資訊。例如:
+ 如果 Macie 在 S3 物件中找不到敏感資料,Macie 會降低儲存貯體的敏感度分數,並視需要更新儲存貯體的敏感度標籤。Macie 也會將物件新增至選取用於分析的物件清單。
+ 如果 Macie 在 S3 物件中找到敏感資料,Macie 會將這些事件新增至 Macie 在儲存貯體中找到的敏感資料類型明細。Macie 也會提高儲存貯體的敏感度分數,並視需要更新儲存貯體的敏感度標籤。此外,Macie 會將物件新增至選取用於分析的物件清單。除了為物件建立敏感資料調查結果之外,這些任務也一樣。
+ 如果 Macie 在後續變更或刪除的 S3 物件中找到敏感資料,Macie 會從儲存貯體的敏感資料類型明細中移除物件的敏感資料出現次數。Macie 也會降低儲存貯體的敏感度分數,並視需要更新儲存貯體的敏感度標籤。此外,Macie 會從選取用於分析的物件清單中移除物件。
+ 如果 Macie 嘗試分析 S3 物件,但問題或錯誤導致無法分析,Macie 會將物件新增至選取用於分析的物件清單,並指出無法分析物件。
如果您是組織的 Macie 管理員或擁有獨立的 Macie 帳戶,您可以選擇使用這些詳細資訊來評估和調整 S3 儲存貯體的特定自動探索設定。例如,您可以從儲存貯體的分數中包含或排除特定類型的敏感資料。如需詳細資訊,請參閱[調整 S3 儲存貯體的敏感度分數](discovery-asdd-s3bucket-manage.md)。
**檢閱 S3 儲存貯體的資料敏感性詳細資訊**
若要檢閱 S3 儲存貯體的資料敏感性和其他詳細資訊,您可以使用 Amazon Macie 主控台或 Amazon Macie API。在 主控台上,詳細資訊面板可讓您集中存取此資訊。您可以使用 API 以程式設計方式擷取和處理資料。
------
#### [ Console ]
請依照下列步驟,使用 Amazon Macie 主控台檢閱 S3 儲存貯體的資料敏感性和其他詳細資訊。
**若要檢閱 S3 儲存貯體的詳細資訊**
1. 在 https://[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。
1. 在導覽窗格中,選擇 **S3 儲存貯體**。**S3 儲存貯**體頁面會顯示儲存貯體庫存的互動式地圖。選擇性地選擇頁面頂端的資料表 (![\[The table view button, which is a button that displays three black horizontal lines.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/btn-s3-table-view.png)),以表格格式顯示您的庫存。
根據預設,頁面不會顯示目前從自動敏感資料探索中排除的儲存貯體資料。如果您是組織的 Macie 管理員,也不會顯示目前停用自動敏感資料探索的帳戶資料。若要顯示此資料,請在篩選條件方塊下方的**由自動探索篩選條件字符監控**中選擇 **X**。
1. 若要從 Amazon S3 擷取最新的儲存貯體中繼資料,請選擇頁面頂端的重新整理 (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/btn-refresh-data.png))。
1. 選擇您要檢閱其詳細資訊的儲存貯體。詳細資訊面板會顯示資料敏感統計資料和儲存貯體的其他資訊。
面板頂端顯示儲存貯體的一般資訊:儲存貯體名稱、 AWS 帳戶 擁有儲存貯體之 的帳戶 ID,以及儲存貯體目前的敏感度分數。如果您是 Macie 管理員或擁有獨立的 Macie 帳戶,它也提供變更儲存貯體特定自動探索設定的選項。其他設定和資訊會整理成下列索引標籤:
[敏感度](#discovery-asdd-results-s3-inventory-sensitivity-details) \$1 [儲存貯體詳細資訊](#discovery-asdd-results-s3-inventory-bucket-details) \$1 [物件範例](#discovery-asdd-results-s3-inventory-sample-details) \$1 [敏感資料探索](#discovery-asdd-results-s3-inventory-sdd-details)
每個索引標籤上的個別設定和資訊如下。
**敏感度**
此標籤顯示儲存貯體目前的敏感度分數,範圍從 *-1* 到 *100*。如需有關 Macie 定義之敏感度分數範圍的資訊,請參閱 [S3 儲存貯體的敏感度評分](discovery-scoring-s3.md)。
此索引標籤也提供 Macie 在儲存貯體物件中找到的敏感資料類型明細,以及每種類型的出現次數:
+ **敏感資料類型** – 偵測到資料的受管資料識別符的唯一識別符 (ID),或偵測到資料的自訂資料識別符名稱。
受管資料識別符的 ID 說明其設計用於偵測的敏感資料類型,例如美國護照號碼的 **USA\$1PASSPORT\$1NUMBER**。如需每個受管資料識別符的詳細資訊,請參閱 [使用受管資料識別符](managed-data-identifiers.md)。
+ **計數** – 受管或自訂資料識別符偵測到的資料總出現次數。
+ **評分狀態** – 如果您是 Macie 管理員或擁有獨立的 Macie 帳戶,則此欄位會顯示。它指定資料出現是否包含在儲存貯體的敏感度分數中或排除在其中。
如果 Macie 計算儲存貯體的分數,您可以透過從分數中包含或排除特定類型的敏感資料來調整計算:選取偵測到要包含或排除敏感資料的識別符核取方塊,然後在**動作**功能表上選擇一個選項。如需詳細資訊,請參閱[調整 S3 儲存貯體的敏感度分數](discovery-asdd-s3bucket-manage.md)。
如果 Macie 在儲存貯體目前存放的物件中找不到敏感資料,本節會顯示**找不到偵測**訊息。
請注意,**敏感度**索引標籤不包含 Macie 分析物件之後變更或刪除的物件資料。如果在分析後變更或刪除物件,Macie 會自動重新計算和更新適當的統計資料和資料,以排除物件。
**儲存貯體詳細資訊**
此標籤提供儲存貯體設定的詳細資訊,包括資料安全和隱私權設定。例如,您可以檢閱儲存貯體公有存取設定的明細,並判斷儲存貯體是否複寫物件或與其他 共用 AWS 帳戶。
特別注意,**上次更新**欄位指出 Macie 最近一次從 Amazon S3 擷取儲存貯體或儲存貯體物件中繼資料的時間。**最新自動探索執行**欄位指出 Macie 在執行自動敏感資料探索時,何時最近分析儲存貯體中的物件。如果未進行此分析,此欄位中會顯示破折號 (–)。
此索引標籤也提供物件層級統計資料,可協助您評估 Macie 可在儲存貯體中分析的資料量。它還指出您是否設定了任何敏感資料探索任務來分析儲存貯體中的物件。如果您有,您可以存取最近執行的任務詳細資訊,然後選擇性地顯示任務產生的任何問題清單。
在某些情況下,此標籤可能不會包含儲存貯體的所有詳細資訊。如果您在 Amazon S3 中存放超過 10,000 個儲存貯體,就會發生這種情況。Macie 只會為帳戶維護 10,000 個儲存貯體的完整庫存資料,也就是最近建立或變更的 10,000 個儲存貯體。不過,Macie 可以分析儲存貯體中超過此配額的物件。若要檢閱儲存貯體的其他詳細資訊,請使用 Amazon S3。
如需此標籤上資訊的其他詳細資訊,請參閱 [檢閱 S3 儲存貯體的詳細資訊](monitoring-s3-inventory-review.md#monitoring-s3-inventory-view-details)。
**物件範例**
此標籤列出 Macie 在執行儲存貯體的自動敏感資料探索時,為分析選取的物件。選擇性地選擇物件的名稱,以開啟 Amazon S3 主控台並顯示物件的屬性。
此清單包含最多 100 個物件的資料。清單會根據**物件敏感度**欄位的值填入:**敏感**,後面接著**不敏感**,後面接著 Macie 無法分析的物件。
在清單中,**物件敏感度**欄位指出 Macie 是否在物件中找到敏感資料:
+ **敏感** – Macie 發現物件中至少出現一個敏感資料。
+ **不敏感** – Macie 在 物件中找不到敏感資料。
+ **–** (*破折號*) – Macie 由於問題或錯誤而無法完成物件的分析。
**分類結果**欄位指出 Macie 是否能夠分析物件:
+ **完成** – Macie 已完成其對物件的分析。
+ **部分** – Macie 僅因為問題或錯誤而分析 物件中的一部分資料。例如, 物件是一個封存檔案,其中包含不支援格式的檔案。
+ **已略過** – Macie 由於問題或錯誤而無法分析物件中的任何資料。例如,物件會使用不允許 Macie 使用的金鑰進行加密。
請注意,此清單不包含 Macie 分析或嘗試分析後變更或刪除的物件。如果物件隨後變更或刪除,Macie 會自動從清單中移除物件。
**敏感資料探索**
此標籤提供儲存貯體的彙總、自動化敏感資料探索統計資料:
+ **分析的位元組** – Macie 在儲存貯體中分析的資料總量,以位元組為單位。
+ **可分類位元組** – Macie 可在儲存貯體中分析之所有物件的總儲存大小,以位元組為單位。這些物件使用支援的 Amazon S3 儲存類別,且具有支援檔案或儲存格式的副檔名。如需詳細資訊,請參閱[支援的儲存類別和格式](discovery-supported-storage.md)。
+ **偵測總數** – Macie 在儲存貯體中找到的敏感資料發生總數。這包括目前由儲存貯體的敏感度評分設定所隱藏的發生次數。
**物件分析**圖表指出 Macie 在儲存貯體中分析的物件總數。它還提供 Macie 在其中找到或不找到敏感資料的物件數量的視覺化表示。圖表下方的圖例顯示這些結果的明細:
+ **敏感物件** (*紅色*) – Macie 在其中發現至少發生一次敏感資料的物件總數。
+ **非敏感物件** (*藍色*) – Macie 找不到敏感資料的物件總數。
+ **物件已略過** (*深灰色*) – Macie 由於問題或錯誤而無法分析的物件總數。
圖表圖例下方的區域提供 Macie 因為發生特定類型的許可問題或密碼編譯錯誤而無法分析物件的案例明細:
+ **略過:無效的加密** – 使用客戶提供的金鑰加密的物件總數。Macie 無法存取這些金鑰。
+ **已略過:無效的 KMS** – 使用不再可用的 AWS Key Management Service (AWS KMS) 金鑰加密的物件總數。這些物件會使用已停用、排定刪除或刪除 AWS KMS keys 的 加密。Macie 無法使用這些金鑰。
+ **已略過:許可遭拒** – 由於物件的許可設定,或用於加密物件之金鑰的許可設定,而不允許 Macie 存取的物件總數。
如需這些和其他可能發生之問題和錯誤類型的詳細資訊,請參閱 [修復涵蓋範圍問題](discovery-coverage-remediate.md)。如果您修復了問題和錯誤,您可以在後續分析週期中增加儲存貯體資料的涵蓋範圍。
**敏感資料探索**索引標籤上的統計資料不包含 Macie 分析或嘗試分析後變更或刪除之物件的資料。如果在 Macie 分析或嘗試分析物件之後變更或刪除物件,Macie 會自動重新計算這些統計資料以排除物件。
------
#### [ API ]
若要以程式設計方式擷取 S3 儲存貯體的資料敏感性和其他詳細資訊,您有幾個選項。適當的選項取決於您要擷取的詳細資訊:
+ 若要擷取儲存貯體目前的敏感度分數和彙總分析統計資料,請使用 [GetResourceProfile](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles.html) 操作。或者,如果您使用的是 AWS Command Line Interface (AWS CLI),請執行 [get-resource-profile](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-resource-profile.html) 命令。統計資料包括資料,例如 Macie 已分析的物件數量,以及 Macie 找到敏感資料的物件數量。
+ 若要擷取 Macie 在儲存貯體中找到的敏感資料類型和數量明細,請使用 [ListResourceProfileDetections](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles-detections.html) 操作。或者,如果您使用的是 AWS CLI,請執行 [list-resource-profile-detections](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-resource-profile-detections.html) 命令。明細也會提供有關偵測到每種敏感資料的受管或自訂資料識別符的詳細資訊。
+ 若要擷取 Macie 從儲存貯體中選取最多 100 個物件的清單進行分析,請使用 [ListResourceProfileArtifacts](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles-artifacts.html) 操作。或者,如果您使用的是 AWS CLI,請執行 [list-resource-profile-artifacts](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-resource-profile-artifacts.html) 命令。對於每個物件,清單會指定:物件的 Amazon Resource Name (ARN)、Macie 是否完成物件的分析,以及 Macie 是否在物件中找到敏感資料。
在您的請求中,使用 `resourceArn` 參數指定要擷取其詳細資訊的儲存貯體 ARN。如果您使用的是 AWS CLI,請使用 `resource-arn` 參數來指定 ARN。
如需 S3 儲存貯體的其他詳細資訊,例如儲存貯體的公有存取設定,請使用 [DescribeBuckets](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3.html) 操作。如果您使用的是 AWS CLI,請執行 [describe-buckets](https://docs.aws.amazon.com/cli/latest/reference/macie2/describe-buckets.html) 命令來擷取這些詳細資訊。在您的請求中,選擇性地使用篩選條件來指定儲存貯體的名稱。如需詳細資訊和範例,請參閱 [篩選 S3 儲存貯體庫存](monitoring-s3-inventory-filter.md)。
下列範例示範如何使用 AWS CLI 擷取 S3 儲存貯體的資料敏感性詳細資訊。第一個範例會擷取儲存貯體目前的敏感度分數和彙總分析統計資料。
```
$ aws macie2 get-resource-profile --resource-arn arn:aws:s3:::amzn-s3-demo-bucket
```
其中 *arn:aws:s3::amzn-s3-demo-bucket* 是儲存貯體的 ARN。如果請求成功,您會收到類似以下的輸出:
```
{
"profileUpdatedAt": "2024-11-21T15:44:46+00:00",
"sensitivityScore": 83,
"sensitivityScoreOverridden": false,
"statistics": {
"totalBytesClassified": 933599,
"totalDetections": 3641,
"totalDetectionsSuppressed": 0,
"totalItemsClassified": 111,
"totalItemsSensitive": 84,
"totalItemsSkipped": 1,
"totalItemsSkippedInvalidEncryption": 0,
"totalItemsSkippedInvalidKms": 0,
"totalItemsSkippedPermissionDenied": 0
}
}
```
下一個範例會擷取 Macie 在 S3 儲存貯體中找到的敏感資料類型明細,以及每種類型的出現次數。明細也會指定偵測到資料的受管資料識別符或自訂資料識別符。如果 Macie 自動計算分數,也會指出事件目前是否從儲存貯體的敏感度分數中排除 (`suppressed`)。
```
$ aws macie2 list-resource-profile-detections --resource-arn arn:aws:s3:::amzn-s3-demo-bucket
```
其中 *arn:aws:s3::amzn-s3-demo-bucket* 是儲存貯體的 ARN。如果請求成功,您會收到類似以下的輸出:
```
{
"detections": [
{
"count": 8,
"id": "AWS_CREDENTIALS",
"name": "AWS_CREDENTIALS",
"suppressed": false,
"type": "MANAGED"
},
{
"count": 1194,
"id": "CREDIT_CARD_NUMBER",
"name": "CREDIT_CARD_NUMBER",
"suppressed": false,
"type": "MANAGED"
},
{
"count": 1194,
"id": "CREDIT_CARD_SECURITY_CODE",
"name": "CREDIT_CARD_SECURITY_CODE",
"suppressed": false,
"type": "MANAGED"
},
{
"arn": "arn:aws:macie2:us-east-1:123456789012:custom-data-identifier/3293a69d-4a1e-4a07-8715-208ddexample",
"count": 8,
"id": "3293a69d-4a1e-4a07-8715-208ddexample",
"name": "Employee IDs with keyword",
"suppressed": false,
"type": "CUSTOM"
},
{
"count": 1237,
"id": "USA_SOCIAL_SECURITY_NUMBER",
"name": "USA_SOCIAL_SECURITY_NUMBER",
"suppressed": false,
"type": "MANAGED"
}
]
}
```
此範例會擷取 Macie 從 S3 儲存貯體中選取用於分析的物件清單。對於每個物件,清單也會指出 Macie 是否已完成物件的分析,以及 Macie 是否在物件中找到敏感資料。
```
$ aws macie2 list-resource-profile-artifacts --resource-arn arn:aws:s3:::amzn-s3-demo-bucket
```
其中 *arn:aws:s3::amzn-s3-demo-bucket* 是儲存貯體的 ARN。如果請求成功,您會收到類似以下的輸出:
```
{
"artifacts": [
{
"arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object1.csv",
"classificationResultStatus": "COMPLETE",
"sensitive": true
},
{
"arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object2.xlsx",
"classificationResultStatus": "COMPLETE",
"sensitive": true
},
{
"arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object3.json",
"classificationResultStatus": "COMPLETE",
"sensitive": true
},
{
"arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object4.pdf",
"classificationResultStatus": "COMPLETE",
"sensitive": true
},
{
"arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object5.zip",
"classificationResultStatus": "PARTIAL",
"sensitive": true
},
{
"arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object6.vssx",
"classificationResultStatus": "SKIPPED"
}
]
}
```
------
# 分析自動化敏感資料探索的問題清單
當 Amazon Macie 執行自動敏感資料探索時,它會為每個找到敏感資料的 Amazon Simple Storage Service (Amazon S3) 物件建立敏感資料調查結果。*敏感資料調查結果*是 Macie 在 S3 物件中找到的敏感資料的詳細報告。問題清單不包含 Macie 找到的敏感資料。相反地,它提供您可以用於在必要時進一步調查和修復的資訊。
每個敏感資料調查結果都提供嚴重性評分和詳細資訊,例如:
+ Macie 找到敏感資料的日期和時間。
+ Macie 找到的敏感資料的類別和類型。
+ Macie 找到的每種敏感資料的出現次數。
+ Macie 如何找到敏感資料、自動化敏感資料探索或敏感資料探索任務。
+ 名稱、公開存取設定、加密類型,以及受影響 S3 儲存貯體和物件的其他資訊。
根據受影響的 S3 物件的檔案類型或儲存格式,詳細資訊也可以包含最多 15 次 Macie 找到之敏感資料的位置。
Macie 會將敏感資料調查結果存放 90 天。您可以使用 Amazon Macie 主控台或 Amazon Macie API 來存取它們。您也可以使用其他應用程式、服務和系統來監控和處理問題清單。如需詳細資訊,請參閱[檢閱和分析問題清單](findings.md)。
**分析自動化敏感資料探索所產生的問題清單**
若要識別和分析 Macie 在執行自動敏感資料探索時建立的問題清單,您可以篩選問題清單。透過篩選條件,您可以使用問題清單的特定屬性來建置自訂檢視和問題清單的查詢。若要篩選問題清單,您可以使用 Amazon Macie 主控台,或使用 Amazon Macie API 以程式設計方式提交查詢。如需詳細資訊,請參閱[篩選問題清單](findings-filter-overview.md)。
**注意**
如果您的帳戶是集中管理多個 Macie 帳戶的組織的一部分,只有組織的 Macie 管理員可以直接存取自動化敏感資料探索為您組織中的帳戶產生的調查結果。如果您有成員帳戶,並想要檢閱帳戶的調查結果,請聯絡您的 Macie 管理員。
------
#### [ Console ]
請依照下列步驟,使用 Amazon Macie 主控台來識別和分析問題清單。
**分析自動化探索所產生的問題清單**
1. 在 https://[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。
1. 在導覽窗格中,選擇**調查結果**。
1. 若要顯示遭禁止[規則](findings-suppression.md)隱藏的問題清單,請變更**問題清單狀態**設定。選擇**全部**可同時顯示隱藏和未隱藏的問題清單,或選擇**封存**可僅顯示隱藏的問題清單。若要再次隱藏隱藏的問題清單,請選擇**目前**。
1. 將游標放在**篩選條件**方塊中。在出現的欄位清單中,選擇**原始伺服器類型**。
此欄位指定 Macie 如何找到產生調查結果的敏感資料、自動化敏感資料探索或敏感資料探索任務。若要在篩選欄位清單中尋找此欄位,您可以瀏覽完整清單,或輸入部分欄位的名稱以縮小欄位清單範圍。
1. 選取 **AUTOMATED\$1SENSITIVE\$1DATA\$1DISCOVERY** 做為 欄位的值,然後選擇**套用**。Macie 會套用篩選條件,並將條件新增至篩選條件方塊中的**篩選條件**字符。
1. 若要精簡結果,請新增其他欄位的篩選條件,例如,在 為建立問題清單的時間範圍**建立**、為受影響的儲存貯體名稱建立 **S3 ** 儲存貯體名稱,或為偵測到並產生問題清單的敏感類型新增**敏感資料偵測類型**。
如果後續想要再次使用此條件集,您可以將其儲存為篩選條件規則。若要這樣做,請在**篩選條件**方塊中選擇**儲存規則**。然後輸入名稱,並選擇性輸入規則的描述。完成後,請選擇**儲存**。
------
#### [ API ]
若要以程式設計方式識別和分析問題清單,請在您使用 [ListFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings.html) 或 Amazon Macie API 的 [GetFindingStatistics](https://docs.aws.amazon.com/macie/latest/APIReference/findings-statistics.html) 操作提交的查詢中指定篩選條件。**ListFindings** 操作會傳回問題清單 IDs 的陣列,每個符合篩選條件的問題清單各一個 ID。然後,您可以使用這些 IDs來擷取每個問題清單的詳細資訊。**GetFindingStatistics** 操作會傳回與篩選條件相符之所有調查結果的彙總統計資料,依您在請求中指定的欄位分組。如需以程式設計方式篩選問題清單的詳細資訊,請參閱 [篩選問題清單](findings-filter-overview.md)。
在篩選條件中,包含 `originType` 欄位的條件。此欄位指定 Macie 如何找到產生調查結果的敏感資料、自動化敏感資料探索或敏感資料探索任務。如果自動化敏感資料探索產生問題清單,此欄位的值為 `AUTOMATED_SENSITIVE_DATA_DISCOVERY`。
若要使用 AWS Command Line Interface (AWS CLI) 識別和分析問題清單,請執行 [list-findings](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-findings.html) 或 [get-finding-statistics](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-finding-statistics.html) 命令。下列範例使用 **list-findings**命令來擷取目前產生之自動化敏感資料探索的所有高嚴重性調查結果的調查結果 IDs AWS 區域。
此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\$1) 行接續字元來改善可讀性。
```
$ aws macie2 list-findings \
--finding-criteria '{"criterion":{"classificationDetails.originType":{"eq":["AUTOMATED_SENSITIVE_DATA_DISCOVERY"]},"severity.description":{"eq":["High"]}}}'
```
此範例已針對 Microsoft Windows 進行格式化,並使用八進制 (^) 換行字元來改善可讀性。
```
C:\> aws macie2 list-findings ^
--finding-criteria={\"criterion\":{\"classificationDetails.originType\":{\"eq\":[\"AUTOMATED_SENSITIVE_DATA_DISCOVERY\"]},\"severity.description\":{\"eq\":[\"High\"]}}}
```
其中:
+ `classificationDetails.originType` 指定**原始伺服器類型**欄位的 JSON 名稱,以及:
+ `eq` 指定*等於*運算子。
+ `AUTOMATED_SENSITIVE_DATA_DISCOVERY` 是 欄位的列舉值。
+ *`severity.description`* 指定**嚴重性**欄位的 JSON 名稱,以及:
+ *`eq`* 指定*等於*運算子。
+ *`High`* 是 欄位的列舉值。
如果請求成功,Macie 會傳回`findingIds`陣列。陣列會列出每個符合篩選條件之調查結果的唯一識別符,如下列範例所示。
```
{
"findingIds": [
"1f1c2d74db5d8caa76859ec52example",
"6cfa9ac820dd6d55cad30d851example",
"702a6fd8750e567d1a3a63138example",
"826e94e2a820312f9f964cf60example",
"274511c3fdcd87010a19a3a42example"
]
}
```
如果沒有符合篩選條件的問題清單,Macie 會傳回空`findingIds`陣列。
```
{
"findingIds": []
}
```
------
# 從自動化敏感資料探索存取探索結果
當 Amazon Macie 執行自動敏感資料探索時,它會為每個為分析選取的 Amazon Simple Storage Service (Amazon S3) 物件建立分析記錄。這些記錄稱為*敏感資料探索結果*,記錄有關 Macie 對個別 S3 物件執行之分析的詳細資訊。這包括 Macie 找不到敏感資料的物件,以及 Macie 因許可設定或使用不支援的檔案或儲存格式等錯誤或問題而無法分析的物件。敏感資料探索結果為您提供分析記錄,有助於資料隱私權和保護稽核或調查。
如果 Macie 在 S3 物件中找到敏感資料,敏感資料探索結果會提供 Macie 找到之敏感資料的相關資訊。該資訊包含敏感資料調查結果提供的相同詳細資訊類型。它也提供其他資訊,例如 Macie 找到的每種敏感資料多達 1,000 次出現的位置。例如:
+ Microsoft Excel 工作手冊、CSV 檔案或 TSV 檔案中儲存格或欄位的資料欄和資料列編號
+ JSON 或 JSON Lines 檔案中欄位或陣列的路徑
+ CSV、JSON、JSON Lines 或 TSV 檔案以外的非二進位文字檔案中某行的行號,例如 HTML、TXT 或 XML 檔案
+ Adobe 可攜式文件格式 (PDF) 檔案中頁面的頁碼
+ Apache Avro 物件容器或 Apache Parquet 檔案中記錄中欄位的記錄索引和路徑
如果受影響的 S3 物件是封存檔案,例如 .tar 或 .zip 檔案,敏感資料探索結果也會針對 Macie 從封存中擷取的個別檔案中出現的敏感資料,提供詳細的位置資料。Macie 不會在封存檔案的敏感資料調查結果中包含此資訊。若要報告位置資料,敏感資料探索結果會使用[標準化的 JSON 結構描述](findings-locate-sd-schema.md)。
**注意**
如同敏感資料調查結果的情況,敏感資料探索結果不包含 Macie 在 S3 物件中找到的敏感資料。相反地,它們提供分析詳細資訊,有助於稽核或調查。
Macie 會將您的敏感資料探索結果存放 90 天。您無法直接在 Amazon Macie 主控台或透過 Amazon Macie API 存取它們。反之,您可以設定 Macie 將它們加密並存放在 S3 儲存貯體中。儲存貯體可以做為所有敏感資料探索結果的確定性長期儲存庫。若要判斷此儲存庫適用於您的帳戶,請在 Amazon Macie 主控台的導覽窗格中選擇**探索結果**。若要以程式設計方式執行此操作,請使用 Amazon Macie API 的 [GetClassificationExportConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/classification-export-configuration.html) 操作。如果您尚未為 帳戶設定此儲存庫,請參閱 [儲存及保留敏感資料探索結果](discovery-results-repository-s3.md) 以了解如何進行。
設定 Macie 將敏感資料探索結果存放在 S3 儲存貯體之後,Macie 會將結果寫入 JSON Lines (.jsonl) 檔案,並將其加密並將這些檔案新增至儲存貯體,做為 GNU Zip (.gz) 檔案。對於自動敏感資料探索,Macie 會將檔案新增至儲存貯體`automated-sensitive-data-discovery`中名為 的資料夾。然後,您可以選擇存取和查詢該資料夾中的結果。如果您的帳戶是集中管理多個 Macie 帳戶的組織的一部分,Macie 會將檔案新增至 Macie 管理員帳戶的 儲存貯體中的 `automated-sensitive-data-discovery` 資料夾。
敏感資料探索結果符合標準化結構描述。這可協助您使用其他應用程式、服務和系統來查詢、監控和處理它們。如需如何查詢和使用這些結果的詳細教學範例,請參閱安全*AWS 部落格*上的下列部落格文章:[如何使用 Amazon Athena 和 Amazon Quick 查詢和視覺化 Macie 敏感資料探索結果](https://aws.amazon.com/blogs/security/how-to-query-and-visualize-macie-sensitive-data-discovery-results-with-athena-and-quicksight/)。如需可用於分析結果的 Athena 查詢範例,請造訪 GitHub 上的 [Amazon Macie Results Analytics 儲存庫](https://github.com/aws-samples/amazon-macie-results-analytics)。此儲存庫也提供設定 Athena 擷取和解密結果的說明,以及建立結果資料表的指令碼。
# 評估自動化敏感資料探索涵蓋範圍
隨著您帳戶或組織的自動化敏感資料探索進行,Amazon Macie 會提供統計資料和詳細資訊,協助您評估和監控 Amazon Simple Storage Service (Amazon S3) 資料資產的涵蓋範圍。使用此資料,您可以檢查資料資產整體和其中個別 S3 儲存貯體的自動敏感資料探索狀態。您也可以識別讓 Macie 無法分析特定儲存貯體中物件的問題。如果您修復問題,您可以在後續分析週期中增加 Amazon S3 資料的涵蓋範圍。
涵蓋範圍資料提供目前 S3 一般用途儲存貯體自動敏感資料探索目前狀態的快照 AWS 區域。如果您是組織的 Macie 管理員,這包含成員帳戶擁有的儲存貯體。對於每個儲存貯體,資料會指出 Macie 嘗試分析儲存貯體中的物件時是否發生問題。如果發生問題,資料會指出每個問題的性質,以及在某些情況下的發生次數。當自動化敏感資料探索每天進行時,資料會更新。如果 Macie 在每日分析週期期間分析或嘗試分析儲存貯體中的一或多個物件,Macie 會更新涵蓋範圍和其他資料以反映結果。
對於特定類型的問題,您可以檢閱所有 S3 一般用途儲存貯體的彙總資料,並選擇性地深入了解每個儲存貯體的其他詳細資訊。例如,涵蓋範圍資料可協助您快速識別 Macie 不允許存取您帳戶的所有儲存貯體。涵蓋範圍資料也會報告發生的物件層級問題。這些問題稱為*分類錯誤*,使得 Macie 無法分析儲存貯體中的特定物件。例如,您可以判斷 Macie 無法在儲存貯體中分析多少物件,因為物件已使用不再可用的 AWS Key Management Service (AWS KMS) 金鑰加密。
如果您使用 Amazon Macie 主控台檢閱涵蓋範圍資料,您對資料的檢視會包含修復每種類型問題的指引。本節中的後續主題也提供每種類型的修補指引。
**Topics**
+ [檢閱涵蓋範圍資料](discovery-coverage-review.md)
+ [修復涵蓋範圍問題](discovery-coverage-remediate.md)
# 檢閱自動化敏感資料探索的涵蓋範圍資料
若要透過自動化敏感資料探索來檢閱和評估涵蓋範圍,您可以使用 Amazon Macie 主控台或 Amazon Macie API。主控台和 API 都會提供資料,指出目前 Amazon Simple Storage Service (Amazon S3) 一般用途儲存貯體分析的目前狀態 AWS 區域。資料包含有關在分析中產生差距之問題的資訊:
+ Macie 不允許存取的儲存貯體。Macie 無法分析這些儲存貯體中的任何物件。儲存貯體的許可設定可防止 Macie 存取儲存貯體和儲存貯體的物件。
+ 不存放任何可分類物件的儲存貯體。Macie 無法分析這些儲存貯體中的任何物件。所有物件都使用 Macie 不支援的 Amazon S3 儲存類別,或具有 Macie 不支援的檔案或儲存格式的副檔名。
+ Macie 因物件層級分類錯誤而無法分析的儲存貯體。Macie 嘗試分析這些儲存貯體中的一或多個物件。不過,由於物件層級許可設定、物件內容或配額的問題,Macie 無法分析物件。
當自動化敏感資料探索每天進行時,會更新涵蓋範圍資料。如果您是組織的 Macie 管理員,資料會包含成員帳戶擁有的 S3 儲存貯體資訊。
**注意**
涵蓋範圍資料不會明確包含您建立和執行之敏感資料探索任務的結果。不過,修復會影響自動敏感資料探索的涵蓋範圍問題,也可能會增加您後續執行之任務的涵蓋範圍。若要評估任務的涵蓋範圍,[請檢閱任務的結果](discovery-jobs-manage-results.md)。如果任務的日誌事件或其他結果指出涵蓋範圍問題,[自動化敏感資料探索的修補指引](discovery-coverage-remediate.md)可協助您解決部分問題。
**檢閱自動化敏感資料探索的涵蓋範圍資料**
若要檢閱自動化敏感資料探索的涵蓋範圍資料,您可以使用 Amazon Macie 主控台或 Amazon Macie API。在 主控台上,單一頁面可統一檢視目前區域中所有 S3 一般用途儲存貯體的涵蓋範圍資料。這包括彙總最近針對每個儲存貯體發生的問題。此頁面也提供依問題類型檢閱資料群組的選項。若要追蹤特定儲存貯體的問題調查,您可以將資料從頁面匯出至逗號分隔值 (CSV) 檔案。
------
#### [ Console ]
請依照下列步驟,使用 Amazon Macie 主控台檢閱涵蓋範圍資料。
**檢閱涵蓋範圍資料**
1. 在 https://[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。
1. 在導覽窗格中,選擇**資源涵蓋**範圍。
1. 在**資源涵蓋**範圍頁面上,選擇您要檢閱之涵蓋範圍資料類型的索引標籤:
+ **全部** – 列出您帳戶的所有儲存貯體。對於每個儲存貯體,**問題**欄位指出問題是否讓 Macie 無法分析儲存貯體中的物件。如果此欄位的值為**無**,則 Macie 已分析至少一個儲存貯體的物件,或 Macie 尚未嘗試分析任何儲存貯體的物件。如果有問題,此欄位會指出問題的性質,以及如何修復問題。對於物件層級分類錯誤,它也可能指出 (括號中) 錯誤的出現次數。
+ **存取遭拒** – 列出 Macie 不允許存取的儲存貯體。這些儲存貯體的許可設定可防止 Macie 存取儲存貯體和儲存貯體的物件。因此,Macie 無法分析儲存貯體中的任何物件。
+ **分類錯誤** – 列出 Macie 因物件層級分類錯誤而尚未分析的儲存貯體 - 具有物件層級許可設定、物件內容或配額的問題。對於每個儲存貯體,**問題**欄位指出發生並阻止 Macie 分析儲存貯體中物件的每種錯誤類型的性質。它還指出如何修復每種類型的錯誤。根據錯誤,它也可能指出 (括號中) 錯誤的出現次數。
+ **不可分類** – 列出 Macie 無法分析的儲存貯體,因為它們不會存放任何可分類物件。這些儲存貯體中的所有物件都使用不支援的 Amazon S3 儲存類別,或具有不支援的檔案或儲存格式的副檔名。因此,Macie 無法分析儲存貯體中的任何物件。
1. 若要向下切入並檢閱儲存貯體的支援資料,請選擇儲存貯體的名稱。然後,請參閱詳細資訊面板以取得儲存貯體的統計資料和其他資訊。
1. 若要將資料表匯出至 CSV 檔案,請選擇頁面頂端的**匯出至 CSV**。產生的 CSV 檔案包含資料表中每個儲存貯體的中繼資料子集,最多 50,000 個儲存貯體。檔案包含**涵蓋範圍問題**欄位。此欄位的值指出問題是否阻止 Macie 分析儲存貯體中的物件,如果是,則指出問題的性質。
------
#### [ API ]
若要以程式設計方式檢閱涵蓋範圍資料,請在您使用 Amazon Macie API 的 [DescribeBuckets](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3.html) 操作提交的查詢中指定篩選條件。此操作會傳回 物件陣列。每個物件都包含符合篩選條件的 S3 一般用途儲存貯體的統計資料和其他資訊。
在篩選條件中,包含您要檢閱之涵蓋範圍資料類型的條件:
+ 若要識別因為儲存貯體的許可設定而不允許 Macie 存取的儲存貯體,請包含 `errorCode` 欄位值等於 的條件`ACCESS_DENIED`。
+ 若要識別允許 Macie 存取且尚未分析的儲存貯體,請包含 `sensitivityScore` 欄位值等於 `50`且 `errorCode` 欄位值不等於 的條件`ACCESS_DENIED`。
+ 若要識別 Macie 因為所有儲存貯體的物件都使用不支援的儲存類別或格式而無法分析的儲存貯體,請包含 `classifiableSizeInBytes` 欄位值等於 `0`且 `sizeInBytes` 欄位值大於 的條件`0`。
+ 若要識別 Macie 已分析至少一個物件的儲存貯體,請包含 `sensitivityScore` 欄位值落在 1–99 範圍內但不等於 的條件`50`。若要同時包含您手動指派最高分數的儲存貯體,範圍應為 1–100。
+ 若要識別 Macie 因物件層級分類錯誤而尚未分析的儲存貯體,請包含 `sensitivityScore` 欄位值等於 的條件`-1`。若要接著檢閱特定儲存貯體發生的錯誤類型和數量明細,請使用 [GetResourceProfile](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles.html) 操作。
如果您使用的是 AWS Command Line Interface (AWS CLI),請在執行 [describe-buckets](https://docs.aws.amazon.com/cli/latest/reference/macie2/describe-buckets.html) 命令提交的查詢中指定篩選條件。若要檢閱特定 S3 儲存貯體發生的錯誤類型和數量明細,如果有的話,請執行 [get-resource-profile](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-resource-profile.html) 命令。
例如,下列 AWS CLI 命令使用篩選條件來擷取因為儲存貯體的許可設定而不允許 Macie 存取的所有 S3 儲存貯體的詳細資訊。
此範例已針對 Linux、macOS 或 Unix 格式化:
```
$ aws macie2 describe-buckets --criteria '{"errorCode":{"eq":["ACCESS_DENIED"]}}'
```
此範例已針對 Microsoft Windows 格式化:
```
C:\> aws macie2 describe-buckets --criteria={\"errorCode\":{\"eq\":[\"ACCESS_DENIED\"]}}
```
如果您的請求成功,Macie 會傳回`buckets`陣列。陣列包含目前 中 AWS 區域 且符合篩選條件之每個 S3 儲存貯體的物件。
如果沒有 S3 儲存貯體符合篩選條件,Macie 會傳回空`buckets`陣列。
```
{
"buckets": []
}
```
如需在查詢中指定篩選條件的詳細資訊,包括常見條件的範例,請參閱 [篩選 S3 儲存貯體庫存](monitoring-s3-inventory-filter.md)。
------
如需可協助您解決涵蓋範圍問題的詳細資訊,請參閱 [修復自動化敏感資料探索的涵蓋範圍問題](discovery-coverage-remediate.md)。
# 修復自動化敏感資料探索的涵蓋範圍問題
隨著自動化敏感資料探索每天進行,Amazon Macie 會提供統計資料和詳細資訊,協助您評估和監控 Amazon Simple Storage Service (Amazon S3) 資料資產的涵蓋範圍。透過[檢閱涵蓋範圍資料](discovery-coverage-review.md),您可以檢查整體資料資產和其中個別 S3 儲存貯體的自動敏感資料探索狀態。您也可以識別讓 Macie 無法分析特定儲存貯體中物件的問題。如果您修復問題,您可以在後續分析週期中增加 Amazon S3 資料的涵蓋範圍。
Macie 會報告多種問題,透過自動化敏感資料探索來降低 Amazon S3 資料的涵蓋範圍。這包括阻止 Macie 分析 S3 儲存貯體中任何物件的儲存貯體層級問題。它還包含物件層級問題。這些問題稱為*分類錯誤*,使得 Macie 無法分析儲存貯體中的特定物件。以下資訊可協助您調查和修復問題。
**Topics**
+ [存取遭拒](#discovery-issues-access-denied)
+ [分類錯誤:內容無效](#discovery-issues-invalid-content)
+ [分類錯誤:無效的加密](#discovery-issues-classification-error-invalid-encryption)
+ [分類錯誤:無效的 KMS 金鑰](#discovery-issues-classification-error-invalid-key)
+ [分類錯誤:許可遭拒](#discovery-issues-classification-error-permission-denied)
+ [無法分類](#discovery-issues-unclassifiable)
**提示**
若要調查 S3 儲存貯體的物件層級分類錯誤,請先檢閱儲存貯體的物件範例清單。此清單指出 Macie 在儲存貯體中分析或嘗試分析的物件,最多 100 個物件。
若要檢閱 Amazon Macie 主控台上的清單,請在 **S3 儲存貯體頁面上選擇儲存貯體**,然後在詳細資訊面板中選擇**物件範例**索引標籤。若要以程式設計方式檢閱清單,請使用 Amazon Macie API 的 [ListResourceProfileArtifacts](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles-artifacts.html) 操作。如果物件的分析狀態為**略過 **(`SKIPPED`),則物件可能已造成錯誤。
## 存取遭拒
此問題表示 S3 儲存貯體的許可設定會阻止 Macie 存取儲存貯體和儲存貯體的物件。Macie 無法擷取和分析儲存貯體中的任何物件。
**詳細資訊**
此類問題的最常見原因是限制性儲存貯體政策。儲存*貯體政策*是以資源為基礎的 AWS Identity and Access Management (IAM) 政策,指定委託人 (使用者、帳戶、服務或其他實體) 可以在 S3 儲存貯體上執行的動作,以及委託人可以執行這些動作的條件。*限制性儲存貯體政策*使用明確`Allow`或`Deny`陳述式,根據特定條件授予或限制對儲存貯體資料的存取。例如,儲存貯體政策可能包含 `Allow`或 `Deny`陳述式,拒絕存取儲存貯體,除非使用特定來源 IP 地址來存取儲存貯體。
如果 S3 儲存貯體的儲存貯體政策包含具有一或多個條件的明確`Deny`陳述式,則可能不允許 Macie 擷取和分析儲存貯體的物件以偵測敏感資料。Macie 只能提供儲存貯體的相關資訊子集,例如儲存貯體的名稱和建立日期。
**修補指引**
若要修正此問題,請更新 S3 儲存貯體的儲存貯體政策。確保政策允許 Macie 存取儲存貯體和儲存貯體的物件。若要允許此存取,請將 Macie 服務連結角色 (`AWSServiceRoleForAmazonMacie`) 的條件新增至政策。條件應排除 Macie 服務連結角色與政策中的`Deny`限制相符。它可以使用您帳戶的 Macie 服務連結角色的`aws:PrincipalArn`全域條件內容金鑰和 Amazon Resource Name (ARN) 來執行此操作。
如果您更新儲存貯體政策,且 Macie 可以存取 S3 儲存貯體,則 Macie 會偵測變更。發生這種情況時,Macie 會更新統計資料、庫存資料,以及其提供的 Amazon S3 資料其他資訊。此外,在後續分析週期期間,儲存貯體的物件將是分析的較高優先順序。
**其他參考**
如需更新 S3 儲存貯體政策以允許 Macie 存取儲存貯體的詳細資訊,請參閱 [允許 Macie 存取 S3 儲存貯體和物件](monitoring-restrictive-s3-buckets.md)。如需有關使用儲存貯體政策控制對儲存貯體之存取的資訊,請參閱《Amazon Simple Storage Service 使用者指南》中的[儲存貯體政策](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html)及 [Amazon S3 如何授權請求](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-s3-evaluates-access-control.html)。 **
## 分類錯誤:內容無效
如果 Macie 嘗試分析 S3 儲存貯體中的物件,且物件格式不正確,或物件包含的內容超過敏感資料探索配額,就會發生此類型的分類錯誤。Macie 無法分析物件。
**詳細資訊**
此錯誤通常會發生,因為 S3 物件是格式錯誤或損毀的檔案。因此,Macie 無法剖析和分析 檔案中的所有資料。
如果 S3 物件的分析將超過個別檔案的敏感資料探索配額,也可能發生此錯誤。例如,物件的儲存體大小超過該類型檔案的大小配額。
對於這兩種情況,Macie 都無法完成 S3 物件的分析,且物件的分析狀態為**略過 **(`SKIPPED`)。
**修補指引**
若要調查此錯誤,請下載 S3 物件並檢查檔案的格式和內容。同時針對敏感資料探索的 Macie 配額評估 檔案的內容。
如果您未修復此錯誤,Macie 會嘗試分析 S3 儲存貯體中的其他物件。如果 Macie 成功分析另一個物件,Macie 將更新涵蓋範圍資料及其提供有關儲存貯體的其他資訊。
**其他參考**
如需敏感資料探索配額清單,包括特定類型檔案的配額,請參閱 [Macie 配額](macie-quotas.md)。如需有關 Macie 如何更新敏感分數的資訊,以及其提供有關 S3 儲存貯體的其他資訊,請參閱 [自動化敏感資料探索的運作方式](discovery-asdd-how-it-works.md)。
## 分類錯誤:無效的加密
如果 Macie 嘗試分析 S3 儲存貯體中的物件,並使用客戶提供的金鑰加密物件,就會發生此類型的分類錯誤。物件使用 SSE-C 加密,這表示 Macie 無法擷取和分析物件。
**詳細資訊**
Amazon S3 支援 S3 物件的多個加密選項。對於大多數這些選項,Macie 可以使用您帳戶的 Macie 服務連結角色來解密物件。不過,這取決於使用的加密類型。
若要讓 Macie 解密 S3 物件,必須使用 Macie 可存取並允許使用的金鑰來加密物件。如果物件使用客戶提供的金鑰加密,Macie 無法提供從 Amazon S3 擷取物件的必要金鑰材料。因此,Macie 無法分析物件,且物件的分析狀態為**略過 **(`SKIPPED`)。
**修補指引**
若要修復此錯誤,請使用 Amazon S3 受管金鑰或 AWS Key Management Service (AWS KMS) 金鑰加密 S3 物件。 Amazon S3 如果您偏好使用 AWS KMS 金鑰,金鑰可以是 AWS 受管 KMS 金鑰,也可以是允許 Macie 使用的客戶受管 KMS 金鑰。
若要使用 Macie 可存取和使用的金鑰來加密現有的 S3 物件,您可以變更物件的加密設定。若要使用 Macie 可存取和使用的金鑰來加密新物件,請變更 S3 儲存貯體的預設加密設定。同時確保儲存貯體的政策不需要使用客戶提供的金鑰來加密新物件。
如果您未修復此錯誤,Macie 會嘗試分析 S3 儲存貯體中的其他物件。如果 Macie 成功分析另一個物件,Macie 將更新涵蓋範圍資料及其提供有關儲存貯體的其他資訊。
**其他參考**
如需使用 Macie 分析加密 S3 物件之需求和選項的相關資訊,請參閱 [分析加密的 Amazon S3 物件](discovery-supported-encryption-types.md)。如需 S3 儲存貯體加密選項和設定的相關資訊,請參閱《*Amazon Simple Storage Service 使用者指南*》中的[使用加密保護資料](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingEncryption.html)和[設定 S3 儲存貯體的預設伺服器端加密行為](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html)。
## 分類錯誤:無效的 KMS 金鑰
如果 Macie 嘗試分析 S3 儲存貯體中的物件,並使用不再可用的 AWS Key Management Service (AWS KMS) 金鑰加密物件,就會發生此類型的分類錯誤。Macie 無法擷取和分析物件。
**詳細資訊**
AWS KMS 提供停用和刪除客戶受管的選項 AWS KMS keys。如果 S3 物件使用已停用、排定刪除或刪除的 KMS 金鑰加密,則 Macie 無法擷取和解密物件。因此,Macie 無法分析物件,且物件的分析狀態為**略過 **(`SKIPPED`)。若要讓 Macie 分析加密的物件,必須使用 Macie 可存取並允許使用的金鑰來加密物件。
**修補指引**
若要修復此錯誤,請重新啟用適用的 AWS KMS key 或取消排程刪除金鑰,視金鑰的目前狀態而定。如果已刪除適用的金鑰,則無法修復此錯誤。
若要判斷哪個 AWS KMS key 用於加密 S3 物件,您可以使用 Macie 來檢閱 S3 儲存貯體的伺服器端加密設定。如果儲存貯體的預設加密設定設定為使用 KMS 金鑰,儲存貯體的詳細資訊會指出使用的金鑰。然後,您可以檢查該金鑰的狀態。或者,您可以使用 Amazon S3 來檢閱儲存貯體和儲存貯體中個別物件的加密設定。
如果您未修復此錯誤,Macie 會嘗試分析 S3 儲存貯體中的其他物件。如果 Macie 成功分析另一個物件,Macie 將更新涵蓋範圍資料及其提供有關儲存貯體的其他資訊。
**其他參考**
如需使用 Macie 檢閱 S3 儲存貯體之伺服器端加密設定的相關資訊,請參閱 [檢閱 S3 儲存貯體的詳細資訊](monitoring-s3-inventory-review.md#monitoring-s3-inventory-view-details)。如需有關重新啟用 AWS KMS key 或取消排程刪除金鑰的資訊,請參閱《 *AWS Key Management Service 開發人員指南*》中的[啟用和停用金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html)和[刪除金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html)。
## 分類錯誤:許可遭拒
如果 Macie 嘗試分析 S3 儲存貯體中的物件,而且由於物件的許可設定或用來加密物件的金鑰的許可設定,Macie 無法擷取或解密物件,就會發生此類型的分類錯誤。Macie 無法擷取和分析物件。
**詳細資訊**
此錯誤通常是因為 S3 物件使用不允許 Macie 使用的客戶受管 AWS Key Management Service (AWS KMS) 金鑰進行加密。如果物件使用客戶受管加密 AWS KMS key,金鑰的政策必須允許 Macie 使用金鑰解密資料。
如果 Amazon S3 許可設定阻止 Macie 擷取 S3 物件,也可能發生此錯誤。S3 儲存貯體的儲存貯體政策可能會限制對特定儲存貯體物件的存取,或僅允許特定主體 (使用者、帳戶、服務或其他實體) 存取物件。或者,物件的存取控制清單 (ACL) 可能會限制對物件的存取。因此,可能不允許 Macie 存取物件。
對於上述任何情況,Macie 無法擷取和分析物件,且物件的分析狀態為**略過 **(`SKIPPED`)。
**修補指引**
若要修復此錯誤,請判斷 S3 物件是否使用客戶受管加密 AWS KMS key。如果是,請確定金鑰的政策允許 Macie 服務連結角色 (`AWSServiceRoleForAmazonMacie`) 使用金鑰解密資料。如何允許此存取取決於擁有 的帳戶是否 AWS KMS key 也擁有存放物件的 S3 儲存貯體。如果同一個帳戶擁有 KMS 金鑰和儲存貯體,則帳戶的使用者必須更新金鑰的政策。如果一個帳戶擁有 KMS 金鑰,而另一個帳戶擁有儲存貯體,則擁有金鑰的帳戶使用者必須允許跨帳戶存取金鑰。
您可以自動產生 Macie 需要存取的所有客戶受管清單 AWS KMS keys ,以分析您帳戶的 S3 儲存貯體中的物件。若要執行此操作,請執行 AWS KMS Permission Analyzer 指令碼,該指令碼可從 GitHub 上的 [Amazon Macie 指令碼](https://github.com/aws-samples/amazon-macie-scripts)儲存庫取得。指令碼也可以產生額外的 AWS Command Line Interface (AWS CLI) 命令指令碼。您可以選擇性地執行這些命令,以更新您指定的 KMS 金鑰的必要組態設定和政策。
如果 Macie 已獲准使用適用的 , AWS KMS key 或 S3 物件未透過客戶受管 KMS 金鑰加密,請確定儲存貯體的政策允許 Macie 存取物件。同時確認物件的 ACL 允許 Macie 讀取物件的資料和中繼資料。
對於儲存貯體政策,您可以將 Macie 服務連結角色的條件新增至政策,以允許此存取。條件應排除 Macie 服務連結角色與政策中的`Deny`限制相符。它可以使用您帳戶的 Macie 服務連結角色的`aws:PrincipalArn`全域條件內容金鑰和 Amazon Resource Name (ARN) 來執行此操作。
對於物件 ACL,您可以與物件擁有者合作,將 新增 AWS 帳戶 為具有物件`READ`許可的承授者,以允許此存取。然後,Macie 可以使用您帳戶的服務連結角色來擷取和分析物件。另請考慮變更儲存貯體的物件擁有權設定。您可以使用這些設定來停用儲存貯體中所有物件ACLs,並將所有權許可授予擁有儲存貯體的帳戶。
如果您未修復此錯誤,Macie 會嘗試分析 S3 儲存貯體中的其他物件。如果 Macie 成功分析另一個物件,Macie 將更新涵蓋範圍資料及其提供有關儲存貯體的其他資訊。
**其他參考**
如需允許 Macie 使用客戶受管 解密資料的詳細資訊 AWS KMS key,請參閱 [允許 Macie 使用客戶受管 AWS KMS key](discovery-supported-encryption-types.md#discovery-supported-encryption-cmk-configuration)。如需更新 S3 儲存貯體政策以允許 Macie 存取儲存貯體的詳細資訊,請參閱 [允許 Macie 存取 S3 儲存貯體和物件](monitoring-restrictive-s3-buckets.md)。
如需有關更新金鑰政策的資訊,請參閱《 *AWS Key Management Service 開發人員指南*》中的[變更金鑰政策](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html)。如需有關使用客戶受管 AWS KMS keys 加密 S3 物件的資訊,請參閱《*Amazon Simple Storage Service 使用者指南*》中的[使用伺服器端加密搭配 AWS KMS 金鑰](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)。
如需有關使用儲存貯體政策控制對 S3 儲存貯體的存取的資訊,請參閱《Amazon Simple Storage Service 使用者指南》中的[存取控制](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html)和 [Amazon S3 如何授權請求](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-s3-evaluates-access-control.html)。 **如需有關使用 ACLs 或物件擁有權設定來控制對 S3 物件的存取的資訊,請參閱《*Amazon Simple Storage Service 使用者指南*》中的[使用 ACLs 管理存取權](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acls.html)和[控制物件的擁有權,以及停用儲存貯體ACLs](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html)。
## 無法分類
此問題表示使用不支援的 Amazon S3 儲存類別或不支援的檔案或儲存格式來儲存 S3 儲存貯體中的所有物件。 Amazon S3 Macie 無法分析儲存貯體中的任何物件。
**詳細資訊**
若要符合選擇和分析的資格,S3 物件必須使用 Macie 支援的 Amazon S3 儲存類別。物件也必須具有 Macie 支援的檔案或儲存格式的檔案名稱副檔名。如果物件不符合這些條件,會將物件視為*無法分類的物件*。Macie 不會嘗試擷取或分析不可分類物件中的資料。
如果 S3 儲存貯體中的所有物件都是無法分類的物件,則整體儲存貯體是*無法分類的儲存貯*體。Macie 無法執行儲存貯體的自動敏感資料探索。
**修補指引**
若要解決此問題,請檢閱生命週期組態規則和其他設定,以決定哪些儲存類別用於在 S3 儲存貯體中存放物件。請考慮調整這些設定,以使用 Macie 支援的儲存類別。您也可以變更儲存貯體中現有物件的儲存體方案。
同時評估 S3 儲存貯體中現有物件的檔案和儲存格式。若要分析物件,請考慮將資料暫時或永久移植到使用支援格式的新物件。
如果物件已新增至 S3 儲存貯體,且它們使用支援的儲存類別和格式,則 Macie 下次評估儲存貯體庫存時將偵測物件。發生這種情況時,Macie 會停止報告儲存貯體在*統計資料、涵蓋範圍資料和其提供的其他 Amazon S3 資料相關資訊中無法分類*。 Amazon S3 此外,在後續分析週期期間,新物件將是分析的較高優先順序。
**其他參考**
如需有關 Amazon S3 儲存類別以及 Macie 支援的檔案和儲存格式的資訊,請參閱 [支援的儲存類別和格式](discovery-supported-storage.md)。如需有關生命週期組態規則和 Amazon S3 提供的儲存類別選項的資訊,請參閱《Amazon Simple Storage Service 使用者指南》中的[管理您的儲存生命週期](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html)和使用 Amazon S3 儲存類別。 [ Amazon S3 ](https://docs.aws.amazon.com/AmazonS3/latest/userguide/storage-class-intro.html) **
# 調整 S3 儲存貯體的敏感度分數
當您檢閱和評估自動敏感資料探索的統計資料、資料和其他結果時,在某些情況下,您可能會想要微調 Amazon Simple Storage Service (Amazon S3) 儲存貯體的敏感度評估。您可能也想要擷取您或您的組織針對特定儲存貯體執行的調查結果。如果您是組織的 Amazon Macie 管理員,或擁有獨立的 Macie 帳戶,您可以透過調整個別儲存貯體的敏感度分數和其他設定來進行這些變更。如果您在組織中有成員帳戶,請與您的 Macie 管理員合作,調整您擁有之儲存貯體的設定。只有組織的 Macie 管理員可以調整儲存貯體的這些設定。
如果您是 Macie 管理員或擁有獨立的 Macie 帳戶,您可以透過以下方式調整 S3 儲存貯體的敏感度分數:
+ **指派敏感度分數** – Macie 預設會自動計算儲存貯體的敏感度分數。分數主要是根據 Macie 在儲存貯體中找到的敏感資料量,以及 Macie 在儲存貯體中分析的資料量。如需詳細資訊,請參閱[S3 儲存貯體的敏感度評分](discovery-scoring-s3.md)。
您可以覆寫儲存貯體的計算分數,並手動指派最高分數 (*100*),這也會將*敏感*標籤套用至儲存貯體。如果您這樣做,Macie 會停止對儲存貯體執行自動敏感資料探索,因為分數為 100 的儲存貯體將無法進一步掃描。若要再次自動計算分數並繼續掃描,請再次變更設定。
+ 在**敏感度分數中排除或包含敏感資料類型** – 如果自動計算,則儲存貯體的敏感度分數部分取決於 Macie 在儲存貯體中找到的敏感資料量。這主要衍生自 Macie 找到的敏感資料類型的性質和數量,以及每種類型的出現次數。根據預設,Macie 會在計算儲存貯體分數時包含所有類型敏感資料的出現次數。
您可以透過在儲存貯體的分數中排除或包含特定類型的敏感資料來調整計算。例如,如果 Macie 偵測到儲存貯體中的郵寄地址,而且您判斷這是可接受的,您可以從儲存貯體的分數中排除所有出現的郵寄地址。如果您排除敏感資料類型,Macie 會繼續檢查儲存貯體是否有該類型的資料,並報告其發現的發生。不過,這些事件不會影響儲存貯體的分數。若要再次在分數中包含敏感資料類型,請再次變更設定。
您也可以從後續分析中排除 S3 儲存貯體。如果您排除儲存貯體,儲存貯體的現有敏感資料探索統計資料和詳細資訊會持續存在。例如,儲存貯體目前的敏感度分數保持不變。不過,Macie 在執行自動敏感資料探索時,會停止分析儲存貯體中的物件。排除儲存貯體之後,您可以稍後再次包含該儲存貯體。
如果您變更影響 S3 儲存貯體敏感度分數的設定,Macie 會立即開始重新計算分數。Macie 也會更新有關儲存貯體和 Amazon S3 資料整體的相關統計資料和其他資訊。例如,如果您將最大分數指派給儲存貯體,Macie 會在彙總統計資料中遞增*敏感*儲存貯體的計數。
**調整 S3 儲存貯體的敏感度分數或其他設定**
若要調整 S3 儲存貯體的敏感度分數或其他設定,您可以使用 Amazon Macie 主控台或 Amazon Macie API。
------
#### [ Console ]
請依照下列步驟,使用 Amazon Macie 主控台調整 S3 儲存貯體的敏感度分數或設定。
1. 在 https://[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。
1. 在導覽窗格中,選擇 **S3 儲存貯**體。**S3 儲存貯**體頁面會顯示您的儲存貯體庫存。
根據預設,頁面不會顯示目前從分析中排除的儲存貯體資料。如果您是組織的 Macie 管理員,也不會顯示目前停用自動敏感資料探索的帳戶資料。若要顯示此資料,請在篩選條件方塊下方的**由自動探索篩選條件字符監控**中選擇 **X**。
1. 選擇具有要調整之設定的 S3 儲存貯體。您可以使用資料表檢視 (![\[The table view button, which is a button that displays three black horizontal lines.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/btn-s3-table-view.png)) 或互動式地圖 () 選擇儲存貯體![\[The map view button, which is a button that displays four black squares.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/btn-s3-map-view.png)。
1. 在詳細資訊面板中,執行下列任一動作:
+ 若要覆寫計算的敏感度分數並手動指派分數,請開啟**指派最高分數** (![\[A toggle switch with a gray background and the toggle positioned to the left.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/tgl-gray-off.png))。這會將儲存貯體的分數變更為 *100*,並將*敏感*標籤套用至儲存貯體。
+ 若要指派 Macie 自動計算的敏感度分數,請關閉**指派最高分數** (![\[A toggle switch with a blue background and the toggle positioned to the right.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/tgl-blue-on.png))。
+ 若要在敏感度分數中排除或包含特定類型的敏感資料,請選擇**敏感度**索引標籤。在**偵測**表格中,選取要排除或包含之敏感資料類型的核取方塊。然後,在**動作**功能表中,選擇**從分數中排除**以排除類型,或選擇**包含在分數中**以包含類型。
在表格中,**敏感資料類型**欄位會指定偵測到資料的受管資料識別符或自訂資料識別符。對於受管資料識別符,這是唯一識別符 (ID),描述識別符設計用於偵測的敏感資料類型,例如美國護照號碼的 **USA\$1PASSPORT\$1NUMBER**。如需每個受管資料識別符的詳細資訊,請參閱 [使用受管資料識別符](managed-data-identifiers.md)。
+ 若要從後續分析中排除儲存貯體,請開啟**從自動探索中排除** (![\[A toggle switch with a gray background and the toggle positioned to the left.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/tgl-gray-off.png))。
+ 若要在後續分析中包含儲存貯體,如果您先前將其排除,請關閉**從自動探索排除** (![\[A toggle switch with a blue background and the toggle positioned to the right.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/tgl-blue-on.png))。
------
#### [ API ]
若要以程式設計方式調整 S3 儲存貯體的敏感度分數或設定,您有幾個選項。適當的選項取決於您要調整的項目。
**指派敏感度分數**
若要將敏感分數指派給 S3 儲存貯體,請使用 [UpdateResourceProfile](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles.html) 操作。在您的請求中,使用 `resourceArn` 參數來指定儲存貯體的 Amazon Resource Name (ARN)。針對 `sensitivityScoreOverride` 參數,執行下列其中一項操作:
+ 若要覆寫計算的分數並手動指派最高分數,請指定 `100`。
+ 若要指派 Macie 自動計算的分數,請省略 參數。如果此參數為 null,Macie 會計算並指派分數。
如果您使用的是 AWS Command Line Interface (AWS CLI),請執行 [update-resource-profile](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-resource-profile.html) 命令,將敏感分數指派給 S3 儲存貯體。在您的請求中,使用 `resource-arn` 參數來指定儲存貯體的 ARN。省略或使用 `sensitivity-score-override` 參數來指定要指派的分數。
如果您的請求成功,Macie 會指派指定的分數並傳回空的回應。
**在敏感度分數中排除或包含敏感資料類型**
若要在 S3 儲存貯體的敏感度分數中排除或包含敏感資料類型,請使用 [UpdateResourceProfileDetections](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles-detections.html) 操作。當您使用此操作時,會覆寫儲存貯體分數目前的包含和排除設定。因此,最好先擷取目前的設定,並決定要保留哪些設定。若要擷取目前的設定,請使用 [ListResourceProfileDetections](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles-detections.html) 操作。
當您準備好更新設定時,請使用 `resourceArn` 參數來指定 S3 儲存貯體的 ARN。針對 `suppressDataIdentifiers` 參數,執行下列其中一項:
+ 若要從儲存貯體的分數中排除敏感資料類型,請使用 `type` 參數指定偵測到資料的資料識別符類型、受管資料識別符 (`MANAGED`) 或自訂資料識別符 ()`CUSTOM`。使用 `id` 參數為偵測到資料的受管或自訂資料識別符指定唯一識別符。
+ 若要在儲存貯體的分數中包含敏感資料類型,請勿為偵測到資料的受管或自訂資料識別符指定任何詳細資訊。
+ 若要在儲存貯體的分數中包含所有敏感資料類型,請勿指定任何值。如果 `suppressDataIdentifiers` 參數的值為 null (空白),Macie 會在計算分數時包含所有類型的偵測。
如果您使用的是 AWS CLI,請執行 [update-resource-profile-detections](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-resource-profile-detections.html) 命令,在 S3 儲存貯體的敏感度分數中排除或包含敏感資料類型。使用 `resource-arn` 參數來指定儲存貯體的 ARN。使用 `suppress-data-identifiers` 參數來指定要排除或包含在儲存貯體分數中的敏感資料類型。若要先擷取並檢閱儲存貯體的目前設定,請執行 [list-resource-profile-detections](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-resource-profile-detections.html) 命令。
如果您的請求成功,Macie 會更新設定並傳回空白回應。
**在分析中排除或包含 S3 儲存貯體**
若要在分析中排除或隨後包含 S3 儲存貯體,請使用 [UpdateClassificationScope](https://docs.aws.amazon.com/macie/latest/APIReference/classification-scopes-id.html) 操作。或者,如果您使用的是 AWS CLI,請執行 [update-classification-scope](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-classification-scope.html) 命令。如需其他詳細資訊和範例,請參閱 [在自動化敏感資料探索中排除或包含 S3 儲存貯體](discovery-asdd-account-configure.md#discovery-asdd-account-configure-s3buckets)。
下列範例示範如何使用 AWS CLI 來調整 S3 儲存貯體的個別設定。第一個範例會手動將敏感度分數上限 (`100`) 指派給儲存貯體。它會覆寫儲存貯體的計算分數。
```
$ aws macie2 update-resource-profile --resource-arn arn:aws:s3:::amzn-s3-demo-bucket --sensitivity-score-override 100
```
其中 *arn:aws:s3::amzn-s3-demo-bucket* 是 S3 儲存貯體的 ARN。
下一個範例會將 S3 儲存貯體的敏感度分數變更為 Macie 自動計算的分數。儲存貯體目前具有可覆寫計算分數的手動指派分數。此範例會省略請求中的 `sensitivity-score-override` 參數,以移除該覆寫。
```
$ aws macie2 update-resource-profile --resource-arn arn:aws:s3:::amzn-s3-demo-bucket2
```
其中 *arn:aws:s3::amzn-s3-demo-bucket2* 是 S3 儲存貯體的 ARN。
下列範例會從 S3 儲存貯體的敏感度分數中排除特定類型的敏感資料。此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\$1) 行接續字元來改善可讀性。
```
$ aws macie2 update-resource-profile-detections \
--resource-arn arn:aws:s3:::amzn-s3-demo-bucket3 \
--suppress-data-identifiers '[{"type":"MANAGED","id":"ADDRESS"},{"type":"CUSTOM","id":"3293a69d-4a1e-4a07-8715-208ddexample"}]'
```
此範例已針對 Microsoft Windows 進行格式化,並使用八進制 (^) 換行字元來改善可讀性。
```
C:\> aws macie2 update-resource-profile-detections ^
--resource-arn arn:aws:s3:::amzn-s3-demo-bucket3 ^
--suppress-data-identifiers=[{\"type\":\"MANAGED\",\"id\":\"ADDRESS\"},{\"type\":\"CUSTOM\",\"id\":\"3293a69d-4a1e-4a07-8715-208ddexample\"}]
```
其中:
+ *arn:aws:s3::amzn-s3-demo-bucket3* 是 S3 儲存貯體的 ARN。
+ *ADDRESS* 是受管資料識別符的唯一識別符,可偵測要排除的敏感資料類型 (電子郵件地址)。
+ *3293a69d-4a1e-4a07-8715-208ddexample* 是自訂資料識別符的唯一識別符,可偵測要排除的敏感資料類型。
下一組範例稍後會在 S3 儲存貯體的敏感度分數中包含所有類型的敏感資料。它會指定 `suppress-data-identifiers` 參數的空白 (空) 值,覆寫儲存貯體目前的排除設定。針對 Linux、macOS 或 Unix:
```
$ aws macie2 update-resource-profile-detections --resource-arn arn:aws:s3:::amzn-s3-demo-bucket3 --suppress-data-identifiers '[]'
```
對於 Microsoft Windows:
```
C:\> aws macie2 update-resource-profile-detections --resource-arn arn:aws:s3:::amzn-s3-demo-bucket3 --suppress-data-identifiers=[]
```
其中 *arn:aws:s3::amzn-s3-demo-bucket3* 是 S3 儲存貯體的 ARN。
------
# S3 儲存貯體的敏感度評分
如果啟用自動敏感資料探索,Amazon Macie 會自動計算敏感分數,並將其指派給其監控和分析帳戶或組織的每個 Amazon Simple Storage Service (Amazon S3) 一般用途儲存貯體。*敏感度分數*是 S3 儲存貯體可能包含的敏感資料量的量化表示法。根據該分數,Macie 也會為每個儲存貯體指派敏感標籤。*敏感度標籤*是儲存貯體敏感度分數的定性表示法。這些值可作為參考點,用於判斷敏感資料可能位於 Amazon S3 資料資產中的位置,以及識別和監控該資料的潛在安全風險。
根據預設,S3 儲存貯體的敏感度分數和標籤會反映 Macie 到目前為止為儲存貯體執行的自動化敏感資料探索活動的結果。它們不會反映您建立和執行的敏感資料探索任務的結果。此外,分數和標籤都不表示或以其他方式指出儲存貯體或儲存貯體物件對您或您的組織可能具有的重要性或重要性。不過,您可以透過手動將最大分數 (*100*) 指派給儲存貯體,覆寫儲存貯體的計算分數。這也會將*敏感*標籤指派給儲存貯體。若要覆寫計算分數,您必須是擁有儲存貯體之帳戶的 Macie 管理員,或擁有獨立 Macie 帳戶。
**Topics**
+ [敏感度評分維度和範圍](#discovery-scoring-s3-dimensions)
+ [監控敏感度分數](#discovery-scoring-s3-monitoring)
## 敏感度評分維度和範圍
如果由 Amazon Macie 計算,S3 儲存貯體的敏感度分數是兩個主要維度交集的量化測量:
+ Macie 在儲存貯體中找到的敏感資料量。這主要衍生自 Macie 在儲存貯體中找到的敏感資料類型的性質和數量,以及每種類型的出現次數。
+ Macie 在儲存貯體中分析的資料量。這主要衍生自 Macie 在儲存貯體中分析的唯一物件數量,相對於儲存貯體中唯一物件的總數。
S3 儲存貯體的敏感度分數也會決定 Macie 指派給儲存貯體的敏感度標籤。敏感度標籤是分數的定性表示法,例如*敏感*或不*敏感*。在 Amazon Macie 主控台上,儲存貯體的敏感度分數也會決定 Macie 用來在資料視覺化中代表儲存貯體的顏色,如下圖所示。
![\[敏感分數的顏色光譜:1-49 的藍色調、51-100 的紅色調,以及 -1 的灰色。\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/sensitivity-scoring-spectrum.png)
敏感度分數範圍從 *-1* 到 *100*,如下表所述。若要評估 S3 儲存貯體分數的輸入,您可以參考敏感資料探索統計資料,以及 Macie 提供有關儲存貯體的其他詳細資訊。
| 敏感度分數 | 敏感度標籤 | 其他資訊 |
| --- | --- | --- |
| -1 | 分類錯誤 | Macie 尚未成功分析任何儲存貯體的物件,因為物件層級分類錯誤—具有物件層級許可設定、物件內容或配額的問題。 當 Macie 嘗試分析儲存貯體中的一或多個物件時,發生錯誤。例如,物件是格式不正確的檔案,或使用 Macie 無法存取或不允許使用的金鑰來加密物件。儲存貯體的涵蓋範圍資料可協助您調查和修復錯誤。如需詳細資訊,請參閱[評估自動化敏感資料探索涵蓋範圍](discovery-coverage.md)。 Macie 將繼續嘗試分析儲存貯體中的物件。如果 Macie 成功分析物件,Macie 會更新儲存貯體的敏感度分數和標籤,以反映分析結果。 |
| 1-49 | 不敏感 | 在此範圍內,分數越高,例如 *49*,表示 Macie 已分析儲存貯體中相對較少的物件。分數較低,例如 *1*,表示 Macie 已分析儲存貯體中的許多物件 (相對於儲存貯體中的物件總數),並偵測到相對較少的類型和在這些物件中出現的敏感資料。 分數為 *1* 也可以表示儲存貯體不會儲存任何物件,或儲存貯體中的所有物件都包含零 (0) 位元組的資料。儲存貯體詳細資訊中的物件統計資料可協助您判斷是否為這種情況。如需詳細資訊,請參閱[檢閱 S3 儲存貯體詳細資訊](discovery-asdd-results-s3-inventory-details.md)。 |
| 50 | 尚未分析 | Macie 尚未嘗試分析或分析任何儲存貯體的物件。 當最初啟用自動探索,或將儲存貯體新增至帳戶的儲存貯體庫存時,Macie 會自動指派此分數。在組織中,如果擁有儲存貯體的帳戶從未啟用自動探索,則儲存貯體也可以有此分數。 分數為 *50* 表示儲存貯體的許可設定可防止 Macie 存取儲存貯體或儲存貯體的物件。這通常是由於限制性儲存貯體政策所致。儲存貯體的詳細資訊可協助您判斷是否為這種情況,因為 Macie 只能提供有關儲存貯體的資訊子集。如需如何解決此問題的資訊,請參閱 [允許 Macie 存取 S3 儲存貯體和物件](monitoring-restrictive-s3-buckets.md)。 |
| 51-99 | 敏感 | 在此範圍內,分數越高,例如 *99*,表示 Macie 已分析儲存貯體中的許多物件 (相對於儲存貯體中的物件總數),並偵測到這些物件中的敏感資料有許多類型和出現次數。分數較低,例如 *51*,表示 Macie 已分析儲存貯體中中等數量的物件 (相對於儲存貯體中的物件總數),並在這些物件中偵測到至少幾種類型的敏感資料。 |
| 100 | 敏感 | 分數已手動指派給儲存貯體,覆寫計算的分數。Macie 不會將此分數指派給儲存貯體。 |
## 監控敏感度分數
當帳戶最初啟用自動敏感資料探索時,Amazon Macie 會自動為帳戶擁有的每個 S3 儲存貯體指派 *50* 的敏感分數。當儲存貯體新增至帳戶的儲存貯體庫存時,Macie 也會將此分數指派給儲存貯體。根據該分數,*尚未分析*每個儲存貯體的敏感度標籤。例外是空儲存貯體,此儲存貯體不會存放任何物件,或儲存貯體中的所有物件都包含零 (0) 位元組的資料。如果是儲存貯體,Macie 會將分數 *1* 指派給儲存貯體,且儲存貯體的敏感度標籤*不敏感*。
隨著自動化敏感資料探索每天進行,Macie 會更新 S3 儲存貯體的敏感分數和標籤,以反映其分析結果。例如:
+ 如果 Macie 在 物件中找不到敏感資料,Macie 會降低儲存貯體的敏感分數,並視需要更新敏感標籤。
+ 如果 Macie 在 物件中找到敏感資料,Macie 會提高儲存貯體的敏感分數,並視需要更新敏感標籤。
+ 如果 Macie 在隨後變更的物件中找到敏感資料,Macie 會從儲存貯體的敏感度分數中移除物件的敏感資料偵測,並視需要更新敏感標籤。
+ 如果 Macie 在隨後刪除的物件中找到敏感資料,Macie 會從儲存貯體的敏感度分數中移除物件的敏感資料偵測,並視需要更新敏感標籤。
+ 如果將物件新增至先前為空的儲存貯體,且 Macie 在物件中發現敏感資料,則 Macie 會提高儲存貯體的敏感度分數,並視需要更新敏感標籤。
+ 如果儲存貯體的許可設定阻止 Macie 存取或擷取儲存貯體或儲存貯體物件的相關資訊,Macie 會將儲存貯體的敏感度分數變更為 *50*,並將儲存貯體的敏感度標籤變更為*尚未分析*。
分析結果可以在為 帳戶啟用自動敏感資料探索的 48 小時內開始出現。
如果您是組織的 Macie 管理員,或擁有獨立的 Macie 帳戶,您可以調整組織的敏感度評分設定:
+ 若要調整所有 S3 儲存貯體後續分析的設定,請變更您帳戶的設定。您可以開始包含或排除特定受管資料識別符、自訂資料識別符或允許清單。您也可以排除特定儲存貯體。如需詳細資訊,請參閱[設定自動探索設定](discovery-asdd-account-configure.md)。
+ 若要調整個別 S3 儲存貯體的設定,請變更每個儲存貯體的設定。您可以從儲存貯體的分數中包含或排除特定類型的敏感資料。您也可以指定是否要將自動計算的分數指派給儲存貯體。如需詳細資訊,請參閱[調整 S3 儲存貯體的敏感度分數](discovery-asdd-s3bucket-manage.md)。
如果您停用自動敏感資料探索,則現有敏感分數和標籤的效果會有所不同。如果您為組織中的成員帳戶停用此功能,現有的分數和標籤會保留給帳戶擁有的 S3 儲存貯體。如果您為組織整體或獨立 Macie 帳戶停用此功能,現有的分數和標籤只會保留 30 天。30 天後,Macie 會重設組織或帳戶擁有之所有儲存貯體的分數和標籤。如果儲存貯體存放物件,Macie 會將分數變更為 *50*,並將*尚未分析*的標籤指派給儲存貯體。如果儲存貯體是空的,Macie 會將分數變更為 *1*,並將*不敏感*標籤指派給儲存貯體。重設後,除非您再次為組織或帳戶啟用自動敏感資料探索,否則 Macie 會停止更新儲存貯體的敏感分數和標籤。
# 自動化敏感資料探索的預設設定
如果啟用自動敏感資料探索,Amazon Macie 會自動從您帳戶的所有 Amazon Simple Storage Service (Amazon S3) 一般用途儲存貯體中選取和分析範例物件。如果您是組織的 Macie 管理員,依預設這包含成員帳戶擁有的 S3 儲存貯體。
如果您是 Macie 管理員或擁有獨立的 Macie 帳戶,您可以透過從自動化敏感資料探索中排除特定 S3 儲存貯體來縮小分析範圍。您可以透過兩種方式執行此操作:變更帳戶的設定,以及變更個別儲存貯體的設定。身為 Macie 管理員,您也可以啟用或停用組織中個別帳戶的自動敏感資料探索。
根據預設,Macie 只會使用一組我們建議用於自動敏感資料探索的受管資料識別符來分析 S3 物件。Macie 不會使用任何自訂資料識別符,也不會允許您定義的清單。如果您是 Macie 管理員或擁有獨立的 Macie 帳戶,您可以將 Macie 設定為使用特定受管資料識別符、自訂資料識別符和允許清單來自訂分析。您可以透過變更帳戶的設定來執行此操作。
如需變更設定的資訊,請參閱 [設定自動敏感資料探索的設定](discovery-asdd-account-configure.md)。
**Topics**
+ [預設受管資料識別符](#discovery-asdd-settings-defaults-mdis)
+ [預設設定的更新](#discovery-asdd-mdis-default-updates)
## 自動敏感資料探索的預設受管資料識別符
根據預設,Amazon Macie 只會使用一組我們建議用於自動敏感資料探索的受管資料識別符來分析 S3 物件。此受管資料識別碼預設集旨在偵測常見的敏感資料類別和類型。根據我們的研究,它可以偵測一般類別和類型的敏感資料,同時透過減少雜訊來最佳化您的結果。
預設設定為動態。當我們發佈新的受管資料識別符時,如果它們可能進一步最佳化您的自動化敏感資料探索結果,我們會將它們新增至預設設定。隨著時間的推移,我們也可能會從集合中新增或移除現有的受管資料識別符。移除受管資料識別符不會影響 S3 儲存貯體的現有敏感資料探索統計資料和詳細資訊。例如,如果我們移除 Macie 先前在儲存貯體中偵測到的敏感資料類型的受管資料識別符,Macie 會繼續報告這些偵測。如果我們從預設集新增或移除受管資料識別符,我們會更新此頁面,以指出變更的性質和時間。如需這些變更的自動提醒,您可以在 [Macie 文件歷史記錄](doc-history.md)頁面上訂閱 RSS 摘要。
下列主題列出目前在預設設定中的受管資料識別符,依敏感資料類別和類型組織。它們會為集合中的每個受管資料識別符指定唯一識別符 (ID)。此 ID 說明受管資料識別符設計用於偵測的敏感資料類型,例如:`PGP_PRIVATE_KEY`用於 PGP 私有金鑰,`USA_PASSPORT_NUMBER`以及用於美國護照號碼。如果您變更自動敏感資料探索的設定,您可以使用此 ID 明確地從後續分析中排除受管資料識別符。
**Topics**
+ [憑證](#discovery-asdd-settings-defaults-mdis-credentials)
+ [財務資訊](#discovery-asdd-settings-defaults-mdis-financial)
+ [個人身分識別資訊 (PII)](#discovery-asdd-settings-defaults-mdis-pii)
如需特定受管資料識別符的詳細資訊,或 Macie 目前提供的所有受管資料識別符的完整清單,請參閱 [使用受管資料識別符](managed-data-identifiers.md)。
### 憑證
為了偵測 S3 物件中登入資料的出現,Macie 預設會使用下列受管資料識別符。
| 敏感資料類型 | 受管資料識別符 ID |
| --- | --- |
| AWS 私密存取金鑰 | AWS\$1CREDENTIALS |
| HTTP 基本授權標頭 | HTTP\$1BASIC\$1AUTH\$1HEADER |
| OpenSSH 私密金鑰 | OPENSSH\$1PRIVATE\$1KEY |
| PGP 私密金鑰 | PGP\$1PRIVATE\$1KEY |
| 公有金鑰密碼編譯標準 (PKCS) 私有金鑰 | PKCS |
| PuTTY 私密金鑰 | PUTTY\$1PRIVATE\$1KEY |
### 財務資訊
為了偵測 S3 物件中發生的財務資訊,Macie 預設會使用下列受管資料識別符。
| 敏感資料類型 | 受管資料識別符 ID |
| --- | --- |
| 信用卡磁條資料 | CREDIT\$1CARD\$1MAGNETIC\$1STRIPE |
| 信用卡號碼 | CREDIT\$1CARD\$1NUMBER (適用於關鍵字附近的信用卡號碼) |
### 個人身分識別資訊 (PII)
為了偵測 S3 物件中出現的個人身分識別資訊 (PII),Macie 預設會使用下列受管資料識別符。
| 敏感資料類型 | 受管資料識別符 ID |
| --- | --- |
| 駕照識別號碼 | CANADA\$1DRIVERS\$1LICENSE, DRIVERS\$1LICENSE (適用於美國), UK\$1DRIVERS\$1LICENSE |
| 選民名冊號碼 | UK\$1ELECTORAL\$1ROLL\$1NUMBER |
| 國家身分證號碼 | FRANCE\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, GERMANY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, SPAIN\$1DNI\$1NUMBER |
| 國民保險號碼 (NINO) | UK\$1NATIONAL\$1INSURANCE\$1NUMBER |
| 護照號碼 | CANADA\$1PASSPORT\$1NUMBER, FRANCE\$1PASSPORT\$1NUMBER, GERMANY\$1PASSPORT\$1NUMBER, ITALY\$1PASSPORT\$1NUMBER, SPAIN\$1PASSPORT\$1NUMBER, UK\$1PASSPORT\$1NUMBER, USA\$1PASSPORT\$1NUMBER |
| 社會保險號碼 (SIN) | CANADA\$1SOCIAL\$1INSURANCE\$1NUMBER |
| 社會安全號碼 (SSN) | SPAIN\$1SOCIAL\$1SECURITY\$1NUMBER, USA\$1SOCIAL\$1SECURITY\$1NUMBER |
| 納稅識別號碼或參考號碼 | AUSTRALIA\$1TAX\$1FILE\$1NUMBER, BRAZIL\$1CPF\$1NUMBER, FRANCE\$1TAX\$1IDENTIFICATION\$1NUMBER, GERMANY\$1TAX\$1IDENTIFICATION\$1NUMBER, SPAIN\$1NIE\$1NUMBER, SPAIN\$1NIF\$1NUMBER, SPAIN\$1TAX\$1IDENTIFICATION\$1NUMBER, USA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER |
## 更新自動敏感資料探索的預設設定
下表說明 Amazon Macie 預設用於自動敏感資料探索的設定變更。如需這些變更的自動提醒,請訂閱 [Macie 文件歷史記錄](doc-history.md)頁面上的 RSS 摘要。
| 變更 | 描述 | Date |
| --- | --- | --- |
| 實作一組新的動態預設受管資料識別符 | 新的自動化敏感資料探索組態現在是以[一組動態預設的受管資料識別符](#discovery-asdd-settings-defaults-mdis)為基礎。如果您在此日期或之後第一次啟用自動敏感資料探索,您的組態會以動態集為基礎。 如果您在此日期之前第一次啟用自動敏感資料探索,則您的組態是以一組不同的受管資料識別符為基礎。如需詳細資訊,請參閱此表格後面的備註。 | 2023 年 8 月 2 日 |
| 一般可用性 | 自動化敏感資料探索的初始版本。 | 2022 年 11 月 28 日 |
如果您最初在 2023 年 8 月 2 日之前啟用自動敏感資料探索,您的組態並非以預設受管資料識別碼的動態集為基礎。相反地,它是基於一組靜態的受管資料識別符,我們在初始版本的自動敏感資料探索中定義,如下表所列。
若要判斷何時啟用自動敏感資料探索,您可以使用 Amazon Macie 主控台:在導覽窗格中選擇**自動敏感資料探索**,然後參考**狀態**區段中的啟用日期。您也可以以程式設計方式執行此操作:使用 Amazon Macie API 的 [GetAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html) 操作,並參考 `firstEnabledAt` 欄位的值。如果日期早於 2023 年 8 月 2 日,且您想要開始使用一組預設受管資料識別碼,請聯絡 AWS 支援 尋求協助。
下表列出靜態集中的所有受管資料識別符。資料表會先依敏感資料類別排序,然後依敏感資料類型排序。如需特定受管資料識別符的詳細資訊,請參閱 [使用受管資料識別符](managed-data-identifiers.md)。
| 敏感資料類別 | 敏感資料類型 | 受管資料識別符 ID |
| --- | --- | --- |
| 憑證 | AWS 私密存取金鑰 | AWS\$1CREDENTIALS |
| 憑證 | HTTP 基本授權標頭 | HTTP\$1BASIC\$1AUTH\$1HEADER |
| 憑證 | OpenSSH 私密金鑰 | OPENSSH\$1PRIVATE\$1KEY |
| 憑證 | PGP 私密金鑰 | PGP\$1PRIVATE\$1KEY |
| 憑證 | 公有金鑰密碼編譯標準 (PKCS) 私有金鑰 | PKCS |
| 憑證 | PuTTY 私密金鑰 | PUTTY\$1PRIVATE\$1KEY |
| 財務資訊 | 銀行帳戶號碼 | BANK\$1ACCOUNT\$1NUMBER (適用於加拿大和美國銀行帳號), FRANCE\$1BANK\$1ACCOUNT\$1NUMBER, GERMANY\$1BANK\$1ACCOUNT\$1NUMBER, ITALY\$1BANK\$1ACCOUNT\$1NUMBER, SPAIN\$1BANK\$1ACCOUNT\$1NUMBER, UK\$1BANK\$1ACCOUNT\$1NUMBER |
| 財務資訊 | 信用卡到期日 | CREDIT\$1CARD\$1EXPIRATION |
| 財務資訊 | 信用卡磁條資料 | CREDIT\$1CARD\$1MAGNETIC\$1STRIPE |
| 財務資訊 | 信用卡號碼 | CREDIT\$1CARD\$1NUMBER (適用於關鍵字附近的信用卡號碼) |
| 財務資訊 | 信用卡驗證碼 | CREDIT\$1CARD\$1SECURITY\$1CODE |
| 個人資訊:個人健康資訊 (PHI) | 緝毒署 (DEA) 註冊號碼 | US\$1DRUG\$1ENFORCEMENT\$1AGENCY\$1NUMBER |
| 個人資訊:PHI | 健康保險索償編碼 (HICN) | USA\$1HEALTH\$1INSURANCE\$1CLAIM\$1NUMBER |
| 個人資訊:PHI | 健康保險或醫療識別號碼 | CANADA\$1HEALTH\$1NUMBER, EUROPEAN\$1HEALTH\$1INSURANCE\$1CARD\$1NUMBER, FINLAND\$1EUROPEAN\$1HEALTH\$1INSURANCE\$1NUMBER, FRANCE\$1HEALTH\$1INSURANCE\$1NUMBER, UK\$1NHS\$1NUMBER, USA\$1MEDICARE\$1BENEFICIARY\$1IDENTIFIER |
| 個人資訊:PHI | 醫療保健通用程序編碼系統 (HCPCS) 代碼 | USA\$1HEALTHCARE\$1PROCEDURE\$1CODE |
| 個人資訊:PHI | 國家藥物法規 (NDC) | USA\$1NATIONAL\$1DRUG\$1CODE |
| 個人資訊:PHI | 國家提供者識別符 (NPI) | USA\$1NATIONAL\$1PROVIDER\$1IDENTIFIER |
| 個人資訊:PHI | 唯一裝置識別符 (UDI) | MEDICAL\$1DEVICE\$1UDI |
| 個人資訊:個人身分識別資訊 (PII) | 出生日期 | DATE\$1OF\$1BIRTH |
| 個人資訊:PII | 駕照識別號碼 | AUSTRALIA\$1DRIVERS\$1LICENSE, AUSTRIA\$1DRIVERS\$1LICENSE, BELGIUM\$1DRIVERS\$1LICENSE, BULGARIA\$1DRIVERS\$1LICENSE, CANADA\$1DRIVERS\$1LICENSE, CROATIA\$1DRIVERS\$1LICENSE, CYPRUS\$1DRIVERS\$1LICENSE, CZECHIA\$1DRIVERS\$1LICENSE, DENMARK\$1DRIVERS\$1LICENSE, DRIVERS\$1LICENSE (對於美國), ESTONIA\$1DRIVERS\$1LICENSE, FINLAND\$1DRIVERS\$1LICENSE, FRANCE\$1DRIVERS\$1LICENSE, GERMANY\$1DRIVERS\$1LICENSE, GREECE\$1DRIVERS\$1LICENSE, HUNGARY\$1DRIVERS\$1LICENSE, IRELAND\$1DRIVERS\$1LICENSE, ITALY\$1DRIVERS\$1LICENSE, LATVIA\$1DRIVERS\$1LICENSE, LITHUANIA\$1DRIVERS\$1LICENSE, LUXEMBOURG\$1DRIVERS\$1LICENSE, MALTA\$1DRIVERS\$1LICENSE, NETHERLANDS\$1DRIVERS\$1LICENSE, POLAND\$1DRIVERS\$1LICENSE, PORTUGAL\$1DRIVERS\$1LICENSE, ROMANIA\$1DRIVERS\$1LICENSE, SLOVAKIA\$1DRIVERS\$1LICENSE, SLOVENIA\$1DRIVERS\$1LICENSE, SPAIN\$1DRIVERS\$1LICENSE, SWEDEN\$1DRIVERS\$1LICENSE, UK\$1DRIVERS\$1LICENSE |
| 個人資訊:PII | 選民名冊號碼 | UK\$1ELECTORAL\$1ROLL\$1NUMBER |
| 個人資訊:PII | 全名 | NAME |
| 個人資訊:PII | 全球定位系統 (GPS) 座標 | LATITUDE\$1LONGITUDE |
| 個人資訊:PII | 郵寄地址 | ADDRESS, BRAZIL\$1CEP\$1CODE |
| 個人資訊:PII | 國家身分證號碼 | BRAZIL\$1RG\$1NUMBER, FRANCE\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, GERMANY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, SPAIN\$1DNI\$1NUMBER |
| 個人資訊:PII | 國民保險號碼 (NINO) | UK\$1NATIONAL\$1INSURANCE\$1NUMBER |
| 個人資訊:PII | 護照號碼 | CANADA\$1PASSPORT\$1NUMBER, FRANCE\$1PASSPORT\$1NUMBER, GERMANY\$1PASSPORT\$1NUMBER, ITALY\$1PASSPORT\$1NUMBER, SPAIN\$1PASSPORT\$1NUMBER, UK\$1PASSPORT\$1NUMBER, USA\$1PASSPORT\$1NUMBER |
| 個人資訊:PII | 永久居留號碼 | CANADA\$1NATIONAL\$1IDENTIFICATION\$1NUMBER |
| 個人資訊:PII | 電話號碼 | BRAZIL\$1PHONE\$1NUMBER, FRANCE\$1PHONE\$1NUMBER, GERMANY\$1PHONE\$1NUMBER, ITALY\$1PHONE\$1NUMBER, PHONE\$1NUMBER (適用於加拿大和美國), SPAIN\$1PHONE\$1NUMBER, UK\$1PHONE\$1NUMBER |
| 個人資訊:PII | 社會保險號碼 (SIN) | CANADA\$1SOCIAL\$1INSURANCE\$1NUMBER |
| 個人資訊:PII | 社會安全號碼 (SSN) | SPAIN\$1SOCIAL\$1SECURITY\$1NUMBER, USA\$1SOCIAL\$1SECURITY\$1NUMBER |
| 個人資訊:PII | 納稅識別號碼或參考號碼 | AUSTRALIA\$1TAX\$1FILE\$1NUMBER, BRAZIL\$1CNPJ\$1NUMBER, BRAZIL\$1CPF\$1NUMBER, FRANCE\$1TAX\$1IDENTIFICATION\$1NUMBER, GERMANY\$1TAX\$1IDENTIFICATION\$1NUMBER, SPAIN\$1NIE\$1NUMBER, SPAIN\$1NIF\$1NUMBER, SPAIN\$1TAX\$1IDENTIFICATION\$1NUMBER, UK\$1TAX\$1IDENTIFICATION\$1NUMBER, USA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER |
| 個人資訊:PII | 車輛識別碼 (VIN) | VEHICLE\$1IDENTIFICATION\$1NUMBER |