本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 Macie 調查結果擷取敏感資料範例
<a name="findings-retrieve-sd"></a>

若要驗證 Amazon Macie 在調查結果中報告的敏感資料的性質，您可以選擇設定和使用 Macie 來擷取和顯示個別調查結果報告的敏感資料範例。這包括 Macie 使用[受管資料識別符](managed-data-identifiers.md)偵測到的敏感資料，以及符合[自訂資料識別符條件的資料](custom-data-identifiers.md)。這些範例可協助您量身打造受影響 Amazon Simple Storage Service (Amazon S3) 物件和儲存貯體的調查。

如果您擷取並揭露問題清單的敏感資料範例，Macie 會執行下列一般任務：

1. 驗證調查結果是否指定個別出現敏感資料的位置，以及對應的[敏感資料探索結果](discovery-results-repository-s3.md)的位置。

1. 評估對應的敏感資料探索結果，檢查受影響的 S3 物件中繼資料的有效性，以及位置資料在物件中是否出現敏感資料。

1. 透過在敏感資料探索結果中使用資料， 會找出問題清單報告的前 1-10 個敏感資料，並從受影響的 S3 物件擷取每次出現的前 1-128 個字元。如果調查結果報告了多種類型的敏感資料，Macie 最多會執行此操作 100 個類型。

1. 使用您指定的 AWS Key Management Service (AWS KMS) 金鑰來加密擷取的資料。

1. 暫時將加密的資料存放在快取中，並顯示資料供您檢閱。資料會隨時加密，包括傳輸中和靜態。

1. 在擷取和加密之後不久， 會永久刪除快取中的資料，除非為了解決操作問題而暫時需要額外的保留。

如果您選擇再次擷取並顯示調查結果的敏感資料範例，Macie 會重複這些任務，以尋找、擷取、加密、儲存和最終刪除這些範例。

Macie 不會為您的帳戶使用 [Macie 服務連結角色](service-linked-roles.md)來執行這些任務。反之，您可以使用 AWS Identity and Access Management (IAM) 身分，或允許 Macie 在帳戶中擔任 IAM 角色。如果您或角色被允許存取必要的資源和資料，並執行必要的動作，您可以擷取並揭露問題清單的敏感資料範例。所有必要動作都會[登入 AWS CloudTrail](macie-cloudtrail.md)。

**重要**  
建議您使用[自訂 IAM 政策](security-iam.md)來限制對此功能的存取。如需額外的存取控制，我們建議您也建立專用 AWS KMS key 於加密擷取的敏感資料範例，並將金鑰的使用限制為必須允許擷取和公開敏感資料範例的委託人。  
如需可用來控制此功能存取的政策建議和範例，請參閱安全*AWS 部落格*上的下列部落格文章：[如何使用 Amazon Macie 預覽 S3 儲存貯體中的敏感資料](https://aws.amazon.com/blogs/security/how-to-use-amazon-macie-to-preview-sensitive-data-in-s3-buckets/)。

本節中的主題說明如何設定和使用 Macie 來擷取和顯示問題清單的敏感資料範例。您可以在目前可使用 Macie 的所有 AWS 區域 中執行這些任務，但亞太區域 （大阪） 和以色列 （特拉維夫） 區域除外。

**Topics**
+ [擷取範例的組態選項](findings-retrieve-sd-options.md)
+ [設定 Macie 擷取範例](findings-retrieve-sd-configure.md)
+ [擷取範例](findings-retrieve-sd-proc.md)

# 使用 Macie 擷取敏感資料範例的組態選項
<a name="findings-retrieve-sd-options"></a>

您可以選擇性地設定和使用 Amazon Macie，以擷取和顯示 Macie 在個別調查結果中報告的敏感資料範例。如果您擷取並揭露問題清單的敏感資料範例，Macie 會使用對應[敏感資料探索結果](discovery-results-repository-s3.md)中的資料，找出受影響 Amazon Simple Storage Service (Amazon S3) 物件中敏感資料的出現。Macie 接著會從受影響的物件擷取這些事件的範例。Macie 會使用您指定的 AWS Key Management Service (AWS KMS) 金鑰來加密擷取的資料、暫時將加密的資料存放在快取中，並在問題清單的結果中傳回資料。在擷取和加密之後不久，Macie 會永久刪除快取中的資料，除非為了解決操作問題而暫時需要額外的保留。

Macie 不會為您的帳戶使用 [Macie 服務連結角色](service-linked-roles.md)來尋找、擷取、加密或公開受影響 S3 物件的敏感資料範例。相反地，Macie 會使用您為帳戶設定的設定和資源。當您在 Macie 中設定設定時，您可以指定如何存取受影響的 S3 物件。您也可以指定 AWS KMS key 要使用哪個 來加密範例。除了亞太區域 （大阪） 和以色列 （特拉維夫） 區域以外，您可以在目前可使用 AWS 區域 Macie 的所有 中設定設定。

若要存取受影響的 S3 物件並從中擷取敏感資料範例，您有兩個選項。您可以設定 Macie 使用 AWS Identity and Access Management (IAM) 使用者登入資料或擔任 IAM 角色：
+ **使用 IAM 使用者登入**資料 – 使用此選項，您帳戶的每個使用者都會使用其個別 IAM 身分來尋找、擷取、加密和揭露範例。這表示如果允許使用者存取必要的資源和資料，並執行必要的動作，使用者可以擷取並揭露問題清單的敏感資料範例。
+ **擔任 IAM 角色** – 使用此選項，您可以建立將存取權委派給 Macie 的 IAM 角色。您也可以確保角色的信任和許可政策符合 Macie 擔任角色的所有要求。然後，當帳戶的使用者選擇尋找、擷取、加密和公開問題清單的敏感資料範例時，Macie 會擔任該角色。

您可以搭配任何類型的 Macie 帳戶使用組態：組織的委派 Macie 管理員帳戶、組織中的 Macie 成員帳戶或獨立 Macie 帳戶。

下列主題說明可協助您決定如何設定 帳戶設定和資源的選項、需求和考量事項。這包括要連接到 IAM 角色的信任和許可政策。如需可用於擷取和揭露敏感資料範例的政策的其他建議和範例，請參閱安全*AWS 部落格*上的下列部落格文章：[如何使用 Amazon Macie 在 S3 儲存貯體中預覽敏感資料](https://aws.amazon.com/blogs/security/how-to-use-amazon-macie-to-preview-sensitive-data-in-s3-buckets/)。

**Topics**
+ [決定要使用的存取方法](#findings-retrieve-sd-options-s3access)
+ [使用 IAM 使用者登入資料來存取受影響的 S3 物件](#findings-retrieve-sd-options-s3access-user)
+ [擔任 IAM 角色以存取受影響的 S3 物件](#findings-retrieve-sd-options-s3access-role)
+ [設定 IAM 角色以存取受影響的 S3 物件](#findings-retrieve-sd-options-s3access-role-configuration)
+ [解密受影響的 S3 物件](#findings-retrieve-sd-options-decrypt)

## 決定要使用的存取方法
<a name="findings-retrieve-sd-options-s3access"></a>

判斷哪種組態最適合您的 AWS 環境時，關鍵考量是您的環境是否包含以組織身分集中管理的多個 Amazon Macie 帳戶。如果您是組織的委派 Macie 管理員，將 Macie 設定為擔任 IAM 角色可以簡化組織中帳戶受影響 S3 物件的敏感資料範例擷取。使用此方法，您可以在管理員帳戶中建立 IAM 角色。您也可以在每個適用的成員帳戶中建立 IAM 角色。管理員帳戶中的角色會將存取權委派給 Macie。成員帳戶中的角色會將跨帳戶存取權委派給您的管理員帳戶中的角色。如果實作，您就可以使用角色鏈結來存取成員帳戶受影響的 S3 物件。

根據預設，也請考慮誰可以直接存取個別問題清單。若要擷取並顯示問題清單的敏感資料範例，使用者必須先存取問題清單：
+ **敏感資料探索任務** – 只有建立任務的帳戶可以存取任務產生的調查結果。如果您有 Macie 管理員帳戶，您可以設定任務來分析組織中任何帳戶的 S3 儲存貯體中的物件。因此，您的任務可以在成員帳戶擁有的儲存貯體中產生物件的調查結果。如果您有成員帳戶或獨立的 Macie 帳戶，您可以設定任務，僅在您帳戶擁有的儲存貯體中分析物件。
+ **自動化敏感資料探索** – 只有 Macie 管理員帳戶可以存取自動化探索為其組織中的帳戶產生的調查結果。成員帳戶無法存取這些調查結果。如果您有獨立的 Macie 帳戶，您可以存取自動化探索只會為您自己的帳戶產生的調查結果。

如果您計劃使用 IAM 角色存取受影響的 S3 物件，也請考慮下列事項：
+ 若要尋找物件中出現的敏感資料，問題清單對應的敏感資料探索結果必須存放在 Macie 使用雜湊型訊息驗證碼 (HMAC) 簽署的 S3 物件中 AWS KMS key。Macie 必須能夠驗證敏感資料探索結果的完整性和真實性。否則，Macie 不會擔任 IAM 角色來擷取敏感資料範例。這是額外的護欄，用於限制存取 帳戶的 S3 物件中的資料。
+ 若要從使用客戶受管加密的物件擷取敏感資料範例 AWS KMS key，必須允許 IAM 角色使用 金鑰解密資料。更具體地說，金鑰的政策必須允許角色執行 `kms:Decrypt`動作。對於其他類型的伺服器端加密，不需要額外的許可或資源來解密受影響的物件。如需詳細資訊，請參閱[解密受影響的 S3 物件](#findings-retrieve-sd-options-decrypt)。
+ 若要從另一個帳戶的物件擷取敏感資料範例，您目前必須是適用 中帳戶的委派 Macie 管理員 AWS 區域。此外還能：
  + Macie 目前必須為適用區域中的成員帳戶啟用。
  + 成員帳戶必須具有 IAM 角色，將跨帳戶存取權委派給 Macie 管理員帳戶中的 IAM 角色。角色的名稱在您的 Macie 管理員帳戶和成員帳戶中必須相同。
  + 成員帳戶中 IAM 角色的信任政策必須包含為您的組態指定正確外部 ID 的條件。此 ID 是唯一的英數字串，在您為 Macie 管理員帳戶設定設定後，Macie 會自動產生此字串。如需有關在信任政策中使用外部 IDs 的資訊，請參閱*AWS Identity and Access Management 《 使用者指南*》中的[存取第三方 AWS 帳戶 擁有](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)的 。
  + 如果成員帳戶中的 IAM 角色符合所有 Macie 要求，成員帳戶不需要設定和啟用 Macie 設定，即可從其帳戶的物件擷取敏感資料範例。Macie 只會使用 Macie 管理員帳戶中的設定和 IAM 角色，以及成員帳戶中的 IAM 角色。
**提示**  
如果您的帳戶是大型組織的一部分，請考慮使用 AWS CloudFormation 範本和堆疊集來佈建和管理組織中成員帳戶的 IAM 角色。如需有關建立和使用範本和堆疊集的資訊，請參閱 [AWS CloudFormation 使用者指南](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)。  
若要檢閱並選擇性地下載可做為起點的 CloudFormation 範本，您可以使用 Amazon Macie 主控台。在主控台的導覽窗格中的設定下****，選擇**顯示範例**。選擇**編輯**，然後選擇**檢視成員角色許可和 CloudFormation 範本**。

本節中的後續主題提供每種組態類型的其他詳細資訊和考量。對於 IAM 角色，這包含要連接到角色的信任和許可政策。如果您不確定哪種類型的組態最適合您的環境，請向您的 AWS 管理員尋求協助。

## 使用 IAM 使用者登入資料來存取受影響的 S3 物件
<a name="findings-retrieve-sd-options-s3access-user"></a>

如果您設定 Amazon Macie 使用 IAM 使用者登入資料擷取敏感資料範例，您的 Macie 帳戶的每個使用者都會使用其 IAM 身分來尋找、擷取、加密和顯示個別問題清單的範例。這表示如果允許使用者的 IAM 身分存取必要的資源和資料，並執行必要的動作，使用者可以擷取並揭露調查結果的敏感資料範例。所有必要動作都會[記錄在 中 AWS CloudTrail](macie-cloudtrail.md)。

若要擷取並揭露特定調查結果的敏感資料範例，必須允許使用者存取下列資料和資源：調查結果、對應的敏感資料探索結果、受影響的 S3 儲存貯體，以及受影響的 S3 物件。如果適用，他們也必須被允許使用 AWS KMS key 用來加密受影響物件的 ，以及您設定 Macie 用來加密敏感資料範例 AWS KMS key 的 。如果任何 IAM 政策、資源政策或其他許可設定拒絕必要的存取，使用者將無法擷取並顯示調查結果的範例。

若要設定此類型的組態，請完成下列一般任務：

1. 確認您已為敏感資料探索結果設定儲存庫。

1.  AWS KMS key 將 設定為用於敏感資料範例的加密。

1. 驗證您在 Macie 中設定設定的許可。

1. 在 Macie 中設定和啟用設定。

如需執行這些任務的資訊，請參閱 [設定 Macie 擷取敏感資料範例](findings-retrieve-sd-configure.md)。

## 擔任 IAM 角色以存取受影響的 S3 物件
<a name="findings-retrieve-sd-options-s3access-role"></a>

若要設定 Amazon Macie 透過擔任 IAM 角色來擷取敏感資料範例，請先建立將存取權委派給 Amazon Macie 的 IAM 角色。確保角色的信任和許可政策符合 Macie 擔任角色的所有要求。當 Macie 帳戶的使用者接著選擇擷取並揭露問題清單的敏感資料範例時，Macie 會擔任從受影響的 S3 物件擷取範例的角色。Macie 只有在使用者選擇擷取並顯示問題清單的範例時，才會擔任該角色。為了擔任該角色，Macie 使用 AWS Security Token Service (AWS STS) API 的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) 操作。所有必要動作都會[登入 AWS CloudTrail](macie-cloudtrail.md)。

若要擷取並揭露特定調查結果的敏感資料範例，必須允許使用者存取調查結果、對應的敏感資料探索結果，以及您設定 Macie 用來加密敏感資料範例 AWS KMS key 的 。IAM 角色必須允許 Macie 存取受影響的 S3 儲存貯體和受影響的 S3 物件。如果適用，也必須允許角色使用 AWS KMS key 用來加密受影響物件的 。如果任何 IAM 政策、資源政策或其他許可設定拒絕必要的存取，使用者將無法擷取並顯示調查結果的範例。

若要設定此類型的組態，請完成下列一般任務。如果您在組織中有成員帳戶，請與您的 Macie 管理員合作，決定是否以及如何設定帳戶的設定和資源。

1. 定義下列項目：
   + 您希望 Macie 擔任的 IAM 角色名稱。如果您的帳戶是組織的一部分，則委派 Macie 管理員帳戶和組織中每個適用的成員帳戶的名稱必須相同。否則，Macie 管理員將無法存取適用成員帳戶的受影響 S3 物件。
   + 要連接到 IAM 角色的 IAM 許可政策名稱。如果您的帳戶是組織的一部分，我們建議您為組織中每個適用的成員帳戶使用相同的政策名稱。這可以簡化成員帳戶中的角色的佈建和管理。

1. 確認您已為敏感資料探索結果設定儲存庫。

1.  AWS KMS key 將 設定為用於敏感資料範例的加密。

1. 驗證您在 Macie 中建立 IAM 角色和設定設定的許可。

1. 如果您是組織的委派 Macie 管理員，或擁有獨立的 Macie 帳戶：

   1. 為您的 帳戶建立和設定 IAM 角色。確保角色的信任和許可政策符合 Macie 擔任角色的所有要求。如需這些需求的詳細資訊，請參閱[下一個主題](#findings-retrieve-sd-options-s3access-role-configuration)。

   1. 在 Macie 中設定和啟用設定。Macie 接著會產生組態的外部 ID。如果您是組織的 Macie 管理員，請注意此 ID。每個適用成員帳戶中 IAM 角色的信任政策必須指定此 ID。

1. 如果您在組織中有成員帳戶：

   1. 向您的 Macie 管理員詢問外部 ID，以便在您帳戶中 IAM 角色的信任政策中指定 。同時驗證要建立的 IAM 角色和許可政策的名稱。

   1. 為您的 帳戶建立和設定 IAM 角色。確保角色的信任和許可政策符合 Macie 管理員擔任角色的所有要求。如需這些需求的詳細資訊，請參閱[下一個主題](#findings-retrieve-sd-options-s3access-role-configuration)。

   1. （選用） 如果您想要針對自己的帳戶從受影響的 S3 物件擷取並顯示敏感資料範例，請在 Macie 中設定和啟用設定。如果您希望 Macie 擔任 IAM 角色來擷取範例，請先在帳戶中建立和設定其他 IAM 角色。確保此額外角色的信任和許可政策符合 Macie 擔任該角色的所有要求。然後在 Macie 中設定設定，並指定此額外角色的名稱。如需角色政策需求的詳細資訊，請參閱[下一個主題](#findings-retrieve-sd-options-s3access-role-configuration)。

如需執行這些任務的資訊，請參閱 [設定 Macie 擷取敏感資料範例](findings-retrieve-sd-configure.md)。

## 設定 IAM 角色以存取受影響的 S3 物件
<a name="findings-retrieve-sd-options-s3access-role-configuration"></a>

若要使用 IAM 角色存取受影響的 S3 物件，請先建立和設定將存取權委派給 Amazon Macie 的角色。確保角色的信任和許可政策符合 Macie 擔任角色的所有要求。執行此作業的方式取決於您擁有的 Macie 帳戶類型。

下列各節提供有關要連接到每種 Macie 帳戶之 IAM 角色的信任和許可政策的詳細資訊。選擇您擁有的帳戶類型的 區段。

**注意**  
如果您在組織中有成員帳戶，您可能需要為帳戶建立和設定兩個 IAM 角色：  
若要允許 Macie 管理員從您帳戶受影響的 S3 物件擷取並揭露敏感資料範例，請建立並設定管理員帳戶可擔任的角色。如需這些詳細資訊，請選擇 **Macie 成員帳戶**區段。
若要從您自己帳戶受影響的 S3 物件擷取並顯示敏感資料範例，請建立並設定 Macie 可以擔任的角色。如需這些詳細資訊，請選擇**獨立 Macie 帳戶**區段。
在您建立和設定任一個 IAM 角色之前，請與您的 Macie 管理員合作，以判斷您帳戶的適當組態。

如需使用 IAM 建立角色的詳細資訊，請參閱*AWS Identity and Access Management 《 使用者指南*》中的[使用自訂信任政策建立角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html)。

### Macie 管理員帳戶
<a name="findings-retrieve-sd-options-s3access-role-admin"></a>

如果您是組織的委派 Macie 管理員，請先使用 IAM 政策編輯器來建立 IAM 角色的許可政策。政策應如下所示。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RetrieveS3Objects",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "AssumeMacieRevealRoleForCrossAccountAccess",
            "Effect": "Allow",
            "Action": [
                "sts:AssumeRole"
            ],
            "Resource": "arn:aws:iam::*:role/IAMRoleName"
        }
    ]
}
```

------

其中 *IAMRoleName* 是 Macie 從組織帳戶受影響的 S3 物件擷取敏感資料範例時要擔任的 IAM 角色名稱。將此值取代為您為帳戶建立的角色名稱，並計劃為組織中適用的成員帳戶建立。此名稱必須與您的 Macie 管理員帳戶和每個適用的成員帳戶相同。

**注意**  
在上述許可政策中，第一個陳述式中的 `Resource`元素使用萬用字元 (`*`)。這可讓連接的 IAM 實體從組織擁有的所有 S3 儲存貯體擷取物件。若要僅允許對特定儲存貯體進行此存取，請將萬用字元取代為每個儲存貯體的 Amazon Resource Name (ARN)。例如，若要僅允許存取名為 之儲存貯體中的物件*amzn-s3-demo-bucket1*，請將 元素變更為：  
`"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*"`  
您也可以限制對個別帳戶特定 S3 儲存貯體中物件的存取。若要這樣做，請在每個適用帳戶中 IAM 角色許可政策的 `Resource`元素中指定儲存貯ARNs。如需詳細資訊和範例，請參閱*AWS Identity and Access Management 《 使用者指南*》中的 [IAM JSON 政策元素：資源](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html)。

建立 IAM 角色的許可政策後，請建立和設定角色。如果您使用 IAM 主控台執行此操作，請選擇**自訂信任政策**作為角色的**受信任實體類型**。對於定義角色受信任實體的信任政策，請指定以下內容。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowMacieReveal",
            "Effect": "Allow",
            "Principal": {
                "Service": "reveal-samples.macie.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333"
                }
            }
        }
    ]
}
```

------

其中 *111122223333* 是 的帳戶 ID AWS 帳戶。將此值取代為您的 12 位數帳戶 ID。

在上述信任政策中：
+ `Principal` 元素指定 Macie 從受影響的 S3 物件擷取敏感資料範例時所使用的服務主體`reveal-samples.macie.amazonaws.com`。
+ `Action` 元素指定允許服務主體執行的動作，即 AWS Security Token Service (AWS STS) API 的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) 操作。
+ `Condition` 元素定義使用 [aws：SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) 全域條件內容索引鍵的條件。此條件決定哪些帳戶可以執行指定的動作。在這種情況下，它允許 Macie 僅擔任指定帳戶的角色。條件有助於防止 Macie 在交易期間被用作[混淆代理人](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) AWS STS。

定義 IAM 角色的信任政策後，請將許可政策連接至角色。這應該是您在開始建立角色之前建立的許可政策。然後完成 IAM 中的其餘步驟，以完成建立和設定角色。完成後，[請在 Macie 中設定和啟用設定](findings-retrieve-sd-configure.md)。

### Macie 成員帳戶
<a name="findings-retrieve-sd-options-s3access-role-member"></a>

如果您有 Macie 成員帳戶，而且想要允許 Macie 管理員擷取並揭露您帳戶受影響 S3 物件的敏感資料範例，請先向您的 Macie 管理員詢問以下資訊：
+ 要建立的 IAM 角色名稱。您的 帳戶和組織的 Macie 管理員帳戶的名稱必須相同。
+ 要連接到角色的 IAM 許可政策名稱。
+ 在角色的信任政策中指定的外部 ID。此 ID 必須是 Macie 為 Macie 管理員組態產生的外部 ID。

收到此資訊後，請使用 IAM 政策編輯器來建立角色的許可政策。政策應如下所示。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RetrieveS3Objects",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}
```

------

上述許可政策允許連接的 IAM 實體從您帳戶的所有 S3 儲存貯體擷取物件。這是因為政策中的 `Resource`元素使用萬用字元 (`*`)。若要僅允許對特定儲存貯體進行此存取，請將萬用字元取代為每個儲存貯體的 Amazon Resource Name (ARN)。例如，若要僅允許存取名為 之儲存貯體中的物件*amzn-s3-demo-bucket2*，請將 元素變更為：

`"Resource": "arn:aws:s3:::amzn-s3-demo-bucket2/*"`

如需詳細資訊和範例，請參閱*AWS Identity and Access Management 《 使用者指南*》中的 [IAM JSON 政策元素：資源](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html)。

建立 IAM 角色的許可政策後，請建立角色。如果您使用 IAM 主控台建立角色，請選擇**自訂信任政策**作為角色的**受信任實體類型**。對於定義角色受信任實體的信任政策，請指定以下內容。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowMacieAdminRevealRoleForCrossAccountAccess",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/IAMRoleName"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:ExternalId": "externalID",
                    "aws:PrincipalOrgID": "${aws:ResourceOrgID}"
                }
            }
        }
    ]
}
```

------

在上述政策中，將預留位置值取代為您的 AWS 環境的正確值，其中：
+ *111122223333* 是您 Macie 管理員帳戶的 12 位數帳戶 ID。
+ *IAMRoleName* 是 Macie 管理員帳戶中 IAM 角色的名稱。它應該是您從 Macie 管理員收到的名稱。
+ *externalID* 是您從 Macie 管理員收到的外部 ID。

一般而言，信任政策可讓您的 Macie 管理員擔任 角色，從您帳戶受影響的 S3 物件擷取和公開敏感資料範例。`Principal` 元素指定 Macie 管理員帳戶中 IAM 角色的 ARN。這是 Macie 管理員用來擷取和公開組織帳戶的敏感資料範例的角色。`Condition` 區塊會定義兩個條件，以進一步判斷誰可以擔任該角色：
+ 第一個條件會指定組織組態獨有的外部 ID。若要進一步了解外部 IDs，請參閱*AWS Identity and Access Management 《 使用者指南*》中的[存取第三方 AWS 帳戶 擁有](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)的 。
+ 第二個條件使用 [aws：PrincipalOrgID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) 全域條件內容索引鍵。索引鍵的值是動態變數，代表組織中 in AWS Organizations () 的唯一識別符`${aws:ResourceOrgID}`。條件限制只能存取屬於相同組織一部分的帳戶 AWS Organizations。如果您在 Macie 中接受邀請來加入組織，請從政策中移除此條件。

定義 IAM 角色的信任政策後，請將許可政策連接至角色。這應該是您在開始建立角色之前建立的許可政策。然後完成 IAM 中的其餘步驟，以完成建立和設定角色。請勿在 Macie 中設定和輸入角色的設定。

### 獨立 Macie 帳戶
<a name="findings-retrieve-sd-options-s3access-role-standalone"></a>

如果您有獨立 Macie 帳戶或 Macie 成員帳戶，而且想要擷取並揭露自您帳戶受影響 S3 物件的敏感資料範例，請先使用 IAM 政策編輯器來建立 IAM 角色的許可政策。政策應如下所示。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RetrieveS3Objects",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}
```

------

在上述許可政策中， `Resource`元素使用萬用字元 (`*`)。這可讓連接的 IAM 實體從您帳戶的所有 S3 儲存貯體擷取物件。若要僅允許對特定儲存貯體進行此存取，請將萬用字元取代為每個儲存貯體的 Amazon Resource Name (ARN)。例如，若要僅允許存取名為 之儲存貯體中的物件*amzn-s3-demo-bucket3*，請將 元素變更為：

`"Resource": "arn:aws:s3:::amzn-s3-demo-bucket3/*"`

如需詳細資訊和範例，請參閱*AWS Identity and Access Management 《 使用者指南*》中的 [IAM JSON 政策元素：資源](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html)。

建立 IAM 角色的許可政策後，請建立角色。如果您使用 IAM 主控台建立角色，請選擇**自訂信任政策**作為角色的**受信任實體類型**。對於定義角色受信任實體的信任政策，請指定以下內容。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowMacieReveal",
            "Effect": "Allow",
            "Principal": {
                "Service": "reveal-samples.macie.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "999999999999"
                }
            }
        }
    ]
}
```

------

其中 *999999999999* 是 的帳戶 ID AWS 帳戶。將此值取代為您的 12 位數帳戶 ID。

在上述信任政策中：
+ `Principal` 元素會指定 Macie 從受影響的 S3 物件擷取和顯示敏感資料範例時所使用的服務主體`reveal-samples.macie.amazonaws.com`。
+ `Action` 元素指定允許服務主體執行的動作，即 AWS Security Token Service (AWS STS) API 的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) 操作。
+ `Condition` 元素定義使用 [aws：SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) 全域條件內容索引鍵的條件。此條件決定哪些帳戶可以執行指定的動作。它允許 Macie 僅擔任指定帳戶的角色。條件有助於防止 Macie 在與 交易期間被用作[混淆代理人](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) AWS STS。

定義 IAM 角色的信任政策後，請將許可政策連接至角色。這應該是您在開始建立角色之前建立的許可政策。然後完成 IAM 中的其餘步驟，以完成建立和設定角色。完成後，[請在 Macie 中設定和啟用設定](findings-retrieve-sd-configure.md)。

## 解密受影響的 S3 物件
<a name="findings-retrieve-sd-options-decrypt"></a>

Amazon S3 支援 S3 物件的多個加密選項。對於大多數這些選項，IAM 使用者或角色不需要額外的資源或許可，即可從受影響的物件解密和擷取敏感資料範例。這種情況適用於使用伺服器端加密搭配 Amazon S3 受管金鑰或 AWS 受管金鑰進行加密的物件 AWS KMS key。

不過，如果 S3 物件使用客戶受管加密 AWS KMS key，則需要額外的許可，才能從物件解密和擷取敏感資料範例。更具體地說，KMS 金鑰的金鑰政策必須允許 IAM 使用者或角色執行`kms:Decrypt`動作。否則，發生錯誤，Amazon Macie 不會從物件擷取任何範例。若要了解如何為 IAM 使用者提供此存取權，請參閱《 *AWS Key Management Service 開發人員指南*》中的 [KMS 金鑰存取和許可](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html)。

如何為 IAM 角色提供此存取權取決於擁有 的帳戶是否 AWS KMS key 也擁有該角色：
+ 如果同一個帳戶擁有 KMS 金鑰和角色，則帳戶的使用者必須更新金鑰的政策。
+ 如果一個帳戶擁有 KMS 金鑰，而另一個帳戶擁有該角色，則擁有金鑰的帳戶使用者必須允許跨帳戶存取金鑰。

本主題說明如何針對您建立的 IAM 角色執行這些任務，以從 S3 物件擷取敏感資料範例。它也提供這兩種案例的範例。如需有關允許存取其他案例 AWS KMS keys 所管理的客戶的資訊，請參閱《 *AWS Key Management Service 開發人員指南*》中的 [KMS 金鑰存取和許可](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html)。

### 允許相同帳戶存取客戶受管金鑰
<a name="findings-retrieve-sd-options-decrypt-same-account"></a>

如果同一個帳戶同時擁有 AWS KMS key 和 IAM 角色，則帳戶的使用者必須將陳述式新增至金鑰的政策。其他陳述式必須允許 IAM 角色使用 金鑰解密資料。如需更新金鑰政策的詳細資訊，請參閱《 *AWS Key Management Service 開發人員指南*》中的[變更金鑰政策](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html)。

在 陳述式中：
+ `Principal` 元素必須指定 IAM 角色的 Amazon Resource Name (ARN)。
+ `Action` 陣列必須指定 `kms:Decrypt`動作。這是唯一必須允許 AWS KMS IAM 角色執行的動作，以解密使用 金鑰加密的物件。

以下是要新增至 KMS 金鑰政策的 陳述式範例。

```
{
    "Sid": "Allow the Macie reveal role to use the key",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::123456789012:role/IAMRoleName"
    },
    "Action": [
        "kms:Decrypt"
    ],
    "Resource": "*"
}
```

在上述範例中：
+ `Principal` 元素中的 `AWS` 欄位指定帳戶中 IAM 角色的 ARN。它允許角色執行政策陳述式指定的動作。*123456789012* 是帳戶 ID 範例。將此值取代為擁有角色和 KMS 金鑰之帳戶的帳戶 ID。*IAMRoleName* 是範例名稱。將此值取代為帳戶中 IAM 角色的名稱。
+ `Action` 陣列指定允許 IAM 角色使用 KMS 金鑰執行的動作 - 解密使用金鑰加密的加密文字。

您在其中將此陳述式新增至金鑰政策，取決於政策目前包含的結構和元素。當您新增 陳述式時，請確定語法有效。金鑰政策使用 JSON 格式。這表示您還必須在陳述式之前或之後新增逗號，具體取決於您將陳述式新增至政策的位置。

### 允許跨帳戶存取客戶受管金鑰
<a name="findings-retrieve-sd-options-decrypt-cross-account"></a>

如果一個帳戶擁有 AWS KMS key (*金鑰擁有者*)，而另一個帳戶擁有 IAM 角色 (*角色擁有者*)，則金鑰擁有者必須為角色擁有者提供金鑰的跨帳戶存取權。其中一種方法是使用授予。*授予*是一種政策工具，允許 AWS 主體在符合授予指定的條件時，在密碼編譯操作中使用 KMS 金鑰。若要了解授予，請參閱《 *AWS Key Management Service 開發人員指南*[》中的授予 AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)。

使用此方法，金鑰擁有者會先確保金鑰的政策允許角色擁有者建立金鑰的授予。角色擁有者接著會建立金鑰的授予。授予會將相關許可委派給其帳戶中的 IAM 角色。它允許角色解密使用 金鑰加密的 S3 物件。

**步驟 1：更新金鑰政策**  
在金鑰政策中，金鑰擁有者應確保政策包含允許角色擁有者為其 （角色擁有者） 帳戶中的 IAM 角色建立授予的陳述式。在此陳述式中， `Principal`元素必須指定角色擁有者帳戶的 ARN。`Action` 陣列必須指定 `kms:CreateGrant`動作。`Condition` 區塊可以篩選對指定動作的存取。以下是 KMS 金鑰政策中此陳述式的範例。

```
{
    "Sid": "Allow a role in an account to create a grant",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:root"
    },
    "Action": [
        "kms:CreateGrant"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:GranteePrincipal": "arn:aws:iam::111122223333:role/IAMRoleName"
        },
        "ForAllValues:StringEquals": {
            "kms:GrantOperations": "Decrypt"
        }
    }
}
```

在上述範例中：
+ `Principal` 元素中的 `AWS` 欄位指定角色擁有者帳戶的 ARN。它允許帳戶執行政策陳述式指定的動作。*111122223333* 是帳戶 ID 範例。將此值取代為角色擁有者帳戶的帳戶 ID。
+ `Action` 陣列指定允許角色擁有者在 KMS 金鑰上執行的動作 - 建立金鑰的授予。
+ `Condition` 區塊使用[條件運算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)和下列條件金鑰來篩選對角色擁有者在 KMS 金鑰上執行之動作的存取：
  + [kms:GranteePrincipal](https://docs.aws.amazon.com/kms/latest/developerguide/conditions-kms.html#conditions-kms-grantee-principal) – 此條件允許角色擁有者僅為指定的承授者委託人建立授予，這是其帳戶中 IAM 角色的 ARN。在該 ARN 中，*111122223333* 是帳戶 ID 範例。將此值取代為角色擁有者帳戶的帳戶 ID。*IAMRoleName* 是範例名稱。將此值取代為角色擁有者帳戶中的 IAM 角色名稱。
  + [kms:GrantOperations](https://docs.aws.amazon.com/kms/latest/developerguide/conditions-kms.html#conditions-kms-grant-operations) – 此條件僅允許角色擁有者建立授予，以委派執行動作的 AWS KMS `Decrypt`許可 （使用金鑰加密的加密文字）。它可防止角色擁有者建立授予，以委派許可對 KMS 金鑰執行其他動作。`Decrypt` 動作是 IAM 角色必須執行的唯一 AWS KMS 動作，才能解密使用 金鑰加密的物件。

金鑰擁有者將此陳述式新增至金鑰政策的位置，取決於政策目前包含的結構和元素。當金鑰擁有者新增陳述式時，他們應該確保語法有效。金鑰政策使用 JSON 格式。這表示金鑰擁有者也必須在陳述式之前或之後新增逗號，視其將陳述式新增至政策的位置而定。如需更新金鑰政策的詳細資訊，請參閱《 *AWS Key Management Service 開發人員指南*》中的[變更金鑰政策](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html)。

**步驟 2：建立授予**  
在金鑰擁有者視需要更新金鑰政策之後，角色擁有者會建立金鑰的授予。授予會將相關許可委派給其 （角色擁有者） 帳戶中的 IAM 角色。在角色擁有者建立授予之前，他們應該驗證他們是否能夠執行`kms:CreateGrant`動作。此動作可讓他們將授予新增至現有的客戶受管 AWS KMS key。

若要建立授予，角色擁有者可以使用 AWS Key Management Service API 的 [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) 操作。當角色擁有者建立授予時，他們應該為必要參數指定下列值：
+ `KeyId` – KMS 金鑰的 ARN。若要跨帳戶存取 KMS 金鑰，此值必須是 ARN。它不能是金鑰 ID。
+ `GranteePrincipal` – 其帳戶中 IAM 角色的 ARN。此值應為 `arn:aws:iam::111122223333:role/IAMRoleName`，其中 *111122223333* 是角色擁有者帳戶的帳戶 ID，*IAMRoleName* 是角色的名稱。
+ `Operations` – AWS KMS 解密動作 (`Decrypt`)。這是唯一必須允許 IAM 角色執行 AWS KMS 的動作，以解密使用 KMS 金鑰加密的物件。

如果角色擁有者使用 AWS Command Line Interface (AWS CLI)，他們可以執行 [create-grant](https://docs.aws.amazon.com/cli/latest/reference/kms/create-grant.html) 命令來建立授予。下列範例會顯示作法。此範例已針對 Microsoft Windows 進行格式化，並使用八進制 (^) 換行字元來改善可讀性。

```
C:\> aws kms create-grant ^
--key-id arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab ^
--grantee-principal arn:aws:iam::111122223333:role/IAMRoleName ^
--operations "Decrypt"
```

其中：
+ `key-id` 指定要套用授予的 KMS 金鑰 ARN。
+ `grantee-principal` 指定允許執行授予所指定動作的 IAM 角色 ARN。此值應符合金鑰政策中`kms:GranteePrincipal`條件指定的 ARN。
+ `operations` 指定授予允許指定委託人執行的動作 - 解密使用 金鑰加密的加密文字。

如果此命令成功執行，您會收到類似如下的輸出。

```
{
    "GrantToken": "<grant token>",
    "GrantId": "1a2b3c4d2f5e69f440bae30eaec9570bb1fb7358824f9ddfa1aa5a0dab1a59b2"
}
```

其中 `GrantToken` 是唯一、非秘密、可變長度、以 base64 編碼的字串，代表已建立的授予，並且`GrantId`是授予的唯一識別符。

# 設定 Macie 擷取敏感資料範例
<a name="findings-retrieve-sd-configure"></a>

您可以選擇性地設定和使用 Amazon Macie，以擷取和顯示 Macie 在個別調查結果中報告的敏感資料範例。這些範例可協助您驗證 Macie 找到的敏感資料的性質。他們也可以協助您量身打造受影響 Amazon Simple Storage Service (Amazon S3) 物件和儲存貯體的調查。除了亞太區域 （大阪） 和以色列 （特拉維夫） 區域以外，您可以在目前可使用 AWS 區域 Macie 的所有 中擷取並揭露敏感資料範例。

當您擷取並揭露問題清單的敏感資料範例時，Macie 會使用對應敏感資料探索結果中的資料，找出受影響 S3 物件中敏感資料的出現。Macie 接著會從受影響的物件擷取這些出現的範例。Macie 會使用您指定的 AWS Key Management Service (AWS KMS) 金鑰來加密擷取的資料、暫時將加密的資料存放在快取中，並在調查結果中傳回資料。在擷取和加密之後不久，Macie 會永久刪除快取中的資料，除非為了解決操作問題而暫時需要額外的保留。

若要擷取並顯示問題清單的敏感資料範例，您必須先設定和啟用 Macie 帳戶的設定。您也需要設定帳戶的支援資源和許可。本節中的主題會引導您完成設定 Macie 以擷取和顯示敏感資料範例的程序，以及管理您帳戶的組態狀態。

**Topics**
+ [開始之前](#findings-retrieve-sd-configure-prereqs)
+ [設定和啟用 Macie 設定](#findings-retrieve-sd-configure-enable)
+ [停用 Macie 設定](#findings-retrieve-sd-configure-manage)

**提示**  
如需可用於控制此功能存取的政策建議和範例，請參閱安全*AWS 部落格*上的下列部落格文章：[如何使用 Amazon Macie 預覽 S3 儲存貯體中的敏感資料](https://aws.amazon.com/blogs/security/how-to-use-amazon-macie-to-preview-sensitive-data-in-s3-buckets/)。

## 開始之前
<a name="findings-retrieve-sd-configure-prereqs"></a>

設定 Amazon Macie 擷取並顯示問題清單的敏感資料範例之前，請先完成下列任務，以確保您擁有所需的資源和許可。

**Topics**
+ [步驟 1：為敏感資料探索結果設定儲存庫](#findings-retrieve-sd-configure-sddr)
+ [步驟 2：決定如何存取受影響的 S3 物件](#findings-retrieve-sd-configure-s3access)
+ [步驟 3：設定 AWS KMS key](#findings-retrieve-sd-configure-key)
+ [步驟 4：驗證您的許可](#findings-retrieve-sd-configure-permissions)

如果您已設定 Macie 擷取並顯示敏感資料範例，而且只想要變更組態設定，這些任務是選用的。

### 步驟 1：為敏感資料探索結果設定儲存庫
<a name="findings-retrieve-sd-configure-sddr"></a>

當您擷取並揭露問題清單的敏感資料範例時，Macie 會使用對應敏感資料探索結果中的資料，找出受影響 S3 物件中敏感資料的出現。因此，請務必確認您已為敏感資料探索結果設定儲存庫。否則，Macie 將無法找到您要擷取和顯示的敏感資料範例。

若要判斷是否已為您的帳戶設定此儲存庫，您可以使用 Amazon Macie 主控台：在導覽窗格中選擇**探索結果** (**設定**下）。若要以程式設計方式執行此操作，請使用 Amazon Macie API 的 [GetClassificationExportConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/classification-export-configuration.html) 操作。若要進一步了解敏感資料探索結果以及如何設定此儲存庫，請參閱 [儲存及保留敏感資料探索結果](discovery-results-repository-s3.md)。

### 步驟 2：決定如何存取受影響的 S3 物件
<a name="findings-retrieve-sd-configure-s3access"></a>

若要存取受影響的 S3 物件並從中擷取敏感資料範例，您有兩個選項。您可以設定 Macie 使用您的 AWS Identity and Access Management (IAM) 使用者登入資料。或者，您可以設定 Macie 擔任將存取權委派給 Macie 的 IAM 角色。您可以搭配任何類型的 Macie 帳戶使用組態：組織的委派 Macie 管理員帳戶、組織中的 Macie 成員帳戶或獨立的 Macie 帳戶。在 Macie 中設定設定之前，請先決定要使用的存取方法。如需每種方法選項和需求的詳細資訊，請參閱 [擷取範例的組態選項](findings-retrieve-sd-options.md)。

如果您計劃使用 IAM 角色，請在 Macie 中設定設定之前建立和設定角色。同時確保角色的信任和許可政策符合 Macie 擔任角色的所有要求。如果您的帳戶是集中管理多個 Macie 帳戶的組織的一部分，請與您的 Macie 管理員合作，先判斷是否以及如何為您的帳戶設定角色。

### 步驟 3：設定 AWS KMS key
<a name="findings-retrieve-sd-configure-key"></a>

當您擷取並顯示問題清單的敏感資料範例時，Macie 會使用您指定的 AWS Key Management Service (AWS KMS) 金鑰來加密範例。因此，您需要決定 AWS KMS key 要使用哪個 來加密範例。金鑰可以是來自您自己的帳戶的現有 KMS 金鑰，或另一個帳戶擁有的現有 KMS 金鑰。如果您想要使用另一個帳戶擁有的金鑰，請取得金鑰的 Amazon Resource Name (ARN)。在 Macie 中輸入組態設定時，您將需要指定此 ARN。

KMS 金鑰必須是客戶受管的對稱加密金鑰。它也必須是 AWS 區域 在您的 Macie 帳戶相同的 中啟用的單一區域金鑰。KMS 金鑰可以位於外部金鑰存放區中。不過，相較於完全在其中管理的金鑰，金鑰可能較慢且較不可靠 AWS KMS。如果延遲或可用性問題阻止 Macie 加密您想要擷取和揭露的敏感資料範例，則發生錯誤，Macie 不會傳回問題清單的任何範例。

此外，金鑰的金鑰政策必須允許適當的委託人 (IAM 角色、IAM 使用者或 AWS 帳戶) 執行下列動作：
+ `kms:Decrypt`
+ `kms:DescribeKey`
+ `kms:GenerateDataKey`

**重要**  
作為額外的存取控制層，我們建議您建立專用 KMS 金鑰來加密擷取的敏感資料範例，並將金鑰的使用限制為必須允許擷取和公開敏感資料範例的委託人。如果不允許使用者對金鑰執行上述動作，Macie 會拒絕其擷取和揭露敏感資料範例的請求。Macie 不會傳回問題清單的任何範例。

如需有關建立和設定 KMS 金鑰的資訊，請參閱《 *AWS Key Management Service 開發人員指南*》中的[建立 KMS 金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)。如需有關使用金鑰政策來管理 KMS 金鑰存取權的資訊，請參閱《 *AWS Key Management Service 開發人員指南*》中的 [中的金鑰政策 AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)。

### 步驟 4：驗證您的許可
<a name="findings-retrieve-sd-configure-permissions"></a>

在 Macie 中設定設定之前，也請確認您擁有所需的許可。若要驗證您的許可，請使用 AWS Identity and Access Management (IAM) 檢閱連接至 IAM 身分的 IAM 政策。然後將這些政策中的資訊與下列必須允許您執行的動作清單進行比較。

**Amazon Macie**  
針對 Macie，確認您可執行下列動作：  
+ `macie2:GetMacieSession`
+ `macie2:UpdateRevealConfiguration`
第一個動作可讓您存取 Macie 帳戶。第二個動作可讓您變更組態設定，以擷取和揭露敏感資料範例。這包括啟用和停用您帳戶的組態。  
選擇性地驗證您是否也被允許執行 `macie2:GetRevealConfiguration`動作。此動作可讓您擷取目前組態設定，以及帳戶的目前組態狀態。

**AWS KMS**  
如果您打算使用 Amazon Macie 主控台輸入組態設定，也請確認您可以執行下列 AWS Key Management Service (AWS KMS) 動作：  
+ `kms:DescribeKey`
+ `kms:ListAliases`
這些動作可讓您擷取 AWS KMS keys 帳戶 的相關資訊。然後，您可以在輸入設定時選擇其中一個金鑰。

**IAM**  
如果您打算將 Macie 設定為擔任 IAM 角色來擷取和揭露敏感資料範例，也請確認您能夠執行下列 IAM 動作：`iam:PassRole`。此動作可讓您將角色傳遞給 Macie，進而允許 Macie 擔任該角色。當您輸入帳戶的組態設定時，Macie 也可以驗證帳戶中是否存在該角色並已正確設定。

如果您不被允許執行必要動作，請向您的 AWS 管理員尋求協助。

## 設定和啟用 Macie 設定
<a name="findings-retrieve-sd-configure-enable"></a>

確認您擁有所需的資源和許可後，您可以在 Amazon Macie 中設定設定，並啟用帳戶的組態。

如果您的帳戶是集中管理多個 Macie 帳戶的組織的一部分，請在設定或隨後變更帳戶的設定之前，注意下列事項：
+ 如果您有成員帳戶，請與您的 Macie 管理員合作，以決定是否以及如何設定您帳戶的設定。Macie 管理員可協助您判斷帳戶的正確組態設定。
+ 如果您有 Macie 管理員帳戶，而且您變更了存取受影響 S3 物件的設定，您的變更可能會影響組織的其他帳戶和資源。這取決於 Macie 目前是否設定為擔任 AWS Identity and Access Management (IAM) 角色來擷取敏感資料範例。如果是 ，而且您重新設定 Macie 使用 IAM 使用者登入資料，Macie 會永久刪除 IAM 角色的現有設定，即角色的名稱和組態的外部 ID。如果您的組織隨後選擇再次使用 IAM 角色，您將需要在每個適用的成員帳戶中該角色的信任政策中指定新的外部 ID。

如需任一帳戶類型的組態選項和需求的詳細資訊，請參閱 [擷取範例的組態選項](findings-retrieve-sd-options.md)。

若要在 Macie 中設定並啟用帳戶的組態，您可以使用 Amazon Macie 主控台或 Amazon Macie API。

------
#### [ Console ]

請依照下列步驟，使用 Amazon Macie 主控台來設定和啟用設定。

**設定和啟用 Macie 設定**

1. 在 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。

1. 透過使用頁面右上角的選擇 AWS 區域 器，選擇您要設定的區域，並讓 Macie 擷取並顯示敏感資料範例。

1. 在導覽窗格中的設定下****，選擇**顯示範例**。

1. 在 **Settings** (設定) 區段中，選擇 **Edit** (編輯)。

1. 針對 **Status** (狀態)，請選擇 **Enable** (啟用)。

1. 在**存取**下，指定從受影響的 S3 物件擷取敏感資料範例時要使用的存取方法和設定：
   + 若要使用將存取權委派給 Macie 的 IAM 角色，請選擇**擔任 IAM 角色**。如果您選擇此選項，Macie 會透過擔任您在 中建立和設定的 IAM 角色來擷取範例 AWS 帳戶。在**角色名稱**方塊中，輸入角色的名稱。
   + 若要使用請求範例的 IAM 使用者的登入資料，請選擇**使用 IAM 使用者登入資料**。如果您選擇此選項，您帳戶的每個使用者都會使用其個別 IAM 身分來擷取範例。

1. 在**加密**下，指定 AWS KMS key 您要用來加密擷取之敏感資料範例的 ：
   + 若要從您自己的帳戶使用 KMS 金鑰，請選擇**從您的帳戶選取金鑰**。然後，在**AWS KMS key**清單中，選擇要使用的金鑰。清單會顯示您帳戶的現有對稱加密 KMS 金鑰。
   + 若要使用另一個帳戶擁有的 KMS 金鑰，請選擇**從另一個帳戶輸入金鑰的 ARN**。然後，在 **AWS KMS key ARN** 方塊中，輸入要使用之金鑰的 Amazon Resource Name (ARN)，例如 **arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab**。

1. 當您完成輸入設定時，請選擇**儲存**。

Macie 會測試設定並驗證其是否正確。如果您將 Macie 設定為擔任 IAM 角色，Macie 也會驗證帳戶中是否存在該角色，並正確設定信任和許可政策。如果發生問題，Macie 會顯示說明問題的訊息。

若要解決 的問題 AWS KMS key，請參閱[上述主題](#findings-retrieve-sd-configure-key)中的要求，並指定符合要求的 KMS 金鑰。若要解決 IAM 角色的問題，請先驗證您輸入了正確的角色名稱。如果名稱正確，請確保角色的政策符合 Macie 擔任角色的所有要求。如需這些詳細資訊，請參閱 [設定 IAM 角色以存取受影響的 S3 物件](findings-retrieve-sd-options.md#findings-retrieve-sd-options-s3access-role-configuration)。解決任何問題後，您可以儲存並啟用設定。

**注意**  
如果您是組織的 Macie 管理員，且已將 Macie 設定為擔任 IAM 角色，則 Macie 會在儲存帳戶設定後產生並顯示外部 ID。請注意此 ID。每個適用成員帳戶中 IAM 角色的信任政策必須指定此 ID。否則，您將無法從帳戶擁有的 S3 物件擷取敏感資料範例。

------
#### [ API ]

若要以程式設計方式設定和啟用設定，請使用 Amazon Macie API 的 [UpdateRevealConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/reveal-configuration.html) 操作。在您的請求中，為支援的參數指定適當的值：
+ 針對 `retrievalConfiguration` 參數，指定從受影響的 S3 物件擷取敏感資料範例時要使用的存取方法和設定：
  + 若要擔任將存取權委派給 Macie 的 IAM 角色，請`ASSUME_ROLE`為 `retrievalMode` 參數指定 ，並為 `roleName` 參數指定角色的名稱。如果您指定這些設定，Macie 會透過擔任您在 中建立和設定的 IAM 角色來擷取範例 AWS 帳戶。
  + 若要使用請求範例的 IAM 使用者的登入資料，請`CALLER_CREDENTIALS`為 `retrievalMode` 參數指定 。如果您指定此設定，您帳戶的每個使用者都會使用其個別 IAM 身分來擷取範例。
**重要**  
如果您未指定這些參數的值，Macie 會將存取方法 (`retrievalMode`) 設定為 `CALLER_CREDENTIALS`。如果 Macie 目前設定為使用 IAM 角色來擷取範例，Macie 也會永久刪除組態的目前角色名稱和外部 ID。若要保留現有組態的這些設定，請在請求中包含`retrievalConfiguration`參數，並指定這些參數的目前設定。若要擷取目前的設定，請使用 [GetRevealConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/reveal-configuration.html) 操作，或者，如果您使用的是 AWS Command Line Interface (AWS CLI)，請執行 [get-reveal-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-reveal-configuration.html) 命令。
+ 針對 `kmsKeyId` 參數，指定 AWS KMS key 您要用來加密擷取之敏感資料範例的 ：
  + 若要使用來自您自己的帳戶的 KMS 金鑰，請指定金鑰的 Amazon Resource Name (ARN)、ID 或別名。如果您指定別名，請包含 `alias/`字首，例如 `alias/ExampleAlias`。
  + 若要使用另一個帳戶擁有的 KMS 金鑰，請指定金鑰的 ARN，例如 `arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`。或指定金鑰別名的 ARN，例如 `arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias`。
+ 針對 `status` 參數，指定 `ENABLED` 以啟用 Macie 帳戶的組態。

在請求中，也請確定您指定要在 AWS 區域 其中啟用和使用組態的 。

若要使用 來設定和啟用設定 AWS CLI，請執行 [update-reveal-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-reveal-configuration.html) 命令，並為支援的參數指定適當的值。例如，如果您在 Microsoft Windows AWS CLI 上使用 ，請執行下列命令：

```
C:\> aws macie2 update-reveal-configuration ^
--region us-east-1 ^
--configuration={\"kmsKeyId\":\"arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias\",\"status\":\"ENABLED\"} ^
--retrievalConfiguration={\"retrievalMode\":\"ASSUME_ROLE\",\"roleName\":\"MacieRevealRole\"}
```

其中：
+ *us-east-1* 是啟用和使用組態的區域。在此範例中，美國東部 （維吉尼亞北部） 區域。
+ *arn：aws：kms:us-east-1：111122223333：alias/ExampleAlias* 是 AWS KMS key 要使用之別名的 ARN。在此範例中，金鑰由另一個 帳戶擁有。
+ `ENABLED` 是組態的狀態。
+ *ASSUME\$1ROLE* 是要使用的存取方法。在此範例中，擔任指定的 IAM 角色。
+ *MacieRevealRole* 是 Macie 在擷取敏感資料範例時要擔任的 IAM 角色名稱。

上述範例使用八進制 (^) 換行字元來改善可讀性。

當您提交請求時，Macie 會測試設定。如果您將 Macie 設定為擔任 IAM 角色，Macie 也會驗證帳戶中是否存在該角色，並正確設定信任和許可政策。如果發生問題，您的請求會失敗，Macie 會傳回說明問題的訊息。若要解決 的問題 AWS KMS key，請參閱[上述主題](#findings-retrieve-sd-configure-key)中的要求，並指定符合要求的 KMS 金鑰。若要解決 IAM 角色的問題，請先驗證您指定的角色名稱是否正確。如果名稱正確，請確保角色的政策符合 Macie 擔任角色的所有要求。如需這些詳細資訊，請參閱 [設定 IAM 角色以存取受影響的 S3 物件](findings-retrieve-sd-options.md#findings-retrieve-sd-options-s3access-role-configuration)。解決問題後，請再次提交您的請求。

如果您的請求成功，Macie 會在指定的區域中啟用您帳戶的組態，您會收到類似以下的輸出。

```
{
  "configuration": {
    "kmsKeyId": "arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias",
    "status": "ENABLED"
  },
  "retrievalConfiguration": {
    "externalId": "o2vee30hs31642lexample",
    "retrievalMode": "ASSUME_ROLE",
    "roleName": "MacieRevealRole"
  }
}
```

其中 `kmsKeyId`指定 AWS KMS key 要使用 來加密擷取的敏感資料範例，且 `status`是 Macie 帳戶的組態狀態。這些`retrievalConfiguration`值指定擷取範例時要使用的存取方法和設定。

**注意**  
如果您是組織的 Macie 管理員，並將 Macie 設定為擔任 IAM 角色，請在回應中記下外部 ID (`externalId`)。每個適用成員帳戶中 IAM 角色的信任政策必須指定此 ID。否則，您將無法從帳戶擁有的受影響 S3 物件擷取敏感資料範例。

若要後續檢查帳戶的組態設定或狀態，請使用 [GetRevealConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/reveal-configuration.html) 操作，或針對 AWS CLI執行 [get-reveal-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-reveal-configuration.html) 命令。

------

## 停用 Macie 設定
<a name="findings-retrieve-sd-configure-manage"></a>

您可以隨時停用 Amazon Macie 帳戶的組態設定。如果您停用組態，Macie 會保留設定，指定 AWS KMS key 要使用哪個設定來加密擷取的敏感資料範例。Macie 會永久刪除組態的 Amazon S3 存取設定。

**警告**  
當您停用 Macie 帳戶的組態設定時，您也可以永久刪除指定如何存取受影響 S3 物件的目前設定。如果 Macie 目前設定為透過擔任 AWS Identity and Access Management (IAM) 角色存取受影響的物件，這包括：角色的名稱，以及 Macie 為組態產生的外部 ID。這些設定在刪除後無法復原。

若要停用 Macie 帳戶的組態設定，您可以使用 Amazon Macie 主控台或 Amazon Macie API。

------
#### [ Console ]

請依照下列步驟，使用 Amazon Macie 主控台停用帳戶的組態設定。

**停用 Macie 設定**

1. 開啟位於 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 的 Amazon Macie 主控台。

1. 使用頁面右上角的選擇 AWS 區域 器，選擇您要停用 Macie 帳戶組態設定的區域。

1. 在導覽窗格中的設定下****，選擇**顯示範例**。

1. 在 **Settings** (設定) 區段中，選擇 **Edit** (編輯)。

1. 針對**狀態**，選擇**停用**。

1. 選擇**儲存**。

------
#### [ API ]

若要以程式設計方式停用組態設定，請使用 Amazon Macie API 的 [UpdateRevealConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/reveal-configuration.html) 操作。在您的請求中，請確定您指定要在 AWS 區域 其中停用組態的 。針對 `status` 參數，請指定 `DISABLED`。

若要使用 AWS Command Line Interface (AWS CLI) 停用組態設定，請執行 [update-reveal-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-reveal-configuration.html) 命令。使用 `region` 參數來指定您要停用組態的區域。針對 `status` 參數，請指定 `DISABLED`。例如，如果您在 Microsoft Windows AWS CLI 上使用 ，請執行下列命令：

```
C:\> aws macie2 update-reveal-configuration --region us-east-1 --configuration={\"status\":\"DISABLED\"}
```

其中：
+ *us-east-1* 是要在其中停用組態的區域。在此範例中，美國東部 （維吉尼亞北部） 區域。
+ `DISABLED` 是組態的新狀態。

如果您的請求成功，Macie 會停用指定區域中您帳戶的組態，您會收到類似以下的輸出。

```
{
    "configuration": {
        "status": "DISABLED"
    }
}
```

其中 `status` 是 Macie 帳戶組態的新狀態。

------

如果 Macie 設定為擔任 IAM 角色來擷取敏感資料範例，您可以選擇刪除角色和角色的許可政策。當您停用帳戶的組態設定時，Macie 不會刪除這些資源。此外，Macie 不會使用這些資源來執行您帳戶的任何其他任務。若要刪除角色及其許可政策，您可以使用 IAM 主控台或 IAM API。如需詳細資訊，請參閱*AWS Identity and Access Management 《 使用者指南*》中的[刪除角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html)。

# 擷取 Macie 調查結果的敏感資料範例
<a name="findings-retrieve-sd-proc"></a>

透過使用 Amazon Macie，您可以擷取和顯示 Macie 在個別敏感資料調查結果中報告的敏感資料範例。這包括 Macie 使用[受管資料識別符](managed-data-identifiers.md)偵測到的敏感資料，以及符合[自訂資料識別符條件的資料](custom-data-identifiers.md)。這些範例可協助您驗證 Macie 找到的敏感資料的性質。他們也可以協助您量身打造受影響 Amazon Simple Storage Service (Amazon S3) 物件和儲存貯體的調查。除了亞太區域 （大阪） 和以色列 （特拉維夫） 區域以外，您可以在目前可使用 AWS 區域 Macie 的所有 中擷取並顯示敏感資料範例。

如果您擷取並揭露問題清單的敏感資料範例，Macie 會使用對應[敏感資料探索結果中的資料](discovery-results-repository-s3.md)，找出問題清單所回報的前 1-10 個敏感資料。然後，Macie 會從受影響的 S3 物件擷取每次出現的前 1-128 個字元。如果問題清單報告了多種類型的敏感資料，Macie 最多會針對問題清單報告的 100 種敏感資料執行此操作。

當 Macie 從受影響的 S3 物件擷取敏感資料時，Macie 會使用您指定的 AWS Key Management Service (AWS KMS) 金鑰來加密資料、暫時將加密的資料存放在快取中，並在問題清單的結果中傳回資料。在擷取和加密之後不久，Macie 會永久刪除快取中的資料，除非為了解決操作問題而暫時需要額外的保留。

如果您選擇再次擷取並顯示問題清單的敏感資料範例，Macie 會重複尋找、擷取、加密、儲存和最終刪除範例的程序。

如需如何使用 Amazon Macie 主控台擷取和公開敏感資料範例的示範，請觀看下列影片：




**Topics**
+ [開始之前](#findings-retrieve-sd-proc-prereqs)
+ [判斷問題清單是否有可用的範例](#findings-retrieve-sd-proc-criteria)
+ [擷取問題清單的範例](#findings-retrieve-sd-proc-steps)

## 開始之前
<a name="findings-retrieve-sd-proc-prereqs"></a>

您必須先[為 Amazon Macie 帳戶設定和啟用設定](findings-retrieve-sd-configure.md)，才能擷取和顯示問題清單的敏感資料範例。您也需要與 AWS 管理員合作，以確認您擁有所需的許可和資源。

當您擷取並顯示問題清單的敏感資料範例時，Macie 會執行一系列任務來尋找、擷取、加密和顯示範例。Macie 不會為您的帳戶使用 [Macie 服務連結角色](service-linked-roles.md)來執行這些任務。反之，您可以使用您的 AWS Identity and Access Management (IAM) 身分，或允許 Macie 在帳戶中擔任 IAM 角色。

若要擷取並顯示問題清單的敏感資料範例，您必須能夠存取問題清單、對應的敏感資料探索結果，以及您設定 Macie 用來加密敏感資料範例 AWS KMS key 的 。此外，您必須允許 或 IAM 角色存取受影響的 S3 儲存貯體和受影響的 S3 物件。如果適用，您或角色也必須被允許使用 AWS KMS key 用來加密受影響物件的 。如果任何 IAM 政策、資源政策或其他許可設定拒絕必要存取，則會發生錯誤，且 Macie 不會傳回問題清單的任何範例。

您也必須被允許執行下列 Macie 動作：
+ `macie2:GetMacieSession`
+ `macie2:GetFindings`
+ `macie2:ListFindings`
+ `macie2:GetSensitiveDataOccurrences`

前三個動作可讓您存取 Macie 帳戶並擷取問題清單的詳細資訊。最後一個動作可讓您擷取並顯示問題清單的敏感資料範例。

若要使用 Amazon Macie 主控台擷取和公開敏感資料範例，您還必須執行下列動作：`macie2:GetSensitiveDataOccurrencesAvailability`。此動作可讓您判斷個別問題清單是否有可用的範例。您不需要執行此動作的許可，即可以程式設計方式擷取和顯示範例。不過，擁有此許可可以簡化範例的擷取。

如果您是組織的委派 Macie 管理員，且已設定 Macie 擔任 IAM 角色來擷取敏感資料範例，則您也必須執行下列動作：`macie2:GetMember`。此動作可讓您擷取帳戶與受影響帳戶之間關聯的相關資訊。它可讓 Macie 驗證您目前是受影響帳戶的 Macie 管理員。

如果您無法執行必要動作或存取必要資料和資源，請向您的 AWS 管理員尋求協助。

## 判斷問題清單是否可使用敏感資料範例
<a name="findings-retrieve-sd-proc-criteria"></a>

若要擷取並顯示問題清單的敏感資料範例，問題清單必須符合特定條件。它必須包含特定敏感資料出現的位置資料。此外，它必須指定有效且對應的敏感資料探索結果的位置。敏感資料探索結果必須儲存在 AWS 區域 與調查結果相同的 中。如果您設定 Amazon Macie 透過擔任 AWS Identity and Access Management (IAM) 角色存取受影響的 S3 物件，則敏感資料探索結果也必須存放在 Macie 使用雜湊型訊息驗證碼 (HMAC) 簽署的 S3 物件中 AWS KMS key。<a name="findings-retrieve-sd-criteria-mimetype"></a>

受影響的 S3 物件也需要符合特定條件。物件的 MIME 類型必須是下列其中一項：
+ *application/avro*，適用於 Apache Avro 物件容器 (.avro) 檔案
+ *application/gzip*，適用於 GNU Zip 壓縮封存檔 (.gz 或 .gzip) 檔案
+ *application/json*，適用於 JSON 或 JSON Lines (.json 或 .jsonl) 檔案
+ *application/parquet*，適用於 Apache Parquet (.parquet) 檔案
+ *application/vnd.openxmlformats-officedocument.spreadsheetml.sheet*，適用於 Microsoft Excel 工作手冊 (.xlsx) 檔案
+ *application/zip*，適用於 ZIP 壓縮封存 (.zip) 檔案
+ *text/csv*，適用於 CSV (.csv) 檔案
+ *text/plain*，適用於 CSV、JSON、JSON Lines 或 TSV 檔案以外的非二進位文字檔案
+ *text/tab-separated-values*，適用於 TSV (.tsv) 檔案

此外，S3 物件的內容必須與建立問題清單時的內容相同。Macie 會檢查物件的實體標籤 (ETag)，以判斷是否符合調查結果指定的 ETag。此外，物件的儲存大小不能超過擷取和顯示敏感資料範例的適用大小配額。如需適用的配額清單，請參閱 [Macie 配額](macie-quotas.md)。

如果問題清單和受影響的 S3 物件符合上述條件，則敏感資料範例可用於問題清單。您可以選擇先判斷特定問題清單是否如此，再嘗試擷取並顯示範例。

**判斷問題清單是否可使用敏感資料範例**  
您可以使用 Amazon Macie 主控台或 Amazon Macie API 來判斷問題清單是否可使用敏感資料範例。

------
#### [ Console ]

請依照 Amazon Macie 主控台上的這些步驟來判斷問題清單是否可使用敏感資料範例。

**判斷問題清單是否有可用的範例**

1. 在 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。

1. 在導覽窗格中，選擇**調查結果**。

1. 在**問題清單**頁面上，選擇問題清單。詳細資訊面板會顯示調查結果的資訊。

1. 在詳細資訊面板中，捲動至**敏感資料**區段。然後，請參閱**顯示範例**欄位。

   如果問題清單可使用敏感資料範例，**則檢閱**連結會顯示在 欄位中，如下圖所示。  
![\[調查結果詳細資訊面板中的顯示範例欄位。欄位包含標記為檢閱的連結。\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/scrn-findings-reveal-samples.png)

   如果問題清單無法使用敏感資料範例，**顯示範例**欄位會顯示文字，指出原因：
   + **帳戶不在組織中** – 您無法使用 Macie 存取受影響的 S3 物件。受影響的帳戶目前不屬於您的組織。或者，帳戶是您組織的一部分，但目前 中的帳戶目前尚未啟用 Macie AWS 區域。
   + **無效分類結果** – 沒有調查結果對應的敏感資料探索結果。或者，對應的敏感資料探索結果無法在目前的 中使用 AWS 區域、格式不正確或損毀，或使用不支援的儲存格式。Macie 無法驗證要擷取之敏感資料的位置。
   + **無效的結果簽章** – 對應的敏感資料探索結果會儲存在非由 Macie 簽署的 S3 物件中。Macie 無法驗證敏感資料探索結果的完整性和真實性。因此，Macie 無法驗證要擷取之敏感資料的位置。
   + **成員角色過於寬鬆 –** 受影響成員帳戶中 IAM 角色的信任或許可政策不符合限制存取角色的 Macie 要求。或者，角色的信任政策不會為您的組織指定正確的外部 ID。Macie 無法擔任該角色來擷取敏感資料。
   + **缺少 GetMember 許可** – 不允許您擷取帳戶與受影響帳戶之間關聯的相關資訊。Macie 無法判斷您是否能夠以受影響帳戶的委派 Macie 管理員身分存取受影響的 S3 物件。
   + **物件超過大小配額** – 受影響 S3 物件的儲存體大小超過擷取和顯示該類型檔案中敏感資料範例的大小配額。
   + **物件無法使用** – 無法使用受影響的 S3 物件。在 Macie 建立問題清單後，物件已重新命名、移動或刪除，或其內容已變更。或者，物件會使用無法使用 AWS KMS key 的 加密。例如，金鑰已停用、排定刪除或刪除。
   + **未簽署的結果** – 對應的敏感資料探索結果會存放在尚未簽署的 S3 物件中。Macie 無法驗證敏感資料探索結果的完整性和真實性。因此，Macie 無法驗證要擷取之敏感資料的位置。
   + **角色過於寬鬆 –** 您的帳戶已設定為使用信任或許可政策不符合 Macie 限制存取角色的 IAM 角色來擷取敏感資料的出現。Macie 無法擔任該角色來擷取敏感資料。
   + **不支援的物件類型** – 受影響的 S3 物件使用 Macie 不支援的檔案或儲存格式，用於擷取和揭露敏感資料的範例。受影響 S3 物件的 MIME 類型不是[上述清單中](#findings-retrieve-sd-criteria-mimetype)的值之一。

   如果問題清單的敏感資料探索結果有問題，問題清單的詳細**結果位置**欄位中的資訊可協助您調查問題。此欄位指定 Amazon S3 中結果的原始路徑。若要調查 IAM 角色的問題，請確定角色的政策符合 Macie 擔任該角色的所有要求。如需這些詳細資訊，請參閱 [設定 IAM 角色以存取受影響的 S3 物件](findings-retrieve-sd-options.md#findings-retrieve-sd-options-s3access-role-configuration)。

------
#### [ API ]

若要以程式設計方式判斷問題清單是否可使用敏感資料範例，請使用 Amazon Macie API 的 [GetSensitiveDataOccurrencesAvailability](https://docs.aws.amazon.com/macie/latest/APIReference/findings-findingid-reveal-availability.html) 操作。當您提交請求時，請使用 `findingId` 參數來指定問題清單的唯一識別符。若要取得此識別符，您可以使用 [ListFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings.html) 操作。

如果您使用的是 AWS Command Line Interface (AWS CLI)，請執行 [get-sensitive-data-occurrences-availability](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitive-data-occurrences-availability.html) 命令，並使用 `finding-id` 參數來指定問題清單的唯一識別符。若要取得此識別符，您可以執行 [list-findings](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-findings.html) 命令。

如果您的請求成功，且問題清單有可用的範例，您會收到類似以下的輸出：

```
{
    "code": "AVAILABLE",
    "reasons": []
}
```

如果您的請求成功，且問題清單無法使用範例， `code` 欄位的值為 ，`UNAVAILABLE`且`reasons`陣列會指定原因。例如：

```
{
    "code": "UNAVAILABLE",
    "reasons": [
        "UNSUPPORTED_OBJECT_TYPE"
    ]
}
```

如果問題清單的敏感資料探索結果有問題，問題清單 `classificationDetails.detailedResultsLocation` 欄位中的資訊可協助您調查問題。此欄位指定 Amazon S3 中結果的原始路徑。若要調查 IAM 角色的問題，請確定角色的政策符合 Macie 擔任該角色的所有要求。如需這些詳細資訊，請參閱 [設定 IAM 角色以存取受影響的 S3 物件](findings-retrieve-sd-options.md#findings-retrieve-sd-options-s3access-role-configuration)。

------

## 擷取問題清單的敏感資料範例
<a name="findings-retrieve-sd-proc-steps"></a>

若要擷取並顯示調查結果的敏感資料範例，您可以使用 Amazon Macie 主控台或 Amazon Macie API。

------
#### [ Console ]

請依照下列步驟，使用 Amazon Macie 主控台擷取並顯示問題清單的敏感資料範例。

**擷取並顯示問題清單的敏感資料範例**

1. 在 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。

1. 在導覽窗格中，選擇**調查結果**。

1. 在**問題清單**頁面上，選擇問題清單。詳細資訊面板會顯示問題清單的資訊。

1. 在詳細資訊面板中，捲動至**敏感資料**區段。然後，在**顯示範例**欄位中，選擇**檢閱**：  
![\[調查結果詳細資訊面板中的顯示範例欄位。欄位包含標記為檢閱的連結。\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/scrn-findings-reveal-samples.png)
**注意**  
如果**檢閱**連結未出現在**顯示範例**欄位中，則敏感資料範例不適用於調查結果。若要判斷為何會發生這種情況，請參閱[上述主題](#findings-retrieve-sd-proc-criteria)。

   選擇**檢閱**後，Macie 會顯示摘要調查結果關鍵詳細資訊的頁面。詳細資訊包括 Macie 在受影響的 S3 物件中找到的敏感資料的類別、類型和出現次數。

1. 在頁面的**敏感資料**區段中，選擇**顯示範例**。然後，Macie 會擷取並顯示調查結果所報告前 1-10 個敏感資料出現的範例。每個範例都包含敏感資料出現的前 1-128 個字元。擷取和顯示範例可能需要幾分鐘的時間。

   如果調查結果報告多種類型的敏感資料，Macie 會擷取並顯示最多 100 種類型的範例。例如，下圖顯示跨越多個類別和類型敏感資料的範例：AWS 憑證、美國電話號碼和人員名稱。  
![\[範例資料表。它列出九個範例，以及每個範例的敏感資料類別和類型。\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/scrn-findings-sd-samples.png)

   範例會先依敏感資料類別組織，然後依敏感資料類型組織。

------
#### [ API ]

若要以程式設計方式擷取並顯示問題清單的敏感資料範例，請使用 Amazon Macie API 的 [GetSensitiveDataOccurrences](https://docs.aws.amazon.com/macie/latest/APIReference/findings-findingid-reveal.html) 操作。當您提交請求時，請使用 `findingId` 參數來指定問題清單的唯一識別符。若要取得此識別符，您可以使用 [ListFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings.html) 操作。

若要使用 AWS Command Line Interface (AWS CLI) 擷取並顯示敏感資料範例，請執行 [get-sensitive-data-occurrences](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitive-data-occurrences.html) 命令，並使用 `finding-id` 參數來指定問題清單的唯一識別符。例如：

```
C:\> aws macie2 get-sensitive-data-occurrences --finding-id "1f1c2d74db5d8caa76859ec52example"
```

其中 *1f1c2d74db5d8caa76859ec52example* 是調查結果的唯一識別符。若要使用 取得此識別符 AWS CLI，您可以執行 [list-findings](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-findings.html) 命令。

如果您的請求成功，Macie 會開始處理您的請求，您會收到類似以下的輸出：

```
{
    "status": "PROCESSING"
}
```

處理您的請求可能需要幾分鐘的時間。在幾分鐘內，再次提交您的請求。

如果 Macie 可以尋找、擷取和加密敏感資料範例，Macie 會在`sensitiveDataOccurrences`地圖中傳回範例。映射會指定問題清單報告的 1-100 種敏感資料，以及每種類型的 1-10 個範例。每個範例都包含調查結果報告的敏感資料出現的前 1-128 個字元。

在映射中，每個金鑰都是偵測到敏感資料的受管資料識別符 ID，或偵測到敏感資料的自訂資料識別符的名稱和唯一識別符。這些值是指定受管資料識別符或自訂資料識別符的範例。例如，以下回應提供受管資料識別符 (`NAME` 和 `AWS_CREDENTIALS`分別為 ) 偵測到的三個人員名稱範例和兩個 AWS 私密存取金鑰範例。

```
{
    "sensitiveDataOccurrences": {
        "NAME": [
            {
                "value": "Akua Mansa"
            },
            {
                "value": "John Doe"
            },
            {
                "value": "Martha Rivera"
            }
        ],
        "AWS_CREDENTIALS": [
            {
                "value": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY"
            },
            {
                "value": "je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY"
            }
        ]
    },
    "status": "SUCCESS"
}
```

如果您的請求成功，但問題清單無法使用敏感資料範例，您會收到一則`UnprocessableEntityException`訊息，指出無法取得範例的原因。例如：

```
{
    "message": "An error occurred (UnprocessableEntityException) when calling the GetSensitiveDataOccurrences operation: OBJECT_UNAVAILABLE"
}
```

在上述範例中，Macie 嘗試從受影響的 S3 物件擷取範例，但物件不再可用。Macie 建立問題清單後，物件的內容會變更。

如果您的請求成功，但另一種類型的錯誤導致 Macie 無法擷取和公開調查結果的敏感資料範例，您會收到類似以下的輸出：

```
{
    "error": "Macie can't retrieve the samples. You're not allowed to access the affected S3 object or the object is encrypted with a key that you're not allowed to use.",
    "status": "ERROR"
}
```

`status` 欄位的值為 ，`ERROR`而 `error` 欄位說明發生的錯誤。[上述主題](#findings-retrieve-sd-proc-criteria)中的資訊可協助您調查錯誤。

------