本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在 Macie 中篩選 S3 儲存貯體庫存
若要識別並專注於具有特定特性的儲存貯體,您可以在 Amazon Macie 主控台和使用 Amazon Macie API 以程式設計方式提交的查詢中篩選 S3 儲存貯體庫存。建立篩選條件時,您可以使用特定儲存貯體屬性來定義從檢視或查詢結果中包含或排除儲存貯體的條件。儲存貯體屬性是存放儲存貯體特定中繼資料的欄位。
在 Macie 中,篩選條件包含一或多個條件。每個條件也稱為條件,由三個部分組成:
-
屬性型欄位,例如儲存貯體名稱、標籤索引鍵或在任務中定義。
-
運算子,例如等於或不等於。
-
一或多個值。值的類型和數量取決於您選擇的欄位和運算子。
如何定義和套用篩選條件取決於您使用的是 Amazon Macie 主控台或 Amazon Macie API。
在 Amazon Macie 主控台上篩選庫存
如果您使用 Amazon Macie 主控台篩選 S3 儲存貯體庫存,Macie 會提供選項,協助您選擇個別條件的欄位、運算子和值。您可以使用 S3 儲存貯體頁面上的篩選方塊來存取這些選項,如下圖所示。
當您將游標放在篩選條件方塊中時,Macie 會顯示可在篩選條件中使用的欄位清單。這些欄位會依邏輯類別組織。例如,通用欄位類別包含存放 S3 儲存貯體一般資訊的欄位。公有存取類別包括存放各種可套用至儲存貯體之公有存取設定類型相關資料的欄位。這些欄位會在每個類別內依字母順序排序。
若要新增條件,請先從清單中選擇欄位。若要尋找欄位,請瀏覽完整清單,或輸入部分欄位名稱以縮小欄位清單範圍。
根據您選擇的欄位,Macie 會顯示不同的選項。這些選項反映您選擇的欄位類型和性質。例如,如果您選擇共用存取欄位,Macie 會顯示可供選擇的值清單。如果您選擇儲存貯體名稱欄位,Macie 會顯示文字方塊,您可以在其中輸入 S3 儲存貯體的名稱。無論您選擇哪個欄位,Macie 都會引導您完成新增條件的步驟,其中包含欄位所需的設定。
新增條件後,Macie 會套用條件的條件,並在篩選條件方塊下方的篩選條件字符中顯示條件,如下圖所示。
在此範例中, 條件設定為包含所有可公開存取的儲存貯體,並排除所有其他儲存貯體。它會傳回 儲存貯體,其中有效許可欄位的值等於公有。
當您新增更多條件時,Macie 會套用其條件,並在篩選條件方塊下方顯示這些條件。如果您新增多個條件,Macie 會使用 AND 邏輯來加入條件並評估篩選條件。這表示 S3 儲存貯體只有在符合篩選條件中的所有條件時,才會符合篩選條件。您可以隨時參考篩選條件方塊下方的區域,以判斷您已套用哪些條件。
使用 主控台篩選庫存
在 https://https://console.aws.amazon.com/macie/
開啟 Amazon Macie 主控台。 -
在導覽窗格中,選擇 S3 儲存貯體。S3 儲存貯體頁面會顯示您的儲存貯體庫存。
如果啟用自動敏感資料探索,預設檢視不會顯示目前從自動探索排除的儲存貯體的資料。如果您是組織的 Macie 管理員,它也不會顯示目前停用自動探索的帳戶資料。若要顯示此資料,請在篩選條件方塊下方的由自動探索篩選條件字符監控中選擇 X。
-
在頁面頂端,選擇性地選擇重新整理 (
) 以從 Amazon S3 擷取最新的儲存貯體中繼資料。 -
將游標放在篩選條件方塊中,然後選擇要用於條件的欄位。
-
選擇或輸入欄位的適當值類型,請謹記下列提示。
- 日期、時間和時間範圍
-
對於日期和時間,請使用開始和結束方塊來定義包含的時間範圍:
-
若要定義固定的時間範圍,請使用開始和結束方塊,分別指定範圍內的第一個日期和時間,以及最後一個日期和時間。
-
若要定義從特定日期和時間開始,並在目前時間結束的相對時間範圍,請在起始方塊中輸入開始日期和時間,然後在結束方塊中刪除任何文字。
-
若要定義結束於特定日期和時間的相對時間範圍,請在結束方塊中輸入結束日期和時間,然後在開始方塊中刪除任何文字。
請注意,時間值使用 24 小時表示法。如果您使用日期選擇器來選擇日期,則可以直接在開始和結束方塊中輸入文字來精簡值。
-
- 數字和數值範圍
-
對於數值,請使用從和到方塊來輸入定義包含數值範圍的整數:
-
若要定義固定數字範圍,請使用從和到方塊,分別指定範圍中最低和最高數字。
-
若要定義僅限於一個特定值的固定數值範圍,請在開始和結束方塊中輸入值。例如,若要僅包含存放剛好 15 個物件的 S3 儲存貯體,
15請在來源和目的地方塊中輸入 。 -
若要定義從特定數字開始的相對數值範圍,請在寄件人方塊中輸入數字,不要在收件人方塊中輸入任何文字。
-
若要定義以特定數字結尾的相對數值範圍,請在收件人方塊中輸入數字,不要在寄件人方塊中輸入任何文字。
-
- 文字 (字串) 值
-
針對此類型的值,輸入 欄位的完整有效值。值區分大小寫。
請注意,您無法在此類型的值中使用部分值或萬用字元。唯一的例外是儲存貯體名稱欄位。對於該欄位,您可以指定字首,而不是完整的儲存貯體名稱。例如,若要尋找名稱以 my-S3 開頭的所有 S3 儲存貯體,請輸入
my-S3做為儲存貯體名稱欄位的篩選條件值。 my-S3 如果您輸入任何其他值,例如My-s3或my*,Macie 不會傳回儲存貯體。
-
當您完成新增 欄位的值時,請選擇套用。Macie 會套用篩選條件條件,並在篩選條件方塊下方的篩選條件字符中顯示條件。
-
針對您要新增的每個額外條件重複步驟 4 到 6。
-
若要移除條件,請在條件的篩選條件字符中選擇 X。
-
若要變更條件,請在條件的篩選條件字符中選擇 X 來移除條件。然後重複步驟 4 到 6,以使用正確的設定新增條件。
使用 Amazon Macie API 以程式設計方式篩選庫存
若要以程式設計方式篩選 S3 儲存貯體庫存,請在您使用 Amazon Macie API 的 DescribeBuckets 操作提交的查詢中指定篩選條件。此操作會傳回 物件陣列。每個物件都包含符合篩選條件之儲存貯體的統計資料和其他資訊。
若要在查詢中指定篩選條件,請在請求中包含篩選條件的映射。針對每個條件,指定 欄位、 運算子,以及 欄位的一或多個值。值的類型和數量取決於您選擇的欄位和運算子。如需有關您可以在條件中使用的欄位、運算子和值類型的資訊,請參閱《Amazon Macie API 參考》中的 Amazon S3 資料來源。 Amazon Macie
下列範例示範如何在您使用 AWS Command Line Interface (AWS CLI) 提交的查詢中指定篩選條件。您也可以使用目前版本的另一個 AWS 命令列工具或 AWS SDK,或將 HTTPS 請求直接傳送至 Macie,來執行此操作。如需有關 AWS 工具和SDKs的資訊,請參閱要建置的工具 AWS
範例
這些範例使用 describe-buckets 命令。如果命令執行成功,Macie 會傳回buckets陣列。陣列包含目前 中 AWS 區域 且符合篩選條件之每個儲存貯體的物件。如需此輸出的範例,請展開下一節。
在此範例中,buckets陣列提供兩個儲存貯體的詳細資訊,這些儲存貯體符合查詢中指定的篩選條件。
{
"buckets": [
{
"accountId": "123456789012",
"allowsUnencryptedObjectUploads": "FALSE",
"automatedDiscoveryMonitoringStatus": "MONITORED",
"bucketArn": "arn:aws:s3:::amzn-s3-demo-bucket1",
"bucketCreatedAt": "2020-05-18T19:54:00+00:00",
"bucketName": "amzn-s3-demo-bucket1",
"classifiableObjectCount": 13,
"classifiableSizeInBytes": 1592088,
"jobDetails": {
"isDefinedInJob": "TRUE",
"isMonitoredByJob": "TRUE",
"lastJobId": "08c81dc4a2f3377fae45c9ddaexample",
"lastJobRunTime": "2024-05-26T14:55:30.270000+00:00"
},
"lastAutomatedDiscoveryTime": "2024-06-07T19:11:25.364000+00:00",
"lastUpdated": "2024-06-12T07:33:06.337000+00:00",
"objectCount": 13,
"objectCountByEncryptionType": {
"customerManaged": 0,
"kmsManaged": 2,
"s3Managed": 7,
"unencrypted": 4,
"unknown": 0
},
"publicAccess": {
"effectivePermission": "NOT_PUBLIC",
"permissionConfiguration": {
"accountLevelPermissions": {
"blockPublicAccess": {
"blockPublicAcls": true,
"blockPublicPolicy": true,
"ignorePublicAcls": true,
"restrictPublicBuckets": true
}
},
"bucketLevelPermissions": {
"accessControlList": {
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
},
"blockPublicAccess": {
"blockPublicAcls": true,
"blockPublicPolicy": true,
"ignorePublicAcls": true,
"restrictPublicBuckets": true
},
"bucketPolicy": {
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
}
}
}
},
"region": "us-east-1",
"replicationDetails": {
"replicated": false,
"replicatedExternally": false,
"replicationAccounts": []
},
"sensitivityScore": 78,
"serverSideEncryption": {
"kmsMasterKeyId": null,
"type": "NONE"
},
"sharedAccess": "NOT_SHARED",
"sizeInBytes": 4549746,
"sizeInBytesCompressed": 0,
"tags": [
{
"key": "Division",
"value": "HR"
},
{
"key": "Team",
"value": "Recruiting"
}
],
"unclassifiableObjectCount": {
"fileType": 0,
"storageClass": 0,
"total": 0
},
"unclassifiableObjectSizeInBytes": {
"fileType": 0,
"storageClass": 0,
"total": 0
},
"versioning": true
},
{
"accountId": "123456789012",
"allowsUnencryptedObjectUploads": "TRUE",
"automatedDiscoveryMonitoringStatus": "MONITORED",
"bucketArn": "arn:aws:s3:::amzn-s3-demo-bucket2",
"bucketCreatedAt": "2020-11-25T18:24:38+00:00",
"bucketName": "amzn-s3-demo-bucket2",
"classifiableObjectCount": 8,
"classifiableSizeInBytes": 133810,
"jobDetails": {
"isDefinedInJob": "TRUE",
"isMonitoredByJob": "FALSE",
"lastJobId": "188d4f6044d621771ef7d65f2example",
"lastJobRunTime": "2024-04-09T19:37:11.511000+00:00"
},
"lastAutomatedDiscoveryTime": "2024-06-07T19:11:25.364000+00:00",
"lastUpdated": "2024-06-12T07:33:06.337000+00:00",
"objectCount": 8,
"objectCountByEncryptionType": {
"customerManaged": 0,
"kmsManaged": 0,
"s3Managed": 8,
"unencrypted": 0,
"unknown": 0
},
"publicAccess": {
"effectivePermission": "NOT_PUBLIC",
"permissionConfiguration": {
"accountLevelPermissions": {
"blockPublicAccess": {
"blockPublicAcls": true,
"blockPublicPolicy": true,
"ignorePublicAcls": true,
"restrictPublicBuckets": true
}
},
"bucketLevelPermissions": {
"accessControlList": {
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
},
"blockPublicAccess": {
"blockPublicAcls": true,
"blockPublicPolicy": true,
"ignorePublicAcls": true,
"restrictPublicBuckets": true
},
"bucketPolicy": {
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
}
}
}
},
"region": "us-east-1",
"replicationDetails": {
"replicated": false,
"replicatedExternally": false,
"replicationAccounts": []
},
"sensitivityScore": 95,
"serverSideEncryption": {
"kmsMasterKeyId": null,
"type": "AES256"
},
"sharedAccess": "EXTERNAL",
"sizeInBytes": 175978,
"sizeInBytesCompressed": 0,
"tags": [
{
"key": "Division",
"value": "HR"
},
{
"key": "Team",
"value": "Recruiting"
}
],
"unclassifiableObjectCount": {
"fileType": 3,
"storageClass": 0,
"total": 3
},
"unclassifiableObjectSizeInBytes": {
"fileType": 2999826,
"storageClass": 0,
"total": 2999826
},
"versioning": true
}
]
}如果沒有儲存貯體符合篩選條件,Macie 會傳回空buckets陣列。
{
"buckets": []
}範例:依儲存貯體名稱尋找儲存貯體
此範例會查詢目前 中 AWS 區域 且名稱開頭為 my-S3 的儲存貯體中繼資料。
針對 Linux、macOS 或 Unix:
$aws macie2 describe-buckets --criteria '{"bucketName":{"prefix":"my-S3"}}'
對於 Microsoft Windows:
C:\>aws macie2 describe-buckets --criteria={\"bucketName\":{\"prefix\":\"my-S3\"}}
其中:
-
bucketName指定儲存貯體名稱欄位的 JSON 名稱。 -
字首指定字首運算子。 -
my-S3是儲存貯體名稱欄位的值。
範例:尋找可公開存取的儲存貯體
此範例會查詢目前 AWS 區域 中儲存貯體的中繼資料,並根據許可設定的組合來公開存取。
針對 Linux、macOS 或 Unix:
$aws macie2 describe-buckets --criteria '{"publicAccess.effectivePermission":{"eq":["PUBLIC"]}}'
對於 Microsoft Windows:
C:\>aws macie2 describe-buckets --criteria={\"publicAccess.effectivePermission\":{\"eq\":[\"PUBLIC\"]}}
其中:
-
publicAccess.effectivePermission指定有效許可欄位的 JSON 名稱。 -
microSDHC會指定等於運算子。 -
PUBLIC是有效許可欄位的列舉值。
範例:尋找存放未加密物件的儲存貯體
此範例會查詢目前 中儲存貯體的中繼資料, AWS 區域 並存放未加密的物件。
針對 Linux、macOS 或 Unix:
$aws macie2 describe-buckets --criteria '{"objectCountByEncryptionType.unencrypted":{"gte":1}}'
對於 Microsoft Windows:
C:\>aws macie2 describe-buckets --criteria={\"objectCountByEncryptionType.unencrypted\":{\"gte\":1}}
其中:
-
objectCountByEncryptionType.unencrypted指定無加密欄位的 JSON 名稱。 -
gte指定大於或等於運算子的 。 -
1是無加密欄位的包含相對數值範圍內的最低值。
範例:尋找將資料複寫到外部帳戶的儲存貯體
此範例會查詢目前 中儲存貯體的中繼資料, AWS 區域 並設定為將物件複寫至不屬於您組織的 AWS 帳戶 儲存貯體。
針對 Linux、macOS 或 Unix:
$aws macie2 describe-buckets --criteria '{"replicationDetails.replicatedExternally":{"eq":["true"]}}'
對於 Microsoft Windows:
C:\>aws macie2 describe-buckets --criteria={\"replicationDetails.replicatedExternally\":{\"eq\":[\"true\"]}}
其中:
-
replicationDetails.replicatedExternally指定外部複寫欄位的 JSON 名稱。 -
microSDHC指定等於運算子。 -
true指定外部複寫欄位的布林值。
範例:尋找不受敏感資料探索任務監控的儲存貯體
此範例會查詢目前 中 AWS 區域 且與任何定期敏感資料探索任務無關的儲存貯體中繼資料。
針對 Linux、macOS 或 Unix:
$aws macie2 describe-buckets --criteria '{"jobDetails.isMonitoredByJob":{"eq":["FALSE"]}}'
對於 Microsoft Windows:
C:\>aws macie2 describe-buckets --criteria={\"jobDetails.isMonitoredByJob\":{\"eq\":[\"FALSE\"]}}
其中:
-
jobDetails.isMonitoredByJob指定由任務欄位主動監控的 JSON 名稱。 -
microSDHC會指定等於運算子。 -
FALSE是由任務欄位主動監控的列舉值。
範例:尋找不受自動化敏感資料探索監控的儲存貯體
此範例會查詢目前 中儲存貯體的中繼資料, AWS 區域 並將其排除在自動化敏感資料探索之外。
針對 Linux、macOS 或 Unix:
$aws macie2 describe-buckets --criteria '{"automatedDiscoveryMonitoringStatus":{"eq":["NOT_MONITORED"]}}'
對於 Microsoft Windows:
C:\>aws macie2 describe-buckets --criteria={\"automatedDiscoveryMonitoringStatus\":{\"eq\":[\"NOT_MONITORED\"]}}
其中:
-
automatedDiscoveryMonitoringStatus指定由自動探索欄位監控的 JSON 名稱。 -
microSDHC指定等於運算子。 -
NOT_MONITORED是由自動探索欄位監控的列舉值。
範例:根據多個條件尋找儲存貯體
此範例會查詢目前 中 AWS 區域 且符合下列條件之儲存貯體的中繼資料:根據許可設定的組合可公開存取;存放未加密的物件;而且不會與任何定期敏感資料探索任務相關聯。
對於 Linux、macOS 或 Unix,請使用反斜線 (\) 換行字元來改善可讀性:
$aws macie2 describe-buckets \ --criteria '{"publicAccess.effectivePermission":{"eq":["PUBLIC"]},"objectCountByEncryptionType.unencrypted":{"gte":1},"jobDetails.isMonitoredByJob":{"eq":["FALSE"]}}'
對於 Microsoft Windows,使用插入 (^) 換行字元來改善可讀性:
C:\>aws macie2 describe-buckets ^ --criteria={\"publicAccess.effectivePermission\":{\"eq\":[\"PUBLIC\"]},\"objectCountByEncryptionType.unencrypted\":{\"gte\":1},\"jobDetails.isMonitoredByJob\":{\"eq\":[\"FALSE\"]}}
其中:
-
publicAccess.effectivePermission指定有效許可欄位的 JSON 名稱,以及:-
microSDHC指定等於運算子。 -
PUBLIC是有效許可欄位的列舉值。
-
-
objectCountByEncryptionType.unencrypted指定無加密欄位的 JSON 名稱,以及:-
gte指定大於或等於運算子的 。 -
1是無加密欄位的包含相對數值範圍內的最低值。
-
-
jobDetails.isMonitoredByJob指定由任務欄位主動監控的 JSON 名稱,以及:-
microSDHC指定等於運算子。 -
FALSE是由任務欄位主動監控的列舉值。
-
