检查允许列表状态 - Amazon Macie

检查允许列表状态

如果您创建了允许列表,请务必定期检查其状态。否则,错误可能会导致 Amazon Macie 为您的 Amazon Simple Storage Service (Amazon S3) 数据生成异常分析结果。例如,Macie 可能会为您在允许列表中指定的文本创建敏感数据调查发现。

如果您将敏感数据发现作业配置为使用允许列表,但是 Macie 在作业开始运行时无法访问或使用该列表,则该作业将继续运行。但是,Macie 在分析 S3 对象时不使用此列表。同样,如果分析周期开始自动敏感数据发现,而 Macie 无法访问或使用指定的允许列表,则分析将继续进行,但 Macie 不使用此列表。

指定正则表达式 (regex) 的允许列表发生错误的概率较低。部分原因是当您创建或者更新列表设置时,Macie 会自动测试正则表达式。此外,您还可以将正则表达式和所有其他列表设置存储至 Macie。

但是,指定预定义文本的允许列表可能会出错,部分原因是您将列表存储在 Amazon S3 中,而非 Macie 中。错误的常见原因包括:

  • S3 存储桶或对象已被删除。

  • S3 存储桶或对象已被重命名,Macie 中的列表设置未指定新名称。

  • S3 存储桶的权限设置已更改,Macie 将失去对存储桶和对象的访问权限。

  • S3 存储桶的加密设置已更改,Macie 无法解密存储列表对象。

  • 加密密钥策略已更改,Macie 将无法访问此密钥。Macie 无法解密存储列表的 S3 对象。

重要

由于这些错误会影响您的分析结果,因此我们建议您定期检查所有允许列表状态。如果您更改了存储允许列表的 S3 存储桶的权限或加密设置,或者更改了用于加密列表的 AWS Key Management Service (AWS KMS) 密钥策略,我们建议您也执行此操作。

有关帮助您进行错误故障排除的详细信息,请参见 预定义文本列表的选项与要求

要检查允许列表状态

您可以使用 Amazon Macie 控制台或 Amazon Macie API 检查允许列表状态。在控制台中,您可以用单个页面同时检查所有允许列表的状态。如果您使用 Amazon Macie API,则可以逐一检查各个允许列表的状态。

Console

按照以下步骤,使用 Amazon Macie 控制台检查允许列表状态。

若要检查您的允许列表状态

  1. 通过以下网址打开 Amazon Macie 控制台:https://console.aws.amazon.com/macie/

  2. 在导航窗格中的 设置 下,选择 允许列表

  3. 允许列表页面,选择刷新 ( The refresh button, which is a button that displays an empty, dark gray circle with an arrow. )。Macie 会测试所有允许列表设置,并更新 状态 字段以指示每个列表的当前状态。

    如果列表指定了正则表达式,则其状态通常为 确定。这意味着 Macie 可以编译表达式。如果列表指定了预定义文本,则可能包含以下状态之一。

    确定

    Macie 可以检索和解析列表的内容。

    访问被拒绝

    不允许 Macie 访问存储列表的 S3 对象。Amazon S3 拒绝了检索对象的请求。如果通过 Macie 不允许使用的客户托管AWS KMS key加密对象,则列表也可以具有此状态。

    要解决此错误,检查桶策略以及桶和对象的其他权限设置。确保允许 Macie 访问和检索对象。如果使用客户托管 AWS KMS 密钥加密对象,还要查看密钥政策并确保允许 Macie 使用密钥。

    错误

    Macie 尝试检索或解析列表内容时发生暂时性或内部错误。如果使用 Amazon S3 和 Macie 无法访问或使用的加密密钥对列表进行加密,则允许列表也可以具有此状态。

    要修正此错误,请等待几分钟,然后再次选择刷新 ( The refresh button, which is a button that displays an empty, dark gray circle with an arrow. )。如果状态继续为 错误,请检查 S3 对象的加密设置。确保使用 Amazon S3 和 Macie 可以访问和使用的密钥加密对象。

    对象为空

    Macie 可以检索 Amazon S3 列表,但列表不包含任何内容。

    若要修正此错误,请从 Amazon S3 下载数据元并确保其中包含正确的条目。如果条目正确,请在 Macie 中查看列表设置。确保指定的存储桶和对象名称正确。

    未找到对象

    该列表在 Amazon S3 中不存在。

    若要修正错误,请在 Macie 中查看列表设置。确保指定的存储桶和对象名称正确。

    超出配额

    Macie 可以在 Amazon S3 中访问列表。但是,列表中的条目数或列表的存储大小超过了允许列表配额。

    要修正此错误,请将列表分成多个文件。确保每个文件包含的条目数量少于 100000 个。还要确保每个文件的大小都小于 35MB。将文件上传到 Amazon S3 然后,在 Macie 中为每个文件配置列表设置。每个支持的AWS 区域最多有五个自定义文本列表。

    受限

    Amazon S3 限制了检索列表的请求。

    要修正此错误,请等待几分钟,然后再次选择刷新 ( The refresh button, which is a button that displays an empty, dark gray circle with an arrow. )。

    用户访问被拒绝

    Amazon S3 拒绝了检索对象的请求。如果指定的对象存在,则不允许您访问该对象,或者使用不允许使用的 AWS KMS 密钥对其进行加密。

    要解决此错误,与您的 AWS 管理员合作,确保列表的设置指定正确的桶和对象名称,并且您具有对桶和对象的读取权限。如果对象已加密,还要确保使用允许您使用的密钥对其进行加密。

  4. 要检查特定列表的设置和状态,请选择列表的名称。

API

要以编程方式检查允许列表的状态,请使用 Amazon Macie API 的 GetAllowList 操作。或者,如果您使用的是 AWS CLI,请运行 get-allow-list 命令。

对于 id 参数,指定待检查状态允许列表的唯一标识符。要获取此标识符,可以使用 ListAllowLists 操作。ListAllowLists 操作会检索有关您账户的所有允许列表的信息。如果您使用的是 AWS CLI,则可以运行 list-allow-lists 命令检索此信息。

当您提交 GetAllowList 请求时,Macie 会测试允许列表的所有设置。如果设置指定了正则表达式 (regex),Macie 会验证它是否可以编译此表达式。如果设置指定了预定义文本列表 (s3WordsList),Macie 会验证它是否可以检索和解析此列表。

然后 Macie 返回提供允许列表详细信息的 GetAllowListResponse 对象。在 GetAllowListResponse 对象中,status 对象表示列表的当前状态:状态码 (code);以及列表状态的简要描述 (description),视状态代码而定。

如果允许列表指定了正则表达式,则状态码通常为OK,并且没有相关的描述。这意味着 Macie 成功编译了此表达式。

如果允许列表指定了预定义文本,则状态代码会视测试结果而异:

  • 如果 Macie 成功检索并解析了列表,则状态码为OK,并且没有相关的描述。

  • 如果错误阻止 Macie 检索或解析列表,则状态代码和描述将表明错误性质。

有关可能的状态代码列表和每个状态码的描述,请参阅 Amazon Macie API 引用中的 AllowListStatus