本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 建立允許清單
<a name="allow-lists-create"></a>

在 Amazon Macie 中，允許清單會定義特定文字或文字模式，您希望 Macie 在檢查 Amazon Simple Storage Service (Amazon S3) 物件是否有敏感資料時忽略這些文字或文字模式。如果文字符合允許清單中的項目或模式，Macie 不會在敏感資料調查結果、統計資料或其他類型的結果中報告文字。即使文字符合[受管資料識別碼](managed-data-identifiers.md)或[自訂資料識別碼](custom-data-identifiers.md)的條件，也是如此。

您可以在 Macie 中建立下列類型的允許清單。

**預先定義的文字**  
使用此類型的清單來指定不敏感、不太可能變更且不一定遵循常見模式的單字、片語和其他類型的字元序列。範例包括：您組織的公有代表名稱、特定電話號碼，以及組織用於測試的特定範例資料。如果您使用此類型的清單，Macie 會忽略完全符合清單中項目的文字。  
對於此類型的清單，您可以建立以行分隔的純文字檔案，列出要忽略的特定文字。然後，您將檔案存放在 S3 儲存貯體中，並設定 Macie 存取儲存貯體中清單的設定。然後，您可以建立和設定敏感資料探索任務以使用清單，或將清單新增至您的設定，以進行自動化敏感資料探索。當每個任務開始執行或下一個自動探索分析週期開始時，Macie 會從 Amazon S3 擷取清單的最新版本。然後，Macie 會在檢查 S3 物件是否有敏感資料時使用該版本的清單。如果 Macie 找到與清單中項目完全相符的文字，Macie 不會將該文字的出現報告為敏感資料。

**Regular expression** (常規表達式)  
使用此類型的清單來指定規則表達式 (*regex*)，定義要忽略的文字模式。範例包括：組織的公有電話號碼、組織網域的電子郵件地址，以及組織用於測試的模式化範例資料。如果您使用此類型的清單，Macie 會忽略完全符合清單所定義之 regex 模式的文字。  
對於此類型的清單，您可以建立 regex，定義不敏感但不同或可能變更之文字的常見模式。與預先定義的文字清單不同，您可以在 Macie 中建立和存放 regex 和所有其他清單設定。然後，您可以建立和設定敏感資料探索任務以使用清單，或將清單新增至您的設定，以進行自動化敏感資料探索。當這些任務執行或 Macie 執行自動探索時，Macie 會使用最新版本的清單 regex 來分析資料。如果 Macie 找到完全符合清單定義模式的文字，Macie 不會將該文字的出現報告為敏感資料。

如需每種類型的詳細需求、建議和範例，請參閱[允許清單的組態選項和要求](allow-lists-options.md)。

您可以在每個支援的清單中建立最多 10 個允許清單 AWS 區域：最多五個允許指定預先定義文字的清單，以及最多五個允許指定規則表達式的清單。您可以在目前可使用 AWS 區域 Macie 的所有 中建立和使用允許清單，亞太區域 （大阪） 區域除外。

**建立允許清單**  
建立允許清單的方式取決於您要建立的清單類型：列出要忽略之預先定義文字的檔案，或定義要忽略之文字模式的規則表達式。以下各節提供每種類型的說明。選擇您要建立之清單類型的區段。



## 預先定義的文字
<a name="allow-lists-create-s3list"></a>

在 Macie 中建立此類型的允許清單之前，請執行下列動作：

1. 透過使用文字編輯器，建立以行分隔的純文字檔案，列出要忽略的特定文字，例如 .txt、.text 或 .plain 檔案。如需詳細資訊，請參閱[語法需求](allow-lists-options.md#allow-lists-options-s3list-syntax)。

1. 將檔案上傳至 S3 一般用途儲存貯體，並記下儲存貯體的名稱和物件。在 Macie 中設定設定時，您需要輸入這些名稱。

1. 請確定 S3 儲存貯體和物件的設定可讓您和 Macie 從儲存貯體擷取清單。如需詳細資訊，請參閱[儲存需求](allow-lists-options.md#allow-lists-options-s3list-storage)。

1. 如果您已加密 S3 物件，請確定已使用您和 Macie 可使用的金鑰進行加密。如需詳細資訊，請參閱[加密/解密要求](allow-lists-options.md#allow-lists-options-s3list-encryption)。

完成這些任務後，您就可以在 Macie 中設定清單的設定。您可以使用 Amazon Macie 主控台或 Amazon Macie API 來設定設定。

------
#### [ Console ]

請依照下列步驟，使用 Amazon Macie 主控台來設定允許清單的設定。

**在 Macie 中設定允許清單設定**

1. 在 [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)：// 開啟 Amazon Macie 主控台。

1. 在導覽窗格中**的設定**下，選擇**允許清單**。

1. 在**允許清單**頁面上，選擇**建立**。

1. 在**選取清單類型**下，選擇**預先定義文字**。

1. 在**清單設定**下，使用下列選項輸入允許清單的其他設定：
   + 針對**名稱**，輸入清單的名稱。該名稱最多可包含 128 個字元。
   + 針對**描述**，選擇性地輸入清單的簡短描述。該描述最多可包含 512 個字元。
   + 針對 **S3 儲存貯體名稱**，輸入存放清單的儲存貯體名稱。

     在 Amazon S3 中，您可以在儲存貯體屬性**的名稱**欄位中找到此值。此值區分大小寫。此外，當您輸入名稱時，請勿使用萬用字元或部分值。
   + 針對 **S3 物件名稱**，輸入存放清單的 S3 物件名稱。

     在 Amazon S3 中，您可以在物件屬性的**金鑰**欄位中找到此值。如果名稱包含路徑，請務必在輸入名稱時包含完整的路徑，例如 **allowlists/macie/mylist.txt**。此值區分大小寫。此外，當您輸入名稱時，請勿使用萬用字元或部分值。

1. （選用） 在**標籤**下，選擇**新增標籤**，然後輸入最多 50 個標籤來指派給允許清單。

   A*tag* 是您定義並指派給特定類型 AWS 資源的標籤。每個標籤都包含必要的標籤索引鍵和選用的標籤值。標籤可協助您以不同方式識別、分類和管理資源，例如依用途、擁有者、環境或其他條件。如需進一步了解，請參閱 [標記 Macie 資源](tagging-resources.md)。

1. 當您完成時，請選擇**建立**。

Macie 會測試清單的設定。Macie 也會驗證它可以從 Amazon S3 擷取清單，並剖析清單的內容。如果發生錯誤，Macie 會顯示說明錯誤的訊息。如需可協助您對錯誤進行故障診斷的詳細資訊，請參閱 [預先定義文字清單的選項和需求](allow-lists-options.md#allow-lists-options-s3list)。解決任何錯誤之後，您可以儲存清單的設定。

------
#### [ API ]

若要以程式設計方式設定允許清單設定，請使用 Amazon Macie API 的 [CreateAllowList](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists.html) 操作，並為所需的參數指定適當的值。

針對 `criteria` 參數，使用 `s3WordsList` 物件來指定 S3 儲存貯體 (`bucketName`) 的名稱，以及存放清單的 S3 物件 (`objectKey`) 名稱。若要判斷儲存貯體名稱，請參閱 Amazon S3 中的 `Name` 欄位。若要判斷物件名稱，請參閱 Amazon S3 中的 `Key` 欄位。請注意，這些值區分大小寫。此外，當您指定這些名稱時，請勿使用萬用字元或部分值。

若要使用 來設定設定 AWS CLI，請執行 [create-allow-list](https://docs.aws.amazon.com/cli/latest/reference/macie2/create-allow-list.html) 命令，並指定所需參數的適當值。下列範例示範如何為存放在名為 *amzn-s3-demo-bucket* 的 S3 儲存貯體中的允許清單設定設定。存放清單的 S3 物件名稱為 *allowlists/macie/mylist.txt*。

此範例已針對 Linux、macOS 或 Unix 格式化，並使用反斜線 (\$1) 行接續字元來改善可讀性。

```
$ aws macie2 create-allow-list \
--criteria '{"s3WordsList":{"bucketName":"amzn-s3-demo-bucket","objectKey":"allowlists/macie/mylist.txt"}}' \
--name my_allow_list \
--description "Lists public phone numbers and names for Example Corp."
```

此範例已針對 Microsoft Windows 進行格式化，並使用 caret (^) line-contination 字元來改善可讀性。

```
C:\> aws macie2 create-allow-list ^
--criteria={\"s3WordsList\":{\"bucketName\":\"amzn-s3-demo-bucket\",\"objectKey\":\"allowlists/macie/mylist.txt\"}} ^
--name my_allow_list ^
--description "Lists public phone numbers and names for Example Corp."
```

當您提交請求時，Macie 會測試清單的設定。Macie 也會驗證它可以從 Amazon S3 擷取清單，並剖析清單的內容。如果發生錯誤，您的請求會失敗，Macie 會傳回說明錯誤的訊息。如需可協助您對錯誤進行故障診斷的詳細資訊，請參閱 [預先定義文字清單的選項和需求](allow-lists-options.md#allow-lists-options-s3list)。

如果 Macie 可以擷取和剖析清單，您的請求就會成功，而且您會收到類似以下的輸出。

```
{
    "arn": "arn:aws:macie2:us-west-2:123456789012:allow-list/nkr81bmtu2542yyexample",
    "id": "nkr81bmtu2542yyexample"
}
```

其中 `arn`是所建立允許清單的 Amazon Resource Name (ARN)，`id`也是清單的唯一識別符。

------

儲存清單的設定後，您可以[建立和設定敏感資料探索任務](discovery-jobs-create.md)以使用清單，或[將清單新增至您的設定以進行自動敏感資料探索](discovery-asdd-account-configure.md)。每次這些任務開始執行或自動探索分析週期開始時，Macie 都會從 Amazon S3 擷取最新版本的清單。然後，Macie 會在分析資料時使用該版本的清單。

## Regular expression (常規表達式)
<a name="allow-lists-create-regex"></a>

當您建立指定規則表達式 (*regex*) 的允許清單時，您可以直接在 Macie 中定義 regex 和所有其他清單設定。對於 regex，Macie 支援 [Perl 相容規則表達式 (PCRE) 程式庫](https://www.pcre.org/)提供的模式語法子集。如需詳細資訊，請參閱[語法支援和建議](allow-lists-options.md#allow-lists-options-regex-syntax)。

您可以使用 Amazon Macie 主控台或 Amazon Macie API 來建立此類型的清單。

------
#### [ Console ]

請依照下列步驟，使用 Amazon Macie 主控台建立允許清單。

**使用主控台建立允許清單**

1. 在 [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)：// 開啟 Amazon Macie 主控台。

1. 在導覽窗格中**的設定**下，選擇**允許清單**。

1. 在**允許清單**頁面上，選擇**建立**。

1. 在**選取清單類型**下，選擇**規則表達**式。

1. 在**清單設定**下，使用下列選項輸入允許清單的其他設定：
   + 針對**名稱**，輸入清單的名稱。該名稱最多可包含 128 個字元。
   + 針對**描述**，選擇性地輸入清單的簡短描述。該描述最多可包含 512 個字元。
   + 對於**規則表達**式，輸入定義要忽略的文字模式的 regex。regex 最多可包含 512 個字元。

1. （選用） 針對**評估**，在**範例資料**方塊中輸入最多 1，000 個字元，然後選擇**測試**以測試 regex。Macie 會評估範例資料，並報告符合 regex 的文字出現次數。您可以重複此步驟任意次數，以精簡和最佳化 regex。
**注意**  
建議您使用多組範例資料來測試和精簡 regex。如果您建立過於一般的 regex，Macie 可能會忽略您認為敏感的文字。如果 regex 太具體，Macie 可能不會忽略您不認為敏感的文字。

1. （選用） 在**標籤**下，選擇**新增標籤**，然後輸入最多 50 個標籤來指派給允許清單。

   A*tag* 是您定義並指派給特定類型 AWS 資源的標籤。每個標籤都包含必要的標籤索引鍵和選用的標籤值。標籤可協助您以不同方式識別、分類和管理資源，例如依用途、擁有者、環境或其他條件。如需進一步了解，請參閱 [標記 Macie 資源](tagging-resources.md)。

1. 當您完成時，請選擇**建立**。

Macie 會測試清單的設定。Macie 也會測試 regex，以確認它可以編譯表達式。如果發生錯誤，Macie 會顯示說明錯誤的訊息。如需可協助您排除錯誤的詳細資訊，請參閱 [規則表達式的選項和要求](allow-lists-options.md#allow-lists-options-regex)。解決任何錯誤之後，您可以儲存允許清單。

------
#### [ API ]

在 Macie 中建立此類型的允許清單之前，我們建議您使用多組範例資料來測試和精簡 regex。如果您建立過於一般的 regex，Macie 可能會忽略您認為敏感的文字。如果 regex 太具體，Macie 可能不會忽略您不認為敏感的文字。

若要使用 Macie 測試表達式，您可以使用 Amazon Macie API 的 [TestCustomDataIdentifier](https://docs.aws.amazon.com/macie/latest/APIReference/custom-data-identifiers-test.html) 操作，或針對 AWS CLI執行 [test-custom-data-identifier](https://docs.aws.amazon.com/cli/latest/reference/macie2/test-custom-data-identifier.html) 命令。Macie 使用相同的基礎程式碼來編譯允許清單和自訂資料識別符的表達式。如果您以這種方式測試表達式，請務必僅指定 `regex`和 `sampleText` 參數的值。否則，您將收到不準確的結果。

當您準備好建立此類型的允許清單時，請使用 Amazon Macie API 的 [CreateAllowList](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists.html) 操作，並為所需的參數指定適當的值。針對 `criteria` 參數，使用 `regex` 欄位指定定義要忽略的文字模式的規則表達式。該運算式最多可包含 512 個字元。

若要使用 建立此類型的清單 AWS CLI，請執行 [create-allow-list](https://docs.aws.amazon.com/cli/latest/reference/macie2/create-allow-list.html) 命令，並指定所需參數的適當值。下列範例會建立名為 *my\$1allow\$1list *的允許清單。regex 旨在忽略自訂資料識別符可能以其他方式為`example.com`網域偵測的所有電子郵件地址。

此範例已針對 Linux、macOS 或 Unix 格式化，並使用反斜線 (\$1) 行接續字元來改善可讀性。

```
$ aws macie2 create-allow-list \
--criteria '{"regex":"[a-z]@example.com"}' \
--name my_allow_list \
--description "Ignores all email addresses for Example Corp."
```

此範例已針對 Microsoft Windows 進行格式化，並使用 caret (^) line-contination 字元來改善可讀性。

```
C:\> aws macie2 create-allow-list ^
--criteria={\"regex\":\"[a-z]@example.com\"} ^
--name my_allow_list ^
--description "Ignores all email addresses for Example Corp."
```

當您提交請求時，Macie 會測試清單的設定。Macie 也會測試 regex，以確認它可以編譯表達式。如果發生錯誤，請求會失敗，Macie 會傳回說明錯誤的訊息。如需可協助您排除錯誤的詳細資訊，請參閱 [規則表達式的選項和要求](allow-lists-options.md#allow-lists-options-regex)。

如果 Macie 可以編譯表達式，則請求會成功，而您會收到類似以下的輸出：

```
{
    "arn": "arn:aws:macie2:us-west-2:123456789012:allow-list/km2d4y22hp6rv05example",
    "id": "km2d4y22hp6rv05example"
}
```

其中 `arn`是所建立允許清單的 Amazon Resource Name (ARN)，`id`也是清單的唯一識別符。

------

儲存清單後，您可以[建立和設定敏感資料探索任務](discovery-jobs-create.md)來使用，或[將其新增至您的設定，以進行自動敏感資料探索](discovery-asdd-account-configure.md)。當這些任務執行或 Macie 執行自動探索時，Macie 會使用最新版本的清單 regex 來分析資料。