Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Mit Macie sensible Daten entdecken
Mit Amazon Macie können Sie die Erkennung, Protokollierung und Berichterstattung sensibler Daten in Ihrem Amazon Simple Storage Service (Amazon S3) -Datenbestand automatisieren. Sie können dies auf zwei Arten tun: indem Sie Macie so konfigurieren, dass es die automatische Erkennung sensibler Daten durchführt, und indem Sie Aufträge zur Erkennung sensibler Daten erstellen und ausführen.
Die automatisierte Erkennung sensibler Daten bietet einen umfassenden Überblick darüber, wo sich sensible Daten in Ihrem Amazon S3 S3-Datenbestand befinden könnten. Mit dieser Option bewertet Macie täglich Ihr S3-Bucket-Inventar und verwendet Stichprobenverfahren, um repräsentative S3-Objekte aus Ihren Buckets zu identifizieren und auszuwählen. Macie ruft dann die ausgewählten Objekte ab, analysiert sie und untersucht sie auf sensible Daten. Weitere Informationen finden Sie unter [Durchführung einer automatisierten Erkennung sensibler Daten](discovery-asdd.md).
Aufgaben zur Erkennung sensibler Daten ermöglichen tiefere und gezieltere Analysen. Mit dieser Option definieren Sie den Umfang und die Tiefe der Analyse — spezifische S3-Buckets, die Sie auswählen, oder Buckets, die bestimmten Kriterien entsprechen. Sie können den Umfang der Analyse auch verfeinern, indem Sie Optionen wie benutzerdefinierte Kriterien auswählen, die sich aus den Eigenschaften von S3-Objekten ableiten. Darüber hinaus können Sie einen Job so konfigurieren, dass er für Analysen und Bewertungen auf Abruf nur einmal oder für regelmäßige Analysen, Bewertungen und Überwachungen regelmäßig ausgeführt wird. Weitere Informationen finden Sie unter [Ausführen von Erkennungsaufgaben für vertrauliche Daten](discovery-jobs.md).
Mit einer der beiden Optionen — automatische Erkennung vertraulicher Daten oder Erkennung vertraulicher Daten — können Sie Macie so konfigurieren, dass S3-Objekte mithilfe von bereitgestellten verwalteten Datenkennungen, von Ihnen definierten benutzerdefinierten Datenkennungen oder einer Kombination aus beidem analysiert werden. Sie können die Analyse auch mithilfe von Zulassungslisten verfeinern. Wenn Sie Einstellungen für die automatische Erkennung vertraulicher Daten oder für einen Auftrag zur Erkennung vertraulicher Daten konfigurieren, geben Sie an, welche verwendet werden sollen:
+ **Verwaltete Datenkennungen** — Dabei handelt es sich um integrierte Kriterien und Techniken, mit denen bestimmte Arten vertraulicher Daten erkannt werden können. Sie können beispielsweise Kreditkartennummern, AWS geheime Zugangsschlüssel und Passnummern für bestimmte Länder und Regionen erkennen. Sie können eine große und wachsende Liste sensibler Datentypen für viele Länder und Regionen erkennen. Dazu gehören mehrere Arten von personenbezogenen Daten (PII), Finanzinformationen und Anmeldeinformationen. Weitere Informationen finden Sie unter [Verwenden von verwalteten Datenbezeichnern](managed-data-identifiers.md).
+ **Benutzerdefinierte Datenkennungen** — Dies sind benutzerdefinierte Kriterien, die Sie definieren, um sensible Daten zu erkennen. Jeder benutzerdefinierte Datenbezeichner gibt einen regulären Ausdruck (*Regex*) an, der ein passendes Textmuster definiert, sowie optional Zeichenfolgen und eine Näherungsregel, die die Ergebnisse verfeinern. Sie können sie verwenden, um sensible Daten zu erkennen, die Ihre speziellen Szenarien, Ihr geistiges Eigentum oder Ihre eigenen Daten widerspiegeln, z. B. Mitarbeiter- IDs, Kundenkontonummern oder interne Datenklassifizierungen. Weitere Informationen finden Sie unter [Erstellen von benutzerdefinierten Datenbezeichnern](custom-data-identifiers.md).
+ **Zulassungslisten** — Diese geben Text und Textmuster an, die Macie ignorieren soll. Sie können sie verwenden, um Ausnahmen für sensible Daten für Ihre speziellen Szenarien oder Umgebungen festzulegen, z. B. öffentliche Namen oder Telefonnummern für Ihre Organisation oder Beispieldaten, die Ihre Organisation für Tests verwendet. Wenn Macie Text findet, der einem Eintrag oder einem Muster in einer Zulassungsliste entspricht, meldet Macie dieses Vorkommen von Text nicht. Dies ist auch dann der Fall, wenn der Text den Kriterien einer verwalteten oder benutzerdefinierten Daten-ID entspricht. Weitere Informationen finden Sie unter [Definition von Ausnahmen für sensible Daten mit Zulassungslisten](allow-lists.md).
Wenn Macie ein S3-Objekt analysiert, ruft Macie die neueste Version des Objekts von Amazon S3 ab und untersucht dann den Inhalt des Objekts auf sensible Daten. Macie kann ein Objekt analysieren, wenn Folgendes zutrifft:
+ Das Objekt verwendet ein unterstütztes Datei- oder Speicherformat und wird in einem S3-Allzweck-Bucket unter Verwendung einer unterstützten Speicherklasse gespeichert. Weitere Informationen finden Sie unter [Unterstützte Speicherklassen und Formate](discovery-supported-storage.md).
+ Wenn das Objekt verschlüsselt ist, ist es mit einem Schlüssel verschlüsselt, auf den Macie zugreifen kann und den er verwenden darf. Weitere Informationen finden Sie unter [Analysieren verschlüsselter S3-Objekte](discovery-supported-encryption-types.md).
+ Wenn das Objekt in einem Bucket gespeichert ist, für den eine restriktive Bucket-Richtlinie gilt, ermöglicht die Richtlinie Macie den Zugriff auf Objekte im Bucket. Weitere Informationen finden Sie unter [Macie darf auf S3-Buckets und -Objekte zugreifen](monitoring-restrictive-s3-buckets.md).
Um Ihnen zu helfen, Ihre Anforderungen an Datensicherheit und Datenschutz zu erfüllen und aufrechtzuerhalten, erstellt Macie Aufzeichnungen über die gefundenen sensiblen Daten und die durchgeführten Analysen — Ergebnisse *sensibler Daten und Ergebnisse* der *Entdeckung sensibler Daten*. Ein *Ergebnis vertraulicher Daten* ist ein detaillierter Bericht über sensible Daten, die Macie in einem S3-Objekt gefunden hat. Ein *Erkennungsergebnis für vertrauliche Daten* ist ein Datensatz, der Details zur Analyse eines Objekts protokolliert. Jeder Datensatztyp folgt einem standardisierten Schema, das Ihnen helfen kann, sie abzufragen, zu überwachen und zu verarbeiten, indem Sie bei Bedarf andere Anwendungen, Dienste und Systeme verwenden.
**Tipp**
Obwohl Macie für Amazon S3 optimiert ist, können Sie damit sensible Daten in Ressourcen entdecken, die Sie derzeit woanders speichern. Sie können dies tun, indem Sie die Daten vorübergehend oder dauerhaft nach Amazon S3 verschieben. Exportieren Sie beispielsweise Amazon Relational Database Service- oder Amazon Aurora Aurora-Snapshots im Apache Parquet-Format nach Amazon S3. Oder exportieren Sie eine Amazon DynamoDB-Tabelle nach Amazon S3. Anschließend können Sie einen Job erstellen, um die Daten in Amazon S3 zu analysieren.
**Topics**
+ [Verwenden von verwalteten Datenbezeichnern](managed-data-identifiers.md)
+ [Erstellen von benutzerdefinierten Datenbezeichnern](custom-data-identifiers.md)
+ [Definition von Ausnahmen für sensible Daten mit Zulassungslisten](allow-lists.md)
+ [Durchführung einer automatisierten Erkennung sensibler Daten](discovery-asdd.md)
+ [Ausführen von Erkennungsaufgaben für vertrauliche Daten](discovery-jobs.md)
+ [Analysieren verschlüsselter S3-Objekte](discovery-supported-encryption-types.md)
+ [Speicherung und Beibehaltung der Erkennungsergebnisse von vertraulichen Daten](discovery-results-repository-s3.md)
+ [Unterstützte Speicherklassen und Formate](discovery-supported-storage.md)
# Verwenden von verwalteten Datenbezeichnern
Amazon Macie verwendet eine Kombination von Kriterien und Techniken, darunter maschinelles Lernen und Musterabgleich, um sensible Daten in Amazon Simple Storage Service (Amazon S3) -Objekten zu erkennen. Diese Kriterien und Techniken, die zusammenfassend als *verwaltete Datenkennungen* bezeichnet werden, können eine große und wachsende Liste sensibler Datentypen für viele Länder und Regionen erkennen, darunter mehrere Arten von Anmeldedaten, Finanzinformationen, persönlichen Gesundheitsinformationen (PHI) und personenbezogenen Daten (PII). Jeder verwaltete Datenbezeichner ist darauf ausgelegt, eine bestimmte Art sensibler Daten zu erkennen, z. B. AWS geheime Zugangsschlüssel, Kreditkartennummern oder Passnummern für ein bestimmtes Land oder eine bestimmte Region.
Macie kann mithilfe verwalteter Datenkennungen die folgenden Kategorien sensibler Daten erkennen:
+ Anmeldeinformationen für Anmeldedaten wie private Schlüssel und AWS geheime Zugriffsschlüssel.
+ Finanzinformationen, für Finanzdaten wie Kreditkartennummern und Bankkontonummern.
+ Personenbezogene Daten für PHI wie Krankenversicherungs- und medizinische Identifikationsnummern und PII wie Führerschein-Identifikationsnummern und Passnummern.
Innerhalb jeder Kategorie kann Macie mehrere Arten sensibler Daten erkennen. In den Themen in diesem Abschnitt werden die einzelnen Arten und alle relevanten Anforderungen für deren Erkennung aufgeführt und beschrieben. Für jede Art geben sie auch die eindeutige Kennung (ID) für die verwaltete Datenkennung an, die für die Erkennung der Daten konzipiert ist. Wenn Sie [einen Job zur Erkennung vertraulicher Daten erstellen](discovery-jobs-create.md) oder [Einstellungen für die automatische Erkennung vertraulicher Daten konfigurieren](discovery-asdd-account-configure.md), können Sie IDs damit angeben, welche verwalteten Datenbezeichner Macie bei der Analyse von S3-Objekten verwenden soll.
**Topics**
+ [Anforderungen an Schlüsselwörter](managed-data-identifiers-keywords.md)
+ [Kurzreferenz nach sensiblem Datentyp](mdis-reference-quick.md)
+ [Detaillierte Referenz nach Kategorien sensibler Daten](mdis-reference.md)
Eine Liste der verwalteten Datenbezeichner, die wir für Jobs empfehlen, finden Sie unter. [Verwaltete Datenkennungen werden für Aufgaben zur Erkennung sensibler Daten empfohlen](discovery-jobs-mdis-recommended.md) Eine Liste der Identifikatoren verwalteter Daten, die wir empfehlen und die standardmäßig für die automatische Erkennung sensibler Daten verwendet werden, finden Sie unter. [Standardeinstellungen für die automatische Erkennung sensibler Daten](discovery-asdd-settings-defaults.md)
# Schlüsselwortanforderungen für verwaltete Datenkennungen
Um bestimmte Arten vertraulicher Daten mithilfe verwalteter Datenkennungen zu erkennen, verlangt Amazon Macie, dass sich ein Schlüsselwort in der Nähe der Daten befindet. Wenn dies bei einem bestimmten Datentyp der Fall ist, geben die Referenzthemen in diesem Abschnitt die Schlüsselwortanforderungen für diese Daten an.
Wenn ein Schlüsselwort in der Nähe eines bestimmten Datentyps stehen muss, muss das Schlüsselwort in der Regel nicht weiter als 30 Zeichen (einschließlich) von den Daten abweichen. Zusätzliche Näherungsanforderungen variieren je nach Dateityp oder Speicherformat eines Amazon Simple Storage Service (Amazon S3) -Objekts.
**Strukturierte spaltenförmige Daten**
Bei spaltenförmigen Daten muss ein Schlüsselwort Teil desselben Werts oder im Namen der Spalte oder des Felds sein, in dem ein Wert gespeichert ist. Dies ist bei Microsoft Excel-Arbeitsmappen, CSV-Dateien und TSV-Dateien der Fall.
Wenn der Wert für ein Feld beispielsweise sowohl *SSN* als auch eine neunstellige Zahl enthält, die die Syntax einer US-Sozialversicherungsnummer (SSN) verwendet, kann Macie die SSN in dem Feld erkennen. Ebenso kann Macie jede SSN in der Spalte erkennen, wenn der Name einer Spalte *SSN* enthält. *Macie behandelt die Werte in dieser Spalte so, als ob sie sich in der Nähe des Schlüsselworts SSN befinden.*
**Strukturierte datensatzbasierte Daten**
Bei datensatzbasierten Daten muss ein Schlüsselwort Teil desselben Werts oder im Namen eines Elements im Pfad zu dem Feld oder Array sein, in dem ein Wert gespeichert ist. Dies ist bei Apache Avro-Objektcontainern, Apache Parquet-Dateien, JSON-Dateien und JSON Lines-Dateien der Fall.
Wenn der Wert für ein Feld beispielsweise sowohl *Anmeldeinformationen* als auch eine Zeichenfolge enthält, die die Syntax eines AWS geheimen Zugriffsschlüssels verwendet, kann Macie den Schlüssel in dem Feld erkennen. Ähnlich kann Macie, wenn der Pfad zu einem Feld lautet`$.credentials.aws.key`, einen AWS geheimen Zugriffsschlüssel in dem Feld erkennen. *Macie behandelt den Wert im Feld so, als ob er sich in der Nähe des Schlüsselworts Credentials befindet.*
**Unstrukturierte Daten**
Bei unstrukturierten Daten muss ein Schlüsselwort in der Regel nicht mehr als 30 Zeichen (einschließlich) von den Daten abweichen. Es gibt keine zusätzlichen Anforderungen an die Nähe. Dies ist bei Dateien im Adobe Portable Document Format, Microsoft Word-Dokumenten, E-Mail-Nachrichten und nicht binären Textdateien mit Ausnahme von CSV-, JSON-, JSON Lines- und TSV-Dateien der Fall. Dies schließt alle strukturierten Daten wie Tabellen oder XML in diesen Dateitypen ein.
Bei Schlüsselwörtern muss die Groß- und Kleinschreibung nicht beachtet werden. Wenn ein Schlüsselwort ein Leerzeichen enthält, sucht Macie außerdem automatisch nach Schlüsselwortvarianten, die das Leerzeichen nicht enthalten oder anstelle des Leerzeichens einen Unterstrich (\$1) oder einen Bindestrich (-) enthalten. In bestimmten Fällen erweitert oder kürzt Macie ein Schlüsselwort auch ab, um häufig verwendete Varianten des Schlüsselworts zu berücksichtigen.
Sehen Sie sich das folgende Video an, um zu zeigen, wie Schlüsselwörter Kontext bieten und Macie dabei helfen, bestimmte Arten vertraulicher Daten zu erkennen:
# Kurzübersicht: Verwaltete Datenkennungen nach Typ
In Amazon Macie besteht eine *verwaltete Daten-ID* aus einer Reihe integrierter Kriterien und Techniken, die darauf ausgelegt sind, eine bestimmte Art vertraulicher Daten zu erkennen, z. B. Kreditkartennummern, AWS geheime Zugangsschlüssel oder Passnummern für ein bestimmtes Land oder eine bestimmte Region. Diese Identifikatoren können eine große und wachsende Liste sensibler Datentypen für viele Länder und Regionen erkennen, darunter mehrere Arten von Anmeldedaten, Finanzinformationen, persönlichen Gesundheitsinformationen (PHI) und persönlich identifizierbaren Informationen (PII).
In der folgenden Tabelle sind alle verwalteten Datenkennungen aufgeführt, die Macie derzeit bereitstellt, geordnet nach sensiblen Datentypen. Für jeden Typ werden die folgenden Informationen bereitgestellt:
+ **Kategorie sensibler Daten** — Gibt die allgemeine Kategorie sensibler Daten an, zu der folgende Typen gehören: *Anmeldeinformationen* für Anmeldeinformationen wie private Schlüssel; *Finanzinformationen* für Finanzdaten wie Kreditkartennummern und Bankkontonummern; *Persönliche Informationen: PHI* für persönliche Gesundheitsinformationen wie Krankenversicherungs- und medizinische Identifikationsnummern; und, *Persönliche Informationen: PII* für persönlich identifizierbare Informationen wie Führerschein-Identifikationsnummern und Reisepassnummern.
+ **ID für verwaltete Daten** — Gibt die eindeutige Kennung (ID) für eine oder mehrere verwaltete Datenkennungen an, mit denen die Daten erkannt werden sollen. Wenn Sie einen Auftrag zur Erkennung vertraulicher Daten erstellen oder Einstellungen für die automatische Erkennung vertraulicher Daten konfigurieren, können Sie IDs damit angeben, welche verwalteten Datenkennungen Macie bei der Datenanalyse verwenden soll. Eine Liste der verwalteten Datenbezeichner, die wir für Jobs empfehlen, finden Sie unter. [Verwaltete Datenkennungen werden für Aufgaben zur Erkennung sensibler Daten empfohlen](discovery-jobs-mdis-recommended.md) Eine Liste der verwalteten Datenbezeichner, die wir für die automatische Erkennung sensibler Daten empfehlen, finden Sie unter. [Standardeinstellungen für die automatische Erkennung sensibler Daten](discovery-asdd-settings-defaults.md)
+ **Schlüsselwort erforderlich** — Gibt an, ob die Erkennung erfordert, dass sich ein Schlüsselwort in der Nähe der Daten befindet. Hinweise dazu, wie Macie bei der Datenanalyse Schlüsselwörter verwendet, finden Sie unter[Anforderungen an Schlüsselwörter](managed-data-identifiers-keywords.md).
+ **Länder und Regionen** — Gibt an, für welche Länder und Regionen die entsprechenden Identifikatoren für verwaltete Daten konzipiert sind. *Wenn die verwalteten Datenkennungen nicht für bestimmte Länder und Regionen konzipiert sind, ist dieser Wert „Beliebig“.*
Um zusätzliche Details zu den verwalteten Datenkennungen für einen bestimmten Typ vertraulicher Daten zu überprüfen, wählen Sie den Typ aus.
| Vertraulicher Datentyp | Kategorie sensibler Daten | ID der verwalteten Datenkennung | Schlüsselwort erforderlich | Länder und Regionen |
| --- | --- | --- | --- | --- |
| [AWS geheimer Zugriffsschlüssel](mdis-reference-credentials.md#mdis-reference-AWS-CREDENTIALS) | Anmeldeinformationen | AWS\$1CREDENTIALS | Ja | Any |
| [Bankkontonummer](mdis-reference-financial.md#mdis-reference-BAN) | Finanzinformationen | BANK\$1ACCOUNT\$1NUMBER (sowohl für Kanada als auch für die USA) | Ja | Kanada, USA |
| [Grundlegende Bankkontonummer (BBAN)](mdis-reference-financial.md#mdis-reference-BBAN) | Finanzinformationen | Je nach Land oder Region: FRANCE\$1BANK\$1ACCOUNT\$1NUMBER, GERMANY\$1BANK\$1ACCOUNT\$1NUMBER, ITALY\$1BANK\$1ACCOUNT\$1NUMBER, SPAIN\$1BANK\$1ACCOUNT\$1NUMBER, UK\$1BANK\$1ACCOUNT\$1NUMBER | Ja | Frankreich, Deutschland, Italien, Spanien, Vereinigtes Königreich |
| [Geburtsdatum](mdis-reference-pii.md#mdis-reference-DATE_OF_BIRTH) | Persönliche Informationen: PII | DATE\$1OF\$1BIRTH | Ja | Any |
| [Ablaufdatum der Kreditkarte](mdis-reference-financial.md#mdis-reference-CC-expiration) | Finanzinformationen | CREDIT\$1CARD\$1EXPIRATION | Ja | Any |
| [Magnetstreifendaten der Kreditkarte](mdis-reference-financial.md#mdis-reference-CC-stripe) | Finanzinformationen | CREDIT\$1CARD\$1MAGNETIC\$1STRIPE | Ja | Any |
| [Kreditkartennummer](mdis-reference-financial.md#mdis-reference-CC-number) | Finanzinformationen | CREDIT\$1CARD\$1NUMBER (für Kreditkartennummern in der Nähe eines Schlüsselworts), CREDIT\$1CARD\$1NUMBER\$1(NO\$1KEYWORD) (für Kreditkartennummern, die nicht in der Nähe eines Schlüsselworts liegen) | Variiert | Any |
| [Bestätigungscode für die Kreditkarte](mdis-reference-financial.md#mdis-reference-CC-verification-code) | Finanzinformationen | CREDIT\$1CARD\$1SECURITY\$1CODE | Ja | Any |
| [Identifikationsnummer des Führerscheins](mdis-reference-pii.md#mdis-reference-DL-num) | Personenbezogene Daten: PII | Je nach Land oder Region: AUSTRALIA\$1DRIVERS\$1LICENSE, AUSTRIA\$1DRIVERS\$1LICENSE, BELGIUM\$1DRIVERS\$1LICENSE, BULGARIA\$1DRIVERS\$1LICENSE, CANADA\$1DRIVERS\$1LICENSE, CROATIA\$1DRIVERS\$1LICENSE, CYPRUS\$1DRIVERS\$1LICENSE, CZECHIA\$1DRIVERS\$1LICENSE, DENMARK\$1DRIVERS\$1LICENSE, DRIVERS\$1LICENSE (for the US), ESTONIA\$1DRIVERS\$1LICENSE, FINLAND\$1DRIVERS\$1LICENSE, FRANCE\$1DRIVERS\$1LICENSE, GERMANY\$1DRIVERS\$1LICENSE, GREECE\$1DRIVERS\$1LICENSE, HUNGARY\$1DRIVERS\$1LICENSE, INDIA\$1DRIVERS\$1LICENSE, IRELAND\$1DRIVERS\$1LICENSE, ITALY\$1DRIVERS\$1LICENSE, LATVIA\$1DRIVERS\$1LICENSE, LITHUANIA\$1DRIVERS\$1LICENSE, LUXEMBOURG\$1DRIVERS\$1LICENSE, MALTA\$1DRIVERS\$1LICENSE, NETHERLANDS\$1DRIVERS\$1LICENSE, POLAND\$1DRIVERS\$1LICENSE, PORTUGAL\$1DRIVERS\$1LICENSE, ROMANIA\$1DRIVERS\$1LICENSE, SLOVAKIA\$1DRIVERS\$1LICENSE, SLOVENIA\$1DRIVERS\$1LICENSE, SPAIN\$1DRIVERS\$1LICENSE, SWEDEN\$1DRIVERS\$1LICENSE, UK\$1DRIVERS\$1LICENSE | Ja | Australien, Österreich, Belgien, Bulgarien, Kanada, Kroatien, Zypern, Tschechische Republik, Dänemark, Estland, Finnland, Frankreich, Deutschland, Griechenland, Ungarn, Indien, Irland, Italien, Lettland, Litauen, Luxemburg, Malta, Niederlande, Polen, Portugal, Rumänien, Slowakei, Slowenien, Spanien, Schweden, Großbritannien, USA |
| [Registrierungsnummer der Drug Enforcement Agency (DEA)](mdis-reference-phi.md#mdis-reference-DEA-registration-num) | Persönliche Informationen: PHI | US\$1DRUG\$1ENFORCEMENT\$1AGENCY\$1NUMBER | Ja | US |
| [Nummer der Wählerliste](mdis-reference-pii.md#mdis-reference-electoral-roll-num) | Persönliche Informationen: PII | UK\$1ELECTORAL\$1ROLL\$1NUMBER | Ja | UK |
| [Vollständiger Name](mdis-reference-pii.md#mdis-reference-full-name) | Persönliche Informationen: PII | NAME | Nein | Beliebig, wenn der Name einen lateinischen Zeichensatz verwendet |
| [Koordinaten des Global Positioning Systems (GPS)](mdis-reference-pii.md#mdis-reference-GPS) | Persönliche Informationen: PII | LATITUDE\$1LONGITUDE | Ja | Beliebig, wenn sich die Koordinaten in der Nähe eines englischen Schlüsselworts befinden |
| [Google Cloud-API-Schlüssel](mdis-reference-credentials.md#mdis-reference-GCP-API-key) | Anmeldeinformationen | GCP\$1API\$1KEY | Ja | Any |
| [Krankenversicherungsantragsnummer (HICN)](mdis-reference-phi.md#mdis-reference-HICN) | Persönliche Informationen: PHI | USA\$1HEALTH\$1INSURANCE\$1CLAIM\$1NUMBER | Ja | US |
| [Krankenversicherungs- oder medizinische Identifizierungsnummer](mdis-reference-phi.md#mdis-reference-HI-ID) | Persönliche Informationen: PHI | Je nach Land oder Region: CANADA\$1HEALTH\$1NUMBER, EUROPEAN\$1HEALTH\$1INSURANCE\$1CARD\$1NUMBER, FINLAND\$1EUROPEAN\$1HEALTH\$1INSURANCE\$1NUMBER, FRANCE\$1HEALTH\$1INSURANCE\$1NUMBER, UK\$1NHS\$1NUMBER, USA\$1MEDICARE\$1BENEFICIARY\$1IDENTIFIER | Ja | Kanada, EU, Finnland, Frankreich, Großbritannien, USA |
| [Code des HCPCS (Common Procedure Coding System) für das Gesundheitswesen](mdis-reference-phi.md#mdis-reference-HCPCS) | Persönliche Informationen: PHI | USA\$1HEALTHCARE\$1PROCEDURE\$1CODE | Ja | US |
| [Header für die grundlegende HTTP-Autorisierung](mdis-reference-credentials.md#mdis-reference-HTTP_BASIC_AUTH_HEADER) | Anmeldeinformationen | HTTP\$1BASIC\$1AUTH\$1HEADER | Nein | Any |
| [HTTP-Cookie](mdis-reference-pii.md#mdis-reference-HTTP_COOKIE) | Persönliche Informationen: PII | HTTP\$1COOKIE | Nein | Any |
| [Internationale Bankkontonummer (IBAN)](mdis-reference-financial.md#mdis-reference-IBAN) | Finanzinformationen | Je nach Land oder Region: ALBANIA\$1BANK\$1ACCOUNT\$1NUMBER, ANDORRA\$1BANK\$1ACCOUNT\$1NUMBER, BOSNIA\$1AND\$1HERZEGOVINA\$1BANK\$1ACCOUNT\$1NUMBER, BRAZIL\$1BANK\$1ACCOUNT\$1NUMBER, BULGARIA\$1BANK\$1ACCOUNT\$1NUMBER, COSTA\$1RICA\$1BANK\$1ACCOUNT\$1NUMBER, CROATIA\$1BANK\$1ACCOUNT\$1NUMBER, CYPRUS\$1BANK\$1ACCOUNT\$1NUMBER, CZECH\$1REPUBLIC\$1BANK\$1ACCOUNT\$1NUMBER, DENMARK\$1BANK\$1ACCOUNT\$1NUMBER, DOMINICAN\$1REPUBLIC\$1BANK\$1ACCOUNT\$1NUMBER, EGYPT\$1BANK\$1ACCOUNT\$1NUMBER, ESTONIA\$1BANK\$1ACCOUNT\$1NUMBER, FAROE\$1ISLANDS\$1BANK\$1ACCOUNT\$1NUMBER, FINLAND\$1BANK\$1ACCOUNT\$1NUMBER, FRANCE\$1BANK\$1ACCOUNT\$1NUMBER, GEORGIA\$1BANK\$1ACCOUNT\$1NUMBER, GERMANY\$1BANK\$1ACCOUNT\$1NUMBER, GREECE\$1BANK\$1ACCOUNT\$1NUMBER, GREENLAND\$1BANK\$1ACCOUNT\$1NUMBER, HUNGARY\$1BANK\$1ACCOUNT\$1NUMBER, ICELAND\$1BANK\$1ACCOUNT\$1NUMBER, IRELAND\$1BANK\$1ACCOUNT\$1NUMBER, ITALY\$1BANK\$1ACCOUNT\$1NUMBER, JORDAN\$1BANK\$1ACCOUNT\$1NUMBER, KOSOVO\$1BANK\$1ACCOUNT\$1NUMBER, LIECHTENSTEIN\$1BANK\$1ACCOUNT\$1NUMBER, LITHUANIA\$1BANK\$1ACCOUNT\$1NUMBER, MALTA\$1BANK\$1ACCOUNT\$1NUMBER, MAURITANIA\$1BANK\$1ACCOUNT\$1NUMBER, MAURITIUS\$1BANK\$1ACCOUNT\$1NUMBER, MONACO\$1BANK\$1ACCOUNT\$1NUMBER, MONTENEGRO\$1BANK\$1ACCOUNT\$1NUMBER, NETHERLANDS\$1BANK\$1ACCOUNT\$1NUMBER, NORTH\$1MACEDONIA\$1BANK\$1ACCOUNT\$1NUMBER, POLAND\$1BANK\$1ACCOUNT\$1NUMBER, PORTUGAL\$1BANK\$1ACCOUNT\$1NUMBER, SAN\$1MARINO\$1BANK\$1ACCOUNT\$1NUMBER, SENEGAL\$1BANK\$1ACCOUNT\$1NUMBER, SERBIA\$1BANK\$1ACCOUNT\$1NUMBER, SLOVAKIA\$1BANK\$1ACCOUNT\$1NUMBER, SLOVENIA\$1BANK\$1ACCOUNT\$1NUMBER, SPAIN\$1BANK\$1ACCOUNT\$1NUMBER, SWEDEN\$1BANK\$1ACCOUNT\$1NUMBER, SWITZERLAND\$1BANK\$1ACCOUNT\$1NUMBER, TIMOR\$1LESTE\$1BANK\$1ACCOUNT\$1NUMBER, TUNISIA\$1BANK\$1ACCOUNT\$1NUMBER, TURKIYE\$1BANK\$1ACCOUNT\$1NUMBER, UK\$1BANK\$1ACCOUNT\$1NUMBER, UKRAINE\$1BANK\$1ACCOUNT\$1NUMBER, UNITED\$1ARAB\$1EMIRATES\$1BANK\$1ACCOUNT\$1NUMBER, VIRGIN\$1ISLANDS\$1BANK\$1ACCOUNT\$1NUMBER (für die Britische Jungferninseln) | Nein | Albanien, Andorra, Bosnien-Herzegowina, Brasilien, Bulgarien, Costa Rica, Dänemark, Dominikanische Tschechische Republik, Ägypten, Estland, Färöer, Finnland, Frankreich, Georgien, Deutschland, Griechenland, Grönland, Kroatien, Ungarn, Irland, Island, Italien, Jordanien, Kosovo, Liechtenstein, Litauen, Malta, Mauretanien, Mauretanien, Mauretanien, Mauritius, Monaco, Montenegro, Niederlande, Nordmazedonien, Polen, Portugal, San Marino, Senegal, Serbien, Slowakei, Slowenien, Spanien, Schweden, Schweiz, Timor-Leste, Tunesien, Türkiye, Großbritannien, Ukraine, Vereinigte Arabische Emirate, Britische Jungferninseln |
| [JSON-Webtoken (JWT)](mdis-reference-credentials.md#mdis-reference-JSON_WEB_TOKEN) | Anmeldeinformationen | JSON\$1WEB\$1TOKEN | Nein | Any |
| [Postanschrift](mdis-reference-pii.md#mdis-reference-mailing-address) | Persönliche Informationen: PII | ADDRESS, BRAZIL\$1CEP\$1CODE (für den brasilianischen Code de Endereçamento Postal) | Variiert | Australien, Brasilien, Kanada, Frankreich, Deutschland, Italien, Spanien, Großbritannien, USA |
| [Nationaler Drogenkodex (NDC)](mdis-reference-phi.md#mdis-reference-NDC) | Persönliche Informationen: PHI | USA\$1NATIONAL\$1DRUG\$1CODE | Ja | US |
| [Nationale Identifikationsnummern](mdis-reference-pii.md#mdis-reference-national-id) | Persönliche Informationen: PII | Je nach Land oder Region: ARGENTINA\$1DNI\$1NUMBER, BRAZIL\$1RG\$1NUMBER, CHILE\$1RUT\$1NUMBER, COLOMBIA\$1CITIZENSHIP\$1CARD\$1NUMBER, FRANCE\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, GERMANY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, INDIA\$1AADHAAR\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, MEXICO\$1CURP\$1NUMBER, SPAIN\$1DNI\$1NUMBER | Ja | Argentinien, Brasilien, Chile, Deutschland, Frankreich, Indien, Italien, Kolumbien, Mexiko, Spanien |
| [Nationale Versicherungsnummer (NINO)](mdis-reference-pii.md#mdis-reference-NINO) | Persönliche Informationen: PII | UK\$1NATIONAL\$1INSURANCE\$1NUMBER | Ja | UK |
| [Nationale Anbieterkennzeichnung (NPI)](mdis-reference-phi.md#mdis-reference-NPI) | Persönliche Informationen: PHI | USA\$1NATIONAL\$1PROVIDER\$1IDENTIFIER | Ja | US |
| [Privater OpenSSH-Schlüssel](mdis-reference-credentials.md#mdis-reference-OPENSSH_PRIVATE_KEY) | Anmeldeinformationen | OPENSSH\$1PRIVATE\$1KEY | Nein | Any |
| [Passnummer](mdis-reference-pii.md#mdis-reference-passport-num) | Persönliche Informationen: PII | Je nach Land oder Region: CANADA\$1PASSPORT\$1NUMBER, FRANCE\$1PASSPORT\$1NUMBER, GERMANY\$1PASSPORT\$1NUMBER, ITALY\$1PASSPORT\$1NUMBER, SPAIN\$1PASSPORT\$1NUMBER, UK\$1PASSPORT\$1NUMBER, USA\$1PASSPORT\$1NUMBER | Ja | Kanada, Frankreich, Deutschland, Italien, Spanien, Vereinigtes Königreich, USA |
| [Ständige Wohnsitznummer](mdis-reference-pii.md#mdis-reference-permanent-residence-num) | Persönliche Informationen: PII | CANADA\$1NATIONAL\$1IDENTIFICATION\$1NUMBER | Ja | Kanada |
| [Privater PGP-Schlüssel](mdis-reference-credentials.md#mdis-reference-PGP_PRIVATE_KEY) | Anmeldeinformationen | PGP\$1PRIVATE\$1KEY | Nein | Any |
| [Phone number (Telefonnummer)](mdis-reference-pii.md#mdis-reference-phone-num) | Persönliche Informationen: PII | Je nach Land oder Region: BRAZIL\$1PHONE\$1NUMBER, FRANCE\$1PHONE\$1NUMBER, GERMANY\$1PHONE\$1NUMBER, ITALY\$1PHONE\$1NUMBER, PHONE\$1NUMBER (for Canada and the US), SPAIN\$1PHONE\$1NUMBER, UK\$1PHONE\$1NUMBER | Variiert | Brasilien, Kanada, Frankreich, Deutschland, Italien, Spanien, Vereinigtes Königreich, USA |
| [Privater Schlüssel nach dem Public Key Cryptography Standard (PKCS)](mdis-reference-credentials.md#mdis-reference-PKCS) | Anmeldeinformationen | PKCS | Nein | Any |
| [Kartennummer für öffentliche Verkehrsmittel](mdis-reference-pii.md#mdis-reference-public-transport-num) | Persönliche Informationen: PII | ARGENTINA\$1TARJETA\$1SUBE | Ja | Argentinien |
| [Privater PuTTY-Schlüssel](mdis-reference-credentials.md#mdis-reference-PUTTY_PRIVATE_KEY) | Anmeldeinformationen | PUTTY\$1PRIVATE\$1KEY | Nein | Any |
| [Sozialversicherungsnummer (SIN)](mdis-reference-pii.md#mdis-reference-social-insurance-num) | Persönliche Informationen: PII | CANADA\$1SOCIAL\$1INSURANCE\$1NUMBER | Ja | Kanada |
| [Sozialversicherungsnummer (SSN)](mdis-reference-pii.md#mdis-reference-social-security-num) | Persönliche Informationen: PII | Je nach Land oder Region: SPAIN\$1SOCIAL\$1SECURITY\$1NUMBER, USA\$1SOCIAL\$1SECURITY\$1NUMBER | Ja | Spanien, USA |
| [Stripe-API-Schlüssel](mdis-reference-credentials.md#mdis-reference-Stripe_API_key) | Anmeldeinformationen | STRIPE\$1CREDENTIALS | Nein | Any |
| [Steuerpflichtigen-Identifikationsnummer oder Referenznummer](mdis-reference-pii.md#mdis-reference-taxpayer-num) | Persönliche Informationen: PII | Je nach Land oder Region: ARGENTINA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER, ARGENTINA\$1ORGANIZATION\$1TAX\$1IDENTIFICATION\$1NUMBER, AUSTRALIA\$1TAX\$1FILE\$1NUMBER, BRAZIL\$1CNPJ\$1NUMBER, BRAZIL\$1CPF\$1NUMBER, CHILE\$1RUT\$1NUMBER, COLOMBIA\$1INDIVIDUAL\$1NIT\$1NUMBER, COLOMBIA\$1ORGANIZATION\$1NIT\$1NUMBER, FRANCE\$1TAX\$1IDENTIFICATION\$1NUMBER, GERMANY\$1TAX\$1IDENTIFICATION\$1NUMBER, INDIA\$1PERMANENT\$1ACCOUNT\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, MEXICO\$1INDIVIDUAL\$1RFC\$1NUMBER, MEXICO\$1ORGANIZATION\$1RFC\$1NUMBER, SPAIN\$1NIE\$1NUMBER, SPAIN\$1NIF\$1NUMBER, SPAIN\$1TAX\$1IDENTIFICATION\$1NUMBER, UK\$1TAX\$1IDENTIFICATION\$1NUMBER, USA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER | Ja | Argentinien, Australien, Brasilien, Chile, Deutschland, Frankreich, Indien, Italien, Kolumbien, Mexiko, Spanien, Großbritannien, USA |
| [Eindeutige Gerätekennung (UDI)](mdis-reference-phi.md#mdis-reference-UDI) | Persönliche Informationen: PHI | MEDICAL\$1DEVICE\$1UDI | Ja | US |
| [Fahrzeugidentifikationsnummer (VIN)](mdis-reference-pii.md#mdis-reference-vin) | Persönliche Informationen: PII | VEHICLE\$1IDENTIFICATION\$1NUMBER | Ja | Beliebig, wenn sich die VIN in der Nähe eines Schlüsselworts in einer der folgenden Sprachen befindet: Englisch, Französisch, Deutsch, Litauisch, Polnisch, Portugiesisch, Rumänisch oder Spanisch |
# Detaillierte Referenz: Verwaltete Datenkennungen nach Kategorien
Bei Amazon Macie handelt es sich bei *verwalteten Datenkennungen* um integrierte Kriterien und Techniken, mit denen bestimmte Arten vertraulicher Daten erkannt werden sollen. Sie können eine große und ständig wachsende Liste sensibler Datentypen für viele Länder und Regionen erkennen, darunter mehrere Arten von Anmeldeinformationen, Finanzinformationen und persönlichen Informationen. Jeder verwaltete Datenbezeichner ist darauf ausgelegt, eine bestimmte Art sensibler Daten zu erkennen, z. B. AWS geheime Zugangsschlüssel, Kreditkartennummern oder Passnummern für ein bestimmtes Land oder eine bestimmte Region.
Macie kann mithilfe verwalteter Datenkennungen mehrere Kategorien sensibler Daten erkennen. Innerhalb jeder Kategorie kann Macie mehrere Arten sensibler Daten erkennen. In den Themen in diesem Abschnitt werden die einzelnen Typen sowie alle relevanten Anforderungen für die Erkennung der Daten aufgeführt und beschrieben. Sie können die Themen nach Kategorien durchsuchen:
+ [Anmeldeinformationen](mdis-reference-credentials.md) — Für Anmeldedaten wie private Schlüssel und AWS geheime Zugriffsschlüssel.
+ [Finanzinformationen](mdis-reference-financial.md) — Für Finanzdaten wie Kreditkartennummern und Bankkontonummern.
+ [Persönliche Daten: PHI](mdis-reference-phi.md) — Für persönliche Gesundheitsinformationen (PHI) wie Krankenversicherungs- und medizinische Identifikationsnummern.
+ [Persönliche Daten: PII](mdis-reference-pii.md) — Für persönlich identifizierbare Informationen (PII) wie Führerschein-Identifikationsnummern und Passnummern.
Oder wählen Sie einen bestimmten Typ sensibler Daten aus der folgenden Tabelle aus. In der Tabelle sind alle verwalteten Datenbezeichner aufgeführt, die Macie derzeit bereitstellt, geordnet nach vertraulichen Datentypen. In der Tabelle sind auch die relevanten Anforderungen für die Erkennung der einzelnen Typen zusammengefasst.
| Vertraulicher Datentyp | Kategorie sensibler Daten | ID der verwalteten Datenkennung | Schlüsselwort erforderlich | Länder und Regionen |
| --- | --- | --- | --- | --- |
| [AWS geheimer Zugriffsschlüssel](mdis-reference-credentials.md#mdis-reference-AWS-CREDENTIALS) | Anmeldeinformationen | AWS\$1CREDENTIALS | Ja | Any |
| [Bankkontonummer](mdis-reference-financial.md#mdis-reference-BAN) | Finanzinformationen | BANK\$1ACCOUNT\$1NUMBER (sowohl für Kanada als auch für die USA) | Ja | Kanada, USA |
| [Grundlegende Bankkontonummer (BBAN)](mdis-reference-financial.md#mdis-reference-BBAN) | Finanzinformationen | Je nach Land oder Region: FRANCE\$1BANK\$1ACCOUNT\$1NUMBER, GERMANY\$1BANK\$1ACCOUNT\$1NUMBER, ITALY\$1BANK\$1ACCOUNT\$1NUMBER, SPAIN\$1BANK\$1ACCOUNT\$1NUMBER, UK\$1BANK\$1ACCOUNT\$1NUMBER | Ja | Frankreich, Deutschland, Italien, Spanien, Vereinigtes Königreich |
| [Geburtsdatum](mdis-reference-pii.md#mdis-reference-DATE_OF_BIRTH) | Persönliche Informationen: PII | DATE\$1OF\$1BIRTH | Ja | Any |
| [Ablaufdatum der Kreditkarte](mdis-reference-financial.md#mdis-reference-CC-expiration) | Finanzinformationen | CREDIT\$1CARD\$1EXPIRATION | Ja | Any |
| [Magnetstreifendaten der Kreditkarte](mdis-reference-financial.md#mdis-reference-CC-stripe) | Finanzinformationen | CREDIT\$1CARD\$1MAGNETIC\$1STRIPE | Ja | Any |
| [Kreditkartennummer](mdis-reference-financial.md#mdis-reference-CC-number) | Finanzinformationen | CREDIT\$1CARD\$1NUMBER (für Kreditkartennummern in der Nähe eines Schlüsselworts), CREDIT\$1CARD\$1NUMBER\$1(NO\$1KEYWORD) (für Kreditkartennummern, die nicht in der Nähe eines Schlüsselworts liegen) | Variiert | Any |
| [Bestätigungscode für die Kreditkarte](mdis-reference-financial.md#mdis-reference-CC-verification-code) | Finanzinformationen | CREDIT\$1CARD\$1SECURITY\$1CODE | Ja | Any |
| [Identifikationsnummer des Führerscheins](mdis-reference-pii.md#mdis-reference-DL-num) | Persönliche Informationen: PII | Je nach Land oder Region: AUSTRALIA\$1DRIVERS\$1LICENSE, AUSTRIA\$1DRIVERS\$1LICENSE, BELGIUM\$1DRIVERS\$1LICENSE, BULGARIA\$1DRIVERS\$1LICENSE, CANADA\$1DRIVERS\$1LICENSE, CROATIA\$1DRIVERS\$1LICENSE, CYPRUS\$1DRIVERS\$1LICENSE, CZECHIA\$1DRIVERS\$1LICENSE, DENMARK\$1DRIVERS\$1LICENSE, DRIVERS\$1LICENSE (for the US), ESTONIA\$1DRIVERS\$1LICENSE, FINLAND\$1DRIVERS\$1LICENSE, FRANCE\$1DRIVERS\$1LICENSE, GERMANY\$1DRIVERS\$1LICENSE, GREECE\$1DRIVERS\$1LICENSE, HUNGARY\$1DRIVERS\$1LICENSE, INDIA\$1DRIVERS\$1LICENSE, IRELAND\$1DRIVERS\$1LICENSE, ITALY\$1DRIVERS\$1LICENSE, LATVIA\$1DRIVERS\$1LICENSE, LITHUANIA\$1DRIVERS\$1LICENSE, LUXEMBOURG\$1DRIVERS\$1LICENSE, MALTA\$1DRIVERS\$1LICENSE, NETHERLANDS\$1DRIVERS\$1LICENSE, POLAND\$1DRIVERS\$1LICENSE, PORTUGAL\$1DRIVERS\$1LICENSE, ROMANIA\$1DRIVERS\$1LICENSE, SLOVAKIA\$1DRIVERS\$1LICENSE, SLOVENIA\$1DRIVERS\$1LICENSE, SPAIN\$1DRIVERS\$1LICENSE, SWEDEN\$1DRIVERS\$1LICENSE, UK\$1DRIVERS\$1LICENSE | Ja | Australien, Österreich, Belgien, Bulgarien, Kanada, Kroatien, Zypern, Tschechische Republik, Dänemark, Estland, Finnland, Frankreich, Deutschland, Griechenland, Ungarn, Indien, Irland, Italien, Lettland, Litauen, Luxemburg, Malta, Niederlande, Polen, Portugal, Rumänien, Slowakei, Slowenien, Spanien, Schweden, Großbritannien, USA |
| [Registrierungsnummer der Drug Enforcement Agency (DEA)](mdis-reference-phi.md#mdis-reference-DEA-registration-num) | Persönliche Informationen: PHI | US\$1DRUG\$1ENFORCEMENT\$1AGENCY\$1NUMBER | Ja | US |
| [Nummer der Wählerliste](mdis-reference-pii.md#mdis-reference-electoral-roll-num) | Persönliche Informationen: PII | UK\$1ELECTORAL\$1ROLL\$1NUMBER | Ja | UK |
| [Vollständiger Name](mdis-reference-pii.md#mdis-reference-full-name) | Persönliche Informationen: PII | NAME | Nein | Beliebig, wenn der Name einen lateinischen Zeichensatz verwendet |
| [Koordinaten des Global Positioning Systems (GPS)](mdis-reference-pii.md#mdis-reference-GPS) | Persönliche Informationen: PII | LATITUDE\$1LONGITUDE | Ja | Beliebig, wenn sich die Koordinaten in der Nähe eines englischen Schlüsselworts befinden |
| [Google Cloud-API-Schlüssel](mdis-reference-credentials.md#mdis-reference-GCP-API-key) | Anmeldeinformationen | GCP\$1API\$1KEY | Ja | Any |
| [Krankenversicherungsantragsnummer (HICN)](mdis-reference-phi.md#mdis-reference-HICN) | Persönliche Informationen: PHI | USA\$1HEALTH\$1INSURANCE\$1CLAIM\$1NUMBER | Ja | US |
| [Krankenversicherungs- oder medizinische Identifizierungsnummer](mdis-reference-phi.md#mdis-reference-HI-ID) | Persönliche Informationen: PHI | Je nach Land oder Region: CANADA\$1HEALTH\$1NUMBER, EUROPEAN\$1HEALTH\$1INSURANCE\$1CARD\$1NUMBER, FINLAND\$1EUROPEAN\$1HEALTH\$1INSURANCE\$1NUMBER, FRANCE\$1HEALTH\$1INSURANCE\$1NUMBER, UK\$1NHS\$1NUMBER, USA\$1MEDICARE\$1BENEFICIARY\$1IDENTIFIER | Ja | Kanada, EU, Finnland, Frankreich, Großbritannien, USA |
| [Code des HCPCS (Common Procedure Coding System) für das Gesundheitswesen](mdis-reference-phi.md#mdis-reference-HCPCS) | Persönliche Informationen: PHI | USA\$1HEALTHCARE\$1PROCEDURE\$1CODE | Ja | US |
| [Header für die grundlegende HTTP-Autorisierung](mdis-reference-credentials.md#mdis-reference-HTTP_BASIC_AUTH_HEADER) | Anmeldeinformationen | HTTP\$1BASIC\$1AUTH\$1HEADER | Nein | Any |
| [HTTP-Cookie](mdis-reference-pii.md#mdis-reference-HTTP_COOKIE) | Persönliche Informationen: PII | HTTP\$1COOKIE | Nein | Any |
| [Internationale Bankkontonummer (IBAN)](mdis-reference-financial.md#mdis-reference-IBAN) | Finanzinformationen | Je nach Land oder Region: ALBANIA\$1BANK\$1ACCOUNT\$1NUMBER, ANDORRA\$1BANK\$1ACCOUNT\$1NUMBER, BOSNIA\$1AND\$1HERZEGOVINA\$1BANK\$1ACCOUNT\$1NUMBER, BRAZIL\$1BANK\$1ACCOUNT\$1NUMBER, BULGARIA\$1BANK\$1ACCOUNT\$1NUMBER, COSTA\$1RICA\$1BANK\$1ACCOUNT\$1NUMBER, CROATIA\$1BANK\$1ACCOUNT\$1NUMBER, CYPRUS\$1BANK\$1ACCOUNT\$1NUMBER, CZECH\$1REPUBLIC\$1BANK\$1ACCOUNT\$1NUMBER, DENMARK\$1BANK\$1ACCOUNT\$1NUMBER, DOMINICAN\$1REPUBLIC\$1BANK\$1ACCOUNT\$1NUMBER, EGYPT\$1BANK\$1ACCOUNT\$1NUMBER, ESTONIA\$1BANK\$1ACCOUNT\$1NUMBER, FAROE\$1ISLANDS\$1BANK\$1ACCOUNT\$1NUMBER, FINLAND\$1BANK\$1ACCOUNT\$1NUMBER, FRANCE\$1BANK\$1ACCOUNT\$1NUMBER, GEORGIA\$1BANK\$1ACCOUNT\$1NUMBER, GERMANY\$1BANK\$1ACCOUNT\$1NUMBER, GREECE\$1BANK\$1ACCOUNT\$1NUMBER, GREENLAND\$1BANK\$1ACCOUNT\$1NUMBER, HUNGARY\$1BANK\$1ACCOUNT\$1NUMBER, ICELAND\$1BANK\$1ACCOUNT\$1NUMBER, IRELAND\$1BANK\$1ACCOUNT\$1NUMBER, ITALY\$1BANK\$1ACCOUNT\$1NUMBER, JORDAN\$1BANK\$1ACCOUNT\$1NUMBER, KOSOVO\$1BANK\$1ACCOUNT\$1NUMBER, LIECHTENSTEIN\$1BANK\$1ACCOUNT\$1NUMBER, LITHUANIA\$1BANK\$1ACCOUNT\$1NUMBER, MALTA\$1BANK\$1ACCOUNT\$1NUMBER, MAURITANIA\$1BANK\$1ACCOUNT\$1NUMBER, MAURITIUS\$1BANK\$1ACCOUNT\$1NUMBER, MONACO\$1BANK\$1ACCOUNT\$1NUMBER, MONTENEGRO\$1BANK\$1ACCOUNT\$1NUMBER, NETHERLANDS\$1BANK\$1ACCOUNT\$1NUMBER, NORTH\$1MACEDONIA\$1BANK\$1ACCOUNT\$1NUMBER, POLAND\$1BANK\$1ACCOUNT\$1NUMBER, PORTUGAL\$1BANK\$1ACCOUNT\$1NUMBER, SAN\$1MARINO\$1BANK\$1ACCOUNT\$1NUMBER, SENEGAL\$1BANK\$1ACCOUNT\$1NUMBER, SERBIA\$1BANK\$1ACCOUNT\$1NUMBER, SLOVAKIA\$1BANK\$1ACCOUNT\$1NUMBER, SLOVENIA\$1BANK\$1ACCOUNT\$1NUMBER, SPAIN\$1BANK\$1ACCOUNT\$1NUMBER, SWEDEN\$1BANK\$1ACCOUNT\$1NUMBER, SWITZERLAND\$1BANK\$1ACCOUNT\$1NUMBER, TIMOR\$1LESTE\$1BANK\$1ACCOUNT\$1NUMBER, TUNISIA\$1BANK\$1ACCOUNT\$1NUMBER, TURKIYE\$1BANK\$1ACCOUNT\$1NUMBER, UK\$1BANK\$1ACCOUNT\$1NUMBER, UKRAINE\$1BANK\$1ACCOUNT\$1NUMBER, UNITED\$1ARAB\$1EMIRATES\$1BANK\$1ACCOUNT\$1NUMBER, VIRGIN\$1ISLANDS\$1BANK\$1ACCOUNT\$1NUMBER (für die Britische Jungferninseln) | Nein | Albanien, Andorra, Bosnien-Herzegowina, Brasilien, Bulgarien, Costa Rica, Dänemark, Dominikanische Tschechische Republik, Ägypten, Estland, Färöer, Finnland, Frankreich, Georgien, Deutschland, Griechenland, Grönland, Kroatien, Ungarn, Irland, Island, Italien, Jordanien, Kosovo, Liechtenstein, Litauen, Malta, Mauretanien, Mauretanien, Mauretanien, Mauritius, Monaco, Montenegro, Niederlande, Nordmazedonien, Polen, Portugal, San Marino, Senegal, Serbien, Slowakei, Slowenien, Spanien, Schweden, Schweiz, Timor-Leste, Tunesien, Türkiye, Großbritannien, Ukraine, Vereinigte Arabische Emirate, Britische Jungferninseln |
| [JSON-Webtoken (JWT)](mdis-reference-credentials.md#mdis-reference-JSON_WEB_TOKEN) | Anmeldeinformationen | JSON\$1WEB\$1TOKEN | Nein | Any |
| [Postanschrift](mdis-reference-pii.md#mdis-reference-mailing-address) | Persönliche Informationen: PII | ADDRESS, BRAZIL\$1CEP\$1CODE (für den brasilianischen Code de Endereçamento Postal) | Variiert | Australien, Brasilien, Kanada, Frankreich, Deutschland, Italien, Spanien, Großbritannien, USA |
| [Nationaler Drogenkodex (NDC)](mdis-reference-phi.md#mdis-reference-NDC) | Persönliche Informationen: PHI | USA\$1NATIONAL\$1DRUG\$1CODE | Ja | US |
| [Nationale Identifikationsnummern](mdis-reference-pii.md#mdis-reference-national-id) | Persönliche Informationen: PII | Je nach Land oder Region: ARGENTINA\$1DNI\$1NUMBER, BRAZIL\$1RG\$1NUMBER, CHILE\$1RUT\$1NUMBER, COLOMBIA\$1CITIZENSHIP\$1CARD\$1NUMBER, FRANCE\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, GERMANY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, INDIA\$1AADHAAR\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, MEXICO\$1CURP\$1NUMBER, SPAIN\$1DNI\$1NUMBER | Ja | Argentinien, Brasilien, Chile, Deutschland, Frankreich, Indien, Italien, Kolumbien, Mexiko, Spanien |
| [Nationale Versicherungsnummer (NINO)](mdis-reference-pii.md#mdis-reference-NINO) | Persönliche Informationen: PII | UK\$1NATIONAL\$1INSURANCE\$1NUMBER | Ja | UK |
| [Nationale Anbieterkennzeichnung (NPI)](mdis-reference-phi.md#mdis-reference-NPI) | Persönliche Informationen: PHI | USA\$1NATIONAL\$1PROVIDER\$1IDENTIFIER | Ja | US |
| [Privater OpenSSH-Schlüssel](mdis-reference-credentials.md#mdis-reference-OPENSSH_PRIVATE_KEY) | Anmeldeinformationen | OPENSSH\$1PRIVATE\$1KEY | Nein | Any |
| [Passnummer](mdis-reference-pii.md#mdis-reference-passport-num) | Persönliche Informationen: PII | Je nach Land oder Region: CANADA\$1PASSPORT\$1NUMBER, FRANCE\$1PASSPORT\$1NUMBER, GERMANY\$1PASSPORT\$1NUMBER, ITALY\$1PASSPORT\$1NUMBER, SPAIN\$1PASSPORT\$1NUMBER, UK\$1PASSPORT\$1NUMBER, USA\$1PASSPORT\$1NUMBER | Ja | Kanada, Frankreich, Deutschland, Italien, Spanien, Vereinigtes Königreich, USA |
| [Ständige Wohnsitznummer](mdis-reference-pii.md#mdis-reference-permanent-residence-num) | Persönliche Informationen: PII | CANADA\$1NATIONAL\$1IDENTIFICATION\$1NUMBER | Ja | Kanada |
| [Privater PGP-Schlüssel](mdis-reference-credentials.md#mdis-reference-PGP_PRIVATE_KEY) | Anmeldeinformationen | PGP\$1PRIVATE\$1KEY | Nein | Any |
| [Phone number (Telefonnummer)](mdis-reference-pii.md#mdis-reference-phone-num) | Persönliche Informationen: PII | Je nach Land oder Region: BRAZIL\$1PHONE\$1NUMBER, FRANCE\$1PHONE\$1NUMBER, GERMANY\$1PHONE\$1NUMBER, ITALY\$1PHONE\$1NUMBER, PHONE\$1NUMBER (for Canada and the US), SPAIN\$1PHONE\$1NUMBER, UK\$1PHONE\$1NUMBER | Variiert | Brasilien, Kanada, Frankreich, Deutschland, Italien, Spanien, Vereinigtes Königreich, USA |
| [Privater Schlüssel nach dem Public Key Cryptography Standard (PKCS)](mdis-reference-credentials.md#mdis-reference-PKCS) | Anmeldeinformationen | PKCS | Nein | Any |
| [Kartennummer für öffentliche Verkehrsmittel](mdis-reference-pii.md#mdis-reference-public-transport-num) | Persönliche Informationen: PII | ARGENTINA\$1TARJETA\$1SUBE | Ja | Argentinien |
| [Privater PuTTY-Schlüssel](mdis-reference-credentials.md#mdis-reference-PUTTY_PRIVATE_KEY) | Anmeldeinformationen | PUTTY\$1PRIVATE\$1KEY | Nein | Any |
| [Sozialversicherungsnummer (SIN)](mdis-reference-pii.md#mdis-reference-social-insurance-num) | Persönliche Informationen: PII | CANADA\$1SOCIAL\$1INSURANCE\$1NUMBER | Ja | Kanada |
| [Sozialversicherungsnummer (SSN)](mdis-reference-pii.md#mdis-reference-social-security-num) | Persönliche Informationen: PII | Je nach Land oder Region: SPAIN\$1SOCIAL\$1SECURITY\$1NUMBER, USA\$1SOCIAL\$1SECURITY\$1NUMBER | Ja | Spanien, USA |
| [Stripe-API-Schlüssel](mdis-reference-credentials.md#mdis-reference-Stripe_API_key) | Anmeldeinformationen | STRIPE\$1CREDENTIALS | Nein | Any |
| [Steuerpflichtigen-Identifikationsnummer oder Referenznummer](mdis-reference-pii.md#mdis-reference-taxpayer-num) | Persönliche Informationen: PII | Je nach Land oder Region: ARGENTINA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER, ARGENTINA\$1ORGANIZATION\$1TAX\$1IDENTIFICATION\$1NUMBER, AUSTRALIA\$1TAX\$1FILE\$1NUMBER, BRAZIL\$1CNPJ\$1NUMBER, BRAZIL\$1CPF\$1NUMBER, CHILE\$1RUT\$1NUMBER, COLOMBIA\$1INDIVIDUAL\$1NIT\$1NUMBER, COLOMBIA\$1ORGANIZATION\$1NIT\$1NUMBER, FRANCE\$1TAX\$1IDENTIFICATION\$1NUMBER, GERMANY\$1TAX\$1IDENTIFICATION\$1NUMBER, INDIA\$1PERMANENT\$1ACCOUNT\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, MEXICO\$1INDIVIDUAL\$1RFC\$1NUMBER, MEXICO\$1ORGANIZATION\$1RFC\$1NUMBER, SPAIN\$1NIE\$1NUMBER, SPAIN\$1NIF\$1NUMBER, SPAIN\$1TAX\$1IDENTIFICATION\$1NUMBER, UK\$1TAX\$1IDENTIFICATION\$1NUMBER, USA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER | Ja | Argentinien, Australien, Brasilien, Chile, Deutschland, Frankreich, Indien, Italien, Kolumbien, Mexiko, Spanien, Großbritannien, USA |
| [Eindeutige Gerätekennung (UDI)](mdis-reference-phi.md#mdis-reference-UDI) | Persönliche Informationen: PHI | MEDICAL\$1DEVICE\$1UDI | Ja | US |
| [Fahrzeugidentifikationsnummer (VIN)](mdis-reference-pii.md#mdis-reference-vin) | Persönliche Informationen: PII | VEHICLE\$1IDENTIFICATION\$1NUMBER | Ja | Beliebig, wenn sich die VIN in der Nähe eines Schlüsselworts in einer der folgenden Sprachen befindet: Englisch, Französisch, Deutsch, Litauisch, Polnisch, Portugiesisch, Rumänisch oder Spanisch |
# Verwaltete Datenbezeichner für Anmeldedaten
Amazon Macie kann mithilfe verwalteter Datenkennungen mehrere Arten sensibler Anmeldedaten erkennen. In den Themen auf dieser Seite werden die einzelnen Typen spezifiziert und Informationen zur verwalteten Daten-ID bereitgestellt, mit der die Daten erkannt werden sollen. Jedes Thema enthält die folgenden Informationen:
+ **ID für verwaltete Daten** — Gibt die eindeutige Kennung (ID) für die verwaltete Daten-ID an, mit der die Daten erkannt werden sollen. Wenn Sie [einen Auftrag zur Erkennung vertraulicher Daten erstellen](discovery-jobs-create.md) oder [Einstellungen für die automatische Erkennung vertraulicher Daten konfigurieren](discovery-asdd-account-configure.md), können Sie mit dieser ID angeben, ob Macie die ID für verwaltete Daten verwenden soll, wenn es Daten analysiert.
+ **Unterstützte Länder und Regionen** — Gibt an, für welche Länder oder Regionen der entsprechende Identifier für verwaltete Daten konzipiert ist. Wenn der verwaltete Datenbezeichner nicht für ein bestimmtes Land oder eine bestimmte Region konzipiert ist, ist dieser Wert „*Beliebig*“.
+ **Schlüsselwort erforderlich** — Gibt an, ob die Erkennung erfordert, dass sich ein Schlüsselwort in der Nähe der Daten befindet. Wenn ein Schlüsselwort erforderlich ist, enthält das Thema auch Beispiele für erforderliche Schlüsselwörter. Informationen darüber, wie Macie bei der Datenanalyse Schlüsselwörter verwendet, finden Sie unter[Anforderungen an Schlüsselwörter](managed-data-identifiers-keywords.md).
+ **Kommentare** — Enthält alle relevanten Informationen, die sich auf Ihre Wahl der verwalteten Daten-ID oder auf Ihre Untersuchung der gemeldeten Vorkommen vertraulicher Daten auswirken könnten. Zu den Details gehören Informationen wie unterstützte Standards, Syntaxanforderungen und Ausnahmen.
Die Themen sind in alphabetischer Reihenfolge nach sensiblen Datentypen aufgelistet.
**Topics**
+ [AWS geheimer Zugangsschlüssel](#mdis-reference-AWS-CREDENTIALS)
+ [Google Cloud API-Schlüssel](#mdis-reference-GCP-API-key)
+ [Header für die grundlegende HTTP-Autorisierung](#mdis-reference-HTTP_BASIC_AUTH_HEADER)
+ [JSON-Webtoken (JWT)](#mdis-reference-JSON_WEB_TOKEN)
+ [Privater OpenSSH-Schlüssel](#mdis-reference-OPENSSH_PRIVATE_KEY)
+ [Privater PGP-Schlüssel](#mdis-reference-PGP_PRIVATE_KEY)
+ [Privater Schlüssel nach dem Public Key Cryptography Standard (PKCS)](#mdis-reference-PKCS)
+ [Privater PuTTY-Schlüssel](#mdis-reference-PUTTY_PRIVATE_KEY)
+ [Stripe-API-Schlüssel](#mdis-reference-Stripe_API_key)
## AWS geheimer Zugriffsschlüssel
**ID der verwalteten Daten-ID:** AWS\$1CREDENTIALS
**Unterstützte Länder und Regionen:** Alle
**Schlüsselwort erforderlich:** Ja. Zu den Schlüsselwörtern gehören: *aws\$1secret\$1access\$1key, credentials, secret access key, secret key, set-awscredential*
**Kommentare:** Macie meldet keine Vorkommen der folgenden Zeichenfolgen, die häufig als fiktive Beispiele verwendet werden: und. `je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY` `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`
## Google Cloud-API-Schlüssel
**ID der verwalteten Daten-ID:** GCP\$1API\$1KEY
**Unterstützte Länder und Regionen:** Alle
**Schlüsselwort erforderlich:** Ja. Zu den Schlüsselwörtern gehören: *G\$1PLACES\$1KEY, GCP api key, GCP key, google cloud key, google-api-key, google-cloud-apikeys, GOOGLEKEY, X-goog-api-key*
**Kommentare:** Macie kann nur die Zeichenfolge (`keyString`) -Komponente eines Google Cloud-API-Schlüssels erkennen. Der Support umfasst nicht die Erkennung der ID- oder Anzeigenamen-Komponente eines Google Cloud-API-Schlüssels.
## Header für die grundlegende HTTP-Autorisierung
**ID der verwalteten Daten-ID:** HTTP\$1BASIC\$1AUTH\$1HEADER
**Unterstützte Länder und Regionen:** Alle
**Schlüsselwort erforderlich:** Nein
**Kommentare:** Für die Erkennung ist ein vollständiger Header erforderlich, einschließlich des Feldnamens und der Authentifizierungsschema-Direktive, wie in [RFC 7617](https://tools.ietf.org/html/rfc7617) spezifiziert. Zum Beispiel `Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==` und `Proxy-Authorization: Basic dGVzdDoxMjPCow==`.
## JSON-Webtoken (JWT)
**ID der verwalteten Daten-ID:** JSON\$1WEB\$1TOKEN
**Unterstützte Länder und Regionen:** Alle
**Schlüsselwort erforderlich:** Nein
**Kommentare:** Macie kann JSON-Web-Tokens (JWTs) erkennen, die den in [RFC 7519](https://tools.ietf.org/html/rfc7519) festgelegten Anforderungen für JSON Web Signature (JWS) -Strukturen entsprechen. Die Token können signiert oder unsigniert sein.
## Privater OpenSSH-Schlüssel
**ID der verwalteten Daten-ID:** OPENSSH\$1PRIVATE\$1KEY
**Unterstützte Länder und Regionen:** Alle
**Schlüsselwort erforderlich:** Nein
**Kommentare:** Keine
## Privater PGP-Schlüssel
**ID der verwalteten Daten-ID:** PGP\$1PRIVATE\$1KEY
**Unterstützte Länder und Regionen:** Alle
**Schlüsselwort erforderlich:** Nein
**Kommentare:** Keine
## Privater Schlüssel nach dem Public Key Cryptography Standard (PKCS)
**ID der verwalteten Daten-ID:** PKCS
**Unterstützte Länder und Regionen:** Alle
**Schlüsselwort erforderlich:** Nein
**Kommentare:** Keine
## Privater PuTTY-Schlüssel
**ID der verwalteten Daten-ID:** PUTTY\$1PRIVATE\$1KEY
**Unterstützte Länder und Regionen:** Alle
**Schlüsselwort erforderlich:** Nein
**Kommentare:** Macie kann private PuTTY-Schlüssel erkennen, die die folgenden Standard-Header und die folgende Header-Sequenz verwenden:`PuTTY-User-Key-File`,,`Encryption`, `Comment``Public-Lines`, `Private-Lines` und. `Private-MAC` Die Header-Werte können alphanumerische Zeichen, Bindestriche () und Zeilenumbruchzeichen (`‐`oder) enthalten. `\n` `\r` `Public-Lines`und `Private-Lines` Werte können auch Schrägstriche (`/`), Pluszeichen () und Gleichheitszeichen (`+`) enthalten. `=` `Private-MAC`Werte können auch Pluszeichen (`+`) enthalten. Die Support umfasst nicht die Erkennung von privaten Schlüsseln mit Header-Werten, die andere Zeichen wie Leerzeichen oder Unterstriche (`_`) enthalten. Die Support beinhaltet auch nicht die Erkennung von privaten Schlüsseln, die benutzerdefinierte Header enthalten.
## Stripe-API-Schlüssel
**ID der verwalteten Daten-ID:** STRIPE\$1CREDENTIALS
**Unterstützte Länder und Regionen:** Alle
**Schlüsselwort erforderlich:** Nein
**Kommentare:** Macie meldet keine Vorkommen der folgenden Zeichenfolgen, die häufig in Stripe-Codebeispielen verwendet werden: `sk_test_4eC39HqLyjWDarjtT1zdp7dc` und. `pk_test_TYooMQauvdEDq54NiTphI7jx`
# Verwaltete Datenkennungen für Finanzinformationen
Amazon Macie kann mithilfe verwalteter Datenkennungen mehrere Arten sensibler Finanzinformationen erkennen. In den Themen auf dieser Seite werden die einzelnen Typen aufgeführt und Informationen zu den verwalteten Datenkennungen bereitgestellt, mit denen die Daten erkannt werden sollen. Jedes Thema enthält die folgenden Informationen:
+ **ID des verwalteten Datenbezeichners** — Gibt den eindeutigen Bezeichner (ID) für einen oder mehrere verwaltete Datenbezeichner an, mit denen die Daten erkannt werden sollen. Wenn Sie [einen Auftrag zur Erkennung vertraulicher Daten erstellen](discovery-jobs-create.md) oder [Einstellungen für die automatische Erkennung vertraulicher Daten konfigurieren](discovery-asdd-account-configure.md), können Sie IDs damit angeben, welche verwalteten Datenkennungen Macie bei der Datenanalyse verwenden soll.
+ **Unterstützte Länder und Regionen** — Gibt an, für welche Länder und Regionen die entsprechenden Identifikatoren für verwaltete Daten konzipiert sind. *Wenn die verwalteten Datenkennungen nicht für bestimmte Länder oder Regionen konzipiert sind, ist dieser Wert „Beliebig“.*
+ **Schlüsselwort erforderlich** — Gibt an, ob die Erkennung erfordert, dass sich ein Schlüsselwort in der Nähe der Daten befindet. Wenn ein Schlüsselwort erforderlich ist, enthält das Thema auch Beispiele für erforderliche Schlüsselwörter. Informationen darüber, wie Macie bei der Datenanalyse Schlüsselwörter verwendet, finden Sie unter[Anforderungen an Schlüsselwörter](managed-data-identifiers-keywords.md).
+ **Kommentare** — Enthält alle relevanten Informationen, die sich auf Ihre Wahl der verwalteten Daten-ID oder auf Ihre Untersuchung der gemeldeten Vorkommen vertraulicher Daten auswirken könnten. Zu den Details gehören Informationen wie unterstützte Standards, Syntaxanforderungen und Ausnahmen.
Die Themen sind in alphabetischer Reihenfolge nach sensiblen Datentypen aufgelistet.
**Topics**
+ [Bankkontonummer](#mdis-reference-BAN)
+ [Basis-Bankkontonummer (BBAN)](#mdis-reference-BBAN)
+ [Ablaufdatum der Kreditkarte](#mdis-reference-CC-expiration)
+ [Magnetstreifendaten der Kreditkarte](#mdis-reference-CC-stripe)
+ [Kreditkartennummer](#mdis-reference-CC-number)
+ [Bestätigungscode für die Kreditkarte](#mdis-reference-CC-verification-code)
+ [Internationale Bankkontonummer (IBAN)](#mdis-reference-IBAN)
## Bankkontonummer
Macie kann kanadische und US-amerikanische Bankkontonummern erkennen, die aus 9- bis 17-stelligen Sequenzen bestehen und keine Leerzeichen enthalten.
**ID der verwalteten Daten-ID:** BANK\$1ACCOUNT\$1NUMBER
**Unterstützte Länder und Regionen:** Kanada, USA
**Schlüsselwort erforderlich:** Ja. Zu den Schlüsselwörtern gehören: *bank account, bank acct, checking account, checking acct, deposit account, deposit acct, savings account, savings acct, chequing account, chequing acct*
**Kommentare:** Diese verwaltete Datenkennung dient ausdrücklich der Erkennung von Bankkontonummern für Kanada und die USA. [Diese Länder verwenden nicht die Formate Basic Bank Account Number (BBAN) oder International Bank Account Number (IBAN), die im internationalen ISO-Standard für die Nummerierung von Bankkonten definiert sind, wie in ISO 13616 spezifiziert.](https://www.iso.org/standard/81090.html) Um Bankkontonummern für andere Länder und Regionen zu ermitteln, verwenden Sie die verwalteten Datenkennungen, die für diese Formate entwickelt wurden. Weitere Informationen erhalten Sie unter [Grundlegende Bankkontonummer (BBAN)](#mdis-reference-BBAN) und [Internationale Bankkontonummer (IBAN)](#mdis-reference-IBAN).
## Grundlegende Bankkontonummer (BBAN)
[Macie kann grundlegende Bankkontonummern (BBANs) erkennen, die der BBAN-Struktur entsprechen, die im internationalen ISO-Standard für die Nummerierung von Bankkonten gemäß ISO 13616 definiert ist.](https://www.iso.org/standard/81090.html) Dazu gehören auch solche BBANs , die keine Leerzeichen enthalten oder Leerzeichen oder Bindestriche als Trennzeichen verwenden, z. B., und. `NWBK60161331926819` `NWBK 6016 1331 9268 19` `NWBK-6016-1331-9268-19`
**ID des verwalteten Datenbezeichners:** Je nach Land oder Region FRANCE\$1BANK\$1ACCOUNT\$1NUMBER, GERMANY\$1BANK\$1ACCOUNT\$1NUMBER, ITALY\$1BANK\$1ACCOUNT\$1NUMBER, SPAIN\$1BANK\$1ACCOUNT\$1NUMBER, UK\$1BANK\$1ACCOUNT\$1NUMBER
**Unterstützte Länder und Regionen:** Frankreich, Deutschland, Italien, Spanien, Großbritannien
**Schlüsselwort erforderlich:** Ja. In der folgenden Tabelle sind die Schlüsselwörter aufgeführt, die Macie für bestimmte Länder und Regionen erkennt.
| Land oder Region | Schlüsselwörter |
| --- | --- |
| Frankreich | account code, account number, accountno\$1, accountnumber\$1, bban, code bancaire, compte bancaire, customer account id, customer account number, customer bank account id, iban, numéro de compte |
| Deutschland | account code, account number, accountno\$1, accountnumber\$1, bankleitzahl, bban, customer account id, customer account number, customer bank account id, geheimzahl, iban, kartennummer, kontonummer, kreditkartennummer, sepa |
| Italien | account code, account number, accountno\$1, accountnumber\$1, bban, codice bancario, conto bancario, customer account id, customer account number, customer bank account id, iban, numero di conto |
| Spanien | account code, account number, accountno\$1, accountnumber\$1, bban, código cuenta, código cuenta bancaria, cuenta cliente id, customer account ID, customer account number, customer bank account id, iban, número cuenta bancaria cliente, número cuenta cliente |
| UK | account code, account number, accountno\$1, accountnumber\$1, bban, customer account id, customer account number, customer bank account id, iban, sepa |
**Kommentare:** Mit diesen verwalteten Datenkennungen können auch internationale Bankkontonummern (IBANs) erkannt werden, die der Norm ISO 13616 entsprechen. Weitere Informationen finden Sie unter [Internationale Bankkontonummer (IBAN)](#mdis-reference-IBAN). Mit der Kennung für verwaltete Daten für das Vereinigte Königreich (UK\$1BANK\$1ACCOUNT\$1NUMBER) können auch inländische Bankkontonummern für das Vereinigte Königreich erkannt werden, z. B. `60-16-13 31926819`
## Ablaufdatum der Kreditkarte
**ID für verwaltete Daten:** CREDIT\$1CARD\$1EXPIRATION
**Unterstützte Länder und Regionen:** Alle
**Schlüsselwort erforderlich:** Ja. Zu den Schlüsselwörtern gehören: *exp d, exp m, exp y, expiration, expiry*
**Kommentare:** Die Support umfasst die meisten Datumsformate, z. B. alle Ziffern und Kombinationen von Ziffern und Monatsnamen. Datumskomponenten können durch Schrägstriche (/), Bindestriche (‐) oder entsprechende Schlüsselwörter getrennt werden. Macie kann beispielsweise Datumsangaben wie`02/26`,,`02/2026`, `Feb 2026` und erkennen. `26-Feb` `expY=2026, expM=02`
## Magnetstreifendaten der Kreditkarte
**ID der verwalteten Daten:** CREDIT\$1CARD\$1MAGNETIC\$1STRIPE
**Unterstützte Länder und Regionen:** Alle
**Schlüsselwort erforderlich:** Ja. Zu den Schlüsselwörtern gehören: *card data, iso7813, mag, magstripe, stripe, swipe*
**Kommentare:** Die Support umfasst die Titel 1 und 2.
## Kreditkartennummer
**ID für verwaltete Daten:** CREDIT\$1CARD\$1NUMBER für Kreditkartennummern, die sich in der Nähe eines Schlüsselworts befinden, CREDIT\$1CARD\$1NUMBER\$1(NO\$1KEYWORD) für Kreditkartennummern, die sich nicht in der Nähe eines Schlüsselworts befinden
**Unterstützte Länder und Regionen:** Alle
**Erforderliches Schlüsselwort:** Variiert. Für den Identifier der CREDIT\$1CARD\$1NUMBER verwalteten Daten sind Schlüsselwörter erforderlich. Zu den Schlüsselwörtern gehören: *account number, american express, amex, bank card, c card, card, cc \$1, ccn, check card, cred card, credit, credit card, credit cards, credit no, credit num, dankort, debit, debit card, debit no, debit num, diners club, discover, electron, japanese card bureau, jcb, mastercard, mc, pan, payment account number, payment card number, pcn, pmnt \$1, pmnt card, pmnt no, pmnt number, union pay, visa*. Schlüsselwörter sind für den CREDIT\$1CARD\$1NUMBER\$1(NO\$1KEYWORD) verwalteten Datenbezeichner nicht erforderlich.
**Kommentare:** Für die Erkennung müssen die Daten eine 13- bis 19-stellige Sequenz sein, die der Luhn-Checkformel entspricht und ein Standardpräfix für Kartennummern verwendet, die für jede der folgenden Arten von Kreditkarten verwendet werden: American Express, Dankort, Diner's Club, Discover, Electron, Japanese Card Bureau (JCB), Mastercard und Visa. UnionPay
Macie meldet keine Vorkommen der folgenden Sequenzen, die Kreditkartenaussteller für öffentliche Tests reserviert haben:`122000000000003`,,,`2222405343248877`,`2222990905257051`,`2223007648726984`,`2223577120017656`,,`30569309025904`,`34343434343434`,`3528000700000000`,`3530111333300000`,`3566002020360505`,`36148900647913`,`36700102000000`,`371449635398431`,`378282246310005`,`378734493671000`,`38520000023237`,`4012888888881881`,`4111111111111111`,`4222222222222`,`4444333322221111`,`4462030000000000`,`4484070000000000`,`4911830000000`,`4917300800000000`,`4917610000000000`,`4917610000000000003`,`5019717010103742`,`5105105105105100`,`5111010030175156`,`5185540810000019`,`5200828282828210`,`5204230080000017`, `5204740009900014`,`5420923878724339`,`5454545454545454`,`5455330760000018`,`5506900490000436`,`5506900490000444`,`5506900510000234`,`5506920809243667`,`5506922400634930`,`5506927427317625`,,`5553042241984105`,`5555553753048194`,`5555555555554444`,`5610591081018250`,`6011000990139424`,`6011000400000000`,`6011111111111117`,`630490017740292441`, `630495060000000000` `6331101999990016``6759649826438453`, `6799990100000000019` und. `76009244561`
## Bestätigungscode für die Kreditkarte
**ID der verwalteten Daten-ID:** CREDIT\$1CARD\$1SECURITY\$1CODE
**Unterstützte Länder und Regionen:** Alle
**Schlüsselwort erforderlich:** Ja. Zu den Schlüsselwörtern gehören: *card id, card identification code, card identification number, card security code, card validation code, card validation number, card verification data, card verification value, cvc, cvc2, cvv, cvv2, elo verification code*
**Kommentare:** Keine
## Internationale Bankkontonummer (IBAN)
Macie kann internationale Bankkontonummern (IBANs) erkennen, die aus bis zu 34 alphanumerischen Zeichen bestehen, einschließlich Elementen wie der Landesvorwahl. [Insbesondere kann Macie erkennen, IBANs dass sie dem internationalen ISO-Standard für die Nummerierung von Bankkonten entsprechen, der in ISO 13616 festgelegt ist.](https://www.iso.org/standard/81090.html) Dazu gehören auch IBANs solche, die keine Leerzeichen enthalten oder Leerzeichen oder Bindestriche als Trennzeichen verwenden, z. B., und. `GB29NWBK60161331926819` `GB29 NWBK 6016 1331 9268 19` `GB29-NWBK-6016-1331-9268-19` Die Erkennung umfasst Validierungsprüfungen, die auf dem Modulus 97-Schema basieren.
**Verwaltete Datenidentifikator-ID:** Je nach Land oder Region ALBANIA\$1BANK\$1ACCOUNT\$1NUMBER, ANDORRA\$1BANK\$1ACCOUNT\$1NUMBER, BOSNIA\$1AND\$1HERZEGOVINA\$1BANK\$1ACCOUNT\$1NUMBER, BRAZIL\$1BANK\$1ACCOUNT\$1NUMBER, BULGARIA\$1BANK\$1ACCOUNT\$1NUMBER, COSTA\$1RICA\$1BANK\$1ACCOUNT\$1NUMBER, CROATIA\$1BANK\$1ACCOUNT\$1NUMBER, CYPRUS\$1BANK\$1ACCOUNT\$1NUMBER, CZECH\$1REPUBLIC\$1BANK\$1ACCOUNT\$1NUMBER, DENMARK\$1BANK\$1ACCOUNT\$1NUMBER, DOMINICAN\$1REPUBLIC\$1BANK\$1ACCOUNT\$1NUMBER, EGYPT\$1BANK\$1ACCOUNT\$1NUMBER, ESTONIA\$1BANK\$1ACCOUNT\$1NUMBER, FAROE\$1ISLANDS\$1BANK\$1ACCOUNT\$1NUMBER, FINLAND\$1BANK\$1ACCOUNT\$1NUMBER, FRANCE\$1BANK\$1ACCOUNT\$1NUMBER, GEORGIA\$1BANK\$1ACCOUNT\$1NUMBER, GERMANY\$1BANK\$1ACCOUNT\$1NUMBER, GREECE\$1BANK\$1ACCOUNT\$1NUMBER, GREENLAND\$1BANK\$1ACCOUNT\$1NUMBER, HUNGARY\$1BANK\$1ACCOUNT\$1NUMBER, ICELAND\$1BANK\$1ACCOUNT\$1NUMBER, IRELAND\$1BANK\$1ACCOUNT\$1NUMBER, ITALY\$1BANK\$1ACCOUNT\$1NUMBER, JORDAN\$1BANK\$1ACCOUNT\$1NUMBER, KOSOVO\$1BANK\$1ACCOUNT\$1NUMBER, LIECHTENSTEIN\$1BANK\$1ACCOUNT\$1NUMBER, LITHUANIA\$1BANK\$1ACCOUNT\$1NUMBER, MALTA\$1BANK\$1ACCOUNT\$1NUMBER, MAURITANIA\$1BANK\$1ACCOUNT\$1NUMBER, MAURITIUS\$1BANK\$1ACCOUNT\$1NUMBER, MONACO\$1BANK\$1ACCOUNT\$1NUMBER, MONTENEGRO\$1BANK\$1ACCOUNT\$1NUMBER, NETHERLANDS\$1BANK\$1ACCOUNT\$1NUMBER, NORTH\$1MACEDONIA\$1BANK\$1ACCOUNT\$1NUMBER, POLAND\$1BANK\$1ACCOUNT\$1NUMBER, PORTUGAL\$1BANK\$1ACCOUNT\$1NUMBER, SAN\$1MARINO\$1BANK\$1ACCOUNT\$1NUMBER, SENEGAL\$1BANK\$1ACCOUNT\$1NUMBER, SERBIA\$1BANK\$1ACCOUNT\$1NUMBER, SLOVAKIA\$1BANK\$1ACCOUNT\$1NUMBER, SLOVENIA\$1BANK\$1ACCOUNT\$1NUMBER, SPAIN\$1BANK\$1ACCOUNT\$1NUMBER, SWEDEN\$1BANK\$1ACCOUNT\$1NUMBER, SWITZERLAND\$1BANK\$1ACCOUNT\$1NUMBER, TIMOR\$1LESTE\$1BANK\$1ACCOUNT\$1NUMBER, TUNISIA\$1BANK\$1ACCOUNT\$1NUMBER, TURKIYE\$1BANK\$1ACCOUNT\$1NUMBER, UK\$1BANK\$1ACCOUNT\$1NUMBER, UKRAINE\$1BANK\$1ACCOUNT\$1NUMBER, UNITED\$1ARAB\$1EMIRATES\$1BANK\$1ACCOUNT\$1NUMBER, VIRGIN\$1ISLANDS\$1BANK\$1ACCOUNT\$1NUMBER (für die Britische Jungferninseln)
**Unterstützte Länder und Regionen:** Albanien, Andorra, Bosnien-Herzegowina, Brasilien, Bulgarien, Costa Rica, Kroatien, Zypern, Tschechische Republik, Dänemark, Dominikanische Republik, Ägypten, Estland, Färöer, Finnland, Frankreich, Georgien, Deutschland, Griechenland, Grönland, Ungarn, Island, Irland, Italien, Jordanien, Kosovo, Liechtenstein, Litauen, Malta, Mauretanien, Mauretanien, Mauritius, Monaco, Montenegro, Niederlande, Nordmazedonien, Polen, Portugal, San Marino, Senegal, Serbien, Slowakei, Slowenien, Spanien, Schweden, Schweiz, Timor-Leste, Tunesien, Türkei, Großbritannien, Ukraine, Vereinigte Arabische Emirate Emirates, Britische Jungferninseln
**Schlüsselwort erforderlich:** Nein
**Kommentare:** Die verwalteten Datenkennungen für Frankreich, Deutschland, Italien, Spanien und das Vereinigte Königreich können auch Basisbankkontonummern (BBANs) erkennen, die der durch den ISO-13616-Standard definierten BBAN-Struktur entsprechen, wenn sich die Zeichenfolge in der Nähe eines Schlüsselworts befindet. Weitere Informationen finden Sie unter [Grundlegende Bankkontonummer (BBAN)](#mdis-reference-BBAN).
# Verwaltete Datenkennungen für PHI
Amazon Macie kann mithilfe verwalteter Datenkennungen mehrere Arten sensibler, persönlicher Gesundheitsinformationen (PHI) erkennen. In den Themen auf dieser Seite werden die einzelnen Typen spezifiziert und Informationen zur verwalteten Daten-ID bereitgestellt, mit der die Daten erkannt werden sollen. Jedes Thema enthält die folgenden Informationen:
+ **ID des verwalteten Datenbezeichners** — Gibt den eindeutigen Bezeichner (ID) für den verwalteten Datenbezeichner an, mit dem die Daten erkannt werden sollen. Wenn Sie [einen Job zur Erkennung vertraulicher Daten erstellen](discovery-jobs-create.md) oder [Einstellungen für die automatische Erkennung vertraulicher Daten konfigurieren](discovery-asdd-account-configure.md), können Sie mit dieser ID angeben, ob Macie die ID für verwaltete Daten verwenden soll, wenn es Daten analysiert.
+ **Unterstützte Länder und Regionen** — Gibt an, für welche Länder oder Regionen der entsprechende Identifier für verwaltete Daten konzipiert ist. Wenn der verwaltete Datenbezeichner nicht für ein bestimmtes Land oder eine bestimmte Region konzipiert ist, ist dieser Wert „*Beliebig*“.
+ **Schlüsselwort erforderlich** — Gibt an, ob die Erkennung erfordert, dass sich ein Schlüsselwort in der Nähe der Daten befindet. Wenn ein Schlüsselwort erforderlich ist, enthält das Thema auch Beispiele für erforderliche Schlüsselwörter. Informationen darüber, wie Macie bei der Datenanalyse Schlüsselwörter verwendet, finden Sie unter[Anforderungen an Schlüsselwörter](managed-data-identifiers-keywords.md).
+ **Kommentare** — Enthält alle relevanten Informationen, die sich auf Ihre Wahl der verwalteten Daten-ID oder auf Ihre Untersuchung der gemeldeten Vorkommen vertraulicher Daten auswirken könnten. Zu den Details gehören Informationen wie unterstützte Standards, Syntaxanforderungen und Ausnahmen.
Die Themen sind in alphabetischer Reihenfolge nach sensiblen Datentypen aufgelistet.
**Topics**
+ [Registrierungsnummer der Drogenbekämpfungsbehörde (DEA)](#mdis-reference-DEA-registration-num)
+ [Krankenversicherungsantragsnummer (HICN)](#mdis-reference-HICN)
+ [Krankenversicherungs- oder medizinische Identifizierungsnummer](#mdis-reference-HI-ID)
+ [Code des HCPCS (Common Procedure Coding System) für das Gesundheitswesen](#mdis-reference-HCPCS)
+ [Nationaler Drogenkodex (NDC)](#mdis-reference-NDC)
+ [Nationale Anbieterkennnummer (NPI)](#mdis-reference-NPI)
+ [Eindeutige Gerätekennung (UDI)](#mdis-reference-UDI)
## Registrierungsnummer der Drug Enforcement Agency (DEA)
**ID der verwalteten Daten-ID:** US\$1DRUG\$1ENFORCEMENT\$1AGENCY\$1NUMBER
**Unterstützte Länder und Regionen:** USA
**Schlüsselwort erforderlich:** Ja. Zu den Schlüsselwörtern gehören: *dea number, dea registration*
**Kommentare:** Keine
## Krankenversicherungsantragsnummer (HICN)
**ID der verwalteten Daten-ID:** USA\$1HEALTH\$1INSURANCE\$1CLAIM\$1NUMBER
**Unterstützte Länder und Regionen:** USA
**Schlüsselwort erforderlich:** Ja. Zu den Schlüsselwörtern gehören: *health insurance claim number, hic no, hic no., hic number, hic\$1, hicn, hicn\$1., hicno\$1*
**Kommentare:** Keine
## Krankenversicherungs- oder medizinische Identifizierungsnummer
Der Support umfasst europäische Krankenversicherungskartennummern für die EU und Finnland, Krankenversicherungsnummern für Frankreich, Medicare-Begünstigte für die USA, NHS-Nummern für Großbritannien und persönliche Gesundheitsnummern für Kanada.
ID der **verwalteten Daten-ID:** Je nach Land oder Region CANADA\$1HEALTH\$1NUMBER, EUROPEAN\$1HEALTH\$1INSURANCE\$1CARD\$1NUMBER, FINLAND\$1EUROPEAN\$1HEALTH\$1INSURANCE\$1NUMBER, FRANCE\$1HEALTH\$1INSURANCE\$1NUMBER, UK\$1NHS\$1NUMBER, USA\$1MEDICARE\$1BENEFICIARY\$1IDENTIFIER
**Unterstützte Länder und Regionen:** Kanada, EU, Finnland, Frankreich, Großbritannien, USA
**Schlüsselwort erforderlich:** Ja. In der folgenden Tabelle sind die Schlüsselwörter aufgeführt, die Macie für bestimmte Länder und Regionen erkennt.
| Land oder Region | Schlüsselwörter |
| --- | --- |
| Kanada | canada healthcare number, msp number, personal healthcare number, phn, soins de santé |
| EU | assicurazione sanitaria numero, carta assicurazione numero, carte d’assurance maladie, carte européenne d'assurance maladie, ceam, ehic, ehic\$1, finlandehicnumber\$1, gesundheitskarte, hälsokort, health card, health card number, health insurance card, health insurance number, insurance card number, krankenversicherungskarte, krankenversicherungsnummer, medical account number, numero conto medico, numéro d’assurance maladie, numéro de carte d’assurance, numéro de compte medical, número de cuenta médica, número de seguro de salud, número de tarjeta de seguro, sairaanhoitokortin, sairausvakuutuskortti, sairausvakuutusnumero, sjukförsäkring nummer, sjukförsäkringskort, suomi ehic-numero, tarjeta de salud, terveyskortti, tessera sanitaria assicurazione numero, versicherungsnummer |
| Finnland | ehic, ehic\$1, finland health insurance card, finlandehicnumber\$1, finska sjukförsäkringskort, hälsokort, health card, health card number, health insurance card, health insurance number, sairaanhoitokortin, sairaanhoitokortin, sairausvakuutuskortti, sairausvakuutusnumero, sjukförsäkring nummer, sjukförsäkringskort, suomen sairausvakuutuskortti, suomi ehic-numero, terveyskortti |
| Frankreich | carte d'assuré social, carte vitale, insurance card |
| Vereinigtes Königreich | national health service, NHS |
| US | mbi, medicare beneficiary |
**Kommentare: Keine**
## Code des HCPCS (Common Procedure Coding System) für das Gesundheitswesen
**ID der verwalteten Daten-ID:** USA\$1HEALTHCARE\$1PROCEDURE\$1CODE
**Unterstützte Länder und Regionen:** USA
**Schlüsselwort erforderlich:** Ja. Zu den Schlüsselwörtern gehören: *current procedural terminology, hcpcs, healthcare common procedure coding system*
**Kommentare:** Keine
## Nationaler Drogenkodex (NDC)
**ID der verwalteten Daten-ID:** USA\$1NATIONAL\$1DRUG\$1CODE
**Unterstützte Länder und Regionen:** USA
**Schlüsselwort erforderlich:** Ja. Zu den Schlüsselwörtern gehören: *national drug code, ndc*
**Kommentare:** Keine
## Nationale Anbieterkennzeichnung (NPI)
**ID der verwalteten Daten-ID:** USA\$1NATIONAL\$1PROVIDER\$1IDENTIFIER
**Unterstützte Länder und Regionen:** USA
**Schlüsselwort erforderlich:** Ja. Zu den Schlüsselwörtern gehören: *hipaa, n.p.i, national provider, npi*
**Kommentare:** Keine
## Eindeutige Gerätekennung (UDI)
**ID der verwalteten Daten-ID:** MEDICAL\$1DEVICE\$1UDI
**Unterstützte Länder und Regionen:** USA
**Schlüsselwort erforderlich:** Ja. Zu den Schlüsselwörtern gehören: *blood, blood bag, dev id, device id, device identifier, gs1, hibcc, iccbba, med, udi, unique device id, unique device identifier*
**Kommentare:** Macie kann eindeutige Gerätekennungen (UDIs) erkennen, die den von der US-amerikanischen Food and Drug Administration zugelassenen Formaten entsprechen. Dazu gehören Standardformate GS1, die von HIBCC und ICCBBA definiert wurden. Die ICCBA-Unterstützung bezieht sich auf den ISBT-Standard.
# Verwaltete Datenkennungen für PII
Amazon Macie kann mithilfe verwalteter Datenkennungen mehrere Arten sensibler, persönlich identifizierbarer Informationen (PII) erkennen. In den Themen auf dieser Seite werden die einzelnen Typen aufgeführt und Informationen zu den verwalteten Datenkennungen bereitgestellt, mit denen die Daten erkannt werden sollen. Jedes Thema enthält die folgenden Informationen:
+ **ID für verwaltete Daten** — Gibt den eindeutigen Bezeichner (ID) für einen oder mehrere verwaltete Datenbezeichner an, mit denen die Daten erkannt werden sollen. Wenn Sie [einen Job zur Erkennung vertraulicher Daten erstellen](discovery-jobs-create.md) oder [Einstellungen für die automatische Erkennung vertraulicher Daten konfigurieren](discovery-asdd-account-configure.md), können Sie IDs damit angeben, welche verwalteten Datenkennungen Macie bei der Datenanalyse verwenden soll.
+ **Unterstützte Länder und Regionen** — Gibt an, für welche Länder und Regionen die entsprechenden Identifikatoren für verwaltete Daten konzipiert sind. *Wenn die verwalteten Datenkennungen nicht für bestimmte Länder oder Regionen konzipiert sind, ist dieser Wert „Beliebig“.*
+ **Schlüsselwort erforderlich** — Gibt an, ob die Erkennung erfordert, dass sich ein Schlüsselwort in der Nähe der Daten befindet. Wenn ein Schlüsselwort erforderlich ist, enthält das Thema auch Beispiele für erforderliche Schlüsselwörter. Informationen darüber, wie Macie bei der Datenanalyse Schlüsselwörter verwendet, finden Sie unter[Anforderungen an Schlüsselwörter](managed-data-identifiers-keywords.md).
+ **Kommentare** — Enthält alle relevanten Informationen, die sich auf Ihre Wahl der verwalteten Daten-ID oder auf Ihre Untersuchung der gemeldeten Vorkommen vertraulicher Daten auswirken könnten. Zu den Details gehören Informationen wie unterstützte Standards, Syntaxanforderungen und Ausnahmen.
Die Themen sind in alphabetischer Reihenfolge nach sensiblen Datentypen aufgelistet.
**Topics**
+ [Geburtsdatum](#mdis-reference-DATE_OF_BIRTH)
+ [Identifikationsnummer des Führerscheins](#mdis-reference-DL-num)
+ [Nummer der Wählerliste](#mdis-reference-electoral-roll-num)
+ [Vollständiger Name](#mdis-reference-full-name)
+ [Koordinaten des Global Positioning Systems (GPS)](#mdis-reference-GPS)
+ [HTTP-Cookie](#mdis-reference-HTTP_COOKIE)
+ [Postanschrift](#mdis-reference-mailing-address)
+ [Nationale Identifikationsnummern](#mdis-reference-national-id)
+ [Nationale Versicherungsnummer (NINO)](#mdis-reference-NINO)
+ [Passnummer](#mdis-reference-passport-num)
+ [Ständige Wohnsitznummer](#mdis-reference-permanent-residence-num)
+ [Phone number (Telefonnummer)](#mdis-reference-phone-num)
+ [Kartennummer für öffentliche Verkehrsmittel](#mdis-reference-public-transport-num)
+ [Sozialversicherungsnummer (SIN)](#mdis-reference-social-insurance-num)
+ [Sozialversicherungsnummer (SSN)](#mdis-reference-social-security-num)
+ [Steuerpflichtigen-Identifikationsnummer oder Referenznummer](#mdis-reference-taxpayer-num)
+ [Fahrzeugidentifikationsnummer (VIN)](#mdis-reference-vin)
## Geburtsdatum
**ID der verwalteten Daten:** DATE\$1OF\$1BIRTH
**Unterstützte Länder und Regionen:** Alle
**Schlüsselwort erforderlich:** Ja. Zu den Schlüsselwörtern gehören: *bday, b-day, birth date, birthday, date of birth, dob*
**Kommentare:** Die Support umfasst die meisten Datumsformate, z. B. alle Ziffern und Kombinationen von Ziffern und Monatsnamen. Datumskomponenten können durch Leerzeichen, Schrägstriche (/) oder Bindestriche (‐) getrennt werden.
## Identifikationsnummer des Führerscheins
**ID für verwaltete Datenbezeichner:** Je nach Land oder Region AUSTRALIA\$1DRIVERS\$1LICENSE, AUSTRIA\$1DRIVERS\$1LICENSE, BELGIUM\$1DRIVERS\$1LICENSE, BULGARIA\$1DRIVERS\$1LICENSE, CANADA\$1DRIVERS\$1LICENSE, CROATIA\$1DRIVERS\$1LICENSE, CYPRUS\$1DRIVERS\$1LICENSE, CZECHIA\$1DRIVERS\$1LICENSE, DENMARK\$1DRIVERS\$1LICENSE, DRIVERS\$1LICENSE (for the US), ESTONIA\$1DRIVERS\$1LICENSE, FINLAND\$1DRIVERS\$1LICENSE, FRANCE\$1DRIVERS\$1LICENSE, GERMANY\$1DRIVERS\$1LICENSE, GREECE\$1DRIVERS\$1LICENSE, HUNGARY\$1DRIVERS\$1LICENSE, INDIA\$1DRIVERS\$1LICENSE, IRELAND\$1DRIVERS\$1LICENSE, ITALY\$1DRIVERS\$1LICENSE, LATVIA\$1DRIVERS\$1LICENSE, LITHUANIA\$1DRIVERS\$1LICENSE, LUXEMBOURG\$1DRIVERS\$1LICENSE, MALTA\$1DRIVERS\$1LICENSE, NETHERLANDS\$1DRIVERS\$1LICENSE, POLAND\$1DRIVERS\$1LICENSE, PORTUGAL\$1DRIVERS\$1LICENSE, ROMANIA\$1DRIVERS\$1LICENSE, SLOVAKIA\$1DRIVERS\$1LICENSE, SLOVENIA\$1DRIVERS\$1LICENSE, SPAIN\$1DRIVERS\$1LICENSE, SWEDEN\$1DRIVERS\$1LICENSE, UK\$1DRIVERS\$1LICENSE
**Unterstützte Länder und Regionen:** Australien, Österreich, Belgien, Bulgarien, Kanada, Kroatien, Zypern, Tschechische Republik, Dänemark, Estland, Finnland, Frankreich, Deutschland, Griechenland, Ungarn, Indien, Irland, Italien, Lettland, Litauen, Luxemburg, Malta, Niederlande, Polen, Portugal, Rumänien, Slowakei, Slowenien, Spanien, Schweden, Großbritannien, USA
**Schlüsselwort erforderlich:** Ja. In der folgenden Tabelle sind die Schlüsselwörter aufgeführt, die Macie für bestimmte Länder und Regionen erkennt.
| Land oder Region | Schlüsselwörter |
| --- | --- |
| Australien | dl\$1, dl:, dlno\$1, driver licence, driver license, driver permit, drivers lic., drivers licence, driver's licence, drivers license, driver's license, drivers permit, driver's permit, drivers permit number, driving licence, driving license, driving permit |
| Österreich | führerschein, fuhrerschein, führerschein republik österreich, fuhrerschein republik osterreich |
| Belgien | fuehrerschein, fuehrerschein- nr, fuehrerscheinnummer, fuhrerschein, führerschein, fuhrerschein- nr, führerschein- nr, fuhrerscheinnummer, führerscheinnummer, numéro permis conduire, permis de conduire, rijbewijs, rijbewijsnummer |
| Bulgarien | превозно средство, свидетелство за управление на моторно, свидетелство за управление на мпс, сумпс, шофьорска книжка |
| Kanada | dl\$1, dl:, dlno\$1, driver licence, driver licences, driver license, driver licenses, driver permit, drivers lic., drivers licence, driver's licence, drivers licences, driver's licences, drivers license, driver's license, drivers licenses, driver's licenses, drivers permit, driver's permit, drivers permit number, driving licence, driving license, driving permit, permis de conduire |
| Kroatien | vozačka dozvola |
| Zypern | άδεια οδήγησης |
| Tschechische Republik | číslo licence, císlo licence řidiče, číslo řidičského průkazu, ovladače lic., povolení k jízdě, povolení řidiče, řidiči povolení, řidičský prúkaz, řidičský průkaz |
| Dänemark | kørekort, kørekortnummer |
| Estland | juhi litsentsi number, juhiloa number, juhiluba, juhiluba number |
| Finnland | ajokortin numero, ajokortti, förare lic., körkort, körkort nummer, kuljettaja lic., permis de conduire |
| Frankreich | permis de conduire |
| Deutschland | fuehrerschein, fuehrerschein- nr, fuehrerscheinnummer, fuhrerschein, führerschein, fuhrerschein- nr, führerschein- nr, fuhrerscheinnummer, führerscheinnummer |
| Griechenland | δεια οδήγησης, adeia odigisis |
| Ungarn | illesztőprogramok lic, jogosítvány, jogsi, licencszám, vezető engedély, vezetői engedély |
| Indien | driver licence, driver licences, driver license, driver licenses, drivers lic., drivers licence, driver's licence, drivers licences, driver's licences, drivers license, driver's license, drivers licenses, driver's licenses, driving licence, driving license |
| Irland | ceadúnas tiomána |
| Italien | patente di guida, patente di guida numero, patente guida, patente guida numero |
| Lettland | autovadītāja apliecība, licences numurs, vadītāja apliecība, vadītāja apliecības numurs, vadītāja atļauja, vadītāja licences numurs, vadītāji lic. |
| Litauen | vairuotojo pažymėjimas |
| Luxemburg | fahrerlaubnis, führerschäin |
| Malta | liċenzja tas-sewqan |
| Niederlande | permis de conduire, rijbewijs, rijbewijsnummer |
| Polen | numer licencyjny, prawo jazdy, zezwolenie na prowadzenie |
| Portugal | carta de condução, carteira de habilitação, carteira de motorist, carteira habilitação, carteira motorist, licença condução, licença de condução, número de licença, número licença, permissão condução, permissão de condução |
| Rumänien | numărul permisului de conducere, permis de conducere |
| Slowakei | číslo licencie, číslo vodičského preukazu, ovládače lic., povolenia vodičov, povolenie jazdu, povolenie na jazdu, povolenie vodiča, vodičský preukaz |
| Slowenien | vozniško dovoljenje |
| Spanien | carnet conducer, el carnet de conducer, licencia conducer, licencia de manejo, número carnet conducer, número de carnet de conducer, número de permiso conducer, número de permiso de conducer, número licencia conducer, número permiso conducer, permiso conducción, permiso conducer, permiso de conducción |
| Schweden | ajokortin numero, dlno\$1 ajokortti, drivere lic., förare lic., körkort, körkort nummer, körkortsnummer, kuljettajat lic. |
| UK | dl\$1, dl:, dlno\$1, driver licence, driver licences, driver license, driver licenses, driver permit, drivers lic., drivers licence, driver's licence, drivers licences, driver's licences, drivers license, driver's license, drivers licenses, driver's licenses, drivers permit, driver's permit, drivers permit number, driving licence, driving license, driving permit |
| US | dl\$1, dl:, dlno\$1, driver licence, driver licences, driver license, driver licenses, driver permit, drivers lic., drivers licence, driver's licence, drivers licences, driver's licences, drivers license, driver's license, drivers licenses, driver's licenses, drivers permit, driver's permit, drivers permit number, driving licence, driving license, driving permit |
**Kommentare: Keine**
## Nummer der Wählerliste
**ID der verwalteten Daten-ID:** UK\$1ELECTORAL\$1ROLL\$1NUMBER
**Unterstützte Länder und Regionen:** Großbritannien
**Schlüsselwort erforderlich:** Ja. Zu den Schlüsselwörtern gehören: *electoral \$1, electoral number, electoral roll \$1, electoral roll no., electoral roll number, electoralrollno*
**Kommentare:** Keine
## Vollständiger Name
**ID der verwalteten Daten-ID:** NAME
**Unterstützte Länder und Regionen:** Alle
**Schlüsselwort erforderlich:** Nein
**Kommentare:** Macie kann nur vollständige Namen erkennen. Unterstützt werden nur lateinische Zeichensätze.
## Koordinaten des Global Positioning Systems (GPS)
**ID der verwalteten Daten-ID:** LATITUDE\$1LONGITUDE
**Unterstützte Länder und Regionen:** Alle, wenn sich die Koordinaten in der Nähe eines englischen Schlüsselworts befinden.
**Schlüsselwort erforderlich:** Ja. Zu den Schlüsselwörtern gehören: *coordinate, coordinates, lat long, latitude longitude, position*
**Kommentare:** Macie kann GPS-Koordinaten erkennen, wenn die Breiten- und Längengradkoordinaten paarweise gespeichert werden und sie beispielsweise `41.948614,-87.655311` im Format Dezimal Degrees (DD) vorliegen. Die Support umfasst nicht die Erkennung von Koordinaten im Format Degrees Decimal Minutes (DDM) oder beispielsweise `41°56.9168'N 87°39.3187'W` im Format Degrees, Minutes, Seconds (DMS). `41°56'55.0104"N 87°39'19.1196"W`
## HTTP-Cookie
**ID der verwalteten Daten-ID:** HTTP\$1COOKIE
**Unterstützte Länder und Regionen:** Alle
**Schlüsselwort erforderlich:** Nein
**Kommentare:** Für die Erkennung ist eine vollständige `Set-Cookie` Kopfzeile `Cookie` oder ein Header erforderlich. Der Header kann ein oder mehrere Name-Wert-Paare enthalten, zum Beispiel: `Set-Cookie: id=TWlrZQ` und. `Cookie: session=3948; lang=en`
## Postanschrift
ID der **verwalteten Daten-ID:** ADDRESS (für Australien, Kanada, Frankreich, Deutschland, Italien, Spanien, Großbritannien und die USA), BRAZIL\$1CEP\$1CODE (für Brasiliens Código de Endereçamento Postal)
**Unterstützte Länder und Regionen:** Australien, Brasilien, Kanada, Frankreich, Deutschland, Italien, Spanien, Großbritannien, USA
**Erforderliches Schlüsselwort:** Variiert. Für die ADDRESS verwaltete Daten-ID sind keine Schlüsselwörter erforderlich. Für den Identifier für BRAZIL\$1CEP\$1CODE verwaltete Daten sind Schlüsselwörter erforderlich. Zu den Schlüsselwörtern gehören: *cep, código de endereçamento postal, codigo de endereçamento postal, código postal, codigo postal*
**Kommentare:** Obwohl für die ADDRESS verwaltete Daten-ID kein Schlüsselwort erforderlich ist, erfordert die Erkennung, dass eine Adresse den Namen einer Stadt oder eines Ortes und eine entsprechende Postleitzahl oder Postleitzahl in einem unterstützten Land oder einer unterstützten Region enthält. Der BRAZIL\$1CEP\$1CODE verwaltete Datenbezeichner kann nur den Teil mit dem Code Code de Endereçamento Postal (CEP) einer Adresse erkennen.
## Nationale Identifikationsnummern
Die Support umfasst: Aadhaar-Nummern für Indien; Cédula de Ciudadanía-Nummern für Kolumbien; Clave Única de Registro de Población (CURP) -Nummern für Mexiko; Codice Fiscale-Nummern für Italien; Documento Nacional de Identidad (DNI) -Nummern für Argentinien und Spanien; Codes des französischen Nationalen Instituts für Statistik und Wirtschaftsstudien (INSEE); deutsche Personalausweisnummern; Registro Geral (RR) G) -Nummern für Brasilien und Rol Único Nacional (RUN) -Nummern für Chile.
ID der **verwalteten Daten-ID:** Je nach Land oder Region ARGENTINA\$1DNI\$1NUMBER, BRAZIL\$1RG\$1NUMBER, CHILE\$1RUT\$1NUMBER, COLOMBIA\$1CITIZENSHIP\$1CARD\$1NUMBER, FRANCE\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, GERMANY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, INDIA\$1AADHAAR\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, MEXICO\$1CURP\$1NUMBER, SPAIN\$1DNI\$1NUMBER
**Unterstützte Länder und Regionen:** Argentinien, Brasilien, Chile, Kolumbien, Frankreich, Deutschland, Indien, Italien, Mexiko, Spanien
**Schlüsselwort erforderlich:** Ja. In der folgenden Tabelle sind die Schlüsselwörter aufgeführt, die Macie für bestimmte Länder und Regionen erkennt.
| Land oder Region | Schlüsselwörter |
| --- | --- |
| Argentinien | dni, dni\$1, d.n.i., documento nacional de identidad |
| Brasilien | registro geral, rg |
| Chile | identidad número, nacional identidad, national unique role, nationaluniqueroleID\$1, número identificación, rol único nacional, rol único tributario, run, run\$1, r.u.n., rut, rut\$1, r.u.t., unique national number, unique national role, unique tax registry, unique tax role, unique tributary number, unique tributary role |
| Kolumbien | cédula de ciudadanía, documento de identificación |
| Frankreich | assurance sociale, carte nationale d’identité, cni, code sécurité sociale, French social security number, fssn\$1, insee, insurance number, national id number, nationalid\$1, numéro d'assurance, sécurité sociale, sécurité sociale non., sécurité sociale numéro, social, social security, social security number, socialsecuritynumber, ss\$1, ssn, ssn\$1 |
| Deutschland | ausweisnummer, id number, identification number, identity number, insurance number, personal id, personalausweis |
| Indien | aadhaar, aadhar, adhaar, uidai |
| Italien | codice fiscal, dati anagrafici, ehic, health card, health insurance card, p. iva, partita i.v.a., personal data, tax code, tessera sanitaria |
| Mexiko | clave personal identidad, clave única, clave única de registro de población, clavepersonalIdentidad, curp, registration code, registry code, personal identidad clave, population code |
| Spanien | dni, dni\$1, dninúmero\$1, documento nacional de identidad, identidad único, identidadúnico\$1, insurance number, national identification number, national identity, nationalid\$1, nationalidno\$1, número nacional identidad, personal identification number, personal identity no, unique identity number, uniqueid\$1 |
**Kommentare:** Die verwaltete Datenkennung für Chile (CHILE\$1RUT\$1NUMBER) dient zur Erkennung sowohl von Rol Único Nacional (RUN) -Nummern als auch von Rol Único Tributario (RUT) -Nummern. Bei beiden Zahlentypen meldet Macie keine Vorkommnisse, bei denen alle Ziffern Nullen sind, z. B. weil sie häufig als Beispiele verwendet werden. `00000000-K`
Obwohl die DNI-Nummern für Argentinien und Spanien unterschiedliche Syntaxen haben, gibt es Ähnlichkeiten zwischen ihnen. Daher könnte Macie eine DNI-Nummer für Argentinien als DNI-Nummer für Spanien melden oder umgekehrt. Darüber hinaus meldet Macie keine Vorkommen der folgenden Zeichenfolgen, die üblicherweise als DNI-Beispielnummern verwendet werden: und. `99999999` `99.999.999` Macie meldet auch keine Vorkommnisse, die nur aus Nullen bestehen, z. B. und. `000000000` `00.000.000`
## Nationale Versicherungsnummer (NINO)
**ID der verwalteten Daten-ID:** UK\$1NATIONAL\$1INSURANCE\$1NUMBER
**Unterstützte Länder und Regionen:** Großbritannien
**Schlüsselwort erforderlich:** Ja. Zu den Schlüsselwörtern gehören: *insurance no., insurance number, insurance\$1, national insurance number, nationalinsurance\$1, nationalinsurancenumber, nin, nino*
**Kommentare:** Keine
## Passnummer
ID der **verwalteten Daten-ID:** Je nach Land oder Region CANADA\$1PASSPORT\$1NUMBER, FRANCE\$1PASSPORT\$1NUMBER, GERMANY\$1PASSPORT\$1NUMBER, ITALY\$1PASSPORT\$1NUMBER, SPAIN\$1PASSPORT\$1NUMBER, UK\$1PASSPORT\$1NUMBER, USA\$1PASSPORT\$1NUMBER
**Unterstützte Länder und Regionen:** Kanada, Frankreich, Deutschland, Italien, Spanien, Großbritannien, USA
**Schlüsselwort erforderlich:** Ja. In der folgenden Tabelle sind die Schlüsselwörter aufgeführt, die Macie für bestimmte Länder und Regionen erkennt.
| Land oder Region | Schlüsselwörter |
| --- | --- |
| Kanada | passeport, passeport\$1, passport, passport\$1, passportno, passportno\$1 |
| Frankreich | numéro de passeport, passeport, passeport \$1, passeport n °, passeport non |
| Deutschland | ausstellungsdatum, ausstellungsort, geburtsdatum, passport, passports, reisepass, reisepass–nr, reisepassnummer |
| Italien | italian passport number, numéro passeport, numéro passeport italien, passaporto, passaporto italiana, passaporto numero, passport number, repubblica italiana passaporto |
| Spanien | españa pasaporte, libreta pasaporte, número pasaporte, pasaporte, passport, passport book, passport no, passport number, spain passport |
| UK | passeport \$1, passeport n °, passeport non, passeportn °, passport \$1, passport no, passport number, passport\$1, passportid |
| US | passport, travel document |
**Kommentare: Keine**
## Ständige Wohnsitznummer
**ID der verwalteten Daten-ID:** CANADA\$1NATIONAL\$1IDENTIFICATION\$1NUMBER
**Unterstützte Länder und Regionen:** Kanada
**Schlüsselwort erforderlich:** Ja. Zu den Schlüsselwörtern gehören: *carte résident permanent, numéro carte résident permanent, numéro résident permanent, permanent resident card, permanent resident card number, permanent resident no, permanent resident no., permanent resident number, pr no, pr no., pr non, pr number, résident permanent no., résident permanent non*
**Kommentare:** Keine
## Phone number (Telefonnummer)
ID der **verwalteten Daten-ID:** Je nach Land oder Region BRAZIL\$1PHONE\$1NUMBER, FRANCE\$1PHONE\$1NUMBER, GERMANY\$1PHONE\$1NUMBER, ITALY\$1PHONE\$1NUMBER, PHONE\$1NUMBER (for Canada and the US), SPAIN\$1PHONE\$1NUMBER, UK\$1PHONE\$1NUMBER
**Unterstützte Länder und Regionen:** Brasilien, Kanada, Frankreich, Deutschland, Italien, Spanien, Großbritannien, USA
**Erforderliches Schlüsselwort:** Variiert. Wenn sich ein Schlüsselwort in der Nähe der Daten befindet, muss die Nummer keine Landesvorwahl enthalten. Zu den Schlüsselwörtern gehören: *cell, contact, fax, fax number, mobile, phone, phone number, tel, telephone, telephone number*. Für Brasilien gehören zu den Schlüsselwörtern auch: *cel, celular, fone, móvel, número residencial, numero residencial, telefone*. Wenn sich ein Schlüsselwort nicht in der Nähe der Daten befindet, muss die Nummer eine Landesvorwahl enthalten.
**Kommentare:** Für die USA umfasst der Support gebührenfreie Nummern.
## Kartennummer für öffentliche Verkehrsmittel
**ID der verwalteten Daten-ID:** ARGENTINA\$1TARJETA\$1SUBE
**Unterstützte Länder und Regionen:** Argentinien
**Schlüsselwort erforderlich:** Ja. Zu den Schlüsselwörtern gehören: *sistema único de boleto electrónico, sube*
**Kommentare:** Macie kann 16-stellige Kartennummern des Sistema Único de Boleto Electrónico (SUBE) erkennen, die mit der Luhn-Scheckformel beginnen und dieser entsprechen. `6061` Die Bestandteile der Kartennummer können durch Leerzeichen oder Bindestriche (‐) getrennt werden oder es kann kein Trennzeichen verwendet werden, z. B., und. `6061 1234 1234 1234` `6061‐1234‐1234‐1234` `6061123412341234`
## Sozialversicherungsnummer (SIN)
**ID der verwalteten Daten-ID:** CANADA\$1SOCIAL\$1INSURANCE\$1NUMBER
**Unterstützte Länder und Regionen:** Kanada
**Schlüsselwort erforderlich:** Ja. Zu den Schlüsselwörtern gehören: *canadian id, numéro d'assurance sociale, sin, social insurance number*
**Kommentare:** Keine
## Sozialversicherungsnummer (SSN)
ID der **verwalteten Daten-ID:** Je nach Land oder Region, SPAIN\$1SOCIAL\$1SECURITY\$1NUMBER USA\$1SOCIAL\$1SECURITY\$1NUMBER
**Unterstützte Länder und Regionen:** Spanien, USA
**Schlüsselwort erforderlich:** Ja. Für Spanien gehören zu den Schlüsselwörtern: *número de la seguridad social, social security no., social security number, socialsecurityno\$1, ssn, ssn\$1*. Für die USA gehören zu den Schlüsselwörtern: *social security, ss\$1, ssn*.
**Kommentare:** Keine
## Steuerpflichtigen-Identifikationsnummer oder Referenznummer
Die Support umfasst: CUIL- und CUIT-Codes für Argentinien; CIF-, NIE- und NIF-Nummern für Spanien; CNPJ- und CPF-Nummern für Brasilien; Codice Fiscale-Nummern für Italien; für die USA; NIT-Nummern ITINs für Kolumbien; für Indien; RFC-Nummern für Mexiko; PANs RUT- und RUT-Nummern für Chile; Steueridentifikationsnummern für Deutschland; für Australien; für Frankreich; und TRN- und UTR-Nummern TFNs für Großbritannien. TINs
ID der **verwalteten Daten-ID:** Je nach Land oder Region ARGENTINA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER, ARGENTINA\$1ORGANIZATION\$1TAX\$1IDENTIFICATION\$1NUMBER, AUSTRALIA\$1TAX\$1FILE\$1NUMBER, BRAZIL\$1CNPJ\$1NUMBER, BRAZIL\$1CPF\$1NUMBER, CHILE\$1RUT\$1NUMBER, COLOMBIA\$1INDIVIDUAL\$1NIT\$1NUMBER, COLOMBIA\$1ORGANIZATION\$1NIT\$1NUMBER, FRANCE\$1TAX\$1IDENTIFICATION\$1NUMBER, GERMANY\$1TAX\$1IDENTIFICATION\$1NUMBER, INDIA\$1PERMANENT\$1ACCOUNT\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, MEXICO\$1INDIVIDUAL\$1RFC\$1NUMBER, MEXICO\$1ORGANIZATION\$1RFC\$1NUMBER, SPAIN\$1NIE\$1NUMBER, SPAIN\$1NIF\$1NUMBER, SPAIN\$1TAX\$1IDENTIFICATION\$1NUMBER, UK\$1TAX\$1IDENTIFICATION\$1NUMBER, USA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER
**Unterstützte Länder und Regionen:** Argentinien, Australien, Brasilien, Chile, Kolumbien, Frankreich, Deutschland, Indien, Italien, Mexiko, Spanien, Großbritannien, USA
**Schlüsselwort erforderlich:** Ja. In der folgenden Tabelle sind die Schlüsselwörter aufgeführt, die Macie für bestimmte Länder und Regionen erkennt.
| Land oder Region | Schlüsselwörter |
| --- | --- |
| Argentinien | argentina taxpayer id, clave única de identificación tributaria, cuil, c.u.i.l, cuit, c.u.i.t, número de identificación fiscal, número de contribuyente, unified labor identification code |
| Australien | tax file number, tfn |
| Brasilien | cadastro de pessoa física, cadastro de pessoa fisica, cadastro de pessoas físicas, cadastro de pessoas fisicas, cadastro nacional da pessoa jurídica, cadastro nacional da pessoa juridica, cnpj, cpf |
| Chile | identidad número, nacional identidad, national unique role, nationaluniqueroleID\$1, número identificación, rol único nacional, rol único tributario, run, run\$1, r.u.n., rut, rut\$1, r.u.t., unique national number, unique national role, unique tax registry, unique tax role, unique tributary number, unique tributary role |
| Kolumbien | nit, nit., nit\$1, n.i.t. |
| Frankreich | numéro d'identification fiscal, tax id, tax identification number, tax number, tin, tin\$1 |
| Deutschland | identifikationsnummer, steuer id, steueridentifikationsnummer, steuernummer, tax id, tax identification number, tax number |
| Indien | e-pan, pan card, pan number, permanent account number |
| Italien | codice fiscal, dati anagrafici, ehic, health card, health insurance card, p. iva, partita i.v.a., personal data, tax code, tessera sanitaria |
| Mexiko | código del registro federal de contribuyentes, identificación de impuestos, identificacion de impuestos, impuesto al valor agregado, iva, iva\$1, i.v.a., registro federal de contribuyentes, rfc, rfc\$1, r.f.c. |
| Spanien | cif, cif número, cifnúmero\$1, nie, nif, número de contribuyente, número de identidad de extranjero, número de identificación fiscal, número de impuesto corporativo, personal tax number, tax id, tax identification number, tax number, tin, tin\$1 |
| UK | paye, tax id, tax id no., tax id number, tax identification, tax identification\$1, tax no., tax number, tax reference, tax\$1, taxid\$1, temporary reference number, tin, trn, unique tax reference, unique taxpayer reference, utr |
| US | i.t.i.n., individual taxpayer identification number, itin |
**Kommentare:** Die verwaltete Datenkennung für Chile (CHILE\$1RUT\$1NUMBER) dient zur Erkennung sowohl von Rol Único Nacional (RUN) -Nummern als auch von Rol Único Tributario (RUT) -Nummern. Bei RFC-Nummern (Registro Federal de Contribuyentes) für Mexiko meldet Macie keine Vorkommen der folgenden Zeichenfolgen, die üblicherweise als RFC-Beispielnummern verwendet werden: und. `XAXX010101000` `XEXX010101000`
Bei verschiedenen Arten von Steueridentifikations- und Referenznummern meldet Macie keine Vorkommnisse, bei denen alle Ziffern Nullen sind, z. B., und. `00000000-K` `000000000` `00.000.000` Dies liegt daran, dass in Beispielen für bestimmte Arten von Steueridentifikations- und Referenznummern häufig nur Nullen verwendet werden.
## Fahrzeugidentifikationsnummer (VIN)
**ID der verwalteten Daten-ID:** VEHICLE\$1IDENTIFICATION\$1NUMBER
**Unterstützte Länder und Regionen:** Alle, wenn sich die Fahrgestellnummer in der Nähe eines Schlüsselworts in einer der folgenden Sprachen befindet: Englisch, Französisch, Deutsch, Litauisch, Polnisch, Portugiesisch, Rumänisch oder Spanisch.
**Schlüsselwort erforderlich:** Ja. Zu den Schlüsselwörtern gehören: *Fahrgestellnummer, niv, numarul de identificare, numarul seriei de sasiu, numer VIN, Número de Identificação do Veículo, Número de Identificación de Automóviles, numéro d'identification du véhicule, vehicle identification number, vin, VIN numeris*
**Kommentare:** Macie kann erkennen VINs , dass diese aus einer Sequenz mit 17 Zeichen bestehen und die Normen ISO 3779 und 3780 einhalten. Diese Standards wurden für den weltweiten Einsatz konzipiert.
# Erstellen von benutzerdefinierten Datenbezeichnern
Sie können nicht nur die von Amazon Macie bereitgestellten verwalteten Datenkennungen verwenden, sondern auch benutzerdefinierte Datenkennungen erstellen und verwenden. Eine *benutzerdefinierte Daten-ID* ist eine Reihe von Kriterien, die Sie definieren, um sensible Daten in Amazon Simple Storage Service (Amazon S3) -Objekten zu erkennen. Die Kriterien bestehen aus einem regulären Ausdruck (*Regex*), der ein zu suchendes Textmuster definiert und optional Zeichenfolgen und eine Näherungsregel zur Eingrenzung der Ergebnisse festlegt. Bei den Zeichenfolgen kann es sich um: *Schlüsselwörter*, also Wörter oder Ausdrücke, die in der Nähe von Text stehen müssen, der dem regulären Ausdruck entspricht, oder um *Wörter ignorieren, bei denen es sich um Wörter* oder Ausdrücke handelt, die aus den Ergebnissen ausgeschlossen werden sollen.
Mit benutzerdefinierten Datenkennungen können Sie Erkennungskriterien definieren, die die speziellen Szenarien, das geistige Eigentum oder die firmeneigenen Daten Ihres Unternehmens widerspiegeln. Sie können beispielsweise Mitarbeiter- IDs, Kundenkontonummern oder interne Datenklassifizierungen ermitteln. Wenn Sie [Aufträge zur Erkennung vertraulicher Daten oder die automatische Erkennung](discovery-jobs.md) [sensibler Daten](discovery-asdd.md) so konfigurieren, dass diese Kennungen verwendet werden, können Sie die von Macie bereitgestellten [verwalteten Datenkennungen](managed-data-identifiers.md) ergänzen.
Zusätzlich zu den Erkennungskriterien können Sie optional benutzerdefinierte Schweregradeinstellungen für Ergebnisse konfigurieren, die eine benutzerdefinierte Daten-ID hervorruft. Standardmäßig weist Macie allen Ergebnissen, die eine benutzerdefinierte Daten-ID ergibt, den Schweregrad *Mittel* zu. Der Schweregrad ändert sich nicht, je nachdem, wie oft Text vorkommt, der den Erkennungskriterien einer Kennung entspricht. Wenn Sie benutzerdefinierte Einstellungen für den Schweregrad konfigurieren, kann der Schweregrad auf der Anzahl der Textvorkommen basieren, die den Kriterien entsprechen.
**Topics**
+ [Konfigurationsoptionen für benutzerdefinierte Datenbezeichner](cdis-options.md)
+ [Erstellen einer benutzerdefinierten Datenkennung](cdis-create.md)
+ [Löschen einer benutzerdefinierten Daten-ID](cdis-delete.md)
# Konfigurationsoptionen für benutzerdefinierte Datenbezeichner
Mithilfe von benutzerdefinierten Datenbezeichnern können Sie benutzerdefinierte Kriterien für die Erkennung sensibler Daten in Amazon Simple Storage Service (Amazon S3) -Objekten definieren. Sie können die [verwalteten Datenkennungen](managed-data-identifiers.md), die Amazon Macie bereitstellt, ergänzen und sensible Daten erkennen, die die speziellen Szenarien, das geistige Eigentum oder die firmeneigenen Daten Ihres Unternehmens widerspiegeln.
Jeder benutzerdefinierte Datenbezeichner gibt Erkennungskriterien und optional Schweregradeinstellungen für Ergebnisse an, die anhand der Kennung ermittelt werden. Die Erkennungskriterien spezifizieren einen regulären Ausdruck, der ein Textmuster definiert, dem in einem S3-Objekt entsprochen werden soll. Die Kriterien können auch Zeichenfolgen und eine Näherungsregel angeben, mit denen die Ergebnisse verfeinert werden. Die Schweregradeinstellungen geben an, welcher Schweregrad den Ergebnissen zugewiesen werden soll. Der Schweregrad kann auf der Anzahl der Textvorkommen basieren, die den Erkennungskriterien des Bezeichners entsprechen.
**Topics**
+ [Erkennungskriterien](#cdis-detection-criteria)
+ [Einstellungen für den Schweregrad der Ergebnisse](#cdis-finding-severity)
## Erkennungskriterien
Wenn Sie einen benutzerdefinierten Datenbezeichner erstellen, geben Sie einen regulären Ausdruck (*Regex*) an, der ein passendes Textmuster definiert. Sie können auch Zeichenfolgen wie Wörter und Ausdrücke sowie eine Näherungsregel angeben, um die Ergebnisse zu verfeinern. Bei den Zeichenfolgen kann es sich um: *Schlüsselwörter*, also Wörter oder Ausdrücke, die in der Nähe von Text stehen müssen, der dem regulären Ausdruck entspricht, oder um *Wörter ignorieren, bei denen es sich um Wörter* oder Ausdrücke handelt, die aus den Ergebnissen ausgeschlossen werden sollen.
Für die Regex unterstützt Amazon Macie eine Teilmenge der Mustersyntax, die von der Bibliothek [Perl Compatible Regular Expressions](https://www.pcre.org/) (PCRE) bereitgestellt wird. Von den in der PCRE-Bibliothek bereitgestellten Konstrukten unterstützt Macie die folgenden Musterelemente nicht:
+ Rückverweise
+ Gruppen erfassen
+ Bedingungsmuster
+ Eingebetteter Code
+ Globale Musterflags, wie `/i``/m`, und `/x`
+ Rekursive Muster
+ Positive und negative Look-Behind- und Look-Ahead-Assertionen mit einer Breite von Null, wie,, und `?=` `?!` `?<=` `?
Wenn Sie eine benutzerdefinierte Daten-ID erstellen, können Sie auch benutzerdefinierte Einstellungen für den Schweregrad der Ergebnisse angeben, die anhand der Kennung erkannt werden. Standardmäßig weist Amazon Macie allen Ergebnissen, die eine benutzerdefinierte Daten-ID liefert, den Schweregrad *Mittel* zu. Wenn ein S3-Objekt mindestens einmal Text enthält, der den Erkennungskriterien entspricht, weist Macie dem resultierenden Ergebnis automatisch den Schweregrad *Mittel* zu.
Mit benutzerdefinierten Schweregradeinstellungen geben Sie an, welcher Schweregrad auf der Grundlage der Anzahl von Textvorkommen zugewiesen werden soll, die den Erkennungskriterien entsprechen. Sie können *Schwellenwerte für Vorkommen für bis* zu drei Schweregrade definieren: *Niedrig* (am wenigsten schwerwiegend), *Mittel* und *Hoch* (am schwersten). Ein *Schwellenwert für Vorkommnisse* ist die Mindestanzahl von Übereinstimmungen, die in einem S3-Objekt vorhanden sein müssen, um ein Ergebnis mit dem angegebenen Schweregrad zu erhalten. *Wenn Sie mehr als einen Schwellenwert angeben, müssen die Schwellenwerte nach Schweregrad in aufsteigender Reihenfolge angegeben werden, d. h. von *Niedrig* bis Hoch.*
Die folgende Abbildung zeigt beispielsweise Schweregradeinstellungen, die drei Schwellenwerte angeben, einen für jeden Schweregrad, den Macie unterstützt.
![\[Schweregradeinstellungen, die Schwellenwerte für das Auftreten von Vorkommen für die Schweregrade Niedrig, Mittel und Hoch angeben.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/scrn-cdi-severity.png)
In der folgenden Tabelle wird der Schweregrad der Ergebnisse angegeben, die mit der benutzerdefinierten Daten-ID erzielt wurden.
| Schwellenwert für Vorkommen | Schweregrad | Ergebnis |
| --- | --- | --- |
| 1 | Niedrig | Wenn ein S3-Objekt 1—49 Textvorkommen enthält, die den Erkennungskriterien entsprechen, ist der Schweregrad des resultierenden Ergebnisses Niedrig. |
| 50 | Mittel | Wenn ein S3-Objekt 50—99 Textstellen enthält, die den Erkennungskriterien entsprechen, lautet der Schweregrad des resultierenden Ergebnisses Mittel. |
| 100 | Hoch | Wenn ein S3-Objekt 100 oder mehr Textstellen enthält, die den Erkennungskriterien entsprechen, lautet der Schweregrad des resultierenden Ergebnisses Hoch. |
Sie können auch die Einstellungen für den Schweregrad verwenden, um anzugeben, ob überhaupt ein Befund erstellt werden soll. Wenn ein S3-Objekt weniger Vorkommen enthält als der Schwellenwert für das niedrigste Vorkommen, erstellt Macie keinen Befund.
# Erstellen einer benutzerdefinierten Datenkennung
Eine *benutzerdefinierte Daten-ID* ist eine Reihe von Kriterien, die Sie definieren, um sensible Daten in Amazon Simple Storage Service (Amazon S3) -Objekten zu erkennen. Wenn Sie eine benutzerdefinierte Daten-ID erstellen, geben Sie einen regulären Ausdruck (*Regex*) an, der ein Textmuster definiert, mit dem in einem S3-Objekt abgeglichen werden soll. Sie können auch Zeichenfolgen und eine Näherungsregel angeben, um die Ergebnisse zu verfeinern. Bei den Zeichenfolgen kann es sich um: *Schlüsselwörter*, d. h. Wörter oder Ausdrücke, die in der Nähe von Text stehen müssen, der dem regulären Ausdruck entspricht, oder um *Wörter ignorieren, bei denen es sich um Wörter* oder Ausdrücke handelt, die aus den Ergebnissen ausgeschlossen werden sollen. Durch die Verwendung benutzerdefinierter Datenkennungen können Sie die von Amazon Macie [bereitgestellten verwalteten Datenkennungen](managed-data-identifiers.md) ergänzen und sensible Daten erkennen, die die speziellen Szenarien, das geistige Eigentum oder die firmeneigenen Daten Ihres Unternehmens widerspiegeln.
Beispielsweise haben viele Unternehmen eine spezifische Syntax für Mitarbeiter. IDs Eine solche Syntax könnte lauten: ein Großbuchstabe, der angibt, ob es sich bei einem Mitarbeiter um einen Vollzeit- (*F*) oder Teilzeitbeschäftigten (*P*) handelt, gefolgt von einem Bindestrich (—), gefolgt von einer achtstelligen Sequenz, die den Mitarbeiter identifiziert. *Beispiele sind: *F—12345678* für einen Vollzeitbeschäftigten und P—87654321 für einen Teilzeitbeschäftigten.* Um Mitarbeiter zu finden, die diese Syntax verwenden IDs , können Sie einen benutzerdefinierten Datenbezeichner erstellen, der den folgenden regulären Ausdruck angibt:. `[A-Z]-\d{8}` Um die Analyse zu verfeinern und Fehlalarme zu vermeiden, können Sie den Bezeichner auch so konfigurieren, dass er Schlüsselwörter (`employee`und`employee ID`) und einen maximalen Übereinstimmungsabstand von 20 Zeichen verwendet. Mit diesen Kriterien schließen die Ergebnisse Text ein, der mit der Regex übereinstimmt, wenn der Text nach dem Schlüsselwort *Mitarbeiter* oder *Mitarbeiter-ID* steht und der gesamte Text innerhalb von 20 Zeichen vor einem dieser Schlüsselwörter steht.
Sehen Sie sich das folgende Video an, um zu zeigen, wie Stichwörter Ihnen helfen können, vertrauliche Daten zu finden und Fehlalarme zu vermeiden:
Zusätzlich zu den Erkennungskriterien können Sie optional benutzerdefinierte Einstellungen für den Schweregrad von Ergebnissen angeben, die eine benutzerdefinierte Daten-ID hervorruft. Der Schweregrad kann auf der Anzahl der Textvorkommen basieren, die den Erkennungskriterien der Kennung entsprechen. Wenn Sie diese Einstellungen nicht angeben, weist Macie allen Ergebnissen, die die Kennung liefert, automatisch den Schweregrad *Mittel* zu. Der Schweregrad ändert sich nicht, je nachdem, wie oft Text vorkommt, der den Erkennungskriterien der Kennung entspricht.
Ausführliche Informationen zu diesen und anderen Einstellungen finden Sie unter[Konfigurationsoptionen für benutzerdefinierte Datenbezeichner](cdis-options.md).
**So erstellen Sie einen benutzerdefinierten Datenbezeichner**
Sie können mithilfe der Amazon Macie-Konsole oder der Amazon Macie Macie-API eine benutzerdefinierte Daten-ID erstellen.
------
#### [ Console ]
Gehen Sie wie folgt vor, um mithilfe der Amazon Macie Macie-Konsole eine benutzerdefinierte Daten-ID zu erstellen.
**Um eine benutzerdefinierte Daten-ID zu erstellen**
1. Öffnen Sie die Amazon Macie Macie-Konsole unter [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/).
1. Wählen Sie im Navigationsbereich unter **Einstellungen** die Option **Benutzerdefinierte Datenkennungen** aus.
1. Wählen Sie **Erstellen** aus.
1. Geben Sie **unter Name** einen Namen für den benutzerdefinierten Datenbezeichner ein. Der Name darf maximal 128 Zeichen enthalten.
1. Geben Sie unter **Beschreibung** optional eine kurze Beschreibung der benutzerdefinierten Daten-ID ein. Die Beschreibung darf maximal 512 Zeichen enthalten.
**Anmerkung**
Vermeiden Sie es, vertrauliche Daten in den Namen oder die Beschreibung einer benutzerdefinierten Daten-ID aufzunehmen. Andere Benutzer Ihres Kontos können möglicherweise auf den Namen oder die Beschreibung zugreifen, je nachdem, welche Aktionen sie in Macie ausführen dürfen.
1. Geben Sie für **Reguläre Ausdrücke** den regulären Ausdruck (*Regex*) ein, der das passende Textmuster definiert. Der reguläre Ausdruck kann bis zu 512 Zeichen enthalten.
Macie unterstützt eine Teilmenge der Mustersyntax, die von der Bibliothek [Perl Compatible Regular Expressions](https://www.pcre.org/) (PCRE) bereitgestellt wird. Weitere Informationen und Tipps finden Sie unter [Erkennungskriterien für](cdis-options.md#cdis-detection-criteria) benutzerdefinierte Datenbezeichner.
1. Geben Sie für **Schlüsselwörter** optional bis zu 50 Zeichenfolgen (durch Kommas getrennt) ein, um bestimmten Text zu definieren, der sich in der Nähe von Text befinden muss, der dem Regex-Muster entspricht.
Macie nimmt ein Vorkommen nur dann in die Ergebnisse auf, wenn der Text dem Regex-Muster entspricht und sich der Text innerhalb der maximalen Übereinstimmungsdistanz zu einem dieser Schlüsselwörter befindet. Jedes Schlüsselwort kann 3—90 UTF-8-Zeichen enthalten. Bei Schlüsselwörtern muss die Groß- und Kleinschreibung nicht beachtet werden.
1. Geben Sie für **Wörter ignorieren** optional bis zu 10 Zeichenfolgen (durch Kommas getrennt) ein, die bestimmten Text definieren, der aus den Ergebnissen ausgeschlossen werden soll.
Macie schließt ein Vorkommen aus den Ergebnissen aus, wenn der Text dem Regex-Muster entspricht, aber eines dieser Ignorierwörter enthält. Jedes Ignorierwort kann 4—90 UTF-8-Zeichen enthalten. Die zu ignorierenden Wörter unterscheiden zwischen Groß- und Kleinschreibung.
1. Geben Sie für **Maximaler Übereinstimmungsabstand** optional die maximale Anzahl von Zeichen ein, die zwischen dem Ende eines Schlüsselworts und dem Ende des Textes, der dem Regex-Muster entspricht, bestehen können.
Macie nimmt ein Vorkommen nur dann in die Ergebnisse auf, wenn der Text dem Regex-Muster entspricht und sich der Text innerhalb dieser Entfernung von einem vollständigen Schlüsselwort befindet. Die Entfernung kann 1—300 Zeichen betragen. Die Standardentfernung beträgt 50 Zeichen.
1. Wählen Sie **unter Schweregrad** aus, wie der Schweregrad der Ergebnisse sensibler Daten bestimmt werden soll, die anhand der benutzerdefinierten Daten-ID ermittelt werden:
+ Um allen Ergebnissen automatisch den Schweregrad *Mittel* zuzuweisen, wählen Sie **Mittleren Schweregrad für eine beliebige Anzahl von Treffern verwenden (Standard)**. Mit dieser Option weist Macie einem Ergebnis automatisch den Schweregrad *Mittel* zu, wenn das betroffene S3-Objekt ein oder mehrere Textvorkommen enthält, die den Erkennungskriterien entsprechen.
+ Um den Schweregrad auf der Grundlage der von Ihnen angegebenen Schwellenwerte für Ereignisse zuzuweisen, wählen Sie „**Benutzerdefinierte Einstellungen zur Bestimmung des Schweregrads verwenden**“. Geben Sie anschließend mit den Optionen **Schwellenwert für Vorkommen** und **Schweregrad** die Mindestanzahl von Übereinstimmungen an, die in einem S3-Objekt vorhanden sein müssen, um ein Ergebnis mit einem ausgewählten Schweregrad zu erhalten.
Sie können bis zu drei Schwellenwerte für Vorkommen angeben, einen für jeden von Macie unterstützten Schweregrad: *Niedrig* (am wenigsten schwerwiegend), *Mittel* oder *Hoch* (am schwersten). **Wenn Sie mehr als einen angeben, müssen die Schwellenwerte nach Schweregrad aufsteigend angeordnet sein, d. h. von Niedrig bis Hoch.** Wenn ein S3-Objekt weniger Vorkommen als der niedrigste Schwellenwert enthält, erstellt Macie kein Ergebnis.
1. (Optional) Wählen Sie für **Tags** die Option **Tag hinzufügen** aus und geben Sie dann bis zu 50 Tags ein, die dem benutzerdefinierten Datenbezeichner zugewiesen werden sollen.
Ein *Tag* ist eine Bezeichnung, die Sie definieren und bestimmten Ressourcentypen AWS zuweisen. Jedes Tag besteht aus einem erforderlichen Tag-Schlüssel und einem optionalen Tag-Wert. Tags können Ihnen dabei helfen, Ressourcen auf verschiedene Arten zu identifizieren, zu kategorisieren und zu verwalten (z. B. nach Zweck, Besitzer, Umgebung oder anderen Kriterien). Weitere Informationen hierzu finden Sie unter [Macie-Ressourcen taggen](tagging-resources.md).
1. (Optional) Geben Sie für **Evaluieren** bis zu 1.000 Zeichen in das Feld **Beispieldaten** ein, und wählen Sie dann **Test** aus, um die Erkennungskriterien zu testen. Macie wertet die Beispieldaten aus und gibt an, wie oft Text vorkommt, der den Kriterien entspricht. Sie können diesen Schritt beliebig oft wiederholen, um die Kriterien zu verfeinern und zu optimieren.
**Anmerkung**
Es wird dringend empfohlen, die Erkennungskriterien anhand von Beispieldaten zu testen und zu verfeinern. Da benutzerdefinierte Datenbezeichner bei Aufträgen zur Erkennung vertraulicher Daten verwendet werden, können Sie eine benutzerdefinierte Daten-ID nicht mehr ändern, nachdem Sie sie erstellt haben. Dadurch wird sichergestellt, dass Ihnen ein unveränderlicher Verlauf von Erkenntnissen für sensible Daten und Ermittlungsergebnissen zur Verfügung steht.
Da Macie bei der Verarbeitung strukturierter Datensätze zusätzliche Logik anwendet, kann die im Feld **Auswerten** zurückgegebene Trefferzahl in bestimmten Fällen von den Ergebnissen der Jobs abweichen.
1. Wenn Sie fertig sind, klicken Sie auf **Submit** (Absenden).
Macie testet die Einstellungen und stellt sicher, dass es die Regex kompilieren kann. Wenn es ein Problem mit einer Einstellung oder der Regex gibt, zeigt Macie einen Fehler an, der das Problem beschreibt. Nachdem Sie alle Probleme behoben haben, können Sie die benutzerdefinierte Daten-ID speichern.
------
#### [ API ]
Verwenden Sie die Amazon Macie Macie-API, um programmgesteuert eine benutzerdefinierte Daten-ID zu erstellen. [CreateCustomDataIdentifier](https://docs.aws.amazon.com/macie/latest/APIReference/custom-data-identifiers.html) Oder, wenn Sie die AWS Command Line Interface (AWS CLI) verwenden, führen Sie den Befehl aus. [create-custom-data-identifier](https://docs.aws.amazon.com/cli/latest/reference/macie2/create-custom-data-identifier.html)
**Anmerkung**
Bevor Sie einen benutzerdefinierten Datenbezeichner erstellen, empfehlen wir dringend, die zugehörigen Erkennungskriterien anhand von Beispieldaten zu testen und zu verfeinern. Da benutzerdefinierte Datenbezeichner bei Aufträgen zur Erkennung vertraulicher Daten verwendet werden, können Sie eine benutzerdefinierte Daten-ID nicht mehr ändern, nachdem Sie sie erstellt haben. Dadurch wird sichergestellt, dass Ihnen ein unveränderlicher Verlauf von Erkenntnissen für sensible Daten und Ermittlungsergebnissen zur Verfügung steht.
Um die Kriterien programmgesteuert zu testen, können Sie den [TestCustomDataIdentifier](https://docs.aws.amazon.com/macie/latest/APIReference/custom-data-identifiers-test.html)Betrieb der Amazon Macie Macie-API verwenden. Dieser Vorgang bietet eine Umgebung für die Auswertung von Probendaten mit Erkennungskriterien. Wenn Sie den verwenden AWS CLI, können Sie den [test-custom-data-identifier](https://docs.aws.amazon.com/cli/latest/reference/macie2/test-custom-data-identifier.html)Befehl ausführen, um die Kriterien zu testen.
Wenn Sie bereit sind, den benutzerdefinierten Datenbezeichner zu erstellen, verwenden Sie die folgenden Parameter, um die Erkennungskriterien zu definieren:
+ `regex`— Geben Sie den regulären Ausdruck (*Regex*) an, der das passende Textmuster definiert. Der reguläre Ausdruck kann bis zu 512 Zeichen enthalten.
Macie unterstützt eine Teilmenge der Mustersyntax, die von der Bibliothek [Perl Compatible Regular Expressions](https://www.pcre.org/) (PCRE) bereitgestellt wird. Weitere Informationen und Tipps finden Sie unter [Erkennungskriterien für](cdis-options.md#cdis-detection-criteria) benutzerdefinierte Datenbezeichner.
+ `keywords`— Geben Sie optional 1—50 Zeichenfolgen (*Schlüsselwörter*) an, die sich in der Nähe von Text befinden müssen, der dem Regex-Muster entspricht.
Macie nimmt ein Vorkommen nur dann in die Ergebnisse auf, wenn der Text dem Regex-Muster entspricht und sich der Text innerhalb der maximalen Übereinstimmungsdistanz zu einem dieser Schlüsselwörter befindet. Jedes Schlüsselwort kann 3—90 UTF-8-Zeichen enthalten. Bei Schlüsselwörtern muss die Groß- und Kleinschreibung nicht beachtet werden.
+ `maximumMatchDistance`— Geben Sie optional die maximale Anzahl von Zeichen an, die zwischen dem Ende eines Schlüsselworts und dem Ende des Textes, der dem Regex-Muster entspricht, existieren können. Wenn Sie den verwenden AWS CLI, verwenden Sie den `maximum-match-distance` Parameter, um diesen Wert anzugeben.
Macie nimmt ein Vorkommen nur dann in die Ergebnisse auf, wenn der Text dem Regex-Muster entspricht und sich der Text innerhalb dieser Entfernung von einem vollständigen Schlüsselwort befindet. Die Entfernung kann 1—300 Zeichen betragen. Die Standardentfernung beträgt 50 Zeichen.
+ `ignoreWords`— Geben Sie optional 1—10 Zeichenfolgen (*Wörter ignorieren*) an, die aus den Ergebnissen ausgeschlossen werden sollen. Wenn Sie den verwenden AWS CLI, verwenden Sie den `ignore-words` Parameter, um diese Zeichenfolgen anzugeben.
Macie schließt ein Vorkommen aus den Ergebnissen aus, wenn der Text dem Regex-Muster entspricht, aber eines dieser Ignorierwörter enthält. Jedes Ignorierwort kann 4—90 UTF-8-Zeichen enthalten. Die zu ignorierenden Wörter unterscheiden zwischen Groß- und Kleinschreibung.
Verwenden Sie den Parameter oder, falls Sie den verwenden, den folgenden `severityLevels` Parameter, um den Schweregrad der Ergebnisse vertraulicher Daten anzugeben, die der AWS CLI benutzerdefinierte Datenbezeichner hervorruft: `severity-levels`
+ Um allen Ergebnissen automatisch den `MEDIUM` Schweregrad zuzuweisen, lassen Sie diesen Parameter weg. Macie verwendet dann die Standardeinstellung. Standardmäßig weist Macie einem Ergebnis den `MEDIUM` Schweregrad zu, wenn das betroffene S3-Objekt ein oder mehrere Textvorkommen enthält, die den Erkennungskriterien entsprechen.
+ Um den Schweregrad auf der Grundlage der von Ihnen angegebenen Schwellenwerte für Vorkommen zuzuweisen, geben Sie die Mindestanzahl von Übereinstimmungen an, die in einem S3-Objekt vorhanden sein müssen, um ein Ergebnis mit einem bestimmten Schweregrad zu erhalten.
Sie können bis zu drei Schwellenwerte für Vorkommen angeben, einen für jeden Schweregrad, den Macie unterstützt: `LOW` (am wenigsten schwerwiegend) oder `HIGH` (am schwersten). `MEDIUM` Wenn Sie mehr als einen angeben, müssen die Schwellenwerte in aufsteigender Reihenfolge nach Schweregrad angegeben werden, wobei von bis zu gewechselt wird. `LOW` `HIGH` Wenn ein S3-Objekt weniger Vorkommen als der niedrigste Schwellenwert enthält, erstellt Macie keinen Befund.
Verwenden Sie zusätzliche Parameter, um einen Namen und andere Einstellungen, wie z. B. Tags, für den benutzerdefinierten Datenbezeichner anzugeben. Vermeiden Sie es, sensible Daten in diese Einstellungen aufzunehmen. Andere Benutzer Ihres Kontos können möglicherweise auf diese Werte zugreifen, je nachdem, welche Aktionen sie in Macie ausführen dürfen.
Wenn Sie Ihre Anfrage einreichen, testet Macie die Einstellungen und stellt sicher, dass es die Regex kompilieren kann. Wenn es ein Problem mit einer Einstellung oder der Regex gibt, schlägt die Anfrage fehl und Macie gibt eine Meldung zurück, die das Problem beschreibt. Wenn die Anfrage erfolgreich ist, erhalten Sie eine Ausgabe, die der folgenden ähnelt:
```
{
"customDataIdentifierId": "393950aa-82ea-4bdc-8f7b-e5be3example"
}
```
Where `customDataIdentifierId` gibt den eindeutigen Bezeichner (ID) für den benutzerdefinierten Datenbezeichner an, der erstellt wurde.
Um anschließend die Einstellungen für den benutzerdefinierten Datenbezeichner abzurufen und zu überprüfen, verwenden Sie den [GetCustomDataIdentifier](https://docs.aws.amazon.com/macie/latest/APIReference/custom-data-identifiers-id.html)Vorgang oder, falls Sie den verwenden AWS CLI, führen Sie den [get-custom-data-identifier](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-custom-data-identifier.html)Befehl aus. Geben Sie für den `id` Parameter die ID der benutzerdefinierten Daten-ID an.
Die folgenden Beispiele zeigen, wie Sie mit AWS CLI dem eine benutzerdefinierte Daten-ID erstellen können. In den Beispielen wird eine benutzerdefinierte Daten-ID erstellt, mit der Mitarbeiter erkannt werden können IDs , die eine bestimmte Syntax verwenden und sich in der Nähe eines bestimmten Schlüsselworts befinden. In den Beispielen werden auch benutzerdefinierte Einstellungen für den Schweregrad der Ergebnisse definiert, die sich aus der Kennung ergeben.
Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.
```
$ aws macie2 create-custom-data-identifier \
--name "EmployeeIDs" \
--regex "[A-Z]-\d{8}" \
--keywords '["employee","employee ID"]' \
--maximum-match-distance 20 \
--severity-levels '[{"occurrencesThreshold":1,"severity":"LOW"},{"occurrencesThreshold":50,"severity":"MEDIUM"},{"occurrencesThreshold":100,"severity":"HIGH"}]' \
--description "Detects employee IDs in proximity of a keyword." \
--tags '{"Stack":"Production"}'
```
Dieses Beispiel ist für Microsoft Windows formatiert und verwendet das Zeilenfortsetzungszeichen Caret (^), um die Lesbarkeit zu verbessern.
```
C:\> aws macie2 create-custom-data-identifier ^
--name "EmployeeIDs" ^
--regex "[A-Z]-\d{8}" ^
--keywords "[\"employee\",\"employee ID\"]" ^
--maximum-match-distance 20 ^
--severity-levels "[{\"occurrencesThreshold\":1,\"severity\":\"LOW\"},{\"occurrencesThreshold\":50,\"severity\":\"MEDIUM\"},{\"occurrencesThreshold\":100,\"severity\":\"HIGH\"}]" ^
--description "Detects employee IDs in proximity of a keyword." ^
--tags={\"Stack\":\"Production\"}
```
Wobei Folgendes gilt:
+ `EmployeeIDs`ist der Name des benutzerdefinierten Datenbezeichners.
+ `[A-Z]-\d{8}`ist der reguläre Ausdruck für das passende Textmuster.
+ `employee`und `employee ID` sind Schlüsselwörter, die sich in der Nähe von Text befinden müssen, der dem Regex-Muster entspricht.
+ `20`ist die maximale Anzahl von Zeichen, die zwischen dem Ende eines Schlüsselworts und dem Ende des Textes, der dem Regex-Muster entspricht, existieren können.
+ `description`gibt eine kurze Beschreibung des benutzerdefinierten Datenbezeichners an.
+ `severity-levels`definiert benutzerdefinierte Schwellenwerte für den Schweregrad der Ergebnisse, die der benutzerdefinierte Datenbezeichner hervorruft: `LOW` für 1—49 Vorkommen, `MEDIUM` für 50—99 Vorkommen und für 100 oder mehr Vorkommen. `HIGH`
+ `Stack`ist der Tag-Schlüssel des Tags, das der benutzerdefinierten Daten-ID zugewiesen werden soll. `Production`ist der Tag-Wert für den angegebenen Tag-Schlüssel.
------
Nachdem Sie den benutzerdefinierten Datenbezeichner erstellt haben, können Sie [Discovery-Jobs für sensible Daten erstellen und konfigurieren](discovery-jobs-create.md), um ihn zu verwenden, oder [ihn zu Ihren Einstellungen für die automatische Erkennung vertraulicher Daten hinzufügen](discovery-asdd-account-configure.md).
# Löschen einer benutzerdefinierten Daten-ID
Nachdem Sie einen benutzerdefinierten Datenbezeichner erstellt haben, können Sie ihn löschen. Wenn Sie dies tun, löscht Amazon Macie Soft die benutzerdefinierte Daten-ID. Das bedeutet, dass ein Datensatz mit der benutzerdefinierten Daten-ID für Ihr Konto verbleibt, dieser jedoch als gelöscht markiert ist. Wenn eine benutzerdefinierte Daten-ID diesen Status hat, können Sie keine neuen Discovery-Jobs für sensible Daten konfigurieren, um sie zu verwenden, oder sie zu Ihren Einstellungen für die automatische Erkennung sensibler Daten hinzufügen. Darüber hinaus können Sie nicht mehr über die Amazon Macie Macie-Konsole darauf zugreifen. Sie können die Einstellungen jedoch mithilfe der Amazon Macie Macie-API abrufen. Wenn Sie eine benutzerdefinierte Daten-ID löschen, wird sie nicht auf das Kontingent an benutzerdefinierten Datenkennungen für Ihr Konto angerechnet.
Wenn Sie einen Discovery-Job für sensible Daten so konfigurieren, dass er eine benutzerdefinierte Daten-ID verwendet, die Sie anschließend löschen, wird der Job wie geplant ausgeführt und verwendet weiterhin die benutzerdefinierte Daten-ID. Das bedeutet, dass Ihre Auftragsergebnisse, sowohl Ergebnisse vertraulicher Daten als auch Ergebnisse der Erkennung sensibler Daten, Text melden, der den Kriterien der Kennung entspricht. Auf diese Weise können Sie sicherstellen, dass Sie über einen unveränderlichen Verlauf der Ergebnisse sensibler Daten und der Ergebnisse der von Ihnen durchgeführten Datenschutzprüfungen oder Untersuchungen verfügen.
Wenn Sie die automatische Erkennung sensibler Daten so konfigurieren, dass eine benutzerdefinierte Daten-ID verwendet wird, die Sie anschließend löschen, werden die täglichen Analysezyklen ebenfalls fortgesetzt und die benutzerdefinierte Daten-ID wird weiterhin verwendet. Das bedeutet, dass bei Ergebnissen sensibler Daten, Statistiken und anderen Ergebnissen weiterhin Text gemeldet wird, der den Kriterien der Kennung entspricht.
Bevor Sie eine benutzerdefinierte Daten-ID löschen, gehen Sie wie folgt vor, um zu verhindern, dass Macie sie in nachfolgenden Analysezyklen und Auftragsausführungen verwendet:
+ Überprüfen Sie Ihre Einstellungen für die automatische Erkennung sensibler Daten. Wenn Sie den benutzerdefinierten Datenbezeichner zu diesen Einstellungen hinzugefügt haben, entfernen Sie ihn. Weitere Informationen finden Sie unter [Konfiguration von Einstellungen für die automatische Erkennung sensibler Daten](discovery-asdd-account-configure.md).
+ Überprüfen Sie Ihr Auftragsinventar, um Jobs zu identifizieren, die den benutzerdefinierten Datenbezeichner verwenden und deren Ausführung für die future geplant ist. Wenn Sie möchten, dass ein Job die benutzerdefinierte Daten-ID nicht mehr verwendet, können Sie den Job abbrechen. Erstellen Sie dann eine Kopie des Jobs, passen Sie die Einstellungen für die Kopie an und speichern Sie die Kopie als neuen Job. Weitere Informationen finden Sie unter [Verwaltung von Aufträgen zur Erkennung sensibler Daten](discovery-jobs-manage.md).
Es empfiehlt sich auch, die eindeutige Kennung (ID) zu notieren, die Macie der benutzerdefinierten Daten-ID zugewiesen hat. Sie benötigen diese ID, wenn Sie später die Einstellungen der benutzerdefinierten Daten-ID überprüfen möchten.
Nachdem Sie die vorherigen Aufgaben abgeschlossen haben, löschen Sie die benutzerdefinierte Daten-ID.
**Um eine benutzerdefinierte Daten-ID zu löschen**
Sie können eine benutzerdefinierte Daten-ID mithilfe der Amazon Macie Macie-Konsole oder der Amazon Macie Macie-API löschen.
------
#### [ Console ]
Gehen Sie wie folgt vor, um eine benutzerdefinierte Daten-ID mithilfe der Amazon Macie Macie-Konsole zu löschen.
**Um eine benutzerdefinierte Daten-ID zu löschen**
1. Öffnen Sie die Amazon Macie Macie-Konsole unter [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/).
1. Wählen Sie im Navigationsbereich unter **Einstellungen** die Option **Benutzerdefinierte Datenkennungen** aus.
1. Um den eindeutigen Bezeichner (ID) für den benutzerdefinierten Datenbezeichner zu notieren, den Sie löschen möchten, wählen Sie den Namen des benutzerdefinierten Datenbezeichners aus. Auf der daraufhin angezeigten Seite wird im Feld **ID** diese ID angezeigt. Nachdem Sie sich die ID notiert haben, wählen Sie im Navigationsbereich erneut **Benutzerdefinierte Datenkennungen** aus.
1. Aktivieren Sie auf der Seite **Benutzerdefinierte Datenbezeichner** das Kontrollkästchen für die benutzerdefinierte Daten-ID, die gelöscht werden soll.
1. Wählen Sie im Menü **Actions** die Option **Delete**.
1. Wenn Sie zur Bestätigung aufgefordert werden, wählen Sie **Ok.**
------
#### [ API ]
Um eine benutzerdefinierte Daten-ID programmgesteuert zu löschen, verwenden Sie den [DeleteCustomDataIdentifier](https://docs.aws.amazon.com/macie/latest/APIReference/custom-data-identifiers-id.html)Betrieb der Amazon Macie Macie-API. Oder, wenn Sie die AWS Command Line Interface (AWS CLI) verwenden, führen Sie den Befehl aus. [delete-custom-data-identifier](https://docs.aws.amazon.com/cli/latest/reference/macie2/delete-custom-data-identifier.html)
Geben Sie für den `id` Parameter den eindeutigen Bezeichner (ID) für den benutzerdefinierten Datenbezeichner an, den Sie löschen möchten. Sie können diese ID mithilfe der [ListCustomDataIdentifiers](https://docs.aws.amazon.com/macie/latest/APIReference/custom-data-identifiers-list.html)Operation abrufen. Bei diesem Vorgang wird eine Teilmenge von Informationen zu den benutzerdefinierten Datenkennungen für Ihr Konto abgerufen. Wenn Sie den verwenden AWS CLI, können Sie den [list-custom-data-identifiers](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-custom-data-identifiers.html)Befehl ausführen, um diese Informationen abzurufen.
Das folgende Beispiel zeigt, wie Sie einen benutzerdefinierten Datenbezeichner mithilfe von löschen AWS CLI.
```
$ aws macie2 delete-custom-data-identifier --id 393950aa-82ea-4bdc-8f7b-e5be3example
```
Wo *393950aa-82ea-4bdc-8f7b-e5be3example* ist die ID für den benutzerdefinierten Datenbezeichner, der gelöscht werden soll.
Wenn die Anfrage erfolgreich ist, gibt Macie eine leere HTTP 200-Antwort zurück. Andernfalls gibt Macie eine HTTP 4 *xx* - oder 500-Antwort zurück, die angibt, warum die Anfrage fehlgeschlagen ist.
------
Verwenden Sie die Amazon Macie Macie-API, um die [GetCustomDataIdentifier](https://docs.aws.amazon.com/macie/latest/APIReference/custom-data-identifiers-id.html)Einstellungen einer benutzerdefinierten Daten-ID nach dem Löschen zu überprüfen. Oder, wenn Sie den verwenden AWS CLI, führen Sie den [get-custom-data-identifier](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-custom-data-identifier.html)Befehl aus. Geben Sie für den `id` Parameter die ID der benutzerdefinierten Daten-ID an. Nachdem Sie eine benutzerdefinierte Daten-ID gelöscht haben, können Sie über die Amazon Macie Macie-Konsole nicht mehr auf ihre Einstellungen zugreifen.
# Definition von Ausnahmen für sensible Daten mit Zulassungslisten
Mit Zulassungslisten in Amazon Macie können Sie bestimmten Text und Textmuster definieren, die Macie ignorieren soll, wenn Amazon Simple Storage Service (Amazon S3) -Objekte auf sensible Daten überprüft werden. Dies sind in der Regel Ausnahmen für sensible Daten für Ihre speziellen Szenarien oder Umgebungen. Wenn Daten mit Text oder einem Textmuster in einer Zulassungsliste übereinstimmen, meldet Macie die Daten nicht. Dies ist auch dann der Fall, wenn die Daten den Kriterien einer [verwalteten Daten-ID](managed-data-identifiers.md) oder einer [benutzerdefinierten Daten-ID](custom-data-identifiers.md) entsprechen. Mithilfe von Zulassungslisten können Sie Ihre Analyse von Amazon S3 S3-Daten verfeinern und das Rauschen reduzieren.
In Macie können Sie zwei Arten von Zulassungslisten erstellen und verwenden:
+ **Vordefinierter Text** — Für diese Art von Liste geben Sie bestimmte Zeichenfolgen an, die ignoriert werden sollen. Sie können beispielsweise die Namen der öffentlichen Vertreter Ihrer Organisation, bestimmte Telefonnummern oder bestimmte Beispieldaten angeben, die Ihre Organisation für Tests verwendet. Wenn Sie diese Art von Liste verwenden, ignoriert Macie Text, der genau mit einem Eintrag in der Liste übereinstimmt.
Diese Art von Zulassungsliste ist hilfreich, wenn Sie Wörter, Ausdrücke und andere Arten von Zeichenfolgen angeben möchten, die nicht sensibel sind, sich wahrscheinlich nicht ändern werden und die nicht unbedingt einem gemeinsamen Muster entsprechen.
+ **Regulärer Ausdruck** — Für diesen Listentyp geben Sie einen regulären Ausdruck (*Regex*) an, der ein zu ignorierendes Textmuster definiert. Sie können beispielsweise das Muster für die öffentlichen Telefonnummern Ihrer Organisation, die E-Mail-Adressen für die Domain Ihrer Organisation oder für Musterdaten angeben, die Ihre Organisation für Tests verwendet. Wenn Sie diese Art von Liste verwenden, ignoriert Macie Text, der vollständig dem in der Liste definierten Muster entspricht.
Diese Art von Zulassungsliste ist hilfreich, wenn Sie Text angeben möchten, der nicht sensibel ist, aber variiert oder sich wahrscheinlich ändern wird, während er gleichzeitig einem gemeinsamen Muster folgt.
Nachdem Sie eine Zulassungsliste erstellt haben, können Sie [Aufträge zur Erkennung vertraulicher Daten erstellen und konfigurieren](discovery-jobs-create.md), um sie zu verwenden, oder [sie zu Ihren Einstellungen für die automatische Erkennung vertraulicher Daten hinzufügen](discovery-asdd-account-configure.md). Macie verwendet die Liste dann bei der Datenanalyse. Wenn Macie Text findet, der einem Eintrag oder Muster in einer Zulassungsliste entspricht, meldet Macie dieses Vorkommen von Text nicht in Ergebnissen mit sensiblen Daten, Statistiken und anderen Ergebnissen.
Sie können Zulassungslisten überall dort verwalten und verwenden, AWS-Regionen wo Macie derzeit verfügbar ist, mit Ausnahme der Region Asien-Pazifik (Osaka).
**Topics**
+ [Konfigurationsoptionen für Zulassungslisten](allow-lists-options.md)
+ [Eine Zulassungsliste erstellen](allow-lists-create.md)
+ [Den Status einer Zulassungsliste überprüfen](allow-lists-status-check.md)
+ [Eine Zulassungsliste ändern](allow-lists-change.md)
+ [Löschen einer Zulassungsliste](allow-lists-delete.md)
# Konfigurationsoptionen und Anforderungen für Zulassungslisten
In Amazon Macie können Sie Zulassungslisten verwenden, um Text oder Textmuster anzugeben, die Macie ignorieren soll, wenn Amazon Simple Storage Service (Amazon S3) -Objekte auf sensible Daten untersucht werden. Macie bietet Optionen für zwei Arten von Zulassungslisten: vordefinierten Text und reguläre Ausdrücke.
Eine Liste mit vordefiniertem Text ist hilfreich, wenn Sie möchten, dass Macie bestimmte Wörter, Ausdrücke und andere Arten von Zeichenfolgen ignoriert, die Sie nicht für sensibel halten. Beispiele hierfür sind: die Namen der öffentlichen Vertreter Ihrer Organisation, bestimmte Telefonnummern oder bestimmte Beispieldaten, die Ihre Organisation für Tests verwendet. Wenn Macie Text findet, der den Kriterien einer verwalteten oder benutzerdefinierten Daten-ID entspricht, und der Text auch einem Eintrag in einer Zulassungsliste entspricht, meldet Macie dieses Vorkommen von Text nicht in Ergebnissen sensibler Daten, Statistiken und anderen Ergebnissen.
Ein regulärer Ausdruck (*Regex*) ist hilfreich, wenn Sie möchten, dass Macie Text ignoriert, der variiert oder sich wahrscheinlich ändern wird, und gleichzeitig einem gemeinsamen Muster folgt. Der reguläre Ausdruck gibt ein Textmuster an, das ignoriert werden soll. Beispiele hierfür sind: öffentliche Telefonnummern für Ihre Organisation, E-Mail-Adressen für die Domain Ihrer Organisation oder Musterdaten, die Ihre Organisation für Tests verwendet. Wenn Macie Text findet, der den Kriterien einer verwalteten oder benutzerdefinierten Daten-ID entspricht, und der Text auch einem Regex-Muster in einer Zulassungsliste entspricht, meldet Macie dieses Vorkommen von Text nicht in Ergebnissen, Statistiken und anderen Ergebnissen mit sensiblen Daten.
Sie können beide Arten von Zulassungslisten überall dort erstellen und verwenden, AWS-Regionen wo Macie derzeit verfügbar ist, mit Ausnahme der Region Asien-Pazifik (Osaka). Beachten Sie bei der Erstellung und Verwaltung von Zulassungslisten die folgenden Optionen und Anforderungen. Beachten Sie außerdem, dass Listeneinträge und Regex-Muster für Postanschriften nicht unterstützt werden.
**Contents**
+ [Optionen und Anforderungen für Listen mit vordefiniertem Text](#allow-lists-options-s3list)
+ [Anforderungen an die Syntax](#allow-lists-options-s3list-syntax)
+ [Speicheranforderungen](#allow-lists-options-s3list-storage)
+ [Anforderungen an die Verschlüsselung/Entschlüsselung](#allow-lists-options-s3list-encryption)
+ [Überlegungen und Empfehlungen zum Design](#allow-lists-options-s3list-notes)
+ [Optionen und Anforderungen für reguläre Ausdrücke](#allow-lists-options-regex)
+ [Syntaxunterstützung und Empfehlungen](#allow-lists-options-regex-syntax)
+ [Beispiele](#allow-lists-options-regex-examples)
## Optionen und Anforderungen für Listen mit vordefiniertem Text
Für diese Art von Zulassungsliste stellen Sie eine durch Zeilen getrennte Klartextdatei bereit, in der bestimmte Zeichenfolgen aufgeführt sind, die ignoriert werden sollen. Bei den Listeneinträgen handelt es sich in der Regel um Wörter, Ausdrücke und andere Arten von Zeichenfolgen, die Sie nicht als vertraulich betrachten, die sich wahrscheinlich nicht ändern werden und die nicht unbedingt einem bestimmten Muster entsprechen. Wenn Sie diese Art von Liste verwenden, meldet Amazon Macie keine Textvorkommen, die exakt mit einem Eintrag in der Liste übereinstimmen. Macie behandelt jeden Listeneintrag als Zeichenkettenliteralwert.
Um diese Art von Zulassungsliste zu verwenden, erstellen Sie zunächst die Liste in einem Texteditor und speichern Sie sie als Klartextdatei. Laden Sie die Liste anschließend in einen S3-Bucket für allgemeine Zwecke hoch. Stellen Sie außerdem sicher, dass die Speicher- und Verschlüsselungseinstellungen für den Bucket und das Objekt es Macie ermöglichen, die Liste abzurufen und zu entschlüsseln. [Erstellen und konfigurieren Sie dann Einstellungen für die Liste in Macie](allow-lists-create.md).
Nachdem Sie die Einstellungen in Macie konfiguriert haben, empfehlen wir Ihnen, die Zulassungsliste mit einem kleinen, repräsentativen Datensatz für Ihr Konto oder Ihre Organisation zu testen. Um eine Liste zu testen, können Sie [einen einmaligen Job erstellen](discovery-jobs-create.md). Konfigurieren Sie den Job so, dass er die Liste zusätzlich zu den verwalteten und benutzerdefinierten Datenkennungen verwendet, die Sie normalerweise zur Datenanalyse verwenden. Anschließend können Sie die Ergebnisse des Jobs überprüfen — Ergebnisse sensibler Daten, Ergebnisse der Erkennung sensibler Daten oder beides. Wenn die Ergebnisse des Jobs von Ihren Erwartungen abweichen, können Sie die Liste ändern und testen, bis die Ergebnisse Ihren Erwartungen entsprechen.
Nachdem Sie die Konfiguration und das Testen einer Zulassungsliste abgeschlossen haben, können Sie zusätzliche Jobs erstellen und konfigurieren, um sie zu verwenden, oder sie zu Ihren Einstellungen für die automatische Erkennung vertraulicher Daten hinzufügen. Wenn diese Jobs ausgeführt werden oder der nächste automatisierte Discovery-Analysezyklus beginnt, ruft Macie die neueste Version der Liste von Amazon S3 ab und speichert sie im temporären Speicher. Macie verwendet dann diese temporäre Kopie der Liste, wenn es S3-Objekte auf sensible Daten untersucht. Wenn die Ausführung eines Jobs beendet oder der Analysezyklus abgeschlossen ist, löscht Macie seine Kopie der Liste dauerhaft aus dem Speicher. Die Liste ist in Macie nicht vorhanden. Nur die Einstellungen der Liste bleiben in Macie bestehen.
**Wichtig**
Da Listen mit vordefiniertem Text in Macie nicht dauerhaft existieren, ist es wichtig, [den Status Ihrer Zulassungslisten regelmäßig zu überprüfen](allow-lists-status-check.md). Wenn Macie eine Liste, für deren Verwendung Sie einen Job oder eine automatische Erkennung konfiguriert haben, nicht abrufen oder analysieren kann, verwendet Macie die Liste nicht. Dies kann zu unerwarteten Ergebnissen führen, z. B. zu Ergebnissen mit vertraulichen Daten für Text, den Sie in der Liste angegeben haben.
**Topics**
+ [Anforderungen an die Syntax](#allow-lists-options-s3list-syntax)
+ [Speicheranforderungen](#allow-lists-options-s3list-storage)
+ [Anforderungen an die Verschlüsselung/Entschlüsselung](#allow-lists-options-s3list-encryption)
+ [Überlegungen und Empfehlungen zum Design](#allow-lists-options-s3list-notes)
### Anforderungen an die Syntax
Wenn Sie diese Art von Zulassungsliste erstellen, beachten Sie die folgenden Anforderungen für die Datei der Liste:
+ Die Liste muss als Klartextdatei (`text/plain`) gespeichert werden, z. B. als .txt-, .text- oder .plain-Datei.
+ Die Liste muss Zeilenumbrüche verwenden, um einzelne Einträge voneinander zu trennen. Beispiel:
```
Akua Mansa
John Doe
Martha Rivera
425-555-0100
425-555-0101
425-555-0102
```
Macie behandelt jede Zeile als einen einzelnen, eindeutigen Eintrag in der Liste. Die Datei kann auch Leerzeilen enthalten, um die Lesbarkeit zu verbessern. Macie überspringt Leerzeilen, wenn es die Datei analysiert.
+ Jeder Eintrag kann 1—90 UTF-8-Zeichen enthalten.
+ Jeder Eintrag muss vollständig und exakt übereinstimmen, damit der Text ignoriert werden kann. Macie unterstützt die Verwendung von Platzhalterzeichen oder Teilwerten für Einträge nicht. Macie behandelt jeden Eintrag als Zeichenkettenliteralwert. Bei Übereinstimmungen wird die Groß- und Kleinschreibung ignoriert.
+ Die Datei kann 1—100.000 Einträge enthalten.
+ Die Gesamtspeichergröße der Datei darf 35 MB nicht überschreiten.
### Speicheranforderungen
Beachten Sie beim Hinzufügen und Verwalten von Zulassungslisten in Amazon S3 die folgenden Speicheranforderungen und Empfehlungen:
+ **Regionaler Support** — Eine Zulassungsliste muss in einem Bucket gespeichert werden, der sich in demselben Bucket AWS-Region wie Ihr Macie-Konto befindet. Macie kann nicht auf eine Zulassungsliste zugreifen, wenn sie in einer anderen Region gespeichert ist.
+ **Besitz eines Buckets** — Eine Zulassungsliste muss in einem Bucket gespeichert werden, dessen Eigentümer Sie AWS-Konto sind. Wenn Sie möchten, dass andere Konten dieselbe Zulassungsliste verwenden, sollten Sie erwägen, eine Amazon S3 S3-Replikationsregel zu erstellen, um die Liste in Buckets zu replizieren, die diesen Konten gehören. Informationen zum Replizieren von S3-Objekten finden Sie unter [Objekte replizieren](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.
Darüber hinaus muss Ihre AWS Identity and Access Management (IAM-) Identität Lesezugriff auf den Bucket und das Objekt haben, in denen die Liste gespeichert ist. Andernfalls ist es Ihnen nicht gestattet, die Einstellungen der Liste zu erstellen oder zu aktualisieren oder den Status der Liste mithilfe von Macie zu überprüfen.
+ **Speichertypen und -klassen** — Eine Zulassungsliste muss in einem Allzweck-Bucket gespeichert werden, nicht in einem Verzeichnis-Bucket. Darüber hinaus muss sie in einer der folgenden Speicherklassen gespeichert werden: Reduced Redundancy (RRS), S3 Glacier Instant Retrieval, S3 Intelligent-Tiering, S3 One Zone-IA, S3 Standard oder S3 Standard-IA.
+ **Bucket-Richtlinien** — Wenn Sie eine Zulassungsliste in einem Bucket speichern, für den eine restriktive Bucket-Richtlinie gilt, stellen Sie sicher, dass die Richtlinie Macie das Abrufen der Liste ermöglicht. Zu diesem Zweck können Sie der Bucket-Richtlinie eine Bedingung für die mit dem Macie-Dienst verknüpfte Rolle hinzufügen. Weitere Informationen finden Sie unter [Macie darf auf S3-Buckets und -Objekte zugreifen](monitoring-restrictive-s3-buckets.md).
Stellen Sie außerdem sicher, dass die Richtlinie Ihrer IAM-Identität Lesezugriff auf den Bucket gewährt. Andernfalls ist es Ihnen nicht gestattet, die Einstellungen der Liste zu erstellen oder zu aktualisieren oder den Status der Liste mithilfe von Macie zu überprüfen.
+ **Objektpfade** — Wenn Sie mehr als eine Zulassungsliste in Amazon S3 speichern, muss der Objektpfad für jede Liste eindeutig sein. Mit anderen Worten, jede Zulassungsliste muss separat in einem eigenen S3-Objekt gespeichert werden.
+ **Versionierung** — Wenn Sie einem Bucket eine Zulassungsliste hinzufügen, empfehlen wir, dass Sie auch die Versionierung für den Bucket aktivieren. Anschließend können Sie Datums- und Uhrzeitwerte verwenden, um Versionen der Liste mit den Ergebnissen von Aufträgen zur Erkennung vertraulicher Daten und automatisierter Erkennungszyklen für sensible Daten, die die Liste verwenden, zu korrelieren. Dies kann bei Prüfungen oder Untersuchungen zum Datenschutz, die Sie durchführen, hilfreich sein.
+ **Objektsperre** — Um zu verhindern, dass eine Zulassungsliste für einen bestimmten Zeitraum oder auf unbestimmte Zeit gelöscht oder überschrieben wird, können Sie die Objektsperre für den Bucket aktivieren, in dem die Liste gespeichert ist. Die Aktivierung dieser Einstellung verhindert nicht, dass Macie auf die Liste zugreift. Informationen zu dieser Einstellung finden Sie unter [Sperren von Objekten mit Object Lock](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.
### Anforderungen an die Verschlüsselung/Entschlüsselung
Wenn Sie eine Zulassungsliste in Amazon S3 verschlüsseln, gewährt die Berechtigungsrichtlinie für die mit dem [Macie-Service verknüpfte Rolle Macie](service-linked-roles.md) in der Regel die Berechtigungen, die es zum Entschlüsseln der Liste benötigt. Dies hängt jedoch von der Art der verwendeten Verschlüsselung ab:
+ Wenn eine Liste serverseitig mit einem von Amazon S3 verwalteten Schlüssel (SSE-S3) verschlüsselt ist, kann Macie die Liste entschlüsseln. Die serviceverknüpfte Rolle für Ihr Macie-Konto gewährt Macie die erforderlichen Berechtigungen.
+ Wenn eine Liste mithilfe einer serverseitigen Verschlüsselung mit einem AWS verwalteten System AWS KMS key (DSSE-KMS oder SSE-KMS) verschlüsselt wird, kann Macie die Liste entschlüsseln. Die dienstverknüpfte Rolle für Ihr Macie-Konto gewährt Macie die erforderlichen Berechtigungen.
+ Wenn eine Liste serverseitig verschlüsselt und vom Kunden verwaltet wird AWS KMS key (DSSE-KMS oder SSE-KMS), kann Macie die Liste nur entschlüsseln, wenn Sie Macie die Verwendung des Schlüssels gestatten. Weitere Informationen zur Vorgehensweise finden Sie unter [Macie darf ein vom Kunden verwaltetes AWS KMS key](discovery-supported-encryption-types.md#discovery-supported-encryption-cmk-configuration).
**Anmerkung**
Sie können eine Liste mit einem Kunden verschlüsseln, die in einem externen Schlüsselspeicher verwaltet wird. AWS KMS key Der Schlüssel ist dann jedoch möglicherweise langsamer und weniger zuverlässig als ein Schlüssel, der vollständig intern AWS KMS verwaltet wird. Wenn Macie aufgrund von Latenz- oder Verfügbarkeitsproblemen daran gehindert wird, die Liste zu entschlüsseln, verwendet Macie die Liste nicht, wenn es S3-Objekte analysiert. Dies kann zu unerwarteten Ergebnissen führen, z. B. zu Ergebnissen mit vertraulichen Daten für Text, den Sie in der Liste angegeben haben. Um dieses Risiko zu verringern, sollten Sie erwägen, die Liste in einem S3-Bucket zu speichern, der so konfiguriert ist, dass der Schlüssel als S3-Bucket-Key verwendet wird.
Informationen zur Verwendung von KMS-Schlüsseln in externen Schlüsselspeichern finden Sie unter [Externe Schlüsselspeicher](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-external.html) im *AWS Key Management Service Entwicklerhandbuch*. Informationen zur Verwendung von S3-Bucket Keys finden Sie unter [Reduzierung der Kosten für SSE-KMS mit Amazon S3 S3-Bucket Keys](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.
+ Wenn eine Liste mit serverseitiger Verschlüsselung mit einem vom Kunden bereitgestellten Schlüssel (SSE-C) oder clientseitiger Verschlüsselung verschlüsselt wird, kann Macie die Liste nicht entschlüsseln. Erwägen Sie stattdessen die Verwendung der SSE-S3-, DSSE-KMS- oder SSE-KMS-Verschlüsselung.
Wenn eine Liste mit einem AWS verwalteten KMS-Schlüssel oder einem vom Kunden verwalteten KMS-Schlüssel verschlüsselt ist, muss Ihre AWS Identity and Access Management (IAM-) Identität den Schlüssel ebenfalls verwenden dürfen. Andernfalls ist es Ihnen nicht gestattet, die Einstellungen der Liste zu erstellen oder zu aktualisieren oder den Status der Liste mithilfe von Macie zu überprüfen. Informationen zum Überprüfen oder Ändern der Berechtigungen für einen KMS-Schlüssel finden Sie unter [Wichtige Richtlinien AWS KMS im AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) *Entwicklerhandbuch*.
Ausführliche Informationen zu den Verschlüsselungsoptionen für Amazon S3 S3-Daten finden Sie unter [Schützen von Daten durch Verschlüsselung](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingEncryption.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.
### Überlegungen und Empfehlungen zum Design
Im Allgemeinen behandelt Macie jeden Eintrag in einer Zulassungsliste als Zeichenkettenliteralwert. Das heißt, Macie ignoriert jedes Vorkommen von Text, der exakt einem vollständigen Eintrag in einer Zulassungsliste entspricht. Bei Übereinstimmungen wird die Groß- und Kleinschreibung ignoriert.
Macie verwendet die Einträge jedoch als Teil eines größeren Frameworks zur Datenextraktion und -analyse. Das Framework umfasst Funktionen für maschinelles Lernen und Musterabgleich, die Dimensionen wie grammatikalische und syntaktische Variationen und in vielen Fällen die Nähe von Schlüsselwörtern berücksichtigen. Das Framework berücksichtigt auch den Dateityp oder das Speicherformat eines S3-Objekts. Beachten Sie daher beim Hinzufügen und Verwalten von Einträgen in einer Zulassungsliste die folgenden Überlegungen und Empfehlungen.
**Bereiten Sie sich auf verschiedene Dateitypen und Speicherformate vor**
Bei unstrukturierten Daten, wie z. B. Text in einer Datei im Adobe Portable Document Format (.pdf), ignoriert Macie Text, der exakt mit einem vollständigen Eintrag in einer Zulassungsliste übereinstimmt, einschließlich Text, der sich über mehrere Zeilen oder Seiten erstreckt.
Bei strukturierten Daten, wie z. B. spaltenförmigen Daten in einer CSV-Datei oder datensatzbasierten Daten in einer JSON-Datei, ignoriert Macie Text, der exakt einem vollständigen Eintrag in einer Zulassungsliste entspricht, wenn der gesamte Text in einem einzigen Feld, einer Zelle oder einem Array gespeichert ist. Diese Anforderung gilt nicht für strukturierte Daten, die in einer ansonsten unstrukturierten Datei gespeichert sind, z. B. einer Tabelle in einer PDF-Datei.
Betrachten Sie beispielsweise den folgenden Inhalt in einer CSV-Datei:
```
Name,Account ID
Akua Mansa,111111111111
John Doe,222222222222
```
Wenn `Akua Mansa` und Einträge in einer Zulassungsliste `John Doe` sind, ignoriert Macie diese Namen in der CSV-Datei. Der vollständige Text jedes Listeneintrags wird in einem einzigen `Name` Feld gespeichert.
Stellen Sie sich umgekehrt eine CSV-Datei vor, die die folgenden Spalten und Felder enthält:
```
First Name,Last Name,Account ID
Akua,Mansa,111111111111
John,Doe,222222222222
```
Wenn `Akua Mansa` und Einträge in einer Zulassungsliste `John Doe` sind, ignoriert Macie diese Namen in der CSV-Datei nicht. Keines der Felder in der CSV-Datei enthält den vollständigen Text eines Eintrags in der Zulassungsliste.
**Schließen Sie gängige Varianten ein**
Fügen Sie Einträge für häufig verwendete Varianten numerischer Daten, Eigennamen, Begriffe und alphanumerische Zeichenfolgen hinzu. Wenn Sie beispielsweise Namen oder Ausdrücke hinzufügen, die nur ein Leerzeichen zwischen Wörtern enthalten, fügen Sie auch Varianten hinzu, die zwei Leerzeichen zwischen Wörtern enthalten. Fügen Sie auf ähnliche Weise Wörter und Ausdrücke hinzu, die Sonderzeichen enthalten oder nicht, und ziehen Sie in Betracht, häufig verwendete syntaktische und semantische Varianten einzubeziehen.
Für die US-Telefonnummer *425-555-0100* könnten Sie beispielsweise diese Einträge zu einer Zulassungsliste hinzufügen:
```
425-555-0100
425.555.0100
(425) 555-0100
+1-425-555-0100
```
Für das Datum *1. Februar 2022* könnten Sie in einem multinationalen Kontext Einträge hinzufügen, die gängige syntaktische Varianten für Englisch und Französisch enthalten, einschließlich Varianten, die Sonderzeichen enthalten und nicht:
```
February 1, 2022
1 février 2022
1 fevrier 2022
Feb 01, 2022
1 fév 2022
1 fev 2022
02/01/2022
01/02/2022
```
Fügen Sie bei Personennamen Einträge für verschiedene Formen von Namen hinzu, die Sie nicht als vertraulich betrachten. Fügen Sie beispielsweise Folgendes ein: den Vornamen, gefolgt vom Nachnamen, gefolgt vom Vornamen, den durch ein Leerzeichen getrennten Vor- und Nachnamen, den durch zwei Leerzeichen getrennten Vor- und Nachnamen sowie Spitznamen.
Für den Namen *Martha Rivera* könnten Sie beispielsweise Folgendes hinzufügen:
```
Martha Rivera
Martha Rivera
Rivera, Martha
Rivera, Martha
Rivera Martha
Rivera Martha
```
Wenn Sie Varianten eines bestimmten Namens ignorieren möchten, der viele Teile enthält, erstellen Sie eine Zulassungsliste, die stattdessen einen regulären Ausdruck verwendet. Für den Namen *Dr. Martha Lyda Rivera, PhD,* könnten Sie beispielsweise den folgenden regulären Ausdruck verwenden:. `^(Dr. )?Martha\s(Lyda|L\.)?\s?Rivera,?( PhD)?$`
## Optionen und Anforderungen für reguläre Ausdrücke
Für diese Art von Zulassungsliste geben Sie einen regulären Ausdruck (*Regex*) an, der ein zu ignorierendes Textmuster definiert. Sie können beispielsweise das Muster für die öffentlichen Telefonnummern Ihrer Organisation, die E-Mail-Adressen für die Domain Ihrer Organisation oder die Musterdaten angeben, die Ihre Organisation für Tests verwendet. Die Regex definiert ein allgemeines Muster für eine bestimmte Art von Daten, die Sie nicht als vertraulich betrachten. Wenn Sie diese Art von Zulassungsliste verwenden, meldet Amazon Macie keine Textvorkommen, die vollständig dem angegebenen Muster entsprechen. Im Gegensatz zu einer Zulassungsliste, die vordefinierten Text angibt, der ignoriert werden soll, erstellen und speichern Sie die Regex und alle anderen Listeneinstellungen in Macie.
Wenn Sie diese Art von Zulassungsliste erstellen oder aktualisieren, können Sie den regulären Ausdruck der Liste anhand von Beispieldaten testen, bevor Sie die Liste speichern. Wir empfehlen, dass Sie dies mit mehreren Beispieldatensätzen tun. Wenn Sie eine zu allgemeine Regex erstellen, ignoriert Macie möglicherweise Textstellen, die Sie für sensibel halten. Wenn ein Regex zu spezifisch ist, ignoriert Macie möglicherweise nicht das Vorkommen von Text, den Sie nicht für sensibel halten. Zum Schutz vor falsch formatierten oder lang andauernden Ausdrücken kompiliert und testet Macie den regulären Ausdruck auch automatisch anhand einer Sammlung von Beispieltext und benachrichtigt Sie über Probleme, die behoben werden müssen.
Für zusätzliche Tests empfehlen wir Ihnen, den regulären Ausdruck der Liste auch mit einem kleinen, repräsentativen Datensatz für Ihr Konto oder Ihre Organisation zu testen. Zu diesem Zweck können Sie [einen einmaligen Job erstellen](discovery-jobs-create.md). Konfigurieren Sie den Job so, dass er die Liste zusätzlich zu den verwalteten und benutzerdefinierten Datenkennungen verwendet, die Sie normalerweise zur Datenanalyse verwenden. Anschließend können Sie die Ergebnisse des Jobs überprüfen — Ergebnisse sensibler Daten, Ergebnisse der Erkennung sensibler Daten oder beides. Wenn die Ergebnisse des Jobs von Ihren Erwartungen abweichen, können Sie den regulären Ausdruck ändern und testen, bis die Ergebnisse Ihren Erwartungen entsprechen.
Nachdem Sie eine Zulassungsliste konfiguriert und getestet haben, können Sie zusätzliche Jobs erstellen und konfigurieren, um sie zu verwenden, oder sie zu Ihren Einstellungen für die automatische Erkennung vertraulicher Daten hinzufügen. Wenn diese Jobs ausgeführt werden oder Macie eine automatische Erkennung durchführt, verwendet Macie die neueste Version der Regex der Liste, um Daten zu analysieren.
**Topics**
+ [Syntaxunterstützung und Empfehlungen](#allow-lists-options-regex-syntax)
+ [Beispiele](#allow-lists-options-regex-examples)
### Syntaxunterstützung und Empfehlungen
In einer Zulassungsliste kann ein regulärer Ausdruck (*Regex*) angegeben werden, der bis zu 512 Zeichen enthält. Macie unterstützt eine Teilmenge der Regex-Mustersyntax, die von der Bibliothek [Perl Compatible](https://www.pcre.org/) Regular Expressions (PCRE) bereitgestellt wird. Von den in der PCRE-Bibliothek bereitgestellten Konstrukten unterstützt Macie die folgenden Musterelemente nicht:
+ Rückverweise
+ Gruppen erfassen
+ Bedingungsmuster
+ Eingebetteter Code
+ Globale Musterflags, wie `/i``/m`, und `/x`
+ Rekursive Muster
+ Positive und negative Look-Behind- und Look-Ahead-Assertionen mit einer Breite von Null, wie,, und `?=` `?!` `?<=` `?
Die folgenden Beispiele zeigen gültige Regex-Muster für einige gängige Szenarien.
**E-Mail-Adressen**
Wenn Sie eine benutzerdefinierte Daten-ID verwenden, um E-Mail-Adressen zu erkennen, können Sie E-Mail-Adressen ignorieren, die Sie nicht als vertraulich betrachten, z. B. E-Mail-Adressen für Ihre Organisation.
Um E-Mail-Adressen für eine bestimmte Domäne der zweiten und obersten Ebene zu ignorieren, können Sie dieses Muster verwenden:
`[a-zA-Z0-9_.+\\-]+@example\.com`
Wo *example* ist der Name der Second-Level-Domain und *com* ist die Top-Level-Domain. **In diesem Fall gleicht Macie Adressen wie johndoe@example.com und john.doe@example.com ab und ignoriert sie.**
Um E-Mail-Adressen für eine bestimmte Domain in einer generischen Top-Level-Domain (gTLD) wie *.com* oder *.gov* zu ignorieren, können Sie dieses Muster verwenden:
`[a-zA-Z0-9_.+\\-]+@example\.[a-zA-Z]{2,}`
Wo *example* ist der Name der Domain. *In diesem Fall gleicht Macie Adressen wie *johndoe@example.com*, *john.doe@example.gov* und johndoe@example.edu ab und ignoriert sie.*
Um E-Mail-Adressen für eine bestimmte Domain in einer länderspezifischen Top-Level-Domain (ccTLD) zu ignorieren, z. B. *.ca für Kanada oder *.au** für Australien, können Sie dieses Muster verwenden:
`[a-zA-Z0-9_.+\\-]+@example\.(ca|au)`
Wo *example* ist der Name der Domain *ca* und welche spezifischen CC ignoriert *au* werden sollen. TLDs *In diesem Fall gleicht Macie Adressen wie *johndoe@example.ca* und john.doe@example.au ab und ignoriert sie.*
Um E-Mail-Adressen zu ignorieren, die für eine bestimmte Domain und gTLD bestimmt sind und Domains der dritten und vierten Ebene enthalten, können Sie dieses Muster verwenden:
`[a-zA-Z0-9_.+\\-]+@([a-zA-Z0-9-]+\.)?[a-zA-Z0-9-]+\.example\.com`
Wo *example* ist der Name der Domain und *com* ist die gTLD. *In diesem Fall gleicht Macie Adressen wie *johndoe@www.example.com* und john.doe@www.team.example.com ab und ignoriert sie.*
**Phone numbers (Telefonnummern)**
Macie bietet verwaltete Datenkennungen, mit denen Telefonnummern für mehrere Länder und Regionen erkannt werden können. Um bestimmte Telefonnummern zu ignorieren, z. B. gebührenfreie Nummern oder öffentliche Telefonnummern für Ihre Organisation, können Sie Muster wie die folgenden verwenden.
Um gebührenfreie US-Telefonnummern zu ignorieren, die die Vorwahl *800 verwenden und als *(800**) \$1\$1\$1-\$1\$1\$1\$1 formatiert sind:
`^\(?800\)?[ -]?\d{3}[ -]?\d{4}$`
*Um gebührenfreie US-Telefonnummern zu ignorieren, die die *888-Vorwahl verwenden und als (888*) \$1\$1\$1-\$1\$1\$1\$1 formatiert sind:*
`^\(?888\)?[ -]?\d{3}[ -]?\d{4}$`
*Um 10-stellige französische Telefonnummern zu ignorieren, die die Landesvorwahl 33 enthalten und als *\$133 \$1\$1* \$1\$1 \$1\$1 formatiert sind:*
`^\+33 \d( \d\d){4}$`
*Um US-amerikanische und kanadische Telefonnummern zu ignorieren, die eine bestimmte Vorwahlnummer und Vorwahlnummer verwenden, keine Landesvorwahl enthalten und als (\$1\$1\$1) \$1\$1\$1-\$1\$1\$1\$1 formatiert sind:*
`^\(?123\)?[ -]?555[ -]?\d{4}$`
Wo *123* ist die Ortsvorwahl und ist die Umtauschvorwahl? *555*
Um US-amerikanische und kanadische Telefonnummern zu ignorieren, die bestimmte Vorwahlen und Vorwahlen verwenden, eine Landesvorwahl enthalten und als *\$11 (\$1\$1\$1) \$1\$1\$1-\$1\$1\$1\$1* formatiert sind:
`^\+1\(?123\)?[ -]?555[ -]?\d{4}$`
Wo *123* ist die Ortsvorwahl und ist die Umtauschvorwahl? *555*
# Eine Zulassungsliste erstellen
In Amazon Macie definiert eine Zulassungsliste einen bestimmten Text oder ein Textmuster, das Macie ignorieren soll, wenn es Objekte von Amazon Simple Storage Service (Amazon S3) auf sensible Daten untersucht. Wenn Text mit einem Eintrag oder einem Muster in einer Zulassungsliste übereinstimmt, meldet Macie den Text nicht in Ergebnissen, Statistiken oder anderen Ergebnissen für sensible Daten. Dies ist auch dann der Fall, wenn der Text den Kriterien einer [verwalteten Daten-ID](managed-data-identifiers.md) oder einer [benutzerdefinierten Daten-ID](custom-data-identifiers.md) entspricht.
In Macie können Sie die folgenden Arten von Zulassungslisten erstellen.
**Vordefinierter Text**
Verwenden Sie diese Art von Liste, um Wörter, Ausdrücke und andere Arten von Zeichenfolgen anzugeben, die nicht sensibel sind, sich wahrscheinlich nicht ändern werden und die nicht unbedingt einem gemeinsamen Muster entsprechen. Beispiele hierfür sind: die Namen der öffentlichen Vertreter Ihrer Organisation, bestimmte Telefonnummern und spezifische Beispieldaten, die Ihre Organisation für Tests verwendet. Wenn Sie diese Art von Liste verwenden, ignoriert Macie Text, der genau mit einem Eintrag in der Liste übereinstimmt.
Für diesen Listentyp erstellen Sie eine durch Zeilen getrennte Klartextdatei, die bestimmten Text auflistet, der ignoriert werden soll. Anschließend speichern Sie die Datei in einem S3-Bucket und konfigurieren Einstellungen für Macie, um auf die Liste im Bucket zuzugreifen. Anschließend können Sie Aufträge zur Erkennung sensibler Daten erstellen und konfigurieren, um die Liste zu verwenden, oder die Liste zu Ihren Einstellungen für die automatische Erkennung sensibler Daten hinzufügen. Wenn jeder Job ausgeführt wird oder der nächste automatisierte Discovery-Analysezyklus beginnt, ruft Macie die neueste Version der Liste von Amazon S3 ab. Macie verwendet dann diese Version der Liste, wenn es S3-Objekte auf sensible Daten untersucht. Wenn Macie Text findet, der genau mit einem Eintrag in der Liste übereinstimmt, meldet Macie dieses Vorkommen von Text nicht als sensible Daten.
**Regulärer Ausdruck**
Verwenden Sie diesen Listentyp, um einen regulären Ausdruck (*Regex*) anzugeben, der ein zu ignorierendes Textmuster definiert. Beispiele hierfür sind: öffentliche Telefonnummern für Ihre Organisation, E-Mail-Adressen für die Domain Ihrer Organisation und gemusterte Beispieldaten, die Ihre Organisation für Tests verwendet. Wenn Sie diese Art von Liste verwenden, ignoriert Macie Text, der vollständig dem in der Liste definierten Regex-Muster entspricht.
Für diesen Listentyp erstellen Sie eine Regex, die ein allgemeines Muster für Text definiert, der nicht sensibel ist, aber variiert oder sich wahrscheinlich ändern wird. Im Gegensatz zu einer Liste mit vordefiniertem Text erstellen und speichern Sie den regulären Ausdruck und alle anderen Listeneinstellungen in Macie. Anschließend können Sie Aufträge zur Erkennung vertraulicher Daten erstellen und konfigurieren, um die Liste zu verwenden, oder die Liste zu Ihren Einstellungen für die automatische Erkennung vertraulicher Daten hinzufügen. Wenn diese Jobs ausgeführt werden oder Macie eine automatische Erkennung durchführt, verwendet Macie die neueste Version der Regex der Liste, um Daten zu analysieren. Wenn Macie Text findet, der vollständig dem in der Liste definierten Muster entspricht, meldet Macie dieses Vorkommen von Text nicht als sensible Daten.
Detaillierte Anforderungen, Empfehlungen und Beispiele für jeden Typ finden Sie unter. [Konfigurationsoptionen und Anforderungen für Zulassungslisten](allow-lists-options.md)
Sie können in jeder unterstützten Liste bis zu 10 Zulassungslisten erstellen AWS-Region: bis zu fünf Zulassungslisten, die vordefinierten Text angeben, und bis zu fünf Zulassungslisten, die reguläre Ausdrücke angeben. Sie können Zulassungslisten überall dort erstellen und verwenden, AWS-Regionen wo Macie derzeit verfügbar ist, mit Ausnahme der Region Asien-Pazifik (Osaka).
**Um eine Zulassungsliste zu erstellen**
Wie Sie eine Zulassungsliste erstellen, hängt von der Art der Liste ab, die Sie erstellen möchten: eine Datei, die vordefinierten Text auflistet, der ignoriert werden soll, oder ein regulärer Ausdruck, der ein zu ignorierendes Textmuster definiert. Die folgenden Abschnitte enthalten Anweisungen für jeden Typ. Wählen Sie den Abschnitt für den Listentyp aus, den Sie erstellen möchten.
## Vordefinierter Text
Bevor Sie diese Art von Zulassungsliste in Macie erstellen, gehen Sie wie folgt vor:
1. Erstellen Sie mithilfe eines Texteditors eine durch Zeilen getrennte Klartextdatei, die bestimmten zu ignorierenden Text auflistet, z. B. eine .txt-, .text- oder .plain-Datei. Weitere Informationen finden Sie unter [Anforderungen an die Syntax](allow-lists-options.md#allow-lists-options-s3list-syntax).
1. Laden Sie die Datei in einen S3-Allzweck-Bucket hoch und notieren Sie sich den Namen des Buckets und des Objekts. Sie müssen diese Namen eingeben, wenn Sie die Einstellungen in Macie konfigurieren.
1. Stellen Sie sicher, dass die Einstellungen für den S3-Bucket und das Objekt es Ihnen und Macie ermöglichen, die Liste aus dem Bucket abzurufen. Weitere Informationen finden Sie unter [Speicheranforderungen](allow-lists-options.md#allow-lists-options-s3list-storage).
1. Wenn Sie das S3-Objekt verschlüsselt haben, stellen Sie sicher, dass es mit einem Schlüssel verschlüsselt ist, den Sie und Macie verwenden dürfen. Weitere Informationen finden Sie unter [Anforderungen an die Verschlüsselung/Entschlüsselung](allow-lists-options.md#allow-lists-options-s3list-encryption).
Nachdem Sie diese Aufgaben abgeschlossen haben, können Sie die Einstellungen der Liste in Macie konfigurieren. Sie können die Einstellungen mithilfe der Amazon Macie Macie-Konsole oder der Amazon Macie Macie-API konfigurieren.
------
#### [ Console ]
Gehen Sie wie folgt vor, um die Einstellungen für eine Zulassungsliste mithilfe der Amazon Macie Macie-Konsole zu konfigurieren.
**So konfigurieren Sie die Einstellungen für die Zulassungsliste in Macie**
1. Öffnen Sie die Amazon Macie Macie-Konsole unter [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/).
1. Wählen Sie im Navigationsbereich unter **Einstellungen** die Option **Listen zulassen** aus.
1. Wählen Sie auf der Seite „**Listen zulassen**“ die Option **Erstellen** aus.
1. **Wählen Sie unter Listentyp** auswählen die Option **Vordefinierter Text** aus.
1. Verwenden Sie unter **Listeneinstellungen** die folgenden Optionen, um zusätzliche Einstellungen für die Zulassungsliste einzugeben:
+ Geben Sie unter **Name** einen Namen für die Liste ein. Der Name darf maximal 128 Zeichen enthalten.
+ Geben Sie unter **Beschreibung** optional eine kurze Beschreibung der Liste ein. Die Beschreibung darf maximal 512 Zeichen enthalten.
+ Geben Sie als **S3-Bucket-Name** den Namen des Buckets ein, in dem die Liste gespeichert ist.
In Amazon S3 finden Sie diesen Wert im Feld **Name** der Eigenschaften des Buckets. Bei diesem Wert ist die Groß- und Kleinschreibung zu beachten. Verwenden Sie außerdem keine Platzhalterzeichen oder unvollständige Werte, wenn Sie den Namen eingeben.
+ Geben Sie als **S3-Objektname** den Namen des S3-Objekts ein, das die Liste speichert.
In Amazon S3 finden Sie diesen Wert im **Schlüsselfeld** der Objekteigenschaften. Wenn der Name einen Pfad enthält, achten Sie beispielsweise darauf, den vollständigen Pfad anzugeben, wenn Sie den Namen eingeben**allowlists/macie/mylist.txt**. Bei diesem Wert ist die Groß- und Kleinschreibung zu beachten. Verwenden Sie außerdem keine Platzhalterzeichen oder unvollständige Werte, wenn Sie den Namen eingeben.
1. (Optional) Wählen Sie unter **Tags** die Option **Tag hinzufügen** aus, und geben Sie dann bis zu 50 Tags ein, die Sie der Zulassungsliste zuweisen möchten.
Ein *Tag* ist eine Bezeichnung, die Sie definieren und bestimmten Ressourcentypen AWS zuweisen. Jedes Tag besteht aus einem erforderlichen Tag-Schlüssel und einem optionalen Tag-Wert. Mithilfe von Tags können Sie Ressourcen auf unterschiedliche Weise identifizieren, kategorisieren und verwalten, z. B. nach Zweck, Eigentümer, Umgebung oder anderen Kriterien. Weitere Informationen hierzu finden Sie unter [Macie-Ressourcen taggen](tagging-resources.md).
1. Wenn Sie fertig sind, klicken Sie auf **Create**.
Macie testet die Einstellungen der Liste. Macie überprüft auch, ob es die Liste von Amazon S3 abrufen und den Inhalt der Liste analysieren kann. Wenn ein Fehler auftritt, zeigt Macie eine Meldung an, die den Fehler beschreibt. Ausführliche Informationen, die Ihnen bei der Behebung des Fehlers helfen können, finden Sie unter[Optionen und Anforderungen für Listen mit vordefiniertem Text](allow-lists-options.md#allow-lists-options-s3list). Nachdem Sie alle Fehler behoben haben, können Sie die Einstellungen der Liste speichern.
------
#### [ API ]
Um die Einstellungen für die Zulassungsliste programmgesteuert zu konfigurieren, verwenden Sie den [CreateAllowList](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists.html)Betrieb der Amazon Macie Macie-API und geben Sie die entsprechenden Werte für die erforderlichen Parameter an.
Verwenden Sie für den `criteria` Parameter ein `s3WordsList` Objekt, um den Namen des S3-Buckets (`bucketName`) und den Namen des S3-Objekts (`objectKey`) anzugeben, das die Liste speichert. Den Bucket-Namen können Sie dem `Name` Feld in Amazon S3 entnehmen. Den Objektnamen können Sie dem `Key` Feld in Amazon S3 entnehmen. Beachten Sie, dass bei diesen Werten zwischen Groß- und Kleinschreibung unterschieden wird. Verwenden Sie außerdem keine Platzhalterzeichen oder unvollständige Werte, wenn Sie diese Namen angeben.
Um die Einstellungen mithilfe von zu konfigurieren AWS CLI, führen Sie den [create-allow-list](https://docs.aws.amazon.com/cli/latest/reference/macie2/create-allow-list.html)Befehl aus und geben Sie die entsprechenden Werte für die erforderlichen Parameter an. Die folgenden Beispiele zeigen, wie die Einstellungen für eine Zulassungsliste konfiguriert werden, die in einem S3-Bucket mit dem Namen gespeichert ist*amzn-s3-demo-bucket*. Der Name des S3-Objekts, das die Liste speichert, lautet*allowlists/macie/mylist.txt*.
Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.
```
$ aws macie2 create-allow-list \
--criteria '{"s3WordsList":{"bucketName":"amzn-s3-demo-bucket","objectKey":"allowlists/macie/mylist.txt"}}' \
--name my_allow_list \
--description "Lists public phone numbers and names for Example Corp."
```
Dieses Beispiel ist für Microsoft Windows formatiert und verwendet das Zeilenfortsetzungszeichen Caret (^), um die Lesbarkeit zu verbessern.
```
C:\> aws macie2 create-allow-list ^
--criteria={\"s3WordsList\":{\"bucketName\":\"amzn-s3-demo-bucket\",\"objectKey\":\"allowlists/macie/mylist.txt\"}} ^
--name my_allow_list ^
--description "Lists public phone numbers and names for Example Corp."
```
Wenn Sie Ihre Anfrage einreichen, testet Macie die Einstellungen der Liste. Macie überprüft auch, ob es die Liste von Amazon S3 abrufen und den Inhalt der Liste analysieren kann. Wenn ein Fehler auftritt, schlägt Ihre Anfrage fehl und Macie gibt eine Meldung zurück, die den Fehler beschreibt. Ausführliche Informationen, die Ihnen bei der Behebung des Fehlers helfen können, finden Sie unter[Optionen und Anforderungen für Listen mit vordefiniertem Text](allow-lists-options.md#allow-lists-options-s3list).
Wenn Macie die Liste abrufen und analysieren kann, ist Ihre Anfrage erfolgreich und Sie erhalten eine Ausgabe, die der folgenden ähnelt.
```
{
"arn": "arn:aws:macie2:us-west-2:123456789012:allow-list/nkr81bmtu2542yyexample",
"id": "nkr81bmtu2542yyexample"
}
```
Wo `arn` ist der Amazon-Ressourcenname (ARN) der Zulassungsliste, die erstellt wurde, und `id` ist der eindeutige Bezeichner für die Liste.
------
Nachdem Sie die Einstellungen der Liste gespeichert haben, können Sie [Aufträge zur Erkennung vertraulicher Daten erstellen und konfigurieren](discovery-jobs-create.md), um die Liste zu verwenden, oder [die Liste zu Ihren Einstellungen für die automatische Erkennung vertraulicher Daten hinzufügen](discovery-asdd-account-configure.md). Jedes Mal, wenn diese Jobs ausgeführt werden oder ein automatisierter Discovery-Analysezyklus beginnt, ruft Macie die neueste Version der Liste von Amazon S3 ab. Macie verwendet dann diese Version der Liste, wenn es Daten analysiert.
## Regulärer Ausdruck
Wenn Sie eine Zulassungsliste erstellen, die einen regulären Ausdruck (*Regex*) spezifiziert, definieren Sie den regulären Ausdruck und alle anderen Listeneinstellungen direkt in Macie. [Für die Regex unterstützt Macie eine Teilmenge der Mustersyntax, die von der Bibliothek Perl Compatible Regular Expressions (PCRE) bereitgestellt wird.](https://www.pcre.org/) Weitere Informationen finden Sie unter [Syntaxunterstützung und Empfehlungen](allow-lists-options.md#allow-lists-options-regex-syntax).
Sie können diese Art von Liste mithilfe der Amazon Macie Macie-Konsole oder der Amazon Macie Macie-API erstellen.
------
#### [ Console ]
Gehen Sie wie folgt vor, um mithilfe der Amazon Macie Macie-Konsole eine Zulassungsliste zu erstellen.
**So erstellen Sie mit der Konsole eine Zulassungsliste**
1. Öffnen Sie die Amazon Macie Macie-Konsole unter [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/).
1. Wählen Sie im Navigationsbereich unter **Einstellungen** die Option **Listen zulassen** aus.
1. Wählen Sie auf der Seite „**Listen zulassen**“ die Option **Erstellen** aus.
1. **Wählen Sie unter Listentyp** auswählen die Option **Regulärer Ausdruck** aus.
1. Verwenden Sie unter **Listeneinstellungen** die folgenden Optionen, um zusätzliche Einstellungen für die Zulassungsliste einzugeben:
+ Geben Sie unter **Name** einen Namen für die Liste ein. Der Name darf maximal 128 Zeichen enthalten.
+ Geben Sie unter **Beschreibung** optional eine kurze Beschreibung der Liste ein. Die Beschreibung darf maximal 512 Zeichen enthalten.
+ Geben Sie für **Regulärer Ausdruck** den regulären Ausdruck ein, der das zu ignorierende Textmuster definiert. Der reguläre Ausdruck kann bis zu 512 Zeichen enthalten.
1. (Optional) Geben Sie für **Evaluate** bis zu 1.000 Zeichen in das Feld **Beispieldaten** ein, und wählen Sie dann **Test aus, um den regulären** Ausdruck zu testen. Macie wertet die Beispieldaten aus und gibt an, wie oft Text mit der Regex übereinstimmt. Sie können diesen Schritt beliebig oft wiederholen, um die Regex zu verfeinern und zu optimieren.
**Anmerkung**
Wir empfehlen, dass Sie die Regex mit mehreren Sätzen von Beispieldaten testen und verfeinern. Wenn Sie eine zu allgemeine Regex erstellen, ignoriert Macie möglicherweise Textvorkommen, die Sie für sensibel halten. Wenn ein Regex zu spezifisch ist, ignoriert Macie möglicherweise nicht das Vorkommen von Text, den Sie nicht für sensibel halten.
1. (Optional) Wählen Sie unter **Tags** die Option **Tag hinzufügen** aus, und geben Sie dann bis zu 50 Tags ein, die der Zulassungsliste zugewiesen werden sollen.
Ein *Tag* ist eine Bezeichnung, die Sie definieren und bestimmten Ressourcentypen AWS zuweisen. Jedes Tag besteht aus einem erforderlichen Tag-Schlüssel und einem optionalen Tag-Wert. Mithilfe von Tags können Sie Ressourcen auf unterschiedliche Weise identifizieren, kategorisieren und verwalten, z. B. nach Zweck, Eigentümer, Umgebung oder anderen Kriterien. Weitere Informationen hierzu finden Sie unter [Macie-Ressourcen taggen](tagging-resources.md).
1. Wenn Sie fertig sind, klicken Sie auf **Create**.
Macie testet die Einstellungen der Liste. Macie testet auch den regulären Ausdruck, um sicherzustellen, dass er den Ausdruck kompilieren kann. Wenn ein Fehler auftritt, zeigt Macie eine Meldung an, die den Fehler beschreibt. Ausführliche Informationen, die Ihnen bei der Behebung des Fehlers helfen können, finden Sie unter[Optionen und Anforderungen für reguläre Ausdrücke](allow-lists-options.md#allow-lists-options-regex). Nachdem Sie alle Fehler behoben haben, können Sie die Zulassungsliste speichern.
------
#### [ API ]
Bevor Sie diese Art von Zulassungsliste in Macie erstellen, empfehlen wir Ihnen, die Regex mit mehreren Beispieldatensätzen zu testen und zu verfeinern. Wenn Sie eine zu allgemeine Regex erstellen, ignoriert Macie möglicherweise Textvorkommen, die Sie für sensibel halten. Wenn ein Regex zu spezifisch ist, ignoriert Macie möglicherweise nicht das Vorkommen von Text, den Sie nicht für sensibel halten.
Um einen Ausdruck mit Macie zu testen, können Sie den [TestCustomDataIdentifier](https://docs.aws.amazon.com/macie/latest/APIReference/custom-data-identifiers-test.html)Betrieb der Amazon Macie Macie-API verwenden oder für den den den AWS CLI Befehl ausführen. [test-custom-data-identifier](https://docs.aws.amazon.com/cli/latest/reference/macie2/test-custom-data-identifier.html) Macie verwendet denselben zugrunde liegenden Code, um Ausdrücke für Zulassungslisten und benutzerdefinierte Datenbezeichner zu kompilieren. Wenn Sie einen Ausdruck auf diese Weise testen, achten Sie darauf, nur Werte für die Parameter `regex` und `sampleText` anzugeben. Andernfalls erhalten Sie ungenaue Ergebnisse.
Wenn Sie bereit sind, diese Art von Zulassungsliste zu erstellen, verwenden Sie den [CreateAllowList](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists.html)Betrieb der Amazon Macie Macie-API und geben Sie die entsprechenden Werte für die erforderlichen Parameter an. Verwenden Sie für den `criteria` Parameter das `regex` Feld, um den regulären Ausdruck anzugeben, der das zu ignorierende Textmuster definiert. Der Ausdruck darf maximal 512 Zeichen enthalten.
Um diesen Listentyp mithilfe von zu erstellen AWS CLI, führen Sie den [create-allow-list](https://docs.aws.amazon.com/cli/latest/reference/macie2/create-allow-list.html)Befehl aus und geben Sie die entsprechenden Werte für die erforderlichen Parameter an. In den folgenden Beispielen wird eine Zulassungsliste mit dem Namen erstellt*my\$1allow\$1list*. Der reguläre Ausdruck ist so konzipiert, dass er alle E-Mail-Adressen ignoriert, die ein benutzerdefinierter Datenbezeichner andernfalls für die `example.com` Domain erkennen könnte.
Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.
```
$ aws macie2 create-allow-list \
--criteria '{"regex":"[a-z]@example.com"}' \
--name my_allow_list \
--description "Ignores all email addresses for Example Corp."
```
Dieses Beispiel ist für Microsoft Windows formatiert und verwendet das Zeilenfortsetzungszeichen Caret (^), um die Lesbarkeit zu verbessern.
```
C:\> aws macie2 create-allow-list ^
--criteria={\"regex\":\"[a-z]@example.com\"} ^
--name my_allow_list ^
--description "Ignores all email addresses for Example Corp."
```
Wenn Sie Ihre Anfrage einreichen, testet Macie die Einstellungen der Liste. Macie testet auch den regulären Ausdruck, um sicherzustellen, dass er den Ausdruck kompilieren kann. Wenn ein Fehler auftritt, schlägt die Anfrage fehl und Macie gibt eine Meldung zurück, die den Fehler beschreibt. Ausführliche Informationen, die Ihnen bei der Behebung des Fehlers helfen können, finden Sie unter[Optionen und Anforderungen für reguläre Ausdrücke](allow-lists-options.md#allow-lists-options-regex).
Wenn Macie den Ausdruck kompilieren kann, ist die Anfrage erfolgreich und Sie erhalten eine Ausgabe, die der folgenden ähnelt:
```
{
"arn": "arn:aws:macie2:us-west-2:123456789012:allow-list/km2d4y22hp6rv05example",
"id": "km2d4y22hp6rv05example"
}
```
Wo `arn` ist der Amazon-Ressourcenname (ARN) der Zulassungsliste, die erstellt wurde, und `id` ist der eindeutige Bezeichner für die Liste.
------
Nachdem Sie die Liste gespeichert haben, können Sie [Aufträge zur Erkennung vertraulicher Daten erstellen und konfigurieren](discovery-jobs-create.md), um sie zu verwenden, oder [sie zu Ihren Einstellungen für die automatische Erkennung vertraulicher Daten hinzufügen](discovery-asdd-account-configure.md). Wenn diese Jobs ausgeführt werden oder Macie eine automatische Erkennung durchführt, verwendet Macie die neueste Version der Regex der Liste, um Daten zu analysieren.
# Den Status einer Zulassungsliste überprüfen
Wenn Sie eine Zulassungsliste erstellen, ist es wichtig, ihren Status regelmäßig zu überprüfen. Andernfalls könnten Fehler dazu führen, dass Amazon Macie unerwartete Analyseergebnisse für Ihre Amazon Simple Storage Service (Amazon S3) -Daten generiert. Macie könnte beispielsweise Ergebnisse mit sensiblen Daten für Text erstellen, den Sie in einer Zulassungsliste angegeben haben.
Wenn Sie einen Auftrag zur Erkennung vertraulicher Daten so konfigurieren, dass er eine Zulassungsliste verwendet, und Macie nicht auf die Liste zugreifen oder sie verwenden kann, wenn der Job ausgeführt wird, wird der Job weiter ausgeführt. Macie verwendet die Liste jedoch nicht, wenn es S3-Objekte analysiert. Wenn ein Analysezyklus für die automatische Erkennung sensibler Daten gestartet wird und Macie nicht auf eine bestimmte Zulassungsliste zugreifen oder diese verwenden kann, wird die Analyse ebenfalls fortgesetzt, Macie verwendet die Liste jedoch nicht.
Bei einer Zulassungsliste, die einen regulären Ausdruck (*Regex*) angibt, ist es unwahrscheinlich, dass Fehler auftreten. Dies liegt zum Teil daran, dass Macie die Regex automatisch testet, wenn Sie die Einstellungen der Liste erstellen oder aktualisieren. Darüber hinaus speichern Sie die Regex und alle anderen Listeneinstellungen in Macie.
Bei einer Zulassungsliste, die vordefinierten Text angibt, können jedoch Fehler auftreten, auch weil Sie die Liste in Amazon S3 statt in Macie speichern. Zu den häufigsten Fehlerursachen gehören:
+ Der S3-Bucket oder das S3-Objekt wird gelöscht.
+ Der S3-Bucket oder das S3-Objekt wird umbenannt und die Listeneinstellungen in Macie geben den neuen Namen nicht an.
+ Die Berechtigungseinstellungen des S3-Buckets werden geändert und Macie verliert den Zugriff auf den Bucket und das Objekt.
+ Die Verschlüsselungseinstellungen für den S3-Bucket werden geändert und Macie kann das Objekt, das die Liste speichert, nicht entschlüsseln.
+ Die Richtlinie für den Verschlüsselungsschlüssel wird geändert und Macie verliert den Zugriff auf den Schlüssel. Macie kann das S3-Objekt, das die Liste speichert, nicht entschlüsseln.
**Wichtig**
Da sich diese Fehler auf die Ergebnisse Ihrer Analysen auswirken, empfehlen wir Ihnen, den Status all Ihrer Zulassungslisten regelmäßig zu überprüfen. Wir empfehlen Ihnen, dies auch zu tun, wenn Sie die Berechtigungen oder Verschlüsselungseinstellungen für einen S3-Bucket ändern, in dem eine Zulassungsliste gespeichert ist, oder wenn Sie die Richtlinie für einen AWS Key Management Service (AWS KMS) -Schlüssel ändern, der zum Verschlüsseln einer Liste verwendet wird.
Ausführliche Informationen, die Ihnen bei der Behebung von auftretenden Fehlern helfen können, finden Sie unter[Optionen und Anforderungen für Listen mit vordefiniertem Text](allow-lists-options.md#allow-lists-options-s3list).
**So überprüfen Sie den Status einer Zulassungsliste**
Sie können den Status einer Zulassungsliste mithilfe der Amazon Macie Macie-Konsole oder der Amazon Macie Macie-API überprüfen. Auf der Konsole können Sie auf einer einzigen Seite den Status all Ihrer Zulassungslisten gleichzeitig überprüfen. Wenn Sie die Amazon Macie Macie-API verwenden, können Sie den Status der einzelnen Zulassungslisten nacheinander überprüfen.
------
#### [ Console ]
Gehen Sie wie folgt vor, um den Status Ihrer Zulassungslisten mithilfe der Amazon Macie Macie-Konsole zu überprüfen.
**Um den Status Ihrer Zulassungslisten zu überprüfen**
1. Öffnen Sie die Amazon Macie Macie-Konsole unter [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/).
1. Wählen Sie im Navigationsbereich unter **Einstellungen** die Option **Listen zulassen** aus.
1. Wählen Sie auf der Seite „**Listen zulassen**“ die Option Aktualisieren (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/btn-refresh-data.png)) aus. Macie testet die Einstellungen für all Ihre Zulassungslisten und aktualisiert das **Statusfeld**, um den aktuellen Status jeder Liste anzuzeigen.
Wenn eine Liste einen regulären Ausdruck angibt, ist ihr Status normalerweise **OK**. Das bedeutet, dass Macie den Ausdruck kompilieren kann. Wenn eine Liste vordefinierten Text angibt, kann ihr Status einen der folgenden Werte haben.
**OK**
Macie kann den Inhalt der Liste abrufen und analysieren.
Zugriff verweigert
Macie darf nicht auf das S3-Objekt zugreifen, das die Liste speichert. Amazon S3 hat die Anfrage zum Abrufen des Objekts abgelehnt. Eine Liste kann diesen Status auch haben, wenn das Objekt mit einer Kundenverwaltung verschlüsselt ist AWS KMS key , die Macie nicht verwenden darf.
Um diesen Fehler zu beheben, überprüfen Sie die Bucket-Richtlinie und andere Berechtigungseinstellungen für den Bucket und das Objekt. Stellen Sie sicher, dass Macie auf das Objekt zugreifen und es abrufen darf. Wenn das Objekt mit einem vom Kunden verwalteten AWS KMS Schlüssel verschlüsselt ist, überprüfen Sie auch die Schlüsselrichtlinie und stellen Sie sicher, dass Macie den Schlüssel verwenden darf.
**Fehler**
Ein vorübergehender oder interner Fehler trat auf, als Macie versuchte, den Inhalt der Liste abzurufen oder zu analysieren. Eine Zulassungsliste kann diesen Status auch haben, wenn sie mit einem Verschlüsselungsschlüssel verschlüsselt ist, auf den Amazon S3 und Macie nicht zugreifen oder den sie nicht verwenden können.
Um diesen Fehler zu beheben, warten Sie einige Minuten und wählen Sie dann erneut refresh (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/btn-refresh-data.png)). Wenn der Status weiterhin **Fehler** lautet, überprüfen Sie die Verschlüsselungseinstellungen für das S3-Objekt. Stellen Sie sicher, dass das Objekt mit einem Schlüssel verschlüsselt ist, auf den Amazon S3 und Macie zugreifen und ihn verwenden können.
**Objekt ist leer**
Macie kann die Liste von Amazon S3 abrufen, aber die Liste enthält keinen Inhalt.
Um diesen Fehler zu beheben, laden Sie das Objekt von Amazon S3 herunter und stellen Sie sicher, dass es die richtigen Einträge enthält. Wenn die Einträge korrekt sind, überprüfen Sie die Einstellungen der Liste in Macie. Stellen Sie sicher, dass die angegebenen Bucket- und Objektnamen korrekt sind.
**Objekt wurde nicht gefunden**
Die Liste ist in Amazon S3 nicht vorhanden.
Um diesen Fehler zu beheben, überprüfen Sie die Einstellungen der Liste in Macie. Stellen Sie sicher, dass die angegebenen Bucket- und Objektnamen korrekt sind.
**Kontingent überschritten**
Macie kann in Amazon S3 auf die Liste zugreifen. Die Anzahl der Einträge in der Liste oder die Speichergröße der Liste überschreiten jedoch das Kontingent für eine Zulassungsliste.
Um diesen Fehler zu beheben, teilen Sie die Liste in mehrere Dateien auf. Stellen Sie sicher, dass jede Datei weniger als 100.000 Einträge enthält. Stellen Sie außerdem sicher, dass die Größe jeder Datei weniger als 35 MB beträgt. Laden Sie dann jede Datei auf Amazon S3 hoch. Wenn Sie fertig sind, konfigurieren Sie die Einstellungen für die Zulassungsliste in Macie für jede Datei. In jeder unterstützten AWS-Region Liste können bis zu fünf Listen mit vordefiniertem Text enthalten sein.
**Gestrosselt**
Amazon S3 hat die Anfrage zum Abrufen der Liste gedrosselt.
Um diesen Fehler zu beheben, warten Sie einige Minuten und wählen Sie dann erneut refresh (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/btn-refresh-data.png)).
**Benutzerzugriff verweigert**
Amazon S3 hat die Anfrage zum Abrufen des Objekts abgelehnt. Wenn das angegebene Objekt existiert, dürfen Sie nicht darauf zugreifen oder es ist mit einem AWS KMS Schlüssel verschlüsselt, den Sie nicht verwenden dürfen.
Um diesen Fehler zu beheben, stellen Sie gemeinsam mit Ihrem AWS Administrator sicher, dass in den Einstellungen der Liste die richtigen Bucket- und Objektnamen angegeben sind und dass Sie Lesezugriff auf den Bucket und das Objekt haben. Wenn das Objekt verschlüsselt ist, sollten Sie außerdem sicherstellen, dass Sie den zugehörigen Schlüssel verwenden dürfen.
1. Um die Einstellungen und den Status einer bestimmten Liste zu überprüfen, wählen Sie den Namen der Liste.
------
#### [ API ]
Um den Status einer Zulassungsliste programmgesteuert zu überprüfen, verwenden Sie den [GetAllowList](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists-id.html)Betrieb der Amazon Macie Macie-API. Oder, wenn Sie den verwenden, führen Sie den AWS CLI Befehl aus. [get-allow-list](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-allow-list.html)
Geben Sie für den `id` Parameter den eindeutigen Bezeichner für die Zulassungsliste an, deren Status Sie überprüfen möchten. Um diese Kennung zu erhalten, können Sie die [ListAllowLists](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists.html)Operation verwenden. Bei **ListAllowLists** diesem Vorgang werden Informationen zu allen Zulassungslisten für Ihr Konto abgerufen. Wenn Sie den verwenden AWS CLI, können Sie den [list-allow-lists](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-allow-lists.html)Befehl ausführen, um diese Informationen abzurufen.
Wenn Sie eine **GetAllowList** Anfrage einreichen, testet Macie alle Einstellungen für die Zulassungsliste. Wenn die Einstellungen einen regulären Ausdruck (`regex`) angeben, überprüft Macie, ob der Ausdruck kompiliert werden kann. Wenn die Einstellungen eine Liste mit vordefiniertem Text (`s3WordsList`) angeben, überprüft Macie, ob die Liste abgerufen und analysiert werden kann.
Macie gibt dann ein `GetAllowListResponse` Objekt zurück, das die Details der Zulassungsliste enthält. Im `GetAllowListResponse` Objekt gibt das `status` Objekt den aktuellen Status der Liste an: einen Statuscode (`code`) und, je nach Statuscode, eine kurze Beschreibung des Status der Liste (`description`).
Wenn in der Zulassungsliste ein regulärer Ausdruck angegeben ist, lautet der Statuscode in der Regel `OK` und es gibt keine zugehörige Beschreibung. Das bedeutet, dass Macie den Ausdruck erfolgreich kompiliert hat.
Wenn in der Zulassungsliste vordefinierten Text angegeben ist, hängt der Statuscode von den Testergebnissen ab:
+ Wenn Macie die Liste erfolgreich abgerufen und analysiert hat, lautet der Statuscode `OK` und es gibt keine zugehörige Beschreibung.
+ Wenn Macie aufgrund eines Fehlers daran gehindert wurde, die Liste abzurufen oder zu analysieren, geben der Statuscode und die Beschreibung die Art des aufgetretenen Fehlers an.
Eine Liste möglicher Statuscodes und eine Beschreibung der einzelnen Statuscodes finden Sie [AllowListStatus](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists-id.html#allow-lists-id-model-allowliststatus)in der *Amazon Macie API-Referenz.*
------
# Eine Zulassungsliste ändern
Nachdem Sie eine Zulassungsliste erstellt haben, können Sie die meisten Einstellungen der Liste in Amazon Macie ändern. Sie können beispielsweise den Namen und die Beschreibung der Liste ändern. Sie können der Liste auch Tags hinzufügen und bearbeiten. Die einzige Einstellung, die Sie nicht ändern können, ist der Typ einer Liste. Wenn in einer vorhandenen Liste beispielsweise ein regulärer Ausdruck (*Regex*) angegeben ist, können Sie dessen Typ nicht in vordefinierten Text ändern.
Wenn in einer Zulassungsliste vordefinierten Text angegeben ist, können Sie auch die Einträge in der Liste ändern. Aktualisieren Sie dazu die Datei, die die Einträge enthält. Laden Sie dann die neue Version der Datei auf Amazon Simple Storage Service (Amazon S3) hoch. Wenn Macie sich das nächste Mal darauf vorbereitet, die Liste zu verwenden, ruft Macie die neueste Version der Datei von Amazon S3 ab. Wenn Sie die neue Datei hochladen, stellen Sie sicher, dass Sie sie im selben S3-Bucket und Objekt speichern. Oder, wenn Sie den Namen des Buckets oder Objekts ändern, stellen Sie sicher, dass Sie die Einstellungen der Liste in Macie aktualisieren.
**Um die Einstellungen für eine Zulassungsliste zu ändern**
Sie können die Einstellungen für eine Zulassungsliste mithilfe der Amazon Macie Macie-Konsole oder der Amazon Macie Macie-API ändern.
------
#### [ Console ]
Gehen Sie wie folgt vor, um die Einstellungen einer Zulassungsliste mithilfe der Amazon Macie Macie-Konsole zu ändern.
**So ändern Sie die Einstellungen einer Zulassungsliste mithilfe der Konsole**
1. Öffnen Sie die Amazon Macie Macie-Konsole unter [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/).
1. Wählen Sie im Navigationsbereich unter **Einstellungen** die Option **Listen zulassen** aus.
1. Wählen Sie auf der Seite **Zulassungslisten** den Namen der Zulassungsliste aus, die Sie ändern möchten. Die Seite mit der Zulassungsliste wird geöffnet und zeigt die aktuellen Einstellungen für die Liste an.
1. Um Tags für die Zulassungsliste hinzuzufügen oder zu bearbeiten, wählen Sie im Abschnitt **Tags die Option **Tags** verwalten** aus. Ändern Sie dann die Tags nach Bedarf. Wählen Sie **Save (Speichern)** aus, wenn Sie fertig sind.
1. Um andere Einstellungen für die Zulassungsliste zu ändern, wählen Sie im Abschnitt **Listeneinstellungen** die Option **Bearbeiten** aus. Ändern Sie dann die gewünschten Einstellungen:
+ **Name** — Geben Sie einen neuen Namen für die Liste ein. Der Name darf maximal 128 Zeichen enthalten.
+ **Beschreibung** — Geben Sie eine neue Beschreibung der Liste ein. Die Beschreibung darf maximal 512 Zeichen enthalten.
+ Wenn in der Zulassungsliste vordefinierten Text angegeben ist:
+ **S3-Bucket-Name** — Geben Sie den Namen des Buckets ein, der die Liste speichert.
In Amazon S3 finden Sie diesen Wert im Feld **Name** der Eigenschaften des Buckets. Bei diesem Wert ist die Groß- und Kleinschreibung zu beachten. Verwenden Sie außerdem keine Platzhalterzeichen oder unvollständige Werte, wenn Sie den Namen eingeben.
+ **S3-Objektname** — Geben Sie den Namen des S3-Objekts ein, das die Liste speichert.
In Amazon S3 finden Sie diesen Wert im **Schlüsselfeld** der Objekteigenschaften. Wenn der Name einen Pfad enthält, achten Sie beispielsweise darauf, den vollständigen Pfad anzugeben, wenn Sie den Namen eingeben**allowlists/macie/mylist.txt**. Bei diesem Wert ist die Groß- und Kleinschreibung zu beachten. Verwenden Sie außerdem keine Platzhalterzeichen oder unvollständige Werte, wenn Sie den Namen eingeben.
+ **Wenn in der Zulassungsliste ein regulärer Ausdruck (*Regex*) angegeben ist, geben Sie einen neuen regulären Ausdruck in das Feld Regulärer Ausdruck ein.** Der reguläre Ausdruck kann bis zu 512 Zeichen enthalten.
Nachdem Sie den neuen regulären Ausdruck eingegeben haben, können Sie ihn optional testen. **Geben Sie dazu bis zu 1.000 Zeichen in das Feld **Beispieldaten** ein, und wählen Sie dann Test aus.** Macie wertet die Beispieldaten aus und gibt an, wie oft Text mit der Regex übereinstimmt. Sie können diesen Schritt beliebig oft wiederholen, um den regulären Ausdruck zu verfeinern und zu optimieren, bevor Sie Ihre Änderungen speichern.
1. Wählen Sie **Save (Speichern)** aus, wenn Sie fertig sind.
Macie testet die Einstellungen der Liste. Bei einer Liste mit vordefiniertem Text überprüft Macie auch, ob es die Liste von Amazon S3 abrufen und den Inhalt der Liste analysieren kann. Bei einer Regex überprüft Macie auch, ob der Ausdruck kompiliert werden kann. Wenn ein Fehler auftritt, zeigt Macie eine Meldung an, die den Fehler beschreibt. Ausführliche Informationen, die Ihnen bei der Behebung des Fehlers helfen können, finden Sie unter[Konfigurationsoptionen und Anforderungen für Zulassungslisten](allow-lists-options.md). Nachdem Sie alle Fehler behoben haben, können Sie Ihre Änderungen speichern.
------
#### [ API ]
Um die Einstellungen einer Zulassungsliste programmgesteuert zu ändern, verwenden Sie den [UpdateAllowList](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists-id.html)Betrieb der Amazon Macie Macie-API. Oder, wenn Sie den verwenden, führen Sie den AWS CLI Befehl aus. [update-allow-list](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-allow-list.html) Verwenden Sie in Ihrer Anfrage die unterstützten Parameter, um für jede Einstellung, die Sie ändern möchten, einen neuen Wert anzugeben. Beachten Sie`criteria`, dass die `name` Parameter`id`, und erforderlich sind. Wenn Sie den Wert für einen erforderlichen Parameter nicht ändern möchten, geben Sie den aktuellen Wert für den Parameter an.
Mit dem folgenden Befehl werden beispielsweise der Name und die Beschreibung einer vorhandenen Zulassungsliste geändert. Das Beispiel ist für Microsoft Windows formatiert und verwendet das Zeilenfortsetzungszeichen Caret (^), um die Lesbarkeit zu verbessern.
```
C:\> aws macie2 update-allow-list ^
--id km2d4y22hp6rv05example ^
--name my_allow_list-email ^
--criteria={\"regex\":\"[a-z]@example.com\"} ^
--description "Ignores all email addresses for the example.com domain"
```
Wobei gilt:
+ *km2d4y22hp6rv05example*ist der eindeutige Bezeichner für die Liste.
+ *my\$1allow\$1list-email*ist der neue Name für die Liste.
+ *[a-z]@example.com*ist das Kriterium der Liste, ein regulärer Ausdruck.
+ *Ignores all email addresses for the example.com domain*ist die neue Beschreibung für die Liste.
Wenn Sie Ihre Anfrage einreichen, testet Macie die Einstellungen der Liste. Wenn in der Liste vordefinierten Text (`s3WordsList`) angegeben ist, muss auch überprüft werden, ob Macie die Liste von Amazon S3 abrufen und den Inhalt der Liste analysieren kann. Wenn in der Liste ein regulärer Ausdruck (`regex`) angegeben ist, beinhaltet dies die Überprüfung, ob Macie den Ausdruck kompilieren kann.
Wenn beim Testen der Einstellungen durch Macie ein Fehler auftritt, schlägt Ihre Anfrage fehl und Macie gibt eine Meldung zurück, die den Fehler beschreibt. Ausführliche Informationen, die Ihnen bei der Behebung des Fehlers helfen können, finden Sie unter. [Konfigurationsoptionen und Anforderungen für Zulassungslisten](allow-lists-options.md) Wenn die Anforderung aus einem anderen Grund fehlschlägt, gibt Macie eine HTTP 4 *xx* - oder 500-Antwort zurück, die angibt, warum der Vorgang fehlgeschlagen ist.
Wenn Ihre Anfrage erfolgreich ist, aktualisiert Macie die Einstellungen der Liste und Sie erhalten eine Ausgabe, die der folgenden ähnelt.
```
{
"arn": "arn:aws:macie2:us-west-2:123456789012:allow-list/km2d4y22hp6rv05example",
"id": "km2d4y22hp6rv05example"
}
```
Wo `arn` ist der Amazon-Ressourcenname (ARN) der Zulassungsliste, die aktualisiert wurde, und `id` ist der eindeutige Bezeichner für die Liste.
------
# Löschen einer Zulassungsliste
Wenn Sie eine Zulassungsliste in Amazon Macie löschen, werden alle Einstellungen der Liste dauerhaft gelöscht. Diese Einstellungen können nicht wiederhergestellt werden, nachdem sie gelöscht wurden. Wenn die Einstellungen eine Liste mit vordefiniertem Text angeben, den Sie in Amazon Simple Storage Service (Amazon S3) speichern, löscht Macie das S3-Objekt, das die Liste speichert, nicht. Nur die Einstellungen in Macie werden gelöscht.
Wenn Sie Aufträge zur Erkennung vertraulicher Daten so konfigurieren, dass sie eine Zulassungsliste verwenden, die Sie anschließend löschen, werden die Jobs wie geplant ausgeführt. Ihre Auftragsergebnisse, sowohl Ergebnisse vertraulicher Daten als auch Ergebnisse der Erkennung vertraulicher Daten, enthalten jedoch möglicherweise Text, den Sie zuvor in der Zulassungsliste angegeben haben. Wenn Sie die automatische Erkennung sensibler Daten so konfigurieren, dass eine Liste verwendet wird, die Sie anschließend löschen, werden die täglichen Analysezyklen ebenfalls fortgesetzt. Ergebnisse sensibler Daten, Statistiken und andere Arten von Ergebnissen können jedoch Text melden, den Sie zuvor in der Zulassungsliste angegeben haben.
Bevor Sie eine Zulassungsliste löschen, empfehlen wir Ihnen, [Ihr Auftragsinventar zu überprüfen](discovery-jobs-manage-view.md), um Jobs zu identifizieren, die die Liste verwenden und deren Ausführung für die future geplant ist. Im Inventar wird im Detailbereich angezeigt, ob ein Job für die Verwendung beliebiger Zulassungslisten konfiguriert ist, und falls ja, welche. Wir empfehlen Ihnen, auch [Ihre Einstellungen für die automatische Erkennung sensibler Daten zu überprüfen](discovery-asdd-account-configure.md). Möglicherweise entscheiden Sie, dass es am besten ist, eine Liste zu ändern, anstatt sie zu löschen.
Als zusätzliche Sicherheitsmaßnahme überprüft Macie die Einstellungen für all Ihre Jobs, wenn Sie versuchen, eine Zulassungsliste zu löschen. **Wenn Sie Jobs für die Verwendung der Liste konfiguriert haben und einer dieser Jobs einen anderen Status als Abgeschlossen oder **Storniert** hat, löscht Macie die Liste nicht, es sei denn, Sie geben eine zusätzliche Bestätigung.**
**Um eine Zulassungsliste zu löschen**
Sie können eine Zulassungsliste mithilfe der Amazon Macie Macie-Konsole oder der Amazon Macie Macie-API löschen.
------
#### [ Console ]
Gehen Sie wie folgt vor, um eine Zulassungsliste mithilfe der Amazon Macie Macie-Konsole zu löschen.
**Um eine Zulassungsliste mit der Konsole zu löschen**
1. Öffnen Sie die Amazon Macie Macie-Konsole unter [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/).
1. Wählen Sie im Navigationsbereich unter **Einstellungen** die Option **Listen zulassen** aus.
1. Aktivieren Sie auf der Seite **Zulassungslisten** das Kontrollkästchen für die Zulassungsliste, die Sie löschen möchten.
1. Wählen Sie im Menü **Actions** die Option **Delete**.
1. Wenn Sie zur Bestätigung aufgefordert werden, geben Sie **delete** ein und wählen Sie dann **Delete** (Löschen) aus.
------
#### [ API ]
Um eine Zulassungsliste programmgesteuert zu löschen, verwenden Sie den [DeleteAllowList](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists-id.html)Betrieb der Amazon Macie Macie-API. Geben Sie für den `id` Parameter die eindeutige Kennung für die Zulassungsliste an, die gelöscht werden soll. Sie können diesen Bezeichner mithilfe der [ListAllowLists](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists.html)Operation abrufen. Bei **ListAllowLists** diesem Vorgang werden Informationen zu allen Zulassungslisten für Ihr Konto abgerufen. Wenn Sie den verwenden AWS CLI, können Sie den [list-allow-lists](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-allow-lists.html)Befehl ausführen, um diese Informationen abzurufen.
Geben Sie für den `ignoreJobChecks` Parameter an, ob das Löschen der Liste erzwungen werden soll, auch wenn Discovery-Jobs für sensible Daten so konfiguriert sind, dass sie die Liste verwenden:
+ Wenn Sie dies angeben`false`, überprüft Macie die Einstellungen für all Ihre Jobs, die einen anderen Status als `COMPLETE` oder `CANCELLED` haben. Wenn keiner dieser Jobs für die Verwendung der Liste konfiguriert ist, löscht Macie die Liste dauerhaft. Wenn einer dieser Jobs für die Verwendung der Liste konfiguriert ist, lehnt Macie Ihre Anfrage ab und gibt einen HTTP 400 () -Fehler zurück. `ValidationException` Die Fehlermeldung gibt die Anzahl der zutreffenden Jobs für bis zu 200 Jobs an.
+ Wenn Sie dies angeben`true`, löscht Macie die Liste dauerhaft, ohne die Einstellungen für einen Ihrer Jobs zu überprüfen.
Um eine Zulassungsliste mit dem zu löschen AWS CLI, führen Sie den [delete-allow-list](https://docs.aws.amazon.com/cli/latest/reference/macie2/delete-allow-list.html)Befehl aus. Zum Beispiel:
```
C:\> aws macie2 delete-allow-list --id nkr81bmtu2542yyexample --ignore-job-checks false
```
Wo *nkr81bmtu2542yyexample* ist der eindeutige Bezeichner für die Zulassungsliste, die gelöscht werden soll?
Wenn Ihre Anfrage erfolgreich ist, gibt Macie eine leere HTTP 200-Antwort zurück. Andernfalls gibt Macie eine HTTP 4 *xx* - oder 500-Antwort zurück, die angibt, warum der Vorgang fehlgeschlagen ist.
------
Wenn in der Zulassungsliste ein vordefinierter Text angegeben wurde, können Sie optional das S3-Objekt löschen, in dem die Liste gespeichert ist. Wenn Sie dieses Objekt behalten, können Sie jedoch sicherstellen, dass Sie über eine unveränderliche Historie vertraulicher Daten und der Ergebnisse von Datensicherheitsprüfungen oder -untersuchungen verfügen.
# Durchführung automatisierter Erkennung sensibler Daten
Um einen umfassenden Überblick darüber zu erhalten, wo sich sensible Daten in Ihrem Amazon Simple Storage Service (Amazon S3) -Datenbestand befinden könnten, konfigurieren Sie Amazon Macie so, dass die automatische Erkennung sensibler Daten für Ihr Konto oder Ihre Organisation durchgeführt wird. Mit der automatisierten Erkennung sensibler Daten bewertet Macie kontinuierlich Ihr S3-Bucket-Inventar und verwendet Stichprobenverfahren, um repräsentative S3-Objekte in Ihren Buckets zu identifizieren und auszuwählen. Macie ruft dann die ausgewählten Objekte ab, analysiert sie und untersucht sie auf sensible Daten.
Standardmäßig wählt Macie Objekte aus all Ihren S3-Allzweck-Buckets aus und analysiert sie. Wenn Sie der Macie-Administrator einer Organisation sind, umfasst dies Objekte in Buckets, die Ihren Mitgliedskonten gehören. Sie können den Umfang der Analysen anpassen, indem Sie bestimmte Bereiche ausschließen. Sie können beispielsweise Buckets ausschließen, in denen normalerweise AWS Protokolldaten gespeichert werden. Wenn Sie ein Macie-Administrator sind, besteht eine zusätzliche Option darin, die automatische Erkennung sensibler Daten für einzelne Konten in Ihrer Organisation auf einer case-by-case bestimmten Basis zu aktivieren oder zu deaktivieren.
Sie können die Analysen so anpassen, dass sie sich auf bestimmte Arten sensibler Daten konzentrieren. Standardmäßig analysiert Macie S3-Objekte mithilfe der verwalteten Datenkennungen, die wir für die automatische Erkennung sensibler Daten empfehlen. Um die Analysen individuell anzupassen, können Sie Macie so konfigurieren, dass [es bestimmte verwaltete Datenkennungen](managed-data-identifiers.md) verwendet, die Macie bereitstellt, [benutzerdefinierte Datenkennungen](custom-data-identifiers.md), die Sie definieren, oder eine Kombination aus beidem. Sie können die Analysen auch verfeinern, indem Sie Macie so konfigurieren, dass von [Ihnen](allow-lists.md) angegebene Zulassungslisten verwendet werden.
Während die Analyse täglich voranschreitet, erstellt Macie Aufzeichnungen über die gefundenen sensiblen Daten und die durchgeführten Analysen: *Ergebnisse sensibler Daten, die sensible Daten* melden, die Macie in einzelnen S3-Objekten findet, und *Ergebnisse der Erkennung sensibler Daten*, in denen Details zur Analyse einzelner S3-Objekte protokolliert werden. Macie aktualisiert auch Statistiken, Inventardaten und andere Informationen, die es über Ihre Amazon S3 S3-Daten bereitstellt. Eine interaktive Heatmap auf der Konsole bietet beispielsweise eine visuelle Darstellung der Datensensitivität in Ihrem gesamten Datenbestand:
![\[Die Karte der S3-Buckets. Sie zeigt verschiedenfarbige Quadrate, eines für jeden S3-Bucket, gruppiert nach Konten.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/scrn-s3-map-small.png)
Diese Funktionen sollen Ihnen helfen, die Datensensitivität Ihres gesamten Amazon S3 S3-Datenbestands zu bewerten und einzelne Konten, Buckets und Objekte detailliert zu untersuchen und zu bewerten. Sie können Ihnen auch dabei helfen, herauszufinden, wo tiefere und unmittelbarere Analysen durchgeführt werden müssen, indem [Aufgaben zur Erkennung sensibler Daten ausgeführt](discovery-jobs.md) werden. In Kombination mit den Informationen, die Macie zur Sicherheit und zum Datenschutz Ihrer Amazon S3 S3-Daten bereitstellt, können Sie diese Funktionen auch verwenden, um Fälle zu identifizieren, in denen sofortige Abhilfemaßnahmen erforderlich sein könnten — zum Beispiel ein öffentlich zugänglicher Bucket, in dem Macie sensible Daten gefunden hat.
Um die automatische Erkennung sensibler Daten zu konfigurieren und zu verwalten, müssen Sie der Macie-Administrator einer Organisation sein oder über ein eigenständiges Macie-Konto verfügen.
**Topics**
+ [So funktioniert die automatische Erkennung sensibler Daten](discovery-asdd-how-it-works.md)
+ [Konfiguration der automatisierten Erkennung sensibler Daten](discovery-asdd-account-manage.md)
+ [Überprüfung der Ergebnisse der automatisierten Erkennung sensibler Daten](discovery-asdd-results-s3.md)
+ [Bewertung der Reichweite automatisierter Erkennung sensibler Daten](discovery-coverage.md)
+ [Anpassen der Empfindlichkeitswerte für S3-Buckets](discovery-asdd-s3bucket-manage.md)
+ [Empfindlichkeitsbewertung für S3-Buckets](discovery-scoring-s3.md)
+ [Standardeinstellungen für die automatische Erkennung sensibler Daten](discovery-asdd-settings-defaults.md)
# So funktioniert die automatische Erkennung sensibler Daten
Wenn Sie Amazon Macie für Ihr Konto aktivieren AWS-Konto, erstellt Macie derzeit eine AWS Identity and Access Management (IAM) [-Serviceverknüpfte Rolle](service-linked-roles.md) für Ihr Konto. AWS-Region Die Berechtigungsrichtlinie für diese Rolle ermöglicht es Macie, andere Personen anzurufen AWS-Services und Ressourcen in Ihrem Namen zu überwachen AWS . Mithilfe dieser Rolle generiert und verwaltet Macie ein Inventar Ihrer Allzweck-Buckets von Amazon Simple Storage Service (Amazon S3) in der Region. Das Inventar umfasst Informationen zu jedem Ihrer S3-Buckets und zu den Objekten in den Buckets. Wenn Sie der Macie-Administrator einer Organisation sind, enthält Ihr Inventar Informationen zu Buckets, die Ihren Mitgliedskonten gehören. Weitere Informationen finden Sie unter [Verwalten mehrerer Konten](macie-accounts.md).
Wenn Sie die automatische Erkennung sensibler Daten aktivieren, wertet Macie Ihre Inventardaten täglich aus, um S3-Objekte zu identifizieren, die für eine automatische Erkennung in Frage kommen. Im Rahmen der Bewertung wählt Macie auch eine Stichprobe repräsentativer Objekte für die Analyse aus. Macie ruft dann die neueste Version jedes ausgewählten Objekts ab, analysiert sie und untersucht es auf sensible Daten.
Während die Analyse jeden Tag voranschreitet, aktualisiert Macie Statistiken, Inventardaten und andere Informationen, die es über Ihre Amazon S3 S3-Daten bereitstellt. Macie erstellt auch Aufzeichnungen über die sensiblen Daten, die es findet, und über die Analysen, die es durchführt. Die daraus resultierenden Daten geben Aufschluss darüber, wo Macie sensible Daten in Ihrem Amazon S3 S3-Datenbestand gefunden hat, der sich über alle S3-Allzweckbereiche Ihres Kontos erstrecken kann. Die Daten können Ihnen dabei helfen, die Sicherheit und den Datenschutz Ihrer Amazon S3 S3-Daten zu beurteilen, festzustellen, wo eine eingehendere Untersuchung durchgeführt werden muss, und Fälle zu identifizieren, in denen Abhilfemaßnahmen erforderlich sind.
Sehen Sie sich das folgende Video an, um eine kurze Demonstration der Funktionsweise der automatisierten Erkennung sensibler Daten zu erhalten:
Um die automatische Erkennung sensibler Daten zu konfigurieren und zu verwalten, müssen Sie der Macie-Administrator einer Organisation sein oder über ein eigenständiges Macie-Konto verfügen. Wenn Ihr Konto Teil einer Organisation ist, kann nur der Macie-Administrator Ihrer Organisation die automatische Erkennung für Konten in der Organisation aktivieren oder deaktivieren. Darüber hinaus kann nur der Macie-Administrator die Einstellungen für die automatische Erkennung der Konten konfigurieren und verwalten. Dazu gehören Einstellungen, die den Umfang und die Art der von Macie durchgeführten Analysen definieren. Wenn Sie ein Mitgliedskonto in einer Organisation haben, wenden Sie sich an Ihren Macie-Administrator, um mehr über die Einstellungen für Ihr Konto und Ihre Organisation zu erfahren.
**Topics**
+ [Zentrale Komponenten](#discovery-asdd-how-it-works-components)
+ [Überlegungen](#discovery-asdd-how-it-works-considerations)
## Zentrale Komponenten
Amazon Macie verwendet eine Kombination von Funktionen und Techniken, um die automatische Erkennung sensibler Daten durchzuführen. Diese arbeiten mit Funktionen zusammen, die Macie Ihnen zur Verfügung stellt, um Sie bei der [Überwachung Ihrer Amazon S3 S3-Daten aus Sicherheitsgründen und zur Zugriffskontrolle zu](monitoring-s3-how-it-works.md) unterstützen.
**Auswahl der zu analysierenden S3-Objekte**
Macie wertet täglich Ihre Amazon S3-Inventardaten aus, um S3-Objekte zu identifizieren, die für eine Analyse durch automatisierte Erkennung sensibler Daten in Frage kommen. Wenn Sie der Macie-Administrator einer Organisation sind, umfasst die Auswertung standardmäßig Daten für S3-Buckets, die Ihren Mitgliedskonten gehören.
Im Rahmen der Bewertung verwendet Macie Stichprobenverfahren, um repräsentative S3-Objekte für die Analyse auszuwählen. Die Techniken definieren Gruppen von Objekten, die ähnliche Metadaten haben und wahrscheinlich einen ähnlichen Inhalt haben. Die Gruppen basieren auf Dimensionen wie Bucket-Name, Präfix, Speicherklasse, Dateinamenerweiterung und Datum der letzten Änderung. Macie wählt dann einen repräsentativen Satz von Stichproben aus jeder Gruppe aus, ruft die neueste Version jedes ausgewählten Objekts von Amazon S3 ab und analysiert jedes ausgewählte Objekt, um festzustellen, ob das Objekt sensible Daten enthält. Wenn die Analyse abgeschlossen ist, verwirft Macie seine Kopie des Objekts.
Bei der Probenahmestrategie werden verteilte Analysen priorisiert. Im Allgemeinen verwendet es einen umfassenden Ansatz für Ihren Amazon S3 S3-Datenbestand. Jeden Tag wird ein repräsentativer Satz von S3-Objekten aus so vielen Ihrer Allzweck-Buckets wie möglich ausgewählt, basierend auf der Gesamtspeichergröße aller klassifizierbaren Objekte in Ihrem Amazon S3 S3-Datenbestand. Wenn Macie beispielsweise bereits sensible Daten in Objekten in einem Bucket analysiert und gefunden hat und noch keine Objekte in einem anderen Bucket analysiert hat, hat letzterer Bucket eine höhere Priorität für die Analyse. Mit diesem Ansatz erhalten Sie schneller einen umfassenden Einblick in die Sensibilität Ihrer Amazon S3 S3-Daten. Abhängig von der Größe Ihres Datenbestands können die Analyseergebnisse innerhalb von 48 Stunden erscheinen.
Die Stichprobenstrategie priorisiert auch die Analyse verschiedener Arten von S3-Objekten und Objekten, die kürzlich erstellt oder geändert wurden. Es kann nicht garantiert werden, dass eine einzelne Objektprobe aussagekräftig ist. Daher kann die Analyse einer Vielzahl von Objekten bessere Einblicke in die Art und Menge sensibler Daten liefern, die ein S3-Bucket enthalten könnte. Darüber hinaus hilft die Priorisierung neuer oder kürzlich geänderter Objekte dabei, die Analyse an Änderungen in Ihrem Bucket-Inventar anzupassen. Wenn Objekte beispielsweise nach einer vorherigen Analyse erstellt oder geändert wurden, haben diese Objekte für die nachfolgende Analyse eine höhere Priorität. Umgekehrt, wenn ein Objekt zuvor analysiert wurde und sich seit dieser Analyse nicht geändert hat, analysiert Macie das Objekt nicht erneut. Mit diesem Ansatz können Sie Basiswerte für die Sensitivität einzelner S3-Buckets festlegen. In dem Maße, wie die kontinuierlichen, inkrementellen Analysen für Ihr Konto voranschreiten, können Ihre Sensitivitätsbeurteilungen einzelner Buckets dann mit vorhersehbarer Geschwindigkeit immer tiefer und detaillierter werden.
**Definition des Umfangs der Analysen**
Standardmäßig bezieht Macie bei der Auswertung Ihrer Inventardaten und der Auswahl von S3-Objekten zur Analyse alle S3-Allzweck-Buckets für Ihr Konto mit ein. Wenn Sie der Macie-Administrator einer Organisation sind, schließt dies auch Buckets ein, die Ihren Mitgliedskonten gehören.
Sie können den Umfang der Analysen anpassen, indem Sie bestimmte S3-Buckets von der automatisierten Erkennung sensibler Daten ausschließen. Beispielsweise möchten Sie möglicherweise Buckets ausschließen, in denen normalerweise AWS Protokolldaten gespeichert werden, wie z. B. AWS CloudTrail Ereignisprotokolle. Um einen Bucket auszuschließen, können Sie die Einstellungen für die automatische Erkennung für Ihr Konto oder den Bucket ändern. Wenn Sie dies tun, beginnt Macie, den Bucket auszuschließen, wenn der nächste tägliche Auswertungs- und Analysezyklus beginnt. Sie können bis zu 1.000 Buckets von Analysen ausschließen. Wenn Sie einen S3-Bucket ausschließen, können Sie ihn später wieder einbeziehen. Ändern Sie dazu erneut die Einstellungen für Ihr Konto oder den Bucket. Macie beginnt dann, den Bucket einzubeziehen, wenn der nächste tägliche Auswertungs- und Analysezyklus beginnt.
Wenn Sie der Macie-Administrator einer Organisation sind, können Sie auch die automatische Erkennung sensibler Daten für einzelne Konten in Ihrer Organisation aktivieren oder deaktivieren. Wenn Sie die automatische Erkennung für ein Konto deaktivieren, schließt Macie alle S3-Buckets aus, die dem Konto gehören. Wenn Sie die automatische Erkennung für das Konto anschließend wieder aktivieren, beginnt Macie erneut, die Buckets einzubeziehen.
**Feststellen, welche Arten von sensiblen Daten erkannt und gemeldet werden sollen**
Standardmäßig untersucht Macie S3-Objekte anhand der verwalteten Datenkennungen, die wir für die automatische Erkennung sensibler Daten empfehlen. Eine Liste dieser verwalteten Datenkennungen finden Sie unter. [Standardeinstellungen für die automatische Erkennung sensibler Daten](discovery-asdd-settings-defaults.md)
Sie können die Analysen so anpassen, dass sie sich auf bestimmte Arten sensibler Daten konzentrieren. Ändern Sie dazu Ihre Einstellungen für die automatische Erkennung auf eine der folgenden Arten:
+ **Verwaltete Datenkennungen hinzufügen oder entfernen** — Eine *verwaltete Daten-ID* besteht aus einer Reihe integrierter Kriterien und Techniken, mit denen eine bestimmte Art sensibler Daten erkannt werden soll, z. B. Kreditkartennummern, AWS geheime Zugangsschlüssel oder Passnummern für ein bestimmtes Land oder eine bestimmte Region. Weitere Informationen finden Sie unter [Verwenden von verwalteten Datenbezeichnern](managed-data-identifiers.md).
+ **Benutzerdefinierte Datenkennungen hinzufügen oder entfernen** — Eine *benutzerdefinierte Daten-ID* besteht aus einer Reihe von Kriterien, die Sie zur Erkennung vertraulicher Daten definieren. Mit benutzerdefinierten Datenkennungen können Sie sensible Daten erkennen, die die speziellen Szenarien, das geistige Eigentum oder die firmeneigenen Daten Ihres Unternehmens widerspiegeln. Sie können beispielsweise Mitarbeiter- IDs, Kundenkontonummern oder interne Datenklassifizierungen erkennen. Weitere Informationen finden Sie unter [Erstellen von benutzerdefinierten Datenbezeichnern](custom-data-identifiers.md).
+ **Zulassungslisten hinzufügen oder entfernen** — In Macie gibt eine Zulassungsliste Text oder ein Textmuster an, das Macie in S3-Objekten ignorieren soll. Dabei handelt es sich in der Regel um Ausnahmen für sensible Daten für Ihre speziellen Szenarien oder Umgebungen, z. B. öffentliche Namen oder Telefonnummern für Ihre Organisation oder Beispieldaten, die Ihre Organisation für Tests verwendet. Weitere Informationen finden Sie unter [Definition von Ausnahmen für sensible Daten mit Zulassungslisten](allow-lists.md).
Wenn Sie eine Einstellung ändern, wendet Macie Ihre Änderung an, wenn der nächste tägliche Analysezyklus beginnt. Wenn Sie der Macie-Administrator einer Organisation sind, verwendet Macie die Einstellungen für Ihr Konto, wenn es S3-Objekte für andere Konten in Ihrer Organisation analysiert.
Sie können auch Einstellungen auf Bucket-Ebene konfigurieren, die festlegen, ob bestimmte Arten vertraulicher Daten bei der Bewertung der Vertraulichkeit eines Buckets berücksichtigt werden. Um zu erfahren wie dies geht, vgl. [Anpassen der Empfindlichkeitswerte für S3-Buckets](discovery-asdd-s3bucket-manage.md).
**Berechnung von Sensitivitätswerten**
Standardmäßig berechnet Macie automatisch eine Sensitivitätsbewertung für jeden S3-Allzweckbereich Ihres Kontos. Wenn Sie der Macie-Administrator einer Organisation sind, schließt dies auch Buckets ein, die Ihren Mitgliedskonten gehören.
In Macie ist ein *Sensitivitätswert* ein quantitatives Maß für den Schnittpunkt zweier primärer Dimensionen: der Menge vertraulicher Daten, die Macie in einem Bucket gefunden hat, und der Menge an Daten, die Macie in einem Bucket analysiert hat. Der Sensitivitätswert eines Buckets bestimmt, welches Sensitivitätslabel Macie dem Bucket zuweist. *Ein *Sensitivitätslabel* ist eine qualitative Darstellung des Sensitivitätswerts eines Buckets, z. B. *Sensitiv, Nicht sensibel* *und Noch nicht analysiert*.* Einzelheiten zu den von Macie definierten Bereichen der Sensitivitätswerte und Kennzeichnungen finden Sie unter. [Empfindlichkeitsbewertung für S3-Buckets](discovery-scoring-s3.md)
Die Sensitivitätsbewertung und das Label eines S3-Buckets implizieren oder deuten nicht auf andere Weise auf die Wichtigkeit oder Bedeutung hin, die der Bucket oder die Objekte des Buckets für Sie oder Ihre Organisation haben könnten. Stattdessen sollen sie als Referenzpunkte dienen, anhand derer Sie potenzielle Sicherheitsrisiken identifizieren und überwachen können.
Wenn Sie die automatische Erkennung sensibler Daten zum ersten Mal aktivieren, weist Macie jedem S3-Bucket automatisch einen Vertraulichkeitswert von *50* und das Label *Noch nicht analysiert* zu. Die Ausnahme bilden leere Buckets. Ein *leerer Bucket* ist ein Bucket, der keine Objekte speichert oder alle Objekte des Buckets enthalten null (0) Byte an Daten. Wenn dies bei einem Bucket der Fall ist, weist Macie dem Bucket eine Punktzahl von *1* zu und weist dem Bucket das Label *Nicht sensibel* zu.
Während die automatische Erkennung sensibler Daten voranschreitet, aktualisiert Macie die Sensibilitätswerte und Kennzeichnungen, um die Ergebnisse seiner Analysen widerzuspiegeln. Zum Beispiel:
+ Wenn Macie keine sensiblen Daten in einem Objekt findet, senkt Macie den Vertraulichkeitswert des Buckets und aktualisiert das Sensitivitätslabel des Buckets nach Bedarf.
+ Wenn Macie sensible Daten in einem Objekt findet, erhöht Macie den Sensitivitätswert des Buckets und aktualisiert die Vertraulichkeitsbeschriftung des Buckets nach Bedarf.
+ Wenn Macie sensible Daten in einem Objekt findet, das später geändert wurde, entfernt Macie die Erkennungen sensibler Daten für das Objekt aus der Vertraulichkeitsbewertung des Buckets und aktualisiert die Vertraulichkeitsbeschriftung des Buckets nach Bedarf.
+ Wenn Macie sensible Daten in einem Objekt findet, das anschließend gelöscht wird, entfernt Macie Erkennungen vertraulicher Daten für das Objekt aus der Vertraulichkeitsbewertung des Buckets und aktualisiert die Vertraulichkeitsbeschriftung des Buckets nach Bedarf.
Sie können die Einstellungen für die Sensitivitätsbewertung für einzelne S3-Buckets anpassen, indem Sie bestimmte Arten vertraulicher Daten in die Bewertung eines Buckets ein- oder ausschließen. Sie können die berechnete Punktzahl eines Buckets auch überschreiben, indem Sie dem Bucket manuell die maximale Punktzahl (*100*) zuweisen. Wenn Sie die Höchstpunktzahl zuweisen, lautet die Bezeichnung des Buckets *Sensitiv*. Weitere Informationen finden Sie unter [Anpassen der Empfindlichkeitswerte für S3-Buckets](discovery-asdd-s3bucket-manage.md).
**Generierung von Metadaten, Statistiken und anderen Arten von Ergebnissen**
Wenn Sie die automatische Erkennung sensibler Daten aktivieren, generiert Macie zusätzliche Inventardaten, Statistiken und andere Informationen zu den S3-Allzweck-Buckets und beginnt mit der Verwaltung dieser Daten für Ihr Konto. Wenn Sie der Macie-Administrator einer Organisation sind, umfasst dies standardmäßig auch Buckets, die Ihren Mitgliedskonten gehören.
Die zusätzlichen Informationen erfassen die Ergebnisse der automatisierten Aktivitäten zur Erkennung sensibler Daten, die Macie bisher durchgeführt hat. Es ergänzt auch andere Informationen, die Macie zu Ihren Amazon S3 S3-Daten bereitstellt, wie z. B. die Einstellungen für den öffentlichen Zugriff und den gemeinsamen Zugriff für einzelne Buckets. Zu den zusätzlichen Informationen gehören:
+ Eine interaktive, visuelle Darstellung der Datensensitivität in Ihrem gesamten Amazon S3 S3-Datenbestand.
+ Aggregierte Statistiken zur Datensensitivität, z. B. die Gesamtzahl der Buckets, in denen Macie sensible Daten gefunden hat, und wie viele dieser Buckets öffentlich zugänglich sind.
+ Details auf Bucket-Ebene, die den aktuellen Status der Analysen angeben. Zum Beispiel eine Liste von Objekten, die Macie in einem Bucket analysiert hat, die Typen sensibler Daten, die Macie in einem Bucket gefunden hat, und die Anzahl der Vorkommen der einzelnen Typen sensibler Daten, die Macie gefunden hat.
Die Informationen enthalten auch Statistiken und Details, anhand derer Sie die Reichweite Ihrer Amazon S3 S3-Daten beurteilen und überwachen können. Sie können den Status der Analysen für Ihren gesamten Datenbestand und für einzelne S3-Buckets überprüfen. Sie können auch Probleme identifizieren, die Macie daran gehindert haben, Objekte in bestimmten Buckets zu analysieren. Wenn Sie die Probleme beheben, können Sie die Abdeckung Ihrer Amazon S3 S3-Daten in nachfolgenden Analysezyklen erhöhen. Weitere Informationen finden Sie unter [Bewertung der Reichweite automatisierter Erkennung sensibler Daten](discovery-coverage.md).
Macie berechnet und aktualisiert diese Informationen automatisch neu und führt gleichzeitig eine automatische Erkennung sensibler Daten durch. Wenn Macie beispielsweise sensible Daten in einem S3-Objekt findet, das anschließend geändert oder gelöscht wurde, aktualisiert Macie die Metadaten des entsprechenden Buckets: entfernt das Objekt aus der Liste der analysierten Objekte, entfernt Vorkommen sensibler Daten, die Macie in dem Objekt gefunden hat, berechnet die Sensitivitätsbewertung neu, falls die Bewertung automatisch berechnet wird, und aktualisiert die Vertraulichkeitsbeschriftung nach Bedarf, um die neue Bewertung widerzuspiegeln.
Zusätzlich zu Metadaten und Statistiken erstellt Macie Aufzeichnungen über die gefundenen sensiblen Daten und die durchgeführten Analysen: *Ergebnisse sensibler Daten, die sensible Daten* melden, die Macie in einzelnen S3-Objekten findet, und *Erkennungsergebnisse sensibler Daten*, in denen Details zur Analyse einzelner S3-Objekte protokolliert werden.
Weitere Informationen finden Sie unter [Überprüfung der Ergebnisse der automatisierten Erkennung sensibler Daten](discovery-asdd-results-s3.md).
## Überlegungen
Beachten Sie bei der Konfiguration und Verwendung von Amazon Macie zur automatischen Erkennung sensibler Daten für Ihre Amazon S3 S3-Daten Folgendes:
+ Ihre Einstellungen für die automatische Erkennung gelten nur für die aktuelle AWS-Region Version. Folglich gelten die resultierenden Analysen und Daten nur für S3-Allzweck-Buckets und -Objekte in der aktuellen Region. Um eine automatische Erkennung durchzuführen und auf die resultierenden Daten in zusätzlichen Regionen zuzugreifen, aktivieren und konfigurieren Sie die automatische Erkennung in jeder weiteren Region.
+ Wenn Sie der Macie-Administrator einer Organisation sind:
+ Sie können die automatische Erkennung für ein Mitgliedskonto nur durchführen, wenn Macie für das Konto in der aktuellen Region aktiviert ist. Darüber hinaus müssen Sie die automatische Erkennung für das Konto in dieser Region aktivieren. Mitglieder können die automatische Erkennung nicht für ihre eigenen Konten aktivieren oder deaktivieren.
+ Wenn Sie die automatische Erkennung für ein Mitgliedskonto aktivieren, verwendet Macie die Einstellungen für die automatische Erkennung für Ihr Administratorkonto, wenn es Daten für das Mitgliedskonto analysiert. Die anwendbaren Einstellungen sind: die Liste der S3-Buckets, die von Analysen ausgeschlossen werden sollen, sowie die verwalteten Datenkennungen, benutzerdefinierten Datenkennungen und Zulassungslisten, die bei der Analyse von S3-Objekten verwendet werden sollen. Mitglieder können diese Einstellungen nicht überprüfen oder ändern.
+ Mitglieder können nicht auf die Einstellungen für die automatische Erkennung einzelner S3-Buckets zugreifen, die sie besitzen. Beispielsweise kann ein Mitglied die Einstellungen für die Sensitivitätsbewertung für einen seiner Buckets nicht überprüfen oder anpassen. Nur der Macie-Administrator kann auf diese Einstellungen zugreifen.
+ Mitglieder haben Lesezugriff auf Statistiken zur Entdeckung sensibler Daten und andere Ergebnisse, die Macie direkt für ihre S3-Buckets bereitstellt. Beispielsweise kann ein Mitglied Macie verwenden, um die Sensibilitätswerte und Abdeckungsdaten für seine S3-Buckets zu überprüfen. Die Ausnahme bilden Ergebnisse im Zusammenhang mit sensiblen Daten. Nur der Macie-Administrator hat direkten Zugriff auf die Ergebnisse, die durch automatische Erkennung erzielt werden.
+ Wenn die Berechtigungseinstellungen eines S3-Buckets Macie daran hindern, auf Informationen über den Bucket oder die Objekte des Buckets zuzugreifen oder diese abzurufen, kann Macie keine automatische Erkennung für den Bucket durchführen. [Macie kann nur einen Teil der Informationen über den Bucket bereitstellen, z. B. die Konto-ID für den Bucket, dem der Bucket gehört AWS-Konto , den Namen des Buckets und wann Macie im Rahmen des täglichen Aktualisierungszyklus zuletzt Bucket- und Objekt-Metadaten für den Bucket abgerufen hat.](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh) *In Ihrem Bucket-Inventar liegt der Sensitivitätswert für diese Buckets bei *50*, und ihr Vertraulichkeitslabel wurde noch nicht analysiert.* Um S3-Buckets zu identifizieren, in denen dies der Fall ist, können Sie sich auf die Deckungsdaten beziehen. Weitere Informationen finden Sie unter [Bewertung der Reichweite automatisierter Erkennung sensibler Daten](discovery-coverage.md).
+ Um für die Auswahl und Analyse in Frage zu kommen, muss ein S3-Objekt in einem Allzweck-Bucket gespeichert werden und *klassifizierbar* sein. Ein *klassifizierbares* Objekt verwendet eine unterstützte Amazon S3 S3-Speicherklasse und hat eine Dateinamenerweiterung für ein unterstütztes Datei- oder Speicherformat. Weitere Informationen finden Sie unter [Unterstützte Speicherklassen und Formate](discovery-supported-storage.md).
+ Wenn ein S3-Objekt verschlüsselt ist, kann Macie es nur analysieren, wenn es mit einem Schlüssel verschlüsselt ist, auf den Macie zugreifen kann und den er verwenden darf. Weitere Informationen finden Sie unter [Analysieren verschlüsselter S3-Objekte](discovery-supported-encryption-types.md). Um Fälle zu identifizieren, in denen Macie aufgrund von Verschlüsselungseinstellungen daran gehindert wurde, ein oder mehrere Objekte in einem Bucket zu analysieren, können Sie auf die Deckungsdaten zurückgreifen. Weitere Informationen finden Sie unter [Bewertung der Reichweite automatisierter Erkennung sensibler Daten](discovery-coverage.md).
# Konfiguration der automatisierten Erkennung sensibler Daten
Um einen umfassenden Überblick darüber zu erhalten, wo sich sensible Daten in Ihrem Amazon Simple Storage Service (Amazon S3) -Datenbestand befinden könnten, aktivieren und konfigurieren Sie die automatische Erkennung sensibler Daten für Ihr Konto oder Ihre Organisation. Amazon Macie bewertet dann täglich Ihr S3-Bucket-Inventar und verwendet Stichprobenverfahren, um repräsentative S3-Objekte aus Ihren Buckets zu identifizieren und auszuwählen. Macie ruft die ausgewählten Objekte ab, analysiert sie und untersucht sie auf sensible Daten. Wenn Sie der Macie-Administrator einer Organisation sind, umfasst dies standardmäßig Objekte in S3-Buckets, die Ihren Mitgliedskonten gehören.
Während die Analyse täglich voranschreitet, erstellt Macie Aufzeichnungen über die gefundenen sensiblen Daten und die durchgeführten Analysen. Macie aktualisiert auch Statistiken, Inventardaten und andere Informationen, die es über Ihre Amazon S3 S3-Daten bereitstellt. Die resultierenden Daten geben Aufschluss darüber, wo Macie sensible Daten in Ihrem Amazon S3 S3-Datenbestand gefunden hat, der sich über alle S3-Buckets Ihres Kontos oder Ihrer Organisation erstrecken kann. Weitere Informationen finden Sie unter [So funktioniert die automatische Erkennung sensibler Daten](discovery-asdd-how-it-works.md).
Wenn Sie ein eigenständiges Macie-Konto haben oder der Macie-Administrator einer Organisation sind, können Sie die automatische Erkennung sensibler Daten für Ihr Konto oder Ihre Organisation konfigurieren und verwalten. Dazu gehören die Aktivierung und Deaktivierung der automatischen Erkennung sowie die Konfiguration von Einstellungen, die den Umfang und die Art der von Macie durchgeführten Analysen definieren. Wenn Sie ein Mitgliedskonto in einer Organisation haben, wenden Sie sich an Ihren Macie-Administrator, um mehr über die Einstellungen für Ihr Konto und Ihre Organisation zu erfahren.
**Topics**
+ [Voraussetzungen für die Konfiguration der automatischen Erkennung sensibler Daten](discovery-asdd-account-configure-prereqs.md)
+ [Aktivierung der automatisierten Erkennung sensibler Daten](discovery-asdd-account-enable.md)
+ [Konfiguration von Einstellungen für die automatische Erkennung sensibler Daten](discovery-asdd-account-configure.md)
+ [Deaktivierung der automatischen Erkennung sensibler Daten](discovery-asdd-account-disable.md)
# Voraussetzungen für die Konfiguration der automatischen Erkennung sensibler Daten
Bevor Sie Einstellungen für die automatische Erkennung vertraulicher Daten aktivieren oder konfigurieren, führen Sie die folgenden Aufgaben aus. Auf diese Weise können Sie sicherstellen, dass Sie über die Ressourcen und Berechtigungen verfügen, die Sie benötigen.
Um diese Aufgaben ausführen zu können, müssen Sie der Amazon Macie-Administrator einer Organisation sein oder über ein eigenständiges Macie-Konto verfügen. Wenn Ihr Konto Teil einer Organisation ist, kann nur der Macie-Administrator Ihrer Organisation die automatische Erkennung sensibler Daten für Konten in der Organisation aktivieren oder deaktivieren. Darüber hinaus kann nur der Macie-Administrator die Einstellungen für die automatische Erkennung der Konten konfigurieren.
**Topics**
+ [Schritt 1: Konfigurieren Sie ein Repository für Ergebnisse der Erkennung sensibler Daten](#discovery-asdd-account-configure-prereqs-sddr)
+ [Schritt 2: Überprüfen Sie Ihre Berechtigungen](#discovery-asdd-account-configure-prereqs-perms)
+ [Nächste Schritte](#discovery-asdd-account-configure-prereqs-next)
## Schritt 1: Konfigurieren Sie ein Repository für die Ergebnisse der Erkennung sensibler Daten
Wenn Amazon Macie die automatische Erkennung sensibler Daten durchführt, erstellt es einen Analysedatensatz für jedes Amazon Simple Storage Service (Amazon S3) -Objekt, das es für die Analyse auswählt. Diese Datensätze, die als *Ergebnisse der Erkennung sensibler Daten* bezeichnet werden, protokollieren Details zur Analyse einzelner S3-Objekte. Dazu gehören Objekte, in denen Macie keine sensiblen Daten findet, und Objekte, die Macie aufgrund von Fehlern oder Problemen wie Berechtigungseinstellungen nicht analysieren kann. Wenn Macie sensible Daten in einem Objekt findet, enthält das Ergebnis der Erkennung sensibler Daten Informationen über die vertraulichen Daten, die Macie gefunden hat. Die Ergebnisse der Entdeckung sensibler Daten liefern Ihnen Analysedatensätze, die für Prüfungen oder Untersuchungen zum Datenschutz hilfreich sein können.
Macie speichert Ihre Ergebnisse der Entdeckung sensibler Daten nur 90 Tage lang. Um auf die Ergebnisse zuzugreifen und sie langfristig zu speichern und aufzubewahren, konfigurieren Sie Macie so, dass die Ergebnisse in einem S3-Bucket gespeichert werden. Der Bucket kann als definitives, langfristiges Repository für all Ihre Ergebnisse der Erkennung sensibler Daten dienen. Wenn Sie der Macie-Administrator einer Organisation sind, umfasst dies auch die Ergebnisse der Erkennung sensibler Daten für Mitgliedskonten, für die Sie die automatische Erkennung sensibler Daten aktivieren.
Um zu überprüfen, ob Sie dieses Repository konfiguriert haben, wählen Sie im Navigationsbereich der Amazon Macie Macie-Konsole **Discovery-Ergebnisse** aus. Wenn Sie dies lieber programmgesteuert tun möchten, verwenden Sie den [GetClassificationExportConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/classification-export-configuration.html)Betrieb der Amazon Macie Macie-API. Weitere Informationen zu den Ergebnissen der Erkennung sensibler Daten und zur Konfiguration dieses Repositorys finden Sie unter. [Speicherung und Beibehaltung der Erkennungsergebnisse von vertraulichen Daten](discovery-results-repository-s3.md)
Wenn Sie das Repository konfiguriert haben, erstellt Macie einen Ordner mit dem Namen `automated-sensitive-data-discovery` im Repository, wenn Sie die automatische Erkennung sensibler Daten zum ersten Mal aktivieren. In diesem Ordner werden die Ergebnisse der Erkennung vertraulicher Daten gespeichert, die Macie bei der automatischen Erkennung für Ihr Konto oder Ihre Organisation erstellt.
Wenn Sie Macie in mehreren Fällen verwenden AWS-Regionen, stellen Sie sicher, dass Sie das Repository für jede dieser Regionen konfiguriert haben.
## Schritt 2: Überprüfen Sie Ihre Berechtigungen
Um Ihre Berechtigungen zu überprüfen, verwenden Sie AWS Identity and Access Management (IAM), um die IAM-Richtlinien zu überprüfen, die mit Ihrer IAM-Identität verknüpft sind. Vergleichen Sie dann die Informationen in diesen Richtlinien mit der folgenden Liste von Aktionen, die Sie ausführen dürfen müssen:
+ `macie2:GetMacieSession`
+ `macie2:UpdateAutomatedDiscoveryConfiguration`
+ `macie2:ListClassificationScopes`
+ `macie2:UpdateClassificationScope`
+ `macie2:ListSensitivityInspectionTemplates`
+ `macie2:UpdateSensitivityInspectionTemplate`
Mit der ersten Aktion können Sie auf Ihr Amazon Macie Macie-Konto zugreifen. Mit der zweiten Aktion können Sie die automatische Erkennung sensibler Daten für Ihr Konto oder Ihre Organisation aktivieren oder deaktivieren. Für eine Organisation können Sie damit auch die automatische Erkennung von Konten in Ihrer Organisation aktivieren. Mit den verbleibenden Aktionen können Sie die Konfigurationseinstellungen identifizieren und ändern.
Wenn Sie die Konfigurationseinstellungen mithilfe der Amazon Macie Macie-Konsole überprüfen oder ändern möchten, müssen Sie auch die folgenden Aktionen ausführen dürfen:
+ `macie2:GetAutomatedDiscoveryConfiguration`
+ `macie2:GetClassificationScope`
+ `macie2:GetSensitivityInspectionTemplate`
Mit diesen Aktionen können Sie Ihre aktuellen Konfigurationseinstellungen und den Status der automatischen Erkennung sensibler Daten für Ihr Konto oder Ihre Organisation abrufen. Die Genehmigung zur Durchführung dieser Aktionen ist optional, wenn Sie die Konfigurationseinstellungen programmgesteuert ändern möchten.
Wenn Sie der Macie-Administrator einer Organisation sind, müssen Sie außerdem berechtigt sein, die folgenden Aktionen auszuführen:
+ `macie2:ListAutomatedDiscoveryAccounts`
+ `macie2:BatchUpdateAutomatedDiscoveryAccounts`
Mit der ersten Aktion können Sie den Status der automatisierten Erkennung sensibler Daten für einzelne Konten in Ihrer Organisation abrufen. Mit der zweiten Aktion können Sie die automatische Erkennung für einzelne Konten in Ihrer Organisation aktivieren oder deaktivieren.
Wenn Sie die erforderlichen Aktionen nicht ausführen dürfen, bitten Sie Ihren AWS Administrator um Unterstützung.
## Nächste Schritte
Nachdem Sie die vorherigen Aufgaben abgeschlossen haben, können Sie die Einstellungen für Ihr Konto oder Ihre Organisation aktivieren und konfigurieren:
+ [Aktivierung der automatisierten Erkennung sensibler Daten](discovery-asdd-account-enable.md)
+ [Konfiguration von Einstellungen für die automatische Erkennung sensibler Daten](discovery-asdd-account-configure.md)
# Aktivierung der automatisierten Erkennung sensibler Daten
Wenn Sie die automatische Erkennung sensibler Daten aktivieren, beginnt Amazon Macie damit, Ihre Amazon Simple Storage Service (Amazon S3) -Inventardaten auszuwerten und derzeit AWS-Region weitere automatisierte Erkennungsaktivitäten für Ihr Konto durchzuführen. Wenn Sie der Macie-Administrator einer Organisation sind, umfassen die Bewertung und die Aktivitäten standardmäßig S3-Buckets, die Ihren Mitgliedskonten gehören. Abhängig von der Größe Ihres Amazon S3 S3-Datenbestands können Statistiken und andere Ergebnisse innerhalb von 48 Stunden angezeigt werden.
Nachdem Sie die automatische Erkennung sensibler Daten aktiviert haben, können Sie Einstellungen konfigurieren, die den Umfang und die Art der von Macie durchgeführten Analysen verfeinern. Diese Einstellungen geben alle S3-Buckets an, die von Analysen ausgeschlossen werden sollen. Sie spezifizieren auch die verwalteten Datenbezeichner, die benutzerdefinierten Datenbezeichner und die Zulassungslisten, die Macie bei der Analyse von S3-Objekten verwenden soll. Weitere Informationen zu diesen Einstellungen finden Sie unter [Konfiguration von Einstellungen für die automatische Erkennung sensibler Daten](discovery-asdd-account-configure.md). Wenn Sie der Macie-Administrator einer Organisation sind, können Sie auch den Umfang der Analysen verfeinern, indem Sie die automatische Erkennung sensibler Daten für einzelne Konten in Ihrer Organisation auf Basis aktivieren oder deaktivieren. case-by-case
Um die automatische Erkennung sensibler Daten zu aktivieren, müssen Sie der Macie-Administrator einer Organisation sein oder über ein eigenständiges Macie-Konto verfügen. Wenn Sie ein Mitgliedskonto in einer Organisation haben, arbeiten Sie mit Ihrem Macie-Administrator zusammen, um die automatische Erkennung sensibler Daten für Ihr Konto zu aktivieren.
**Um die automatische Erkennung sensibler Daten zu aktivieren**
Wenn Sie der Macie-Administrator einer Organisation sind oder über ein eigenständiges Macie-Konto verfügen, können Sie die automatische Erkennung sensibler Daten mithilfe der Amazon Macie Macie-Konsole oder der Amazon Macie Macie-API aktivieren. Wenn Sie es zum ersten Mal aktivieren, erledigen Sie zunächst die erforderlichen [Aufgaben](discovery-asdd-account-configure-prereqs.md). Auf diese Weise können Sie sicherstellen, dass Sie über die Ressourcen und Berechtigungen verfügen, die Sie benötigen.
------
#### [ Console ]
Gehen Sie wie folgt vor, um die automatische Erkennung sensibler Daten mithilfe der Amazon Macie Macie-Konsole zu aktivieren.
**Um die automatische Erkennung sensibler Daten zu aktivieren**
1. Öffnen Sie die Amazon Macie Macie-Konsole unter [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/).
1. Wählen Sie mithilfe der AWS-Region Auswahl in der oberen rechten Ecke der Seite die Region aus, in der Sie die automatische Erkennung sensibler Daten aktivieren möchten.
1. Wählen Sie im Navigationsbereich unter **Einstellungen** die Option **Automatisierte Erkennung vertraulicher Daten** aus.
1. Wenn Sie über ein eigenständiges Macie-Konto verfügen, wählen Sie im Abschnitt **Status** die Option **Aktivieren** aus.
1. Wenn Sie der Macie-Administrator einer Organisation sind, wählen Sie im Abschnitt **Status** eine Option aus, um die Konten anzugeben, für die die automatische Erkennung sensibler Daten aktiviert werden soll für:
+ Um es für alle Konten in Ihrer Organisation zu aktivieren, wählen Sie **Aktivieren**. Wählen Sie im daraufhin angezeigten Dialogfeld **Meine Organisation** aus. Wählen Sie für eine Organisation in AWS Organizations die Option **Automatisch für neue Konten aktivieren** aus, um die Option auch automatisch für Konten zu aktivieren, die später Ihrer Organisation beitreten. Wenn Sie fertig sind, wählen Sie **Aktivieren**.
+ Um es nur für bestimmte Mitgliedskonten zu aktivieren, wählen Sie **Konten verwalten**. Wählen Sie dann in der Tabelle auf der Seite **Konten** das Kontrollkästchen für jedes Konto aus, für das es aktiviert werden soll. Wenn Sie fertig sind, wählen Sie im Menü **Aktionen** die Option **Automatische Erkennung vertraulicher Daten aktivieren** aus.
+ Um es nur für Ihr Macie-Administratorkonto zu aktivieren, wählen Sie **Aktivieren**. Wählen Sie im daraufhin angezeigten Dialogfeld **Mein Konto** aus und deaktivieren Sie die Option **Automatisch für neue Konten aktivieren**. Wenn Sie fertig sind, wählen Sie **Aktivieren**.
Wenn Sie Macie in mehreren Regionen verwenden und die automatische Erkennung sensibler Daten in weiteren Regionen aktivieren möchten, wiederholen Sie die vorherigen Schritte in jeder weiteren Region.
Um anschließend den Status der automatischen Erkennung vertraulicher Daten für einzelne Konten in einer Organisation zu überprüfen oder zu ändern, wählen Sie im Navigationsbereich **Konten** aus. Auf der Seite **Konten** gibt das Feld **Automatisierte Erkennung vertraulicher Daten** in der Tabelle den aktuellen Status der automatischen Erkennung für ein Konto an. Um den Status eines Kontos zu ändern, aktivieren Sie das Kontrollkästchen für das Konto. Verwenden Sie dann das **Aktionsmenü**, um die automatische Erkennung für das Konto zu aktivieren oder zu deaktivieren.
------
#### [ API ]
Um die automatische Erkennung sensibler Daten programmgesteuert zu aktivieren, haben Sie mehrere Möglichkeiten:
+ Verwenden Sie den Vorgang, um es für ein Macie-Administratorkonto, eine Organisation oder ein eigenständiges Macie-Konto zu aktivieren. [UpdateAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html) Oder, wenn Sie die AWS Command Line Interface (AWS CLI) verwenden, führen Sie den [update-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-automated-discovery-configuration.html)Befehl aus.
+ Verwenden Sie den [BatchUpdateAutomatedDiscoveryAccounts](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-accounts.html)Vorgang, um ihn nur für bestimmte Mitgliedskonten in einer Organisation zu aktivieren. Oder, wenn Sie den verwenden AWS CLI, führen Sie den Befehl [batch-update-automated-discovery-accounts](https://docs.aws.amazon.com/cli/latest/reference/macie2/batch-update-automated-discovery-accounts.html) aus. Um die automatische Erkennung für ein Mitgliedskonto zu aktivieren, müssen Sie sie zunächst für Ihr Administratorkonto oder Ihre Organisation aktivieren.
Zusätzliche Optionen und Details hängen von der Art Ihres Kontos ab.
Wenn Sie ein Macie-Administrator sind, verwenden Sie den **UpdateAutomatedDiscoveryConfiguration** Vorgang oder führen Sie den **update-automated-discovery-configuration** Befehl aus, um die automatische Erkennung vertraulicher Daten für Ihr Konto oder Ihre Organisation zu aktivieren. Geben Sie in Ihrer Anfrage `ENABLED` den `status` Parameter an. Geben Sie für den `autoEnableOrganizationMembers` Parameter die Konten an, für die er aktiviert werden soll. Wenn Sie den verwenden AWS CLI, geben Sie die Konten mithilfe des `auto-enable-organization-members` Parameters an. Folgende sind gültige Werte:
+ `ALL`(Standard) — Aktivieren Sie ihn für alle Konten in Ihrer Organisation. Dazu gehören Ihr Administratorkonto, bestehende Mitgliedskonten und Konten, die später Ihrer Organisation beitreten.
+ `NEW`— Aktivieren Sie es für Ihr Administratorkonto. Aktivieren Sie es auch automatisch für Konten, die später Ihrer Organisation beitreten. Wenn Sie die automatische Erkennung zuvor für Ihre Organisation aktiviert haben und diesen Wert angeben, ist die automatische Erkennung weiterhin für bestehende Mitgliedskonten aktiviert, für die sie derzeit aktiviert ist.
+ `NONE`— Aktivieren Sie es nur für Ihr Administratorkonto. Aktivieren Sie es nicht automatisch für Konten, die später Ihrer Organisation beitreten. Wenn Sie die automatische Erkennung zuvor für Ihre Organisation aktiviert haben und diesen Wert angeben, ist die automatische Erkennung weiterhin für bestehende Mitgliedskonten aktiviert, für die sie derzeit aktiviert ist.
Wenn Sie die automatische Erkennung sensibler Daten selektiv nur für bestimmte Mitgliedskonten aktivieren möchten, geben Sie `NEW` oder `NONE` an. Anschließend können Sie den **BatchUpdateAutomatedDiscoveryAccounts** Vorgang verwenden oder den **batch-update-automated-discovery-accounts** Befehl ausführen, um die automatische Erkennung der Konten zu aktivieren.
Wenn Sie über ein eigenständiges Macie-Konto verfügen, verwenden Sie den **UpdateAutomatedDiscoveryConfiguration** Vorgang oder führen Sie den **update-automated-discovery-configuration** Befehl aus, um die automatische Erkennung vertraulicher Daten für Ihr Konto zu aktivieren. Geben Sie in Ihrer Anfrage `ENABLED` den `status` Parameter an. Überlegen Sie sich für den `autoEnableOrganizationMembers` Parameter, ob Sie Macie-Administrator für andere Konten werden möchten, und geben Sie den entsprechenden Wert an. Wenn Sie diesen Wert angeben`NONE`, wird die automatische Erkennung für ein Konto nicht automatisch aktiviert, wenn Sie der Macie-Administrator für das Konto werden. Wenn Sie `ALL` oder angeben`NEW`, wird die automatische Erkennung für das Konto automatisch aktiviert. Wenn Sie den verwenden AWS CLI, verwenden Sie den `auto-enable-organization-members` Parameter, um den entsprechenden Wert für diese Einstellung anzugeben.
Die folgenden Beispiele zeigen, wie Sie mithilfe von AWS CLI die automatische Erkennung sensibler Daten für ein oder mehrere Konten in einer Organisation aktivieren können. Dieses erste Beispiel ermöglicht zum ersten Mal die automatische Erkennung aller Konten in einer Organisation. Es ermöglicht die automatische Erkennung des Macie-Administratorkontos, aller vorhandenen Mitgliedskonten und aller Konten, die später der Organisation beitreten.
```
$ aws macie2 update-automated-discovery-configuration --status ENABLED --auto-enable-organization-members ALL --region us-east-1
```
Wo *us-east-1* ist die Region, in der die automatische Erkennung sensibler Daten für die Konten aktiviert werden soll, die Region USA Ost (Nord-Virginia). Wenn die Anfrage erfolgreich ist, aktiviert Macie die automatische Erkennung der Konten und gibt eine leere Antwort zurück.
Im nächsten Beispiel wird die Einstellung zur Aktivierung von Mitgliedern für eine Organisation auf geändert. `NONE` Mit dieser Änderung wird die automatische Erkennung sensibler Daten für Konten, die später der Organisation beitreten, nicht automatisch aktiviert. Stattdessen ist sie nur für das Macie-Administratorkonto und alle vorhandenen Mitgliedskonten aktiviert, für die sie derzeit aktiviert ist.
```
$ aws macie2 update-automated-discovery-configuration --status ENABLED --auto-enable-organization-members NONE --region us-east-1
```
Wo *us-east-1* ist die Region, in der die Einstellung geändert werden soll, die Region USA Ost (Nord-Virginia). Wenn die Anfrage erfolgreich ist, aktualisiert Macie die Einstellung und gibt eine leere Antwort zurück.
Die folgenden Beispiele ermöglichen die automatische Erkennung sensibler Daten für zwei Mitgliedskonten in einer Organisation. Der Macie-Administrator hat die automatische Erkennung für die Organisation bereits aktiviert. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.
```
$ aws macie2 batch-update-automated-discovery-accounts \
--region us-east-1 \
--accounts '[{"accountId":"123456789012","status":"ENABLED"},{"accountId":"111122223333","status":"ENABLED"}]'
```
Dieses Beispiel ist für Microsoft Windows formatiert und verwendet das Zeilenfortsetzungszeichen Caret (^), um die Lesbarkeit zu verbessern.
```
C:\> aws macie2 batch-update-automated-discovery-accounts ^
--region us-east-1 ^
--accounts=[{\"accountId\":\"123456789012\",\"status\":\"ENABLED\"},{\"accountId\":\"111122223333\",\"status\":\"ENABLED\"}]
```
Wobei Folgendes gilt:
+ *us-east-1*ist die Region, in der die automatische Erkennung sensibler Daten für die angegebenen Konten aktiviert werden soll, die Region USA Ost (Nord-Virginia).
+ *123456789012*und *111122223333* sind das Konto IDs für die Konten, für die die automatische Erkennung sensibler Daten ermöglicht werden soll.
Wenn die Anfrage für alle angegebenen Konten erfolgreich ist, gibt Macie ein leeres `errors` Array zurück. Wenn die Anfrage für einige Konten fehlschlägt, gibt das Array den Fehler an, der für jedes betroffene Konto aufgetreten ist. Beispiel:
```
"errors": [
{
"accountId": "123456789012",
"errorCode": "ACCOUNT_PAUSED"
}
]
```
In der vorherigen Antwort schlug die Anfrage für das angegebene Konto (`123456789012`) fehl, da Macie derzeit für das Konto gesperrt ist. Um diesen Fehler zu beheben, muss der Macie-Administrator zuerst Macie für das Konto aktivieren.
Wenn die Anfrage für alle Konten fehlschlägt, erhalten Sie eine Meldung, in der der aufgetretene Fehler beschrieben wird.
------
# Konfiguration von Einstellungen für die automatische Erkennung sensibler Daten
Wenn Sie die automatische Erkennung sensibler Daten für Ihr Konto oder Ihre Organisation aktivieren, können Sie Ihre Einstellungen für die automatische Erkennung anpassen, um die von Amazon Macie durchgeführten Analysen zu verfeinern. Die Einstellungen spezifizieren Amazon Simple Storage Service (Amazon S3) -Buckets, die von Analysen ausgeschlossen werden sollen. Sie spezifizieren auch die Typen und das Vorkommen sensibler Daten, die erkannt und gemeldet werden sollen — die verwalteten Datenkennungen, die benutzerdefinierten Datenbezeichner und die Verwendung von Listen bei der Analyse von S3-Objekten.
Standardmäßig führt Macie die automatische Erkennung sensibler Daten für alle S3-Allzweck-Buckets Ihres Kontos durch. Wenn Sie der Macie-Administrator einer Organisation sind, schließt dies auch Buckets ein, die Ihren Mitgliedskonten gehören. Sie können bestimmte Bereiche von den Analysen ausschließen. Sie können beispielsweise Buckets ausschließen, in denen normalerweise AWS Protokolldaten gespeichert werden, wie z. B. AWS CloudTrail Ereignisprotokolle. Wenn Sie einen Bucket ausschließen, können Sie ihn später wieder einbeziehen.
Darüber hinaus analysiert Macie S3-Objekte, indem es nur den Satz verwalteter Datenbezeichner verwendet, den wir für die automatische Erkennung sensibler Daten empfehlen. Macie verwendet keine benutzerdefinierten Datenbezeichner und erlaubt auch keine von Ihnen definierten Listen. Um die Analysen anzupassen, können Sie bestimmte verwaltete Datenkennungen, benutzerdefinierte Datenkennungen und Zulassungslisten hinzufügen oder entfernen.
Wenn Sie eine Einstellung ändern, wendet Macie Ihre Änderung an, wenn der nächste Bewertungs- und Analysezyklus beginnt, normalerweise innerhalb von 24 Stunden. Darüber hinaus gilt Ihre Änderung nur für die aktuelle AWS-Region Version. Um dieselbe Änderung in weiteren Regionen vorzunehmen, wiederholen Sie die entsprechenden Schritte in jeder weiteren Region.
**Topics**
+ [Konfigurationsoptionen für Organisationen](#discovery-asdd-configure-options-orgs)
+ [Ohne oder einschließlich S3-Buckets](#discovery-asdd-account-configure-s3buckets)
+ [Verwaltete Datenkennungen hinzufügen oder entfernen](#discovery-asdd-account-configure-mdis)
+ [Hinzufügen oder Entfernen von benutzerdefinierten Datenkennungen](#discovery-asdd-account-configure-cdis)
+ [Zulassungslisten hinzufügen oder entfernen](#discovery-asdd-account-configure-als)
**Anmerkung**
Um Einstellungen für die automatische Erkennung vertraulicher Daten zu konfigurieren, müssen Sie der Macie-Administrator einer Organisation sein oder über ein eigenständiges Macie-Konto verfügen. Wenn Ihr Konto Teil einer Organisation ist, kann nur der Macie-Administrator Ihrer Organisation die Einstellungen für Konten in Ihrer Organisation konfigurieren und verwalten. Wenn Sie ein Mitgliedskonto haben, wenden Sie sich an Ihren Macie-Administrator, um mehr über die Einstellungen für Ihr Konto und Ihre Organisation zu erfahren.
## Konfigurationsoptionen für Organisationen
Wenn ein Konto Teil einer Organisation ist, die mehrere Amazon Macie Macie-Konten zentral verwaltet, konfiguriert und verwaltet der Macie-Administrator der Organisation die automatische Erkennung sensibler Daten für Konten in der Organisation. Dazu gehören Einstellungen, die den Umfang und die Art der Analysen definieren, die Macie für die Konten durchführt. Mitglieder können für ihre eigenen Konten nicht auf diese Einstellungen zugreifen.
Wenn Sie der Macie-Administrator einer Organisation sind, können Sie den Umfang der Analysen auf verschiedene Arten definieren:
+ **Automatisches Erkennen sensibler Daten für Konten** aktivieren — Wenn Sie die automatische Erkennung sensibler Daten aktivieren, geben Sie an, ob sie für alle vorhandenen Konten und neue Mitgliedskonten, nur für neue Mitgliedskonten oder für keine Mitgliedskonten aktiviert werden soll. Wenn Sie es für neue Mitgliedskonten aktivieren, wird es automatisch für jedes Konto aktiviert, das anschließend Ihrer Organisation beitritt, wenn das Konto Ihrer Organisation in Macie beitritt. Wenn es für ein Konto aktiviert ist, schließt Macie S3-Buckets ein, die dem Konto gehören. Wenn es für ein Konto deaktiviert ist, schließt Macie Buckets aus, die dem Konto gehören.
+ **Selektives Aktivieren der automatischen Erkennung sensibler Daten für Konten** — Mit dieser Option aktivieren oder deaktivieren Sie die automatische Erkennung sensibler Daten für einzelne Konten auf einer bestimmten Basis. case-by-case Wenn Sie es für ein Konto aktivieren, schließt Macie S3-Buckets ein, die dem Konto gehören. Wenn Sie es nicht aktivieren oder für ein Konto deaktivieren, schließt Macie Buckets aus, die dem Konto gehören.
+ **Bestimmte S3-Buckets von der automatisierten Erkennung sensibler Daten ausschließen — Wenn Sie die automatische Erkennung** sensibler Daten für ein Konto aktivieren, können Sie bestimmte S3-Buckets ausschließen, die dem Konto gehören. Macie überspringt dann die Buckets, wenn es die automatische Erkennung durchführt. Um bestimmte Buckets auszuschließen, fügen Sie sie der Ausschlussliste in den Konfigurationseinstellungen Ihres Administratorkontos hinzu. Sie können bis zu 1.000 Buckets für Ihre Organisation ausschließen.
Standardmäßig ist die automatische Erkennung sensibler Daten für alle neuen und bestehenden Konten in einer Organisation automatisch aktiviert. Darüber hinaus umfasst Macie alle S3-Buckets, die den Konten gehören. Wenn Sie die Standardeinstellungen beibehalten, bedeutet dies, dass Macie eine automatische Erkennung aller Buckets für Ihr Administratorkonto durchführt, einschließlich aller Buckets, die Ihren Mitgliedskonten gehören.
Als Macie-Administrator definieren Sie auch die Art der Analysen, die Macie für Ihr Unternehmen durchführt. Dazu konfigurieren Sie zusätzliche Einstellungen für Ihr Administratorkonto — die verwalteten Datenkennungen, benutzerdefinierte Datenkennungen und Zulassungslisten, die Macie bei der Analyse von S3-Objekten verwenden soll. Macie verwendet die Einstellungen für Ihr Administratorkonto, wenn es S3-Objekte für andere Konten in Ihrer Organisation analysiert.
## S3-Buckets bei der automatisierten Erkennung sensibler Daten ausschließen oder einbeziehen
Standardmäßig führt Amazon Macie die automatische Erkennung sensibler Daten für alle S3-Allzweck-Buckets Ihres Kontos durch. Wenn Sie der Macie-Administrator einer Organisation sind, schließt dies auch Buckets ein, die Ihren Mitgliedskonten gehören.
Um den Umfang zu verfeinern, können Sie bis zu 1.000 S3-Buckets von Analysen ausschließen. Wenn Sie einen Bucket ausschließen, beendet Macie die Auswahl und Analyse von Objekten im Bucket, wenn die automatische Erkennung sensibler Daten durchgeführt wird. Bestehende Statistiken und Details zur Erkennung sensibler Daten für den Bucket bleiben bestehen. Beispielsweise bleibt der aktuelle Sensitivitätswert des Buckets unverändert. Nachdem Sie einen Bucket ausgeschlossen haben, können Sie ihn später wieder aufnehmen.
**Um einen S3-Bucket in die automatische Erkennung sensibler Daten auszuschließen oder einzubeziehen**
Sie können einen S3-Bucket mithilfe der Amazon Macie-Konsole oder der Amazon Macie Macie-API ausschließen oder später hinzufügen.
------
#### [ Console ]
Gehen Sie wie folgt vor, um einen S3-Bucket mithilfe der Amazon Macie Macie-Konsole auszuschließen oder anschließend einzubeziehen.
**Um einen S3-Bucket auszuschließen oder einzubeziehen**
1. Öffnen Sie die Amazon Macie Macie-Konsole unter [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/).
1. Wählen Sie mithilfe der AWS-Region Auswahl in der oberen rechten Ecke der Seite die Region aus, in der Sie bestimmte S3-Buckets ausschließen oder in Analysen einbeziehen möchten.
1. Wählen Sie im Navigationsbereich unter **Einstellungen** die Option **Automatisierte** Erkennung sensibler Daten aus.
Die Seite **Automatisierte Erkennung vertraulicher Daten** wird mit Ihren aktuellen Einstellungen angezeigt. Auf dieser Seite werden im Abschnitt **S3-Buckets** S3-Buckets aufgeführt, die derzeit ausgeschlossen sind, oder es wird angegeben, dass alle Buckets derzeit enthalten sind.
1. **Wählen Sie im Abschnitt **S3-Buckets** die Option Bearbeiten aus.**
1. Führen Sie eine der folgenden Aktionen aus:
+ Um einen oder mehrere S3-Buckets auszuschließen, wählen Sie **Buckets zur Ausschlussliste hinzufügen**. Aktivieren Sie dann in der Tabelle **S3-Buckets** das Kontrollkästchen für jeden auszuschließenden Bucket. In der Tabelle sind alle Allzweck-Buckets für Ihr Konto oder Ihre Organisation in der aktuellen Region aufgeführt.
+ Um einen oder mehrere S3-Buckets einzubeziehen, die Sie zuvor ausgeschlossen haben, wählen Sie **Buckets entfernen aus der Ausschlussliste aus**. Aktivieren Sie dann in der **S3-Bucket-Tabelle** das Kontrollkästchen für jeden einzuschließenden Bucket. In der Tabelle sind alle Buckets aufgeführt, die derzeit von Analysen ausgeschlossen sind.
Um bestimmte Buckets einfacher zu finden, geben Sie Suchkriterien in das Suchfeld über der Tabelle ein. Sie können die Tabelle auch sortieren, indem Sie eine Spaltenüberschrift auswählen.
1. Wenn Sie mit der Auswahl der Buckets fertig sind, wählen Sie **Hinzufügen** oder **Entfernen**, je nachdem, welche Option Sie im vorherigen Schritt ausgewählt haben.
**Tipp**
Sie können auch einzelne S3-Buckets case-by-case einzeln ausschließen oder einbeziehen, während Sie die Bucket-Details auf der Konsole überprüfen. Wählen Sie dazu den Bucket auf der Seite **S3-Buckets** aus. Ändern Sie dann im Detailbereich die Einstellung **Von automatisierter Erkennung ausschließen** für den Bucket.
------
#### [ API ]
Um einen S3-Bucket programmgesteuert auszuschließen oder anschließend einzubeziehen, verwenden Sie die Amazon Macie Macie-API, um den Klassifizierungsbereich für Ihr Konto zu aktualisieren. Der Klassifizierungsbereich spezifiziert Bereiche, die Macie bei der automatisierten Erkennung sensibler Daten nicht analysieren soll. Er definiert eine Bucket-Ausschlussliste für die automatische Erkennung.
Wenn Sie den Klassifizierungsbereich aktualisieren, geben Sie an, ob einzelne Bereiche zur Ausschlussliste hinzugefügt oder daraus entfernt werden sollen oder ob die aktuelle Liste mit einer neuen Liste überschrieben werden soll. Daher empfiehlt es sich, zunächst Ihre aktuelle Liste abzurufen und zu überprüfen. Verwenden Sie den [GetClassificationScope](https://docs.aws.amazon.com/macie/latest/APIReference/classification-scopes-id.html)Vorgang, um die Liste abzurufen. Wenn Sie AWS Command Line Interface (AWS CLI) verwenden, führen Sie den [get-classification-scope](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-classification-scope.html)Befehl aus, um die Liste abzurufen.
Um den Klassifizierungsbereich abzurufen oder zu aktualisieren, müssen Sie seinen eindeutigen Bezeichner (`id`) angeben. Sie können diesen Bezeichner mithilfe der [GetAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html)Operation abrufen. Bei diesem Vorgang werden Ihre aktuellen Konfigurationseinstellungen für die automatische Erkennung vertraulicher Daten abgerufen, einschließlich der eindeutigen Kennung für den Klassifizierungsbereich Ihres Kontos in der aktuellen AWS-Region Version. Wenn Sie den verwenden AWS CLI, führen Sie den [get-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-automated-discovery-configuration.html)Befehl aus, um diese Informationen abzurufen.
Wenn Sie bereit sind, den Klassifizierungsbereich zu aktualisieren, verwenden Sie den [UpdateClassificationScope](https://docs.aws.amazon.com/macie/latest/APIReference/classification-scopes-id.html)Vorgang oder, falls Sie den verwenden AWS CLI, führen Sie den [update-classification-scope](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-classification-scope.html)Befehl aus. Verwenden Sie in Ihrer Anfrage die unterstützten Parameter, um einen S3-Bucket in nachfolgende Analysen auszuschließen oder einzubeziehen:
+ Um einen oder mehrere Buckets auszuschließen, geben Sie den Namen jedes Buckets für den `bucketNames` Parameter an. Geben Sie für den Parameter `operation` `ADD` an:
+ Um einen oder mehrere Buckets einzubeziehen, die Sie zuvor ausgeschlossen haben, geben Sie den Namen jedes Buckets für den `bucketNames` Parameter an. Geben Sie für den Parameter `operation` `REMOVE` an:
+ Um die aktuelle Liste mit einer neuen Liste von auszuschließenden Buckets zu überschreiben, geben Sie `REPLACE` für den Parameter Folgendes an. `operation` Geben Sie für den `bucketNames` Parameter den Namen jedes auszuschließenden Buckets an.
Jeder Wert für den `bucketNames` Parameter muss der vollständige Name eines vorhandenen Allzweck-Buckets in der aktuellen Region sein. Bei Werten wird zwischen Groß- und Kleinschreibung unterschieden. Wenn Ihre Anfrage erfolgreich ist, aktualisiert Macie den Klassifizierungsbereich und gibt eine leere Antwort zurück.
Die folgenden Beispiele zeigen, wie Sie mit dem AWS CLI den Klassifizierungsbereich für ein Konto aktualisieren können. Die erste Reihe von Beispielen schließt zwei S3-Buckets (*amzn-s3-demo-bucket1*und*amzn-s3-demo-bucket2*) aus nachfolgenden Analysen aus. Die Buckets werden der Liste der auszuschließenden Buckets hinzugefügt.
Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.
```
$ aws macie2 update-classification-scope \
--id 117aff7ed76b59a59c3224ebdexample \
--s3 '{"excludes":{"bucketNames":["amzn-s3-demo-bucket1","amzn-s3-demo-bucket2"],"operation": "ADD"}}'
```
Dieses Beispiel ist für Microsoft Windows formatiert und verwendet das Zeilenfortsetzungszeichen Caret (^), um die Lesbarkeit zu verbessern.
```
C:\> aws macie2 update-classification-scope ^
--id 117aff7ed76b59a59c3224ebdexample ^
--s3={\"excludes\":{\"bucketNames\":[\"amzn-s3-demo-bucket1\",\"amzn-s3-demo-bucket2\"],\"operation\":\"ADD\"}}
```
Die nächste Reihe von Beispielen bezieht später die Buckets (*amzn-s3-demo-bucket1*und*amzn-s3-demo-bucket2*) in nachfolgenden Analysen mit ein. Es entfernt die Buckets aus der Liste der auszuschließenden Buckets. Für Linux, macOS oder Unix:
```
$ aws macie2 update-classification-scope \
--id 117aff7ed76b59a59c3224ebdexample \
--s3 '{"excludes":{"bucketNames":["amzn-s3-demo-bucket1","amzn-s3-demo-bucket2"],"operation": "REMOVE"}}'
```
Für Microsoft Windows:
```
C:\> aws macie2 update-classification-scope ^
--id 117aff7ed76b59a59c3224ebdexample ^
--s3={\"excludes\":{\"bucketNames\":[\"amzn-s3-demo-bucket1\",\"amzn-s3-demo-bucket2\"],\"operation\":\"REMOVE\"}}
```
In den folgenden Beispielen wird die aktuelle Liste überschrieben und durch eine neue Liste von S3-Buckets ersetzt, die ausgeschlossen werden sollen. In der neuen Liste sind drei auszuschließende Buckets angegeben:*amzn-s3-demo-bucket*, und*amzn-s3-demo-bucket2*. *amzn-s3-demo-bucket3* Für Linux, macOS oder Unix:
```
$ aws macie2 update-classification-scope \
--id 117aff7ed76b59a59c3224ebdexample \
--s3 '{"excludes":{"bucketNames":["amzn-s3-demo-bucket","amzn-s3-demo-bucket2","amzn-s3-demo-bucket3"],"operation": "REPLACE"}}'
```
Für Microsoft Windows:
```
C:\> aws macie2 update-classification-scope ^
--id 117aff7ed76b59a59c3224ebdexample ^
--s3={\"excludes\":{\"bucketNames\":[\"amzn-s3-demo-bucket\",\"amzn-s3-demo-bucket2\",\"amzn-s3-demo-bucket3\"],\"operation\":\"REPLACE\"}}
```
------
## Hinzufügen oder Entfernen verwalteter Datenkennungen aus der automatisierten Erkennung sensibler Daten
Ein *verwalteter Datenbezeichner* besteht aus einer Reihe integrierter Kriterien und Techniken, die darauf ausgelegt sind, eine bestimmte Art vertraulicher Daten zu erkennen, z. B. Kreditkartennummern, AWS geheime Zugangsschlüssel oder Passnummern für ein bestimmtes Land oder eine bestimmte Region. Standardmäßig analysiert Amazon Macie S3-Objekte mithilfe der verwalteten Datenkennungen, die wir für die automatische Erkennung sensibler Daten empfehlen. Eine Liste dieser Identifikatoren finden Sie unter. [Standardeinstellungen für die automatische Erkennung sensibler Daten](discovery-asdd-settings-defaults.md)
Sie können die Analysen so anpassen, dass sie sich auf bestimmte Arten sensibler Daten konzentrieren:
+ Fügen Sie verwaltete Datenkennungen für die Arten sensibler Daten hinzu, die Macie erkennen und melden soll, und
+ Entfernen Sie verwaltete Datenkennungen für die Arten vertraulicher Daten, die Macie nicht erkennen und melden soll.
Eine vollständige Liste aller Kennungen für verwaltete Daten, die Macie derzeit bereitstellt, sowie Einzelheiten zu den einzelnen Kennungen finden Sie unter. [Verwenden von verwalteten Datenbezeichnern](managed-data-identifiers.md)
Wenn Sie eine verwaltete Daten-ID entfernen, wirkt sich Ihre Änderung nicht auf bestehende Statistiken und Details zur Erkennung sensibler Daten für S3-Buckets aus. Wenn Sie beispielsweise die verwaltete Daten-ID für AWS geheime Zugriffsschlüssel entfernen und Macie diese Daten zuvor in einem Bucket erkannt hat, meldet Macie diese Erkennungen weiterhin. Anstatt jedoch die Kennung zu entfernen, was sich auf nachfolgende Analysen aller Buckets auswirkt, sollten Sie erwägen, ihre Erkennungen nur für bestimmte Buckets aus den Sensitivitätsbewertungen auszuschließen. Weitere Informationen finden Sie unter [Anpassen der Empfindlichkeitswerte für S3-Buckets](discovery-asdd-s3bucket-manage.md).
**So fügen Sie verwaltete Datenkennungen hinzu oder entfernen sie aus der automatisierten Erkennung sensibler Daten**
Sie können verwaltete Datenkennungen mithilfe der Amazon Macie-Konsole oder der Amazon Macie Macie-API hinzufügen oder entfernen.
------
#### [ Console ]
Gehen Sie wie folgt vor, um mithilfe der Amazon Macie Macie-Konsole eine verwaltete Daten-ID hinzuzufügen oder zu entfernen.
**Um eine verwaltete Daten-ID hinzuzufügen oder zu entfernen**
1. Öffnen Sie die Amazon Macie Macie-Konsole unter [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/).
1. Wählen Sie mithilfe der AWS-Region Auswahl in der oberen rechten Ecke der Seite die Region aus, in der Sie eine verwaltete Daten-ID zu Analysen hinzufügen oder daraus entfernen möchten.
1. Wählen Sie im Navigationsbereich unter **Einstellungen** die Option **Automatisierte Erkennung sensibler Daten** aus.
Die Seite **Automatisierte Erkennung vertraulicher Daten** wird mit Ihren aktuellen Einstellungen angezeigt. Auf dieser Seite werden im Bereich **Verwaltete Datenkennungen** Ihre aktuellen Einstellungen angezeigt, die in zwei Tabs unterteilt sind:
+ **Zur Standardeinstellung hinzugefügt** — Auf dieser Registerkarte werden verwaltete Datenkennungen aufgeführt, die Sie hinzugefügt haben. Macie verwendet diese Kennungen zusätzlich zu denen, die im Standardsatz enthalten sind und die Sie nicht entfernt haben.
+ **Aus der Standardeinstellung entfernt** — Auf dieser Registerkarte werden verwaltete Datenkennungen aufgeführt, die Sie entfernt haben. Macie verwendet diese Identifikatoren nicht.
1. **Wählen Sie im Abschnitt **Verwaltete Datenkennungen** die Option Bearbeiten aus.**
1. Führen Sie eine der folgenden Aktionen aus:
+ Um eine oder mehrere verwaltete Datenkennungen hinzuzufügen, wählen Sie die Registerkarte **Zur Standardeinstellung hinzugefügt**. Aktivieren Sie dann in der Tabelle das Kontrollkästchen für jeden hinzuzufügenden verwalteten Datenbezeichner. Wenn bereits ein Kontrollkästchen aktiviert ist, haben Sie diesen Bezeichner bereits hinzugefügt.
+ Um eine oder mehrere verwaltete Datenkennungen zu entfernen, wählen Sie die Registerkarte **Aus Standard entfernt**. Aktivieren Sie dann in der Tabelle das Kontrollkästchen für jeden verwalteten Datenbezeichner, der entfernt werden soll. Wenn bereits ein Kontrollkästchen aktiviert ist, haben Sie diesen Bezeichner bereits entfernt.
Auf jeder Registerkarte wird in der Tabelle eine Liste aller verwalteten Datenkennungen angezeigt, die Macie derzeit bereitstellt. In der Tabelle gibt die erste Spalte die ID der einzelnen verwalteten Datenbezeichner an. Die ID beschreibt den Typ der sensiblen Daten, die ein Identifier erkennen soll — zum Beispiel **USA\$1PASSPORT\$1NUMBER für US-Passnummern**. Um bestimmte Kennungen für verwaltete Daten einfacher zu finden, geben Sie Suchkriterien in das Suchfeld über der Tabelle ein. Sie können die Tabelle auch sortieren, indem Sie eine Spaltenüberschrift auswählen.
1. Wählen Sie **Save (Speichern)** aus, wenn Sie fertig sind.
------
#### [ API ]
Um programmgesteuert eine verwaltete Daten-ID hinzuzufügen oder zu entfernen, verwenden Sie die Amazon Macie Macie-API, um die Vorlage für die Sensibilitätsprüfung für Ihr Konto zu aktualisieren. In der Vorlage werden Einstellungen gespeichert, die angeben, welche verwalteten Datenkennungen zusätzlich zu den im Standardsatz enthaltenen Kennungen verwendet (*eingeschlossen*) werden sollen. Sie geben auch an, dass verwaltete Datenbezeichner nicht verwendet (*ausgeschlossen*) werden dürfen. In den Einstellungen werden auch alle benutzerdefinierten Datenbezeichner angegeben und Listen zugelassen, die Macie verwenden soll.
Wenn Sie die Vorlage aktualisieren, überschreiben Sie ihre aktuellen Einstellungen. Daher empfiehlt es sich, zunächst Ihre aktuellen Einstellungen abzurufen und festzulegen, welche Sie behalten möchten. Verwenden Sie den [GetSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html)Vorgang, um Ihre aktuellen Einstellungen abzurufen. Wenn Sie AWS Command Line Interface (AWS CLI) verwenden, führen Sie den [get-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitivity-inspection-template.html)Befehl aus, um die Einstellungen abzurufen.
Um die Vorlage abzurufen oder zu aktualisieren, müssen Sie ihren eindeutigen Bezeichner (`id`) angeben. Sie können diesen Bezeichner mithilfe der [GetAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html)Operation abrufen. Bei diesem Vorgang werden Ihre aktuellen Konfigurationseinstellungen für die automatische Erkennung vertraulicher Daten abgerufen, einschließlich der eindeutigen Kennung für die Vorlage zur Prüfung der Vertraulichkeit für Ihr Konto in der aktuellen AWS-Region Version. Wenn Sie den verwenden AWS CLI, führen Sie den [get-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-automated-discovery-configuration.html)Befehl aus, um diese Informationen abzurufen.
Wenn Sie bereit sind, die Vorlage zu aktualisieren, verwenden Sie den [UpdateSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html)Vorgang oder, falls Sie den verwenden AWS CLI, führen Sie den [update-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-sensitivity-inspection-template.html)Befehl aus. Verwenden Sie in Ihrer Anfrage die entsprechenden Parameter, um einen oder mehrere verwaltete Datenbezeichner für nachfolgende Analysen hinzuzufügen oder daraus zu entfernen:
+ Um mit der Verwendung eines verwalteten Datenbezeichners zu beginnen, geben Sie dessen ID für den `managedDataIdentifierIds` Parameter des `includes` Parameters an.
+ Um die Verwendung eines verwalteten Datenbezeichners zu beenden, geben Sie dessen ID für den `managedDataIdentifierIds` Parameter des `excludes` Parameters an.
+ Um die Standardeinstellungen wiederherzustellen, geben Sie keine Einstellungen IDs für die `excludes` Parameter `includes` und an. Macie beginnt dann, nur die verwalteten Datenbezeichner zu verwenden, die im Standardsatz enthalten sind.
Verwenden Sie zusätzlich zu den Parametern für verwaltete Datenbezeichner die entsprechenden `includes` Parameter, um alle benutzerdefinierten Datenbezeichner (`customDataIdentifierIds`) und Zulassungslisten (`allowListIds`) anzugeben, die Macie verwenden soll. Geben Sie auch die Region an, für die sich Ihre Anfrage bezieht. Wenn Ihre Anfrage erfolgreich ist, aktualisiert Macie die Vorlage und gibt eine leere Antwort zurück.
Die folgenden Beispiele zeigen, wie Sie die Vorlage für die AWS CLI Sensibilitätsprüfung für ein Konto mithilfe von aktualisieren können. In den Beispielen wird eine Kennung für verwaltete Daten hinzugefügt und eine weitere aus nachfolgenden Analysen entfernt. Sie behalten auch die aktuellen Einstellungen bei, die angeben, dass zwei benutzerdefinierte Datenkennungen verwendet werden sollen.
Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.
```
$ aws macie2 update-sensitivity-inspection-template \
--id fd7b6d71c8006fcd6391e6eedexample \
--excludes '{"managedDataIdentifierIds":["UK_ELECTORAL_ROLL_NUMBER"]}' \
--includes '{"managedDataIdentifierIds":["STRIPE_CREDENTIALS"],"customDataIdentifierIds":["3293a69d-4a1e-4a07-8715-208ddexample","6fad0fb5-3e82-4270-bede-469f2example"]}'
```
Dieses Beispiel ist für Microsoft Windows formatiert und verwendet das Zeilenfortsetzungszeichen Caret (^), um die Lesbarkeit zu verbessern.
```
C:\> aws macie2 update-sensitivity-inspection-template ^
--id fd7b6d71c8006fcd6391e6eedexample ^
--excludes={\"managedDataIdentifierIds\":[\"UK_ELECTORAL_ROLL_NUMBER\"]} ^
--includes={\"managedDataIdentifierIds\":[\"STRIPE_CREDENTIALS\"],\"customDataIdentifierIds\":[\"3293a69d-4a1e-4a07-8715-208ddexample\",\"6fad0fb5-3e82-4270-bede-469f2example\"]}
```
Wobei Folgendes gilt:
+ *fd7b6d71c8006fcd6391e6eedexample*ist der eindeutige Bezeichner für die zu aktualisierende Vorlage zur Sensitivitätsprüfung.
+ *UK\$1ELECTORAL\$1ROLL\$1NUMBER*ist die ID für den verwalteten Datenbezeichner, der nicht mehr verwendet (*ausgeschlossen*) werden soll.
+ *STRIPE\$1CREDENTIALS*ist die ID für den verwalteten Datenbezeichner, der ab sofort verwendet werden soll (*einschließen*).
+ *3293a69d-4a1e-4a07-8715-208ddexample*und *6fad0fb5-3e82-4270-bede-469f2example* sind die eindeutigen Bezeichner für die zu verwendenden benutzerdefinierten Datenbezeichner.
------
## Hinzufügen oder Entfernen von benutzerdefinierten Datenkennungen aus der automatisierten Erkennung sensibler Daten
Ein *benutzerdefinierter Datenbezeichner* besteht aus einer Reihe von Kriterien, die Sie definieren, um vertrauliche Daten zu erkennen. Die Kriterien bestehen aus einem regulären Ausdruck (*Regex*), der ein zu suchendes Textmuster definiert und optional Zeichenfolgen und eine Näherungsregel zur Eingrenzung der Ergebnisse festlegt. Weitere Informationen hierzu finden Sie unter [Erstellen von benutzerdefinierten Datenbezeichnern](custom-data-identifiers.md).
Standardmäßig verwendet Amazon Macie keine benutzerdefinierten Datenbezeichner, wenn es die automatische Erkennung sensibler Daten durchführt. Wenn Sie möchten, dass Macie bestimmte benutzerdefinierte Datenkennungen verwendet, können Sie diese zu nachfolgenden Analysen hinzufügen. Macie verwendet dann die benutzerdefinierten Datenkennungen zusätzlich zu allen verwalteten Datenkennungen, für deren Verwendung Sie Macie konfiguriert haben.
Wenn Sie einen benutzerdefinierten Datenbezeichner hinzufügen, können Sie ihn später entfernen. Ihre Änderung wirkt sich nicht auf bestehende Statistiken und Details zur Erkennung sensibler Daten für S3-Buckets aus. Das heißt, wenn Sie eine benutzerdefinierte Daten-ID entfernen, die zuvor zu Erkennungen für einen Bucket geführt hat, meldet Macie diese Erkennungen weiterhin. Anstatt jedoch die Kennung zu entfernen, was sich auf nachfolgende Analysen aller Buckets auswirkt, sollten Sie erwägen, ihre Erkennungen nur für bestimmte Buckets aus den Sensitivitätsbewertungen auszuschließen. Weitere Informationen finden Sie unter [Anpassen der Empfindlichkeitswerte für S3-Buckets](discovery-asdd-s3bucket-manage.md).
**Um benutzerdefinierte Datenkennungen hinzuzufügen oder aus der automatisierten Erkennung vertraulicher Daten zu entfernen**
Sie können benutzerdefinierte Datenkennungen mithilfe der Amazon Macie-Konsole oder der Amazon Macie Macie-API hinzufügen oder entfernen.
------
#### [ Console ]
Gehen Sie wie folgt vor, um mithilfe der Amazon Macie Macie-Konsole eine benutzerdefinierte Daten-ID hinzuzufügen oder zu entfernen.
**Um eine benutzerdefinierte Daten-ID hinzuzufügen oder zu entfernen**
1. Öffnen Sie die Amazon Macie Macie-Konsole unter [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/).
1. Wählen Sie mithilfe der AWS-Region Auswahl in der oberen rechten Ecke der Seite die Region aus, in der Sie eine benutzerdefinierte Daten-ID zu Analysen hinzufügen oder daraus entfernen möchten.
1. Wählen Sie im Navigationsbereich unter **Einstellungen** die Option **Automatisierte Erkennung sensibler Daten** aus.
Die Seite **Automatisierte Erkennung vertraulicher Daten** wird mit Ihren aktuellen Einstellungen angezeigt. Auf dieser Seite werden im Abschnitt **Benutzerdefinierte Datenbezeichner** benutzerdefinierte Datenbezeichner aufgeführt, die Sie bereits hinzugefügt haben, oder es wird darauf hingewiesen, dass Sie keine benutzerdefinierten Datenbezeichner hinzugefügt haben.
1. **Wählen Sie im Abschnitt **Benutzerdefinierte Datenbezeichner** die Option Bearbeiten aus.**
1. Führen Sie eine der folgenden Aktionen aus:
+ Um einen oder mehrere benutzerdefinierte Datenbezeichner hinzuzufügen, aktivieren Sie das Kontrollkästchen für jede benutzerdefinierte Daten-ID, die Sie hinzufügen möchten. Wenn bereits ein Kontrollkästchen aktiviert ist, haben Sie diesen Bezeichner bereits hinzugefügt.
+ Um einen oder mehrere benutzerdefinierte Datenbezeichner zu entfernen, deaktivieren Sie das Kontrollkästchen für jede benutzerdefinierte Daten-ID, die entfernt werden soll. Wenn ein Kontrollkästchen bereits deaktiviert ist, verwendet Macie diese Kennung derzeit nicht.
**Tipp**
Um die Einstellungen für einen benutzerdefinierten Datenbezeichner zu überprüfen oder zu testen, bevor Sie ihn hinzufügen oder entfernen, wählen Sie das Linksymbol (![\[The link icon, which is a blue box that has an arrow in it.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/icon-external-link.png)) neben dem Namen des Identifikators. Macie öffnet eine Seite, auf der die Einstellungen der Kennung angezeigt werden. Um den Identifier auch mit Beispieldaten zu testen, geben Sie bis zu 1.000 Zeichen Text in das Feld **Beispieldaten** auf dieser Seite ein. Wählen Sie dann **Test** aus. Macie wertet die Beispieldaten aus und gibt die Anzahl der Treffer an.
1. Wählen Sie **Save (Speichern)** aus, wenn Sie fertig sind.
------
#### [ API ]
Um programmgesteuert eine benutzerdefinierte Daten-ID hinzuzufügen oder zu entfernen, verwenden Sie die Amazon Macie Macie-API, um die Vorlage für die Sensibilitätsprüfung für Ihr Konto zu aktualisieren. In der Vorlage werden Einstellungen gespeichert, die angeben, welche benutzerdefinierten Datenkennungen Macie bei der automatisierten Erkennung sensibler Daten verwenden soll. Die Einstellungen geben auch an, welche verwalteten Datenkennungen verwendet werden sollen, und ermöglichen die Verwendung von Listen.
Wenn Sie die Vorlage aktualisieren, überschreiben Sie ihre aktuellen Einstellungen. Daher empfiehlt es sich, zunächst Ihre aktuellen Einstellungen abzurufen und festzulegen, welche Sie behalten möchten. Verwenden Sie den [GetSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html)Vorgang, um Ihre aktuellen Einstellungen abzurufen. Wenn Sie AWS Command Line Interface (AWS CLI) verwenden, führen Sie den [get-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitivity-inspection-template.html)Befehl aus, um die Einstellungen abzurufen.
Um die Vorlage abzurufen oder zu aktualisieren, müssen Sie ihren eindeutigen Bezeichner (`id`) angeben. Sie können diesen Bezeichner mithilfe der [GetAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html)Operation abrufen. Bei diesem Vorgang werden Ihre aktuellen Konfigurationseinstellungen für die automatische Erkennung vertraulicher Daten abgerufen, einschließlich der eindeutigen Kennung für die Vorlage zur Prüfung der Vertraulichkeit für Ihr Konto in der aktuellen AWS-Region Version. Wenn Sie den verwenden AWS CLI, führen Sie den [get-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-automated-discovery-configuration.html)Befehl aus, um diese Informationen abzurufen.
Wenn Sie bereit sind, die Vorlage zu aktualisieren, verwenden Sie den [UpdateSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html)Vorgang oder, falls Sie den verwenden AWS CLI, führen Sie den [update-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-sensitivity-inspection-template.html)Befehl aus. Verwenden Sie in Ihrer Anfrage den `customDataIdentifierIds` Parameter, um einen oder mehrere benutzerdefinierte Datenbezeichner für nachfolgende Analysen hinzuzufügen oder daraus zu entfernen:
+ Um mit der Verwendung einer benutzerdefinierten Daten-ID zu beginnen, geben Sie deren eindeutige Kennung für den Parameter an.
+ Um eine benutzerdefinierte Daten-ID nicht mehr zu verwenden, lassen Sie ihre eindeutige Kennung aus dem Parameter weg.
Verwenden Sie zusätzliche Parameter, um anzugeben, welche verwalteten Datenbezeichner und Zulassungslisten Macie verwenden soll. Geben Sie auch die Region an, für die sich Ihre Anfrage bezieht. Wenn Ihre Anfrage erfolgreich ist, aktualisiert Macie die Vorlage und gibt eine leere Antwort zurück.
Die folgenden Beispiele zeigen, wie Sie die Vorlage für die AWS CLI Sensibilitätsprüfung für ein Konto mithilfe von aktualisieren können. In den Beispielen werden nachfolgenden Analysen zwei benutzerdefinierte Datenkennungen hinzugefügt. Sie behalten auch die aktuellen Einstellungen bei, die angeben, welche verwalteten Datenkennungen verwendet werden sollen, und ermöglichen die Verwendung von Listen: Verwenden Sie den Standardsatz verwalteter Datenbezeichner und eine Zulassungsliste.
Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.
```
$ aws macie2 update-sensitivity-inspection-template \
--id fd7b6d71c8006fcd6391e6eedexample \
--includes '{"allowListIds":["nkr81bmtu2542yyexample"],"customDataIdentifierIds":["3293a69d-4a1e-4a07-8715-208ddexample","6fad0fb5-3e82-4270-bede-469f2example"]}'
```
Dieses Beispiel ist für Microsoft Windows formatiert und verwendet das Zeilenfortsetzungszeichen Caret (^), um die Lesbarkeit zu verbessern.
```
C:\> aws macie2 update-sensitivity-inspection-template ^
--id fd7b6d71c8006fcd6391e6eedexample ^
--includes={\"allowListIds\":[\"nkr81bmtu2542yyexample\"],\"customDataIdentifierIds\":[\"3293a69d-4a1e-4a07-8715-208ddexample\",\"6fad0fb5-3e82-4270-bede-469f2example\"]}
```
Wobei Folgendes gilt:
+ *fd7b6d71c8006fcd6391e6eedexample*ist der eindeutige Bezeichner für die zu aktualisierende Vorlage zur Sensitivitätsprüfung.
+ *nkr81bmtu2542yyexample*ist die eindeutige Kennung, die für die Zulassungsliste verwendet werden soll.
+ *3293a69d-4a1e-4a07-8715-208ddexample*und *6fad0fb5-3e82-4270-bede-469f2example* sind die eindeutigen Bezeichner für die zu verwendenden benutzerdefinierten Datenbezeichner.
------
## Hinzufügen oder Entfernen von Zulassungslisten aus der automatisierten Erkennung sensibler Daten
In Amazon Macie definiert eine Zulassungsliste einen bestimmten Text oder ein Textmuster, das Macie ignorieren soll, wenn es S3-Objekte auf sensible Daten untersucht. Wenn Text mit einem Eintrag oder einem Muster in einer Zulassungsliste übereinstimmt, meldet Macie den Text nicht. Dies ist auch dann der Fall, wenn der Text den Kriterien einer verwalteten oder benutzerdefinierten Daten-ID entspricht. Weitere Informationen hierzu finden Sie unter [Definition von Ausnahmen für sensible Daten mit Zulassungslisten](allow-lists.md).
Standardmäßig verwendet Macie bei der automatischen Erkennung vertraulicher Daten keine Zulassungslisten. Wenn Sie möchten, dass Macie bestimmte Zulassungslisten verwendet, können Sie sie zu nachfolgenden Analysen hinzufügen. Wenn Sie eine Zulassungsliste hinzufügen, können Sie sie später entfernen.
**Um Zulassungslisten zur automatisierten Erkennung vertraulicher Daten hinzuzufügen oder daraus zu entfernen**
Sie können Zulassungslisten mithilfe der Amazon Macie-Konsole oder der Amazon Macie Macie-API hinzufügen oder entfernen.
------
#### [ Console ]
Gehen Sie wie folgt vor, um mithilfe der Amazon Macie Macie-Konsole eine Zulassungsliste hinzuzufügen oder zu entfernen.
**Um eine Zulassungsliste hinzuzufügen oder zu entfernen**
1. Öffnen Sie die Amazon Macie Macie-Konsole unter [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/).
1. Wählen Sie mithilfe der AWS-Region Auswahl in der oberen rechten Ecke der Seite die Region aus, in der Sie eine Zulassungsliste zu Analysen hinzufügen oder daraus entfernen möchten.
1. Wählen Sie im Navigationsbereich unter **Einstellungen** die Option **Automatisierte Erkennung sensibler Daten** aus.
Die Seite **Automatisierte Erkennung vertraulicher Daten** wird mit Ihren aktuellen Einstellungen angezeigt. Auf dieser Seite gibt der Abschnitt **Zulassungslisten** die Zulassungslisten an, die Sie bereits hinzugefügt haben, oder es wird angegeben, dass Sie keine Zulassungslisten hinzugefügt haben.
1. Wählen **Sie im Abschnitt Zulässige Listen** die Option **Bearbeiten** aus.
1. Führen Sie eine der folgenden Aktionen aus:
+ Um eine oder mehrere Zulassungslisten hinzuzufügen, aktivieren Sie das Kontrollkästchen für jede hinzuzufügende Zulassungsliste. Wenn ein Kontrollkästchen bereits ausgewählt ist, haben Sie diese Liste bereits hinzugefügt.
+ Um eine oder mehrere Zulassungslisten zu entfernen, deaktivieren Sie das Kontrollkästchen für jede Zulassungsliste, die Sie entfernen möchten. Wenn ein Kontrollkästchen bereits deaktiviert ist, verwendet Macie diese Liste derzeit nicht.
**Tipp**
Um die Einstellungen für eine Zulassungsliste zu überprüfen, bevor Sie sie hinzufügen oder entfernen, wählen Sie das Linksymbol (![\[The link icon, which is a blue box that has an arrow in it.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/icon-external-link.png)) neben dem Namen der Liste. Macie öffnet eine Seite, auf der die Einstellungen der Liste angezeigt werden. Wenn in der Liste ein regulärer Ausdruck (*Regex*) angegeben ist, können Sie diese Seite auch verwenden, um den regulären Ausdruck mit Beispieldaten zu testen. **Geben Sie dazu bis zu 1.000 Zeichen Text in das Feld **Beispieldaten** ein, und wählen Sie dann Test aus.** Macie wertet die Beispieldaten aus und gibt die Anzahl der Treffer an.
1. Wählen Sie **Save (Speichern)** aus, wenn Sie fertig sind.
------
#### [ API ]
Um eine Zulassungsliste programmgesteuert hinzuzufügen oder zu entfernen, verwenden Sie die Amazon Macie Macie-API, um die Vorlage für die Vertraulichkeitsprüfung für Ihr Konto zu aktualisieren. In der Vorlage werden Einstellungen gespeichert, die angeben, welche Zulassungslisten Macie bei der automatisierten Erkennung sensibler Daten verwenden soll. Die Einstellungen geben auch an, welche verwalteten Datenbezeichner und welche benutzerdefinierten Datenbezeichner verwendet werden sollen.
Wenn Sie die Vorlage aktualisieren, überschreiben Sie ihre aktuellen Einstellungen. Daher empfiehlt es sich, zunächst Ihre aktuellen Einstellungen abzurufen und festzulegen, welche Sie behalten möchten. Verwenden Sie den [GetSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html)Vorgang, um Ihre aktuellen Einstellungen abzurufen. Wenn Sie AWS Command Line Interface (AWS CLI) verwenden, führen Sie den [get-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitivity-inspection-template.html)Befehl aus, um die Einstellungen abzurufen.
Um die Vorlage abzurufen oder zu aktualisieren, müssen Sie ihren eindeutigen Bezeichner (`id`) angeben. Sie können diesen Bezeichner mithilfe der [GetAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html)Operation abrufen. Bei diesem Vorgang werden Ihre aktuellen Konfigurationseinstellungen für die automatische Erkennung vertraulicher Daten abgerufen, einschließlich der eindeutigen Kennung für die Vorlage zur Prüfung der Vertraulichkeit für Ihr Konto in der aktuellen AWS-Region Version. Wenn Sie den verwenden AWS CLI, führen Sie den [get-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-automated-discovery-configuration.html)Befehl aus, um diese Informationen abzurufen.
Wenn Sie bereit sind, die Vorlage zu aktualisieren, verwenden Sie den [UpdateSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html)Vorgang oder, falls Sie den verwenden AWS CLI, führen Sie den [update-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-sensitivity-inspection-template.html)Befehl aus. Verwenden Sie in Ihrer Anfrage den `allowListIds` Parameter, um eine oder mehrere Zulassungslisten für nachfolgende Analysen hinzuzufügen oder zu entfernen:
+ Um mit der Verwendung einer Zulassungsliste zu beginnen, geben Sie deren eindeutige Kennung für den Parameter an.
+ Um die Verwendung einer Zulassungsliste zu beenden, lassen Sie ihren eindeutigen Bezeichner im Parameter weg.
Verwenden Sie zusätzliche Parameter, um anzugeben, welche verwalteten Datenbezeichner und welche benutzerdefinierten Datenbezeichner Macie verwenden soll. Geben Sie auch die Region an, für die sich Ihre Anfrage bezieht. Wenn Ihre Anfrage erfolgreich ist, aktualisiert Macie die Vorlage und gibt eine leere Antwort zurück.
Die folgenden Beispiele zeigen, wie Sie die Vorlage für die AWS CLI Sensibilitätsprüfung für ein Konto mithilfe von aktualisieren können. Die Beispiele fügen nachfolgenden Analysen eine Zulassungsliste hinzu. Sie behalten auch die aktuellen Einstellungen bei, die angeben, welche verwalteten Datenkennungen und benutzerdefinierten Datenkennungen verwendet werden sollen: Verwenden Sie den Standardsatz verwalteter Datenkennungen und zwei benutzerdefinierte Datenkennungen.
Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.
```
$ aws macie2 update-sensitivity-inspection-template \
--id fd7b6d71c8006fcd6391e6eedexample \
--includes '{"allowListIds":["nkr81bmtu2542yyexample"],"customDataIdentifierIds":["3293a69d-4a1e-4a07-8715-208ddexample","6fad0fb5-3e82-4270-bede-469f2example"]}'
```
Dieses Beispiel ist für Microsoft Windows formatiert und verwendet das Zeilenfortsetzungszeichen Caret (^), um die Lesbarkeit zu verbessern.
```
C:\> aws macie2 update-sensitivity-inspection-template ^
--id fd7b6d71c8006fcd6391e6eedexample ^
--includes={\"allowListIds\":[\"nkr81bmtu2542yyexample\"],\"customDataIdentifierIds\":[\"3293a69d-4a1e-4a07-8715-208ddexample\",\"6fad0fb5-3e82-4270-bede-469f2example\"]}
```
Wobei Folgendes gilt:
+ *fd7b6d71c8006fcd6391e6eedexample*ist der eindeutige Bezeichner für die zu aktualisierende Vorlage zur Sensitivitätsprüfung.
+ *nkr81bmtu2542yyexample*ist die eindeutige Kennung, die für die Zulassungsliste verwendet werden soll.
+ *3293a69d-4a1e-4a07-8715-208ddexample*und *6fad0fb5-3e82-4270-bede-469f2example* sind die eindeutigen Bezeichner für die zu verwendenden benutzerdefinierten Datenbezeichner.
------
# Deaktivierung der automatischen Erkennung sensibler Daten
Sie können die automatische Erkennung sensibler Daten für ein Konto oder eine Organisation jederzeit deaktivieren. Wenn Sie dies tun, beendet Amazon Macie die Durchführung aller automatisierten Ermittlungsaktivitäten für das Konto oder die Organisation, bevor ein nachfolgender Bewertungs- und Analysezyklus beginnt, normalerweise innerhalb von 48 Stunden. Die zusätzlichen Auswirkungen sind unterschiedlich:
+ Wenn Sie Macie-Administrator sind und es für ein einzelnes Konto in Ihrer Organisation deaktivieren, können Sie und das Konto weiterhin auf alle statistischen Daten, Inventardaten und andere Informationen zugreifen, die Macie erstellt und direkt bereitgestellt hat, während das Konto automatisch erkannt wurde. Sie können die automatische Erkennung für das Konto wieder aktivieren. Macie nimmt dann alle automatisierten Erkennungsaktivitäten für das Konto wieder auf.
+ Wenn Sie Macie-Administrator sind und es für Ihre Organisation deaktivieren, verlieren Sie und die Konten in Ihrer Organisation den Zugriff auf alle statistischen Daten, Inventardaten und andere Informationen, die Macie bei der Durchführung der automatischen Erkennung für Ihr Unternehmen erstellt und direkt bereitgestellt hat. Beispielsweise enthält Ihr S3-Bucket-Inventar keine Sensibilisierungen oder Analysestatistiken mehr. Anschließend können Sie die automatische Erkennung für Ihr Unternehmen wieder aktivieren. Macie nimmt dann alle automatisierten Ermittlungsaktivitäten für Konten in Ihrer Organisation wieder auf. Wenn Sie es innerhalb von 30 Tagen wieder aktivieren, erhalten Sie und die Konten wieder Zugriff auf Daten und Informationen, die Macie zuvor im Rahmen der automatischen Erkennung erstellt und direkt bereitgestellt hat. Wenn Sie es nicht innerhalb von 30 Tagen wieder aktivieren, löscht Macie diese Daten und Informationen dauerhaft.
+ Wenn Sie es für Ihr eigenständiges Macie-Konto deaktivieren, verlieren Sie den Zugriff auf alle statistischen Daten, Inventardaten und andere Informationen, die Macie bei der automatischen Erkennung Ihres Kontos erstellt und direkt bereitgestellt hat. Wenn Sie es nicht innerhalb von 30 Tagen wieder aktivieren, löscht Macie diese Daten und Informationen dauerhaft.
Sie können weiterhin auf die Ergebnisse sensibler Daten zugreifen, die Macie bei der automatischen Erkennung sensibler Daten für das Konto oder die Organisation erstellt hat. Macie speichert die Ergebnisse 90 Tage lang. Macie behält auch Ihre Konfigurationseinstellungen für die automatische Erkennung bei. Darüber hinaus bleiben Daten, die Sie gespeichert oder für andere veröffentlicht haben, AWS-Services intakt und sind nicht betroffen, wie z. B. die Ergebnisse der Entdeckung sensibler Daten in Amazon S3 und die Suche nach Ereignissen in Amazon EventBridge.
**Um die automatische Erkennung sensibler Daten zu deaktivieren**
Wenn Sie der Macie-Administrator einer Organisation sind oder über ein eigenständiges Macie-Konto verfügen, können Sie die automatische Erkennung sensibler Daten mithilfe der Amazon Macie Macie-Konsole oder der Amazon Macie Macie-API deaktivieren. Wenn Sie ein Mitgliedskonto in einer Organisation haben, arbeiten Sie mit Ihrem Macie-Administrator zusammen, um die automatische Erkennung für Ihr Konto zu deaktivieren. Nur Ihr Macie-Administrator kann die automatische Erkennung für Ihr Konto deaktivieren.
------
#### [ Console ]
Gehen Sie wie folgt vor, um die automatische Erkennung sensibler Daten mithilfe der Amazon Macie Macie-Konsole zu deaktivieren.
**Um die automatische Erkennung sensibler Daten zu deaktivieren**
1. Öffnen Sie die Amazon Macie Macie-Konsole unter [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/).
1. Wählen Sie mithilfe der AWS-Region Auswahl in der oberen rechten Ecke der Seite die Region aus, in der Sie die automatische Erkennung sensibler Daten deaktivieren möchten.
1. Wählen Sie im Navigationsbereich unter **Einstellungen** die Option **Automatisierte Erkennung vertraulicher Daten** aus.
1. Wenn Sie der Macie-Administrator einer Organisation sind, wählen Sie im Abschnitt **Status** eine Option aus, um die Konten anzugeben, für die die automatische Erkennung vertraulicher Daten deaktiviert werden soll:
+ Um sie nur für bestimmte Mitgliedskonten zu deaktivieren, wählen Sie **Konten verwalten**. Wählen Sie dann in der Tabelle auf der Seite **Konten** das Kontrollkästchen für jedes Konto aus, für das es deaktiviert werden soll. Wenn Sie fertig sind, wählen Sie im Menü **Aktionen** die **Option Automatische Erkennung sensibler Daten deaktivieren** aus.
+ Um es nur für Ihr Macie-Administratorkonto zu deaktivieren, wählen Sie **Deaktivieren**. Wählen Sie im daraufhin angezeigten Dialogfeld **Mein Konto** und anschließend **Deaktivieren** aus.
+ Um es für alle Konten in Ihrer Organisation und Ihrer Organisation insgesamt zu deaktivieren, wählen Sie **Deaktivieren**. Wählen Sie im daraufhin angezeigten Dialogfeld **Meine Organisation** und anschließend **Deaktivieren** aus.
1. Wenn Sie ein eigenständiges Macie-Konto haben, wählen Sie im Abschnitt **Status** die **Option Deaktivieren** aus.
Wenn Sie Macie in mehreren Regionen verwenden und die automatische Erkennung sensibler Daten in weiteren Regionen deaktivieren möchten, wiederholen Sie die vorherigen Schritte in jeder weiteren Region.
------
#### [ API ]
Mit der Amazon Macie API können Sie die automatische Erkennung sensibler Daten auf zwei Arten deaktivieren. Wie Sie es deaktivieren, hängt teilweise von der Art Ihres Kontos ab. Wenn Sie der Macie-Administrator einer Organisation sind, hängt es auch davon ab, ob Sie die automatische Erkennung nur für bestimmte Mitgliedskonten oder für Ihre Organisation insgesamt deaktivieren möchten. Wenn Sie es für Ihre Organisation deaktivieren, deaktivieren Sie es für alle Konten, die derzeit Teil Ihrer Organisation sind. Wenn Ihrer Organisation später weitere Konten beitreten, ist die automatische Erkennung für diese Konten ebenfalls deaktiviert.
Verwenden Sie den [UpdateAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html)Vorgang, um die automatische Erkennung sensibler Daten für eine Organisation oder ein eigenständiges Macie-Konto zu deaktivieren. Oder, wenn Sie die AWS Command Line Interface (AWS CLI) verwenden, führen Sie den [update-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-automated-discovery-configuration.html)Befehl aus. Geben Sie in Ihrer Anfrage `DISABLED` den `status` Parameter an.
Verwenden Sie den [BatchUpdateAutomatedDiscoveryAccounts](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-accounts.html)Vorgang, um die automatische Erkennung vertraulicher Daten nur für bestimmte Mitgliedskonten in einer Organisation zu deaktivieren. Oder, wenn Sie den verwenden AWS CLI, führen Sie den Befehl [batch-update-automated-discovery-accounts](https://docs.aws.amazon.com/cli/latest/reference/macie2/batch-update-automated-discovery-accounts.html) aus. Verwenden Sie in Ihrer Anfrage den `accountId` Parameter, um die Konto-ID für ein Konto anzugeben, für das Sie die automatische Erkennung deaktivieren möchten. Geben Sie für den Parameter `status` `DISABLED` an: Um die automatische Erkennung für ein Konto zu deaktivieren, muss Macie derzeit für das Konto aktiviert sein.
Die folgenden Beispiele zeigen, wie Sie die AWS CLI automatische Erkennung sensibler Daten für ein oder mehrere Konten in einer Organisation deaktivieren können. In diesem ersten Beispiel wird die automatische Erkennung für eine Organisation deaktiviert. Es deaktiviert die automatische Erkennung für das Macie-Administratorkonto und alle Mitgliedskonten in der Organisation.
```
$ aws macie2 update-automated-discovery-configuration --status DISABLED --region us-east-1
```
Wo *us-east-1* ist die Region, in der die automatische Erkennung sensibler Daten für die Organisation deaktiviert werden soll, die Region USA Ost (Nord-Virginia). Wenn die Anfrage erfolgreich ist, deaktiviert Macie die automatische Erkennung für die Organisation und gibt eine leere Antwort zurück.
In den nächsten Beispielen wird die automatische Erkennung sensibler Daten für zwei Mitgliedskonten in einer Organisation deaktiviert. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.
```
$ aws macie2 batch-update-automated-discovery-accounts \
--region us-east-1 \
--accounts '[{"accountId":"123456789012","status":"DISABLED"},{"accountId":"111122223333","status":"DISABLED"}]'
```
Dieses Beispiel ist für Microsoft Windows formatiert und verwendet das Zeilenfortsetzungszeichen Caret (^), um die Lesbarkeit zu verbessern.
```
C:\> aws macie2 batch-update-automated-discovery-accounts ^
--region us-east-1 ^
--accounts=[{\"accountId\":\"123456789012\",\"status\":\"DISABLED\"},{\"accountId\":\"111122223333\",\"status\":\"DISABLED\"}]
```
Wobei Folgendes gilt:
+ *us-east-1*ist die Region, in der die automatische Erkennung sensibler Daten für die angegebenen Konten deaktiviert werden soll, die Region USA Ost (Nord-Virginia).
+ *123456789012*und *111122223333* sind das Konto IDs für die Konten, für die die automatische Erkennung sensibler Daten deaktiviert werden soll.
Wenn die Anfrage für alle angegebenen Konten erfolgreich ist, gibt Macie ein leeres `errors` Array zurück. Wenn die Anfrage für einige Konten fehlschlägt, gibt das Array den Fehler an, der für jedes betroffene Konto aufgetreten ist. Beispiel:
```
"errors": [
{
"accountId": "123456789012",
"errorCode": "ACCOUNT_PAUSED"
}
]
```
In der vorherigen Antwort schlug die Anfrage für das angegebene Konto (`123456789012`) fehl, da Macie derzeit für das Konto gesperrt ist.
Wenn die Anfrage für alle Konten fehlschlägt, erhalten Sie eine Meldung, in der der aufgetretene Fehler beschrieben wird. Beispiel:
```
An error occurred (ConflictException) when calling the BatchUpdateAutomatedDiscoveryAccounts operation: Cannot modify account states
while auto-enable is set to ALL.
```
In der vorherigen Antwort schlug die Anfrage fehl, da die Einstellung zur Aktivierung von Mitgliedern für die Organisation derzeit so konfiguriert ist, dass die automatische Erkennung sensibler Daten für alle Konten aktiviert ist ()`ALL`. Um den Fehler zu beheben, muss der Macie-Administrator diese Einstellung zunächst in oder ändern. `NONE` `NEW` Weitere Informationen zu dieser Einstellung finden Sie unter [Aktivierung der automatisierten Erkennung sensibler Daten](discovery-asdd-account-enable.md).
------
# Überprüfung der Ergebnisse der automatisierten Erkennung sensibler Daten
Wenn die automatische Erkennung sensibler Daten aktiviert ist, generiert und verwaltet Amazon Macie automatisch zusätzliche Inventardaten, Statistiken und andere Informationen über die Allzweck-Buckets von Amazon Simple Storage Service (Amazon S3) für Ihr Konto. Wenn Sie der Macie-Administrator einer Organisation sind, umfasst dies standardmäßig S3-Buckets, die Ihren Mitgliedskonten gehören.
Die zusätzlichen Informationen erfassen die Ergebnisse automatisierter Aktivitäten zur Erkennung sensibler Daten, die Macie bisher durchgeführt hat. Es ergänzt auch andere Informationen, die Macie zu Ihren Amazon S3 S3-Daten bereitstellt, z. B. öffentliche Zugriffs- und Verschlüsselungseinstellungen für einzelne S3-Buckets. Zusätzlich zu Metadaten und Statistiken erstellt Macie Aufzeichnungen über die gefundenen sensiblen Daten und die durchgeführten Analysen — Ergebnisse *sensibler Daten und Ergebnisse* der Entdeckung *sensibler Daten*.
Da die automatische Erkennung sensibler Daten täglich voranschreitet, können Ihnen die folgenden Funktionen und Daten dabei helfen, die Ergebnisse zu überprüfen und auszuwerten:
+ [****Übersichts-Dashboard****](discovery-asdd-results-s3-dashboard.md) — Bietet aggregierte Statistiken für Ihren Amazon S3 S3-Datenbestand. Die Statistiken enthalten Daten für wichtige Kennzahlen wie die Gesamtzahl der Buckets, in denen Macie sensible Daten gefunden hat, und wie viele dieser Buckets öffentlich zugänglich sind. Sie melden auch Probleme, die sich auf die Abdeckung Ihrer Amazon S3 S3-Daten auswirken.
+ [****S3-Buckets-Heatmap****](discovery-asdd-results-s3-inventory-map.md) — Bietet eine interaktive, visuelle Darstellung der Datensensitivität in Ihrem gesamten Datenbestand, gruppiert AWS-Konto nach. Für jedes Konto enthält die Map aggregierte Sensitivitätsstatistiken und zeigt anhand von Farben den aktuellen Sensibilitätswert für jeden Bucket an, den das Konto besitzt. In der Karte werden außerdem Symbole verwendet, um Ihnen dabei zu helfen, Buckets zu identifizieren, die öffentlich zugänglich sind, von Macie nicht analysiert werden können und vieles mehr.
+ [**Tabelle mit **S3-Buckets****](discovery-asdd-results-s3-inventory-table.md) — Bietet zusammenfassende Informationen für jeden S3-Bucket in Ihrem Inventar. Für jeden Bucket enthält die Tabelle Daten wie den aktuellen Sensitivitätswert des Buckets, die Anzahl der Objekte, die Macie im Bucket analysieren kann, und ob Sie irgendwelche Discovery-Jobs für sensible Daten so konfiguriert haben, dass Objekte im Bucket regelmäßig analysiert werden. Sie können Daten aus der Tabelle in eine Datei mit kommagetrennten Werten (CSV) exportieren.
+ [****S3-Bucket-Details****](discovery-asdd-results-s3-inventory-details.md) — Stellt detaillierte Statistiken und Informationen zu einem S3-Bucket bereit. Zu den Details gehören eine Liste der Objekte, die Macie im Bucket analysiert hat, sowie eine Aufschlüsselung der Typen und der Anzahl der Vorkommen sensibler Daten, die Macie im Bucket gefunden hat. Dazu kommen Details zu Einstellungen, die sich auf die Sicherheit und den Datenschutz der Bucketdaten auswirken.
+ [**Ergebnisse sensibler Daten**](discovery-asdd-results-s3-findings.md) — Stellen Sie detaillierte Berichte über sensible Daten bereit, die Macie in einzelnen S3-Objekten gefunden hat. Zu den Einzelheiten gehören, wann Macie die sensiblen Daten gefunden hat, sowie die Art und Anzahl der Vorkommen der sensiblen Daten, die Macie gefunden hat. Die Details enthalten auch Informationen über den betroffenen S3-Bucket und das betroffene S3-Objekt, einschließlich der Einstellungen für den öffentlichen Zugriff des Buckets und wann das Objekt zuletzt geändert wurde.
+ [**Ergebnisse der Erkennung sensibler Daten**](discovery-asdd-results-s3-sddrs.md) — Stellen Sie Aufzeichnungen über die Analyse bereit, die Macie für einzelne S3-Objekte durchgeführt hat. Dazu gehören Objekte, in denen Macie keine sensiblen Daten findet, und Objekte, die Macie aufgrund von Problemen oder Fehlern nicht analysieren kann. Wenn Macie sensible Daten in einem Objekt findet, liefert das Ergebnis der Erkennung sensibler Daten Informationen über die vertraulichen Daten, die Macie gefunden hat.
Mit diesen Daten können Sie die Datensensitivität Ihres gesamten Amazon S3 S3-Datenbestands bewerten und einzelne S3-Buckets und Objekte detailliert auswerten und untersuchen. In Kombination mit den Informationen, die Macie zur Sicherheit und zum Datenschutz Ihrer Amazon S3 S3-Daten bereitstellt, können Sie auch Fälle identifizieren, in denen sofortige Abhilfemaßnahmen erforderlich sein könnten, z. B. ein öffentlich zugängliches Bucket, in dem Macie sensible Daten gefunden hat.
Zusätzliche Daten können Ihnen helfen, die Reichweite Ihrer Amazon S3 S3-Daten zu beurteilen und zu überwachen. Mithilfe von Daten zur Netzabdeckung können Sie den Status der Analysen für Ihren gesamten Datenbestand und einzelne darin enthaltene S3-Buckets überprüfen. Sie können auch Probleme identifizieren, die Macie daran gehindert haben, Objekte in bestimmten Buckets zu analysieren. Wenn Sie die Probleme beheben, können Sie die Abdeckung Ihrer Amazon S3 S3-Daten in nachfolgenden Analysezyklen erhöhen. Weitere Informationen finden Sie unter [Bewertung der Reichweite automatisierter Erkennung sensibler Daten](discovery-coverage.md).
**Topics**
+ [Überprüfung der Statistiken zur Datensensitivität im Übersichts-Dashboard](discovery-asdd-results-s3-dashboard.md)
+ [Visualisierung der Datensensitivität mit der S3-Buckets-Map](discovery-asdd-results-s3-inventory-map.md)
+ [Bewertung der Datensensitivität anhand der S3-Buckets-Tabelle](discovery-asdd-results-s3-inventory-table.md)
+ [Überprüfung der Details zur Datensensitivität für S3-Buckets](discovery-asdd-results-s3-inventory-details.md)
+ [Analyse der Ergebnisse der automatisierten Erkennung sensibler Daten](discovery-asdd-results-s3-findings.md)
+ [Der Zugriff auf Ermittlungsergebnisse aus der automatisierten Erkennung sensibler Daten](discovery-asdd-results-s3-sddrs.md)
# Überprüfung der Statistiken zur Datensensitivität im Übersichts-Dashboard
In der Amazon Macie Macie-Konsole bietet das **Übersichts-Dashboard** eine Momentaufnahme der aggregierten Statistiken und Ergebnisdaten für Ihre aktuellen Amazon Simple Storage Service (Amazon S3) -Daten. AWS-Region Es soll Ihnen helfen, den allgemeinen Sicherheitsstatus Ihrer Amazon S3 S3-Daten zu beurteilen.
Die Dashboard-Statistiken enthalten Daten für wichtige Sicherheitsmetriken wie die Anzahl der S3-Allzweck-Buckets, auf die öffentlich zugegriffen werden kann oder die mit anderen AWS-Konten geteilt werden. Das Dashboard zeigt auch Gruppen von aggregierten Ergebnisdaten für Ihr Konto an, z. B. die Buckets, die in den letzten sieben Tagen die meisten Ergebnisse generiert haben. Wenn Sie der Macie-Administrator einer Organisation sind, bietet das Dashboard aggregierte Statistiken und Daten für alle Konten in Ihrer Organisation. Sie können die Daten optional nach Konto filtern.
Wenn die automatische Erkennung sensibler Daten aktiviert ist, enthält das **Übersichts-Dashboard** zusätzliche Statistiken. Die Statistiken erfassen den Status und die Ergebnisse der automatisierten Erkennungsaktivitäten, die Macie bisher für Ihre Amazon S3 S3-Daten durchgeführt hat. Die folgende Abbildung zeigt ein Beispiel für diese Statistiken.
![\[Statistiken zur Erkennung sensibler Daten im Übersichts-Dashboard. Jede Statistik enthält Beispieldaten.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/scrn-summary-dashboard-sensitivity.png)
Die Statistiken sind hauptsächlich in zwei Abschnitte gegliedert: **Automatisierte Erkennung** und **Erfassungsprobleme**. Die Statistiken im Abschnitt **Automatisierte Erkennung** bieten einen Überblick über den aktuellen Status und die Ergebnisse der automatisierten Erkennung sensibler Daten. Die Statistiken im Abschnitt **Probleme mit der Abdeckung** geben Aufschluss darüber, ob Macie aufgrund von Problemen Objekte in einzelnen S3-Buckets nicht analysieren konnte. Die Statistiken enthalten keine Daten für Discovery-Jobs, die Sie erstellen und ausführen. Durch die Behebung von Deckungsproblemen bei der automatisierten Erkennung vertraulicher Daten wird jedoch wahrscheinlich auch die Abdeckung durch Jobs erhöht, die Sie anschließend ausführen.
**Topics**
+ [Das Dashboard anzeigen](#discovery-asdd-results-s3-dashboard-view)
+ [Grundlegendes zu den Statistiken im Dashboard](#discovery-asdd-results-s3-dashboard-statistics)
## Das Übersichts-Dashboard anzeigen
Gehen Sie wie folgt vor, um das **Übersichts-Dashboard** auf der Amazon Macie Macie-Konsole anzuzeigen. Verwenden Sie den [GetBucketStatistics](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3-statistics.html)Betrieb der Amazon Macie Macie-API, um die Statistiken programmgesteuert abzufragen.
**Um das Übersichts-Dashboard anzuzeigen**
1. Öffnen Sie die Amazon Macie Macie-Konsole unter [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/).
1. Wählen Sie im Navigationsbereich **Zusammenfassung** aus. Macie zeigt das **Übersichts-Dashboard** an.
1. Um die unterstützenden Daten für ein Element auf dem Dashboard aufzuschlüsseln und zu überprüfen, wählen Sie das Element aus.
Wenn Sie der Macie-Administrator einer Organisation sind, zeigt das Dashboard aggregierte Statistiken und Daten für Ihr Konto und Ihre Mitgliedskonten in Ihrer Organisation an. Um nur Daten für ein bestimmtes Konto anzuzeigen, geben Sie die ID des Kontos in das Feld **Konto** über dem Dashboard ein.
## Grundlegendes zu den Statistiken zur Entdeckung sensibler Daten im Übersichts-Dashboard
Das **Übersichts-Dashboard** enthält aggregierte Statistiken, mit denen Sie die automatische Erkennung sensibler Daten für Ihre Amazon S3 S3-Daten überwachen können. Es bietet eine Momentaufnahme des aktuellen Status und der Ergebnisse der Analysen für Ihre Amazon S3 S3-Daten in der aktuellen Version AWS-Region. Mithilfe von Dashboard-Statistiken können Sie beispielsweise schnell ermitteln, in wie vielen S3-Buckets Amazon Macie sensible Daten gefunden hat und wie viele dieser Buckets öffentlich zugänglich sind. Sie können auch die Reichweite Ihrer Amazon S3 S3-Daten beurteilen. Mithilfe von Reichweitenstatistiken können Sie Probleme identifizieren, die Macie daran hindern, Objekte in einzelnen S3-Buckets zu analysieren.
Auf dem Dashboard sind die Statistiken für die automatische Erkennung sensibler Daten in die folgenden Abschnitte unterteilt:
+ [Speicherung und Erkennung sensibler Daten](#discovery-asdd-results-s3-dashboard-storage-statistics)
+ [Automatisierte Erkennung](#discovery-asdd-results-s3-dashboard-sensitivity-statistics)
+ [Probleme mit der Berichterstattung](#discovery-asdd-results-s3-dashboard-coverage-statistics)
Die einzelnen Statistiken in den einzelnen Abschnitten lauten wie folgt. Informationen zu Statistiken in anderen Abschnitten des Dashboards finden Sie unter[Grundlegendes zu den Komponenten des Übersichts-Dashboards](monitoring-s3-dashboard.md#monitoring-s3-dashboard-components-main).
### Speicherung und Erkennung sensibler Daten
Am oberen Rand des Dashboards geben Statistiken an, wie viele Daten Sie in Amazon S3 speichern und wie viele dieser Daten Amazon Macie analysieren kann, um sensible Daten zu erkennen. Die folgende Abbildung zeigt ein Beispiel für diese Statistiken für eine Organisation mit sieben Konten.
![\[Der Bereich Speicher und Erkennung sensibler Daten im Dashboard. Jedes Feld enthält Beispieldaten.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/scrn-summary-dashboard-storage.png)
Die einzelnen Statistiken in diesem Abschnitt sind:
+ **Konten insgesamt** — Dieses Feld wird angezeigt, wenn Sie der Macie-Administrator einer Organisation sind oder ein eigenständiges Macie-Konto haben. Es gibt die Gesamtzahl AWS-Konten dieser eigenen Buckets in Ihrem Bucket-Inventar an. Wenn Sie ein Macie-Administrator sind, ist dies die Gesamtzahl der Macie-Konten, die Sie für Ihre Organisation verwalten. *Wenn Sie ein eigenständiges Macie-Konto haben, ist dieser Wert 1.*
**S3-Buckets insgesamt** — Dieses Feld wird angezeigt, wenn Sie ein Mitgliedskonto in einer Organisation haben. Es gibt die Gesamtzahl der Buckets für allgemeine Zwecke in Ihrem Inventar an, einschließlich Buckets, in denen keine Objekte gespeichert sind.
+ **Speicher** — Diese Statistiken geben Aufschluss über die Speichergröße der Objekte in Ihrem Bucket-Inventar:
+ **Klassifizierbar** — Die Gesamtspeichergröße aller Objekte, die Macie in den Buckets analysieren kann.
+ **Insgesamt** — Die Gesamtspeichergröße aller Objekte in den Buckets, einschließlich der Objekte, die Macie nicht analysieren kann.
Wenn es sich bei den Objekten um komprimierte Dateien handelt, geben diese Werte nicht die tatsächliche Größe dieser Dateien nach der Dekomprimierung wieder. Wenn die Versionsverwaltung für einen der Buckets aktiviert ist, basieren diese Werte auf der Speichergröße der neuesten Version jedes Objekts in diesen Buckets.
+ **Objekte** — Diese Statistiken liefern Informationen über die Anzahl der Objekte in Ihrem Bucket-Inventar:
+ **Klassifizierbar** — Die Gesamtzahl der Objekte, die Macie in den Buckets analysieren kann.
+ **Insgesamt** — Die Gesamtzahl der Objekte in den Buckets, einschließlich der Objekte, die Macie nicht analysieren kann.
In den obigen Statistiken sind Daten und Objekte *klassifizierbar*, wenn sie eine unterstützte Amazon S3 S3-Speicherklasse verwenden und eine Dateinamenerweiterung für ein unterstütztes Datei- oder Speicherformat haben. Mithilfe von Macie können Sie sensible Daten in den Objekten erkennen. Weitere Informationen finden Sie unter [Unterstützte Speicherklassen und Formate](discovery-supported-storage.md).
Beachten Sie, dass die **Speicher** - und **Objektstatistiken** keine Daten über Objekte in Buckets enthalten, auf die Macie nicht zugreifen darf. Um Bereiche zu identifizieren, in denen dies der Fall ist, wählen Sie die Statistik **Zugriff verweigert** im Bereich **Coverage issues des Dashboards** aus.
### Automatisierte Erkennung
In diesem Abschnitt werden der Status und die Ergebnisse der automatisierten Erkennungsaktivitäten erfasst, die Amazon Macie bisher für Ihre Amazon S3 S3-Daten durchgeführt hat. Die folgende Abbildung zeigt ein Beispiel für die Statistiken, die dieser Abschnitt enthält.
![\[Der Bereich Automatisierte Erkennung des Dashboards. Ein Diagramm und verwandte Felder enthalten Beispieldaten.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/scrn-summary-dashboard-asdd.png)
Die einzelnen Statistiken in diesem Abschnitt lauten wie folgt.
**Gesamtzahl der Buckets**
Das Donut-Diagramm gibt die Gesamtzahl der Buckets in Ihrem Bucketbestand an. Das Diagramm gruppiert die Buckets auf der Grundlage der aktuellen Sensitivitätsbewertung der einzelnen Buckets in Kategorien:
+ **Sensitiv** *(*rot*) — Die Gesamtzahl der Buckets, deren Sensitivitätswert zwischen *51* und 100 liegt.*
+ **Nicht empfindlich** *(*blau*) — Die Gesamtzahl der Buckets, deren Sensitivitätswert zwischen *1* und 49 liegt.*
+ **Noch nicht analysiert** *(*hellgrau*) — Die Gesamtzahl der Buckets, deren Sensitivitätswert 50 ist.*
+ **Klassifizierungsfehler** *(*dunkelgrau*) — Die Gesamtzahl der Buckets, deren Sensitivitätswert -1 ist.*
Einzelheiten zum Bereich der Sensitivitätswerte und Bezeichnungen, die Macie definiert, finden Sie unter. [Empfindlichkeitsbewertung für S3-Buckets](discovery-scoring-s3.md)
Um zusätzliche Statistiken für eine Gruppe anzuzeigen, bewegen Sie den Mauszeiger über die Gruppe:
+ **Buckets** — Die Gesamtzahl der Buckets.
+ **Öffentlich zugänglich** — Die Gesamtzahl der Buckets, die der Öffentlichkeit Lese- oder Schreibzugriff auf den Bucket ermöglichen.
+ **Klassifizierbare Byte** — Die Gesamtspeichergröße aller Objekte, die Macie in den Buckets analysieren kann. Diese Objekte verwenden unterstützte Amazon S3 S3-Speicherklassen und haben Dateinamenerweiterungen für unterstützte Datei- oder Speicherformate. Weitere Informationen finden Sie unter [Unterstützte Speicherklassen und Formate](discovery-supported-storage.md).
+ **Byte insgesamt** — Die Gesamtspeichergröße aller Buckets.
In den vorherigen Statistiken basieren die Speichergrößenwerte auf der Speichergröße der neuesten Version jedes Objekts in den Buckets. Wenn es sich bei den Objekten um komprimierte Dateien handelt, geben diese Werte nicht die tatsächliche Größe dieser Dateien nach der Dekomprimierung wieder.
**Sensibel**
Dieser Bereich gibt die Gesamtzahl der Buckets an, für die derzeit eine Sensitivitätsbewertung zwischen *51* und *100* vorliegt. Innerhalb dieser Gruppe gibt **Öffentlich zugänglich** die Gesamtzahl der Buckets an, die auch der Öffentlichkeit Lese- oder Schreibzugriff auf den Bucket ermöglichen.
**Nicht sensibel**
Dieser Bereich gibt die Gesamtzahl der Buckets an, für die derzeit eine Sensitivitätsbewertung zwischen *1* und *49* vorliegt. Innerhalb dieser Gruppe gibt **Öffentlich zugänglich** die Gesamtzahl der Buckets an, die auch der Öffentlichkeit Lese- oder Schreibzugriff auf den Bucket ermöglichen.
Um Werte für **öffentlich zugängliche** Statistiken zu ermitteln und zu berechnen, analysiert Macie für jeden Bucket eine Kombination von Einstellungen auf Konto- und Bucket-Ebene, wie z. B. die Einstellungen zum Sperren des öffentlichen Zugriffs für das Konto und den Bucket und die Bucket-Richtlinie für den Bucket. Macie tut dies für bis zu 10.000 Buckets für ein Konto. Weitere Informationen finden Sie unter [Wie Macie die Amazon S3 S3-Datensicherheit überwacht](monitoring-s3-how-it-works.md).
Beachten Sie, dass die Statistiken im Abschnitt **Automatisierte Erkennung** nicht die Ergebnisse von Discovery-Jobs für sensible Daten enthalten, die Sie erstellen und ausführen.
### Probleme mit der Abdeckung
In diesem Abschnitt geben Statistiken an, ob bestimmte Arten von Problemen Amazon Macie daran gehindert haben, Objekte in einzelnen S3-Buckets zu analysieren. Die folgende Abbildung zeigt ein Beispiel für die Statistiken, die dieser Abschnitt bietet.
![\[Der Abschnitt „Probleme mit der Berichterstattung“ des Dashboards. Jedes Feld enthält Beispieldaten.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/scrn-summary-dashboard-coverage.png)
Die einzelnen Statistiken in diesem Abschnitt sind:
+ **Zugriff verweigert** — Die Gesamtzahl der Buckets, auf die Macie nicht zugreifen darf. Macie kann keine Objekte in diesen Buckets analysieren. Die Berechtigungseinstellungen der Buckets verhindern, dass Macie auf die Buckets und die Objekte der Buckets zugreift.
+ **Klassifizierungsfehler** — Die Gesamtzahl der Buckets, die Macie aufgrund von Klassifizierungsfehlern auf Objektebene noch nicht analysiert hat. Macie hat versucht, ein oder mehrere Objekte in diesen Buckets zu analysieren. Macie konnte die Objekte jedoch aufgrund von Problemen mit den Berechtigungseinstellungen auf Objektebene, dem Objektinhalt oder den Kontingenten nicht analysieren.
+ **Nicht klassifizierbar** — Die Gesamtzahl der Buckets, in denen keine klassifizierbaren Objekte gespeichert sind. Macie kann keine Objekte in diesen Buckets analysieren. Alle Objekte verwenden Amazon S3 S3-Speicherklassen, die Macie nicht unterstützt, oder sie haben Dateinamenerweiterungen für Datei- oder Speicherformate, die Macie nicht unterstützt.
Wählen Sie den Wert für eine Statistik aus, um zusätzliche Details und gegebenenfalls Hinweise zur Problembehebung anzuzeigen. Wenn Sie Zugriffsprobleme und Klassifizierungsfehler beheben, können Sie die Abdeckung Ihrer Amazon S3 S3-Daten in nachfolgenden Analysezyklen erhöhen. Weitere Informationen finden Sie unter [Bewertung der Reichweite automatisierter Erkennung sensibler Daten](discovery-coverage.md).
Beachten Sie, dass die Statistiken im Abschnitt **Probleme mit der Abdeckung** nicht ausdrücklich Daten für Discovery-Jobs enthalten, die Sie erstellen und ausführen. Durch die Behebung von Deckungsproblemen, die sich auf die automatische Erkennung vertraulicher Daten auswirken, wird jedoch wahrscheinlich auch die Abdeckung durch Jobs erhöht, die Sie anschließend ausführen.
# Visualisierung der Datensensitivität mit der S3-Buckets-Map
Auf der Amazon Macie Macie-Konsole bietet die **S3-Buckets-Heatmap** eine interaktive, visuelle Darstellung der Datensensitivität in Ihrem gesamten Amazon Simple Storage Service (Amazon S3) -Datenbestand. Es erfasst die Ergebnisse automatisierter Aktivitäten zur Erkennung sensibler Daten, die Macie bisher für Ihre aktuellen AWS-Region Amazon S3 S3-Daten durchgeführt hat.
Wenn Sie der Macie-Administrator einer Organisation sind, enthält die Map Ergebnisse für S3-Buckets, die Ihren Mitgliedskonten gehören. Die Daten sind nach der Konto-ID gruppiert AWS-Konto und sortiert, wie in der folgenden Abbildung dargestellt.
![\[Die Karte der S3-Buckets. Sie zeigt verschiedenfarbige Quadrate, eines für jeden Bucket, gruppiert nach Konten.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/scrn-s3-map-small.png)
Auf der Karte werden Daten für bis zu 100 S3-Buckets für jedes Konto angezeigt. Um Daten für alle Buckets anzuzeigen, können Sie [zur Tabellenansicht wechseln](discovery-asdd-results-s3-inventory-table.md) und die Daten stattdessen im Tabellenformat überprüfen.
Um die Karte anzuzeigen, wählen Sie im Navigationsbereich der Konsole **S3-Buckets** aus. Wählen Sie dann oben auf der Seite Karte (![\[The map view button, which is a button that displays four black squares.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/btn-s3-map-view.png)). Die Karte ist nur verfügbar, wenn die automatische Erkennung sensibler Daten derzeit aktiviert ist. Sie enthält nicht die Ergebnisse von Aufträgen zur Erkennung sensibler Daten, die Sie erstellen und ausführen.
**Topics**
+ [Interpretieren von Daten in der S3-Buckets-Map](#discovery-asdd-results-s3-inventory-map-legend)
+ [Interaktion mit der S3-Buckets-Map](#discovery-asdd-results-s3-inventory-map-use)
## Interpretieren von Daten in der S3-Buckets-Map
In der **S3-Buckets-Map** steht jedes Quadrat für einen S3-Allzweck-Bucket in Ihrem Bucket-Inventar. Die Farbe eines Quadrats steht für den aktuellen Sensitivitätswert eines Buckets, der den Schnittpunkt zweier primärer Dimensionen misst: die Menge vertraulicher Daten, die Macie in dem Bucket gefunden hat, und die Datenmenge, die Macie in dem Bucket analysiert hat. Die Intensität des Farbtons gibt an, wo ein Wert innerhalb eines Bereichs von Datensensitivitätswerten liegt, wie in der folgenden Abbildung dargestellt.
![\[Das Farbspektrum für Empfindlichkeitswerte: Blautöne für 1—49, Rottöne für 51-100 und Grau für -1.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/sensitivity-scoring-spectrum.png)
Im Allgemeinen können Sie die Farb- und Farbtonintensität wie folgt interpretieren:
+ **Blau** — Wenn der aktuelle Empfindlichkeitswert eines Buckets zwischen *1* und *49* liegt, ist das Quadrat des Buckets blau und das Empfindlichkeitslabel des Buckets ist **Nicht sensitiv**. Die Intensität des blauen Farbtons spiegelt die Anzahl der eindeutigen Objekte, die Macie im Bucket analysiert hat, im Verhältnis zur Gesamtzahl der eindeutigen Objekte im Bucket wider. Ein dunklerer Farbton weist auf einen niedrigeren Sensitivitätswert hin.
+ **Keine Farbe** — Wenn der aktuelle Sensitivitätswert eines Buckets *50* ist, ist das Quadrat des Buckets nicht farbig und das Sensitivitätslabel des Buckets ist **noch nicht analysiert**. Darüber hinaus hat das Quadrat einen gestrichelten Rand.
+ **Rot** — Wenn der aktuelle Empfindlichkeitswert eines Buckets zwischen *51* und *100* liegt, ist das Quadrat des Buckets rot und das Empfindlichkeitslabel des Buckets ist **Sensitiv**. Die Intensität des roten Farbtons spiegelt die Menge sensibler Daten wider, die Macie im Bucket gefunden hat. Ein dunklerer Farbton weist auf einen höheren Sensitivitätswert hin.
+ **Grau** — Wenn der aktuelle Sensitivitätswert eines Buckets *-1* ist, ist das Quadrat des Buckets dunkelgrau und die Sensitivitätsbezeichnung des Buckets lautet **Classification error**. Die Farbtonintensität variiert nicht.
Einzelheiten zu den von Macie definierten Empfindlichkeitswerten und Bezeichnungen finden Sie unter[Empfindlichkeitsbewertung für S3-Buckets](discovery-scoring-s3.md).
In der Karte kann das Quadrat für einen S3-Bucket auch ein Symbol enthalten. Das Symbol weist auf einen Fehler, ein Problem oder eine andere Art von Überlegung hin, die sich auf Ihre Einschätzung der Sensitivität eines Buckets auswirken könnte. Ein Symbol kann auch auf ein potenzielles Problem mit der Sicherheit des Buckets hinweisen, z. B. wenn der Bucket öffentlich zugänglich ist. In der folgenden Tabelle sind die Symbole aufgeführt, mit denen Macie Sie über diese Fälle informiert.
| Symbol | Definition | Description |
| --- | --- | --- |
| ![\[The Access denied symbol, which is a gray exclamation point.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/icon-map-access-denied.png) | Zugriff verweigert | Macie darf nicht auf den Bucket oder die Objekte des Buckets zugreifen. Folglich kann Macie keine Objekte im Bucket analysieren. Dieses Problem tritt normalerweise auf, weil für einen Bucket eine restriktive Bucket-Richtlinie gilt. Informationen zur Behebung dieses Problems finden Sie unter[Macie darf auf S3-Buckets und -Objekte zugreifen](monitoring-restrictive-s3-buckets.md). |
| ![\[The Publicly accessible symbol, which is a solid, gray, upward-facing arrow.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/icon-map-publicly-accessible.png) | Öffentlich zugänglich | Die allgemeine Öffentlichkeit hat Lese- oder Schreibzugriff auf den Bucket. Um diese Entscheidung zu treffen, analysiert Macie eine Kombination von Einstellungen für jeden Bucket, z. B. die Einstellungen zum Sperren des öffentlichen Zugriffs für das Konto und den Bucket sowie die Bucket-Richtlinie für den Bucket. Macie kann dies für bis zu 10.000 Buckets pro Konto tun. Weitere Informationen finden Sie unter [Wie Macie die Amazon S3 S3-Datensicherheit überwacht](monitoring-s3-how-it-works.md). |
| ![\[The Unclassifiable symbol, which is a gray question mark.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/icon-map-unclassifiable.png) | Nicht klassifizierbar | Macie kann keine Objekte im Bucket analysieren. Alle Objekte des Buckets verwenden Amazon S3 S3-Speicherklassen, die Macie nicht unterstützt, oder sie haben Dateinamenerweiterungen für Datei- oder Speicherformate, die Macie nicht unterstützt. Damit Macie ein Objekt analysieren kann, muss das Objekt eine unterstützte Speicherklasse verwenden und eine Dateinamenerweiterung für ein unterstütztes Datei- oder Speicherformat haben. Weitere Informationen finden Sie unter [Unterstützte Speicherklassen und Formate](discovery-supported-storage.md). |
| ![\[The Zero bytes symbol, which is the number zero.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/icon-map-zero-bytes.png) | Null Byte | Der Bucket speichert keine Objekte, die Macie analysieren könnte. Der Bucket ist leer oder alle Objekte im Bucket enthalten null (0) Datenbytes. |
## Interaktion mit der S3-Buckets-Map
Bei der Überprüfung der **S3-Buckets-Map können Sie auf unterschiedliche Weise mit ihr interagieren, um zusätzliche Daten und Details für einzelne Konten und Buckets** aufzudecken und auszuwerten. Gehen Sie wie folgt vor, um die Karte anzuzeigen und die verschiedenen Funktionen zu nutzen, die sie bietet.
**Um mit der S3-Buckets-Map zu interagieren**
1. Öffnen Sie die Amazon Macie Macie-Konsole unter [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/).
1. Wählen Sie im Navigationsbereich **S3-Buckets** aus. Auf der Seite **S3-Buckets** wird eine Übersicht Ihres Bucket-Inventars angezeigt. Wenn auf der Seite Ihr Inventar stattdessen im Tabellenformat angezeigt wird, wählen Sie oben auf der Seite Karte (![\[The map view button, which is a button that displays four black squares.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/btn-s3-map-view.png)) aus.
Standardmäßig zeigt die Karte keine Daten für Buckets an, die derzeit von der automatischen Erkennung sensibler Daten ausgeschlossen sind. Wenn Sie der Macie-Administrator einer Organisation sind, werden auch keine Daten für Konten angezeigt, für die die automatische Erkennung vertraulicher Daten derzeit deaktiviert ist. **Um diese Daten anzuzeigen, wählen Sie im Filtertoken **Wird durch automatische Erkennung überwacht** unter dem Filter die Option X.**
1. Wählen Sie oben auf der Seite optional refresh (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/btn-refresh-data.png)), um die neuesten Bucket-Metadaten von Amazon S3 abzurufen.
1. Führen Sie in der **S3-Buckets-Map** einen der folgenden Schritte aus:
+ Anhand der farbigen Markierungen direkt unter einer ID können Sie ermitteln, wie viele Buckets ein bestimmtes Sensibilitätslabel haben. AWS-Konto Die Badges zeigen die aggregierte Anzahl der Buckets an, aufgeschlüsselt nach Vertraulichkeitslabel.
**Das rote Badge gibt beispielsweise die Gesamtzahl der Buckets an, die dem Konto gehören und die Kennzeichnung „Vertraulich“ tragen.** *Der Sensibilitätswert für diese Buckets reicht von *51 bis 100*.* Das blaue Abzeichen gibt die Gesamtzahl der Buckets an, die dem Konto gehören und die Kennzeichnung **Nicht vertraulich** tragen. *Der Sensibilitätswert für diese Buckets reicht von *1 bis 49.**
+ Um eine Teilmenge der Informationen zu einem Bucket zu überprüfen, bewegen Sie den Mauszeiger über das Quadrat des Buckets. In einem Popover werden der Name des Buckets und die aktuelle Vertraulichkeitsbewertung angezeigt.
Das Popover zeigt auch die Gesamtzahl der Objekte, die Macie im Bucket analysieren kann, sowie die Gesamtspeichergröße der neuesten Version dieser Objekte an. *Diese Objekte sind klassifizierbar.* Sie verwenden unterstützte Amazon S3 S3-Speicherklassen und haben Dateinamenerweiterungen für unterstützte Datei- oder Speicherformate. Weitere Informationen finden Sie unter [Unterstützte Speicherklassen und Formate](discovery-supported-storage.md).
+ Um die Map zu filtern und nur die Buckets anzuzeigen, die einen bestimmten Wert für ein Feld haben, platzieren Sie den Cursor in das Filterfeld und fügen Sie dann eine Filterbedingung für das Feld hinzu. Macie wendet die Kriterien der Bedingung an und zeigt die Bedingung unter dem Filterfeld an. Um die Ergebnisse weiter zu verfeinern, fügen Sie Filterbedingungen für weitere Felder hinzu. Weitere Informationen finden Sie unter [Filterung Ihres S3-Bucket-Inventars](monitoring-s3-inventory-filter.md).
+ Um eine Aufschlüsselung durchzuführen und nur die Buckets anzuzeigen, die einem bestimmten Konto gehören, wählen Sie die Konto-ID für das Konto aus. Macie öffnet eine neue Registerkarte, auf der nur Daten für dieses Konto gefiltert und angezeigt werden.
1. Um Statistiken zur Datensensitivität und andere Informationen für einen bestimmten Bereich zu überprüfen, wählen Sie das Quadrat des Buckets aus. Sehen Sie sich dann das Detailfenster an. Informationen zu diesen Details finden Sie unter[Überprüfung der Details zur Datensensitivität für S3-Buckets](discovery-asdd-results-s3-inventory-details.md).
**Tipp**
Auf der Registerkarte „**Bucket-Details**“ des Fensters können Sie viele Felder per Pivot und Drilldown betrachten. Um Buckets anzuzeigen, die denselben Wert für ein Feld haben, wählen Sie ![\[The zoom in icon, which is a magnifying glass that has a plus sign in it.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/icon-magnifying-glass-plus-sign.png) in dem Feld die Option. Um Buckets anzuzeigen, die andere Werte für ein Feld haben, wählen Sie ![\[The zoom out icon, which is a magnifying glass that has a minus sign in it.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/icon-magnifying-glass-minus-sign.png) in dem Feld aus.
# Bewertung der Datensensitivität anhand der S3-Buckets-Tabelle
Um die zusammenfassenden Informationen für Ihre Amazon Simple Storage Service (Amazon S3) -Buckets zu überprüfen, können Sie die **S3-Buckets-Tabelle** auf der Amazon Macie Macie-Konsole verwenden. Mithilfe der Tabelle können Sie einen aktuellen AWS-Region Bestand Ihrer Allzweck-Buckets überprüfen und analysieren und detaillierte Informationen und Statistiken für einzelne Buckets abrufen. Wenn Sie der Macie-Administrator einer Organisation sind, enthält die Tabelle Informationen zu Buckets, die Ihren Mitgliedskonten gehören. Wenn Sie lieber programmgesteuert auf die Daten zugreifen und sie abfragen möchten, können Sie den [DescribeBuckets](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3.html)Betrieb der Amazon Macie Macie-API verwenden.
Auf der Konsole können Sie die Tabelle sortieren und filtern, um Ihre Ansicht anzupassen. Sie können auch Daten aus der Tabelle in eine Datei mit kommagetrennten Werten (CSV) exportieren. Wenn Sie in der Tabelle einen S3-Bucket auswählen, werden im Detailbereich zusätzliche Informationen zum Bucket angezeigt. Dazu gehören Details und Statistiken für Einstellungen und Metriken, die Aufschluss über die Sicherheit und den Datenschutz der Bucket-Daten geben. Wenn die automatische Erkennung sensibler Daten aktiviert ist, umfasst sie auch Daten, die die Ergebnisse der automatisierten Erkennungsaktivitäten erfassen, die Macie bisher für den Bucket durchgeführt hat.
**Um die Datensensitivität anhand der S3-Buckets-Tabelle zu bewerten**
1. Öffnen Sie die Amazon Macie Macie-Konsole unter [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/).
1. Wählen Sie im Navigationsbereich **S3-Buckets** aus. Auf der Seite **S3-Buckets** wird Ihr Bucket-Inventar angezeigt.
Standardmäßig werden auf der Seite keine Daten für Buckets angezeigt, die derzeit von der automatischen Erkennung sensibler Daten ausgeschlossen sind. Wenn Sie der Macie-Administrator einer Organisation sind, werden dort auch keine Daten für Konten angezeigt, für die die automatische Erkennung sensibler Daten derzeit deaktiviert ist. **Um diese Daten anzuzeigen, wählen Sie im Filtertoken **Wird durch automatische Erkennung überwacht** unter dem Filter die Option X.**
1. Wählen Sie oben auf der Seite Tabelle (![\[The table view button, which is a button that displays three black horizontal lines.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/btn-s3-table-view.png)) aus. Macie zeigt die Anzahl der Buckets in Ihrem Inventar und eine Tabelle der Buckets an.
1. Um die neuesten Bucket-Metadaten von Amazon S3 abzurufen, wählen Sie oben auf der Seite refresh (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/btn-refresh-data.png)).
Wenn das Informationssymbol (![\[The information icon, which is a blue circle that has a lowercase letter i in it.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/icon-info-blue.png)) neben Bucket-Namen angezeigt wird, empfehlen wir Ihnen, dies zu tun. Dieses Symbol weist darauf hin, dass in den letzten 24 Stunden ein Bucket erstellt wurde, möglicherweise nachdem Macie im Rahmen des [täglichen Aktualisierungszyklus](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh) das letzte Mal Bucket- und Objektmetadaten von Amazon S3 abgerufen hat.
1. In der Tabelle mit den **S3-Buckets** finden Sie die zusammenfassenden Informationen zu jedem Bucket in Ihrem Inventar:
+ **Sensitivität** — Der aktuelle Sensitivitätswert des Buckets. Informationen über den von Macie definierten Bereich der Sensitivitätswerte finden Sie unter[Sensitivitätsbewertung für S3-Buckets](discovery-scoring-s3.md).
+ **Bucket** — Der Name des Buckets.
+ **Konto** — Die Konto-ID für den AWS-Konto , dem der Bucket gehört.
+ **Klassifizierbare Objekte** — Die Gesamtzahl der Objekte, die Macie analysieren kann, um sensible Daten im Bucket zu erkennen.
+ **Klassifizierbare Größe** — Die Gesamtspeichergröße aller Objekte, die Macie analysieren kann, um sensible Daten im Bucket zu erkennen.
Dieser Wert gibt nicht die tatsächliche Größe komprimierter Objekte nach der Dekomprimierung wieder. Wenn die Versionierung für den Bucket aktiviert ist, basiert dieser Wert außerdem auf der Speichergröße der neuesten Version jedes Objekts im Bucket.
+ **Auftragsweise überwacht** — Gibt an, ob Sie irgendwelche Discovery-Jobs für sensible Daten so konfiguriert haben, dass Objekte im Bucket regelmäßig täglich, wöchentlich oder monatlich analysiert werden.
Wenn der Wert für dieses Feld *Ja* lautet, ist der Bucket explizit in einem periodischen Job enthalten oder der Bucket hat innerhalb der letzten 24 Stunden die Kriterien für einen periodischen Job erfüllt. Darüber hinaus lautet der Status von mindestens einem dieser Jobs nicht *Storniert*. Macie aktualisiert diese Daten täglich.
+ **Letzte Auftragsausführung** — Wenn Sie einmalige oder regelmäßige Discovery-Jobs für sensible Daten zur Analyse von Objekten im Bucket konfiguriert haben, gibt dieses Feld das Datum und die Uhrzeit an, zu der einer dieser Jobs zuletzt gestartet wurde. Andernfalls erscheint in diesem Feld ein Bindestrich (—).
In den obigen Daten sind Objekte *klassifizierbar*, wenn sie eine unterstützte Amazon S3 S3-Speicherklasse verwenden und eine Dateinamenerweiterung für ein unterstütztes Datei- oder Speicherformat haben. Mithilfe von Macie können Sie sensible Daten in den Objekten erkennen. Weitere Informationen finden Sie unter [Unterstützte Speicherklassen und Formate](discovery-supported-storage.md).
1. Gehen Sie wie folgt vor, um Ihr Inventar anhand der Tabelle zu analysieren:
+ Um die Tabelle nach einem bestimmten Feld zu sortieren, wählen Sie die Spaltenüberschrift für das Feld aus. Um die Sortierreihenfolge zu ändern, wählen Sie erneut die Spaltenüberschrift aus.
+ Um die Tabelle zu filtern und nur die Buckets anzuzeigen, die einen bestimmten Wert für ein Feld haben, platzieren Sie den Cursor in das Filterfeld und fügen Sie dann eine Filterbedingung für das Feld hinzu. Um die Ergebnisse weiter zu verfeinern, fügen Sie Filterbedingungen für weitere Felder hinzu. Weitere Informationen finden Sie unter [Filterung Ihres S3-Bucket-Inventars](monitoring-s3-inventory-filter.md).
+ Um Statistiken zur Datensensitivität und andere Informationen für einen bestimmten Bucket zu überprüfen, wählen Sie den Namen des Buckets aus. Sehen Sie sich dann das Detailfenster an. Informationen zu diesen Details finden Sie unter[Überprüfung der S3-Bucket-Details](discovery-asdd-results-s3-inventory-details.md).
**Tipp**
Auf der Registerkarte „**Bucket-Details**“ des Fensters können Sie viele Felder per Pivot und Drilldown betrachten. Um Buckets anzuzeigen, die denselben Wert für ein Feld haben, wählen Sie ![\[The zoom in icon, which is a magnifying glass that has a plus sign in it.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/icon-magnifying-glass-plus-sign.png) in dem Feld die Option. Um Buckets anzuzeigen, die andere Werte für ein Feld haben, wählen Sie ![\[The zoom out icon, which is a magnifying glass that has a minus sign in it.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/icon-magnifying-glass-minus-sign.png) in dem Feld aus.
1. Um Daten aus der Tabelle in eine CSV-Datei zu exportieren, aktivieren Sie das Kontrollkästchen für jede zu exportierende Zeile oder aktivieren Sie das Kontrollkästchen in der Überschrift der Auswahlspalte, um alle Zeilen auszuwählen. Wählen Sie dann oben auf der Seite In **CSV exportieren** aus. Sie können bis zu 50.000 Zeilen aus der Tabelle exportieren.
1. Um eine tiefere und unmittelbarere Analyse von Objekten in einem oder mehreren Buckets durchzuführen, aktivieren Sie das Kontrollkästchen für jeden Bucket. Wählen Sie dann **Auftrag erstellen** aus. Weitere Informationen finden Sie unter [Erstellen einer Aufgabe zur Erkennung vertraulicher Daten](discovery-jobs-create.md).
# Überprüfung der Details zur Datensensitivität für S3-Buckets
Während die automatische Erkennung sensibler Daten voranschreitet, können Sie detaillierte Ergebnisse in Statistiken und anderen Informationen überprüfen, die Amazon Macie zu jedem Ihrer Amazon Simple Storage Service (Amazon S3) -Buckets bereitstellt. Wenn Sie der Macie-Administrator einer Organisation sind, schließt dies auch Buckets ein, die Ihren Mitgliedskonten gehören.
Die Statistiken und Informationen enthalten Details, die Aufschluss über die Sicherheit und den Datenschutz der Daten eines S3-Buckets geben. Sie erfassen auch die Ergebnisse automatisierter Aktivitäten zur Erkennung sensibler Daten, die Macie bisher für einen Bucket durchgeführt hat. In einem Bucket finden Sie beispielsweise eine Liste von Objekten, die Macie analysiert hat. Sie finden dort auch eine Aufschlüsselung der Typen und der Anzahl der Vorkommen sensibler Daten, die Macie in einem Bucket gefunden hat. Beachten Sie, dass diese Daten nicht die Ergebnisse von Discovery-Jobs für sensible Daten enthalten, die Sie erstellen und ausführen.
Macie berechnet und aktualisiert Statistiken und Details für Ihre S3-Buckets automatisch neu und führt gleichzeitig die automatische Erkennung sensibler Daten durch. Beispiel:
+ Wenn Macie keine sensiblen Daten in einem S3-Objekt findet, senkt Macie den Vertraulichkeitswert des Buckets und aktualisiert das Vertraulichkeitslabel des Buckets nach Bedarf. Macie fügt das Objekt auch der Liste der Objekte hinzu, die es für die Analyse ausgewählt hat.
+ Wenn Macie sensible Daten in einem S3-Objekt findet, fügt Macie diese Vorkommen der Aufschlüsselung der sensiblen Datentypen hinzu, die Macie im Bucket gefunden hat. Macie erhöht außerdem den Sensitivitätswert des Buckets und aktualisiert bei Bedarf das Sensitivitätslabel des Buckets. Darüber hinaus fügt Macie das Objekt der Liste der Objekte hinzu, die es für die Analyse ausgewählt hat. Diese Aufgaben umfassen zusätzlich zur Erstellung eines Findens sensibler Daten für das Objekt.
+ Wenn Macie sensible Daten in einem S3-Objekt findet, das anschließend geändert oder gelöscht wurde, entfernt Macie vertrauliche Datenvorkommen für das Objekt aus der Aufschlüsselung sensibler Datentypen im Bucket. Macie senkt außerdem den Sensitivitätswert des Buckets und aktualisiert bei Bedarf das Sensitivitätslabel des Buckets. Darüber hinaus entfernt Macie das Objekt aus der Liste der Objekte, die es für die Analyse ausgewählt hat.
+ Wenn Macie versucht, ein S3-Objekt zu analysieren, aber ein Problem oder ein Fehler die Analyse verhindert, fügt Macie das Objekt der Liste der für die Analyse ausgewählten Objekte hinzu und gibt an, dass das Objekt nicht analysiert werden konnte.
Wenn Sie der Macie-Administrator einer Organisation sind oder über ein eigenständiges Macie-Konto verfügen, können Sie diese Informationen optional verwenden, um bestimmte automatische Erkennungseinstellungen für einen S3-Bucket zu bewerten und anzupassen. Sie können beispielsweise bestimmte Arten sensibler Daten in die Bewertung eines Buckets aufnehmen oder daraus ausschließen. Weitere Informationen finden Sie unter [Anpassen der Empfindlichkeitswerte für S3-Buckets](discovery-asdd-s3bucket-manage.md).
**Um die Details zur Datensensitivität für einen S3-Bucket zu überprüfen**
Um die Datensensitivität und andere Details für einen S3-Bucket zu überprüfen, können Sie die Amazon Macie Macie-Konsole oder die Amazon Macie Macie-API verwenden. Auf der Konsole bietet das Detailfenster einen zentralen Zugriff auf diese Informationen. Mit der API können Sie die Daten programmgesteuert abrufen und verarbeiten.
------
#### [ Console ]
Gehen Sie wie folgt vor, um die Datensensitivität und andere Details für einen S3-Bucket mithilfe der Amazon Macie Macie-Konsole zu überprüfen.
**Um die Details für einen S3-Bucket zu überprüfen**
1. Öffnen Sie die Amazon Macie Macie-Konsole unter [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/).
1. Wählen Sie im Navigationsbereich **S3-Buckets** aus. Auf der Seite **S3-Buckets** wird eine interaktive Karte Ihres Bucket-Inventars angezeigt. Wählen Sie optional Tabelle (![\[The table view button, which is a button that displays three black horizontal lines.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/btn-s3-table-view.png)) oben auf der Seite aus, um Ihr Inventar stattdessen in tabellarischer Form anzuzeigen.
Standardmäßig werden auf der Seite keine Daten für Buckets angezeigt, die derzeit von der automatischen Erkennung sensibler Daten ausgeschlossen sind. Wenn Sie der Macie-Administrator einer Organisation sind, werden dort auch keine Daten für Konten angezeigt, für die die automatische Erkennung sensibler Daten derzeit deaktiviert ist. **Um diese Daten anzuzeigen, wählen Sie im Filtertoken **Wird durch automatische Erkennung überwacht** unter dem Filter die Option X.**
1. Um die neuesten Bucket-Metadaten von Amazon S3 abzurufen, wählen Sie oben auf der Seite refresh (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/btn-refresh-data.png)).
1. Wählen Sie den Bucket aus, dessen Details Sie überprüfen möchten. Im Bereich „Details“ werden Statistiken zur Datensensitivität und andere Informationen zum Bucket angezeigt.
Im oberen Bereich des Fensters werden allgemeine Informationen zum Bucket angezeigt: der Name des Buckets, die Konto-ID des Buckets AWS-Konto , dem der Bucket gehört, und der aktuelle Sensibilitätswert des Buckets. Wenn Sie ein Macie-Administrator sind oder ein eigenständiges Macie-Konto haben, bietet es auch Optionen zum Ändern bestimmter Einstellungen für die automatische Erkennung für den Bucket. Zusätzliche Einstellungen und Informationen sind in den folgenden Tabs organisiert:
[Sensitivität](#discovery-asdd-results-s3-inventory-sensitivity-details) \$1 [Bucket-Details](#discovery-asdd-results-s3-inventory-bucket-details) \$1 [Objektbeispiele](#discovery-asdd-results-s3-inventory-sample-details) \$1 [Erkennung sensibler Daten](#discovery-asdd-results-s3-inventory-sdd-details)
Die einzelnen Einstellungen und Informationen auf jeder Registerkarte lauten wie folgt.
**Empfindlichkeit**
Auf dieser Registerkarte wird der aktuelle Sensitivitätswert des Buckets angezeigt, der zwischen *-1* und *100* liegt. Informationen über den von Macie definierten Bereich der Sensitivitätswerte finden Sie unter[Empfindlichkeitsbewertung für S3-Buckets](discovery-scoring-s3.md).
Die Registerkarte enthält auch eine Aufschlüsselung der Typen sensibler Daten, die Macie in den Objekten des Buckets gefunden hat, sowie die Anzahl der Vorkommen der einzelnen Typen:
+ **Vertraulicher Datentyp** — Der eindeutige Bezeichner (ID) für den verwalteten Datenbezeichner, der die Daten erkannt hat, oder der Name des benutzerdefinierten Datenbezeichners, der die Daten erkannt hat.
Die ID einer verwalteten Daten-ID beschreibt den Typ der sensiblen Daten, für deren Erkennung sie konzipiert ist, z. B. **USA\$1PASSPORT\$1NUMBER für US-Passnummern**. Einzelheiten zu den einzelnen verwalteten Datenkennungen finden Sie unter. [Verwenden von verwalteten Datenbezeichnern](managed-data-identifiers.md)
+ **Anzahl** — Die Gesamtzahl der Vorkommen der Daten, die von der verwalteten oder benutzerdefinierten Daten-ID erkannt wurden.
+ **Bewertungsstatus** — Dieses Feld wird angezeigt, wenn Sie ein Macie-Administrator sind oder ein eigenständiges Macie-Konto haben. Es gibt an, ob Vorkommen der Daten in die Vertraulichkeitsbewertung des Buckets ein- oder ausgeschlossen werden.
**Wenn Macie den Punktewert des Buckets berechnet, können Sie die Berechnung anpassen, indem Sie bestimmte Typen sensibler Daten in die Bewertung einbeziehen oder ausschließen: Aktivieren Sie das Kontrollkästchen für den Identifier, der die sensiblen Daten erkannt hat, um sie ein- oder auszuschließen, und wählen Sie dann eine Option im Menü Aktionen aus.** Weitere Informationen finden Sie unter [Anpassen der Empfindlichkeitswerte für S3-Buckets](discovery-asdd-s3bucket-manage.md).
Wenn Macie keine sensiblen Daten in Objekten gefunden hat, die der Bucket derzeit speichert, wird in diesem Abschnitt die Meldung **Keine Entdeckungen** gefunden angezeigt.
Beachten Sie, dass die Registerkarte „**Sensitivität**“ keine Daten für Objekte enthält, die geändert oder gelöscht wurden, nachdem Macie sie analysiert hat. Wenn Objekte nach der Analyse geändert oder gelöscht werden, berechnet Macie automatisch die entsprechenden Statistiken und Daten neu und aktualisiert sie, um die Objekte auszuschließen.
**Einzelheiten zum Bucket**
Auf dieser Registerkarte finden Sie Details zu den Einstellungen des Buckets, einschließlich der Einstellungen für Datensicherheit und Datenschutz. Sie können beispielsweise die Aufschlüsselung der öffentlichen Zugriffseinstellungen des Buckets überprüfen und feststellen, ob der Bucket Objekte repliziert oder mit anderen gemeinsam genutzt wird. AWS-Konten
Besonders hervorzuheben ist, dass das Feld **Letzte Aktualisierung** angibt, wann Macie zuletzt Metadaten von Amazon S3 für den Bucket oder die Objekte des Buckets abgerufen hat. Das Feld **Letzte automatische Erkennungsausführung** gibt an, wann Macie zuletzt Objekte im Bucket analysiert hat, während er die automatische Erkennung sensibler Daten durchgeführt hat. Wenn diese Analyse nicht durchgeführt wurde, erscheint in diesem Feld ein Bindestrich (—).
Die Registerkarte enthält auch Statistiken auf Objektebene, anhand derer Sie beurteilen können, wie viele Daten Macie im Bucket analysieren kann. Außerdem wird angezeigt, ob Sie irgendwelche Discovery-Jobs für sensible Daten konfiguriert haben, um Objekte im Bucket zu analysieren. Wenn ja, können Sie auf Details zu dem Job zugreifen, der zuletzt ausgeführt wurde, und sich dann optional alle Ergebnisse anzeigen lassen, die der Job erbracht hat.
In bestimmten Fällen enthält diese Registerkarte möglicherweise nicht alle Details eines Buckets. Dies kann vorkommen, wenn Sie mehr als 10.000 Buckets in Amazon S3 speichern. Macie verwaltet vollständige Inventardaten für nur 10.000 Buckets für ein Konto — die 10.000 Buckets, die zuletzt erstellt oder geändert wurden. Macie kann jedoch Objekte in Buckets analysieren, die dieses Kontingent überschreiten. Verwenden Sie Amazon S3, um weitere Details zu den Buckets zu überprüfen.
Weitere Informationen zu den Informationen auf dieser Registerkarte finden Sie unter[Überprüfung der Details von S3-Buckets](monitoring-s3-inventory-review.md#monitoring-s3-inventory-view-details).
**Beispiele für Objekte**
Auf dieser Registerkarte werden Objekte aufgeführt, die Macie für die Analyse ausgewählt hat, während er die automatische Erkennung sensibler Daten für den Bucket durchgeführt hat. Wählen Sie optional den Namen eines Objekts, um die Amazon S3 S3-Konsole zu öffnen und die Eigenschaften des Objekts anzuzeigen.
Die Liste enthält Daten für bis zu 100 Objekte. Die Liste wird auf der Grundlage des Werts für das Feld **Objektempfindlichkeit** aufgefüllt: **Sensitiv**, gefolgt von **Nicht sensibel**, gefolgt von Objekten, die Macie nicht analysieren konnte.
In der Liste gibt das Feld **Objektempfindlichkeit** an, ob Macie sensible Daten in einem Objekt gefunden hat:
+ **Sensibel** — Macie hat mindestens ein Vorkommen sensibler Daten in dem Objekt gefunden.
+ **Nicht sensibel** — Macie hat keine sensiblen Daten im Objekt gefunden.
+ **—** (*Strich*) — Macie konnte die Analyse des Objekts aufgrund eines Problems oder Fehlers nicht abschließen.
Das Feld **Klassifizierungsergebnis** gibt an, ob Macie ein Objekt analysieren konnte:
+ **Vollständig** — Macie hat die Analyse des Objekts abgeschlossen.
+ **Teilweise** — Macie hat aufgrund eines Problems oder Fehlers nur eine Teilmenge der Daten im Objekt analysiert. Das Objekt ist beispielsweise eine Archivdatei, die Dateien in einem nicht unterstützten Format enthält.
+ **Übersprungen** — Macie konnte aufgrund eines Problems oder Fehlers keine Daten im Objekt analysieren. Das Objekt ist beispielsweise mit einem Schlüssel verschlüsselt, den Macie nicht verwenden darf.
Beachten Sie, dass die Liste keine Objekte enthält, die geändert oder gelöscht wurden, nachdem Macie sie analysiert oder versucht hat, sie zu analysieren. Macie entfernt ein Objekt automatisch aus der Liste, wenn das Objekt anschließend geändert oder gelöscht wird.
**Entdeckung sensibler Daten**
Auf dieser Registerkarte finden Sie aggregierte, automatisierte Statistiken zur Erkennung sensibler Daten für den Bucket:
+ **Analysierte Byte** — Die Gesamtmenge der Daten in Byte, die Macie im Bucket analysiert hat.
+ **Klassifizierbare Byte** — Die Gesamtspeichergröße aller Objekte, die Macie im Bucket analysieren kann, in Byte. Diese Objekte verwenden unterstützte Amazon S3 S3-Speicherklassen und haben Dateinamenerweiterungen für unterstützte Datei- oder Speicherformate. Weitere Informationen finden Sie unter [Unterstützte Speicherklassen und Formate](discovery-supported-storage.md).
+ **Gesamtzahl der Entdeckungen** — Die Gesamtzahl der Vorkommen sensibler Daten, die Macie im Bucket gefunden hat. Dies schließt Ereignisse ein, die derzeit durch die Einstellungen für die Vertraulichkeitsbewertung für den Bucket unterdrückt werden.
Das Diagramm „**Analysierte Objekte**“ gibt die Gesamtzahl der Objekte an, die Macie im Bucket analysiert hat. Es bietet auch eine visuelle Darstellung der Anzahl der Objekte, in denen Macie sensible Daten gefunden hat oder nicht. Die Legende unter dem Diagramm zeigt eine Aufschlüsselung dieser Ergebnisse:
+ **Vertrauliche Objekte** (*rot*) — Die Gesamtzahl der Objekte, in denen Macie mindestens ein Vorkommen vertraulicher Daten gefunden hat.
+ **Nicht sensible Objekte** (*blau*) — Die Gesamtzahl der Objekte, in denen Macie keine sensiblen Daten gefunden hat.
+ **Übersprungene Objekte** (*dunkelgrau*) — Die Gesamtzahl der Objekte, die Macie aufgrund eines Problems oder Fehlers nicht analysieren konnte.
Der Bereich unter der Legende des Diagramms enthält eine Aufschlüsselung der Fälle, in denen Macie Objekte nicht analysieren konnte, weil bestimmte Arten von Berechtigungsproblemen oder kryptografischen Fehlern aufgetreten sind:
+ **Übersprungen: Ungültige Verschlüsselung** — Die Gesamtzahl der Objekte, die mit vom Kunden bereitgestellten Schlüsseln verschlüsselt wurden. Macie kann nicht auf diese Schlüssel zugreifen.
+ **Übersprungen: Ungültiges KMS** — Die Gesamtzahl der Objekte, die mit AWS Key Management Service (AWS KMS) -Schlüsseln verschlüsselt wurden, die nicht mehr verfügbar sind. Diese Objekte sind mit Objekten verschlüsselt AWS KMS keys , die deaktiviert wurden, deren Löschung geplant ist oder die gelöscht wurden. Macie kann diese Schlüssel nicht benutzen.
+ **Übersprungen: Zugriff verweigert — Die Gesamtzahl der Objekte, auf die Macie aufgrund der Berechtigungseinstellungen** für das Objekt oder der Berechtigungseinstellungen für den Schlüssel, mit dem das Objekt verschlüsselt wurde, nicht zugreifen darf.
Einzelheiten zu diesen und anderen Arten von Problemen und Fehlern, die auftreten können, finden Sie unter. [Behebung von Deckungsproblemen](discovery-coverage-remediate.md) Wenn Sie die Probleme und Fehler beheben, können Sie die Abdeckung der Daten des Buckets in nachfolgenden Analysezyklen erhöhen.
Die Statistiken auf der Registerkarte **Erkennung vertraulicher Daten** enthalten keine Daten für Objekte, die geändert oder gelöscht wurden, nachdem Macie sie analysiert oder versucht hat, sie zu analysieren. Wenn Objekte geändert oder gelöscht werden, nachdem Macie sie analysiert oder versucht hat, sie zu analysieren, berechnet Macie diese Statistiken automatisch neu, um die Objekte auszuschließen.
------
#### [ API ]
Um die Datensensitivität und andere Details für einen S3-Bucket programmgesteuert abzurufen, haben Sie mehrere Möglichkeiten. Die geeignete Option hängt von den Details ab, die Sie abrufen möchten:
+ Verwenden Sie den [GetResourceProfile](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles.html)Vorgang, um den aktuellen Sensitivitätswert und die aggregierten Analysestatistiken eines Buckets abzurufen. Oder, wenn Sie die AWS Command Line Interface (AWS CLI) verwenden, führen Sie den [get-resource-profile](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-resource-profile.html)Befehl aus. Die Statistiken umfassen Daten wie die Anzahl der Objekte, die Macie analysiert hat, und die Anzahl der Objekte, in denen Macie sensible Daten gefunden hat.
+ Verwenden Sie die Operation, um eine Aufschlüsselung der Typen und der Menge vertraulicher Daten abzurufen, die Macie in einem Bucket gefunden hat. [ListResourceProfileDetections](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles-detections.html) Oder, wenn Sie den verwenden AWS CLI, führen Sie den [list-resource-profile-detections](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-resource-profile-detections.html)Befehl aus. Die Aufschlüsselung enthält auch Details zur verwalteten oder benutzerdefinierten Daten-ID, mit der die einzelnen Arten vertraulicher Daten erkannt wurden.
+ Verwenden Sie den [ListResourceProfileArtifacts](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles-artifacts.html)Vorgang, um eine Liste mit bis zu 100 Objekten abzurufen, die Macie aus einem Bucket zur Analyse ausgewählt hat. Oder, wenn Sie den verwenden AWS CLI, führen Sie den [list-resource-profile-artifacts](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-resource-profile-artifacts.html)Befehl aus. Für jedes Objekt gibt die Liste Folgendes an: den Amazon-Ressourcennamen (ARN) des Objekts, ob Macie die Analyse des Objekts abgeschlossen hat und ob Macie sensible Daten im Objekt gefunden hat.
Verwenden Sie in Ihrer Anfrage den `resourceArn` Parameter, um den ARN des Buckets anzugeben, für den die Details abgerufen werden sollen. Wenn Sie den verwenden AWS CLI, verwenden Sie den `resource-arn` Parameter, um den ARN anzugeben.
Verwenden Sie den [DescribeBuckets](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3.html)Vorgang, um weitere Informationen zu einem S3-Bucket zu erhalten, z. B. die Einstellungen für den öffentlichen Zugriff des Buckets. Wenn Sie den verwenden AWS CLI, führen Sie den Befehl [describe-buckets](https://docs.aws.amazon.com/cli/latest/reference/macie2/describe-buckets.html) aus, um diese Details abzurufen. Verwenden Sie in Ihrer Anfrage optional Filterkriterien, um den Namen des Buckets anzugeben. Weitere Informationen und Beispiele finden Sie unter [Filterung Ihres S3-Bucket-Inventars](monitoring-s3-inventory-filter.md).
Die folgenden Beispiele zeigen, wie Sie mithilfe von Details AWS CLI zur Datensensitivität für einen S3-Bucket abrufen können. In diesem ersten Beispiel werden der aktuelle Sensitivitätswert und die aggregierten Analysestatistiken für einen Bucket abgerufen.
```
$ aws macie2 get-resource-profile --resource-arn arn:aws:s3:::amzn-s3-demo-bucket
```
Wo *arn:aws:s3:::amzn-s3-demo-bucket* ist der ARN des Buckets. Wenn die Anfrage erfolgreich ist, erhalten Sie eine Ausgabe, die der folgenden ähnelt:
```
{
"profileUpdatedAt": "2024-11-21T15:44:46+00:00",
"sensitivityScore": 83,
"sensitivityScoreOverridden": false,
"statistics": {
"totalBytesClassified": 933599,
"totalDetections": 3641,
"totalDetectionsSuppressed": 0,
"totalItemsClassified": 111,
"totalItemsSensitive": 84,
"totalItemsSkipped": 1,
"totalItemsSkippedInvalidEncryption": 0,
"totalItemsSkippedInvalidKms": 0,
"totalItemsSkippedPermissionDenied": 0
}
}
```
Im nächsten Beispiel wird eine Aufschlüsselung der Typen sensibler Daten abgerufen, die Macie in einem S3-Bucket gefunden hat, sowie die Anzahl der Vorkommen jedes Typs. Die Aufschlüsselung gibt auch an, welcher verwaltete Datenbezeichner oder welcher benutzerdefinierte Datenbezeichner die Daten erkannt hat. Außerdem wird angezeigt, ob die Vorkommen derzeit nicht in der Sensitivitätsbewertung des Buckets enthalten sind (`suppressed`), sofern die Bewertung automatisch von Macie berechnet wird.
```
$ aws macie2 list-resource-profile-detections --resource-arn arn:aws:s3:::amzn-s3-demo-bucket
```
Wo *arn:aws:s3:::amzn-s3-demo-bucket* ist der ARN des Buckets. Wenn die Anfrage erfolgreich ist, erhalten Sie eine Ausgabe, die der folgenden ähnelt:
```
{
"detections": [
{
"count": 8,
"id": "AWS_CREDENTIALS",
"name": "AWS_CREDENTIALS",
"suppressed": false,
"type": "MANAGED"
},
{
"count": 1194,
"id": "CREDIT_CARD_NUMBER",
"name": "CREDIT_CARD_NUMBER",
"suppressed": false,
"type": "MANAGED"
},
{
"count": 1194,
"id": "CREDIT_CARD_SECURITY_CODE",
"name": "CREDIT_CARD_SECURITY_CODE",
"suppressed": false,
"type": "MANAGED"
},
{
"arn": "arn:aws:macie2:us-east-1:123456789012:custom-data-identifier/3293a69d-4a1e-4a07-8715-208ddexample",
"count": 8,
"id": "3293a69d-4a1e-4a07-8715-208ddexample",
"name": "Employee IDs with keyword",
"suppressed": false,
"type": "CUSTOM"
},
{
"count": 1237,
"id": "USA_SOCIAL_SECURITY_NUMBER",
"name": "USA_SOCIAL_SECURITY_NUMBER",
"suppressed": false,
"type": "MANAGED"
}
]
}
```
In diesem Beispiel wird eine Liste von Objekten abgerufen, die Macie zur Analyse aus einem S3-Bucket ausgewählt hat. Für jedes Objekt gibt die Liste auch an, ob Macie die Analyse des Objekts abgeschlossen hat und ob Macie sensible Daten in dem Objekt gefunden hat.
```
$ aws macie2 list-resource-profile-artifacts --resource-arn arn:aws:s3:::amzn-s3-demo-bucket
```
Wo *arn:aws:s3:::amzn-s3-demo-bucket* ist der ARN des Buckets. Wenn die Anfrage erfolgreich ist, erhalten Sie eine Ausgabe, die der folgenden ähnelt:
```
{
"artifacts": [
{
"arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object1.csv",
"classificationResultStatus": "COMPLETE",
"sensitive": true
},
{
"arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object2.xlsx",
"classificationResultStatus": "COMPLETE",
"sensitive": true
},
{
"arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object3.json",
"classificationResultStatus": "COMPLETE",
"sensitive": true
},
{
"arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object4.pdf",
"classificationResultStatus": "COMPLETE",
"sensitive": true
},
{
"arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object5.zip",
"classificationResultStatus": "PARTIAL",
"sensitive": true
},
{
"arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object6.vssx",
"classificationResultStatus": "SKIPPED"
}
]
}
```
------
# Analyse der Ergebnisse der automatisierten Erkennung sensibler Daten
Wenn Amazon Macie die automatische Erkennung sensibler Daten durchführt, erstellt es für jedes Amazon Simple Storage Service (Amazon S3) -Objekt, in dem sensible Daten gefunden werden, eine Suche nach vertraulichen Daten. Eine *Entdeckung sensibler Daten* ist ein detaillierter Bericht über sensible Daten, die Macie in einem S3-Objekt gefunden hat. Ein Ergebnis beinhaltet nicht die sensiblen Daten, die Macie gefunden hat. Stattdessen enthält es Informationen, die Sie bei Bedarf für weitere Untersuchungen und Problembehebungen verwenden können.
Jedes Ergebnis sensibler Daten bietet eine Bewertung des Schweregrads und weitere Informationen wie:
+ Datum und Uhrzeit, an dem Macie die sensiblen Daten gefunden hat.
+ Die Kategorie und die Arten sensibler Daten, die Macie gefunden hat.
+ Die Anzahl der Vorkommen der einzelnen Arten vertraulicher Daten, die Macie gefunden hat.
+ Wie Macie die sensiblen Daten gefunden hat, automatisierte Erkennung sensibler Daten oder Auftrag zur Erkennung sensibler Daten.
+ Der Name, die Einstellungen für den öffentlichen Zugriff, der Verschlüsselungstyp und andere Informationen zum betroffenen S3-Bucket und Objekt.
Je nach Dateityp oder Speicherformat des betroffenen S3-Objekts können die Details auch den Speicherort von bis zu 15 Vorkommen der sensiblen Daten beinhalten, die Macie gefunden hat.
Macie speichert Ergebnisse sensibler Daten 90 Tage lang. Sie können über die Amazon Macie Macie-Konsole oder die Amazon Macie Macie-API darauf zugreifen. Sie können die Ergebnisse auch mithilfe anderer Anwendungen, Dienste und Systeme überwachen und verarbeiten. Weitere Informationen finden Sie unter [Überprüfung und Analyse der Ergebnisse](findings.md).
**Um Ergebnisse zu analysieren, die durch die automatisierte Erkennung sensibler Daten gewonnen wurden**
Um Ergebnisse zu identifizieren und zu analysieren, die Macie bei der automatisierten Erkennung sensibler Daten erstellt hat, können Sie Ihre Ergebnisse filtern. Mithilfe von Filtern verwenden Sie bestimmte Ergebnisattribute, um benutzerdefinierte Ansichten und Abfragen für Ergebnisse zu erstellen. Um Ergebnisse zu filtern, können Sie die Amazon Macie Macie-Konsole verwenden oder Abfragen programmgesteuert über die Amazon Macie Macie-API einreichen. Weitere Informationen finden Sie unter [Filtern von Ergebnissen](findings-filter-overview.md).
**Anmerkung**
Wenn Ihr Konto Teil einer Organisation ist, die mehrere Macie-Konten zentral verwaltet, hat nur der Macie-Administrator Ihrer Organisation direkten Zugriff auf Ergebnisse, die die automatische Erkennung sensibler Daten für Konten in Ihrer Organisation ergibt. Wenn Sie ein Mitgliedskonto haben und die Ergebnisse für Ihr Konto überprüfen möchten, wenden Sie sich an Ihren Macie-Administrator.
------
#### [ Console ]
Gehen Sie wie folgt vor, um die Ergebnisse mithilfe der Amazon Macie Macie-Konsole zu identifizieren und zu analysieren.
**Um Ergebnisse zu analysieren, die durch automatische Erkennung erzielt wurden**
1. Öffnen Sie die Amazon Macie Macie-Konsole unter [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/).
1. Wählen Sie im Navigationsbereich **Findings** aus.
1. Um Ergebnisse anzuzeigen, die durch eine [Unterdrückungsregel unterdrückt](findings-suppression.md) wurden, ändern Sie die Einstellung für den **Suchstatus**. Wählen Sie **Alle**, um sowohl unterdrückte als auch nicht unterdrückte Ergebnisse anzuzeigen, oder wählen Sie **Archiviert**, um nur unterdrückte Ergebnisse anzuzeigen. **Um die unterdrückten Ergebnisse anschließend wieder auszublenden, wählen Sie „Aktuell“.**
1. Platzieren Sie den Cursor in dem Feld **Filterkriterien**. Wählen Sie in der angezeigten Feldliste den **Typ Origin** aus.
In diesem Feld wird angegeben, wie Macie die sensiblen Daten gefunden hat, die zu einem Ergebnis, einer automatisierten Erkennung vertraulicher Daten oder einer Aufgabe zur Erkennung vertraulicher Daten geführt haben. Um dieses Feld in der Liste der Filterfelder zu finden, können Sie die gesamte Liste durchsuchen oder einen Teil des Feldnamens eingeben, um die Liste der Felder einzugrenzen.
1. **Wählen Sie **AUTOMATED\$1SENSITIVE\$1DATA\$1DISCOVERY** als Wert für das Feld aus, und klicken Sie dann auf Anwenden.** **Macie wendet die Filterkriterien an und fügt die Bedingung einem Filtertoken im Feld Filterkriterien hinzu.**
1. Um die Ergebnisse zu verfeinern, fügen Sie Filterbedingungen für zusätzliche Felder hinzu, z. B. „**Erstellt am**“ für den Zeitraum, in dem ein Ergebnis erstellt wurde, „**S3-Bucket-Name“ für den Namen** eines betroffenen Buckets oder „**Erkennungstyp für sensible Daten“ für den Typ** sensibler Daten, der erkannt wurde und zu einem Ergebnis geführt hat.
Wenn Sie diesen Satz von Bedingungen später erneut verwenden möchten, können Sie ihn als Filterregel speichern. Wählen Sie dazu im Feld **Filterkriterien** die Option **Regel speichern** aus. Geben Sie anschließend einen Namen und optional eine Beschreibung für die Regel ein. Wählen Sie **Save (Speichern)** aus, wenn Sie fertig sind.
------
#### [ API ]
Um die Ergebnisse programmatisch zu identifizieren und zu analysieren, geben Sie Filterkriterien in Abfragen an, die Sie mithilfe der [ListFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings.html)Amazon [GetFindingStatistics](https://docs.aws.amazon.com/macie/latest/APIReference/findings-statistics.html)Macie Macie-API einreichen. Der **ListFindings** Vorgang gibt eine Reihe von Ergebnissen zurück IDs, eine ID für jedes Ergebnis, das den Filterkriterien entspricht. Sie können diese dann verwenden IDs , um die Details jedes Ergebnisses abzurufen. Der **GetFindingStatistics** Vorgang gibt aggregierte statistische Daten zu allen Ergebnissen zurück, die den Filterkriterien entsprechen, gruppiert nach einem Feld, das Sie in Ihrer Anfrage angeben. Weitere Informationen zum programmgesteuerten Filtern von Ergebnissen finden Sie unter. [Filtern von Ergebnissen](findings-filter-overview.md)
Fügen Sie in den Filterkriterien eine Bedingung für das `originType` Feld ein. In diesem Feld wird angegeben, wie Macie die sensiblen Daten gefunden hat, die zu einem Ergebnis, einer automatisierten Erkennung vertraulicher Daten oder einer Aufgabe zur Erkennung vertraulicher Daten geführt haben. Wenn die automatische Erkennung sensibler Daten zu einem Ergebnis geführt hat, lautet `AUTOMATED_SENSITIVE_DATA_DISCOVERY` der Wert für dieses Feld.
Um die Ergebnisse mithilfe von AWS Command Line Interface (AWS CLI) zu identifizieren und zu analysieren, führen Sie den Befehl [list-findings](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-findings.html) or [get-finding-statistics](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-finding-statistics.html)aus. In den folgenden Beispielen wird der **list-findings** Befehl verwendet, um Ergebnisse IDs für alle Ergebnisse mit hohem Schweregrad abzurufen, die die automatische Erkennung sensibler Daten in der aktuellen Version ergeben hat. AWS-Region
Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.
```
$ aws macie2 list-findings \
--finding-criteria '{"criterion":{"classificationDetails.originType":{"eq":["AUTOMATED_SENSITIVE_DATA_DISCOVERY"]},"severity.description":{"eq":["High"]}}}'
```
Dieses Beispiel ist für Microsoft Windows formatiert und verwendet das Zeilenfortsetzungszeichen Caret (^), um die Lesbarkeit zu verbessern.
```
C:\> aws macie2 list-findings ^
--finding-criteria={\"criterion\":{\"classificationDetails.originType\":{\"eq\":[\"AUTOMATED_SENSITIVE_DATA_DISCOVERY\"]},\"severity.description\":{\"eq\":[\"High\"]}}}
```
Wobei Folgendes gilt:
+ `classificationDetails.originType`gibt den JSON-Namen des Felds vom **Typ Origin** an und:
+ `eq`gibt den *Gleichheitsoperator* an.
+ `AUTOMATED_SENSITIVE_DATA_DISCOVERY`ist ein Aufzählungswert für das Feld.
+ *`severity.description`*gibt den JSON-Namen des **Schweregradfeldes** an und:
+ *`eq`*gibt den *Gleichheitsoperator* an.
+ *`High`*ist ein Aufzählungswert für das Feld.
Wenn die Anfrage erfolgreich ist, gibt Macie ein Array zurück. `findingIds` Das Array listet den eindeutigen Bezeichner für jedes Ergebnis auf, das den Filterkriterien entspricht, wie im folgenden Beispiel gezeigt.
```
{
"findingIds": [
"1f1c2d74db5d8caa76859ec52example",
"6cfa9ac820dd6d55cad30d851example",
"702a6fd8750e567d1a3a63138example",
"826e94e2a820312f9f964cf60example",
"274511c3fdcd87010a19a3a42example"
]
}
```
Wenn keine Ergebnisse den Filterkriterien entsprechen, gibt Macie ein leeres `findingIds` Array zurück.
```
{
"findingIds": []
}
```
------
# Der Zugriff auf Ermittlungsergebnisse aus der automatisierten Erkennung sensibler Daten
Wenn Amazon Macie die automatische Erkennung sensibler Daten durchführt, erstellt es einen Analysedatensatz für jedes Amazon Simple Storage Service (Amazon S3) -Objekt, das es für die Analyse auswählt. Diese Datensätze, die als *Ergebnisse der Erkennung sensibler Daten* bezeichnet werden, protokollieren Details über die Analyse, die Macie an einzelnen S3-Objekten durchführt. Dazu gehören Objekte, in denen Macie keine sensiblen Daten findet, und Objekte, die Macie aufgrund von Fehlern oder Problemen wie Berechtigungseinstellungen oder der Verwendung eines nicht unterstützten Datei- oder Speicherformats nicht analysieren kann. Die Ergebnisse der Entdeckung sensibler Daten liefern Ihnen Analyseaufzeichnungen, die für Prüfungen oder Untersuchungen zum Datenschutz hilfreich sein können.
Wenn Macie sensible Daten in einem S3-Objekt findet, liefert das Ergebnis der Erkennung sensibler Daten Informationen über die sensiblen Daten, die Macie gefunden hat. Die Informationen enthalten dieselben Arten von Details, die eine Entdeckung sensibler Daten liefert. Es enthält auch zusätzliche Informationen, z. B. den Standort von bis zu 1.000 Vorkommen jeder Art vertraulicher Daten, die Macie gefunden hat. Beispiel:
+ Die Spalten- und Zeilennummer für eine Zelle oder ein Feld in einer Microsoft Excel-Arbeitsmappe, CSV-Datei oder TSV-Datei
+ Der Pfad zu einem Feld oder Array in einer JSON- oder JSON Lines-Datei
+ Die Zeilennummer für eine Zeile in einer nicht-binären Textdatei, bei der es sich nicht um eine CSV-, JSON-, JSON-Zeilen- oder TSV-Datei handelt, z. B. eine HTML-, TXT- oder XML-Datei
+ Die Seitennummer für eine Seite in einer PDF-Datei (Adobe Portable Document Format)
+ Der Datensatzindex und der Pfad zu einem Feld in einem Datensatz in einem Apache Avro-Objektcontainer oder einer Apache Parquet-Datei
Handelt es sich bei dem betroffenen S3-Objekt um eine Archivdatei, z. B. eine .tar- oder .zip-Datei, enthält das Ergebnis der Erkennung sensibler Daten auch detaillierte Standortdaten für das Vorkommen sensibler Daten in einzelnen Dateien, die Macie aus dem Archiv extrahiert hat. Macie nimmt diese Informationen nicht in die Ergebnisse sensibler Daten für Archivdateien auf. Um Standortdaten zu melden, verwenden die Ergebnisse der Erkennung sensibler Daten ein [standardisiertes JSON-Schema](findings-locate-sd-schema.md).
**Anmerkung**
Wie bei Ergebnissen sensibler Daten enthalten die Ergebnisse der Erkennung sensibler Daten keine sensiblen Daten, die Macie in S3-Objekten findet. Stattdessen liefern sie Analysedetails, die für Audits oder Ermittlungen hilfreich sein können.
Macie speichert Ihre Ergebnisse der Entdeckung sensibler Daten 90 Tage lang. Sie können nicht direkt über die Amazon Macie Macie-Konsole oder mit der Amazon Macie Macie-API darauf zugreifen. Stattdessen konfigurieren Sie Macie so, dass sie verschlüsselt und in einem S3-Bucket gespeichert werden. Der Bucket kann als definitives, langfristiges Repository für all Ihre Erkennungsergebnisse sensibler Daten dienen. Um zu ermitteln, wo sich dieses Repository für Ihr Konto befindet, wählen Sie im Navigationsbereich der Amazon Macie Macie-Konsole **Discovery-Ergebnisse** aus. Um dies programmgesteuert zu tun, verwenden Sie den [GetClassificationExportConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/classification-export-configuration.html)Betrieb der Amazon Macie Macie-API. Wenn Sie dieses Repository nicht für Ihr Konto konfiguriert haben, erfahren Sie unter, wie [Speicherung und Beibehaltung der Erkennungsergebnisse von vertraulichen Daten](discovery-results-repository-s3.md) das geht.
Nachdem Sie Macie so konfiguriert haben, dass Ihre Erkennungsergebnisse vertraulicher Daten in einem S3-Bucket gespeichert werden, schreibt Macie die Ergebnisse in JSON-Lines-Dateien (.jsonl), verschlüsselt diese Dateien und fügt sie dem Bucket als GNU-Zip-Dateien (.gz) hinzu. Für die automatische Erkennung sensibler Daten fügt Macie die Dateien einem Ordner hinzu, der im Bucket benannt ist. `automated-sensitive-data-discovery` Anschließend können Sie optional auf die Ergebnisse in diesem Ordner zugreifen und diese abfragen. Wenn Ihr Konto Teil einer Organisation ist, die mehrere Macie-Konten zentral verwaltet, fügt Macie die Dateien dem `automated-sensitive-data-discovery` Ordner im Bucket für Ihr Macie-Administratorkonto hinzu.
Die Ergebnisse der Erkennung sensibler Daten entsprechen einem standardisierten Schema. Dies kann Ihnen helfen, sie mithilfe anderer Anwendungen, Dienste und Systeme abzufragen, zu überwachen und zu verarbeiten. Ein detailliertes, anschauliches Beispiel dafür, wie Sie diese Ergebnisse abfragen und verwenden können, finden Sie im folgenden Blogbeitrag auf dem *AWS Security Blog*: [Wie man Macie-Erkennungsergebnisse für sensible Daten mit Amazon Athena und Amazon Quick abfragt und visualisiert](https://aws.amazon.com/blogs/security/how-to-query-and-visualize-macie-sensitive-data-discovery-results-with-athena-and-quicksight/). Beispiele für Athena-Abfragen, mit denen Sie die Ergebnisse analysieren können, finden Sie im [Amazon Macie Results Analytics-Repository](https://github.com/aws-samples/amazon-macie-results-analytics) unter. GitHub Dieses Repository enthält auch Anweisungen zur Konfiguration von Athena zum Abrufen und Entschlüsseln Ihrer Ergebnisse sowie Skripten zum Erstellen von Tabellen für die Ergebnisse.
# Bewertung der Reichweite automatisierter Erkennung sensibler Daten
Während die automatische Erkennung sensibler Daten für Ihr Konto oder Ihre Organisation voranschreitet, stellt Amazon Macie Statistiken und Details bereit, anhand derer Sie die Abdeckung Ihres Amazon Simple Storage Service (Amazon S3) -Datenbestands beurteilen und überwachen können. Anhand dieser Daten können Sie den Status der automatisierten Erkennung sensibler Daten für Ihren gesamten Datenbestand und für einzelne darin enthaltene S3-Buckets überprüfen. Sie können auch Probleme identifizieren, die Macie daran gehindert haben, Objekte in bestimmten Buckets zu analysieren. Wenn Sie die Probleme beheben, können Sie die Abdeckung Ihrer Amazon S3 S3-Daten in nachfolgenden Analysezyklen erhöhen.
Die Abdeckungsdaten bieten eine Momentaufnahme des aktuellen Status der automatisierten Erkennung sensibler Daten für Ihre S3-Allzweck-Buckets in der aktuellen Zeit. AWS-Region Wenn Sie der Macie-Administrator einer Organisation sind, schließt dies auch Buckets ein, die Ihren Mitgliedskonten gehören. Für jeden Bucket geben die Daten an, ob Probleme aufgetreten sind, als Macie versuchte, Objekte im Bucket zu analysieren. Falls Probleme aufgetreten sind, geben die Daten Auskunft über die Art der einzelnen Probleme und in bestimmten Fällen über deren Anzahl. Die Daten werden täglich aktualisiert, sobald die automatische Erkennung sensibler Daten voranschreitet. Wenn Macie während eines täglichen Analysezyklus ein oder mehrere Objekte in einem Bucket analysiert oder versucht, sie zu analysieren, aktualisiert Macie den Erfassungsbereich und andere Daten, um die Ergebnisse widerzuspiegeln.
Bei bestimmten Arten von Problemen können Sie die aggregierten Daten für alle Ihre S3-Allzweck-Buckets überprüfen und optional weitere Details zu den einzelnen Buckets abrufen. Mithilfe von Deckungsdaten können Sie beispielsweise schnell alle Buckets identifizieren, auf die Macie für Ihr Konto nicht zugreifen darf. In den Deckungsdaten wird auch über aufgetretene Probleme auf Objektebene berichtet. Diese als *Klassifizierungsfehler* bezeichneten Probleme hinderten Macie daran, bestimmte Objekte in einem Bucket zu analysieren. Sie können beispielsweise feststellen, wie viele Objekte Macie in einem Bucket nicht analysieren konnte, weil die Objekte mit einem Schlüssel AWS Key Management Service (AWS KMS) verschlüsselt sind, der nicht mehr verfügbar ist.
Wenn Sie die Amazon Macie Macie-Konsole verwenden, um die Deckungsdaten zu überprüfen, enthält Ihre Ansicht der Daten Anleitungen zur Behebung der einzelnen Arten von Problemen. Die nachfolgenden Themen in diesem Abschnitt enthalten auch Anleitungen zur Problembehebung für jeden Typ.
**Topics**
+ [Überprüfung der Deckungsdaten](discovery-coverage-review.md)
+ [Behebung von Deckungsproblemen](discovery-coverage-remediate.md)
# Überprüfung der Deckungsdaten für die automatische Erkennung sensibler Daten
Um die Abdeckung durch automatische Erkennung sensibler Daten zu überprüfen und zu bewerten, können Sie die Amazon Macie Macie-Konsole oder die Amazon Macie Macie-API verwenden. Sowohl die Konsole als auch die API stellen Daten bereit, die den aktuellen Status der Analysen für Ihre Allzweck-Buckets von Amazon Simple Storage Service (Amazon S3) anzeigen. AWS-Region Die Daten enthalten Informationen zu Problemen, die zu Lücken in den Analysen führen:
+ Buckets, auf die Macie nicht zugreifen darf. Macie kann keine Objekte in diesen Buckets analysieren. Die Berechtigungseinstellungen der Buckets verhindern, dass Macie auf die Buckets und die Objekte der Buckets zugreift.
+ Buckets, die keine klassifizierbaren Objekte speichern. Macie kann keine Objekte in diesen Buckets analysieren. Alle Objekte verwenden Amazon S3 S3-Speicherklassen, die Macie nicht unterstützt, oder sie haben Dateinamenerweiterungen für Datei- oder Speicherformate, die Macie nicht unterstützt.
+ Buckets, die Macie aufgrund von Klassifizierungsfehlern auf Objektebene noch nicht analysieren konnte. Macie hat versucht, ein oder mehrere Objekte in diesen Buckets zu analysieren. Macie konnte die Objekte jedoch aufgrund von Problemen mit den Berechtigungseinstellungen auf Objektebene, dem Objektinhalt oder den Kontingenten nicht analysieren.
Die Deckungsdaten werden täglich aktualisiert, wenn die automatische Erkennung sensibler Daten voranschreitet. Wenn Sie der Macie-Administrator einer Organisation sind, enthalten die Daten Informationen für S3-Buckets, die Ihren Mitgliedskonten gehören.
**Anmerkung**
Zu den Deckungsdaten gehören nicht ausdrücklich die Ergebnisse von Aufträgen zur Erkennung sensibler Daten, die Sie erstellen und ausführen. Durch die Behebung von Deckungsproblemen, die sich auf die automatische Erkennung sensibler Daten auswirken, wird jedoch wahrscheinlich auch die Abdeckung durch Jobs erhöht, die Sie anschließend ausführen. Sehen Sie sich die [Ergebnisse des Auftrags an, um den Versicherungsschutz für einen Job einzuschätzen](discovery-jobs-manage-results.md). Wenn die Protokollereignisse oder andere Ergebnisse eines Auftrags auf Probleme mit der Abdeckung hinweisen, können Ihnen [Anleitungen zur Problembehebung für die automatische Erkennung sensibler Daten](discovery-coverage-remediate.md) dabei helfen, einige der Probleme zu lösen.
**Um die Deckungsdaten für die automatische Erkennung sensibler Daten zu überprüfen**
Um die Deckungsdaten für die automatische Erkennung sensibler Daten zu überprüfen, können Sie die Amazon Macie Macie-Konsole oder die Amazon Macie Macie-API verwenden. Auf der Konsole bietet eine einzige Seite eine einheitliche Ansicht der Abdeckungsdaten für all Ihre S3-Allzweck-Buckets in der aktuellen Region. Dies beinhaltet eine Zusammenfassung der Probleme, die kürzlich für jeden Bucket aufgetreten sind. Die Seite bietet auch Optionen für die Überprüfung von Datengruppen nach Problemtyp. Um Ihre Untersuchung von Problemen für bestimmte Bereiche nachzuverfolgen, können Sie Daten von der Seite in eine Datei mit kommagetrennten Werten (CSV) exportieren.
------
#### [ Console ]
Gehen Sie wie folgt vor, um die Deckungsdaten mithilfe der Amazon Macie Macie-Konsole zu überprüfen.
**Um die Deckungsdaten zu überprüfen**
1. Öffnen Sie die Amazon Macie Macie-Konsole unter [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/).
1. Wählen Sie im Navigationsbereich die Option **Ressourcenabdeckung** aus.
1. Wählen Sie auf der Seite **Ressourcenabdeckung** die Registerkarte für den Typ der Deckungsdaten aus, die Sie überprüfen möchten:
+ **Alle** — Listet alle Buckets für Ihr Konto auf. Für jeden Bucket gibt das Feld **Probleme** an, ob Macie aufgrund von Problemen daran gehindert wurde, Objekte im Bucket zu analysieren. Wenn der Wert für dieses Feld „**Keine**“ lautet, hat Macie mindestens eines der Objekte des Buckets analysiert oder Macie hat noch nicht versucht, eines der Objekte des Buckets zu analysieren. Wenn es Probleme gibt, gibt dieses Feld die Art der Probleme an und wie sie behoben werden können. Bei Klassifizierungsfehlern auf Objektebene kann es auch (in Klammern) die Häufigkeit des Auftretens des Fehlers angeben.
+ **Zugriff verweigert** — Listet Buckets auf, auf die Macie nicht zugreifen darf. Die Berechtigungseinstellungen für diese Buckets verhindern, dass Macie auf die Buckets und die Objekte der Buckets zugreift. Folglich kann Macie keine Objekte in den Buckets analysieren.
+ **Klassifizierungsfehler** — Führt Buckets auf, die Macie aufgrund von Klassifizierungsfehlern auf Objektebene — also Problemen mit Berechtigungseinstellungen auf Objektebene, Objektinhalten oder Kontingenten — noch nicht analysiert hat. Für jeden Bucket gibt das Feld **Probleme** die Art der einzelnen Fehlertypen an, die aufgetreten sind und Macie daran gehindert haben, ein Objekt im Bucket zu analysieren. Außerdem wird angegeben, wie die einzelnen Fehlertypen behoben werden können. Je nach Fehler kann es auch (in Klammern) angeben, wie oft der Fehler aufgetreten ist.
+ **Nicht klassifizierbar** — Führt Buckets auf, die Macie nicht analysieren kann, weil sie keine klassifizierbaren Objekte speichern. Alle Objekte in diesen Buckets verwenden nicht unterstützte Amazon S3 S3-Speicherklassen oder sie haben Dateinamenerweiterungen für nicht unterstützte Datei- oder Speicherformate. Folglich kann Macie keine Objekte in den Buckets analysieren.
1. Um die unterstützenden Daten für einen Bucket genauer zu untersuchen und zu überprüfen, wählen Sie den Namen des Buckets aus. Statistiken und weitere Informationen zum Bucket finden Sie anschließend im Detailbereich.
1. Um die Tabelle in eine CSV-Datei **zu exportieren, wählen Sie oben auf der Seite In CSV** exportieren aus. Die resultierende CSV-Datei enthält eine Teilmenge von Metadaten für jeden Bucket in der Tabelle für bis zu 50.000 Buckets. Die Datei enthält ein Feld mit dem **Geltungsbereich.** Der Wert für dieses Feld gibt an, ob Macie aufgrund von Problemen daran gehindert wurde, Objekte im Bucket zu analysieren, und falls ja, um welche Art von Problemen es sich handelt.
------
#### [ API ]
Um die Deckungsdaten programmgesteuert zu überprüfen, geben Sie Filterkriterien in Abfragen an, die Sie mithilfe der Amazon [DescribeBuckets](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3.html)Macie Macie-API einreichen. Dieser Vorgang gibt ein Array von Objekten zurück. Jedes Objekt enthält statistische Daten und andere Informationen über einen S3-Allzweck-Bucket, der den Filterkriterien entspricht.
Fügen Sie in den Filterkriterien eine Bedingung für den Typ der Deckungsdaten ein, die Sie überprüfen möchten:
+ Um Buckets zu identifizieren, auf die Macie aufgrund der Berechtigungseinstellungen der Buckets nicht zugreifen darf, fügen Sie eine Bedingung hinzu, bei der der Wert für das Feld gleich ist. `errorCode` `ACCESS_DENIED`
+ Um Buckets zu identifizieren, auf die Macie zugreifen darf und die sie noch nicht analysiert hat, geben Sie Bedingungen an, bei denen der Wert für das `sensitivityScore` Feld gleich `50` und der Wert für das Feld ungleich ist. `errorCode` `ACCESS_DENIED`
+ Um Buckets zu identifizieren, die Macie nicht analysieren kann, weil alle Objekte der Buckets nicht unterstützte Speicherklassen oder -formate verwenden, fügen Sie Bedingungen hinzu, bei denen der Wert für das `classifiableSizeInBytes` Feld gleich `0` und der Wert für das Feld größer als ist. `sizeInBytes` `0`
+ Um Buckets zu identifizieren, für die Macie mindestens ein Objekt analysiert hat, geben Sie Bedingungen an, bei denen der Wert für das `sensitivityScore` Feld im Bereich von 1—99 liegt, aber nicht gleich ist. `50` Um auch Bereiche einzubeziehen, denen Sie die Höchstpunktzahl manuell zugewiesen haben, sollte der Bereich zwischen 1 und 100 liegen.
+ Um Bereiche zu identifizieren, die Macie aufgrund von Klassifizierungsfehlern auf Objektebene noch nicht analysiert hat, fügen Sie eine Bedingung hinzu, bei der der Wert für das Feld gleich ist. `sensitivityScore` `-1` Verwenden Sie die Operation, um anschließend eine Aufschlüsselung der Arten und der Anzahl der Fehler zu überprüfen, die für einen bestimmten Bereich aufgetreten sind. [GetResourceProfile](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles.html)
Wenn Sie AWS Command Line Interface (AWS CLI) verwenden, geben Sie Filterkriterien in Abfragen an, die Sie einreichen, indem Sie den Befehl [describe-buckets](https://docs.aws.amazon.com/cli/latest/reference/macie2/describe-buckets.html) ausführen. Führen Sie den Befehl aus, um eine Aufschlüsselung der Typen und der Anzahl der Fehler zu überprüfen, die für einen bestimmten S3-Bucket aufgetreten sind, falls vorhanden. [get-resource-profile](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-resource-profile.html)
Die folgenden AWS CLI Befehle verwenden beispielsweise Filterkriterien, um die Details aller S3-Buckets abzurufen, auf die Macie aufgrund der Berechtigungseinstellungen der Buckets nicht zugreifen darf.
Dieses Beispiel ist für Linux, macOS oder Unix formatiert:
```
$ aws macie2 describe-buckets --criteria '{"errorCode":{"eq":["ACCESS_DENIED"]}}'
```
Dieses Beispiel ist für Microsoft Windows formatiert:
```
C:\> aws macie2 describe-buckets --criteria={\"errorCode\":{\"eq\":[\"ACCESS_DENIED\"]}}
```
Wenn Ihre Anfrage erfolgreich ist, gibt Macie ein Array zurück. `buckets` Das Array enthält ein Objekt für jeden S3-Bucket, der sich im aktuellen Bucket befindet AWS-Region und den Filterkriterien entspricht.
Wenn keine S3-Buckets den Filterkriterien entsprechen, gibt Macie ein leeres `buckets` Array zurück.
```
{
"buckets": []
}
```
Weitere Hinweise zur Angabe von Filterkriterien in Abfragen, einschließlich Beispielen für häufig verwendete Kriterien, finden Sie unter. [Filterung Ihres S3-Bucket-Inventars](monitoring-s3-inventory-filter.md)
------
Ausführliche Informationen, die Ihnen bei der Lösung von Deckungsproblemen helfen können, finden Sie unter[Behebung von Deckungsproblemen bei der automatisierten Erkennung sensibler Daten](discovery-coverage-remediate.md).
# Behebung von Deckungsproblemen bei der automatisierten Erkennung sensibler Daten
Da die automatische Erkennung sensibler Daten täglich voranschreitet, stellt Amazon Macie Statistiken und Details bereit, anhand derer Sie die Abdeckung Ihres Amazon Simple Storage Service (Amazon S3) -Datenbestands beurteilen und überwachen können. Durch die [Überprüfung der Deckungsdaten](discovery-coverage-review.md) können Sie den Status der automatisierten Erkennung sensibler Daten für Ihren gesamten Datenbestand und für einzelne darin enthaltene S3-Buckets überprüfen. Sie können auch Probleme identifizieren, die Macie daran gehindert haben, Objekte in bestimmten Buckets zu analysieren. Wenn Sie die Probleme beheben, können Sie die Abdeckung Ihrer Amazon S3 S3-Daten in nachfolgenden Analysezyklen erhöhen.
Macie meldet verschiedene Arten von Problemen, die den Schutz Ihrer Amazon S3 S3-Daten durch die automatische Erkennung sensibler Daten verringern. Dazu gehören Probleme auf Bucket-Ebene, die Macie daran hindern, Objekte in einem S3-Bucket zu analysieren. Dazu gehören auch Probleme auf Objektebene. Diese als *Klassifizierungsfehler* bezeichneten Probleme hinderten Macie daran, bestimmte Objekte in einem Bucket zu analysieren. Die folgenden Informationen können Ihnen helfen, die Probleme zu untersuchen und zu beheben.
**Topics**
+ [Zugriff verweigert](#discovery-issues-access-denied)
+ [Klassifizierungsfehler: Ungültiger Inhalt](#discovery-issues-invalid-content)
+ [Klassifizierungsfehler: Ungültige Verschlüsselung](#discovery-issues-classification-error-invalid-encryption)
+ [Klassifizierungsfehler: Ungültiger KMS-Schlüssel](#discovery-issues-classification-error-invalid-key)
+ [Klassifizierungsfehler: Zugriff verweigert](#discovery-issues-classification-error-permission-denied)
+ [Nicht klassifizierbar](#discovery-issues-unclassifiable)
**Tipp**
Um Klassifizierungsfehler auf Objektebene für einen S3-Bucket zu untersuchen, überprüfen Sie zunächst die Liste der Objektbeispiele für den Bucket. Diese Liste gibt für bis zu 100 Objekte an, welche Objekte Macie im Bucket analysiert hat oder versucht hat zu analysieren.
Um die Liste auf der Amazon Macie Macie-Konsole zu überprüfen, wählen Sie den Bucket auf der **S3-Buckets-Seite** und dann im **Detailbereich die Registerkarte Objektbeispiele** aus. Um die Liste programmgesteuert zu überprüfen, verwenden Sie den [ListResourceProfileArtifacts](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles-artifacts.html)Betrieb der Amazon Macie Macie-API. Wenn der Status der Analyse für ein Objekt **Skipped** (`SKIPPED`) lautet, hat das Objekt möglicherweise den Fehler verursacht.
## Zugriff verweigert
Dieses Problem weist darauf hin, dass die Berechtigungseinstellungen eines S3-Buckets Macie daran hindern, auf den Bucket und die Objekte des Buckets zuzugreifen. Macie kann keine Objekte im Bucket abrufen und analysieren.
**Details**
Die häufigste Ursache für diese Art von Problem ist eine restriktive Bucket-Richtlinie. Eine *Bucket-Richtlinie* ist eine ressourcenbasierte AWS Identity and Access Management (IAM) -Richtlinie, die festlegt, welche Aktionen ein Principal (Benutzer, Konto, Dienst oder andere Entität) auf einem S3-Bucket ausführen kann und unter welchen Bedingungen ein Principal diese Aktionen ausführen kann. Eine *restriktive Bucket-Richtlinie* verwendet explizite `Allow` `Deny` Anweisungen, die den Zugriff auf die Daten eines Buckets auf der Grundlage bestimmter Bedingungen gewähren oder einschränken. Eine Bucket-Richtlinie kann beispielsweise eine `Allow` `Deny` OR-Anweisung enthalten, die den Zugriff auf einen Bucket verweigert, sofern nicht bestimmte Quell-IP-Adressen für den Zugriff auf den Bucket verwendet werden.
Wenn die Bucket-Richtlinie für einen S3-Bucket eine explizite `Deny` Anweisung mit einer oder mehreren Bedingungen enthält, darf Macie die Objekte des Buckets möglicherweise nicht abrufen und analysieren, um sensible Daten zu erkennen. Macie kann nur eine Teilmenge von Informationen über den Bucket bereitstellen, z. B. den Namen und das Erstellungsdatum des Buckets.
**Anleitung zur Problembehebung**
Um dieses Problem zu beheben, aktualisieren Sie die Bucket-Richtlinie für den S3-Bucket. Stellen Sie sicher, dass die Richtlinie Macie den Zugriff auf den Bucket und die Objekte des Buckets ermöglicht. Um diesen Zugriff zu ermöglichen, fügen Sie der Richtlinie eine Bedingung für die mit dem Macie-Dienst verknüpfte Rolle (`AWSServiceRoleForAmazonMacie`) hinzu. Die Bedingung sollte die mit dem Dienst verknüpfte Macie-Rolle von der Einhaltung der `Deny` Einschränkung in der Richtlinie ausschließen. Dazu werden der `aws:PrincipalArn` globale Bedingungskontextschlüssel und der Amazon-Ressourcenname (ARN) der mit dem Macie-Service verknüpften Rolle für Ihr Konto verwendet.
Wenn Sie die Bucket-Richtlinie aktualisieren und Macie Zugriff auf den S3-Bucket erhält, erkennt Macie die Änderung. In diesem Fall aktualisiert Macie Statistiken, Inventardaten und andere Informationen, die es über Ihre Amazon S3 S3-Daten bereitstellt. Darüber hinaus werden die Objekte des Buckets bei der Analyse in einem nachfolgenden Analysezyklus eine höhere Priorität haben.
**Zusätzliche Referenz**
Weitere Informationen zur Aktualisierung einer S3-Bucket-Richtlinie, um Macie den Zugriff auf einen Bucket zu ermöglichen, finden Sie unter[Macie den Zugriff auf S3-Buckets und Objekte erlauben](monitoring-restrictive-s3-buckets.md). Informationen zur Verwendung von Bucket-Richtlinien zur Steuerung des Zugriffs auf Buckets finden Sie unter [Bucket-Richtlinien](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html) und [Wie Amazon S3 eine Anfrage autorisiert](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-s3-evaluates-access-control.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.
## Klassifizierungsfehler: Ungültiger Inhalt
Diese Art von Klassifizierungsfehler tritt auf, wenn Macie versucht, ein Objekt in einem S3-Bucket zu analysieren und das Objekt fehlerhaft formatiert ist oder wenn das Objekt Inhalt enthält, der ein Kontingent für die Erkennung sensibler Daten überschreitet. Macie kann das Objekt nicht analysieren.
**Details**
Dieser Fehler tritt normalerweise auf, weil es sich bei einem S3-Objekt um eine falsch formatierte oder beschädigte Datei handelt. Folglich kann Macie nicht alle Daten in der Datei analysieren und analysieren.
Dieser Fehler kann auch auftreten, wenn die Analyse eines S3-Objekts ein Kontingent für die Erkennung sensibler Daten für eine einzelne Datei überschreiten würde. Beispielsweise überschreitet die Speichergröße des Objekts das Größenkontingent für diesen Dateityp.
In beiden Fällen kann Macie die Analyse des S3-Objekts nicht abschließen und der Status der Analyse für das Objekt lautet **Skipped** ()`SKIPPED`.
**Anleitung zur Problembehebung**
Um diesen Fehler zu untersuchen, laden Sie das S3-Objekt herunter und überprüfen Sie die Formatierung und den Inhalt der Datei. Prüfen Sie außerdem den Inhalt der Datei anhand der Macie-Kontingente für die Erkennung sensibler Daten.
Wenn Sie diesen Fehler nicht beheben, versucht Macie, andere Objekte im S3-Bucket zu analysieren. Wenn Macie ein anderes Objekt erfolgreich analysiert, aktualisiert Macie die Deckungsdaten und andere Informationen, die es über den Bucket bereitstellt.
**Zusätzliche Referenz**
Eine Liste der Kontingente für die Erkennung sensibler Daten, einschließlich der Kontingente für bestimmte Dateitypen, finden Sie unter[Kontingente für Macie](macie-quotas.md). Informationen darüber, wie Macie die Vertraulichkeitswerte aktualisiert, und weitere Informationen, die Macie zu S3-Buckets bereitstellt, finden Sie unter. [So funktioniert die automatische Erkennung sensibler Daten](discovery-asdd-how-it-works.md)
## Klassifizierungsfehler: Ungültige Verschlüsselung
Diese Art von Klassifizierungsfehler tritt auf, wenn Macie versucht, ein Objekt in einem S3-Bucket zu analysieren und das Objekt mit einem vom Kunden bereitgestellten Schlüssel verschlüsselt ist. Das Objekt verwendet die SSE-C-Verschlüsselung, was bedeutet, dass Macie das Objekt nicht abrufen und analysieren kann.
**Details**
Amazon S3 unterstützt mehrere Verschlüsselungsoptionen für S3-Objekte. Bei den meisten dieser Optionen kann Macie ein Objekt mithilfe der mit dem Macie-Dienst verknüpften Rolle für Ihr Konto entschlüsseln. Dies hängt jedoch von der Art der verwendeten Verschlüsselung ab.
Damit Macie ein S3-Objekt entschlüsseln kann, muss das Objekt mit einem Schlüssel verschlüsselt werden, auf den Macie zugreifen kann und den er verwenden darf. Wenn ein Objekt mit einem vom Kunden bereitgestellten Schlüssel verschlüsselt ist, kann Macie nicht das erforderliche Schlüsselmaterial bereitstellen, um das Objekt von Amazon S3 abzurufen. **Folglich kann Macie das Objekt nicht analysieren und der Status der Analyse für das Objekt lautet Skipped ().** `SKIPPED`
**Anleitung zur Problembehebung**
Um diesen Fehler zu beheben, verschlüsseln Sie S3-Objekte mit von Amazon S3 verwalteten Schlüsseln oder AWS Key Management Service (AWS KMS) -Schlüsseln. Wenn Sie lieber AWS KMS Schlüssel verwenden möchten, können die Schlüssel AWS verwaltete KMS-Schlüssel oder vom Kunden verwaltete KMS-Schlüssel sein, die Macie verwenden darf.
Um vorhandene S3-Objekte mit Schlüsseln zu verschlüsseln, auf die Macie zugreifen und die sie verwenden kann, können Sie die Verschlüsselungseinstellungen für die Objekte ändern. Um neue Objekte mit Schlüsseln zu verschlüsseln, auf die Macie zugreifen und die sie verwenden kann, ändern Sie die Standardverschlüsselungseinstellungen für den S3-Bucket. Stellen Sie außerdem sicher, dass die Bucket-Richtlinie nicht vorschreibt, dass neue Objekte mit einem vom Kunden bereitgestellten Schlüssel verschlüsselt werden müssen.
Wenn Sie diesen Fehler nicht beheben, versucht Macie, andere Objekte im S3-Bucket zu analysieren. Wenn Macie ein anderes Objekt erfolgreich analysiert, aktualisiert Macie die Deckungsdaten und andere Informationen, die es über den Bucket bereitstellt.
**Zusätzliche Referenz**
Informationen zu den Anforderungen und Optionen für die Verwendung von Macie zur Analyse verschlüsselter S3-Objekte finden Sie unter[Analysieren verschlüsselter Amazon S3 S3-Objekte](discovery-supported-encryption-types.md). Informationen zu Verschlüsselungsoptionen und Einstellungen für S3-Buckets finden Sie unter [Schützen von Daten durch Verschlüsselung](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingEncryption.html) und [Einstellen des standardmäßigen serverseitigen Verschlüsselungsverhaltens für S3-Buckets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.
## Klassifizierungsfehler: Ungültiger KMS-Schlüssel
Diese Art von Klassifizierungsfehler tritt auf, wenn Macie versucht, ein Objekt in einem S3-Bucket zu analysieren und das Objekt mit einem Schlüssel AWS Key Management Service (AWS KMS) verschlüsselt ist, der nicht mehr verfügbar ist. Macie kann das Objekt nicht abrufen und analysieren.
**Details**
AWS KMS bietet Optionen zum Deaktivieren und Löschen von Kundenverwaltungen. AWS KMS keys Wenn ein S3-Objekt mit einem KMS-Schlüssel verschlüsselt ist, der deaktiviert ist, zum Löschen geplant ist oder gelöscht wurde, kann Macie das Objekt nicht abrufen und entschlüsseln. Folglich kann Macie das Objekt nicht analysieren und der Status der Analyse für das Objekt lautet **Skipped** (). `SKIPPED` Damit Macie ein verschlüsseltes Objekt analysieren kann, muss das Objekt mit einem Schlüssel verschlüsselt sein, auf den Macie zugreifen kann und den er verwenden darf.
**Anleitung zur Problembehebung**
Um diesen Fehler zu beheben, aktivieren Sie je nach aktuellem Status des Schlüssels die entsprechende Option erneut AWS KMS key oder brechen Sie das geplante Löschen des Schlüssels ab. Wenn der entsprechende Schlüssel bereits gelöscht wurde, kann dieser Fehler nicht behoben werden.
Um festzustellen, welches Objekt zum Verschlüsseln eines S3-Objekts verwendet AWS KMS key wurde, können Sie zunächst Macie verwenden, um die serverseitigen Verschlüsselungseinstellungen für den S3-Bucket zu überprüfen. Wenn die Standardverschlüsselungseinstellungen für den Bucket für die Verwendung eines KMS-Schlüssels konfiguriert sind, geben die Details des Buckets an, welcher Schlüssel verwendet wird. Sie können dann den Status dieses Schlüssels überprüfen. Alternativ können Sie Amazon S3 verwenden, um die Verschlüsselungseinstellungen für den Bucket und einzelne Objekte im Bucket zu überprüfen.
Wenn Sie diesen Fehler nicht beheben, versucht Macie, andere Objekte im S3-Bucket zu analysieren. Wenn Macie ein anderes Objekt erfolgreich analysiert, aktualisiert Macie die Deckungsdaten und andere Informationen, die es über den Bucket bereitstellt.
**Zusätzliche Referenz**
Informationen zur Verwendung von Macie zur Überprüfung der serverseitigen Verschlüsselungseinstellungen für einen S3-Bucket finden Sie unter. [Überprüfung der Details von S3-Buckets](monitoring-s3-inventory-review.md#monitoring-s3-inventory-view-details) *Informationen zum erneuten Aktivieren eines Schlüssels AWS KMS key oder zum Abbrechen des geplanten Löschvorgangs finden Sie unter [Aktivieren und Deaktivieren von Schlüsseln und [Löschen](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html) von Schlüsseln](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html) im Entwicklerhandbuch.AWS Key Management Service *
## Klassifizierungsfehler: Zugriff verweigert
Diese Art von Klassifizierungsfehler tritt auf, wenn Macie versucht, ein Objekt in einem S3-Bucket zu analysieren, und Macie das Objekt aufgrund der Berechtigungseinstellungen für das Objekt oder der Berechtigungseinstellungen für den Schlüssel, der zum Verschlüsseln des Objekts verwendet wurde, nicht abrufen oder entschlüsseln kann. Macie kann das Objekt nicht abrufen und analysieren.
**Details**
Dieser Fehler tritt normalerweise auf, weil ein S3-Objekt mit einem vom Kunden verwalteten AWS Key Management Service (AWS KMS) Schlüssel verschlüsselt ist, den Macie nicht verwenden darf. Wenn ein Objekt mit einem vom Kunden verwalteten Objekt verschlüsselt wird AWS KMS key, muss die Richtlinie des Schlüssels es Macie ermöglichen, Daten mithilfe des Schlüssels zu entschlüsseln.
Dieser Fehler kann auch auftreten, wenn die Amazon S3 S3-Berechtigungseinstellungen Macie daran hindern, ein S3-Objekt abzurufen. Die Bucket-Richtlinie für den S3-Bucket kann den Zugriff auf bestimmte Bucket-Objekte einschränken oder nur bestimmten Prinzipalen (Benutzern, Konten, Diensten oder anderen Entitäten) den Zugriff auf die Objekte ermöglichen. Oder die Zugriffskontrollliste (ACL) für ein Objekt könnte den Zugriff auf das Objekt einschränken. Folglich darf Macie möglicherweise nicht auf das Objekt zugreifen.
In keinem der oben genannten Fälle kann Macie das Objekt abrufen und analysieren, und der Status der Analyse für das Objekt lautet **Skipped** (). `SKIPPED`
**Anleitung zur Problembehebung**
Um diesen Fehler zu beheben, stellen Sie fest, ob das S3-Objekt verschlüsselt und von einem Kunden verwaltet wird. AWS KMS key Ist dies der Fall, stellen Sie sicher, dass die Richtlinie des Schlüssels es der mit dem Macie-Dienst verknüpften Rolle (`AWSServiceRoleForAmazonMacie`) ermöglicht, Daten mit dem Schlüssel zu entschlüsseln. Wie Sie diesen Zugriff zulassen, hängt davon ab, ob das Konto, dem der gehört, AWS KMS key auch den S3-Bucket besitzt, in dem das Objekt gespeichert ist. Wenn dasselbe Konto den KMS-Schlüssel und den Bucket besitzt, muss ein Benutzer des Kontos die Richtlinie des Schlüssels aktualisieren. Wenn ein Konto den KMS-Schlüssel besitzt und ein anderes Konto den Bucket besitzt, muss ein Benutzer des Kontos, dem der Schlüssel gehört, kontenübergreifenden Zugriff auf den Schlüssel gewähren.
Sie können automatisch eine Liste aller verwalteten Kunden generieren, auf AWS KMS keys die Macie zugreifen muss, um Objekte in den S3-Buckets für Ihr Konto zu analysieren. Führen Sie dazu das AWS KMS Permission Analyzer-Skript aus, das im [Amazon Macie Scripts-Repository](https://github.com/aws-samples/amazon-macie-scripts) verfügbar GitHub ist. Das Skript kann auch ein zusätzliches Skript mit AWS Command Line Interface (AWS CLI) -Befehlen generieren. Sie können diese Befehle optional ausführen, um die erforderlichen Konfigurationseinstellungen und Richtlinien für die von Ihnen angegebenen KMS-Schlüssel zu aktualisieren.
Wenn Macie das entsprechende Objekt bereits verwenden darf AWS KMS key oder das S3-Objekt nicht mit einem vom Kunden verwalteten KMS-Schlüssel verschlüsselt ist, stellen Sie sicher, dass die Bucket-Richtlinie Macie den Zugriff auf das Objekt ermöglicht. Stellen Sie außerdem sicher, dass Macie anhand der ACL des Objekts die Daten und Metadaten des Objekts lesen kann.
Für die Bucket-Richtlinie können Sie diesen Zugriff zulassen, indem Sie der Richtlinie eine Bedingung für die mit dem Macie-Dienst verknüpfte Rolle hinzufügen. Die Bedingung sollte die Macie-Rolle, die mit dem Service verknüpft ist, von der Einhaltung der `Deny` Einschränkung in der Richtlinie ausschließen. Dazu werden der `aws:PrincipalArn` globale Bedingungskontextschlüssel und der Amazon-Ressourcenname (ARN) der mit dem Macie-Service verknüpften Rolle für Ihr Konto verwendet.
Für die Objekt-ACL können Sie diesen Zugriff gewähren, indem Sie mit dem Objekteigentümer zusammenarbeiten, um Sie AWS-Konto als Empfänger mit `READ` Berechtigungen für das Objekt hinzuzufügen. Macie kann dann die mit dem Dienst verknüpfte Rolle für Ihr Konto verwenden, um das Objekt abzurufen und zu analysieren. Erwägen Sie auch, die Einstellungen für den Objekteigentum für den Bucket zu ändern. Sie können diese Einstellungen verwenden, um sie ACLs für alle Objekte im Bucket zu deaktivieren und dem Konto, dem der Bucket gehört, Eigentumsrechte zu gewähren.
Wenn Sie diesen Fehler nicht beheben, versucht Macie, andere Objekte im S3-Bucket zu analysieren. Wenn Macie ein anderes Objekt erfolgreich analysiert, aktualisiert Macie die Deckungsdaten und andere Informationen, die es über den Bucket bereitstellt.
**Zusätzliche Referenz**
Weitere Informationen darüber, wie Macie Daten entschlüsseln kann, wenn ein Kunde verwaltet wird AWS KMS key, finden Sie unter. [Macie darf ein vom Kunden verwaltetes AWS KMS key](discovery-supported-encryption-types.md#discovery-supported-encryption-cmk-configuration) Informationen zur Aktualisierung einer S3-Bucket-Richtlinie, um Macie den Zugriff auf einen Bucket zu ermöglichen, finden Sie unter. [Macie den Zugriff auf S3-Buckets und Objekte erlauben](monitoring-restrictive-s3-buckets.md)
Informationen zum Aktualisieren einer Schlüsselrichtlinie finden Sie unter [Ändern einer Schlüsselrichtlinie](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) im *AWS Key Management Service Entwicklerhandbuch*. Informationen zur Verwendung von kundenverwalteten AWS KMS keys S3-Objekten finden Sie unter [Verwenden der serverseitigen Verschlüsselung mit AWS KMS Schlüsseln](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.
Informationen zur Verwendung von Bucket-Richtlinien zur Steuerung des Zugriffs auf S3-Buckets finden Sie unter [Zugriffskontrolle](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html) und [Wie Amazon S3 eine Anfrage autorisiert](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-s3-evaluates-access-control.html) im *Amazon Simple Storage Service-Benutzerhandbuch*. Informationen zur Verwendung von ACLs Objektbesitzeinstellungen zur Steuerung des Zugriffs auf S3-Objekte finden Sie unter [Verwaltung des Zugriffs mit](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acls.html) Objekten ACLs und [Steuerung des Besitzes von Objekten und Deaktivierung ACLs für Ihren Bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.
## Nicht klassifizierbar
Dieses Problem weist darauf hin, dass alle Objekte in einem S3-Bucket in nicht unterstützten Amazon S3 S3-Speicherklassen oder nicht unterstützten Datei- oder Speicherformaten gespeichert werden. Macie kann keine Objekte im Bucket analysieren.
**Details**
Um für die Auswahl und Analyse in Frage zu kommen, muss ein S3-Objekt eine Amazon S3 S3-Speicherklasse verwenden, die Macie unterstützt. Das Objekt muss außerdem eine Dateinamenerweiterung für ein Datei- oder Speicherformat haben, das Macie unterstützt. Wenn ein Objekt diese Kriterien nicht erfüllt, wird das Objekt als nicht *klassifizierbares* Objekt behandelt. Macie versucht nicht, Daten in nicht klassifizierbaren Objekten abzurufen oder zu analysieren.
*Wenn es sich bei allen Objekten in einem S3-Bucket um nicht klassifizierbare Objekte handelt, ist der gesamte Bucket ein nicht klassifizierbarer Bucket.* Macie kann keine automatische Erkennung sensibler Daten für den Bucket durchführen.
**Anleitung zur Problembehebung**
Um dieses Problem zu beheben, überprüfen Sie die Lebenszykluskonfigurationsregeln und andere Einstellungen, die festlegen, welche Speicherklassen zum Speichern von Objekten im S3-Bucket verwendet werden. Erwägen Sie, diese Einstellungen anzupassen, um Speicherklassen zu verwenden, die Macie unterstützt. Sie können auch die Speicherklasse vorhandener Objekte im Bucket ändern.
Beurteilen Sie auch die Datei- und Speicherformate vorhandener Objekte im S3-Bucket. Um die Objekte zu analysieren, sollten Sie erwägen, die Daten vorübergehend oder dauerhaft auf neue Objekte zu portieren, die ein unterstütztes Format verwenden.
Wenn Objekte zum S3-Bucket hinzugefügt werden und diese eine unterstützte Speicherklasse und ein unterstütztes Speicherformat verwenden, erkennt Macie die Objekte bei der nächsten Auswertung Ihres Bucket-Inventars. In diesem Fall wird Macie *nicht mehr melden, dass der Bucket in Statistiken, Abdeckungsdaten und anderen Informationen, die er über Ihre Amazon S3 S3-Daten bereitstellt, nicht klassifizierbar* ist. Darüber hinaus werden die neuen Objekte bei der Analyse in einem nachfolgenden Analysezyklus eine höhere Priorität haben.
**Zusätzliche Referenz**
Informationen zu den Amazon S3 S3-Speicherklassen und den Datei- und Speicherformaten, die Macie unterstützt, finden Sie unter[Unterstützte Speicherklassen und Formate](discovery-supported-storage.md). Informationen zu den Lebenszykluskonfigurationsregeln und den Speicherklassenoptionen, die Amazon S3 bietet, finden Sie unter [Verwaltung Ihres Speicherlebenszyklus](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html) und [Verwenden von Amazon S3 S3-Speicherklassen](https://docs.aws.amazon.com/AmazonS3/latest/userguide/storage-class-intro.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.
# Anpassen der Empfindlichkeitswerte für S3-Buckets
Bei der Überprüfung und Auswertung von Statistiken, Daten und anderen Ergebnissen der automatisierten Erkennung vertraulicher Daten kann es vorkommen, dass Sie die Sensitivitätsbeurteilungen Ihrer Amazon Simple Storage Service (Amazon S3) -Buckets verfeinern möchten. Möglicherweise möchten Sie auch die Ergebnisse von Untersuchungen erfassen, die Sie oder Ihr Unternehmen für bestimmte Bereiche durchführen. Wenn Sie der Amazon Macie-Administrator einer Organisation sind oder ein eigenständiges Macie-Konto haben, können Sie diese Änderungen vornehmen, indem Sie den Sensitivitätswert und andere Einstellungen für einzelne Buckets anpassen. Wenn Sie ein Mitgliedskonto in einer Organisation haben, arbeiten Sie mit Ihrem Macie-Administrator zusammen, um die Einstellungen für Buckets anzupassen, die Sie besitzen. Nur der Macie-Administrator Ihrer Organisation kann diese Einstellungen für Ihre Buckets anpassen.
Wenn Sie ein Macie-Administrator sind oder ein eigenständiges Macie-Konto haben, können Sie den Sensitivitätswert für einen S3-Bucket auf folgende Weise anpassen:
+ **Weisen Sie eine Sensitivitätsbewertung** zu — Standardmäßig berechnet Macie automatisch die Sensitivitätsbewertung eines Buckets. Die Bewertung basiert hauptsächlich auf der Menge vertraulicher Daten, die Macie in einem Bucket gefunden hat, und auf der Datenmenge, die Macie in einem Bucket analysiert hat. Weitere Informationen finden Sie unter [Sensitivitätsbewertung für S3-Buckets](discovery-scoring-s3.md).
Sie können die berechnete Punktzahl eines Buckets überschreiben und manuell die maximale Punktzahl (*100*) zuweisen, wodurch dem Bucket auch die Bezeichnung *Sensibel* zugewiesen wird. Wenn Sie dies tun, beendet Macie die automatische Erkennung sensibler Daten für den Bucket, da Buckets mit einer Punktzahl von 100 vom weiteren Scannen ausgeschlossen sind. Um die Punktzahl erneut automatisch zu berechnen und den Scanvorgang fortzusetzen, ändern Sie die Einstellung erneut.
+ **Vertrauliche Datentypen ausschließen oder in die Vertraulichkeitsbewertung einbeziehen** — Wenn sie automatisch berechnet wird, basiert die Vertraulichkeitsbewertung eines Buckets teilweise auf der Menge vertraulicher Daten, die Macie in dem Bucket gefunden hat. Dies ergibt sich hauptsächlich aus der Art und Anzahl der sensiblen Datentypen, die Macie gefunden hat, sowie aus der Anzahl der Vorkommen jedes Typs. Standardmäßig bezieht Macie bei der Berechnung der Punktzahl eines Buckets Vorkommen aller Arten vertraulicher Daten mit ein.
Sie können die Berechnung anpassen, indem Sie bestimmte Arten sensibler Daten aus der Punktzahl eines Buckets ausschließen oder einbeziehen. Wenn Macie beispielsweise Postanschriften in einem Bucket entdeckt hat und Sie feststellen, dass dies akzeptabel ist, können Sie alle Vorkommen von Postanschriften aus dem Bucket-Score ausschließen. Wenn Sie einen sensiblen Datentyp ausschließen, durchsucht Macie den Bucket weiterhin auf diesen Datentyp und meldet die gefundenen Vorkommnisse. Diese Vorkommnisse wirken sich jedoch nicht auf die Punktzahl des Buckets aus. Um einen sensiblen Datentyp wieder in die Bewertung einzubeziehen, ändern Sie die Einstellung erneut.
Sie können einen S3-Bucket auch von nachfolgenden Analysen ausschließen. Wenn Sie einen Bucket ausschließen, bleiben die vorhandenen Statistiken und Details zur Erkennung sensibler Daten für den Bucket bestehen. Beispielsweise bleibt der aktuelle Sensibilitätswert des Buckets unverändert. Macie beendet jedoch die Analyse von Objekten im Bucket, wenn es eine automatische Erkennung sensibler Daten durchführt. Nachdem Sie einen Bucket ausgeschlossen haben, können Sie ihn später wieder aufnehmen.
Wenn Sie eine Einstellung ändern, die sich auf den Sensitivitätswert für einen S3-Bucket auswirkt, beginnt Macie sofort mit der Neuberechnung des Scores. Macie aktualisiert auch relevante Statistiken und andere Informationen, die es über den Bucket und Ihre Amazon S3 S3-Daten insgesamt bereitstellt. Wenn Sie beispielsweise einem Bucket die maximale Punktzahl zuweisen, erhöht Macie die Anzahl *sensibler* Buckets in aggregierten Statistiken.
**Um den Sensitivitätswert oder andere Einstellungen für einen S3-Bucket anzupassen**
Um den Empfindlichkeitswert oder andere Einstellungen für einen S3-Bucket anzupassen, können Sie die Amazon Macie Macie-Konsole oder die Amazon Macie Macie-API verwenden.
------
#### [ Console ]
Gehen Sie wie folgt vor, um den Empfindlichkeitswert oder eine Einstellung für einen S3-Bucket mithilfe der Amazon Macie Macie-Konsole anzupassen.
1. Öffnen Sie die Amazon Macie Macie-Konsole unter [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/).
1. Wählen Sie im Navigationsbereich **S3-Buckets** aus. Auf der Seite **S3-Buckets** wird Ihr Bucket-Inventar angezeigt.
Standardmäßig werden auf der Seite keine Daten für Buckets angezeigt, die derzeit von Analysen ausgeschlossen sind. Wenn Sie der Macie-Administrator einer Organisation sind, werden dort auch keine Daten für Konten angezeigt, für die die automatische Erkennung sensibler Daten derzeit deaktiviert ist. **Um diese Daten anzuzeigen, wählen Sie im Filtertoken **Wird durch automatische Erkennung überwacht** unter dem Filter die Option X.**
1. Wählen Sie den S3-Bucket aus, dessen Einstellung angepasst werden muss. Sie können den Bucket mithilfe der Tabellenansicht (![\[The table view button, which is a button that displays three black horizontal lines.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/btn-s3-table-view.png)) oder der interaktiven Karte (![\[The map view button, which is a button that displays four black squares.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/btn-s3-map-view.png)) auswählen.
1. Führen Sie im Detailbereich einen der folgenden Schritte aus:
+ Um die berechnete Sensitivitätsbewertung zu überschreiben und manuell eine Punktzahl zuzuweisen, aktivieren Sie die **Option Höchstpunktzahl zuweisen** (![\[A toggle switch with a gray background and the toggle positioned to the left.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/tgl-gray-off.png)). Dadurch wird die Punktzahl des Buckets auf *100* geändert und dem Bucket die Bezeichnung *Sensibel* zugewiesen.
+ Um eine Vertraulichkeitsbewertung zuzuweisen, die Macie automatisch berechnet, deaktivieren Sie die Option **Höchstpunktzahl zuweisen** ()![\[A toggle switch with a blue background and the toggle positioned to the right.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/tgl-blue-on.png).
+ Um bestimmte Arten vertraulicher Daten von der Vertraulichkeitsbewertung auszuschließen oder in die Vertraulichkeitsbewertung aufzunehmen, wählen Sie die Registerkarte **Sensitivität**. Aktivieren Sie in der Tabelle **Erkennungen** das Kontrollkästchen für den vertraulichen Datentyp, den Sie ausschließen oder einschließen möchten. Wählen Sie anschließend im Menü **Aktionen** die Option Aus der **Bewertung ausschließen aus**, um den Typ auszuschließen, oder wählen Sie **In Bewertung einbeziehen**, um den Typ einzubeziehen.
In der Tabelle gibt das Feld **Vertraulicher Datentyp** den verwalteten Datenbezeichner oder den benutzerdefinierten Datenbezeichner an, der die Daten erkannt hat. Bei einer verwalteten Daten-ID handelt es sich dabei um eine eindeutige Kennung (ID), die den Typ der sensiblen Daten beschreibt, die mit der Kennung erkannt werden sollen, z. B. **USA\$1PASSPORT\$1NUMBER für US-Passnummern**. Einzelheiten zu den einzelnen verwalteten Datenkennungen finden Sie unter. [Verwenden von verwalteten Datenbezeichnern](managed-data-identifiers.md)
+ Um den Bucket von nachfolgenden Analysen auszuschließen, aktivieren Sie „**Aus automatisierter Erkennung ausschließen**“ (![\[A toggle switch with a gray background and the toggle positioned to the left.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/tgl-gray-off.png)).
+ Um den Bucket in nachfolgende Analysen einzubeziehen, deaktivieren Sie, falls Sie ihn zuvor ausgeschlossen haben, die **Option Aus automatisierter Erkennung ausschließen** (![\[A toggle switch with a blue background and the toggle positioned to the right.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/tgl-blue-on.png)).
------
#### [ API ]
Um den Sensitivitätswert oder eine Einstellung für einen S3-Bucket programmgesteuert anzupassen, haben Sie mehrere Möglichkeiten. Die passende Option hängt davon ab, was Sie anpassen möchten.
**Weisen Sie einen Empfindlichkeitswert zu**
Verwenden Sie die [UpdateResourceProfile](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles.html)Operation, um einem S3-Bucket eine Sensitivitätsbewertung zuzuweisen. Verwenden Sie in Ihrer Anfrage den `resourceArn` Parameter, um den Amazon-Ressourcennamen (ARN) des Buckets anzugeben. Führen Sie für den `sensitivityScoreOverride` Parameter einen der folgenden Schritte aus:
+ Um die berechnete Punktzahl zu überschreiben und die maximale Punktzahl manuell zuzuweisen, geben Sie an`100`.
+ Um eine Punktzahl zuzuweisen, die Macie automatisch berechnet, lassen Sie den Parameter weg. Wenn dieser Parameter Null ist, berechnet Macie die Punktzahl und weist sie zu.
Wenn Sie AWS Command Line Interface (AWS CLI) verwenden, führen Sie den [update-resource-profile](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-resource-profile.html)Befehl aus, um einem S3-Bucket eine Sensitivitätsbewertung zuzuweisen. Verwenden Sie in Ihrer Anfrage den `resource-arn` Parameter, um den ARN des Buckets anzugeben. Lassen Sie den `sensitivity-score-override` Parameter weg oder verwenden Sie ihn, um anzugeben, welche Punktzahl zugewiesen werden soll.
Wenn Ihre Anfrage erfolgreich ist, weist Macie die angegebene Punktzahl zu und gibt eine leere Antwort zurück.
**Schließen Sie sensible Datentypen aus oder nehmen Sie sie in die Vertraulichkeitsbewertung auf**
Verwenden Sie die [UpdateResourceProfileDetections](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles-detections.html)Operation, um sensible Datentypen in die Vertraulichkeitsbewertung für einen S3-Bucket auszuschließen oder aufzunehmen. Wenn Sie diesen Vorgang verwenden, überschreiben Sie die aktuellen Ein- und Ausschlusseinstellungen für die Punktzahl eines Buckets. Daher empfiehlt es sich, zunächst die aktuellen Einstellungen abzurufen und zu bestimmen, welche Sie behalten möchten. Verwenden Sie den [ListResourceProfileDetections](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles-detections.html)Vorgang, um die aktuellen Einstellungen abzurufen.
Wenn Sie bereit sind, die Einstellungen zu aktualisieren, verwenden Sie den `resourceArn` Parameter, um den ARN des S3-Buckets anzugeben. Führen Sie für den `suppressDataIdentifiers` Parameter einen der folgenden Schritte aus:
+ Um einen sensiblen Datentyp von der Bewertung des Buckets auszuschließen, verwenden Sie den `type` Parameter, um den Typ der Daten-ID anzugeben, mit der die Daten erkannt wurden, eine verwaltete Daten-ID (`MANAGED`) oder eine benutzerdefinierte Daten-ID (`CUSTOM`). Verwenden Sie den `id` Parameter, um die eindeutige Kennung für die verwaltete oder benutzerdefinierte Daten-ID anzugeben, die die Daten erkannt hat.
+ Um einen sensiblen Datentyp in die Bewertung des Buckets einzubeziehen, geben Sie keine Details für den verwalteten oder benutzerdefinierten Datenbezeichner an, der die Daten erkannt hat.
+ Um alle sensiblen Datentypen in die Bewertung des Buckets einzubeziehen, geben Sie keine Werte an. Wenn der Wert für den `suppressDataIdentifiers` Parameter Null (leer) ist, bezieht Macie bei der Berechnung der Punktzahl alle Erkennungstypen mit ein.
Wenn Sie den verwenden AWS CLI, führen Sie den [update-resource-profile-detections](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-resource-profile-detections.html)Befehl aus, um sensible Datentypen auszuschließen oder in die Vertraulichkeitsbewertung für einen S3-Bucket aufzunehmen. Verwenden Sie den `resource-arn` Parameter, um den ARN des Buckets anzugeben. Verwenden Sie den `suppress-data-identifiers` Parameter, um anzugeben, welche sensiblen Datentypen ausgeschlossen oder in die Bewertung des Buckets aufgenommen werden sollen. Führen Sie den [list-resource-profile-detections](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-resource-profile-detections.html)Befehl aus, um zunächst die aktuellen Einstellungen für den Bucket abzurufen und zu überprüfen.
Wenn Ihre Anfrage erfolgreich ist, aktualisiert Macie die Einstellungen und gibt eine leere Antwort zurück.
**Schließen Sie einen S3-Bucket aus oder nehmen Sie ihn in Analysen auf**
Verwenden Sie die [UpdateClassificationScope](https://docs.aws.amazon.com/macie/latest/APIReference/classification-scopes-id.html)Operation, um einen S3-Bucket auszuschließen oder anschließend in Analysen einzubeziehen. Oder, wenn Sie den verwenden AWS CLI, führen Sie den [update-classification-scope](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-classification-scope.html)Befehl aus. Weitere Informationen und Beispiele finden Sie unter[S3-Buckets bei der automatisierten Erkennung sensibler Daten ausschließen oder einbeziehen](discovery-asdd-account-configure.md#discovery-asdd-account-configure-s3buckets).
Die folgenden Beispiele zeigen, wie Sie mit AWS CLI dem individuelle Einstellungen für einen S3-Bucket anpassen können. In diesem ersten Beispiel wird einem Bucket manuell der maximale Sensitivitätswert (`100`) zugewiesen. Es überschreibt den berechneten Wert des Buckets.
```
$ aws macie2 update-resource-profile --resource-arn arn:aws:s3:::amzn-s3-demo-bucket --sensitivity-score-override 100
```
Wo *arn:aws:s3:::amzn-s3-demo-bucket* ist der ARN des S3-Buckets.
Im nächsten Beispiel wird der Sensitivitätswert für einen S3-Bucket in einen Wert geändert, den Macie automatisch berechnet. Dem Bucket ist derzeit eine manuell zugewiesene Punktzahl zugewiesen, die die berechnete Punktzahl überschreibt. In diesem Beispiel wird diese Überschreibung entfernt, indem der `sensitivity-score-override` Parameter in der Anfrage weggelassen wird.
```
$ aws macie2 update-resource-profile --resource-arn arn:aws:s3:::amzn-s3-demo-bucket2
```
Wo *arn:aws:s3:::amzn-s3-demo-bucket2* ist der ARN des S3-Buckets.
In den folgenden Beispielen werden bestimmte Arten vertraulicher Daten von der Sensitivitätsbewertung für einen S3-Bucket ausgeschlossen. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.
```
$ aws macie2 update-resource-profile-detections \
--resource-arn arn:aws:s3:::amzn-s3-demo-bucket3 \
--suppress-data-identifiers '[{"type":"MANAGED","id":"ADDRESS"},{"type":"CUSTOM","id":"3293a69d-4a1e-4a07-8715-208ddexample"}]'
```
Dieses Beispiel ist für Microsoft Windows formatiert und verwendet das Zeilenfortsetzungszeichen Caret (^), um die Lesbarkeit zu verbessern.
```
C:\> aws macie2 update-resource-profile-detections ^
--resource-arn arn:aws:s3:::amzn-s3-demo-bucket3 ^
--suppress-data-identifiers=[{\"type\":\"MANAGED\",\"id\":\"ADDRESS\"},{\"type\":\"CUSTOM\",\"id\":\"3293a69d-4a1e-4a07-8715-208ddexample\"}]
```
Wobei Folgendes gilt:
+ *arn:aws:s3:::amzn-s3-demo-bucket3*ist der ARN des S3-Buckets.
+ *ADDRESS*ist der eindeutige Bezeichner für den verwalteten Datenbezeichner, der eine Art vertraulicher Daten erkannt hat, die ausgeschlossen werden sollten (Postanschriften).
+ *3293a69d-4a1e-4a07-8715-208ddexample*ist der eindeutige Bezeichner für den benutzerdefinierten Datenbezeichner, der einen Typ vertraulicher Daten erkannt hat, der ausgeschlossen werden sollte.
In der nächsten Reihe von Beispielen werden später alle Arten vertraulicher Daten in die Vertraulichkeitsbewertung für den S3-Bucket aufgenommen. Es überschreibt die aktuellen Ausschlusseinstellungen für den Bucket, indem ein leerer Wert (Null) für den `suppress-data-identifiers` Parameter angegeben wird. Für Linux, macOS oder Unix:
```
$ aws macie2 update-resource-profile-detections --resource-arn arn:aws:s3:::amzn-s3-demo-bucket3 --suppress-data-identifiers '[]'
```
Für Microsoft Windows:
```
C:\> aws macie2 update-resource-profile-detections --resource-arn arn:aws:s3:::amzn-s3-demo-bucket3 --suppress-data-identifiers=[]
```
Wo *arn:aws:s3:::amzn-s3-demo-bucket3* ist der ARN des S3-Buckets.
------
# Empfindlichkeitsbewertung für S3-Buckets
Wenn die automatische Erkennung sensibler Daten aktiviert ist, berechnet Amazon Macie automatisch jedem Allzweck-Bucket von Amazon Simple Storage Service (Amazon S3), den es für ein Konto oder eine Organisation überwacht und analysiert, und weist ihm eine Vertraulichkeitsbewertung zu. Ein *Sensitivitätswert* ist eine quantitative Darstellung der Menge sensibler Daten, die ein S3-Bucket enthalten kann. Basierend auf dieser Bewertung weist Macie jedem Bucket auch ein Sensibilitätslabel zu. Ein *Sensitivitätslabel* ist eine qualitative Darstellung des Sensitivitätswerts eines Buckets. Diese Werte können als Referenzwerte dienen, um zu bestimmen, wo sich sensible Daten in Ihrem Amazon S3-Datenbestand befinden könnten, und um potenzielle Sicherheitsrisiken für diese Daten zu identifizieren und zu überwachen.
Standardmäßig spiegeln die Sensitivitätsbewertung und das Label eines S3-Buckets die Ergebnisse automatisierter Aktivitäten zur Erkennung sensibler Daten wider, die Macie bisher für den Bucket durchgeführt hat. Sie spiegeln nicht die Ergebnisse von Aufträgen zur Erkennung sensibler Daten wider, die Sie erstellen und ausführen. Darüber hinaus implizieren weder die Punktzahl noch die Bezeichnung die Wichtigkeit oder Bedeutung, die ein Bucket oder die Objekte eines Buckets für Sie oder Ihre Organisation haben könnten, oder geben auf andere Weise an. Sie können die berechnete Punktzahl eines Buckets jedoch überschreiben, indem Sie dem Bucket manuell die maximale Punktzahl (*100*) zuweisen. Dadurch wird dem Bucket auch das Label *Sensitiv* zugewiesen. Um eine berechnete Punktzahl zu überschreiben, müssen Sie der Macie-Administrator für das Konto sein, dem der Bucket gehört, oder Sie müssen über ein eigenständiges Macie-Konto verfügen.
**Topics**
+ [Dimensionen und Bereiche der Sensitivitätsbewertung](#discovery-scoring-s3-dimensions)
+ [Überwachung der Sensitivitätswerte](#discovery-scoring-s3-monitoring)
## Dimensionen und Bereiche der Sensitivitätsbewertung
Wenn er von Amazon Macie berechnet wird, ist der Sensitivitätswert eines S3-Buckets ein quantitatives Maß für den Schnittpunkt zweier Hauptdimensionen:
+ Die Menge sensibler Daten, die Macie im Bucket gefunden hat. Dies ist hauptsächlich auf die Art und Anzahl der vertraulichen Datentypen zurückzuführen, die Macie in dem Bucket gefunden hat, sowie auf die Anzahl der Vorkommen jedes Typs.
+ Die Datenmenge, die Macie im Bucket analysiert hat. Dies ergibt sich hauptsächlich aus der Anzahl der eindeutigen Objekte, die Macie im Bucket analysiert hat, im Verhältnis zur Gesamtzahl der eindeutigen Objekte im Bucket.
Die Sensitivitätsbewertung eines S3-Buckets bestimmt auch, welches Sensibilitätslabel Macie dem Bucket zuweist. **Das Sensitivitätslabel ist eine qualitative Darstellung der Bewertung, z. B. Sensitiv oder Nicht sensibel.** In der Amazon Macie Macie-Konsole bestimmt der Sensitivitätswert eines Buckets auch, welche Farbe Macie verwendet, um den Bucket in Datenvisualisierungen darzustellen, wie in der folgenden Abbildung dargestellt.
![\[Das Farbspektrum für Empfindlichkeitswerte: Blautöne für 1—49, Rottöne für 51-100 und Grau für -1.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/sensitivity-scoring-spectrum.png)
Die Empfindlichkeitswerte reichen von *-1* bis *100*, wie in der folgenden Tabelle beschrieben. Um die Eingaben in die Bewertung eines S3-Buckets einzuschätzen, können Sie sich auf Statistiken zur Erkennung sensibler Daten und andere Details beziehen, die Macie über den Bucket bereitstellt.
| Empfindlichkeitswert | Sensibilitätskennzeichnung | Zusätzliche Informationen |
| --- | --- | --- |
| -1 | Klassifizierungsfehler | Macie hat aufgrund von Klassifizierungsfehlern auf Objektebene — also Problemen mit Berechtigungseinstellungen auf Objektebene, Objektinhalten oder Kontingenten — noch keines der Objekte des Buckets erfolgreich analysiert. Als Macie versuchte, ein oder mehrere Objekte im Bucket zu analysieren, traten Fehler auf. Ein Objekt ist beispielsweise eine falsch formatierte Datei, oder ein Objekt ist mit einem Schlüssel verschlüsselt, auf den Macie nicht zugreifen kann oder den er nicht verwenden darf. Mithilfe der Deckungsdaten für den Bucket können Sie die Fehler untersuchen und beheben. Weitere Informationen finden Sie unter [Bewertung der Reichweite automatisierter Erkennung sensibler Daten](discovery-coverage.md). Macie wird weiterhin versuchen, Objekte im Bucket zu analysieren. Wenn Macie ein Objekt erfolgreich analysiert, aktualisiert Macie den Sensitivitätswert und die Bezeichnung des Buckets, um die Ergebnisse der Analyse widerzuspiegeln. |
| 1-49 | Nicht sensibel | In diesem Bereich weist ein höherer Wert, z. B. *49*, darauf hin, dass Macie relativ wenige Objekte im Bucket analysiert hat. Ein niedrigerer Wert, z. B. *1*, bedeutet, dass Macie viele Objekte im Bucket analysiert hat (im Verhältnis zur Gesamtzahl der Objekte im Bucket) und relativ wenige Typen und Vorkommen sensibler Daten in diesen Objekten entdeckt hat. Ein Wert von *1* kann auch bedeuten, dass der Bucket keine Objekte speichert oder dass alle Objekte im Bucket null (0) Byte an Daten enthalten. Mithilfe der Objektstatistiken in den Details des Buckets können Sie feststellen, ob dies der Fall ist. Weitere Informationen finden Sie unter [Überprüfung der S3-Bucket-Details](discovery-asdd-results-s3-inventory-details.md). |
| 50 | Noch nicht analysiert | Macie hat noch nicht versucht, eines der Objekte des Buckets zu analysieren oder zu analysieren. Macie weist diese Bewertung automatisch zu, wenn die automatische Erkennung anfänglich aktiviert ist oder ein Bucket zum Bucket-Inventar für ein Konto hinzugefügt wird. In einer Organisation kann ein Bucket diese Bewertung auch dann haben, wenn die automatische Erkennung für das Konto, dem der Bucket gehört, noch nie aktiviert wurde. Ein Wert von *50* kann auch bedeuten, dass die Berechtigungseinstellungen des Buckets Macie daran hindern, auf den Bucket oder die Objekte des Buckets zuzugreifen. Dies ist in der Regel auf eine restriktive Bucket-Richtlinie zurückzuführen. Anhand der Details des Buckets können Sie feststellen, ob dies der Fall ist, da Macie nur eine Teilmenge der Informationen über den Bucket bereitstellen kann. Informationen zur Behebung dieses Problems finden Sie unter. [Macie darf auf S3-Buckets und -Objekte zugreifen](monitoring-restrictive-s3-buckets.md) |
| 51-99 | Sensibel | Ein höherer Wert in diesem Bereich, z. B. *99*, bedeutet, dass Macie viele Objekte im Bucket analysiert hat (im Verhältnis zur Gesamtzahl der Objekte im Bucket) und viele Arten und Vorkommen sensibler Daten in diesen Objekten entdeckt hat. Ein niedrigerer Wert, z. B. *51*, weist darauf hin, dass Macie eine moderate Anzahl von Objekten im Bucket analysiert hat (im Verhältnis zur Gesamtzahl der Objekte im Bucket) und mindestens einige Typen und Vorkommen sensibler Daten in diesen Objekten entdeckt hat. |
| 100 | Sensibel | Die Punktzahl wurde dem Bucket manuell zugewiesen, wodurch die berechnete Punktzahl außer Kraft gesetzt wurde. Macie weist diese Punktzahl keinen Buckets zu. |
## Überwachung der Sensitivitätswerte
Wenn die automatische Erkennung sensibler Daten anfänglich für ein Konto aktiviert ist, weist Amazon Macie jedem S3-Bucket, den das Konto besitzt, automatisch eine Vertraulichkeitsbewertung von *50* zu. Macie weist diese Bewertung auch einem Bucket zu, wenn der Bucket dem Bucket-Inventar für ein Konto hinzugefügt wird. Basierend auf dieser Bewertung wurde das Sensitivitätslabel jedes Buckets *noch nicht analysiert*. Die Ausnahme ist ein leerer Bucket. Dabei handelt es sich um einen Bucket, der keine Objekte speichert oder alle Objekte im Bucket null (0) Byte an Daten enthalten. Wenn dies bei einem Bucket der Fall ist, weist Macie dem Bucket eine Punktzahl von *1* zu und die Sensitivitätsbezeichnung des Buckets lautet *Nicht* sensitiv.
Da die automatische Erkennung sensibler Daten täglich voranschreitet, aktualisiert Macie die Sensibilitätswerte und Kennzeichnungen für S3-Buckets, um die Ergebnisse seiner Analyse widerzuspiegeln. Beispiel:
+ Wenn Macie keine sensiblen Daten in einem Objekt findet, senkt Macie den Sensitivitätswert des Buckets und aktualisiert das Sensibilitätslabel nach Bedarf.
+ Wenn Macie sensible Daten in einem Objekt findet, erhöht Macie den Sensitivitätswert des Buckets und aktualisiert die Vertraulichkeitsbeschriftung nach Bedarf.
+ Wenn Macie sensible Daten in einem Objekt findet, das später geändert wurde, entfernt Macie die Erkennungen sensibler Daten für das Objekt aus der Vertraulichkeitsbewertung des Buckets und aktualisiert die Vertraulichkeitsbeschriftung nach Bedarf.
+ Wenn Macie sensible Daten in einem Objekt findet, das anschließend gelöscht wird, entfernt Macie die Erkennungen sensibler Daten für das Objekt aus der Vertraulichkeitsbewertung des Buckets und aktualisiert die Vertraulichkeitsbeschriftung nach Bedarf.
+ Wenn ein Objekt zu einem Bucket hinzugefügt wird, der zuvor leer war, und Macie sensible Daten in dem Objekt findet, erhöht Macie den Vertraulichkeitswert des Buckets und aktualisiert die Vertraulichkeitsbeschriftung nach Bedarf.
+ *Wenn die Berechtigungseinstellungen eines Buckets Macie daran hindern, auf Informationen über den Bucket oder die Objekte des Buckets zuzugreifen oder diese abzurufen, ändert Macie den Sensitivitätswert des Buckets auf *50* und ändert die Vertraulichkeitsbeschriftung des Buckets auf Noch nicht analysiert.*
Die Analyseergebnisse können innerhalb von 48 Stunden nach der Aktivierung der automatischen Erkennung sensibler Daten für ein Konto angezeigt werden.
Wenn Sie der Macie-Administrator einer Organisation sind oder über ein eigenständiges Macie-Konto verfügen, können Sie die Einstellungen für die Vertraulichkeitsbewertung für Ihre Organisation oder Ihr Konto anpassen:
+ Um die Einstellungen für nachfolgende Analysen aller S3-Buckets anzupassen, ändern Sie die Einstellungen für Ihr Konto. Sie können damit beginnen, bestimmte verwaltete Datenkennungen, benutzerdefinierte Datenkennungen oder Zulassungslisten aufzunehmen oder auszuschließen. Sie können auch bestimmte Buckets ausschließen. Weitere Informationen finden Sie unter [Konfiguration der Einstellungen für die automatische Erkennung](discovery-asdd-account-configure.md).
+ Um die Einstellungen für einzelne S3-Buckets anzupassen, ändern Sie die Einstellungen für jeden Bucket. Sie können bestimmte Arten sensibler Daten in die Bewertung eines Buckets einbeziehen oder daraus ausschließen. Sie können auch angeben, ob einem Bucket eine automatisch berechnete Punktzahl zugewiesen werden soll. Weitere Informationen finden Sie unter [Anpassen der Empfindlichkeitswerte für S3-Buckets](discovery-asdd-s3bucket-manage.md).
Wenn Sie die automatische Erkennung sensibler Daten deaktivieren, variiert der Effekt je nach vorhandenen Sensibilitätswerten und Labels. Wenn Sie es für ein Mitgliedskonto in einer Organisation deaktivieren, bleiben die vorhandenen Bewertungen und Labels für S3-Buckets bestehen, die dem Konto gehören. Wenn Sie es für eine gesamte Organisation oder ein eigenständiges Macie-Konto deaktivieren, bleiben die vorhandenen Ergebnisse und Labels nur 30 Tage lang bestehen. Nach 30 Tagen setzt Macie die Punktzahlen und Labels für alle Bereiche zurück, die der Organisation oder dem Konto gehören. Wenn ein Bucket Objekte speichert, ändert Macie den Wert auf *50* und weist dem Bucket das Label *Noch nicht analysiert* zu. Wenn ein Bucket leer ist, ändert Macie den Wert auf *1* und weist dem Bucket das Label *Nicht sensibel* zu. Nach diesem Reset beendet Macie die Aktualisierung der Vertraulichkeitsbewertungen und Labels für die Buckets, es sei denn, Sie aktivieren erneut die automatische Erkennung sensibler Daten für die Organisation oder das Konto.
# Standardeinstellungen für die automatische Erkennung sensibler Daten
Wenn die automatische Erkennung sensibler Daten aktiviert ist, wählt Amazon Macie automatisch Musterobjekte aus allen Allzweck-Buckets von Amazon Simple Storage Service (Amazon S3) für Ihr Konto aus und analysiert sie. Wenn Sie der Macie-Administrator einer Organisation sind, umfasst dies standardmäßig S3-Buckets, die Ihren Mitgliedskonten gehören.
Wenn Sie ein Macie-Administrator sind oder ein eigenständiges Macie-Konto haben, können Sie den Umfang der Analysen verfeinern, indem Sie bestimmte S3-Buckets von der automatisierten Erkennung sensibler Daten ausschließen. Sie können dies auf zwei Arten tun: indem Sie die Einstellungen für Ihr Konto ändern und indem Sie die Einstellungen für einzelne Buckets ändern. Als Macie-Administrator können Sie auch die automatische Erkennung sensibler Daten für einzelne Konten in Ihrer Organisation aktivieren oder deaktivieren.
Standardmäßig analysiert Macie S3-Objekte nur anhand der verwalteten Datenkennungen, die wir für die automatische Erkennung sensibler Daten empfehlen. Macie verwendet keine benutzerdefinierten Datenbezeichner oder Zulassungslisten, die Sie definiert haben. Wenn Sie ein Macie-Administrator sind oder ein eigenständiges Macie-Konto haben, können Sie die Analysen anpassen, indem Sie Macie so konfigurieren, dass es bestimmte verwaltete Datenkennungen, benutzerdefinierte Datenkennungen und Zulassungslisten verwendet. Sie können dies tun, indem Sie die Einstellungen für Ihr Konto ändern.
Informationen zum Ändern Ihrer Einstellungen finden Sie unter[Konfiguration von Einstellungen für die automatische Erkennung sensibler Daten](discovery-asdd-account-configure.md).
**Topics**
+ [Standard-Identifikatoren für verwaltete Daten](#discovery-asdd-settings-defaults-mdis)
+ [Aktualisierungen der Standardeinstellungen](#discovery-asdd-mdis-default-updates)
## Standardmäßig verwaltete Datenkennungen für die automatische Erkennung sensibler Daten
Standardmäßig analysiert Amazon Macie S3-Objekte, indem es nur den Satz verwalteter Datenbezeichner verwendet, den wir für die automatische Erkennung sensibler Daten empfehlen. Dieser Standardsatz verwalteter Datenbezeichner dient zur Erkennung gängiger Kategorien und Typen vertraulicher Daten. Basierend auf unseren Recherchen kann es allgemeine Kategorien und Typen sensibler Daten erkennen und gleichzeitig Ihre Ergebnisse optimieren, indem es Rauschen reduziert.
Die Standardeinstellung ist dynamisch. Wenn wir neue Identifikatoren für verwaltete Daten veröffentlichen, fügen wir sie dem Standardsatz hinzu, wenn sie dazu beitragen, Ihre Ergebnisse der automatisierten Erkennung sensibler Daten weiter zu optimieren. Im Laufe der Zeit können wir dem Set auch bestehende Identifikatoren für verwaltete Daten hinzufügen oder daraus entfernen. Das Entfernen einer verwalteten Daten-ID hat keine Auswirkungen auf bestehende Statistiken und Details zur Erkennung sensibler Daten für Ihre S3-Buckets. Wenn wir beispielsweise die verwaltete Daten-ID für einen Typ vertraulicher Daten entfernen, den Macie zuvor in einem Bucket entdeckt hat, meldet Macie diese Erkennungen weiterhin. Wenn wir eine verwaltete Daten-ID zum Standardsatz hinzufügen oder daraus entfernen, aktualisieren wir diese Seite, um Art und Zeitpunkt der Änderung anzugeben. Wenn Sie automatische Benachrichtigungen über diese Änderungen erhalten möchten, können Sie den RSS-Feed auf der [Macie-Dokumentverlaufsseite](doc-history.md) abonnieren.
In den folgenden Themen sind die verwalteten Datenbezeichner aufgeführt, die derzeit im Standardsatz enthalten sind, geordnet nach Kategorie und Typ vertraulicher Daten. Sie geben den eindeutigen Bezeichner (ID) für jeden verwalteten Datenbezeichner im Satz an. Diese ID beschreibt die Art der sensiblen Daten, die ein verwalteter Datenbezeichner erkennen soll, z. B. `PGP_PRIVATE_KEY` für private PGP-Schlüssel und `USA_PASSPORT_NUMBER` für US-Passnummern. Wenn Sie Ihre Einstellungen für die automatische Erkennung sensibler Daten ändern, können Sie diese ID verwenden, um eine verwaltete Daten-ID explizit von nachfolgenden Analysen auszuschließen.
**Topics**
+ [Anmeldeinformationen](#discovery-asdd-settings-defaults-mdis-credentials)
+ [Finanzinformationen](#discovery-asdd-settings-defaults-mdis-financial)
+ [Persönlich Identifizierbare Informationen (PII)](#discovery-asdd-settings-defaults-mdis-pii)
Einzelheiten zu bestimmten Kennungen für verwaltete Daten oder eine vollständige Liste aller verwalteten Datenkennungen, die Macie derzeit bereitstellt, finden Sie unter. [Verwenden von verwalteten Datenbezeichnern](managed-data-identifiers.md)
### Anmeldeinformationen
Um das Vorkommen von Anmeldedaten in S3-Objekten zu erkennen, verwendet Macie standardmäßig die folgenden verwalteten Datenbezeichner.
| Vertraulicher Datentyp | ID der verwalteten Datenkennung |
| --- | --- |
| AWS geheimer Zugriffsschlüssel | AWS\$1CREDENTIALS |
| Header für die grundlegende HTTP-Autorisierung | HTTP\$1BASIC\$1AUTH\$1HEADER |
| Privater OpenSSH-Schlüssel | OPENSSH\$1PRIVATE\$1KEY |
| Privater PGP-Schlüssel | PGP\$1PRIVATE\$1KEY |
| Privater Schlüssel nach dem Public Key Cryptography Standard (PKCS) | PKCS |
| Privater PuTTY-Schlüssel | PUTTY\$1PRIVATE\$1KEY |
### Finanzinformationen
Um das Vorkommen von Finanzinformationen in S3-Objekten zu erkennen, verwendet Macie standardmäßig die folgenden verwalteten Datenkennungen.
| Vertraulicher Datentyp | ID der verwalteten Datenkennung |
| --- | --- |
| Magnetstreifendaten der Kreditkarte | CREDIT\$1CARD\$1MAGNETIC\$1STRIPE |
| Kreditkartennummer | CREDIT\$1CARD\$1NUMBER(für Kreditkartennummern in der Nähe eines Schlüsselworts) |
### Persönlich Identifizierbare Informationen (PII)
Um das Vorkommen personenbezogener Daten (PII) in S3-Objekten zu erkennen, verwendet Macie standardmäßig die folgenden verwalteten Datenkennungen.
| Vertraulicher Datentyp | ID der verwalteten Datenkennung |
| --- | --- |
| Identifikationsnummer des Führerscheins | CANADA\$1DRIVERS\$1LICENSE, DRIVERS\$1LICENSE(für die USA), UK\$1DRIVERS\$1LICENSE |
| Nummer der Wählerliste | UK\$1ELECTORAL\$1ROLL\$1NUMBER |
| Nationale Identifikationsnummern | FRANCE\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, GERMANY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, SPAIN\$1DNI\$1NUMBER |
| Landesversicherungsnummer (NINO) | UK\$1NATIONAL\$1INSURANCE\$1NUMBER |
| Passnummer | CANADA\$1PASSPORT\$1NUMBER, FRANCE\$1PASSPORT\$1NUMBER, GERMANY\$1PASSPORT\$1NUMBER, ITALY\$1PASSPORT\$1NUMBER, SPAIN\$1PASSPORT\$1NUMBER, UK\$1PASSPORT\$1NUMBER, USA\$1PASSPORT\$1NUMBER |
| Sozialversicherungsnummer (SIN) | CANADA\$1SOCIAL\$1INSURANCE\$1NUMBER |
| Sozialversicherungsnummer (SSN) | SPAIN\$1SOCIAL\$1SECURITY\$1NUMBER, USA\$1SOCIAL\$1SECURITY\$1NUMBER |
| Steuerpflichtigen-Identifikationsnummer oder Referenznummer | AUSTRALIA\$1TAX\$1FILE\$1NUMBER, BRAZIL\$1CPF\$1NUMBER, FRANCE\$1TAX\$1IDENTIFICATION\$1NUMBER, GERMANY\$1TAX\$1IDENTIFICATION\$1NUMBER, SPAIN\$1NIE\$1NUMBER, SPAIN\$1NIF\$1NUMBER, SPAIN\$1TAX\$1IDENTIFICATION\$1NUMBER, USA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER |
## Aktualisierungen der Standardeinstellungen für die automatische Erkennung sensibler Daten
In der folgenden Tabelle werden Änderungen an den Einstellungen beschrieben, die Amazon Macie standardmäßig für die automatische Erkennung sensibler Daten verwendet. Abonnieren Sie den RSS-Feed auf der [Macie-Dokumentverlaufsseite](doc-history.md), um automatische Benachrichtigungen über diese Änderungen zu erhalten.
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| Es wurde ein neuer, dynamischer Satz von standardmäßigen verwalteten Datenkennungen implementiert | Neue Konfigurationen für die automatische Erkennung sensibler Daten basieren jetzt auf einem dynamischen [Standardsatz verwalteter Datenkennungen](#discovery-asdd-settings-defaults-mdis). Wenn Sie die automatische Erkennung sensibler Daten an oder nach diesem Datum zum ersten Mal aktivieren, basiert Ihre Konfiguration auf dem dynamischen Satz. Wenn Sie die automatische Erkennung vertraulicher Daten vor diesem Datum zum ersten Mal aktiviert haben, basiert Ihre Konfiguration auf einem anderen Satz verwalteter Datenkennungen. Weitere Informationen finden Sie in den Hinweisen nach dieser Tabelle. | 02. August 2023 |
| Allgemeine Verfügbarkeit | Erste Version der automatisierten Erkennung sensibler Daten. | 28. November 2022 |
Wenn Sie die automatische Erkennung sensibler Daten ursprünglich vor dem 2. August 2023 aktiviert haben, basiert Ihre Konfiguration nicht auf dem dynamischen Satz von standardmäßigen verwalteten Datenkennungen. Stattdessen basiert sie auf einem statischen Satz verwalteter Datenkennungen, die wir für die erste Version der automatisierten Erkennung sensibler Daten definiert haben, wie in der folgenden Tabelle aufgeführt.
Um festzustellen, wann Sie die automatische Erkennung sensibler Daten ursprünglich aktiviert haben, können Sie die Amazon Macie Macie-Konsole verwenden: Wählen Sie im Navigationsbereich **Automatisierte Erkennung sensibler Daten** und sehen Sie sich dann das Aktivierungsdatum im Abschnitt **Status** an. Sie können dies auch programmgesteuert tun: Verwenden Sie den [GetAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html)Betrieb der Amazon Macie Macie-API und verweisen Sie auf den Wert für das Feld. `firstEnabledAt` Wenn das Datum vor dem 2. August 2023 liegt und Sie damit beginnen möchten, den dynamischen Satz von standardmäßigen verwalteten Datenkennungen zu verwenden, wenden Sie sich an uns, um Unterstützung zu erhalten. AWS Support
In der folgenden Tabelle sind alle verwalteten Datenbezeichner aufgeführt, die sich im statischen Satz befinden. Die Tabelle wird zuerst nach der Kategorie sensibler Daten und dann nach dem Typ sensibler Daten sortiert. Einzelheiten zu bestimmten verwalteten Datenkennungen finden Sie unter[Verwenden von verwalteten Datenbezeichnern](managed-data-identifiers.md).
| Kategorie sensibler Daten | Vertraulicher Datentyp | ID der verwalteten Datenkennung |
| --- | --- | --- |
| Anmeldeinformationen | AWS geheimer Zugriffsschlüssel | AWS\$1CREDENTIALS |
| Anmeldeinformationen | Header für die grundlegende HTTP-Autorisierung | HTTP\$1BASIC\$1AUTH\$1HEADER |
| Anmeldeinformationen | Privater OpenSSH-Schlüssel | OPENSSH\$1PRIVATE\$1KEY |
| Anmeldeinformationen | Privater PGP-Schlüssel | PGP\$1PRIVATE\$1KEY |
| Anmeldeinformationen | Privater Schlüssel nach dem Public Key Cryptography Standard (PKCS) | PKCS |
| Anmeldeinformationen | Privater PuTTY-Schlüssel | PUTTY\$1PRIVATE\$1KEY |
| Finanzinformationen | Bankkontonummer | BANK\$1ACCOUNT\$1NUMBER(für kanadische und US-amerikanische Bankkontonummern), FRANCE\$1BANK\$1ACCOUNT\$1NUMBER, GERMANY\$1BANK\$1ACCOUNT\$1NUMBER, ITALY\$1BANK\$1ACCOUNT\$1NUMBER, SPAIN\$1BANK\$1ACCOUNT\$1NUMBER, UK\$1BANK\$1ACCOUNT\$1NUMBER |
| Finanzinformationen | Ablaufdatum der Kreditkarte | CREDIT\$1CARD\$1EXPIRATION |
| Finanzinformationen | Magnetstreifendaten der Kreditkarte | CREDIT\$1CARD\$1MAGNETIC\$1STRIPE |
| Finanzinformationen | Kreditkartennummer | CREDIT\$1CARD\$1NUMBER(für Kreditkartennummern in der Nähe eines Schlüsselworts) |
| Finanzinformationen | Bestätigungscode für die Kreditkarte | CREDIT\$1CARD\$1SECURITY\$1CODE |
| Persönliche Informationen: Persönliche Gesundheitsinformationen (PHI) | Registrierungsnummer der Drug Enforcement Agency (DEA) | US\$1DRUG\$1ENFORCEMENT\$1AGENCY\$1NUMBER |
| Persönliche Informationen: PHI | Health Insurance Claim Number (HICN) | USA\$1HEALTH\$1INSURANCE\$1CLAIM\$1NUMBER |
| Persönliche Informationen: PHI | Krankenversicherungs- oder medizinische Identifizierungsnummer | CANADA\$1HEALTH\$1NUMBER, EUROPEAN\$1HEALTH\$1INSURANCE\$1CARD\$1NUMBER, FINLAND\$1EUROPEAN\$1HEALTH\$1INSURANCE\$1NUMBER, FRANCE\$1HEALTH\$1INSURANCE\$1NUMBER, UK\$1NHS\$1NUMBER, USA\$1MEDICARE\$1BENEFICIARY\$1IDENTIFIER |
| Persönliche Informationen: PHI | Standardisierte Codes für medizinische Leistungen (HCPCS) | USA\$1HEALTHCARE\$1PROCEDURE\$1CODE |
| Persönliche Informationen: PHI | National Drug Code (NDC) | USA\$1NATIONAL\$1DRUG\$1CODE |
| Persönliche Informationen: PHI | National Provider Identifier (NPI) | USA\$1NATIONAL\$1PROVIDER\$1IDENTIFIER |
| Persönliche Informationen: PHI | Eindeutige Gerätekennung (UDI) | MEDICAL\$1DEVICE\$1UDI |
| Persönliche Informationen: Persönlich identifizierbare Informationen (PII) | Geburtsdatum | DATE\$1OF\$1BIRTH |
| Persönliche Informationen: PII | Identifikationsnummer des Führerscheins | AUSTRALIA\$1DRIVERS\$1LICENSE, AUSTRIA\$1DRIVERS\$1LICENSE, BELGIUM\$1DRIVERS\$1LICENSE, BULGARIA\$1DRIVERS\$1LICENSE, CANADA\$1DRIVERS\$1LICENSE, CROATIA\$1DRIVERS\$1LICENSE, CYPRUS\$1DRIVERS\$1LICENSE, CZECHIA\$1DRIVERS\$1LICENSE, DENMARK\$1DRIVERS\$1LICENSE, DRIVERS\$1LICENSE(für die USA), ESTONIA\$1DRIVERS\$1LICENSE, FINLAND\$1DRIVERS\$1LICENSE, FRANCE\$1DRIVERS\$1LICENSE, GERMANY\$1DRIVERS\$1LICENSE, GREECE\$1DRIVERS\$1LICENSE, HUNGARY\$1DRIVERS\$1LICENSE, IRELAND\$1DRIVERS\$1LICENSE, ITALY\$1DRIVERS\$1LICENSE, LATVIA\$1DRIVERS\$1LICENSE, LITHUANIA\$1DRIVERS\$1LICENSE, LUXEMBOURG\$1DRIVERS\$1LICENSE, MALTA\$1DRIVERS\$1LICENSE, NETHERLANDS\$1DRIVERS\$1LICENSE, POLAND\$1DRIVERS\$1LICENSE, PORTUGAL\$1DRIVERS\$1LICENSE, ROMANIA\$1DRIVERS\$1LICENSE, SLOVAKIA\$1DRIVERS\$1LICENSE, SLOVENIA\$1DRIVERS\$1LICENSE, SPAIN\$1DRIVERS\$1LICENSE, SWEDEN\$1DRIVERS\$1LICENSE, UK\$1DRIVERS\$1LICENSE |
| Persönliche Informationen: PII | Nummer der Wählerliste | UK\$1ELECTORAL\$1ROLL\$1NUMBER |
| Persönliche Informationen: PII | Vollständiger Name | NAME |
| Persönliche Informationen: PII | Koordinaten des globalen Positionierungssystems (GPS) | LATITUDE\$1LONGITUDE |
| Persönliche Informationen: PII | Postanschrift | ADDRESS, BRAZIL\$1CEP\$1CODE |
| Persönliche Informationen: PII | Nationale Identifikationsnummern | BRAZIL\$1RG\$1NUMBER, FRANCE\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, GERMANY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, SPAIN\$1DNI\$1NUMBER |
| Persönliche Informationen: PII | Landesversicherungsnummer (NINO) | UK\$1NATIONAL\$1INSURANCE\$1NUMBER |
| Persönliche Informationen: PII | Passnummer | CANADA\$1PASSPORT\$1NUMBER, FRANCE\$1PASSPORT\$1NUMBER, GERMANY\$1PASSPORT\$1NUMBER, ITALY\$1PASSPORT\$1NUMBER, SPAIN\$1PASSPORT\$1NUMBER, UK\$1PASSPORT\$1NUMBER, USA\$1PASSPORT\$1NUMBER |
| Persönliche Informationen: PII | Ständige Wohnsitznummer | CANADA\$1NATIONAL\$1IDENTIFICATION\$1NUMBER |
| Persönliche Informationen: PII | Phone number (Telefonnummer) | BRAZIL\$1PHONE\$1NUMBER, FRANCE\$1PHONE\$1NUMBER, GERMANY\$1PHONE\$1NUMBER, ITALY\$1PHONE\$1NUMBER, PHONE\$1NUMBER(für Kanada und die USA), SPAIN\$1PHONE\$1NUMBER, UK\$1PHONE\$1NUMBER |
| Persönliche Informationen: PII | Sozialversicherungsnummer (SIN) | CANADA\$1SOCIAL\$1INSURANCE\$1NUMBER |
| Persönliche Informationen: PII | Sozialversicherungsnummer (SSN) | SPAIN\$1SOCIAL\$1SECURITY\$1NUMBER, USA\$1SOCIAL\$1SECURITY\$1NUMBER |
| Persönliche Informationen: PII | Steuerpflichtigen-Identifikationsnummer oder Referenznummer | AUSTRALIA\$1TAX\$1FILE\$1NUMBER, BRAZIL\$1CNPJ\$1NUMBER, BRAZIL\$1CPF\$1NUMBER, FRANCE\$1TAX\$1IDENTIFICATION\$1NUMBER, GERMANY\$1TAX\$1IDENTIFICATION\$1NUMBER, SPAIN\$1NIE\$1NUMBER, SPAIN\$1NIF\$1NUMBER, SPAIN\$1TAX\$1IDENTIFICATION\$1NUMBER, UK\$1TAX\$1IDENTIFICATION\$1NUMBER, USA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER |
| Persönliche Informationen: PII | Fahrgestellnummern (VIN) | VEHICLE\$1IDENTIFICATION\$1NUMBER |
# Ausführen von Erkennungsaufgaben für vertrauliche Daten
Mit Amazon Macie können Sie Discovery-Jobs für sensible Daten erstellen und ausführen, um die Erkennung, Protokollierung und Berichterstattung sensibler Daten in Allzweck-Buckets von Amazon Simple Storage Service (Amazon S3) zu automatisieren. Ein *Discovery-Job für sensible Daten* ist eine Reihe automatisierter Verarbeitungs- und Analyseaufgaben, die Macie ausführt, um sensible Daten in Amazon S3 S3-Objekten zu erkennen und zu melden. Jeder Job bietet detaillierte Berichte über die sensiblen Daten, die Macie findet, und über die Analyse, die Macie durchführt. Durch das Erstellen und Ausführen von Jobs können Sie einen umfassenden Überblick über die Daten, die Ihre Organisation in Amazon S3 speichert, und über alle Sicherheits- oder Compliance-Risiken für diese Daten erstellen und verwalten.
Um Sie bei der Erfüllung und Einhaltung Ihrer Anforderungen an Datensicherheit und Datenschutz zu unterstützen, bietet Macie verschiedene Optionen für die Planung und Definition des Umfangs eines Auftrags. Sie können einen Job so konfigurieren, dass er nur einmal für Analysen und Bewertungen auf Abruf oder für regelmäßige Analysen, Bewertungen und Überwachungen regelmäßig ausgeführt wird. Sie definieren auch den Umfang und die Tiefe der Analyse eines Jobs — spezifische S3-Buckets, die Sie auswählen, oder Buckets, die bestimmten Kriterien entsprechen. Sie können den Umfang dieser Analyse optional verfeinern, indem Sie zusätzliche Optionen auswählen. Zu den Optionen gehören benutzerdefinierte Kriterien, die sich aus den Eigenschaften von S3-Objekten ableiten, wie z. B. Tags, Präfixe und wann ein Objekt zuletzt geändert wurde.
Für jeden Job geben Sie außerdem die Typen vertraulicher Daten an, die Macie erkennen und melden soll. Sie können einen Job so konfigurieren, dass [er verwaltete Datenkennungen](managed-data-identifiers.md) verwendet, die Macie bereitstellt, [benutzerdefinierte Datenbezeichner](custom-data-identifiers.md), die Sie definieren, oder eine Kombination aus beidem. Durch die Auswahl bestimmter verwalteter und benutzerdefinierter Datenbezeichner für einen Job können Sie die Analyse so anpassen, dass sie sich auf bestimmte Arten sensibler Daten konzentriert. Zur Feinabstimmung der Analyse können Sie einen Job auch so konfigurieren, dass er [Zulassungslisten](allow-lists.md) verwendet. Zulassungslisten geben Text und Textmuster an, die Macie ignorieren soll. In der Regel handelt es sich dabei um Ausnahmen für sensible Daten in bestimmten Szenarien oder Umgebungen Ihres Unternehmens.
Bei jedem Auftrag werden die sensiblen Daten, die Macie findet, und die von Macie durchgeführten Analysen aufgezeichnet — Ergebnisse *sensibler Daten und Ergebnisse* der Entdeckung *sensibler Daten*. Ein *Ergebnis vertraulicher Daten* ist ein detaillierter Bericht über sensible Daten, die Macie in einem S3-Objekt gefunden hat. Ein *Ergebnis der Entdeckung sensibler Daten* ist ein Datensatz, der Details zur Analyse eines S3-Objekts protokolliert. Macie erstellt für jedes Objekt, für dessen Analyse Sie einen Job konfigurieren, ein Erkennungsergebnis vertraulicher Daten. Dazu gehören Objekte, in denen Macie keine sensiblen Daten findet und daher keine Ergebnisse für sensible Daten liefert, sowie Objekte, die Macie aufgrund von Fehlern oder Problemen nicht analysieren kann. Jeder Datensatztyp folgt einem standardisierten Schema, mit dessen Hilfe Sie die Datensätze abfragen, überwachen und verarbeiten können, um Ihre Sicherheits- und Compliance-Anforderungen zu erfüllen.
**Topics**
+ [Bereichsoptionen für Aufgaben](discovery-jobs-scope.md)
+ [Erstellen eines-Auftrags](discovery-jobs-create.md)
+ [Überprüfung der Arbeitsergebnisse](discovery-jobs-manage-results.md)
+ [Verwalten von Aufträgen](discovery-jobs-manage.md)
+ [Überwachung von Jobs mit CloudWatch Logs](discovery-jobs-monitor-cw-logs.md)
+ [Prognose und Überwachung der Auftragskosten](discovery-jobs-costs.md)
+ [Verwaltete Datenkennungen werden für Jobs empfohlen](discovery-jobs-mdis-recommended.md)
# Umfangsoptionen für Aufgaben zur Erkennung sensibler Daten
Mit Aufträgen zur Erkennung sensibler Daten definieren Sie den Umfang der Analyse, die Amazon Macie durchführt, um sensible Daten in Ihren Allzweck-Buckets von Amazon Simple Storage Service (Amazon S3) zu erkennen und zu melden. Um Ihnen dabei zu helfen, bietet Macie mehrere auftragsspezifische Optionen, die Sie bei der Erstellung und Konfiguration eines Jobs auswählen können.
**Topics**
+ [S3-Buckets oder Bucket-Kriterien](#discovery-jobs-scope-buckets)
+ [Tiefe der Probenahme](#discovery-jobs-scope-sampling)
+ [Erster Lauf: Bestehende S3-Objekte einbeziehen](#discovery-jobs-scope-objects)
+ [S3-Objektkriterien](#discovery-jobs-scope-criteria)
## S3-Buckets oder Bucket-Kriterien
Wenn Sie einen Discovery-Job für sensible Daten erstellen, geben Sie an, in welchen S3-Buckets Objekte gespeichert werden, die Macie analysieren soll, wenn der Job ausgeführt wird. Sie können dies auf zwei Arten tun: indem Sie bestimmte S3-Buckets aus Ihrem Bucket-Inventar auswählen oder indem Sie benutzerdefinierte Kriterien angeben, die sich aus den Eigenschaften von S3-Buckets ableiten.
**Wählen Sie bestimmte S3-Buckets aus**
Mit dieser Option wählen Sie explizit jeden S3-Bucket aus, der analysiert werden soll. Wenn der Job dann ausgeführt wird, analysiert Macie nur Objekte in den von Ihnen ausgewählten Buckets. Wenn Sie einen Job so konfigurieren, dass er regelmäßig täglich, wöchentlich oder monatlich ausgeführt wird, analysiert Macie bei jeder Ausführung des Jobs Objekte in denselben Buckets.
Diese Konfiguration ist hilfreich für Fälle, in denen Sie eine gezielte Analyse eines bestimmten Datensatzes durchführen möchten. Sie gibt Ihnen eine präzise und vorhersehbare Kontrolle darüber, welche Buckets ein Job analysiert.
**Geben Sie S3-Bucket-Kriterien an**
Mit dieser Option definieren Sie Laufzeitkriterien, die bestimmen, welche S3-Buckets analysiert werden sollen. Die Kriterien bestehen aus einer oder mehreren Bedingungen, die sich aus Bucket-Eigenschaften wie Einstellungen und Tags für den öffentlichen Zugriff ergeben. Wenn der Job ausgeführt wird, identifiziert Macie Buckets, die Ihren Kriterien entsprechen, und analysiert dann Objekte in diesen Buckets. Wenn Sie einen Job so konfigurieren, dass er regelmäßig ausgeführt wird, tut Macie dies bei jeder Ausführung des Jobs. Daher analysiert Macie möglicherweise bei jeder Ausführung des Jobs Objekte in unterschiedlichen Buckets, abhängig von den Änderungen an Ihrem Bucket-Inventar und den von Ihnen definierten Kriterien.
Diese Konfiguration ist in Fällen hilfreich, in denen Sie möchten, dass sich der Umfang der Analyse dynamisch an Änderungen an Ihrem Bucket-Inventar anpasst. Wenn Sie einen Job so konfigurieren, dass er Bucket-Kriterien verwendet und regelmäßig ausgeführt wird, identifiziert Macie automatisch neue Buckets, die den Kriterien entsprechen, und überprüft diese Buckets auf sensible Daten.
Die Themen in diesem Abschnitt enthalten zusätzliche Informationen zu den einzelnen Optionen.
**Topics**
+ [Auswahl bestimmter S3-Buckets](#discovery-jobs-scope-buckets-select)
+ [Angabe von S3-Bucket-Kriterien](#discovery-jobs-scope-buckets-criteria)
### Auswahl bestimmter S3-Buckets
Wenn Sie sich dafür entscheiden, explizit jeden S3-Bucket auszuwählen, den ein Job analysieren soll, stellt Macie Ihnen eine Bestandsaufnahme Ihrer aktuellen Allzweck-Buckets zur Verfügung. AWS-Region Anschließend können Sie Ihr Inventar überprüfen und die gewünschten Buckets auswählen. Wenn Sie der Macie-Administrator einer Organisation sind, umfasst Ihr Inventar auch Buckets, die Ihren Mitgliedskonten gehören. Sie können bis zu 1.000 dieser Buckets auswählen, die sich über bis zu 1.000 Konten erstrecken.
Um Ihnen bei der Auswahl Ihrer Buckets zu helfen, enthält das Inventar Details und Statistiken für jeden Bucket. Dazu gehört die Datenmenge, die ein Job in jedem Bucket analysieren kann. *Klassifizierbare Objekte sind Objekte*, die eine [unterstützte Amazon S3 S3-Speicherklasse](discovery-supported-storage.md#discovery-supported-s3-classes) verwenden und eine Dateinamenerweiterung für ein [unterstütztes Datei- oder Speicherformat](discovery-supported-storage.md#discovery-supported-formats) haben. Das Inventar gibt auch an, ob Sie bestehende Jobs zur Analyse von Objekten in einem Bucket konfiguriert haben. Anhand dieser Details können Sie den Umfang eines Jobs einschätzen und Ihre Bucket-Auswahl verfeinern.
In der Inventartabelle:
+ **Sensitivität** — Gibt den aktuellen Vertraulichkeitswert des Buckets an, wenn die [automatische Erkennung sensibler Daten](discovery-asdd.md) aktiviert ist.
+ **Klassifizierbare Objekte** — Gibt die Gesamtzahl der Objekte an, die der Job im Bucket analysieren kann.
+ **Klassifizierbare Größe** — Gibt die Gesamtspeichergröße aller Objekte an, die der Job im Bucket analysieren kann.
Wenn der Bucket komprimierte Objekte speichert, gibt dieser Wert nicht die tatsächliche Größe dieser Objekte nach der Dekomprimierung wieder. Wenn die Versionsverwaltung für den Bucket aktiviert ist, basiert dieser Wert auf der Speichergröße der neuesten Version jedes Objekts im Bucket.
+ **Nach Job überwacht** — Gibt an, ob Sie bestehende Jobs so konfiguriert haben, dass Objekte im Bucket regelmäßig täglich, wöchentlich oder monatlich analysiert werden.
Wenn der Wert für dieses Feld **Ja** lautet, ist der Bucket explizit in einem periodischen Job enthalten oder der Bucket hat innerhalb der letzten 24 Stunden die Kriterien für einen periodischen Job erfüllt. Darüber hinaus lautet der Status von mindestens einem dieser Jobs nicht *Storniert*. Macie aktualisiert diese Daten täglich.
+ **Letzte Auftragsausführung** — Wenn Sie periodische oder einmalige Jobs zur Analyse von Objekten im Bucket konfiguriert haben, gibt dieses Feld das Datum und die Uhrzeit an, zu der einer dieser Jobs zuletzt gestartet wurde. Andernfalls erscheint in diesem Feld ein Bindestrich (—).
Wenn das Informationssymbol (![\[The information icon, which is a blue circle that has a lowercase letter i in it.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/icon-info-blue.png)) neben Bucket-Namen angezeigt wird, empfehlen wir Ihnen, die neuesten Bucket-Metadaten von Amazon S3 abzurufen. Wählen Sie dazu über der Tabelle refresh (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/btn-refresh-data.png)) aus. Das Informationssymbol weist darauf hin, dass in den letzten 24 Stunden ein Bucket erstellt wurde, möglicherweise nachdem Macie im Rahmen des täglichen Aktualisierungszyklus das letzte Mal Bucket- und Objektmetadaten von Amazon S3 abgerufen hat. Weitere Informationen finden Sie unter [Daten werden aktualisiert](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh).
Wenn das Warnsymbol (![\[The warning icon, which is a red triangle that has an exclamation point in it.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/icon-warning-red.png)) neben dem Namen eines Buckets erscheint, darf Macie nicht auf den Bucket oder die Objekte des Buckets zugreifen. Das bedeutet, dass der Job keine Objekte im Bucket analysieren kann. Um das Problem zu untersuchen, überprüfen Sie die Richtlinien- und Berechtigungseinstellungen des Buckets in Amazon S3. Beispielsweise könnte der Bucket eine restriktive Bucket-Richtlinie haben. Weitere Informationen finden Sie unter [Macie darf auf S3-Buckets und -Objekte zugreifen](monitoring-restrictive-s3-buckets.md).
Um Ihre Ansicht anzupassen und bestimmte Buckets einfacher zu finden, können Sie die Tabelle filtern, indem Sie Filterkriterien in das Filterfeld eingeben. Die folgende Tabelle bietet einige Beispiele.
| Um alle Buckets anzuzeigen, die... | Wende diesen Filter an... |
| --- | --- |
| Gehören einem bestimmten Konto | Konto-ID = the 12-digit ID for the account |
| Sind öffentlich zugänglich | Wirksame Genehmigung = Öffentlich |
| Sind in keinen regelmäßigen Jobs enthalten | Aktiv vom Job überwacht = Falsch |
| Sind nicht in regelmäßigen oder einmaligen Aufträgen enthalten | Definiert in Job = False |
| Habe einen bestimmten Tag-Schlüssel\$1 | Tag-Schlüssel = the tag key |
| Habe einen bestimmten Tag-Wert\$1 | Tag-Wert = the tag value |
| Speichern Sie unverschlüsselte Objekte (oder Objekte, die clientseitige Verschlüsselung verwenden) | Die Anzahl der Objekte bei Verschlüsselung ist „Keine Verschlüsselung“ und „Von“ = 1 |
\$1 Bei Tag-Schlüsseln und -Werten wird zwischen Groß- und Kleinschreibung unterschieden. Außerdem müssen Sie einen vollständigen, gültigen Wert angeben. Sie können keine Teilwerte angeben oder Platzhalterzeichen verwenden.
Um zusätzliche Details für einen Bucket anzuzeigen, wählen Sie den Namen des Buckets aus und schauen Sie im Detailbereich nach. In dem Bereich können Sie auch:
+ Wählen Sie ein Vergrößerungsglas für das Feld aus, um bestimmte Felder zu öffnen und nach unten zu gelangen. Wählen Sie aus![\[The zoom in icon, which is a magnifying glass that has a plus sign in it.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/icon-magnifying-glass-plus-sign.png), ob Buckets mit demselben Wert angezeigt werden sollen. Wählen Sie aus![\[The zoom out icon, which is a magnifying glass that has a minus sign in it.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/icon-magnifying-glass-minus-sign.png), ob Buckets mit anderen Werten angezeigt werden sollen.
+ Ruft die neuesten Metadaten für Objekte im Bucket ab. Dies kann hilfreich sein, wenn Sie kürzlich einen Bucket erstellt haben oder in den letzten 24 Stunden wesentliche Änderungen an den Objekten des Buckets vorgenommen haben. Um die Daten abzurufen, wählen Sie im Bereich **Objektstatistiken** des Bedienfelds die Option refresh (![\[The refresh button, which is a button that displays an empty, dark gray circle with an arrow.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/btn-refresh-object-data.png)) aus. Diese Option ist für Buckets verfügbar, die 30.000 oder weniger Objekte speichern.
In bestimmten Fällen enthält das Panel möglicherweise nicht alle Details eines Buckets. Dies kann vorkommen, wenn Sie mehr als 10.000 Buckets in Amazon S3 speichern. Macie verwaltet vollständige Inventardaten für nur 10.000 Buckets für ein Konto — die 10.000 Buckets, die zuletzt erstellt oder geändert wurden. Sie können jedoch einen Job so konfigurieren, dass Objekte in Buckets analysiert werden, die dieses Kontingent überschreiten. Verwenden Sie Amazon S3, um weitere Details für diese Buckets zu überprüfen.
### Angabe von S3-Bucket-Kriterien
Wenn Sie Bucket-Kriterien für einen Job angeben möchten, bietet Macie Optionen zum Definieren und Testen der Kriterien. Dies sind Laufzeitkriterien, die bestimmen, in welchen S3-Buckets zu analysierende Objekte gespeichert werden. Bei jeder Ausführung des Jobs identifiziert Macie Allzweck-Buckets, die Ihren Kriterien entsprechen, und analysiert dann Objekte in den entsprechenden Buckets. Wenn Sie der Macie-Administrator einer Organisation sind, schließt dies auch Buckets ein, die Ihren Mitgliedskonten gehören.
#### Definition von Bucket-Kriterien
Bucket-Kriterien bestehen aus einer oder mehreren Bedingungen, die sich aus den Eigenschaften von S3-Buckets ergeben. Jede Bedingung, auch als *Kriterium* bezeichnet, besteht aus den folgenden Teilen:
+ Ein eigenschaftsbasiertes Feld, z. B. **Konto-ID** oder **Gültige** Berechtigung.
+ Ein Operator, entweder *gleich* (`eq`) oder ungleich (*)*. `neq`
+ Ein oder mehrere Werte.
+ Eine Include- oder Exclude-Anweisung, die angibt, ob Buckets, die der Bedingung entsprechen, analysiert (*eingeschlossen*) oder übersprungen (*ausgeschlossen*) werden sollen.
Wenn Sie mehr als einen Wert für ein Feld angeben, verwendet Macie die OR-Logik, um die Werte zu verknüpfen. Wenn Sie mehr als eine Bedingung für die Kriterien angeben, verwendet Macie die UND-Logik, um die Bedingungen zu verknüpfen. Außerdem haben Ausschlussbedingungen Vorrang vor Einschlussbedingungen. Wenn Sie beispielsweise öffentlich zugängliche Buckets einbeziehen und Buckets mit bestimmten Tags ausschließen, analysiert der Job Objekte in allen Buckets, auf die öffentlich zugegriffen werden kann, sofern der Bucket nicht über eines der angegebenen Tags verfügt.
Sie können Bedingungen definieren, die sich aus einem der folgenden eigenschaftsbasierten Felder für S3-Buckets ableiten.
**Konto-ID**
Die eindeutige Kennung (ID) für den, dem ein Bucket AWS-Konto gehört. Um mehrere Werte für dieses Feld anzugeben, geben Sie die ID für jedes Konto ein und trennen Sie jeden Eintrag durch ein Komma.
Beachten Sie, dass Macie die Verwendung von Platzhalterzeichen oder Teilwerten für dieses Feld nicht unterstützt.
**Bucket-Name**
Der Name eines Buckets. Dieses Feld entspricht dem Feld **Name**, nicht dem Feld **Amazon Resource Name (ARN)** in Amazon S3. Um mehrere Werte für dieses Feld anzugeben, geben Sie den Namen jedes Buckets ein und trennen Sie jeden Eintrag durch ein Komma.
Beachten Sie, dass bei Werten zwischen Groß- und Kleinschreibung unterschieden wird. Darüber hinaus unterstützt Macie die Verwendung von Platzhalterzeichen oder Teilwerten für dieses Feld nicht.
**Wirksame Erlaubnis**
Gibt an, ob ein Bucket öffentlich zugänglich ist. Sie können einen oder mehrere der folgenden Werte für dieses Feld wählen:
+ **Nicht öffentlich** — Die allgemeine Öffentlichkeit hat keinen Lese- oder Schreibzugriff auf den Bucket.
+ **Öffentlich** — Die allgemeine Öffentlichkeit hat Lese- oder Schreibzugriff auf den Bucket.
+ **Unbekannt** — Macie war nicht in der Lage, die Einstellungen für den öffentlichen Zugriff für den Bucket auszuwerten. Ein Problem oder ein Kontingent hinderte Macie daran, die erforderlichen Daten abzurufen und auszuwerten.
Um festzustellen, ob ein Bucket öffentlich zugänglich ist, analysiert Macie eine Kombination von Einstellungen auf Konto- und Bucket-Ebene für den Bucket: die Einstellungen für den Block öffentlichen Zugriff für das Konto, die Einstellungen für den Block für den öffentlichen Zugriff, die Bucket-Richtlinie für den Bucket und die Zugriffskontrollliste (ACL) für den Bucket. Informationen zu diesen Einstellungen finden Sie unter [Zugriffskontrolle](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html) und [Sperren des öffentlichen Zugriffs auf Ihren Amazon S3 S3-Speicher](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.
**Gemeinsamer Zugriff**
Gibt an, ob ein Bucket mit einem anderen AWS-Konto, einer Amazon CloudFront Origin Access Identity (OAI) oder einer CloudFront Origin Access Control (OAC) geteilt wird. Sie können einen oder mehrere der folgenden Werte für dieses Feld wählen:
+ **Extern** — Der Bucket wird mit einer oder mehreren der folgenden Personen oder einer beliebigen Kombination der folgenden Personen gemeinsam genutzt: eine CloudFront OAI, eine CloudFront OAC oder ein Konto, das extern zu Ihrer Organisation gehört (nicht Teil davon ist).
+ **Intern** — Der Bucket wird mit einem oder mehreren Konten geteilt, die innerhalb (eines Teils) Ihrer Organisation liegen. Es wird nicht mit einer CloudFront OAI oder OAC geteilt.
+ **Nicht geteilt** — Der Bucket wird nicht mit einem anderen Konto, einer CloudFront OAI oder einem OAC geteilt. CloudFront
+ **Unbekannt** — Macie war nicht in der Lage, die Einstellungen für den gemeinsamen Zugriff für den Bucket auszuwerten. Ein Problem oder ein Kontingent hinderte Macie daran, die erforderlichen Daten abzurufen und auszuwerten.
Um festzustellen, ob ein Bucket mit einem anderen gemeinsam genutzt wird AWS-Konto, analysiert Macie die Bucket-Richtlinie und die ACL für den Bucket. Darüber hinaus ist eine *Organisation* als eine Gruppe von Macie-Konten definiert, die über AWS Organizations oder auf Einladung von Macie als Gruppe verwandter Konten zentral verwaltet werden. Informationen zu den Amazon S3 S3-Optionen für die gemeinsame Nutzung von Buckets finden Sie unter [Zugriffskontrolle](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.
Um festzustellen, ob ein Bucket mit einer CloudFront OAI oder OAC gemeinsam genutzt wird, analysiert Macie die Bucket-Richtlinie für den Bucket. Eine CloudFront OAI oder OAC ermöglicht es Benutzern, über eine oder mehrere angegebene Distributionen auf die Objekte eines Buckets zuzugreifen. CloudFront Informationen zu CloudFront OAIs und OACs finden Sie unter [Beschränken des Zugriffs auf einen Amazon S3 S3-Ursprung](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) im *Amazon CloudFront Developer Guide*.
**Tags**
Die Tags, die einem Bucket zugeordnet sind. Tags sind Labels, die Sie definieren und bestimmten Ressourcentypen, einschließlich S3-Buckets, zuweisen können. AWS Jedes Tag besteht aus einem erforderlichen Tag-Schlüssel und einem optionalen Tag-Wert. Informationen zum Taggen von S3-Buckets finden Sie unter [Verwenden von S3-Bucket-Tags für die Kostenzuweisung](https://docs.aws.amazon.com/AmazonS3/latest/userguide/CostAllocTagging.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.
Für einen Job zur Erkennung sensibler Daten können Sie diese Art von Bedingung verwenden, um Buckets mit einem bestimmten Tag-Schlüssel, einem bestimmten Tag-Wert oder einem bestimmten Tag-Schlüssel und Tag-Wert (als Paar) ein- oder auszuschließen. Beispiel:
+ Wenn Sie einen Tag-Schlüssel angeben **Project** und keine Tag-Werte für eine Bedingung angeben, entspricht jeder Bucket, der den Tag-Schlüssel *Project* enthält, den Kriterien der Bedingung, unabhängig von den Tag-Werten, die diesem Tag-Schlüssel zugeordnet sind.
+ Wenn Sie **Development** und **Test** als Tag-Werte angeben und keine Tag-Schlüssel für eine Bedingung angeben, entspricht jeder Bucket, der den **Development** oder **Test** -Tag-Wert enthält, den Kriterien der Bedingung, unabhängig von den Tag-Schlüsseln, die diesen Tag-Werten zugeordnet sind.
Bei Tag-Schlüsseln und -Werten muss die Groß- und Kleinschreibung beachtet werden. Darüber hinaus unterstützt Macie nicht die Verwendung von Platzhalterzeichen oder Teilwerten in Tag-Bedingungen.
Um mehrere Tag-Schlüssel in einer Bedingung anzugeben, geben Sie jeden Tag-Schlüssel in das **Schlüsselfeld** ein und trennen Sie jeden Eintrag durch ein Komma. Um mehrere Tagwerte in einer Bedingung anzugeben, geben Sie jeden Tagwert in das Feld **Wert** ein und trennen Sie jeden Eintrag durch ein Komma.
Wenn Sie mehr als 10.000 Buckets in Amazon S3 speichern, beachten Sie, dass Macie nicht die Tag-Daten für alle Buckets verwaltet. Macie verwaltet vollständige Inventardaten für nur 10.000 Buckets für ein Konto — die 10.000 Buckets, die zuletzt erstellt oder geändert wurden. Für alle anderen Buckets sind alle zugehörigen Tag-Schlüssel und -Werte nicht in den Inventardaten enthalten. Das bedeutet, dass die Buckets in einer Bedingung, die den *Equals* () `eq` -Operator verwendet, keinen bestimmten Tag-Schlüsseln oder -Werten entsprechen. Wenn Sie für eine auf Tags basierende Bedingung *den Operator „ungleich“ (`neq`) angeben, bedeutet dies, dass die Buckets der Bedingung entsprechen*.
#### Bucket-Kriterien werden getestet
Während Sie Ihre Bucket-Kriterien definieren, können Sie die Kriterien testen und verfeinern, indem Sie sich eine Vorschau der Ergebnisse ansehen. Erweitern Sie dazu den Abschnitt **Vorschau der Kriterienergebnisse** anzeigen, der unter den Kriterien in der Konsole angezeigt wird. In diesem Abschnitt wird eine Tabelle mit bis zu 25 Allzweck-Buckets angezeigt, die derzeit den Kriterien entsprechen.
Die Tabelle bietet auch einen Einblick in die Datenmenge, die der Job in jedem Bucket analysieren kann. *Klassifizierbare Objekte sind Objekte*, die eine [unterstützte Amazon S3 S3-Speicherklasse](discovery-supported-storage.md#discovery-supported-s3-classes) verwenden und eine Dateinamenerweiterung für ein [unterstütztes Datei- oder Speicherformat](discovery-supported-storage.md#discovery-supported-formats) haben. Die Tabelle gibt auch an, ob Sie bestehende Jobs so konfiguriert haben, dass Objekte in einem Bucket regelmäßig analysiert werden.
In der Tabelle:
+ **Sensitivität** — Gibt den aktuellen Vertraulichkeitswert des Buckets an, wenn die [automatische Erkennung sensibler Daten](discovery-asdd.md) aktiviert ist.
+ **Klassifizierbare Objekte** — Gibt die Gesamtzahl der Objekte an, die der Job im Bucket analysieren kann.
+ **Klassifizierbare Größe** — Gibt die Gesamtspeichergröße aller Objekte an, die der Job im Bucket analysieren kann.
Wenn der Bucket komprimierte Objekte speichert, gibt dieser Wert nicht die tatsächliche Größe dieser Objekte nach der Dekomprimierung wieder. Wenn die Versionsverwaltung für den Bucket aktiviert ist, basiert dieser Wert auf der Speichergröße der neuesten Version jedes Objekts im Bucket.
+ **Nach Job überwacht** — Gibt an, ob Sie bestehende Jobs so konfiguriert haben, dass Objekte im Bucket regelmäßig täglich, wöchentlich oder monatlich analysiert werden.
Wenn der Wert für dieses Feld **Ja** lautet, ist der Bucket explizit in einem periodischen Job enthalten oder der Bucket hat innerhalb der letzten 24 Stunden die Kriterien für einen periodischen Job erfüllt. Darüber hinaus lautet der Status von mindestens einem dieser Jobs nicht *Storniert*. Macie aktualisiert diese Daten täglich.
Wenn das Warnsymbol (![\[The warning icon, which is a red triangle that has an exclamation point in it.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/icon-warning-red.png)) neben dem Namen eines Buckets erscheint, darf Macie nicht auf den Bucket oder die Objekte des Buckets zugreifen. Das bedeutet, dass der Job keine Objekte im Bucket analysieren kann. Um das Problem zu untersuchen, überprüfen Sie die Richtlinien- und Berechtigungseinstellungen des Buckets in Amazon S3. Beispielsweise könnte der Bucket eine restriktive Bucket-Richtlinie haben. Weitere Informationen finden Sie unter [Macie darf auf S3-Buckets und -Objekte zugreifen](monitoring-restrictive-s3-buckets.md).
Um die Bucket-Kriterien für den Job zu verfeinern, verwenden Sie die Filteroptionen, um Bedingungen zu den Kriterien hinzuzufügen, zu ändern oder zu entfernen. Macie aktualisiert dann die Tabelle, um Ihre Änderungen widerzuspiegeln.
## Tiefe der Probenahme
Mit dieser Option geben Sie den Prozentsatz der in Frage kommenden S3-Objekte an, die von einem Discovery-Job für sensible Daten analysiert werden sollen. In Frage kommende Objekte sind Objekte, die: eine [unterstützte Amazon S3 S3-Speicherklasse](discovery-supported-storage.md#discovery-supported-s3-classes) verwenden, eine Dateinamenerweiterung für ein [unterstütztes Datei- oder Speicherformat](discovery-supported-storage.md#discovery-supported-formats) haben und andere Kriterien erfüllen, die Sie für den Job angeben.
Wenn dieser Wert unter 100% liegt, wählt Macie nach dem Zufallsprinzip geeignete Objekte für die Analyse bis zum angegebenen Prozentsatz aus und analysiert alle Daten in diesen Objekten. Wenn Sie beispielsweise einen Job für die Analyse von 10.000 Objekten konfigurieren und eine Stichprobentiefe von 20% angeben, analysiert Macie ungefähr 2.000 zufällig ausgewählte, geeignete Objekte, wenn der Job ausgeführt wird.
Durch die Reduzierung der Stichprobentiefe eines Jobs können die Kosten gesenkt und die Dauer eines Jobs verkürzt werden. Dies ist hilfreich in Fällen, in denen die Daten in Objekten sehr konsistent sind und Sie feststellen möchten, ob nicht jedes Objekt, sondern ein S3-Bucket sensible Daten speichert.
Beachten Sie, dass diese Option den Prozentsatz der analysierten *Objekte* steuert, nicht den Prozentsatz der analysierten *Byte*. Wenn Sie eine Stichprobentiefe von weniger als 100% eingeben, analysiert Macie alle Daten in jedem ausgewählten Objekt, nicht den Prozentsatz der Daten in jedem ausgewählten Objekt.
## Erster Lauf: Bestehende S3-Objekte einbeziehen
Sie können Aufgaben zur Erkennung sensibler Daten verwenden, um eine fortlaufende, inkrementelle Analyse von Objekten in S3-Buckets durchzuführen. Wenn Sie einen Job so konfigurieren, dass er regelmäßig ausgeführt wird, erledigt Macie dies automatisch für Sie. Bei jedem Lauf werden nur die Objekte analysiert, die nach dem vorherigen Lauf erstellt oder geändert wurden. Mit der Option **Bestehende Objekte einbeziehen** wählen Sie den Startpunkt für das erste Inkrement:
+ Um alle vorhandenen Objekte unmittelbar nach Abschluss der Erstellung des Jobs zu analysieren, aktivieren Sie das Kontrollkästchen für diese Option.
+ Um zu warten und nur die Objekte zu analysieren, die nach der Erstellung des Jobs und vor der ersten Ausführung erstellt oder geändert wurden, deaktivieren Sie das Kontrollkästchen für diese Option.
Das Deaktivieren dieses Kästchens ist in Fällen hilfreich, in denen Sie die Daten bereits analysiert haben und sie regelmäßig weiter analysieren möchten. Wenn Sie beispielsweise zuvor einen anderen Dienst oder eine andere Anwendung zum Klassifizieren von Daten verwendet haben und seit Kurzem Macie verwenden, können Sie diese Option verwenden, um sicherzustellen, dass Ihre Daten kontinuierlich erkannt und klassifiziert werden, ohne dass Ihnen unnötige Kosten entstehen oder Klassifizierungsdaten dupliziert werden.
Bei jeder nachfolgenden Ausführung eines periodischen Jobs werden automatisch nur die Objekte analysiert, die nach der vorherigen Ausführung erstellt oder geändert wurden.
Sowohl für periodische als auch für einmalige Jobs können Sie einen Job auch so konfigurieren, dass nur die Objekte analysiert werden, die vor oder nach einer bestimmten Zeit oder in einem bestimmten Zeitraum erstellt oder geändert wurden. Fügen Sie dazu Objektkriterien hinzu, die das Datum der letzten Änderung für Objekte verwenden.
## S3-Objektkriterien
Um den Umfang eines Discovery-Jobs für sensible Daten zu optimieren, können Sie benutzerdefinierte Kriterien für S3-Objekte definieren. Macie verwendet diese Kriterien, um zu bestimmen, welche Objekte analysiert (*eingeschlossen*) oder übersprungen (*ausgeschlossen*) werden sollen, wenn der Job ausgeführt wird. Die Kriterien bestehen aus einer oder mehreren Bedingungen, die sich aus den Eigenschaften von S3-Objekten ergeben. Die Bedingungen gelten für Objekte in allen S3-Buckets, die in der Analyse enthalten sind. Wenn ein Bucket mehrere Versionen eines Objekts speichert, gelten die Bedingungen für die neueste Version des Objekts.
Wenn Sie mehrere Bedingungen als Objektkriterien definieren, verwendet Macie die UND-Logik, um die Bedingungen zu verknüpfen. Außerdem haben Ausschlussbedingungen Vorrang vor Einschlussbedingungen. Wenn Sie beispielsweise Objekte mit der Dateinamenerweiterung PDF einbeziehen und Objekte ausschließen, die größer als 5 MB sind, analysiert der Job jedes Objekt mit der Dateinamenerweiterung PDF, sofern das Objekt nicht größer als 5 MB ist.
Sie können Bedingungen definieren, die sich aus einer der folgenden Eigenschaften von S3-Objekten ableiten.
**Dateinamenerweiterung**
Dies entspricht der Dateinamenerweiterung eines S3-Objekts. Sie können diese Art von Bedingung verwenden, um Objekte basierend auf dem Dateityp ein- oder auszuschließen. Um dies für mehrere Dateitypen zu tun, geben Sie die Dateinamenerweiterung für jeden Typ ein und trennen Sie jeden Eintrag durch ein Komma, zum Beispiel:. **docx,pdf,xlsx** Wenn Sie mehrere Dateinamenerweiterungen als Werte für eine Bedingung eingeben, verwendet Macie die OR-Logik, um die Werte zu verknüpfen.
Beachten Sie, dass bei Werten zwischen Groß- und Kleinschreibung unterschieden wird. Darüber hinaus unterstützt Macie die Verwendung von Teilwerten oder Platzhalterzeichen in dieser Art von Bedingung nicht.
Hinweise zu den Dateitypen, die Macie analysieren kann, finden Sie unter. [Unterstützte Datei- und Speicherformate](discovery-supported-storage.md#discovery-supported-formats)
**Zuletzt geändert**
Dies entspricht dem Feld **Letzte Änderung** in Amazon S3. In Amazon S3 speichert dieses Feld Datum und Uhrzeit der Erstellung oder letzten Änderung eines S3-Objekts, je nachdem, welcher Zeitpunkt zuletzt ist.
Bei einem Discovery-Job für sensible Daten kann es sich bei dieser Bedingung um ein bestimmtes Datum, ein bestimmtes Datum und eine bestimmte Uhrzeit oder um einen exklusiven Zeitraum handeln:
+ Um Objekte zu analysieren, die nach einem bestimmten Datum oder Datum und Uhrzeit zuletzt geändert wurden, geben Sie die Werte in die Felder **Von** ein.
+ Um Objekte zu analysieren, die vor einem bestimmten Datum oder Datum und Uhrzeit zuletzt geändert wurden, geben Sie die Werte in die Felder **Bis** ein.
+ Um Objekte zu analysieren, die in einem bestimmten Zeitraum zuletzt geändert wurden, verwenden Sie die Felder **Von**, um die Werte für das erste Datum oder Datum und die erste Uhrzeit im Zeitraum einzugeben. **Verwenden Sie die Felder Bis, um die Werte für das letzte Datum oder Datum und die letzte Uhrzeit im Zeitraum einzugeben.**
+ Um Objekte zu analysieren, die zu einem beliebigen Zeitpunkt an einem bestimmten Tag zuletzt geändert wurden, geben Sie das Datum in das Feld **Startdatum** ein. Geben Sie das Datum für den nächsten Tag in das Feld **Bis** ein. Vergewissern Sie sich dann, dass beide Zeitfelder leer sind. (Macie behandelt ein leeres Zeitfeld als`00:00:00`.) **Um beispielsweise Objekte zu analysieren, die sich am 9. August 2023 geändert haben, geben Sie **2023/08/09** in das Feld Startdatum und **2023/08/10** in das Feld **Bis** Datum ein, und geben Sie in keinem der beiden Zeitfelder einen Wert ein.**
Geben Sie beliebige Zeitwerte in der koordinierten Weltzeit (UTC) ein und verwenden Sie die 24-Stunden-Notation.
**Präfix**
Dies entspricht dem **Schlüsselfeld** in Amazon S3. In Amazon S3 speichert dieses Feld den Namen eines S3-Objekts, einschließlich des Präfixes des Objekts. Ein *Präfix* ähnelt einem Verzeichnispfad innerhalb eines Buckets. Es ermöglicht Ihnen, ähnliche Objekte in einem Bucket zu gruppieren, ähnlich wie Sie ähnliche Dateien zusammen in einem Ordner auf einem Dateisystem speichern könnten. Informationen zu Objektpräfixen und Ordnern in Amazon S3 finden Sie unter [Organisieren von Objekten in der Amazon S3 S3-Konsole mithilfe von Ordnern](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-folders.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.
Sie können diese Art von Bedingung verwenden, um Objekte ein- oder auszuschließen, deren Schlüssel (Namen) mit einem bestimmten Wert beginnen. Um beispielsweise alle Objekte auszuschließen, deren Schlüssel mit 1 beginnt *AWSLogs*, geben Sie **AWSLogs** als Wert für eine **Präfix-Bedingung** ein und wählen Sie dann **Ausschließen**.
Wenn Sie mehrere Präfixe als Werte für eine Bedingung eingeben, verwendet Macie die OR-Logik, um die Werte zu verknüpfen. Wenn Sie beispielsweise **AWSLogs1** und **AWSLogs2** als Werte für eine Bedingung eingeben, ist das jedes Objekt, dessen Schlüssel mit den Kriterien der Bedingung beginnt *AWSLogs1*oder den *AWSLogs2*Kriterien der Bedingung entspricht.
Wenn Sie einen Wert für eine **Präfix-Bedingung** eingeben, sollten Sie Folgendes beachten:
+ Bei Werten wird zwischen Groß- und Kleinschreibung unterschieden.
+ Macie unterstützt die Verwendung von Platzhalterzeichen in diesen Werten nicht.
+ In Amazon S3 enthält der Schlüssel eines Objekts nicht den Namen des Buckets, in dem das Objekt gespeichert ist. Geben Sie aus diesem Grund in diesen Werten keine Bucket-Namen an.
+ Wenn ein Präfix ein Trennzeichen enthält, nehmen Sie das Trennzeichen in den Wert auf. *Geben Sie beispielsweise ein, **AWSLogs/eventlogs** um eine Bedingung für alle Objekte zu definieren, deren Schlüssel mit /eventlogs beginnt. AWSLogs* Macie unterstützt das standardmäßige Amazon S3 S3-Trennzeichen, das ein Schrägstrich (/) ist, und benutzerdefinierte Trennzeichen.
Beachten Sie auch, dass ein Objekt nur dann den Kriterien einer Bedingung entspricht, wenn der Schlüssel des Objekts genau dem von Ihnen eingegebenen Wert entspricht, beginnend mit dem ersten Zeichen im Objektschlüssel. Darüber hinaus wendet Macie eine Bedingung auf den kompletten **Schlüsselwert** für ein Objekt an, einschließlich des Dateinamens des Objekts.
Lautet der Schlüssel eines Objekts beispielsweise *AWSLogs/eventlogs/testlog.csv* und Sie geben einen der folgenden Werte für eine Bedingung ein, entspricht das Objekt den Kriterien der Bedingung:
+ **AWSLogs**
+ **AWSLogs/event**
+ **AWSLogs/eventlogs/**
+ **AWSLogs/eventlogs/testlog**
+ **AWSLogs/eventlogs/testlog.csv**
*Wenn Sie jedoch eingeben**eventlogs**, entspricht das Objekt nicht den Kriterien — der Wert der Bedingung enthält nicht den ersten Teil des Schlüssels,/. AWSLogs* Ebenso entspricht das Objekt bei der Eingabe **awslogs** aufgrund von Unterschieden in der Groß- und Kleinschreibung nicht den Kriterien.
**Größe des Speichers**
Dies entspricht dem Feld **Größe** in Amazon S3. In Amazon S3 gibt dieses Feld die Gesamtspeichergröße eines S3-Objekts an. Wenn es sich bei einem Objekt um eine komprimierte Datei handelt, spiegelt dieser Wert nicht die tatsächliche Größe der Datei nach der Dekomprimierung wider.
Sie können diese Art von Bedingung verwenden, um Objekte ein- oder auszuschließen, die kleiner als eine bestimmte Größe sind, größer als eine bestimmte Größe sind oder in einen bestimmten Größenbereich fallen. Macie wendet diese Art von Bedingung auf alle Objekttypen an, einschließlich komprimierter Dateien oder Archivdateien und der darin enthaltenen Dateien. Informationen zu größenabhängigen Einschränkungen für jedes unterstützte Format finden Sie unter. [Kontingente für Macie](macie-quotas.md)
**Tags**
Die Tags, die einem S3-Objekt zugeordnet sind. Tags sind Beschriftungen, die Sie definieren und bestimmten Ressourcentypen AWS , einschließlich S3-Objekten, zuweisen können. Jedes Tag besteht aus einem erforderlichen Tag-Schlüssel und einem optionalen Tag-Wert. Informationen zum Taggen von S3-Objekten finden Sie unter [Kategorisieren Ihres Speichers mithilfe von Tags](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-tagging.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.
Für einen Job zur Erkennung sensibler Daten können Sie diese Art von Bedingung verwenden, um Objekte mit einem bestimmten Tag ein- oder auszuschließen. Dabei kann es sich um einen bestimmten Tag-Schlüssel oder um einen bestimmten Tag-Schlüssel und Tag-Wert (als Paar) handeln. Wenn Sie mehrere Tags als Werte für eine Bedingung angeben, verwendet Macie die OR-Logik, um die Werte zu verknüpfen. Wenn Sie beispielsweise **Project1** und **Project2** als Tag-Schlüssel für eine Bedingung angeben, entspricht jedes Objekt, das den Tag-Schlüssel *Project1* oder *Project2* besitzt, den Kriterien der Bedingung.
Beachten Sie, dass bei Tag-Schlüsseln und -Werten zwischen Groß- und Kleinschreibung unterschieden wird. Außerdem unterstützt Macie die Verwendung von Teilwerten oder Platzhalterzeichen in dieser Art von Bedingung nicht.
# Erstellen einer Aufgabe zur Erkennung vertraulicher Daten
Mit Amazon Macie können Sie Discovery-Jobs für sensible Daten erstellen und ausführen, um die Erkennung, Protokollierung und Berichterstattung sensibler Daten in Allzweck-Buckets von Amazon Simple Storage Service (Amazon S3) zu automatisieren. Ein *Discovery-Job für sensible Daten* ist eine Reihe automatisierter Verarbeitungs- und Analyseaufgaben, die Macie ausführt, um sensible Daten in Amazon S3 S3-Objekten zu erkennen und zu melden. Im weiteren Verlauf der Analyse erstellt Macie detaillierte Berichte über die gefundenen sensiblen Daten und die durchgeführten Analysen: *Ergebnisse sensibler Daten, bei denen sensible Daten* gemeldet werden, die Macie in einzelnen S3-Objekten findet, und *Ergebnisse der Erkennung sensibler Daten*, in denen Details zur Analyse einzelner S3-Objekte protokolliert werden. Weitere Informationen finden Sie unter [Überprüfung der Arbeitsergebnisse](discovery-jobs-manage-results.md).
Wenn Sie einen Job erstellen, geben Sie zunächst an, welche S3-Buckets Objekte speichern, die Macie analysieren soll, wenn der Job ausgeführt wird — spezifische Buckets, die Sie auswählen, oder Buckets, die bestimmten Kriterien entsprechen. Anschließend geben Sie an, wie oft der Job ausgeführt werden soll — einmal oder regelmäßig auf täglicher, wöchentlicher oder monatlicher Basis. Sie können auch Optionen wählen, um den Umfang der Analyse des Jobs zu verfeinern. Zu den Optionen gehören benutzerdefinierte Kriterien, die sich aus den Eigenschaften von S3-Objekten ableiten, wie z. B. Tags, Präfixe und wann ein Objekt zuletzt geändert wurde.
Nachdem Sie den Zeitplan und den Umfang des Jobs definiert haben, geben Sie an, welche verwalteten Datenkennungen und benutzerdefinierten Datenbezeichner verwendet werden sollen:
+ Ein *verwalteter Datenbezeichner* besteht aus einer Reihe integrierter Kriterien und Techniken, mit denen ein bestimmter Typ vertraulicher Daten erkannt werden kann, z. B. Kreditkartennummern, AWS geheime Zugangsschlüssel oder Passnummern für ein bestimmtes Land oder eine bestimmte Region. Diese Identifikatoren können eine große und ständig wachsende Liste sensibler Datentypen für viele Länder und Regionen erkennen, darunter mehrere Arten von Anmeldedaten, Finanzinformationen und personenbezogenen Daten (PII). Weitere Informationen finden Sie unter [Verwenden von verwalteten Datenbezeichnern](managed-data-identifiers.md).
+ Ein *benutzerdefinierter Datenbezeichner* besteht aus einer Reihe von Kriterien, die Sie zur Erkennung vertraulicher Daten definieren. Mithilfe benutzerdefinierter Datenkennungen können Sie sensible Daten erkennen, die bestimmte Szenarien, geistiges Eigentum oder geschützte Daten Ihres Unternehmens widerspiegeln, z. B. Mitarbeiter- IDs, Kundenkontonummern oder interne Datenklassifizierungen. Sie können die von Macie bereitgestellten verwalteten Datenkennungen ergänzen. Weitere Informationen finden Sie unter [Erstellen von benutzerdefinierten Datenbezeichnern](custom-data-identifiers.md).
Anschließend wählen Sie optional die Verwendung von Zulassungslisten aus. In Macie gibt eine *Zulassungsliste* Text oder ein Textmuster an, das ignoriert werden soll. Dabei handelt es sich in der Regel um Ausnahmen für sensible Daten für Ihre speziellen Szenarien oder Umgebungen, z. B. öffentliche Namen oder Telefonnummern für Ihre Organisation oder Beispieldaten, die Ihre Organisation für Tests verwendet. Weitere Informationen finden Sie unter [Definition von Ausnahmen für sensible Daten mit Zulassungslisten](allow-lists.md).
Wenn Sie mit der Auswahl dieser Optionen fertig sind, können Sie allgemeine Einstellungen für den Job eingeben, z. B. den Namen und die Beschreibung des Jobs. Anschließend können Sie den Job überprüfen und speichern.
**Topics**
+ [Bevor Sie beginnen: Richten Sie wichtige Ressourcen ein](#discovery-jobs-create-prerequisites)
+ [Schritt 1: Wählen Sie S3-Buckets](#discovery-jobs-create-step1)
+ [Schritt 2: Überprüfen Sie Ihre S3-Bucket-Auswahl oder -Kriterien](#discovery-jobs-create-step2)
+ [Schritt 3: Definieren Sie den Zeitplan und verfeinern Sie den Umfang](#discovery-jobs-create-step3)
+ [Schritt 4: Wählen Sie verwaltete Datenkennungen](#discovery-jobs-create-step4)
+ [Schritt 5: Wählen Sie benutzerdefinierte Datenkennungen aus](#discovery-jobs-create-step5)
+ [Schritt 6: Wählen Sie Zulassungslisten aus](#discovery-jobs-create-step6)
+ [Schritt 7: Geben Sie die allgemeinen Einstellungen ein](#discovery-jobs-create-step7)
+ [Schritt 8: Überprüfen und erstellen](#discovery-jobs-create-step8)
## Bevor Sie beginnen: Richten Sie wichtige Ressourcen ein
Bevor Sie einen Job erstellen, sollten Sie die folgenden Schritte ausführen:
+ Stellen Sie sicher, dass Sie ein Repository für die Ergebnisse der Erkennung sensibler Daten konfiguriert haben. Wählen Sie dazu im Navigationsbereich der Amazon Macie Macie-Konsole **Discovery-Ergebnisse** aus. Weitere Informationen zu diesen Einstellungen finden Sie unter[Speicherung und Beibehaltung der Erkennungsergebnisse von vertraulichen Daten](discovery-results-repository-s3.md).
+ Erstellen Sie alle benutzerdefinierten Datenbezeichner, die der Job verwenden soll. Um zu erfahren wie dies geht, vgl. [Erstellen von benutzerdefinierten Datenbezeichnern](custom-data-identifiers.md).
+ Erstellen Sie alle Zulassungslisten, die der Job verwenden soll. Um zu erfahren wie dies geht, vgl. [Definition von Ausnahmen für sensible Daten mit Zulassungslisten](allow-lists.md).
+ Wenn Sie verschlüsselte S3-Objekte analysieren möchten, stellen Sie sicher, dass Macie auf die entsprechenden Verschlüsselungsschlüssel zugreifen und diese verwenden kann. Weitere Informationen finden Sie unter [Analysieren verschlüsselter S3-Objekte](discovery-supported-encryption-types.md).
+ Wenn Sie Objekte in einem S3-Bucket analysieren möchten, für den eine restriktive Bucket-Richtlinie gilt, stellen Sie sicher, dass Macie auf die Objekte zugreifen darf. Weitere Informationen finden Sie unter [Macie darf auf S3-Buckets und -Objekte zugreifen](monitoring-restrictive-s3-buckets.md).
Wenn Sie diese Dinge tun, bevor Sie einen Job erstellen, optimieren Sie die Erstellung des Jobs und stellen sicher, dass der Job die gewünschten Daten analysieren kann.
## Schritt 1: Wählen Sie S3-Buckets
Wenn Sie einen Job erstellen, müssen Sie zunächst angeben, in welchen S3-Buckets Objekte gespeichert werden, die Macie analysieren soll, wenn der Job ausgeführt wird. Für diesen Schritt haben Sie zwei Optionen:
+ **Wählen Sie bestimmte Buckets** aus — Mit dieser Option wählen Sie explizit jeden S3-Bucket aus, der analysiert werden soll. Wenn der Job dann ausgeführt wird, analysiert Macie nur Objekte in den von Ihnen ausgewählten Buckets.
+ **Bucket-Kriterien angeben** — Mit dieser Option definieren Sie Laufzeitkriterien, die bestimmen, welche S3-Buckets analysiert werden sollen. Die Kriterien bestehen aus einer oder mehreren Bedingungen, die sich aus Bucket-Eigenschaften ergeben. Wenn der Job dann ausgeführt wird, identifiziert Macie Buckets, die Ihren Kriterien entsprechen, und analysiert Objekte in diesen Buckets.
Weitere Informationen zu diesen Optionen finden Sie unter [Bereichsoptionen für Aufgaben](discovery-jobs-scope.md).
Die folgenden Abschnitte enthalten Anweisungen zur Auswahl und Konfiguration der einzelnen Optionen. Wählen Sie den Abschnitt für die gewünschte Option aus.
### Wählen Sie bestimmte Buckets aus
Wenn Sie jeden zu analysierenden S3-Bucket explizit auswählen, stellt Macie Ihnen eine Bestandsaufnahme Ihrer aktuellen Allzweck-Buckets zur Verfügung. AWS-Region Sie können dieses Inventar dann verwenden, um einen oder mehrere Buckets für den Job auszuwählen. Weitere Informationen zu diesem Inventar finden Sie unter[Auswahl bestimmter S3-Buckets](discovery-jobs-scope.md#discovery-jobs-scope-buckets-select).
Wenn Sie der Macie-Administrator einer Organisation sind, umfasst das Inventar Buckets, die Mitgliedskonten in Ihrer Organisation gehören. Sie können bis zu 1.000 dieser Buckets auswählen, die sich über bis zu 1.000 Konten erstrecken.
**Um bestimmte S3-Buckets für den Job auszuwählen**
1. Öffnen Sie die Amazon Macie Macie-Konsole unter [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/).
1. Wählen Sie im Navigationsbereich die Option **Jobs (Aufträge)** aus.
1. Wählen Sie **Job erstellen** aus.
1. **Wählen Sie auf der Seite S3-Buckets** auswählen die **Option Bestimmte Buckets auswählen aus**. Macie zeigt eine Tabelle mit allen Allzweck-Buckets für Ihr Konto in der aktuellen Region an.
1. **Wählen Sie im Abschnitt S3-Buckets** auswählen optional refresh (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/btn-refresh-data.png)), um die neuesten Bucket-Metadaten von Amazon S3 abzurufen.
Wenn das Informationssymbol (![\[The information icon, which is a blue circle that has a lowercase letter i in it.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/icon-info-blue.png)) neben Bucket-Namen angezeigt wird, empfehlen wir Ihnen, dies zu tun. Dieses Symbol weist darauf hin, dass in den letzten 24 Stunden ein Bucket erstellt wurde, möglicherweise nachdem Macie im Rahmen des [täglichen Aktualisierungszyklus](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh) zuletzt Bucket- und Objektmetadaten von Amazon S3 abgerufen hat.
1. Aktivieren Sie in der Tabelle das Kontrollkästchen für jeden Bucket, den der Job analysieren soll.
**Tipp**
Um bestimmte Buckets einfacher zu finden, geben Sie Filterkriterien in das Filterfeld über der Tabelle ein. Sie können die Tabelle auch sortieren, indem Sie eine Spaltenüberschrift auswählen.
Informationen darüber, ob Sie bereits einen Job für die regelmäßige Analyse von Objekten in einem Bucket konfiguriert haben, finden Sie im Feld **Überwacht durch Job**. Wenn in einem Feld **Ja** angezeigt wird, ist der Bucket explizit in einem periodischen Job enthalten oder der Bucket hat innerhalb der letzten 24 Stunden die Kriterien für einen periodischen Job erfüllt. Darüber hinaus lautet der Status von mindestens einem dieser Jobs nicht *Storniert*. Macie aktualisiert diese Daten täglich.
Informationen darüber, wann ein vorhandener periodischer oder einmaliger Job zuletzt Objekte in einem Bucket analysiert hat, finden Sie im Feld **Letzte Auftragsausführung**. Weitere Informationen zu diesem Job finden Sie in den Details des Buckets.
Um die Details eines Buckets anzuzeigen, wählen Sie den Namen des Buckets aus. Zusätzlich zu den auftragsbezogenen Informationen bietet das Detailfenster Statistiken und andere Informationen über den Bucket, z. B. die Einstellungen für den öffentlichen Zugriff des Buckets. Weitere Informationen zu diesen Daten finden Sie unter[Überprüfen Sie Ihr S3-Bucket-Inventar](monitoring-s3-inventory-review.md).
1. Wenn Sie mit der Auswahl der Buckets fertig sind, wählen Sie **Weiter**.
Im nächsten Schritt überprüfen und verifizieren Sie Ihre Auswahl.
### Geben Sie Bucket-Kriterien an
Wenn Sie Laufzeitkriterien angeben, die bestimmen, welche S3-Buckets analysiert werden sollen, bietet Macie Optionen, die Sie bei der Auswahl von Feldern, Operatoren und Werten für einzelne Bedingungen in den Kriterien unterstützen. Weitere Informationen zu diesen Optionen finden Sie unter [Angabe von S3-Bucket-Kriterien](discovery-jobs-scope.md#discovery-jobs-scope-buckets-criteria).
**Um S3-Bucket-Kriterien für den Job anzugeben**
1. Öffnen Sie die Amazon Macie Macie-Konsole unter [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/).
1. Wählen Sie im Navigationsbereich die Option **Jobs (Aufträge)** aus.
1. Wählen Sie **Job erstellen** aus.
1. **Wählen Sie auf der Seite S3-Buckets** auswählen die Option **Bucket-Kriterien angeben** aus.
1. Gehen **Sie unter Bucket-Kriterien angeben** wie folgt vor, um den Kriterien eine Bedingung hinzuzufügen:
1. Platzieren Sie den Cursor in dem Filterfeld und wählen Sie dann die Bucket-Eigenschaft aus, die für die Bedingung verwendet werden soll.
1. Wählen Sie im ersten Feld einen Operator für die Bedingung aus: **Gleich** oder **Nicht gleich**.
1. Geben Sie im nächsten Feld einen oder mehrere Werte für die Eigenschaft ein.
Je nach Typ und Art der Bucket-Eigenschaft zeigt Macie verschiedene Optionen für die Eingabe von Werten an. Wenn Sie beispielsweise die Eigenschaft **Effektive Berechtigung** wählen, zeigt Macie eine Liste mit Werten an, aus denen Sie wählen können. Wenn Sie die Eigenschaft **Account-ID** wählen, zeigt Macie ein Textfeld an, in das Sie einen oder mehrere eingeben können. AWS-Konto IDs Um mehrere Werte in ein Textfeld einzugeben, geben Sie jeden Wert ein und trennen Sie jeden Eintrag durch ein Komma.
1. Wählen Sie **Anwenden** aus. Macie fügt die Bedingung hinzu und zeigt sie unter dem Filterfeld an.
Standardmäßig fügt Macie die Bedingung mit einer Include-Anweisung hinzu. Das bedeutet, dass der Job so konfiguriert ist, dass Objekte in Buckets analysiert (*eingeschlossen*) werden, die der Bedingung entsprechen. **Um Buckets zu überspringen (*auszuschließen*), die der Bedingung entsprechen, wählen Sie **Include** für die Bedingung und dann Exclude aus.**
1. Wiederholen Sie die vorherigen Schritte für jede weitere Bedingung, die Sie zu den Kriterien hinzufügen möchten.
1. Um Ihre Kriterien zu testen, erweitern Sie den Abschnitt **Vorschau der Kriterienergebnisse** anzeigen. In diesem Abschnitt wird eine Tabelle mit bis zu 25 Allzweck-Buckets angezeigt, die derzeit den Kriterien entsprechen.
1. Gehen Sie wie folgt vor, um Ihre Kriterien zu verfeinern:
+ Um eine Bedingung zu entfernen, wählen Sie **X** für die Bedingung.
+ Um eine Bedingung zu ändern, entfernen Sie die Bedingung, indem Sie **X** für die Bedingung wählen. Fügen Sie dann eine Bedingung hinzu, die die richtigen Einstellungen hat.
+ Um alle Bedingungen zu entfernen, wählen Sie **Filter löschen**.
Macie aktualisiert die Tabelle mit den Kriterienergebnissen, um Ihre Änderungen widerzuspiegeln.
1. Wenn Sie mit der Angabe der Bucket-Kriterien fertig sind, wählen Sie **Weiter**.
Im nächsten Schritt überprüfen und verifizieren Sie Ihre Kriterien.
## Schritt 2: Überprüfen Sie Ihre S3-Bucket-Auswahl oder -Kriterien
Stellen Sie für diesen Schritt sicher, dass Sie im vorherigen Schritt die richtigen Einstellungen ausgewählt haben:
+ **Überprüfen Sie Ihre Bucket-Auswahl** — Wenn Sie bestimmte S3-Buckets für den Job ausgewählt haben, überprüfen Sie die Bucket-Tabelle und ändern Sie Ihre Bucket-Auswahl nach Bedarf. Die Tabelle gibt Aufschluss über den voraussichtlichen Umfang und die Kosten der Auftragsanalyse. Die Daten basieren auf der Größe und Art der Objekte, die derzeit in einem Bucket gespeichert sind.
In der Tabelle gibt das Feld **Geschätzte Kosten** die geschätzten Gesamtkosten (in US-Dollar) für die Analyse von Objekten in einem S3-Bucket an. Jede Schätzung spiegelt die voraussichtliche Menge an unkomprimierten Daten wider, die der Job in einem Bucket analysieren wird. Handelt es sich bei Objekten um komprimierte Dateien oder Archivdateien, geht die Schätzung davon aus, dass die Dateien ein Komprimierungsverhältnis von 3:1 verwenden und der Job alle extrahierten Dateien analysieren kann. Weitere Informationen finden Sie unter [Prognose und Überwachung der Auftragskosten](discovery-jobs-costs.md).
+ **Überprüfen Sie Ihre Bucket-Kriterien** — Wenn Sie Bucket-Kriterien für den Job angegeben haben, überprüfen Sie jede Bedingung in den Kriterien. Um die Kriterien zu ändern, wählen Sie **Zurück** und verwenden Sie dann die Filteroptionen des vorherigen Schritts, um die richtigen Kriterien einzugeben. Wenn Sie fertig sind, wählen Sie **Next (Weiter)** aus.
Wenn Sie mit der Überprüfung und Überprüfung der Einstellungen fertig sind, wählen Sie **Weiter**.
## Schritt 3: Definieren Sie den Zeitplan und verfeinern Sie den Umfang
Geben Sie für diesen Schritt an, wie oft der Job ausgeführt werden soll — einmalig oder regelmäßig täglich, wöchentlich oder monatlich. Wählen Sie außerdem verschiedene Optionen, um den Umfang der Jobanalyse zu verfeinern. Weitere Informationen zu diesen Optionen finden Sie unter[Bereichsoptionen für Aufgaben](discovery-jobs-scope.md).
**Um den Zeitplan zu definieren und den Umfang des Auftrags zu verfeinern**
1. Geben Sie auf **der Seite Umfang verfeinern** an, wie oft der Job ausgeführt werden soll:
+ Wenn der Job nur einmal ausgeführt werden soll, unmittelbar nachdem Sie ihn erstellt haben, wählen Sie **Einmaliger Job**.
+ Um den Job regelmäßig und wiederkehrend auszuführen, wählen Sie **Geplanter Job**. Wählen Sie unter **Aktualisierungshäufigkeit** aus, ob der Job täglich, wöchentlich oder monatlich ausgeführt werden soll. Verwenden Sie dann die Option **Bestehende Objekte einbeziehen**, um den Umfang der ersten Ausführung des Jobs zu definieren:
+ Aktivieren Sie dieses Kontrollkästchen, um alle vorhandenen Objekte unmittelbar nach Abschluss der Auftragserstellung zu analysieren. Bei jedem nachfolgenden Lauf werden nur die Objekte analysiert, die nach dem vorherigen Lauf erstellt oder geändert wurden.
+ Deaktivieren Sie dieses Kontrollkästchen, um die Analyse aller vorhandenen Objekte zu überspringen. Bei der ersten Ausführung des Jobs werden nur die Objekte analysiert, die erstellt oder geändert wurden, nachdem Sie die Erstellung des Jobs abgeschlossen haben und bevor der erste Lauf gestartet wird. Bei jedem nachfolgenden Lauf werden nur die Objekte analysiert, die nach dem vorherigen Lauf erstellt oder geändert wurden.
Das Deaktivieren dieses Kästchens ist in Fällen hilfreich, in denen Sie die Daten bereits analysiert haben und sie weiterhin regelmäßig analysieren möchten. Wenn Sie beispielsweise zuvor einen anderen Dienst oder eine andere Anwendung zum Klassifizieren von Daten verwendet haben und seit Kurzem Macie verwenden, können Sie diese Option verwenden, um sicherzustellen, dass Ihre Daten kontinuierlich erkannt und klassifiziert werden, ohne dass Ihnen unnötige Kosten entstehen oder Klassifizierungsdaten dupliziert werden.
1. **(Optional) Um den Prozentsatz der Objekte anzugeben, die der Job analysieren soll, geben Sie den Prozentsatz in das Feld Stichprobentiefe ein.**
Wenn dieser Wert unter 100% liegt, wählt Macie die zu analysierenden Objekte nach dem Zufallsprinzip bis zum angegebenen Prozentsatz aus und analysiert alle Daten in diesen Objekten. Der Standardwert ist 100%.
1. (Optional) Um spezifische Kriterien hinzuzufügen, die bestimmen, welche S3-Objekte in die Analyse des Jobs aufgenommen oder ausgeschlossen werden, erweitern Sie den Abschnitt **Zusätzliche Einstellungen** und geben Sie dann die Kriterien ein. Diese Kriterien bestehen aus einzelnen Bedingungen, die sich aus den Eigenschaften von Objekten ergeben:
+ Um Objekte zu analysieren (*einzubeziehen*), die eine bestimmte Bedingung erfüllen, geben Sie den Bedingungstyp und den Wert ein, und wählen Sie dann **Einschließen** aus.
+ Um Objekte zu überspringen (*auszuschließen*), die eine bestimmte Bedingung erfüllen, geben Sie den Bedingungstyp und den Wert ein und wählen Sie dann **Ausschließen aus**.
Wiederholen Sie diesen Schritt für jede gewünschte Ein- oder Ausschlussbedingung.
Wenn Sie mehrere Bedingungen eingeben, haben alle Ausschlussbedingungen Vorrang vor Einschlussbedingungen. Wenn Sie beispielsweise Objekte mit der Dateinamenerweiterung PDF einbeziehen und Objekte ausschließen, die größer als 5 MB sind, analysiert der Job jedes Objekt mit der Dateinamenerweiterung PDF, sofern das Objekt nicht größer als 5 MB ist.
1. Wenn Sie fertig sind, wählen Sie **Next (Weiter)** aus.
## Schritt 4: Wählen Sie verwaltete Datenkennungen
Geben Sie für diesen Schritt an, welche verwalteten Datenkennungen der Job bei der Analyse von S3-Objekten verwenden soll. Sie haben zwei Optionen:
+ **Empfohlene Einstellungen verwenden** — Mit dieser Option analysiert der Job S3-Objekte anhand der verwalteten Datenbezeichner, die wir für Jobs empfehlen. Dieses Set dient zur Erkennung gängiger Kategorien und Typen vertraulicher Daten. Eine Liste der verwalteten Datenbezeichner, die derzeit in der Gruppe enthalten sind, finden Sie unter[Verwaltete Datenkennungen werden für Jobs empfohlen](discovery-jobs-mdis-recommended.md). Wir aktualisieren diese Liste jedes Mal, wenn wir einen verwalteten Datenbezeichner hinzufügen oder daraus entfernen.
+ **Benutzerdefinierte Einstellungen verwenden** — Bei dieser Option analysiert der Job S3-Objekte mithilfe von ausgewählten verwalteten Datenkennungen. Dies können alle oder nur einige der derzeit verfügbaren verwalteten Datenkennungen sein. Sie können den Job auch so konfigurieren, dass er keine verwalteten Datenkennungen verwendet. Der Job kann stattdessen nur benutzerdefinierte Datenbezeichner verwenden, die Sie im nächsten Schritt auswählen. Eine Liste der derzeit verfügbaren verwalteten Datenkennungen finden Sie unter. [Kurzübersicht: Verwaltete Datenkennungen nach Typ](mdis-reference-quick.md) Wir aktualisieren diese Liste jedes Mal, wenn wir einen neuen Identifier für verwaltete Daten veröffentlichen.
Wenn Sie sich für eine der Optionen entscheiden, zeigt Macie eine Tabelle mit verwalteten Datenkennungen an. In der Tabelle gibt das Feld **Sensibler Datentyp** den eindeutigen Bezeichner (ID) für einen verwalteten Datenbezeichner an. **Diese ID beschreibt den Typ vertraulicher Daten, die der verwaltete Datenbezeichner erkennen soll, zum Beispiel: **USA\$1PASSPORT\$1NUMBER für US-Passnummern, CREDIT\$1CARD\$1NUMBER** für Kreditkartennummern und **PGP\$1PRIVATE\$1KEY für private** PGP-Schlüssel.** Um bestimmte Identifikatoren schneller zu finden, können Sie die Tabelle nach Kategorie oder Typ vertraulicher Daten sortieren und filtern.
**Um verwaltete Datenkennungen für den Job auszuwählen**
1. Führen Sie auf der Seite **Verwaltete Datenkennungen auswählen** unter **Optionen für verwaltete Datenbezeichner** eine der folgenden Aktionen aus:
+ **Um den Satz verwalteter Datenbezeichner zu verwenden, den wir für Jobs empfehlen, wählen Sie Empfohlen aus.**
Wenn Sie diese Option wählen und den Job so konfiguriert haben, dass er mehr als einmal ausgeführt wird, verwendet jeder Lauf automatisch alle verwalteten Datenbezeichner, die zu Beginn der Ausführung im empfohlenen Satz enthalten sind. Dazu gehören auch neue Kennungen für verwaltete Daten, die wir veröffentlichen und dem Satz hinzufügen. Davon ausgenommen sind verwaltete Datenkennungen, die wir aus dem Set entfernen und die wir nicht mehr für Jobs empfehlen.
+ Um nur bestimmte von Ihnen ausgewählte verwaltete Datenkennungen zu verwenden, wählen Sie **Benutzerdefiniert** und dann **Bestimmte verwaltete Datenkennungen verwenden** aus. Aktivieren Sie dann in der Tabelle das Kontrollkästchen für jede verwaltete Daten-ID, die der Job verwenden soll.
Wenn Sie diese Option wählen und den Job so konfiguriert haben, dass er mehr als einmal ausgeführt wird, verwendet jeder Lauf nur die von Ihnen ausgewählten verwalteten Datenbezeichner. Mit anderen Worten, der Job verwendet bei jeder Ausführung dieselben verwalteten Datenbezeichner.
+ Um alle verwalteten Datenkennungen zu verwenden, die Macie derzeit bereitstellt, wählen Sie **Benutzerdefiniert** und dann **Bestimmte verwaltete Datenkennungen verwenden** aus. Aktivieren Sie dann in der Tabelle das Kontrollkästchen in der Überschrift der Auswahlspalte, um alle Zeilen auszuwählen.
Wenn Sie diese Option wählen und den Job so konfiguriert haben, dass er mehr als einmal ausgeführt wird, verwendet jeder Lauf nur die von Ihnen ausgewählten verwalteten Datenkennungen. Mit anderen Worten, der Job verwendet bei jeder Ausführung dieselben verwalteten Datenbezeichner.
+ Um keine verwalteten Datenkennungen und nur benutzerdefinierte Datenkennungen zu verwenden, wählen Sie **Benutzerdefiniert** und dann **Keine verwalteten Datenkennungen verwenden** aus. Wählen Sie dann im nächsten Schritt die zu verwendenden benutzerdefinierten Datenbezeichner aus.
1. Wenn Sie fertig sind, wählen Sie **Next (Weiter)** aus.
## Schritt 5: Wählen Sie benutzerdefinierte Datenkennungen aus
Wählen Sie für diesen Schritt alle benutzerdefinierten Datenbezeichner aus, die der Job bei der Analyse von S3-Objekten verwenden soll. Der Job verwendet die ausgewählten Identifikatoren zusätzlich zu allen verwalteten Datenbezeichnern, für deren Verwendung Sie den Job konfiguriert haben. Weitere Informationen zu benutzerdefinierten Datenbezeichnern finden Sie unter. [Erstellen von benutzerdefinierten Datenbezeichnern](custom-data-identifiers.md)
**Um benutzerdefinierte Datenbezeichner für den Job auszuwählen**
1. **Aktivieren Sie auf der Seite Benutzerdefinierte Datenbezeichner** auswählen das Kontrollkästchen für jeden benutzerdefinierten Datenbezeichner, den der Job verwenden soll. Sie können bis zu 30 benutzerdefinierte Datenbezeichner auswählen.
**Tipp**
Um die Einstellungen für einen benutzerdefinierten Datenbezeichner zu überprüfen oder zu testen, bevor Sie ihn auswählen, wählen Sie das Linksymbol (![\[The link icon, which is a blue box that has an arrow in it.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/icon-external-link.png)) neben dem Namen des Identifikators. Macie öffnet eine Seite, auf der die Einstellungen der Kennung angezeigt werden.
Sie können diese Seite auch verwenden, um den Identifier anhand von Beispieldaten zu testen. Geben Sie dazu bis zu 1.000 Zeichen Text in das Feld **Beispieldaten** ein und wählen Sie dann **Test** aus. Macie wertet die Beispieldaten anhand der Kennung aus und meldet dann die Anzahl der Treffer.
1. **Wenn Sie mit der Auswahl der benutzerdefinierten Datenbezeichner fertig sind, wählen Sie Weiter.**
## Schritt 6: Wählen Sie Zulassungslisten aus
Wählen Sie für diesen Schritt alle Zulassungslisten aus, die der Job bei der Analyse von S3-Objekten verwenden soll. Weitere Informationen zu Zulassungslisten finden Sie unter[Definition von Ausnahmen für sensible Daten mit Zulassungslisten](allow-lists.md).
**So wählen Sie Zulassungslisten für den Job aus**
1. Aktivieren **Sie auf der Seite Zulassungslisten** auswählen das Kontrollkästchen für jede Zulassungsliste, die der Job verwenden soll. Sie können bis zu 10 Listen auswählen.
**Tipp**
Wenn Sie die Einstellungen für eine Zulassungsliste überprüfen möchten, bevor Sie sie auswählen, klicken Sie auf das Linksymbol (![\[The link icon, which is a blue box that has an arrow in it.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/icon-external-link.png)) neben dem Namen der Liste. Macie öffnet eine Seite, auf der die Einstellungen der Liste angezeigt werden.
Wenn in der Liste ein regulärer Ausdruck (*Regex*) angegeben ist, können Sie diese Seite auch verwenden, um den regulären Ausdruck mit Beispieldaten zu testen. **Geben Sie dazu bis zu 1.000 Zeichen Text in das Feld **Beispieldaten** ein, und wählen Sie dann Test aus.** Macie wertet die Beispieldaten mithilfe der Regex aus und meldet dann die Anzahl der Treffer.
1. **Wenn Sie mit der Auswahl der Zulassungslisten fertig sind, wählen Sie Weiter.**
## Schritt 7: Geben Sie die allgemeinen Einstellungen ein
Geben Sie für diesen Schritt einen Namen und optional eine Beschreibung des Jobs an. Sie können dem Job auch Tags zuweisen. Ein *Tag* ist eine Bezeichnung, die Sie definieren und bestimmten Ressourcentypen AWS zuweisen. Jedes Tag besteht aus einem erforderlichen Tag-Schlüssel und einem optionalen Tag-Wert. Mithilfe von Tags können Sie Ressourcen auf unterschiedliche Weise identifizieren, kategorisieren und verwalten, z. B. nach Zweck, Eigentümer, Umgebung oder anderen Kriterien. Weitere Informationen hierzu finden Sie unter [Macie-Ressourcen taggen](tagging-resources.md).
**Um allgemeine Einstellungen für den Job einzugeben**
1. **Geben Sie auf der Seite Allgemeine Einstellungen** eingeben einen Namen für den Job in das Feld **Jobname** ein. Der Name kann bis zu 500 Zeichen enthalten.
1. (Optional) Geben Sie **unter Stellenbeschreibung** eine kurze Beschreibung der Stelle ein. Die Beschreibung kann bis zu 200 Zeichen enthalten.
1. (Optional) Wählen Sie für **Tags** die Option **Tag hinzufügen** aus und geben Sie dann bis zu 50 Tags ein, die dem Job zugewiesen werden sollen.
1. Wenn Sie fertig sind, wählen Sie **Next (Weiter)** aus.
## Schritt 8: Überprüfen und erstellen
Überprüfen Sie für diesen letzten Schritt die Konfigurationseinstellungen des Jobs und stellen Sie sicher, dass sie korrekt sind. Dies ist ein wichtiger Schritt. Nachdem Sie einen Job erstellt haben, können Sie keine dieser Einstellungen ändern. Auf diese Weise können Sie sicherstellen, dass Sie über einen unveränderlichen Verlauf der Ergebnisse sensibler Daten und der Ergebnisse der von Ihnen durchgeführten Datenschutzprüfungen oder Untersuchungen verfügen.
Abhängig von den Einstellungen des Jobs können Sie auch die geschätzten Gesamtkosten (in US-Dollar) für die einmalige Ausführung des Jobs überprüfen. Wenn Sie bestimmte S3-Buckets für den Job ausgewählt haben, basiert die Schätzung auf der Größe und den Typen der Objekte in den ausgewählten Buckets und darauf, wie viele dieser Daten der Job analysieren kann. Wenn Sie Bucket-Kriterien für den Job angegeben haben, basiert die Schätzung auf der Größe und den Typen von Objekten in bis zu 500 Buckets, die derzeit den Kriterien entsprechen, und darauf, wie viele dieser Daten der Job analysieren kann. Weitere Informationen zu dieser Schätzung finden Sie unter[Prognose und Überwachung der Auftragskosten](discovery-jobs-costs.md).
**Um den Job zu überprüfen und zu erstellen**
1. Überprüfen Sie auf der Seite **Überprüfen und erstellen** jede Einstellung und stellen Sie sicher, dass sie korrekt sind. Um eine Einstellung zu ändern, wählen Sie in dem Abschnitt, der die Einstellung enthält, **Bearbeiten** aus und geben Sie dann die richtige Einstellung ein. Sie können auch die Navigationsregisterkarten verwenden, um zu der Seite zu gelangen, die eine Einstellung enthält.
1. Wenn Sie mit der Überprüfung der Einstellungen fertig sind, wählen Sie **Senden** aus, um den Job zu erstellen und zu speichern. Macie überprüft die Einstellungen und informiert Sie über alle Probleme, die behoben werden müssen.
**Anmerkung**
Wenn Sie kein Repository für die Ergebnisse der Erkennung sensibler Daten konfiguriert haben, zeigt Macie eine Warnung an und speichert den Job nicht. Um dieses Problem zu beheben, wählen Sie im Abschnitt **Repository für die Ergebnisse der Erkennung sensibler Daten** die Option **Konfigurieren** aus. Geben Sie dann die Konfigurationseinstellungen für das Repository ein. Um zu erfahren wie dies geht, vgl. [Speicherung und Beibehaltung der Erkennungsergebnisse von vertraulichen Daten](discovery-results-repository-s3.md). Nachdem Sie die Einstellungen eingegeben haben, kehren Sie zur Seite **Überprüfen und erstellen** zurück und wählen Sie auf der Seite im Bereich **Repository für Ergebnisse der Erkennung sensibler Daten** die Option Aktualisieren (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/btn-refresh-data.png)) aus.
Es wird zwar nicht empfohlen, Sie können jedoch die Repository-Anforderung vorübergehend außer Kraft setzen und den Job speichern. Wenn Sie dies tun, riskieren Sie den Verlust der Discovery-Ergebnisse aus dem Job — MacIE speichert die Ergebnisse nur 90 Tage lang. Um die Anforderung vorübergehend außer Kraft zu setzen, aktivieren Sie das Kontrollkästchen für die Option „Außerkraftsetzung“.
1. Wenn Macie Sie über Probleme informiert, die behoben werden müssen, gehen Sie auf die Probleme ein und wählen Sie dann erneut „**Senden**“, um den Job zu erstellen und zu speichern.
Wenn Sie den Job so konfiguriert haben, dass er einmal, täglich oder am aktuellen Tag der Woche oder des Monats ausgeführt wird, startet Macie den Job sofort, nachdem Sie ihn gespeichert haben. Andernfalls bereitet sich Macie darauf vor, den Job am angegebenen Wochentag oder Monat auszuführen. Um den Job zu überwachen, können Sie [den Status des Jobs überprüfen](discovery-jobs-status-check.md).
# Überprüfung der Ergebnisse eines Discovery-Jobs für sensible Daten
Wenn Sie einen Discovery-Job für sensible Daten ausführen, berechnet Amazon Macie automatisch bestimmte statistische Daten für den Job und meldet diese. Macie meldet beispielsweise, wie oft der Job ausgeführt wurde, und die ungefähre Anzahl von Amazon Simple Storage Service (Amazon S3) -Objekten, die der Job während seiner aktuellen Ausführung noch nicht verarbeitet hat. Macie erzeugt außerdem verschiedene Arten von Ergebnissen für den Job: *Protokollereignisse*, Ergebnisse *vertraulicher Daten und Ergebnisse* der *Erkennung sensibler Daten*.
**Topics**
+ [Arten von Arbeitsergebnissen](#discovery-jobs-manage-results-types)
+ [Überprüfung der Jobstatistiken und Ergebnisse](#discovery-jobs-manage-results-review)
## Arten von Ergebnissen für Aufgaben zur Erkennung sensibler Daten
Während ein Job zur Erkennung sensibler Daten voranschreitet, erzeugt Amazon Macie die folgenden Arten von Ergebnissen für den Job.
**Ereignis protokollieren**
Dies ist eine Aufzeichnung eines Ereignisses, das während der Ausführung des Jobs aufgetreten ist. Macie protokolliert und veröffentlicht automatisch Daten für bestimmte Ereignisse in Amazon CloudWatch Logs. Die Daten in diesen Protokollen zeichnen Änderungen am Fortschritt oder Status des Jobs auf, z. B. das genaue Datum und die Uhrzeit, an dem der Job gestartet oder beendet wurde. Die Daten enthalten auch Details zu allen Fehlern auf Konto- oder Bucket-Ebene, die während der Ausführung des Jobs aufgetreten sind.
Mithilfe von Protokollereignissen können Sie einen Job überwachen und alle Probleme beheben, die den Job daran gehindert haben, die gewünschten Daten zu analysieren. Wenn ein Job anhand von Laufzeitkriterien bestimmt, welche S3-Buckets analysiert werden sollen, können Sie anhand von Protokollereignissen auch feststellen, ob und welche S3-Buckets den Kriterien bei der Ausführung des Jobs entsprachen.
Sie können über die CloudWatch Amazon-Konsole oder die Amazon CloudWatch Logs-API auf Protokollereignisse zugreifen. Um Ihnen die Navigation zu den Protokollereignissen für einen Job zu erleichtern, stellt die Amazon Macie Macie-Konsole einen Link zu diesen Ereignissen bereit. Weitere Informationen finden Sie unter [Überwachung von Jobs mit CloudWatch Logs](discovery-jobs-monitor-cw-logs.md).
**Suche nach sensiblen Daten**
Dies ist ein Bericht über sensible Daten, die Macie in einem S3-Objekt gefunden hat. Jedes Ergebnis enthält eine Bewertung des Schweregrads und Einzelheiten wie:
+ Datum und Uhrzeit, an dem Macie die sensiblen Daten gefunden hat.
+ Die Kategorie und die Arten sensibler Daten, die Macie gefunden hat.
+ Die Anzahl der Vorkommen der einzelnen Arten vertraulicher Daten, die Macie gefunden hat.
+ Die eindeutige Kennung für den Job, der zu dem Ergebnis geführt hat.
+ Der Name, die Einstellungen für den öffentlichen Zugriff, der Verschlüsselungstyp und andere Informationen zum betroffenen S3-Bucket und Objekt.
Je nach Dateityp oder Speicherformat des betroffenen S3-Objekts können die Details auch den Speicherort von bis zu 15 Vorkommen der sensiblen Daten beinhalten, die Macie gefunden hat. Um Standortdaten zu melden, verwenden die Ergebnisse sensibler Daten ein [standardisiertes JSON-Schema](findings-locate-sd-schema.md).
Ein Ergebnis vertraulicher Daten beinhaltet nicht die sensiblen Daten, die Macie gefunden hat. Stattdessen enthält es Informationen, die Sie bei Bedarf für weitere Untersuchungen und Problembehebungen verwenden können.
Macie speichert Ergebnisse sensibler Daten 90 Tage lang. Sie können über die Amazon Macie Macie-Konsole oder die Amazon Macie Macie-API darauf zugreifen. Sie können sie auch mithilfe anderer Anwendungen, Dienste und Systeme überwachen und verarbeiten. Weitere Informationen finden Sie unter [Überprüfung und Analyse der Ergebnisse](findings.md).
**Ergebnis der Entdeckung sensibler Daten**
Dies ist ein Datensatz, der Details zur Analyse eines S3-Objekts protokolliert. Macie erstellt automatisch ein Erkennungsergebnis vertraulicher Daten für jedes Objekt, für dessen Analyse Sie einen Job konfigurieren. Dazu gehören Objekte, in denen Macie keine sensiblen Daten findet und daher keine Ergebnisse für sensible Daten liefert, sowie Objekte, die Macie aufgrund von Fehlern oder Problemen nicht analysieren kann, z. B. aufgrund von Berechtigungseinstellungen oder der Verwendung eines nicht unterstützten Datei- oder Speicherformats.
Wenn Macie sensible Daten in einem S3-Objekt findet, umfasst das Ergebnis der Erkennung sensibler Daten auch Daten aus dem entsprechenden Fund vertraulicher Daten. Es bietet auch zusätzliche Informationen, z. B. den Standort von bis zu 1.000 Vorkommen jedes Typs vertraulicher Daten, die Macie in dem Objekt gefunden hat. Beispiel:
+ Die Spalten- und Zeilennummer für eine Zelle oder ein Feld in einer Microsoft Excel-Arbeitsmappe, CSV-Datei oder TSV-Datei
+ Der Pfad zu einem Feld oder Array in einer JSON- oder JSON Lines-Datei
+ Die Zeilennummer für eine Zeile in einer nicht-binären Textdatei, bei der es sich nicht um eine CSV-, JSON-, JSON-Zeilen- oder TSV-Datei handelt, z. B. eine HTML-, TXT- oder XML-Datei
+ Die Seitennummer für eine Seite in einer PDF-Datei (Adobe Portable Document Format)
+ Der Datensatzindex und der Pfad zu einem Feld in einem Datensatz in einem Apache Avro-Objektcontainer oder einer Apache Parquet-Datei
Handelt es sich bei dem betroffenen S3-Objekt um eine Archivdatei, z. B. eine .tar- oder .zip-Datei, enthält das Ergebnis der Erkennung sensibler Daten auch detaillierte Standortdaten für das Vorkommen sensibler Daten in einzelnen Dateien, die Macie aus dem Archiv extrahiert hat. Macie nimmt diese Informationen nicht in die Ergebnisse sensibler Daten für Archivdateien auf. Um Standortdaten zu melden, verwenden die Ergebnisse der Erkennung sensibler Daten ein [standardisiertes JSON-Schema](findings-locate-sd-schema.md).
Ein Ermittlungsergebnis für sensible Daten beinhaltet nicht die sensiblen Daten, die Macie gefunden hat. Stattdessen erhalten Sie einen Analysedatensatz, der für Prüfungen oder Untersuchungen zum Datenschutz hilfreich sein kann.
Macie speichert Ihre Ergebnisse der Entdeckung sensibler Daten 90 Tage lang. Sie können nicht direkt über die Amazon Macie Macie-Konsole oder mit der Amazon Macie Macie-API darauf zugreifen. Stattdessen konfigurieren Sie Macie so, dass sie verschlüsselt und in einem S3-Bucket gespeichert werden. Der Bucket kann als definitives, langfristiges Repository für all Ihre Erkennungsergebnisse sensibler Daten dienen. Anschließend können Sie optional auf die Ergebnisse in diesem Repository zugreifen und diese abfragen. Informationen zur Konfiguration dieser Einstellungen finden Sie unter[Speicherung und Beibehaltung der Erkennungsergebnisse von vertraulichen Daten](discovery-results-repository-s3.md).
Nachdem Sie die Einstellungen konfiguriert haben, schreibt Macie Ihre Ergebnisse der Erkennung sensibler Daten in JSON Lines (.jsonl) -Dateien, verschlüsselt diese Dateien und fügt sie dem S3-Bucket als GNU-Zip-Dateien (.gz) hinzu. Um Ihnen die Navigation zu den Ergebnissen zu erleichtern, enthält die Amazon Macie Macie-Konsole Links zu diesen.
Sowohl die Ergebnisse sensibler Daten als auch die Ergebnisse der Entdeckung sensibler Daten entsprechen standardisierten Schemata. Auf diese Weise können Sie diese Daten optional mithilfe anderer Anwendungen, Dienste und Systeme abfragen, überwachen und verarbeiten.
**Tipps**
Ein detailliertes, anschauliches Beispiel dafür, wie Sie die Ergebnisse der Erkennung sensibler Daten abfragen und verwenden können, um potenzielle Datensicherheitsrisiken zu analysieren und zu melden, finden Sie im folgenden Blogbeitrag auf dem *AWS Security Blog*: [How to query and visualize macie sensitive data discovery results with Amazon Athena and Amazon](https://aws.amazon.com/blogs/security/how-to-query-and-visualize-macie-sensitive-data-discovery-results-with-athena-and-quicksight/) Quick.
Beispiele für Amazon Athena Athena-Abfragen, mit denen Sie Erkennungsergebnisse sensibler Daten analysieren können, finden Sie im [Amazon Macie Results Analytics-Repository](https://github.com/aws-samples/amazon-macie-results-analytics) unter. GitHub Dieses Repository enthält auch Anweisungen zur Konfiguration von Athena zum Abrufen und Entschlüsseln Ihrer Ergebnisse sowie Skripten zum Erstellen von Tabellen für die Ergebnisse.
## Überprüfung von Statistiken und Ergebnissen für einen Job zur Erkennung sensibler Daten
Um die Verarbeitungsstatistiken und die Ergebnisse eines Discovery-Jobs für sensible Daten zu überprüfen, können Sie die Amazon Macie Macie-Konsole oder die Amazon Macie Macie-API verwenden. Gehen Sie wie folgt vor, um die Statistiken und Ergebnisse mithilfe der Konsole zu überprüfen.
Um programmgesteuert auf die Verarbeitungsstatistiken eines Jobs zuzugreifen, verwenden Sie den [DescribeClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-jobid.html)Betrieb der Amazon Macie Macie-API. Für den programmatischen Zugriff auf die Ergebnisse eines Jobs verwenden Sie die [ListFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings.html)Operation und geben Sie die eindeutige Kennung des Jobs in einer Filterbedingung für das Feld an. `classificationDetails.jobId` Um zu erfahren wie dies geht, vgl. [Filter erstellen und auf Macie-Ergebnisse anwenden](findings-filter-procedure.md). Anschließend können Sie den [GetFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html)Vorgang verwenden, um die Details der Ergebnisse abzurufen.
**Um Statistiken und Ergebnisse für einen Job zu überprüfen**
1. Öffnen Sie die Amazon Macie Macie-Konsole unter [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/).
1. Wählen Sie im Navigationsbereich die Option **Jobs (Aufträge)** aus.
1. Wählen Sie auf der Seite **Jobs** den Namen des Jobs aus, dessen Statistiken und Ergebnisse Sie überprüfen möchten. Im Detailbereich werden Statistiken, Einstellungen und andere Informationen über den Job angezeigt.
1. Führen Sie im Detailbereich einen der folgenden Schritte aus:
+ Informationen zur Überprüfung der Verarbeitungsstatistiken für den Job finden Sie im Bereich **Statistiken** des Fensters. In diesem Abschnitt werden Statistiken angezeigt, z. B. wie oft der Job ausgeführt wurde, und die ungefähre Anzahl der Objekte, die der Job während seiner aktuellen Ausführung noch nicht verarbeitet hat.
+ Um die Protokollereignisse für den Job zu überprüfen, wählen Sie oben im Bereich „**Ergebnisse anzeigen**“ und anschließend „** CloudWatch Protokolle anzeigen**“. Macie öffnet die CloudWatch Amazon-Konsole und zeigt eine Tabelle mit den Protokollereignissen an, die Macie für den Job veröffentlicht hat.
+ Um alle Ergebnisse zu sensiblen Daten zu überprüfen, die der Job hervorgebracht hat, wählen Sie oben im Fenster **Ergebnisse anzeigen** und dann Ergebnisse **anzeigen** aus. Macie öffnet die **Ergebnisseite** und zeigt alle Ergebnisse des Jobs an. Um die Details eines bestimmten Ergebnisses zu überprüfen, wählen Sie das Ergebnis aus und rufen Sie dann das Detailfenster auf.
**Tipp**
Im Bereich mit den Befunddetails können Sie den Link im Feld **Detaillierter Ergebnisort** verwenden, um zum entsprechenden Ergebnis der Erkennung sensibler Daten in Amazon S3 zu navigieren:
Wenn sich das Ergebnis auf ein großes Archiv oder eine komprimierte Datei bezieht, zeigt der Link den Ordner an, der die Erkennungsergebnisse für die Datei enthält. Ein Archiv oder eine komprimierte Datei ist *groß*, wenn sie mehr als 100 Ermittlungsergebnisse generiert.
Wenn sich das Ergebnis auf ein kleines Archiv oder eine komprimierte Datei bezieht, zeigt der Link die Datei an, die die Ermittlungsergebnisse für die Datei enthält. Ein Archiv oder eine komprimierte Datei ist *klein*, wenn sie 100 oder weniger Ermittlungsergebnisse generiert.
Wenn der Befund auf einen anderen Dateityp zutrifft, zeigt der Link die Datei an, die die Ermittlungsergebnisse für die Datei enthält.
+ Um alle Ergebnisse der Suche nach sensiblen Daten zu überprüfen, die der Job hervorgebracht hat, wählen Sie oben im Fenster **Ergebnisse anzeigen** und dann **Klassifizierungen anzeigen** aus. Macie öffnet die Amazon S3 S3-Konsole und zeigt den Ordner an, der alle Ermittlungsergebnisse für den Job enthält. Diese Option ist erst verfügbar, nachdem Sie Macie so konfiguriert haben, dass [Ihre Erkennungsergebnisse vertraulicher Daten in einem S3-Bucket gespeichert](discovery-results-repository-s3.md) werden.
# Verwaltung von Aufträgen zur Erkennung sensibler Daten
Um Sie bei der Verwaltung Ihrer Aufträge zur Erkennung sensibler Daten zu unterstützen, führt Amazon Macie für jeden AWS-Region Auftrag ein vollständiges Inventar Ihrer Aufträge. Mit diesem Inventar können Sie Ihre Jobs als eine einzige Sammlung verwalten und auf Konfigurationseinstellungen, Verarbeitungsstatistiken und den Status einzelner Jobs zugreifen.
Sie können beispielsweise alle Jobs identifizieren, die Sie so konfiguriert haben, dass sie regelmäßig ausgeführt werden, um sie regelmäßig zu analysieren, zu bewerten und zu überwachen. Sie können auch eine Aufschlüsselung der Konfigurationseinstellungen für einen Job überprüfen. Dazu gehören Einstellungen, die den Umfang der Analyse definieren. Dazu gehören auch Einstellungen, die angeben, welche Arten vertraulicher Daten Macie bei der Ausführung des Jobs erkennen und melden soll. Wenn Sie die Amazon Macie Macie-Konsole verwenden, um Ihre Jobs zu verwalten, bieten die Details jedes Jobs auch direkten Zugriff auf Ergebnisse [sensibler Daten und andere Ergebnisse](discovery-jobs-manage-results.md), die der Job hervorgebracht hat.
Zusätzlich zu diesen Aufgaben können Sie benutzerdefinierte Varianten einzelner Jobs erstellen. Sie können einen vorhandenen Job kopieren, die Einstellungen für die Kopie anpassen und die Kopie dann als neuen Job speichern. Dies kann in Fällen hilfreich sein, in denen Sie verschiedene Datensätze auf dieselbe Weise oder denselben Datensatz auf unterschiedliche Weise analysieren möchten. Es kann auch hilfreich sein, wenn Sie die Konfigurationseinstellungen für einen vorhandenen Job anpassen möchten. Stornieren Sie den vorhandenen Job, kopieren Sie ihn und passen Sie die Kopie dann an und speichern Sie die Kopie als neuen Job.
**Topics**
+ [Überprüfung Ihres Jobinventars](discovery-jobs-manage-view.md)
+ [Überprüfen der Konfigurationseinstellungen für einen Job](discovery-jobs-manage-settings.md)
+ [Den Status eines Jobs überprüfen](discovery-jobs-status-check.md)
+ [Den Status eines Jobs ändern](discovery-jobs-status-change.md)
+ [Einen Job kopieren](discovery-jobs-manage-copy.md)
# Überprüfung Ihres Inventars an Aufträgen zur Erkennung sensibler Daten
In der Amazon Macie Macie-Konsole können Sie einen vollständigen Bestand Ihrer aktuellen AWS-Region Discovery-Jobs für sensible Daten einsehen. Das Inventar enthält sowohl zusammenfassende Informationen für all Ihre Jobs als auch Details zu einzelnen Jobs. Zu den zusammenfassenden Informationen gehören: der aktuelle Status jedes Jobs, ob ein Job nach einem Zeitplan und in regelmäßigen Abständen ausgeführt wird und ob ein Job so konfiguriert ist, dass er Objekte in bestimmten Amazon Simple Storage Service (Amazon S3) -Buckets oder S3-Buckets analysiert, die den Laufzeitkriterien entsprechen. Für einzelne Jobs können Sie auch auf Details wie eine Aufschlüsselung der Konfigurationseinstellungen des Jobs zugreifen. Wenn ein Job bereits ausgeführt wurde, bieten die Details auch direkten Zugriff auf Ergebnisse sensibler Daten und andere Arten von Ergebnissen, die der Job generiert hat.
**Um Ihr Jobinventar zu überprüfen**
Gehen Sie wie folgt vor, um Ihr Jobinventar mithilfe der Amazon Macie Macie-Konsole zu überprüfen. Verwenden Sie die Amazon Macie Macie-API, um programmgesteuert [ListClassificationJobs](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-list.html)auf Ihr Inventar zuzugreifen.
1. Öffnen Sie die Amazon Macie Macie-Konsole unter [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/).
1. Wählen Sie im Navigationsbereich die Option **Jobs (Aufträge)** aus. Die Seite **Jobs** wird geöffnet und zeigt die Anzahl der Jobs in Ihrem Inventar sowie eine Tabelle dieser Jobs an.
1. Wählen Sie oben auf der Seite optional Aktualisieren (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/btn-refresh-data.png)), um den aktuellen Status der einzelnen Jobs abzurufen.
1. Überprüfen Sie in der Tabelle **Jobs** die Übersichtsinformationen für Ihre Jobs:
+ **Jobname** — Der Name des Jobs.
+ **Ressourcen** — Gibt an, ob der Job so konfiguriert ist, dass er Objekte in bestimmten S3-Buckets oder Buckets analysiert, die den Laufzeitkriterien entsprechen. Wenn Sie explizit Buckets für den zu analysierenden Job ausgewählt haben, gibt dieses Feld die Anzahl der Buckets an, die Sie ausgewählt haben. Wenn Sie den Job für die Verwendung von Laufzeitkriterien konfiguriert haben, ist der Wert für dieses Feld **kriterienbasiert**.
+ **Auftragstyp** — Gibt an, ob der Job so konfiguriert ist, dass er **einmal (einmalig**) oder nach einem Zeitplan und in regelmäßigen Abständen (**geplant**) ausgeführt wird.
+ **Status** — Der aktuelle Status des Jobs. Weitere Informationen zu diesem Wert finden Sie unter[Den Status eines Jobs überprüfen](discovery-jobs-status-check.md).
+ **Erstellt am** — Als der Job erstellt wurde.
1. Gehen Sie wie folgt vor, um Ihr Inventar zu analysieren oder einen bestimmten Job schneller zu finden:
+ Um die Tabelle nach einem bestimmten Feld zu sortieren, wählen Sie die Spaltenüberschrift für das Feld aus. Um die Sortierreihenfolge zu ändern, wählen Sie erneut die Spaltenüberschrift aus.
+ Um nur die Jobs anzuzeigen, die einen bestimmten Wert für ein Feld haben, platzieren Sie den Cursor in das Filterfeld. Wählen Sie im daraufhin angezeigten Menü das Feld aus, das für den Filter verwendet werden soll, und geben Sie den Wert für den Filter ein. Wählen Sie dann **Apply (Anwenden)**.
+ Um Jobs auszublenden, die einen bestimmten Wert für ein Feld haben, platzieren Sie den Cursor in das Filterfeld. Wählen Sie im daraufhin angezeigten Menü das Feld aus, das für den Filter verwendet werden soll, und geben Sie den Wert für den Filter ein. Wählen Sie dann **Apply (Anwenden)**. Wählen Sie im Filterfeld das Gleichheitssymbol (![\[The equals icon, which is a solid gray circle.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/icon-operator-equals.png)) für den Filter aus. Dadurch wird der Operator des Filters von *gleich zu ungleich* *() geändert.* ![\[The not equals icon, which is an empty gray circle that has a backslash in it.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/icon-operator-not-equals.png)
+ Um einen Filter zu entfernen, wählen Sie das Symbol „Filter entfernen“ (![\[The remove filter condition icon, which is a circle that has an X in it.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/icon-filter-remove.png)) für den Filter, den Sie entfernen möchten.
1. Um zusätzliche Einstellungen und Details für einen bestimmten Job zu überprüfen, wählen Sie den Namen des Jobs. Sehen Sie sich dann das Detailfenster an. Informationen zu diesen Details finden Sie unter[Überprüfen der Konfigurationseinstellungen für einen Job](discovery-jobs-manage-settings.md).
# Überprüfen der Einstellungen für einen Discovery-Job für sensible Daten
In der Amazon Macie Macie-Konsole können Sie den Detailbereich auf der Seite **Jobs** verwenden, um die Konfigurationseinstellungen und andere Informationen zu einzelnen Discovery-Jobs für sensible Daten zu überprüfen. Sie können beispielsweise eine Liste der Amazon Simple Storage Service (Amazon S3) -Buckets überprüfen, für deren Analyse ein Job konfiguriert ist. Sie können auch festlegen, welche verwalteten und benutzerdefinierten Datenkennungen ein Job für die Analyse von Objekten in diesen Buckets verwendet.
Beachten Sie, dass Sie keine Konfigurationseinstellungen für einen vorhandenen Job ändern können. Auf diese Weise können Sie sicherstellen, dass Sie über einen unveränderlichen Verlauf vertraulicher Daten und der Ergebnisse der von Ihnen durchgeführten Datenschutzprüfungen oder Untersuchungen verfügen.
Wenn Sie einen bestehenden Job ändern möchten, können Sie [den Job stornieren](discovery-jobs-status-change.md). [Kopieren Sie dann den Job](discovery-jobs-manage-copy.md), konfigurieren Sie die Kopie so, dass sie die gewünschten Einstellungen verwendet, und speichern Sie die Kopie als neuen Job. Wenn Sie dies tun, sollten Sie auch Maßnahmen ergreifen, um sicherzustellen, dass der neue Job vorhandene Daten nicht erneut auf dieselbe Weise analysiert. Notieren Sie sich dazu das Datum und die Uhrzeit, zu der Sie den vorhandenen Job stornieren. Konfigurieren Sie dann den Umfang des neuen Jobs so, dass er nur die Objekte umfasst, die erstellt oder geändert wurden, nachdem Sie den ursprünglichen Job storniert haben. Sie können beispielsweise [Objektkriterien](discovery-jobs-scope.md#discovery-jobs-scope-criteria) verwenden, um eine Ausschlussbedingung zu definieren, die angibt, wann Sie den ursprünglichen Job storniert haben.
**Um die Konfigurationseinstellungen für einen Job zu überprüfen**
Gehen Sie wie folgt vor, um die Konfigurationseinstellungen eines Jobs mithilfe der Amazon Macie Macie-Konsole zu überprüfen. Verwenden Sie den [DescribeClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-jobid.html)Betrieb der Amazon Macie Macie-API, um die Einstellungen programmgesteuert zu überprüfen.
1. Öffnen Sie die Amazon Macie Macie-Konsole unter [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/).
1. Wählen Sie im Navigationsbereich die Option **Jobs (Aufträge)** aus. Die Seite **Jobs** wird geöffnet und zeigt die Anzahl der Jobs in Ihrem Inventar sowie eine Tabelle dieser Jobs an.
1. Wählen Sie in der Tabelle **Jobs** den Namen des Jobs aus, dessen Einstellungen Sie überprüfen möchten. Um den Job schneller zu finden, können Sie die Tabelle mithilfe der Filteroptionen über der Tabelle filtern. Sie können die Tabelle auch in auf- oder absteigender Reihenfolge nach bestimmten Feldern sortieren.
Wenn Sie einen Job in der Tabelle auswählen, werden im Detailbereich die Konfigurationseinstellungen des Jobs und andere Informationen über den Job angezeigt. Je nach den Einstellungen des Jobs enthält das Fenster die folgenden Abschnitte.
**Allgemeine Informationen**
Dieser Abschnitt enthält allgemeine Informationen über den Job. Es zeigt beispielsweise den Amazon-Ressourcennamen (ARN) des Jobs, wann der Job zuletzt gestartet wurde, und den aktuellen Status des Jobs. Wenn Sie den Job angehalten haben, gibt dieser Abschnitt auch an, wann Sie den Job angehalten haben und wann der Job oder die letzte Jobausführung abgelaufen ist oder abläuft, wenn Sie ihn nicht fortsetzen.
**Statistiken**
In diesem Abschnitt werden Verarbeitungsstatistiken für den Job angezeigt. Es gibt beispielsweise an, wie oft der Job ausgeführt wurde, und die ungefähre Anzahl von S3-Objekten, die der Job während seiner aktuellen Ausführung noch verarbeiten muss.
**Scope**
In diesem Abschnitt wird angegeben, wie oft der Job ausgeführt wird. Außerdem werden Einstellungen angezeigt, mit denen der Umfang des Jobs verfeinert werden kann, z. B. die [Stichprobentiefe](discovery-jobs-scope.md#discovery-jobs-scope-sampling) und alle [Objektkriterien](discovery-jobs-scope.md#discovery-jobs-scope-criteria), die S3-Objekte in die Analyse einbeziehen oder ausschließen.
**S3-Buckets**
Dieser Abschnitt wird im Bereich angezeigt, wenn der Job für die Analyse von Buckets konfiguriert ist, die Sie bei der Erstellung des Jobs ausdrücklich ausgewählt haben. Er gibt die Nummer an, für AWS-Konten die der Job konfiguriert ist, um Daten zu analysieren. Es gibt auch die Anzahl der Buckets an, für deren Analyse der Job konfiguriert ist, sowie die Namen dieser Buckets (gruppiert nach Konto).
Um die vollständige Liste der Konten und Buckets im JSON-Format anzuzeigen, wählen Sie die Zahl im Feld **Gesamtzahl** der Buckets aus.
**Kriterien für S3-Buckets**
Dieser Abschnitt wird im Panel angezeigt, wenn der Job anhand von Laufzeitkriterien bestimmt, welche Buckets analysiert werden sollen. Er listet die Kriterien auf, für deren Verwendung der Job konfiguriert ist. Um die Kriterien im JSON-Format anzuzeigen, wählen Sie **Details**. Wählen Sie dann im daraufhin angezeigten Fenster die Registerkarte **Kriterien** aus.
Um eine Liste der Buckets zu überprüfen, die derzeit den Kriterien entsprechen, wählen Sie „**Details**“. Wählen Sie dann im daraufhin angezeigten Fenster die Registerkarte **Passende Buckets** aus. Wählen Sie optional Aktualisieren (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/btn-refresh-data.png)), um die neuesten Daten abzurufen. Auf der Registerkarte werden bis zu 25 Buckets aufgeführt, die derzeit den Kriterien entsprechen.
Wenn der Job bereits ausgeführt wurde, können Sie auch feststellen, ob Buckets den Kriterien bei der Ausführung des Jobs entsprachen, und, falls ja, die Namen dieser Buckets. Überprüfen Sie dazu die Protokollereignisse für den Job: Wählen Sie oben im Bereich „**Ergebnisse anzeigen**“ und anschließend „Protokolle **anzeigen CloudWatch **“. Macie öffnet die CloudWatch Amazon-Konsole und zeigt eine Tabelle mit Protokollereignissen für den Job an. Die Ereignisse beinhalten ein `BUCKET_MATCHED_THE_CRITERIA` Ereignis für jeden Bucket, der den Kriterien entsprach und in die Analyse des Jobs aufgenommen wurde. Weitere Informationen finden Sie unter [Überwachung von Jobs mit CloudWatch Logs](discovery-jobs-monitor-cw-logs.md).
**Benutzerdefinierte Datenbezeichner**
Dieser Abschnitt wird im Bereich angezeigt, wenn der Job für die Verwendung eines oder mehrerer [benutzerdefinierter Datenbezeichner](custom-data-identifiers.md) konfiguriert ist. Er gibt die Namen dieser benutzerdefinierten Datenbezeichner an.
**Listen zulassen**
Dieser Abschnitt wird im Fenster angezeigt, wenn der Job für die Verwendung einer oder mehrerer [Zulassungslisten](allow-lists.md) konfiguriert ist. Er gibt die Namen dieser Listen an. Um die Einstellungen und den Status einer Liste zu überprüfen, wählen Sie das Linksymbol (![\[The link icon, which is a blue box that has an arrow in it.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/icon-view-resource-blue.png)) neben dem Namen der Liste.
**Verwaltete Datenkennungen**
In diesem Abschnitt wird angegeben, für welche [verwalteten Datenbezeichner](managed-data-identifiers.md) der Job konfiguriert ist. Dies wird durch den Auswahltyp für verwaltete Datenbezeichner für den Job bestimmt:
+ **Empfohlen** — Verwenden Sie bei der Ausführung des Jobs die verwalteten Datenbezeichner, die sich im [empfohlenen Satz](discovery-jobs-mdis-recommended.md) befinden.
+ **Ausgewählte einbeziehen** — Verwenden Sie nur die verwalteten Datenbezeichner, die im Abschnitt „**Auswahl**“ aufgeführt sind.
+ **Alle einbeziehen** — Verwenden Sie alle verwalteten Datenkennungen, die bei der Ausführung des Jobs verfügbar sind.
+ **Ausgewählte ausschließen** — Verwenden Sie alle verwalteten Datenkennungen, die bei der Ausführung des Jobs verfügbar sind, mit Ausnahme der im Abschnitt „**Auswahl**“ aufgeführten.
+ **Alle ausschließen** — Verwenden Sie keine verwalteten Datenkennungen. Verwenden Sie nur die angegebenen benutzerdefinierten Datenbezeichner.
Um diese Einstellungen im JSON-Format zu überprüfen, wählen Sie **Details**.
**Tags**
Dieser Abschnitt wird im Bereich angezeigt, wenn dem Job Tags zugewiesen wurden. Er listet diese Tags auf. Ein *Tag* ist eine Bezeichnung, die Sie definieren und bestimmten Ressourcentypen AWS zuweisen. Jedes Tag besteht aus einem erforderlichen Tag-Schlüssel und einem optionalen Tag-Wert. Weitere Informationen hierzu finden Sie unter [Macie-Ressourcen taggen](tagging-resources.md).
Um die Einstellungen des Jobs zu überprüfen und im JSON-Format zu speichern, wählen Sie oben im Panel die eindeutige Kennung für den **Job (Job-ID**) aus. Wählen Sie dann „**Herunterladen**“.
# Überprüfen Sie den Status eines Discovery-Jobs für sensible Daten
Wenn Sie einen Discovery-Job für sensible Daten erstellen, lautet sein Anfangsstatus je nach Art und Zeitplan des Auftrags **Aktiv (Wird **ausgeführt)** oder Aktiv (Inaktiv**). Der Job durchläuft dann weitere Status, die Sie im Verlauf des Jobs überwachen können.
**Tipp**
Sie können nicht nur den Gesamtstatus eines Auftrags überwachen, sondern auch bestimmte Ereignisse überwachen, die im Verlauf eines Auftrags auftreten. Sie können dies tun, indem Sie Protokolldaten verwenden, die Amazon Macie automatisch in Amazon CloudWatch Logs veröffentlicht. Die Daten in diesen Protokollen enthalten eine Aufzeichnung der Änderungen am Status eines Auftrags sowie Einzelheiten zu Fehlern auf Konto- oder Bucket-Ebene, die während der Ausführung eines Auftrags auftreten. Weitere Informationen finden Sie unter [Überwachung von Jobs mit CloudWatch Logs](discovery-jobs-monitor-cw-logs.md).
**So überprüfen Sie den Status eines -Auftrags**
Gehen Sie wie folgt vor, um den Status eines Auftrags mithilfe der Amazon Macie Macie-Konsole zu überprüfen. Um den Status eines Jobs programmgesteuert zu überprüfen, verwenden Sie den [DescribeClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-jobid.html)Betrieb der Amazon Macie Macie-API.
1. Öffnen Sie die Amazon Macie Macie-Konsole unter [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/).
1. Wählen Sie im Navigationsbereich die Option **Jobs (Aufträge)** aus. Die Seite **Jobs** wird geöffnet und zeigt die Anzahl der Jobs in Ihrem Inventar sowie eine Tabelle dieser Jobs an.
1. Klicken Sie oben auf der Seite auf Aktualisieren (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/btn-refresh-data.png)), um den aktuellen Status der einzelnen Jobs abzurufen.
1. Suchen Sie in der Tabelle **Jobs** den Job, dessen Status Sie überprüfen möchten. Um den Job schneller zu finden, können Sie die Tabelle mithilfe der Filteroptionen über der Tabelle filtern. Sie können die Tabelle auch in auf- oder absteigender Reihenfolge nach bestimmten Feldern sortieren.
1. Weitere Informationen finden Sie im Feld **Status** in der Tabelle. Dieses Feld gibt den aktuellen Status des Jobs an.
Der Status eines Jobs kann einer der folgenden sein.
**Aktiv (Inaktiv)**
Bei einem periodischen Auftrag ist die vorherige Ausführung abgeschlossen und die nächste geplante Ausführung steht noch aus. Dieser Wert gilt nicht für einmalige Jobs.
**Aktiv (läuft)**
Bei einem einmaligen Job ist der Job gerade in Bearbeitung. Bei einem periodischen Auftrag wird gerade eine geplante Ausführung ausgeführt.
**Abgebrochen**
Bei jeder Art von Auftrag wurde der Auftrag dauerhaft gestoppt (storniert).
Ein Job hat diesen Status, wenn Sie ihn ausdrücklich storniert haben oder, falls es sich um einen einmaligen Job handelt, Sie den Job pausiert und nicht innerhalb von 30 Tagen wieder aufgenommen haben. Ein Job kann diesen Status auch haben, wenn du [Macie zuvor in der aktuellen Zeit suspendiert](suspend-macie.md) hast. AWS-Region
**Vollständig**
Bei einem einmaligen Job wurde der Job erfolgreich ausgeführt und ist jetzt abgeschlossen. Dieser Wert gilt nicht für periodische Jobs. Stattdessen ändert sich der Status eines periodischen Auftrags in **Aktiv (Inaktiv)**, wenn jede Ausführung erfolgreich abgeschlossen wurde.
**Angehalten (von Macie)**
Bei jeder Art von Job wurde der Job vorübergehend von Macie gestoppt (pausiert).
Ein Auftrag hat diesen Status, wenn der Abschluss des Auftrags oder einer Auftragsausführung das monatliche [Kontingent für die Entdeckung sensibler Daten](macie-quotas.md) für Ihr Konto überschreiten würde. In diesem Fall unterbricht Macie den Job automatisch. Macie nimmt den Job automatisch wieder auf, wenn der nächste Kalendermonat beginnt und das monatliche Kontingent für Ihr Konto zurückgesetzt wird, oder Sie erhöhen das Kontingent für Ihr Konto.
Wenn Sie der Macie-Administrator einer Organisation sind und den Job so konfiguriert haben, dass er Daten für Mitgliedskonten analysiert, kann der Job auch diesen Status haben, wenn der Abschluss des Jobs oder einer Jobausführung das monatliche Kontingent für die Erkennung sensibler Daten für ein Mitgliedskonto überschreiten würde.
Wenn ein Job ausgeführt wird und die Analyse geeigneter Objekte dieses Kontingent für ein Mitgliedskonto erreicht, beendet der Job die Analyse von Objekten, die dem Konto gehören. Wenn der Job die Analyse der Objekte für alle anderen Konten abgeschlossen hat, die das Kontingent nicht erfüllt haben, unterbricht Macie den Job automatisch. Handelt es sich um einen einmaligen Job, nimmt Macie den Job automatisch wieder auf, wenn der nächste Kalendermonat beginnt, oder das Kontingent wird für alle betroffenen Konten erhöht, je nachdem, was zuerst eintritt. Handelt es sich um einen periodischen Job, nimmt Macie den Job automatisch wieder auf, wenn der nächste Lauf geplant ist oder der nächste Kalendermonat beginnt, je nachdem, was zuerst eintritt. Wenn eine geplante Ausführung vor Beginn des nächsten Kalendermonats beginnt oder das Kontingent für ein betroffenes Konto erhöht wird, analysiert der Job keine Objekte, die dem Konto gehören.
**Angehalten (vom Benutzer)**
Bei jeder Art von Job wurde der Job vorübergehend von Ihnen gestoppt (pausiert).
Wenn Sie einen einmaligen Job pausieren und ihn nicht innerhalb von 30 Tagen wieder aufnehmen, läuft der Job ab und Macie storniert ihn. Wenn Sie einen regelmäßigen Job unterbrechen, während er aktiv ausgeführt wird, und Sie ihn nicht innerhalb von 30 Tagen wieder aufnehmen, läuft die Ausführung des Jobs ab und Macie bricht den Lauf ab. Um das Ablaufdatum eines unterbrochenen Auftrags oder einer Auftragsausführung zu überprüfen, wählen Sie den Namen des Auftrags in der Tabelle aus und suchen Sie dann im Bereich **Statusdetails** im Detailbereich nach dem Feld **Läuft ab**.
Wenn ein Auftrag storniert oder angehalten wurde, können Sie anhand der Auftragsdetails feststellen, ob die Ausführung des Jobs gestartet wurde oder, bei einem periodischen Job, mindestens einmal ausgeführt wurde, bevor er abgebrochen oder angehalten wurde. Wählen Sie dazu den Namen des Jobs in der Tabelle **Jobs** aus und schauen Sie dann im Detailbereich nach. Im Bereich gibt das Feld **Anzahl der Durchläufe** an, wie oft der Job ausgeführt wurde. Das Feld **Letzte Laufzeit** gibt das Datum und die Uhrzeit an, zu der der Job zuletzt gestartet wurde.
Abhängig vom aktuellen Status des Jobs können Sie den Job optional anhalten, fortsetzen oder abbrechen. Weitere Informationen finden Sie unter [Den Status eines Jobs ändern](discovery-jobs-status-change.md).
# Den Status eines Discovery-Jobs für sensible Daten ändern
Nachdem Sie einen Discovery-Job für sensible Daten erstellt haben, können Sie ihn vorübergehend unterbrechen oder dauerhaft abbrechen. Wenn Sie einen Job anhalten, der aktiv ausgeführt wird, beginnt Amazon Macie sofort damit, alle Verarbeitungsaufgaben für den Job anzuhalten. Wenn Sie einen Job stornieren, der aktiv ausgeführt wird, beginnt Macie sofort, alle Verarbeitungsaufgaben für den Job zu beenden. Sie können einen Job nicht fortsetzen oder neu starten, nachdem er storniert wurde.
Wenn Sie einen einmaligen Auftrag pausieren, können Sie ihn innerhalb von 30 Tagen wieder aufnehmen. Wenn Sie den Job wieder aufnehmen, nimmt Macie die Verarbeitung sofort an dem Punkt wieder auf, an dem Sie den Job unterbrochen haben. Macie startet den Job nicht von Anfang an neu. Wenn Sie einen einmaligen Job nicht innerhalb von 30 Tagen nach der Unterbrechung wieder aufnehmen, läuft der Job ab und Macie storniert ihn.
Wenn Sie einen regelmäßigen Job unterbrechen, können Sie ihn jederzeit wieder aufnehmen. Wenn Sie einen periodischen Job wieder aufnehmen und der Job sich im Leerlauf befand, als Sie ihn angehalten haben, setzt Macie den Job gemäß dem Zeitplan und anderen Konfigurationseinstellungen fort, die Sie bei der Erstellung des Jobs ausgewählt haben. Wenn Sie einen periodischen Job wieder aufnehmen und der Job aktiv ausgeführt wurde, als Sie ihn angehalten haben, hängt die Art und Weise, wie Macie den Job wieder aufnimmt, davon ab, wann Sie den Job wieder aufnehmen:
+ Wenn Sie den Job innerhalb von 30 Tagen nach dem Unterbrechen wieder aufnehmen, nimmt Macie sofort den letzten geplanten Lauf an dem Punkt wieder auf, an dem Sie den Job unterbrochen haben. Macie startet den Lauf nicht von Anfang an neu.
+ Wenn Sie den Job nicht innerhalb von 30 Tagen nach dem Anhalten wieder aufnehmen, läuft die letzte geplante Ausführung ab und Macie bricht alle verbleibenden Verarbeitungsaufgaben für den Lauf ab. Wenn Sie den Job anschließend wieder aufnehmen, setzt Macie den Job gemäß dem Zeitplan und anderen Konfigurationseinstellungen fort, die Sie bei der Erstellung des Jobs ausgewählt haben.
Damit Sie leichter bestimmen können, wann ein angehaltener Job oder eine Auftragsausführung abläuft, fügt Macie den Auftragsdetails ein Ablaufdatum hinzu, während der Job angehalten ist. Darüber hinaus benachrichtigen wir Sie ungefähr sieben Tage vor Ablauf des Auftrags oder der Auftragsausführung. Wir benachrichtigen Sie erneut, wenn der Job oder die Auftragsausführung abläuft und storniert wird. Um Sie zu benachrichtigen, senden wir eine E-Mail an die Adresse, die mit Ihrer verknüpft ist AWS-Konto. Wir erstellen auch AWS Health Events und Amazon CloudWatch Events für Ihr Konto. Um das Ablaufdatum mithilfe der Konsole zu überprüfen, wählen Sie den Namen des Jobs in der Tabelle auf der Seite **Jobs** aus. Sehen Sie sich dann das Feld **Läuft ab** im Abschnitt **Statusdetails** des Detailfensters an. Verwenden Sie den [DescribeClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-jobid.html)Betrieb der Amazon Macie Macie-API, um das Datum programmgesteuert zu überprüfen.
**Um einen Job anzuhalten, fortzusetzen oder abzubrechen**
Gehen Sie wie folgt vor, um einen Job mithilfe der Amazon Macie Macie-Konsole anzuhalten, fortzusetzen oder abzubrechen. Verwenden Sie dazu programmgesteuert den [UpdateClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-jobid.html)Betrieb der Amazon Macie Macie-API.
1. Öffnen Sie die Amazon Macie Macie-Konsole unter [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/).
1. Wählen Sie im Navigationsbereich die Option **Jobs (Aufträge)** aus. Die Seite **Jobs** wird geöffnet und zeigt die Anzahl der Jobs in Ihrem Inventar sowie eine Tabelle dieser Jobs an.
1. Klicken Sie oben auf der Seite auf Aktualisieren (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/btn-refresh-data.png)), um den aktuellen Status der einzelnen Jobs abzurufen.
1. Aktivieren Sie in der Tabelle **Jobs** das Kontrollkästchen für den Job, den Sie anhalten, fortsetzen oder abbrechen möchten. Um den Job schneller zu finden, können Sie die Tabelle mithilfe der Filteroptionen über der Tabelle filtern. Sie können die Tabelle auch in auf- oder absteigender Reihenfolge nach bestimmten Feldern sortieren.
1. Führen Sie im Menü **Aktionen** einen der folgenden Schritte aus:
+ Um den Job vorübergehend anzuhalten, wählen Sie **Pause**. Diese Option ist nur verfügbar, wenn der aktuelle Status des Jobs **Aktiv (Inaktiv)**, **Aktiv (Wird ausgeführt)** oder **Angehalten (Von Macie**) lautet.
+ **Um den Job fortzusetzen, wählen Sie Fortsetzen.** Diese Option ist nur verfügbar, wenn der aktuelle Status des Jobs „**Unterbrochen (vom Benutzer**)“ lautet.
+ **Um den Job dauerhaft abzubrechen, wählen Sie Abbrechen.** Wenn Sie diese Option wählen, können Sie den Job anschließend nicht fortsetzen oder neu starten.
# Einen Discovery-Job für vertrauliche Daten wird kopiert
Um schnell einen Discovery-Job für sensible Daten zu erstellen, der einem vorhandenen Job ähnelt, können Sie eine Kopie des vorhandenen Jobs erstellen. Anschließend können Sie die Einstellungen der Kopie bearbeiten und die Kopie als neuen Job speichern. Dies kann in Fällen hilfreich sein, in denen Sie verschiedene Datensätze auf dieselbe Weise oder denselben Datensatz auf unterschiedliche Weise analysieren möchten. Es kann auch hilfreich sein, wenn Sie die Konfigurationseinstellungen für einen vorhandenen Job anpassen möchten. Stornieren Sie den vorhandenen Job, kopieren Sie ihn und passen Sie die Kopie dann an und speichern Sie die Kopie als neuen Job.
**Um einen Job zu kopieren**
Gehen Sie wie folgt vor, um einen Job mithilfe der Amazon Macie Macie-Konsole zu kopieren. Um einen Job programmgesteuert zu kopieren, rufen Sie mithilfe [DescribeClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-jobid.html)der Amazon Macie Macie-API die Konfigurationseinstellungen für den Job ab, den Sie kopieren möchten. Verwenden Sie dann den [CreateClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs.html)Vorgang, um eine Kopie des Jobs zu erstellen.
1. Öffnen Sie die Amazon Macie Macie-Konsole unter [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/).
1. Wählen Sie im Navigationsbereich die Option **Jobs (Aufträge)** aus. Die Seite **Jobs** wird geöffnet und zeigt die Anzahl der Jobs in Ihrem Inventar sowie eine Tabelle dieser Jobs an.
1. Aktivieren Sie in der Tabelle **Jobs** das Kontrollkästchen für den Job, den Sie kopieren möchten. Um den Job schneller zu finden, können Sie die Tabelle mithilfe der Filteroptionen über der Tabelle filtern. Sie können die Tabelle auch in auf- oder absteigender Reihenfolge nach bestimmten Feldern sortieren.
1. Wählen Sie im Menü **Aktionen** die Option In neu **kopieren** aus.
1. Führen Sie die Schritte auf der Konsole aus, um die Einstellungen für die Kopie des Jobs zu überprüfen und anzupassen. Erwägen Sie, für **den Schritt „Umfang verfeinern**“ Optionen auszuwählen, die verhindern, dass der Job vorhandene Daten erneut auf dieselbe Weise analysiert:
+ Verwenden Sie für einen einmaligen Job [Objektkriterien](discovery-jobs-scope.md#discovery-jobs-scope-criteria), um nur die Objekte einzubeziehen, die nach einer bestimmten Zeit erstellt oder geändert wurden. Wenn Sie beispielsweise eine Kopie eines Auftrags erstellen, den Sie storniert haben, fügen Sie die Bedingung **Letzte Änderung** hinzu, die das Datum und die Uhrzeit angibt, zu der Sie den vorhandenen Auftrag storniert haben.
+ Deaktivieren Sie für einen periodischen Auftrag das Kontrollkästchen **Bestehende Objekte einbeziehen**. In diesem Fall werden bei der ersten Ausführung des Jobs nur die Objekte analysiert, die nach der Erstellung des Jobs und vor der ersten Ausführung des Jobs erstellt oder geändert wurden. Sie können auch [Objektkriterien](discovery-jobs-scope.md#discovery-jobs-scope-criteria) verwenden, um Objekte auszuschließen, die vor einem bestimmten Datum und einer bestimmten Uhrzeit zuletzt geändert wurden.
Weitere Informationen zu diesem und anderen Schritten finden Sie unter[Erstellen einer Aufgabe zur Erkennung vertraulicher Daten](discovery-jobs-create.md).
1. Wenn Sie fertig sind, wählen Sie „**Senden**“, um die Kopie als neuen Job zu speichern.
Wenn Sie den Job so konfiguriert haben, dass er einmal, täglich oder am aktuellen Wochentag oder Monat ausgeführt wird, startet Macie den Job sofort nach dem Speichern. Andernfalls bereitet sich Macie darauf vor, den Job am angegebenen Wochentag oder Monat auszuführen. Um den Job zu überwachen, können Sie [den Status des Jobs überprüfen](discovery-jobs-status-check.md).
# Überwachung von Aufträgen zur Erkennung sensibler Daten mit CloudWatch Logs
Sie können nicht nur [den Gesamtstatus eines Discovery-Jobs für sensible Daten überwachen](discovery-jobs-status-check.md) und analysieren, sondern auch bestimmte Ereignisse überwachen und analysieren, die im Verlauf eines Auftrags auftreten. Sie können dies tun, indem Sie Protokolldaten nahezu in Echtzeit verwenden, die Amazon Macie automatisch in Amazon CloudWatch Logs veröffentlicht. Die Daten in diesen Protokollen zeichnen Änderungen am Fortschritt oder Status eines Auftrags auf. Sie können die Daten beispielsweise verwenden, um das genaue Datum und die Uhrzeit zu ermitteln, zu der die Ausführung eines Jobs gestartet, unterbrochen oder beendet wurde.
Die Protokolldaten enthalten auch Details zu Fehlern auf Konto- oder Bucket-Ebene, die während der Ausführung eines Jobs auftreten. Macie protokolliert beispielsweise ein Ereignis, wenn die Berechtigungseinstellungen für einen Amazon Simple Storage Service (Amazon S3) -Bucket verhindern, dass ein Job Objekte im Bucket analysiert. Das Ereignis gibt an, wann der Fehler aufgetreten ist, und identifiziert den betroffenen Bucket und den Bucket AWS-Konto , dem der Bucket gehört. Die Daten für diese Ereignistypen können Ihnen helfen, Fehler zu identifizieren, zu untersuchen und zu beheben, die Macie daran hindern, die gewünschten Daten zu analysieren.
Mit Amazon CloudWatch Logs können Sie Protokolldateien von mehreren Systemen, Anwendungen und, einschließlich Macie, überwachen, speichern und AWS-Services darauf zugreifen. Sie können auch Protokolldaten abfragen und analysieren und CloudWatch Protokolle so konfigurieren, dass Sie benachrichtigt werden, wenn bestimmte Ereignisse eintreten oder Schwellenwerte erreicht werden. CloudWatch Logs bietet auch Funktionen zum Archivieren von Protokolldaten und zum Exportieren der Daten nach Amazon S3. Weitere Informationen zu CloudWatch Logs finden Sie im [Amazon CloudWatch Logs-Benutzerhandbuch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html).
**Topics**
+ [Wie funktioniert die Protokollierung für Jobs](discovery-jobs-monitor-cw-logs-configure.md)
+ [Protokolle für Jobs überprüfen](discovery-jobs-monitor-cw-logs-review.md)
+ [Grundlegendes zu Protokollereignissen für Jobs](discovery-jobs-monitor-cw-logs-ref.md)
# So funktioniert die Protokollierung bei Aufträgen zur Erkennung sensibler Daten
Wenn Sie mit der Ausführung von Aufträgen zur Erkennung sensibler Daten beginnen, erstellt und konfiguriert Amazon Macie automatisch die entsprechenden Ressourcen in Amazon CloudWatch Logs, um Ereignisse für all Ihre Jobs zu protokollieren. Macie veröffentlicht dann automatisch Ereignisdaten auf diesen Ressourcen, wenn Ihre Jobs ausgeführt werden. Die Berechtigungsrichtlinie für die [dienstbezogene Macie-Rolle](service-linked-roles.md) für Ihr Konto ermöglicht es Macie, diese Aufgaben in Ihrem Namen auszuführen. Sie müssen keine Schritte unternehmen, um Ressourcen in CloudWatch Logs zu erstellen oder zu konfigurieren, um Ereignisdaten für Ihre Jobs zu protokollieren.
In CloudWatch Logs sind Logs in *Protokollgruppen* organisiert. Jede Protokollgruppe enthält *Protokollstreams*. Jeder Protokollstream enthält *Protokollereignisse*. Der allgemeine Zweck jeder dieser Ressourcen ist wie folgt:
+ Eine *Protokollgruppe* ist eine Sammlung von Protokollströmen, die dieselben Einstellungen für Aufbewahrung, Überwachung und Zugriffskontrolle verwenden, z. B. die Sammlung von Protokollen für all Ihre Aufgaben zur Erkennung vertraulicher Daten.
+ Ein *Protokollstream* ist eine Abfolge von Protokollereignissen, die dieselbe Quelle verwenden, z. B. eine einzelne Aufgabe zur Erkennung vertraulicher Daten.
+ Ein *Protokollereignis* ist eine Aufzeichnung einer Aktivität, die von einer Anwendung oder Ressource aufgezeichnet wurde, z. B. ein einzelnes Ereignis, das Macie für einen bestimmten Discovery-Job für sensible Daten aufgezeichnet und veröffentlicht hat.
Macie veröffentlicht Ereignisse für alle Ihre Aufgaben zur Erkennung sensibler Daten in einer Protokollgruppe. Jeder Job hat einen eigenen Protokollstream in dieser Protokollgruppe. Die Protokollgruppe hat das folgende Präfix und den folgenden Namen:
`/aws/macie/classificationjobs`
Wenn diese Protokollgruppe bereits existiert, verwendet Macie sie, um Protokollereignisse für Ihre Jobs zu speichern. Dies kann hilfreich sein, wenn Ihre Organisation automatisierte Konfigurationen verwendet, z. B. [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)um Protokollgruppen mit vordefinierten Aufbewahrungszeiträumen, Verschlüsselungseinstellungen, Tags, metrischen Filtern usw. für Auftragsereignisse zu erstellen.
Wenn diese Protokollgruppe nicht existiert, erstellt Macie sie mit den Standardeinstellungen, die CloudWatch Logs für neue Protokollgruppen verwendet. Die Einstellungen beinhalten eine Aufbewahrungsfrist von **Never Expire**, was bedeutet, dass CloudWatch Logs die Protokolle auf unbestimmte Zeit speichert. Sie können den Aufbewahrungszeitraum für die Protokollgruppe ändern. Wie das geht, erfahren Sie unter [Arbeiten mit Protokollgruppen und Log-Streams](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html) im *Amazon CloudWatch Logs-Benutzerhandbuch*.
Innerhalb dieser Protokollgruppe erstellt Macie einen eindeutigen Protokollstream für jeden Job, den Sie ausführen, wenn der Job zum ersten Mal ausgeführt wird. Der Name des Protokollstreams ist die eindeutige Kennung für den Job, z. B. `85a55dc0fa6ed0be5939d0408example` im folgenden Format:
`/aws/macie/classificationjobs/85a55dc0fa6ed0be5939d0408example`
Jeder Protokollstream enthält alle Protokollereignisse, die Macie für den entsprechenden Job aufgezeichnet und veröffentlicht hat. Bei periodischen Jobs umfasst dies Ereignisse für alle Jobausführungen. Wenn Sie den Protokollstream für einen periodischen Job löschen, erstellt Macie den Stream erneut, wenn der Job das nächste Mal ausgeführt wird. Wenn Sie den Protokollstream für einen einmaligen Job löschen, können Sie ihn nicht wiederherstellen.
Beachten Sie, dass die Protokollierung standardmäßig für alle Ihre Jobs aktiviert ist. Sie können es nicht deaktivieren oder Macie auf andere Weise daran hindern, Job-Ereignisse in CloudWatch Logs zu veröffentlichen. Wenn Sie die Protokolle nicht speichern möchten, können Sie die Aufbewahrungsfrist für die Protokollgruppe auf nur einen Tag reduzieren. Am Ende des Aufbewahrungszeitraums löscht CloudWatch Logs automatisch abgelaufene Ereignisdaten aus der Protokollgruppe.
# Überprüfung der Protokolle bei Aufträgen zur Erkennung sensibler Daten
Nachdem Sie mit der Ausführung von Aufträgen zur Erkennung sensibler Daten in Amazon Macie begonnen haben, können Sie die Protokolle für Ihre Jobs mithilfe von Amazon CloudWatch Logs überprüfen. CloudWatch Logs bietet Funktionen, mit denen Sie Protokolldaten überprüfen, analysieren und überwachen können. Sie können diese Funktionen verwenden, um mit Protokolldatenströmen und Ereignissen für Jobs zu arbeiten, genauso wie Sie mit allen anderen Protokolldatentypen in CloudWatch Logs arbeiten würden.
Sie können beispielsweise aggregierte Daten durchsuchen und filtern, um bestimmte Arten von Ereignissen zu identifizieren, die für alle Ihre Jobs in einem bestimmten Zeitraum aufgetreten sind. Oder Sie können eine gezielte Überprüfung aller Ereignisse durchführen, die für einen bestimmten Job eingetreten sind. CloudWatch Logs bietet auch Optionen für die Überwachung von Protokolldaten, die Definition von Metrikfiltern und die Erstellung benutzerdefinierter Alarme.
**Tipp**
Um schnell zu den Protokolldaten für einen bestimmten Job zu navigieren, können Sie die Amazon Macie Macie-Konsole verwenden. Wählen Sie dazu auf der Seite **Jobs den Namen des Jobs** aus. Wählen Sie oben im Detailbereich die Option **Ergebnisse anzeigen** und anschließend ** CloudWatch Protokolle anzeigen** aus. Macie öffnet die CloudWatch Amazon-Konsole und zeigt eine Tabelle mit Protokollereignissen für den Job an.
**Um die Protokolle von Aufträgen zur Erkennung sensibler Daten zu überprüfen**
Gehen Sie wie folgt vor, um mithilfe der CloudWatch Amazon-Konsole zu den Protokolldaten zu navigieren und diese zu überprüfen. Verwenden Sie die [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/Welcome.html) API, um die Daten programmgesteuert zu überprüfen.
1. Öffnen Sie die CloudWatch Konsole unter. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)
1. Wählen Sie mithilfe der AWS-Region Auswahl in der oberen rechten Ecke der Seite die Region aus, in der Sie Jobs ausgeführt haben, für die Sie Logs überprüfen möchten.
1. Wählen Sie im Navigationsbereich **Logs** (Protokolle) und dann **Log groups** (Protokollgruppen) aus.
1. Wählen Sie auf der Seite **Protokollgruppen** die Protokollgruppe**/aws/macie/classificationjobs**aus. CloudWatch zeigt eine Tabelle mit Log-Streams für die Jobs an, die Sie ausgeführt haben. Für jeden Job gibt es einen eindeutigen Stream. Der Name jedes Streams entspricht der eindeutigen Kennung für einen Job.
1. Führen Sie auf der Registerkarte **Log-Streams** einen der folgenden Schritte aus:
+ Um die Protokollereignisse für einen bestimmten Job zu überprüfen, wählen Sie den Log-Stream für den Job aus. Um den Stream leichter zu finden, geben Sie die eindeutige Kennung des Jobs in das Filterfeld über der Tabelle ein. Nachdem Sie den Protokollstream ausgewählt haben, CloudWatch wird eine Tabelle mit Protokollereignissen für den Job angezeigt.
+ Um die Protokollereignisse für alle Ihre Jobs zu überprüfen, wählen Sie **Alle Protokollstreams durchsuchen** aus. CloudWatch zeigt eine Tabelle mit Protokollereignissen für all Ihre Jobs an.
1. (Optional) Geben Sie in das Filterfeld über der Tabelle Begriffe, Ausdrücke oder Werte ein, die die Merkmale bestimmter Ereignisse angeben, die überprüft werden sollen. Weitere Informationen finden Sie unter [Durchsuchen von Protokolldaten mithilfe von Filtermustern](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/SearchDataFilterPattern.html) im *Amazon CloudWatch Logs-Benutzerhandbuch*.
1. Um die Details eines bestimmten Protokollereignisses zu überprüfen, wählen Sie in der Zeile für das Ereignis die Option expand (![\[The expand row icon, which is a right-facing solid arrow.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/icon-caret-right-filled.png)) aus. CloudWatch zeigt die Details des Ereignisses im JSON-Format an. Weitere Informationen zu diesen Details finden Sie unter[Grundlegendes zu Protokollereignissen für Jobs](discovery-jobs-monitor-cw-logs-ref.md).
Wenn Sie sich mit den Daten in den Protokollereignissen vertraut machen, können Sie zusätzliche Aufgaben ausführen, um die Analyse und Überwachung der Daten zu optimieren. Sie können beispielsweise [Metrikfilter erstellen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/MonitoringLogData.html), die Protokolldaten in numerische CloudWatch Metriken umwandeln. Sie können auch [benutzerdefinierte Alarme erstellen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html), die es einfacher machen, bestimmte Protokollereignisse zu identifizieren und darauf zu reagieren. Weitere Informationen finden Sie im [Amazon CloudWatch Logs-Benutzerhandbuch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html).
# Grundlegendes zu Protokollereignissen bei Aufträgen zur Erkennung sensibler Daten
Um Sie bei der Überwachung Ihrer Discovery-Jobs für sensible Daten zu unterstützen, veröffentlicht Amazon Macie automatisch Protokolldaten für Jobs in Amazon CloudWatch Logs. Die Daten in diesen Protokollen enthalten eine Aufzeichnung der Änderungen am Fortschritt oder Status eines Auftrags. Sie können die Daten beispielsweise verwenden, um das genaue Datum und die Uhrzeit zu ermitteln, zu der ein Job gestartet oder beendet wurde. Die Daten enthalten auch Details zu bestimmten Arten von Fehlern, die bei der Ausführung eines Jobs auftreten können. Mithilfe dieser Daten können Sie Fehler identifizieren, untersuchen und beheben, die Macie daran hindern, die gewünschten Daten zu analysieren.
Wenn Sie mit der Ausführung von Jobs beginnen, erstellt und konfiguriert Macie automatisch die entsprechenden Ressourcen in CloudWatch Logs, um Ereignisse für all Ihre Jobs zu protokollieren. Macie veröffentlicht dann automatisch Ereignisdaten auf diesen Ressourcen, wenn Ihre Jobs ausgeführt werden. Weitere Informationen finden Sie unter [Wie funktioniert die Protokollierung für Jobs](discovery-jobs-monitor-cw-logs-configure.md).
Mithilfe von CloudWatch Logs können Sie dann Protokolldaten für Ihre Jobs abfragen und analysieren. Sie können beispielsweise aggregierte Daten durchsuchen und filtern, um bestimmte Arten von Ereignissen zu identifizieren, die bei all Ihren Jobs in einem bestimmten Zeitraum aufgetreten sind. Oder Sie können eine gezielte Überprüfung aller Ereignisse durchführen, die für einen bestimmten Job eingetreten sind. CloudWatch Logs bietet auch Optionen für die Überwachung von Protokolldaten, die Definition von Metrikfiltern und die Erstellung benutzerdefinierter Alarme. Sie können CloudWatch Protokolle beispielsweise so konfigurieren, dass Sie benachrichtigt werden, wenn bei der Ausführung Ihrer Jobs ein bestimmter Ereignistyp eintritt. Weitere Informationen finden Sie im [Amazon CloudWatch Logs-Benutzerhandbuch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html).
**Contents**
+ [Ereignisschema für Jobs protokollieren](#discovery-jobs-monitor-cw-logs-schema)
+ [Arten von Protokollereignissen für Jobs](#discovery-jobs-monitor-cw-logs-event-index)
+ [Ereignisse zum Jobstatus](#discovery-jobs-monitor-cw-logs-event-index-status)
+ [Fehlerereignisse auf Kontoebene](#discovery-jobs-monitor-cw-logs-event-index-account-errors)
+ [Fehlerereignisse auf Bucket-Ebene](#discovery-jobs-monitor-cw-logs-event-index-bucket-errors)
## Protokollereignisschema für Aufgaben zur Erkennung sensibler Daten
Jedes Protokollereignis für einen Discovery-Job für sensible Daten ist ein JSON-Objekt, das einen Standardsatz von Feldern enthält und dem Amazon CloudWatch Logs-Ereignisschema entspricht. Einige Ereignistypen verfügen über zusätzliche Felder, die Informationen enthalten, die für diese Art von Ereignis besonders nützlich sind. Ereignisse für Fehler auf Kontoebene beinhalten beispielsweise die Konto-ID der betroffenen Person. AWS-Konto Zu den Ereignissen für Fehler auf Bucket-Ebene gehört der Name des betroffenen Amazon Simple Storage Service (Amazon S3) -Buckets.
Das folgende Beispiel zeigt das Protokollereignisschema für Aufträge zur Erkennung sensibler Daten. In diesem Beispiel meldet das Ereignis, dass Amazon Macie keine Objekte in einem S3-Bucket analysieren konnte, weil Amazon S3 den Zugriff auf den Bucket verweigert hat.
```
{
"adminAccountId": "123456789012",
"jobId": "85a55dc0fa6ed0be5939d0408example",
"eventType": "BUCKET_ACCESS_DENIED",
"occurredAt": "2024-04-14T17:11:30.574809Z",
"description": "Macie doesn’t have permission to access the affected S3 bucket.",
"jobName": "My_Macie_Job",
"operation": "ListObjectsV2",
"runDate": "2024-04-14T17:08:30.345809Z",
"affectedAccount": "111122223333",
"affectedResource": {
"type": "S3_BUCKET_NAME",
"value": "amzn-s3-demo-bucket"
}
}
```
Im vorherigen Beispiel hat Macie versucht, die Objekte des Buckets mithilfe der [ListObjectsV2-Operation](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html) der Amazon S3 S3-API aufzulisten. Als Macie die Anfrage an Amazon S3 sendete, verweigerte Amazon S3 den Zugriff auf den Bucket.
Die folgenden Felder sind allen Protokollereignissen für Aufgaben zur Erkennung sensibler Daten gemeinsam:
+ `adminAccountId`— Die eindeutige Kennung für den AWS-Konto , der den Job erstellt hat.
+ `jobId`— Die eindeutige Kennung für den Job.
+ `eventType`— Die Art des Ereignisses, das eingetreten ist.
+ `occurredAt`— Datum und Uhrzeit in koordinierter Weltzeit (UTC) und erweitertem ISO 8601-Format, an dem das Ereignis eingetreten ist.
+ `description`— Eine kurze Beschreibung des Ereignisses.
+ `jobName`— Der Name des Jobs.
Je nach Art und Art eines Ereignisses kann ein Protokollereignis auch die folgenden Felder enthalten:
+ `affectedAccount`— Die eindeutige Kennung für die Person AWS-Konto , der die betroffene Ressource gehört.
+ `affectedResource`— Ein JSON-Objekt, das Details zur betroffenen Ressource bereitstellt. Im Objekt gibt das `type` Feld ein Feld an, das Metadaten zu einer Ressource speichert. Das `value` Feld gibt den Wert für das Feld an (`type`).
+ `operation`— Der Vorgang, den Macie auszuführen versucht hat und der den Fehler verursacht hat.
+ `runDate`— Datum und Uhrzeit in koordinierter Weltzeit (UTC) und erweitertem ISO 8601-Format, an dem der entsprechende Job oder die Ausführung des Jobs gestartet wurde.
## Arten von Protokollereignissen für Aufgaben zur Erkennung sensibler Daten
Amazon Macie veröffentlicht Protokollereignisse für drei Kategorien von Ereignissen, die bei einem Discovery-Job für sensible Daten auftreten können:
+ Jobstatusereignisse, die Änderungen am Status oder Fortschritt eines Jobs oder einer Jobausführung aufzeichnen.
+ Fehlerereignisse auf Kontoebene, bei denen Fehler aufgezeichnet werden, die Macie daran gehindert haben, Amazon S3 S3-Daten auf bestimmte Weise zu analysieren. AWS-Konto
+ Fehlerereignisse auf Bucket-Ebene, bei denen Fehler aufgezeichnet werden, die Macie daran gehindert haben, Daten in einem bestimmten S3-Bucket zu analysieren.
In den Themen dieses Abschnitts sind die Ereignistypen aufgeführt und beschrieben, die Macie für jede Kategorie veröffentlicht.
### Ereignisse zum Jobstatus
Ein Jobstatusereignis zeichnet eine Änderung des Status oder des Fortschritts eines Auftrags oder einer Auftragsausführung auf. Bei periodischen Jobs protokolliert und veröffentlicht Macie diese Ereignisse sowohl für den gesamten Job als auch für einzelne Jobläufe.
Im folgenden Beispiel werden anhand von Beispieldaten die Struktur und Art der Felder in einem Jobstatusereignis veranschaulicht. In diesem Beispiel weist ein `SCHEDULED_RUN_COMPLETED` Ereignis darauf hin, dass eine geplante Ausführung eines periodischen Jobs beendet wurde. Der Lauf begann am 14. April 2024 um 17:09:30 UTC, wie aus dem Feld hervorgeht. `runDate` Der Lauf endete am 14. April 2024 um 17:16:30 Uhr UTC, wie aus dem Feld hervorgeht. `occurredAt`
```
{
"adminAccountId": "123456789012",
"jobId": "ffad0e71455f38a4c7c220f3cexample",
"eventType": "SCHEDULED_RUN_COMPLETED",
"occurredAt": "2024-04-14T17:16:30.574809Z",
"description": "The scheduled job run finished running.",
"jobName": "My_Daily_Macie_Job",
"runDate": "2024-04-14T17:09:30.574809Z"
}
```
In der folgenden Tabelle sind die Typen von Jobstatusereignissen aufgeführt und beschrieben, die Macie protokolliert und in Logs veröffentlicht. CloudWatch In der Spalte **Ereignistyp** wird der Name jedes Ereignisses so angegeben, wie er im `eventType` Feld eines Ereignisses erscheint. Die Spalte **Beschreibung** enthält eine kurze Beschreibung des Ereignisses, wie es im `description` Feld eines Ereignisses angezeigt wird. Die **zusätzlichen Informationen** enthalten Informationen über die Art des Jobs, für den sich das Ereignis bezieht. Die Tabelle ist zuerst nach der allgemeinen chronologischen Reihenfolge sortiert, in der Ereignisse auftreten können, und dann in aufsteigender alphabetischer Reihenfolge nach Ereignistyp.
| Ereignistyp | Description | Zusätzliche Informationen |
| --- | --- | --- |
| JOB\$1CREATED | Der Job wurde erstellt. | Gilt für einmalige und regelmäßige Jobs. |
| ONE\$1TIME\$1JOB\$1STARTED | Der Job wurde gestartet. | Gilt nur für einmalige Jobs. |
| SCHEDULED\$1RUN\$1STARTED | Der geplante Joblauf wurde gestartet. | Gilt nur für periodische Jobs. Um den Start eines einmaligen Jobs zu protokollieren, veröffentlicht Macie ein ONE\$1TIME\$1JOB\$1STARTED-Ereignis, nicht dieses Ereignis. |
| BUCKET\$1MATCHED\$1THE\$1CRITERIA | Der betroffene Bucket entsprach den für den Job angegebenen Bucket-Kriterien. | Gilt für einmalige und regelmäßige Jobs, bei denen anhand von Runtime-Bucket-Kriterien bestimmt wird, welche S3-Buckets analysiert werden sollen. Das `affectedResource` Objekt gibt den Namen des Buckets an, der den Kriterien entsprach und in die Analyse des Jobs aufgenommen wurde. |
| NO\$1BUCKETS\$1MATCHED\$1THE\$1CRITERIA | Der Job wurde gestartet, aber derzeit entsprechen keine Buckets den für den Job angegebenen Bucket-Kriterien. Der Job hat keine Daten analysiert. | Gilt für einmalige und regelmäßige Jobs, bei denen anhand von Runtime-Bucket-Kriterien bestimmt wird, welche S3-Buckets analysiert werden sollen. |
| SCHEDULED\$1RUN\$1COMPLETED | Die Ausführung des geplanten Auftrags wurde abgeschlossen. | Gilt nur für periodische Jobs. Um den Abschluss eines einmaligen Jobs zu protokollieren, veröffentlicht Macie ein JOB\$1COMPLETED-Ereignis, nicht dieses Ereignis. |
| JOB\$1PAUSED\$1BY\$1USER | Der Job wurde von einem Benutzer angehalten. | Gilt für einmalige und regelmäßige Jobs, die Sie vorübergehend beendet (angehalten) haben. |
| JOB\$1RESUMED\$1BY\$1USER | Der Job wurde von einem Benutzer wieder aufgenommen. | Gilt für einmalige und regelmäßige Aufträge, die Sie vorübergehend beendet (angehalten) und später wieder aufgenommen haben. |
| JOB\$1PAUSED\$1BY\$1MACIE\$1SERVICE\$1QUOTA\$1MET | Der Job wurde von Macie unterbrochen. Die Fertigstellung des Auftrags würde ein monatliches Kontingent für das betroffene Konto überschreiten. | Gilt für einmalige und regelmäßige Aufträge, die Macie vorübergehend beendet (angehalten) hat. Macie unterbricht einen Job automatisch, wenn die zusätzliche Verarbeitung durch den Job oder eine Auftragsausführung das monatliche [Kontingent für die Erkennung sensibler Daten](macie-quotas.md) für ein oder mehrere Konten, für die der Job Daten analysiert, überschreiten würde. Um dieses Problem zu vermeiden, sollten Sie erwägen, das Kontingent für die betroffenen Konten zu erhöhen. |
| JOB\$1RESUMED\$1BY\$1MACIE\$1SERVICE\$1QUOTA\$1LIFTED | Der Job wurde von Macie wieder aufgenommen. Das monatliche Servicekontingent für das betroffene Konto wurde aufgehoben. | Gilt für einmalige und regelmäßige Aufträge, die Macie vorübergehend beendet (angehalten) und später wieder aufgenommen hat. Wenn Macie einen einmaligen Job automatisch angehalten hat, nimmt Macie den Job automatisch wieder auf, wenn der Folgemonat beginnt oder die monatliche Quote für die Erkennung sensibler Daten für alle betroffenen Konten erhöht wird, je nachdem, was zuerst eintritt. Wenn Macie einen regelmäßigen Job automatisch angehalten hat, nimmt Macie den Job automatisch wieder auf, wenn der nächste Lauf geplant ist oder der darauffolgende Monat beginnt, je nachdem, was zuerst eintritt. |
| JOB\$1CANCELLED | Der Job wurde storniert. | Gilt für einmalige und regelmäßige Jobs, die Sie dauerhaft beendet (storniert) oder, bei einmaligen Aufträgen, pausiert und nicht innerhalb von 30 Tagen wieder aufgenommen haben. Wenn Sie Macie sperren oder deaktivieren, gilt diese Art von Ereignis auch für Jobs, die aktiv oder pausiert waren, als Sie Macie gesperrt oder deaktiviert haben. Macie storniert deine Jobs automatisch, AWS-Region wenn du Macie in der Region sperrst oder deaktivierst. |
| JOB\$1COMPLETED | Die Ausführung des Jobs wurde abgeschlossen. | Gilt nur für einmalige Jobs. Um den Abschluss eines Auftrags zu protokollieren, der für einen periodischen Job ausgeführt wird, veröffentlicht Macie ein SCHEDULED\$1RUN\$1COMPLETED-Ereignis, nicht diesen Ereignistyp. |
### Fehlerereignisse auf Kontoebene
Ein Fehlerereignis auf Kontoebene zeichnet einen Fehler auf, der Macie daran hinderte, Objekte in S3-Buckets zu analysieren, die einer bestimmten Person gehören. AWS-Konto Das `affectedAccount` Feld in jedem Ereignis gibt die Konto-ID für dieses Konto an.
Im folgenden Beispiel werden anhand von Beispieldaten die Struktur und Art der Felder in einem Fehlerereignis auf Kontoebene veranschaulicht. In diesem Beispiel weist ein `ACCOUNT_ACCESS_DENIED` Ereignis darauf hin, dass Macie keine Objekte in S3-Buckets analysieren konnte, die einem Konto gehören. `444455556666`
```
{
"adminAccountId": "123456789012",
"jobId": "85a55dc0fa6ed0be5939d0408example",
"eventType": "ACCOUNT_ACCESS_DENIED",
"occurredAt": "2024-04-14T17:08:30.585709Z",
"description": "Macie doesn’t have permission to access S3 bucket data for the affected account.",
"jobName": "My_Macie_Job",
"operation": "ListBuckets",
"runDate": "2024-04-14T17:05:27.574809Z",
"affectedAccount": "444455556666"
}
```
In der folgenden Tabelle sind die Arten von Fehlerereignissen auf Kontoebene aufgeführt und beschrieben, die Macie protokolliert und in Logs veröffentlicht. CloudWatch In der Spalte **Ereignistyp** wird der Name jedes Ereignisses so angegeben, wie er im `eventType` Feld eines Ereignisses erscheint. Die Spalte **Beschreibung** enthält eine kurze Beschreibung des Ereignisses, wie es im `description` Feld eines Ereignisses angezeigt wird. Die Spalte **Zusätzliche Informationen** enthält alle anwendbaren Tipps zur Untersuchung oder Behebung des aufgetretenen Fehlers. Die Tabelle ist in aufsteigender alphabetischer Reihenfolge nach Ereignistyp sortiert.
| Ereignistyp | Description | Zusätzliche Informationen |
| --- | --- | --- |
| ACCOUNT\$1ACCESS\$1DENIED | Macie hat keine Berechtigung, auf S3-Bucket-Daten für das betroffene Konto zuzugreifen. | Dies liegt in der Regel daran, dass für die Buckets, die dem Konto gehören, restriktive Bucket-Richtlinien gelten. Informationen zur Behebung dieses Problems finden Sie unter[Macie darf auf S3-Buckets und -Objekte zugreifen](monitoring-restrictive-s3-buckets.md). Anhand des Werts für das `operation` Feld im Ereignis können Sie ermitteln, welche Berechtigungseinstellungen Macie daran gehindert haben, auf S3-Daten für das Konto zuzugreifen. Dieses Feld gibt den Amazon S3 S3-Vorgang an, den Macie auszuführen versuchte, als der Fehler auftrat. |
| ACCOUNT\$1DISABLED | Der Job hat Ressourcen übersprungen, die dem betroffenen Konto gehören. Macie wurde für das Konto deaktiviert. | Um dieses Problem zu beheben, aktivieren Sie Macie erneut für das Konto in demselben. AWS-Region |
| ACCOUNT\$1DISASSOCIATED | Der Job hat Ressourcen übersprungen, die dem betroffenen Konto gehören. Das Konto ist nicht mehr mit Ihrem Macie-Administratorkonto als Mitgliedskonto verknüpft. | Dies ist der Fall, wenn Sie als Macie-Administrator für eine Organisation einen Job zur Analyse von Daten für ein Mitgliedskonto konfigurieren und das Konto später aus Ihrer Organisation entfernt wird. Um dieses Problem zu beheben, ordnen Sie das betroffene Konto erneut Ihrem Macie-Administratorkonto als Mitgliedskonto zu. Weitere Informationen finden Sie unter [Verwalten mehrerer Konten](macie-accounts.md). |
| ACCOUNT\$1ISOLATED | Der Job hat Ressourcen übersprungen, die dem betroffenen Konto gehören. Der AWS-Konto war isoliert. | – |
| ACCOUNT\$1REGION\$1DISABLED | Der Job hat Ressourcen übersprungen, die dem betroffenen Konto gehören. Der AWS-Konto ist derzeit AWS-Region nicht aktiv. | – |
| ACCOUNT\$1SUSPENDIERT | Der Job wurde storniert oder es wurden Ressourcen übersprungen, die dem betroffenen Konto gehören. Macie wurde für das Konto gesperrt. | Wenn es sich bei dem angegebenen Konto um Ihr eigenes Konto handelt, hat Macie den Job automatisch storniert, als Sie Macie in derselben Region gesperrt haben. Um das Problem zu beheben, aktivieren Sie Macie in der Region erneut. Wenn es sich bei dem angegebenen Konto um ein Mitgliedskonto handelt, aktivieren Sie Macie erneut für dieses Konto in derselben Region. |
| ACCOUNT\$1TERMINATED | Der Job hat Ressourcen übersprungen, die dem betroffenen Konto gehören. Der AWS-Konto wurde beendet. | – |
### Fehlerereignisse auf Bucket-Ebene
Ein Fehlerereignis auf Bucket-Ebene zeichnet einen Fehler auf, der Macie daran hinderte, Objekte in einem bestimmten S3-Bucket zu analysieren. Das `affectedAccount` Feld in jedem Ereignis gibt die Konto-ID für den Bucket an AWS-Konto , dem der Bucket gehört. Das `affectedResource` Objekt in jedem Ereignis gibt den Namen des Buckets an.
Im folgenden Beispiel werden anhand von Beispieldaten die Struktur und Art der Felder in einem Fehlerereignis auf Bucket-Ebene veranschaulicht. In diesem Beispiel weist ein `BUCKET_ACCESS_DENIED` Ereignis darauf hin, dass Macie keine Objekte im genannten S3-Bucket analysieren konnte. `amzn-s3-demo-bucket` Als Macie versuchte, die Objekte des Buckets mithilfe der [ListObjectsV2-Operation](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html) der Amazon S3-API aufzulisten, verweigerte Amazon S3 den Zugriff auf den Bucket.
```
{
"adminAccountId": "123456789012",
"jobId": "85a55dc0fa6ed0be5939d0408example",
"eventType": "BUCKET_ACCESS_DENIED",
"occurredAt": "2024-04-14T17:11:30.574809Z",
"description": "Macie doesn’t have permission to access the affected S3 bucket.",
"jobName": "My_Macie_Job",
"operation": "ListObjectsV2",
"runDate": "2024-04-14T17:09:30.685209Z",
"affectedAccount": "111122223333",
"affectedResource": {
"type": "S3_BUCKET_NAME",
"value": "amzn-s3-demo-bucket"
}
}
```
In der folgenden Tabelle sind die Arten von Fehlerereignissen auf Bucket-Ebene aufgeführt und beschrieben, die Macie protokolliert und in Logs veröffentlicht. CloudWatch In der Spalte **Ereignistyp** wird der Name jedes Ereignisses so angegeben, wie er im `eventType` Feld eines Ereignisses erscheint. Die Spalte **Beschreibung** enthält eine kurze Beschreibung des Ereignisses, wie es im `description` Feld eines Ereignisses angezeigt wird. Die Spalte **Zusätzliche Informationen** enthält alle anwendbaren Tipps zur Untersuchung oder Behebung des aufgetretenen Fehlers. Die Tabelle ist in aufsteigender alphabetischer Reihenfolge nach Ereignistyp sortiert.
| Ereignistyp | Description | Zusätzliche Informationen |
| --- | --- | --- |
| BUCKET\$1ACCESS\$1DENIED | Macie hat keine Berechtigung, auf den betroffenen S3-Bucket zuzugreifen. | Dies ist in der Regel darauf zurückzuführen, dass für einen Bucket eine restriktive Bucket-Richtlinie gilt. Informationen zur Behebung dieses Problems finden Sie unter[Macie darf auf S3-Buckets und -Objekte zugreifen](monitoring-restrictive-s3-buckets.md). Anhand des Werts für das `operation` Feld im Ereignis können Sie ermitteln, welche Berechtigungseinstellungen Macie daran gehindert haben, auf den Bucket zuzugreifen. Dieses Feld gibt den Amazon S3 S3-Vorgang an, den Macie auszuführen versuchte, als der Fehler auftrat. |
| BUCKET\$1DETAILS\$1UNAVAILABLE | Ein vorübergehendes Problem hinderte Macie daran, Details über den Bucket und die Objekte des Buckets abzurufen. | Dieses Problem tritt auf, wenn Macie aufgrund eines vorübergehenden Problems die Bucket- und Objektmetadaten, die zur Analyse der Objekte eines Buckets benötigt werden, nicht abrufen konnte. Beispielsweise trat eine Amazon S3 S3-Ausnahme auf, als Macie versuchte zu überprüfen, ob er auf den Bucket zugreifen darf. Um das Problem für einen einmaligen Job zu beheben, sollten Sie erwägen, einen neuen einmaligen Job zur Analyse von Objekten im Bucket zu erstellen und auszuführen. Bei einem geplanten Job versucht Macie bei der nächsten Auftragsausführung erneut, die Metadaten abzurufen. |
| BUCKET\$1DOES\$1NOT\$1EXIST | Der betroffene S3-Bucket existiert nicht mehr. | Dies tritt normalerweise auf, weil ein Bucket gelöscht wurde. |
| BUCKET\$1IN\$1DIFFERENT\$1REGION | Der betroffene S3-Bucket wurde in einen anderen verschoben. AWS-Region | – |
| BUCKET\$1OWNER\$1CHANGED | Der Besitzer des betroffenen S3-Buckets hat sich geändert. Macie hat keine Berechtigung mehr, auf den Bucket zuzugreifen. | Dies ist in der Regel der Fall, wenn der Besitz eines Buckets auf einen Bucket übertragen wurde AWS-Konto , der nicht Teil Ihrer Organisation ist. Das `affectedAccount` Feld im Ereignis gibt die Konto-ID für das Konto an, dem der Bucket zuvor gehörte. |
# Prognose und Überwachung der Kosten für Aufgaben zur Erkennung sensibler Daten
Die Preise von Amazon Macie basieren teilweise auf der Datenmenge, die Sie analysieren, indem Sie Erkennungsaufträge für sensible Daten ausführen. Um Ihre geschätzten Kosten für die Ausführung von Aufträgen zur Erkennung sensibler Daten zu prognostizieren und zu überwachen, können Sie die Kostenschätzungen überprüfen, die Macie bei der Erstellung eines Auftrags und nach Beginn der Ausführung von Aufträgen bereitstellt.
Um Ihre tatsächlichen Kosten zu überprüfen und zu überwachen, können Sie Folgendes verwenden AWS Fakturierung und Kostenmanagement. AWS Fakturierung und Kostenmanagement bietet Funktionen, mit denen Sie Ihre Kosten für AWS-Services Ihr Konto oder Ihre Organisation verfolgen und analysieren und Budgets verwalten können. Es bietet auch Funktionen, mit denen Sie Nutzungskosten auf der Grundlage historischer Daten prognostizieren können. Weitere Informationen finden Sie im [AWS Billing -Benutzerhandbuch](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-what-is.html).
Informationen zu den Macie-Preisen finden Sie unter [Amazon Macie Macie-Preise](https://aws.amazon.com/macie/pricing/).
**Topics**
+ [Prognostizieren der Kosten einer Aufgabe](#discovery-jobs-costs-forecast)
+ [Überwachung der geschätzten Kosten für Arbeitsplätze](#discovery-jobs-costs-track)
## Prognose der Kosten für die Suche nach sensiblen Daten
Wenn Sie einen Discovery-Job für sensible Daten erstellen, kann Amazon Macie die geschätzten Kosten in zwei wichtigen Schritten des Auftragserstellungsprozesses berechnen und anzeigen: wenn Sie die Tabelle der S3-Buckets überprüfen, die Sie für den Job ausgewählt haben (Schritt 2), und wenn Sie alle Einstellungen für den Job überprüfen (Schritt 8). Anhand dieser Schätzungen können Sie entscheiden, ob Sie die Einstellungen des Jobs anpassen müssen, bevor Sie den Job speichern. Die Verfügbarkeit und Art der Schätzungen hängen von den Einstellungen ab, die Sie für den Job auswählen.
**Überprüfung der geschätzten Kosten für einzelne Bereiche (Schritt 2)**
Wenn Sie explizit einzelne Bereiche für einen zu analysierenden Job auswählen, können Sie die geschätzten Kosten für die Analyse von Objekten in jedem dieser Bereiche überprüfen. Macie zeigt diese Schätzungen in Schritt 2 des Auftragserstellungsprozesses an, wenn Sie Ihre Bucket-Auswahl überprüfen. In der Tabelle für diesen Schritt gibt das Feld **Geschätzte Kosten** die geschätzten Gesamtkosten (in US-Dollar) für die einmalige Ausführung des Jobs zur Analyse von Objekten in einem Bucket an.
Jede Schätzung spiegelt die voraussichtliche Menge an unkomprimierten Daten wider, die der Job in einem Bucket analysieren wird, basierend auf der Größe und den Typen der Objekte, die derzeit in dem Bucket gespeichert sind. Die Schätzung spiegelt auch die aktuellen Macie-Preise wider. AWS-Region
In der Kostenschätzung für einen Bereich sind nur klassifizierbare Objekte enthalten. Ein *klassifizierbares Objekt* ist ein S3-Objekt, das eine [unterstützte Amazon S3 S3-Speicherklasse](discovery-supported-storage.md#discovery-supported-s3-classes) verwendet und eine Dateinamenerweiterung für ein [unterstütztes Datei- oder Speicherformat](discovery-supported-storage.md#discovery-supported-formats) hat. Wenn es sich bei klassifizierbaren Objekten um komprimierte oder archivierte Dateien handelt, wird bei der Schätzung davon ausgegangen, dass die Dateien ein Komprimierungsverhältnis von 3:1 verwenden und der Job alle extrahierten Dateien analysieren kann.
**Überprüfung der geschätzten Gesamtkosten eines Auftrags (Schritt 8)**
Wenn Sie einen einmaligen Job erstellen oder einen periodischen Job so erstellen und konfigurieren, dass er vorhandene S3-Objekte einbezieht, berechnet Macie die geschätzten Gesamtkosten des Jobs und zeigt sie im letzten Schritt des Auftragserstellungsprozesses an. Sie können diese Schätzung überprüfen, während Sie alle Einstellungen, die Sie für den Job ausgewählt haben, überprüfen und verifizieren.
Diese Schätzung gibt die voraussichtlichen Gesamtkosten (in US-Dollar) für die einmalige Ausführung des Jobs in der aktuellen Region an. Die Schätzung spiegelt die voraussichtliche Menge an unkomprimierten Daten wider, die der Job analysieren wird. Sie basiert auf der Größe und den Typen von Objekten, die derzeit in Buckets gespeichert sind, die Sie explizit für den Job ausgewählt haben, oder auf bis zu 500 Buckets, die aktuell den Bucket-Kriterien entsprechen, die Sie für den Job angegeben haben, je nach den Einstellungen des Jobs.
Beachten Sie, dass diese Schätzung keine Optionen berücksichtigt, die Sie ausgewählt haben, um den Umfang des Jobs zu verfeinern und zu reduzieren, z. B. eine geringere Stichprobentiefe oder Kriterien, die bestimmte S3-Objekte vom Job ausschließen. Es spiegelt auch nicht Ihr monatliches [Kontingent für die Entdeckung sensibler Daten](macie-quotas.md) wider, was den Umfang und die Kosten der Analyse des Jobs einschränken könnte, oder etwaige Rabatte, die für Ihr Konto gelten könnten.
Zusätzlich zu den geschätzten Gesamtkosten des Auftrags enthält die Schätzung aggregierte Daten, die Aufschluss über den voraussichtlichen Umfang und die Kosten des Auftrags geben:
+ **Größenwerte** geben die Gesamtspeichergröße der Objekte an, die der Job analysieren kann und die nicht.
+ Die Werte für die **Objektanzahl** geben die Gesamtzahl der Objekte an, die der Job analysieren kann und die nicht.
In diesen Werten ist ein **klassifizierbares** Objekt ein S3-Objekt, das eine [unterstützte Amazon S3 S3-Speicherklasse](discovery-supported-storage.md#discovery-supported-s3-classes) verwendet und eine Dateinamenerweiterung für ein [unterstütztes Datei- oder Speicherformat](discovery-supported-storage.md#discovery-supported-formats) hat. Nur klassifizierbare Objekte sind in der Kostenschätzung enthalten. Ein **nicht klassifizierbares** Objekt ist ein Objekt, das keine unterstützte Speicherklasse verwendet oder keine Dateinamenerweiterung für ein unterstütztes Datei- oder Speicherformat hat. Diese Objekte sind nicht im Kostenvoranschlag enthalten.
Die Schätzung enthält zusätzliche aggregierte Daten für S3-Objekte, bei denen es sich um komprimierte Dateien oder Archivdateien handelt. Der Wert **Komprimiert** gibt die Gesamtspeichergröße von Objekten an, die eine unterstützte Amazon S3 S3-Speicherklasse verwenden und eine Dateinamenerweiterung für einen unterstützten Typ von komprimierter Datei oder Archivdatei haben. Der Wert **Unkomprimiert** gibt die ungefähre Größe dieser Objekte an, wenn sie dekomprimiert sind, basierend auf einem angegebenen Komprimierungsverhältnis. Diese Daten sind aufgrund der Art und Weise relevant, wie Macie komprimierte Dateien und Archivdateien analysiert.
Wenn Macie eine komprimierte Datei oder eine Archivdatei analysiert, überprüft es sowohl die gesamte Datei als auch den Inhalt der Datei. Um den Inhalt der Datei zu überprüfen, dekomprimiert Macie die Datei und überprüft dann jede extrahierte Datei, die ein unterstütztes Format verwendet. Die tatsächliche Datenmenge, die ein Job analysiert, hängt daher von folgenden Faktoren ab:
+ Ob eine Datei komprimiert wird und, falls ja, welches Komprimierungsverhältnis sie verwendet.
+ Anzahl, Größe und Format der extrahierten Dateien.
Standardmäßig geht Macie bei der Berechnung von Kostenvoranschlägen für einen Auftrag von folgenden Annahmen aus:
+ Alle komprimierten Dateien und Archivdateien verwenden ein Komprimierungsverhältnis von 3:1.
+ Alle extrahierten Dateien verwenden ein unterstütztes Datei- oder Speicherformat.
Diese Annahmen können zu einer umfassenderen Schätzung für den Umfang der Daten führen, die im Auftrag analysiert werden, und folglich zu einer höheren Kostenschätzung für den Auftrag.
Sie können die geschätzten Gesamtkosten des Auftrags auf der Grundlage eines anderen Komprimierungsverhältnisses neu berechnen. **Wählen Sie dazu im Abschnitt Geschätzte Kosten das Verhältnis aus der Liste **Wählen Sie ein geschätztes Kompressionsverhältnis** aus.** Macie aktualisiert dann die Schätzung, sodass sie Ihrer Auswahl entspricht.
Weitere Informationen darüber, wie Macie die geschätzten Kosten berechnet, finden Sie unter. [Grundlegendes zu den geschätzten Nutzungskosten](account-mgmt-costs-calculations.md)
## Überwachung der geschätzten Kosten für Aufgaben zur Erkennung sensibler Daten
Wenn Sie bereits Aufträge zur Erkennung sensibler Daten ausführen, können Sie auf der Seite **Nutzung** der Amazon Macie Macie-Konsole die geschätzten Kosten dieser Jobs überwachen. Auf der Seite werden Ihre geschätzten Kosten (in US-Dollar) für die aktuelle Nutzung von Macie im aktuellen AWS-Region Kalendermonat angezeigt. Informationen darüber, wie Macie diese Schätzungen berechnet, finden Sie unter. [Grundlegendes zu den geschätzten Nutzungskosten](account-mgmt-costs-calculations.md)
**Hier finden Sie Ihre geschätzten Kosten für die Ausführung von Aufträgen**
1. Öffnen Sie die Amazon Macie Macie-Konsole unter [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/).
1. Wählen Sie mithilfe der AWS-Region Auswahl in der oberen rechten Ecke der Seite die Region aus, in der Sie Ihre geschätzten Kosten überprüfen möchten.
1. Wählen Sie im Navigationsbereich **Benutzer**.
1. Auf der Seite „**Nutzung**“ finden Sie die Aufschlüsselung der geschätzten Kosten für Ihr Konto. Das Element **Aufträge zur Erkennung sensibler Daten** gibt die geschätzten Gesamtkosten der Jobs an, die Sie im aktuellen Monat in der aktuellen Region bisher ausgeführt haben.
Wenn Sie der Macie-Administrator einer Organisation sind, werden im Abschnitt **Geschätzte Kosten** die geschätzten Gesamtkosten für Ihre Organisation für den aktuellen Monat in der aktuellen Region angezeigt. Um die geschätzten Gesamtkosten der Jobs anzuzeigen, die für ein bestimmtes Konto ausgeführt wurden, wählen Sie das Konto in der Tabelle aus. Im Abschnitt **Geschätzte Kosten** wird dann eine Aufschlüsselung der geschätzten Kosten für das Konto angezeigt, einschließlich der geschätzten Kosten der ausgeführten Jobs. Um diese Daten für ein anderes Konto anzuzeigen, wählen Sie das Konto in der Tabelle aus. Um Ihre Kontoauswahl zu löschen, wählen Sie **X** neben der Konto-ID aus.
Um Ihre tatsächlichen Kosten zu überprüfen und zu überwachen, verwenden Sie [AWS Fakturierung und Kostenmanagement](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-what-is.html).
# Verwaltete Datenkennungen werden für Aufgaben zur Erkennung sensibler Daten empfohlen
Um die Ergebnisse Ihrer Discovery-Jobs für sensible Daten zu optimieren, können Sie einzelne Jobs so konfigurieren, dass sie automatisch den Satz verwalteter Datenbezeichner verwenden, den wir für Jobs empfehlen. Ein *verwalteter Datenbezeichner* besteht aus einer Reihe integrierter Kriterien und Techniken, mit denen ein bestimmter Typ vertraulicher Daten erkannt werden kann, z. B. AWS geheime Zugangsschlüssel, Kreditkartennummern oder Passnummern für ein bestimmtes Land oder eine bestimmte Region.
Der empfohlene Satz verwalteter Datenkennungen dient der Erkennung gängiger Kategorien und Typen sensibler Daten. Basierend auf unseren Recherchen kann es allgemeine Kategorien und Typen sensibler Daten erkennen und gleichzeitig Ihre Arbeitsergebnisse optimieren, indem es Datenlärm reduziert. Wenn wir neue Identifikatoren für verwaltete Daten veröffentlichen, fügen wir sie dieser Gruppe hinzu, wenn sie Ihre Arbeitsergebnisse voraussichtlich weiter optimieren werden. Im Laufe der Zeit können wir dem Set auch bestehende Identifikatoren für verwaltete Daten hinzufügen oder daraus entfernen. Wenn wir dem empfohlenen Satz eine verwaltete Daten-ID hinzufügen oder daraus entfernen, aktualisieren wir diese Seite, um Art und Zeitpunkt der Änderung anzugeben. Wenn Sie automatische Benachrichtigungen über diese Änderungen erhalten möchten, können Sie den RSS-Feed auf der [Macie-Dokumentverlaufsseite](doc-history.md) abonnieren.
Wenn Sie einen Discovery-Job für sensible Daten erstellen, geben Sie an, welche verwalteten Datenkennungen der Job zur Analyse von Objekten in Amazon Simple Storage Service (Amazon S3) -Buckets verwenden soll. Um einen Job so zu konfigurieren, dass er den empfohlenen Satz verwalteter Datenkennungen verwendet, wählen Sie bei der Erstellung des Jobs die Option *Empfohlen* aus. Der Job verwendet dann automatisch alle verwalteten Datenbezeichner, die sich im empfohlenen Satz befinden, wenn der Job ausgeführt wird. Wenn Sie einen Job so konfigurieren, dass er mehr als einmal ausgeführt wird, werden bei jedem Lauf automatisch alle verwalteten Datenbezeichner verwendet, die zu Beginn der Ausführung im empfohlenen Satz enthalten sind.
In den folgenden Themen sind die Identifikatoren für verwaltete Daten aufgeführt, die derzeit in der empfohlenen Gruppe enthalten sind, geordnet nach Kategorie und Typ vertraulicher Daten. Sie geben den eindeutigen Bezeichner (ID) für jeden verwalteten Datenbezeichner im Satz an. Diese ID beschreibt die Art der sensiblen Daten, die ein verwalteter Datenbezeichner erkennen soll, z. B. `PGP_PRIVATE_KEY` für private PGP-Schlüssel und `USA_PASSPORT_NUMBER` für US-Passnummern.
**Topics**
+ [Anmeldeinformationen](#discovery-jobs-mdis-recommended-credentials)
+ [Finanzinformationen](#discovery-jobs-mdis-recommended-financial)
+ [Persönlich Identifizierbare Informationen (PII)](#discovery-jobs-mdis-recommended-pii)
+ [Aktualisierungen des empfohlenen Sets](#discovery-jobs-mdis-recommended-updates)
Einzelheiten zu bestimmten verwalteten Datenkennungen oder eine vollständige Liste aller verwalteten Datenkennungen, die Macie derzeit bereitstellt, finden Sie unter. [Verwenden von verwalteten Datenbezeichnern](managed-data-identifiers.md)
## Anmeldeinformationen
Um das Vorkommen von Anmeldedaten in S3-Objekten zu erkennen, verwendet der empfohlene Satz die folgenden verwalteten Datenbezeichner.
| Vertraulicher Datentyp | ID der verwalteten Datenkennung |
| --- | --- |
| AWS geheimer Zugriffsschlüssel | AWS\$1CREDENTIALS |
| Header für die grundlegende HTTP-Autorisierung | HTTP\$1BASIC\$1AUTH\$1HEADER |
| Privater OpenSSH-Schlüssel | OPENSSH\$1PRIVATE\$1KEY |
| Privater PGP-Schlüssel | PGP\$1PRIVATE\$1KEY |
| Privater Schlüssel nach dem Public Key Cryptography Standard (PKCS) | PKCS |
| Privater PuTTY-Schlüssel | PUTTY\$1PRIVATE\$1KEY |
## Finanzinformationen
Um das Vorkommen von Finanzinformationen in S3-Objekten zu erkennen, verwendet das empfohlene Set die folgenden verwalteten Datenkennungen.
| Vertraulicher Datentyp | ID der verwalteten Datenkennung |
| --- | --- |
| Magnetstreifendaten der Kreditkarte | CREDIT\$1CARD\$1MAGNETIC\$1STRIPE |
| Kreditkartennummer | CREDIT\$1CARD\$1NUMBER(für Kreditkartennummern in der Nähe eines Schlüsselworts) |
## Persönlich Identifizierbare Informationen (PII)
Um das Vorkommen personenbezogener Daten (PII) in S3-Objekten zu erkennen, verwendet das empfohlene Set die folgenden verwalteten Datenkennungen.
| Vertraulicher Datentyp | ID der verwalteten Datenkennung |
| --- | --- |
| Identifikationsnummer des Führerscheins | CANADA\$1DRIVERS\$1LICENSE, DRIVERS\$1LICENSE(für die USA), UK\$1DRIVERS\$1LICENSE |
| Nummer der Wählerliste | UK\$1ELECTORAL\$1ROLL\$1NUMBER |
| Nationale Identifikationsnummern | FRANCE\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, GERMANY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, SPAIN\$1DNI\$1NUMBER |
| Landesversicherungsnummer (NINO) | UK\$1NATIONAL\$1INSURANCE\$1NUMBER |
| Passnummer | CANADA\$1PASSPORT\$1NUMBER, FRANCE\$1PASSPORT\$1NUMBER, GERMANY\$1PASSPORT\$1NUMBER, ITALY\$1PASSPORT\$1NUMBER, SPAIN\$1PASSPORT\$1NUMBER, UK\$1PASSPORT\$1NUMBER, USA\$1PASSPORT\$1NUMBER |
| Sozialversicherungsnummer (SIN) | CANADA\$1SOCIAL\$1INSURANCE\$1NUMBER |
| Sozialversicherungsnummer (SSN) | SPAIN\$1SOCIAL\$1SECURITY\$1NUMBER, USA\$1SOCIAL\$1SECURITY\$1NUMBER |
| Steuerpflichtigen-Identifikationsnummer oder Referenznummer | AUSTRALIA\$1TAX\$1FILE\$1NUMBER, BRAZIL\$1CPF\$1NUMBER, FRANCE\$1TAX\$1IDENTIFICATION\$1NUMBER, GERMANY\$1TAX\$1IDENTIFICATION\$1NUMBER, SPAIN\$1NIE\$1NUMBER, SPAIN\$1NIF\$1NUMBER, SPAIN\$1TAX\$1IDENTIFICATION\$1NUMBER, USA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER |
## Aktualisierungen des empfohlenen Sets
In der folgenden Tabelle werden Änderungen am Satz verwalteter Datenbezeichner beschrieben, die wir für Aufgaben zur Erkennung vertraulicher Daten empfehlen. Abonnieren Sie den RSS-Feed auf der [Macie-Dokumentverlaufsseite](doc-history.md), um automatische Benachrichtigungen über diese Änderungen zu erhalten.
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| Allgemeine Verfügbarkeit | Erste Version des empfohlenen Sets. | 27. Juni 2023 |
# Analysieren verschlüsselter Amazon S3 S3-Objekte
Wenn Sie Amazon Macie für Sie aktivieren AWS-Konto, erstellt Macie eine [servicebezogene Rolle](service-linked-roles.md), die Macie die erforderlichen Berechtigungen erteilt, um Amazon Simple Storage Service (Amazon S3) und andere AWS-Services in Ihrem Namen aufzurufen. Eine dienstbezogene Rolle vereinfacht den Prozess der Einrichtung einer, AWS-Service da Sie nicht manuell Berechtigungen hinzufügen müssen, damit der Service Aktionen in Ihrem Namen ausführen kann. Weitere Informationen zu dieser Art von Rolle finden Sie unter [IAM-Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) im *AWS Identity and Access Management Benutzerhandbuch*.
Die Berechtigungsrichtlinie für die serviceverknüpfte Macie-Rolle (`AWSServiceRoleForAmazonMacie`) ermöglicht es Macie, Aktionen auszuführen, zu denen das Abrufen von Informationen über Ihre S3-Buckets und -Objekte sowie das Abrufen und Analysieren von Objekten in Ihren S3-Buckets gehören. Wenn es sich bei Ihrem Konto um das Macie-Administratorkonto für eine Organisation handelt, ermöglicht die Richtlinie Macie auch, diese Aktionen in Ihrem Namen für Mitgliedskonten in Ihrer Organisation durchzuführen.
Wenn ein S3-Objekt verschlüsselt ist, gewährt die Berechtigungsrichtlinie für die mit dem Macie-Dienst verknüpfte Rolle Macie in der Regel die Berechtigungen, die für die Entschlüsselung des Objekts erforderlich sind. Dies hängt jedoch von der Art der verwendeten Verschlüsselung ab. Es kann auch davon abhängen, ob Macie den entsprechenden Verschlüsselungsschlüssel verwenden darf.
**Topics**
+ [Verschlüsselungsoptionen für S3-Objekte](#discovery-supported-encryption-types-matrix)
+ [Macie darf ein vom Kunden verwaltetes AWS KMS key](#discovery-supported-encryption-cmk-configuration)
## Verschlüsselungsoptionen für Amazon S3 S3-Objekte
Amazon S3 unterstützt mehrere Verschlüsselungsoptionen für S3-Objekte. Bei den meisten dieser Optionen kann Amazon Macie ein Objekt mithilfe der mit dem Macie-Service verknüpften Rolle für Ihr Konto entschlüsseln. Dies hängt jedoch von der Art der Verschlüsselung ab, die zum Verschlüsseln eines Objekts verwendet wurde.
**Serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3)**
Wenn ein Objekt serverseitig mit einem von Amazon S3 verwalteten Schlüssel (SSE-S3) verschlüsselt wird, kann Macie das Objekt entschlüsseln.
Weitere Informationen zu dieser Art der Verschlüsselung finden Sie unter [Verwenden der serverseitigen Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.
**Serverseitige Verschlüsselung mit AWS KMS keys (DSSE-KMS und SSE-KMS)**
Wenn ein Objekt mithilfe einer zweischichtigen serverseitigen Verschlüsselung oder serverseitigen Verschlüsselung mit einer AWS verwalteten Verschlüsselung AWS KMS key (DSSE-KMS oder SSE-KMS) verschlüsselt wird, kann Macie das Objekt entschlüsseln.
[Wenn ein Objekt mit zweischichtiger serverseitiger Verschlüsselung oder serverseitiger Verschlüsselung mit einem vom Kunden verwalteten AWS KMS key (DSSE-KMS oder SSE-KMS) verschlüsselt wird, kann Macie das Objekt nur entschlüsseln, wenn Sie Macie die Verwendung des Schlüssels gestatten.](#discovery-supported-encryption-cmk-configuration) Dies ist der Fall bei Objekten, die mit vollständig innerhalb verwalteten KMS-Schlüsseln und KMS-Schlüsseln in einem externen Schlüsselspeicher verschlüsselt sind. AWS KMS Wenn Macie den entsprechenden KMS-Schlüssel nicht verwenden darf, kann Macie nur Metadaten für das Objekt speichern und melden.
Weitere Informationen zu diesen Verschlüsselungsarten finden Sie unter [Verwenden der dualen serverseitigen Verschlüsselung mit AWS KMS keys](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingDSSEncryption.html) und [Verwenden der serverseitigen Verschlüsselung mit AWS KMS keys](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.
Sie können automatisch eine Liste aller vom Kunden verwalteten Dateien erstellen, auf AWS KMS keys die Macie zugreifen muss, um Objekte in S3-Buckets für Ihr Konto zu analysieren. Führen Sie dazu das AWS KMS Permission Analyzer-Skript aus, das im [Amazon Macie Scripts-Repository](https://github.com/aws-samples/amazon-macie-scripts) verfügbar GitHub ist. Das Skript kann auch ein zusätzliches Skript mit AWS Command Line Interface (AWS CLI) -Befehlen generieren. Sie können diese Befehle optional ausführen, um die erforderlichen Konfigurationseinstellungen und Richtlinien für die von Ihnen angegebenen KMS-Schlüssel zu aktualisieren.
**Serverseitige Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C)**
Wenn ein Objekt serverseitig mit einem vom Kunden bereitgestellten Schlüssel (SSE-C) verschlüsselt wird, kann Macie das Objekt nicht entschlüsseln. Macie kann nur Metadaten für das Objekt speichern und melden.
Weitere Informationen zu dieser Art der Verschlüsselung finden Sie unter [Serverseitige Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln verwenden](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerSideEncryptionCustomerKeys.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.
**Clientseitige Verschlüsselung**
Wenn ein Objekt mit clientseitiger Verschlüsselung verschlüsselt ist, kann Macie das Objekt nicht entschlüsseln. Macie kann nur Metadaten für das Objekt speichern und melden. Macie kann beispielsweise die Größe des Objekts und die mit dem Objekt verknüpften Tags melden.
Weitere Informationen zu dieser Art der Verschlüsselung im Kontext von Amazon S3 finden Sie unter [Schützen von Daten durch clientseitige Verschlüsselung](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.
Sie können [Ihr Bucket-Inventar in Macie filtern](monitoring-s3-inventory-filter.md), um festzustellen, in welchen S3-Buckets Objekte gespeichert sind, die bestimmte Verschlüsselungsarten verwenden. Sie können auch festlegen, welche Buckets beim Speichern neuer Objekte standardmäßig bestimmte Arten der serverseitigen Verschlüsselung verwenden. Die folgende Tabelle enthält Beispiele für Filter, die Sie auf Ihr Bucket-Inventar anwenden können, um diese Informationen zu finden.
| Um Buckets anzuzeigen, die... | Wenden Sie diesen Filter an... |
| --- | --- |
| Objekte speichern, die SSE-C-Verschlüsselung verwenden | Die Anzahl der Objekte bei Verschlüsselung wird vom Kunden angegeben und von = 1 |
| Speichern Sie Objekte, die DSSE-KMS- oder SSE-KMS-Verschlüsselung verwenden | Die Anzahl der Objekte durch Verschlüsselung wird AWS KMS verwaltet und From = 1 |
| Speichern Sie Objekte, die SSE-S3-Verschlüsselung verwenden | Die Anzahl der Objekte durch Verschlüsselung wird von Amazon S3 verwaltet und Von = 1 |
| Speichern Sie Objekte, die clientseitige Verschlüsselung verwenden (oder nicht verschlüsselt sind) | Die Anzahl der Objekte nach Verschlüsselung ist „Keine Verschlüsselung“ und „Von“ = 1 |
| Verschlüsseln Sie neue Objekte standardmäßig mit der DSSE-KMS-Verschlüsselung | Standardverschlüsselung = aws:kms:dsse |
| Verschlüsseln Sie neue Objekte standardmäßig mit der SSE-KMS-Verschlüsselung | Standardverschlüsselung = aws:kms |
| Verschlüsseln Sie neue Objekte standardmäßig mit der SSE-S3-Verschlüsselung | Standardverschlüsselung = AES256 |
Wenn ein Bucket so konfiguriert ist, dass neue Objekte standardmäßig mit DSSE-KMS- oder SSE-KMS-Verschlüsselung verschlüsselt werden, können Sie auch bestimmen, welches verwendet wird. AWS KMS key **Wählen Sie dazu den Bucket auf der Seite S3-Buckets aus.** Verweisen Sie im Bereich mit den Bucket-Details unter **Serverseitige Verschlüsselung** auf das **AWS KMS key**Feld. In diesem Feld wird der Amazon-Ressourcenname (ARN) oder die eindeutige Kennung (Schlüssel-ID) für den Schlüssel angezeigt.
## Macie darf ein vom Kunden verwaltetes AWS KMS key
Wenn ein Amazon S3 S3-Objekt mit zweischichtiger serverseitiger Verschlüsselung oder serverseitiger Verschlüsselung mit einem vom Kunden verwalteten AWS KMS key (DSSE-KMS oder SSE-KMS) verschlüsselt wird, kann Amazon Macie das Objekt nur entschlüsseln, wenn es den Schlüssel verwenden darf. Wie dieser Zugriff gewährt wird, hängt davon ab, ob das Konto, dem der Schlüssel gehört, auch den S3-Bucket besitzt, in dem das Objekt gespeichert ist:
+ Wenn der Bucket AWS KMS key und der Bucket demselben Konto gehören, muss ein Benutzer des Kontos die Richtlinie des Schlüssels aktualisieren.
+ Wenn ein Konto den Bucket besitzt AWS KMS key und ein anderes Konto den Bucket besitzt, muss ein Benutzer des Kontos, dem der Schlüssel gehört, kontoübergreifenden Zugriff auf den Schlüssel gewähren.
In diesem Thema wird beschrieben, wie diese Aufgaben ausgeführt werden, und es werden Beispiele für beide Szenarien bereitgestellt. Weitere Informationen zur Gewährung von kundenverwalteten AWS KMS keys Zugriffen finden Sie unter [KMS-Schlüsselzugriff und -berechtigungen](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html) im *AWS Key Management Service Entwicklerhandbuch*.
### Erlauben des Zugriffs auf einen vom Kunden verwalteten Schlüssel für dasselbe Konto
Wenn dasselbe Konto AWS KMS key sowohl den S3-Bucket als auch den S3-Bucket besitzt, muss ein Benutzer des Kontos der Richtlinie für den Schlüssel eine Erklärung hinzufügen. Die zusätzliche Anweisung muss es der mit dem Macie-Dienst verknüpften Rolle für das Konto ermöglichen, Daten mithilfe des Schlüssels zu entschlüsseln. *Ausführliche Informationen zur Aktualisierung einer Schlüsselrichtlinie finden Sie unter [Ändern einer Schlüsselrichtlinie im AWS Key Management Service Entwicklerhandbuch](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html).*
In der Erklärung:
+ Das `Principal` Element muss den Amazon-Ressourcennamen (ARN) der mit dem Macie-Service verknüpften Rolle für das Konto angeben, dem der AWS KMS key und der S3-Bucket gehört.
Wenn es sich bei dem Konto um ein Opt-In handelt AWS-Region, muss der ARN auch den entsprechenden Regionalcode für die Region enthalten. Wenn sich das Konto beispielsweise in der Region Naher Osten (Bahrain) befindet, die den Regionalcode *me-south-1* hat, muss das `Principal` Element angeben`arn:aws:iam::123456789012:role/aws-service-role/macie.me-south-1.amazonaws.com/AWSServiceRoleForAmazonMacie`, wo sich die Konto-ID für das Konto *123456789012* befindet. Eine Liste der Regionscodes für die Regionen, in denen Macie derzeit verfügbar ist, finden Sie unter [Amazon Macie Macie-Endpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/macie.html) in der. *Allgemeine AWS-Referenz*
+ Das `Action` Array muss die Aktion spezifizieren. `kms:Decrypt` Dies ist die einzige AWS KMS Aktion, die Macie ausführen darf, um ein mit dem Schlüssel verschlüsseltes S3-Objekt zu entschlüsseln.
Das Folgende ist ein Beispiel für die Anweisung, die der Richtlinie für eine hinzugefügt werden soll. AWS KMS key
```
{
"Sid": "Allow the Macie service-linked role to use the key",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie"
},
"Action": [
"kms:Decrypt"
],
"Resource": "*"
}
```
Für das obige Beispiel gilt:
+ Das `AWS` Feld im `Principal` Element gibt den ARN der mit dem Macie-Dienst verknüpften Rolle (`AWSServiceRoleForAmazonMacie`) für das Konto an. Es ermöglicht der mit dem Macie-Dienst verknüpften Rolle, die in der Richtlinienerklärung angegebene Aktion auszuführen. *123456789012*ist ein Beispiel für eine Konto-ID. Ersetzen Sie diesen Wert durch die Konto-ID für das Konto, dem der KMS-Schlüssel und der S3-Bucket gehören.
+ Das `Action` Array gibt die Aktion an, die die mit dem Macie-Dienst verknüpfte Rolle mithilfe des KMS-Schlüssels ausführen darf, d. h. den mit dem Schlüssel verschlüsselten Chiffretext entschlüsseln.
Wo Sie diese Anweisung zu einer wichtigen Richtlinie hinzufügen, hängt von der Struktur und den Elementen ab, die die Richtlinie derzeit enthält. Wenn Sie die Anweisung hinzufügen, stellen Sie sicher, dass die Syntax gültig ist. Wichtige Richtlinien verwenden das JSON-Format. Das bedeutet, dass Sie vor oder nach der Anweisung auch ein Komma hinzufügen müssen, je nachdem, wo Sie die Anweisung zur Richtlinie hinzufügen.
### Ermöglicht den kontoübergreifenden Zugriff auf einen vom Kunden verwalteten Schlüssel
Wenn ein Konto den AWS KMS key (*Schlüsselbesitzer*) besitzt und ein anderes Konto den *S3-Bucket (Bucket-Besitzer*) besitzt, muss der Schlüsselbesitzer dem Bucket-Besitzer kontoübergreifenden Zugriff auf den KMS-Schlüssel gewähren. Zu diesem Zweck stellt der Schlüsselinhaber zunächst sicher, dass die Richtlinie des Schlüssels es dem Bucket-Besitzer ermöglicht, sowohl den Schlüssel zu verwenden als auch eine Genehmigung für den Schlüssel zu gewähren. Der Bucket-Besitzer erstellt dann einen Grant für den Schlüssel. Ein *Grant* ist ein politisches Instrument, das es AWS Prinzipalen ermöglicht, KMS-Schlüssel für kryptografische Operationen zu verwenden, sofern die im Grant festgelegten Bedingungen erfüllt sind. In diesem Fall delegiert die Gewährung die entsprechenden Berechtigungen an die mit dem Macie-Dienst verknüpfte Rolle für das Konto des Bucket-Besitzers.
Ausführliche Informationen zur Aktualisierung einer Schlüsselrichtlinie finden Sie unter [Ändern einer Schlüsselrichtlinie](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) im *AWS Key Management Service Entwicklerhandbuch*. Weitere Informationen zu Zuschüssen finden Sie unter [Zuschüsse AWS KMS im AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) *Entwicklerhandbuch*.
**Schritt 1: Aktualisieren Sie die wichtigsten Richtlinien**
In der Schlüsselrichtlinie sollte der Schlüsselinhaber sicherstellen, dass die Richtlinie zwei Aussagen enthält:
+ Die erste Anweisung ermöglicht es dem Bucket-Besitzer, den Schlüssel zum Entschlüsseln von Daten zu verwenden.
+ Die zweite Anweisung ermöglicht es dem Bucket-Besitzer, für sein Konto (das Konto des Bucket-Besitzers) einen Grant für die mit dem Macie-Dienst verknüpfte Rolle zu erstellen.
In der ersten Anweisung muss das `Principal` Element den ARN des Kontos des Bucket-Besitzers angeben. Das `Action` Array muss die `kms:Decrypt` Aktion spezifizieren. Dies ist die einzige AWS KMS Aktion, die Macie ausführen darf, um ein Objekt zu entschlüsseln, das mit dem Schlüssel verschlüsselt wurde. Im Folgenden finden Sie ein Beispiel für diese Aussage in der Richtlinie für eine. AWS KMS key
```
{
"Sid": "Allow account 111122223333 to use the key",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"kms:Decrypt"
],
"Resource": "*"
}
```
Für das obige Beispiel gilt:
+ Das `AWS` Feld im `Principal` Element gibt den ARN des Accounts des Bucket-Besitzers an (*111122223333*). Es ermöglicht dem Bucket-Besitzer, die in der Richtlinienanweisung angegebene Aktion auszuführen. *111122223333*ist ein Beispiel für eine Konto-ID. Ersetzen Sie diesen Wert durch die Konto-ID für das Konto des Bucket-Besitzers.
+ Das `Action` Array gibt die Aktion an, die der Bucket-Besitzer mithilfe des KMS-Schlüssels ausführen darf, d. h. den mit dem Schlüssel verschlüsselten Chiffretext entschlüsseln.
Die zweite Anweisung in der Schlüsselrichtlinie ermöglicht es dem Bucket-Besitzer, einen Zuschuss für die mit dem Macie-Dienst verknüpfte Rolle für sein Konto zu erstellen. In dieser Anweisung muss das `Principal` Element den ARN des Kontos des Bucket-Besitzers angeben. Das `Action` Array muss die `kms:CreateGrant` Aktion spezifizieren. Ein `Condition` Element kann den Zugriff auf die in der Anweisung angegebene `kms:CreateGrant` Aktion filtern. Im Folgenden finden Sie ein Beispiel für diese Anweisung in der Richtlinie für eine AWS KMS key.
```
{
"Sid": "Allow account 111122223333 to create a grant",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:GranteePrincipal": "arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie"
}
}
}
```
Für das obige Beispiel gilt:
+ Das `AWS` Feld im `Principal` Element gibt den ARN des Accounts des Bucket-Besitzers an (*111122223333*). Es ermöglicht dem Bucket-Besitzer, die in der Richtlinienanweisung angegebene Aktion auszuführen. *111122223333*ist ein Beispiel für eine Konto-ID. Ersetzen Sie diesen Wert durch die Konto-ID für das Konto des Bucket-Besitzers.
+ Das `Action` Array gibt die Aktion an, die der Bucket-Besitzer mit dem KMS-Schlüssel ausführen darf — eine Zuweisung für den Schlüssel erstellen.
+ Das `Condition` Element verwendet den `StringEquals` [Bedingungsoperator](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) und den `kms:GranteePrincipal` [Bedingungsschlüssel](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awskeymanagementservice.html#awskeymanagementservice-policy-keys), um den Zugriff auf die in der Richtlinienanweisung angegebene Aktion zu filtern. In diesem Fall kann der Bucket-Besitzer einen Grant nur für das angegebene `GranteePrincipal` Konto erstellen. Dabei handelt es sich um den ARN der mit dem Macie-Dienst verknüpften Rolle für sein Konto. In diesem ARN *111122223333* befindet sich ein Beispiel für eine Konto-ID. Ersetzen Sie diesen Wert durch die Konto-ID für das Konto des Bucket-Besitzers.
Wenn sich das Konto des Bucket-Besitzers in einem Opt-In befindet AWS-Region, geben Sie auch den entsprechenden Regionalcode in den ARN der mit dem Macie-Dienst verknüpften Rolle ein. Wenn sich das Konto beispielsweise in der Region Naher Osten (Bahrain) befindet, die den Regionalcode *me-south-1* hat, `macie.amazonaws.com` ersetzen Sie es `macie.me-south-1.amazonaws.com` im ARN durch. Eine Liste der Regionscodes für die Regionen, in denen Macie derzeit verfügbar ist, finden Sie unter [Amazon Macie Macie-Endpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/macie.html) in der. *Allgemeine AWS-Referenz*
Wo der Haupteigentümer diese Aussagen zur wichtigsten Richtlinie hinzufügt, hängt von der Struktur und den Elementen ab, die die Richtlinie derzeit enthält. Wenn der Schlüsselinhaber die Anweisungen hinzufügt, sollte er sicherstellen, dass die Syntax gültig ist. Wichtige Richtlinien verwenden das JSON-Format. Das bedeutet, dass der Schlüsselinhaber vor oder nach jeder Anweisung auch ein Komma hinzufügen muss, je nachdem, wo er die Anweisung zur Richtlinie hinzufügt.
**Schritt 2: Erstellen Sie einen Zuschuss**
Nachdem der Schlüsselinhaber die Schlüsselrichtlinie bei Bedarf aktualisiert hat, muss der Bucket-Besitzer eine Grant für den Schlüssel erstellen. Durch die Gewährung werden die entsprechenden Berechtigungen an die mit dem Macie-Dienst verknüpfte Rolle für ihr Konto (das Konto des Bucket-Besitzers) delegiert. Bevor der Bucket-Besitzer den Grant erstellt, sollte er überprüfen, ob er die `kms:CreateGrant` Aktion für sein Konto ausführen darf. Diese Aktion ermöglicht es ihm, einem bestehenden, vom Kunden verwalteten Betrag einen Zuschuss hinzuzufügen AWS KMS key.
Um den Zuschuss zu erstellen, kann der Bucket-Besitzer den [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)Betrieb der AWS Key Management Service API verwenden. Wenn der Bucket-Besitzer den Grant erstellt, sollte er die folgenden Werte für die erforderlichen Parameter angeben:
+ `KeyId`— Der ARN des KMS-Schlüssels. Für den kontoübergreifenden Zugriff auf einen KMS-Schlüssel muss es sich bei diesem Wert um einen ARN handeln. Es kann keine Schlüssel-ID sein.
+ `GranteePrincipal`— Der ARN der mit dem Macie-Dienst verknüpften Rolle (`AWSServiceRoleForAmazonMacie`) für ihr Konto. Dieser Wert sollte sein`arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie`, wobei die Konto-ID für *111122223333* das Konto des Bucket-Besitzers steht.
Wenn sich ihr Konto in einer Opt-in-Region befindet, muss der ARN den entsprechenden Regionalcode enthalten. Wenn sich ihr Konto beispielsweise in der Region Naher Osten (Bahrain) befindet, die den Regionalcode *me-south-1* hat, sollte der ARN lauten`arn:aws:iam::111122223333:role/aws-service-role/macie.me-south-1.amazonaws.com/AWSServiceRoleForAmazonMacie`, wobei sich die Konto-ID für das Konto des Bucket-Besitzers *111122223333* befindet.
+ `Operations`— Die AWS KMS Entschlüsselungsaktion (). `Decrypt` Dies ist die einzige AWS KMS Aktion, die Macie ausführen darf, um ein Objekt zu entschlüsseln, das mit dem KMS-Schlüssel verschlüsselt ist.
Führen Sie den Befehl create-grant aus, um mithilfe von AWS Command Line Interface (AWS CLI) einen Zuschuss für einen vom Kunden verwalteten KMS-Schlüssel zu [erstellen](https://docs.aws.amazon.com/cli/latest/reference/kms/create-grant.html). Im folgenden Beispiel wird gezeigt, wie dies geschieht. Das Beispiel ist für Microsoft Windows formatiert und verwendet das Zeilenfortsetzungszeichen Caret (^), um die Lesbarkeit zu verbessern.
```
C:\> aws kms create-grant ^
--key-id arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab ^
--grantee-principal arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie ^
--operations "Decrypt"
```
Wobei Folgendes gilt:
+ `key-id`gibt den ARN des KMS-Schlüssels an, auf den der Zuschuss angewendet werden soll.
+ `grantee-principal`gibt den ARN der mit dem Macie-Dienst verknüpften Rolle für das Konto an, das die im Grant angegebene Aktion ausführen darf. Dieser Wert sollte dem ARN entsprechen, der in der `kms:GranteePrincipal` Bedingung der zweiten Anweisung in der Schlüsselrichtlinie angegeben ist.
+ `operations`gibt die Aktion an, die der angegebene Prinzipal aufgrund des Grants ausführen kann: Entschlüsseln von Chiffretext, der mit dem KMS-Schlüssel verschlüsselt wurde.
Wird der Befehl erfolgreich ausgeführt, erhalten Sie eine Ausgabe ähnlich der folgenden:
```
{
"GrantToken": "",
"GrantId": "1a2b3c4d2f5e69f440bae30eaec9570bb1fb7358824f9ddfa1aa5a0dab1a59b2"
}
```
Dabei `GrantToken` handelt es sich um eine eindeutige, nicht geheime, Base64-kodierte Zeichenfolge mit variabler Länge, die den Grant darstellt, der erstellt wurde, und der eindeutige Bezeichner für den Grant ist. `GrantId`
# Speicherung und Beibehaltung der Erkennungsergebnisse von vertraulichen Daten
Wenn Sie einen Discovery-Job für sensible Daten ausführen oder Amazon Macie eine automatische Erkennung sensibler Daten durchführt, erstellt Macie einen Analysedatensatz für jedes Amazon Simple Storage Service (Amazon S3) -Objekt, das im Umfang der Analyse enthalten ist. Diese Datensätze, die als *Erkennungsergebnisse sensibler Daten* bezeichnet werden, protokollieren Details zu der Analyse, die Macie an einzelnen S3-Objekten durchführt. Dazu gehören Objekte, in denen Macie keine sensiblen Daten erkennt und die daher keine Ergebnisse liefern, sowie Objekte, die Macie aufgrund von Fehlern oder Problemen nicht analysieren kann. Wenn Macie sensible Daten in einem Objekt entdeckt, enthält der Datensatz Daten aus dem entsprechenden Ergebnis sowie zusätzliche Informationen. Die Ergebnisse der Entdeckung sensibler Daten liefern Ihnen Analyseaufzeichnungen, die für Prüfungen oder Untersuchungen zum Datenschutz hilfreich sein können.
Macie speichert Ihre Ergebnisse der Entdeckung sensibler Daten nur 90 Tage lang. Um auf Ihre Ergebnisse zuzugreifen und sie langfristig zu speichern und aufzubewahren, konfigurieren Sie Macie so, dass die Ergebnisse mit einem AWS Key Management Service (AWS KMS) -Schlüssel verschlüsselt und in einem S3-Bucket gespeichert werden. Der Bucket kann als definitives, langfristiges Repository für all Ihre Erkennungsergebnisse sensibler Daten dienen. Anschließend können Sie optional auf die Ergebnisse in diesem Repository zugreifen und diese abfragen.
In diesem Thema erfahren Sie, wie Sie mithilfe von ein Repository für Ihre Discovery-Ergebnisse für sensible Daten konfigurieren. AWS-Managementkonsole Die Konfiguration ist eine Kombination aus einem, der AWS KMS key die Ergebnisse verschlüsselt, einem S3-Bucket für allgemeine Zwecke, in dem die Ergebnisse gespeichert werden, und Macie-Einstellungen, die angeben, welcher Schlüssel und welcher Bucket verwendet werden sollen. Wenn Sie es vorziehen, die Macie-Einstellungen programmgesteuert zu konfigurieren, können Sie den [PutClassificationExportConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/classification-export-configuration.html)Betrieb der Amazon Macie Macie-API verwenden.
Wenn Sie die Einstellungen in Macie konfigurieren, gelten Ihre Auswahlmöglichkeiten nur für die aktuelle Version. AWS-Region Wenn Sie der Macie-Administrator einer Organisation sind, gelten Ihre Auswahlmöglichkeiten nur für Ihr Konto. Sie gelten nicht für verknüpfte Mitgliedskonten. Wenn Sie die automatische Erkennung vertraulicher Daten aktivieren oder Aufgaben zur Erkennung vertraulicher Daten ausführen, um Daten für Mitgliedskonten zu analysieren, speichert Macie die Ergebnisse der Erkennung sensibler Daten im Repository für Ihr Administratorkonto.
Wenn Sie Macie in mehreren Fällen verwenden AWS-Regionen, konfigurieren Sie die Repository-Einstellungen für jede Region, in der Sie Macie verwenden. Sie können optional die Ergebnisse der Erkennung sensibler Daten für mehrere Regionen im selben S3-Bucket speichern. Beachten Sie jedoch die folgenden Anforderungen:
+ Um die Ergebnisse für eine Region zu speichern, die standardmäßig AWS aktiviert ist AWS-Konten, z. B. für die Region USA Ost (Nord-Virginia), müssen Sie einen Bucket in einer Region auswählen, die standardmäßig aktiviert ist. Die Ergebnisse können nicht in einem Bucket in einer Opt-in-Region gespeichert werden (Region, die standardmäßig deaktiviert ist).
+ Um die Ergebnisse für eine Opt-in-Region zu speichern, z. B. die Region Naher Osten (Bahrain), müssen Sie einen Bucket in derselben Region oder einer Region auswählen, die standardmäßig aktiviert ist. Die Ergebnisse können nicht in einem Bucket in einer anderen Opt-in-Region gespeichert werden.
Informationen darüber, ob eine Region standardmäßig aktiviert ist, finden Sie im *AWS -Kontenverwaltung Benutzerhandbuch* unter [AWS-Regionen In Ihrem Konto aktivieren oder deaktivieren](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html). Denken Sie zusätzlich zu den oben genannten Anforderungen auch darüber nach, ob Sie [Stichproben sensibler Daten abrufen](findings-retrieve-sd.md) möchten, die Macie in Einzelbefunden meldet. Um Stichproben vertraulicher Daten von einem betroffenen S3-Objekt abzurufen, müssen alle folgenden Ressourcen und Daten in derselben Region gespeichert sein: das betroffene Objekt, der entsprechende Befund und das entsprechende Ergebnis der Erkennung sensibler Daten.
**Topics**
+ [Bevor Sie beginnen: Lernen Sie die wichtigsten Konzepte kennen](#discovery-results-repository-s3-overview)
+ [Schritt 1: Überprüfen Sie Ihre Berechtigungen](#discovery-results-repository-s3-permissions)
+ [Schritt 2: Konfigurieren Sie ein AWS KMS key](#discovery-results-repository-s3-key-policy)
+ [Schritt 3: Wählen Sie einen S3-Bucket](#discovery-results-repository-s3-choose-bucket)
## Bevor Sie beginnen: Lernen Sie die wichtigsten Konzepte kennen
Amazon Macie erstellt automatisch ein Erkennungsergebnis für sensible Daten für jedes Amazon S3 S3-Objekt, das analysiert wird oder zu analysieren versucht, wenn Sie einen Discovery-Job für sensible Daten ausführen oder wenn es eine automatische Erkennung sensibler Daten durchführt. Dies umfasst:
+ Objekte, in denen Macie sensible Daten erkennt und die daher auch zu Ergebnissen sensibler Daten führen.
+ Objekte, in denen Macie keine sensiblen Daten erkennt und daher keine Ergebnisse zu sensiblen Daten liefert.
+ Objekte, die Macie aufgrund von Fehlern oder Problemen nicht analysieren kann, z. B. aufgrund von Berechtigungseinstellungen oder der Verwendung eines nicht unterstützten Datei- oder Speicherformats.
Wenn Macie sensible Daten in einem S3-Objekt entdeckt, umfasst das Ergebnis der Erkennung sensibler Daten auch Daten aus der entsprechenden Entdeckung vertraulicher Daten. Es bietet auch zusätzliche Informationen, z. B. den Standort von bis zu 1.000 Vorkommen jedes Typs vertraulicher Daten, die Macie in dem Objekt gefunden hat. Beispiel:
+ Die Spalten- und Zeilennummer für eine Zelle oder ein Feld in einer Microsoft Excel-Arbeitsmappe, CSV-Datei oder TSV-Datei
+ Der Pfad zu einem Feld oder Array in einer JSON- oder JSON Lines-Datei
+ Die Zeilennummer für eine Zeile in einer nicht-binären Textdatei, bei der es sich nicht um eine CSV-, JSON-, JSON-Zeilen- oder TSV-Datei handelt, z. B. eine HTML-, TXT- oder XML-Datei
+ Die Seitennummer für eine Seite in einer PDF-Datei (Adobe Portable Document Format)
+ Der Datensatzindex und der Pfad zu einem Feld in einem Datensatz in einem Apache Avro-Objektcontainer oder einer Apache Parquet-Datei
Handelt es sich bei dem betroffenen S3-Objekt um eine Archivdatei, z. B. eine .tar- oder .zip-Datei, enthält das Ergebnis der Erkennung sensibler Daten auch detaillierte Standortdaten für das Vorkommen sensibler Daten in einzelnen Dateien, die Macie aus dem Archiv extrahiert hat. Macie nimmt diese Informationen nicht in die Ergebnisse sensibler Daten für Archivdateien auf. Um Standortdaten zu melden, verwenden die Ergebnisse der Erkennung sensibler Daten ein [standardisiertes JSON-Schema](findings-locate-sd-schema.md).
Ein Ermittlungsergebnis für sensible Daten beinhaltet nicht die sensiblen Daten, die Macie gefunden hat. Stattdessen erhalten Sie einen Analysedatensatz, der für Audits oder Ermittlungen hilfreich sein kann.
Macie speichert Ihre Ergebnisse der Entdeckung sensibler Daten 90 Tage lang. Sie können nicht direkt über die Amazon Macie Macie-Konsole oder mit der Amazon Macie Macie-API darauf zugreifen. Folgen Sie stattdessen den Schritten in diesem Thema, um Macie so zu konfigurieren, AWS KMS key dass Ihre Ergebnisse mit einem von Ihnen angegebenen verschlüsselt werden, und speichern Sie die Ergebnisse in einem ebenfalls von Ihnen angegebenen S3-Allzweck-Bucket. Macie schreibt dann die Ergebnisse in JSON-Lines-Dateien (.jsonl), fügt die Dateien dem Bucket als GNU-Zip-Dateien (.gz) hinzu und verschlüsselt die Daten mithilfe der SSE-KMS-Verschlüsselung. Seit dem 8. November 2023 signiert Macie die resultierenden S3-Objekte auch mit einem Hash-basierten Message Authentication Code (HMAC). AWS KMS key
Nachdem Sie Macie so konfiguriert haben, dass Ihre Erkennungsergebnisse vertraulicher Daten in einem S3-Bucket gespeichert werden, kann der Bucket als definitives, langfristiges Repository für die Ergebnisse dienen. Anschließend können Sie optional auf die Ergebnisse in diesem Repository zugreifen und diese abfragen.
**Tipps**
Ein detailliertes, anschauliches Beispiel dafür, wie Sie die Ergebnisse der Erkennung sensibler Daten abfragen und verwenden können, um potenzielle Datensicherheitsrisiken zu analysieren und zu melden, finden Sie im folgenden Blogbeitrag auf dem *AWS Security Blog*: [How to query and visualize macie sensitive data discovery results with Amazon Athena and Amazon](https://aws.amazon.com/blogs/security/how-to-query-and-visualize-macie-sensitive-data-discovery-results-with-athena-and-quicksight/) Quick.
Beispiele für Amazon Athena Athena-Abfragen, mit denen Sie die Ergebnisse der Erkennung sensibler Daten analysieren können, finden Sie im [Amazon Macie Results Analytics-Repository](https://github.com/aws-samples/amazon-macie-results-analytics) unter. GitHub Dieses Repository enthält auch Anweisungen zur Konfiguration von Athena zum Abrufen und Entschlüsseln Ihrer Ergebnisse sowie Skripten zum Erstellen von Tabellen für die Ergebnisse.
## Schritt 1: Überprüfen Sie Ihre Berechtigungen
Bevor Sie ein Repository für Ihre Discovery-Ergebnisse vertraulicher Daten konfigurieren, stellen Sie sicher, dass Sie über die erforderlichen Berechtigungen zum Verschlüsseln und Speichern der Ergebnisse verfügen. Um Ihre Berechtigungen zu überprüfen, verwenden Sie AWS Identity and Access Management (IAM), um die IAM-Richtlinien zu überprüfen, die mit Ihrer IAM-Identität verknüpft sind. Vergleichen Sie dann die Informationen in diesen Richtlinien mit der folgenden Liste von Aktionen, die Sie ausführen dürfen müssen, um das Repository zu konfigurieren.
**Amazon Macie**
Stellen Sie für Macie sicher, dass Sie die folgende Aktion ausführen dürfen:
`macie2:PutClassificationExportConfiguration`
Mit dieser Aktion können Sie die Repository-Einstellungen in Macie hinzufügen oder ändern.
**Amazon S3**
Stellen Sie für Amazon S3 sicher, dass Sie die folgenden Aktionen ausführen dürfen:
+ `s3:CreateBucket`
+ `s3:GetBucketLocation`
+ `s3:ListAllMyBuckets`
+ `s3:PutBucketAcl`
+ `s3:PutBucketPolicy`
+ `s3:PutBucketPublicAccessBlock`
+ `s3:PutObject`
Mit diesen Aktionen können Sie auf einen S3-Allzweck-Bucket zugreifen und ihn konfigurieren, der als Repository dienen kann.
**AWS KMS**
Um die Amazon Macie Macie-Konsole zum Hinzufügen oder Ändern der Repository-Einstellungen zu verwenden, stellen Sie außerdem sicher, dass Sie die folgenden AWS KMS Aktionen ausführen dürfen:
+ `kms:DescribeKey`
+ `kms:ListAliases`
Diese Aktionen ermöglichen es Ihnen, Informationen über das AWS KMS keys für Ihr Konto abzurufen und anzuzeigen. Sie können dann einen dieser Schlüssel auswählen, um Ihre Erkennungsergebnisse vertraulicher Daten zu verschlüsseln.
Wenn Sie vorhaben, einen neuen AWS KMS key zu erstellen, um die Daten zu verschlüsseln, müssen Sie auch die folgenden Aktionen ausführen dürfen: `kms:CreateKey``kms:GetKeyPolicy`, und. `kms:PutKeyPolicy`
Wenn Sie die erforderlichen Aktionen nicht ausführen dürfen, bitten Sie Ihren AWS Administrator um Unterstützung, bevor Sie mit dem nächsten Schritt fortfahren.
## Schritt 2: Konfigurieren Sie ein AWS KMS key
Nachdem Sie Ihre Berechtigungen überprüft haben, legen AWS KMS key Sie fest, welche Methode Macie zur Verschlüsselung Ihrer Erkennungsergebnisse vertraulicher Daten verwenden soll. Bei dem Schlüssel muss es sich um einen vom Kunden verwalteten KMS-Schlüssel mit symmetrischer Verschlüsselung handeln, der in demselben AWS-Region S3-Bucket aktiviert ist, in dem Sie die Ergebnisse speichern möchten.
Der Schlüssel kann ein vorhandener Schlüssel AWS KMS key aus Ihrem eigenen Konto oder ein vorhandener AWS KMS key Schlüssel sein, den ein anderes Konto besitzt. Wenn Sie einen neuen KMS-Schlüssel verwenden möchten, erstellen Sie den Schlüssel, bevor Sie fortfahren. Wenn Sie einen vorhandenen Schlüssel verwenden möchten, der einem anderen Konto gehört, rufen Sie den Amazon-Ressourcennamen (ARN) des Schlüssels ab. Sie müssen diesen ARN eingeben, wenn Sie die Repository-Einstellungen in Macie konfigurieren. Informationen zum Erstellen und Überprüfen der Einstellungen für KMS-Schlüssel finden Sie im [AWS Key Management Service Entwicklerhandbuch](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html).
**Anmerkung**
Der Schlüssel kann sich AWS KMS key in einem externen Schlüsselspeicher befinden. Der Schlüssel ist dann jedoch möglicherweise langsamer und weniger zuverlässig als ein Schlüssel, der vollständig intern verwaltet wird AWS KMS. Sie können dieses Risiko verringern, indem Sie Ihre Ermittlungsergebnisse für sensible Daten in einem S3-Bucket speichern, der so konfiguriert ist, dass der Schlüssel als S3-Bucket-Key verwendet wird. Dadurch wird die Anzahl der AWS KMS Anfragen reduziert, die gestellt werden müssen, um Ihre Erkennungsergebnisse vertraulicher Daten zu verschlüsseln.
Informationen zur Verwendung von KMS-Schlüsseln in externen Schlüsselspeichern finden Sie im *AWS Key Management Service Entwicklerhandbuch* unter [Externe Schlüsselspeicher](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-external.html). Informationen zur Verwendung von S3-Bucket Keys finden Sie unter [Reduzierung der Kosten für SSE-KMS mit Amazon S3 S3-Bucket Keys](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.
Nachdem Sie festgelegt haben, welchen KMS-Schlüssel Macie verwenden soll, erteilen Sie Macie die Erlaubnis, den Schlüssel zu verwenden. Andernfalls kann Macie Ihre Ergebnisse nicht verschlüsseln oder im Repository speichern. Um Macie die Erlaubnis zur Verwendung des Schlüssels zu erteilen, aktualisieren Sie die Schlüsselrichtlinie für den Schlüssel. Ausführliche Informationen zu wichtigen Richtlinien und zur Verwaltung des Zugriffs auf [KMS-Schlüssel finden Sie unter Wichtige Richtlinien AWS KMS im AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) *Entwicklerhandbuch*.
**So aktualisieren Sie die Schlüsselrichtlinie**
1. Öffnen Sie die AWS KMS Konsole unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
1. Wählen Sie den Schlüssel aus, den Macie zur Verschlüsselung Ihrer Erkennungsergebnisse vertraulicher Daten verwenden soll.
1. Wählen Sie im Tab **Schlüsselrichtlinie** die Option **Bearbeiten** aus.
1. Kopieren Sie die folgende Anweisung in Ihre Zwischenablage und fügen Sie sie dann der Richtlinie hinzu:
```
{
"Sid": "Allow Macie to use the key",
"Effect": "Allow",
"Principal": {
"Service": "macie.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Encrypt"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
"arn:aws:macie2:us-east-1:111122223333:classification-job/*"
]
}
}
}
```
**Anmerkung**
Stellen Sie beim Hinzufügen der Anweisung zur Richtlinie sicher, dass die Syntax gültig ist. Richtlinien verwenden das JSON-Format. Das bedeutet, dass Sie vor oder nach der Anweisung auch ein Komma hinzufügen müssen, je nachdem, wo Sie die Anweisung zur Richtlinie hinzufügen. Wenn Sie die Anweisung als letzte Anweisung hinzufügen, fügen Sie hinter der schließenden geschweiften Klammer für die vorherige Anweisung ein Komma hinzu. Wenn Sie sie als erste Anweisung oder zwischen zwei vorhandenen Anweisungen hinzufügen, fügen Sie hinter der schließenden geschweiften Klammer für die Anweisung ein Komma ein.
1. Aktualisieren Sie die Anweisung mit den richtigen Werten für Ihre Umgebung:
+ Ersetzen Sie in den `Condition` Feldern die Platzhalterwerte, wobei:
+ *111122223333*ist die Konto-ID für Ihren AWS-Konto.
+ *us-east-1*ist der Regionalcode für den, AWS-Region in dem Sie Macie verwenden und Macie erlauben möchten, den Schlüssel zu verwenden.
Wenn Sie Macie in mehreren Regionen verwenden und Macie erlauben möchten, den Schlüssel in weiteren Regionen zu verwenden, fügen Sie `aws:SourceArn` Bedingungen für jede weitere Region hinzu. Beispiel:
```
"aws:SourceArn": [
"arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
"arn:aws:macie2:us-east-1:111122223333:classification-job/*",
"arn:aws:macie2:us-west-2:111122223333:export-configuration:*",
"arn:aws:macie2:us-west-2:111122223333:classification-job/*"
]
```
Alternativ können Sie Macie erlauben, den Schlüssel in allen Regionen zu verwenden. Ersetzen Sie dazu den Platzhalterwert durch das Platzhalterzeichen (). `*` Beispiel:
```
"aws:SourceArn": [
"arn:aws:macie2:*:111122223333:export-configuration:*",
"arn:aws:macie2:*:111122223333:classification-job/*"
]
```
+ Wenn Sie Macie in einer Opt-in-Region verwenden, fügen Sie dem Wert für das Feld den entsprechenden Regionalcode hinzu. `Service` Wenn Sie beispielsweise Macie in der Region Naher Osten (Bahrain) verwenden, die den Regionalcode hat *me-south-1*, `macie.amazonaws.com` ersetzen `macie.me-south-1.amazonaws.com` Sie ihn durch.
Eine Liste der Regionen, in denen Macie derzeit verfügbar ist, sowie den Regionalcode für jede Region finden Sie unter [Amazon Macie Macie-Endpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/macie.html) in der. *Allgemeine AWS-Referenz*
Beachten Sie, dass die `Condition` Felder zwei globale IAM-Bedingungsschlüssel verwenden:
+ [aws: SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) — Diese Bedingung ermöglicht es Macie, die angegebenen Aktionen nur für Ihr Konto auszuführen. Insbesondere bestimmt sie, welches Konto die angegebenen Aktionen für die in der `aws:SourceArn` Bedingung angegebenen Ressourcen und Aktionen ausführen kann.
Damit Macie die angegebenen Aktionen für weitere Konten ausführen kann, fügen Sie dieser Bedingung die Konto-ID für jedes weitere Konto hinzu. Beispiel:
```
"aws:SourceAccount": [111122223333,444455556666]
```
+ [aws: SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) — Diese Bedingung verhindert, dass andere AWS-Services die angegebenen Aktionen ausführen. Es verhindert auch, dass Macie den Schlüssel verwendet, während sie andere Aktionen für Ihr Konto ausführt. Mit anderen Worten, es ermöglicht Macie, S3-Objekte nur dann mit dem Schlüssel zu verschlüsseln, wenn: es sich bei den Objekten um Erkennungsergebnisse für vertrauliche Daten handelt und die Ergebnisse sich auf automatisierte Erkennungsaufträge für vertrauliche Daten oder für Aufträge zur Erkennung sensibler Daten beziehen, die vom angegebenen Konto in der angegebenen Region erstellt wurden.
Damit Macie die angegebenen Aktionen für weitere Konten ausführen kann, fügen Sie diese Bedingung ARNs für jedes weitere Konto hinzu. Beispiel:
```
"aws:SourceArn": [
"arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
"arn:aws:macie2:us-east-1:111122223333:classification-job/*",
"arn:aws:macie2:us-east-1:444455556666:export-configuration:*",
"arn:aws:macie2:us-east-1:444455556666:classification-job/*"
]
```
Die in den `aws:SourceArn` Bedingungen `aws:SourceAccount` und angegebenen Konten müssen übereinstimmen.
Diese Bedingungen verhindern, dass Macie bei Transaktionen mit AWS KMS Macie als [verwirrter Stellvertreter](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) eingesetzt wird. Wir empfehlen es zwar nicht, aber Sie können diese Bedingungen aus der Erklärung entfernen.
1. Wenn Sie mit dem Hinzufügen und Aktualisieren der Erklärung fertig sind, wählen Sie **Änderungen speichern**.
## Schritt 3: Wählen Sie einen S3-Bucket
Nachdem Sie Ihre Berechtigungen überprüft und konfiguriert haben AWS KMS key, können Sie angeben, welchen S3-Bucket Sie als Repository für Ihre Discovery-Ergebnisse für sensible Daten verwenden möchten. Sie haben zwei Optionen:
+ **Verwenden Sie einen neuen S3-Bucket, den Macie erstellt** — Wenn Sie diese Option wählen, erstellt Macie automatisch einen neuen S3-Bucket für allgemeine Zwecke im aktuellen Bucket AWS-Region für Ihre Discovery-Ergebnisse. Macie wendet auch eine Bucket-Richtlinie auf den Bucket an. Die Richtlinie ermöglicht es Macie, Objekte zum Bucket hinzuzufügen. Außerdem müssen die Objekte mit dem, was Sie angeben AWS KMS key , unter Verwendung der SSE-KMS-Verschlüsselung verschlüsselt werden. Um die Richtlinie zu überprüfen, wählen Sie in der Amazon Macie Macie-Konsole die Option **Richtlinie anzeigen**, nachdem Sie einen Namen für den Bucket und den zu verwendenden KMS-Schlüssel angegeben haben.
+ **Verwenden Sie einen vorhandenen S3-Bucket, den Sie erstellen** — Wenn Sie Ihre Discovery-Ergebnisse lieber in einem bestimmten von Ihnen erstellten S3-Bucket speichern möchten, erstellen Sie den Bucket, bevor Sie fortfahren. Bei dem Bucket muss es sich um einen Allzweck-Bucket handeln. Darüber hinaus müssen die Einstellungen und Richtlinien des Buckets es Macie ermöglichen, dem Bucket Objekte hinzuzufügen. In diesem Thema wird erklärt, welche Einstellungen überprüft werden müssen und wie die Richtlinie aktualisiert wird. Es enthält auch Beispiele für die Anweisungen, die der Richtlinie hinzugefügt werden können.
Die folgenden Abschnitte enthalten Anweisungen für jede Option. Wählen Sie den Abschnitt für die gewünschte Option aus.
### Verwenden Sie einen neuen S3-Bucket, den Macie erstellt
Wenn Sie lieber einen neuen S3-Bucket verwenden möchten, den Macie für Sie erstellt, besteht der letzte Schritt darin, die Repository-Einstellungen in Macie zu konfigurieren.
**Um die Repository-Einstellungen in Macie zu konfigurieren**
1. Öffnen Sie die Amazon Macie Macie-Konsole unter [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/).
1. Wählen Sie im Navigationsbereich unter **Einstellungen** die Option **Discovery-Ergebnisse** aus.
1. Wählen Sie unter **Repository für Erkennungsergebnisse vertraulicher Daten** die Option **Bucket erstellen** aus.
1. Geben **Sie im Feld Bucket erstellen einen** Namen für den Bucket ein.
Der Name muss über alle S3-Buckets eindeutig sein. Darüber hinaus darf der Name nur aus Kleinbuchstaben, Zahlen, Punkten (.) und Bindestrichen (-) bestehen. Weitere Benennungsanforderungen finden Sie unter [Regeln zur Benennung von Buckets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucketnamingrules.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.
1. Erweitern Sie den Abschnitt **Advanced (Erweitert)**.
1. (Optional) Um ein Präfix anzugeben, das im Pfad zu einem Speicherort im Bucket verwendet werden soll, geben Sie das Präfix in das Feld **Datenermittlungsergebnispräfix** ein.
Wenn Sie einen Wert eingeben, aktualisiert Macie das Beispiel unter dem Feld, sodass der Pfad zum Bucket-Speicherort angezeigt wird, an dem Ihre Discovery-Ergebnisse gespeichert werden.
1. Wählen Sie für **Gesamten öffentlichen Zugriff blockieren** die Option **Ja** aus, um alle Einstellungen zum Sperren des öffentlichen Zugriffs für den Bucket zu aktivieren.
Informationen zu diesen Einstellungen finden Sie unter [Sperren des öffentlichen Zugriffs auf Ihren Amazon S3 S3-Speicher](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.
1. Geben Sie unter **Verschlüsselungseinstellungen** AWS KMS key die Einstellungen an, die Macie zur Verschlüsselung der Ergebnisse verwenden soll:
+ Um einen Schlüssel aus Ihrem eigenen Konto zu verwenden, wählen Sie **Wählen Sie einen Schlüssel aus Ihrem Konto aus**. Wählen Sie dann in der **AWS KMS key**Liste den Schlüssel aus, den Sie verwenden möchten. In der Liste werden vom Kunden verwaltete KMS-Schlüssel mit symmetrischer Verschlüsselung für Ihr Konto angezeigt.
+ Um einen Schlüssel zu verwenden, der einem anderen Konto gehört, wählen Sie **Geben Sie den ARN eines Schlüssels von einem anderen Konto ein**. Geben Sie dann in das Feld **AWS KMS key ARN** den Amazon-Ressourcennamen (ARN) des zu verwendenden Schlüssels ein, z. B. **`arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`**
1. **Wenn Sie mit der Eingabe der Einstellungen fertig sind, wählen Sie Speichern.**
Macie testet die Einstellungen, um sicherzustellen, dass sie korrekt sind. Wenn Einstellungen falsch sind, zeigt Macie eine Fehlermeldung an, um Ihnen bei der Behebung des Problems zu helfen.
Nachdem Sie die Repository-Einstellungen gespeichert haben, fügt Macie dem Repository vorhandene Ermittlungsergebnisse der letzten 90 Tage hinzu. Macie beginnt auch, dem Repository neue Ermittlungsergebnisse hinzuzufügen.
### Verwenden Sie einen vorhandenen S3-Bucket, den Sie erstellen
Wenn Sie es vorziehen, Ihre Erkennungsergebnisse vertraulicher Daten in einem bestimmten S3-Bucket zu speichern, den Sie erstellen, erstellen und konfigurieren Sie den Bucket, bevor Sie die Einstellungen in Macie konfigurieren. Beachten Sie beim Erstellen des Buckets die folgenden Anforderungen:
+ Bei dem Bucket muss es sich um einen Allzweck-Bucket handeln. Es kann sich nicht um einen anderen Bucket-Typ handeln, z. B. um einen Verzeichnis-Bucket.
+ Um Ihre Discovery-Ergebnisse für eine Region zu speichern AWS-Konten, für die standardmäßig aktiviert ist, z. B. die Region USA Ost (Nord-Virginia), muss sich der Bucket in einer Region befinden, die standardmäßig aktiviert ist. Die Ergebnisse können nicht in einem Bucket in einer Opt-in-Region gespeichert werden (Region, die standardmäßig deaktiviert ist).
+ Um Ihre Discovery-Ergebnisse für eine Opt-in-Region wie die Region Naher Osten (Bahrain) zu speichern, muss sich der Bucket in derselben Region oder in einer Region befinden, die standardmäßig aktiviert ist. Die Ergebnisse können nicht in einem Bucket in einer anderen Opt-in-Region gespeichert werden.
Informationen darüber, ob eine Region standardmäßig aktiviert ist, finden Sie im *AWS -Kontenverwaltung Benutzerhandbuch* unter [AWS-Regionen In Ihrem Konto aktivieren oder deaktivieren](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html).
Nachdem Sie den Bucket erstellt haben, aktualisieren Sie die Richtlinie des Buckets, damit Macie Informationen über den Bucket abrufen und Objekte zum Bucket hinzufügen kann. Anschließend können Sie die Einstellungen in Macie konfigurieren.
**Um die Bucket-Richtlinie für den Bucket zu aktualisieren**
1. Öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Wählen Sie den Bucket aus, in dem Sie Ihre Discovery-Ergebnisse speichern möchten.
1. Wählen Sie die Registerkarte **Berechtigungen**.
1. Wählen Sie im Abschnitt **Bucket-Richtlinie** die Option **Bearbeiten** aus.
1. Kopieren Sie die folgende Beispielrichtlinie in Ihre Zwischenablage:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow Macie to use the GetBucketLocation operation",
"Effect": "Allow",
"Principal": {
"Service": "macie.amazonaws.com"
},
"Action": "s3:GetBucketLocation",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
"arn:aws:macie2:us-east-1:111122223333:classification-job/*"
]
}
}
},
{
"Sid": "Allow Macie to add objects to the bucket",
"Effect": "Allow",
"Principal": {
"Service": "macie.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional prefix/]*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
"arn:aws:macie2:us-east-1:111122223333:classification-job/*"
]
}
}
},
{
"Sid": "Deny unencrypted object uploads. This is optional",
"Effect": "Deny",
"Principal": {
"Service": "macie.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional prefix/]*",
"Condition": {
"StringNotEquals": {
"s3:x-amz-server-side-encryption": "aws:kms"
}
}
},
{
"Sid": "Deny incorrect encryption headers. This is optional",
"Effect": "Deny",
"Principal": {
"Service": "macie.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional prefix/]*",
"Condition": {
"StringNotEquals": {
"s3:x-amz-server-side-encryption-aws-kms-key-id": "arn:aws:kms:us-east-1:111122223333:key/KMSKeyId"
}
}
},
{
"Sid": "Deny non-HTTPS access",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
}
]
}
```
------
1. Fügen Sie die Beispielrichtlinie in den **Bucket-Policy-Editor** auf der Amazon S3 S3-Konsole ein.
1. Aktualisieren Sie die Beispielrichtlinie mit den richtigen Werten für Ihre Umgebung:
+ In der optionalen Anweisung, die falsche Verschlüsselungsheader ablehnt:
+ Ersetzen Sie *amzn-s3-demo-bucket* durch den Namen Ihres Buckets. Wenn Sie auch ein Präfix für einen Pfad zu einem Speicherort im Bucket angeben möchten, *[optional prefix/]* ersetzen Sie es durch das Präfix. Andernfalls entfernen Sie den *[optional prefix/]* Platzhalterwert.
+ Ersetzen Sie die `StringNotEquals` Bedingung *arn:aws:kms:us-east-1:111122223333:key/KMSKeyId* durch den Amazon-Ressourcennamen (ARN) des, der für die Verschlüsselung Ihrer Ermittlungsergebnisse verwendet werden AWS KMS key soll.
+ Ersetzen Sie in allen anderen Anweisungen die Platzhalterwerte, wobei:
+ *amzn-s3-demo-bucket*ist der Name des Buckets.
+ *[optional prefix/]*ist das Präfix für einen Pfad zu einer Position im Bucket. Entfernen Sie diesen Platzhalterwert, wenn Sie kein Präfix angeben möchten.
+ *111122223333*ist die Konto-ID für Ihre AWS-Konto.
+ *us-east-1*ist der Regionalcode für die Region, AWS-Region in der Sie Macie verwenden und möchten, dass Macie Erkennungsergebnisse zum Bucket hinzufügt.
Wenn Sie Macie in mehreren Regionen verwenden und Macie erlauben möchten, Ergebnisse für weitere Regionen zum Bucket hinzuzufügen, fügen Sie `aws:SourceArn` Bedingungen für jede weitere Region hinzu. Beispiel:
```
"aws:SourceArn": [
"arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
"arn:aws:macie2:us-east-1:111122223333:classification-job/*",
"arn:aws:macie2:us-west-2:111122223333:export-configuration:*",
"arn:aws:macie2:us-west-2:111122223333:classification-job/*"
]
```
Alternativ können Sie Macie erlauben, dem Bucket Ergebnisse für alle Regionen hinzuzufügen, in denen Sie Macie verwenden. Ersetzen Sie dazu den Platzhalterwert durch das Platzhalterzeichen (). `*` Beispiel:
```
"aws:SourceArn": [
"arn:aws:macie2:*:111122223333:export-configuration:*",
"arn:aws:macie2:*:111122223333:classification-job/*"
]
```
+ Wenn Sie Macie in einer Opt-in-Region verwenden, fügen Sie dem Wert für das `Service` Feld in jeder Anweisung, die den Macie-Service Principal angibt, den entsprechenden Regionalcode hinzu. Wenn Sie beispielsweise Macie in der Region Naher Osten (Bahrain) verwenden, für die der Regionalcode gilt *me-south-1*, `macie.amazonaws.com` ersetzen Sie ihn `macie.me-south-1.amazonaws.com` in jeder zutreffenden Anweisung durch.
Eine Liste der Regionen, in denen Macie derzeit verfügbar ist, sowie den Regionalcode für jede Region finden Sie unter [Amazon Macie Macie-Endpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/macie.html) in der. *Allgemeine AWS-Referenz*
Beachten Sie, dass die Beispielrichtlinie Anweisungen enthält, die es Macie ermöglichen, festzustellen, in welcher Region sich der Bucket befindet (`GetBucketLocation`), und Objekte zum Bucket hinzuzufügen (). `PutObject` Diese Anweisungen definieren Bedingungen, die zwei globale IAM-Bedingungsschlüssel verwenden:
+ [aws: SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) — Diese Bedingung ermöglicht es Macie, nur für Ihr Konto Ergebnisse der Erkennung sensibler Daten zum Bucket hinzuzufügen. Dadurch wird Macie daran gehindert, Erkennungsergebnisse für andere Konten zum Bucket hinzuzufügen. Genauer gesagt gibt die Bedingung an, welches Konto den Bucket für die in der `aws:SourceArn` Bedingung angegebenen Ressourcen und Aktionen verwenden kann.
Um Ergebnisse für zusätzliche Konten im Bucket zu speichern, fügen Sie dieser Bedingung die Konto-ID für jedes weitere Konto hinzu. Beispiel:
```
"aws:SourceAccount": [111122223333,444455556666]
```
+ [aws: SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) — Diese Bedingung schränkt den Zugriff auf den Bucket basierend auf der Quelle der Objekte ein, die dem Bucket hinzugefügt werden. Sie verhindert, dass andere AWS-Services Objekte zum Bucket hinzufügen. Es verhindert auch, dass Macie Objekte zum Bucket hinzufügt und gleichzeitig andere Aktionen für Ihr Konto ausführt. Genauer gesagt erlaubt die Bedingung Macie, Objekte nur dann zum Bucket hinzuzufügen, wenn es sich bei den Objekten um Erkennungsergebnisse für vertrauliche Daten handelt und die Ergebnisse sich auf automatisierte Aufgaben zur Erkennung sensibler Daten oder zur Erkennung sensibler Daten beziehen, die vom angegebenen Konto in der angegebenen Region erstellt wurden.
Damit Macie die angegebenen Aktionen für weitere Konten ausführen kann, fügen Sie diese ARNs Bedingung für jedes weitere Konto hinzu. Beispiel:
```
"aws:SourceArn": [
"arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
"arn:aws:macie2:us-east-1:111122223333:classification-job/*",
"arn:aws:macie2:us-east-1:444455556666:export-configuration:*",
"arn:aws:macie2:us-east-1:444455556666:classification-job/*"
]
```
Die in den `aws:SourceArn` Bedingungen `aws:SourceAccount` und angegebenen Konten müssen übereinstimmen.
Beide Bedingungen tragen dazu bei, dass Macie bei Transaktionen mit Amazon S3 nicht als [verwirrter Stellvertreter](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) eingesetzt wird. Wir raten zwar davon ab, aber Sie können diese Bedingungen aus der Bucket-Richtlinie entfernen.
1. Wenn Sie mit der Aktualisierung der Bucket-Richtlinie fertig sind, wählen Sie **Änderungen speichern** aus.
Sie können jetzt die Repository-Einstellungen in Macie konfigurieren.
**Um die Repository-Einstellungen in Macie zu konfigurieren**
1. Öffnen Sie die Amazon Macie Macie-Konsole unter [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/).
1. Wählen Sie im Navigationsbereich unter **Einstellungen** die Option **Discovery-Ergebnisse** aus.
1. Wählen Sie unter **Repository für Erkennungsergebnisse vertraulicher Daten** die Option **Existierender Bucket** aus.
1. **Wählen Sie unter Wählen Sie einen Bucket** aus den Bucket aus, in dem Sie Ihre Discovery-Ergebnisse speichern möchten.
1. Um ein Präfix für einen Pfad zu einem Speicherort im Bucket anzugeben, erweitern Sie den Abschnitt **Erweitert**. Geben Sie dann als **Präfix für das Ergebnis der Datenermittlung** das Präfix ein.
Wenn Sie einen Wert eingeben, aktualisiert Macie das Beispiel unter dem Feld und zeigt den Pfad zum Bucket-Speicherort an, an dem Ihre Discovery-Ergebnisse gespeichert werden.
1. Geben Sie unter **Verschlüsselungseinstellungen** die Einstellungen an AWS KMS key , die Macie zum Verschlüsseln der Ergebnisse verwenden soll:
+ Um einen Schlüssel aus Ihrem eigenen Konto zu verwenden, wählen Sie **Wählen Sie einen Schlüssel aus Ihrem Konto aus**. Wählen Sie dann in der **AWS KMS key**Liste den Schlüssel aus, den Sie verwenden möchten. In der Liste werden vom Kunden verwaltete KMS-Schlüssel mit symmetrischer Verschlüsselung für Ihr Konto angezeigt.
+ Um einen Schlüssel zu verwenden, der einem anderen Konto gehört, wählen Sie **Geben Sie den ARN eines Schlüssels von einem anderen Konto ein**. Geben Sie dann in das Feld **AWS KMS key ARN** den ARN des zu verwendenden Schlüssels ein, z. B. **arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab**
1. **Wenn Sie mit der Eingabe der Einstellungen fertig sind, wählen Sie Speichern.**
Macie testet die Einstellungen, um sicherzustellen, dass sie korrekt sind. Wenn Einstellungen falsch sind, zeigt Macie eine Fehlermeldung an, um Ihnen bei der Behebung des Problems zu helfen.
Nachdem Sie die Repository-Einstellungen gespeichert haben, fügt Macie dem Repository vorhandene Ermittlungsergebnisse der letzten 90 Tage hinzu. Macie beginnt auch, dem Repository neue Ermittlungsergebnisse hinzuzufügen.
**Anmerkung**
Wenn Sie anschließend die **Präfixeinstellung für das Datenermittlungsergebnis** ändern, aktualisieren Sie auch die Bucket-Richtlinie in Amazon S3. Richtlinienerklärungen, die das vorherige Präfix angeben, müssen das neue Präfix angeben. Andernfalls darf Macie Ihre Discovery-Ergebnisse nicht zum Bucket hinzufügen.
**Tipp**
Um die Kosten für serverseitige Verschlüsselung zu reduzieren, konfigurieren Sie den S3-Bucket auch so, AWS KMS key dass er einen S3-Bucket-Key verwendet, und geben Sie den an, den Sie für die Verschlüsselung Ihrer Erkennungsergebnisse sensibler Daten konfiguriert haben. Durch die Verwendung eines S3-Bucket-Keys wird die Anzahl der Aufrufe reduziert AWS KMS, wodurch die AWS KMS Anforderungskosten gesenkt werden können. Wenn sich der KMS-Schlüssel in einem externen Schlüsselspeicher befindet, kann die Verwendung eines S3-Bucket-Keys auch die Leistungseinbußen bei der Verwendung des Schlüssels minimieren. Weitere Informationen finden Sie unter [Senkung der Kosten für SSE-KMS mit Amazon S3 S3-Bucket Keys](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.
# Unterstützte Speicherklassen und Formate
Um Ihnen zu helfen, sensible Daten in Ihrem Amazon Simple Storage Service (Amazon S3) -Datenbestand zu finden, unterstützt Amazon Macie die meisten Amazon S3-Speicherklassen und eine Vielzahl von Datei- und Speicherformaten. Diese Unterstützung gilt für die Verwendung [verwalteter Datenkennungen](managed-data-identifiers.md) und die Verwendung von [benutzerdefinierten Datenkennungen](custom-data-identifiers.md) zur Analyse von S3-Objekten.
Damit Macie ein S3-Objekt analysieren kann, muss das Objekt in einem Amazon S3 S3-Allzweck-Bucket unter Verwendung einer unterstützten Speicherklasse gespeichert werden. Das Objekt muss außerdem ein unterstütztes Datei- oder Speicherformat verwenden. In den Themen in diesem Abschnitt sind die Speicherklassen sowie die Datei- und Speicherformate aufgeführt, die Macie derzeit unterstützt.
**Tipp**
Obwohl Macie für Amazon S3 optimiert ist, können Sie damit sensible Daten in Ressourcen entdecken, die Sie derzeit woanders speichern. Sie können dies tun, indem Sie die Daten vorübergehend oder dauerhaft nach Amazon S3 verschieben. Exportieren Sie beispielsweise Amazon Relational Database Service- oder Amazon Aurora Aurora-Snapshots im Apache Parquet-Format nach Amazon S3. Oder exportieren Sie eine Amazon DynamoDB-Tabelle nach Amazon S3. Anschließend können Sie einen Discovery-Job für sensible Daten erstellen, um die Daten in Amazon S3 zu analysieren.
**Topics**
+ [Unterstützte Speicherklassen](#discovery-supported-s3-classes)
+ [Unterstützte Datei- und Speicherformate](#discovery-supported-formats)
## Unterstützte Amazon S3 S3-Speicherklassen
Für die Erkennung sensibler Daten unterstützt Amazon Macie die folgenden Amazon S3 S3-Speicherklassen:
+ Reduzierte Redundanz (RRS)
+ S3 Glacier Instant Retrieval
+ S3 Intelligent‐Tiering
+ S3 One Zone‐Seltener Zugriff (S3 One Zone‐IA)
+ S3 Standard
+ S3 Standard‐Seltener Zugriff (S3 Standard‐IA)
Macie analysiert keine S3-Objekte, die andere Amazon S3 S3-Speicherklassen wie S3 Glacier Deep Archive oder S3 Express One Zone verwenden. Darüber hinaus analysiert Macie keine Objekte, die in S3-Verzeichnis-Buckets gespeichert sind.
Wenn Sie einen Discovery-Job für sensible Daten konfigurieren, um S3-Objekte zu analysieren, die keine unterstützte Amazon S3 S3-Speicherklasse verwenden, überspringt Macie diese Objekte, wenn der Job ausgeführt wird. *Macie versucht nicht, Daten in den Objekten abzurufen oder zu analysieren — die Objekte werden als nicht klassifizierbare Objekte behandelt.* Ein *nicht klassifizierbares Objekt* ist ein Objekt, das keine unterstützte Speicherklasse oder ein unterstütztes Datei- oder Speicherformat verwendet. Macie analysiert nur die Objekte, die eine unterstützte Speicherklasse und ein unterstütztes Datei- oder Speicherformat verwenden.
Wenn Sie Macie für die automatische Erkennung sensibler Daten konfigurieren, kommen nicht klassifizierbare Objekte ebenfalls nicht für die Auswahl und Analyse in Frage. Macie wählt nur die Objekte aus, die eine unterstützte Amazon S3 S3-Speicherklasse und ein unterstütztes Datei- oder Speicherformat verwenden.
Um S3-Buckets zu identifizieren, die nicht klassifizierbare Objekte speichern, können Sie [Ihr S3-Bucket-Inventar filtern](monitoring-s3-inventory-filter.md). Für jeden Bucket in Ihrem Inventar gibt es Felder, die die Anzahl und die Gesamtspeichergröße der nicht klassifizierbaren Objekte im Bucket angeben.
Ausführliche Informationen zu den von Amazon S3 bereitgestellten Speicherklassen finden Sie unter [Verwenden von Amazon S3 S3-Speicherklassen](https://docs.aws.amazon.com/AmazonS3/latest/userguide/storage-class-intro.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.
## Unterstützte Datei- und Speicherformate
Wenn Amazon Macie ein S3-Objekt analysiert, ruft Macie die neueste Version des Objekts von Amazon S3 ab und führt dann eine gründliche Inspektion des Objektinhalts durch. Bei dieser Prüfung wird das Datei- oder Speicherformat der Daten berücksichtigt. Macie kann Daten in vielen verschiedenen Formaten analysieren, einschließlich häufig verwendeter Komprimierungs- und Archivformate.
Wenn Macie Daten in einer komprimierten Datei oder Archivdatei analysiert, überprüft Macie sowohl die gesamte Datei als auch den Inhalt der Datei. Um den Inhalt der Datei zu überprüfen, dekomprimiert Macie die Datei und überprüft dann jede extrahierte Datei, die ein unterstütztes Format verwendet. Macie kann dies für bis zu 1.000.000 Dateien und bis zu einer Verschachtelungstiefe von 10 Ebenen tun. Informationen zu zusätzlichen Kontingenten, die für die Erkennung vertraulicher Daten gelten, finden Sie unter. [Kontingente für Macie](macie-quotas.md)
In der folgenden Tabelle sind die Typen von Datei- und Speicherformaten aufgeführt und beschrieben, die Macie analysieren kann, um sensible Daten zu erkennen. Für jeden unterstützten Typ sind in der Tabelle auch die entsprechenden Dateinamenerweiterungen aufgeführt.
| Datei- oder Speichertyp | Beschreibung | Dateinamenerweiterungen |
| --- | --- | --- |
| Big Data | Apache Avro-Objektcontainer und Apache Parquet-Dateien | .avro, .parquet |
| Komprimierung oder Archivieren | GNU-Zip-komprimierte Archive, TAR-Archive und ZIP-komprimierte Archive | .gz, .gzip, .tar, .zip |
| Dokument | Dateien im Adobe Portable Document Format, Microsoft Excel-Arbeitsmappen und Microsoft Word-Dokumente | .doc, .docx, .pdf, .xls, .xlsx |
| E-Mail-Nachricht | [E-Mail-Dateien, deren Inhalt den in einem IETF-RFC für E-Mail-Nachrichten festgelegten Anforderungen entspricht, z. B. RFC 2822](https://www.rfc-editor.org/rfc/rfc2822) | .eml |
| Text | Nicht-binäre Textdateien. Beispiele sind: Dateien mit kommagetrennten Werten (CSV), Extensible Markup Language (XML) -Dateien, Hypertext Markup Language (HTML) -Dateien, JavaScript Object Notation (JSON) -Dateien, JSON Lines-Dateien, Klartext-Dokumente, Dateien mit tabulatorgetrennten Werten (TSV) und YAML-Dateien | Abhängig vom Typ der nicht-binären Textdatei: .csv, .htm, .html, .json, .jsonl, .tsv, .txt, .xml, .yaml, .yml und andere |
Macie analysiert keine Daten in Bildern oder Audio-, Video- und anderen Arten von Multimedia-Inhalten.
Wenn Sie einen Discovery-Job für sensible Daten so konfigurieren, dass S3-Objekte analysiert werden, die kein unterstütztes Datei- oder Speicherformat verwenden, überspringt Macie diese Objekte, wenn der Job ausgeführt wird. *Macie versucht nicht, Daten in den Objekten abzurufen oder zu analysieren — die Objekte werden als nicht klassifizierbare Objekte behandelt.* Ein *nicht klassifizierbares Objekt* ist ein Objekt, das keine unterstützte Amazon S3 S3-Speicherklasse oder ein unterstütztes Datei- oder Speicherformat verwendet. Macie analysiert nur die Objekte, die eine unterstützte Speicherklasse und ein unterstütztes Datei- oder Speicherformat verwenden.
Wenn Sie Macie für die automatische Erkennung sensibler Daten konfigurieren, kommen nicht klassifizierbare Objekte ebenfalls nicht für die Auswahl und Analyse in Frage. Macie wählt nur die Objekte aus, die eine unterstützte Amazon S3 S3-Speicherklasse und ein unterstütztes Datei- oder Speicherformat verwenden.
Um S3-Buckets zu identifizieren, die nicht klassifizierbare Objekte speichern, können Sie [Ihr S3-Bucket-Inventar filtern](monitoring-s3-inventory-filter.md). Für jeden Bucket in Ihrem Inventar gibt es Felder, die die Anzahl und die Gesamtspeichergröße der nicht klassifizierbaren Objekte im Bucket angeben.