Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Découvrir les données sensibles avec Macie
<a name="data-classification"></a>

Avec Amazon Macie, vous pouvez automatiser la découverte, la journalisation et le reporting des données sensibles dans votre parc de données Amazon Simple Storage Service (Amazon S3). Vous pouvez le faire de deux manières : en configurant Macie pour effectuer la découverte automatique des données sensibles, et en créant et en exécutant des tâches de découverte de données sensibles.

La découverte automatisée des données sensibles fournit une visibilité étendue sur l'emplacement des données sensibles susceptibles de se trouver dans votre parc de données Amazon S3. Avec cette option, Macie évalue quotidiennement votre inventaire de compartiments S3 et utilise des techniques d'échantillonnage pour identifier et sélectionner des objets S3 représentatifs de vos compartiments. Macie récupère et analyse ensuite les objets sélectionnés, en les inspectant pour détecter la présence de données sensibles. Pour de plus amples informations, veuillez consulter [Réalisation de la découverte automatisée des données sensibles](discovery-asdd.md).

Les tâches de découverte de données sensibles permettent une analyse plus approfondie et plus ciblée. Cette option vous permet de définir l'étendue et la profondeur de l'analyse, qu'il s'agisse de compartiments S3 spécifiques que vous sélectionnez ou de compartiments répondant à des critères spécifiques. Vous pouvez également affiner la portée de l'analyse en choisissant des options telles que des critères personnalisés dérivés des propriétés des objets S3. En outre, vous pouvez configurer une tâche pour qu'elle ne soit exécutée qu'une seule fois pour une analyse et une évaluation à la demande, ou de manière récurrente pour une analyse, une évaluation et une surveillance périodiques. Pour de plus amples informations, veuillez consulter [Exécution de tâches de découverte de données sensibles](discovery-jobs.md).

Quelle que soit l'option, qu'il s'agisse de découverte automatique de données sensibles ou de tâches de découverte de données sensibles, vous pouvez configurer Macie pour analyser les objets S3 en utilisant les identifiants de données gérés qu'il fournit, les identifiants de données personnalisés que vous définissez ou une combinaison des deux. Vous pouvez également affiner l'analyse à l'aide de listes d'autorisations. Lorsque vous configurez les paramètres pour la découverte automatique de données sensibles ou pour une tâche de découverte de données sensibles, vous spécifiez laquelle utiliser :
+ **Identifiants de données gérés** : il s'agit de critères et de techniques intégrés conçus pour détecter des types spécifiques de données sensibles. Par exemple, ils peuvent détecter les numéros de carte de crédit, les clés d'accès AWS secrètes et les numéros de passeport de certains pays et régions. Ils peuvent détecter une liste importante et croissante de types de données sensibles pour de nombreux pays et régions. Cela inclut plusieurs types d'informations personnelles identifiables (PII), d'informations financières et de données d'identification. Pour de plus amples informations, veuillez consulter [Utilisation des identificateurs de données gérés](managed-data-identifiers.md).
+ **Identifiants de données personnalisés** : il s'agit de critères personnalisés que vous définissez pour détecter les données sensibles. Chaque identifiant de données personnalisé spécifie une expression régulière (*regex*) qui définit un modèle de texte correspondant et, éventuellement, des séquences de caractères et une règle de proximité qui affinent les résultats. Vous pouvez les utiliser pour détecter les données sensibles qui reflètent vos scénarios particuliers, vos données de propriété intellectuelle ou vos données propriétaires, par exemple les numéros de compte des employés IDs, des clients ou des classifications de données internes. Pour de plus amples informations, veuillez consulter [Création d’identificateurs de données personnalisés](custom-data-identifiers.md).
+ **Autoriser les listes** : elles spécifient le texte et les modèles de texte que vous souhaitez que Macie ignore. Vous pouvez les utiliser pour spécifier des exceptions relatives aux données sensibles pour vos scénarios ou votre environnement particuliers, par exemple, les noms publics ou les numéros de téléphone de votre organisation, ou des exemples de données que votre organisation utilise pour les tests. Si Macie trouve du texte correspondant à une entrée ou à un modèle dans une liste d'autorisation, Macie ne signale pas cette occurrence de texte. C'est le cas même si le texte correspond aux critères d'un identifiant de données géré ou personnalisé. Pour de plus amples informations, veuillez consulter [Définition des exceptions relatives aux données sensibles à l'aide de listes d'autorisation](allow-lists.md).

Lorsque Macie analyse un objet S3, Macie récupère la dernière version de l'objet auprès d'Amazon S3, puis inspecte le contenu de l'objet pour détecter la présence de données sensibles. Macie peut analyser un objet si les conditions suivantes sont vraies :
+ L'objet utilise un format de fichier ou de stockage pris en charge et il est stocké dans un compartiment S3 à usage général utilisant une classe de stockage prise en charge. Pour de plus amples informations, veuillez consulter [Classes et formats de stockage pris en charge](discovery-supported-storage.md).
+ Si l'objet est chiffré, il est chiffré avec une clé à laquelle Macie peut accéder et est autorisée à utiliser. Pour de plus amples informations, veuillez consulter [Analyse des objets S3 chiffrés](discovery-supported-encryption-types.md).
+ Si l'objet est stocké dans un compartiment doté d'une politique de compartiment restrictive, cette politique permet à Macie d'accéder aux objets du compartiment. Pour de plus amples informations, veuillez consulter [Autoriser Macie à accéder aux compartiments et aux objets S3](monitoring-restrictive-s3-buckets.md).

Pour vous aider à respecter et à maintenir la conformité à vos exigences en matière de sécurité et de confidentialité des données, Macie enregistre les données sensibles qu'elle trouve et les analyses qu'elle effectue, c'est-à-dire les *découvertes de données sensibles et les résultats* de *découverte de données sensibles*. Une *découverte de données sensibles* est un rapport détaillé des données sensibles que Macie a trouvées dans un objet S3. Un *résultat de découverte de données sensibles* est un enregistrement qui consigne les détails de l'analyse d'un objet. Chaque type d'enregistrement adhère à un schéma standardisé, qui peut vous aider à les interroger, à les surveiller et à les traiter en utilisant d'autres applications, services et systèmes si nécessaire.

**Astuce**  
Bien que Macie soit optimisé pour Amazon S3, vous pouvez l'utiliser pour découvrir des données sensibles dans des ressources que vous stockez actuellement ailleurs. Vous pouvez le faire en déplaçant les données vers Amazon S3 de manière temporaire ou permanente. Par exemple, exportez des instantanés Amazon Relational Database Service ou Amazon Aurora vers Amazon S3 au format Apache Parquet. Ou exportez une table Amazon DynamoDB vers Amazon S3. Vous pouvez ensuite créer une tâche pour analyser les données dans Amazon S3.

**Topics**
+ [Utilisation des identificateurs de données gérés](managed-data-identifiers.md)
+ [Création d’identificateurs de données personnalisés](custom-data-identifiers.md)
+ [Définition des exceptions relatives aux données sensibles à l'aide de listes d'autorisation](allow-lists.md)
+ [Réalisation de la découverte automatisée des données sensibles](discovery-asdd.md)
+ [Exécution de tâches de découverte de données sensibles](discovery-jobs.md)
+ [Analyse des objets S3 chiffrés](discovery-supported-encryption-types.md)
+ [Stockage et conservation des résultats de découverte de données sensibles](discovery-results-repository-s3.md)
+ [Classes et formats de stockage pris en charge](discovery-supported-storage.md)

# Utilisation des identificateurs de données gérés
<a name="managed-data-identifiers"></a>

Amazon Macie utilise une combinaison de critères et de techniques, notamment l'apprentissage automatique et la correspondance de modèles, pour détecter les données sensibles dans les objets Amazon Simple Storage Service (Amazon S3). Ces critères et techniques, collectivement appelés *identifiants de données gérés*, permettent de détecter une liste importante et croissante de types de données sensibles pour de nombreux pays et régions, notamment plusieurs types de données d'identification, d'informations financières, d'informations médicales personnelles (PHI) et d'informations personnelles identifiables (PII). Chaque identifiant de données géré est conçu pour détecter un type spécifique de données sensibles, par exemple des clés d'accès AWS secrètes, des numéros de carte de crédit ou des numéros de passeport pour un pays ou une région en particulier.

Macie peut détecter les catégories de données sensibles suivantes à l'aide d'identifiants de données gérés :
+ Informations d'identification, pour les données d'identification telles que les clés privées et les clés d'accès AWS secrètes.
+ Informations financières, pour les données financières telles que les numéros de carte de crédit et les numéros de compte bancaire.
+ Informations personnelles, concernant les PHI, telles que les numéros d'assurance maladie et d'identification médicale, et les informations personnelles, telles que les numéros d'identification du permis de conduire et les numéros de passeport.

Dans chaque catégorie, Macie peut détecter plusieurs types de données sensibles. Les rubriques de cette section répertorient et décrivent chaque type ainsi que toutes les exigences pertinentes pour le détecter. Pour chaque type, elles indiquent également l'identifiant unique (ID) de l'identifiant de données gérées conçu pour détecter les données. Lorsque vous [créez une tâche de découverte de données sensibles](discovery-jobs-create.md) ou que vous [configurez des paramètres pour la découverte automatique de données sensibles](discovery-asdd-account-configure.md), vous pouvez les utiliser IDs pour spécifier les identifiants de données gérées que vous souhaitez que Macie utilise lorsqu'il analyse les objets S3.

**Topics**
+ [Exigences relatives aux mots-clés](managed-data-identifiers-keywords.md)
+ [Référence rapide par type de données sensibles](mdis-reference-quick.md)
+ [Référence détaillée par catégorie de données sensibles](mdis-reference.md)

Pour obtenir la liste des identifiants de données gérés que nous recommandons pour les tâches, consultez[Identifiants de données gérés recommandés pour les tâches de découverte de données sensibles](discovery-jobs-mdis-recommended.md). Pour obtenir la liste des identifiants de données gérés que nous recommandons et qui sont utilisés par défaut pour la découverte automatique de données sensibles, voir[Paramètres par défaut pour la découverte automatique des données sensibles](discovery-asdd-settings-defaults.md).

# Exigences relatives aux mots clés pour les identificateurs de données gérés
<a name="managed-data-identifiers-keywords"></a>

Pour détecter certains types de données sensibles à l'aide d'identifiants de données gérés, Amazon Macie a besoin qu'un mot clé se trouve à proximité des données. Si tel est le cas pour un type de données en particulier, les rubriques de référence de cette section indiquent les exigences relatives aux mots clés pour ces données.

Si un mot clé doit se trouver à proximité d'un type de données particulier, il doit généralement se trouver à moins de 30 caractères (inclus) des données. Les exigences de proximité supplémentaires varient en fonction du type de fichier ou du format de stockage d'un objet Amazon Simple Storage Service (Amazon S3).

**Données colonnaires structurées**  
Pour les données en colonnes, un mot-clé doit faire partie de la même valeur ou figurer dans le nom de la colonne ou du champ qui stocke une valeur. C'est le cas pour les classeurs Microsoft Excel, les fichiers CSV et les fichiers TSV.  
Par exemple, si la valeur d'un champ contient à la fois le *SSN* et un numéro à neuf chiffres utilisant la syntaxe d'un numéro de sécurité sociale américain (SSN), Macie peut détecter le SSN dans le champ. De même, si le nom d'une colonne contient un *SSN*, Macie peut détecter chaque SSN de la colonne. Macie considère les valeurs de cette colonne comme se trouvant à proximité du mot clé *SSN*.

**Données structurées basées sur des enregistrements**  
Pour les données basées sur des enregistrements, un mot-clé doit faire partie de la même valeur ou du nom d'un élément du chemin d'accès au champ ou au tableau qui stocke une valeur. C'est le cas pour les conteneurs d'objets Apache Avro, les fichiers Apache Parquet, les fichiers JSON et les fichiers JSON Lines.  
Par exemple, si la valeur d'un champ contient à la fois des *informations d'identification* et une séquence de caractères utilisant la syntaxe d'une clé d'accès AWS secrète, Macie peut détecter la clé dans le champ. De même, si le chemin d'accès à un champ est`$.credentials.aws.key`, Macie peut détecter une clé d'accès AWS secrète dans le champ. Macie considère que la valeur du champ se trouve à proximité des informations d'*identification* du mot clé.

**Données non structurées**  
Pour les données non structurées, un mot clé doit généralement se trouver à moins de 30 caractères (inclus) des données. Il n'y a aucune exigence de proximité supplémentaire. C'est le cas pour les fichiers Adobe Portable Document Format, les documents Microsoft Word, les messages électroniques et les fichiers texte non binaires autres que les fichiers CSV, JSON, JSON Lines et TSV. Cela inclut toutes les données structurées, telles que les tables ou le XML, contenues dans ces types de fichiers.

Les mots clés ne sont pas sensibles à la casse. De plus, si un mot clé contient un espace, Macie fait automatiquement correspondre les variantes de mots clés qui ne contiennent pas cet espace ou qui contiennent un trait de soulignement (\$1) ou un trait d'union (-) à la place de l'espace. Dans certains cas, Macie développe ou abrège également un mot clé pour tenir compte des variations courantes du mot clé.

Pour découvrir comment les mots clés fournissent du contexte et aident Macie à détecter des types spécifiques de données sensibles, regardez la vidéo suivante :




# Référence rapide : Identifiants de données gérées par type
<a name="mdis-reference-quick"></a>

Dans Amazon Macie, un *identifiant de données géré* est un ensemble de critères et de techniques intégrés conçus pour détecter un type spécifique de données sensibles, par exemple les numéros de carte de crédit, les clés d'accès AWS secrètes ou les numéros de passeport d'un pays ou d'une région en particulier. Ces identifiants peuvent détecter une liste longue et croissante de types de données sensibles pour de nombreux pays et régions, notamment plusieurs types de données d'identification, d'informations financières, d'informations médicales personnelles (PHI) et d'informations personnelles identifiables (PII).

Le tableau suivant répertorie tous les identifiants de données gérés actuellement fournis par Macie, organisés par type de données sensibles. Pour chaque type, il fournit les informations suivantes :
+ **Catégorie de données sensibles** — Spécifie la catégorie générale de données sensibles qui inclut le type : informations d'*identification*, pour les données d'identification telles que les clés privées ; *informations financières*, pour les données financières telles que les numéros de carte de crédit et les numéros de compte bancaire ; informations *personnelles* *: informations personnelles : informations personnelles* telles que les numéros d'identification du permis de conduire et numéros de passeport.
+ **ID d'identifiant de données gérées** — Spécifie l'identifiant unique (ID) pour un ou plusieurs identifiants de données gérées conçus pour détecter les données. Lorsque vous créez une tâche de découverte de données sensibles ou que vous configurez des paramètres pour la découverte automatique de données sensibles, vous pouvez les utiliser IDs pour spécifier les identifiants de données gérées que vous souhaitez que Macie utilise lors de l'analyse des données. Pour obtenir la liste des identifiants de données gérés que nous recommandons pour les tâches, consultez[Identifiants de données gérés recommandés pour les tâches de découverte de données sensibles](discovery-jobs-mdis-recommended.md). Pour obtenir la liste des identificateurs de données gérés que nous recommandons pour la découverte automatique de données sensibles, consultez[Paramètres par défaut pour la découverte automatique des données sensibles](discovery-asdd-settings-defaults.md).
+ **Mot-clé obligatoire** — Spécifie si la détection nécessite qu'un mot clé se trouve à proximité des données. Pour plus d'informations sur la façon dont Macie utilise les mots clés lorsqu'il analyse les données, consultez[Exigences relatives aux mots-clés](managed-data-identifiers-keywords.md).
+ **Pays et régions** — Spécifie les pays et les régions pour lesquels les identifiants de données gérées applicables sont conçus. Si les identifiants de données gérés ne sont pas conçus pour des pays *ou* des régions spécifiques, cette valeur est Any.

Pour consulter des informations supplémentaires sur les identifiants de données gérés pour un type particulier de données sensibles, choisissez le type.


| Type de données sensibles | Catégorie de données sensibles | ID d’identifiant de données géré | Mot-clé requis | Pays et régions | 
| --- | --- | --- | --- | --- | 
| [AWS clé d'accès secrète](mdis-reference-credentials.md#mdis-reference-AWS-CREDENTIALS) | Informations d’identification | AWS\$1CREDENTIALS | Oui | N’importe quel compte | 
| [Numéro de compte bancaire](mdis-reference-financial.md#mdis-reference-BAN) | Informations financières |  BANK\$1ACCOUNT\$1NUMBER (pour le Canada et les États-Unis)  | Oui | Canada, États-Unis | 
| [Numéro de compte bancaire de base (BBAN)](mdis-reference-financial.md#mdis-reference-BBAN) | Informations financières |  En fonction du pays ou de la région : FRANCE\$1BANK\$1ACCOUNT\$1NUMBER, GERMANY\$1BANK\$1ACCOUNT\$1NUMBER, ITALY\$1BANK\$1ACCOUNT\$1NUMBER, SPAIN\$1BANK\$1ACCOUNT\$1NUMBER, UK\$1BANK\$1ACCOUNT\$1NUMBER  | Oui | France, Allemagne, Italie, Espagne, Royaume-Uni | 
| [Date de naissance](mdis-reference-pii.md#mdis-reference-DATE_OF_BIRTH) | Informations personnelles : PII | DATE\$1OF\$1BIRTH | Oui | N’importe quel compte | 
| [Date d’expiration de la carte de crédit](mdis-reference-financial.md#mdis-reference-CC-expiration) | Informations financières | CREDIT\$1CARD\$1EXPIRATION | Oui | N’importe quel compte | 
| [Données relatives à la bande magnétique des cartes de crédit](mdis-reference-financial.md#mdis-reference-CC-stripe) | Informations financières | CREDIT\$1CARD\$1MAGNETIC\$1STRIPE | Oui | N’importe quel compte | 
| [Numéro de carte de crédit](mdis-reference-financial.md#mdis-reference-CC-number) | Informations financières | CREDIT\$1CARD\$1NUMBER (pour les numéros de carte de crédit situés à proximité d'un mot clé), CREDIT\$1CARD\$1NUMBER\$1(NO\$1KEYWORD) (pour les numéros de carte de crédit ne se trouvant pas à proximité d'un mot clé) | Varie | N’importe quel compte | 
| [Code de vérification de carte de crédit](mdis-reference-financial.md#mdis-reference-CC-verification-code) | Informations financières | CREDIT\$1CARD\$1SECURITY\$1CODE | Oui | N’importe quel compte | 
| [Numéro d'identification du permis de conduire](mdis-reference-pii.md#mdis-reference-DL-num) | Informations personnelles : PII |  En fonction du pays ou de la région : AUSTRALIA\$1DRIVERS\$1LICENSE, AUSTRIA\$1DRIVERS\$1LICENSE, BELGIUM\$1DRIVERS\$1LICENSE, BULGARIA\$1DRIVERS\$1LICENSE, CANADA\$1DRIVERS\$1LICENSE, CROATIA\$1DRIVERS\$1LICENSE, CYPRUS\$1DRIVERS\$1LICENSE, CZECHIA\$1DRIVERS\$1LICENSE, DENMARK\$1DRIVERS\$1LICENSE, DRIVERS\$1LICENSE (for the US), ESTONIA\$1DRIVERS\$1LICENSE, FINLAND\$1DRIVERS\$1LICENSE, FRANCE\$1DRIVERS\$1LICENSE, GERMANY\$1DRIVERS\$1LICENSE, GREECE\$1DRIVERS\$1LICENSE, HUNGARY\$1DRIVERS\$1LICENSE, INDIA\$1DRIVERS\$1LICENSE, IRELAND\$1DRIVERS\$1LICENSE, ITALY\$1DRIVERS\$1LICENSE, LATVIA\$1DRIVERS\$1LICENSE, LITHUANIA\$1DRIVERS\$1LICENSE, LUXEMBOURG\$1DRIVERS\$1LICENSE, MALTA\$1DRIVERS\$1LICENSE, NETHERLANDS\$1DRIVERS\$1LICENSE, POLAND\$1DRIVERS\$1LICENSE, PORTUGAL\$1DRIVERS\$1LICENSE, ROMANIA\$1DRIVERS\$1LICENSE, SLOVAKIA\$1DRIVERS\$1LICENSE, SLOVENIA\$1DRIVERS\$1LICENSE, SPAIN\$1DRIVERS\$1LICENSE, SWEDEN\$1DRIVERS\$1LICENSE, UK\$1DRIVERS\$1LICENSE  | Oui | Australie, Autriche, Belgique, Bulgarie, Canada, Croatie, Chypre, République Tchèque, Danemark, Estonie, Finlande, France, Allemagne, Grèce, Hongrie, Inde, Irlande, Italie, Lettonie, Lituanie, Luxembourg, Malte, Pays-Bas, Pologne Portugal, Roumanie, Slovaquie, Slovénie, Espagne, Suède, Royaume-Uni, États-Unis | 
| [Numéro d'enregistrement de la Drug Enforcement Agency (DEA)](mdis-reference-phi.md#mdis-reference-DEA-registration-num) | Informations personnelles : PHI | US\$1DRUG\$1ENFORCEMENT\$1AGENCY\$1NUMBER | Oui | ETATS-UNIS | 
| [Numéro de liste électorale](mdis-reference-pii.md#mdis-reference-electoral-roll-num) | Informations personnelles : PII | UK\$1ELECTORAL\$1ROLL\$1NUMBER | Oui | Royaume-Uni | 
| [Nom complet](mdis-reference-pii.md#mdis-reference-full-name) | Informations personnelles : PII | NAME | Non | N'importe lequel, si le nom utilise un jeu de caractères latins | 
| [Coordonnées du système de positionnement global (GPS)](mdis-reference-pii.md#mdis-reference-GPS) | Informations personnelles : PII | LATITUDE\$1LONGITUDE | Oui | N'importe lequel, si les coordonnées se trouvent à proximité d'un mot clé anglais | 
| [Clé d'API Google Cloud](mdis-reference-credentials.md#mdis-reference-GCP-API-key) | Informations d’identification | GCP\$1API\$1KEY | Oui | N’importe quel compte | 
| [Numéro de réclamation d'assurance maladie (HICN)](mdis-reference-phi.md#mdis-reference-HICN) | Informations personnelles : PHI | USA\$1HEALTH\$1INSURANCE\$1CLAIM\$1NUMBER | Oui | ETATS-UNIS | 
| [Numéro d'assurance maladie ou d'identification médicale](mdis-reference-phi.md#mdis-reference-HI-ID) | Informations personnelles : PHI |  En fonction du pays ou de la région : CANADA\$1HEALTH\$1NUMBER, EUROPEAN\$1HEALTH\$1INSURANCE\$1CARD\$1NUMBER, FINLAND\$1EUROPEAN\$1HEALTH\$1INSURANCE\$1NUMBER, FRANCE\$1HEALTH\$1INSURANCE\$1NUMBER, UK\$1NHS\$1NUMBER, USA\$1MEDICARE\$1BENEFICIARY\$1IDENTIFIER  | Oui | Canada, UE, Finlande, France, Royaume-Uni, États-Unis | 
| [Code du système de codage des procédures communes pour les soins de santé (HCPCS)](mdis-reference-phi.md#mdis-reference-HCPCS) | Informations personnelles : PHI | USA\$1HEALTHCARE\$1PROCEDURE\$1CODE | Oui | ETATS-UNIS | 
| [En-tête d'autorisation HTTP Basic](mdis-reference-credentials.md#mdis-reference-HTTP_BASIC_AUTH_HEADER) | Informations d’identification | HTTP\$1BASIC\$1AUTH\$1HEADER | Non | N’importe quel compte | 
| [Cookie HTTP](mdis-reference-pii.md#mdis-reference-HTTP_COOKIE) | Informations personnelles : PII | HTTP\$1COOKIE | Non | N’importe quel compte | 
| [Numéro de compte bancaire international (IBAN)](mdis-reference-financial.md#mdis-reference-IBAN) | Informations financières |  En fonction du pays ou de la région : ALBANIA\$1BANK\$1ACCOUNT\$1NUMBER, ANDORRA\$1BANK\$1ACCOUNT\$1NUMBER, BOSNIA\$1AND\$1HERZEGOVINA\$1BANK\$1ACCOUNT\$1NUMBER, BRAZIL\$1BANK\$1ACCOUNT\$1NUMBER, BULGARIA\$1BANK\$1ACCOUNT\$1NUMBER, COSTA\$1RICA\$1BANK\$1ACCOUNT\$1NUMBER, CROATIA\$1BANK\$1ACCOUNT\$1NUMBER, CYPRUS\$1BANK\$1ACCOUNT\$1NUMBER, CZECH\$1REPUBLIC\$1BANK\$1ACCOUNT\$1NUMBER, DENMARK\$1BANK\$1ACCOUNT\$1NUMBER, DOMINICAN\$1REPUBLIC\$1BANK\$1ACCOUNT\$1NUMBER, EGYPT\$1BANK\$1ACCOUNT\$1NUMBER, ESTONIA\$1BANK\$1ACCOUNT\$1NUMBER, FAROE\$1ISLANDS\$1BANK\$1ACCOUNT\$1NUMBER, FINLAND\$1BANK\$1ACCOUNT\$1NUMBER, FRANCE\$1BANK\$1ACCOUNT\$1NUMBER, GEORGIA\$1BANK\$1ACCOUNT\$1NUMBER, GERMANY\$1BANK\$1ACCOUNT\$1NUMBER, GREECE\$1BANK\$1ACCOUNT\$1NUMBER, GREENLAND\$1BANK\$1ACCOUNT\$1NUMBER, HUNGARY\$1BANK\$1ACCOUNT\$1NUMBER, ICELAND\$1BANK\$1ACCOUNT\$1NUMBER, IRELAND\$1BANK\$1ACCOUNT\$1NUMBER, ITALY\$1BANK\$1ACCOUNT\$1NUMBER, JORDAN\$1BANK\$1ACCOUNT\$1NUMBER, KOSOVO\$1BANK\$1ACCOUNT\$1NUMBER, LIECHTENSTEIN\$1BANK\$1ACCOUNT\$1NUMBER, LITHUANIA\$1BANK\$1ACCOUNT\$1NUMBER, MALTA\$1BANK\$1ACCOUNT\$1NUMBER, MAURITANIA\$1BANK\$1ACCOUNT\$1NUMBER, MAURITIUS\$1BANK\$1ACCOUNT\$1NUMBER, MONACO\$1BANK\$1ACCOUNT\$1NUMBER, MONTENEGRO\$1BANK\$1ACCOUNT\$1NUMBER, NETHERLANDS\$1BANK\$1ACCOUNT\$1NUMBER, NORTH\$1MACEDONIA\$1BANK\$1ACCOUNT\$1NUMBER, POLAND\$1BANK\$1ACCOUNT\$1NUMBER, PORTUGAL\$1BANK\$1ACCOUNT\$1NUMBER, SAN\$1MARINO\$1BANK\$1ACCOUNT\$1NUMBER, SENEGAL\$1BANK\$1ACCOUNT\$1NUMBER, SERBIA\$1BANK\$1ACCOUNT\$1NUMBER, SLOVAKIA\$1BANK\$1ACCOUNT\$1NUMBER, SLOVENIA\$1BANK\$1ACCOUNT\$1NUMBER, SPAIN\$1BANK\$1ACCOUNT\$1NUMBER, SWEDEN\$1BANK\$1ACCOUNT\$1NUMBER, SWITZERLAND\$1BANK\$1ACCOUNT\$1NUMBER, TIMOR\$1LESTE\$1BANK\$1ACCOUNT\$1NUMBER, TUNISIA\$1BANK\$1ACCOUNT\$1NUMBER, TURKIYE\$1BANK\$1ACCOUNT\$1NUMBER, UK\$1BANK\$1ACCOUNT\$1NUMBER, UKRAINE\$1BANK\$1ACCOUNT\$1NUMBER, UNITED\$1ARAB\$1EMIRATES\$1BANK\$1ACCOUNT\$1NUMBER, VIRGIN\$1ISLANDS\$1BANK\$1ACCOUNT\$1NUMBER (pour les Îles Vierges britanniques)  | Non | Albanie, Andorre, Bosnie-Herzégovine, Brésil, Bulgarie, Costa Rica, Chypre, Croatie, République Tchèque, Danemark, République dominicaine, Égypte, Estonie, Îles Féroé, Finlande, France, Géorgie, Allemagne, Grèce, Groenland, Hongrie, Islande, Irlande, Italie, Jordanie, Kosovo, Liechtenstein, Lituanie, Malte, Mauritanie, Île Maurice, Monaco, Monténégro, Pays-Bas, Macédoine du Nord, Pologne, Portugal, Saint-Marin, Sénégal, Serbie, Slovaquie, Slovénie, Espagne, Suède, Suisse, Timor-Les-Est Timor-Leste, Tunisie, Turquie, Royaume-Uni, Ukraine, Émirats Arabes Unis, Îles Vierges britanniques | 
| [Jeton Web JSON (JWT)](mdis-reference-credentials.md#mdis-reference-JSON_WEB_TOKEN) | Informations d’identification | JSON\$1WEB\$1TOKEN | Non | N’importe quel compte | 
| [Adresse postale](mdis-reference-pii.md#mdis-reference-mailing-address) | Informations personnelles : PII | ADDRESS, BRAZIL\$1CEP\$1CODE (pour le Código de Endereçamento Postal du Brésil) | Varie | Australie, Brésil, Canada, France, Allemagne, Italie, Espagne, Royaume-Uni, États-Unis | 
| [Code national des médicaments (NDC)](mdis-reference-phi.md#mdis-reference-NDC) | Informations personnelles : PHI | USA\$1NATIONAL\$1DRUG\$1CODE | Oui | ETATS-UNIS | 
| [Numéro d'identification nationale](mdis-reference-pii.md#mdis-reference-national-id) | Informations personnelles : PII |  En fonction du pays ou de la région : ARGENTINA\$1DNI\$1NUMBER, BRAZIL\$1RG\$1NUMBER, CHILE\$1RUT\$1NUMBER, COLOMBIA\$1CITIZENSHIP\$1CARD\$1NUMBER, FRANCE\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, GERMANY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, INDIA\$1AADHAAR\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, MEXICO\$1CURP\$1NUMBER, SPAIN\$1DNI\$1NUMBER  | Oui | Argentine, Brésil, Chili, Colombie, France, Allemagne, Inde, Italie, Mexique, Espagne | 
| [Numéro d'assurance nationale (NINO)](mdis-reference-pii.md#mdis-reference-NINO) | Informations personnelles : PII | UK\$1NATIONAL\$1INSURANCE\$1NUMBER | Oui | Royaume-Uni | 
| [Identifiant national du fournisseur (NPI)](mdis-reference-phi.md#mdis-reference-NPI) | Informations personnelles : PHI | USA\$1NATIONAL\$1PROVIDER\$1IDENTIFIER | Oui | ETATS-UNIS | 
| [Clé privée OpenSSH](mdis-reference-credentials.md#mdis-reference-OPENSSH_PRIVATE_KEY) | Informations d’identification | OPENSSH\$1PRIVATE\$1KEY | Non | N’importe quel compte | 
| [Numéro de passeport](mdis-reference-pii.md#mdis-reference-passport-num) | Informations personnelles : PII |  En fonction du pays ou de la région : CANADA\$1PASSPORT\$1NUMBER, FRANCE\$1PASSPORT\$1NUMBER, GERMANY\$1PASSPORT\$1NUMBER, ITALY\$1PASSPORT\$1NUMBER, SPAIN\$1PASSPORT\$1NUMBER, UK\$1PASSPORT\$1NUMBER, USA\$1PASSPORT\$1NUMBER  | Oui | Canada, France, Allemagne, Italie, Espagne, Royaume-Uni, États-Unis | 
| [Numéro de résidence permanente](mdis-reference-pii.md#mdis-reference-permanent-residence-num) | Informations personnelles : PII | CANADA\$1NATIONAL\$1IDENTIFICATION\$1NUMBER | Oui | Canada | 
| [Clé privée PGP](mdis-reference-credentials.md#mdis-reference-PGP_PRIVATE_KEY) | Informations d’identification | PGP\$1PRIVATE\$1KEY | Non | N’importe quel compte | 
| [Numéro de téléphone](mdis-reference-pii.md#mdis-reference-phone-num) | Informations personnelles : PII |  En fonction du pays ou de la région : BRAZIL\$1PHONE\$1NUMBER, FRANCE\$1PHONE\$1NUMBER, GERMANY\$1PHONE\$1NUMBER, ITALY\$1PHONE\$1NUMBER, PHONE\$1NUMBER (for Canada and the US), SPAIN\$1PHONE\$1NUMBER, UK\$1PHONE\$1NUMBER  | Varie | Brésil, Canada, France, Allemagne, Italie, Espagne, Royaume-Uni, États-Unis | 
| [Clé privée selon la norme de cryptographie à clé publique (PKCS)](mdis-reference-credentials.md#mdis-reference-PKCS) | Informations d’identification | PKCS | Non | N’importe quel compte | 
| [Numéro de carte de transport public](mdis-reference-pii.md#mdis-reference-public-transport-num) | Informations personnelles : PII | ARGENTINA\$1TARJETA\$1SUBE | Oui | Argentine | 
| [Clé privée PuTTY](mdis-reference-credentials.md#mdis-reference-PUTTY_PRIVATE_KEY) | Informations d’identification | PUTTY\$1PRIVATE\$1KEY | Non | N’importe quel compte | 
| [Numéro d'assurance sociale (SIN)](mdis-reference-pii.md#mdis-reference-social-insurance-num) | Informations personnelles : PII | CANADA\$1SOCIAL\$1INSURANCE\$1NUMBER | Oui | Canada | 
| [Numéro de sécurité sociale (SSN)](mdis-reference-pii.md#mdis-reference-social-security-num) | Informations personnelles : PII |  En fonction du pays ou de la région : SPAIN\$1SOCIAL\$1SECURITY\$1NUMBER, USA\$1SOCIAL\$1SECURITY\$1NUMBER  | Oui | Espagne, États-Unis | 
| [Clé d'API Stripe](mdis-reference-credentials.md#mdis-reference-Stripe_API_key) | Informations d’identification | STRIPE\$1CREDENTIALS | Non | N’importe quel compte | 
| [Numéro d'identification ou de référence du contribuable](mdis-reference-pii.md#mdis-reference-taxpayer-num) | Informations personnelles : PII |  En fonction du pays ou de la région : ARGENTINA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER, ARGENTINA\$1ORGANIZATION\$1TAX\$1IDENTIFICATION\$1NUMBER, AUSTRALIA\$1TAX\$1FILE\$1NUMBER, BRAZIL\$1CNPJ\$1NUMBER, BRAZIL\$1CPF\$1NUMBER, CHILE\$1RUT\$1NUMBER, COLOMBIA\$1INDIVIDUAL\$1NIT\$1NUMBER, COLOMBIA\$1ORGANIZATION\$1NIT\$1NUMBER, FRANCE\$1TAX\$1IDENTIFICATION\$1NUMBER, GERMANY\$1TAX\$1IDENTIFICATION\$1NUMBER, INDIA\$1PERMANENT\$1ACCOUNT\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, MEXICO\$1INDIVIDUAL\$1RFC\$1NUMBER, MEXICO\$1ORGANIZATION\$1RFC\$1NUMBER, SPAIN\$1NIE\$1NUMBER, SPAIN\$1NIF\$1NUMBER, SPAIN\$1TAX\$1IDENTIFICATION\$1NUMBER, UK\$1TAX\$1IDENTIFICATION\$1NUMBER, USA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER  | Oui | Argentine, Australie, Brésil, Chili, Colombie, France, Allemagne, Inde, Italie, Mexique, Espagne, Royaume-Uni, États-Unis | 
| [Identifiant unique de l'appareil (UDI)](mdis-reference-phi.md#mdis-reference-UDI) | Informations personnelles : PHI | MEDICAL\$1DEVICE\$1UDI | Oui | ETATS-UNIS | 
| [Numéro d'identification du véhicule (VIN)](mdis-reference-pii.md#mdis-reference-vin) | Informations personnelles : PII | VEHICLE\$1IDENTIFICATION\$1NUMBER | Oui | N'importe lequel, si le VIN se trouve à proximité d'un mot clé dans l'une des langues suivantes : anglais, français, allemand, lituanien, polonais, portugais, roumain ou espagnol | 

# Référence détaillée : Identifiants de données gérées par catégorie
<a name="mdis-reference"></a>

Dans Amazon Macie, les *identifiants de données gérés sont des* critères et des techniques intégrés conçus pour détecter des types spécifiques de données sensibles. Ils peuvent détecter une liste longue et croissante de types de données sensibles pour de nombreux pays et régions, notamment plusieurs types de données d'identification, d'informations financières et d'informations personnelles. Chaque identifiant de données géré est conçu pour détecter un type spécifique de données sensibles, par exemple des clés d'accès AWS secrètes, des numéros de carte de crédit ou des numéros de passeport pour un pays ou une région en particulier. 

Macie peut détecter plusieurs catégories de données sensibles à l'aide d'identifiants de données gérés. Dans chaque catégorie, Macie peut détecter plusieurs types de données sensibles. Les rubriques de cette section répertorient et décrivent chaque type ainsi que les exigences pertinentes pour détecter les données. Vous pouvez parcourir les sujets par catégorie :
+ [Informations d'identification](mdis-reference-credentials.md) — Pour les données d'identification telles que les clés privées et les clés d'accès AWS secrètes.
+ [Informations financières](mdis-reference-financial.md) — Pour les données financières telles que les numéros de carte de crédit et les numéros de compte bancaire.
+ [Informations personnelles : PHI](mdis-reference-phi.md) — Pour les informations médicales personnelles (PHI) telles que les numéros d'assurance maladie et d'identification médicale.
+ [Informations personnelles : PII](mdis-reference-pii.md) — Pour les informations personnelles identifiables (PII) telles que les numéros d'identification du permis de conduire et les numéros de passeport.

Vous pouvez également sélectionner un type spécifique de données sensibles dans le tableau suivant. Le tableau répertorie tous les identifiants de données gérés actuellement fournis par Macie, organisés par type de données sensibles. Le tableau résume également les exigences pertinentes pour détecter chaque type.


| Type de données sensibles | Catégorie de données sensibles | ID d’identifiant de données géré | Mot-clé requis | Pays et régions | 
| --- | --- | --- | --- | --- | 
| [AWS clé d'accès secrète](mdis-reference-credentials.md#mdis-reference-AWS-CREDENTIALS) | Informations d’identification | AWS\$1CREDENTIALS | Oui | N’importe quel compte | 
| [Numéro de compte bancaire](mdis-reference-financial.md#mdis-reference-BAN) | Informations financières |  BANK\$1ACCOUNT\$1NUMBER (pour le Canada et les États-Unis)  | Oui | Canada, États-Unis | 
| [Numéro de compte bancaire de base (BBAN)](mdis-reference-financial.md#mdis-reference-BBAN) | Informations financières |  En fonction du pays ou de la région : FRANCE\$1BANK\$1ACCOUNT\$1NUMBER, GERMANY\$1BANK\$1ACCOUNT\$1NUMBER, ITALY\$1BANK\$1ACCOUNT\$1NUMBER, SPAIN\$1BANK\$1ACCOUNT\$1NUMBER, UK\$1BANK\$1ACCOUNT\$1NUMBER  | Oui | France, Allemagne, Italie, Espagne, Royaume-Uni | 
| [Date de naissance](mdis-reference-pii.md#mdis-reference-DATE_OF_BIRTH) | Informations personnelles : PII | DATE\$1OF\$1BIRTH | Oui | N’importe quel compte | 
| [Date d’expiration de la carte de crédit](mdis-reference-financial.md#mdis-reference-CC-expiration) | Informations financières | CREDIT\$1CARD\$1EXPIRATION | Oui | N’importe quel compte | 
| [Données relatives à la bande magnétique des cartes de crédit](mdis-reference-financial.md#mdis-reference-CC-stripe) | Informations financières | CREDIT\$1CARD\$1MAGNETIC\$1STRIPE | Oui | N’importe quel compte | 
| [Numéro de carte de crédit](mdis-reference-financial.md#mdis-reference-CC-number) | Informations financières | CREDIT\$1CARD\$1NUMBER (pour les numéros de carte de crédit situés à proximité d'un mot clé), CREDIT\$1CARD\$1NUMBER\$1(NO\$1KEYWORD) (pour les numéros de carte de crédit ne se trouvant pas à proximité d'un mot clé) | Varie | N’importe quel compte | 
| [Code de vérification de carte de crédit](mdis-reference-financial.md#mdis-reference-CC-verification-code) | Informations financières | CREDIT\$1CARD\$1SECURITY\$1CODE | Oui | N’importe quel compte | 
| [Numéro d'identification du permis de conduire](mdis-reference-pii.md#mdis-reference-DL-num) | Informations personnelles : PII |  En fonction du pays ou de la région : AUSTRALIA\$1DRIVERS\$1LICENSE, AUSTRIA\$1DRIVERS\$1LICENSE, BELGIUM\$1DRIVERS\$1LICENSE, BULGARIA\$1DRIVERS\$1LICENSE, CANADA\$1DRIVERS\$1LICENSE, CROATIA\$1DRIVERS\$1LICENSE, CYPRUS\$1DRIVERS\$1LICENSE, CZECHIA\$1DRIVERS\$1LICENSE, DENMARK\$1DRIVERS\$1LICENSE, DRIVERS\$1LICENSE (for the US), ESTONIA\$1DRIVERS\$1LICENSE, FINLAND\$1DRIVERS\$1LICENSE, FRANCE\$1DRIVERS\$1LICENSE, GERMANY\$1DRIVERS\$1LICENSE, GREECE\$1DRIVERS\$1LICENSE, HUNGARY\$1DRIVERS\$1LICENSE, INDIA\$1DRIVERS\$1LICENSE, IRELAND\$1DRIVERS\$1LICENSE, ITALY\$1DRIVERS\$1LICENSE, LATVIA\$1DRIVERS\$1LICENSE, LITHUANIA\$1DRIVERS\$1LICENSE, LUXEMBOURG\$1DRIVERS\$1LICENSE, MALTA\$1DRIVERS\$1LICENSE, NETHERLANDS\$1DRIVERS\$1LICENSE, POLAND\$1DRIVERS\$1LICENSE, PORTUGAL\$1DRIVERS\$1LICENSE, ROMANIA\$1DRIVERS\$1LICENSE, SLOVAKIA\$1DRIVERS\$1LICENSE, SLOVENIA\$1DRIVERS\$1LICENSE, SPAIN\$1DRIVERS\$1LICENSE, SWEDEN\$1DRIVERS\$1LICENSE, UK\$1DRIVERS\$1LICENSE  | Oui | Australie, Autriche, Belgique, Bulgarie, Canada, Croatie, Chypre, République Tchèque, Danemark, Estonie, Finlande, France, Allemagne, Grèce, Hongrie, Inde, Irlande, Italie, Lettonie, Lituanie, Luxembourg, Malte, Pays-Bas, Pologne Portugal, Roumanie, Slovaquie, Slovénie, Espagne, Suède, Royaume-Uni, États-Unis | 
| [Numéro d'enregistrement de la Drug Enforcement Agency (DEA)](mdis-reference-phi.md#mdis-reference-DEA-registration-num) | Informations personnelles : PHI | US\$1DRUG\$1ENFORCEMENT\$1AGENCY\$1NUMBER | Oui | ETATS-UNIS | 
| [Numéro de liste électorale](mdis-reference-pii.md#mdis-reference-electoral-roll-num) | Informations personnelles : PII | UK\$1ELECTORAL\$1ROLL\$1NUMBER | Oui | Royaume-Uni | 
| [Nom complet](mdis-reference-pii.md#mdis-reference-full-name) | Informations personnelles : PII | NAME | Non | N'importe lequel, si le nom utilise un jeu de caractères latins | 
| [Coordonnées du système de positionnement global (GPS)](mdis-reference-pii.md#mdis-reference-GPS) | Informations personnelles : PII | LATITUDE\$1LONGITUDE | Oui | N'importe lequel, si les coordonnées se trouvent à proximité d'un mot clé anglais | 
| [Clé d'API Google Cloud](mdis-reference-credentials.md#mdis-reference-GCP-API-key) | Informations d’identification | GCP\$1API\$1KEY | Oui | N’importe quel compte | 
| [Numéro de réclamation d'assurance maladie (HICN)](mdis-reference-phi.md#mdis-reference-HICN) | Informations personnelles : PHI | USA\$1HEALTH\$1INSURANCE\$1CLAIM\$1NUMBER | Oui | ETATS-UNIS | 
| [Numéro d'assurance maladie ou d'identification médicale](mdis-reference-phi.md#mdis-reference-HI-ID) | Informations personnelles : PHI |  En fonction du pays ou de la région : CANADA\$1HEALTH\$1NUMBER, EUROPEAN\$1HEALTH\$1INSURANCE\$1CARD\$1NUMBER, FINLAND\$1EUROPEAN\$1HEALTH\$1INSURANCE\$1NUMBER, FRANCE\$1HEALTH\$1INSURANCE\$1NUMBER, UK\$1NHS\$1NUMBER, USA\$1MEDICARE\$1BENEFICIARY\$1IDENTIFIER  | Oui | Canada, UE, Finlande, France, Royaume-Uni, États-Unis | 
| [Code du système de codage des procédures communes pour les soins de santé (HCPCS)](mdis-reference-phi.md#mdis-reference-HCPCS) | Informations personnelles : PHI | USA\$1HEALTHCARE\$1PROCEDURE\$1CODE | Oui | ETATS-UNIS | 
| [En-tête d'autorisation HTTP Basic](mdis-reference-credentials.md#mdis-reference-HTTP_BASIC_AUTH_HEADER) | Informations d’identification | HTTP\$1BASIC\$1AUTH\$1HEADER | Non | N’importe quel compte | 
| [Cookie HTTP](mdis-reference-pii.md#mdis-reference-HTTP_COOKIE) | Informations personnelles : PII | HTTP\$1COOKIE | Non | N’importe quel compte | 
| [Numéro de compte bancaire international (IBAN)](mdis-reference-financial.md#mdis-reference-IBAN) | Informations financières |  En fonction du pays ou de la région : ALBANIA\$1BANK\$1ACCOUNT\$1NUMBER, ANDORRA\$1BANK\$1ACCOUNT\$1NUMBER, BOSNIA\$1AND\$1HERZEGOVINA\$1BANK\$1ACCOUNT\$1NUMBER, BRAZIL\$1BANK\$1ACCOUNT\$1NUMBER, BULGARIA\$1BANK\$1ACCOUNT\$1NUMBER, COSTA\$1RICA\$1BANK\$1ACCOUNT\$1NUMBER, CROATIA\$1BANK\$1ACCOUNT\$1NUMBER, CYPRUS\$1BANK\$1ACCOUNT\$1NUMBER, CZECH\$1REPUBLIC\$1BANK\$1ACCOUNT\$1NUMBER, DENMARK\$1BANK\$1ACCOUNT\$1NUMBER, DOMINICAN\$1REPUBLIC\$1BANK\$1ACCOUNT\$1NUMBER, EGYPT\$1BANK\$1ACCOUNT\$1NUMBER, ESTONIA\$1BANK\$1ACCOUNT\$1NUMBER, FAROE\$1ISLANDS\$1BANK\$1ACCOUNT\$1NUMBER, FINLAND\$1BANK\$1ACCOUNT\$1NUMBER, FRANCE\$1BANK\$1ACCOUNT\$1NUMBER, GEORGIA\$1BANK\$1ACCOUNT\$1NUMBER, GERMANY\$1BANK\$1ACCOUNT\$1NUMBER, GREECE\$1BANK\$1ACCOUNT\$1NUMBER, GREENLAND\$1BANK\$1ACCOUNT\$1NUMBER, HUNGARY\$1BANK\$1ACCOUNT\$1NUMBER, ICELAND\$1BANK\$1ACCOUNT\$1NUMBER, IRELAND\$1BANK\$1ACCOUNT\$1NUMBER, ITALY\$1BANK\$1ACCOUNT\$1NUMBER, JORDAN\$1BANK\$1ACCOUNT\$1NUMBER, KOSOVO\$1BANK\$1ACCOUNT\$1NUMBER, LIECHTENSTEIN\$1BANK\$1ACCOUNT\$1NUMBER, LITHUANIA\$1BANK\$1ACCOUNT\$1NUMBER, MALTA\$1BANK\$1ACCOUNT\$1NUMBER, MAURITANIA\$1BANK\$1ACCOUNT\$1NUMBER, MAURITIUS\$1BANK\$1ACCOUNT\$1NUMBER, MONACO\$1BANK\$1ACCOUNT\$1NUMBER, MONTENEGRO\$1BANK\$1ACCOUNT\$1NUMBER, NETHERLANDS\$1BANK\$1ACCOUNT\$1NUMBER, NORTH\$1MACEDONIA\$1BANK\$1ACCOUNT\$1NUMBER, POLAND\$1BANK\$1ACCOUNT\$1NUMBER, PORTUGAL\$1BANK\$1ACCOUNT\$1NUMBER, SAN\$1MARINO\$1BANK\$1ACCOUNT\$1NUMBER, SENEGAL\$1BANK\$1ACCOUNT\$1NUMBER, SERBIA\$1BANK\$1ACCOUNT\$1NUMBER, SLOVAKIA\$1BANK\$1ACCOUNT\$1NUMBER, SLOVENIA\$1BANK\$1ACCOUNT\$1NUMBER, SPAIN\$1BANK\$1ACCOUNT\$1NUMBER, SWEDEN\$1BANK\$1ACCOUNT\$1NUMBER, SWITZERLAND\$1BANK\$1ACCOUNT\$1NUMBER, TIMOR\$1LESTE\$1BANK\$1ACCOUNT\$1NUMBER, TUNISIA\$1BANK\$1ACCOUNT\$1NUMBER, TURKIYE\$1BANK\$1ACCOUNT\$1NUMBER, UK\$1BANK\$1ACCOUNT\$1NUMBER, UKRAINE\$1BANK\$1ACCOUNT\$1NUMBER, UNITED\$1ARAB\$1EMIRATES\$1BANK\$1ACCOUNT\$1NUMBER, VIRGIN\$1ISLANDS\$1BANK\$1ACCOUNT\$1NUMBER (pour les Îles Vierges britanniques)  | Non | Albanie, Andorre, Bosnie-Herzégovine, Brésil, Bulgarie, Costa Rica, Chypre, Croatie, République Tchèque, Danemark, République dominicaine, Égypte, Estonie, Îles Féroé, Finlande, France, Géorgie, Allemagne, Grèce, Groenland, Hongrie, Islande, Irlande, Italie, Jordanie, Kosovo, Liechtenstein, Lituanie, Malte, Mauritanie, Île Maurice, Monaco, Monténégro, Pays-Bas, Macédoine du Nord, Pologne, Portugal, Saint-Marin, Sénégal, Serbie, Slovaquie, Slovénie, Espagne, Suède, Suisse, Timor-Les-Est Timor-Leste, Tunisie, Turquie, Royaume-Uni, Ukraine, Émirats Arabes Unis, Îles Vierges britanniques | 
| [Jeton Web JSON (JWT)](mdis-reference-credentials.md#mdis-reference-JSON_WEB_TOKEN) | Informations d’identification | JSON\$1WEB\$1TOKEN | Non | N’importe quel compte | 
| [Adresse postale](mdis-reference-pii.md#mdis-reference-mailing-address) | Informations personnelles : PII | ADDRESS, BRAZIL\$1CEP\$1CODE (pour le Código de Endereçamento Postal du Brésil) | Varie | Australie, Brésil, Canada, France, Allemagne, Italie, Espagne, Royaume-Uni, États-Unis | 
| [Code national des médicaments (NDC)](mdis-reference-phi.md#mdis-reference-NDC) | Informations personnelles : PHI | USA\$1NATIONAL\$1DRUG\$1CODE | Oui | ETATS-UNIS | 
| [Numéro d'identification nationale](mdis-reference-pii.md#mdis-reference-national-id) | Informations personnelles : PII |  En fonction du pays ou de la région : ARGENTINA\$1DNI\$1NUMBER, BRAZIL\$1RG\$1NUMBER, CHILE\$1RUT\$1NUMBER, COLOMBIA\$1CITIZENSHIP\$1CARD\$1NUMBER, FRANCE\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, GERMANY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, INDIA\$1AADHAAR\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, MEXICO\$1CURP\$1NUMBER, SPAIN\$1DNI\$1NUMBER  | Oui | Argentine, Brésil, Chili, Colombie, France, Allemagne, Inde, Italie, Mexique, Espagne | 
| [Numéro d'assurance nationale (NINO)](mdis-reference-pii.md#mdis-reference-NINO) | Informations personnelles : PII | UK\$1NATIONAL\$1INSURANCE\$1NUMBER | Oui | Royaume-Uni | 
| [Identifiant national du fournisseur (NPI)](mdis-reference-phi.md#mdis-reference-NPI) | Informations personnelles : PHI | USA\$1NATIONAL\$1PROVIDER\$1IDENTIFIER | Oui | ETATS-UNIS | 
| [Clé privée OpenSSH](mdis-reference-credentials.md#mdis-reference-OPENSSH_PRIVATE_KEY) | Informations d’identification | OPENSSH\$1PRIVATE\$1KEY | Non | N’importe quel compte | 
| [Numéro de passeport](mdis-reference-pii.md#mdis-reference-passport-num) | Informations personnelles : PII |  En fonction du pays ou de la région : CANADA\$1PASSPORT\$1NUMBER, FRANCE\$1PASSPORT\$1NUMBER, GERMANY\$1PASSPORT\$1NUMBER, ITALY\$1PASSPORT\$1NUMBER, SPAIN\$1PASSPORT\$1NUMBER, UK\$1PASSPORT\$1NUMBER, USA\$1PASSPORT\$1NUMBER  | Oui | Canada, France, Allemagne, Italie, Espagne, Royaume-Uni, États-Unis | 
| [Numéro de résidence permanente](mdis-reference-pii.md#mdis-reference-permanent-residence-num) | Informations personnelles : PII | CANADA\$1NATIONAL\$1IDENTIFICATION\$1NUMBER | Oui | Canada | 
| [Clé privée PGP](mdis-reference-credentials.md#mdis-reference-PGP_PRIVATE_KEY) | Informations d’identification | PGP\$1PRIVATE\$1KEY | Non | N’importe quel compte | 
| [Numéro de téléphone](mdis-reference-pii.md#mdis-reference-phone-num) | Informations personnelles : PII |  En fonction du pays ou de la région : BRAZIL\$1PHONE\$1NUMBER, FRANCE\$1PHONE\$1NUMBER, GERMANY\$1PHONE\$1NUMBER, ITALY\$1PHONE\$1NUMBER, PHONE\$1NUMBER (for Canada and the US), SPAIN\$1PHONE\$1NUMBER, UK\$1PHONE\$1NUMBER  | Varie | Brésil, Canada, France, Allemagne, Italie, Espagne, Royaume-Uni, États-Unis | 
| [Clé privée selon la norme de cryptographie à clé publique (PKCS)](mdis-reference-credentials.md#mdis-reference-PKCS) | Informations d’identification | PKCS | Non | N’importe quel compte | 
| [Numéro de carte de transport public](mdis-reference-pii.md#mdis-reference-public-transport-num) | Informations personnelles : PII | ARGENTINA\$1TARJETA\$1SUBE | Oui | Argentine | 
| [Clé privée PuTTY](mdis-reference-credentials.md#mdis-reference-PUTTY_PRIVATE_KEY) | Informations d’identification | PUTTY\$1PRIVATE\$1KEY | Non | N’importe quel compte | 
| [Numéro d'assurance sociale (SIN)](mdis-reference-pii.md#mdis-reference-social-insurance-num) | Informations personnelles : PII | CANADA\$1SOCIAL\$1INSURANCE\$1NUMBER | Oui | Canada | 
| [Numéro de sécurité sociale (SSN)](mdis-reference-pii.md#mdis-reference-social-security-num) | Informations personnelles : PII |  En fonction du pays ou de la région : SPAIN\$1SOCIAL\$1SECURITY\$1NUMBER, USA\$1SOCIAL\$1SECURITY\$1NUMBER  | Oui | Espagne, États-Unis | 
| [Clé d'API Stripe](mdis-reference-credentials.md#mdis-reference-Stripe_API_key) | Informations d’identification | STRIPE\$1CREDENTIALS | Non | N’importe quel compte | 
| [Numéro d'identification ou de référence du contribuable](mdis-reference-pii.md#mdis-reference-taxpayer-num) | Informations personnelles : PII |  En fonction du pays ou de la région : ARGENTINA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER, ARGENTINA\$1ORGANIZATION\$1TAX\$1IDENTIFICATION\$1NUMBER, AUSTRALIA\$1TAX\$1FILE\$1NUMBER, BRAZIL\$1CNPJ\$1NUMBER, BRAZIL\$1CPF\$1NUMBER, CHILE\$1RUT\$1NUMBER, COLOMBIA\$1INDIVIDUAL\$1NIT\$1NUMBER, COLOMBIA\$1ORGANIZATION\$1NIT\$1NUMBER, FRANCE\$1TAX\$1IDENTIFICATION\$1NUMBER, GERMANY\$1TAX\$1IDENTIFICATION\$1NUMBER, INDIA\$1PERMANENT\$1ACCOUNT\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, MEXICO\$1INDIVIDUAL\$1RFC\$1NUMBER, MEXICO\$1ORGANIZATION\$1RFC\$1NUMBER, SPAIN\$1NIE\$1NUMBER, SPAIN\$1NIF\$1NUMBER, SPAIN\$1TAX\$1IDENTIFICATION\$1NUMBER, UK\$1TAX\$1IDENTIFICATION\$1NUMBER, USA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER  | Oui | Argentine, Australie, Brésil, Chili, Colombie, France, Allemagne, Inde, Italie, Mexique, Espagne, Royaume-Uni, États-Unis | 
| [Identifiant unique de l'appareil (UDI)](mdis-reference-phi.md#mdis-reference-UDI) | Informations personnelles : PHI | MEDICAL\$1DEVICE\$1UDI | Oui | ETATS-UNIS | 
| [Numéro d'identification du véhicule (VIN)](mdis-reference-pii.md#mdis-reference-vin) | Informations personnelles : PII | VEHICLE\$1IDENTIFICATION\$1NUMBER | Oui | N'importe lequel, si le VIN se trouve à proximité d'un mot clé dans l'une des langues suivantes : anglais, français, allemand, lituanien, polonais, portugais, roumain ou espagnol | 

# Identifiants de données gérés pour les données d'identification
<a name="mdis-reference-credentials"></a>

Amazon Macie peut détecter plusieurs types de données d'identification sensibles à l'aide d'identifiants de données gérés. Les rubriques de cette page spécifient chaque type et fournissent des informations sur l'identifiant de données géré conçu pour détecter les données. Chaque rubrique fournit les informations suivantes :<a name="mdi-ref-fields-singular"></a>
+ **ID d'identifiant de données gérées** — Spécifie l'identifiant unique (ID) de l'identifiant de données gérées conçu pour détecter les données. Lorsque vous [créez une tâche de découverte de données sensibles](discovery-jobs-create.md) ou que vous [configurez des paramètres pour la découverte automatique de données sensibles](discovery-asdd-account-configure.md), vous pouvez utiliser cet ID pour indiquer si vous souhaitez que Macie utilise l'identifiant de données gérées lorsqu'il analyse les données.
+ **Pays et régions pris en charge** : indique pour quels pays ou régions l'identifiant de données gérées applicable est conçu. Si l'identifiant des données gérées n'est pas conçu pour un pays ou une région en particulier, cette valeur est *Any*.
+ **Mot-clé obligatoire** — Spécifie si la détection nécessite qu'un mot clé se trouve à proximité des données. Si un mot clé est requis, la rubrique fournit également des exemples de mots clés obligatoires. Pour plus d'informations sur la façon dont Macie utilise les mots clés lorsqu'il analyse les données, consultez[Exigences relatives aux mots-clés](managed-data-identifiers-keywords.md).
+ **Commentaires** — Fournit tous les détails pertinents susceptibles d'affecter votre choix d'identifiant de données gérées ou votre enquête sur les cas signalés de données sensibles. Les détails incluent des informations telles que les normes prises en charge, les exigences de syntaxe et les exceptions.

Les rubriques sont répertoriées par ordre alphabétique par type de données sensibles.

**Topics**
+ [AWS clé d'accès secrète](#mdis-reference-AWS-CREDENTIALS)
+ [Clé d'API Google Cloud](#mdis-reference-GCP-API-key)
+ [En-tête d'autorisation HTTP Basic](#mdis-reference-HTTP_BASIC_AUTH_HEADER)
+ [Jeton Web JSON (JWT)](#mdis-reference-JSON_WEB_TOKEN)
+ [Clé privée OpenSSH](#mdis-reference-OPENSSH_PRIVATE_KEY)
+ [Clé privée PGP](#mdis-reference-PGP_PRIVATE_KEY)
+ [Clé privée selon la norme de cryptographie à clé publique (PKCS)](#mdis-reference-PKCS)
+ [Clé privée PuTTY](#mdis-reference-PUTTY_PRIVATE_KEY)
+ [Clé d'API Stripe](#mdis-reference-Stripe_API_key)

## AWS clé d'accès secrète
<a name="mdis-reference-AWS-CREDENTIALS"></a>

**ID de l'identifiant des données gérées :** AWS\$1CREDENTIALS

**Pays et régions pris en charge :** Tous

**Mot-clé requis :** Oui. Les mots clés incluent : *aws\$1secret\$1access\$1key, credentials, secret access key, secret key, set-awscredential*

**Commentaires :** Macie ne signale pas les occurrences des séquences de caractères suivantes, qui sont couramment utilisées comme exemples fictifs : et. `je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY` `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`

## Clé d'API Google Cloud
<a name="mdis-reference-GCP-API-key"></a>

**ID de l'identifiant des données gérées :** GCP\$1API\$1KEY

**Pays et régions pris en charge :** Tous

**Mot-clé requis :** Oui. Les mots clés incluent : *G\$1PLACES\$1KEY, GCP api key, GCP key, google cloud key, google-api-key, google-cloud-apikeys, GOOGLEKEY, X-goog-api-key*

**Commentaires :** Macie ne peut détecter que le composant string (`keyString`) d'une clé d'API Google Cloud. Support n'inclut pas la détection de l'identifiant ou du nom d'affichage du composant d'une clé d'API Google Cloud.

## En-tête d'autorisation HTTP Basic
<a name="mdis-reference-HTTP_BASIC_AUTH_HEADER"></a>

**ID de l'identifiant des données gérées :** HTTP\$1BASIC\$1AUTH\$1HEADER

**Pays et régions pris en charge :** Tous

**Mot-clé requis :** Non

**Commentaires :** La détection nécessite un en-tête complet, y compris le nom du champ et la directive du schéma d'authentification, comme spécifié par la [RFC 7617](https://tools.ietf.org/html/rfc7617). Par exemple : `Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==` et `Proxy-Authorization: Basic dGVzdDoxMjPCow==`.

## Jeton Web JSON (JWT)
<a name="mdis-reference-JSON_WEB_TOKEN"></a>

**ID de l'identifiant des données gérées :** JSON\$1WEB\$1TOKEN

**Pays et régions pris en charge :** Tous

**Mot-clé requis :** Non

**Commentaires :** Macie peut détecter les jetons Web JSON (JWTs) conformes aux exigences spécifiées par la [RFC 7519](https://tools.ietf.org/html/rfc7519) pour les structures de signature Web JSON (JWS). Les jetons peuvent être signés ou non.

## Clé privée OpenSSH
<a name="mdis-reference-OPENSSH_PRIVATE_KEY"></a>

**ID de l'identifiant des données gérées :** OPENSSH\$1PRIVATE\$1KEY

**Pays et régions pris en charge :** Tous

**Mot-clé requis :** Non

**Commentaires :** Aucun

## Clé privée PGP
<a name="mdis-reference-PGP_PRIVATE_KEY"></a>

**ID de l'identifiant des données gérées :** PGP\$1PRIVATE\$1KEY

**Pays et régions pris en charge :** Tous

**Mot-clé requis :** Non

**Commentaires :** Aucun

## Clé privée selon la norme de cryptographie à clé publique (PKCS)
<a name="mdis-reference-PKCS"></a>

**ID de l'identifiant des données gérées :** PKCS

**Pays et régions pris en charge :** Tous

**Mot-clé requis :** Non

**Commentaires :** Aucun

## Clé privée PuTTY
<a name="mdis-reference-PUTTY_PRIVATE_KEY"></a>

**ID de l'identifiant des données gérées :** PUTTY\$1PRIVATE\$1KEY

**Pays et régions pris en charge :** Tous

**Mot-clé requis :** Non

**Commentaires :** Macie peut détecter les clés privées PuTTY qui utilisent les en-têtes et séquences d'en-têtes standard suivants `PuTTY-User-Key-File` :`Encryption`,,, `Comment``Public-Lines`, `Private-Lines` et. `Private-MAC` Les valeurs d'en-tête peuvent contenir des caractères alphanumériques, des tirets (`‐`) et des caractères de nouvelle ligne (ou). `\n` `\r` `Public-Lines`et `Private-Lines` les valeurs peuvent également contenir des barres obliques (`/`), des signes plus (`+`) et des signes égaux (`=`). `Private-MAC`les valeurs peuvent également contenir des signes plus (`+`). Support n'inclut pas la détection des clés privées dont les valeurs d'en-tête contiennent d'autres caractères, tels que des espaces ou des traits de soulignement (`_`). Support n'inclut pas non plus la détection des clés privées qui incluent des en-têtes personnalisés.

## Clé d'API Stripe
<a name="mdis-reference-Stripe_API_key"></a>

**ID de l'identifiant des données gérées :** STRIPE\$1CREDENTIALS

**Pays et régions pris en charge :** Tous

**Mot-clé requis :** Non

**Commentaires :** Macie ne signale pas les occurrences des séquences de caractères suivantes, qui sont couramment utilisées dans les exemples de code Stripe : `sk_test_4eC39HqLyjWDarjtT1zdp7dc` et`pk_test_TYooMQauvdEDq54NiTphI7jx`.

# Identifiants de données gérés pour les informations financières
<a name="mdis-reference-financial"></a>

Amazon Macie peut détecter plusieurs types d'informations financières sensibles à l'aide d'identifiants de données gérés. Les rubriques de cette page répertorient chaque type et fournissent des informations sur les identificateurs de données gérés conçus pour détecter les données. Chaque rubrique fournit les informations suivantes :<a name="mdi-ref-fields-plural"></a>
+ **ID d'identifiant de données gérées** — Spécifie l'identifiant unique (ID) pour un ou plusieurs identifiants de données gérées conçus pour détecter les données. Lorsque vous [créez une tâche de découverte de données sensibles](discovery-jobs-create.md) ou que vous [configurez des paramètres pour la découverte automatique de données sensibles](discovery-asdd-account-configure.md), vous pouvez les utiliser IDs pour spécifier les identifiants de données gérées que vous souhaitez que Macie utilise lors de l'analyse des données.
+ **Pays et régions pris en charge** : indique pour quels pays et régions les identifiants de données gérées applicables sont conçus. Si les identifiants de données gérés ne sont pas conçus pour des pays ou des régions spécifiques, cette valeur est *Any*.
+ **Mot-clé obligatoire** — Spécifie si la détection nécessite qu'un mot clé se trouve à proximité des données. Si un mot clé est requis, la rubrique fournit également des exemples de mots clés obligatoires. Pour plus d'informations sur la façon dont Macie utilise les mots clés lorsqu'il analyse les données, consultez[Exigences relatives aux mots-clés](managed-data-identifiers-keywords.md).
+ **Commentaires** — Fournit tous les détails pertinents susceptibles d'affecter votre choix d'identifiant de données gérées ou votre enquête sur les cas signalés de données sensibles. Les détails incluent des informations telles que les normes prises en charge, les exigences de syntaxe et les exceptions.

Les rubriques sont répertoriées par ordre alphabétique par type de données sensibles.

**Topics**
+ [Numéro de compte bancaire](#mdis-reference-BAN)
+ [Numéro de compte bancaire de base (BBAN)](#mdis-reference-BBAN)
+ [Date d’expiration de la carte de crédit](#mdis-reference-CC-expiration)
+ [Données relatives à la bande magnétique des cartes de crédit](#mdis-reference-CC-stripe)
+ [Numéro de carte de crédit](#mdis-reference-CC-number)
+ [Code de vérification de carte de crédit](#mdis-reference-CC-verification-code)
+ [Numéro de compte bancaire international (IBAN)](#mdis-reference-IBAN)

## Numéro de compte bancaire
<a name="mdis-reference-BAN"></a>

Macie peut détecter les numéros de comptes bancaires canadiens et américains composés de séquences de 9 à 17 chiffres et ne contenant aucun espace.

**ID de l'identifiant des données gérées :** BANK\$1ACCOUNT\$1NUMBER

**Pays et régions pris en charge :** Canada, États-Unis

**Mot-clé requis :** Oui Les mots clés incluent : *bank account, bank acct, checking account, checking acct, deposit account, deposit acct, savings account, savings acct, chequing account, chequing acct*

**Commentaires :** Cet identifiant de données gérées est explicitement conçu pour détecter les numéros de comptes bancaires au Canada et aux États-Unis. [Ces pays n'utilisent pas les formats de numéro de compte bancaire de base (BBAN) ou de numéro de compte bancaire international (IBAN) définis par la norme internationale ISO pour la numérotation des comptes bancaires, comme spécifié par la norme ISO 13616.](https://www.iso.org/standard/81090.html) Pour détecter les numéros de comptes bancaires d'autres pays et régions, utilisez les identifiants de données gérés conçus pour ces formats. Pour plus d’informations, consultez [Numéro de compte bancaire de base (BBAN)](#mdis-reference-BBAN) et [Numéro de compte bancaire international (IBAN)](#mdis-reference-IBAN).

## Numéro de compte bancaire de base (BBAN)
<a name="mdis-reference-BBAN"></a>

[Macie peut détecter les numéros de compte bancaire de base (BBANs) conformes à la structure BBAN définie par la norme internationale ISO pour la numérotation des comptes bancaires, telle que spécifiée par la norme ISO 13616.](https://www.iso.org/standard/81090.html) Cela inclut ceux BBANs qui ne contiennent pas d'espaces ou qui utilisent des séparateurs d'espaces ou de tirets, par exemple, et. `NWBK60161331926819` `NWBK 6016 1331 9268 19` `NWBK-6016-1331-9268-19`

ID d'**identifiant des données gérées :** selon le pays ou la région, FRANCE\$1BANK\$1ACCOUNT\$1NUMBER, GERMANY\$1BANK\$1ACCOUNT\$1NUMBER, ITALY\$1BANK\$1ACCOUNT\$1NUMBER, SPAIN\$1BANK\$1ACCOUNT\$1NUMBER, UK\$1BANK\$1ACCOUNT\$1NUMBER

**Pays et régions pris en charge :** France, Allemagne, Italie, Espagne, Royaume-Uni

**Mot-clé requis :** Oui Le tableau suivant répertorie les mots clés que Macie reconnaît pour des pays et des régions spécifiques.


| Pays ou région | Mots clés | 
| --- | --- | 
| France | account code, account number, accountno\$1, accountnumber\$1, bban, code bancaire, compte bancaire, customer account id, customer account number, customer bank account id, iban, numéro de compte | 
| Allemagne | account code, account number, accountno\$1, accountnumber\$1, bankleitzahl, bban, customer account id, customer account number, customer bank account id, geheimzahl, iban, kartennummer, kontonummer, kreditkartennummer, sepa | 
| Italie | account code, account number, accountno\$1, accountnumber\$1, bban, codice bancario, conto bancario, customer account id, customer account number, customer bank account id, iban, numero di conto | 
| Espagne | account code, account number, accountno\$1, accountnumber\$1, bban, código cuenta, código cuenta bancaria, cuenta cliente id, customer account ID, customer account number, customer bank account id, iban, número cuenta bancaria cliente, número cuenta cliente | 
| Royaume-Uni | account code, account number, accountno\$1, accountnumber\$1, bban, customer account id, customer account number, customer bank account id, iban, sepa | 

**Commentaires :** Ces identifiants de données gérés peuvent également détecter les numéros de comptes bancaires internationaux (IBANs) conformes à la norme ISO 13616. Pour de plus amples informations, veuillez consulter [Numéro de compte bancaire international (IBAN)](#mdis-reference-IBAN). L'identifiant de données géré pour le Royaume-Uni (UK\$1BANK\$1ACCOUNT\$1NUMBER) peut également détecter les numéros de comptes bancaires nationaux pour le Royaume-Uni, par exemple,. `60-16-13 31926819`

## Date d’expiration de la carte de crédit
<a name="mdis-reference-CC-expiration"></a>

**ID de l'identifiant des données gérées :** CREDIT\$1CARD\$1EXPIRATION

**Pays et régions pris en charge :** Tous

**Mot-clé requis :** Oui Les mots clés incluent : *exp d, exp m, exp y, expiration, expiry*

**Commentaires :** Le support inclut la plupart des formats de date, tels que tous les chiffres, les combinaisons de chiffres et les noms des mois. Les composants de date peuvent être séparés par des barres obliques (/), des traits d'union (‐) ou des mots clés applicables. Par exemple, Macie peut détecter des dates telles que`02/26`,`02/2026`, `Feb 2026``26-Feb`, et`expY=2026, expM=02`.

## Données relatives à la bande magnétique des cartes de crédit
<a name="mdis-reference-CC-stripe"></a>

**ID de l'identifiant des données gérées :** CREDIT\$1CARD\$1MAGNETIC\$1STRIPE

**Pays et régions pris en charge :** Tous

**Mot-clé requis :** Oui Les mots clés incluent : *card data, iso7813, mag, magstripe, stripe, swipe*

**Commentaires :** Le support inclut les pistes 1 et 2.

## Numéro de carte de crédit
<a name="mdis-reference-CC-number"></a>

**ID d'identification des données gérées :** CREDIT\$1CARD\$1NUMBER pour les numéros de carte de crédit situés à proximité d'un mot clé, CREDIT\$1CARD\$1NUMBER\$1(NO\$1KEYWORD) pour les numéros de carte de crédit qui ne sont pas à proximité d'un mot clé

**Pays et régions pris en charge :** Tous

**Mot-clé requis :** Variable. Les mots clés sont requis par l'identifiant des données CREDIT\$1CARD\$1NUMBER gérées. Les mots clés incluent : *account number, american express, amex, bank card, c card, card, cc \$1, ccn, check card, cred card, credit, credit card, credit cards, credit no, credit num, dankort, debit, debit card, debit no, debit num, diners club, discover, electron, japanese card bureau, jcb, mastercard, mc, pan, payment account number, payment card number, pcn, pmnt \$1, pmnt card, pmnt no, pmnt number, union pay, visa*. Les mots clés ne sont pas requis par l'identifiant des données CREDIT\$1CARD\$1NUMBER\$1(NO\$1KEYWORD) gérées.

**Commentaires :** La détection nécessite que les données soient une séquence de 13 à 19 chiffres conforme à la formule de vérification de Luhn et utilise un préfixe de numéro de carte standard pour les types de cartes de crédit suivants : American Express, Dankort, Diner's Club, Discover, Electron, Japanese Card Bureau (JCB), Mastercard et Visa. UnionPay

Macie ne signale pas les occurrences des séquences suivantes, que les émetteurs de cartes de crédit ont réservées aux tests publics : `122000000000003` `2222405343248877``2222990905257051`,`2223007648726984`,,`2223577120017656`,`30569309025904`,`34343434343434`,`3528000700000000`,`3530111333300000`,`3566002020360505`,`36148900647913`,`36700102000000`,`371449635398431`,`378282246310005`,`378734493671000`,`38520000023237`,`4012888888881881`,`4111111111111111`,`4222222222222`,`4444333322221111`,`4462030000000000`,`4484070000000000`,`4911830000000`,`4917300800000000`,`4917610000000000`,`4917610000000000003`,`5019717010103742`,`5105105105105100`,`5111010030175156`,`5185540810000019`, `5200828282828210` `5204230080000017` `5204740009900014`,`5420923878724339`,`5454545454545454`,`5455330760000018`,`5506900490000436`,`5506900490000444`,`5506900510000234`,`5506920809243667`,`5506922400634930`,`5506927427317625`,`5553042241984105`,`5555553753048194`,`5555555555554444`,`5610591081018250`,`6011000990139424`,`6011000400000000`,`6011111111111117`,`630490017740292441`,`630495060000000000`,`6331101999990016`,`6759649826438453`,`6799990100000000019`, et`76009244561`.

## Code de vérification de carte de crédit
<a name="mdis-reference-CC-verification-code"></a>

**ID de l'identifiant des données gérées :** CREDIT\$1CARD\$1SECURITY\$1CODE

**Pays et régions pris en charge :** Tous

**Mot-clé requis :** Oui Les mots clés incluent : *card id, card identification code, card identification number, card security code, card validation code, card validation number, card verification data, card verification value, cvc, cvc2, cvv, cvv2, elo verification code*

**Commentaires :** Aucun

## Numéro de compte bancaire international (IBAN)
<a name="mdis-reference-IBAN"></a>

Macie peut détecter les numéros de comptes bancaires internationaux (IBANs) composés d'un maximum de 34 caractères alphanumériques, y compris des éléments tels que le code du pays. Plus précisément, Macie peut détecter les IBANs comptes bancaires conformes à la norme internationale ISO pour la numérotation des comptes bancaires, telle que spécifiée par la [norme ISO](https://www.iso.org/standard/81090.html) 13616. Cela inclut ceux IBANs qui ne contiennent pas d'espaces ou qui utilisent des séparateurs d'espaces ou de tirets, par exemple, et. `GB29NWBK60161331926819` `GB29 NWBK 6016 1331 9268 19` `GB29-NWBK-6016-1331-9268-19` La détection inclut des contrôles de validation basés sur le schéma Modulus 97.

**Identifiant des données gérées :** selon le pays ou la région ALBANIA\$1BANK\$1ACCOUNT\$1NUMBER, ANDORRA\$1BANK\$1ACCOUNT\$1NUMBER, BOSNIA\$1AND\$1HERZEGOVINA\$1BANK\$1ACCOUNT\$1NUMBER, BRAZIL\$1BANK\$1ACCOUNT\$1NUMBER, BULGARIA\$1BANK\$1ACCOUNT\$1NUMBER, COSTA\$1RICA\$1BANK\$1ACCOUNT\$1NUMBER, CROATIA\$1BANK\$1ACCOUNT\$1NUMBER, CYPRUS\$1BANK\$1ACCOUNT\$1NUMBER, CZECH\$1REPUBLIC\$1BANK\$1ACCOUNT\$1NUMBER, DENMARK\$1BANK\$1ACCOUNT\$1NUMBER, DOMINICAN\$1REPUBLIC\$1BANK\$1ACCOUNT\$1NUMBER, EGYPT\$1BANK\$1ACCOUNT\$1NUMBER, ESTONIA\$1BANK\$1ACCOUNT\$1NUMBER, FAROE\$1ISLANDS\$1BANK\$1ACCOUNT\$1NUMBER, FINLAND\$1BANK\$1ACCOUNT\$1NUMBER, FRANCE\$1BANK\$1ACCOUNT\$1NUMBER, GEORGIA\$1BANK\$1ACCOUNT\$1NUMBER, GERMANY\$1BANK\$1ACCOUNT\$1NUMBER, GREECE\$1BANK\$1ACCOUNT\$1NUMBER, GREENLAND\$1BANK\$1ACCOUNT\$1NUMBER, HUNGARY\$1BANK\$1ACCOUNT\$1NUMBER, ICELAND\$1BANK\$1ACCOUNT\$1NUMBER, IRELAND\$1BANK\$1ACCOUNT\$1NUMBER, ITALY\$1BANK\$1ACCOUNT\$1NUMBER, JORDAN\$1BANK\$1ACCOUNT\$1NUMBER, KOSOVO\$1BANK\$1ACCOUNT\$1NUMBER, LIECHTENSTEIN\$1BANK\$1ACCOUNT\$1NUMBER, LITHUANIA\$1BANK\$1ACCOUNT\$1NUMBER, MALTA\$1BANK\$1ACCOUNT\$1NUMBER, MAURITANIA\$1BANK\$1ACCOUNT\$1NUMBER, MAURITIUS\$1BANK\$1ACCOUNT\$1NUMBER, MONACO\$1BANK\$1ACCOUNT\$1NUMBER, MONTENEGRO\$1BANK\$1ACCOUNT\$1NUMBER, NETHERLANDS\$1BANK\$1ACCOUNT\$1NUMBER, NORTH\$1MACEDONIA\$1BANK\$1ACCOUNT\$1NUMBER, POLAND\$1BANK\$1ACCOUNT\$1NUMBER, PORTUGAL\$1BANK\$1ACCOUNT\$1NUMBER, SAN\$1MARINO\$1BANK\$1ACCOUNT\$1NUMBER, SENEGAL\$1BANK\$1ACCOUNT\$1NUMBER, SERBIA\$1BANK\$1ACCOUNT\$1NUMBER, SLOVAKIA\$1BANK\$1ACCOUNT\$1NUMBER, SLOVENIA\$1BANK\$1ACCOUNT\$1NUMBER, SPAIN\$1BANK\$1ACCOUNT\$1NUMBER, SWEDEN\$1BANK\$1ACCOUNT\$1NUMBER, SWITZERLAND\$1BANK\$1ACCOUNT\$1NUMBER, TIMOR\$1LESTE\$1BANK\$1ACCOUNT\$1NUMBER, TUNISIA\$1BANK\$1ACCOUNT\$1NUMBER, TURKIYE\$1BANK\$1ACCOUNT\$1NUMBER, UK\$1BANK\$1ACCOUNT\$1NUMBER, UKRAINE\$1BANK\$1ACCOUNT\$1NUMBER, UNITED\$1ARAB\$1EMIRATES\$1BANK\$1ACCOUNT\$1NUMBER, VIRGIN\$1ISLANDS\$1BANK\$1ACCOUNT\$1NUMBER (pour les Îles Vierges britanniques)

**Pays et régions pris en charge :** Albanie, Andorre, Bosnie-Herzégovine, Brésil, Bulgarie, Costa Rica, Croatie, Chypre, République Tchèque, Danemark, République dominicaine, Égypte, Estonie, Îles Féroé, Finlande, France, Géorgie, Allemagne, Grèce, Groenland, Hongrie, Islande, Irlande, Italie, Jordanie, Kosovo, Liechtenstein, Lituanie, Malte, Mauritanie, Île Maurice, Monaco, Monténégro, Pays-Bas, Pays-Bas, Pologne, Portugal, Saint-Marin, Sénégal, Serbie, Slovaquie, Slovénie, Espagne, Suède, Suisse, Suisse, Timor-Leste, Tunisie, Turquie, Royaume-Uni, Ukraine, États arabes unis Emirates, Îles Vierges britanniques

**Mot-clé requis :** Non

**Commentaires :** Les identifiants de données gérés pour la France, l'Allemagne, l'Italie, l'Espagne et le Royaume-Uni peuvent également détecter les numéros de compte bancaire de base (BBANs) conformes à la structure BBAN définie par la norme ISO 13616, si la séquence de caractères se trouve à proximité d'un mot clé. Pour de plus amples informations, veuillez consulter [Numéro de compte bancaire de base (BBAN)](#mdis-reference-BBAN).

# Identifiants de données gérés pour PHI
<a name="mdis-reference-phi"></a>

Amazon Macie peut détecter plusieurs types d'informations médicales personnelles (PHI) sensibles à l'aide d'identifiants de données gérés. Les rubriques de cette page spécifient chaque type et fournissent des informations sur l'identifiant de données géré conçu pour détecter les données. Chaque rubrique fournit les informations suivantes :<a name="mdi-ref-fields-singular"></a>
+ **ID d'identifiant de données gérées** — Spécifie l'identifiant unique (ID) de l'identifiant de données gérées conçu pour détecter les données. Lorsque vous [créez une tâche de découverte de données sensibles](discovery-jobs-create.md) ou que vous [configurez des paramètres pour la découverte automatique de données sensibles](discovery-asdd-account-configure.md), vous pouvez utiliser cet ID pour indiquer si vous souhaitez que Macie utilise l'identifiant de données gérées lorsqu'il analyse les données.
+ **Pays et régions pris en charge** : indique pour quels pays ou régions l'identifiant de données gérées applicable est conçu. Si l'identifiant des données gérées n'est pas conçu pour un pays ou une région en particulier, cette valeur est *Any*.
+ **Mot-clé obligatoire** — Spécifie si la détection nécessite qu'un mot clé se trouve à proximité des données. Si un mot clé est requis, la rubrique fournit également des exemples de mots clés obligatoires. Pour plus d'informations sur la façon dont Macie utilise les mots clés lorsqu'il analyse les données, consultez[Exigences relatives aux mots-clés](managed-data-identifiers-keywords.md).
+ **Commentaires** — Fournit tous les détails pertinents susceptibles d'affecter votre choix d'identifiant de données gérées ou votre enquête sur les cas signalés de données sensibles. Les détails incluent des informations telles que les normes prises en charge, les exigences de syntaxe et les exceptions.

Les rubriques sont répertoriées par ordre alphabétique par type de données sensibles.

**Topics**
+ [Numéro d'enregistrement de la Drug Enforcement Agency (DEA)](#mdis-reference-DEA-registration-num)
+ [Numéro de réclamation d'assurance maladie (HICN)](#mdis-reference-HICN)
+ [Numéro d'assurance maladie ou d'identification médicale](#mdis-reference-HI-ID)
+ [Code du système de codage des procédures communes pour les soins de santé (HCPCS)](#mdis-reference-HCPCS)
+ [Code national des médicaments (NDC)](#mdis-reference-NDC)
+ [Identifiant national du fournisseur (NPI)](#mdis-reference-NPI)
+ [Identifiant unique de l'appareil (UDI)](#mdis-reference-UDI)

## Numéro d'enregistrement de la Drug Enforcement Agency (DEA)
<a name="mdis-reference-DEA-registration-num"></a>

**ID de l'identifiant des données gérées :** US\$1DRUG\$1ENFORCEMENT\$1AGENCY\$1NUMBER

**Pays et régions pris en charge :** États-Unis

**Mot-clé requis :** Oui. Les mots clés incluent : *dea number, dea registration*

**Commentaires :** Aucun

## Numéro de réclamation d'assurance maladie (HICN)
<a name="mdis-reference-HICN"></a>

**ID de l'identifiant des données gérées :** USA\$1HEALTH\$1INSURANCE\$1CLAIM\$1NUMBER

**Pays et régions pris en charge :** États-Unis

**Mot-clé requis :** Oui. Les mots clés incluent : *health insurance claim number, hic no, hic no., hic number, hic\$1, hicn, hicn\$1., hicno\$1*

**Commentaires :** Aucun

## Numéro d'assurance maladie ou d'identification médicale
<a name="mdis-reference-HI-ID"></a>

Support inclus les numéros de carte européenne d'assurance maladie pour l'UE et la Finlande, les numéros d'assurance maladie pour la France, les identifiants des bénéficiaires de Medicare pour les États-Unis, les numéros du NHS pour le Royaume-Uni et les numéros de santé personnels pour le Canada.

ID d'**identifiant des données gérées :** selon le pays ou la région, CANADA\$1HEALTH\$1NUMBER, EUROPEAN\$1HEALTH\$1INSURANCE\$1CARD\$1NUMBER, FINLAND\$1EUROPEAN\$1HEALTH\$1INSURANCE\$1NUMBER, FRANCE\$1HEALTH\$1INSURANCE\$1NUMBER, UK\$1NHS\$1NUMBER, USA\$1MEDICARE\$1BENEFICIARY\$1IDENTIFIER

**Pays et régions pris en charge :** Canada, UE, Finlande, France, Royaume-Uni, États-Unis

**Mot-clé requis :** Oui. Le tableau suivant répertorie les mots clés que Macie reconnaît pour des pays et des régions spécifiques.


| Pays ou région | Mots clés | 
| --- | --- | 
| Canada | canada healthcare number, msp number, personal healthcare number, phn, soins de santé | 
| UE | assicurazione sanitaria numero, carta assicurazione numero, carte d’assurance maladie, carte européenne d'assurance maladie, ceam, ehic, ehic\$1, finlandehicnumber\$1, gesundheitskarte, hälsokort, health card, health card number, health insurance card, health insurance number, insurance card number, krankenversicherungskarte, krankenversicherungsnummer, medical account number, numero conto medico, numéro d’assurance maladie, numéro de carte d’assurance, numéro de compte medical, número de cuenta médica, número de seguro de salud, número de tarjeta de seguro, sairaanhoitokortin, sairausvakuutuskortti, sairausvakuutusnumero, sjukförsäkring nummer, sjukförsäkringskort, suomi ehic-numero, tarjeta de salud, terveyskortti, tessera sanitaria assicurazione numero, versicherungsnummer | 
| Finlande | ehic, ehic\$1, finland health insurance card, finlandehicnumber\$1, finska sjukförsäkringskort, hälsokort, health card, health card number, health insurance card, health insurance number, sairaanhoitokortin, sairaanhoitokortin, sairausvakuutuskortti, sairausvakuutusnumero, sjukförsäkring nummer, sjukförsäkringskort, suomen sairausvakuutuskortti, suomi ehic-numero, terveyskortti | 
| France | carte d'assuré social, carte vitale, insurance card | 
| Royaume-Uni | national health service, NHS | 
| ETATS-UNIS | mbi, medicare beneficiary | 

**Commentaires :** Aucun

## Code du système de codage des procédures communes pour les soins de santé (HCPCS)
<a name="mdis-reference-HCPCS"></a>

**ID de l'identifiant des données gérées :** USA\$1HEALTHCARE\$1PROCEDURE\$1CODE

**Pays et régions pris en charge :** États-Unis

**Mot-clé requis :** Oui. Les mots clés incluent : *current procedural terminology, hcpcs, healthcare common procedure coding system*

**Commentaires :** Aucun

## Code national des médicaments (NDC)
<a name="mdis-reference-NDC"></a>

**ID de l'identifiant des données gérées :** USA\$1NATIONAL\$1DRUG\$1CODE

**Pays et régions pris en charge :** États-Unis

**Mot-clé requis :** Oui. Les mots clés incluent : *national drug code, ndc*

**Commentaires :** Aucun

## Identifiant national du fournisseur (NPI)
<a name="mdis-reference-NPI"></a>

**ID de l'identifiant des données gérées :** USA\$1NATIONAL\$1PROVIDER\$1IDENTIFIER

**Pays et régions pris en charge :** États-Unis

**Mot-clé requis :** Oui. Les mots clés incluent : *hipaa, n.p.i, national provider, npi*

**Commentaires :** Aucun

## Identifiant unique de l'appareil (UDI)
<a name="mdis-reference-UDI"></a>

**ID de l'identifiant des données gérées :** MEDICAL\$1DEVICE\$1UDI

**Pays et régions pris en charge :** États-Unis

**Mot-clé requis :** Oui. Les mots clés incluent : *blood, blood bag, dev id, device id, device identifier, gs1, hibcc, iccbba, med, udi, unique device id, unique device identifier*

**Commentaires :** Macie peut détecter les identifiants uniques des appareils (UDIs) conformes aux formats approuvés par la Food and Drug Administration des États-Unis. Cela inclut les formats standard définis par le GS1 HIBCC et l'ICCBBA. Le support de l'ICCBA concerne la norme ISBT.

# Identifiants de données gérés pour les informations personnelles
<a name="mdis-reference-pii"></a>

Amazon Macie peut détecter plusieurs types d'informations personnelles sensibles (PII) à l'aide d'identifiants de données gérés. Les rubriques de cette page répertorient chaque type et fournissent des informations sur les identifiants de données gérés conçus pour détecter les données. Chaque rubrique fournit les informations suivantes :<a name="mdi-ref-fields-plural"></a>
+ **ID d'identifiant de données gérées** — Spécifie l'identifiant unique (ID) pour un ou plusieurs identifiants de données gérées conçus pour détecter les données. Lorsque vous [créez une tâche de découverte de données sensibles](discovery-jobs-create.md) ou que vous [configurez des paramètres pour la découverte automatique de données sensibles](discovery-asdd-account-configure.md), vous pouvez les utiliser IDs pour spécifier les identifiants de données gérées que vous souhaitez que Macie utilise lors de l'analyse des données.
+ **Pays et régions pris en charge** : indique pour quels pays et régions les identifiants de données gérées applicables sont conçus. Si les identifiants de données gérés ne sont pas conçus pour des pays ou des régions spécifiques, cette valeur est *Any*.
+ **Mot-clé obligatoire** — Spécifie si la détection nécessite qu'un mot clé se trouve à proximité des données. Si un mot clé est requis, la rubrique fournit également des exemples de mots clés obligatoires. Pour plus d'informations sur la façon dont Macie utilise les mots clés lorsqu'il analyse les données, consultez[Exigences relatives aux mots-clés](managed-data-identifiers-keywords.md).
+ **Commentaires** — Fournit tous les détails pertinents susceptibles d'affecter votre choix d'identifiant de données gérées ou votre enquête sur les cas signalés de données sensibles. Les détails incluent des informations telles que les normes prises en charge, les exigences de syntaxe et les exceptions.

Les rubriques sont répertoriées par ordre alphabétique par type de données sensibles.

**Topics**
+ [Date de naissance](#mdis-reference-DATE_OF_BIRTH)
+ [Numéro d'identification du permis de conduire](#mdis-reference-DL-num)
+ [Numéro de liste électorale](#mdis-reference-electoral-roll-num)
+ [Nom complet](#mdis-reference-full-name)
+ [Coordonnées du système de positionnement global (GPS)](#mdis-reference-GPS)
+ [Cookie HTTP](#mdis-reference-HTTP_COOKIE)
+ [Adresse postale](#mdis-reference-mailing-address)
+ [Numéro d'identification nationale](#mdis-reference-national-id)
+ [Numéro d'assurance nationale (NINO)](#mdis-reference-NINO)
+ [Numéro de passeport](#mdis-reference-passport-num)
+ [Numéro de résidence permanente](#mdis-reference-permanent-residence-num)
+ [Numéro de téléphone](#mdis-reference-phone-num)
+ [Numéro de carte de transport public](#mdis-reference-public-transport-num)
+ [Numéro d'assurance sociale (SIN)](#mdis-reference-social-insurance-num)
+ [Numéro de sécurité sociale (SSN)](#mdis-reference-social-security-num)
+ [Numéro d'identification ou de référence du contribuable](#mdis-reference-taxpayer-num)
+ [Numéro d'identification du véhicule (VIN)](#mdis-reference-vin)

## Date de naissance
<a name="mdis-reference-DATE_OF_BIRTH"></a>

**ID de l'identifiant des données gérées :** DATE\$1OF\$1BIRTH

**Pays et régions pris en charge :** Tous

**Mot-clé requis :** Oui. Les mots clés incluent : *bday, b-day, birth date, birthday, date of birth, dob*

**Commentaires :** Le support inclut la plupart des formats de date, tels que tous les chiffres, les combinaisons de chiffres et les noms des mois. Les composants de date peuvent être séparés par des espaces, des barres obliques (/) ou des traits d'union (-).

## Numéro d'identification du permis de conduire
<a name="mdis-reference-DL-num"></a>

ID d'**identifiant des données gérées :** selon le pays ou la région, AUSTRALIA\$1DRIVERS\$1LICENSE, AUSTRIA\$1DRIVERS\$1LICENSE, BELGIUM\$1DRIVERS\$1LICENSE, BULGARIA\$1DRIVERS\$1LICENSE, CANADA\$1DRIVERS\$1LICENSE, CROATIA\$1DRIVERS\$1LICENSE, CYPRUS\$1DRIVERS\$1LICENSE, CZECHIA\$1DRIVERS\$1LICENSE, DENMARK\$1DRIVERS\$1LICENSE, DRIVERS\$1LICENSE (for the US), ESTONIA\$1DRIVERS\$1LICENSE, FINLAND\$1DRIVERS\$1LICENSE, FRANCE\$1DRIVERS\$1LICENSE, GERMANY\$1DRIVERS\$1LICENSE, GREECE\$1DRIVERS\$1LICENSE, HUNGARY\$1DRIVERS\$1LICENSE, INDIA\$1DRIVERS\$1LICENSE, IRELAND\$1DRIVERS\$1LICENSE, ITALY\$1DRIVERS\$1LICENSE, LATVIA\$1DRIVERS\$1LICENSE, LITHUANIA\$1DRIVERS\$1LICENSE, LUXEMBOURG\$1DRIVERS\$1LICENSE, MALTA\$1DRIVERS\$1LICENSE, NETHERLANDS\$1DRIVERS\$1LICENSE, POLAND\$1DRIVERS\$1LICENSE, PORTUGAL\$1DRIVERS\$1LICENSE, ROMANIA\$1DRIVERS\$1LICENSE, SLOVAKIA\$1DRIVERS\$1LICENSE, SLOVENIA\$1DRIVERS\$1LICENSE, SPAIN\$1DRIVERS\$1LICENSE, SWEDEN\$1DRIVERS\$1LICENSE, UK\$1DRIVERS\$1LICENSE

**Pays et régions pris en charge :** Australie, Autriche, Belgique, Bulgarie, Canada, Croatie, Chypre, République Tchèque, Danemark, Estonie, Finlande, France, Allemagne, Grèce, Hongrie, Inde, Irlande, Italie, Lettonie, Lituanie, Luxembourg, Malte, Pays-Bas S-Bas, Pologne, Portugal, Roumanie, Slovaquie, Slovénie, Espagne, Suède, Royaume-Uni, États-Unis

**Mot-clé requis :** Oui. Le tableau suivant répertorie les mots clés que Macie reconnaît pour des pays et des régions spécifiques.


| Pays ou région | Mots clés | 
| --- | --- | 
| Australie | dl\$1, dl:, dlno\$1, driver licence, driver license, driver permit, drivers lic., drivers licence, driver's licence, drivers license, driver's license, drivers permit, driver's permit, drivers permit number, driving licence, driving license, driving permit | 
| Autriche | führerschein, fuhrerschein, führerschein republik österreich, fuhrerschein republik osterreich | 
| Belgique | fuehrerschein, fuehrerschein- nr, fuehrerscheinnummer, fuhrerschein, führerschein, fuhrerschein- nr, führerschein- nr, fuhrerscheinnummer, führerscheinnummer, numéro permis conduire, permis de conduire, rijbewijs, rijbewijsnummer | 
| Bulgarie | превозно средство, свидетелство за управление на моторно, свидетелство за управление на мпс, сумпс, шофьорска книжка | 
| Canada | dl\$1, dl:, dlno\$1, driver licence, driver licences, driver license, driver licenses, driver permit, drivers lic., drivers licence, driver's licence, drivers licences, driver's licences, drivers license, driver's license, drivers licenses, driver's licenses, drivers permit, driver's permit, drivers permit number, driving licence, driving license, driving permit, permis de conduire | 
| Croatie | vozačka dozvola | 
| Chypre | άδεια οδήγησης | 
| République tchèque | číslo licence, císlo licence řidiče, číslo řidičského průkazu, ovladače lic., povolení k jízdě, povolení řidiče, řidiči povolení, řidičský prúkaz, řidičský průkaz | 
| Danemark | kørekort, kørekortnummer | 
| Estonie | juhi litsentsi number, juhiloa number, juhiluba, juhiluba number | 
| Finlande | ajokortin numero, ajokortti, förare lic., körkort, körkort nummer, kuljettaja lic., permis de conduire | 
| France | permis de conduire | 
| Allemagne | fuehrerschein, fuehrerschein- nr, fuehrerscheinnummer, fuhrerschein, führerschein, fuhrerschein- nr, führerschein- nr, fuhrerscheinnummer, führerscheinnummer | 
| Grèce | δεια οδήγησης, adeia odigisis | 
| Hongrie | illesztőprogramok lic, jogosítvány, jogsi, licencszám, vezető engedély, vezetői engedély | 
| Inde | driver licence, driver licences, driver license, driver licenses, drivers lic., drivers licence, driver's licence, drivers licences, driver's licences, drivers license, driver's license, drivers licenses, driver's licenses, driving licence, driving license | 
| Irlande | ceadúnas tiomána | 
| Italie | patente di guida, patente di guida numero, patente guida, patente guida numero | 
| Lettonie | autovadītāja apliecība, licences numurs, vadītāja apliecība, vadītāja apliecības numurs, vadītāja atļauja, vadītāja licences numurs, vadītāji lic. | 
| Lituanie | vairuotojo pažymėjimas | 
| Luxembourg | fahrerlaubnis, führerschäin | 
| Malte | liċenzja tas-sewqan | 
| Pays-Bas | permis de conduire, rijbewijs, rijbewijsnummer | 
| Pologne | numer licencyjny, prawo jazdy, zezwolenie na prowadzenie | 
| Portugal | carta de condução, carteira de habilitação, carteira de motorist, carteira habilitação, carteira motorist, licença condução, licença de condução, número de licença, número licença, permissão condução, permissão de condução | 
| Roumanie | numărul permisului de conducere, permis de conducere | 
| Slovaquie | číslo licencie, číslo vodičského preukazu, ovládače lic., povolenia vodičov, povolenie jazdu, povolenie na jazdu, povolenie vodiča, vodičský preukaz | 
| Slovénie | vozniško dovoljenje | 
| Espagne | carnet conducer, el carnet de conducer, licencia conducer, licencia de manejo, número carnet conducer, número de carnet de conducer, número de permiso conducer, número de permiso de conducer, número licencia conducer, número permiso conducer, permiso conducción, permiso conducer, permiso de conducción | 
| Suède | ajokortin numero, dlno\$1 ajokortti, drivere lic., förare lic., körkort, körkort nummer, körkortsnummer, kuljettajat lic.  | 
| Royaume-Uni | dl\$1, dl:, dlno\$1, driver licence, driver licences, driver license, driver licenses, driver permit, drivers lic., drivers licence, driver's licence, drivers licences, driver's licences, drivers license, driver's license, drivers licenses, driver's licenses, drivers permit, driver's permit, drivers permit number, driving licence, driving license, driving permit | 
| ETATS-UNIS | dl\$1, dl:, dlno\$1, driver licence, driver licences, driver license, driver licenses, driver permit, drivers lic., drivers licence, driver's licence, drivers licences, driver's licences, drivers license, driver's license, drivers licenses, driver's licenses, drivers permit, driver's permit, drivers permit number, driving licence, driving license, driving permit | 

**Commentaires :** Aucun

## Numéro de liste électorale
<a name="mdis-reference-electoral-roll-num"></a>

**ID d'identifiant des données gérées :** UK\$1ELECTORAL\$1ROLL\$1NUMBER

**Pays et régions pris en charge :** Royaume-Uni

**Mot-clé requis :** Oui. Les mots clés incluent : *electoral \$1, electoral number, electoral roll \$1, electoral roll no., electoral roll number, electoralrollno*

**Commentaires :** Aucun

## Nom complet
<a name="mdis-reference-full-name"></a>

**ID d'identifiant des données gérées :** NAME

**Pays et régions pris en charge :** Tous

**Mot-clé requis :** Non

**Commentaires :** Macie ne peut détecter que les noms complets. Le support est limité aux jeux de caractères latins.

## Coordonnées du système de positionnement global (GPS)
<a name="mdis-reference-GPS"></a>

**ID d'identifiant des données gérées :** LATITUDE\$1LONGITUDE

**Pays et régions pris en charge :** tous, si les coordonnées se trouvent à proximité d'un mot clé anglais.

**Mot-clé requis :** Oui. Les mots clés incluent : *coordinate, coordinates, lat long, latitude longitude, position*

**Commentaires :** Macie peut détecter les coordonnées GPS si les coordonnées de latitude et de longitude sont stockées par paire et qu'elles sont au format décimal (DD), par exemple. `41.948614,-87.655311` Support n'inclut pas la détection de coordonnées au format : degrés décimaux minutes (DDM), par exemple `41°56.9168'N 87°39.3187'W` ; ou au format degrés, minutes, secondes (DMS), par exemple. `41°56'55.0104"N 87°39'19.1196"W`

## Cookie HTTP
<a name="mdis-reference-HTTP_COOKIE"></a>

**ID d'identifiant des données gérées :** HTTP\$1COOKIE

**Pays et régions pris en charge :** Tous

**Mot-clé requis :** Non

**Commentaires :** La détection nécessite un nom complet `Cookie` ou un `Set-Cookie` en-tête. L'en-tête peut inclure une ou plusieurs paires nom-valeur, par exemple : `Set-Cookie: id=TWlrZQ` et. `Cookie: session=3948; lang=en`

## Adresse postale
<a name="mdis-reference-mailing-address"></a>

**Identifiant des données gérées :** ADDRESS (pour l'Australie, le Canada, la France, l'Allemagne, l'Italie, l'Espagne, le Royaume-Uni et les États-Unis)BRAZIL\$1CEP\$1CODE, (pour le Código de Endereçamento Postal du Brésil)

**Pays et régions pris en charge :** Australie, Brésil, Canada, France, Allemagne, Italie, Espagne, Royaume-Uni, États-Unis

**Mot-clé requis :** Variable. Les mots clés ne sont pas requis par l'identifiant des données ADDRESS gérées. Les mots clés sont requis par l'identifiant des données BRAZIL\$1CEP\$1CODE gérées. Les mots clés incluent : *cep, código de endereçamento postal, codigo de endereçamento postal, código postal, codigo postal*

**Commentaires :** Bien qu'aucun mot clé ne soit requis pour l'identifiant des données ADDRESS gérées, la détection nécessite une adresse incluant le nom d'une ville ou d'un lieu et le code postal ou postal correspondant dans un pays ou une région pris en charge. L'identifiant de données BRAZIL\$1CEP\$1CODE géré ne peut détecter que la partie Código de Endereçamento Postal (CEP) d'une adresse.

## Numéro d'identification nationale
<a name="mdis-reference-national-id"></a>

Support inclus : numéros Aadhaar pour l'Inde ; numéros Cédula de Ciudadanía pour la Colombie ; numéros Clave Única de Registro de Población (CURP) pour le Mexique ; numéros Codice Fiscale pour l'Italie ; numéros Documento Nacional de Identidad (DNI) pour l'Argentine et l'Espagne ; codes de l'Institut national français des statistiques et des études économiques (INSEE) ; identité nationale allemande Numéros de carte ; numéros du Registro Geral (RG) pour le Brésil ; et numéros Rol Único Nacional (RUN) pour le Chili.

ID d'**identifiant des données gérées :** selon le pays ou la région, ARGENTINA\$1DNI\$1NUMBER, BRAZIL\$1RG\$1NUMBER, CHILE\$1RUT\$1NUMBER, COLOMBIA\$1CITIZENSHIP\$1CARD\$1NUMBER, FRANCE\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, GERMANY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, INDIA\$1AADHAAR\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, MEXICO\$1CURP\$1NUMBER, SPAIN\$1DNI\$1NUMBER

**Pays et régions pris en charge :** Argentine, Brésil, Chili, Colombie, France, Allemagne, Inde, Italie, Mexique, Espagne

**Mot-clé requis :** Oui. Le tableau suivant répertorie les mots clés que Macie reconnaît pour des pays et des régions spécifiques.


| Pays ou région | Mots clés | 
| --- | --- | 
| Argentine | dni, dni\$1, d.n.i., documento nacional de identidad | 
| Brésil | registro geral, rg | 
| Chili | identidad número, nacional identidad, national unique role, nationaluniqueroleID\$1, número identificación, rol único nacional, rol único tributario, run, run\$1, r.u.n., rut, rut\$1, r.u.t., unique national number, unique national role, unique tax registry, unique tax role, unique tributary number, unique tributary role | 
| Colombie | cédula de ciudadanía, documento de identificación | 
| France | assurance sociale, carte nationale d’identité, cni, code sécurité sociale, French social security number, fssn\$1, insee, insurance number, national id number, nationalid\$1, numéro d'assurance, sécurité sociale, sécurité sociale non., sécurité sociale numéro, social, social security, social security number, socialsecuritynumber, ss\$1, ssn, ssn\$1 | 
| Allemagne | ausweisnummer, id number, identification number, identity number, insurance number, personal id, personalausweis | 
| Inde | aadhaar, aadhar, adhaar, uidai | 
| Italie | codice fiscal, dati anagrafici, ehic, health card, health insurance card, p. iva, partita i.v.a., personal data, tax code, tessera sanitaria | 
| Mexique | clave personal identidad, clave única, clave única de registro de población, clavepersonalIdentidad, curp, registration code, registry code, personal identidad clave, population code | 
| Espagne | dni, dni\$1, dninúmero\$1, documento nacional de identidad, identidad único, identidadúnico\$1, insurance number, national identification number, national identity, nationalid\$1, nationalidno\$1, número nacional identidad, personal identification number, personal identity no, unique identity number, uniqueid\$1 | 

**Commentaires :** L'identifiant des données gérées pour le Chili (CHILE\$1RUT\$1NUMBER) est conçu pour détecter à la fois les numéros Rol Único Nacional (RUN) et les numéros Rol Único Tributario (RUT). Quel que soit le type de nombre, Macie ne signale pas les occurrences où tous les chiffres sont des zéros, par exemple parce qu'ils sont couramment utilisés comme exemples. `00000000-K`

Bien que les numéros DNI de l'Argentine et de l'Espagne aient des syntaxes différentes, ils présentent des similitudes. Par conséquent, Macie peut indiquer un numéro DNI pour l'Argentine en tant que numéro DNI pour l'Espagne, ou inversement. En outre, Macie ne signale pas les occurrences des séquences de caractères suivantes, qui sont couramment utilisées comme exemples de numéros DNI : `99999999` et. `99.999.999` Macie ne signale pas non plus les occurrences composées uniquement de zéros, par exemple, et. `000000000` `00.000.000`

## Numéro d'assurance nationale (NINO)
<a name="mdis-reference-NINO"></a>

**ID d'identifiant des données gérées :** UK\$1NATIONAL\$1INSURANCE\$1NUMBER

**Pays et régions pris en charge :** Royaume-Uni

**Mot-clé requis :** Oui. Les mots clés incluent : *insurance no., insurance number, insurance\$1, national insurance number, nationalinsurance\$1, nationalinsurancenumber, nin, nino*

**Commentaires :** Aucun

## Numéro de passeport
<a name="mdis-reference-passport-num"></a>

ID d'**identifiant des données gérées :** selon le pays ou la région, CANADA\$1PASSPORT\$1NUMBER, FRANCE\$1PASSPORT\$1NUMBER, GERMANY\$1PASSPORT\$1NUMBER, ITALY\$1PASSPORT\$1NUMBER, SPAIN\$1PASSPORT\$1NUMBER, UK\$1PASSPORT\$1NUMBER, USA\$1PASSPORT\$1NUMBER

**Pays et régions pris en charge :** Canada, France, Allemagne, Italie, Espagne, Royaume-Uni, États-Unis

**Mot-clé requis :** Oui. Le tableau suivant répertorie les mots clés que Macie reconnaît pour des pays et des régions spécifiques.


| Pays ou région | Mots clés | 
| --- | --- | 
| Canada | passeport, passeport\$1, passport, passport\$1, passportno, passportno\$1 | 
| France | numéro de passeport, passeport, passeport \$1, passeport n °, passeport non | 
| Allemagne | ausstellungsdatum, ausstellungsort, geburtsdatum, passport, passports, reisepass, reisepass–nr, reisepassnummer | 
| Italie | italian passport number, numéro passeport, numéro passeport italien, passaporto, passaporto italiana, passaporto numero, passport number, repubblica italiana passaporto | 
| Espagne | españa pasaporte, libreta pasaporte, número pasaporte, pasaporte, passport, passport book, passport no, passport number, spain passport | 
| Royaume-Uni | passeport \$1, passeport n °, passeport non, passeportn °, passport \$1, passport no, passport number, passport\$1, passportid | 
| ETATS-UNIS | passport, travel document | 

**Commentaires :** Aucun

## Numéro de résidence permanente
<a name="mdis-reference-permanent-residence-num"></a>

**ID d'identifiant des données gérées :** CANADA\$1NATIONAL\$1IDENTIFICATION\$1NUMBER

**Pays et régions pris en charge :** Canada

**Mot-clé requis :** Oui. Les mots clés incluent : *carte résident permanent, numéro carte résident permanent, numéro résident permanent, permanent resident card, permanent resident card number, permanent resident no, permanent resident no., permanent resident number, pr no, pr no., pr non, pr number, résident permanent no., résident permanent non*

**Commentaires :** Aucun

## Numéro de téléphone
<a name="mdis-reference-phone-num"></a>

ID d'**identifiant des données gérées :** selon le pays ou la région, BRAZIL\$1PHONE\$1NUMBER, FRANCE\$1PHONE\$1NUMBER, GERMANY\$1PHONE\$1NUMBER, ITALY\$1PHONE\$1NUMBER, PHONE\$1NUMBER (for Canada and the US), SPAIN\$1PHONE\$1NUMBER, UK\$1PHONE\$1NUMBER

**Pays et régions pris en charge :** Brésil, Canada, France, Allemagne, Italie, Espagne, Royaume-Uni, États-Unis

**Mot-clé requis :** Variable. Si un mot clé se trouve à proximité des données, il n'est pas nécessaire que le numéro inclue un code de pays. Les mots clés incluent : *cell, contact, fax, fax number, mobile, phone, phone number, tel, telephone, telephone number*. Pour le Brésil, les mots clés incluent également : *cel, celular, fone, móvel, número residencial, numero residencial, telefone*. Si un mot clé ne se trouve pas à proximité des données, il est nécessaire que le numéro inclue un code de pays.

**Commentaires :** Pour les États-Unis, l'assistance inclut les numéros gratuits.

## Numéro de carte de transport public
<a name="mdis-reference-public-transport-num"></a>

**ID d'identifiant des données gérées :** ARGENTINA\$1TARJETA\$1SUBE

**Pays et régions pris en charge :** Argentine

**Mot-clé requis :** Oui. Les mots clés incluent : *sistema único de boleto electrónico, sube*

**Commentaires :** Macie peut détecter les numéros de carte Sistema Único de Boleto Electrónico (SUBE) à 16 chiffres qui commencent par la formule de vérification Luhn et y adhèrent. `6061` Les composants des numéros de carte peuvent être séparés par des espaces ou des traits d'union (‐), ou ne pas utiliser de séparateur, par exemple, et. `6061 1234 1234 1234` `6061‐1234‐1234‐1234` `6061123412341234`

## Numéro d'assurance sociale (SIN)
<a name="mdis-reference-social-insurance-num"></a>

**ID d'identifiant des données gérées :** CANADA\$1SOCIAL\$1INSURANCE\$1NUMBER

**Pays et régions pris en charge :** Canada

**Mot-clé requis :** Oui. Les mots clés incluent : *canadian id, numéro d'assurance sociale, sin, social insurance number*

**Commentaires :** Aucun

## Numéro de sécurité sociale (SSN)
<a name="mdis-reference-social-security-num"></a>

ID d'**identifiant des données gérées :** selon le pays ou la régionSPAIN\$1SOCIAL\$1SECURITY\$1NUMBER, USA\$1SOCIAL\$1SECURITY\$1NUMBER

**Pays et régions pris en charge :** Espagne, États-Unis

**Mot-clé requis :** Oui. Pour l'Espagne, les mots clés incluent *número de la seguridad social, social security no., social security number, socialsecurityno\$1, ssn, ssn\$1*:. Pour les États-Unis, les mots clés incluent : *social security, ss\$1, ssn*.

**Commentaires :** Aucun

## Numéro d'identification ou de référence du contribuable
<a name="mdis-reference-taxpayer-num"></a>

Support inclus : les codes CUIL et CUIT pour l'Argentine ; les numéros CIF, NIE et NIF pour l'Espagne ; les numéros CNPJ et CPF pour le Brésil ; les numéros Codice Fiscale pour l'Italie ; pour les États-Unis ; les numéros NIT pour la Colombie ; pour l'Inde ITINs  ; les numéros RFC pour le Mexique ; les numéros RUN et RUT PANs pour le Chili ; les numéros Steueridentifikationsnummer pour l'Allemagne ; pour l'Australie ; pour la France ; et numéros TRN et UTR pour le Royaume-Uni. TFNs TINs 

ID d'**identifiant des données gérées :** selon le pays ou la région, ARGENTINA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER, ARGENTINA\$1ORGANIZATION\$1TAX\$1IDENTIFICATION\$1NUMBER, AUSTRALIA\$1TAX\$1FILE\$1NUMBER, BRAZIL\$1CNPJ\$1NUMBER, BRAZIL\$1CPF\$1NUMBER, CHILE\$1RUT\$1NUMBER, COLOMBIA\$1INDIVIDUAL\$1NIT\$1NUMBER, COLOMBIA\$1ORGANIZATION\$1NIT\$1NUMBER, FRANCE\$1TAX\$1IDENTIFICATION\$1NUMBER, GERMANY\$1TAX\$1IDENTIFICATION\$1NUMBER, INDIA\$1PERMANENT\$1ACCOUNT\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, MEXICO\$1INDIVIDUAL\$1RFC\$1NUMBER, MEXICO\$1ORGANIZATION\$1RFC\$1NUMBER, SPAIN\$1NIE\$1NUMBER, SPAIN\$1NIF\$1NUMBER, SPAIN\$1TAX\$1IDENTIFICATION\$1NUMBER, UK\$1TAX\$1IDENTIFICATION\$1NUMBER, USA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER

**Pays et régions pris en charge :** Argentine, Australie, Brésil, Chili, Colombie, France, Allemagne, Inde, Italie, Mexique, Espagne, Royaume-Uni, États-Unis

**Mot-clé requis :** Oui. Le tableau suivant répertorie les mots clés que Macie reconnaît pour des pays et des régions spécifiques.


| Pays ou région | Mots clés | 
| --- | --- | 
| Argentine | argentina taxpayer id, clave única de identificación tributaria, cuil, c.u.i.l, cuit, c.u.i.t, número de identificación fiscal, número de contribuyente, unified labor identification code | 
| Australie | tax file number, tfn | 
| Brésil | cadastro de pessoa física, cadastro de pessoa fisica, cadastro de pessoas físicas, cadastro de pessoas fisicas, cadastro nacional da pessoa jurídica, cadastro nacional da pessoa juridica, cnpj, cpf | 
| Chili | identidad número, nacional identidad, national unique role, nationaluniqueroleID\$1, número identificación, rol único nacional, rol único tributario, run, run\$1, r.u.n., rut, rut\$1, r.u.t., unique national number, unique national role, unique tax registry, unique tax role, unique tributary number, unique tributary role | 
| Colombie | nit, nit., nit\$1, n.i.t. | 
| France | numéro d'identification fiscal, tax id, tax identification number, tax number, tin, tin\$1 | 
| Allemagne | identifikationsnummer, steuer id, steueridentifikationsnummer, steuernummer, tax id, tax identification number, tax number | 
| Inde | e-pan, pan card, pan number, permanent account number | 
| Italie | codice fiscal, dati anagrafici, ehic, health card, health insurance card, p. iva, partita i.v.a., personal data, tax code, tessera sanitaria | 
| Mexique | código del registro federal de contribuyentes, identificación de impuestos, identificacion de impuestos, impuesto al valor agregado, iva, iva\$1, i.v.a., registro federal de contribuyentes, rfc, rfc\$1, r.f.c. | 
| Espagne | cif, cif número, cifnúmero\$1, nie, nif, número de contribuyente, número de identidad de extranjero, número de identificación fiscal, número de impuesto corporativo, personal tax number, tax id, tax identification number, tax number, tin, tin\$1 | 
| Royaume-Uni | paye, tax id, tax id no., tax id number, tax identification, tax identification\$1, tax no., tax number, tax reference, tax\$1, taxid\$1, temporary reference number, tin, trn, unique tax reference, unique taxpayer reference, utr | 
| ETATS-UNIS | i.t.i.n., individual taxpayer identification number, itin | 

**Commentaires :** L'identifiant des données gérées pour le Chili (CHILE\$1RUT\$1NUMBER) est conçu pour détecter à la fois les numéros Rol Único Nacional (RUN) et les numéros Rol Único Tributario (RUT). Pour les numéros du Registro Federal de Contribuyentes (RFC) du Mexique, Macie ne signale pas les occurrences des séquences de caractères suivantes, qui sont couramment utilisées comme exemples de numéros RFC : et. `XAXX010101000` `XEXX010101000`

Pour plusieurs types de numéros d'identification et de référence des contribuables, Macie ne signale pas les cas où tous les chiffres sont des zéros, par exemple, et`00000000-K`. `000000000` `00.000.000` En effet, l'utilisation de zéros uniquement est courante dans les exemples de certains types de numéros d'identification et de référence des contribuables.

## Numéro d'identification du véhicule (VIN)
<a name="mdis-reference-vin"></a>

**ID d'identifiant des données gérées :** VEHICLE\$1IDENTIFICATION\$1NUMBER

**Pays et régions pris en charge :** tous, si le VIN se trouve à proximité d'un mot clé dans l'une des langues suivantes : anglais, français, allemand, lituanien, polonais, portugais, roumain ou espagnol.

**Mot-clé requis :** Oui. Les mots clés incluent : *Fahrgestellnummer, niv, numarul de identificare, numarul seriei de sasiu, numer VIN, Número de Identificação do Veículo, Número de Identificación de Automóviles, numéro d'identification du véhicule, vehicle identification number, vin, VIN numeris*

**Commentaires :** Macie peut détecter VINs une séquence de 17 caractères et respecter les normes ISO 3779 et 3780. Ces normes ont été conçues pour être utilisées dans le monde entier.

# Création d’identificateurs de données personnalisés
<a name="custom-data-identifiers"></a>

Outre l'utilisation des identifiants de données gérés fournis par Amazon Macie, vous pouvez créer et utiliser des identifiants de données personnalisés. Un *identifiant de données personnalisé* est un ensemble de critères que vous définissez pour détecter les données sensibles dans les objets Amazon Simple Storage Service (Amazon S3). Les critères sont constitués d'une expression régulière (*regex*) qui définit un modèle de texte à mettre en correspondance et, éventuellement, des séquences de caractères et une règle de proximité qui affinent les résultats. Les séquences de caractères peuvent être : des mots *clés*, qui sont des mots ou des phrases qui doivent se trouver à proximité du texte correspondant à l'expression régulière, ou des *mots ignorés*, qui sont des mots ou des phrases à exclure des résultats.

Grâce aux identificateurs de données personnalisés, vous pouvez définir des critères de détection qui reflètent les scénarios, la propriété intellectuelle ou les données propriétaires propres à votre organisation. Par exemple, vous pouvez détecter les numéros de compte des employés IDs, des clients ou des classifications de données internes. Si vous configurez des [tâches de découverte de données sensibles](discovery-jobs.md) [ou de découverte automatique de données sensibles](discovery-asdd.md) pour utiliser ces identifiants, vous pouvez compléter les [identifiants de données gérés](managed-data-identifiers.md) fournis par Macie.

Outre les critères de détection, vous pouvez éventuellement configurer des paramètres de gravité personnalisés pour les résultats produits par un identifiant de données personnalisé. Par défaut, Macie attribue la gravité *moyenne* à tous les résultats produits par un identifiant de données personnalisé. La gravité ne change pas en fonction du nombre d'occurrences de texte correspondant aux critères de détection d'un identifiant. Si vous configurez des paramètres de sévérité personnalisés, la sévérité peut être basée sur le nombre d'occurrences de texte correspondant aux critères.

**Topics**
+ [Options de configuration pour les identificateurs de données personnalisés](cdis-options.md)
+ [Création d'un identifiant de données personnalisé](cdis-create.md)
+ [Supprimer un identifiant de données personnalisé](cdis-delete.md)

# Options de configuration pour les identificateurs de données personnalisés
<a name="cdis-options"></a>

En utilisant des identifiants de données personnalisés, vous pouvez définir des critères personnalisés pour détecter les données sensibles dans les objets Amazon Simple Storage Service (Amazon S3). Vous pouvez compléter les [identifiants de données gérés](managed-data-identifiers.md) fournis par Amazon Macie et détecter les données sensibles qui reflètent les scénarios, la propriété intellectuelle ou les données propriétaires propres à votre entreprise.

Chaque identifiant de données personnalisé spécifie des critères de détection et, éventuellement, des paramètres de gravité pour les résultats produits par l'identifiant. Les critères de détection spécifient une expression régulière qui définit un modèle de texte à correspondre dans un objet S3. Les critères peuvent également spécifier des séquences de caractères et une règle de proximité qui affinent les résultats. Les paramètres de gravité spécifient le niveau de gravité à attribuer aux résultats. La gravité peut être basée sur le nombre d'occurrences de texte correspondant aux critères de détection de l'identifiant.

**Topics**
+ [Critères de détection](#cdis-detection-criteria)
+ [Paramètres de gravité des résultats](#cdis-finding-severity)

## Critères de détection
<a name="cdis-detection-criteria"></a>

Lorsque vous créez un identifiant de données personnalisé, vous spécifiez une expression régulière (*regex*) qui définit un modèle de texte correspondant. Vous pouvez également spécifier des séquences de caractères, telles que des mots et des phrases, ainsi qu'une règle de proximité qui affine les résultats. Les séquences de caractères peuvent être : des mots *clés*, qui sont des mots ou des phrases qui doivent se trouver à proximité du texte correspondant à l'expression régulière, ou des *mots ignorés*, qui sont des mots ou des phrases à exclure des résultats.

Pour l'expression régulière, Amazon Macie prend en charge un sous-ensemble de la syntaxe des modèles fournie par la bibliothèque [Perl Compatible Regular Expressions](https://www.pcre.org/) (PCRE). Parmi les constructions fournies par la bibliothèque PCRE, Macie ne prend pas en charge les éléments de modèle suivants :
+ Références rétrospectives
+ Capture de groupes
+ Modèles conditionnels
+ Code intégré
+ Indicateurs de modèles globaux, tels que `/i``/m`, et `/x`
+ Motifs récursifs
+ Assertions de largeur zéro rétrospectives et prospectives positives et négatives, telles que,, et `?=` `?!` `?<=` `?<!`

L'expression régulière peut contenir jusqu'à 512 caractères.

Pour créer un modèle d'expression régulière efficace pour un identifiant de données personnalisé, suivez les conseils et recommandations suivants :
+ Utilisez des ancres (`^`ou`$`) uniquement si vous vous attendez à ce que le motif apparaisse au début ou à la fin d'un fichier, et non au début ou à la fin d'une ligne.
+ Pour des raisons de performance, Macie limite la taille des groupes répétés délimités. Par exemple, `\d{100,1000}` ne compilera pas dans Macie. Pour utiliser approximativement cette fonctionnalité, vous pouvez utiliser une répétition ouverte telle que`\d{100,}`.
+ Pour rendre certaines parties d'un modèle insensibles aux majuscules et minuscules, vous pouvez utiliser la `(?i)` construction au lieu du `/i` drapeau.
+ Il n'est pas nécessaire d'optimiser les préfixes ou les alternances manuellement. Par exemple, le passage `/hello|hi|hey/` à `/h(?:ello|i|ey)/` n'améliorera pas les performances.
+ Pour des raisons de performance, Macie limite le nombre de jokers répétés. Par exemple, `a*b*a*` ne compilera pas dans Macie.

Pour se protéger contre les expressions mal formées ou de longue durée, Macie teste automatiquement les modèles de regex par rapport à un ensemble d'exemples de texte lorsque vous créez un identifiant de données personnalisé. En cas de problème avec l'expression régulière, Macie renvoie une erreur décrivant le problème.

Outre l'expression régulière, vous pouvez éventuellement spécifier des séquences de caractères et une règle de proximité pour affiner les résultats.

**Mots clés**  
Il s'agit de séquences de caractères spécifiques qui doivent se trouver à proximité d'un texte correspondant au modèle regex. Les exigences de proximité varient en fonction du format de stockage ou du type de fichier d'un objet S3 :  
+ **Données colonnaires structurées** : Macie inclut un résultat si le texte correspond au modèle regex et si un mot-clé se trouve dans le nom du champ ou de la colonne qui stocke le texte, ou si le texte est précédé d'un mot-clé dans le même champ ou la même valeur de cellule et dans les limites de la distance de correspondance maximale d'un mot clé dans le même champ ou la même valeur de cellule. C'est le cas pour les classeurs Microsoft Excel, les fichiers CSV et les fichiers TSV.
+ **Données structurées basées sur des enregistrements** : Macie inclut un résultat si le texte correspond au modèle regex et s'il se trouve dans la distance de correspondance maximale d'un mot-clé. Le mot-clé peut figurer dans le nom d'un élément du chemin d'accès au champ ou au tableau qui stocke le texte, ou il peut précéder et faire partie de la même valeur dans le champ ou le tableau qui stocke le texte. C'est le cas pour les conteneurs d'objets Apache Avro, les fichiers Apache Parquet, les fichiers JSON et les fichiers JSON Lines.
+ **Données non structurées** : Macie inclut un résultat si le texte correspond au modèle regex et s'il est précédé d'un mot clé et dans les limites de la distance de correspondance maximale d'un mot clé. C'est le cas pour les fichiers Adobe Portable Document Format, les documents Microsoft Word, les messages électroniques et les fichiers texte non binaires autres que les fichiers CSV, JSON, JSON Lines et TSV. Cela inclut toutes les données structurées, telles que les tables, contenues dans ces types de fichiers.
Vous pouvez spécifier jusqu'à 50 mots-clés. Chaque mot clé peut contenir de 3 à 90 caractères UTF-8. Les mots-clés ne sont pas sensibles à la casse.

**Distance de match maximale**  
Il s'agit d'une règle de proximité basée sur les caractères pour les mots clés. Macie utilise ce paramètre pour déterminer si un mot-clé précède le texte correspondant au modèle regex. Le paramètre définit le nombre maximum de caractères pouvant exister entre la fin d'un mot-clé complet et la fin du texte correspondant au modèle regex. Macie inclut un résultat si le texte :  
+ Correspond au modèle regex,
+ Survient après au moins un mot clé complet, et
+ Survient à la distance spécifiée du mot clé.
Sinon, Macie exclut le texte des résultats.  
Vous pouvez spécifier une distance de 1 à 300 caractères. La distance par défaut est de 50 caractères. Pour de meilleurs résultats, cette distance doit être supérieure au nombre minimum de caractères de texte que l'expression régulière est conçue pour détecter. Si seule une partie du texte se trouve dans la distance de correspondance maximale d'un mot clé, Macie ne l'inclut pas dans les résultats.

**Ignorer les mots**  
Il s'agit de séquences de caractères spécifiques à exclure des résultats. Si le texte correspond au modèle regex mais qu'il contient un mot à ignorer, Macie ne l'inclut pas dans les résultats.  
Vous pouvez spécifier jusqu'à 10 mots à ignorer. Chaque mot ignoré peut contenir de 4 à 90 caractères UTF-8. Les mots ignorés sont sensibles à la casse.

**Note**  
Avant de créer un identifiant de données personnalisé, nous vous recommandons vivement de tester et d'affiner ses critères de détection à l'aide d'échantillons de données. Les identificateurs de données personnalisés étant utilisés par les tâches de découverte de données sensibles, vous ne pouvez pas modifier un identifiant de données personnalisé après l'avoir créé. Cela permet de garantir que vous disposez d'un historique immuable des découvertes relatives aux données sensibles et des résultats de découverte pour les audits ou enquêtes que vous effectuez sur la confidentialité et la protection des données.  
Vous pouvez tester les critères de détection à l'aide de la console Amazon Macie ou de l'API Amazon Macie. Pour tester les critères à l'aide de la console, utilisez les options de la section **Evaluer** lors de la création de l'identifiant de données personnalisé. Pour tester les critères par programmation, utilisez le [TestCustomDataIdentifier](https://docs.aws.amazon.com/macie/latest/APIReference/custom-data-identifiers-test.html)fonctionnement de l'API Amazon Macie. Si vous utilisez le AWS Command Line Interface, exécutez la [test-custom-data-identifier](https://docs.aws.amazon.com/cli/latest/reference/macie2/test-custom-data-identifier.html)commande pour tester les critères.

Pour découvrir comment les mots clés peuvent vous aider à trouver des données sensibles et à éviter les faux positifs, regardez la vidéo suivante :




## Paramètres de gravité des résultats
<a name="cdis-finding-severity"></a>

Lorsque vous créez un identifiant de données personnalisé, vous pouvez également spécifier des paramètres de gravité personnalisés pour les résultats de données sensibles produits par l'identifiant. Par défaut, Amazon Macie attribue le niveau de gravité *moyen* à tous les résultats produits par un identifiant de données personnalisé. Si un objet S3 contient au moins une occurrence de texte correspondant aux critères de détection, Macie attribue automatiquement le niveau de gravité *moyen* au résultat obtenu.

Avec les paramètres de gravité personnalisés, vous spécifiez la sévérité à attribuer en fonction du nombre d'occurrences de texte correspondant aux critères de détection. Vous pouvez définir *des seuils d'occurrence* pour trois niveaux de gravité maximum : *faible* (le moins grave), *moyen* et *élevé* (le plus grave). Un *seuil d'occurrences* est le nombre minimum de correspondances qui doivent exister dans un objet S3 pour produire un résultat ayant la gravité spécifiée. Si vous spécifiez plusieurs seuils, ceux-ci doivent être classés par ordre croissant de gravité, en passant de *faible* à *élevé*.

Par exemple, l'image suivante montre les paramètres de gravité qui spécifient trois seuils d'occurrence, un pour chaque niveau de gravité pris en charge par Macie.

![\[Paramètres de gravité qui spécifient les seuils d'occurrence pour les niveaux de gravité faible, moyen et élevé.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/scrn-cdi-severity.png)


Le tableau suivant indique la gravité des résultats produits par l'identifiant de données personnalisé.


| Seuil d'occurrences | Niveau de gravité | Résultat | 
| --- | --- | --- | 
| 1 | Faible | Si un objet S3 contient 1 à 49 occurrences de texte correspondant aux critères de détection, le niveau de gravité du résultat est faible.  | 
| 50 | Moyenne | Si un objet S3 contient entre 50 et 99 occurrences de texte correspondant aux critères de détection, le niveau de gravité du résultat est moyen. | 
| 100 | Élevée | Si un objet S3 contient au moins 100 occurrences de texte correspondant aux critères de détection, le niveau de gravité du résultat est élevé. | 

Vous pouvez également utiliser les paramètres de gravité pour spécifier s'il faut créer un résultat. Si un objet S3 contient moins d'occurrences que le seuil d'occurrences le plus bas, Macie ne crée pas de résultat.

# Création d'un identifiant de données personnalisé
<a name="cdis-create"></a>

Un *identifiant de données personnalisé* est un ensemble de critères que vous définissez pour détecter les données sensibles dans les objets Amazon Simple Storage Service (Amazon S3). Lorsque vous créez un identifiant de données personnalisé, vous spécifiez une expression régulière (*regex*) qui définit un modèle de texte à associer à un objet S3. Vous pouvez également définir des séquences de caractères et une règle de proximité pour affiner les résultats. Les séquences de caractères peuvent être : des mots *clés*, qui sont des mots ou des phrases qui doivent se trouver à proximité du texte correspondant à l'expression régulière, ou des *mots ignorés*, qui sont des mots ou des phrases à exclure des résultats. En utilisant des identifiants de données personnalisés, vous pouvez compléter les [identifiants de données gérés](managed-data-identifiers.md) fournis par Amazon Macie et détecter les données sensibles qui reflètent les scénarios, la propriété intellectuelle ou les données propriétaires propres à votre entreprise.

Par exemple, de nombreuses entreprises ont une syntaxe spécifique pour les employés IDs. L'une de ces syntaxes pourrait être : une majuscule indiquant si un employé est un employé à temps plein (*F*) ou à temps partiel (*P*), suivie d'un trait d'union (—), suivie d'une séquence de huit chiffres identifiant l'employé. Les exemples sont : *F—12345678* pour un employé à temps plein, et *P—87654321* pour un employé à temps partiel. Pour détecter les employés IDs qui utilisent cette syntaxe, vous pouvez créer un identifiant de données personnalisé qui spécifie l'expression régulière suivante :`[A-Z]-\d{8}`. Pour affiner l'analyse et éviter les faux positifs, vous pouvez également configurer l'identifiant pour qu'il utilise des mots clés (`employee`et`employee ID`) et une distance de correspondance maximale de 20 caractères. Avec ces critères, les résultats incluent du texte correspondant à l'expression régulière si le texte apparaît après le mot clé *employé ou *ID* d'employé* et que tout le texte se trouve à moins de 20 caractères de l'un de ces mots clés.

Pour découvrir comment les mots clés peuvent vous aider à trouver des données sensibles et à éviter les faux positifs, regardez la vidéo suivante :




Outre les critères de détection, vous pouvez éventuellement définir des paramètres de gravité personnalisés pour les résultats produits par un identifiant de données personnalisé. La gravité peut être basée sur le nombre d'occurrences de texte correspondant aux critères de détection de l'identifiant. Si vous ne spécifiez pas ces paramètres, Macie attribue automatiquement le niveau de gravité *moyen* à tous les résultats produits par l'identifiant. La gravité ne change pas en fonction du nombre d'occurrences de texte correspondant aux critères de détection de l'identifiant.

Pour obtenir des informations détaillées sur ces paramètres et sur d'autres paramètres, consultez[Options de configuration pour les identificateurs de données personnalisés](cdis-options.md).

**Pour créer un identificateur de données personnalisé**  
Vous pouvez créer un identifiant de données personnalisé à l'aide de la console Amazon Macie ou de l'API Amazon Macie.

------
#### [ Console ]

Suivez ces étapes pour créer un identifiant de données personnalisé à l'aide de la console Amazon Macie.

**Pour créer un identificateur de données personnalisé**

1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Dans le volet de navigation, sous **Settings (Paramètres)**, choisissez **Custom data identifiers (Identificateurs de données personnalisés)**.

1. Choisissez **Créer**.

1. Dans la zone **Nom**, saisissez un nom pour l'identificateur de données personnalisé. Le nom peut contenir jusqu'à 128 caractères.

1. Dans **Description**, entrez éventuellement une brève description de l'identifiant de données personnalisé. La description peut contenir jusqu'à 512 caractères.
**Note**  
Évitez d'inclure des données sensibles dans le nom ou la description d'un identifiant de données personnalisé. Les autres utilisateurs de votre compte peuvent accéder au nom ou à la description, en fonction des actions qu'ils sont autorisés à effectuer dans Macie.

1. Pour **Expression régulière**, entrez l'expression régulière (*regex*) qui définit le modèle de texte à correspondre. L'expression régulière peut contenir jusqu'à 512 caractères.

   Macie prend en charge un sous-ensemble de la syntaxe des modèles fournie par la bibliothèque [Perl Compatible Regular Expressions (PCRE)](https://www.pcre.org/). Pour plus de détails et de conseils, consultez la section [Critères de détection pour les identificateurs de données personnalisés](cdis-options.md#cdis-detection-criteria).

1. Pour les **mots clés**, entrez éventuellement jusqu'à 50 séquences de caractères (séparées par des virgules) pour définir un texte spécifique qui doit se trouver à proximité du texte correspondant au modèle regex.

   Macie inclut une occurrence dans les résultats uniquement si le texte correspond au modèle regex et s'il se trouve dans la distance de correspondance maximale de l'un de ces mots clés. Chaque mot clé peut contenir de 3 à 90 caractères UTF-8. Les mots-clés ne sont pas sensibles à la casse.

1. Pour **Ignorer les mots**, entrez éventuellement jusqu'à 10 séquences de caractères (séparées par des virgules) qui définissent le texte spécifique à exclure des résultats.

   Macie exclut une occurrence des résultats si le texte correspond au modèle regex mais qu'il contient l'un de ces mots ignorés. Chaque mot ignoré peut contenir de 4 à 90 caractères UTF-8. Les mots ignorés sont sensibles à la casse.

1. Pour **Distance de correspondance maximale**, entrez éventuellement le nombre maximum de caractères pouvant exister entre la fin d'un mot clé et la fin du texte correspondant au modèle regex.

   Macie inclut une occurrence dans les résultats uniquement si le texte correspond au modèle regex et s'il se trouve à cette distance d'un mot clé complet. La distance peut être comprise entre 1 et 300 caractères. La distance par défaut est de 50 caractères.

1. Dans le **champ** Sévérité, choisissez le mode de détermination de la gravité des données sensibles détectées par l'identifiant de données personnalisé :
   + Pour attribuer automatiquement la gravité *moyenne* à tous les résultats, choisissez **Utiliser une gravité moyenne pour un nombre quelconque de correspondances (par défaut)**. Avec cette option, Macie attribue automatiquement le niveau de gravité *moyen* à un résultat si l'objet S3 concerné contient une ou plusieurs occurrences de texte correspondant aux critères de détection.
   + Pour attribuer la gravité en fonction des seuils d'occurrence que vous spécifiez, choisissez **Utiliser des paramètres personnalisés pour déterminer la gravité**. Utilisez ensuite les options **Seuil d'occurrences** et **Niveau de gravité** pour spécifier le nombre minimum de correspondances qui doivent exister dans un objet S3 pour produire un résultat avec une gravité sélectionnée.

     Vous pouvez spécifier jusqu'à trois seuils d'occurrence, un pour chaque niveau de gravité pris en charge par Macie : *faible* (le moins grave), *moyen* ou *élevé* (le plus sévère). Si vous en spécifiez plusieurs, les seuils doivent être classés par ordre croissant de gravité, en passant de *faible* à *élevé*. Si un objet S3 contient moins d'occurrences que le seuil le plus bas, Macie ne crée pas de résultat.

1. (Facultatif) Pour les **balises**, choisissez **Ajouter une balise**, puis entrez jusqu'à 50 balises à attribuer à l'identifiant de données personnalisé.

   Un *tag* est un label que vous définissez et attribuez à certains types de AWS ressources. Chaque balise se compose d’une clé de balise obligatoire et d’une valeur de balise facultative. Les balises peuvent vous aider à identifier, classer et gérer ces types de ressources de différentes façons, notamment par objectif, par propriétaire, par environnement ou selon d’autres critères. Pour en savoir plus, veuillez consulter la section [Marquer les ressources de Macie](tagging-resources.md).

1. (Facultatif) Pour **Evaluer**, entrez jusqu'à 1 000 caractères dans la zone **Exemple de données**, puis choisissez **Test** pour tester les critères de détection. Macie évalue les exemples de données et indique le nombre d'occurrences de texte correspondant aux critères. Vous pouvez répéter cette étape autant de fois que vous le souhaitez pour affiner et optimiser les critères.
**Note**  
Nous vous recommandons vivement de tester et d'affiner les critères de détection à l'aide d'échantillons de données. Les identificateurs de données personnalisés étant utilisés par les tâches de découverte de données sensibles, vous ne pouvez pas modifier un identifiant de données personnalisé après l'avoir créé. Cela permet de vous assurer que vous disposez d’un historique immuable des découvertes de données sensibles et des résultats de découverte.  
Macie appliquant une logique supplémentaire lors du traitement des enregistrements structurés, le nombre de correspondances renvoyé par la case **Evaluer** peut différer dans certains cas des résultats produits par les jobs.

1. Lorsque vous avez terminé, choisissez **Submit (Soumettre)**.

Macie teste les paramètres et vérifie qu'il peut compiler l'expression régulière. En cas de problème avec un paramètre ou l'expression régulière, Macie affiche une erreur décrivant le problème. Une fois les problèmes résolus, vous pouvez enregistrer l'identifiant de données personnalisé.

------
#### [ API ]

Pour créer un identifiant de données personnalisé par programmation, utilisez l'[CreateCustomDataIdentifier](https://docs.aws.amazon.com/macie/latest/APIReference/custom-data-identifiers.html)API Amazon Macie. Ou, si vous utilisez le AWS Command Line Interface (AWS CLI), exécutez la [create-custom-data-identifier](https://docs.aws.amazon.com/cli/latest/reference/macie2/create-custom-data-identifier.html)commande.

**Note**  
Avant de créer un identifiant de données personnalisé, nous vous recommandons vivement de tester et d'affiner ses critères de détection à l'aide d'échantillons de données. Les identificateurs de données personnalisés étant utilisés par les tâches de découverte de données sensibles, vous ne pouvez pas modifier un identifiant de données personnalisé après l'avoir créé. Cela permet de vous assurer que vous disposez d’un historique immuable des découvertes de données sensibles et des résultats de découverte.  
Pour tester les critères par programmation, vous pouvez utiliser le [TestCustomDataIdentifier](https://docs.aws.amazon.com/macie/latest/APIReference/custom-data-identifiers-test.html)fonctionnement de l'API Amazon Macie. Cette opération fournit un environnement permettant d'évaluer des échantillons de données à l'aide de critères de détection. Si vous utilisez le AWS CLI, vous pouvez exécuter la [test-custom-data-identifier](https://docs.aws.amazon.com/cli/latest/reference/macie2/test-custom-data-identifier.html)commande pour tester les critères.

Lorsque vous êtes prêt à créer l'identifiant de données personnalisé, utilisez les paramètres suivants pour définir ses critères de détection :
+ `regex`— Spécifiez l'expression régulière (*regex*) qui définit le modèle de texte à correspondre. L'expression régulière peut contenir jusqu'à 512 caractères.

  Macie prend en charge un sous-ensemble de la syntaxe des modèles fournie par la bibliothèque [Perl Compatible Regular Expressions (PCRE)](https://www.pcre.org/). Pour plus de détails et de conseils, consultez la section [Critères de détection pour les identificateurs de données personnalisés](cdis-options.md#cdis-detection-criteria).
+ `keywords`— Spécifiez éventuellement des séquences de 1 à 50 caractères (*mots clés*) qui doivent se trouver à proximité du texte correspondant au modèle d'expression régulière.

  Macie inclut une occurrence dans les résultats uniquement si le texte correspond au modèle regex et s'il se trouve dans la distance de correspondance maximale de l'un de ces mots clés. Chaque mot clé peut contenir de 3 à 90 caractères UTF-8. Les mots-clés ne sont pas sensibles à la casse.
+ `maximumMatchDistance`— Spécifiez éventuellement le nombre maximum de caractères pouvant exister entre la fin d'un mot clé et la fin du texte correspondant au modèle regex. Si vous utilisez le AWS CLI, utilisez le `maximum-match-distance` paramètre pour spécifier cette valeur.

  Macie inclut une occurrence dans les résultats uniquement si le texte correspond au modèle regex et s'il se trouve à cette distance d'un mot clé complet. La distance peut être comprise entre 1 et 300 caractères. La distance par défaut est de 50 caractères.
+ `ignoreWords`— Spécifiez éventuellement des séquences de 1 à 10 caractères (*ignorez les mots*) à exclure des résultats. Si vous utilisez le AWS CLI, utilisez le `ignore-words` paramètre pour spécifier ces séquences de caractères.

  Macie exclut une occurrence des résultats si le texte correspond au modèle regex mais qu'il contient l'un de ces mots ignorés. Chaque mot ignoré peut contenir de 4 à 90 caractères UTF-8. Les mots ignorés sont sensibles à la casse.

Pour spécifier la gravité des résultats relatifs aux données sensibles produits par l'identifiant de données personnalisé, utilisez le `severityLevels` paramètre ou, si vous utilisez le AWS CLI, le `severity-levels` paramètre :
+ Pour attribuer automatiquement la `MEDIUM` gravité à tous les résultats, omettez ce paramètre. Macie utilise ensuite le paramètre par défaut. Par défaut, Macie attribue la `MEDIUM` sévérité à un résultat si l'objet S3 concerné contient une ou plusieurs occurrences de texte correspondant aux critères de détection.
+ Pour attribuer la gravité en fonction des seuils d'occurrence que vous spécifiez, spécifiez le nombre minimum de correspondances qui doivent exister dans un objet S3 pour produire un résultat d'une gravité spécifiée.

  Vous pouvez spécifier jusqu'à trois seuils d'occurrence, un pour chaque niveau de gravité pris en charge par Macie : `LOW` (le moins grave) ou `HIGH` (le plus sévère). `MEDIUM` Si vous en spécifiez plusieurs, les seuils doivent être classés par ordre croissant de gravité, en allant de `LOW` à`HIGH`. Si un objet S3 contient moins d'occurrences que le seuil le plus bas, Macie ne crée pas de résultat.

Utilisez des paramètres supplémentaires pour spécifier un nom et d'autres paramètres, tels que des balises, pour l'identifiant de données personnalisé. Évitez d'inclure des données sensibles dans ces paramètres. Les autres utilisateurs de votre compte peuvent peut-être accéder à ces valeurs, en fonction des actions qu'ils sont autorisés à effectuer dans Macie.

Lorsque vous soumettez votre demande, Macie teste les paramètres et vérifie qu'il peut compiler l'expression régulière. En cas de problème avec un paramètre ou une expression régulière, la demande échoue et Macie renvoie un message décrivant le problème. Si la demande aboutit, vous recevez un résultat similaire à ce qui suit :

```
{
    "customDataIdentifierId": "393950aa-82ea-4bdc-8f7b-e5be3example"
}
```

Where `customDataIdentifierId` indique l'identifiant unique (ID) pour l'identifiant de données personnalisé créé.

Pour récupérer et vérifier ultérieurement les paramètres de l'identifiant de données personnalisé, utilisez l'[GetCustomDataIdentifier](https://docs.aws.amazon.com/macie/latest/APIReference/custom-data-identifiers-id.html)opération ou, si vous utilisez le AWS CLI, exécutez la [get-custom-data-identifier](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-custom-data-identifier.html)commande. Pour le `id` paramètre, spécifiez l'ID de l'identifiant de données personnalisé.

Les exemples suivants montrent comment utiliser le AWS CLI pour créer un identifiant de données personnalisé. Les exemples créent un identifiant de données personnalisé conçu pour détecter les employés IDs qui utilisent une syntaxe spécifique et se trouvent à proximité d'un mot clé spécifié. Les exemples définissent également des paramètres de gravité personnalisés pour les résultats produits par l'identifiant.

Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.

```
$ aws macie2 create-custom-data-identifier \
--name "EmployeeIDs" \
--regex "[A-Z]-\d{8}" \
--keywords '["employee","employee ID"]' \
--maximum-match-distance 20 \
--severity-levels '[{"occurrencesThreshold":1,"severity":"LOW"},{"occurrencesThreshold":50,"severity":"MEDIUM"},{"occurrencesThreshold":100,"severity":"HIGH"}]' \
--description "Detects employee IDs in proximity of a keyword." \
--tags '{"Stack":"Production"}'
```

Cet exemple est formaté pour Microsoft Windows et utilise le caractère de continuation de ligne caret (^) pour améliorer la lisibilité.

```
C:\> aws macie2 create-custom-data-identifier ^
--name "EmployeeIDs" ^
--regex "[A-Z]-\d{8}" ^
--keywords "[\"employee\",\"employee ID\"]" ^
--maximum-match-distance 20 ^
--severity-levels "[{\"occurrencesThreshold\":1,\"severity\":\"LOW\"},{\"occurrencesThreshold\":50,\"severity\":\"MEDIUM\"},{\"occurrencesThreshold\":100,\"severity\":\"HIGH\"}]" ^
--description "Detects employee IDs in proximity of a keyword." ^
--tags={\"Stack\":\"Production\"}
```

Où :
+ `EmployeeIDs`est le nom de l'identifiant de données personnalisé.
+ `[A-Z]-\d{8}`est l'expression régulière du modèle de texte à correspondre.
+ `employee`et `employee ID` sont des mots clés qui doivent se trouver à proximité d'un texte correspondant au modèle regex.
+ `20`est le nombre maximum de caractères pouvant exister entre la fin d'un mot clé et la fin d'un texte correspondant au modèle regex.
+ `description`spécifie une brève description de l'identifiant de données personnalisé.
+ `severity-levels`définit des seuils d'occurrence personnalisés pour la gravité des constatations produites par l'identifiant de données personnalisé : `LOW` pour 1 à 49 occurrences, `MEDIUM` pour 50 à 99 occurrences et `HIGH` pour 100 occurrences ou plus.
+ `Stack`est la clé de balise de la balise à attribuer à l'identifiant de données personnalisé. `Production`est la valeur de balise pour la clé de balise spécifiée.

------

Après avoir créé l'identifiant de données personnalisé, vous pouvez [créer et configurer des tâches de découverte de données sensibles](discovery-jobs-create.md) pour l'utiliser, ou [l'ajouter à vos paramètres pour la découverte automatique de données sensibles](discovery-asdd-account-configure.md).

# Supprimer un identifiant de données personnalisé
<a name="cdis-delete"></a>

Après avoir créé un identifiant de données personnalisé, vous pouvez le supprimer. Dans ce cas, Amazon Macie supprime automatiquement l'identifiant de données personnalisé. Cela signifie qu'un enregistrement de l'identifiant de données personnalisé est conservé pour votre compte, mais il est marqué comme supprimé. Si un identifiant de données personnalisé possède ce statut, vous ne pouvez pas configurer de nouvelles tâches de découverte de données sensibles pour l'utiliser ou l'ajouter à vos paramètres de découverte automatique des données sensibles. De plus, vous ne pouvez plus y accéder à l'aide de la console Amazon Macie. Vous pouvez toutefois récupérer ses paramètres à l'aide de l'API Amazon Macie. Si vous supprimez un identifiant de données personnalisé, il n'est pas pris en compte dans le quota d'identifiants de données personnalisés de votre compte.

Si vous configurez une tâche de découverte de données sensibles pour utiliser un identifiant de données personnalisé que vous supprimez ultérieurement, la tâche s'exécutera comme prévu et continuera à utiliser l'identifiant de données personnalisé. Cela signifie que les résultats de votre travail, qu'il s'agisse de la découverte de données sensibles ou de la découverte de données sensibles, indiqueront un texte correspondant aux critères de l'identifiant. Cela permet de garantir que vous disposez d'un historique immuable des découvertes relatives aux données sensibles et des résultats de découverte pour les audits ou enquêtes que vous effectuez sur la confidentialité et la protection des données.

De même, si vous configurez la découverte automatique des données sensibles pour utiliser un identifiant de données personnalisé que vous supprimez ultérieurement, les cycles d'analyse quotidiens se poursuivront et continueront à utiliser l'identifiant de données personnalisé. Cela signifie que les résultats relatifs aux données sensibles, les statistiques et les autres types de résultats continueront de signaler un texte correspondant aux critères de l'identifiant.

Avant de supprimer un identifiant de données personnalisé, procédez comme suit pour empêcher Macie de l'utiliser lors des cycles d'analyse et des exécutions de tâches suivants :
+ Vérifiez vos paramètres pour la découverte automatique des données sensibles. Si vous avez ajouté l'identifiant de données personnalisé à ces paramètres, supprimez-le. Pour de plus amples informations, veuillez consulter [Configuration des paramètres pour la découverte automatique des données sensibles](discovery-asdd-account-configure.md).
+ Passez en revue votre inventaire des tâches pour identifier les tâches qui utilisent l'identifiant de données personnalisé et dont l'exécution est prévue dans le futur. Si vous souhaitez qu'une tâche cesse d'utiliser l'identifiant de données personnalisé, vous pouvez l'annuler. Créez ensuite une copie de la tâche, ajustez les paramètres de la copie et enregistrez la copie en tant que nouvelle tâche. Pour de plus amples informations, veuillez consulter [Gestion des tâches de découverte de données sensibles](discovery-jobs-manage.md).

Il est également judicieux de noter l'identifiant unique (ID) que Macie a attribué à l'identifiant de données personnalisé. Vous aurez besoin de cet identifiant si vous souhaitez ultérieurement revoir les paramètres de l'identifiant de données personnalisé.

Après avoir effectué les tâches précédentes, supprimez l'identifiant de données personnalisé.

**Pour supprimer un identifiant de données personnalisé**  
Vous pouvez supprimer un identifiant de données personnalisé à l'aide de la console Amazon Macie ou de l'API Amazon Macie.

------
#### [ Console ]

Suivez ces étapes pour supprimer un identifiant de données personnalisé à l'aide de la console Amazon Macie.

**Pour supprimer un identifiant de données personnalisé**

1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Dans le volet de navigation, sous **Settings (Paramètres)**, choisissez **Custom data identifiers (Identificateurs de données personnalisés)**.

1. Pour noter l'identifiant unique (ID) de l'identifiant de données personnalisé que vous souhaitez supprimer, choisissez le nom de l'identifiant de données personnalisé. Sur la page qui apparaît, le champ **ID** affiche cet identifiant. Après avoir noté l'ID, choisissez à nouveau **Identifiants de données personnalisés** dans le volet de navigation.

1. Sur la page **Identifiants de données personnalisés**, cochez la case correspondant à l'identifiant de données personnalisé à supprimer.

1. Dans le menu **Actions**, sélectionnez **Delete (Supprimer)**.

1. Lorsque vous êtes invité à confirmer, cliquez **sur OK**.

------
#### [ API ]

Pour supprimer un identifiant de données personnalisé par programmation, utilisez l'[DeleteCustomDataIdentifier](https://docs.aws.amazon.com/macie/latest/APIReference/custom-data-identifiers-id.html)API Amazon Macie. Ou, si vous utilisez le AWS Command Line Interface (AWS CLI), exécutez la [delete-custom-data-identifier](https://docs.aws.amazon.com/cli/latest/reference/macie2/delete-custom-data-identifier.html)commande.

Pour le `id` paramètre, spécifiez l'identifiant unique (ID) pour l'identifiant de données personnalisé que vous souhaitez supprimer. Vous pouvez obtenir cet identifiant en utilisant l'[ListCustomDataIdentifiers](https://docs.aws.amazon.com/macie/latest/APIReference/custom-data-identifiers-list.html)opération. Cette opération permet de récupérer un sous-ensemble d'informations concernant les identifiants de données personnalisés de votre compte. Si vous utilisez le AWS CLI, vous pouvez exécuter la [list-custom-data-identifiers](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-custom-data-identifiers.html)commande pour récupérer ces informations.

L'exemple suivant montre comment supprimer un identifiant de données personnalisé à l'aide du AWS CLI.

```
$ aws macie2 delete-custom-data-identifier --id 393950aa-82ea-4bdc-8f7b-e5be3example
```

Où se *393950aa-82ea-4bdc-8f7b-e5be3example* trouve l'ID de l'identifiant de données personnalisé à supprimer.

Si la demande aboutit, Macie renvoie une réponse HTTP 200 vide. Sinon, Macie renvoie une réponse HTTP 4 *xx* ou 500 indiquant pourquoi la demande a échoué.

------

Pour vérifier les paramètres d'un identifiant de données personnalisé une fois que vous l'[GetCustomDataIdentifier](https://docs.aws.amazon.com/macie/latest/APIReference/custom-data-identifiers-id.html)avez supprimé, utilisez l'API Amazon Macie. Ou, si vous utilisez le AWS CLI, exécutez la [get-custom-data-identifier](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-custom-data-identifier.html)commande. Pour le `id` paramètre, spécifiez l'ID de l'identifiant de données personnalisé. Une fois que vous avez supprimé un identifiant de données personnalisé, vous ne pouvez pas accéder à ses paramètres à l'aide de la console Amazon Macie.

# Définition des exceptions relatives aux données sensibles à l'aide de listes d'autorisation
<a name="allow-lists"></a>

Avec les listes d'autorisation d'Amazon Macie, vous pouvez définir du texte et des modèles de texte spécifiques que vous souhaitez que Macie ignore lorsqu'il inspecte les objets Amazon Simple Storage Service (Amazon S3) à la recherche de données sensibles. Il s'agit généralement d'exceptions relatives aux données sensibles correspondant à vos scénarios ou à votre environnement particuliers. Si les données correspondent au texte ou à un modèle de texte figurant dans une liste d'autorisation, Macie ne les rapporte pas. C'est le cas même si les données répondent aux critères d'un identifiant de [données géré ou d'un identifiant](managed-data-identifiers.md) de [données personnalisé](custom-data-identifiers.md). En utilisant des listes d'autorisations, vous pouvez affiner votre analyse des données Amazon S3 et réduire le bruit.

Vous pouvez créer et utiliser deux types de listes d'autorisation dans Macie :
+ **Texte prédéfini** : pour ce type de liste, vous spécifiez certaines séquences de caractères à ignorer. Par exemple, vous pouvez spécifier les noms des représentants publics de votre organisation, des numéros de téléphone spécifiques ou des exemples de données spécifiques que votre organisation utilise pour les tests. Si vous utilisez ce type de liste, Macie ignore le texte qui correspond exactement à une entrée de la liste.

  Ce type de liste d'autorisation est utile si vous souhaitez spécifier des mots, des phrases et d'autres types de séquences de caractères qui ne sont pas sensibles, qui ne sont pas susceptibles de changer et qui ne suivent pas nécessairement un schéma commun.
+ **Expression régulière** — Pour ce type de liste, vous spécifiez une expression régulière (*regex*) qui définit un modèle de texte à ignorer. Par exemple, vous pouvez spécifier le modèle pour les numéros de téléphone publics de votre organisation, les adresses e-mail du domaine de votre organisation ou les exemples de données structurés que votre organisation utilise pour les tests. Si vous utilisez ce type de liste, Macie ignore le texte qui correspond parfaitement au modèle défini par la liste.

  Ce type de liste d'autorisation est utile si vous souhaitez spécifier un texte qui n'est pas sensible mais qui varie ou est susceptible de changer tout en respectant un modèle commun.

Après avoir créé une liste d'autorisation, vous pouvez [créer et configurer des tâches de découverte de données sensibles](discovery-jobs-create.md) pour l'utiliser, ou [l'ajouter à vos paramètres pour la découverte automatique de données sensibles](discovery-asdd-account-configure.md). Macie utilise ensuite la liste lorsqu'il analyse les données. Si Macie trouve du texte correspondant à une entrée ou à un modèle dans une liste d'autorisation, Macie ne signale pas cette occurrence de texte dans les résultats de données sensibles, les statistiques et les autres types de résultats.

Vous pouvez gérer et utiliser des listes d'autorisation dans tous les Régions AWS endroits où Macie est actuellement disponible, à l'exception de la région Asie-Pacifique (Osaka).

**Topics**
+ [Options de configuration pour les listes d'autorisation](allow-lists-options.md)
+ [Création d'une liste d'autorisations](allow-lists-create.md)
+ [Vérifier l'état d'une liste d'autorisations](allow-lists-status-check.md)
+ [Modifier une liste d'autorisations](allow-lists-change.md)
+ [Supprimer une liste d'autorisations](allow-lists-delete.md)

# Options de configuration et exigences relatives aux listes d'autorisation
<a name="allow-lists-options"></a>

Dans Amazon Macie, vous pouvez utiliser des listes d'autorisation pour spécifier du texte ou des modèles de texte que vous souhaitez que Macie ignore lorsqu'il inspecte des objets Amazon Simple Storage Service (Amazon S3) pour détecter la présence de données sensibles. Macie propose des options pour deux types de listes d'autorisation : du texte prédéfini et des expressions régulières.

Une liste de texte prédéfini est utile si vous souhaitez que Macie ignore des mots, des phrases ou d'autres types de séquences de caractères que vous ne considérez pas comme sensibles. Exemples : les noms des représentants publics de votre organisation, des numéros de téléphone spécifiques ou des exemples de données spécifiques que votre organisation utilise pour les tests. Si Macie trouve du texte qui correspond aux critères d'un identifiant de données géré ou personnalisé et que le texte correspond également à une entrée d'une liste d'autorisation, Macie ne signale pas cette occurrence de texte dans les résultats relatifs aux données sensibles, les statistiques et les autres types de résultats.

Une expression régulière (*regex*) est utile si vous souhaitez que Macie ignore le texte qui varie ou est susceptible de changer tout en respectant un modèle commun. L'expression régulière indique un modèle de texte à ignorer. Par exemple : les numéros de téléphone publics de votre organisation, les adresses e-mail du domaine de votre organisation ou des exemples de données structurés que votre organisation utilise pour les tests. Si Macie trouve du texte qui correspond aux critères d'un identifiant de données géré ou personnalisé et que le texte correspond également à un modèle d'expression régulière dans une liste d'autorisation, Macie ne signale pas cette occurrence de texte dans les résultats de données sensibles, les statistiques et les autres types de résultats.

Vous pouvez créer et utiliser les deux types de listes d'autorisation dans tous les Régions AWS endroits où Macie est actuellement disponible, à l'exception de la région Asie-Pacifique (Osaka). Lorsque vous créez et gérez des listes d'autorisation, gardez à l'esprit les options et exigences suivantes. Notez également que les entrées de liste et les modèles de regex pour les adresses postales ne sont pas pris en charge.

**Contents**
+ [Options et exigences relatives aux listes de texte prédéfini](#allow-lists-options-s3list)
  + [Exigences en matière de syntaxe](#allow-lists-options-s3list-syntax)
  + [Besoins de stockage](#allow-lists-options-s3list-storage)
  + [Exigences en matière de chiffrement/déchiffrement](#allow-lists-options-s3list-encryption)
  + [Considérations et recommandations relatives à la conception](#allow-lists-options-s3list-notes)
+ [Options et exigences relatives aux expressions régulières](#allow-lists-options-regex)
  + [Support syntaxique et recommandations](#allow-lists-options-regex-syntax)
  + [Exemples](#allow-lists-options-regex-examples)

## Options et exigences relatives aux listes de texte prédéfini
<a name="allow-lists-options-s3list"></a>

Pour ce type de liste d'autorisation, vous fournissez un fichier texte en clair délimité par des lignes qui répertorie les séquences de caractères spécifiques à ignorer. Les entrées de liste sont généralement des mots, des phrases et d'autres types de séquences de caractères que vous ne considérez pas comme sensibles, qui ne sont pas susceptibles de changer et qui ne suivent pas nécessairement un schéma spécifique. Si vous utilisez ce type de liste, Amazon Macie ne signale pas les occurrences de texte correspondant exactement à une entrée de la liste. Macie traite chaque entrée de liste comme une valeur littérale de chaîne.

Pour utiliser ce type de liste d'autorisation, commencez par créer la liste dans un éditeur de texte et enregistrez-la sous forme de fichier texte brut. Téléchargez ensuite la liste dans un compartiment S3 à usage général. Assurez-vous également que les paramètres de stockage et de chiffrement du bucket et de l'objet permettent à Macie de récupérer et de déchiffrer la liste. [Créez et configurez ensuite les paramètres de la liste](allow-lists-create.md) dans Macie.

Après avoir configuré les paramètres dans Macie, nous vous recommandons de tester la liste d'autorisations avec un petit ensemble de données représentatif de votre compte ou de votre organisation. Pour tester une liste, vous pouvez [créer une tâche ponctuelle](discovery-jobs-create.md). Configurez la tâche pour utiliser la liste en plus des identifiants de données gérés et personnalisés que vous utilisez généralement pour analyser les données. Vous pouvez ensuite consulter les résultats de la tâche : résultats de découverte de données sensibles, résultats de découverte de données sensibles, ou les deux. Si les résultats de la tâche ne correspondent pas à vos attentes, vous pouvez modifier et tester la liste jusqu'à ce que les résultats soient conformes à vos attentes.

Une fois que vous avez terminé de configurer et de tester une liste d'autorisations, vous pouvez créer et configurer des tâches supplémentaires pour l'utiliser, ou l'ajouter à vos paramètres pour la découverte automatique des données sensibles. Lorsque ces tâches commencent à s'exécuter ou que le cycle d'analyse de découverte automatique suivant démarre, Macie récupère la dernière version de la liste sur Amazon S3 et la stocke dans une mémoire temporaire. Macie utilise ensuite cette copie temporaire de la liste lorsqu'il inspecte les objets S3 à la recherche de données sensibles. Lorsqu'une tâche est terminée ou que le cycle d'analyse est terminé, Macie supprime définitivement de la mémoire sa copie de la liste. La liste ne persiste pas dans Macie. Seuls les paramètres de la liste sont conservés dans Macie.

**Important**  
Comme les listes de texte prédéfini ne sont pas conservées dans Macie, il est important de [vérifier régulièrement l'état de vos listes d'autorisation](allow-lists-status-check.md). Si Macie ne parvient pas à récupérer ou à analyser une liste pour laquelle vous avez configuré une tâche ou une découverte automatique, Macie n'utilise pas la liste. Cela peut produire des résultats inattendus, tels que la découverte de données sensibles pour le texte que vous avez spécifié dans la liste.

**Topics**
+ [Exigences en matière de syntaxe](#allow-lists-options-s3list-syntax)
+ [Besoins de stockage](#allow-lists-options-s3list-storage)
+ [Exigences en matière de chiffrement/déchiffrement](#allow-lists-options-s3list-encryption)
+ [Considérations et recommandations relatives à la conception](#allow-lists-options-s3list-notes)

### Exigences en matière de syntaxe
<a name="allow-lists-options-s3list-syntax"></a>

Lorsque vous créez ce type de liste d'autorisations, tenez compte des exigences suivantes concernant le fichier de la liste :
+ La liste doit être stockée sous forme de fichier texte brut (`text/plain`), tel qu'un fichier .txt, .text ou .plain.
+ La liste doit utiliser des sauts de ligne pour séparer les entrées individuelles. Par exemple :

  ```
  Akua Mansa
  John Doe
  Martha Rivera
  425-555-0100
  425-555-0101
  425-555-0102
  ```

  Macie traite chaque ligne comme une entrée unique et distincte dans la liste. Le fichier peut également contenir des lignes vierges pour améliorer la lisibilité. Macie ignore les lignes vides lorsqu'il analyse le fichier.
+ Chaque entrée peut contenir de 1 à 90 caractères UTF-8.
+ Chaque entrée doit correspondre exactement et complètement au texte à ignorer. Macie ne prend pas en charge l'utilisation de caractères génériques ou de valeurs partielles pour les entrées. Macie traite chaque entrée comme une valeur littérale de chaîne. Les correspondances ne sont pas sensibles à la casse.
+ Le fichier peut contenir de 1 à 100 000 entrées.
+ La taille de stockage totale du fichier ne peut pas dépasser 35 Mo.

### Besoins de stockage
<a name="allow-lists-options-s3list-storage"></a>

Lorsque vous ajoutez et gérez des listes d'autorisations dans Amazon S3, tenez compte des exigences et recommandations de stockage suivantes :
+ **Support régional** — Une liste d'autorisation doit être stockée dans un compartiment Région AWS identique à celui de votre compte Macie. Macie ne peut pas accéder à une liste d'autorisation si elle est stockée dans une autre région.
+ **Propriété du compartiment** : une liste d'autorisation doit être stockée dans un compartiment qui vous appartient Compte AWS. Si vous souhaitez que d'autres comptes utilisent la même liste d'autorisations, pensez à créer une règle de réplication Amazon S3 pour répliquer la liste dans les compartiments appartenant à ces comptes. Pour plus d'informations sur la réplication d'objets S3, consultez la section [Réplication d'objets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication.html) dans le guide de l'*utilisateur d'Amazon Simple Storage Service*.

  En outre, votre identité Gestion des identités et des accès AWS (IAM) doit disposer d'un accès en lecture au bucket et à l'objet qui stockent la liste. Sinon, vous ne serez pas autorisé à créer ou à mettre à jour les paramètres de la liste ou à vérifier son statut à l'aide de Macie.
+ **Types et classes de stockage** : une liste d'autorisations doit être stockée dans un compartiment à usage général, et non dans un compartiment de répertoire. En outre, il doit être stocké à l'aide de l'une des classes de stockage suivantes : Reduced Redundancy (RRS), S3 Glacier Instant Retrieval, S3 Intelligent-Tiering, S3 One Zone-IA, S3 Standard ou S3 Standard-IA.
+ **Politiques de compartiment** — Si vous stockez une liste d'autorisations dans un compartiment doté d'une politique de compartiment restrictive, assurez-vous que cette politique autorise Macie à récupérer la liste. Pour ce faire, vous pouvez ajouter une condition pour le rôle lié au service Macie à la politique du bucket. Pour de plus amples informations, veuillez consulter [Autoriser Macie à accéder aux compartiments et aux objets S3](monitoring-restrictive-s3-buckets.md).

  Assurez-vous également que la politique autorise votre identité IAM à avoir un accès en lecture au bucket. Sinon, vous ne serez pas autorisé à créer ou à mettre à jour les paramètres de la liste ou à vérifier son statut à l'aide de Macie.
+ **Chemins d'objet** : si vous stockez plusieurs listes d'autorisation dans Amazon S3, le chemin d'objet de chaque liste doit être unique. En d'autres termes, chaque liste d'autorisations doit être stockée séparément dans son propre objet S3.
+ **Gestion des versions** : lorsque vous ajoutez une liste d'autorisations à un bucket, nous vous recommandons d'activer également le versionnement pour le bucket. Vous pouvez ensuite utiliser des valeurs de date et d'heure pour corréler les versions de la liste avec les résultats des tâches de découverte de données sensibles et des cycles automatisés de découverte de données sensibles utilisant la liste. Cela peut vous aider dans le cadre des audits ou des enquêtes que vous effectuez en matière de confidentialité et de protection des données.
+ **Verrouillage des objets** : pour empêcher la suppression ou le remplacement d'une liste d'autorisations pendant un certain temps ou indéfiniment, vous pouvez activer le verrouillage d'objet pour le compartiment qui stocke la liste. L'activation de ce paramètre n'empêche pas Macie d'accéder à la liste. Pour plus d'informations sur ce paramètre, consultez la section [Verrouillage d'objets avec Object Lock](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock.html) dans le *guide de l'utilisateur d'Amazon Simple Storage Service*.

### Exigences en matière de chiffrement/déchiffrement
<a name="allow-lists-options-s3list-encryption"></a>

Si vous chiffrez une liste d'autorisations dans Amazon S3, la politique d'autorisations pour le [rôle lié au service Macie](service-linked-roles.md) accorde généralement à Macie les autorisations dont il a besoin pour déchiffrer la liste. Cela dépend toutefois du type de chiffrement utilisé :
+ Si une liste est chiffrée à l'aide d'un chiffrement côté serveur avec une clé gérée Amazon S3 (SSE-S3), Macie peut déchiffrer la liste. Le rôle lié à un service pour votre compte Macie accorde à Macie les autorisations dont il a besoin.
+ Si une liste est chiffrée à l'aide d'un chiffrement côté serveur avec un système AWS géré AWS KMS key (DSSE-KMS ou SSE-KMS), Macie peut déchiffrer la liste. Le rôle lié à un service pour votre compte Macie accorde à Macie les autorisations dont il a besoin.
+ Si une liste est chiffrée à l'aide d'un chiffrement côté serveur géré par le client AWS KMS key (DSSE-KMS ou SSE-KMS), Macie ne peut déchiffrer la liste que si vous autorisez Macie à utiliser la clé. Pour savoir comment procéder, consultez [Permettre à Macie d'utiliser un système géré par le client AWS KMS key](discovery-supported-encryption-types.md#discovery-supported-encryption-cmk-configuration).
**Note**  
Vous pouvez chiffrer une liste contenant un client géré AWS KMS key dans un magasin de clés externe. Cependant, la clé peut alors être plus lente et moins fiable qu'une clé entièrement gérée en interne AWS KMS. Si un problème de latence ou de disponibilité empêche Macie de déchiffrer la liste, Macie n'utilise pas la liste lorsqu'il analyse les objets S3. Cela peut produire des résultats inattendus, tels que la découverte de données sensibles pour le texte que vous avez spécifié dans la liste. Pour réduire ce risque, pensez à stocker la liste dans un compartiment S3 configuré pour utiliser la clé comme clé de compartiment S3.  
Pour plus d'informations sur l'utilisation des clés KMS dans les magasins de clés [externes, consultez la section Stockages de clés externes](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-external.html) du *manuel du AWS Key Management Service développeur*. Pour plus d'informations sur l'utilisation des clés de compartiment S3, consultez la section [Réduction du coût du SSE-KMS avec les clés de compartiment Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html) dans le guide de l'*utilisateur d'Amazon Simple Storage Service*.
+ Si une liste est chiffrée à l'aide d'un chiffrement côté serveur avec une clé fournie par le client (SSE-C) ou d'un chiffrement côté client, Macie ne peut pas déchiffrer la liste. Envisagez plutôt d'utiliser le chiffrement SSE-S3, DSSE-KMS ou SSE-KMS.

Si une liste est chiffrée à l'aide d'une clé KMS AWS gérée ou d'une clé KMS gérée par le client, votre identité Gestion des identités et des accès AWS (IAM) doit également être autorisée à utiliser la clé. Sinon, vous ne serez pas autorisé à créer ou à mettre à jour les paramètres de la liste ou à vérifier son statut à l'aide de Macie. Pour savoir comment vérifier ou modifier les autorisations associées à une clé KMS, consultez la section [Politiques relatives aux clés AWS KMS dans](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) le *guide du AWS Key Management Service développeur*.

Pour obtenir des informations détaillées sur les options de chiffrement des données Amazon S3, consultez [la section Protection des données par chiffrement](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingEncryption.html) dans le *guide de l'utilisateur d'Amazon Simple Storage Service*.

### Considérations et recommandations relatives à la conception
<a name="allow-lists-options-s3list-notes"></a>

En général, Macie traite chaque entrée d'une liste d'autorisation comme une valeur littérale de chaîne. C'est-à-dire que Macie ignore chaque occurrence de texte qui correspond exactement à une entrée complète dans une liste d'autorisation. Les correspondances ne sont pas sensibles à la casse.

Cependant, Macie utilise les entrées dans le cadre d'un cadre d'extraction et d'analyse de données plus large. Le framework inclut des fonctions d'apprentissage automatique et de correspondance de modèles qui prennent en compte des dimensions telles que les variations grammaticales et syntaxiques et, dans de nombreux cas, la proximité des mots clés. Le framework prend également en compte le type de fichier ou le format de stockage d'un objet S3. Par conséquent, gardez à l'esprit les considérations et recommandations suivantes lorsque vous ajoutez et gérez les entrées dans une liste d'autorisation.

**Préparez-vous à différents types de fichiers et formats de stockage**  
Pour les données non structurées, telles que le texte d'un fichier Adobe Portable Document Format (.pdf), Macie ignore le texte qui correspond exactement à une entrée complète dans une liste d'autorisation, y compris le texte qui s'étend sur plusieurs lignes ou pages.  
Pour les données structurées, telles que les données en colonnes dans un fichier CSV ou les données basées sur des enregistrements dans un fichier JSON, Macie ignore le texte qui correspond exactement à une entrée complète dans une liste d'autorisation si tout le texte est stocké dans un seul champ, cellule ou tableau. Cette exigence ne s'applique pas aux données structurées stockées dans un fichier par ailleurs non structuré, tel qu'un tableau dans un fichier .pdf.  
Par exemple, considérez le contenu suivant dans un fichier CSV :  

```
Name,Account ID
Akua Mansa,111111111111
John Doe,222222222222
```
Si `Akua Mansa` et `John Doe` sont des entrées dans une liste d'autorisation, Macie ignore ces noms dans le fichier CSV. Le texte complet de chaque entrée de liste est enregistré dans un seul `Name` champ.  
À l'inverse, considérez un fichier CSV contenant les colonnes et les champs suivants :  

```
First Name,Last Name,Account ID
Akua,Mansa,111111111111
John,Doe,222222222222
```
Si `Akua Mansa` des entrées `John Doe` figurent dans une liste d'autorisation, Macie n'ignore pas ces noms dans le fichier CSV. Aucun des champs du fichier CSV ne contient le texte complet d'une entrée dans la liste d'autorisation.

**Inclure les variations courantes**  
Ajoutez des entrées pour les variations courantes de données numériques, de noms propres, de termes et de séquences de caractères alphanumériques. Par exemple, si vous ajoutez des noms ou des phrases contenant un seul espace entre les mots, ajoutez également des variantes qui incluent deux espaces entre les mots. De même, ajoutez des mots et des phrases contenant ou non des caractères spéciaux, et envisagez d'inclure des variations syntaxiques et sémantiques courantes.  
Pour le numéro de téléphone américain *425-555-0100*, par exemple, vous pouvez ajouter les entrées suivantes à une liste d'autorisation :  

```
425-555-0100
425.555.0100
(425) 555-0100
+1-425-555-0100
```
Pour la date du *1er février 2022* dans un contexte multinational, vous pouvez ajouter des entrées qui incluent des variations syntaxiques courantes pour l'anglais et le français, y compris des variations qui incluent ou non des caractères spéciaux :  

```
February 1, 2022
1 février 2022
1 fevrier 2022
Feb 01, 2022
1 fév 2022
1 fev 2022
02/01/2022
01/02/2022
```
Pour les noms de personnes, incluez des entrées correspondant aux différentes formes de nom que vous ne considérez pas comme sensibles. Par exemple, incluez : le prénom suivi du nom de famille ; le nom de famille suivi du prénom, le prénom et le nom de famille séparés par un espace ; le prénom et le nom de famille séparés par deux espaces ; et les surnoms.  
Pour le nom *Martha Rivera*, par exemple, vous pouvez ajouter :  

```
Martha Rivera
Martha  Rivera
Rivera, Martha
Rivera,  Martha
Rivera Martha
Rivera  Martha
```
Si vous souhaitez ignorer les variantes d'un nom spécifique contenant de nombreuses parties, créez une liste d'autorisation utilisant plutôt une expression régulière. Par exemple, pour le nom *Dr. Martha Lyda Rivera, PhD*, vous pouvez utiliser l'expression régulière suivante :. `^(Dr. )?Martha\s(Lyda|L\.)?\s?Rivera,?( PhD)?$`

## Options et exigences relatives aux expressions régulières
<a name="allow-lists-options-regex"></a>

Pour ce type de liste d'autorisation, vous spécifiez une expression régulière (*regex*) qui définit un modèle de texte à ignorer. Par exemple, vous pouvez spécifier le modèle pour les numéros de téléphone publics de votre organisation, les adresses e-mail du domaine de votre organisation ou les exemples de données structurés que votre organisation utilise pour les tests. L'expression régulière définit un modèle commun pour un type spécifique de données que vous ne considérez pas comme sensibles. Si vous utilisez ce type de liste d'autorisation, Amazon Macie ne signale pas les occurrences de texte qui correspondent parfaitement au modèle spécifié. Contrairement à une liste d'autorisation qui spécifie le texte prédéfini à ignorer, vous créez et stockez l'expression régulière et tous les autres paramètres de liste dans Macie.

Lorsque vous créez ou mettez à jour ce type de liste d'autorisation, vous pouvez tester l'expression régulière de la liste avec des exemples de données avant de l'enregistrer. Nous vous recommandons de le faire avec plusieurs ensembles d'échantillons de données. Si vous créez une expression régulière trop générale, Macie risque d'ignorer les occurrences de texte que vous considérez comme sensibles. Si une expression régulière est trop spécifique, Macie peut ne pas ignorer les occurrences de texte que vous ne considérez pas comme sensibles. Pour se protéger contre les expressions mal formées ou de longue durée, Macie compile et teste automatiquement l'expression régulière par rapport à un ensemble d'exemples de texte, et vous informe des problèmes à résoudre.

Pour des tests supplémentaires, nous vous recommandons de tester également l'expression régulière de la liste avec un petit ensemble de données représentatif de votre compte ou de votre organisation. Pour ce faire, vous pouvez [créer une tâche ponctuelle](discovery-jobs-create.md). Configurez la tâche pour utiliser la liste en plus des identifiants de données gérés et personnalisés que vous utilisez généralement pour analyser les données. Vous pouvez ensuite consulter les résultats de la tâche : résultats de découverte de données sensibles, résultats de découverte de données sensibles, ou les deux. Si les résultats de la tâche diffèrent de ce que vous attendez, vous pouvez modifier et tester l'expression régulière jusqu'à ce que les résultats soient ceux que vous attendez.

Après avoir configuré et testé une liste d'autorisations, vous pouvez créer et configurer des tâches supplémentaires pour l'utiliser, ou l'ajouter à vos paramètres pour la découverte automatique de données sensibles. Lorsque ces tâches sont exécutées ou que Macie effectue une découverte automatique, Macie utilise la dernière version de l'expression régulière de la liste pour analyser les données.

**Topics**
+ [Support syntaxique et recommandations](#allow-lists-options-regex-syntax)
+ [Exemples](#allow-lists-options-regex-examples)

### Support syntaxique et recommandations
<a name="allow-lists-options-regex-syntax"></a>

Une liste d'autorisation peut spécifier une expression régulière (*regex*) contenant jusqu'à 512 caractères. Macie prend en charge un sous-ensemble de la syntaxe du modèle regex fournie par la bibliothèque [Perl Compatible Regular Expressions (](https://www.pcre.org/)PCRE). Parmi les constructions fournies par la bibliothèque PCRE, Macie ne prend pas en charge les éléments de modèle suivants :
+ Références rétrospectives
+ Capture de groupes
+ Modèles conditionnels
+ Code intégré
+ Indicateurs de modèles globaux, tels que `/i``/m`, et `/x`
+ Motifs récursifs
+ Assertions de largeur zéro rétrospectives et prospectives positives et négatives, telles que,, et `?=` `?!` `?<=` `?<!`

Pour créer des modèles d'expression régulière efficaces pour les listes d'autorisation, suivez les conseils et recommandations suivants :
+ **Ancrages** : utilisez des ancres (`^`ou`$`) uniquement si vous vous attendez à ce que le motif apparaisse au début ou à la fin d'un fichier, et non au début ou à la fin d'une ligne.
+ **Répétitions bornées — Pour des raisons de performance, Macie limite la taille des groupes de répétitions** bornés. Par exemple, `\d{100,1000}` ne compilera pas dans Macie. Pour utiliser approximativement cette fonctionnalité, vous pouvez utiliser une répétition ouverte telle que`\d{100,}`.
+ **Insensibilité majuscules/minuscules** — Pour rendre certaines parties d'un modèle insensibles aux majuscules et minuscules, vous pouvez utiliser la `(?i)` construction au lieu du `/i` drapeau.
+ **Performances** — Il n'est pas nécessaire d'optimiser manuellement les préfixes ou les alternances. Par exemple, le passage `/hello|hi|hey/` à `/h(?:ello|i|ey)/` n'améliorera pas les performances.
+ **Wildcards** — Pour des raisons de performance, Macie limite le nombre de jokers répétés. Par exemple, `a*b*a*` ne compilera pas dans Macie.
+ **Alternance** : pour spécifier plusieurs modèles dans une seule liste d'autorisation, vous pouvez utiliser l'opérateur d'alternance (`|`) pour concaténer les modèles. Dans ce cas, Macie utilise la logique OR pour combiner les motifs et former un nouveau modèle. Par exemple, si vous le spécifiez`(apple|orange)`, Macie reconnaît à la fois *pomme* et *orange* comme une correspondance et ignore les occurrences des deux mots. Si vous concaténez des modèles, veillez à limiter la longueur totale de l'expression concaténée à 512 caractères ou moins.

Enfin, lorsque vous développez l'expression régulière, concevez-la pour qu'elle s'adapte à différents types de fichiers et formats de stockage. Macie utilise le regex dans le cadre d'un cadre d'extraction et d'analyse de données plus large. Le framework prend en compte le type de fichier ou le format de stockage d'un objet S3. Pour les données structurées, telles que les données en colonnes dans un fichier CSV ou les données basées sur des enregistrements dans un fichier JSON, Macie ignore le texte qui correspond parfaitement au modèle uniquement si tout le texte est stocké dans un seul champ, cellule ou tableau. Cette exigence ne s'applique pas aux données structurées stockées dans un fichier par ailleurs non structuré, tel qu'un tableau dans un fichier Adobe Portable Document Format (.pdf). Pour les données non structurées, telles que le texte d'un fichier .pdf, Macie ignore le texte qui correspond parfaitement au modèle, y compris le texte qui s'étend sur plusieurs lignes ou pages. 

### Exemples
<a name="allow-lists-options-regex-examples"></a>

Les exemples suivants illustrent des modèles de regex valides pour certains scénarios courants.

**Adresses e-mail**  
Si vous utilisez un identifiant de données personnalisé pour détecter les adresses e-mail, vous pouvez ignorer les adresses e-mail que vous ne considérez pas comme sensibles, telles que les adresses e-mail de votre organisation.  
Pour ignorer les adresses e-mail d'un domaine de deuxième ou de premier niveau en particulier, vous pouvez utiliser ce modèle :  
`[a-zA-Z0-9_.+\\-]+@example\.com`  
Où se *example* trouve le nom du domaine de deuxième niveau et *com* le nom du domaine de premier niveau. *Dans ce cas, Macie fait correspondre et ignore les adresses telles que *johndoe@example.com et john.doe@example.com.**  
Pour ignorer les adresses e-mail d'un domaine particulier dans un domaine générique de premier niveau (gTLD), *tel que* .com *ou* .gov, vous pouvez utiliser ce modèle :  
`[a-zA-Z0-9_.+\\-]+@example\.[a-zA-Z]{2,}`  
Où *example* se trouve le nom du domaine. *Dans ce cas, Macie fait correspondre et ignore les adresses telles que *johndoe@example.com*, *john.doe@example.gov et johndoe@example.edu.**  
Pour ignorer les adresses e-mail d'un domaine particulier dans un domaine de premier niveau correspondant à un code de pays (ccTLD), tel que *.ca* pour le Canada ou *.au* pour l'Australie, vous pouvez utiliser ce modèle :  
`[a-zA-Z0-9_.+\\-]+@example\.(ca|au)`  
Où se *example* trouve le nom du domaine *ca* et quels *au* sont les cc spécifiques TLDs à ignorer. *Dans ce cas, Macie fait correspondre et ignore les adresses telles que *johndoe@example.ca et john.doe@example.au.**  
Pour ignorer les adresses e-mail associées à un domaine et à un gTLD particuliers et inclure des domaines de troisième et quatrième niveaux, vous pouvez utiliser ce modèle :  
`[a-zA-Z0-9_.+\\-]+@([a-zA-Z0-9-]+\.)?[a-zA-Z0-9-]+\.example\.com`  
Où *example* se trouvent le nom du domaine et *com* le gTLD. *Dans ce cas, Macie fait correspondre et ignore les adresses telles que *johndoe@www.example.com et john.doe@www.team.example.com.**

**Numéros de téléphone**  
Macie fournit des identifiants de données gérés qui peuvent détecter les numéros de téléphone de plusieurs pays et régions. Pour ignorer certains numéros de téléphone, tels que les numéros gratuits ou les numéros de téléphone publics de votre organisation, vous pouvez utiliser des modèles tels que les suivants.  
Pour ignorer les numéros de téléphone américains gratuits qui utilisent l'indicatif régional *800* et qui sont au format *(800)* \$1\$1\$1-\$1\$1\$1\$1 :  
`^\(?800\)?[ -]?\d{3}[ -]?\d{4}$`  
Pour ignorer les numéros de téléphone américains gratuits qui utilisent l'indicatif régional *888* et qui sont au format *(888)* \$1\$1\$1-\$1\$1\$1\$1 :  
`^\(?888\)?[ -]?\d{3}[ -]?\d{4}$`  
Pour ignorer les numéros de téléphone français à 10 chiffres qui incluent le code de pays *33* et sont au format *\$133 \$1\$1 \$1\$1 \$1\$1 \$1\$1 \$1\$1* :  
`^\+33 \d( \d\d){4}$`  
Pour ignorer les numéros de téléphone américains et canadiens qui utilisent des codes régionaux et de change particuliers, n'incluez pas de code de pays et sont formatés comme suit : *(\$1\$1\$1) \$1\$1\$1-\$1\$1\$1\$1* :  
`^\(?123\)?[ -]?555[ -]?\d{4}$`  
Où *123* se trouvent le code régional et *555* le code d'échange.  
Pour ignorer les numéros de téléphone américains et canadiens qui utilisent des codes régionaux et d'échange particuliers, incluent un code de pays et sont formatés comme *\$11 (\$1\$1\$1) \$1\$1\$1-\$1\$1\$1\$1* :  
`^\+1\(?123\)?[ -]?555[ -]?\d{4}$`  
Où *123* se trouvent le code régional et *555* le code d'échange.

# Création d'une liste d'autorisations
<a name="allow-lists-create"></a>

Dans Amazon Macie, une liste d'autorisation définit un texte spécifique ou un modèle de texte que vous souhaitez que Macie ignore lorsqu'il inspecte les objets Amazon Simple Storage Service (Amazon S3) à la recherche de données sensibles. Si le texte correspond à une entrée ou à un modèle dans une liste d'autorisation, Macie ne le signale pas dans les résultats de données sensibles, les statistiques ou les autres types de résultats. C'est le cas même si le texte répond aux critères d'un identifiant de [données géré ou d'un identifiant](managed-data-identifiers.md) de [données personnalisé](custom-data-identifiers.md).

Vous pouvez créer les types de listes d'autorisation suivants dans Macie.

**Texte prédéfini**  
Utilisez ce type de liste pour spécifier des mots, des phrases et d'autres types de séquences de caractères qui ne sont pas sensibles, qui ne sont pas susceptibles de changer et qui ne suivent pas nécessairement un schéma commun. Exemples : les noms des représentants publics de votre organisation, les numéros de téléphone spécifiques et les exemples de données spécifiques que votre organisation utilise pour les tests. Si vous utilisez ce type de liste, Macie ignore le texte qui correspond exactement à une entrée de la liste.  
Pour ce type de liste, vous créez un fichier texte en clair délimité par des lignes qui répertorie le texte spécifique à ignorer. Vous stockez ensuite le fichier dans un compartiment S3 et configurez les paramètres permettant à Macie d'accéder à la liste contenue dans le compartiment. Vous pouvez ensuite créer et configurer des tâches de découverte de données sensibles pour utiliser la liste, ou ajouter la liste à vos paramètres pour la découverte automatique de données sensibles. Lorsque chaque tâche commence à s'exécuter ou que le cycle d'analyse de découverte automatique suivant démarre, Macie récupère la dernière version de la liste sur Amazon S3. Macie utilise ensuite cette version de la liste lorsqu'il inspecte les objets S3 à la recherche de données sensibles. Si Macie trouve du texte qui correspond exactement à une entrée de la liste, Macie ne signale pas cette occurrence de texte comme une donnée sensible.

**Expression régulière**  
Utilisez ce type de liste pour spécifier une expression régulière (*regex*) qui définit un modèle de texte à ignorer. Il s'agit par exemple des numéros de téléphone publics de votre organisation, des adresses e-mail du domaine de votre organisation et des exemples de données structurés que votre organisation utilise pour les tests. Si vous utilisez ce type de liste, Macie ignore le texte qui correspond entièrement au modèle regex défini par la liste.  
Pour ce type de liste, vous créez une expression régulière qui définit un modèle commun pour le texte qui n'est pas sensible mais qui varie ou est susceptible de changer. Contrairement à une liste de texte prédéfini, vous créez et stockez l'expression régulière et tous les autres paramètres de liste dans Macie. Vous pouvez ensuite créer et configurer des tâches de découverte de données sensibles pour utiliser la liste, ou ajouter la liste à vos paramètres pour la découverte automatique de données sensibles. Lorsque ces tâches sont exécutées ou que Macie effectue une découverte automatique, Macie utilise la dernière version de l'expression régulière de la liste pour analyser les données. Si Macie trouve du texte qui correspond parfaitement au modèle défini par la liste, Macie ne signale pas cette occurrence de texte comme une donnée sensible.

Pour obtenir des exigences détaillées, des recommandations et des exemples de chaque type, voir[Options de configuration et exigences relatives aux listes d'autorisation](allow-lists-options.md).

Vous pouvez créer jusqu'à 10 listes d'autorisation dans chaque liste prise en charge Région AWS : jusqu'à cinq listes d'autorisation qui spécifient du texte prédéfini, et jusqu'à cinq listes d'autorisation qui spécifient des expressions régulières. Vous pouvez créer et utiliser des listes d'autorisation dans tous les Régions AWS endroits où Macie est actuellement disponible, à l'exception de la région Asie-Pacifique (Osaka).

**Pour créer une liste d'autorisations**  
La façon dont vous créez une liste d'autorisation dépend du type de liste que vous souhaitez créer : un fichier répertoriant le texte prédéfini à ignorer ou une expression régulière définissant un modèle de texte à ignorer. Les sections suivantes fournissent des instructions pour chaque type. Choisissez la section correspondant au type de liste que vous souhaitez créer.



## Texte prédéfini
<a name="allow-lists-create-s3list"></a>

Avant de créer ce type de liste d'autorisation dans Macie, procédez comme suit :

1. À l'aide d'un éditeur de texte, créez un fichier texte brut délimité par des lignes répertoriant le texte spécifique à ignorer, par exemple un fichier .txt, .text ou .plain. Pour de plus amples informations, veuillez consulter [Exigences en matière de syntaxe](allow-lists-options.md#allow-lists-options-s3list-syntax).

1. Téléchargez le fichier dans un compartiment S3 à usage général et notez le nom du compartiment et de l'objet. Vous devez saisir ces noms lorsque vous configurez les paramètres dans Macie.

1. Assurez-vous que les paramètres du compartiment et de l'objet S3 vous permettent, à vous et à Macie, de récupérer la liste depuis le compartiment. Pour de plus amples informations, veuillez consulter [Besoins de stockage](allow-lists-options.md#allow-lists-options-s3list-storage).

1. Si vous avez chiffré l'objet S3, assurez-vous qu'il est chiffré avec une clé que vous et Macie êtes autorisés à utiliser. Pour de plus amples informations, veuillez consulter [Exigences en matière de chiffrement/déchiffrement](allow-lists-options.md#allow-lists-options-s3list-encryption).

Une fois ces tâches terminées, vous êtes prêt à configurer les paramètres de la liste dans Macie. Vous pouvez configurer les paramètres à l'aide de la console Amazon Macie ou de l'API Amazon Macie. 

------
#### [ Console ]

Suivez ces étapes pour configurer les paramètres d'une liste d'autorisations à l'aide de la console Amazon Macie.

**Pour configurer les paramètres de liste d'autorisation dans Macie**

1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Dans le volet de navigation, sous **Paramètres**, sélectionnez **Autoriser les listes**.

1. Sur la page **Autoriser les listes**, choisissez **Créer**.

1. Sous **Sélectionnez un type de liste**, choisissez **Texte prédéfini**.

1. Sous **Paramètres de liste**, utilisez les options suivantes pour saisir des paramètres supplémentaires pour la liste d'autorisation :
   + Dans **Nom**, entrez le nom de la liste. Le nom peut contenir jusqu'à 128 caractères.
   + Dans **Description**, entrez éventuellement une brève description de la liste. La description peut contenir jusqu'à 512 caractères.
   + Pour le **nom du compartiment S3**, entrez le nom du compartiment qui stocke la liste.

     Dans Amazon S3, vous pouvez trouver cette valeur dans le champ **Nom** des propriétés du compartiment. Cette valeur est sensible à la casse. En outre, n'utilisez pas de caractères génériques ou de valeurs partielles lorsque vous entrez le nom.
   + Pour le **nom de l'objet S3**, entrez le nom de l'objet S3 qui stocke la liste.

     Dans Amazon S3, vous pouvez trouver cette valeur dans le champ **Clé** des propriétés de l'objet. Si le nom inclut un chemin, veillez à inclure le chemin complet lorsque vous entrez le nom, par exemple**allowlists/macie/mylist.txt**. Cette valeur est sensible à la casse. En outre, n'utilisez pas de caractères génériques ou de valeurs partielles lorsque vous entrez le nom.

1. (Facultatif) Sous **Balises**, choisissez **Ajouter une étiquette**, puis entrez jusqu'à 50 balises à attribuer à la liste d'autorisation.

   Un *tag* est un label que vous définissez et attribuez à certains types de AWS ressources. Chaque balise comprend une clé de balise obligatoire et une valeur de balise facultative. Les balises peuvent vous aider à identifier, à classer et à gérer les ressources de différentes manières, par exemple en fonction de leur objectif, de leur propriétaire, de leur environnement ou d'autres critères. Pour en savoir plus, consultez [Marquer les ressources de Macie](tagging-resources.md).

1. Lorsque vous avez terminé, choisissez **Create (Créer)**.

Macie teste les paramètres de la liste. Macie vérifie également qu'il peut récupérer la liste depuis Amazon S3 et analyser le contenu de la liste. Si une erreur se produit, Macie affiche un message décrivant l'erreur. Pour obtenir des informations détaillées qui peuvent vous aider à résoudre l'erreur, consultez[Options et exigences relatives aux listes de texte prédéfini](allow-lists-options.md#allow-lists-options-s3list). Une fois les erreurs corrigées, vous pouvez enregistrer les paramètres de la liste.

------
#### [ API ]

Pour configurer les paramètres des listes d'autorisation par programmation, utilisez [CreateAllowList](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists.html)l'API Amazon Macie et spécifiez les valeurs appropriées pour les paramètres requis.

Pour le `criteria` paramètre, utilisez un `s3WordsList` objet pour spécifier le nom du compartiment S3 (`bucketName`) et le nom de l'objet S3 (`objectKey`) qui stocke la liste. Pour déterminer le nom du compartiment, reportez-vous au `Name` champ dans Amazon S3. Pour déterminer le nom de l'objet, reportez-vous au `Key` champ dans Amazon S3. Notez que ces valeurs distinguent les majuscules et minuscules. En outre, n'utilisez pas de caractères génériques ou de valeurs partielles lorsque vous spécifiez ces noms.

Pour configurer les paramètres à l'aide de AWS CLI, exécutez la [create-allow-list](https://docs.aws.amazon.com/cli/latest/reference/macie2/create-allow-list.html)commande et spécifiez les valeurs appropriées pour les paramètres requis. Les exemples suivants montrent comment configurer les paramètres d'une liste d'autorisations stockée dans un compartiment S3 nommé*amzn-s3-demo-bucket*. Le nom de l'objet S3 qui stocke la liste est*allowlists/macie/mylist.txt*.

Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.

```
$ aws macie2 create-allow-list \
--criteria '{"s3WordsList":{"bucketName":"amzn-s3-demo-bucket","objectKey":"allowlists/macie/mylist.txt"}}' \
--name my_allow_list \
--description "Lists public phone numbers and names for Example Corp."
```

Cet exemple est formaté pour Microsoft Windows et utilise le caractère de continuation de ligne caret (^) pour améliorer la lisibilité.

```
C:\> aws macie2 create-allow-list ^
--criteria={\"s3WordsList\":{\"bucketName\":\"amzn-s3-demo-bucket\",\"objectKey\":\"allowlists/macie/mylist.txt\"}} ^
--name my_allow_list ^
--description "Lists public phone numbers and names for Example Corp."
```

Lorsque vous soumettez votre demande, Macie teste les paramètres de la liste. Macie vérifie également qu'il peut récupérer la liste depuis Amazon S3 et analyser le contenu de la liste. Si une erreur se produit, votre demande échoue et Macie renvoie un message décrivant l'erreur. Pour obtenir des informations détaillées qui peuvent vous aider à résoudre l'erreur, consultez[Options et exigences relatives aux listes de texte prédéfini](allow-lists-options.md#allow-lists-options-s3list).

Si Macie peut récupérer et analyser la liste, votre demande aboutit et vous recevez un résultat similaire à ce qui suit.

```
{
    "arn": "arn:aws:macie2:us-west-2:123456789012:allow-list/nkr81bmtu2542yyexample",
    "id": "nkr81bmtu2542yyexample"
}
```

Où se `arn` trouve le nom de ressource Amazon (ARN) de la liste d'autorisation créée et `id` l'identifiant unique de la liste.

------

Après avoir enregistré les paramètres de la liste, vous pouvez [créer et configurer des tâches de découverte de données sensibles](discovery-jobs-create.md) pour utiliser la liste, ou [ajouter la liste à vos paramètres pour la découverte automatique de données sensibles](discovery-asdd-account-configure.md). Chaque fois que ces tâches commencent à s'exécuter ou qu'un cycle d'analyse de découverte automatique démarre, Macie récupère la dernière version de la liste sur Amazon S3. Macie utilise ensuite cette version de la liste lorsqu'il analyse les données.

## Expression régulière
<a name="allow-lists-create-regex"></a>

Lorsque vous créez une liste d'autorisation qui spécifie une expression régulière (*regex*), vous définissez l'expression régulière et tous les autres paramètres de liste directement dans Macie. Pour l'expression régulière, Macie prend en charge un sous-ensemble de la syntaxe des modèles fournie par la bibliothèque [Perl Compatible Regular Expressions (](https://www.pcre.org/)PCRE). Pour de plus amples informations, veuillez consulter [Support syntaxique et recommandations](allow-lists-options.md#allow-lists-options-regex-syntax). 

Vous pouvez créer ce type de liste à l'aide de la console Amazon Macie ou de l'API Amazon Macie. 

------
#### [ Console ]

Suivez ces étapes pour créer une liste d'autorisations à l'aide de la console Amazon Macie.

**Pour créer une liste d'autorisations à l'aide de la console**

1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Dans le volet de navigation, sous **Paramètres**, sélectionnez **Autoriser les listes**.

1. Sur la page **Autoriser les listes**, choisissez **Créer**.

1. Sous **Sélectionnez un type de liste**, choisissez **Expression régulière**.

1. Sous **Paramètres de liste**, utilisez les options suivantes pour saisir des paramètres supplémentaires pour la liste d'autorisation :
   + Dans **Nom**, entrez le nom de la liste. Le nom peut contenir jusqu'à 128 caractères.
   + Dans **Description**, entrez éventuellement une brève description de la liste. La description peut contenir jusqu'à 512 caractères.
   + Pour **Expression régulière, entrez l'expression régulière** qui définit le modèle de texte à ignorer. L'expression régulière peut contenir jusqu'à 512 caractères.

1. (Facultatif) Pour **Evaluate**, entrez jusqu'à 1 000 caractères dans la zone **Exemple de données**, puis choisissez **Test** pour tester l'expression régulière. Macie évalue les exemples de données et indique le nombre d'occurrences de texte correspondant à l'expression régulière. Vous pouvez répéter cette étape autant de fois que vous le souhaitez pour affiner et optimiser l'expression régulière.
**Note**  
Nous vous recommandons de tester et d'affiner l'expression régulière avec plusieurs ensembles d'échantillons de données. Si vous créez une expression régulière trop générale, Macie risque d'ignorer les occurrences de texte que vous considérez comme sensibles. Si une expression régulière est trop spécifique, Macie peut ne pas ignorer les occurrences de texte que vous ne considérez pas comme sensibles.

1. (Facultatif) Sous **Balises**, choisissez **Ajouter une étiquette**, puis entrez jusqu'à 50 balises à attribuer à la liste d'autorisation.

   Un *tag* est un label que vous définissez et attribuez à certains types de AWS ressources. Chaque balise comprend une clé de balise obligatoire et une valeur de balise facultative. Les balises peuvent vous aider à identifier, à classer et à gérer les ressources de différentes manières, par exemple en fonction de leur objectif, de leur propriétaire, de leur environnement ou d'autres critères. Pour en savoir plus, consultez [Marquer les ressources de Macie](tagging-resources.md).

1. Lorsque vous avez terminé, choisissez **Create (Créer)**.

Macie teste les paramètres de la liste. Macie teste également l'expression régulière pour vérifier qu'elle peut compiler l'expression. Si une erreur se produit, Macie affiche un message décrivant l'erreur. Pour obtenir des informations détaillées qui peuvent vous aider à résoudre l'erreur, consultez[Options et exigences relatives aux expressions régulières](allow-lists-options.md#allow-lists-options-regex). Une fois les erreurs corrigées, vous pouvez enregistrer la liste des autorisations.

------
#### [ API ]

Avant de créer ce type de liste d'autorisation dans Macie, nous vous recommandons de tester et d'affiner l'expression régulière avec plusieurs ensembles d'échantillons de données. Si vous créez une expression régulière trop générale, Macie risque d'ignorer les occurrences de texte que vous considérez comme sensibles. Si une expression régulière est trop spécifique, Macie peut ne pas ignorer les occurrences de texte que vous ne considérez pas comme sensibles.

Pour tester une expression avec Macie, vous pouvez utiliser le [TestCustomDataIdentifier](https://docs.aws.amazon.com/macie/latest/APIReference/custom-data-identifiers-test.html)fonctionnement de l'API Amazon Macie ou, dans le cas contraire, exécuter AWS CLI[test-custom-data-identifier](https://docs.aws.amazon.com/cli/latest/reference/macie2/test-custom-data-identifier.html)la commande. Macie utilise le même code sous-jacent pour compiler des expressions pour les listes d'autorisation et les identificateurs de données personnalisés. Si vous testez une expression de cette manière, veillez à ne spécifier des valeurs que pour les `sampleText` paramètres `regex` et. Dans le cas contraire, vous recevrez des résultats inexacts.

Lorsque vous êtes prêt à créer ce type de liste d'autorisations, utilisez [CreateAllowList](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists.html)l'API Amazon Macie et spécifiez les valeurs appropriées pour les paramètres requis. Pour le `criteria` paramètre, utilisez le `regex` champ pour spécifier l'expression régulière qui définit le modèle de texte à ignorer. L'expression peut contenir jusqu'à 512 caractères.

Pour créer ce type de liste à l'aide de AWS CLI, exécutez la [create-allow-list](https://docs.aws.amazon.com/cli/latest/reference/macie2/create-allow-list.html)commande et spécifiez les valeurs appropriées pour les paramètres requis. Les exemples suivants créent une liste d'autorisation nommée*my\$1allow\$1list*. L'expression régulière est conçue pour ignorer toutes les adresses e-mail qu'un identifiant de données personnalisé pourrait autrement détecter pour le `example.com` domaine.

Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.

```
$ aws macie2 create-allow-list \
--criteria '{"regex":"[a-z]@example.com"}' \
--name my_allow_list \
--description "Ignores all email addresses for Example Corp."
```

Cet exemple est formaté pour Microsoft Windows et utilise le caractère de continuation de ligne caret (^) pour améliorer la lisibilité.

```
C:\> aws macie2 create-allow-list ^
--criteria={\"regex\":\"[a-z]@example.com\"} ^
--name my_allow_list ^
--description "Ignores all email addresses for Example Corp."
```

Lorsque vous soumettez votre demande, Macie teste les paramètres de la liste. Macie teste également l'expression régulière pour vérifier qu'elle peut compiler l'expression. Si une erreur se produit, la demande échoue et Macie renvoie un message décrivant l'erreur. Pour obtenir des informations détaillées qui peuvent vous aider à résoudre l'erreur, consultez[Options et exigences relatives aux expressions régulières](allow-lists-options.md#allow-lists-options-regex).

Si Macie parvient à compiler l'expression, la demande aboutit et vous recevez un résultat similaire à ce qui suit :

```
{
    "arn": "arn:aws:macie2:us-west-2:123456789012:allow-list/km2d4y22hp6rv05example",
    "id": "km2d4y22hp6rv05example"
}
```

Où se `arn` trouve le nom de ressource Amazon (ARN) de la liste d'autorisation créée et `id` l'identifiant unique de la liste.

------

Après avoir enregistré la liste, vous pouvez [créer et configurer des tâches de découverte de données sensibles](discovery-jobs-create.md) pour l'utiliser, ou [l'ajouter à vos paramètres pour la découverte automatique de données sensibles](discovery-asdd-account-configure.md). Lorsque ces tâches sont exécutées ou que Macie effectue une découverte automatique, Macie utilise la dernière version de l'expression régulière de la liste pour analyser les données.

# Vérifier l'état d'une liste d'autorisations
<a name="allow-lists-status-check"></a>

Si vous créez une liste d'autorisations, il est important de vérifier régulièrement son statut. Dans le cas contraire, des erreurs risquent d'amener Amazon Macie à produire des résultats d'analyse inattendus pour vos données Amazon Simple Storage Service (Amazon S3). Par exemple, Macie peut créer des résultats de données sensibles pour le texte que vous avez spécifié dans une liste d'autorisation.

Si vous configurez une tâche de découverte de données sensibles pour utiliser une liste d'autorisation et que Macie ne peut pas accéder à la liste ou l'utiliser lorsque la tâche commence à s'exécuter, la tâche continue de s'exécuter. Cependant, Macie n'utilise pas la liste lorsqu'il analyse des objets S3. De même, si un cycle d'analyse démarre pour la découverte automatique de données sensibles et que Macie ne peut pas accéder à une liste d'autorisation spécifiée ou l'utiliser, l'analyse se poursuit mais Macie n'utilise pas la liste.

Il est peu probable que des erreurs se produisent pour une liste d'autorisation qui spécifie une expression régulière (*regex*). Cela s'explique en partie par le fait que Macie teste automatiquement l'expression régulière lorsque vous créez ou mettez à jour les paramètres de la liste. De plus, vous stockez l'expression régulière et tous les autres paramètres de liste dans Macie.

Cependant, des erreurs peuvent se produire pour une liste d'autorisation qui spécifie un texte prédéfini, en partie parce que vous stockez la liste dans Amazon S3 plutôt que dans Macie. Les causes d'erreurs les plus courantes sont les suivantes :
+ Le compartiment ou l'objet S3 est supprimé.
+ Le compartiment ou l'objet S3 est renommé et les paramètres de la liste dans Macie ne spécifient pas le nouveau nom.
+ Les paramètres d'autorisation du compartiment S3 sont modifiés et Macie perd l'accès au compartiment et à l'objet.
+ Les paramètres de chiffrement du compartiment S3 sont modifiés et Macie ne peut pas déchiffrer l'objet qui stocke la liste.
+ La politique relative à la clé de chiffrement est modifiée et Macie perd l'accès à la clé. Macie ne peut pas déchiffrer l'objet S3 qui stocke la liste.

**Important**  
Étant donné que ces erreurs affectent les résultats de vos analyses, nous vous recommandons de vérifier régulièrement l'état de toutes vos listes d'autorisation. Nous vous recommandons de le faire également si vous modifiez les autorisations ou les paramètres de chiffrement d'un compartiment S3 qui stocke une liste d'autorisations, ou si vous modifiez la politique d'une clé AWS Key Management Service (AWS KMS) utilisée pour chiffrer une liste.

Pour obtenir des informations détaillées qui peuvent vous aider à résoudre les erreurs qui se produisent, consultez[Options et exigences relatives aux listes de texte prédéfini](allow-lists-options.md#allow-lists-options-s3list).

**Pour vérifier le statut d'une liste d'autorisations**  
Vous pouvez vérifier le statut d'une liste d'autorisations à l'aide de la console Amazon Macie ou de l'API Amazon Macie. Sur la console, vous pouvez utiliser une seule page pour vérifier le statut de toutes vos listes d'autorisation en même temps. Si vous utilisez l'API Amazon Macie, vous pouvez vérifier l'état des listes d'autorisation individuelles, une par une.



------
#### [ Console ]

Suivez ces étapes pour vérifier l'état de vos listes d'autorisation à l'aide de la console Amazon Macie.

**Pour vérifier l'état de vos listes d'autorisations**

1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Dans le volet de navigation, sous **Paramètres**, sélectionnez **Autoriser les listes**.

1. Sur la page **Autoriser les listes**, choisissez Actualiser (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/btn-refresh-data.png)). Macie teste les paramètres de toutes vos listes d'autorisation et met à jour le champ **État** pour indiquer le statut actuel de chaque liste.

   Si une liste spécifie une expression régulière, son statut est généralement **OK**. Cela signifie que Macie peut compiler l'expression. Si une liste contient un texte prédéfini, son statut peut être l'une des valeurs suivantes.

      
**OK**  
Macie peut récupérer et analyser le contenu de la liste.  
**Accès refusé**  
Macie n'est pas autorisé à accéder à l'objet S3 qui stocke la liste. Amazon S3 a refusé la demande de récupération de l'objet. Une liste peut également avoir ce statut si l'objet est chiffré par un client géré AWS KMS key que Macie n'est pas autorisé à utiliser.   
Pour corriger cette erreur, consultez la politique du compartiment et les autres paramètres d'autorisation pour le compartiment et l'objet. Assurez-vous que Macie est autorisé à accéder à l'objet et à le récupérer. Si l'objet est chiffré à l'aide d'une AWS KMS clé gérée par le client, consultez également la politique relative aux clés et assurez-vous que Macie est autorisé à utiliser la clé.   
**Error (Erreur)**  
Une erreur temporaire ou interne s'est produite lorsque Macie a tenté de récupérer ou d'analyser le contenu de la liste. Une liste d'autorisation peut également avoir ce statut si elle est chiffrée à l'aide d'une clé de chiffrement à laquelle Amazon S3 et Macie ne peuvent pas accéder ou utiliser.  
Pour corriger cette erreur, attendez quelques minutes, puis choisissez à nouveau refresh (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/btn-refresh-data.png)). Si le statut reste **Erreur**, vérifiez les paramètres de chiffrement de l'objet S3. Assurez-vous que l'objet est chiffré avec une clé à laquelle Amazon S3 et Macie peuvent accéder et utiliser.  
**L'objet est vide**  
Macie peut récupérer la liste depuis Amazon S3, mais elle ne contient aucun contenu.  
Pour corriger cette erreur, téléchargez l'objet depuis Amazon S3 et assurez-vous qu'il contient les entrées correctes. Si les entrées sont correctes, vérifiez les paramètres de la liste dans Macie. Assurez-vous que les noms de bucket et d'objet spécifiés sont corrects.  
**Objet introuvable**  
La liste n'existe pas dans Amazon S3.  
Pour corriger cette erreur, passez en revue les paramètres de la liste dans Macie. Assurez-vous que les noms de bucket et d'objet spécifiés sont corrects.  
**Quota dépassé**  
Macie peut accéder à la liste dans Amazon S3. Toutefois, le nombre d'entrées de la liste ou la taille de stockage de la liste dépasse le quota d'une liste autorisée.  
Pour corriger cette erreur, divisez la liste en plusieurs fichiers. Assurez-vous que chaque fichier contient moins de 100 000 entrées. Assurez-vous également que la taille de chaque fichier est inférieure à 35 Mo. Téléchargez ensuite chaque fichier sur Amazon S3. Lorsque vous avez terminé, configurez les paramètres de liste d'autorisation dans Macie pour chaque fichier. Vous pouvez avoir jusqu'à cinq listes de texte prédéfini dans chacune des listes prises en charge Région AWS.  
**Étranglé**  
Amazon S3 a limité la demande de récupération de la liste.  
Pour corriger cette erreur, attendez quelques minutes, puis choisissez à nouveau refresh (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/btn-refresh-data.png)).  
**Accès utilisateur refusé**  
Amazon S3 a refusé la demande de récupération de l'objet. Si l'objet spécifié existe, vous n'êtes pas autorisé à y accéder ou s'il est chiffré avec une AWS KMS clé que vous n'êtes pas autorisé à utiliser.  
Pour corriger cette erreur, AWS contactez votre administrateur pour vous assurer que les paramètres de la liste spécifient les noms de bucket et d'objet corrects, et que vous disposez d'un accès en lecture au bucket et à l'objet. Si l'objet est chiffré, assurez-vous qu'il l'est avec une clé que vous avez l'autorisation d'utiliser.

1. Pour consulter les paramètres et le statut d'une liste spécifique, choisissez le nom de la liste.

------
#### [ API ]

Pour vérifier le statut d'une liste d'autorisations par programmation, utilisez l'[GetAllowList](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists-id.html)API Amazon Macie. Ou, si vous utilisez le AWS CLI, exécutez la [get-allow-list](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-allow-list.html)commande.

Pour le `id` paramètre, spécifiez l'identifiant unique de la liste d'autorisation dont vous souhaitez vérifier le statut. Pour obtenir cet identifiant, vous pouvez utiliser l'[ListAllowLists](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists.html)opération. L'**ListAllowLists**opération permet de récupérer des informations sur toutes les listes d'autorisations associées à votre compte. Si vous utilisez le AWS CLI, vous pouvez exécuter la [list-allow-lists](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-allow-lists.html)commande pour récupérer ces informations.

Lorsque vous soumettez une **GetAllowList** demande, Macie teste tous les paramètres de la liste d'autorisation. Si les paramètres spécifient une expression régulière (`regex`), Macie vérifie qu'il peut compiler l'expression. Si les paramètres spécifient une liste de textes prédéfinis (`s3WordsList`), Macie vérifie qu'il peut récupérer et analyser la liste.

Macie renvoie ensuite un `GetAllowListResponse` objet qui fournit les détails de la liste des autorisations. Dans l'`GetAllowListResponse`objet, l'`status`objet indique l'état actuel de la liste : un code d'état (`code`) et, selon le code d'état, une brève description de l'état de la liste (`description`).

Si la liste d'autorisation spécifie une expression régulière, le code d'état est généralement le cas `OK` et aucune description n'est associée. Cela signifie que Macie a correctement compilé l'expression.

Si la liste d'autorisation indique un texte prédéfini, le code d'état varie en fonction des résultats du test :
+ Si Macie a récupéré et analysé la liste avec succès, le code d'état est valide `OK` et il n'y a pas de description associée.
+ Si une erreur a empêché Macie de récupérer ou d'analyser la liste, le code d'état et la description indiquent la nature de l'erreur survenue. 

Pour obtenir la liste des codes de statut possibles et une description de chacun d'entre eux, consultez [AllowListStatus](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists-id.html#allow-lists-id-model-allowliststatus)le manuel *Amazon Macie API* Reference.

------

# Modifier une liste d'autorisations
<a name="allow-lists-change"></a>

Après avoir créé une liste d'autorisations, vous pouvez modifier la plupart des paramètres de la liste dans Amazon Macie. Par exemple, vous pouvez modifier le nom et la description de la liste. Vous pouvez également ajouter et modifier des balises pour la liste. Le seul paramètre que vous ne pouvez pas modifier est le type de liste. Par exemple, si une liste existante spécifie une expression régulière (*regex*), vous ne pouvez pas modifier son type en texte prédéfini.

Si une liste d'autorisation indique un texte prédéfini, vous pouvez également modifier les entrées de la liste. Pour ce faire, mettez à jour le fichier qui contient les entrées. Chargez ensuite la nouvelle version du fichier sur Amazon Simple Storage Service (Amazon S3). La prochaine fois que Macie se prépare à utiliser la liste, Macie récupère la dernière version du fichier sur Amazon S3. Lorsque vous chargez le nouveau fichier, assurez-vous de le stocker dans le même compartiment et le même objet S3. Ou, si vous modifiez le nom du bucket ou de l'objet, assurez-vous de mettre à jour les paramètres de la liste dans Macie.

**Pour modifier les paramètres d'une liste d'autorisations**  
Vous pouvez modifier les paramètres d'une liste d'autorisations à l'aide de la console Amazon Macie ou de l'API Amazon Macie.



------
#### [ Console ]

Suivez ces étapes pour modifier les paramètres d'une liste d'autorisation à l'aide de la console Amazon Macie.

**Pour modifier les paramètres d'une liste d'autorisations à l'aide de la console**

1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Dans le volet de navigation, sous **Paramètres**, sélectionnez **Autoriser les listes**.

1. Sur la **page Listes** autorisées, choisissez le nom de la liste autorisée que vous souhaitez modifier. La page de liste d'autorisation s'ouvre et affiche les paramètres actuels de la liste.

1. Pour ajouter ou modifier des balises pour la liste d'autorisation, choisissez **Gérer les balises** dans la section **Balises**. Modifiez ensuite les balises si nécessaire. Lorsque vous avez terminé, choisissez **Enregistrer**.

1. Pour modifier les autres paramètres de la liste d'autorisation, choisissez **Modifier** dans la section **Paramètres de la liste**. Modifiez ensuite les paramètres souhaités :
   + **Nom** — Entrez un nouveau nom pour la liste. Le nom peut contenir jusqu'à 128 caractères.
   + **Description** — Entrez une nouvelle description de la liste. La description peut contenir jusqu'à 512 caractères.
   + Si la liste des autorisations indique un texte prédéfini :
     + **Nom du compartiment S3** : entrez le nom du compartiment qui stocke la liste.

       Dans Amazon S3, vous pouvez trouver cette valeur dans le champ **Nom** des propriétés du compartiment. Cette valeur est sensible à la casse. En outre, n'utilisez pas de caractères génériques ou de valeurs partielles lorsque vous entrez le nom.
     + **Nom de l'objet S3** — Entrez le nom de l'objet S3 qui stocke la liste.

       Dans Amazon S3, vous pouvez trouver cette valeur dans le champ **Clé** des propriétés de l'objet. Si le nom inclut un chemin, veillez à inclure le chemin complet lorsque vous entrez le nom, par exemple**allowlists/macie/mylist.txt**. Cette valeur est sensible à la casse. En outre, n'utilisez pas de caractères génériques ou de valeurs partielles lorsque vous entrez le nom.
   + Si la liste d'autorisation spécifie une expression régulière (*regex*), entrez une nouvelle **expression régulière dans la zone Expression régulière**. L'expression régulière peut contenir jusqu'à 512 caractères.

     Après avoir saisi la nouvelle expression régulière, testez-la éventuellement. Pour ce faire, entrez jusqu'à 1 000 caractères dans la zone **Exemple de données**, puis choisissez **Test**. Macie évalue les exemples de données et indique le nombre d'occurrences de texte correspondant à l'expression régulière. Vous pouvez répéter cette étape autant de fois que vous le souhaitez pour affiner et optimiser l'expression régulière avant d'enregistrer vos modifications.

1. Lorsque vous avez terminé, choisissez **Enregistrer**.

Macie teste les paramètres de la liste. Pour une liste de texte prédéfini, Macie vérifie également qu'il peut récupérer la liste depuis Amazon S3 et analyser le contenu de la liste. Pour une expression régulière, Macie vérifie également qu'il peut compiler l'expression. Si une erreur se produit, Macie affiche un message décrivant l'erreur. Pour obtenir des informations détaillées qui peuvent vous aider à résoudre l'erreur, consultez[Options de configuration et exigences relatives aux listes d'autorisation](allow-lists-options.md). Une fois les erreurs corrigées, vous pouvez enregistrer vos modifications.

------
#### [ API ]

Pour modifier les paramètres d'une liste d'autorisation par programmation, utilisez l'[UpdateAllowList](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists-id.html)API Amazon Macie. Ou, si vous utilisez le AWS CLI, exécutez la [update-allow-list](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-allow-list.html)commande. Dans votre demande, utilisez les paramètres pris en charge pour spécifier une nouvelle valeur pour chaque paramètre que vous souhaitez modifier. Notez que les `name` paramètres `criteria``id`, et sont obligatoires. Si vous ne souhaitez pas modifier la valeur d'un paramètre obligatoire, spécifiez la valeur actuelle du paramètre. 

Par exemple, la commande suivante modifie le nom et la description d'une liste d'autorisations existante. L'exemple est formaté pour Microsoft Windows et utilise le caractère de continuation de ligne caret (^) pour améliorer la lisibilité.

```
C:\> aws macie2 update-allow-list ^
--id km2d4y22hp6rv05example ^
--name my_allow_list-email ^
--criteria={\"regex\":\"[a-z]@example.com\"} ^
--description "Ignores all email addresses for the example.com domain"
```

Où :
+ *km2d4y22hp6rv05example*est l'identifiant unique de la liste.
+ *my\$1allow\$1list-email*est le nouveau nom de la liste.
+ *[a-z]@example.com*est le critère de la liste, une expression régulière.
+ *Ignores all email addresses for the example.com domain*est la nouvelle description de la liste.

Lorsque vous soumettez votre demande, Macie teste les paramètres de la liste. Si la liste indique un texte prédéfini (`s3WordsList`), cela implique de vérifier que Macie peut récupérer la liste depuis Amazon S3 et analyser le contenu de la liste. Si la liste spécifie une regex (`regex`), cela implique de vérifier que Macie peut compiler l'expression.

Si une erreur se produit lorsque Macie teste les paramètres, votre demande échoue et Macie renvoie un message décrivant l'erreur. Pour obtenir des informations détaillées qui peuvent vous aider à résoudre l'erreur, consultez[Options de configuration et exigences relatives aux listes d'autorisation](allow-lists-options.md). Si la demande échoue pour une autre raison, Macie renvoie une réponse HTTP 4 *xx* ou 500 indiquant pourquoi l'opération a échoué.

Si votre demande aboutit, Macie met à jour les paramètres de la liste et vous recevez un résultat similaire à ce qui suit.

```
{
    "arn": "arn:aws:macie2:us-west-2:123456789012:allow-list/km2d4y22hp6rv05example",
    "id": "km2d4y22hp6rv05example"
}
```

Où se `arn` trouve le nom de ressource Amazon (ARN) de la liste d'autorisation mise à jour et `id` l'identifiant unique de la liste.

------

# Supprimer une liste d'autorisations
<a name="allow-lists-delete"></a>

Lorsque vous supprimez une liste d'autorisations dans Amazon Macie, vous supprimez définitivement tous les paramètres de la liste. Ces paramètres ne peuvent pas être restaurés après leur suppression. Si les paramètres spécifient une liste de textes prédéfinis que vous stockez dans Amazon Simple Storage Service (Amazon S3), Macie ne supprime pas l'objet S3 qui stocke la liste. Seuls les paramètres de Macie sont supprimés.

Si vous configurez des tâches de découverte de données sensibles pour utiliser une liste d'autorisation que vous supprimez ultérieurement, les tâches s'exécuteront comme prévu. Toutefois, les résultats de votre tâche, qu'il s'agisse de la découverte de données sensibles ou de la découverte de données sensibles, peuvent indiquer un texte que vous avez précédemment spécifié dans la liste d'autorisation. De même, si vous configurez la découverte automatique des données sensibles pour utiliser une liste que vous supprimez ultérieurement, les cycles d'analyse quotidiens se poursuivront. Toutefois, les résultats relatifs aux données sensibles, les statistiques et les autres types de résultats peuvent indiquer un texte que vous avez précédemment spécifié dans la liste d'autorisation.

Avant de supprimer une liste d'autorisations, nous vous recommandons de [consulter votre inventaire des tâches afin d'](discovery-jobs-manage-view.md)identifier les tâches qui utilisent cette liste et dont l'exécution est prévue dans le futur. Dans l'inventaire, le panneau de détails indique si une tâche est configurée pour utiliser des listes d'autorisation et, dans l'affirmative, lesquelles. Nous vous recommandons également de [vérifier vos paramètres de découverte automatique des données sensibles](discovery-asdd-account-configure.md). Il se peut que vous décidiez qu'il est préférable de modifier une liste plutôt que de la supprimer.

Comme mesure de protection supplémentaire, Macie vérifie les paramètres de toutes vos tâches lorsque vous essayez de supprimer une liste d'autorisations. Si vous avez configuré des tâches pour utiliser la liste et que l'une de ces tâches a un statut autre que **Terminé** **ou Annulé**, Macie ne supprime pas la liste à moins que vous ne fournissiez une confirmation supplémentaire.

**Pour supprimer une liste d'autorisations**  
Vous pouvez supprimer une liste d'autorisations à l'aide de la console Amazon Macie ou de l'API Amazon Macie.

 

------
#### [ Console ]

Procédez comme suit pour supprimer une liste d'autorisations à l'aide de la console Amazon Macie.

**Pour supprimer une liste d'autorisations à l'aide de la console**

1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Dans le volet de navigation, sous **Paramètres**, sélectionnez **Autoriser les listes**.

1. Sur la **page Listes** autorisées, cochez la case correspondant à la liste autorisée que vous souhaitez supprimer.

1. Dans le menu **Actions**, sélectionnez **Delete (Supprimer)**.

1. Lorsque vous êtes invité à confirmer, saisissez **delete**, puis choisissez **Delete (Supprimer)**.

------
#### [ API ]

Pour supprimer une liste d'autorisations par programmation, utilisez l'[DeleteAllowList](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists-id.html)API Amazon Macie. Pour le `id` paramètre, spécifiez l'identifiant unique de la liste d'autorisations à supprimer. Vous pouvez obtenir cet identifiant en utilisant l'[ListAllowLists](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists.html)opération. L'**ListAllowLists**opération permet de récupérer des informations sur toutes les listes d'autorisations associées à votre compte. Si vous utilisez le AWS CLI, vous pouvez exécuter la [list-allow-lists](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-allow-lists.html)commande pour récupérer ces informations.

Pour le `ignoreJobChecks` paramètre, spécifiez si vous souhaitez forcer la suppression de la liste, même si les tâches de découverte de données sensibles sont configurées pour utiliser la liste :
+ Si vous le spécifiez`false`, Macie vérifie les paramètres de toutes vos tâches dont le statut est autre que `COMPLETE` ou`CANCELLED`. Si aucune de ces tâches n'est configurée pour utiliser la liste, Macie la supprime définitivement. Si l'une de ces tâches est configurée pour utiliser la liste, Macie rejette votre demande et renvoie une erreur HTTP 400 (`ValidationException`). Le message d'erreur indique le nombre de tâches applicables pour un maximum de 200 tâches. 
+ Si vous le spécifiez`true`, Macie supprime définitivement la liste sans vérifier les paramètres d'aucune de vos tâches. 

 Pour supprimer une liste d'autorisations à l'aide de AWS CLI, exécutez la [delete-allow-list](https://docs.aws.amazon.com/cli/latest/reference/macie2/delete-allow-list.html)commande. Par exemple :

```
C:\> aws macie2 delete-allow-list --id nkr81bmtu2542yyexample --ignore-job-checks false
```

Où se *nkr81bmtu2542yyexample* trouve l'identifiant unique de la liste d'autorisations à supprimer.

Si votre demande aboutit, Macie renvoie une réponse HTTP 200 vide. Sinon, Macie renvoie une réponse HTTP 4 *xx* ou 500 indiquant pourquoi l'opération a échoué.

------

Si la liste d'autorisation spécifie un texte prédéfini, vous pouvez éventuellement supprimer l'objet S3 qui stocke la liste. Cependant, la conservation de cet objet peut vous permettre de disposer d'un historique immuable des découvertes relatives aux données sensibles et des résultats de découverte dans le cadre d'audits ou d'enquêtes sur la confidentialité et la protection des données.

# Réalisation de la découverte automatisée des données sensibles
<a name="discovery-asdd"></a>

Pour avoir une visibilité étendue sur l'emplacement des données sensibles dans votre parc de données Amazon Simple Storage Service (Amazon S3), configurez Amazon Macie pour qu'il effectue une découverte automatique des données sensibles pour votre compte ou votre organisation. Grâce à la découverte automatique des données sensibles, Macie évalue en permanence votre inventaire de compartiments S3 et utilise des techniques d'échantillonnage pour identifier et sélectionner des objets S3 représentatifs dans vos compartiments. Macie récupère et analyse ensuite les objets sélectionnés, en les inspectant pour détecter la présence de données sensibles.

Par défaut, Macie sélectionne et analyse les objets de tous vos compartiments S3 à usage général. Si vous êtes l'administrateur Macie d'une organisation, cela inclut les objets contenus dans des compartiments détenus par vos comptes membres. Vous pouvez ajuster la portée des analyses en excluant des compartiments spécifiques. Par exemple, vous pouvez exclure les compartiments qui stockent généralement des données de AWS journalisation. Si vous êtes un administrateur Macie, une option supplémentaire consiste à activer ou à désactiver la découverte automatique des données sensibles pour les comptes individuels de votre organisation sur une case-by-case base spécifique.

Vous pouvez adapter les analyses pour qu'elles se concentrent sur des types spécifiques de données sensibles. Par défaut, Macie analyse les objets S3 à l'aide de l'ensemble d'identifiants de données gérés que nous recommandons pour la découverte automatique des données sensibles. Pour personnaliser les analyses, vous pouvez configurer Macie pour qu'il utilise des [identifiants de données gérés](managed-data-identifiers.md) spécifiques fournis par Macie, des [identifiants de données personnalisés](custom-data-identifiers.md) que vous définissez ou une combinaison des deux. Vous pouvez également affiner les analyses en configurant Macie pour qu'il utilise les [listes d'autorisation](allow-lists.md) que vous spécifiez.

Au fur et à mesure que l'analyse progresse chaque jour, Macie enregistre les données sensibles qu'elle trouve et les analyses qu'elle effectue : les *résultats de données sensibles*, qui signalent les données sensibles trouvées par Macie dans des objets S3 individuels, et les *résultats de découverte de données sensibles*, qui enregistrent les détails de l'analyse des objets S3 individuels. Macie met également à jour les statistiques, les données d'inventaire et les autres informations qu'il fournit sur vos données Amazon S3. Par exemple, une carte thermique interactive sur la console fournit une représentation visuelle de la sensibilité des données dans l'ensemble de votre parc de données :

![\[La carte des compartiments S3. Il affiche des carrés de différentes couleurs, un pour chaque compartiment S3, regroupés par compte.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/scrn-s3-map-small.png)


Ces fonctionnalités sont conçues pour vous aider à évaluer la sensibilité des données dans l'ensemble de votre parc de données Amazon S3, et à effectuer une analyse approfondie pour étudier et évaluer des comptes, des compartiments et des objets individuels. Ils peuvent également vous aider à déterminer où effectuer une analyse plus approfondie et plus immédiate en [exécutant des tâches de découverte de données sensibles](discovery-jobs.md). Associées aux informations fournies par Macie concernant la sécurité et la confidentialité de vos données Amazon S3, vous pouvez également utiliser ces fonctionnalités pour identifier les cas où une correction immédiate pourrait être nécessaire, par exemple un compartiment accessible au public dans lequel Macie a trouvé des données sensibles.

Pour configurer et gérer la découverte automatique des données sensibles, vous devez être l'administrateur Macie d'une organisation ou disposer d'un compte Macie autonome.

**Topics**
+ [Comment fonctionne la découverte automatique des données sensibles](discovery-asdd-how-it-works.md)
+ [Configuration de la découverte automatique des données sensibles](discovery-asdd-account-manage.md)
+ [Examen des résultats de découverte automatique de données sensibles](discovery-asdd-results-s3.md)
+ [Évaluation de la couverture de la découverte automatique des données sensibles](discovery-coverage.md)
+ [Ajustement des scores de sensibilité pour les compartiments S3](discovery-asdd-s3bucket-manage.md)
+ [Notation de sensibilité pour les compartiments S3](discovery-scoring-s3.md)
+ [Paramètres par défaut pour la découverte automatique des données sensibles](discovery-asdd-settings-defaults.md)

# Comment fonctionne la découverte automatique des données sensibles
<a name="discovery-asdd-how-it-works"></a>

Lorsque vous activez Amazon Macie pour votre compte Compte AWS, Macie crée actuellement un [rôle lié au service Gestion des identités et des accès AWS](service-linked-roles.md) (IAM) pour votre compte. Région AWS La politique d'autorisation pour ce rôle permet à Macie d'appeler d'autres personnes Services AWS et de surveiller AWS les ressources en votre nom. En utilisant ce rôle, Macie génère et tient à jour un inventaire de vos compartiments à usage général Amazon Simple Storage Service (Amazon S3) dans la région. L'inventaire inclut des informations sur chacun de vos compartiments S3 et sur les objets qu'ils contiennent. Si vous êtes l'administrateur Macie d'une organisation, votre inventaire inclut des informations sur les compartiments que possèdent vos comptes membres. Pour de plus amples informations, veuillez consulter [Gestion de plusieurs comptes ](macie-accounts.md).

Si vous activez la découverte automatique des données sensibles, Macie évalue quotidiennement vos données d'inventaire afin d'identifier les objets S3 éligibles à la découverte automatique. Dans le cadre de l'évaluation, Macie sélectionne également un échantillon d'objets représentatifs à analyser. Macie récupère et analyse ensuite la dernière version de chaque objet sélectionné, en l'inspectant pour détecter les données sensibles.

Au fur et à mesure que l'analyse progresse chaque jour, Macie met à jour les statistiques, les données d'inventaire et les autres informations qu'il fournit sur vos données Amazon S3. Macie produit également des enregistrements des données sensibles qu'il trouve et des analyses qu'il effectue. Les données obtenues permettent de savoir où Macie a trouvé des données sensibles dans votre parc de données Amazon S3, qui peut couvrir tous les compartiments S3 à usage général de votre compte. Les données peuvent vous aider à évaluer la sécurité et la confidentialité de vos données Amazon S3, à déterminer où effectuer une enquête plus approfondie et à identifier les cas où des mesures correctives sont nécessaires.

Pour une brève démonstration du fonctionnement de la découverte automatique des données sensibles, regardez la vidéo suivante :




Pour configurer et gérer la découverte automatique des données sensibles, vous devez être l'administrateur Macie d'une organisation ou disposer d'un compte Macie autonome. Si votre compte fait partie d'une organisation, seul l'administrateur Macie de votre organisation peut activer ou désactiver la découverte automatique des comptes de l'organisation. En outre, seul l'administrateur Macie peut configurer et gérer les paramètres de découverte automatique pour les comptes. Cela inclut les paramètres qui définissent la portée et la nature des analyses effectuées par Macie. Si vous avez un compte membre dans une organisation, contactez votre administrateur Macie pour en savoir plus sur les paramètres de votre compte et de votre organisation.

**Topics**
+ [Composants clés](#discovery-asdd-how-it-works-components)
+ [Considérations](#discovery-asdd-how-it-works-considerations)

## Composants clés
<a name="discovery-asdd-how-it-works-components"></a>

Amazon Macie utilise une combinaison de fonctionnalités et de techniques pour effectuer la découverte automatisée de données sensibles. Elles fonctionnent conjointement avec les fonctionnalités fournies par Macie pour vous aider à [surveiller vos données Amazon S3 à des fins de sécurité et de contrôle d'accès](monitoring-s3-how-it-works.md).

**Sélection des objets S3 à analyser**  
Macie évalue quotidiennement vos données d'inventaire Amazon S3 afin d'identifier les objets S3 susceptibles d'être analysés par découverte automatique de données sensibles. Si vous êtes l'administrateur Macie d'une organisation, l'évaluation inclut par défaut les données relatives aux compartiments S3 que possèdent vos comptes membres.  
Dans le cadre de l'évaluation, Macie utilise des techniques d'échantillonnage pour sélectionner des objets S3 représentatifs à analyser. Les techniques définissent des groupes d'objets dotés de métadonnées similaires et susceptibles d'avoir un contenu similaire. Les groupes sont basés sur des dimensions telles que le nom du compartiment, le préfixe, la classe de stockage, l'extension du nom de fichier et la date de dernière modification. Macie sélectionne ensuite un ensemble représentatif d'échantillons de chaque groupe, récupère la dernière version de chaque objet sélectionné sur Amazon S3 et analyse chaque objet sélectionné pour déterminer s'il contient des données sensibles. Lorsque l'analyse est terminée, Macie supprime sa copie de l'objet.  
La stratégie d'échantillonnage donne la priorité aux analyses distribuées. En général, il utilise une approche axée sur l'étendue de votre parc de données Amazon S3. Chaque jour, un ensemble représentatif d'objets S3 est sélectionné parmi le plus grand nombre possible de compartiments à usage général en fonction de la taille de stockage totale de tous les objets classifiables de votre parc de données Amazon S3. Par exemple, si Macie a déjà analysé et trouvé des données sensibles dans des objets d'un compartiment et n'a pas encore analysé d'objets dans un autre compartiment, ce dernier compartiment est une priorité d'analyse plus élevée. Grâce à cette approche, vous obtenez plus rapidement un aperçu général de la sensibilité de vos données Amazon S3. En fonction de la taille de votre parc de données, les résultats d'analyse peuvent commencer à apparaître dans les 48 heures.  
La stratégie d'échantillonnage donne également la priorité à l'analyse des différents types d'objets S3 et d'objets récemment créés ou modifiés. Il n'est pas garanti qu'un échantillon d'objet soit concluant. Par conséquent, l'analyse d'un ensemble diversifié d'objets peut permettre de mieux comprendre les types et la quantité de données sensibles qu'un compartiment S3 peut contenir. En outre, la hiérarchisation des objets nouveaux ou récemment modifiés permet à l'analyse de s'adapter aux modifications apportées à votre inventaire de compartiments. Par exemple, si des objets sont créés ou modifiés après une analyse précédente, ils sont prioritaires pour les analyses ultérieures. Inversement, si un objet a déjà été analysé et n'a pas changé depuis cette analyse, Macie ne l'analyse pas à nouveau. Cette approche vous permet d'établir des lignes de base de sensibilité pour des compartiments S3 individuels. Ensuite, au fur et à mesure que les analyses continues et progressives de votre compte progressent, vos évaluations de sensibilité des compartiments individuels peuvent devenir de plus en plus approfondies et détaillées à un rythme prévisible.

**Définition de la portée des analyses**  
Par défaut, Macie inclut tous les compartiments S3 à usage général pour votre compte lorsqu'il évalue vos données d'inventaire et sélectionne les objets S3 à analyser. Si vous êtes l'administrateur Macie d'une organisation, cela inclut les compartiments que possèdent vos comptes membres.  
Vous pouvez ajuster la portée des analyses en excluant des compartiments S3 spécifiques de la découverte automatique de données sensibles. Par exemple, vous souhaiterez peut-être exclure les compartiments qui stockent généralement des données de AWS journalisation, telles que les journaux AWS CloudTrail d'événements. Pour exclure un bucket, vous pouvez modifier les paramètres de découverte automatique de votre compte ou du bucket. Dans ce cas, Macie commence à exclure le bucket au début du prochain cycle quotidien d'évaluation et d'analyse. Vous pouvez exclure jusqu'à 1 000 compartiments des analyses. Si vous excluez un compartiment S3, vous pourrez l'inclure à nouveau ultérieurement. Pour ce faire, modifiez à nouveau les paramètres de votre compte ou du bucket. Macie commence ensuite à inclure le godet au début du prochain cycle quotidien d'évaluation et d'analyse.  
Si vous êtes l'administrateur Macie d'une organisation, vous pouvez également activer ou désactiver la découverte automatique des données sensibles pour les comptes individuels de votre organisation. Si vous désactivez la découverte automatique pour un compte, Macie exclut tous les compartiments S3 détenus par le compte. Si vous réactivez ensuite la découverte automatique pour le compte, Macie recommence à inclure les buckets.

**Déterminer les types de données sensibles à détecter et à signaler**  
Par défaut, Macie inspecte les objets S3 à l'aide de l'ensemble d'identifiants de données gérés que nous recommandons pour la découverte automatique des données sensibles. Pour obtenir la liste de ces identifiants de données gérés, consultez[Paramètres par défaut pour la découverte automatique des données sensibles](discovery-asdd-settings-defaults.md).  
Vous pouvez adapter les analyses pour qu'elles se concentrent sur des types spécifiques de données sensibles. Pour ce faire, modifiez vos paramètres de découverte automatique de l'une des manières suivantes :  
+ **Ajouter ou supprimer des identifiants de données gérées** — Un *identifiant de données gérées* est un ensemble de critères et de techniques intégrés conçus pour détecter un type spécifique de données sensibles, telles que les numéros de carte de crédit, les clés d'accès AWS secrètes ou les numéros de passeport d'un pays ou d'une région en particulier. Pour de plus amples informations, veuillez consulter [Utilisation des identificateurs de données gérés](managed-data-identifiers.md).
+ **Ajouter ou supprimer des identifiants de données personnalisés** : un *identifiant de données personnalisé* est un ensemble de critères que vous définissez pour détecter les données sensibles. Grâce aux identificateurs de données personnalisés, vous pouvez détecter les données sensibles qui reflètent les scénarios, la propriété intellectuelle ou les données propriétaires propres à votre entreprise. Par exemple, vous pouvez détecter les numéros de compte des employés IDs, des clients ou des classifications de données internes. Pour de plus amples informations, veuillez consulter [Création d’identificateurs de données personnalisés](custom-data-identifiers.md).
+ **Ajouter ou supprimer des listes d'autorisation** : dans Macie, une liste d'autorisation indique le texte ou un modèle de texte que vous souhaitez que Macie ignore dans les objets S3. Il s'agit généralement d'exceptions relatives aux données sensibles propres à vos scénarios ou à votre environnement particuliers, telles que les noms publics ou les numéros de téléphone de votre organisation, ou des exemples de données que votre organisation utilise à des fins de test. Pour de plus amples informations, veuillez consulter [Définition des exceptions relatives aux données sensibles à l'aide de listes d'autorisation](allow-lists.md).
Si vous modifiez un paramètre, Macie applique votre modification au début du cycle d'analyse quotidien suivant. Si vous êtes l'administrateur Macie d'une organisation, Macie utilise les paramètres de votre compte lorsqu'il analyse les objets S3 pour d'autres comptes de votre organisation.  
Vous pouvez également configurer des paramètres au niveau du compartiment qui déterminent si des types spécifiques de données sensibles sont inclus dans les évaluations de la sensibilité d'un compartiment. Pour savoir comment procéder, veuillez consulter la section [Ajustement des scores de sensibilité pour les compartiments S3](discovery-asdd-s3bucket-manage.md).

**Calcul des scores de sensibilité**  
Par défaut, Macie calcule automatiquement un score de sensibilité pour chaque compartiment S3 à usage général associé à votre compte. Si vous êtes l'administrateur Macie d'une organisation, cela inclut les compartiments que possèdent vos comptes membres.  
Dans Macie, un *score de sensibilité* est une mesure quantitative de l'intersection de deux dimensions principales : la quantité de données sensibles que Macie a trouvées dans un bucket et la quantité de données que Macie a analysées dans un bucket. Le score de sensibilité d'un seau détermine l'étiquette de sensibilité que Macie attribue au seau. Une *étiquette de sensibilité* est une représentation qualitative du score de sensibilité d'un compartiment, par exemple, *Sensible*, *Non sensible et *Pas** encore analysé. Pour plus de détails sur la plage de scores de sensibilité et d'étiquettes définie par Macie, voir[Notation de sensibilité pour les compartiments S3](discovery-scoring-s3.md).  
Le score de sensibilité et l'étiquette d'un compartiment S3 n'impliquent ni n'indiquent de quelque manière que ce soit la criticité ou l'importance que le compartiment ou les objets du compartiment peuvent avoir pour vous ou votre organisation. Ils sont plutôt destinés à fournir des points de référence qui peuvent vous aider à identifier et à surveiller les risques de sécurité potentiels.
Lorsque vous activez la découverte automatique des données sensibles pour la première fois, Macie attribue automatiquement un score de sensibilité de *50* et l'étiquette *Pas encore analysé* à chaque compartiment S3. L'exception concerne les seaux vides. Un *bucket vide* est un bucket qui ne stocke aucun objet ou qui ne contient aucun (0) octet de données. Si tel est le cas pour un compartiment, Macie attribue un score de *1* au compartiment et lui attribue l'étiquette *Non sensible*.  
Au fur et à mesure que la découverte automatique des données sensibles progresse, Macie met à jour les scores de sensibilité et les étiquettes pour refléter les résultats de ses analyses. Par exemple :  
+ Si Macie ne trouve aucune donnée sensible dans un objet, Macie diminue le score de sensibilité du compartiment et met à jour l'étiquette de sensibilité du compartiment si nécessaire.
+ Si Macie trouve des données sensibles dans un objet, Macie augmente le score de sensibilité du compartiment et met à jour l'étiquette de sensibilité du compartiment si nécessaire.
+ Si Macie trouve des données sensibles dans un objet qui est ensuite modifié, Macie supprime les données sensibles détectées pour l'objet du score de sensibilité du compartiment et met à jour l'étiquette de sensibilité du compartiment si nécessaire.
+ Si Macie trouve des données sensibles dans un objet qui est ensuite supprimé, Macie supprime les données sensibles détectées pour l'objet du score de sensibilité du bucket et met à jour l'étiquette de sensibilité du bucket si nécessaire.
Vous pouvez ajuster les paramètres de notation de sensibilité pour des compartiments S3 individuels en incluant ou en excluant des types spécifiques de données sensibles du score d'un compartiment. Vous pouvez également annuler le score calculé d'un compartiment en attribuant manuellement le score maximum (*100*) au compartiment. Si vous attribuez le score maximum, l'étiquette du compartiment est *Sensitive*. Pour de plus amples informations, veuillez consulter [Ajustement des scores de sensibilité pour les compartiments S3](discovery-asdd-s3bucket-manage.md).

**Génération de métadonnées, de statistiques et d'autres types de résultats**  
Lorsque vous activez la découverte automatique des données sensibles, Macie génère et commence à gérer des données d'inventaire, des statistiques et d'autres informations supplémentaires sur les compartiments à usage général S3 pour votre compte. Si vous êtes l'administrateur Macie d'une organisation, cela inclut par défaut les compartiments que possèdent vos comptes membres.  
Les informations supplémentaires capturent les résultats des activités automatisées de découverte de données sensibles effectuées par Macie jusqu'à présent. Elle complète également les autres informations fournies par Macie concernant vos données Amazon S3, telles que les paramètres d'accès public et d'accès partagé pour les compartiments individuels. Les informations supplémentaires incluent :  
+ Une représentation visuelle interactive de la sensibilité des données dans l'ensemble de votre parc de données Amazon S3.
+ Des statistiques agrégées sur la sensibilité des données, telles que le nombre total de compartiments dans lesquels Macie a trouvé des données sensibles et le nombre de ces compartiments accessibles au public.
+ Informations détaillées au niveau du compartiment qui indiquent l'état actuel des analyses. Par exemple, une liste des objets que Macie a analysés dans un compartiment, les types de données sensibles que Macie a trouvés dans un compartiment et le nombre d'occurrences de chaque type de données sensibles trouvées par Macie.
Les informations incluent également des statistiques et des informations qui peuvent vous aider à évaluer et à surveiller la couverture de vos données Amazon S3. Vous pouvez vérifier l'état des analyses pour l'ensemble de votre parc de données et pour les compartiments S3 individuels. Vous pouvez également identifier les problèmes qui empêchaient Macie d'analyser des objets dans des compartiments spécifiques. Si vous corrigez les problèmes, vous pouvez augmenter la couverture de vos données Amazon S3 lors des cycles d'analyse suivants. Pour de plus amples informations, veuillez consulter [Évaluation de la couverture de la découverte automatique des données sensibles](discovery-coverage.md).  
Macie recalcule et met à jour automatiquement ces informations pendant qu'il effectue la découverte automatique des données sensibles. Par exemple, si Macie trouve des données sensibles dans un objet S3 qui est ensuite modifié ou supprimé, Macie met à jour les métadonnées du compartiment applicable : supprime l'objet de la liste des objets analysés ; supprime les occurrences de données sensibles trouvées par Macie dans l'objet ; recalcule le score de sensibilité, s'il est calculé automatiquement ; et met à jour l'étiquette de sensibilité si nécessaire pour refléter le nouveau score.  
Outre les métadonnées et les statistiques, Macie produit des enregistrements des données sensibles qu'elle trouve et des analyses qu'elle effectue : les *résultats de données sensibles*, qui signalent les données sensibles trouvées par Macie dans des objets S3 individuels, et les *résultats de découverte de données sensibles*, qui enregistrent les détails de l'analyse des objets S3 individuels.  
Pour de plus amples informations, veuillez consulter [Examen des résultats de découverte automatique de données sensibles](discovery-asdd-results-s3.md).

## Considérations
<a name="discovery-asdd-how-it-works-considerations"></a>

Lorsque vous configurez et utilisez Amazon Macie pour effectuer une découverte automatique des données sensibles relatives à vos données Amazon S3, gardez à l'esprit les points suivants :
+ Vos paramètres de découverte automatique s'appliquent uniquement aux paramètres actuels Région AWS. Par conséquent, les analyses et les données qui en résultent ne s'appliquent qu'aux compartiments et objets à usage général S3 de la région actuelle. Pour effectuer une découverte automatique et accéder aux données obtenues dans des régions supplémentaires, activez et configurez la découverte automatique dans chaque région supplémentaire.
+ Si vous êtes l'administrateur Macie d'une organisation :
  + Vous pouvez effectuer une découverte automatique pour un compte membre uniquement si Macie est activé pour le compte dans la région actuelle. En outre, vous devez activer la découverte automatique du compte dans cette région. Les membres ne peuvent pas activer ou désactiver la découverte automatique pour leurs propres comptes.
  + Si vous activez la découverte automatique pour un compte membre, Macie utilise les paramètres de découverte automatique de votre compte administrateur lorsqu'elle analyse les données du compte membre. Les paramètres applicables sont les suivants : la liste des compartiments S3 à exclure des analyses, ainsi que les identifiants de données gérés, les identifiants de données personnalisés et les listes d'autorisation à utiliser lors de l'analyse des objets S3. Les membres ne peuvent pas consulter ou modifier ces paramètres.
  + Les membres ne peuvent pas accéder aux paramètres de découverte automatique pour les compartiments S3 individuels dont ils sont propriétaires. Par exemple, un membre ne peut pas revoir ou ajuster les paramètres de score de sensibilité pour l'un de ses compartiments. Seul l'administrateur Macie peut accéder à ces paramètres.
  + Les membres ont un accès en lecture aux statistiques de découverte de données sensibles et à d'autres résultats que Macie fournit directement à leurs compartiments S3. Par exemple, un membre peut utiliser Macie pour consulter les scores de sensibilité et les données de couverture de ses compartiments S3. L'exception concerne les découvertes de données sensibles. Seul l'administrateur Macie a un accès direct aux résultats produits par la découverte automatique.
+ Si les paramètres d'autorisation d'un compartiment S3 empêchent Macie d'accéder ou de récupérer des informations concernant le compartiment ou les objets du compartiment, Macie ne peut pas effectuer de découverte automatique pour le compartiment. Macie ne peut fournir qu'un sous-ensemble d'informations sur le bucket, telles que l'ID de compte du propriétaire du Compte AWS bucket, le nom du bucket et la date à laquelle Macie a récemment récupéré les métadonnées du bucket et de l'objet pour le bucket dans le cadre du cycle d'actualisation [quotidien](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh). Dans votre inventaire de compartiments, le score de sensibilité de ces compartiments est de *50* et leur étiquette de sensibilité n'a *pas encore été analysée*. Pour identifier les compartiments S3 dans ce cas, vous pouvez vous référer aux données de couverture. Pour de plus amples informations, veuillez consulter [Évaluation de la couverture de la découverte automatique des données sensibles](discovery-coverage.md).
+ Pour être éligible à la sélection et à l'analyse, un objet S3 doit être stocké dans un compartiment à usage général et doit être *classifiable*. Un objet *classifiable* utilise une classe de stockage Amazon S3 prise en charge et possède une extension de nom de fichier pour un format de fichier ou de stockage pris en charge. Pour de plus amples informations, veuillez consulter [Classes et formats de stockage pris en charge](discovery-supported-storage.md).
+ Si un objet S3 est chiffré, Macie ne peut l'analyser que s'il est chiffré avec une clé à laquelle Macie peut accéder et est autorisée à utiliser. Pour de plus amples informations, veuillez consulter [Analyse des objets S3 chiffrés](discovery-supported-encryption-types.md). Pour identifier les cas où les paramètres de chiffrement empêchaient Macie d'analyser un ou plusieurs objets d'un compartiment, vous pouvez vous référer aux données de couverture. Pour de plus amples informations, veuillez consulter [Évaluation de la couverture de la découverte automatique des données sensibles](discovery-coverage.md).

# Configuration de la découverte automatique des données sensibles
<a name="discovery-asdd-account-manage"></a>

Pour obtenir une visibilité étendue sur l'emplacement des données sensibles dans votre parc de données Amazon Simple Storage Service (Amazon S3), activez et configurez la découverte automatique des données sensibles pour votre compte ou votre organisation. Amazon Macie évalue ensuite quotidiennement votre inventaire de compartiments S3 et utilise des techniques d'échantillonnage pour identifier et sélectionner des objets S3 représentatifs de vos compartiments. Macie récupère et analyse les objets sélectionnés, en les inspectant pour détecter la présence de données sensibles. Si vous êtes l'administrateur Macie d'une organisation, cela inclut par défaut les objets des compartiments S3 détenus par vos comptes membres. 

Au fur et à mesure que l'analyse progresse chaque jour, Macie enregistre les données sensibles qu'elle trouve et les analyses qu'elle effectue. Macie met également à jour les statistiques, les données d'inventaire et les autres informations qu'il fournit sur vos données Amazon S3. Les données obtenues permettent de savoir où Macie a trouvé des données sensibles dans votre patrimoine de données Amazon S3, qui peut couvrir tous les compartiments S3 de votre compte ou de votre organisation. Pour de plus amples informations, veuillez consulter [Comment fonctionne la découverte automatique des données sensibles](discovery-asdd-how-it-works.md).

Si vous possédez un compte Macie autonome ou si vous êtes l'administrateur Macie d'une organisation, vous pouvez configurer et gérer la découverte automatique des données sensibles pour votre compte ou votre organisation. Cela inclut l'activation et la désactivation de la découverte automatique, ainsi que la configuration des paramètres qui définissent la portée et la nature des analyses effectuées par Macie. Si vous avez un compte membre dans une organisation, contactez votre administrateur Macie pour en savoir plus sur les paramètres de votre compte et de votre organisation.

**Topics**
+ [Conditions préalables à la configuration de la découverte automatique des données sensibles](discovery-asdd-account-configure-prereqs.md)
+ [Permettre la découverte automatique des données sensibles](discovery-asdd-account-enable.md)
+ [Configuration des paramètres pour la découverte automatique des données sensibles](discovery-asdd-account-configure.md)
+ [Désactivation de la découverte automatique des données sensibles](discovery-asdd-account-disable.md)

# Conditions préalables à la configuration de la découverte automatique des données sensibles
<a name="discovery-asdd-account-configure-prereqs"></a>

Avant d'activer ou de configurer les paramètres de découverte automatique des données sensibles, effectuez les tâches suivantes. Cela permet de garantir que vous disposez des ressources et des autorisations dont vous avez besoin.

Pour effectuer ces tâches, vous devez être l'administrateur Amazon Macie d'une organisation ou disposer d'un compte Macie autonome. Si votre compte fait partie d'une organisation, seul l'administrateur Macie de votre organisation peut activer ou désactiver la découverte automatique des données sensibles pour les comptes de l'organisation. En outre, seul l'administrateur Macie peut configurer les paramètres de découverte automatique pour les comptes.

**Topics**
+ [Étape 1 : Configuration d'un référentiel pour les résultats de découverte de données sensibles](#discovery-asdd-account-configure-prereqs-sddr)
+ [Étape 2 : Vérifiez vos autorisations](#discovery-asdd-account-configure-prereqs-perms)
+ [Étapes suivantes](#discovery-asdd-account-configure-prereqs-next)

## Étape 1 : Configuration d'un référentiel pour les résultats de découverte de données sensibles
<a name="discovery-asdd-account-configure-prereqs-sddr"></a>

Lorsqu'Amazon Macie effectue une découverte automatique de données sensibles, il crée un enregistrement d'analyse pour chaque objet Amazon Simple Storage Service (Amazon S3) sélectionné pour analyse. Ces enregistrements, appelés *résultats de découverte de données sensibles*, enregistrent les détails de l'analyse des objets S3 individuels. Cela inclut les objets dans lesquels Macie ne trouve pas de données sensibles et les objets que Macie ne peut pas analyser en raison d'erreurs ou de problèmes tels que les paramètres des autorisations. Si Macie trouve des données sensibles dans un objet, le résultat de la découverte de données sensibles inclut des informations sur les données sensibles trouvées par Macie. Les résultats de découverte de données sensibles vous fournissent des enregistrements d'analyse qui peuvent être utiles pour les audits ou les enquêtes sur la confidentialité et la protection des données.

Macie conserve les résultats de la découverte de vos données sensibles pendant 90 jours seulement. Pour accéder aux résultats et permettre leur stockage et leur conservation à long terme, configurez Macie pour qu'il stocke les résultats dans un compartiment S3. Le bucket peut servir de référentiel définitif à long terme pour tous vos résultats de découverte de données sensibles. Si vous êtes l'administrateur Macie d'une organisation, cela inclut les résultats de découverte de données sensibles pour les comptes de membres pour lesquels vous activez la découverte automatique de données sensibles.

Pour vérifier que vous avez configuré ce référentiel, choisissez **Discovery results** dans le volet de navigation de la console Amazon Macie. Si vous préférez le faire par programmation, utilisez le [GetClassificationExportConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/classification-export-configuration.html)fonctionnement de l'API Amazon Macie. Pour en savoir plus sur les résultats de découverte de données sensibles et sur la façon de configurer ce référentiel, consultez[Stockage et conservation des résultats de découverte de données sensibles](discovery-results-repository-s3.md).

Si vous avez configuré le référentiel, Macie crée un dossier nommé `automated-sensitive-data-discovery` dans le référentiel lorsque vous activez la découverte automatique de données sensibles pour la première fois. Ce dossier contient les résultats de découverte de données sensibles créés par Macie lors de la découverte automatique pour votre compte ou votre organisation.

Si vous utilisez Macie à plusieurs reprises Régions AWS, vérifiez que vous avez configuré le référentiel pour chacune de ces régions.

## Étape 2 : Vérifiez vos autorisations
<a name="discovery-asdd-account-configure-prereqs-perms"></a>

Pour vérifier vos autorisations, utilisez Gestion des identités et des accès AWS (IAM) pour examiner les politiques IAM associées à votre identité IAM. Comparez ensuite les informations contenues dans ces politiques à la liste suivante des actions que vous devez être autorisé à effectuer :
+ `macie2:GetMacieSession`
+ `macie2:UpdateAutomatedDiscoveryConfiguration`
+ `macie2:ListClassificationScopes`
+ `macie2:UpdateClassificationScope`
+ `macie2:ListSensitivityInspectionTemplates`
+ `macie2:UpdateSensitivityInspectionTemplate`

La première action vous permet d'accéder à votre compte Amazon Macie. La deuxième action vous permet d'activer ou de désactiver la découverte automatique des données sensibles pour votre compte ou votre organisation. Pour une organisation, cela vous permet également d'activer la découverte automatique pour les comptes de votre organisation. Les actions restantes vous permettent d'identifier et de modifier les paramètres de configuration.

Si vous envisagez de revoir ou de modifier les paramètres de configuration à l'aide de la console Amazon Macie, vous devez également être autorisé à effectuer les actions suivantes :
+ `macie2:GetAutomatedDiscoveryConfiguration`
+ `macie2:GetClassificationScope`
+ `macie2:GetSensitivityInspectionTemplate`

Ces actions vous permettent de récupérer vos paramètres de configuration actuels et l'état de la découverte automatique des données sensibles pour votre compte ou votre organisation. L'autorisation d'effectuer ces actions est facultative si vous envisagez de modifier les paramètres de configuration par programmation.

Si vous êtes l'administrateur Macie d'une organisation, vous devez également être autorisé à effectuer les actions suivantes :
+ `macie2:ListAutomatedDiscoveryAccounts`
+ `macie2:BatchUpdateAutomatedDiscoveryAccounts`

La première action vous permet de récupérer l'état de la découverte automatique des données sensibles pour les comptes individuels de votre organisation. La deuxième action vous permet d'activer ou de désactiver la découverte automatique pour les comptes individuels de votre organisation.

Si vous n'êtes pas autorisé à effectuer les actions requises, demandez de l'aide à votre AWS administrateur.

## Étapes suivantes
<a name="discovery-asdd-account-configure-prereqs-next"></a>

Après avoir effectué les tâches précédentes, vous êtes prêt à activer et à configurer les paramètres de votre compte ou de votre organisation :
+ [Permettre la découverte automatique des données sensibles](discovery-asdd-account-enable.md)
+ [Configuration des paramètres pour la découverte automatique des données sensibles](discovery-asdd-account-configure.md)

 

# Permettre la découverte automatique des données sensibles
<a name="discovery-asdd-account-enable"></a>

Lorsque vous activez la découverte automatique des données sensibles, Amazon Macie commence à évaluer les données d'inventaire de votre Amazon Simple Storage Service (Amazon S3) et à effectuer actuellement d'autres activités de découverte automatique pour votre compte. Région AWS Si vous êtes l'administrateur Macie d'une organisation, l'évaluation et les activités incluent par défaut les compartiments S3 que possèdent vos comptes membres. Selon la taille de votre parc de données Amazon S3, les statistiques et autres résultats peuvent commencer à apparaître dans les 48 heures.

Après avoir activé la découverte automatique des données sensibles, vous pouvez configurer des paramètres qui affinent la portée et la nature des analyses effectuées par Macie. Ces paramètres spécifient les compartiments S3 à exclure des analyses. Ils spécifient également les identifiants de données gérés, les identifiants de données personnalisés et autorisent les listes que vous souhaitez que Macie utilise lorsqu'il analyse les objets S3. Pour plus d'informations sur ces paramètres, consultez [Configuration des paramètres pour la découverte automatique des données sensibles](discovery-asdd-account-configure.md). Si vous êtes l'administrateur Macie d'une organisation, vous pouvez également affiner la portée des analyses en activant ou en désactivant la découverte automatique des données sensibles pour les comptes individuels de votre organisation sur une case-by-case base spécifique.

Pour activer la découverte automatique des données sensibles, vous devez être l'administrateur Macie d'une organisation ou disposer d'un compte Macie autonome. Si vous avez un compte membre dans une organisation, contactez votre administrateur Macie pour activer la découverte automatique des données sensibles pour votre compte.

**Pour permettre la découverte automatique des données sensibles**  
Si vous êtes l'administrateur Macie d'une organisation ou si vous possédez un compte Macie autonome, vous pouvez activer la découverte automatique des données sensibles à l'aide de la console Amazon Macie ou de l'API Amazon Macie. Si vous l'activez pour la première fois, commencez par [effectuer les tâches prérequises](discovery-asdd-account-configure-prereqs.md). Cela permet de garantir que vous disposez des ressources et des autorisations dont vous avez besoin.

------
#### [ Console ]

Suivez ces étapes pour activer la découverte automatique des données sensibles à l'aide de la console Amazon Macie.

**Pour permettre la découverte automatique des données sensibles**

1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, choisissez la région dans laquelle vous souhaitez activer la découverte automatique des données sensibles.

1. Dans le volet de navigation, sous **Paramètres**, choisissez **Découverte automatisée des données sensibles**.

1. Si vous avez un compte Macie autonome, choisissez **Activer** dans la section **État**.

1. Si vous êtes l'administrateur Macie d'une organisation, choisissez une option dans la section **État** pour spécifier les comptes permettant la découverte automatique des données sensibles pour :
   + Pour l'activer pour tous les comptes de votre organisation, choisissez **Activer**. Dans la boîte de dialogue qui apparaît, sélectionnez **Mon organisation**. Pour une organisation dans AWS Organizations, sélectionnez **Activer automatiquement pour les nouveaux comptes** afin de l'activer également automatiquement pour les comptes qui rejoignent ultérieurement votre organisation. Lorsque vous avez terminé, choisissez **Activer**.
   + Pour l'activer uniquement pour certains comptes de membres, choisissez **Gérer les comptes**. Ensuite, dans le tableau de la page **Comptes**, cochez la case correspondant à chaque compte pour lequel vous souhaitez l'activer. Lorsque vous avez terminé, choisissez **Activer la découverte automatique des données sensibles** dans le menu **Actions**.
   + Pour l'activer uniquement pour votre compte administrateur Macie, choisissez **Activer**. Dans la boîte de dialogue qui apparaît, choisissez **Mon compte** et désactivez **Activer automatiquement pour les nouveaux comptes**. Lorsque vous avez terminé, choisissez **Activer**.

Si vous utilisez Macie dans plusieurs régions et que vous souhaitez activer la découverte automatique des données sensibles dans d'autres régions, répétez les étapes précédentes dans chaque région supplémentaire.

Pour vérifier ou modifier ultérieurement le statut de la découverte automatique des données sensibles pour les comptes individuels d'une organisation, sélectionnez **Comptes** dans le volet de navigation. Sur la page **Comptes**, le champ **Découverte automatique des données sensibles** du tableau indique l'état actuel de la découverte automatique d'un compte. Pour modifier le statut d'un compte, cochez la case correspondante. Utilisez ensuite le menu **Actions** pour activer ou désactiver la découverte automatique du compte.

------
#### [ API ]

Pour activer la découverte automatique des données sensibles par programmation, plusieurs options s'offrent à vous :
+ Pour l'activer pour un compte administrateur Macie, une organisation ou un compte Macie autonome, utilisez l'opération. [UpdateAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html) Ou, si vous utilisez le AWS Command Line Interface (AWS CLI), exécutez la [update-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-automated-discovery-configuration.html)commande.
+ Pour l'activer uniquement pour certains comptes de membres d'une organisation, utilisez l'[BatchUpdateAutomatedDiscoveryAccounts](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-accounts.html)opération. Ou, si vous utilisez le AWS CLI, exécutez la commande [batch-update-automated-discovery-accounts](https://docs.aws.amazon.com/cli/latest/reference/macie2/batch-update-automated-discovery-accounts.html). Pour activer la découverte automatique pour un compte membre, vous devez d'abord l'activer pour votre compte administrateur ou votre organisation.

Les options et détails supplémentaires varient en fonction du type de compte que vous possédez.

Si vous êtes un administrateur Macie, utilisez l'**UpdateAutomatedDiscoveryConfiguration**opération ou exécutez la **update-automated-discovery-configuration** commande pour activer la découverte automatique des données sensibles pour votre compte ou votre organisation. Dans votre demande, spécifiez `ENABLED` le `status` paramètre. Pour le `autoEnableOrganizationMembers` paramètre, spécifiez les comptes pour lesquels il doit être activé. Si vous utilisez le AWS CLI, spécifiez les comptes à l'aide du `auto-enable-organization-members` paramètre. Les valeurs valides sont :
+ `ALL`(par défaut) : activez-le pour tous les comptes de votre organisation. Cela inclut votre compte d'administrateur, les comptes de membres existants et les comptes qui rejoignent ultérieurement votre organisation.
+ `NEW`— Activez-le pour votre compte administrateur. Activez-le également automatiquement pour les comptes qui rejoignent ultérieurement votre organisation. Si vous avez déjà activé la découverte automatique pour votre organisation et que vous spécifiez cette valeur, la découverte automatique continuera d'être activée pour les comptes membres existants pour lesquels elle est actuellement activée.
+ `NONE`— Activez-le uniquement pour votre compte administrateur. Ne l'activez pas automatiquement pour les comptes qui rejoignent ultérieurement votre organisation. Si vous avez déjà activé la découverte automatique pour votre organisation et que vous spécifiez cette valeur, la découverte automatique continuera d'être activée pour les comptes membres existants pour lesquels elle est actuellement activée.

Si vous souhaitez activer de manière sélective la découverte automatique des données sensibles uniquement pour certains comptes de membres, spécifiez `NEW` ou`NONE`. Vous pouvez ensuite utiliser l'**BatchUpdateAutomatedDiscoveryAccounts**opération ou exécuter la **batch-update-automated-discovery-accounts** commande pour activer la découverte automatique des comptes.

Si vous avez un compte Macie autonome, utilisez l'**UpdateAutomatedDiscoveryConfiguration**opération ou exécutez la **update-automated-discovery-configuration** commande pour activer la découverte automatique des données sensibles pour votre compte. Dans votre demande, spécifiez `ENABLED` le `status` paramètre. Pour le `autoEnableOrganizationMembers` paramètre, déterminez si vous envisagez de devenir l'administrateur Macie pour les autres comptes et spécifiez la valeur appropriée. Si vous le spécifiez`NONE`, la découverte automatique n'est pas activée automatiquement pour un compte lorsque vous devenez l'administrateur Macie du compte. Si vous spécifiez `ALL` ou`NEW`, la découverte automatique est automatiquement activée pour le compte. Si vous utilisez le AWS CLI, utilisez le `auto-enable-organization-members` paramètre pour spécifier la valeur appropriée pour ce paramètre.

Les exemples suivants montrent comment utiliser le AWS CLI pour activer la découverte automatique de données sensibles pour un ou plusieurs comptes au sein d'une organisation. Ce premier exemple permet pour la première fois la découverte automatique de tous les comptes d'une organisation. Il permet la découverte automatique du compte administrateur Macie, de tous les comptes membres existants et de tous les comptes qui rejoignent ultérieurement l'organisation.

```
$ aws macie2 update-automated-discovery-configuration --status ENABLED --auto-enable-organization-members ALL --region us-east-1
```

Où se *us-east-1* trouve la région dans laquelle permettre la découverte automatique des données sensibles pour les comptes, la région de l'est des États-Unis (Virginie du Nord). Si la demande aboutit, Macie active la découverte automatique des comptes et renvoie une réponse vide.

L'exemple suivant modifie le paramètre d'activation des membres d'une organisation en`NONE`. Avec cette modification, la découverte automatique des données sensibles n'est pas activée automatiquement pour les comptes qui rejoignent ultérieurement l'organisation. Au lieu de cela, il est activé uniquement pour le compte administrateur Macie et pour tous les comptes de membre existants pour lesquels il est actuellement activé.

```
$ aws macie2 update-automated-discovery-configuration --status ENABLED --auto-enable-organization-members NONE --region us-east-1
```

Où se *us-east-1* trouve la région dans laquelle modifier le paramètre, la région USA Est (Virginie du Nord). Si la demande aboutit, Macie met à jour le paramètre et renvoie une réponse vide.

Les exemples suivants permettent la découverte automatique de données sensibles pour deux comptes membres d'une organisation. L'administrateur Macie a déjà activé la découverte automatique pour l'organisation. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.

```
$ aws macie2 batch-update-automated-discovery-accounts \
--region us-east-1 \
--accounts '[{"accountId":"123456789012","status":"ENABLED"},{"accountId":"111122223333","status":"ENABLED"}]'
```

Cet exemple est formaté pour Microsoft Windows et utilise le caractère de continuation de ligne caret (^) pour améliorer la lisibilité.

```
C:\> aws macie2 batch-update-automated-discovery-accounts ^
--region us-east-1 ^
--accounts=[{\"accountId\":\"123456789012\",\"status\":\"ENABLED\"},{\"accountId\":\"111122223333\",\"status\":\"ENABLED\"}]
```

Où :
+ *us-east-1*est la région dans laquelle la découverte automatique des données sensibles pour les comptes spécifiés doit être activée, à savoir la région de l'est des États-Unis (Virginie du Nord).
+ *123456789012*et *111122223333* sont le compte correspondant IDs aux comptes pour lesquels la découverte automatique des données sensibles est activée.

Si la demande aboutit pour tous les comptes spécifiés, Macie renvoie un tableau vide. `errors` Si la demande échoue pour certains comptes, le tableau indique l'erreur survenue pour chaque compte concerné. Par exemple :

```
"errors": [
    {
        "accountId": "123456789012",
        "errorCode": "ACCOUNT_PAUSED"
    }
]
```

Dans la réponse précédente, la demande a échoué pour le compte spécifié (`123456789012`) car Macie est actuellement suspendu pour le compte. Pour corriger cette erreur, l'administrateur Macie doit d'abord activer Macie pour le compte.

Si la demande échoue pour tous les comptes, vous recevez un message décrivant l'erreur survenue. 

------

# Configuration des paramètres pour la découverte automatique des données sensibles
<a name="discovery-asdd-account-configure"></a>

Si vous activez la découverte automatique des données sensibles pour votre compte ou votre organisation, vous pouvez ajuster vos paramètres de découverte automatique pour affiner les analyses effectuées par Amazon Macie. Les paramètres spécifient les compartiments Amazon Simple Storage Service (Amazon S3) à exclure des analyses. Ils spécifient également les types et les occurrences de données sensibles à détecter et à signaler : les identifiants de données gérés, les identifiants de données personnalisés et les listes d'autorisations à utiliser lors de l'analyse des objets S3.

Par défaut, Macie effectue la découverte automatique des données sensibles pour tous les compartiments S3 à usage général de votre compte. Si vous êtes l'administrateur Macie d'une organisation, cela inclut les compartiments que possèdent vos comptes membres. Vous pouvez exclure des compartiments spécifiques des analyses. Par exemple, vous pouvez exclure les compartiments qui stockent généralement des données de AWS journalisation, telles que les journaux AWS CloudTrail d'événements. Si vous excluez un bucket, vous pourrez l'inclure à nouveau ultérieurement. 

En outre, Macie analyse les objets S3 en utilisant uniquement l'ensemble d'identifiants de données gérés que nous recommandons pour la découverte automatique des données sensibles. Macie n'utilise pas d'identificateurs de données personnalisés et n'autorise pas les listes que vous avez définies. Pour personnaliser les analyses, vous pouvez ajouter ou supprimer des identifiants de données gérés spécifiques, des identifiants de données personnalisés et des listes d'autorisations.

Si vous modifiez un paramètre, Macie applique votre modification au début du cycle d'évaluation et d'analyse suivant, généralement dans les 24 heures. De plus, votre modification ne s'applique qu'au courant Région AWS. Pour effectuer la même modification dans d'autres régions, répétez les étapes applicables dans chaque région supplémentaire.

**Topics**
+ [Options de configuration pour les organisations](#discovery-asdd-configure-options-orgs)
+ [À l'exclusion ou à l'inclusion des compartiments S3](#discovery-asdd-account-configure-s3buckets)
+ [Ajouter ou supprimer des identifiants de données gérées](#discovery-asdd-account-configure-mdis)
+ [Ajouter ou supprimer des identifiants de données personnalisés](#discovery-asdd-account-configure-cdis)
+ [Ajouter ou supprimer des listes d'autorisation](#discovery-asdd-account-configure-als)

**Note**  
Pour configurer les paramètres de découverte automatique des données sensibles, vous devez être l'administrateur Macie d'une organisation ou disposer d'un compte Macie autonome. Si votre compte fait partie d'une organisation, seul l'administrateur Macie de votre organisation peut configurer et gérer les paramètres des comptes de votre organisation. Si vous avez un compte membre, contactez votre administrateur Macie pour en savoir plus sur les paramètres de votre compte et de votre organisation.

## Options de configuration pour les organisations
<a name="discovery-asdd-configure-options-orgs"></a>

Si un compte fait partie d'une organisation qui gère de manière centralisée plusieurs comptes Amazon Macie, l'administrateur Macie de l'organisation configure et gère la découverte automatique des données sensibles pour les comptes de l'organisation. Cela inclut les paramètres qui définissent la portée et la nature des analyses effectuées par Macie pour les comptes. Les membres ne peuvent pas accéder à ces paramètres pour leurs propres comptes.

Si vous êtes l'administrateur Macie d'une organisation, vous pouvez définir la portée des analyses de plusieurs manières :
+ **Activer automatiquement la découverte automatique des données sensibles pour les comptes** : lorsque vous activez la découverte automatique des données sensibles, vous spécifiez si vous souhaitez l'activer pour tous les comptes existants et les nouveaux comptes membres, uniquement pour les nouveaux comptes membres ou pour aucun compte membre. Si vous l'activez pour les nouveaux comptes membres, il est activé automatiquement pour tout compte qui rejoint ultérieurement votre organisation, lorsque le compte rejoint votre organisation dans Macie. S'il est activé pour un compte, Macie inclut les compartiments S3 détenus par le compte. Si elle est désactivée pour un compte, Macie exclut les buckets détenus par le compte.
+ **Activez de manière sélective la découverte automatique des données sensibles pour les comptes** : avec cette option, vous activez ou désactivez la découverte automatique des données sensibles pour les comptes individuels sur une case-by-case base individuelle. Si vous l'activez pour un compte, Macie inclut les compartiments S3 détenus par le compte. Si vous ne l'activez pas ou si vous le désactivez pour un compte, Macie exclut les buckets détenus par le compte.
+ **Exclure des compartiments S3 spécifiques de la découverte automatique des données sensibles** — Si vous activez la découverte automatique des données sensibles pour un compte, vous pouvez exclure des compartiments S3 spécifiques détenus par le compte. Macie ignore ensuite les compartiments lorsqu'il effectue une découverte automatique. Pour exclure des buckets spécifiques, ajoutez-les à la liste d'exclusion dans les paramètres de configuration de votre compte administrateur. Vous pouvez exclure jusqu'à 1 000 compartiments pour votre organisation.

Par défaut, la découverte automatique des données sensibles est activée automatiquement pour tous les comptes nouveaux et existants d'une organisation. De plus, Macie inclut tous les compartiments S3 que possèdent les comptes. Si vous conservez les paramètres par défaut, cela signifie que Macie effectue une découverte automatique de tous les compartiments de votre compte administrateur, y compris tous les compartiments détenus par vos comptes de membre.

En tant qu'administrateur Macie, vous définissez également la nature des analyses que Macie effectue pour votre organisation. Pour ce faire, configurez des paramètres supplémentaires pour votre compte administrateur : les identifiants de données gérés, les identifiants de données personnalisés et les listes d'autorisations que vous souhaitez que Macie utilise lorsqu'il analyse des objets S3. Macie utilise les paramètres de votre compte administrateur lorsqu'il analyse les objets S3 pour d'autres comptes de votre organisation.

## Exclure ou inclure les compartiments S3 dans la découverte automatique des données sensibles
<a name="discovery-asdd-account-configure-s3buckets"></a>

Par défaut, Amazon Macie effectue la découverte automatique des données sensibles pour tous les compartiments S3 à usage général de votre compte. Si vous êtes l'administrateur Macie d'une organisation, cela inclut les compartiments que possèdent vos comptes membres.

Pour affiner la portée, vous pouvez exclure jusqu'à 1 000 compartiments S3 des analyses. Si vous excluez un compartiment, Macie arrête de sélectionner et d'analyser les objets qu'il contient lorsqu'il effectue la découverte automatique de données sensibles. Les statistiques existantes relatives à la découverte de données sensibles et les informations relatives au compartiment sont conservées. Par exemple, le score de sensibilité actuel du bucket reste inchangé. Après avoir exclu un bucket, vous pouvez l'inclure à nouveau ultérieurement.

**Pour exclure ou inclure un compartiment S3 dans la découverte automatique des données sensibles**  
Vous pouvez exclure ou inclure ultérieurement un compartiment S3 à l'aide de la console Amazon Macie ou de l'API Amazon Macie.

------
#### [ Console ]

Suivez ces étapes pour exclure ou inclure ultérieurement un compartiment S3 à l'aide de la console Amazon Macie.

**Pour exclure ou inclure un compartiment S3**

1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, choisissez la région dans laquelle vous souhaitez exclure ou inclure des compartiments S3 spécifiques dans les analyses.

1. Dans le volet de navigation, sous **Paramètres**, choisissez **Découverte automatisée des données sensibles**.

   La page **Découverte automatique des données sensibles** apparaît et affiche vos paramètres actuels. Sur cette page, la section **des compartiments S3** répertorie les compartiments S3 actuellement exclus ou indique que tous les compartiments sont actuellement inclus.

1. Dans la section **compartiments S3**, choisissez **Modifier**.

1. Effectuez l’une des actions suivantes :
   + Pour exclure un ou plusieurs compartiments S3, choisissez **Ajouter des compartiments à la liste d'exclusion**. Ensuite, dans le tableau **des compartiments S3**, cochez la case correspondant à chaque compartiment à exclure. Le tableau répertorie tous les compartiments à usage général pour votre compte ou votre organisation dans la région actuelle.
   + Pour inclure un ou plusieurs compartiments S3 que vous avez précédemment exclus, choisissez **Supprimer les compartiments de la liste d'exclusion**. Ensuite, dans le tableau **des compartiments S3**, cochez la case correspondant à chaque compartiment à inclure. Le tableau répertorie tous les compartiments actuellement exclus des analyses.

   Pour trouver plus facilement des compartiments spécifiques, entrez des critères de recherche dans le champ de recherche situé au-dessus du tableau. Vous pouvez également trier le tableau en choisissant un titre de colonne.

1. Lorsque vous avez fini de sélectionner des compartiments, choisissez **Ajouter** ou **Supprimer**, selon l'option que vous avez choisie à l'étape précédente.

**Astuce**  
Vous pouvez également exclure ou inclure des compartiments S3 individuels sur une case-by-case base pendant que vous consultez les détails des compartiments sur la console. Pour ce faire, choisissez le compartiment sur la page **des compartiments S3**. Ensuite, dans le panneau de détails, modifiez le paramètre **Exclure de la découverte automatique** pour le bucket.

------
#### [ API ]

Pour exclure ou inclure ultérieurement un compartiment S3 par programmation, utilisez l'API Amazon Macie pour mettre à jour l'étendue de classification de votre compte. L'étendue de classification spécifie les compartiments que vous ne souhaitez pas que Macie analyse lorsqu'il effectue une découverte automatique de données sensibles. Il définit une liste d'exclusion de compartiments pour la découverte automatique.

Lorsque vous mettez à jour l'étendue de la classification, vous spécifiez s'il convient d'ajouter ou de supprimer des compartiments individuels de la liste d'exclusion, ou de remplacer la liste actuelle par une nouvelle liste. Par conséquent, il est conseillé de commencer par récupérer et revoir votre liste actuelle. Pour récupérer la liste, utilisez l'[GetClassificationScope](https://docs.aws.amazon.com/macie/latest/APIReference/classification-scopes-id.html)opération. Si vous utilisez le AWS Command Line Interface (AWS CLI), exécutez la [get-classification-scope](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-classification-scope.html)commande pour récupérer la liste.

Pour récupérer ou mettre à jour l'étendue de la classification, vous devez spécifier son identifiant unique (`id`). Vous pouvez obtenir cet identifiant en utilisant l'[GetAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html)opération. Cette opération permet de récupérer vos paramètres de configuration actuels pour la découverte automatique des données sensibles, y compris l'identifiant unique de l'étendue de classification de votre compte dans le cas actuel Région AWS. Si vous utilisez le AWS CLI, exécutez la [get-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-automated-discovery-configuration.html)commande pour récupérer ces informations.

Lorsque vous êtes prêt à mettre à jour l'étendue de la classification, utilisez l'[UpdateClassificationScope](https://docs.aws.amazon.com/macie/latest/APIReference/classification-scopes-id.html)opération ou, si vous utilisez le AWS CLI, exécutez la [update-classification-scope](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-classification-scope.html)commande. Dans votre demande, utilisez les paramètres pris en charge pour exclure ou inclure un compartiment S3 dans les analyses suivantes :
+ Pour exclure un ou plusieurs compartiments, spécifiez le nom de chaque compartiment pour le `bucketNames` paramètre. Pour le paramètre `operation`, spécifiez `ADD`.
+ Pour inclure un ou plusieurs compartiments que vous avez précédemment exclus, spécifiez le nom de chaque compartiment pour le `bucketNames` paramètre. Pour le paramètre `operation`, spécifiez `REMOVE`.
+ Pour remplacer la liste actuelle par une nouvelle liste de compartiments à exclure, spécifiez le `REPLACE` `operation` paramètre. Pour le `bucketNames` paramètre, spécifiez le nom de chaque compartiment à exclure.

Chaque valeur du `bucketNames` paramètre doit être le nom complet d'un compartiment à usage général existant dans la région actuelle. Les valeurs distinguent les majuscules et minuscules. Si votre demande aboutit, Macie met à jour l'étendue de la classification et renvoie une réponse vide.

Les exemples suivants montrent comment utiliser le pour mettre AWS CLI à jour l'étendue de classification d'un compte. Le premier ensemble d'exemples exclut deux compartiments S3 (*amzn-s3-demo-bucket1*et*amzn-s3-demo-bucket2*) des analyses ultérieures. Il ajoute les buckets à la liste des buckets à exclure.

Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.

```
$ aws macie2 update-classification-scope \
--id 117aff7ed76b59a59c3224ebdexample \
--s3 '{"excludes":{"bucketNames":["amzn-s3-demo-bucket1","amzn-s3-demo-bucket2"],"operation": "ADD"}}'
```

Cet exemple est formaté pour Microsoft Windows et utilise le caractère de continuation de ligne caret (^) pour améliorer la lisibilité.

```
C:\> aws macie2 update-classification-scope ^
--id 117aff7ed76b59a59c3224ebdexample ^
--s3={\"excludes\":{\"bucketNames\":[\"amzn-s3-demo-bucket1\",\"amzn-s3-demo-bucket2\"],\"operation\":\"ADD\"}}
```

La série d'exemples suivante inclut ultérieurement les compartiments (*amzn-s3-demo-bucket1*et*amzn-s3-demo-bucket2*) dans les analyses ultérieures. Il supprime les compartiments de la liste des compartiments à exclure. Pour Linux, macOS ou Unix :

```
$ aws macie2 update-classification-scope \
--id 117aff7ed76b59a59c3224ebdexample \
--s3 '{"excludes":{"bucketNames":["amzn-s3-demo-bucket1","amzn-s3-demo-bucket2"],"operation": "REMOVE"}}'
```

Pour Microsoft Windows :

```
C:\> aws macie2 update-classification-scope ^
--id 117aff7ed76b59a59c3224ebdexample ^
--s3={\"excludes\":{\"bucketNames\":[\"amzn-s3-demo-bucket1\",\"amzn-s3-demo-bucket2\"],\"operation\":\"REMOVE\"}}
```

Les exemples suivants remplacent et remplacent la liste actuelle par une nouvelle liste de compartiments S3 à exclure. La nouvelle liste indique trois compartiments à exclure : *amzn-s3-demo-bucket**amzn-s3-demo-bucket2*, et*amzn-s3-demo-bucket3*. Pour Linux, macOS ou Unix :

```
$ aws macie2 update-classification-scope \
--id 117aff7ed76b59a59c3224ebdexample \
--s3 '{"excludes":{"bucketNames":["amzn-s3-demo-bucket","amzn-s3-demo-bucket2","amzn-s3-demo-bucket3"],"operation": "REPLACE"}}'
```

Pour Microsoft Windows :

```
C:\> aws macie2 update-classification-scope ^
--id 117aff7ed76b59a59c3224ebdexample ^
--s3={\"excludes\":{\"bucketNames\":[\"amzn-s3-demo-bucket\",\"amzn-s3-demo-bucket2\",\"amzn-s3-demo-bucket3\"],\"operation\":\"REPLACE\"}}
```

------

## Ajouter ou supprimer des identifiants de données gérées dans le cadre de la découverte automatique de données sensibles
<a name="discovery-asdd-account-configure-mdis"></a>

Un *identifiant de données géré* est un ensemble de critères et de techniques intégrés conçus pour détecter un type spécifique de données sensibles, par exemple les numéros de carte de crédit, les clés d'accès AWS secrètes ou les numéros de passeport d'un pays ou d'une région en particulier. Par défaut, Amazon Macie analyse les objets S3 à l'aide de l'ensemble d'identifiants de données gérés que nous recommandons pour la découverte automatique de données sensibles. Pour consulter la liste de ces identifiants, consultez[Paramètres par défaut pour la découverte automatique des données sensibles](discovery-asdd-settings-defaults.md).

Vous pouvez adapter les analyses pour qu'elles se concentrent sur des types spécifiques de données sensibles :
+ Ajoutez des identifiants de données gérés pour les types de données sensibles que vous souhaitez que Macie détecte et signale, et
+ Supprimez les identifiants de données gérées pour les types de données sensibles que vous ne souhaitez pas que Macie détecte et signale.

Pour obtenir la liste complète de tous les identifiants de données gérés actuellement fournis par Macie et les détails de chacun d'entre eux, consultez. [Utilisation des identificateurs de données gérés](managed-data-identifiers.md)

Si vous supprimez un identifiant de données gérées, votre modification n'affectera pas les statistiques de découverte de données sensibles existantes ni les détails relatifs aux compartiments S3. Par exemple, si vous supprimez l'identifiant des données gérées pour les clés d'accès AWS secrètes et que Macie a précédemment détecté ces données dans un compartiment, Macie continue de signaler ces détections. Toutefois, au lieu de supprimer l'identifiant, qui affecte les analyses ultérieures de tous les compartiments, envisagez d'exclure ses détections des scores de sensibilité pour des compartiments particuliers uniquement. Pour de plus amples informations, veuillez consulter [Ajustement des scores de sensibilité pour les compartiments S3](discovery-asdd-s3bucket-manage.md).

**Pour ajouter ou supprimer des identifiants de données gérées dans le cadre de la découverte automatique de données sensibles**  
Vous pouvez ajouter ou supprimer des identifiants de données gérés à l'aide de la console Amazon Macie ou de l'API Amazon Macie.

------
#### [ Console ]

Suivez ces étapes pour ajouter ou supprimer un identifiant de données gérées à l'aide de la console Amazon Macie.

**Pour ajouter ou supprimer un identifiant de données gérées**

1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, choisissez la région dans laquelle vous souhaitez ajouter ou supprimer un identifiant de données gérées dans les analyses.

1. Dans le volet de navigation, sous **Paramètres**, choisissez **Découverte automatisée des données sensibles**.

   La page **Découverte automatique des données sensibles** apparaît et affiche vos paramètres actuels. Sur cette page, la section **Identifiants de données gérés** affiche vos paramètres actuels, organisés en deux onglets :
   + **Ajouté par défaut** : cet onglet répertorie les identifiants de données gérées que vous avez ajoutés. Macie utilise ces identifiants en plus de ceux qui sont définis par défaut et que vous n'avez pas supprimés.
   + **Supprimé par défaut** : cet onglet répertorie les identifiants de données gérées que vous avez supprimés. Macie n'utilise pas ces identifiants.

1. Dans la section **Identifiants de données gérés**, choisissez **Modifier**.

1. Effectuez l’une des actions suivantes :
   + Pour ajouter un ou plusieurs identifiants de données gérées, cliquez sur l'onglet **Ajouté par défaut**. Dans le tableau, cochez ensuite la case correspondant à chaque identifiant de données gérées à ajouter. Si une case est déjà cochée, vous avez déjà ajouté cet identifiant.
   + Pour supprimer un ou plusieurs identifiants de données gérés, sélectionnez l'onglet **Supprimé par défaut**. Dans le tableau, cochez ensuite la case correspondant à chaque identifiant de données gérées à supprimer. Si une case est déjà cochée, vous avez déjà supprimé cet identifiant.

   Sur chaque onglet, le tableau affiche une liste de tous les identifiants de données gérés actuellement fournis par Macie. Dans le tableau, la première colonne indique l'ID de chaque identifiant de données gérées. L'identifiant décrit le type de données sensibles qu'un identifiant est conçu pour détecter, par exemple, **USA\$1PASSPORT\$1NUMBER pour les numéros de passeport américains**. Pour trouver plus facilement des identifiants de données gérées spécifiques, entrez des critères de recherche dans le champ de recherche situé au-dessus du tableau. Vous pouvez également trier le tableau en choisissant un titre de colonne.

1. Lorsque vous avez terminé, choisissez **Enregistrer**.

------
#### [ API ]

Pour ajouter ou supprimer un identifiant de données gérées par programmation, utilisez l'API Amazon Macie pour mettre à jour le modèle d'inspection de sensibilité de votre compte. Le modèle stocke les paramètres qui spécifient les identificateurs de données gérées à utiliser (*inclure*) en plus de ceux du jeu par défaut. Ils spécifient également les identificateurs de données gérées à ne pas utiliser (à *exclure*). Les paramètres spécifient également les identifiants de données personnalisés et autorisent les listes que vous souhaitez que Macie utilise.

Lorsque vous mettez à jour le modèle, vous remplacez ses paramètres actuels. Il est donc conseillé de commencer par récupérer vos paramètres actuels et de déterminer ceux que vous souhaitez conserver. Pour récupérer vos paramètres actuels, utilisez l'[GetSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html)opération. Si vous utilisez le AWS Command Line Interface (AWS CLI), exécutez la [get-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitivity-inspection-template.html)commande pour récupérer les paramètres.

Pour récupérer ou mettre à jour le modèle, vous devez spécifier son identifiant unique (`id`). Vous pouvez obtenir cet identifiant en utilisant l'[GetAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html)opération. Cette opération permet de récupérer vos paramètres de configuration actuels pour la découverte automatique des données sensibles, y compris l'identifiant unique du modèle d'inspection de sensibilité de votre compte actuel Région AWS. Si vous utilisez le AWS CLI, exécutez la [get-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-automated-discovery-configuration.html)commande pour récupérer ces informations.

Lorsque vous êtes prêt à mettre à jour le modèle, utilisez l'[UpdateSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html)opération ou, si vous utilisez le AWS CLI, exécutez la [update-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-sensitivity-inspection-template.html)commande. Dans votre demande, utilisez les paramètres appropriés pour ajouter ou supprimer un ou plusieurs identifiants de données gérées lors des analyses ultérieures :
+ Pour commencer à utiliser un identifiant de données gérées, spécifiez son ID pour le `managedDataIdentifierIds` paramètre du `includes` paramètre.
+ Pour arrêter d'utiliser un identifiant de données gérées, spécifiez son ID pour le `managedDataIdentifierIds` paramètre du `excludes` paramètre.
+ Pour rétablir les paramètres par défaut, n'en spécifiez aucun IDs pour les `excludes` paramètres `includes` et. Macie commence alors à utiliser uniquement les identifiants de données gérés figurant dans l'ensemble par défaut.

Outre les paramètres des identificateurs de données gérés, utilisez les `includes` paramètres appropriés pour spécifier les identifiants de données personnalisés (`customDataIdentifierIds`) et les listes d'autorisation (`allowListIds`) que vous souhaitez que Macie utilise. Spécifiez également la région à laquelle s'applique votre demande. Si votre demande aboutit, Macie met à jour le modèle et renvoie une réponse vide.

Les exemples suivants montrent comment utiliser le pour mettre AWS CLI à jour le modèle d'inspection de sensibilité d'un compte. Les exemples ajoutent un identifiant de données gérées et en suppriment un autre lors des analyses ultérieures. Ils conservent également les paramètres actuels qui spécifient deux identificateurs de données personnalisés à utiliser.

Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.

```
$ aws macie2 update-sensitivity-inspection-template \
--id fd7b6d71c8006fcd6391e6eedexample \
--excludes '{"managedDataIdentifierIds":["UK_ELECTORAL_ROLL_NUMBER"]}' \
--includes '{"managedDataIdentifierIds":["STRIPE_CREDENTIALS"],"customDataIdentifierIds":["3293a69d-4a1e-4a07-8715-208ddexample","6fad0fb5-3e82-4270-bede-469f2example"]}'
```

Cet exemple est formaté pour Microsoft Windows et utilise le caractère de continuation de ligne caret (^) pour améliorer la lisibilité.

```
C:\> aws macie2 update-sensitivity-inspection-template ^
--id fd7b6d71c8006fcd6391e6eedexample ^
--excludes={\"managedDataIdentifierIds\":[\"UK_ELECTORAL_ROLL_NUMBER\"]} ^
--includes={\"managedDataIdentifierIds\":[\"STRIPE_CREDENTIALS\"],\"customDataIdentifierIds\":[\"3293a69d-4a1e-4a07-8715-208ddexample\",\"6fad0fb5-3e82-4270-bede-469f2example\"]}
```

Où :
+ *fd7b6d71c8006fcd6391e6eedexample*est l'identifiant unique du modèle d'inspection de sensibilité à mettre à jour.
+ *UK\$1ELECTORAL\$1ROLL\$1NUMBER*est l'ID de l'identifiant de données gérées à arrêter d'utiliser (*exclure*).
+ *STRIPE\$1CREDENTIALS*est l'ID de l'identifiant de données gérées à utiliser (*inclure*).
+ *3293a69d-4a1e-4a07-8715-208ddexample*et *6fad0fb5-3e82-4270-bede-469f2example* sont les identifiants uniques des identifiants de données personnalisés à utiliser.

------

## Ajouter ou supprimer des identifiants de données personnalisés lors de la découverte automatique de données sensibles
<a name="discovery-asdd-account-configure-cdis"></a>

Un *identificateur de données personnalisé* est un ensemble de critères que vous définissez pour détecter les données sensibles. Les critères sont constitués d'une expression régulière (*regex*) qui définit un modèle de texte à mettre en correspondance et, éventuellement, des séquences de caractères et une règle de proximité qui affinent les résultats. Pour en savoir plus, veuillez consulter la section [Création d’identificateurs de données personnalisés](custom-data-identifiers.md).

Par défaut, Amazon Macie n'utilise pas d'identifiants de données personnalisés lorsqu'il effectue la découverte automatique de données sensibles. Si vous souhaitez que Macie utilise des identifiants de données personnalisés spécifiques, vous pouvez les ajouter aux analyses ultérieures. Macie utilise ensuite les identifiants de données personnalisés en plus des identifiants de données gérés pour lesquels vous configurez Macie.

Si vous ajoutez un identifiant de données personnalisé, vous pourrez le supprimer ultérieurement. Votre modification n'affecte pas les statistiques de découverte de données sensibles existantes ni les détails relatifs aux compartiments S3. En d'autres termes, si vous supprimez un identifiant de données personnalisé qui a précédemment généré des détections pour un bucket, Macie continue de signaler ces détections. Toutefois, au lieu de supprimer l'identifiant, qui affecte les analyses ultérieures de tous les compartiments, envisagez d'exclure ses détections des scores de sensibilité pour des compartiments particuliers uniquement. Pour de plus amples informations, veuillez consulter [Ajustement des scores de sensibilité pour les compartiments S3](discovery-asdd-s3bucket-manage.md).

**Pour ajouter ou supprimer des identifiants de données personnalisés lors de la découverte automatique de données sensibles**  
Vous pouvez ajouter ou supprimer des identifiants de données personnalisés à l'aide de la console Amazon Macie ou de l'API Amazon Macie.

------
#### [ Console ]

Suivez ces étapes pour ajouter ou supprimer un identifiant de données personnalisé à l'aide de la console Amazon Macie.

**Pour ajouter ou supprimer un identifiant de données personnalisé**

1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, choisissez la région dans laquelle vous souhaitez ajouter ou supprimer un identifiant de données personnalisé dans les analyses.

1. Dans le volet de navigation, sous **Paramètres**, choisissez **Découverte automatisée des données sensibles**.

   La page **Découverte automatique des données sensibles** apparaît et affiche vos paramètres actuels. Sur cette page, la section **Identifiants de données personnalisés** répertorie les identifiants de données personnalisés que vous avez déjà ajoutés, ou indique que vous n'avez ajouté aucun identifiant de données personnalisé.

1. Dans la section **Identifiants de données personnalisés**, choisissez **Modifier**.

1. Effectuez l’une des actions suivantes :
   + Pour ajouter un ou plusieurs identifiants de données personnalisés, cochez la case correspondant à chaque identifiant de données personnalisé à ajouter. Si une case est déjà cochée, vous avez déjà ajouté cet identifiant.
   + Pour supprimer un ou plusieurs identifiants de données personnalisés, décochez la case correspondant à chaque identifiant de données personnalisé à supprimer. Si une case est déjà décochée, Macie n'utilise pas cet identifiant actuellement.
**Astuce**  
Pour vérifier ou tester les paramètres d'un identifiant de données personnalisé avant de l'ajouter ou de le supprimer, cliquez sur l'icône de lien (![\[The link icon, which is a blue box that has an arrow in it.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/icon-external-link.png)) à côté du nom de l'identifiant. Macie ouvre une page qui affiche les paramètres de l'identifiant. Pour tester également l'identifiant avec des exemples de données, entrez jusqu'à 1 000 caractères de texte dans la zone **Exemple de données** de cette page. Choisissez ensuite **Test**. Macie évalue les échantillons de données et indique le nombre de correspondances.

1. Lorsque vous avez terminé, choisissez **Enregistrer**.

------
#### [ API ]

Pour ajouter ou supprimer un identifiant de données personnalisé par programmation, utilisez l'API Amazon Macie pour mettre à jour le modèle d'inspection de sensibilité de votre compte. Le modèle stocke les paramètres qui spécifient les identifiants de données personnalisés que vous souhaitez que Macie utilise lors de la découverte automatique de données sensibles. Les paramètres spécifient également les identificateurs de données gérés et autorisent les listes à utiliser.

Lorsque vous mettez à jour le modèle, vous remplacez ses paramètres actuels. Il est donc conseillé de commencer par récupérer vos paramètres actuels et de déterminer ceux que vous souhaitez conserver. Pour récupérer vos paramètres actuels, utilisez l'[GetSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html)opération. Si vous utilisez le AWS Command Line Interface (AWS CLI), exécutez la [get-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitivity-inspection-template.html)commande pour récupérer les paramètres.

Pour récupérer ou mettre à jour le modèle, vous devez spécifier son identifiant unique (`id`). Vous pouvez obtenir cet identifiant en utilisant l'[GetAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html)opération. Cette opération permet de récupérer vos paramètres de configuration actuels pour la découverte automatique des données sensibles, y compris l'identifiant unique du modèle d'inspection de sensibilité de votre compte actuel Région AWS. Si vous utilisez le AWS CLI, exécutez la [get-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-automated-discovery-configuration.html)commande pour récupérer ces informations.

Lorsque vous êtes prêt à mettre à jour le modèle, utilisez l'[UpdateSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html)opération ou, si vous utilisez le AWS CLI, exécutez la [update-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-sensitivity-inspection-template.html)commande. Dans votre demande, utilisez le `customDataIdentifierIds` paramètre pour ajouter ou supprimer un ou plusieurs identifiants de données personnalisés lors des analyses suivantes : 
+ Pour commencer à utiliser un identifiant de données personnalisé, spécifiez son identifiant unique pour le paramètre.
+ Pour arrêter d'utiliser un identifiant de données personnalisé, omettez son identifiant unique dans le paramètre.

Utilisez des paramètres supplémentaires pour spécifier les identificateurs de données gérées et les listes d'autorisation que vous souhaitez que Macie utilise. Spécifiez également la région à laquelle s'applique votre demande. Si votre demande aboutit, Macie met à jour le modèle et renvoie une réponse vide.

Les exemples suivants montrent comment utiliser le pour mettre AWS CLI à jour le modèle d'inspection de sensibilité d'un compte. Les exemples ajoutent deux identifiants de données personnalisés aux analyses ultérieures. Ils conservent également les paramètres actuels qui spécifient les identificateurs de données gérées et les listes autorisées à utiliser : utilisez l'ensemble d'identifiants de données gérées par défaut et une liste d'autorisation.

Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.

```
$ aws macie2 update-sensitivity-inspection-template \
--id fd7b6d71c8006fcd6391e6eedexample \
--includes '{"allowListIds":["nkr81bmtu2542yyexample"],"customDataIdentifierIds":["3293a69d-4a1e-4a07-8715-208ddexample","6fad0fb5-3e82-4270-bede-469f2example"]}'
```

Cet exemple est formaté pour Microsoft Windows et utilise le caractère de continuation de ligne caret (^) pour améliorer la lisibilité.

```
C:\> aws macie2 update-sensitivity-inspection-template ^
--id fd7b6d71c8006fcd6391e6eedexample ^
--includes={\"allowListIds\":[\"nkr81bmtu2542yyexample\"],\"customDataIdentifierIds\":[\"3293a69d-4a1e-4a07-8715-208ddexample\",\"6fad0fb5-3e82-4270-bede-469f2example\"]}
```

Où :
+ *fd7b6d71c8006fcd6391e6eedexample*est l'identifiant unique du modèle d'inspection de sensibilité à mettre à jour.
+ *nkr81bmtu2542yyexample*est l'identifiant unique de la liste d'autorisation à utiliser.
+ *3293a69d-4a1e-4a07-8715-208ddexample*et *6fad0fb5-3e82-4270-bede-469f2example* sont les identifiants uniques des identifiants de données personnalisés à utiliser.

------

## Ajouter ou supprimer des listes d'autorisation dans le cadre de la découverte automatique de données sensibles
<a name="discovery-asdd-account-configure-als"></a>

Dans Amazon Macie, une liste d'autorisation définit un texte spécifique ou un modèle de texte que vous souhaitez que Macie ignore lorsqu'il inspecte les objets S3 pour détecter la présence de données sensibles. Si le texte correspond à une entrée ou à un modèle d'une liste d'autorisation, Macie ne le signale pas. C'est le cas même si le texte correspond aux critères d'un identifiant de données géré ou personnalisé. Pour en savoir plus, veuillez consulter la section [Définition des exceptions relatives aux données sensibles à l'aide de listes d'autorisation](allow-lists.md).

Par défaut, Macie n'utilise pas de listes d'autorisation lorsqu'il effectue la découverte automatique de données sensibles. Si vous souhaitez que Macie utilise des listes d'autorisations spécifiques, vous pouvez les ajouter aux analyses ultérieures. Si vous ajoutez une liste d'autorisations, vous pourrez la supprimer ultérieurement.

**Pour ajouter ou supprimer des listes d'autorisation dans le cadre de la découverte automatique des données sensibles**  
Vous pouvez ajouter ou supprimer des listes d'autorisation à l'aide de la console Amazon Macie ou de l'API Amazon Macie.

------
#### [ Console ]

Suivez ces étapes pour ajouter ou supprimer une liste d'autorisation à l'aide de la console Amazon Macie.

**Pour ajouter ou supprimer une liste d'autorisations**

1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, choisissez la région dans laquelle vous souhaitez ajouter ou supprimer une liste d'autorisation dans les analyses.

1. Dans le volet de navigation, sous **Paramètres**, choisissez **Découverte automatisée des données sensibles**. 

   La page **Découverte automatique des données sensibles** apparaît et affiche vos paramètres actuels. Sur cette page, la **section Listes** autorisées indique les listes autorisées que vous avez déjà ajoutées ou indique que vous n'en avez ajouté aucune.

1. Dans la section **Autoriser les listes**, choisissez **Modifier**.

1. Effectuez l’une des actions suivantes :
   + Pour ajouter une ou plusieurs listes d'autorisations, cochez la case correspondant à chaque liste d'autorisation à ajouter. Si une case est déjà cochée, vous avez déjà ajouté cette liste.
   + Pour supprimer une ou plusieurs listes d'autorisations, décochez la case correspondant à chaque liste d'autorisation à supprimer. Si une case est déjà décochée, Macie n'utilise pas cette liste actuellement.
**Astuce**  
Pour vérifier les paramètres d'une liste d'autorisation avant de l'ajouter ou de la supprimer, cliquez sur l'icône de lien (![\[The link icon, which is a blue box that has an arrow in it.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/icon-external-link.png)) à côté du nom de la liste. Macie ouvre une page qui affiche les paramètres de la liste. Si la liste indique une expression régulière (*regex*), vous pouvez également utiliser cette page pour tester l'expression régulière avec des exemples de données. Pour ce faire, entrez jusqu'à 1 000 caractères de texte dans la zone **Exemple de données**, puis choisissez **Test**. Macie évalue les échantillons de données et indique le nombre de correspondances.

1. Lorsque vous avez terminé, choisissez **Enregistrer**.

------
#### [ API ]

Pour ajouter ou supprimer une liste d'autorisation par programmation, utilisez l'API Amazon Macie pour mettre à jour le modèle d'inspection de sensibilité de votre compte. Le modèle stocke les paramètres qui spécifient les listes d'autorisations que vous souhaitez que Macie utilise lors de la découverte automatique de données sensibles. Les paramètres spécifient également les identifiants de données gérés et les identifiants de données personnalisés à utiliser.

Lorsque vous mettez à jour le modèle, vous remplacez ses paramètres actuels. Il est donc conseillé de commencer par récupérer vos paramètres actuels et de déterminer ceux que vous souhaitez conserver. Pour récupérer vos paramètres actuels, utilisez l'[GetSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html)opération. Si vous utilisez le AWS Command Line Interface (AWS CLI), exécutez la [get-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitivity-inspection-template.html)commande pour récupérer les paramètres.

Pour récupérer ou mettre à jour le modèle, vous devez spécifier son identifiant unique (`id`). Vous pouvez obtenir cet identifiant en utilisant l'[GetAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html)opération. Cette opération permet de récupérer vos paramètres de configuration actuels pour la découverte automatique des données sensibles, y compris l'identifiant unique du modèle d'inspection de sensibilité de votre compte actuel Région AWS. Si vous utilisez le AWS CLI, exécutez la [get-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-automated-discovery-configuration.html)commande pour récupérer ces informations.

Lorsque vous êtes prêt à mettre à jour le modèle, utilisez l'[UpdateSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html)opération ou, si vous utilisez le AWS CLI, exécutez la [update-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-sensitivity-inspection-template.html)commande. Dans votre demande, utilisez le `allowListIds` paramètre pour ajouter ou supprimer une ou plusieurs listes d'autorisations lors des analyses suivantes :
+ Pour commencer à utiliser une liste d'autorisation, spécifiez son identifiant unique pour le paramètre.
+ Pour arrêter d'utiliser une liste d'autorisation, omettez son identifiant unique dans le paramètre.

Utilisez des paramètres supplémentaires pour spécifier les identifiants de données gérés et les identifiants de données personnalisés que vous souhaitez que Macie utilise. Spécifiez également la région à laquelle s'applique votre demande. Si votre demande aboutit, Macie met à jour le modèle et renvoie une réponse vide.

Les exemples suivants montrent comment utiliser le pour mettre AWS CLI à jour le modèle d'inspection de sensibilité d'un compte. Les exemples ajoutent une liste d'autorisations aux analyses ultérieures. Ils conservent également les paramètres actuels qui spécifient les identificateurs de données gérées et les identifiants de données personnalisés à utiliser : utilisez le jeu d'identifiants de données gérées par défaut et deux identifiants de données personnalisés.

Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.

```
$ aws macie2 update-sensitivity-inspection-template \
--id fd7b6d71c8006fcd6391e6eedexample \
--includes '{"allowListIds":["nkr81bmtu2542yyexample"],"customDataIdentifierIds":["3293a69d-4a1e-4a07-8715-208ddexample","6fad0fb5-3e82-4270-bede-469f2example"]}'
```

Cet exemple est formaté pour Microsoft Windows et utilise le caractère de continuation de ligne caret (^) pour améliorer la lisibilité.

```
C:\> aws macie2 update-sensitivity-inspection-template ^
--id fd7b6d71c8006fcd6391e6eedexample ^
--includes={\"allowListIds\":[\"nkr81bmtu2542yyexample\"],\"customDataIdentifierIds\":[\"3293a69d-4a1e-4a07-8715-208ddexample\",\"6fad0fb5-3e82-4270-bede-469f2example\"]}
```

Où :
+ *fd7b6d71c8006fcd6391e6eedexample*est l'identifiant unique du modèle d'inspection de sensibilité à mettre à jour.
+ *nkr81bmtu2542yyexample*est l'identifiant unique de la liste d'autorisation à utiliser.
+ *3293a69d-4a1e-4a07-8715-208ddexample*et *6fad0fb5-3e82-4270-bede-469f2example* sont les identifiants uniques des identifiants de données personnalisés à utiliser.

------

# Désactivation de la découverte automatique des données sensibles
<a name="discovery-asdd-account-disable"></a>

Vous pouvez désactiver la découverte automatique des données sensibles pour un compte ou une organisation à tout moment. Dans ce cas, Amazon Macie cesse d'effectuer toutes les activités de découverte automatique pour le compte ou l'organisation avant le début d'un cycle d'évaluation et d'analyse ultérieur, généralement dans les 48 heures. Les effets supplémentaires varient :
+ Si vous êtes administrateur Macie et que vous le désactivez pour un compte individuel au sein de votre organisation, vous et le compte pouvez continuer à accéder à toutes les données statistiques, aux données d'inventaire et aux autres informations produites et fournies directement par Macie tout en effectuant la découverte automatique du compte. Vous pouvez réactiver la découverte automatique pour le compte. Macie reprend ensuite toutes les activités de découverte automatisées pour le compte.
+ Si vous êtes un administrateur Macie et que vous le désactivez pour votre organisation, vous et les comptes de votre organisation perdez l'accès à toutes les données statistiques, aux données d'inventaire et aux autres informations produites et fournies directement par Macie lors de la découverte automatique pour votre organisation. Par exemple, votre inventaire de compartiments S3 n'inclut plus de visualisations de sensibilité ni de statistiques d'analyse. Vous pouvez ensuite réactiver la découverte automatique pour votre organisation. Macie reprend ensuite toutes les activités de découverte automatique des comptes de votre organisation. Si vous le réactivez dans les 30 jours, vous et les comptes retrouverez l'accès aux données et aux informations que Macie a précédemment produites et fournies directement lors de la découverte automatique. Si vous ne le réactivez pas dans les 30 jours, Macie supprime définitivement ces données et informations.
+ Si vous le désactivez pour votre compte Macie autonome, vous perdez l'accès à toutes les données statistiques, aux données d'inventaire et aux autres informations produites et fournies directement par Macie lors de la découverte automatique de votre compte. Si vous ne le réactivez pas dans les 30 jours, Macie supprime définitivement ces données et informations.

Vous pouvez continuer à accéder aux résultats de données sensibles produits par Macie tout en effectuant la découverte automatique de données sensibles pour le compte ou l'organisation. Macie conserve les résultats pendant 90 jours. Macie conserve également vos paramètres de configuration pour une découverte automatique. En outre, les données que vous avez stockées ou publiées auprès d'autres personnes Services AWS restent intactes et ne sont pas affectées, telles que les résultats de découverte de données sensibles dans Amazon S3 et les événements de recherche sur Amazon EventBridge.

**Pour désactiver la découverte automatique des données sensibles**  
Si vous êtes l'administrateur Macie d'une organisation ou si vous possédez un compte Macie autonome, vous pouvez désactiver la découverte automatique des données sensibles à l'aide de la console Amazon Macie ou de l'API Amazon Macie. Si vous avez un compte membre dans une organisation, contactez votre administrateur Macie pour désactiver la découverte automatique de votre compte. Seul votre administrateur Macie peut désactiver la découverte automatique pour votre compte.

------
#### [ Console ]

Suivez ces étapes pour désactiver la découverte automatique des données sensibles à l'aide de la console Amazon Macie.

**Pour désactiver la découverte automatique des données sensibles**

1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, choisissez la région dans laquelle vous souhaitez désactiver la découverte automatique des données sensibles.

1. Dans le volet de navigation, sous **Paramètres**, choisissez **Découverte automatisée des données sensibles**.

1. Si vous êtes l'administrateur Macie d'une organisation, choisissez une option dans la section **État** pour spécifier les comptes pour lesquels désactiver la découverte automatique des données sensibles pour :
   + Pour le désactiver uniquement pour certains comptes de membres, choisissez **Gérer les comptes**. Ensuite, dans le tableau de la page **Comptes**, cochez la case correspondant à chaque compte pour lequel vous souhaitez le désactiver. Lorsque vous avez terminé, choisissez **Désactiver la découverte automatique des données sensibles** dans le menu **Actions**.
   + Pour le désactiver uniquement pour votre compte administrateur Macie, choisissez **Désactiver**. Dans la boîte de dialogue qui apparaît, choisissez **Mon compte**, puis sélectionnez **Désactiver**.
   + Pour le désactiver pour tous les comptes de votre organisation et pour l'ensemble de votre organisation, choisissez **Désactiver**. Dans la boîte de dialogue qui apparaît, choisissez **Mon organisation**, puis sélectionnez **Désactiver**.

1. Si vous avez un compte Macie autonome, choisissez **Désactiver** dans la section **État**.

Si vous utilisez Macie dans plusieurs régions et que vous souhaitez désactiver la découverte automatique des données sensibles dans d'autres régions, répétez les étapes précédentes dans chaque région supplémentaire.

------
#### [ API ]

Avec l'API Amazon Macie, vous pouvez désactiver la découverte automatique des données sensibles de deux manières. La façon dont vous le désactivez dépend en partie du type de compte que vous possédez. Si vous êtes l'administrateur Macie d'une organisation, cela dépend également du fait que vous souhaitez désactiver la découverte automatique uniquement pour certains comptes de membres ou pour l'ensemble de votre organisation. Si vous le désactivez pour votre organisation, vous le désactivez pour tous les comptes qui font actuellement partie de votre organisation. Si d'autres comptes rejoignent ultérieurement votre organisation, la découverte automatique est également désactivée pour ces comptes.

Pour désactiver la découverte automatique des données sensibles pour une organisation ou un compte Macie autonome, utilisez l'[UpdateAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html)opération. Ou, si vous utilisez le AWS Command Line Interface (AWS CLI), exécutez la [update-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-automated-discovery-configuration.html)commande. Dans votre demande, spécifiez `DISABLED` le `status` paramètre.

Pour désactiver la découverte automatique des données sensibles uniquement pour certains comptes membres d'une organisation, utilisez l'[BatchUpdateAutomatedDiscoveryAccounts](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-accounts.html)opération. Ou, si vous utilisez le AWS CLI, exécutez la commande [batch-update-automated-discovery-accounts](https://docs.aws.amazon.com/cli/latest/reference/macie2/batch-update-automated-discovery-accounts.html). Dans votre demande, utilisez le `accountId` paramètre pour spécifier l'ID de compte pour lequel vous souhaitez désactiver la découverte automatique. Pour le paramètre `status`, spécifiez `DISABLED`. Pour désactiver la découverte automatique d'un compte, Macie doit actuellement être activé pour ce compte.

Les exemples suivants montrent comment utiliser le AWS CLI pour désactiver la découverte automatique des données sensibles pour un ou plusieurs comptes d'une organisation. Ce premier exemple désactive la découverte automatique pour une organisation. Il désactive la découverte automatique pour le compte administrateur Macie et pour tous les comptes membres de l'organisation.

```
$ aws macie2 update-automated-discovery-configuration --status DISABLED --region us-east-1
```

Où se *us-east-1* trouve la région dans laquelle désactiver la découverte automatique des données sensibles pour l'organisation, la région USA Est (Virginie du Nord). Si la demande aboutit, Macie désactive la découverte automatique pour l'organisation et renvoie une réponse vide.

Les exemples suivants désactivent la découverte automatique des données sensibles pour deux comptes membres d'une organisation. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.

```
$ aws macie2 batch-update-automated-discovery-accounts \
--region us-east-1 \
--accounts '[{"accountId":"123456789012","status":"DISABLED"},{"accountId":"111122223333","status":"DISABLED"}]'
```

Cet exemple est formaté pour Microsoft Windows et utilise le caractère de continuation de ligne caret (^) pour améliorer la lisibilité.

```
C:\> aws macie2 batch-update-automated-discovery-accounts ^
--region us-east-1 ^
--accounts=[{\"accountId\":\"123456789012\",\"status\":\"DISABLED\"},{\"accountId\":\"111122223333\",\"status\":\"DISABLED\"}]
```

Où :
+ *us-east-1*est la région dans laquelle désactiver la découverte automatique des données sensibles pour les comptes spécifiés, la région USA Est (Virginie du Nord).
+ *123456789012*et *111122223333* sont le compte correspondant IDs aux comptes pour lesquels la découverte automatique des données sensibles est désactivée.

Si la demande aboutit pour tous les comptes spécifiés, Macie renvoie un tableau vide. `errors` Si la demande échoue pour certains comptes, le tableau indique l'erreur survenue pour chaque compte concerné. Par exemple :

```
"errors": [
    {
        "accountId": "123456789012",
        "errorCode": "ACCOUNT_PAUSED"
    }
]
```

Dans la réponse précédente, la demande a échoué pour le compte spécifié (`123456789012`) car Macie est actuellement suspendu pour le compte.

Si la demande échoue pour tous les comptes, vous recevez un message décrivant l'erreur survenue. Par exemple :

```
An error occurred (ConflictException) when calling the BatchUpdateAutomatedDiscoveryAccounts operation: Cannot modify account states
while auto-enable is set to ALL.
```

Dans la réponse précédente, la demande a échoué car le paramètre d'activation des membres de l'organisation est actuellement configuré pour permettre la découverte automatique des données sensibles pour tous les comptes (`ALL`). Pour corriger l'erreur, l'administrateur Macie doit d'abord modifier ce paramètre sur `NONE` ou`NEW`. Pour plus d’informations sur ce paramètre, consultez [Permettre la découverte automatique des données sensibles](discovery-asdd-account-enable.md).

------

# Examen des résultats de découverte automatique de données sensibles
<a name="discovery-asdd-results-s3"></a>

Si la découverte automatique des données sensibles est activée, Amazon Macie génère et gère automatiquement des données d'inventaire, des statistiques et d'autres informations supplémentaires concernant les compartiments à usage général Amazon Simple Storage Service (Amazon S3) pour votre compte. Si vous êtes l'administrateur Macie d'une organisation, cela inclut par défaut les compartiments S3 que possèdent vos comptes membres.

Les informations supplémentaires capturent les résultats des activités automatisées de découverte de données sensibles effectuées par Macie jusqu'à présent. Elle complète également les autres informations fournies par Macie concernant vos données Amazon S3, telles que les paramètres d'accès public et de chiffrement pour les compartiments S3 individuels. Outre les métadonnées et les statistiques, Macie produit des enregistrements des données sensibles qu'elle trouve et des analyses qu'elle effectue, c'est-à-dire les découvertes de *données sensibles et les résultats* de *découverte de données sensibles*.

Au fur et à mesure que la découverte automatique des données sensibles progresse chaque jour, les fonctionnalités et données suivantes peuvent vous aider à examiner et à évaluer les résultats :
+ [**Tableau de bord **récapitulatif****](discovery-asdd-results-s3-dashboard.md) : fournit des statistiques agrégées pour votre parc de données Amazon S3. Les statistiques incluent des données relatives à des indicateurs clés tels que le nombre total de compartiments dans lesquels Macie a trouvé des données sensibles et le nombre de ces compartiments accessibles au public. Ils signalent également des problèmes qui affectent la couverture de vos données Amazon S3.
+ [**Carte thermique **des compartiments S3****](discovery-asdd-results-s3-inventory-map.md) : fournit une représentation visuelle interactive de la sensibilité des données dans l'ensemble de votre parc de données, regroupée par Compte AWS. Pour chaque compte, la carte inclut des statistiques de sensibilité agrégées et utilise des couleurs pour indiquer le score de sensibilité actuel pour chaque compartiment détenu par le compte. La carte utilise également des symboles pour vous aider à identifier les compartiments accessibles au public, qui ne peuvent pas être analysés par Macie, etc.
+ [**Tableau **des compartiments S3****](discovery-asdd-results-s3-inventory-table.md) : fournit des informations récapitulatives pour chaque compartiment S3 de votre inventaire. Pour chaque compartiment, le tableau inclut des données telles que le score de sensibilité actuel du compartiment, le nombre d'objets que Macie peut analyser dans le compartiment et si vous avez configuré des tâches de découverte de données sensibles pour analyser périodiquement les objets du compartiment. Vous pouvez exporter les données du tableau vers un fichier de valeurs séparées par des virgules (CSV). 
+ [**Détails du **compartiment S3****](discovery-asdd-results-s3-inventory-details.md) : fournit des statistiques et des informations détaillées sur un compartiment S3. Les détails incluent une liste des objets que Macie a analysés dans le compartiment, ainsi qu'une ventilation des types et du nombre d'occurrences de données sensibles que Macie a trouvées dans le compartiment. Ces informations s'ajoutent aux informations relatives aux paramètres qui affectent la sécurité et la confidentialité des données du bucket.
+ Résultats relatifs [**aux données sensibles**](discovery-asdd-results-s3-findings.md) — Fournissez des rapports détaillés sur les données sensibles que Macie a trouvées dans des objets S3 individuels. Les détails incluent le moment où Macie a trouvé les données sensibles, ainsi que les types et le nombre d'occurrences des données sensibles trouvées par Macie. Les détails incluent également des informations sur le compartiment et l'objet S3 concernés, notamment les paramètres d'accès public du compartiment et la date de dernière modification de l'objet.
+ [**Résultats de découverte de données sensibles**](discovery-asdd-results-s3-sddrs.md) : fournissez des enregistrements de l'analyse effectuée par Macie pour des objets S3 individuels. Cela inclut les objets dans lesquels Macie ne trouve pas de données sensibles et les objets que Macie ne peut pas analyser en raison de problèmes ou d'erreurs. Si Macie trouve des données sensibles dans un objet, le résultat de la découverte des données sensibles fournit des informations sur les données sensibles détectées par Macie.

Grâce à ces données, vous pouvez évaluer la sensibilité des données dans l'ensemble de votre parc de données Amazon S3 et effectuer une analyse approfondie pour évaluer et étudier les compartiments et objets S3 individuels. En combinaison avec les informations fournies par Macie concernant la sécurité et la confidentialité de vos données Amazon S3, vous pouvez également identifier les cas où une correction immédiate peut être nécessaire, par exemple un compartiment accessible au public dans lequel Macie a trouvé des données sensibles.

Des données supplémentaires peuvent vous aider à évaluer et à surveiller la couverture de vos données Amazon S3. Grâce aux données de couverture, vous pouvez vérifier l'état des analyses pour l'ensemble de votre parc de données et pour les compartiments S3 individuels qu'il contient. Vous pouvez également identifier les problèmes qui empêchaient Macie d'analyser des objets dans des compartiments spécifiques. Si vous corrigez les problèmes, vous pouvez augmenter la couverture de vos données Amazon S3 lors des cycles d'analyse suivants. Pour de plus amples informations, veuillez consulter [Évaluation de la couverture de la découverte automatique des données sensibles](discovery-coverage.md).

**Topics**
+ [Consulter les statistiques de sensibilité des données sur le tableau de bord récapitulatif](discovery-asdd-results-s3-dashboard.md)
+ [Visualisation de la sensibilité des données avec la carte des compartiments S3](discovery-asdd-results-s3-inventory-map.md)
+ [Évaluation de la sensibilité des données à l'aide de la table des buckets S3](discovery-asdd-results-s3-inventory-table.md)
+ [Révision des informations relatives à la sensibilité des données pour les compartiments S3](discovery-asdd-results-s3-inventory-details.md)
+ [Analyse des résultats issus de la découverte automatique de données sensibles](discovery-asdd-results-s3-findings.md)
+ [Accès aux résultats de découverte grâce à la découverte automatique de données sensibles](discovery-asdd-results-s3-sddrs.md)

# Consulter les statistiques de sensibilité des données sur le tableau de bord récapitulatif
<a name="discovery-asdd-results-s3-dashboard"></a>

Sur la console Amazon Macie, le tableau de bord **récapitulatif** fournit un aperçu des statistiques agrégées et des données de résultats pour vos données Amazon Simple Storage Service (Amazon S3) actuelles. Région AWS Il est conçu pour vous aider à évaluer le niveau de sécurité global de vos données Amazon S3.

Les statistiques du tableau de bord incluent des données relatives à des indicateurs de sécurité clés tels que le nombre de compartiments S3 à usage général accessibles au public ou partagés avec d'autres Comptes AWS utilisateurs. Le tableau de bord affiche également des groupes de données de résultats agrégées pour votre compte, par exemple les compartiments qui ont généré le plus de résultats au cours des sept jours précédents. Si vous êtes l'administrateur Macie d'une organisation, le tableau de bord fournit des statistiques et des données agrégées pour tous les comptes de votre organisation. Vous pouvez éventuellement filtrer les données par compte.

Si la découverte automatique des données sensibles est activée, le tableau de bord **récapitulatif** inclut des statistiques supplémentaires. Les statistiques capturent l'état et les résultats des activités de découverte automatique que Macie a effectuées jusqu'à présent pour vos données Amazon S3. L'image suivante montre un exemple de ces statistiques. 

![\[Statistiques de découverte de données sensibles sur le tableau de bord récapitulatif. Chaque statistique contient des exemples de données.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/scrn-summary-dashboard-sensitivity.png)


Les statistiques sont organisées principalement en deux sections, **Découverte automatisée** et **Problèmes de couverture**. Les statistiques de la section **Découverte automatisée** fournissent un aperçu de l'état actuel et des résultats des activités de découverte automatique de données sensibles. Les statistiques de la section **Problèmes de couverture** indiquent si des problèmes ont empêché Macie d'analyser des objets dans des compartiments S3 individuels. Les statistiques n'incluent pas les données relatives aux tâches de découverte de données sensibles que vous créez et exécutez. Cependant, la résolution des problèmes de couverture liés à la découverte automatique de données sensibles est également susceptible d'augmenter la couverture des tâches que vous exécuterez par la suite.

**Topics**
+ [Afficher le tableau de bord](#discovery-asdd-results-s3-dashboard-view)
+ [Comprendre les statistiques sur le tableau de bord](#discovery-asdd-results-s3-dashboard-statistics)

## Afficher le tableau de bord récapitulatif
<a name="discovery-asdd-results-s3-dashboard-view"></a>

Suivez ces étapes pour afficher le tableau de bord **récapitulatif** sur la console Amazon Macie. Pour interroger les statistiques par programmation, utilisez l'[GetBucketStatistics](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3-statistics.html)API Amazon Macie.

**Pour afficher le tableau de bord récapitulatif**

1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Dans le volet de navigation, choisissez **Résumé**. Macie affiche le tableau de bord **récapitulatif**.

1. Pour accéder aux données justificatives d'un élément du tableau de bord et passer en revue les données correspondantes, sélectionnez l'élément en question.

Si vous êtes l'administrateur Macie d'une organisation, le tableau de bord affiche des statistiques et des données agrégées pour votre compte et les comptes des membres de votre organisation. Pour afficher les données d'un compte en particulier uniquement, entrez l'identifiant du compte dans le champ **Compte situé** au-dessus du tableau de bord.

## Comprendre les statistiques de découverte de données sensibles sur le tableau de bord récapitulatif
<a name="discovery-asdd-results-s3-dashboard-statistics"></a>

Le tableau de bord **récapitulatif** inclut des statistiques agrégées qui peuvent vous aider à surveiller la découverte automatique de données sensibles pour vos données Amazon S3. Il fournit un aperçu de l'état actuel et des résultats des analyses de vos données Amazon S3 actuelles Région AWS. Par exemple, vous pouvez utiliser les statistiques du tableau de bord pour déterminer rapidement le nombre de compartiments S3 dans lesquels Amazon Macie a détecté des données sensibles et le nombre de ces compartiments accessibles au public. Vous pouvez également évaluer la couverture de vos données Amazon S3. Les statistiques de couverture peuvent vous aider à identifier les problèmes qui empêchent Macie d'analyser des objets dans des compartiments S3 individuels. 

Sur le tableau de bord, les statistiques relatives à la découverte automatique des données sensibles sont organisées dans les sections suivantes :
+ [Stockage et découverte de données sensibles](#discovery-asdd-results-s3-dashboard-storage-statistics)
+ [Découverte automatisée](#discovery-asdd-results-s3-dashboard-sensitivity-statistics)
+ [Problèmes de couverture](#discovery-asdd-results-s3-dashboard-coverage-statistics)

Les statistiques individuelles de chaque section sont les suivantes. Pour plus d'informations sur les statistiques dans les autres sections du tableau de bord, consultez[Comprendre les composants du tableau de bord récapitulatif](monitoring-s3-dashboard.md#monitoring-s3-dashboard-components-main).

### Stockage et découverte de données sensibles
<a name="discovery-asdd-results-s3-dashboard-storage-statistics"></a>

En haut du tableau de bord, les statistiques indiquent la quantité de données que vous stockez dans Amazon S3 et la quantité de ces données qu'Amazon Macie peut analyser pour détecter les données sensibles. L'image suivante montre un exemple de ces statistiques pour une organisation possédant sept comptes.

![\[La section Stockage et découverte des données sensibles du tableau de bord. Chaque champ contient des exemples de données.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/scrn-summary-dashboard-storage.png)


Les statistiques individuelles présentées dans cette section sont les suivantes :
+ **Nombre total de comptes** — Ce champ apparaît si vous êtes l'administrateur Macie d'une organisation ou si vous possédez un compte Macie autonome. Il indique le nombre total de Comptes AWS ces propres compartiments dans votre inventaire de compartiments. Si vous êtes administrateur Macie, il s'agit du nombre total de comptes Macie que vous gérez pour votre organisation. *Si vous avez un compte Macie autonome, cette valeur est 1.*

  **Nombre total de compartiments S3** : ce champ apparaît si vous avez un compte membre dans une organisation. Il indique le nombre total de seaux à usage général présents dans votre inventaire, y compris les seaux qui ne contiennent aucun objet. 
+ **Stockage** : ces statistiques fournissent des informations sur la taille de stockage des objets de votre inventaire de compartiments :
  + **Classifiable** : taille de stockage totale de tous les objets que Macie peut analyser dans les compartiments.
  + **Total** : taille de stockage totale de tous les objets contenus dans les compartiments, y compris les objets que Macie ne peut pas analyser.

  Si l'un des objets est un fichier compressé, ces valeurs ne reflètent pas la taille réelle de ces fichiers après leur décompression. Si le versionnement est activé pour l'un des compartiments, ces valeurs sont basées sur la taille de stockage de la dernière version de chaque objet contenu dans ces compartiments.
+ **Objets** : ces statistiques fournissent des informations sur le nombre d'objets contenus dans votre inventaire de compartiments :
  + **Classifiable** : nombre total d'objets que Macie peut analyser dans les compartiments.
  + **Total** : nombre total d'objets contenus dans les compartiments, y compris les objets que Macie ne peut pas analyser.

Dans les statistiques précédentes, les données et les objets sont *classifiables* s'ils utilisent une classe de stockage Amazon S3 prise en charge et s'ils possèdent une extension de nom de fichier pour un format de fichier ou de stockage pris en charge. Vous pouvez détecter des données sensibles dans les objets à l'aide de Macie. Pour de plus amples informations, veuillez consulter [Classes et formats de stockage pris en charge](discovery-supported-storage.md).

Notez que les statistiques relatives au **stockage** et aux **objets** n'incluent pas les données relatives aux objets contenus dans des compartiments auxquels Macie n'est pas autorisé à accéder. Pour identifier les compartiments dans lesquels c'est le cas, choisissez la statistique **Accès refusé** dans la section **Problèmes de couverture** du tableau de bord.

### Découverte automatisée
<a name="discovery-asdd-results-s3-dashboard-sensitivity-statistics"></a>

Cette section décrit l'état et les résultats des activités automatisées de découverte de données sensibles effectuées jusqu'à présent par Amazon Macie pour vos données Amazon S3. L'image suivante montre un exemple des statistiques fournies par cette section.

![\[La section Découverte automatisée du tableau de bord. Un graphique et les champs associés contiennent des exemples de données.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/scrn-summary-dashboard-asdd.png)


Les statistiques individuelles présentées dans cette section sont les suivantes.

**Nombre total de seaux**  
Le tableau en beignets indique le nombre total de seaux dans votre inventaire de seaux. Le graphique regroupe les compartiments en catégories en fonction du score de sensibilité actuel de chaque compartiment :  
+ **Sensible** (*rouge*) : nombre total de compartiments dont le score de sensibilité est compris entre *51* et *100*.
+ **Insensible** (*bleu*) : nombre total de compartiments dont le score de sensibilité est compris entre *1* et *49*.
+ **Pas encore analysé** (*gris clair*) : nombre total de compartiments dont le score de sensibilité est de *50*.
+ **Erreur de classification** (*gris foncé*) : nombre total de compartiments dont le score de sensibilité est de *-1*.
Pour plus de détails sur la plage de scores de sensibilité et d'étiquettes définie par Macie, voir[Notation de sensibilité pour les compartiments S3](discovery-scoring-s3.md).  
Pour consulter les statistiques supplémentaires d'un groupe, passez le curseur sur le groupe :  
+ **Godets** : nombre total de seaux.
+ **Accessible au public** : nombre total de compartiments qui permettent au grand public d'avoir un accès en lecture ou en écriture au compartiment.
+ **Octets classifiables** : taille de stockage totale de tous les objets que Macie peut analyser dans les compartiments. Ces objets utilisent les classes de stockage Amazon S3 prises en charge et possèdent des extensions de nom de fichier pour les formats de fichier ou de stockage pris en charge. Pour de plus amples informations, veuillez consulter [Classes et formats de stockage pris en charge](discovery-supported-storage.md).
+ **Nombre total d'octets** : taille de stockage totale de tous les compartiments.
Dans les statistiques précédentes, les valeurs de taille de stockage sont basées sur la taille de stockage de la dernière version de chaque objet dans les compartiments. Si l'un des objets est un fichier compressé, ces valeurs ne reflètent pas la taille réelle de ces fichiers après leur décompression.

**Sensible**  
Cette zone indique le nombre total de compartiments dont le score de sensibilité est actuellement compris entre *51* et *100*. Au sein de ce groupe, **Accessible au public** indique le nombre total de compartiments qui permettent également au grand public d'avoir un accès en lecture ou en écriture au compartiment.

**Non sensible**  
Cette zone indique le nombre total de compartiments dont le score de sensibilité est actuellement compris entre *1* et *49*. Au sein de ce groupe, **Accessible au public** indique le nombre total de compartiments qui permettent également au grand public d'avoir un accès en lecture ou en écriture au compartiment.

Pour déterminer et calculer les valeurs des statistiques **accessibles au public**, Macie analyse une combinaison de paramètres au niveau du compte et du bucket pour chaque bucket, tels que les paramètres de blocage de l'accès public pour le compte et le bucket, et la politique du bucket pour le bucket. Macie le fait pour un maximum de 10 000 seaux par compte. Pour de plus amples informations, veuillez consulter [Comment Macie surveille la sécurité des données Amazon S3](monitoring-s3-how-it-works.md).

Notez que les statistiques de la section **Découverte automatisée** n'incluent pas les résultats des tâches de découverte de données sensibles que vous créez et exécutez.

### Problèmes de couverture
<a name="discovery-asdd-results-s3-dashboard-coverage-statistics"></a>

Dans cette section, les statistiques indiquent si certains types de problèmes ont empêché Amazon Macie d'analyser des objets dans des compartiments S3 individuels. L'image suivante montre un exemple des statistiques fournies par cette section.

![\[La section Problèmes de couverture du tableau de bord. Chaque champ contient des exemples de données.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/scrn-summary-dashboard-coverage.png)


Les statistiques individuelles présentées dans cette section sont les suivantes :
+ **Accès refusé** : nombre total de compartiments auxquels Macie n'est pas autorisé à accéder. Macie ne peut analyser aucun objet dans ces compartiments. Les paramètres d'autorisation des compartiments empêchent Macie d'accéder aux compartiments et aux objets des compartiments.
+ **Erreur de classification** : nombre total de compartiments que Macie n'a pas encore analysés en raison d'erreurs de classification au niveau des objets. Macie a essayé d'analyser un ou plusieurs objets dans ces seaux. Cependant, Macie n'a pas pu analyser les objets en raison de problèmes liés aux paramètres des autorisations au niveau des objets, au contenu des objets ou aux quotas.
+ **Inclassable** : nombre total de compartiments qui ne contiennent aucun objet classable. Macie ne peut analyser aucun objet dans ces compartiments. Tous les objets utilisent des classes de stockage Amazon S3 que Macie ne prend pas en charge, ou ils ont des extensions de nom de fichier pour des formats de fichier ou de stockage non pris en charge par Macie. 

Choisissez la valeur d'une statistique pour afficher des détails supplémentaires et, le cas échéant, des conseils de correction. Si vous corrigez les problèmes d'accès et les erreurs de classification, vous pouvez augmenter la couverture de vos données Amazon S3 lors des cycles d'analyse suivants. Pour de plus amples informations, veuillez consulter [Évaluation de la couverture de la découverte automatique des données sensibles](discovery-coverage.md).

Notez que les statistiques de la section **Problèmes de couverture** n'incluent pas explicitement les données relatives aux tâches de découverte de données sensibles que vous créez et exécutez. Cependant, la résolution des problèmes de couverture qui affectent la découverte automatique des données sensibles est également susceptible d'augmenter la couverture des tâches que vous exécuterez par la suite.

# Visualisation de la sensibilité des données avec la carte des compartiments S3
<a name="discovery-asdd-results-s3-inventory-map"></a>

Sur la console Amazon Macie, la carte thermique des **compartiments S3** fournit une représentation visuelle interactive de la sensibilité des données dans votre parc de données Amazon Simple Storage Service (Amazon S3). Il capture les résultats des activités automatisées de découverte de données sensibles que Macie a effectuées jusqu'à présent pour vos données Amazon S3. Région AWS

Si vous êtes l'administrateur Macie d'une organisation, la carte inclut les résultats pour les compartiments S3 que possèdent vos comptes membres. Les données sont regroupées Compte AWS et triées par numéro de compte, comme le montre l'image suivante.

![\[La carte des compartiments S3. Il montre des carrés de différentes couleurs, un pour chaque compartiment, regroupés par compte.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/scrn-s3-map-small.png)


La carte affiche les données d'un maximum de 100 compartiments S3 pour chaque compte. Pour afficher les données de tous les compartiments, vous pouvez [passer en mode tableau et consulter](discovery-asdd-results-s3-inventory-table.md) les données au format tabulaire.

Pour afficher la carte, choisissez les **compartiments S3** dans le volet de navigation de la console. Choisissez ensuite map (![\[The map view button, which is a button that displays four black squares.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/btn-s3-map-view.png)) en haut de la page. La carte n'est disponible que si la découverte automatique des données sensibles est actuellement activée. Il n'inclut pas les résultats des tâches de découverte de données sensibles que vous créez et exécutez.

**Topics**
+ [Interprétation des données dans la carte des compartiments S3](#discovery-asdd-results-s3-inventory-map-legend)
+ [Interaction avec la carte des compartiments S3](#discovery-asdd-results-s3-inventory-map-use)

## Interprétation des données dans la carte des compartiments S3
<a name="discovery-asdd-results-s3-inventory-map-legend"></a>

Dans la carte **des compartiments S3**, chaque carré représente un compartiment S3 à usage général dans votre inventaire de compartiments. La couleur d'un carré représente le score de sensibilité actuel d'un compartiment, qui mesure l'intersection de deux dimensions principales : la quantité de données sensibles que Macie a trouvées dans le compartiment et la quantité de données que Macie a analysées dans le compartiment. L'intensité de la teinte de la couleur représente l'endroit où un score se situe dans une plage de valeurs de sensibilité des données, comme le montre l'image suivante.

![\[Le spectre de couleurs pour les scores de sensibilité : teintes bleues pour 1 à 49, teintes rouges pour 51 à 100 et gris pour -1.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/sensitivity-scoring-spectrum.png)


En général, vous pouvez interpréter l'intensité des couleurs et des teintes comme suit :
+ **Bleu** — Si le score de sensibilité actuel d'un compartiment est compris entre *1* et *49*, le carré du compartiment est bleu et l'étiquette de sensibilité du compartiment est **Insensible**. L'intensité de la teinte bleue reflète le nombre d'objets uniques analysés par Macie dans le bucket par rapport au nombre total d'objets uniques dans le bucket. Une teinte plus foncée indique un score de sensibilité inférieur.
+ **Aucune couleur** : si le score de sensibilité actuel d'un compartiment est de *50*, le carré du compartiment n'est pas coloré et l'étiquette de sensibilité du compartiment **n'est pas encore analysée**. De plus, le carré possède une bordure en pointillés.
+ **Rouge** — Si le score de sensibilité actuel d'un compartiment est compris entre *51* et *100*, le carré du compartiment est rouge et l'étiquette de sensibilité du compartiment est **Sensible**. L'intensité de la teinte rouge reflète la quantité de données sensibles que Macie a trouvées dans le compartiment. Une teinte plus foncée indique un score de sensibilité plus élevé.
+ **Gris** : si le score de sensibilité actuel d'un compartiment est de *-1*, le carré du compartiment est gris foncé et l'étiquette de sensibilité du compartiment indique **Erreur de classification**. L'intensité de la teinte ne varie pas.

Pour plus de détails sur la plage de scores de sensibilité et d'étiquettes définie par Macie, voir[Notation de sensibilité pour les compartiments S3](discovery-scoring-s3.md).

Sur la carte, le carré d'un compartiment S3 peut également contenir un symbole. Le symbole indique une erreur, un problème ou tout autre type de considération susceptible d'affecter votre évaluation de la sensibilité d'un bucket. Un symbole peut également indiquer un problème potentiel lié à la sécurité du bucket, par exemple, le bucket est accessible au public. Le tableau suivant répertorie les symboles utilisés par Macie pour vous informer de ces cas.


| Symbol | Définition | Description | 
| --- | --- | --- | 
|  ![\[The Access denied symbol, which is a gray exclamation point.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/icon-map-access-denied.png)  | Accès refusé |  Macie n'est pas autorisé à accéder au bucket ou aux objets du bucket. Par conséquent, Macie ne peut analyser aucun objet du compartiment.  Ce problème se produit généralement parce qu'un compartiment est soumis à une politique de compartiment restrictive. Pour plus d'informations sur la manière de résoudre ce problème, consultez[Autoriser Macie à accéder aux compartiments et aux objets S3](monitoring-restrictive-s3-buckets.md).  | 
|  ![\[The Publicly accessible symbol, which is a solid, gray, upward-facing arrow.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/icon-map-publicly-accessible.png)  | Accessible publiquement |  Le grand public dispose d'un accès en lecture ou en écriture au bucket. Pour prendre cette décision, Macie analyse une combinaison de paramètres pour chaque compartiment, tels que les paramètres de blocage de l'accès public pour le compte et le compartiment, et la politique du compartiment pour le compartiment. Macie peut le faire pour un maximum de 10 000 compartiments par compte. Pour de plus amples informations, veuillez consulter [Comment Macie surveille la sécurité des données Amazon S3](monitoring-s3-how-it-works.md).  | 
|  ![\[The Unclassifiable symbol, which is a gray question mark.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/icon-map-unclassifiable.png)  | Inclassable |  Macie ne peut analyser aucun objet dans le compartiment. Tous les objets du compartiment utilisent des classes de stockage Amazon S3 que Macie ne prend pas en charge, ou ils ont des extensions de nom de fichier pour des formats de fichier ou de stockage non pris en charge par Macie. Pour que Macie puisse analyser un objet, celui-ci doit utiliser une classe de stockage prise en charge et avoir une extension de nom de fichier pour un format de fichier ou de stockage pris en charge. Pour de plus amples informations, veuillez consulter [Classes et formats de stockage pris en charge](discovery-supported-storage.md).  | 
|  ![\[The Zero bytes symbol, which is the number zero.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/icon-map-zero-bytes.png)  | Zéro octet |  Le bucket ne contient aucun objet à analyser par Macie. Le compartiment est vide ou tous les objets qu'il contient ne contiennent aucun (0) octet de données.  | 

## Interaction avec la carte des compartiments S3
<a name="discovery-asdd-results-s3-inventory-map-use"></a>

Lorsque vous consultez la carte **des compartiments S3**, vous pouvez interagir avec elle de différentes manières pour révéler et évaluer des données et des détails supplémentaires pour des comptes et des compartiments individuels. Suivez ces étapes pour afficher la carte et utiliser les différentes fonctionnalités qu'elle fournit. 

**Pour interagir avec la carte des compartiments S3**

1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Dans le volet de navigation, choisissez **S3 buckets (Compartiments S3)**. La page **des compartiments S3** affiche une carte de l'inventaire de vos compartiments. Si la page affiche plutôt votre inventaire sous forme de tableau, choisissez map (![\[The map view button, which is a button that displays four black squares.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/btn-s3-map-view.png)) en haut de la page.

   Par défaut, la carte n'affiche pas les données relatives aux compartiments actuellement exclus de la découverte automatique de données sensibles. Si vous êtes l'administrateur Macie d'une organisation, elle n'affiche pas non plus les données des comptes pour lesquels la découverte automatique des données sensibles est actuellement désactivée. Pour afficher ces données, choisissez **X** dans le jeton de filtre **Is monitored by automatic discovery** situé sous le filtre.

1. En haut de la page, choisissez éventuellement refresh (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/btn-refresh-data.png)) pour récupérer les dernières métadonnées du bucket depuis Amazon S3.

1. Dans la carte **des compartiments S3**, effectuez l'une des opérations suivantes :
   + Pour déterminer le nombre de seaux dotés d'une étiquette de sensibilité spécifique, reportez-vous aux badges de couleur situés juste en dessous d'un Compte AWS identifiant. Les badges affichent le nombre de compartiments agrégé, ventilé par étiquette de sensibilité.

     Par exemple, le badge rouge indique le nombre total de buckets détenus par le compte et portant le label **Sensitive**. Le score de sensibilité de ces seaux est compris entre *51* et *100*. Le badge bleu indique le nombre total de compartiments détenus par le compte et portant le label **Non sensible**. Le score de sensibilité de ces compartiments est compris entre *1* et *49*.
   + Pour consulter un sous-ensemble d'informations concernant un compartiment, passez le curseur sur le carré du compartiment. Une fenêtre contextuelle affiche le nom du compartiment et le score de sensibilité actuel.

     La fenêtre contextuelle affiche également le nombre total d'objets que Macie peut analyser dans le compartiment et la taille de stockage totale de la dernière version de ces objets. Ces objets sont *classifiables.* Ils utilisent les classes de stockage Amazon S3 prises en charge et possèdent des extensions de nom de fichier pour les formats de fichier ou de stockage pris en charge. Pour de plus amples informations, veuillez consulter [Classes et formats de stockage pris en charge](discovery-supported-storage.md).
   + Pour filtrer la carte et n'afficher que les compartiments ayant une valeur spécifique pour un champ, placez votre curseur dans la zone de filtre, puis ajoutez une condition de filtre pour le champ. Macie applique les critères de la condition et affiche la condition sous la boîte de filtre. Pour affiner davantage les résultats, ajoutez des conditions de filtre pour des champs supplémentaires. Pour de plus amples informations, veuillez consulter [Filtrer l'inventaire de votre compartiment S3](monitoring-s3-inventory-filter.md).
   + Pour effectuer une analyse détaillée et afficher uniquement les compartiments appartenant à un compte en particulier, choisissez l'identifiant du compte. Macie ouvre un nouvel onglet qui filtre et affiche les données uniquement pour ce compte.

1. Pour consulter les statistiques de sensibilité des données et d'autres informations relatives à un compartiment en particulier, choisissez le carré du compartiment. Reportez-vous ensuite au panneau de détails. Pour plus d'informations sur ces détails, consultez[Révision des informations relatives à la sensibilité des données pour les compartiments S3](discovery-asdd-results-s3-inventory-details.md).
**Astuce**  
Dans l'onglet **Détails du compartiment** du panneau, vous pouvez pivoter et explorer de nombreux champs vers le bas. Pour afficher les compartiments ayant la même valeur pour un champ, choisissez ![\[The zoom in icon, which is a magnifying glass that has a plus sign in it.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/icon-magnifying-glass-plus-sign.png) dans le champ. Pour afficher les compartiments contenant d'autres valeurs pour un champ, choisissez ![\[The zoom out icon, which is a magnifying glass that has a minus sign in it.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/icon-magnifying-glass-minus-sign.png) dans le champ.

# Évaluation de la sensibilité des données à l'aide de la table des buckets S3
<a name="discovery-asdd-results-s3-inventory-table"></a>

Pour consulter les informations récapitulatives relatives à vos compartiments Amazon Simple Storage Service (Amazon S3), vous pouvez utiliser **le tableau des compartiments S3 sur la** console Amazon Macie. À l'aide du tableau, vous pouvez consulter et analyser l'inventaire actuel de vos compartiments à usage général Région AWS, et effectuer une analyse descendante pour consulter les informations détaillées et les statistiques relatives à chaque compartiment. Si vous êtes l'administrateur Macie d'une organisation, le tableau inclut des informations sur les buckets que possèdent vos comptes membres. Si vous préférez accéder aux données et les interroger par programmation, vous pouvez utiliser l'[DescribeBuckets](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3.html)API Amazon Macie. 

Sur la console, vous pouvez trier et filtrer le tableau pour personnaliser votre affichage. Vous pouvez également exporter les données du tableau vers un fichier de valeurs séparées par des virgules (CSV). Si vous choisissez un compartiment S3 dans le tableau, le panneau de détails affiche des informations supplémentaires sur le compartiment. Cela inclut des détails et des statistiques sur les paramètres et les mesures qui fournissent un aperçu de la sécurité et de la confidentialité des données du bucket. Si la découverte automatique des données sensibles est activée, elle inclut également les données qui capturent les résultats des activités de découverte automatique que Macie a effectuées jusqu'à présent pour le bucket.

**Pour évaluer la sensibilité des données à l'aide du tableau des compartiments S3**

1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Dans le volet de navigation, choisissez **S3 buckets (Compartiments S3)**. La page **des compartiments S3** affiche l'inventaire de vos compartiments.

   Par défaut, la page n'affiche pas les données relatives aux compartiments actuellement exclus de la découverte automatique des données sensibles. Si vous êtes l'administrateur Macie d'une organisation, elle n'affiche pas non plus les données des comptes pour lesquels la découverte automatique des données sensibles est actuellement désactivée. Pour afficher ces données, choisissez **X** dans le jeton de filtre Est **surveillé par détection automatique** situé sous le filtre.

1. Choisissez table (![\[The table view button, which is a button that displays three black horizontal lines.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/btn-s3-table-view.png)) en haut de la page. Macie affiche le nombre de seaux dans votre inventaire et un tableau des seaux.

1. Pour récupérer les dernières métadonnées du bucket depuis Amazon S3, choisissez refresh (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/btn-refresh-data.png)) en haut de la page.

   Si l'icône d'information (![\[The information icon, which is a blue circle that has a lowercase letter i in it.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/icon-info-blue.png)) apparaît à côté d'un nom de bucket, nous vous recommandons de le faire. Cette icône indique qu'un bucket a été créé au cours des dernières 24 heures, probablement après que Macie ait récupéré pour la dernière fois les métadonnées du bucket et de l'objet sur Amazon S3 dans le cadre du [cycle d'actualisation quotidien](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh).

1. Dans le tableau **des compartiments S3**, consultez les informations récapitulatives relatives à chaque compartiment de votre inventaire :
   + **Sensibilité** : score de sensibilité actuel du compartiment. Pour plus d'informations sur la plage de scores de sensibilité définie par Macie, consultez[Notation de sensibilité pour les compartiments S3](discovery-scoring-s3.md).
   + **Bucket** : nom du bucket.
   + **Compte** : ID de compte du Compte AWS propriétaire du bucket.
   + **Objets classifiables** : nombre total d'objets que Macie peut analyser pour détecter les données sensibles contenues dans le compartiment.
   + Taille **classifiable : taille** de stockage totale de tous les objets que Macie peut analyser pour détecter les données sensibles dans le compartiment.

     Cette valeur ne reflète pas la taille réelle des objets compressés après leur décompression. En outre, si le versionnement est activé pour le compartiment, cette valeur est basée sur la taille de stockage de la dernière version de chaque objet du compartiment.
   + **Surveillé par tâche** : si vous avez configuré des tâches de découverte de données sensibles pour analyser régulièrement les objets du compartiment sur une base quotidienne, hebdomadaire ou mensuelle.

     Si la valeur de ce champ est *Oui*, le compartiment est explicitement inclus dans une tâche périodique ou le compartiment a répondu aux critères d'une tâche périodique au cours des dernières 24 heures. En outre, le statut d'au moins un de ces emplois n'est pas *annulé*. Macie met à jour ces données quotidiennement.
   + **Dernière exécution de la tâche** : si vous avez configuré des tâches ponctuelles ou périodiques de découverte de données sensibles pour analyser les objets du compartiment, ce champ indique la date et l'heure les plus récentes auxquelles l'une de ces tâches a commencé à s'exécuter. Sinon, un tiret (—) apparaît dans ce champ. 

   Dans les données précédentes, les objets sont *classifiables* s'ils utilisent une classe de stockage Amazon S3 prise en charge et s'ils possèdent une extension de nom de fichier pour un format de fichier ou de stockage pris en charge. Vous pouvez détecter des données sensibles dans les objets à l'aide de Macie. Pour de plus amples informations, veuillez consulter [Classes et formats de stockage pris en charge](discovery-supported-storage.md).

1. Pour analyser votre inventaire à l'aide du tableau, effectuez l'une des opérations suivantes :
   + Pour trier le tableau en fonction d'un champ spécifique, choisissez l'en-tête de colonne du champ. Pour modifier l'ordre de tri, choisissez à nouveau l'en-tête de colonne.
   + Pour filtrer le tableau et n'afficher que les compartiments contenant une valeur spécifique pour un champ, placez votre curseur dans la zone de filtre, puis ajoutez une condition de filtre pour le champ. Pour affiner davantage les résultats, ajoutez des conditions de filtre pour des champs supplémentaires. Pour de plus amples informations, veuillez consulter [Filtrer l'inventaire de votre compartiment S3](monitoring-s3-inventory-filter.md).
   + Pour consulter les statistiques de sensibilité des données et d'autres informations relatives à un compartiment en particulier, choisissez le nom du compartiment. Reportez-vous ensuite au panneau de détails. Pour plus d'informations sur ces détails, consultez[Consulter les détails du bucket S3](discovery-asdd-results-s3-inventory-details.md).
**Astuce**  
Dans l'onglet **Détails du compartiment** du panneau, vous pouvez pivoter et explorer de nombreux champs vers le bas. Pour afficher les compartiments ayant la même valeur pour un champ, choisissez ![\[The zoom in icon, which is a magnifying glass that has a plus sign in it.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/icon-magnifying-glass-plus-sign.png) dans le champ. Pour afficher les compartiments contenant d'autres valeurs pour un champ, choisissez ![\[The zoom out icon, which is a magnifying glass that has a minus sign in it.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/icon-magnifying-glass-minus-sign.png) dans le champ.

1. Pour exporter les données du tableau vers un fichier CSV, cochez la case correspondant à chaque ligne à exporter ou cochez la case dans l'en-tête de la colonne de sélection pour sélectionner toutes les lignes. Choisissez ensuite **Exporter au format CSV** en haut de la page. Vous pouvez exporter jusqu'à 50 000 lignes depuis le tableau. 

1. Pour effectuer une analyse plus approfondie et plus immédiate des objets d'un ou de plusieurs compartiments, cochez la case correspondant à chaque compartiment. Ensuite, choisissez **Create job (Créer une tâche)**. Pour de plus amples informations, veuillez consulter [Création d'une tâche de découverte de données sensibles](discovery-jobs-create.md).

# Révision des informations relatives à la sensibilité des données pour les compartiments S3
<a name="discovery-asdd-results-s3-inventory-details"></a>

Au fur et à mesure que la découverte automatique des données sensibles progresse, vous pouvez consulter les résultats détaillés dans les statistiques et les autres informations fournies par Amazon Macie concernant chacun de vos compartiments Amazon Simple Storage Service (Amazon S3). Si vous êtes l'administrateur Macie d'une organisation, cela inclut les compartiments que possèdent vos comptes membres.

Les statistiques et informations incluent des détails qui donnent un aperçu de la sécurité et de la confidentialité des données d'un compartiment S3. Ils capturent également les résultats des activités automatisées de découverte de données sensibles que Macie a effectuées jusqu'à présent pour un bucket. Par exemple, vous pouvez trouver une liste d'objets analysés par Macie dans un bucket. Vous pouvez également trouver une ventilation des types et du nombre d'occurrences de données sensibles que Macie a trouvées dans un compartiment. Notez que ces données n'incluent pas les résultats des tâches de découverte de données sensibles que vous créez et exécutez.

Macie recalcule et met à jour automatiquement les statistiques et les détails de vos compartiments S3 tout en procédant à la découverte automatique des données sensibles. Par exemple :
+ Si Macie ne trouve aucune donnée sensible dans un objet S3, Macie diminue le score de sensibilité du compartiment et met à jour l'étiquette de sensibilité du compartiment si nécessaire. Macie ajoute également l'objet à la liste des objets sélectionnés pour analyse.
+ Si Macie trouve des données sensibles dans un objet S3, Macie ajoute ces occurrences à la répartition des types de données sensibles qu'il a trouvés dans le compartiment. Macie augmente également le score de sensibilité du seau et met à jour l'étiquette de sensibilité du seau si nécessaire. En outre, Macie ajoute l'objet à la liste des objets sélectionnés pour analyse. Ces tâches s'ajoutent à la création d'une recherche de données sensibles pour l'objet.
+ Si Macie trouve des données sensibles dans un objet S3 qui sont ensuite modifiées ou supprimées, Macie supprime les occurrences de données sensibles relatives à l'objet de la ventilation des types de données sensibles du compartiment. Macie diminue également le score de sensibilité du bucket et met à jour l'étiquette de sensibilité du bucket si nécessaire. En outre, Macie supprime l'objet de la liste des objets sélectionnés pour analyse.
+ Si Macie tente d'analyser un objet S3 mais qu'un problème ou une erreur empêche l'analyse, Macie ajoute l'objet à la liste des objets sélectionnés pour l'analyse et indique qu'il n'a pas été en mesure d'analyser l'objet.

Si vous êtes l'administrateur Macie d'une organisation ou si vous possédez un compte Macie autonome, vous pouvez éventuellement utiliser ces informations pour évaluer et ajuster certains paramètres de découverte automatique pour un compartiment S3. Par exemple, vous pouvez inclure ou exclure des types spécifiques de données sensibles du score d'un bucket. Pour de plus amples informations, veuillez consulter [Ajustement des scores de sensibilité pour les compartiments S3](discovery-asdd-s3bucket-manage.md).

**Pour consulter les informations relatives à la sensibilité des données d'un compartiment S3**  
Pour vérifier la sensibilité des données et d'autres informations relatives à un compartiment S3, vous pouvez utiliser la console Amazon Macie ou l'API Amazon Macie. Sur la console, le panneau de détails fournit un accès centralisé à ces informations. Avec l'API, vous pouvez récupérer et traiter les données par programmation.

------
#### [ Console ]

Suivez ces étapes pour vérifier la sensibilité des données et d'autres informations relatives à un compartiment S3 à l'aide de la console Amazon Macie.

**Pour consulter les détails d'un compartiment S3**

1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Dans le volet de navigation, choisissez **S3 buckets (Compartiments S3)**. La page **des compartiments S3** affiche une carte interactive de votre inventaire de compartiments. Choisissez éventuellement table (![\[The table view button, which is a button that displays three black horizontal lines.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/btn-s3-table-view.png)) en haut de la page pour afficher votre inventaire sous forme de tableau à la place.

   Par défaut, la page n'affiche pas les données relatives aux compartiments actuellement exclus de la découverte automatique des données sensibles. Si vous êtes l'administrateur Macie d'une organisation, elle n'affiche pas non plus les données des comptes pour lesquels la découverte automatique des données sensibles est actuellement désactivée. Pour afficher ces données, choisissez **X** dans le jeton de filtre Est **surveillé par détection automatique** situé sous le filtre.

1. Pour récupérer les dernières métadonnées du bucket depuis Amazon S3, choisissez refresh (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/btn-refresh-data.png)) en haut de la page.

1. Choisissez le compartiment dont vous souhaitez consulter les informations. Le panneau de détails affiche les statistiques de sensibilité des données et d'autres informations concernant le bucket.

La partie supérieure du panneau affiche des informations générales sur le bucket : le nom du bucket, l'ID de compte du Compte AWS propriétaire du bucket et le score de sensibilité actuel du bucket. Si vous êtes un administrateur Macie ou si vous possédez un compte Macie autonome, il propose également des options permettant de modifier certains paramètres de découverte automatique pour le bucket. Les paramètres et informations supplémentaires sont organisés dans les onglets suivants :

[Sensibilité](#discovery-asdd-results-s3-inventory-sensitivity-details) \$1 [Détails du bucket](#discovery-asdd-results-s3-inventory-bucket-details) \$1 [Échantillons d'objets](#discovery-asdd-results-s3-inventory-sample-details) \$1 [Découverte de données sensibles](#discovery-asdd-results-s3-inventory-sdd-details)

Les paramètres individuels et les informations de chaque onglet sont les suivants.

**Sensibilité**  
Cet onglet indique le score de sensibilité actuel du bucket, compris entre *-1* et *100*. Pour plus d'informations sur la plage de scores de sensibilité définie par Macie, consultez[Notation de sensibilité pour les compartiments S3](discovery-scoring-s3.md).  
L'onglet fournit également une ventilation des types de données sensibles que Macie a trouvés dans les objets du compartiment, ainsi que le nombre d'occurrences de chaque type :  
+ **Type de données sensibles** : identifiant unique (ID) de l'identifiant des données gérées qui a détecté les données, ou nom de l'identifiant de données personnalisé qui a détecté les données.

  L'identifiant d'un identifiant de données géré décrit le type de données sensibles qu'il est conçu pour détecter, par exemple, **USA\$1PASSPORT\$1NUMBER pour les numéros de passeport** américains. Pour plus de détails sur chaque identifiant de données gérées, consultez[Utilisation des identificateurs de données gérés](managed-data-identifiers.md).
+ **Nombre** : nombre total d'occurrences des données détectées par l'identifiant de données géré ou personnalisé.
+ **État du score** — Ce champ apparaît si vous êtes un administrateur Macie ou si vous avez un compte Macie autonome. Il indique si les occurrences des données sont incluses ou exclues du score de sensibilité du bucket.

  **Si Macie calcule le score du bucket, vous pouvez ajuster le calcul en incluant ou en excluant des types spécifiques de données sensibles du score : cochez la case correspondant à l'identifiant qui a détecté les données sensibles à inclure ou à exclure, puis choisissez une option dans le menu Actions.** Pour de plus amples informations, veuillez consulter [Ajustement des scores de sensibilité pour les compartiments S3](discovery-asdd-s3bucket-manage.md).
Si Macie n'a pas trouvé de données sensibles dans les objets que le bucket stocke actuellement, cette section affiche le **message Aucune détection trouvée**.  
Notez que l'onglet **Sensibilité** n'inclut pas les données relatives aux objets qui ont été modifiés ou supprimés après leur analyse par Macie. Si des objets sont modifiés ou supprimés après analyse, Macie recalcule et met à jour automatiquement les statistiques et les données appropriées pour exclure les objets.

**Détails du godet**  
Cet onglet fournit des informations détaillées sur les paramètres du bucket, notamment les paramètres de sécurité et de confidentialité des données. Par exemple, vous pouvez consulter le détail des paramètres d'accès public du compartiment et déterminer si le compartiment réplique des objets ou s'il est partagé avec d'autres. Comptes AWS  
Il convient de noter que le champ **Dernière mise à jour** indique la date à laquelle Macie a récemment récupéré les métadonnées du bucket ou des objets du bucket sur Amazon S3. Le champ **Dernière exécution de découverte automatique** indique à quel moment Macie a analysé les objets du compartiment pour la dernière fois lors de la découverte automatique de données sensibles. Si cette analyse n'a pas eu lieu, un tiret (—) apparaît dans ce champ.  
L'onglet fournit également des statistiques au niveau de l'objet qui peuvent vous aider à évaluer la quantité de données que Macie peut analyser dans le compartiment. Il indique également si vous avez configuré des tâches de découverte de données sensibles pour analyser les objets du compartiment. Si c'est le cas, vous pouvez accéder aux détails de la tâche exécutée le plus récemment, puis éventuellement afficher les résultats produits par la tâche.  
Dans certains cas, cet onglet peut ne pas inclure tous les détails d'un bucket. Cela peut se produire si vous stockez plus de 10 000 compartiments dans Amazon S3. Macie conserve des données d'inventaire complètes pour seulement 10 000 compartiments par compte, soit les 10 000 compartiments récemment créés ou modifiés. Macie peut toutefois analyser des objets dans des compartiments qui dépassent ce quota. Pour consulter des informations supplémentaires sur les compartiments, utilisez Amazon S3.  
Pour plus de détails sur les informations de cet onglet, consultez[Examen des détails des compartiments S3](monitoring-s3-inventory-review.md#monitoring-s3-inventory-view-details).

**Exemples d'objets**  
Cet onglet répertorie les objets que Macie a sélectionnés pour analyse lors de la découverte automatique des données sensibles pour le compartiment. Choisissez éventuellement le nom d'un objet pour ouvrir la console Amazon S3 et afficher les propriétés de l'objet.  
La liste inclut des données pour un maximum de 100 objets. La liste est remplie en fonction de la valeur du champ **Sensibilité de l'objet** : **sensible**, suivi de **Non sensible**, suivi des objets que Macie n'a pas pu analyser.  
Dans la liste, le champ **Sensibilité de l'objet** indique si Macie a trouvé des données sensibles dans un objet :  
+ **Sensible** : Macie a détecté au moins une occurrence de données sensibles dans l'objet.
+ **Non sensible** : Macie n'a pas trouvé de données sensibles dans l'objet.
+ **—** (*tiret*) — Macie n'a pas pu terminer son analyse de l'objet en raison d'un problème ou d'une erreur.
Le champ **Résultat de la classification** indique si Macie a pu analyser un objet :  
+ **Terminé** — Macie a terminé son analyse de l'objet.
+ **Partiel** : Macie n'a analysé qu'un sous-ensemble de données de l'objet en raison d'un problème ou d'une erreur. Par exemple, l'objet est un fichier d'archive qui contient des fichiers dans un format non pris en charge.
+ **Ignoré** — Macie n'a pas pu analyser les données de l'objet en raison d'un problème ou d'une erreur. Par exemple, l'objet est chiffré avec une clé que Macie n'est pas autorisée à utiliser.
Notez que la liste n'inclut pas les objets qui ont été modifiés ou supprimés après que Macie les ait analysés ou tenté de les analyser. Macie supprime automatiquement un objet de la liste s'il est modifié ou supprimé ultérieurement.

**Découverte de données sensibles**  
Cet onglet fournit des statistiques agrégées et automatisées de découverte de données sensibles pour le bucket :  
+ **Octets analysés** : quantité totale de données, en octets, que Macie a analysées dans le compartiment.
+ **Octets classifiables** : taille de stockage totale, en octets, de tous les objets que Macie peut analyser dans le compartiment. Ces objets utilisent les classes de stockage Amazon S3 prises en charge et possèdent des extensions de nom de fichier pour les formats de fichier ou de stockage pris en charge. Pour de plus amples informations, veuillez consulter [Classes et formats de stockage pris en charge](discovery-supported-storage.md).
+ **Nombre total de détections** : nombre total d'occurrences de données sensibles détectées par Macie dans le compartiment. Cela inclut les occurrences actuellement supprimées par les paramètres de notation de sensibilité du bucket.
Le graphique **Objets analysés** indique le nombre total d'objets analysés par Macie dans le compartiment. Il fournit également une représentation visuelle du nombre d'objets dans lesquels Macie a trouvé ou n'a pas trouvé de données sensibles. La légende située sous le graphique montre la répartition de ces résultats :  
+ **Objets sensibles** (*rouge*) : nombre total d'objets dans lesquels Macie a détecté au moins une occurrence de données sensibles.
+ **Objets non sensibles** (*bleu*) : nombre total d'objets dans lesquels Macie n'a pas trouvé de données sensibles.
+ **Objets ignorés** (*gris foncé*) : nombre total d'objets que Macie n'a pas pu analyser en raison d'un problème ou d'une erreur.
La zone située sous la légende du graphique fournit une ventilation des cas dans lesquels Macie n'a pas pu analyser les objets en raison de certains types de problèmes d'autorisation ou d'erreurs cryptographiques :  
+ **Ignoré : chiffrement non valide** — Nombre total d'objets chiffrés à l'aide des clés fournies par le client. Macie ne peut pas accéder à ces clés.
+ **Ignoré : KMS non valide** — Nombre total d'objets chiffrés avec des clés AWS Key Management Service (AWS KMS) qui ne sont plus disponibles. Ces objets sont chiffrés avec ceux AWS KMS keys qui ont été désactivés, dont la suppression est prévue ou qui ont été supprimés. Macie ne peut pas utiliser ces clés.
+ **Ignoré : autorisation refusée** : nombre total d'objets auxquels Macie n'est pas autorisé à accéder en raison des paramètres d'autorisation de l'objet ou des paramètres d'autorisation de la clé utilisée pour chiffrer l'objet.
Pour en savoir plus sur ces problèmes et sur d'autres types de problèmes et d'erreurs susceptibles de se produire, consultez[Résolution des problèmes de couverture](discovery-coverage-remediate.md). Si vous corrigez les problèmes et les erreurs, vous pouvez augmenter la couverture des données du bucket lors des cycles d'analyse suivants.  
Les statistiques de l'onglet **Découverte des données sensibles** n'incluent pas les données relatives aux objets qui ont été modifiés ou supprimés après que Macie les ait analysés ou tenté de les analyser. Si des objets sont modifiés ou supprimés après que Macie les ait analysés ou tenté de les analyser, Macie recalcule automatiquement ces statistiques pour exclure les objets.

------
#### [ API ]

Pour récupérer la sensibilité des données et d'autres informations relatives à un compartiment S3 par programmation, plusieurs options s'offrent à vous. L'option appropriée dépend des informations que vous souhaitez récupérer :
+ Pour récupérer le score de sensibilité actuel d'un bucket et les statistiques d'analyse agrégées, utilisez l'[GetResourceProfile](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles.html)opération. Ou, si vous utilisez le AWS Command Line Interface (AWS CLI), exécutez la [get-resource-profile](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-resource-profile.html)commande. Les statistiques incluent des données telles que le nombre d'objets analysés par Macie et le nombre d'objets dans lesquels Macie a trouvé des données sensibles.
+ Pour obtenir une ventilation des types et de la quantité de données sensibles que Macie a trouvées dans un compartiment, utilisez l'[ListResourceProfileDetections](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles-detections.html)opération. Ou, si vous utilisez le AWS CLI, exécutez la [list-resource-profile-detections](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-resource-profile-detections.html)commande. La ventilation fournit également des détails sur l'identifiant de données géré ou personnalisé qui a détecté chaque type de données sensibles.
+ Pour récupérer une liste contenant jusqu'à 100 objets sélectionnés par Macie dans un bucket à des fins d'analyse, utilisez l'[ListResourceProfileArtifacts](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles-artifacts.html)opération. Ou, si vous utilisez le AWS CLI, exécutez la [list-resource-profile-artifacts](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-resource-profile-artifacts.html)commande. Pour chaque objet, la liste indique : le nom de ressource Amazon (ARN) de l'objet, si Macie a terminé son analyse de l'objet et si Macie a trouvé des données sensibles dans l'objet.

Dans votre demande, utilisez le `resourceArn` paramètre pour spécifier l'ARN du bucket dont vous souhaitez récupérer les détails. Si vous utilisez le AWS CLI, utilisez le `resource-arn` paramètre pour spécifier l'ARN.

Pour plus de détails sur un compartiment S3, tels que les paramètres d'accès public du compartiment, utilisez l'[DescribeBuckets](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3.html)opération. Si vous utilisez le AWS CLI, exécutez la commande [describe-buckets](https://docs.aws.amazon.com/cli/latest/reference/macie2/describe-buckets.html) pour récupérer ces informations. Dans votre demande, utilisez éventuellement des critères de filtre pour spécifier le nom du compartiment. Pour plus d’informations et d’exemples, consultez [Filtrer l'inventaire de votre compartiment S3](monitoring-s3-inventory-filter.md).

Les exemples suivants montrent comment utiliser le AWS CLI pour récupérer les informations de sensibilité des données pour un compartiment S3. Ce premier exemple extrait le score de sensibilité actuel et les statistiques d'analyse agrégées pour un bucket.

```
$ aws macie2 get-resource-profile --resource-arn arn:aws:s3:::amzn-s3-demo-bucket
```

Où *arn:aws:s3:::amzn-s3-demo-bucket* se trouve l'ARN du bucket. Si la demande aboutit, vous recevez un résultat similaire à ce qui suit :

```
{
    "profileUpdatedAt": "2024-11-21T15:44:46+00:00",
    "sensitivityScore": 83,
    "sensitivityScoreOverridden": false,
    "statistics": {
        "totalBytesClassified": 933599,
        "totalDetections": 3641,
        "totalDetectionsSuppressed": 0,
        "totalItemsClassified": 111,
        "totalItemsSensitive": 84,
        "totalItemsSkipped": 1,
        "totalItemsSkippedInvalidEncryption": 0,
        "totalItemsSkippedInvalidKms": 0,
        "totalItemsSkippedPermissionDenied": 0
    }
}
```

L'exemple suivant fournit une ventilation des types de données sensibles que Macie a trouvés dans un compartiment S3, ainsi que le nombre d'occurrences de chaque type. La ventilation indique également quel identifiant de données géré ou identifiant de données personnalisé a détecté les données. Il indique également si les occurrences sont actuellement exclues (`suppressed`) du score de sensibilité du bucket, si le score est calculé automatiquement par Macie.

```
$ aws macie2 list-resource-profile-detections --resource-arn arn:aws:s3:::amzn-s3-demo-bucket
```

Où *arn:aws:s3:::amzn-s3-demo-bucket* se trouve l'ARN du bucket. Si la demande aboutit, vous recevez un résultat similaire à ce qui suit :

```
{
    "detections": [
        {
            "count": 8,
            "id": "AWS_CREDENTIALS",
            "name": "AWS_CREDENTIALS",
            "suppressed": false,
            "type": "MANAGED"
        },
        {
            "count": 1194,
            "id": "CREDIT_CARD_NUMBER",
            "name": "CREDIT_CARD_NUMBER",
            "suppressed": false,
            "type": "MANAGED"
        },
        {
            "count": 1194,
            "id": "CREDIT_CARD_SECURITY_CODE",
            "name": "CREDIT_CARD_SECURITY_CODE",
            "suppressed": false,
            "type": "MANAGED"
        },
        {
            "arn": "arn:aws:macie2:us-east-1:123456789012:custom-data-identifier/3293a69d-4a1e-4a07-8715-208ddexample",
            "count": 8,
            "id": "3293a69d-4a1e-4a07-8715-208ddexample",
            "name": "Employee IDs with keyword",
            "suppressed": false,
            "type": "CUSTOM"
        },
        {
            "count": 1237,
            "id": "USA_SOCIAL_SECURITY_NUMBER",
            "name": "USA_SOCIAL_SECURITY_NUMBER",
            "suppressed": false,
            "type": "MANAGED"
        }
    ]
}
```

Cet exemple extrait une liste d'objets sélectionnés par Macie dans un compartiment S3 à des fins d'analyse. Pour chaque objet, la liste indique également si Macie a terminé son analyse de l'objet et si Macie a trouvé des données sensibles dans l'objet.

```
$ aws macie2 list-resource-profile-artifacts --resource-arn arn:aws:s3:::amzn-s3-demo-bucket
```

Où *arn:aws:s3:::amzn-s3-demo-bucket* se trouve l'ARN du bucket. Si la demande aboutit, vous recevez un résultat similaire à ce qui suit :

```
{
    "artifacts": [
        {
            "arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object1.csv",
            "classificationResultStatus": "COMPLETE",
            "sensitive": true
        },
        {
            "arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object2.xlsx",
            "classificationResultStatus": "COMPLETE",
            "sensitive": true
        },
        {
            "arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object3.json",
            "classificationResultStatus": "COMPLETE",
            "sensitive": true
        },
        {
            "arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object4.pdf",
            "classificationResultStatus": "COMPLETE",
            "sensitive": true
        },
        {
            "arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object5.zip",
            "classificationResultStatus": "PARTIAL",
            "sensitive": true
        },
        {
            "arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object6.vssx",
            "classificationResultStatus": "SKIPPED"
        }
    ]
}
```

------

# Analyse des résultats issus de la découverte automatique de données sensibles
<a name="discovery-asdd-results-s3-findings"></a>

Lorsqu'Amazon Macie effectue une découverte automatique de données sensibles, il crée une recherche de données sensibles pour chaque objet Amazon Simple Storage Service (Amazon S3) dans lequel il trouve des données sensibles. Une *découverte de données sensibles* est un rapport détaillé des données sensibles que Macie a trouvées dans un objet S3. Une découverte n'inclut pas les données sensibles trouvées par Macie. Il fournit plutôt des informations que vous pouvez utiliser pour des recherches plus approfondies et des mesures correctives si nécessaire.

Chaque découverte de données sensibles fournit une note de gravité et des détails tels que :
+ Date et heure auxquelles Macie a trouvé les données sensibles.
+ Catégorie et types de données sensibles détectées par Macie.
+ Le nombre d'occurrences de chaque type de données sensibles détectées par Macie.
+ Comment Macie a trouvé les données sensibles, découverte automatisée des données sensibles ou tâche de découverte de données sensibles.
+ Le nom, les paramètres d'accès public, le type de chiffrement et les autres informations relatives au compartiment et à l'objet S3 concernés.

Selon le type de fichier ou le format de stockage de l'objet S3 concerné, les détails peuvent également inclure l'emplacement de 15 occurrences des données sensibles détectées par Macie.

Macie conserve les résultats de données sensibles pendant 90 jours. Vous pouvez y accéder à l'aide de la console Amazon Macie ou de l'API Amazon Macie. Vous pouvez également surveiller et traiter les résultats à l'aide d'autres applications, services et systèmes. Pour de plus amples informations, veuillez consulter [Examen et analyse des résultats](findings.md).

**Analyser les résultats produits par la découverte automatique de données sensibles**  
Pour identifier et analyser les résultats créés par Macie lors de la découverte automatique de données sensibles, vous pouvez filtrer vos résultats. Les filtres vous permettent d'utiliser des attributs spécifiques des résultats pour créer des vues personnalisées et des requêtes pour les résultats. Pour filtrer les résultats, vous pouvez utiliser la console Amazon Macie ou envoyer des requêtes par programmation à l'aide de l'API Amazon Macie. Pour de plus amples informations, veuillez consulter [Filtrage des résultats](findings-filter-overview.md).

**Note**  
Si votre compte fait partie d'une organisation qui gère de manière centralisée plusieurs comptes Macie, seul l'administrateur Macie de votre organisation a un accès direct aux résultats de la découverte automatique de données sensibles pour les comptes de votre organisation. Si vous avez un compte membre et que vous souhaitez consulter les résultats de votre compte, contactez votre administrateur Macie.

------
#### [ Console ]

Suivez ces étapes pour identifier et analyser les résultats à l'aide de la console Amazon Macie.

**Analyser les résultats produits par la découverte automatique**

1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Dans le volet de navigation, choisissez **Conclusions**.

1. Pour afficher les résultats qui ont été supprimés par une [règle de suppression](findings-suppression.md), modifiez le paramètre **État de la recherche**. Choisissez **Tout** pour afficher à la fois les résultats supprimés et non supprimés, ou choisissez **Archivé** pour afficher uniquement les résultats supprimés. Pour masquer à nouveau les résultats supprimés, choisissez **Current**.

1. Placez votre curseur dans la zone **Critères de filtre**. Dans la liste des champs qui s'affiche, choisissez le **type d'origine**.

   Ce champ indique comment Macie a trouvé les données sensibles à l'origine d'une découverte, d'une découverte automatisée de données sensibles ou d'une tâche de découverte de données sensibles. Pour trouver ce champ dans la liste des champs de filtre, vous pouvez parcourir la liste complète ou saisir une partie du nom du champ pour affiner la liste des champs.

1. **Sélectionnez **AUTOMATED\$1SENSITIVE\$1DATA\$1DISCOVERY** comme valeur du champ, puis choisissez Appliquer.** Macie applique les critères de filtre et ajoute la condition à un jeton de filtre dans la zone **Critères de filtre**.

1. Pour affiner les résultats, ajoutez des conditions de filtre pour des champs supplémentaires, par exemple, Created **at** pour la plage de temps pendant laquelle un résultat a été créé, le **nom du bucket S3** pour le nom du bucket concerné ou le type de **détection de données sensibles pour le type** de données sensibles qui a été détecté et a produit un résultat.

Si vous souhaitez réutiliser cet ensemble de conditions par la suite, vous pouvez l'enregistrer en tant que règle de filtre. Pour ce faire, choisissez **Enregistrer la règle** dans la zone **Critères de filtrage**. Entrez ensuite un nom et, éventuellement, une description pour la règle. Lorsque vous avez terminé, choisissez **Enregistrer**.

------
#### [ API ]

Pour identifier et analyser les résultats par programmation, spécifiez des critères de filtrage dans les requêtes que vous soumettez à l'aide de l'API Amazon Macie [ListFindings[GetFindingStatistics](https://docs.aws.amazon.com/macie/latest/APIReference/findings-statistics.html)](https://docs.aws.amazon.com/macie/latest/APIReference/findings.html)ou à l'aide de celle-ci. L'**ListFindings**opération renvoie un tableau de résultats IDs, un identifiant pour chaque résultat correspondant aux critères du filtre. Vous pouvez ensuite les utiliser IDs pour récupérer les détails de chaque résultat. L'**GetFindingStatistics**opération renvoie des données statistiques agrégées concernant tous les résultats correspondant aux critères du filtre, regroupés selon un champ que vous spécifiez dans votre demande. Pour plus d'informations sur le filtrage des résultats par programmation, consultez. [Filtrage des résultats](findings-filter-overview.md)

Dans les critères de filtre, incluez une condition pour le `originType` champ. Ce champ indique comment Macie a trouvé les données sensibles à l'origine d'une découverte, d'une découverte automatisée de données sensibles ou d'une tâche de découverte de données sensibles. Si la découverte automatique de données sensibles a produit un résultat, la valeur de ce champ est`AUTOMATED_SENSITIVE_DATA_DISCOVERY`.

Pour identifier et analyser les résultats à l'aide de AWS Command Line Interface (AWS CLI), exécutez la commande [list-findings](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-findings.html). [get-finding-statistics](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-finding-statistics.html) Les exemples suivants utilisent la **list-findings** commande pour récupérer les résultats IDs pour tous les résultats de gravité élevés générés par l'automatisation de la découverte de données sensibles dans le courant actuel Région AWS.

Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.

```
$ aws macie2 list-findings \
--finding-criteria '{"criterion":{"classificationDetails.originType":{"eq":["AUTOMATED_SENSITIVE_DATA_DISCOVERY"]},"severity.description":{"eq":["High"]}}}'
```

Cet exemple est formaté pour Microsoft Windows et utilise le caractère de continuation de ligne caret (^) pour améliorer la lisibilité.

```
C:\> aws macie2 list-findings ^
--finding-criteria={\"criterion\":{\"classificationDetails.originType\":{\"eq\":[\"AUTOMATED_SENSITIVE_DATA_DISCOVERY\"]},\"severity.description\":{\"eq\":[\"High\"]}}}
```

Où :
+ `classificationDetails.originType`spécifie le nom JSON du champ de **type d'origine**, et :
  + `eq`spécifie l'opérateur *égal*.
  + `AUTOMATED_SENSITIVE_DATA_DISCOVERY`est une valeur énumérée pour le champ.
+ *`severity.description`*spécifie le nom JSON du champ **Severity**, et :
  + *`eq`*spécifie l'opérateur *égal*.
  + *`High`*est une valeur énumérée pour le champ.

Si la demande aboutit, Macie renvoie un `findingIds` tableau. Le tableau répertorie l'identifiant unique pour chaque résultat correspondant aux critères du filtre, comme illustré dans l'exemple suivant.

```
{
    "findingIds": [
        "1f1c2d74db5d8caa76859ec52example",
        "6cfa9ac820dd6d55cad30d851example",
        "702a6fd8750e567d1a3a63138example",
        "826e94e2a820312f9f964cf60example",
        "274511c3fdcd87010a19a3a42example"
    ]
}
```

Si aucun résultat ne correspond aux critères du filtre, Macie renvoie un `findingIds` tableau vide.

```
{
    "findingIds": []
}
```

------

# Accès aux résultats de découverte grâce à la découverte automatique de données sensibles
<a name="discovery-asdd-results-s3-sddrs"></a>

Lorsqu'Amazon Macie effectue une découverte automatique de données sensibles, il crée un enregistrement d'analyse pour chaque objet Amazon Simple Storage Service (Amazon S3) sélectionné pour analyse. Ces enregistrements, appelés *résultats de découverte de données sensibles*, enregistrent les détails de l'analyse que Macie effectue sur des objets S3 individuels. Cela inclut les objets dans lesquels Macie ne trouve pas de données sensibles et les objets que Macie ne peut pas analyser en raison d'erreurs ou de problèmes tels que les paramètres d'autorisation ou l'utilisation d'un format de fichier ou de stockage non pris en charge. Les résultats de découverte de données sensibles vous fournissent des enregistrements d'analyse qui peuvent être utiles pour les audits ou les enquêtes sur la confidentialité et la protection des données.

Si Macie trouve des données sensibles dans un objet S3, le résultat de la découverte des données sensibles fournit des informations sur les données sensibles détectées par Macie. Les informations incluent les mêmes types de détails que ceux fournis par une découverte de données sensibles. Il fournit également des informations supplémentaires, telles que l'emplacement de pas moins de 1 000 occurrences de chaque type de données sensibles détectées par Macie. Par exemple : 
+ Numéro de colonne et de ligne d'une cellule ou d'un champ dans un classeur Microsoft Excel, un fichier CSV ou un fichier TSV
+ Le chemin d'accès à un champ ou à un tableau dans un fichier JSON ou JSON Lines
+ Numéro de ligne d'une ligne dans un fichier texte non binaire autre qu'un fichier CSV, JSON, JSON Lines ou TSV, par exemple un fichier HTML, TXT ou XML
+ Numéro de page d'une page dans un fichier Adobe Portable Document Format (PDF)
+ L'index d'enregistrement et le chemin d'accès à un champ dans un enregistrement d'un conteneur d'objets Apache Avro ou d'un fichier Apache Parquet

Si l'objet S3 concerné est un fichier d'archive, tel qu'un fichier .tar ou .zip, le résultat de la découverte de données sensibles fournit également des données de localisation détaillées pour les occurrences de données sensibles dans des fichiers individuels que Macie a extraits de l'archive. Macie n'inclut pas ces informations dans les résultats de données sensibles pour les fichiers d'archive. Pour signaler les données de localisation, les résultats de découverte de données sensibles utilisent un [schéma JSON standardisé](findings-locate-sd-schema.md).

**Note**  
Comme c'est le cas pour les découvertes de données sensibles, les résultats de découverte de données sensibles n'incluent pas les données sensibles que Macie trouve dans les objets S3. Ils fournissent plutôt des détails d'analyse qui peuvent être utiles pour les audits ou les enquêtes.

Macie conserve les résultats de la découverte de vos données sensibles pendant 90 jours. Vous ne pouvez pas y accéder directement depuis la console Amazon Macie ou via l'API Amazon Macie. Au lieu de cela, vous configurez Macie pour les chiffrer et les stocker dans un compartiment S3. Le bucket peut servir de référentiel définitif à long terme pour tous vos résultats de découverte de données sensibles. Pour déterminer où se trouve ce référentiel pour votre compte, choisissez **Discovery results** dans le volet de navigation de la console Amazon Macie. Pour ce faire par programmation, utilisez le [GetClassificationExportConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/classification-export-configuration.html)fonctionnement de l'API Amazon Macie. Si vous n'avez pas configuré ce référentiel pour votre compte, consultez la section [Stockage et conservation des résultats de découverte de données sensibles](discovery-results-repository-s3.md) pour savoir comment procéder.

Après avoir configuré Macie pour stocker les résultats de la découverte de données sensibles dans un compartiment S3, Macie écrit les résultats dans des fichiers JSON Lines (.jsonl), puis chiffre et ajoute ces fichiers au compartiment sous forme de fichiers GNU Zip (.gz). Pour la découverte automatique des données sensibles, Macie ajoute les fichiers dans un dossier nommé `automated-sensitive-data-discovery` dans le compartiment. Vous pouvez ensuite éventuellement accéder aux résultats contenus dans ce dossier et les interroger. Si votre compte fait partie d'une organisation qui gère de manière centralisée plusieurs comptes Macie, Macie ajoute les fichiers dans le `automated-sensitive-data-discovery` dossier du compartiment correspondant au compte de votre administrateur Macie.

Les résultats de découverte de données sensibles respectent un schéma standardisé. Cela peut vous aider à les interroger, à les surveiller et à les traiter à l'aide d'autres applications, services et systèmes. Pour un exemple détaillé et instructif de la manière dont vous pouvez interroger et utiliser ces résultats, consultez le billet de blog suivant sur le blog de *AWS sécurité* : [Comment interroger et visualiser les résultats de découverte de données sensibles de Macie avec Amazon Athena et Amazon](https://aws.amazon.com/blogs/security/how-to-query-and-visualize-macie-sensitive-data-discovery-results-with-athena-and-quicksight/) Quick. Pour obtenir des exemples de requêtes Athena que vous pouvez utiliser pour analyser les résultats, consultez le référentiel [Amazon Macie Results Analytics sur](https://github.com/aws-samples/amazon-macie-results-analytics). GitHub Ce référentiel fournit également des instructions pour configurer Athena afin de récupérer et de déchiffrer vos résultats, ainsi que des scripts pour créer des tables pour les résultats.

# Évaluation de la couverture de la découverte automatique des données sensibles
<a name="discovery-coverage"></a>

Au fur et à mesure que la découverte automatique des données sensibles progresse pour votre compte ou votre organisation, Amazon Macie fournit des statistiques et des informations pour vous aider à évaluer et à surveiller sa couverture de votre parc de données Amazon Simple Storage Service (Amazon S3). Grâce à ces données, vous pouvez vérifier l'état de la découverte automatique des données sensibles pour l'ensemble de votre parc de données et pour les compartiments S3 individuels qu'il contient. Vous pouvez également identifier les problèmes qui empêchaient Macie d'analyser des objets dans des compartiments spécifiques. Si vous corrigez les problèmes, vous pouvez augmenter la couverture de vos données Amazon S3 lors des cycles d'analyse suivants.

Les données de couverture fournissent un aperçu de l'état actuel de la découverte automatique de données sensibles pour vos compartiments à usage général S3 à l'heure actuelle Région AWS. Si vous êtes l'administrateur Macie d'une organisation, cela inclut les compartiments que possèdent vos comptes membres. Pour chaque compartiment, les données indiquent si des problèmes sont survenus lorsque Macie a tenté d'analyser les objets du compartiment. Si des problèmes sont survenus, les données indiquent la nature de chaque problème et, dans certains cas, le nombre d'incidents. Les données sont mises à jour au fur et à mesure que la découverte automatique des données sensibles progresse chaque jour. Si Macie analyse ou tente d'analyser un ou plusieurs objets d'un compartiment au cours d'un cycle d'analyse quotidien, Macie met à jour la couverture et les autres données pour refléter les résultats.

Pour certains types de problèmes, vous pouvez consulter les données agrégées pour tous vos compartiments S3 à usage général et éventuellement effectuer une analyse détaillée pour obtenir des informations supplémentaires sur chaque compartiment. Par exemple, les données de couverture peuvent vous aider à identifier rapidement tous les compartiments auxquels Macie n'est pas autorisée à accéder pour votre compte. Les données de couverture signalent également les problèmes survenus au niveau de l'objet. Ces problèmes, appelés *erreurs de classification*, empêchaient Macie d'analyser des objets spécifiques dans un compartiment. Par exemple, vous pouvez déterminer le nombre d'objets que Macie n'a pas pu analyser dans un compartiment parce que les objets sont chiffrés avec une clé AWS Key Management Service (AWS KMS) qui n'est plus disponible.

Si vous utilisez la console Amazon Macie pour consulter les données de couverture, votre consultation des données inclut des conseils pour résoudre chaque type de problème. Les rubriques suivantes de cette section fournissent également des conseils de correction pour chaque type.

**Topics**
+ [Révision des données de couverture](discovery-coverage-review.md)
+ [Résolution des problèmes de couverture](discovery-coverage-remediate.md)

# Examen des données de couverture pour la découverte automatisée des données sensibles
<a name="discovery-coverage-review"></a>

Pour examiner et évaluer la couverture par la découverte automatique de données sensibles, vous pouvez utiliser la console Amazon Macie ou l'API Amazon Macie. La console et l'API fournissent des données qui indiquent l'état actuel des analyses pour vos compartiments à usage général Amazon Simple Storage Service (Amazon S3) dans le contexte actuel. Région AWS Les données incluent des informations sur les problèmes qui créent des lacunes dans les analyses :
+ Des compartiments auxquels Macie n'est pas autorisé à accéder. Macie ne peut analyser aucun objet dans ces compartiments. Les paramètres d'autorisation des compartiments empêchent Macie d'accéder aux compartiments et aux objets des compartiments.
+ Des compartiments qui ne contiennent aucun objet classifiable. Macie ne peut analyser aucun objet dans ces compartiments. Tous les objets utilisent des classes de stockage Amazon S3 que Macie ne prend pas en charge, ou ils ont des extensions de nom de fichier pour des formats de fichier ou de stockage non pris en charge par Macie. 
+ Des compartiments que Macie n'a pas encore pu analyser en raison d'erreurs de classification au niveau des objets. Macie a tenté d'analyser un ou plusieurs objets contenus dans ces compartiments. Cependant, Macie n'a pas pu analyser les objets en raison de problèmes liés aux paramètres des autorisations au niveau des objets, au contenu des objets ou aux quotas.

Les données de couverture sont mises à jour au fur et à mesure que la découverte automatique des données sensibles progresse chaque jour. Si vous êtes l'administrateur Macie d'une organisation, les données incluent des informations relatives aux compartiments S3 que possèdent vos comptes membres.

**Note**  
Les données de couverture n'incluent pas explicitement les résultats des tâches de découverte de données sensibles que vous créez et exécutez. Cependant, la résolution des problèmes de couverture qui affectent la découverte automatique des données sensibles est également susceptible d'augmenter la couverture des tâches que vous exécuterez par la suite. Pour évaluer la couverture d'un emploi, passez en [revue les résultats du poste](discovery-jobs-manage-results.md). Si les événements du journal d'une tâche ou d'autres résultats indiquent des problèmes de couverture, les [conseils de correction pour la découverte automatique des données sensibles](discovery-coverage-remediate.md) peuvent vous aider à résoudre certains de ces problèmes.

**Pour examiner les données de couverture afin de détecter automatiquement les données sensibles**  
Pour consulter les données de couverture afin de détecter automatiquement les données sensibles, vous pouvez utiliser la console Amazon Macie ou l'API Amazon Macie. Sur la console, une seule page fournit une vue unifiée des données de couverture pour tous vos compartiments S3 à usage général dans la région actuelle. Cela inclut un récapitulatif des problèmes récemment survenus pour chaque compartiment. La page propose également des options permettant de consulter des groupes de données par type de problème. Pour suivre votre enquête sur les problèmes liés à des compartiments spécifiques, vous pouvez exporter les données de la page vers un fichier CSV (valeurs séparées par des virgules).

------
#### [ Console ]

Suivez ces étapes pour consulter les données de couverture à l'aide de la console Amazon Macie.

**Pour consulter les données de couverture**

1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Dans le volet de navigation, choisissez **Resource coverage**.

1. Sur la page **Couverture des ressources**, choisissez l'onglet correspondant au type de données de couverture que vous souhaitez consulter :
   + **Tout** — Répertorie tous les compartiments associés à votre compte. Pour chaque compartiment, le champ **Problèmes** indique si des problèmes ont empêché Macie d'analyser les objets du compartiment. Si la valeur de ce champ est **None**, Macie a analysé au moins un des objets du compartiment ou Macie n'a encore tenté d'analyser aucun des objets du compartiment. S'il y a des problèmes, ce champ indique leur nature et indique comment y remédier. Pour les erreurs de classification au niveau de l'objet, il peut également indiquer (entre parenthèses) le nombre d'occurrences de l'erreur.
   + **Accès refusé** — Répertorie les compartiments auxquels Macie n'est pas autorisé à accéder. Les paramètres d'autorisation pour ces compartiments empêchent Macie d'accéder aux compartiments et aux objets des compartiments. Par conséquent, Macie ne peut analyser aucun objet dans les buckets. 
   + **Erreur de classification** : répertorie les compartiments que Macie n'a pas encore analysés en raison d'erreurs de classification au niveau des objets (problèmes liés aux paramètres des autorisations au niveau des objets, au contenu des objets ou aux quotas). Pour chaque compartiment, le champ **Problèmes** indique la nature de chaque type d'erreur qui s'est produit et a empêché Macie d'analyser un objet dans le compartiment. Il indique également comment corriger chaque type d'erreur. En fonction de l'erreur, il peut également indiquer (entre parenthèses) le nombre d'occurrences de l'erreur.
   + **Inclassable** : répertorie les compartiments que Macie ne peut pas analyser car ils ne contiennent aucun objet classable. Tous les objets de ces compartiments utilisent des classes de stockage Amazon S3 non prises en charge ou possèdent des extensions de nom de fichier pour des formats de fichier ou de stockage non pris en charge. Par conséquent, Macie ne peut analyser aucun objet dans les buckets. 

1. Pour effectuer une analyse détaillée et consulter les données de support d'un bucket, choisissez le nom du bucket. Reportez-vous ensuite au panneau de détails pour obtenir des statistiques et d'autres informations sur le bucket.

1. Pour exporter le tableau vers un fichier CSV, choisissez **Exporter au format CSV en** haut de la page. Le fichier CSV obtenu contient un sous-ensemble de métadonnées pour chaque compartiment du tableau, pour un maximum de 50 000 compartiments. Le fichier inclut un champ **Problèmes de couverture**. La valeur de ce champ indique si des problèmes ont empêché Macie d'analyser les objets du compartiment et, dans l'affirmative, la nature des problèmes.

------
#### [ API ]

Pour examiner les données de couverture par programmation, spécifiez des critères de filtre dans les requêtes que vous soumettez à l'aide [DescribeBuckets](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3.html)de l'API Amazon Macie. Cette opération renvoie un tableau d'objets. Chaque objet contient des données statistiques et d'autres informations sur un compartiment S3 à usage général répondant aux critères du filtre.

Dans les critères de filtre, incluez une condition pour le type de données de couverture que vous souhaitez examiner :
+ Pour identifier les compartiments auxquels Macie n'est pas autorisé à accéder en raison des paramètres d'autorisation des compartiments, incluez une condition selon laquelle la valeur du champ est égale à. `errorCode` `ACCESS_DENIED`
+ Pour identifier les compartiments auxquels Macie est autorisé à accéder et qu'il n'a pas encore analysés, incluez les conditions dans lesquelles la valeur du `sensitivityScore` champ est égale `50` et la valeur du `errorCode` champ n'est pas égale. `ACCESS_DENIED`
+ Pour identifier les compartiments que Macie ne peut pas analyser parce que tous leurs objets utilisent des classes ou des formats de stockage non pris en charge, incluez les conditions dans lesquelles la valeur du `classifiableSizeInBytes` champ est égale `0` et la valeur du champ est supérieure à. `sizeInBytes` `0`
+ Pour identifier les compartiments pour lesquels Macie a analysé au moins un objet, incluez les conditions dans lesquelles la valeur du `sensitivityScore` champ se situe entre 1 et 99 mais n'est pas égale à. `50` Pour inclure également les compartiments dans lesquels vous avez attribué manuellement le score maximum, la plage doit être comprise entre 1 et 100.
+ Pour identifier les compartiments que Macie n'a pas encore analysés en raison d'erreurs de classification au niveau des objets, incluez une condition selon laquelle la valeur du champ est égale à. `sensitivityScore` `-1` Pour ensuite passer en revue le détail des types et du nombre d'erreurs survenues pour un compartiment donné, utilisez l'[GetResourceProfile](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles.html)opération.

Si vous utilisez le AWS Command Line Interface (AWS CLI), spécifiez les critères de filtre dans les requêtes que vous soumettez en exécutant la commande [describe-buckets](https://docs.aws.amazon.com/cli/latest/reference/macie2/describe-buckets.html). Pour consulter le détail des types et du nombre d'erreurs survenues pour un compartiment S3 donné, le cas échéant, exécutez la [get-resource-profile](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-resource-profile.html)commande.

Par exemple, les AWS CLI commandes suivantes utilisent des critères de filtre pour récupérer les détails de tous les compartiments S3 auxquels Macie n'est pas autorisé à accéder en raison des paramètres d'autorisation des compartiments.

Cet exemple est formaté pour Linux, macOS ou Unix :

```
$ aws macie2 describe-buckets --criteria '{"errorCode":{"eq":["ACCESS_DENIED"]}}'
```

Cet exemple est formaté pour Microsoft Windows :

```
C:\> aws macie2 describe-buckets --criteria={\"errorCode\":{\"eq\":[\"ACCESS_DENIED\"]}}
```

Si votre demande aboutit, Macie renvoie un `buckets` tableau. Le tableau contient un objet pour chaque compartiment S3 présent dans le compartiment actuel Région AWS et répondant aux critères du filtre.

Si aucun compartiment S3 ne correspond aux critères du filtre, Macie renvoie un tableau vide. `buckets`

```
{
    "buckets": []
}
```

Pour plus d'informations sur la spécification de critères de filtre dans les requêtes, notamment des exemples de critères courants, consultez[Filtrer l'inventaire de votre compartiment S3](monitoring-s3-inventory-filter.md).

------

Pour obtenir des informations détaillées qui peuvent vous aider à résoudre les problèmes de couverture, consultez[Résolution des problèmes de couverture pour la découverte automatique des données sensibles](discovery-coverage-remediate.md).

# Résolution des problèmes de couverture pour la découverte automatique des données sensibles
<a name="discovery-coverage-remediate"></a>

Au fur et à mesure que la découverte automatique de données sensibles progresse chaque jour, Amazon Macie fournit des statistiques et des informations pour vous aider à évaluer et à surveiller sa couverture de votre parc de données Amazon Simple Storage Service (Amazon S3). En [consultant les données de couverture](discovery-coverage-review.md), vous pouvez vérifier l'état de la découverte automatique des données sensibles pour l'ensemble de votre parc de données et pour les compartiments S3 individuels qu'il contient. Vous pouvez également identifier les problèmes qui empêchaient Macie d'analyser des objets dans des compartiments spécifiques. Si vous corrigez les problèmes, vous pouvez augmenter la couverture de vos données Amazon S3 lors des cycles d'analyse suivants.

Macie signale plusieurs types de problèmes qui réduisent la couverture de vos données Amazon S3 grâce à la découverte automatique de données sensibles. Cela inclut des problèmes au niveau du compartiment qui empêchent Macie d'analyser les objets d'un compartiment S3. Cela inclut également les problèmes au niveau de l'objet. Ces problèmes, appelés *erreurs de classification*, empêchaient Macie d'analyser des objets spécifiques dans un compartiment. Les informations suivantes peuvent vous aider à étudier et à résoudre les problèmes.

**Topics**
+ [Accès refusé](#discovery-issues-access-denied)
+ [Erreur de classification : contenu non valide](#discovery-issues-invalid-content)
+ [Erreur de classification : chiffrement non valide](#discovery-issues-classification-error-invalid-encryption)
+ [Erreur de classification : clé KMS non valide](#discovery-issues-classification-error-invalid-key)
+ [Erreur de classification : autorisation refusée](#discovery-issues-classification-error-permission-denied)
+ [Inclassable](#discovery-issues-unclassifiable)

**Astuce**  
Pour étudier les erreurs de classification au niveau des objets pour un compartiment S3, commencez par consulter la liste des exemples d'objets pour le compartiment. Cette liste indique les objets que Macie a analysés ou a tenté d'analyser dans le compartiment, pour un maximum de 100 objets.   
Pour consulter la liste sur la console Amazon Macie, choisissez le compartiment sur la page des **compartiments S3**, puis choisissez l'onglet **Exemples d'objets** dans le panneau de détails. Pour consulter la liste par programmation, utilisez l'[ListResourceProfileArtifacts](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles-artifacts.html)API Amazon Macie. Si le statut de l'analyse d'un objet est **ignoré** (`SKIPPED`), l'objet est peut-être à l'origine de l'erreur.

## Accès refusé
<a name="discovery-issues-access-denied"></a>

Ce problème indique que les paramètres d'autorisation d'un compartiment S3 empêchent Macie d'accéder au compartiment et aux objets du compartiment. Macie ne peut récupérer ni analyser aucun objet dans le compartiment.

**Détails**  
La cause la plus courante de ce type de problème est une politique de compartiment restrictive. Une *politique de compartiment* est une politique basée sur les ressources Gestion des identités et des accès AWS (IAM) qui spécifie les actions qu'un principal (utilisateur, compte, service ou autre entité) peut effectuer sur un compartiment S3, ainsi que les conditions dans lesquelles un principal peut effectuer ces actions. Une *politique de compartiment restrictive* utilise des `Deny` déclarations explicites `Allow` ou des déclarations qui accordent ou limitent l'accès aux données d'un compartiment en fonction de conditions spécifiques. Par exemple, une politique de compartiment peut contenir une `Deny` instruction `Allow` or qui refuse l'accès à un compartiment à moins que des adresses IP source spécifiques ne soient utilisées pour accéder au compartiment.  
Si la politique de compartiment d'un compartiment S3 contient une `Deny` déclaration explicite avec une ou plusieurs conditions, Macie ne sera peut-être pas autorisée à récupérer et à analyser les objets du compartiment pour détecter des données sensibles. Macie ne peut fournir qu'un sous-ensemble d'informations sur le bucket, telles que son nom et sa date de création.

**Conseils de remédiation**  
Pour résoudre ce problème, mettez à jour la politique de compartiment pour le compartiment S3. Assurez-vous que la politique autorise Macie à accéder au compartiment et aux objets du compartiment. Pour autoriser cet accès, ajoutez une condition pour le rôle lié au service Macie (`AWSServiceRoleForAmazonMacie`) à la politique. La condition doit empêcher le rôle lié au service Macie de correspondre à la `Deny` restriction de la politique. Il peut le faire en utilisant la clé de contexte de condition `aws:PrincipalArn` globale et le nom de ressource Amazon (ARN) du rôle lié au service Macie pour votre compte.  
Si vous mettez à jour la politique du compartiment et que Macie accède au compartiment S3, Macie détectera le changement. Lorsque cela se produit, Macie met à jour les statistiques, les données d'inventaire et les autres informations qu'il fournit sur vos données Amazon S3. En outre, les objets du compartiment seront analysés en priorité lors d'un cycle d'analyse ultérieur.

**Référence supplémentaire**  
Pour plus d'informations sur la mise à jour d'une politique de compartiment S3 afin de permettre à Macie d'accéder à un compartiment, consultez[Autoriser Macie à accéder aux compartiments et aux objets S3](monitoring-restrictive-s3-buckets.md). Pour plus d'informations sur l'utilisation des politiques de compartiment pour contrôler l'accès aux compartiments, consultez les sections [Politiques de compartiment](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html) et [Comment Amazon S3 autorise une demande](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-s3-evaluates-access-control.html) dans le guide de l'*utilisateur d'Amazon Simple Storage Service*.

## Erreur de classification : contenu non valide
<a name="discovery-issues-invalid-content"></a>

Ce type d'erreur de classification se produit si Macie tente d'analyser un objet dans un compartiment S3 et que l'objet est mal formé ou que le contenu de l'objet dépasse le quota de découverte de données sensibles. Macie ne peut pas analyser l'objet.

**Détails**  
Cette erreur se produit généralement parce qu'un objet S3 est un fichier mal formé ou endommagé. Par conséquent, Macie ne peut pas analyser et analyser toutes les données du fichier.  
Cette erreur peut également se produire si l'analyse d'un objet S3 dépasse le quota de découverte de données sensibles pour un fichier individuel. Par exemple, la taille de stockage de l'objet dépasse le quota de taille pour ce type de fichier.  
Dans les deux cas, Macie ne peut pas terminer son analyse de l'objet S3 et le statut de l'analyse de l'objet est **ignoré** ()`SKIPPED`.

**Conseils de remédiation**  
Pour examiner cette erreur, téléchargez l'objet S3 et vérifiez le formatage et le contenu du fichier. Évaluez également le contenu du fichier par rapport aux quotas Macie pour la découverte de données sensibles.  
Si vous ne corrigez pas cette erreur, Macie essaiera d'analyser les autres objets du compartiment S3. Si Macie analyse un autre objet avec succès, Macie mettra à jour les données de couverture et les autres informations fournies sur le compartiment.

**Référence supplémentaire**  
Pour obtenir la liste des quotas de découverte de données sensibles, y compris les quotas pour certains types de fichiers, consultez[Quotas pour Macie](macie-quotas.md). Pour plus d'informations sur la façon dont Macie met à jour les scores de sensibilité et les autres informations qu'il fournit sur les compartiments S3, consultez. [Comment fonctionne la découverte automatique des données sensibles](discovery-asdd-how-it-works.md)

## Erreur de classification : chiffrement non valide
<a name="discovery-issues-classification-error-invalid-encryption"></a>

Ce type d'erreur de classification se produit si Macie tente d'analyser un objet dans un compartiment S3 et que l'objet est chiffré à l'aide d'une clé fournie par le client. L'objet utilise le chiffrement SSE-C, ce qui signifie que Macie ne peut ni récupérer ni analyser l'objet.

**Détails**  
Amazon S3 prend en charge plusieurs options de chiffrement pour les objets S3. Pour la plupart de ces options, Macie peut déchiffrer un objet en utilisant le rôle lié au service Macie pour votre compte. Cela dépend toutefois du type de chiffrement utilisé.  
Pour que Macie puisse déchiffrer un objet S3, celui-ci doit être chiffré avec une clé à laquelle Macie peut accéder et qu'il est autorisé à utiliser. Si un objet est chiffré à l'aide d'une clé fournie par le client, Macie ne peut pas fournir le matériel de clé requis pour récupérer l'objet sur Amazon S3. Par conséquent, Macie ne peut pas analyser l'objet et le statut de l'analyse de l'objet est **ignoré** ()`SKIPPED`.

**Conseils de remédiation**  
Pour corriger cette erreur, chiffrez les objets S3 avec des clés gérées ou AWS Key Management Service (AWS KMS) Amazon S3. Si vous préférez utiliser des AWS KMS clés, il peut s'agir de clés KMS AWS gérées ou de clés KMS gérées par le client que Macie est autorisé à utiliser.  
Pour chiffrer des objets S3 existants avec des clés auxquelles Macie peut accéder et utiliser, vous pouvez modifier les paramètres de chiffrement des objets. Pour chiffrer de nouveaux objets avec des clés auxquelles Macie peut accéder et utiliser, modifiez les paramètres de chiffrement par défaut du compartiment S3. Assurez-vous également que la politique du compartiment n'exige pas que les nouveaux objets soient chiffrés à l'aide d'une clé fournie par le client.  
Si vous ne corrigez pas cette erreur, Macie essaiera d'analyser les autres objets du compartiment S3. Si Macie analyse un autre objet avec succès, Macie mettra à jour les données de couverture et les autres informations fournies sur le compartiment.

**Référence supplémentaire**  
Pour plus d'informations sur les exigences et les options relatives à l'utilisation de Macie pour analyser des objets S3 chiffrés, consultez[Analyse des objets Amazon S3 chiffrés](discovery-supported-encryption-types.md). Pour plus d'informations sur les options et les paramètres de chiffrement pour les compartiments S3, consultez les sections [Protection des données par chiffrement](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingEncryption.html) et [Configuration du comportement de chiffrement côté serveur par défaut pour les compartiments S3 dans le guide de l'utilisateur](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html) d'*Amazon Simple Storage Service*.

## Erreur de classification : clé KMS non valide
<a name="discovery-issues-classification-error-invalid-key"></a>

Ce type d'erreur de classification se produit si Macie tente d'analyser un objet dans un compartiment S3 et que l'objet est chiffré avec une clé AWS Key Management Service (AWS KMS) qui n'est plus disponible. Macie ne peut pas récupérer et analyser l'objet.

**Détails**  
AWS KMS fournit des options pour désactiver et supprimer la gestion par AWS KMS keys le client. Si un objet S3 est chiffré avec une clé KMS désactivée, dont la suppression est prévue ou qui a été supprimée, Macie ne peut ni récupérer ni déchiffrer l'objet. Par conséquent, Macie ne peut pas analyser l'objet et le statut de l'analyse de l'objet est **ignoré** ()`SKIPPED`. Pour que Macie puisse analyser un objet chiffré, celui-ci doit être chiffré avec une clé à laquelle Macie peut accéder et qu'il est autorisé à utiliser.

**Conseils de remédiation**  
Pour corriger cette erreur, réactivez la clé applicable AWS KMS key ou annulez la suppression planifiée de la clé, en fonction de l'état actuel de la clé. Si la clé applicable a déjà été supprimée, cette erreur ne peut pas être corrigée.   
Pour déterminer lequel AWS KMS key a été utilisé pour chiffrer un objet S3, vous pouvez commencer par utiliser Macie pour vérifier les paramètres de chiffrement côté serveur du compartiment S3. Si les paramètres de chiffrement par défaut du compartiment sont configurés pour utiliser une clé KMS, les détails du compartiment indiquent quelle clé est utilisée. Vous pouvez ensuite vérifier l'état de cette clé. Vous pouvez également utiliser Amazon S3 pour vérifier les paramètres de chiffrement du compartiment et des objets individuels qu'il contient.  
Si vous ne corrigez pas cette erreur, Macie essaiera d'analyser les autres objets du compartiment S3. Si Macie analyse un autre objet avec succès, Macie mettra à jour les données de couverture et les autres informations fournies sur le compartiment.

**Référence supplémentaire**  
Pour plus d'informations sur l'utilisation de Macie pour vérifier les paramètres de chiffrement côté serveur d'un compartiment S3, consultez. [Examen des détails des compartiments S3](monitoring-s3-inventory-review.md#monitoring-s3-inventory-view-details) *Pour plus d'informations sur la réactivation AWS KMS key ou l'annulation de la suppression planifiée d'une clé, consultez les sections [Activation et désactivation de clés et [Suppression de clés](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html)](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html) dans le guide du AWS Key Management Service développeur.*

## Erreur de classification : autorisation refusée
<a name="discovery-issues-classification-error-permission-denied"></a>

Ce type d'erreur de classification se produit si Macie tente d'analyser un objet dans un compartiment S3 et qu'il ne parvient pas à récupérer ou à déchiffrer l'objet en raison des paramètres d'autorisation de l'objet ou des paramètres d'autorisation de la clé utilisée pour chiffrer l'objet. Macie ne peut pas récupérer et analyser l'objet.

**Détails**  
Cette erreur se produit généralement parce qu'un objet S3 est chiffré avec une clé gérée par le client AWS Key Management Service (AWS KMS) que Macie n'est pas autorisée à utiliser. Si un objet est chiffré et géré par un client AWS KMS key, la politique de la clé doit autoriser Macie à déchiffrer les données à l'aide de la clé.  
Cette erreur peut également se produire si les paramètres d'autorisation d'Amazon S3 empêchent Macie de récupérer un objet S3. La politique de compartiment pour le compartiment S3 peut restreindre l'accès à des objets de compartiment spécifiques ou autoriser uniquement certains principaux (utilisateurs, comptes, services ou autres entités) à accéder aux objets. La liste de contrôle d'accès (ACL) d'un objet peut également restreindre l'accès à celui-ci. Par conséquent, Macie pourrait ne pas être autorisé à accéder à l'objet.  
Dans les cas précédents, Macie ne peut pas récupérer et analyser l'objet, et le statut de l'analyse de l'objet est **ignoré** ()`SKIPPED`.

**Conseils de remédiation**  
Pour corriger cette erreur, déterminez si l'objet S3 est chiffré avec un compte géré AWS KMS key par le client. Si tel est le cas, assurez-vous que la politique de la clé autorise le rôle lié au service Macie (`AWSServiceRoleForAmazonMacie`) à déchiffrer les données avec la clé. La manière dont vous autorisez cet accès dépend du fait que le compte propriétaire possède AWS KMS key également le compartiment S3 qui stocke l'objet. Si le même compte possède la clé KMS et le bucket, un utilisateur du compte doit mettre à jour la politique de la clé. Si un compte possède la clé KMS et qu'un autre compte possède le compartiment, un utilisateur du compte propriétaire de la clé doit autoriser l'accès entre comptes à la clé.  
Vous pouvez générer automatiquement une liste de tous les clients gérés AWS KMS keys auxquels Macie doit accéder pour analyser les objets contenus dans les compartiments S3 de votre compte. Pour ce faire, exécutez le script AWS KMS Permission Analyzer, disponible dans le référentiel [Amazon Macie](https://github.com/aws-samples/amazon-macie-scripts) Scripts sur. GitHub Le script peut également générer un script supplémentaire de commandes AWS Command Line Interface (AWS CLI). Vous pouvez éventuellement exécuter ces commandes pour mettre à jour les paramètres de configuration et les politiques requis pour les clés KMS que vous spécifiez.
Si Macie est déjà autorisé à utiliser la clé applicable AWS KMS key ou si l'objet S3 n'est pas chiffré avec une clé KMS gérée par le client, assurez-vous que la politique du bucket autorise Macie à accéder à l'objet. Vérifiez également que l'ACL de l'objet autorise Macie à lire les données et les métadonnées de l'objet.   
Pour la politique du bucket, vous pouvez autoriser cet accès en ajoutant une condition pour le rôle lié au service Macie à la politique. La condition doit empêcher le rôle lié au service Macie de correspondre à la `Deny` restriction de la politique. Il peut le faire en utilisant la clé de contexte de condition `aws:PrincipalArn` globale et le nom de ressource Amazon (ARN) du rôle lié au service Macie pour votre compte.  
Pour l'ACL de l'objet, vous pouvez autoriser cet accès en collaborant avec le propriétaire de l'objet pour vous ajouter Compte AWS en tant que bénéficiaire avec `READ` des autorisations pour l'objet. Macie peut ensuite utiliser le rôle lié au service associé à votre compte pour récupérer et analyser l'objet. Pensez également à modifier les paramètres de propriété de l'objet pour le bucket. Vous pouvez utiliser ces paramètres ACLs pour désactiver tous les objets du compartiment et accorder des autorisations de propriété au compte propriétaire du compartiment.  
Si vous ne corrigez pas cette erreur, Macie essaiera d'analyser les autres objets du compartiment S3. Si Macie analyse un autre objet avec succès, Macie mettra à jour les données de couverture et les autres informations fournies sur le compartiment.

**Référence supplémentaire**  
Pour plus d'informations sur l'autorisation à Macie de déchiffrer des données gérées par un client AWS KMS key, consultez. [Permettre à Macie d'utiliser un système géré par le client AWS KMS key](discovery-supported-encryption-types.md#discovery-supported-encryption-cmk-configuration) Pour plus d'informations sur la mise à jour d'une politique de compartiment S3 afin de permettre à Macie d'accéder à un compartiment, consultez[Autoriser Macie à accéder aux compartiments et aux objets S3](monitoring-restrictive-s3-buckets.md).  
Pour plus d'informations sur la mise à jour d'une politique clé, consultez la section [Modification d'une politique clé](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) dans le *Guide du AWS Key Management Service développeur*. Pour plus d'informations sur l'utilisation d'objets S3 gérés par AWS KMS keys le client, consultez la section [Utilisation du chiffrement côté serveur avec des AWS KMS clés](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html) dans le guide de l'utilisateur d'*Amazon Simple Storage Service*.   
Pour plus d'informations sur l'utilisation des politiques relatives aux compartiments pour contrôler l'accès aux compartiments S3, consultez les [sections Contrôle d'accès](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html) et [Comment Amazon S3 autorise une demande](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-s3-evaluates-access-control.html) dans le guide de l'*utilisateur d'Amazon Simple Storage Service*. Pour plus d'informations sur l'utilisation ACLs ou les paramètres de propriété des objets pour contrôler l'accès aux objets S3, consultez [la section Gestion de l'accès ACLs](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acls.html) et [contrôle de la propriété des objets et désactivation ACLs de votre compartiment](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html) dans le *guide de l'utilisateur d'Amazon Simple Storage Service*.

## Inclassable
<a name="discovery-issues-unclassifiable"></a>

Ce problème indique que tous les objets d'un compartiment S3 sont stockés à l'aide de classes de stockage Amazon S3 non prises en charge ou de formats de fichiers ou de stockage non pris en charge. Macie ne peut analyser aucun objet dans le compartiment.

**Détails**  
Pour être éligible à la sélection et à l'analyse, un objet S3 doit utiliser une classe de stockage Amazon S3 prise en charge par Macie. L'objet doit également avoir une extension de nom de fichier pour un format de fichier ou de stockage pris en charge par Macie. Si un objet ne répond pas à ces critères, il est traité comme un objet *inclassable*. Macie n'essaie pas de récupérer ou d'analyser des données dans des objets inclassables.  
Si tous les objets d'un compartiment S3 sont des objets inclassables, le compartiment global est un compartiment *inclassable*. Macie ne peut pas effectuer de découverte automatique de données sensibles pour le compartiment.

**Conseils de remédiation**  
Pour résoudre ce problème, passez en revue les règles de configuration du cycle de vie et les autres paramètres qui déterminent les classes de stockage utilisées pour stocker les objets dans le compartiment S3. Envisagez d'ajuster ces paramètres pour utiliser les classes de stockage prises en charge par Macie. Vous pouvez également modifier la classe de stockage des objets existants dans le compartiment.  
Évaluez également les formats de fichier et de stockage des objets existants dans le compartiment S3. Pour analyser les objets, envisagez de porter les données, temporairement ou définitivement, vers de nouveaux objets utilisant un format pris en charge.  
Si des objets sont ajoutés au compartiment S3 et qu'ils utilisent une classe et un format de stockage pris en charge, Macie détectera les objets lors de la prochaine évaluation de votre inventaire de compartiments. Dans ce cas, Macie cessera de signaler que le compartiment est *inclassable* en termes de statistiques, de données de couverture et d'autres informations qu'il fournit sur vos données Amazon S3. En outre, les nouveaux objets seront analysés en priorité lors d'un cycle d'analyse ultérieur.

**Référence supplémentaire**  
Pour plus d'informations sur les classes de stockage Amazon S3 et les formats de fichiers et de stockage pris en charge par Macie, consultez[Classes et formats de stockage pris en charge](discovery-supported-storage.md). Pour plus d'informations sur les règles de configuration du cycle de vie et les options de classe de stockage proposées par Amazon S3, consultez les [sections Gestion du cycle de vie du stockage](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html) et [Utilisation des classes de stockage Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/storage-class-intro.html) dans le *guide de l'utilisateur d'Amazon Simple Storage Service*. 

# Ajustement des scores de sensibilité pour les compartiments S3
<a name="discovery-asdd-s3bucket-manage"></a>

Lorsque vous examinez et évaluez les statistiques, les données et les autres résultats de la découverte automatique de données sensibles, il peut arriver que vous souhaitiez affiner les évaluations de sensibilité de vos compartiments Amazon Simple Storage Service (Amazon S3). Vous souhaiterez peut-être également saisir les résultats des enquêtes que vous ou votre organisation effectuez pour des compartiments spécifiques. Si vous êtes l'administrateur Amazon Macie d'une organisation ou si vous possédez un compte Macie autonome, vous pouvez apporter ces modifications en ajustant le score de sensibilité et d'autres paramètres pour les compartiments individuels. Si vous avez un compte membre dans une organisation, contactez votre administrateur Macie pour ajuster les paramètres des buckets dont vous êtes propriétaire. Seul l'administrateur Macie de votre organisation peut ajuster ces paramètres pour vos buckets.

Si vous êtes administrateur Macie ou si vous possédez un compte Macie autonome, vous pouvez ajuster le score de sensibilité d'un compartiment S3 de la manière suivante :
+ **Attribuer un score de sensibilité** : par défaut, Macie calcule automatiquement le score de sensibilité d'un bucket. Le score est basé principalement sur la quantité de données sensibles que Macie a trouvées dans un compartiment et sur la quantité de données que Macie a analysées dans un compartiment. Pour de plus amples informations, veuillez consulter [Notation de sensibilité pour les compartiments S3](discovery-scoring-s3.md).

  Vous pouvez annuler le score calculé d'un bucket et attribuer manuellement le score maximum (*100*), qui applique également le label *Sensitive* au bucket. Dans ce cas, Macie arrête de procéder à la découverte automatique des données sensibles pour le compartiment, car les compartiments ayant un score de 100 sont exclus de toute analyse ultérieure. Pour calculer à nouveau le score automatiquement et reprendre le scan, modifiez à nouveau le paramètre.
+ **Exclure ou inclure les types de données sensibles dans le score de sensibilité** : s'il est calculé automatiquement, le score de sensibilité d'un compartiment est basé en partie sur la quantité de données sensibles que Macie a trouvées dans le compartiment. Cela tient principalement à la nature et au nombre de types de données sensibles découverts par Macie, ainsi qu'au nombre d'occurrences de chaque type. Par défaut, Macie inclut les occurrences de tous les types de données sensibles lorsqu'il calcule le score d'un bucket.

  Vous pouvez ajuster le calcul en excluant ou en incluant des types spécifiques de données sensibles dans le score d'un bucket. Par exemple, si Macie a détecté des adresses postales dans un bucket et que vous déterminez que cela est acceptable, vous pouvez exclure toutes les occurrences d'adresses postales du score du bucket. Si vous excluez un type de données sensibles, Macie continue d'inspecter le compartiment pour détecter ce type de données et de signaler les occurrences détectées. Toutefois, ces occurrences n'affectent pas le score du bucket. Pour inclure à nouveau un type de données sensibles dans le score, modifiez à nouveau le paramètre.

Vous pouvez également exclure un compartiment S3 des analyses ultérieures. Si vous excluez un compartiment, les statistiques de découverte de données sensibles existantes et les détails relatifs au compartiment sont conservés. Par exemple, le score de sensibilité actuel du bucket reste inchangé. Cependant, Macie arrête d'analyser les objets du compartiment lorsqu'il effectue une découverte automatique de données sensibles. Après avoir exclu un bucket, vous pouvez l'inclure à nouveau ultérieurement.

Si vous modifiez un paramètre qui affecte le score de sensibilité d'un compartiment S3, Macie commence immédiatement à recalculer le score. Macie met également à jour les statistiques pertinentes et les autres informations qu'il fournit sur le compartiment et sur l'ensemble de vos données Amazon S3. Par exemple, si vous attribuez le score maximum à un bucket, Macie augmente le nombre de buckets *sensibles* dans les statistiques agrégées.

**Pour ajuster le score de sensibilité ou d'autres paramètres d'un compartiment S3**  
Pour ajuster le score de sensibilité ou d'autres paramètres d'un compartiment S3, vous pouvez utiliser la console Amazon Macie ou l'API Amazon Macie.

------
#### [ Console ]

Suivez ces étapes pour ajuster le score de sensibilité ou un paramètre pour un compartiment S3 à l'aide de la console Amazon Macie.

1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Dans le volet de navigation, choisissez **S3 buckets (Compartiments S3)**. La page **des compartiments S3** affiche l'inventaire de vos compartiments.

   Par défaut, la page n'affiche pas les données relatives aux compartiments actuellement exclus des analyses. Si vous êtes l'administrateur Macie d'une organisation, elle n'affiche pas non plus les données des comptes pour lesquels la découverte automatique des données sensibles est actuellement désactivée. Pour afficher ces données, choisissez **X** dans le jeton de filtre **Est surveillé par la découverte automatique** situé sous le filtre.

1. Choisissez le compartiment S3 dont le paramètre doit être ajusté. Vous pouvez choisir le compartiment à l'aide de la vue tabulaire (![\[The table view button, which is a button that displays three black horizontal lines.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/btn-s3-table-view.png)) ou de la carte interactive (![\[The map view button, which is a button that displays four black squares.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/btn-s3-map-view.png)).

1. Dans le panneau de détails, effectuez l'une des opérations suivantes :
   + Pour annuler le score de sensibilité calculé et attribuer un score manuellement, activez l'option **Attribuer le score maximum** (![\[A toggle switch with a gray background and the toggle positioned to the left.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/tgl-gray-off.png)). Cela fait passer le score du bucket à *100* et applique le label *Sensitive* au bucket.
   + Pour attribuer un score de sensibilité que Macie calcule automatiquement, désactivez **Attribuer un score maximum** ()![\[A toggle switch with a blue background and the toggle positioned to the right.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/tgl-blue-on.png).
   + Pour exclure ou inclure des types spécifiques de données sensibles dans le score de sensibilité, choisissez l'onglet **Sensibilité**. Dans le tableau **des détections**, cochez la case correspondant au type de données sensibles à exclure ou à inclure. Ensuite, dans le menu **Actions**, choisissez **Exclure du score** pour exclure le type ou choisissez **Inclure dans le score** pour inclure le type.

     Dans le tableau, le champ **Type de données sensibles** indique l'identifiant des données gérées ou l'identifiant de données personnalisé qui a détecté les données. Pour un identifiant de données géré, il s'agit d'un identifiant unique (ID) qui décrit le type de données sensibles que l'identifiant est conçu pour détecter, par exemple, **USA\$1PASSPORT\$1NUMBER pour les numéros de passeport** américains. Pour plus de détails sur chaque identifiant de données gérées, consultez[Utilisation des identificateurs de données gérés](managed-data-identifiers.md).
   + Pour exclure le bucket des analyses ultérieures, activez **Exclure de la découverte automatique** (![\[A toggle switch with a gray background and the toggle positioned to the left.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/tgl-gray-off.png)).
   + Pour inclure le bucket dans les analyses suivantes, si vous l'avez précédemment exclu, désactivez **Exclure de la découverte automatique** (![\[A toggle switch with a blue background and the toggle positioned to the right.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/tgl-blue-on.png)).

------
#### [ API ]

Pour ajuster le score de sensibilité ou un paramètre d'un compartiment S3 par programmation, plusieurs options s'offrent à vous. L'option appropriée dépend de ce que vous souhaitez ajuster.

**Attribuer un score de sensibilité**  
Pour attribuer un score de sensibilité à un compartiment S3, utilisez l'[UpdateResourceProfile](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles.html)opération. Dans votre demande, utilisez le `resourceArn` paramètre pour spécifier le nom de ressource Amazon (ARN) du compartiment. Pour le `sensitivityScoreOverride` paramètre, effectuez l'une des opérations suivantes :  
+ Pour annuler le score calculé et attribuer manuellement le score maximum, spécifiez`100`.
+ Pour attribuer un score que Macie calcule automatiquement, omettez le paramètre. Si ce paramètre est nul, Macie calcule et attribue le score.
Si vous utilisez le AWS Command Line Interface (AWS CLI), exécutez la [update-resource-profile](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-resource-profile.html)commande pour attribuer un score de sensibilité à un compartiment S3. Dans votre demande, utilisez le `resource-arn` paramètre pour spécifier l'ARN du bucket. Omettez ou utilisez le `sensitivity-score-override` paramètre pour spécifier le score à attribuer.  
Si votre demande aboutit, Macie attribue le score spécifié et renvoie une réponse vide.

**Exclure ou inclure les types de données sensibles dans le score de sensibilité**  
Pour exclure ou inclure des types de données sensibles dans le score de sensibilité d'un compartiment S3, utilisez l'[UpdateResourceProfileDetections](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles-detections.html)opération. Lorsque vous utilisez cette opération, vous remplacez les paramètres d'inclusion et d'exclusion actuels pour le score d'un bucket. Par conséquent, il est conseillé de récupérer d'abord les paramètres actuels et de déterminer ceux que vous souhaitez conserver. Pour récupérer les paramètres actuels, utilisez l'[ListResourceProfileDetections](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles-detections.html)opération.  
Lorsque vous êtes prêt à mettre à jour les paramètres, utilisez le `resourceArn` paramètre pour spécifier l'ARN du compartiment S3. Pour le `suppressDataIdentifiers` paramètre, effectuez l'une des opérations suivantes :  
+ Pour exclure un type de données sensibles du score du bucket, utilisez le `type` paramètre pour spécifier le type d'identifiant de données qui a détecté les données, un identifiant de données gérées (`MANAGED`) ou un identifiant de données personnalisé (`CUSTOM`). Utilisez le `id` paramètre pour spécifier l'identifiant unique de l'identifiant de données géré ou personnalisé qui a détecté les données.
+ Pour inclure un type de données sensibles dans le score du bucket, ne spécifiez aucun détail sur l'identifiant de données géré ou personnalisé qui a détecté les données.
+ Pour inclure tous les types de données sensibles dans le score du bucket, ne spécifiez aucune valeur. Si la valeur du `suppressDataIdentifiers` paramètre est nulle (vide), Macie inclut tous les types de détections lorsqu'il calcule le score.
Si vous utilisez le AWS CLI, exécutez la [update-resource-profile-detections](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-resource-profile-detections.html)commande pour exclure ou inclure les types de données sensibles dans le score de sensibilité d'un compartiment S3. Utilisez le `resource-arn` paramètre pour spécifier l'ARN du bucket. Utilisez le `suppress-data-identifiers` paramètre pour spécifier les types de données sensibles à exclure ou à inclure dans le score du bucket. Pour d'abord récupérer et vérifier les paramètres actuels du bucket, exécutez la [list-resource-profile-detections](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-resource-profile-detections.html)commande.   
Si votre demande aboutit, Macie met à jour les paramètres et renvoie une réponse vide.

**Exclure ou inclure un compartiment S3 dans les analyses**  
Pour exclure ou inclure ultérieurement un compartiment S3 dans les analyses, utilisez l'[UpdateClassificationScope](https://docs.aws.amazon.com/macie/latest/APIReference/classification-scopes-id.html)opération. Ou, si vous utilisez le AWS CLI, exécutez la [update-classification-scope](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-classification-scope.html)commande. Pour plus de détails et d'exemples, voir[Exclure ou inclure les compartiments S3 dans la découverte automatique des données sensibles](discovery-asdd-account-configure.md#discovery-asdd-account-configure-s3buckets).

Les exemples suivants montrent comment utiliser le AWS CLI pour ajuster les paramètres individuels d'un compartiment S3. Ce premier exemple attribue manuellement le score de sensibilité maximal (`100`) à un compartiment. Il remplace le score calculé du bucket.

```
$ aws macie2 update-resource-profile --resource-arn arn:aws:s3:::amzn-s3-demo-bucket --sensitivity-score-override 100
```

Où se *arn:aws:s3:::amzn-s3-demo-bucket* trouve l'ARN du compartiment S3.

L'exemple suivant remplace le score de sensibilité d'un compartiment S3 par un score que Macie calcule automatiquement. Le bucket possède actuellement un score attribué manuellement qui remplace le score calculé. Cet exemple supprime cette dérogation en omettant le `sensitivity-score-override` paramètre dans la demande.

```
$ aws macie2 update-resource-profile --resource-arn arn:aws:s3:::amzn-s3-demo-bucket2
```

Où se *arn:aws:s3:::amzn-s3-demo-bucket2* trouve l'ARN du compartiment S3.

Les exemples suivants excluent certains types de données sensibles du score de sensibilité d'un compartiment S3. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.

```
$ aws macie2 update-resource-profile-detections \
--resource-arn arn:aws:s3:::amzn-s3-demo-bucket3 \
--suppress-data-identifiers '[{"type":"MANAGED","id":"ADDRESS"},{"type":"CUSTOM","id":"3293a69d-4a1e-4a07-8715-208ddexample"}]'
```

Cet exemple est formaté pour Microsoft Windows et utilise le caractère de continuation de ligne caret (^) pour améliorer la lisibilité.

```
C:\> aws macie2 update-resource-profile-detections ^
--resource-arn arn:aws:s3:::amzn-s3-demo-bucket3 ^
--suppress-data-identifiers=[{\"type\":\"MANAGED\",\"id\":\"ADDRESS\"},{\"type\":\"CUSTOM\",\"id\":\"3293a69d-4a1e-4a07-8715-208ddexample\"}]
```

Où :
+ *arn:aws:s3:::amzn-s3-demo-bucket3*est l'ARN du compartiment S3.
+ *ADDRESS*est l'identifiant unique de l'identifiant de données gérées qui a détecté un type de données sensibles à exclure (adresses postales).
+ *3293a69d-4a1e-4a07-8715-208ddexample*est l'identifiant unique de l'identifiant de données personnalisé qui a détecté un type de données sensibles à exclure.

La série d'exemples suivante inclut ultérieurement tous les types de données sensibles dans le score de sensibilité du compartiment S3. Il remplace les paramètres d'exclusion actuels pour le compartiment en spécifiant une valeur vide (nulle) pour le `suppress-data-identifiers` paramètre. Pour Linux, macOS ou Unix :

```
$ aws macie2 update-resource-profile-detections --resource-arn arn:aws:s3:::amzn-s3-demo-bucket3 --suppress-data-identifiers '[]'
```

Pour Microsoft Windows :

```
C:\> aws macie2 update-resource-profile-detections --resource-arn arn:aws:s3:::amzn-s3-demo-bucket3 --suppress-data-identifiers=[]
```

Où se *arn:aws:s3:::amzn-s3-demo-bucket3* trouve l'ARN du compartiment S3.

------

# Notation de sensibilité pour les compartiments S3
<a name="discovery-scoring-s3"></a>

Si la découverte automatique des données sensibles est activée, Amazon Macie calcule et attribue automatiquement un score de sensibilité à chaque compartiment à usage général Amazon Simple Storage Service (Amazon S3) qu'il surveille et analyse pour un compte ou une organisation. Un *score de sensibilité* est une représentation quantitative de la quantité de données sensibles qu'un compartiment S3 peut contenir. Sur la base de ce score, Macie attribue également une étiquette de sensibilité à chaque seau. Une *étiquette de sensibilité* est une représentation qualitative du score de sensibilité d'un compartiment. Ces valeurs peuvent servir de points de référence pour déterminer où les données sensibles peuvent se trouver dans votre patrimoine de données Amazon S3, ainsi que pour identifier et surveiller les risques de sécurité potentiels liés à ces données.

Par défaut, le score de sensibilité et l'étiquette d'un compartiment S3 reflètent les résultats des activités automatisées de découverte de données sensibles que Macie a effectuées jusqu'à présent pour le compartiment. Ils ne reflètent pas les résultats des tâches de découverte de données sensibles que vous créez et exécutez. En outre, ni le score ni le label n'impliquent ou n'indiquent de quelque manière que ce soit la criticité ou l'importance qu'un bucket ou les objets d'un bucket peuvent avoir pour vous ou votre organisation. Cependant, vous pouvez annuler le score calculé d'un bucket en attribuant manuellement le score maximum (*100*) au bucket. Cela attribue également l'étiquette *Sensitive* au compartiment. Pour annuler un score calculé, vous devez être l'administrateur Macie du compte propriétaire du bucket ou disposer d'un compte Macie autonome.

**Topics**
+ [Dimensions et plages de notation de sensibilité](#discovery-scoring-s3-dimensions)
+ [Surveillance des scores de sensibilité](#discovery-scoring-s3-monitoring)

## Dimensions et plages de notation de sensibilité
<a name="discovery-scoring-s3-dimensions"></a>

S'il est calculé par Amazon Macie, le score de sensibilité d'un compartiment S3 est une mesure quantitative de l'intersection de deux dimensions principales : 
+ La quantité de données sensibles que Macie a trouvées dans le compartiment. Cela tient principalement à la nature et au nombre de types de données sensibles que Macie a trouvés dans le compartiment, ainsi qu'au nombre d'occurrences de chaque type.
+ La quantité de données que Macie a analysées dans le compartiment. Cela provient principalement du nombre d'objets uniques analysés par Macie dans le compartiment par rapport au nombre total d'objets uniques dans le compartiment. 

Le score de sensibilité d'un compartiment S3 détermine également l'étiquette de sensibilité que Macie attribue au compartiment. *L'étiquette de sensibilité est une représentation qualitative du score, par exemple, *Sensible ou Non sensible*.* Sur la console Amazon Macie, le score de sensibilité d'un bucket détermine également la couleur que Macie utilise pour représenter le bucket dans les visualisations de données, comme le montre l'image suivante.

![\[Le spectre de couleurs pour les scores de sensibilité : teintes bleues pour 1 à 49, teintes rouges pour 51 à 100 et gris pour -1.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/sensitivity-scoring-spectrum.png)


Les scores de sensibilité vont de *-1* à *100*, comme décrit dans le tableau suivant. Pour évaluer les entrées dans le score d'un compartiment S3, vous pouvez vous référer aux statistiques de découverte de données sensibles et aux autres informations fournies par Macie à propos du compartiment. 


| Score de sensibilité | Étiquette de sensibilité | Informations supplémentaires | 
| --- | --- | --- | 
| -1 | Erreur de classification |  Macie n'a encore réussi à analyser aucun des objets du compartiment en raison d'erreurs de classification au niveau des objets (problèmes liés aux paramètres des autorisations au niveau des objets, au contenu des objets ou aux quotas).  Lorsque Macie a essayé d'analyser un ou plusieurs objets du compartiment, des erreurs se sont produites. Par exemple, un objet est un fichier mal formé ou un objet est chiffré avec une clé à laquelle Macie ne peut pas accéder ou n'est pas autorisée à utiliser. Les données de couverture du compartiment peuvent vous aider à étudier et à corriger les erreurs. Pour de plus amples informations, veuillez consulter [Évaluation de la couverture de la découverte automatique des données sensibles](discovery-coverage.md). Macie continuera d'essayer d'analyser les objets contenus dans le compartiment. Si Macie analyse un objet avec succès, Macie mettra à jour le score de sensibilité et l'étiquette du bucket pour refléter les résultats de l'analyse.  | 
| 1-49 | Non sensible |  Dans cette fourchette, un score plus élevé, *49* par exemple, indique que Macie a analysé relativement peu d'objets dans le compartiment. Un score inférieur, tel que *1*, indique que Macie a analysé de nombreux objets du compartiment (par rapport au nombre total d'objets contenus dans le compartiment) et a détecté relativement peu de types et d'occurrences de données sensibles dans ces objets. Un score de *1* peut également indiquer que le compartiment ne stocke aucun objet ou que tous les objets du compartiment contiennent zéro (0) octet de données. Les statistiques relatives aux objets figurant dans les détails du compartiment peuvent vous aider à déterminer si tel est le cas. Pour de plus amples informations, veuillez consulter [Consulter les détails du bucket S3](discovery-asdd-results-s3-inventory-details.md).  | 
| 50 | Pas encore analysé |  Macie n'a pas encore essayé d'analyser ou d'analyser aucun des objets du compartiment. Macie attribue automatiquement ce score lorsque la découverte automatique est initialement activée ou qu'un compartiment est ajouté à l'inventaire des compartiments d'un compte. Dans une organisation, un bucket peut également avoir ce score si la découverte automatique n'a jamais été activée pour le compte propriétaire du bucket. Un score de *50* peut également indiquer que les paramètres d'autorisation du bucket empêchent Macie d'accéder au bucket ou aux objets du bucket. Cela est généralement dû à une politique de compartiment restrictive. Les détails du bucket peuvent vous aider à déterminer si c'est le cas, car Macie ne peut fournir qu'un sous-ensemble d'informations sur le bucket. Pour plus d'informations sur la manière de résoudre ce problème, consultez[Autoriser Macie à accéder aux compartiments et aux objets S3](monitoring-restrictive-s3-buckets.md).  | 
| 51-99 | Sensible |  Dans cette fourchette, un score plus élevé, tel que *99*, indique que Macie a analysé de nombreux objets du compartiment (par rapport au nombre total d'objets contenus dans le compartiment) et détecté de nombreux types et occurrences de données sensibles dans ces objets. Un score inférieur, tel que *51*, indique que Macie a analysé un nombre modéré d'objets dans le compartiment (par rapport au nombre total d'objets dans le compartiment) et détecté au moins quelques types et occurrences de données sensibles dans ces objets.  | 
| 100 | Sensible |  Le score a été attribué manuellement au compartiment, remplaçant le score calculé. Macie n'attribue pas ce score aux buckets.  | 

## Surveillance des scores de sensibilité
<a name="discovery-scoring-s3-monitoring"></a>

Lorsque la découverte automatique des données sensibles est initialement activée pour un compte, Amazon Macie attribue automatiquement un score de sensibilité de *50* à chaque compartiment S3 détenu par le compte. Macie attribue également ce score à un compartiment lorsque celui-ci est ajouté à l'inventaire des compartiments d'un compte. Sur la base de ce score, l'étiquette de sensibilité de chaque seau *n'est pas encore analysée*. L'exception est un compartiment vide, c'est-à-dire un compartiment qui ne stocke aucun objet ou dans lequel tous les objets du compartiment contiennent zéro (0) octet de données. Si tel est le cas pour un bucket, Macie attribue un score de *1* au bucket et l'étiquette de sensibilité du bucket est *Non* sensible.

Au fur et à mesure que la découverte automatique des données sensibles progresse chaque jour, Macie met à jour les scores de sensibilité et les étiquettes des compartiments S3 afin de refléter les résultats de son analyse. Par exemple :
+ Si Macie ne trouve aucune donnée sensible dans un objet, Macie diminue le score de sensibilité du compartiment et met à jour l'étiquette de sensibilité si nécessaire.
+ Si Macie trouve des données sensibles dans un objet, Macie augmente le score de sensibilité du compartiment et met à jour l'étiquette de sensibilité si nécessaire.
+ Si Macie trouve des données sensibles dans un objet qui est ensuite modifié, Macie supprime les données sensibles détectées pour l'objet du score de sensibilité du compartiment et met à jour l'étiquette de sensibilité si nécessaire.
+ Si Macie trouve des données sensibles dans un objet qui est ensuite supprimé, Macie supprime les données sensibles détectées pour l'objet du score de sensibilité du compartiment et met à jour l'étiquette de sensibilité si nécessaire.
+ Si un objet est ajouté à un compartiment qui était auparavant vide et que Macie trouve des données sensibles dans l'objet, Macie augmente le score de sensibilité du compartiment et met à jour l'étiquette de sensibilité si nécessaire.
+ Si les paramètres d'autorisation d'un bucket empêchent Macie d'accéder ou de récupérer des informations sur le bucket ou les objets du bucket, Macie modifie le score de sensibilité du bucket à *50* et change l'étiquette de sensibilité du bucket sur *Non* encore analysé.

Les résultats d'analyse peuvent commencer à apparaître dans les 48 heures suivant l'activation de la découverte automatique des données sensibles pour un compte.

Si vous êtes l'administrateur Macie d'une organisation ou si vous possédez un compte Macie autonome, vous pouvez ajuster les paramètres de score de sensibilité pour votre organisation ou votre compte :
+ Pour ajuster les paramètres pour les analyses ultérieures de tous les compartiments S3, modifiez les paramètres de votre compte. Vous pouvez commencer à inclure ou à exclure des identifiants de données gérés spécifiques, des identifiants de données personnalisés ou des listes d'autorisation. Vous pouvez également exclure des buckets spécifiques. Pour de plus amples informations, veuillez consulter [Configuration des paramètres de découverte automatique](discovery-asdd-account-configure.md).
+ Pour ajuster les paramètres des compartiments S3 individuels, modifiez les paramètres de chaque compartiment. Vous pouvez inclure ou exclure des types spécifiques de données sensibles du score d'un bucket. Vous pouvez également spécifier s'il convient d'attribuer un score calculé automatiquement à un bucket. Pour de plus amples informations, veuillez consulter [Ajustement des scores de sensibilité pour les compartiments S3](discovery-asdd-s3bucket-manage.md).

Si vous désactivez la découverte automatique des données sensibles, l'effet varie en fonction des scores de sensibilité et des étiquettes existants. Si vous le désactivez pour le compte d'un membre d'une organisation, les scores et étiquettes existants sont conservés pour les compartiments S3 détenus par le compte. Si vous le désactivez pour l'ensemble d'une organisation ou pour un compte Macie autonome, les scores et labels existants ne sont conservés que pendant 30 jours. Au bout de 30 jours, Macie réinitialise les scores et les étiquettes pour tous les compartiments détenus par l'organisation ou le compte. Si un compartiment contient des objets, Macie change le score à *50* et attribue le label *Pas encore analysé* au compartiment. Si un compartiment est vide, Macie change le score à *1* et attribue le label *Non sensible* au compartiment. Après cette réinitialisation, Macie arrête de mettre à jour les scores de sensibilité et les étiquettes des compartiments, sauf si vous réactivez la découverte automatique des données sensibles pour l'organisation ou le compte.

# Paramètres par défaut pour la découverte automatique des données sensibles
<a name="discovery-asdd-settings-defaults"></a>

Si la découverte automatique des données sensibles est activée, Amazon Macie sélectionne et analyse automatiquement des exemples d'objets provenant de tous les compartiments à usage général Amazon Simple Storage Service (Amazon S3) pour votre compte. Si vous êtes l'administrateur Macie d'une organisation, cela inclut par défaut les compartiments S3 que possèdent vos comptes membres. 

Si vous êtes un administrateur Macie ou si vous possédez un compte Macie autonome, vous pouvez affiner la portée des analyses en excluant des compartiments S3 spécifiques de la découverte automatique de données sensibles. Vous pouvez le faire de deux manières : en modifiant les paramètres de votre compte et en modifiant les paramètres des compartiments individuels. En tant qu'administrateur Macie, vous pouvez également activer ou désactiver la découverte automatique des données sensibles pour les comptes individuels de votre organisation.

Par défaut, Macie analyse les objets S3 en utilisant uniquement l'ensemble d'identifiants de données gérés que nous recommandons pour la découverte automatique des données sensibles. Macie n'utilise aucun identifiant de données personnalisé ni n'autorise les listes que vous avez définies. Si vous êtes un administrateur Macie ou si vous avez un compte Macie autonome, vous pouvez personnaliser les analyses en configurant Macie pour qu'il utilise des identifiants de données gérés spécifiques, des identifiants de données personnalisés et des listes d'autorisation. Vous pouvez le faire en modifiant les paramètres de votre compte. 

Pour plus d'informations sur la modification de vos paramètres, consultez[Configuration des paramètres pour la découverte automatique des données sensibles](discovery-asdd-account-configure.md).

**Topics**
+ [Identifiants de données gérées par défaut](#discovery-asdd-settings-defaults-mdis)
+ [Mises à jour des paramètres par défaut](#discovery-asdd-mdis-default-updates)

## Identifiants de données gérés par défaut pour la découverte automatique des données sensibles
<a name="discovery-asdd-settings-defaults-mdis"></a>

Par défaut, Amazon Macie analyse les objets S3 en utilisant uniquement l'ensemble d'identifiants de données gérés que nous recommandons pour la découverte automatique de données sensibles. Cet ensemble par défaut d'identifiants de données gérées est conçu pour détecter les catégories et types courants de données sensibles. Sur la base de nos recherches, il peut détecter les catégories générales et les types de données sensibles tout en optimisant vos résultats en réduisant le bruit.

L'ensemble par défaut est dynamique. Lorsque nous publions de nouveaux identifiants de données gérées, nous les ajoutons à l'ensemble par défaut s'ils sont susceptibles d'optimiser davantage les résultats de votre découverte automatisée de données sensibles. Au fil du temps, nous pouvons également ajouter ou supprimer des identifiants de données gérées existants de l'ensemble. La suppression d'un identifiant de données géré n'affecte pas les statistiques de découverte de données sensibles existantes ni les détails relatifs à vos compartiments S3. Par exemple, si nous supprimons l'identifiant des données gérées pour un type de données sensibles précédemment détectées par Macie dans un bucket, Macie continue de signaler ces détections. Si nous ajoutons ou supprimons un identifiant de données gérées dans l'ensemble par défaut, nous mettons à jour cette page pour indiquer la nature et le moment de la modification. Pour recevoir des alertes automatiques concernant ces modifications, vous pouvez vous abonner au flux RSS sur la page d'[historique des documents Macie](doc-history.md).

Les rubriques suivantes répertorient les identificateurs de données gérés actuellement dans l'ensemble par défaut, organisés par catégorie et type de données sensibles. Ils spécifient l'identifiant unique (ID) pour chaque identifiant de données gérées de l'ensemble. Cet identifiant décrit le type de données sensibles qu'un identifiant de données géré est conçu pour détecter, par exemple : `PGP_PRIVATE_KEY` pour les clés privées PGP et `USA_PASSPORT_NUMBER` pour les numéros de passeport américains. Si vous modifiez vos paramètres de découverte automatique des données sensibles, vous pouvez utiliser cet identifiant pour exclure explicitement un identifiant de données gérées des analyses ultérieures.

**Topics**
+ [Informations d’identification](#discovery-asdd-settings-defaults-mdis-credentials)
+ [Informations financières](#discovery-asdd-settings-defaults-mdis-financial)
+ [données d'identification personnelle (PII)](#discovery-asdd-settings-defaults-mdis-pii)

 Pour plus de détails sur les identifiants de données gérées spécifiques ou pour une liste complète de tous les identifiants de données gérées actuellement fournis par Macie, consultez. [Utilisation des identificateurs de données gérés](managed-data-identifiers.md)

### Informations d’identification
<a name="discovery-asdd-settings-defaults-mdis-credentials"></a>

Pour détecter les occurrences de données d'identification dans les objets S3, Macie utilise par défaut les identifiants de données gérés suivants.


| Type de données sensibles | ID d’identifiant de données géré | 
| --- | --- | 
| AWS clé d'accès secrète | AWS\$1CREDENTIALS | 
| En-tête d'autorisation HTTP Basic | HTTP\$1BASIC\$1AUTH\$1HEADER | 
| Clé privée OpenSSH | OPENSSH\$1PRIVATE\$1KEY | 
| Clé privée PGP | PGP\$1PRIVATE\$1KEY | 
| Clé privée selon la norme PKCS (Public Key Cryptography Standard) | PKCS | 
| Clé privée PuTTY | PUTTY\$1PRIVATE\$1KEY | 

### Informations financières
<a name="discovery-asdd-settings-defaults-mdis-financial"></a>

Pour détecter les occurrences d'informations financières dans les objets S3, Macie utilise par défaut les identifiants de données gérés suivants.


| Type de données sensibles | ID d’identifiant de données géré | 
| --- | --- | 
| Données relatives à la bande magnétique des cartes de crédit | CREDIT\$1CARD\$1MAGNETIC\$1STRIPE | 
| Numéro de carte de crédit | CREDIT\$1CARD\$1NUMBER(pour les numéros de carte de crédit situés à proximité d'un mot clé) | 

### données d'identification personnelle (PII)
<a name="discovery-asdd-settings-defaults-mdis-pii"></a>

Pour détecter les occurrences d'informations personnelles identifiables (PII) dans les objets S3, Macie utilise par défaut les identifiants de données gérés suivants.


| Type de données sensibles | ID d’identifiant de données géré | 
| --- | --- | 
| Numéro d'identification du permis de conduire | CANADA\$1DRIVERS\$1LICENSE, DRIVERS\$1LICENSE(pour les États-Unis),  UK\$1DRIVERS\$1LICENSE | 
| Numéro de liste électorale | UK\$1ELECTORAL\$1ROLL\$1NUMBER | 
| Numéro d'identification nationale | FRANCE\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, GERMANY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, SPAIN\$1DNI\$1NUMBER | 
| Numéro d'assurance nationale (NINO) | UK\$1NATIONAL\$1INSURANCE\$1NUMBER | 
| Numéro de passeport | CANADA\$1PASSPORT\$1NUMBER, FRANCE\$1PASSPORT\$1NUMBER, GERMANY\$1PASSPORT\$1NUMBER, ITALY\$1PASSPORT\$1NUMBER, SPAIN\$1PASSPORT\$1NUMBER, UK\$1PASSPORT\$1NUMBER, USA\$1PASSPORT\$1NUMBER | 
| Numéro de sécurité sociale | CANADA\$1SOCIAL\$1INSURANCE\$1NUMBER | 
| Numéro de sécurité sociale | SPAIN\$1SOCIAL\$1SECURITY\$1NUMBER, USA\$1SOCIAL\$1SECURITY\$1NUMBER | 
| Numéro d'identification ou de référence du contribuable | AUSTRALIA\$1TAX\$1FILE\$1NUMBER, BRAZIL\$1CPF\$1NUMBER, FRANCE\$1TAX\$1IDENTIFICATION\$1NUMBER, GERMANY\$1TAX\$1IDENTIFICATION\$1NUMBER, SPAIN\$1NIE\$1NUMBER, SPAIN\$1NIF\$1NUMBER, SPAIN\$1TAX\$1IDENTIFICATION\$1NUMBER, USA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER | 

## Mises à jour des paramètres par défaut pour la découverte automatique des données sensibles
<a name="discovery-asdd-mdis-default-updates"></a>

Le tableau suivant décrit les modifications apportées aux paramètres qu'Amazon Macie utilise par défaut pour la découverte automatique des données sensibles. Pour recevoir des alertes automatiques concernant ces modifications, abonnez-vous au flux RSS sur la page d'[historique des documents Macie](doc-history.md).


| Modifier | Description | Date | 
| --- | --- | --- | 
|  Implémentation d'un nouvel ensemble dynamique d'identifiants de données gérés par défaut  |  Les nouvelles configurations de découverte automatique des données sensibles sont désormais basées sur un [ensemble dynamique par défaut d'identifiants de données gérées](#discovery-asdd-settings-defaults-mdis). Si vous activez la découverte automatique des données sensibles pour la première fois à cette date ou après cette date, votre configuration est basée sur l'ensemble dynamique. Si vous avez activé la découverte automatique des données sensibles pour la première fois avant cette date, votre configuration est basée sur un ensemble différent d'identifiants de données gérées. Pour plus d'informations, consultez les notes après ce tableau.  | 02/08/2023 | 
|  Disponibilité générale  |  Première version de la découverte automatique des données sensibles.  |  28 novembre 2022  | 

Si vous avez initialement activé la découverte automatique des données sensibles avant le 2 août 2023, votre configuration n'est pas basée sur l'ensemble dynamique d'identifiants de données gérées par défaut. Il est plutôt basé sur un ensemble statique d'identifiants de données gérées que nous avons définis pour la version initiale de la découverte automatique des données sensibles, comme indiqué dans le tableau ci-dessous.

Pour déterminer à quel moment vous avez initialement activé la découverte automatique des données sensibles, vous pouvez utiliser la console Amazon Macie : choisissez **Découverte automatique des données sensibles** dans le volet de navigation, puis reportez-vous à la date d'activation dans la section **État**. Vous pouvez également le faire par programmation : utilisez le [GetAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html)fonctionnement de l'API Amazon Macie et référez-vous à la valeur du champ. `firstEnabledAt` Si la date est antérieure au 2 août 2023 et que vous souhaitez commencer à utiliser l'ensemble dynamique d'identifiants de données gérés par défaut, contactez AWS Support pour obtenir de l'aide.

Le tableau suivant répertorie tous les identificateurs de données gérées figurant dans l'ensemble statique. Le tableau est d'abord trié par catégorie de données sensibles, puis par type de données sensibles. Pour plus de détails sur les identificateurs de données gérés spécifiques, consultez[Utilisation des identificateurs de données gérés](managed-data-identifiers.md).


| Catégorie de données sensibles | Type de données sensibles | ID d’identifiant de données géré | 
| --- | --- | --- | 
| Informations d’identification | AWS clé d'accès secrète | AWS\$1CREDENTIALS | 
| Informations d’identification | En-tête d'autorisation HTTP Basic | HTTP\$1BASIC\$1AUTH\$1HEADER | 
| Informations d’identification | Clé privée OpenSSH | OPENSSH\$1PRIVATE\$1KEY | 
| Informations d’identification | Clé privée PGP | PGP\$1PRIVATE\$1KEY | 
| Informations d’identification | Clé privée selon la norme PKCS (Public Key Cryptography Standard) | PKCS | 
| Informations d’identification | Clé privée PuTTY | PUTTY\$1PRIVATE\$1KEY | 
| Informations financières | Numéro de compte bancaire | BANK\$1ACCOUNT\$1NUMBER(pour les numéros de comptes bancaires canadiens et américains), FRANCE\$1BANK\$1ACCOUNT\$1NUMBER, GERMANY\$1BANK\$1ACCOUNT\$1NUMBER, ITALY\$1BANK\$1ACCOUNT\$1NUMBER, SPAIN\$1BANK\$1ACCOUNT\$1NUMBER, UK\$1BANK\$1ACCOUNT\$1NUMBER | 
| Informations financières | Date d’expiration de la carte de crédit | CREDIT\$1CARD\$1EXPIRATION | 
| Informations financières | Données relatives à la bande magnétique des cartes de crédit | CREDIT\$1CARD\$1MAGNETIC\$1STRIPE | 
| Informations financières | Numéro de carte de crédit | CREDIT\$1CARD\$1NUMBER(pour les numéros de carte de crédit situés à proximité d'un mot clé) | 
| Informations financières | Code de vérification de carte de crédit | CREDIT\$1CARD\$1SECURITY\$1CODE | 
| Informations personnelles : Informations médicales personnelles (PHI) | Numéro d'enregistrement de DEA (Drug Enforcement Agency) | US\$1DRUG\$1ENFORCEMENT\$1AGENCY\$1NUMBER | 
| Informations personnelles : PHI | Numéro de règlement de sécurité sociale (HICN) | USA\$1HEALTH\$1INSURANCE\$1CLAIM\$1NUMBER | 
| Informations personnelles : PHI | Numéro d'assurance maladie ou d'identification médicale | CANADA\$1HEALTH\$1NUMBER, EUROPEAN\$1HEALTH\$1INSURANCE\$1CARD\$1NUMBER, FINLAND\$1EUROPEAN\$1HEALTH\$1INSURANCE\$1NUMBER, FRANCE\$1HEALTH\$1INSURANCE\$1NUMBER, UK\$1NHS\$1NUMBER, USA\$1MEDICARE\$1BENEFICIARY\$1IDENTIFIER | 
| Informations personnelles : PHI | Code du système de codage des procédures communes pour les soins de santé (HCPCS) | USA\$1HEALTHCARE\$1PROCEDURE\$1CODE | 
| Informations personnelles : PHI | Code national des médicaments (NCD) | USA\$1NATIONAL\$1DRUG\$1CODE | 
| Informations personnelles : PHI | Identifiant de fournisseur national (NPI) | USA\$1NATIONAL\$1PROVIDER\$1IDENTIFIER | 
| Informations personnelles : PHI | Identifiant unique de l'appareil (UDI) | MEDICAL\$1DEVICE\$1UDI | 
| Informations personnelles : informations personnelles identifiables (PII) | Date de naissance | DATE\$1OF\$1BIRTH | 
| Informations personnelles : PII | Numéro d'identification du permis de conduire | AUSTRALIA\$1DRIVERS\$1LICENSE, AUSTRIA\$1DRIVERS\$1LICENSE, BELGIUM\$1DRIVERS\$1LICENSE, BULGARIA\$1DRIVERS\$1LICENSE, CANADA\$1DRIVERS\$1LICENSE, CROATIA\$1DRIVERS\$1LICENSE, CYPRUS\$1DRIVERS\$1LICENSE, CZECHIA\$1DRIVERS\$1LICENSE, DENMARK\$1DRIVERS\$1LICENSE, DRIVERS\$1LICENSE(pour les États-Unis), ESTONIA\$1DRIVERS\$1LICENSE, FINLAND\$1DRIVERS\$1LICENSE, FRANCE\$1DRIVERS\$1LICENSE, GERMANY\$1DRIVERS\$1LICENSE, GREECE\$1DRIVERS\$1LICENSE, HUNGARY\$1DRIVERS\$1LICENSE, IRELAND\$1DRIVERS\$1LICENSE, ITALY\$1DRIVERS\$1LICENSE, LATVIA\$1DRIVERS\$1LICENSE, LITHUANIA\$1DRIVERS\$1LICENSE, LUXEMBOURG\$1DRIVERS\$1LICENSE, MALTA\$1DRIVERS\$1LICENSE, NETHERLANDS\$1DRIVERS\$1LICENSE, POLAND\$1DRIVERS\$1LICENSE, PORTUGAL\$1DRIVERS\$1LICENSE, ROMANIA\$1DRIVERS\$1LICENSE, SLOVAKIA\$1DRIVERS\$1LICENSE, SLOVENIA\$1DRIVERS\$1LICENSE, SPAIN\$1DRIVERS\$1LICENSE, SWEDEN\$1DRIVERS\$1LICENSE, UK\$1DRIVERS\$1LICENSE | 
| Informations personnelles : PII | Numéro de liste électorale | UK\$1ELECTORAL\$1ROLL\$1NUMBER | 
| Informations personnelles : PII | Nom complet | NAME | 
| Informations personnelles : PII | Coordonnées du système de positionnement mondial (GPS) | LATITUDE\$1LONGITUDE | 
| Informations personnelles : PII | Adresse postale | ADDRESS, BRAZIL\$1CEP\$1CODE | 
| Informations personnelles : PII | Numéro d'identification nationale | BRAZIL\$1RG\$1NUMBER, FRANCE\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, GERMANY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, SPAIN\$1DNI\$1NUMBER | 
| Informations personnelles : PII | Numéro d'assurance nationale (NINO) | UK\$1NATIONAL\$1INSURANCE\$1NUMBER | 
| Informations personnelles : PII | Numéro de passeport | CANADA\$1PASSPORT\$1NUMBER, FRANCE\$1PASSPORT\$1NUMBER, GERMANY\$1PASSPORT\$1NUMBER, ITALY\$1PASSPORT\$1NUMBER, SPAIN\$1PASSPORT\$1NUMBER, UK\$1PASSPORT\$1NUMBER, USA\$1PASSPORT\$1NUMBER | 
| Informations personnelles : PII | Numéro de résidence permanente | CANADA\$1NATIONAL\$1IDENTIFICATION\$1NUMBER | 
| Informations personnelles : PII | Numéro de téléphone | BRAZIL\$1PHONE\$1NUMBER, FRANCE\$1PHONE\$1NUMBER, GERMANY\$1PHONE\$1NUMBER, ITALY\$1PHONE\$1NUMBER, PHONE\$1NUMBER(pour le Canada et les États-Unis), SPAIN\$1PHONE\$1NUMBER, UK\$1PHONE\$1NUMBER | 
| Informations personnelles : PII | Numéro de sécurité sociale | CANADA\$1SOCIAL\$1INSURANCE\$1NUMBER | 
| Informations personnelles : PII | Numéro de sécurité sociale | SPAIN\$1SOCIAL\$1SECURITY\$1NUMBER, USA\$1SOCIAL\$1SECURITY\$1NUMBER | 
| Informations personnelles : PII | Numéro d'identification ou de référence du contribuable | AUSTRALIA\$1TAX\$1FILE\$1NUMBER, BRAZIL\$1CNPJ\$1NUMBER, BRAZIL\$1CPF\$1NUMBER, FRANCE\$1TAX\$1IDENTIFICATION\$1NUMBER, GERMANY\$1TAX\$1IDENTIFICATION\$1NUMBER, SPAIN\$1NIE\$1NUMBER, SPAIN\$1NIF\$1NUMBER, SPAIN\$1TAX\$1IDENTIFICATION\$1NUMBER, UK\$1TAX\$1IDENTIFICATION\$1NUMBER, USA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER | 
| Informations personnelles : PII | Numéro d’identification de véhicule (VIN) | VEHICLE\$1IDENTIFICATION\$1NUMBER | 

# Exécution de tâches de découverte de données sensibles
<a name="discovery-jobs"></a>

Avec Amazon Macie, vous pouvez créer et exécuter des tâches de découverte de données sensibles afin d'automatiser la découverte, la journalisation et le reporting des données sensibles dans les compartiments à usage général Amazon Simple Storage Service (Amazon S3). Une *tâche de découverte de données sensibles* est une série de tâches de traitement et d'analyse automatisées que Macie exécute pour détecter et signaler les données sensibles dans les objets Amazon S3. Chaque tâche fournit des rapports détaillés sur les données sensibles trouvées par Macie et sur les analyses effectuées par Macie. En créant et en exécutant des tâches, vous pouvez créer et gérer une vue complète des données que votre organisation stocke dans Amazon S3 et des risques de sécurité ou de conformité associés à ces données.

Pour vous aider à respecter et à maintenir la conformité à vos exigences en matière de sécurité et de confidentialité des données, Macie propose plusieurs options pour planifier et définir l'étendue d'une tâche. Vous pouvez configurer une tâche pour qu'elle ne soit exécutée qu'une seule fois pour une analyse et une évaluation à la demande, ou de manière récurrente pour une analyse, une évaluation et une surveillance périodiques. Vous définissez également l'étendue et la profondeur de l'analyse d'une tâche, qu'il s'agisse de compartiments S3 spécifiques que vous sélectionnez ou de compartiments répondant à des critères spécifiques. Vous pouvez éventuellement affiner la portée de cette analyse en choisissant des options supplémentaires. Les options incluent des critères personnalisés qui découlent des propriétés des objets S3, telles que les balises, les préfixes et la date de dernière modification d'un objet.

Pour chaque tâche, vous spécifiez également les types de données sensibles que vous souhaitez que Macie détecte et signale. Vous pouvez configurer une tâche pour utiliser les [identifiants de données gérés](managed-data-identifiers.md) fournis par Macie, les [identifiants de données personnalisés](custom-data-identifiers.md) que vous définissez ou une combinaison des deux. En sélectionnant des identifiants de données gérés et personnalisés spécifiques pour une tâche, vous pouvez adapter l'analyse pour qu'elle se concentre sur des types spécifiques de données sensibles. Pour affiner l'analyse, vous pouvez également configurer une tâche afin d'utiliser des [listes d'autorisation](allow-lists.md). Les listes d'autorisations spécifient le texte et les modèles de texte que vous souhaitez que Macie ignore, généralement des exceptions de données sensibles pour les scénarios ou l'environnement particuliers de votre organisation.

Chaque tâche produit des enregistrements des données sensibles trouvées par Macie et des analyses effectuées par Macie, c'est-à-dire les découvertes de *données sensibles et les résultats* de *découverte de données sensibles*. Une *découverte de données sensibles* est un rapport détaillé des données sensibles que Macie a trouvées dans un objet S3. Un *résultat de découverte de données sensibles* est un enregistrement qui enregistre les détails de l'analyse d'un objet S3. Macie crée un résultat de découverte de données sensibles pour chaque objet que vous configurez une tâche à analyser. Cela inclut les objets dans lesquels Macie ne trouve pas de données sensibles et ne produisent donc pas de données sensibles, ainsi que les objets que Macie ne peut pas analyser en raison d'erreurs ou de problèmes. Chaque type d'enregistrement est conforme à un schéma standardisé, qui peut vous aider à interroger, surveiller et traiter les enregistrements afin de répondre à vos exigences de sécurité et de conformité.

**Topics**
+ [Options d'étendue pour les tâches](discovery-jobs-scope.md)
+ [Création d’une tâche](discovery-jobs-create.md)
+ [Révision des résultats du travail](discovery-jobs-manage-results.md)
+ [Gestion des tâches](discovery-jobs-manage.md)
+ [Surveillance des tâches à l'aide CloudWatch des journaux](discovery-jobs-monitor-cw-logs.md)
+ [Prévision et suivi des coûts du travail](discovery-jobs-costs.md)
+ [Identifiants de données gérés recommandés pour les tâches](discovery-jobs-mdis-recommended.md)

# Options d'étendue pour les tâches de découverte de données sensibles
<a name="discovery-jobs-scope"></a>

Avec les tâches de découverte de données sensibles, vous définissez l'étendue de l'analyse qu'Amazon Macie effectue pour détecter et signaler les données sensibles dans vos compartiments à usage général Amazon Simple Storage Service (Amazon S3). Pour vous aider à le faire, Macie propose plusieurs options spécifiques à la tâche que vous pouvez choisir lorsque vous créez et configurez une tâche.

**Topics**
+ [Compartiments S3 ou critères relatifs aux compartiments](#discovery-jobs-scope-buckets)
+ [Profondeur d'échantillonnage](#discovery-jobs-scope-sampling)
+ [Exécution initiale : inclure les objets S3 existants](#discovery-jobs-scope-objects)
+ [Critères relatifs aux objets S3](#discovery-jobs-scope-criteria)

## Compartiments S3 ou critères relatifs aux compartiments
<a name="discovery-jobs-scope-buckets"></a>

Lorsque vous créez une tâche de découverte de données sensibles, vous spécifiez les compartiments S3 qui stockent les objets que vous souhaitez que Macie analyse lors de l'exécution de la tâche. Vous pouvez le faire de deux manières : en sélectionnant des compartiments S3 spécifiques dans votre inventaire de compartiments ou en spécifiant des critères personnalisés dérivés des propriétés des compartiments S3.

**Sélectionnez des compartiments S3 spécifiques**  
Avec cette option, vous sélectionnez explicitement chaque compartiment S3 à analyser. Ensuite, lorsque la tâche est exécutée, Macie analyse les objets uniquement dans les compartiments que vous sélectionnez. Si vous configurez une tâche pour qu'elle s'exécute régulièrement sur une base quotidienne, hebdomadaire ou mensuelle, Macie analyse les objets contenus dans ces mêmes compartiments chaque fois que la tâche est exécutée.   
Cette configuration est utile lorsque vous souhaitez effectuer une analyse ciblée d'un ensemble de données spécifique. Il vous permet de contrôler de manière précise et prévisible les catégories analysées par un poste.

**Spécifier les critères du compartiment S3**  
Avec cette option, vous définissez des critères d'exécution qui déterminent les compartiments S3 à analyser. Les critères consistent en une ou plusieurs conditions dérivées des propriétés du compartiment, telles que les paramètres d'accès public et les balises. Lorsque la tâche est exécutée, Macie identifie les compartiments correspondant à vos critères, puis analyse les objets qu'ils contiennent. Si vous configurez une tâche pour qu'elle s'exécute régulièrement, Macie le fait à chaque fois que la tâche est exécutée. Par conséquent, Macie peut analyser des objets dans différents compartiments à chaque exécution de la tâche, en fonction des modifications apportées à votre inventaire de compartiments et des critères que vous définissez.  
Cette configuration est utile dans les cas où vous souhaitez que l'étendue de l'analyse s'adapte de manière dynamique aux modifications apportées à votre inventaire de compartiments. Si vous configurez une tâche pour utiliser les critères des compartiments et que vous l'exécutez régulièrement, Macie identifie automatiquement les nouveaux compartiments qui répondent aux critères et inspecte ces compartiments pour détecter la présence de données sensibles.

Les rubriques de cette section fournissent des informations supplémentaires sur chaque option.

**Topics**
+ [Sélection de compartiments S3 spécifiques](#discovery-jobs-scope-buckets-select)
+ [Spécification des critères du compartiment S3](#discovery-jobs-scope-buckets-criteria)

### Sélection de compartiments S3 spécifiques
<a name="discovery-jobs-scope-buckets-select"></a>

Si vous choisissez de sélectionner explicitement chaque compartiment S3 que vous souhaitez qu'une tâche analyse, Macie vous fournit un inventaire de vos compartiments à usage général actuels. Région AWS Vous pouvez ensuite consulter votre inventaire et sélectionner les compartiments que vous souhaitez. Si vous êtes l'administrateur Macie d'une organisation, votre inventaire inclut les compartiments que possèdent vos comptes membres. Vous pouvez sélectionner jusqu'à 1 000 de ces compartiments, couvrant jusqu'à 1 000 comptes.

Pour vous aider à sélectionner vos compartiments, l'inventaire fournit des détails et des statistiques pour chaque compartiment. Cela inclut la quantité de données qu'une tâche peut analyser dans chaque compartiment. Les objets *classifiables sont des objets* qui utilisent une [classe de stockage Amazon S3 prise en charge](discovery-supported-storage.md#discovery-supported-s3-classes) et qui ont une extension de nom de fichier pour un [format de fichier ou de stockage pris en charge](discovery-supported-storage.md#discovery-supported-formats). L'inventaire indique également si vous avez configuré des tâches existantes pour analyser les objets d'un compartiment. Ces informations peuvent vous aider à estimer l'étendue d'une tâche et à affiner vos sélections de compartiments.

Dans le tableau d'inventaire :
+ **Sensibilité** — Spécifie le score de sensibilité actuel du compartiment, si la [découverte automatique des données sensibles](discovery-asdd.md) est activée.
+ **Objets classifiables** — Spécifie le nombre total d'objets que la tâche peut analyser dans le compartiment.
+ **Taille classifiable** — Spécifie la taille de stockage totale de tous les objets que la tâche peut analyser dans le compartiment.

  Si le bucket stocke des objets compressés, cette valeur ne reflète pas la taille réelle de ces objets après leur décompression. Si le versionnement est activé pour le compartiment, cette valeur est basée sur la taille de stockage de la dernière version de chaque objet du compartiment.
+ **Surveillé par tâche** : indique si vous avez configuré des tâches existantes pour analyser périodiquement les objets du compartiment sur une base quotidienne, hebdomadaire ou mensuelle.

  Si la valeur de ce champ est **Oui**, le compartiment est explicitement inclus dans une tâche périodique ou le compartiment a répondu aux critères d'une tâche périodique au cours des dernières 24 heures. En outre, le statut d'au moins un de ces emplois n'est pas *annulé*. Macie met à jour ces données quotidiennement.
+ **Dernière exécution de la tâche** : si vous avez configuré des tâches périodiques ou ponctuelles pour analyser les objets du compartiment, ce champ indique la date et l'heure les plus récentes auxquelles l'une de ces tâches a commencé à s'exécuter. Dans le cas contraire, un tiret (—) apparaît dans ce champ.

Si l'icône d'information (![\[The information icon, which is a blue circle that has a lowercase letter i in it.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/icon-info-blue.png)) apparaît à côté d'un nom de compartiment, nous vous recommandons de récupérer les dernières métadonnées du compartiment sur Amazon S3. Pour ce faire, choisissez refresh (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/btn-refresh-data.png)) au-dessus du tableau. L'icône d'information indique qu'un bucket a été créé au cours des dernières 24 heures, probablement après que Macie ait récupéré pour la dernière fois les métadonnées du bucket et de l'objet sur Amazon S3 dans le cadre du cycle d'actualisation quotidien. Pour de plus amples informations, veuillez consulter [Actualisations de données](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh).

Si l'icône d'avertissement (![\[The warning icon, which is a red triangle that has an exclamation point in it.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/icon-warning-red.png)) apparaît à côté du nom d'un bucket, Macie n'est pas autorisé à accéder au bucket ou aux objets du bucket. Cela signifie que la tâche ne sera pas en mesure d'analyser les objets du compartiment. Pour étudier le problème, consultez la politique du compartiment et les paramètres d'autorisation dans Amazon S3. Par exemple, le compartiment peut avoir une politique de compartiment restrictive. Pour de plus amples informations, veuillez consulter [Autoriser Macie à accéder aux compartiments et aux objets S3](monitoring-restrictive-s3-buckets.md).

Pour personnaliser votre affichage et trouver plus facilement des compartiments spécifiques, vous pouvez filtrer le tableau en saisissant des critères de filtre dans la zone de filtre. Le tableau suivant fournit quelques exemples.


| Pour afficher tous les seaux qui... | Appliquer ce filtre... | 
| --- | --- | 
| Détenus par un compte spécifique | ID de compte = the 12-digit ID for the account | 
| Sont accessibles au public | Autorisation effective = Publique | 
| Ne sont inclus dans aucun emploi périodique | Surveillé activement par tâche = Faux | 
| Ne sont inclus dans aucun travail périodique ou ponctuel | Défini dans le job = False | 
| Disposer d'une clé de tag spécifique\$1 | Clé du tag = the tag key | 
| Avoir une valeur de tag spécifique\$1 | Valeur du tag = the tag value | 
| Stockez des objets non chiffrés (ou des objets utilisant le chiffrement côté client) | Le nombre d'objets par chiffrement est « Aucun chiffrement » et « From » = 1 | 

\$1 Les clés et les valeurs des balises distinguent les majuscules et minuscules. Vous devez également spécifier une valeur complète et valide. Vous ne pouvez pas spécifier de valeurs partielles ni utiliser de caractères génériques.

Pour afficher des informations supplémentaires sur un bucket, choisissez le nom du bucket et consultez le panneau des détails. Dans le panneau, vous pouvez également :
+ Faites pivoter et explorez certains champs vers le bas en choisissant une loupe pour le champ. Choisissez ![\[The zoom in icon, which is a magnifying glass that has a plus sign in it.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/icon-magnifying-glass-plus-sign.png) d'afficher les compartiments ayant la même valeur. Choisissez ![\[The zoom out icon, which is a magnifying glass that has a minus sign in it.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/icon-magnifying-glass-minus-sign.png) d'afficher les compartiments avec d'autres valeurs.
+ Récupérez les dernières métadonnées pour les objets du compartiment. Cela peut être utile si vous avez récemment créé un bucket ou si vous avez apporté des modifications importantes aux objets du bucket au cours des dernières 24 heures. Pour récupérer les données, choisissez refresh (![\[The refresh button, which is a button that displays an empty, dark gray circle with an arrow.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/btn-refresh-object-data.png)) dans la section **Statistiques des objets** du panneau. Cette option est disponible pour les seaux contenant 30 000 objets ou moins.

Dans certains cas, le panneau peut ne pas inclure tous les détails d'un bucket. Cela peut se produire si vous stockez plus de 10 000 compartiments dans Amazon S3. Macie conserve des données d'inventaire complètes pour seulement 10 000 compartiments par compte, soit les 10 000 compartiments récemment créés ou modifiés. Vous pouvez toutefois configurer une tâche pour analyser les objets contenus dans des compartiments qui dépassent ce quota. Pour consulter des informations supplémentaires sur ces compartiments, utilisez Amazon S3.

### Spécification des critères du compartiment S3
<a name="discovery-jobs-scope-buckets-criteria"></a>

Si vous choisissez de définir des critères de compartiment pour une tâche, Macie propose des options permettant de définir et de tester les critères. Il s'agit de critères d'exécution qui déterminent quels compartiments S3 stockent les objets à analyser. Chaque fois que la tâche est exécutée, Macie identifie les compartiments à usage général qui correspondent à vos critères, puis analyse les objets dans les compartiments appropriés. Si vous êtes l'administrateur Macie d'une organisation, cela inclut les compartiments que possèdent vos comptes membres. 

#### Définition des critères du bucket
<a name="discovery-jobs-scope-buckets-criteria-define"></a>

Les critères de compartiment consistent en une ou plusieurs conditions dérivées des propriétés des compartiments S3. Chaque condition, également appelée *critère*, comprend les éléments suivants :
+ Un champ basé sur des propriétés, tel que l'**ID de compte ou l'**autorisation **effective**.
+ Un opérateur, *égal à* (`eq`) ou *non égal* (`neq`).
+ Une ou plusieurs valeurs.
+ Une instruction d'inclusion ou d'exclusion qui indique s'il faut analyser (*inclure*) ou ignorer (*exclure) les* compartiments correspondant à la condition.

Si vous spécifiez plusieurs valeurs pour un champ, Macie utilise la logique OR pour joindre les valeurs. Si vous spécifiez plusieurs conditions pour les critères, Macie utilise la logique AND pour joindre les conditions. En outre, les conditions d'exclusion ont priorité sur les conditions d'inclusion. Par exemple, si vous incluez des compartiments accessibles au public et que vous excluez les compartiments dotés de balises spécifiques, la tâche analyse les objets de tout compartiment accessible au public, sauf si le compartiment possède l'une des balises spécifiées.

Vous pouvez définir des conditions dérivées de l'un des champs de propriété suivants pour les compartiments S3.

**ID de compte**   
Identifiant unique (ID) du propriétaire Compte AWS d'un compartiment. Pour spécifier plusieurs valeurs pour ce champ, entrez l'ID de chaque compte et séparez chaque entrée par une virgule.  
Notez que Macie ne prend pas en charge l'utilisation de caractères génériques ou de valeurs partielles pour ce champ.

**Nom du compartiment**  
Le nom d'un bucket. Ce champ est en corrélation avec le champ **Name**, et non avec le champ **Amazon Resource Name (ARN)**, dans Amazon S3. Pour spécifier plusieurs valeurs pour ce champ, entrez le nom de chaque compartiment et séparez chaque entrée par une virgule.  
Notez que les valeurs distinguent les majuscules et minuscules. De plus, Macie ne prend pas en charge l'utilisation de caractères génériques ou de valeurs partielles pour ce champ. 

**Autorisation effective**  
Spécifie si un compartiment est accessible au public. Vous pouvez choisir une ou plusieurs des valeurs suivantes pour ce champ :  
+ **Non public** : le grand public n'a pas accès au bucket en lecture ou en écriture.
+ **Public** : le grand public dispose d'un accès en lecture ou en écriture au bucket.
+ **Inconnu** : Macie n'a pas pu évaluer les paramètres d'accès public du bucket. Un problème ou un quota a empêché Macie de récupérer et d'évaluer les données requises.
Pour déterminer si un bucket est accessible au public, Macie analyse une combinaison de paramètres au niveau du compte et au niveau du bucket : les paramètres de blocage de l'accès public pour le compte ; les paramètres de blocage de l'accès public pour le bucket ; la politique du bucket pour le bucket ; et la liste de contrôle d'accès (ACL) du bucket. Pour plus d'informations sur ces paramètres, consultez la section [Contrôle d'accès](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html) et [blocage de l'accès public à votre espace de stockage Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html) dans le *guide de l'utilisateur d'Amazon Simple Storage Service*.

**Accès partagé**  
Spécifie si un compartiment est partagé avec un autre utilisateur Compte AWS, une identité CloudFront d'accès à l'origine (OAI) Amazon ou un contrôle CloudFront d'accès à l'origine (OAC). Vous pouvez choisir une ou plusieurs des valeurs suivantes pour ce champ :  
+ **Externe** : le bucket est partagé avec un ou plusieurs des éléments suivants ou une combinaison des éléments suivants : un CloudFront OAI, un CloudFront OAC ou un compte externe à votre organisation (n'en faisant pas partie).
+ **Interne** : le bucket est partagé avec un ou plusieurs comptes internes à (une partie de) votre organisation. Il n'est pas partagé avec un CloudFront OAI ou un OAC.
+ **Non partagé** : le bucket n'est pas partagé avec un autre compte, un CloudFront OAI ou un CloudFront OAC.
+ **Inconnu** : Macie n'a pas pu évaluer les paramètres d'accès partagé pour le compartiment. Un problème ou un quota a empêché Macie de récupérer et d'évaluer les données requises.
Pour déterminer si un bucket est partagé avec un autre Compte AWS, Macie analyse la politique de bucket et l'ACL du bucket. En outre, une *organisation* est définie comme un ensemble de comptes Macie gérés de manière centralisée en tant que groupe de comptes connexes via AWS Organizations ou sur invitation de Macie. Pour plus d'informations sur les options d'Amazon S3 pour le partage de compartiments, consultez la section [Contrôle d'accès](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html) dans le *guide de l'utilisateur d'Amazon Simple Storage Service*.  
Pour déterminer si un bucket est partagé avec un CloudFront OAI ou un OAC, Macie analyse la politique de bucket applicable au bucket. Un CloudFront OAI ou un OAC permet aux utilisateurs d'accéder aux objets d'un bucket via une ou plusieurs distributions spécifiées CloudFront. Pour plus d'informations sur CloudFront OAIs et OACs, consultez [Restreindre l'accès à une origine Amazon S3](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) dans le manuel *Amazon CloudFront Developer Guide*.

**Balises**  
Les balises associées à un bucket. Les balises sont des étiquettes que vous pouvez définir et attribuer à certains types de AWS ressources, notamment les compartiments S3. Chaque balise se compose d'une clé de balise obligatoire et d'une valeur de balise facultative. Pour plus d'informations sur le balisage des compartiments S3, consultez la section [Utilisation des balises de compartiment S3 pour la répartition des coûts](https://docs.aws.amazon.com/AmazonS3/latest/userguide/CostAllocTagging.html) dans le guide de l'*utilisateur d'Amazon Simple Storage Service*.  
Pour une tâche de découverte de données sensibles, vous pouvez utiliser ce type de condition pour inclure ou exclure des compartiments dotés d'une clé de balise spécifique, d'une valeur de balise spécifique ou d'une clé de balise et d'une valeur de balise spécifiques (par paire). Par exemple :  
+ Si vous spécifiez **Project** en tant que clé de balise et que vous ne spécifiez aucune valeur de balise pour une condition, tout compartiment contenant la clé de balise *Project* répond aux critères de la condition, quelles que soient les valeurs de balise associées à cette clé de balise.
+ Si vous spécifiez **Development** et **Test** en tant que valeurs de balise et que vous ne spécifiez aucune clé de balise pour une condition, tout compartiment contenant la valeur de **Test** balise **Development** ou correspond aux critères de la condition, quelles que soient les clés de balise associées à ces valeurs de balise.
Les clés et les valeurs des balises distinguent les majuscules et minuscules. De plus, Macie ne prend pas en charge l'utilisation de caractères génériques ou de valeurs partielles dans les conditions des balises.  
Pour spécifier plusieurs clés de balise dans une condition, entrez chaque clé de balise dans le champ **Clé** et séparez chaque entrée par une virgule. Pour spécifier plusieurs valeurs de balise dans une condition, entrez chaque valeur de balise dans le champ **Valeur** et séparez chaque entrée par une virgule.  
Si vous stockez plus de 10 000 compartiments dans Amazon S3, notez que Macie ne conserve pas les données des balises pour tous les compartiments. Macie conserve des données d'inventaire complètes pour seulement 10 000 compartiments par compte, soit les 10 000 compartiments récemment créés ou modifiés. Pour tous les autres compartiments, les clés de balise et les valeurs associées ne sont pas incluses dans les données d'inventaire. Cela signifie que les compartiments ne correspondront pas à des clés ou à des valeurs de balise spécifiques dans une condition utilisant l'opérateur *equals* (`eq`). Si vous spécifiez un opérateur *not equals* (`neq`) pour une condition basée sur des balises, cela signifie que les compartiments répondront à la condition.

#### Critères du godet de test
<a name="discovery-jobs-scope-buckets-criteria-test"></a>

Lorsque vous définissez les critères de votre compartiment, vous pouvez tester et affiner les critères en prévisualisant les résultats. Pour ce faire, développez la section **Aperçu des résultats des critères** qui apparaît sous les critères sur la console. Cette section affiche un tableau répertoriant jusqu'à 25 compartiments à usage général répondant actuellement aux critères.

Le tableau fournit également un aperçu de la quantité de données que la tâche peut analyser dans chaque compartiment. Les objets *classifiables sont des objets* qui utilisent une [classe de stockage Amazon S3 prise en charge](discovery-supported-storage.md#discovery-supported-s3-classes) et qui ont une extension de nom de fichier pour un [format de fichier ou de stockage pris en charge](discovery-supported-storage.md#discovery-supported-formats). Le tableau indique également si vous avez configuré des tâches existantes pour analyser régulièrement les objets d'un bucket.

Dans le tableau :
+ **Sensibilité** — Spécifie le score de sensibilité actuel du compartiment, si la [découverte automatique des données sensibles](discovery-asdd.md) est activée.
+ **Objets classifiables** — Spécifie le nombre total d'objets que la tâche peut analyser dans le compartiment.
+ **Taille classifiable** — Spécifie la taille de stockage totale de tous les objets que la tâche peut analyser dans le compartiment.

  Si le bucket stocke des objets compressés, cette valeur ne reflète pas la taille réelle de ces objets après leur décompression. Si le versionnement est activé pour le compartiment, cette valeur est basée sur la taille de stockage de la dernière version de chaque objet du compartiment.
+ **Surveillé par tâche** : indique si vous avez configuré des tâches existantes pour analyser périodiquement les objets du compartiment sur une base quotidienne, hebdomadaire ou mensuelle.

  Si la valeur de ce champ est **Oui**, le compartiment est explicitement inclus dans une tâche périodique ou le compartiment a répondu aux critères d'une tâche périodique au cours des dernières 24 heures. En outre, le statut d'au moins un de ces emplois n'est pas *annulé*. Macie met à jour ces données quotidiennement.

Si l'icône d'avertissement (![\[The warning icon, which is a red triangle that has an exclamation point in it.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/icon-warning-red.png)) apparaît à côté du nom d'un bucket, Macie n'est pas autorisé à accéder au bucket ou aux objets du bucket. Cela signifie que la tâche ne sera pas en mesure d'analyser les objets du compartiment. Pour étudier le problème, consultez la politique du compartiment et les paramètres d'autorisation dans Amazon S3. Par exemple, le compartiment peut avoir une politique de compartiment restrictive. Pour de plus amples informations, veuillez consulter [Autoriser Macie à accéder aux compartiments et aux objets S3](monitoring-restrictive-s3-buckets.md).

Pour affiner les critères du bucket pour la tâche, utilisez les options de filtre pour ajouter, modifier ou supprimer des conditions des critères. Macie met ensuite à jour le tableau pour refléter vos modifications.

## Profondeur d'échantillonnage
<a name="discovery-jobs-scope-sampling"></a>

Avec cette option, vous spécifiez le pourcentage d'objets S3 éligibles que vous souhaitez qu'une tâche de découverte de données sensibles analyse. Les objets éligibles sont les objets qui : utilisent une [classe de stockage Amazon S3 prise en charge](discovery-supported-storage.md#discovery-supported-s3-classes), ont une extension de nom de fichier pour un [format de fichier ou de stockage pris en charge](discovery-supported-storage.md#discovery-supported-formats) et répondent à d'autres critères que vous spécifiez pour la tâche.

Si cette valeur est inférieure à 100 %, Macie sélectionne les objets éligibles à analyser au hasard, jusqu'au pourcentage spécifié, et analyse toutes les données contenues dans ces objets. Par exemple, si vous configurez une tâche pour analyser 10 000 objets et que vous spécifiez une profondeur d'échantillonnage de 20 %, Macie analyse environ 2 000 objets éligibles sélectionnés au hasard lors de l'exécution de la tâche.

La réduction de la profondeur d'échantillonnage d'une tâche peut réduire le coût et la durée d'une tâche. C'est utile lorsque les données contenues dans les objets sont très cohérentes et que vous souhaitez déterminer si un compartiment S3, plutôt que chaque objet, stocke des données sensibles.

Notez que cette option contrôle le pourcentage d'*objets* analysés, et non le pourcentage d'*octets* analysés. Si vous entrez une profondeur d'échantillonnage inférieure à 100 %, Macie analyse toutes les données de chaque objet sélectionné, et non le pourcentage des données de chaque objet sélectionné.

## Exécution initiale : inclure les objets S3 existants
<a name="discovery-jobs-scope-objects"></a>

Vous pouvez utiliser des tâches de découverte de données sensibles pour effectuer une analyse continue et incrémentielle des objets dans des compartiments S3. Si vous configurez une tâche pour qu'elle s'exécute régulièrement, Macie le fait automatiquement pour vous : chaque exécution analyse uniquement les objets créés ou modifiés après l'exécution précédente. Avec l'option **Inclure les objets existants**, vous choisissez le point de départ du premier incrément :
+ Pour analyser tous les objets existants immédiatement après avoir créé la tâche, cochez la case correspondant à cette option.
+ Pour attendre et analyser uniquement les objets créés ou modifiés après la création de la tâche et avant la première exécution, décochez la case correspondant à cette option.

  Il est utile de décocher cette case lorsque vous avez déjà analysé les données et que vous souhaitez continuer à les analyser régulièrement. Par exemple, si vous avez déjà utilisé un autre service ou une autre application pour classer les données et que vous avez récemment commencé à utiliser Macie, vous pouvez utiliser cette option pour garantir la découverte et la classification continues de vos données sans encourir de coûts inutiles ni dupliquer les données de classification.

Chaque exécution suivante d'une tâche périodique analyse automatiquement uniquement les objets créés ou modifiés après l'exécution précédente.

Pour les tâches périodiques et ponctuelles, vous pouvez également configurer une tâche pour analyser uniquement les objets créés ou modifiés avant ou après un certain temps ou pendant une certaine période. Pour ce faire, ajoutez des critères d'objet qui utilisent la date de dernière modification des objets.

## Critères relatifs aux objets S3
<a name="discovery-jobs-scope-criteria"></a>

Pour affiner l'étendue d'une tâche de découverte de données sensibles, vous pouvez définir des critères personnalisés pour les objets S3. Macie utilise ces critères pour déterminer les objets à analyser (*inclure*) ou à ignorer (*exclure*) lors de l'exécution de la tâche. Les critères consistent en une ou plusieurs conditions dérivées des propriétés des objets S3. Les conditions s'appliquent aux objets de tous les compartiments S3 inclus dans l'analyse. Si un bucket stocke plusieurs versions d'un objet, les conditions s'appliquent à la dernière version de l'objet.

Si vous définissez plusieurs conditions comme critères d'objet, Macie utilise la logique ET pour joindre les conditions. En outre, les conditions d'exclusion ont priorité sur les conditions d'inclusion. Par exemple, si vous incluez des objets portant l'extension de nom de fichier .pdf et que vous excluez des objets dont la taille est supérieure à 5 Mo, la tâche analyse tout objet portant l'extension de nom de fichier .pdf, sauf si l'objet est supérieur à 5 Mo.

Vous pouvez définir des conditions qui découlent de l'une des propriétés suivantes des objets S3.

**Extension de nom de fichier**  
Cela correspond à l'extension du nom de fichier d'un objet S3. Vous pouvez utiliser ce type de condition pour inclure ou exclure des objets en fonction du type de fichier. Pour ce faire pour plusieurs types de fichiers, entrez l'extension du nom de fichier pour chaque type et séparez chaque entrée par une virgule, par exemple :. **docx,pdf,xlsx** Si vous entrez plusieurs extensions de nom de fichier comme valeurs pour une condition, Macie utilise la logique OR pour joindre les valeurs.  
Notez que les valeurs distinguent les majuscules et minuscules. De plus, Macie ne prend pas en charge l'utilisation de valeurs partielles ou de caractères génériques dans ce type de condition.  
Pour plus d'informations sur les types de fichiers que Macie peut analyser, consultez[Formats de fichiers et de stockage pris en charge](discovery-supported-storage.md#discovery-supported-formats).

**Dernière modification**  
Cela correspond au champ **Dernière modification** dans Amazon S3. Dans Amazon S3, ce champ enregistre la date et l'heure de création ou de dernière modification d'un objet S3, selon la date la plus récente.  
Pour une tâche de découverte de données sensibles, cette condition peut être une date précise, une date et une heure spécifiques ou une plage horaire exclusive :  
+ Pour analyser les objets modifiés pour la dernière fois après une certaine date ou date et heure, entrez les valeurs dans les champs **De**.
+ Pour analyser les objets qui ont été modifiés pour la dernière fois avant une certaine date ou date et heure, entrez les valeurs dans les champs **À**.
+ Pour analyser les objets qui ont été modifiés pour la dernière fois pendant une certaine période, utilisez les champs **From** pour saisir les valeurs de la date ou de la première date et heure de la plage horaire. Utilisez les champs **À** pour saisir les valeurs de la dernière date ou de la dernière date et heure de la plage horaire.
+ Pour analyser les objets qui ont été modifiés pour la dernière fois au cours d'une journée donnée, entrez la date dans le champ Date **de** début. **Entrez la date du jour suivant dans le champ Date limite.** Vérifiez ensuite que les deux champs horaires sont vides. (Macie traite un champ horaire vide comme`00:00:00`.) **Par exemple, pour analyser des objets qui ont changé le 9 août 2023, entrez **2023/08/09** dans le champ Date **de** début, entrez **2023/08/10** dans le champ Date de fin et n'entrez de valeur dans aucun des champs temporels.**
Entrez n'importe quelle valeur horaire en temps universel coordonné (UTC) et utilisez une notation de 24 heures.

**Préfixe**  
Cela correspond au champ **Key** dans Amazon S3. Dans Amazon S3, ce champ stocke le nom d'un objet S3, y compris le préfixe de l'objet. Un *préfixe* est similaire à un chemin de répertoire dans un bucket. Il vous permet de regrouper des objets similaires dans un compartiment, de la même manière que vous stockiez des fichiers similaires dans un dossier d'un système de fichiers. Pour plus d'informations sur les préfixes d'objets et les dossiers dans Amazon S3, consultez la section [Organisation des objets dans la console Amazon S3 à l'aide de dossiers](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-folders.html) dans le *guide de l'utilisateur d'Amazon Simple Storage Service*.  
Vous pouvez utiliser ce type de condition pour inclure ou exclure des objets dont les clés (noms) commencent par une certaine valeur. Par exemple, pour exclure tous les objets dont la clé commence par *AWSLogs*, entrez **AWSLogs** la valeur d'une condition de **préfixe**, puis choisissez **Exclure**.   
Si vous entrez plusieurs préfixes comme valeurs pour une condition, Macie utilise la logique OR pour joindre les valeurs. Par exemple, si vous entrez **AWSLogs1** et **AWSLogs2** en tant que valeurs pour une condition, tout objet dont la clé commence par *AWSLogs1*ou *AWSLogs2*correspond aux critères de la condition.  
Lorsque vous entrez une valeur pour une condition de **préfixe**, gardez les points suivants à l'esprit :  
+ Les valeurs distinguent les majuscules et minuscules.
+ Macie ne prend pas en charge l'utilisation de caractères génériques dans ces valeurs.
+ Dans Amazon S3, la clé d'un objet n'inclut pas le nom du compartiment qui stocke l'objet. Pour cette raison, ne spécifiez pas de nom de compartiment dans ces valeurs.
+ Si un préfixe inclut un délimiteur, incluez-le dans la valeur. Par exemple, entrez **AWSLogs/eventlogs** pour définir une condition pour tous les objets dont la clé commence par *AWSLogs/eventlogs.* Macie prend en charge le délimiteur Amazon S3 par défaut, qui est une barre oblique (/), et les délimiteurs personnalisés.
Notez également qu'un objet répond aux critères d'une condition uniquement si la clé de l'objet correspond exactement à la valeur que vous entrez, en commençant par le premier caractère de la clé de l'objet. En outre, Macie applique une condition à la valeur **clé** complète d'un objet, y compris le nom de fichier de l'objet.   
Par exemple, si la clé d'un objet est *AWSLogs/eventlogs/testlog.csv* et que vous entrez l'une des valeurs suivantes pour une condition, l'objet répond aux critères de la condition :  
+ **AWSLogs**
+ **AWSLogs/event**
+ **AWSLogs/eventlogs/**
+ **AWSLogs/eventlogs/testlog**
+ **AWSLogs/eventlogs/testlog.csv**
*Toutefois, si vous entrez**eventlogs**, l'objet ne correspond pas aux critères : la valeur de la condition n'inclut pas la première partie de la clé,/. AWSLogs* De même, si vous entrez**awslogs**, l'objet ne correspond pas aux critères en raison de différences de capitalisation.

**Taille de rangement**  
Cela correspond au champ **Size** dans Amazon S3. Dans Amazon S3, ce champ indique la taille de stockage totale d'un objet S3. Si un objet est un fichier compressé, cette valeur ne reflète pas la taille réelle du fichier une fois celui-ci décompressé.  
Vous pouvez utiliser ce type de condition pour inclure ou exclure des objets inférieurs à une certaine taille, supérieurs à une certaine taille ou se situant dans une certaine plage de tailles. Macie applique ce type de condition à tous les types d'objets, y compris les fichiers compressés ou d'archive et les fichiers qu'ils contiennent. Pour plus d'informations sur les restrictions basées sur la taille pour chaque format pris en charge, consultez[Quotas pour Macie](macie-quotas.md).

**Balises**  
Les balises associées à un objet S3. Les balises sont des étiquettes que vous pouvez définir et attribuer à certains types de AWS ressources, notamment aux objets S3. Chaque balise se compose d'une clé de balise obligatoire et d'une valeur de balise facultative. Pour plus d'informations sur le balisage des objets S3, consultez la section [Catégorisation de votre stockage à l'aide de balises](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-tagging.html) dans le guide de l'*utilisateur d'Amazon Simple Storage Service*.  
Pour une tâche de découverte de données sensibles, vous pouvez utiliser ce type de condition pour inclure ou exclure des objets dotés d'une balise spécifique. Il peut s'agir d'une clé de balise spécifique ou d'une clé de balise et d'une valeur de balise spécifiques (par paire). Si vous spécifiez plusieurs balises comme valeurs pour une condition, Macie utilise la logique OR pour joindre les valeurs. Par exemple, si vous spécifiez **Project1** et **Project2** en tant que clés de balise pour une condition, tout objet doté de la clé de balise *Project1* ou *Project2* répond aux critères de la condition.  
Notez que les clés et les valeurs des balises distinguent les majuscules et minuscules. De plus, Macie ne prend pas en charge l'utilisation de valeurs partielles ou de caractères génériques dans ce type de condition.

# Création d'une tâche de découverte de données sensibles
<a name="discovery-jobs-create"></a>

Avec Amazon Macie, vous pouvez créer et exécuter des tâches de découverte de données sensibles afin d'automatiser la découverte, la journalisation et le reporting des données sensibles dans les compartiments à usage général Amazon Simple Storage Service (Amazon S3). Une *tâche de découverte de données sensibles* est une série de tâches de traitement et d'analyse automatisées que Macie exécute pour détecter et signaler les données sensibles dans les objets Amazon S3. Au fur et à mesure que l'analyse progresse, Macie fournit des rapports détaillés sur les données sensibles qu'elle trouve et sur l'analyse qu'elle effectue : les *résultats de données sensibles*, qui signalent les données sensibles trouvées par Macie dans des objets S3 individuels, et les *résultats de découverte de données sensibles*, qui enregistrent les détails de l'analyse des objets S3 individuels. Pour de plus amples informations, veuillez consulter [Révision des résultats du travail](discovery-jobs-manage-results.md).

Lorsque vous créez une tâche, vous commencez par spécifier les compartiments S3 qui contiennent les objets que vous souhaitez que Macie analyse lors de l'exécution de la tâche, qu'il s'agisse de compartiments spécifiques que vous sélectionnez ou de compartiments répondant à des critères spécifiques. Vous spécifiez ensuite la fréquence d'exécution de la tâche : une fois ou périodiquement sur une base quotidienne, hebdomadaire ou mensuelle. Vous pouvez également choisir des options pour affiner la portée de l'analyse de la tâche. Les options incluent des critères personnalisés qui découlent des propriétés des objets S3, telles que les balises, les préfixes et la date de dernière modification d'un objet.

Après avoir défini le calendrier et l'étendue de la tâche, vous spécifiez les identifiants de données gérés et les identifiants de données personnalisés à utiliser : 
+ Un *identifiant de données géré* est un ensemble de critères et de techniques intégrés conçus pour détecter un type spécifique de données sensibles, par exemple les numéros de carte de crédit, les clés d'accès AWS secrètes ou les numéros de passeport d'un pays ou d'une région en particulier. Ces identifiants peuvent détecter une liste longue et croissante de types de données sensibles pour de nombreux pays et régions, notamment plusieurs types de données d'identification, d'informations financières et d'informations personnelles identifiables (PII). Pour de plus amples informations, veuillez consulter [Utilisation des identificateurs de données gérés](managed-data-identifiers.md).
+ Un *identificateur de données personnalisé* est un ensemble de critères que vous définissez pour détecter les données sensibles. Grâce aux identificateurs de données personnalisés, vous pouvez détecter les données sensibles qui reflètent les scénarios particuliers de votre organisation, la propriété intellectuelle ou les données propriétaires, par exemple les numéros de compte des employés IDs, des clients ou des classifications de données internes. Vous pouvez compléter les identifiants de données gérés fournis par Macie. Pour de plus amples informations, veuillez consulter [Création d’identificateurs de données personnalisés](custom-data-identifiers.md).

Vous pouvez ensuite éventuellement sélectionner Autoriser l'utilisation des listes. Dans Macie, une *liste d'autorisation* indique le texte ou le modèle de texte à ignorer. Il s'agit généralement d'exceptions relatives aux données sensibles correspondant à vos scénarios ou à votre environnement particuliers, par exemple les noms publics ou les numéros de téléphone de votre organisation, ou des exemples de données que votre organisation utilise à des fins de test. Pour de plus amples informations, veuillez consulter [Définition des exceptions relatives aux données sensibles à l'aide de listes d'autorisation](allow-lists.md).

Lorsque vous avez fini de choisir ces options, vous êtes prêt à saisir les paramètres généraux de la tâche, tels que le nom et la description de la tâche. Vous pouvez ensuite consulter et enregistrer le travail.

**Topics**
+ [Avant de commencer : configurer les ressources clés](#discovery-jobs-create-prerequisites)
+ [Étape 1 : Choisissez des compartiments S3](#discovery-jobs-create-step1)
+ [Étape 2 : passez en revue vos sélections ou critères de compartiment S3](#discovery-jobs-create-step2)
+ [Étape 3 : définir le calendrier et affiner le périmètre](#discovery-jobs-create-step3)
+ [Étape 4 : Sélectionnez les identifiants de données gérés](#discovery-jobs-create-step4)
+ [Étape 5 : Sélectionnez des identifiants de données personnalisés](#discovery-jobs-create-step5)
+ [Étape 6 : Sélectionnez les listes autorisées](#discovery-jobs-create-step6)
+ [Étape 7 : Entrez les paramètres généraux](#discovery-jobs-create-step7)
+ [Étape 8 : Réviser et créer](#discovery-jobs-create-step8)

## Avant de commencer : configurer les ressources clés
<a name="discovery-jobs-create-prerequisites"></a>

Avant de créer une tâche, il est conseillé de suivre les étapes suivantes : 
+ Vérifiez que vous avez configuré un référentiel pour les résultats de la découverte de vos données sensibles. Pour ce faire, choisissez **Discovery results** dans le volet de navigation de la console Amazon Macie. Pour en savoir plus sur ces paramètres, consultez[Stockage et conservation des résultats de découverte de données sensibles](discovery-results-repository-s3.md).
+ Créez les identificateurs de données personnalisés que vous souhaitez que la tâche utilise. Pour savoir comment procéder, consultez [Création d’identificateurs de données personnalisés](custom-data-identifiers.md).
+ Créez les listes d'autorisation que vous souhaitez que la tâche utilise. Pour savoir comment procéder, consultez [Définition des exceptions relatives aux données sensibles à l'aide de listes d'autorisation](allow-lists.md).
+ Si vous souhaitez analyser des objets S3 chiffrés, assurez-vous que Macie peut accéder aux clés de chiffrement appropriées et les utiliser. Pour de plus amples informations, veuillez consulter [Analyse des objets S3 chiffrés](discovery-supported-encryption-types.md).
+ Si vous souhaitez analyser des objets dans un compartiment S3 soumis à une politique de compartiment restrictive, assurez-vous que Macie est autorisé à accéder aux objets. Pour de plus amples informations, veuillez consulter [Autoriser Macie à accéder aux compartiments et aux objets S3](monitoring-restrictive-s3-buckets.md).

Si vous effectuez ces opérations avant de créer une tâche, vous rationalisez la création de la tâche et vous contribuez à ce que la tâche puisse analyser les données souhaitées.

## Étape 1 : Choisissez des compartiments S3
<a name="discovery-jobs-create-step1"></a>

Lorsque vous créez une tâche, la première étape consiste à spécifier quels compartiments S3 stockent les objets que vous souhaitez que Macie analyse lors de l'exécution de la tâche. Pour cette étape, deux options s'offrent à vous :
+ **Sélectionnez des compartiments spécifiques** : avec cette option, vous sélectionnez explicitement chaque compartiment S3 à analyser. Ensuite, lorsque la tâche est exécutée, Macie analyse les objets uniquement dans les compartiments que vous sélectionnez.
+ **Spécifier les critères de compartiment** : avec cette option, vous définissez des critères d'exécution qui déterminent les compartiments S3 à analyser. Les critères consistent en une ou plusieurs conditions dérivées des propriétés du compartiment. Ensuite, lorsque la tâche est exécutée, Macie identifie les compartiments correspondant à vos critères et analyse les objets qu'ils contiennent.

Pour des informations détaillées sur ces options, consultez [Options d'étendue pour les tâches](discovery-jobs-scope.md).

Les sections suivantes fournissent des instructions pour choisir et configurer chaque option. Choisissez la section correspondant à l'option souhaitée.

### Sélectionnez des seaux spécifiques
<a name="discovery-jobs-create-step1-buckets-select"></a>

Si vous choisissez de sélectionner explicitement chaque compartiment S3 à analyser, Macie vous fournit un inventaire de vos compartiments à usage général actuels. Région AWS Vous pouvez ensuite utiliser cet inventaire pour sélectionner un ou plusieurs compartiments pour la tâche. Pour en savoir plus sur cet inventaire, consultez[Sélection de compartiments S3 spécifiques](discovery-jobs-scope.md#discovery-jobs-scope-buckets-select).

Si vous êtes l'administrateur Macie d'une organisation, l'inventaire inclut les buckets détenus par les comptes des membres de votre organisation. Vous pouvez sélectionner jusqu'à 1 000 de ces compartiments, couvrant jusqu'à 1 000 comptes.

**Pour sélectionner des compartiments S3 spécifiques pour la tâche**

1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Dans le volet de navigation, sélectionnez **Tâches**.

1. Choisissez **Créer une tâche**.

1. Sur la page **Choisir des compartiments S3**, choisissez **Sélectionner des compartiments spécifiques**. Macie affiche un tableau de tous les compartiments à usage général pour votre compte dans la région actuelle. 

1. Dans la section **Select S3 buckets**, choisissez éventuellement refresh (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/btn-refresh-data.png)) pour récupérer les dernières métadonnées de bucket depuis Amazon S3.

   Si l'icône d'information (![\[The information icon, which is a blue circle that has a lowercase letter i in it.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/icon-info-blue.png)) apparaît à côté d'un nom de bucket, nous vous recommandons de le faire. Cette icône indique qu'un bucket a été créé au cours des dernières 24 heures, probablement après que Macie ait récupéré pour la dernière fois les métadonnées du bucket et de l'objet sur Amazon S3 dans le cadre du [cycle d'actualisation quotidien](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh).

1. Dans le tableau, cochez la case correspondant à chaque compartiment que vous souhaitez que la tâche analyse. 
**Astuce**  
Pour trouver plus facilement des compartiments spécifiques, entrez les critères de filtre dans la zone de filtre située au-dessus du tableau. Vous pouvez également trier le tableau en choisissant un titre de colonne.
Pour déterminer si vous avez déjà configuré une tâche pour analyser régulièrement les objets d'un compartiment, reportez-vous au champ **Surveillé par tâche**. Si **Oui** apparaît dans un champ, le compartiment est explicitement inclus dans une tâche périodique ou le compartiment a répondu aux critères d'une tâche périodique au cours des dernières 24 heures. En outre, le statut d'au moins un de ces emplois n'est pas *annulé*. Macie met à jour ces données quotidiennement. 
Pour déterminer à quel moment une tâche périodique ou ponctuelle existante a analysé le plus récemment des objets d'un bucket, reportez-vous au champ **Dernière exécution de la tâche**. Pour plus d'informations sur cette tâche, reportez-vous aux détails du bucket.
Pour afficher les détails d'un bucket, choisissez le nom du bucket. Outre les informations relatives au travail, le panneau de détails fournit des statistiques et d'autres informations sur le bucket, telles que les paramètres d'accès public du bucket. Pour en savoir plus sur ces données, consultez[Révision de l'inventaire de votre compartiment S3](monitoring-s3-inventory-review.md).

1. Lorsque vous avez fini de sélectionner les compartiments, choisissez **Next**.

À l'étape suivante, vous allez passer en revue et vérifier vos sélections.

### Spécifier les critères du compartiment
<a name="discovery-jobs-create-step1-buckets-criteria"></a>

Si vous choisissez de spécifier des critères d'exécution qui déterminent les compartiments S3 à analyser, Macie propose des options pour vous aider à choisir les champs, les opérateurs et les valeurs correspondant aux conditions individuelles dans les critères. Pour en savoir plus sur ces options, consultez [Spécification des critères du compartiment S3](discovery-jobs-scope.md#discovery-jobs-scope-buckets-criteria).

**Pour spécifier les critères du compartiment S3 pour la tâche**

1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Dans le volet de navigation, sélectionnez **Tâches**.

1. Choisissez **Créer une tâche**.

1. Sur la page **Choisir des compartiments S3**, choisissez **Spécifier les critères du compartiment**.

1. Sous **Spécifier les critères du compartiment**, procédez comme suit pour ajouter une condition aux critères :

   1. Placez votre curseur dans la zone de filtre, puis choisissez la propriété bucket à utiliser pour la condition.

   1. Dans la première case, choisissez un opérateur pour la condition, **égal** ou **non égal**.

   1. Dans la zone suivante, entrez une ou plusieurs valeurs pour la propriété.

      Selon le type et la nature de la propriété du bucket, Macie propose différentes options pour saisir des valeurs. Par exemple, si vous choisissez la propriété **Autorisation effective**, Macie affiche une liste de valeurs parmi lesquelles choisir. Si vous choisissez la propriété **Account ID**, Macie affiche une zone de texte dans laquelle vous pouvez en saisir une ou plusieurs Compte AWS IDs. Pour saisir plusieurs valeurs dans une zone de texte, entrez chaque valeur et séparez chaque entrée par une virgule.

   1. Cliquez sur **Appliquer**. Macie ajoute la condition et l'affiche sous la boîte de filtre.

      Par défaut, Macie ajoute la condition avec une instruction include. Cela signifie que la tâche est configurée pour analyser (*inclure*) des objets dans des compartiments qui répondent à la condition. Pour ignorer (*exclure) les* compartiments correspondant à la condition, choisissez **Inclure** pour la condition, puis choisissez **Exclure**.

   1. Répétez les étapes précédentes pour chaque condition supplémentaire que vous souhaitez ajouter aux critères.

1. Pour tester vos critères, élargissez la section **Aperçu des résultats des critères**. Cette section affiche un tableau répertoriant jusqu'à 25 compartiments à usage général répondant actuellement aux critères.

1. Pour affiner vos critères, effectuez l'une des opérations suivantes : 
   + Pour supprimer une condition, choisissez **X** comme condition.
   + Pour modifier une condition, supprimez-la en choisissant **X** comme condition. Ajoutez ensuite une condition dont les paramètres sont corrects.
   + Pour supprimer toutes les conditions, choisissez **Effacer les filtres**.

   Macie met à jour le tableau des résultats des critères pour refléter vos modifications.

1. Lorsque vous avez fini de définir les critères du compartiment, choisissez **Next**.

À l'étape suivante, vous allez passer en revue et vérifier vos critères.

## Étape 2 : passez en revue vos sélections ou critères de compartiment S3
<a name="discovery-jobs-create-step2"></a>

Pour cette étape, vérifiez que vous avez choisi les bons paramètres à l'étape précédente :
+ Passez en **revue vos sélections** de compartiments ‐ Si vous avez sélectionné des compartiments S3 spécifiques pour la tâche, consultez le tableau des compartiments et modifiez vos sélections de compartiments si nécessaire. Le tableau donne un aperçu de la portée et du coût prévus de l'analyse du travail. Les données sont basées sur la taille et le type des objets actuellement stockés dans un bucket.

  Dans le tableau, le champ **Coût estimé** indique le coût total estimé (en dollars américains) de l'analyse des objets dans un compartiment S3. Chaque estimation reflète la quantité prévue de données non compressées que la tâche analysera dans un bucket. Si des objets sont compressés ou des fichiers d'archive, l'estimation suppose que les fichiers utilisent un taux de compression de 3:1 et que la tâche peut analyser tous les fichiers extraits. Pour de plus amples informations, veuillez consulter [Prévision et suivi des coûts du travail](discovery-jobs-costs.md).
+ Passez en **revue les critères de votre compartiment** ‐ Si vous avez spécifié des critères de compartiment pour le travail, passez en revue chaque condition des critères. Pour modifier les critères, choisissez **Précédent**, puis utilisez les options de filtre de l'étape précédente pour saisir les bons critères. Lorsque vous avez terminé, choisissez **Suivant**.

Lorsque vous avez terminé de vérifier et de vérifier les paramètres, choisissez **Next**.

## Étape 3 : définir le calendrier et affiner le périmètre
<a name="discovery-jobs-create-step3"></a>

Pour cette étape, spécifiez la fréquence à laquelle vous souhaitez que la tâche soit exécutée : une fois ou périodiquement sur une base quotidienne, hebdomadaire ou mensuelle. Choisissez également différentes options pour affiner la portée de l'analyse de la tâche. Pour en savoir plus sur ces options, consultez[Options d'étendue pour les tâches](discovery-jobs-scope.md).

**Pour définir le calendrier et affiner l'étendue du travail**

1. Sur la page **Affiner le champ d'application**, spécifiez la fréquence à laquelle vous souhaitez que le travail soit exécuté : 
   + Pour exécuter la tâche une seule fois, immédiatement après l'avoir créée, choisissez **Tâche unique**.
   + Pour exécuter la tâche de façon périodique et récurrente, choisissez la **tâche planifiée**. Pour la **fréquence des mises à jour**, choisissez d'exécuter la tâche quotidiennement, chaque semaine ou chaque mois. Utilisez ensuite l'option **Inclure les objets existants** pour définir l'étendue de la première exécution de la tâche :
     + Cochez cette case pour analyser tous les objets existants immédiatement après avoir créé la tâche. Chaque exécution suivante analyse uniquement les objets créés ou modifiés après l'exécution précédente.
     + Décochez cette case pour ignorer l'analyse de tous les objets existants. La première exécution de la tâche analyse uniquement les objets créés ou modifiés une fois que vous avez terminé de créer la tâche et avant le début de la première exécution. Chaque exécution suivante analyse uniquement les objets créés ou modifiés après l'exécution précédente.

       Il est utile de décocher cette case lorsque vous avez déjà analysé les données et que vous souhaitez continuer à les analyser régulièrement. Par exemple, si vous avez déjà utilisé un autre service ou une autre application pour classer les données et que vous avez récemment commencé à utiliser Macie, vous pouvez utiliser cette option pour garantir la découverte et la classification continues de vos données sans encourir de coûts inutiles ni dupliquer les données de classification.

1. (Facultatif) Pour spécifier le pourcentage d'objets que vous souhaitez que la tâche analyse, entrez le pourcentage dans le champ **Profondeur d'échantillonnage**.

   Si cette valeur est inférieure à 100 %, Macie sélectionne les objets à analyser au hasard, jusqu'au pourcentage spécifié, et analyse toutes les données contenues dans ces objets. La valeur par défaut est 100 %.

1. (Facultatif) Pour ajouter des critères spécifiques qui déterminent quels objets S3 sont inclus ou exclus de l'analyse de la tâche, développez la section **Paramètres supplémentaires**, puis entrez les critères. Ces critères consistent en des conditions individuelles qui découlent des propriétés des objets :
   + Pour analyser (*inclure*) des objets répondant à une condition spécifique, entrez le type et la valeur de la condition, puis choisissez **Inclure**.
   + Pour ignorer (*exclure) les* objets qui répondent à une condition spécifique, entrez le type et la valeur de la condition, puis choisissez **Exclure**.

   Répétez cette étape pour chaque condition d'inclusion ou d'exclusion que vous souhaitez.

   Si vous entrez plusieurs conditions, les conditions d'exclusion ont priorité sur les conditions d'inclusion. Par exemple, si vous incluez des objets portant l'extension de nom de fichier .pdf et que vous excluez des objets dont la taille est supérieure à 5 Mo, la tâche analyse tout objet portant l'extension de nom de fichier .pdf, sauf si l'objet est supérieur à 5 Mo.

1. Lorsque vous avez terminé, choisissez **Suivant**.

## Étape 4 : Sélectionnez les identifiants de données gérés
<a name="discovery-jobs-create-step4"></a>

Pour cette étape, spécifiez les identifiants de données gérés que vous souhaitez que la tâche utilise lorsqu'elle analyse des objets S3. Vous avez deux options :
+ **Utiliser les paramètres recommandés** ‐ Avec cette option, la tâche analyse les objets S3 à l'aide de l'ensemble d'identifiants de données gérés que nous recommandons pour les tâches. Cet ensemble est conçu pour détecter les catégories et types courants de données sensibles. Pour consulter la liste des identificateurs de données gérés figurant actuellement dans l'ensemble, consultez[Identifiants de données gérés recommandés pour les tâches](discovery-jobs-mdis-recommended.md). Nous mettons à jour cette liste chaque fois que nous ajoutons ou supprimons un identifiant de données gérées dans l'ensemble.
+ **Utiliser des paramètres personnalisés** ‐ Avec cette option, la tâche analyse les objets S3 à l'aide d'identifiants de données gérés que vous sélectionnez. Il peut s'agir de la totalité ou de certains des identifiants de données gérés actuellement disponibles. Vous pouvez également configurer la tâche pour qu'elle n'utilise aucun identifiant de données géré. La tâche peut à la place utiliser uniquement les identifiants de données personnalisés que vous sélectionnez à l'étape suivante. Pour consulter la liste des identifiants de données gérés actuellement disponibles, consultez[Référence rapide : Identifiants de données gérées par type](mdis-reference-quick.md). Nous mettons à jour cette liste chaque fois que nous publions un nouvel identifiant de données gérées.

Lorsque vous choisissez l'une ou l'autre option, Macie affiche un tableau des identifiants de données gérés. Dans le tableau, le champ **Type de données sensibles** indique l'identifiant unique (ID) d'un identifiant de données gérées. **Cet identifiant décrit le type de données sensibles que l'identifiant de données gérées est conçu pour détecter, par exemple : **USA\$1PASSPORT\$1NUMBER pour les numéros de passeport américains, CREDIT\$1CARD\$1NUMBER** **pour les numéros de carte de crédit et PGP\$1PRIVATE\$1KEY** pour les clés privées PGP.** Pour trouver des identifiants spécifiques plus rapidement, vous pouvez trier et filtrer le tableau par catégorie ou type de données sensibles.

**Pour sélectionner des identifiants de données gérés pour la tâche**

1. Sur la page **Sélectionner les identifiants de données gérés**, sous **Options d'identifiant de données gérées**, effectuez l'une des opérations suivantes :
   + Pour utiliser l'ensemble d'identifiants de données gérés que nous recommandons pour les tâches, choisissez **Recommandé**.

     Si vous choisissez cette option et que vous avez configuré le travail pour qu'il soit exécuté plusieurs fois, chaque exécution utilise automatiquement tous les identificateurs de données gérés figurant dans l'ensemble recommandé au début de l'exécution. Cela inclut les nouveaux identifiants de données gérés que nous publions et ajoutons à l'ensemble. Cela exclut les identifiants de données gérés que nous supprimons de l'ensemble et que nous ne recommandons plus pour les tâches.
   + Pour utiliser uniquement les identificateurs de données gérées spécifiques que vous sélectionnez, choisissez **Personnalisé**, puis choisissez **Utiliser des identifiants de données gérées spécifiques**. Dans le tableau, cochez ensuite la case correspondant à chaque identifiant de données gérées que vous souhaitez que la tâche utilise.

     Si vous choisissez cette option et que vous avez configuré le travail pour qu'il s'exécute plusieurs fois, chaque exécution utilise uniquement les identificateurs de données gérés que vous sélectionnez. En d'autres termes, la tâche utilise ces mêmes identifiants de données gérées à chaque fois qu'elle s'exécute.
   + Pour utiliser tous les identifiants de données gérés actuellement fournis par Macie, choisissez **Personnalisé**, puis choisissez **Utiliser des identifiants de données gérées spécifiques**. Dans le tableau, cochez ensuite la case dans l'en-tête de la colonne de sélection pour sélectionner toutes les lignes.

     Si vous choisissez cette option et que vous avez configuré le travail pour qu'il s'exécute plusieurs fois, chaque exécution utilise uniquement les identificateurs de données gérés que vous sélectionnez. En d'autres termes, la tâche utilise ces mêmes identifiants de données gérées à chaque fois qu'elle s'exécute.
   + Pour ne pas utiliser d'identifiants de données gérés et n'utiliser que des identifiants de données personnalisés, choisissez **Personnalisé**, puis choisissez **Ne pas utiliser d'identifiants de données gérées**. Ensuite, à l'étape suivante, sélectionnez les identifiants de données personnalisés à utiliser.

1. Lorsque vous avez terminé, choisissez **Suivant**.

## Étape 5 : Sélectionnez des identifiants de données personnalisés
<a name="discovery-jobs-create-step5"></a>

Pour cette étape, sélectionnez les identifiants de données personnalisés que vous souhaitez que la tâche utilise lorsqu'elle analyse des objets S3. La tâche utilisera les identifiants sélectionnés en plus des identifiants de données gérées pour lesquels vous avez configuré la tâche. Pour en savoir plus sur les identificateurs de données personnalisés, consultez[Création d’identificateurs de données personnalisés](custom-data-identifiers.md).

**Pour sélectionner des identifiants de données personnalisés pour la tâche**

1. Sur la page **Sélectionner des identifiants de données personnalisés**, cochez la case correspondant à chaque identifiant de données personnalisé que vous souhaitez que la tâche utilise. Vous pouvez sélectionner jusqu'à 30 identifiants de données personnalisés.
**Astuce**  
Pour vérifier ou tester les paramètres d'un identifiant de données personnalisé avant de le sélectionner, cliquez sur l'icône de lien (![\[The link icon, which is a blue box that has an arrow in it.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/icon-external-link.png)) à côté du nom de l'identifiant. Macie ouvre une page qui affiche les paramètres de l'identifiant.  
Vous pouvez également utiliser cette page pour tester l'identifiant à l'aide d'échantillons de données. Pour ce faire, entrez jusqu'à 1 000 caractères de texte dans la zone **Exemple de données**, puis choisissez **Test**. Macie évalue l'échantillon de données à l'aide de l'identifiant, puis indique le nombre de correspondances.

1. Lorsque vous avez fini de sélectionner des identifiants de données personnalisés, choisissez **Next**.

## Étape 6 : Sélectionnez les listes autorisées
<a name="discovery-jobs-create-step6"></a>

Pour cette étape, sélectionnez les listes d'autorisation que vous souhaitez que la tâche utilise lorsqu'elle analyse des objets S3. Pour en savoir plus sur les listes d'autorisation, voir[Définition des exceptions relatives aux données sensibles à l'aide de listes d'autorisation](allow-lists.md).

**Pour sélectionner des listes d'autorisation pour le travail**

1. Sur la page **Sélectionner les listes** d'autorisation, cochez la case correspondant à chaque liste d'autorisation que vous souhaitez que le travail utilise. Vous pouvez sélectionner jusqu'à 10 listes.
**Astuce**  
Pour vérifier les paramètres d'une liste d'autorisation avant de la sélectionner, cliquez sur l'icône de lien (![\[The link icon, which is a blue box that has an arrow in it.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/icon-external-link.png)) à côté du nom de la liste. Macie ouvre une page qui affiche les paramètres de la liste.  
Si la liste indique une expression régulière (*regex*), vous pouvez également utiliser cette page pour tester l'expression régulière avec des exemples de données. Pour ce faire, entrez jusqu'à 1 000 caractères de texte dans la zone **Exemple de données**, puis choisissez **Test**. Macie évalue les exemples de données à l'aide de l'expression régulière, puis indique le nombre de correspondances.

1. Lorsque vous avez fini de sélectionner les listes autorisées, choisissez **Next**.

## Étape 7 : Entrez les paramètres généraux
<a name="discovery-jobs-create-step7"></a>

Pour cette étape, spécifiez un nom et, éventuellement, une description de la tâche. Vous pouvez également attribuer des balises à la tâche. Un *tag* est un label que vous définissez et attribuez à certains types de AWS ressources. Chaque balise comprend une clé de balise obligatoire et une valeur de balise facultative. Les balises peuvent vous aider à identifier, à classer et à gérer les ressources de différentes manières, par exemple en fonction de leur objectif, de leur propriétaire, de leur environnement ou d'autres critères. Pour en savoir plus, veuillez consulter la section [Marquer les ressources de Macie](tagging-resources.md).

**Pour saisir les paramètres généraux de la tâche**

1. Sur la page **Entrer les paramètres généraux**, entrez le nom de la tâche dans le champ **Nom de la tâche**. Le nom peut contenir jusqu'à 500 caractères. 

1. (Facultatif) Dans le **champ Description du poste**, entrez une brève description du poste. La description peut contenir jusqu'à 200 caractères. 

1. (Facultatif) Pour les **balises**, choisissez **Ajouter une étiquette**, puis entrez jusqu'à 50 balises à attribuer à la tâche.

1. Lorsque vous avez terminé, choisissez **Suivant**.

## Étape 8 : Réviser et créer
<a name="discovery-jobs-create-step8"></a>

Pour cette dernière étape, passez en revue les paramètres de configuration de la tâche et vérifiez qu'ils sont corrects. Il s'agit d'une étape importante. Une fois que vous avez créé une tâche, vous ne pouvez modifier aucun de ces paramètres. Cela permet de garantir que vous disposez d'un historique immuable des découvertes relatives aux données sensibles et des résultats de découverte pour les audits ou enquêtes que vous effectuez sur la confidentialité et la protection des données.

En fonction des paramètres de la tâche, vous pouvez également consulter le coût total estimé (en dollars américains) de l'exécution unique de la tâche. Si vous avez sélectionné des compartiments S3 spécifiques pour la tâche, l'estimation est basée sur la taille et le type d'objets contenus dans les compartiments sélectionnés, ainsi que sur la quantité de données que la tâche peut analyser. Si vous avez défini des critères de compartiment pour la tâche, l'estimation est basée sur la taille et le type d'objets contenus dans pas moins de 500 compartiments qui répondent actuellement aux critères, ainsi que sur la quantité de données que la tâche peut analyser. Pour en savoir plus sur cette estimation, voir[Prévision et suivi des coûts du travail](discovery-jobs-costs.md).

**Pour consulter et créer le poste**

1. Sur la page **Réviser et créer**, passez en revue chaque paramètre et vérifiez qu'il est correct. Pour modifier un paramètre, choisissez **Modifier** dans la section contenant le paramètre, puis entrez le paramètre correct. Vous pouvez également utiliser les onglets de navigation pour accéder à la page contenant un paramètre.

1. Lorsque vous avez terminé de vérifier les paramètres, choisissez **Soumettre** pour créer et enregistrer le travail. Macie vérifie les paramètres et vous informe de tout problème à résoudre.
**Note**  
Si vous n'avez pas configuré de référentiel pour vos résultats de découverte de données sensibles, Macie affiche un avertissement et n'enregistre pas le travail. Pour résoudre ce problème, choisissez **Configurer** dans la section **Référentiel pour les résultats de découverte de données sensibles**. Entrez ensuite les paramètres de configuration du référentiel. Pour savoir comment procéder, consultez [Stockage et conservation des résultats de découverte de données sensibles](discovery-results-repository-s3.md). Après avoir saisi les paramètres, revenez à la page **Révision et création** et choisissez Actualiser (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/btn-refresh-data.png)) dans la section **Référentiel pour les résultats de découverte de données sensibles** de la page.  
Bien que cela ne soit pas recommandé, vous pouvez temporairement annuler les exigences du référentiel et enregistrer le travail. Si vous le faites, vous risquez de perdre les résultats de la recherche : Macie ne les conserve que pendant 90 jours. Pour annuler temporairement l'exigence, cochez la case correspondant à l'option de dérogation.

1. Si Macie vous signale des problèmes à résoudre, résolvez-les, puis cliquez à nouveau sur **Soumettre** pour créer et enregistrer le travail.

Si vous avez configuré le travail pour qu'il s'exécute une fois, tous les jours ou le jour de la semaine ou du mois en cours, Macie commence à exécuter le travail immédiatement après l'avoir enregistré. Sinon, Macie se prépare à exécuter la tâche le jour de la semaine ou du mois spécifié. Pour surveiller la tâche, vous pouvez [vérifier l'état de la tâche](discovery-jobs-status-check.md).

# Examen des résultats d'une tâche de découverte de données sensibles
<a name="discovery-jobs-manage-results"></a>

Lorsque vous exécutez une tâche de découverte de données sensibles, Amazon Macie calcule et rapporte automatiquement certaines données statistiques pour la tâche. Par exemple, Macie indique le nombre de fois que la tâche a été exécutée et le nombre approximatif d'objets Amazon Simple Storage Service (Amazon S3) que la tâche n'a pas encore traités au cours de son exécution en cours. Macie produit également plusieurs types de résultats pour cette tâche : *événements de journalisation*, résultats de découverte de *données sensibles et résultats* de *découverte de données sensibles*.

**Topics**
+ [Types de résultats professionnels](#discovery-jobs-manage-results-types)
+ [Examiner les statistiques et les résultats des emplois](#discovery-jobs-manage-results-review)

## Types de résultats pour les tâches de découverte de données sensibles
<a name="discovery-jobs-manage-results-types"></a>

Au fur et à mesure qu'une tâche de découverte de données sensibles progresse, Amazon Macie produit les types de résultats suivants pour cette tâche.

**Enregistrer un événement**  
Il s'agit d'un enregistrement d'un événement qui s'est produit pendant l'exécution de la tâche. Macie enregistre et publie automatiquement les données de certains événements sur Amazon CloudWatch Logs. Les données de ces journaux fournissent un enregistrement des modifications apportées à la progression ou à l'état de la tâche, telles que la date et l'heure exactes auxquelles la tâche a commencé ou s'est arrêtée. Les données fournissent également des détails sur les erreurs de compte ou de compartiment survenues pendant l'exécution de la tâche.  
Les événements du journal peuvent vous aider à surveiller une tâche et à résoudre les problèmes qui empêchaient la tâche d'analyser les données souhaitées. Si une tâche utilise des critères d'exécution pour déterminer les compartiments S3 à analyser, les événements du journal peuvent également vous aider à déterminer si et quels compartiments S3 répondaient aux critères lors de l'exécution de la tâche.  
Vous pouvez accéder aux événements du journal à l'aide de la CloudWatch console Amazon ou de l'API Amazon CloudWatch Logs. Pour vous aider à accéder aux événements du journal d'une tâche, la console Amazon Macie fournit un lien vers ces événements. Pour de plus amples informations, veuillez consulter [Surveillance des tâches à l'aide CloudWatch des journaux](discovery-jobs-monitor-cw-logs.md).

**Recherche de données sensibles**  
Il s'agit d'un rapport de données sensibles que Macie a trouvées dans un objet S3. Chaque résultat fournit une note de gravité et des détails tels que :  
+ Date et heure auxquelles Macie a trouvé les données sensibles.
+ Catégorie et types de données sensibles détectées par Macie.
+ Le nombre d'occurrences de chaque type de données sensibles détectées par Macie.
+ Identifiant unique de la tâche à l'origine de la recherche.
+ Le nom, les paramètres d'accès public, le type de chiffrement et les autres informations relatives au compartiment et à l'objet S3 concernés.
Selon le type de fichier ou le format de stockage de l'objet S3 concerné, les détails peuvent également inclure l'emplacement de 15 occurrences des données sensibles détectées par Macie. Pour signaler les données de localisation, les résultats de données sensibles utilisent un [schéma JSON standardisé](findings-locate-sd-schema.md).  
Une découverte de données sensibles n'inclut pas les données sensibles trouvées par Macie. Il fournit plutôt des informations que vous pouvez utiliser pour des recherches plus approfondies et des mesures correctives si nécessaire.  
Macie conserve les résultats de données sensibles pendant 90 jours. Vous pouvez y accéder à l'aide de la console Amazon Macie ou de l'API Amazon Macie. Vous pouvez également les surveiller et les traiter à l'aide d'autres applications, services et systèmes. Pour de plus amples informations, veuillez consulter [Examen et analyse des résultats](findings.md).

**Résultat de la découverte de données sensibles**  
Il s'agit d'un enregistrement qui enregistre les détails de l'analyse d'un objet S3. Macie crée automatiquement un résultat de découverte de données sensibles pour chaque objet que vous configurez une tâche à analyser. Cela inclut les objets dans lesquels Macie ne trouve aucune donnée sensible et ne produit donc pas de données sensibles, ainsi que les objets que Macie ne peut pas analyser en raison d'erreurs ou de problèmes tels que les paramètres d'autorisation ou l'utilisation d'un format de fichier ou de stockage non pris en charge.  
Si Macie trouve des données sensibles dans un objet S3, le résultat de la découverte de données sensibles inclut les données issues de la recherche de données sensibles correspondante. Il fournit également des informations supplémentaires, telles que l'emplacement de pas moins de 1 000 occurrences de chaque type de données sensibles trouvées par Macie dans l'objet. Par exemple :   
+ Numéro de colonne et de ligne d'une cellule ou d'un champ dans un classeur Microsoft Excel, un fichier CSV ou un fichier TSV
+ Le chemin d'accès à un champ ou à un tableau dans un fichier JSON ou JSON Lines
+ Numéro de ligne d'une ligne dans un fichier texte non binaire autre qu'un fichier CSV, JSON, JSON Lines ou TSV, par exemple un fichier HTML, TXT ou XML
+ Numéro de page d'une page dans un fichier Adobe Portable Document Format (PDF)
+ L'index d'enregistrement et le chemin d'accès à un champ dans un enregistrement d'un conteneur d'objets Apache Avro ou d'un fichier Apache Parquet
Si l'objet S3 concerné est un fichier d'archive, tel qu'un fichier .tar ou .zip, le résultat de la découverte de données sensibles fournit également des données de localisation détaillées pour les occurrences de données sensibles dans des fichiers individuels que Macie a extraits de l'archive. Macie n'inclut pas ces informations dans les résultats de données sensibles pour les fichiers d'archive. Pour signaler les données de localisation, les résultats de découverte de données sensibles utilisent un [schéma JSON standardisé](findings-locate-sd-schema.md).  
Un résultat de découverte de données sensibles n'inclut pas les données sensibles trouvées par Macie. Il vous fournit plutôt un enregistrement d'analyse qui peut être utile pour les audits ou enquêtes sur la confidentialité et la protection des données.  
Macie conserve les résultats de la découverte de vos données sensibles pendant 90 jours. Vous ne pouvez pas y accéder directement depuis la console Amazon Macie ou via l'API Amazon Macie. Au lieu de cela, vous configurez Macie pour les chiffrer et les stocker dans un compartiment S3. Le bucket peut servir de référentiel définitif à long terme pour tous vos résultats de découverte de données sensibles. Vous pouvez ensuite éventuellement accéder aux résultats de ce référentiel et les interroger. Pour savoir comment configurer ces paramètres, consultez[Stockage et conservation des résultats de découverte de données sensibles](discovery-results-repository-s3.md).  
Après avoir configuré les paramètres, Macie écrit les résultats de la découverte de vos données sensibles dans des fichiers JSON Lines (.jsonl), puis chiffre et ajoute ces fichiers au compartiment S3 sous forme de fichiers GNU Zip (.gz). Pour vous aider à accéder aux résultats, la console Amazon Macie fournit des liens vers ces derniers.

Les découvertes de données sensibles et les résultats de découverte de données sensibles respectent tous deux des schémas standardisés. Cela peut éventuellement vous aider à les interroger, à les surveiller et à les traiter à l'aide d'autres applications, services et systèmes.

**Conseils**  
Pour un exemple détaillé et instructif de la manière dont vous pouvez interroger et utiliser les résultats de découverte de données sensibles pour analyser et signaler les risques potentiels liés à la sécurité des données, consultez le billet de blog suivant sur le *blog sur la AWS sécurité* : [Comment interroger et visualiser les résultats de découverte de données sensibles de Macie avec Amazon Athena et Amazon](https://aws.amazon.com/blogs/security/how-to-query-and-visualize-macie-sensitive-data-discovery-results-with-athena-and-quicksight/) Quick.  
Pour obtenir des exemples de requêtes Amazon Athena que vous pouvez utiliser pour analyser les résultats de découverte de données sensibles, consultez le référentiel [Amazon Macie Results Analytics sur](https://github.com/aws-samples/amazon-macie-results-analytics). GitHub Ce référentiel fournit également des instructions pour configurer Athena afin de récupérer et de déchiffrer vos résultats, ainsi que des scripts pour créer des tables pour les résultats.

## Examen des statistiques et des résultats pour une tâche de découverte de données sensibles
<a name="discovery-jobs-manage-results-review"></a>

Pour consulter les statistiques de traitement et les résultats d'une tâche de découverte de données sensibles, vous pouvez utiliser la console Amazon Macie ou l'API Amazon Macie. Procédez comme suit pour consulter les statistiques et les résultats à l'aide de la console.

Pour accéder aux statistiques de traitement d'une tâche par programmation, utilisez l'[DescribeClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-jobid.html)API Amazon Macie. Pour accéder par programmation aux résultats produits par une tâche, utilisez l'[ListFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings.html)opération et spécifiez l'identifiant unique de la tâche dans une condition de filtre pour le `classificationDetails.jobId` champ. Pour savoir comment procéder, consultez [Création et application de filtres aux résultats de Macie](findings-filter-procedure.md). Vous pouvez ensuite utiliser l'[GetFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html)opération pour récupérer les détails des résultats.

**Pour consulter les statistiques et les résultats d'une offre d'emploi**

1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Dans le volet de navigation, sélectionnez **Tâches**.

1. Sur la **page Tâches**, choisissez le nom de la tâche dont vous souhaitez consulter les statistiques et les résultats. Le panneau de détails affiche les statistiques, les paramètres et d'autres informations relatives à la tâche.

1. Dans le panneau de détails, effectuez l'une des opérations suivantes :
   + Pour consulter les statistiques de traitement de la tâche, reportez-vous à la section **Statistiques** du panneau. Cette section affiche des statistiques telles que le nombre de fois que le travail a été exécuté et le nombre approximatif d'objets que le travail n'a pas encore traités au cours de son exécution en cours.
   + Pour consulter les événements du journal de la tâche, choisissez **Afficher les résultats** en haut du panneau, puis **Afficher CloudWatch les journaux**. Macie ouvre la CloudWatch console Amazon et affiche un tableau des événements du journal publiés par Macie pour la tâche.
   + Pour consulter tous les résultats relatifs aux données sensibles produits par le travail, choisissez **Afficher les résultats** en haut du panneau, puis choisissez **Afficher les résultats**. Macie ouvre la page **Résultats** et affiche tous les résultats de la tâche. Pour consulter les détails d'un résultat en particulier, choisissez le résultat, puis reportez-vous au panneau des détails.
**Astuce**  
Dans le panneau des détails de la recherche, vous pouvez utiliser le lien dans le champ **Emplacement détaillé des résultats** pour accéder au résultat de découverte de données sensibles correspondant dans Amazon S3 :  
Si le résultat s'applique à une archive volumineuse ou à un fichier compressé, le lien affiche le dossier contenant les résultats de la découverte du fichier. Une archive ou un fichier compressé est *volumineux* s'il génère plus de 100 résultats de découverte.
Si le résultat s'applique à une petite archive ou à un fichier compressé, le lien affiche le fichier contenant les résultats de la découverte du fichier. Une archive ou un fichier compressé est *petit* s'il génère 100 résultats de découverte ou moins.
Si le résultat s'applique à un autre type de fichier, le lien affiche le fichier contenant les résultats de la découverte du fichier.
   + Pour consulter tous les résultats de découverte de données sensibles produits par le travail, choisissez **Afficher les résultats** en haut du panneau, puis **Afficher les classifications**. Macie ouvre la console Amazon S3 et affiche le dossier contenant tous les résultats de découverte de la tâche. Cette option n'est disponible qu'après avoir configuré Macie pour [stocker les résultats de la découverte de données sensibles](discovery-results-repository-s3.md) dans un compartiment S3.

# Gestion des tâches de découverte de données sensibles
<a name="discovery-jobs-manage"></a>

Pour vous aider à gérer vos tâches de découverte de données sensibles, Amazon Macie tient à jour un inventaire complet de vos tâches dans chacune d'elles. Région AWS Grâce à cet inventaire, vous pouvez gérer vos tâches en tant que collection unique et accéder aux paramètres de configuration, aux statistiques de traitement et au statut des tâches individuelles.

Par exemple, vous pouvez identifier toutes les tâches que vous avez configurées pour être exécutées de manière récurrente à des fins d'analyse, d'évaluation et de surveillance périodiques. Vous pouvez également consulter le détail des paramètres de configuration d'une tâche. Cela inclut les paramètres qui définissent la portée de l'analyse. Il inclut également des paramètres qui spécifient les types de données sensibles que vous souhaitez que Macie détecte et signale lors de l'exécution de la tâche. Si vous utilisez la console Amazon Macie pour gérer vos tâches, les détails de chaque tâche fournissent également un accès direct aux [données sensibles et aux autres résultats produits](discovery-jobs-manage-results.md) par la tâche.

Outre ces tâches, vous pouvez créer des variantes personnalisées de tâches individuelles. Vous pouvez copier une tâche existante, ajuster les paramètres de la copie, puis enregistrer la copie en tant que nouvelle tâche. Cela peut être utile dans les cas où vous souhaitez analyser différents ensembles de données de la même manière, ou le même ensemble de données de différentes manières. Cela peut également être utile si vous souhaitez ajuster les paramètres de configuration d'une tâche existante : annulez la tâche existante, copiez-la, puis ajustez et enregistrez la copie en tant que nouvelle tâche.

**Topics**
+ [Révision de votre inventaire d'emplois](discovery-jobs-manage-view.md)
+ [Révision des paramètres de configuration d'une tâche](discovery-jobs-manage-settings.md)
+ [Vérifier le statut d'une tâche](discovery-jobs-status-check.md)
+ [Modifier le statut d'une tâche](discovery-jobs-status-change.md)
+ [Copier une tâche](discovery-jobs-manage-copy.md)

# Révision de votre inventaire des tâches de découverte de données sensibles
<a name="discovery-jobs-manage-view"></a>

Sur la console Amazon Macie, vous pouvez consulter un inventaire complet de vos tâches actuelles de découverte de données sensibles. Région AWS L'inventaire fournit à la fois des informations récapitulatives pour toutes vos tâches et des détails sur les tâches individuelles. Les informations récapitulatives incluent : le statut actuel de chaque tâche ; si une tâche est exécutée de manière planifiée et périodique ; et si une tâche est configurée pour analyser des objets dans des compartiments Amazon Simple Storage Service (Amazon S3) spécifiques ou des compartiments S3 répondant aux critères d'exécution. Pour les tâches individuelles, vous pouvez également accéder à des détails tels que le détail des paramètres de configuration de la tâche. Si une tâche a déjà été exécutée, les détails fournissent également un accès direct aux données sensibles et aux autres types de résultats produits par la tâche.

**Pour consulter votre inventaire des emplois**

Suivez ces étapes pour consulter votre inventaire de tâches à l'aide de la console Amazon Macie. Pour accéder à votre inventaire par programmation, utilisez l'[ListClassificationJobs](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-list.html)API Amazon Macie.

1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Dans le volet de navigation, sélectionnez **Tâches**. La page **Tâches** s'ouvre et affiche le nombre de tâches figurant dans votre inventaire ainsi qu'un tableau de ces tâches.

1. En haut de la page, choisissez éventuellement refresh (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/btn-refresh-data.png)) pour récupérer le statut actuel de chaque tâche.

1. Dans le tableau **des tâches**, passez en revue les informations récapitulatives relatives à vos tâches :
   + **Nom de la tâche** : nom de la tâche.
   + **Ressources** : si la tâche est configurée pour analyser des objets dans des compartiments S3 spécifiques ou des compartiments répondant aux critères d'exécution. Si vous avez explicitement sélectionné des compartiments pour la tâche à analyser, ce champ indique le nombre de compartiments que vous avez sélectionnés. Si vous avez configuré la tâche pour utiliser des critères d'exécution, la valeur de ce champ est **basée sur des critères**.
   + **Type de tâche** : si la tâche est configurée pour être exécutée **une fois** (une fois) ou de manière planifiée et périodique (**planifiée**). 
   + **État** : statut actuel de la tâche. Pour en savoir plus sur cette valeur, consultez[Vérifier le statut d'une tâche](discovery-jobs-status-check.md).
   + **Créé à** : date à laquelle le poste a été créé.

1. Pour analyser votre inventaire ou trouver un emploi spécifique plus rapidement, effectuez l'une des opérations suivantes :
   + Pour trier le tableau en fonction d'un champ spécifique, choisissez l'en-tête de colonne du champ. Pour modifier l'ordre de tri, choisissez à nouveau l'en-tête de colonne.
   + Pour afficher uniquement les tâches qui ont une valeur spécifique pour un champ, placez votre curseur dans la zone de filtre. Dans le menu qui apparaît, choisissez le champ à utiliser pour le filtre, puis entrez la valeur du filtre. Choisissez ensuite **Appliquer**.
   + Pour masquer les tâches qui ont une valeur spécifique pour un champ, placez votre curseur dans la zone de filtre. Dans le menu qui apparaît, choisissez le champ à utiliser pour le filtre, puis entrez la valeur du filtre. Choisissez ensuite **Appliquer**. Dans la zone de filtre, choisissez l'icône égale (![\[The equals icon, which is a solid gray circle.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/icon-operator-equals.png)) pour le filtre. Cela fait passer l'opérateur du filtre de *égal* à *non égal* (![\[The not equals icon, which is an empty gray circle that has a backslash in it.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/icon-operator-not-equals.png)).
   + Pour supprimer un filtre, cliquez sur l'icône de suppression du filtre (![\[The remove filter condition icon, which is a circle that has an X in it.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/icon-filter-remove.png)) correspondant au filtre à supprimer.

1. Pour consulter les paramètres et les détails supplémentaires d'une tâche en particulier, choisissez le nom de la tâche. Reportez-vous ensuite au panneau de détails. Pour plus d'informations sur ces détails, consultez[Révision des paramètres de configuration d'une tâche](discovery-jobs-manage-settings.md).

# Révision des paramètres d'une tâche de découverte de données sensibles
<a name="discovery-jobs-manage-settings"></a>

Sur la console Amazon Macie, vous pouvez utiliser le panneau de détails de la page Tâches pour consulter les paramètres de configuration et d'autres informations relatives aux **tâches** de découverte de données sensibles individuelles. Par exemple, vous pouvez consulter la liste des compartiments Amazon Simple Storage Service (Amazon S3) qu'une tâche est configurée pour analyser. Vous pouvez également déterminer les identifiants de données gérés et personnalisés pour lesquels une tâche est configurée lors de l'analyse d'objets dans ces compartiments.

Notez que vous ne pouvez modifier aucun paramètre de configuration pour une tâche existante. Cela permet de garantir que vous disposez d'un historique immuable des découvertes relatives aux données sensibles et des résultats de découverte pour les audits ou enquêtes que vous effectuez sur la confidentialité et la protection des données.

Si vous souhaitez modifier une tâche existante, vous pouvez [l'annuler](discovery-jobs-status-change.md). [Copiez ensuite la tâche](discovery-jobs-manage-copy.md), configurez la copie pour utiliser les paramètres souhaités et enregistrez la copie en tant que nouvelle tâche. Dans ce cas, vous devez également prendre des mesures pour vous assurer que la nouvelle tâche n'analyse pas à nouveau les données existantes de la même manière. Pour ce faire, notez la date et l'heure auxquelles vous annulez le travail existant. Configurez ensuite l'étendue de la nouvelle tâche pour inclure uniquement les objets créés ou modifiés après l'annulation de la tâche d'origine. Par exemple, vous pouvez utiliser des [critères d'objet](discovery-jobs-scope.md#discovery-jobs-scope-criteria) pour définir une condition d'exclusion qui indique à quel moment vous avez annulé le travail d'origine.

**Pour consulter les paramètres de configuration d'une tâche**

Suivez ces étapes pour vérifier les paramètres de configuration d'une tâche à l'aide de la console Amazon Macie. Pour vérifier les paramètres par programmation, utilisez le [DescribeClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-jobid.html)fonctionnement de l'API Amazon Macie.

1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Dans le volet de navigation, sélectionnez **Tâches**. La page **Tâches** s'ouvre et affiche le nombre de tâches figurant dans votre inventaire ainsi qu'un tableau de ces tâches.

1. Dans le **tableau** Tâches, choisissez le nom de la tâche dont vous souhaitez vérifier les paramètres. Pour trouver le travail plus rapidement, vous pouvez filtrer le tableau à l'aide des options de filtrage situées au-dessus du tableau. Vous pouvez également trier le tableau par ordre croissant ou décroissant selon certains champs.

Lorsque vous choisissez une tâche dans le tableau, le panneau de détails affiche les paramètres de configuration de la tâche et d'autres informations relatives à la tâche. En fonction des paramètres de la tâche, le panneau contient les sections suivantes.

**Informations générales**  
Cette section fournit des informations générales sur le poste. Par exemple, il indique le nom de ressource Amazon (ARN) de la tâche, la date à laquelle la tâche a récemment commencé à s'exécuter et l'état actuel de la tâche. Si vous avez suspendu la tâche, cette section indique également à quel moment vous l'avez interrompue et à quel moment la tâche ou la dernière exécution de la tâche a expiré ou expirera si vous ne la reprenez pas.

**Statistiques**  
Cette section présente les statistiques de traitement relatives à la tâche. Par exemple, il indique le nombre de fois que la tâche a été exécutée et le nombre approximatif d'objets S3 que la tâche n'a pas encore traités au cours de son exécution en cours.

**Scope (Portée)**  
Cette section indique la fréquence d'exécution de la tâche. Il affiche également les paramètres qui affinent la portée de la tâche, par exemple la [profondeur d'échantillonnage](discovery-jobs-scope.md#discovery-jobs-scope-sampling) et tous les [critères d'objet](discovery-jobs-scope.md#discovery-jobs-scope-criteria) qui incluent ou excluent les objets S3 de l'analyse.

**Compartiments S3**  
Cette section apparaît dans le panneau si la tâche est configurée pour analyser les compartiments que vous avez explicitement sélectionnés lors de sa création. Il indique le numéro pour Comptes AWS lequel la tâche est configurée pour analyser les données. Il indique également le nombre de compartiments que la tâche est configurée pour analyser et les noms de ces compartiments (regroupés par compte).  
Pour afficher la liste complète des comptes et des compartiments au format JSON, choisissez le numéro dans le champ **Total des compartiments**.

**Critères du compartiment S3**  
Cette section apparaît dans le panneau si la tâche utilise des critères d'exécution pour déterminer les compartiments à analyser. Il répertorie les critères que la tâche est configurée pour utiliser. Pour afficher les critères au format JSON, sélectionnez **Détails**. Choisissez ensuite l'onglet **Critères** dans la fenêtre qui apparaît.  
Pour consulter la liste des compartiments qui répondent actuellement aux critères, choisissez **Détails**. Choisissez ensuite l'onglet **Matching buckets** dans la fenêtre qui apparaît. Choisissez éventuellement refresh (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/btn-refresh-data.png)) pour récupérer les dernières données. L'onglet répertorie jusqu'à 25 compartiments qui répondent actuellement aux critères.  
Si la tâche a déjà été exécutée, vous pouvez également déterminer si des buckets répondaient aux critères lors de son exécution et, dans l'affirmative, les noms de ces buckets. Pour ce faire, passez en revue les événements du journal de la tâche : choisissez **Afficher les résultats** en haut du panneau, puis sélectionnez **Afficher CloudWatch les journaux**. Macie ouvre la CloudWatch console Amazon et affiche un tableau des événements du journal de la tâche. Les événements incluent un `BUCKET_MATCHED_THE_CRITERIA` événement pour chaque compartiment qui correspond aux critères et a été inclus dans l'analyse de la tâche. Pour de plus amples informations, veuillez consulter [Surveillance des tâches à l'aide CloudWatch des journaux](discovery-jobs-monitor-cw-logs.md).

**Identifiants de données personnalisés**  
Cette section apparaît dans le panneau si la tâche est configurée pour utiliser un ou plusieurs [identifiants de données personnalisés](custom-data-identifiers.md). Il spécifie les noms de ces identifiants de données personnalisés.

**Autoriser les listes**  
Cette section apparaît dans le panneau si la tâche est configurée pour utiliser une ou plusieurs [listes d'autorisations](allow-lists.md). Il indique les noms de ces listes. Pour consulter les paramètres et le statut d'une liste, cliquez sur l'icône de lien (![\[The link icon, which is a blue box that has an arrow in it.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/icon-view-resource-blue.png)) à côté du nom de la liste.

**Identifiants de données gérés**  
Cette section indique les [identifiants de données gérés](managed-data-identifiers.md) pour lesquels la tâche est configurée. Ceci est déterminé par le type de sélection de l'identifiant de données géré pour la tâche :  
+ **Recommandé** : utilisez les identificateurs de données gérés figurant dans l'[ensemble recommandé](discovery-jobs-mdis-recommended.md) lors de l'exécution de la tâche.
+ **Inclure la sélection** : utilisez uniquement les identifiants de données gérés répertoriés dans la section **Sélections**.
+ **Tout inclure** : utilisez tous les identifiants de données gérés disponibles lors de l'exécution de la tâche.
+ **Exclure les données sélectionnées** : utilisez tous les identifiants de données gérés disponibles lors de l'exécution de la tâche, à l'exception de ceux répertoriés dans la section **Sélections**.
+ **Tout exclure** : n'utilisez aucun identifiant de données géré. Utilisez uniquement les identificateurs de données personnalisés spécifiés.
Pour consulter ces paramètres au format JSON, sélectionnez **Détails**.

**Balises**  
Cette section apparaît dans le panneau si des balises sont attribuées à la tâche. Il répertorie ces tags. Un *tag* est un label que vous définissez et attribuez à certains types de AWS ressources. Chaque balise comprend une clé de balise obligatoire et une valeur de balise facultative. Pour en savoir plus, veuillez consulter la section [Marquer les ressources de Macie](tagging-resources.md).

Pour consulter et enregistrer les paramètres de la tâche au format JSON, choisissez l'identifiant unique de la **tâche (Job ID**) en haut du panneau. Choisissez ensuite **Télécharger**.

# Vérification de l'état d'une tâche de découverte de données sensibles
<a name="discovery-jobs-status-check"></a>

Lorsque vous créez une tâche de découverte de données sensibles, son statut initial est **Actif (Exécutif)** ou **Actif (Inactif)**, selon le type et le calendrier de la tâche. La tâche passe ensuite par d'autres états, que vous pouvez surveiller au fur et à mesure de son avancement.

**Astuce**  
Outre le suivi de l'état général d'une tâche, vous pouvez surveiller les événements spécifiques qui se produisent au fur et à mesure de l'avancement d'une tâche. Vous pouvez le faire en utilisant les données de journalisation qu'Amazon Macie publie automatiquement sur Amazon CloudWatch Logs. Les données de ces journaux fournissent un enregistrement des modifications apportées au statut d'une tâche et des informations détaillées sur les erreurs de compte ou de compartiment survenant lors de l'exécution d'une tâche. Pour de plus amples informations, veuillez consulter [Surveillance des tâches à l'aide CloudWatch des journaux](discovery-jobs-monitor-cw-logs.md).

**Pour vérifier le statut d'une tâche**

Suivez ces étapes pour vérifier le statut d'une tâche à l'aide de la console Amazon Macie. Pour vérifier le statut d'une tâche par programmation, utilisez l'[DescribeClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-jobid.html)API Amazon Macie.

1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Dans le volet de navigation, sélectionnez **Tâches**. La page **Tâches** s'ouvre et affiche le nombre de tâches figurant dans votre inventaire ainsi qu'un tableau de ces tâches.

1. En haut de la page, choisissez refresh (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/btn-refresh-data.png)) pour récupérer le statut actuel de chaque tâche.

1. Dans le **tableau** Tâches, recherchez la tâche dont vous souhaitez vérifier le statut. Pour trouver le travail plus rapidement, vous pouvez filtrer le tableau à l'aide des options de filtrage situées au-dessus du tableau. Vous pouvez également trier le tableau par ordre croissant ou décroissant selon certains champs.

1. Reportez-vous au champ **État** du tableau. Ce champ indique le statut actuel de la tâche.

Le statut d'une tâche peut être l'un des suivants.

**Actif (inactif)**  
Pour une tâche périodique, l'exécution précédente est terminée et la prochaine exécution planifiée est en attente. Cette valeur ne s'applique pas aux tâches ponctuelles.

**Actif (course à pied)**  
Pour une tâche ponctuelle, la tâche est actuellement en cours de réalisation. Pour une tâche périodique, une exécution planifiée est en cours.

**Annulée**  
Quel que soit le type de tâche, la tâche a été définitivement arrêtée (annulée).  
Une tâche possède ce statut si vous l'avez explicitement annulée ou, s'il s'agit d'une tâche ponctuelle, si vous l'avez suspendue et ne l'avez pas reprise dans les 30 jours. Une offre d'emploi peut également avoir ce statut si vous avez [suspendu Macie](suspend-macie.md) dans le passé. Région AWS

**Complet**  
Pour une tâche ponctuelle, la tâche s'est exécutée correctement et est maintenant terminée. Cette valeur ne s'applique pas aux tâches périodiques. Au lieu de cela, le statut d'une tâche périodique passe à **Active (Idle)** lorsque chaque exécution est terminée avec succès.

**En pause (par Macie)**  
Quel que soit le type de travail, le travail a été arrêté temporairement (suspendu) par Macie.  
Une tâche possède ce statut si son achèvement ou son exécution dépassent le [quota mensuel de découverte de données sensibles](macie-quotas.md) pour votre compte. Lorsque cela se produit, Macie met automatiquement le travail en pause. Macie reprend automatiquement le travail au début du mois civil suivant et le quota mensuel est redéfini pour votre compte, ou vous augmentez le quota de votre compte.  
Si vous êtes l'administrateur Macie d'une organisation et que vous avez configuré la tâche pour analyser les données des comptes des membres, la tâche peut également avoir ce statut si l'achèvement de la tâche ou l'exécution d'une tâche dépasse le quota mensuel de découverte de données sensibles pour un compte membre.  
Si une tâche est en cours d'exécution et que l'analyse des objets éligibles atteint ce quota pour un compte membre, la tâche arrête d'analyser les objets appartenant au compte. Lorsque le travail a terminé d'analyser les objets pour tous les autres comptes n'ayant pas atteint le quota, Macie interrompt automatiquement le travail. S'il s'agit d'une tâche ponctuelle, Macie reprend automatiquement la tâche au début du mois civil suivant ou le quota est augmenté pour tous les comptes concernés, selon la première éventualité. S'il s'agit d'une tâche périodique, Macie reprend automatiquement la tâche au début de la prochaine exécution ou au début du mois civil suivant, selon la première éventualité. Si une exécution planifiée commence avant le début du mois civil suivant ou si le quota est augmenté pour un compte concerné, la tâche n'analyse pas les objets appartenant au compte.

**En pause (par utilisateur)**  
Quel que soit le type de travail, vous l'avez arrêté temporairement (suspendu).  
Si vous interrompez une tâche ponctuelle et que vous ne la reprenez pas dans les 30 jours, la tâche expire et Macie l'annule. Si vous interrompez une tâche périodique alors qu'elle est en cours d'exécution et que vous ne la reprenez pas dans les 30 jours, l'exécution de la tâche expire et Macie l'annule. Pour vérifier la date d'expiration d'une tâche suspendue ou d'une exécution de tâche, choisissez le nom de la tâche dans le tableau, puis reportez-vous au champ **Expirations** dans la section **Détails du statut** du panneau de détails.

Si une tâche est annulée ou suspendue, vous pouvez consulter les détails de la tâche pour déterminer si elle a commencé à s'exécuter ou, dans le cas d'une tâche périodique, si elle a été exécutée au moins une fois avant d'être annulée ou suspendue. Pour ce faire, choisissez le nom de la tâche dans le **tableau** Tâches, puis reportez-vous au panneau de détails. Dans le panneau, le champ **Nombre d'exécutions** indique le nombre de fois que la tâche a été exécutée. Le champ Date et **heure de la dernière exécution** indique la date et l'heure les plus récentes auxquelles le job a commencé à être exécuté.

En fonction de l'état actuel de la tâche, vous pouvez éventuellement la suspendre, la reprendre ou l'annuler. Pour de plus amples informations, veuillez consulter [Modifier le statut d'une tâche](discovery-jobs-status-change.md).

# Modification du statut d'une tâche de découverte de données sensibles
<a name="discovery-jobs-status-change"></a>

Après avoir créé une tâche de découverte de données sensibles, vous pouvez la suspendre temporairement ou l'annuler définitivement. Lorsque vous suspendez une tâche en cours d'exécution, Amazon Macie commence immédiatement à suspendre toutes les tâches de traitement associées à cette tâche. Lorsque vous annulez une tâche en cours d'exécution, Macie commence immédiatement à arrêter toutes les tâches de traitement associées à cette tâche. Vous ne pouvez pas reprendre ou redémarrer une tâche après son annulation.

Si vous interrompez une tâche ponctuelle, vous pouvez la reprendre dans les 30 jours. Lorsque vous reprenez le travail, Macie reprend immédiatement le traitement à partir du point où vous l'avez suspendu. Macie ne redémarre pas le travail depuis le début. Si vous ne reprenez pas une tâche ponctuelle dans les 30 jours suivant son interruption, la tâche expire et Macie l'annule.

Si vous interrompez une tâche périodique, vous pouvez la reprendre à tout moment. Si vous reprenez une tâche périodique et que la tâche était inactive lorsque vous l'avez interrompue, Macie reprend la tâche conformément au calendrier et aux autres paramètres de configuration que vous avez choisis lors de la création de la tâche. Si vous reprenez une tâche périodique alors que la tâche était en cours d'exécution lorsque vous l'avez interrompue, la façon dont Macie reprend la tâche dépend de la date à laquelle vous reprenez la tâche :
+ Si vous reprenez la tâche dans les 30 jours suivant son interruption, Macie reprend immédiatement la dernière exécution planifiée à partir du point où vous l'avez interrompue. Macie ne recommence pas la course depuis le début.
+ Si vous ne reprenez pas le travail dans les 30 jours suivant son interruption, la dernière exécution planifiée expire et Macie annule toutes les tâches de traitement restantes pour l'exécution. Lorsque vous reprenez la tâche par la suite, Macie reprend la tâche conformément au calendrier et aux autres paramètres de configuration que vous avez choisis lors de la création de la tâche.

Pour vous aider à déterminer la date d'expiration d'une tâche suspendue ou d'une exécution de tâche, Macie ajoute une date d'expiration aux détails de la tâche pendant que celle-ci est suspendue. En outre, nous vous informons environ sept jours avant l'expiration de la tâche ou de l'exécution d'une tâche. Nous vous informons à nouveau lorsque la tâche ou l'exécution de la tâche expire et est annulée. Pour vous informer, nous envoyons un e-mail à l'adresse associée à votre Compte AWS. Nous créons également des AWS Health événements et Amazon CloudWatch Events pour votre compte. Pour vérifier la date d'expiration à l'aide de la console, choisissez le nom de la tâche dans le tableau de la page **Tâches**. Reportez-vous ensuite au champ **Expirations** dans la section **Détails du statut** du panneau de détails. Pour vérifier la date par programmation, utilisez le [DescribeClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-jobid.html)fonctionnement de l'API Amazon Macie. 

**Pour suspendre, reprendre ou annuler une tâche**

Pour suspendre, reprendre ou annuler une tâche à l'aide de la console Amazon Macie, procédez comme suit. Pour ce faire par programmation, utilisez le [UpdateClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-jobid.html)fonctionnement de l'API Amazon Macie.

1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Dans le volet de navigation, sélectionnez **Tâches**. La page **Tâches** s'ouvre et affiche le nombre de tâches figurant dans votre inventaire ainsi qu'un tableau de ces tâches.

1. En haut de la page, choisissez refresh (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/btn-refresh-data.png)) pour récupérer le statut actuel de chaque tâche.

1. Dans le **tableau** Tâches, cochez la case correspondant à la tâche que vous souhaitez suspendre, reprendre ou annuler. Pour trouver le travail plus rapidement, vous pouvez filtrer le tableau à l'aide des options de filtrage situées au-dessus du tableau. Vous pouvez également trier le tableau par ordre croissant ou décroissant selon certains champs.

1. Dans le menu **Actions**, effectuez l'une des opérations suivantes :
   + Pour suspendre temporairement la tâche, choisissez **Pause**. Cette option n'est disponible que si le statut actuel de la tâche est **Actif (Inactif)**, **Actif (Exécution)** ou **Suspendu (Par Macie**).
   + Pour reprendre le travail, choisissez **Reprendre**. Cette option n'est disponible que si le statut actuel de la tâche est **Suspendu (par utilisateur).**
   + Pour annuler définitivement le travail, choisissez **Annuler**. Si vous choisissez cette option, vous ne pourrez pas reprendre ou redémarrer le travail par la suite.

# Copier une tâche de découverte de données sensibles
<a name="discovery-jobs-manage-copy"></a>

Pour créer rapidement une tâche de découverte de données sensibles similaire à une tâche existante, vous pouvez créer une copie de la tâche existante. Vous pouvez ensuite modifier les paramètres de la copie et enregistrer la copie en tant que nouvelle tâche. Cela peut être utile dans les cas où vous souhaitez analyser différents ensembles de données de la même manière, ou le même ensemble de données de différentes manières. Cela peut également être utile si vous souhaitez ajuster les paramètres de configuration d'une tâche existante : annulez la tâche existante, copiez-la, puis ajustez et enregistrez la copie en tant que nouvelle tâche.

**Pour copier une tâche**

Procédez comme suit pour copier une tâche à l'aide de la console Amazon Macie. Pour copier une tâche par programmation, utilisez le [DescribeClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-jobid.html)fonctionnement de l'API Amazon Macie pour récupérer les paramètres de configuration de la tâche que vous souhaitez copier. Utilisez ensuite l'[CreateClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs.html)opération pour créer une copie de la tâche.

1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Dans le volet de navigation, sélectionnez **Tâches**. La page **Tâches** s'ouvre et affiche le nombre de tâches figurant dans votre inventaire ainsi qu'un tableau de ces tâches.

1. Dans le tableau **Tâches**, cochez la case correspondant à la tâche que vous souhaitez copier. Pour trouver le travail plus rapidement, vous pouvez filtrer le tableau à l'aide des options de filtrage situées au-dessus du tableau. Vous pouvez également trier le tableau par ordre croissant ou décroissant selon certains champs.

1. Dans le menu **Actions**, choisissez **Copier vers un nouveau**.

1. Effectuez les étapes sur la console pour vérifier et ajuster les paramètres de la copie de la tâche. Pour l'étape **Affiner le champ d'application**, pensez à choisir des options qui empêchent la tâche d'analyser à nouveau les données existantes de la même manière : 
   + Pour une tâche ponctuelle, utilisez des [critères d'objet](discovery-jobs-scope.md#discovery-jobs-scope-criteria) pour n'inclure que les objets créés ou modifiés après un certain temps. Par exemple, si vous créez une copie d'un travail que vous avez annulé, ajoutez une condition **Dernière modification** qui précise la date et l'heure auxquelles vous avez annulé le travail existant.
   + Pour une tâche périodique, décochez la case **Inclure les objets existants**. Dans ce cas, la première exécution de la tâche analyse uniquement les objets créés ou modifiés après la création de la tâche et avant la première exécution de la tâche. Vous pouvez également utiliser des [critères d'objet](discovery-jobs-scope.md#discovery-jobs-scope-criteria) pour exclure les objets qui ont été modifiés pour la dernière fois avant une certaine date et heure.

   Pour plus de détails à ce sujet et sur les autres étapes, consultez[Création d'une tâche de découverte de données sensibles](discovery-jobs-create.md).

1. Lorsque vous avez terminé, choisissez **Soumettre** pour enregistrer la copie en tant que nouvelle tâche.

Si vous avez configuré le travail pour qu'il s'exécute une fois, tous les jours ou le jour de la semaine ou du mois en cours, Macie commence à exécuter le travail immédiatement après l'avoir enregistré. Sinon, Macie se prépare à exécuter la tâche le jour de la semaine ou du mois spécifié. Pour surveiller la tâche, vous pouvez [vérifier le statut de la tâche](discovery-jobs-status-check.md).

# Surveillance des tâches de découverte de données sensibles à l'aide de CloudWatch journaux
<a name="discovery-jobs-monitor-cw-logs"></a>

Outre [le suivi de l'état général](discovery-jobs-status-check.md) d'une tâche de découverte de données sensibles, vous pouvez surveiller et analyser des événements spécifiques qui se produisent au fur et à mesure de l'avancement d'une tâche. Vous pouvez le faire en utilisant des données de journalisation en temps quasi réel qu'Amazon Macie publie automatiquement sur Amazon CloudWatch Logs. Les données de ces journaux fournissent un enregistrement des modifications apportées à l'avancement ou au statut d'une tâche. Par exemple, vous pouvez utiliser les données pour déterminer la date et l'heure exactes auxquelles une tâche a commencé à être exécutée, a été suspendue ou s'est terminée.

Les données du journal fournissent également des détails sur les erreurs de compte ou de compartiment survenant lors de l'exécution d'une tâche. Par exemple, Macie enregistre un événement si les paramètres d'autorisation d'un bucket Amazon Simple Storage Service (Amazon S3) empêchent une tâche d'analyser les objets du bucket. L'événement indique à quel moment l'erreur s'est produite et identifie le bucket concerné et Compte AWS le propriétaire du bucket. Les données relatives à ces types d'événements peuvent vous aider à identifier, à étudier et à corriger les erreurs qui empêchent Macie d'analyser les données souhaitées.

Avec Amazon CloudWatch Logs, vous pouvez surveiller, stocker et accéder aux fichiers journaux provenant de plusieurs systèmes, applications Services AWS, y compris Macie. Vous pouvez également interroger et analyser les données des journaux, et configurer les CloudWatch journaux pour qu'ils vous avertissent lorsque certains événements se produisent ou que des seuils sont atteints. CloudWatch Logs fournit également des fonctionnalités permettant d'archiver les données des journaux et de les exporter vers Amazon S3. Pour en savoir plus sur CloudWatch les journaux, consultez le [guide de l'utilisateur Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html).

**Topics**
+ [Comment fonctionne la journalisation pour les emplois](discovery-jobs-monitor-cw-logs-configure.md)
+ [Révision des journaux pour les offres d'emploi](discovery-jobs-monitor-cw-logs-review.md)
+ [Comprendre les événements du journal pour les tâches](discovery-jobs-monitor-cw-logs-ref.md)

# Comment fonctionne la journalisation pour les tâches de découverte de données sensibles
<a name="discovery-jobs-monitor-cw-logs-configure"></a>

Lorsque vous commencez à exécuter des tâches de découverte de données sensibles, Amazon Macie crée et configure automatiquement les ressources appropriées dans Amazon CloudWatch Logs afin de consigner les événements relatifs à toutes vos tâches. Macie publie ensuite automatiquement les données des événements sur ces ressources lorsque vos tâches sont exécutées. La politique d'autorisation pour le [rôle lié au service](service-linked-roles.md) Macie pour votre compte permet à Macie d'effectuer ces tâches en votre nom. Vous n'avez aucune mesure à prendre pour créer ou configurer des ressources dans CloudWatch Logs afin de consigner les données d'événements pour vos tâches.

Dans CloudWatch Logs, les logs sont organisés en *groupes de logs*. Chaque groupe de journaux contient des *flux de journaux*. Chaque flux de journal contient des *événements de journal*. L'objectif général de chacune de ces ressources est le suivant :
+ Un *groupe de journaux* est un ensemble de flux de journaux qui partagent les mêmes paramètres de conservation, de surveillance et de contrôle d'accès, par exemple la collecte de journaux pour toutes vos tâches de découverte de données sensibles.
+ Un *flux de journal* est une séquence d'événements de journal qui partagent la même source, par exemple une tâche individuelle de découverte de données sensibles.
+ Un *événement de journal* est un enregistrement d'une activité enregistrée par une application ou une ressource, par exemple un événement individuel enregistré et publié par Macie pour une tâche de découverte de données sensibles particulière.

Macie publie les événements relatifs à toutes vos tâches de découverte de données sensibles dans un seul groupe de journaux. Chaque tâche possède un flux de journal unique dans ce groupe de journaux. Le groupe de journaux porte le préfixe et le nom suivants :

`/aws/macie/classificationjobs`

Si ce groupe de journaux existe déjà, Macie l'utilise pour stocker les événements liés à vos tâches. Cela peut être utile si votre organisation utilise une configuration automatisée, par exemple pour créer des groupes de journaux avec des périodes de conservation prédéfinies, des paramètres de chiffrement, des balises, des filtres métriques, etc., pour les événements professionnels. [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)

Si ce groupe de journaux n'existe pas, Macie le crée avec les paramètres par défaut utilisés par Logs pour les nouveaux groupes de CloudWatch journaux. Les paramètres incluent une période de conservation des journaux **Never Expire**, ce qui signifie que CloudWatch Logs stocke les journaux indéfiniment. Vous pouvez modifier la période de conservation du groupe de journaux. Pour savoir comment procéder, consultez la section [Utilisation des groupes de journaux et des flux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html) de * CloudWatch journaux dans le guide de l'utilisateur Amazon Logs*.

Au sein de ce groupe de journaux, Macie crée un flux de journal unique pour chaque tâche que vous exécutez, la première fois que la tâche est exécutée. Le nom du flux de journal est l'identifiant unique de la tâche, par exemple au format suivant : `85a55dc0fa6ed0be5939d0408example`

`/aws/macie/classificationjobs/85a55dc0fa6ed0be5939d0408example`

Chaque flux de journal contient tous les événements de journal que Macie a enregistrés et publiés pour la tâche correspondante. Pour les tâches périodiques, cela inclut les événements relatifs à toutes les exécutions de la tâche. Si vous supprimez le flux de journal pour une tâche périodique, Macie le crée à nouveau lors de la prochaine exécution de la tâche. Si vous supprimez le flux de journal pour une tâche ponctuelle, vous ne pouvez pas le restaurer.

Notez que la journalisation est activée par défaut pour toutes vos tâches. Vous ne pouvez pas le désactiver ou empêcher Macie de publier les événements liés aux tâches dans CloudWatch Logs. Si vous ne souhaitez pas stocker les journaux, vous pouvez réduire la période de conservation du groupe de journaux à un jour seulement. À la fin de la période de conservation, CloudWatch Logs supprime automatiquement les données d'événements expirées du groupe de journaux.



# Examen des journaux pour les tâches de découverte de données sensibles
<a name="discovery-jobs-monitor-cw-logs-review"></a>

Une fois que vous avez commencé à exécuter des tâches de découverte de données sensibles dans Amazon Macie, vous pouvez consulter les journaux de vos tâches à l'aide d'Amazon CloudWatch Logs. CloudWatch Les journaux fournissent des fonctionnalités conçues pour vous aider à consulter, analyser et surveiller les données des journaux. Vous pouvez utiliser ces fonctionnalités pour travailler avec les flux de journaux et les événements liés aux tâches comme vous le feriez avec tout autre type de données de journal dans CloudWatch les journaux.

Par exemple, vous pouvez rechercher et filtrer des données agrégées afin d'identifier des types spécifiques d'événements survenus pour toutes vos tâches au cours d'une période donnée. Vous pouvez également effectuer un examen ciblé de tous les événements survenus pour une tâche donnée. CloudWatch Logs fournit également des options pour surveiller les données des journaux, définir des filtres métriques et créer des alarmes personnalisées.

**Astuce**  
Pour accéder rapidement aux données du journal d'une tâche donnée, vous pouvez utiliser la console Amazon Macie. Pour ce faire, choisissez le nom de la tâche sur la page **Tâches**. En haut du panneau de détails, choisissez **Afficher les résultats**, puis **Afficher CloudWatch les journaux**. Macie ouvre la CloudWatch console Amazon et affiche un tableau des événements du journal de la tâche.

**Pour consulter les journaux pour les tâches de découverte de données sensibles**

Suivez ces étapes pour accéder aux données du journal et les consulter à l'aide de la CloudWatch console Amazon. Pour consulter les données par programmation, utilisez l'API [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/Welcome.html).

1. Ouvrez la CloudWatch console à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, choisissez la région dans laquelle vous avez exécuté les tâches dont vous souhaitez consulter les journaux.

1. Dans le panneau de navigation de gauche, choisissez **Logs** (Journaux), puis **Log groups** (Groupes de journaux).

1. Sur la page **Groupes de journaux**, choisissez le groupe**/aws/macie/classificationjobs**log. CloudWatch affiche un tableau des flux de journaux pour les tâches que vous avez exécutées. Il existe un flux unique pour chaque tâche. Le nom de chaque flux correspond à l'identifiant unique d'une tâche.

1. Dans l'onglet **Log streams**, effectuez l'une des opérations suivantes :
   + Pour consulter les événements du journal d'une tâche en particulier, choisissez le flux de journal correspondant à la tâche. Pour trouver le flux plus facilement, entrez l'identifiant unique de la tâche dans le champ de filtre situé au-dessus du tableau. Une fois que vous avez choisi le flux de journal, CloudWatch affiche un tableau des événements de journal relatifs à la tâche.
   + Pour consulter les événements du journal de toutes vos tâches, choisissez **Rechercher dans tous les flux de journaux**. CloudWatch affiche un tableau des événements du journal de toutes vos tâches.

1. (Facultatif) Dans la zone de filtre située au-dessus du tableau, entrez des termes, des phrases ou des valeurs qui spécifient les caractéristiques des événements spécifiques à examiner. Pour plus d'informations, consultez la section [Rechercher dans les données des journaux à l'aide de modèles de filtre](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/SearchDataFilterPattern.html) dans le *guide de l'utilisateur Amazon CloudWatch Logs*.

1. Pour consulter les détails d'un événement de journal spécifique, choisissez expand (![\[The expand row icon, which is a right-facing solid arrow.\]](http://docs.aws.amazon.com/fr_fr/macie/latest/user/images/icon-caret-right-filled.png)) dans la ligne correspondant à l'événement. CloudWatch affiche les détails de l'événement au format JSON. Pour en savoir plus sur ces détails, consultez[Comprendre les événements du journal pour les tâches](discovery-jobs-monitor-cw-logs-ref.md).

Au fur et à mesure que vous vous familiarisez avec les données du journal des événements, vous pouvez effectuer des tâches supplémentaires pour rationaliser l'analyse et le suivi des données. Par exemple, vous pouvez [créer des filtres de mesures](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/MonitoringLogData.html) qui transforment les données du journal en CloudWatch mesures numériques. Vous pouvez également [créer des alarmes personnalisées](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) qui facilitent l'identification et la réponse à des événements spécifiques du journal. Pour plus d'informations, consultez le [guide de l'utilisateur Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html).

# Comprendre les événements du journal pour les tâches de découverte de données sensibles
<a name="discovery-jobs-monitor-cw-logs-ref"></a>

Pour vous aider à surveiller vos tâches de découverte de données sensibles, Amazon Macie publie automatiquement les données de journalisation des tâches sur Amazon CloudWatch Logs. Les données de ces journaux fournissent un enregistrement des modifications apportées à l'avancement ou au statut d'une tâche. Par exemple, vous pouvez utiliser les données pour déterminer la date et l'heure exactes auxquelles une tâche a commencé ou s'est terminée. Les données fournissent également des détails sur certains types d'erreurs qui peuvent survenir lors de l'exécution d'une tâche. Ces données peuvent vous aider à identifier, étudier et corriger les erreurs qui empêchent Macie d'analyser les données que vous souhaitez.

Lorsque vous commencez à exécuter des tâches, Macie crée et configure automatiquement les ressources appropriées dans CloudWatch Logs pour enregistrer les événements relatifs à toutes vos tâches. Macie publie ensuite automatiquement les données des événements sur ces ressources lorsque vos tâches sont exécutées. Pour de plus amples informations, veuillez consulter [Comment fonctionne la journalisation pour les emplois](discovery-jobs-monitor-cw-logs-configure.md).

À l'aide CloudWatch des journaux, vous pouvez ensuite interroger et analyser les données des journaux pour vos tâches. Par exemple, vous pouvez rechercher et filtrer des données agrégées afin d'identifier des types spécifiques d'événements survenus pour toutes vos tâches au cours d'une période donnée. Vous pouvez également effectuer un examen ciblé de tous les événements survenus pour une tâche donnée. CloudWatch Logs fournit également des options pour surveiller les données des journaux, définir des filtres métriques et créer des alarmes personnalisées. Par exemple, vous pouvez configurer CloudWatch les journaux pour qu'ils vous avertissent si un certain type d'événement se produit lors de l'exécution de vos tâches. Pour plus d'informations, consultez le [guide de l'utilisateur Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html).

**Contents**
+ [Schéma des événements du journal pour les tâches](#discovery-jobs-monitor-cw-logs-schema)
+ [Types d'événements de journalisation pour les offres d'emploi](#discovery-jobs-monitor-cw-logs-event-index)
  + [Événements relatifs au statut des emplois](#discovery-jobs-monitor-cw-logs-event-index-status)
  + [Événements d'erreur au niveau du compte](#discovery-jobs-monitor-cw-logs-event-index-account-errors)
  + [Événements d'erreur au niveau du bucket](#discovery-jobs-monitor-cw-logs-event-index-bucket-errors)

## Schéma des événements de journal pour les tâches de découverte de données sensibles
<a name="discovery-jobs-monitor-cw-logs-schema"></a>

Chaque événement de journal pour une tâche de découverte de données sensibles est un objet JSON qui contient un ensemble standard de champs et est conforme au schéma d'événements Amazon CloudWatch Logs. Certains types d'événements comportent des champs supplémentaires qui fournissent des informations particulièrement utiles pour ce type d'événement. Par exemple, les événements liés à des erreurs au niveau du compte incluent l'ID de compte de la personne concernée. Compte AWS Les événements liés à des erreurs au niveau du compartiment incluent le nom du compartiment Amazon Simple Storage Service (Amazon S3) concerné.

L'exemple suivant montre le schéma des événements du journal pour les tâches de découverte de données sensibles. Dans cet exemple, l'événement indique qu'Amazon Macie n'a pu analyser aucun objet dans un compartiment S3 car Amazon S3 a refusé l'accès au compartiment.

```
{
    "adminAccountId": "123456789012",
    "jobId": "85a55dc0fa6ed0be5939d0408example",
    "eventType": "BUCKET_ACCESS_DENIED",
    "occurredAt": "2024-04-14T17:11:30.574809Z",
    "description": "Macie doesn’t have permission to access the affected S3 bucket.",
    "jobName": "My_Macie_Job",
    "operation": "ListObjectsV2",
    "runDate": "2024-04-14T17:08:30.345809Z",
    "affectedAccount": "111122223333",
    "affectedResource": {
        "type": "S3_BUCKET_NAME",
        "value": "amzn-s3-demo-bucket"
    }
}
```

Dans l'exemple précédent, Macie a tenté de répertorier les objets du compartiment en utilisant l'opération [ListObjectsV2](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html) de l'API Amazon S3. Lorsque Macie a envoyé la demande à Amazon S3, Amazon S3 a refusé l'accès au compartiment. 

Les champs suivants sont communs à tous les événements de journalisation relatifs aux tâches de découverte de données sensibles :
+ `adminAccountId`— L'identifiant unique de la personne Compte AWS qui a créé la tâche.
+ `jobId`— L'identifiant unique de la tâche.
+ `eventType`— Le type d'événement qui s'est produit.
+ `occurredAt`— La date et l'heure, en temps universel coordonné (UTC) et au format ISO 8601 étendu, auxquelles l'événement s'est produit.
+ `description`— Une brève description de l'événement.
+ `jobName`— Le nom de la tâche.

Selon le type et la nature d'un événement, un événement de journal peut également contenir les champs suivants :
+ `affectedAccount`— L'identifiant unique du propriétaire Compte AWS de la ressource affectée.
+ `affectedResource`— Un objet JSON qui fournit des informations sur la ressource affectée. Dans l'objet, le `type` champ indique un champ qui stocke les métadonnées relatives à une ressource. Le `value` champ indique la valeur du champ (`type`).
+ `operation`— L'opération que Macie a tenté d'effectuer et qui est à l'origine de l'erreur.
+ `runDate`— Date et heure, en temps universel coordonné (UTC) et au format ISO 8601 étendu, du début de la tâche ou de l'exécution de la tâche applicable.

## Types d'événements de journalisation pour les tâches de découverte de données sensibles
<a name="discovery-jobs-monitor-cw-logs-event-index"></a>

Amazon Macie publie des événements de journal pour trois catégories d'événements susceptibles de se produire dans le cadre d'une tâche de découverte de données sensibles :
+ Événements relatifs au statut d'une tâche, qui enregistrent les modifications apportées au statut ou à la progression d'une tâche ou d'une exécution de tâche.
+ Événements d'erreur au niveau du compte, qui enregistrent les erreurs qui ont empêché Macie d'analyser les données Amazon S3 pour une recherche spécifique. Compte AWS
+ Événements d'erreur au niveau du compartiment, qui enregistrent les erreurs qui ont empêché Macie d'analyser les données d'un compartiment S3 spécifique.

Les rubriques de cette section répertorient et décrivent les types d'événements publiés par Macie pour chaque catégorie.

### Événements relatifs au statut des emplois
<a name="discovery-jobs-monitor-cw-logs-event-index-status"></a>

Un événement relatif au statut d'une tâche enregistre une modification du statut ou de la progression d'une tâche ou d'une exécution de tâche. Pour les tâches périodiques, Macie enregistre et publie ces événements à la fois pour l'ensemble de la tâche et pour l'exécution des tâches individuelles.

L'exemple suivant utilise des exemples de données pour montrer la structure et la nature des champs lors d'un événement relatif au statut d'une tâche. Dans cet exemple, un `SCHEDULED_RUN_COMPLETED` événement indique que l'exécution planifiée d'une tâche périodique s'est terminée. La course a débuté le 14 avril 2024 à 17 h 09 h 30 UTC, comme indiqué sur le `runDate` terrain. La course s'est terminée le 14 avril 2024 à 17 h 16 h 30 UTC, comme indiqué sur le `occurredAt` terrain.

```
{
    "adminAccountId": "123456789012",
    "jobId": "ffad0e71455f38a4c7c220f3cexample",
    "eventType": "SCHEDULED_RUN_COMPLETED",
    "occurredAt": "2024-04-14T17:16:30.574809Z",
    "description": "The scheduled job run finished running.",
    "jobName": "My_Daily_Macie_Job",
    "runDate": "2024-04-14T17:09:30.574809Z"
}
```

Le tableau suivant répertorie et décrit les types d'événements relatifs à l'état des tâches que Macie enregistre et publie dans CloudWatch Logs. La colonne **Type d'événement** indique le nom de chaque événement tel qu'il apparaît dans le `eventType` champ d'un événement. La colonne **Description** fournit une brève description de l'événement tel qu'il apparaît dans le `description` champ d'un événement. Les **informations supplémentaires** fournissent des informations sur le type de tâche auquel s'applique l'événement. Le tableau est d'abord trié selon l'ordre chronologique général dans lequel les événements peuvent se produire, puis par ordre alphabétique croissant par type d'événement.


| Type d’événement | Description | Informations supplémentaires | 
| --- | --- | --- | 
|  EMPLOI CRÉÉ  |  L'emploi a été créé.  |  S'applique aux tâches ponctuelles et périodiques.  | 
| UN SEUL TRAVAIL A COMMENCÉ |  La tâche a commencé à s'exécuter.  |  S'applique uniquement aux tâches ponctuelles.  | 
|  SCHEDULED\$1RUN\$1STARTED  |  L'exécution de la tâche planifiée a commencé à s'exécuter.  |  S'applique uniquement aux tâches périodiques. Pour enregistrer le début d'une tâche ponctuelle, Macie publie un événement ONE\$1TIME\$1JOB\$1STARTED, pas ce type d'événement.  | 
|  LE SEAU CORRESPONDAIT AUX CRITÈRES  |  Le compartiment concerné correspondait aux critères de compartiment spécifiés pour la tâche.  |  S'applique aux tâches ponctuelles et périodiques qui utilisent les critères des compartiments d'exécution pour déterminer les compartiments S3 à analyser. L'`affectedResource`objet indique le nom du compartiment qui correspond aux critères et qui a été inclus dans l'analyse de la tâche.  | 
|  AUCUN SEAU NE CORRESPONDAIT AUX CRITÈRES  |  La tâche a commencé à s'exécuter mais aucun compartiment ne correspond actuellement aux critères de compartiment spécifiés pour la tâche. Le travail n'a analysé aucune donnée.  |  S'applique aux tâches ponctuelles et périodiques qui utilisent les critères des compartiments d'exécution pour déterminer les compartiments S3 à analyser.  | 
| SCHEDULED\$1RUN\$1COMPLETED |  L'exécution de la tâche planifiée s'est terminée.  |  S'applique uniquement aux tâches périodiques. Pour enregistrer l'achèvement d'une tâche ponctuelle, Macie publie un événement JOB\$1COMPLETED, et non ce type d'événement.  | 
|  JOB\$1PAUSED\$1BY\$1USER  |  La tâche a été interrompue par un utilisateur.  |  S'applique aux tâches ponctuelles et périodiques que vous avez arrêtées temporairement (suspendues).  | 
|  REPRISE DU TRAVAIL PAR L'UTILISATEUR  |  La tâche a été reprise par un utilisateur.  |  S'applique aux tâches ponctuelles et périodiques que vous avez arrêtées temporairement (mises en pause) puis reprises.  | 
|  JOB\$1PAUSED\$1BY\$1MACIE\$1SERVICE\$1QUOTA\$1MET  |  Le travail a été suspendu par Macie. L'achèvement du travail dépasserait le quota mensuel pour le compte concerné.  |  S'applique aux tâches ponctuelles et périodiques que Macie a temporairement arrêtées (suspendues). Macie suspend automatiquement une tâche lorsque le traitement supplémentaire effectué par la tâche ou l'exécution d'une tâche dépasse le [quota mensuel de découverte de données sensibles](macie-quotas.md) pour un ou plusieurs comptes pour lesquels la tâche analyse les données. Pour éviter ce problème, pensez à augmenter le quota des comptes concernés.  | 
|  JOB\$1RESUMED\$1BY\$1MACIE\$1SERVICE\$1QUOTA\$1LIFTED  |  Le travail a été repris par Macie. Le quota de service mensuel a été levé pour le compte concerné.  |  S'applique aux tâches ponctuelles et périodiques que Macie a arrêtées temporairement (mises en pause) puis reprises. Si Macie a automatiquement suspendu une tâche ponctuelle, Macie reprend automatiquement la tâche au début du mois suivant ou le quota mensuel de découverte de données sensibles est augmenté pour tous les comptes concernés, selon la première éventualité. Si Macie a automatiquement suspendu une tâche périodique, Macie reprend automatiquement la tâche au début de la prochaine exécution ou au début du mois suivant, selon la première éventualité.  | 
|  JOB ANNULÉ  | Le travail a été annulé. |  S'applique aux tâches ponctuelles et périodiques que vous avez arrêtées définitivement (annulées) ou, pour les tâches ponctuelles, suspendues et que vous n'avez pas reprises dans les 30 jours. Si vous suspendez ou désactivez Macie, ce type d'événement s'applique également aux tâches qui étaient actives ou suspendues lorsque vous avez suspendu ou désactivé Macie. Macie annule automatiquement vos tâches Région AWS si vous suspendez ou désactivez Macie dans la région.  | 
|  TÂCHE TERMINÉE  |  L'exécution de la tâche s'est terminée.  |  S'applique uniquement aux tâches ponctuelles. Pour enregistrer la fin d'une tâche exécutée pour une tâche périodique, Macie publie un événement SCHEDULED\$1RUN\$1COMPLETED, pas ce type d'événement.  | 

### Événements d'erreur au niveau du compte
<a name="discovery-jobs-monitor-cw-logs-event-index-account-errors"></a>

Un événement d'erreur au niveau du compte enregistre une erreur qui a empêché Macie d'analyser des objets dans des compartiments S3 appartenant à une personne spécifique. Compte AWS Le `affectedAccount` champ de chaque événement indique l'ID de compte de ce compte.

L'exemple suivant utilise des exemples de données pour montrer la structure et la nature des champs lors d'un événement d'erreur au niveau du compte. Dans cet exemple, un `ACCOUNT_ACCESS_DENIED` événement indique que Macie n'a pas été en mesure d'analyser les objets dans les compartiments S3 appartenant à un compte. `444455556666`

```
{
    "adminAccountId": "123456789012",
    "jobId": "85a55dc0fa6ed0be5939d0408example",
    "eventType": "ACCOUNT_ACCESS_DENIED",
    "occurredAt": "2024-04-14T17:08:30.585709Z",
    "description": "Macie doesn’t have permission to access S3 bucket data for the affected account.",
    "jobName": "My_Macie_Job",
    "operation": "ListBuckets",
    "runDate": "2024-04-14T17:05:27.574809Z",
    "affectedAccount": "444455556666"
}
```

Le tableau suivant répertorie et décrit les types d'événements d'erreur au niveau du compte que Macie enregistre et publie dans Logs. CloudWatch La colonne **Type d'événement** indique le nom de chaque événement tel qu'il apparaît dans le `eventType` champ d'un événement. La colonne **Description** fournit une brève description de l'événement tel qu'il apparaît dans le `description` champ d'un événement. La colonne **Informations supplémentaires** fournit tous les conseils applicables pour rechercher ou corriger l'erreur survenue. Le tableau est trié par ordre alphabétique croissant par type d'événement.


| Type d’événement | Description | Informations supplémentaires | 
| --- | --- | --- | 
|  ACCESS\$1DE\$1COMPTE\$1REFUSÉ  |  Macie n'est pas autorisé à accéder aux données du compartiment S3 pour le compte concerné.  |  Cela se produit généralement parce que les compartiments détenus par le compte sont soumis à des politiques de compartiment restrictives. Pour plus d'informations sur la manière de résoudre ce problème, consultez[Autoriser Macie à accéder aux compartiments et aux objets S3](monitoring-restrictive-s3-buckets.md). La valeur du `operation` champ de l'événement peut vous aider à déterminer quels paramètres d'autorisation ont empêché Macie d'accéder aux données S3 du compte. Ce champ indique l'opération Amazon S3 que Macie a tenté d'effectuer lorsque l'erreur s'est produite.  | 
| COMPTE\$1DÉSACTIVÉ |  La tâche ignorait les ressources détenues par le compte concerné. Macie a été désactivée pour le compte.  |  Pour résoudre ce problème, réactivez Macie pour le compte dans celui-ci. Région AWS  | 
| COMPTE\$1DISSOCIÉ |  La tâche ignorait les ressources détenues par le compte concerné. Le compte n'est plus associé à votre compte administrateur Macie en tant que compte membre.  |  Cela se produit si, en tant qu'administrateur Macie d'une organisation, vous configurez une tâche pour analyser les données d'un compte membre et que le compte est ensuite supprimé de votre organisation. Pour résoudre ce problème, associez à nouveau le compte concerné à votre compte administrateur Macie en tant que compte membre. Pour de plus amples informations, veuillez consulter [Gestion de plusieurs comptes ](macie-accounts.md).  | 
|  COMPTE\$1ISOLÉ  |  La tâche ignorait les ressources détenues par le compte concerné. Ils Compte AWS étaient isolés.  |  –  | 
|  COMPTE\$1RÉGION\$1DÉSACTIVÉ  |  La tâche ignorait les ressources détenues par le compte concerné. Le Compte AWS n'est pas actif en ce moment Région AWS.  |  –   | 
|  COMPTE\$1SUSPENDU  |  La tâche a été annulée ou des ressources appartenant au compte concerné ont été ignorées. Macie a été suspendu pour ce compte.  |  Si le compte indiqué est le vôtre, Macie a automatiquement annulé le travail lorsque vous avez suspendu Macie dans la même région. Pour résoudre ce problème, réactivez Macie dans la région.  Si le compte spécifié est un compte membre, réactivez Macie pour ce compte dans la même région.  | 
|  COMPTE RÉSILIÉ  |  La tâche ignorait les ressources détenues par le compte concerné. Compte AWS Il a été résilié.  |  –  | 

### Événements d'erreur au niveau du bucket
<a name="discovery-jobs-monitor-cw-logs-event-index-bucket-errors"></a>

Un événement d'erreur au niveau du compartiment enregistre une erreur qui a empêché Macie d'analyser des objets dans un compartiment S3 spécifique. Le `affectedAccount` champ de chaque événement indique l'ID de compte du Compte AWS propriétaire du compartiment. Dans chaque événement, l'`affectedResource`objet indique le nom du compartiment.

L'exemple suivant utilise des exemples de données pour montrer la structure et la nature des champs lors d'un événement d'erreur au niveau du compartiment. Dans cet exemple, un `BUCKET_ACCESS_DENIED` événement indique que Macie n'a pu analyser aucun objet dans le compartiment S3 nommé`amzn-s3-demo-bucket`. Lorsque Macie a tenté de répertorier les objets du compartiment à l'aide de l'opération [ListObjectsV2](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html) de l'API Amazon S3, Amazon S3 a refusé l'accès au compartiment.

```
{
    "adminAccountId": "123456789012",
    "jobId": "85a55dc0fa6ed0be5939d0408example",
    "eventType": "BUCKET_ACCESS_DENIED",
    "occurredAt": "2024-04-14T17:11:30.574809Z",
    "description": "Macie doesn’t have permission to access the affected S3 bucket.",
    "jobName": "My_Macie_Job",
    "operation": "ListObjectsV2",
    "runDate": "2024-04-14T17:09:30.685209Z",
    "affectedAccount": "111122223333",
    "affectedResource": {
        "type": "S3_BUCKET_NAME",
        "value": "amzn-s3-demo-bucket"
    }
}
```

Le tableau suivant répertorie et décrit les types d'événements d'erreur au niveau du compartiment que Macie enregistre et publie dans Logs. CloudWatch La colonne **Type d'événement** indique le nom de chaque événement tel qu'il apparaît dans le `eventType` champ d'un événement. La colonne **Description** fournit une brève description de l'événement tel qu'il apparaît dans le `description` champ d'un événement. La colonne **Informations supplémentaires** fournit tous les conseils applicables pour rechercher ou corriger l'erreur survenue. Le tableau est trié par ordre alphabétique croissant par type d'événement.


| Type d’événement | Description | Informations supplémentaires | 
| --- | --- | --- | 
|  BUCKET\$1ACCESS\$1DENIED  |  Macie n'est pas autorisé à accéder au compartiment S3 concerné.  |  Cela se produit généralement parce qu'un compartiment a une politique de compartiment restrictive. Pour plus d'informations sur la manière de résoudre ce problème, consultez[Autoriser Macie à accéder aux compartiments et aux objets S3](monitoring-restrictive-s3-buckets.md). La valeur du `operation` champ de l'événement peut vous aider à déterminer quels paramètres d'autorisation ont empêché Macie d'accéder au bucket. Ce champ indique l'opération Amazon S3 que Macie a tenté d'effectuer lorsque l'erreur s'est produite.  | 
|  DÉTAILS DU GODET NON DISPONIBLES  |  Un problème temporaire a empêché Macie de récupérer des informations sur le compartiment et ses objets.  |  Cela se produit si un problème temporaire a empêché Macie de récupérer les métadonnées du bucket et de l'objet dont il a besoin pour analyser les objets d'un bucket. Par exemple, une exception Amazon S3 s'est produite lorsque Macie a essayé de vérifier qu'elle était autorisée à accéder au compartiment. Pour résoudre le problème lié à une tâche ponctuelle, envisagez de créer et d'exécuter une nouvelle tâche ponctuelle pour analyser les objets du compartiment. Pour une tâche planifiée, Macie essaiera à nouveau de récupérer les métadonnées lors de la prochaine exécution de la tâche.  | 
| LE GODET N'EXISTE PAS |  Le compartiment S3 concerné n'existe plus.  |  Cela se produit généralement parce qu'un compartiment a été supprimé.   | 
|  SEAU DANS UNE RÉGION DIFFÉRENTE  |  Le compartiment S3 concerné a été déplacé vers un autre Région AWS.  |  –  | 
| LE PROPRIÉTAIRE DU GODET A CHANGÉ |  Le propriétaire du compartiment S3 concerné a changé. Macie n'est plus autorisé à accéder au bucket.  |  Cela se produit généralement si la propriété d'un bucket a été transférée à un Compte AWS utilisateur ne faisant pas partie de votre organisation. Le `affectedAccount` champ de l'événement indique l'ID de compte du compte qui possédait auparavant le bucket.  | 

# Prévision et surveillance des coûts liés aux tâches de découverte de données sensibles
<a name="discovery-jobs-costs"></a>

La tarification d'Amazon Macie dépend en partie de la quantité de données que vous analysez en exécutant des tâches de découverte de données sensibles. Pour prévoir et surveiller les coûts estimés liés à l'exécution de tâches de découverte de données sensibles, vous pouvez consulter les estimations de coûts fournies par Macie lorsque vous créez une tâche et après avoir commencé à exécuter des tâches. 

Pour consulter et contrôler vos coûts réels, vous pouvez utiliser AWS Billing and Cost Management. AWS Billing and Cost Management fournit des fonctionnalités conçues pour vous aider à suivre et à analyser vos coûts et à Services AWS gérer les budgets de votre compte ou de votre organisation. Il fournit également des fonctionnalités qui peuvent vous aider à prévoir les coûts d'utilisation sur la base de données historiques. Pour en savoir plus, consultez le [AWS Billing guide de l'utilisateur](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-what-is.html).

Pour plus d'informations sur les tarifs de Macie, consultez les tarifs [d'Amazon Macie](https://aws.amazon.com/macie/pricing/).

**Topics**
+ [Prévision du coût d'une tâche](#discovery-jobs-costs-forecast)
+ [Surveillance des coûts estimés pour les emplois](#discovery-jobs-costs-track)

## Prévision du coût d'une tâche de découverte de données sensibles
<a name="discovery-jobs-costs-forecast"></a>

Lorsque vous créez une tâche de découverte de données sensibles, Amazon Macie peut calculer et afficher les coûts estimés au cours de deux étapes clés du processus de création de la tâche : lorsque vous consultez le tableau des compartiments S3 que vous avez sélectionnés pour la tâche (étape 2) et lorsque vous passez en revue tous les paramètres de la tâche (étape 8). Ces estimations peuvent vous aider à déterminer s'il convient d'ajuster les paramètres de la tâche avant de l'enregistrer. La disponibilité et la nature des estimations dépendent des paramètres que vous choisissez pour le travail.

**Révision des coûts estimés pour les compartiments individuels (étape 2)**  
Si vous sélectionnez explicitement des compartiments individuels pour une tâche à analyser, vous pouvez consulter le coût estimé de l'analyse des objets dans chacun de ces compartiments. Macie affiche ces estimations à l'étape 2 du processus de création de tâches, lorsque vous passez en revue vos sélections de compartiments. Dans le tableau de cette étape, le champ **Coût estimé** indique le coût total estimé (en dollars américains) de l'exécution de la tâche une seule fois pour analyser les objets d'un bucket.  
Chaque estimation reflète la quantité prévue de données non compressées que la tâche analysera dans un compartiment, en fonction de la taille et du type des objets actuellement stockés dans le compartiment. L'estimation reflète également les prix actuels Région AWS de Macie.  
Seuls les objets classifiables sont inclus dans l'estimation du coût d'un bucket. Un objet *classifiable est un objet* S3 qui utilise une [classe de stockage Amazon S3 prise en charge](discovery-supported-storage.md#discovery-supported-s3-classes) et possède une extension de nom de fichier correspondant à un [format de fichier ou de stockage pris en charge](discovery-supported-storage.md#discovery-supported-formats). Si des objets classifiables sont compressés ou des fichiers d'archive, l'estimation suppose que les fichiers utilisent un taux de compression de 3:1 et que la tâche peut analyser tous les fichiers extraits.

**Révision du coût total estimé d'un travail (étape 8)**  
Si vous créez une tâche ponctuelle ou si vous créez et configurez une tâche périodique pour inclure des objets S3 existants, Macie calcule et affiche le coût total estimé de la tâche lors de la dernière étape du processus de création de tâche. Vous pouvez consulter cette estimation pendant que vous examinez et vérifiez tous les paramètres que vous avez sélectionnés pour le travail.  
Cette estimation indique le coût total prévu (en dollars américains) pour exécuter le travail une fois dans la région actuelle. L'estimation reflète la quantité prévue de données non compressées que la tâche analysera. Il est basé sur la taille et les types d'objets actuellement stockés dans des compartiments que vous avez explicitement sélectionnés pour la tâche ou jusqu'à 500 compartiments qui répondent actuellement aux critères de compartiment que vous avez spécifiés pour la tâche, en fonction des paramètres de la tâche.  
Notez que cette estimation ne reflète aucune des options que vous avez sélectionnées pour affiner et réduire la portée de la tâche, par exemple une profondeur d'échantillonnage inférieure ou des critères excluant certains objets S3 de la tâche. Cela ne reflète pas non plus votre [quota mensuel de découverte de données sensibles](macie-quotas.md), qui peut limiter la portée et le coût de l'analyse du travail, ni les remises pouvant s'appliquer à votre compte.  
Outre le coût total estimé du travail, l'estimation fournit des données agrégées qui donnent un aperçu de la portée et du coût prévus du travail :  
+ Les valeurs de **taille** indiquent la taille de stockage totale des objets que la tâche peut et ne peut pas analyser.
+ Les valeurs du **nombre d'objets** indiquent le nombre total d'objets que la tâche peut et ne peut pas analyser.
Dans ces valeurs, un objet **classifiable** est un objet S3 qui utilise une [classe de stockage Amazon S3 prise en charge](discovery-supported-storage.md#discovery-supported-s3-classes) et possède une extension de nom de fichier pour un [format de fichier ou de stockage pris en charge](discovery-supported-storage.md#discovery-supported-formats). Seuls les objets classifiables sont inclus dans l'estimation des coûts. Un objet **non classifiable** est un objet qui n'utilise pas de classe de stockage prise en charge ou qui ne possède pas d'extension de nom de fichier pour un format de fichier ou de stockage pris en charge. Ces objets ne sont pas inclus dans l'estimation des coûts.   
L'estimation fournit des données agrégées supplémentaires pour les objets S3 qui sont des fichiers compressés ou des fichiers d'archive. La valeur **compressée** indique la taille de stockage totale des objets qui utilisent une classe de stockage Amazon S3 prise en charge et dont l'extension de nom de fichier correspond à un type de fichier compressé ou d'archive pris en charge. La valeur **non compressée** indique la taille approximative de ces objets s'ils sont décompressés, sur la base d'un taux de compression spécifié. Ces données sont pertinentes en raison de la manière dont Macie analyse les fichiers compressés et les fichiers d'archive.  
Lorsque Macie analyse un fichier compressé ou d'archive, il inspecte à la fois le fichier complet et son contenu. Pour inspecter le contenu du fichier, Macie décompresse le fichier, puis inspecte chaque fichier extrait utilisant un format pris en charge. La quantité réelle de données analysée par un poste dépend donc des facteurs suivants :  
+ Si un fichier utilise la compression et, dans l'affirmative, le taux de compression qu'il utilise.
+ Le nombre, la taille et le format des fichiers extraits.
Par défaut, Macie part des hypothèses suivantes lorsqu'il calcule les estimations de coûts pour une tâche :   
+ Tous les fichiers compressés et d'archive utilisent un taux de compression de 3:1.
+ Tous les fichiers extraits utilisent un format de fichier ou de stockage compatible.
Ces hypothèses peuvent donner lieu à une estimation plus importante de l'étendue des données que le travail analysera et, par conséquent, à une estimation des coûts plus élevée pour le travail.   
Vous pouvez recalculer le coût total estimé de la tâche en fonction d'un taux de compression différent. Pour ce faire, choisissez le ratio dans la liste **Choisissez un taux de compression estimé** de la section **Coût estimé**. Macie met ensuite à jour l'estimation pour qu'elle corresponde à votre sélection.

Pour plus d'informations sur la façon dont Macie calcule les coûts estimés, consultez. [Comprendre les coûts d'utilisation estimés](account-mgmt-costs-calculations.md)

## Surveillance des coûts estimés pour les tâches de découverte de données sensibles
<a name="discovery-jobs-costs-track"></a>

Si vous exécutez déjà des tâches de découverte de données sensibles, la page **Utilisation** de la console Amazon Macie peut vous aider à contrôler le coût estimé de ces tâches. La page indique vos coûts estimés (en dollars américains) pour l'utilisation de Macie en Région AWS cours au cours du mois civil en cours. Pour plus d'informations sur la façon dont Macie calcule ces estimations, consultez. [Comprendre les coûts d'utilisation estimés](account-mgmt-costs-calculations.md)

**Pour consulter votre estimation des coûts liés à l'exécution de tâches**

1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, choisissez la région dans laquelle vous souhaitez consulter vos coûts estimés.

1. Dans le panneau de navigation, choisissez **Utilisateurs**.

1. Sur la page **Utilisation**, reportez-vous à la ventilation des coûts estimés pour votre compte. L'élément Tâches de **découverte de données sensibles** indique le coût total estimé des tâches que vous avez exécutées jusqu'à présent au cours du mois en cours dans la région en cours.

   Si vous êtes l'administrateur Macie d'une organisation, la section **Coûts estimés indique les coûts** estimés pour l'ensemble de votre organisation pour le mois en cours dans la région en cours. Pour afficher le coût total estimé des tâches exécutées pour un compte spécifique, sélectionnez le compte dans le tableau. La section **Coûts estimés** affiche ensuite une ventilation des coûts estimés pour le compte, y compris le coût estimé des tâches exécutées. Pour afficher ces données pour un autre compte, sélectionnez le compte dans le tableau. Pour effacer votre sélection de compte, choisissez **X** à côté de l'identifiant du compte.

Pour examiner et contrôler vos coûts réels, utilisez [AWS Billing and Cost Management](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-what-is.html).

# Identifiants de données gérés recommandés pour les tâches de découverte de données sensibles
<a name="discovery-jobs-mdis-recommended"></a>

Pour optimiser les résultats de vos tâches de découverte de données sensibles, vous pouvez configurer des tâches individuelles afin qu'elles utilisent automatiquement l'ensemble d'identifiants de données gérés que nous recommandons pour les tâches. Un *identifiant de données géré* est un ensemble de critères et de techniques intégrés conçus pour détecter un type spécifique de données sensibles, par exemple des clés d'accès AWS secrètes, des numéros de carte de crédit ou des numéros de passeport pour un pays ou une région en particulier.

L'ensemble recommandé d'identifiants de données gérées est conçu pour détecter les catégories et types courants de données sensibles. Sur la base de nos recherches, il peut détecter les catégories générales et les types de données sensibles tout en optimisant les résultats de votre travail en réduisant le bruit. Lorsque nous publions de nouveaux identifiants de données gérés, nous les ajoutons à cet ensemble s'ils sont susceptibles d'optimiser davantage les résultats de votre travail. Au fil du temps, nous pouvons également ajouter ou supprimer des identifiants de données gérées existants de l'ensemble. Si nous ajoutons ou supprimons un identifiant de données gérées dans l'ensemble recommandé, nous mettons à jour cette page pour indiquer la nature et le moment de la modification. Pour recevoir des alertes automatiques concernant ces modifications, vous pouvez vous abonner au flux RSS sur la page d'[historique des documents Macie](doc-history.md).

Lorsque vous créez une tâche de découverte de données sensibles, vous spécifiez les identifiants de données gérées que vous souhaitez que la tâche utilise pour analyser des objets dans des compartiments Amazon Simple Storage Service (Amazon S3). Pour configurer une tâche afin d'utiliser l'ensemble recommandé d'identifiants de données gérées, choisissez l'option *Recommandé* lorsque vous créez la tâche. La tâche utilisera alors automatiquement tous les identificateurs de données gérées figurant dans l'ensemble recommandé lorsque la tâche commence à s'exécuter. Si vous configurez une tâche pour qu'elle soit exécutée plusieurs fois, chaque exécution utilisera automatiquement tous les identificateurs de données gérés figurant dans l'ensemble recommandé au début de l'exécution.

Les rubriques suivantes répertorient les identificateurs de données gérés figurant actuellement dans l'ensemble recommandé, organisés par catégorie et type de données sensibles. Ils spécifient l'identifiant unique (ID) pour chaque identifiant de données gérées de l'ensemble. Cet identifiant décrit le type de données sensibles qu'un identifiant de données géré est conçu pour détecter, par exemple : `PGP_PRIVATE_KEY` pour les clés privées PGP et `USA_PASSPORT_NUMBER` pour les numéros de passeport américains.

**Topics**
+ [Informations d’identification](#discovery-jobs-mdis-recommended-credentials)
+ [Informations financières](#discovery-jobs-mdis-recommended-financial)
+ [données d'identification personnelle (PII)](#discovery-jobs-mdis-recommended-pii)
+ [Mises à jour de l'ensemble recommandé](#discovery-jobs-mdis-recommended-updates)

 Pour plus de détails sur les identifiants de données gérées spécifiques ou pour une liste complète de tous les identifiants de données gérées actuellement fournis par Macie, consultez. [Utilisation des identificateurs de données gérés](managed-data-identifiers.md)

## Informations d’identification
<a name="discovery-jobs-mdis-recommended-credentials"></a>

Pour détecter les occurrences de données d'identification dans les objets S3, l'ensemble recommandé utilise les identifiants de données gérés suivants.


| Type de données sensibles | ID d’identifiant de données géré | 
| --- | --- | 
| AWS clé d'accès secrète | AWS\$1CREDENTIALS | 
| En-tête d'autorisation HTTP Basic | HTTP\$1BASIC\$1AUTH\$1HEADER | 
| Clé privée OpenSSH | OPENSSH\$1PRIVATE\$1KEY | 
| Clé privée PGP | PGP\$1PRIVATE\$1KEY | 
| Clé privée selon la norme PKCS (Public Key Cryptography Standard) | PKCS | 
| Clé privée PuTTY | PUTTY\$1PRIVATE\$1KEY | 

## Informations financières
<a name="discovery-jobs-mdis-recommended-financial"></a>

Pour détecter les occurrences d'informations financières dans les objets S3, l'ensemble recommandé utilise les identifiants de données gérés suivants.


| Type de données sensibles | ID d’identifiant de données géré | 
| --- | --- | 
| Données sur la bande magnétique des cartes de crédit | CREDIT\$1CARD\$1MAGNETIC\$1STRIPE | 
| Numéro de carte de crédit | CREDIT\$1CARD\$1NUMBER(pour les numéros de carte de crédit situés à proximité d'un mot clé) | 

## données d'identification personnelle (PII)
<a name="discovery-jobs-mdis-recommended-pii"></a>

Pour détecter les occurrences d'informations personnelles identifiables (PII) dans les objets S3, l'ensemble recommandé utilise les identifiants de données gérés suivants.


| Type de données sensibles | ID d’identifiant de données géré | 
| --- | --- | 
| Numéro d'identification du permis de conduire | CANADA\$1DRIVERS\$1LICENSE, DRIVERS\$1LICENSE(pour les États-Unis), UK\$1DRIVERS\$1LICENSE | 
| Numéro de liste électorale | UK\$1ELECTORAL\$1ROLL\$1NUMBER | 
| Numéro d'identification nationale | FRANCE\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, GERMANY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, SPAIN\$1DNI\$1NUMBER | 
| Numéro d'assurance nationale (NINO) | UK\$1NATIONAL\$1INSURANCE\$1NUMBER | 
| Numéro de passeport | CANADA\$1PASSPORT\$1NUMBER, FRANCE\$1PASSPORT\$1NUMBER, GERMANY\$1PASSPORT\$1NUMBER, ITALY\$1PASSPORT\$1NUMBER, SPAIN\$1PASSPORT\$1NUMBER, UK\$1PASSPORT\$1NUMBER, USA\$1PASSPORT\$1NUMBER | 
| Numéro de sécurité sociale | CANADA\$1SOCIAL\$1INSURANCE\$1NUMBER | 
| Numéro de sécurité sociale | SPAIN\$1SOCIAL\$1SECURITY\$1NUMBER, USA\$1SOCIAL\$1SECURITY\$1NUMBER | 
| Numéro d'identification ou de référence du contribuable | AUSTRALIA\$1TAX\$1FILE\$1NUMBER, BRAZIL\$1CPF\$1NUMBER, FRANCE\$1TAX\$1IDENTIFICATION\$1NUMBER, GERMANY\$1TAX\$1IDENTIFICATION\$1NUMBER, SPAIN\$1NIE\$1NUMBER, SPAIN\$1NIF\$1NUMBER, SPAIN\$1TAX\$1IDENTIFICATION\$1NUMBER, USA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER | 

## Mises à jour de l'ensemble recommandé
<a name="discovery-jobs-mdis-recommended-updates"></a>

Le tableau suivant décrit les modifications apportées à l'ensemble d'identifiants de données gérées que nous recommandons pour les tâches de découverte de données sensibles. Pour recevoir des alertes automatiques concernant ces modifications, abonnez-vous au flux RSS sur la page d'[historique des documents Macie](doc-history.md).


| Modifier | Description | Date | 
| --- | --- | --- | 
|  Disponibilité générale  |  Publication initiale de l'ensemble recommandé.  |  27 juin 2023  | 

# Analyse des objets Amazon S3 chiffrés
<a name="discovery-supported-encryption-types"></a>

Lorsque vous activez Amazon Macie pour votre compte Compte AWS, Macie crée un [rôle lié à un service](service-linked-roles.md) qui lui accorde les autorisations nécessaires pour appeler Amazon Simple Storage Service (Amazon S3) et d'autres personnes en votre nom. Services AWS Un rôle lié à un service simplifie le processus de configuration Service AWS car vous n'avez pas à ajouter manuellement des autorisations pour que le service puisse effectuer des actions en votre nom. Pour en savoir plus sur ce type de rôle, consultez la section [Rôles IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) dans le *guide de l'Gestion des identités et des accès AWS utilisateur*.

La politique d'autorisation pour le rôle lié au service Macie (`AWSServiceRoleForAmazonMacie`) permet à Macie d'effectuer des actions qui incluent la récupération d'informations sur vos compartiments et objets S3, ainsi que la récupération et l'analyse d'objets dans vos compartiments S3. Si votre compte est le compte administrateur Macie d'une organisation, la politique permet également à Macie d'effectuer ces actions en votre nom pour les comptes des membres de votre organisation.

Si un objet S3 est chiffré, la politique d'autorisation pour le rôle lié au service Macie accorde généralement à Macie les autorisations dont il a besoin pour déchiffrer l'objet. Cela dépend toutefois du type de chiffrement utilisé. Cela peut également dépendre de l'autorisation de Macie à utiliser la clé de chiffrement appropriée.

**Topics**
+ [Options de chiffrement pour les objets S3](#discovery-supported-encryption-types-matrix)
+ [Permettre à Macie d'utiliser un système géré par le client AWS KMS key](#discovery-supported-encryption-cmk-configuration)

## Options de chiffrement pour les objets Amazon S3
<a name="discovery-supported-encryption-types-matrix"></a>

Amazon S3 prend en charge plusieurs options de chiffrement pour les objets S3. Pour la plupart de ces options, Amazon Macie peut déchiffrer un objet en utilisant le rôle lié au service Macie pour votre compte. Cela dépend toutefois du type de chiffrement utilisé pour chiffrer un objet.

**Chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3)**  
Si un objet est chiffré à l'aide d'un chiffrement côté serveur avec une clé gérée Amazon S3 (SSE-S3), Macie peut déchiffrer l'objet.  
Pour en savoir plus sur ce type de chiffrement, consultez la section [Utilisation du chiffrement côté serveur avec des clés gérées par Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html) dans le guide de l'*utilisateur d'Amazon Simple Storage Service*.

**Chiffrement côté serveur avec AWS KMS keys (DSSE-KMS et SSE-KMS)**  
Si un objet est chiffré à l'aide d'un chiffrement double couche côté serveur ou d'un chiffrement côté serveur avec un système AWS géré AWS KMS key (DSSE-KMS ou SSE-KMS), Macie peut déchiffrer l'objet.  
[Si un objet est chiffré à l'aide d'un chiffrement double couche côté serveur ou d'un chiffrement côté serveur géré par le client AWS KMS key (DSSE-KMS ou SSE-KMS), Macie ne peut déchiffrer l'objet que si vous autorisez Macie à utiliser la clé.](#discovery-supported-encryption-cmk-configuration) C'est le cas pour les objets chiffrés avec des clés KMS entièrement gérées dans un magasin de clés externe AWS KMS et des clés KMS dans un magasin de clés externe. Si Macie n'est pas autorisé à utiliser la clé KMS applicable, Macie peut uniquement stocker et signaler les métadonnées de l'objet.  
Pour en savoir plus sur ces types de chiffrement, consultez les sections [Utilisation du chiffrement double couche côté serveur avec AWS KMS keys et Utilisation du chiffrement côté serveur avec](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingDSSEncryption.html) [dans AWS KMS keys](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html) le guide de l'utilisateur d'*Amazon Simple* Storage Service.  
Vous pouvez générer automatiquement une liste de tous les clients gérés AWS KMS keys auxquels Macie doit accéder pour analyser des objets dans des compartiments S3 pour votre compte. Pour ce faire, exécutez le script AWS KMS Permission Analyzer, disponible dans le référentiel [Amazon Macie](https://github.com/aws-samples/amazon-macie-scripts) Scripts sur. GitHub Le script peut également générer un script supplémentaire de commandes AWS Command Line Interface (AWS CLI). Vous pouvez éventuellement exécuter ces commandes pour mettre à jour les paramètres de configuration et les politiques requis pour les clés KMS que vous spécifiez.

**Chiffrement côté serveur avec des clés fournies par le client (SSE-C)**  
Si un objet est chiffré à l'aide d'un chiffrement côté serveur avec une clé fournie par le client (SSE-C), Macie ne peut pas déchiffrer l'objet. Macie peut uniquement stocker et rapporter les métadonnées de l'objet.  
Pour en savoir plus sur ce type de chiffrement, consultez la section [Utilisation du chiffrement côté serveur avec des clés fournies par le client dans](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerSideEncryptionCustomerKeys.html) le guide de l'utilisateur d'*Amazon Simple Storage Service*.

**Chiffrement côté client**  
Si un objet est chiffré à l'aide du chiffrement côté client, Macie ne peut pas le déchiffrer. Macie peut uniquement stocker et rapporter les métadonnées de l'objet. Par exemple, Macie peut indiquer la taille de l'objet et les balises associées à l'objet.   
Pour en savoir plus sur ce type de chiffrement dans le contexte d'Amazon S3, consultez la section [Protection des données à l'aide du chiffrement côté client](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html) dans le guide de l'*utilisateur d'Amazon Simple Storage Service*.

Vous pouvez [filtrer l'inventaire de vos compartiments](monitoring-s3-inventory-filter.md) dans Macie afin de déterminer quels compartiments S3 stockent des objets utilisant certains types de chiffrement. Vous pouvez également déterminer quels compartiments utilisent certains types de chiffrement côté serveur par défaut lors du stockage de nouveaux objets. Le tableau suivant fournit des exemples de filtres que vous pouvez appliquer à votre inventaire de compartiments pour trouver ces informations.


| Pour montrer des seaux qui... | Appliquer ce filtre... | 
| --- | --- | 
| Stockez les objets qui utilisent le chiffrement SSE-C | Le nombre d'objets par chiffrement est fourni par le client et From = 1 | 
| Stockez les objets qui utilisent le chiffrement DSSE-KMS ou SSE-KMS | Le nombre d'objets par chiffrement est AWS KMS géré et From = 1 | 
| Stockez les objets qui utilisent le chiffrement SSE-S3 | Le nombre d'objets par chiffrement est géré par Amazon S3 et From = 1 | 
| Stockez les objets qui utilisent le chiffrement côté client (ou qui ne sont pas chiffrés) | Le nombre d'objets par chiffrement est Aucun chiffrement et From = 1 | 
| Chiffrez les nouveaux objets par défaut à l'aide du chiffrement DSSE-KMS | Chiffrement par défaut = aws:kms:dsse | 
| Chiffrez les nouveaux objets par défaut à l'aide du chiffrement SSE-KMS | Chiffrement par défaut = aws:kms | 
| Chiffrez les nouveaux objets par défaut à l'aide du chiffrement SSE-S3 | Chiffrement par défaut = AES256 | 

Si un bucket est configuré pour chiffrer de nouveaux objets par défaut à l'aide du chiffrement DSSE-KMS ou SSE-KMS, vous pouvez également déterminer lequel est utilisé. AWS KMS key Pour ce faire, choisissez le compartiment sur la page **des compartiments S3**. Dans le panneau des détails du bucket, sous **Chiffrement côté serveur**, reportez-vous au **AWS KMS key**champ. Ce champ indique le nom de ressource Amazon (ARN) ou l'identifiant unique (ID de clé) de la clé.

## Permettre à Macie d'utiliser un système géré par le client AWS KMS key
<a name="discovery-supported-encryption-cmk-configuration"></a>

Si un objet Amazon S3 est chiffré à l'aide d'un chiffrement double couche côté serveur ou d'un chiffrement côté serveur géré par le client AWS KMS key (DSSE-KMS ou SSE-KMS), Amazon Macie ne peut déchiffrer l'objet que s'il est autorisé à utiliser la clé. La manière de fournir cet accès dépend du fait que le compte propriétaire de la clé possède également le compartiment S3 qui stocke l'objet :
+ Si le même compte possède le bucket AWS KMS key et le bucket, un utilisateur du compte doit mettre à jour la politique de la clé. 
+ Si un compte possède le compartiment AWS KMS key et qu'un autre compte possède le compartiment, un utilisateur du compte propriétaire de la clé doit autoriser l'accès entre comptes à la clé.

Cette rubrique décrit comment effectuer ces tâches et fournit des exemples pour les deux scénarios. Pour en savoir plus sur l'autorisation d'accès aux services gérés par le client AWS KMS keys, consultez la section [Accès et autorisations par clé KMS](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html) dans le *guide du AWS Key Management Service développeur*.

### Permettre à un même compte d'accéder à une clé gérée par le client
<a name="discovery-supported-encryption-cmk-configuration-1account"></a>

Si le même compte possède à la fois le compartiment S3 AWS KMS key et le compartiment S3, un utilisateur du compte doit ajouter une déclaration à la politique relative à la clé. La déclaration supplémentaire doit autoriser le rôle lié au service Macie du compte à déchiffrer les données à l'aide de la clé. Pour obtenir des informations détaillées sur la mise à jour d'une politique clé, consultez la section [Modification d'une politique clé](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) dans le *Guide du AWS Key Management Service développeur*.

Dans la déclaration :
+ L'`Principal`élément doit spécifier le nom de ressource Amazon (ARN) du rôle lié au service Macie pour le compte propriétaire du compartiment AWS KMS key et du compartiment S3.

  Si le compte est opt-in Région AWS, l'ARN doit également inclure le code de région approprié pour la région. Par exemple, si le compte se trouve dans la région Moyen-Orient (Bahreïn), dont le code de région est *me-south-1*, `Principal` l'élément doit `arn:aws:iam::123456789012:role/aws-service-role/macie.me-south-1.amazonaws.com/AWSServiceRoleForAmazonMacie` spécifier *123456789012* où se trouve l'identifiant du compte. Pour obtenir la liste des codes régionaux des régions dans lesquelles Macie est actuellement disponible, consultez la section [Points de terminaison et quotas Amazon Macie](https://docs.aws.amazon.com/general/latest/gr/macie.html) dans le. *Références générales AWS*
+ Le `Action` tableau doit spécifier l'`kms:Decrypt`action. C'est la seule AWS KMS action que Macie doit être autorisée à effectuer pour déchiffrer un objet S3 chiffré avec la clé.

Voici un exemple de déclaration à ajouter à la politique pour un AWS KMS key. 

```
{
    "Sid": "Allow the Macie service-linked role to use the key",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::123456789012:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie"
    },
    "Action": [
        "kms:Decrypt"
    ],
    "Resource": "*"
}
```

Dans l'exemple précédent : 
+ Le `AWS` champ de l'`Principal`élément indique l'ARN du rôle lié au service Macie (`AWSServiceRoleForAmazonMacie`) pour le compte. Il permet au rôle lié au service Macie d'effectuer l'action spécifiée par la déclaration de politique. *123456789012*est un exemple d'identifiant de compte. Remplacez cette valeur par l'ID de compte du compte propriétaire de la clé KMS et du compartiment S3.
+ Le `Action` tableau indique l'action que le rôle lié au service Macie est autorisé à effectuer à l'aide de la clé KMS : déchiffrer le texte chiffré avec la clé.

L'endroit où vous ajoutez cette déclaration à une politique clé dépend de la structure et des éléments que la stratégie contient actuellement. Lorsque vous ajoutez l'instruction, assurez-vous que la syntaxe est valide. Les politiques clés utilisent le format JSON. Cela signifie que vous devez également ajouter une virgule avant ou après la déclaration, selon l'endroit où vous ajoutez la déclaration à la politique. 

### Autoriser l'accès entre comptes à une clé gérée par le client
<a name="discovery-supported-encryption-cmk-configuration-xaccount"></a>

Si un compte possède le AWS KMS key (*propriétaire de la clé*) et qu'un autre compte possède le compartiment S3 (*propriétaire du compartiment*), le propriétaire de la clé doit fournir au propriétaire du compartiment un accès multicompte à la clé KMS. Pour ce faire, le propriétaire de la clé s'assure d'abord que la politique de la clé autorise le propriétaire du compartiment à utiliser la clé et à créer une autorisation pour la clé. Le propriétaire du compartiment crée ensuite une subvention pour la clé. Une *subvention* est un instrument de politique qui permet AWS aux principaux d'utiliser des clés KMS dans le cadre d'opérations cryptographiques si les conditions spécifiées par la subvention sont remplies. Dans ce cas, la subvention délègue les autorisations pertinentes au rôle lié au service Macie pour le compte du propriétaire du bucket.

Pour obtenir des informations détaillées sur la mise à jour d'une politique clé, consultez la section [Modification d'une politique clé](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) dans le *Guide du AWS Key Management Service développeur*. Pour en savoir plus sur les subventions, consultez la section [Subventions AWS KMS dans](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) le *guide du AWS Key Management Service développeur*.

**Étape 1 : Mettre à jour la politique clé**  
Dans la politique clé, le propriétaire de la clé doit s'assurer qu'elle inclut deux déclarations :
+ La première instruction permet au propriétaire du compartiment d'utiliser la clé pour déchiffrer les données.
+ La deuxième déclaration permet au propriétaire du compartiment de créer une subvention pour le rôle lié au service Macie pour son compte (celui du propriétaire du compartiment).

Dans la première instruction, l'`Principal`élément doit spécifier l'ARN du compte du propriétaire du bucket. Le `Action` tableau doit spécifier l'`kms:Decrypt`action. C'est la seule AWS KMS action que Macie doit être autorisée à effectuer pour déchiffrer un objet chiffré avec la clé. Voici un exemple de cette déclaration dans la politique d'un AWS KMS key. 

```
{
    "Sid": "Allow account 111122223333 to use the key",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:root"
    },
    "Action": [
        "kms:Decrypt"
    ],
    "Resource": "*"
}
```

Dans l'exemple précédent : 
+ Le `AWS` champ de l'`Principal`élément indique l'ARN du compte du propriétaire du compartiment (*111122223333*). Il permet au propriétaire du compartiment d'effectuer l'action spécifiée par la déclaration de politique. *111122223333*est un exemple d'identifiant de compte. Remplacez cette valeur par l'ID du compte du propriétaire du compartiment.
+ Le `Action` tableau indique l'action que le propriétaire du compartiment est autorisé à effectuer à l'aide de la clé KMS : déchiffrer le texte chiffré avec la clé.

La deuxième déclaration de la politique clé permet au propriétaire du compartiment de créer une subvention pour le rôle lié au service Macie pour son compte. Dans cette déclaration, l'`Principal`élément doit spécifier l'ARN du compte du propriétaire du bucket. Le `Action` tableau doit spécifier l'`kms:CreateGrant`action. Un `Condition` élément peut filtrer l'accès à l'`kms:CreateGrant`action spécifiée dans l'instruction. Voici un exemple de cette déclaration dans la politique d'un AWS KMS key.

```
{
    "Sid": "Allow account 111122223333 to create a grant",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:root"
    },
    "Action": [
        "kms:CreateGrant"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:GranteePrincipal": "arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie"
        }
    }
}
```

Dans l'exemple précédent :
+ Le `AWS` champ de l'`Principal`élément indique l'ARN du compte du propriétaire du compartiment (*111122223333*). Il permet au propriétaire du compartiment d'effectuer l'action spécifiée par la déclaration de politique. *111122223333*est un exemple d'identifiant de compte. Remplacez cette valeur par l'ID du compte du propriétaire du compartiment.
+ Le `Action` tableau indique l'action que le propriétaire du compartiment est autorisé à effectuer sur la clé KMS : créer une autorisation pour la clé.
+ L'`Condition`élément utilise l'[opérateur de `StringEquals` condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) et la [clé de `kms:GranteePrincipal` condition](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awskeymanagementservice.html#awskeymanagementservice-policy-keys) pour filtrer l'accès à l'action spécifiée par la déclaration de politique. Dans ce cas, le propriétaire du bucket peut créer une subvention uniquement pour le paramètre spécifié`GranteePrincipal`, à savoir l'ARN du rôle lié au service Macie associé à son compte. Dans cet ARN *111122223333* se trouve un exemple d'ID de compte. Remplacez cette valeur par l'ID du compte du propriétaire du compartiment.

  Si le compte du propriétaire du bucket est activé Région AWS, incluez également le code de région approprié dans l'ARN du rôle lié au service Macie. Par exemple, si le compte se trouve dans la région Moyen-Orient (Bahreïn), dont le code de région est *me-south-1*, remplacez-le par `macie.amazonaws.com` dans l'ARN. `macie.me-south-1.amazonaws.com` Pour obtenir la liste des codes régionaux des régions dans lesquelles Macie est actuellement disponible, consultez la section [Points de terminaison et quotas Amazon Macie](https://docs.aws.amazon.com/general/latest/gr/macie.html) dans le. *Références générales AWS*

L'endroit où le propriétaire de la clé ajoute ces déclarations à la politique clé dépend de la structure et des éléments que la politique contient actuellement. Lorsque le propriétaire de la clé ajoute les instructions, il doit s'assurer que la syntaxe est valide. Les politiques clés utilisent le format JSON. Cela signifie que le propriétaire de la clé doit également ajouter une virgule avant ou après chaque instruction, selon l'endroit où il ajoute l'instruction à la politique.

**Étape 2 : Création d'une subvention**  
Une fois que le propriétaire de la clé a mis à jour la politique des clés si nécessaire, le propriétaire du compartiment doit créer une autorisation pour la clé. La subvention délègue les autorisations pertinentes au rôle lié au service Macie pour leur compte (celui du propriétaire du bucket). Avant que le propriétaire du bucket ne crée la subvention, il doit vérifier qu'il est autorisé à effectuer l'`kms:CreateGrant`action pour son compte. Cette action leur permet d'ajouter une subvention à une subvention existante gérée par le client AWS KMS key.

Pour créer la subvention, le propriétaire du bucket peut utiliser le [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)fonctionnement de l' AWS Key Management Service API. Lorsque le propriétaire du bucket crée l'autorisation, il doit spécifier les valeurs suivantes pour les paramètres requis :
+ `KeyId`— L'ARN de la clé KMS. Pour un accès entre comptes à une clé KMS, cette valeur doit être un ARN. Il ne peut pas s'agir d'un identifiant clé.
+ `GranteePrincipal`— L'ARN du rôle lié au service Macie (`AWSServiceRoleForAmazonMacie`) pour leur compte. Cette valeur doit être`arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie`, où *111122223333* est l'ID de compte du compte du propriétaire du bucket.

  Si leur compte se trouve dans une région optionnelle, l'ARN doit inclure le code de région approprié. Par exemple, si leur compte se trouve dans la région Moyen-Orient (Bahreïn), dont le code de région est *me-south-1*, l'ARN `arn:aws:iam::111122223333:role/aws-service-role/macie.me-south-1.amazonaws.com/AWSServiceRoleForAmazonMacie` doit être*111122223333*, où est l'identifiant du compte du propriétaire du bucket.
+ `Operations`— L'action de AWS KMS déchiffrement (`Decrypt`). C'est la seule AWS KMS action que Macie doit être autorisée à effectuer pour déchiffrer un objet chiffré avec la clé KMS.

Pour créer une autorisation pour une clé KMS gérée par le client à l'aide de la AWS Command Line Interface (AWS CLI), exécutez la commande [create-grant](https://docs.aws.amazon.com/cli/latest/reference/kms/create-grant.html). L’exemple suivant montre comment procéder. L'exemple est formaté pour Microsoft Windows et utilise le caractère de continuation de ligne caret (^) pour améliorer la lisibilité.

```
C:\> aws kms create-grant ^
--key-id arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab ^
--grantee-principal arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie ^
--operations "Decrypt"
```

Où :
+ `key-id`spécifie l'ARN de la clé KMS à laquelle appliquer l'autorisation.
+ `grantee-principal`spécifie l'ARN du rôle lié au service Macie pour le compte autorisé à effectuer l'action spécifiée par la subvention. Cette valeur doit correspondre à l'ARN spécifié par la `kms:GranteePrincipal` condition de la deuxième instruction de la politique clé.
+ `operations`spécifie l'action que l'autorisation autorise le principal spécifié à effectuer : déchiffrer le texte chiffré avec la clé KMS.

Si la commande s'exécute correctement, vous recevez une sortie similaire à ce qui suit.

```
{
    "GrantToken": "<grant token>",
    "GrantId": "1a2b3c4d2f5e69f440bae30eaec9570bb1fb7358824f9ddfa1aa5a0dab1a59b2"
}
```

Où se `GrantToken` trouve une chaîne unique, non secrète, de longueur variable, codée en base64 qui représente la subvention créée et `GrantId` constitue l'identifiant unique de la subvention.

# Stockage et conservation des résultats de découverte de données sensibles
<a name="discovery-results-repository-s3"></a>

Lorsque vous exécutez une tâche de découverte de données sensibles ou qu'Amazon Macie effectue une découverte automatique de données sensibles, Macie crée un enregistrement d'analyse pour chaque objet Amazon Simple Storage Service (Amazon S3) inclus dans le périmètre de l'analyse. Ces enregistrements, appelés *résultats de découverte de données sensibles*, enregistrent les détails de l'analyse que Macie effectue sur des objets S3 individuels. Cela inclut les objets dans lesquels Macie ne détecte pas de données sensibles et ne produit donc pas de résultats, ainsi que les objets que Macie ne peut pas analyser en raison d'erreurs ou de problèmes. Si Macie détecte des données sensibles dans un objet, l'enregistrement inclut les données de la découverte correspondante ainsi que des informations supplémentaires. Les résultats de découverte de données sensibles vous fournissent des enregistrements d'analyse qui peuvent être utiles pour les audits ou les enquêtes sur la confidentialité et la protection des données.

Macie conserve les résultats de la découverte de vos données sensibles pendant 90 jours seulement. Pour accéder à vos résultats et permettre leur stockage et leur conservation à long terme, configurez Macie pour chiffrer les résultats avec une clé AWS Key Management Service (AWS KMS) et les stocker dans un compartiment S3. Le bucket peut servir de référentiel définitif à long terme pour tous vos résultats de découverte de données sensibles. Vous pouvez ensuite éventuellement accéder aux résultats de ce référentiel et les interroger.

Cette rubrique vous explique comment utiliser le AWS Management Console pour configurer un référentiel pour vos résultats de découverte de données sensibles. La configuration est une combinaison d'un AWS KMS key qui chiffre les résultats, d'un compartiment S3 à usage général qui stocke les résultats et de paramètres Macie qui spécifient la clé et le compartiment à utiliser. Si vous préférez configurer les paramètres Macie par programmation, vous pouvez utiliser l'API [PutClassificationExportConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/classification-export-configuration.html)Amazon Macie.

Lorsque vous configurez les paramètres dans Macie, vos choix s'appliquent uniquement aux paramètres actuels Région AWS. Si vous êtes l'administrateur Macie d'une organisation, vos choix s'appliquent uniquement à votre compte. Ils ne s'appliquent pas aux comptes membres associés. Si vous activez la découverte automatique des données sensibles ou si vous exécutez des tâches de découverte de données sensibles pour analyser les données des comptes des membres, Macie stocke les résultats de la découverte de données sensibles dans le référentiel de votre compte administrateur.

Si vous utilisez Macie à plusieurs reprises Régions AWS, configurez les paramètres du référentiel pour chaque région dans laquelle vous utilisez Macie. Vous pouvez éventuellement stocker les résultats de découverte de données sensibles pour plusieurs régions dans le même compartiment S3. Notez toutefois les exigences suivantes :
+ Pour stocker les résultats d'une région AWS activée par défaut Comptes AWS, telle que la région USA Est (Virginie du Nord), vous devez choisir un compartiment dans une région activée par défaut. Les résultats ne peuvent pas être stockés dans un compartiment d'une région optionnelle (région désactivée par défaut).
+ Pour stocker les résultats d'une région optionnelle, telle que la région du Moyen-Orient (Bahreïn), vous devez choisir un compartiment dans cette même région ou une région activée par défaut. Les résultats ne peuvent pas être stockés dans un compartiment situé dans une autre région optionnelle.

Pour déterminer si une région est activée par défaut, consultez la section [Activer ou désactiver Régions AWS dans votre compte](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html) dans le *guide de Gestion de compte AWS l'utilisateur*. Outre les exigences précédentes, déterminez également si vous souhaitez [récupérer des échantillons de données sensibles](findings-retrieve-sd.md) que Macie rapporte dans des résultats individuels. Pour récupérer des échantillons de données sensibles d'un objet S3 concerné, toutes les ressources et données suivantes doivent être stockées dans la même région : l'objet concerné, le résultat applicable et le résultat de découverte de données sensibles correspondant.

**Topics**
+ [Avant de commencer : découvrez les concepts clés](#discovery-results-repository-s3-overview)
+ [Étape 1 : Vérifier vos autorisations](#discovery-results-repository-s3-permissions)
+ [Étape 2 : Configuration d'un AWS KMS key](#discovery-results-repository-s3-key-policy)
+ [Étape 3 : Choisissez un compartiment S3](#discovery-results-repository-s3-choose-bucket)

## Avant de commencer : découvrez les concepts clés
<a name="discovery-results-repository-s3-overview"></a>

Amazon Macie crée automatiquement un résultat de découverte de données sensibles pour chaque objet Amazon S3 qu'il analyse ou tente d'analyser lorsque vous exécutez une tâche de découverte de données sensibles ou qu'il effectue une découverte automatique de données sensibles. Cela inclut notamment les éléments suivants :
+ Objets dans lesquels Macie détecte des données sensibles et, par conséquent, produisent également des résultats de données sensibles.
+ Objets dans lesquels Macie ne détecte pas de données sensibles et ne produisent donc pas de résultats de données sensibles.
+ Objets que Macie ne peut pas analyser en raison d'erreurs ou de problèmes tels que les paramètres d'autorisation ou l'utilisation d'un format de fichier ou de stockage non pris en charge.

Si Macie détecte des données sensibles dans un objet S3, le résultat de la découverte de données sensibles inclut les données issues de la recherche de données sensibles correspondante. Il fournit également des informations supplémentaires, telles que l'emplacement de pas moins de 1 000 occurrences de chaque type de données sensibles trouvées par Macie dans l'objet. Par exemple : 
+ Numéro de colonne et de ligne d'une cellule ou d'un champ dans un classeur Microsoft Excel, un fichier CSV ou un fichier TSV
+ Le chemin d'accès à un champ ou à un tableau dans un fichier JSON ou JSON Lines
+ Numéro de ligne d'une ligne dans un fichier texte non binaire autre qu'un fichier CSV, JSON, JSON Lines ou TSV, par exemple un fichier HTML, TXT ou XML
+ Numéro de page d'une page dans un fichier Adobe Portable Document Format (PDF)
+ L'index d'enregistrement et le chemin d'accès à un champ dans un enregistrement d'un conteneur d'objets Apache Avro ou d'un fichier Apache Parquet

Si l'objet S3 concerné est un fichier d'archive, tel qu'un fichier .tar ou .zip, le résultat de la découverte de données sensibles fournit également des données de localisation détaillées pour les occurrences de données sensibles dans des fichiers individuels que Macie a extraits de l'archive. Macie n'inclut pas ces informations dans les résultats de données sensibles pour les fichiers d'archive. Pour signaler les données de localisation, les résultats de découverte de données sensibles utilisent un [schéma JSON standardisé](findings-locate-sd-schema.md).

Un résultat de découverte de données sensibles n'inclut pas les données sensibles trouvées par Macie. Il vous fournit plutôt un enregistrement d'analyse qui peut être utile pour les audits ou les enquêtes.

Macie conserve les résultats de la découverte de vos données sensibles pendant 90 jours. Vous ne pouvez pas y accéder directement depuis la console Amazon Macie ou via l'API Amazon Macie. Suivez plutôt les étapes décrites dans cette rubrique pour configurer Macie afin qu'il crypte vos résultats avec un AWS KMS key que vous spécifiez et qu'il stocke les résultats dans un compartiment S3 à usage général que vous spécifiez également. Macie écrit ensuite les résultats dans des fichiers JSON Lines (.jsonl), ajoute les fichiers au bucket sous forme de fichiers GNU Zip (.gz) et chiffre les données à l'aide du chiffrement SSE-KMS. Depuis le 8 novembre 2023, Macie signe également les objets S3 obtenus avec un code d'authentification de message basé sur le hachage (HMAC). AWS KMS key

Une fois que vous avez configuré Macie pour stocker les résultats de la découverte de vos données sensibles dans un compartiment S3, le compartiment peut servir de référentiel définitif à long terme pour les résultats. Vous pouvez ensuite éventuellement accéder aux résultats de ce référentiel et les interroger. 

**Conseils**  
Pour un exemple détaillé et instructif de la manière dont vous pouvez interroger et utiliser les résultats de découverte de données sensibles pour analyser et signaler les risques potentiels liés à la sécurité des données, consultez le billet de blog suivant sur le *blog sur la AWS sécurité* : [Comment interroger et visualiser les résultats de découverte de données sensibles de Macie avec Amazon Athena et Amazon](https://aws.amazon.com/blogs/security/how-to-query-and-visualize-macie-sensitive-data-discovery-results-with-athena-and-quicksight/) Quick.  
Pour obtenir des exemples de requêtes Amazon Athena que vous pouvez utiliser pour analyser les résultats de découverte de données sensibles, consultez le référentiel [Amazon Macie Results Analytics sur](https://github.com/aws-samples/amazon-macie-results-analytics). GitHub Ce référentiel fournit également des instructions pour configurer Athena afin de récupérer et de déchiffrer vos résultats, ainsi que des scripts pour créer des tables pour les résultats.

## Étape 1 : Vérifier vos autorisations
<a name="discovery-results-repository-s3-permissions"></a>

Avant de configurer un référentiel pour vos résultats de découverte de données sensibles, vérifiez que vous disposez des autorisations nécessaires pour chiffrer et stocker les résultats. Pour vérifier vos autorisations, utilisez Gestion des identités et des accès AWS (IAM) pour passer en revue les politiques IAM associées à votre identité IAM. Comparez ensuite les informations contenues dans ces politiques à la liste suivante des actions que vous devez être autorisé à effectuer pour configurer le référentiel.

**Amazon Macie**  
Pour Macie, vérifiez que vous êtes autorisé à effectuer l'action suivante :  
`macie2:PutClassificationExportConfiguration`  
Cette action vous permet d'ajouter ou de modifier les paramètres du référentiel dans Macie.

**Amazon S3**  
Pour Amazon S3, vérifiez que vous êtes autorisé à effectuer les actions suivantes :  
+ `s3:CreateBucket`
+ `s3:GetBucketLocation`
+ `s3:ListAllMyBuckets`
+ `s3:PutBucketAcl`
+ `s3:PutBucketPolicy`
+ `s3:PutBucketPublicAccessBlock`
+ `s3:PutObject`
Ces actions vous permettent d'accéder à un compartiment S3 à usage général pouvant servir de référentiel et de le configurer.

**AWS KMS**  
Pour utiliser la console Amazon Macie afin d'ajouter ou de modifier les paramètres du référentiel, vérifiez également que vous êtes autorisé à effectuer les actions suivantes : AWS KMS   
+ `kms:DescribeKey`
+ `kms:ListAliases`
Ces actions vous permettent de récupérer et d'afficher les informations relatives AWS KMS keys à votre compte. Vous pouvez ensuite choisir l'une de ces clés pour chiffrer les résultats de la découverte de données sensibles.  
Si vous envisagez d'en créer un nouveau AWS KMS key pour chiffrer les données, vous devez également être autorisé à effectuer les actions suivantes : `kms:CreateKey``kms:GetKeyPolicy`, et`kms:PutKeyPolicy`.

Si vous n'êtes pas autorisé à effectuer les actions requises, demandez de l'aide à votre AWS administrateur avant de passer à l'étape suivante.

## Étape 2 : Configuration d'un AWS KMS key
<a name="discovery-results-repository-s3-key-policy"></a>

Après avoir vérifié vos autorisations, déterminez celle que AWS KMS key vous souhaitez que Macie utilise pour chiffrer les résultats de la découverte de vos données sensibles. La clé doit être une clé KMS de chiffrement symétrique gérée par le client et activée au même endroit Région AWS que le compartiment S3 dans lequel vous souhaitez stocker les résultats.

La clé peut être une clé existante AWS KMS key de votre propre compte ou une clé existante détenue AWS KMS key par un autre compte. Si vous souhaitez utiliser une nouvelle clé KMS, créez-la avant de continuer. Si vous souhaitez utiliser une clé existante détenue par un autre compte, obtenez l'Amazon Resource Name (ARN) de la clé. Vous devez saisir cet ARN lorsque vous configurez les paramètres du référentiel dans Macie. Pour plus d'informations sur la création et la révision des paramètres des clés KMS, consultez le [guide du AWS Key Management Service développeur](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html).

**Note**  
La clé peut se trouver AWS KMS key dans un magasin de clés externe. Cependant, la clé peut alors être plus lente et moins fiable qu'une clé entièrement gérée en interne AWS KMS. Vous pouvez réduire ce risque en stockant les résultats de la découverte de vos données sensibles dans un compartiment S3 configuré pour utiliser la clé comme clé de compartiment S3. Cela réduit le nombre de AWS KMS demandes à effectuer pour chiffrer les résultats de la découverte de données sensibles.  
Pour plus d'informations sur l'utilisation des clés KMS dans les magasins de clés [externes, consultez la section Stockages de clés externes](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-external.html) du *manuel du AWS Key Management Service développeur*. Pour plus d'informations sur l'utilisation des clés de compartiment S3, consultez la section [Réduction du coût du SSE-KMS avec les clés de compartiment Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html) dans le guide de l'*utilisateur d'Amazon Simple Storage Service*.

Après avoir déterminé la clé KMS que vous souhaitez que Macie utilise, autorisez Macie à utiliser la clé. Sinon, Macie ne sera pas en mesure de chiffrer ou de stocker vos résultats dans le référentiel. Pour autoriser Macie à utiliser la clé, mettez à jour la politique de clé pour la clé. Pour obtenir des informations détaillées sur les politiques clés et la gestion de l'accès aux clés KMS, consultez la section [Politiques clés](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) du *guide du AWS Key Management Service développeur*. AWS KMS

**Pour mettre à jour la politique clé**

1. Ouvrez la AWS KMS console à l'adresse [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)

1. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

1. Choisissez la clé que vous souhaitez que Macie utilise pour chiffrer les résultats de la découverte de données sensibles.

1. Dans l'onglet **Stratégie de clé** choisissez **Modifier**.

1. Copiez la déclaration suivante dans votre presse-papiers, puis ajoutez-la à la politique :

   ```
   {
       "Sid": "Allow Macie to use the key",
       "Effect": "Allow",
       "Principal": {
           "Service": "macie.amazonaws.com"
       },
       "Action": [
           "kms:GenerateDataKey",
           "kms:Encrypt"
       ],
       "Resource": "*",
       "Condition": {
           "StringEquals": {
               "aws:SourceAccount": "111122223333"
            },
            "ArnLike": {
                "aws:SourceArn": [
                    "arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
                    "arn:aws:macie2:us-east-1:111122223333:classification-job/*"
                ]
            }
       }
   }
   ```
**Note**  
Lorsque vous ajoutez l'instruction à la stratégie, assurez-vous que la syntaxe est correcte. Les stratégies utilisent le format JSON. Cela signifie que vous devez également ajouter une virgule avant ou après la déclaration, en fonction de l'endroit où vous ajoutez la déclaration à la stratégie. Si vous ajoutez l'instruction en tant que dernière instruction, ajoutez une virgule après l'accolade de fermeture pour l'instruction précédente. Si vous l'ajoutez en tant que première instruction ou entre deux instructions existantes, ajoutez une virgule après l'accolade de fermeture de l'instruction.

1. Mettez à jour l'instruction avec les valeurs correctes pour votre environnement :
   + Dans les `Condition` champs, remplacez les valeurs d'espace réservé, où :
     + *111122223333*est l'identifiant de compte de votre Compte AWS.
     + *us-east-1*est le code de région Région AWS dans lequel vous utilisez Macie et souhaitez autoriser Macie à utiliser la clé.

       Si vous utilisez Macie dans plusieurs régions et que vous souhaitez autoriser Macie à utiliser la clé dans d'autres régions, ajoutez des `aws:SourceArn` conditions pour chaque région supplémentaire. Par exemple :

       ```
       "aws:SourceArn": [
           "arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
           "arn:aws:macie2:us-east-1:111122223333:classification-job/*",
           "arn:aws:macie2:us-west-2:111122223333:export-configuration:*",
           "arn:aws:macie2:us-west-2:111122223333:classification-job/*"
       ]
       ```

       Vous pouvez également autoriser Macie à utiliser la clé dans toutes les régions. Pour ce faire, remplacez la valeur de l'espace réservé par le caractère générique ()`*`. Par exemple :

       ```
       "aws:SourceArn": [
           "arn:aws:macie2:*:111122223333:export-configuration:*",
           "arn:aws:macie2:*:111122223333:classification-job/*"
       ]
       ```
   + Si vous utilisez Macie dans une région optionnelle, ajoutez le code de région approprié à la valeur du champ. `Service` Par exemple, si vous utilisez Macie dans la région du Moyen-Orient (Bahreïn), qui possède le code de région *me-south-1*, remplacez par. `macie.amazonaws.com` `macie.me-south-1.amazonaws.com`

     Pour obtenir la liste des régions dans lesquelles Macie est actuellement disponible et le code régional de chacune d'entre elles, consultez la section [Points de terminaison et quotas Amazon Macie](https://docs.aws.amazon.com/general/latest/gr/macie.html) dans le. *Références générales AWS*

   Notez que les `Condition` champs utilisent deux clés de condition globales IAM :
   + [aws : SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) — Cette condition permet à Macie d'effectuer les actions spécifiées uniquement pour votre compte. Plus précisément, il détermine quel compte peut effectuer les actions spécifiées pour les ressources et les actions spécifiées par la `aws:SourceArn` condition.

     Pour permettre à Macie d'effectuer les actions spécifiées pour des comptes supplémentaires, ajoutez l'ID de compte de chaque compte supplémentaire à cette condition. Par exemple :

     ```
     "aws:SourceAccount": [111122223333,444455556666]
     ```
   + [aws : SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) — Cette condition empêche les autres Services AWS utilisateurs d'effectuer les actions spécifiées. Cela empêche également Macie d'utiliser la clé lorsqu'il effectue d'autres actions pour votre compte. En d'autres termes, cela permet à Macie de chiffrer des objets S3 avec la clé uniquement si : les objets sont des résultats de découverte de données sensibles, et les résultats concernent la découverte automatique de données sensibles ou des tâches de découverte de données sensibles créées par le compte spécifié dans la région spécifiée.

     Pour permettre à Macie d'effectuer les actions spécifiées pour des comptes supplémentaires, ajoutez cette condition ARNs pour chaque compte supplémentaire. Par exemple :

     ```
     "aws:SourceArn": [
         "arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
         "arn:aws:macie2:us-east-1:111122223333:classification-job/*",
         "arn:aws:macie2:us-east-1:444455556666:export-configuration:*",
         "arn:aws:macie2:us-east-1:444455556666:classification-job/*"
     ]
     ```

   Les comptes spécifiés par les `aws:SourceArn` conditions `aws:SourceAccount` et doivent correspondre.

   Ces conditions permettent d'éviter que Macie ne soit utilisée comme une [adjointe confuse](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) lors de transactions avec AWS KMS. Bien que cela ne soit pas recommandé, vous pouvez supprimer ces conditions de la déclaration.

1. Lorsque vous avez terminé d'ajouter et de mettre à jour le relevé, choisissez **Enregistrer les modifications**.

## Étape 3 : Choisissez un compartiment S3
<a name="discovery-results-repository-s3-choose-bucket"></a>

Après avoir vérifié vos autorisations et les avoir AWS KMS key configurées, vous êtes prêt à spécifier le compartiment S3 que vous souhaitez utiliser comme référentiel pour les résultats de la découverte de vos données sensibles. Vous avez deux options :
+ **Utiliser un nouveau compartiment S3 créé par Macie** : si vous choisissez cette option, Macie crée automatiquement un nouveau compartiment S3 à usage général dans le compartiment actuel Région AWS pour les résultats de votre découverte. Macie applique également une politique de compartiment au compartiment. La politique permet à Macie d'ajouter des objets au compartiment. Cela nécessite également que les objets soient chiffrés avec AWS KMS key ce que vous spécifiez, à l'aide du cryptage SSE-KMS. Pour consulter la politique, choisissez **Afficher la politique** sur la console Amazon Macie après avoir spécifié le nom du bucket et la clé KMS à utiliser.
+ **Utilisez un compartiment S3 existant que vous créez** : si vous préférez stocker les résultats de votre découverte dans un compartiment S3 spécifique que vous créez, créez-le avant de continuer. Le godet doit être un godet à usage général. En outre, les paramètres et la politique du compartiment doivent permettre à Macie d'ajouter des objets au compartiment. Cette rubrique explique les paramètres à vérifier et comment mettre à jour la politique. Il fournit également des exemples de déclarations à ajouter à la politique.

Les sections suivantes fournissent des instructions pour chaque option. Choisissez la section correspondant à l'option souhaitée.

### Utilisez un nouveau compartiment S3 créé par Macie
<a name="discovery-results-repository-s3-new-bucket"></a>

Si vous préférez utiliser un nouveau compartiment S3 créé par Macie pour vous, la dernière étape du processus consiste à configurer les paramètres du référentiel dans Macie.

**Pour configurer les paramètres du référentiel dans Macie**

1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Dans le volet de navigation, sous **Paramètres**, sélectionnez **Résultats de découverte**.

1. Sous **Référentiel pour les résultats de découverte de données sensibles**, choisissez **Create bucket**.

1. Dans le champ **Créer un compartiment**, entrez le nom du compartiment.

   Le nom doit être unique pour tous les compartiments S3. En outre, le nom ne peut être composé que de lettres minuscules, de chiffres, de points (.) et de tirets (-). Pour connaître les exigences de dénomination supplémentaires, consultez les [règles de dénomination des](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucketnamingrules.html) compartiments dans le *guide de l'utilisateur d'Amazon Simple Storage Service*.

1. Développez la section **Avancé**.

1. (Facultatif) Pour spécifier un préfixe à utiliser dans le chemin d'accès à un emplacement du compartiment, entrez le préfixe dans la zone Préfixe du **résultat de la découverte des données**.

   Lorsque vous entrez une valeur, Macie met à jour l'exemple ci-dessous pour indiquer le chemin d'accès à l'emplacement du compartiment où il stockera les résultats de votre découverte.

1. Pour **Bloquer tout accès public**, choisissez **Oui** pour activer tous les paramètres de blocage de l'accès public pour le bucket.

   Pour plus d'informations sur ces paramètres, consultez la section [Blocage de l'accès public à votre espace de stockage Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html) dans le *guide de l'utilisateur d'Amazon Simple Storage Service*.

1. Sous **Paramètres de chiffrement**, spécifiez celui AWS KMS key que vous souhaitez que Macie utilise pour chiffrer les résultats :
   + Pour utiliser une clé de votre propre compte, choisissez **Sélectionner une clé de votre compte**. Ensuite, dans la **AWS KMS key**liste, choisissez la clé à utiliser. La liste affiche les clés KMS de chiffrement symétriques gérées par le client pour votre compte.
   + Pour utiliser une clé détenue par un autre compte, choisissez **Entrer l'ARN d'une clé d'un autre compte**. Ensuite, dans le champ **AWS KMS key ARN**, entrez le nom de ressource Amazon (ARN) de la clé à utiliser, par exemple. **`arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`**

1. Lorsque vous avez fini de saisir les paramètres, choisissez **Enregistrer**.

   Macie teste les paramètres pour vérifier qu'ils sont corrects. Si certains paramètres sont incorrects, Macie affiche un message d'erreur pour vous aider à résoudre le problème.

Après avoir enregistré les paramètres du référentiel, Macie ajoute au référentiel les résultats de découverte existants des 90 jours précédents. Macie commence également à ajouter de nouveaux résultats de découverte au référentiel.

### Utiliser un compartiment S3 existant que vous créez
<a name="discovery-results-repository-s3-existing-bucket"></a>

Si vous préférez stocker vos données sensibles, les résultats de découverte dans un compartiment S3 spécifique, vous devez créer et configurer le compartiment avant de configurer les paramètres dans Macie. Lorsque vous créez le bucket, tenez compte des exigences suivantes :
+ Le godet doit être un godet à usage général. Il ne peut pas s'agir d'un autre type de bucket, tel qu'un bucket de répertoire.
+ Pour stocker les résultats de votre découverte pour une région activée par défaut Comptes AWS, telle que la région USA Est (Virginie du Nord), le bucket doit se trouver dans une région activée par défaut. Les résultats ne peuvent pas être stockés dans un compartiment d'une région optionnelle (région désactivée par défaut).
+ Pour stocker les résultats de votre découverte pour une région optionnelle, telle que la région du Moyen-Orient (Bahreïn), le bucket doit se trouver dans la même région ou dans une région activée par défaut. Les résultats ne peuvent pas être stockés dans un compartiment situé dans une autre région optionnelle.

Pour déterminer si une région est activée par défaut, consultez la section [Activer ou désactiver Régions AWS dans votre compte](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html) dans le *guide de Gestion de compte AWS l'utilisateur*.

Après avoir créé le compartiment, mettez à jour la politique du compartiment pour permettre à Macie de récupérer des informations sur le compartiment et d'y ajouter des objets. Vous pouvez ensuite configurer les paramètres dans Macie.

**Pour mettre à jour la politique de compartiment pour le compartiment**

1. Ouvrez la console Amazon S3 à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).

1. Choisissez le compartiment dans lequel vous souhaitez stocker les résultats de votre découverte.

1. Sélectionnez l’onglet **Autorisations**.

1. Dans la section **Bucket policy** (Politique de compartiment), sélectionnez **Edit** (Modifier).

1. Copiez l'exemple de stratégie suivant dans votre Presse-papiers :

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "Allow Macie to use the GetBucketLocation operation",
               "Effect": "Allow",
               "Principal": {
                   "Service": "macie.amazonaws.com"
               },
               "Action": "s3:GetBucketLocation",
               "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
               "Condition": {
                   "StringEquals": {
                       "aws:SourceAccount": "111122223333"
                   },
                   "ArnLike": {
                       "aws:SourceArn": [
                           "arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
                           "arn:aws:macie2:us-east-1:111122223333:classification-job/*"
                       ]
                   }
               }
           },
           {
               "Sid": "Allow Macie to add objects to the bucket",
               "Effect": "Allow",
               "Principal": {
                   "Service": "macie.amazonaws.com"
               },
               "Action": "s3:PutObject",
               "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional prefix/]*",
               "Condition": {
                   "StringEquals": {
                       "aws:SourceAccount": "111122223333"
                   },
                   "ArnLike": {
                       "aws:SourceArn": [
                           "arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
                           "arn:aws:macie2:us-east-1:111122223333:classification-job/*"
                       ]
                   }
               }
           },
           {
               "Sid": "Deny unencrypted object uploads. This is optional",
               "Effect": "Deny",
               "Principal": {
                   "Service": "macie.amazonaws.com"
               },
               "Action": "s3:PutObject",
               "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional prefix/]*",
               "Condition": {
                   "StringNotEquals": {
                       "s3:x-amz-server-side-encryption": "aws:kms"
                   }
               }
           },
           {
               "Sid": "Deny incorrect encryption headers. This is optional",
               "Effect": "Deny",
               "Principal": {
                   "Service": "macie.amazonaws.com"
               },
               "Action": "s3:PutObject",
               "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional prefix/]*",
               "Condition": {
                   "StringNotEquals": {
                       "s3:x-amz-server-side-encryption-aws-kms-key-id": "arn:aws:kms:us-east-1:111122223333:key/KMSKeyId"
                   }
               }
           },
           {
               "Sid": "Deny non-HTTPS access",
               "Effect": "Deny",
               "Principal": "*",
               "Action": "s3:*",
               "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
               "Condition": {
                   "Bool": {
                       "aws:SecureTransport": "false"
                   }
               }
           }
       ]
   }
   ```

------

1. Collez l'exemple de politique dans l'éditeur **de politique Bucket** sur la console Amazon S3.

1. Mettez à jour l'exemple de politique avec les valeurs correctes pour votre environnement :
   + Dans l'instruction facultative qui refuse les en-têtes de chiffrement incorrects :
     + Remplacez *amzn-s3-demo-bucket* par le nom du compartiment. Pour également spécifier un préfixe pour un chemin d'accès à un emplacement dans le compartiment, remplacez-le *[optional prefix/]* par le préfixe. Dans le cas contraire, supprimez la valeur de l'*[optional prefix/]*espace réservé.
     + Si tel est `StringNotEquals` le cas, *arn:aws:kms:us-east-1:111122223333:key/KMSKeyId* remplacez-le par le Amazon Resource Name (ARN) AWS KMS key à utiliser pour le chiffrement des résultats de votre découverte.
   + Dans toutes les autres instructions, remplacez les valeurs d'espace réservé, où :
     + *amzn-s3-demo-bucket*est le nom du compartiment.
     + *[optional prefix/]*est le préfixe d'un chemin d'accès à un emplacement dans le compartiment. Supprimez cette valeur d'espace réservé si vous ne souhaitez pas spécifier de préfixe.
     + *111122223333*est l'identifiant de compte de votre Compte AWS.
     + *us-east-1*est le code de région Région AWS dans lequel vous utilisez Macie et que vous souhaitez autoriser Macie à ajouter des résultats de découverte au bucket.

       Si vous utilisez Macie dans plusieurs régions et que vous souhaitez autoriser Macie à ajouter des résultats au bucket pour des régions supplémentaires, ajoutez des `aws:SourceArn` conditions pour chaque région supplémentaire. Par exemple :

       ```
       "aws:SourceArn": [
           "arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
           "arn:aws:macie2:us-east-1:111122223333:classification-job/*",
           "arn:aws:macie2:us-west-2:111122223333:export-configuration:*",
           "arn:aws:macie2:us-west-2:111122223333:classification-job/*"
       ]
       ```

       Vous pouvez également autoriser Macie à ajouter des résultats au bucket pour toutes les régions dans lesquelles vous utilisez Macie. Pour ce faire, remplacez la valeur de l'espace réservé par le caractère générique ()`*`. Par exemple :

       ```
       "aws:SourceArn": [
           "arn:aws:macie2:*:111122223333:export-configuration:*",
           "arn:aws:macie2:*:111122223333:classification-job/*"
       ]
       ```
   + Si vous utilisez Macie dans une région optionnelle, ajoutez le code de région approprié à la valeur du `Service` champ de chaque instruction qui spécifie le principal du service Macie. Par exemple, si vous utilisez Macie dans la région du Moyen-Orient (Bahreïn), qui possède le code de région *me-south-1*, remplacez-le par `macie.me-south-1.amazonaws.com` dans chaque `macie.amazonaws.com` déclaration applicable.

     Pour obtenir la liste des régions dans lesquelles Macie est actuellement disponible et le code régional de chacune d'entre elles, consultez la section [Points de terminaison et quotas Amazon Macie](https://docs.aws.amazon.com/general/latest/gr/macie.html) dans le. *Références générales AWS*

   Notez que l'exemple de politique inclut des instructions qui permettent à Macie de déterminer dans quelle région réside le compartiment (`GetBucketLocation`) et d'ajouter des objets au compartiment (`PutObject`). Ces instructions définissent les conditions qui utilisent deux clés de condition globales IAM :
   + [aws : SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) — Cette condition permet à Macie d'ajouter les résultats de découverte de données sensibles au bucket uniquement pour votre compte. Cela empêche Macie d'ajouter des résultats de découverte pour d'autres comptes au bucket. Plus précisément, la condition indique quel compte peut utiliser le bucket pour les ressources et les actions spécifiées par la `aws:SourceArn` condition.

     Pour stocker les résultats de comptes supplémentaires dans le bucket, ajoutez l'ID de compte de chaque compte supplémentaire à cette condition. Par exemple :

     ```
     "aws:SourceAccount": [111122223333,444455556666]
     ```
   + [aws : SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) — Cette condition restreint l'accès au compartiment en fonction de la source des objets ajoutés au compartiment. Cela empêche les autres Services AWS utilisateurs d'ajouter des objets au compartiment. Cela empêche également Macie d'ajouter des objets au compartiment tout en effectuant d'autres actions pour votre compte. Plus précisément, cette condition permet à Macie d'ajouter des objets au compartiment uniquement si : les objets sont des résultats de découverte de données sensibles, et les résultats concernent la découverte automatique de données sensibles ou des tâches de découverte de données sensibles créées par le compte spécifié dans la région spécifiée.

     Pour permettre à Macie d'effectuer les actions spécifiées pour des comptes supplémentaires, ajoutez cette condition ARNs pour chaque compte supplémentaire. Par exemple :

     ```
     "aws:SourceArn": [
         "arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
         "arn:aws:macie2:us-east-1:111122223333:classification-job/*",
         "arn:aws:macie2:us-east-1:444455556666:export-configuration:*",
         "arn:aws:macie2:us-east-1:444455556666:classification-job/*"
     ]
     ```

   Les comptes spécifiés par les `aws:SourceArn` conditions `aws:SourceAccount` et doivent correspondre.

   Ces deux conditions permettent d'éviter que Macie ne soit utilisée comme une [adjointe confuse](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) lors des transactions avec Amazon S3. Bien que cela ne soit pas recommandé, vous pouvez supprimer ces conditions de la politique relative aux compartiments.

1. Lorsque vous avez terminé de mettre à jour la politique de compartiment, choisissez **Enregistrer les modifications**. 

Vous pouvez désormais configurer les paramètres du référentiel dans Macie.

**Pour configurer les paramètres du référentiel dans Macie**

1. Ouvrez la console Amazon Macie à l'adresse. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. Dans le volet de navigation, sous **Paramètres**, sélectionnez **Résultats de découverte**.

1. Sous **Référentiel pour les résultats de découverte de données sensibles**, sélectionnez **Compartiment existant**.

1. Pour **Choisir un compartiment**, sélectionnez le compartiment dans lequel vous souhaitez stocker les résultats de votre découverte.

1. Pour spécifier un préfixe pour le chemin d'accès à un emplacement dans le compartiment, développez la section **Avancé**. Ensuite, pour le préfixe du **résultat de la découverte des données, entrez le préfixe**.

   Lorsque vous entrez une valeur, Macie met à jour l'exemple ci-dessous pour indiquer le chemin d'accès à l'emplacement du compartiment où il stockera les résultats de votre découverte.

1. Sous **Paramètres de chiffrement**, spécifiez celui AWS KMS key que vous souhaitez que Macie utilise pour chiffrer les résultats :
   + Pour utiliser une clé de votre propre compte, choisissez **Sélectionner une clé de votre compte**. Ensuite, dans la **AWS KMS key**liste, choisissez la clé à utiliser. La liste affiche les clés KMS de chiffrement symétriques gérées par le client pour votre compte.
   + Pour utiliser une clé détenue par un autre compte, choisissez **Entrer l'ARN d'une clé d'un autre compte**. Ensuite, dans le champ **AWS KMS key ARN**, entrez l'ARN de la clé à utiliser, par exemple. **arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab**

1. Lorsque vous avez fini de saisir les paramètres, choisissez **Enregistrer**.

   Macie teste les paramètres pour vérifier qu'ils sont corrects. Si certains paramètres sont incorrects, Macie affiche un message d'erreur pour vous aider à résoudre le problème.

Après avoir enregistré les paramètres du référentiel, Macie ajoute au référentiel les résultats de découverte existants des 90 jours précédents. Macie commence également à ajouter de nouveaux résultats de découverte au référentiel.

**Note**  
Si vous modifiez par la suite le paramètre du **préfixe des résultats de découverte des données**, mettez également à jour la politique de compartiment dans Amazon S3. Les déclarations de politique qui spécifient le préfixe précédent doivent spécifier le nouveau préfixe. Sinon, Macie ne sera pas autorisé à ajouter les résultats de votre découverte au bucket.

**Astuce**  
Pour réduire les coûts de chiffrement côté serveur, configurez également le compartiment S3 pour utiliser une clé de compartiment S3 et spécifiez AWS KMS key celle que vous avez configurée pour le chiffrement des résultats de découverte de vos données sensibles. L'utilisation d'une clé de compartiment S3 permet de réduire le nombre d'appels AWS KMS, ce qui peut réduire les coûts liés aux AWS KMS demandes. Si la clé KMS se trouve dans un magasin de clés externe, l'utilisation d'une clé de compartiment S3 peut également minimiser l'impact sur les performances de l'utilisation de la clé. Pour en savoir plus, consultez la section [Réduire le coût du SSE-KMS avec les clés de compartiment Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html) dans le guide de l'*utilisateur d'Amazon Simple Storage Service*.

# Classes et formats de stockage pris en charge
<a name="discovery-supported-storage"></a>

Pour vous aider à découvrir des données sensibles dans votre patrimoine de données Amazon Simple Storage Service (Amazon S3), Amazon Macie prend en charge la plupart des classes de stockage Amazon S3 et un large éventail de formats de fichiers et de stockage. Cette prise en charge s'applique à l'utilisation d'[identifiants de données gérés](managed-data-identifiers.md) et à l'utilisation d'[identifiants de données personnalisés](custom-data-identifiers.md) pour analyser les objets S3.

Pour que Macie puisse analyser un objet S3, celui-ci doit être stocké dans un compartiment Amazon S3 à usage général à l'aide d'une classe de stockage prise en charge. L'objet doit également utiliser un format de fichier ou de stockage compatible. Les rubriques de cette section répertorient les classes de stockage et les formats de fichiers et de stockage actuellement pris en charge par Macie.

**Astuce**  
Bien que Macie soit optimisé pour Amazon S3, vous pouvez l'utiliser pour découvrir des données sensibles dans des ressources que vous stockez actuellement ailleurs. Vous pouvez le faire en déplaçant les données vers Amazon S3 de manière temporaire ou permanente. Par exemple, exportez des instantanés Amazon Relational Database Service ou Amazon Aurora vers Amazon S3 au format Apache Parquet. Ou exportez une table Amazon DynamoDB vers Amazon S3. Vous pouvez ensuite créer une tâche de découverte de données sensibles pour analyser les données dans Amazon S3.

**Topics**
+ [Classes de stockage prises en charge](#discovery-supported-s3-classes)
+ [Formats de fichiers et de stockage pris en charge](#discovery-supported-formats)

## Classes de stockage Amazon S3 prises en charge
<a name="discovery-supported-s3-classes"></a>

Pour la découverte de données sensibles, Amazon Macie prend en charge les classes de stockage Amazon S3 suivantes :
+ Redondance réduite (RRS)
+ S3 Glacier Instant Retrieval
+ Hiérarchisation intelligente S3
+ Accès peu fréquent à S3 One Zone (S3 One Zone‐IA)
+ S3 Standard
+ Accès standard et peu fréquent (S3 Standard‐IA)

Macie n'analyse pas les objets S3 qui utilisent d'autres classes de stockage Amazon S3, telles que S3 Glacier Deep Archive ou S3 Express One Zone. De plus, Macie n'analyse pas les objets stockés dans des compartiments de répertoire S3.

Si vous configurez une tâche de découverte de données sensibles pour analyser des objets S3 qui n'utilisent pas une classe de stockage Amazon S3 prise en charge, Macie ignore ces objets lors de l'exécution de la tâche. *Macie n'essaie pas de récupérer ou d'analyser les données contenues dans les objets : les objets sont traités comme des objets inclassables.* Un objet *inclassable est un objet* qui n'utilise aucune classe de stockage prise en charge ni aucun format de fichier ou de stockage pris en charge. Macie analyse uniquement les objets qui utilisent une classe de stockage et un format de fichier ou de stockage pris en charge.

De même, si vous configurez Macie pour effectuer la découverte automatique de données sensibles, les objets inclassables ne sont pas éligibles à la sélection et à l'analyse. Macie sélectionne uniquement les objets qui utilisent une classe de stockage Amazon S3 prise en charge et un format de fichier ou de stockage pris en charge.

Pour identifier les compartiments S3 qui stockent des objets inclassables, vous pouvez [filtrer votre inventaire de compartiments S3](monitoring-s3-inventory-filter.md). Pour chaque compartiment de votre inventaire, des champs indiquent le nombre et la taille de stockage totale des objets inclassables qu'il contient.

Pour obtenir des informations détaillées sur les classes de stockage fournies par Amazon S3, consultez la section [Utilisation des classes de stockage Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/storage-class-intro.html) dans le *guide de l'utilisateur d'Amazon Simple Storage Service*.

## Formats de fichiers et de stockage pris en charge
<a name="discovery-supported-formats"></a>

Lorsqu'Amazon Macie analyse un objet S3, Macie extrait la dernière version de l'objet auprès d'Amazon S3, puis effectue une inspection approfondie du contenu de l'objet. Cette inspection prend en compte le format de fichier ou de stockage des données. Macie peut analyser des données dans de nombreux formats différents, y compris les formats de compression et d'archivage couramment utilisés.

Lorsque Macie analyse les données d'un fichier compressé ou d'archive, Macie inspecte à la fois le fichier complet et son contenu. Pour inspecter le contenu du fichier, Macie décompresse le fichier, puis inspecte chaque fichier extrait utilisant un format pris en charge. Macie peut le faire pour jusqu'à 1 000 000 de fichiers et jusqu'à une profondeur imbriquée de 10 niveaux. Pour plus d'informations sur les quotas supplémentaires applicables à la découverte de données sensibles, consultez[Quotas pour Macie](macie-quotas.md).

Le tableau suivant répertorie et décrit les types de fichiers et de formats de stockage que Macie peut analyser pour détecter les données sensibles. Pour chaque type pris en charge, le tableau répertorie également les extensions de nom de fichier applicables.


| Type de fichier ou de stockage | Description | Extensions de nom de fichier | 
| --- | --- | --- | 
|  Big Data  |  Conteneurs d'objets Apache Avro et fichiers Apache Parquet  |  .avro, .parquet  | 
|  Compression ou archivage  |  Archives compressées GNU Zip, archives TAR et archives compressées ZIP  |  .gz, .gzip, .tar, .zip  | 
|  Document  |  Fichiers Adobe Portable Document Format, classeurs Microsoft Excel et documents Microsoft Word  |  .doc, .docx, .pdf, .xls, .xlsx  | 
|  Message électronique  |  [Fichiers de courrier électronique dont le contenu est conforme aux exigences spécifiées par une RFC de l'IETF pour les messages électroniques, telle que la RFC 2822](https://www.rfc-editor.org/rfc/rfc2822)  |  .eml  | 
|  Texte  |  Fichiers texte non binaires. Exemples : fichiers de valeurs séparées par des virgules (CSV), fichiers XML (Extensible Markup Language), fichiers HTML (Hypertext Markup Language), fichiers de notation d' JavaScript objet (JSON), fichiers de lignes JSON, documents en texte brut, fichiers de valeurs séparées par des tabulations (TSV) et fichiers YAML  |  Selon le type de fichier texte non binaire : .csv, .htm, .html, .json, .jsonl, .tsv, .txt, .xml, .yaml, .yml, etc.  | 

Macie n'analyse pas les données contenues dans les images, le contenu audio, vidéo ou autre type de contenu multimédia.

Si vous configurez une tâche de découverte de données sensibles pour analyser des objets S3 qui n'utilisent aucun format de fichier ou de stockage pris en charge, Macie ignore ces objets lors de l'exécution de la tâche. *Macie n'essaie pas de récupérer ou d'analyser les données contenues dans les objets : les objets sont traités comme des objets inclassables.* Un objet *inclassable est un objet* qui n'utilise pas une classe de stockage Amazon S3 prise en charge ou un format de fichier ou de stockage pris en charge. Macie analyse uniquement les objets qui utilisent une classe de stockage et un format de fichier ou de stockage pris en charge.

De même, si vous configurez Macie pour effectuer la découverte automatique de données sensibles, les objets inclassables ne sont pas éligibles à la sélection et à l'analyse. Macie sélectionne uniquement les objets qui utilisent une classe de stockage Amazon S3 prise en charge et un format de fichier ou de stockage pris en charge.

Pour identifier les compartiments S3 qui stockent des objets inclassables, vous pouvez [filtrer votre inventaire de compartiments S3](monitoring-s3-inventory-filter.md). Pour chaque compartiment de votre inventaire, des champs indiquent le nombre et la taille de stockage totale des objets inclassables qu'il contient.