本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用 Macie 发现敏感数据
借助 Amazon Macie,您可以自动发现、记录和报告 Amazon Simple Storage Service (Amazon S3) 数据资产中的敏感数据。您可以通过两种方式执行此操作:通过配置 Macie 以执行自动敏感数据发现,以及通过创建并运行敏感数据发现作业。
通过自动敏感数据发现,可以广泛了解敏感数据可能存放在您的 Amazon S3 数据资产中的位置。使用此选项,Macie 可以每天评测您的 S3 存储桶清单,并使用采样技术从您的存储桶中识别和选择具有代表性的 S3 对象。然后,Macie 检索并分析所选对象,检查它们是否有敏感数据。有关更多信息,请参阅 [执行自动敏感数据发现](discovery-asdd.md)。
敏感数据发现作业可提供更深入、更有针对性的分析。使用此选项,您可以定义分析的广度和深度 — 您选择的特定 S3 存储桶或符合特定条件的存储桶。您还可以通过选择选项(例如源自 S3 对象属性的自定义标准)来细化分析范围。此外,您可以将作业配置为仅运行一次以进行按需分析和评测,或者定期运行以进行定期分析、评测和监控。有关更多信息,请参阅 [运行敏感数据发现作业](discovery-jobs.md)。
无论是自动敏感数据发现还是敏感数据发现任务,您都可以将 Macie 配置为使用其提供的托管数据标识符、您定义的自定义数据标识符或两者的组合来分析 S3 对象。您还可以使用允许列表对分析进行微调。在配置自动敏感数据发现或敏感数据发现任务的设置时,需要指定要使用的设置:
+ **托管数据标识符**-这些是内置的标准和技术,旨在检测特定类型的敏感数据。例如,他们可以检测特定国家和地区的信用卡号、 AWS 秘密访问密钥和护照号码。他们可以检测到许多国家和地区的大量且不断增长的敏感数据类型。这包括多种类型的个人身份信息 (PII)、财务信息和凭证数据。有关更多信息,请参阅 [使用托管数据标识符](managed-data-identifiers.md)。
+ **自定义数据标识符**-这些是您为检测敏感数据而定义的自定义标准。每个自定义数据标识符指定一个正则表达式 (*regex*),该正则表达式定义要匹配的文本模式,以及(可选)字符序列和优化结果的邻近规则。您可以使用它们来检测反映您的特定场景、知识产权或专有数据的敏感数据,例如员工 IDs、客户账号或内部数据分类。有关更多信息,请参阅 [构建自定义数据标识符](custom-data-identifiers.md)。
+ **允许列表** — 这些列表指定您希望 Macie 忽略的文本和文本模式。您可以使用它们来为您的特定场景或环境指定敏感数据例外情况,例如,贵组织的公共名称或电话号码,或者您的组织用于测试的示例数据。如果 Macie 在允许列表中找到与条目或模式匹配的文本,则 Macie 不会报告出现的文本。即使文本符合托管或自定义数据标识符的标准,情况也是如此。有关更多信息,请参阅 [使用允许列表定义敏感数据例外](allow-lists.md)。
当 Macie 分析 S3 对象时,Macie 会从 Amazon S3 中检索该对象的最新版本,然后检查该对象的内容中是否有敏感数据。如果以下条件成立,则 Macie 可以分析对象:
+ 该对象使用支持的文件或存储格式,并使用支持的存储类存储在 S3 通用存储桶中。有关更多信息,请参阅 [支持的存储类别和格式](discovery-supported-storage.md)。
+ 如果对象已加密,则会使用 Macie 可以访问并允许使用的密钥进行加密。有关更多信息,请参阅 [分析加密 S3 对象](discovery-supported-encryption-types.md)。
+ 如果对象存储在具有限制性存储桶策略的存储桶中,则该策略允许 Macie 访问存储桶中的对象。有关更多信息,请参阅 [允许 Macie 访问 S3 存储桶和对象](monitoring-restrictive-s3-buckets.md)。
为了帮助您满足和保持对数据安全性和隐私性要求的合规性,Macie 会生成其发现的敏感数据及其所执行分析(*敏感数据调查发现*和*敏感数据发现结果*)的记录。*敏感数据调查发现*是 Macie 在 S3 对象中发现的敏感数据的详细报告。*敏感数据发现结果*是关于对象分析的详细信息的记录。每种类型的记录都遵循标准化架构,该架构可以帮助您根据需要使用其他应用程序、服务和系统来对它们进行查询、监控和处理。
**提示**
尽管 Macie 针对 Amazon S3 进行了优化,但您可以使用它来发现当前存储在其他位置的资源中的敏感数据。为此,您可以暂时或永久地将数据移动到 Amazon S3。例如,将 Amazon Relational Database Service 或 Amazon Aurora 快照以 Apache Parquet 格式导出到 Amazon S3。或者将 Amazon DynamoDB 表导出到 Amazon S3。然后,您可以创建作业来分析 Amazon S3 中的数据。
**Topics**
+ [使用托管数据标识符](managed-data-identifiers.md)
+ [构建自定义数据标识符](custom-data-identifiers.md)
+ [使用允许列表定义敏感数据例外](allow-lists.md)
+ [执行自动敏感数据发现](discovery-asdd.md)
+ [运行敏感数据发现作业](discovery-jobs.md)
+ [分析加密 S3 对象](discovery-supported-encryption-types.md)
+ [存储和保留敏感数据发现结果](discovery-results-repository-s3.md)
+ [支持的存储类别和格式](discovery-supported-storage.md)
# 使用托管数据标识符
Amazon Macie 将包括机器学习和模式匹配在内的标准和技术结合使用来检测 Amazon Simple Storage Service (Amazon S3) 中的敏感数据。这些标准和技巧统称为*托管数据标识符*,可以检测到许多国家和地区的大量敏感数据类型,而且这些类型还在不断增长中,包括多种类型的凭证数据、财务信息、个人健康信息(PHI)和个人身份信息(PII)。每个托管数据标识符都旨在检测特定类型的敏感数据,例如特定国家或地区的 AWS 秘密访问密钥、信用卡号或护照号码。
Macie 可以使用托管数据标识符检测以下类别的敏感数据:
+ 凭证,用于凭证数据,例如私钥和 AWS 秘密访问密钥。
+ 财务信息,指信用卡号和银行账户号等财务数据。
+ 个人健康信息,如健康保险和医疗识别号码;个人信息,如驾驶证号码和护照号码。
在每个类别中,Macie 可以检测多种类型的敏感数据。本节中的主题列出并描述了各种类型以及对其进行检测的相关要求。对于每种类型,它们还说明了托管数据标识符的唯一标识符 (ID),此标识符设计用于检测数据。在[创建敏感数据发现任务](discovery-jobs-create.md)或[配置自动敏感数据发现设置](discovery-asdd-account-configure.md)时,您可以使用这些设置 IDs 来指定希望 Macie 在分析 S3 对象时使用哪些托管数据标识符。
**Topics**
+ [关键字要求](managed-data-identifiers-keywords.md)
+ [按敏感数据类型划分的快速参考](mdis-reference-quick.md)
+ [按敏感数据类别划分的详细参考](mdis-reference.md)
有关我们推荐用于作业的托管数据标识符列表,请参阅 [推荐用于敏感数据发现作业的托管数据标识符](discovery-jobs-mdis-recommended.md)。有关我们推荐并默认用于自动敏感数据发现的托管数据标识符列表,请参阅 [自动敏感数据发现的默认设置](discovery-asdd-settings-defaults.md)。
# 托管数据标识符的关键字需求
为了使用托管数据标识号检测某些类型的敏感数据,Amazon Macie 要求关键字的位置必须靠近数据。如果特定类型的数据属于这种情况,此部分中的参考主题将说明该数据的特定关键字要求。
如果关键字必须靠近特定类型的数据,则该关键字通常必须在 30 个字符以内(含)数据。其他邻近要求因 Amazon Simple Storage Service (Amazon S3) 对象的文件类型或存储格式而异。
**结构化柱状数据**
对于列式数据,关键字必须是相同值的一部分或在存储值的列或字段的名称中。这种情况包括 Microsoft Excel 工作簿、CSV 文件和 TSV 文件。
例如,如果某个字段的值同时包含 *SSN* 和使用美国社会安全号码 (SSN) 语法的九位数字,则 Macie 可以在该字段中检测到 SSN。同样,如果列名包含 *SSN*,Macie 可以检测该列中的每个 SSN。Macie 将该列中的值视为与关键字 *SSN* 接近。
**基于记录的结构化数据**
对于基于记录的数据,关键字必须是相同值的一部分,或者是在存储值的字段或数组路径中元素的名称中。这种情况包括 Apache Avro 对象容器、Apache Parquet 文件、JSON 文件和 JSON Lines 文件。
例如,如果字段的值同时包含*凭据*和使用私有访问 AWS 密钥语法的字符序列,则 Macie 可以检测该字段中的密钥。同样,如果字段的路径是`$.credentials.aws.key`,则 Macie 可以在该字段中检测到私有访问 AWS 密钥。Macie 将该字段中的值视为与关键字*凭证*相近。
**非结构化数据**
对于非结构化数据,关键字通常必须与数据 30 个字符以内(含)。没有任何额外的邻近要求。这种情况包括 Adobe 便携式文档格式文件、Microsoft Word 文档、电子邮件消息和非二进制文本文件(CSV、JSON、JSON Lines 和 TSV 文件除外)。这包括这些类型的文件中的任何结构化数据,例如表或 XML。
关键字不区分大小写。此外,如果关键字包含空格,Macie 会自动匹配不包含空格的变体,或包含下划线 (\$1) 或连字符 (-) 而不是空格的关键字变体。在某些情况下,Macie 还会扩展或缩写关键字以应对该关键字的常见变体。
要演示关键字如何提供上下文并帮助 Macie 检测特定类型的敏感数据,请观看以下视频:
# 快速参考:按类型划分的托管数据标识符
在 Amazon Macie 中,*托管数据标识符*是一组内置标准和技术,旨在检测特定类型的敏感数据,例如信用卡号、 AWS 私有访问密钥或特定国家或地区的护照号码。这些标识符可以检测许多国家和地区的大量且不断增长的敏感数据类型列表,包括多种类型的凭证数据、财务信息、个人健康信息 (PHI) 和个人身份信息(PII)。
下表列出了 Macie 当前提供的所有托管数据标识符,按敏感数据类型排列。对于每种类型,它提供以下信息:
+ **敏感数据类别**-指定敏感数据的一般类别,包括以下类型:*凭证*,用于凭证数据,例如私钥;*财务信息*,用于财务数据,例如信用卡号和银行账户;*个人信息:PHI* 个人健康信息,例如健康保险和医疗身份证号;*个人信息:PII* 个人身份信息,例如驾驶执照识别号和护照号码。
+ **托管数据标识符 ID** – 指定用于检测数据的一个或多个托管数据标识符的唯一标识符 (ID)。在创建敏感数据发现任务或配置自动发现敏感数据的设置时,您可以使用这些设置 IDs 来指定希望 Macie 在分析数据时使用哪些托管数据标识符。有关我们推荐用于作业的托管数据标识符列表,请参阅 [推荐用于敏感数据发现作业的托管数据标识符](discovery-jobs-mdis-recommended.md)。有关我们推荐用于自动敏感数据发现的托管数据标识符列表,请参阅 [自动敏感数据发现的默认设置](discovery-asdd-settings-defaults.md)。
+ **必填关键字** - 指定检测是否要求关键字靠近数据。有关 Macie 在分析数据时如何使用关键字的信息,请参阅 [关键字要求](managed-data-identifiers-keywords.md)。
+ **国家和地区**-指定适用的托管数据标识符是为哪些国家和地区设计的。如果托管数据标识符不是为特定国家和地区设计的,则此值为 “*任*意”。
要查看有关特定类型敏感数据的托管数据标识符的其他详细信息,请选择该类型。
| 敏感数据类型 | 敏感数据类别 | 托管数据标识符 ID | 所需关键字 | 国家和地区 |
| --- | --- | --- | --- | --- |
| [AWS 秘密访问密钥](mdis-reference-credentials.md#mdis-reference-AWS-CREDENTIALS) | 凭证 | AWS\$1CREDENTIALS | 是 | 任何 |
| [银行账户](mdis-reference-financial.md#mdis-reference-BAN) | 财务信息 | BANK\$1ACCOUNT\$1NUMBER (适用于加拿大和美国) | 是 | 加拿大、美国 |
| [基本银行账户 (BBAN)](mdis-reference-financial.md#mdis-reference-BBAN) | 财务信息 | 视国家或地区而定: FRANCE\$1BANK\$1ACCOUNT\$1NUMBER, GERMANY\$1BANK\$1ACCOUNT\$1NUMBER, ITALY\$1BANK\$1ACCOUNT\$1NUMBER, SPAIN\$1BANK\$1ACCOUNT\$1NUMBER, UK\$1BANK\$1ACCOUNT\$1NUMBER | 是 | 法国、德国、意大利、西班牙、英国 |
| [出生日期](mdis-reference-pii.md#mdis-reference-DATE_OF_BIRTH) | 个人信息:PII | DATE\$1OF\$1BIRTH | 是 | 任何 |
| [信用卡到期日期](mdis-reference-financial.md#mdis-reference-CC-expiration) | 财务信息 | CREDIT\$1CARD\$1EXPIRATION | 是 | 任何 |
| [信用卡磁条数据](mdis-reference-financial.md#mdis-reference-CC-stripe) | 财务信息 | CREDIT\$1CARD\$1MAGNETIC\$1STRIPE | 是 | 任何 |
| [信用卡号](mdis-reference-financial.md#mdis-reference-CC-number) | 财务信息 | CREDIT\$1CARD\$1NUMBER (适用于关键字附近的信用卡号),CREDIT\$1CARD\$1NUMBER\$1(NO\$1KEYWORD) (适用于与关键字不相近的信用卡号) | 变化 | 任何 |
| [信用卡验证码](mdis-reference-financial.md#mdis-reference-CC-verification-code) | 财务信息 | CREDIT\$1CARD\$1SECURITY\$1CODE | 是 | 任何 |
| [驾驶执照识别号](mdis-reference-pii.md#mdis-reference-DL-num) | 个人信息:PII | 视国家或地区而定: AUSTRALIA\$1DRIVERS\$1LICENSE, AUSTRIA\$1DRIVERS\$1LICENSE, BELGIUM\$1DRIVERS\$1LICENSE, BULGARIA\$1DRIVERS\$1LICENSE, CANADA\$1DRIVERS\$1LICENSE, CROATIA\$1DRIVERS\$1LICENSE, CYPRUS\$1DRIVERS\$1LICENSE, CZECHIA\$1DRIVERS\$1LICENSE, DENMARK\$1DRIVERS\$1LICENSE, DRIVERS\$1LICENSE (for the US), ESTONIA\$1DRIVERS\$1LICENSE, FINLAND\$1DRIVERS\$1LICENSE, FRANCE\$1DRIVERS\$1LICENSE, GERMANY\$1DRIVERS\$1LICENSE, GREECE\$1DRIVERS\$1LICENSE, HUNGARY\$1DRIVERS\$1LICENSE, INDIA\$1DRIVERS\$1LICENSE, IRELAND\$1DRIVERS\$1LICENSE, ITALY\$1DRIVERS\$1LICENSE, LATVIA\$1DRIVERS\$1LICENSE, LITHUANIA\$1DRIVERS\$1LICENSE, LUXEMBOURG\$1DRIVERS\$1LICENSE, MALTA\$1DRIVERS\$1LICENSE, NETHERLANDS\$1DRIVERS\$1LICENSE, POLAND\$1DRIVERS\$1LICENSE, PORTUGAL\$1DRIVERS\$1LICENSE, ROMANIA\$1DRIVERS\$1LICENSE, SLOVAKIA\$1DRIVERS\$1LICENSE, SLOVENIA\$1DRIVERS\$1LICENSE, SPAIN\$1DRIVERS\$1LICENSE, SWEDEN\$1DRIVERS\$1LICENSE, UK\$1DRIVERS\$1LICENSE | 是 | 澳大利亚、奥地利、比利时、保加利亚、加拿大、克罗地亚、塞浦路斯、捷克共和国、丹麦、爱沙尼亚、芬兰、法国、德国、希腊、匈牙利、印度、爱尔兰、意大利、拉脱维亚、立陶宛、卢森堡、马耳他、荷兰、波兰、葡萄牙、罗马尼亚、斯洛伐克、斯洛文尼亚、西班牙、瑞典、英国、美国 |
| [毒品管理局 (DEA) 注册号](mdis-reference-phi.md#mdis-reference-DEA-registration-num) | 个人信息:PHI | US\$1DRUG\$1ENFORCEMENT\$1AGENCY\$1NUMBER | 是 | 美国 |
| [选民名册编号](mdis-reference-pii.md#mdis-reference-electoral-roll-num) | 个人信息:PII | UK\$1ELECTORAL\$1ROLL\$1NUMBER | 是 | 英国 |
| [全名](mdis-reference-pii.md#mdis-reference-full-name) | 个人信息:PII | NAME | 否 | 如果名称使用拉丁字符集,则为“任何” |
| [全球定位系统 (GPS) 坐标](mdis-reference-pii.md#mdis-reference-GPS) | 个人信息:PII | LATITUDE\$1LONGITUDE | 是 | 如果坐标靠近英语关键字,则为“任何” |
| [Google Cloud API 密钥](mdis-reference-credentials.md#mdis-reference-GCP-API-key) | 凭证 | GCP\$1API\$1KEY | 是 | 任何 |
| [健康保险索赔编号 (HICN)](mdis-reference-phi.md#mdis-reference-HICN) | 个人信息:PHI | USA\$1HEALTH\$1INSURANCE\$1CLAIM\$1NUMBER | 是 | 美国 |
| [健康保险或医疗识别号](mdis-reference-phi.md#mdis-reference-HI-ID) | 个人信息:PHI | 视国家或地区而定: CANADA\$1HEALTH\$1NUMBER, EUROPEAN\$1HEALTH\$1INSURANCE\$1CARD\$1NUMBER, FINLAND\$1EUROPEAN\$1HEALTH\$1INSURANCE\$1NUMBER, FRANCE\$1HEALTH\$1INSURANCE\$1NUMBER, UK\$1NHS\$1NUMBER, USA\$1MEDICARE\$1BENEFICIARY\$1IDENTIFIER | 是 | 加拿大、欧盟、芬兰、法国、英国、美国 |
| [医疗保健通用程序编码系统 (HCPCS) 代码](mdis-reference-phi.md#mdis-reference-HCPCS) | 个人信息:PHI | USA\$1HEALTHCARE\$1PROCEDURE\$1CODE | 是 | 美国 |
| [HTTP 基本授权标头](mdis-reference-credentials.md#mdis-reference-HTTP_BASIC_AUTH_HEADER) | 凭证 | HTTP\$1BASIC\$1AUTH\$1HEADER | 否 | 任何 |
| [HTTP cookie](mdis-reference-pii.md#mdis-reference-HTTP_COOKIE) | 个人信息:PII | HTTP\$1COOKIE | 否 | 任何 |
| [国际银行账户 (IBAN)](mdis-reference-financial.md#mdis-reference-IBAN) | 财务信息 | 视国家或地区而定: ALBANIA\$1BANK\$1ACCOUNT\$1NUMBER, ANDORRA\$1BANK\$1ACCOUNT\$1NUMBER, BOSNIA\$1AND\$1HERZEGOVINA\$1BANK\$1ACCOUNT\$1NUMBER, BRAZIL\$1BANK\$1ACCOUNT\$1NUMBER, BULGARIA\$1BANK\$1ACCOUNT\$1NUMBER, COSTA\$1RICA\$1BANK\$1ACCOUNT\$1NUMBER, CROATIA\$1BANK\$1ACCOUNT\$1NUMBER, CYPRUS\$1BANK\$1ACCOUNT\$1NUMBER, CZECH\$1REPUBLIC\$1BANK\$1ACCOUNT\$1NUMBER, DENMARK\$1BANK\$1ACCOUNT\$1NUMBER, DOMINICAN\$1REPUBLIC\$1BANK\$1ACCOUNT\$1NUMBER, EGYPT\$1BANK\$1ACCOUNT\$1NUMBER, ESTONIA\$1BANK\$1ACCOUNT\$1NUMBER, FAROE\$1ISLANDS\$1BANK\$1ACCOUNT\$1NUMBER, FINLAND\$1BANK\$1ACCOUNT\$1NUMBER, FRANCE\$1BANK\$1ACCOUNT\$1NUMBER, GEORGIA\$1BANK\$1ACCOUNT\$1NUMBER, GERMANY\$1BANK\$1ACCOUNT\$1NUMBER, GREECE\$1BANK\$1ACCOUNT\$1NUMBER, GREENLAND\$1BANK\$1ACCOUNT\$1NUMBER, HUNGARY\$1BANK\$1ACCOUNT\$1NUMBER, ICELAND\$1BANK\$1ACCOUNT\$1NUMBER, IRELAND\$1BANK\$1ACCOUNT\$1NUMBER, ITALY\$1BANK\$1ACCOUNT\$1NUMBER, JORDAN\$1BANK\$1ACCOUNT\$1NUMBER, KOSOVO\$1BANK\$1ACCOUNT\$1NUMBER, LIECHTENSTEIN\$1BANK\$1ACCOUNT\$1NUMBER, LITHUANIA\$1BANK\$1ACCOUNT\$1NUMBER, MALTA\$1BANK\$1ACCOUNT\$1NUMBER, MAURITANIA\$1BANK\$1ACCOUNT\$1NUMBER, MAURITIUS\$1BANK\$1ACCOUNT\$1NUMBER, MONACO\$1BANK\$1ACCOUNT\$1NUMBER, MONTENEGRO\$1BANK\$1ACCOUNT\$1NUMBER, NETHERLANDS\$1BANK\$1ACCOUNT\$1NUMBER, NORTH\$1MACEDONIA\$1BANK\$1ACCOUNT\$1NUMBER, POLAND\$1BANK\$1ACCOUNT\$1NUMBER, PORTUGAL\$1BANK\$1ACCOUNT\$1NUMBER, SAN\$1MARINO\$1BANK\$1ACCOUNT\$1NUMBER, SENEGAL\$1BANK\$1ACCOUNT\$1NUMBER, SERBIA\$1BANK\$1ACCOUNT\$1NUMBER, SLOVAKIA\$1BANK\$1ACCOUNT\$1NUMBER, SLOVENIA\$1BANK\$1ACCOUNT\$1NUMBER, SPAIN\$1BANK\$1ACCOUNT\$1NUMBER, SWEDEN\$1BANK\$1ACCOUNT\$1NUMBER, SWITZERLAND\$1BANK\$1ACCOUNT\$1NUMBER, TIMOR\$1LESTE\$1BANK\$1ACCOUNT\$1NUMBER, TUNISIA\$1BANK\$1ACCOUNT\$1NUMBER, TURKIYE\$1BANK\$1ACCOUNT\$1NUMBER, UK\$1BANK\$1ACCOUNT\$1NUMBER, UKRAINE\$1BANK\$1ACCOUNT\$1NUMBER, UNITED\$1ARAB\$1EMIRATES\$1BANK\$1ACCOUNT\$1NUMBER, VIRGIN\$1ISLANDS\$1BANK\$1ACCOUNT\$1NUMBER (代表英属维尔京群岛) | 否 | 阿尔巴尼亚、安道尔、波斯尼亚-黑塞哥维那、巴西、保加利亚、哥斯达黎加、克罗地亚、塞浦路斯、捷克共和国、丹麦、多米尼加共和国、埃及、爱沙尼亚、法罗群岛、芬兰、法国、格鲁吉亚、德国、希腊、格陵兰、匈牙利、冰岛、爱尔兰、意大利、约旦、科索沃、列支敦士登、立陶宛、马耳他、毛里塔尼亚、毛里求斯、摩纳哥、黑山、荷兰、北马其顿、波兰、葡萄牙、圣马力诺、塞内加尔、塞尔维亚、斯洛伐克、斯洛文尼亚、西班牙、瑞典、瑞士、东帝汶、突尼斯、土耳其、英国、乌克兰、阿拉伯联合酋长国、维尔京群岛(英属) |
| [JSON Web 令牌 (JWT)](mdis-reference-credentials.md#mdis-reference-JSON_WEB_TOKEN) | 凭证 | JSON\$1WEB\$1TOKEN | 否 | 任何 |
| [邮寄地址](mdis-reference-pii.md#mdis-reference-mailing-address) | 个人信息:PII | ADDRESS, BRAZIL\$1CEP\$1CODE (适用于巴西的《邮政编码》) | 变化 | 澳大利亚、巴西、加拿大、法国、德国、意大利、西班牙、英国、美国 |
| [国家药品编码 (NDC)](mdis-reference-phi.md#mdis-reference-NDC) | 个人信息:PHI | USA\$1NATIONAL\$1DRUG\$1CODE | 是 | 美国 |
| [身份证号码](mdis-reference-pii.md#mdis-reference-national-id) | 个人信息:PII | 视国家或地区而定: ARGENTINA\$1DNI\$1NUMBER, BRAZIL\$1RG\$1NUMBER, CHILE\$1RUT\$1NUMBER, COLOMBIA\$1CITIZENSHIP\$1CARD\$1NUMBER, FRANCE\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, GERMANY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, INDIA\$1AADHAAR\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, MEXICO\$1CURP\$1NUMBER, SPAIN\$1DNI\$1NUMBER | 是 | 阿根廷、巴西、智利、哥伦比亚、法国、德国、印度、意大利、墨西哥、西班牙 |
| [国民保险号码 (NINO)](mdis-reference-pii.md#mdis-reference-NINO) | 个人信息:PII | UK\$1NATIONAL\$1INSURANCE\$1NUMBER | 是 | 英国 |
| [国家提供商识别码 (NPI)](mdis-reference-phi.md#mdis-reference-NPI) | 个人信息:PHI | USA\$1NATIONAL\$1PROVIDER\$1IDENTIFIER | 是 | 美国 |
| [OpenSSH 私有密钥](mdis-reference-credentials.md#mdis-reference-OPENSSH_PRIVATE_KEY) | 凭证 | OPENSSH\$1PRIVATE\$1KEY | 否 | 任何 |
| [护照编号](mdis-reference-pii.md#mdis-reference-passport-num) | 个人信息:PII | 视国家或地区而定: CANADA\$1PASSPORT\$1NUMBER, FRANCE\$1PASSPORT\$1NUMBER, GERMANY\$1PASSPORT\$1NUMBER, ITALY\$1PASSPORT\$1NUMBER, SPAIN\$1PASSPORT\$1NUMBER, UK\$1PASSPORT\$1NUMBER, USA\$1PASSPORT\$1NUMBER | 是 | 加拿大、法国、德国、意大利、西班牙、英国、美国 |
| [永久居留号码](mdis-reference-pii.md#mdis-reference-permanent-residence-num) | 个人信息:PII | CANADA\$1NATIONAL\$1IDENTIFICATION\$1NUMBER | 是 | 加拿大 |
| [PGP 私有密钥](mdis-reference-credentials.md#mdis-reference-PGP_PRIVATE_KEY) | 凭证 | PGP\$1PRIVATE\$1KEY | 否 | 任何 |
| [Phone number(电话号码)](mdis-reference-pii.md#mdis-reference-phone-num) | 个人信息:PII | 视国家或地区而定: BRAZIL\$1PHONE\$1NUMBER, FRANCE\$1PHONE\$1NUMBER, GERMANY\$1PHONE\$1NUMBER, ITALY\$1PHONE\$1NUMBER, PHONE\$1NUMBER (for Canada and the US), SPAIN\$1PHONE\$1NUMBER, UK\$1PHONE\$1NUMBER | 变化 | 巴西、加拿大、法国、德国、意大利、西班牙、英国、美国 |
| [公有密钥加密标准 (PKCS, Public-Key Cryptography Standard) 私有密钥](mdis-reference-credentials.md#mdis-reference-PKCS) | 凭证 | PKCS | 否 | 任何 |
| [公共交通卡号](mdis-reference-pii.md#mdis-reference-public-transport-num) | 个人信息:PII | ARGENTINA\$1TARJETA\$1SUBE | 是 | 阿根廷 |
| [PuTTY 私有密钥](mdis-reference-credentials.md#mdis-reference-PUTTY_PRIVATE_KEY) | 凭证 | PUTTY\$1PRIVATE\$1KEY | 否 | 任何 |
| [社会保险号码 (SIN)](mdis-reference-pii.md#mdis-reference-social-insurance-num) | 个人信息:PII | CANADA\$1SOCIAL\$1INSURANCE\$1NUMBER | 是 | 加拿大 |
| [社会保障号码(SSN)](mdis-reference-pii.md#mdis-reference-social-security-num) | 个人信息:PII | 视国家或地区而定: SPAIN\$1SOCIAL\$1SECURITY\$1NUMBER, USA\$1SOCIAL\$1SECURITY\$1NUMBER | 是 | 西班牙、美国 |
| [Stripe API 密钥](mdis-reference-credentials.md#mdis-reference-Stripe_API_key) | 凭证 | STRIPE\$1CREDENTIALS | 否 | 任何 |
| [纳税人识别号或参考号](mdis-reference-pii.md#mdis-reference-taxpayer-num) | 个人信息:PII | 视国家或地区而定: ARGENTINA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER, ARGENTINA\$1ORGANIZATION\$1TAX\$1IDENTIFICATION\$1NUMBER, AUSTRALIA\$1TAX\$1FILE\$1NUMBER, BRAZIL\$1CNPJ\$1NUMBER, BRAZIL\$1CPF\$1NUMBER, CHILE\$1RUT\$1NUMBER, COLOMBIA\$1INDIVIDUAL\$1NIT\$1NUMBER, COLOMBIA\$1ORGANIZATION\$1NIT\$1NUMBER, FRANCE\$1TAX\$1IDENTIFICATION\$1NUMBER, GERMANY\$1TAX\$1IDENTIFICATION\$1NUMBER, INDIA\$1PERMANENT\$1ACCOUNT\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, MEXICO\$1INDIVIDUAL\$1RFC\$1NUMBER, MEXICO\$1ORGANIZATION\$1RFC\$1NUMBER, SPAIN\$1NIE\$1NUMBER, SPAIN\$1NIF\$1NUMBER, SPAIN\$1TAX\$1IDENTIFICATION\$1NUMBER, UK\$1TAX\$1IDENTIFICATION\$1NUMBER, USA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER | 是 | 阿根廷、澳大利亚、巴西、智利、哥伦比亚、法国、德国、印度、意大利、墨西哥、西班牙、英国、美国 |
| [设备唯一标识符 (UDI)](mdis-reference-phi.md#mdis-reference-UDI) | 个人信息:PHI | MEDICAL\$1DEVICE\$1UDI | 是 | 美国 |
| [车辆识别号码 (VIN)](mdis-reference-pii.md#mdis-reference-vin) | 个人信息:PII | VEHICLE\$1IDENTIFICATION\$1NUMBER | 是 | 如果 VIN 与以下语言之一的关键字相邻,则为任意国家和地区:英语、法语、德语、立陶宛语、波兰语、葡萄牙语、罗马尼亚语或西班牙语。 |
# 详细参考:按类别划分的托管数据标识符
在 Amazon Macie 中,*托管数据标识符*是内置条件和技术,旨在检测特定类型的敏感数据。它们可以检测许多国家和地区的大量且不断增长的敏感数据类型列表,包括多种类型的凭证数据、财务信息和个人信息。每个托管数据标识符都设计用于检测特定类型的敏感数据,例如 AWS 秘密访问密钥、信用卡号或者特定国家或地区的护照号码。
Macie 可以使用托管数据标识符检测几种类别的敏感数据。在每个类别中,Macie 可以检测多种类型的敏感数据。本节中的主题列出并描述了各种类型以及对数据进行检测的相关要求。您可以按类别浏览主题:
+ [凭证](mdis-reference-credentials.md)-用于私钥和 AWS 秘密访问密钥等凭证数据。
+ [财务信息](mdis-reference-financial.md):指信用卡号和银行账户号等财务数据。
+ [个人信息:PHI](mdis-reference-phi.md):指个人健康信息 (PHI),例如健康保险和医疗识别号。
+ [个人信息:PII](mdis-reference-pii.md):指个人身份信息(PII),例如驾照识别号和护照号码。
或者从下表中选择特定类型的敏感数据。表格列出了 Macie 当前提供的所有托管数据标识符,按敏感数据类型排列。该表还汇总了检测每种类型的相关要求。
| 敏感数据类型 | 敏感数据类别 | 托管数据标识符 ID | 所需关键字 | 国家和地区 |
| --- | --- | --- | --- | --- |
| [AWS 秘密访问密钥](mdis-reference-credentials.md#mdis-reference-AWS-CREDENTIALS) | 凭证 | AWS\$1CREDENTIALS | 是 | 任何 |
| [银行账户](mdis-reference-financial.md#mdis-reference-BAN) | 财务信息 | BANK\$1ACCOUNT\$1NUMBER (适用于加拿大和美国) | 是 | 加拿大、美国 |
| [基本银行账户 (BBAN)](mdis-reference-financial.md#mdis-reference-BBAN) | 财务信息 | 视国家或地区而定: FRANCE\$1BANK\$1ACCOUNT\$1NUMBER, GERMANY\$1BANK\$1ACCOUNT\$1NUMBER, ITALY\$1BANK\$1ACCOUNT\$1NUMBER, SPAIN\$1BANK\$1ACCOUNT\$1NUMBER, UK\$1BANK\$1ACCOUNT\$1NUMBER | 是 | 法国、德国、意大利、西班牙、英国 |
| [出生日期](mdis-reference-pii.md#mdis-reference-DATE_OF_BIRTH) | 个人信息:PII | DATE\$1OF\$1BIRTH | 是 | 任何 |
| [信用卡到期日期](mdis-reference-financial.md#mdis-reference-CC-expiration) | 财务信息 | CREDIT\$1CARD\$1EXPIRATION | 是 | 任何 |
| [信用卡磁条数据](mdis-reference-financial.md#mdis-reference-CC-stripe) | 财务信息 | CREDIT\$1CARD\$1MAGNETIC\$1STRIPE | 是 | 任何 |
| [信用卡号](mdis-reference-financial.md#mdis-reference-CC-number) | 财务信息 | CREDIT\$1CARD\$1NUMBER (适用于关键字附近的信用卡号),CREDIT\$1CARD\$1NUMBER\$1(NO\$1KEYWORD) (适用于与关键字不相近的信用卡号) | 变化 | 任何 |
| [信用卡验证码](mdis-reference-financial.md#mdis-reference-CC-verification-code) | 财务信息 | CREDIT\$1CARD\$1SECURITY\$1CODE | 是 | 任何 |
| [驾驶执照识别号](mdis-reference-pii.md#mdis-reference-DL-num) | 个人信息:PII | 视国家或地区而定: AUSTRALIA\$1DRIVERS\$1LICENSE, AUSTRIA\$1DRIVERS\$1LICENSE, BELGIUM\$1DRIVERS\$1LICENSE, BULGARIA\$1DRIVERS\$1LICENSE, CANADA\$1DRIVERS\$1LICENSE, CROATIA\$1DRIVERS\$1LICENSE, CYPRUS\$1DRIVERS\$1LICENSE, CZECHIA\$1DRIVERS\$1LICENSE, DENMARK\$1DRIVERS\$1LICENSE, DRIVERS\$1LICENSE (for the US), ESTONIA\$1DRIVERS\$1LICENSE, FINLAND\$1DRIVERS\$1LICENSE, FRANCE\$1DRIVERS\$1LICENSE, GERMANY\$1DRIVERS\$1LICENSE, GREECE\$1DRIVERS\$1LICENSE, HUNGARY\$1DRIVERS\$1LICENSE, INDIA\$1DRIVERS\$1LICENSE, IRELAND\$1DRIVERS\$1LICENSE, ITALY\$1DRIVERS\$1LICENSE, LATVIA\$1DRIVERS\$1LICENSE, LITHUANIA\$1DRIVERS\$1LICENSE, LUXEMBOURG\$1DRIVERS\$1LICENSE, MALTA\$1DRIVERS\$1LICENSE, NETHERLANDS\$1DRIVERS\$1LICENSE, POLAND\$1DRIVERS\$1LICENSE, PORTUGAL\$1DRIVERS\$1LICENSE, ROMANIA\$1DRIVERS\$1LICENSE, SLOVAKIA\$1DRIVERS\$1LICENSE, SLOVENIA\$1DRIVERS\$1LICENSE, SPAIN\$1DRIVERS\$1LICENSE, SWEDEN\$1DRIVERS\$1LICENSE, UK\$1DRIVERS\$1LICENSE | 是 | 澳大利亚、奥地利、比利时、保加利亚、加拿大、克罗地亚、塞浦路斯、捷克共和国、丹麦、爱沙尼亚、芬兰、法国、德国、希腊、匈牙利、印度、爱尔兰、意大利、拉脱维亚、立陶宛、卢森堡、马耳他、荷兰、波兰、葡萄牙、罗马尼亚、斯洛伐克、斯洛文尼亚、西班牙、瑞典、英国、美国 |
| [毒品管理局 (DEA) 注册号](mdis-reference-phi.md#mdis-reference-DEA-registration-num) | 个人信息:PHI | US\$1DRUG\$1ENFORCEMENT\$1AGENCY\$1NUMBER | 是 | 美国 |
| [选民名册编号](mdis-reference-pii.md#mdis-reference-electoral-roll-num) | 个人信息:PII | UK\$1ELECTORAL\$1ROLL\$1NUMBER | 是 | 英国 |
| [全名](mdis-reference-pii.md#mdis-reference-full-name) | 个人信息:PII | NAME | 否 | 如果名称使用拉丁字符集,则为“任何” |
| [全球定位系统 (GPS) 坐标](mdis-reference-pii.md#mdis-reference-GPS) | 个人信息:PII | LATITUDE\$1LONGITUDE | 是 | 如果坐标靠近英语关键字,则为“任何” |
| [Google Cloud API 密钥](mdis-reference-credentials.md#mdis-reference-GCP-API-key) | 凭证 | GCP\$1API\$1KEY | 是 | 任何 |
| [健康保险索赔编号 (HICN)](mdis-reference-phi.md#mdis-reference-HICN) | 个人信息:PHI | USA\$1HEALTH\$1INSURANCE\$1CLAIM\$1NUMBER | 是 | 美国 |
| [健康保险或医疗识别号](mdis-reference-phi.md#mdis-reference-HI-ID) | 个人信息:PHI | 视国家或地区而定: CANADA\$1HEALTH\$1NUMBER, EUROPEAN\$1HEALTH\$1INSURANCE\$1CARD\$1NUMBER, FINLAND\$1EUROPEAN\$1HEALTH\$1INSURANCE\$1NUMBER, FRANCE\$1HEALTH\$1INSURANCE\$1NUMBER, UK\$1NHS\$1NUMBER, USA\$1MEDICARE\$1BENEFICIARY\$1IDENTIFIER | 是 | 加拿大、欧盟、芬兰、法国、英国、美国 |
| [医疗保健通用程序编码系统 (HCPCS) 代码](mdis-reference-phi.md#mdis-reference-HCPCS) | 个人信息:PHI | USA\$1HEALTHCARE\$1PROCEDURE\$1CODE | 是 | 美国 |
| [HTTP 基本授权标头](mdis-reference-credentials.md#mdis-reference-HTTP_BASIC_AUTH_HEADER) | 凭证 | HTTP\$1BASIC\$1AUTH\$1HEADER | 否 | 任何 |
| [HTTP cookie](mdis-reference-pii.md#mdis-reference-HTTP_COOKIE) | 个人信息:PII | HTTP\$1COOKIE | 否 | 任何 |
| [国际银行账户 (IBAN)](mdis-reference-financial.md#mdis-reference-IBAN) | 财务信息 | 视国家或地区而定: ALBANIA\$1BANK\$1ACCOUNT\$1NUMBER, ANDORRA\$1BANK\$1ACCOUNT\$1NUMBER, BOSNIA\$1AND\$1HERZEGOVINA\$1BANK\$1ACCOUNT\$1NUMBER, BRAZIL\$1BANK\$1ACCOUNT\$1NUMBER, BULGARIA\$1BANK\$1ACCOUNT\$1NUMBER, COSTA\$1RICA\$1BANK\$1ACCOUNT\$1NUMBER, CROATIA\$1BANK\$1ACCOUNT\$1NUMBER, CYPRUS\$1BANK\$1ACCOUNT\$1NUMBER, CZECH\$1REPUBLIC\$1BANK\$1ACCOUNT\$1NUMBER, DENMARK\$1BANK\$1ACCOUNT\$1NUMBER, DOMINICAN\$1REPUBLIC\$1BANK\$1ACCOUNT\$1NUMBER, EGYPT\$1BANK\$1ACCOUNT\$1NUMBER, ESTONIA\$1BANK\$1ACCOUNT\$1NUMBER, FAROE\$1ISLANDS\$1BANK\$1ACCOUNT\$1NUMBER, FINLAND\$1BANK\$1ACCOUNT\$1NUMBER, FRANCE\$1BANK\$1ACCOUNT\$1NUMBER, GEORGIA\$1BANK\$1ACCOUNT\$1NUMBER, GERMANY\$1BANK\$1ACCOUNT\$1NUMBER, GREECE\$1BANK\$1ACCOUNT\$1NUMBER, GREENLAND\$1BANK\$1ACCOUNT\$1NUMBER, HUNGARY\$1BANK\$1ACCOUNT\$1NUMBER, ICELAND\$1BANK\$1ACCOUNT\$1NUMBER, IRELAND\$1BANK\$1ACCOUNT\$1NUMBER, ITALY\$1BANK\$1ACCOUNT\$1NUMBER, JORDAN\$1BANK\$1ACCOUNT\$1NUMBER, KOSOVO\$1BANK\$1ACCOUNT\$1NUMBER, LIECHTENSTEIN\$1BANK\$1ACCOUNT\$1NUMBER, LITHUANIA\$1BANK\$1ACCOUNT\$1NUMBER, MALTA\$1BANK\$1ACCOUNT\$1NUMBER, MAURITANIA\$1BANK\$1ACCOUNT\$1NUMBER, MAURITIUS\$1BANK\$1ACCOUNT\$1NUMBER, MONACO\$1BANK\$1ACCOUNT\$1NUMBER, MONTENEGRO\$1BANK\$1ACCOUNT\$1NUMBER, NETHERLANDS\$1BANK\$1ACCOUNT\$1NUMBER, NORTH\$1MACEDONIA\$1BANK\$1ACCOUNT\$1NUMBER, POLAND\$1BANK\$1ACCOUNT\$1NUMBER, PORTUGAL\$1BANK\$1ACCOUNT\$1NUMBER, SAN\$1MARINO\$1BANK\$1ACCOUNT\$1NUMBER, SENEGAL\$1BANK\$1ACCOUNT\$1NUMBER, SERBIA\$1BANK\$1ACCOUNT\$1NUMBER, SLOVAKIA\$1BANK\$1ACCOUNT\$1NUMBER, SLOVENIA\$1BANK\$1ACCOUNT\$1NUMBER, SPAIN\$1BANK\$1ACCOUNT\$1NUMBER, SWEDEN\$1BANK\$1ACCOUNT\$1NUMBER, SWITZERLAND\$1BANK\$1ACCOUNT\$1NUMBER, TIMOR\$1LESTE\$1BANK\$1ACCOUNT\$1NUMBER, TUNISIA\$1BANK\$1ACCOUNT\$1NUMBER, TURKIYE\$1BANK\$1ACCOUNT\$1NUMBER, UK\$1BANK\$1ACCOUNT\$1NUMBER, UKRAINE\$1BANK\$1ACCOUNT\$1NUMBER, UNITED\$1ARAB\$1EMIRATES\$1BANK\$1ACCOUNT\$1NUMBER, VIRGIN\$1ISLANDS\$1BANK\$1ACCOUNT\$1NUMBER (代表英属维尔京群岛) | 否 | 阿尔巴尼亚、安道尔、波斯尼亚-黑塞哥维那、巴西、保加利亚、哥斯达黎加、克罗地亚、塞浦路斯、捷克共和国、丹麦、多米尼加共和国、埃及、爱沙尼亚、法罗群岛、芬兰、法国、格鲁吉亚、德国、希腊、格陵兰、匈牙利、冰岛、爱尔兰、意大利、约旦、科索沃、列支敦士登、立陶宛、马耳他、毛里塔尼亚、毛里求斯、摩纳哥、黑山、荷兰、北马其顿、波兰、葡萄牙、圣马力诺、塞内加尔、塞尔维亚、斯洛伐克、斯洛文尼亚、西班牙、瑞典、瑞士、东帝汶、突尼斯、土耳其、英国、乌克兰、阿拉伯联合酋长国、维尔京群岛(英属) |
| [JSON Web 令牌 (JWT)](mdis-reference-credentials.md#mdis-reference-JSON_WEB_TOKEN) | 凭证 | JSON\$1WEB\$1TOKEN | 否 | 任何 |
| [邮寄地址](mdis-reference-pii.md#mdis-reference-mailing-address) | 个人信息:PII | ADDRESS, BRAZIL\$1CEP\$1CODE (适用于巴西的《邮政编码》) | 变化 | 澳大利亚、巴西、加拿大、法国、德国、意大利、西班牙、英国、美国 |
| [国家药品编码 (NDC)](mdis-reference-phi.md#mdis-reference-NDC) | 个人信息:PHI | USA\$1NATIONAL\$1DRUG\$1CODE | 是 | 美国 |
| [身份证号码](mdis-reference-pii.md#mdis-reference-national-id) | 个人信息:PII | 视国家或地区而定: ARGENTINA\$1DNI\$1NUMBER, BRAZIL\$1RG\$1NUMBER, CHILE\$1RUT\$1NUMBER, COLOMBIA\$1CITIZENSHIP\$1CARD\$1NUMBER, FRANCE\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, GERMANY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, INDIA\$1AADHAAR\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, MEXICO\$1CURP\$1NUMBER, SPAIN\$1DNI\$1NUMBER | 是 | 阿根廷、巴西、智利、哥伦比亚、法国、德国、印度、意大利、墨西哥、西班牙 |
| [国民保险号码 (NINO)](mdis-reference-pii.md#mdis-reference-NINO) | 个人信息:PII | UK\$1NATIONAL\$1INSURANCE\$1NUMBER | 是 | 英国 |
| [国家提供商识别码 (NPI)](mdis-reference-phi.md#mdis-reference-NPI) | 个人信息:PHI | USA\$1NATIONAL\$1PROVIDER\$1IDENTIFIER | 是 | 美国 |
| [OpenSSH 私有密钥](mdis-reference-credentials.md#mdis-reference-OPENSSH_PRIVATE_KEY) | 凭证 | OPENSSH\$1PRIVATE\$1KEY | 否 | 任何 |
| [护照编号](mdis-reference-pii.md#mdis-reference-passport-num) | 个人信息:PII | 视国家或地区而定: CANADA\$1PASSPORT\$1NUMBER, FRANCE\$1PASSPORT\$1NUMBER, GERMANY\$1PASSPORT\$1NUMBER, ITALY\$1PASSPORT\$1NUMBER, SPAIN\$1PASSPORT\$1NUMBER, UK\$1PASSPORT\$1NUMBER, USA\$1PASSPORT\$1NUMBER | 是 | 加拿大、法国、德国、意大利、西班牙、英国、美国 |
| [永久居留号码](mdis-reference-pii.md#mdis-reference-permanent-residence-num) | 个人信息:PII | CANADA\$1NATIONAL\$1IDENTIFICATION\$1NUMBER | 是 | 加拿大 |
| [PGP 私有密钥](mdis-reference-credentials.md#mdis-reference-PGP_PRIVATE_KEY) | 凭证 | PGP\$1PRIVATE\$1KEY | 否 | 任何 |
| [Phone number(电话号码)](mdis-reference-pii.md#mdis-reference-phone-num) | 个人信息:PII | 视国家或地区而定: BRAZIL\$1PHONE\$1NUMBER, FRANCE\$1PHONE\$1NUMBER, GERMANY\$1PHONE\$1NUMBER, ITALY\$1PHONE\$1NUMBER, PHONE\$1NUMBER (for Canada and the US), SPAIN\$1PHONE\$1NUMBER, UK\$1PHONE\$1NUMBER | 变化 | 巴西、加拿大、法国、德国、意大利、西班牙、英国、美国 |
| [公有密钥加密标准 (PKCS, Public-Key Cryptography Standard) 私有密钥](mdis-reference-credentials.md#mdis-reference-PKCS) | 凭证 | PKCS | 否 | 任何 |
| [公共交通卡号](mdis-reference-pii.md#mdis-reference-public-transport-num) | 个人信息:PII | ARGENTINA\$1TARJETA\$1SUBE | 是 | 阿根廷 |
| [PuTTY 私有密钥](mdis-reference-credentials.md#mdis-reference-PUTTY_PRIVATE_KEY) | 凭证 | PUTTY\$1PRIVATE\$1KEY | 否 | 任何 |
| [社会保险号码 (SIN)](mdis-reference-pii.md#mdis-reference-social-insurance-num) | 个人信息:PII | CANADA\$1SOCIAL\$1INSURANCE\$1NUMBER | 是 | 加拿大 |
| [社会保障号码(SSN)](mdis-reference-pii.md#mdis-reference-social-security-num) | 个人信息:PII | 视国家或地区而定: SPAIN\$1SOCIAL\$1SECURITY\$1NUMBER, USA\$1SOCIAL\$1SECURITY\$1NUMBER | 是 | 西班牙、美国 |
| [Stripe API 密钥](mdis-reference-credentials.md#mdis-reference-Stripe_API_key) | 凭证 | STRIPE\$1CREDENTIALS | 否 | 任何 |
| [纳税人识别号或参考号](mdis-reference-pii.md#mdis-reference-taxpayer-num) | 个人信息:PII | 视国家或地区而定: ARGENTINA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER, ARGENTINA\$1ORGANIZATION\$1TAX\$1IDENTIFICATION\$1NUMBER, AUSTRALIA\$1TAX\$1FILE\$1NUMBER, BRAZIL\$1CNPJ\$1NUMBER, BRAZIL\$1CPF\$1NUMBER, CHILE\$1RUT\$1NUMBER, COLOMBIA\$1INDIVIDUAL\$1NIT\$1NUMBER, COLOMBIA\$1ORGANIZATION\$1NIT\$1NUMBER, FRANCE\$1TAX\$1IDENTIFICATION\$1NUMBER, GERMANY\$1TAX\$1IDENTIFICATION\$1NUMBER, INDIA\$1PERMANENT\$1ACCOUNT\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, MEXICO\$1INDIVIDUAL\$1RFC\$1NUMBER, MEXICO\$1ORGANIZATION\$1RFC\$1NUMBER, SPAIN\$1NIE\$1NUMBER, SPAIN\$1NIF\$1NUMBER, SPAIN\$1TAX\$1IDENTIFICATION\$1NUMBER, UK\$1TAX\$1IDENTIFICATION\$1NUMBER, USA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER | 是 | 阿根廷、澳大利亚、巴西、智利、哥伦比亚、法国、德国、印度、意大利、墨西哥、西班牙、英国、美国 |
| [设备唯一标识符 (UDI)](mdis-reference-phi.md#mdis-reference-UDI) | 个人信息:PHI | MEDICAL\$1DEVICE\$1UDI | 是 | 美国 |
| [车辆识别号码 (VIN)](mdis-reference-pii.md#mdis-reference-vin) | 个人信息:PII | VEHICLE\$1IDENTIFICATION\$1NUMBER | 是 | 如果 VIN 与以下语言之一的关键字相邻,则为任意国家和地区:英语、法语、德语、立陶宛语、波兰语、葡萄牙语、罗马尼亚语或西班牙语。 |
# 凭证数据的托管数据标识符
Amazon Macie 可通过使用托管数据标识符检测多种类型的敏感凭证数据。此页面上的主题指定了每种类型,并提供了有关旨在检测数据的托管数据标识符的相关信息。每个主题都提供以下信息:
+ **托管数据标识符 ID** - 指定用于检测数据的托管数据标识符的唯一标识符 (ID)。在[创建敏感数据发现作业](discovery-jobs-create.md)或[配置自动敏感数据发现的设置](discovery-asdd-account-configure.md)时,您可以使用此 ID 来指定是否希望 Macie 在分析数据时使用托管数据标识符。
+ **支持的国家和地区** - 指明适用的托管数据标识符是为哪些国家或地区设计的。如果托管数据标识符不是为特定国家或地区设计的,则此值为*任何*。
+ **必填关键字** - 指定检测是否要求关键字靠近数据。如果关键字是必需的,该主题还提供了必填关键字的示例。有关 Macie 在分析数据时如何使用关键字的信息,请参阅 [关键字要求](managed-data-identifiers-keywords.md)。
+ **注释** – 提供可能影响您选择托管数据标识符或调查报告的敏感数据发生次数的任何相关详细信息。详细信息包括支持的标准、语法要求和例外情况等信息。
这些主题按敏感数据类型的字母顺序列出。
**Topics**
+ [AWS 秘密访问密钥](#mdis-reference-AWS-CREDENTIALS)
+ [Google Cloud API 密钥](#mdis-reference-GCP-API-key)
+ [HTTP 基本授权标头](#mdis-reference-HTTP_BASIC_AUTH_HEADER)
+ [JSON Web 令牌 (JWT)](#mdis-reference-JSON_WEB_TOKEN)
+ [OpenSSH 私有密钥](#mdis-reference-OPENSSH_PRIVATE_KEY)
+ [PGP 私有密钥](#mdis-reference-PGP_PRIVATE_KEY)
+ [公有密钥加密标准 (PKCS, Public-Key Cryptography Standard) 私有密钥](#mdis-reference-PKCS)
+ [PuTTY 私有密钥](#mdis-reference-PUTTY_PRIVATE_KEY)
+ [Stripe API 密钥](#mdis-reference-Stripe_API_key)
## AWS 秘密访问密钥
**托管数据标识符 ID:** AWS\$1CREDENTIALS
**支持的国家和地区:** 任何
**必填关键字:**是。关键字包括:*aws\$1secret\$1access\$1key, credentials, secret access key, secret key, set-awscredential*
**注释:**Macie 不会报告以下角色序列的出现,这些序列通常用作虚构的示例:`je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY` 和 `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`。
## Google Cloud API 密钥
**托管数据标识符 ID:** GCP\$1API\$1KEY
**支持的国家和地区:** 任何
**必填关键字:**是。关键字包括:*G\$1PLACES\$1KEY, GCP api key, GCP key, google cloud key, google-api-key, google-cloud-apikeys, GOOGLEKEY, X-goog-api-key*
**注释:**Macie 只能检测 Google Cloud API 密钥的字符串 (`keyString`) 组件。支持不包括检测 Google Cloud API 密钥的 ID 或显示名称组件。
## HTTP 基本授权标头
**托管数据标识符 ID:** HTTP\$1BASIC\$1AUTH\$1HEADER
**支持的国家和地区:** 任何
**必填关键字:**否
**注释:**检测需要完整的标头,包括字段名称和身份验证方案指令,如 [RFC 7617](https://tools.ietf.org/html/rfc7617) 所述。例如:`Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==` 和 `Proxy-Authorization: Basic dGVzdDoxMjPCow==`。
## JSON Web 令牌 (JWT)
**托管数据标识符 ID:** JSON\$1WEB\$1TOKEN
**支持的国家和地区:** 任何
**必填关键字:**否
**评论:**Macie 可以检测符合 [RFC 7519 针对 JSON Web 签名 (JWSJWTs) 结构](https://tools.ietf.org/html/rfc7519)规定的要求的 JSON Web 代币 ()。令牌可以是签名的,也可以是未签名的。
## OpenSSH 私有密钥
**托管数据标识符 ID:** OPENSSH\$1PRIVATE\$1KEY
**支持的国家和地区:** 任何
**必填关键字:**否
**注释:**无
## PGP 私有密钥
**托管数据标识符 ID:** PGP\$1PRIVATE\$1KEY
**支持的国家和地区:** 任何
**必填关键字:**否
**注释:**无
## 公有密钥加密标准 (PKCS, Public-Key Cryptography Standard) 私有密钥
**托管数据标识符 ID:** PKCS
**支持的国家和地区:** 任何
**必填关键字:**否
**注释:**无
## PuTTY 私有密钥
**托管数据标识符 ID:** PUTTY\$1PRIVATE\$1KEY
**支持的国家和地区:** 任何
**必填关键字:**否
**注释:**Macie 可以检测使用以下标准标头和标头序列的 PuTTY 私钥:`PuTTY-User-Key-File`、`Encryption`、`Comment`、`Public-Lines`、`Private-Lines`、和 `Private-MAC`。标头值可以包含字母数字字符、连字符 (`‐`) 和换行符(`\n` 或 `\r`)。`Public-Lines` 和 `Private-Lines` 值也可以包含正斜杠 (`/`)、加号 (`+`) 和等号 (`=`)。`Private-MAC` 值也可以包含加号 (`+`)。支持的功能不包括检测标头值包含空格或下划线 (`_`) 等其他字符的密钥。支持的功能也不包括检测包含自定义标头的密钥。
## Stripe API 密钥
**托管数据标识符 ID:** STRIPE\$1CREDENTIALS
**支持的国家和地区:** 任何
**必填关键字:**否
**注释:**Macie 不会报告以下角色序列的出现,这些序列通常用作条带代码示例:`sk_test_4eC39HqLyjWDarjtT1zdp7dc` 和 `pk_test_TYooMQauvdEDq54NiTphI7jx`。
# 财务信息的托管数据标识符
Amazon Macie 可通过使用托管数据标识符检测多种类型的敏感财务信息。本页上的主题列出了每种类型,并提供有关旨在检测数据的托管数据标识符的信息。每个主题都提供以下信息:
+ **托管数据标识符 ID** – 指定用于检测数据的一个或多个托管数据标识符的唯一标识符 (ID)。在[创建敏感数据发现任务](discovery-jobs-create.md)或[配置自动发现敏感数据的设置](discovery-asdd-account-configure.md)时,您可以使用这些设置 IDs 来指定希望 Macie 在分析数据时使用哪些托管数据标识符。
+ **支持的国家和地区**-指明适用的托管数据标识符是为哪些国家和地区设计的。如果托管数据标识符不是为特定国家或地区设计的,则此值为*任何*。
+ **必填关键字** - 指定检测是否要求关键字靠近数据。如果关键字是必需的,该主题还提供了必填关键字的示例。有关 Macie 在分析数据时如何使用关键字的信息,请参阅 [关键字要求](managed-data-identifiers-keywords.md)。
+ **注释** – 提供可能影响您选择托管数据标识符或调查报告的敏感数据发生次数的任何相关详细信息。详细信息包括支持的标准、语法要求和例外情况等信息。
这些主题按敏感数据类型的字母顺序列出。
**Topics**
+ [银行账户](#mdis-reference-BAN)
+ [基本银行账户 (BBAN)](#mdis-reference-BBAN)
+ [信用卡到期日期](#mdis-reference-CC-expiration)
+ [信用卡磁条数据](#mdis-reference-CC-stripe)
+ [信用卡号](#mdis-reference-CC-number)
+ [信用卡验证码](#mdis-reference-CC-verification-code)
+ [国际银行账户 (IBAN)](#mdis-reference-IBAN)
## 银行账户
Macie 可以检测由 9-17 位数字序列组成且不包含任何空格的加拿大和美国银行账户。
**托管数据标识符 ID:** BANK\$1ACCOUNT\$1NUMBER
**支持的国家和地区:**加拿大、美国
**必填关键字:**是。关键字包括:*bank account, bank acct, checking account, checking acct, deposit account, deposit acct, savings account, savings acct, chequing account, chequing acct*
**注释:**此托管数据标识符明确专为检测加拿大和美国的银行账户而设计。这些国家/地区不使用 [ISO 13616](https://www.iso.org/standard/81090.html) 规定的 ISO 国际标准定义的基本银行账户 (BBAN) 或国际银行账户 (IBAN) 格式对银行账户进行编号。要检测其他国家和地区的银行账户,请使用专为这些格式设计的托管数据标识符。有关更多信息,请参阅 [基本银行账户 (BBAN)](#mdis-reference-BBAN) 和 [国际银行账户 (IBAN)](#mdis-reference-IBAN)。
## 基本银行账户 (BBAN)
[Macie 可以检测基本银行账号 (BBANs),这些账号符合 ISO 13616 规定的银行账户编号国际标准所定义的 BBAN 结构。](https://www.iso.org/standard/81090.html) BBANs 这包括不包含空格、不使用空格或连字符分隔符的内容,例如、和。`NWBK60161331926819` `NWBK 6016 1331 9268 19` `NWBK-6016-1331-9268-19`
**托管数据标识符 ID:**视国家或地区而定,FRANCE\$1BANK\$1ACCOUNT\$1NUMBER, GERMANY\$1BANK\$1ACCOUNT\$1NUMBER, ITALY\$1BANK\$1ACCOUNT\$1NUMBER, SPAIN\$1BANK\$1ACCOUNT\$1NUMBER, UK\$1BANK\$1ACCOUNT\$1NUMBER
**支持的国家和地区:**法国、德国、意大利、西班牙、英国
**必填关键字:**是。下表列出了 Macie 识别的特定国家和地区的关键字。
| 国家或地区 | 关键字 |
| --- | --- |
| 法国 | account code, account number, accountno\$1, accountnumber\$1, bban, code bancaire, compte bancaire, customer account id, customer account number, customer bank account id, iban, numéro de compte |
| 德国 | account code, account number, accountno\$1, accountnumber\$1, bankleitzahl, bban, customer account id, customer account number, customer bank account id, geheimzahl, iban, kartennummer, kontonummer, kreditkartennummer, sepa |
| 意大利 | account code, account number, accountno\$1, accountnumber\$1, bban, codice bancario, conto bancario, customer account id, customer account number, customer bank account id, iban, numero di conto |
| 西班牙 | account code, account number, accountno\$1, accountnumber\$1, bban, código cuenta, código cuenta bancaria, cuenta cliente id, customer account ID, customer account number, customer bank account id, iban, número cuenta bancaria cliente, número cuenta cliente |
| 英国 | account code, account number, accountno\$1, accountnumber\$1, bban, customer account id, customer account number, customer bank account id, iban, sepa |
**评论:**这些托管数据标识符还可以检测符合 ISO 13616 标准的国际银行账号 (IBANs)。有关更多信息,请参阅 [国际银行账户 (IBAN)](#mdis-reference-IBAN)。英国的托管数据标识符 (UK\$1BANK\$1ACCOUNT\$1NUMBER) 还可以检测英国的国内银行账户,例如,`60-16-13 31926819`。
## 信用卡到期日期
**托管数据标识符 ID:** CREDIT\$1CARD\$1EXPIRATION
**支持的国家和地区:** 任何
**必填关键字:**是。关键字包括:*exp d, exp m, exp y, expiration, expiry*
**注释:** 支持包括大多数日期格式,例如所有数字以及数字和月份名称的组合。日期组件可以用斜杠(/)、连字符(‐)或适用的关键字分隔。例如,Macie 可以检测诸如 `02/26`、`02/2026`、`Feb 2026`、`26-Feb` 和 `expY=2026, expM=02` 之类的日期。
## 信用卡磁条数据
**托管数据标识符 ID:** CREDIT\$1CARD\$1MAGNETIC\$1STRIPE
**支持的国家和地区:** 任何
**必填关键字:**是。关键字包括:*card data, iso7813, mag, magstripe, stripe, swipe*
**注释:**支持包括轨道 1 和 2。
## 信用卡号
**托管数据标识符 ID:**CREDIT\$1CARD\$1NUMBER 用于与关键字邻近的信用卡号、CREDIT\$1CARD\$1NUMBER\$1(NO\$1KEYWORD) 用于不与关键字邻近的信用卡号
**支持的国家和地区:** 任何
**必填关键字:**各不相同。CREDIT\$1CARD\$1NUMBER 托管数据标识符必须使用关键字。关键字包括:*account number, american express, amex, bank card, c card, card, cc \$1, ccn, check card, cred card, credit, credit card, credit cards, credit no, credit num, dankort, debit, debit card, debit no, debit num, diners club, discover, electron, japanese card bureau, jcb, mastercard, mc, pan, payment account number, payment card number, pcn, pmnt \$1, pmnt card, pmnt no, pmnt number, union pay, visa*。CREDIT\$1CARD\$1NUMBER\$1(NO\$1KEYWORD) 托管数据标识符不要求使用关键字。
**评论:**检测要求数据为13-19位数的序列,该序列符合卢恩支票公式,并对以下任何类型的信用卡使用标准卡号前缀:美国运通、Dankort、Diner's Club、Discover、Electron、日本信用卡局(JCB)、万事达卡和Visa。 UnionPay
Macie 不会报告以下序列的出现情况,信用卡发卡机构已保留这些序列供公开测试:`122000000000003`、`2222405343248877`、`2222990905257051`、`2223007648726984`、`2223577120017656`、`30569309025904`、`34343434343434`、`3528000700000000`、`3530111333300000`、`3566002020360505`、`36148900647913`、`36700102000000`、`371449635398431`、`378282246310005`、`378734493671000`、`38520000023237`、`4012888888881881`、 `4111111111111111`、`4222222222222`、`4444333322221111`、`4462030000000000`、`4484070000000000`、`4911830000000`、`4917300800000000`、`4917610000000000`、`4917610000000000003`、`5019717010103742`、`5105105105105100`、`5111010030175156`、`5185540810000019`、`5200828282828210`、`5204230080000017`、 `5204740009900014`、`5420923878724339`、`5454545454545454`、`5455330760000018`、`5506900490000436`、`5506900490000444`、`5506900510000234`、`5506920809243667`、`5506922400634930`、`5506927427317625`、`5553042241984105`、`5555553753048194`、`5555555555554444`、`5610591081018250`、`6011000990139424`、`6011000400000000`、`6011111111111117`、`630490017740292441`、`630495060000000000`、`6331101999990016`、`6759649826438453`、`6799990100000000019` 和 `76009244561`。
## 信用卡验证码
**托管数据标识符 ID:** CREDIT\$1CARD\$1SECURITY\$1CODE
**支持的国家和地区:** 任何
**必填关键字:**是。关键字包括:*card id, card identification code, card identification number, card security code, card validation code, card validation number, card verification data, card verification value, cvc, cvc2, cvv, cvv2, elo verification code*
**注释:**无
## 国际银行账户 (IBAN)
Macie 可以检测由最多 34 个字母数字字符组成的国际银行账号 (IBANs),包括国家/地区代码等元素。更具体地说,Macie可以检测到 IBANs 符合ISO 13616规定的 [IS](https://www.iso.org/standard/81090.html) O国际银行账户编号标准。 IBANs 这包括不包含空格、不使用空格或连字符分隔符的内容,例如、和。`GB29NWBK60161331926819` `GB29 NWBK 6016 1331 9268 19` `GB29-NWBK-6016-1331-9268-19`检测包括基于模数 97 方案的验证检查。
**托管数据标识符 ID:**视国家或地区而定,ALBANIA\$1BANK\$1ACCOUNT\$1NUMBER, ANDORRA\$1BANK\$1ACCOUNT\$1NUMBER, BOSNIA\$1AND\$1HERZEGOVINA\$1BANK\$1ACCOUNT\$1NUMBER, BRAZIL\$1BANK\$1ACCOUNT\$1NUMBER, BULGARIA\$1BANK\$1ACCOUNT\$1NUMBER, COSTA\$1RICA\$1BANK\$1ACCOUNT\$1NUMBER, CROATIA\$1BANK\$1ACCOUNT\$1NUMBER, CYPRUS\$1BANK\$1ACCOUNT\$1NUMBER, CZECH\$1REPUBLIC\$1BANK\$1ACCOUNT\$1NUMBER, DENMARK\$1BANK\$1ACCOUNT\$1NUMBER, DOMINICAN\$1REPUBLIC\$1BANK\$1ACCOUNT\$1NUMBER, EGYPT\$1BANK\$1ACCOUNT\$1NUMBER, ESTONIA\$1BANK\$1ACCOUNT\$1NUMBER, FAROE\$1ISLANDS\$1BANK\$1ACCOUNT\$1NUMBER, FINLAND\$1BANK\$1ACCOUNT\$1NUMBER, FRANCE\$1BANK\$1ACCOUNT\$1NUMBER, GEORGIA\$1BANK\$1ACCOUNT\$1NUMBER, GERMANY\$1BANK\$1ACCOUNT\$1NUMBER, GREECE\$1BANK\$1ACCOUNT\$1NUMBER, GREENLAND\$1BANK\$1ACCOUNT\$1NUMBER, HUNGARY\$1BANK\$1ACCOUNT\$1NUMBER, ICELAND\$1BANK\$1ACCOUNT\$1NUMBER, IRELAND\$1BANK\$1ACCOUNT\$1NUMBER, ITALY\$1BANK\$1ACCOUNT\$1NUMBER, JORDAN\$1BANK\$1ACCOUNT\$1NUMBER, KOSOVO\$1BANK\$1ACCOUNT\$1NUMBER, LIECHTENSTEIN\$1BANK\$1ACCOUNT\$1NUMBER, LITHUANIA\$1BANK\$1ACCOUNT\$1NUMBER, MALTA\$1BANK\$1ACCOUNT\$1NUMBER, MAURITANIA\$1BANK\$1ACCOUNT\$1NUMBER, MAURITIUS\$1BANK\$1ACCOUNT\$1NUMBER, MONACO\$1BANK\$1ACCOUNT\$1NUMBER, MONTENEGRO\$1BANK\$1ACCOUNT\$1NUMBER, NETHERLANDS\$1BANK\$1ACCOUNT\$1NUMBER, NORTH\$1MACEDONIA\$1BANK\$1ACCOUNT\$1NUMBER, POLAND\$1BANK\$1ACCOUNT\$1NUMBER, PORTUGAL\$1BANK\$1ACCOUNT\$1NUMBER, SAN\$1MARINO\$1BANK\$1ACCOUNT\$1NUMBER, SENEGAL\$1BANK\$1ACCOUNT\$1NUMBER, SERBIA\$1BANK\$1ACCOUNT\$1NUMBER, SLOVAKIA\$1BANK\$1ACCOUNT\$1NUMBER, SLOVENIA\$1BANK\$1ACCOUNT\$1NUMBER, SPAIN\$1BANK\$1ACCOUNT\$1NUMBER, SWEDEN\$1BANK\$1ACCOUNT\$1NUMBER, SWITZERLAND\$1BANK\$1ACCOUNT\$1NUMBER, TIMOR\$1LESTE\$1BANK\$1ACCOUNT\$1NUMBER, TUNISIA\$1BANK\$1ACCOUNT\$1NUMBER, TURKIYE\$1BANK\$1ACCOUNT\$1NUMBER, UK\$1BANK\$1ACCOUNT\$1NUMBER, UKRAINE\$1BANK\$1ACCOUNT\$1NUMBER, UNITED\$1ARAB\$1EMIRATES\$1BANK\$1ACCOUNT\$1NUMBER, VIRGIN\$1ISLANDS\$1BANK\$1ACCOUNT\$1NUMBER(适用于英属维尔京群岛)
**支持的国家和地区:**阿尔巴尼亚、安道尔、波黑、巴西、保加利亚、哥斯达黎加、克罗地亚、塞浦路斯、捷克共和国、丹麦、多米尼加共和国、埃及、爱沙尼亚、法罗群岛、芬兰、法国、格鲁吉亚、德国、希腊、格陵兰岛、匈牙利、冰岛、爱尔兰、意大利、约旦、科索沃、列支敦士登、立陶宛、马耳他、毛里塔尼亚、毛里求斯、摩纳哥、黑山、荷兰、北马其顿、波兰、葡萄牙、圣马力诺、塞内加尔、塞尔维亚、斯洛伐克、斯洛文尼亚、西班牙、瑞典、瑞士、东帝汶、突尼斯、土耳其、英国、乌克兰、阿拉伯联合酋长国阿联酋航空,维尔京群岛(英国)
**必填关键字:**否
**评论:**如果字符序列接近关键字,则法国、德国、意大利、西班牙和英国的托管数据标识符还可以检测符合 ISO 13616 标准定义的 BBAN 结构的基本银行账号 BBANs ()。有关更多信息,请参阅 [基本银行账户 (BBAN)](#mdis-reference-BBAN)。
# PHI 的托管数据标识符
Amazon Macie 可通过使用托管数据标识符检测多种类型的敏感个人健康信息 (PHI)。此页面上的主题指定了每种类型,并提供了有关旨在检测数据的托管数据标识符的相关信息。每个主题都提供以下信息:
+ **托管数据标识符 ID** - 指定用于检测数据的托管数据标识符的唯一标识符 (ID)。在[创建敏感数据发现作业](discovery-jobs-create.md)或[配置自动敏感数据发现的设置](discovery-asdd-account-configure.md)时,您可以使用此 ID 来指定是否希望 Macie 在分析数据时使用托管数据标识符。
+ **支持的国家和地区** - 指明适用的托管数据标识符是为哪些国家或地区设计的。如果托管数据标识符不是为特定国家或地区设计的,则此值为*任何*。
+ **必填关键字** - 指定检测是否要求关键字靠近数据。如果关键字是必需的,该主题还提供了必填关键字的示例。有关 Macie 在分析数据时如何使用关键字的信息,请参阅 [关键字要求](managed-data-identifiers-keywords.md)。
+ **注释** – 提供可能影响您选择托管数据标识符或调查报告的敏感数据发生次数的任何相关详细信息。详细信息包括支持的标准、语法要求和例外情况等信息。
这些主题按敏感数据类型的字母顺序列出。
**Topics**
+ [毒品管理局 (DEA) 注册号](#mdis-reference-DEA-registration-num)
+ [健康保险索赔编号 (HICN)](#mdis-reference-HICN)
+ [健康保险或医疗识别号](#mdis-reference-HI-ID)
+ [医疗保健通用程序编码系统 (HCPCS) 代码](#mdis-reference-HCPCS)
+ [国家药品编码 (NDC)](#mdis-reference-NDC)
+ [国家提供商识别码 (NPI)](#mdis-reference-NPI)
+ [设备唯一标识符 (UDI)](#mdis-reference-UDI)
## 毒品管理局 (DEA) 注册号
**托管数据标识符 ID:**US\$1DRUG\$1ENFORCEMENT\$1AGENCY\$1NUMBER
**支持的国家和地区:**US
**必填关键字:**是。关键字包括:*dea number, dea registration*
**注释:**无
## 健康保险索赔编号 (HICN)
**托管数据标识符 ID:** USA\$1HEALTH\$1INSURANCE\$1CLAIM\$1NUMBER
**支持的国家和地区:**US
**必填关键字:**是。关键字包括:*health insurance claim number, hic no, hic no., hic number, hic\$1, hicn, hicn\$1., hicno\$1*
**注释:**无
## 健康保险或医疗识别号
支持包括欧盟和芬兰的欧洲健康保险卡号、法国的健康保险号码、美国的医疗保险受益人标识符、英国的 NHS 号码和加拿大的个人健康号码。
**托管数据标识符 ID:**视国家或地区而定,CANADA\$1HEALTH\$1NUMBER, EUROPEAN\$1HEALTH\$1INSURANCE\$1CARD\$1NUMBER, FINLAND\$1EUROPEAN\$1HEALTH\$1INSURANCE\$1NUMBER, FRANCE\$1HEALTH\$1INSURANCE\$1NUMBER, UK\$1NHS\$1NUMBER, USA\$1MEDICARE\$1BENEFICIARY\$1IDENTIFIER
**支持的国家和地区:**加拿大、欧盟、芬兰、法国、英国、美国
**必填关键字:**是。下表列出了 Macie 识别的特定国家和地区的关键字。
| 国家或地区 | 关键词 |
| --- | --- |
| 加拿大 | canada healthcare number, msp number, personal healthcare number, phn, soins de santé |
| EU | assicurazione sanitaria numero, carta assicurazione numero, carte d’assurance maladie, carte européenne d'assurance maladie, ceam, ehic, ehic\$1, finlandehicnumber\$1, gesundheitskarte, hälsokort, health card, health card number, health insurance card, health insurance number, insurance card number, krankenversicherungskarte, krankenversicherungsnummer, medical account number, numero conto medico, numéro d’assurance maladie, numéro de carte d’assurance, numéro de compte medical, número de cuenta médica, número de seguro de salud, número de tarjeta de seguro, sairaanhoitokortin, sairausvakuutuskortti, sairausvakuutusnumero, sjukförsäkring nummer, sjukförsäkringskort, suomi ehic-numero, tarjeta de salud, terveyskortti, tessera sanitaria assicurazione numero, versicherungsnummer |
| 芬兰 | ehic, ehic\$1, finland health insurance card, finlandehicnumber\$1, finska sjukförsäkringskort, hälsokort, health card, health card number, health insurance card, health insurance number, sairaanhoitokortin, sairaanhoitokortin, sairausvakuutuskortti, sairausvakuutusnumero, sjukförsäkring nummer, sjukförsäkringskort, suomen sairausvakuutuskortti, suomi ehic-numero, terveyskortti |
| 法国 | carte d'assuré social, carte vitale, insurance card |
| UK | national health service, NHS |
| 美国 | mbi, medicare beneficiary |
**注释:**无
## 医疗保健通用程序编码系统 (HCPCS) 代码
**托管数据标识符 ID:** USA\$1HEALTHCARE\$1PROCEDURE\$1CODE
**支持的国家和地区:**US
**必填关键字:**是。关键字包括:*current procedural terminology, hcpcs, healthcare common procedure coding system*
**注释:**无
## 国家药品编码 (NDC)
**托管数据标识符 ID:** USA\$1NATIONAL\$1DRUG\$1CODE
**支持的国家和地区:**US
**必填关键字:**是。关键字包括:*national drug code, ndc*
**注释:**无
## 国家提供商识别码 (NPI)
**托管数据标识符 ID:** USA\$1NATIONAL\$1PROVIDER\$1IDENTIFIER
**支持的国家和地区:**US
**必填关键字:**是。关键字包括:*hipaa, n.p.i, national provider, npi*
**注释:**无
## 设备唯一标识符 (UDI)
**托管数据标识符 ID:** MEDICAL\$1DEVICE\$1UDI
**支持的国家和地区:**US
**必填关键字:**是。关键字包括:*blood, blood bag, dev id, device id, device identifier, gs1, hibcc, iccbba, med, udi, unique device id, unique device identifier*
**评论:**Macie 可以检测符合美国食品药品监督管理局批准格式的唯一设备标识符 (UDIs)。这包括由 GS1、HIBCC 和 ICCBBA 定义的标准格式。ICCBA 支持适用于 ISBT 标准。
# PII 的托管数据标识符
Amazon Macie 可以使用托管数据标识符检测多种类型的敏感个人身份信息(PII)。本页上的主题列出了每种类型,并提供有关旨在检测数据的托管数据标识符的信息。每个主题都提供以下信息:
+ **托管数据标识符 ID** – 指定用于检测数据的一个或多个托管数据标识符的唯一标识符 (ID)。在[创建敏感数据发现任务](discovery-jobs-create.md)或[配置自动发现敏感数据的设置](discovery-asdd-account-configure.md)时,您可以使用这些设置 IDs 来指定希望 Macie 在分析数据时使用哪些托管数据标识符。
+ **支持的国家和地区**-指明适用的托管数据标识符是为哪些国家和地区设计的。如果托管数据标识符不是为特定国家或地区设计的,则此值为*任何*。
+ **必填关键字** - 指定检测是否要求关键字靠近数据。如果关键字是必需的,该主题还提供了必填关键字的示例。有关 Macie 在分析数据时如何使用关键字的信息,请参阅 [关键字要求](managed-data-identifiers-keywords.md)。
+ **注释** – 提供可能影响您选择托管数据标识符或调查报告的敏感数据发生次数的任何相关详细信息。详细信息包括支持的标准、语法要求和例外情况等信息。
这些主题按敏感数据类型的字母顺序列出。
**Topics**
+ [出生日期](#mdis-reference-DATE_OF_BIRTH)
+ [驾驶执照识别号](#mdis-reference-DL-num)
+ [选民名册编号](#mdis-reference-electoral-roll-num)
+ [全名](#mdis-reference-full-name)
+ [全球定位系统 (GPS) 坐标](#mdis-reference-GPS)
+ [HTTP cookie](#mdis-reference-HTTP_COOKIE)
+ [邮寄地址](#mdis-reference-mailing-address)
+ [身份证号码](#mdis-reference-national-id)
+ [国民保险号码 (NINO)](#mdis-reference-NINO)
+ [护照编号](#mdis-reference-passport-num)
+ [永久居留号码](#mdis-reference-permanent-residence-num)
+ [Phone number(电话号码)](#mdis-reference-phone-num)
+ [公共交通卡号](#mdis-reference-public-transport-num)
+ [社会保险号码 (SIN)](#mdis-reference-social-insurance-num)
+ [社会保障号码(SSN)](#mdis-reference-social-security-num)
+ [纳税人识别号或参考号](#mdis-reference-taxpayer-num)
+ [车辆识别号码 (VIN)](#mdis-reference-vin)
## 出生日期
**托管数据标识符 ID:** DATE\$1OF\$1BIRTH
**支持的国家和地区:** 任何
**必填关键字:**是。关键字包括:*bday, b-day, birth date, birthday, date of birth, dob*
**注释:** 支持包括大多数日期格式,例如所有数字以及数字和月份名称的组合。日期组件可以用空格、斜杠(/)或连字符(-)分隔。
## 驾驶执照识别号
**托管数据标识符 ID:**视国家或地区而定,AUSTRALIA\$1DRIVERS\$1LICENSE, AUSTRIA\$1DRIVERS\$1LICENSE, BELGIUM\$1DRIVERS\$1LICENSE, BULGARIA\$1DRIVERS\$1LICENSE, CANADA\$1DRIVERS\$1LICENSE, CROATIA\$1DRIVERS\$1LICENSE, CYPRUS\$1DRIVERS\$1LICENSE, CZECHIA\$1DRIVERS\$1LICENSE, DENMARK\$1DRIVERS\$1LICENSE, DRIVERS\$1LICENSE (for the US), ESTONIA\$1DRIVERS\$1LICENSE, FINLAND\$1DRIVERS\$1LICENSE, FRANCE\$1DRIVERS\$1LICENSE, GERMANY\$1DRIVERS\$1LICENSE, GREECE\$1DRIVERS\$1LICENSE, HUNGARY\$1DRIVERS\$1LICENSE, INDIA\$1DRIVERS\$1LICENSE, IRELAND\$1DRIVERS\$1LICENSE, ITALY\$1DRIVERS\$1LICENSE, LATVIA\$1DRIVERS\$1LICENSE, LITHUANIA\$1DRIVERS\$1LICENSE, LUXEMBOURG\$1DRIVERS\$1LICENSE, MALTA\$1DRIVERS\$1LICENSE, NETHERLANDS\$1DRIVERS\$1LICENSE, POLAND\$1DRIVERS\$1LICENSE, PORTUGAL\$1DRIVERS\$1LICENSE, ROMANIA\$1DRIVERS\$1LICENSE, SLOVAKIA\$1DRIVERS\$1LICENSE, SLOVENIA\$1DRIVERS\$1LICENSE, SPAIN\$1DRIVERS\$1LICENSE, SWEDEN\$1DRIVERS\$1LICENSE, UK\$1DRIVERS\$1LICENSE
**支持的国家和地区:**澳大利亚、奥地利、比利时、保加利亚、加拿大、克罗地亚、塞浦路斯、捷克、丹麦、爱沙尼亚、芬兰、法国、德国、希腊、匈牙利、印度、爱尔兰、意大利、拉脱维亚、立陶宛、卢森堡、马耳他、 荷兰、波兰、葡萄牙、罗马尼亚、斯洛伐克、斯洛文尼亚、西班牙、瑞典、英国、美国
**必填关键字:**是。下表列出了 Macie 识别的特定国家和地区的关键字。
| 国家或地区 | 关键词 |
| --- | --- |
| 澳大利亚 | dl\$1, dl:, dlno\$1, driver licence, driver license, driver permit, drivers lic., drivers licence, driver's licence, drivers license, driver's license, drivers permit, driver's permit, drivers permit number, driving licence, driving license, driving permit |
| 奥地利 | führerschein, fuhrerschein, führerschein republik österreich, fuhrerschein republik osterreich |
| 比利时 | fuehrerschein, fuehrerschein- nr, fuehrerscheinnummer, fuhrerschein, führerschein, fuhrerschein- nr, führerschein- nr, fuhrerscheinnummer, führerscheinnummer, numéro permis conduire, permis de conduire, rijbewijs, rijbewijsnummer |
| 保加利亚 | превозно средство, свидетелство за управление на моторно, свидетелство за управление на мпс, сумпс, шофьорска книжка |
| 加拿大 | dl\$1, dl:, dlno\$1, driver licence, driver licences, driver license, driver licenses, driver permit, drivers lic., drivers licence, driver's licence, drivers licences, driver's licences, drivers license, driver's license, drivers licenses, driver's licenses, drivers permit, driver's permit, drivers permit number, driving licence, driving license, driving permit, permis de conduire |
| 克罗地亚 | vozačka dozvola |
| 塞浦路斯 | άδεια οδήγησης |
| 捷克共和国 | číslo licence, císlo licence řidiče, číslo řidičského průkazu, ovladače lic., povolení k jízdě, povolení řidiče, řidiči povolení, řidičský prúkaz, řidičský průkaz |
| 丹麦 | kørekort, kørekortnummer |
| 爱沙尼亚 | juhi litsentsi number, juhiloa number, juhiluba, juhiluba number |
| 芬兰 | ajokortin numero, ajokortti, förare lic., körkort, körkort nummer, kuljettaja lic., permis de conduire |
| 法国 | permis de conduire |
| 德国 | fuehrerschein, fuehrerschein- nr, fuehrerscheinnummer, fuhrerschein, führerschein, fuhrerschein- nr, führerschein- nr, fuhrerscheinnummer, führerscheinnummer |
| 希腊 | δεια οδήγησης, adeia odigisis |
| 匈牙利 | illesztőprogramok lic, jogosítvány, jogsi, licencszám, vezető engedély, vezetői engedély |
| 印度 | driver licence, driver licences, driver license, driver licenses, drivers lic., drivers licence, driver's licence, drivers licences, driver's licences, drivers license, driver's license, drivers licenses, driver's licenses, driving licence, driving license |
| 爱尔兰 | ceadúnas tiomána |
| 意大利 | patente di guida, patente di guida numero, patente guida, patente guida numero |
| 拉脱维亚 | autovadītāja apliecība, licences numurs, vadītāja apliecība, vadītāja apliecības numurs, vadītāja atļauja, vadītāja licences numurs, vadītāji lic. |
| 立陶宛 | vairuotojo pažymėjimas |
| 卢森堡 | fahrerlaubnis, führerschäin |
| 马耳他 | liċenzja tas-sewqan |
| 荷兰 | permis de conduire, rijbewijs, rijbewijsnummer |
| 波兰 | numer licencyjny, prawo jazdy, zezwolenie na prowadzenie |
| 葡萄牙 | carta de condução, carteira de habilitação, carteira de motorist, carteira habilitação, carteira motorist, licença condução, licença de condução, número de licença, número licença, permissão condução, permissão de condução |
| 罗马尼亚 | numărul permisului de conducere, permis de conducere |
| 斯洛伐克 | číslo licencie, číslo vodičského preukazu, ovládače lic., povolenia vodičov, povolenie jazdu, povolenie na jazdu, povolenie vodiča, vodičský preukaz |
| 斯洛文尼亚 | vozniško dovoljenje |
| 西班牙 | carnet conducer, el carnet de conducer, licencia conducer, licencia de manejo, número carnet conducer, número de carnet de conducer, número de permiso conducer, número de permiso de conducer, número licencia conducer, número permiso conducer, permiso conducción, permiso conducer, permiso de conducción |
| 瑞典 | ajokortin numero, dlno\$1 ajokortti, drivere lic., förare lic., körkort, körkort nummer, körkortsnummer, kuljettajat lic. |
| UK | dl\$1, dl:, dlno\$1, driver licence, driver licences, driver license, driver licenses, driver permit, drivers lic., drivers licence, driver's licence, drivers licences, driver's licences, drivers license, driver's license, drivers licenses, driver's licenses, drivers permit, driver's permit, drivers permit number, driving licence, driving license, driving permit |
| 美国 | dl\$1, dl:, dlno\$1, driver licence, driver licences, driver license, driver licenses, driver permit, drivers lic., drivers licence, driver's licence, drivers licences, driver's licences, drivers license, driver's license, drivers licenses, driver's licenses, drivers permit, driver's permit, drivers permit number, driving licence, driving license, driving permit |
**注释:**无
## 选民名册编号
**托管数据标识符 ID:** UK\$1ELECTORAL\$1ROLL\$1NUMBER
**支持的国家和地区:**英国
**必填关键字:**是。关键字包括:*electoral \$1, electoral number, electoral roll \$1, electoral roll no., electoral roll number, electoralrollno*
**注释:**无
## 全名
**托管数据标识符 ID:** NAME
**支持的国家和地区:** 任何
**必填关键字:**否
**注释:**Macie 只能检测全名。只支持拉丁字符集。
## 全球定位系统 (GPS) 坐标
**托管数据标识符 ID:** LATITUDE\$1LONGITUDE
**支持的国家和地区:**任何(如果坐标靠近英语关键字)。
**必填关键字:**是。关键字包括:*coordinate, coordinates, lat long, latitude longitude, position*
**注释:**如果纬度和经度坐标成对存储并且采用十进制度 (DD) 格式,Macie 可以检测 GPS 坐标,例如 `41.948614,-87.655311`。支持不包括以下格式的坐标检测:十进制分 (DDM) 格式,例如 `41°56.9168'N 87°39.3187'W`;或度、分、秒 (DMS) 格式,例如 `41°56'55.0104"N 87°39'19.1196"W`。
## HTTP cookie
**托管数据标识符 ID:** HTTP\$1COOKIE
**支持的国家和地区:** 任何
**必填关键字:**否
**注释:**检测需要完整的 `Cookie` 或 `Set-Cookie` 标头。标头可以包含一个或多个名称/值对,例如:`Set-Cookie: id=TWlrZQ` 和 `Cookie: session=3948; lang=en`。
## 邮寄地址
**托管数据标识符 ID:**ADDRESS(澳大利亚、加拿大、法国、德国、意大利、西班牙、英国、美国)、BRAZIL\$1CEP\$1CODE(巴西邮政编码)
**支持的国家和地区:**澳大利亚、巴西、加拿大、法国、德国、意大利、西班牙、英国、美国
**必填关键字:**各不相同。ADDRESS 托管数据标识符不要求使用关键字。BRAZIL\$1CEP\$1CODE 托管数据标识符必须使用关键字。关键字包括:*cep, código de endereçamento postal, codigo de endereçamento postal, código postal, codigo postal*
**注释:**虽然 ADDRESS 托管数据标识符不要求使用关键字,但检测过程要求地址包含一个城市或地点的名称,以及受支持国家或地区的相应邮政编码。BRAZIL\$1CEP\$1CODE 托管数据标识符只能检测地址的邮政编码 (CEP) 部分。
## 身份证号码
Support 包括:印度的 Aadhaar 号码;哥伦比亚的 Cedula de Ciudadanía 号码;墨西哥的 Clave única de Registro de Poblacion (CURP) 号码;意大利的税收法典号码;阿根廷和西班牙的国家身份证 (DNI) 号码;法国国家统计和经济研究所 (INSEE) 代码;德国国民身份证号码;巴西的 Registro Geral(RG)号码;以及智利的 Rol único Nacional(RUN)号码。
**托管数据标识符 ID:**视国家或地区而定,ARGENTINA\$1DNI\$1NUMBER, BRAZIL\$1RG\$1NUMBER, CHILE\$1RUT\$1NUMBER, COLOMBIA\$1CITIZENSHIP\$1CARD\$1NUMBER, FRANCE\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, GERMANY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, INDIA\$1AADHAAR\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, MEXICO\$1CURP\$1NUMBER, SPAIN\$1DNI\$1NUMBER
**支持的国家和地区:**阿根廷、巴西、智利、哥伦比亚、法国、德国、印度、意大利、墨西哥、西班牙
**必填关键字:**是。下表列出了 Macie 识别的特定国家和地区的关键字。
| 国家或地区 | 关键词 |
| --- | --- |
| 阿根廷 | dni, dni\$1, d.n.i., documento nacional de identidad |
| 巴西 | registro geral, rg |
| 智利 | identidad número, nacional identidad, national unique role, nationaluniqueroleID\$1, número identificación, rol único nacional, rol único tributario, run, run\$1, r.u.n., rut, rut\$1, r.u.t., unique national number, unique national role, unique tax registry, unique tax role, unique tributary number, unique tributary role |
| 哥伦比亚 | cédula de ciudadanía, documento de identificación |
| 法国 | assurance sociale, carte nationale d’identité, cni, code sécurité sociale, French social security number, fssn\$1, insee, insurance number, national id number, nationalid\$1, numéro d'assurance, sécurité sociale, sécurité sociale non., sécurité sociale numéro, social, social security, social security number, socialsecuritynumber, ss\$1, ssn, ssn\$1 |
| 德国 | ausweisnummer, id number, identification number, identity number, insurance number, personal id, personalausweis |
| 印度 | aadhaar, aadhar, adhaar, uidai |
| 意大利 | codice fiscal, dati anagrafici, ehic, health card, health insurance card, p. iva, partita i.v.a., personal data, tax code, tessera sanitaria |
| 墨西哥 | clave personal identidad, clave única, clave única de registro de población, clavepersonalIdentidad, curp, registration code, registry code, personal identidad clave, population code |
| 西班牙 | dni, dni\$1, dninúmero\$1, documento nacional de identidad, identidad único, identidadúnico\$1, insurance number, national identification number, national identity, nationalid\$1, nationalidno\$1, número nacional identidad, personal identification number, personal identity no, unique identity number, uniqueid\$1 |
**评论:**智利的托管数据标识符(CHILE\$1RUT\$1NUMBER)旨在同时检测 Rol único Nacional(RUN)数字和 Rol único Tributario(RUT)数字。对于任何一种数字,Macie 都不会报告所有数字均为零的情况,例如`00000000-K`,因为它们通常用作示例。
尽管阿根廷和西班牙的 DNI 数字有不同的语法,但它们之间还是有相似之处。因此,Macie可能会将阿根廷的DNI号码报告为西班牙的DNI号码,或者反之亦然。此外,Macie 不会报告以下字符序列的出现情况,这些字符序列通常用作示例 DNI 数字:和。`99999999` `99.999.999`Macie 也不会报告仅包含零的事件——例如,和。`000000000` `00.000.000`
## 国民保险号码 (NINO)
**托管数据标识符 ID:** UK\$1NATIONAL\$1INSURANCE\$1NUMBER
**支持的国家和地区:**英国
**必填关键字:**是。关键字包括:*insurance no., insurance number, insurance\$1, national insurance number, nationalinsurance\$1, nationalinsurancenumber, nin, nino*
**注释:**无
## 护照编号
**托管数据标识符 ID:**视国家或地区而定,CANADA\$1PASSPORT\$1NUMBER, FRANCE\$1PASSPORT\$1NUMBER, GERMANY\$1PASSPORT\$1NUMBER, ITALY\$1PASSPORT\$1NUMBER, SPAIN\$1PASSPORT\$1NUMBER, UK\$1PASSPORT\$1NUMBER, USA\$1PASSPORT\$1NUMBER
**支持的国家和地区:**加拿大、法国、德国、意大利、西班牙、英国、美国
**必填关键字:**是。下表列出了 Macie 识别的特定国家和地区的关键字。
| 国家或地区 | 关键词 |
| --- | --- |
| 加拿大 | passeport, passeport\$1, passport, passport\$1, passportno, passportno\$1 |
| 法国 | numéro de passeport, passeport, passeport \$1, passeport n °, passeport non |
| 德国 | ausstellungsdatum, ausstellungsort, geburtsdatum, passport, passports, reisepass, reisepass–nr, reisepassnummer |
| 意大利 | italian passport number, numéro passeport, numéro passeport italien, passaporto, passaporto italiana, passaporto numero, passport number, repubblica italiana passaporto |
| 西班牙 | españa pasaporte, libreta pasaporte, número pasaporte, pasaporte, passport, passport book, passport no, passport number, spain passport |
| UK | passeport \$1, passeport n °, passeport non, passeportn °, passport \$1, passport no, passport number, passport\$1, passportid |
| 美国 | passport, travel document |
**注释:**无
## 永久居留号码
**托管数据标识符 ID:** CANADA\$1NATIONAL\$1IDENTIFICATION\$1NUMBER
**支持的国家和地区:**加拿大
**必填关键字:**是。关键字包括:*carte résident permanent, numéro carte résident permanent, numéro résident permanent, permanent resident card, permanent resident card number, permanent resident no, permanent resident no., permanent resident number, pr no, pr no., pr non, pr number, résident permanent no., résident permanent non*
**注释:**无
## Phone number(电话号码)
**托管数据标识符 ID:**视国家或地区而定,BRAZIL\$1PHONE\$1NUMBER, FRANCE\$1PHONE\$1NUMBER, GERMANY\$1PHONE\$1NUMBER, ITALY\$1PHONE\$1NUMBER, PHONE\$1NUMBER (for Canada and the US), SPAIN\$1PHONE\$1NUMBER, UK\$1PHONE\$1NUMBER
**支持的国家和地区:**巴西、加拿大、法国、德国、意大利、西班牙、英国、美国
**必填关键字:**各不相同。如果关键字靠近数据,则数字不必包含国家/地区代码。关键字包括:*cell, contact, fax, fax number, mobile, phone, phone number, tel, telephone, telephone number*。对于巴西,关键字还包括:*cel, celular, fone, móvel, número residencial, numero residencial, telefone*。如果关键字并不靠近数据,则数字必须包含国家/地区代码。
**注释:**对于美国,支持包括免费电话号码。
## 公共交通卡号
**托管数据标识符 ID:** ARGENTINA\$1TARJETA\$1SUBE
**支持的国家和地区:**阿根廷
**必填关键字:**是。关键字包括:*sistema único de boleto electrónico, sube*
**评论:**Macie 可以检测到 16 位数的 Sistema único de Boleto Electrónico(SUBE)卡号,这些卡号以 Luhn 支票公式开头并符合该公式。`6061`卡号组成部分可以用空格或连字符 (-) 分隔,也可以不使用分隔符,例如、和。`6061 1234 1234 1234` `6061‐1234‐1234‐1234` `6061123412341234`
## 社会保险号码 (SIN)
**托管数据标识符 ID:** CANADA\$1SOCIAL\$1INSURANCE\$1NUMBER
**支持的国家和地区:**加拿大
**必填关键字:**是。关键字包括:*canadian id, numéro d'assurance sociale, sin, social insurance number*
**注释:**无
## 社会保障号码(SSN)
**托管数据标识符 ID:**视国家或地区而定,SPAIN\$1SOCIAL\$1SECURITY\$1NUMBER,USA\$1SOCIAL\$1SECURITY\$1NUMBER
**支持的国家和地区:**西班牙、美国
**必填关键字:**是。对于西班牙,关键字包括:*número de la seguridad social, social security no., social security number, socialsecurityno\$1, ssn, ssn\$1*。对于美国,关键字包括:*social security, ss\$1, ssn*。
**注释:**无
## 纳税人识别号或参考号
Support 包括:阿根廷的 CUIL 和 CUIT 代码;西班牙的 CIF、NIE 和 NIF 号码;巴西的 CNPJ 和 CPF 号码;意大利的 Codice Fiscale 号码;美国;哥伦比亚的 NIT 号码;印度 PANs 的 NIT 号码;墨西哥的 RFC 号码;智利的 RUN 和 RUT 号码;德国的 SteueridentifikationsNummer 号码;澳大利亚的 SteueridentifikationsNummer 号码澳大利亚;代表法国;以及英国的TRN和UTR号码。 ITINs TFNs TINs
**托管数据标识符 ID:**视国家或地区而定,ARGENTINA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER, ARGENTINA\$1ORGANIZATION\$1TAX\$1IDENTIFICATION\$1NUMBER, AUSTRALIA\$1TAX\$1FILE\$1NUMBER, BRAZIL\$1CNPJ\$1NUMBER, BRAZIL\$1CPF\$1NUMBER, CHILE\$1RUT\$1NUMBER, COLOMBIA\$1INDIVIDUAL\$1NIT\$1NUMBER, COLOMBIA\$1ORGANIZATION\$1NIT\$1NUMBER, FRANCE\$1TAX\$1IDENTIFICATION\$1NUMBER, GERMANY\$1TAX\$1IDENTIFICATION\$1NUMBER, INDIA\$1PERMANENT\$1ACCOUNT\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, MEXICO\$1INDIVIDUAL\$1RFC\$1NUMBER, MEXICO\$1ORGANIZATION\$1RFC\$1NUMBER, SPAIN\$1NIE\$1NUMBER, SPAIN\$1NIF\$1NUMBER, SPAIN\$1TAX\$1IDENTIFICATION\$1NUMBER, UK\$1TAX\$1IDENTIFICATION\$1NUMBER, USA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER
**支持的国家和地区:**阿根廷、澳大利亚、巴西、智利、哥伦比亚、法国、德国、印度、意大利、墨西哥、西班牙、英国、美国
**必填关键字:**是。下表列出了 Macie 识别的特定国家和地区的关键字。
| 国家或地区 | 关键词 |
| --- | --- |
| 阿根廷 | argentina taxpayer id, clave única de identificación tributaria, cuil, c.u.i.l, cuit, c.u.i.t, número de identificación fiscal, número de contribuyente, unified labor identification code |
| 澳大利亚 | tax file number, tfn |
| 巴西 | cadastro de pessoa física, cadastro de pessoa fisica, cadastro de pessoas físicas, cadastro de pessoas fisicas, cadastro nacional da pessoa jurídica, cadastro nacional da pessoa juridica, cnpj, cpf |
| 智利 | identidad número, nacional identidad, national unique role, nationaluniqueroleID\$1, número identificación, rol único nacional, rol único tributario, run, run\$1, r.u.n., rut, rut\$1, r.u.t., unique national number, unique national role, unique tax registry, unique tax role, unique tributary number, unique tributary role |
| 哥伦比亚 | nit, nit., nit\$1, n.i.t. |
| 法国 | numéro d'identification fiscal, tax id, tax identification number, tax number, tin, tin\$1 |
| 德国 | identifikationsnummer, steuer id, steueridentifikationsnummer, steuernummer, tax id, tax identification number, tax number |
| 印度 | e-pan, pan card, pan number, permanent account number |
| 意大利 | codice fiscal, dati anagrafici, ehic, health card, health insurance card, p. iva, partita i.v.a., personal data, tax code, tessera sanitaria |
| 墨西哥 | código del registro federal de contribuyentes, identificación de impuestos, identificacion de impuestos, impuesto al valor agregado, iva, iva\$1, i.v.a., registro federal de contribuyentes, rfc, rfc\$1, r.f.c. |
| 西班牙 | cif, cif número, cifnúmero\$1, nie, nif, número de contribuyente, número de identidad de extranjero, número de identificación fiscal, número de impuesto corporativo, personal tax number, tax id, tax identification number, tax number, tin, tin\$1 |
| UK | paye, tax id, tax id no., tax id number, tax identification, tax identification\$1, tax no., tax number, tax reference, tax\$1, taxid\$1, temporary reference number, tin, trn, unique tax reference, unique taxpayer reference, utr |
| 美国 | i.t.i.n., individual taxpayer identification number, itin |
**评论:**智利的托管数据标识符(CHILE\$1RUT\$1NUMBER)旨在同时检测 Rol único Nacional(RUN)数字和 Rol único Tributario(RUT)数字。对于墨西哥的 Registro Federal de Contributes (RFC) 号码,Macie 不会报告出现以下字符序列,这些字符序列通常用作示例 RFC 编号:和。`XAXX010101000` `XEXX010101000`
对于几种类型的纳税人识别号和参考号,Macie 不会报告所有数字均为零的情况,例如、和。`00000000-K` `000000000` `00.000.000`这是因为在某些类型的纳税人识别号和参考号的示例中,通常只使用零。
## 车辆识别号码 (VIN)
**托管数据标识符 ID:** VEHICLE\$1IDENTIFICATION\$1NUMBER
**支持的国家和地区:**如果 VIN 与以下语言之一的关键字相邻,则为任意国家和地区:英语、法语、德语、立陶宛语、波兰语、葡萄牙语、罗马尼亚语或西班牙语。
**必填关键字:**是。关键字包括:*Fahrgestellnummer, niv, numarul de identificare, numarul seriei de sasiu, numer VIN, Número de Identificação do Veículo, Número de Identificación de Automóviles, numéro d'identification du véhicule, vehicle identification number, vin, VIN numeris*
**评论:**Macie VINs 可以检测到由 17 个字符组成的序列并符合 ISO 3779 和 3780 标准。这些标准旨在供全球使用。
# 构建自定义数据标识符
除了使用 Amazon Macie 提供的托管数据标识符外,您还可以创建和使用自定义数据标识符。*自定义数据标识符*是您定义的一组标准,用于检测 Amazon Simple Storage Service (Amazon S3) 对象中的敏感数据。标准由定义要匹配的文本模式的正则表达式(*regex*)和可选的字符序列以及优化结果的邻近规则组成。字符序列可以是:*关键字*,即必须出现在与正则表达式匹配的文本附近的单词或短语;或*忽略单词*,即从结果中排除的单词或短语。
使用自定义数据标识符,您可以定义反映组织特定场景、知识产权或专有数据的检测标准。例如,您可以检测员工 IDs、客户账号或内部数据分类。如果您将[敏感数据发现作业](discovery-jobs.md)或[自动敏感数据发现](discovery-asdd.md)配置为使用这些标识符,则可以增添 Macie 提供的[托管数据标识符](managed-data-identifiers.md)。
除了检测标准外,您还可以为自定义数据标识符生成的调查发现选择自定义严重性设置。默认情况下,Macie 将自定义数据标识符生成的所有调查发现都定为*中等*严重性。严重性不会因符合标识符检测标准的文本出现次数而变化。如果您自定义严重性设置,严重性可以根据符合标准的文本出现的次数来确定。
**Topics**
+ [自定义数据标识符的配置选项](cdis-options.md)
+ [创建自定义数据标识符](cdis-create.md)
+ [删除自定义数据标识符](cdis-delete.md)
# 自定义数据标识符的配置选项
通过使用自定义数据标识符,您可以定义用于检测 Amazon Simple Storage Service (Amazon S3) 对象中的敏感数据的自定义标准。您可以补充 Amazon Macie 提供的[托管数据标识符](managed-data-identifiers.md),并检测反映组织的特定场景、知识产权或专有数据的敏感数据。
每个自定义数据标识符都指定了检测标准,以及标识符生成的调查发现的严重性设置(可选)。检测标准指定了一个正则表达式,用于定义要与 S3 对象匹配的文本模式。该标准还可以指定字符序列和邻近规则,以优化结果。严重性设置指定了要分配给调查发现的严重性。严重性可以根据符合标识符检测标准的文本的出现次数来确定。
**Topics**
+ [检测标准](#cdis-detection-criteria)
+ [调查发现的严重性设置](#cdis-finding-severity)
## 检测标准
在创建自定义数据标识符时,指定一个正则表达式 (*regex*) 来定义要匹配的文本模式。您还可以指定字符序列,例如字词和短语,以及一个邻近规则来优化结果。字符序列可以是:*关键字*,即必须出现在与正则表达式匹配的文本附近的单词或短语;或*忽略单词*,即从结果中排除的单词或短语。
对于 regex,Amazon Macie 支持 [Perl 兼容正则表达式 (PCRE)](https://www.pcre.org/) 库提供的 regex 模式语法子集。在 PCRE 库提供的构造中,Macie 不支持以下模式元素:
+ 反向引用
+ 捕获组
+ 条件模式
+ 嵌入式代码
+ 全局模式标志,如`/i`、`/m`和 `/x`
+ 递归模式
+ 正向和负向后视和前视零宽度断言,如`?=`、`?!`、`?<=`和 `?
在创建自定义数据标识符时,您还可以为标识符生成的敏感数据调查发现指定自定义严重性设置。默认情况下,Amazon Macie 将自定义数据标识符生成的所有调查发现都定为*中等*严重性。如果一个 S3 对象至少包含一次符合检测标准的文本,则 Macie 会自动将调查发现定为*中等*严重性。
使用自定义严重性设置,您可以根据与检测标准匹配的文本的出现次数指定要分配的严重性。您可以为多达三个严重性级别定义*出现次数阈值*:*低*(最不严重)、*中*和*高*(最严重)。*出现次数阈值*是 S3 对象中必须存在的最小匹配数,以生成具有指定严重性的调查发现。如果指定多个阈值,则这些阈值必须按严重性从*低*到*高*升序排列。
例如,下图显示了严重性设置,该标识符指定了三个出现次数阈值,Macie 支持的每个严重性级别对应一个阈值。
![\[严重性设置,用于指定低、中、高严重性级别的发生次数阈值。\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/scrn-cdi-severity.png)
下表显示了自定义数据标识符生成的调查发现的严重性。
| 出现次数阈值 | 严重性级别 | 结果 |
| --- | --- | --- |
| 1 | 低 | 如果 S3 对象包含 1-49 次符合检测标准的文本,则产生的调查发现的严重性为低。 |
| 50 | 中 | 如果 S3 对象包含 50-99 次符合检测标准的文本,则产生的调查发现的严重性为中。 |
| 100 | 高 | 如果 S3 对象包含 100 次或更多次符合检测标准的文本,则产生的调查发现的严重性为高。 |
您也可以使用严重性设置来指定是否要创建调查发现。如果 S3 对象包含的出现次数少于最低出现次数阈值,则 Macie 不会创建调查发现。
# 创建自定义数据标识符
*自定义数据标识符*是您定义的一组标准,用于检测 Amazon Simple Storage Service (Amazon S3) 对象中的敏感数据。在创建自定义数据标识符时,指定一个正则表达式 (*regex*) 来定义要在 S3 对象中匹配的文本模式。您还可以指定字符序列和邻近规则,以优化结果。字符序列可以是:*关键字*,即必须出现在与正则表达式匹配的文本附近的单词或短语;或*忽略单词*,即从结果中排除的单词或短语。通过使用自定义数据标识符,您可以补充 Amazon Macie 提供的[托管数据标识符](managed-data-identifiers.md),并检测反映组织的特定场景、知识产权或专有数据的敏感数据。
例如,许多公司都有针对员工的特定语法 IDs。其中一种语法可能是:一个大写字母,表示员工是全职 (*F*) 还是兼职 (*P*) 员工,后跟一个连字符 (-),然后是一个用于识别员工的八位数序列。*例如:*F—12345678 适用于全职员工,P—876543* 21 适用于兼职员工。*要检测使用 IDs 此语法的员工,您可以创建一个自定义数据标识符来指定以下正则表达式:。`[A-Z]-\d{8}`为了完善分析并避免误报,您还可以配置标识符以使用关键字(`employee` 和 `employee ID`),最大匹配距离为 20 个字符。*根据这些标准,如果文本出现在关键字 employee 或 employee *ID* 之后,并且所有文本都出现在其中一个关键字的 20 个字符以内,则结果将包括与正则表达式匹配的文本。*
要演示关键字如何帮助您查找敏感数据并避免误报,请观看以下视频:
除了检测标准外,您还可以为自定义数据标识符生成的调查发现指定自定义严重性设置。严重性可以根据符合标识符检测标准的文本的出现次数来确定。如果您不指定这些设置,Macie 会自动将标识符生成的所有调查发现指定为*中等*严重性。严重性不会因符合标识符检测标准的文本出现次数而变化。
有关这些设置和其他设置的详细信息,请参阅 [自定义数据标识符的配置选项](cdis-options.md)。
**若要创建自定义数据标识符**
您可以使用亚马逊 Macie 控制台或亚马逊 Macie API 创建自定义数据标识符。
------
#### [ Console ]
按照以下步骤,通过使用 Amazon Macie 控制台创建自定义数据标识符。
**若要创建自定义数据标识符**
1. 打开亚马逊 Macie 主机,网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. 在导航窗格中的**设置**下方,选择**自定义数据标识符**。
1. 选择**创建**。
1. 对于**名称**,输入自定义数据标识符的名称。名称可以包含多达 128 个字符。
1. 对于**描述**,可以选择输入自定义数据标识符的简要描述。描述可包含多达 512 个字符。
**注意**
避免在自定义数据标识符的名称或描述中包含敏感数据。您账户的其他用户可能能够访问该名称或描述,具体取决于他们在 Macie 中被允许执行的操作。
1. 对于**正则表达式**,输入定义要匹配的文本模式的正则表达式 (*regex*)。正则表达式可以包含多达 512 个字符。
Macie 支持 [Perl 兼容正则表达式 (PCRE)](https://www.pcre.org/) 库提供的模式语法子集。有关更多详细信息和提示,请参阅[自定义数据标识符的检测标准](cdis-options.md#cdis-detection-criteria)。
1. 对于**关键字**,可以选择输入多达 50 个字符序列(用逗号分隔)以定义特定文本,该文本必须贴近与正则表达式模式匹配的文本。
只有当文本与正则表达式模式匹配并且文本在其中一个关键字的最大匹配距离之内时,Macie 才会在结果中包含出现次数。每个关键字可以包含 3–90 个 UTF-8 字符。关键字不区分大小写。
1. 对于 “**忽略单词**”,可以选择输入多达 10 个字符序列(用逗号分隔),用于定义要从结果中排除的特定文本。
如果文本与正则表达式模式相匹配,但它包含其中一个忽略词,则 Macie 会从结果中排除出现。每个忽略字词可以包含 4–90 个 UTF-8 字符。忽略字词区分大小写。
1. 对于**最大匹配距离**,可以选择输入关键字结尾与匹配正则表达式的文本结尾之间的最大字符数。
只有当文本与正则表达式模式匹配并且文本与完整关键字的距离之内时,Macie 才会在结果中包含出现次数。距离可以为 1–300 个字符。默认距离为 50 个字符。
1. 对于**严重性**,请选择如何确定自定义数据标识符生成的敏感数据调查发现的严重性:
+ 要自动为所有调查发现分配*中*严重性,请选择**为任意数量的匹配项使用“中”严重性(默认)**。使用此选项,如果受影响的 S3 对象包含一次或多次符合检测标准的文本,则 Macie 会自动为调查发现分配*中*严重性。
+ 要根据您指定的出现次数阈值来分配严重性,请选择**使用自定义设置来确定严重性**。然后使用**出现次数阈值**和**严重性级别**选项来指定 S3 对象中必须存在的最小匹配数,以生成具有所选严重性的调查发现。
您最多可以指定三个出现次数阈值,Macie 支持的每个严重性级别对应一个阈值:*低*(最不严重)、*中*或*高*(最严重)。如果指定多个阈值,则阈值必须按严重性从*低*到*高*升序排列。如果 S3 对象包含的出现次数少于最低阈值,则 Macie 不会创建查找结果。
1. (可选)对于**标签**,请选择**添加标签**,然后最多输入 50 个要分配给自定义数据标识符的标签。
*标签*是您定义并分配给某些类型的 AWS 资源的标签。每个标签都包含一个必需的标签键和一个可选的标签值。标签可以帮助您以不同的方式识别、分类和管理资源,例如,按用途、所有者、环境或其他标准。要了解更多信息,请参阅[为 Macie 资源添加标签](tagging-resources.md)。
1. (可选)对于**评测**,在**样本数据**框中输入最多 1000 个字符,然后选择**测试**以测试检测标准。Macie 评测样本数据,并报告与检测标准匹配的文本出现次数。您可根据需要多次重复此步骤,以完善和优化标准。
**注意**
我们强烈建议您使用样本数据测试和完善检测标准。由于敏感数据发现任务使用自定义数据标识符,因此您无法在创建自定义数据标识符后对其进行更改。这有助于确保您拥有敏感数据调查发现和发现结果的不可变历史记录。
由于 Macie 在处理结构化记录时会应用其他逻辑,因此 “**评估**” 框返回的匹配计数在某些情况下可能与作业生成的结果不同。
1. 完成后,选择 **Submit(提交)**。
Macie 测试设置并验证它是否可以编译正则表达式。如果设置或正则表达式有问题,Macie 会显示一个描述问题的错误。解决任何问题后,您可以保存自定义数据标识符。
------
#### [ API ]
要以编程方式创建自定义数据标识符,请使用 Amazon Macie API 的[CreateCustomDataIdentifier](https://docs.aws.amazon.com/macie/latest/APIReference/custom-data-identifiers.html)操作。或者,如果您使用的是 AWS Command Line Interface (AWS CLI),请运行该[create-custom-data-identifier](https://docs.aws.amazon.com/cli/latest/reference/macie2/create-custom-data-identifier.html)命令。
**注意**
在创建自定义数据标识符之前,我们强烈建议您使用样本数据测试和完善其检测标准。由于敏感数据发现任务使用自定义数据标识符,因此您无法在创建自定义数据标识符后对其进行更改。这有助于确保您拥有敏感数据调查发现和发现结果的不可变历史记录。
要以编程方式测试标准,您可以使用亚马逊 Macie API 的[TestCustomDataIdentifier](https://docs.aws.amazon.com/macie/latest/APIReference/custom-data-identifiers-test.html)操作。此操作提供了一个使用检测标准评估样本数据的环境。如果您使用的是 AWS CLI,则可以运行[test-custom-data-identifier](https://docs.aws.amazon.com/cli/latest/reference/macie2/test-custom-data-identifier.html)命令来测试标准。
准备好创建自定义数据标识符时,请使用以下参数来定义其检测标准:
+ `regex`— 指定用于定义要匹配的文本模式的正则表达式 (*regex*)。正则表达式可以包含多达 512 个字符。
Macie 支持 [Perl 兼容正则表达式 (PCRE)](https://www.pcre.org/) 库提供的模式语法子集。有关更多详细信息和提示,请参阅[自定义数据标识符的检测标准](cdis-options.md#cdis-detection-criteria)。
+ `keywords`—(可选)指定 1—50 个字符序列(*关键字*),这些序列必须靠近与正则表达式模式匹配的文本。
只有当文本与正则表达式模式匹配并且文本在其中一个关键字的最大匹配距离之内时,Macie 才会在结果中包含出现次数。每个关键字可以包含 3–90 个 UTF-8 字符。关键字不区分大小写。
+ `maximumMatchDistance`—(可选)指定关键字结尾和与正则表达式模式匹配的文本结尾之间可以存在的最大字符数。如果您使用的是 AWS CLI,请使用`maximum-match-distance`参数来指定此值。
只有当文本与正则表达式模式匹配并且文本与完整关键字的距离之内时,Macie 才会在结果中包含出现次数。距离可以为 1–300 个字符。默认距离为 50 个字符。
+ `ignoreWords`—(可选)指定 1—10 个字符序列(*忽略单词*)以从结果中排除。如果您使用的是 AWS CLI,请使用`ignore-words`参数来指定这些字符序列。
如果文本与正则表达式模式相匹配,但它包含其中一个忽略词,则 Macie 会从结果中排除出现。每个忽略字词可以包含 4–90 个 UTF-8 字符。忽略字词区分大小写。
要指定自定义数据标识符产生的敏感数据发现的严重性,请使用`severityLevels`参数,或者如果使用的是 AWS CLI,则使用`severity-levels`参数:
+ 要自动为所有发现指定`MEDIUM`严重性,请省略此参数。然后,Macie 使用默认设置。默认情况下,如果受影响的 S3 对象包含一次或多次符合检测条件的文本,则 Macie 会为发现结果分配`MEDIUM`严重性。
+ 要根据您指定的发生次数阈值来分配严重性,请指定 S3 对象中必须存在的最小匹配项数才能生成具有指定严重性的查找结果。
您最多可以指定三个发生次数阈值,Macie 支持的每个严重级别各有一个阈值:`LOW`(最不严重)`MEDIUM`、或`HIGH`(最严重)。如果指定多个阈值,则阈值必须按严重性升序排列,从变`LOW`为`HIGH`。如果 S3 对象包含的出现次数少于最低阈值,则 Macie 不会创建查找结果。
使用其他参数为自定义数据标识符指定名称和其他设置,例如标签。避免在这些设置中包含敏感数据。您账户的其他用户可能能够访问这些值,具体取决于他们在 Macie 中被允许执行的操作。
当您提交请求时,Macie 会测试设置并验证它是否可以编译正则表达式。如果设置或正则表达式有问题,则请求会失败,Macie 会返回一条描述问题的消息。如果请求成功,您将收到类似于以下内容的输出:
```
{
"customDataIdentifierId": "393950aa-82ea-4bdc-8f7b-e5be3example"
}
```
其中,`customDataIdentifierId`指定创建的自定义数据标识符的唯一标识符 (ID)。
要随后检索和查看自定义数据标识符的设置,请使用[GetCustomDataIdentifier](https://docs.aws.amazon.com/macie/latest/APIReference/custom-data-identifiers-id.html)操作,或者,如果您使用的是 AWS CLI,则运行[get-custom-data-identifier](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-custom-data-identifier.html)命令。对于`id`参数,请指定自定义数据标识符的 ID。
以下示例说明如何使用创建自定义数据标识符。 AWS CLI 这些示例创建了一个自定义数据标识符,该标识符旨在检测使用特定语法且与指定关键字相近的员工 IDs 。这些示例还为标识符生成的结果定义了自定义严重性设置。
此示例针对 Linux、macOS 或 Unix 进行格式化,并使用反斜杠 (\$1) 行继续符来提高可读性。
```
$ aws macie2 create-custom-data-identifier \
--name "EmployeeIDs" \
--regex "[A-Z]-\d{8}" \
--keywords '["employee","employee ID"]' \
--maximum-match-distance 20 \
--severity-levels '[{"occurrencesThreshold":1,"severity":"LOW"},{"occurrencesThreshold":50,"severity":"MEDIUM"},{"occurrencesThreshold":100,"severity":"HIGH"}]' \
--description "Detects employee IDs in proximity of a keyword." \
--tags '{"Stack":"Production"}'
```
此示例针对 Microsoft Windows 进行格式化,并使用脱字号 (^) 行继续符来提高可读性。
```
C:\> aws macie2 create-custom-data-identifier ^
--name "EmployeeIDs" ^
--regex "[A-Z]-\d{8}" ^
--keywords "[\"employee\",\"employee ID\"]" ^
--maximum-match-distance 20 ^
--severity-levels "[{\"occurrencesThreshold\":1,\"severity\":\"LOW\"},{\"occurrencesThreshold\":50,\"severity\":\"MEDIUM\"},{\"occurrencesThreshold\":100,\"severity\":\"HIGH\"}]" ^
--description "Detects employee IDs in proximity of a keyword." ^
--tags={\"Stack\":\"Production\"}
```
其中:
+ `EmployeeIDs`是自定义数据标识符的名称。
+ `[A-Z]-\d{8}`是要匹配的文本模式的正则表达式。
+ `employee`和`employee ID`的关键字必须靠近符合正则表达式模式的文本。
+ `20`是关键字结尾与正则表达式模式匹配的文本结尾之间可以存在的最大字符数。
+ `description`指定自定义数据标识符的简要描述。
+ `severity-levels`为自定义数据标识符生成的发现的严重性定义自定义发生次数阈值:`LOW`1—49 次事件;50—99 次事件;以及 `MEDIUM` 100 次或更多事件。`HIGH`
+ `Stack`是要分配给自定义数据标识符的标签密钥。 `Production`是指定标签键的标签值。
------
创建自定义数据标识符后,您可以[创建和配置敏感数据发现任务](discovery-jobs-create.md)以使用它,或者[将其添加到您的设置中以自动发现敏感数据](discovery-asdd-account-configure.md)。
# 删除自定义数据标识符
创建自定义数据标识符后,可以将其删除。如果您这样做,Amazon Macie 软件会删除自定义数据标识符。这意味着您的账户中仍保留了自定义数据标识符的记录,但该记录被标记为已删除。如果自定义数据标识符处于此状态,则无法配置新的敏感数据发现任务以使用它,也无法将其添加到自动发现敏感数据的设置中。此外,您无法再使用亚马逊 Macie 主机访问它。但是,您可以使用亚马逊 Macie API 检索其设置。如果您删除自定义数据标识符,则该标识符不会计入您账户的自定义数据标识符配额。
如果您将敏感数据发现任务配置为使用您随后删除的自定义数据标识符,则该作业将按计划运行并继续使用自定义数据标识符。这意味着您的作业结果(包括敏感数据发现和敏感数据发现结果)将报告符合标识符标准的文本。这有助于确保您拥有敏感数据调查发现和发现结果的不可变历史记录,以便您执行数据隐私和保护的审计或调查。
同样,如果您将自动敏感数据发现配置为使用随后删除的自定义数据标识符,则每日分析周期将继续并继续使用自定义数据标识符。这意味着敏感数据发现、统计数据和其他类型的结果将继续报告符合标识符标准的文本。
在删除自定义数据标识符之前,请执行以下操作以防止 Macie 在随后的分析周期和作业运行中使用它:
+ 检查您的设置以自动发现敏感数据。如果您在这些设置中添加了自定义数据标识符,请将其删除。有关更多信息,请参阅 [配置自动敏感数据发现的设置](discovery-asdd-account-configure.md)。
+ 查看您的任务清单,确定使用自定义数据标识符并计划在将来运行的作业。如果您希望任务停止使用自定义数据标识符,则可以取消该作业。然后创建作业的副本,调整副本的设置,然后将该副本另存为新作业。有关更多信息,请参阅 [管理敏感数据发现作业](discovery-jobs-manage.md)。
记下 Macie 分配给自定义数据标识符的唯一标识符 (ID) 也是个好主意。如果您稍后想查看自定义数据标识符的设置,则需要此ID。
完成上述任务后,删除自定义数据标识符。
**删除自定义数据标识符**
您可以使用亚马逊 Macie 控制台或亚马逊 Macie API 删除自定义数据标识符。
------
#### [ Console ]
按照以下步骤使用 Amazon Macie 控制台删除自定义数据标识符。
**删除自定义数据标识符**
1. 打开亚马逊 Macie 主机,网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. 在导航窗格中的**设置**下方,选择**自定义数据标识符**。
1. 要记下要删除的自定义数据标识符的唯一标识符 (ID),请选择自定义数据标识符的名称。在出现的页面上,“**ID**” 框显示此 ID。记下 ID 后,再次在导航窗格中选择 “**自定义数据标识符**”。
1. 在**自定义数据标识符**页面上,选中要删除的自定义数据标识符的复选框。
1. 在**操作** 菜单上,选择**删除**。
1. 当系统提示您确认时,选择**确定**。
------
#### [ API ]
要以编程方式删除自定义数据标识符,请使用 Amazon Macie API 的[DeleteCustomDataIdentifier](https://docs.aws.amazon.com/macie/latest/APIReference/custom-data-identifiers-id.html)操作。或者,如果您使用的是 AWS Command Line Interface (AWS CLI),请运行该[delete-custom-data-identifier](https://docs.aws.amazon.com/cli/latest/reference/macie2/delete-custom-data-identifier.html)命令。
为`id`参数指定要删除的自定义数据标识符的唯一标识符 (ID)。您可以使用[ListCustomDataIdentifiers](https://docs.aws.amazon.com/macie/latest/APIReference/custom-data-identifiers-list.html)操作获取此 ID。此操作会检索有关您账户的自定义数据标识符的部分信息。如果您使用的是 AWS CLI,则可以运行[list-custom-data-identifiers](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-custom-data-identifiers.html)命令来检索此信息。
以下示例说明如何使用删除自定义数据标识符 AWS CLI。
```
$ aws macie2 delete-custom-data-identifier --id 393950aa-82ea-4bdc-8f7b-e5be3example
```
要删除*393950aa-82ea-4bdc-8f7b-e5be3example*的自定义数据标识符的 ID 在哪里。
如果请求成功,Macie 将返回一个空的 HTTP 200 响应。否则,Macie 会返回一个 HTTP 4 *xx* 或 500 响应,说明请求失败的原因。
------
要在删除自定义数据标识符后查看其设置,请使用 Amazon Macie API 的[GetCustomDataIdentifier](https://docs.aws.amazon.com/macie/latest/APIReference/custom-data-identifiers-id.html)操作。或者,如果您使用的是 AWS CLI,请运行该[get-custom-data-identifier](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-custom-data-identifier.html)命令。对于`id`参数,请指定自定义数据标识符的 ID。删除自定义数据标识符后,您将无法使用 Amazon Macie 控制台访问其设置。
# 使用允许列表定义敏感数据例外
使用 Amazon Macie 中的允许列表,您可以定义 Macie 检查 Amazon Simple Storage Service (Amazon S3)对象中是否存在敏感数据时要忽略的特定文本和文本模式。对于您的特定场景或环境,这些通常是敏感数据异常。如果数据与允许列表中的文本或文本模式匹配,则 Macie 不会报告数据。即使数据符合[托管数据标识符](managed-data-identifiers.md)或[自定义数据](custom-data-identifiers.md)标识符的标准,情况也是如此。通过使用允许列表,您可以完善对 Amazon S3 数据的分析并减少噪音。
您可以在 Macie 中创建和使用两种类型的允许列表:
+ **预定义文本**:对于这种类型的列表,您可以指定要忽略的特定字符序列。例如,您可以指定您的组织公共代表的姓名、具体的电话号码或您的组织用于测试的具体样本数据。如果您使用此类列表,Macie 会忽略与列表中的条目完全匹配的文本。
如果您想要指定不敏感、不太可能更改且不一定遵循通用模式的单词、短语和其他类型的字符序列,则这种类型的允许列表非常有用。
+ **正则表达式**:对于这种类型的列表,您指定一个正则表达式(*regex*)来定义要忽略的文本模式。例如,您可以为您的组织的公共电话号码、您的组织域的电子邮件地址或您的组织用于测试的模式化样本数据指定模式。如果您使用此类列表,Macie 会忽略与列表定义的模式完全匹配的文本。
如果您想指定不敏感但有所变化或可能发生变化的文本,同时遵循通用模式,则这种类型的允许列表非常有用。
创建允许列表后,您可以[创建和配置敏感数据发现任务](discovery-jobs-create.md)以使用该列表,或者[将列表添加至自动敏感数据发现设置中](discovery-asdd-account-configure.md)。然后,Macie 在分析数据时使用该列表。如果 Macie 在允许列表中找到与条目或模式匹配的文本,则 Macie 不会在敏感数据发现、统计数据和其他类型的结果中报告该文本的出现情况。
除亚太地区(大阪)地区外, AWS 区域 你可以在目前可用 Macie 的所有地区管理和使用允许列表。
**Topics**
+ [允许列表的配置选项](allow-lists-options.md)
+ [创建允许列表](allow-lists-create.md)
+ [检查允许列表状态](allow-lists-status-check.md)
+ [更改允许列表](allow-lists-change.md)
+ [删除允许列表](allow-lists-delete.md)
# 允许列表的配置选项和要求
在 Amazon Macie 中,您可通过允许列表,指定想要 Macie 在检查 Amazon Simple Storage Service (Amazon S3) 对象敏感数据时会忽略的文本或文本模式。Macie 提供两类允许列表选项,即预定义文本和正则表达式。
如果您想让 Macie 忽略您认为不敏感的特定单词、短语和其他类型字符序列,则预定义文本列表非常有用。例如,您的组织公共代表的姓名、具体的电话号码或您的组织用于测试的具体样本数据。如果 Macie 发现符合托管或自定义数据标识符的文本,并且该文本也与允许列表中的条目匹配,则 Macie 不会报告敏感数据调查发现、统计数据和其他类型的结果中出现的文本。
如果您希望 Macie 在遵循通用模式的情况下忽略已有变化或可能发生变化的文本,则适用正则表达式 (*regex*)。正则表达式指定要忽略的文本模式。示例包括贵组织的公共电话号码、组织域的电子邮件地址,或组织用于测试的模式化示例数据。如果 Macie 发现匹配托管或自定义数据标识符的文本,并且该文本也与允许列表中的正则表达式模式匹配,则 Macie 不会报告敏感数据调查发现、统计数据和其他类型的结果中出现的文本。
除了亚太地区(大阪)区域,你可以在目前可用 Macie 的所有地区创建和使用这两种类型的允许列表。 AWS 区域 创建和管理允许列表时,切记以下选项和要求。另请注意,不支持邮件地址的列表条目及正则表达式模式。
**Contents**
+ [预定义文本列表的选项与要求](#allow-lists-options-s3list)
+ [语法要求](#allow-lists-options-s3list-syntax)
+ [存储需求](#allow-lists-options-s3list-storage)
+ [加密/解密要求](#allow-lists-options-s3list-encryption)
+ [设计注意事项和建议](#allow-lists-options-s3list-notes)
+ [正则表达式的选项和要求](#allow-lists-options-regex)
+ [语法支持和建议](#allow-lists-options-regex-syntax)
+ [示例](#allow-lists-options-regex-examples)
## 预定义文本列表的选项与要求
对于这种类型的允许列表,您可以提供以行分隔的纯文本文件,其中列出了要忽略的特定字符序列。列表条目通常包含特定的单词、短语和其他类型的字符序列,这些字符序列不敏感,不太可能改变,也不一定遵循特定模式。如果您使用这种类型的列表,Amazon Macie 不会报告出现与列表中的条目完全匹配的文本。Macie 将列表中的每个条目都视为字符串文本值。
若要使用这种类型的允许列表,首先要在文本编辑器中创建列表,并将其另存为纯文本文件。然后将列表上传到 S3 通用存储桶。另外,确保存储桶和对象的存储和加密设置允许 Macie 检索和解密该列表。然后在 Macie 中[为列表创建和配置设置](allow-lists-create.md)。
在 Macie 中配置设置后,我们建议您使用一组适用于您的账户或组织的、少量具有代表性的数据测试允许列表。要测试列表,您可以[创建一次性作业](discovery-jobs-create.md)。除了通常用于数据分析的托管和自定义数据标识符之外,将该作业配置为使用该列表。然后您可查看作业结果,包括敏感数据调查发现、敏感数据发现结果或两者兼而有之。如果作业的结果与您的预期不同,则可更改和测试列表,直至结果达到预期。
配置和测试完允许列表后,您可以创建和配置其他作业来使用该列表,或将列表添加至自动敏感数据发现的设置中。当每项作业开始运行或下一个自动发现分析周期开始时,Macie 会从 Amazon S3 中检索最新版本列表,并将其存储至临时内存。然后,Macie 在检查 S3 对象中是否有敏感数据时,使用此临时列表副本。当作业完成运行或分析周期完成后,Macie 会从内存中永久删除其列表副本。Macie 中的列表不存在。Macie 中仅保留列表设置。
**重要**
由于 Macie 中不保留预定义文本列表,因此务必定期[检查允许列表状态](allow-lists-status-check.md)。如果 Macie 无法检索或解析您所配置的作业或使用的自动发现列表,Macie 不使用列表。这可能会导致异常结果,例如您在列表中指定的文本敏感数据调查发现。
**Topics**
+ [语法要求](#allow-lists-options-s3list-syntax)
+ [存储需求](#allow-lists-options-s3list-storage)
+ [加密/解密要求](#allow-lists-options-s3list-encryption)
+ [设计注意事项和建议](#allow-lists-options-s3list-notes)
### 语法要求
创建此类允许列表时,请注意以下列表文件要求:
+ 该列表必须存储为纯文本 (`text/plain`) 文件,例如.txt、.text 或 .plain 文件。
+ 列表必须使用换行符分隔各个条目。例如:
```
Akua Mansa
John Doe
Martha Rivera
425-555-0100
425-555-0101
425-555-0102
```
Macie 将每行视为列表中的单独条目。该文件还可以包含空行,以提高可读性。Macie 在解析文件时会跳过空行。
+ 每个关键字可以包含 1 到 90 个 UTF–8 字符。
+ 每个条目必须完整、完全匹配,才能忽略文本。Macie 不支持在条目中使用通配符或者部分值。Macie 将每个条目都视为字符串文本值。匹配项不区分大小写。
+ 该文件可以包含 1–100000 个条目。
+ 附加文件的存储总大小不能超过35 MB。
### 存储需求
在 Amazon S3 中添加和管理允许列表时,请注意以下存储要求与建议:
+ **区域支持**-允许列表必须存储在与您的 Macie 账户 AWS 区域 相同的存储桶中。如果运行列表存储在其他区域,Macie 将无法访问该列表。
+ **存储桶所有权**-允许列表必须存储在您拥有的存储桶中 AWS 账户。如果您希望其他账户使用同样的允许列表,可以考虑创建 Amazon S3 复制规则,将该列表复制到这些账户拥有的存储桶。有关复制 S3 对象的信息,请参阅 *Amazon Simple Storage Service 用户指南*中的[复制对象](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication.html)。
此外,您的 AWS Identity and Access Management (IAM) 身份必须对存储列表的存储桶和对象具有读取权限。否则,您将无法使用 Macie 创建或更新列表的设置或者检查列表状态。
+ **存储类型和类别**:允许列表必须存储在通用存储桶中,而不是目录存储桶中。此外,必须使用以下存储类型之一进行存储:Reduced Redundancy (RRS)、S3 Glacier Instant Retrieval、S3 One Zone-IA、S3 Standard 或 S3 Standard-IA。
+ **存储桶策略**:如果您将允许列表存储在具有限制性存储桶策略的存储桶内,请确保该策略允许 Macie 检索该列表。为此,您可以将 Macie 服务关联角色条件添加至存储桶策略。有关更多信息,请参阅 [允许 Macie 访问 S3 存储桶和对象](monitoring-restrictive-s3-buckets.md)。
此外,请确保该策略允许您的 IAM 身份可读取存储桶。否则,您将无法使用 Macie 创建或更新列表的设置或者检查列表状态。
+ **对象路径**:如果您在 Amazon S3 中存储了多个允许列表,则每个列表的对象路径必须是唯一的。换句话说,每个允许列表都必须单独存储在自己的 S3 对象中。
+ **版本控制**:向存储桶添加允许列表时,我们建议您同时为此存储桶启用版本控制。然后,您可以使用日期和时间值,将列表的版本与使用该列表的敏感数据发现任务和自动敏感数据发现周期结果相关联。这可以帮助您保护数据隐私、审计或调查行为。
+ **对象锁定**:为了防止允许列表在一定时间内或无限期地被删除或覆盖,您可以为存储该列表的存储桶启用对象锁定。启用此设置并不会阻止 Macie 访问此列表。有关此设置的信息,请参阅《*Amazon 简单存储服务用户指南》*中的 “使用[对象锁定锁定对象](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock.html)”。
### 加密/解密要求
如果您在 Amazon S3 中加密允许列表,则 [Macie 服务相关角色](service-linked-roles.md) 的权限策略通常会授予 Macie 解密该列表所需的权限。但是,这取决于所用的加密类型:
+ 如果使用具有 Amazon S3 托管式密钥(SSE-S3)的服务器端加密方式进行加密,则 Macie 可解密列表。您的 Macie 账户的服务关联角色会向 Macie 授予其所需权限。
+ 如果使用服务器端加密和 AWS 托管 AWS KMS key (DSSE-KMS 或 SSE-KMS)对列表进行加密,Macie 可以解密该列表。您的 Macie 账户的服务关联角色会向 Macie 授予其所需权限。
+ 如果列表使用服务器端加密方法,通过客户托管 AWS KMS key (DSSE-KMS 或 SSE-KMS)进行加密,则仅当您允许 Macie 使用此密钥时,Macie 才能解密列表。若要了解如何执行此操作,请参阅[允许 Macie 使用客户管理的服务器 AWS KMS key](discovery-supported-encryption-types.md#discovery-supported-encryption-cmk-configuration)。
**注意**
您可以使用外部密钥存储库 AWS KMS key 中管理的客户对列表进行加密。但是,与完全在 AWS KMS中管理的密钥相比,密钥可能更慢且更不可靠。如果延迟或可用性问题使 Macie 无法解密列表,则 Macie 在分析 S3 对象时无法使用该列表。这可能会导致异常结果,例如您在列表中指定的文本敏感数据调查发现。为了降低这种风险,可以考虑将列表存储在“将密钥用作 S3 存储桶密钥”的 S3 存储桶内。
有关在外部密钥存储中使用 KMS 密钥的信息,请参阅 *AWS Key Management Service 开发者指南*中的[外部密钥存储](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-external.html)。有关使用 S3 存储桶密钥的信息,请参阅 *Amazon Simple Storage Service 用户指南*中的[通过 Amazon S3 存储桶密钥降低 SSE-KMS 成本](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html)。
+ 如果列表采用服务器端加密方法、通过客户提供的密钥 (SSE-C) 或客户端加密,则 Macie 无法解密此列表。考虑改用 SSE-S3、DSSE-KMS 或 SSE-KMS 加密。
如果列表使用 AWS 托管 KMS 密钥或客户托管 KMS 密钥加密,则还必须允许您的 AWS Identity and Access Management (IAM) 身份使用该密钥。否则,您将无法使用 Macie 创建或更新列表的设置或者检查列表状态。若要了解如何检查或更改 KMS 密钥的权限,请参阅*AWS Key Management Service 开发人员指南*中的[AWS KMS中的密钥策略](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)。
有关 Amazon S3 数据加密选项的详细信息,请参阅* Amazon Simple Storage Service 用户指南*中的[使用加密保护数据](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingEncryption.html)。
### 设计注意事项和建议
Macie 通常将允许列表中的每个条目都视为字符串文本值。也就是说,Macie 会忽略每次出现的、与允许列表中完整条目完全匹配的文本。匹配项不区分大小写。
但是,Macie 将这些条目用于更大的数据提取与分析框架。该框架包括机器学习和模式匹配函数,这些函数可以考虑语法和句法变体等维度,在多种情况下还包括关键字接近度。该框架还考虑了 S3 对象文件类型或存储格式。因此,在添加和管理允许列表中的条目时,切记以下注意事项和建议。
**为不同的文件类型与存储格式做好准备**
对于非结构化数据,例如 Adobe 便携式文档文件 (.pdf) 格式文本,Macie 会忽略与允许列表中完整条目完全匹配的文本,包括跨多行或多页的文本。
对于结构化数据(如 CSV 文件中的列式数据或 JSON 文件中基于记录的数据),如果所有文本都存储在单个字段、单元格或数组中,则 Macie 会忽略与允许列表中完整条目完全匹配的文本。此要求不适用于存储在其他非结构化文件 (例如 .pdf 文件中的表) 中的结构化数据。
例如,考虑 CSV 文件内的以下内容:
```
Name,Account ID
Akua Mansa,111111111111
John Doe,222222222222
```
如果 `Akua Mansa` 和 `John Doe` 是允许列表中的条目,则 Macie 会忽略 CSV 文件中的这些名称。每个列表条目的完整文本存储至单个 `Name` 字段。
相反,请考虑包含以下列和字段的 CSV 文件:
```
First Name,Last Name,Account ID
Akua,Mansa,111111111111
John,Doe,222222222222
```
如果 `Akua Mansa` 和 `John Doe` 是允许列表中的条目,则 Macie 不会忽略 CSV 文件中的这些名称。CSV 文件中的所有字段均不包含允许列表内条目的完整文本。
**包含常见变体**
为数字数据、专有名词、术语和字母数字字符序列等常见变体添加条目。例如,如果您要添加的名称或短语在单词之间仅包含一个空格,则还要添加单词之间含两个空格的变体。同样,添加包含/不包含特殊字符的单词和短语,并考虑纳入常见的句法和语义变体。
例如,对于美国电话号码*425-555-0100*,您可以将以下条目添加至允许列表中:
```
425-555-0100
425.555.0100
(425) 555-0100
+1-425-555-0100
```
在跨国背景下,对于 *2022 年 2 月 1 日* 的日期,您可以添加包含英语和法语常见句法变体的条目,包括包含特殊字符/不包含特殊字符的变体:
```
February 1, 2022
1 février 2022
1 fevrier 2022
Feb 01, 2022
1 fév 2022
1 fev 2022
02/01/2022
01/02/2022
```
对于人物姓名,请纳入您认为不敏感的、不同形式的名字条目。例如,包括:名字后跟姓氏;姓氏后跟名字,名字和姓氏由一个空格分隔;名字和姓氏由两个空格分隔;以及昵称。
例如,对于*Martha Rivera*这个姓名,您可以添加:
```
Martha Rivera
Martha Rivera
Rivera, Martha
Rivera, Martha
Rivera Martha
Rivera Martha
```
如果要忽略包含许多分段的特定名称变体,请创建一个使用正则表达式的允许列表。例如,对于名字 *Dr. Martha Lyda Rivera, PhD*,您可以使用以下正则表达式:`^(Dr. )?Martha\s(Lyda|L\.)?\s?Rivera,?( PhD)?$`。
## 正则表达式的选项和要求
对于这种类型的允许列表,您可以指定一个正则表达式(*regex*),定义要忽略的文本模式。例如,您可以为您的组织的公共电话号码、您的组织域的电子邮件地址或您的组织用于测试的模式化样本数据指定模式。正则表达式为您视为非敏感的指定种类数据定义了通用模式。如果您使用这种类型的允许列表,Amazon Macie 不会报告出现与特定模式完全匹配的文本。与要忽略的指定预定义文本的允许列表不同,您可以创建正则表达式和所有其他列表设置并将其存储在 Macie 中。
创建或更新此类允许列表时,可以在保存列表之前通过示例数据测试列表的正则表达式。建议您使用多组样本数据执行此操作。如果您创建的正则表达式过于笼统,Macie 可能会忽略您视为敏感的文本。如果正则表达式过于具体,Macie 可能会忽略您未视为敏感的文本。为了防范格式不正确或长时间运行表达式,Macie 还会根据一组示例文本自动编译和测试正则表达式,并通知您需要解决的问题。
为进行其他测试,我们建议您使用账户或组织的一小部分具有代表性的数据测试列表的正则表达式。为此,您可以[创建一次性作业](discovery-jobs-create.md)。除了通常用于数据分析的托管和自定义数据标识符之外,将该作业配置为使用该列表。然后您可查看作业结果,包括敏感数据调查发现、敏感数据发现结果或两者兼而有之。如果作业的结果与预期不同,则可以更改和测试正则表达式,直到结果达到预期为止。
配置和测试允许列表后,您可以创建和配置其他作业以使用该列表,或将列表添加至自动敏感数据发现的设置中。当运行此作业或 Macie 执行自动发现时,Macie 会使用最新版本的列表正则表达式分析数据。
**Topics**
+ [语法支持和建议](#allow-lists-options-regex-syntax)
+ [示例](#allow-lists-options-regex-examples)
### 语法支持和建议
允许列表可以指定包含最多 512 个字符的正则表达式 (*regex*)。Macie 支持 [Perl 兼容正则表达式 (PCRE)](https://www.pcre.org/) 库提供的正则表达式模式语法子集。在 PCRE 库提供的构造中,Macie 不支持以下模式元素:
+ 反向引用
+ 捕获组
+ 条件模式
+ 嵌入式代码
+ 全局模式标志,如`/i`、`/m`和 `/x`
+ 递归模式
+ 正向和负向后视和前视零宽度断言,如`?=`、`?!`、`?<=`和 `?
以下示例演示了部分常见场景的有效正则表达式模式。
**电子邮件地址**
如果您使用自定义数据标识符检测电子邮件地址,则可以忽略您视为不敏感的电子邮件地址,例如您组织的电子邮件地址。
要忽略特定的二级和顶级域名电子邮件地址,可以使用以下模式:
`[a-zA-Z0-9_.+\\-]+@example\.com`
其中*example*是二级域名的名称,*com*也是顶级域名。在这种情况下,Macie 会匹配和忽略*johndoe@example.com* 和 *john.doe@example.com*等地址。
要忽略任何通用顶级域名 (gTLD) (例如 *.com* 或 *.gov*) 中特定域名的电子邮件地址,可以使用以下模式:
`[a-zA-Z0-9_.+\\-]+@example\.[a-zA-Z]{2,}`
域名在*example*哪里。*在这种情况下,Macie 会匹配和忽略*johndoe@example.com*、*john.doe@example.gov*和 johndoe@example.edu*等地址。
要忽略任何一个国家/地区代码顶级域名 (ccTLD) 中特定域名的电子邮件地址,例如加拿大的 *.ca*或澳大利亚的*.au*,您可使用此模式:
`[a-zA-Z0-9_.+\\-]+@example\.(ca|au)`
哪里*example*是域名,*ca*和*au*是TLDs 要忽略的特定的 cc。在这种情况下,Macie 会匹配和忽略*johndoe@example.ca* 个 *john.doe@example.au* 等地址。
若要忽略用于特定域和 gTLD、且纳入第三级和第四级域的电子邮件地址,您可使用此模式:
`[a-zA-Z0-9_.+\\-]+@([a-zA-Z0-9-]+\.)?[a-zA-Z0-9-]+\.example\.com`
哪里*example*是域名的名字,哪里*com*是 gTLD。在这种情况下,Macie 会匹配和忽略*johndoe@www.example.com* 和 *john.doe@www.team.example.com*等地址。
**电话号码**
Macie 提供托管数据标识符,可检测多个国家和地区的电话号码。要忽略某些电话号码(例如贵组织的免费电话号码或公用电话号码),您可以使用以下模式。
要忽略使用 *800*区号、且格式为*(800) \$1\$1\$1-\$1\$1\$1\$1*的免费电话号码:
`^\(?800\)?[ -]?\d{3}[ -]?\d{4}$`
要忽略使用 *888*区号、且格式为*(888) \$1\$1\$1-\$1\$1\$1\$1*的免费电话号码:
`^\(?888\)?[ -]?\d{3}[ -]?\d{4}$`
要忽略包含*33*个国家/地区代码、且格式为 *\$133 \$1\$1 \$1\$1 \$1\$1 \$1\$1 \$1\$1* 的 10 位数法语电话号码:
`^\+33 \d( \d\d){4}$`
要忽略使用特定区号和交换码的美国和加拿大电话号码,请不要包含国家/地区代码,且格式为 *(\$1\$1\$1) \$1\$1\$1-\$1\$1\$1\$1*:
`^\(?123\)?[ -]?555[ -]?\d{4}$`
区号在*123*哪里,交换代码在*555*哪里。
要忽略使用特定地区和交换代码的美国和加拿大电话号码,请包含国家/地区代码,且格式为*\$11 (\$1\$1\$1) \$1\$1\$1-\$1\$1\$1\$1*:
`^\+1\(?123\)?[ -]?555[ -]?\d{4}$`
区号在*123*哪里,交换代码在*555*哪里。
# 创建允许列表
在 Amazon Macie 中,允许列表定义了 Macie 在检查 Amazon Simple Storage Service (Amazon S3) 对象时是否存在敏感数据时要忽略的特定文本或文本模式。如果文本与允许列表中的条目或模式匹配,则 Macie 不会在敏感数据调查发现、统计或其他类型的结果中报告该文本。即使文本符合[托管数据标识符](managed-data-identifiers.md)或[自定义数据](custom-data-identifiers.md)标识符的标准,情况也是如此。
您可通过 Macie 创建以下类型的允许列表。
**预定义的文本**
使用这种类型的列表来指定单词、短语和其他类型的字符序列,它们不敏感,不太可能改变,也不一定遵循通用模式。例如,您的组织公共代表的姓名、具体的电话号码以及您的组织用于测试的具体样本数据。如果您使用此类列表,Macie 会忽略与列表中的条目完全匹配的文本。
对于这种类型的列表,您可以创建一个以行分隔的纯文本文件,其中列出了要忽略的指定文本。然后,将文件存储在一个 S3 存储桶并配置 Macie 的设置以访问桶中的列表。然后,您可以创建和配置敏感数据发现作业以使用该列表,或将该列表添加到自动敏感数据发现的设置中。当每项作业开始运行或下一个自动发现分析周期开始时,Macie 会从 Amazon S3 中检索最新版本列表。然后,Macie 在检查 S3 对象中是否有敏感数据时,使用该版本列表。如果 Macie 发现与列表中的条目完全匹配的文本,Macie 不会将所示文本报告为敏感数据。
**正则表达式**
使用这种类型的列表(*正则表达式*),指定一个正则表达式来定义要忽略的文本模式。示例包括贵组织的公共电话号码、组织域的电子邮件地址,以及组织用于测试的模式化示例数据。如果您使用这种类型的列表,Macie 会忽略与列表定义的正则表达式完全匹配的文本。
对于此类列表,您可以创建正则表达式,该正则表达式定义不敏感、但有所变化或可能发生变化的文本。与包含预定义文本的列表不同,您可以创建并将正则表达式和所有其他列表设置存储在 Macie 中。然后,您可以创建和配置敏感数据发现作业以使用该列表,或将该列表添加到自动敏感数据发现的设置中。当运行此作业或 Macie 执行自动发现时,Macie 会使用最新版本的列表正则表达式分析数据。如果 Macie 发现与列表定义模式完全匹配的文本,Macie 不会将所示文本报告为敏感数据。
有关每种类型的详细要求、建议和示例,请参阅 [允许列表的配置选项和要求](allow-lists-options.md)。
您可以在每个支持的允许列表中创建多达 10 个允许列表 AWS 区域:最多五个允许列表指定预定义文本,最多五个允许列表指定正则表达式。除了亚太地区(大阪)区域,你可以在目前可用 Macie 的所有地区创建和使用允许列表。 AWS 区域
**若要创建允许列表**
如何创建允许列表取决于您想要创建的列表类型:列出要忽略的预定义文本的文件,或者定义要忽略的文本模式的正则表达式。以下部分提供了每个类型的说明。选择您想要创建的列表类型部分。
## 预定义的文本
在 Macie 中创建此类允许列表前,请执行以下操作:
1. 使用文本编辑器创建以行分隔的纯文本文件,其中列出了要忽略的特定文本,例如 .txt、.text 或 .plain 文件。有关更多信息,请参阅 [语法要求](allow-lists-options.md#allow-lists-options-s3list-syntax)。
1. 将文件上传至 S3 通用存储桶并记下存储桶和对象的名称。在 Macie 中配置设置时,需要输入此名称。
1. 确保 S3 存储桶和对象的设置允许您和 Macie 从存储桶检索列表。有关更多信息,请参阅 [存储需求](allow-lists-options.md#allow-lists-options-s3list-storage)。
1. 如果对 S3 对象进行了加密,还要确保使用允许您和 Macie 使用的密钥对其进行加密。有关更多信息,请参阅 [加密/解密要求](allow-lists-options.md#allow-lists-options-s3list-encryption)。
完成这些任务后,就可以在 Macie 中配置列表设置了。您可通过 Amazon Macie 控制台或 Amazon Macie API 配置设置。
------
#### [ Console ]
按照以下步骤,使用 Amazon Macie 控制台配置允许列表设置。
**若要在 Macie 中配置允许列表设置**
1. 打开亚马逊 Macie 主机,网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. 在导航窗格中的 **设置** 下,选择 **允许列表**。
1. 在 **允许列表**页面,选择 **创建**。
1. 在 **选择列表类型** 下,选择 **预定义文本**。
1. 在 **列表设置** 下,使用以下选项,输入允许列表的其他设置:
+ 对于 **名称**,输入列表名称。名称可以包含多达 128 个字符。
+ 对于 **描述**,选择性地输入列表的简要描述。描述可包含多达 512 个字符。
+ 在 **S3 存储桶名称**中,输入存储列表的存储桶的名称。
在 Amazon S3 中,您可在存储桶属性的**名称**字段中找到此值。此值区分大小写。此外,输入名称时不要使用通配符或部分值。
+ 在 **S3 对象名称**中,输入存储列表的 S3 对象的名称。
在 Amazon S3 中,您可在对象属性的**密钥**字段中找到此值。如果名称包含路径,请确保在输入名称时包含完整路径,例如**allowlists/macie/mylist.txt**。此值区分大小写。此外,输入名称时不要使用通配符或部分值。
1. (可选)在 **标签**下,选择 **添加标记**,然后最多可输入 50 个可分配至允许列表的标签。
*标签*是您定义并分配给某些类型的 AWS 资源的标签。每个标签都包含一个必需的标签键和一个可选的标签值。标签可以帮助您以不同的方式识别、分类和管理资源,例如,按用途、所有者、环境或其他标准。要了解更多信息,请参阅 [为 Macie 资源添加标签](tagging-resources.md)。
1. 完成后,选择**创建**。
Macie 正在测试列表设置。Macie 还会验证它是否可从 Amazon S3 中检索列表和解析列表内容。如果出现了错误,Macie 则显示一条说明错误的消息。有关错误故障排除的详细信息,请参阅 [预定义文本列表的选项与要求](allow-lists-options.md#allow-lists-options-s3list)。解决任何错误后,您可以保存列表设置。
------
#### [ API ]
要以编程方式配置允许列表设置,请使用 Amazon Macie API 的[CreateAllowList](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists.html)操作并为所需参数指定相应的值。
对于 `criteria` 参数,使用 `s3WordsList` 对象指定 S3 存储桶 (`bucketName`) 的名称和存储列表的 S3 对象 (`objectKey`) 的名称。若要确定存储桶名称,请参阅 Amazon S3 中的 `Name` 字段。若要确定对象名称,请参阅 Amazon S3 中的 `Key` 字段。注意,这些值区分大小写。此外,指定这些名称时不要使用通配符或部分值。
要使用配置设置 AWS CLI,请运行[create-allow-list](https://docs.aws.amazon.com/cli/latest/reference/macie2/create-allow-list.html)命令并为所需参数指定相应的值。以下示例说明如何为存储在名为的 S3 存储桶中的允许列表配置设置*amzn-s3-demo-bucket*。存储列表的 S3 对象的名称是*allowlists/macie/mylist.txt*。
此示例针对 Linux、macOS 或 Unix 进行格式化,并使用反斜杠 (\$1) 行继续符来提高可读性。
```
$ aws macie2 create-allow-list \
--criteria '{"s3WordsList":{"bucketName":"amzn-s3-demo-bucket","objectKey":"allowlists/macie/mylist.txt"}}' \
--name my_allow_list \
--description "Lists public phone numbers and names for Example Corp."
```
此示例针对 Microsoft Windows 进行格式化,并使用脱字号 (^) 行继续符来提高可读性。
```
C:\> aws macie2 create-allow-list ^
--criteria={\"s3WordsList\":{\"bucketName\":\"amzn-s3-demo-bucket\",\"objectKey\":\"allowlists/macie/mylist.txt\"}} ^
--name my_allow_list ^
--description "Lists public phone numbers and names for Example Corp."
```
当您提交请求时,Macie 会测试列表设置。Macie 还会验证它是否可从 Amazon S3 中检索列表和解析列表内容。如果发生错误,您的请求将会失败,Macie 会返回一条描述错误的消息。有关错误故障排除的详细信息,请参阅 [预定义文本列表的选项与要求](allow-lists-options.md#allow-lists-options-s3list)。
如果 Macie 能够检索并解析列表,则您的请求成功,并且您将收到与以下类似的输入内容。
```
{
"arn": "arn:aws:macie2:us-west-2:123456789012:allow-list/nkr81bmtu2542yyexample",
"id": "nkr81bmtu2542yyexample"
}
```
`arn` 是所创建允许列表的 Amazon 资源名称(ARN),`id`是此列表的唯一标识符。
------
保存列表设置后,您可以[创建和配置敏感数据发现作业](discovery-jobs-create.md)以使用该列表,或[将列表添加至自动敏感数据发现设置中](discovery-asdd-account-configure.md)。当作业开始运行或自动发现分析周期开始时,Macie 会从 Amazon S3 中检索最新版本列表。然后,Macie 在分析数据时使用该版本列表。
## 正则表达式
当您创建指定正则表达式 (*regex*) 的允许列表时,可以直接在 Macie 中定义正则表达式和所有其他列表设置。对于 regex,Macie 支持 [Perl 兼容正则表达式 (PCRE)](https://www.pcre.org/) 库提供的 regex 模式语法子集。有关更多信息,请参阅 [语法支持和建议](allow-lists-options.md#allow-lists-options-regex-syntax)。
您可以使用 Amazon Macie 控制台或 Amazon Macie API 创建此类列表。
------
#### [ Console ]
按照以下步骤,使用 Amazon Macie 控制台创建允许列表。
**要使用控制台创建允许列表**
1. 打开亚马逊 Macie 主机,网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. 在导航窗格中的 **设置** 下,选择 **允许列表**。
1. 在**允许列表**页面,选择 **创建**。
1. 在 **选择列表类型** 下,选择 **正则表达式**。
1. 在 **列表设置** 下,使用以下选项,输入允许列表的其他设置:
+ 对于 **名称**,输入列表名称。名称可以包含多达 128 个字符。
+ 对于 **描述**,选择性地输入列表的简要描述。描述可包含多达 512 个字符。
+ 用于 **正则表达式**,输入定义要忽略的文本模式的正则表达式。正则表达式可以包含多达 512 个字符。
1. (可选)对于 **评测**,在 **样本数据**框中输入最多 1000 个字符,然后选择 **测试**以测试正则表达式。Macie 评测样本数据,并报告与正则表达式匹配的文本出现次数。您可根据需要多次重复此步骤,以完善和优化正则表达式。
**注意**
我们建议您通过多组样本数据测试和完善正则表达式。如果您创建的正则表达式过于笼统,Macie 可能会忽略您视为敏感的文本。如果正则表达式过于具体,Macie 可能会忽略您未视为敏感的文本。
1. (可选)在 **标签**下,选择 **添加标记**,然后最多可输入 50 个可分配至允许列表的标签。
*标签*是您定义并分配给某些类型的 AWS 资源的标签。每个标签都包含一个必需的标签键和一个可选的标签值。标签可以帮助您以不同的方式识别、分类和管理资源,例如,按用途、所有者、环境或其他标准。要了解更多信息,请参阅 [为 Macie 资源添加标签](tagging-resources.md)。
1. 完成后,选择**创建**。
Macie 正在测试列表设置。Macie 还会测试正则表达式,以验证它是否可以编译表达式。如果出现了错误,Macie 则显示一条说明错误的消息。有关错误故障排除的详细信息,请参阅 [正则表达式的选项和要求](allow-lists-options.md#allow-lists-options-regex)。解决任何错误后,您可以保存允许列表设置。
------
#### [ API ]
在 Macie 中创建此类允许列表前,我们建议您使用多组示例数据测试和完善 regex。如果您创建的正则表达式过于笼统,Macie 可能会忽略您视为敏感的文本。如果正则表达式过于具体,Macie 可能会忽略您未视为敏感的文本。
要使用 Macie 测试表达式,你可以使用 Amazon Macie API 的[TestCustomDataIdentifier](https://docs.aws.amazon.com/macie/latest/APIReference/custom-data-identifiers-test.html) AWS CLI操作,或者运行命令[test-custom-data-identifier](https://docs.aws.amazon.com/cli/latest/reference/macie2/test-custom-data-identifier.html)。Macie 使用相同的基础代码编译允许列表和自定义数据标识符的表达式。如果以这种方式测试表达式,请确保仅为 `regex` 和 `sampleText` 参数指定值。否则,您将无法收到准确结果。
当您准备好创建此类允许列表时,请使用 Amazon Macie API 的[CreateAllowList](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists.html)操作并为所需参数指定相应的值。对于 `criteria` 参数,使用`regex`字段,以指定送一待忽略文本模式的正则表达式。表达式可包含多达 512 个字符。
要使用创建此类列表 AWS CLI,请运行[create-allow-list](https://docs.aws.amazon.com/cli/latest/reference/macie2/create-allow-list.html)命令并为所需参数指定相应的值。以下示例创建名为的允许列表*my\$1allow\$1list*。正则表达式旨在忽略自定义数据标识符能够检测到的、`example.com` 域的所有电子邮件地址。
此示例针对 Linux、macOS 或 Unix 进行格式化,并使用反斜杠 (\$1) 行继续符来提高可读性。
```
$ aws macie2 create-allow-list \
--criteria '{"regex":"[a-z]@example.com"}' \
--name my_allow_list \
--description "Ignores all email addresses for Example Corp."
```
此示例针对 Microsoft Windows 进行格式化,并使用脱字号 (^) 行继续符来提高可读性。
```
C:\> aws macie2 create-allow-list ^
--criteria={\"regex\":\"[a-z]@example.com\"} ^
--name my_allow_list ^
--description "Ignores all email addresses for Example Corp."
```
当您提交请求时,Macie 会测试列表设置。Macie 还会测试正则表达式,以验证它是否可以编译表达式。如果发生错误,请求将会失败,Macie 会返回一条描述错误的消息。有关错误故障排除的详细信息,请参阅 [正则表达式的选项和要求](allow-lists-options.md#allow-lists-options-regex)。
如果 Macie 可编译表达式,则请求成功并且您将收到类似于以下内容的输出:
```
{
"arn": "arn:aws:macie2:us-west-2:123456789012:allow-list/km2d4y22hp6rv05example",
"id": "km2d4y22hp6rv05example"
}
```
`arn` 是所创建允许列表的 Amazon 资源名称(ARN),`id`是此列表的唯一标识符。
------
保存列表后,您可以[创建和配置敏感数据发现作业](discovery-jobs-create.md)以使用该列表,或[将列表添加至自动敏感数据发现设置中](discovery-asdd-account-configure.md)。当运行此作业或 Macie 执行自动发现时,Macie 会使用最新版本的列表正则表达式分析数据。
# 检查允许列表状态
如果您创建了允许列表,请务必定期检查其状态。否则,错误可能会导致 Amazon Macie 为您的 Amazon Simple Storage Service (Amazon S3) 数据生成异常分析结果。例如,Macie 可能会为您在允许列表中指定的文本创建敏感数据调查发现。
如果您将敏感数据发现作业配置为使用允许列表,但是 Macie 在作业开始运行时无法访问或使用该列表,则该作业将继续运行。但是,Macie 在分析 S3 对象时不使用此列表。同样,如果分析周期开始自动敏感数据发现,而 Macie 无法访问或使用指定的允许列表,则分析将继续进行,但 Macie 不使用此列表。
指定正则表达式 (*regex*) 的允许列表发生错误的概率较低。部分原因是当您创建或者更新列表设置时,Macie 会自动测试正则表达式。此外,您还可以将正则表达式和所有其他列表设置存储至 Macie。
但是,指定预定义文本的允许列表可能会出错,部分原因是您将列表存储在 Amazon S3 中,而非 Macie 中。错误的常见原因包括:
+ S3 存储桶或对象已被删除。
+ S3 存储桶或对象已被重命名,Macie 中的列表设置未指定新名称。
+ S3 存储桶的权限设置已更改,Macie 将失去对存储桶和对象的访问权限。
+ S3 存储桶的加密设置已更改,Macie 无法解密存储列表对象。
+ 加密密钥策略已更改,Macie 将无法访问此密钥。Macie 无法解密存储列表的 S3 对象。
**重要**
由于这些错误会影响您的分析结果,因此我们建议您定期检查所有允许列表状态。如果您更改了存储允许列表的 S3 存储桶的权限或加密设置,或者更改了用于加密列表的 AWS Key Management Service (AWS KMS) 密钥的策略,我们建议您也这样做。
有关帮助您进行错误故障排除的详细信息,请参见 [预定义文本列表的选项与要求](allow-lists-options.md#allow-lists-options-s3list)。
**要检查允许列表状态**
您可以使用 Amazon Macie 控制台或 Amazon Macie API 检查允许列表状态。在控制台中,您可以用单个页面同时检查所有允许列表的状态。如果您使用 Amazon Macie API,则可以逐一检查各个允许列表的状态。
------
#### [ Console ]
按照以下步骤,使用 Amazon Macie 控制台检查允许列表状态。
**若要检查您的允许列表状态**
1. 打开亚马逊 Macie 主机,网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. 在导航窗格中的 **设置** 下,选择 **允许列表**。
1. 在**允许列表**页面,选择刷新 (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/btn-refresh-data.png))。Macie 会测试所有允许列表设置,并更新 **状态** 字段以指示每个列表的当前状态。
如果列表指定了正则表达式,则其状态通常为 **确定**。这意味着 Macie 可以编译表达式。如果列表指定了预定义文本,则可能包含以下状态之一。
**确定**
Macie 可以检索和解析列表的内容。
**访问被拒绝**
不允许 Macie 访问存储列表的 S3 对象。Amazon S3 拒绝了检索对象的请求。如果列表使用不允许 Macie 使用的客户管理的对象进行加密 AWS KMS key ,则列表也可能处于此状态。
要解决此错误,检查桶策略以及桶和对象的其他权限设置。确保允许 Macie 访问和检索对象。如果使用客户管理的 AWS KMS 密钥对对象进行加密,还要查看密钥策略并确保允许 Macie 使用该密钥。
**错误**
Macie 尝试检索或解析列表内容时发生暂时性或内部错误。如果使用 Amazon S3 和 Macie 无法访问或使用的加密密钥对列表进行加密,则允许列表也可以具有此状态。
若要修正此错误,请等待几分钟,然后再次选择刷新 (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/btn-refresh-data.png))。如果状态继续为 **错误**,请检查 S3 对象的加密设置。确保使用 Amazon S3 和 Macie 可以访问和使用的密钥加密对象。
**对象为空**
Macie 可以检索 Amazon S3 列表,但列表不包含任何内容。
若要修正此错误,请从 Amazon S3 下载数据元并确保其中包含正确的条目。如果条目正确,请在 Macie 中查看列表设置。确保指定的存储桶和对象名称正确。
**未找到对象**
该列表在 Amazon S3 中不存在。
若要修正错误,请在 Macie 中查看列表设置。确保指定的存储桶和对象名称正确。
**超出配额**
Macie 可以在 Amazon S3 中访问列表。但是,列表中的条目数或列表的存储大小超过了允许列表配额。
要修正此错误,请将列表分成多个文件。确保每个文件包含的条目数量少于 100000 个。还要确保每个文件的大小都小于 35MB。将文件上传到 Amazon S3 然后,在 Macie 中为每个文件配置列表设置。每个支持的 AWS 区域最多有五个自定义文本列表。
**受限**
Amazon S3 限制了检索列表的请求。
若要修正此错误,请等待几分钟,然后再次选择刷新 (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/btn-refresh-data.png))。
**用户访问被拒绝**
Amazon S3 拒绝了检索对象的请求。如果指定的对象存在,则不允许您访问该对象,或者使用不允许使用的 AWS KMS 密钥对其进行加密。
要解决此错误,请与您的 AWS 管理员合作,确保列表的设置指定了正确的存储桶和对象名称,并且您拥有对存储桶和对象的读取权限。如果对象已加密,还要确保使用允许您使用的密钥对其进行加密。
1. 要检查特定列表的设置和状态,请选择列表的名称。
------
#### [ API ]
要以编程方式检查允许列表的状态,请使用 Amazon Macie API 的[GetAllowList](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists-id.html)操作。或者,如果您使用的是 AWS CLI,请运行该[get-allow-list](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-allow-list.html)命令。
对于 `id` 参数,指定待检查状态允许列表的唯一标识符。要获取此标识符,您可以使用[ListAllowLists](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists.html)操作。**ListAllowLists** 操作会检索有关您账户的所有允许列表的信息。如果您使用的是 AWS CLI,则可以运行[list-allow-lists](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-allow-lists.html)命令来检索此信息。
当您提交 **GetAllowList** 请求时,Macie 会测试允许列表的所有设置。如果设置指定了正则表达式 (`regex`),Macie 会验证它是否可以编译此表达式。如果设置指定了预定义文本列表 (`s3WordsList`),Macie 会验证它是否可以检索和解析此列表。
然后 Macie 返回提供允许列表详细信息的 `GetAllowListResponse` 对象。在 `GetAllowListResponse` 对象中,`status` 对象表示列表的当前状态:状态码 (`code`);以及列表状态的简要描述 (`description`),视状态代码而定。
如果允许列表指定了正则表达式,则状态码通常为`OK`,并且没有相关的描述。这意味着 Macie 成功编译了此表达式。
如果允许列表指定了预定义文本,则状态代码会视测试结果而异:
+ 如果 Macie 成功检索并解析了列表,则状态码为`OK`,并且没有相关的描述。
+ 如果错误阻止 Macie 检索或解析列表,则状态代码和描述将表明错误性质。
有关可能的状态代码列表和每个状态码的描述,请参阅[AllowListStatus](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists-id.html#allow-lists-id-model-allowliststatus)《*Amazon Macie API* 参考》。
------
# 更改允许列表
创建允许列表后,您可以在 Amazon Macie 中更改该大部分列表设置。例如,您可以更改列表的名称和描述。您还可以为列表添加和编辑标签。仅列表类型设置无法更改。例如,如果现有的列表指定了正则表达式(*regex*),则无法将其类型更改为预定义文本。
如果允许列表指定了预定义文本,您也可以更改列表中的条目。为此,请更新包含这些条目的文件。然后将该文件的新版本上传至 Amazon Simple Storage Service (Amazon S3)。下次 Macie 准备使用此列表时,Macie 会从 Amazon S3 中检索该文件的最新版本。当您上传新文件时,请确保将其存储在同一 S3 存储桶和对象中。或者,如果您更改了存储桶或对象的名称,请确保在 Macie 中更新列表设置。
**要更改允许列表的设置**
您可以使用 Amazon Macie 控制台或 Amazon Macie API 更改允许列表的设置。
------
#### [ Console ]
请按照以下步骤使用 Amazon Macie 控制台更改允许列表的设置。
**要使用控制台更改允许列表的状态**
1. 打开亚马逊 Macie 主机,网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. 在导航窗格中的 **设置** 下,选择 **允许列表**。
1. 在 **允许列表**页面,选择要更改的允许列表的名称。允许列表页面打开并显示此列表当前设置。
1. 要为允许列表添加或编辑标签,请在**标签**部分中选择**管理标签**。然后根据需要更改标签。完成后,选择**保存**。
1. 要更改允许列表的其他设置,请在 **列表设置**部分中选择 **编辑**。然后,更改您希望对其进行更改的设置。
+ **名称** - 输入列表的新名称。名称可以包含多达 128 个字符。
+ **描述** - 输入列表的新描述。描述可包含多达 512 个字符。
+ 如果允许列表指定了预定义文本:
+ **S3 存储桶名称**:输入存储列表的存储桶名称。
在 Amazon S3 中,您可在存储桶属性的**名称**字段中找到此值。此值区分大小写。此外,输入名称时不要使用通配符或部分值。
+ **S3 对象名称**:输入存储列表的 S3 对象的名称。
在 Amazon S3 中,您可在对象属性的**密钥**字段中找到此值。如果名称包含路径,请确保在输入名称时包含完整路径,例如**allowlists/macie/mylist.txt**。此值区分大小写。此外,输入名称时不要使用通配符或部分值。
+ 如果允许列表指定了正则表达式 (*regex*),请在**正则表达式**框内输入新的正则表达式。正则表达式可以包含多达 512 个字符。
输入新的正则表达式后,可选择对其进行测试。为此,请在**示例数据**框中输入最多包含 1000 个字符,然后选择**测试**。Macie 评测样本数据,并报告与正则表达式匹配的文本出现次数。保存更改前,您可根据需要多次重复此步骤,以完善和优化正则表达式。
1. 完成后,选择**保存**。
Macie 正在测试列表设置。对于预定义文本列表,Macie 还会验证它是否可从 Amazon S3 中检索列表和解析列表内容。对于正则表达式,Macie 还会验证它是否可以编译表达式。如果出现了错误,Macie 则显示一条说明错误的消息。有关错误故障排除的详细信息,请参阅 [允许列表的配置选项和要求](allow-lists-options.md)。修正错误后,您可保存更改。
------
#### [ API ]
要以编程方式更改允许列表的设置,请使用 Amazon Macie API 的[UpdateAllowList](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists-id.html)操作。或者,如果您使用的是 AWS CLI,请运行该[update-allow-list](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-allow-list.html)命令。根据您的请求,使用支持的参数,为所有待更改设置指定新值。注意,`criteria`、`id` 和 `name` 参数是必需的。如果您不想更改必填参数值,请指定昂钱参数值。
例如,以下命令可更改现有允许列表的名称和描述。该示例针对 Microsoft Windows 进行格式化,并使用脱字号 (^) 行继续符来提高可读性。
```
C:\> aws macie2 update-allow-list ^
--id km2d4y22hp6rv05example ^
--name my_allow_list-email ^
--criteria={\"regex\":\"[a-z]@example.com\"} ^
--description "Ignores all email addresses for the example.com domain"
```
其中:
+ *km2d4y22hp6rv05example*是列表的唯一标识符。
+ *my\$1allow\$1list-email*是列表的新名称。
+ *[a-z]@example.com*是列表的标准,一个正则表达式。
+ *Ignores all email addresses for the example.com domain*是该列表的新描述。
当您提交请求时,Macie 会测试列表设置。如果列表指定了预定义文本 (`s3WordsList`),Macie 还会验证它是否可从 Amazon S3 中检索列表和解析列表内容。如果列表指定了正则表达式 (`regex`),则包括验证 Macie 是否可编译表达式。
如果 Macie 测试设置时发生错误,请求将会失败,Macie 会返回一条描述错误的消息。有关错误故障排除的详细信息,请参阅 [允许列表的配置选项和要求](allow-lists-options.md)。如果请求由于其他原因失败,Macie 会返回一个 HTTP 4*xx* 或 500 响应,说明操作失败的原因。
如果请求成功,Macie 会更新列表设置,并且您将收到与以下类似的输入内容。
```
{
"arn": "arn:aws:macie2:us-west-2:123456789012:allow-list/km2d4y22hp6rv05example",
"id": "km2d4y22hp6rv05example"
}
```
`arn` 是所更新允许列表的 Amazon 资源名称(ARN),`id` 是此列表的唯一标识符。
------
# 删除允许列表
当您在 Amazon Macie 中删除允许列表时,即永久删除此列表的所有设置。这些设置在删除后将无法恢复。如果设置指定了您存储在 Amazon Simple Storage Service (Amazon S3) 中的预定义文本列表,则 Macie 不删除存储该列表的 S3 对象。仅删除 Macie 中的设置。
如果您将敏感数据发现作业配置为使用允许列表,而随后又将列表删除,则这些作业将按计划运行。但是,您的作业结果(包括敏感数据调查发现和敏感数据发现结果)可能会报告您之前在允许列表中指定的文本。同样,如果您将自动敏感数据发现配置为使用您随后删除的列表,则每日分析周期将继续进行。但是,敏感数据调查发现、统计数据和其他类型的结果可能会报告您之前在允许列表中指定的文本。
在删除允许列表之前,我们建议您[查看任务清单](discovery-jobs-manage-view.md),以确定使用该列表并计划在将来运行的作业。在清单中,详细信息面板会显示作业是否配置为使用任何允许列表。如果是,则显示指定的允许列表。我们建议您同时[检查自动敏感数据发现的设置](discovery-asdd-account-configure.md)。您可能认为,列表更改优于删除。
作为附加保护措施,当您尝试删除允许列表时,Macie 会检查所有作业设置。如果您将作业配置为使用此列表,并且其中任何一个作业的状态不是**完成**或**已取消**,则如果您不提供其他确认信息,Macie 不会删除该列表。
**要删除允许列表**
您可以使用 Amazon Macie 控制台或 Amazon Macie API 删除允许列表。
------
#### [ Console ]
按照以下步骤,使用 Amazon Macie 控制台删除允许列表。
**要删除控制台创建允许列表**
1. 打开亚马逊 Macie 主机,网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. 在导航窗格中的 **设置** 下,选择 **允许列表**。
1. 在 “**允许列表**” 页面上,选中要删除的允许列表对应的复选框。
1. 在**操作** 菜单上,选择**删除**。
1. 提示进行确认时,输入 **delete**,然后选择 **Delete(删除)**。
------
#### [ API ]
要以编程方式删除允许名单,请使用 Amazon Macie API 的[DeleteAllowList](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists-id.html)操作。对于 `id` 参数,指定待删除允许列表的唯一标识符。您可以使用[ListAllowLists](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists.html)操作获取此标识符。**ListAllowLists** 操作会检索有关您账户的所有允许列表的信息。如果您使用的是 AWS CLI,则可以运行[list-allow-lists](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-allow-lists.html)命令来检索此信息。
对于 `ignoreJobChecks` 参数,指定是否强制删除列表,即使敏感数据发现任务配置为使用该列表也不例外:
+ 如果您指定 `false`,Macie 会检查所有状态非 `COMPLETE` 或 `CANCELLED` 的作业设置。如果这些作业均未配置为使用此列表,则 Macie 将永久删除此列表。如果其中任何一项作业配置为使用此列表,Macie 会拒绝您的请求并返回 HTTP 400 (`ValidationException`) 错误。错误消息指出了最多 200 项作业的适用任务数。
+ 如果您指定 `true`,Macie 将永久删除此列表,而不检查任何作业设置。
要使用删除允许列表 AWS CLI,请运行[delete-allow-list](https://docs.aws.amazon.com/cli/latest/reference/macie2/delete-allow-list.html)命令。例如:
```
C:\> aws macie2 delete-allow-list --id nkr81bmtu2542yyexample --ignore-job-checks false
```
允许删除列表的*nkr81bmtu2542yyexample*唯一标识符在哪里。
如果请求成功,Macie 将返回空的 HTTP 200 响应。否则,Macie 会返回一个 HTTP 4*xx* 或 500 响应,说明操作失败的原因。
------
如果允许列表指定了预定义文本,则可以选择删除存储此列表的 S3 对象。但是,保留此对象有助于确保您拥有敏感数据的调查发现、数据隐私及保护审计或调查的发现结果的不可变历史记录。
# 执行自动敏感数据发现
要广泛了解敏感数据可能存放在您的 Amazon Simple Storage Service (Amazon S3) 数据资产中的位置,请将 Amazon Macie 配置为对您的账户或组织执行自动敏感数据发现。通过自动敏感数据发现,Macie 可以持续评测您的 S3 存储桶清单,并使用采样技术识别和选择存储桶中具有代表性的 S3 对象。然后,Macie 检索并分析所选对象,检查它们是否有敏感数据。
默认情况下,Macie 会从您的所有 S3 通用存储桶中选择并分析对象。如果您是组织的 Macie 管理员,则这包括您的成员账户拥有的存储桶中的对象。您可以通过排除特定的存储桶来调整分析范围。例如,您可以排除通常存储 AWS 日志数据的存储桶。如果您是 Macie 管理员,则另一种选择是为组织中的各个帐户启用或禁用自动敏感数据发现 case-by-case。
您可以定制分析,将重点放在特定类型的敏感数据上。默认情况下,Macie 使用我们为自动敏感数据发现推荐的一组托管数据标识符来分析 S3 对象。要进行定制化分析,您可以将 Macie 配置为使用特定的 Macie 提供的[托管数据标识符](managed-data-identifiers.md)、您定义的[自定义数据标识符](custom-data-identifiers.md)或两者的组合。您还可以通过配置 Macie 来使用您指定的[允许列表](allow-lists.md)来细化分析。
随着分析的每天进行,Macie 会生成其发现的敏感数据及其执行的分析的记录:*敏感数据调查发现*,用于报告 Macie 在单个 S3 对象中发现的敏感数据,以及*敏感数据发现结果*,用于记录有关单个 S3 对象分析的详细信息。Macie 还会更新统计数据、库存数据以及它提供的有关您的 Amazon S3 数据的其他信息。例如,控制台上的交互式热图可直观地呈现整个数据资产的数据敏感度:
![\[S3 存储桶地图。它显示了不同的彩色方块,每个 S3 存储桶对应一个方块,按账户分组。\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/scrn-s3-map-small.png)
这些功能旨在帮助您评测整个 Amazon S3 数据资产的数据敏感度,并深入调查和评测个人账户、存储桶和对象。它们还可以通过[运行敏感数据发现作业](discovery-jobs.md),帮助您确定在哪里进行更深入、更直接的分析。结合 Macie 提供的有关您的 Amazon S3 数据安全和隐私的信息,您还可以使用这些功能来识别可能需要立即进行补救的情况,例如,Macie 在其中发现敏感数据的可公开访问存储桶。
要配置和管理自动敏感数据发现,您必须是组织的 Macie 管理员或拥有独立的 Macie 账户。
**Topics**
+ [自动敏感数据发现的工作原理](discovery-asdd-how-it-works.md)
+ [配置自动敏感数据发现](discovery-asdd-account-manage.md)
+ [查看自动敏感数据发现结果](discovery-asdd-results-s3.md)
+ [评测自动敏感数据发现覆盖率](discovery-coverage.md)
+ [调整 S3 存储桶的敏感度分数](discovery-asdd-s3bucket-manage.md)
+ [S3 存储桶的敏感度评分](discovery-scoring-s3.md)
+ [自动敏感数据发现的默认设置](discovery-asdd-settings-defaults.md)
# 自动敏感数据发现的工作原理
当你为你的账户启用 Amazon Macie 时 AWS 账户,Macie 会为你的账户创建一个 AWS Identity and Access Management (IAM) [服务相关角色](service-linked-roles.md)。 AWS 区域此角色的权限策略允许 Macie 代表您呼叫其他人 AWS 服务 并监控 AWS 资源。通过使用此角色,Macie 会生成并维护您在该地区的亚马逊简单存储服务 (Amazon S3) Simple Storage Service 通用存储桶的清单。清单包括有关每个 S3 存储桶和存储桶中对象的信息。如果您是组织的 Macie 管理员,则这包括您的成员账户拥有的存储桶信息。有关更多信息,请参阅 [管理多个账户](macie-accounts.md)。
如果您启用了自动敏感数据发现,Macie 将每天评测您的清单数据,以识别符合自动发现条件的 S3 对象。作为评测的一部分,Macie 还会选择代表性对象的样本进行分析。然后,Macie 从对象中检索并分析每个选定对象的最新版本,检查其中是否有敏感数据。
随着分析的进行,Macie 会更新统计数据、清单数据及其提供的有关您 Amazon S3 数据的其他信息。Macie 还会记录其发现的敏感数据及其执行的分析。生成的数据可让您深入了解 Macie 在您的 Amazon S3 数据资产中发现敏感数据的位置,这些数据可以跨越您账户的所有 S3 通用存储桶。这些数据可以帮助您评测 Amazon S3 数据的安全性和隐私,确定在哪里进行更深入的调查,并确定需要采取补救措施的案例。
要简要演示自动敏感数据发现的工作原理,请观看以下视频:
要配置和管理自动敏感数据发现,您必须是组织的 Macie 管理员或拥有独立的 Macie 账户。如果您的账户属于组织,则只有组织的 Macie 管理员才能启用或禁用组织内账户的自动发现功能。此外,只有 Macie 管理员才能为账户配置和管理自动发现功能设置。这包括定义 Macie 执行分析的范围和性质的设置。如果您拥有组织中的成员账户,请联系您的 Macie 管理员,了解您的账户和组织的设置。
**Topics**
+ [关键组件](#discovery-asdd-how-it-works-components)
+ [注意事项](#discovery-asdd-how-it-works-considerations)
## 关键组件
Amazon Macie 使用多种功能和技术来执行自动敏感数据发现。这些功能与 Macie 提供的功能相结合,可帮助您[监控 Amazon S3 数据的安全和访问控制](monitoring-s3-how-it-works.md)。
**选择要分析的 S3 对象**
Macie 每天都会评测您的 Amazon S3 清单数据,以识别符合自动敏感数据发现分析条件的 S3 对象。如果您是组织的 Macie 管理员,则此评测默认包括您的成员账户拥有的 S3 存储桶。
作为评测的一部分,Macie 使用采样技术选择代表性 S3 对象进行分析。这些技术定义了具有相似元数据且可能具有相似内容的对象组。这些组基于存储桶名称、前缀、存储类别、文件扩展名和上次修改日期等维度。然后,Macie 从每个组中选择一组具有代表性的样本,从 Amazon S3 中检索每个选定对象的最新版本,并分析每个选定对象以确定该对象是否包含敏感数据。分析完成后,Macie 会丢弃其对象副本。
采样策略优先考虑分布式分析。通常,它对您的 Amazon S3 数据资产使用广度优先的方法。每天,根据您的 Amazon S3 数据资产中所有可分类对象的总存储大小,从尽可能多的通用存储桶中选择一组具有代表性的 S3 对象。例如,如果 Macie 已经分析并在一个存储桶中的对象中发现了敏感数据,但尚未分析另一个存储桶中的对象,则后一个存储桶的分析优先级更高。通过这种方法,您可以更快地深入了解 Amazon S3 数据的敏感度。根据您的数据资产的大小,分析结果可在 48 小时内开始显示。
采样策略还优先分析不同类型的 S3 对象和最近创建或更改的对象。不能保证任何单个对象样本都是结论性的。因此,分析各种各样的对象可以更好地了解 S3 存储桶可能包含的敏感数据类型和数量。此外,对新的或最近更改的对象进行优先级排序有助于分析适应存储桶清单的变化。例如,如果对象是在先前的分析之后创建或更改的,则这些对象在后续分析中的优先级更高。相反,如果之前分析过某个对象,并且自那次分析以来没有发生变化,那么 Macie 就不会再次分析该对象。此方法可帮助您为单个 S3 存储桶建立敏感度基准。然后,随着对您的账户进行持续的增量分析,您对各个存储桶的敏感度评测可以以可预测的速度变得越来越深入和详细。
**定义分析范围**
默认情况下,Macie 在评估您的清单数据并选择要分析的 S3 对象时会包含您账户的所有 S3 通用存储桶。如果您是组织的 Macie 管理员,则这包括您的成员账户拥有的存储桶。
您可以通过从自动敏感数据发现中排除特定的 S3 存储桶来调整分析范围。例如,您可能希望排除通常存储 AWS 日志数据的存储桶,例如 AWS CloudTrail 事件日志。要排除存储桶,您可以更改账户或存储桶的自动发现设置。如果您这样做,当下一个每日评测和分析周期开始时,Macie 就会开始排除存储桶。您可以从分析中排除多达 1000 个存储桶。如果您排除了某个 S3 存储桶,可以随后再次将其包括在内。要排除存储桶,您可以再次更改账户或存储桶的设置。然后当下一个每日评测和分析周期开始时,Macie 就会开始将此存储桶包括在内。
如果您是组织的 Macie 管理员,还可以启用或禁用组织中单个账户的自动敏感数据发现。如果您禁用账户的自动发现,则 Macie 会排除该账户拥有的所有 S3 存储桶。如果您随后重新启用账户的自动发现,Macie 将重新开始包含存储桶。
**确定要检测和报告哪些类型的敏感数据**
默认情况下,Macie 使用我们为自动敏感数据发现推荐的一组托管数据标识符来检查 S3 对象。有关这些托管数据标识符的列表,请参阅 [自动敏感数据发现的默认设置](discovery-asdd-settings-defaults.md)。
您可以定制分析,将重点放在特定类型的敏感数据上。为此,您可以通过以下任意一种方式更改自动发现设置:
+ **添加或删除托管数据标识**符-*托管数据标识符*是一组内置标准和技术,旨在检测特定类型的敏感数据,例如特定国家或地区的信用卡号、 AWS 秘密访问密钥或护照号码。有关更多信息,请参阅 [使用托管数据标识符](managed-data-identifiers.md)。
+ **添加或删除自定义数据标识符**:*自定义数据标识符*是您定义来检测敏感数据的一组标准。使用自定义数据标识符,您可以检测反映组织的特定场景、知识产权或专有数据的敏感数据。例如,您可以检测员工 IDs、客户账号或内部数据分类。有关更多信息,请参阅 [构建自定义数据标识符](custom-data-identifiers.md)。
+ **添加或删除允许列表**:在 Macie 中,允许列表指定了您希望 Macie 在 S3 对象中忽略的文本或文本模式。这些通常是针对您的特定场景或环境的敏感数据例外情况,例如,您的组织的公共代表姓名或电话号码,或者您的组织用于测试的示例数据。有关更多信息,请参阅 [使用允许列表定义敏感数据例外](allow-lists.md)。
如果您更改设置,Macie 会在下一个每日分析周期开始时应用您的更改。如果您是组织的 Macie 管理员,则 Macie 在分析组织中其他账户的 S3 对象时,会使用您的账户的设置。
您还可以配置存储桶级的设置,以确定存储桶敏感度评测中是否包含特定类型的敏感数据。要了解如何操作,请参阅[调整 S3 存储桶的敏感度分数](discovery-asdd-s3bucket-manage.md)。
**计算敏感度分数**
默认情况下,Macie 会自动计算您账户中每个 S3 通用存储桶的敏感度分数。如果您是组织的 Macie 管理员,则这包括您的成员账户拥有的存储桶。
在 Macie 中,*敏感度分数*是衡量两个主要维度交叉点的定量指标:Macie 在存储桶中发现的敏感数据量和 Macie 在存储桶中分析的数据量。存储桶的敏感度分数决定了 Macie 为存储桶分配哪个敏感度标签。*敏感度标签*是存储桶敏感度分数的定性表示,例如*敏感*、*不敏感*和*尚未分析*。有关 Macie 定义的灵敏度分数范围和标签的详细信息,请参阅 [S3 存储桶的敏感度评分](discovery-scoring-s3.md)。
S3 存储桶的敏感度分数和标签并不暗示或以其他方式表明该存储桶或存储桶的对象可能对您或您的组织具有的严重程度或重要性。相反,它们旨在提供参考点,帮助您识别和监控潜在的安全风险。
当您首次启用自动敏感数据发现时,Macie 会自动为每个 S3 存储桶分配 *50* 的敏感度分数和*尚未分析*标签。唯一的例外是空桶。*空存储桶*是指不存储任何对象或存储桶的所有对象都包含零 (0) 字节数据的存储桶。如果存储桶是这种情况,Macie 会为该存储桶分配 *1* 分,然后为该存储桶分配*不敏感*标签。
随着自动敏感数据发现技术的进步,Macie 会更新敏感度分数和标签,以反映其分析结果。例如:
+ 如果 Macie 在对象中找不到敏感数据,Macie 会降低存储桶的敏感度分数,并在必要时更新存储桶敏感度标签。
+ 如果 Macie 在对象中找到敏感数据,Macie 会增加存储桶的敏感度分数,并在必要时更新存储桶敏感度标签。
+ 如果 Macie 在随后更改的对象中发现敏感数据,Macie 会从存储桶的敏感度分数中删除该对象的敏感数据检测,并根据需要更新存储桶的敏感度标签。
+ 如果 Macie 在随后删除的对象中发现敏感数据,Macie 会从存储桶的敏感度分数中删除该对象的敏感数据检测,并根据需要更新存储桶的敏感度标签。
您可以通过在存储桶的分数中包含或排除特定类型的敏感数据来调整单个 S3 存储桶的敏感度分数设置。您还可以通过手动为存储桶分配最高分数 (*100*) 来覆盖该存储桶的计算得分。如果您分配了最高分数,则该存储桶的标签为*敏感*。有关更多信息,请参阅 [调整 S3 存储桶的敏感度分数](discovery-asdd-s3bucket-manage.md)。
**生成元数据、统计数据和其它类型的结果**
启用自动敏感数据发现功能后,Macie 会为您的账户生成并开始维护有关 S3 通用存储桶的其他清单数据、统计数据和其他信息。如果您是某个组织的 Macie 管理员,默认情况下这包括您的成员账户拥有的存储桶。
此额外信息会采集 Macie 迄今为止进行的自动敏感数据发现活动的结果。它还会补充 Macie 提供的、有关您的 Amazon S3 数据的其他信息,例如各个存储桶的公开访问和共享访问设置。其他信息包括:
+ 交互式直观显示了整个 Amazon S3 数据资产的数据敏感度。
+ 整合的数据敏感度统计数据,例如 Macie 在其中发现敏感数据的存储桶总数,以及其中可公开访问的存储桶数量。
+ 存储桶级别的详细信息,显示当前的分析状态。例如,Macie 在存储桶中分析的对象列表、Macie 在存储桶中发现的敏感数据类型以及 Macie 发现的每种敏感数据的出现次数。
这些信息还包括统计数据和可帮助您评测和监控 Amazon S3 数据的覆盖范围的详细信息。您可以查看整个数据资产以及单个 S3 存储桶的分析状态。您还可以找出阻碍 Macie 分析特定存储桶中对象的问题。如果您修复了这些问题,则可以在后续分析周期中扩大 Amazon S3 数据的覆盖范围。有关更多信息,请参阅 [评测自动敏感数据发现覆盖率](discovery-coverage.md)。
Macie 在执行自动敏感数据发现时会自动重新计算并更新这些信息。例如,如果 Macie 在随后更改或删除的 S3 对象中发现敏感数据,Macie 会更新相应存储桶的元数据:从分析对象列表中删除该对象;移除 Macie 在对象中发现的敏感数据出现次数;如果分数是自动计算的,则重新计算敏感度分数;并根据需要更新敏感度标签以反映新的分数。
除了元数据和统计数据外,Macie 会提供有关其发现的敏感数据及其执行的分析的详细报告:*敏感数据调查发现*,用于报告 Macie 在单个 S3 对象中发现的敏感数据,以及*敏感数据发现结果*(记录有关单个 S3 对象分析的详细信息)。
有关更多信息,请参阅 [查看自动敏感数据发现结果](discovery-asdd-results-s3.md)。
## 注意事项
在配置和使用 Amazon Macie 对您的 Amazon S3 数据执行自动敏感数据发现时,请记住以下几点:
+ 您的自动发现设置仅适用于当前设置 AWS 区域。因此,生成的分析和数据仅适用于当前区域中的 S3 通用存储桶和对象。要在其他区域执行自动发现并访问生成的数据,请在每个其他区域启用和配置自动发现。
+ 如果您是某个组织的 Macie 管理员:
+ 只有在当前区域为成员账户启用 Macie 后,您才能为该账户执行自动发现。此外,您必须为该地区的账户启用自动发现。成员无法启用或禁用自己账户的自动发现。
+ 如果您为成员账户启用自动发现,Macie 在分析成员账户数据时,会使用管理员账户的自动发现设置。适用的设置包括:从分析中排除的 S3 存储桶列表,以及分析 S3 对象时使用的托管数据标识符、自定义数据标识符和允许列表。成员无法查看或更改这些设置。
+ 成员无法访问自己拥有的单个 S3 存储桶的自动发现设置。例如,成员无法查看或调整其某个存储桶的敏感度分数设置。只有 Macie 管理员可以访问这些设置。
+ 成员有权访问敏感数据发现统计信息以及 Macie 直接为其 S3 存储桶提供的其他结果。例如,成员可以使用 Macie 查看其 S3 存储桶的敏感度分数和覆盖范围数据。敏感数据调查发现除外。只有 Macie 管理员可以直接访问自动发现生成的调查发现。
+ 如果 S3 存储桶的权限设置阻止 Macie 访问或检索有关存储桶或存储桶对象的信息,则 Macie 无法对该存储桶执行自动发现。Macie 只能提供有关存储桶的部分信息,例如拥有 AWS 账户 该存储桶的账户 ID、存储桶的名称,以及 Macie 最近在[每日刷新](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh)周期中检索存储桶和对象元数据的时间。在您的存储桶清单中,这些存储桶的敏感度分数为 *50*,其敏感度标签为*尚未分析*。要识别出现这种情况的 S3 存储桶,您可以参阅覆盖范围数据。有关更多信息,请参阅 [评测自动敏感数据发现覆盖率](discovery-coverage.md)。
+ 要符合选择和分析的条件,S3 对象必须存储在通用存储桶中,且必须*可分类*。*可分类*对象使用支持的 Amazon S3 存储类,并且具有支持的文件或存储格式的文件扩展名。有关更多信息,请参阅 [支持的存储类别和格式](discovery-supported-storage.md)。
+ 如果 S3 对象已加密,则仅当使用 Macie 可以访问并允许使用的密钥对其进行加密时,Macie 才能对其进行分析。有关更多信息,请参阅 [分析加密 S3 对象](discovery-supported-encryption-types.md)。要确定加密设置是否阻止了 Macie 分析存储桶中的一个或多个对象,您可以参阅覆盖范围数据。有关更多信息,请参阅 [评测自动敏感数据发现覆盖率](discovery-coverage.md)。
# 配置自动敏感数据发现
要广泛了解敏感数据在 Amazon Simple Storage Service (Amazon S3) 数据库中的位置,请为您的账户或组织启用并配置自动敏感数据发现。然后,Amazon Macie 可以每天评测您的 S3 存储桶清单,并使用采样技术从您的存储桶中识别和选择具有代表性的 S3 对象。Macie 检索并分析所选对象,检查它们是否有敏感数据。如果您是组织的 Macie 管理员,默认情况下这包括您的成员账户拥有的 S3 存储桶中的对象。
在每天的分析过程中,Macie 都会记录其发现的敏感数据及其执行的分析。Macie 还会更新统计数据、库存数据以及它提供的有关您的 Amazon S3 数据的其他信息。生成的数据可让您深入了解 Macie 在您的 Amazon S3 数据资产中发现敏感数据的位置,这些数据可以跨越您的账户或组织的所有 S3 存储桶。有关更多信息,请参阅 [自动敏感数据发现的工作原理](discovery-asdd-how-it-works.md)。
如果您拥有独立的 Macie 账户,或者您是组织的 Macie 管理员,则可以配置和管理账户或组织的自动敏感数据发现。这包括启用和禁用自动发现,以及配置用于定义 Macie 所执行分析的范围和性质的设置。如果您拥有组织中的成员账户,请联系您的 Macie 管理员,了解您的账户和组织的设置。
**Topics**
+ [配置自动敏感数据发现的先决条件](discovery-asdd-account-configure-prereqs.md)
+ [启用自动敏感数据发现](discovery-asdd-account-enable.md)
+ [配置自动敏感数据发现的设置](discovery-asdd-account-configure.md)
+ [正在禁用自动敏感数据发现](discovery-asdd-account-disable.md)
# 配置自动敏感数据发现的先决条件
在启用或配置自动敏感数据发现的设置之前,请完成以下任务。这有助于确保您拥有所需的资源和权限。
要完成这些任务,您必须是组织的 Amazon Macie 管理员或拥有独立的 Macie 账户。如果您的账户属于组织,则只有组织的 Macie 管理员才能启用或禁用组织内账户的自动敏感数据发现。此外,只有 Macie 管理员才能为账户配置自动发现功能设置。
**Topics**
+ [第 1 步:配置用于存储敏感数据发现结果的存储库](#discovery-asdd-account-configure-prereqs-sddr)
+ [步骤 2:验证权限](#discovery-asdd-account-configure-prereqs-perms)
+ [后续步骤](#discovery-asdd-account-configure-prereqs-next)
## 第 1 步:配置用于存储敏感数据发现结果的存储库
当 Amazon Macie 执行自动敏感数据发现时,它会为其选择进行分析的每个 Amazon Simple Storage Service (Amazon S3) 对象创建分析记录。这些记录称为*敏感数据发现结果*,记录有关单个 S3 对象分析的详细信息。这包括 Macie 没有发现敏感数据的对象,以及 Macie 因错误或权限设置等问题而无法分析的对象。如果 Macie 在对象中发现敏感数据,敏感数据发现结果就会包含 Macie 发现的敏感数据的相关信息。敏感数据发现结果为您提供分析记录,这些记录可能有助于数据隐私和保护审计或调查。
Macie 仅将您的敏感数据发现结果存储 90 天。要访问结果并对其进行长期存储和保留,请将 Macie 配置为将结果存储在 S3 存储桶中。存储桶可以用作所有敏感数据发现结果的最终长期存储库。如果您是组织的 Macie 管理员,则此存储库中包括您为其启用自动敏感数据发现的成员账户的敏感数据发现结果。
要验证您是否配置了此存储库,请在 Amazon Macie 控制台的导航窗格中选择**发现结果**。如果您更喜欢以编程方式执行此操作,请使用 Amazon Macie API 的[GetClassificationExportConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/classification-export-configuration.html)操作。要详细了解敏感数据发现结果以及如何配置此存储库,请参阅 [存储和保留敏感数据发现结果](discovery-results-repository-s3.md)。
如果您配置了存储库,则当您首次启用自动敏感数据发现时,Macie 会在存储库中创建一个名为 `automated-sensitive-data-discovery` 的文件夹。此文件夹存储 Macie 在为您的账户或组织执行自动发现时创建的敏感数据发现结果。
如果您在多个区域中使用 Macie AWS 区域,请验证您是否为每个区域配置了存储库。
## 步骤 2:验证权限
要验证您的权限,请使用 AWS Identity and Access Management (IAM) 查看附加到您的 IAM 身份的 IAM 策略。然后将这些策略中的信息与以下必须允许您执行的操作列表进行比较:
+ `macie2:GetMacieSession`
+ `macie2:UpdateAutomatedDiscoveryConfiguration`
+ `macie2:ListClassificationScopes`
+ `macie2:UpdateClassificationScope`
+ `macie2:ListSensitivityInspectionTemplates`
+ `macie2:UpdateSensitivityInspectionTemplate`
第一个操作允许您访问您的 Amazon Macie 账户。第二个操作允许您启用或禁用账户或组织的自动敏感数据发现。对于组织而言,它还允许您自动为组织中的账户启用自动发现功能。其余操作允许您识别和更改配置设置。
如果您计划使用 Amazon Macie 控制台查看或更改配置设置,还必须允许您执行以下操作:
+ `macie2:GetAutomatedDiscoveryConfiguration`
+ `macie2:GetClassificationScope`
+ `macie2:GetSensitivityInspectionTemplate`
通过这些操作,您可以检索当前的配置设置以及账户或组织的自动敏感数据发现的状态。如果您计划以编程方式更改配置设置,则执行这些操作的权限是可选的。
如果您是组织的 Macie 管理员,则还必须允许您执行以下操作:
+ `macie2:ListAutomatedDiscoveryAccounts`
+ `macie2:BatchUpdateAutomatedDiscoveryAccounts`
第一个操作允许您检索组织中单个账户的自动敏感数据发现的状态。第二个操作允许您启用或禁用组织中单个账户的自动发现功能。
如果不允许你执行必要的操作,请向 AWS 管理员寻求帮助。
## 后续步骤
完成上述任务后,就可以为账户或组织启用和配置设置:
+ [启用自动敏感数据发现](discovery-asdd-account-enable.md)
+ [配置自动敏感数据发现的设置](discovery-asdd-account-configure.md)
# 启用自动敏感数据发现
当您启用自动敏感数据发现后,Amazon Macie 会开始评测您的 Amazon Simple Storage Service (Amazon S3) 清单,并在当前的 AWS 区域中为您的账户执行其他自动化发现活动。如果您是组织的 Macie 管理员,默认情况下,评估和活动包括成员账户拥有的 S3 存储桶。根据您的 Amazon S3 数据资产的大小,统计数据和其他结果可能会在 48 小时内开始显示。
启用自动敏感数据发现后,您可以配置设置,以完善 Macie 执行分析的范围和性质。这些设置指定了要从分析中排除的任何 S3 存储桶。它们还指定托管数据标识符、自定义数据标识符,以及 Macie 在分析 S3 对象时希望使用的允许列表。有关这些设置的信息,请参阅 [配置自动敏感数据发现的设置](discovery-asdd-account-configure.md)。如果您是组织的 Macie 管理员,则还可以通过为组织中的个人账户启用或禁用自动敏感数据发现来缩小分析范围 case-by-case。
要启用自动敏感数据发现,您必须是组织的 Macie 管理员或拥有独立的 Macie 账户。如果您在组织中拥有成员帐户,请与您的 Macie 管理员合作,为您的帐户启用自动敏感数据发现功能。
**启用自动敏感数据发现**
如果您是组织的 Macie 管理员或拥有独立的 Macie 账户,则可以使用亚马逊 Macie 控制台或亚马逊 Macie API 启用自动发现敏感数据。如果您是第一次启用它,请先[完成先决任务](discovery-asdd-account-configure-prereqs.md)。这有助于确保您拥有所需的资源和权限。
------
#### [ Console ]
按照以下步骤使用 Amazon Macie 控制台启用自动发现敏感数据。
**启用自动敏感数据发现**
1. 打开亚马逊 Macie 主机,网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. 使用页面右上角的 AWS 区域 选择器,选择要在其中启用自动敏感数据发现的区域。
1. 在导航窗格的**设置**下,选择**自动敏感数据发现**。
1. 如果您有独立的 Macie 账户,请在**状态**部分选择**启用**。
1. 如果您是组织的 Macie 管理员,请在**状态**部分中选择一个选项,指定要启用自动敏感数据发现的账户:
+ 要为组织中的所有账户启用该功能,请选择**启用**。在随后显示的对话框中,选择**我的组织**。对于中的组织 AWS Organizations,请选择 “**为新帐户自动启**用”,以同时为随后加入您的组织的帐户自动启用该功能。完成后,选择**启用**。
+ 要只对特定的成员账户启用,请选择**管理账户**。然后,在 “**帐户**” 页面的表格中,选中要为其启用的每个帐户对应的复选框。完成后,在**操作**菜单上选择**启用自动敏感数据发现**。
+ 要只为 Macie 管理员账户启用该功能,请选择**启用**。在出现的对话框中,选择**我的账户**,然后清除**为新账户自动启用**。完成后,选择**启用**。
如果您在多个区域使用 Macie,并希望在其他区域启用自动敏感数据发现,请在每个其他区域重复上述步骤。
要随后检查或更改组织中各个帐户的自动敏感数据发现状态,请在导航窗格中选择**帐户**。在**账户**页面上,表中的**自动敏感数据发现**字段显示账户自动发现功能的当前状态。要更改账户的状态,请选中该账户的复选框。然后使用 “**操作**” 菜单启用或禁用账户的自动发现。
------
#### [ API ]
要以编程方式启用自动发现敏感数据,您有以下几种选择:
+ 要为 Macie 管理员帐户、组织或独立 Macie 账户启用该功能,请使用该[UpdateAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html)操作。或者,如果您使用的是 AWS Command Line Interface (AWS CLI),请运行 [update-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-automated-discovery-configuration.html) 命令。
+ 要仅为组织中的特定成员账户启用该功能,请使用[BatchUpdateAutomatedDiscoveryAccounts](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-accounts.html)操作。或者,如果您使用的是 AWS CLI,请运行 [batch-update-automated-discovery-accounts 命令](https://docs.aws.amazon.com/cli/latest/reference/macie2/batch-update-automated-discovery-accounts.html)。要为成员账户启用自动发现,必须先为管理员账户或组织启用自动发现。
其他选项和详细信息因您拥有的账户类型而异。
如果您是 Macie 管理员,请使用**UpdateAutomatedDiscoveryConfiguration**操作或运行**update-automated-discovery-configuration**命令为您的账户或组织启用自动敏感数据发现功能。在您的请求中,为 `status` 参数指定 `ENABLED`。对于`autoEnableOrganizationMembers`参数,请指定要为其启用该参数的帐户。如果您使用的是 AWS CLI,请使用`auto-enable-organization-members`参数指定帐户。有效值为:
+ `ALL`(默认)— 为组织中的所有账户启用该功能。这包括您的管理员帐户、现有成员帐户以及随后加入您的组织的帐户。
+ `NEW`— 为您的管理员帐户启用它。此外,还可为随后加入贵组织的账户自动启用该功能。如果您之前为组织启用了自动发现并指定了此值,则将继续为当前启用的现有成员帐户启用自动发现。
+ `NONE`— 仅为您的管理员帐户启用该功能。不要为随后加入贵组织的账户自动启用该功能。如果您之前为组织启用了自动发现并指定了此值,则将继续为当前启用的现有成员帐户启用自动发现。
如果要有选择地仅为特定成员帐户启用自动敏感数据发现,请指定`NEW`或`NONE`。然后,您可以使用该**BatchUpdateAutomatedDiscoveryAccounts**操作或运行**batch-update-automated-discovery-accounts**命令来启用账户的自动发现。
如果您有独立的 Macie 帐户,请使用该**UpdateAutomatedDiscoveryConfiguration**操作或运行**update-automated-discovery-configuration**命令为您的帐户启用自动敏感数据发现。在您的请求中,为 `status` 参数指定 `ENABLED`。对于`autoEnableOrganizationMembers`参数,请考虑您是否计划成为其他账户的 Macie 管理员,并指定相应的值。如果您指定`NONE`,则当您成为该帐户的 Macie 管理员时,不会自动为该帐户启用自动发现。如果您指定`ALL`或`NEW`,则会自动为该账户启用自动发现。如果您使用的是 AWS CLI,请使用`auto-enable-organization-members`参数为此设置指定相应的值。
以下示例说明如何使用为组织中的一个或多个账户启用自动敏感数据发现功能。 AWS CLI 第一个示例首次支持自动发现组织中的所有帐户。它允许自动发现 Macie 管理员帐户、所有现有成员帐户以及随后加入组织的所有帐户。
```
$ aws macie2 update-automated-discovery-configuration --status ENABLED --auto-enable-organization-members ALL --region us-east-1
```
哪个区域*us-east-1*是允许账户自动发现敏感数据的区域,即美国东部(弗吉尼亚北部)区域。如果请求成功,Macie 会启用账户的自动发现功能并返回空响应。
下一个示例将组织的成员启用设置更改为。`NONE`此次变更后,系统不会自动为随后加入该组织的账户启用自动敏感数据发现功能。取而代之的是,它仅适用于 Macie 管理员帐户以及当前为其启用的任何现有成员帐户。
```
$ aws macie2 update-automated-discovery-configuration --status ENABLED --auto-enable-organization-members NONE --region us-east-1
```
要更改设置的区域在哪里*us-east-1*,即美国东部(弗吉尼亚北部)区域。如果请求成功,Macie 会更新设置并返回空响应。
以下示例允许自动发现组织中的两个成员帐户的敏感数据。Macie 管理员已经为该组织启用了自动发现。此示例针对 Linux、macOS 或 Unix 进行格式化,并使用反斜杠 (\$1) 行继续符来提高可读性。
```
$ aws macie2 batch-update-automated-discovery-accounts \
--region us-east-1 \
--accounts '[{"accountId":"123456789012","status":"ENABLED"},{"accountId":"111122223333","status":"ENABLED"}]'
```
此示例针对 Microsoft Windows 进行格式化,并使用脱字号 (^) 行继续符来提高可读性。
```
C:\> aws macie2 batch-update-automated-discovery-accounts ^
--region us-east-1 ^
--accounts=[{\"accountId\":\"123456789012\",\"status\":\"ENABLED\"},{\"accountId\":\"111122223333\",\"status\":\"ENABLED\"}]
```
其中:
+ *us-east-1*是为指定账户启用自动敏感数据发现功能的区域,即美国东部(弗吉尼亚北部)区域。
+ *123456789012*并且*111122223333*是 IDs 用于启用自动敏感数据发现功能的帐户的帐户。
如果所有指定账户的请求均成功,Macie 将返回一个空`errors`数组。如果某些账户的请求失败,则数组会指定每个受影响账户发生的错误。例如:
```
"errors": [
{
"accountId": "123456789012",
"errorCode": "ACCOUNT_PAUSED"
}
]
```
在之前的响应中,对指定账户 (`123456789012`) 的请求失败,因为 Macie 当前已暂停该账户。要解决此错误,Macie 管理员必须先为该账户启用 Macie。
如果所有账户的请求都失败,您将收到一条描述所发生错误的消息。
------
# 配置自动敏感数据发现的设置
如果为您的账户或组织启用自动敏感数据发现,您可以调整自动发现设置,以完善 Amazon Macie 执行的分析。这些设置指定要从分析中排除的亚马逊简单存储服务 (Amazon S3) Service 存储桶。它们还指定了要检测和报告的敏感数据的类型和产生——托管数据标识符、自定义数据标识符,以及分析 S3 对象时要使用的允许列表。
默认情况下,Macie 会对您账户的所有 S3 通用存储桶执行自动敏感数据发现。如果您是组织的 Macie 管理员,则这包括您的成员账户拥有的存储桶。您可以将特定的存储桶排除在分析之外。例如,您可以排除通常存储 AWS 日志数据的存储桶,例如 AWS CloudTrail 事件日志。如果您排除了某个存储桶,可以随后再次将其包括在内。
此外,Macie 仅使用我们推荐用于自动敏感数据发现的一组托管数据标识符来分析 S3 对象。Macie 不使用您定义的自定义数据标识符或允许列表。要自定义分析,您可以添加或删除特定的托管数据标识符、自定义数据标识符和允许列表。
如果您更改了设置,Macie 会在下一个评估和分析周期开始时应用您的更改,通常在 24 小时内。此外,您的更改仅适用于当前 AWS 区域。要在其他区域进行相同的更改,请在每个其他区域中重复适用的步骤。
**Topics**
+ [组织的配置选项](#discovery-asdd-configure-options-orgs)
+ [排除或包含 S3 存储桶](#discovery-asdd-account-configure-s3buckets)
+ [正在添加或删除托管数据标识符](#discovery-asdd-account-configure-mdis)
+ [正在添加或删除自定义数据标识符](#discovery-asdd-account-configure-cdis)
+ [正在添加或删除允许列表](#discovery-asdd-account-configure-als)
**注意**
要配置自动敏感数据发现的设置,您必须是组织的 Macie 管理员或拥有独立的 Macie 账户。如果您的帐户是组织的一部分,则只有您组织的 Macie 管理员才能配置和管理组织中帐户的设置。如果您拥有成员账户,请联系您的 Macie 管理员,了解您的账户和组织的设置。
## 组织的配置选项
如果账户属于集中管理多个 Amazon Macie 账户的组织,则该组织的 Macie 管理员会配置和管理组织内账户的自动敏感数据发现。这包括定义 Macie 对账户执行分析的范围和性质的设置。成员无法访问自己账户的这些设置。
如果您是组织的 Macie 管理员,则可以通过多种方式定义分析范围:
+ **自动为账户启用自动敏感数据发现**-启用自动发现敏感数据时,您可以指定是为所有现有账户和新成员帐户启用自动发现功能,还是仅为新成员帐户启用自动发现功能,还是不为成员帐户启用自动发现敏感数据。如果您为新成员账户启用该功能,则当该账户在 Macie 中加入您的组织时,系统会自动为该账户启用该功能。如果账户启用了该功能,则 Macie 就会包含该账户拥有的 S3 存储桶。如果账户禁用了该功能,Macie 将排除该账户拥有的存储桶。
+ **有选择地为帐户启用自动敏感数据发现**-使用此选项,您可以 case-by-case逐个启用或禁用个人帐户的自动敏感数据发现。如果您为账户启用该功能,则 Macie 会包含该账户拥有的 S3 存储桶。如果您没有为账户启用该功能或禁用了该功能,Macie 会排除该账户拥有的存储桶。
+ **将特定的 S3 存储桶排除在自动敏感数据发现**之外 — 如果您为账户启用自动敏感数据发现,则可以排除该账户拥有的特定 S3 存储桶。然后,Macie 在执行自动发现时会跳过存储桶。要排除特定的存储桶,请将其添加到管理员账户配置设置的排除列表中。您可以为您的组织排除多达 1000 个存储桶。
默认情况下,会自动为组织中的所有新账户和现有账户启用自动敏感数据发现。此外,Macie 还包括账户拥有的所有 S3 存储桶。如果您保留默认设置,则意味着 Macie 会自动发现您的管理员账户的所有存储分区,其中包括您的成员账户拥有的所有存储分区。
作为 Macie 管理员,您还可以定义 Macie 为您的组织执行的分析的性质。为此,您需要为管理员账户配置其他设置——您希望 Macie 在分析 S3 对象时使用的托管数据标识符、自定义数据标识符以及允许列表。Macie 在分析组织中其他账户的 S3 对象时,会使用您的管理员账户的设置。
## 在自动敏感数据发现中排除或包含 S3 存储桶
默认情况下,Amazon Macie 会对您账户的所有 S3 通用存储桶执行自动敏感数据发现。如果您是组织的 Macie 管理员,则这包括您的成员账户拥有的存储桶。
要缩小范围,您可以从分析中排除多达 1000 个 S3 存储桶。如果您排除了存储桶,则 Macie 会在执行自动敏感数据发现时停止选择和分析该存储桶中的对象。该存储桶的现有敏感数据发现统计数据和详细信息将保留。例如,存储桶的当前敏感度分数保持不变。排除了某个存储桶后,您可以随后再次将其包括在内。
**在自动敏感数据发现中排除或包含 S3 存储桶**
您可以使用 Amazon Macie 控制台或 Amazon Macie API 排除或随后包含 S3 存储桶。
------
#### [ Console ]
按照以下步骤使用 Amazon Macie 控制台排除或随后包含一个 S3 存储桶。
**要排除或包含 S3 存储桶**
1. 打开亚马逊 Macie 主机,网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. 使用页面右上角的 AWS 区域 选择器,选择要在分析中排除或包含特定 S3 存储桶的区域。
1. 在导航窗格的**设置**下,选择**自动敏感数据发现**。
将出现**自动化敏感数据发现**页面,并显示您的当前设置。在该页面上,**S3 存储桶**部分列出了当前被排除的 S3 存储桶,或者显示当前包含的所有存储桶。
1. 在** S3 存储桶**部分中,选择 **编辑**。
1. 请执行以下操作之一:
+ 要排除一个或多个 S3 存储桶,请选择 **将存储桶添加到排除列表**。然后,在 S3 **存储桶**表中,选中要排除的每个存储桶对应的复选框。下表列出了您的账户或组织在当前区域中的所有通用存储桶。
+ 要包含您之前排除的一个或多个 S3 存储桶,请选择 **从排除列表中删除存储桶**。然后,在 S3 **存储桶**表中,选中要包含的每个存储桶对应的复选框。该表列出了当前被排除在分析之外的所有存储桶。
要更轻松地查找特定存储桶,请在表格上方的搜索框中输入搜索条件。您还可以通过选择列标题对表格进行排序。
1. 选择完存储桶后,根据您在上一步中选择的选项,选择**添加**或**移除**。
**提示**
在控制台上查看存储桶详细信息时,您也可以 case-by-case根据需要排除或包含单个 S3 存储桶。为此,请在 **S3 存储桶**页面上选择存储桶。然后,在详细信息面板中,更改存储桶的**从自动发现中排除**设置。
------
#### [ API ]
要以编程方式排除或随后包含 S3 存储桶,请使用 Amazon Macie API 更新账户的分类范围。分类范围指定了您不希望 Macie 在执行自动敏感数据发现时对其进行分析的存储桶。它定义了用于自动发现的存储桶排除列表。
更新分类范围时,您可以指定是在排除列表中添加或删除单个存储桶,还是使用新列表覆盖当前列表。因此,最好先检索并查看您当前的列表。要检索列表,请使用[GetClassificationScope](https://docs.aws.amazon.com/macie/latest/APIReference/classification-scopes-id.html)操作。如果您使用的是 AWS Command Line Interface (AWS CLI),请运行[get-classification-scope](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-classification-scope.html)命令来检索列表。
要检索或更新分类范围,必须指定其唯一标识符 (`id`)。您可以使用[GetAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html)操作获取此标识符。此操作会检索您当前的配置设置,以便自动发现敏感数据,包括当前 AWS 区域账户分类范围的唯一标识符。如果您使用的是 AWS CLI,请运行[get-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-automated-discovery-configuration.html)命令来检索此信息。
当您准备好更新分类范围时,请使用[UpdateClassificationScope](https://docs.aws.amazon.com/macie/latest/APIReference/classification-scopes-id.html)操作,或者,如果您正在使用 AWS CLI,则运行[update-classification-scope](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-classification-scope.html)命令。在您的请求中,使用支持的参数在后续分析中排除或包含 S3 存储桶:
+ 要排除一个或多个存储桶,请为`bucketNames`参数指定每个存储桶的名称。对于 `operation` 参数,请指定 `ADD`。
+ 要包含您之前排除的一个或多个存储桶,请为`bucketNames`参数指定每个存储桶的名称。对于 `operation` 参数,请指定 `REMOVE`。
+ 要使用要排除的新存储桶列表覆盖当前列表,请`REPLACE`为参数指定。`operation`在`bucketNames`参数中,指定要排除的每个存储桶的名称。
`bucketNames`参数的每个值都必须是当前区域中现有通用存储桶的全名。值区分大小写。如果您的请求成功,Macie 会更新分类范围并返回空响应。
以下示例说明如何使用更新账户的分类范围。 AWS CLI 第一组示例将两个 S3 存储桶(*amzn-s3-demo-bucket1*和*amzn-s3-demo-bucket2*)排除在后续分析之外。它会将存储桶添加到要排除的存储桶列表中。
此示例针对 Linux、macOS 或 Unix 进行格式化,并使用反斜杠 (\$1) 行继续符来提高可读性。
```
$ aws macie2 update-classification-scope \
--id 117aff7ed76b59a59c3224ebdexample \
--s3 '{"excludes":{"bucketNames":["amzn-s3-demo-bucket1","amzn-s3-demo-bucket2"],"operation": "ADD"}}'
```
此示例针对 Microsoft Windows 进行格式化,并使用脱字号 (^) 行继续符来提高可读性。
```
C:\> aws macie2 update-classification-scope ^
--id 117aff7ed76b59a59c3224ebdexample ^
--s3={\"excludes\":{\"bucketNames\":[\"amzn-s3-demo-bucket1\",\"amzn-s3-demo-bucket2\"],\"operation\":\"ADD\"}}
```
下一组示例将在后续分析中包括存储桶(*amzn-s3-demo-bucket1*和*amzn-s3-demo-bucket2*)。它会将存储桶从要排除的存储桶列表中移除。对于 Linux、macOS 或 Unix:
```
$ aws macie2 update-classification-scope \
--id 117aff7ed76b59a59c3224ebdexample \
--s3 '{"excludes":{"bucketNames":["amzn-s3-demo-bucket1","amzn-s3-demo-bucket2"],"operation": "REMOVE"}}'
```
对于 Microsoft Windows:
```
C:\> aws macie2 update-classification-scope ^
--id 117aff7ed76b59a59c3224ebdexample ^
--s3={\"excludes\":{\"bucketNames\":[\"amzn-s3-demo-bucket1\",\"amzn-s3-demo-bucket2\"],\"operation\":\"REMOVE\"}}
```
以下示例将覆盖当前列表,并将其替换为要排除的 S3 存储桶的新列表。新列表指定了三个要排除的存储桶:*amzn-s3-demo-bucket**amzn-s3-demo-bucket2*、和。*amzn-s3-demo-bucket3*对于 Linux、macOS 或 Unix:
```
$ aws macie2 update-classification-scope \
--id 117aff7ed76b59a59c3224ebdexample \
--s3 '{"excludes":{"bucketNames":["amzn-s3-demo-bucket","amzn-s3-demo-bucket2","amzn-s3-demo-bucket3"],"operation": "REPLACE"}}'
```
对于 Microsoft Windows:
```
C:\> aws macie2 update-classification-scope ^
--id 117aff7ed76b59a59c3224ebdexample ^
--s3={\"excludes\":{\"bucketNames\":[\"amzn-s3-demo-bucket\",\"amzn-s3-demo-bucket2\",\"amzn-s3-demo-bucket3\"],\"operation\":\"REPLACE\"}}
```
------
## 在自动敏感数据发现中添加或删除托管数据标识符
*托管数据标识符*是一组内置标准和技术,旨在检测特定类型的敏感数据,例如信用卡号、 AWS 秘密访问密钥或特定国家或地区的护照号码。默认情况下,Amazon Macie 使用我们推荐用于自动敏感数据发现的一组托管数据标识符来分析 S3 对象。要查看这些标识符的列表,请参阅 [自动敏感数据发现的默认设置](discovery-asdd-settings-defaults.md)。
您可以定制分析,将重点放在特定类型的敏感数据上:
+ 为您希望 Macie 检测和报告的敏感数据类型添加托管数据标识符,以及
+ 为您不希望 Macie 检测和报告的敏感数据类型删除托管数据标识符。
有关 Macie 当前提供的所有托管数据标识符的完整列表以及每个标识符的详细信息,请参阅[使用托管数据标识符](managed-data-identifiers.md)。
如果您删除某个托管数据标识符,则您的更改不会影响 S3 存储桶的现有敏感数据发现统计数据和详细信息。例如,如果您删除了用于检测 AWS 秘密访问密钥的托管数据标识符,而 Macie 之前在存储桶中检测到了该数据,Macie 将继续报告这些检测结果。但是,与其删除标识符,影响随后对所有存储桶的分析,不如考虑只从特定存储桶的敏感度分数中排除其检测结果。有关更多信息,请参阅 [调整 S3 存储桶的敏感度分数](discovery-asdd-s3bucket-manage.md)。
**在自动敏感数据发现中添加或删除托管数据标识符**
您可以使用亚马逊 Macie 控制台或亚马逊 Macie API 添加或删除托管数据标识符。
------
#### [ Console ]
按照以下步骤使用 Amazon Macie 控制台添加或删除托管数据标识符。
**要添加或删除托管数据标识符**
1. 打开亚马逊 Macie 主机,网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. 使用页面右上角的 AWS 区域 选择器,选择要在其中添加托管数据标识符或从分析中移除托管数据标识符的区域。
1. 在导航窗格的**设置**下,选择**自动敏感数据发现**。
将出现**自动化敏感数据发现**页面,并显示您的当前设置。在该页面上,**托管数据标识符**部分显示您当前的设置,分为两个选项卡:
+ **已添加到默认设置**:此选项卡列出了您添加的托管数据标识符。除了默认设置中的且您尚未删除的标识符外,Macie 还使用这些标识符。
+ **已从默认设置中删除**:此选项卡列出了您删除的托管数据标识符。Macie 不使用这些标识符。
1. 在**托管数据标识符**部分中,选择**编辑**。
1. 执行以下任一操作:
+ 要添加一个或多个托管数据标识符,请选择**已添加到默认设置**选项卡。然后,在表中,选中要添加的每个托管数据标识符对应的复选框。如果已选中某个复选框,则表示您已经添加了该标识符。
+ 要删除一个或多个托管数据标识符,请选择**从默认设置中移除**选项卡。然后,在表中,选中要删除的每个托管数据标识符对应的复选框。如果已选中某个复选框,则表示您已经删除了该标识符。
在每个选项卡上,该表显示了 Macie 当前提供的所有托管数据标识符的列表。在表中,第一列指定了每个托管数据标识符的 ID。该 ID 描述了该标识符旨在检测的敏感数据类型,例如,用于检测美国护照号码的 **USA\$1PASSPORT\$1NUMBER**。要更轻松地查找特定的托管数据标识符,请在表格上方的搜索框中输入搜索条件。您还可以通过选择列标题对表格进行排序。
1. 完成后,选择**保存**。
------
#### [ API ]
要以编程方式添加或删除托管数据标识符,请使用 Amazon Macie API 更新账户的敏感度检查模板。该模板存储的设置除了默认集中的标识符外,还指定要使用(*包括*)哪些托管数据标识符。它们还指定不使用(*排除*)的托管数据标识符。这些设置还会指定您希望 Macie 使用的任何自定义数据标识符和允许列表。
更新模板时,会覆盖其当前设置。因此,最好先检索当前设置并确定要保留哪些设置。要检索您的当前设置,请使用[GetSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html)操作。如果您使用的是 AWS Command Line Interface (AWS CLI),请运行[get-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitivity-inspection-template.html)命令来检索设置。
要检索或更新模板,必须指定其唯一标识符 (`id`)。您可以使用[GetAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html)操作获取此标识符。此操作会检索您当前用于自动发现敏感数据的配置设置,包括当前 AWS 区域账户敏感度检查模板的唯一标识符。如果您使用的是 AWS CLI,请运行[get-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-automated-discovery-configuration.html)命令来检索此信息。
当您准备好更新模板时,请使用[UpdateSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html)操作,或者,如果您正在使用 AWS CLI,则运行[update-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-sensitivity-inspection-template.html)命令。在您的请求中,使用相应的参数在后续分析中添加或删除一个或多个托管数据标识符:
+ 要开始使用托管数据标识符,请为`managedDataIdentifierIds`参数的`includes`参数指定其 ID。
+ 要停止使用托管数据标识符,请为`managedDataIdentifierIds`参数的`excludes`参数指定其 ID。
+ 要恢复默认设置,请不要 IDs 为`includes`和`excludes`参数指定任何设置。然后,Macie 开始仅使用默认集中的托管数据标识符。
除了托管数据标识符的参数外,还可以使用相应的`includes`参数来指定希望 Macie 使用的任何自定义数据标识符 (`customDataIdentifierIds``allowListIds`) 和允许列表 ()。此外,请指定您的请求适用的区域。如果您的请求成功,Macie 会更新模板并返回空响应。
以下示例说明如何使用更新账户的敏感度检查模板。 AWS CLI 这些示例添加了一个托管数据标识符,并从后续分析中删除了另一个托管数据标识符。它们还会维护当前的设置,即指定要使用的两个自定义数据标识符。
此示例针对 Linux、macOS 或 Unix 进行格式化,并使用反斜杠 (\$1) 行继续符来提高可读性。
```
$ aws macie2 update-sensitivity-inspection-template \
--id fd7b6d71c8006fcd6391e6eedexample \
--excludes '{"managedDataIdentifierIds":["UK_ELECTORAL_ROLL_NUMBER"]}' \
--includes '{"managedDataIdentifierIds":["STRIPE_CREDENTIALS"],"customDataIdentifierIds":["3293a69d-4a1e-4a07-8715-208ddexample","6fad0fb5-3e82-4270-bede-469f2example"]}'
```
此示例针对 Microsoft Windows 进行格式化,并使用脱字号 (^) 行继续符来提高可读性。
```
C:\> aws macie2 update-sensitivity-inspection-template ^
--id fd7b6d71c8006fcd6391e6eedexample ^
--excludes={\"managedDataIdentifierIds\":[\"UK_ELECTORAL_ROLL_NUMBER\"]} ^
--includes={\"managedDataIdentifierIds\":[\"STRIPE_CREDENTIALS\"],\"customDataIdentifierIds\":[\"3293a69d-4a1e-4a07-8715-208ddexample\",\"6fad0fb5-3e82-4270-bede-469f2example\"]}
```
其中:
+ *fd7b6d71c8006fcd6391e6eedexample*是要更新的灵敏度检查模板的唯一标识符。
+ *UK\$1ELECTORAL\$1ROLL\$1NUMBER*是要停止使用的托管数据标识符的 ID(*排除*)。
+ *STRIPE\$1CREDENTIALS*是要开始使用的托管数据标识符的 ID(*包括*)。
+ *3293a69d-4a1e-4a07-8715-208ddexample*并且*6fad0fb5-3e82-4270-bede-469f2example*是自定义数据标识符使用的唯一标识符。
------
## 在自动敏感数据发现中添加或删除自定义数据标识符
*自定义数据标识符*是您为检测敏感数据定义的一组标准。标准由定义要匹配的文本模式的正则表达式(*regex*)和可选的字符序列以及优化结果的邻近规则组成。要了解更多信息,请参阅[构建自定义数据标识符](custom-data-identifiers.md)。
默认情况下,Amazon Macie 在执行自动敏感数据发现时不使用自定义数据标识符。如果您希望 Macie 使用特定的自定义数据标识符,则可以将其添加到后续分析中。然后,除了您配置 Macie 使用的任何托管数据标识符之外,Macie 使用自定义数据标识符。
如果您添加了自定义数据标识符,则可以之后将其删除。您的更改不会影响 S3 存储桶的现有敏感数据发现统计数据和详细信息。例如,如果您删除了之前为某个存储桶生成检测结果的自定义数据标识符,Macie 仍会继续报告这些检测结果。但是,与其删除标识符,影响随后对所有存储桶的分析,不如考虑只从特定存储桶的敏感度分数中排除其检测结果。有关更多信息,请参阅 [调整 S3 存储桶的敏感度分数](discovery-asdd-s3bucket-manage.md)。
**在自动敏感数据发现中添加或删除自定义数据标识符**
您可以使用亚马逊 Macie 控制台或亚马逊 Macie API 添加或删除自定义数据标识符。
------
#### [ Console ]
按照以下步骤使用 Amazon Macie 控制台添加或删除自定义数据标识符。
**要添加或删除自定义数据标识符**
1. 打开亚马逊 Macie 主机,网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. 使用页面右上角的 AWS 区域 选择器,选择要在其中添加或从分析中删除自定义数据标识符的区域。
1. 在导航窗格的**设置**下,选择**自动敏感数据发现**。
将出现**自动化敏感数据发现**页面,并显示您的当前设置。在该页面上,**自定义数据标识符**部分列出了您添加的自定义数据标识符,或者显示您尚未添加任何自定义数据标识符。
1. 在**自定义数据标识符**部分中,选择**编辑**。
1. 执行以下任一操作:
+ 要添加一个或多个自定义数据标识符,请选中要添加的每个自定义数据标识符对应的复选框。如果已选中某个复选框,则表示您已经添加了该标识符。
+ 要移除一个或多个自定义数据标识符,请清除要删除的每个自定义数据标识符对应的复选框。如果复选框已被清除,则 Macie 当前不使用该标识符。
**提示**
要在添加或删除自定义数据标识符之前查看或测试其设置,请选择该标识符名称旁边的链接图标 (![\[The link icon, which is a blue box that has an arrow in it.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-external-link.png))。Macie 会打开一个显示标识符设置的页面。要同时使用样本数据测试标识符,请在该页面的**样本数据**框中输入最多包含 1000 个字符的文本。然后选择**测试**。Macie 评估示例数据并报告匹配项的数量。
1. 完成后,选择**保存**。
------
#### [ API ]
要以编程方式添加或删除自定义数据标识符,请使用 Amazon Macie API 更新账户的敏感度检查模板。该模板存储的设置用于指定您希望 Macie 在执行自动敏感数据发现时使用哪些自定义数据标识符。这些设置还指定要使用哪些托管数据标识符和允许列表。
更新模板时,会覆盖其当前设置。因此,最好先检索当前设置并确定要保留哪些设置。要检索您的当前设置,请使用[GetSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html)操作。如果您使用的是 AWS Command Line Interface (AWS CLI),请运行[get-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitivity-inspection-template.html)命令来检索设置。
要检索或更新模板,必须指定其唯一标识符 (`id`)。您可以使用[GetAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html)操作获取此标识符。此操作会检索您当前用于自动发现敏感数据的配置设置,包括当前 AWS 区域账户敏感度检查模板的唯一标识符。如果您使用的是 AWS CLI,请运行[get-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-automated-discovery-configuration.html)命令来检索此信息。
当您准备好更新模板时,请使用[UpdateSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html)操作,或者,如果您正在使用 AWS CLI,则运行[update-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-sensitivity-inspection-template.html)命令。在您的请求中,使用`customDataIdentifierIds`参数在后续分析中添加或删除一个或多个自定义数据标识符:
+ 要开始使用自定义数据标识符,请为参数指定其唯一标识符。
+ 要停止使用自定义数据标识符,请在参数中省略其唯一标识符。
使用其他参数来指定希望 Macie 使用的托管数据标识符和允许列表。此外,请指定您的请求适用的区域。如果您的请求成功,Macie 会更新模板并返回空响应。
以下示例说明如何使用更新账户的敏感度检查模板。 AWS CLI 这些示例为后续分析添加了两个自定义数据标识符。他们还维护当前的设置,这些设置指定了哪些托管数据标识符和允许列表:使用默认的托管数据标识符集和一个允许列表。
此示例针对 Linux、macOS 或 Unix 进行格式化,并使用反斜杠 (\$1) 行继续符来提高可读性。
```
$ aws macie2 update-sensitivity-inspection-template \
--id fd7b6d71c8006fcd6391e6eedexample \
--includes '{"allowListIds":["nkr81bmtu2542yyexample"],"customDataIdentifierIds":["3293a69d-4a1e-4a07-8715-208ddexample","6fad0fb5-3e82-4270-bede-469f2example"]}'
```
此示例针对 Microsoft Windows 进行格式化,并使用脱字号 (^) 行继续符来提高可读性。
```
C:\> aws macie2 update-sensitivity-inspection-template ^
--id fd7b6d71c8006fcd6391e6eedexample ^
--includes={\"allowListIds\":[\"nkr81bmtu2542yyexample\"],\"customDataIdentifierIds\":[\"3293a69d-4a1e-4a07-8715-208ddexample\",\"6fad0fb5-3e82-4270-bede-469f2example\"]}
```
其中:
+ *fd7b6d71c8006fcd6391e6eedexample*是要更新的灵敏度检查模板的唯一标识符。
+ *nkr81bmtu2542yyexample*是允许列表使用的唯一标识符。
+ *3293a69d-4a1e-4a07-8715-208ddexample*并且*6fad0fb5-3e82-4270-bede-469f2example*是自定义数据标识符使用的唯一标识符。
------
## 在自动发现敏感数据时添加或删除允许列表
在 Amazon Macie 中,允许列表定义了您希望 Macie 在检查 S3 对象中是否存在敏感数据时忽略的特定文本或文本模式。如果文本与允许列表中的条目或模式相匹配,则 Macie 不会报告该文本。即使文本符合托管或自定义数据标识符的标准,情况也是如此。要了解更多信息,请参阅[使用允许列表定义敏感数据例外](allow-lists.md)。
默认情况下,Macie 在执行自动敏感数据发现时不使用允许列表。如果您希望 Macie 使用特定的允许列表,则可以将其添加到后续分析中。如果您添加了允许列表,则可以之后将其删除。
**在自动敏感数据发现中添加或删除允许列表**
您可以使用亚马逊 Macie 控制台或亚马逊 Macie API 添加或删除允许列表。
------
#### [ Console ]
按照以下步骤使用 Amazon Macie 控制台添加或删除允许列表。
**要添加或删除允许列表**
1. 打开亚马逊 Macie 主机,网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. 使用页面右上角的选择 AWS 区域 器,选择要在其中添加或删除分析允许列表的区域。
1. 在导航窗格的**设置**下,选择**自动敏感数据发现**。
将出现**自动化敏感数据发现**页面,并显示您的当前设置。在该页面上,**允许列表**部分指定了您已添加的允许列表,或者显示您尚未添加任何允许列表。
1. 在**允许列表**部分中选择**编辑**。
1. 执行以下任一操作:
+ 要添加一个或多个允许列表,请选中要添加的每个允许列表对应的复选框。如果已选中某个复选框,则表示您已经添加了该列表。
+ 要删除一个或多个允许列表,请清除要删除的每个允许列表对应的复选框。如果某个复选框已被清除,则 Macie 当前不使用该列表。
**提示**
要在添加或删除允许列表之前查看其设置,请选择列表名称旁边的链接图标 (![\[The link icon, which is a blue box that has an arrow in it.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-external-link.png))。Macie 会打开一个显示列表设置的页面。如果列表指定了正则表达式 (*regex*),您也可以使用此页使用示例数据测试正则表达式。为此,请在**示例数据**框中输入最多包含 1,000 个字符的文本,然后选择**测试**。Macie 评估示例数据并报告匹配项的数量。
1. 完成后,选择**保存**。
------
#### [ API ]
要以编程方式添加或删除允许名单,请使用 Amazon Macie API 更新账户的敏感度检查模板。该模板存储的设置用于指定您希望 Macie 在执行自动敏感数据发现时使用哪些允许列表。这些设置还指定要使用的托管数据标识符和自定义数据标识符。
更新模板时,会覆盖其当前设置。因此,最好先检索当前设置并确定要保留哪些设置。要检索您的当前设置,请使用[GetSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html)操作。如果您使用的是 AWS Command Line Interface (AWS CLI),请运行[get-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitivity-inspection-template.html)命令来检索设置。
要检索或更新模板,必须指定其唯一标识符 (`id`)。您可以使用[GetAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html)操作获取此标识符。此操作会检索您当前用于自动发现敏感数据的配置设置,包括当前 AWS 区域账户敏感度检查模板的唯一标识符。如果您使用的是 AWS CLI,请运行[get-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-automated-discovery-configuration.html)命令来检索此信息。
当您准备好更新模板时,请使用[UpdateSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html)操作,或者,如果您正在使用 AWS CLI,则运行[update-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-sensitivity-inspection-template.html)命令。在您的请求中,使用`allowListIds`参数在后续分析中添加或删除一个或多个允许列表:
+ 要开始使用允许列表,请为参数指定其唯一标识符。
+ 要停止使用允许列表,请在参数中省略其唯一标识符。
使用其他参数来指定希望 Macie 使用的托管数据标识符和自定义数据标识符。此外,请指定您的请求适用的区域。如果您的请求成功,Macie 会更新模板并返回空响应。
以下示例说明如何使用更新账户的敏感度检查模板。 AWS CLI 这些示例为后续分析添加了允许列表。他们还保留当前的设置,这些设置指定要使用的托管数据标识符和自定义数据标识符:使用默认的托管数据标识符集和两个自定义数据标识符。
此示例针对 Linux、macOS 或 Unix 进行格式化,并使用反斜杠 (\$1) 行继续符来提高可读性。
```
$ aws macie2 update-sensitivity-inspection-template \
--id fd7b6d71c8006fcd6391e6eedexample \
--includes '{"allowListIds":["nkr81bmtu2542yyexample"],"customDataIdentifierIds":["3293a69d-4a1e-4a07-8715-208ddexample","6fad0fb5-3e82-4270-bede-469f2example"]}'
```
此示例针对 Microsoft Windows 进行格式化,并使用脱字号 (^) 行继续符来提高可读性。
```
C:\> aws macie2 update-sensitivity-inspection-template ^
--id fd7b6d71c8006fcd6391e6eedexample ^
--includes={\"allowListIds\":[\"nkr81bmtu2542yyexample\"],\"customDataIdentifierIds\":[\"3293a69d-4a1e-4a07-8715-208ddexample\",\"6fad0fb5-3e82-4270-bede-469f2example\"]}
```
其中:
+ *fd7b6d71c8006fcd6391e6eedexample*是要更新的灵敏度检查模板的唯一标识符。
+ *nkr81bmtu2542yyexample*是允许列表使用的唯一标识符。
+ *3293a69d-4a1e-4a07-8715-208ddexample*并且*6fad0fb5-3e82-4270-bede-469f2example*是自定义数据标识符使用的唯一标识符。
------
# 正在禁用自动敏感数据发现
您可以随时禁用账户或组织的自动敏感数据发现。如果您这样做,Amazon Macie 会在后续的评估和分析周期开始之前(通常在 48 小时内),停止对账户或组织执行所有自动发现活动。其他影响也各不相同:
+ 如果您是 Macie 管理员,并且您组织中的单个账户禁用了该功能,您和该账户仍可继续访问所有统计数据、库存数据以及 Macie 在为该账户执行自动发现时生成和直接提供的其他信息。您可以再次启用账户的自动发现功能。然后 Macie 会恢复您账户的所有自动化发现活动。
+ 如果您是 Macie 管理员,并为您的组织禁用了该功能,则您和组织中的账户将无法访问所有统计数据、库存数据以及 Macie 在为您的组织执行自动发现时生成和直接提供的其他信息。例如,您的 S3 存储桶清单不再包括敏感度可视化或分析统计数据。您可以随后再次为您的组织启用自动发现功能。然后,Macie 会恢复组织内账户的所有自动发现活动。如果您在 30 天内重新启用,您和账户将可以重新访问 Macie 之前在执行自动发现时生成和直接提供的数据和信息。如果您未在 30 天内重新启用,Macie 会永久删除这些数据和信息。
+ 如果您对独立的 Macie 账户禁用该功能,您将无法访问所有统计数据、库存数据以及 Macie 在对您的账户进行自动发现时生成和直接提供的其他信息。如果您未在 30 天内重新启用,Macie 会永久删除这些数据和信息。
您可以在为账户或组织执行自动敏感数据发现时继续访问 Macie 生成的敏感数据调查发现。Macie 会将调查发现存储 90 天。Macie 还会保留您的自动发现配置设置。此外,您存储或发布给他人的数据保持不 AWS 服务 变,不受影响,例如在 Amazon S3 中发现敏感数据和在 Amazon 中查找事件 EventBridge。
**要禁用自动敏感数据发现**
如果您是组织的 Macie 管理员或拥有独立的 Macie 账户,则可以使用亚马逊 Macie 控制台或亚马逊 Macie API 禁用自动发现敏感数据。如果您拥有组织中的成员账户,请联系您的 Macie 管理员,为您的账户禁用自动发现功能。只有您的 Macie 管理员才能为您的帐户禁用自动发现功能。
------
#### [ Console ]
按照以下步骤使用 Amazon Macie 控制台禁用自动发现敏感数据。
**要禁用自动敏感数据发现**
1. 打开亚马逊 Macie 主机,网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. 使用页面右上角的选择 AWS 区域 器,选择要禁用自动敏感数据发现的区域。
1. 在导航窗格的**设置**下,选择**自动敏感数据发现**。
1. 如果您是组织的 Macie 管理员,请在**状态**部分中选择一个选项,指定要禁用自动敏感数据发现的账户:
+ 要只对特定的成员账户禁用,请选择**管理账户**。然后,在 “**帐户**” 页面的表格中,选中要为其禁用的每个帐户对应的复选框。完成后,在**操作**菜单上选择**禁用自动敏感数据发现**。
+ 要只为 Macie 管理员账户禁用该功能,请选择**禁用**。在出现的对话框中,选择**我的账户**,然后选择**禁用**。
+ 要对组织中的所有账户以及整个组织禁用该功能,请选择**禁用**。在出现的对话框中,选择**我的组织**,然后选择**禁用**。
1. 如果您有独立的 Macie 账户,请在**状态**部分选择**禁用**。
如果您在多个区域使用 Macie,并希望在其他区域禁用自动敏感数据发现,请在每个其他区域重复上述步骤。
------
#### [ API ]
使用 Amazon Macie API,您可以通过两种方式禁用自动发现敏感数据。如何将其禁用在一定程度上取决于您拥有的帐户类型。如果你是某个组织的 Macie 管理员,这还取决于你是想仅为特定的成员账户禁用自动发现,还是要为整个组织禁用自动发现。如果您为组织禁用该功能,则会对当前属于您的组织的所有帐户禁用该功能。如果随后有其他账户加入您的组织,则这些账户的自动发现功能也会被禁用。
要禁用组织或独立 Macie 账户的自动敏感数据发现,请使用该[UpdateAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html)操作。或者,如果您使用的是 AWS Command Line Interface (AWS CLI),请运行 [update-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-automated-discovery-configuration.html) 命令。在您的请求中,为 `status` 参数指定 `DISABLED`。
要仅对组织中的特定成员帐户禁用自动发现敏感数据,请使用该[BatchUpdateAutomatedDiscoveryAccounts](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-accounts.html)操作。或者,如果您使用的是 AWS CLI,请运行 [batch-update-automated-discovery-accounts 命令](https://docs.aws.amazon.com/cli/latest/reference/macie2/batch-update-automated-discovery-accounts.html)。在您的请求中,使用`accountId`参数为要禁用自动发现功能的账户指定账户 ID。对于 `status` 参数,请指定 `DISABLED`。要禁用账户的自动发现,当前必须为该账户启用 Macie。
以下示例说明如何使用禁用组织中一个或多个账户的自动敏感数据发现。 AWS CLI 第一个示例为组织禁用自动发现。它会禁用 Macie 管理员帐户和组织中所有成员帐户的自动发现。
```
$ aws macie2 update-automated-discovery-configuration --status DISABLED --region us-east-1
```
哪个区域*us-east-1*是该组织禁用自动敏感数据发现功能的区域,即美国东部(弗吉尼亚北部)区域。如果请求成功,Macie 将禁用组织的自动发现功能并返回空响应。
接下来的示例禁用组织中两个成员帐户的自动敏感数据发现。此示例针对 Linux、macOS 或 Unix 进行格式化,并使用反斜杠 (\$1) 行继续符来提高可读性。
```
$ aws macie2 batch-update-automated-discovery-accounts \
--region us-east-1 \
--accounts '[{"accountId":"123456789012","status":"DISABLED"},{"accountId":"111122223333","status":"DISABLED"}]'
```
此示例针对 Microsoft Windows 进行格式化,并使用脱字号 (^) 行继续符来提高可读性。
```
C:\> aws macie2 batch-update-automated-discovery-accounts ^
--region us-east-1 ^
--accounts=[{\"accountId\":\"123456789012\",\"status\":\"DISABLED\"},{\"accountId\":\"111122223333\",\"status\":\"DISABLED\"}]
```
其中:
+ *us-east-1*是针对指定账户禁用自动敏感数据发现功能的区域,即美国东部(弗吉尼亚北部)区域。
+ *123456789012*并且*111122223333*是禁用自动敏感数据发现功能的帐户的帐户。 IDs
如果所有指定账户的请求均成功,Macie 将返回一个空`errors`数组。如果某些账户的请求失败,则数组会指定每个受影响账户发生的错误。例如:
```
"errors": [
{
"accountId": "123456789012",
"errorCode": "ACCOUNT_PAUSED"
}
]
```
在之前的响应中,对指定账户 (`123456789012`) 的请求失败,因为 Macie 当前已暂停该账户。
如果所有账户的请求都失败,您将收到一条描述所发生错误的消息。例如:
```
An error occurred (ConflictException) when calling the BatchUpdateAutomatedDiscoveryAccounts operation: Cannot modify account states
while auto-enable is set to ALL.
```
在前面的响应中,请求失败,因为该组织的成员启用设置当前已配置为对所有账户启用自动敏感数据发现(`ALL`)。要解决该错误,Macie 管理员必须先将此设置更改为`NONE`或`NEW`。有关该设置的信息,请参阅 [启用自动敏感数据发现](discovery-asdd-account-enable.md)。
------
# 查看自动敏感数据发现结果
如果启用了自动发现敏感数据,Amazon Macie 会自动为您的账户生成和维护有关亚马逊简单存储服务 (Amazon S3) 通用存储桶的其他库存数据、统计数据和其他信息。如果您是某个组织的 Macie 管理员,默认情况下这包括您的成员账户拥有的 S3 存储桶。
此额外信息会采集 Macie 迄今为止进行的自动敏感数据发现活动的结果。它还会补充 Macie 提供的、有关您的 Amazon S3 数据的其他信息,例如各个 S3 存储桶的公开访问和加密设置。除了元数据和统计数据外,Macie 还会记录其发现的敏感数据及其执行的分析 — *敏感数据调查发现*和*敏感数据发现结果*。
在自动敏感数据发现分析进度时,以下功能和数据可以帮助您查看和评测结果:
+ [****摘要**控制面板**](discovery-asdd-results-s3-dashboard.md) — 提供您的 Amazon S3 数据资产的汇总统计数据。统计数据包括关键指标数据,例如 Macie 在其中发现敏感数据的存储桶总数,以及其中可公开访问的存储桶数量。它们还会报告影响您的 Amazon S3 数据覆盖范围的问题。
+ S3 [****存储桶**热图**](discovery-asdd-results-s3-inventory-map.md) — 提供按 AWS 账户数据资产分组的数据敏感度的交互式可视化表示。每个账户的地图都包含汇总的灵敏度统计数据,并使用颜色来表示该账户拥有的每个存储桶的当前灵敏度分数。地图还使用符号帮助您识别可公开访问的存储桶、Macie 无法分析的存储桶等。
+ S3 [****存储桶**表**](discovery-asdd-results-s3-inventory-table.md) — 提供清单中每个 S3 存储桶的摘要信息。对于每个存储桶,该表都包含以下数据:存储桶当前敏感度得分;Macie 可分析的存储桶内对象数量;您是否已配置任何敏感数据发现作业,以定期分析存储桶对象。您可以选择将数据从表中导出至逗号分隔值 (CSV) 文件。
+ [****S3 存储桶**详细信息**](discovery-asdd-results-s3-inventory-details.md)-提供有关 S3 存储桶的详细统计数据和信息。详细信息包括 Macie 在存储桶中分析的对象列表,以及 Macie 在存储桶中发现的敏感数据的类型和出现次数的明细。这些是有关影响存储桶数据安全和隐私的设置的详细信息。
+ [**敏感数据调查发现**](discovery-asdd-results-s3-findings.md):提供 Macie 在单个 S3 对象中发现的敏感数据的详细报告。详细信息包括:Macie 发现敏感数据的时间;以及 Macie 发现的敏感数据类型和出现次数。详细信息还包括有关受影响的 S3 存储桶和对象的信息,其中包括存储桶的公共访问设置以及对象最近更改时间。
+ [**敏感数据发现结果**](discovery-asdd-results-s3-sddrs.md)-提供 Macie 对单个 S3 对象执行的分析记录。这包括 Macie 没有发现敏感数据的对象,以及 Macie 因问题或错误而无法分析的对象。如果 Macie 在对象中发现敏感数据,敏感数据发现结果就会提供 Macie 发现的敏感数据的相关信息。
您可通过这些数据,评测整个 Amazon S3 数据资产的数据灵敏度,并深入评测和调查各个 S3 存储桶和对象。将 Macie 提供的、关于 Amazon S3 数据的安全和隐私信息相结合,您还可识别可能需要立即修复的情况,例如,Macie 在其中发现敏感数据的可公开访问存储桶。
其他数据可帮助您评测和监控 Amazon S3 数据的覆盖范围。通过覆盖范围数据,您可以查看整个数据资产以及其中单个 S3 存储桶的分析状态。您还可以找出阻碍 Macie 分析特定存储桶中对象的问题。如果您修复了这些问题,则可以在后续分析周期中扩大 Amazon S3 数据的覆盖范围。有关更多信息,请参阅 [评测自动敏感数据发现覆盖率](discovery-coverage.md)。
**Topics**
+ [在摘要控制面板上查看数据敏感度统计数据](discovery-asdd-results-s3-dashboard.md)
+ [使用 S3 存储桶地图观察数据灵敏度](discovery-asdd-results-s3-inventory-map.md)
+ [使用 S3 存储桶表评测数据灵敏度](discovery-asdd-results-s3-inventory-table.md)
+ [查看 S3 存储桶的数据灵敏度详细信息](discovery-asdd-results-s3-inventory-details.md)
+ [分析自动敏感数据发现的调查发现](discovery-asdd-results-s3-findings.md)
+ [访问自动敏感数据发现产生的发现结果](discovery-asdd-results-s3-sddrs.md)
# 在摘要控制面板上查看数据敏感度统计数据
在 Amazon Macie 控制台,**摘要**控制面板提供了当前 AWS 区域的 Amazon Simple Storage Service (Amazon S3) 的统计数据和调查发现数据汇总快照。它旨在帮助评测 Amazon S3 数据的整体安全状况。
控制面板统计数据包括关键安全指标数据,例如可公开访问或与其他 AWS 账户共享的 S3 通用存储桶的数量。控制面板还会显示您账户的调查发现数据组汇总,例如,在过去七天内生成最多结果的存储桶。如果您是组织的 Macie 管理员,则控制面板会提供组织中所有账户的汇总统计结果和数据。您可选择按账户筛选数据。
如果启用了自动敏感数据发现,“**摘要**” 仪表板将包含其他统计信息。这些统计数据记录了 Macie 迄今为止针对您的 Amazon S3 数据执行的自动发现活动的状态和结果。下图显示这些统计数据的示例。
![\[摘要控制面板上的敏感数据发现统计数据。每项统计数据都包含示例数据。\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/scrn-summary-dashboard-sensitivity.png)
统计数据主要分为两个部分,即**自动发现**和**覆盖范围问题**。**自动发现**部分中的统计数据提供了自动敏感数据发现活动的当前状态和结果快照。**覆盖率问题部分中的统计数据表明问题**是否阻止 Macie 分析单个 S3 存储桶中的对象。统计信息不包括您创建和运行的敏感数据发现作业的数据。但是,修复影响自动敏感数据发现结果的覆盖范围问题也可能增加您随后运行的敏感数据发现作业的覆盖范围。
**Topics**
+ [显示控制面板](#discovery-asdd-results-s3-dashboard-view)
+ [了解控制面板上的统计信息](#discovery-asdd-results-s3-dashboard-statistics)
## 显示“摘要”控制面板
按照以下步骤在 Amazon Macie 控制台上显示**摘要**控制面板。要以编程方式查询统计数据,请使用亚马逊 Macie API 的[GetBucketStatistics](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3-statistics.html)操作。
**要显示“摘要”控制面板**
1. 打开亚马逊 Macie 主机,网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. 在导航窗格中,选择**摘要**。Macie 会显示**摘要**控制面板。
1. 要在控制面板上深入查看某一项的支持数据,请选择该项。
如果您是组织的 Macie 管理员,则控制面板会显示组织中您的账户和成员账户的汇总统计结果和数据。要仅显示特定账户的数据,请在控制面板上方的账户框中输入该**账户**的 ID。
## 在 “摘要” 仪表板上了解敏感数据发现统计信息
**摘要**控制面板包含汇总统计数据,可帮助您监控自动发现的 Amazon S3 数据的敏感数据。控制面板提供您当前 AWS 区域的 Amazon S3 数据的状态和分析结果快照。例如,您可以使用控制面板统计信息快速确定 Amazon Macie 在其中发现敏感数据的 S3 存储桶数量,以及其中可公开访问的存储桶数量。您还可以评测 Amazon S3 数据的覆盖范围。覆盖范围统计信息可以帮助您找出妨碍 Macie 分析单个 S3 存储桶中对象的问题。
在控制面板上,自动敏感数据发现统计信息分为以下几个部分:
+ [存储和敏感数据发现](#discovery-asdd-results-s3-dashboard-storage-statistics)
+ [自动发现](#discovery-asdd-results-s3-dashboard-sensitivity-statistics)
+ [覆盖范围问题](#discovery-asdd-results-s3-dashboard-coverage-statistics)
每个部分的单独统计数据如下。有关控制面板其他部分的统计信息的信息,请参阅[了解“摘要”控制面板的组件](monitoring-s3-dashboard.md#monitoring-s3-dashboard-components-main)。
### 存储和敏感数据发现
在控制面板的顶部,统计数据显示您在 Amazon S3 中存储了多少数据,以及 Amazon Macie 可以分析其中多少数据来检测敏感数据。下图显示了一个拥有七个账户的组织的这些统计数据示例。
![\[控制面板的存储和敏感数据发现部分。每个字段都包含示例数据。\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/scrn-summary-dashboard-storage.png)
本部分的单独统计信息:
+ **账户总数** – 如果您是组织的 Macie 管理员或拥有独立的 Macie 账户,则会显示此字段。它表示您的存储桶清单 AWS 账户 中自有存储桶的总数。如果您是 Macie 管理员,这是您为组织管理的 Macie 账户总数。如果您有一个独立的 Macie 账户,则该值为 *1*。
**S3 存储桶总数**:如果您在组织中拥有成员账户,则会显示此字段。它表示您的清单中的通用存储桶总数,包括不存储任何对象的存储桶。
+ **存储**:这些统计信息提供有关存储桶清单中对象的存储大小的信息:
+ **可分类** – Macie 可在存储桶中分析的所有对象的总存储大小。
+ **总计** – 存储桶中所有对象的总存储大小,包括 Macie 无法分析的对象。
如果任何对象为压缩文件,则这些值不反映这些文件解压缩后的实际大小。如果对任何存储桶启用了版本控制,则这些值基于这些存储桶中每个对象最新版本的存储大小。
+ **对象**:这些统计信息提供有关存储桶清单中对象数量的信息:
+ **可分类** – Macie 可在存储桶中分析的对象的总数。
+ **总计** – 存储桶中所有对象的总数,包括 Macie 无法分析的对象。
在上述统计数据中,如果数据和对象使用所支持的 Amazon S3 存储类别,并且其文件扩展名表示支持的文件或存储格式,则数据和对象属于*可分类*。您可以通过使用 Macie 检测对象中的敏感数据。有关更多信息,请参阅 [支持的存储类别和格式](discovery-supported-storage.md)。
请注意,**存储**和**对象**统计信息不包括 Macie 不允许 Macie 访问的、存储桶内对象的相关数据。要确定出现这种情况的存储桶,请在控制面板的 **覆盖范围问题**部分中选择 **访问被拒绝** 统计数据。
### 自动发现
本节记录了 Amazon Macie 迄今为止针对您的 Amazon S3 数据执行的自动敏感数据发现活动的状态和结果。下图显示了此部分提供的统计信息示例。
![\[控制面板的自动发现部分。图表和相关字段包含示例数据。\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/scrn-summary-dashboard-asdd.png)
此部分的单独统计数据如下。
**存储桶总数**
环形图显示您的存储桶清单中的存储桶总数。该图表根据每个存储桶的当前灵敏度分数将存储分组为:
+ **敏感**(*红色*)- 灵敏度分数介于 *51* 至 *100* 之间的存储桶总数。
+ **不敏感**(*蓝色*)-灵敏度分数介于 *1* 至 *49* 之间的存储桶总数。
+ **尚未分析**(*浅灰色*)- 灵敏度分数为 *50* 的存储桶的总数。
+ **分类错误**(*深灰色*)- 灵敏度分数为 *-1* 的存储桶总数。
有关 Macie 定义的灵敏度分数范围和标签的详细信息,请参阅 [S3 存储桶的敏感度评分](discovery-scoring-s3.md)。
要查看某个群组的其他统计信息,请将鼠标悬停在该群组上:
+ **存储桶**:存储桶的总数。
+ **可公开访问** - 允许公众进行读取或写入的存储桶总数。
+ **可分类字节**:Macie 可在存储桶中分析的所有对象的总存储大小。这些对象使用所支持的 Amazon S3 存储类别,并且其文件扩展名表示支持的文件或存储格式。有关更多信息,请参阅 [支持的存储类别和格式](discovery-supported-storage.md)。
+ **字节总数** - 所有存储桶的总存储大小。
在前述统计信息中,存储大小值基于存储桶中每个最新版本对象的存储大小。如果任何对象为压缩文件,则这些值不反映这些文件解压缩后的实际大小。
**敏感**
此区域表示当前灵敏度分数介于 *51* 至 *100* 之间的存储桶的总数。在此组中,**可公开访问**表示允许公众进行读取或写入的存储桶总数。
**不敏感**
此区域表示当前灵敏度分数介于 *1* 至 *49* 之间的存储桶的总数。在此组中,**可公开访问**表示允许公众进行读取或写入的存储桶总数。
为了确定和计算**可公开访问**的统计数据值,Macie 会分析每个存储桶的账户和存储桶级别设置组合,例如账户和存储分区的阻止公共访问设置,以及存储桶的存储桶策略。对于一个账户,Macie 最多可以为 10,000 个存储桶执行此操作。有关更多信息,请参阅 [Macie 如何监控 Amazon S3 数据安全性](monitoring-s3-how-it-works.md)。
请注意,**自动发现**部分中的统计信息不包括您创建和运行的敏感数据发现作业结果。
### 覆盖范围问题
在本节中,统计数据表明某些类型的问题是否阻止 Amazon Macie 分析单个 S3 存储桶中的对象。下图显示了此部分提供的统计信息示例。
![\[控制面板的覆盖范围问题部分。每个字段都包含示例数据。\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/scrn-summary-dashboard-coverage.png)
本部分的单独统计信息:
+ **访问被拒绝**:不允许 Macie 访问的存储桶总数。Macie 无法分析这些存储桶内的任何对象。存储桶的权限设置会阻止 Macie 访问存储桶和存储桶对象。
+ **分类错误**:由于对象级分类错误而导致的、Macie 未分析的存储桶总数。Macie 试图分析这些存储桶中的一个或多个对象。但是,由于对象级权限设置、对象内容或配额存在问题,Macie 无法分析对象。
+ **不可分类** - 不存储任何可分类对象的存储桶总数。Macie 无法分析这些存储桶内的任何对象。所有对象使用 Macie 不支持的 Amazon S3 存储类别,并且其文件扩展名表示 Macie 不支持的文件或存储格式。
选择统计信息值,可显示其他详细信息,并显示补救措施指南(如适用)。如果您修复了访问问题和分类错误,则可以在后续分析周期中扩大 Amazon S3 数据的覆盖范围。有关更多信息,请参阅 [评测自动敏感数据发现覆盖率](discovery-coverage.md)。
请注意,**覆盖范围问题**部分中的统计信息不会明确包含您创建和运行的敏感数据发现作业的数据。但是,修复影响自动敏感数据发现结果的覆盖范围问题也可能增加您随后运行的敏感数据发现作业的覆盖范围。
# 使用 S3 存储桶地图观察数据灵敏度
在 Amazon Macie 控制台,**S3 存储桶**热图提供了 Amazon Simple Storage Service (Amazon S3) 数据资产中数据灵敏度的交互式可视化表示。它采集 Macie 迄今为止针对当前 AWS 区域中 Amazon S3 数据执行的自动敏感数据发现活动的结果。
如果您是组织的 Macie 管理员,则该地图将包含您的成员账户拥有的 S3 存储桶的结果。数据按账户 ID 分组 AWS 账户 和排序,如下图所示。
![\[S3 存储桶地图。它显示不同的彩色方块,每个存储桶对应一个方块,按账户分组。\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/scrn-s3-map-small.png)
该地图显示每个账户最多 100 个 S3 存储桶的数据。要显示所有存储桶的数据,您可以[切换到表格视图](discovery-asdd-results-s3-inventory-table.md),改为以表格格式查看数据。
要展示地图,在控制台的导航窗格中选择 **S3 存储桶**。然后在页面顶部选择地图 (![\[The map view button, which is a button that displays four black squares.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/btn-s3-map-view.png))。仅当启用了自动敏感数据发现时,才会显示此地图。它不包括您创建和运行的敏感数据发现作业的结果。
**Topics**
+ [解读 S3 存储桶地图中的数据](#discovery-asdd-results-s3-inventory-map-legend)
+ [与 S3 存储桶地图交互](#discovery-asdd-results-s3-inventory-map-use)
## 解读 S3 存储桶地图中的数据
在 **S3 存储桶**地图中,每个方块都代表通用存储桶清单中的一个 S3 存储桶。正方形的颜色代表存储桶的当前灵敏度分数,它衡量两个主要维度的交集:即 Macie 在存储桶中发现的敏感数据量和 Macie 在存储桶内分析的数据量。颜色色调的强度表示一系列数据灵敏度值中评分下降位置,如下图所示。
![\[敏感度分数的色谱:蓝色色调代表 1-49,红色色调代表 51-100,灰色色调代表 -1。\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/sensitivity-scoring-spectrum.png)
通常,您可以按如下方式解读颜色和色调强度:
+ **蓝色**:如果存储桶的当前灵敏度分数介于 *1* 至 *49* 之间,则该桶的正方形为蓝色,存储桶的灵敏度标签为 **不敏感**。蓝色色调的强度反映了 Macie 在存储桶中分析的唯一对象的数量与存储桶中唯一对象总数的比率。色调越深,表示灵敏度分数越低。
+ **无颜色**:如果存储桶的当前灵敏度分数为 *50*,则该桶的正方形未着色,并且桶的灵敏度标签为**未分析**。此外,正方形还有虚线边框。
+ **红色**:如果存储桶的当前灵敏度分数介于 *51* 至 *100* 之间,则该桶的正方形为红色,存储桶的灵敏度标签为 **敏感**。红色调的强度反映了 Macie 在存储桶内发现的敏感数据量。色调越深表示灵敏度分数越高。
+ **灰色**:如果存储桶的当前灵敏度分数为 *-1*,则该存储桶的正方形为深灰色,存储桶的灵敏度标签显示**分类错误**。色相强度无变化。
有关 Macie 定义的灵敏度分数范围和标签的详细信息,请参阅 [S3 存储桶的敏感度评分](discovery-scoring-s3.md)。
地图中的 S3 存储桶的正方形也可能包含一个符号。该符号表示可能影响您对存储桶灵敏度评测的错误、问题或其他类型注意事项。符号也可以表示存储桶的安全性存在潜在问题,例如存储桶可公开访问。下表列出了 Macie 用于通知您这些情况的符号。
| 符号 | 定义 | 说明 |
| --- | --- | --- |
| ![\[The Access denied symbol, which is a gray exclamation point.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-map-access-denied.png) | 访问被拒绝 | 不允许 Macie 访问存储桶或存储桶对象。因此,Macie 无法分析这些存储桶内的任何对象。 此问题的原因通常是存储桶具有限制性存储桶策略。有关如何解决此问题的信息,请参阅 [允许 Macie 访问 S3 存储桶和对象](monitoring-restrictive-s3-buckets.md)。 |
| ![\[The Publicly accessible symbol, which is a solid, gray, upward-facing arrow.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-map-publicly-accessible.png) | 公开访问 | 公众对存储桶拥有读写权限。 为了做出这一决定,Macie 会分析每个存储桶的设置组合,例如账户和存储桶的封禁公共访问设置,以及存储桶的存储桶策略。对于一个账户,Macie 最多可以为 10,000 个存储桶执行此操作。有关更多信息,请参阅 [Macie 如何监控 Amazon S3 数据安全性](monitoring-s3-how-it-works.md)。 |
| ![\[The Unclassifiable symbol, which is a gray question mark.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-map-unclassifiable.png) | 不可分类 | Macie 无法分析存储桶内的任何对象。所有存储桶对象都使用 Macie 不支持的 Amazon S3 存储类别,或者有 Macie 不支持的文件扩展名或存储格式。 Macie 要分析某个对象,该对象必须使用所支持的存储类别,并且其文件扩展名表示支持的文件或存储格式。有关更多信息,请参阅 [支持的存储类别和格式](discovery-supported-storage.md)。 |
| ![\[The Zero bytes symbol, which is the number zero.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-map-zero-bytes.png) | 零字节 | 此存储桶不存储任何要由 Macie 分析的对象。存储桶为空,或存储桶中的所有对象都包含零 (0) 字节的数据。 |
## 与 S3 存储桶地图交互
在查看 S3 **存储桶**地图时,您可以通过不同的方式与其交互,以揭示和评测单个账户和存储桶的其他数据和详细信息。请按照以下步骤显示地图并使用其提供的各种功能。
**与 S3 存储桶地图进行交互**
1. 打开亚马逊 Macie 主机,网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. 在导航窗格中,选择** S3 存储桶**。**S3 存储桶**页面显示您的存储桶清单地图。如果页面以表格格式显示您的存储桶清单,请选择页面顶部的地图 (![\[The map view button, which is a button that displays four black squares.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/btn-s3-map-view.png))。
默认情况下,地图不会显示当前被排除在自动敏感数据发现之外的存储桶的数据。如果您是组织的 Macie 管理员,则它也不会显示当前禁用了自动敏感数据发现的账户的数据。要显示这些数据,请在筛选框下方的**由自动发现筛选器监控**标记中选择 **X**。
1. 在页面顶部,可以选择刷新 (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/btn-refresh-data.png)),从 Amazon S3 检索最新的存储桶元数据。
1. 在 **S3 存储桶**地图中,执行以下任一操作:
+ 要确定有多少桶有特定的敏感度标签,请参阅 ID 正下方的彩色徽章。 AWS 账户 此徽章显示按灵敏度标签细分的汇总存储桶计数。
**例如,红色徽章会报告该账户拥有、且带有灵敏度**标签的存储桶的总数。这些存储桶的灵敏度分数介于 *51* 到 *100* 之间。蓝色徽章报告该账户拥有且带有 **不敏感** 标签的存储桶总数。这些存储桶的灵敏度分数介于 *1* 到 *49* 之间。
+ 要查看有关存储桶的信息子集,请将鼠标悬停在存储桶的正方形上。弹出框显示存储桶的名称和当前的灵敏度分数。
弹出框还会显示 Macie 可以在存储桶中分析的对象总数,以及这些对象的最新版本的总存储大小。这些对象为 *可分类*。它们使用所支持的 Amazon S3 存储类别,并且其文件扩展名表示支持的文件或存储格式。有关更多信息,请参阅 [支持的存储类别和格式](discovery-supported-storage.md)。
+ 要筛选地图并仅显示含特定字段值的存储桶,请将光标置于筛选框内,然后为该字段添加筛选条件。Macie 应用条件并在筛选框下方显示该条件。若要进一步优化结果,请为其他字段添加筛选条件。有关更多信息,请参阅 [筛选您的 S3 存储桶清单](monitoring-s3-inventory-filter.md)。
+ 要深入查看并仅显示特定账户拥有的存储桶,请选择该账户 ID。Macie 会打开新选项卡,该选项卡仅筛选和显示该账户数据。
1. 要查看特定存储桶的数据敏感度统计数据和其他信息,请选择该存储桶的方块。然后参阅详细信息面板。如需了解这些详细信息,请参阅[查看 S3 存储桶的数据灵敏度详细信息](discovery-asdd-results-s3-inventory-details.md)。
**提示**
在面板的**存储桶详细信息**选项卡,您可以对许多字段进行转置和向下钻取。要显示某个字段中具有相同值的存储桶,请在该字段中选择 ![\[The zoom in icon, which is a magnifying glass that has a plus sign in it.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-magnifying-glass-plus-sign.png)。要显示其他字段值的存储桶,请在字段中选择 ![\[The zoom out icon, which is a magnifying glass that has a minus sign in it.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-magnifying-glass-minus-sign.png)。
# 使用 S3 存储桶表评测数据灵敏度
要查看您的亚马逊简单存储服务 (Amazon S3) 存储桶的摘要信息,您可以使用亚马逊 Macie 控制台**上的 S3 存储桶**表。通过使用该表,您可以查看和分析当前通用存储桶的清单 AWS 区域,并向下钻取以查看各个存储分区的详细信息和统计数据。如果您是组织的 Macie 管理员,则该表将包含有关您的成员账户拥有的存储分区的信息。如果您更喜欢以编程方式访问和查询数据,则可以使用 Amazon Macie API 的[DescribeBuckets](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3.html)操作。
要自定义视图,您可以在控制台上对表格进行排序和筛选。您也可以选择将数据从表中导出至逗号分隔值 (CSV) 文件。如果您在表中选择一个 S3 存储桶,则详细信息面板显示有关此存储桶的其他信息。这包括设置详情和统计数据,以及洞察存储桶数据安全和隐私的指标。如果启用了自动敏感数据发现,它还包括采集 Macie 迄今为止为存储桶执行的自动发现活动结果的数据。
**若要使用 S3 存储桶表评测数据灵敏度**
1. 打开亚马逊 Macie 主机,网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. 在导航窗格中,选择** S3 存储桶**。**S3 存储桶**页面显示您的存储桶清单。
默认情况下,该页面不会显示当前被排除在自动敏感数据发现之外的存储桶的数据。如果您是组织的 Macie 管理员,则它也不会显示当前禁用了自动敏感数据发现的账户的数据。要显示这些数据,请在筛选框下方的**由自动发现筛选器监控**标记中选择 **X**。
1. 在页面顶部,选择表 (![\[The table view button, which is a button that displays three black horizontal lines.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/btn-s3-table-view.png))。Macie 会显示您的清单中的存储桶数量和存储桶表。
1. 要从 Amazon S3 获取最新的存储桶元数据,请选择页面顶部的刷新 (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/btn-refresh-data.png))。
如果信息图标 (![\[The information icon, which is a blue circle that has a lowercase letter i in it.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-info-blue.png)) 出现在任何存储桶名称旁边,我们建议您这样操作。此图标表明存储桶是在过去 24 小时内创建的,可能是 Macie 在[每日刷新周期](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh)中最后一次从 Amazon S3 检索存储桶和对象元数据之后创建的。
1. 在 **S3 存储桶**表中查看有关清单内每个存储桶的摘要信息:
+ **灵敏度**:存储桶的当前灵敏度分数。有关 Macie 定义的灵敏度分数范围的信息,请参阅 [S3 存储桶的敏感度评分](discovery-scoring-s3.md)。
+ **存储桶** – 存储桶名称。
+ **账户**-拥有存储桶的 AWS 账户 的账户 ID。
+ **可分类对象** – Macie 可在存储桶中分析以检测敏感数据的对象总数。
+ **可分类大小** – Macie 可在存储桶中分析以检测敏感数据的所有对象的总存储大小。
此值不反映任何压缩对象在解压缩后的实际大小。此外,如果为存储桶启用了版本控制,则此值将基于存储桶中每个最新版本对象的存储大小。
+ **按作业监控**:是否将任何敏感数据发现作业配置为:每天、每周或每月定期分析存储桶中的对象。
如果此字段的值为*是*,则表示该存储桶已显式包含在定期作业中,或者该存储桶在过去 24 小时内符合定期作业的条件。此外,其中至少有一个作业的状态非*已取消*。Macie 每天都会更新这些数据。
+ **最新运行的作业**:如果将任何一次性或定期的敏感数据发现作业配置为分析存储桶中的对象,则此字段表示其中一个作业开始运行的最新日期和时间。否则,该字段中会出现破折号 (-)。
在上述数据中,如果对象使用所支持的 Amazon S3 存储类别,并且其文件扩展名表示支持的文件或存储格式,则对象属于*可分类*。您可以通过使用 Macie 检测对象中的敏感数据。有关更多信息,请参阅 [支持的存储类别和格式](discovery-supported-storage.md)。
1. 要使用表格分析清单,请执行以下操作之一:
+ 要按特定字段对表格进行排序,请选择该字段的列标题。若要更改排序顺序,请再次选择列标题。
+ 要筛选表格并仅显示含特定字段值的存储桶,请将光标置于筛选框内,然后为该字段添加筛选条件。若要进一步优化结果,请为其他字段添加筛选条件。有关更多信息,请参阅 [筛选您的 S3 存储桶清单](monitoring-s3-inventory-filter.md)。
+ 要查看特定存储桶的数据敏感度统计数据和其他信息,请选择该存储桶的名称。然后参阅详细信息面板。如需了解这些详细信息,请参阅[查看 S3 存储桶的详细信息](discovery-asdd-results-s3-inventory-details.md)。
**提示**
在面板的**存储桶详细信息**选项卡,您可以对许多字段进行转置和向下钻取。要显示某个字段中具有相同值的存储桶,请在该字段中选择 ![\[The zoom in icon, which is a magnifying glass that has a plus sign in it.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-magnifying-glass-plus-sign.png)。要显示其他字段值的存储桶,请在字段中选择 ![\[The zoom out icon, which is a magnifying glass that has a minus sign in it.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-magnifying-glass-minus-sign.png)。
1. 要将数据从表格导出到 CSV 文件,请选中要导出的每行的复选框,或者选中选择列标题中的复选框以选择所有行。然后在页面顶部选择**导出到 CSV**。您最多可从表格中导出 50,000 行。
1. 要对一个或多个存储桶中的对象进行更深入、更直接的分析,请选中每个存储桶对应的复选框。然后选择**创建任务**。有关更多信息,请参阅 [创建敏感数据发现作业](discovery-jobs-create.md)。
# 查看 S3 存储桶的数据灵敏度详细信息
随着自动发现敏感数据的进展,您可以查看 Amazon Macie 提供的有关您的每个亚马逊简单存储服务 (Amazon S3) 存储桶的统计数据和其他信息的详细结果。如果您是组织的 Macie 管理员,则这包括您的成员账户拥有的存储桶。
此统计数据和信息包括详细信息,这些详细信息提供了 S3 存储桶数据安全和隐私的洞察。它们还捕获了 Macie 迄今为止为存储桶执行的自动敏感数据发现活动的结果。例如,您可以找到 Macie 在存储桶中分析过的对象的列表。您还可以查看 Macie 在存储桶中发现的敏感数据的类型和出现次数的明细。请注意,这些数据不包括您创建和运行的敏感数据发现任务的结果。
Macie 在执行自动敏感数据发现的同时,会自动重新计算和更新 S3 存储桶的统计数据和详细信息。例如:
+ 如果 Macie 在 S3 对象中找不到敏感数据,Macie 会降低存储桶的灵敏度分数,并在必要时更新存储桶灵敏度标签。Macie 还会将该对象添加到它选择进行分析的对象列表中。
+ 如果 Macie 在 S3 对象中发现敏感数据,Macie 会将这些事件添加至 Macie 在存储桶中发现的、灵敏度数据类型的细分中。Macie 还将提高存储桶的灵敏度分数,并在必要时更新存储桶的灵敏度标签。此外,Macie 还会将该对象添加到其选择进行分析的对象列表中。除了为对象创建敏感数据调查发现之外,还包含此任务。
+ 如果 Macie 在随后更改或删除的 S3 对象中发现敏感数据,Macie 会从存储桶的敏感数据类型细分中删除该对象出现的敏感数据。Macie 还将降低存储桶的灵敏度分数,并在必要时更新存储桶的灵敏度标签。此外,Macie 会将该对象从其选择进行分析的对象列表中移除。
+ 如果 Macie 尝试分析 S3 对象,但问题或错误导致无法进行分析,则 Macie 会将该对象添加到其选择进行分析的对象列表中,并表示无法分析该对象。
如果您是组织的 Macie 管理员或拥有独立的 Macie 账户,则可以选择使用这些详细信息来评估和调整 S3 存储桶的某些自动发现设置。例如,您可将特定类型的敏感数据纳入存储桶分数,或将其移除。有关更多信息,请参阅 [调整 S3 存储桶的敏感度分数](discovery-asdd-s3bucket-manage.md)。
**查看 S3 存储桶数据灵敏度详细信息**
要查看 S3 存储桶的数据敏感度和其他细节,您可以使用亚马逊 Macie 控制台或亚马逊 Macie API。在控制台上,详细信息面板提供对这些信息的集中访问。借助 API,您可以通过编程方式检索和处理数据。
------
#### [ Console ]
按照以下步骤使用 Amazon Macie 控制台查看 S3 存储桶的数据敏感度和其他详细信息。
**查看 S3 存储桶的详细信息**
1. 打开亚马逊 Macie 主机,网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. 在导航窗格中,选择** S3 存储桶**。**S3 存储桶**页面显示您的存储桶清单的交互地图。也可选择页面顶部表格 (![\[The table view button, which is a button that displays three black horizontal lines.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/btn-s3-table-view.png)),以显示您的表格格式清单。
默认情况下,该页面不会显示当前被排除在自动敏感数据发现之外的存储桶的数据。如果您是组织的 Macie 管理员,则它也不会显示当前禁用了自动敏感数据发现的账户的数据。要显示这些数据,请在筛选框下方的**由自动发现筛选器监控**标记中选择 **X**。
1. 要从 Amazon S3 获取最新的存储桶元数据,请选择页面顶部的刷新 (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/btn-refresh-data.png))。
1. 请选择要查看的存储桶的详细信息。详细信息面板显示有关存储桶的数据敏感度统计数据和其他信息。
面板顶部显示有关存储桶的一般信息:存储桶的名称、拥有该存储桶的账户 ID 以及该存储桶的当前敏感度分数。 AWS 账户 如果您是 Macie 管理员或拥有独立的 Macie 账户,它还会提供更改存储桶的某些自动发现设置的选项。其他设置和信息按以下选项卡进行组织:
[灵敏度](#discovery-asdd-results-s3-inventory-sensitivity-details) \$1 [存储桶详情](#discovery-asdd-results-s3-inventory-bucket-details) \$1 [对象样本](#discovery-asdd-results-s3-inventory-sample-details) \$1 [敏感数据发现](#discovery-asdd-results-s3-inventory-sdd-details)
每个选项卡上的单独设置和信息如下所示。
**灵敏度**
此选项卡显示存储桶的当前灵敏度分数,范围从 *-1* 至 *100*。有关 Macie 定义的灵敏度分数范围的信息,请参阅 [S3 存储桶的敏感度评分](discovery-scoring-s3.md)。
该选项卡还详细列出了 Macie 在存储桶对象中发现的敏感数据类型,以及每种类型出现的次数:
+ **敏感数据类型** - 检测数据的托管数据标识符的唯一标识符 (ID),或检测数据的自定义数据标识符名称。
托管数据标识符的 ID 描述了该标识符旨在检测的敏感数据类型,例如,用于检测美国护照号码的 **USA\$1PASSPORT\$1NUMBER**。有关每个托管数据标识符的详细信息,请参阅 [使用托管数据标识符](managed-data-identifiers.md)。
+ **计数** - 托管或自定义数据标识符检测到的数据出现的总次数。
+ **评分状态**:如果您是 Macie 管理员或拥有独立的 Macie 账户,则会显示此字段。它指定是将数据出现次数包括在存储桶的灵敏度分数中还是排除在外。
如果 Macie 计算存储桶的分数,则可以通过在分数中包含或排除特定类型的敏感数据来调整计算方式:选中检测到要包含或排除的敏感数据的标识符对应的复选框,然后在 “**操作**” 菜单上选择一个选项。有关更多信息,请参阅 [调整 S3 存储桶的敏感度分数](discovery-asdd-s3bucket-manage.md)。
如果 Macie 未在存储桶当前存储的对象中找到敏感数据,则此部分将显示 **未找到检测结果** 消息。
请注意,“**灵敏度**” 选项卡不包含在 Macie 分析后更改或删除的对象的数据。如果在分析后更改或删除了对象,Macie 会自动重新计算和更新相应的统计数据和数据以排除这些对象。
**存储桶详细信息**
此选项卡提供关于存储桶设置的详细信息,包括数据安全和隐私设置。例如,您可以查看存储桶的公共访问设置明细,并确定存储桶重复对象还是与其他 AWS 账户分享。
特别值得注意的是,**上次更新时间**字段指示 Macie 最近从 Amazon S3 中检索存储桶或存储桶对象元数据的时间。**最近的自动发现运行时间**字段指示 Macie 最近在执行自动敏感数据发现时分析存储桶对象的时间。如果未进行此分析,则此字段中会出现一个破折号(-)。
该选项卡还提供对象级统计信息,可帮助评测 Macie 可在存储桶中分析的数据量。它还指示是否将任何敏感数据发现任务配置为分析存储桶中的对象。如果有,您可以访问最近运行作业的详细信息,然后选择显示作业产生的任何调查发现。
在某些情况下,此选项卡可能不包含存储桶的所有详细信息。如果您在 Amazon S3 中存储的存储桶超过 10,000 个,则可能会发生这种情况。Macie 仅为一个账户维护 10,000 个存储桶的完整库存数据,即最近创建或更改的 10,000 个存储桶。但是,Macie 可以分析存储桶中超过此配额的对象。要查看存储桶的更多详细信息,请使用 Amazon S3。
有关此选项卡的更多详情,请参阅 [查看 S3 存储桶的详细信息](monitoring-s3-inventory-review.md#monitoring-s3-inventory-view-details)。
**对象示例**
此选项卡列出了 Macie 在为存储桶执行自动敏感数据发现时选择的分析对象。选择对象名称,以打开 Amazon S3 并显示对象属性。
该列表包含最多 100 个对象的数据。此列表基于**对象灵敏度**字段值填充:**敏感**后跟**不敏感**,后跟 Macie 无法分析的对象。
在列表中,**对象灵敏度** 字段指示 Macie 是否在对象中找到了敏感数据:
+ **敏感**:Macie 发现对象中至少出现过一次敏感数据。
+ **不敏感**:Macie 未在对象中找到敏感数据。
+ **—**(*短划线*):因问题或错误,Macie 无法完成对对象的分析。
**分类结果** 字段指示 Macie 是否能够分析对象:
+ **完成**:Macie 完成了对对象的分析。
+ **部分**:由于问题或错误,Macie 仅分析部分对象数据。例如,该对象是一个存档文件,其中包含不支持的格式的文件。
+ **已跳过**:因问题或错误,Macie 无法分析对象中的任何数据。例如,使用不允许 Macie 使用的密钥加密对象。
请注意,该列表不包括 Macie 分析或尝试分析后更改或删除的对象。如果某个对象随后被更改或删除,Macie 会自动从列表中移除此对象。
**敏感数据发现**
此选项卡为存储桶提供聚合、自动敏感数据发现统计信息:
+ **已分析字节数**:Macie 在存储桶中分析的数据总量(以字节为单位)。
+ **可分类字节**:Macie 可在存储桶中分析的所有对象的总存储大小(以字节计)。这些对象使用所支持的 Amazon S3 存储类别,并且其文件扩展名表示支持的文件或存储格式。有关更多信息,请参阅 [支持的存储类别和格式](discovery-supported-storage.md)。
+ **检测总数** - Macie 在存储桶中发现的敏感数据的总出现次数。这包括当前被存储桶的灵敏度评分设置隐藏的事件。
**已分析对象**图表显示 Macie 在存储桶中分析的对象总数。它呈现了 Macie 在其中找到/未找到敏感数据的对象数量。图表下方的图例介绍了这些结果的细分:
+ **敏感对象**(*红色*)- Macie 在其中发现至少一次敏感数据的对象总数。
+ **非敏感对象**(*蓝色*)- Macie 未在其中找到敏感数据的对象总数。
+ **跳过的对象**(*深灰色*)- Macie 因问题或错误而无法分析的对象总数。
该图表图例下方区域详细列出了 Macie 因某些类型的权限问题或加密错误而无法分析对象的情况:
+ **已跳过:无效加密**:使用客户提供的密钥加密的对象总数。Macie 无法访问这些密钥。
+ **已跳过:KMS 无效** — 使用 AWS Key Management Service (AWS KMS) 密钥加密但不再可用的对象总数。这些对象使用 AWS KMS keys 已禁用、计划删除或已删除的对象进行加密。Macie 无法使用这些密钥。
+ **已跳过:权限被拒绝**:因对象的权限设置或用于加密对象密钥的权限设置、导致 Macie 无法访问的对象总数。
有关这些以及可能发生的其他类型的问题和错误的详细信息,请参阅 [修复覆盖率问题](discovery-coverage-remediate.md)。如果您修复了这些问题和错误,则可以在后续分析周期中扩大存储桶数据的覆盖范围。
**敏感数据发现**选项卡上的统计信息中,不包括 Macie 分析或尝试分析后更改或删除的对象数据。如果在 Macie 分析或尝试分析对象后对其进行了更改或删除,Macie 会自动重新计算这些统计数据以排除这些对象。
------
#### [ API ]
要以编程方式检索 S3 存储桶的数据敏感度和其他详细信息,您有多种选择。适当的选项取决于您要检索的详细信息:
+ 要检索存储桶的当前敏感度分数和汇总的分析统计数据,请使用[GetResourceProfile](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles.html)操作。或者,如果您使用的是 AWS Command Line Interface (AWS CLI),请运行该[get-resource-profile](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-resource-profile.html)命令。统计数据包括诸如 Macie 已分析的对象数量以及 Macie 在其中发现敏感数据的对象数量之类的数据。
+ 要检索 Macie 在存储桶中发现的敏感数据的类型和数量的明细,请使用[ListResourceProfileDetections](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles-detections.html)操作。或者,如果您使用的是 AWS CLI,请运行该[list-resource-profile-detections](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-resource-profile-detections.html)命令。细分还提供了有关检测到每种敏感数据的托管或自定义数据标识符的详细信息。
+ 要检索 Macie 从存储桶中选择的最多 100 个对象进行分析的列表,请使用[ListResourceProfileArtifacts](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles-artifacts.html)操作。或者,如果您使用的是 AWS CLI,请运行该[list-resource-profile-artifacts](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-resource-profile-artifacts.html)命令。对于每个对象,该列表指定:对象的 Amazon 资源名称 (ARN)、Macie 是否完成了对该对象的分析;以及 Macie 是否在对象中发现了敏感数据。
在您的请求中,使用`resourceArn`参数指定要检索其详细信息的存储桶的 ARN。如果您使用的是 AWS CLI,请使用`resource-arn`参数指定 ARN。
有关 S3 存储桶的其他详细信息,例如存储桶的公共访问设置,请使用[DescribeBuckets](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3.html)操作。如果您使用的是 AWS CLI,请运行 desc [ribe-buckets 命令来检索](https://docs.aws.amazon.com/cli/latest/reference/macie2/describe-buckets.html)这些详细信息。在您的请求中,可以选择使用筛选条件来指定存储桶的名称。有关更多信息以及示例,请参阅 [筛选您的 S3 存储桶清单](monitoring-s3-inventory-filter.md)。
以下示例说明如何使用检索 S3 存储桶的数据敏感度详细信息。 AWS CLI 第一个示例检索存储桶的当前敏感度分数和聚合分析统计信息。
```
$ aws macie2 get-resource-profile --resource-arn arn:aws:s3:::amzn-s3-demo-bucket
```
存储*arn:aws:s3:::amzn-s3-demo-bucket*桶的 ARN 在哪里。如果请求成功,您将收到类似于以下内容的输出:
```
{
"profileUpdatedAt": "2024-11-21T15:44:46+00:00",
"sensitivityScore": 83,
"sensitivityScoreOverridden": false,
"statistics": {
"totalBytesClassified": 933599,
"totalDetections": 3641,
"totalDetectionsSuppressed": 0,
"totalItemsClassified": 111,
"totalItemsSensitive": 84,
"totalItemsSkipped": 1,
"totalItemsSkippedInvalidEncryption": 0,
"totalItemsSkippedInvalidKms": 0,
"totalItemsSkippedPermissionDenied": 0
}
}
```
下一个示例检索 Macie 在 S3 存储桶中发现的敏感数据类型的明细,以及每种类型的出现次数。细分还指定了哪个托管数据标识符或自定义数据标识符检测到了数据。如果分数是由 Macie 自动计算的,它还会指示当前是否将事件从存储桶的敏感度分数中排除 (`suppressed`)。
```
$ aws macie2 list-resource-profile-detections --resource-arn arn:aws:s3:::amzn-s3-demo-bucket
```
存储*arn:aws:s3:::amzn-s3-demo-bucket*桶的 ARN 在哪里。如果请求成功,您将收到类似于以下内容的输出:
```
{
"detections": [
{
"count": 8,
"id": "AWS_CREDENTIALS",
"name": "AWS_CREDENTIALS",
"suppressed": false,
"type": "MANAGED"
},
{
"count": 1194,
"id": "CREDIT_CARD_NUMBER",
"name": "CREDIT_CARD_NUMBER",
"suppressed": false,
"type": "MANAGED"
},
{
"count": 1194,
"id": "CREDIT_CARD_SECURITY_CODE",
"name": "CREDIT_CARD_SECURITY_CODE",
"suppressed": false,
"type": "MANAGED"
},
{
"arn": "arn:aws:macie2:us-east-1:123456789012:custom-data-identifier/3293a69d-4a1e-4a07-8715-208ddexample",
"count": 8,
"id": "3293a69d-4a1e-4a07-8715-208ddexample",
"name": "Employee IDs with keyword",
"suppressed": false,
"type": "CUSTOM"
},
{
"count": 1237,
"id": "USA_SOCIAL_SECURITY_NUMBER",
"name": "USA_SOCIAL_SECURITY_NUMBER",
"suppressed": false,
"type": "MANAGED"
}
]
}
```
此示例检索 Macie 从 S3 存储桶中选择的用于分析的对象列表。对于每个对象,该列表还会指示 Macie 是否完成了对该对象的分析,以及 Macie 是否在对象中发现了敏感数据。
```
$ aws macie2 list-resource-profile-artifacts --resource-arn arn:aws:s3:::amzn-s3-demo-bucket
```
存储*arn:aws:s3:::amzn-s3-demo-bucket*桶的 ARN 在哪里。如果请求成功,您将收到类似于以下内容的输出:
```
{
"artifacts": [
{
"arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object1.csv",
"classificationResultStatus": "COMPLETE",
"sensitive": true
},
{
"arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object2.xlsx",
"classificationResultStatus": "COMPLETE",
"sensitive": true
},
{
"arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object3.json",
"classificationResultStatus": "COMPLETE",
"sensitive": true
},
{
"arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object4.pdf",
"classificationResultStatus": "COMPLETE",
"sensitive": true
},
{
"arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object5.zip",
"classificationResultStatus": "PARTIAL",
"sensitive": true
},
{
"arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object6.vssx",
"classificationResultStatus": "SKIPPED"
}
]
}
```
------
# 分析自动敏感数据发现的调查发现
当 Amazon Macie 执行自动敏感数据发现时,它会为在其中发现敏感数据的每个 Amazon Simple Storage Service (Amazon S3)对象创建敏感数据调查发现。*敏感数据调查发现*是 Macie 在 S3 对象中发现的敏感数据的详细报告。调查发现不包括 Macie 发现的敏感数据。相反,它提供了用于进一步调查和必要补救的信息。
每项敏感数据调查发现都会提供严重性评级和详细信息,例如:
+ Macie 发现敏感数据的日期与时间。
+ Macie 发现敏感数据的类别和类型。
+ Macie 发现的每种敏感数据的出现次数。
+ Macie 是如何找到敏感数据、自动敏感数据发现或敏感数据发现任务作业。
+ 受影响的 S3 存储桶和对象的名称、公开访问设置、加密类型和其他信息。
根据受影响 S3 对象的文件类型或存储格式,详细信息还可能包括 Macie 发现的、多达 15 处敏感数据的位置。
Macie 会将敏感数据调查发现存储 90 天。您可以使用 Amazon Macie 控制台或 Amazon Macie API 访问它们。您还可以使用其他应用程序、服务和系统,监控和处理调查发现。有关更多信息,请参阅 [查看和分析调查发现](findings.md)。
**要分析自动敏感数据发现所得出的结果**
若要识别和分析 Macie 在为您的账户执行自动敏感数据发现时创建的调查发现,您可筛选调查发现。您可通过筛选条件,指定调查发现属性,以构建自定义视图和调查发现查询。筛选调查发现,您可以使用 Amazon Macie 控制台,也可以使用 Amazon Macie API 以编程方式提交查询。有关更多信息,请参阅 [筛选调查发现](findings-filter-overview.md)。
**注意**
如果您的账户属于集中管理多个 Macie 账户的组织,则只有您的组织的 Macie 管理员才能直接访问自动敏感数据发现为您组织中的账户生成的调查发现。如果您拥有成员账户,并且想要查看账户的调查发现,请联系您的 Macie 管理员。
------
#### [ Console ]
按照以下步骤,使用 Amazon Macie 控制台识别和分析调查发现。
**要分析自动发现所得出的调查发现**
1. 打开亚马逊 Macie 主机,网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. 在导航窗格中,选择 **调查发现**。
1. 要显示被[抑制规则](findings-suppression.md)隐藏的调查发现,请使用**调查发现状态**设置。选择**全部**可同时显示隐藏和未隐藏的调查发现,或者选择**已存档**以仅显示隐藏的调查发现。然后要再次隐藏被抑制的调查发现,请选择**当前**。
1. 将光标置于**筛选标准**框。在出现的字段列表中,选择 **原始类型**。
此字段指定 Macie 是如何找到敏感数据(生成调查发现)、自动敏感数据发现或敏感数据发现任务作业。要在筛选字段列表中查找此字段,您可以浏览完整列表,或者输入部分字段名称以缩小字段列表范围。
1. 选择 **AUTOMATED\$1SENSITIVE\$1DATA\$1DISCOVERY** 作为该字段的值,然后选择**应用**。Macie 应用筛选标准并将该条件添加到**筛选标准**框中的筛选条件令牌中。
1. 若要细化结果,请为其他字段添加筛选条件,例如:**创建时间**表示调查发现创建的时间;**S3 存储桶名称**表示受影响存储桶的名称;或**敏感数据检测类型**表示检测和产生调查发现的敏感类型。
如果您想在随后再次使用这组条件,可以将其另存为筛选规则。为此,请在**筛选标准**框中选择**保存规则**。输入规则的名称和描述(可选)。完成后,选择**保存**。
------
#### [ API ]
要以编程方式识别和分析调查结果,请在使用 Amazon Macie API 的[ListFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings.html)或[GetFindingStatistics](https://docs.aws.amazon.com/macie/latest/APIReference/findings-statistics.html)操作提交的查询中指定筛选条件。该**ListFindings**操作返回一个查找结果数组 IDs,每个符合筛选条件的查找结果对应一个 ID。然后,您可以使用它们 IDs 来检索每个发现的详细信息。**GetFindingStatistics** 操作会返回与筛选条件匹配的所有调查发现的汇总统计数据,这些数据按您在请求中指定的字段分组。有关以编程方式筛选调查发现的更多信息,请参阅 [筛选调查发现](findings-filter-overview.md)。
在筛选条件中,纳入 `originType` 字段条件。此字段指定 Macie 是如何找到敏感数据(生成调查发现)、自动敏感数据发现或敏感数据发现任务作业。如果自动敏感数据发现得出了调查发现,则该字段的值为 `AUTOMATED_SENSITIVE_DATA_DISCOVERY`。
要使用 AWS Command Line Interface (AWS CLI) 识别和分析调查结果,请运行 [list-](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-findings.html) findings 或[get-finding-statistics](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-finding-statistics.html)命令。以下示例使用**list-findings**命令检索当前 AWS 区域自动发现 IDs 敏感数据的所有高严重性发现结果的结果。
此示例针对 Linux、macOS 或 Unix 进行格式化,并使用反斜杠 (\$1) 行继续符来提高可读性。
```
$ aws macie2 list-findings \
--finding-criteria '{"criterion":{"classificationDetails.originType":{"eq":["AUTOMATED_SENSITIVE_DATA_DISCOVERY"]},"severity.description":{"eq":["High"]}}}'
```
此示例针对 Microsoft Windows 进行格式化,并使用脱字号 (^) 行继续符来提高可读性。
```
C:\> aws macie2 list-findings ^
--finding-criteria={\"criterion\":{\"classificationDetails.originType\":{\"eq\":[\"AUTOMATED_SENSITIVE_DATA_DISCOVERY\"]},\"severity.description\":{\"eq\":[\"High\"]}}}
```
其中:
+ `classificationDetails.originType` 指定 **原始类型** 字段的 JSON 名称,以及:
+ `eq` 指定 *等于* 运算符。
+ `AUTOMATED_SENSITIVE_DATA_DISCOVERY` 是该字段的枚举值。
+ *`severity.description`* 指定 **严重性** 字段的 JSON 名称,以及:
+ *`eq`* 指定 *等于* 运算符。
+ *`High`* 是该字段的枚举值。
如果请求成功,Macie 将返回一个数组。`findingIds`该数组列出了符合筛选标准的每个调查发现的唯一标识符,如以下示例所示。
```
{
"findingIds": [
"1f1c2d74db5d8caa76859ec52example",
"6cfa9ac820dd6d55cad30d851example",
"702a6fd8750e567d1a3a63138example",
"826e94e2a820312f9f964cf60example",
"274511c3fdcd87010a19a3a42example"
]
}
```
如果没有符合筛选条件的调查发现,Macie 将返回空`findingIds`数组。
```
{
"findingIds": []
}
```
------
# 访问自动敏感数据发现产生的发现结果
当 Amazon Macie 执行自动敏感数据发现时,它会为其选择进行分析的每个 Amazon Simple Storage Service (Amazon S3) 对象创建分析记录。这些记录称为*敏感数据发现*,记录有关 Macie 对单个 S3 对象执行的分析详细信息。这包括 Macie 认为不包含敏感数据的对象,以及 Macie 因错误或权限设置等问题而无法分析的对象。敏感数据发现结果为您提供分析记录,这些记录可能有助于数据隐私和保护审计或调查。
如果 Macie 在 S3 对象中发现敏感数据,敏感数据发现结果就会提供 Macie 发现的敏感数据的相关信息。这些信息包括敏感数据调查发现所提供的相同类型的详细信息。它还提供了其他信息,例如 Macie 发现的每种敏感数据出现多达 1000 次的位置。例如:
+ Microsoft Excel 工作簿、CSV 文件或 TSV 文件中单元格或字段的列号和行号
+ JSON 或 JSON Lines 文件中的字段或数组路径
+ 除 CSV、JSON、JSON Lines 或 TSV 文件之外的非二进制文本文件中的行号,例如 HTML、TXT 或 XML 文件
+ Adobe 可移植文档格式 (PDF) 文件中页面的页码
+ Apache Avro 对象容器或 Apache Parquet 文件中记录的字段的记录索引和路径
如果受影响的 S3 对象是存档文件(如 .tar 或 .zip 文件),则敏感数据发现结果还会提供 Macie 从存档中提取的单个文件中敏感数据出现的详细位置数据。Macie 不会在存档文件的敏感数据调查发现中包含此信息。为了报告位置数据,敏感数据发现结果使用[标准化 JSON 架构](findings-locate-sd-schema.md)。
**注意**
与敏感数据调查发现的情况一样,敏感数据发现结果不包括 Macie 在 S3 对象中发现的敏感数据。相反,他们提供了有助于审计或调查的分析详细信息。
Macie 会将您的敏感数据发现结果存储 90 天。您无法直接在 Amazon Macie 控制台或使用 Amazon Macie API 访问它们。相反,您可以配置 Macie 将其加密并存储至 S3 存储桶内。存储桶可以用作所有敏感数据发现结果的最终长期存储库。要确定是否已为您的账户配置了此存储库,请在 Amazon Macie 控制台的导航窗格中选择**发现结果**。要以编程方式执行此[GetClassificationExportConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/classification-export-configuration.html)操作,请使用亚马逊 Macie API 的操作。如果您尚未为账户配置此存储库,请参阅 [存储和保留敏感数据发现结果](discovery-results-repository-s3.md) 以了解具体操作方法。
将 Macie 配置为将敏感数据发现存储在 S3 存储桶中后,Macie 会将结果写入 JSON Lines (.jsonl) 文件,然后加密这些文件并将其作为 GNU Zip (.gz) 文件添加至存储桶。对于自动敏感数据发现,Macie 会将文件添加至存储桶中名为 `automated-sensitive-data-discovery` 文件夹中。然后,您可以选择访问和查询该文件夹中的结果。如果您的账户属于集中管理多个 Macie 账户的组织,则 Macie 会将文件添加到您的 Macie 管理员账户的存储桶中的 `automated-sensitive-data-discovery` 文件夹中。
敏感数据发现结果符合标准模式。这可以帮助您使用其他应用程序、服务和系统进行查询、监控和处理。有关如何查询和使用这些结果的详细说明性示例,请参阅*AWS 安全*博客上的以下博客文章:[如何使用 Amazon Athena 和 Amazon Quick 查询和可视化 Macie 敏感数据发现结果](https://aws.amazon.com/blogs/security/how-to-query-and-visualize-macie-sensitive-data-discovery-results-with-athena-and-quicksight/)。有关可用于分析结果的 Athena 查询示例,请访问上的 Amazon [Macie 结果分析存储](https://github.com/aws-samples/amazon-macie-results-analytics)库。 GitHub此存储库还提供了有关配置 Athena 以检索和解密结果的说明,以及用于为结果创建表的脚本。
# 评测自动敏感数据发现覆盖率
随着自动发现您的账户或组织敏感数据的进展,Amazon Macie 会提供统计数据和详细信息,以帮助您评测和监控其对 Amazon Simple Storage Service (Amazon S3) 数据资产的覆盖率。利用这些数据,您可以检查您的整个数据资产以及其中各个 S3 存储桶的自动敏感数据发现状态。您还可以找出阻碍 Macie 分析特定存储桶中对象的问题。如果您修复了这些问题,则可以在后续分析周期中扩大 Amazon S3 数据的覆盖范围。
覆盖率数据提供了对当前 AWS 区域中 S3 通用存储桶中自动敏感数据发现的当前状态的快照。如果您是组织的 Macie 管理员,则这包括您的成员账户拥有的存储桶。对于每个存储桶,数据表明 Macie 尝试分析存储桶中的对象时是否出现问题。如果出现问题,则数据会显示每个问题的性质,在某些情况下,还会显示出现的次数。数据会随着每天自动敏感数据发现的进展而更新。如果 Macie 在每日分析周期内分析或尝试分析存储桶中的一个或多个对象,Macie 会更新覆盖率和其他数据以反映结果。
对于某些类型的问题,您可以查看所有 S3 通用存储桶的汇总数据,也可以选择深入了解有关每个存储桶的更多详细信息。例如,覆盖率数据可以帮助您快速识别 Macie 不允许您账户访问的所有存储桶。覆盖率数据还会报告发生的对象级问题。这些问题被称为*分类错误*,使 Macie 无法分析存储桶中的特定对象。例如,您可以确定 Macie 无法在存储桶中分析多少对象,因为这些对象是使用不再可用的 AWS Key Management Service (AWS KMS) 密钥加密的。
如果您使用 Amazon Macie 控制台查看覆盖率数据,则您的数据视图包括修复每类问题的指南。本节的后续主题还为每种类型提供了补救指导。
**Topics**
+ [查看覆盖率数据](discovery-coverage-review.md)
+ [修复覆盖率问题](discovery-coverage-remediate.md)
# 查看自动敏感数据发现的覆盖率数据
要通过自动敏感数据发现查看和评测覆盖率,您可以使用 Amazon Macie 控制台或 Amazon Macie API。控制台和 API 都提供了数据,这些数据可显示在当前 AWS 区域中对您的 Amazon Simple Storage Service (Amazon S3) 通用存储桶进行的分析的当前状态。这些数据包括有关在分析中造成差距的问题的信息:
+ 不允许 Macie 访问的存储桶。Macie 无法分析这些存储桶内的任何对象。存储桶的权限设置会阻止 Macie 访问存储桶和存储桶对象。
+ 不存储任何可分类对象的存储桶。Macie 无法分析这些存储桶内的任何对象。所有对象使用 Macie 不支持的 Amazon S3 存储类别,并且其文件扩展名表示 Macie 不支持的文件或存储格式。
+ 由于对象级分类错误,Macie 尚未能够分析的存储桶。Macie 试图分析这些存储桶中的一个或多个对象。但是,由于对象级权限设置、对象内容或配额存在问题,Macie 无法分析对象。
覆盖率数据会随着每天自动敏感数据发现的进展而更新。如果您是一个组织的 Macie 管理员,则这些数据将包含您的成员账户拥有的 S3 存储桶的信息。
**注意**
覆盖率数据并未明确包含您创建和运行的敏感数据发现任务的结果。但是,修复影响自动敏感数据发现结果的覆盖范围问题也可能增加您随后运行的敏感数据发现作业的覆盖范围。要评测某项作业的覆盖率,[请查看该作业的结果](discovery-jobs-manage-results.md)。如果作业的日志事件或其他结果表明存在覆盖率问题,[自动敏感数据发现的补救指南](discovery-coverage-remediate.md)可以帮助您解决其中一些问题。
**若要查看自动敏感数据发现的覆盖率数据**
要查看自动敏感数据发现的覆盖率数据,您可以使用 Amazon Macie 控制台或 Amazon Macie API。在控制台中,单个页面提供了当前区域中所有 S3 通用存储桶的覆盖率数据的统一视图。这包括每个存储桶最近发生的问题的汇总。该页面还提供了按问题类型查看数据组的选项。要跟踪您对特定存储桶问题的调查,您可以将页面中的数据导出到逗号分隔值 (CSV) 文件中。
------
#### [ Console ]
按照以下步骤使用 Amazon Macie 控制台查看覆盖率数据。
**若要查看覆盖率数据**
1. 打开亚马逊 Macie 主机,网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. 在导航窗格中,选择**资源覆盖率**。
1. 在**资源覆盖率**页面上,选择要查看的覆盖率数据类型的选项卡:
+ **全部**-列出您账户的所有存储桶。对于每个存储桶,**问题**字段会显示是否存在问题阻止 Macie 分析存储桶中的对象。如果此字段的值为**无**,则表示 Macie 已经分析了存储桶的至少一个对象,或者 Macie 尚未尝试分析该存储桶的任何对象。如果存在问题,则此字段会显示问题的性质以及如何修复问题。对于对象级分类错误,它还可以(在括号中)显示错误的出现次数。
+ **访问被拒绝**:列出不允许 Macie 访问的存储桶。这些存储桶的权限设置会阻止 Macie 访问存储桶和存储桶的对象。因此,Macie 无法分析存储桶中的任何对象。
+ **分类错误**:列出 Macie 由于对象级分类错误(对象级权限设置、对象内容或配额存在问题)而尚未分析的存储桶。对于每个存储桶,**问题**字段会显示所发生的每种类型的错误的性质,这些错误阻止 Macie 分析存储桶中的对象。它还显示如何修复每种类型的错误。根据错误的不同,它还可以(在括号中)显示错误的出现次数。
+ **不可分类**:列出 Macie 无法分析的存储桶,因为它们不存储任何可分类的对象。这些存储桶中的所有对象都使用不支持的 Amazon S3 存储类别,或者对不支持的文件或存储格式具有文件扩展名。因此,Macie 无法分析存储桶中的任何对象。
1. 要深入查看一个存储桶的支持数据,请选择该存储桶的名称。然后,请参阅详细信息面板,了解有关该存储桶的统计数据和其他信息。
1. 要将表格导出为 CSV 文件,请选择页面顶部的**导出到 CSV**。生成的 CSV 文件包含表中每个存储桶的元数据子集,最多 50000 个存储桶。该文件包含**覆盖率问题**字段。此字段的值表明问题是否阻止 Macie 分析存储桶中的对象,如果是,则指示问题的性质。
------
#### [ API ]
要以编程方式查看覆盖率数据,请在使用 Amazon Macie API 的[DescribeBuckets](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3.html)操作提交的查询中指定筛选条件。此操作返回对象数组。每个对象都包含与筛选条件相匹配的 S3 通用存储桶的统计数据和其他信息。
在筛选条件中,包括要查看的覆盖率数据类型的条件:
+ 要识别由于存储桶的权限设置而不允许 Macie 访问的存储桶,请包括 `errorCode` 字段值等于 `ACCESS_DENIED` 的条件。
+ 要识别允许 Macie 访问但尚未分析的存储桶,请包括 `sensitivityScore` 字段值等于 `50` 且 `errorCode` 字段值不等于 `ACCESS_DENIED` 的条件。
+ 要识别因所有存储分区对象都使用不支持的存储类或格式而导致 Macie 无法分析的存储桶,请包括 `classifiableSizeInBytes` 字段值等于 `0` 且 `sizeInBytes` 字段值大于 `0` 的条件。
+ 要识别 Macie 已经分析了至少一个对象的存储桶,请包括 `sensitivityScore` 字段值在 1—99 范围内但不等于 `50` 的条件。要同时包括您手动分配最高分数的存储桶,范围应为 1—100。
+ 要识别 Macie 由于对象级分类错误而尚未分析的存储桶,请包括 `sensitivityScore` 字段值等于 `-1` 的条件。然后,要查看特定存储桶发生的错误类型和错误数量的明细,请使用[GetResourceProfile](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles.html)操作。
如果您使用的是 AWS Command Line Interface (AWS CLI),请通过运行 desc [ribe-b](https://docs.aws.amazon.com/cli/latest/reference/macie2/describe-buckets.html) uckets 命令在您提交的查询中指定筛选条件。要查看特定 S3 存储桶发生的错误类型和数量的明细(如果有),请运行该[get-resource-profile](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-resource-profile.html)命令。
例如,以下 AWS CLI 命令使用筛选条件来检索 Macie 由于存储桶的权限设置而无法访问的所有 S3 存储桶的详细信息。
此示例的格式适用于 Linux、macOS 或 Unix:
```
$ aws macie2 describe-buckets --criteria '{"errorCode":{"eq":["ACCESS_DENIED"]}}'
```
此示例的格式适用于 Microsoft Windows:
```
C:\> aws macie2 describe-buckets --criteria={\"errorCode\":{\"eq\":[\"ACCESS_DENIED\"]}}
```
如果请求成功,Macie 将返回一个 `buckets` 数组。该数组包含每个 S3 存储桶的对象,该对象位于当前存储桶中, AWS 区域 并且符合筛选条件。
如果没有符合筛选条件的 S3 存储桶,Macie 将返回一个空 `buckets` 数组。
```
{
"buckets": []
}
```
有关在查询中指定筛选条件的更多信息(包括常用条件的示例),请参阅 [筛选您的 S3 存储桶清单](monitoring-s3-inventory-filter.md)。
------
有关帮助您解决覆盖率问题的详细信息,请参阅 [修复自动敏感数据发现的覆盖率问题](discovery-coverage-remediate.md)。
# 修复自动敏感数据发现的覆盖率问题
随着每天自动敏感数据发现的进展,Amazon Macie 会提供统计数据和详细信息,以帮助您评测和监控其对 Amazon Simple Storage Service (Amazon S3) 数据资产的覆盖率。通过[查看覆盖率数据](discovery-coverage-review.md),您可以检查您的整个数据资产以及其中各个 S3 存储桶的自动敏感数据发现状态。您还可以找出阻碍 Macie 分析特定存储桶中对象的问题。如果您修复了这些问题,则可以在后续分析周期中扩大 Amazon S3 数据的覆盖范围。
Macie 报告了几类问题,这些问题会通过自动敏感数据发现降低 Amazon S3 数据的覆盖率。这包括阻止 Macie 分析 S3 存储桶中任何对象的存储桶级别问题。它还包括对象级别问题。这些问题被称为*分类错误*,使 Macie 无法分析存储桶中的特定对象。以下信息可帮助您调查和修复问题。
**Topics**
+ [拒绝访问](#discovery-issues-access-denied)
+ [分类错误:内容无效](#discovery-issues-invalid-content)
+ [分类错误:加密无效](#discovery-issues-classification-error-invalid-encryption)
+ [分类错误:KMS 密钥无效](#discovery-issues-classification-error-invalid-key)
+ [分类错误:权限被拒绝](#discovery-issues-classification-error-permission-denied)
+ [不可分类](#discovery-issues-unclassifiable)
**提示**
要调查 S3 存储桶的对象级分类错误,请先查看该存储桶的对象样本列表。此列表显示 Macie 在存储桶中分析或尝试分析哪些对象,最多可包含 100 个对象。
要查看 Amazon Macie 控制台上的列表,请在 **S3 存储桶**页面上选择存储桶,然后在详细信息面板中选择**对象示例**选项卡。要以编程方式查看列表,请使用亚马逊 Macie API 的[ListResourceProfileArtifacts](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles-artifacts.html)操作。如果某个对象的分析状态为**已跳过** (`SKIPPED`),则可能是该对象导致了错误。
## 拒绝访问
此问题表明 S3 存储桶的权限设置阻止 Macie 访问该存储桶和存储桶的对象。Macie 无法检索和分析存储桶内的任何对象。
**详细信息**
此类问题的最常见原因是限制性存储桶策略。*存储桶策略*是一种基于资源的 AWS Identity and Access Management (IAM) 策略,它指定委托人(用户、账户、服务或其他实体)可以对 S3 存储桶执行哪些操作,以及委托人可以在哪些条件下执行这些操作。*限制性存储桶策略*使用明确的 `Allow` 或 `Deny` 声明,根据特定条件授予或限制对存储桶数据的访问权限。例如,存储桶策略可能包含拒绝访问存储桶的 `Allow` 或 `Deny` 语句,除非使用特定的源 IP 地址访问存储桶。
如果 S3 存储桶的存储桶策略包含带有一个或多个条件的明确 `Deny` 声明,则可能不允许 Macie 检索和分析存储桶的对象以检测敏感数据。Macie 只能提供有关存储桶的部分信息,例如存储桶的名称和创建日期。
**补救指南**
要修复此问题,请更新 S3 存储桶的存储桶策略。确保该策略允许 Macie 访问存储桶和存储桶的对象。要允许此访问权限,请在策略中添加 Macie 服务相关角色 (`AWSServiceRoleForAmazonMacie`) 的条件。该条件应将 Macie 服务相关角色排除在与策略 `Deny` 限制的匹配范围之外。它可以通过使用 `aws:PrincipalArn` 全局条件上下文密钥和您账户的 Macie 服务相关角色的 Amazon 资源名称(ARN)实现这一点。
如果您更新存储桶策略且 Macie 获得了对 S3 存储桶的访问权限,Macie 将检测到更改。发生这种情况时,Macie 将更新统计数据、库存数据以及它提供的有关您的 Amazon S3 数据的其他信息。此外,在随后的分析周期中,存储桶的对象将具有更高的优先级进行分析。
**其他参考资料**
有关更新 S3 存储桶策略以允许 Macie 访问存储桶的更多信息,请参阅[允许 Macie 访问 S3 存储桶和对象](monitoring-restrictive-s3-buckets.md)。有关使用存储桶策略控制存储桶访问权限的信息,请参阅 *Amazon Simple Storage Service 用户指南*中的[存储桶策略](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html)以及 [Amazon S3 如何授权请求](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-s3-evaluates-access-control.html)。
## 分类错误:内容无效
如果 Macie 尝试分析 S3 存储桶中的对象,但该对象格式不正确,或者该对象包含的内容超过敏感数据发现配额,则会发生此类分类错误。Macie 无法分析该对象。
**详细信息**
出现此错误的原因通常是因为 S3 对象是格式错误或损坏的文件。因此,Macie 无法解析和分析文件中的所有数据。
如果对 S3 对象的分析超过单个文件的敏感数据发现配额,也会发生此错误。例如,对象的存储大小超过了该类型文件的大小配额。
无论哪种情况,Macie 都无法完成对 S3 对象的分析,并且该对象的分析状态为**已跳过** (`SKIPPED`)。
**补救指南**
要调查此错误,请下载 S3 对象并检查文件的格式和内容。此外,还要根据 Macie 配额评测文件内容,以发现敏感数据。
如果您不修复此错误,Macie 将尝试分析 S3 存储桶中的其他对象。如果 Macie 成功分析了另一个对象,Macie 将更新覆盖率数据以及它提供的有关该存储桶的其他信息。
**其他参考资料**
有关敏感数据发现配额的列表,包括某些类型的文件的配额,请参阅 [Macie 的限额](macie-quotas.md)。有关 Macie 如何更新敏感度分数以及它提供的有关 S3 存储桶的其他信息的信息,请参阅 [自动敏感数据发现的工作原理](discovery-asdd-how-it-works.md)。
## 分类错误:加密无效
如果 Macie 尝试分析 S3 存储桶中的对象,并且该对象使用客户提供的密钥进行加密,则会发生此类分类错误。该对象使用 SSE-C 加密,这意味着 Macie 无法检索和分析该对象。
**详细信息**
Amazon S3 支持多种 S3 对象的加密选项。对于其中的大多数选项,Macie 都可以使用您账户的 Macie 服务关联角色来解密对象。但是,这取决于其使用的加密类型。
要让 Macie 解密 S3 对象,必须使用 Macie 可以访问并允许使用的密钥对该对象进行加密。如果使用客户提供的密钥对对象进行加密,则 Macie 无法提供从 Amazon S3 检索该对象所需的密钥材料。因此,Macie 无法分析该对象,并且该对象的分析状态为**已跳过** (`SKIPPED`)。
**补救指南**
要纠正此错误,请使用 Amazon S3 托管密钥或 AWS Key Management Service (AWS KMS) 密钥加密 S3 对象。如果您更喜欢使用 AWS KMS 密钥,则密钥可以是 AWS 托管 KMS 密钥或允许 Macie 使用的客户托管 KMS 密钥。
要使用 Macie 可以访问和使用的密钥加密现有 S3 对象,您可以更改对象的加密设置。要使用 Macie 可以访问和使用的密钥加密新对象,请更改 S3 存储桶的默认加密设置。还要确保存储桶的策略不要求使用客户提供的密钥对新对象进行加密。
如果您不修复此错误,Macie 将尝试分析 S3 存储桶中的其他对象。如果 Macie 成功分析了另一个对象,Macie 将更新覆盖率数据以及它提供的有关该存储桶的其他信息。
**其他参考资料**
有关使用 Macie 分析加密的 S3 对象的要求和选项的信息,请参阅[分析加密 Amazon S3 对象](discovery-supported-encryption-types.md)。有关 S3 存储桶的加密选项和设置的信息,请参阅 *Amazon Simple Storage Service 用户指南*中的[使用加密保护数据](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingEncryption.html)和[为 S3 存储桶设置默认服务器端加密行为](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html)。
## 分类错误:KMS 密钥无效
如果 Macie 尝试分析 S3 存储桶中的对象,并且该对象使用不再可用的 AWS Key Management Service (AWS KMS) 密钥进行加密,则会发生此类分类错误。Macie 无法检索和分析该对象。
**详细信息**
AWS KMS 提供了禁用和删除客户管理的选项 AWS KMS keys。如果 S3 对象使用已禁用、计划删除或已被删除的 KMS 密钥加密,Macie 将无法检索和解密该对象。因此,Macie 无法分析该对象,并且该对象的分析状态为**已跳过** (`SKIPPED`)。为使 Macie 分析加密对象,必须使用 Macie 可以访问和使用的密钥对该对象进行加密。
**补救指南**
要纠正此错误,请根据密钥的当前状态重新启用适用的密钥 AWS KMS key 或取消对密钥的计划删除。如果适用的密钥已被删除,则无法纠正此错误。
要确定哪 AWS KMS key 个对象用于加密 S3 对象,您可以先使用 Macie 查看 S3 存储桶的服务器端加密设置。如果将存储桶的默认加密设置配置为使用 KMS 密钥,则存储桶的详细信息将表明使用的是哪个密钥。然后,您可以查看该密钥的状态。或者,您可以使用 Amazon S3 查看存储桶和存储桶中各个对象的加密设置。
如果您不修复此错误,Macie 将尝试分析 S3 存储桶中的其他对象。如果 Macie 成功分析了另一个对象,Macie 将更新覆盖率数据以及它提供的有关该存储桶的其他信息。
**其他参考资料**
有关使用 Macie 查看 S3 存储桶的服务器端加密设置的信息,请参阅 [查看 S3 存储桶的详细信息](monitoring-s3-inventory-review.md#monitoring-s3-inventory-view-details)。有关重新启用 AWS KMS key 或取消密钥的按计划删除的信息,请参阅*《AWS Key Management Service 开发人员指南》*中的[启用和禁用密钥](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html)以及[删除密钥](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html)。
## 分类错误:权限被拒绝
如果 Macie 尝试分析 S3 存储桶中的对象,而 Macie 由于该对象的权限设置或用于加密该对象的密钥的权限设置而无法检索或解密该对象,则会发生此类分类错误。Macie 无法检索和分析该对象。
**详细信息**
之所以出现此错误,通常是因为 S3 对象使用不允许 Macie 使用的客户托管 AWS Key Management Service (AWS KMS) 密钥进行加密。如果使用客户管理的对象进行加密 AWS KMS key,则密钥的策略必须允许 Macie 使用该密钥解密数据。
如果 Amazon S3 权限设置阻止 Macie 检索 S3 对象,也会发生此错误。S3 存储桶的存储桶策略可能会限制对特定存储桶对象的访问权限,或者仅允许某些主体(用户、账户、服务或其他实体)访问这些对象。或者,对象的访问控制列表(ACL)可能会限制对该对象的访问。因此,可能不允许 Macie 访问该对象。
对于上述任何情况,Macie 都无法检索和分析对象,并且该对象的分析状态为**已跳过** (`SKIPPED`)。
**补救指南**
要纠正此错误,请确定 S3 对象是否使用客户托管的 AWS KMS key进行加密。如果是,请确保密钥的策略允许 Macie 服务相关角色 (`AWSServiceRoleForAmazonMacie`) 使用密钥解密数据。您如何允许此访问取决于拥有的账户是否 AWS KMS key 还拥有存储该对象的 S3 存储桶。如果同一个账户拥有 KMS 密钥和存储桶,则该账户的用户必须更新密钥策略。如果一个账户拥有 KMS 密钥而另一个账户拥有存储桶,则拥有密钥账户的用户必须允许跨账户存取密钥。
您可以自动生成一份列表,列出 Macie 需要访问的所有客户托管 AWS KMS keys 的列表,以分析您账户的 S3 存储桶中的对象。为此,请运行 AWS KMS 权限分析器脚本,该脚本可从上的 [Amazon Macie 脚本](https://github.com/aws-samples/amazon-macie-scripts)存储库中获得。 GitHub该脚本还可以生成 AWS Command Line Interface (AWS CLI) 命令的附加脚本。您可以选择运行这些命令来更新指定 KMS 密钥的必要配置设置和策略。
如果已允许 Macie 使用适用的对象, AWS KMS key 或者 S3 对象未使用客户托管的 KMS 密钥加密,请确保存储桶的策略允许 Macie 访问该对象。还要验证对象的 ACL 是否允许 Macie 读取对象的数据和元数据。
对于存储桶策略,您可以通过向策略中添加 Macie 服务相关角色的条件来允许此访问权限。该条件应将 Macie 服务相关角色排除在与策略 `Deny` 限制的匹配范围之外。它可以通过使用 `aws:PrincipalArn` 全局条件上下文密钥和您账户的 Macie 服务相关角色的 Amazon 资源名称(ARN)实现这一点。
对于对象 ACL,您可以通过与对象所有者合作将您 AWS 账户 添加为拥有对象权限的被授权者来允许此访问`READ`权限。然后 Macie 可以使用您账户的服务相关角色检索和分析该对象。还可以考虑更改存储桶的对象所有权设置。您可以使用这些设置禁 ACLs 用存储桶中的所有对象,并向拥有该存储桶的账户授予所有权权限。
如果您不修复此错误,Macie 将尝试分析 S3 存储桶中的其他对象。如果 Macie 成功分析了另一个对象,Macie 将更新覆盖率数据以及它提供的有关该存储桶的其他信息。
**其他参考资料**
有关允许 Macie 在客户管理的 AWS KMS key的情况下解密数据的更多信息,请参阅 [允许 Macie 使用客户管理的服务器 AWS KMS key](discovery-supported-encryption-types.md#discovery-supported-encryption-cmk-configuration)。有关更新 S3 存储桶策略以允许 Macie 访问存储桶的信息,请参阅 [允许 Macie 访问 S3 存储桶和对象](monitoring-restrictive-s3-buckets.md)。
有关更新密钥政策的信息,请参阅 *AWS Key Management Service 开发人员指南*中的[更改密钥政策](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html)。有关使用客户托管 AWS KMS keys 加密 S3 对象的信息,请参阅 A *mazon 简单存储服务用户指南*中的[使用带 AWS KMS 密钥的服务器端加密](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)。
有关使用存储桶策略控制 S3 存储桶访问权限的信息,请参阅《[亚马逊*简单存储服务用户指南》中的[访问控制](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html)和 Ama* zon S3 如何授权请求](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-s3-evaluates-access-control.html)。有关使用 ACLs 或对象所有权设置来控制对 S3 对象的访问的信息,请参阅 Amazon S *imple Storage Service 用户指南中的[管理对象访问 ACLs](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acls.html)和控制对象所有权以及禁用 ACLs 存储*[桶](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html)。
## 不可分类
此问题表明 S3 存储桶中的所有对象均使用不支持的 Amazon S3 存储类或不支持的文件或存储格式进行存储。Macie 无法分析存储桶内的任何对象。
**详细信息**
要获得选择和分析资格,S3 对象必须使用 Macie 支持的 Amazon S3 存储类。该对象还必须具有 Macie 支持的文件或存储格式的文件扩展名。如果对象不符合这些标准,则该对象将被视为*不可分类的对象*。Macie 不会尝试检索或分析不可分类的对象中的数据。
如果 S3 存储桶中的所有对象都是不可分类的对象,则整个存储桶是*不可分类的存储桶*。Macie 无法对存储桶执行自动敏感数据发现。
**补救指南**
要解决此问题,请查看生命周期配置规则和其他设置,以确定哪些存储类用于在 S3 存储桶中存储对象。考虑调整这些设置以使用 Macie 支持的存储类别。您也可以更改存储桶中现有对象的存储类别。
还要评测 S3 存储桶中现有对象的文件和存储格式。要分析对象,可以考虑将数据临时或永久移植到使用支持格式的新对象。
如果将对象添加到 S3 存储桶中,并且它们使用支持的存储类和格式,则 Macie 将在下次评测您的存储桶清单时检测到这些对象。发生这种情况时,Macie 将停止报告该存储桶在统计数据、覆盖率数据以及它提供的有关您的 Amazon S3 数据的其他信息中*不可分类*的情况。此外,在随后的分析周期中,新对象将具有更高的分析优先级。
**其他参考资料**
有关 Amazon S3 存储类别以及 Macie 支持的文件和存储格式的信息,请参阅 [支持的存储类别和格式](discovery-supported-storage.md)。有关生命周期配置规则和 Amazon S3 提供的存储类选项的信息,请参阅 *Amazon Simple Storage Service 用户指南*中的[管理存储生命周期](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html)和[使用 Amazon S3 存储类别](https://docs.aws.amazon.com/AmazonS3/latest/userguide/storage-class-intro.html)。
# 调整 S3 存储桶的敏感度分数
在查看和评测统计信息、数据和其他自动敏感数据发现结果时,您可能需要微调 Amazon Simple Storage Service (Amazon S3) 存储桶的敏感度评测结果。您可能还想捕获您或您的组织针对特定存储桶执行的调查结果。如果您是组织的 Amazon Macie 管理员或拥有独立的 Macie 账户,则可以通过调整各个存储桶的敏感度分数和其他设置来进行这些更改。如果您拥有组织中的成员账户,请联系您的 Macie 管理员以调整您拥有的存储桶的设置。只有您组织的 Macie 管理员才能调整您的存储桶设置。
如果您是 Macie 管理员或拥有独立的 Macie 账户,则可以通过以下方式调整 S3 存储桶的敏感度分数:
+ **分配灵敏度分数**-默认情况下,Macie 会自动计算存储桶的灵敏度分数。该分数主要基于 Macie 在存储桶中发现的敏感数据量,以及 Macie 在存储桶中分析的数据量。有关更多信息,请参阅 [S3 存储桶的敏感度评分](discovery-scoring-s3.md)。
您可以覆盖存储桶的计算分数并手动分配最高分数 (*100*),这也会将*敏感*标签应用于该存储桶。如果您这样做,Macie 将停止对存储桶执行自动敏感数据发现,因为分数为 100 的存储桶将无法进行进一步扫描。要再次自动计算分数并恢复扫描,请再次更改设置。
+ 在@@ **敏感度分数中排除或包含敏感数据类型** — 如果是自动计算的,则存储桶的敏感度分数将部分基于 Macie 在存储桶中发现的敏感数据量。这主要源于 Macie 发现的敏感数据类型的性质和数量以及每种类型的出现次数。默认情况下,Macie 在计算存储桶的分数时会包含所有类型的敏感数据的出现次数。
您可以通过在存储桶的分数中排除或包含特定类型的敏感数据来调整计算方式。例如,如果 Macie 在存储桶中检测到邮寄地址,而您认为这是可以接受的,则可以将所有出现的邮件地址从存储桶的分数中排除。如果您排除某个敏感数据类型,Macie 将继续检查存储桶中是否有该类型的数据,并报告发现的事件。但是,这些事件不会影响存储桶的分数。要再次在分数中包含敏感数据类型,请再次更改设置。
您也可以在后续分析中排除 S3 存储桶。如果您排除某个存储桶,则该存储桶的现有敏感数据发现统计数据和详细信息将保留。例如,存储桶的当前敏感度分数保持不变。但是,当 Macie 执行自动敏感数据发现时,它会停止分析存储桶中的对象。排除了某个存储桶后,您可以随后再次将其包括在内。
如果您更改了影响 S3 存储桶敏感度分数的设置,Macie 会立即开始重新计算分数。Macie 还会更新相关统计信息以及它提供的有关存储桶和您的 Amazon S3 数据总体情况的其他信息。例如,如果您为存储桶分配最高分数,Macie 会增加聚合统计数据中*敏感*存储桶的计数。
**调整 S3 存储桶的灵敏度分数或其他设置**
要调整 S3 存储桶的敏感度分数或其他设置,您可以使用 Amazon Macie 控制台或 Amazon Macie API。
------
#### [ Console ]
使用 Amazon Macie 控制台,按照以下步骤调整 S3 存储桶的灵敏度分数或设置。
1. 打开亚马逊 Macie 主机,网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. 在导航窗格中,选择** S3 存储桶**。**S3 存储桶**页面显示您的存储桶清单。
默认情况下,该页面不会显示当前被排除在分析之外的存储桶的数据。如果您是组织的 Macie 管理员,则它也不会显示当前禁用了自动敏感数据发现的账户的数据。要显示这些数据,请在筛选框下方的**由自动发现筛选器监控**标记中选择 **X**。
1. 选择带有调整设置的 S3 存储桶。您可以使用表格视图 (![\[The table view button, which is a button that displays three black horizontal lines.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/btn-s3-table-view.png)) 或交互式地图 (![\[The map view button, which is a button that displays four black squares.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/btn-s3-map-view.png)) 来选择存储桶。
1. 在详细信息面板中,执行以下任一操作:
+ 要覆盖计算得出的敏感度分数和手动分配分数,请打开**分配最高分数**(![\[A toggle switch with a gray background and the toggle positioned to the left.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/tgl-gray-off.png))。这会将存储桶的分数更改为 *100*,并将*敏感*标签应用于该存储桶。
+ 要指定 Macie 自动计算的敏感度分数,请关闭 **分配最高分数**(![\[A toggle switch with a blue background and the toggle positioned to the right.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/tgl-blue-on.png))。
+ 要在敏感度分数中排除或包括特定类型的敏感数据,请选择**敏感度**选项卡。在 “**检测**” 表中,选中要排除或包含的敏感数据类型的复选框。然后,在**操作**菜单上,选择**从分数中排除**以排除该类型,或者选择**包含在分数中**以包含该类型。
在表中,**敏感数据类型**字段指定了检测到数据的托管数据标识符或自定义数据标识符。管理数据标识符的唯一标识符 (ID) 描述了该标识符旨在检测的敏感数据类型,例如,用于检测美国护照号码的 **USA\$1PASSPORT\$1NUMBER**。有关每个托管数据标识符的详细信息,请参阅 [使用托管数据标识符](managed-data-identifiers.md)。
+ 要将存储桶排除在后续分析之外,请开启**从自动发现中排除** (![\[A toggle switch with a gray background and the toggle positioned to the left.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/tgl-gray-off.png))。
+ 如果您之前将存储桶排除在自动发现之外,若要在后续分析中将其包括在内,请关闭**从自动发现中排除** (![\[A toggle switch with a blue background and the toggle positioned to the right.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/tgl-blue-on.png))。
------
#### [ API ]
要以编程方式调整 S3 存储桶的灵敏度分数或设置,您有几种选择。合适的选项取决于您要调整的内容。
**分配敏感度分数**
要为 S3 存储桶分配敏感度分数,请使用[UpdateResourceProfile](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles.html)操作。在您的请求中,使用`resourceArn`参数指定存储桶的 Amazon 资源名称 (ARN)。对于`sensitivityScoreOverride`参数,请执行以下任一操作:
+ 要覆盖计算得出的分数并手动分配最高分数,请指定`100`。
+ 要指定 Macie 自动计算的分数,请省略该参数。如果此参数为空,Macie 将计算并分配分数。
如果您使用的是 AWS Command Line Interface (AWS CLI),请运行[update-resource-profile](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-resource-profile.html)命令为 S3 存储桶分配敏感度分数。在您的请求中,使用`resource-arn`参数指定存储桶的 ARN。省略或使用`sensitivity-score-override`参数指定要分配的分数。
如果您的请求成功,Macie 会分配指定的分数并返回空响应。
**在敏感度分数中排除或包括敏感数据类型**
要在 S3 存储桶的敏感度分数中排除或包含敏感数据类型,请使用[UpdateResourceProfileDetections](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles-detections.html)操作。使用此操作时,您会覆盖存储分数的当前包含和排除设置。因此,最好先检索当前设置并确定要保留哪些设置。要检索当前设置,请使用[ListResourceProfileDetections](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles-detections.html)操作。
准备好更新设置时,使用`resourceArn`参数指定 S3 存储桶的 ARN。对于`suppressDataIdentifiers`参数,请执行以下任一操作:
+ 要从存储桶的分数中排除敏感数据类型,请使用`type`参数指定检测到数据的数据标识符的类型、托管数据标识符 (`MANAGED`) 或自定义数据标识符 (`CUSTOM`)。使用`id`参数为检测到数据的托管或自定义数据标识符指定唯一标识符。
+ 要在存储桶的分数中包含敏感数据类型,请不要为检测到数据的托管或自定义数据标识符指定任何详细信息。
+ 要在存储桶的分数中包含所有敏感数据类型,请不要指定任何值。如果`suppressDataIdentifiers`参数的值为空(空),则 Macie 在计算分数时会包括所有类型的检测。
如果您使用的是 AWS CLI,请运行[update-resource-profile-detections](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-resource-profile-detections.html)命令在 S3 存储桶的敏感度分数中排除或包含敏感数据类型。使用`resource-arn`参数指定存储桶的 ARN。使用`suppress-data-identifiers`参数指定要排除或包含在存储桶分数中的敏感数据类型。要首先检索并查看存储桶的当前设置,请运行[list-resource-profile-detections](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-resource-profile-detections.html)命令。
如果您的请求成功,Macie 会更新设置并返回空响应。
**在分析中排除或包含 S3 存储桶**
要在分析中排除或随后包含一个 S3 存储桶,请使用[UpdateClassificationScope](https://docs.aws.amazon.com/macie/latest/APIReference/classification-scopes-id.html)操作。或者,如果您使用的是 AWS CLI,请运行该[update-classification-scope](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-classification-scope.html)命令。有关其他详细信息和示例,请参阅[在自动敏感数据发现中排除或包含 S3 存储桶](discovery-asdd-account-configure.md#discovery-asdd-account-configure-s3buckets)。
以下示例说明如何使用调整 S3 存储桶的各个设置。 AWS CLI 第一个示例手动将最大灵敏度分数 (`100`) 分配给存储桶。它会覆盖存储桶的计算分数。
```
$ aws macie2 update-resource-profile --resource-arn arn:aws:s3:::amzn-s3-demo-bucket --sensitivity-score-override 100
```
S3 存储桶*arn:aws:s3:::amzn-s3-demo-bucket*的 ARN 在哪里。
下一个示例将 S3 存储桶的敏感度分数更改为 Macie 自动计算的分数。该存储桶当前有一个手动分配的分数,该分数会覆盖计算得出的分数。此示例通过在请求中省略`sensitivity-score-override`参数来移除该覆盖。
```
$ aws macie2 update-resource-profile --resource-arn arn:aws:s3:::amzn-s3-demo-bucket2
```
S3 存储桶*arn:aws:s3:::amzn-s3-demo-bucket2*的 ARN 在哪里。
以下示例将特定类型的敏感数据排除在 S3 存储桶的敏感度分数之外。此示例针对 Linux、macOS 或 Unix 进行格式化,并使用反斜杠 (\$1) 行继续符来提高可读性。
```
$ aws macie2 update-resource-profile-detections \
--resource-arn arn:aws:s3:::amzn-s3-demo-bucket3 \
--suppress-data-identifiers '[{"type":"MANAGED","id":"ADDRESS"},{"type":"CUSTOM","id":"3293a69d-4a1e-4a07-8715-208ddexample"}]'
```
此示例针对 Microsoft Windows 进行格式化,并使用脱字号 (^) 行继续符来提高可读性。
```
C:\> aws macie2 update-resource-profile-detections ^
--resource-arn arn:aws:s3:::amzn-s3-demo-bucket3 ^
--suppress-data-identifiers=[{\"type\":\"MANAGED\",\"id\":\"ADDRESS\"},{\"type\":\"CUSTOM\",\"id\":\"3293a69d-4a1e-4a07-8715-208ddexample\"}]
```
其中:
+ *arn:aws:s3:::amzn-s3-demo-bucket3*是 S3 存储桶的 ARN。
+ *ADDRESS*是检测到要排除的一类敏感数据(邮寄地址)的托管数据标识符的唯一标识符。
+ *3293a69d-4a1e-4a07-8715-208ddexample*是自定义数据标识符的唯一标识符,该标识符检测到要排除的敏感数据类型。
接下来的示例集在 S3 存储桶的敏感度分数中包含了所有类型的敏感数据。它通过为`suppress-data-identifiers`参数指定一个空(空)值来覆盖存储桶的当前排除设置。对于 Linux、macOS 或 Unix:
```
$ aws macie2 update-resource-profile-detections --resource-arn arn:aws:s3:::amzn-s3-demo-bucket3 --suppress-data-identifiers '[]'
```
对于 Microsoft Windows:
```
C:\> aws macie2 update-resource-profile-detections --resource-arn arn:aws:s3:::amzn-s3-demo-bucket3 --suppress-data-identifiers=[]
```
S3 存储桶*arn:aws:s3:::amzn-s3-demo-bucket3*的 ARN 在哪里。
------
# S3 存储桶的敏感度评分
如果启用了自动敏感数据发现,Amazon Macie 会自动计算并为其监控和分析的账户或组织的每个 Amazon Simple Storage Service (Amazon S3) 通用存储桶分配敏感度分数。*敏感度分数*是 S3 存储桶可能包含的敏感数据量的定量表示。根据该分数,Macie 还会为每个存储桶分配一个敏感度标签。*敏感度标签*是存储桶敏感度分数的定性表示。这些值可以作为参考点,用于确定敏感数据可能存放在您的 Amazon S3 数据资产中的位置,以及识别和监控这些数据的潜在安全风险。
默认情况下,S3 存储桶的敏感度分数和标签反映了 Macie 迄今为止为该存储桶执行的自动敏感数据发现活动的结果。它们不能反映您创建和运行的敏感数据发现作业的结果。此外,分数和标签均不暗示或以其他方式表明存储桶或存储桶对象可能对您或您的组织具有的关键性或重要性。但是,您可以通过手动为存储桶分配最高分数 (*100*) 来覆盖该存储桶的计算得分。这也会为存储桶分配*敏感*标签。要覆盖计算出的分数,您必须是拥有存储桶的账户的 Macie 管理员,或者拥有独立的 Macie 账户。
**Topics**
+ [敏感度分数维度和范围](#discovery-scoring-s3-dimensions)
+ [监控敏感度分数](#discovery-scoring-s3-monitoring)
## 敏感度分数维度和范围
如果由 Amazon Macie 计算,则 S3 存储桶的敏感度分数是两个主要维度交叉点的定量衡量标准:
+ Macie 在存储桶中找到的敏感数据量。这主要源于 Macie 在存储桶中发现的敏感数据类型的性质和数量以及每种类型的出现次数。
+ Macie 在存储桶内分析的数据量。这主要源于 Macie 在存储桶中分析的唯一对象的数量相对于存储桶中唯一对象的总数。
S3 存储桶的敏感度分数决定了 Macie 为存储桶分配哪个敏感度标签。敏感度标签是分数的定性表示形式,例如*敏感*或*不敏感*。在 Amazon Macie 控制台上,存储桶的敏感度分数还决定了 Macie 在数据可视化中使用哪种颜色来表示存储桶,如下图所示。
![\[敏感度分数的色谱:蓝色色调代表 1-49,红色色调代表 51-100,灰色色调代表 -1。\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/sensitivity-scoring-spectrum.png)
敏感度分数介于 *-1* 到 *100* 之间,如下表所述。要评测对 S3 存储桶分数的输入,您可以参考 Macie 提供的有关该存储桶的敏感数据发现统计数据和其他详细信息。
| 敏感度分数 | 敏感度标签 | 附加信息 |
| --- | --- | --- |
| –1 | 分类错误 | 由于对象级分类错误(对象级权限设置、对象内容或配额存在问题)Macie 还没有成功分析过任何存储桶对象。 当 Macie 尝试分析存储桶中的一个或多个对象时,出现了错误。例如,对象是格式错误的文件,或者对象是使用 Macie 无法访问或不允许使用的密钥加密的。存储桶的覆盖数据可以帮助您调查和修复错误。有关更多信息,请参阅 [评测自动敏感数据发现覆盖率](discovery-coverage.md)。 Macie 将继续尝试分析存储桶中的对象。如果 Macie 成功分析了对象,Macie 将更新存储桶的敏感度分数和标签以反映分析结果。 |
| 1-49 | 不敏感 | 在此范围内,较高的分数(例如 *49*)表明 Macie 已经分析了存储桶中相对较少的对象。较低的分数(例如 *1*)表示 Macie 已经分析了存储桶中的许多对象(相对于存储桶中对象的总数),并且在这些对象中检测到的敏感数据的类型和出现次数相对较少。 分数为 *1* 也表示存储桶不存储任何对象,或者存储桶中的所有对象都包含零 (0) 字节的数据。存储桶详细信息中的对象统计信息可以帮助您确定是否是这种情况。有关更多信息,请参阅 [查看 S3 存储桶的详细信息](discovery-asdd-results-s3-inventory-details.md)。 |
| 50 | 尚未分析 | Macie 尚未尝试分析或分析存储桶中的任何对象。 当自动发现功能首次启用或某个账户的存储桶被添加到存储桶清单中时,Macie 会自动分配此分数。在组织中,如果从未为拥有存储桶的账户启用过自动发现,则该存储桶也会获得此分数。 分数为 *50* 也表示存储桶的权限设置阻止 Macie 访问存储桶或存储桶的对象。这通常是由限制性存储桶策略造成的。存储桶的详细信息可以帮助您确定是否是这种情况,因为 Macie 只能提供有关存储桶的部分信息。有关如何解决此问题的信息,请参阅 [允许 Macie 访问 S3 存储桶和对象](monitoring-restrictive-s3-buckets.md)。 |
| 51–99 | 敏感 | 在这个范围内,分数越高,例如 *99*,表明 Macie 分析了存储桶中的许多对象(相对于存储桶中对象的总数),并且在这些对象中检测到许多类型和出现多次的敏感数据。较低的分数,例如 *51*,表明 Macie 分析了存储桶中中等数量的对象(相对于存储桶中对象的总数),并且在这些对象中检测到至少几种类型和出现几次的敏感数据。 |
| 100 | 敏感 | 分数是手动分配给桶的,覆盖了计算得出的分数。Macie 不会将此分数分配给存储桶。 |
## 监控敏感度分数
当账户首次启用自动敏感数据发现时,Amazon Macie 会自动为账户拥有的每个 S3 存储桶分配 *50* 分的敏感度分数。当存储桶被添加到账户的存储桶清单中时,Macie 也会为存储桶分配该分数。根据该分数,每个存储桶的敏感度标签为*尚未分析*。空存储桶是例外,它是不存储任何对象或存储桶中所有对象包含零 (0) 字节数据的存储桶。如果存储桶是这种情况,Macie 给存储桶分配 *1* 分,存储桶的灵敏度标签为*不敏感*。
随着每天进行自动敏感数据发现,Macie 会更新 S3 存储桶的敏感性分数和标签,以反映分析结果。例如:
+ 如果 Macie 在对象中找不到敏感数据,Macie 会降低存储桶的敏感度分数,并在必要时更新敏感度标签。
+ 如果 Macie 在对象中找到敏感数据,Macie 会增加存储桶的敏感度分数,并在必要时更新敏感度标签。
+ 如果 Macie 在随后更改的对象中发现敏感数据,Macie 会从存储桶的敏感度分数中删除该对象的敏感数据检测,并根据需要更新敏感度标签。
+ 如果 Macie 在随后删除的对象中发现敏感数据,Macie 会从存储桶的敏感度分数中删除该对象的敏感数据检测,并根据需要更新敏感度标签。
+ 如果一个对象被添加到一个先前为空的存储桶中,并且 Macie 在该对象中发现了敏感数据,Macie 会增加存储桶的敏感度分数,并根据需要更新敏感度标签。
+ 如果存储桶的权限设置阻止 Macie 访问或检索有关该存储桶或存储桶对象的信息,Macie 会将该存储桶的敏感度分数更改为 *50*,并将该存储桶的敏感度标签更改为*尚未分析*。
分析结果可在为账户启用自动敏感数据发现后 48 小时内开始显示。
如果您是某个组织的 Macie 管理员或拥有独立的 Macie 账户,则可以为您的组织或账户调整敏感度分数设置:
+ 要调整所有 S3 存储桶的后续分析设置,请更改账户设置。您可以开始包含或排除特定的托管数据标识符、自定义数据标识符或允许列表。您也可以排除特定的存储桶。有关更多信息,请参阅 [配置自动发现功能设置](discovery-asdd-account-configure.md)。
+ 要调整个别 S3 存储桶的设置,请更改每个存储桶的设置。您可将特定类型的敏感数据纳入存储桶分数,或将其移除。此外,您还可以指定是否为存储桶分配自动计算出的分数。有关更多信息,请参阅 [调整 S3 存储桶的敏感度分数](discovery-asdd-s3bucket-manage.md)。
如果您禁用自动敏感数据发现,则对现有敏感度分数和标签的影响也会有所不同。如果您对组织中的成员账户禁用该功能,则该账户拥有的 S3 存储桶的现有分数和标签将保留。如果您对机构整个组织或独立 Macie 账户禁用该功能,则现有分数和标签只能保留 30 天。30 天后,Macie 会重置组织或账户拥有的所有存储桶的分数和标签。如果存储桶中存储了对象,Macie 会将分数改为 *50*,并将*尚未分析*的标签分配给该存储桶。如果存储桶为空,Macie 会将分数更改为 *1*,并将*不敏感*标签分配给该存储桶。重置后,Macie 将停止更新存储桶的敏感度分数和标签,除非再次为组织或账户启用自动敏感数据发现。
# 自动敏感数据发现的默认设置
如果启用了自动敏感数据发现,Amazon Macie 会自动从您的账户的所有亚马逊简单存储服务 (Amazon S3) Storage Service 通用存储桶中选择和分析示例对象。如果您是某个组织的 Macie 管理员,默认情况下这包括您的成员账户拥有的 S3 存储桶。
如果您是 Macie 管理员或拥有独立的 Macie 账户,则可以通过从自动敏感数据发现中排除特定的 S3 存储桶来细化分析范围。您可以通过两种方式执行此操作:更改账户的设置,以及更改各个存储桶的设置。作为 Macie 管理员,您还可以为组织中的各个账户启用或禁用自动敏感数据发现。
默认情况下,Macie 仅使用我们推荐用于自动敏感数据发现的一组托管数据标识符来分析 S3 对象。Macie 不使用您定义的任何自定义数据标识符或允许列表。如果您是 Macie 管理员或拥有独立的 Macie 账户,则可以通过配置 Macie 来使用特定的托管数据标识符、自定义数据标识符和允许列表,从而自定义分析。您可以通过更改账户的设置来实现此目的。
有关更改设置的信息,请参阅 [配置自动敏感数据发现的设置](discovery-asdd-account-configure.md)。
**Topics**
+ [默认托管数据标识符](#discovery-asdd-settings-defaults-mdis)
+ [更新了默认设置](#discovery-asdd-mdis-default-updates)
## 自动敏感数据发现的默认托管数据标识符
默认情况下,Amazon Macie 仅使用我们推荐用于自动敏感数据发现的一组托管数据标识符来分析 S3 对象。这组默认的托管数据标识符旨在检测敏感数据的常见类别和类型。根据我们的研究,它可以检测一般类别和类型的敏感数据,同时还可以通过减少噪音来优化您的结果。
默认设置为动态。在我们发布新的托管数据标识符时,如果它们有可能进一步优化您的自动敏感数据发现结果,我们会将其添加到默认标识符集中。随着时间的推移,我们还可能在集合中添加或删除现有的托管数据标识符。移除托管数据标识符不会影响 S3 存储桶的现有敏感数据发现统计数据和详细信息。例如,如果我们移除 Macie 之前在存储桶中检测到的某类敏感数据的托管数据标识符,Macie 将继续报告这些检测结果。如果我们在默认集中添加或删除托管数据标识符,我们会更新此页面以表明更改的性质和时间。有关这些更改的自动警报,您可以订阅 [Macie 文档历史记录](doc-history.md)页面上的 RSS 源。
以下主题列出了当前位于默认集中的托管数据标识符,这些标识符按敏感数据类别和类型组织。它们为集合中的每个托管数据标识符指定唯一标识符 (ID)。此 ID 描述了托管数据标识符旨在检测的敏感数据类型,例如:`PGP_PRIVATE_KEY` 表示 PGP 私钥,`USA_PASSPORT_NUMBER` 表示美国护照号码。如果您更改自动敏感数据发现的设置,则可以使用此 ID 将托管数据标识符明确排除在后续分析之外。
**Topics**
+ [凭据](#discovery-asdd-settings-defaults-mdis-credentials)
+ [财务信息](#discovery-asdd-settings-defaults-mdis-financial)
+ [个人身份信息(PII)](#discovery-asdd-settings-defaults-mdis-pii)
有关特定托管数据标识符的详细信息或 Macie 当前提供的所有托管数据标识符的完整列表,请参阅 [使用托管数据标识符](managed-data-identifiers.md)。
### 凭据
为了检测 S3 对象中出现的凭证数据,Macie 默认使用以下托管数据标识符。
| 敏感数据类型 | 托管数据标识符 ID |
| --- | --- |
| AWS 秘密访问密钥 | AWS\$1CREDENTIALS |
| HTTP 基本授权标头 | HTTP\$1BASIC\$1AUTH\$1HEADER |
| OpenSSH 私有密钥 | OPENSSH\$1PRIVATE\$1KEY |
| PGP 私有密钥 | PGP\$1PRIVATE\$1KEY |
| 公有密钥加密标准 (PKCS, Public-Key Cryptography Standard) 私有密钥 | PKCS |
| PuTTY 私有密钥 | PUTTY\$1PRIVATE\$1KEY |
### 财务信息
为了检测 S3 对象中出现的财务信息,Macie 默认使用以下托管数据标识符。
| 敏感数据类型 | 托管数据标识符 ID |
| --- | --- |
| 信用卡磁条数据 | CREDIT\$1CARD\$1MAGNETIC\$1STRIPE |
| 信用卡号 | CREDIT\$1CARD\$1NUMBER(适用于关键字附近的信用卡号) |
### 个人身份信息(PII)
为了检测 S3 对象中出现的个人身份信息(PII),Macie 默认使用以下托管数据标识符。
| 敏感数据类型 | 托管数据标识符 ID |
| --- | --- |
| 驾驶执照识别号 | CANADA\$1DRIVERS\$1LICENSE, DRIVERS\$1LICENSE(对于美国), UK\$1DRIVERS\$1LICENSE |
| 选民名册编号 | UK\$1ELECTORAL\$1ROLL\$1NUMBER |
| 身份证号码 | FRANCE\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, GERMANY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, SPAIN\$1DNI\$1NUMBER |
| 国民保险号码 (NINO) | UK\$1NATIONAL\$1INSURANCE\$1NUMBER |
| 护照编号 | CANADA\$1PASSPORT\$1NUMBER, FRANCE\$1PASSPORT\$1NUMBER, GERMANY\$1PASSPORT\$1NUMBER, ITALY\$1PASSPORT\$1NUMBER, SPAIN\$1PASSPORT\$1NUMBER, UK\$1PASSPORT\$1NUMBER, USA\$1PASSPORT\$1NUMBER |
| 社会保险号码 (SIN) | CANADA\$1SOCIAL\$1INSURANCE\$1NUMBER |
| 社会保障号码(SSN) | SPAIN\$1SOCIAL\$1SECURITY\$1NUMBER, USA\$1SOCIAL\$1SECURITY\$1NUMBER |
| 纳税人识别号或参考号 | AUSTRALIA\$1TAX\$1FILE\$1NUMBER, BRAZIL\$1CPF\$1NUMBER, FRANCE\$1TAX\$1IDENTIFICATION\$1NUMBER, GERMANY\$1TAX\$1IDENTIFICATION\$1NUMBER, SPAIN\$1NIE\$1NUMBER, SPAIN\$1NIF\$1NUMBER, SPAIN\$1TAX\$1IDENTIFICATION\$1NUMBER, USA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER |
## 更新了自动敏感数据发现的默认设置
下表描述了 Amazon Macie 默认用于自动敏感数据发现的设置的更改。有关这些更改的自动警报,可以订阅 [Macie 文档历史记录](doc-history.md)页面上的 RSS 源。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| 实现了一组新的动态默认托管数据标识符 | 新的自动敏感数据发现配置现在基于一组[动态的默认托管数据标识符](#discovery-asdd-settings-defaults-mdis)。如果您在此日期或之后首次启用自动敏感数据发现,则您的配置将基于动态集。 如果您在此日期之前首次启用自动敏感数据发现,则您的配置将基于另一组托管数据标识符。有关更多信息,请参阅此表后面的注释。 | 2023 年 8 月 2 日 |
| 正式发布 | 自动敏感数据发现的初始版本。 | 2022 年 11 月 28 日 |
如果您最初在 2023 年 8 月 2 日之前启用自动敏感数据发现,则您的配置不是基于默认托管数据标识符的动态集合。相反,它是基于一组静态的托管数据标识符,这些标识符是我们在自动敏感数据发现的初始版本中定义的,如下表所示。
要确定您最初启用自动敏感数据发现的时间,您可以使用 Amazon Macie 控制台:在导航窗格中选择**自动敏感数据发现**,然后在**状态**部分查看启用日期。您也可以通过编程方式执行此[GetAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html)操作:使用 Amazon Macie API 的操作并引用该字段的`firstEnabledAt`值。如果日期早于 2023 年 8 月 2 日,并且您想开始使用默认托管数据标识符的动态集,请联系 AWS 支持 寻求帮助。
下表列出了静态集中的所有托管数据标识符。该表首先按敏感数据类别排序,然后按敏感数据类型排序。有关特定托管数据标识符的详细信息,请参阅[使用托管数据标识符](managed-data-identifiers.md)。
| 敏感数据类别 | 敏感数据类型 | 托管数据标识符 ID |
| --- | --- | --- |
| 凭据 | AWS 秘密访问密钥 | AWS\$1CREDENTIALS |
| 凭据 | HTTP 基本授权标头 | HTTP\$1BASIC\$1AUTH\$1HEADER |
| 凭据 | OpenSSH 私有密钥 | OPENSSH\$1PRIVATE\$1KEY |
| 凭据 | PGP 私有密钥 | PGP\$1PRIVATE\$1KEY |
| 凭据 | 公有密钥加密标准 (PKCS, Public-Key Cryptography Standard) 私有密钥 | PKCS |
| 凭据 | PuTTY 私有密钥 | PUTTY\$1PRIVATE\$1KEY |
| 财务信息 | 银行账户 | BANK\$1ACCOUNT\$1NUMBER(适用于加拿大和美国银行账户),FRANCE\$1BANK\$1ACCOUNT\$1NUMBER, GERMANY\$1BANK\$1ACCOUNT\$1NUMBER, ITALY\$1BANK\$1ACCOUNT\$1NUMBER, SPAIN\$1BANK\$1ACCOUNT\$1NUMBER, UK\$1BANK\$1ACCOUNT\$1NUMBER |
| 财务信息 | 信用卡到期日期 | CREDIT\$1CARD\$1EXPIRATION |
| 财务信息 | 信用卡磁条数据 | CREDIT\$1CARD\$1MAGNETIC\$1STRIPE |
| 财务信息 | 信用卡号 | CREDIT\$1CARD\$1NUMBER(适用于关键字附近的信用卡号) |
| 财务信息 | 信用卡验证码 | CREDIT\$1CARD\$1SECURITY\$1CODE |
| 个人信息:个人健康信息(PHI) | 毒品管理局 (DEA) 注册号 | US\$1DRUG\$1ENFORCEMENT\$1AGENCY\$1NUMBER |
| 个人信息:PHI | 健康保险索赔编号 (HICN) | USA\$1HEALTH\$1INSURANCE\$1CLAIM\$1NUMBER |
| 个人信息:PHI | 健康保险或医疗识别号 | CANADA\$1HEALTH\$1NUMBER, EUROPEAN\$1HEALTH\$1INSURANCE\$1CARD\$1NUMBER, FINLAND\$1EUROPEAN\$1HEALTH\$1INSURANCE\$1NUMBER, FRANCE\$1HEALTH\$1INSURANCE\$1NUMBER, UK\$1NHS\$1NUMBER, USA\$1MEDICARE\$1BENEFICIARY\$1IDENTIFIER |
| 个人信息:PHI | 医疗保健通用程序编码系统 (HCPCS) 代码 | USA\$1HEALTHCARE\$1PROCEDURE\$1CODE |
| 个人信息:PHI | 国家药品编码 (NDC) | USA\$1NATIONAL\$1DRUG\$1CODE |
| 个人信息:PHI | 国家提供商识别码 (NPI) | USA\$1NATIONAL\$1PROVIDER\$1IDENTIFIER |
| 个人信息:PHI | 唯一设备标识符(UDI) | MEDICAL\$1DEVICE\$1UDI |
| 个人信息:个人身份信息(PII) | 出生日期 | DATE\$1OF\$1BIRTH |
| 个人信息:PII | 驾驶执照识别号 | AUSTRALIA\$1DRIVERS\$1LICENSE, AUSTRIA\$1DRIVERS\$1LICENSE, BELGIUM\$1DRIVERS\$1LICENSE, BULGARIA\$1DRIVERS\$1LICENSE, CANADA\$1DRIVERS\$1LICENSE, CROATIA\$1DRIVERS\$1LICENSE, CYPRUS\$1DRIVERS\$1LICENSE, CZECHIA\$1DRIVERS\$1LICENSE, DENMARK\$1DRIVERS\$1LICENSE, DRIVERS\$1LICENSE(对于美国),ESTONIA\$1DRIVERS\$1LICENSE, FINLAND\$1DRIVERS\$1LICENSE, FRANCE\$1DRIVERS\$1LICENSE, GERMANY\$1DRIVERS\$1LICENSE, GREECE\$1DRIVERS\$1LICENSE, HUNGARY\$1DRIVERS\$1LICENSE, IRELAND\$1DRIVERS\$1LICENSE, ITALY\$1DRIVERS\$1LICENSE, LATVIA\$1DRIVERS\$1LICENSE, LITHUANIA\$1DRIVERS\$1LICENSE, LUXEMBOURG\$1DRIVERS\$1LICENSE, MALTA\$1DRIVERS\$1LICENSE, NETHERLANDS\$1DRIVERS\$1LICENSE, POLAND\$1DRIVERS\$1LICENSE, PORTUGAL\$1DRIVERS\$1LICENSE, ROMANIA\$1DRIVERS\$1LICENSE, SLOVAKIA\$1DRIVERS\$1LICENSE, SLOVENIA\$1DRIVERS\$1LICENSE, SPAIN\$1DRIVERS\$1LICENSE, SWEDEN\$1DRIVERS\$1LICENSE, UK\$1DRIVERS\$1LICENSE |
| 个人信息:PII | 选民名册编号 | UK\$1ELECTORAL\$1ROLL\$1NUMBER |
| 个人信息:PII | 全名 | NAME |
| 个人信息:PII | 全球定位系统 (GPS) 坐标 | LATITUDE\$1LONGITUDE |
| 个人信息:PII | 邮寄地址 | ADDRESS, BRAZIL\$1CEP\$1CODE |
| 个人信息:PII | 身份证号码 | BRAZIL\$1RG\$1NUMBER, FRANCE\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, GERMANY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, SPAIN\$1DNI\$1NUMBER |
| 个人信息:PII | 国民保险号码 (NINO) | UK\$1NATIONAL\$1INSURANCE\$1NUMBER |
| 个人信息:PII | 护照编号 | CANADA\$1PASSPORT\$1NUMBER, FRANCE\$1PASSPORT\$1NUMBER, GERMANY\$1PASSPORT\$1NUMBER, ITALY\$1PASSPORT\$1NUMBER, SPAIN\$1PASSPORT\$1NUMBER, UK\$1PASSPORT\$1NUMBER, USA\$1PASSPORT\$1NUMBER |
| 个人信息:PII | 永久居留号码 | CANADA\$1NATIONAL\$1IDENTIFICATION\$1NUMBER |
| 个人信息:PII | Phone number(电话号码) | BRAZIL\$1PHONE\$1NUMBER, FRANCE\$1PHONE\$1NUMBER, GERMANY\$1PHONE\$1NUMBER, ITALY\$1PHONE\$1NUMBER, PHONE\$1NUMBER(适用于加拿大和美国),SPAIN\$1PHONE\$1NUMBER, UK\$1PHONE\$1NUMBER |
| 个人信息:PII | 社会保险号码 (SIN) | CANADA\$1SOCIAL\$1INSURANCE\$1NUMBER |
| 个人信息:PII | 社会保障号码(SSN) | SPAIN\$1SOCIAL\$1SECURITY\$1NUMBER, USA\$1SOCIAL\$1SECURITY\$1NUMBER |
| 个人信息:PII | 纳税人识别号或参考号 | AUSTRALIA\$1TAX\$1FILE\$1NUMBER, BRAZIL\$1CNPJ\$1NUMBER, BRAZIL\$1CPF\$1NUMBER, FRANCE\$1TAX\$1IDENTIFICATION\$1NUMBER, GERMANY\$1TAX\$1IDENTIFICATION\$1NUMBER, SPAIN\$1NIE\$1NUMBER, SPAIN\$1NIF\$1NUMBER, SPAIN\$1TAX\$1IDENTIFICATION\$1NUMBER, UK\$1TAX\$1IDENTIFICATION\$1NUMBER, USA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER |
| 个人信息:PII | 车辆识别号码 (VIN) | VEHICLE\$1IDENTIFICATION\$1NUMBER |
# 运行敏感数据发现作业
借助 Amazon Macie,您可以创建和运行敏感数据发现作业,以自动发现、记录和报告 Amazon Simple Storage Service (Amazon S3) 通用存储桶中的敏感数据。*敏感数据发现作业*是 Macie 执行的一系列自动处理和分析任务,用于检测和报告 Amazon S3 对象中的敏感数据。每项作业都提供有关 Macie 发现的敏感数据以及 Macie 执行的分析的详细报告。通过创建和运行作业,您可以构建和维护组织存储在 Amazon S3 中的数据以及这些数据的任何安全性或合规性风险的全面视图。
为了帮助您满足并保持对数据安全和隐私要求的合规性,Macie 提供了多种用于安排和定义作业范围的选项。您可以将作业配置为仅运行一次以进行按需分析和评测,或定期运行一次以进行定期分析、评测和监控。您还可以定义作业分析的广度和深度 - 您选择的特定 S3 存储桶或符合特定条件的存储桶。您可以选择通过选择其他选项来细化该分析的范围。这些选项包括派生自 S3 对象属性的自定义标准,例如标签、前缀以及对象上次修改时间。
对于每项作业,您还可以指定希望 Macie 检测和报告的敏感数据类型。您可以将作业配置为使用 Macie 提供的[托管数据标识符](managed-data-identifiers.md)、您定义的[自定义数据标识符](custom-data-identifiers.md)或两者的组合。通过为作业选择特定的托管和自定义数据标识符,您可以定制分析,将重点放在特定类型的敏感数据上。要微调分析,您还可以将作业配置为使用[允许列表](allow-lists.md)。允许列表指定了您希望 Macie 忽略的文本和文本模式,通常是组织特定场景或环境的敏感数据异常。
每项作业都会生成 Macie 发现的敏感数据以及 Macie 执行的分析的记录—*敏感数据调查发现*和*敏感数据发现结果*。*敏感数据调查发现*是 Macie 在 S3 对象中发现的敏感数据的详细报告。*敏感数据发现结果*是关于 S3 对象分析的详细信息的记录。Macie 会为您配置作业进行分析的每个对象创建敏感数据发现结果。这包括 Macie 找不到敏感数据的对象,因此不会生成敏感数据调查发现,以及 Macie 由于错误或问题而无法分析的对象。每种类型的记录都遵循标准化架构,该架构可以帮助您查询、监控和处理记录,以满足您的安全性和合规性要求。
**Topics**
+ [作业的范围选项](discovery-jobs-scope.md)
+ [创建作业](discovery-jobs-create.md)
+ [查看作业结果](discovery-jobs-manage-results.md)
+ [管理任务](discovery-jobs-manage.md)
+ [使用CloudWatch 日志监控作业](discovery-jobs-monitor-cw-logs.md)
+ [预测和监控作业成本](discovery-jobs-costs.md)
+ [推荐用于作业的托管数据标识符](discovery-jobs-mdis-recommended.md)
# 敏感数据发现作业的范围选项
您可以使用敏感数据发现作业定义 Amazon Macie 执行分析的范围,以检测和报告 Amazon Simple Storage Service (Amazon S3) 通用存储桶中的敏感数据。为了帮助您执行此操作,Macie 提供了几个特定于作业的选项,您可以在创建和配置作业时选择这些选项。
**Topics**
+ [S3 存储桶或存储桶条件](#discovery-jobs-scope-buckets)
+ [采样深度](#discovery-jobs-scope-sampling)
+ [初始运行:包括现有 S3 对象](#discovery-jobs-scope-objects)
+ [S3 对象条件](#discovery-jobs-scope-criteria)
## S3 存储桶或存储桶条件
在创建敏感数据发现作业时,您可以指定哪些 S3 存储桶存储您希望 Macie 在任务运行时分析的对象。您可以通过以下两种方式来执行此操作:从存储桶清单中选择特定的 S3 存储桶,或指定派生自 S3 存储桶属性的自定义条件。
**选择特定 S3 存储桶**
使用此选项,您可以显式选择要分析的每个 S3 存储桶。然后,当作业运行时,Macie 仅分析您所选存储桶中的对象。如果您将作业配置为每天、每周或每月定期运行,则每次作业运行时,Macie 都会分析这些存储桶中的对象。
如果您更喜欢对一组特定数据进行有针对性的分析,则此配置非常有用。它使您可以精确、可预测地控制作业分析哪些存储桶。
**指定 S3 存储桶标准**
使用此选项,您可以定义运行时标准,以确定要分析哪些 S3 存储桶。该条件由一个或多个派生自存储桶属性的条件组成,如公共访问设置和标签。任务运行时,Macie 会识别符合您标准的存储桶,然后分析这些存储桶中的对象。如果您将作业配置为定期运行,则 Macie 会在每次作业运行时执行此操作。因此,每次作业运行时,Macie 可能会分析不同存储桶中的对象,具体取决于存储桶清单的更改和您定义的标准。
如果您希望分析范围能动态适应存储桶清单的变化,则此配置非常有用。如果您将任务配置为使用存储桶标准并定期运行,Macie 会自动识别符合条件的新存储分区,并检查这些存储桶中是否有敏感数据。
本节中的主题提供了有关每个选项的更多详细信息。
**Topics**
+ [选择特定 S3 存储桶](#discovery-jobs-scope-buckets-select)
+ [指定 S3 存储桶条件](#discovery-jobs-scope-buckets-criteria)
### 选择特定 S3 存储桶
如果您选择明确选择要分析任务的每个 S3 存储桶,Macie 会为您提供当前通用存储桶的清单。 AWS 区域然后,您可以查看您的清单并选择所需的存储桶。如果您是组织的 Macie 管理员,则这包括您的成员账户拥有的存储桶。您可以选择多达 1000 个存储桶,涵盖多达 1000 个账户。
为了帮助您选择存储桶,该清单提供了每个存储桶的详细信息和统计数据。这包括作业可以在每个存储桶中分析的数据量 - *可分类对象*是指使用[支持的 Amazon S3 存储类](discovery-supported-storage.md#discovery-supported-s3-classes)且具有[支持的文件或存储格式](discovery-supported-storage.md#discovery-supported-formats)文件扩展名的对象。清单还会显示是否已将任何现有作业配置为分析存储桶中的对象。这些详细信息可以帮助您估算作业的范围,并优化您的存储桶选择。
在清单表中:
+ **敏感度**:如果启用了[自动敏感数据发现](discovery-asdd.md),则指定存储桶的当前敏感度分数。
+ **可分类对象**:指定作业可在存储桶中分析的对象总数。
+ **可分类大小**:指定作业可在存储桶中分析的所有对象的总存储大小。
如果存储桶存储压缩对象,则该值并不反映这些对象解压后的实际大小。如果为存储桶启用了版本控制,则此值将基于存储桶中每个最新版本对象的存储大小。
+ **由作业监控**:指示是否将任何现有作业配置为每天、每周或每月定期分析存储桶中的对象。
如果此字段的值为**是**,则表示该存储桶已显式包含在定期作业中,或者该存储桶在过去 24 小时内符合定期作业的条件。此外,其中至少有一个作业的状态非*已取消*。Macie 每天都会更新这些数据。
+ **最近作业运行时间**:如果您配置了任何定期或一次性作业来分析存储桶中的对象,则此字段将指定这些作业开始运行的最近日期和时间。否则,该字段中会出现破折号 (-)。
如果任何存储桶名称旁边显示信息图标 (![\[The information icon, which is a blue circle that has a lowercase letter i in it.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-info-blue.png)),我们建议您从 Amazon S3 中检索最新的存储桶元数据。为此,请选择表上方的刷新 (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/btn-refresh-data.png)) 。该信息图标表示存储桶是在过去 24 小时内创建的,可能是在 Macie 上次作为每日刷新周期的一部分从 Amazon S3 检索存储桶和对象元数据之后创建的。有关更多信息,请参阅 [数据刷新](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh)。
如果存储桶名称旁边显示警告图标 (![\[The warning icon, which is a red triangle that has an exclamation point in it.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-warning-red.png)),则不允许 Macie 访问该存储桶或存储桶的对象。这意味着作业将无法分析存储桶中的对象。要调查该问题,请在 Amazon S3 中查看存储桶的策略和权限设置。例如,存储桶可能具有限制性的存储桶策略。有关更多信息,请参阅 [允许 Macie 访问 S3 存储桶和对象](monitoring-restrictive-s3-buckets.md)。
要自定义视图并更轻松地查找特定存储桶,您可以通过在筛选框中输入筛选条件来筛选表格。下表提供了一些示例。
| 要显示所有存储桶…… | 应用此筛选条件…… |
| --- | --- |
| 归特定账户所有 | 账户编号 = the 12-digit ID for the account |
| 可公开访问 | 有效权限 = 公共 |
| 不包含在任何定期作业中 | 由作业主动监控 = False |
| 不包括在任何定期或一次性作业中 | 在作业中定义 = False |
| 有一个特定标签键\$1 | 标签密钥 = the tag key |
| 有一个特定标签值\$1 | 标签值 = the tag value |
| 存储未加密对象(或使用客户端加密的对象) | 加密对象计数为未加密和从 = 1 |
\$1 标签键和值区分大小写。此外,您还必须指定一个完整、有效的值。您不能指定部分值或使用通配符。
要显示存储桶的其他详细信息,请选择存储桶的名称并查看详细信息面板。您还可以在面板中:
+ 通过为字段选择一个放大镜来透视和深入查看某些字段。选择![\[The zoom in icon, which is a magnifying glass that has a plus sign in it.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-magnifying-glass-plus-sign.png)显示具有相同值的存储桶。选择![\[The zoom out icon, which is a magnifying glass that has a minus sign in it.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-magnifying-glass-minus-sign.png)显示带有其他值的存储桶。
+ 检索存储桶中对象的最新元数据。如果您最近创建了一个存储桶或在过去 24 小时内对存储桶的对象进行了重大更改,这可能会很有帮助。要检索数据,请在面板的**对象统计信息**部分中选择刷新 (![\[The refresh button, which is a button that displays an empty, dark gray circle with an arrow.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/btn-refresh-object-data.png))。此选项适用于所存储对象数量不超过 30000 的存储桶。
在某些情况下,面板可能不会包含存储桶的所有详细信息。如果您在 Amazon S3 中存储的存储桶超过 10,000 个,则可能会发生这种情况。Macie 仅为一个账户维护 10,000 个存储桶的完整库存数据,即最近创建或更改的 10,000 个存储桶。但是,您可以配置任务来分析存储桶中超过此配额的对象。要查看这些存储桶的更多详细信息,请使用 Amazon S3。
### 指定 S3 存储桶条件
如果您选择为作业指定存储桶条件,Macie 会提供用于定义和测试条件的选项。这些是运行时标准,用于确定哪些 S3 存储桶存储要分析的对象。每次运行作业时,Macie 都会识别符合条件的通用存储桶,然后分析相应存储桶中的对象。如果您是组织的 Macie 管理员,则这包括您的成员账户拥有的存储桶。
#### 定义存储桶条件
存储桶条件由一个或多个派生自 S3 存储桶属性的条件组成。每个条件,也称为*标准*,由以下部分组成:
+ 基于属性的字段,例如**账户 ID**或**有效权限**。
+ 运算符,*等于* (`eq`) 或*不等于* (`neq`)。
+ 一个或多个值。
+ 包含或排除语句,用于指示是分析(*包含*)还是跳过(*排除*)符合条件的存储桶。
如果您为一个字段指定多个值,Macie 会使用 OR 逻辑来联接这些值。如果您为某个标准指定多个条件,Macie 会使用 AND 逻辑来联接这些条件。此外,排除条件优先于包含条件。例如,如果包含可公开访问的存储桶并排除具有特定标签的存储桶,则该作业会分析任何可公开访问的存储桶中的对象,除非该存储桶具有指定标签之一。
您可以为 S3 存储桶定义从以下任何基于属性的字段中派生的条件。
**账户 ID**
拥有存储桶的的的唯一标识符 (ID)。 AWS 账户 若要为此字段指定多个值,请输入每个账户的 ID,并用逗号分隔每个条目。
请注意,Macie 不支持在此字段中使用通配符或部分值。
**存储桶名称**
存储桶的名称。此字段与 Amazon S3 中的**名称**字段相关联,而不是 **Amazon 资源名称(ARN)**字段。若要为此字段指定多个值,请输入每个存储桶的名称,并用逗号分隔每个条目。
注意,值区分大小写。此外,Macie 不支持在此字段中使用通配符或部分值。
**有效的权限**
指定存储桶是否可公开访问。您可以为此字段选择以下一个或多个值:
+ **非公开**:公众对存储桶没有读写权限。
+ **公开**:公众对存储桶拥有读写权限。
+ **未知**:Macie 无法评测存储桶的公共访问设置。问题或配额使得 Macie 无法检索和评估必要的数据。
要确定某个存储桶是否可公开访问,Macie 分析了存储桶的账户级和存储桶级设置的组合:账户的阻止公共访问设置;存储桶的阻止公共访问设置;存储桶的存储桶策略;以及存储桶的访问控制列表 (ACL)。有关这些设置的信息,请参阅《[亚马逊简单存储服务用户指南》中的[访问控制](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html)和阻止公众访问您的 Amazon S](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html) *3 存储*。
**共享访问**
指定存储桶是与其他存储桶共享 AWS 账户、亚马逊 CloudFront 源访问身份 (OAI) 还是 CloudFront 源站访问控制 (OAC)。您可以为此字段选择以下一个或多个值:
+ **外部** — 存储桶与以下一个或多个或任意组合共享: CloudFront OAI、CloudFront OAC 或组织外部(不属于)的账户。
+ **内部** – 存储桶与组织内部(一部分)的一个或多个账户共享。它不会与 CloudFront OAI 或 OAC 共享。
+ **未共享**-存储桶未与其他账户、 CloudFront OAI 或 OAC 共享。 CloudFront
+ **未知** – Macie 无法评测存储桶的共享访问权限设置。问题或配额使得 Macie 无法检索和评估必要的数据。
为了确定某个存储桶是否与其他存储桶共享 AWS 账户,Macie 会分析该存储桶的存储桶策略和 ACL。此外,*组织*被定义为一组 Macie 账户,这些账户通过 AWS Organizations 或受到 Macie 邀请作为一组相关账户进行集中管理。有关用于共享存储桶的 Amazon S3 选项的信息,请参阅《*亚马逊简单存储服务用户指南》*中的[访问控制](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html)。
为了确定存储桶是与 CloudFront OAI 还是 OAC 共享,Macie 会分析该存储桶的存储桶策略。 CloudFront OAI 或 OAC 允许用户通过一个或多个指定的 CloudFront分配访问存储桶的对象。有关 CloudFront OAIs 和的信息 OACs,请参阅《[亚马逊* CloudFront 开发者指南》中的限制对 Amaz* on S3 源的访问](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html)。
**标签**
与存储桶关联的标签。标签是您可以定义并分配给某些类型的 AWS 资源(包括 S3 存储桶)的标签。每个标签都包含一个必需的标签键和一个可选的标签值。有关标记 S3 存储桶的信息,请参阅 *Amazon Simple Storage Service 用户指南*中的[使用成本分配 S3 存储桶标签](https://docs.aws.amazon.com/AmazonS3/latest/userguide/CostAllocTagging.html)。
对于敏感数据发现作业,您可以使用此类条件来包含或排除具有特定标签键、特定标签值或特定标签键和标签值(成对)的存储桶。例如:
+ 如果您指定 **Project** 为标签键,但未为条件指定任何标签值,那么任何具有 *Project* 标签键的存储桶都符合条件的标准,而不考虑与该标签键相关联的标签值。
+ 如果您指定 **Development** 和 **Test** 为标签值,并且没有为条件指定任何标签键,则任何具有 **Development** 或 **Test** 标签值的存储桶都符合条件的标准,而不考虑与这些标签值关联的标签键。
标签键和值区分大小写。此外,Macie 不支持在标签条件中使用通配符或部分值。
若要在一个条件中指定多个标签键,请在**键**字段中输入每个标签键,并用逗号分隔每个条目。若要在一个条件中指定多个标签值,请在**值**字段中输入每个标签值,并用逗号分隔每个条目。
如果您在 Amazon S3 中存储的存储桶超过 10,000 个,请注意,Macie 不会为所有存储桶保留标签数据。Macie 仅为一个账户维护 10,000 个存储桶的完整库存数据,即最近创建或更改的 10,000 个存储桶。对于所有其他存储桶,任何关联的标签键和值均不包含在清单数据中。这意味着在使用 e *qual* s (`eq`) 运算符的条件下,存储桶不会匹配特定的标签键或值。如果您为基于标签的条件指定 not e *quals* (`neq`) 运算符,则表示存储桶将与该条件匹配。
#### 测试存储桶条件
在定义存储桶条件时,您可以通过预览结果来测试和完善该条件。为此,请展开控制台上条件下方显示的**预览条件结果**部分。此部分显示一个包含当前符合条件的多达 25 个通用存储桶的表格。
该表还提供了作业可在每个存储桶中分析的数据量的详细信息 - *可分类对象*是指使用[支持的 Amazon S3 存储类](discovery-supported-storage.md#discovery-supported-s3-classes)且具有[支持的文件或存储格式](discovery-supported-storage.md#discovery-supported-formats)文件扩展名的对象。该表还会显示您是否已将任何现有作业配置为定期分析存储桶中的对象。
在表格中:
+ **敏感度**:如果启用了[自动敏感数据发现](discovery-asdd.md),则指定存储桶的当前敏感度分数。
+ **可分类对象**:指定作业可在存储桶中分析的对象总数。
+ **可分类大小**:指定作业可在存储桶中分析的所有对象的总存储大小。
如果存储桶存储压缩对象,则该值并不反映这些对象解压后的实际大小。如果为存储桶启用了版本控制,则此值将基于存储桶中每个最新版本对象的存储大小。
+ **由作业监控**:指示是否将任何现有作业配置为每天、每周或每月定期分析存储桶中的对象。
如果此字段的值为**是**,则表示该存储桶已显式包含在定期作业中,或者该存储桶在过去 24 小时内符合定期作业的条件。此外,其中至少有一个作业的状态非*已取消*。Macie 每天都会更新这些数据。
如果存储桶名称旁边显示警告图标 (![\[The warning icon, which is a red triangle that has an exclamation point in it.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-warning-red.png)),则不允许 Macie 访问该存储桶或存储桶的对象。这意味着作业将无法分析存储桶中的对象。要调查该问题,请在 Amazon S3 中查看存储桶的策略和权限设置。例如,存储桶可能具有限制性的存储桶策略。有关更多信息,请参阅 [允许 Macie 访问 S3 存储桶和对象](monitoring-restrictive-s3-buckets.md)。
要细化作业的存储桶条件,请使用筛选条件选项在条件中添加、更改或删除条件。然后,Macie 会更新表格以反映您的更改。
## 采样深度
使用此选项,您可以指定希望敏感数据发现作业分析的符合条件的 S3 对象的百分比。符合条件的对象包括:使用[支持的 Amazon S3 存储类](discovery-supported-storage.md#discovery-supported-s3-classes)、具有[支持的文件或存储格式](discovery-supported-storage.md#discovery-supported-formats)的文件扩展名以及符合您为作业指定的其他条件的对象。
如果此值小于 100%,Macie 会随机选择要分析的合格对象,最多可达指定的百分比,并分析这些对象中的所有数据。例如,如果您将某个作业配置为分析 10000 个对象,并将采样深度指定为 20%,则 Macie 在作业运行时将分析约 2000 个随机选择的符合条件的对象。
减少作业的采样深度可降低成本并缩短作业的持续时间。如果对象中的数据高度一致,并且您希望确定 S3 存储桶(而不是每个对象)是否存储敏感数据,这将非常有用。
请注意,此选项控制的是所分析*对象*的百分比,而不是所分析的*字节*百分比。如果您输入的采样深度小于 100%,Macie 会分析每个选定对象中的所有数据,而不是每个选定对象中数据的百分比。
## 初始运行:包括现有 S3 对象
您可以使用敏感数据发现作业对 S3 存储桶中的对象执行持续的增量分析。如果您将作业配置为定期运行,Macie 会自动为您执行此操作:每次运行将仅分析在上一次运行后创建或更改过的对象。使用**包括现有对象**选项,您可以选择第一个增量的起点:
+ 要在完成任务创建后立即分析所有现有对象,请选中此选项的复选框。
+ 要等待并仅分析在创建任务之后和首次运行之前创建或更改的对象,请清除此选项的复选框。
如果您已经分析了数据并希望继续定期对其进行分析,则清除此复选框会很有帮助。例如,如果您以前使用其他服务或应用程序对数据进行分类,而最近又开始使用 Macie,则可以使用此选项来确保持续发现和分类数据,而不会产生不必要的成本或重复分类数据。
定期作业的每次后续运行将仅自动分析在上一次运行之后创建或更改过的对象。
对于定期作业和一次性作业,您还可以将作业配置为仅分析在特定时间之前或之后或特定时间范围内创建或更改的对象。为此,请添加使用对象上次修改日期的对象条件。
## S3 对象条件
要微调敏感数据发现作业的范围,您可以为 S3 对象定义自定义条件。Macie 使用这些条件来确定作业运行时要分析(*包括*)或跳过(*排除*)哪些对象。条件由一个或多个派生自 S3 对象的条件组成。这些条件适用于分析中包含的所有 S3 存储桶中的对象。如果一个存储桶中存储对象的多个版本,则条件适用于该对象的最新版本。
如果您将多个条件定义为对象条件,则 Macie 会使用 AND 逻辑来联接条件。此外,排除条件优先于包含条件。例如,如果包含文件扩展名为 .pdf 的对象并排除大于 5 MB 的对象,则作业会分析任何文件扩展名为 .pdf 的对象,除非该对象大于 5 MB。
您可以定义从 S3 对象的以下任何属性派生的条件。
**文件扩展名**
这与 S3 对象的文件扩展名相关。您可以使用此类条件根据文件类型来包含或排除对象。若要对多种类型的文件执行此操作,请输入每种类型的文件扩展名,并用逗号分隔每个条目,例如:**docx,pdf,xlsx**。如果您输入多个文件扩展名作为条件的值,则 Macie 会使用 OR 逻辑来联接这些值。
注意,值区分大小写。此外,Macie 不支持在此类条件下使用部分值或通配符。
有关 Macie 可分析的文件类型的信息,请参阅 [支持的文件和存储格式](discovery-supported-storage.md#discovery-supported-formats)。
**上次修改时间**
这与 Amazon S3 中的**上次修改时间**字段相关。在 Amazon S3 中,此字段存储创建或上次更改 S3 对象的日期和时间,以最新日期为准。
对于敏感数据发现作业,此条件可以是特定日期、特定日期和时间或独占时间范围:
+ 若要分析在特定日期或日期和时间之后最后一次修改的对象,请在**从**字段中输入值。
+ 若要分析在特定日期或日期和时间之前最后一次修改的对象,请在**至**字段中输入值。
+ 若要分析在特定时间范围内最后一次修改的对象,请使用**从**字段输入时间范围内的第一个日期或日期和时间的值。使用**至**字段输入时间范围内的最后日期或日期和时间的值。
+ 若要分析某一天中最后一次修改的对象,请在**从**日期字段中输入日期。在**至**日期字段中输入第二天的日期。然后确认两个时间字段均为空。(Macie 将空白时间字段视为 `00:00:00`。) 例如,要分析在 2023 年 8 月 9 日更改的对象,请在**从**日期字段中输入 **2023/08/09**,在**至**日期字段中输入 **2023/08/10**,请勿在任一时间字段中输入值。
以世界协调时间 (UTC) 输入任意时间值,并使用 24 小时制表示法。
**前缀**
这与 Amazon S3 中的**键**字段相关。在 Amazon S3 中,此字段存储 S3 对象的名称,包括该对象的前缀。*前缀*类似于存储桶中的目录路径。它使您能够将相似的对象分组在一个存储桶中,就像您可以将相似的文件一起存储在文件系统上的一个文件夹中一样。有关 Amazon S3 中对象前缀和文件夹的信息,请参阅 *Amazon Simple Storage Service 用户指南*中的[使用文件夹在 Amazon S3 控制台中组织对象](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-folders.html)。
您可以使用此类条件来包含或排除其键(名称)以特定值开头的对象。例如,要排除键以开头的所有对象 *AWSLogs*,请输入**AWSLogs**作为**前缀**条件的值,然后选择**排除**。
如果您输入多个前缀作为条件的值,则 Macie 会使用 OR 逻辑来联接这些值。例如,如果您输入**AWSLogs1**和**AWSLogs2**作为条件的值,则其键以条件开头*AWSLogs1*或*AWSLogs2*匹配条件的任何对象。
在为**前缀**条件输入值时,请注意以下几点:
+ 值区分大小写。
+ Macie 不支持在这些值中使用通配符。
+ 在 Amazon S3 中,对象的键不包括存储该对象的存储桶的名称。因此,请勿在这些值中指定存储桶名称。
+ 如果前缀包含分隔符,则在该值中包含分隔符。例如,输入**AWSLogs/eventlogs**可以为密钥以 *AWSLogs/even* tlogs 开头的所有对象定义一个条件。Macie 支持默认的 Amazon S3 分隔符(即斜杠 (/))和自定义分隔符。
另请注意,仅当对象的键与您输入的值(从对象键中的第一个字符开始)完全匹配时,该对象才符合条件的标准。此外,Macie 会对对象的完整**键**值应用一个条件,包括该对象的文件名。
例如,如果对象的密钥为 *AWSLogs/eventlogs/testlog.csv*,并且您为条件输入了以下任一值,则该对象符合条件的标准:
+ **AWSLogs**
+ **AWSLogs/event**
+ **AWSLogs/eventlogs/**
+ **AWSLogs/eventlogs/testlog**
+ **AWSLogs/eventlogs/testlog.csv**
*但是,如果您输入**eventlogs**,则对象与条件不匹配,条件的值不包括键的第一部分,AWSLogs即/。*同样,如果您输入 **awslogs**,由于大小写差异,该对象也不符合条件。
**存储大小**
这与 Amazon S3 中的**大小**字段相关。在 Amazon S3 中,此字段指示 S3 对象的总存储大小。如果对象是压缩文件,则此值不反映文件解压后的实际大小。
您可以使用此类条件来包含或排除小于特定大小、大于特定大小或位于特定大小范围内的对象。Macie 将此类条件应用于所有类型的对象,包括压缩或存档文件及其包含的文件。有关每种支持格式基于大小的限制信息,请参阅 [Macie 的限额](macie-quotas.md)。
**标签**
与 S3 对象关联的标签。标签是您可以定义并分配给某些类型的 AWS 资源(包括 S3 对象)的标签。每个标签都包含一个必需的标签键和一个可选的标签值。有关标记 S3 对象的信息,请参阅 *Amazon Simple Storage Service 用户指南*中的[使用标签对存储进行分类](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-tagging.html)。
对于敏感数据发现作业,您可以使用此类条件来包含或排除具有特定标签的对象。这可以是特定的标签键,也可以是特定的标签键和标签值(成对)。如果您指定多个标签作为条件的值,则 Macie 会使用 OR 逻辑来联接这些值。例如,如果您指定 **Project1** 和 **Project2** 作为条件的标签键,则任何具有*Project1*或*Project2*标签键的对象都将符合该条件的标准。
请注意,标签键和值区分大小写。此外,Macie 不支持在此类条件下使用部分值或通配符。
# 创建敏感数据发现作业
借助 Amazon Macie,您可以创建和运行敏感数据发现作业,以自动发现、记录和报告 Amazon Simple Storage Service (Amazon S3) 通用存储桶中的敏感数据。*敏感数据发现作业*是 Macie 执行的一系列自动处理和分析任务,用于检测和报告 Amazon S3 对象中的敏感数据。随着分析的进行,Macie 会提供有关其发现的敏感数据及其执行的分析的详细报告:*敏感数据调查发现*,用于报告 Macie 在单个 S3 对象中发现的敏感数据,以及*敏感数据发现结果*(记录有关单个 S3 对象分析的详细信息)。有关更多信息,请参阅 [查看作业结果](discovery-jobs-manage-results.md)。
创建作业时,首先要指定哪些 S3 存储桶存储您希望 Macie 在作业运行时分析的对象,即您选择的特定存储桶或符合特定标准的存储桶。然后,您可以指定运行作业的频率,即每天、每周或每月运行一次,或者定期运行一次。您也可以选择选项来优化作业的分析范围。这些选项包括派生自 S3 对象属性的自定义标准,例如标签、前缀以及对象上次修改时间。
定义作业的时间表和范围后,您可以指定要使用的托管数据标识符和自定义数据标识符:
+ *托管数据标识符*是一组内置标准和技术,旨在检测特定类型的敏感数据,例如信用卡号、 AWS 秘密访问密钥或特定国家或地区的护照号码。这些标识符可以检测许多国家和地区的大量且不断增长的敏感数据类型列表,包括多种类型的凭证数据、财务信息和个人身份信息(PII)。有关更多信息,请参阅 [使用托管数据标识符](managed-data-identifiers.md)。
+ *自定义数据标识符*是您为检测敏感数据定义的一组标准。使用自定义数据标识符,您可以检测反映组织特定场景、知识产权或专有数据(例如员工 IDs、客户账号或内部数据分类)的敏感数据。您可以补充 Macie 提供的托管数据标识符。有关更多信息,请参阅 [构建自定义数据标识符](custom-data-identifiers.md)。
然后,您可以选择要使用的允许列表。在 Macie 中,*允许列表*指定了要忽略的文本或文本模式。这些通常是针对您的特定场景或环境的敏感数据例外情况:例如,您的组织的公共代表姓名或电话号码,或者您的组织用于测试的示例数据。有关更多信息,请参阅 [使用允许列表定义敏感数据例外](allow-lists.md)。
选择完这些选项后,就可以输入作业的常规设置了,例如作业的名称和说明。然后,您可以查看并保存作业。
**Topics**
+ [开始之前:设置密钥资源](#discovery-jobs-create-prerequisites)
+ [步骤 1:选择 S3 存储桶](#discovery-jobs-create-step1)
+ [第 2 步:检查您的 S3 存储桶选择或标准](#discovery-jobs-create-step2)
+ [第 3 步:定义时间表并优化范围](#discovery-jobs-create-step3)
+ [第 4 步:选择托管数据标识符](#discovery-jobs-create-step4)
+ [第 5 步:选择自定义数据标识符](#discovery-jobs-create-step5)
+ [第 6 步:选择允许列表](#discovery-jobs-create-step6)
+ [第 7 步:输入常规设置](#discovery-jobs-create-step7)
+ [步骤 8:审核并创建](#discovery-jobs-create-step8)
## 开始之前:设置密钥资源
创建作业之前,最好执行以下步骤:
+ 确认您已配置了用于存储敏感数据发现结果的存储库。为此,请在 Amazon Macie 控制台的导航窗格中选择**发现结果**。要了解这些设置,请参阅 [存储和保留敏感数据发现结果](discovery-results-repository-s3.md)。
+ 创建希望作业使用的任何自定义数据标识符。要了解如何操作,请参阅 [构建自定义数据标识符](custom-data-identifiers.md)。
+ 创建您希望作业使用的任何允许列表。要了解如何操作,请参阅[使用允许列表定义敏感数据例外](allow-lists.md)。
+ 如果要分析加密的 S3 对象,请确保 Macie 可以访问和使用相应的加密密钥。有关更多信息,请参阅 [分析加密 S3 对象](discovery-supported-encryption-types.md)。
+ 如果您要分析具有限制性存储桶策略的 S3 存储桶中的对象,请确保允许 Macie 访问这些对象。有关更多信息,请参阅 [允许 Macie 访问 S3 存储桶和对象](monitoring-restrictive-s3-buckets.md)。
如果您在创建作业之前执行这些操作,则可以简化作业的创建并有助于确保作业可以分析所需的数据。
## 步骤 1:选择 S3 存储桶
创建作业时,第一步是指定哪些 S3 存储桶存储了要让 Macie 在作业运行时分析的对象。您有两个选项来执行此步骤:
+ **选择特定存储桶**:使用此选项,您可以显式选择要分析的每个 S3 存储桶。然后,当作业运行时,Macie 仅分析您所选存储桶中的对象。
+ **指定存储桶标准**:使用此选项,您可以定义运行时标准来确定要分析哪些 S3 存储桶。标准由一个或多个派生自 S3 存储桶属性的条件组成。当作业运行时,Macie 会识别符合标准的存储桶,然后分析这些存储桶中的对象。
有关这些选项的详细信息,请参阅 [作业的范围选项](discovery-jobs-scope.md)。
以下各节提供了选择和配置每个选项的说明。选择所需选项的部分。
### 选择特定存储桶
如果您选择明确选择要分析的每个 S3 存储桶,Macie 会为您提供当前通用存储桶的清单。 AWS 区域然后,您可以使用此清单为作业选择一个或多个存储桶。要了解此清单,请参阅 [选择特定 S3 存储桶](discovery-jobs-scope.md#discovery-jobs-scope-buckets-select)。
如果您是组织的 Macie 管理员,则清单中会包含组织中成员账户所拥有的存储桶。您可以选择多达 1000 个存储桶,涵盖多达 1000 个账户。
**为作业选择特定的 S3 存储桶**
1. 打开亚马逊 Macie 主机,网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. 在导航窗格中,选择**作业**。
1. 请选择 **Create job (创建作业)**。
1. 在**选择 S3 存储桶**页面上,选择**选择特定存储桶**。Macie 会显示您账户在当前区域中的所有通用存储桶的表格。
1. 在**选择 S3 存储桶**部分,可以选择刷新 (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/btn-refresh-data.png)),从 Amazon S3 检索最新的存储桶元数据。
如果信息图标 (![\[The information icon, which is a blue circle that has a lowercase letter i in it.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-info-blue.png)) 出现在任何存储桶名称旁边,我们建议您这样操作。此图标表明存储桶是在过去 24 小时内创建的,可能是 Macie 在[每日刷新周期](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh)中最后一次从 Amazon S3 检索存储桶和对象元数据之后创建的。
1. 在表中,选中要分析任务的每个存储桶对应的复选框。
**提示**
要更轻松地查找特定存储桶,请在表格上方的筛选框中输入筛选标准。您还可以通过选择列标题对表格进行排序。
要确定您是否已将作业配置为定期分析存储桶中的对象,请参阅**按作业监控**字段。如果此字段显示**是**,存储桶已显式包含在定期作业中,或者该存储桶在过去 24 小时内符合定期作业的标准。此外,其中至少有一个作业的状态非*已取消*。Macie 每天都会更新这些数据。
要确定现有定期或一次性作业最近一次分析存储桶中的对象的时间,请参阅**最新作业运行**字段。有关该作业的更多信息,请参阅存储桶的详细信息。
要显示存储桶的详细信息,请选择存储桶的名称。除了与作业相关的信息外,详细信息面板还提供有关存储桶的统计数据和其他信息,例如存储桶的公共访问设置。要详细了解此数据,请参阅 [查看 S3 存储桶清单](monitoring-s3-inventory-review.md)。
1. 选择完存储桶后,选择**下一步**。
在下一步中,您将检查并验证您的选择。
### 指定存储桶标准
如果您选择指定运行时标准来确定要分析哪些 S3 存储桶,Macie 会提供一些选项来帮助您为标准中的各个条件选择字段、运算符和值。要了解有关这些选项的更多信息,请参阅 [指定 S3 存储桶条件](discovery-jobs-scope.md#discovery-jobs-scope-buckets-criteria)。
**为作业指定 S3 存储桶标准**
1. 打开亚马逊 Macie 主机,网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. 在导航窗格中,选择**作业**。
1. 请选择 **Create job (创建作业)**。
1. 在**选择 S3 存储桶**页面上,选择**指定存储桶标准**。
1. 在**指定存储桶标准**下,执行以下操作以向标准添加条件:
1. 将光标置于筛选框中,然后选择要用于条件的存储桶属性。
1. 在第一个框中,为条件选择一个运算符**等于**或**不等于**。
1. 在下一个框中,为该属性输入一个或多个值。
根据存储桶属性的类型和性质,Macie 会显示不同的值输入选项。例如,如果您选择**有效权限**属性,Macie 会显示一个值列表供您选择。如果您选择**账户 ID** 属性,Macie 会显示一个文本框,您可以在其中输入一个或多 AWS 账户 IDs个。要在文本框中输入多个值,请输入每个值并用逗号分隔每个条目。
1. 选择**应用**。Macie 添加条件并将其显示在筛选框下方。
默认情况下,Macie 使用包含语句添加条件。这意味着作业配置为分析(*包含*)存储桶中符合条件的对象。要跳过(*排除*)符合条件的存储桶,请为条件选择**包含**,然后选择**排除**。
1. 对要添加到标准的每个其他条件重复上述步骤。
1. 要测试您的标准,请展开**预览标准结果**部分。此部分显示一个包含当前符合条件的多达 25 个通用存储桶的表格。
1. 要优化标准,请执行以下任一操作:
+ 要移除条件,请选择条件的 **X**。
+ 要更改条件,请通过为条件选择 **X** 来移除该条件。然后添加具有正确设置的条件。
+ 要移除所有条件,请选择**清除筛选条件**。
Macie 会更新标准结果表以反映您的更改。
1. 指定完存储桶标准后,选择**下一步**。
在下一步中,您将检查并验证您的标准。
## 第 2 步:检查您的 S3 存储桶选择或标准
在此步骤中,请验证您在上一步中选择的设置是否正确:
+ **查看您的存储桶选择** - 如果您为作业选择了特定的 S3 存储桶,请查看存储桶表并根据需要更改存储桶选择。该表提供了对作业分析的预计范围和成本的深入了解。数据基于当前存储在存储桶中的对象的大小和类型。
在表中,**估计成本**字段表示分析 S3 存储桶中对象的估计总成本(以美元为单位)。每个估计值都反映了作业将在存储桶中分析的预计未压缩数据量。如果有任何对象是压缩文件或存档文件,则该估计假设这些文件使用 3:1 的压缩比,并且作业可以分析所有提取的文件。有关更多信息,请参阅 [预测和监控作业成本](discovery-jobs-costs.md)。
+ **查看您的存储桶标准** - 如果您为作业指定了存储桶标准,请查看条件中的每个条件。要更改标准,请选择**上一步**,然后使用上一步中的筛选选项输入正确的标准。完成后,选择 **Next (下一步)**。
完成对设置的查看和验证后,选择**下一步**。
## 第 3 步:定义时间表并优化范围
在此步骤中,您可以指定运行作业的频率,即每天、每周或每月运行一次,或者定期运行一次。您也可以选择各种选项来优化作业的分析范围。要了解有关这些选项的信息,请参阅 [作业的范围选项](discovery-jobs-scope.md)。
**定义时间表并优化作业范围**
1. 在**优化范围**页面上,指定您希望作业运行的频率:
+ 要仅运行一次作业,请在完成创建作业后立即选择**一次性作业**。
+ 要定期运行作业,请选择**计划作业**。对于**更新频率**,选择是每天、每周还是每月运行作业。然后使用**包含现有对象**选项来定义作业首次运行的范围:
+ 选中此复选框可在完成任务创建后立即分析所有现有对象。每次后续运行将仅分析在上一次运行之后创建或更改过的对象。
+ 清除此复选框可跳过对所有现有对象的分析。此作业的第一次运行仅分析在完成作业创建之后和第一次运行开始之前创建或更改的对象。每次后续运行将仅分析在上一次运行之后创建或更改过的对象。
如果您已经分析了数据并希望继续定期对其进行分析,则清除此复选框会很有帮助。例如,如果您以前使用其他服务或应用程序对数据进行分类,而最近又开始使用 Macie,则可以使用此选项来确保持续发现和分类数据,而不会产生不必要的成本或重复分类数据。
1. (可选)要指定您希望作业分析的对象的百分比,请在**采样深度**框中输入该百分比。
如果此值小于 100%,Macie 会随机选择要分析的对象,最多可达指定的百分比,并分析这些对象中的所有数据。默认值为 100%。
1. (可选)要添加确定作业分析中包含或排除哪些 S3 对象的特定标准,请展开**其他设置**部分,然后输入标准。这些标准由派生自 S3 对象属性的单个条件组成:
+ 要分析(*包括*)满足特定条件的对象,请输入条件类型和值,然后选择**包括**。
+ 要分析(*排除*)满足特定条件的对象,请输入条件类型和值,然后选择**排除**。
对所需的每个包括或排除条件重复此步骤。
如果您输入多个条件,则任何排除条件优先于包括条件。例如,如果包含文件扩展名为 .pdf 的对象并排除大于 5 MB 的对象,则作业会分析任何文件扩展名为 .pdf 的对象,除非该对象大于 5 MB。
1. 完成后,选择 **Next (下一步)**。
## 第 4 步:选择托管数据标识符
在此步骤中,请指定希望作业在分析 S3 对象时使用的托管数据标识符。你有两个选择:
+ **使用推荐的设置** - 使用此选项,作业将使用我们为作业推荐的一组托管数据标识符来分析 S3 对象。该组用于检测常见的敏感数据类别和类型。要查看该组中当前的托管数据标识符列表,请参阅 [推荐用于作业的托管数据标识符](discovery-jobs-mdis-recommended.md)。每次在组中添加或移除托管数据标识符时,我们都会更新该列表。
+ **使用推荐的设置** - 使用此选项,作业将使用您选择的托管数据标识符来分析 S3 对象。这可以是当前可用的全部托管数据标识符,也可以仅为部分托管数据标识符。您也可以将作业配置为不使用任何托管数据标识符。相反,该作业只能使用您在下一步中选择的自定义数据标识符。要查看当前可用的托管数据标识符列表,请参阅 [快速参考:按类型划分的托管数据标识符](mdis-reference-quick.md)。每次发布新的托管数据标识符时,我们都会更新该列表。
选择任一选项时,Macie 都会显示托管数据标识符表。在表中,**敏感数据类型**字段指定了托管数据标识符的唯一标识符 (ID)。此 ID 描述了托管数据标识符旨在检测的敏感数据类型,例如:美国护照号码的 **USA\$1PASSPORT\$1NUMBER**、信用卡号的 **CREDIT\$1CARD\$1NUMBER** 和 PGP 私钥的 **PGP\$1PRIVATE\$1KEY**。要更快地找到特定的标识符,您可以按敏感数据类别或类型对表格进行排序和筛选。
**为作业选择托管数据标识符**
1. 在**选择托管数据标识符**页面的**托管数据标识符选项**下,执行以下操作之一:
+ 要使用我们为作业推荐的一组托管数据标识符,请选择**推荐**。
如果您选择此选项并将作业配置为多次运行,则每次运行都会自动使用运行开始时推荐组中的所有托管数据标识符。这包括我们发布并添加到组中的新的托管数据标识符。它不包括我们从组中移除的托管数据标识符,不再推荐用于作业。
+ 要仅使用您选择的特定托管数据标识符,请选择**自定义**,然后选择**使用特定的托管数据标识符**。然后,在表中,选中您希望作业使用的每个托管数据标识符对应的复选框。
如果您选择此选项并将作业配置为多次运行,则每次运行仅使用您选择的托管数据标识符。换句话说,作业每次运行时都使用这些相同的托管数据标识符。
+ 使用 Macie 当前提供的所有托管数据标识符,请选择**自定义**,然后选择**使用特定的托管数据标识符**。然后,在表格中,选中选择列标题中的复选框以选择所有行。
如果您选择此选项并将作业配置为多次运行,则每次运行仅使用您选择的托管数据标识符。换句话说,作业每次运行时都使用这些相同的托管数据标识符。
+ 要不使用任何托管数据标识符而仅使用自定义数据标识符,请选择**自定义**,然后选择**不使用任何托管数据标识符**。然后,在下一步中,选择要使用的自定义数据标识符。
1. 完成后,选择 **Next (下一步)**。
## 第 5 步:选择自定义数据标识符
在此步骤中,选择您希望作业在分析 S3 对象时使用的任何自定义数据标识符。除了配置作业要使用的任何托管数据标识符外,作业还将使用选定的标识符。要了解有关自定义数据标识符的更多信息,请参阅 [构建自定义数据标识符](custom-data-identifiers.md)。
**为作业选择自定义数据标识符**
1. 在**选择自定义数据标识符**页面上,选中您希望作业使用的每个自定义数据标识符对应的复选框。您可以选择多达 30 个自定义数据标识符。
**提示**
要在选择自定义数据标识符之前查看或测试其设置,请选择该标识符名称旁边的链接图标 (![\[The link icon, which is a blue box that has an arrow in it.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-external-link.png))。Macie 会打开一个显示标识符设置的页面。
您还可以使用此页面通过示例数据测试标识符。为此,请在**示例数据**框中输入最多包含 1,000 个字符,然后选择**测试**。Macie 使用标识符评测示例数据,然后报告匹配项的数量。
1. 选择完自定义数据标识符后,选择**下一步**。
## 第 6 步:选择允许列表
在此步骤中,选择您希望作业在分析 S3 对象时使用的任何允许列表。要了解有关允许列表的更多信息,请参阅 [使用允许列表定义敏感数据例外](allow-lists.md)。
**为作业选择允许列表**
1. 在**选择允许列表**页面上,选中您希望作业使用的每个允许列表对应的复选框。您可以选择多达 10 个列表。
**提示**
要在选择允许列表之前查看其设置,请选择列表名称旁边的链接图标 (![\[The link icon, which is a blue box that has an arrow in it.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-external-link.png))。Macie 会打开一个显示列表设置的页面。
如果列表指定了正则表达式 (*regex*),您也可以使用此页使用示例数据测试正则表达式。为此,请在**示例数据**框中输入最多包含 1,000 个字符的文本,然后选择**测试**。Macie 使用正则表达式评测示例数据,然后报告匹配项的数量。
1. 选择完允许列表后,选择**下一步**。
## 第 7 步:输入常规设置
在此步骤中,请指定作业的名称和(可选)的作业说明。您也可以为作业分配标签。*标签*是您定义并分配给某些类型的 AWS 资源的标签。每个标签都包含一个必需的标签键和一个可选的标签值。标签可以帮助您以不同的方式识别、分类和管理资源,例如,按用途、所有者、环境或其他标准。要了解更多信息,请参阅[为 Macie 资源添加标签](tagging-resources.md)。
**输入作业的常规设置**
1. 在**输入常规设置**页面上,在**作业名称**框中输入作业的名称。名称可以包含多达 500 个字符。
1. (可选)对于**作业说明**,输入作业的简短说明。说明可包含多达 200 个字符。
1. (可选)在**标签**下,选择**添加标记**,然后最多可输入 50 个标签来分配给作业。
1. 完成后,选择 **Next (下一步)**。
## 步骤 8:审核并创建
在最后一步中,检查作业的配置设置并验证设置是否正确。这是重要的一步。创建作业后,您无法更改任何设置。这有助于确保您拥有敏感数据调查发现和发现结果的不可变历史记录,以便您执行数据隐私和保护的审计或调查。
根据作业的设置,您还可以查看运行一次作业的总估计成本(以美元为单位)。如果您为作业选择了特定的 S3 存储桶,则估计值将基于所选存储桶中对象的大小和类型,以及该作业可以分析的数据量。如果您为作业指定了存储桶标准,则估计值将基于多达 500 个存储桶中当前符合标准的对象的大小和类型,以及该作业可以分析的数据量。要了解此估计值,请参阅 [预测和监控作业成本](discovery-jobs-costs.md)。
**审核和创建作业**
1. 在**查看并创建**页面上,查看每项设置并验证其是否正确。要更改设置,选择包含该设置的部分中的**编辑**,然后输入正确的设置。您也可以使用导航选项卡转到包含设置的页面。
1. 验证完设置后,选择**提交**以创建并保存作业。Macie 会检查设置并通知您任何需要解决的问题。
**注意**
如果您尚未为敏感数据发现结果配置存储库,Macie 会显示警告,并且不会保存作业。要解决此问题,请在**敏感数据发现结果的存储库**部分中选择**配置**。然后输入存储库的配置设置。要了解如何操作,请参阅[存储和保留敏感数据发现结果](discovery-results-repository-s3.md)。输入设置后,返回到**查看并创建**页面,在该页面的**敏感数据发现结果的存储库**部分中选择刷新(![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/btn-refresh-data.png))。
虽然我们不建议这样做,但您可以暂时覆盖存储库要求并保存作业。如果您这样做,您就有可能丢失作业中的发现结果 — Macie 只会将结果保留 90 天。要暂时覆盖该要求,请选中 “覆盖” 选项的复选框。
1. 如果 Macie 通知您要解决的问题,请解决这些问题,然后再次选择**提交**以创建并保存作业。
如果您将作业配置为运行一次、每天运行或者在每周或每月的当前日期运行,Macie 将会在您保存之后,立即开始运行该作业。否则,Macie 会准备在每周或每月中的指定日期运行作业。要监控作业,您可以[检查作业的状态](discovery-jobs-status-check.md)。
# 查看敏感数据发现作业的结果
当您运行敏感数据发现作业时,Amazon Macie 会自动计算并报告该作业的某些统计数据。例如,Macie 会报告作业运行的次数以及该作业在当前运行期间尚未处理的 Amazon Simple Storage Service (Amazon S3) 对象的大致数量。Macie 还会为该作业生成多种类型的结果:*日志事件*、*敏感数据调查发现*和*敏感数据发现结果*。
**Topics**
+ [作业结果类型](#discovery-jobs-manage-results-types)
+ [查看作业统计数据和结果](#discovery-jobs-manage-results-review)
## 敏感数据发现作业的结果类型
随着敏感数据发现作业的进行,Amazon Macie 会为该作业生成以下类型的结果。
**日志事件**
这是作业运行时发生的事件的记录。Macie 会自动记录特定事件的数据并将其发布到 Amazon CloudWatch 日志。这些日志中的数据提供了作业进度或状态变化的记录,例如作业开始或停止运行的确切日期和时间。这些数据还提供了有关作业运行时发生的任何账户或存储桶级错误的详细信息。
日志事件可以帮助您监控作业,并解决任何阻碍该作业分析所需数据的问题。如果作业使用运行时标准来确定要分析哪些 S3 存储桶,则日志事件还可以帮助您确定作业运行时是否符合标准以及哪些 S3 存储桶符合标准。
您可以使用亚马逊 CloudWatch 控制台或亚马逊日 CloudWatch 志 API 访问日志事件。为了帮助您导航到作业的日志事件,Amazon Macie 控制台提供了指向这些事件的链接。有关更多信息,请参阅 [使用CloudWatch 日志监控作业](discovery-jobs-monitor-cw-logs.md)。
**敏感数据调查发现**
这是 Macie 在 S3 对象中发现的敏感数据的报告。每项调查发现都会提供严重性评级和详细信息,如:
+ Macie 发现敏感数据的日期与时间。
+ Macie 发现敏感数据的类别和类型。
+ Macie 发现的每种敏感数据的出现次数。
+ 生成调查发现的作业的唯一标识符。
+ 受影响的 S3 存储桶和对象的名称、公开访问设置、加密类型和其他信息。
根据受影响 S3 对象的文件类型或存储格式,详细信息还可能包括 Macie 发现的、多达 15 处敏感数据的位置。为了报告位置数据,敏感数据调查发现使用[标准化的 JSON 架构](findings-locate-sd-schema.md)。
敏感数据调查发现不包括 Macie 发现的敏感数据。相反,它提供了用于进一步调查和必要补救的信息。
Macie 会将敏感数据调查发现存储 90 天。您可以使用 Amazon Macie 控制台或 Amazon Macie API 访问它们。您还可以使用其他应用程序、服务和系统,监控和处理它们。有关更多信息,请参阅 [查看和分析调查发现](findings.md)。
**敏感数据发现结果**
这是记录有关 S3 对象分析详细信息的记录。Macie 会自动为您配置作业进行分析的每个对象创建敏感数据发现结果。这包括 Macie 在其中没有发现敏感数据、因而不会产生敏感数据调查发现的对象,以及 Macie 因错误或问题(例如,权限设置或使用不受支持的文件或存储格式)而无法分析的对象。
如果 Macie 在 S3 对象中发现敏感数据,则敏感数据发现结果将包含来自相应敏感数据调查发现的数据。它还提供了其他信息,例如 Macie 在对象中发现的每种敏感数据出现多达 1000 次的位置。例如:
+ Microsoft Excel 工作簿、CSV 文件或 TSV 文件中单元格或字段的列号和行号
+ JSON 或 JSON Lines 文件中的字段或数组路径
+ 除 CSV、JSON、JSON Lines 或 TSV 文件之外的非二进制文本文件中的行号,例如 HTML、TXT 或 XML 文件
+ Adobe 可移植文档格式 (PDF) 文件中页面的页码
+ Apache Avro 对象容器或 Apache Parquet 文件中记录的字段的记录索引和路径
如果受影响的 S3 对象是存档文件(如 .tar 或 .zip 文件),则敏感数据发现结果还会提供 Macie 从存档中提取的单个文件中敏感数据出现的详细位置数据。Macie 不会在存档文件的敏感数据调查发现中包含此信息。为了报告位置数据,敏感数据发现结果使用[标准化 JSON 架构](findings-locate-sd-schema.md)。
敏感数据发现结果不包括 Macie 发现的敏感数据。相反,它为您提供分析记录,有助于数据隐私和保护审计或调查。
Macie 会将您的敏感数据发现结果存储 90 天。您无法直接在 Amazon Macie 控制台或使用 Amazon Macie API 访问它们。相反,您可以配置 Macie 将其加密并存储至 S3 存储桶内。存储桶可以用作所有敏感数据发现结果的最终长期存储库。然后,您可以选择访问和查询该存储库中的结果。要了解如何配置这些设置,请参阅 [存储和保留敏感数据发现结果](discovery-results-repository-s3.md)。
配置好这些设置之后,Macie 会将敏感数据发现结果写入 JSON Lines (.jsonl) 文件,然后它加密这些文件并将其作为 GNU Zip (.gz) 文件添加至 S3 存储桶。为了帮助您导航到结果,Amazon Macie 控制台提供了指向这些结果的链接。
敏感数据调查发现和敏感数据发现结果都遵循标准化架构。这可以帮助您选择性地使用其他应用程序、服务和系统进行查询、监控和处理。
**提示**
*有关如何查询和使用敏感数据发现结果来分析和报告潜在的数据安全风险的详细教学示例,请参阅安全博客上的以下博客文章:[如何使用 Amazon Athena 和 Amazon Quick 查询和可视化 Macie 敏感数据发现结果](https://aws.amazon.com/blogs/security/how-to-query-and-visualize-macie-sensitive-data-discovery-results-with-athena-and-quicksight/)。AWS *
有关可用于分析敏感数据发现结果的 Amazon Athena 查询示例,请访问上的 Amazon [Macie 结果分析存储库](https://github.com/aws-samples/amazon-macie-results-analytics)。 GitHub此存储库还提供了有关配置 Athena 以检索和解密结果的说明,以及用于为结果创建表的脚本。
## 查看敏感数据发现作业的统计数据和结果
要查看敏感数据发现作业的处理统计数据和结果,您可以使用 Amazon Macie 控制台或 Amazon Macie API。按照以下步骤,使用控制台查看统计数据和结果。
要以编程方式访问任务的处理统计数据,请使用 Amazon Macie API 的[DescribeClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-jobid.html)操作。要以编程方式访问作业产生的结果,请使用该[ListFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings.html)操作并在该`classificationDetails.jobId`字段的筛选条件中指定该作业的唯一标识符。要了解如何操作,请参阅[创建筛选条件并将其应用于 Macie 调查发现](findings-filter-procedure.md)。然后,您可以使用该[GetFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html)操作来检索发现的详细信息。
**查看作业的统计数据和结果**
1. 打开亚马逊 Macie 主机,网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. 在导航窗格中,选择**作业**。
1. 在**作业**页面上,选择要查看其统计数据和结果的作业的名称。此详细信息面板显示有关作业的统计数据、设置和其他信息。
1. 在详细信息面板中,执行以下任一操作:
+ 要查看作业的处理统计数据,请参阅面板的**统计数据**部分。此部分显示统计数据,例如作业运行的次数以及该作业在当前运行期间尚未处理的大致对象数。
+ 要查看作业的日志事件,请选择面板顶部的**显示结果**,然后选择**显示 CloudWatch 日志**。Macie 打开亚马逊 CloudWatch控制台并显示 Macie 为该任务发布的日志事件表。
+ 要查看作业生成的所有敏感数据调查发现,请选择面板顶部的**显示结果**,然后选择**显示调查发现**。Macie 会打开**调查发现**页面,并显示作业中的所有调查发现。然后,要查看特定调查发现的详细信息,请选择该调查发现,然后参考详细信息面板。
**提示**
在调查发现详细信息面板中,您可以使用**详细结果位置**字段中的链接导航到 Amazon S3 中相应的敏感数据发现结果:
如果调查发现适用于大型存档或压缩文件,则该链接将显示包含该文件发现结果的文件夹。如果存档文件或压缩文件生成的发现结果超过 100 个,则该文件*大*。
如果调查发现适用于小存档或压缩文件,则该链接将显示包含该文件发现结果的文件。如果存档文件或压缩文件生成的发现结果不超过 100 个,则该文件*小*。
如果调查发现适用于其他类型的文件,则该链接将显示包含该文件发现结果的文件。
+ 要查看作业生成的所有敏感数据发现结果,请选择面板顶部的**显示结果**,然后选择**显示分类**。Macie 打开 Amazon S3 控制台并显示包含作业所有发现结果的文件夹。只有在将 Macie 配置为将[敏感数据发现结果存储在 S3 存储桶](discovery-results-repository-s3.md)后,此选项才可用。
# 管理敏感数据发现作业
为了帮助您管理敏感数据发现任务,Amazon Macie 会在每个任务中保留一份完整的任务清单。 AWS 区域使用此清单,您可以将作业作为单个集合进行管理,并访问各个作业的配置设置、处理统计信息和状态。
例如,您可以确定所有配置为定期分析、评测和监控而周期性运行的作业。您还可以查看作业的配置设置明细。这包括定义分析范围的设置。它还包括一些用于指定希望 Macie 在作业运行时检测和报告的敏感数据类型的设置。如果您使用 Amazon Macie 控制台管理作业,则每个作业的详细信息还可让您直接访问作业产生的[敏感数据调查发现和其他结果](discovery-jobs-manage-results.md)。
除了这些任务外,您还可以创建单个作业的自定义变量。您可以复制现有作业,调整副本的设置,然后将副本另存为新作业。如果您想以相同的方式分析不同的数据集,或者以不同的方式分析同一组数据,这可能会很有帮助。如果您要调整现有作业的配置设置,也可以使用它 — 取消现有作业,复制它,然后调整并将副本另存为新作业。
**Topics**
+ [查看您的作业清单](discovery-jobs-manage-view.md)
+ [查看作业的配置设置](discovery-jobs-manage-settings.md)
+ [检查作业状态](discovery-jobs-status-check.md)
+ [更改作业的状态](discovery-jobs-status-change.md)
+ [复制作业](discovery-jobs-manage-copy.md)
# 查看您的敏感数据发现作业清单
在 Amazon Macie 控制台上,您可以查看当前敏感数据发现任务的完整清单。 AWS 区域清单既提供所有作业的摘要信息,也提供各个作业的详细信息。摘要信息包括:每个作业的当前状态;作业是否按计划定期运行;作业是否配置为分析特定 Amazon Simple Storage Service (Amazon S3) 存储桶中的对象或符合运行时标准的 S3 存储桶。对于单个作业,您还可以访问详细信息,例如任务配置设置的明细。如果作业已经运行,详细信息还允许直接访问敏感数据调查发现和作业产生的其他类型结果。
**要查看您的作业清单**
按照以下步骤使用 Amazon Macie 控制台查看您的作业清单。要以编程方式访问您的库存,请使用亚马逊 Macie API 的[ListClassificationJobs](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-list.html)操作。
1. 打开亚马逊 Macie 主机,网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. 在导航窗格中,选择**作业**。**作业**页面将打开并显示清单中的作业数量以及这些作业的表格。
1. 在页面顶部,可选择刷新 (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/btn-refresh-data.png)) 来检索每个作业的当前状态。
1. 在**作业**表中,查看作业的摘要信息:
+ **作业名称**:作业的名称。
+ **资源**:作业是配置为分析特定 S3 存储桶中的对象,还是符合运行时标准的存储桶。如果您为要分析的作业明确选择了存储桶,则此字段会显示所选存储桶的数量。如果您将作业配置为使用运行时标准,则此字段的值为**基于标准**。
+ **作业类型**:作业是配置为运行一次(**一次**)还是按计划定期运行(**计划**)。
+ **状态**:作业的当前状态。要了解有关该值的更多信息,请参阅 [检查作业状态](discovery-jobs-status-check.md)。
+ **创建时间**:创建作业的时间。
1. 要更快地分析您的清单或找到特定作业,请执行以下任一操作:
+ 要按特定字段对表格进行排序,请选择该字段的列标题。若要更改排序顺序,请再次选择列标题。
+ 要仅显示那些具有特定字段值的作业,请将光标置于筛选框中。在出现的菜单中,选择要用于筛选条件的字段,然后输入筛选条件的值。然后,选择**应用**。
+ 要隐藏那些具有特定字段值的作业,请将光标置于筛选框中。在出现的菜单中,选择要用于筛选条件的字段,然后输入筛选条件的值。然后,选择**应用**。在筛选框中,为筛选条件选择等于图标 (![\[The equals icon, which is a solid gray circle.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-operator-equals.png))。这会将筛选条件的运算符从*等于*更改为*不等于* (![\[The not equals icon, which is an empty gray circle that has a backslash in it.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-operator-not-equals.png))。
+ 要移除筛选条件,请选择要移除的筛选条件的“移除筛选条件图标”(![\[The remove filter condition icon, which is a circle that has an X in it.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-filter-remove.png))。
1. 要查看特定作业的其他设置和详细信息,请选择作业的名称。然后参阅详细信息面板。如需了解这些详细信息,请参阅[查看作业的配置设置](discovery-jobs-manage-settings.md)。
# 查看敏感数据发现作业的设置
在 Amazon Macie 控制台上,您可以使用**作业**页面上的详细信息面板来查看配置设置以及有关各个敏感数据发现作业的其他信息。例如,您可以查看为作业配置的要分析的 Amazon Simple Storage Service (Amazon S3) 存储桶列表。您还可以确定在分析这些存储桶中的对象时,将任务配置为使用哪些托管和自定义数据标识符。
请注意,您无法更改现有作业的任何配置设置。这有助于确保您拥有敏感数据调查发现和发现结果的不可变历史记录,以便您执行数据隐私和保护的审计或调查。
如果要更改现有作业,您可以[取消该作业](discovery-jobs-status-change.md)。然后[复制作业](discovery-jobs-manage-copy.md),将副本配置为使用所需的设置,然后将副本另存为新作业。如果这样操作,您还应该采取措施确保新作业不会再次以同样的方式分析现有数据。为此,请记下您取消现有作业的日期和时间。然后将新作业的范围配置为仅包含在您取消原始作业之后创建或更改过的对象。例如,您可以使用[对象标准](discovery-jobs-scope.md#discovery-jobs-scope-criteria)定义排除条件,该条件指定何时取消原始作业。
**要查看作业的配置设置**
按照以下步骤,使用 Amazon Macie 控制台查看作业的配置设置。要以编程方式查看设置,请使用亚马逊 Macie API 的[DescribeClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-jobid.html)操作。
1. 打开亚马逊 Macie 主机,网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. 在导航窗格中,选择**作业**。**作业**页面将打开并显示清单中的作业数量以及这些作业的表格。
1. 在**作业**表中,选择要查看其设置的作业名称。要更快地找到作业,您可以使用表格上方的筛选条件对表格进行筛选。您也可以按照升序或降序,对表格进行排序。
当您在表中选择一项作业,则详细信息面板将显示有关该作业的作业配置设置和其他信息。根据作业的设置,该面板包含以下部分。
**一般信息**
本节提供有关作业的一般信息。例如,它会显示作业的 Amazon 资源名称(ARN)、作业最近开始运行的时间以及作业的当前状态。如果您暂停了作业,则此部分还会指出您何时暂停了该作业,以及作业或最新运行的作业何时过期,或者如果您不恢复则将何时过期。
**统计信息**
本节显示作业的处理统计信息。例如,它指定了作业运行的次数以及该作业在当前运行期间尚未处理的 S3 对象的大致数量。
**范围**
本节说明作业的运行频率。它还会显示用于细化作业范围的设置,例如,[采样深度](discovery-jobs-scope.md#discovery-jobs-scope-sampling)以及任何在分析中包含或排除 S3 对象的[对象标准](discovery-jobs-scope.md#discovery-jobs-scope-criteria)。
**S3 存储桶**
如果将作业配置为分析您在创建作业时明确选择的存储桶,则此部分将显示在面板中。它表示配置为分析数据的作业的数量。 AWS 账户 它还表示作业配置为分析的存储桶数量以及这些存储桶的名称(按账户分组)。
要以 JSON 格式显示账户和存储桶的完整列表,请在**存储桶总数**字段中选择数字。
**S3 存储桶条件**
如果作业使用运行时系统条件来确定要分析哪些存储桶,则此部分将显示在面板中。它列出了配置作业要使用的条件。要以 JSON 格式显示条件,请选择**详细信息**。然后在出现的窗口中选择 “**标准**” 选项卡。
要查看当前符合条件的存储桶列表,请选择**详细信息**。然后在出现的窗口中选择 “**匹配存储桶**” 选项卡。(可选)选择刷新 (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/btn-refresh-data.png)) 以检索最新数据。该选项卡最多列出当前符合条件的 25 个存储桶。
如果作业已经运行,您还可以确定是否有任何存储桶符合作业运行时的条件,如果是,则确定这些存储桶的名称。为此,请查看作业的日志事件:选择面板顶部的**显示结果**,然后选择**显示 CloudWatch 日志**。Macie 打开 Amazon CloudWatch 控制台并显示该任务的日志事件表。这些事件包括符合条件并包含在作业分析中的每个存储桶的 `BUCKET_MATCHED_THE_CRITERIA` 事件。有关更多信息,请参阅 [使用CloudWatch 日志监控作业](discovery-jobs-monitor-cw-logs.md)。
**自定义数据标识符**
如果将作业配置为使用一个或多个[自定义数据标识符](custom-data-identifiers.md),则此部分将显示在面板中。它指定了这些自定义数据标识符的名称。
**允许列表**
如果将作业配置为使用一个或多个[允许列表](allow-lists.md),则此部分将显示在面板中。它指定了这些列表的名称。若要查看列表的设置和状态,请选择列表名称旁边的链接图标 (![\[The link icon, which is a blue box that has an arrow in it.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-view-resource-blue.png))。
**托管数据标识符**
本节指出了配置作业要使用哪些[托管数据标识符](managed-data-identifiers.md)。这由作业的托管数据标识符选择类型决定:
+ **推荐**-作业运行时使用[推荐集](discovery-jobs-mdis-recommended.md)中的托管数据标识符。
+ **包括选定项**-仅使用**选择**部分中列出的托管数据标识符。
+ **全部包含**-使用作业运行时可用的所有托管数据标识符。
+ **排除选定项**-使用作业运行时可用的所有托管数据标识符,但**选择**部分中列出的标识符除外。
+ **全部排除**-不要使用任何托管数据标识符。仅使用指定的自定义数据标识符。
要以 JSON 格式查看这些设置,请选择**详细信息**。
**标签**
如果标签分配给作业,则本节将在面板中显示。它列出了这些标签。*标签*是您定义并分配给某些类型的 AWS 资源的标签。每个标签都包含一个必需的标签键和一个可选的标签值。要了解更多信息,请参阅[为 Macie 资源添加标签](tagging-resources.md)。
要查看作业设置并将其保存为 JSON 格式,请在面板顶部选择作业的唯一标识符(**作业 ID**)。然后选择**下载**。
# 检查敏感数据发现作业的状态
创建敏感数据发现作业时,其初始状态为**活动(正在运行)**或**活动(空闲)**,具体取决于作业的类型和计划。然后,作业会经过其他状态,您可以随着作业的进展对其进行监控。
**提示**
除了监控作业的整体状态外,您还可以监控作业进行过程中发生的特定事件。您可以使用 Amazon Macie 自动发布到 Amazon Logs 的日志数据来实现此目的。 CloudWatch 这些日志中的数据提供了作业状态更改的记录,以及作业运行时发生的任何账户或存储桶级错误的详细信息。有关更多信息,请参阅 [使用CloudWatch 日志监控作业](discovery-jobs-monitor-cw-logs.md)。
**若要检查作业状态**
按照以下步骤,使用 Amazon Macie 控制台检查作业的状态。要以编程方式检查任务的状态,请使用 Amazon Macie API 的[DescribeClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-jobid.html)操作。
1. 打开亚马逊 Macie 主机,网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. 在导航窗格中,选择**作业**。**作业**页面将打开并显示清单中的作业数量以及这些作业的表格。
1. 在页面顶部,刷新 (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/btn-refresh-data.png)) 来检索每个作业的当前状态。
1. 在**作业**表中,找到要检查其状态的作业。要更快地找到作业,您可以使用表格上方的筛选条件对表格进行筛选。您也可以按照升序或降序,对表格进行排序。
1. 请参阅表中的**状态**字段。此字段指明作业的当前状态。
作业的状态可以是以下状态之一。
**活动(空闲)**
对于定期作业,上一次运行已完成,下一次计划运行处于待处理状态。此值不适用于一次性作业。
**活跃(正在运行)**
对于一次性作业,该作业当前正在进行中。对于定期作业,计划运行正在进行中。
**已取消**
对于任何类型的作业,该作业均永久停止(已取消)。
如果您明确取消了作业,或者如果这是一次性作业,该作业已暂停但未在 30 天内恢复,则该作业将处于此状态。如果您之前在当前[AWS 区域暂停了 Macie](suspend-macie.md),则作业也可能处于此状态。
**完成**
对于一次性作业,该作业已成功运行,现已完成。此值不适用于定期作业。相反,当每次运行成功完成时,定期作业的状态会更改为**活动(空闲)**。
**已暂停(由 Macie)**
对于任何类型的作业,Macie 暂时停止(暂停)该作业。
如果作业或作业运行的完成将超过您账户的每月[敏感数据发现配额](macie-quotas.md),则该任务将处于此状态。发生这种情况时,Macie 会自动暂停作业。当下一个日历月开始(并且您的账户的每月配额已重置),或者您增加账户的配额,则 Macie 会自动恢复该作业。
如果您是组织的 Macie 管理员,并且将作业配置为分析成员账户的数据,那么如果作业或作业运行的完成超过成员账户的每月敏感数据发现配额,则该作业也可能处于此状态。
如果作业正在运行,并且对符合条件的对象的分析达到成员账户的此配额,该作业将停止分析该账户拥有的对象。当该作业完成对所有其他未达到配额账户对象的分析后,Macie 会自动暂停作业。如果这是一次性作业,Macie 将在下一个日历月开始时或所有受影响账户的配额增加时(以先发生者为准)自动恢复该作业。如果是定期作业,Macie 将在计划下一次运行开始或下一个日历月开始时(以先发生者为准)自动恢复该作业。如果计划运行在下一个日历月开始之前开始,或者受影响账户的配额增加,该作业不会分析该账户拥有的对象。
**已暂停(由用户)**
对于任何类型的作业,您暂时停止(暂停)该作业。
如果您暂停了一次性作业,但未在 30 天内恢复该作业,则该作业将过期,Macie 会将其取消。如果您在定期作业处于活动运行状态时暂停该作业,但在 30 天内没有恢复该作业,则该作业的运行将过期,Macie 将取消该运行。要查看已暂停的作业或作业运行的到期日期,请在表中选择该作业的名称,然后参考详细信息面板**状态详细信息**部分中的**过期**字段。
如果作业被取消或暂停,则可以参考该作业的详细信息来确定该作业是否已开始运行,或者对于定期作业,在取消或暂停之前至少运行过一次。要执行此操作,请在**作业**表中选择作业的名称,然后转到详细信息面板。在面板中,**运行次数**字段表示作业已运行的次数。**上次运行时间**字段会显示作业开始运行的最近日期和时间。
根据作业的当前状态,您可以选择暂停、恢复或取消作业。有关更多信息,请参阅 [更改作业的状态](discovery-jobs-status-change.md)。
# 更改敏感数据发现作业的状态
创建敏感数据发现作业后,您可以暂时将其暂停或永久取消。当您暂停正在运行的作业时,Amazon Macie 会立即开始暂停该作业的所有处理任务。当您暂停正在运行的作业时,Macie 会立即开始停止该作业的所有处理任务。您在作业取消后无法将其恢复或重新启动。
如果您暂停了一次性作业,则可以在 30 天内恢复该作业。当您恢复作业时,Macie 会立即从您暂停作业的位置开始恢复处理。Macie 并没有从一开始就重启作业。如果您未在暂停了一次性作业的 30 天内恢复该作业,则该作业将过期,Macie 会将其取消。
如果您暂停定期作业,您可以随时恢复作业。如果您恢复定期作业,但暂停作业时该作业处于空闲状态,则 Macie 会根据您在创建该作业时选择的计划和其他配置设置恢复该作业。如果您恢复定期作业,并且暂停作业时该作业正在运行中,那么 Macie 如何恢复该作业取决于您何时恢复该作业:
+ 如果在暂停作业后的 30 天内恢复作业,Macie 会立即从暂停作业的位置恢复最近一次计划的运行。Macie 并没有从一开始就重启运行。
+ 如果您在暂停作业后的 30 天内没有恢复该作业,则最新的计划运行将过期,Macie 将取消该运行的所有剩余处理任务。当您随后恢复作业时,Macie 会根据您在创建作业时选择的计划和其他配置设置恢复作业。
为了帮助您确定暂停的作业或作业运行何时过期,Macie 在作业暂停时在作业的详细信息中添加了到期日期。此外,我们会在作业或作业运行到期前大约七天通知您。当作业或作业运行到期并被取消时,我们会再次通知您。为了通知您,我们会向与您关联的地址发送电子邮件 AWS 账户。我们还会为您的账户创建 AWS Health 活动和 Amazon CloudWatch 活动。要使用控制台查看到期日期,请在**作业**页面的表格中选择作业的名称。然后参阅详细信息面板中**状态详细信息**部分的**过期**字段。要以编程方式查看日期,请使用亚马逊 Macie API 的[DescribeClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-jobid.html)操作。
**若要暂停、恢复或取消作业**
要使用 Amazon Macie 控制台暂停、恢复或取消作业,请遵循以下步骤。要以编程方式执行此[UpdateClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-jobid.html)操作,请使用亚马逊 Macie API 的操作。
1. 打开亚马逊 Macie 主机,网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. 在导航窗格中,选择**作业**。**作业**页面将打开并显示清单中的作业数量以及这些作业的表格。
1. 在页面顶部,刷新 (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/btn-refresh-data.png)) 来检索每个作业的当前状态。
1. 在 “**作业**” 表中,选中要暂停、继续或取消的作业的复选框。要更快地找到作业,您可以使用表格上方的筛选条件对表格进行筛选。您也可以按照升序或降序,对表格进行排序。
1. 在 **Actions(操作)**菜单中,执行以下操作之一:
+ 要暂时暂停作业,请选择**暂停**。仅当作业的当前状态为**活动(空闲)**、**活动(正在运行)**或**已暂停(由 Macie)**时,此选项才可用。
+ 要恢复作业,请选择**恢复**。仅当作业的当前状态为**已暂停(由用户)**时,此选项才可用。
+ 要永久取消作业,请选择**取消**。选择此选项后,您随后将无法恢复或重新启动作业。
# 复制敏感数据发现作业
要快速创建与现有作业类似的新敏感数据发现作业,您可以创建现有作业的副本。然后,您可以编辑副本的设置,并将副本另存为新作业。如果您想以相同的方式分析不同的数据集,或者以不同的方式分析同一组数据,这可能会很有帮助。如果您要调整现有作业的配置设置,也可以使用它 — 取消现有作业,复制它,然后调整并将副本另存为新作业。
**若要复制作业**
按照以下步骤使用 Amazon Macie 控制台复制作业。要以编程方式复制任务,请使用 Amazon Macie API 的[DescribeClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-jobid.html)操作来检索要复制的任务的配置设置。然后使用该[CreateClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs.html)操作创建作业的副本。
1. 打开亚马逊 Macie 主机,网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. 在导航窗格中,选择**作业**。**作业**页面将打开并显示清单中的作业数量以及这些作业的表格。
1. 在 “**作业**” 表中,选中要复制的作业对应的复选框。要更快地找到作业,您可以使用表格上方的筛选条件对表格进行筛选。您也可以按照升序或降序,对表格进行排序。
1. 在**操作**菜单中,选择**复制到新项目**。
1. 完成控制台上的步骤以查看和调整作业副本的设置。对于**调整范围**步骤,请考虑选择一些选项,以防止作业再次以相同的方式分析现有数据:
+ 对于一次性作业,使用[对象条件](discovery-jobs-scope.md#discovery-jobs-scope-criteria)仅包括在一定时间后创建或更改的对象。例如,如果您要创建已取消的作业的副本,请添加**上次修改时间**条件,以指定您取消现有作业的日期和时间。
+ 对于定期作业,请清除 “**包括现有对象**” 复选框。如果您执行此操作,第一次运行作业将仅分析在作业创建完成之后以及第一次运行作业前创建或更改过的对象。您也可以使用[对象条件](discovery-jobs-scope.md#discovery-jobs-scope-criteria)来排除在特定日期和时间之前最后一次修改的对象。
有关此步骤和其他步骤的更多详细信息,请参阅 [创建敏感数据发现作业](discovery-jobs-create.md)。
1. 完成后,选择**提交**将副本另存为新作业。
如果您将作业配置为运行一次、每天运行或者在每周或每月的当前日期运行,Macie 将会在您保存之后,立即开始运行该作业。否则,Macie 会准备在每周或每月中的指定日期运行作业。要监控作业,您可以[检查作业的状态](discovery-jobs-status-check.md)。
# 使用 CloudWatch 日志监控敏感数据发现作业
除了[监控敏感数据发现作业的整体状态](discovery-jobs-status-check.md)外,您还可以监控和分析作业进行过程中发生的特定事件。为此,您可以使用 Amazon Macie 自动发布到亚马逊日志的近乎实时的日志数据。 CloudWatch 这些日志中的数据提供了作业进度或状态变化的记录。例如,您可以使用数据来确定作业开始运行、暂停或完成运行的确切日期和时间。
日志数据还提供了有关作业运行时发生的任何账户或存储桶级错误的详细信息。例如,如果 Amazon Simple Storage Service (Amazon S3) 存储桶的权限设置阻碍作业分析该存储桶中的对象,Macie 就会记录一个事件。该事件指示错误发生的时间,并标识受影响的存储桶和拥有 AWS 账户 该存储桶的人。这些类型事件的数据可以帮助您识别、调查和解决阻碍 Macie 分析所需数据的错误。
借助 Amazon Lo CloudWatch gs,您可以监控、存储和访问来自多个系统、应用程序和 AWS 服务(包括 Macie)的日志文件。您还可以查询和分析日志数据,并将 CloudWatch 日志配置为在发生特定事件或达到阈值时通知您。 CloudWatch 日志还提供存档日志数据和将数据导出到 Amazon S3 的功能。要了解有关CloudWatch 日志的更多信息,请参阅 [Amazon CloudWatch 日志用户指南](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html)。
**Topics**
+ [作业日志的工作原理](discovery-jobs-monitor-cw-logs-configure.md)
+ [查看作业日志](discovery-jobs-monitor-cw-logs-review.md)
+ [了解作业的日志事件](discovery-jobs-monitor-cw-logs-ref.md)
# 敏感数据发现作业的日志工作原理
当您开始运行敏感数据发现任务时,Amazon Macie 会自动在 Amazon Logs 中创建和配置相应的 CloudWatch 资源,以记录所有任务的事件。然后,当您的作业运行时,Macie 会自动将事件数据发布到这些资源。您的账户的 Macie [服务相关角色](service-linked-roles.md)的权限策略允许 Macie 代表您执行这些任务。您无需采取任何步骤即可在 CloudWatch 日志中创建或配置资源来记录作业的事件数据。
在 CloudWatch 日志中,日志按*日志组*进行组织。每个日志组都包含*日志流*。每个日志流包含*日志事件*。这些资源的一般用途如下:
+ *日志组*是具有相同保留、监控和访问控制设置的日志流的集合,例如,所有敏感数据发现作业的日志集。
+ *日志流*是共享同一个源的一系列日志事件,例如单个敏感数据发现作业。
+ *日志事件*是应用程序或资源记录的活动记录,例如,Macie 为特定的敏感数据发现作业记录和发布的单个事件。
Macie 将所有敏感数据发现作业的事件发布到一个日志组。每个作业在该日志组中都有一个唯一的日志流。该日志组具有以下前缀和名称:
`/aws/macie/classificationjobs`
如果此日志组已经存在,Macie 将使用它来存储作业的日志事件。如果您的组织使用自动化配置(例如 [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)),为作业事件创建具有预定义保留期、加密设置、标记、指标筛选条件等的日志组,这可能会很有用。
如果此日志组不存在,Macie 会使用 Logs 用于新 CloudWatch 日志组的默认设置来创建该日志组。这些设置包括**永不过期的日志保留期**,这意味着 Lo CloudWatch gs 会无限期地存储日志。您可以更改该日志组的保留期。要了解如何操作,请参阅 *Amazon 日志用户指南中的使用日志组和 CloudWatch 日志*[流](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html)。
在此日志组中,Macie 会为您运行的每项首次运行的作业创建唯一的日志流。日志流的名称是作业的唯一标识符,例如 `85a55dc0fa6ed0be5939d0408example`,采用以下格式。
`/aws/macie/classificationjobs/85a55dc0fa6ed0be5939d0408example`
每个日志流都包含 Macie 为相应作业记录和发布的所有日志事件。对于定期作业,这包括所有作业运行的事件。如果您删除定期作业的日志流,Macie 会在该作业下次运行时再次创建该日志流。如果您删除一次性作业的日志流,则无法将其恢复。
请注意,默认情况下,已为所有作业启用日志记录。您无法将其禁用或以其他方式阻止 Macie 将作业事件发布到 CloudWatch 日志。如果您不想存储日志,则可以将日志组的保留期缩短至一天。在保留期结束时, CloudWatch 日志会自动从日志组中删除过期的事件数据。
# 查看敏感数据发现作业的日志
开始在 Amazon Macie 中运行敏感数据发现任务后,您可以使用亚马逊 CloudWatch 日志查看任务日志。 CloudWatch 日志提供的功能旨在帮助您查看、分析和监控日志数据。您可以使用这些功能来处理作业的日志流和事件,就像处理日志中的CloudWatch 任何其他类型的日志数据一样。
例如,您可以搜索和筛选聚合数据,以识别在特定时间范围内所有作业发生的特定类型的事件。或者,您可以对特定作业发生的所有事件进行有针对性的审查。 CloudWatch 日志还提供了用于监控日志数据、定义指标筛选器和创建自定义警报的选项。
**提示**
要快速导航到特定任务的日志数据,您可以使用 Amazon Macie 控制台。为此,请在**作业**页面上选择作业的名称。在详细信息面板的顶部,选择**显示结果**,然后选择**显示 CloudWatch 日志**。Macie 打开 Amazon CloudWatch 控制台并显示该任务的日志事件表。
**要查看敏感数据发现作业的日志**
按照以下步骤使用 Amazon CloudWatch 控制台导航并查看日志数据。要以编程方式查看数据,请使用 [Amazon CloudWatch 日志 API](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/Welcome.html)。
1. 打开 CloudWatch 控制台,网址为[https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)。
1. 使用页面右上角的选择 AWS 区域 器,选择您运行要查看日志的作业的区域。
1. 在导航窗格中,选择 **Logs**(日志),然后选择 **Log groups(日志组)**。
1. 在**日志组**页面上,选择**/aws/macie/classificationjobs**日志组。 CloudWatch 显示您已运行的作业的日志流表。每项作业都有一个唯一的流。每个流的名称都与作业的唯一标识符相关。
1. 在**日志流**选项卡上,执行以下操作之一:
+ 要查看特定作业的日志事件,请选择该作业的日志流。要更轻松地找到流,请在表格上方的筛选框中输入作业的唯一标识符。选择日志流后, CloudWatch将显示该作业的日志事件表。
+ 要查看所有作业的日志事件,请选择**搜索所有日志流**。 CloudWatch 显示所有作业的日志事件表。
1. (可选)在表格上方的筛选框中,输入用于指定要查看的特定事件特征的术语、短语或值。有关更多信息,请参阅 *Amazon Logs 用户指南中的使用筛选模式搜索 CloudWatch 日志*[数据](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/SearchDataFilterPattern.html)。
1. 要查看特定日志事件的详细信息,请在该事件行中选择展开 (![\[The expand row icon, which is a right-facing solid arrow.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-caret-right-filled.png))。 CloudWatch 以 JSON 格式显示事件的详细信息。要了解有关这些细节的更多信息,请参阅 [了解作业的日志事件](discovery-jobs-monitor-cw-logs-ref.md)。
在熟悉日志事件中的数据后,您可以执行其他任务来简化对数据的分析和监控。例如,您可以[创建指标筛选器](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/MonitoringLogData.html),将日志数据转换为数字 CloudWatch 指标。您还可以[创建自定义警报](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html),以便更轻松地识别和响应特定的日志事件。有关更多信息,请参阅 [Amazon CloudWatch 日志用户指南](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html)。
# 了解敏感数据发现作业的日志事件
为了帮助您监控敏感数据发现任务,Amazon Macie 会自动将任务的日志数据发布到亚马逊 CloudWatch 日志。这些日志中的数据提供了作业进度或状态变化的记录。例如,您可以使用数据来确定作业开始运行或完成运行的确切日期和时间。数据还提供了有关作业运行时可能发生的某些类型错误的详细信息。该数据可以帮助您识别、调查和解决阻碍 Macie 分析所需数据的错误。
当您开始运行作业时,Macie 会自动在 CloudWatch 日志中创建和配置相应的资源,以记录所有作业的事件。然后,当您的作业运行时,Macie 会自动将事件数据发布到这些资源。有关更多信息,请参阅 [作业日志的工作原理](discovery-jobs-monitor-cw-logs-configure.md)。
然后,通过使用 CloudWatch 日志,您可以查询和分析作业的日志数据。例如,您可以搜索和筛选聚合数据,以识别在特定时间范围内所有作业发生的特定类型的事件。或者,您可以对特定作业发生的所有事件进行有针对性的审查。 CloudWatch 日志还提供了用于监控日志数据、定义指标筛选器和创建自定义警报的选项。例如,您可以将 CloudWatch 日志配置为在作业运行时发生某种类型的事件时通知您。有关更多信息,请参阅 [Amazon CloudWatch 日志用户指南](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html)。
**Contents**
+ [作业的日志事件架构](#discovery-jobs-monitor-cw-logs-schema)
+ [作业的日志事件类型](#discovery-jobs-monitor-cw-logs-event-index)
+ [作业状态事件](#discovery-jobs-monitor-cw-logs-event-index-status)
+ [账户级错误事件](#discovery-jobs-monitor-cw-logs-event-index-account-errors)
+ [存储桶级错误事件](#discovery-jobs-monitor-cw-logs-event-index-bucket-errors)
## 敏感数据发现作业的日志事件架构
敏感数据发现任务的每个日志事件都是一个 JSON 对象,其中包含一组标准字段,符合 Amazon CloudWatch Logs 事件架构。某些类型的事件还有其他字段,这些字段提供的信息对此类事件特别有用。例如,账户级错误事件包括受影响的 AWS 账户的账户 ID。存储桶级错误事件包括受影响的 Amazon Simple Storage Service (Amazon S3) 存储桶的名称。
以下示例显示敏感数据发现作业的日志事件架构。在此示例中,事件报告说,由于 Amazon S3 拒绝访问存储桶,Amazon Macie 无法分析 S3 存储桶中的任何对象。
```
{
"adminAccountId": "123456789012",
"jobId": "85a55dc0fa6ed0be5939d0408example",
"eventType": "BUCKET_ACCESS_DENIED",
"occurredAt": "2024-04-14T17:11:30.574809Z",
"description": "Macie doesn’t have permission to access the affected S3 bucket.",
"jobName": "My_Macie_Job",
"operation": "ListObjectsV2",
"runDate": "2024-04-14T17:08:30.345809Z",
"affectedAccount": "111122223333",
"affectedResource": {
"type": "S3_BUCKET_NAME",
"value": "amzn-s3-demo-bucket"
}
}
```
在前面的示例中,Macie 尝试使用 Amazon S3 API 的 [ListObjectsV2](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html) 操作列出存储桶的对象。当 Macie 向 Amazon S3 发送请求时, Amazon S3 拒绝访问该存储桶。
以下字段是敏感数据发现作业的所有日志事件的通用字段:
+ `adminAccountId`:创建作业的 AWS 账户 的唯一标识符。
+ `jobId`:作业的唯一标识符。
+ `eventType`:发生的事件类型。
+ `occurredAt`:事件发生时的日期和时间,采用协调世界时 (UTC) 和扩展 ISO 8601 格式。
+ `description`:事件的简要说明。
+ `jobName`:作业的名称。
根据事件的类型和性质,日志事件还可以包含以下字段:
+ `affectedAccount`:拥有受影响资源的 AWS 账户 的唯一标识符。
+ `affectedResource`:提供有关受影响资源的详细信息的 JSON 对象。在对象中,`type` 字段指定一个用于存储有关资源的元数据的字段。`value` 字段指定字段 (`type`) 的值。
+ `operation`:Macie 尝试执行并导致错误的操作。
+ `runDate`:适用作业或作业运行开始时的日期和时间,采用协调世界时 (UTC) 和扩展 ISO 8601 格式。
## 敏感数据发现作业的日志事件类型
Amazon Macie 会针对敏感数据发现作业可能发生的三类事件发布日志事件:
+ 作业状态事件,用于记录作业或作业运行的状态或进度的变化。
+ 账户级错误事件,用于记录阻止 Macie 分析特定内容的 Amazon S3 数据的错误。 AWS 账户
+ 存储桶级错误事件,用于记录阻止 Macie 分析特定 S3 存储桶的数据的错误。
本节中的主题列出并描述了 Macie 为每个类别发布的事件类型。
### 作业状态事件
作业状态事件用于记录作业或作业运行的状态或进度的变化。对于定期作业,Macie 会记录并发布整个作业和单个作业运行的这些事件。
以下示例使用示例数据来显示作业状态事件中字段的结构和性质。在此示例中,`SCHEDULED_RUN_COMPLETED` 事件表示定期作业的计划运行已完成运行。如 `runDate` 字段所示,运行于世界标准时间 2024 年 4 月 14 日 17:09:30 开始。如 `occurredAt` 字段所示,运行于世界标准时间 2024 年 4 月 14 日 17:16:30 结束。
```
{
"adminAccountId": "123456789012",
"jobId": "ffad0e71455f38a4c7c220f3cexample",
"eventType": "SCHEDULED_RUN_COMPLETED",
"occurredAt": "2024-04-14T17:16:30.574809Z",
"description": "The scheduled job run finished running.",
"jobName": "My_Daily_Macie_Job",
"runDate": "2024-04-14T17:09:30.574809Z"
}
```
下表列出并描述了 Macie 记录并发布到 CloudWatch 日志的作业状态事件的类型。**事件类型**列表示每个事件在事件`eventType`字段中显示的名称。**说明**列提供事件显示在事件`description`字段中的简要说明。**其他信息**提供有关该事件适用的作业类型的信息。该表首先按事件可能发生的大致时间顺序排序,然后按事件类型按字母升序排序。
| 事件类型 | 说明 | 附加信息 |
| --- | --- | --- |
| JOB\$1CREATED | 已创建作业。 | 适用于一次性和定期作业。 |
| ONE\$1TIME\$1JOB\$1STARTED | 作业开始运行。 | 仅适用于一次性作业。 |
| SCHEDULED\$1RUN\$1STARTED | 计划作业开始运行。 | 仅适用于定期作业。为了记录一次性作业的开始,Macie 发布一个 ONE\$1TIME\$1JOB\$1STARTED 事件,而不是此类事件。 |
| BUCKET\$1MATCHED\$1THE\$1CRITERIA | 受影响的存储桶符合为作业指定的存储桶标准。 | 适用于使用运行时存储桶标准来确定要分析哪些 S3 存储桶的一次性和定期作业。 `affectedResource` 对象指定符合标准并包含在作业分析中的存储桶的名称。 |
| NO\$1BUCKETS\$1MATCHED\$1THE\$1CRITERIA | 作业已开始运行,但当前没有与为该作业指定的存储桶标准相匹配的存储桶。该作业没有分析任何数据。 | 适用于使用运行时存储桶标准来确定要分析哪些 S3 存储桶的一次性和定期作业。 |
| SCHEDULED\$1RUN\$1COMPLETED | 计划作业结束运行。 | 仅适用于定期作业。为了记录一次性作业的完成,Macie 发布一个 JOB\$1COMPLETED 事件,而不是此类事件。 |
| JOB\$1PAUSED\$1BY\$1USER | 作业已被用户暂停。 | 适用于您暂时停止(已暂停)的一次性和定期作业。 |
| JOB\$1RESUMED\$1BY\$1USER | 作业已由用户恢复。 | 适用于您暂时停止(已暂停)并且之后又恢复了的一次性和定期作业。 |
| JOB\$1PAUSED\$1BY\$1MACIE\$1SERVICE\$1QUOTA\$1MET | 作业已被 Macie 暂停。作业的完成将超过受影响账户的每月配额。 | 适用于 Macie 暂时停止(已暂停)的一次性和定期作业。 当作业或作业运行的额外处理超过该作业为其分析数据的一个或多个账户的每月[敏感数据发现配额](macie-quotas.md)时,Macie 会自动暂停该作业。为避免出现此问题,请考虑增加受影响账户的配额。 |
| JOB\$1RESUMED\$1BY\$1MACIE\$1SERVICE\$1QUOTA\$1LIFTED | 作业已由 Macie 恢复。受影响账户的每月服务配额已取消。 | 适用于 Macie 暂时停止(已暂停)并且之后又恢复了的一次性和定期作业。 如果 Macie 自动暂停一次性作业,Macie 将在下一个月开始时或所有受影响账户的每月敏感数据发现配额增加时(以先发生者为准)自动恢复该作业。如果 Macie 自动暂停定期作业,Macie 将在计划下一次运行开始或下一个月开始时(以先发生者为准)自动恢复该作业。 |
| JOB\$1CANCELLED | 作业已取消。 | 适用于您永久停止(取消)的一次性和定期作业,或者对于一次性作业,已暂停但未在 30 天内恢复。 如果您挂起或禁用 Macie,则此类事件也适用于在您挂起或禁用 Macie 时处于活动状态或暂停状态的作业。 AWS 区域 如果您在该地区暂停或禁用 Macie,Macie 会自动取消您的作业。 |
| JOB\$1COMPLETED | 作业已完成运行。 | 仅适用于一次性作业。为了记录定期作业的作业运行的完成,Macie 发布一个 SCHEDULED\$1RUN\$1COMPLETED 事件,而不是此类事件。 |
### 账户级错误事件
账户级错误事件记录了一个错误,该错误阻止 Macie 分析特定存储桶中属于特定存储桶的对象。 AWS 账户每个事件中的 `affectedAccount` 字段都指定该账户的账户 ID。
以下示例使用示例数据来显示账户级错误事件中字段的结构和性质。在此示例中,`ACCOUNT_ACCESS_DENIED` 事件表明 Macie 无法分析账户 `444455556666` 拥有的任何 S3 存储桶中的对象。
```
{
"adminAccountId": "123456789012",
"jobId": "85a55dc0fa6ed0be5939d0408example",
"eventType": "ACCOUNT_ACCESS_DENIED",
"occurredAt": "2024-04-14T17:08:30.585709Z",
"description": "Macie doesn’t have permission to access S3 bucket data for the affected account.",
"jobName": "My_Macie_Job",
"operation": "ListBuckets",
"runDate": "2024-04-14T17:05:27.574809Z",
"affectedAccount": "444455556666"
}
```
下表列出并描述了 Macie 记录并发布到日志的账户级错误事件的类型。 CloudWatch **事件类型**列表示每个事件在事件`eventType`字段中显示的名称。**说明**列提供事件显示在事件`description`字段中的简要说明。**其他信息**列提供调查或解决所发生错误的所有适用提示。该表按事件类型字母顺序升序排序。
| 事件类型 | 说明 | 附加信息 |
| --- | --- | --- |
| ACCOUNT\$1ACCESS\$1DENIED | Macie 无权访问受影响账户的 S3 存储桶数据。 | 之所以发生这种情况,通常是因为账户拥有的存储桶具有限制性的存储桶策略。有关如何解决此问题的信息,请参阅 [允许 Macie 访问 S3 存储桶和对象](monitoring-restrictive-s3-buckets.md)。 事件中 `operation` 字段的值可以帮助您确定哪些权限设置阻止 Macie 访问该账户的 S3 数据。此字段表示错误发生时 Macie 尝试执行的 Amazon S3 操作。 |
| ACCOUNT\$1DISABLED | 作业跳过了受影响账户拥有的资源。Macie 已对账户禁用。 | 要解决此问题,在同一 AWS 区域中为该账户重新启用 Macie。 |
| ACCOUNT\$1DISASSOCIATED | 作业跳过了受影响账户拥有的资源。该账户不再作为成员账户与您的 Macie 管理员账户关联。 | 如果您作为组织的 Macie 管理员,将作业配置为分析成员账户的数据,而该账户之后从您的组织中被移除,则会发生这种情况。 要解决此问题,请将受影响的账户与您的 Macie 管理员账户重新关联为成员账户。有关更多信息,请参阅 [管理多个账户](macie-accounts.md)。 |
| ACCOUNT\$1ISOLATED | 作业跳过了受影响账户拥有的资源。他们 AWS 账户 被隔离了。 | – |
| ACCOUNT\$1REGION\$1DISABLED | 作业跳过了受影响账户拥有的资源。当前 AWS 账户 不处于活动状态 AWS 区域。 | – |
| ACCOUNT\$1SUSPENDED | 作业被取消或跳过了受影响账户拥有的资源。Macie 已对账户挂起 | 如果指定的账户是您自己的账户,那么当您在同一地区挂起 Macie 时,Macie 会自动取消作业。要解决此问题,请在该地区重新启用 Macie。 如果指定的账户是成员账户,请在同一地区为该账户重新启用 Macie。 |
| ACCOUNT\$1TERMINATED | 作业跳过了受影响账户拥有的资源。 AWS 账户 已终止。 | – |
### 存储桶级错误事件
存储桶级错误事件记录导致 Macie 无法分析特定 S3 存储桶中的对象的错误。每个事件中的`affectedAccount`字段指定拥有存储桶 AWS 账户 的账户 ID。每个事件中的 `affectedResource` 对象都指定了存储桶名称。
以下示例使用示例数据来显示存储桶级错误事件中字段的结构和性质。在此示例中,`BUCKET_ACCESS_DENIED` 事件表明 Macie 无法分析名为 `amzn-s3-demo-bucket` 的 S3 存储桶中的任何对象。当 Macie 尝试使用 Amazon S3 API 的 [ListObjectsV2](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html) 操作列出存储桶的对象时,Amazon S3 拒绝访问该存储桶。
```
{
"adminAccountId": "123456789012",
"jobId": "85a55dc0fa6ed0be5939d0408example",
"eventType": "BUCKET_ACCESS_DENIED",
"occurredAt": "2024-04-14T17:11:30.574809Z",
"description": "Macie doesn’t have permission to access the affected S3 bucket.",
"jobName": "My_Macie_Job",
"operation": "ListObjectsV2",
"runDate": "2024-04-14T17:09:30.685209Z",
"affectedAccount": "111122223333",
"affectedResource": {
"type": "S3_BUCKET_NAME",
"value": "amzn-s3-demo-bucket"
}
}
```
下表列出并描述了 Macie 记录并发布到日志的存储桶级错误事件的类型。 CloudWatch **事件类型**列表示每个事件在事件`eventType`字段中显示的名称。**说明**列提供事件显示在事件`description`字段中的简要说明。**其他信息**列提供调查或解决所发生错误的所有适用提示。该表按事件类型字母顺序升序排序。
| 事件类型 | 说明 | 附加信息 |
| --- | --- | --- |
| BUCKET\$1ACCESS\$1DENIED | Macie 无权访问受影响的 S3 存储桶。 | 这个问题的原因通常是存储桶具有限制性存储桶策略。有关如何解决此问题的信息,请参阅 [允许 Macie 访问 S3 存储桶和对象](monitoring-restrictive-s3-buckets.md)。 事件中 `operation` 字段的值可以帮助您确定哪些权限设置阻止 Macie 访问存储桶。此字段表示错误发生时 Macie 尝试执行的 Amazon S3 操作。 |
| BUCKET\$1DETAILS\$1UNAVAILABLE | 由于临时问题,Macie 无法检索有关存储桶和存储桶对象的详细信息。 | 如果暂时性问题阻止 Macie 检索分析存储桶对象所需的存储桶和对象元数据,则会发生这种情况。例如,当 Macie 尝试验证是否允许其访问存储桶时,就会出现 Amazon S3 异常。 要解决一次性作业的该问题,可以考虑创建并运行一个新的一次性作业来分析存储桶中的对象。对于计划作业,Macie 将在下一次作业运行期间再次尝试检索元数据。 |
| BUCKET\$1DOES\$1NOT\$1EXIST | 受影响的 S3 存储桶已不存在。 | 发生这种情况通常是因为存储桶已被删除。 |
| BUCKET\$1IN\$1DIFFERENT\$1REGION | 受影响的 S3 存储桶已移至其他 AWS 区域。 | – |
| BUCKET\$1OWNER\$1CHANGED | 受影响的 S3 存储桶的所有者已更改。Macie 不再有权限访问存储桶。 | 如果存储桶的所有权已转移给不属于您的组织 AWS 账户 ,则通常会发生这种情况。事件中的`affectedAccount`字段表示先前拥有该存储桶的账户的账户 ID。 |
# 预测和监控敏感数据发现作业的成本
Amazon Macie 的定价部分取决于您通过运行敏感数据发现作业所分析的数据量。要预测和监控运行敏感数据发现作业的估计成本,您可以查看 Macie 在创建作业时和开始运行作业之后提供的成本估算。
要查看和监控您的实际成本,您可以使用 AWS 账单与成本管理。 AWS 账单与成本管理 提供的功能旨在帮助您跟踪和分析您的账户或组织的成本 AWS 服务,并管理其预算。它还提供可帮助您根据历史数据预测使用成本的功能。要了解有关更多信息,请参阅 [AWS Billing 用户指南](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-what-is.html)。
有关 Macie 定价的详细信息,请参阅 [Amazon Macie 定价](https://aws.amazon.com/macie/pricing/)。
**Topics**
+ [预测作业成本](#discovery-jobs-costs-forecast)
+ [监控估算的作业成本](#discovery-jobs-costs-track)
## 预测敏感数据发现作业的成本
当您创建敏感数据发现作业时,Amazon Macie 可以计算并显示作业创建过程中的两个关键步骤中的估计成本:查看为作业选择的 S3 存储桶表(步骤 2)和查看作业的所有设置时(步骤 8)。这些估计值可以帮助您在保存作业之前确定是否要调整作业的设置。估算值的可用性和性质取决于您为作业选择的设置。
**查看各个存储桶的估计成本(步骤 2)**
如果您明确选择单个存储桶供作业分析,则可以查看分析每个存储桶中对象的估计成本。当您查看您的存储桶选择时,Macie 会在创建作业过程的第 2 步中显示这些估算值。在此步骤的表中,“**估计成本**” 字段显示了运行一次任务以分析存储桶中的对象的总估计成本(以美元为单位)。
根据当前存储在存储桶中的对象的大小和类型,每个估计值都反映了作业将在存储桶中分析的预计未压缩数据量。该估计值还反映了Macie当前 AWS 区域的定价。
存储桶的成本估算中仅包括可分类的对象。*可分类对象*是使用[支持的 Amazon S3 存储类](discovery-supported-storage.md#discovery-supported-s3-classes)的 S3 对象,其文件扩展名表示[支持的文件或存储格式](discovery-supported-storage.md#discovery-supported-formats)。如果任何可分类的对象是压缩文件或存档文件,则该估算假设这些文件使用 3:1 的压缩比,并且作业可以分析所有提取的文件。
**查看作业的总估计成本(步骤 8)**
如果您创建了一次性作业,或者创建并配置了包含现有 S3 对象的定期作业,则 Macie 会在作业创建过程的最后一步计算并显示该作业的总估计成本。在查看和验证为该作业选择的所有设置时,您可以查看此估算值。
该估算值表示在当前地区运行一次任务的预计总成本(以美元计)。该估算值反映了作业将要分析的未压缩数据的预计量。它基于当前存储在您为作业明确选择的存储桶中的对象的大小和类型,或者当前存储在符合您为作业指定的存储桶标准的最多 500 个存储桶中的对象的大小和类型,具体取决于作业的设置。
请注意,此估算值并未反映您为优化和缩小作业范围而选择的任何选项,例如,较低的采样深度或将某些 S3 对象排除在作业之外的标准。它也无法反映您每月的[敏感数据发现配额](macie-quotas.md),这可能会限制作业分析的范围和成本,也无法反映可能适用于您的账户的任何折扣。
除了作业的总估计成本外,该估算还提供了汇总数据,可以深入了解作业的预计范围和成本:
+ **大小**值表示作业可以分析和不能分析的对象的总存储大小。
+ **对象计数**值表示作业可以分析和不能分析的对象总数。
在这些值中,**可分类**对象是使用[支持的 Amazon S3 存储类](discovery-supported-storage.md#discovery-supported-s3-classes)的 S3 对象,其文件扩展名表示[支持的文件或存储格式](discovery-supported-storage.md#discovery-supported-formats)。成本估算中仅包括可分类的对象。**不可分类**对象是指不使用支持的存储类或者没有支持的文件或存储格式的文件扩展名的对象。这些对象不包括在成本估算中。
该估算值为压缩文件或存档文件的 S3 对象提供了额外的聚合数据。**压缩**值表示使用支持的 Amazon S3 存储类且具有支持的压缩或存档文件类型的文件扩展名的对象的总存储大小。**未压缩**值根据指定的压缩比指示这些对象解压缩后的大致大小。这些数据之所以相关,是因为 Macie 分析压缩文件和存档文件的方式。
当 Macie 分析压缩文件或存档文件时,它会同时检查完整文件和文件内容。为了检查文件的内容,Macie 会解压缩该文件,然后检查使用受支持格式的每个提取文件。因此,作业分析的实际数据量取决于:
+ 文件是否使用压缩,如果是,它使用的压缩比。
+ 提取的文件的数量、大小和格式。
默认情况下,Macie 在计算作业的成本估算值时会假设以下条件:
+ 所有压缩文件和存档文件都使用 3:1 的压缩比。
+ 所有提取的文件都使用支持的文件或存储格式。
这些假设可能会导致对作业将要分析的数据范围进行更大的估计,从而使作业的成本估算值更高。
您可以根据不同的压缩率重新计算作业的总估计成本。为此,请从 **估计成本**部分的 **选择估计压缩比**列表中选择比率。然后,Macie 会更新估算值以匹配您的选择。
有关 Macie 如何计算估计成本的更多信息,请参阅[了解估计使用成本](account-mgmt-costs-calculations.md)。
## 监控敏感数据发现作业的估计成本
如果您已经在运行敏感数据发现作业,Amazon Macie 控制台上的 **使用情况**页面可以帮助您监控这些作业的估计成本。该页面显示您在当前 AWS 区域 日历月内使用 Macie 的估计费用(以美元计)。有关 Macie 如何计算这些估算值的信息,请参阅[了解估计使用成本](account-mgmt-costs-calculations.md)。
**查看运行作业的估计成本**
1. 打开亚马逊 Macie 主机,网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. 使用页面右上角的选择 AWS 区域 器,选择要查看估算成本的区域。
1. 在导航窗格中,选择**使用量**。
1. 在 **使用情况**页面上,请参阅您账户的估计成本明细。**敏感数据发现作业**项会报告您在当月迄今为止在当前区域运行的作业的总估计成本。
如果您是某个组织的 Macie 管理员,**估计成本**部分会显示您所在组织当前月份在当前区域的总估计成本。要显示为特定账户运行的作业的总估计成本,请在表中选择该账户。然后,**估计成本**部分显示了该账户的估计成本明细,包括已运行作业的估计成本。要显示不同账户的此数据,请在表中选择该账户。要清除账户选择,请选择账户 ID 旁边的 **X**。
要查看和监控您的实际成本,请使用 [AWS 账单与成本管理](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-what-is.html)。
# 推荐用于敏感数据发现作业的托管数据标识符
要优化敏感数据发现作业的结果,您可以将单个作业配置为自动使用我们为作业推荐的托管数据标识符集。*托管数据标识符*是一组内置标准和技术,旨在检测特定类型的敏感数据,例如特定国家或地区的 AWS 秘密访问密钥、信用卡号或护照号码。
推荐的托管数据标识符集旨在检测常见的敏感数据类别和类型。根据我们的研究,它可以检测一般类别和类型的敏感数据,同时还可以通过减少噪音来优化您的作业结果。在我们发布新的托管数据标识符时,如果它们有可能进一步优化您的作业结果,我们会将其添加到此集合中。随着时间的推移,我们还可能在集合中添加或删除现有的托管数据标识符。如果我们在推荐的集合中添加或移除托管数据标识符,我们会更新此页面以说明更改的性质和时间。有关这些更改的自动警报,您可以订阅 [Macie 文档历史记录](doc-history.md)页面上的 RSS 源。
创建敏感数据发现作业时,您可以指定您希望该作业使用哪些托管数据标识符来分析 Amazon Simple Storage Service (Amazon S3) 存储桶中的对象。要将作业配置为使用推荐的托管数据标识符集,请在创建作业时选择*推荐*选项。然后,当作业开始运行时,该作业将自动使用推荐集中的所有托管数据标识符。如果将作业配置为多次运行,则每次运行将自动使用运行开始时推荐集中的所有托管数据标识符。
以下主题列出了当前位于推荐集中的托管数据标识符,这些标识符按敏感数据类别和类型组织。它们为集合中的每个托管数据标识符指定唯一标识符 (ID)。此 ID 描述了托管数据标识符旨在检测的敏感数据类型,例如:`PGP_PRIVATE_KEY` 表示 PGP 私钥,`USA_PASSPORT_NUMBER` 表示美国护照号码。
**Topics**
+ [凭据](#discovery-jobs-mdis-recommended-credentials)
+ [财务信息](#discovery-jobs-mdis-recommended-financial)
+ [个人身份信息(PII)](#discovery-jobs-mdis-recommended-pii)
+ [推荐集的更新](#discovery-jobs-mdis-recommended-updates)
有关特定托管数据标识符的详细信息或 Macie 当前提供的所有托管数据标识符的完整列表,请参阅[使用托管数据标识符](managed-data-identifiers.md)。
## 凭据
为了检测 S3 对象中出现的凭证数据,推荐集使用以下托管数据标识符。
| 敏感数据类型 | 托管数据标识符 ID |
| --- | --- |
| AWS 秘密访问密钥 | AWS\$1CREDENTIALS |
| HTTP 基本授权标头 | HTTP\$1BASIC\$1AUTH\$1HEADER |
| OpenSSH 私有密钥 | OPENSSH\$1PRIVATE\$1KEY |
| PGP 私有密钥 | PGP\$1PRIVATE\$1KEY |
| 公有密钥加密标准 (PKCS, Public-Key Cryptography Standard) 私有密钥 | PKCS |
| PuTTY 私有密钥 | PUTTY\$1PRIVATE\$1KEY |
## 财务信息
为了检测 S3 对象中出现的财务信息,推荐集使用以下托管数据标识符。
| 敏感数据类型 | 托管数据标识符 ID |
| --- | --- |
| 信用卡磁条数据 | CREDIT\$1CARD\$1MAGNETIC\$1STRIPE |
| 信用卡号 | CREDIT\$1CARD\$1NUMBER(适用于关键字附近的信用卡号) |
## 个人身份信息(PII)
为了检测 S3 对象中出现的个人身份信息(PII), 推荐集使用以下托管数据标识符。
| 敏感数据类型 | 托管数据标识符 ID |
| --- | --- |
| 驾驶执照识别号 | CANADA\$1DRIVERS\$1LICENSE, DRIVERS\$1LICENSE(对于美国),UK\$1DRIVERS\$1LICENSE |
| 选民名册编号 | UK\$1ELECTORAL\$1ROLL\$1NUMBER |
| 身份证号码 | FRANCE\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, GERMANY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, SPAIN\$1DNI\$1NUMBER |
| 国民保险号码 (NINO) | UK\$1NATIONAL\$1INSURANCE\$1NUMBER |
| 护照编号 | CANADA\$1PASSPORT\$1NUMBER, FRANCE\$1PASSPORT\$1NUMBER, GERMANY\$1PASSPORT\$1NUMBER, ITALY\$1PASSPORT\$1NUMBER, SPAIN\$1PASSPORT\$1NUMBER, UK\$1PASSPORT\$1NUMBER, USA\$1PASSPORT\$1NUMBER |
| 社会保险号码 (SIN) | CANADA\$1SOCIAL\$1INSURANCE\$1NUMBER |
| 社会保障号码(SSN) | SPAIN\$1SOCIAL\$1SECURITY\$1NUMBER, USA\$1SOCIAL\$1SECURITY\$1NUMBER |
| 纳税人识别号或参考号 | AUSTRALIA\$1TAX\$1FILE\$1NUMBER, BRAZIL\$1CPF\$1NUMBER, FRANCE\$1TAX\$1IDENTIFICATION\$1NUMBER, GERMANY\$1TAX\$1IDENTIFICATION\$1NUMBER, SPAIN\$1NIE\$1NUMBER, SPAIN\$1NIF\$1NUMBER, SPAIN\$1TAX\$1IDENTIFICATION\$1NUMBER, USA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER |
## 推荐集的更新
下表描述了我们为敏感数据发现作业推荐的托管数据标识符集的更改。有关这些更改的自动警报,可以订阅 [Macie 文档历史记录](doc-history.md)页面上的 RSS 源。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| 正式发布 | 推荐集首次发布。 | 2023 年 6 月 27 日 |
# 分析加密 Amazon S3 对象
当你为你启用 Amazon Macie 时 AWS 账户,Macie 会创建一个[服务相关角色,该角色](service-linked-roles.md)授予 Macie 代表你调用亚马逊简单存储服务 (Amazon S3) 和其他服务所需的权限。 AWS 服务 服务相关角色简化了设置的过程, AWS 服务 因为您不必手动添加服务权限即可代表您完成操作。要了解这类角色,请参阅《AWS Identity and Access Management 用户指南》**中的 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)。
Macie 服务相关角色的权限策略 (`AWSServiceRoleForAmazonMacie`) 允许 Macie 执行操作,包括检索有关 S3 存储桶和对象的信息,以及检索和分析 S3 存储桶内的对象。如果您的账户是组织的 Macie 管理员账户,则该策略还允许 Macie 代表您对组织中的成员账户执行此操作。
如果 S3 对象已加密,则 Macie 服务相关角色的权限策略通常会向 Macie 授权解密该对象。但是,这取决于其使用的加密类型。还可能取决于是否允许 Macie 使用适当的加密密钥。
**Topics**
+ [S3 对象加密选项](#discovery-supported-encryption-types-matrix)
+ [允许 Macie 使用客户管理的服务器 AWS KMS key](#discovery-supported-encryption-cmk-configuration)
## Amazon S3 对象的加密选项
Amazon S3 支持多种 S3 对象的加密选项。对于其中的大多数选项,Amazon Macie 都可以使用账户的 Macie 服务关联角色解密对象。但是,这取决于用于对象的加密类型。
**具有 Amazon S3 托管式密钥的服务器端加密(SSE-S3)**
如果对象是使用具有 Amazon S3 托管密钥(SSE-S3)的服务器端加密,Macie 可以解密此对象。
若要了解此类加密,请参阅*《Amazon Simple Storage Service 用户指南》*中的[使用具有 Amazon S3 托管密钥的服务器端加密](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)。
**使用 AWS KMS keys (DSSE-KMS 和 SSE-KMS)进行服务器端加密**
如果使用双层服务器端加密或使用 AWS 托管 AWS KMS key (DSSE-KMS 或 SSE-KMS)进行服务器端加密对对象进行加密,Macie 可以解密该对象。
[如果使用双层服务器端加密或由客户管理的服务器端加密 AWS KMS key (DSSE-KMS 或 SSE-KMS)对对象进行加密,则只有在您允许 Macie 使用密钥的情况下,Macie 才能解密该对象。](#discovery-supported-encryption-cmk-configuration)对于使用完全在内部管理的 KMS 密钥 AWS KMS 和在外部密钥存储中管理的 KMS 密钥加密的对象,情况就是这样。如果不允许 Macie 使用适当的 KMS 密钥,则 Macie 只能存储和报告此对象的元数据。
要了解这些类型的加密,请参阅*《Amazon Simple Storage Service 用户指南》*中的[使用 AWS KMS keys的双层服务器端加密](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingDSSEncryption.html)和[使用 AWS KMS keys的服务器端加密](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)。
您可以自动生成一份列表,列出 Macie 需要访问的所有客户托管 AWS KMS keys 的列表,以便为您的账户分析 S3 存储桶中的对象。为此,请运行 AWS KMS 权限分析器脚本,该脚本可从上的 [Amazon Macie 脚本](https://github.com/aws-samples/amazon-macie-scripts)存储库中获得。 GitHub该脚本还可以生成 AWS Command Line Interface (AWS CLI) 命令的附加脚本。您可以选择运行这些命令来更新指定 KMS 密钥的必要配置设置和策略。
**使用客户提供的密钥进行服务器端加密 (SSE-C)**
如果对象的加密方式为客户提供密钥 (SSE-C) 的服务器端加密,则 Macie 无法解密此对象。Macie 只能存储和报告对象元数据。
要了解此类加密,请参阅*Amazon Simple Storage Service 用户指南*的[使用客户提供密钥的服务器端加密](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerSideEncryptionCustomerKeys.html)。
**客户端加密**
如果对象的加密方式为客户端加密,则 Macie 无法解密此对象。Macie 只能存储和报告对象元数据。例如,Macie 可以报告对象的大小,以及与该对象关联的标签。
要在 Amazon S3 环境中了解此类加密,请参阅*《Amazon Simple Storage Service 用户指南》*中的[使用客户端加密保护数据](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html)。
您可以在 Macie 中 [筛选存储桶清单](monitoring-s3-inventory-filter.md),以确定哪些 S3 存储桶存储了使用特定加密类型的对象。您还可通过存储新对象时的默认设置,确定哪些存储桶使用特定类型的服务器端加密。下表提供了筛选条件示例,您可以将其应用于存储桶清单以查找此信息。
| 若要显示存储桶…… | 应用此筛选条件…… |
| --- | --- |
| 存储了使用 SSE-C 加密的对象 | 加密对象计数为客户提供的和从 = 1 |
| 存储了使用 DSSE-KMS 或 SSE-KMS 加密的对象 | 加密对象计数为 AWS KMS 托管和从 = 1 |
| 存储了使用 SSE-S3 加密的对象 | 加密对象计数为 Amazon S3 托管和从 = 1 |
| 存储了使用客户端加密(或未加密)的对象 | 加密对象计数为未加密和从 = 1 |
| 默认情况下使用 DSSE-KMS 加密新对象 | 默认加密 = aws:kms:dsse |
| 默认情况下使用 SSE-KMS 加密新对象 | 默认加密 = aws:kms |
| 默认情况下使用 SSE-S3 加密新对象 | 默认加密 = AES256 |
如果将存储桶配置为默认使用 DSSE-KMS 或 SSE-KMS 加密对新对象进行加密,则您还可以确定使用哪个。 AWS KMS key 为此,请在 **S3 存储桶**页面上选择存储桶。在存储桶详细信息面板的**服务器端加密**下,参阅 **AWS KMS key** 字段。此字段显示密钥的 Amazon 资源名称(ARN)或唯一标识符(密钥 ID)。
## 允许 Macie 使用客户管理的服务器 AWS KMS key
如果 Amazon S3 对象使用双层服务器端加密或由客户托管 AWS KMS key (DSSE-KMS 或 SSE-KMS)进行服务器端加密,则只有在允许其使用密钥的情况下,Amazon Macie 才能解密该对象。此访问权限的提供方式,取决于拥有密钥的账户是否还拥有存储对象的 S3 存储桶:
+ 如果同一个账户拥有 AWS KMS key 和存储桶,则该账户的用户必须更新密钥的策略。
+ 如果一个账户拥有存储桶, AWS KMS key 而另一个账户拥有该存储桶,则拥有该密钥的账户的用户必须允许跨账户访问该密钥。
本主题介绍如何执行这些任务,并提供了两种场景示例。要详细了解如何允许访问客户托管 AWS KMS keys,请参阅*《AWS Key Management Service 开发人员指南》*中的 [KMS 密钥访问和权限](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html)。
### 允许同一个账户访问客户托管密钥
如果同一个账户同时拥有 AWS KMS key 和 S3 存储桶,则该账户的用户必须在密钥策略中添加声明。该附加语句必须允许该 Macie 服务相关角色使用该密钥来解密数据。有关更新密钥政策的详细信息,请参阅 *AWS Key Management Service 开发者指南* 中的[更改密钥政策](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html)。
在以下语句中:
+ 该`Principal`元素必须为拥有 AWS KMS key 和 S3 存储桶的账户指定 Macie 服务相关角色的 Amazon 资源名称 (ARN)。
如果账户处于选择加入状态 AWS 区域,则 ARN 还必须包含该地区的相应区域代码。例如,如果账户位于中东(巴林)地区,其区域*代码*为 me-south-1,则元素`arn:aws:iam::123456789012:role/aws-service-role/macie.me-south-1.amazonaws.com/AWSServiceRoleForAmazonMacie`必须指定 `Principal`*123456789012*,其中是该账户的账户 ID。有关当前已开放 Macie 服务的所有区域的列表,请参阅《AWS 一般参考》中的 [Amazon Macie 端点和限额](https://docs.aws.amazon.com/general/latest/gr/macie.html)**。
+ 数 `Action` 数组必须指定 `kms:Decrypt` 操作。这是解密使用密钥加密的 S3 对象时必须允许 Macie 执行的唯一 AWS KMS 操作。
以下为添加到 AWS KMS key策略的语句示例。
```
{
"Sid": "Allow the Macie service-linked role to use the key",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie"
},
"Action": [
"kms:Decrypt"
],
"Resource": "*"
}
```
在上述示例中:
+ `Principal` 元素的 `AWS` 字段指定账户的 Macie 服务相关角色 (`AWSServiceRoleForAmazonMacie`) 的 ARN。它允许 Macie 服务相关角色执行策略声明中指定的操作。 *123456789012*是账户 ID 的示例。请将该值替换拥有该 KMS 密钥和 S3 存储桶的账户的 ID。
+ `Action` 数组指定了允许该 Macie 服务相关角色使用该 KMS 密钥执行的操作,即解密使用该密钥加密的加密文字。
将此语句添加到密钥政策的位置,取决于该策略当前包含的结构和元素。当添加语句时,请确保语法有效。JSON 格式的密钥策略。这意味着您还必须在语句前后添加逗号,具体取决于您在策略中添加语句的位置。
### 允许跨账户存取客户托管密钥
如果一个账户拥有 AWS KMS key (*密钥所有者*),而另一个账户拥有 S3 存储桶(存储*桶所有者*),则密钥所有者必须向存储桶拥有者提供对 KMS 密钥的跨账户访问权限。为此,密钥拥有者首先要确保密钥策略允许存储桶拥有者使用密钥,并为密钥创建授权。然后,存储桶拥有者为此密钥创建授权。*授权*是一种策略分析工具,如果由授权指定的条件得到满足,则允许 AWS 主体将 KMS 密钥用于加密操作中。在此例中,该授权将相关权限委派给存储桶所有者账户的 Macie 服务相关角色。
有关更新密钥政策的详细信息,请参阅 *AWS Key Management Service 开发者指南* 中的[更改密钥政策](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html)。要了解有关授权的信息,请参阅*AWS Key Management Service 开发者指南*中的[AWS KMS授权](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)。
**第 1 步:更新密钥政策**
在密钥政策中,密钥所有者应确保该策略包含两个语句:
+ 第一条语句允许存储桶拥有者使用密钥解密数据。
+ 第二条语句允许存储桶所有者为其账户的 Macie 服务相关角色创建授权。
在第一条语句中,`Principal` 元素必须指定存储桶拥有者账户的 ARN。数 `Action` 数组必须指定 `kms:Decrypt` 操作。这是解密使用密钥加密的对象时必须允许 Macie 执行的唯一 AWS KMS 操作。以下为在 AWS KMS key策略中使用此语句的示例。
```
{
"Sid": "Allow account 111122223333 to use the key",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"kms:Decrypt"
],
"Resource": "*"
}
```
在上述示例中:
+ `Principal`元素中的`AWS`字段指定存储桶拥有者账户 () *111122223333* 的 ARN。它允许存储桶拥有者执行策略声明中指定的操作。 *111122223333*是账户 ID 的示例。请将该值替换存储桶所有者账户的账户 ID。
+ `Action` 数组指定了允许该存储桶所有者使用该 KMS 密钥执行的操作,即解密使用该密钥加密的加密文字。
密钥政策中的第二条语句,允许存储桶拥有者为其账户的 Macie 服务相关角色创建授权。在此语句中,`Principal` 元素必须指定存储桶拥有者账户的 ARN。数 `Action` 数组必须指定 `kms:CreateGrant` 操作。`Condition` 元素可以筛选对语句中指定 `kms:CreateGrant` 操作的访问权限。以下为在 AWS KMS key策略中使用此语句的示例。
```
{
"Sid": "Allow account 111122223333 to create a grant",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:GranteePrincipal": "arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie"
}
}
}
```
在上述示例中:
+ `Principal`元素中的`AWS`字段指定存储桶拥有者账户 () *111122223333* 的 ARN。它允许存储桶拥有者执行策略声明中指定的操作。 *111122223333*是账户 ID 的示例。请将该值替换存储桶所有者账户的账户 ID。
+ 该 `Action` 数组指定存储桶拥有者可对 KMS 密钥执行的操作 — 创建密钥授权。
+ `Condition` 元素使用 `StringEquals` [条件运算符](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)和 `kms:GranteePrincipal` [条件密钥](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awskeymanagementservice.html#awskeymanagementservice-policy-keys)来筛选策略语句所指定操作的访问权限。在此例中,存储桶所有者只能为指定 `GranteePrincipal`(即其账户的 Macie 服务相关角色的 ARN)创建授权。在该 ARN 中,*111122223333*有一个示例账户 ID。请将该值替换存储桶所有者账户的账户 ID。
如果存储桶拥有者的账户处于选择加入状态 AWS 区域,还需要在 Macie 服务相关角色的 ARN 中加入相应的区域代码。例如,如果账户位于中东(巴林)地区,且该地区代码为 *me-south-1*,则将 ARN 中的 `macie.amazonaws.com` 替换为 `macie.me-south-1.amazonaws.com`。有关当前已开放 Macie 服务的所有区域的列表,请参阅《AWS 一般参考》中的 [Amazon Macie 端点和限额](https://docs.aws.amazon.com/general/latest/gr/macie.html)**。
密钥拥有者将这些语句添加到密钥政策的位置,取决于策略当前包含的结构和元素。当密钥所有者添加语句时,应确保语法有效。密钥策略使用 JSON 格式。这意味着密钥所有者还必须在语句之前或之后添加逗号,具体取决于在策略中添加语句的位置。
**第 2 步:创建授权**
在密钥拥有者根据需要更新密钥政策后,存储桶拥有者必须为密钥创建授权。该授权将他们(即存储桶拥有者)账户的相关权限委托至 Macie 服务相关角色。在存储桶拥有者创建授权前,他们应验证是否允许为自己的账户执行 `kms:CreateGrant` 操作。此操作使其能够向现有的客户自主管理型 AWS KMS key添加授权。
要创建授权,存储桶拥有者可以使用 AWS Key Management Service API 的[CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)操作。存储桶拥有者创建授权时,应为所需参数指定以下值:
+ `KeyId` – KMS 密钥的 ARN。对于跨账户存取 KMS 密钥,该值必须是 ARN。它不能是密钥 ID。
+ `GranteePrincipal`:其账户的 Macie 服务相关角色(`AWSServiceRoleForAmazonMacie`)的 ARN。此值应为`arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie`,其中*111122223333*是存储桶拥有者账户的账户 ID。
如果账户位于选择加入型区域中,则 ARN 还必须包相应的区域代码。例如,如果他们的账户位于中东(巴林)地区,其区域*代码*为 me-south-1,则 `arn:aws:iam::111122223333:role/aws-service-role/macie.me-south-1.amazonaws.com/AWSServiceRoleForAmazonMacie` ARN *111122223333* 应为,其中是存储桶拥有者账户的账户 ID。
+ `Operations`— AWS KMS 解密操作 () `Decrypt`。这是解密使用 KMS 密钥加密的对象时必须允许 Macie 执行的唯一 AWS KMS 操作。
要使用 AWS Command Line Interface (AWS CLI) 为客户托管的 KMS 密钥创建授权,请运行 [create-gran](https://docs.aws.amazon.com/cli/latest/reference/kms/create-grant.html) t 命令。下面的示例演示如何操作。该示例针对 Microsoft Windows 进行格式化,并使用脱字号 (^) 行继续符来提高可读性。
```
C:\> aws kms create-grant ^
--key-id arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab ^
--grantee-principal arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie ^
--operations "Decrypt"
```
其中:
+ `key-id` 指定要应用授权的 KMS 密钥的 ARN。
+ `grantee-principal` 指定了允许执行该授权所指定操作的账户的 Macie 服务相关角色 ARN。该值应与密钥政策中第二个语句的 `kms:GranteePrincipal` 条件指定的 ARN 一致。
+ `operations` 指定了授权允许指定主体执行的操作,即解密使用该 KMS 密钥加密的加密文字。
如果命令成功运行,则您将收到类似于以下内容的输出:
```
{
"GrantToken": "",
"GrantId": "1a2b3c4d2f5e69f440bae30eaec9570bb1fb7358824f9ddfa1aa5a0dab1a59b2"
}
```
其中 `GrantToken`,代表已创建授权的唯一、非秘密的、长度可变的 base64 编码字符串,`GrantId` 也是唯一授权标识符。
# 存储和保留敏感数据发现结果
当您运行敏感数据发现任务或 Amazon Macie 执行自动敏感数据发现时,Macie 会为分析范围中包含的每个 Amazon Simple Storage Service (Amazon S3) 对象创建分析记录。这些记录被称为*敏感数据发现结果*,记录了有关 Macie 对单个 S3 对象执行的分析的详细信息。这包括 Macie 无法检测到敏感数据的对象,因此不会生成调查发现,以及 Macie 由于错误或问题而无法分析的对象。如果 Macie 在对象中检测到敏感数据,则该记录中就会包含相应调查发现的数据以及其他信息。敏感数据发现结果为您提供分析记录,这些记录可能有助于数据隐私和保护审计或调查。
Macie 仅将您的敏感数据发现结果存储 90 天。要访问您的结果并启用它们的长期存储和保留,请将 Macie 配置为使用 AWS Key Management Service (AWS KMS) 密钥加密结果并将其存储在 S3 存储桶中。存储桶可以用作所有敏感数据发现结果的最终长期存储库。然后,您可以选择访问和查询该存储库中的结果。
本主题将指导您完成使用 AWS 管理控制台 为敏感数据发现结果配置存储库的过程。该配置是加密结果的 AWS KMS key 、存储结果的 S3 通用存储桶以及指定要使用的密钥和存储桶的 Macie 设置的组合。如果您更喜欢以编程方式配置 Macie 设置,则可以使用 Amazon Macie API 的[PutClassificationExportConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/classification-export-configuration.html)操作。
在 Macie 中配置设置时,您的选择仅适用于当前的 AWS 区域。如果您是组织的 Macie 管理员,则您的选择仅适用于您的账户。它们不适用于任何关联的成员账户。如果您启用自动敏感数据发现或运行敏感数据发现作业来分析成员账户的数据,Macie 会将敏感数据发现结果存储在管理员账户的存储库中。
如果您在多个区域中使用 Macie AWS 区域,请为使用 Macie 的每个区域配置存储库设置。您可以选择将多个区域的敏感数据发现结果存储在同一个 S3 存储桶中。不过,请注意以下要求:
+ 要存储默认 AWS 启用的区域(例如美国东部(弗吉尼亚北部)地区的结果,您必须在默认情况下启用的区域中选择一个存储桶。 AWS 账户结果不能存储在选择加入型区域(默认情况下被禁用的区域)的存储桶中。
+ 对于选择加入型区域,例如中东(巴林)区域,要存储该区域的结果,您必须在同一区域或默认启用的区域中选择存储桶。结果不能存储在另一个选择加入型区域的存储桶中。
要确定某个区域是否在默认情况下处于启用状态,请参阅*AWS 账户管理 用户指南 AWS 区域 *[中的在您的账户中启用或禁用](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html)。除上述要求外,还要考虑是否要[检索 Macie 在个别调查发现中报告的敏感数据样本](findings-retrieve-sd.md)。要从受影响的 S3 对象中检索敏感数据样本,必须在同一区域中存储以下所有资源和数据:受影响的对象、适用的调查发现和相应的敏感数据发现结果。
**Topics**
+ [开始之前:了解密钥概念](#discovery-results-repository-s3-overview)
+ [第 1 步:验证权限](#discovery-results-repository-s3-permissions)
+ [步骤 2:配置 AWS KMS key](#discovery-results-repository-s3-key-policy)
+ [步骤 3:选择 S3 存储桶](#discovery-results-repository-s3-choose-bucket)
## 开始之前:了解密钥概念
当您运行敏感数据发现作业或执行自动敏感数据发现时,Amazon Macie 会自动为其分析或尝试分析的每个 Amazon S3 对象创建敏感数据发现结果。这包括:
+ Macie 在其中检测敏感数据的对象,因此也会生成敏感数据调查发现。
+ Macie 不会检测到敏感数据的对象,因此不会生成敏感数据调查发现。
+ Macie 由于错误或问题(例如权限设置或使用不受支持的文件或存储格式)而无法分析的对象。
如果 Macie 在 S3 对象中检测到敏感数据,则敏感数据调查发现将包含来自相应敏感数据查找的数据。它还提供了其他信息,例如 Macie 在对象中发现的每种敏感数据出现多达 1000 次的位置。例如:
+ Microsoft Excel 工作簿、CSV 文件或 TSV 文件中单元格或字段的列号和行号
+ JSON 或 JSON Lines 文件中的字段或数组路径
+ 除 CSV、JSON、JSON Lines 或 TSV 文件之外的非二进制文本文件中的行号,例如 HTML、TXT 或 XML 文件
+ Adobe 可移植文档格式 (PDF) 文件中页面的页码
+ Apache Avro 对象容器或 Apache Parquet 文件中记录的字段的记录索引和路径
如果受影响的 S3 对象是存档文件(如 .tar 或 .zip 文件),则敏感数据发现结果还会提供 Macie 从存档中提取的单个文件中敏感数据出现的详细位置数据。Macie 不会在存档文件的敏感数据调查发现中包含此信息。为了报告位置数据,敏感数据发现结果使用[标准化 JSON 架构](findings-locate-sd-schema.md)。
敏感数据发现结果不包括 Macie 发现的敏感数据。相反,它为您提供了有助于审计或调查的分析记录。
Macie 会将您的敏感数据发现结果存储 90 天。您无法直接在 Amazon Macie 控制台或使用 Amazon Macie API 访问它们。相反,请按照本主题中的步骤将 Macie 配置为 AWS KMS key 使用您指定的加密结果,并将结果存储在您也指定的 S3 通用存储桶中。然后,Macie 会将结果写入 JSON Lines(.jsonl)文件,将这些文件作为 GNU Zip(.gz)文件添加到存储桶中,然后使用 SSE-KMS 加密对数据进行加密。从 2023 年 11 月 8 日起,Macie 还使用基于哈希的消息身份验证码 (HMAC) 对生成的 S3 对象进行签名。 AWS KMS key
将 Macie 配置为将您的敏感数据发现结果存储在某个 S3 存储桶中后,该存储桶可以作为这些结果的权威长期存储库。然后,您可以选择访问和查询该存储库中的结果。
**提示**
*有关如何查询和使用敏感数据发现结果来分析和报告潜在的数据安全风险的详细教学示例,请参阅安全博客上的以下博客文章:[如何使用 Amazon Athena 和 Amazon Quick 查询和可视化 Macie 敏感数据发现结果](https://aws.amazon.com/blogs/security/how-to-query-and-visualize-macie-sensitive-data-discovery-results-with-athena-and-quicksight/)。AWS *
有关可用于分析敏感数据发现结果的 Amazon Athena 查询示例,请访问上的 Amazon [Macie 结果分析存储库](https://github.com/aws-samples/amazon-macie-results-analytics)。 GitHub此存储库还提供了有关配置 Athena 以检索和解密结果的说明,以及用于为结果创建表的脚本。
## 第 1 步:验证权限
在为敏感数据发现结果配置存储库之前,请确认您具有加密和存储结果所需的权限。要验证您的权限,请使用 AWS Identity and Access Management (IAM) 查看附加到您的 IAM 身份的 IAM 策略。然后,将这些策略中的信息与以下操作列表进行比较,您必须允许这些操作来配置存储库。
**Amazon Macie**
对于 Macie,请验证是否允许您执行以下操作:
`macie2:PutClassificationExportConfiguration`
此操作允许您在 Macie 中添加或更改存储库设置。
**Amazon S3**
对于 Amazon S3,请验证您是否可以执行以下操作:
+ `s3:CreateBucket`
+ `s3:GetBucketLocation`
+ `s3:ListAllMyBuckets`
+ `s3:PutBucketAcl`
+ `s3:PutBucketPolicy`
+ `s3:PutBucketPublicAccessBlock`
+ `s3:PutObject`
通过这些操作,您可以访问和配置可用作存储库的 S3 通用存储桶。
**AWS KMS**
要使用 Amazon Macie 控制台添加或更改存储库设置,还要验证您是否被允许执行以下 AWS KMS 操作:
+ `kms:DescribeKey`
+ `kms:ListAliases`
通过这些操作,您可以检索和显示有关账户的 AWS KMS keys 的信息。然后,您可以选择其中一个密钥来加密敏感数据发现结果。
如果您计划创建新的 AWS KMS key 来加密数据,则还需要允许您执行以下操作:`kms:CreateKey``kms:GetKeyPolicy`、和`kms:PutKeyPolicy`。
如果不允许你执行必要的操作,请在继续下一步之前向 AWS 管理员寻求帮助。
## 步骤 2:配置 AWS KMS key
验证权限后,确定 AWS KMS key 您希望 Macie 使用哪个来加密您的敏感数据发现结果。密钥必须是客户托管的对称加密 KMS 密钥,该密钥与您要存储结果的 S3 存储桶 AWS 区域 相同。
密钥可以是您自己账户 AWS KMS key 中的现有密钥,也可以是其他账户拥有 AWS KMS key 的现有密钥。如果要使用新的 KMS 密钥,请在继续之前创建密钥。如果要使用其他账户拥有的现有密钥,请获取该密钥的 Amazon 资源名称(ARN)。在 Macie 中配置存储库设置时,您需要输入此 ARN。有关创建和查看 KMS 密钥设置的信息,请参阅[《AWS Key Management Service 开发人员指南》](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)。
**注意**
密钥可以 AWS KMS key 位于外部密钥存储库中。但是,与完全在 AWS KMS中管理的密钥相比,密钥可能更慢且更不可靠。您可以通过将敏感数据发现结果存储在配置为将密钥用作 S3 Bucket 密钥的 S3 存储桶中来降低此风险。这样做可以减少加密敏感数据发现结果所必须发出的 AWS KMS 请求数。
有关在外部密钥存储中使用 KMS 密钥的信息,请参阅 *AWS Key Management Service 开发者指南*中的[外部密钥存储](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-external.html)。有关使用 S3 存储桶密钥的信息,请参阅 *Amazon Simple Storage Service 用户指南*中的[通过 Amazon S3 存储桶密钥降低 SSE-KMS 成本](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html)。
确定您希望 Macie 使用哪个 KMS 密钥后,授予 Macie 使用该密钥的权限。否则,Macie 将无法在存储库中加密或存储您的结果。若要授予 Macie 使用密钥的权限,请更新密钥的密钥政策。有关密钥政策和管理对 KMS 密钥的访问的详细信息,请参阅 *AWS Key Management Service 开发人员指南*中的[AWS KMS中的密钥政策](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)。
**更新密钥策略**
1. 在 [https://console.aws.amazon.com/km AWS KMS](https://console.aws.amazon.com/kms) s 处打开控制台。
1. 要更改 AWS 区域,请使用页面右上角的区域选择器。
1. 选择您希望 Macie 用于加密敏感数据发现结果的密钥。
1. 在**密钥策略**选项卡上,选择**编辑**。
1. 将以下语句复制到剪贴板,然后将其添加到策略中:
```
{
"Sid": "Allow Macie to use the key",
"Effect": "Allow",
"Principal": {
"Service": "macie.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Encrypt"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
"arn:aws:macie2:us-east-1:111122223333:classification-job/*"
]
}
}
}
```
**注意**
在策略中添加语句时,请确保语法有效。策略使用 JSON 格式。这意味着您还需要在语句之前或之后添加逗号,具体取决于将语句添加到策略的位置。如果将该语句添加为最后一个语句,请在前一个语句的右大括号后添加逗号。如果将其添加为第一个语句或两个现有语句之间,请在语句的右大括号后添加逗号。
1. 使用适合您的环境的正确值更新语句:
+ 在 `Condition` 字段中,替换占位符值,其中:
+ *111122223333*是您的账户 ID AWS 账户。
+ *us-east-1*是你使用 Macie 并希望允许 Macie 使用密钥的区域代码。 AWS 区域
如果您在多个区域中使用 Macie,并希望允许 Macie 在其他区域中使用密钥,请为每个附加区域添加 `aws:SourceArn` 个条件。例如:
```
"aws:SourceArn": [
"arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
"arn:aws:macie2:us-east-1:111122223333:classification-job/*",
"arn:aws:macie2:us-west-2:111122223333:export-configuration:*",
"arn:aws:macie2:us-west-2:111122223333:classification-job/*"
]
```
或者,您可以允许 Macie 在所有区域中使用密钥。为此,请将占位符值替换为通配符 () `*`。例如:
```
"aws:SourceArn": [
"arn:aws:macie2:*:111122223333:export-configuration:*",
"arn:aws:macie2:*:111122223333:classification-job/*"
]
```
+ 如果您在选择加入型区域中使用 Macie,请将相应的区域代码添加到 `Service` 字段的值中。例如,如果您在具有地区代码的中东(巴林)地区使用 Macie *me-south-1*,请替换为`macie.amazonaws.com`。`macie.me-south-1.amazonaws.com`
有关 Macie 当前可用区域的列表以及每个区域的区域代码,请参阅 *AWS 一般参考* 中的 [Amazon Macie 端点和限额](https://docs.aws.amazon.com/general/latest/gr/macie.html)。
请注意,`Condition` 字段使用两个 IAM 全局条件密钥:
+ a@@ [ws: SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) — 此条件仅允许 Macie 对您的账户执行指定操作。更具体地说,它确定哪个账户可以对 `aws:SourceArn` 条件指定的资源和操作执行指定的操作。
若要允许 Macie 对其他账户执行指定操作,请将每个其他账户的账户 ID 添加到此条件中。例如:
```
"aws:SourceAccount": [111122223333,444455556666]
```
+ a@@ [w SourceArn s:](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) — 此条件会 AWS 服务 阻止其他人执行指定的操作。它还可以防止 Macie 在为您的账户执行其他操作时使用该密钥。换言之,仅当:S3 对象是敏感数据发现结果,并且这些结果属于自动敏感数据发现的结果或指定账户在指定区域创建的敏感数据发现作业时,才允许 Macie 使用该密钥来加密这些对象。
要允许 Macie 对其他账户执行指定操作,请 ARNs 为每增加一个账户添加此条件。例如:
```
"aws:SourceArn": [
"arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
"arn:aws:macie2:us-east-1:111122223333:classification-job/*",
"arn:aws:macie2:us-east-1:444455556666:export-configuration:*",
"arn:aws:macie2:us-east-1:444455556666:classification-job/*"
]
```
`aws:SourceAccount` 和 `aws:SourceArn` 条件指定的账户应匹配。
这些条件有助于防止Macie在与之进行交易时被用作[困惑不解的 AWS KMS副手](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)。尽管我们不建议这样做,但您可以从语句中删除这些条件。
1. 添加和更新完语句后,选择 **保存更改**。
## 步骤 3:选择 S3 存储桶
在验证权限并配置之后 AWS KMS key,您就可以指定要使用哪个 S3 存储桶作为敏感数据发现结果的存储库了。你有两个选择:
+ **使用 Macie 创建的新 S3 存储桶** — 如果您选择此选项,Macie 会自动在当前版本中 AWS 区域 为您的发现结果创建一个新的 S3 通用存储桶。Macie 还会将存储桶策略应用于存储桶。该策略允许 Macie 向存储桶添加对象。此外还要求使用您指定的 AWS KMS key 和 SSE-KMS 加密方法加密这些对象。要检查策略,请在指定存储桶的名称和要使用的 KMS 密钥后,在 Amazon Macie 控制台上选择**查看策略**。
+ **使用您创建的现有 S3 存储桶**:如果您希望将发现结果存储在您创建的特定 S3 存储桶中,请先创建该存储桶,然后再继续。存储桶必须是通用存储桶。此外,存储桶的设置和策略必须允许 Macie 向存储桶添加对象。本主题介绍要检查的设置以及如何更新策略。它还提供了要添加到策略中的语句的示例。
以下部分提供了每个选项的说明。选择所需选项的部分。
### 使用 Macie 创建的新 S3 存储桶
如果您希望使用 Macie 为您创建的新 S3 存储桶,则该过程的最后一步是在 Macie 中配置存储库设置。
**在 Macie 中配置存储库设置**
1. 打开亚马逊 Macie 主机,网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. 在导航窗格中的**设置**下,选择**发现结果**。
1. 在**敏感数据发现结果存储库**下,选择**创建存储桶**。
1. 在**创建存储桶**对话框中,输入存储桶的名称。
该名称在所有 S3 存储桶中必须是唯一的。此外,名称只能由小写字母、数字、句点 (.) 和连字符 (-) 组成。有关其他命名要求,请参阅 *Amazon Simple Storage Service 用户指南*中的[存储桶命名规则](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucketnamingrules.html)。
1. 展开 **Advanced(高级)**部分。
1. (可选)要指定要在存储桶中某个位置的路径中使用的前缀,请在**数据发现结果前缀**框中输入前缀。
当您输入值时,Macie 会更新框下方的示例,以显示存储发现结果的存储桶位置的路径。
1. 对于 **阻止所有公有访问**,选择 **是** 以启用存储桶的所有阻止公有访问设置。
有关这些设置的信息,请参阅 *Amazon Simple Storage Service 用户指南*中的[阻止对 Amazon S3 存储的公有访问](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html)。
1. 在**加密设置**下,指定您希望 Macie 用于加密结果的 AWS KMS key :
+ 要使用您自己账户中的密钥,请选择 **从您的账户中选择密钥**。然后,在**AWS KMS key**列表中,选择要使用的密钥。该列表显示您账户的客户托管的对称加密 KMS 密钥。
+ 要使用其他账户拥有的密钥,请选择**输入来自另一个账户的密钥的 ARN**。然后,在 **AWS KMS key ARN** 框内,输入要使用的密钥的 Amazon 资源名称(ARN),例如 **`arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`**。
1. 输入完设置后,选择**保存**。
Macie 会测试设置以验证它们是否正确。如果任何设置不正确,Macie 会显示一条错误消息,以帮助您解决问题。
保存存储库设置后,Macie 会将前 90 天的现有发现结果添加到存储库中。Macie 还开始向存储库添加新的发现结果。
### 使用您创建的现有 S3 存储桶
如果您希望将敏感数据发现结果存储在您创建的特定 S3 存储桶中,请先创建并配置该存储桶,然后再在 Macie 中配置设置。创建存储桶时,请注意以下要求:
+ 存储桶必须是通用存储桶。它不能是另一种类型的存储桶,例如目录存储桶。
+ 要存储默认启用的区域(例如美国东部(弗吉尼亚北部)地区的发现结果,存储桶必须位于默认启用的区域中。 AWS 账户结果不能存储在选择加入型区域(默认情况下被禁用的区域)的存储桶中。
+ 对于选择加入型区域,例如中东(巴林)区域,要存储该区域的发现结果,该存储桶必须位于同一区域或默认启用的区域。结果不能存储在另一个选择加入型区域的存储桶中。
要确定区域是否默认启用,请参阅*《AWS 账户管理 用户指南》*中的在您的账户中[启用或禁用 AWS 区域](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html)。
创建存储桶后,更新存储桶的策略以允许 Macie 检索有关存储桶的信息并将对象添加到存储桶。然后,您可以在 Macie 中配置设置。
**更新存储桶的存储桶策略**
1. 打开 Amazon S3 控制台,网址为 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)。
1. 选择要在其中存储发现结果的存储桶。
1. 选择 **Permissions(权限)**选项卡。
1. 在**存储桶策略**部分中,选择**编辑**。
1. 将以下示例策略复制到剪贴板:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow Macie to use the GetBucketLocation operation",
"Effect": "Allow",
"Principal": {
"Service": "macie.amazonaws.com"
},
"Action": "s3:GetBucketLocation",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
"arn:aws:macie2:us-east-1:111122223333:classification-job/*"
]
}
}
},
{
"Sid": "Allow Macie to add objects to the bucket",
"Effect": "Allow",
"Principal": {
"Service": "macie.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional prefix/]*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
"arn:aws:macie2:us-east-1:111122223333:classification-job/*"
]
}
}
},
{
"Sid": "Deny unencrypted object uploads. This is optional",
"Effect": "Deny",
"Principal": {
"Service": "macie.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional prefix/]*",
"Condition": {
"StringNotEquals": {
"s3:x-amz-server-side-encryption": "aws:kms"
}
}
},
{
"Sid": "Deny incorrect encryption headers. This is optional",
"Effect": "Deny",
"Principal": {
"Service": "macie.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional prefix/]*",
"Condition": {
"StringNotEquals": {
"s3:x-amz-server-side-encryption-aws-kms-key-id": "arn:aws:kms:us-east-1:111122223333:key/KMSKeyId"
}
}
},
{
"Sid": "Deny non-HTTPS access",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
}
]
}
```
------
1. 将示例策略粘贴到 Amazon S3 控制台上的**存储桶策略**编辑器中。
1. 使用适合您环境的正确值更新示例策略:
+ 在拒绝不正确的加密标头的可选语句中:
+ 将 *amzn-s3-demo-bucket* 替换为存储桶名称。要同时为存储桶中某个位置的路径指定前缀,请将其*[optional prefix/]*替换为前缀。否则,请移除*[optional prefix/]*占位符值。
+ `StringNotEquals`在这种情况下,请*arn:aws:kms:us-east-1:111122223333:key/KMSKeyId*替换为用于加密发现结果的 Amazon 资源名称 (ARN)。 AWS KMS key
+ 在所有其他语句中,替换占位符值,其中:
+ *amzn-s3-demo-bucket*是存储桶的名称。
+ *[optional prefix/]*是指向存储桶中某个位置的路径的前缀。如果您不想指定前缀,请删除此占位符值。
+ *111122223333*是您的账户 ID AWS 账户。
+ *us-east-1*是您使用 Macie 并希望允许 Macie 向存储桶 AWS 区域 中添加发现结果的区域代码。
如果您在多个区域中使用 Macie,并希望允许 Macie 将结果添加到其他区域的存储桶中,请为每个其他区域添加 `aws:SourceArn` 条件。例如:
```
"aws:SourceArn": [
"arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
"arn:aws:macie2:us-east-1:111122223333:classification-job/*",
"arn:aws:macie2:us-west-2:111122223333:export-configuration:*",
"arn:aws:macie2:us-west-2:111122223333:classification-job/*"
]
```
或者,您可以允许 Macie 将结果添加到您使用 Macie 的所有区域的存储桶中。为此,请将占位符值替换为通配符 () `*`。例如:
```
"aws:SourceArn": [
"arn:aws:macie2:*:111122223333:export-configuration:*",
"arn:aws:macie2:*:111122223333:classification-job/*"
]
```
+ 如果您在选择加入型区域中使用 Macie,请在每个指定 Macie 服务主体的语句中将相应的区域代码添加到 `Service` 字段的值中。例如,如果您在中东(巴林)地区使用 Macie,则在每个适用的语句`macie.me-south-1.amazonaws.com`中都要`macie.amazonaws.com`替换为。*me-south-1*
有关 Macie 当前可用区域的列表以及每个区域的区域代码,请参阅 *AWS 一般参考* 中的 [Amazon Macie 端点和限额](https://docs.aws.amazon.com/general/latest/gr/macie.html)。
请注意,示例策略包含允许 Macie 确定存储桶所在的区域(`GetBucketLocation`)以及向存储桶添加对象(`PutObject`)的语句。这些语句定义使用两个 IAM 全局条件密钥的条件:
+ a@@ [ws: SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) — 此条件仅允许 Macie 将您的账户的敏感数据发现结果添加到存储桶中。它可以防止 Macie 将其他账户的发现结果添加到存储桶中。更具体地说,该条件指定哪个账户可以将存储桶用于 `aws:SourceArn` 条件指定的资源和操作。
要在存储桶中存储其他账户的结果,请将每个其他账户的账户 ID 添加到此条件中。例如:
```
"aws:SourceAccount": [111122223333,444455556666]
```
+ a@@ [ws: SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) — 此条件根据要添加到存储桶中的对象的来源限制对存储桶的访问权限。它可以 AWS 服务 防止其他人向存储桶添加对象。它还可以防止 Macie 在为您的账户执行其他操作时向存储桶添加对象。更具体地说,仅当:相关对象是敏感数据发现结果,并且这些结果属于自动敏感数据发现的结果或指定账户在指定区域创建的敏感数据发现作业时,才允许 Macie 将这些对象添加到该存储桶。
要允许 Macie 对其他账户执行指定操作,请 ARNs 为每增加一个账户添加此条件。例如:
```
"aws:SourceArn": [
"arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
"arn:aws:macie2:us-east-1:111122223333:classification-job/*",
"arn:aws:macie2:us-east-1:444455556666:export-configuration:*",
"arn:aws:macie2:us-east-1:444455556666:classification-job/*"
]
```
`aws:SourceAccount` 和 `aws:SourceArn` 条件指定的账户应匹配。
这两种情况都有助于防止 Macie 在与 Amazon S3 的交易中被用作[混乱的代理](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)。尽管我们不建议这样做,但您可以从存储桶策略中删除这些条件。
1. 完成存储桶策略更新后,选择**保存更改**。
您现在可以在 Macie 中配置存储库设置。
**在 Macie 中配置存储库设置**
1. 打开亚马逊 Macie 主机,网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)
1. 在导航窗格中的**设置**下,选择**发现结果**。
1. 在**敏感数据发现结果存储库**下,选择**现有存储桶**。
1. 对于**选择存储桶**,选择要在其中存储发现结果的存储桶。
1. 要为存储桶中的位置路径指定前缀,请展开**高级**部分。然后,对于**数据发现结果前缀**,输入前缀。
当您输入值时,Macie 会更新框下方的示例,以显示存储发现结果的存储桶位置的路径。
1. 在**加密设置**下,指定您希望 Macie 用于加密结果的 AWS KMS key :
+ 要使用您自己账户中的密钥,请选择 **从您的账户中选择密钥**。然后,在**AWS KMS key**列表中,选择要使用的密钥。该列表显示您账户的客户托管的对称加密 KMS 密钥。
+ 要使用其他账户拥有的密钥,请选择**输入来自另一个账户的密钥的 ARN**。然后,在 **AWS KMS key ARN** 框中,输入要使用的密钥的 ARN,例如 **arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab**。
1. 输入完设置后,选择**保存**。
Macie 会测试设置以验证它们是否正确。如果任何设置不正确,Macie 会显示一条错误消息,以帮助您解决问题。
保存存储库设置后,Macie 会将前 90 天的现有发现结果添加到存储库中。Macie 还开始向存储库添加新的发现结果。
**注意**
如果您随后更改了**数据发现结果前缀**设置,请同时更新 Amazon S3 中的存储桶策略。指定以前前缀的策略语句必须指定新的前缀。否则,Macie 将无法将您的发现结果添加到该存储桶。
**提示**
要降低服务器端加密成本,还要将 S3 存储桶配置为使用 S3 存储桶密钥,并指定您为加密敏感数据发现结果而配置的。 AWS KMS key 使用 S3 存储桶密钥可以减少对的调用次数 AWS KMS,从而降低 AWS KMS 请求成本。如果 KMS 密钥位于外部密钥存储中,则使用 S3 Bucket 密钥还可以最大程度地减少使用密钥对性能的影响。有关更多信息,请参阅 *Amazon Simple Storage Service 用户指南*中的[使用 Amazon S3 存储桶密钥降低 SSE-KMS 的成本](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html)。
# 支持的存储类别和格式
为了帮助您发现 Amazon Simple Storage Service (Amazon S3) 数据资产中的敏感数据,Amazon Macie 支持大多数 Amazon S3 存储类以及各种文件和存储格式。此支持适用于使用 [托管数据标识符](managed-data-identifiers.md) 和 [自定义数据标识符](custom-data-identifiers.md) 来分析 S3 对象的场景。
要使 Macie 分析 S3 对象,必须使用支持的存储类将对象存储在 Amazon S3 通用型存储桶中。该对象还必须使用受支持的文件或存储格式。本节中的主题列出了 Macie 当前支持的存储类别以及文件和存储格式。
**提示**
尽管 Macie 针对 Amazon S3 进行了优化,但您可以使用它来发现当前存储在其他位置的资源中的敏感数据。为此,您可以暂时或永久地将数据移动到 Amazon S3。例如,将 Amazon Relational Database Service 或 Amazon Aurora 快照以 Apache Parquet 格式导出到 Amazon S3。或者将 Amazon DynamoDB 表导出到 Amazon S3。然后,您可以创建敏感数据发现任务来分析 Amazon S3 中的数据。
**Topics**
+ [支持的存储类别](#discovery-supported-s3-classes)
+ [支持的文件和存储格式](#discovery-supported-formats)
## 支持的 Amazon S3 存储类别
对于敏感数据发现,Amazon Macie 支持以下 Amazon S3 存储类别:
+ 去冗余 (RRS)
+ S3 Glacier Instant Retrieval
+ S3 Intelligent-Tiering
+ S3 单区:不频繁访问(S3 单区:IA)
+ S3 标准
+ S3 标准 - 不频繁访问(S3 标准 - IA)
Macie 不会分析使用其他 Amazon S3 存储类别(如 S3 Glacier Deep Archive 或 S3 Express One Zone)的 S3 对象。此外,Macie 不会分析存储在 S3 目录存储桶中的对象。
如果您将敏感数据发现任务配置为分析不使用受支持的 Amazon S3 存储类的 S3 对象,则 Macie 会在任务运行时跳过这些对象。Macie 不会尝试检索或分析对象中的数据,这些对象被视为*不可分类的对象*。*不可分类的对象*是指不使用受支持的存储类或受支持的文件或存储格式的对象。Macie 仅分析那些使用受支持的存储类和支持的文件或存储格式的对象。
同样,如果将 Macie 配置为执行自动敏感数据发现,则不可分类的对象不符合选择和分析条件。Macie 仅选择使用受支持的 Amazon S3 存储类别以及受支持的文件或存储格式的对象。
要识别存储不可分类的对象的 S3 存储桶,您可以[筛选 S3 存储桶清单](monitoring-s3-inventory-filter.md)。对于清单中的每个存储桶,都有字段报告存储桶中不可分类的对象的数量和总存储大小。
有关 Amazon S3 提供的存储类的详细信息,请参阅 *Amazon Simple Storage Service 用户指南*中的[使用 Amazon S3 存储类别](https://docs.aws.amazon.com/AmazonS3/latest/userguide/storage-class-intro.html)。
## 支持的文件和存储格式
当 Amazon Macie 分析 S3 对象时,Macie 会从 Amazon S3 中检索该对象的最新版本,然后对对象的内容执行深入检查。此检查会考虑数据的文件或存储格式。Macie 可以分析许多不同格式的数据,包括常用的压缩和存档格式。
当 Macie 分析压缩文件或存档文件中的数据时,Macie 会检查完整文件和文件内容。为了检查文件的内容,Macie 会解压缩该文件,然后检查使用受支持格式的每个提取文件。Macie 可以对多达 1000000 个文件和高达 10 个级别的嵌套深度执行此操作。有关适用于敏感数据发现的其他配额的信息,请参阅 [Macie 的限额](macie-quotas.md)。
下表列出并描述了 Macie 可以分析以检测敏感数据的文件类型和存储格式。对于每种受支持的类型,该表还列出了适用的文件扩展名。
| 文件或存储类型 | 描述 | 文件扩展名 |
| --- | --- | --- |
| 大数据 | Apache Avro 对象容器和 Apache Parquet 文件 | .avro、.parquet |
| 压缩或存档 | GNU Zip 压缩存档、TAR 存档和 ZIP 压缩存档 | .GZ, .gzip, .tar, .zip |
| 文档 | Adobe 便携式文档格式文件、Microsoft Excel 工作簿和 Microsoft Word 文档 | .doc、.docx、.pdf、.xls、.xlsx |
| 电子邮件消息 | 其内容符合 IETF RFC 为电子邮件指定的要求(如 [RFC 2822](https://www.rfc-editor.org/rfc/rfc2822))的电子邮件文件 | .eml |
| 文本 | 非二进制文本文件。例如:逗号分隔值 (CSV) 文件、可扩展标记语言 (XML) 文件、超文本标记语言 (HTML) 文件、 JavaScript 对象表示法 (JSON) 文件、JSON 行文件、纯文本文档、制表符分隔值 (TSV) 文件和 YAML 文件 | 取决于非二进制文本文件的类型:.csv、.htm、.html、.json、.jsonl、.tsv、.txt、.xml、.yml、.yml 及其他 |
Macie 不会分析图像、音频、视频和其他类型的多媒体内容中的数据。
如果您将敏感数据发现作业配置为分析不使用受支持的文件或存储格式的 S3 对象,则 Macie 会在作业运行时跳过这些对象。Macie 不会尝试检索或分析对象中的数据,这些对象被视为*不可分类的对象*。*不可分类的对象*是指不使用受支持的 Amazon S3 存储类或受支持的文件或存储格式的对象。Macie 仅分析那些使用受支持的存储类和支持的文件或存储格式的对象。
同样,如果将 Macie 配置为执行自动敏感数据发现,则不可分类的对象不符合选择和分析条件。Macie 仅选择使用受支持的 Amazon S3 存储类别以及受支持的文件或存储格式的对象。
要识别存储不可分类的对象的 S3 存储桶,您可以[筛选 S3 存储桶清单](monitoring-s3-inventory-filter.md)。对于清单中的每个存储桶,都有字段报告存储桶中不可分类的对象的数量和总存储大小。