本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 使用 Macie 分析 Amazon S3 安全狀態 分析您的 Amazon S3 安全狀態 為了協助您執行深入分析並評估 Amazon Simple Storage Service (Amazon S3) 資料的安全性狀態,Amazon Macie 會在您使用 Macie 的每個 AWS 區域 中產生並維護 S3 一般用途儲存貯體的清查。若要了解 Macie 如何為您維護此庫存,請參閱 [Macie 如何監控 Amazon S3 資料安全性](monitoring-s3-how-it-works.md)。如果您是組織的 Macie 管理員,庫存會包含成員帳戶擁有的 S3 儲存貯體資料。 透過使用此庫存,您可以檢閱 Amazon S3 資料資產,並檢查適用於個別 S3 儲存貯體之金鑰安全設定和指標的詳細資訊和統計資料。例如,您可以存取每個儲存貯體的公有存取和加密設定的明細,以及 Macie 可以分析以偵測每個儲存貯體中敏感資料的大小和物件數量。您也可以判斷是否設定敏感資料探索任務或自動敏感資料探索,以分析儲存貯體中的物件。如果您有,您的庫存資料會指出該分析最近發生的時間點。如果已啟用自動敏感資料探索,您也可以使用 庫存來檢閱 Macie 到目前為止已針對 Amazon S3 資料執行的自動敏感資料探索活動的結果。如需詳細資訊,請參閱[探索敏感資料](data-classification.md)。 您可以使用 Amazon Macie 主控台上的 **S3 儲存貯**體頁面來瀏覽和篩選庫存資料。您也可以使用 Amazon Macie API 的 [DescribeBuckets](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3.html) 操作,以程式設計方式存取庫存資料。 **Topics** + [檢閱 S3 儲存貯體庫存](monitoring-s3-inventory-review.md) + [篩選 S3 儲存貯體庫存](monitoring-s3-inventory-filter.md) # 在 Macie 中檢閱 S3 儲存貯體庫存 檢閱 S3 儲存貯體庫存 在 Amazon Macie 主控台上,**S3 儲存貯**體頁面可讓您詳細了解目前 Amazon Simple Storage Service (Amazon S3) 資料的安全性和隱私權 AWS 區域。透過此頁面,您可以檢閱和分析區域中 S3 一般用途儲存貯體的庫存,並檢閱個別儲存貯體的詳細資訊和統計資料。如需有關 Macie 如何產生和維護此庫存的資訊,請參閱 [Macie 如何監控 Amazon S3 資料安全性](monitoring-s3-how-it-works.md)。如果您是組織的 Macie 管理員,您的庫存會包含成員帳戶擁有的 S3 儲存貯體的詳細資訊和統計資料。 **S3 儲存貯**體頁面也會指出 Macie 最近一次從 Amazon S3 擷取您帳戶的儲存貯體或物件中繼資料的時間。您可以在頁面頂端的**上次更新**欄位中找到此資訊。如果您是組織的 Macie 管理員,此欄位會指出 Macie 擷取組織中帳戶資料的最早日期和時間。如需詳細資訊,請參閱[資料重新整理](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh)。 請注意,庫存資料和統計資料不包含有關 S3 目錄儲存貯體的資料,僅包含一般用途儲存貯體。Macie 不會監控或分析目錄儲存貯體。此外,Macie 會維護帳戶不超過 10,000 個一般用途儲存貯體的完整庫存資料。如果您的帳戶超過此配額,Macie 會提供最近建立或變更的 10,000 個儲存貯體的完整庫存資料。對於所有其他儲存貯體,Macie 僅提供有關每個儲存貯體的資訊子集。如果您是組織的 Macie 管理員,則此配額適用於組織中的每個帳戶,而不是整個組織。 另請注意,大多數庫存資料僅限於允許 Macie 存取您帳戶的儲存貯體。如果儲存貯體的許可設定阻止 Macie 擷取儲存貯體或儲存貯體物件的相關資訊,則 Macie 只能提供儲存貯體的相關資訊子集。如果特定儲存貯體發生這種情況,Macie 會顯示儲存貯體庫存中儲存貯體的警告圖示 (![\[The warning icon, which is a red triangle that has an exclamation point in it.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/icon-warning-red.png)) 和訊息。對於儲存貯體的詳細資訊,Macie 僅提供欄位子集的資料: AWS 帳戶 擁有儲存貯體的 帳戶 ID;儲存貯體的名稱、Amazon Resource Name (ARN)、建立日期和區域;以及當 Macie 最近擷取儲存貯體的儲存貯體和物件中繼資料作為每日重新整理週期的一部分時。若要調查問題,請檢閱 Amazon S3 中的儲存貯體政策和許可設定。例如,儲存貯體可能有限制性儲存貯體政策。如需詳細資訊,請參閱[允許 Macie 存取 S3 儲存貯體和物件](monitoring-restrictive-s3-buckets.md)。 如果您偏好以程式設計方式存取和查詢庫存資料,您可以使用 Amazon Macie API 的 [DescribeBuckets](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3.html) 操作。 **Topics** + [ ## 檢閱 S3 儲存貯體庫存 ](#monitoring-s3-inventory-view) + [ ## 檢閱 S3 儲存貯體的詳細資訊 ](#monitoring-s3-inventory-view-details) ## 檢閱 S3 儲存貯體庫存 檢閱您的儲存貯體庫存 Amazon Macie 主控台上的 **S3 儲存貯**體頁面提供目前 S3 一般用途儲存貯體的相關資訊 AWS 區域。在此頁面上,資料表會顯示庫存中每個儲存貯體的摘要資訊。若要自訂檢視,您可以排序和篩選資料表。如果您在資料表中選擇儲存貯體,詳細資訊面板會顯示儲存貯體的其他資訊。這包括設定和指標的詳細資訊和統計資料,這些設定和指標可讓您深入了解儲存貯體資料的安全性和隱私權。您可以選擇將資料表中的資料匯出至逗號分隔值 (CSV) 檔案。 如果已啟用自動敏感資料探索,您也可以選擇使用互動式熱度圖來檢閱庫存。地圖提供整個 Amazon S3 資料資產的資料敏感性視覺呈現。它會擷取 Macie 到目前為止執行的自動化敏感資料探索活動的結果。若要了解此地圖,請參閱 [使用 S3 儲存貯體映射視覺化資料敏感度](discovery-asdd-results-s3-inventory-map.md)。 **若要檢閱 S3 儲存貯體庫存** 1. 開啟位於 https://[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 的 Amazon Macie 主控台。 1. 在導覽窗格中,選擇 **S3 儲存貯**體。**S3 儲存貯**體頁面會顯示您的儲存貯體庫存。如果頁面顯示庫存的互動式地圖,請選擇頁面頂端的資料表 (![\[The table view button, which is a button that displays three black horizontal lines.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/btn-s3-table-view.png))。Macie 接著會顯示庫存中的儲存貯體數量,以及儲存貯體的資料表。 如果啟用自動敏感資料探索,預設檢視不會顯示目前從自動探索排除的儲存貯體的資料。若要顯示此資料,請在篩選條件方塊下方的**由自動探索篩選條件字符監控**中選擇 **X**。 1. 在頁面頂端,選擇性地選擇重新整理 (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/btn-refresh-data.png)) 以從 Amazon S3 擷取最新的儲存貯體中繼資料。 如果資訊圖示 (![\[The information icon, which is a blue circle that has a lowercase letter i in it.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/icon-info-blue.png)) 出現在任何儲存貯體名稱旁,建議您執行此操作。此圖示表示儲存貯體在過去 24 小時內建立,可能是在 Macie 上次從 Amazon S3 擷取儲存貯體和物件中繼資料之後,做為[每日重新整理週期](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh)的一部分。 1. 在 **S3 儲存貯**體資料表中,檢閱庫存中每個儲存貯體的相關資訊子集: + **敏感度** – 如果啟用自動敏感資料探索,儲存貯體目前的敏感度分數。如需有關 Macie 定義之敏感度分數範圍的資訊,請參閱 [S3 儲存貯體的敏感度評分](discovery-scoring-s3.md)。 + **儲存貯體** – 儲存貯體的名稱。 + **帳戶** – 擁有儲存貯體 AWS 帳戶 之 的帳戶 ID。 + **可分類物件** – Macie 可分析以偵測儲存貯體中敏感資料的物件總數。 + **可分類大小** – Macie 可分析的所有物件的總儲存大小,用於偵測儲存貯體中的敏感資料。 請注意,此值不會反映任何壓縮物件解壓縮後的實際大小。此外,如果為儲存貯體啟用版本控制,則此值是根據儲存貯體中每個物件最新版本的儲存體大小。 + **依任務監控** – 您是否設定任何敏感資料探索任務,以每日、每週或每月定期分析儲存貯體中的物件。 如果此欄位的值為*是*,則儲存貯體會明確包含在定期任務中,或儲存貯體符合過去 24 小時內定期任務的條件。此外,至少其中一個任務的狀態不會*取消*。Macie 每天更新此資料。 + **最新任務執行** – 如果您設定任何定期或一次性敏感資料探索任務來分析儲存貯體中的物件,此欄位會指出其中一個任務開始執行的最新日期和時間。否則,此欄位會顯示破折號 (–)。 在上述資料中,如果物件使用支援的 Amazon S3 儲存類別,且具有支援的檔案或儲存格式的檔案名稱副檔名,則可以*分類*物件。您可以使用 Macie 偵測物件中的敏感資料。如需詳細資訊,請參閱[支援的儲存類別和格式](discovery-supported-storage.md)。 1. 若要使用 資料表分析您的庫存,請執行下列任一動作: + 若要依特定欄位排序資料表,請選擇欄位的欄位標題。若要變更排序順序,請再次選擇欄標題。 + 若要篩選資料表並僅顯示具有特定欄位值的儲存貯體,請將游標放在篩選方塊中,然後為欄位新增篩選條件。若要進一步精簡結果,請新增其他欄位的篩選條件。如需詳細資訊,請參閱[篩選 S3 儲存貯體庫存](monitoring-s3-inventory-filter.md)。 1. 若要檢閱特定儲存貯體的詳細資訊和統計資料,請在資料表中選擇儲存貯體的名稱,然後參閱詳細資訊面板。 **提示** 您可以對儲存貯體詳細資訊面板中的許多欄位進行樞紐分析和向下切入。若要顯示欄位具有相同值的儲存貯![\[The zoom in icon, which is a magnifying glass that has a plus sign in it.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/icon-magnifying-glass-plus-sign.png)體,請在欄位中選擇 。若要顯示具有欄位其他值的儲存貯![\[The zoom out icon, which is a magnifying glass that has a minus sign in it.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/icon-magnifying-glass-minus-sign.png)體,請在欄位中選擇 。 1. 若要將資料從資料表匯出至 CSV 檔案,請選取您要匯出之每一列的核取方塊,或選取選取欄標題中的核取方塊以選取所有資料列。然後選擇頁面頂端的**匯出至 CSV**。您最多可以從資料表匯出 50,000 個資料列。 ## 檢閱 S3 儲存貯體的詳細資訊 檢閱儲存貯體詳細資訊 若要檢閱 S3 一般用途儲存貯體的詳細資訊和統計資料,您可以使用 Amazon Macie 主控台 **S3 儲存貯**體頁面上的詳細資訊面板。面板會顯示詳細資訊和統計資料,讓您深入了解儲存貯體資料的安全性和隱私權。 例如,您可以檢閱 S3 儲存貯體公有存取設定的明細,並判斷儲存貯體是設定為複寫物件,還是與其他 共用 AWS 帳戶。您也可以判斷是否設定任何敏感資料探索任務,以檢查儲存貯體是否有敏感資料。如果您有,您可以存取最近執行之任務的詳細資訊,並選擇性地顯示任務產生的任何問題清單。 如果已啟用自動敏感資料探索,您也可以使用詳細資訊面板來檢閱敏感資料探索統計資料和個別 S3 儲存貯體的其他資訊。此面板會擷取 Macie 到目前為止為儲存貯體執行的自動化敏感資料探索活動的結果。若要了解這些詳細資訊,請參閱 [檢閱 S3 儲存貯體的資料敏感性詳細資訊](discovery-asdd-results-s3-inventory-details.md)。 **若要檢閱 S3 儲存貯體的詳細資訊** 1. 在 https://[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。 1. 在導覽窗格中,選擇 **S3 儲存貯體**。**S3 儲存貯**體頁面會顯示您的儲存貯體庫存。 如果啟用自動敏感資料探索,預設檢視不會顯示目前從自動探索排除的儲存貯體的資料。若要顯示此資料,請在篩選條件方塊下方的**「由自動探索篩選條件字符監控**」中選擇 **X**。 1. 在頁面頂端,選擇性地選擇重新整理 (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/btn-refresh-data.png)) 以從 Amazon S3 擷取最新的儲存貯體中繼資料。 1. 選擇您要檢閱其詳細資訊的儲存貯體。詳細資訊面板會顯示儲存貯體的統計資料和其他資訊。 在詳細資訊面板中,統計資料和資訊會整理為下列主要區段: [**概觀**](#monitoring-s3-inventory-view-details-general) \$1 [**物件統計資料**](#monitoring-s3-inventory-view-details-objects) \$1 [**伺服器端加密 \$1 **](#monitoring-s3-inventory-view-details-sse)[**敏感資料探索**](#monitoring-s3-inventory-view-details-discovery) \$1 [**公開存取**](#monitoring-s3-inventory-view-details-public-access) \$1 [**複寫**](#monitoring-s3-inventory-view-details-replication) \$1 [**標籤**](#monitoring-s3-inventory-view-details-tags) 當您檢閱每個區段中的資訊時,您可以選擇對特定欄位進行樞紐分析和深入研究。若要顯示欄位具有相同值的儲存貯![\[The zoom in icon, which is a magnifying glass that has a plus sign in it.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/icon-magnifying-glass-plus-sign.png)體,請在欄位中選擇 。若要顯示具有欄位其他值的儲存貯![\[The zoom out icon, which is a magnifying glass that has a minus sign in it.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/icon-magnifying-glass-minus-sign.png)體,請在欄位中選擇 。 ### 概觀 本節提供有關儲存貯體的一般資訊,例如儲存貯體名稱、建立儲存貯體的時間,以及 AWS 帳戶 擁有儲存貯體之 的帳戶 ID。特別注意,**上次更新**欄位指出 Macie 最近一次從 Amazon S3 擷取儲存貯體或儲存貯體物件中繼資料的時間。 **共用存取**欄位指出儲存貯體是否與另一個 AWS 帳戶、Amazon CloudFront 原始存取身分 (OAI) 或 CloudFront 原始存取控制 (OAC) 共用: + **外部** – 儲存貯體會與下列一或多個 或下列任意組合共用:CloudFront OAI、CloudFront OAC 或組織外部 (不屬於組織) 的帳戶。 + **內部** – 儲存貯體會與組織內部 (部分) 的一或多個帳戶共用。它不會與 CloudFront OAI 或 OAC 共用。 + **未共用** – 儲存貯體不會與其他帳戶、CloudFront OAI 或 CloudFront OAC 共用。 + **未知** – Macie 無法評估儲存貯體的共用存取設定。例如,配額或暫時問題導致 Macie 無法擷取和評估必要資料。 為了判斷儲存貯體是否與另一個儲存貯體共用 AWS 帳戶,Macie 會分析儲存貯體的儲存貯體政策和存取控制清單 (ACL)。分析僅限於儲存貯體層級設定。它不會反映用於共用儲存貯體中特定物件的任何物件層級設定。此外,*組織*定義為一組 Macie 帳戶,透過 Macie 邀請 AWS Organizations 或由 Macie 邀請集中管理為相關帳戶群組。若要了解共用儲存貯體的 Amazon S3 選項,請參閱《*Amazon Simple Storage Service 使用者指南*》中的[存取控制](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html)。 **注意** 在某些情況下,Macie 可能會錯誤地指出儲存貯體與組織外部 (不屬於組織) AWS 帳戶 的 共用。如果 Macie 無法完整評估儲存貯體政策中的 `Principal`元素與`Condition`政策 元素中的特定[AWS 全域條件內容索引](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)鍵或 [Amazon S3 條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-policy-keys)之間的關係,就可能發生這種情況。下列條件索引鍵可能發生這種情況:`aws:PrincipalAccount`、`aws:PrincipalArn`、`aws:PrincipalOrgID``aws:PrincipalOrgPaths`、`aws:PrincipalTag`、`aws:PrincipalType`、`aws:SourceAccount`、、`aws:SourceArn``aws:SourceIp`、`aws:SourceOrgID`、`aws:SourceOrgPaths`、`aws:SourceVpc`、`aws:SourceVpce`、、 `aws:userid` `s3:DataAccessPointAccount`和 `s3:DataAccessPointArn`。 我們建議您檢閱儲存貯體的政策,以判斷此存取是否預期且安全。 為了判斷儲存貯體是與 CloudFront OAI 或 OAC 共用,Macie 會分析儲存貯體的儲存貯體政策。CloudFront OAI 或 OAC 允許使用者透過一或多個指定的 CloudFront 分佈存取儲存貯體的物件。若要了解 CloudFront OAIs 和 OACs,請參閱《[Amazon CloudFront 開發人員指南》中的限制對 Amazon S3 原始伺服器的存取](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html)。 *Amazon CloudFront * **概觀**區段也包含**最新的自動探索執行**欄位。此欄位指出 Macie 在執行自動敏感資料探索時,何時最近分析儲存貯體中的物件。如果未進行此分析,此欄位會顯示破折號 (–)。 ### 物件統計資料 本節提供有關儲存貯體中物件的資訊,從儲存貯體中的物件總數 (**總計數**)、所有這些物件的總儲存大小 (**總儲存大小**),以及壓縮 (.gz、.gzip 或 .zip) 檔案的所有物件的總儲存大小 (**總壓縮大小**) 開始。本節中的其他統計資料可協助您評估 Macie 可以分析多少資料來偵測儲存貯體中的敏感資料。 如果您最近建立儲存貯體,或在過去 24 小時內對儲存貯體的物件進行了重大變更,您可以選擇重新整理 (![\[The refresh button, which is a button that displays an empty, dark gray circle with an arrow.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/btn-refresh-object-data.png)) 以擷取儲存貯體物件的最新中繼資料。Macie 會顯示資訊圖示 (![\[The information icon, which is a blue circle that has a lowercase letter i in it.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/icon-info-blue.png)),以協助您判斷是否發生這種情況。如果儲存貯體存放 30,000 個或更少的物件,則可使用重新整理選項。 當您檢閱本節中的統計資料時,請記住下列事項: + 如果為儲存貯體啟用版本控制,大小值會根據儲存貯體中每個物件最新版本的儲存體大小而定。 + 如果儲存貯體存放壓縮的物件,大小值不會反映解壓縮後這些物件的實際大小。 + 如果您重新整理儲存貯體的物件中繼資料,Macie 會暫時報告套用至物件的加密統計資料*未知*。Macie 將在 24 小時內執行儲存貯體和物件中繼資料的下一次[每日重新整理](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh)時,重新評估和更新這些統計資料的資料。 + 根據預設,物件計數和大小值包含儲存貯體因不完整分段上傳而包含的任何物件部分的資料。如果您重新整理儲存貯體的物件中繼資料,Macie 會從重新計算的值中排除物件部分的資料。當 Macie 執行儲存貯體和物件中繼資料的下一次每日重新整理時 (24 小時內),Macie 會重新計算和更新這些統計資料的值,並再次在值中包含物件部分的資料。 請注意,Macie 無法分析物件部分來偵測敏感資料。Amazon S3 必須先將組件組合成一或多個物件,Macie 才能分析。如需有關分段上傳和物件組件的資訊,包括如何使用生命週期規則自動刪除組件,請參閱《*Amazon Simple Storage Service 使用者指南*》中的[使用分段上傳上傳和複製物件](https://docs.aws.amazon.com/AmazonS3/latest/userguide/mpuoverview.html)。若要識別包含物件部分的儲存貯體,您可以參考 Amazon S3 Storage Lens 中*不完整的分段上傳*指標。如需詳細資訊,請參閱《*Amazon Simple Storage Service 使用者指南*》中的[評估您的儲存活動和用量](https://docs.aws.amazon.com/AmazonS3/latest/userguide/storage_lens.html)。 物件統計資料的整理方式如下。 **可分類物件** 本節指出 Macie 可以分析以偵測敏感資料的物件總數,以及這些物件的總儲存大小。這些物件使用支援的 Amazon S3 儲存類別,並具有支援檔案或儲存格式的檔案名稱副檔名。您可以使用 Macie 偵測物件中的敏感資料。如需詳細資訊,請參閱[支援的儲存類別和格式](discovery-supported-storage.md)。 **無法分類的物件** 本節指出 Macie 無法分析以偵測敏感資料的物件總數,以及這些物件的總儲存大小。這些物件不使用支援的 Amazon S3 儲存類別,或沒有支援的檔案或儲存格式的副檔名。 **無法分類的物件:儲存類別** 本節提供 Macie 無法分析之物件的數量和儲存大小明細,因為物件不使用支援的 Amazon S3 儲存類別。 **無法分類的物件:檔案類型** 本節提供 Macie 無法分析之物件的數量和儲存體大小明細,因為物件沒有支援的檔案或儲存體格式的副檔名。 **依加密類型的物件** 本節提供使用 Amazon S3 支援的每種加密類型的物件數量明細: + **客戶提供** – 使用客戶提供的金鑰加密的物件數量。這些物件使用 SSE-C 加密。 + **AWS KMS 受**管 – 使用 AWS KMS key AWS 受管金鑰 或客戶受管金鑰加密的物件數量。這些物件使用 DSSE-KMS 或 SSE-KMS 加密。 + **Amazon S3 受**管 – 使用 Amazon S3 受管金鑰加密的物件數量。這些物件使用 SSE-S3 加密。 + **不加密** – 未加密或使用用戶端加密的物件數量。(如果使用用戶端加密來加密物件,Macie 無法存取和報告物件的加密資料。) + **未知** – Macie 目前沒有加密中繼資料的物件數量。如果您最近選擇手動重新整理儲存貯體物件的中繼資料,通常會發生這種情況。Macie 將在 24 小時內執行儲存貯體和物件中繼資料的下一次每日重新整理時更新加密統計資料。 如需有關每個支援的加密類型的資訊,請參閱《*Amazon Simple Storage Service 使用者指南*》中的[使用加密保護資料](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingEncryption.html)。 ### 伺服器端加密 本節可讓您深入了解儲存貯體的伺服器端加密設定。 儲存**貯體政策所需的加密**欄位指出當物件新增至儲存貯體時,儲存貯體的政策是否需要物件的伺服器端加密: + **否** – 儲存貯體沒有儲存貯體政策,或儲存貯體的政策不需要新物件的伺服器端加密。如果儲存貯體政策存在,則不需要 [PutObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html) 請求包含有效的伺服器端加密標頭。 + **是** – 儲存貯體的政策需要新物件的伺服器端加密。 儲存貯體的**PutObject**請求必須包含有效的伺服器端加密標頭。否則,Amazon S3 會拒絕要求。 + **未知** – Macie 無法評估儲存貯體的政策,以判斷是否需要伺服器端加密新物件。例如,配額或問題導致 Macie 無法擷取和評估政策。 在此評估中,有效的伺服器端加密標頭為: 的值`x-amz-server-side-encryption`為 `AES256`或 `aws:kms`, `x-amz-server-side-encryption-customer-algorithm` 的值為 `AES256`。如需有關使用儲存貯體政策要求伺服器端加密新物件的資訊,請參閱《*Amazon Simple Storage Service 使用者指南*》中的[使用伺服器端加密保護資料](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html)。 **預設加密**欄位指出根據預設,儲存貯體設定為套用至新增至儲存貯體的物件的伺服器端加密演算法: + **AES256** – 儲存貯體的預設加密設定設定為使用 Amazon S3 受管金鑰加密新物件。新物件會使用 SSE-S3 加密自動加密。 + **aws:kms** – 儲存貯體的預設加密設定設定為使用 AWS KMS key AWS 受管金鑰 或客戶受管金鑰來加密新物件。新物件會使用 SSE-KMS 加密自動加密。**AWS KMS key** 欄位會顯示所使用金鑰的 Amazon Resource Name (ARN) 或唯一識別符 (金鑰 ID)。 + **aws:kms:dsse** – 儲存貯體的預設加密設定設定為使用 AWS KMS key AWS 受管金鑰 或客戶受管金鑰來加密新物件。新的物件會使用 DSSE-KMS 加密自動加密。**AWS KMS key** 欄位會顯示所使用金鑰的 ARN 或金鑰 ID。 + **無** – 儲存貯體的預設加密設定不會指定新物件的伺服器端加密行為。 從 2023 年 1 月 5 日開始,Amazon S3 會自動使用 Amazon S3 受管金鑰 (SSE-S3) 套用伺服器端加密,做為新增至儲存貯體之物件的基本加密層級。您可以選擇將儲存貯體的預設加密設定設定為 ,改為使用具有 AWS KMS 金鑰的伺服器端加密 (SSE-KMS) 或具有 AWS KMS 金鑰的雙層伺服器端加密 (DSSE-KMS)。如需預設加密設定和選項的相關資訊,請參閱《*Amazon Simple Storage Service 使用者指南*》中的[設定 S3 儲存貯體的預設伺服器端加密行為](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html)。 ### 敏感資料探索 本節指出您是否設定任何敏感資料探索任務,以每日、每週或每月定期分析儲存貯體中的物件。如果**主動監控任務**欄位的值為*是*,則儲存貯體會明確包含在定期任務中,或儲存貯體符合過去 24 小時內定期任務的條件。此外,至少其中一個任務的狀態不會*取消*。Macie 每天更新此資料。 如果您設定任何類型的敏感資料探索任務 (定期任務或一次性任務) 來分析儲存貯體中的物件,**最新任務**欄位會提供最近開始執行之任務的唯一識別符。**最新任務執行**欄位指出該任務何時開始執行。 **提示** 若要顯示任務產生的所有敏感資料調查結果,請在**最新任務**欄位中選擇連結。在出現的任務詳細資訊面板中,選擇面板頂端的**顯示結果**,然後選擇**顯示問題清單**。 ### 公用存取 本節指出儲存貯體是否可公開存取。它還提供各種帳戶層級和儲存貯體層級設定的明細,以判斷是否為這種情況。**有效許可**欄位指出這些設定的累積結果: + **不公開** – 儲存貯體無法公開存取。 + **公**有 – 儲存貯體可公開存取。 + **未知** – Macie 無法評估儲存貯體的所有公有存取設定。例如,配額或暫時問題導致 Macie 無法擷取和評估必要資料。 針對此評估,Macie 會分析每個儲存貯體的帳戶層級和儲存貯體層級設定的組合:帳戶的封鎖公開存取設定、儲存貯體的封鎖公開存取設定、儲存貯體的儲存貯體政策,以及儲存貯體的存取控制清單 (ACL)。請注意,評估不包含可公開存取儲存貯體中特定物件的物件層級設定。 若要了解管理儲存貯體和儲存貯體資料的公有存取權的 Amazon S3 設定,請參閱《Amazon *Simple Storage Service 使用者指南*》中的[存取控制](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html)和[封鎖對 Amazon S3 儲存的公有存取權](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html)。 ### 複寫 在本節中,**複寫**欄位指出儲存貯體是否設定為將物件複寫至其他儲存貯體。如果此欄位的值為*是*,則會為儲存貯體設定並啟用一或多個複寫規則。本節也會列出 AWS 帳戶 每個擁有目的地儲存貯體的帳戶 ID。 **外部複寫**欄位指出儲存貯體是否設定為將物件複寫至組織外部 AWS 帳戶 (非組織的一部分) 的 儲存貯體。*組織*是一組 Macie 帳戶,透過 AWS Organizations 或透過 Macie 邀請以一組相關帳戶集中管理。如果此欄位的值為*是*,則會設定並啟用儲存貯體的複寫規則,並將規則設定為將物件複寫至外部擁有的儲存貯體 AWS 帳戶。 **注意** 在某些情況下,Macie 可能不正確地指出儲存貯體已設定為將物件複寫至外部擁有的儲存貯體 AWS 帳戶。在 Macie 從 Amazon S3 擷取儲存貯體和物件中繼資料作為[每日重新整理週期](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh)的一部分之後,如果目的地儲存貯體在前 24 小時內在不同 中 AWS 區域 建立,則可能會發生這種情況。若要使用 Macie 調查問題,請選擇重新整理 (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/btn-refresh-data.png)) 從 Amazon S3 擷取最新的儲存貯體中繼資料。然後檢閱本節中的帳戶 IDs 清單。如需深入調查,請使用 Amazon S3 來檢閱儲存貯體的複寫規則。 若要了解用於複寫儲存貯體物件的 Amazon S3 選項和設定,請參閱《*Amazon Simple Storage Service 使用者指南*》中的[複寫物件](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication.html)。 ### Tags (標籤) 如果標籤與儲存貯體相關聯,則此區段會出現在面板中並列出這些標籤。標籤是您可以定義和指派給特定資源類型的標籤,包括 S3 AWS 儲存貯體。每個標籤都包含必要的標籤索引鍵和選用的標籤值。 若要了解標記儲存貯體,請參閱《*Amazon Simple Storage Service 使用者指南*》中的[使用成本分配 S3 儲存貯體標籤](https://docs.aws.amazon.com/AmazonS3/latest/userguide/CostAllocTagging.html)。 # 在 Macie 中篩選 S3 儲存貯體庫存 篩選 S3 儲存貯體庫存 若要識別並專注於具有特定特性的儲存貯體,您可以在 Amazon Macie 主控台和使用 Amazon Macie API 以程式設計方式提交的查詢中篩選 S3 儲存貯體庫存。建立篩選條件時,您可以使用特定儲存貯體屬性來定義從檢視或查詢結果中包含或排除儲存貯體的條件。儲存*貯體屬性*是存放儲存貯體特定中繼資料的欄位。 在 Macie 中,篩選條件包含一或多個條件。每個條件也稱為*條件*,由三個部分組成: + 屬性型欄位,例如**儲存貯體名稱**、**標籤索引鍵**或在**任務中定義**。 + 運算子,例如*等於*或不*等於*。 + 一或多個值。值的類型和數量取決於您選擇的欄位和運算子。 如何定義和套用篩選條件取決於您使用的是 Amazon Macie 主控台或 Amazon Macie API。 **Topics** + [在主控台上篩選您的庫存](#monitoring-s3-inventory-filter-console) + [以程式設計方式篩選庫存](#monitoring-s3-inventory-filter-api) ## 在 Amazon Macie 主控台上篩選庫存 在主控台上篩選您的庫存 如果您使用 Amazon Macie 主控台篩選 S3 儲存貯體庫存,Macie 會提供選項,協助您選擇個別條件的欄位、運算子和值。您可以使用 **S3 儲存貯**體頁面上的篩選方塊來存取這些選項,如下圖所示。 ![\[S3 儲存貯體頁面上的篩選方塊。\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/scrn-buckets-filter-bar-empty.png) 當您將游標放在篩選條件方塊中時,Macie 會顯示可在篩選條件中使用的欄位清單。這些欄位會依邏輯類別組織。例如,**通用欄位**類別包含存放 S3 儲存貯體一般資訊的欄位。**公有存取**類別包括存放各種可套用至儲存貯體之公有存取設定類型相關資料的欄位。這些欄位會在每個類別內依字母順序排序。 若要新增條件,請先從清單中選擇欄位。若要尋找欄位,請瀏覽完整清單,或輸入部分欄位名稱以縮小欄位清單範圍。 根據您選擇的欄位,Macie 會顯示不同的選項。這些選項反映您選擇的欄位類型和性質。例如,如果您選擇**共用存取**欄位,Macie 會顯示可供選擇的值清單。如果您選擇**儲存貯體名稱**欄位,Macie 會顯示文字方塊,您可以在其中輸入 S3 儲存貯體的名稱。無論您選擇哪個欄位,Macie 都會引導您完成新增條件的步驟,其中包含欄位所需的設定。 新增條件後,Macie 會套用條件的條件,並在篩選條件方塊下方的篩選條件字符中顯示條件,如下圖所示。 ![\[具有條件篩選條件字符的篩選條件方塊。\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/scrn-buckets-filter-bar-public.png) 在此範例中, 條件設定為包含所有可公開存取的儲存貯體,並排除所有其他儲存貯體。它會傳回 儲存貯體,其中**有效許可**欄位的值*等於***公**有。 當您新增更多條件時,Macie 會套用其條件,並在篩選條件方塊下方顯示這些條件。如果您新增多個條件,Macie 會使用 AND 邏輯來加入條件並評估篩選條件。這表示 S3 儲存貯體只有在符合篩選條件中的所有條件時,才會符合篩選條件。您可以隨時參考篩選條件方塊下方的區域,以判斷您已套用哪些條件。 **使用 主控台篩選庫存** 1. 在 https://[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。 1. 在導覽窗格中,選擇 **S3 儲存貯體**。**S3 儲存貯**體頁面會顯示您的儲存貯體庫存。 如果啟用自動敏感資料探索,預設檢視不會顯示目前從自動探索排除的儲存貯體的資料。如果您是組織的 Macie 管理員,它也不會顯示目前停用自動探索的帳戶資料。若要顯示此資料,請在篩選條件方塊下方的**由自動探索篩選條件字符監控**中選擇 **X**。 1. 在頁面頂端,選擇性地選擇重新整理 (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/btn-refresh-data.png)) 以從 Amazon S3 擷取最新的儲存貯體中繼資料。 1. 將游標放在篩選條件方塊中,然後選擇要用於條件的欄位。 1. 選擇或輸入欄位的適當值類型,請謹記下列提示。 **日期、時間和時間範圍** 對於日期和時間,請使用**開始**和**結束**方塊來定義包含的時間範圍: + 若要定義固定的時間範圍,請使用**開始**和**結束**方塊,分別指定範圍內的第一個日期和時間,以及最後一個日期和時間。 + 若要定義從特定日期和時間開始,並在目前時間結束的相對時間範圍,請在**起始**方塊中輸入開始日期和時間,然後在**結束**方塊中刪除任何文字。 + 若要定義結束於特定日期和時間的相對時間範圍,請在**結束**方塊中輸入結束日期和時間,然後在**開始**方塊中刪除任何文字。 請注意,時間值使用 24 小時表示法。如果您使用日期選擇器來選擇日期,則可以直接在**開始**和**結束**方塊中輸入文字來精簡值。 **數字和數值範圍** 對於數值,請使用**從**和**到**方塊來輸入定義包含數值範圍的整數: + 若要定義固定數字範圍,請使用**從**和**到**方塊,分別指定範圍中最低和最高數字。 + 若要定義僅限於一個特定值的固定數值範圍,請在**開始**和**結束**方塊中輸入值。例如,若要僅包含存放剛好 15 個物件的 S3 儲存貯體,**15**請在**來源**和**目的地**方塊中輸入 。 + 若要定義從特定數字開始的相對數值範圍,請在**寄件人**方塊中輸入數字,不要在**收件人**方塊中輸入任何文字。 + 若要定義以特定數字結尾的相對數值範圍,請在**收件人**方塊中輸入數字,不要在**寄件人**方塊中輸入任何文字。 **文字 (字串) 值** 針對此類型的值,輸入 欄位的完整有效值。值區分大小寫。 請注意,您無法在此類型的值中使用部分值或萬用字元。唯一的例外是**儲存貯體名稱**欄位。對於該欄位,您可以指定字首,而不是完整的儲存貯體名稱。例如,若要尋找名稱以 my-S3 開頭的所有 S3 儲存貯體,請輸入 **my-S3**做為**儲存貯體名稱**欄位的篩選條件值。 *my-S3* 如果您輸入任何其他值,例如 **My-s3**或 **my\$1**,Macie 不會傳回儲存貯體。 1. 當您完成新增 欄位的值時,請選擇**套用**。Macie 會套用篩選條件條件,並在篩選條件方塊下方的篩選條件字符中顯示條件。 1. 針對您要新增的每個額外條件重複步驟 4 到 6。 1. 若要移除條件,請在條件的篩選條件字符中選擇 **X**。 1. 若要變更條件,請在條件的篩選條件字符中選擇 **X** 來移除條件。然後重複步驟 4 到 6,以使用正確的設定新增條件。 ## 使用 Amazon Macie API 以程式設計方式篩選庫存 以程式設計方式篩選庫存 若要以程式設計方式篩選 S3 儲存貯體庫存,請在您使用 Amazon Macie API 的 [DescribeBuckets](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3.html) 操作提交的查詢中指定篩選條件。此操作會傳回 物件陣列。每個物件都包含符合篩選條件之儲存貯體的統計資料和其他資訊。 若要在查詢中指定篩選條件,請在請求中包含篩選條件的映射。針對每個條件,指定 欄位、 運算子,以及 欄位的一或多個值。值的類型和數量取決於您選擇的欄位和運算子。如需有關您可以在條件中使用的欄位、運算子和值類型的資訊,請參閱[《Amazon Macie API 參考》中的 Amazon S3 資料來源](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3.html)。 *Amazon Macie * 下列範例示範如何在您使用 [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) 提交的查詢中指定篩選條件。您也可以使用目前版本的另一個 AWS 命令列工具或 AWS SDK,或將 HTTPS 請求直接傳送至 Macie,來執行此操作。如需有關 AWS 工具和SDKs的資訊,請參閱[要建置的工具 AWS](https://aws.amazon.com/developer/tools/)。 **Topics** + [依儲存貯體名稱尋找儲存貯體](#monitoring-s3-inventory-filter-api-example1) + [尋找可公開存取的儲存貯體](#monitoring-s3-inventory-filter-api-example2) + [尋找存放未加密物件的儲存貯體](#monitoring-s3-inventory-filter-api-example3) + [尋找將資料複寫到外部帳戶的儲存貯體](#monitoring-s3-inventory-filter-api-example5) + [尋找不受敏感資料探索任務監控的儲存貯體](#monitoring-s3-inventory-filter-api-example4) + [尋找不受自動化敏感資料探索監控的儲存貯體](#monitoring-s3-inventory-filter-api-example-asdd) + [根據多個條件尋找儲存貯體](#monitoring-s3-inventory-filter-api-example6) 這些範例使用 [describe-buckets](https://docs.aws.amazon.com/cli/latest/reference/macie2/describe-buckets.html) 命令。如果命令執行成功,Macie 會傳回`buckets`陣列。陣列包含目前 中 AWS 區域 且符合篩選條件之每個儲存貯體的物件。如需此輸出的範例,請展開下一節。 ### `buckets` 陣列的範例 在此範例中,`buckets`陣列提供兩個儲存貯體的詳細資訊,這些儲存貯體符合查詢中指定的篩選條件。 ``` { "buckets": [ { "accountId": "123456789012", "allowsUnencryptedObjectUploads": "FALSE", "automatedDiscoveryMonitoringStatus": "MONITORED", "bucketArn": "arn:aws:s3:::amzn-s3-demo-bucket1", "bucketCreatedAt": "2020-05-18T19:54:00+00:00", "bucketName": "amzn-s3-demo-bucket1", "classifiableObjectCount": 13, "classifiableSizeInBytes": 1592088, "jobDetails": { "isDefinedInJob": "TRUE", "isMonitoredByJob": "TRUE", "lastJobId": "08c81dc4a2f3377fae45c9ddaexample", "lastJobRunTime": "2024-05-26T14:55:30.270000+00:00" }, "lastAutomatedDiscoveryTime": "2024-06-07T19:11:25.364000+00:00", "lastUpdated": "2024-06-12T07:33:06.337000+00:00", "objectCount": 13, "objectCountByEncryptionType": { "customerManaged": 0, "kmsManaged": 2, "s3Managed": 7, "unencrypted": 4, "unknown": 0 }, "publicAccess": { "effectivePermission": "NOT_PUBLIC", "permissionConfiguration": { "accountLevelPermissions": { "blockPublicAccess": { "blockPublicAcls": true, "blockPublicPolicy": true, "ignorePublicAcls": true, "restrictPublicBuckets": true } }, "bucketLevelPermissions": { "accessControlList": { "allowsPublicReadAccess": false, "allowsPublicWriteAccess": false }, "blockPublicAccess": { "blockPublicAcls": true, "blockPublicPolicy": true, "ignorePublicAcls": true, "restrictPublicBuckets": true }, "bucketPolicy": { "allowsPublicReadAccess": false, "allowsPublicWriteAccess": false } } } }, "region": "us-east-1", "replicationDetails": { "replicated": false, "replicatedExternally": false, "replicationAccounts": [] }, "sensitivityScore": 78, "serverSideEncryption": { "kmsMasterKeyId": null, "type": "NONE" }, "sharedAccess": "NOT_SHARED", "sizeInBytes": 4549746, "sizeInBytesCompressed": 0, "tags": [ { "key": "Division", "value": "HR" }, { "key": "Team", "value": "Recruiting" } ], "unclassifiableObjectCount": { "fileType": 0, "storageClass": 0, "total": 0 }, "unclassifiableObjectSizeInBytes": { "fileType": 0, "storageClass": 0, "total": 0 }, "versioning": true }, { "accountId": "123456789012", "allowsUnencryptedObjectUploads": "TRUE", "automatedDiscoveryMonitoringStatus": "MONITORED", "bucketArn": "arn:aws:s3:::amzn-s3-demo-bucket2", "bucketCreatedAt": "2020-11-25T18:24:38+00:00", "bucketName": "amzn-s3-demo-bucket2", "classifiableObjectCount": 8, "classifiableSizeInBytes": 133810, "jobDetails": { "isDefinedInJob": "TRUE", "isMonitoredByJob": "FALSE", "lastJobId": "188d4f6044d621771ef7d65f2example", "lastJobRunTime": "2024-04-09T19:37:11.511000+00:00" }, "lastAutomatedDiscoveryTime": "2024-06-07T19:11:25.364000+00:00", "lastUpdated": "2024-06-12T07:33:06.337000+00:00", "objectCount": 8, "objectCountByEncryptionType": { "customerManaged": 0, "kmsManaged": 0, "s3Managed": 8, "unencrypted": 0, "unknown": 0 }, "publicAccess": { "effectivePermission": "NOT_PUBLIC", "permissionConfiguration": { "accountLevelPermissions": { "blockPublicAccess": { "blockPublicAcls": true, "blockPublicPolicy": true, "ignorePublicAcls": true, "restrictPublicBuckets": true } }, "bucketLevelPermissions": { "accessControlList": { "allowsPublicReadAccess": false, "allowsPublicWriteAccess": false }, "blockPublicAccess": { "blockPublicAcls": true, "blockPublicPolicy": true, "ignorePublicAcls": true, "restrictPublicBuckets": true }, "bucketPolicy": { "allowsPublicReadAccess": false, "allowsPublicWriteAccess": false } } } }, "region": "us-east-1", "replicationDetails": { "replicated": false, "replicatedExternally": false, "replicationAccounts": [] }, "sensitivityScore": 95, "serverSideEncryption": { "kmsMasterKeyId": null, "type": "AES256" }, "sharedAccess": "EXTERNAL", "sizeInBytes": 175978, "sizeInBytesCompressed": 0, "tags": [ { "key": "Division", "value": "HR" }, { "key": "Team", "value": "Recruiting" } ], "unclassifiableObjectCount": { "fileType": 3, "storageClass": 0, "total": 3 }, "unclassifiableObjectSizeInBytes": { "fileType": 2999826, "storageClass": 0, "total": 2999826 }, "versioning": true } ] } ``` 如果沒有儲存貯體符合篩選條件,Macie 會傳回空`buckets`陣列。 ``` { "buckets": [] } ``` ### 範例:依儲存貯體名稱尋找儲存貯體 依儲存貯體名稱尋找儲存貯體 此範例會查詢目前 中 AWS 區域 且名稱開頭為 *my-S3* 的儲存貯體中繼資料。 針對 Linux、macOS 或 Unix: ``` $ aws macie2 describe-buckets --criteria '{"bucketName":{"prefix":"my-S3"}}' ``` 對於 Microsoft Windows: ``` C:\> aws macie2 describe-buckets --criteria={\"bucketName\":{\"prefix\":\"my-S3\"}} ``` 其中: + *bucketName* 指定**儲存貯體名稱欄位的 JSON 名稱**。 + *字首*指定字*首*運算子。 + *my-S3* 是**儲存貯體名稱**欄位的值。 ### 範例:尋找可公開存取的儲存貯體 尋找可公開存取的儲存貯體 此範例會查詢目前 AWS 區域 中儲存貯體的中繼資料,並根據許可設定的組合來公開存取。 針對 Linux、macOS 或 Unix: ``` $ aws macie2 describe-buckets --criteria '{"publicAccess.effectivePermission":{"eq":["PUBLIC"]}}' ``` 對於 Microsoft Windows: ``` C:\> aws macie2 describe-buckets --criteria={\"publicAccess.effectivePermission\":{\"eq\":[\"PUBLIC\"]}} ``` 其中: + *publicAccess.effectivePermission* 指定**有效許可**欄位的 JSON 名稱。 + *microSDHC* 會指定*等於*運算子。 + *PUBLIC* 是**有效許可**欄位的列舉值。 ### 範例:尋找存放未加密物件的儲存貯體 尋找存放未加密物件的儲存貯體 此範例會查詢目前 中儲存貯體的中繼資料, AWS 區域 並存放未加密的物件。 針對 Linux、macOS 或 Unix: ``` $ aws macie2 describe-buckets --criteria '{"objectCountByEncryptionType.unencrypted":{"gte":1}}' ``` 對於 Microsoft Windows: ``` C:\> aws macie2 describe-buckets --criteria={\"objectCountByEncryptionType.unencrypted\":{\"gte\":1}} ``` 其中: + *objectCountByEncryptionType.unencrypted* 指定**無加密**欄位的 JSON 名稱。 + *gte* 指定*大於或等於*運算子的 。 + *1* 是**無加密**欄位的包含相對數值範圍內的最低值。 ### 範例:尋找將資料複寫到外部帳戶的儲存貯體 尋找將資料複寫到外部帳戶的儲存貯體 此範例會查詢目前 中儲存貯體的中繼資料, AWS 區域 並設定為將物件複寫至不屬於您組織的 AWS 帳戶 儲存貯體。 針對 Linux、macOS 或 Unix: ``` $ aws macie2 describe-buckets --criteria '{"replicationDetails.replicatedExternally":{"eq":["true"]}}' ``` 對於 Microsoft Windows: ``` C:\> aws macie2 describe-buckets --criteria={\"replicationDetails.replicatedExternally\":{\"eq\":[\"true\"]}} ``` 其中: + *replicationDetails.replicatedExternally* 指定**外部複寫**欄位的 JSON 名稱。 + *microSDHC* 指定*等於*運算子。 + *true* 指定**外部複寫**欄位的布林值。 ### 範例:尋找不受敏感資料探索任務監控的儲存貯體 尋找不受敏感資料探索任務監控的儲存貯體 此範例會查詢目前 中 AWS 區域 且與任何定期敏感資料探索任務無關的儲存貯體中繼資料。 針對 Linux、macOS 或 Unix: ``` $ aws macie2 describe-buckets --criteria '{"jobDetails.isMonitoredByJob":{"eq":["FALSE"]}}' ``` 對於 Microsoft Windows: ``` C:\> aws macie2 describe-buckets --criteria={\"jobDetails.isMonitoredByJob\":{\"eq\":[\"FALSE\"]}} ``` 其中: + *jobDetails.isMonitoredByJob* 指定**由任務欄位主動監控**的 JSON 名稱。 + *microSDHC* 會指定*等於*運算子。 + *FALSE* 是**由任務欄位主動監控**的列舉值。 ### 範例:尋找不受自動化敏感資料探索監控的儲存貯體 尋找不受自動化敏感資料探索監控的儲存貯體 此範例會查詢目前 中儲存貯體的中繼資料, AWS 區域 並將其排除在自動化敏感資料探索之外。 針對 Linux、macOS 或 Unix: ``` $ aws macie2 describe-buckets --criteria '{"automatedDiscoveryMonitoringStatus":{"eq":["NOT_MONITORED"]}}' ``` 對於 Microsoft Windows: ``` C:\> aws macie2 describe-buckets --criteria={\"automatedDiscoveryMonitoringStatus\":{\"eq\":[\"NOT_MONITORED\"]}} ``` 其中: + *automatedDiscoveryMonitoringStatus* 指定**由自動探索欄位監控**的 JSON 名稱。 + *microSDHC* 指定*等於*運算子。 + *NOT\$1MONITORED* 是**由自動探索欄位監控**的列舉值。 ### 範例:根據多個條件尋找儲存貯體 根據多個條件尋找儲存貯體 此範例會查詢目前 中 AWS 區域 且符合下列條件之儲存貯體的中繼資料:根據許可設定的組合可公開存取;存放未加密的物件;而且不會與任何定期敏感資料探索任務相關聯。 對於 Linux、macOS 或 Unix,請使用反斜線 (\$1) 換行字元來改善可讀性: ``` $ aws macie2 describe-buckets \ --criteria '{"publicAccess.effectivePermission":{"eq":["PUBLIC"]},"objectCountByEncryptionType.unencrypted":{"gte":1},"jobDetails.isMonitoredByJob":{"eq":["FALSE"]}}' ``` 對於 Microsoft Windows,使用插入 (^) 換行字元來改善可讀性: ``` C:\> aws macie2 describe-buckets ^ --criteria={\"publicAccess.effectivePermission\":{\"eq\":[\"PUBLIC\"]},\"objectCountByEncryptionType.unencrypted\":{\"gte\":1},\"jobDetails.isMonitoredByJob\":{\"eq\":[\"FALSE\"]}} ``` 其中: + *publicAccess.effectivePermission* 指定**有效許可**欄位的 JSON 名稱,以及: + *microSDHC* 指定*等於*運算子。 + *PUBLIC* 是**有效許可**欄位的列舉值。 + *objectCountByEncryptionType.unencrypted* 指定**無加密**欄位的 JSON 名稱,以及: + *gte* 指定*大於或等於*運算子的 。 + *1* 是**無加密**欄位的包含相對數值範圍內的最低值。 + *jobDetails.isMonitoredByJob* 指定**由任務欄位主動監控**的 JSON 名稱,以及: + *microSDHC* 指定*等於*運算子。 + *FALSE* 是**由任務欄位主動監控**的列舉值。