本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 Macie 探索敏感資料
<a name="data-classification"></a>

使用 Amazon Macie，您可以自動探索、記錄和報告 Amazon Simple Storage Service (Amazon S3) 資料資產中的敏感資料。您可以透過兩種方式執行此操作：將 Macie 設定為執行自動敏感資料探索，以及建立和執行敏感資料探索任務。

自動化敏感資料探索可讓您廣泛了解敏感資料可能位於 Amazon S3 資料資產中的位置。使用此選項，Macie 會每天評估您的 S3 儲存貯體庫存，並使用抽樣技術來識別和選取儲存貯體中的代表性 S3 物件。然後，Macie 會擷取和分析選取的物件，檢查它們是否有敏感資料。如需詳細資訊，請參閱[執行自動化敏感資料探索](discovery-asdd.md)。

敏感資料探索任務提供更深入、更有針對性的分析。使用此選項，您可以定義分析的廣度和深度，即您選取的特定 S3 儲存貯體或符合特定條件的儲存貯體。您也可以選擇選項來縮小分析範圍，例如衍生自 S3 物件屬性的自訂條件。此外，您可以將任務設定為僅執行一次以進行隨需分析和評估，或定期執行一次以進行定期分析、評估和監控。如需詳細資訊，請參閱[執行敏感資料探索任務](discovery-jobs.md)。

使用任一選項、自動化敏感資料探索或敏感資料探索任務，您可以設定 Macie 使用其提供的受管資料識別符、您定義的自訂資料識別符，或兩者的組合來分析 S3 物件。您也可以使用允許清單微調分析。當您設定自動敏感資料探索或敏感資料探索任務的設定時，您可以指定要使用的項目：
+ **受管資料識別符** – 這些是內建的標準和技術，旨在偵測特定類型的敏感資料。例如，他們可以偵測特定國家和區域的信用卡號碼、 AWS 私密存取金鑰和護照號碼。他們可以為許多國家和地區偵測大量且不斷增長的敏感資料類型清單。這包括多種類型的個人身分識別資訊 (PII)、財務資訊和登入資料。如需詳細資訊，請參閱[使用受管資料識別符](managed-data-identifiers.md)。
+ **自訂資料識別符** – 這些是您用來偵測敏感資料的自訂條件。每個自訂資料識別符都會指定規則表達式 (*regex*)，定義要比對的文字模式，以及選擇性的字元序列和精簡結果的鄰近規則。您可以使用它們來偵測反映特定案例、智慧財產權或專屬資料的敏感資料，例如員工 IDs、客戶帳戶號碼或內部資料分類。如需詳細資訊，請參閱[建置自訂資料識別符](custom-data-identifiers.md)。
+ **允許清單** – 這些指定您希望 Macie 忽略的文字和文字模式。您可以使用它們來指定特定案例或環境的敏感資料例外狀況，例如組織的公有名稱或電話號碼，或組織用於測試的範例資料。如果 Macie 在允許清單中找到符合項目或模式的文字，Macie 不會報告該文字的出現。即使文字符合受管或自訂資料識別符的條件，也是如此。如需詳細資訊，請參閱[使用允許清單定義敏感資料例外狀況](allow-lists.md)。

當 Macie 分析 S3 物件時，Macie 會從 Amazon S3 擷取物件的最新版本，然後檢查物件的內容是否有敏感資料。如果符合下列條件，Macie 可以分析物件：
+ 物件使用支援的檔案或儲存格式，並使用支援的儲存類別儲存在 S3 一般用途儲存貯體中。如需詳細資訊，請參閱[支援的儲存類別和格式](discovery-supported-storage.md)。
+ 如果物件已加密，則會使用 Macie 可存取且允許使用的金鑰進行加密。如需詳細資訊，請參閱[分析加密的 S3 物件](discovery-supported-encryption-types.md)。
+ 如果物件存放在具有限制性儲存貯體政策的儲存貯體中，則此政策允許 Macie 存取儲存貯體中的物件。如需詳細資訊，請參閱[允許 Macie 存取 S3 儲存貯體和物件](monitoring-restrictive-s3-buckets.md)。

為了協助您符合並維持資料安全與隱私權要求的合規性，Macie 會產生其找到的敏感資料記錄，以及其執行的分析，例如*敏感資料調查結果*和*敏感資料探索結果*。*敏感資料調查結果*是 Macie 在 S3 物件中找到的敏感資料的詳細報告。*敏感資料探索結果*是記錄物件分析之相關詳細資料的報告。每種類型的記錄都遵循標準化結構描述，這可協助您視需要使用其他應用程式、服務和系統來查詢、監控和處理這些結構描述。

**提示**  
雖然 Macie 已針對 Amazon S3 最佳化，但您可以使用它來探索您目前存放在其他位置的資源中的敏感資料。您可以暫時或永久將資料移至 Amazon S3 來執行此操作。例如，以 Apache Parquet 格式將 Amazon Relational Database Service 或 Amazon Aurora 快照匯出至 Amazon S3。或將 Amazon DynamoDB 資料表匯出至 Amazon S3。然後，您可以建立任務來分析 Amazon S3 中的資料。

**Topics**
+ [使用受管資料識別符](managed-data-identifiers.md)
+ [建置自訂資料識別符](custom-data-identifiers.md)
+ [使用允許清單定義敏感資料例外狀況](allow-lists.md)
+ [執行自動化敏感資料探索](discovery-asdd.md)
+ [執行敏感資料探索任務](discovery-jobs.md)
+ [分析加密的 S3 物件](discovery-supported-encryption-types.md)
+ [儲存及保留敏感資料探索結果](discovery-results-repository-s3.md)
+ [支援的儲存類別和格式](discovery-supported-storage.md)

# 使用受管資料識別符
<a name="managed-data-identifiers"></a>

Amazon Macie 使用包括機器學習和模式比對在內的條件和技術組合，來偵測 Amazon Simple Storage Service (Amazon S3) 物件中的敏感資料。這些標準和技術統稱為*受管資料識別符*，可以偵測許多國家和地區的敏感資料類型的大型和不斷增長的清單，包括多種類型的登入資料、財務資訊、個人健康資訊 (PHI) 和個人識別資訊 (PII)。每個受管資料識別符旨在偵測特定類型的敏感資料，例如，特定國家或地區的 AWS 秘密存取金鑰、信用卡號碼或護照號碼。

Macie 可以使用受管資料識別符來偵測下列類別的敏感資料：
+ 登入資料，用於登入資料，例如私有金鑰和 AWS 私密存取金鑰。
+ 財務資訊，用於信用卡號碼和銀行帳戶號碼等財務資料。
+ 個人資訊，用於 PHI，例如健康保險和醫療識別號碼，以及 PII，例如駕照識別號碼和護照號碼。

在每個類別中，Macie 可以偵測多種類型的敏感資料。本節中的主題列出並說明每種類型以及偵測它的任何相關需求。對於每種類型，它們也會指出專為偵測資料而設計之受管理資料識別符的唯一識別符 (ID)。當您[建立敏感資料探索任務](discovery-jobs-create.md)或[設定自動敏感資料探索的設定](discovery-asdd-account-configure.md)時，您可以使用這些 IDs 來指定 Macie 在分析 S3 物件時要使用哪些受管資料識別符。

**Topics**
+ [關鍵字要求](managed-data-identifiers-keywords.md)
+ [敏感資料類型的快速參考](mdis-reference-quick.md)
+ [敏感資料類別的詳細參考](mdis-reference.md)

如需我們建議用於任務的受管資料識別符清單，請參閱[建議敏感資料探索任務使用受管資料識別符](discovery-jobs-mdis-recommended.md)。如需我們建議的受管資料識別符清單，並依預設用於自動敏感資料探索，請參閱 [自動化敏感資料探索的預設設定](discovery-asdd-settings-defaults.md)。

# 受管資料識別符的關鍵字需求
<a name="managed-data-identifiers-keywords"></a>

若要使用受管資料識別符偵測特定類型的敏感資料，Amazon Macie 需要一個關鍵字來接近資料。如果是特定類型的資料，本節中的參考主題會指出該資料的關鍵字需求。

如果關鍵字必須接近特定類型的資料，則關鍵字通常必須在資料的 30 個字元 （包含） 內。其他鄰近需求會根據 Amazon Simple Storage Service (Amazon S3) 物件的檔案類型或儲存格式而有所不同。

**結構化單欄式資料**  
對於單欄式資料，關鍵字必須是相同值的一部分，或在存放值的欄或欄位的名稱中。Microsoft Excel 工作手冊、CSV 檔案和 TSV 檔案都是這種情況。  
例如，如果欄位的值同時包含 *SSN* 和使用美國社會安全號碼 (SSN) 語法的九位數號碼，則 Macie 可以在 欄位中偵測 SSN。同樣地，如果資料欄名稱包含 *SSN*，Macie 可以偵測資料欄中的每個 SSN。Macie 會將該欄中的值視為接近關鍵字 *SSN*。

**結構化記錄型資料**  
對於以記錄為基礎的資料，關鍵字必須是相同值的一部分，或在存放值之欄位或陣列路徑中 元素的名稱中。這種情況適用於 Apache Avro 物件容器、Apache Parquet 檔案、JSON 檔案和 JSON Lines 檔案。  
例如，如果欄位的值同時包含*登入資料*和使用 AWS 私密存取金鑰語法的字元序列，則 Macie 可以在 欄位中偵測金鑰。同樣地，如果欄位的路徑是 `$.credentials.aws.key`，Macie 可以偵測 欄位中的 AWS 私密存取金鑰。Macie 會將 欄位中的值視為接近關鍵字*登入*資料。

**非結構化資料**  
對於非結構化資料，關鍵字通常必須在資料的 30 個字元 （包含） 內。沒有任何額外的鄰近需求。這種情況適用於 Adobe 可攜式文件格式檔案、Microsoft Word 文件、電子郵件訊息，以及 CSV、JSON、JSON Lines 和 TSV 檔案以外的非二進位文字檔案。這包括這些檔案類型中的任何結構化資料，例如資料表或 XML。

關鍵字不區分大小寫。此外，如果關鍵字包含空格，Macie 會自動比對不包含空格或包含底線 (\$1) 或連字號 (-) 而非空格的關鍵字變化。在某些情況下，Macie 也會展開或縮寫關鍵字，以解決關鍵字的常見變化。

如需關鍵字如何提供內容並協助 Macie 偵測特定類型敏感資料的示範，請觀看下列影片：




# 快速參考：依類型列出的受管資料識別符
<a name="mdis-reference-quick"></a>

在 Amazon Macie 中，*受管資料識別符*是一組內建條件和技術，旨在偵測特定類型的敏感資料，例如，信用卡號碼、 AWS 私密存取金鑰或特定國家或地區的護照號碼。這些識別符可以偵測許多國家和地區的大量且不斷增長的敏感資料類型清單，包括多種類型的登入資料、財務資訊、個人健康資訊 (PHI) 和個人識別資訊 (PII)。

下表列出 Macie 目前提供的所有受管資料識別符，依敏感資料類型組織。對於每種類型，它都會提供下列資訊：
+ **敏感資料類別** – 指定敏感資料的一般類別，包括 類型： *登入資料*、 用於登入資料，例如私有金鑰； *財務資訊*、 財務資料，例如信用卡號碼和銀行帳戶號碼； *個人資訊： 個人健康資訊的 PHI*，例如健康保險和醫療識別號碼； 和， *個人資訊： 個人身分識別資訊的 PII*，例如駕照識別號碼和護照號碼。
+ **受管資料識別符 ID** – 指定一或多個受管資料識別符的唯一識別符 (ID)，這些識別符旨在偵測資料。當您建立敏感資料探索任務或設定自動敏感資料探索的設定時，您可以使用這些 IDs 來指定您希望 Macie 在分析資料時使用的受管資料識別符。如需我們建議用於任務的受管資料識別符清單，請參閱 [建議敏感資料探索任務使用受管資料識別符](discovery-jobs-mdis-recommended.md)。如需我們建議用於自動敏感資料探索的受管資料識別符清單，請參閱 [自動化敏感資料探索的預設設定](discovery-asdd-settings-defaults.md)。
+ **需要關鍵字** – 指定偵測是否需要關鍵字與資料相鄰。如需有關 Macie 在分析資料時使用關鍵字的資訊，請參閱 [關鍵字要求](managed-data-identifiers-keywords.md)。
+ **國家和地區** – 指定適用受管資料識別符設計的目標國家和地區。如果受管資料識別符並非針對特定國家和地區設計，則此值為*任何*。

若要檢閱特定類型敏感資料之受管資料識別符的其他詳細資訊，請選擇 類型。


| 敏感資料類型 | 敏感資料類別 | 受管資料識別符 ID | 必要的關鍵字 | 國家和地區 | 
| --- | --- | --- | --- | --- | 
| [AWS 私密存取金鑰](mdis-reference-credentials.md#mdis-reference-AWS-CREDENTIALS) | 登入資料 | AWS\$1CREDENTIALS | 是 | 任何 | 
| [銀行帳戶號碼](mdis-reference-financial.md#mdis-reference-BAN) | 財務資訊 |  BANK\$1ACCOUNT\$1NUMBER （適用於加拿大和美國）  | 是 | 加拿大、美國 | 
| [基本銀行帳號 (BBAN)](mdis-reference-financial.md#mdis-reference-BBAN) | 財務資訊 |  視國家/地區或區域而定： FRANCE\$1BANK\$1ACCOUNT\$1NUMBER, GERMANY\$1BANK\$1ACCOUNT\$1NUMBER, ITALY\$1BANK\$1ACCOUNT\$1NUMBER, SPAIN\$1BANK\$1ACCOUNT\$1NUMBER, UK\$1BANK\$1ACCOUNT\$1NUMBER  | 是 | 法國、德國、義大利、西班牙、英國 | 
| [出生日期](mdis-reference-pii.md#mdis-reference-DATE_OF_BIRTH) | 個人資訊：PII | DATE\$1OF\$1BIRTH | 是 | 任何 | 
| [信用卡到期日](mdis-reference-financial.md#mdis-reference-CC-expiration) | 財務資訊 | CREDIT\$1CARD\$1EXPIRATION | 是 | 任何 | 
| [信用卡磁條資料](mdis-reference-financial.md#mdis-reference-CC-stripe) | 財務資訊 | CREDIT\$1CARD\$1MAGNETIC\$1STRIPE | 是 | 任何 | 
| [信用卡號碼](mdis-reference-financial.md#mdis-reference-CC-number) | 財務資訊 | CREDIT\$1CARD\$1NUMBER （適用於關鍵字附近的信用卡號碼）、 CREDIT\$1CARD\$1NUMBER\$1(NO\$1KEYWORD)（適用於關鍵字附近的信用卡號碼） | 各有不同 | 任何 | 
| [信用卡驗證碼](mdis-reference-financial.md#mdis-reference-CC-verification-code) | 財務資訊 | CREDIT\$1CARD\$1SECURITY\$1CODE | 是 | 任何 | 
| [駕照識別號碼](mdis-reference-pii.md#mdis-reference-DL-num) | 個人資訊：PII |  視國家/地區或區域而定： AUSTRALIA\$1DRIVERS\$1LICENSE, AUSTRIA\$1DRIVERS\$1LICENSE, BELGIUM\$1DRIVERS\$1LICENSE, BULGARIA\$1DRIVERS\$1LICENSE, CANADA\$1DRIVERS\$1LICENSE, CROATIA\$1DRIVERS\$1LICENSE, CYPRUS\$1DRIVERS\$1LICENSE, CZECHIA\$1DRIVERS\$1LICENSE, DENMARK\$1DRIVERS\$1LICENSE, DRIVERS\$1LICENSE (for the US), ESTONIA\$1DRIVERS\$1LICENSE, FINLAND\$1DRIVERS\$1LICENSE, FRANCE\$1DRIVERS\$1LICENSE, GERMANY\$1DRIVERS\$1LICENSE, GREECE\$1DRIVERS\$1LICENSE, HUNGARY\$1DRIVERS\$1LICENSE, INDIA\$1DRIVERS\$1LICENSE, IRELAND\$1DRIVERS\$1LICENSE, ITALY\$1DRIVERS\$1LICENSE, LATVIA\$1DRIVERS\$1LICENSE, LITHUANIA\$1DRIVERS\$1LICENSE, LUXEMBOURG\$1DRIVERS\$1LICENSE, MALTA\$1DRIVERS\$1LICENSE, NETHERLANDS\$1DRIVERS\$1LICENSE, POLAND\$1DRIVERS\$1LICENSE, PORTUGAL\$1DRIVERS\$1LICENSE, ROMANIA\$1DRIVERS\$1LICENSE, SLOVAKIA\$1DRIVERS\$1LICENSE, SLOVENIA\$1DRIVERS\$1LICENSE, SPAIN\$1DRIVERS\$1LICENSE, SWEDEN\$1DRIVERS\$1LICENSE, UK\$1DRIVERS\$1LICENSE  | 是 | 澳洲、奧地利、比利時、保加利亞、加拿大、克羅埃西亞、賽普勒斯、捷克、丹麥、愛沙尼亞、芬蘭、法國、德國、希臘、匈牙利、印度、愛爾蘭、義大利、拉脫維亞、立陶宛、盧森堡、馬爾他、荷蘭、波蘭、葡萄牙、羅馬尼亞、斯洛伐克、斯洛維尼亞、西班牙、瑞典、英國、美國 | 
| [藥物強制執行機構 (DEA) 註冊號碼](mdis-reference-phi.md#mdis-reference-DEA-registration-num) | 個人資訊：PHI | US\$1DRUG\$1ENFORCEMENT\$1AGENCY\$1NUMBER | 是 | 美國 | 
| [選民名冊號碼](mdis-reference-pii.md#mdis-reference-electoral-roll-num) | 個人資訊：PII | UK\$1ELECTORAL\$1ROLL\$1NUMBER | 是 | 英國 | 
| [全名](mdis-reference-pii.md#mdis-reference-full-name) | 個人資訊：PII | NAME | 否 | 任何，如果名稱使用拉丁字元集 | 
| [全域定位系統 (GPS) 座標](mdis-reference-pii.md#mdis-reference-GPS) | 個人資訊：PII | LATITUDE\$1LONGITUDE | 是 | 任何，如果座標接近英文關鍵字 | 
| [Google Cloud API 金鑰](mdis-reference-credentials.md#mdis-reference-GCP-API-key) | 登入資料 | GCP\$1API\$1KEY | 是 | 任何 | 
| [健康保險申請號碼 (HICN)](mdis-reference-phi.md#mdis-reference-HICN) | 個人資訊：PHI | USA\$1HEALTH\$1INSURANCE\$1CLAIM\$1NUMBER | 是 | 美國 | 
| [健康保險或醫療識別號碼](mdis-reference-phi.md#mdis-reference-HI-ID) | 個人資訊：PHI |  視國家/地區或區域而定： CANADA\$1HEALTH\$1NUMBER, EUROPEAN\$1HEALTH\$1INSURANCE\$1CARD\$1NUMBER, FINLAND\$1EUROPEAN\$1HEALTH\$1INSURANCE\$1NUMBER, FRANCE\$1HEALTH\$1INSURANCE\$1NUMBER, UK\$1NHS\$1NUMBER, USA\$1MEDICARE\$1BENEFICIARY\$1IDENTIFIER  | 是 | 加拿大、歐洲、芬蘭、法國、英國、美國 | 
| [醫療保健通用程序編碼系統 (HCPCS) 程式碼](mdis-reference-phi.md#mdis-reference-HCPCS) | 個人資訊：PHI | USA\$1HEALTHCARE\$1PROCEDURE\$1CODE | 是 | 美國 | 
| [HTTP 基本授權標頭](mdis-reference-credentials.md#mdis-reference-HTTP_BASIC_AUTH_HEADER) | 登入資料 | HTTP\$1BASIC\$1AUTH\$1HEADER | 否 | 任何 | 
| [HTTP Cookie](mdis-reference-pii.md#mdis-reference-HTTP_COOKIE) | 個人資訊：PII | HTTP\$1COOKIE | 否 | 任何 | 
| [國際銀行帳號 (IBAN)](mdis-reference-financial.md#mdis-reference-IBAN) | 財務資訊 |  視國家/地區或區域而定： ALBANIA\$1BANK\$1ACCOUNT\$1NUMBER, ANDORRA\$1BANK\$1ACCOUNT\$1NUMBER, BOSNIA\$1AND\$1HERZEGOVINA\$1BANK\$1ACCOUNT\$1NUMBER, BRAZIL\$1BANK\$1ACCOUNT\$1NUMBER, BULGARIA\$1BANK\$1ACCOUNT\$1NUMBER, COSTA\$1RICA\$1BANK\$1ACCOUNT\$1NUMBER, CROATIA\$1BANK\$1ACCOUNT\$1NUMBER, CYPRUS\$1BANK\$1ACCOUNT\$1NUMBER, CZECH\$1REPUBLIC\$1BANK\$1ACCOUNT\$1NUMBER, DENMARK\$1BANK\$1ACCOUNT\$1NUMBER, DOMINICAN\$1REPUBLIC\$1BANK\$1ACCOUNT\$1NUMBER, EGYPT\$1BANK\$1ACCOUNT\$1NUMBER, ESTONIA\$1BANK\$1ACCOUNT\$1NUMBER, FAROE\$1ISLANDS\$1BANK\$1ACCOUNT\$1NUMBER, FINLAND\$1BANK\$1ACCOUNT\$1NUMBER, FRANCE\$1BANK\$1ACCOUNT\$1NUMBER, GEORGIA\$1BANK\$1ACCOUNT\$1NUMBER, GERMANY\$1BANK\$1ACCOUNT\$1NUMBER, GREECE\$1BANK\$1ACCOUNT\$1NUMBER, GREENLAND\$1BANK\$1ACCOUNT\$1NUMBER, HUNGARY\$1BANK\$1ACCOUNT\$1NUMBER, ICELAND\$1BANK\$1ACCOUNT\$1NUMBER, IRELAND\$1BANK\$1ACCOUNT\$1NUMBER, ITALY\$1BANK\$1ACCOUNT\$1NUMBER, JORDAN\$1BANK\$1ACCOUNT\$1NUMBER, KOSOVO\$1BANK\$1ACCOUNT\$1NUMBER, LIECHTENSTEIN\$1BANK\$1ACCOUNT\$1NUMBER, LITHUANIA\$1BANK\$1ACCOUNT\$1NUMBER, MALTA\$1BANK\$1ACCOUNT\$1NUMBER, MAURITANIA\$1BANK\$1ACCOUNT\$1NUMBER, MAURITIUS\$1BANK\$1ACCOUNT\$1NUMBER, MONACO\$1BANK\$1ACCOUNT\$1NUMBER, MONTENEGRO\$1BANK\$1ACCOUNT\$1NUMBER, NETHERLANDS\$1BANK\$1ACCOUNT\$1NUMBER, NORTH\$1MACEDONIA\$1BANK\$1ACCOUNT\$1NUMBER, POLAND\$1BANK\$1ACCOUNT\$1NUMBER, PORTUGAL\$1BANK\$1ACCOUNT\$1NUMBER, SAN\$1MARINO\$1BANK\$1ACCOUNT\$1NUMBER, SENEGAL\$1BANK\$1ACCOUNT\$1NUMBER, SERBIA\$1BANK\$1ACCOUNT\$1NUMBER, SLOVAKIA\$1BANK\$1ACCOUNT\$1NUMBER, SLOVENIA\$1BANK\$1ACCOUNT\$1NUMBER, SPAIN\$1BANK\$1ACCOUNT\$1NUMBER, SWEDEN\$1BANK\$1ACCOUNT\$1NUMBER, SWITZERLAND\$1BANK\$1ACCOUNT\$1NUMBER, TIMOR\$1LESTE\$1BANK\$1ACCOUNT\$1NUMBER, TUNISIA\$1BANK\$1ACCOUNT\$1NUMBER, TURKIYE\$1BANK\$1ACCOUNT\$1NUMBER, UK\$1BANK\$1ACCOUNT\$1NUMBER, UKRAINE\$1BANK\$1ACCOUNT\$1NUMBER, UNITED\$1ARAB\$1EMIRATES\$1BANK\$1ACCOUNT\$1NUMBER, VIRGIN\$1ISLANDS\$1BANK\$1ACCOUNT\$1NUMBER （適用於英屬維京群島）  | 否 | 阿爾巴尼亞、 安道爾、 波士尼亞赫塞哥維納 巴西、 保加利亞、 哥斯大黎加 克羅埃西亞 賽普勒斯、 捷克、 丹麥、 多明尼加共和國、 埃及、 愛沙尼亞、 法羅群島、 芬蘭、 法國、 喬治亞、 德國、 希臘、 格陵蘭， 匈牙利、 冰島、 愛爾蘭、 義大利、 約旦、 科索沃 列支敦斯登、 立陶宛、 馬爾他、 模里塔尼亞、 模里西斯、 摩納哥 蒙特內哥羅、 荷蘭、 北馬其頓、 波蘭、 葡萄牙、 聖馬利諾 塞內加爾、 塞爾維亞、 斯洛伐克、 斯洛維尼亞、 西班牙、 瑞典、 瑞士、 Timor-Leste、 突尼西亞、 Türkiye、 英國、 烏克蘭、 阿拉伯聯合大公國、 維京群島 （英屬） | 
| [JSON Web 權杖 (JWT)](mdis-reference-credentials.md#mdis-reference-JSON_WEB_TOKEN) | 登入資料 | JSON\$1WEB\$1TOKEN | 否 | 任何 | 
| [郵寄地址](mdis-reference-pii.md#mdis-reference-mailing-address) | 個人資訊：PII | ADDRESS、 BRAZIL\$1CEP\$1CODE（適用於巴西的 Código de Endereçamento 郵政） | 各有不同 | 澳洲、巴西、加拿大、法國、德國、義大利、西班牙、英國、美國 | 
| [國家藥物代碼 (NDC)](mdis-reference-phi.md#mdis-reference-NDC) | 個人資訊：PHI | USA\$1NATIONAL\$1DRUG\$1CODE | 是 | 美國 | 
| [國家身分證號碼](mdis-reference-pii.md#mdis-reference-national-id) | 個人資訊：PII |  視國家/地區或區域而定： ARGENTINA\$1DNI\$1NUMBER, BRAZIL\$1RG\$1NUMBER, CHILE\$1RUT\$1NUMBER, COLOMBIA\$1CITIZENSHIP\$1CARD\$1NUMBER, FRANCE\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, GERMANY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, INDIA\$1AADHAAR\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, MEXICO\$1CURP\$1NUMBER, SPAIN\$1DNI\$1NUMBER  | 是 | 阿根廷、巴西、智利、哥倫比亞、法國、德國、印度、義大利、墨西哥、西班牙 | 
| [國民保險號碼 (NINO)](mdis-reference-pii.md#mdis-reference-NINO) | 個人資訊：PII | UK\$1NATIONAL\$1INSURANCE\$1NUMBER | 是 | 英國 | 
| [國家供應商識別符 (NPI)](mdis-reference-phi.md#mdis-reference-NPI) | 個人資訊：PHI | USA\$1NATIONAL\$1PROVIDER\$1IDENTIFIER | 是 | 美國 | 
| [OpenSSH 私密金鑰](mdis-reference-credentials.md#mdis-reference-OPENSSH_PRIVATE_KEY) | 登入資料 | OPENSSH\$1PRIVATE\$1KEY | 否 | 任何 | 
| [護照號碼](mdis-reference-pii.md#mdis-reference-passport-num) | 個人資訊：PII |  視國家/地區或區域而定： CANADA\$1PASSPORT\$1NUMBER, FRANCE\$1PASSPORT\$1NUMBER, GERMANY\$1PASSPORT\$1NUMBER, ITALY\$1PASSPORT\$1NUMBER, SPAIN\$1PASSPORT\$1NUMBER, UK\$1PASSPORT\$1NUMBER, USA\$1PASSPORT\$1NUMBER  | 是 | 加拿大、法國、德國、義大利、西班牙、英國、美國 | 
| [永久居留號碼](mdis-reference-pii.md#mdis-reference-permanent-residence-num) | 個人資訊：PII | CANADA\$1NATIONAL\$1IDENTIFICATION\$1NUMBER | 是 | 加拿大 | 
| [PGP 私密金鑰](mdis-reference-credentials.md#mdis-reference-PGP_PRIVATE_KEY) | 登入資料 | PGP\$1PRIVATE\$1KEY | 否 | 任何 | 
| [電話號碼](mdis-reference-pii.md#mdis-reference-phone-num) | 個人資訊：PII |  視國家/地區或區域而定： BRAZIL\$1PHONE\$1NUMBER, FRANCE\$1PHONE\$1NUMBER, GERMANY\$1PHONE\$1NUMBER, ITALY\$1PHONE\$1NUMBER, PHONE\$1NUMBER (for Canada and the US), SPAIN\$1PHONE\$1NUMBER, UK\$1PHONE\$1NUMBER  | 各有不同 | 巴西、加拿大、法國、德國、義大利、西班牙、英國、美國 | 
| [公有金鑰密碼編譯標準 (PKCS) 私有金鑰](mdis-reference-credentials.md#mdis-reference-PKCS) | 登入資料 | PKCS | 否 | 任何 | 
| [大眾運輸卡號碼](mdis-reference-pii.md#mdis-reference-public-transport-num) | 個人資訊：PII | ARGENTINA\$1TARJETA\$1SUBE | 是 | 阿根廷 | 
| [PuTTY 私密金鑰](mdis-reference-credentials.md#mdis-reference-PUTTY_PRIVATE_KEY) | 登入資料 | PUTTY\$1PRIVATE\$1KEY | 否 | 任何 | 
| [社會保險號碼 (SIN)](mdis-reference-pii.md#mdis-reference-social-insurance-num) | 個人資訊：PII | CANADA\$1SOCIAL\$1INSURANCE\$1NUMBER | 是 | 加拿大 | 
| [社會安全號碼 (SSN)](mdis-reference-pii.md#mdis-reference-social-security-num) | 個人資訊：PII |  視國家/地區或區域而定： SPAIN\$1SOCIAL\$1SECURITY\$1NUMBER, USA\$1SOCIAL\$1SECURITY\$1NUMBER  | 是 | 西班牙、美國 | 
| [條紋 API 金鑰](mdis-reference-credentials.md#mdis-reference-Stripe_API_key) | 登入資料 | STRIPE\$1CREDENTIALS | 否 | 任何 | 
| [納稅識別號碼或參考號碼](mdis-reference-pii.md#mdis-reference-taxpayer-num) | 個人資訊：PII |  視國家/地區或區域而定： ARGENTINA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER, ARGENTINA\$1ORGANIZATION\$1TAX\$1IDENTIFICATION\$1NUMBER, AUSTRALIA\$1TAX\$1FILE\$1NUMBER, BRAZIL\$1CNPJ\$1NUMBER, BRAZIL\$1CPF\$1NUMBER, CHILE\$1RUT\$1NUMBER, COLOMBIA\$1INDIVIDUAL\$1NIT\$1NUMBER, COLOMBIA\$1ORGANIZATION\$1NIT\$1NUMBER, FRANCE\$1TAX\$1IDENTIFICATION\$1NUMBER, GERMANY\$1TAX\$1IDENTIFICATION\$1NUMBER, INDIA\$1PERMANENT\$1ACCOUNT\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, MEXICO\$1INDIVIDUAL\$1RFC\$1NUMBER, MEXICO\$1ORGANIZATION\$1RFC\$1NUMBER, SPAIN\$1NIE\$1NUMBER, SPAIN\$1NIF\$1NUMBER, SPAIN\$1TAX\$1IDENTIFICATION\$1NUMBER, UK\$1TAX\$1IDENTIFICATION\$1NUMBER, USA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER  | 是 | 阿根廷、澳洲、巴西、智利、哥倫比亞、法國、德國、印度、義大利、墨西哥、西班牙、英國、美國 | 
| [唯一裝置識別符 (UDI)](mdis-reference-phi.md#mdis-reference-UDI) | 個人資訊：PHI | MEDICAL\$1DEVICE\$1UDI | 是 | 美國 | 
| [車輛識別號碼 (VIN)](mdis-reference-pii.md#mdis-reference-vin) | 個人資訊：PII | VEHICLE\$1IDENTIFICATION\$1NUMBER | 是 | 任何，如果 VIN 鄰近下列其中一種語言的關鍵字：英文、法文、德文、立陶宛文、波蘭文、葡萄牙文、羅馬尼亞文或西班牙文 | 

# 詳細參考：依類別的受管資料識別符
<a name="mdis-reference"></a>

在 Amazon Macie 中，*受管資料識別符*是內建的標準和技術，旨在偵測特定類型的敏感資料。他們可以偵測許多國家和地區的大量且不斷增長的敏感資料類型清單，包括多種類型的登入資料、財務資訊和個人資訊。每個受管資料識別符旨在偵測特定類型的敏感資料， AWS 例如，特定國家或地區的私密存取金鑰、信用卡號碼或護照號碼。

Macie 可以使用受管資料識別符來偵測數種類別的敏感資料。在每個類別中，Macie 可以偵測多種類型的敏感資料。本節中的主題會列出並描述每種類型，以及偵測資料的任何相關需求。您可以依類別瀏覽主題：
+ [登入資料](mdis-reference-credentials.md) – 用於登入資料，例如私有金鑰和 AWS 私密存取金鑰。
+ [財務資訊](mdis-reference-financial.md) – 用於信用卡號碼和銀行帳戶號碼等財務資料。
+ [個人資訊：PHI](mdis-reference-phi.md) – 用於個人健康資訊 (PHI)，例如健康保險和醫療識別號碼。
+ [個人資訊：PII](mdis-reference-pii.md) – 用於個人身分識別資訊 (PII)，例如駕照識別號碼和護照號碼。

或從下表選擇特定類型的敏感資料。資料表列出 Macie 目前提供的所有受管資料識別符，依敏感資料類型組織。資料表也會摘要說明偵測每種類型的相關需求。


| 敏感資料類型 | 敏感資料類別 | 受管資料識別符 ID | 必要的關鍵字 | 國家和地區 | 
| --- | --- | --- | --- | --- | 
| [AWS 私密存取金鑰](mdis-reference-credentials.md#mdis-reference-AWS-CREDENTIALS) | 登入資料 | AWS\$1CREDENTIALS | 是 | 任何 | 
| [銀行帳戶號碼](mdis-reference-financial.md#mdis-reference-BAN) | 財務資訊 |  BANK\$1ACCOUNT\$1NUMBER （適用於加拿大和美國）  | 是 | 加拿大、美國 | 
| [基本銀行帳號 (BBAN)](mdis-reference-financial.md#mdis-reference-BBAN) | 財務資訊 |  視國家/地區或區域而定： FRANCE\$1BANK\$1ACCOUNT\$1NUMBER, GERMANY\$1BANK\$1ACCOUNT\$1NUMBER, ITALY\$1BANK\$1ACCOUNT\$1NUMBER, SPAIN\$1BANK\$1ACCOUNT\$1NUMBER, UK\$1BANK\$1ACCOUNT\$1NUMBER  | 是 | 法國、德國、義大利、西班牙、英國 | 
| [出生日期](mdis-reference-pii.md#mdis-reference-DATE_OF_BIRTH) | 個人資訊：PII | DATE\$1OF\$1BIRTH | 是 | 任何 | 
| [信用卡到期日](mdis-reference-financial.md#mdis-reference-CC-expiration) | 財務資訊 | CREDIT\$1CARD\$1EXPIRATION | 是 | 任何 | 
| [信用卡磁條資料](mdis-reference-financial.md#mdis-reference-CC-stripe) | 財務資訊 | CREDIT\$1CARD\$1MAGNETIC\$1STRIPE | 是 | 任何 | 
| [信用卡號碼](mdis-reference-financial.md#mdis-reference-CC-number) | 財務資訊 | CREDIT\$1CARD\$1NUMBER （適用於關鍵字附近的信用卡號碼）CREDIT\$1CARD\$1NUMBER\$1(NO\$1KEYWORD)、（適用於關鍵字附近的信用卡號碼） | 各有不同 | 任何 | 
| [信用卡驗證碼](mdis-reference-financial.md#mdis-reference-CC-verification-code) | 財務資訊 | CREDIT\$1CARD\$1SECURITY\$1CODE | 是 | 任何 | 
| [駕照識別號碼](mdis-reference-pii.md#mdis-reference-DL-num) | 個人資訊：PII |  視國家/地區或區域而定： AUSTRALIA\$1DRIVERS\$1LICENSE, AUSTRIA\$1DRIVERS\$1LICENSE, BELGIUM\$1DRIVERS\$1LICENSE, BULGARIA\$1DRIVERS\$1LICENSE, CANADA\$1DRIVERS\$1LICENSE, CROATIA\$1DRIVERS\$1LICENSE, CYPRUS\$1DRIVERS\$1LICENSE, CZECHIA\$1DRIVERS\$1LICENSE, DENMARK\$1DRIVERS\$1LICENSE, DRIVERS\$1LICENSE (for the US), ESTONIA\$1DRIVERS\$1LICENSE, FINLAND\$1DRIVERS\$1LICENSE, FRANCE\$1DRIVERS\$1LICENSE, GERMANY\$1DRIVERS\$1LICENSE, GREECE\$1DRIVERS\$1LICENSE, HUNGARY\$1DRIVERS\$1LICENSE, INDIA\$1DRIVERS\$1LICENSE, IRELAND\$1DRIVERS\$1LICENSE, ITALY\$1DRIVERS\$1LICENSE, LATVIA\$1DRIVERS\$1LICENSE, LITHUANIA\$1DRIVERS\$1LICENSE, LUXEMBOURG\$1DRIVERS\$1LICENSE, MALTA\$1DRIVERS\$1LICENSE, NETHERLANDS\$1DRIVERS\$1LICENSE, POLAND\$1DRIVERS\$1LICENSE, PORTUGAL\$1DRIVERS\$1LICENSE, ROMANIA\$1DRIVERS\$1LICENSE, SLOVAKIA\$1DRIVERS\$1LICENSE, SLOVENIA\$1DRIVERS\$1LICENSE, SPAIN\$1DRIVERS\$1LICENSE, SWEDEN\$1DRIVERS\$1LICENSE, UK\$1DRIVERS\$1LICENSE  | 是 | 澳洲、奧地利、比利時、保加利亞、加拿大、克羅埃西亞、賽普勒斯、捷克、丹麥、愛沙尼亞、芬蘭、法國、德國、希臘、匈牙利、印度、愛爾蘭、義大利、拉脫維亞、立陶宛、盧森堡、馬爾他、荷蘭、波蘭、葡萄牙、羅馬尼亞、斯洛伐克、斯洛維尼亞、西班牙、瑞典、英國、美國 | 
| [藥物強制執行機構 (DEA) 註冊號碼](mdis-reference-phi.md#mdis-reference-DEA-registration-num) | 個人資訊：PHI | US\$1DRUG\$1ENFORCEMENT\$1AGENCY\$1NUMBER | 是 | 美國 | 
| [選民名冊號碼](mdis-reference-pii.md#mdis-reference-electoral-roll-num) | 個人資訊：PII | UK\$1ELECTORAL\$1ROLL\$1NUMBER | 是 | 英國 | 
| [全名](mdis-reference-pii.md#mdis-reference-full-name) | 個人資訊：PII | NAME | 否 | 任何，如果名稱使用拉丁字元集 | 
| [全域定位系統 (GPS) 座標](mdis-reference-pii.md#mdis-reference-GPS) | 個人資訊：PII | LATITUDE\$1LONGITUDE | 是 | 任何，如果座標接近英文關鍵字 | 
| [Google Cloud API 金鑰](mdis-reference-credentials.md#mdis-reference-GCP-API-key) | 登入資料 | GCP\$1API\$1KEY | 是 | 任何 | 
| [健康保險申請號碼 (HICN)](mdis-reference-phi.md#mdis-reference-HICN) | 個人資訊：PHI | USA\$1HEALTH\$1INSURANCE\$1CLAIM\$1NUMBER | 是 | 美國 | 
| [健康保險或醫療識別號碼](mdis-reference-phi.md#mdis-reference-HI-ID) | 個人資訊：PHI |  視國家/地區或區域而定： CANADA\$1HEALTH\$1NUMBER, EUROPEAN\$1HEALTH\$1INSURANCE\$1CARD\$1NUMBER, FINLAND\$1EUROPEAN\$1HEALTH\$1INSURANCE\$1NUMBER, FRANCE\$1HEALTH\$1INSURANCE\$1NUMBER, UK\$1NHS\$1NUMBER, USA\$1MEDICARE\$1BENEFICIARY\$1IDENTIFIER  | 是 | 加拿大、歐洲、芬蘭、法國、英國、美國 | 
| [醫療保健通用程序編碼系統 (HCPCS) 程式碼](mdis-reference-phi.md#mdis-reference-HCPCS) | 個人資訊：PHI | USA\$1HEALTHCARE\$1PROCEDURE\$1CODE | 是 | 美國 | 
| [HTTP 基本授權標頭](mdis-reference-credentials.md#mdis-reference-HTTP_BASIC_AUTH_HEADER) | 登入資料 | HTTP\$1BASIC\$1AUTH\$1HEADER | 否 | 任何 | 
| [HTTP Cookie](mdis-reference-pii.md#mdis-reference-HTTP_COOKIE) | 個人資訊：PII | HTTP\$1COOKIE | 否 | 任何 | 
| [國際銀行帳號 (IBAN)](mdis-reference-financial.md#mdis-reference-IBAN) | 財務資訊 |  視國家/地區或區域而定： ALBANIA\$1BANK\$1ACCOUNT\$1NUMBER, ANDORRA\$1BANK\$1ACCOUNT\$1NUMBER, BOSNIA\$1AND\$1HERZEGOVINA\$1BANK\$1ACCOUNT\$1NUMBER, BRAZIL\$1BANK\$1ACCOUNT\$1NUMBER, BULGARIA\$1BANK\$1ACCOUNT\$1NUMBER, COSTA\$1RICA\$1BANK\$1ACCOUNT\$1NUMBER, CROATIA\$1BANK\$1ACCOUNT\$1NUMBER, CYPRUS\$1BANK\$1ACCOUNT\$1NUMBER, CZECH\$1REPUBLIC\$1BANK\$1ACCOUNT\$1NUMBER, DENMARK\$1BANK\$1ACCOUNT\$1NUMBER, DOMINICAN\$1REPUBLIC\$1BANK\$1ACCOUNT\$1NUMBER, EGYPT\$1BANK\$1ACCOUNT\$1NUMBER, ESTONIA\$1BANK\$1ACCOUNT\$1NUMBER, FAROE\$1ISLANDS\$1BANK\$1ACCOUNT\$1NUMBER, FINLAND\$1BANK\$1ACCOUNT\$1NUMBER, FRANCE\$1BANK\$1ACCOUNT\$1NUMBER, GEORGIA\$1BANK\$1ACCOUNT\$1NUMBER, GERMANY\$1BANK\$1ACCOUNT\$1NUMBER, GREECE\$1BANK\$1ACCOUNT\$1NUMBER, GREENLAND\$1BANK\$1ACCOUNT\$1NUMBER, HUNGARY\$1BANK\$1ACCOUNT\$1NUMBER, ICELAND\$1BANK\$1ACCOUNT\$1NUMBER, IRELAND\$1BANK\$1ACCOUNT\$1NUMBER, ITALY\$1BANK\$1ACCOUNT\$1NUMBER, JORDAN\$1BANK\$1ACCOUNT\$1NUMBER, KOSOVO\$1BANK\$1ACCOUNT\$1NUMBER, LIECHTENSTEIN\$1BANK\$1ACCOUNT\$1NUMBER, LITHUANIA\$1BANK\$1ACCOUNT\$1NUMBER, MALTA\$1BANK\$1ACCOUNT\$1NUMBER, MAURITANIA\$1BANK\$1ACCOUNT\$1NUMBER, MAURITIUS\$1BANK\$1ACCOUNT\$1NUMBER, MONACO\$1BANK\$1ACCOUNT\$1NUMBER, MONTENEGRO\$1BANK\$1ACCOUNT\$1NUMBER, NETHERLANDS\$1BANK\$1ACCOUNT\$1NUMBER, NORTH\$1MACEDONIA\$1BANK\$1ACCOUNT\$1NUMBER, POLAND\$1BANK\$1ACCOUNT\$1NUMBER, PORTUGAL\$1BANK\$1ACCOUNT\$1NUMBER, SAN\$1MARINO\$1BANK\$1ACCOUNT\$1NUMBER, SENEGAL\$1BANK\$1ACCOUNT\$1NUMBER, SERBIA\$1BANK\$1ACCOUNT\$1NUMBER, SLOVAKIA\$1BANK\$1ACCOUNT\$1NUMBER, SLOVENIA\$1BANK\$1ACCOUNT\$1NUMBER, SPAIN\$1BANK\$1ACCOUNT\$1NUMBER, SWEDEN\$1BANK\$1ACCOUNT\$1NUMBER, SWITZERLAND\$1BANK\$1ACCOUNT\$1NUMBER, TIMOR\$1LESTE\$1BANK\$1ACCOUNT\$1NUMBER, TUNISIA\$1BANK\$1ACCOUNT\$1NUMBER, TURKIYE\$1BANK\$1ACCOUNT\$1NUMBER, UK\$1BANK\$1ACCOUNT\$1NUMBER, UKRAINE\$1BANK\$1ACCOUNT\$1NUMBER, UNITED\$1ARAB\$1EMIRATES\$1BANK\$1ACCOUNT\$1NUMBER, VIRGIN\$1ISLANDS\$1BANK\$1ACCOUNT\$1NUMBER （適用於英屬維京群島）  | 否 | 阿爾巴尼亞、 安道爾、 波士尼亞赫塞哥維納、 巴西、 保加利亞、 哥斯大黎加 克羅埃西亞、 賽普勒斯、 捷克、 丹麥、 多明尼加共和國、 埃及、 愛沙尼亞、 法羅群島、 芬蘭、 法國、 喬治亞、 德國、 希臘、 格陵蘭， 匈牙利、 冰島、 愛爾蘭、 義大利、 約旦、 科索沃 列支敦斯登、 立陶宛、 馬爾他、 模里塔尼亞、 模里西斯、 摩納哥 蒙特內哥羅、 荷蘭、 北馬其頓、 波蘭、 葡萄牙、 聖馬利諾 塞內加爾文、 塞爾維亞、 斯洛伐克、 斯洛維尼亞、 西班牙、 瑞典、 瑞士、 Timor-Leste、 突尼西亞、 Türkiye， 英國、 烏克蘭、 阿拉伯聯合大公國、 維京群島 （英屬） | 
| [JSON Web 權杖 (JWT)](mdis-reference-credentials.md#mdis-reference-JSON_WEB_TOKEN) | 登入資料 | JSON\$1WEB\$1TOKEN | 否 | 任何 | 
| [郵寄地址](mdis-reference-pii.md#mdis-reference-mailing-address) | 個人資訊：PII | ADDRESS、 BRAZIL\$1CEP\$1CODE（適用於巴西的 Código de Endereçamento 郵政） | 各有不同 | 澳洲、巴西、加拿大、法國、德國、義大利、西班牙、英國、美國 | 
| [國家藥物代碼 (NDC)](mdis-reference-phi.md#mdis-reference-NDC) | 個人資訊：PHI | USA\$1NATIONAL\$1DRUG\$1CODE | 是 | 美國 | 
| [國家身分證號碼](mdis-reference-pii.md#mdis-reference-national-id) | 個人資訊：PII |  視國家/地區或區域而定： ARGENTINA\$1DNI\$1NUMBER, BRAZIL\$1RG\$1NUMBER, CHILE\$1RUT\$1NUMBER, COLOMBIA\$1CITIZENSHIP\$1CARD\$1NUMBER, FRANCE\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, GERMANY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, INDIA\$1AADHAAR\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, MEXICO\$1CURP\$1NUMBER, SPAIN\$1DNI\$1NUMBER  | 是 | 阿根廷、巴西、智利、哥倫比亞、法國、德國、印度、義大利、墨西哥、西班牙 | 
| [國民保險號碼 (NINO)](mdis-reference-pii.md#mdis-reference-NINO) | 個人資訊：PII | UK\$1NATIONAL\$1INSURANCE\$1NUMBER | 是 | 英國 | 
| [國家供應商識別符 (NPI)](mdis-reference-phi.md#mdis-reference-NPI) | 個人資訊：PHI | USA\$1NATIONAL\$1PROVIDER\$1IDENTIFIER | 是 | 美國 | 
| [OpenSSH 私密金鑰](mdis-reference-credentials.md#mdis-reference-OPENSSH_PRIVATE_KEY) | 登入資料 | OPENSSH\$1PRIVATE\$1KEY | 否 | 任何 | 
| [護照號碼](mdis-reference-pii.md#mdis-reference-passport-num) | 個人資訊：PII |  視國家/地區或區域而定： CANADA\$1PASSPORT\$1NUMBER, FRANCE\$1PASSPORT\$1NUMBER, GERMANY\$1PASSPORT\$1NUMBER, ITALY\$1PASSPORT\$1NUMBER, SPAIN\$1PASSPORT\$1NUMBER, UK\$1PASSPORT\$1NUMBER, USA\$1PASSPORT\$1NUMBER  | 是 | 加拿大、法國、德國、義大利、西班牙、英國、美國 | 
| [永久居留號碼](mdis-reference-pii.md#mdis-reference-permanent-residence-num) | 個人資訊：PII | CANADA\$1NATIONAL\$1IDENTIFICATION\$1NUMBER | 是 | 加拿大 | 
| [PGP 私密金鑰](mdis-reference-credentials.md#mdis-reference-PGP_PRIVATE_KEY) | 登入資料 | PGP\$1PRIVATE\$1KEY | 否 | 任何 | 
| [電話號碼](mdis-reference-pii.md#mdis-reference-phone-num) | 個人資訊：PII |  視國家/地區或區域而定： BRAZIL\$1PHONE\$1NUMBER, FRANCE\$1PHONE\$1NUMBER, GERMANY\$1PHONE\$1NUMBER, ITALY\$1PHONE\$1NUMBER, PHONE\$1NUMBER (for Canada and the US), SPAIN\$1PHONE\$1NUMBER, UK\$1PHONE\$1NUMBER  | 各有不同 | 巴西、加拿大、法國、德國、義大利、西班牙、英國、美國 | 
| [公有金鑰密碼編譯標準 (PKCS) 私有金鑰](mdis-reference-credentials.md#mdis-reference-PKCS) | 登入資料 | PKCS | 否 | 任何 | 
| [大眾運輸卡號碼](mdis-reference-pii.md#mdis-reference-public-transport-num) | 個人資訊：PII | ARGENTINA\$1TARJETA\$1SUBE | 是 | 阿根廷 | 
| [PuTTY 私密金鑰](mdis-reference-credentials.md#mdis-reference-PUTTY_PRIVATE_KEY) | 登入資料 | PUTTY\$1PRIVATE\$1KEY | 否 | 任何 | 
| [社會保險號碼 (SIN)](mdis-reference-pii.md#mdis-reference-social-insurance-num) | 個人資訊：PII | CANADA\$1SOCIAL\$1INSURANCE\$1NUMBER | 是 | 加拿大 | 
| [社會安全號碼 (SSN)](mdis-reference-pii.md#mdis-reference-social-security-num) | 個人資訊：PII |  視國家/地區或區域而定： SPAIN\$1SOCIAL\$1SECURITY\$1NUMBER, USA\$1SOCIAL\$1SECURITY\$1NUMBER  | 是 | 西班牙、美國 | 
| [條紋 API 金鑰](mdis-reference-credentials.md#mdis-reference-Stripe_API_key) | 登入資料 | STRIPE\$1CREDENTIALS | 否 | 任何 | 
| [納稅識別號碼或參考號碼](mdis-reference-pii.md#mdis-reference-taxpayer-num) | 個人資訊：PII |  視國家/地區或區域而定： ARGENTINA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER, ARGENTINA\$1ORGANIZATION\$1TAX\$1IDENTIFICATION\$1NUMBER, AUSTRALIA\$1TAX\$1FILE\$1NUMBER, BRAZIL\$1CNPJ\$1NUMBER, BRAZIL\$1CPF\$1NUMBER, CHILE\$1RUT\$1NUMBER, COLOMBIA\$1INDIVIDUAL\$1NIT\$1NUMBER, COLOMBIA\$1ORGANIZATION\$1NIT\$1NUMBER, FRANCE\$1TAX\$1IDENTIFICATION\$1NUMBER, GERMANY\$1TAX\$1IDENTIFICATION\$1NUMBER, INDIA\$1PERMANENT\$1ACCOUNT\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, MEXICO\$1INDIVIDUAL\$1RFC\$1NUMBER, MEXICO\$1ORGANIZATION\$1RFC\$1NUMBER, SPAIN\$1NIE\$1NUMBER, SPAIN\$1NIF\$1NUMBER, SPAIN\$1TAX\$1IDENTIFICATION\$1NUMBER, UK\$1TAX\$1IDENTIFICATION\$1NUMBER, USA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER  | 是 | 阿根廷、澳洲、巴西、智利、哥倫比亞、法國、德國、印度、義大利、墨西哥、西班牙、英國、美國 | 
| [唯一裝置識別符 (UDI)](mdis-reference-phi.md#mdis-reference-UDI) | 個人資訊：PHI | MEDICAL\$1DEVICE\$1UDI | 是 | 美國 | 
| [車輛識別號碼 (VIN)](mdis-reference-pii.md#mdis-reference-vin) | 個人資訊：PII | VEHICLE\$1IDENTIFICATION\$1NUMBER | 是 | 任何，如果 VIN 鄰近下列其中一種語言的關鍵字：英文、法文、德文、立陶宛文、波蘭文、葡萄牙文、羅馬尼亞文或西班牙文 | 

# 憑證資料的受管資料識別符
<a name="mdis-reference-credentials"></a>

Amazon Macie 可以使用受管資料識別符偵測多種類型的敏感登入資料。此頁面上的主題會指定每種類型，並提供設計用於偵測資料的受管資料識別符相關資訊。每個主題都提供下列資訊：<a name="mdi-ref-fields-singular"></a>
+ **受管資料識別符 ID** – 指定用於偵測資料的受管資料識別符的唯一識別符 (ID)。當您[建立敏感資料探索任務](discovery-jobs-create.md)或[設定自動敏感資料探索的設定](discovery-asdd-account-configure.md)時，您可以使用此 ID 來指定您是否希望 Macie 在分析資料時使用受管資料識別符。
+ **支援的國家和地區** – 指出適用受管資料識別符設計的目標國家或地區。如果受管資料識別符不是針對特定國家或地區設計，則此值為*任何*。
+ **需要關鍵字** – 指定偵測是否需要關鍵字在資料附近。如果需要關鍵字，主題也會提供必要關鍵字的範例。如需有關 Macie 在分析資料時使用關鍵字的資訊，請參閱 [關鍵字要求](managed-data-identifiers-keywords.md)。
+ **註解** – 提供可能影響您選擇受管資料識別符或調查敏感資料回報事件的任何相關詳細資訊。詳細資訊包括支援的標準、語法要求和例外狀況等資訊。

主題會依敏感資料類型的字母順序列出。

**Topics**
+ [AWS 私密存取金鑰](#mdis-reference-AWS-CREDENTIALS)
+ [Google Cloud API 金鑰](#mdis-reference-GCP-API-key)
+ [HTTP 基本授權標頭](#mdis-reference-HTTP_BASIC_AUTH_HEADER)
+ [JSON Web 權杖 (JWT)](#mdis-reference-JSON_WEB_TOKEN)
+ [OpenSSH 私密金鑰](#mdis-reference-OPENSSH_PRIVATE_KEY)
+ [PGP 私密金鑰](#mdis-reference-PGP_PRIVATE_KEY)
+ [公有金鑰密碼編譯標準 (PKCS) 私有金鑰](#mdis-reference-PKCS)
+ [PuTTY 私密金鑰](#mdis-reference-PUTTY_PRIVATE_KEY)
+ [條紋 API 金鑰](#mdis-reference-Stripe_API_key)

## AWS 私密存取金鑰
<a name="mdis-reference-AWS-CREDENTIALS"></a>

**受管資料識別符 ID：** AWS\$1CREDENTIALS

**支援的國家和地區：**任何

**需要關鍵字：**是。關鍵字包括： *aws\$1secret\$1access\$1key, credentials, secret access key, secret key, set-awscredential*

**註解：**Macie 不會報告下列字元序列的出現，這些字元序列通常用作虛構的範例： `je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY`和 `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`。

## Google Cloud API 金鑰
<a name="mdis-reference-GCP-API-key"></a>

**受管資料識別符 ID：** GCP\$1API\$1KEY

**支援的國家和地區：**任何

**需要關鍵字：**是。關鍵字包括： *G\$1PLACES\$1KEY, GCP api key, GCP key, google cloud key, google-api-key, google-cloud-apikeys, GOOGLEKEY, X-goog-api-key*

**註解：**Macie 只能偵測 Google Cloud API 金鑰的字串 (`keyString`) 元件。支援不包含偵測 Google Cloud API 金鑰的 ID 或顯示名稱元件。

## HTTP 基本授權標頭
<a name="mdis-reference-HTTP_BASIC_AUTH_HEADER"></a>

**受管資料識別符 ID：** HTTP\$1BASIC\$1AUTH\$1HEADER

**支援的國家和地區：**任何

**需要關鍵字：**否

**註解：**偵測需要完整的標頭，包括欄位名稱和身分驗證機制指令，如 [RFC 7617 ](https://tools.ietf.org/html/rfc7617)所指定。例如：`Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==` 和 `Proxy-Authorization: Basic dGVzdDoxMjPCow==`。

## JSON Web 權杖 (JWT)
<a name="mdis-reference-JSON_WEB_TOKEN"></a>

**受管資料識別符 ID：** JSON\$1WEB\$1TOKEN

**支援的國家和地區：**任何

**需要關鍵字：**否

**註解：**Macie 可以偵測符合 [RFC 7519](https://tools.ietf.org/html/rfc7519) for JSON Web Signature (JWTs)。權杖可以簽署或取消簽署。

## OpenSSH 私密金鑰
<a name="mdis-reference-OPENSSH_PRIVATE_KEY"></a>

**受管資料識別符 ID：** OPENSSH\$1PRIVATE\$1KEY

**支援的國家和地區：**任何

**需要關鍵字：**否

**註解：**無

## PGP 私密金鑰
<a name="mdis-reference-PGP_PRIVATE_KEY"></a>

**受管資料識別符 ID：** PGP\$1PRIVATE\$1KEY

**支援的國家和地區：**任何

**需要關鍵字：**否

**註解：**無

## 公有金鑰密碼編譯標準 (PKCS) 私有金鑰
<a name="mdis-reference-PKCS"></a>

**受管資料識別符 ID：** PKCS

**支援的國家和地區：**任何

**需要關鍵字：**否

**註解：**無

## PuTTY 私密金鑰
<a name="mdis-reference-PUTTY_PRIVATE_KEY"></a>

**受管資料識別符 ID：** PUTTY\$1PRIVATE\$1KEY

**支援的國家和地區：**任何

**需要關鍵字：**否

**註解：**Macie 可以偵測使用以下標準標頭和標頭序列的 PuTTY `Comment`私有金鑰：`PuTTY-User-Key-File`、`Encryption`、`Public-Lines`、、 `Private-Lines`和 `Private-MAC`。標頭值可以包含英數字元、連字號 (`‐`) 和換行字元 (`\n` 或 )`\r`。 `Public-Lines`和 `Private-Lines`值也可以包含正斜線 (`/`)、加號 (`+`) 和等號 (`=`)。 `Private-MAC`值也可以包含加號 (`+`)。支援不包括偵測標頭值包含其他字元的私有金鑰，例如空格或底線 (`_`)。支援也不包括偵測包含自訂標頭的私有金鑰。

## 條紋 API 金鑰
<a name="mdis-reference-Stripe_API_key"></a>

**受管資料識別符 ID：** STRIPE\$1CREDENTIALS

**支援的國家和地區：**任何

**需要關鍵字：**否

**註解：**Macie 不會報告下列字元序列的出現，這些字元序列通常用於長條碼範例： `sk_test_4eC39HqLyjWDarjtT1zdp7dc`和 `pk_test_TYooMQauvdEDq54NiTphI7jx`。

# 財務資訊的受管資料識別符
<a name="mdis-reference-financial"></a>

Amazon Macie 可以使用受管資料識別符偵測多種類型的敏感財務資訊。本頁面上的主題會列出每種類型，並提供設計用於偵測資料的受管資料識別符相關資訊。每個主題都提供下列資訊：<a name="mdi-ref-fields-plural"></a>
+ **受管資料識別符 ID** – 指定一或多個受管資料識別符的唯一識別符 (ID)，這些識別符旨在偵測資料。當您[建立敏感資料探索任務](discovery-jobs-create.md)或[設定自動敏感資料探索的設定](discovery-asdd-account-configure.md)時，您可以使用這些 IDs 來指定您希望 Macie 在分析資料時使用的受管資料識別符。
+ **支援的國家和地區** – 指出適用的受管資料識別符設計用於哪些國家和地區。如果未針對特定國家或地區設計受管資料識別符，則此值為*任何*。
+ **需要關鍵字** – 指定偵測是否需要關鍵字在資料附近。如果需要關鍵字，主題也會提供必要關鍵字的範例。如需有關 Macie 在分析資料時使用關鍵字的資訊，請參閱 [關鍵字要求](managed-data-identifiers-keywords.md)。
+ **註解** – 提供可能影響您選擇受管資料識別符或調查敏感資料回報事件的任何相關詳細資訊。詳細資訊包括支援的標準、語法要求和例外狀況等資訊。

主題會依敏感資料類型的字母順序列出。

**Topics**
+ [銀行帳戶號碼](#mdis-reference-BAN)
+ [基本銀行帳號 (BBAN)](#mdis-reference-BBAN)
+ [信用卡到期日](#mdis-reference-CC-expiration)
+ [信用卡磁條資料](#mdis-reference-CC-stripe)
+ [信用卡號碼](#mdis-reference-CC-number)
+ [信用卡驗證碼](#mdis-reference-CC-verification-code)
+ [國際銀行帳號 (IBAN)](#mdis-reference-IBAN)

## 銀行帳戶號碼
<a name="mdis-reference-BAN"></a>

Macie 可以偵測由 9–17 位數序列組成的加拿大和美國銀行帳號，且不包含任何空格。

**受管資料識別符 ID：** BANK\$1ACCOUNT\$1NUMBER

**支援的國家和地區：**加拿大、美國

**需要關鍵字：**是。關鍵字包括： *bank account, bank acct, checking account, checking acct, deposit account, deposit acct, savings account, savings acct, chequing account, chequing acct*

**註解：**此受管資料識別符旨在明確偵測加拿大和美國的銀行帳戶號碼。這些國家/地區不會使用 ISO 國際標準所定義的基本銀行帳號 (BBAN) 或國際銀行帳號 (IBAN) 格式來編號銀行帳戶，如 [ISO 13616 ](https://www.iso.org/standard/81090.html)所指定。若要偵測其他國家和區域的銀行帳戶號碼，請使用專為這些格式設計的受管資料識別符。如需詳細資訊，請參閱[基本銀行帳號 (BBAN)](#mdis-reference-BBAN)及[國際銀行帳號 (IBAN)](#mdis-reference-IBAN)。

## 基本銀行帳號 (BBAN)
<a name="mdis-reference-BBAN"></a>

Macie 可以偵測符合 ISO 國際標準所定義之 BBAN 結構的基本銀行帳戶號碼 (BBANs)，以對銀行帳戶進行編號，如 [ISO 13616 ](https://www.iso.org/standard/81090.html)所指定。這包括不包含空格的 BBANs，或使用空格或連字號分隔符號，例如 `NWBK60161331926819`、 `NWBK 6016 1331 9268 19`和 `NWBK-6016-1331-9268-19`。

**受管資料識別符 ID：**視國家或地區而定， FRANCE\$1BANK\$1ACCOUNT\$1NUMBER, GERMANY\$1BANK\$1ACCOUNT\$1NUMBER, ITALY\$1BANK\$1ACCOUNT\$1NUMBER, SPAIN\$1BANK\$1ACCOUNT\$1NUMBER, UK\$1BANK\$1ACCOUNT\$1NUMBER

**支援的國家和地區：**法國、德國、義大利、西班牙、英國

**需要關鍵字：**是。下表列出 Macie 針對特定國家和地區所辨識的關鍵字。


| 國家/地區或區域 | 關鍵字 | 
| --- | --- | 
| 法國 | account code, account number, accountno\$1, accountnumber\$1, bban, code bancaire, compte bancaire, customer account id, customer account number, customer bank account id, iban, numéro de compte | 
| 德國 | account code, account number, accountno\$1, accountnumber\$1, bankleitzahl, bban, customer account id, customer account number, customer bank account id, geheimzahl, iban, kartennummer, kontonummer, kreditkartennummer, sepa | 
| 義大利 | account code, account number, accountno\$1, accountnumber\$1, bban, codice bancario, conto bancario, customer account id, customer account number, customer bank account id, iban, numero di conto | 
| 西班牙 | account code, account number, accountno\$1, accountnumber\$1, bban, código cuenta, código cuenta bancaria, cuenta cliente id, customer account ID, customer account number, customer bank account id, iban, número cuenta bancaria cliente, número cuenta cliente | 
| 英國 | account code, account number, accountno\$1, accountnumber\$1, bban, customer account id, customer account number, customer bank account id, iban, sepa | 

**註解：**這些受管資料識別符也可以偵測符合 ISO 13616 標準的國際銀行帳號 (IBANs)。如需詳細資訊，請參閱[國際銀行帳號 (IBAN)](#mdis-reference-IBAN)。英國的受管資料識別符 (UK\$1BANK\$1ACCOUNT\$1NUMBER) 也可以偵測英國的國內銀行帳號，例如 `60-16-13 31926819`。

## 信用卡到期日
<a name="mdis-reference-CC-expiration"></a>

**受管資料識別符 ID：** CREDIT\$1CARD\$1EXPIRATION

**支援的國家和地區：**任何

**需要關鍵字：**是。關鍵字包括： *exp d, exp m, exp y, expiration, expiry*

**註解：**支援包括大多數日期格式，例如所有數字以及數字和月份名稱的組合。日期元件可以用斜線 (/)、連字號 (‐) 或適用的關鍵字分隔。例如，Macie 可以偵測 `02/26`、`02/2026`、`26-Feb`、 `Feb 2026`和 等日期`expY=2026, expM=02`。

## 信用卡磁條資料
<a name="mdis-reference-CC-stripe"></a>

**受管資料識別符 ID：** CREDIT\$1CARD\$1MAGNETIC\$1STRIPE

**支援的國家和地區：**任何

**需要關鍵字：**是。關鍵字包括： *card data, iso7813, mag, magstripe, stripe, swipe*

**註解：**支援包括音軌 1 和 2。

## 信用卡號碼
<a name="mdis-reference-CC-number"></a>

**受管資料識別符 ID：**CREDIT\$1CARD\$1NUMBER適用於關鍵字附近的信用卡號碼，CREDIT\$1CARD\$1NUMBER\$1(NO\$1KEYWORD)適用於關鍵字不附近的信用卡號碼

**支援的國家和地區：**任何

**需要關鍵字：**不同。CREDIT\$1CARD\$1NUMBER 受管資料識別符需要關鍵字。關鍵字包括：*account number, american express, amex, bank card, c card, card, cc \$1, ccn, check card, cred card, credit, credit card, credit cards, credit no, credit num, dankort, debit, debit card, debit no, debit num, diners club, discover, electron, japanese card bureau, jcb, mastercard, mc, pan, payment account number, payment card number, pcn, pmnt \$1, pmnt card, pmnt no, pmnt number, union pay, visa*。CREDIT\$1CARD\$1NUMBER\$1(NO\$1KEYWORD) 受管資料識別符不需要關鍵字。

**註解：**偵測要求資料為 13 到 19 位數的序列，遵循 Luhn 檢查公式，並針對下列任何類型的信用卡使用標準卡號字首：American Express、Dankort、Diner’s Club、Discover、Electron、Jaby Card Bureau (JCB)、Mastercard、UnionPay 和 Visa。

Macie 不會報告以下序列的出現情況，信用卡發行者已保留用於公開測試：`122000000000003`、`2222405343248877`、`2222990905257051`、`2223007648726984``2223577120017656`、`30569309025904`、、`34343434343434``3528000700000000``3530111333300000``3566002020360505`、`36148900647913`、`36700102000000`、`371449635398431``378282246310005`、、`378734493671000`、、`38520000023237``4012888888881881`、、、、、`4111111111111111``4222222222222``4444333322221111``4462030000000000``4484070000000000``4911830000000``4917300800000000``4917610000000000`、、`4917610000000000003`、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、`5019717010103742``5105105105105100``5111010030175156``5185540810000019``5200828282828210``5204230080000017``5204740009900014``5420923878724339``5454545454545454``5455330760000018``5506900490000436``5506900490000444``5506900510000234``5506920809243667``5506922400634930``5506927427317625``5553042241984105``5555553753048194``5555555555554444``5610591081018250``6011000990139424``6011000400000000``6011111111111117``630490017740292441``630495060000000000``6331101999990016``6759649826438453``6799990100000000019``76009244561`、、、、、、。

## 信用卡驗證碼
<a name="mdis-reference-CC-verification-code"></a>

**受管資料識別符 ID：** CREDIT\$1CARD\$1SECURITY\$1CODE

**支援的國家和地區：**任何

**需要關鍵字：**是。關鍵字包括： *card id, card identification code, card identification number, card security code, card validation code, card validation number, card verification data, card verification value, cvc, cvc2, cvv, cvv2, elo verification code*

**註解：**無

## 國際銀行帳號 (IBAN)
<a name="mdis-reference-IBAN"></a>

Macie 可以偵測最多由 34 個英數字元組成的國際銀行帳號 (IBANs)，包括國家/地區代碼等元素。更具體地說，Macie 可以偵測符合 ISO 國際標準的 IBANs，以對銀行帳戶進行編號，如 [ISO 13616 ](https://www.iso.org/standard/81090.html)所指定。這包括不包含空格的 IBANs，或使用空格或連字號分隔符號，例如 `GB29NWBK60161331926819`、 `GB29 NWBK 6016 1331 9268 19`和 `GB29-NWBK-6016-1331-9268-19`。偵測包括以 Modulus 97 結構描述為基礎的驗證檢查。

**受管資料識別符 ID：**視國家或地區而定 ALBANIA\$1BANK\$1ACCOUNT\$1NUMBER, ANDORRA\$1BANK\$1ACCOUNT\$1NUMBER, BOSNIA\$1AND\$1HERZEGOVINA\$1BANK\$1ACCOUNT\$1NUMBER, BRAZIL\$1BANK\$1ACCOUNT\$1NUMBER, BULGARIA\$1BANK\$1ACCOUNT\$1NUMBER, COSTA\$1RICA\$1BANK\$1ACCOUNT\$1NUMBER, CROATIA\$1BANK\$1ACCOUNT\$1NUMBER, CYPRUS\$1BANK\$1ACCOUNT\$1NUMBER, CZECH\$1REPUBLIC\$1BANK\$1ACCOUNT\$1NUMBER, DENMARK\$1BANK\$1ACCOUNT\$1NUMBER, DOMINICAN\$1REPUBLIC\$1BANK\$1ACCOUNT\$1NUMBER, EGYPT\$1BANK\$1ACCOUNT\$1NUMBER, ESTONIA\$1BANK\$1ACCOUNT\$1NUMBER, FAROE\$1ISLANDS\$1BANK\$1ACCOUNT\$1NUMBER, FINLAND\$1BANK\$1ACCOUNT\$1NUMBER, FRANCE\$1BANK\$1ACCOUNT\$1NUMBER, GEORGIA\$1BANK\$1ACCOUNT\$1NUMBER, GERMANY\$1BANK\$1ACCOUNT\$1NUMBER, GREECE\$1BANK\$1ACCOUNT\$1NUMBER, GREENLAND\$1BANK\$1ACCOUNT\$1NUMBER, HUNGARY\$1BANK\$1ACCOUNT\$1NUMBER, ICELAND\$1BANK\$1ACCOUNT\$1NUMBER, IRELAND\$1BANK\$1ACCOUNT\$1NUMBER, ITALY\$1BANK\$1ACCOUNT\$1NUMBER, JORDAN\$1BANK\$1ACCOUNT\$1NUMBER, KOSOVO\$1BANK\$1ACCOUNT\$1NUMBER, LIECHTENSTEIN\$1BANK\$1ACCOUNT\$1NUMBER, LITHUANIA\$1BANK\$1ACCOUNT\$1NUMBER, MALTA\$1BANK\$1ACCOUNT\$1NUMBER, MAURITANIA\$1BANK\$1ACCOUNT\$1NUMBER, MAURITIUS\$1BANK\$1ACCOUNT\$1NUMBER, MONACO\$1BANK\$1ACCOUNT\$1NUMBER, MONTENEGRO\$1BANK\$1ACCOUNT\$1NUMBER, NETHERLANDS\$1BANK\$1ACCOUNT\$1NUMBER, NORTH\$1MACEDONIA\$1BANK\$1ACCOUNT\$1NUMBER, POLAND\$1BANK\$1ACCOUNT\$1NUMBER, PORTUGAL\$1BANK\$1ACCOUNT\$1NUMBER, SAN\$1MARINO\$1BANK\$1ACCOUNT\$1NUMBER, SENEGAL\$1BANK\$1ACCOUNT\$1NUMBER, SERBIA\$1BANK\$1ACCOUNT\$1NUMBER, SLOVAKIA\$1BANK\$1ACCOUNT\$1NUMBER, SLOVENIA\$1BANK\$1ACCOUNT\$1NUMBER, SPAIN\$1BANK\$1ACCOUNT\$1NUMBER, SWEDEN\$1BANK\$1ACCOUNT\$1NUMBER, SWITZERLAND\$1BANK\$1ACCOUNT\$1NUMBER, TIMOR\$1LESTE\$1BANK\$1ACCOUNT\$1NUMBER, TUNISIA\$1BANK\$1ACCOUNT\$1NUMBER, TURKIYE\$1BANK\$1ACCOUNT\$1NUMBER, UK\$1BANK\$1ACCOUNT\$1NUMBER, UKRAINE\$1BANK\$1ACCOUNT\$1NUMBER, UNITED\$1ARAB\$1EMIRATES\$1BANK\$1ACCOUNT\$1NUMBER, VIRGIN\$1ISLANDS\$1BANK\$1ACCOUNT\$1NUMBER（適用於英屬維京群島）

**支援的國家和地區：** 阿爾巴尼亞、 安道爾 波士尼亞赫塞哥維納 巴西、 保加利亞、 哥斯大黎加、 克羅埃西亞、 賽普勒斯 捷克、 丹麥、 多明尼加共和國、 埃及、 愛沙尼亞、 法羅群島、 芬蘭、 法國、 喬治亞、 德國、 希臘、 格陵蘭， 匈牙利、 冰島、 愛爾蘭、 義大利、 約旦、 科索沃 列支敦斯登、 立陶宛、 馬爾他、 模里塔尼亞、 模里西斯、 摩納哥 蒙特內哥羅、 荷蘭、 北馬其頓、 波蘭、 葡萄牙、 聖馬利諾 塞內加爾文、 塞爾維亞、 斯洛伐克、 斯洛維尼亞、 西班牙、 瑞典、 瑞士、 Timor-Leste、 突尼西亞、 Türkiye， 英國、 烏克蘭、 阿拉伯聯合大公國、 維京群島 （英屬）

**需要關鍵字：**否

**註解：**如果字元序列接近關鍵字，法國、德國、義大利、西班牙和英國的受管資料識別符也可以偵測符合 ISO 13616 標準所定義 BBAN 結構的基本銀行帳號 (BBANs)。如需詳細資訊，請參閱[基本銀行帳號 (BBAN)](#mdis-reference-BBAN)。

# PHI 的受管資料識別符
<a name="mdis-reference-phi"></a>

Amazon Macie 可以使用受管資料識別符偵測多種類型的敏感個人健康資訊 (PHI)。此頁面上的主題會指定每種類型，並提供設計用於偵測資料的受管資料識別符相關資訊。每個主題都提供下列資訊：<a name="mdi-ref-fields-singular"></a>
+ **受管資料識別符 ID** – 指定用於偵測資料的受管資料識別符的唯一識別符 (ID)。當您[建立敏感資料探索任務](discovery-jobs-create.md)或[設定自動敏感資料探索的設定](discovery-asdd-account-configure.md)時，您可以使用此 ID 來指定您是否希望 Macie 在分析資料時使用受管資料識別符。
+ **支援的國家和地區** – 指出適用的受管資料識別符設計用於哪些國家或地區。如果受管資料識別符不是針對特定國家或地區設計，則此值為*任何*。
+ **需要關鍵字** – 指定偵測是否需要關鍵字來接近資料。如果需要關鍵字，主題也會提供必要關鍵字的範例。如需有關 Macie 在分析資料時使用關鍵字的資訊，請參閱 [關鍵字要求](managed-data-identifiers-keywords.md)。
+ **註解** – 提供可能影響您選擇受管資料識別符或調查敏感資料回報事件的任何相關詳細資訊。詳細資訊包括支援的標準、語法要求和例外狀況等資訊。

主題會依敏感資料類型的字母順序列出。

**Topics**
+ [藥物強制執行機構 (DEA) 註冊號碼](#mdis-reference-DEA-registration-num)
+ [健康保險申請號碼 (HICN)](#mdis-reference-HICN)
+ [健康保險或醫療識別號碼](#mdis-reference-HI-ID)
+ [醫療保健通用程序編碼系統 (HCPCS) 程式碼](#mdis-reference-HCPCS)
+ [國家藥物代碼 (NDC)](#mdis-reference-NDC)
+ [國家供應商識別符 (NPI)](#mdis-reference-NPI)
+ [唯一裝置識別符 (UDI)](#mdis-reference-UDI)

## 藥物強制執行機構 (DEA) 註冊號碼
<a name="mdis-reference-DEA-registration-num"></a>

**受管資料識別符 ID：** US\$1DRUG\$1ENFORCEMENT\$1AGENCY\$1NUMBER

**支援的國家和地區：**美國

**需要關鍵字：**是。關鍵字包括： *dea number, dea registration*

**註解：**無

## 健康保險申請號碼 (HICN)
<a name="mdis-reference-HICN"></a>

**受管資料識別符 ID：** USA\$1HEALTH\$1INSURANCE\$1CLAIM\$1NUMBER

**支援的國家和地區：**美國

**需要關鍵字：**是。關鍵字包括： *health insurance claim number, hic no, hic no., hic number, hic\$1, hicn, hicn\$1., hicno\$1*

**註解：**無

## 健康保險或醫療識別號碼
<a name="mdis-reference-HI-ID"></a>

支援包括歐洲和芬蘭的歐洲健康保險卡號碼、法國的健康保險號碼、美國的聯邦醫療保險受益人識別符、英國的 NHS 號碼，以及加拿大的個人健康號碼。

**受管資料識別符 ID：**視國家或地區而定， CANADA\$1HEALTH\$1NUMBER, EUROPEAN\$1HEALTH\$1INSURANCE\$1CARD\$1NUMBER, FINLAND\$1EUROPEAN\$1HEALTH\$1INSURANCE\$1NUMBER, FRANCE\$1HEALTH\$1INSURANCE\$1NUMBER, UK\$1NHS\$1NUMBER, USA\$1MEDICARE\$1BENEFICIARY\$1IDENTIFIER

**支援的國家和地區：**加拿大、歐洲、芬蘭、法國、英國、美國

**需要關鍵字：**是。下表列出 Macie 針對特定國家和地區辨識的關鍵字。


| 國家/地區或區域 | 關鍵字 | 
| --- | --- | 
| 加拿大 | canada healthcare number, msp number, personal healthcare number, phn, soins de santé | 
| 歐盟 | assicurazione sanitaria numero, carta assicurazione numero, carte d’assurance maladie, carte européenne d'assurance maladie, ceam, ehic, ehic\$1, finlandehicnumber\$1, gesundheitskarte, hälsokort, health card, health card number, health insurance card, health insurance number, insurance card number, krankenversicherungskarte, krankenversicherungsnummer, medical account number, numero conto medico, numéro d’assurance maladie, numéro de carte d’assurance, numéro de compte medical, número de cuenta médica, número de seguro de salud, número de tarjeta de seguro, sairaanhoitokortin, sairausvakuutuskortti, sairausvakuutusnumero, sjukförsäkring nummer, sjukförsäkringskort, suomi ehic-numero, tarjeta de salud, terveyskortti, tessera sanitaria assicurazione numero, versicherungsnummer | 
| 芬蘭 | ehic, ehic\$1, finland health insurance card, finlandehicnumber\$1, finska sjukförsäkringskort, hälsokort, health card, health card number, health insurance card, health insurance number, sairaanhoitokortin, sairaanhoitokortin, sairausvakuutuskortti, sairausvakuutusnumero, sjukförsäkring nummer, sjukförsäkringskort, suomen sairausvakuutuskortti, suomi ehic-numero, terveyskortti | 
| 法國 | carte d'assuré social, carte vitale, insurance card | 
| 英國 | national health service, NHS | 
| 美國 | mbi, medicare beneficiary | 

**註解：**無

## 醫療保健通用程序編碼系統 (HCPCS) 程式碼
<a name="mdis-reference-HCPCS"></a>

**受管資料識別符 ID：** USA\$1HEALTHCARE\$1PROCEDURE\$1CODE

**支援的國家和地區：**美國

**需要關鍵字：**是。關鍵字包括： *current procedural terminology, hcpcs, healthcare common procedure coding system*

**註解：**無

## 國家藥物代碼 (NDC)
<a name="mdis-reference-NDC"></a>

**受管資料識別符 ID：** USA\$1NATIONAL\$1DRUG\$1CODE

**支援的國家和地區：**美國

**需要關鍵字：**是。關鍵字包括： *national drug code, ndc*

**註解：**無

## 國家供應商識別符 (NPI)
<a name="mdis-reference-NPI"></a>

**受管資料識別符 ID：** USA\$1NATIONAL\$1PROVIDER\$1IDENTIFIER

**支援的國家和地區：**美國

**需要關鍵字：**是。關鍵字包括： *hipaa, n.p.i, national provider, npi*

**註解：**無

## 唯一裝置識別符 (UDI)
<a name="mdis-reference-UDI"></a>

**受管資料識別符 ID：** MEDICAL\$1DEVICE\$1UDI

**支援的國家和地區：**美國

**需要關鍵字：**是。關鍵字包括： *blood, blood bag, dev id, device id, device identifier, gs1, hibcc, iccbba, med, udi, unique device id, unique device identifier*

**註解：**Macie 可以偵測符合美國食品和藥物管理局核准格式的唯一裝置識別符 (UDIs)。這包括由 GS1、HBBCC 和 PICBBA 定義的標準格式。PICBA 支援適用於 ISBT 標準。

# PII 的受管資料識別符
<a name="mdis-reference-pii"></a>

Amazon Macie 可以使用受管資料識別符偵測多種類型的敏感個人身分識別資訊 (PII)。本頁面上的主題會列出每種類型，並提供設計用於偵測資料的受管資料識別符相關資訊。每個主題都提供下列資訊：<a name="mdi-ref-fields-plural"></a>
+ **受管資料識別符 ID** – 指定一或多個受管資料識別符的唯一識別符 (ID)，這些識別符旨在偵測資料。當您[建立敏感資料探索任務](discovery-jobs-create.md)或[設定自動敏感資料探索的設定](discovery-asdd-account-configure.md)時，您可以使用這些 IDs 來指定您希望 Macie 在分析資料時使用的受管資料識別符。
+ **支援的國家和地區** – 指出適用的受管資料識別符設計用於哪些國家和地區。如果未針對特定國家或地區設計受管資料識別符，則此值為*任何*。
+ **需要關鍵字** – 指定偵測是否需要關鍵字在資料附近。如果需要關鍵字，主題也會提供必要關鍵字的範例。如需有關 Macie 在分析資料時使用關鍵字的資訊，請參閱 [關鍵字要求](managed-data-identifiers-keywords.md)。
+ **註解** – 提供可能影響您選擇受管資料識別符或調查敏感資料回報事件的任何相關詳細資訊。詳細資訊包括支援的標準、語法要求和例外狀況等資訊。

主題會依敏感資料類型的字母順序列出。

**Topics**
+ [出生日期](#mdis-reference-DATE_OF_BIRTH)
+ [駕照識別號碼](#mdis-reference-DL-num)
+ [選民名冊號碼](#mdis-reference-electoral-roll-num)
+ [全名](#mdis-reference-full-name)
+ [全域定位系統 (GPS) 座標](#mdis-reference-GPS)
+ [HTTP Cookie](#mdis-reference-HTTP_COOKIE)
+ [郵寄地址](#mdis-reference-mailing-address)
+ [國家身分證號碼](#mdis-reference-national-id)
+ [國民保險號碼 (NINO)](#mdis-reference-NINO)
+ [護照號碼](#mdis-reference-passport-num)
+ [永久居留號碼](#mdis-reference-permanent-residence-num)
+ [電話號碼](#mdis-reference-phone-num)
+ [大眾運輸卡號碼](#mdis-reference-public-transport-num)
+ [社會保險號碼 (SIN)](#mdis-reference-social-insurance-num)
+ [社會安全號碼 (SSN)](#mdis-reference-social-security-num)
+ [納稅識別號碼或參考號碼](#mdis-reference-taxpayer-num)
+ [車輛識別號碼 (VIN)](#mdis-reference-vin)

## 出生日期
<a name="mdis-reference-DATE_OF_BIRTH"></a>

**受管資料識別符 ID：** DATE\$1OF\$1BIRTH

**支援的國家和地區：**任何

**需要關鍵字：**是。關鍵字包括： *bday, b-day, birth date, birthday, date of birth, dob*

**註解：**支援包括大多數日期格式，例如所有數字以及數字和月份名稱的組合。您可以用空格、斜線 (/) 或連字號 (‐) 分隔日期組成部分。

## 駕照識別號碼
<a name="mdis-reference-DL-num"></a>

**受管資料識別符 ID：**視國家或地區而定， AUSTRALIA\$1DRIVERS\$1LICENSE, AUSTRIA\$1DRIVERS\$1LICENSE, BELGIUM\$1DRIVERS\$1LICENSE, BULGARIA\$1DRIVERS\$1LICENSE, CANADA\$1DRIVERS\$1LICENSE, CROATIA\$1DRIVERS\$1LICENSE, CYPRUS\$1DRIVERS\$1LICENSE, CZECHIA\$1DRIVERS\$1LICENSE, DENMARK\$1DRIVERS\$1LICENSE, DRIVERS\$1LICENSE (for the US), ESTONIA\$1DRIVERS\$1LICENSE, FINLAND\$1DRIVERS\$1LICENSE, FRANCE\$1DRIVERS\$1LICENSE, GERMANY\$1DRIVERS\$1LICENSE, GREECE\$1DRIVERS\$1LICENSE, HUNGARY\$1DRIVERS\$1LICENSE, INDIA\$1DRIVERS\$1LICENSE, IRELAND\$1DRIVERS\$1LICENSE, ITALY\$1DRIVERS\$1LICENSE, LATVIA\$1DRIVERS\$1LICENSE, LITHUANIA\$1DRIVERS\$1LICENSE, LUXEMBOURG\$1DRIVERS\$1LICENSE, MALTA\$1DRIVERS\$1LICENSE, NETHERLANDS\$1DRIVERS\$1LICENSE, POLAND\$1DRIVERS\$1LICENSE, PORTUGAL\$1DRIVERS\$1LICENSE, ROMANIA\$1DRIVERS\$1LICENSE, SLOVAKIA\$1DRIVERS\$1LICENSE, SLOVENIA\$1DRIVERS\$1LICENSE, SPAIN\$1DRIVERS\$1LICENSE, SWEDEN\$1DRIVERS\$1LICENSE, UK\$1DRIVERS\$1LICENSE

**支援的國家和地區：**澳洲、奧地利、比利時、保加利亞、加拿大、克羅埃西亞、賽普勒斯、捷克、丹麥、愛沙尼亞、芬蘭、法國、德國、希臘、匈牙利、印度、愛爾蘭、義大利、拉脫維亞、立陶宛、盧森堡、馬爾他、荷蘭、波蘭、葡萄牙、羅馬尼亞、斯洛伐克、斯洛維尼亞、西班牙、瑞典、英國、美國

**需要關鍵字：**是。下表列出 Macie 針對特定國家和地區所辨識的關鍵字。


| 國家/地區或區域 | 關鍵字 | 
| --- | --- | 
| 澳洲 | dl\$1, dl:, dlno\$1, driver licence, driver license, driver permit, drivers lic., drivers licence, driver's licence, drivers license, driver's license, drivers permit, driver's permit, drivers permit number, driving licence, driving license, driving permit | 
| 奧地利 | führerschein, fuhrerschein, führerschein republik österreich, fuhrerschein republik osterreich | 
| 比利時 | fuehrerschein, fuehrerschein- nr, fuehrerscheinnummer, fuhrerschein, führerschein, fuhrerschein- nr, führerschein- nr, fuhrerscheinnummer, führerscheinnummer, numéro permis conduire, permis de conduire, rijbewijs, rijbewijsnummer | 
| 保加利亞 | превозно средство, свидетелство за управление на моторно, свидетелство за управление на мпс, сумпс, шофьорска книжка | 
| 加拿大 | dl\$1, dl:, dlno\$1, driver licence, driver licences, driver license, driver licenses, driver permit, drivers lic., drivers licence, driver's licence, drivers licences, driver's licences, drivers license, driver's license, drivers licenses, driver's licenses, drivers permit, driver's permit, drivers permit number, driving licence, driving license, driving permit, permis de conduire | 
| 克羅埃西亞 | vozačka dozvola | 
| 賽普勒斯 | άδεια οδήγησης | 
| 捷克 | číslo licence, císlo licence řidiče, číslo řidičského průkazu, ovladače lic., povolení k jízdě, povolení řidiče, řidiči povolení, řidičský prúkaz, řidičský průkaz | 
| 丹麥 | kørekort, kørekortnummer | 
| 愛沙尼亞 | juhi litsentsi number, juhiloa number, juhiluba, juhiluba number | 
| 芬蘭 | ajokortin numero, ajokortti, förare lic., körkort, körkort nummer, kuljettaja lic., permis de conduire | 
| 法國 | permis de conduire | 
| 德國 | fuehrerschein, fuehrerschein- nr, fuehrerscheinnummer, fuhrerschein, führerschein, fuhrerschein- nr, führerschein- nr, fuhrerscheinnummer, führerscheinnummer | 
| 希臘 | δεια οδήγησης, adeia odigisis | 
| 匈牙利 | illesztőprogramok lic, jogosítvány, jogsi, licencszám, vezető engedély, vezetői engedély | 
| 印度 | driver licence, driver licences, driver license, driver licenses, drivers lic., drivers licence, driver's licence, drivers licences, driver's licences, drivers license, driver's license, drivers licenses, driver's licenses, driving licence, driving license | 
| 愛爾蘭 | ceadúnas tiomána | 
| 義大利 | patente di guida, patente di guida numero, patente guida, patente guida numero | 
| 拉脫維亞 | autovadītāja apliecība, licences numurs, vadītāja apliecība, vadītāja apliecības numurs, vadītāja atļauja, vadītāja licences numurs, vadītāji lic. | 
| 立陶宛 | vairuotojo pažymėjimas | 
| 盧森堡 | fahrerlaubnis, führerschäin | 
| 馬爾他 | liċenzja tas-sewqan | 
| 荷蘭 | permis de conduire, rijbewijs, rijbewijsnummer | 
| 波蘭 | numer licencyjny, prawo jazdy, zezwolenie na prowadzenie | 
| 葡萄牙 | carta de condução, carteira de habilitação, carteira de motorist, carteira habilitação, carteira motorist, licença condução, licença de condução, número de licença, número licença, permissão condução, permissão de condução | 
| 羅馬尼亞 | numărul permisului de conducere, permis de conducere | 
| 斯洛伐克 | číslo licencie, číslo vodičského preukazu, ovládače lic., povolenia vodičov, povolenie jazdu, povolenie na jazdu, povolenie vodiča, vodičský preukaz | 
| 斯洛維尼亞 | vozniško dovoljenje | 
| 西班牙 | carnet conducer, el carnet de conducer, licencia conducer, licencia de manejo, número carnet conducer, número de carnet de conducer, número de permiso conducer, número de permiso de conducer, número licencia conducer, número permiso conducer, permiso conducción, permiso conducer, permiso de conducción | 
| 瑞典 | ajokortin numero, dlno\$1 ajokortti, drivere lic., förare lic., körkort, körkort nummer, körkortsnummer, kuljettajat lic.  | 
| 英國 | dl\$1, dl:, dlno\$1, driver licence, driver licences, driver license, driver licenses, driver permit, drivers lic., drivers licence, driver's licence, drivers licences, driver's licences, drivers license, driver's license, drivers licenses, driver's licenses, drivers permit, driver's permit, drivers permit number, driving licence, driving license, driving permit | 
| 美國 | dl\$1, dl:, dlno\$1, driver licence, driver licences, driver license, driver licenses, driver permit, drivers lic., drivers licence, driver's licence, drivers licences, driver's licences, drivers license, driver's license, drivers licenses, driver's licenses, drivers permit, driver's permit, drivers permit number, driving licence, driving license, driving permit | 

**註解：**無

## 選民名冊號碼
<a name="mdis-reference-electoral-roll-num"></a>

**受管資料識別符 ID：** UK\$1ELECTORAL\$1ROLL\$1NUMBER

**支援的國家和地區：**英國

**需要關鍵字：**是。關鍵字包括： *electoral \$1, electoral number, electoral roll \$1, electoral roll no., electoral roll number, electoralrollno*

**註解：**無

## 全名
<a name="mdis-reference-full-name"></a>

**受管資料識別符 ID：** NAME

**支援的國家和地區：**任何

**需要關鍵字：**否

**註解：**Macie 只能偵測全名。支援僅限於拉丁字元集。

## 全域定位系統 (GPS) 座標
<a name="mdis-reference-GPS"></a>

**受管資料識別符 ID：** LATITUDE\$1LONGITUDE

**支援的國家和地區：**任何，如果座標接近英文關鍵字的話。

**需要關鍵字：**是。關鍵字包括： *coordinate, coordinates, lat long, latitude longitude, position*

**註解：**Macie 可以偵測 GPS 座標，如果經緯度座標儲存為一對，而且它們是小數度 (DD) 格式，例如 `41.948614,-87.655311`。支援不包括下列座標的偵測：Degrees 小數分鐘 (DDM) 格式，例如 `41°56.9168'N 87°39.3187'W`；或 Degrees、分鐘、秒 (DMS) 格式，例如 `41°56'55.0104"N 87°39'19.1196"W`。

## HTTP Cookie
<a name="mdis-reference-HTTP_COOKIE"></a>

**受管資料識別符 ID：** HTTP\$1COOKIE

**支援的國家和地區：**任何

**需要關鍵字：**否

**註解：**偵測需要完整 `Cookie`或 `Set-Cookie`標頭。標頭可以包含一或多個名稱值對，例如： `Set-Cookie: id=TWlrZQ`和 `Cookie: session=3948; lang=en`。

## 郵寄地址
<a name="mdis-reference-mailing-address"></a>

**受管資料識別符 ID：** ADDRESS（適用於澳洲、加拿大、法國、德國、義大利、西班牙、英國和美國）， BRAZIL\$1CEP\$1CODE（適用於巴西的 Código de Endereçamento 郵政）

**支援的國家和地區：**澳洲、巴西、加拿大、法國、德國、義大利、西班牙、英國、美國

**需要關鍵字：**不同。ADDRESS 受管資料識別符不需要關鍵字。BRAZIL\$1CEP\$1CODE 受管資料識別符需要關鍵字。關鍵字包括： *cep, código de endereçamento postal, codigo de endereçamento postal, código postal, codigo postal*

**註解：**雖然ADDRESS受管資料識別符不需要關鍵字，但偵測需要地址，才能在支援的國家或地區中包含城市或地點的名稱，以及對應的郵遞區號。BRAZIL\$1CEP\$1CODE 受管資料識別符只能偵測地址的 Código de Endereçamento Postal (CEP) 部分。

## 國家身分證號碼
<a name="mdis-reference-national-id"></a>

支援包括：印度的 Aadhaar 號碼；哥倫比亞的 Cédula de Ciudadanía 號碼；墨西哥的 Clave Única de Registro de Población (CURP) 號碼；義大利的 Codice Fiscale 號碼；阿根廷和西班牙的 Documento Nacional de Identidad (DNI) 號碼；法國國家統計與經濟研究所 (INSEE) 代碼；德國國民身分證號碼；巴西的 Registro Geral (RG) 號碼；以及智利的 Rol Único Nacional (RUN) 號碼。

**受管資料識別符 ID：**視國家或地區而定， ARGENTINA\$1DNI\$1NUMBER, BRAZIL\$1RG\$1NUMBER, CHILE\$1RUT\$1NUMBER, COLOMBIA\$1CITIZENSHIP\$1CARD\$1NUMBER, FRANCE\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, GERMANY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, INDIA\$1AADHAAR\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, MEXICO\$1CURP\$1NUMBER, SPAIN\$1DNI\$1NUMBER

**支援的國家和地區：**阿根廷、巴西、智利、哥倫比亞、法國、德國、印度、義大利、墨西哥、西班牙

**需要關鍵字：**是。下表列出 Macie 針對特定國家和地區所辨識的關鍵字。


| 國家/地區或區域 | 關鍵字 | 
| --- | --- | 
| 阿根廷 | dni, dni\$1, d.n.i., documento nacional de identidad | 
| 巴西 | registro geral, rg | 
| 智利 | identidad número, nacional identidad, national unique role, nationaluniqueroleID\$1, número identificación, rol único nacional, rol único tributario, run, run\$1, r.u.n., rut, rut\$1, r.u.t., unique national number, unique national role, unique tax registry, unique tax role, unique tributary number, unique tributary role | 
| 哥倫比亞 | cédula de ciudadanía, documento de identificación | 
| 法國 | assurance sociale, carte nationale d’identité, cni, code sécurité sociale, French social security number, fssn\$1, insee, insurance number, national id number, nationalid\$1, numéro d'assurance, sécurité sociale, sécurité sociale non., sécurité sociale numéro, social, social security, social security number, socialsecuritynumber, ss\$1, ssn, ssn\$1 | 
| 德國 | ausweisnummer, id number, identification number, identity number, insurance number, personal id, personalausweis | 
| 印度 | aadhaar, aadhar, adhaar, uidai | 
| 義大利 | codice fiscal, dati anagrafici, ehic, health card, health insurance card, p. iva, partita i.v.a., personal data, tax code, tessera sanitaria | 
| 墨西哥 | clave personal identidad, clave única, clave única de registro de población, clavepersonalIdentidad, curp, registration code, registry code, personal identidad clave, population code | 
| 西班牙 | dni, dni\$1, dninúmero\$1, documento nacional de identidad, identidad único, identidadúnico\$1, insurance number, national identification number, national identity, nationalid\$1, nationalidno\$1, número nacional identidad, personal identification number, personal identity no, unique identity number, uniqueid\$1 | 

**註解：**智利 (CHILE\$1RUT\$1NUMBER) 的受管資料識別符旨在偵測 Rol Único Nacional (RUN) 號碼和 Rol Único Tributario (RUT) 號碼。對於任一類型的數字，Macie 不會報告發生的所有數字都是零，例如 `00000000-K`，因為它們通常用作範例。

雖然阿根廷和西班牙的 DNI 號碼具有不同的語法，但兩者之間存在相似之處。因此，Macie 可能會將阿根廷的 DNI 號碼報告為西班牙的 DNI 號碼，反之亦然。此外，Macie 不會報告下列字元序列的出現，這些字元序列通常用作範例 DNI 數字： `99999999`和 `99.999.999`。Macie 也不會報告僅由零組成的事件，例如 `000000000`和 `00.000.000`。

## 國民保險號碼 (NINO)
<a name="mdis-reference-NINO"></a>

**受管資料識別符 ID：** UK\$1NATIONAL\$1INSURANCE\$1NUMBER

**支援的國家和地區：**英國

**需要關鍵字：**是。關鍵字包括： *insurance no., insurance number, insurance\$1, national insurance number, nationalinsurance\$1, nationalinsurancenumber, nin, nino*

**註解：**無

## 護照號碼
<a name="mdis-reference-passport-num"></a>

**受管資料識別符 ID：**視國家或地區而定， CANADA\$1PASSPORT\$1NUMBER, FRANCE\$1PASSPORT\$1NUMBER, GERMANY\$1PASSPORT\$1NUMBER, ITALY\$1PASSPORT\$1NUMBER, SPAIN\$1PASSPORT\$1NUMBER, UK\$1PASSPORT\$1NUMBER, USA\$1PASSPORT\$1NUMBER

**支援的國家和地區：**加拿大、法國、德國、義大利、西班牙、英國、美國

**需要關鍵字：**是。下表列出 Macie 針對特定國家和地區所辨識的關鍵字。


| 國家/地區或區域 | 關鍵字 | 
| --- | --- | 
| 加拿大 | passeport, passeport\$1, passport, passport\$1, passportno, passportno\$1 | 
| 法國 | numéro de passeport, passeport, passeport \$1, passeport n °, passeport non | 
| 德國 | ausstellungsdatum, ausstellungsort, geburtsdatum, passport, passports, reisepass, reisepass–nr, reisepassnummer | 
| 義大利 | italian passport number, numéro passeport, numéro passeport italien, passaporto, passaporto italiana, passaporto numero, passport number, repubblica italiana passaporto | 
| 西班牙 | españa pasaporte, libreta pasaporte, número pasaporte, pasaporte, passport, passport book, passport no, passport number, spain passport | 
| 英國 | passeport \$1, passeport n °, passeport non, passeportn °, passport \$1, passport no, passport number, passport\$1, passportid | 
| 美國 | passport, travel document | 

**註解：**無

## 永久居留號碼
<a name="mdis-reference-permanent-residence-num"></a>

**受管資料識別符 ID：** CANADA\$1NATIONAL\$1IDENTIFICATION\$1NUMBER

**支援的國家和地區：**加拿大

**需要關鍵字：**是。關鍵字包括： *carte résident permanent, numéro carte résident permanent, numéro résident permanent, permanent resident card, permanent resident card number, permanent resident no, permanent resident no., permanent resident number, pr no, pr no., pr non, pr number, résident permanent no., résident permanent non*

**註解：**無

## 電話號碼
<a name="mdis-reference-phone-num"></a>

**受管資料識別符 ID：**視國家或地區而定， BRAZIL\$1PHONE\$1NUMBER, FRANCE\$1PHONE\$1NUMBER, GERMANY\$1PHONE\$1NUMBER, ITALY\$1PHONE\$1NUMBER, PHONE\$1NUMBER (for Canada and the US), SPAIN\$1PHONE\$1NUMBER, UK\$1PHONE\$1NUMBER

**支援的國家和地區：**巴西、加拿大、法國、德國、義大利、西班牙、英國、美國

**需要關鍵字：**不同。如果關鍵字與資料相鄰，則該號碼不必包含國家/地區代碼。關鍵字包括：*cell, contact, fax, fax number, mobile, phone, phone number, tel, telephone, telephone number*。對於巴西，關鍵字也包括：*cel, celular, fone, móvel, número residencial, numero residencial, telefone*。如果關鍵字不在資料附近，則該數字必須包含國家/地區代碼。

**註解：**對於美國，支援包括免付費電話號碼。

## 大眾運輸卡號碼
<a name="mdis-reference-public-transport-num"></a>

**受管資料識別符 ID：** ARGENTINA\$1TARJETA\$1SUBE

**支援的國家和地區：**阿根廷

**需要關鍵字：**是。關鍵字包括： *sistema único de boleto electrónico, sube*

**註解：**Macie 可以偵測開頭為 `6061` 且遵循 Luhn 檢查公式的 16 位數 Sistema Único de Boleto Electrónico (SUBE) 卡號。卡片號碼元件可以用空格或連字號 (‐) 分隔，或不使用分隔符號，例如 `6061 1234 1234 1234`、 `6061‐1234‐1234‐1234`和 `6061123412341234`。

## 社會保險號碼 (SIN)
<a name="mdis-reference-social-insurance-num"></a>

**受管資料識別符 ID：** CANADA\$1SOCIAL\$1INSURANCE\$1NUMBER

**支援的國家和地區：**加拿大

**需要關鍵字：**是。關鍵字包括： *canadian id, numéro d'assurance sociale, sin, social insurance number*

**註解：**無

## 社會安全號碼 (SSN)
<a name="mdis-reference-social-security-num"></a>

**受管資料識別符 ID：**根據國家或地區、、 SPAIN\$1SOCIAL\$1SECURITY\$1NUMBER USA\$1SOCIAL\$1SECURITY\$1NUMBER

**支援的國家和地區：**西班牙、美國

**需要關鍵字：**是。對於西班牙，關鍵字包括：*número de la seguridad social, social security no., social security number, socialsecurityno\$1, ssn, ssn\$1*。對於美國，關鍵字包括：*social security, ss\$1, ssn*。

**註解：**無

## 納稅識別號碼或參考號碼
<a name="mdis-reference-taxpayer-num"></a>

支援包括：阿根廷的 CUIL 和 CUIT 代碼；西班牙的 CIF、NIE 和 NIF 號碼；巴西的 CNPJ 和 CPF 號碼；義大利的 Codice Fiscale 號碼；美國的 ITINs；哥倫比亞的 NIT 號碼；印度PANs；墨西哥的 RFC 號碼；智利的 RUN 和 RUT 號碼；德國的 Steueridentifikationsnummer 號碼；澳洲TFNs；法國TINs；以及英國的 TRN 和 UTR 號碼。

**受管資料識別符 ID：**視國家或地區而定， ARGENTINA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER, ARGENTINA\$1ORGANIZATION\$1TAX\$1IDENTIFICATION\$1NUMBER, AUSTRALIA\$1TAX\$1FILE\$1NUMBER, BRAZIL\$1CNPJ\$1NUMBER, BRAZIL\$1CPF\$1NUMBER, CHILE\$1RUT\$1NUMBER, COLOMBIA\$1INDIVIDUAL\$1NIT\$1NUMBER, COLOMBIA\$1ORGANIZATION\$1NIT\$1NUMBER, FRANCE\$1TAX\$1IDENTIFICATION\$1NUMBER, GERMANY\$1TAX\$1IDENTIFICATION\$1NUMBER, INDIA\$1PERMANENT\$1ACCOUNT\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, MEXICO\$1INDIVIDUAL\$1RFC\$1NUMBER, MEXICO\$1ORGANIZATION\$1RFC\$1NUMBER, SPAIN\$1NIE\$1NUMBER, SPAIN\$1NIF\$1NUMBER, SPAIN\$1TAX\$1IDENTIFICATION\$1NUMBER, UK\$1TAX\$1IDENTIFICATION\$1NUMBER, USA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER

**支援的國家和地區：**阿根廷、澳洲、巴西、智利、哥倫比亞、法國、德國、印度、義大利、墨西哥、西班牙、英國、美國

**需要關鍵字：**是。下表列出 Macie 針對特定國家和地區辨識的關鍵字。


| 國家/地區或區域 | 關鍵字 | 
| --- | --- | 
| 阿根廷 | argentina taxpayer id, clave única de identificación tributaria, cuil, c.u.i.l, cuit, c.u.i.t, número de identificación fiscal, número de contribuyente, unified labor identification code | 
| 澳洲 | tax file number, tfn | 
| 巴西 | cadastro de pessoa física, cadastro de pessoa fisica, cadastro de pessoas físicas, cadastro de pessoas fisicas, cadastro nacional da pessoa jurídica, cadastro nacional da pessoa juridica, cnpj, cpf | 
| 智利 | identidad número, nacional identidad, national unique role, nationaluniqueroleID\$1, número identificación, rol único nacional, rol único tributario, run, run\$1, r.u.n., rut, rut\$1, r.u.t., unique national number, unique national role, unique tax registry, unique tax role, unique tributary number, unique tributary role | 
| 哥倫比亞 | nit, nit., nit\$1, n.i.t. | 
| 法國 | numéro d'identification fiscal, tax id, tax identification number, tax number, tin, tin\$1 | 
| 德國 | identifikationsnummer, steuer id, steueridentifikationsnummer, steuernummer, tax id, tax identification number, tax number | 
| 印度 | e-pan, pan card, pan number, permanent account number | 
| 義大利 | codice fiscal, dati anagrafici, ehic, health card, health insurance card, p. iva, partita i.v.a., personal data, tax code, tessera sanitaria | 
| 墨西哥 | código del registro federal de contribuyentes, identificación de impuestos, identificacion de impuestos, impuesto al valor agregado, iva, iva\$1, i.v.a., registro federal de contribuyentes, rfc, rfc\$1, r.f.c. | 
| 西班牙 | cif, cif número, cifnúmero\$1, nie, nif, número de contribuyente, número de identidad de extranjero, número de identificación fiscal, número de impuesto corporativo, personal tax number, tax id, tax identification number, tax number, tin, tin\$1 | 
| 英國 | paye, tax id, tax id no., tax id number, tax identification, tax identification\$1, tax no., tax number, tax reference, tax\$1, taxid\$1, temporary reference number, tin, trn, unique tax reference, unique taxpayer reference, utr | 
| 美國 | i.t.i.n., individual taxpayer identification number, itin | 

**註解：**智利 (CHILE\$1RUT\$1NUMBER) 的受管資料識別符旨在偵測 Rol Único Nacional (RUN) 號碼和 Rol Único Tributario (RUT) 號碼。對於墨西哥的 Registro Federal de Contribuyentes (RFC) 號碼，Macie 不會報告下列字元序列的出現，這些字元序列通常用作範例 RFC 號碼： `XAXX010101000`和 `XEXX010101000`。

對於多種類型的納稅人識別和參考號碼，Macie 不會報告所有數字都是零的出現情況，例如 `00000000-K`、 `000000000`和 `00.000.000`。這是因為某些類型的納稅人識別和參考號碼範例中，只使用零是常見的。

## 車輛識別號碼 (VIN)
<a name="mdis-reference-vin"></a>

**受管資料識別符 ID：** VEHICLE\$1IDENTIFICATION\$1NUMBER

**支援的國家和地區：**任何，如果 VIN 接近下列其中一種語言的關鍵字：英文、法文、德文、立陶宛文、波蘭文、葡萄牙文、羅馬尼亞文或西班牙文。

**需要關鍵字：**是。關鍵字包括： *Fahrgestellnummer, niv, numarul de identificare, numarul seriei de sasiu, numer VIN, Número de Identificação do Veículo, Número de Identificación de Automóviles, numéro d'identification du véhicule, vehicle identification number, vin, VIN numeris*

**註解：**Macie 可以偵測由 17 個字元序列組成的 VINs，並遵守 ISO 3779 和 3780 標準。這些標準是專為全球使用而設計的。

# 建置自訂資料識別符
<a name="custom-data-identifiers"></a>

除了使用 Amazon Macie 提供的受管資料識別符之外，您還可以建置和使用自訂資料識別符。*自訂資料識別符*是您定義的一組條件，用於偵測 Amazon Simple Storage Service (Amazon S3) 物件中的敏感資料。此條件包含規則運算式 (*Regex*)，此表達式定義要比對的文字模式，以及可選擇的字元序列和精簡結果之鄰近性規則。字元序列可以是：*關鍵字*，也就是必須接近符合 regex 文字的單字或片語，或*忽略單字*，也就是要從結果中排除的單字或片語。

透過自訂資料識別符，您可以定義偵測條件，以反映組織的特定案例、智慧財產權或專屬資料。例如，您可以偵測員工 IDs、客戶帳戶號碼或內部資料分類。如果您將[敏感資料探索任務](discovery-jobs.md)或[自動化敏感資料探索](discovery-asdd.md)設定為使用這些識別符，您可以補充 Macie [提供的受管資料識別符](managed-data-identifiers.md)。

除了偵測條件之外，您還可以選擇性地為自訂資料識別符產生的調查結果設定自訂嚴重性設定。根據預設，Macie 會將*中等*嚴重性指派給自訂資料識別符產生的所有調查結果。嚴重性不會根據符合識別符偵測條件的文字出現次數而變更。如果您設定自訂嚴重性設定，嚴重性可以根據符合條件的文字出現次數。

**Topics**
+ [自訂資料識別符的組態選項](cdis-options.md)
+ [建立自訂資料識別碼](cdis-create.md)
+ [刪除自訂資料識別符](cdis-delete.md)

# 自訂資料識別符的組態選項
<a name="cdis-options"></a>

透過使用自訂資料識別符，您可以定義自訂條件，以偵測 Amazon Simple Storage Service (Amazon S3) 物件中的敏感資料。您可以補充 Amazon Macie 提供的[受管資料識別符](managed-data-identifiers.md)，並偵測反映組織特定案例、智慧財產權或專屬資料的敏感資料。

每個自訂資料識別符都會指定偵測條件，以及選擇性指定識別符產生的調查結果嚴重性設定。偵測條件會指定規則表達式，定義要在 S3 物件中比對的文字模式。條件也可以指定字元序列和精簡結果的鄰近規則。嚴重性設定會指定要指派給問題清單的嚴重性。嚴重性可以根據符合識別符偵測條件的文字出現次數。

**Topics**
+ [偵測條件](#cdis-detection-criteria)
+ [問題清單的嚴重性設定](#cdis-finding-severity)

## 偵測條件
<a name="cdis-detection-criteria"></a>

建立自訂資料識別符時，您可以指定規則表達式 (*regex*)，定義要比對的文字模式。您也可以指定字元序列，例如單字和片語，以及精簡結果的鄰近規則。字元序列可以是：*關鍵字*，也就是必須接近符合 regex 的文字的單字或片語，或*忽略單字*，也就是要從結果中排除的單字或片語。

對於 regex，Amazon Macie 支援 [Perl 相容規則表達式 (PCRE) 程式庫](https://www.pcre.org/)提供的模式語法子集。在 PCRE 程式庫提供的建構中，Macie 不支援下列模式元素：
+ 反向參考
+ 擷取群組
+ 條件式模式
+ 內嵌程式碼
+ 全域模式旗標，例如 `/i`、 `/m`和 `/x`
+ 遞迴模式
+ 正面和負面的前瞻和前瞻零寬度聲明，例如 `?=`、`?!`、 `?<=`和 `?<!`

regex 最多可包含 512 個字元。

若要為自訂資料識別符建立有效的 regex 模式，請注意下列秘訣和建議：
+ 只有在您預期模式出現在檔案的開頭或結尾，而不是行的開頭或結尾時，才使用錨點 (`^` 或 `$`)。
+ 基於效能考量，Macie 會限制邊界重複群組的大小。例如， `\d{100,1000}` 不會在 Macie 中編譯 。若要近似此功能，您可以使用開放式重複，例如 `\d{100,}`。
+ 若要使模式大小寫的部分不區分，您可以使用 `(?i)` 建構而非 `/i`旗標。
+ 您不需要手動最佳化字首或輪換。例如，`/hello|hi|hey/`將 變更為 `/h(?:ello|i|ey)/`並不會改善效能。
+ 基於效能考量，Macie 會限制重複的萬用字元數量。例如， `a*b*a*` 不會在 Macie 中編譯 。

為了防止運算式格式錯誤或長時間執行，Macie 會在您建立自訂資料識別符時，針對範例文字的集合自動測試規則運算式模式。如果 regex 發生問題，Macie 會傳回描述問題的錯誤。

除了 regex 之外，您還可以選擇指定字元序列和鄰近規則來精簡結果。

**關鍵字**  
這些是特定的字元序列，必須接近符合規則運算式模式的文字。鄰近需求會根據 S3 物件的儲存格式或檔案類型而有所不同：  
+ **結構化單欄式資料** – 如果文字符合規則運算式模式，且關鍵字位於存放文字的欄位或欄名稱中，或文字在相同欄位或儲存格值中關鍵字的最大相符距離之前和之內，則 Macie 會包含結果。Microsoft Excel 工作手冊、CSV 檔案和 TSV 檔案都是這種情況。
+ **結構化記錄型資料** – 如果文字符合規則運算式模式，且文字位於關鍵字的最大相符距離內，則 Macie 會包含結果。關鍵字可以位於存放文字之欄位或陣列路徑中的 元素名稱中，也可以在存放文字之欄位或陣列中的前面，並且是相同值的一部分。這種情況適用於 Apache Avro 物件容器、Apache Parquet 檔案、JSON 檔案和 JSON Lines 檔案。
+ **非結構化資料** – 如果文字符合規則運算式模式，且文字前面加上關鍵字的最大相符距離內，則 Macie 會包含結果。這種情況適用於 Adobe 可攜式文件格式檔案、Microsoft Word 文件、電子郵件訊息，以及 CSV、JSON、JSON Lines 和 TSV 檔案以外的非二進位文字檔案。這包括這些檔案類型中的任何結構化資料，例如資料表。
您可以指定最多 50 個關鍵字。每個關鍵字可以包含 3–90 個 UTF-8 字元。關鍵字不區分大小寫。

**最大配對距離**  
這是關鍵字的字元型鄰近規則。Macie 使用此設定來判斷關鍵字是否在符合規則運算式模式的文字前面。設定會定義完整關鍵字結尾與符合規則運算式模式的文字結尾之間可存在的字元數上限。如果文字符合下列條件，Macie 會包含結果：  
+ 符合 regex 模式，
+ 在至少一個完整關鍵字後發生，且
+ 在關鍵字的指定距離內發生。
否則，Macie 會從結果中排除文字。  
您可以指定 1–300 個字元的距離。預設距離為 50 個字元。為了獲得最佳結果，此距離應大於 regex 設計用來偵測的最小文字字元數。如果只有部分文字在關鍵字的最大相符距離內，Macie 不會將其包含在結果中。

**忽略單字**  
這些是要從結果中排除的特定字元序列。如果文字符合規則運算式模式，但包含忽略字，則 Macie 不會將其包含在結果中。  
您可以指定最多 10 個忽略單字。每個忽略單字可以包含 4–90 個 UTF-8 字元。忽略單詞需區分大小寫。

**注意**  
在您建立自訂資料識別符之前，強烈建議您使用範例資料來測試和精簡其偵測條件。由於敏感資料探索任務會使用自訂資料識別符，因此您無法在建立自訂資料識別符之後變更自訂資料識別符。這有助於確保您擁有不可變的敏感資料調查結果歷史記錄，以及您執行的資料隱私權和保護稽核或調查的探索結果。  
您可以使用 Amazon Macie 主控台或 Amazon Macie API 來測試偵測條件。若要使用主控台測試條件，請在建立自訂資料識別符時使用**評估**區段中的選項。若要以程式設計方式測試條件，請使用 Amazon Macie API 的 [TestCustomDataIdentifier](https://docs.aws.amazon.com/macie/latest/APIReference/custom-data-identifiers-test.html) 操作。如果您使用的是 AWS Command Line Interface，請執行 [test-custom-data-identifier](https://docs.aws.amazon.com/cli/latest/reference/macie2/test-custom-data-identifier.html) 命令來測試條件。

如需關鍵字如何協助您尋找敏感資料並避免誤報的示範，請觀看下列影片：




## 問題清單的嚴重性設定
<a name="cdis-finding-severity"></a>

當您建立自訂資料識別符時，您也可以為識別符產生的敏感資料調查結果指定自訂嚴重性設定。根據預設，Amazon Macie 會將*中等*嚴重性指派給自訂資料識別符產生的所有調查結果。如果 S3 物件包含至少一個符合偵測條件的文字，Macie 會自動將*中*嚴重性指派給產生的調查結果。

使用自訂嚴重性設定，您可以根據符合偵測條件的文字出現次數來指定要指派的嚴重性。您可以定義最多三個嚴重性層級*的出現閾值*：*低* （最不嚴重）、*中*和*高* （最嚴重）。*出現閾值*是 S3 物件中必須存在才能產生具有指定嚴重性之調查結果的相符項目數量下限。如果您指定多個閾值，則閾值必須依嚴重性遞增，從*低*到*高*。

例如，下圖顯示指定三個出現閾值的嚴重性設定，每個 Macie 支援的嚴重性等級各一個。

![\[指定低、中和高嚴重性層級出現閾值的嚴重性設定。\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/scrn-cdi-severity.png)


下表指出自訂資料識別符產生的調查結果嚴重性。


| 發生閾值 | 嚴重性等級 | 結果 | 
| --- | --- | --- | 
| 1 | 低 | 如果 S3 物件包含 1-49 個符合偵測條件的文字出現次數，則結果調查結果的嚴重性為低。 | 
| 50 | 中 | 如果 S3 物件包含 50–99 個符合偵測條件的文字，則結果調查結果的嚴重性為中。 | 
| 100 | 高 | 如果 S3 物件包含 100 個或多個符合偵測條件的文字，則結果調查結果的嚴重性為高。 | 

您也可以使用嚴重性設定來指定是否完全建立問題清單。如果 S3 物件的出現次數少於最低出現次數閾值，Macie 不會建立問題清單。

# 建立自訂資料識別碼
<a name="cdis-create"></a>

*自訂資料識別符*是您定義的一組條件，用於偵測 Amazon Simple Storage Service (Amazon S3) 物件中的敏感資料。當您建立自訂資料識別符時，您可以指定規則表達式 (*regex*)，定義要在 S3 物件中比對的文字模式。您也可以指定字元序列和精簡結果的鄰近規則。字元序列可以是：*關鍵字*，也就是必須接近符合 regex 文字的單字或片語，或*忽略單字*，也就是要從結果中排除的單字或片語。透過使用自訂資料識別符，您可以補充 Amazon Macie 提供的[受管資料識別符](managed-data-identifiers.md)，並偵測反映組織特定案例、智慧財產權或專屬資料的敏感資料。

例如，許多公司都有員工 IDs 的特定語法。這類語法之一可能是：大寫字母，指出員工是全職 (*F*) 還是兼職 (*P*) 員工，後面接著連字號 (–)，後面接著識別員工的八位數序列。範例如下：全職員工為 *F–12345678*，兼職員工為 *P–87654321*。若要偵測使用此語法的員工 IDs，您可以建立自訂資料識別符來指定下列 regex：`[A-Z]-\d{8}`。若要精簡分析並避免誤報，您也可以將識別符設定為使用關鍵字 (`employee` 和 `employee ID`)，且配對距離上限為 20 個字元。使用這些條件時，如果文字發生在關鍵字*員工*或*員工 ID* 之後，且所有文字都發生在其中一個關鍵字的 20 個字元內，則結果會包含符合 regex 的文字。

如需關鍵字如何協助您尋找敏感資料並避免誤報的示範，請觀看下列影片：




除了偵測條件之外，您還可以選擇性地為自訂資料識別符產生的調查結果指定自訂嚴重性設定。嚴重性可以根據符合識別符偵測條件的文字出現次數。如果您未指定這些設定，Macie 會自動將*中等*嚴重性指派給識別符產生的所有調查結果。嚴重性不會根據符合識別符偵測條件的文字出現次數而變更。

如需這些和其他設定的詳細資訊，請參閱 [自訂資料識別符的組態選項](cdis-options.md)。

**建立自訂資料識別符**  
您可以使用 Amazon Macie 主控台或 Amazon Macie API 建立自訂資料識別符。

------
#### [ Console ]

請依照下列步驟，使用 Amazon Macie 主控台建立自訂資料識別符。

**建立自訂資料識別符**

1. 在 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。

1. 在導覽窗格中的設定下****，選擇**自訂資料識別符**。

1. 選擇**建立**。

1. 在**名稱**中，輸入自訂資料識別符的名稱。該名稱最多可包含 128 個字元。

1. 針對**描述**，選擇性輸入自訂資料識別符的簡短描述。該描述最多可包含 512 個字元。
**注意**  
避免在自訂資料識別符的名稱或描述中包含敏感資料。根據允許在 Macie 中執行的動作，您帳戶的其他使用者可能可以存取名稱或描述。

1. 針對**規則表達**式，輸入定義要比對之文字模式的規則表達式 (*regex*)。regex 最多可包含 512 個字元。

   Macie 支援 [Perl 相容規則表達式 (PCRE) 程式庫](https://www.pcre.org/)提供的模式語法子集。如需其他詳細資訊和秘訣，請參閱[自訂資料識別符的偵測條件](cdis-options.md#cdis-detection-criteria)。

1. 對於**關鍵字**，選擇性地輸入最多 50 個字元的序列 （以逗號分隔），以定義必須與符合規則運算式模式的文字相鄰的特定文字。

   只有當文字符合規則運算式模式，且文字位於其中一個關鍵字的最大相符距離內時，Macie 才會在結果中出現 。每個關鍵字可以包含 3–90 個 UTF-8 字元。關鍵字不區分大小寫。

1. 對於**忽略單字**，選擇性地輸入最多 10 個字元序列 （以逗號分隔），定義要從結果中排除的特定文字。

   如果文字符合規則運算式模式，但其中包含其中一個忽略單字，則 Macie 會從結果中排除出現。每個忽略單字可以包含 4–90 個 UTF-8 字元。忽略單詞需區分大小寫。

1. 針對**最大相符距離**，選擇性地輸入關鍵字結尾與符合規則運算式模式的文字結尾之間可存在的字元數上限。

   Macie 只有在文字符合規則運算式模式，且文字位於完整關鍵字的這個距離內時，才會在結果中出現 。距離可以是 1–300 個字元。預設距離為 50 個字元。

1. 針對**嚴重性**，選擇如何判斷自訂資料識別符產生的敏感資料調查結果嚴重性：
   + 若要自動將*中等*嚴重性指派給所有調查結果，請**針對任意數量的相符項目選擇使用中等嚴重性 （預設）**。使用此選項時，如果受影響的 S3 物件包含一或多個符合偵測條件的文字出現次數，Macie 會自動將*媒體*嚴重性指派給調查結果。
   + 若要根據您指定的出現次數閾值指派嚴重性，請選擇**使用自訂設定來判斷嚴重性**。然後使用**發生閾值**和**嚴重性層級**選項，指定 S3 物件中必須存在的相符項目數量下限，以產生具有所選嚴重性的問題清單。

     您可以指定最多三個出現閾值，Macie 支援的每個嚴重性等級各一個閾值：*低* （最不嚴重）、*中*或*高* （最嚴重）。如果您指定多個，則閾值必須依嚴重性遞增，從*低*到*高*。如果 S3 物件包含的次數少於最低閾值，Macie 不會建立問題清單。

1. （選用） 針對**標籤**，選擇**新增標籤**，然後輸入最多 50 個要指派給自訂資料識別符的標籤。

    *標籤* 是您定義並指派給特定資源類型的標籤 AWS 。每個標籤都是由必要的標籤索引鍵和選用的標籤值所組成。標籤可協助您以不同方式識別、分類和管理資源，例如透過用途、擁有者、環境或其他條件。如需詳細資訊，請參閱 [標記 Macie 資源](tagging-resources.md)。

1. （選用） 針對**評估**，在**範例資料**方塊中輸入最多 1，000 個字元，然後選擇**測試**以測試偵測條件。Macie 會評估範例資料，並報告符合條件的文字出現次數。您可以重複此步驟任意次數，以精簡和最佳化條件。
**注意**  
我們強烈建議您使用範例資料來測試和精簡偵測條件。由於敏感資料探索任務會使用自訂資料識別符，因此您無法在建立自訂資料識別符之後變更自訂資料識別符。這有助於確保您擁有敏感資料調查結果和探索結果的不可變歷程記錄。  
由於 Macie 在處理結構化記錄時套用其他邏輯，**因此評估**方塊傳回的比對計數在某些情況下可能會與任務產生的結果不同。

1. 完成後，請選擇**提交**。

Macie 會測試設定，並驗證是否可以編譯 regex。如果設定或 regex 發生問題，Macie 會顯示描述問題的錯誤。解決任何問題後，您可以儲存自訂資料識別符。

------
#### [ API ]

若要以程式設計方式建立自訂資料識別符，請使用 Amazon Macie API 的 [CreateCustomDataIdentifier](https://docs.aws.amazon.com/macie/latest/APIReference/custom-data-identifiers.html) 操作。或者，如果您使用的是 AWS Command Line Interface (AWS CLI)，請執行 [create-custom-data-identifier](https://docs.aws.amazon.com/cli/latest/reference/macie2/create-custom-data-identifier.html) 命令。

**注意**  
建立自訂資料識別符之前，強烈建議您使用範例資料來測試和精簡其偵測條件。由於敏感資料探索任務會使用自訂資料識別符，因此您無法在建立自訂資料識別符之後變更自訂資料識別符。這有助於確保您擁有敏感資料調查結果和探索結果的不可變歷程記錄。  
若要以程式設計方式測試條件，您可以使用 Amazon Macie API 的 [TestCustomDataIdentifier](https://docs.aws.amazon.com/macie/latest/APIReference/custom-data-identifiers-test.html) 操作。此操作提供使用偵測條件評估範例資料的環境。如果您使用的是 AWS CLI，您可以執行 [test-custom-data-identifier](https://docs.aws.amazon.com/cli/latest/reference/macie2/test-custom-data-identifier.html) 命令來測試條件。

當您準備好建立自訂資料識別符時，請使用下列參數來定義其偵測條件：
+ `regex` – 指定規則表達式 (*regex*)，定義要比對的文字模式。regex 最多可包含 512 個字元。

  Macie 支援 [Perl 相容規則表達式 (PCRE) 程式庫](https://www.pcre.org/)提供的模式語法子集。如需其他詳細資訊和秘訣，請參閱[自訂資料識別符的偵測條件](cdis-options.md#cdis-detection-criteria)。
+ `keywords` – 選擇性地指定 1-50 個字元序列 (*關鍵字*)，該序列必須接近符合規則運算式模式的文字。

  Macie 只有在文字符合規則運算式模式，且文字位於其中一個關鍵字的最大相符距離內時，才會在結果中出現 。每個關鍵字可以包含 3–90 個 UTF-8 字元。關鍵字不區分大小寫。
+ `maximumMatchDistance` – 選擇性地指定關鍵字結尾與符合規則運算式模式的文字結尾之間可存在的字元數上限。如果您使用的是 AWS CLI，請使用 `maximum-match-distance` 參數來指定此值。

  Macie 只有在文字符合規則運算式模式，且文字位於完整關鍵字的這個距離內時，才會在結果中出現 。距離可以是 1–300 個字元。預設距離為 50 個字元。
+ `ignoreWords` – 選擇性地指定 1-10 個字元序列 (*忽略單字*) 以從結果中排除。如果您使用的是 AWS CLI，請使用 `ignore-words` 參數來指定這些字元序列。

  如果文字符合規則運算式模式，但其中包含其中一個忽略單字，則 Macie 會從結果中排除出現。每個忽略單字可以包含 4–90 個 UTF-8 字元。忽略單詞需區分大小寫。

若要指定自訂資料識別符產生的敏感資料調查結果的嚴重性，請使用 `severityLevels` 參數，或者，如果您使用的是 AWS CLI參數`severity-levels`：
+ 若要自動將`MEDIUM`嚴重性指派給所有調查結果，請省略此參數。Macie 接著會使用預設設定。根據預設，如果受影響的 S3 物件包含一或多個符合偵測條件的文字出現次數，Macie 會將`MEDIUM`嚴重性指派給問題清單。
+ 若要根據您指定的出現閾值指派嚴重性，請指定 S3 物件中必須存在的相符項目數量下限，以產生具有指定嚴重性的問題清單。

  您可以指定最多三個出現閾值，Macie 支援的每個嚴重性等級各一個閾值： `LOW`（最不嚴重）`MEDIUM`、 或 `HIGH`（最嚴重）。如果您指定多個，則閾值必須依嚴重性遞增，從 移至 `LOW` `HIGH`。如果 S3 物件包含的次數少於最低閾值，Macie 不會建立問題清單。

使用其他參數來指定自訂資料識別符的名稱和其他設定，例如標籤。避免在這些設定中包含敏感資料。根據允許在 Macie 中執行的動作，您帳戶的其他使用者可能可以存取這些值。

當您提交請求時，Macie 會測試設定並驗證它是否可以編譯 regex。如果設定或 regex 發生問題，請求會失敗，Macie 會傳回說明問題的訊息。如果請求成功，您會收到類似以下的輸出：

```
{
    "customDataIdentifierId": "393950aa-82ea-4bdc-8f7b-e5be3example"
}
```

其中 `customDataIdentifierId`會指定所建立自訂資料識別符的唯一識別符 (ID)。

若要後續擷取和檢閱自訂資料識別符的設定，請使用 [GetCustomDataIdentifier](https://docs.aws.amazon.com/macie/latest/APIReference/custom-data-identifiers-id.html) 操作，或者，如果您使用的是 AWS CLI，請執行 [get-custom-data-identifier](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-custom-data-identifier.html) 命令。針對 `id` 參數，指定自訂資料識別符的 ID。

下列範例示範如何使用 AWS CLI 來建立自訂資料識別符。這些範例會建立自訂資料識別符，旨在偵測使用特定語法且在指定關鍵字附近的員工 IDs。這些範例也會為識別符產生的調查結果定義自訂嚴重性設定。

此範例已針對 Linux、macOS 或 Unix 格式化，並使用反斜線 (\$1) 行接續字元來改善可讀性。

```
$ aws macie2 create-custom-data-identifier \
--name "EmployeeIDs" \
--regex "[A-Z]-\d{8}" \
--keywords '["employee","employee ID"]' \
--maximum-match-distance 20 \
--severity-levels '[{"occurrencesThreshold":1,"severity":"LOW"},{"occurrencesThreshold":50,"severity":"MEDIUM"},{"occurrencesThreshold":100,"severity":"HIGH"}]' \
--description "Detects employee IDs in proximity of a keyword." \
--tags '{"Stack":"Production"}'
```

此範例已針對 Microsoft Windows 進行格式化，並使用八進制 (^) 換行字元來改善可讀性。

```
C:\> aws macie2 create-custom-data-identifier ^
--name "EmployeeIDs" ^
--regex "[A-Z]-\d{8}" ^
--keywords "[\"employee\",\"employee ID\"]" ^
--maximum-match-distance 20 ^
--severity-levels "[{\"occurrencesThreshold\":1,\"severity\":\"LOW\"},{\"occurrencesThreshold\":50,\"severity\":\"MEDIUM\"},{\"occurrencesThreshold\":100,\"severity\":\"HIGH\"}]" ^
--description "Detects employee IDs in proximity of a keyword." ^
--tags={\"Stack\":\"Production\"}
```

其中：
+ `EmployeeIDs` 是自訂資料識別符的名稱。
+ `[A-Z]-\d{8}` 是要比對的文字模式的 regex。
+ `employee` 和 `employee ID`是關鍵字，必須接近符合 regex 模式的文字。
+ `20` 是關鍵字結尾與符合規則運算式模式的文字結尾之間可存在的最大字元數。
+ `description` 指定自訂資料識別符的簡短描述。
+ `severity-levels` 針對自訂資料識別符產生的調查結果嚴重性，定義自訂出現閾值：`LOW`1-49 次出現；`MEDIUM`50-99 次出現；以及 `HIGH` 100 次或更多次出現。
+ `Stack` 是要指派給自訂資料識別符之標籤的標籤索引鍵。 `Production`是指定標籤索引鍵的標籤值。

------

建立自訂資料識別符後，您可以[建立和設定敏感資料探索任務](discovery-jobs-create.md)來使用它，或[將其新增至您的設定，以進行自動敏感資料探索](discovery-asdd-account-configure.md)。

# 刪除自訂資料識別符
<a name="cdis-delete"></a>

建立自訂資料識別符後，您可以將其刪除。如果您這樣做，Amazon Macie 軟體會刪除自訂資料識別符。這表示您的 帳戶仍會保留自訂資料識別符的記錄，但會標示為已刪除。如果自訂資料識別符具有此狀態，則您無法設定新的敏感資料探索任務來使用它，或將其新增至自動敏感資料探索的設定。此外，您無法再使用 Amazon Macie 主控台存取它。不過，您可以使用 Amazon Macie API 擷取其設定。如果您刪除自訂資料識別符，它不會計入您帳戶的自訂資料識別符配額。

如果您將敏感資料探索任務設定為使用您後續刪除的自訂資料識別符，該任務將按排程執行，並繼續使用自訂資料識別符。這表示您的任務結果，包括敏感資料調查結果和敏感資料探索結果，都會報告符合識別符條件的文字。這有助於確保您擁有不可變的敏感資料調查結果歷史記錄，以及您執行的資料隱私權和保護稽核或調查的探索結果。

同樣地，如果您將自動敏感資料探索設定為使用您後續刪除的自訂資料識別符，則每日分析週期將繼續並繼續使用自訂資料識別符。這表示敏感資料調查結果、統計資料和其他類型的結果將繼續報告符合識別符條件的文字。

在您刪除自訂資料識別符之前，請執行下列動作，以防止 Macie 在後續分析週期和任務執行期間使用該識別符：
+ 檢查您的設定是否有自動敏感資料探索。如果您已將自訂資料識別符新增至這些設定，請將其移除。如需詳細資訊，請參閱[設定自動敏感資料探索的設定](discovery-asdd-account-configure.md)。
+ 檢閱您的任務庫存，以識別使用自訂資料識別符並排定在未來執行的任務。如果您希望任務停止使用自訂資料識別符，您可以取消任務。然後建立任務的副本、調整副本的設定，並將副本儲存為新任務。如需詳細資訊，請參閱[管理敏感資料探索任務](discovery-jobs-manage.md)。

也建議您記下 Macie 指派給自訂資料識別符的唯一識別符 (ID)。如果您稍後想要檢閱自訂資料識別符的設定，您將需要此 ID。

完成上述任務後，請刪除自訂資料識別符。

**刪除自訂資料識別符**  
您可以使用 Amazon Macie 主控台或 Amazon Macie API 刪除自訂資料識別符。

------
#### [ Console ]

請依照下列步驟，使用 Amazon Macie 主控台刪除自訂資料識別符。

**刪除自訂資料識別符**

1. 開啟位於 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 的 Amazon Macie 主控台。

1. 在導覽窗格中的設定下****，選擇**自訂資料識別符**。

1. 若要記下您要刪除之自訂資料識別符的唯一識別符 (ID)，請選擇自訂資料識別符的名稱。在出現的頁面上，**ID** 方塊會顯示此 ID。記下 ID 之後，請在導覽窗格中再次選擇**自訂資料識別符**。

1. 在**自訂資料識別符**頁面上，選取要刪除之自訂資料識別符的核取方塊。

1. 在**操作**功能表上，選擇**刪除**。

1. 出現確認提示時，請選擇**確定**。

------
#### [ API ]

若要以程式設計方式刪除自訂資料識別符，請使用 Amazon Macie API 的 [DeleteCustomDataIdentifier](https://docs.aws.amazon.com/macie/latest/APIReference/custom-data-identifiers-id.html) 操作。或者，如果您使用的是 AWS Command Line Interface (AWS CLI)，請執行 [delete-custom-data-identifier](https://docs.aws.amazon.com/cli/latest/reference/macie2/delete-custom-data-identifier.html) 命令。

針對 `id` 參數，指定您要刪除之自訂資料識別符的唯一識別符 (ID)。您可以使用 [ListCustomDataIdentifiers](https://docs.aws.amazon.com/macie/latest/APIReference/custom-data-identifiers-list.html) 操作來取得此 ID。此操作會擷取您帳戶自訂資料識別符的相關資訊子集。如果您使用的是 AWS CLI，您可以執行 [list-custom-data-identifiers](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-custom-data-identifiers.html) 命令來擷取此資訊。

下列範例示範如何使用 刪除自訂資料識別符 AWS CLI。

```
$ aws macie2 delete-custom-data-identifier --id 393950aa-82ea-4bdc-8f7b-e5be3example
```

其中 *393950aa-82ea-4bdc-8f7b-e5be3example* 是自訂資料識別符要刪除的 ID。

如果請求成功，Macie 會傳回空的 HTTP 200 回應。否則，Macie 會傳回 HTTP 4*xx* 或 500 回應，指出請求失敗的原因。

------

若要在刪除自訂資料識別符後檢閱其設定，請使用 Amazon Macie API 的 [GetCustomDataIdentifier](https://docs.aws.amazon.com/macie/latest/APIReference/custom-data-identifiers-id.html) 操作。或者，如果您使用的是 AWS CLI，請執行 [get-custom-data-identifier](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-custom-data-identifier.html) 命令。針對 `id` 參數，指定自訂資料識別符的 ID。刪除自訂資料識別符後，您就無法使用 Amazon Macie 主控台存取其設定。

# 使用允許清單定義敏感資料例外狀況
<a name="allow-lists"></a>

透過 Amazon Macie 中的允許清單，您可以定義您希望 Macie 在檢查 Amazon Simple Storage Service (Amazon S3) 物件是否有敏感資料時忽略的特定文字和文字模式。這些通常是您特定案例或環境的敏感資料例外狀況。如果資料符合允許清單中的文字或文字模式，Macie 不會報告資料。即使資料符合[受管資料識別符](managed-data-identifiers.md)或[自訂資料識別符](custom-data-identifiers.md)的條件，也是如此。透過使用允許清單，您可以精簡 Amazon S3 資料的分析並減少雜訊。

您可以在 Macie 中建立和使用兩種類型的允許清單：
+ **預先定義文字** – 針對此類型的清單，您可以指定要忽略的特定字元序列。例如，您可以為組織指定公有代表的名稱、特定電話號碼，或組織用於測試的特定範例資料。如果您使用此類型的清單，Macie 會忽略完全符合清單中項目的文字。

  如果您想要指定不敏感、不太可能變更且不一定遵循常見模式的單字、片語和其他類型的字元序列，這種類型的允許清單會很有用。
+ **規則表達**式 – 對於此類型的清單，您可以指定規則表達式 (*regex*)，定義要忽略的文字模式。例如，您可以指定組織的公有電話號碼模式、組織網域的電子郵件地址，或組織用於測試的模式範例資料。如果您使用此類型的清單，Macie 會忽略完全符合清單所定義模式的文字。

  如果您想要指定不敏感但不同或可能變更的文字，同時遵守常見的模式，這種類型的允許清單很有用。

建立允許清單後，您可以[建立和設定敏感資料探索任務](discovery-jobs-create.md)來使用它，或[將其新增至您的設定，以進行自動化敏感資料探索](discovery-asdd-account-configure.md)。然後，Macie 會在分析資料時使用 清單。如果 Macie 在允許清單中找到符合項目或模式的文字，Macie 不會報告敏感資料調查結果、統計資料和其他類型結果中出現的文字。

您可以在目前可使用 AWS 區域 Macie 的所有 中管理和使用允許清單，亞太區域 （大阪） 區域除外。

**Topics**
+ [允許清單的組態選項](allow-lists-options.md)
+ [建立允許清單](allow-lists-create.md)
+ [檢查允許清單的狀態](allow-lists-status-check.md)
+ [變更允許清單](allow-lists-change.md)
+ [刪除允許清單](allow-lists-delete.md)

# 允許清單的組態選項和要求
<a name="allow-lists-options"></a>

在 Amazon Macie 中，您可以使用允許清單來指定您希望 Macie 在檢查 Amazon Simple Storage Service (Amazon S3) 物件是否有敏感資料時忽略的文字或文字模式。Macie 提供兩種允許清單類型的選項：預先定義的文字和規則表達式。

如果您希望 Macie 忽略不認為敏感的特定單字、片語和其他類型的字元序列，預先定義文字清單會很有幫助。例如：您組織的公有代表名稱、特定電話號碼，或組織用於測試的特定範例資料。如果 Macie 找到符合受管或自訂資料識別符條件的文字，且文字也符合允許清單中的項目，則 Macie 不會報告敏感資料調查結果、統計資料和其他類型結果中出現的文字。

如果您希望 Macie 忽略不同或可能變更的文字，同時同時遵守常見的模式，則規則表達式 (*regex*) 很有用。regex 會指定要忽略的文字模式。範例包括：組織的公有電話號碼、組織網域的電子郵件地址，或組織用於測試的模式化範例資料。如果 Macie 找到符合受管或自訂資料識別符條件的文字，且文字也符合允許清單中的規則運算式模式，則 Macie 不會報告敏感資料調查結果、統計資料和其他類型結果中出現的文字。

您可以在目前可使用 AWS 區域 Macie 的所有 中建立和使用這兩種類型的允許清單，但亞太區域 （大阪） 區域除外。當您建立和管理允許清單時，請記住下列選項和要求。另請注意，不支援列出郵寄地址的項目和規則運算式模式。

**Contents**
+ [預先定義文字清單的選項和需求](#allow-lists-options-s3list)
  + [語法需求](#allow-lists-options-s3list-syntax)
  + [儲存需求](#allow-lists-options-s3list-storage)
  + [加密/解密要求](#allow-lists-options-s3list-encryption)
  + [設計考量事項和建議](#allow-lists-options-s3list-notes)
+ [規則表達式的選項和要求](#allow-lists-options-regex)
  + [語法支援和建議](#allow-lists-options-regex-syntax)
  + [範例](#allow-lists-options-regex-examples)

## 預先定義文字清單的選項和需求
<a name="allow-lists-options-s3list"></a>

對於這種類型的允許清單，您可以提供以行分隔的純文字檔案，列出要忽略的特定字元序列。清單項目通常是單字、片語和其他類型的字元序列，您不認為是敏感、不太可能變更，而且不一定遵守特定模式。如果您使用此類型的清單，Amazon Macie 不會報告與清單中的項目完全相符的文字出現。Macie 會將每個清單項目視為字串常值。

若要使用此類型的允許清單，請先在文字編輯器中建立清單，並將其儲存為純文字檔案。然後將清單上傳至 S3 一般用途儲存貯體。同時確保儲存貯體和物件的儲存和加密設定允許 Macie 擷取和解密清單。然後在 Macie [中建立和設定清單的設定](allow-lists-create.md)。

在 Macie 中設定設定後，建議您使用帳戶或組織的一組小型代表性資料來測試允許清單。若要測試清單，您可以[建立一次性任務](discovery-jobs-create.md)。除了您通常用來分析資料的受管和自訂資料識別符之外，設定任務以使用 清單。然後，您可以檢閱任務的結果：敏感資料調查結果、敏感資料探索結果，或兩者。如果任務的結果與您預期的結果不同，您可以變更並測試清單，直到結果符合您預期為止。

完成設定和測試允許清單後，您可以建立和設定其他任務來使用它，或將其新增至您的設定，以進行自動敏感資料探索。當這些任務開始執行或下一個自動探索分析週期開始時，Macie 會從 Amazon S3 擷取最新版本的清單，並將其存放在臨時記憶體中。然後，Macie 會在檢查 S3 物件是否有敏感資料時，使用此清單的暫時複本。當任務完成執行或分析週期完成時，Macie 會從記憶體永久刪除其清單複本。清單不會保留在 Macie 中。只有清單的設定會保留在 Macie 中。

**重要**  
由於預先定義的文字清單不會保留在 Macie 中，請務必定期[檢查允許清單的狀態](allow-lists-status-check.md)。如果 Macie 無法擷取或剖析您設定任務或自動探索使用的清單，Macie 不會使用該清單。這可能會產生非預期的結果，例如您在清單中指定的文字的敏感資料問題清單。

**Topics**
+ [語法需求](#allow-lists-options-s3list-syntax)
+ [儲存需求](#allow-lists-options-s3list-storage)
+ [加密/解密要求](#allow-lists-options-s3list-encryption)
+ [設計考量事項和建議](#allow-lists-options-s3list-notes)

### 語法需求
<a name="allow-lists-options-s3list-syntax"></a>

當您建立此類型的允許清單時，請注意清單檔案的下列需求：
+ 清單必須儲存為純文字 (`text/plain`) 檔案，例如 .txt、.text 或 .plain 檔案。
+ 清單必須使用換行符號來分隔個別項目。例如：

  ```
  Akua Mansa
  John Doe
  Martha Rivera
  425-555-0100
  425-555-0101
  425-555-0102
  ```

  Macie 會將每行視為清單中單一且不同的項目。檔案也可以包含空白行，以改善可讀性。Macie 在剖析檔案時略過空白行。
+ 每個項目可包含 1–90 個 UTF–8 個字元。
+ 每個項目都必須是完整且完全相符，文字才能忽略。Macie 不支援對項目使用萬用字元或部分值。Macie 會將每個項目視為字串常值。相符的項目不區分大小寫。
+ 檔案可包含 1–100，000 個項目。
+ 檔案的總儲存大小不得超過 35 MB。

### 儲存需求
<a name="allow-lists-options-s3list-storage"></a>

當您在 Amazon S3 中新增和管理允許清單時，請注意下列儲存需求和建議：
+ **區域支援** – 允許清單必須存放在與您的 Macie 帳戶 AWS 區域 位於相同 的儲存貯體中。如果允許清單存放在不同的 區域，則 Macie 無法存取該清單。
+ **儲存貯體擁有**權 – 允許清單必須存放在 擁有的儲存貯體中 AWS 帳戶。如果您希望其他帳戶使用相同的允許清單，請考慮建立 Amazon S3 複寫規則，將清單複寫到這些帳戶擁有的儲存貯體。如需有關複寫 S3 物件的資訊，請參閱《*Amazon Simple Storage Service 使用者指南*》中的[複寫物件](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication.html)。

  此外，您的 AWS Identity and Access Management (IAM) 身分必須具有儲存清單的儲存貯體和物件的讀取存取權。否則，您將無法建立或更新清單的設定，或使用 Macie 檢查清單的狀態。
+ **儲存類型和類別** – 允許清單必須存放在一般用途儲存貯體中，而非目錄儲存貯體。此外，必須使用下列其中一個儲存類別來存放：降低備援 (RRS)、S3 Glacier Instant Retrieval、S3 Intelligent-Tiering、S3 One Zone-IA、S3 Standard 或 S3 Standard-IA。
+ **儲存貯體政策** – 如果您將允許清單存放在具有限制性儲存貯體政策的儲存貯體中，請確定政策允許 Macie 擷取清單。若要這樣做，您可以將 Macie 服務連結角色的條件新增至儲存貯體政策。如需詳細資訊，請參閱[允許 Macie 存取 S3 儲存貯體和物件](monitoring-restrictive-s3-buckets.md)。

  此外，請確定政策允許您的 IAM 身分具有儲存貯體的讀取存取權。否則，您將無法建立或更新清單的設定，或使用 Macie 檢查清單的狀態。
+ **物件路徑** – 如果您在 Amazon S3 中存放多個允許清單，則每個清單的物件路徑必須是唯一的。換句話說，每個允許清單都必須分別存放在自己的 S3 物件中。
+ **版本控制** – 當您將允許清單新增至儲存貯體時，我們建議您也啟用儲存貯體的版本控制。然後，您可以使用日期和時間值，將清單的版本與使用該清單的敏感資料探索任務和自動化敏感資料探索週期的結果建立關聯。這可協助您執行資料隱私權和保護稽核或調查。
+ **物件鎖定** – 若要防止在特定時間長度或無限期內刪除或覆寫允許清單，您可以為存放清單的儲存貯體啟用物件鎖定。啟用此設定不會阻止 Macie 存取清單。如需此設定的相關資訊，請參閱《*Amazon Simple Storage Service 使用者指南*》中的[使用物件鎖定鎖定物件](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock.html)。

### 加密/解密要求
<a name="allow-lists-options-s3list-encryption"></a>

如果您在 Amazon S3 中加密允許清單，[Macie 服務連結角色](service-linked-roles.md)的許可政策通常會授予 Macie 解密清單所需的許可。不過，這取決於使用的加密類型：
+ 如果使用伺服器端加密搭配 Amazon S3 受管金鑰 (SSE-S3) 來加密清單，Macie 可以解密清單。Macie 帳戶的服務連結角色會授予 Macie 所需的許可。
+ 如果使用伺服器端加密搭配 AWS 受 AWS KMS key 管 (DSSE-KMS 或 SSE-KMS) 來加密清單，Macie 可以解密清單。Macie 帳戶的服務連結角色會授予 Macie 所需的許可。
+ 如果使用伺服器端加密搭配客戶受管 AWS KMS key (DSSE-KMS 或 SSE-KMS) 來加密清單，則只有當您允許 Macie 使用金鑰時，Macie 才能解密清單。若要了解如何操作，請參閱 [允許 Macie 使用客戶受管 AWS KMS key](discovery-supported-encryption-types.md#discovery-supported-encryption-cmk-configuration)。
**注意**  
您可以使用外部金鑰存放區 AWS KMS key 中受管的客戶來加密清單。不過，相較於完全在其中管理的金鑰，金鑰可能較慢且較不可靠 AWS KMS。如果延遲或可用性問題阻止 Macie 解密清單，Macie 分析 S3 物件時不會使用該清單。這可能會產生非預期的結果，例如您在清單中指定的文字的敏感資料問題清單。若要降低此風險，請考慮將清單儲存在設定為使用金鑰做為 S3 儲存貯體金鑰的 S3 儲存貯體中。  
如需有關在外部金鑰存放區中使用 KMS 金鑰的資訊，請參閱《 *AWS Key Management Service 開發人員指南*》中的[外部金鑰存放](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-external.html)區。如需有關使用 S3 儲存貯體金鑰的資訊，請參閱《[Amazon Simple Storage Service 使用者指南》中的使用 Amazon S3 儲存貯體金鑰降低 SSE-KMS 的成本](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html)。 **
+ 如果使用伺服器端加密搭配客戶提供的金鑰 (SSE-C) 或用戶端加密來加密清單，Macie 就無法解密清單。請考慮改用 SSE-S3、DSSE-KMS 或 SSE-KMS 加密。

如果清單使用 AWS 受管 KMS 金鑰或客戶受管 KMS 金鑰加密，則您的 AWS Identity and Access Management (IAM) 身分也必須允許 使用金鑰。否則，您將無法建立或更新清單的設定，或使用 Macie 檢查清單的狀態。若要了解如何檢查或變更 KMS 金鑰的許可，請參閱《 *AWS Key Management Service 開發人員指南*》中的 中的[金鑰政策 AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)。

如需 Amazon S3 資料加密選項的詳細資訊，請參閱《*Amazon Simple Storage Service 使用者指南*》中的[使用加密保護資料](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingEncryption.html)。

### 設計考量事項和建議
<a name="allow-lists-options-s3list-notes"></a>

一般而言，Macie 會將允許清單中的每個項目視為字串常值。也就是說，Macie 會忽略每個完全符合允許清單中完整項目的文字出現。相符的項目不區分大小寫。

不過，Macie 會使用項目做為較大資料擷取和分析架構的一部分。此架構包含機器學習和模式比對函數，這些函數會考量文法和語法變化等維度，在許多情況下還會考慮關鍵字鄰近性。框架也會考量 S3 物件的檔案類型或儲存格式。因此，當您在允許清單中新增和管理項目時，請謹記下列考量事項和建議。

**準備不同的檔案類型和儲存格式**  
對於 Adobe 可攜式文件格式 (.pdf) 檔案中的文字等非結構化資料，Macie 會忽略完全符合允許清單中完整項目的文字，包括跨越多行或頁面的文字。  
對於結構化資料，例如 CSV 檔案中的單欄式資料或 JSON 檔案中的記錄型資料，如果所有文字都存放在單一欄位、儲存格或陣列中，Macie 會忽略完全符合允許清單中完整項目的文字。此要求不適用於存放在其他非結構化檔案中的結構化資料，例如 .pdf 檔案中的資料表。  
例如，請考慮 CSV 檔案中的下列內容：  

```
Name,Account ID
Akua Mansa,111111111111
John Doe,222222222222
```
如果 `Akua Mansa`和 `John Doe`是允許清單中的項目，Macie 會忽略 CSV 檔案中的名稱。每個清單項目的完整文字都存放在單一`Name`欄位中。  
相反地，請考慮包含下列資料欄和欄位的 CSV 檔案：  

```
First Name,Last Name,Account ID
Akua,Mansa,111111111111
John,Doe,222222222222
```
如果 `Akua Mansa`和 `John Doe`是允許清單中的項目，Macie 不會忽略 CSV 檔案中的名稱。CSV 檔案中的任何欄位都不會包含允許清單中項目的完整文字。

**包含常見變化**  
新增數字資料、適當名詞、詞彙和英數字元序列的常見變化項目。例如，如果您新增的名稱或片語在單字之間只包含一個空格，則也新增在單字之間包含兩個空格的變體。同樣地，新增執行和不包含特殊字元的單字和片語，並考慮包含常見的語法和語意變化。  
例如，對於美國電話號碼 *425-555-0100*，您可以將這些項目新增至允許清單：  

```
425-555-0100
425.555.0100
(425) 555-0100
+1-425-555-0100
```
對於多國內容中的 *2022 年 2 月 1* 日，您可以新增包含英文和法文常見語法變化的項目，包括執行和不包含特殊字元的變化：  

```
February 1, 2022
1 février 2022
1 fevrier 2022
Feb 01, 2022
1 fév 2022
1 fev 2022
02/01/2022
01/02/2022
```
對於人員名稱，請包含您不認為敏感的名稱的各種形式的項目。例如，包括：名字後跟姓氏；姓氏後跟名字、名字和姓氏以一個空格分隔；名字和姓氏以兩個空格分隔；以及暱稱。  
例如，對於名稱 *Martha Rivera*，您可以新增：  

```
Martha Rivera
Martha  Rivera
Rivera, Martha
Rivera,  Martha
Rivera Martha
Rivera  Martha
```
如果您想要忽略包含許多部分的特定名稱變化，請建立使用規則表達式的允許清單。例如，對於 *Martha Lyda Rivera 醫生，PhD*，您可以使用下列規則表達式：`^(Dr. )?Martha\s(Lyda|L\.)?\s?Rivera,?( PhD)?$`。

## 規則表達式的選項和要求
<a name="allow-lists-options-regex"></a>

對於這種類型的允許清單，您可以指定規則表達式 (*regex*)，定義要忽略的文字模式。例如，您可以為組織的公有電話號碼、組織網域的電子郵件地址或組織用於測試的模式化範例資料指定模式。regex 會為您不認為敏感的特定類型資料定義通用模式。如果您使用此類型的允許清單，Amazon Macie 不會報告完全符合指定模式的文字出現。與指定要忽略之預先定義文字的允許清單不同，您可以在 Macie 中建立和存放 regex 和所有其他清單設定。

當您建立或更新此類型的允許清單時，您可以使用範例資料來測試清單的 regex，然後再儲存清單。我們建議您使用多組範例資料來執行此操作。如果您建立過於一般的 regex，Macie 可能會忽略您認為敏感的文字出現。如果 regex 太具體，Macie 可能不會忽略您不認為敏感的文字出現。為了防止格式不正確或長時間執行的表達式，Macie 也會根據範例文字集合自動編譯和測試 regex，並通知您要解決的問題。

如需其他測試，建議您也使用帳戶或組織的一組代表性資料來測試清單的 regex。若要這樣做，您可以[建立一次性任務](discovery-jobs-create.md)。除了您通常用來分析資料的受管和自訂資料識別符之外，設定任務以使用 清單。然後，您可以檢閱任務的結果：敏感資料調查結果、敏感資料探索結果，或兩者。如果任務的結果與您預期的結果不同，您可以變更並測試 regex，直到結果符合您預期為止。

設定和測試允許清單後，您可以建立和設定其他任務來使用它，或將其新增至您的設定，以進行自動敏感資料探索。當這些任務執行或 Macie 執行自動探索時，Macie 會使用清單 regex 的最新版本來分析資料。

**Topics**
+ [語法支援和建議](#allow-lists-options-regex-syntax)
+ [範例](#allow-lists-options-regex-examples)

### 語法支援和建議
<a name="allow-lists-options-regex-syntax"></a>

允許清單可以指定包含最多 512 個字元的規則表達式 (*regex*)。Macie 支援 [Perl 相容規則表達式 (PCRE) 程式庫](https://www.pcre.org/)提供的 regex 模式語法子集。在 PCRE 程式庫提供的建構中，Macie 不支援下列模式元素：
+ 反向參考
+ 擷取群組
+ 條件式模式
+ 內嵌程式碼
+ 全域模式旗標，例如 `/i`、 `/m`和 `/x`
+ 遞迴模式
+ 正面和負面的前瞻和前瞻零寬度聲明，例如 `?=`、`?!`、 `?<=`和 `?<!`

若要為允許清單建立有效的規則運算式模式，請注意下列秘訣和建議：
+ **錨點** – 只有當您預期模式出現在檔案的開頭或結尾，而不是行的開頭或結尾時，才使用錨點 (`^` 或 `$`)。
+ **邊界重複** – 基於效能原因，Macie 會限制邊界重複群組的大小。例如， `\d{100,1000}` 不會在 Macie 中編譯 。若要近似此功能，您可以使用開放式重複，例如 `\d{100,}`。
+ **不區分大小寫** – 若要使模式大小寫的一部分不區分，您可以使用 `(?i)` 建構而非 `/i`旗標。
+ **效能** – 不需要手動最佳化字首或輪換。例如，`/hello|hi|hey/`將 變更為 `/h(?:ello|i|ey)/`並不會改善效能。
+ **萬用字元** – 基於效能考量，Macie 會限制重複的萬用字元數量。例如， `a*b*a*` 不會在 Macie 中編譯 。
+ **交替** – 若要在單一允許清單中指定多個模式，您可以使用交替運算子 (`|`) 來串連模式。如果您這樣做，Macie 會使用 OR 邏輯來結合模式並形成新的模式。例如，如果您指定 `(apple|orange)`，Macie 會將 *Apple* 和*橘色*辨識為相符項目，並忽略兩個單字的出現。如果您串連模式，請務必將串連表達式的整體長度限制為 512 個字元或更少。

最後，當您開發 regex 時，請設計它以適應不同的檔案類型和儲存格式。Macie 使用 regex 做為較大資料擷取和分析架構的一部分。框架會考量 S3 物件的檔案類型或儲存格式。對於結構化資料，例如 CSV 檔案中的單欄式資料或 JSON 檔案中的記錄型資料，只有在所有文字都存放在單一欄位、儲存格或陣列中時，Macie 才會忽略完全符合模式的文字。此要求不適用於存放在其他非結構化檔案中的結構化資料，例如 Adobe 可攜式文件格式 (.pdf) 檔案中的資料表。對於非結構化資料，例如 .pdf 檔案中的文字，Macie 會忽略完全符合模式的文字，包括跨越多行或頁面的文字。

### 範例
<a name="allow-lists-options-regex-examples"></a>

下列範例示範一些常見案例的有效 regex 模式。

**電子郵件地址**  
如果您使用自訂資料識別符來偵測電子郵件地址，您可以忽略不被視為敏感的電子郵件地址，例如組織的電子郵件地址。  
若要忽略特定第二層和最上層網域的電子郵件地址，您可以使用此模式：  
`[a-zA-Z0-9_.+\\-]+@example\.com`  
其中*範例*是第二層網域的名稱，而 *com* 是頂層網域。在這種情況下，Macie 會比對和忽略地址，例如 *johndoe@example.com* 和 *john.doe@example.com*。  
若要忽略任何一般頂層網域 (gTLD) 中特定網域的電子郵件地址，例如 *.com* 或 *.gov*，您可以使用此模式：  
`[a-zA-Z0-9_.+\\-]+@example\.[a-zA-Z]{2,}`  
其中*範例*是網域名稱。在這種情況下，Macie 會比對和忽略地址，例如 *johndoe@example.com*、*john.doe@example.gov* 和 *johndoe@example.edu*。  
若要忽略任何一個國家/地區代碼頂層網域 (ccTLD) 中特定網域的電子郵件地址，例如加拿大的 *.ca* 或澳洲的 *.au*，您可以使用此模式：  
`[a-zA-Z0-9_.+\\-]+@example\.(ca|au)`  
其中*範例*是網域名稱，*ca* 和 *au* 是要忽略的特定 ccTLDs。在這種情況下，Macie 會比對和忽略地址，例如 *johndoe@example.ca* 和 *john.doe@example.au*。  
若要忽略特定網域和 gTLD 的電子郵件地址，並包含第三層和第四層網域，您可以使用此模式：  
`[a-zA-Z0-9_.+\\-]+@([a-zA-Z0-9-]+\.)?[a-zA-Z0-9-]+\.example\.com`  
其中*範例*是網域的名稱，而 *com* 是 gTLD。在此情況下，Macie 會比對和忽略地址，例如 *johndoe@www.example.com* 和 *john.doe@www.team.example.com*。

**電話號碼**  
Macie 提供受管資料識別符，可偵測數個國家和地區的電話號碼。若要忽略特定電話號碼，例如組織的免付費電話號碼或公有電話號碼，您可以使用如下模式。  
若要忽略免付費電話，請使用 *800* 區域碼且格式為 *(800) \$1\$1\$1-\$1\$1\$1\$1* 的美國電話號碼：  
`^\(?800\)?[ -]?\d{3}[ -]?\d{4}$`  
若要忽略免付費電話，請使用 *888 *區域碼且格式為 *(888) \$1\$1\$1-\$1\$1\$1\$1* 的美國電話號碼：  
`^\(?888\)?[ -]?\d{3}[ -]?\d{4}$`  
若要忽略包含 *33* 國碼且格式為 *\$133 \$1\$1 \$1\$1 \$1\$1 \$1\$1 \$1\$1* 的 10 位數法文電話號碼：  
`^\+33 \d( \d\d){4}$`  
若要忽略使用特定區域和交換代碼的美國和加拿大電話號碼，請勿包含國家/地區代碼，且格式為 *(\$1\$1\$1) \$1\$1\$1-\$1\$1\$1\$1*：  
`^\(?123\)?[ -]?555[ -]?\d{4}$`  
其中 *123* 是區域碼，*555* 是交換碼。  
若要忽略使用特定區域和交換代碼的美國和加拿大電話號碼，請包含國家/地區代碼，格式為 *\$11 (\$1\$1\$1) \$1\$1\$1-\$1\$1\$1\$1*：  
`^\+1\(?123\)?[ -]?555[ -]?\d{4}$`  
其中 *123* 是區域碼，*555* 是交換碼。

# 建立允許清單
<a name="allow-lists-create"></a>

在 Amazon Macie 中，允許清單會定義特定文字或文字模式，您希望 Macie 在檢查 Amazon Simple Storage Service (Amazon S3) 物件是否有敏感資料時忽略這些文字或文字模式。如果文字符合允許清單中的項目或模式，Macie 不會在敏感資料調查結果、統計資料或其他類型的結果中報告文字。即使文字符合[受管資料識別碼](managed-data-identifiers.md)或[自訂資料識別碼](custom-data-identifiers.md)的條件，也是如此。

您可以在 Macie 中建立下列類型的允許清單。

**預先定義的文字**  
使用此類型的清單來指定不敏感、不太可能變更且不一定遵循常見模式的單字、片語和其他類型的字元序列。範例包括：您組織的公有代表名稱、特定電話號碼，以及組織用於測試的特定範例資料。如果您使用此類型的清單，Macie 會忽略完全符合清單中項目的文字。  
對於此類型的清單，您可以建立以行分隔的純文字檔案，列出要忽略的特定文字。然後，您將檔案存放在 S3 儲存貯體中，並設定 Macie 存取儲存貯體中清單的設定。然後，您可以建立和設定敏感資料探索任務以使用清單，或將清單新增至您的設定，以進行自動化敏感資料探索。當每個任務開始執行或下一個自動探索分析週期開始時，Macie 會從 Amazon S3 擷取清單的最新版本。然後，Macie 會在檢查 S3 物件是否有敏感資料時使用該版本的清單。如果 Macie 找到與清單中項目完全相符的文字，Macie 不會將該文字的出現報告為敏感資料。

**Regular expression** (常規表達式)  
使用此類型的清單來指定規則表達式 (*regex*)，定義要忽略的文字模式。範例包括：組織的公有電話號碼、組織網域的電子郵件地址，以及組織用於測試的模式化範例資料。如果您使用此類型的清單，Macie 會忽略完全符合清單所定義之 regex 模式的文字。  
對於此類型的清單，您可以建立 regex，定義不敏感但不同或可能變更之文字的常見模式。與預先定義的文字清單不同，您可以在 Macie 中建立和存放 regex 和所有其他清單設定。然後，您可以建立和設定敏感資料探索任務以使用清單，或將清單新增至您的設定，以進行自動化敏感資料探索。當這些任務執行或 Macie 執行自動探索時，Macie 會使用最新版本的清單 regex 來分析資料。如果 Macie 找到完全符合清單定義模式的文字，Macie 不會將該文字的出現報告為敏感資料。

如需每種類型的詳細需求、建議和範例，請參閱[允許清單的組態選項和要求](allow-lists-options.md)。

您可以在每個支援的清單中建立最多 10 個允許清單 AWS 區域：最多五個允許指定預先定義文字的清單，以及最多五個允許指定規則表達式的清單。您可以在目前可使用 AWS 區域 Macie 的所有 中建立和使用允許清單，亞太區域 （大阪） 區域除外。

**建立允許清單**  
建立允許清單的方式取決於您要建立的清單類型：列出要忽略之預先定義文字的檔案，或定義要忽略之文字模式的規則表達式。以下各節提供每種類型的說明。選擇您要建立之清單類型的區段。



## 預先定義的文字
<a name="allow-lists-create-s3list"></a>

在 Macie 中建立此類型的允許清單之前，請執行下列動作：

1. 透過使用文字編輯器，建立以行分隔的純文字檔案，列出要忽略的特定文字，例如 .txt、.text 或 .plain 檔案。如需詳細資訊，請參閱[語法需求](allow-lists-options.md#allow-lists-options-s3list-syntax)。

1. 將檔案上傳至 S3 一般用途儲存貯體，並記下儲存貯體的名稱和物件。在 Macie 中設定設定時，您需要輸入這些名稱。

1. 請確定 S3 儲存貯體和物件的設定可讓您和 Macie 從儲存貯體擷取清單。如需詳細資訊，請參閱[儲存需求](allow-lists-options.md#allow-lists-options-s3list-storage)。

1. 如果您已加密 S3 物件，請確定已使用您和 Macie 可使用的金鑰進行加密。如需詳細資訊，請參閱[加密/解密要求](allow-lists-options.md#allow-lists-options-s3list-encryption)。

完成這些任務後，您就可以在 Macie 中設定清單的設定。您可以使用 Amazon Macie 主控台或 Amazon Macie API 來設定設定。

------
#### [ Console ]

請依照下列步驟，使用 Amazon Macie 主控台來設定允許清單的設定。

**在 Macie 中設定允許清單設定**

1. 在 [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)：// 開啟 Amazon Macie 主控台。

1. 在導覽窗格中**的設定**下，選擇**允許清單**。

1. 在**允許清單**頁面上，選擇**建立**。

1. 在**選取清單類型**下，選擇**預先定義文字**。

1. 在**清單設定**下，使用下列選項輸入允許清單的其他設定：
   + 針對**名稱**，輸入清單的名稱。該名稱最多可包含 128 個字元。
   + 針對**描述**，選擇性地輸入清單的簡短描述。該描述最多可包含 512 個字元。
   + 針對 **S3 儲存貯體名稱**，輸入存放清單的儲存貯體名稱。

     在 Amazon S3 中，您可以在儲存貯體屬性**的名稱**欄位中找到此值。此值區分大小寫。此外，當您輸入名稱時，請勿使用萬用字元或部分值。
   + 針對 **S3 物件名稱**，輸入存放清單的 S3 物件名稱。

     在 Amazon S3 中，您可以在物件屬性的**金鑰**欄位中找到此值。如果名稱包含路徑，請務必在輸入名稱時包含完整的路徑，例如 **allowlists/macie/mylist.txt**。此值區分大小寫。此外，當您輸入名稱時，請勿使用萬用字元或部分值。

1. （選用） 在**標籤**下，選擇**新增標籤**，然後輸入最多 50 個標籤來指派給允許清單。

   A*tag* 是您定義並指派給特定類型 AWS 資源的標籤。每個標籤都包含必要的標籤索引鍵和選用的標籤值。標籤可協助您以不同方式識別、分類和管理資源，例如依用途、擁有者、環境或其他條件。如需進一步了解，請參閱 [標記 Macie 資源](tagging-resources.md)。

1. 當您完成時，請選擇**建立**。

Macie 會測試清單的設定。Macie 也會驗證它可以從 Amazon S3 擷取清單，並剖析清單的內容。如果發生錯誤，Macie 會顯示說明錯誤的訊息。如需可協助您對錯誤進行故障診斷的詳細資訊，請參閱 [預先定義文字清單的選項和需求](allow-lists-options.md#allow-lists-options-s3list)。解決任何錯誤之後，您可以儲存清單的設定。

------
#### [ API ]

若要以程式設計方式設定允許清單設定，請使用 Amazon Macie API 的 [CreateAllowList](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists.html) 操作，並為所需的參數指定適當的值。

針對 `criteria` 參數，使用 `s3WordsList` 物件來指定 S3 儲存貯體 (`bucketName`) 的名稱，以及存放清單的 S3 物件 (`objectKey`) 名稱。若要判斷儲存貯體名稱，請參閱 Amazon S3 中的 `Name` 欄位。若要判斷物件名稱，請參閱 Amazon S3 中的 `Key` 欄位。請注意，這些值區分大小寫。此外，當您指定這些名稱時，請勿使用萬用字元或部分值。

若要使用 來設定設定 AWS CLI，請執行 [create-allow-list](https://docs.aws.amazon.com/cli/latest/reference/macie2/create-allow-list.html) 命令，並指定所需參數的適當值。下列範例示範如何為存放在名為 *amzn-s3-demo-bucket* 的 S3 儲存貯體中的允許清單設定設定。存放清單的 S3 物件名稱為 *allowlists/macie/mylist.txt*。

此範例已針對 Linux、macOS 或 Unix 格式化，並使用反斜線 (\$1) 行接續字元來改善可讀性。

```
$ aws macie2 create-allow-list \
--criteria '{"s3WordsList":{"bucketName":"amzn-s3-demo-bucket","objectKey":"allowlists/macie/mylist.txt"}}' \
--name my_allow_list \
--description "Lists public phone numbers and names for Example Corp."
```

此範例已針對 Microsoft Windows 進行格式化，並使用 caret (^) line-contination 字元來改善可讀性。

```
C:\> aws macie2 create-allow-list ^
--criteria={\"s3WordsList\":{\"bucketName\":\"amzn-s3-demo-bucket\",\"objectKey\":\"allowlists/macie/mylist.txt\"}} ^
--name my_allow_list ^
--description "Lists public phone numbers and names for Example Corp."
```

當您提交請求時，Macie 會測試清單的設定。Macie 也會驗證它可以從 Amazon S3 擷取清單，並剖析清單的內容。如果發生錯誤，您的請求會失敗，Macie 會傳回說明錯誤的訊息。如需可協助您對錯誤進行故障診斷的詳細資訊，請參閱 [預先定義文字清單的選項和需求](allow-lists-options.md#allow-lists-options-s3list)。

如果 Macie 可以擷取和剖析清單，您的請求就會成功，而且您會收到類似以下的輸出。

```
{
    "arn": "arn:aws:macie2:us-west-2:123456789012:allow-list/nkr81bmtu2542yyexample",
    "id": "nkr81bmtu2542yyexample"
}
```

其中 `arn`是所建立允許清單的 Amazon Resource Name (ARN)，`id`也是清單的唯一識別符。

------

儲存清單的設定後，您可以[建立和設定敏感資料探索任務](discovery-jobs-create.md)以使用清單，或[將清單新增至您的設定以進行自動敏感資料探索](discovery-asdd-account-configure.md)。每次這些任務開始執行或自動探索分析週期開始時，Macie 都會從 Amazon S3 擷取最新版本的清單。然後，Macie 會在分析資料時使用該版本的清單。

## Regular expression (常規表達式)
<a name="allow-lists-create-regex"></a>

當您建立指定規則表達式 (*regex*) 的允許清單時，您可以直接在 Macie 中定義 regex 和所有其他清單設定。對於 regex，Macie 支援 [Perl 相容規則表達式 (PCRE) 程式庫](https://www.pcre.org/)提供的模式語法子集。如需詳細資訊，請參閱[語法支援和建議](allow-lists-options.md#allow-lists-options-regex-syntax)。

您可以使用 Amazon Macie 主控台或 Amazon Macie API 來建立此類型的清單。

------
#### [ Console ]

請依照下列步驟，使用 Amazon Macie 主控台建立允許清單。

**使用主控台建立允許清單**

1. 在 [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)：// 開啟 Amazon Macie 主控台。

1. 在導覽窗格中**的設定**下，選擇**允許清單**。

1. 在**允許清單**頁面上，選擇**建立**。

1. 在**選取清單類型**下，選擇**規則表達**式。

1. 在**清單設定**下，使用下列選項輸入允許清單的其他設定：
   + 針對**名稱**，輸入清單的名稱。該名稱最多可包含 128 個字元。
   + 針對**描述**，選擇性地輸入清單的簡短描述。該描述最多可包含 512 個字元。
   + 對於**規則表達**式，輸入定義要忽略的文字模式的 regex。regex 最多可包含 512 個字元。

1. （選用） 針對**評估**，在**範例資料**方塊中輸入最多 1，000 個字元，然後選擇**測試**以測試 regex。Macie 會評估範例資料，並報告符合 regex 的文字出現次數。您可以重複此步驟任意次數，以精簡和最佳化 regex。
**注意**  
建議您使用多組範例資料來測試和精簡 regex。如果您建立過於一般的 regex，Macie 可能會忽略您認為敏感的文字。如果 regex 太具體，Macie 可能不會忽略您不認為敏感的文字。

1. （選用） 在**標籤**下，選擇**新增標籤**，然後輸入最多 50 個標籤來指派給允許清單。

   A*tag* 是您定義並指派給特定類型 AWS 資源的標籤。每個標籤都包含必要的標籤索引鍵和選用的標籤值。標籤可協助您以不同方式識別、分類和管理資源，例如依用途、擁有者、環境或其他條件。如需進一步了解，請參閱 [標記 Macie 資源](tagging-resources.md)。

1. 當您完成時，請選擇**建立**。

Macie 會測試清單的設定。Macie 也會測試 regex，以確認它可以編譯表達式。如果發生錯誤，Macie 會顯示說明錯誤的訊息。如需可協助您排除錯誤的詳細資訊，請參閱 [規則表達式的選項和要求](allow-lists-options.md#allow-lists-options-regex)。解決任何錯誤之後，您可以儲存允許清單。

------
#### [ API ]

在 Macie 中建立此類型的允許清單之前，我們建議您使用多組範例資料來測試和精簡 regex。如果您建立過於一般的 regex，Macie 可能會忽略您認為敏感的文字。如果 regex 太具體，Macie 可能不會忽略您不認為敏感的文字。

若要使用 Macie 測試表達式，您可以使用 Amazon Macie API 的 [TestCustomDataIdentifier](https://docs.aws.amazon.com/macie/latest/APIReference/custom-data-identifiers-test.html) 操作，或針對 AWS CLI執行 [test-custom-data-identifier](https://docs.aws.amazon.com/cli/latest/reference/macie2/test-custom-data-identifier.html) 命令。Macie 使用相同的基礎程式碼來編譯允許清單和自訂資料識別符的表達式。如果您以這種方式測試表達式，請務必僅指定 `regex`和 `sampleText` 參數的值。否則，您將收到不準確的結果。

當您準備好建立此類型的允許清單時，請使用 Amazon Macie API 的 [CreateAllowList](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists.html) 操作，並為所需的參數指定適當的值。針對 `criteria` 參數，使用 `regex` 欄位指定定義要忽略的文字模式的規則表達式。該運算式最多可包含 512 個字元。

若要使用 建立此類型的清單 AWS CLI，請執行 [create-allow-list](https://docs.aws.amazon.com/cli/latest/reference/macie2/create-allow-list.html) 命令，並指定所需參數的適當值。下列範例會建立名為 *my\$1allow\$1list *的允許清單。regex 旨在忽略自訂資料識別符可能以其他方式為`example.com`網域偵測的所有電子郵件地址。

此範例已針對 Linux、macOS 或 Unix 格式化，並使用反斜線 (\$1) 行接續字元來改善可讀性。

```
$ aws macie2 create-allow-list \
--criteria '{"regex":"[a-z]@example.com"}' \
--name my_allow_list \
--description "Ignores all email addresses for Example Corp."
```

此範例已針對 Microsoft Windows 進行格式化，並使用 caret (^) line-contination 字元來改善可讀性。

```
C:\> aws macie2 create-allow-list ^
--criteria={\"regex\":\"[a-z]@example.com\"} ^
--name my_allow_list ^
--description "Ignores all email addresses for Example Corp."
```

當您提交請求時，Macie 會測試清單的設定。Macie 也會測試 regex，以確認它可以編譯表達式。如果發生錯誤，請求會失敗，Macie 會傳回說明錯誤的訊息。如需可協助您排除錯誤的詳細資訊，請參閱 [規則表達式的選項和要求](allow-lists-options.md#allow-lists-options-regex)。

如果 Macie 可以編譯表達式，則請求會成功，而您會收到類似以下的輸出：

```
{
    "arn": "arn:aws:macie2:us-west-2:123456789012:allow-list/km2d4y22hp6rv05example",
    "id": "km2d4y22hp6rv05example"
}
```

其中 `arn`是所建立允許清單的 Amazon Resource Name (ARN)，`id`也是清單的唯一識別符。

------

儲存清單後，您可以[建立和設定敏感資料探索任務](discovery-jobs-create.md)來使用，或[將其新增至您的設定，以進行自動敏感資料探索](discovery-asdd-account-configure.md)。當這些任務執行或 Macie 執行自動探索時，Macie 會使用最新版本的清單 regex 來分析資料。

# 檢查允許清單的狀態
<a name="allow-lists-status-check"></a>

如果您建立允許清單，請務必定期檢查其狀態。否則，錯誤可能會導致 Amazon Macie 為您的 Amazon Simple Storage Service (Amazon S3) 資料產生非預期的分析結果。例如，Macie 可能會為您在允許清單中指定的文字建立敏感資料調查結果。

如果您將敏感資料探索任務設定為使用允許清單，且 Macie 無法在任務開始執行時存取或使用清單，則任務會繼續執行。不過，Macie 在分析 S3 物件時不會使用該清單。同樣地，如果自動敏感資料探索的分析週期開始，且 Macie 無法存取或使用指定的允許清單，則分析會繼續，但 Macie 不會使用該清單。

指定規則表達式 (*regex*) 的允許清單不太可能發生錯誤。部分原因是 Macie 會在您建立或更新清單的設定時自動測試 regex。此外，您可以將 regex 和所有其他清單設定存放在 Macie 中。

不過，指定預先定義文字的允許清單可能會發生錯誤，部分原因是您將清單存放在 Amazon S3 中，而不是 Macie。常見的錯誤原因包括：
+ S3 儲存貯體或物件已刪除。
+ S3 儲存貯體或物件會重新命名，且 Macie 中的清單設定不會指定新名稱。
+ S3 儲存貯體的許可設定已變更，Macie 無法存取儲存貯體和物件。
+ S3 儲存貯體的加密設定已變更，且 Macie 無法解密存放清單的物件。
+ 加密金鑰的政策已變更，Macie 無法存取金鑰。Macie 無法解密存放清單的 S3 物件。

**重要**  
由於這些錯誤會影響分析的結果，建議您定期檢查所有允許清單的狀態。如果您變更儲存允許清單之 S3 儲存貯體的許可或加密設定，或變更用於加密清單之 AWS Key Management Service (AWS KMS) 金鑰的政策，建議您也這樣做。

如需可協助您疑難排解所發生錯誤的詳細資訊，請參閱 [預先定義文字清單的選項和需求](allow-lists-options.md#allow-lists-options-s3list)。

**檢查允許清單的狀態**  
您可以使用 Amazon Macie 主控台或 Amazon Macie API 來檢查允許清單的狀態。在 主控台上，您可以使用單一頁面來同時檢查所有允許清單的狀態。如果您使用 Amazon Macie API，您可以檢查個別允許清單的狀態，一次一個。



------
#### [ Console ]

請依照下列步驟，使用 Amazon Macie 主控台檢查允許清單的狀態。

**檢查允許清單的狀態**

1. 在 [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)：// 開啟 Amazon Macie 主控台。

1. 在導覽窗格中**的設定**下，選擇**允許清單**。

1. 在**允許清單**頁面上，選擇重新整理 (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/btn-refresh-data.png))。Macie 會測試所有允許清單的設定，並更新**狀態**欄位，以指出每個清單的目前狀態。

   如果清單指定規則表達式，其狀態通常是**正常**的。這表示 Macie 可以編譯表達式。如果清單指定預先定義的文字，其狀態可以是下列任何值。

      
**OK (確定)**  
Macie 可以擷取和剖析清單的內容。  
**存取遭拒**  
Macie 無法存取存放清單的 S3 物件。Amazon S3 拒絕擷取物件的請求。如果物件使用不允許 Macie 使用的客戶受管加密 AWS KMS key ，則清單也可以具有此狀態。  
若要解決此錯誤，請檢閱儲存貯體政策和儲存貯體和物件的其他許可設定。確定 Macie 可存取和擷取物件。如果使用客戶受管 AWS KMS 金鑰加密物件，請檢閱金鑰政策，並確保 Macie 可以使用金鑰。  
**錯誤**  
當 Macie 嘗試擷取或剖析清單的內容時，會發生暫時性或內部錯誤。如果允許清單使用 Amazon S3 和 Macie 無法存取或使用的加密金鑰進行加密，也可以有此狀態。  
若要解決此錯誤，請等待幾分鐘，然後再次選擇重新整理 (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/btn-refresh-data.png))。如果狀態持續為**錯誤**，請檢查 S3 物件的加密設定。請確定物件已使用 Amazon S3 和 Macie 可存取和使用的金鑰加密。  
**物件為空**  
Macie 可以從 Amazon S3 擷取清單，但清單不包含任何內容。  
若要解決此錯誤，請從 Amazon S3 下載物件，並確保其中包含正確的項目。如果項目正確，請在 Macie 中檢閱清單的設定。確定指定的儲存貯體和物件名稱正確。  
**找不到物件**  
Amazon S3 中不存在此清單。  
若要解決此錯誤，請在 Macie 中檢閱清單的設定。確定指定的儲存貯體和物件名稱正確。  
**超出配額**  
Macie 可以存取 Amazon S3 中的清單。不過，清單中的項目數量或清單的儲存大小超過允許清單的配額。  
若要解決此錯誤，請將清單分成多個檔案。確保每個檔案都包含少於 100，000 個項目。同時確保每個檔案的大小小於 35 MB。然後，將每個檔案上傳至 Amazon S3。完成後，請在 Macie 中為每個檔案設定允許清單設定。每個支援的預先定義文字最多可有五個清單 AWS 區域。  
**調節**  
Amazon S3 已調節擷取清單的請求。  
若要解決此錯誤，請等待幾分鐘，然後再次選擇重新整理 (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/btn-refresh-data.png))。  
**使用者存取遭拒**  
Amazon S3 拒絕擷取物件的請求。如果指定的物件存在，則不允許存取該物件，或使用不允許使用的 AWS KMS 金鑰進行加密。  
若要解決此錯誤，請與您的 AWS 管理員合作，以確保清單的設定指定正確的儲存貯體和物件名稱，而且您可以讀取儲存貯體和物件的存取權。如果物件已加密，也請確保此物件使用允許您使用的金鑰加密。

1. 若要檢閱特定清單的設定和狀態，請選擇清單的名稱。

------
#### [ API ]

若要以程式設計方式檢查允許清單的狀態，請使用 Amazon Macie API 的 [GetAllowList](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists-id.html) 操作。或者，如果您使用的是 AWS CLI，請執行 [get-allow-list](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-allow-list.html) 命令。

針對 `id` 參數，指定您要檢查其狀態之允許清單的唯一識別符。若要取得此識別符，您可以使用 [ListAllowLists](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists.html) 操作。**ListAllowLists** 操作會擷取您帳戶的所有允許清單的相關資訊。如果您使用的是 AWS CLI，您可以執行 [list-allow-lists](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-allow-lists.html) 命令來擷取此資訊。

當您提交**GetAllowList**請求時，Macie 會測試允許清單的所有設定。如果設定指定規則運算式 (`regex`)，Macie 會驗證是否可以編譯運算式。如果設定指定預先定義文字清單 (`s3WordsList`)，Macie 會驗證是否可以擷取和剖析清單。

Macie 接著會傳回提供允許清單詳細資訊的`GetAllowListResponse`物件。在 `GetAllowListResponse` 物件中， `status` 物件會指出清單的目前狀態：狀態碼 (`code`)，並根據狀態碼，簡短描述清單的狀態 (`description`)。

如果允許清單指定 regex，狀態碼通常是 `OK`，而且沒有相關聯的描述。這表示 Macie 成功編譯表達式。

如果允許清單指定預先定義的文字，狀態碼會根據測試結果而有所不同：
+ 如果 Macie 成功擷取並剖析清單，狀態碼為 `OK`，而且沒有相關聯的描述。
+ 如果錯誤導致 Macie 無法擷取或剖析清單，狀態碼和描述會指出發生錯誤的性質。

如需可能的狀態碼清單和每個狀態碼的說明，請參閱《*Amazon Macie API 參考*》中的 [AllowListStatus](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists-id.html#allow-lists-id-model-allowliststatus)。

------

# 變更允許清單
<a name="allow-lists-change"></a>

建立允許清單後，您可以在 Amazon Macie 中變更清單的大部分設定。例如，您可以變更清單的名稱和描述。您也可以為清單新增和編輯標籤。您無法變更的唯一設定是清單的類型。例如，如果現有清單指定規則表達式 (*regex*)，則無法將其類型變更為預先定義的文字。

如果允許清單指定預先定義的文字，您也可以變更清單中的項目。若要執行此操作，請更新包含項目的檔案。然後將新版本的 檔案上傳至 Amazon Simple Storage Service (Amazon S3)。下次 Macie 準備使用清單時，Macie 會從 Amazon S3 擷取最新版本的檔案。當您上傳新檔案時，請確定將其存放在相同的 S3 儲存貯體和物件中。或者，如果您變更儲存貯體或物件的名稱，請務必在 Macie 中更新清單的設定。

**變更允許清單的設定**  
您可以使用 Amazon Macie 主控台或 Amazon Macie API 來變更允許清單的設定。



------
#### [ Console ]

請依照下列步驟，使用 Amazon Macie 主控台變更允許清單的設定。

**使用主控台變更允許清單的設定**

1. 在 [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)：// 開啟 Amazon Macie 主控台。

1. 在導覽窗格中**的設定**下，選擇**允許清單**。

1. 在**允許清單**頁面上，選擇您要變更的允許清單名稱。允許清單頁面會開啟，並顯示清單的目前設定。

1. 若要新增或編輯允許清單的標籤，請在**標籤區段中選擇管理****標籤**。然後視需要變更標籤。完成後，請選擇**儲存**。

1. 若要變更允許清單的其他設定，請在**清單設定**區段中選擇**編輯**。然後變更您想要的設定：
   + **名稱** – 輸入清單的新名稱。該名稱最多可包含 128 個字元。
   + **描述** – 輸入清單的新描述。該描述最多可包含 512 個字元。
   + 如果允許清單指定預先定義的文字：
     + **S3 儲存貯體名稱** – 輸入存放清單的儲存貯體名稱。

       在 Amazon S3 中，您可以在儲存貯體屬性**的名稱**欄位中找到此值。此值區分大小寫。此外，當您輸入名稱時，請勿使用萬用字元或部分值。
     + **S3 物件名稱** – 輸入存放清單的 S3 物件名稱。

       在 Amazon S3 中，您可以在物件屬性的**金鑰**欄位中找到此值。如果名稱包含路徑，請務必在輸入名稱時包含完整的路徑，例如 **allowlists/macie/mylist.txt**。此值區分大小寫。此外，當您輸入名稱時，請勿使用萬用字元或部分值。
   + 如果允許清單指定規則表達式 (*regex*)，請在**規則表達**式方塊中輸入新的 regex。regex 最多可包含 512 個字元。

     輸入新的 regex 之後，您可以選擇測試它。若要執行此操作，請在**範例資料**方塊中輸入最多 1，000 個字元，然後選擇**測試**。Macie 會評估範例資料，並報告符合 regex 的文字出現次數。您可以在儲存變更之前，任意重複此步驟，以精簡和最佳化 regex。

1. 完成後，請選擇**儲存**。

Macie 會測試清單的設定。對於預先定義文字的清單，Macie 也會驗證是否可以從 Amazon S3 擷取清單，並剖析清單的內容。對於 regex，Macie 也會驗證是否可以編譯表達式。如果發生錯誤，Macie 會顯示說明錯誤的訊息。如需可協助您疑難排解錯誤的詳細資訊，請參閱 [允許清單的組態選項和要求](allow-lists-options.md)。解決任何錯誤之後，您可以儲存變更。

------
#### [ API ]

若要以程式設計方式變更允許清單的設定，請使用 Amazon Macie API 的 [UpdateAllowList](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists-id.html) 操作。或者，如果您使用的是 AWS CLI，請執行 [update-allow-list](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-allow-list.html) 命令。在您的請求中，使用支援的參數來指定您要變更的每個設定的新值。請注意，需要 `criteria`、 `id`和 `name` 參數。如果您不想變更必要參數的值，請指定 參數的目前值。

例如，下列命令會變更現有允許清單的名稱和描述。此範例已針對 Microsoft Windows 進行格式化，並使用 caret (^) line-contination 字元來改善可讀性。

```
C:\> aws macie2 update-allow-list ^
--id km2d4y22hp6rv05example ^
--name my_allow_list-email ^
--criteria={\"regex\":\"[a-z]@example.com\"} ^
--description "Ignores all email addresses for the example.com domain"
```

其中：
+ *km2d4y22hp6rv05example* 是清單的唯一識別符。
+ *my\$1allow\$1list-email* 是清單的新名稱。
+ *【a-z】@example.com* 是清單的條件，即規則表達式。
+ *忽略 example.com 網域的所有電子郵件地址*是清單的新描述。

當您提交請求時，Macie 會測試清單的設定。如果清單指定預先定義的文字 (`s3WordsList`)，這包括驗證 Macie 可以從 Amazon S3 擷取清單，並剖析清單的內容。如果清單指定 regex (`regex`)，這包括驗證 Macie 是否可以編譯表達式。

如果 Macie 測試設定時發生錯誤，您的請求會失敗，且 Macie 會傳回說明錯誤的訊息。如需可協助您排除錯誤的詳細資訊，請參閱 [允許清單的組態選項和要求](allow-lists-options.md)。如果請求因其他原因而失敗，Macie 會傳回 HTTP 4*xx* 或 500 回應，指出操作失敗的原因。

如果您的請求成功，Macie 會更新清單的設定，而您會收到類似以下的輸出。

```
{
    "arn": "arn:aws:macie2:us-west-2:123456789012:allow-list/km2d4y22hp6rv05example",
    "id": "km2d4y22hp6rv05example"
}
```

其中 `arn`是更新之允許清單的 Amazon Resource Name (ARN)，`id`也是清單的唯一識別符。

------

# 刪除允許清單
<a name="allow-lists-delete"></a>

當您在 Amazon Macie 中刪除允許清單時，您會永久刪除清單的所有設定。這些設定在刪除後無法復原。如果設定指定您在 Amazon Simple Storage Service (Amazon S3) 中存放的預先定義文字清單，Macie 不會刪除存放清單的 S3 物件。只會刪除 Macie 中的設定。

如果您將敏感資料探索任務設定為使用您後續刪除的允許清單，則任務將按排程執行。不過，您的任務結果，包括敏感資料調查結果和敏感資料探索結果，可能會報告您先前在允許清單中指定的文字。同樣地，如果您將自動化敏感資料探索設定為使用您後續刪除的清單，則每日分析週期會繼續進行。不過，敏感資料調查結果、統計資料和其他類型的結果可能會報告您先前在允許清單中指定的文字。

在您刪除允許清單之前，建議您[檢閱您的任務庫存](discovery-jobs-manage-view.md)，以識別使用清單並排定在未來執行的任務。在清查中，詳細資訊面板會指出任務是否設定為使用任何允許清單，如果是，則指出哪些清單。我們建議您也[檢查自動敏感資料探索的設定](discovery-asdd-account-configure.md)。您可以判斷最好變更清單，而不是刪除清單。

此外，Macie 會在您嘗試刪除允許清單時檢查所有任務的設定。如果您將任務設定為使用清單，且其中任何任務的狀態不是**完成****或取消**，除非您提供其他確認，否則 Macie 不會刪除清單。

**刪除允許清單**  
您可以使用 Amazon Macie 主控台或 Amazon Macie API 刪除允許清單。

 

------
#### [ Console ]

請依照下列步驟，使用 Amazon Macie 主控台刪除允許清單。

**使用主控台刪除允許清單**

1. 在 [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)：// 開啟 Amazon Macie 主控台。

1. 在導覽窗格中**的設定**下，選擇**允許清單**。

1. 在**允許清單**頁面上，選取您要刪除之允許清單的核取方塊。

1. 在**操作**功能表上，選擇**刪除**。

1. 出現確認提示時，請輸入 **delete**，然後選擇 **Delete** (刪除)。

------
#### [ API ]

若要以程式設計方式刪除允許清單，請使用 Amazon Macie API 的 [DeleteAllowList](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists-id.html) 操作。針對 `id` 參數，指定允許清單要刪除的唯一識別符。您可以使用 [ListAllowLists](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists.html) 操作取得此識別符。**ListAllowLists** 此操作會擷取您帳戶的所有允許清單的相關資訊。如果您使用的是 AWS CLI，您可以執行 [list-allow-lists](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-allow-lists.html) 命令來擷取此資訊。

針對 `ignoreJobChecks` 參數，指定是否強制刪除清單，即使敏感資料探索任務設定為使用清單：
+ 如果您指定 `false`，Macie 會檢查狀態為 `COMPLETE`或 以外的所有任務的設定`CANCELLED`。如果這些任務都未設定為使用清單，Macie 會永久刪除清單。如果其中任何任務設定為使用清單，Macie 會拒絕您的請求並傳回 HTTP 400 (`ValidationException`) 錯誤。錯誤訊息指出最多 200 個任務適用的任務數量。
+ 如果您指定 `true`，Macie 會永久刪除清單，而無需檢查任何任務的設定。

 若要使用 刪除允許清單 AWS CLI，請執行 [delete-allow-list](https://docs.aws.amazon.com/cli/latest/reference/macie2/delete-allow-list.html) 命令。例如：

```
C:\> aws macie2 delete-allow-list --id nkr81bmtu2542yyexample --ignore-job-checks false
```

其中 *nkr81bmtu2542yyexample* 是允許清單刪除的唯一識別符。

如果您的請求成功，Macie 會傳回空的 HTTP 200 回應。否則，Macie 會傳回 HTTP 4*xx* 或 500 回應，指出操作失敗的原因。

------

如果允許清單指定的預先定義文字，您可以選擇刪除存放清單的 S3 物件。不過，保留此物件有助於確保您擁有不可變的敏感資料調查結果歷史記錄，以及資料隱私權和保護稽核或調查的探索結果。

# 執行自動化敏感資料探索
<a name="discovery-asdd"></a>

為了廣泛了解敏感資料可能位於 Amazon Simple Storage Service (Amazon S3) 資料資產中的位置，請將 Amazon Macie 設定為針對您的帳戶或組織執行自動敏感資料探索。透過自動敏感資料探索，Macie 會持續評估您的 S3 儲存貯體庫存，並使用取樣技術來識別和選取儲存貯體中的代表性 S3 物件。然後，Macie 會擷取和分析選取的物件，檢查它們是否有敏感資料。

根據預設，Macie 會從所有 S3 一般用途儲存貯體中選取和分析物件。如果您是組織的 Macie 管理員，這包含成員帳戶擁有的儲存貯體中的物件。您可以透過排除特定儲存貯體來調整分析範圍。例如，您可以排除通常存放 AWS 記錄資料的儲存貯體。如果您是 Macie 管理員，另一個選項是針對組織中的個別帳戶，依case-by-case啟用或停用自動敏感資料探索。

您可以自訂分析以專注於特定類型的敏感資料。根據預設，Macie 會使用一組我們建議用於自動敏感資料探索的受管資料識別符來分析 S3 物件。若要自訂分析，您可以設定 Macie 使用 Macie 提供的特定[受管資料識別符](managed-data-identifiers.md)、您定義的[自訂資料識別符](custom-data-identifiers.md)，或兩者的組合。您也可以透過設定 Macie 使用您指定的[允許清單](allow-lists.md)來精簡分析。

隨著分析每天進行，Macie 會產生其找到的敏感資料記錄及其執行的分析：*敏感資料調查結果*，報告 Macie 在個別 S3 物件中找到的敏感資料，以及*敏感資料探索結果*，這些結果會記錄個別 S3 物件分析的詳細資訊。Macie 也會更新統計資料、清查資料，以及其提供的其他 Amazon S3 資料相關資訊。例如， 主控台上的互動式熱度貼圖提供資料資產間資料敏感度的視覺化呈現：

![\[S3 儲存貯體映射。它會顯示不同的彩色方塊，每個 S3 儲存貯體各一個，依帳戶分組。\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/scrn-s3-map-small.png)


這些功能旨在協助您評估 Amazon S3 資料資產中的資料敏感度，並深入調查和評估個別帳戶、儲存貯體和物件。它們也可以協助您透過執行[敏感資料探索任務](discovery-jobs.md)，判斷在何處執行更深入、更即時的分析。結合 Macie 提供的 Amazon S3 資料安全性和隱私權相關資訊，您也可以使用這些功能來識別可能需要立即修復的情況，例如，Macie 發現敏感資料的公開存取儲存貯體。

若要設定和管理自動敏感資料探索，您必須是組織的 Macie 管理員，或擁有獨立的 Macie 帳戶。

**Topics**
+ [自動化敏感資料探索的運作方式](discovery-asdd-how-it-works.md)
+ [設定自動敏感資料探索](discovery-asdd-account-manage.md)
+ [檢閱自動化敏感資料探索結果](discovery-asdd-results-s3.md)
+ [評估自動化敏感資料探索涵蓋範圍](discovery-coverage.md)
+ [調整 S3 儲存貯體的敏感度分數](discovery-asdd-s3bucket-manage.md)
+ [S3 儲存貯體的敏感度評分](discovery-scoring-s3.md)
+ [自動化敏感資料探索的預設設定](discovery-asdd-settings-defaults.md)

# 自動化敏感資料探索的運作方式
<a name="discovery-asdd-how-it-works"></a>

當您為 啟用 Amazon Macie 時 AWS 帳戶，Macie 會在目前的 中為您的帳戶建立 AWS Identity and Access Management (IAM) [服務連結角色](service-linked-roles.md) AWS 區域。此角色的許可政策可讓 Macie 代表您呼叫其他 AWS 服務 和監控 AWS 資源。透過使用此角色，Macie 會產生和維護 區域中 Amazon Simple Storage Service (Amazon S3) 一般用途儲存貯體的清查。清查包含儲存貯體中每個 S3 儲存貯體和物件的相關資訊。如果您是組織的 Macie 管理員，您的庫存會包含成員帳戶擁有的儲存貯體相關資訊。如需詳細資訊，請參閱[管理多個 帳戶](macie-accounts.md)。

如果您啟用自動敏感資料探索，Macie 會每天評估您的庫存資料，以識別符合自動探索資格的 S3 物件。作為評估的一部分，Macie 也會選取要分析的代表性物件抽樣。然後，Macie 會擷取和分析每個所選物件的最新版本，並檢查其是否有敏感資料。

隨著分析每天進行，Macie 會更新統計資料、清查資料，以及它提供的其他 Amazon S3 資料相關資訊。Macie 也會產生其找到的敏感資料及其執行的分析記錄。產生的資料可讓您深入了解 Macie 在 Amazon S3 資料資產中發現敏感資料的位置，這可以跨越您帳戶的所有 S3 一般用途儲存貯體。資料可協助您評估 Amazon S3 資料的安全性和隱私權、判斷在何處執行更深入的調查，以及識別需要修復的案例。

如需自動敏感資料探索運作方式的簡短示範，請觀看下列影片：




若要設定和管理自動敏感資料探索，您必須是組織的 Macie 管理員，或擁有獨立的 Macie 帳戶。如果您的帳戶是組織的一部分，只有組織的 Macie 管理員才能啟用或停用組織中帳戶的自動探索。此外，只有 Macie 管理員可以設定和管理帳戶的自動探索設定。這包括定義 Macie 執行之分析範圍和性質的設定。如果您在組織中有成員帳戶，請聯絡您的 Macie 管理員，以了解您帳戶和組織的設定。

**Topics**
+ [關鍵元件](#discovery-asdd-how-it-works-components)
+ [考量事項](#discovery-asdd-how-it-works-considerations)

## 關鍵元件
<a name="discovery-asdd-how-it-works-components"></a>

Amazon Macie 使用功能和技術的組合來執行自動敏感資料探索。這些功能與 Macie 提供的功能搭配使用，可協助您[監控 Amazon S3 資料，以控制安全性和存取控制](monitoring-s3-how-it-works.md)。

**選取要分析的 S3 物件**  
Macie 每天會評估您的 Amazon S3 清查資料，以透過自動化敏感資料探索來識別符合分析資格的 S3 物件。如果您是組織的 Macie 管理員，則根據預設，評估會包含成員帳戶擁有的 S3 儲存貯體資料。  
作為評估的一部分，Macie 使用抽樣技術來選取要分析的代表性 S3 物件。這些技術會定義具有類似中繼資料且可能具有類似內容的物件群組。群組是以儲存貯體名稱、字首、儲存類別、檔案名稱延伸和上次修改日期等維度為基礎。然後，Macie 從每個群組中選取一組代表性的樣本，從 Amazon S3 擷取每個所選物件的最新版本，並分析每個選取的物件，以判斷物件是否包含敏感資料。當分析完成時，Macie 會捨棄物件的副本。  
抽樣策略會優先考慮分散式分析。一般而言，它會使用廣度優先方法來處理 Amazon S3 資料資產。每天，會根據 Amazon S3 資料資產中所有可分類物件的總儲存體大小，盡可能從您的一般用途儲存貯體中選取一組代表性的 S3 物件。 Amazon S3 例如，如果 Macie 已在一個儲存貯體中的物件中分析並找到敏感資料，且尚未分析另一個儲存貯體中的物件，則第二個儲存貯體是分析的較高優先順序。透過此方法，您可以更快地全面了解 Amazon S3 資料的敏感度。根據您的資料資產大小，分析結果可能會在 48 小時內開始出現。  
抽樣策略也會優先分析最近建立或變更的不同類型 S3 物件和物件。任何單一物件範例不保證為定論。因此，分析一組不同的物件可以更深入地了解 S3 儲存貯體可能包含的敏感資料類型和數量。此外，排定新物件或最近變更物件的優先順序，有助於分析適應儲存貯體庫存的變更。例如，如果物件是在先前的分析之後建立或變更，則這些物件是後續分析的較高優先順序。相反地，如果物件先前已分析過，且自該分析以來沒有變更，則 Macie 不會再次分析物件。此方法可協助您建立個別 S3 儲存貯體的敏感度基準。然後，隨著您帳戶的持續增量分析進度，您對個別儲存貯體的敏感度評估可能會以可預測的速度變得越來越深入和詳細。

**定義分析的範圍**  
根據預設，Macie 會在評估您的庫存資料並選取要分析的 S3 物件時，包含您帳戶的所有 S3 一般用途儲存貯體。如果您是組織的 Macie 管理員，這包含成員帳戶擁有的儲存貯體。  
您可以透過從自動化敏感資料探索中排除特定 S3 儲存貯體來調整分析範圍。例如，您可能想要排除通常存放 AWS 記錄資料的儲存貯體，例如 AWS CloudTrail 事件日誌。若要排除儲存貯體，您可以變更帳戶或儲存貯體的自動探索設定。如果您這樣做，Macie 會在下一個每日評估和分析週期開始時開始排除儲存貯體。分析最多可排除 1，000 個儲存貯體。如果您排除 S3 儲存貯體，稍後可以再次包含它。若要這樣做，請再次變更您帳戶或儲存貯體的設定。然後，Macie 會在下一個每日評估和分析週期開始時開始包含儲存貯體。  
如果您是組織的 Macie 管理員，您也可以啟用或停用組織中個別帳戶的自動敏感資料探索。如果您停用帳戶的自動探索，Macie 會排除帳戶擁有的所有 S3 儲存貯體。如果您之後重新啟用帳戶的自動探索，Macie 會再次開始包含儲存貯體。

**決定要偵測和報告的敏感資料類型**  
根據預設，Macie 會使用我們建議用於自動敏感資料探索的一組受管資料識別符來檢查 S3 物件。如需這些受管資料識別符的清單，請參閱 [自動化敏感資料探索的預設設定](discovery-asdd-settings-defaults.md)。  
您可以自訂分析以專注於特定類型的敏感資料。若要這樣做，請使用下列任何方式變更您的自動探索設定：  
+ **新增或移除受管資料識別**符 – *受管資料識別符*是一組內建條件和技術，旨在偵測特定類型的敏感資料，例如信用卡號碼、 AWS 秘密存取金鑰或特定國家或地區的護照號碼。如需詳細資訊，請參閱[使用受管資料識別符](managed-data-identifiers.md)。
+ **新增或移除自訂資料識別**符 – *自訂資料識別符*是您為偵測敏感資料而定義的一組條件。透過自訂資料識別符，您可以偵測反映組織特定案例、智慧財產權或專屬資料的敏感資料。例如，您可以偵測員工 IDs、客戶帳戶號碼或內部資料分類。如需詳細資訊，請參閱[建置自訂資料識別符](custom-data-identifiers.md)。
+ **新增或移除允許清單** – 在 Macie 中，允許清單會指定您要 Macie 在 S3 物件中忽略的文字或文字模式。這些通常是您特定案例或環境的敏感資料例外狀況，例如您組織的公有名稱或電話號碼，或組織用於測試的範例資料。如需詳細資訊，請參閱[使用允許清單定義敏感資料例外狀況](allow-lists.md)。
如果您變更設定，Macie 會在下一個每日分析週期開始時套用您的變更。如果您是組織的 Macie 管理員，Macie 會在分析組織中其他帳戶的 S3 物件時，使用您帳戶的設定。  
您也可以設定儲存貯體層級設定，以判斷特定類型的敏感資料是否包含在儲存貯體的敏感度評估中。如要瞭解如何作業，請參閱[調整 S3 儲存貯體的敏感度分數](discovery-asdd-s3bucket-manage.md)。

**計算敏感度分數**  
根據預設，Macie 會自動計算您帳戶的每個 S3 一般用途儲存貯體的敏感度分數。如果您是組織的 Macie 管理員，這包含成員帳戶擁有的儲存貯體。  
在 Macie 中，*敏感度分數*是兩個主要維度交集的量化指標：Macie 在儲存貯體中找到的敏感資料量，以及 Macie 在儲存貯體中分析的資料量。儲存貯體的敏感度分數會決定 Macie 指派給儲存貯體的敏感度標籤。*敏感度標籤*是儲存貯體敏感度分數的定性表示法，例如*敏感*、*不敏感*和*尚未分析*。如需 Macie 定義的敏感度分數和標籤範圍的詳細資訊，請參閱 [S3 儲存貯體的敏感度評分](discovery-scoring-s3.md)。  
S3 儲存貯體的敏感度分數和標籤不代表或以其他方式指出儲存貯體或儲存貯體物件對您或組織可能具有的嚴重性或重要性。反之，它們旨在提供參考點，以協助您識別和監控潛在的安全風險。
當您第一次啟用自動敏感資料探索時，Macie 會自動為每個 S3 儲存貯體指派 *50* 的敏感分數和*尚未分析*的標籤。例外狀況是空的儲存貯體。*空儲存貯*體是不會存放任何物件的儲存貯體，或儲存貯體的所有物件都包含零 (0) 個位元組的資料。如果是儲存貯體，Macie 會將分數 *1* 指派給儲存貯體，並將*不敏感*標籤指派給儲存貯體。  
隨著自動化敏感資料探索的進行，Macie 會更新敏感分數和標籤，以反映其分析結果。例如：  
+ 如果 Macie 在物件中找不到敏感資料，Macie 會降低儲存貯體的敏感度分數，並視需要更新儲存貯體的敏感度標籤。
+ 如果 Macie 在物件中發現敏感資料，Macie 會提高儲存貯體的敏感度分數，並視需要更新儲存貯體的敏感度標籤。
+ 如果 Macie 在後續變更的物件中找到敏感資料，Macie 會從儲存貯體的敏感度分數中移除物件的敏感資料偵測，並視需要更新儲存貯體的敏感度標籤。
+ 如果 Macie 在後續刪除的物件中發現敏感資料，Macie 會從儲存貯體的敏感度分數中移除物件的敏感資料偵測，並視需要更新儲存貯體的敏感度標籤。
您可以透過從儲存貯體分數中包含或排除特定類型的敏感資料，來調整個別 S3 儲存貯體的敏感度評分設定。您也可以手動將最大分數 (*100*) 指派給儲存貯體，以覆寫儲存貯體的計算分數。如果您指派最高分數，則儲存貯體的標籤為*敏感*。如需詳細資訊，請參閱[調整 S3 儲存貯體的敏感度分數](discovery-asdd-s3bucket-manage.md)。

**產生中繼資料、統計資料和其他類型的結果**  
當您啟用自動敏感資料探索時，Macie 會產生並開始維護有關帳戶 S3 一般用途儲存貯體的其他庫存資料、統計資料和其他資訊。如果您是組織的 Macie 管理員，則預設包含成員帳戶擁有的儲存貯體。  
額外資訊會擷取 Macie 到目前為止執行的自動化敏感資料探索活動的結果。它還補充了 Macie 提供有關 Amazon S3 資料的其他資訊，例如個別儲存貯體的公有存取和共用存取設定。其他資訊包括：  
+ 整個 Amazon S3 資料資產的資料敏感性互動式視覺化呈現。
+ 彙總資料敏感性統計資料，例如 Macie 在其中找到敏感資料的儲存貯體總數，以及可公開存取的儲存貯體數量。
+ 指示分析目前狀態的儲存貯體層級詳細資訊。例如，Macie 在儲存貯體中分析的物件清單、Macie 在儲存貯體中發現的敏感資料類型，以及 Macie 發現的每種敏感資料的發生次數。
此資訊也包含統計資料和詳細資訊，可協助您評估和監控 Amazon S3 資料的涵蓋範圍。您可以檢查整體資料資產和個別 S3 儲存貯體的分析狀態。您也可以識別讓 Macie 無法分析特定儲存貯體中物件的問題。如果您修復問題，您可以在後續分析週期中增加 Amazon S3 資料的涵蓋範圍。如需詳細資訊，請參閱[評估自動化敏感資料探索涵蓋範圍](discovery-coverage.md)。  
Macie 在執行自動敏感資料探索時，會自動重新計算和更新此資訊。例如，如果 Macie 在後續變更或刪除的 S3 物件中發現敏感資料，Macie 會更新適用的儲存貯體中繼資料：從分析的物件清單中移除物件；移除 Macie 在物件中找到的敏感資料；重新計算敏感分數，如果分數是自動計算的；並視需要更新敏感標籤以反映新分數。  
除了中繼資料和統計資料之外，Macie 還會產生其找到的敏感資料記錄及其執行的分析：*敏感資料調查結果*，報告 Macie 在個別 S3 物件中找到的敏感資料，以及*敏感資料探索結果*，這些結果會記錄個別 S3 物件分析的詳細資訊。  
如需詳細資訊，請參閱[檢閱自動化敏感資料探索結果](discovery-asdd-results-s3.md)。

## 考量事項
<a name="discovery-asdd-how-it-works-considerations"></a>

當您設定和使用 Amazon Macie 為您的 Amazon S3 資料執行自動敏感資料探索時，請記住下列事項：
+ 您的自動探索設定僅適用於目前的 AWS 區域。因此，產生的分析和資料僅適用於目前區域中的 S3 一般用途儲存貯體和物件。若要在其他區域中執行自動探索並存取產生的資料，請在每個其他區域中啟用和設定自動探索。
+ 如果您是組織的 Macie 管理員：
  + 只有在目前區域中的帳戶啟用 Macie 時，您才能為成員帳戶執行自動探索。此外，您必須為該區域中的帳戶啟用自動探索。成員無法為自己的帳戶啟用或停用自動探索。
  + 如果您為成員帳戶啟用自動探索，Macie 會在分析成員帳戶的資料時，為您的管理員帳戶使用自動探索設定。適用的設定為：要從分析中排除的 S3 儲存貯體清單，以及受管資料識別符、自訂資料識別符，並允許在分析 S3 物件時使用清單。成員無法檢閱或變更這些設定。
  + 成員無法存取其擁有之個別 S3 儲存貯體的自動探索設定。例如，成員無法檢閱或調整其中一個儲存貯體的敏感度評分設定。只有 Macie 管理員可以存取這些設定。
  + 成員可以讀取敏感資料探索統計資料，以及 Macie 為其 S3 儲存貯體直接提供的其他結果。例如，成員可以使用 Macie 來檢閱 S3 儲存貯體的敏感度分數和涵蓋範圍資料。例外狀況是敏感資料調查結果。只有 Macie 管理員可以直接存取自動探索產生的調查結果。
+ 如果 S3 儲存貯體的許可設定阻止 Macie 存取或擷取儲存貯體或儲存貯體物件的相關資訊，則 Macie 無法執行儲存貯體的自動探索。Macie 只能提供有關儲存貯體的資訊子集，例如 AWS 帳戶 擁有儲存貯體的 帳戶 ID、儲存貯體名稱，以及 Macie 在[每日重新整理週期](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh)中最近擷取儲存貯體的儲存貯體和物件中繼資料時。在您的儲存貯體庫存中，這些儲存貯體的敏感度分數為 *50*，而其敏感度標籤*尚未分析*。若要識別發生這種情況的 S3 儲存貯體，您可以參考涵蓋範圍資料。如需詳細資訊，請參閱[評估自動化敏感資料探索涵蓋範圍](discovery-coverage.md)。
+ 若要符合選取和分析的資格，S3 物件必須存放在一般用途儲存貯體中，且必須*可分類*。*可分類*物件使用支援的 Amazon S3 儲存類別，且具有支援檔案或儲存格式的檔案名稱副檔名。如需詳細資訊，請參閱[支援的儲存類別和格式](discovery-supported-storage.md)。
+ 如果 S3 物件已加密，只有在使用 Macie 可存取且允許使用的金鑰加密時，Macie 才能分析該物件。如需詳細資訊，請參閱[分析加密的 S3 物件](discovery-supported-encryption-types.md)。若要識別加密設定導致 Macie 無法分析儲存貯體中一或多個物件的情況，您可以參考涵蓋範圍資料。如需詳細資訊，請參閱[評估自動化敏感資料探索涵蓋範圍](discovery-coverage.md)。

# 設定自動敏感資料探索
<a name="discovery-asdd-account-manage"></a>

若要廣泛了解敏感資料可能位於 Amazon Simple Storage Service (Amazon S3) 資料資產中的位置，請為您的帳戶或組織啟用並設定自動敏感資料探索。然後，Amazon Macie 會每天評估您的 S3 儲存貯體庫存，並使用抽樣技術來識別和選取儲存貯體中的代表性 S3 物件。Macie 會擷取和分析選取的物件，並檢查它們是否有敏感資料。如果您是組織的 Macie 管理員，根據預設，這包含成員帳戶擁有的 S3 儲存貯體中的物件。

隨著分析每天進行，Macie 會產生其找到的敏感資料記錄及其執行的分析。Macie 也會更新統計資料、庫存資料，以及它提供的 Amazon S3 資料其他資訊。產生的資料可讓您深入了解 Macie 在 Amazon S3 資料資產中發現敏感資料的位置，這可能跨越您帳戶或組織的所有 S3 儲存貯體。如需詳細資訊，請參閱[自動化敏感資料探索的運作方式](discovery-asdd-how-it-works.md)。

如果您有獨立的 Macie 帳戶，或是組織的 Macie 管理員，您可以為帳戶或組織設定和管理自動敏感資料探索。這包括啟用和停用自動探索，以及設定定義 Macie 執行之分析範圍和性質的設定。如果您在組織中有成員帳戶，請聯絡您的 Macie 管理員，以了解您帳戶和組織的設定。

**Topics**
+ [設定自動敏感資料探索的先決條件](discovery-asdd-account-configure-prereqs.md)
+ [啟用自動敏感資料探索](discovery-asdd-account-enable.md)
+ [設定自動敏感資料探索的設定](discovery-asdd-account-configure.md)
+ [停用自動化敏感資料探索](discovery-asdd-account-disable.md)

# 設定自動敏感資料探索的先決條件
<a name="discovery-asdd-account-configure-prereqs"></a>

啟用或設定自動敏感資料探索的設定之前，請先完成下列任務。這有助於確保您擁有所需的資源和許可。

若要完成這些任務，您必須是組織的 Amazon Macie 管理員，或擁有獨立的 Macie 帳戶。如果您的帳戶是組織的一部分，只有組織的 Macie 管理員才能啟用或停用組織中帳戶的自動敏感資料探索。此外，只有 Macie 管理員可以設定帳戶的自動探索設定。

**Topics**
+ [步驟 1：為敏感資料探索結果設定儲存庫](#discovery-asdd-account-configure-prereqs-sddr)
+ [步驟 2：驗證您的許可](#discovery-asdd-account-configure-prereqs-perms)
+ [後續步驟](#discovery-asdd-account-configure-prereqs-next)

## 步驟 1：為敏感資料探索結果設定儲存庫
<a name="discovery-asdd-account-configure-prereqs-sddr"></a>

當 Amazon Macie 執行自動敏感資料探索時，它會為每個為分析選取的 Amazon Simple Storage Service (Amazon S3) 物件建立分析記錄。這些記錄稱為*敏感資料探索結果*，記錄有關個別 S3 物件分析的詳細資訊。這包括 Macie 找不到敏感資料的物件，以及 Macie 因錯誤或許可設定等問題而無法分析的物件。如果 Macie 在 物件中找到敏感資料，敏感資料探索結果會包含 Macie 找到之敏感資料的相關資訊。敏感資料探索結果為您提供分析記錄，有助於資料隱私權和保護稽核或調查。

Macie 只會儲存您的敏感資料探索結果 90 天。若要存取結果並啟用長期儲存和保留，請設定 Macie 將結果存放在 S3 儲存貯體中。儲存貯體可以做為所有敏感資料探索結果的確定性長期儲存庫。如果您是組織的 Macie 管理員，這包含您啟用自動敏感資料探索之成員帳戶的敏感資料探索結果。

若要驗證是否已設定此儲存庫，請在 Amazon Macie 主控台的導覽窗格中選擇**探索結果**。如果您偏好以程式設計方式執行此操作，請使用 Amazon Macie API 的 [GetClassificationExportConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/classification-export-configuration.html) 操作。若要進一步了解敏感資料探索結果以及如何設定此儲存庫，請參閱 [儲存及保留敏感資料探索結果](discovery-results-repository-s3.md)。

如果您已設定儲存庫，當您第一次啟用自動敏感資料探索時，Macie 會在儲存庫`automated-sensitive-data-discovery`中建立名為 的資料夾。此資料夾存放 Macie 在為您的帳戶或組織執行自動探索時建立的敏感資料探索結果。

如果您在多個 中使用 Macie AWS 區域，請確認您已為每個區域設定儲存庫。

## 步驟 2：驗證您的許可
<a name="discovery-asdd-account-configure-prereqs-perms"></a>

若要驗證您的許可，請使用 AWS Identity and Access Management (IAM) 檢閱連接至 IAM 身分的 IAM 政策。然後將這些政策中的資訊與下列必須允許您執行的動作清單進行比較：
+ `macie2:GetMacieSession`
+ `macie2:UpdateAutomatedDiscoveryConfiguration`
+ `macie2:ListClassificationScopes`
+ `macie2:UpdateClassificationScope`
+ `macie2:ListSensitivityInspectionTemplates`
+ `macie2:UpdateSensitivityInspectionTemplate`

第一個動作可讓您存取 Amazon Macie 帳戶。第二個動作可讓您啟用或停用帳戶或組織的自動敏感資料探索。對於組織，它還允許您為組織中的帳戶自動啟用自動探索。剩餘的動作可讓您識別和變更組態設定。

如果您打算使用 Amazon Macie 主控台檢閱或變更組態設定，也必須允許您執行下列動作：
+ `macie2:GetAutomatedDiscoveryConfiguration`
+ `macie2:GetClassificationScope`
+ `macie2:GetSensitivityInspectionTemplate`

這些動作可讓您擷取目前的組態設定，以及帳戶或組織的自動敏感資料探索狀態。如果您計劃以程式設計方式變更組態設定，則執行這些動作的許可是選擇性的。

如果您是組織的 Macie 管理員，也必須允許您執行下列動作：
+ `macie2:ListAutomatedDiscoveryAccounts`
+ `macie2:BatchUpdateAutomatedDiscoveryAccounts`

第一個動作可讓您擷取組織中個別帳戶的自動敏感資料探索狀態。第二個動作可讓您啟用或停用組織中個別帳戶的自動探索。

如果您不被允許執行必要動作，請向您的 AWS 管理員尋求協助。

## 後續步驟
<a name="discovery-asdd-account-configure-prereqs-next"></a>

完成上述任務後，您就可以啟用和設定帳戶或組織的設定：
+ [啟用自動敏感資料探索](discovery-asdd-account-enable.md)
+ [設定自動敏感資料探索的設定](discovery-asdd-account-configure.md)

 

# 啟用自動敏感資料探索
<a name="discovery-asdd-account-enable"></a>

當您啟用自動敏感資料探索時，Amazon Macie 會開始評估您的 Amazon Simple Storage Service (Amazon S3) 清查資料，並在目前為您的帳戶執行其他自動探索活動 AWS 區域。如果您是組織的 Macie 管理員，則根據預設，評估和活動包含成員帳戶擁有的 S3 儲存貯體。根據 Amazon S3 資料資產的大小，統計資料和其他結果可能會在 48 小時內開始顯示。

啟用自動敏感資料探索之後，您可以設定設定，以精簡 Macie 執行之分析的範圍和性質。這些設定會指定要從分析中排除的任何 S3 儲存貯體。它們也會指定受管資料識別符、自訂資料識別符，並允許 Macie 在分析 S3 物件時使用的清單。如需這些設定的資訊，請參閱 [設定自動敏感資料探索的設定](discovery-asdd-account-configure.md)。如果您是組織的 Macie 管理員，您也可以根據case-by-case啟用或停用組織中個別帳戶的自動敏感資料探索，以縮小分析範圍。

若要啟用自動敏感資料探索，您必須是組織的 Macie 管理員，或擁有獨立的 Macie 帳戶。如果您在組織中有成員帳戶，請與您的 Macie 管理員合作，為您的帳戶啟用自動敏感資料探索。

**啟用自動敏感資料探索**  
如果您是組織的 Macie 管理員，或擁有獨立的 Macie 帳戶，您可以使用 Amazon Macie 主控台或 Amazon Macie API 來啟用自動敏感資料探索。如果您是第一次啟用，請先[完成先決條件任務](discovery-asdd-account-configure-prereqs.md)。這有助於確保您擁有所需的資源和許可。

------
#### [ Console ]

請依照下列步驟，使用 Amazon Macie 主控台啟用自動敏感資料探索。

**啟用自動敏感資料探索**

1. 開啟位於 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 的 Amazon Macie 主控台。

1. 使用頁面右上角的 AWS 區域 選取器，選擇您要啟用自動敏感資料探索的區域。

1. 在導覽窗格中的設定下****，選擇**自動敏感資料探索**。

1. 如果您有獨立的 Macie 帳戶，請在**狀態**區段中選擇**啟用**。

1. 如果您是組織的 Macie 管理員，請在**狀態**區段中選擇選項，以指定帳戶來啟用自動敏感資料探索：
   + 若要為組織中的所有帳戶啟用此功能，請選擇**啟用**。在出現的對話方塊中，選擇**我的組織**。對於 中的組織 AWS Organizations，選取**自動為新帳戶啟用**，以自動為後續加入您組織的帳戶啟用它。完成後，請選擇**啟用**。
   + 若要僅針對特定成員帳戶啟用此功能，請選擇**管理帳戶**。然後，在**帳戶**頁面上的表格中，選取要為其啟用的每個帳戶的核取方塊。完成後，請在**動作**功能表上選擇**啟用自動敏感資料探索**。
   + 若要僅針對 Macie 管理員帳戶啟用它，請選擇**啟用**。在出現的對話方塊中，選擇**我的帳戶**並清除**自動啟用新帳戶**。完成後，請選擇**啟用**。

如果您在多個區域中使用 Macie，並想要在其他區域中啟用自動敏感資料探索，請在每個其他區域中重複上述步驟。

若要後續檢查或變更組織中個別帳戶自動敏感資料探索的狀態，請在導覽窗格中選擇**帳戶**。在**帳戶**頁面上，表格中的**自動化敏感資料探索**欄位指出帳戶自動探索的目前狀態。若要變更帳戶的狀態，請選取帳戶的核取方塊。然後使用**動作**功能表來啟用或停用帳戶的自動探索。

------
#### [ API ]

若要以程式設計方式啟用自動化敏感資料探索，您有幾個選項：
+ 若要為 Macie 管理員帳戶、組織或獨立 Macie 帳戶啟用此功能，請使用 [UpdateAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html) 操作。或者，如果您使用的 AWS Command Line Interface 是 (AWS CLI)，請執行 [update-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-automated-discovery-configuration.html) 命令。
+ 若要僅針對組織中的特定成員帳戶啟用此功能，請使用 [BatchUpdateAutomatedDiscoveryAccounts](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-accounts.html) 操作。或者，如果您使用的是 AWS CLI，請執行 [batch-update-automated-discovery-accounts](https://docs.aws.amazon.com/cli/latest/reference/macie2/batch-update-automated-discovery-accounts.html) 命令。若要為成員帳戶啟用自動探索，您必須先為管理員帳戶或組織啟用它。

其他選項和詳細資訊會根據您擁有的帳戶類型而有所不同。

如果您是 Macie 管理員，請使用 **UpdateAutomatedDiscoveryConfiguration**操作或執行 **update-automated-discovery-configuration**命令，為您的 帳戶或組織啟用自動敏感資料探索。在您的請求中，`ENABLED`為 `status` 參數指定 。針對 `autoEnableOrganizationMembers` 參數，指定要為其啟用的帳戶。如果您使用的是 AWS CLI，請使用 `auto-enable-organization-members` 參數指定帳戶。有效的值如下：
+ `ALL` （預設） – 為您組織中的所有帳戶啟用此功能。這包括您的管理員帳戶、現有的成員帳戶，以及後續加入您組織的帳戶。
+ `NEW` – 為您的管理員帳戶啟用它。同時為後續加入您組織的帳戶自動啟用此功能。如果您之前為組織啟用了自動探索，並指定了此值，則將繼續為目前啟用的現有成員帳戶啟用自動探索。
+ `NONE` – 僅啟用您的管理員帳戶。請勿針對後續加入您組織的帳戶自動啟用此功能。如果您之前為組織啟用了自動探索，並指定了此值，則將繼續為目前啟用的現有成員帳戶啟用自動探索。

如果您想要僅針對特定成員帳戶選擇性地啟用自動敏感資料探索，請指定 `NEW`或 `NONE`。然後，您可以使用 **BatchUpdateAutomatedDiscoveryAccounts**操作或執行 **batch-update-automated-discovery-accounts**命令來啟用帳戶的自動探索。

如果您有獨立的 Macie 帳戶，請使用 **UpdateAutomatedDiscoveryConfiguration**操作或執行 **update-automated-discovery-configuration**命令，為您的 帳戶啟用自動敏感資料探索。在您的請求中，`ENABLED`為 `status` 參數指定 。針對 `autoEnableOrganizationMembers` 參數，請考慮您是否計劃成為其他帳戶的 Macie 管理員，並指定適當的值。如果您指定 `NONE`，當您成為帳戶的 Macie 管理員時，帳戶不會自動啟用自動探索。如果您指定 `ALL`或 `NEW`，會自動為帳戶啟用自動探索。如果您使用的是 AWS CLI，請使用 `auto-enable-organization-members` 參數來指定此設定的適當值。

下列範例示範如何使用 AWS CLI 為組織中的一或多個帳戶啟用自動敏感資料探索。第一個範例會首次啟用組織中所有帳戶的自動探索。它可自動探索 Macie 管理員帳戶、所有現有的成員帳戶，以及後續加入組織的任何帳戶。

```
$ aws macie2 update-automated-discovery-configuration --status ENABLED --auto-enable-organization-members ALL --region us-east-1
```

其中 *us-east-1* 是為帳戶啟用自動敏感資料探索的區域，即美國東部 （維吉尼亞北部） 區域。如果請求成功，Macie 會啟用帳戶的自動探索，並傳回空的回應。

下一個範例會將組織的成員啟用設定變更為 `NONE`。透過此變更，不會針對後續加入組織的帳戶自動啟用自動敏感資料探索。相反地，它只會針對 Macie 管理員帳戶及其目前啟用的任何現有成員帳戶啟用。

```
$ aws macie2 update-automated-discovery-configuration --status ENABLED --auto-enable-organization-members NONE --region us-east-1
```

其中 *us-east-1* 是變更設定的區域，即美國東部 （維吉尼亞北部） 區域。如果請求成功，Macie 會更新設定並傳回空白回應。

下列範例可為組織中的兩個成員帳戶啟用自動敏感資料探索。Macie 管理員已為組織啟用自動探索。此範例已針對 Linux、macOS 或 Unix 格式化，並使用反斜線 (\$1) 行接續字元來改善可讀性。

```
$ aws macie2 batch-update-automated-discovery-accounts \
--region us-east-1 \
--accounts '[{"accountId":"123456789012","status":"ENABLED"},{"accountId":"111122223333","status":"ENABLED"}]'
```

此範例已針對 Microsoft Windows 進行格式化，並使用八進制 (^) 換行字元來改善可讀性。

```
C:\> aws macie2 batch-update-automated-discovery-accounts ^
--region us-east-1 ^
--accounts=[{\"accountId\":\"123456789012\",\"status\":\"ENABLED\"},{\"accountId\":\"111122223333\",\"status\":\"ENABLED\"}]
```

其中：
+ *us-east-1* 是為指定的帳戶美國東部 （維吉尼亞北部） 區域啟用自動敏感資料探索的區域。
+ *123456789012* 和 *111122223333* 是帳戶用來啟用自動敏感資料探索的帳戶 IDs。

如果所有指定帳戶的請求成功，Macie 會傳回空`errors`陣列。如果某些帳戶的請求失敗，陣列會指定每個受影響帳戶的錯誤。例如：

```
"errors": [
    {
        "accountId": "123456789012",
        "errorCode": "ACCOUNT_PAUSED"
    }
]
```

在上述回應中，指定帳戶 (`123456789012`) 的請求失敗，因為該帳戶的 Macie 目前已暫停。若要解決此錯誤，Macie 管理員必須先為帳戶啟用 Macie。

如果所有帳戶的請求都失敗，您會收到說明發生錯誤的訊息。

------

# 設定自動敏感資料探索的設定
<a name="discovery-asdd-account-configure"></a>

如果您為帳戶或組織啟用自動敏感資料探索，您可以調整自動探索設定，以精簡 Amazon Macie 執行的分析。這些設定指定要從分析中排除的 Amazon Simple Storage Service (Amazon S3) 儲存貯體。它們也會指定要偵測和報告的敏感資料類型和出現次數，包括受管資料識別符、自訂資料識別符，並允許清單在分析 S3 物件時使用。

根據預設，Macie 會為您帳戶的所有 S3 一般用途儲存貯體執行自動敏感資料探索。如果您是組織的 Macie 管理員，這包含成員帳戶擁有的儲存貯體。您可以從分析中排除特定儲存貯體。例如，您可以排除通常存放 AWS 記錄資料的儲存貯體，例如 AWS CloudTrail 事件日誌。如果您排除儲存貯體，您可以稍後再次包含該儲存貯體。

此外，Macie 只會使用一組我們建議用於自動敏感資料探索的受管資料識別符來分析 S3 物件。Macie 不會使用自訂資料識別符或允許您定義的清單。若要自訂分析，您可以新增或移除特定受管資料識別符、自訂資料識別符和允許清單。

如果您變更設定，Macie 會在下一個評估和分析週期開始時套用變更，通常是在 24 小時內。此外，您的變更僅適用於目前的 AWS 區域。若要在其他區域中進行相同的變更，請在每個其他區域中重複適用的步驟。

**Topics**
+ [組織的組態選項](#discovery-asdd-configure-options-orgs)
+ [排除或包含 S3 儲存貯體](#discovery-asdd-account-configure-s3buckets)
+ [新增或移除受管資料識別符](#discovery-asdd-account-configure-mdis)
+ [新增或移除自訂資料識別符](#discovery-asdd-account-configure-cdis)
+ [新增或移除允許清單](#discovery-asdd-account-configure-als)

**注意**  
若要設定自動敏感資料探索的設定，您必須是組織的 Macie 管理員，或擁有獨立的 Macie 帳戶。如果您的帳戶是組織的一部分，則只有組織的 Macie 管理員可以設定和管理組織中帳戶的設定。如果您有成員帳戶，請聯絡您的 Macie 管理員，以了解您帳戶和組織的設定。

## 組織的組態選項
<a name="discovery-asdd-configure-options-orgs"></a>

如果帳戶是集中管理多個 Amazon Macie 帳戶的組織的一部分，組織的 Macie 管理員會設定和管理組織中帳戶的自動敏感資料探索。這包括定義 Macie 為帳戶執行之分析範圍和性質的設定。成員無法存取自己帳戶的這些設定。

如果您是組織的 Macie 管理員，您可以透過多種方式定義分析範圍：
+ **自動啟用帳戶的自動敏感資料探索** – 當您啟用自動敏感資料探索時，您可以指定要為所有現有帳戶和新成員帳戶啟用它、僅啟用新成員帳戶，還是不啟用成員帳戶。如果您為新成員帳戶啟用此功能，則會在帳戶在 Macie 中加入您的組織時，自動為後續加入您組織的任何帳戶啟用此功能。如果帳戶已啟用此功能，Macie 會包含帳戶擁有的 S3 儲存貯體。如果帳戶已停用，Macie 會排除帳戶擁有的儲存貯體。
+ **選擇性地啟用帳戶的自動敏感資料探索** – 使用此選項，您可以case-by-case帳戶個別案例啟用或停用自動敏感資料探索。如果您為 帳戶啟用此功能，Macie 會包含帳戶擁有的 S3 儲存貯體。如果您未啟用或停用帳戶的儲存貯體，Macie 會排除帳戶擁有的儲存貯體。
+ **從自動敏感資料探索中排除特定 S3 儲存貯**體 – 如果您為帳戶啟用自動敏感資料探索，則可以排除帳戶擁有的特定 S3 儲存貯體。Macie 接著會在執行自動探索時略過儲存貯體。若要排除特定儲存貯體，請將它們新增至管理員帳戶的組態設定中的排除清單。您可以為您的組織排除多達 1，000 個儲存貯體。

根據預設，自動為組織中的所有新帳戶和現有帳戶啟用自動敏感資料探索。此外，Macie 包含帳戶擁有的所有 S3 儲存貯體。如果您保留預設設定，這表示 Macie 會為您的管理員帳戶執行所有儲存貯體的自動探索，其中包括您的成員帳戶擁有的所有儲存貯體。

身為 Macie 管理員，您也可以定義 Macie 為組織執行之分析的性質。您可以透過為管理員帳戶設定其他設定來執行此操作：受管資料識別符、自訂資料識別符，並允許 Macie 在分析 S3 物件時要使用的清單。Macie 在分析組織中其他帳戶的 S3 物件時，會使用管理員帳戶的設定。

## 在自動化敏感資料探索中排除或包含 S3 儲存貯體
<a name="discovery-asdd-account-configure-s3buckets"></a>

根據預設，Amazon Macie 會為您帳戶的所有 S3 一般用途儲存貯體執行自動敏感資料探索。如果您是組織的 Macie 管理員，這包含成員帳戶擁有的儲存貯體。

若要縮小範圍，您可以從分析中排除多達 1，000 個 S3 儲存貯體。如果您排除儲存貯體，Macie 會在執行自動敏感資料探索時停止選取和分析儲存貯體中的物件。儲存貯體的現有敏感資料探索統計資料和詳細資訊會持續存在。例如，儲存貯體目前的敏感度分數保持不變。排除儲存貯體之後，您可以稍後再次包含該儲存貯體。

**在自動化敏感資料探索中排除或包含 S3 儲存貯體**  
您可以使用 Amazon Macie 主控台或 Amazon Macie API 來排除或後續包含 S3 儲存貯體。

------
#### [ Console ]

請依照下列步驟，使用 Amazon Macie 主控台排除或後續包含 S3 儲存貯體。

**排除或包含 S3 儲存貯體**

1. 在 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。

1. 透過使用頁面右上角的 AWS 區域 選取器，選擇您要在分析中排除或包含特定 S3 儲存貯體的區域。

1. 在導覽窗格中的設定下****，選擇**自動敏感資料探索**。

   自動化**敏感資料探索**頁面隨即出現，並顯示您目前的設定。在該頁面上，**S3 儲存貯**體區段會列出目前排除的 S3 儲存貯體，或指出目前包含所有儲存貯體。

1. 在 **S3 儲存貯**體區段中，選擇**編輯**。

1. 執行以下任意一項：
   + 若要排除一或多個 S3 儲存貯體，請選擇將儲存**貯體新增至排除清單**。然後，在 **S3 儲存貯**體資料表中，選取要排除的每個儲存貯體的核取方塊。資料表列出目前區域中您帳戶或組織的所有一般用途儲存貯體。
   + 若要包含您先前排除的一或多個 S3 儲存貯體，請從**排除清單中選擇移除儲存貯體**。然後，在 **S3 儲存貯**體資料表中，選取要包含的每個儲存貯體的核取方塊。資料表列出目前從分析中排除的所有儲存貯體。

   若要更輕鬆地尋找特定儲存貯體，請在資料表上方的搜尋方塊中輸入搜尋條件。您也可以選擇欄標題來排序資料表。

1. 完成選取儲存貯體後，根據您在上一個步驟中選擇的選項，選擇**新增**或**移除**。

**提示**  
您也可以在主控台上檢閱儲存貯體詳細資訊時case-by-case排除或包含個別 S3 儲存貯體。若要這樣做，請在 **S3 儲存貯體頁面上選擇儲存貯體**。然後，在詳細資訊面板中，變更從儲存貯體的**自動探索排除**設定。

------
#### [ API ]

若要以程式設計方式排除或後續包含 S3 儲存貯體，請使用 Amazon Macie API 來更新帳戶的分類範圍。分類範圍會指定您不希望 Macie 在執行自動敏感資料探索時分析的儲存貯體。它定義了自動探索的儲存貯體排除清單。

當您更新分類範圍時，您可以指定要從排除清單中新增或移除個別儲存貯體，還是使用新清單覆寫目前的清單。因此，最好從擷取和檢閱您目前的清單開始。若要擷取清單，請使用 [GetClassificationScope](https://docs.aws.amazon.com/macie/latest/APIReference/classification-scopes-id.html) 操作。如果您使用的是 AWS Command Line Interface (AWS CLI)，請執行 [get-classification-scope](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-classification-scope.html) 命令來擷取清單。

若要擷取或更新分類範圍，您必須指定其唯一識別符 (`id`)。您可以使用 [GetAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html) 操作來取得此識別符。此操作會擷取目前用於自動敏感資料探索的組態設定，包括目前帳戶分類範圍的唯一識別符 AWS 區域。如果您使用的是 AWS CLI，請執行 [get-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-automated-discovery-configuration.html) 命令來擷取此資訊。

當您準備好更新分類範圍時，請使用 [UpdateClassificationScope](https://docs.aws.amazon.com/macie/latest/APIReference/classification-scopes-id.html) 操作，或者，如果您使用的是 AWS CLI，請執行 [update-classification-scope](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-classification-scope.html) 命令。在您的請求中，使用支援的參數在後續分析中排除或包含 S3 儲存貯體：
+ 若要排除一或多個儲存貯體，請為 `bucketNames` 參數指定每個儲存貯體的名稱。針對 `operation` 參數，請指定 `ADD`。
+ 若要包含您先前排除的一或多個儲存貯體，請為 `bucketNames` 參數指定每個儲存貯體的名稱。針對 `operation` 參數，請指定 `REMOVE`。
+ 若要使用要排除的新儲存貯體清單覆寫目前的清單，請`REPLACE`為 `operation` 參數指定 。針對 `bucketNames` 參數，指定要排除的每個儲存貯體名稱。

`bucketNames` 參數的每個值必須是目前區域中現有一般用途儲存貯體的完整名稱。值區分大小寫。如果您的請求成功，Macie 會更新分類範圍並傳回空白回應。

下列範例示範如何使用 AWS CLI 更新帳戶的分類範圍。第一組範例會從後續分析中排除兩個 S3 儲存貯體 (*amzn-s3-demo-bucket1* 和 *amzn-s3-demo-bucket2*)。它會將儲存貯體新增至要排除的儲存貯體清單。

此範例已針對 Linux、macOS 或 Unix 格式化，並使用反斜線 (\$1) 行接續字元來改善可讀性。

```
$ aws macie2 update-classification-scope \
--id 117aff7ed76b59a59c3224ebdexample \
--s3 '{"excludes":{"bucketNames":["amzn-s3-demo-bucket1","amzn-s3-demo-bucket2"],"operation": "ADD"}}'
```

此範例已針對 Microsoft Windows 進行格式化，並使用八進制 (^) 換行字元來改善可讀性。

```
C:\> aws macie2 update-classification-scope ^
--id 117aff7ed76b59a59c3224ebdexample ^
--s3={\"excludes\":{\"bucketNames\":[\"amzn-s3-demo-bucket1\",\"amzn-s3-demo-bucket2\"],\"operation\":\"ADD\"}}
```

下一組範例稍後會在後續分析中包含儲存貯體 (*amzn-s3-demo-bucket1* 和 *amzn-s3-demo-bucket2*)。它會從要排除的儲存貯體清單中移除儲存貯體。針對 Linux、macOS 或 Unix：

```
$ aws macie2 update-classification-scope \
--id 117aff7ed76b59a59c3224ebdexample \
--s3 '{"excludes":{"bucketNames":["amzn-s3-demo-bucket1","amzn-s3-demo-bucket2"],"operation": "REMOVE"}}'
```

對於 Microsoft Windows：

```
C:\> aws macie2 update-classification-scope ^
--id 117aff7ed76b59a59c3224ebdexample ^
--s3={\"excludes\":{\"bucketNames\":[\"amzn-s3-demo-bucket1\",\"amzn-s3-demo-bucket2\"],\"operation\":\"REMOVE\"}}
```

下列範例會覆寫目前清單，並以要排除的新 S3 儲存貯體清單取代目前清單。新清單會指定三個要排除的儲存貯體：*amzn-s3-demo-bucket*、*amzn-s3-demo-bucket2* 和 *amzn-s3-demo-bucket3*。針對 Linux、macOS 或 Unix：

```
$ aws macie2 update-classification-scope \
--id 117aff7ed76b59a59c3224ebdexample \
--s3 '{"excludes":{"bucketNames":["amzn-s3-demo-bucket","amzn-s3-demo-bucket2","amzn-s3-demo-bucket3"],"operation": "REPLACE"}}'
```

對於 Microsoft Windows：

```
C:\> aws macie2 update-classification-scope ^
--id 117aff7ed76b59a59c3224ebdexample ^
--s3={\"excludes\":{\"bucketNames\":[\"amzn-s3-demo-bucket\",\"amzn-s3-demo-bucket2\",\"amzn-s3-demo-bucket3\"],\"operation\":\"REPLACE\"}}
```

------

## 從自動化敏感資料探索新增或移除受管資料識別符
<a name="discovery-asdd-account-configure-mdis"></a>

*受管資料識別符*是一組內建條件和技術，旨在偵測特定類型的敏感資料，例如，信用卡號碼、 AWS 私密存取金鑰或特定國家或地區的護照號碼。根據預設，Amazon Macie 會使用我們建議用於自動敏感資料探索的一組受管資料識別符來分析 S3 物件。若要檢閱這些識別符的清單，請參閱 [自動化敏感資料探索的預設設定](discovery-asdd-settings-defaults.md)。

您可以自訂分析以專注於特定類型的敏感資料：
+ 為您希望 Macie 偵測和報告的敏感資料類型新增受管資料識別符，以及
+ 移除您不希望 Macie 偵測和報告的敏感資料類型的受管資料識別符。

如需 Macie 目前提供的所有受管資料識別符的完整清單，以及每個識別符的詳細資訊，請參閱 [使用受管資料識別符](managed-data-identifiers.md)。

如果您移除受管資料識別符，您的變更不會影響 S3 儲存貯體的現有敏感資料探索統計資料和詳細資訊。例如，如果您移除秘密存取金鑰的 AWS 受管資料識別符，且 Macie 先前偵測到儲存貯體中的資料，則 Macie 會繼續報告這些偵測。不過，不要移除會影響所有儲存貯體後續分析的識別符，請考慮將其偵測排除在僅特定儲存貯體的敏感度分數之外。如需詳細資訊，請參閱[調整 S3 儲存貯體的敏感度分數](discovery-asdd-s3bucket-manage.md)。

**從自動化敏感資料探索新增或移除受管資料識別符**  
您可以使用 Amazon Macie 主控台或 Amazon Macie API 來新增或移除受管資料識別符。

------
#### [ Console ]

請依照下列步驟，使用 Amazon Macie 主控台新增或移除受管資料識別符。

**新增或移除受管資料識別符**

1. 在 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。

1. 使用頁面右上角的 AWS 區域 選取器，選擇要在其中新增或移除分析中受管資料識別符的區域。

1. 在導覽窗格中的設定下****，選擇**自動敏感資料探索**。

   自動化**敏感資料探索**頁面隨即出現，並顯示您目前的設定。在該頁面上，**受管資料識別符**區段會顯示您目前的設定，並組織成兩個索引標籤：
   + **已新增至預設** – 此標籤會列出您新增的受管資料識別符。Macie 除了在預設設定中且您尚未移除的識別符之外，還使用這些識別符。
   + **從預設中移除** – 此標籤列出您移除的受管資料識別符。Macie 不會使用這些識別符。

1. 在**受管資料識別符**區段中，選擇**編輯**。

1. 執行下列任何一項：
   + 若要新增一或多個受管資料識別符，請選擇**新增至預設**索引標籤。然後，在表格中，選取要新增的每個受管資料識別符的核取方塊。如果已選取核取方塊，表示您已新增該識別符。
   + 若要移除一或多個受管資料識別符，請選擇**從預設標籤移除**。然後，在表格中，選取要移除的每個受管資料識別符的核取方塊。如果已選取核取方塊，表示您已移除該識別符。

   在每個索引標籤上，資料表會顯示 Macie 目前提供的所有受管資料識別符清單。在表格中，第一欄指定每個受管資料識別符的 ID。ID 說明識別符設計用來偵測的敏感資料類型，例如美國護照號碼的 **USA\$1PASSPORT\$1NUMBER**。若要更輕鬆地尋找特定受管資料識別符，請在資料表上方的搜尋方塊中輸入搜尋條件。您也可以選擇欄標題來排序資料表。

1. 完成後，請選擇**儲存**。

------
#### [ API ]

若要以程式設計方式新增或移除受管資料識別符，請使用 Amazon Macie API 來更新帳戶的敏感檢查範本。範本會儲存設定，除了預設設定中的項目之外，還指定要使用哪些受管資料識別符 (*包括*)。它們也會指定不使用的受管資料識別符 (*排除*)。這些設定也會指定任何自訂資料識別符，並允許您要 Macie 使用的清單。

當您更新範本時，會覆寫其目前的設定。因此，最好先擷取您目前的設定，並決定要保留哪些設定。若要擷取您目前的設定，請使用 [GetSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html) 操作。如果您使用的是 AWS Command Line Interface (AWS CLI)，請執行 [get-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitivity-inspection-template.html) 命令來擷取設定。

若要擷取或更新範本，您必須指定其唯一識別符 (`id`)。您可以使用 [GetAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html) 操作來取得此識別符。此操作會擷取目前用於自動敏感資料探索的組態設定，包括目前帳戶中敏感檢查範本的唯一識別符 AWS 區域。如果您使用的是 AWS CLI，請執行 [get-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-automated-discovery-configuration.html) 命令來擷取此資訊。

當您準備好更新範本時，請使用 [UpdateSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html) 操作，或者，如果您使用的是 AWS CLI，請執行 [update-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-sensitivity-inspection-template.html) 命令。在您的請求中，使用適當的參數，從後續分析中新增或移除一或多個受管資料識別符：
+ 若要開始使用受管資料識別符，請為 `managedDataIdentifierIds` 參數的 `includes` 參數指定其 ID。
+ 若要停止使用受管資料識別符，請為 `managedDataIdentifierIds` 參數的 `excludes` 參數指定其 ID。
+ 若要還原預設設定，請勿為 `includes`和 `excludes` 參數指定任何 IDs。然後，Macie 只會開始使用預設設定中的受管資料識別符。

除了受管資料識別符的參數之外，使用適當的`includes`參數來指定您希望 Macie 使用的任何自訂資料識別符 (`customDataIdentifierIds`) 和允許清單 (`allowListIds`)。同時指定您的請求套用的區域。如果您的請求成功，Macie 會更新範本並傳回空的回應。

下列範例示範如何使用 AWS CLI 更新帳戶的敏感度檢查範本。這些範例會新增一個受管資料識別符，並從後續分析中移除另一個識別符。它們也會維護目前設定，指定要使用的兩個自訂資料識別符。

此範例已針對 Linux、macOS 或 Unix 格式化，並使用反斜線 (\$1) 行接續字元來改善可讀性。

```
$ aws macie2 update-sensitivity-inspection-template \
--id fd7b6d71c8006fcd6391e6eedexample \
--excludes '{"managedDataIdentifierIds":["UK_ELECTORAL_ROLL_NUMBER"]}' \
--includes '{"managedDataIdentifierIds":["STRIPE_CREDENTIALS"],"customDataIdentifierIds":["3293a69d-4a1e-4a07-8715-208ddexample","6fad0fb5-3e82-4270-bede-469f2example"]}'
```

此範例已針對 Microsoft Windows 進行格式化，並使用八進制 (^) 換行字元來改善可讀性。

```
C:\> aws macie2 update-sensitivity-inspection-template ^
--id fd7b6d71c8006fcd6391e6eedexample ^
--excludes={\"managedDataIdentifierIds\":[\"UK_ELECTORAL_ROLL_NUMBER\"]} ^
--includes={\"managedDataIdentifierIds\":[\"STRIPE_CREDENTIALS\"],\"customDataIdentifierIds\":[\"3293a69d-4a1e-4a07-8715-208ddexample\",\"6fad0fb5-3e82-4270-bede-469f2example\"]}
```

其中：
+ *fd7b6d71c8006fcd6391e6eedexample* 是敏感度檢查範本要更新的唯一識別符。
+ *UK\$1ELECTORAL\$1ROLL\$1NUMBER* 是受管資料識別符停止使用的 ID *（排除*)。
+ *STRIPE\$1CREDENTIALS* 是受管資料識別符開始使用 (*包含*) 的 ID。
+ *3293a69d-4a1e-4a07-8715-208ddexample* 和 *6fad0fb5-3e82-4270-bede-469f2example* 是自訂資料識別符要使用的唯一識別符。

------

## 從自動化敏感資料探索新增或移除自訂資料識別符
<a name="discovery-asdd-account-configure-cdis"></a>

*自訂資料識別符*是您定義的一組條件，用於偵測敏感資料。此條件包含規則運算式 (*Regex*)，此表達式定義要比對的文字模式，以及可選擇的字元序列和精簡結果之鄰近性規則。如需詳細資訊，請參閱 [建置自訂資料識別符](custom-data-identifiers.md)。

根據預設，Amazon Macie 在執行自動敏感資料探索時不會使用自訂資料識別符。如果您希望 Macie 使用特定的自訂資料識別符，您可以將它們新增至後續分析。然後，除了您設定 Macie 使用的任何受管資料識別符之外，Macie 還會使用自訂資料識別符。

如果您新增自訂資料識別符，稍後可以將其移除。您的變更不會影響 S3 儲存貯體的現有敏感資料探索統計資料和詳細資訊。也就是說，如果您移除先前為儲存貯體產生偵測的自訂資料識別符，Macie 會繼續報告這些偵測。不過，不要移除會影響所有儲存貯體後續分析的識別符，請考慮將其偵測排除在僅特定儲存貯體的敏感度分數之外。如需詳細資訊，請參閱[調整 S3 儲存貯體的敏感度分數](discovery-asdd-s3bucket-manage.md)。

**從自動化敏感資料探索新增或移除自訂資料識別符**  
您可以使用 Amazon Macie 主控台或 Amazon Macie API 來新增或移除自訂資料識別符。

------
#### [ Console ]

請依照下列步驟，使用 Amazon Macie 主控台新增或移除自訂資料識別符。

**新增或移除自訂資料識別符**

1. 開啟位於 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 的 Amazon Macie 主控台。

1. 使用頁面右上角的 AWS 區域 選取器，選擇要在其中新增或移除分析中自訂資料識別符的區域。

1. 在導覽窗格中的設定下****，選擇**自動敏感資料探索**。

   自動化**敏感資料探索**頁面隨即出現，並顯示您目前的設定。在該頁面上，**自訂資料識別符**區段會列出您已新增的自訂資料識別符，或指出您尚未新增任何自訂資料識別符。

1. 在**自訂資料識別符**區段中，選擇**編輯**。

1. 執行下列任何一項：
   + 若要新增一或多個自訂資料識別符，請選取每個要新增之自訂資料識別符的核取方塊。如果已選取核取方塊，表示您已新增該識別符。
   + 若要移除一或多個自訂資料識別符，請清除每個要移除之自訂資料識別符的核取方塊。如果已清除核取方塊，Macie 目前不會使用該識別符。
**提示**  
若要在新增或移除自訂資料識別碼之前檢閱或測試其設定，請選擇識別碼名稱旁的連結圖示 (![\[The link icon, which is a blue box that has an arrow in it.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/icon-external-link.png))。Macie 會開啟顯示識別符設定的頁面。若要使用範例資料測試識別符，請在該頁面的範例**資料**方塊中輸入最多 1，000 個字元的文字。然後選擇**測試**。Macie 會評估範例資料並報告相符項目的數量。

1. 完成後，請選擇**儲存**。

------
#### [ API ]

若要以程式設計方式新增或移除自訂資料識別符，請使用 Amazon Macie API 來更新帳戶的敏感檢查範本。範本會存放設定，指定您希望 Macie 在執行自動敏感資料探索時使用的自訂資料識別符。這些設定也會指定要使用的受管資料識別符和允許清單。

當您更新範本時，會覆寫其目前的設定。因此，最好先擷取您目前的設定，並決定要保留哪些設定。若要擷取您目前的設定，請使用 [GetSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html) 操作。如果您使用的是 AWS Command Line Interface (AWS CLI)，請執行 [get-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitivity-inspection-template.html) 命令來擷取設定。

若要擷取或更新範本，您必須指定其唯一識別符 (`id`)。您可以使用 [GetAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html) 操作來取得此識別符。此操作會擷取目前用於自動敏感資料探索的組態設定，包括目前帳戶中敏感檢查範本的唯一識別符 AWS 區域。如果您使用的是 AWS CLI，請執行 [get-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-automated-discovery-configuration.html) 命令來擷取此資訊。

當您準備好更新範本時，請使用 [UpdateSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html) 操作，或者，如果您使用的是 AWS CLI，請執行 [update-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-sensitivity-inspection-template.html) 命令。在您的請求中，使用 `customDataIdentifierIds` 參數從後續分析中新增或移除一或多個自訂資料識別符：
+ 若要開始使用自訂資料識別符，請為 參數指定其唯一識別符。
+ 若要停止使用自訂資料識別符，請從 參數中省略其唯一識別符。

使用其他參數來指定您要 Macie 使用的受管資料識別符和允許清單。同時指定您的請求套用的區域。如果您的請求成功，Macie 會更新範本並傳回空的回應。

下列範例示範如何使用 AWS CLI 更新帳戶的敏感度檢查範本。這些範例會將兩個自訂資料識別符新增至後續分析。它們也會維護目前設定，指定要使用的受管資料識別符和允許清單：使用一組預設的受管資料識別符和一個允許清單。

此範例已針對 Linux、macOS 或 Unix 格式化，並使用反斜線 (\$1) 行接續字元來改善可讀性。

```
$ aws macie2 update-sensitivity-inspection-template \
--id fd7b6d71c8006fcd6391e6eedexample \
--includes '{"allowListIds":["nkr81bmtu2542yyexample"],"customDataIdentifierIds":["3293a69d-4a1e-4a07-8715-208ddexample","6fad0fb5-3e82-4270-bede-469f2example"]}'
```

此範例已針對 Microsoft Windows 進行格式化，並使用八進制 (^) 換行字元來改善可讀性。

```
C:\> aws macie2 update-sensitivity-inspection-template ^
--id fd7b6d71c8006fcd6391e6eedexample ^
--includes={\"allowListIds\":[\"nkr81bmtu2542yyexample\"],\"customDataIdentifierIds\":[\"3293a69d-4a1e-4a07-8715-208ddexample\",\"6fad0fb5-3e82-4270-bede-469f2example\"]}
```

其中：
+ *fd7b6d71c8006fcd6391e6eedexample* 是敏感度檢查範本要更新的唯一識別符。
+ *nkr81bmtu2542yyexample* 是允許清單使用的唯一識別符。
+ *3293a69d-4a1e-4a07-8715-208ddexample* 和 *6fad0fb5-3e82-4270-bede-469f2example* 是自訂資料識別符要使用的唯一識別符。

------

## 從自動化敏感資料探索新增或移除允許清單
<a name="discovery-asdd-account-configure-als"></a>

在 Amazon Macie 中，允許清單會定義您希望 Macie 在檢查 S3 物件是否有敏感資料時忽略的特定文字或文字模式。如果文字符合允許清單中的項目或模式，Macie 不會報告文字。即使文字符合受管或自訂資料識別符的條件，也是如此。如需詳細資訊，請參閱 [使用允許清單定義敏感資料例外狀況](allow-lists.md)。

根據預設，Macie 在執行自動敏感資料探索時，不會使用允許清單。如果您希望 Macie 使用特定的允許清單，您可以將它們新增至後續分析。如果您新增允許清單，稍後可以將其移除。

**從自動化敏感資料探索新增或移除允許清單**  
您可以使用 Amazon Macie 主控台或 Amazon Macie API 來新增或移除允許清單。

------
#### [ Console ]

請依照下列步驟，使用 Amazon Macie 主控台新增或移除允許清單。

**新增或移除允許清單**

1. 在 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。

1. 使用頁面右上角的 AWS 區域 選取器，選擇要從分析中新增或移除允許清單的區域。

1. 在導覽窗格中的設定下****，選擇**自動敏感資料探索**。

   自動化**敏感資料探索**頁面隨即出現，並顯示您目前的設定。在該頁面上，**允許清單**區段指定您已新增的允許清單，或指出您尚未新增任何允許清單。

1. 在**允許清單**區段中，選擇**編輯**。

1. 執行下列任何一項：
   + 若要新增一或多個允許清單，請選取每個要新增允許清單的核取方塊。如果已選取核取方塊，表示您已新增該清單。
   + 若要移除一或多個允許清單，請清除每個要移除允許清單的核取方塊。如果已清除核取方塊，Macie 目前不會使用該清單。
**提示**  
若要在新增或移除允許清單之前檢閱其設定，請選擇清單名稱旁的連結圖示 (![\[The link icon, which is a blue box that has an arrow in it.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/icon-external-link.png))。Macie 會開啟顯示清單設定的頁面。如果清單指定規則表達式 (*regex*)，您也可以使用此頁面以範例資料測試 regex。若要這樣做，請在**範例資料**方塊中輸入最多 1，000 個字元的文字，然後選擇**測試**。Macie 會評估範例資料並報告相符項目的數量。

1. 完成後，請選擇**儲存**。

------
#### [ API ]

若要以程式設計方式新增或移除允許清單，請使用 Amazon Macie API 來更新帳戶的敏感檢查範本。範本會存放指定允許 Macie 在執行自動敏感資料探索時使用的清單的設定。這些設定也會指定要使用的受管資料識別符和自訂資料識別符。

當您更新範本時，會覆寫其目前的設定。因此，最好先擷取您目前的設定，並決定要保留哪些設定。若要擷取您目前的設定，請使用 [GetSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html) 操作。如果您使用的是 AWS Command Line Interface (AWS CLI)，請執行 [get-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitivity-inspection-template.html) 命令來擷取設定。

若要擷取或更新範本，您必須指定其唯一識別符 (`id`)。您可以使用 [GetAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html) 操作來取得此識別符。此操作會擷取目前用於自動敏感資料探索的組態設定，包括目前帳戶中敏感檢查範本的唯一識別符 AWS 區域。如果您使用的是 AWS CLI，請執行 [get-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-automated-discovery-configuration.html) 命令來擷取此資訊。

當您準備好更新範本時，請使用 [UpdateSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html) 操作，或者，如果您使用的是 AWS CLI，請執行 [update-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-sensitivity-inspection-template.html) 命令。在您的請求中，使用 `allowListIds` 參數從後續分析中新增或移除一或多個允許清單：
+ 若要開始使用允許清單，請為 參數指定其唯一識別符。
+ 若要停止使用允許清單，請從 參數省略其唯一識別符。

使用其他參數來指定您要 Macie 使用的受管資料識別符和自訂資料識別符。同時指定您的請求套用的區域。如果您的請求成功，Macie 會更新範本並傳回空的回應。

下列範例示範如何使用 AWS CLI 更新帳戶的敏感度檢查範本。這些範例會將允許清單新增至後續分析。它們也會維護目前設定，指定要使用的受管資料識別符和自訂資料識別符：使用一組預設的受管資料識別符和兩個自訂資料識別符。

此範例已針對 Linux、macOS 或 Unix 格式化，並使用反斜線 (\$1) 行接續字元來改善可讀性。

```
$ aws macie2 update-sensitivity-inspection-template \
--id fd7b6d71c8006fcd6391e6eedexample \
--includes '{"allowListIds":["nkr81bmtu2542yyexample"],"customDataIdentifierIds":["3293a69d-4a1e-4a07-8715-208ddexample","6fad0fb5-3e82-4270-bede-469f2example"]}'
```

此範例已針對 Microsoft Windows 進行格式化，並使用八進制 (^) 換行字元來改善可讀性。

```
C:\> aws macie2 update-sensitivity-inspection-template ^
--id fd7b6d71c8006fcd6391e6eedexample ^
--includes={\"allowListIds\":[\"nkr81bmtu2542yyexample\"],\"customDataIdentifierIds\":[\"3293a69d-4a1e-4a07-8715-208ddexample\",\"6fad0fb5-3e82-4270-bede-469f2example\"]}
```

其中：
+ *fd7b6d71c8006fcd6391e6eedexample* 是敏感度檢查範本要更新的唯一識別符。
+ *nkr81bmtu2542yyexample* 是允許清單使用的唯一識別符。
+ *3293a69d-4a1e-4a07-8715-208ddexample* 和 *6fad0fb5-3e82-4270-bede-469f2example* 是自訂資料識別符要使用的唯一識別符。

------

# 停用自動化敏感資料探索
<a name="discovery-asdd-account-disable"></a>

您可以隨時停用帳戶或組織的自動敏感資料探索。如果您這樣做，Amazon Macie 會在後續評估和分析週期開始之前停止執行帳戶或組織的所有自動探索活動，通常是在 48 小時內。其他效果會有所不同：
+ 如果您是 Macie 管理員，並針對組織中的個別帳戶停用它，則您和帳戶可以繼續存取 Macie 在為帳戶執行自動探索時產生和直接提供的所有統計資料、庫存資料和其他資訊。您可以再次為帳戶啟用自動探索。Macie 接著會繼續帳戶的所有自動探索活動。
+ 如果您是 Macie 管理員，並停用組織的管理員，您和組織中的帳戶將無法存取 Macie 在為組織執行自動探索時產生和直接提供的所有統計資料、庫存資料和其他資訊。例如，您的 S3 儲存貯體庫存不再包含敏感視覺化或分析統計資料。您之後可以再次為組織啟用自動探索。Macie 接著會繼續組織中帳戶的所有自動探索活動。如果您在 30 天內重新啟用，您和帳戶會重新取得 Macie 在執行自動探索時先前產生和直接提供的資料和資訊的存取權。如果您未在 30 天內重新啟用，Macie 會永久刪除此資料和資訊。
+ 如果您為獨立 Macie 帳戶停用它，您會失去對 Macie 在為您的帳戶執行自動探索時產生和直接提供的所有統計資料、庫存資料和其他資訊的存取權。如果您未在 30 天內重新啟用，Macie 會永久刪除此資料和資訊。

您可以繼續存取 Macie 在為帳戶或組織執行自動化敏感資料探索時產生的敏感資料調查結果。Macie 會將問題清單存放 90 天。Macie 也會保留您的組態設定以進行自動探索。此外，您存放或發佈至其他 的資料 AWS 服務 保持不變且不會受到影響，例如敏感資料探索會導致 Amazon S3 和在 Amazon EventBridge 中尋找事件。

**停用自動敏感資料探索**  
如果您是組織的 Macie 管理員，或擁有獨立的 Macie 帳戶，您可以使用 Amazon Macie 主控台或 Amazon Macie API 來停用自動敏感資料探索。如果您在組織中有成員帳戶，請與您的 Macie 管理員合作，停用帳戶的自動探索。只有 Macie 管理員可以停用帳戶的自動探索。

------
#### [ Console ]

請依照下列步驟，使用 Amazon Macie 主控台停用自動敏感資料探索。

**停用自動敏感資料探索**

1. 在 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。

1. 使用頁面右上角的 AWS 區域 選取器，選擇您要停用自動敏感資料探索的區域。

1. 在導覽窗格中的設定下****，選擇**自動敏感資料探索**。

1. 如果您是組織的 Macie 管理員，請在**狀態**區段中選擇選項，以指定帳戶來停用自動敏感資料探索：
   + 若要僅針對特定成員帳戶停用，請選擇**管理帳戶**。然後，在**帳戶**頁面上的表格中，選取要為其停用的每個帳戶的核取方塊。完成後，請在**動作**功能表上選擇**停用自動敏感資料探索**。
   + 若要僅針對 Macie 管理員帳戶停用它，請選擇**停用**。在出現的對話方塊中，選擇**我的帳戶**，然後選擇**停用**。
   + 若要針對組織和組織整體中的所有帳戶停用此功能，請選擇**停用**。在出現的對話方塊中，選擇**我的組織**，然後選擇**停用**。

1. 如果您有獨立的 Macie 帳戶，請在**狀態**區段中選擇**停用**。

如果您在多個區域中使用 Macie，並想要在其他區域中停用自動敏感資料探索，請在每個其他區域中重複上述步驟。

------
#### [ API ]

使用 Amazon Macie API，您可以透過兩種方式停用自動敏感資料探索。停用的方式，部分取決於您擁有的帳戶類型。如果您是組織的 Macie 管理員，這也取決於您是否只針對特定成員帳戶或整個組織停用自動探索。如果您為組織停用它，您可以為目前屬於組織的所有帳戶停用它。如果其他帳戶隨後加入您的組織，這些帳戶也會停用自動探索。

若要停用組織或獨立 Macie 帳戶的自動敏感資料探索，請使用 [UpdateAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html) 操作。或者，如果您使用的 AWS Command Line Interface 是 (AWS CLI)，請執行 [update-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-automated-discovery-configuration.html) 命令。在您的請求中，`DISABLED`為 `status` 參數指定 。

若要針對組織中的特定成員帳戶停用自動敏感資料探索，請使用 [BatchUpdateAutomatedDiscoveryAccounts](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-accounts.html) 操作。或者，如果您使用的是 AWS CLI，請執行 [batch-update-automated-discovery-accounts](https://docs.aws.amazon.com/cli/latest/reference/macie2/batch-update-automated-discovery-accounts.html) 命令。在您的請求中，使用 `accountId` 參數指定您要停用自動探索的帳戶的帳戶 ID。針對 `status` 參數，請指定 `DISABLED`。若要停用帳戶的自動探索，目前必須為帳戶啟用 Macie。

下列範例示範如何使用 AWS CLI 來停用組織中一或多個帳戶的自動敏感資料探索。第一個範例會停用組織的自動探索。它會停用 Macie 管理員帳戶和組織中所有成員帳戶的自動探索。

```
$ aws macie2 update-automated-discovery-configuration --status DISABLED --region us-east-1
```

其中 *us-east-1* 是停用組織的自動敏感資料探索的區域，即美國東部 （維吉尼亞北部） 區域。如果請求成功，Macie 會停用組織的自動探索，並傳回空白回應。

這些下一個範例會停用組織中兩個成員帳戶的自動敏感資料探索。此範例已針對 Linux、macOS 或 Unix 格式化，並使用反斜線 (\$1) 行接續字元來改善可讀性。

```
$ aws macie2 batch-update-automated-discovery-accounts \
--region us-east-1 \
--accounts '[{"accountId":"123456789012","status":"DISABLED"},{"accountId":"111122223333","status":"DISABLED"}]'
```

此範例已針對 Microsoft Windows 進行格式化，並使用八進制 (^) 換行字元來改善可讀性。

```
C:\> aws macie2 batch-update-automated-discovery-accounts ^
--region us-east-1 ^
--accounts=[{\"accountId\":\"123456789012\",\"status\":\"DISABLED\"},{\"accountId\":\"111122223333\",\"status\":\"DISABLED\"}]
```

其中：
+ *us-east-1* 是要停用指定帳戶自動敏感資料探索的區域，美國東部 （維吉尼亞北部） 區域。
+ *123456789012* 和 *111122223333* 是帳戶要停用自動敏感資料探索的帳戶 IDs。

如果所有指定帳戶的請求成功，Macie 會傳回空`errors`陣列。如果某些帳戶的請求失敗，陣列會指定每個受影響帳戶發生的錯誤。例如：

```
"errors": [
    {
        "accountId": "123456789012",
        "errorCode": "ACCOUNT_PAUSED"
    }
]
```

在上述回應中，指定帳戶 (`123456789012`) 的請求失敗，因為該帳戶的 Macie 目前已暫停。

如果所有帳戶的請求都失敗，您會收到說明發生錯誤的訊息。例如：

```
An error occurred (ConflictException) when calling the BatchUpdateAutomatedDiscoveryAccounts operation: Cannot modify account states
while auto-enable is set to ALL.
```

在上述回應中，請求失敗，因為組織的成員啟用設定目前設定為為所有帳戶啟用自動敏感資料探索 (`ALL`)。若要解決錯誤，Macie 管理員必須先將此設定變更為 `NONE`或 `NEW`。如需有關此設定的詳細資訊，請參閱 [啟用自動敏感資料探索](discovery-asdd-account-enable.md)。

------

# 檢閱自動化敏感資料探索結果
<a name="discovery-asdd-results-s3"></a>

如果啟用自動敏感資料探索，Amazon Macie 會自動為您的帳戶產生和維護有關 Amazon Simple Storage Service (Amazon S3) 一般用途儲存貯體的其他庫存資料、統計資料和其他資訊。如果您是組織的 Macie 管理員，則預設包含成員帳戶擁有的 S3 儲存貯體。

其他資訊會擷取 Macie 到目前為止執行的自動化敏感資料探索活動的結果。它還補充了 Macie 提供有關 Amazon S3 資料的其他資訊，例如個別 S3 儲存貯體的公開存取和加密設定。除了中繼資料和統計資料之外，Macie 還會產生其找到的敏感資料記錄，以及其執行的分析：*敏感資料調查結果*和*敏感資料探索結果*。

隨著自動化敏感資料探索每天進行，下列功能和資料可協助您檢閱和評估結果：
+ [****摘要**儀表板**](discovery-asdd-results-s3-dashboard.md) – 為您的 Amazon S3 資料資產提供彙總統計資料。統計資料包含關鍵指標的資料，例如 Macie 找到敏感資料的儲存貯體總數，以及可公開存取的儲存貯體數量。他們也會報告影響 Amazon S3 資料涵蓋範圍的問題。
+ [****S3 儲存貯**體熱度貼圖**](discovery-asdd-results-s3-inventory-map.md) – 提供跨資料資產的資料敏感性互動式視覺化呈現，依 分組 AWS 帳戶。對於每個帳戶，映射包含彙總的敏感度統計資料，並使用顏色來指出帳戶擁有的每個儲存貯體目前的敏感度分數。地圖也會使用 符號來協助您識別可公開存取、無法由 Macie 分析的儲存貯體等。
+ [****S3 儲存貯**體資料表**](discovery-asdd-results-s3-inventory-table.md) – 提供庫存中每個 S3 儲存貯體的摘要資訊。對於每個儲存貯體，資料表包含資料，例如儲存貯體目前的敏感度分數、Macie 可以在儲存貯體中分析的物件數量，以及您是否設定任何敏感資料探索任務來定期分析儲存貯體中的物件。您可以將資料表中的資料匯出至逗號分隔值 (CSV) 檔案。
+ [****S3 儲存貯**體詳細資訊**](discovery-asdd-results-s3-inventory-details.md) – 提供有關 S3 儲存貯體的詳細統計資料和資訊。詳細資訊包括 Macie 在儲存貯體中分析的物件清單，以及 Macie 在儲存貯體中找到的敏感資料的類型和出現次數明細。這些是有關影響儲存貯體資料安全性和隱私權之設定的詳細資訊。
+ [**敏感資料調查結果**](discovery-asdd-results-s3-findings.md) – 提供 Macie 在個別 S3 物件中找到的敏感資料的詳細報告。詳細資訊包括 Macie 何時找到敏感資料，以及 Macie 找到敏感資料的類型和出現次數。詳細資訊也包含受影響 S3 儲存貯體和物件的相關資訊，包括儲存貯體的公有存取設定，以及最近變更物件的時間。
+ [**敏感資料探索結果**](discovery-asdd-results-s3-sddrs.md) – 提供 Macie 針對個別 S3 物件執行的分析記錄。這包括 Macie 找不到敏感資料的物件，以及 Macie 因為問題或錯誤而無法分析的物件。如果 Macie 在 物件中找到敏感資料，敏感資料探索結果會提供 Macie 找到之敏感資料的相關資訊。

使用此資料，您可以評估 Amazon S3 資料資產中的資料敏感度，並向下切入以評估和調查個別 S3 儲存貯體和物件。結合 Macie 提供有關 Amazon S3 資料安全性和隱私權的資訊，您還可以識別可能需要立即修復的情況，例如，Macie 找到敏感資料的可公開存取儲存貯體。

其他資料可協助您評估和監控 Amazon S3 資料的涵蓋範圍。透過涵蓋範圍資料，您可以檢查整體資料資產和其中個別 S3 儲存貯體的分析狀態。您也可以識別讓 Macie 無法分析特定儲存貯體中物件的問題。如果您修復問題，您可以在後續分析週期中增加 Amazon S3 資料的涵蓋範圍。如需詳細資訊，請參閱[評估自動化敏感資料探索涵蓋範圍](discovery-coverage.md)。

**Topics**
+ [在摘要儀表板上檢閱資料敏感性統計資料](discovery-asdd-results-s3-dashboard.md)
+ [使用 S3 儲存貯體映射視覺化資料敏感度](discovery-asdd-results-s3-inventory-map.md)
+ [使用 S3 儲存貯體資料表評估資料敏感度](discovery-asdd-results-s3-inventory-table.md)
+ [檢閱 S3 儲存貯體的資料敏感性詳細資訊](discovery-asdd-results-s3-inventory-details.md)
+ [分析自動化敏感資料探索的問題清單](discovery-asdd-results-s3-findings.md)
+ [從自動化敏感資料探索存取探索結果](discovery-asdd-results-s3-sddrs.md)

# 在摘要儀表板上檢閱資料敏感性統計資料
<a name="discovery-asdd-results-s3-dashboard"></a>

在 Amazon Macie 主控台上，**摘要**儀表板提供目前 中 Amazon Simple Storage Service (Amazon S3) 資料的彙總統計資料和調查結果資料的快照 AWS 區域。它旨在協助您評估 Amazon S3 資料的整體安全狀態。

儀表板統計資料包含關鍵安全性指標的資料，例如可公開存取或與其他 共用的 S3 一般用途儲存貯體數量 AWS 帳戶。儀表板也會顯示您帳戶的彙總調查結果資料群組，例如，在過去七天內產生最多調查結果的儲存貯體。如果您是組織的 Macie 管理員，儀表板會提供組織中所有帳戶的彙總統計資料和資料。您可以選擇性地依帳戶篩選資料。

如果啟用自動敏感資料探索，**摘要**儀表板會包含其他統計資料。統計資料會擷取 Macie 到目前為止為您的 Amazon S3 資料執行的自動探索活動的狀態和結果。下圖顯示這些統計資料的範例。

![\[摘要儀表板上的敏感資料探索統計資料。每個統計資料都有範例資料。\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/scrn-summary-dashboard-sensitivity.png)


統計資料主要分為兩個部分：**自動化探索**和**涵蓋範圍問題**。**自動化探索**區段中的統計資料提供自動化敏感資料探索活動目前狀態和結果的快照。**涵蓋範圍問題**區段中的統計資料指出問題是否讓 Macie 無法分析個別 S3 儲存貯體中的物件。統計資料不包含您建立和執行的敏感資料探索任務的資料。不過，修復自動化敏感資料探索的涵蓋範圍問題，也可能會增加您後續執行之任務的涵蓋範圍。

**Topics**
+ [顯示儀表板](#discovery-asdd-results-s3-dashboard-view)
+ [了解儀表板上的統計資料](#discovery-asdd-results-s3-dashboard-statistics)

## 顯示摘要儀表板
<a name="discovery-asdd-results-s3-dashboard-view"></a>

請依照下列步驟，在 Amazon Macie 主控台上顯示**摘要**儀表板。若要以程式設計方式查詢統計資料，請使用 Amazon Macie API 的 [GetBucketStatistics](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3-statistics.html) 操作。

**顯示摘要儀表板**

1. 在 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。

1. 在導覽窗格中，選擇**摘要**。Macie 會顯示**摘要**儀表板。

1. 若要向下切入並檢閱儀表板上項目的支援資料，請選擇項目。

如果您是組織的 Macie 管理員，儀表板會顯示您組織中帳戶和成員帳戶的彙總統計資料和資料。若要僅顯示特定帳戶的資料，請在儀表板上方的帳戶方塊中輸入**帳戶的** ID。

## 了解摘要儀表板上的敏感資料探索統計資料
<a name="discovery-asdd-results-s3-dashboard-statistics"></a>

**摘要**儀表板包含彙總統計資料，可協助您監控 Amazon S3 資料的自動敏感資料探索。它提供目前 Amazon S3 資料分析目前狀態和結果的快照 AWS 區域。例如，您可以使用儀表板統計資料，快速判斷 Amazon Macie 在其中找到了多少 S3 儲存貯體，以及可公開存取多少儲存貯體。您也可以評估 Amazon S3 資料的涵蓋範圍。涵蓋範圍統計資料可協助您識別防止 Macie 分析個別 S3 儲存貯體中物件的問題。

在儀表板上，自動化敏感資料探索的統計資料會整理為下列區段：
+ [儲存和敏感資料探索](#discovery-asdd-results-s3-dashboard-storage-statistics)
+ [自動化探索](#discovery-asdd-results-s3-dashboard-sensitivity-statistics)
+ [涵蓋範圍問題](#discovery-asdd-results-s3-dashboard-coverage-statistics)

每個區段中的個別統計資料如下所示。如需儀表板其他區段中統計資料的資訊，請參閱 [了解摘要儀表板的元件](monitoring-s3-dashboard.md#monitoring-s3-dashboard-components-main)。

### 儲存和敏感資料探索
<a name="discovery-asdd-results-s3-dashboard-storage-statistics"></a>

在儀表板頂端，統計資料會指出您在 Amazon S3 中存放多少資料，以及 Amazon Macie 可以分析多少資料來偵測敏感資料。下圖顯示具有七個帳戶之組織的這些統計資料範例。

![\[儀表板的儲存和敏感資料探索區段。每個欄位都包含範例資料。\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/scrn-summary-dashboard-storage.png)


本節中的個別統計資料為：
+ **帳戶總數** – 如果您是組織的 Macie 管理員，或擁有獨立的 Macie 帳戶，則會顯示此欄位。它會指出儲存貯體庫存中擁有 AWS 帳戶 儲存貯體的 總數。如果您是 Macie 管理員，這是您為組織管理的 Macie 帳戶總數。如果您有獨立的 Macie 帳戶，則此值為 *1*。

  **S3 儲存貯體總計** – 如果您在組織中有成員帳戶，則會顯示此欄位。它表示清查中一般用途儲存貯體的總數，包括未存放任何物件的儲存貯體。
+ **儲存** – 這些統計資料提供儲存貯體庫存中物件儲存大小的相關資訊：
  + **可分類** – Macie 可在儲存貯體中分析的所有物件的總儲存大小。
  + **總計** – 儲存貯體中所有物件的總儲存大小，包括 Macie 無法分析的物件。

  如果任何物件是壓縮檔案，這些值不會反映解壓縮後這些檔案的實際大小。如果針對任何儲存貯體啟用版本控制，這些值會根據這些儲存貯體中每個物件最新版本的儲存體大小而定。
+ **物件** – 這些統計資料提供有關儲存貯體庫存中物件數量的資訊：
  + **可分類** – Macie 可以在儲存貯體中分析的物件總數。
  + **總計** – 儲存貯體中的物件總數，包括 Macie 無法分析的物件。

在上述統計資料中，如果資料和物件使用支援的 Amazon S3 儲存類別，且具有支援的檔案或儲存格式的檔案名稱副檔名，則可*分類*。您可以使用 Macie 偵測物件中的敏感資料。如需詳細資訊，請參閱[支援的儲存類別和格式](discovery-supported-storage.md)。

請注意，**儲存**體和**物件**統計資料不包含不允許 Macie 存取之儲存貯體中物件的資料。若要識別發生這種情況的儲存貯體，請在儀表板的**涵蓋範圍問題**區段中選擇**存取遭拒**統計資料。

### 自動化探索
<a name="discovery-asdd-results-s3-dashboard-sensitivity-statistics"></a>

本節會擷取 Amazon Macie 到目前為止為您的 Amazon S3 資料執行的自動化敏感資料探索活動的狀態和結果。下圖顯示本節提供的統計資料範例。

![\[儀表板的自動探索區段。圖表和相關欄位包含範例資料。\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/scrn-summary-dashboard-asdd.png)


本節中的個別統計資料如下所示。

**儲存貯體總計**  
甜甜圈圖表表示儲存貯體庫存中的儲存貯體總數。圖表會根據每個儲存貯體目前的敏感度分數，將儲存貯體分組為類別：  
+ **敏感** (*紅色*) – 敏感度分數介於 *51* 到 *100* 之間的儲存貯體總數。
+ **不敏感** (*藍色*) – 敏感度分數介於 *1* 到 *49* 之間的儲存貯體總數。
+ **尚未分析** (*淺灰色*) – 敏感度分數為 *50* 的儲存貯體總數。
+ **分類錯誤** (*深灰色*) – 敏感度分數為 *-1* 的儲存貯體總數。
如需 Macie 定義之敏感度分數和標籤範圍的詳細資訊，請參閱 [S3 儲存貯體的敏感度評分](discovery-scoring-s3.md)。  
若要檢閱群組的其他統計資料，請將滑鼠游標移至群組上：  
+ **儲存貯體** – 儲存貯體的總數。
+ **可公開存取** – 允許一般大眾對儲存貯體進行讀取或寫入存取的儲存貯體總數。
+ **可分類位元組** – Macie 可在儲存貯體中分析的所有物件的總儲存大小。這些物件使用支援的 Amazon S3 儲存類別，且具有支援檔案或儲存格式的副檔名。如需詳細資訊，請參閱[支援的儲存類別和格式](discovery-supported-storage.md)。
+ **總位元組**數 – 所有儲存貯體的總儲存大小。
在上述統計資料中，儲存體大小值是根據儲存貯體中每個物件最新版本的儲存體大小。如果任何物件是壓縮檔案，這些值不會反映解壓縮後這些檔案的實際大小。

**敏感**  
此區域表示目前敏感度分數介於 *51* 到 *100* 之間的儲存貯體總數。在此群組中，**可公開存取**表示儲存貯體總數，這些儲存貯體也允許一般大眾對儲存貯體具有讀取或寫入存取權。

**不敏感**  
此區域表示目前敏感度分數介於 *1* 到 *49* 之間的儲存貯體總數。在此群組中，**可公開存取**表示儲存貯體總數，這些儲存貯體也允許一般大眾對儲存貯體具有讀取或寫入存取權。

為了判斷和計算**可公開存取**統計資料的值，Macie 會分析每個儲存貯體的帳戶層級和儲存貯體層級設定組合，例如帳戶和儲存貯體的封鎖公開存取設定，以及儲存貯體的儲存貯體政策。Macie 最多可為 帳戶執行 10，000 個儲存貯體。如需詳細資訊，請參閱[Macie 如何監控 Amazon S3 資料安全性](monitoring-s3-how-it-works.md)。

請注意，**自動探索**區段中的統計資料不包含您建立和執行的敏感資料探索任務的結果。

### 涵蓋範圍問題
<a name="discovery-asdd-results-s3-dashboard-coverage-statistics"></a>

在本節中，統計資料會指出特定類型的問題是否導致 Amazon Macie 無法分析個別 S3 儲存貯體中的物件。下圖顯示本節提供的統計資料範例。

![\[儀表板的涵蓋範圍問題區段。每個欄位都包含範例資料。\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/scrn-summary-dashboard-coverage.png)


本節中的個別統計資料為：
+ **存取遭拒** – Macie 不允許存取的儲存貯體總數。Macie 無法分析這些儲存貯體中的任何物件。儲存貯體的許可設定可防止 Macie 存取儲存貯體和儲存貯體的物件。
+ **分類錯誤** – Macie 因物件層級分類錯誤而尚未分析的儲存貯體總數。Macie 嘗試分析這些儲存貯體中的一或多個物件。不過，由於物件層級許可設定、物件內容或配額的問題，Macie 無法分析物件。
+ **不可分類** – 未存放任何可分類物件的儲存貯體總數。Macie 無法分析這些儲存貯體中的任何物件。所有物件都使用 Macie 不支援的 Amazon S3 儲存類別，或具有 Macie 不支援的檔案或儲存格式的副檔名。

選擇統計資料的值，以顯示其他詳細資訊，並視需要顯示修補指引。如果您修復存取問題和分類錯誤，您可以在後續分析週期中增加 Amazon S3 資料的涵蓋範圍。如需詳細資訊，請參閱[評估自動化敏感資料探索涵蓋範圍](discovery-coverage.md)。

請注意，**涵蓋範圍問題**區段中的統計資料不會明確包含您建立和執行之敏感資料探索任務的資料。不過，修復會影響自動敏感資料探索的涵蓋範圍問題，也可能會增加您後續執行之任務的涵蓋範圍。

# 使用 S3 儲存貯體映射視覺化資料敏感度
<a name="discovery-asdd-results-s3-inventory-map"></a>

在 Amazon Macie 主控台上，**S3 儲存貯**體熱度貼圖提供跨 Amazon Simple Storage Service (Amazon S3) 資料資產的資料敏感性互動式視覺化表示。它會擷取 Macie 到目前為止為目前 Amazon S3 資料執行的自動化敏感資料探索活動的結果 AWS 區域。

如果您是組織的 Macie 管理員，映射會包含成員帳戶擁有的 S3 儲存貯體的結果。資料會依帳戶 ID 分組 AWS 帳戶 和排序，如下圖所示。

![\[S3 儲存貯體映射。它會顯示不同的彩色正方形，每個儲存貯體各一個，依帳戶分組。\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/scrn-s3-map-small.png)


映射會顯示每個帳戶最多 100 個 S3 儲存貯體的資料。若要顯示所有儲存貯體的資料，您可以[改為切換到資料表檢視](discovery-asdd-results-s3-inventory-table.md)，並以表格格式檢閱資料。

若要顯示映射，請在主控台的導覽窗格中選擇 **S3 儲存貯**體。然後選擇頁面頂端的映射 (![\[The map view button, which is a button that displays four black squares.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/btn-s3-map-view.png))。只有在目前啟用自動敏感資料探索時，地圖才能使用。它不包括您建立和執行的敏感資料探索任務的結果。

**Topics**
+ [解譯 S3 儲存貯體映射中的資料](#discovery-asdd-results-s3-inventory-map-legend)
+ [與 S3 儲存貯體互動映射](#discovery-asdd-results-s3-inventory-map-use)

## 解譯 S3 儲存貯體映射中的資料
<a name="discovery-asdd-results-s3-inventory-map-legend"></a>

在 **S3 儲存貯**體映射中，每個正方形代表儲存貯體庫存中的 S3 一般用途儲存貯體。正方形的顏色代表儲存貯體目前的敏感度分數，可測量兩個主要維度的交集：Macie 在儲存貯體中找到的敏感資料量，以及 Macie 在儲存貯體中分析的資料量。顏色色調的強度代表分數落在資料敏感度值範圍內的位置，如下圖所示。

![\[敏感分數的顏色光譜：1-49 的藍色調、51-100 的紅色調，以及 -1 的灰色。\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/sensitivity-scoring-spectrum.png)


一般而言，您可以解譯顏色和色調強度，如下所示：
+ **藍色** – 如果儲存貯體目前的敏感度分數範圍從 *1* 到 *49*，則儲存貯體的平方為藍色，且儲存貯體的敏感度標籤**不敏感**。藍色色調的強度反映了 Macie 在儲存貯體中分析的唯一物件數量，相對於儲存貯體中唯一物件的總數。較深的色調表示敏感度分數較低。
+ **無顏色** – 如果儲存貯體目前的敏感度分數為 *50*，則儲存貯體的方形不會著色，且儲存貯體的敏感度標籤**尚未分析**。此外，正方形具有虛線邊界。
+ **紅色** – 如果儲存貯體目前的敏感度分數介於 *51* 到 *100* 之間，則儲存貯體的平方為紅色，且儲存貯體的敏感度標籤為**敏感**。紅色調的強度反映 Macie 在儲存貯體中找到的敏感資料量。較深的色調表示較高敏感度分數。
+ **灰色** – 如果儲存貯體目前的敏感度分數為 *-1*，則儲存貯體的方形為深灰色，且儲存貯體的敏感度標籤為**分類錯誤**。Hue 強度不變。

如需 Macie 定義之敏感度分數和標籤範圍的詳細資訊，請參閱 [S3 儲存貯體的敏感度評分](discovery-scoring-s3.md)。

在地圖中，S3 儲存貯體的平方也可能包含 符號。符號表示可能影響您評估儲存貯體敏感度的錯誤、問題或其他類型的考量。符號也可以指出儲存貯體安全性的潛在問題，例如，可以公開存取儲存貯體。下表列出 Macie 用來通知您這些案例的符號。


| Symbol | 定義 | Description | 
| --- | --- | --- | 
|  ![\[The Access denied symbol, which is a gray exclamation point.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/icon-map-access-denied.png)  | 存取遭拒 |  Macie 不允許存取儲存貯體或儲存貯體的物件。因此，Macie 無法分析儲存貯體中的任何物件。 此問題通常是因為儲存貯體具有限制性儲存貯體政策。如需如何解決此問題的資訊，請參閱 [允許 Macie 存取 S3 儲存貯體和物件](monitoring-restrictive-s3-buckets.md)。  | 
|  ![\[The Publicly accessible symbol, which is a solid, gray, upward-facing arrow.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/icon-map-publicly-accessible.png)  | 可公開存取 |  一般公有 具有對儲存貯體的讀取或寫入存取權。 為了做出此決定，Macie 會分析每個儲存貯體的設定組合，例如帳戶和儲存貯體的封鎖公開存取設定，以及儲存貯體的儲存貯體政策。Macie 最多可為 帳戶執行 10，000 個儲存貯體。如需詳細資訊，請參閱[Macie 如何監控 Amazon S3 資料安全性](monitoring-s3-how-it-works.md)。  | 
|  ![\[The Unclassifiable symbol, which is a gray question mark.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/icon-map-unclassifiable.png)  | 無法分類 |  Macie 無法分析儲存貯體中的任何物件。儲存貯體的所有物件都使用 Macie 不支援的 Amazon S3 儲存類別，或具有 Macie 不支援的檔案或儲存格式的副檔名。 若要讓 Macie 分析物件，物件必須使用支援的儲存類別，並具有支援檔案或儲存格式的檔案名稱副檔名。如需詳細資訊，請參閱[支援的儲存類別和格式](discovery-supported-storage.md)。  | 
|  ![\[The Zero bytes symbol, which is the number zero.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/icon-map-zero-bytes.png)  | 零位元組 |  儲存貯體不會存放任何物件供 Macie 分析。儲存貯體是空的，或儲存貯體中的所有物件都包含零 (0) 個位元組的資料。  | 

## 與 S3 儲存貯體互動映射
<a name="discovery-asdd-results-s3-inventory-map-use"></a>

當您檢閱 **S3 儲存貯**體映射時，您可以用不同的方式與其互動，以顯示和評估個別帳戶和儲存貯體的其他資料和詳細資訊。請依照下列步驟顯示地圖，並使用其提供的各種功能。

**與 S3 儲存貯體互動映射**

1. 在 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。

1. 在導覽窗格中，選擇 **S3 儲存貯**體。**S3 儲存貯**體頁面會顯示儲存貯體庫存的映射。如果頁面以表格格式顯示您的庫存，請選擇頁面頂端的映射 (![\[The map view button, which is a button that displays four black squares.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/btn-s3-map-view.png))。

   根據預設，映射不會顯示目前從自動敏感資料探索中排除的儲存貯體資料。如果您是組織的 Macie 管理員，也不會顯示目前停用自動敏感資料探索的帳戶資料。若要顯示此資料，請在篩選條件方塊下方的**「由自動探索篩選條件字符監控**」中選擇 **X**。

1. 在頁面頂端，選擇性地選擇重新整理 (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/btn-refresh-data.png)) 以從 Amazon S3 擷取最新的儲存貯體中繼資料。

1. 在 **S3 儲存貯體**映射中，執行下列任一動作：
   + 若要判斷有多少儲存貯體具有特定敏感度標籤，請參閱 AWS 帳戶 ID 下方的彩色徽章。徽章會顯示彙總的儲存貯體計數，依敏感度標籤細分。

     例如，紅色徽章會報告帳戶擁有且具有**敏感**標籤的儲存貯體總數。這些儲存貯體的敏感度分數範圍從 *51* 到 *100*。藍色徽章會報告帳戶擁有且具有**不敏感**標籤的儲存貯體總數。這些儲存貯體的敏感度分數範圍從 *1* 到 *49*。
   + 若要檢閱儲存貯體的相關資訊子集，請將滑鼠游標移至儲存貯體的方形上。快顯視窗會顯示儲存貯體的名稱和目前的敏感度分數。

     快顯視窗也會顯示 Macie 可在儲存貯體中分析的物件總數，以及這些物件最新版本的儲存體大小總數。這些物件是*可分類*的。它們使用支援的 Amazon S3 儲存類別，並且具有支援的檔案或儲存格式的副檔名。如需詳細資訊，請參閱[支援的儲存類別和格式](discovery-supported-storage.md)。
   + 若要篩選映射並僅顯示具有特定欄位值的儲存貯體，請將游標放在篩選條件方塊中，然後為欄位新增篩選條件。Macie 會套用條件的條件，並在篩選條件方塊下方顯示條件。若要進一步精簡結果，請新增其他欄位的篩選條件。如需詳細資訊，請參閱[篩選 S3 儲存貯體庫存](monitoring-s3-inventory-filter.md)。
   + 若要向下切入並僅顯示特定帳戶擁有的儲存貯體，請選擇帳戶的帳戶 ID。Macie 會開啟新的索引標籤，篩選並僅顯示該帳戶的資料。

1. 若要檢閱特定儲存貯體的資料敏感統計資料和其他資訊，請選擇儲存貯體的平方。然後，請參閱詳細資訊面板。如需這些詳細資訊的詳細資訊，請參閱 [檢閱 S3 儲存貯體的資料敏感性詳細資訊](discovery-asdd-results-s3-inventory-details.md)。
**提示**  
在面板的**儲存貯體詳細資訊**索引標籤上，您可以對許多欄位進行樞紐分析和向下切入。若要顯示欄位具有相同值的儲存貯![\[The zoom in icon, which is a magnifying glass that has a plus sign in it.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/icon-magnifying-glass-plus-sign.png)體，請在欄位中選擇 。若要顯示具有欄位其他值的儲存貯![\[The zoom out icon, which is a magnifying glass that has a minus sign in it.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/icon-magnifying-glass-minus-sign.png)體，請在欄位中選擇 。

# 使用 S3 儲存貯體資料表評估資料敏感度
<a name="discovery-asdd-results-s3-inventory-table"></a>

若要檢閱 Amazon Simple Storage Service (Amazon S3) 儲存貯體的摘要資訊，您可以使用 Amazon Macie 主控台上的 **S3 儲存貯**體資料表。透過使用 資料表，您可以檢閱和分析目前 中一般用途儲存貯體的庫存 AWS 區域，並向下切入以檢閱個別儲存貯體的詳細資訊和統計資料。如果您是組織的 Macie 管理員，資料表會包含成員帳戶擁有的儲存貯體相關資訊。如果您偏好以程式設計方式存取和查詢資料，您可以使用 Amazon Macie API 的 [DescribeBuckets](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3.html) 操作。

在 主控台上，您可以排序和篩選資料表來自訂檢視。您也可以將資料表中的資料匯出至逗號分隔值 (CSV) 檔案。如果您在資料表中選擇 S3 儲存貯體，詳細資訊面板會顯示儲存貯體的其他資訊。這包括設定和指標的詳細資訊和統計資料，這些設定和指標可讓您深入了解儲存貯體資料的安全性和隱私權。如果啟用自動敏感資料探索，也會包含擷取 Macie 到目前為止為儲存貯體執行之自動探索活動結果的資料。

**使用 S3 儲存貯體資料表評估資料敏感度**

1. 開啟位於 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 的 Amazon Macie 主控台。

1. 在導覽窗格中，選擇 **S3 儲存貯**體。**S3 儲存貯**體頁面會顯示您的儲存貯體庫存。

   根據預設，頁面不會顯示目前從自動敏感資料探索中排除的儲存貯體資料。如果您是組織的 Macie 管理員，也不會顯示目前停用自動敏感資料探索的帳戶資料。若要顯示此資料，請在篩選條件方塊下方的**由自動探索篩選條件字符監控**中選擇 **X**。

1. 選擇頁面頂端的資料表 (![\[The table view button, which is a button that displays three black horizontal lines.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/btn-s3-table-view.png))。Macie 會顯示庫存中的儲存貯體數量，以及儲存貯體的資料表。

1. 若要從 Amazon S3 擷取最新的儲存貯體中繼資料，請選擇頁面頂端的重新整理 (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/btn-refresh-data.png))。

   如果資訊圖示 (![\[The information icon, which is a blue circle that has a lowercase letter i in it.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/icon-info-blue.png)) 出現在任何儲存貯體名稱旁，建議您執行此操作。此圖示表示儲存貯體是在過去 24 小時內建立的，可能是在 Macie 上次從 Amazon S3 擷取儲存貯體和物件中繼資料之後，做為[每日重新整理週期](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh)的一部分。

1. 在 **S3 儲存貯**體資料表中，檢閱庫存中每個儲存貯體的摘要資訊：
   + **敏感度** – 儲存貯體目前的敏感度分數。如需有關 Macie 定義之敏感度分數範圍的資訊，請參閱 [S3 儲存貯體的敏感度評分](discovery-scoring-s3.md)。
   + **儲存貯體** – 儲存貯體的名稱。
   + **帳戶** – 擁有儲存貯體 AWS 帳戶 之 的帳戶 ID。
   + **可分類物件** – Macie 可分析以偵測儲存貯體中敏感資料的物件總數。
   + **可分類大小** – Macie 可分析的所有物件的總儲存大小，用於偵測儲存貯體中的敏感資料。

     這個值不會反映任何壓縮物件解壓縮之後的實際大小。此外，如果為儲存貯體啟用版本控制，則此值是根據儲存貯體中每個物件最新版本的儲存體大小。
   + **依任務監控** – 您是否設定任何敏感資料探索任務，以每日、每週或每月定期分析儲存貯體中的物件。

     如果此欄位的值為*是*，則儲存貯體會明確包含在定期任務中，或儲存貯體符合過去 24 小時內定期任務的條件。此外，至少其中一個任務的狀態不會*取消*。Macie 每天更新此資料。
   + **最新任務執行** – 如果您設定任何一次性或定期敏感資料探索任務來分析儲存貯體中的物件，此欄位會指出其中一個任務開始執行的最新日期和時間。否則，此欄位會顯示破折號 (–)。

   在上述資料中，如果物件使用支援的 Amazon S3 儲存類別，且具有支援的檔案或儲存格式的檔案名稱副檔名，則可以*分類*物件。您可以使用 Macie 偵測物件中的敏感資料。如需詳細資訊，請參閱[支援的儲存類別和格式](discovery-supported-storage.md)。

1. 若要使用 資料表分析您的庫存，請執行下列任一動作：
   + 若要依特定欄位排序資料表，請選擇欄位的欄位標題。若要變更排序順序，請再次選擇欄標題。
   + 若要篩選資料表並僅顯示具有特定欄位值的儲存貯體，請將游標放在篩選方塊中，然後為 欄位新增篩選條件。若要進一步精簡結果，請新增其他欄位的篩選條件。如需詳細資訊，請參閱[篩選 S3 儲存貯體庫存](monitoring-s3-inventory-filter.md)。
   + 若要檢閱特定儲存貯體的資料敏感統計資料和其他資訊，請選擇儲存貯體的名稱。然後，請參閱詳細資訊面板。如需這些詳細資訊的詳細資訊，請參閱 [檢閱 S3 儲存貯體詳細資訊](discovery-asdd-results-s3-inventory-details.md)。
**提示**  
在面板的**儲存貯體詳細資訊**索引標籤上，您可以對許多欄位進行樞紐分析和向下切入。若要顯示欄位具有相同值的儲存貯![\[The zoom in icon, which is a magnifying glass that has a plus sign in it.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/icon-magnifying-glass-plus-sign.png)體，請在欄位中選擇 。若要顯示具有欄位其他值的儲存貯![\[The zoom out icon, which is a magnifying glass that has a minus sign in it.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/icon-magnifying-glass-minus-sign.png)體，請在欄位中選擇 。

1. 若要將資料從資料表匯出至 CSV 檔案，請選取要匯出每一列的核取方塊，或選取選取欄標題中的核取方塊以選取所有資料列。然後選擇頁面頂端的**匯出至 CSV**。您最多可以從資料表匯出 50，000 個資料列。

1. 若要對一或多個儲存貯體中的物件執行更深入、更即時的分析，請選取每個儲存貯體的核取方塊。然後，選擇 **Create Job** (建立任務)。如需詳細資訊，請參閱[建立敏感資料探索任務](discovery-jobs-create.md)。

# 檢閱 S3 儲存貯體的資料敏感性詳細資訊
<a name="discovery-asdd-results-s3-inventory-details"></a>

隨著自動化敏感資料探索的進行，您可以在 Amazon Macie 針對每個 Amazon Simple Storage Service (Amazon S3) 儲存貯體提供的統計資料和其他資訊中檢閱詳細結果。如果您是組織的 Macie 管理員，這包含成員帳戶擁有的儲存貯體。

統計資料和資訊包含詳細資訊，可讓您深入了解 S3 儲存貯體資料的安全性和隱私權。它們也會擷取 Macie 到目前為止對儲存貯體執行的自動化敏感資料探索活動的結果。例如，您可以找到 Macie 在儲存貯體中分析的物件清單。您也可以找到 Macie 在儲存貯體中找到之敏感資料的類型和出現次數明細。請注意，此資料不包含您建立和執行的敏感資料探索任務的結果。

Macie 在執行自動敏感資料探索時，會自動重新計算和更新 S3 儲存貯體的統計資料和詳細資訊。例如：
+ 如果 Macie 在 S3 物件中找不到敏感資料，Macie 會降低儲存貯體的敏感度分數，並視需要更新儲存貯體的敏感度標籤。Macie 也會將物件新增至選取用於分析的物件清單。
+ 如果 Macie 在 S3 物件中找到敏感資料，Macie 會將這些事件新增至 Macie 在儲存貯體中找到的敏感資料類型明細。Macie 也會提高儲存貯體的敏感度分數，並視需要更新儲存貯體的敏感度標籤。此外，Macie 會將物件新增至選取用於分析的物件清單。除了為物件建立敏感資料調查結果之外，這些任務也一樣。
+ 如果 Macie 在後續變更或刪除的 S3 物件中找到敏感資料，Macie 會從儲存貯體的敏感資料類型明細中移除物件的敏感資料出現次數。Macie 也會降低儲存貯體的敏感度分數，並視需要更新儲存貯體的敏感度標籤。此外，Macie 會從選取用於分析的物件清單中移除物件。
+ 如果 Macie 嘗試分析 S3 物件，但問題或錯誤導致無法分析，Macie 會將物件新增至選取用於分析的物件清單，並指出無法分析物件。

如果您是組織的 Macie 管理員或擁有獨立的 Macie 帳戶，您可以選擇使用這些詳細資訊來評估和調整 S3 儲存貯體的特定自動探索設定。例如，您可以從儲存貯體的分數中包含或排除特定類型的敏感資料。如需詳細資訊，請參閱[調整 S3 儲存貯體的敏感度分數](discovery-asdd-s3bucket-manage.md)。

**檢閱 S3 儲存貯體的資料敏感性詳細資訊**  
若要檢閱 S3 儲存貯體的資料敏感性和其他詳細資訊，您可以使用 Amazon Macie 主控台或 Amazon Macie API。在 主控台上，詳細資訊面板可讓您集中存取此資訊。您可以使用 API 以程式設計方式擷取和處理資料。

------
#### [ Console ]

請依照下列步驟，使用 Amazon Macie 主控台檢閱 S3 儲存貯體的資料敏感性和其他詳細資訊。

**若要檢閱 S3 儲存貯體的詳細資訊**

1. 在 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。

1. 在導覽窗格中，選擇 **S3 儲存貯體**。**S3 儲存貯**體頁面會顯示儲存貯體庫存的互動式地圖。選擇性地選擇頁面頂端的資料表 (![\[The table view button, which is a button that displays three black horizontal lines.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/btn-s3-table-view.png))，以表格格式顯示您的庫存。

   根據預設，頁面不會顯示目前從自動敏感資料探索中排除的儲存貯體資料。如果您是組織的 Macie 管理員，也不會顯示目前停用自動敏感資料探索的帳戶資料。若要顯示此資料，請在篩選條件方塊下方的**由自動探索篩選條件字符監控**中選擇 **X**。

1. 若要從 Amazon S3 擷取最新的儲存貯體中繼資料，請選擇頁面頂端的重新整理 (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/btn-refresh-data.png))。

1. 選擇您要檢閱其詳細資訊的儲存貯體。詳細資訊面板會顯示資料敏感統計資料和儲存貯體的其他資訊。

面板頂端顯示儲存貯體的一般資訊：儲存貯體名稱、 AWS 帳戶 擁有儲存貯體之 的帳戶 ID，以及儲存貯體目前的敏感度分數。如果您是 Macie 管理員或擁有獨立的 Macie 帳戶，它也提供變更儲存貯體特定自動探索設定的選項。其他設定和資訊會整理成下列索引標籤：

[敏感度](#discovery-asdd-results-s3-inventory-sensitivity-details) \$1 [儲存貯體詳細資訊](#discovery-asdd-results-s3-inventory-bucket-details) \$1 [物件範例](#discovery-asdd-results-s3-inventory-sample-details) \$1 [敏感資料探索](#discovery-asdd-results-s3-inventory-sdd-details)

每個索引標籤上的個別設定和資訊如下。

**敏感度**  
此標籤顯示儲存貯體目前的敏感度分數，範圍從 *-1* 到 *100*。如需有關 Macie 定義之敏感度分數範圍的資訊，請參閱 [S3 儲存貯體的敏感度評分](discovery-scoring-s3.md)。  
此索引標籤也提供 Macie 在儲存貯體物件中找到的敏感資料類型明細，以及每種類型的出現次數：  
+ **敏感資料類型** – 偵測到資料的受管資料識別符的唯一識別符 (ID)，或偵測到資料的自訂資料識別符名稱。

  受管資料識別符的 ID 說明其設計用於偵測的敏感資料類型，例如美國護照號碼的 **USA\$1PASSPORT\$1NUMBER**。如需每個受管資料識別符的詳細資訊，請參閱 [使用受管資料識別符](managed-data-identifiers.md)。
+ **計數** – 受管或自訂資料識別符偵測到的資料總出現次數。
+ **評分狀態** – 如果您是 Macie 管理員或擁有獨立的 Macie 帳戶，則此欄位會顯示。它指定資料出現是否包含在儲存貯體的敏感度分數中或排除在其中。

  如果 Macie 計算儲存貯體的分數，您可以透過從分數中包含或排除特定類型的敏感資料來調整計算：選取偵測到要包含或排除敏感資料的識別符核取方塊，然後在**動作**功能表上選擇一個選項。如需詳細資訊，請參閱[調整 S3 儲存貯體的敏感度分數](discovery-asdd-s3bucket-manage.md)。
如果 Macie 在儲存貯體目前存放的物件中找不到敏感資料，本節會顯示**找不到偵測**訊息。  
請注意，**敏感度**索引標籤不包含 Macie 分析物件之後變更或刪除的物件資料。如果在分析後變更或刪除物件，Macie 會自動重新計算和更新適當的統計資料和資料，以排除物件。

**儲存貯體詳細資訊**  
此標籤提供儲存貯體設定的詳細資訊，包括資料安全和隱私權設定。例如，您可以檢閱儲存貯體公有存取設定的明細，並判斷儲存貯體是否複寫物件或與其他 共用 AWS 帳戶。  
特別注意，**上次更新**欄位指出 Macie 最近一次從 Amazon S3 擷取儲存貯體或儲存貯體物件中繼資料的時間。**最新自動探索執行**欄位指出 Macie 在執行自動敏感資料探索時，何時最近分析儲存貯體中的物件。如果未進行此分析，此欄位中會顯示破折號 (–)。  
此索引標籤也提供物件層級統計資料，可協助您評估 Macie 可在儲存貯體中分析的資料量。它還指出您是否設定了任何敏感資料探索任務來分析儲存貯體中的物件。如果您有，您可以存取最近執行的任務詳細資訊，然後選擇性地顯示任務產生的任何問題清單。  
在某些情況下，此標籤可能不會包含儲存貯體的所有詳細資訊。如果您在 Amazon S3 中存放超過 10，000 個儲存貯體，就會發生這種情況。Macie 只會為帳戶維護 10，000 個儲存貯體的完整庫存資料，也就是最近建立或變更的 10，000 個儲存貯體。不過，Macie 可以分析儲存貯體中超過此配額的物件。若要檢閱儲存貯體的其他詳細資訊，請使用 Amazon S3。  
如需此標籤上資訊的其他詳細資訊，請參閱 [檢閱 S3 儲存貯體的詳細資訊](monitoring-s3-inventory-review.md#monitoring-s3-inventory-view-details)。

**物件範例**  
此標籤列出 Macie 在執行儲存貯體的自動敏感資料探索時，為分析選取的物件。選擇性地選擇物件的名稱，以開啟 Amazon S3 主控台並顯示物件的屬性。  
此清單包含最多 100 個物件的資料。清單會根據**物件敏感度**欄位的值填入：**敏感**，後面接著**不敏感**，後面接著 Macie 無法分析的物件。  
在清單中，**物件敏感度**欄位指出 Macie 是否在物件中找到敏感資料：  
+ **敏感** – Macie 發現物件中至少出現一個敏感資料。
+ **不敏感** – Macie 在 物件中找不到敏感資料。
+ **–** (*破折號*) – Macie 由於問題或錯誤而無法完成物件的分析。
**分類結果**欄位指出 Macie 是否能夠分析物件：  
+ **完成** – Macie 已完成其對物件的分析。
+ **部分** – Macie 僅因為問題或錯誤而分析 物件中的一部分資料。例如， 物件是一個封存檔案，其中包含不支援格式的檔案。
+ **已略過** – Macie 由於問題或錯誤而無法分析物件中的任何資料。例如，物件會使用不允許 Macie 使用的金鑰進行加密。
請注意，此清單不包含 Macie 分析或嘗試分析後變更或刪除的物件。如果物件隨後變更或刪除，Macie 會自動從清單中移除物件。

**敏感資料探索**  
此標籤提供儲存貯體的彙總、自動化敏感資料探索統計資料：  
+ **分析的位元組** – Macie 在儲存貯體中分析的資料總量，以位元組為單位。
+ **可分類位元組** – Macie 可在儲存貯體中分析之所有物件的總儲存大小，以位元組為單位。這些物件使用支援的 Amazon S3 儲存類別，且具有支援檔案或儲存格式的副檔名。如需詳細資訊，請參閱[支援的儲存類別和格式](discovery-supported-storage.md)。
+ **偵測總數** – Macie 在儲存貯體中找到的敏感資料發生總數。這包括目前由儲存貯體的敏感度評分設定所隱藏的發生次數。
**物件分析**圖表指出 Macie 在儲存貯體中分析的物件總數。它還提供 Macie 在其中找到或不找到敏感資料的物件數量的視覺化表示。圖表下方的圖例顯示這些結果的明細：  
+ **敏感物件** (*紅色*) – Macie 在其中發現至少發生一次敏感資料的物件總數。
+ **非敏感物件** (*藍色*) – Macie 找不到敏感資料的物件總數。
+ **物件已略過** (*深灰色*) – Macie 由於問題或錯誤而無法分析的物件總數。
圖表圖例下方的區域提供 Macie 因為發生特定類型的許可問題或密碼編譯錯誤而無法分析物件的案例明細：  
+ **略過：無效的加密** – 使用客戶提供的金鑰加密的物件總數。Macie 無法存取這些金鑰。
+ **已略過：無效的 KMS** – 使用不再可用的 AWS Key Management Service (AWS KMS) 金鑰加密的物件總數。這些物件會使用已停用、排定刪除或刪除 AWS KMS keys 的 加密。Macie 無法使用這些金鑰。
+ **已略過：許可遭拒** – 由於物件的許可設定，或用於加密物件之金鑰的許可設定，而不允許 Macie 存取的物件總數。
如需這些和其他可能發生之問題和錯誤類型的詳細資訊，請參閱 [修復涵蓋範圍問題](discovery-coverage-remediate.md)。如果您修復了問題和錯誤，您可以在後續分析週期中增加儲存貯體資料的涵蓋範圍。  
**敏感資料探索**索引標籤上的統計資料不包含 Macie 分析或嘗試分析後變更或刪除之物件的資料。如果在 Macie 分析或嘗試分析物件之後變更或刪除物件，Macie 會自動重新計算這些統計資料以排除物件。

------
#### [ API ]

若要以程式設計方式擷取 S3 儲存貯體的資料敏感性和其他詳細資訊，您有幾個選項。適當的選項取決於您要擷取的詳細資訊：
+ 若要擷取儲存貯體目前的敏感度分數和彙總分析統計資料，請使用 [GetResourceProfile](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles.html) 操作。或者，如果您使用的是 AWS Command Line Interface (AWS CLI)，請執行 [get-resource-profile](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-resource-profile.html) 命令。統計資料包括資料，例如 Macie 已分析的物件數量，以及 Macie 找到敏感資料的物件數量。
+ 若要擷取 Macie 在儲存貯體中找到的敏感資料類型和數量明細，請使用 [ListResourceProfileDetections](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles-detections.html) 操作。或者，如果您使用的是 AWS CLI，請執行 [list-resource-profile-detections](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-resource-profile-detections.html) 命令。明細也會提供有關偵測到每種敏感資料的受管或自訂資料識別符的詳細資訊。
+ 若要擷取 Macie 從儲存貯體中選取最多 100 個物件的清單進行分析，請使用 [ListResourceProfileArtifacts](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles-artifacts.html) 操作。或者，如果您使用的是 AWS CLI，請執行 [list-resource-profile-artifacts](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-resource-profile-artifacts.html) 命令。對於每個物件，清單會指定：物件的 Amazon Resource Name (ARN)、Macie 是否完成物件的分析，以及 Macie 是否在物件中找到敏感資料。

在您的請求中，使用 `resourceArn` 參數指定要擷取其詳細資訊的儲存貯體 ARN。如果您使用的是 AWS CLI，請使用 `resource-arn` 參數來指定 ARN。

如需 S3 儲存貯體的其他詳細資訊，例如儲存貯體的公有存取設定，請使用 [DescribeBuckets](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3.html) 操作。如果您使用的是 AWS CLI，請執行 [describe-buckets](https://docs.aws.amazon.com/cli/latest/reference/macie2/describe-buckets.html) 命令來擷取這些詳細資訊。在您的請求中，選擇性地使用篩選條件來指定儲存貯體的名稱。如需詳細資訊和範例，請參閱 [篩選 S3 儲存貯體庫存](monitoring-s3-inventory-filter.md)。

下列範例示範如何使用 AWS CLI 擷取 S3 儲存貯體的資料敏感性詳細資訊。第一個範例會擷取儲存貯體目前的敏感度分數和彙總分析統計資料。

```
$ aws macie2 get-resource-profile --resource-arn arn:aws:s3:::amzn-s3-demo-bucket
```

其中 *arn：aws：s3：：amzn-s3-demo-bucket* 是儲存貯體的 ARN。如果請求成功，您會收到類似以下的輸出：

```
{
    "profileUpdatedAt": "2024-11-21T15:44:46+00:00",
    "sensitivityScore": 83,
    "sensitivityScoreOverridden": false,
    "statistics": {
        "totalBytesClassified": 933599,
        "totalDetections": 3641,
        "totalDetectionsSuppressed": 0,
        "totalItemsClassified": 111,
        "totalItemsSensitive": 84,
        "totalItemsSkipped": 1,
        "totalItemsSkippedInvalidEncryption": 0,
        "totalItemsSkippedInvalidKms": 0,
        "totalItemsSkippedPermissionDenied": 0
    }
}
```

下一個範例會擷取 Macie 在 S3 儲存貯體中找到的敏感資料類型明細，以及每種類型的出現次數。明細也會指定偵測到資料的受管資料識別符或自訂資料識別符。如果 Macie 自動計算分數，也會指出事件目前是否從儲存貯體的敏感度分數中排除 (`suppressed`)。

```
$ aws macie2 list-resource-profile-detections --resource-arn arn:aws:s3:::amzn-s3-demo-bucket
```

其中 *arn：aws：s3：：amzn-s3-demo-bucket* 是儲存貯體的 ARN。如果請求成功，您會收到類似以下的輸出：

```
{
    "detections": [
        {
            "count": 8,
            "id": "AWS_CREDENTIALS",
            "name": "AWS_CREDENTIALS",
            "suppressed": false,
            "type": "MANAGED"
        },
        {
            "count": 1194,
            "id": "CREDIT_CARD_NUMBER",
            "name": "CREDIT_CARD_NUMBER",
            "suppressed": false,
            "type": "MANAGED"
        },
        {
            "count": 1194,
            "id": "CREDIT_CARD_SECURITY_CODE",
            "name": "CREDIT_CARD_SECURITY_CODE",
            "suppressed": false,
            "type": "MANAGED"
        },
        {
            "arn": "arn:aws:macie2:us-east-1:123456789012:custom-data-identifier/3293a69d-4a1e-4a07-8715-208ddexample",
            "count": 8,
            "id": "3293a69d-4a1e-4a07-8715-208ddexample",
            "name": "Employee IDs with keyword",
            "suppressed": false,
            "type": "CUSTOM"
        },
        {
            "count": 1237,
            "id": "USA_SOCIAL_SECURITY_NUMBER",
            "name": "USA_SOCIAL_SECURITY_NUMBER",
            "suppressed": false,
            "type": "MANAGED"
        }
    ]
}
```

此範例會擷取 Macie 從 S3 儲存貯體中選取用於分析的物件清單。對於每個物件，清單也會指出 Macie 是否已完成物件的分析，以及 Macie 是否在物件中找到敏感資料。

```
$ aws macie2 list-resource-profile-artifacts --resource-arn arn:aws:s3:::amzn-s3-demo-bucket
```

其中 *arn：aws：s3：：amzn-s3-demo-bucket* 是儲存貯體的 ARN。如果請求成功，您會收到類似以下的輸出：

```
{
    "artifacts": [
        {
            "arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object1.csv",
            "classificationResultStatus": "COMPLETE",
            "sensitive": true
        },
        {
            "arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object2.xlsx",
            "classificationResultStatus": "COMPLETE",
            "sensitive": true
        },
        {
            "arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object3.json",
            "classificationResultStatus": "COMPLETE",
            "sensitive": true
        },
        {
            "arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object4.pdf",
            "classificationResultStatus": "COMPLETE",
            "sensitive": true
        },
        {
            "arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object5.zip",
            "classificationResultStatus": "PARTIAL",
            "sensitive": true
        },
        {
            "arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object6.vssx",
            "classificationResultStatus": "SKIPPED"
        }
    ]
}
```

------

# 分析自動化敏感資料探索的問題清單
<a name="discovery-asdd-results-s3-findings"></a>

當 Amazon Macie 執行自動敏感資料探索時，它會為每個找到敏感資料的 Amazon Simple Storage Service (Amazon S3) 物件建立敏感資料調查結果。*敏感資料調查結果*是 Macie 在 S3 物件中找到的敏感資料的詳細報告。問題清單不包含 Macie 找到的敏感資料。相反地，它提供您可以用於在必要時進一步調查和修復的資訊。

每個敏感資料調查結果都提供嚴重性評分和詳細資訊，例如：
+ Macie 找到敏感資料的日期和時間。
+ Macie 找到的敏感資料的類別和類型。
+ Macie 找到的每種敏感資料的出現次數。
+ Macie 如何找到敏感資料、自動化敏感資料探索或敏感資料探索任務。
+ 名稱、公開存取設定、加密類型，以及受影響 S3 儲存貯體和物件的其他資訊。

根據受影響的 S3 物件的檔案類型或儲存格式，詳細資訊也可以包含最多 15 次 Macie 找到之敏感資料的位置。

Macie 會將敏感資料調查結果存放 90 天。您可以使用 Amazon Macie 主控台或 Amazon Macie API 來存取它們。您也可以使用其他應用程式、服務和系統來監控和處理問題清單。如需詳細資訊，請參閱[檢閱和分析問題清單](findings.md)。

**分析自動化敏感資料探索所產生的問題清單**  
若要識別和分析 Macie 在執行自動敏感資料探索時建立的問題清單，您可以篩選問題清單。透過篩選條件，您可以使用問題清單的特定屬性來建置自訂檢視和問題清單的查詢。若要篩選問題清單，您可以使用 Amazon Macie 主控台，或使用 Amazon Macie API 以程式設計方式提交查詢。如需詳細資訊，請參閱[篩選問題清單](findings-filter-overview.md)。

**注意**  
如果您的帳戶是集中管理多個 Macie 帳戶的組織的一部分，只有組織的 Macie 管理員可以直接存取自動化敏感資料探索為您組織中的帳戶產生的調查結果。如果您有成員帳戶，並想要檢閱帳戶的調查結果，請聯絡您的 Macie 管理員。

------
#### [ Console ]

請依照下列步驟，使用 Amazon Macie 主控台來識別和分析問題清單。

**分析自動化探索所產生的問題清單**

1. 在 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。

1. 在導覽窗格中，選擇**調查結果**。

1. 若要顯示遭禁止[規則](findings-suppression.md)隱藏的問題清單，請變更**問題清單狀態**設定。選擇**全部**可同時顯示隱藏和未隱藏的問題清單，或選擇**封存**可僅顯示隱藏的問題清單。若要再次隱藏隱藏的問題清單，請選擇**目前**。

1. 將游標放在**篩選條件**方塊中。在出現的欄位清單中，選擇**原始伺服器類型**。

   此欄位指定 Macie 如何找到產生調查結果的敏感資料、自動化敏感資料探索或敏感資料探索任務。若要在篩選欄位清單中尋找此欄位，您可以瀏覽完整清單，或輸入部分欄位的名稱以縮小欄位清單範圍。

1. 選取 **AUTOMATED\$1SENSITIVE\$1DATA\$1DISCOVERY** 做為 欄位的值，然後選擇**套用**。Macie 會套用篩選條件，並將條件新增至篩選條件方塊中的**篩選條件**字符。

1. 若要精簡結果，請新增其他欄位的篩選條件，例如，在 為建立問題清單的時間範圍**建立**、為受影響的儲存貯體名稱建立 **S3 ** 儲存貯體名稱，或為偵測到並產生問題清單的敏感類型新增**敏感資料偵測類型**。

如果後續想要再次使用此條件集，您可以將其儲存為篩選條件規則。若要這樣做，請在**篩選條件**方塊中選擇**儲存規則**。然後輸入名稱，並選擇性輸入規則的描述。完成後，請選擇**儲存**。

------
#### [ API ]

若要以程式設計方式識別和分析問題清單，請在您使用 [ListFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings.html) 或 Amazon Macie API 的 [GetFindingStatistics](https://docs.aws.amazon.com/macie/latest/APIReference/findings-statistics.html) 操作提交的查詢中指定篩選條件。**ListFindings** 操作會傳回問題清單 IDs 的陣列，每個符合篩選條件的問題清單各一個 ID。然後，您可以使用這些 IDs來擷取每個問題清單的詳細資訊。**GetFindingStatistics** 操作會傳回與篩選條件相符之所有調查結果的彙總統計資料，依您在請求中指定的欄位分組。如需以程式設計方式篩選問題清單的詳細資訊，請參閱 [篩選問題清單](findings-filter-overview.md)。

在篩選條件中，包含 `originType` 欄位的條件。此欄位指定 Macie 如何找到產生調查結果的敏感資料、自動化敏感資料探索或敏感資料探索任務。如果自動化敏感資料探索產生問題清單，此欄位的值為 `AUTOMATED_SENSITIVE_DATA_DISCOVERY`。

若要使用 AWS Command Line Interface (AWS CLI) 識別和分析問題清單，請執行 [list-findings](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-findings.html) 或 [get-finding-statistics](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-finding-statistics.html) 命令。下列範例使用 **list-findings**命令來擷取目前產生之自動化敏感資料探索的所有高嚴重性調查結果的調查結果 IDs AWS 區域。

此範例已針對 Linux、macOS 或 Unix 格式化，並使用反斜線 (\$1) 行接續字元來改善可讀性。

```
$ aws macie2 list-findings \
--finding-criteria '{"criterion":{"classificationDetails.originType":{"eq":["AUTOMATED_SENSITIVE_DATA_DISCOVERY"]},"severity.description":{"eq":["High"]}}}'
```

此範例已針對 Microsoft Windows 進行格式化，並使用八進制 (^) 換行字元來改善可讀性。

```
C:\> aws macie2 list-findings ^
--finding-criteria={\"criterion\":{\"classificationDetails.originType\":{\"eq\":[\"AUTOMATED_SENSITIVE_DATA_DISCOVERY\"]},\"severity.description\":{\"eq\":[\"High\"]}}}
```

其中：
+ `classificationDetails.originType` 指定**原始伺服器類型**欄位的 JSON 名稱，以及：
  + `eq` 指定*等於*運算子。
  + `AUTOMATED_SENSITIVE_DATA_DISCOVERY` 是 欄位的列舉值。
+ *`severity.description`* 指定**嚴重性**欄位的 JSON 名稱，以及：
  + *`eq`* 指定*等於*運算子。
  + *`High`* 是 欄位的列舉值。

如果請求成功，Macie 會傳回`findingIds`陣列。陣列會列出每個符合篩選條件之調查結果的唯一識別符，如下列範例所示。

```
{
    "findingIds": [
        "1f1c2d74db5d8caa76859ec52example",
        "6cfa9ac820dd6d55cad30d851example",
        "702a6fd8750e567d1a3a63138example",
        "826e94e2a820312f9f964cf60example",
        "274511c3fdcd87010a19a3a42example"
    ]
}
```

如果沒有符合篩選條件的問題清單，Macie 會傳回空`findingIds`陣列。

```
{
    "findingIds": []
}
```

------

# 從自動化敏感資料探索存取探索結果
<a name="discovery-asdd-results-s3-sddrs"></a>

當 Amazon Macie 執行自動敏感資料探索時，它會為每個為分析選取的 Amazon Simple Storage Service (Amazon S3) 物件建立分析記錄。這些記錄稱為*敏感資料探索結果*，記錄有關 Macie 對個別 S3 物件執行之分析的詳細資訊。這包括 Macie 找不到敏感資料的物件，以及 Macie 因許可設定或使用不支援的檔案或儲存格式等錯誤或問題而無法分析的物件。敏感資料探索結果為您提供分析記錄，有助於資料隱私權和保護稽核或調查。

如果 Macie 在 S3 物件中找到敏感資料，敏感資料探索結果會提供 Macie 找到之敏感資料的相關資訊。該資訊包含敏感資料調查結果提供的相同詳細資訊類型。它也提供其他資訊，例如 Macie 找到的每種敏感資料多達 1，000 次出現的位置。例如：
+ Microsoft Excel 工作手冊、CSV 檔案或 TSV 檔案中儲存格或欄位的資料欄和資料列編號
+ JSON 或 JSON Lines 檔案中欄位或陣列的路徑
+ CSV、JSON、JSON Lines 或 TSV 檔案以外的非二進位文字檔案中某行的行號，例如 HTML、TXT 或 XML 檔案
+ Adobe 可攜式文件格式 (PDF) 檔案中頁面的頁碼
+ Apache Avro 物件容器或 Apache Parquet 檔案中記錄中欄位的記錄索引和路徑

如果受影響的 S3 物件是封存檔案，例如 .tar 或 .zip 檔案，敏感資料探索結果也會針對 Macie 從封存中擷取的個別檔案中出現的敏感資料，提供詳細的位置資料。Macie 不會在封存檔案的敏感資料調查結果中包含此資訊。若要報告位置資料，敏感資料探索結果會使用[標準化的 JSON 結構描述](findings-locate-sd-schema.md)。

**注意**  
如同敏感資料調查結果的情況，敏感資料探索結果不包含 Macie 在 S3 物件中找到的敏感資料。相反地，它們提供分析詳細資訊，有助於稽核或調查。

Macie 會將您的敏感資料探索結果存放 90 天。您無法直接在 Amazon Macie 主控台或透過 Amazon Macie API 存取它們。反之，您可以設定 Macie 將它們加密並存放在 S3 儲存貯體中。儲存貯體可以做為所有敏感資料探索結果的確定性長期儲存庫。若要判斷此儲存庫適用於您的帳戶，請在 Amazon Macie 主控台的導覽窗格中選擇**探索結果**。若要以程式設計方式執行此操作，請使用 Amazon Macie API 的 [GetClassificationExportConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/classification-export-configuration.html) 操作。如果您尚未為 帳戶設定此儲存庫，請參閱 [儲存及保留敏感資料探索結果](discovery-results-repository-s3.md) 以了解如何進行。

設定 Macie 將敏感資料探索結果存放在 S3 儲存貯體之後，Macie 會將結果寫入 JSON Lines (.jsonl) 檔案，並將其加密並將這些檔案新增至儲存貯體，做為 GNU Zip (.gz) 檔案。對於自動敏感資料探索，Macie 會將檔案新增至儲存貯體`automated-sensitive-data-discovery`中名為 的資料夾。然後，您可以選擇存取和查詢該資料夾中的結果。如果您的帳戶是集中管理多個 Macie 帳戶的組織的一部分，Macie 會將檔案新增至 Macie 管理員帳戶的 儲存貯體中的 `automated-sensitive-data-discovery` 資料夾。

敏感資料探索結果符合標準化結構描述。這可協助您使用其他應用程式、服務和系統來查詢、監控和處理它們。如需如何查詢和使用這些結果的詳細教學範例，請參閱安全*AWS 部落格*上的下列部落格文章：[如何使用 Amazon Athena 和 Amazon Quick 查詢和視覺化 Macie 敏感資料探索結果](https://aws.amazon.com/blogs/security/how-to-query-and-visualize-macie-sensitive-data-discovery-results-with-athena-and-quicksight/)。如需可用於分析結果的 Athena 查詢範例，請造訪 GitHub 上的 [Amazon Macie Results Analytics 儲存庫](https://github.com/aws-samples/amazon-macie-results-analytics)。此儲存庫也提供設定 Athena 擷取和解密結果的說明，以及建立結果資料表的指令碼。

# 評估自動化敏感資料探索涵蓋範圍
<a name="discovery-coverage"></a>

隨著您帳戶或組織的自動化敏感資料探索進行，Amazon Macie 會提供統計資料和詳細資訊，協助您評估和監控 Amazon Simple Storage Service (Amazon S3) 資料資產的涵蓋範圍。使用此資料，您可以檢查資料資產整體和其中個別 S3 儲存貯體的自動敏感資料探索狀態。您也可以識別讓 Macie 無法分析特定儲存貯體中物件的問題。如果您修復問題，您可以在後續分析週期中增加 Amazon S3 資料的涵蓋範圍。

涵蓋範圍資料提供目前 S3 一般用途儲存貯體自動敏感資料探索目前狀態的快照 AWS 區域。如果您是組織的 Macie 管理員，這包含成員帳戶擁有的儲存貯體。對於每個儲存貯體，資料會指出 Macie 嘗試分析儲存貯體中的物件時是否發生問題。如果發生問題，資料會指出每個問題的性質，以及在某些情況下的發生次數。當自動化敏感資料探索每天進行時，資料會更新。如果 Macie 在每日分析週期期間分析或嘗試分析儲存貯體中的一或多個物件，Macie 會更新涵蓋範圍和其他資料以反映結果。

對於特定類型的問題，您可以檢閱所有 S3 一般用途儲存貯體的彙總資料，並選擇性地深入了解每個儲存貯體的其他詳細資訊。例如，涵蓋範圍資料可協助您快速識別 Macie 不允許存取您帳戶的所有儲存貯體。涵蓋範圍資料也會報告發生的物件層級問題。這些問題稱為*分類錯誤*，使得 Macie 無法分析儲存貯體中的特定物件。例如，您可以判斷 Macie 無法在儲存貯體中分析多少物件，因為物件已使用不再可用的 AWS Key Management Service (AWS KMS) 金鑰加密。

如果您使用 Amazon Macie 主控台檢閱涵蓋範圍資料，您對資料的檢視會包含修復每種類型問題的指引。本節中的後續主題也提供每種類型的修補指引。

**Topics**
+ [檢閱涵蓋範圍資料](discovery-coverage-review.md)
+ [修復涵蓋範圍問題](discovery-coverage-remediate.md)

# 檢閱自動化敏感資料探索的涵蓋範圍資料
<a name="discovery-coverage-review"></a>

若要透過自動化敏感資料探索來檢閱和評估涵蓋範圍，您可以使用 Amazon Macie 主控台或 Amazon Macie API。主控台和 API 都會提供資料，指出目前 Amazon Simple Storage Service (Amazon S3) 一般用途儲存貯體分析的目前狀態 AWS 區域。資料包含有關在分析中產生差距之問題的資訊：
+ Macie 不允許存取的儲存貯體。Macie 無法分析這些儲存貯體中的任何物件。儲存貯體的許可設定可防止 Macie 存取儲存貯體和儲存貯體的物件。
+ 不存放任何可分類物件的儲存貯體。Macie 無法分析這些儲存貯體中的任何物件。所有物件都使用 Macie 不支援的 Amazon S3 儲存類別，或具有 Macie 不支援的檔案或儲存格式的副檔名。
+ Macie 因物件層級分類錯誤而無法分析的儲存貯體。Macie 嘗試分析這些儲存貯體中的一或多個物件。不過，由於物件層級許可設定、物件內容或配額的問題，Macie 無法分析物件。

當自動化敏感資料探索每天進行時，會更新涵蓋範圍資料。如果您是組織的 Macie 管理員，資料會包含成員帳戶擁有的 S3 儲存貯體資訊。

**注意**  
涵蓋範圍資料不會明確包含您建立和執行之敏感資料探索任務的結果。不過，修復會影響自動敏感資料探索的涵蓋範圍問題，也可能會增加您後續執行之任務的涵蓋範圍。若要評估任務的涵蓋範圍，[請檢閱任務的結果](discovery-jobs-manage-results.md)。如果任務的日誌事件或其他結果指出涵蓋範圍問題，[自動化敏感資料探索的修補指引](discovery-coverage-remediate.md)可協助您解決部分問題。

**檢閱自動化敏感資料探索的涵蓋範圍資料**  
若要檢閱自動化敏感資料探索的涵蓋範圍資料，您可以使用 Amazon Macie 主控台或 Amazon Macie API。在 主控台上，單一頁面可統一檢視目前區域中所有 S3 一般用途儲存貯體的涵蓋範圍資料。這包括彙總最近針對每個儲存貯體發生的問題。此頁面也提供依問題類型檢閱資料群組的選項。若要追蹤特定儲存貯體的問題調查，您可以將資料從頁面匯出至逗號分隔值 (CSV) 檔案。

------
#### [ Console ]

請依照下列步驟，使用 Amazon Macie 主控台檢閱涵蓋範圍資料。

**檢閱涵蓋範圍資料**

1. 在 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。

1. 在導覽窗格中，選擇**資源涵蓋**範圍。

1. 在**資源涵蓋**範圍頁面上，選擇您要檢閱之涵蓋範圍資料類型的索引標籤：
   + **全部** – 列出您帳戶的所有儲存貯體。對於每個儲存貯體，**問題**欄位指出問題是否讓 Macie 無法分析儲存貯體中的物件。如果此欄位的值為**無**，則 Macie 已分析至少一個儲存貯體的物件，或 Macie 尚未嘗試分析任何儲存貯體的物件。如果有問題，此欄位會指出問題的性質，以及如何修復問題。對於物件層級分類錯誤，它也可能指出 （括號中） 錯誤的出現次數。
   + **存取遭拒** – 列出 Macie 不允許存取的儲存貯體。這些儲存貯體的許可設定可防止 Macie 存取儲存貯體和儲存貯體的物件。因此，Macie 無法分析儲存貯體中的任何物件。
   + **分類錯誤** – 列出 Macie 因物件層級分類錯誤而尚未分析的儲存貯體 - 具有物件層級許可設定、物件內容或配額的問題。對於每個儲存貯體，**問題**欄位指出發生並阻止 Macie 分析儲存貯體中物件的每種錯誤類型的性質。它還指出如何修復每種類型的錯誤。根據錯誤，它也可能指出 （括號中） 錯誤的出現次數。
   + **不可分類** – 列出 Macie 無法分析的儲存貯體，因為它們不會存放任何可分類物件。這些儲存貯體中的所有物件都使用不支援的 Amazon S3 儲存類別，或具有不支援的檔案或儲存格式的副檔名。因此，Macie 無法分析儲存貯體中的任何物件。

1. 若要向下切入並檢閱儲存貯體的支援資料，請選擇儲存貯體的名稱。然後，請參閱詳細資訊面板以取得儲存貯體的統計資料和其他資訊。

1. 若要將資料表匯出至 CSV 檔案，請選擇頁面頂端的**匯出至 CSV**。產生的 CSV 檔案包含資料表中每個儲存貯體的中繼資料子集，最多 50，000 個儲存貯體。檔案包含**涵蓋範圍問題**欄位。此欄位的值指出問題是否阻止 Macie 分析儲存貯體中的物件，如果是，則指出問題的性質。

------
#### [ API ]

若要以程式設計方式檢閱涵蓋範圍資料，請在您使用 Amazon Macie API 的 [DescribeBuckets](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3.html) 操作提交的查詢中指定篩選條件。此操作會傳回 物件陣列。每個物件都包含符合篩選條件的 S3 一般用途儲存貯體的統計資料和其他資訊。

在篩選條件中，包含您要檢閱之涵蓋範圍資料類型的條件：
+ 若要識別因為儲存貯體的許可設定而不允許 Macie 存取的儲存貯體，請包含 `errorCode` 欄位值等於 的條件`ACCESS_DENIED`。
+ 若要識別允許 Macie 存取且尚未分析的儲存貯體，請包含 `sensitivityScore` 欄位值等於 `50`且 `errorCode` 欄位值不等於 的條件`ACCESS_DENIED`。
+ 若要識別 Macie 因為所有儲存貯體的物件都使用不支援的儲存類別或格式而無法分析的儲存貯體，請包含 `classifiableSizeInBytes` 欄位值等於 `0`且 `sizeInBytes` 欄位值大於 的條件`0`。
+ 若要識別 Macie 已分析至少一個物件的儲存貯體，請包含 `sensitivityScore` 欄位值落在 1–99 範圍內但不等於 的條件`50`。若要同時包含您手動指派最高分數的儲存貯體，範圍應為 1–100。
+ 若要識別 Macie 因物件層級分類錯誤而尚未分析的儲存貯體，請包含 `sensitivityScore` 欄位值等於 的條件`-1`。若要接著檢閱特定儲存貯體發生的錯誤類型和數量明細，請使用 [GetResourceProfile](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles.html) 操作。

如果您使用的是 AWS Command Line Interface (AWS CLI)，請在執行 [describe-buckets](https://docs.aws.amazon.com/cli/latest/reference/macie2/describe-buckets.html) 命令提交的查詢中指定篩選條件。若要檢閱特定 S3 儲存貯體發生的錯誤類型和數量明細，如果有的話，請執行 [get-resource-profile](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-resource-profile.html) 命令。

例如，下列 AWS CLI 命令使用篩選條件來擷取因為儲存貯體的許可設定而不允許 Macie 存取的所有 S3 儲存貯體的詳細資訊。

此範例已針對 Linux、macOS 或 Unix 格式化：

```
$ aws macie2 describe-buckets --criteria '{"errorCode":{"eq":["ACCESS_DENIED"]}}'
```

此範例已針對 Microsoft Windows 格式化：

```
C:\> aws macie2 describe-buckets --criteria={\"errorCode\":{\"eq\":[\"ACCESS_DENIED\"]}}
```

如果您的請求成功，Macie 會傳回`buckets`陣列。陣列包含目前 中 AWS 區域 且符合篩選條件之每個 S3 儲存貯體的物件。

如果沒有 S3 儲存貯體符合篩選條件，Macie 會傳回空`buckets`陣列。

```
{
    "buckets": []
}
```

如需在查詢中指定篩選條件的詳細資訊，包括常見條件的範例，請參閱 [篩選 S3 儲存貯體庫存](monitoring-s3-inventory-filter.md)。

------

如需可協助您解決涵蓋範圍問題的詳細資訊，請參閱 [修復自動化敏感資料探索的涵蓋範圍問題](discovery-coverage-remediate.md)。

# 修復自動化敏感資料探索的涵蓋範圍問題
<a name="discovery-coverage-remediate"></a>

隨著自動化敏感資料探索每天進行，Amazon Macie 會提供統計資料和詳細資訊，協助您評估和監控 Amazon Simple Storage Service (Amazon S3) 資料資產的涵蓋範圍。透過[檢閱涵蓋範圍資料](discovery-coverage-review.md)，您可以檢查整體資料資產和其中個別 S3 儲存貯體的自動敏感資料探索狀態。您也可以識別讓 Macie 無法分析特定儲存貯體中物件的問題。如果您修復問題，您可以在後續分析週期中增加 Amazon S3 資料的涵蓋範圍。

Macie 會報告多種問題，透過自動化敏感資料探索來降低 Amazon S3 資料的涵蓋範圍。這包括阻止 Macie 分析 S3 儲存貯體中任何物件的儲存貯體層級問題。它還包含物件層級問題。這些問題稱為*分類錯誤*，使得 Macie 無法分析儲存貯體中的特定物件。以下資訊可協助您調查和修復問題。

**Topics**
+ [存取遭拒](#discovery-issues-access-denied)
+ [分類錯誤：內容無效](#discovery-issues-invalid-content)
+ [分類錯誤：無效的加密](#discovery-issues-classification-error-invalid-encryption)
+ [分類錯誤：無效的 KMS 金鑰](#discovery-issues-classification-error-invalid-key)
+ [分類錯誤：許可遭拒](#discovery-issues-classification-error-permission-denied)
+ [無法分類](#discovery-issues-unclassifiable)

**提示**  
若要調查 S3 儲存貯體的物件層級分類錯誤，請先檢閱儲存貯體的物件範例清單。此清單指出 Macie 在儲存貯體中分析或嘗試分析的物件，最多 100 個物件。  
若要檢閱 Amazon Macie 主控台上的清單，請在 **S3 儲存貯體頁面上選擇儲存貯體**，然後在詳細資訊面板中選擇**物件範例**索引標籤。若要以程式設計方式檢閱清單，請使用 Amazon Macie API 的 [ListResourceProfileArtifacts](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles-artifacts.html) 操作。如果物件的分析狀態為**略過 **(`SKIPPED`)，則物件可能已造成錯誤。

## 存取遭拒
<a name="discovery-issues-access-denied"></a>

此問題表示 S3 儲存貯體的許可設定會阻止 Macie 存取儲存貯體和儲存貯體的物件。Macie 無法擷取和分析儲存貯體中的任何物件。

**詳細資訊**  
此類問題的最常見原因是限制性儲存貯體政策。儲存*貯體政策*是以資源為基礎的 AWS Identity and Access Management (IAM) 政策，指定委託人 （使用者、帳戶、服務或其他實體） 可以在 S3 儲存貯體上執行的動作，以及委託人可以執行這些動作的條件。*限制性儲存貯體政策*使用明確`Allow`或`Deny`陳述式，根據特定條件授予或限制對儲存貯體資料的存取。例如，儲存貯體政策可能包含 `Allow`或 `Deny`陳述式，拒絕存取儲存貯體，除非使用特定來源 IP 地址來存取儲存貯體。  
如果 S3 儲存貯體的儲存貯體政策包含具有一或多個條件的明確`Deny`陳述式，則可能不允許 Macie 擷取和分析儲存貯體的物件以偵測敏感資料。Macie 只能提供儲存貯體的相關資訊子集，例如儲存貯體的名稱和建立日期。

**修補指引**  
若要修正此問題，請更新 S3 儲存貯體的儲存貯體政策。確保政策允許 Macie 存取儲存貯體和儲存貯體的物件。若要允許此存取，請將 Macie 服務連結角色 (`AWSServiceRoleForAmazonMacie`) 的條件新增至政策。條件應排除 Macie 服務連結角色與政策中的`Deny`限制相符。它可以使用您帳戶的 Macie 服務連結角色的`aws:PrincipalArn`全域條件內容金鑰和 Amazon Resource Name (ARN) 來執行此操作。  
如果您更新儲存貯體政策，且 Macie 可以存取 S3 儲存貯體，則 Macie 會偵測變更。發生這種情況時，Macie 會更新統計資料、庫存資料，以及其提供的 Amazon S3 資料其他資訊。此外，在後續分析週期期間，儲存貯體的物件將是分析的較高優先順序。

**其他參考**  
如需更新 S3 儲存貯體政策以允許 Macie 存取儲存貯體的詳細資訊，請參閱 [允許 Macie 存取 S3 儲存貯體和物件](monitoring-restrictive-s3-buckets.md)。如需有關使用儲存貯體政策控制對儲存貯體之存取的資訊，請參閱《Amazon Simple Storage Service 使用者指南》中的[儲存貯體政策](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html)及 [Amazon S3 如何授權請求](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-s3-evaluates-access-control.html)。 **

## 分類錯誤：內容無效
<a name="discovery-issues-invalid-content"></a>

如果 Macie 嘗試分析 S3 儲存貯體中的物件，且物件格式不正確，或物件包含的內容超過敏感資料探索配額，就會發生此類型的分類錯誤。Macie 無法分析物件。

**詳細資訊**  
此錯誤通常會發生，因為 S3 物件是格式錯誤或損毀的檔案。因此，Macie 無法剖析和分析 檔案中的所有資料。  
如果 S3 物件的分析將超過個別檔案的敏感資料探索配額，也可能發生此錯誤。例如，物件的儲存體大小超過該類型檔案的大小配額。  
對於這兩種情況，Macie 都無法完成 S3 物件的分析，且物件的分析狀態為**略過 **(`SKIPPED`)。

**修補指引**  
若要調查此錯誤，請下載 S3 物件並檢查檔案的格式和內容。同時針對敏感資料探索的 Macie 配額評估 檔案的內容。  
如果您未修復此錯誤，Macie 會嘗試分析 S3 儲存貯體中的其他物件。如果 Macie 成功分析另一個物件，Macie 將更新涵蓋範圍資料及其提供有關儲存貯體的其他資訊。

**其他參考**  
如需敏感資料探索配額清單，包括特定類型檔案的配額，請參閱 [Macie 配額](macie-quotas.md)。如需有關 Macie 如何更新敏感分數的資訊，以及其提供有關 S3 儲存貯體的其他資訊，請參閱 [自動化敏感資料探索的運作方式](discovery-asdd-how-it-works.md)。

## 分類錯誤：無效的加密
<a name="discovery-issues-classification-error-invalid-encryption"></a>

如果 Macie 嘗試分析 S3 儲存貯體中的物件，並使用客戶提供的金鑰加密物件，就會發生此類型的分類錯誤。物件使用 SSE-C 加密，這表示 Macie 無法擷取和分析物件。

**詳細資訊**  
Amazon S3 支援 S3 物件的多個加密選項。對於大多數這些選項，Macie 可以使用您帳戶的 Macie 服務連結角色來解密物件。不過，這取決於使用的加密類型。  
若要讓 Macie 解密 S3 物件，必須使用 Macie 可存取並允許使用的金鑰來加密物件。如果物件使用客戶提供的金鑰加密，Macie 無法提供從 Amazon S3 擷取物件的必要金鑰材料。因此，Macie 無法分析物件，且物件的分析狀態為**略過 **(`SKIPPED`)。

**修補指引**  
若要修復此錯誤，請使用 Amazon S3 受管金鑰或 AWS Key Management Service (AWS KMS) 金鑰加密 S3 物件。 Amazon S3 如果您偏好使用 AWS KMS 金鑰，金鑰可以是 AWS 受管 KMS 金鑰，也可以是允許 Macie 使用的客戶受管 KMS 金鑰。  
若要使用 Macie 可存取和使用的金鑰來加密現有的 S3 物件，您可以變更物件的加密設定。若要使用 Macie 可存取和使用的金鑰來加密新物件，請變更 S3 儲存貯體的預設加密設定。同時確保儲存貯體的政策不需要使用客戶提供的金鑰來加密新物件。  
如果您未修復此錯誤，Macie 會嘗試分析 S3 儲存貯體中的其他物件。如果 Macie 成功分析另一個物件，Macie 將更新涵蓋範圍資料及其提供有關儲存貯體的其他資訊。

**其他參考**  
如需使用 Macie 分析加密 S3 物件之需求和選項的相關資訊，請參閱 [分析加密的 Amazon S3 物件](discovery-supported-encryption-types.md)。如需 S3 儲存貯體加密選項和設定的相關資訊，請參閱《*Amazon Simple Storage Service 使用者指南*》中的[使用加密保護資料](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingEncryption.html)和[設定 S3 儲存貯體的預設伺服器端加密行為](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html)。

## 分類錯誤：無效的 KMS 金鑰
<a name="discovery-issues-classification-error-invalid-key"></a>

如果 Macie 嘗試分析 S3 儲存貯體中的物件，並使用不再可用的 AWS Key Management Service (AWS KMS) 金鑰加密物件，就會發生此類型的分類錯誤。Macie 無法擷取和分析物件。

**詳細資訊**  
AWS KMS 提供停用和刪除客戶受管的選項 AWS KMS keys。如果 S3 物件使用已停用、排定刪除或刪除的 KMS 金鑰加密，則 Macie 無法擷取和解密物件。因此，Macie 無法分析物件，且物件的分析狀態為**略過 **(`SKIPPED`)。若要讓 Macie 分析加密的物件，必須使用 Macie 可存取並允許使用的金鑰來加密物件。

**修補指引**  
若要修復此錯誤，請重新啟用適用的 AWS KMS key 或取消排程刪除金鑰，視金鑰的目前狀態而定。如果已刪除適用的金鑰，則無法修復此錯誤。  
若要判斷哪個 AWS KMS key 用於加密 S3 物件，您可以使用 Macie 來檢閱 S3 儲存貯體的伺服器端加密設定。如果儲存貯體的預設加密設定設定為使用 KMS 金鑰，儲存貯體的詳細資訊會指出使用的金鑰。然後，您可以檢查該金鑰的狀態。或者，您可以使用 Amazon S3 來檢閱儲存貯體和儲存貯體中個別物件的加密設定。  
如果您未修復此錯誤，Macie 會嘗試分析 S3 儲存貯體中的其他物件。如果 Macie 成功分析另一個物件，Macie 將更新涵蓋範圍資料及其提供有關儲存貯體的其他資訊。

**其他參考**  
如需使用 Macie 檢閱 S3 儲存貯體之伺服器端加密設定的相關資訊，請參閱 [檢閱 S3 儲存貯體的詳細資訊](monitoring-s3-inventory-review.md#monitoring-s3-inventory-view-details)。如需有關重新啟用 AWS KMS key 或取消排程刪除金鑰的資訊，請參閱《 *AWS Key Management Service 開發人員指南*》中的[啟用和停用金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html)和[刪除金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html)。

## 分類錯誤：許可遭拒
<a name="discovery-issues-classification-error-permission-denied"></a>

如果 Macie 嘗試分析 S3 儲存貯體中的物件，而且由於物件的許可設定或用來加密物件的金鑰的許可設定，Macie 無法擷取或解密物件，就會發生此類型的分類錯誤。Macie 無法擷取和分析物件。

**詳細資訊**  
此錯誤通常是因為 S3 物件使用不允許 Macie 使用的客戶受管 AWS Key Management Service (AWS KMS) 金鑰進行加密。如果物件使用客戶受管加密 AWS KMS key，金鑰的政策必須允許 Macie 使用金鑰解密資料。  
如果 Amazon S3 許可設定阻止 Macie 擷取 S3 物件，也可能發生此錯誤。S3 儲存貯體的儲存貯體政策可能會限制對特定儲存貯體物件的存取，或僅允許特定主體 （使用者、帳戶、服務或其他實體） 存取物件。或者，物件的存取控制清單 (ACL) 可能會限制對物件的存取。因此，可能不允許 Macie 存取物件。  
對於上述任何情況，Macie 無法擷取和分析物件，且物件的分析狀態為**略過 **(`SKIPPED`)。

**修補指引**  
若要修復此錯誤，請判斷 S3 物件是否使用客戶受管加密 AWS KMS key。如果是，請確定金鑰的政策允許 Macie 服務連結角色 (`AWSServiceRoleForAmazonMacie`) 使用金鑰解密資料。如何允許此存取取決於擁有 的帳戶是否 AWS KMS key 也擁有存放物件的 S3 儲存貯體。如果同一個帳戶擁有 KMS 金鑰和儲存貯體，則帳戶的使用者必須更新金鑰的政策。如果一個帳戶擁有 KMS 金鑰，而另一個帳戶擁有儲存貯體，則擁有金鑰的帳戶使用者必須允許跨帳戶存取金鑰。  
您可以自動產生 Macie 需要存取的所有客戶受管清單 AWS KMS keys ，以分析您帳戶的 S3 儲存貯體中的物件。若要執行此操作，請執行 AWS KMS Permission Analyzer 指令碼，該指令碼可從 GitHub 上的 [Amazon Macie 指令碼](https://github.com/aws-samples/amazon-macie-scripts)儲存庫取得。指令碼也可以產生額外的 AWS Command Line Interface (AWS CLI) 命令指令碼。您可以選擇性地執行這些命令，以更新您指定的 KMS 金鑰的必要組態設定和政策。
如果 Macie 已獲准使用適用的 ， AWS KMS key 或 S3 物件未透過客戶受管 KMS 金鑰加密，請確定儲存貯體的政策允許 Macie 存取物件。同時確認物件的 ACL 允許 Macie 讀取物件的資料和中繼資料。  
對於儲存貯體政策，您可以將 Macie 服務連結角色的條件新增至政策，以允許此存取。條件應排除 Macie 服務連結角色與政策中的`Deny`限制相符。它可以使用您帳戶的 Macie 服務連結角色的`aws:PrincipalArn`全域條件內容金鑰和 Amazon Resource Name (ARN) 來執行此操作。  
對於物件 ACL，您可以與物件擁有者合作，將 新增 AWS 帳戶 為具有物件`READ`許可的承授者，以允許此存取。然後，Macie 可以使用您帳戶的服務連結角色來擷取和分析物件。另請考慮變更儲存貯體的物件擁有權設定。您可以使用這些設定來停用儲存貯體中所有物件ACLs，並將所有權許可授予擁有儲存貯體的帳戶。  
如果您未修復此錯誤，Macie 會嘗試分析 S3 儲存貯體中的其他物件。如果 Macie 成功分析另一個物件，Macie 將更新涵蓋範圍資料及其提供有關儲存貯體的其他資訊。

**其他參考**  
如需允許 Macie 使用客戶受管 解密資料的詳細資訊 AWS KMS key，請參閱 [允許 Macie 使用客戶受管 AWS KMS key](discovery-supported-encryption-types.md#discovery-supported-encryption-cmk-configuration)。如需更新 S3 儲存貯體政策以允許 Macie 存取儲存貯體的詳細資訊，請參閱 [允許 Macie 存取 S3 儲存貯體和物件](monitoring-restrictive-s3-buckets.md)。  
如需有關更新金鑰政策的資訊，請參閱《 *AWS Key Management Service 開發人員指南*》中的[變更金鑰政策](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html)。如需有關使用客戶受管 AWS KMS keys 加密 S3 物件的資訊，請參閱《*Amazon Simple Storage Service 使用者指南*》中的[使用伺服器端加密搭配 AWS KMS 金鑰](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)。  
如需有關使用儲存貯體政策控制對 S3 儲存貯體的存取的資訊，請參閱《Amazon Simple Storage Service 使用者指南》中的[存取控制](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html)和 [Amazon S3 如何授權請求](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-s3-evaluates-access-control.html)。 **如需有關使用 ACLs 或物件擁有權設定來控制對 S3 物件的存取的資訊，請參閱《*Amazon Simple Storage Service 使用者指南*》中的[使用 ACLs 管理存取權](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acls.html)和[控制物件的擁有權，以及停用儲存貯體ACLs](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html)。

## 無法分類
<a name="discovery-issues-unclassifiable"></a>

此問題表示使用不支援的 Amazon S3 儲存類別或不支援的檔案或儲存格式來儲存 S3 儲存貯體中的所有物件。 Amazon S3 Macie 無法分析儲存貯體中的任何物件。

**詳細資訊**  
若要符合選擇和分析的資格，S3 物件必須使用 Macie 支援的 Amazon S3 儲存類別。物件也必須具有 Macie 支援的檔案或儲存格式的檔案名稱副檔名。如果物件不符合這些條件，會將物件視為*無法分類的物件*。Macie 不會嘗試擷取或分析不可分類物件中的資料。  
如果 S3 儲存貯體中的所有物件都是無法分類的物件，則整體儲存貯體是*無法分類的儲存貯*體。Macie 無法執行儲存貯體的自動敏感資料探索。

**修補指引**  
若要解決此問題，請檢閱生命週期組態規則和其他設定，以決定哪些儲存類別用於在 S3 儲存貯體中存放物件。請考慮調整這些設定，以使用 Macie 支援的儲存類別。您也可以變更儲存貯體中現有物件的儲存體方案。  
同時評估 S3 儲存貯體中現有物件的檔案和儲存格式。若要分析物件，請考慮將資料暫時或永久移植到使用支援格式的新物件。  
如果物件已新增至 S3 儲存貯體，且它們使用支援的儲存類別和格式，則 Macie 下次評估儲存貯體庫存時將偵測物件。發生這種情況時，Macie 會停止報告儲存貯體在*統計資料、涵蓋範圍資料和其提供的其他 Amazon S3 資料相關資訊中無法分類*。 Amazon S3 此外，在後續分析週期期間，新物件將是分析的較高優先順序。

**其他參考**  
如需有關 Amazon S3 儲存類別以及 Macie 支援的檔案和儲存格式的資訊，請參閱 [支援的儲存類別和格式](discovery-supported-storage.md)。如需有關生命週期組態規則和 Amazon S3 提供的儲存類別選項的資訊，請參閱《Amazon Simple Storage Service 使用者指南》中的[管理您的儲存生命週期](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html)和使用 Amazon S3 儲存類別。 [ Amazon S3 ](https://docs.aws.amazon.com/AmazonS3/latest/userguide/storage-class-intro.html) ** 

# 調整 S3 儲存貯體的敏感度分數
<a name="discovery-asdd-s3bucket-manage"></a>

當您檢閱和評估自動敏感資料探索的統計資料、資料和其他結果時，在某些情況下，您可能會想要微調 Amazon Simple Storage Service (Amazon S3) 儲存貯體的敏感度評估。您可能也想要擷取您或您的組織針對特定儲存貯體執行的調查結果。如果您是組織的 Amazon Macie 管理員，或擁有獨立的 Macie 帳戶，您可以透過調整個別儲存貯體的敏感度分數和其他設定來進行這些變更。如果您在組織中有成員帳戶，請與您的 Macie 管理員合作，調整您擁有之儲存貯體的設定。只有組織的 Macie 管理員可以調整儲存貯體的這些設定。

如果您是 Macie 管理員或擁有獨立的 Macie 帳戶，您可以透過以下方式調整 S3 儲存貯體的敏感度分數：
+ **指派敏感度分數** – Macie 預設會自動計算儲存貯體的敏感度分數。分數主要是根據 Macie 在儲存貯體中找到的敏感資料量，以及 Macie 在儲存貯體中分析的資料量。如需詳細資訊，請參閱[S3 儲存貯體的敏感度評分](discovery-scoring-s3.md)。

  您可以覆寫儲存貯體的計算分數，並手動指派最高分數 (*100*)，這也會將*敏感*標籤套用至儲存貯體。如果您這樣做，Macie 會停止對儲存貯體執行自動敏感資料探索，因為分數為 100 的儲存貯體將無法進一步掃描。若要再次自動計算分數並繼續掃描，請再次變更設定。
+ 在**敏感度分數中排除或包含敏感資料類型** – 如果自動計算，則儲存貯體的敏感度分數部分取決於 Macie 在儲存貯體中找到的敏感資料量。這主要衍生自 Macie 找到的敏感資料類型的性質和數量，以及每種類型的出現次數。根據預設，Macie 會在計算儲存貯體分數時包含所有類型敏感資料的出現次數。

  您可以透過在儲存貯體的分數中排除或包含特定類型的敏感資料來調整計算。例如，如果 Macie 偵測到儲存貯體中的郵寄地址，而且您判斷這是可接受的，您可以從儲存貯體的分數中排除所有出現的郵寄地址。如果您排除敏感資料類型，Macie 會繼續檢查儲存貯體是否有該類型的資料，並報告其發現的發生。不過，這些事件不會影響儲存貯體的分數。若要再次在分數中包含敏感資料類型，請再次變更設定。

您也可以從後續分析中排除 S3 儲存貯體。如果您排除儲存貯體，儲存貯體的現有敏感資料探索統計資料和詳細資訊會持續存在。例如，儲存貯體目前的敏感度分數保持不變。不過，Macie 在執行自動敏感資料探索時，會停止分析儲存貯體中的物件。排除儲存貯體之後，您可以稍後再次包含該儲存貯體。

如果您變更影響 S3 儲存貯體敏感度分數的設定，Macie 會立即開始重新計算分數。Macie 也會更新有關儲存貯體和 Amazon S3 資料整體的相關統計資料和其他資訊。例如，如果您將最大分數指派給儲存貯體，Macie 會在彙總統計資料中遞增*敏感*儲存貯體的計數。

**調整 S3 儲存貯體的敏感度分數或其他設定**  
若要調整 S3 儲存貯體的敏感度分數或其他設定，您可以使用 Amazon Macie 主控台或 Amazon Macie API。

------
#### [ Console ]

請依照下列步驟，使用 Amazon Macie 主控台調整 S3 儲存貯體的敏感度分數或設定。

1. 在 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。

1. 在導覽窗格中，選擇 **S3 儲存貯**體。**S3 儲存貯**體頁面會顯示您的儲存貯體庫存。

   根據預設，頁面不會顯示目前從分析中排除的儲存貯體資料。如果您是組織的 Macie 管理員，也不會顯示目前停用自動敏感資料探索的帳戶資料。若要顯示此資料，請在篩選條件方塊下方的**由自動探索篩選條件字符監控**中選擇 **X**。

1. 選擇具有要調整之設定的 S3 儲存貯體。您可以使用資料表檢視 (![\[The table view button, which is a button that displays three black horizontal lines.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/btn-s3-table-view.png)) 或互動式地圖 () 選擇儲存貯體![\[The map view button, which is a button that displays four black squares.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/btn-s3-map-view.png)。

1. 在詳細資訊面板中，執行下列任一動作：
   + 若要覆寫計算的敏感度分數並手動指派分數，請開啟**指派最高分數** (![\[A toggle switch with a gray background and the toggle positioned to the left.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/tgl-gray-off.png))。這會將儲存貯體的分數變更為 *100*，並將*敏感*標籤套用至儲存貯體。
   + 若要指派 Macie 自動計算的敏感度分數，請關閉**指派最高分數** (![\[A toggle switch with a blue background and the toggle positioned to the right.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/tgl-blue-on.png))。
   + 若要在敏感度分數中排除或包含特定類型的敏感資料，請選擇**敏感度**索引標籤。在**偵測**表格中，選取要排除或包含之敏感資料類型的核取方塊。然後，在**動作**功能表中，選擇**從分數中排除**以排除類型，或選擇**包含在分數中**以包含類型。

     在表格中，**敏感資料類型**欄位會指定偵測到資料的受管資料識別符或自訂資料識別符。對於受管資料識別符，這是唯一識別符 (ID)，描述識別符設計用於偵測的敏感資料類型，例如美國護照號碼的 **USA\$1PASSPORT\$1NUMBER**。如需每個受管資料識別符的詳細資訊，請參閱 [使用受管資料識別符](managed-data-identifiers.md)。
   + 若要從後續分析中排除儲存貯體，請開啟**從自動探索中排除** (![\[A toggle switch with a gray background and the toggle positioned to the left.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/tgl-gray-off.png))。
   + 若要在後續分析中包含儲存貯體，如果您先前將其排除，請關閉**從自動探索排除** (![\[A toggle switch with a blue background and the toggle positioned to the right.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/tgl-blue-on.png))。

------
#### [ API ]

若要以程式設計方式調整 S3 儲存貯體的敏感度分數或設定，您有幾個選項。適當的選項取決於您要調整的項目。

**指派敏感度分數**  
若要將敏感分數指派給 S3 儲存貯體，請使用 [UpdateResourceProfile](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles.html) 操作。在您的請求中，使用 `resourceArn` 參數來指定儲存貯體的 Amazon Resource Name (ARN)。針對 `sensitivityScoreOverride` 參數，執行下列其中一項操作：  
+ 若要覆寫計算的分數並手動指派最高分數，請指定 `100`。
+ 若要指派 Macie 自動計算的分數，請省略 參數。如果此參數為 null，Macie 會計算並指派分數。
如果您使用的是 AWS Command Line Interface (AWS CLI)，請執行 [update-resource-profile](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-resource-profile.html) 命令，將敏感分數指派給 S3 儲存貯體。在您的請求中，使用 `resource-arn` 參數來指定儲存貯體的 ARN。省略或使用 `sensitivity-score-override` 參數來指定要指派的分數。  
如果您的請求成功，Macie 會指派指定的分數並傳回空的回應。

**在敏感度分數中排除或包含敏感資料類型**  
若要在 S3 儲存貯體的敏感度分數中排除或包含敏感資料類型，請使用 [UpdateResourceProfileDetections](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles-detections.html) 操作。當您使用此操作時，會覆寫儲存貯體分數目前的包含和排除設定。因此，最好先擷取目前的設定，並決定要保留哪些設定。若要擷取目前的設定，請使用 [ListResourceProfileDetections](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles-detections.html) 操作。  
當您準備好更新設定時，請使用 `resourceArn` 參數來指定 S3 儲存貯體的 ARN。針對 `suppressDataIdentifiers` 參數，執行下列其中一項：  
+ 若要從儲存貯體的分數中排除敏感資料類型，請使用 `type` 參數指定偵測到資料的資料識別符類型、受管資料識別符 (`MANAGED`) 或自訂資料識別符 ()`CUSTOM`。使用 `id` 參數為偵測到資料的受管或自訂資料識別符指定唯一識別符。
+ 若要在儲存貯體的分數中包含敏感資料類型，請勿為偵測到資料的受管或自訂資料識別符指定任何詳細資訊。
+ 若要在儲存貯體的分數中包含所有敏感資料類型，請勿指定任何值。如果 `suppressDataIdentifiers` 參數的值為 null （空白），Macie 會在計算分數時包含所有類型的偵測。
如果您使用的是 AWS CLI，請執行 [update-resource-profile-detections](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-resource-profile-detections.html) 命令，在 S3 儲存貯體的敏感度分數中排除或包含敏感資料類型。使用 `resource-arn` 參數來指定儲存貯體的 ARN。使用 `suppress-data-identifiers` 參數來指定要排除或包含在儲存貯體分數中的敏感資料類型。若要先擷取並檢閱儲存貯體的目前設定，請執行 [list-resource-profile-detections](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-resource-profile-detections.html) 命令。  
如果您的請求成功，Macie 會更新設定並傳回空白回應。

**在分析中排除或包含 S3 儲存貯體**  
若要在分析中排除或隨後包含 S3 儲存貯體，請使用 [UpdateClassificationScope](https://docs.aws.amazon.com/macie/latest/APIReference/classification-scopes-id.html) 操作。或者，如果您使用的是 AWS CLI，請執行 [update-classification-scope](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-classification-scope.html) 命令。如需其他詳細資訊和範例，請參閱 [在自動化敏感資料探索中排除或包含 S3 儲存貯體](discovery-asdd-account-configure.md#discovery-asdd-account-configure-s3buckets)。

下列範例示範如何使用 AWS CLI 來調整 S3 儲存貯體的個別設定。第一個範例會手動將敏感度分數上限 (`100`) 指派給儲存貯體。它會覆寫儲存貯體的計算分數。

```
$ aws macie2 update-resource-profile --resource-arn arn:aws:s3:::amzn-s3-demo-bucket --sensitivity-score-override 100
```

其中 *arn：aws：s3：：amzn-s3-demo-bucket* 是 S3 儲存貯體的 ARN。

下一個範例會將 S3 儲存貯體的敏感度分數變更為 Macie 自動計算的分數。儲存貯體目前具有可覆寫計算分數的手動指派分數。此範例會省略請求中的 `sensitivity-score-override` 參數，以移除該覆寫。

```
$ aws macie2 update-resource-profile --resource-arn arn:aws:s3:::amzn-s3-demo-bucket2
```

其中 *arn：aws：s3：：amzn-s3-demo-bucket2* 是 S3 儲存貯體的 ARN。

下列範例會從 S3 儲存貯體的敏感度分數中排除特定類型的敏感資料。此範例已針對 Linux、macOS 或 Unix 格式化，並使用反斜線 (\$1) 行接續字元來改善可讀性。

```
$ aws macie2 update-resource-profile-detections \
--resource-arn arn:aws:s3:::amzn-s3-demo-bucket3 \
--suppress-data-identifiers '[{"type":"MANAGED","id":"ADDRESS"},{"type":"CUSTOM","id":"3293a69d-4a1e-4a07-8715-208ddexample"}]'
```

此範例已針對 Microsoft Windows 進行格式化，並使用八進制 (^) 換行字元來改善可讀性。

```
C:\> aws macie2 update-resource-profile-detections ^
--resource-arn arn:aws:s3:::amzn-s3-demo-bucket3 ^
--suppress-data-identifiers=[{\"type\":\"MANAGED\",\"id\":\"ADDRESS\"},{\"type\":\"CUSTOM\",\"id\":\"3293a69d-4a1e-4a07-8715-208ddexample\"}]
```

其中：
+ *arn：aws：s3：：amzn-s3-demo-bucket3* 是 S3 儲存貯體的 ARN。
+ *ADDRESS* 是受管資料識別符的唯一識別符，可偵測要排除的敏感資料類型 （電子郵件地址）。
+ *3293a69d-4a1e-4a07-8715-208ddexample* 是自訂資料識別符的唯一識別符，可偵測要排除的敏感資料類型。

下一組範例稍後會在 S3 儲存貯體的敏感度分數中包含所有類型的敏感資料。它會指定 `suppress-data-identifiers` 參數的空白 （空） 值，覆寫儲存貯體目前的排除設定。針對 Linux、macOS 或 Unix：

```
$ aws macie2 update-resource-profile-detections --resource-arn arn:aws:s3:::amzn-s3-demo-bucket3 --suppress-data-identifiers '[]'
```

對於 Microsoft Windows：

```
C:\> aws macie2 update-resource-profile-detections --resource-arn arn:aws:s3:::amzn-s3-demo-bucket3 --suppress-data-identifiers=[]
```

其中 *arn：aws：s3：：amzn-s3-demo-bucket3* 是 S3 儲存貯體的 ARN。

------

# S3 儲存貯體的敏感度評分
<a name="discovery-scoring-s3"></a>

如果啟用自動敏感資料探索，Amazon Macie 會自動計算敏感分數，並將其指派給其監控和分析帳戶或組織的每個 Amazon Simple Storage Service (Amazon S3) 一般用途儲存貯體。*敏感度分數*是 S3 儲存貯體可能包含的敏感資料量的量化表示法。根據該分數，Macie 也會為每個儲存貯體指派敏感標籤。*敏感度標籤*是儲存貯體敏感度分數的定性表示法。這些值可作為參考點，用於判斷敏感資料可能位於 Amazon S3 資料資產中的位置，以及識別和監控該資料的潛在安全風險。

根據預設，S3 儲存貯體的敏感度分數和標籤會反映 Macie 到目前為止為儲存貯體執行的自動化敏感資料探索活動的結果。它們不會反映您建立和執行的敏感資料探索任務的結果。此外，分數和標籤都不表示或以其他方式指出儲存貯體或儲存貯體物件對您或您的組織可能具有的重要性或重要性。不過，您可以透過手動將最大分數 (*100*) 指派給儲存貯體，覆寫儲存貯體的計算分數。這也會將*敏感*標籤指派給儲存貯體。若要覆寫計算分數，您必須是擁有儲存貯體之帳戶的 Macie 管理員，或擁有獨立 Macie 帳戶。

**Topics**
+ [敏感度評分維度和範圍](#discovery-scoring-s3-dimensions)
+ [監控敏感度分數](#discovery-scoring-s3-monitoring)

## 敏感度評分維度和範圍
<a name="discovery-scoring-s3-dimensions"></a>

如果由 Amazon Macie 計算，S3 儲存貯體的敏感度分數是兩個主要維度交集的量化測量：
+ Macie 在儲存貯體中找到的敏感資料量。這主要衍生自 Macie 在儲存貯體中找到的敏感資料類型的性質和數量，以及每種類型的出現次數。
+ Macie 在儲存貯體中分析的資料量。這主要衍生自 Macie 在儲存貯體中分析的唯一物件數量，相對於儲存貯體中唯一物件的總數。

S3 儲存貯體的敏感度分數也會決定 Macie 指派給儲存貯體的敏感度標籤。敏感度標籤是分數的定性表示法，例如*敏感*或不*敏感*。在 Amazon Macie 主控台上，儲存貯體的敏感度分數也會決定 Macie 用來在資料視覺化中代表儲存貯體的顏色，如下圖所示。

![\[敏感分數的顏色光譜：1-49 的藍色調、51-100 的紅色調，以及 -1 的灰色。\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/sensitivity-scoring-spectrum.png)


敏感度分數範圍從 *-1* 到 *100*，如下表所述。若要評估 S3 儲存貯體分數的輸入，您可以參考敏感資料探索統計資料，以及 Macie 提供有關儲存貯體的其他詳細資訊。


| 敏感度分數 | 敏感度標籤 | 其他資訊 | 
| --- | --- | --- | 
| -1 | 分類錯誤 |  Macie 尚未成功分析任何儲存貯體的物件，因為物件層級分類錯誤—具有物件層級許可設定、物件內容或配額的問題。 當 Macie 嘗試分析儲存貯體中的一或多個物件時，發生錯誤。例如，物件是格式不正確的檔案，或使用 Macie 無法存取或不允許使用的金鑰來加密物件。儲存貯體的涵蓋範圍資料可協助您調查和修復錯誤。如需詳細資訊，請參閱[評估自動化敏感資料探索涵蓋範圍](discovery-coverage.md)。 Macie 將繼續嘗試分析儲存貯體中的物件。如果 Macie 成功分析物件，Macie 會更新儲存貯體的敏感度分數和標籤，以反映分析結果。  | 
| 1-49 | 不敏感 |  在此範圍內，分數越高，例如 *49*，表示 Macie 已分析儲存貯體中相對較少的物件。分數較低，例如 *1*，表示 Macie 已分析儲存貯體中的許多物件 （相對於儲存貯體中的物件總數），並偵測到相對較少的類型和在這些物件中出現的敏感資料。 分數為 *1* 也可以表示儲存貯體不會儲存任何物件，或儲存貯體中的所有物件都包含零 (0) 位元組的資料。儲存貯體詳細資訊中的物件統計資料可協助您判斷是否為這種情況。如需詳細資訊，請參閱[檢閱 S3 儲存貯體詳細資訊](discovery-asdd-results-s3-inventory-details.md)。  | 
| 50 | 尚未分析 |  Macie 尚未嘗試分析或分析任何儲存貯體的物件。 當最初啟用自動探索，或將儲存貯體新增至帳戶的儲存貯體庫存時，Macie 會自動指派此分數。在組織中，如果擁有儲存貯體的帳戶從未啟用自動探索，則儲存貯體也可以有此分數。 分數為 *50* 表示儲存貯體的許可設定可防止 Macie 存取儲存貯體或儲存貯體的物件。這通常是由於限制性儲存貯體政策所致。儲存貯體的詳細資訊可協助您判斷是否為這種情況，因為 Macie 只能提供有關儲存貯體的資訊子集。如需如何解決此問題的資訊，請參閱 [允許 Macie 存取 S3 儲存貯體和物件](monitoring-restrictive-s3-buckets.md)。  | 
| 51-99 | 敏感 |  在此範圍內，分數越高，例如 *99*，表示 Macie 已分析儲存貯體中的許多物件 （相對於儲存貯體中的物件總數），並偵測到這些物件中的敏感資料有許多類型和出現次數。分數較低，例如 *51*，表示 Macie 已分析儲存貯體中中等數量的物件 （相對於儲存貯體中的物件總數），並在這些物件中偵測到至少幾種類型的敏感資料。  | 
| 100 | 敏感 |  分數已手動指派給儲存貯體，覆寫計算的分數。Macie 不會將此分數指派給儲存貯體。  | 

## 監控敏感度分數
<a name="discovery-scoring-s3-monitoring"></a>

當帳戶最初啟用自動敏感資料探索時，Amazon Macie 會自動為帳戶擁有的每個 S3 儲存貯體指派 *50* 的敏感分數。當儲存貯體新增至帳戶的儲存貯體庫存時，Macie 也會將此分數指派給儲存貯體。根據該分數，*尚未分析*每個儲存貯體的敏感度標籤。例外是空儲存貯體，此儲存貯體不會存放任何物件，或儲存貯體中的所有物件都包含零 (0) 位元組的資料。如果是儲存貯體，Macie 會將分數 *1* 指派給儲存貯體，且儲存貯體的敏感度標籤*不敏感*。

隨著自動化敏感資料探索每天進行，Macie 會更新 S3 儲存貯體的敏感分數和標籤，以反映其分析結果。例如：
+ 如果 Macie 在 物件中找不到敏感資料，Macie 會降低儲存貯體的敏感分數，並視需要更新敏感標籤。
+ 如果 Macie 在 物件中找到敏感資料，Macie 會提高儲存貯體的敏感分數，並視需要更新敏感標籤。
+ 如果 Macie 在隨後變更的物件中找到敏感資料，Macie 會從儲存貯體的敏感度分數中移除物件的敏感資料偵測，並視需要更新敏感標籤。
+ 如果 Macie 在隨後刪除的物件中找到敏感資料，Macie 會從儲存貯體的敏感度分數中移除物件的敏感資料偵測，並視需要更新敏感標籤。
+ 如果將物件新增至先前為空的儲存貯體，且 Macie 在物件中發現敏感資料，則 Macie 會提高儲存貯體的敏感度分數，並視需要更新敏感標籤。
+ 如果儲存貯體的許可設定阻止 Macie 存取或擷取儲存貯體或儲存貯體物件的相關資訊，Macie 會將儲存貯體的敏感度分數變更為 *50*，並將儲存貯體的敏感度標籤變更為*尚未分析*。

分析結果可以在為 帳戶啟用自動敏感資料探索的 48 小時內開始出現。

如果您是組織的 Macie 管理員，或擁有獨立的 Macie 帳戶，您可以調整組織的敏感度評分設定：
+ 若要調整所有 S3 儲存貯體後續分析的設定，請變更您帳戶的設定。您可以開始包含或排除特定受管資料識別符、自訂資料識別符或允許清單。您也可以排除特定儲存貯體。如需詳細資訊，請參閱[設定自動探索設定](discovery-asdd-account-configure.md)。
+ 若要調整個別 S3 儲存貯體的設定，請變更每個儲存貯體的設定。您可以從儲存貯體的分數中包含或排除特定類型的敏感資料。您也可以指定是否要將自動計算的分數指派給儲存貯體。如需詳細資訊，請參閱[調整 S3 儲存貯體的敏感度分數](discovery-asdd-s3bucket-manage.md)。

如果您停用自動敏感資料探索，則現有敏感分數和標籤的效果會有所不同。如果您為組織中的成員帳戶停用此功能，現有的分數和標籤會保留給帳戶擁有的 S3 儲存貯體。如果您為組織整體或獨立 Macie 帳戶停用此功能，現有的分數和標籤只會保留 30 天。30 天後，Macie 會重設組織或帳戶擁有之所有儲存貯體的分數和標籤。如果儲存貯體存放物件，Macie 會將分數變更為 *50*，並將*尚未分析*的標籤指派給儲存貯體。如果儲存貯體是空的，Macie 會將分數變更為 *1*，並將*不敏感*標籤指派給儲存貯體。重設後，除非您再次為組織或帳戶啟用自動敏感資料探索，否則 Macie 會停止更新儲存貯體的敏感分數和標籤。

# 自動化敏感資料探索的預設設定
<a name="discovery-asdd-settings-defaults"></a>

如果啟用自動敏感資料探索，Amazon Macie 會自動從您帳戶的所有 Amazon Simple Storage Service (Amazon S3) 一般用途儲存貯體中選取和分析範例物件。如果您是組織的 Macie 管理員，依預設這包含成員帳戶擁有的 S3 儲存貯體。

如果您是 Macie 管理員或擁有獨立的 Macie 帳戶，您可以透過從自動化敏感資料探索中排除特定 S3 儲存貯體來縮小分析範圍。您可以透過兩種方式執行此操作：變更帳戶的設定，以及變更個別儲存貯體的設定。身為 Macie 管理員，您也可以啟用或停用組織中個別帳戶的自動敏感資料探索。

根據預設，Macie 只會使用一組我們建議用於自動敏感資料探索的受管資料識別符來分析 S3 物件。Macie 不會使用任何自訂資料識別符，也不會允許您定義的清單。如果您是 Macie 管理員或擁有獨立的 Macie 帳戶，您可以將 Macie 設定為使用特定受管資料識別符、自訂資料識別符和允許清單來自訂分析。您可以透過變更帳戶的設定來執行此操作。

如需變更設定的資訊，請參閱 [設定自動敏感資料探索的設定](discovery-asdd-account-configure.md)。

**Topics**
+ [預設受管資料識別符](#discovery-asdd-settings-defaults-mdis)
+ [預設設定的更新](#discovery-asdd-mdis-default-updates)

## 自動敏感資料探索的預設受管資料識別符
<a name="discovery-asdd-settings-defaults-mdis"></a>

根據預設，Amazon Macie 只會使用一組我們建議用於自動敏感資料探索的受管資料識別符來分析 S3 物件。此受管資料識別碼預設集旨在偵測常見的敏感資料類別和類型。根據我們的研究，它可以偵測一般類別和類型的敏感資料，同時透過減少雜訊來最佳化您的結果。

預設設定為動態。當我們發佈新的受管資料識別符時，如果它們可能進一步最佳化您的自動化敏感資料探索結果，我們會將它們新增至預設設定。隨著時間的推移，我們也可能會從集合中新增或移除現有的受管資料識別符。移除受管資料識別符不會影響 S3 儲存貯體的現有敏感資料探索統計資料和詳細資訊。例如，如果我們移除 Macie 先前在儲存貯體中偵測到的敏感資料類型的受管資料識別符，Macie 會繼續報告這些偵測。如果我們從預設集新增或移除受管資料識別符，我們會更新此頁面，以指出變更的性質和時間。如需這些變更的自動提醒，您可以在 [Macie 文件歷史記錄](doc-history.md)頁面上訂閱 RSS 摘要。

下列主題列出目前在預設設定中的受管資料識別符，依敏感資料類別和類型組織。它們會為集合中的每個受管資料識別符指定唯一識別符 (ID)。此 ID 說明受管資料識別符設計用於偵測的敏感資料類型，例如：`PGP_PRIVATE_KEY`用於 PGP 私有金鑰，`USA_PASSPORT_NUMBER`以及用於美國護照號碼。如果您變更自動敏感資料探索的設定，您可以使用此 ID 明確地從後續分析中排除受管資料識別符。

**Topics**
+ [憑證](#discovery-asdd-settings-defaults-mdis-credentials)
+ [財務資訊](#discovery-asdd-settings-defaults-mdis-financial)
+ [個人身分識別資訊 (PII)](#discovery-asdd-settings-defaults-mdis-pii)

 如需特定受管資料識別符的詳細資訊，或 Macie 目前提供的所有受管資料識別符的完整清單，請參閱 [使用受管資料識別符](managed-data-identifiers.md)。

### 憑證
<a name="discovery-asdd-settings-defaults-mdis-credentials"></a>

為了偵測 S3 物件中登入資料的出現，Macie 預設會使用下列受管資料識別符。


| 敏感資料類型 | 受管資料識別符 ID | 
| --- | --- | 
| AWS 私密存取金鑰 | AWS\$1CREDENTIALS | 
| HTTP 基本授權標頭 | HTTP\$1BASIC\$1AUTH\$1HEADER | 
| OpenSSH 私密金鑰 | OPENSSH\$1PRIVATE\$1KEY | 
| PGP 私密金鑰 | PGP\$1PRIVATE\$1KEY | 
| 公有金鑰密碼編譯標準 (PKCS) 私有金鑰 | PKCS | 
| PuTTY 私密金鑰 | PUTTY\$1PRIVATE\$1KEY | 

### 財務資訊
<a name="discovery-asdd-settings-defaults-mdis-financial"></a>

為了偵測 S3 物件中發生的財務資訊，Macie 預設會使用下列受管資料識別符。


| 敏感資料類型 | 受管資料識別符 ID | 
| --- | --- | 
| 信用卡磁條資料 | CREDIT\$1CARD\$1MAGNETIC\$1STRIPE | 
| 信用卡號碼 | CREDIT\$1CARD\$1NUMBER （適用於關鍵字附近的信用卡號碼） | 

### 個人身分識別資訊 (PII)
<a name="discovery-asdd-settings-defaults-mdis-pii"></a>

為了偵測 S3 物件中出現的個人身分識別資訊 (PII)，Macie 預設會使用下列受管資料識別符。


| 敏感資料類型 | 受管資料識別符 ID | 
| --- | --- | 
| 駕照識別號碼 | CANADA\$1DRIVERS\$1LICENSE, DRIVERS\$1LICENSE （適用於美國），  UK\$1DRIVERS\$1LICENSE | 
| 選民名冊號碼 | UK\$1ELECTORAL\$1ROLL\$1NUMBER | 
| 國家身分證號碼 | FRANCE\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, GERMANY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, SPAIN\$1DNI\$1NUMBER | 
| 國民保險號碼 (NINO) | UK\$1NATIONAL\$1INSURANCE\$1NUMBER | 
| 護照號碼 | CANADA\$1PASSPORT\$1NUMBER, FRANCE\$1PASSPORT\$1NUMBER, GERMANY\$1PASSPORT\$1NUMBER, ITALY\$1PASSPORT\$1NUMBER, SPAIN\$1PASSPORT\$1NUMBER, UK\$1PASSPORT\$1NUMBER, USA\$1PASSPORT\$1NUMBER | 
| 社會保險號碼 (SIN) | CANADA\$1SOCIAL\$1INSURANCE\$1NUMBER | 
| 社會安全號碼 (SSN) | SPAIN\$1SOCIAL\$1SECURITY\$1NUMBER, USA\$1SOCIAL\$1SECURITY\$1NUMBER | 
| 納稅識別號碼或參考號碼 | AUSTRALIA\$1TAX\$1FILE\$1NUMBER, BRAZIL\$1CPF\$1NUMBER, FRANCE\$1TAX\$1IDENTIFICATION\$1NUMBER, GERMANY\$1TAX\$1IDENTIFICATION\$1NUMBER, SPAIN\$1NIE\$1NUMBER, SPAIN\$1NIF\$1NUMBER, SPAIN\$1TAX\$1IDENTIFICATION\$1NUMBER, USA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER | 

## 更新自動敏感資料探索的預設設定
<a name="discovery-asdd-mdis-default-updates"></a>

下表說明 Amazon Macie 預設用於自動敏感資料探索的設定變更。如需這些變更的自動提醒，請訂閱 [Macie 文件歷史記錄](doc-history.md)頁面上的 RSS 摘要。


| 變更 | 描述 | Date | 
| --- | --- | --- | 
|  實作一組新的動態預設受管資料識別符  |  新的自動化敏感資料探索組態現在是以[一組動態預設的受管資料識別符](#discovery-asdd-settings-defaults-mdis)為基礎。如果您在此日期或之後第一次啟用自動敏感資料探索，您的組態會以動態集為基礎。 如果您在此日期之前第一次啟用自動敏感資料探索，則您的組態是以一組不同的受管資料識別符為基礎。如需詳細資訊，請參閱此表格後面的備註。  | 2023 年 8 月 2 日 | 
|  一般可用性  |  自動化敏感資料探索的初始版本。  |  2022 年 11 月 28 日  | 

如果您最初在 2023 年 8 月 2 日之前啟用自動敏感資料探索，您的組態並非以預設受管資料識別碼的動態集為基礎。相反地，它是基於一組靜態的受管資料識別符，我們在初始版本的自動敏感資料探索中定義，如下表所列。

若要判斷何時啟用自動敏感資料探索，您可以使用 Amazon Macie 主控台：在導覽窗格中選擇**自動敏感資料探索**，然後參考**狀態**區段中的啟用日期。您也可以以程式設計方式執行此操作：使用 Amazon Macie API 的 [GetAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html) 操作，並參考 `firstEnabledAt` 欄位的值。如果日期早於 2023 年 8 月 2 日，且您想要開始使用一組預設受管資料識別碼，請聯絡 AWS 支援 尋求協助。

下表列出靜態集中的所有受管資料識別符。資料表會先依敏感資料類別排序，然後依敏感資料類型排序。如需特定受管資料識別符的詳細資訊，請參閱 [使用受管資料識別符](managed-data-identifiers.md)。


| 敏感資料類別 | 敏感資料類型 | 受管資料識別符 ID | 
| --- | --- | --- | 
| 憑證 | AWS 私密存取金鑰 | AWS\$1CREDENTIALS | 
| 憑證 | HTTP 基本授權標頭 | HTTP\$1BASIC\$1AUTH\$1HEADER | 
| 憑證 | OpenSSH 私密金鑰 | OPENSSH\$1PRIVATE\$1KEY | 
| 憑證 | PGP 私密金鑰 | PGP\$1PRIVATE\$1KEY | 
| 憑證 | 公有金鑰密碼編譯標準 (PKCS) 私有金鑰 | PKCS | 
| 憑證 | PuTTY 私密金鑰 | PUTTY\$1PRIVATE\$1KEY | 
| 財務資訊 | 銀行帳戶號碼 | BANK\$1ACCOUNT\$1NUMBER （適用於加拿大和美國銀行帳號）， FRANCE\$1BANK\$1ACCOUNT\$1NUMBER, GERMANY\$1BANK\$1ACCOUNT\$1NUMBER, ITALY\$1BANK\$1ACCOUNT\$1NUMBER, SPAIN\$1BANK\$1ACCOUNT\$1NUMBER, UK\$1BANK\$1ACCOUNT\$1NUMBER | 
| 財務資訊 | 信用卡到期日 | CREDIT\$1CARD\$1EXPIRATION | 
| 財務資訊 | 信用卡磁條資料 | CREDIT\$1CARD\$1MAGNETIC\$1STRIPE | 
| 財務資訊 | 信用卡號碼 | CREDIT\$1CARD\$1NUMBER （適用於關鍵字附近的信用卡號碼） | 
| 財務資訊 | 信用卡驗證碼 | CREDIT\$1CARD\$1SECURITY\$1CODE | 
| 個人資訊：個人健康資訊 (PHI) | 緝毒署 (DEA) 註冊號碼 | US\$1DRUG\$1ENFORCEMENT\$1AGENCY\$1NUMBER | 
| 個人資訊：PHI | 健康保險索償編碼 (HICN) | USA\$1HEALTH\$1INSURANCE\$1CLAIM\$1NUMBER | 
| 個人資訊：PHI | 健康保險或醫療識別號碼 | CANADA\$1HEALTH\$1NUMBER, EUROPEAN\$1HEALTH\$1INSURANCE\$1CARD\$1NUMBER, FINLAND\$1EUROPEAN\$1HEALTH\$1INSURANCE\$1NUMBER, FRANCE\$1HEALTH\$1INSURANCE\$1NUMBER, UK\$1NHS\$1NUMBER, USA\$1MEDICARE\$1BENEFICIARY\$1IDENTIFIER | 
| 個人資訊：PHI | 醫療保健通用程序編碼系統 (HCPCS) 代碼 | USA\$1HEALTHCARE\$1PROCEDURE\$1CODE | 
| 個人資訊：PHI | 國家藥物法規 (NDC) | USA\$1NATIONAL\$1DRUG\$1CODE | 
| 個人資訊：PHI | 國家提供者識別符 (NPI) | USA\$1NATIONAL\$1PROVIDER\$1IDENTIFIER | 
| 個人資訊：PHI | 唯一裝置識別符 (UDI) | MEDICAL\$1DEVICE\$1UDI | 
| 個人資訊：個人身分識別資訊 (PII) | 出生日期 | DATE\$1OF\$1BIRTH | 
| 個人資訊：PII | 駕照識別號碼 | AUSTRALIA\$1DRIVERS\$1LICENSE, AUSTRIA\$1DRIVERS\$1LICENSE, BELGIUM\$1DRIVERS\$1LICENSE, BULGARIA\$1DRIVERS\$1LICENSE, CANADA\$1DRIVERS\$1LICENSE, CROATIA\$1DRIVERS\$1LICENSE, CYPRUS\$1DRIVERS\$1LICENSE, CZECHIA\$1DRIVERS\$1LICENSE, DENMARK\$1DRIVERS\$1LICENSE, DRIVERS\$1LICENSE （對於美國）， ESTONIA\$1DRIVERS\$1LICENSE, FINLAND\$1DRIVERS\$1LICENSE, FRANCE\$1DRIVERS\$1LICENSE, GERMANY\$1DRIVERS\$1LICENSE, GREECE\$1DRIVERS\$1LICENSE, HUNGARY\$1DRIVERS\$1LICENSE, IRELAND\$1DRIVERS\$1LICENSE, ITALY\$1DRIVERS\$1LICENSE, LATVIA\$1DRIVERS\$1LICENSE, LITHUANIA\$1DRIVERS\$1LICENSE, LUXEMBOURG\$1DRIVERS\$1LICENSE, MALTA\$1DRIVERS\$1LICENSE, NETHERLANDS\$1DRIVERS\$1LICENSE, POLAND\$1DRIVERS\$1LICENSE, PORTUGAL\$1DRIVERS\$1LICENSE, ROMANIA\$1DRIVERS\$1LICENSE, SLOVAKIA\$1DRIVERS\$1LICENSE, SLOVENIA\$1DRIVERS\$1LICENSE, SPAIN\$1DRIVERS\$1LICENSE, SWEDEN\$1DRIVERS\$1LICENSE, UK\$1DRIVERS\$1LICENSE | 
| 個人資訊：PII | 選民名冊號碼 | UK\$1ELECTORAL\$1ROLL\$1NUMBER | 
| 個人資訊：PII | 全名 | NAME | 
| 個人資訊：PII | 全球定位系統 (GPS) 座標 | LATITUDE\$1LONGITUDE | 
| 個人資訊：PII | 郵寄地址 | ADDRESS, BRAZIL\$1CEP\$1CODE | 
| 個人資訊：PII | 國家身分證號碼 | BRAZIL\$1RG\$1NUMBER, FRANCE\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, GERMANY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, SPAIN\$1DNI\$1NUMBER | 
| 個人資訊：PII | 國民保險號碼 (NINO) | UK\$1NATIONAL\$1INSURANCE\$1NUMBER | 
| 個人資訊：PII | 護照號碼 | CANADA\$1PASSPORT\$1NUMBER, FRANCE\$1PASSPORT\$1NUMBER, GERMANY\$1PASSPORT\$1NUMBER, ITALY\$1PASSPORT\$1NUMBER, SPAIN\$1PASSPORT\$1NUMBER, UK\$1PASSPORT\$1NUMBER, USA\$1PASSPORT\$1NUMBER | 
| 個人資訊：PII | 永久居留號碼 | CANADA\$1NATIONAL\$1IDENTIFICATION\$1NUMBER | 
| 個人資訊：PII | 電話號碼 | BRAZIL\$1PHONE\$1NUMBER, FRANCE\$1PHONE\$1NUMBER, GERMANY\$1PHONE\$1NUMBER, ITALY\$1PHONE\$1NUMBER, PHONE\$1NUMBER （適用於加拿大和美國）， SPAIN\$1PHONE\$1NUMBER, UK\$1PHONE\$1NUMBER | 
| 個人資訊：PII | 社會保險號碼 (SIN) | CANADA\$1SOCIAL\$1INSURANCE\$1NUMBER | 
| 個人資訊：PII | 社會安全號碼 (SSN) | SPAIN\$1SOCIAL\$1SECURITY\$1NUMBER, USA\$1SOCIAL\$1SECURITY\$1NUMBER | 
| 個人資訊：PII | 納稅識別號碼或參考號碼 | AUSTRALIA\$1TAX\$1FILE\$1NUMBER, BRAZIL\$1CNPJ\$1NUMBER, BRAZIL\$1CPF\$1NUMBER, FRANCE\$1TAX\$1IDENTIFICATION\$1NUMBER, GERMANY\$1TAX\$1IDENTIFICATION\$1NUMBER, SPAIN\$1NIE\$1NUMBER, SPAIN\$1NIF\$1NUMBER, SPAIN\$1TAX\$1IDENTIFICATION\$1NUMBER, UK\$1TAX\$1IDENTIFICATION\$1NUMBER, USA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER | 
| 個人資訊：PII | 車輛識別碼 (VIN) | VEHICLE\$1IDENTIFICATION\$1NUMBER | 

# 執行敏感資料探索任務
<a name="discovery-jobs"></a>

使用 Amazon Macie，您可以建立和執行敏感資料探索任務，以自動探索、記錄和報告 Amazon Simple Storage Service (Amazon S3) 一般用途儲存貯體中的敏感資料。*敏感資料探索任務*是 Macie 執行的一系列自動化處理和分析任務，用於偵測和報告 Amazon S3 物件中的敏感資料。每個任務都會提供 Macie 找到的敏感資料的詳細報告，以及 Macie 執行的分析。透過建立和執行任務，您可以建立和維護組織存放在 Amazon S3 中的資料的完整檢視，以及該資料的任何安全或合規風險。

為了協助您符合並維持資料安全和隱私權要求的合規性，Macie 提供數種選項來排程和定義任務的範圍。您可以將任務設定為僅執行一次以進行隨需分析和評估，或定期執行定期分析、評估和監控。您也可以定義任務分析的廣度和深度，即您選取的特定 S3 儲存貯體或符合特定條件的儲存貯體。您可以選擇其他選項，選擇性地縮小該分析的範圍。選項包含衍生自 S3 物件屬性的自訂條件，例如標籤、字首，以及物件上次修改的時間。

對於每個任務，您也可以指定您希望 Macie 偵測和報告的敏感資料類型。您可以設定任務使用 Macie [提供的受管資料識別符](managed-data-identifiers.md)、您定義的[自訂資料識別符](custom-data-identifiers.md)，或兩者的組合。透過選取任務的特定受管和自訂資料識別符，您可以自訂分析以專注於特定類型的敏感資料。若要微調分析，您也可以將任務設定為使用[允許清單](allow-lists.md)。允許清單指定您希望 Macie 忽略的文字和文字模式，通常是組織特定案例或環境的敏感資料例外狀況。

每個任務都會產生 Macie 找到的敏感資料記錄，以及 Macie 執行的分析，包括*敏感資料調查結果*和*敏感資料探索結果*。*敏感資料調查結果*是 Macie 在 S3 物件中找到的敏感資料的詳細報告。*敏感資料探索結果*是記錄 S3 物件分析的詳細資訊的記錄。Macie 會為您設定要分析任務的每個物件建立敏感的資料探索結果。這包括 Macie 找不到敏感資料的物件，因此不會產生敏感資料調查結果，以及 Macie 因錯誤或問題而無法分析的物件。每種類型的記錄都遵守標準化結構描述，這可協助您查詢、監控和處理記錄，以符合您的安全和合規要求。

**Topics**
+ [任務的範圍選項](discovery-jobs-scope.md)
+ [建立任務](discovery-jobs-create.md)
+ [檢閱任務結果](discovery-jobs-manage-results.md)
+ [管理任務](discovery-jobs-manage.md)
+ [使用 CloudWatch Logs 監控任務](discovery-jobs-monitor-cw-logs.md)
+ [預測和監控任務成本](discovery-jobs-costs.md)
+ [建議任務使用的受管資料識別符](discovery-jobs-mdis-recommended.md)

# 敏感資料探索任務的範圍選項
<a name="discovery-jobs-scope"></a>

透過敏感資料探索任務，您可以定義 Amazon Macie 執行的分析範圍，以偵測和報告 Amazon Simple Storage Service (Amazon S3) 一般用途儲存貯體中的敏感資料。為了協助您執行此操作，Macie 提供數個任務特定的選項，您可以在建立和設定任務時選擇這些選項。

**Topics**
+ [S3 儲存貯體或儲存貯體條件](#discovery-jobs-scope-buckets)
+ [取樣深度](#discovery-jobs-scope-sampling)
+ [初始執行：包含現有的 S3 物件](#discovery-jobs-scope-objects)
+ [S3 物件條件](#discovery-jobs-scope-criteria)

## S3 儲存貯體或儲存貯體條件
<a name="discovery-jobs-scope-buckets"></a>

當您建立敏感資料探索任務時，您可以指定要 Macie 在任務執行時分析哪些 S3 儲存貯體存放物件。您可以透過兩種方式執行此操作：從儲存貯體庫存中選取特定的 S3 儲存貯體，或指定衍生自 S3 儲存貯體屬性的自訂條件。

**選取特定的 S3 儲存貯體**  
使用此選項，您可以明確選取要分析的每個 S3 儲存貯體。然後，當任務執行時，Macie 只會在您選取的儲存貯體中分析物件。如果您將任務設定為每天、每週或每月定期執行，Macie 會在每次任務執行時分析這些相同儲存貯體中的物件。  
此組態對於您想要對特定資料集執行目標分析的情況很有幫助。它可讓您精確且可預測地控制任務分析的儲存貯體。

**指定 S3 儲存貯體條件**  
使用此選項，您可以定義執行時間條件，以決定要分析哪些 S3 儲存貯體。條件包含一或多個衍生自儲存貯體屬性的條件，例如公有存取設定和標籤。當任務執行時，Macie 會識別符合您條件的儲存貯體，然後分析這些儲存貯體中的物件。如果您將任務設定為定期執行，Macie 會在每次任務執行時執行此操作。因此，Macie 可能會在每次任務執行時分析不同儲存貯體中的物件，取決於儲存貯體庫存的變更以及您定義的條件。  
此組態適用於您希望分析範圍動態適應儲存貯體庫存變更的情況。如果您將任務設定為使用儲存貯體條件並定期執行，Macie 會自動識別符合條件的新儲存貯體，並檢查這些儲存貯體是否有敏感資料。

本節中的主題提供有關每個選項的其他詳細資訊。

**Topics**
+ [選取特定的 S3 儲存貯體](#discovery-jobs-scope-buckets-select)
+ [指定 S3 儲存貯體條件](#discovery-jobs-scope-buckets-criteria)

### 選取特定的 S3 儲存貯體
<a name="discovery-jobs-scope-buckets-select"></a>

如果您選擇明確選取您希望任務分析的每個 S3 儲存貯體，Macie 會為您提供目前 中一般用途儲存貯體的庫存 AWS 區域。然後，您可以檢閱庫存，然後選取您想要的儲存貯體。如果您是組織的 Macie 管理員，您的庫存會包含成員帳戶擁有的儲存貯體。您可以選取多達 1，000 個這些儲存貯體，橫跨多達 1，000 個帳戶。

為了協助您進行儲存貯體選擇，清查會提供每個儲存貯體的詳細資訊和統計資料。這包括任務在每個儲存貯體中可分析的資料量 — *可分類物件*是使用[支援的 Amazon S3 儲存類別](discovery-supported-storage.md#discovery-supported-s3-classes)，且具有[支援檔案或儲存格式](discovery-supported-storage.md#discovery-supported-formats)的檔案名稱副檔名的物件。清查也會指出您是否設定任何現有的任務來分析儲存貯體中的物件。這些詳細資訊可協助您預估任務的廣度，並縮小儲存貯體選擇範圍。

在庫存資料表中：
+ **敏感度** – 如果啟用[自動敏感資料探索](discovery-asdd.md)，指定儲存貯體目前的敏感度分數。
+ **可分類物件** – 指定任務可在儲存貯體中分析的物件總數。
+ **可分類大小** – 指定任務可在儲存貯體中分析之所有物件的總儲存大小。

  如果儲存貯體存放壓縮的物件，此值不會反映解壓縮後這些物件的實際大小。如果儲存貯體已啟用版本控制，則此值是根據儲存貯體中每個物件最新版本的儲存體大小。
+ **依任務監控** – 指定您是否設定任何現有任務，以每日、每週或每月定期分析儲存貯體中的物件。

  如果此欄位的值為**是**，則儲存貯體會明確包含在定期任務中，或儲存貯體符合過去 24 小時內定期任務的條件。此外，至少其中一個任務的狀態不會*取消*。Macie 每天更新此資料。
+ **最新任務執行** – 如果您設定任何定期或一次性任務來分析儲存貯體中的物件，此欄位會指定其中一個任務開始執行的最新日期和時間。否則，此欄位會顯示破折號 (–)。

如果資訊圖示 (![\[The information icon, which is a blue circle that has a lowercase letter i in it.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/icon-info-blue.png)) 出現在任何儲存貯體名稱旁，建議您從 Amazon S3 擷取最新的儲存貯體中繼資料。若要這樣做，請選擇資料表上方的重新整理 (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/btn-refresh-data.png))。資訊圖示表示在過去 24 小時內建立儲存貯體，可能是在 Macie 上次從 Amazon S3 擷取儲存貯體和物件中繼資料之後，做為每日重新整理週期的一部分。如需詳細資訊，請參閱[資料重新整理](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh)。

如果儲存貯體名稱旁出現警告圖示 (![\[The warning icon, which is a red triangle that has an exclamation point in it.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/icon-warning-red.png))，則不允許 Macie 存取儲存貯體或儲存貯體的物件。這表示任務將無法分析儲存貯體中的物件。若要調查問題，請檢閱 Amazon S3 中的儲存貯體政策和許可設定。例如，儲存貯體可能有限制性儲存貯體政策。如需詳細資訊，請參閱[允許 Macie 存取 S3 儲存貯體和物件](monitoring-restrictive-s3-buckets.md)。

若要更輕鬆地自訂檢視並尋找特定儲存貯體，您可以在篩選條件方塊中輸入篩選條件來篩選資料表。下表提供一些範例。


| 若要顯示所有儲存貯體... | 套用此篩選條件... | 
| --- | --- | 
| 由特定帳戶擁有 | 帳戶 ID = 帳戶的 12 位數 ID | 
| 可公開存取 | 有效許可 = 公有 | 
| 不包含在任何定期任務中 | 由任務主動監控 = False | 
| 不包含在任何定期或一次性任務中 | 在任務中定義 = False | 
| 具有特定的標籤索引鍵\$1 | 標籤索引鍵 = 標籤索引鍵 | 
| 具有特定的標籤值\$1 | 標籤值 = 標籤值 | 
| 存放未加密的物件 （或使用用戶端加密的物件） | 加密的物件計數為無加密且寄件人 = 1 | 

\$1 標籤索引鍵和值區分大小寫。此外，您必須指定完整且有效的值。您無法指定部分值或使用萬用字元。

若要顯示儲存貯體的其他詳細資訊，請選擇儲存貯體的名稱，並參考詳細資訊面板。在 面板中，您也可以：
+ 透過為欄位選擇放大鏡，將特定欄位旋轉並向下切入。選擇 ![\[The zoom in icon, which is a magnifying glass that has a plus sign in it.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/icon-magnifying-glass-plus-sign.png)以顯示具有相同值的儲存貯體。選擇![\[The zoom out icon, which is a magnifying glass that has a minus sign in it.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/icon-magnifying-glass-minus-sign.png)顯示具有其他值的儲存貯體。
+ 擷取儲存貯體中物件的最新中繼資料。如果您最近在過去 24 小時內建立儲存貯體或對儲存貯體的物件進行重大變更，這會很有幫助。若要擷取資料，請在面板的**物件統計資料**區段中選擇重新整理 (![\[The refresh button, which is a button that displays an empty, dark gray circle with an arrow.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/btn-refresh-object-data.png))。此選項適用於存放 30，000 個或更少物件的儲存貯體。

在某些情況下，面板可能不會包含儲存貯體的所有詳細資訊。如果您在 Amazon S3 中存放超過 10，000 個儲存貯體，就會發生這種情況。Macie 只會為帳戶維護 10，000 個儲存貯體的完整庫存資料，也就是最近建立或變更的 10，000 個儲存貯體。不過，您可以設定任務來分析儲存貯體中超過此配額的物件。若要檢閱這些儲存貯體的其他詳細資訊，請使用 Amazon S3。

### 指定 S3 儲存貯體條件
<a name="discovery-jobs-scope-buckets-criteria"></a>

如果您選擇為任務指定儲存貯體條件，Macie 會提供定義和測試條件的選項。這些是決定要分析哪些 S3 儲存貯體存放物件的執行時間條件。每次任務執行時，Macie 都會識別符合您條件的一般用途儲存貯體，然後分析適當儲存貯體中的物件。如果您是組織的 Macie 管理員，這包含成員帳戶擁有的儲存貯體。

#### 定義儲存貯體條件
<a name="discovery-jobs-scope-buckets-criteria-define"></a>

儲存貯體條件包含一或多個衍生自 S3 儲存貯體屬性的條件。每個條件也稱為*條件*，由下列部分組成：
+ 以屬性為基礎的欄位，例如**帳戶 ID** 或**有效許可**。
+ 運算子，*等於* (`eq`) *或不等於 *(`neq`)。
+ 一或多個值。
+ 包含或排除陳述式，指出要分析 (*包含*) 或略過 (*排除*) 符合條件的儲存貯體。

如果您為欄位指定多個值，Macie 會使用 OR 邏輯來聯結這些值。如果您為條件指定多個條件，Macie 會使用 AND 邏輯來加入條件。此外，排除條件優先於包含條件。例如，如果您包含可公開存取的儲存貯體，並排除具有特定標籤的儲存貯體，任務會分析任何可公開存取的儲存貯體中的物件，除非儲存貯體具有其中一個指定的標籤。

您可以為 S3 儲存貯體定義衍生自下列任何屬性型欄位的條件。

**帳戶 ID**   
擁有儲存貯體之 的唯一識別符 AWS 帳戶 (ID)。若要為此欄位指定多個值，請輸入每個帳戶的 ID，並以逗號分隔每個項目。  
請注意，Macie 不支援對此欄位使用萬用字元或部分值。

**儲存貯體名稱**  
儲存貯體的名稱。此欄位與 Amazon S3 中的**名稱**欄位相關聯，而非 Amazon Resource Name (ARN) 欄位。 ****若要為此欄位指定多個值，請輸入每個儲存貯體的名稱，並以逗號分隔每個項目。  
請注意，值區分大小寫。此外，Macie 不支援對此欄位使用萬用字元或部分值。

**有效許可**  
指定儲存貯體是否可公開存取。您可以為此欄位選擇下列一或多個值：  
+ **不公開** – 一般公有 沒有對儲存貯體的讀取或寫入存取權。
+ **公**有 – 一般公有對儲存貯體具有讀取或寫入存取權。
+ **未知** – Macie 無法評估儲存貯體的公有存取設定。Macie 無法擷取和評估必要資料的問題或配額。
為了判斷儲存貯體是否可公開存取，Macie 會分析儲存貯體的帳戶層級和儲存貯體層級設定組合：帳戶的封鎖公開存取設定、儲存貯體的封鎖公開存取設定、儲存貯體的儲存貯體政策，以及儲存貯體的存取控制清單 (ACL)。如需這些設定的相關資訊，請參閱《Amazon *Simple Storage Service 使用者指南*》中的[存取控制](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html)和封鎖對 Amazon S3 儲存的公開存取。 [ Amazon S3 ](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html) 

**共用存取**  
指定儲存貯體是與另一個 AWS 帳戶、Amazon CloudFront 原始存取身分 (OAI) 還是 CloudFront 原始存取控制 (OAC) 共用。您可以為此欄位選擇下列一或多個值：  
+ **外部** – 儲存貯體會與下列一或多個 或任何組合共用：CloudFront OAI、CloudFront OAC 或組織外部 （不屬於組織） 的帳戶。
+ **內部** – 儲存貯體與組織內部 （部分） 的一或多個帳戶共用。它不會與 CloudFront OAI 或 OAC 共用。
+ **未共用** – 儲存貯體不會與其他帳戶、CloudFront OAI 或 CloudFront OAC 共用。
+ **未知** – Macie 無法評估儲存貯體的共用存取設定。Macie 無法擷取和評估必要資料的問題或配額。
為了判斷儲存貯體是否與另一個儲存貯體共用 AWS 帳戶，Macie 會分析儲存貯體的儲存貯體政策和 ACL。此外，*組織*定義為一組 Macie 帳戶，透過 Macie 邀請 AWS Organizations 或由 Macie 邀請集中管理為相關帳戶群組。如需共用儲存貯體的 Amazon S3 選項相關資訊，請參閱《*Amazon Simple Storage Service 使用者指南*》中的[存取控制](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html)。  
為了判斷儲存貯體是與 CloudFront OAI 或 OAC 共用，Macie 會分析儲存貯體的儲存貯體政策。CloudFront OAI 或 OAC 允許使用者透過一或多個指定的 CloudFront 分佈存取儲存貯體的物件。如需有關 CloudFront OAIs 和 OACs 的資訊，請參閱《[Amazon CloudFront 開發人員指南》中的限制對 Amazon S3 原始伺服器的存取](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html)。 *Amazon CloudFront *

**Tags** (標籤)  
與儲存貯體相關聯的標籤。標籤是您可以定義和指派給特定資源類型的標籤 AWS ，包括 S3 儲存貯體。每個標籤都包含必要的標籤索引鍵和選用的標籤值。如需標記 S3 儲存貯體的資訊，請參閱《*Amazon Simple Storage Service 使用者指南*》中的[使用成本分配 S3 儲存貯體標籤](https://docs.aws.amazon.com/AmazonS3/latest/userguide/CostAllocTagging.html)。  
對於敏感資料探索任務，您可以使用此類型條件來包含或排除具有特定標籤索引鍵、特定標籤值或特定標籤索引鍵和標籤值 （成對） 的儲存貯體。例如：  
+ 如果您將 **Project**指定為標籤索引鍵，但未指定條件的任何標籤值，則具有*專案*標籤索引鍵的任何儲存貯體都會符合條件的條件，無論與該標籤索引鍵相關聯的標籤值為何。
+ 如果您將 **Development**和 指定**Test**為標籤值，且未指定條件的任何標籤索引鍵，則任何具有 **Development**或 **Test**標籤值的儲存貯體都會符合條件的條件，無論與這些標籤值相關聯的標籤索引鍵為何。
標籤鍵與值皆區分大小寫。此外，Macie 不支援在標籤條件中使用萬用字元或部分值。  
若要在條件中指定多個標籤索引鍵，請在**索引**鍵欄位中輸入每個標籤索引鍵，並以逗號分隔每個項目。若要在條件中指定多個標籤值，請在**值**欄位中輸入每個標籤值，並以逗號分隔每個項目。  
如果您在 Amazon S3 中存放超過 10，000 個儲存貯體，請注意，Macie 不會維護所有儲存貯體的標籤資料。Macie 只會為帳戶維護 10，000 個儲存貯體的完整庫存資料，也就是最近建立或變更的 10，000 個儲存貯體。對於所有其他儲存貯體，任何相關聯的標籤索引鍵和值都不會包含在庫存資料中。這表示儲存貯體與使用*等於* (`eq`) 運算子的條件中的特定標籤索引鍵或值不相符。如果您為標籤型條件指定*不等於 *(`neq`) 運算子，這表示儲存貯體將符合條件。

#### 測試儲存貯體條件
<a name="discovery-jobs-scope-buckets-criteria-test"></a>

當您定義儲存貯體條件時，您可以透過預覽結果來測試和精簡條件。若要執行此作業，請展開主控台上條件下方的**預覽條件結果**區段。本節顯示最多 25 個目前符合條件的一般用途儲存貯體的資料表。

此資料表也可讓您深入了解任務在每個儲存貯體中可分析的資料量：*可分類物件*是使用[支援的 Amazon S3 儲存類別](discovery-supported-storage.md#discovery-supported-s3-classes)，且具有[支援檔案或儲存格式](discovery-supported-storage.md#discovery-supported-formats)的檔案名稱副檔名的物件。資料表也會指出您是否設定任何現有任務來定期分析儲存貯體中的物件。

在 資料表中：
+ **敏感度** – 如果啟用[自動敏感資料探索](discovery-asdd.md)，指定儲存貯體目前的敏感度分數。
+ **可分類物件** – 指定任務可在儲存貯體中分析的物件總數。
+ **可分類大小** – 指定任務可在儲存貯體中分析之所有物件的總儲存大小。

  如果儲存貯體存放壓縮的物件，此值不會反映解壓縮後這些物件的實際大小。如果為儲存貯體啟用版本控制，則此值是根據儲存貯體中每個物件最新版本的儲存體大小。
+ **依任務監控** – 指定您是否設定任何現有任務，以每日、每週或每月定期分析儲存貯體中的物件。

  如果此欄位的值為**是**，則儲存貯體會明確包含在定期任務中，或儲存貯體符合過去 24 小時內定期任務的條件。此外，至少其中一個任務的狀態不會*取消*。Macie 每天更新此資料。

如果儲存貯體名稱旁出現警告圖示 (![\[The warning icon, which is a red triangle that has an exclamation point in it.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/icon-warning-red.png))，則不允許 Macie 存取儲存貯體或儲存貯體的物件。這表示任務將無法分析儲存貯體中的物件。若要調查問題，請檢閱 Amazon S3 中的儲存貯體政策和許可設定。例如，儲存貯體可能有限制性儲存貯體政策。如需詳細資訊，請參閱[允許 Macie 存取 S3 儲存貯體和物件](monitoring-restrictive-s3-buckets.md)。

若要精簡任務的儲存貯體條件，請使用篩選條件選項，從條件中新增、變更或移除條件。Macie 接著會更新資料表以反映您的變更。

## 取樣深度
<a name="discovery-jobs-scope-sampling"></a>

使用此選項，您可以指定您希望敏感資料探索任務分析的合格 S3 物件百分比。合格的物件是：使用[支援的 Amazon S3 儲存類別](discovery-supported-storage.md#discovery-supported-s3-classes)、具有[支援檔案或儲存格式](discovery-supported-storage.md#discovery-supported-formats)的檔案名稱副檔名，以及符合您為任務指定的其他條件的物件。

如果此值小於 100%，Macie 會選取要隨機分析的合格物件，最高可達指定的百分比，並分析這些物件中的所有資料。例如，如果您將任務設定為分析 10，000 個物件，並指定 20% 的取樣深度，Macie 會在任務執行時分析大約 2，000 個隨機選取的合格物件。

減少任務的取樣深度可以降低成本並縮短任務的持續時間。如果物件中的資料高度一致，而且您想要判斷 S3 儲存貯體是否儲存敏感資料，而不是每個物件，這會很有幫助。

請注意，此選項會控制分析的*物件*百分比，而不是分析的*位元組*百分比。如果您輸入的取樣深度小於 100%，Macie 會分析每個所選物件中的所有資料，而不是每個所選物件中的資料百分比。

## 初始執行：包含現有的 S3 物件
<a name="discovery-jobs-scope-objects"></a>

您可以使用敏感資料探索任務，對 S3 儲存貯體中的物件執行持續的增量分析。如果您將任務設定為定期執行，Macie 會自動為您執行此操作，每個執行只會分析在先前執行之後建立或變更的物件。使用**包含現有物件**選項，您可以選擇第一個增量的起點：
+ 若要在完成建立任務後立即分析所有現有物件，請選取此選項的核取方塊。
+ 若要僅等待和分析在建立任務之後和第一次執行之前建立或變更的物件，請清除此選項的核取方塊。

  清除此核取方塊對於您已分析資料並希望繼續定期分析資料的案例很有幫助。例如，如果您之前使用其他服務或應用程式來分類資料，而且最近開始使用 Macie，您可以使用此選項來確保資料的持續探索和分類，而不會產生不必要的成本或複製分類資料。

每次後續執行定期任務時，只會自動分析在先前執行之後建立或變更的物件。

對於定期和一次性任務，您也可以設定任務，僅分析在特定時間之前或之後或在特定時間範圍內建立或變更的物件。若要這樣做，請新增使用物件上次修改日期的物件條件。

## S3 物件條件
<a name="discovery-jobs-scope-criteria"></a>

若要微調敏感資料探索任務的範圍，您可以定義 S3 物件的自訂條件。Macie 使用這些條件來判斷任務執行時要分析 (*包含*) 或略過 (*排除*) 的物件。條件由一或多個衍生自 S3 物件屬性的條件組成。這些條件適用於分析中包含的所有 S3 儲存貯體中的物件。如果儲存貯體存放多個版本的物件，則條件會套用至物件的最新版本。

如果您將多個條件定義為物件條件，Macie 會使用 AND 邏輯來加入條件。此外，排除條件優先於包含條件。例如，如果您包含具有 .pdf 副檔名的物件，並排除大於 5 MB 的物件，則任務會分析具有 .pdf 副檔名的任何物件，除非物件大於 5 MB。

您可以定義衍生自 S3 物件下列任何屬性的條件。

**檔案名稱副檔名**  
這與 S3 物件的檔案名稱副檔名相關聯。您可以使用此類型的條件，根據檔案類型來包含或排除物件。若要對多種類型的檔案執行此操作，請輸入每種類型的檔案名稱副檔名，並以逗號分隔每個項目，例如：**docx,pdf,xlsx**。如果您輸入多個檔案名稱副檔名做為條件的值，Macie 會使用 OR 邏輯來聯結值。  
請注意，值區分大小寫。此外，Macie 不支援在這類條件中使用部分值或萬用字元。  
如需有關 Macie 可分析之檔案類型的資訊，請參閱 [支援的檔案和儲存格式](discovery-supported-storage.md#discovery-supported-formats)。

**上次修改**  
這與 Amazon S3 中的**上次修改**欄位相關。在 Amazon S3 中，此欄位會儲存建立或上次變更 S3 物件的日期和時間，以最晚者為準。  
對於敏感資料探索任務，此條件可以是特定日期、特定日期和時間，或專屬時間範圍：  
+ 若要分析在特定日期和時間之後上次修改的物件，請在**從**欄位中輸入值。
+ 若要分析在特定日期和時間之前上次修改的物件，請在**收件人**欄位中輸入值。
+ 若要分析在特定時間範圍內上次修改的物件，請使用**從**欄位輸入時間範圍內第一個日期和時間的值。使用**收件人**欄位，輸入時間範圍內最後一個日期和時間的值。
+ 若要分析在特定一天內任何時間修改的物件，請在**開始日期**欄位中輸入日期。在結束日期欄位中輸入隔天****的日期。然後，確認兩個時間欄位都是空白的。(Macie 將空白時間欄位視為 `00:00:00`。) 例如，若要分析 2023 年 8 月 9 日變更的物件，**2023/08/09**請在**開始日期**欄位中輸入 ，**2023/08/10**在**結束日期**欄位中輸入 ，不要在任一時間欄位中輸入 值。
以國際標準時間 (UTC) 輸入任何時間值，並使用 24 小時表示法。

**字首**  
這與 Amazon S3 中的**金鑰**欄位相關。在 Amazon S3 中，此欄位會儲存 S3 物件的名稱，包括物件的字首。*字首*類似於儲存貯體中的目錄路徑。它可讓您將類似的物件分組到儲存貯體中，就像將類似的檔案一起存放在檔案系統的資料夾中一樣。如需有關 Amazon S3 中物件字首和資料夾的資訊，請參閱《Amazon *Simple Storage Service *[使用者指南》中的使用資料夾在 Amazon S3 主控台中組織物件](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-folders.html)。  
您可以使用此類型的條件來包含或排除其索引鍵 （名稱） 開頭為特定值的物件。例如，若要排除金鑰開頭為 *AWSLogs* 的所有物件，請輸入 **AWSLogs**做為**字首**條件的值，然後選擇**排除**。  
如果您輸入多個字首做為條件的值，Macie 會使用 OR 邏輯來聯結值。例如，如果您輸入 **AWSLogs1**和 **AWSLogs2**做為條件的值，其金鑰開頭為 *AWSLogs1* 或 *AWSLogs2* 的任何物件都會符合條件的條件。  
當您輸入**字首**條件的值時，請記住下列事項：  
+ 值區分大小寫。
+ Macie 不支援在這些值中使用萬用字元。
+ 在 Amazon S3 中，物件的金鑰不包含存放物件的儲存貯體名稱。因此，請勿在這些值中指定儲存貯體名稱。
+ 如果字首包含分隔符號，請在 值中包含分隔符號。例如，輸入 **AWSLogs/eventlogs** 以定義金鑰開頭為 *AWSLogs/eventlogs* 的所有物件的條件。Macie 支援預設 Amazon S3 分隔符號，即斜線 (/) 和自訂分隔符號。
另請注意，只有當物件的金鑰與您輸入的值完全相符時，物件才會符合條件的條件，從物件金鑰中的第一個字元開始。此外，Macie 會將條件套用至物件的完整**金鑰**值，包括物件的檔案名稱。  
例如，如果物件的金鑰是 *AWSLogs/eventlogs/testlog.csv*，而且您輸入條件的任何下列值，則物件符合條件的條件：  
+ **AWSLogs**
+ **AWSLogs/event**
+ **AWSLogs/eventlogs/**
+ **AWSLogs/eventlogs/testlog**
+ **AWSLogs/eventlogs/testlog.csv**
不過，如果您輸入 **eventlogs**，則物件不符合條件 - 條件的值不包含金鑰的第一部分 *AWSLogs/*。同樣地，如果您輸入 **awslogs**，由於大小寫的差異，物件不符合條件。

**儲存體大小**  
這與 Amazon S3 中的**大小**欄位相關。在 Amazon S3 中，此欄位指出 S3 物件的總儲存大小。如果物件是壓縮檔案，此值不會反映解壓縮後的實際檔案大小。  
您可以使用此類型條件來包含或排除小於特定大小、大於特定大小或落在特定大小範圍內的物件。Macie 會將此類型的條件套用至所有類型的物件，包括壓縮或封存檔案及其包含的檔案。如需每個支援格式的大小型限制資訊，請參閱 [Macie 配額](macie-quotas.md)。

**Tags** (標籤)  
與 S3 物件相關聯的標籤。標籤是您可以定義和指派給特定資源類型的標籤 AWS ，包括 S3 物件。每個標籤都包含必要的標籤索引鍵和選用的標籤值。如需有關標記 S3 物件的資訊，請參閱《*Amazon Simple Storage Service 使用者指南*》中的[使用標籤將儲存體分類](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-tagging.html)。  
對於敏感資料探索任務，您可以使用這種類型的條件來包含或排除具有特定標籤的物件。這可以是特定標籤索引鍵或特定標籤索引鍵和標籤值 （成對）。如果您將多個標籤指定為條件的值，Macie 會使用 OR 邏輯來聯結值。例如，如果您將 **Project1**和 指定**Project2**為條件的標籤索引鍵，則具有 *Project1* 或 *Project2* 標籤索引鍵的任何物件都會符合條件的條件。  
請注意，標籤索引鍵和值區分大小寫。此外，Macie 不支援在這類條件中使用部分值或萬用字元。

# 建立敏感資料探索任務
<a name="discovery-jobs-create"></a>

使用 Amazon Macie，您可以建立和執行敏感資料探索任務，以自動探索、記錄和報告 Amazon Simple Storage Service (Amazon S3) 一般用途儲存貯體中的敏感資料。*敏感資料探索任務*是 Macie 執行的一系列自動化處理和分析任務，用於偵測和報告 Amazon S3 物件中的敏感資料。隨著分析進行，Macie 會提供其找到的敏感資料及其執行的分析的詳細報告：*敏感資料調查結果*，其會報告 Macie 在個別 S3 物件中找到的敏感資料，以及*敏感資料探索結果*，其會記錄個別 S3 物件分析的詳細資訊。如需詳細資訊，請參閱[檢閱任務結果](discovery-jobs-manage-results.md)。

當您建立任務時，請先指定您希望 Macie 在任務執行時分析哪些 S3 儲存貯體存放物件，也就是您選取的特定儲存貯體或符合特定條件的儲存貯體。然後，您可以指定執行任務的頻率 - 一次，或每日、每週或每月定期執行。您也可以選擇選項來縮小任務分析的範圍。選項包括衍生自 S3 物件屬性的自訂條件，例如標籤、字首，以及物件上次修改的時間。

定義任務的排程和範圍之後，您可以指定要使用的受管資料識別符和自訂資料識別符：
+ *受管資料識別符*是一組內建條件和技術，旨在偵測特定類型的敏感資料，例如，信用卡號碼、 AWS 私密存取金鑰或特定國家或地區的護照號碼。這些識別符可以偵測許多國家和區域的敏感資料類型的大型和不斷增長的清單，包括多種類型的登入資料、財務資訊和個人識別資訊 (PII)。如需詳細資訊，請參閱[使用受管資料識別符](managed-data-identifiers.md)。
+ *自訂資料識別符*是您定義的一組條件，用於偵測敏感資料。使用自訂資料識別符，您可以偵測反映組織特定案例、智慧財產權或專屬資料的敏感資料，例如員工 IDs、客戶帳戶號碼或內部資料分類。您可以補充 Macie 提供的受管資料識別符。如需詳細資訊，請參閱[建置自訂資料識別符](custom-data-identifiers.md)。

然後，您可以選擇性地選取允許清單來使用。在 Macie 中，*允許清單*會指定要忽略的文字或文字模式。這些通常是您特定案例或環境的敏感資料例外狀況，例如您組織的公有名稱或電話號碼，或組織用於測試的範例資料。如需詳細資訊，請參閱[使用允許清單定義敏感資料例外狀況](allow-lists.md)。

完成選擇這些選項後，您就可以輸入任務的一般設定，例如任務的名稱和描述。然後，您可以檢閱和儲存任務。

**Topics**
+ [開始之前：設定金鑰資源](#discovery-jobs-create-prerequisites)
+ [步驟 1：選擇 S3 儲存貯體](#discovery-jobs-create-step1)
+ [步驟 2：檢閱您的 S3 儲存貯體選擇或條件](#discovery-jobs-create-step2)
+ [步驟 3：定義排程並縮小範圍](#discovery-jobs-create-step3)
+ [步驟 4：選取受管資料識別符](#discovery-jobs-create-step4)
+ [步驟 5：選取自訂資料識別符](#discovery-jobs-create-step5)
+ [步驟 6：選取允許清單](#discovery-jobs-create-step6)
+ [步驟 7：輸入一般設定](#discovery-jobs-create-step7)
+ [步驟 8：檢閱並建立](#discovery-jobs-create-step8)

## 開始之前：設定金鑰資源
<a name="discovery-jobs-create-prerequisites"></a>

建立任務之前，建議您採取下列步驟：
+ 確認您已為敏感資料探索結果設定儲存庫。若要這樣做，請在 Amazon Macie 主控台的導覽窗格中選擇**探索結果**。若要了解這些設定，請參閱 [儲存及保留敏感資料探索結果](discovery-results-repository-s3.md)。
+ 建立您希望任務使用的任何自訂資料識別符。若要了解作法，請參閱[建置自訂資料識別符](custom-data-identifiers.md)。
+ 建立您希望任務使用的任何允許清單。若要了解作法，請參閱[使用允許清單定義敏感資料例外狀況](allow-lists.md)。
+ 如果您想要分析已加密的 S3 物件，請確定 Macie 可以存取並使用適當的加密金鑰。如需詳細資訊，請參閱[分析加密的 S3 物件](discovery-supported-encryption-types.md)。
+ 如果您想要分析具有限制性儲存貯體政策的 S3 儲存貯體中的物件，請確定允許 Macie 存取物件。如需詳細資訊，請參閱[允許 Macie 存取 S3 儲存貯體和物件](monitoring-restrictive-s3-buckets.md)。

如果您在建立任務之前執行這些動作，您可以簡化任務的建立，並協助確保任務可以分析您想要的資料。

## 步驟 1：選擇 S3 儲存貯體
<a name="discovery-jobs-create-step1"></a>

當您建立任務時，第一個步驟是指定您希望 Macie 在任務執行時分析哪些 S3 儲存貯體存放物件。在此步驟中，您有兩個選項：
+ **選取特定儲存貯**體 – 使用此選項，您可以明確選取要分析的每個 S3 儲存貯體。然後，當任務執行時，Macie 只會在您選取的儲存貯體中分析物件。
+ **指定儲存貯體條件** – 使用此選項，您可以定義執行時間條件，以決定要分析的 S3 儲存貯體。條件由一或多個衍生自儲存貯體屬性的條件組成。然後，當任務執行時，Macie 會識別符合您條件的儲存貯體，並分析這些儲存貯體中的物件。

如需這些選項的詳細資訊，請參閱 [任務的範圍選項](discovery-jobs-scope.md)。

以下各節提供選擇和設定每個選項的說明。為您想要的選項選擇 區段。

### 選取特定儲存貯體
<a name="discovery-jobs-create-step1-buckets-select"></a>

如果您選擇明確選取要分析的每個 S3 儲存貯體，Macie 會為您提供目前一般用途儲存貯體的清查 AWS 區域。然後，您可以使用此庫存來選取任務的一或多個儲存貯體。若要了解此庫存，請參閱 [選取特定的 S3 儲存貯體](discovery-jobs-scope.md#discovery-jobs-scope-buckets-select)。

如果您是組織的 Macie 管理員，則清查會包含組織中成員帳戶擁有的儲存貯體。您可以選取多達 1，000 個這些儲存貯體，橫跨多達 1，000 個帳戶。

**為任務選取特定的 S3 儲存貯體**

1. 在 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。

1. 在導覽窗格中，選擇 **Jobs (任務)**。

1. 選擇**建立任務**。

1. 在**選擇 S3 儲存貯**體頁面上，選擇**選取特定儲存貯**體。Macie 會顯示目前區域中您帳戶所有一般用途儲存貯體的資料表。

1. 在**選取 S3 儲存貯**體區段中，選擇性地選擇重新整理 (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/btn-refresh-data.png)) 以從 Amazon S3 擷取最新的儲存貯體中繼資料。

   如果資訊圖示 (![\[The information icon, which is a blue circle that has a lowercase letter i in it.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/icon-info-blue.png)) 出現在任何儲存貯體名稱旁，建議您執行此操作。此圖示表示儲存貯體在過去 24 小時內建立，可能是在 Macie 上次從 Amazon S3 擷取儲存貯體和物件中繼資料之後，做為[每日重新整理週期](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh)的一部分。

1. 在表格中，選取您希望任務分析之每個儲存貯體的核取方塊。
**提示**  
若要更輕鬆地尋找特定儲存貯體，請在資料表上方的篩選條件方塊中輸入篩選條件。您也可以選擇欄標題來排序資料表。
若要判斷您是否已設定任務來定期分析儲存貯體中的物件，請參閱**依任務監控**欄位。如果欄位中顯示**是**，則儲存貯體會明確包含在定期任務中，或儲存貯體符合過去 24 小時內定期任務的條件。此外，至少其中一個任務的狀態不會*取消*。Macie 每天更新此資料。
若要判斷儲存貯體中現有定期或一次性任務最近分析的物件，請參閱**最新任務執行**欄位。如需該任務的其他資訊，請參閱儲存貯體的詳細資訊。
若要顯示儲存貯體的詳細資訊，請選擇儲存貯體的名稱。除了任務相關資訊之外，詳細資訊面板還提供儲存貯體的統計資料和其他資訊，例如儲存貯體的公有存取設定。若要進一步了解此資料，請參閱 [檢閱 S3 儲存貯體庫存](monitoring-s3-inventory-review.md)。

1. 完成選取儲存貯體後，請選擇**下一步**。

在下一個步驟中，您將檢閱並驗證您的選擇。

### 指定儲存貯體條件
<a name="discovery-jobs-create-step1-buckets-criteria"></a>

如果您選擇指定執行時間條件來決定要分析的 S3 儲存貯體，Macie 會提供選項，協助您選擇條件中個別條件的欄位、運算子和值。若要進一步了解這些選項，請參閱[指定 S3 儲存貯體條件](discovery-jobs-scope.md#discovery-jobs-scope-buckets-criteria)。

**為任務指定 S3 儲存貯體條件**

1. 在 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。

1. 在導覽窗格中，選擇 **Jobs (任務)**。

1. 選擇**建立任務**。

1. 在**選擇 S3 儲存貯**體頁面上，選擇**指定儲存貯體條件**。

1. 在**指定儲存貯體條件**下，執行下列動作，將條件新增至條件：

   1. 將游標放在篩選條件方塊中，然後選擇要用於條件的儲存貯體屬性。

   1. 在第一個方塊中，為條件選擇**等於**或不**等於的**運算子。

   1. 在下一個方塊中，輸入屬性的一或多個值。

      根據儲存貯體屬性的類型和性質，Macie 會顯示不同的輸入值選項。例如，如果您選擇**有效許可**屬性，Macie 會顯示可供選擇的值清單。如果您選擇**帳戶 ID** 屬性，Macie 會顯示文字方塊，您可以在其中輸入一或多個 AWS 帳戶 IDs。若要在文字方塊中輸入多個值，請輸入每個值，並以逗號分隔每個項目。

   1. 選擇**套用**。Macie 新增條件，並將其顯示在篩選條件方塊下方。

      根據預設，Macie 會使用包含陳述式來新增條件。這表示任務已設定為在符合條件的儲存貯體中分析 (*包含*) 物件。若要略過 (*排除*) 符合條件的儲存貯體，請為條件選擇**包含**，然後選擇**排除**。

   1. 針對您要新增至條件的每個額外條件，重複上述步驟。

1. 若要測試您的條件，請展開**預覽條件結果**區段。本節顯示最多 25 個目前符合條件的一般用途儲存貯體的資料表。

1. 若要精簡您的條件，請執行下列任一動作：
   + 若要移除條件，請為條件選擇 **X**。
   + 若要變更條件，請為條件選擇 **X** 來移除條件。然後新增具有正確設定的條件。
   + 若要移除所有條件，請選擇**清除篩選條件**。

   Macie 會更新條件結果的資料表，以反映您的變更。

1. 完成指定儲存貯體條件後，請選擇**下一步**。

在下一個步驟中，您將檢閱並驗證您的條件。

## 步驟 2：檢閱您的 S3 儲存貯體選擇或條件
<a name="discovery-jobs-create-step2"></a>

在此步驟中，請確認您在上一個步驟中選擇了正確的設定：
+ **檢閱您的儲存貯體選擇** - 如果您為任務選取了特定的 S3 儲存貯體，請檢閱儲存貯體資料表並視需要變更儲存貯體選擇。資料表可讓您深入了解任務分析的預計範圍和成本。資料是根據目前存放在儲存貯體中的物件大小和類型。

  在表格中，**預估成本**欄位指出分析 S3 儲存貯體中物件的總預估成本 （美元）。每個預估值都會反映任務將在儲存貯體中分析的未壓縮資料預測量。如果任何物件是壓縮或封存檔案，預估值會假設檔案使用 3：1 壓縮率，而任務可以分析所有擷取的檔案。如需詳細資訊，請參閱[預測和監控任務成本](discovery-jobs-costs.md)。
+ **檢閱您的儲存貯體條件** - 如果您為任務指定儲存貯體條件，請檢閱條件中的每個條件。若要變更條件，請選擇**上**一個，然後使用上一個步驟中的篩選條件選項來輸入正確的條件。完成後，請選擇**下一步**。

當您完成檢閱和驗證設定時，請選擇**下一步**。

## 步驟 3：定義排程並縮小範圍
<a name="discovery-jobs-create-step3"></a>

在此步驟中，指定您希望任務執行的頻率 - 一次，或每日、每週或每月定期執行。也請選擇各種選項來縮小任務分析的範圍。若要了解這些選項，請參閱 [任務的範圍選項](discovery-jobs-scope.md)。

**定義排程並縮小任務範圍**

1. 在**縮小範圍**頁面上，指定您希望任務執行的頻率：
   + 若要僅執行任務一次，請在完成建立任務後立即選擇**一次性任務**。
   + 若要定期執行任務，請選擇**排程任務**。針對**更新頻率**，選擇是否每天、每週或每月執行任務。然後使用**包含現有物件**選項來定義任務第一次執行的範圍：
     + 選取此核取方塊可在您完成建立任務後立即分析所有現有的物件。每個後續執行只會分析在上述執行之後建立或變更的物件。
     + 清除此核取方塊可略過所有現有物件的分析。任務的第一次執行只會分析在您完成建立任務之後以及第一次執行開始之前建立或變更的物件。每個後續執行只會分析在上述執行之後建立或變更的物件。

       清除此核取方塊對於您已分析資料並希望繼續定期分析資料的案例很有幫助。例如，如果您之前使用其他服務或應用程式來分類資料，而且最近開始使用 Macie，您可以使用此選項來確保資料的持續探索和分類，而不會產生不必要的成本或複製分類資料。

1. （選用） 若要指定您希望任務分析的物件百分比，請在**取樣深度**方塊中輸入百分比。

   如果此值小於 100%，Macie 會隨機選取要分析的物件，最高可達指定的百分比，並分析這些物件中的所有資料。預設值為 100%。

1. （選用） 若要新增特定條件，以決定任務分析中包含或排除哪些 S3 物件，請展開**其他設定**區段，然後輸入條件。這些條件由衍生自物件屬性的個別條件組成：
   + 若要分析 (*包含*) 符合特定條件的物件，請輸入條件類型和值，然後選擇**包含**。
   + 若要略過 (*排除*) 符合特定條件的物件，請輸入條件類型和值，然後選擇**排除**。

   針對您想要的每個包含或排除條件，重複此步驟。

   如果您輸入多個條件，則排除條件優先於包含條件。例如，如果您包含具有 .pdf 副檔名的物件，並排除大於 5 MB 的物件，則任務會分析具有 .pdf 副檔名的任何物件，除非物件大於 5 MB。

1. 完成後，請選擇**下一步**。

## 步驟 4：選取受管資料識別符
<a name="discovery-jobs-create-step4"></a>

在此步驟中，指定您希望任務在分析 S3 物件時使用的受管資料識別符。您有兩種選擇：
+ **使用建議的設定** - 使用此選項，任務會使用我們建議用於任務的一組受管資料識別符來分析 S3 物件。此集旨在偵測敏感資料的常見類別和類型。若要檢閱目前在集合中的受管資料識別符清單，請參閱 [建議任務使用的受管資料識別符](discovery-jobs-mdis-recommended.md)。每次從集合中新增或移除受管資料識別符時，我們會更新該清單。
+ **使用自訂設定** - 使用此選項，任務會使用您選取的受管資料識別符來分析 S3 物件。這可以是目前可用的全部或部分受管資料識別符。您也可以將任務設定為不使用任何受管資料識別符。任務可以改為只使用您在下一個步驟中選取的自訂資料識別符。若要檢閱目前可用的受管資料識別符清單，請參閱 [快速參考：依類型列出的受管資料識別符](mdis-reference-quick.md)。每次我們發行新的受管資料識別符時，都會更新該清單。

當您選擇任一選項時，Macie 會顯示受管資料識別符的資料表。在表格中，**敏感資料類型**欄位會指定受管資料識別符的唯一識別符 (ID)。此 ID 說明受管資料識別符設計用於偵測的敏感資料類型，例如：美國護照號碼的 **USA\$1PASSPORT\$1NUMBER**、信用卡號碼的 **CREDIT\$1CARD\$1NUMBER**，以及 **PGP 私有金鑰的 PGP\$1PRIVATE\$1KEY**。若要更快速地尋找特定識別符，您可以依敏感資料類別或類型排序和篩選資料表。

**為任務選取受管資料識別符**

1. 在**選取受管資料識別符**頁面的**受管資料識別符選項**下，執行下列其中一項：
   + 若要使用我們建議用於任務的一組受管資料識別符，請選擇**建議**。

     如果您選擇此選項，並將任務設定為執行多次，則每次執行都會在執行開始時自動使用建議集中的所有受管資料識別符。這包括我們發佈並新增至集合的新受管資料識別符。它排除了我們從集合中移除的受管資料識別符，不再建議用於任務。
   + 若要僅使用您選取的特定受管資料識別符，請選擇**自訂**，然後選擇**使用特定受管資料識別符**。然後，在表格中，選取您希望任務使用的每個受管資料識別符的核取方塊。

     如果您選擇此選項，並將任務設定為執行多次，則每次執行只會使用您選取的受管資料識別符。換句話說，任務每次執行時都會使用這些相同的受管資料識別符。
   + 若要使用 Macie 目前提供的所有受管資料識別符，請選擇**自訂**，然後選擇**使用特定受管資料識別符**。然後，在表格中，選取選取欄標題中的核取方塊以選取所有資料列。

     如果您選擇此選項，並將任務設定為執行多次，則每次執行只會使用您選取的受管資料識別符。換句話說，任務每次執行時都會使用這些相同的受管資料識別符。
   + 若要不使用任何受管資料識別符，並僅使用自訂資料識別符，請選擇**自訂**，然後選擇**不使用任何受管資料識別符**。然後，在下一個步驟中，選取要使用的自訂資料識別符。

1. 完成後，請選擇**下一步**。

## 步驟 5：選取自訂資料識別符
<a name="discovery-jobs-create-step5"></a>

在此步驟中，選取您希望任務在分析 S3 物件時使用的任何自訂資料識別符。除了您設定任務使用的任何受管資料識別符之外，任務將使用選取的識別符。若要進一步了解自訂資料識別符，請參閱 [建置自訂資料識別符](custom-data-identifiers.md)。

**為任務選取自訂資料識別符**

1. 在**選取自訂資料識別符**頁面上，選取您希望任務使用的每個自訂資料識別符的核取方塊。您可以選取最多 30 個自訂資料識別符。
**提示**  
若要在選取自訂資料識別符之前檢閱或測試其設定，請選擇識別符名稱旁的連結圖示 (![\[The link icon, which is a blue box that has an arrow in it.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/icon-external-link.png))。Macie 會開啟顯示識別符設定的頁面。  
您也可以使用此頁面，透過範例資料測試識別符。若要這樣做，請在**範例資料**方塊中輸入最多 1，000 個字元的文字，然後選擇**測試**。Macie 會使用識別符評估範例資料，然後報告相符項目的數量。

1. 完成選取自訂資料識別符後，請選擇**下一步**。

## 步驟 6：選取允許清單
<a name="discovery-jobs-create-step6"></a>

針對此步驟，選取您希望任務在分析 S3 物件時使用的任何允許清單。若要進一步了解允許清單，請參閱 [使用允許清單定義敏感資料例外狀況](allow-lists.md)。

**選取任務的允許清單**

1. 在**選取允許清單**頁面上，選取您希望任務使用的每個允許清單的核取方塊。您最多可以選取 10 個清單。
**提示**  
若要在選取允許清單之前檢閱其設定，請選擇清單名稱旁的連結圖示 (![\[The link icon, which is a blue box that has an arrow in it.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/icon-external-link.png))。Macie 會開啟顯示清單設定的頁面。  
如果清單指定規則表達式 (*regex*)，您也可以使用此頁面以範例資料測試 regex。若要這樣做，請在**範例資料**方塊中輸入最多 1，000 個字元的文字，然後選擇**測試**。Macie 使用 regex 評估範例資料，然後報告相符項目的數量。

1. 當您完成選取允許清單時，請選擇**下一步**。

## 步驟 7：輸入一般設定
<a name="discovery-jobs-create-step7"></a>

在此步驟中，請指定名稱，並選擇性地指定任務的描述。您也可以將標籤指派給任務。 *標籤* 是您定義並指派給特定資源類型的標籤 AWS 。每個標籤都包含必要的標籤索引鍵和選用的標籤值。標籤可協助您以不同的方式識別、分類和管理資源，例如依用途、擁有者、環境或其他條件。如需詳細資訊，請參閱 [標記 Macie 資源](tagging-resources.md)。

**輸入任務的一般設定**

1. 在**輸入一般設定**頁面上，在任務名稱方塊中輸入**任務的名稱**。名稱最多可包含 500 個字元。

1. （選用） 針對**任務描述**，輸入任務的簡短描述。描述最多可包含 200 個字元。

1. （選用） 針對**標籤**，選擇**新增標籤**，然後輸入最多 50 個要指派給任務的標籤。

1. 完成後，請選擇**下一步**。

## 步驟 8：檢閱並建立
<a name="discovery-jobs-create-step8"></a>

在此最後一個步驟中，請檢閱任務的組態設定，並確認其正確無誤。這是重要的步驟。建立任務後，您無法變更任何這些設定。這有助於確保您擁有不可變的敏感資料調查結果歷史記錄，以及您執行的資料隱私權和保護稽核或調查的探索結果。

根據任務的設定，您也可以檢閱一次執行任務的預估總成本 （美元）。如果您為任務選取特定的 S3 儲存貯體，預估值會根據您選取的儲存貯體中的物件大小和類型，以及任務可以分析的資料量而定。如果您為任務指定儲存貯體條件，預估是根據目前符合條件的最多 500 個儲存貯體中的物件大小和類型，以及任務可以分析的資料量。若要了解此預估值，請參閱 [預測和監控任務成本](discovery-jobs-costs.md)。

**檢閱和建立任務**

1. 在**檢閱和建立**頁面上，檢閱每個設定並確認其正確無誤。若要變更設定，請在包含設定的區段中選擇**編輯**，然後輸入正確的設定。您也可以使用導覽索引標籤前往包含設定的頁面。

1. 當您完成驗證設定時，請選擇**提交**以建立和儲存任務。Macie 會檢查設定，並通知您要解決的任何問題。
**注意**  
如果您尚未為敏感資料探索結果設定儲存庫，Macie 會顯示警告，而且不會儲存任務。若要解決此問題，請在**儲存庫中針對敏感資料探索結果**區段中選擇**設定**。然後輸入儲存庫的組態設定。若要了解作法，請參閱[儲存及保留敏感資料探索結果](discovery-results-repository-s3.md)。輸入設定後，返回**檢閱和建立**頁面，然後在頁面的**儲存庫中為敏感資料探索結果**區段選擇重新整理 (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/btn-refresh-data.png))。  
雖然我們不建議這麼做，但您可以暫時覆寫儲存庫需求並儲存任務。如果您這樣做，您可能會遺失任務的探索結果，Macie 只會保留結果 90 天。若要暫時覆寫需求，請選取覆寫選項的核取方塊。

1. 如果 Macie 通知您要處理的問題，請解決問題，然後再次選擇**提交**以建立和儲存任務。

如果您將任務設定為每天執行一次，或在一週或一個月的當天執行，Macie 會在您儲存任務後立即開始執行任務。否則，Macie 會準備在一週或一個月的指定日期執行任務。若要監控任務，您可以[檢查任務的狀態](discovery-jobs-status-check.md)。

# 檢閱敏感資料探索任務的結果
<a name="discovery-jobs-manage-results"></a>

當您執行敏感資料探索任務時，Amazon Macie 會自動計算和報告任務的特定統計資料。例如，Macie 會報告任務已執行的次數，以及任務目前執行期間尚未處理的 Amazon Simple Storage Service (Amazon S3) 物件的大致數量。Macie 也會產生數種類型的任務結果：*日誌事件*、*敏感資料問題清單*和*敏感資料探索結果*。

**Topics**
+ [任務結果的類型](#discovery-jobs-manage-results-types)
+ [檢閱任務統計資料和結果](#discovery-jobs-manage-results-review)

## 敏感資料探索任務的結果類型
<a name="discovery-jobs-manage-results-types"></a>

隨著敏感資料探索任務的進展，Amazon Macie 會產生以下類型的任務結果。

**日誌事件**  
這是任務執行時所發生事件的記錄。Macie 會自動記錄特定事件的資料，並將其發佈至 Amazon CloudWatch Logs。這些日誌中的資料會提供任務進度或狀態變更的記錄，例如任務開始或停止執行的確切日期和時間。資料也提供任務執行期間發生的任何帳戶或儲存貯體層級錯誤的詳細資訊。  
日誌事件可協助您監控任務，並解決導致任務無法分析所需資料的任何問題。如果任務使用執行時間條件來判斷要分析哪些 S3 儲存貯體，則日誌事件也可以協助您判斷任務執行時，哪些 S3 儲存貯體符合條件。  
您可以使用 Amazon CloudWatch 主控台或 Amazon CloudWatch Logs API 存取日誌事件。為了協助您導覽至任務的日誌事件，Amazon Macie 主控台會提供這些事件的連結。如需詳細資訊，請參閱[使用 CloudWatch Logs 監控任務](discovery-jobs-monitor-cw-logs.md)。

**敏感資料調查結果**  
這是 Macie 在 S3 物件中找到的敏感資料報告。每個調查結果都提供嚴重性評分和詳細資訊，例如：  
+ Macie 找到敏感資料的日期和時間。
+ Macie 找到的敏感資料的類別和類型。
+ Macie 找到的每種敏感資料的出現次數。
+ 產生問題清單之任務的唯一識別符。
+ 名稱、公開存取設定、加密類型，以及受影響 S3 儲存貯體和物件的其他資訊。
根據受影響的 S3 物件的檔案類型或儲存格式，詳細資訊也可以包含最多 15 次 Macie 找到之敏感資料的位置。若要報告位置資料，敏感資料調查結果會使用[標準化 JSON 結構描述](findings-locate-sd-schema.md)。  
敏感資料調查結果不包含 Macie 找到的敏感資料。相反地，它提供您可以用於在必要時進一步調查和修復的資訊。  
Macie 會將敏感資料調查結果存放 90 天。您可以使用 Amazon Macie 主控台或 Amazon Macie API 來存取它們。您也可以使用其他應用程式、服務和系統來監控和處理它們。如需詳細資訊，請參閱[檢閱和分析問題清單](findings.md)。

**敏感資料探索結果**  
這是記錄 S3 物件分析詳細資訊的記錄。Macie 會自動為您設定任務分析的每個物件建立敏感資料探索結果。這包括 Macie 在其中找不到敏感資料的物件，因此不會產生敏感資料調查結果，以及 Macie 因為許可設定或使用不支援的檔案或儲存格式等錯誤或問題而無法分析的物件。  
如果 Macie 在 S3 物件中找到敏感資料，敏感資料探索結果會包含來自對應敏感資料調查結果的資料。它也提供其他資訊，例如 Macie 在 物件中找到的每種敏感資料多達 1，000 次出現的位置。例如：  
+ Microsoft Excel 工作手冊、CSV 檔案或 TSV 檔案中儲存格或欄位的資料欄和資料列編號
+ JSON 或 JSON Lines 檔案中欄位或陣列的路徑
+ CSV、JSON、JSON Lines 或 TSV 檔案以外的非二進位文字檔案中某行的行號，例如 HTML、TXT 或 XML 檔案
+ Adobe 可攜式文件格式 (PDF) 檔案中頁面的頁碼
+ Apache Avro 物件容器或 Apache Parquet 檔案中記錄中欄位的記錄索引和路徑
如果受影響的 S3 物件是封存檔案，例如 .tar 或 .zip 檔案，敏感資料探索結果也會針對 Macie 從封存擷取的個別檔案中出現的敏感資料，提供詳細的位置資料。Macie 不會在封存檔案的敏感資料調查結果中包含此資訊。若要報告位置資料，敏感資料探索結果會使用[標準化的 JSON 結構描述](findings-locate-sd-schema.md)。  
敏感資料探索結果不包含 Macie 找到的敏感資料。反之，它會為您提供分析記錄，有助於資料隱私權和保護稽核或調查。  
Macie 會將您的敏感資料探索結果存放 90 天。您無法直接在 Amazon Macie 主控台或使用 Amazon Macie API 存取它們。反之，您可以設定 Macie 將它們加密並存放在 S3 儲存貯體中。儲存貯體可以做為所有敏感資料探索結果的確定性長期儲存庫。然後，您可以選擇存取和查詢該儲存庫中的結果。若要了解如何設定這些設定，請參閱 [儲存及保留敏感資料探索結果](discovery-results-repository-s3.md)。  
設定設定後，Macie 會將敏感資料探索結果寫入 JSON Lines (.jsonl) 檔案，並將這些檔案加密並新增至 S3 儲存貯體，做為 GNU Zip (.gz) 檔案。為了協助您導覽至結果，Amazon Macie 主控台會提供這些結果的連結。

敏感資料調查結果和敏感資料探索結果都符合標準化結構描述。這可協助您選擇使用其他應用程式、服務和系統來查詢、監控和處理它們。

**提示**  
如需如何查詢和使用敏感資料探索結果來分析和報告潛在資料安全風險的詳細教學範例，請參閱安全*AWS 部落格*上的下列部落格文章：[如何使用 Amazon Athena 和 Amazon Quick 查詢和視覺化 Macie 敏感資料探索結果](https://aws.amazon.com/blogs/security/how-to-query-and-visualize-macie-sensitive-data-discovery-results-with-athena-and-quicksight/)。  
如需可用於分析敏感資料探索結果的 Amazon Athena 查詢範例，請造訪 GitHub 上的 [Amazon Macie 結果分析儲存庫](https://github.com/aws-samples/amazon-macie-results-analytics)。此儲存庫也提供設定 Athena 以擷取和解密結果的說明，以及建立結果資料表的指令碼。

## 檢閱敏感資料探索任務的統計資料和結果
<a name="discovery-jobs-manage-results-review"></a>

若要檢閱敏感資料探索任務的處理統計資料和結果，您可以使用 Amazon Macie 主控台或 Amazon Macie API。請依照下列步驟，使用 主控台檢閱統計資料和結果。

若要以程式設計方式存取任務的處理統計資料，請使用 Amazon Macie API 的 [DescribeClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-jobid.html) 操作。若要以程式設計方式存取任務產生的調查結果，請使用 [ListFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings.html) 操作，並在 `classificationDetails.jobId` 欄位的篩選條件中指定任務的唯一識別符。若要了解作法，請參閱[建立篩選條件並將其套用至 Macie 調查結果](findings-filter-procedure.md)。然後，您可以使用 [GetFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html) 操作來擷取問題清單的詳細資訊。

**檢閱任務的統計資料和結果**

1. 開啟位於 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 的 Amazon Macie 主控台。

1. 在導覽窗格中，選擇 **Jobs (任務)**。

1. 在**任務**頁面上，選擇您要檢閱其統計資料和結果的任務名稱。詳細資訊面板會顯示任務的統計資料、設定和其他資訊。

1. 在詳細資訊面板中，執行下列任一動作：
   + 若要檢閱任務的處理統計資料，請參閱面板的**統計資料**區段。本節顯示統計資料，例如任務已執行的次數，以及任務目前執行期間尚未處理的大約物件數量。
   + 若要檢閱任務的日誌事件，請選擇面板頂端的**顯示結果**，然後選擇**顯示 CloudWatch 日誌**。Macie 會開啟 Amazon CloudWatch 主控台，並顯示 Macie 為任務發佈的日誌事件資料表。
   + 若要檢閱任務產生的所有敏感資料問題清單，請選擇面板頂端的**顯示結果**，然後選擇**顯示問題清單**。Macie 會**開啟調查結果**頁面，並顯示任務中的所有調查結果。若要檢閱特定問題清單的詳細資訊，請選擇問題清單，然後參閱詳細資訊面板。
**提示**  
在調查結果詳細資訊面板中，您可以使用**詳細結果位置**欄位中的連結，導覽至 Amazon S3 中對應的敏感資料探索結果：  
如果調查結果適用於大型封存或壓縮檔案，連結會顯示包含檔案探索結果的資料夾。如果封存或壓縮檔案產生超過 100 個探索結果，則檔案會*很大*。
如果調查結果適用於小型封存或壓縮檔案，連結會顯示包含檔案探索結果的檔案。如果封存或壓縮檔案產生 100 個或更少的探索結果，則會很*小*。
如果問題清單適用於其他類型的檔案，連結會顯示包含檔案探索結果的檔案。
   + 若要檢閱任務產生的所有敏感資料探索結果，請選擇面板頂端的**顯示結果**，然後選擇**顯示分類**。Macie 會開啟 Amazon S3 主控台，並顯示包含任務所有探索結果的資料夾。只有在您將 Macie 設定為[將敏感資料探索結果存放在](discovery-results-repository-s3.md) S3 儲存貯體之後，才能使用此選項。

# 管理敏感資料探索任務
<a name="discovery-jobs-manage"></a>

為了協助您管理敏感資料探索任務，Amazon Macie 會維護每個任務的完整庫存 AWS 區域。透過此庫存，您可以將任務管理為單一集合，以及存取組態設定、處理統計資料和個別任務的狀態。

例如，您可以識別您設定為定期執行的所有任務，以進行定期分析、評估和監控。您也可以檢閱任務的組態設定明細。這包括定義分析範圍的設定。它還包含指定您希望 Macie 在任務執行時偵測和報告的敏感資料類型的設定。如果您使用 Amazon Macie 主控台管理您的任務，每個任務的詳細資訊也會直接存取[敏感資料調查結果和任務產生的其他結果](discovery-jobs-manage-results.md)。

除了這些任務之外，您還可以建立個別任務的自訂變化。您可以複製現有任務、調整副本的設定，然後將副本儲存為新任務。這對於您想要以相同方式分析不同資料集，或以不同方式分析相同資料集的情況很有幫助。如果您想要調整現有任務的組態設定，也可以很有幫助：取消現有任務、進行複製，然後調整並將副本儲存為新任務。

**Topics**
+ [檢閱您的任務庫存](discovery-jobs-manage-view.md)
+ [檢閱任務的組態設定](discovery-jobs-manage-settings.md)
+ [檢查任務的狀態](discovery-jobs-status-check.md)
+ [變更任務的狀態](discovery-jobs-status-change.md)
+ [複製任務](discovery-jobs-manage-copy.md)

# 檢閱敏感資料探索任務的庫存
<a name="discovery-jobs-manage-view"></a>

在 Amazon Macie 主控台上，您可以檢閱目前 中敏感資料探索任務的完整庫存 AWS 區域。清查會提供所有任務的摘要資訊，以及個別任務的詳細資訊。摘要資訊包括：每個任務的目前狀態；任務是否定期定期執行；以及任務是否設定為分析特定 Amazon Simple Storage Service (Amazon S3) 儲存貯體或符合執行時間條件的 S3 儲存貯體中的物件。對於個別任務，您也可以存取詳細資訊，例如任務組態設定的明細。如果任務已執行，詳細資訊也會提供對敏感資料調查結果和任務產生之其他類型結果的直接存取權。

**檢閱您的任務庫存**

請依照下列步驟，使用 Amazon Macie 主控台檢閱您的任務庫存。若要以程式設計方式存取您的庫存，請使用 Amazon Macie API 的 [ListClassificationJobs](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-list.html) 操作。

1. 開啟位於 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 的 Amazon Macie 主控台。

1. 在導覽窗格中，選擇 **Jobs (任務)**。**任務**頁面會開啟並顯示庫存中的任務數量，以及這些任務的資料表。

1. 在頁面頂端，選擇性地選擇重新整理 (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/btn-refresh-data.png)) 以擷取每個任務的目前狀態。

1. 在**任務**表格中，檢閱任務的摘要資訊：
   + **任務名稱** – 任務的名稱。
   + **資源** – 任務是否設定為分析符合執行時間條件的特定 S3 儲存貯體或儲存貯體中的物件。如果您明確選取要分析任務的儲存貯體，此欄位會指出您選取的儲存貯體數量。如果您將任務設定為使用執行時間條件，則此欄位的值是以**條件為基礎**。
   + **任務類型** – 任務是否設定為執行一次 (**一次性**) 或定期執行 (**排程**)。
   + **狀態** – 任務的目前狀態。若要進一步了解此值，請參閱 [檢查任務的狀態](discovery-jobs-status-check.md)。
   + **建立時間**：建立任務的時間。

1. 若要更快速地分析庫存或尋找特定任務，請執行下列任一動作：
   + 若要依特定欄位排序資料表，請選擇欄位的欄位標題。若要變更排序順序，請再次選擇欄標題。
   + 若要僅顯示具有特定欄位值的任務，請將游標放在篩選方塊中。在出現的功能表中，選擇要用於篩選條件的欄位，然後輸入篩選條件的值。接著選擇 **Apply (套用)**。
   + 若要隱藏具有特定欄位值的任務，請將游標放在篩選條件方塊中。在出現的功能表中，選擇要用於篩選條件的欄位，然後輸入篩選條件的值。接著選擇 **Apply (套用)**。在篩選條件方塊中，選擇篩選條件的等於圖示 (![\[The equals icon, which is a solid gray circle.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/icon-operator-equals.png))。這會將篩選條件的運算子從*等於* 變更為*不等於 *(![\[The not equals icon, which is an empty gray circle that has a backslash in it.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/icon-operator-not-equals.png))。
   + 若要移除篩選條件，請選擇要移除篩選條件的移除篩選條件圖示 (![\[The remove filter condition icon, which is a circle that has an X in it.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/icon-filter-remove.png))。

1. 若要檢閱特定任務的其他設定和詳細資訊，請選擇任務的名稱。然後，請參閱詳細資訊面板。如需這些詳細資訊的詳細資訊，請參閱 [檢閱任務的組態設定](discovery-jobs-manage-settings.md)。

# 檢閱敏感資料探索任務的設定
<a name="discovery-jobs-manage-settings"></a>

在 Amazon Macie 主控台上，您可以使用**任務**頁面上的詳細資訊面板來檢閱組態設定，以及個別敏感資料探索任務的其他資訊。例如，您可以檢閱任務設定為分析的 Amazon Simple Storage Service (Amazon S3) 儲存貯體清單。您也可以判斷在分析這些儲存貯體中的物件時，任務設定為使用的受管和自訂資料識別符。

請注意，您無法變更現有任務的任何組態設定。這有助於確保您擁有不可變的敏感資料調查結果歷史記錄，以及您執行的資料隱私權和保護稽核或調查的探索結果。

如果您想要變更現有的任務，您可以[取消任務](discovery-jobs-status-change.md)。然後[複製任務](discovery-jobs-manage-copy.md)、設定副本以使用您想要的設定，並將副本儲存為新任務。如果您這樣做，您也應該採取步驟，以確保新任務不會再次以相同方式分析現有資料。若要這樣做，請注意取消現有任務的日期和時間。然後設定新任務的範圍，只包含在您取消原始任務之後建立或變更的物件。例如，您可以使用[物件條件](discovery-jobs-scope.md#discovery-jobs-scope-criteria)來定義排除條件，指定取消原始任務的時間。

**檢閱任務的組態設定**

請依照下列步驟，使用 Amazon Macie 主控台檢閱任務的組態設定。若要以程式設計方式檢閱設定，請使用 Amazon Macie API 的 [DescribeClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-jobid.html) 操作。

1. 在 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。

1. 在導覽窗格中，選擇 **Jobs (任務)**。**任務**頁面會開啟，並顯示庫存中的任務數量，以及這些任務的資料表。

1. 在**任務**表格中，選擇您要檢閱其設定的任務名稱。若要更快速地尋找任務，您可以使用資料表上方的篩選條件選項來篩選資料表。您也可以依特定欄位以遞增或遞減順序排序資料表。

當您在資料表中選擇任務時，詳細資訊面板會顯示任務的組態設定和任務的其他資訊。根據任務的設定，面板包含下列區段。

**一般資訊**  
本節提供有關任務的一般資訊。例如，它會顯示任務的 Amazon Resource Name (ARN)、任務最近開始執行的時間，以及任務的目前狀態。如果您暫停任務，此區段也會指出您暫停任務的時間，以及任務或最新任務執行過期的時間，或者如果您不繼續，則會過期。

**統計資料**  
本節顯示任務的處理統計資料。例如，它會指定任務已執行的次數，以及任務目前執行期間尚未處理的 S3 物件大致數量。

**Scope (範圍)**  
本節指出任務執行的頻率。它也會顯示縮小任務範圍的設定，例如[取樣深度](discovery-jobs-scope.md#discovery-jobs-scope-sampling)，以及分析中包含或排除 S3 物件的任何[物件條件](discovery-jobs-scope.md#discovery-jobs-scope-criteria)。

**S3 儲存貯體**  
如果任務設定為分析您在建立任務時明確選取的儲存貯體，則此區段會顯示在面板中。它表示任務 AWS 帳戶 設定為分析資料的數目。它也會指出任務設定為分析的儲存貯體數量，以及這些儲存貯體的名稱 （依帳戶分組）。  
若要以 JSON 格式顯示帳戶和儲存貯體的完整清單，請在**總儲存貯**體欄位中選擇數字。

**S3 儲存貯體條件**  
如果任務使用執行時間條件來判斷要分析的儲存貯體，則此區段會出現在面板中。它列出任務設定為使用的條件。若要以 JSON 格式顯示條件，請選擇**詳細資訊**。然後在出現的視窗中選擇**條件**索引標籤。  
若要檢閱目前符合條件的儲存貯體清單，請選擇**詳細資訊**。然後在顯示的視窗中選擇**相符儲存貯**體索引標籤。選擇性地選擇重新整理 (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/btn-refresh-data.png)) 以擷取最新的資料。標籤列出最多 25 個目前符合條件的儲存貯體。  
如果任務已執行，您也可以判斷任務執行時是否有任何儲存貯體符合條件，如果符合，則會判斷這些儲存貯體的名稱。若要這樣做，請檢閱任務的日誌事件：選擇面板頂端的**顯示結果**，然後選擇**顯示 CloudWatch 日誌**。Macie 會開啟 Amazon CloudWatch 主控台，並顯示任務的日誌事件表格。事件包含符合條件且包含在任務分析中的每個儲存貯體`BUCKET_MATCHED_THE_CRITERIA`的事件。如需詳細資訊，請參閱[使用 CloudWatch Logs 監控任務](discovery-jobs-monitor-cw-logs.md)。

**自訂資料識別符**  
如果任務設定為使用一或多個[自訂資料識別符](custom-data-identifiers.md)，則此區段會出現在面板中。它會指定這些自訂資料識別符的名稱。

**允許清單**  
如果任務設定為使用一或多個[允許清單](allow-lists.md)，則此區段會出現在面板中。它會指定這些清單的名稱。若要檢閱清單的設定和狀態，請選擇清單名稱旁的連結圖示 (![\[The link icon, which is a blue box that has an arrow in it.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/icon-view-resource-blue.png))。

**受管資料識別符**  
本節指出任務設定為使用的[受管資料識別符](managed-data-identifiers.md)。這取決於任務的受管資料識別符選取類型：  
+ **建議** – 在任務執行時，使用[建議集合](discovery-jobs-mdis-recommended.md)中的受管資料識別符。
+ **包含選取的** - 僅使用**選取**區段中列出的受管資料識別符。
+ **全部包含** – 使用任務執行時可用的所有受管資料識別符。
+ **排除選取的**項目 – 使用任務執行時可用的所有受管資料識別符，但**選取**區段中列出的項目除外。
+ **全部排除** – 請勿使用任何受管資料識別符。僅使用指定的自訂資料識別符。
若要以 JSON 格式檢閱這些設定，請選擇**詳細資訊**。

**Tags** (標籤)  
如果標籤指派給任務，則此區段會出現在面板中。它會列出這些標籤。 *標籤* 是您定義並指派給特定資源類型的標籤 AWS 。每個標籤都包含必要的標籤索引鍵和選用的標籤值。如需詳細資訊，請參閱 [標記 Macie 資源](tagging-resources.md)。

若要檢閱並儲存 JSON 格式的任務設定，請在面板頂端選擇任務的唯一識別符 (**任務 ID**)。然後選擇**下載**。

# 檢查敏感資料探索任務的狀態
<a name="discovery-jobs-status-check"></a>

當您建立敏感資料探索任務時，其初始狀態為**作用中 （執行中）** 或**作用中 （閒置）**，取決於任務的類型和排程。然後，任務會通過其他狀態，您可以隨著任務進行監控。

**提示**  
除了監控任務的整體狀態之外，您還可以監控隨著任務進行而發生的特定事件。您可以使用 Amazon Macie 自動發佈至 Amazon CloudWatch Logs 的記錄資料來執行此操作。這些日誌中的資料提供任務狀態變更的記錄，以及任務執行期間發生的任何帳戶或儲存貯體層級錯誤的詳細資訊。如需詳細資訊，請參閱[使用 CloudWatch Logs 監控任務](discovery-jobs-monitor-cw-logs.md)。

**檢查 工作的狀態**

請依照下列步驟，使用 Amazon Macie 主控台檢查任務的狀態。若要以程式設計方式檢查任務的狀態，請使用 Amazon Macie API 的 [DescribeClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-jobid.html) 操作。

1. 開啟位於 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 的 Amazon Macie 主控台。

1. 在導覽窗格中，選擇 **Jobs (任務)**。**任務**頁面會開啟並顯示庫存中的任務數量，以及這些任務的資料表。

1. 在頁面頂端，選擇重新整理 (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/btn-refresh-data.png)) 以擷取每個任務的目前狀態。

1. 在**任務**表格中，找到您要檢查其狀態的任務。若要更快速地尋找任務，您可以使用資料表上方的篩選條件選項來篩選資料表。您也可以依特定欄位以遞增或遞減順序排序資料表。

1. 請參閱 資料表中的**狀態**欄位。此欄位表示任務的目前狀態。

任務的狀態可以是下列其中一項。

**作用中 （閒置）**  
對於定期任務，先前的執行已完成，且下一個排程的執行處於待定狀態。此值不適用於一次性任務。

**作用中 （執行中）**  
對於一次性任務，任務目前正在進行中。針對定期任務，排程執行正在進行中。

**已取消**  
對於任何類型的任務，任務已永久停止 （已取消）。  
如果您明確取消任務，或者如果任務是一次性任務，則您已暫停任務，並且未在 30 天內恢復任務，則任務會具有此狀態。如果您先前在目前的 中[暫停 Macie](suspend-macie.md)，任務也可以具有此狀態 AWS 區域。

**完成**  
對於一次性任務，任務已成功執行，現在已完成。此值不適用於定期任務。相反地，每次執行成功完成時，定期任務的狀態會變更為**作用中 （閒置）**。

**暫停 （透過 Macie)**  
對於任何類型的任務，Macie 暫時停止 （暫停） 任務。  
如果完成任務或任務執行將超過您帳戶的每月[敏感資料探索配額](macie-quotas.md)，則任務具有此狀態。發生這種情況時，Macie 會自動暫停任務。Macie 會在下一個日曆月開始時自動繼續任務，並重設您帳戶的每月配額，或者增加您帳戶的配額。  
如果您是組織的 Macie 管理員，並且已設定任務來分析成員帳戶的資料，則如果完成任務或任務執行將超過成員帳戶的每月敏感資料探索配額，則任務也可以具有此狀態。  
如果任務正在執行，且合格物件的分析達到成員帳戶的此配額，則任務會停止分析帳戶擁有的物件。當任務完成分析所有其他不符合配額帳戶的物件時，Macie 會自動暫停任務。如果是一次性任務，Macie 會在下一個日曆月開始時自動繼續任務，或提高所有受影響帳戶的配額，以先發生者為準。如果是定期任務，Macie 會在下一次執行排定開始或下一個日曆月開始時自動繼續任務，以先發生者為準。如果排程執行在下一個日曆月開始之前開始，或受影響帳戶的配額增加，則任務不會分析帳戶擁有的物件。

**已暫停 （依使用者）**  
對於任何類型的任務，您暫時停止 （暫停） 任務。  
如果您暫停一次性任務，但未在 30 天內繼續，任務會過期，且 Macie 會將其取消。如果您在定期任務主動執行時暫停任務，且未在 30 天內繼續，任務的執行會過期，且 Macie 會取消執行。若要檢查暫停任務或任務執行的過期日期，請在資料表中選擇任務的名稱，然後參考詳細資訊面板中**狀態詳細資訊**區段中的**過期**欄位。

如果任務已取消或暫停，您可以參考任務的詳細資訊，以判斷任務是否開始執行，或是定期任務在取消或暫停之前至少執行一次。若要這樣做，請在任務表格中選擇**任務**的名稱，然後參考詳細資訊面板。在面板中，**執行數量**欄位指出任務已執行的次數。**上次執行時間**欄位指出任務開始執行的最新日期和時間。

根據任務的目前狀態，您可以選擇暫停、繼續或取消任務。如需詳細資訊，請參閱[變更任務的狀態](discovery-jobs-status-change.md)。

# 變更敏感資料探索任務的狀態
<a name="discovery-jobs-status-change"></a>

建立敏感資料探索任務之後，您可以暫時暫停或取消它。當您暫停正在執行的任務時，Amazon Macie 會立即開始暫停任務的所有處理任務。當您取消正在執行的任務時，Macie 會立即開始停止該任務的所有處理任務。您無法在任務取消後繼續或重新啟動任務。

如果您暫停一次性任務，您可以在 30 天內繼續。當您繼續任務時，Macie 會立即從暫停任務的點繼續處理。Macie 不會從頭開始重新啟動任務。如果您未在暫停任務的 30 天內繼續一次性任務，任務會過期，且 Macie 會將其取消。

如果您暫停定期任務，您可以隨時繼續。如果您繼續定期任務，且任務在暫停時處於閒置狀態，Macie 會根據您建立任務時選擇的排程和其他組態設定繼續任務。如果您繼續定期任務並在暫停時主動執行任務，Macie 如何繼續任務取決於您何時繼續任務：
+ 如果您在暫停任務的 30 天內繼續任務，Macie 會立即從暫停任務的時間點繼續最新的排程執行。Macie 不會從頭開始重新啟動執行。
+ 如果您未在暫停任務的 30 天內繼續任務，則最新的排程執行會過期，且 Macie 會取消執行的所有剩餘處理任務。當您後續繼續任務時，Macie 會根據您建立任務時選擇的排程和其他組態設定繼續任務。

為了協助您判斷暫停的任務或任務執行何時過期，Macie 會在任務暫停時將過期日期新增至任務的詳細資訊。此外，我們會在任務或任務執行即將到期的大約七天前通知您。當任務或任務執行過期並取消時，我們會再次通知您。為了通知您，我們會傳送電子郵件到與您的 相關聯的地址 AWS 帳戶。我們也為您的帳戶建立 AWS Health 事件和 Amazon CloudWatch Events。若要使用主控台檢查過期日期，請在任務頁面的表格中選擇**任務**的名稱。然後，請參閱詳細資訊面板中**狀態詳細資訊**區段中的**過期**欄位。若要以程式設計方式檢查日期，請使用 Amazon Macie API 的 [DescribeClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-jobid.html) 操作。

**暫停、繼續或取消任務**

若要使用 Amazon Macie 主控台暫停、繼續或取消任務，請遵循下列步驟。若要以程式設計方式執行此操作，請使用 Amazon Macie API 的 [UpdateClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-jobid.html) 操作。

1. 開啟位於 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 的 Amazon Macie 主控台。

1. 在導覽窗格中，選擇 **Jobs (任務)**。**任務**頁面會開啟並顯示庫存中的任務數量，以及這些任務的資料表。

1. 在頁面頂端，選擇重新整理 (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/btn-refresh-data.png)) 以擷取每個任務的目前狀態。

1. 在**任務**表格中，選取您要暫停、繼續或取消之任務的核取方塊。若要更快速地尋找任務，您可以使用資料表上方的篩選條件選項來篩選資料表。您也可以依特定欄位以遞增或遞減順序排序資料表。

1. 在**動作**功能表上，執行下列其中一項操作：
   + 若要暫時暫停任務，請選擇**暫停**。此選項僅在任務的目前狀態為**作用中 （閒置）**、**作用中 （執行中）** 或**已暫停 （透過 Macie)** 時可用。
   + 若要繼續任務，請選擇**繼續**。只有在任務的目前狀態為**已暫停 （依使用者）** 時，才能使用此選項。
   + 若要永久取消任務，請選擇**取消**。如果您選擇此選項，您之後就無法繼續或重新啟動任務。

# 複製敏感資料探索任務
<a name="discovery-jobs-manage-copy"></a>

若要快速建立與現有任務類似的敏感資料探索任務，您可以建立現有任務的副本。然後，您可以編輯副本的設定，並將副本儲存為新任務。這對於您想要以相同方式分析不同資料集，或以不同方式分析相同資料集的情況很有幫助。如果您想要調整現有任務的組態設定，也可以很有幫助：取消現有任務、進行複製，然後調整並將副本儲存為新任務。

**複製任務**

請依照下列步驟，使用 Amazon Macie 主控台複製任務。若要以程式設計方式複製任務，請使用 Amazon Macie API 的 [DescribeClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-jobid.html) 操作來擷取您要複製之任務的組態設定。然後使用 [CreateClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs.html) 操作來建立任務的副本。

1. 開啟位於 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 的 Amazon Macie 主控台。

1. 在導覽窗格中，選擇 **Jobs (任務)**。**任務**頁面會開啟，並顯示庫存中的任務數量，以及這些任務的資料表。

1. 在**任務**表格中，選取您要複製之任務的核取方塊。若要更快速地尋找任務，您可以使用資料表上方的篩選條件選項來篩選資料表。您也可以依特定欄位以遞增或遞減順序排序資料表。

1. 在**動作**功能表中，選擇**複製到新的** 。

1. 完成主控台上的步驟，以檢閱和調整任務副本的設定。對於**縮小範圍**步驟，請考慮選擇選項，以防止任務再次以相同方式分析現有資料：
   + 對於一次性任務，請使用[物件條件](discovery-jobs-scope.md#discovery-jobs-scope-criteria)來僅包含在特定時間之後建立或變更的物件。例如，如果您要建立已取消之任務的副本，請新增**上次修改**的條件，指定您取消現有任務的日期和時間。
   + 對於定期任務，請清除**包含現有物件**核取方塊。如果您這樣做，任務的第一次執行只會分析在您建立任務之後和任務第一次執行之前建立或變更的物件。您也可以使用[物件條件](discovery-jobs-scope.md#discovery-jobs-scope-criteria)來排除在特定日期和時間之前上次修改的物件。

   如需此步驟和其他步驟的其他詳細資訊，請參閱 [建立敏感資料探索任務](discovery-jobs-create.md)。

1. 完成後，請選擇**提交**，將副本儲存為新任務。

如果您將任務設定為每天執行一次，或在一週或一個月的當天執行，Macie 會在您儲存任務後立即開始執行任務。否則，Macie 會準備在一週或月份的指定日期執行任務。若要監控任務，您可以[檢查任務的狀態](discovery-jobs-status-check.md)。

# 使用 CloudWatch Logs 監控敏感資料探索任務
<a name="discovery-jobs-monitor-cw-logs"></a>

除了[監控敏感資料探索任務的整體狀態](discovery-jobs-status-check.md)之外，您還可以監控和分析隨著任務進度發生的特定事件。您可以使用 Amazon Macie 自動發佈至 Amazon CloudWatch Logs 的近乎即時的記錄資料來執行此操作。這些日誌中的資料會提供任務進度或狀態的變更記錄。例如，您可以使用資料來判斷任務開始執行、暫停或完成執行的確切日期和時間。

日誌資料也提供任務執行期間發生的任何帳戶層級或儲存貯體層級錯誤的詳細資訊。例如，如果 Amazon Simple Storage Service (Amazon S3) 儲存貯體的許可設定阻止任務分析儲存貯體中的物件，則 Macie 會記錄事件。事件指出錯誤發生的時間，並識別受影響的儲存貯體和擁有儲存貯 AWS 帳戶 體的 。這些事件類型的資料可協助您識別、調查和解決導致 Macie 無法分析所需資料的錯誤。

使用 Amazon CloudWatch Logs，您可以從多個系統、應用程式以及 AWS 服務 Macie 監控、存放和存取日誌檔案。您也可以查詢和分析日誌資料，並設定 CloudWatch Logs 在特定事件發生或達到閾值時通知您。CloudWatch Logs 也提供封存日誌資料並將資料匯出至 Amazon S3 的功能。若要進一步了解 CloudWatch Logs，請參閱 [Amazon CloudWatch Logs 使用者指南](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html)。

**Topics**
+ [記錄如何適用於 任務](discovery-jobs-monitor-cw-logs-configure.md)
+ [檢閱任務的日誌](discovery-jobs-monitor-cw-logs-review.md)
+ [了解任務的日誌事件](discovery-jobs-monitor-cw-logs-ref.md)

# 記錄如何適用於敏感資料探索任務
<a name="discovery-jobs-monitor-cw-logs-configure"></a>

當您開始執行敏感資料探索任務時，Amazon Macie 會自動在 Amazon CloudWatch Logs 中建立和設定適當的資源，以記錄所有任務的事件。然後，Macie 會在任務執行時自動將事件資料發佈到這些資源。您帳戶的 Macie [服務連結角色](service-linked-roles.md)的許可政策允許 Macie 代表您執行這些任務。您不需要採取任何步驟，即可在 CloudWatch Logs 中建立或設定資源，以記錄任務的事件資料。

在 CloudWatch Logs 中，日誌會組織成*日誌群組*。每個日誌群組都包含*日誌串流*。每個日誌串流都包含*日誌事件*。這些資源的一般用途如下：
+ *日誌群組*是共用相同保留、監控和存取控制設定的日誌串流集合，例如所有敏感資料探索任務的日誌集合。
+ *日誌串流*是一系列共用相同來源的日誌事件，例如個別敏感資料探索任務。
+ *日誌事件*是由應用程式或資源記錄的活動記錄，例如，Macie 為特定敏感資料探索任務記錄和發佈的個別事件。

Macie 會將所有敏感資料探索任務的事件發佈至一個日誌群組。每個任務在該日誌群組中都有唯一的日誌串流。日誌群組具有下列字首和名稱：

`/aws/macie/classificationjobs`

如果此日誌群組已存在，Macie 會使用它來存放任務的日誌事件。如果您的組織使用自動化組態，例如 [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)來建立具有預先定義保留期的日誌群組、加密設定、標籤、指標篩選條件等，以處理任務事件，這會很有幫助。

如果此日誌群組不存在，Macie 會使用 CloudWatch Logs 用於新日誌群組的預設設定來建立日誌群組。這些設定包含**永不過期的日誌保留期間**，這表示 CloudWatch Logs 無限期存放日誌。您可以變更日誌群組的保留期間。若要了解如何使用，請參閱[《Amazon CloudWatch Logs 使用者指南》中的使用日誌群組和日誌串流](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html)。 *Amazon CloudWatch *

在此日誌群組中，Macie 會在任務第一次執行時，為您執行的每個任務建立唯一的日誌串流。日誌串流的名稱是任務的唯一識別符，例如 `85a55dc0fa6ed0be5939d0408example`，格式如下：

`/aws/macie/classificationjobs/85a55dc0fa6ed0be5939d0408example`

每個日誌串流都包含 Macie 針對對應任務記錄和發佈的所有日誌事件。對於定期任務，這包含所有任務執行的事件。如果您刪除定期任務的日誌串流，Macie 會在任務下次執行時再次建立串流。如果您刪除一次性任務的日誌串流，則無法還原它。

請注意，預設會針對您的所有任務啟用記錄。您無法停用它，或防止 Macie 將任務事件發佈至 CloudWatch Logs。如果您不想存放日誌，您可以將日誌群組的保留期間縮短為最短一天。在保留期間結束時，CloudWatch Logs 會自動從日誌群組刪除過期的事件資料。



# 檢閱敏感資料探索任務的日誌
<a name="discovery-jobs-monitor-cw-logs-review"></a>

在 Amazon Macie 中開始執行敏感資料探索任務後，您可以使用 Amazon CloudWatch Logs 檢閱任務的日誌。CloudWatch Logs 提供的功能旨在協助您檢閱、分析和監控日誌資料。您可以使用這些功能來處理任務的日誌串流和事件，就像在 CloudWatch Logs 中處理任何其他類型的日誌資料一樣。

例如，您可以搜尋和篩選彙總資料，以識別在特定時間範圍內所有任務發生的特定事件類型。或者，您可以對特定任務發生的所有事件執行目標審查。CloudWatch Logs 也提供監控日誌資料、定義指標篩選條件和建立自訂警示的選項。

**提示**  
若要快速導覽至特定任務的日誌資料，您可以使用 Amazon Macie 主控台。若要這樣做，請在任務頁面上選擇**任務**的名稱。在詳細資訊面板頂端，選擇**顯示結果**，然後選擇**顯示 CloudWatch 日誌**。Macie 會開啟 Amazon CloudWatch 主控台，並顯示任務的日誌事件資料表。

**檢閱敏感資料探索任務的日誌**

請依照下列步驟，使用 Amazon CloudWatch 主控台導覽至和檢閱日誌資料。若要以程式設計方式檢閱資料，請使用 [Amazon CloudWatch Logs API](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/Welcome.html)。

1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。

1. 使用頁面右上角的 AWS 區域 選取器，選擇您要檢閱日誌執行任務的區域。

1. 在導覽窗格中，選擇 **Logs** (日誌)，然後選擇 **Log groups** (日誌群組)。

1. 在**日誌群組**頁面上，選擇 **/aws/macie/classificationjobs** 日誌群組。CloudWatch 會顯示您已執行之任務的日誌串流資料表。每個任務都有一個唯一的串流。每個串流的名稱與任務的唯一識別符相關聯。

1. 在**日誌串流**索引標籤上，執行下列其中一項：
   + 若要檢閱特定任務的日誌事件，請選擇任務的日誌串流。若要更輕鬆地尋找串流，請在資料表上方的篩選方塊中輸入任務的唯一識別符。選擇日誌串流後，CloudWatch 會顯示任務的日誌事件資料表。
   + 若要檢閱所有任務的日誌事件，請選擇**搜尋所有日誌串流**。CloudWatch 會顯示所有任務的日誌事件資料表。

1. （選用） 在資料表上方的篩選條件方塊中，輸入指定要檢閱之特定事件特性的詞彙、片語或值。如需詳細資訊，請參閱《*Amazon CloudWatch Logs 使用者指南》中的*[使用篩選模式搜尋日誌資料](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/SearchDataFilterPattern.html)。

1. 若要檢閱特定日誌事件的詳細資訊，請在事件的資料列中選擇展開 (![\[The expand row icon, which is a right-facing solid arrow.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/icon-caret-right-filled.png))。CloudWatch 會以 JSON 格式顯示事件的詳細資訊。若要進一步了解這些詳細資訊，請參閱 [了解任務的日誌事件](discovery-jobs-monitor-cw-logs-ref.md)。

當您熟悉日誌事件中的資料時，您可以執行其他任務，以簡化資料的分析和監控。例如，您可以[建立指標篩選條件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/MonitoringLogData.html)，將日誌資料轉換為數值 CloudWatch 指標。您也可以[建立自訂警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html)，讓您更輕鬆地識別和回應特定日誌事件。如需詳細資訊，請參閱 [Amazon CloudWatch Logs 使用者指南](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html)。

# 了解敏感資料探索任務的日誌事件
<a name="discovery-jobs-monitor-cw-logs-ref"></a>

為了協助您監控敏感資料探索任務，Amazon Macie 會自動將任務的記錄資料發佈至 Amazon CloudWatch Logs。這些日誌中的資料會提供任務進度或狀態的變更記錄。例如，您可以使用資料來判斷任務開始執行或完成執行的確切日期和時間。資料也提供任務執行時可能發生之特定類型錯誤的詳細資訊。此資料可協助您識別、調查和解決防止 Macie 分析所需資料的錯誤。

當您開始執行任務時，Macie 會自動在 CloudWatch Logs 中建立和設定適當的資源，以記錄所有任務的事件。然後，Macie 會在任務執行時自動將事件資料發佈至這些資源。如需詳細資訊，請參閱[記錄如何適用於 任務](discovery-jobs-monitor-cw-logs-configure.md)。

透過使用 CloudWatch Logs，您可以查詢和分析任務的日誌資料。例如，您可以搜尋和篩選彙總資料，以識別在特定時間範圍內所有任務發生的特定事件類型。或者，您可以對特定任務發生的所有事件執行目標審查。CloudWatch Logs 也提供監控日誌資料、定義指標篩選條件和建立自訂警示的選項。例如，您可以設定 CloudWatch Logs，以便在任務執行時發生特定類型的事件時通知您。如需詳細資訊，請參閱 [Amazon CloudWatch Logs 使用者指南](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html)。

**Contents**
+ [任務的日誌事件結構描述](#discovery-jobs-monitor-cw-logs-schema)
+ [任務的日誌事件類型](#discovery-jobs-monitor-cw-logs-event-index)
  + [任務狀態事件](#discovery-jobs-monitor-cw-logs-event-index-status)
  + [帳戶層級錯誤事件](#discovery-jobs-monitor-cw-logs-event-index-account-errors)
  + [儲存貯體層級錯誤事件](#discovery-jobs-monitor-cw-logs-event-index-bucket-errors)

## 敏感資料探索任務的日誌事件結構描述
<a name="discovery-jobs-monitor-cw-logs-schema"></a>

敏感資料探索任務的每個日誌事件都是 JSON 物件，其中包含一組標準欄位，並符合 Amazon CloudWatch Logs 事件結構描述。某些類型的事件具有額外的欄位，可提供對該類型事件特別有用的資訊。例如，帳戶層級錯誤的事件包括受影響 的帳戶 ID AWS 帳戶。儲存貯體層級錯誤的事件包括受影響的 Amazon Simple Storage Service (Amazon S3) 儲存貯體的名稱。

下列範例顯示敏感資料探索任務的日誌事件結構描述。在此範例中，事件報告 Amazon Macie 無法分析 S3 儲存貯體中的任何物件，因為 Amazon S3 拒絕存取儲存貯體。

```
{
    "adminAccountId": "123456789012",
    "jobId": "85a55dc0fa6ed0be5939d0408example",
    "eventType": "BUCKET_ACCESS_DENIED",
    "occurredAt": "2024-04-14T17:11:30.574809Z",
    "description": "Macie doesn’t have permission to access the affected S3 bucket.",
    "jobName": "My_Macie_Job",
    "operation": "ListObjectsV2",
    "runDate": "2024-04-14T17:08:30.345809Z",
    "affectedAccount": "111122223333",
    "affectedResource": {
        "type": "S3_BUCKET_NAME",
        "value": "amzn-s3-demo-bucket"
    }
}
```

在上述範例中，Macie 嘗試使用 Amazon S3 API 的 [ListObjectsV2](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html) 操作列出儲存貯體的物件。當 Macie 將請求傳送到 Amazon S3 時，Amazon S3 拒絕存取儲存貯體。

下列欄位常見於敏感資料探索任務的所有日誌事件：
+ `adminAccountId` – AWS 帳戶 建立任務之 的唯一識別符。
+ `jobId` – 任務的唯一識別符。
+ `eventType` – 發生的事件類型。
+ `occurredAt` – 事件發生時的日期和時間，以國際標準時間 (UTC) 和擴充 ISO 8601 格式顯示。
+ `description` – 事件的簡短描述。
+ `jobName` – 任務的名稱。

根據事件的類型和性質，日誌事件也可以包含下列欄位：
+ `affectedAccount` – 擁有受影響資源 AWS 帳戶 之 的唯一識別符。
+ `affectedResource` – 提供受影響資源詳細資訊的 JSON 物件。在 物件中， `type` 欄位會指定儲存資源中繼資料的欄位。`value` 欄位指定 欄位 () 的值`type`。
+ `operation` – Macie 嘗試執行並導致錯誤的操作。
+ `runDate` – 適用任務或任務執行開始時，以國際標準時間 (UTC) 和擴充 ISO 8601 格式顯示的日期和時間。

## 敏感資料探索任務的日誌事件類型
<a name="discovery-jobs-monitor-cw-logs-event-index"></a>

Amazon Macie 會針對敏感資料探索任務可能發生的三種事件類別發佈日誌事件：
+ 任務狀態事件，記錄任務或任務執行的狀態或進度變更。
+ 帳戶層級錯誤事件，會記錄導致 Macie 無法分析特定 Amazon S3 資料的錯誤 AWS 帳戶。
+ 儲存貯體層級錯誤事件，會記錄導致 Macie 無法分析特定 S3 儲存貯體中資料的錯誤。

本節中的主題會列出並描述 Macie 為每個類別發佈的事件類型。

### 任務狀態事件
<a name="discovery-jobs-monitor-cw-logs-event-index-status"></a>

任務狀態事件會記錄任務或任務執行的狀態或進度變更。對於定期任務，Macie 會為整體任務和個別任務執行記錄和發佈這些事件。

下列範例使用範例資料來顯示任務狀態事件中欄位的結構和性質。在此範例中，`SCHEDULED_RUN_COMPLETED`事件表示定期任務的排程執行已完成。執行於 2024 年 4 月 14 日 UTC 17：09：30 開始，如 `runDate` 欄位所示。執行已於 2024 年 4 月 14 日 UTC 17：16：30 完成，如 `occurredAt` 欄位所示。

```
{
    "adminAccountId": "123456789012",
    "jobId": "ffad0e71455f38a4c7c220f3cexample",
    "eventType": "SCHEDULED_RUN_COMPLETED",
    "occurredAt": "2024-04-14T17:16:30.574809Z",
    "description": "The scheduled job run finished running.",
    "jobName": "My_Daily_Macie_Job",
    "runDate": "2024-04-14T17:09:30.574809Z"
}
```

下表列出並說明 Macie 記錄並發佈至 CloudWatch Logs 的任務狀態事件類型。**事件類型**欄指出每個事件的名稱，如事件的 `eventType` 欄位中所示。**描述**欄提供事件在事件 `description` 欄位中顯示的簡短描述。**其他資訊**提供有關事件套用之任務類型的資訊。資料表會先依事件可能發生的一般時間順序排序，然後依事件類型遞增字母順序排序。


| 事件類型 | Description | 其他資訊 | 
| --- | --- | --- | 
|  JOB\$1CREATED  |  任務已建立。  |  適用於一次性和定期任務。  | 
| ONE\$1TIME\$1JOB\$1STARTED |  任務已開始執行。  |  僅適用於一次性任務。  | 
|  SCHEDULED\$1RUN\$1STARTED  |  排程的任務執行已開始執行。  |  僅適用於定期任務。若要記錄一次性任務的開始，Macie 會發佈 ONE\$1TIME\$1JOB\$1STARTED 事件，而不是此類型的事件。  | 
|  BUCKET\$1MATCHED\$1THE\$1CRITERIA  |  受影響的儲存貯體符合為任務指定的儲存貯體條件。  |  適用於使用執行時間儲存貯體條件來判斷要分析哪些 S3 儲存貯體的一次性和定期任務。 `affectedResource` 物件會指定符合條件且包含在任務分析中的儲存貯體名稱。  | 
|  NO\$1BUCKETS\$1MATCHED\$1THE\$1CRITERIA  |  任務已開始執行，但目前沒有儲存貯體符合為任務指定的儲存貯體條件。任務未分析任何資料。  |  適用於使用執行時間儲存貯體條件來判斷要分析哪些 S3 儲存貯體的一次性和定期任務。  | 
| SCHEDULED\$1RUN\$1COMPLETED |  排程任務執行已完成執行。  |  僅適用於定期任務。為了記錄一次性任務的完成，Macie 發佈 JOB\$1COMPLETED 事件，而不是此類型的事件。  | 
|  JOB\$1PAUSED\$1BY\$1USER  |  使用者已暫停任務。  |  適用於您暫時停止 （暫停） 的一次性和定期任務。  | 
|  JOB\$1RESUMED\$1BY\$1USER  |  任務已由使用者繼續。  |  適用於您暫時停止 （暫停） 和稍後繼續的一次性和定期任務。  | 
|  JOB\$1PAUSED\$1BY\$1MACIE\$1SERVICE\$1QUOTA\$1MET  |  Macie 已暫停任務。完成任務將超過受影響帳戶的每月配額。  |  適用於 Macie 暫時停止 （暫停） 的一次性和定期任務。 當任務或任務執行的額外處理超過任務分析資料的一或多個帳戶的每月[敏感資料探索配額](macie-quotas.md)時，Macie 會自動暫停任務。若要避免此問題，請考慮增加受影響帳戶的配額。  | 
|  JOB\$1RESUMED\$1BY\$1MACIE\$1SERVICE\$1QUOTA\$1LIFTED  |  Macie 已繼續任務。已取消受影響帳戶的每月服務配額。  |  適用於 Macie 暫時停止 （暫停） 及稍後繼續的一次性和定期任務。 如果 Macie 自動暫停一次性任務，Macie 會在下個月開始時自動繼續任務，或提高所有受影響帳戶的每月敏感資料探索配額，以先發生者為準。如果 Macie 自動暫停定期任務，則下次執行排定開始或下個月開始時，Macie 會自動繼續任務，以先發生者為準。  | 
|  JOB\$1CANCELLED  | 任務已取消。 |  適用於您永久停止 （取消） 的一次性和定期任務，或者，對於一次性任務，暫停且未在 30 天內恢復。 如果您暫停或停用 Macie，這種類型的事件也適用於暫停或停用 Macie 時處於作用中或已暫停的任務。 AWS 區域 如果您在 區域中暫停或停用 Macie，Macie 會自動取消您在 中的任務。  | 
|  JOB\$1COMPLETED  |  任務已完成執行。  |  僅適用於一次性任務。為了記錄定期任務的任務執行完成，Macie 發佈 SCHEDULED\$1RUN\$1COMPLETED 事件，而不是此類型的事件。  | 

### 帳戶層級錯誤事件
<a name="discovery-jobs-monitor-cw-logs-event-index-account-errors"></a>

帳戶層級錯誤事件會記錄錯誤，讓 Macie 無法分析特定 擁有之 S3 儲存貯體中的物件 AWS 帳戶。每個事件中的 `affectedAccount` 欄位會指定該帳戶的帳戶 ID。

下列範例使用範例資料來顯示帳戶層級錯誤事件中欄位的結構和性質。在此範例中，`ACCOUNT_ACCESS_DENIED`事件表示 Macie 無法分析帳戶 擁有的任何 S3 儲存貯體中的物件`444455556666`。

```
{
    "adminAccountId": "123456789012",
    "jobId": "85a55dc0fa6ed0be5939d0408example",
    "eventType": "ACCOUNT_ACCESS_DENIED",
    "occurredAt": "2024-04-14T17:08:30.585709Z",
    "description": "Macie doesn’t have permission to access S3 bucket data for the affected account.",
    "jobName": "My_Macie_Job",
    "operation": "ListBuckets",
    "runDate": "2024-04-14T17:05:27.574809Z",
    "affectedAccount": "444455556666"
}
```

下表列出並說明 Macie 記錄和發佈至 CloudWatch Logs 的帳戶層級錯誤事件類型。**事件類型**欄會指出事件`eventType`欄位中出現的每個事件名稱。**描述**欄提供事件在事件`description`欄位中顯示的簡短描述。**其他資訊**欄提供調查或解決錯誤的任何適用秘訣。資料表會依事件類型依字母順序遞增排序。


| 事件類型 | Description | 其他資訊 | 
| --- | --- | --- | 
|  ACCOUNT\$1ACCESS\$1DENIED  |  Macie 沒有存取受影響帳戶的 S3 儲存貯體資料的許可。  |  這通常是因為帳戶擁有的儲存貯體具有限制性儲存貯體政策。如需如何解決此問題的資訊，請參閱 [允許 Macie 存取 S3 儲存貯體和物件](monitoring-restrictive-s3-buckets.md)。 事件中的 `operation` 欄位值可協助您判斷哪些許可設定阻止 Macie 存取帳戶的 S3 資料。此欄位表示 Macie 在錯誤發生時嘗試執行的 Amazon S3 操作。  | 
| ACCOUNT\$1DISABLED |  任務略過了受影響帳戶所擁有的資源。帳戶已停用 Macie。  |  若要解決此問題，請為相同 中的帳戶重新啟用 Macie AWS 區域。  | 
| ACCOUNT\$1DISASSOCIATED |  任務略過了受影響帳戶所擁有的資源。該帳戶不再與您的 Macie 管理員帳戶關聯為成員帳戶。  |  身為組織的 Macie 管理員，如果您設定任務來分析成員帳戶的資料，而帳戶稍後會從組織中移除，就會發生這種情況。 若要解決此問題，請將受影響的帳戶與 Macie 管理員帳戶重新關聯為成員帳戶。如需詳細資訊，請參閱[管理多個 帳戶](macie-accounts.md)。  | 
|  ACCOUNT\$1ISOLATED  |  任務略過了受影響帳戶所擁有的資源。 AWS 帳戶 已隔離 。  |  –  | 
|  ACCOUNT\$1REGION\$1DISABLED  |  任務略過了受影響帳戶所擁有的資源。在目前的 中 AWS 帳戶 ， 不會處於作用中狀態 AWS 區域。  |  –   | 
|  ACCOUNT\$1SUSPENDED  |  任務已取消或略過受影響帳戶所擁有的資源。Macie 已暫停帳戶的 。  |  如果指定的帳戶是您自己的帳戶，當您在相同區域中暫停 Macie 時，Macie 會自動取消任務。若要解決此問題，請在 區域中重新啟用 Macie。 如果指定的帳戶是成員帳戶，請在相同區域中重新啟用該帳戶的 Macie。  | 
|  ACCOUNT\$1TERMINATED  |  任務略過了受影響帳戶所擁有的資源。 AWS 帳戶 已終止。  |  –  | 

### 儲存貯體層級錯誤事件
<a name="discovery-jobs-monitor-cw-logs-event-index-bucket-errors"></a>

儲存貯體層級錯誤事件會記錄導致 Macie 無法分析特定 S3 儲存貯體中物件的錯誤。每個事件中的 `affectedAccount` 欄位會指定 AWS 帳戶 擁有儲存貯體之 的帳戶 ID。每個事件中的`affectedResource`物件會指定儲存貯體的名稱。

下列範例使用範例資料來顯示儲存貯體層級錯誤事件中欄位的結構和性質。在此範例中，`BUCKET_ACCESS_DENIED`事件表示 Macie 無法分析 S3 儲存貯體中名為 的任何物件`amzn-s3-demo-bucket`。當 Macie 嘗試使用 Amazon S3 API 的 [ListObjectsV2](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html) 操作列出儲存貯體的物件時，Amazon S3 會拒絕存取儲存貯體。

```
{
    "adminAccountId": "123456789012",
    "jobId": "85a55dc0fa6ed0be5939d0408example",
    "eventType": "BUCKET_ACCESS_DENIED",
    "occurredAt": "2024-04-14T17:11:30.574809Z",
    "description": "Macie doesn’t have permission to access the affected S3 bucket.",
    "jobName": "My_Macie_Job",
    "operation": "ListObjectsV2",
    "runDate": "2024-04-14T17:09:30.685209Z",
    "affectedAccount": "111122223333",
    "affectedResource": {
        "type": "S3_BUCKET_NAME",
        "value": "amzn-s3-demo-bucket"
    }
}
```

下表列出並說明 Macie 記錄並發佈至 CloudWatch Logs 的儲存貯體層級錯誤事件類型。**事件類型**欄指出每個事件的名稱，如事件的 `eventType` 欄位中所示。**描述**欄提供事件在事件 `description` 欄位中顯示的簡短描述。**其他資訊**欄提供調查或解決所發生錯誤的任何適用秘訣。資料表會依事件類型依字母順序遞增排序。


| 事件類型 | Description | 其他資訊 | 
| --- | --- | --- | 
|  BUCKET\$1ACCESS\$1DENIED  |  Macie 沒有存取受影響 S3 儲存貯體的許可。  |  這通常是因為儲存貯體具有限制性儲存貯體政策。如需如何解決此問題的資訊，請參閱 [允許 Macie 存取 S3 儲存貯體和物件](monitoring-restrictive-s3-buckets.md)。 事件中的 `operation` 欄位值可協助您判斷 Macie 無法存取儲存貯體的許可設定。此欄位表示 Macie 在錯誤發生時嘗試執行的 Amazon S3 操作。  | 
|  BUCKET\$1DETAILS\$1UNAVAILABLE  |  暫時問題導致 Macie 無法擷取儲存貯體和儲存貯體物件的詳細資訊。  |  如果暫時性問題導致 Macie 無法擷取分析儲存貯體物件所需的儲存貯體和物件中繼資料，就會發生這種情況。例如，當 Macie 嘗試驗證允許存取儲存貯體時，發生 Amazon S3 例外狀況。 若要解決一次性任務的問題，請考慮建立並執行新的一次性任務，以分析儲存貯體中的物件。對於排程任務，Macie 會在下次任務執行期間嘗試再次擷取中繼資料。  | 
| BUCKET\$1DOES\$1NOT\$1EXIST |  受影響的 S3 儲存貯體已不存在。  |  這通常是因為儲存貯體已刪除而發生。  | 
|  BUCKET\$1IN\$1DIFFERENT\$1REGION  |  受影響的 S3 儲存貯體已移至不同的 AWS 區域。  |  –  | 
| BUCKET\$1OWNER\$1CHANGED |  受影響的 S3 儲存貯體擁有者已變更。Macie 不再擁有存取儲存貯體的許可。  |  如果儲存貯體的擁有權轉移到不屬於您組織的 AWS 帳戶 ，通常會發生這種情況。事件中的 `affectedAccount` 欄位指出先前擁有儲存貯體之帳戶的帳戶 ID。  | 

# 預測和監控敏感資料探索任務的成本
<a name="discovery-jobs-costs"></a>

Amazon Macie 定價部分取決於您透過執行敏感資料探索任務來分析的資料量。若要預測和監控執行敏感資料探索任務的預估成本，您可以檢閱 Macie 在您建立任務時和開始執行任務後提供的成本預估。

若要檢閱和監控您的實際成本，您可以使用 AWS 帳單與成本管理。 AWS 帳單與成本管理 提供旨在協助您追蹤和分析 成本的功能 AWS 服務，以及管理您帳戶或組織的預算。它也提供可協助您根據歷史資料預測用量成本的功能。若要進一步了解 ，請參閱 [AWS Billing 使用者指南](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-what-is.html)。

如需 Macie 定價的資訊，請參閱 [Amazon Macie 定價](https://aws.amazon.com/macie/pricing/)。

**Topics**
+ [預測任務的成本](#discovery-jobs-costs-forecast)
+ [監控任務的預估成本](#discovery-jobs-costs-track)

## 預測敏感資料探索任務的成本
<a name="discovery-jobs-costs-forecast"></a>

當您建立敏感資料探索任務時，Amazon Macie 可以在任務建立程序的兩個關鍵步驟期間計算和顯示預估成本：當您檢閱為任務選取的 S3 儲存貯體資料表時 （步驟 2)，以及檢閱任務的所有設定時 （步驟 8)。這些預估值可協助您決定是否在儲存任務之前調整任務的設定。預估值的可用性和性質取決於您為任務選擇的設定。

**檢閱個別儲存貯體的預估成本 （步驟 2)**  
如果您明確選擇要分析任務的個別儲存貯體，您可以檢閱分析每個儲存貯體中物件的預估成本。當您檢閱儲存貯體選擇時，Macie 會在任務建立程序的步驟 2 中顯示這些預估值。在此步驟的表格中，**預估成本**欄位指出執行任務一次以分析儲存貯體中物件的預估總成本 （美元）。  
每個預估都會根據目前存放在儲存貯體中的物件大小和類型，反映任務將在儲存貯體中分析的未壓縮資料預測量。預估值也會反映目前 Macie 定價 AWS 區域。  
只有可分類的物件會包含在儲存貯體的成本估算中。*可分類物件*是 S3 物件，使用[支援的 Amazon S3 儲存類別](discovery-supported-storage.md#discovery-supported-s3-classes)，並具有[支援檔案或儲存格式](discovery-supported-storage.md#discovery-supported-formats)的檔案名稱副檔名。如果任何可分類物件是壓縮或封存檔案，預估值會假設檔案使用 3：1 壓縮率，而任務可以分析所有擷取的檔案。

**檢閱任務的總預估成本 （步驟 8)**  
如果您建立一次性任務，或建立並設定定期任務以包含現有的 S3 物件，Macie 會在任務建立程序的最後步驟期間計算並顯示任務的總預估成本。您可以在檢閱和驗證您為任務選取的所有設定時，檢閱此預估值。  
此預估值表示在目前區域中執行任務一次的總預計成本 （美元）。預估值反映任務將分析的未壓縮資料預計量。它取決於目前存放在您明確為任務選取的儲存貯體中的物件大小和類型，或目前符合您為任務指定的儲存貯體條件的最多 500 個儲存貯體，具體取決於任務的設定。  
請注意，此預估值不會反映您為縮小任務範圍而選取的任何選項，例如，較低的取樣深度，或是從任務中排除特定 S3 物件的條件。它也不會反映您的每月[敏感資料探索配額](macie-quotas.md)，這可能會限制任務分析的範圍和成本，或可能適用於您帳戶的任何折扣。  
除了工作的總預估成本之外，預估還提供彙總資料，讓您深入了解工作的預計範圍和成本：  
+ **大小**值表示任務可分析和無法分析之物件的總儲存大小。
+ **物件計數**值表示任務可以分析和無法分析的物件總數。
在這些值中，**可分類**物件是使用支援的 Amazon S3 儲存類別的 S3 物件，並具有[支援檔案或儲存格式](discovery-supported-storage.md#discovery-supported-formats)的檔案名稱副檔名。 [ Amazon S3 ](discovery-supported-storage.md#discovery-supported-s3-classes) 成本估算中僅包含可分類的物件。**不可分類**物件是不使用支援的儲存體方案，或沒有支援檔案或儲存體格式的檔案名稱副檔名的物件。這些物件不包含在成本估算中。  
預估為壓縮或封存檔案的 S3 物件提供額外的彙總資料。**壓縮**值表示使用支援的 Amazon S3 儲存類別，且支援壓縮或封存檔案類型的檔案名稱副檔名的物件總儲存大小。**未壓縮**值會根據指定的壓縮比率，指出這些物件解壓縮時的近似大小。由於 Macie 分析壓縮檔案和封存檔案的方式，此資料是相關的。  
當 Macie 分析壓縮或封存檔案時，它會檢查完整檔案和檔案的內容。若要檢查檔案的內容，Macie 會解壓縮檔案，然後檢查每個使用支援格式的解壓縮檔案。因此，任務分析的實際資料量取決於：  
+ 檔案是否使用壓縮，如果是，則會使用壓縮比率。
+ 解壓縮檔案的數量、大小和格式。
根據預設，Macie 會在計算任務的成本預估時假設下列事項：  
+ 所有壓縮和封存檔案都使用 3：1 壓縮率。
+ 所有擷取的檔案都使用支援的檔案或儲存格式。
這些假設可能會導致任務將分析之資料範圍的大小估算較大，因此任務的成本估算較高。  
您可以根據不同的壓縮比率重新計算任務的總預估成本。若要這樣做，請從**預估成本區段中的選擇預估壓縮比率**清單中選擇比率。 ****Macie 接著會更新預估值以符合您的選擇。

如需 Macie 如何計算預估成本的詳細資訊，請參閱 [了解預估用量成本](account-mgmt-costs-calculations.md)。

## 監控敏感資料探索任務的預估成本
<a name="discovery-jobs-costs-track"></a>

如果您已經在執行敏感資料探索任務，Amazon Macie 主控台上的**用量**頁面可協助您監控這些任務的預估成本。此頁面會顯示您在目前 AWS 區域 行事曆月份使用 Macie 的預估成本 （美元）。如需有關 Macie 如何計算這些預估值的資訊，請參閱 [了解預估用量成本](account-mgmt-costs-calculations.md)。

**檢閱執行中任務的預估成本**

1. 開啟位於 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 的 Amazon Macie 主控台。

1. 透過使用頁面右上角的選擇 AWS 區域 器，選擇您要檢閱預估成本的區域。

1. 在導覽窗格中，選擇**用量**。

1. 在**用量**頁面上，請參閱您帳戶的預估成本明細。**敏感資料探索任務**項目會報告您在目前區域中當月到目前為止所執行任務的總預估成本。

   如果您是組織的 Macie 管理員，**預估成本**區段會顯示目前區域中當月組織的整體預估成本。若要顯示特定帳戶所執行任務的預估總成本，請在表格中選擇帳戶。**預估成本**區段接著會顯示帳戶的預估成本明細，包括已執行任務的預估成本。若要顯示不同帳戶的此資料，請在表格中選擇帳戶。若要清除您的帳戶選擇，請選擇帳戶 ID 旁的 **X**。

若要檢閱和監控您的實際成本，請使用 [AWS 帳單與成本管理](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-what-is.html)。

# 建議敏感資料探索任務使用受管資料識別符
<a name="discovery-jobs-mdis-recommended"></a>

若要最佳化敏感資料探索任務的結果，您可以設定個別任務，以自動使用我們針對任務建議的一組受管資料識別符。*受管資料識別符*是一組內建條件和技術，旨在偵測特定類型的敏感資料，例如，特定國家或地區的 AWS 私密存取金鑰、信用卡號碼或護照號碼。

建議的受管資料識別碼集旨在偵測常見的敏感資料類別和類型。根據我們的研究，它可以偵測一般類別和敏感資料的類型，同時透過減少雜訊來最佳化您的任務結果。當我們發佈新的受管資料識別符時，如果它們可能進一步最佳化您的任務結果，我們會將它們新增至此集合。隨著時間的推移，我們也可能會從集合中新增或移除現有的受管資料識別符。如果我們從建議的集合中新增或移除受管資料識別符，我們會更新此頁面，以指出變更的性質和時間。如需這些變更的自動提醒，您可以在 [Macie 文件歷史記錄](doc-history.md)頁面上訂閱 RSS 摘要。

當您建立敏感資料探索任務時，您可以指定您希望任務用來分析 Amazon Simple Storage Service (Amazon S3) 儲存貯體中物件的受管資料識別符。若要將任務設定為使用建議的一組受管資料識別符，請在建立任務時選擇*建議*選項。當任務開始執行時，任務會自動使用建議集合中的所有受管資料識別符。如果您將任務設定為執行多次，每次執行都會在執行開始時自動使用建議集中的所有受管資料識別符。

下列主題列出目前在建議集合中的受管資料識別符，依敏感資料類別和類型組織。它們會為集合中的每個受管資料識別符指定唯一識別符 (ID)。此 ID 說明受管資料識別符設計用於偵測的敏感資料類型，例如：`PGP_PRIVATE_KEY`用於 PGP 私有金鑰，`USA_PASSPORT_NUMBER`以及用於美國護照號碼。

**Topics**
+ [憑證](#discovery-jobs-mdis-recommended-credentials)
+ [財務資訊](#discovery-jobs-mdis-recommended-financial)
+ [個人身分識別資訊 (PII)](#discovery-jobs-mdis-recommended-pii)
+ [建議集的更新](#discovery-jobs-mdis-recommended-updates)

 如需特定受管資料識別符的詳細資訊，或 Macie 目前提供的所有受管資料識別符的完整清單，請參閱 [使用受管資料識別符](managed-data-identifiers.md)。

## 憑證
<a name="discovery-jobs-mdis-recommended-credentials"></a>

為了偵測 S3 物件中憑證資料的出現，建議的集合使用下列受管資料識別符。


| 敏感資料類型 | 受管資料識別符 ID | 
| --- | --- | 
| AWS 私密存取金鑰 | AWS\$1CREDENTIALS | 
| HTTP 基本授權標頭 | HTTP\$1BASIC\$1AUTH\$1HEADER | 
| OpenSSH 私密金鑰 | OPENSSH\$1PRIVATE\$1KEY | 
| PGP 私密金鑰 | PGP\$1PRIVATE\$1KEY | 
| 公有金鑰密碼編譯標準 (PKCS) 私有金鑰 | PKCS | 
| PuTTY 私密金鑰 | PUTTY\$1PRIVATE\$1KEY | 

## 財務資訊
<a name="discovery-jobs-mdis-recommended-financial"></a>

為了偵測 S3 物件中發生的財務資訊，建議的集合會使用下列受管資料識別符。


| 敏感資料類型 | 受管資料識別符 ID | 
| --- | --- | 
| 信用卡磁條資料 | CREDIT\$1CARD\$1MAGNETIC\$1STRIPE | 
| 信用卡號碼 | CREDIT\$1CARD\$1NUMBER （適用於關鍵字附近的信用卡號碼） | 

## 個人身分識別資訊 (PII)
<a name="discovery-jobs-mdis-recommended-pii"></a>

為了偵測 S3 物件中出現的個人身分識別資訊 (PII)，建議的集合會使用下列受管資料識別符。


| 敏感資料類型 | 受管資料識別符 ID | 
| --- | --- | 
| 駕照識別號碼 | CANADA\$1DRIVERS\$1LICENSE, DRIVERS\$1LICENSE （適用於美國）， UK\$1DRIVERS\$1LICENSE | 
| 選民名冊號碼 | UK\$1ELECTORAL\$1ROLL\$1NUMBER | 
| 國家身分證號碼 | FRANCE\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, GERMANY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, SPAIN\$1DNI\$1NUMBER | 
| 國民保險號碼 (NINO) | UK\$1NATIONAL\$1INSURANCE\$1NUMBER | 
| 護照號碼 | CANADA\$1PASSPORT\$1NUMBER, FRANCE\$1PASSPORT\$1NUMBER, GERMANY\$1PASSPORT\$1NUMBER, ITALY\$1PASSPORT\$1NUMBER, SPAIN\$1PASSPORT\$1NUMBER, UK\$1PASSPORT\$1NUMBER, USA\$1PASSPORT\$1NUMBER | 
| 社會保險號碼 (SIN) | CANADA\$1SOCIAL\$1INSURANCE\$1NUMBER | 
| 社會安全號碼 (SSN) | SPAIN\$1SOCIAL\$1SECURITY\$1NUMBER, USA\$1SOCIAL\$1SECURITY\$1NUMBER | 
| 納稅識別號碼或參考號碼 | AUSTRALIA\$1TAX\$1FILE\$1NUMBER, BRAZIL\$1CPF\$1NUMBER, FRANCE\$1TAX\$1IDENTIFICATION\$1NUMBER, GERMANY\$1TAX\$1IDENTIFICATION\$1NUMBER, SPAIN\$1NIE\$1NUMBER, SPAIN\$1NIF\$1NUMBER, SPAIN\$1TAX\$1IDENTIFICATION\$1NUMBER, USA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER | 

## 建議集的更新
<a name="discovery-jobs-mdis-recommended-updates"></a>

下表說明針對敏感資料探索任務所建議的一組受管資料識別符的變更。如需這些變更的自動提醒，請訂閱 [Macie 文件歷史記錄](doc-history.md)頁面上的 RSS 摘要。


| 變更 | 描述 | Date | 
| --- | --- | --- | 
|  一般可用性  |  建議集合的初始版本。  |  2023 年 6 月 27 日  | 

# 分析加密的 Amazon S3 物件
<a name="discovery-supported-encryption-types"></a>

當您為 啟用 Amazon Macie 時 AWS 帳戶，Macie 會建立[服務連結角色](service-linked-roles.md)，授予 Macie AWS 服務 代表您呼叫 Amazon Simple Storage Service (Amazon S3) 和其他 所需的許可。服務連結角色可簡化 的設定程序， AWS 服務 因為您不必手動新增服務許可，即可代表您完成動作。若要了解這種類型的角色，請參閱*AWS Identity and Access Management 《 使用者指南*》中的 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)。

Macie 服務連結角色的許可政策 (`AWSServiceRoleForAmazonMacie`) 可讓 Macie 執行動作，包括擷取 S3 儲存貯體和物件的相關資訊，以及擷取和分析 S3 儲存貯體中的物件。如果您的帳戶是組織的 Macie 管理員帳戶，政策也允許 Macie 代表您為組織中的成員帳戶執行這些動作。

如果 S3 物件已加密，Macie 服務連結角色的許可政策通常會授予 Macie 解密物件所需的許可。不過，這取決於使用的加密類型。它也可以取決於是否允許 Macie 使用適當的加密金鑰。

**Topics**
+ [S3 物件的加密選項](#discovery-supported-encryption-types-matrix)
+ [允許 Macie 使用客戶受管 AWS KMS key](#discovery-supported-encryption-cmk-configuration)

## Amazon S3 物件的加密選項
<a name="discovery-supported-encryption-types-matrix"></a>

Amazon S3 支援 S3 物件的多個加密選項。對於大多數這些選項，Amazon Macie 可以使用您帳戶的 Macie 服務連結角色來解密物件。不過，這取決於用來加密物件的加密類型。

**使用 Amazon S3 受管金鑰 (SSE-S3) 的伺服器端加密**  
如果使用伺服器端加密搭配 Amazon S3 受管金鑰 (SSE-S3) 來加密物件，Macie 可以解密物件。  
若要了解此類加密，請參閱《[Amazon Simple Storage Service 使用者指南》中的搭配 Amazon S3 受管金鑰使用伺服器端加密](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)。 **

**伺服器端加密搭配 AWS KMS keys (DSSE-KMS 和 SSE-KMS)**  
如果使用雙層伺服器端加密或伺服器端加密搭配 AWS 受管 AWS KMS key (DSSE-KMS 或 SSE-KMS) 來加密物件，Macie 可以解密物件。  
如果使用雙層伺服器端加密或伺服器端加密搭配客戶受管 AWS KMS key (DSSE-KMS 或 SSE-KMS) 來加密物件，則只有當您[允許 Macie 使用金鑰](#discovery-supported-encryption-cmk-configuration)時，Macie 才能解密物件。對於使用 KMS 金鑰加密的物件而言，這是完全在外部金鑰存放區中的 AWS KMS 和 KMS 金鑰中管理的。如果 Macie 不允許使用適用的 KMS 金鑰，則 Macie 只能存放和報告物件的中繼資料。  
若要了解這些類型的加密，請參閱《*Amazon Simple Storage Service 使用者指南*》中的[使用雙層伺服器端加密搭配 AWS KMS keys](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingDSSEncryption.html) 和[使用伺服器端加密搭配 AWS KMS keys](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html) 。  
您可以自動產生 Macie 需要存取的所有客戶受管清單 AWS KMS keys ，以分析您帳戶的 S3 儲存貯體中的物件。若要這樣做，請執行 AWS KMS Permission Analyzer 指令碼，該指令碼可從 GitHub 上的 [Amazon Macie 指令碼](https://github.com/aws-samples/amazon-macie-scripts)儲存庫取得。指令碼也可以產生額外的 AWS Command Line Interface (AWS CLI) 命令指令碼。您可以選擇性地執行這些命令，以更新您指定的 KMS 金鑰的必要組態設定和政策。

**使用客戶提供的金鑰進行伺服器端加密 (SSE-C)**  
如果使用伺服器端加密搭配客戶提供的金鑰 (SSE-C) 來加密物件，則 Macie 無法解密物件。Macie 只能存放和報告物件的中繼資料。  
若要了解這種類型的加密，請參閱《*Amazon Simple Storage Service 使用者指南*》中的[使用伺服器端加密搭配客戶提供的金鑰](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerSideEncryptionCustomerKeys.html)。

**用戶端加密**  
如果使用用戶端加密來加密物件，Macie 就無法解密物件。Macie 只能存放和報告物件的中繼資料。例如，Macie 可以報告物件的大小，以及與物件相關聯的標籤。  
若要了解 Amazon S3 內容中的此類加密，請參閱《*Amazon Simple Storage Service 使用者指南*》中的[使用用戶端加密來保護資料](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html)。

您可以在 Macie 中[篩選儲存貯體庫存](monitoring-s3-inventory-filter.md)，以判斷哪些 S3 儲存貯體存放使用特定加密類型的物件。您也可以判斷哪些儲存貯體預設在存放新物件時使用特定類型的伺服器端加密。下表提供篩選條件的範例，您可以套用至儲存貯體庫存來尋找此資訊。


| 若要顯示儲存貯體... | 套用此篩選條件... | 
| --- | --- | 
| 存放使用 SSE-C 加密的物件 | 客戶提供加密的物件計數，寄件人 = 1 | 
| 存放使用 DSSE-KMS 或 SSE-KMS 加密的物件 | 依加密管理的物件計數和 From = 1 AWS KMS   | 
| 存放使用 SSE-S3 加密的物件 | 加密的物件計數是 Amazon S3 受管且 From = 1 | 
| 存放使用用戶端加密 （或未加密） 的物件 | 加密的物件計數是無加密且寄件人 = 1 | 
| 根據預設，使用 DSSE-KMS 加密來加密新物件 | 預設加密 = aws：kms:dsse | 
| 根據預設，使用 SSE-KMS 加密來加密新物件 | 預設加密 = aws：kms | 
| 根據預設，使用 SSE-S3 加密來加密新物件 | 預設加密 = AES256 | 

如果儲存貯體設定為預設使用 DSSE-KMS 或 SSE-KMS 加密來加密新物件，您也可以判斷 AWS KMS key 使用哪個物件。若要這樣做，請在 **S3 儲存貯體頁面上選擇儲存貯體**。在儲存貯體詳細資訊面板的**伺服器端加密**下，請參閱 **AWS KMS key** 欄位。此欄位會顯示金鑰的 Amazon Resource Name (ARN) 或唯一識別符 （金鑰 ID)。

## 允許 Macie 使用客戶受管 AWS KMS key
<a name="discovery-supported-encryption-cmk-configuration"></a>

如果使用雙層伺服器端加密或伺服器端加密搭配客戶受管 AWS KMS key (DSSE-KMS 或 SSE-KMS) 來加密 Amazon S3 物件，Amazon Macie 只能在允許使用金鑰時解密物件。如何提供此存取權取決於擁有金鑰的帳戶是否也擁有存放物件的 S3 儲存貯體：
+ 如果同一個帳戶擁有 AWS KMS key 和 儲存貯體，則帳戶的使用者必須更新金鑰的政策。
+ 如果一個帳戶擁有 ， AWS KMS key 而另一個帳戶擁有 儲存貯體，則擁有金鑰的帳戶使用者必須允許跨帳戶存取金鑰。

本主題說明如何執行這些任務，並提供這兩個案例的範例。若要進一步了解允許存取客戶受管 AWS KMS keys，請參閱《 *AWS Key Management Service 開發人員指南*》中的 [KMS 金鑰存取和許可](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html)。

### 允許相同帳戶存取客戶受管金鑰
<a name="discovery-supported-encryption-cmk-configuration-1account"></a>

如果同一個帳戶同時擁有 AWS KMS key 和 S3 儲存貯體，則帳戶的使用者必須將陳述式新增至金鑰的政策。其他陳述式必須允許帳戶的 Macie 服務連結角色使用 金鑰解密資料。如需更新金鑰政策的詳細資訊，請參閱《 *AWS Key Management Service 開發人員指南*》中的[變更金鑰政策](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html)。

在 陳述式中：
+ `Principal` 元素必須為擁有 AWS KMS key 和 S3 儲存貯體的帳戶指定 Macie 服務連結角色的 Amazon Resource Name (ARN)。

  如果帳戶在選擇加入中 AWS 區域，ARN 也必須包含適當的區域代碼。例如，如果帳戶位於中東 （巴林） 區域，其具有區域碼 *me-south-1*，則`Principal`元素必須指定 `arn:aws:iam::123456789012:role/aws-service-role/macie.me-south-1.amazonaws.com/AWSServiceRoleForAmazonMacie`，其中 *123456789012* 是帳戶的帳戶 ID。如需目前可使用 Macie 之區域的區域代碼清單，請參閱《》中的 [Amazon Macie 端點和配額](https://docs.aws.amazon.com/general/latest/gr/macie.html)*AWS 一般參考*。
+ `Action` 陣列必須指定 `kms:Decrypt`動作。這是 Macie 必須執行的唯一 AWS KMS 動作，以解密使用 金鑰加密的 S3 物件。

以下是要新增至 政策的 陳述式範例 AWS KMS key。

```
{
    "Sid": "Allow the Macie service-linked role to use the key",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::123456789012:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie"
    },
    "Action": [
        "kms:Decrypt"
    ],
    "Resource": "*"
}
```

在上述範例中：
+ `Principal` 元素中的 `AWS` 欄位指定帳戶的 Macie 服務連結角色 (`AWSServiceRoleForAmazonMacie`) 的 ARN。它允許 Macie 服務連結角色執行政策陳述式指定的動作。*123456789012* 是帳戶 ID 範例。將此值取代為擁有 KMS 金鑰和 S3 儲存貯體之帳戶的帳戶 ID。
+ `Action` 陣列指定允許 Macie 服務連結角色使用 KMS 金鑰執行的動作 - 解密使用金鑰加密的加密文字。

您在其中將此陳述式新增至金鑰政策，取決於政策目前包含的結構和元素。當您新增 陳述式時，請確定語法有效。金鑰政策使用 JSON 格式。這表示您還必須在陳述式之前或之後新增逗號，具體取決於您將陳述式新增至政策的位置。

### 允許跨帳戶存取客戶受管金鑰
<a name="discovery-supported-encryption-cmk-configuration-xaccount"></a>

如果一個帳戶擁有 AWS KMS key (*金鑰擁有者*)，而另一個帳戶擁有 S3 儲存貯體 (*儲存貯體擁有者*)，則金鑰擁有者必須為儲存貯體擁有者提供 KMS 金鑰的跨帳戶存取權。若要這樣做，金鑰擁有者會先確保金鑰的政策允許儲存貯體擁有者同時使用金鑰，並建立金鑰的授予。儲存貯體擁有者接著會建立金鑰的授予。*授予*是一種政策工具，允許 AWS 主體在符合授予指定的條件時，在密碼編譯操作中使用 KMS 金鑰。在此情況下，授予會將相關許可委派給儲存貯體擁有者帳戶的 Macie 服務連結角色。

如需更新金鑰政策的詳細資訊，請參閱《 *AWS Key Management Service 開發人員指南*》中的[變更金鑰政策](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html)。若要了解授予，請參閱《 *AWS Key Management Service 開發人員指南*[》中的授予 AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)。

**步驟 1：更新金鑰政策**  
在金鑰政策中，金鑰擁有者應確保政策包含兩個陳述式：
+ 第一個陳述式允許儲存貯體擁有者使用 金鑰來解密資料。
+ 第二個陳述式允許儲存貯體擁有者為其 （儲存貯體擁有者） 帳戶建立 Macie 服務連結角色的授予。

在第一個陳述式中， `Principal`元素必須指定儲存貯體擁有者帳戶的 ARN。`Action` 陣列必須指定 `kms:Decrypt`動作。這是 Macie 必須執行的唯一 AWS KMS 動作，以解密使用 金鑰加密的物件。以下是 政策中此陳述式的範例 AWS KMS key。

```
{
    "Sid": "Allow account 111122223333 to use the key",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:root"
    },
    "Action": [
        "kms:Decrypt"
    ],
    "Resource": "*"
}
```

在上述範例中：
+ `Principal` 元素中的 `AWS` 欄位指定儲存貯體擁有者帳戶的 ARN (*111122223333*)。它允許儲存貯體擁有者執行政策陳述式指定的動作。*111122223333* 是帳戶 ID 範例。將此值取代為儲存貯體擁有者帳戶的帳戶 ID。
+ `Action` 陣列指定允許儲存貯體擁有者使用 KMS 金鑰執行的動作：解密使用金鑰加密的加密文字。

金鑰政策中的第二個陳述式允許儲存貯體擁有者為其帳戶建立 Macie 服務連結角色的授予。在此陳述式中， `Principal`元素必須指定儲存貯體擁有者帳戶的 ARN。`Action` 陣列必須指定 `kms:CreateGrant`動作。`Condition` 元素可以篩選對 陳述式中指定`kms:CreateGrant`動作的存取。以下是 政策中此陳述式的範例 AWS KMS key。

```
{
    "Sid": "Allow account 111122223333 to create a grant",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:root"
    },
    "Action": [
        "kms:CreateGrant"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:GranteePrincipal": "arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie"
        }
    }
}
```

在上述範例中：
+ `Principal` 元素中的 `AWS` 欄位指定儲存貯體擁有者帳戶的 ARN (*111122223333*)。它允許儲存貯體擁有者執行政策陳述式指定的動作。*111122223333* 是帳戶 ID 範例。將此值取代為儲存貯體擁有者帳戶的帳戶 ID。
+ `Action` 陣列指定允許儲存貯體擁有者在 KMS 金鑰上執行的動作 - 建立金鑰的授予。
+ `Condition` 元素使用 `StringEquals`[條件運算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)和 `kms:GranteePrincipal`[條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awskeymanagementservice.html#awskeymanagementservice-policy-keys)來篩選對政策陳述式所指定動作的存取。在此情況下，儲存貯體擁有者只能為指定的 建立授予`GranteePrincipal`，這是其帳戶的 Macie 服務連結角色的 ARN。在該 ARN 中，*111122223333* 是帳戶 ID 範例。將此值取代為儲存貯體擁有者帳戶的帳戶 ID。

  如果儲存貯體擁有者的帳戶選擇加入 AWS 區域，也請在 Macie 服務連結角色的 ARN 中包含適當的區域代碼。例如，如果帳戶位於中東 （巴林） 區域，其具有區域碼 *me-south-1*，請在 ARN `macie.me-south-1.amazonaws.com`中將 取代`macie.amazonaws.com`為 。如需目前可使用 Macie 之區域的區域代碼清單，請參閱《》中的 [Amazon Macie 端點和配額](https://docs.aws.amazon.com/general/latest/gr/macie.html)*AWS 一般參考*。

金鑰擁有者將這些陳述式新增至金鑰政策的位置，取決於政策目前包含的結構和元素。當金鑰擁有者新增陳述式時，他們應該確保語法有效。金鑰政策使用 JSON 格式。這表示金鑰擁有者也必須在每個陳述式之前或之後新增逗號，視其將陳述式新增至政策的位置而定。

**步驟 2：建立授予**  
金鑰擁有者視需要更新金鑰政策後，儲存貯體擁有者必須為金鑰建立授予。授予會將相關許可委派給其 （儲存貯體擁有者） 帳戶的 Macie 服務連結角色。在儲存貯體擁有者建立授予之前，他們應該確認他們有權為其帳戶執行 `kms:CreateGrant`動作。此動作可讓他們將授予新增至現有的客戶受管 AWS KMS key。

若要建立授予，儲存貯體擁有者可以使用 AWS Key Management Service API 的 [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) 操作。當儲存貯體擁有者建立授予時，他們應該為必要參數指定下列值：
+ `KeyId` – KMS 金鑰的 ARN。若要跨帳戶存取 KMS 金鑰，此值必須是 ARN。它不能是金鑰 ID。
+ `GranteePrincipal` – Macie 服務連結角色 (`AWSServiceRoleForAmazonMacie`) 帳戶的 ARN。此值應為 `arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie`，其中 *111122223333* 是儲存貯體擁有者帳戶的帳戶 ID。

  如果其帳戶位於選擇加入區域，ARN 必須包含適當的區域代碼。例如，如果他們的帳戶位於中東 （巴林） 區域，而該區域代碼為 *me-south-1*，則 ARN 應為 `arn:aws:iam::111122223333:role/aws-service-role/macie.me-south-1.amazonaws.com/AWSServiceRoleForAmazonMacie`，其中 *111122223333* 是儲存貯體擁有者帳戶的帳戶 ID。
+ `Operations` – AWS KMS 解密動作 (`Decrypt`)。這是 Macie 必須執行才能解密使用 KMS 金鑰加密之物件的唯一 AWS KMS 動作。

若要使用 AWS Command Line Interface (AWS CLI) 建立客戶受管 KMS 金鑰的授予，請執行 [create-grant](https://docs.aws.amazon.com/cli/latest/reference/kms/create-grant.html) 命令。下列範例會顯示作法。此範例已針對 Microsoft Windows 進行格式化，並使用八進制 (^) 換行字元來改善可讀性。

```
C:\> aws kms create-grant ^
--key-id arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab ^
--grantee-principal arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie ^
--operations "Decrypt"
```

其中：
+ `key-id` 指定要套用授予的 KMS 金鑰 ARN。
+ `grantee-principal` 指定允許執行授予所指定動作之帳戶的 Macie 服務連結角色的 ARN。此值應符合金鑰政策中第二個陳述式`kms:GranteePrincipal`的條件所指定的 ARN。
+ `operations` 指定授予允許指定委託人執行的動作 - 解密使用 KMS 金鑰加密的加密文字。

如果此命令成功執行，您會收到類似如下的輸出。

```
{
    "GrantToken": "<grant token>",
    "GrantId": "1a2b3c4d2f5e69f440bae30eaec9570bb1fb7358824f9ddfa1aa5a0dab1a59b2"
}
```

其中 `GrantToken` 是唯一、非秘密、可變長度、以 base64 編碼的字串，代表已建立的授予，並且`GrantId`是授予的唯一識別符。

# 儲存及保留敏感資料探索結果
<a name="discovery-results-repository-s3"></a>

當您執行敏感資料探索任務或 Amazon Macie 執行自動敏感資料探索時，Macie 會為每個包含在分析範圍內的 Amazon Simple Storage Service (Amazon S3) 物件建立分析記錄。這些記錄稱為*敏感資料探索結果*，記錄 Macie 對個別 S3 物件執行之分析的詳細資訊。這包括 Macie 無法偵測敏感資料的物件，因此不會產生調查結果，以及 Macie 因為錯誤或問題而無法分析的物件。如果 Macie 偵測到物件中的敏感資料，記錄會包含對應調查結果的資料以及其他資訊。敏感資料探索結果為您提供分析記錄，有助於資料隱私權和保護稽核或調查。

Macie 只會儲存您的敏感資料探索結果 90 天。若要存取結果並啟用長期儲存和保留，請設定 Macie 使用 AWS Key Management Service (AWS KMS) 金鑰加密結果，並將結果存放在 S3 儲存貯體中。儲存貯體可以做為所有敏感資料探索結果的確定性長期儲存庫。然後，您可以選擇存取和查詢該儲存庫中的結果。

本主題會引導您使用 AWS 管理主控台 來設定敏感資料探索結果的儲存庫。組態是加密結果的 AWS KMS key 組合、存放結果的 S3 一般用途儲存貯體，以及指定要使用之金鑰和儲存貯體的 Macie 設定。如果您偏好以程式設計方式設定 Macie 設定，您可以使用 Amazon Macie API 的 [PutClassificationExportConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/classification-export-configuration.html) 操作。

當您在 Macie 中設定設定時，您的選擇僅適用於目前的 AWS 區域。如果您是組織的 Macie 管理員，您的選擇僅適用於您的帳戶。它們不適用於任何相關聯的成員帳戶。如果您啟用自動敏感資料探索或執行敏感資料探索任務來分析成員帳戶的資料，Macie 會將敏感資料探索結果存放在管理員帳戶的儲存庫中。

如果您在多個 中使用 Macie AWS 區域，請為您使用 Macie 的每個區域設定儲存庫設定。您可以選擇將多個區域的敏感資料探索結果存放在同一個 S3 儲存貯體中。不過，請注意下列需求：
+ 若要存放 依預設 AWS 啟用的區域結果 AWS 帳戶，例如美國東部 （維吉尼亞北部） 區域，您必須在依預設啟用的區域中選擇儲存貯體。結果無法存放在選擇加入區域的儲存貯體中 （預設為停用的區域）。
+ 若要儲存選擇加入區域的結果，例如中東 （巴林） 區域，您必須選擇相同區域中的儲存貯體或預設啟用的區域。結果無法存放在不同選擇加入區域的儲存貯體中。

若要判斷區域是否預設啟用，請參閱*AWS 帳戶管理 《 使用者指南*》[AWS 區域 中的在您的帳戶中啟用或停用](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html) 。除了上述要求之外，也請考慮是否要[擷取 Macie 在個別調查結果中報告的敏感資料範例](findings-retrieve-sd.md)。若要從受影響的 S3 物件擷取敏感資料範例，下列所有資源和資料必須存放在相同的區域中：受影響的物件、適用的調查結果，以及對應的敏感資料探索結果。

**Topics**
+ [開始之前：了解關鍵概念](#discovery-results-repository-s3-overview)
+ [步驟 1：驗證您的許可](#discovery-results-repository-s3-permissions)
+ [步驟 2：設定 AWS KMS key](#discovery-results-repository-s3-key-policy)
+ [步驟 3：選擇 S3 儲存貯體](#discovery-results-repository-s3-choose-bucket)

## 開始之前：了解關鍵概念
<a name="discovery-results-repository-s3-overview"></a>

當您執行敏感資料探索任務或執行自動敏感資料探索時，Amazon Macie 會自動為其分析或嘗試分析的每個 Amazon S3 物件建立敏感資料探索結果。其中包含：
+ Macie 在 中偵測敏感資料的物件，因此也會產生敏感資料調查結果。
+ Macie 未偵測到敏感資料的物件，因此不會產生敏感資料調查結果。
+ Macie 因許可設定或使用不支援的檔案或儲存格式等錯誤或問題而無法分析的物件。

如果 Macie 在 S3 物件中偵測到敏感資料，敏感資料探索結果會包含來自對應敏感資料調查結果的資料。它也提供其他資訊，例如 Macie 在 物件中找到的每種敏感資料多達 1，000 次出現的位置。例如：
+ Microsoft Excel 工作手冊、CSV 檔案或 TSV 檔案中儲存格或欄位的資料欄和資料列編號
+ JSON 或 JSON Lines 檔案中欄位或陣列的路徑
+ CSV、JSON、JSON Lines 或 TSV 檔案以外的非二進位文字檔案中某行的行號，例如 HTML、TXT 或 XML 檔案
+ Adobe 可攜式文件格式 (PDF) 檔案中頁面的頁碼
+ Apache Avro 物件容器或 Apache Parquet 檔案中記錄中欄位的記錄索引和路徑

如果受影響的 S3 物件是封存檔案，例如 .tar 或 .zip 檔案，敏感資料探索結果也會針對 Macie 從封存中擷取的個別檔案中出現的敏感資料，提供詳細的位置資料。Macie 不會在封存檔案的敏感資料調查結果中包含此資訊。若要報告位置資料，敏感資料探索結果會使用[標準化的 JSON 結構描述](findings-locate-sd-schema.md)。

敏感資料探索結果不包含 Macie 找到的敏感資料。反之，它會為您提供分析記錄，有助於稽核或調查。

Macie 會將您的敏感資料探索結果存放 90 天。您無法直接在 Amazon Macie 主控台或使用 Amazon Macie API 存取它們。相反地，請按照本主題中的步驟，設定 Macie 使用您指定的 AWS KMS key 來加密結果，並將結果存放在您同時指定的 S3 一般用途儲存貯體中。Macie 接著會將結果寫入 JSON Lines (.jsonl) 檔案、將檔案新增至儲存貯體做為 GNU Zip (.gz) 檔案，並使用 SSE-KMS 加密來加密資料。截至 2023 年 11 月 8 日，Macie 也會使用雜湊型訊息驗證碼 (HMAC) 簽署產生的 S3 物件 AWS KMS key。

設定 Macie 將敏感資料探索結果存放在 S3 儲存貯體之後，儲存貯體可以做為結果的最終、長期儲存庫。然後，您可以選擇存取和查詢該儲存庫中的結果。

**提示**  
如需如何查詢和使用敏感資料探索結果來分析和報告潛在資料安全風險的詳細教學範例，請參閱安全*AWS 部落格*上的下列部落格文章：[如何使用 Amazon Athena 和 Amazon Quick 查詢和視覺化 Macie 敏感資料探索結果](https://aws.amazon.com/blogs/security/how-to-query-and-visualize-macie-sensitive-data-discovery-results-with-athena-and-quicksight/)。  
如需可用於分析敏感資料探索結果的 Amazon Athena 查詢範例，請造訪 GitHub 上的 [Amazon Macie 結果分析儲存庫](https://github.com/aws-samples/amazon-macie-results-analytics)。此儲存庫也提供設定 Athena 擷取和解密結果的說明，以及建立結果資料表的指令碼。

## 步驟 1：驗證您的許可
<a name="discovery-results-repository-s3-permissions"></a>

為敏感資料探索結果設定儲存庫之前，請確認您擁有加密和儲存結果所需的許可。若要驗證您的許可，請使用 AWS Identity and Access Management (IAM) 檢閱連接至 IAM 身分的 IAM 政策。然後將這些政策中的資訊與下列必須允許您執行的動作清單進行比較，以設定儲存庫。

**Amazon Macie**  
針對 Macie，確認您可執行下列動作：  
`macie2:PutClassificationExportConfiguration`  
此動作可讓您在 Macie 中新增或變更儲存庫設定。

**Amazon S3**  
對於 Amazon S3，確認您可執行下列動作：  
+ `s3:CreateBucket`
+ `s3:GetBucketLocation`
+ `s3:ListAllMyBuckets`
+ `s3:PutBucketAcl`
+ `s3:PutBucketPolicy`
+ `s3:PutBucketPublicAccessBlock`
+ `s3:PutObject`
這些動作可讓您存取和設定可做為儲存庫的 S3 一般用途儲存貯體。

**AWS KMS**  
若要使用 Amazon Macie 主控台來新增或變更儲存庫設定，也請確認您可以執行下列 AWS KMS 動作：  
+ `kms:DescribeKey`
+ `kms:ListAliases`
這些動作可讓您擷取和顯示 AWS KMS keys 您帳戶 的相關資訊。然後，您可以選擇其中一個金鑰來加密敏感資料探索結果。  
如果您計劃建立新的 AWS KMS key 來加密資料，您也需要執行下列動作：`kms:CreateKey`、 `kms:GetKeyPolicy`和 `kms:PutKeyPolicy`。

如果您不被允許執行必要動作，請在繼續下一個步驟之前向 AWS 管理員尋求協助。

## 步驟 2：設定 AWS KMS key
<a name="discovery-results-repository-s3-key-policy"></a>

驗證您的許可後，判斷 AWS KMS key 您希望 Macie 使用哪個 來加密敏感資料探索結果。金鑰必須是客戶受管的對稱加密 KMS 金鑰，該金鑰在您要存放結果的 AWS 區域 S3 儲存貯體中已啟用。

金鑰可以是 AWS KMS key 來自您自有帳戶的現有 ，或另一個帳戶擁有 AWS KMS key 的現有 。如果您想要使用新的 KMS 金鑰，請先建立金鑰再繼續。如果您想要使用另一個帳戶擁有的現有金鑰，請取得金鑰的 Amazon Resource Name (ARN)。在 Macie 中設定儲存庫設定時，您將需要輸入此 ARN。如需有關建立和檢閱 KMS 金鑰設定的資訊，請參閱 [AWS Key Management Service 開發人員指南](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)。

**注意**  
金鑰可以是外部金鑰存放區 AWS KMS key 中的 。不過，相較於完全在其中管理的金鑰，金鑰可能較慢且較不可靠 AWS KMS。您可以將敏感資料探索儲存在設定為使用金鑰做為 S3 儲存貯體金鑰的 S3 儲存貯體中，以降低此風險。這樣做可減少加密敏感資料探索結果時必須提出的請求數量 AWS KMS 。  
如需有關在外部金鑰存放區中使用 KMS 金鑰的資訊，請參閱《 *AWS Key Management Service 開發人員指南*》中的[外部金鑰存放](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-external.html)區。如需有關使用 S3 儲存貯體金鑰的資訊，請參閱《[Amazon Simple Storage Service 使用者指南》中的使用 Amazon S3 儲存貯體金鑰降低 SSE-KMS 的成本](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html)。 **

在您決定 Macie 要使用的 KMS 金鑰之後，請授予 Macie 使用金鑰的許可。否則，Macie 將無法加密或將結果儲存在儲存庫中。若要授予 Macie 使用金鑰的許可，請更新金鑰的金鑰政策。如需金鑰政策和管理 KMS 金鑰存取的詳細資訊，請參閱《 *AWS Key Management Service 開發人員指南*》中的 中的[金鑰政策 AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)。

**更新金鑰政策**

1. 在 https：//[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) 開啟 AWS KMS 主控台。

1. 若要變更 AWS 區域，請使用頁面右上角的區域選擇器。

1. 選擇您希望 Macie 用來加密敏感資料探索結果的金鑰。

1. 在**金鑰政策**標籤中，選擇**編輯**。

1. 將下列陳述式複製到剪貼簿，然後將其新增至政策：

   ```
   {
       "Sid": "Allow Macie to use the key",
       "Effect": "Allow",
       "Principal": {
           "Service": "macie.amazonaws.com"
       },
       "Action": [
           "kms:GenerateDataKey",
           "kms:Encrypt"
       ],
       "Resource": "*",
       "Condition": {
           "StringEquals": {
               "aws:SourceAccount": "111122223333"
            },
            "ArnLike": {
                "aws:SourceArn": [
                    "arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
                    "arn:aws:macie2:us-east-1:111122223333:classification-job/*"
                ]
            }
       }
   }
   ```
**注意**  
當您將陳述式新增至政策時，請確定語法有效。政策使用 JSON 格式。這表示您也需要在陳述式之前或之後新增逗號，取決於您將陳述式新增至政策的位置。如果您將陳述式新增為最後一個陳述式，請在上述陳述式的大括號後面新增逗號。如果您將其新增為第一個陳述式或在兩個現有陳述式之間新增，請在陳述式的結尾大括號之後新增逗號。

1. 使用適用於您環境的正確值更新陳述式：
   + 在`Condition`欄位中，取代預留位置值，其中：
     + *111122223333* 是 的帳戶 ID AWS 帳戶。
     + *us-east-1* 是您使用 Macie 且想要允許 Macie 使用金鑰之 AWS 區域 的區域碼。

       如果您在多個區域中使用 Macie，並想要允許 Macie 在其他區域中使用金鑰，請為每個其他區域新增`aws:SourceArn`條件。例如：

       ```
       "aws:SourceArn": [
           "arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
           "arn:aws:macie2:us-east-1:111122223333:classification-job/*",
           "arn:aws:macie2:us-west-2:111122223333:export-configuration:*",
           "arn:aws:macie2:us-west-2:111122223333:classification-job/*"
       ]
       ```

       或者，您可以允許 Macie 在所有區域中使用 金鑰。若要這樣做，請將預留位置值取代為萬用字元 (`*`)。例如：

       ```
       "aws:SourceArn": [
           "arn:aws:macie2:*:111122223333:export-configuration:*",
           "arn:aws:macie2:*:111122223333:classification-job/*"
       ]
       ```
   + 如果您在選擇加入區域中使用 Macie，請將適當的區域代碼新增至 `Service` 欄位的值。例如，如果您在中東 （巴林） 區域使用 Macie，而該區域具有區域碼 *me-south-1*，請將 取代`macie.amazonaws.com`為 `macie.me-south-1.amazonaws.com`。

     如需目前可使用 Macie 的區域清單和每個區域代碼，請參閱 中的 [Amazon Macie 端點和配額](https://docs.aws.amazon.com/general/latest/gr/macie.html)*AWS 一般參考*。

   請注意，`Condition`欄位使用兩個 IAM 全域條件索引鍵：
   + [aws：SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) – 此條件允許 Macie 僅針對您的帳戶執行指定的動作。更具體地說，它會決定哪個帳戶可以對`aws:SourceArn`條件指定的資源和動作執行指定的動作。

     若要允許 Macie 為其他帳戶執行指定的動作，請將每個其他帳戶的帳戶 ID 新增至此條件。例如：

     ```
     "aws:SourceAccount": [111122223333,444455556666]
     ```
   + [aws：SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) – 此條件可防止其他 AWS 服務 執行指定的動作。它也可防止 Macie 在為您的帳戶執行其他動作時使用 金鑰。換句話說，它允許 Macie 僅在以下情況下使用 金鑰加密 S3 物件：物件是敏感資料探索結果，而結果是自動敏感資料探索或敏感資料探索任務，由指定區域中的指定帳戶所建立。

     若要允許 Macie 為其他帳戶執行指定的動作，請將每個其他帳戶的 ARNs 新增至此條件。例如：

     ```
     "aws:SourceArn": [
         "arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
         "arn:aws:macie2:us-east-1:111122223333:classification-job/*",
         "arn:aws:macie2:us-east-1:444455556666:export-configuration:*",
         "arn:aws:macie2:us-east-1:444455556666:classification-job/*"
     ]
     ```

   `aws:SourceAccount` 和 `aws:SourceArn`條件指定的帳戶應相符。

   這些條件有助於防止 Macie 在交易期間被用作[混淆代理人](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) AWS KMS。雖然我們不建議這麼做，但您可以從 陳述式中移除這些條件。

1. 當您完成新增和更新陳述式時，請選擇**儲存變更**。

## 步驟 3：選擇 S3 儲存貯體
<a name="discovery-results-repository-s3-choose-bucket"></a>

驗證您的許可並設定 之後 AWS KMS key，您就可以指定要使用哪個 S3 儲存貯體做為敏感資料探索結果的儲存庫。您有兩種選擇：
+ **使用 Macie 建立的新 S3 儲存貯**體 – 如果您選擇此選項，Macie 會自動 AWS 區域 在目前的 中為探索結果建立新的 S3 一般用途儲存貯體。Macie 也會將儲存貯體政策套用至儲存貯體。此政策允許 Macie 將物件新增至儲存貯體。它還需要使用 AWS KMS key 您指定的 來加密物件，並使用 SSE-KMS 加密。若要檢閱政策，請在指定儲存貯體名稱和要使用的 KMS 金鑰後，選擇 Amazon Macie 主控台上的**檢視政策**。
+ **使用您建立的現有 S3 儲存貯**體 – 如果您偏好將探索結果存放在您建立的特定 S3 儲存貯體中，請先建立儲存貯體再繼續。儲存貯體必須是一般用途的儲存貯體。此外，儲存貯體的設定和政策必須允許 Macie 將物件新增至儲存貯體。本主題說明要檢查哪些設定，以及如何更新政策。它還提供要新增至政策的陳述式範例。

以下各節提供每個選項的說明。為您想要的選項選擇 區段。

### 使用 Macie 建立的新 S3 儲存貯體
<a name="discovery-results-repository-s3-new-bucket"></a>

如果您偏好使用 Macie 為您建立的新 S3 儲存貯體，程序的最後一步是在 Macie 中設定儲存庫設定。

**在 Macie 中設定儲存庫設定**

1. 開啟位於 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 的 Amazon Macie 主控台。

1. 在導覽窗格中的設定下****，選擇**探索結果**。

1. 在**儲存庫下，針對敏感資料探索結果**選擇**建立儲存貯體**。

1. 在**建立儲存貯體**方塊中，輸入儲存貯體的名稱。

   該名稱在所有 S3 儲存貯體中必須是唯一的。此外，名稱只能包含小寫字母、數字、點 (.) 和連字號 (-)。如需其他命名需求，請參閱《*Amazon Simple Storage Service 使用者指南*》中的[儲存貯體命名規則](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucketnamingrules.html)。

1. 展開 **Advanced (進階)** 區段。

1. （選用） 若要指定要在儲存貯體中位置路徑中使用的字首，請在**資料探索結果字**首方塊中輸入字首。

   當您輸入值時，Macie 會更新方塊下方的範例，以顯示儲存貯體位置的路徑，其中將存放您的探索結果。

1. 針對**封鎖所有公開存取**，選擇**是**以啟用儲存貯體的所有封鎖公開存取設定。

   如需這些設定的相關資訊，請參閱《[Amazon Simple Storage Service 使用者指南》中的封鎖對 Amazon S3 儲存體的公開存取](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html)。 **

1. 在**加密設定**下，指定 AWS KMS key 您希望 Macie 用來加密結果的 ：
   + 若要使用自有帳戶的金鑰，請選擇**從您的帳戶選取金鑰**。然後，在**AWS KMS key**清單中，選擇要使用的金鑰。此清單會顯示您帳戶的客戶受管對稱加密 KMS 金鑰。
   + 若要使用另一個帳戶擁有的金鑰，請選擇**從另一個帳戶輸入金鑰的 ARN**。然後，在 **AWS KMS key ARN** 方塊中，輸入要使用的金鑰的 Amazon Resource Name (ARN)，例如 **`arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`**。

1. 當您完成輸入設定時，請選擇**儲存**。

   Macie 會測試設定以確認其正確無誤。如果任何設定不正確，Macie 會顯示錯誤訊息，協助您解決問題。

儲存儲存庫設定後，Macie 會將前 90 天的現有探索結果新增至儲存庫。Macie 也會開始將新的探索結果新增至儲存庫。

### 使用您建立的現有 S3 儲存貯體
<a name="discovery-results-repository-s3-existing-bucket"></a>

如果您偏好將敏感資料探索儲存在您建立的特定 S3 儲存貯體中，請在 Macie 中設定設定之前建立和設定儲存貯體。當您建立儲存貯體時，請注意下列需求：
+ 儲存貯體必須是一般用途的儲存貯體。它不能是另一種類型的儲存貯體，例如目錄儲存貯體。
+ 若要儲存預設啟用之區域的探索結果 AWS 帳戶，例如美國東部 （維吉尼亞北部） 區域，儲存貯體必須位於預設啟用的區域。結果無法存放在選擇加入區域的儲存貯體中 （預設為停用的區域）。
+ 若要儲存選擇加入區域的探索結果，例如中東 （巴林） 區域，儲存貯體必須位於預設啟用的相同區域或區域。結果無法存放在不同選擇加入區域的儲存貯體中。

若要判斷區域是否預設啟用，請參閱*AWS 帳戶管理 《 使用者指南*》[AWS 區域 中的在您的帳戶中啟用或停用](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html) 。

建立儲存貯體後，請更新儲存貯體的政策，以允許 Macie 擷取儲存貯體的相關資訊，並將物件新增至儲存貯體。然後，您可以在 Macie 中設定設定。

**更新儲存貯體的儲存貯體政策**

1. 開啟位於 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) 的 Amazon S3 主控台。

1. 選擇您要儲存探索結果的儲存貯體。

1. 選擇**許可**索引標籤。

1. 在**儲存貯體政策**區段中，選擇**編輯**。

1. 將下列範例政策複製到剪貼簿：

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "Allow Macie to use the GetBucketLocation operation",
               "Effect": "Allow",
               "Principal": {
                   "Service": "macie.amazonaws.com"
               },
               "Action": "s3:GetBucketLocation",
               "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
               "Condition": {
                   "StringEquals": {
                       "aws:SourceAccount": "111122223333"
                   },
                   "ArnLike": {
                       "aws:SourceArn": [
                           "arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
                           "arn:aws:macie2:us-east-1:111122223333:classification-job/*"
                       ]
                   }
               }
           },
           {
               "Sid": "Allow Macie to add objects to the bucket",
               "Effect": "Allow",
               "Principal": {
                   "Service": "macie.amazonaws.com"
               },
               "Action": "s3:PutObject",
               "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional prefix/]*",
               "Condition": {
                   "StringEquals": {
                       "aws:SourceAccount": "111122223333"
                   },
                   "ArnLike": {
                       "aws:SourceArn": [
                           "arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
                           "arn:aws:macie2:us-east-1:111122223333:classification-job/*"
                       ]
                   }
               }
           },
           {
               "Sid": "Deny unencrypted object uploads. This is optional",
               "Effect": "Deny",
               "Principal": {
                   "Service": "macie.amazonaws.com"
               },
               "Action": "s3:PutObject",
               "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional prefix/]*",
               "Condition": {
                   "StringNotEquals": {
                       "s3:x-amz-server-side-encryption": "aws:kms"
                   }
               }
           },
           {
               "Sid": "Deny incorrect encryption headers. This is optional",
               "Effect": "Deny",
               "Principal": {
                   "Service": "macie.amazonaws.com"
               },
               "Action": "s3:PutObject",
               "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional prefix/]*",
               "Condition": {
                   "StringNotEquals": {
                       "s3:x-amz-server-side-encryption-aws-kms-key-id": "arn:aws:kms:us-east-1:111122223333:key/KMSKeyId"
                   }
               }
           },
           {
               "Sid": "Deny non-HTTPS access",
               "Effect": "Deny",
               "Principal": "*",
               "Action": "s3:*",
               "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
               "Condition": {
                   "Bool": {
                       "aws:SecureTransport": "false"
                   }
               }
           }
       ]
   }
   ```

------

1. 在 Amazon S3 主控台的**儲存貯體政策編輯器中貼上範例政策**。

1. 使用適用於您環境的正確值來更新範例政策：
   + 在拒絕不正確加密標頭的選用陳述式中：
     + 將 *amzn-s3-demo-bucket* 取代為儲存貯體的名稱。若要指定儲存貯體中位置路徑的字首，請將 *【選用字首/】* 取代為字首。否則，請移除 *【選用字首/】* 預留位置值。
     + 在 `StringNotEquals`條件中，將 *arn：aws：kms:us-east-1：111122223333：key/KMSKeyId* 取代為 的 Amazon Resource Name (ARN) AWS KMS key ，以用於加密您的探索結果。
   + 在所有其他陳述式中，取代預留位置值，其中：
     + *amzn-s3-demo-bucket* 是儲存貯體的名稱。
     + *【選用字首/】* 是儲存貯體中位置路徑的字首。如果您不想指定字首，請移除此預留位置值。
     + *111122223333* 是 的帳戶 ID AWS 帳戶。
     + *us-east-1* 是您在 AWS 區域 其中使用 Macie 且希望允許 Macie 將探索結果新增至儲存貯體的 區域代碼。

       如果您在多個區域中使用 Macie，並想要允許 Macie 將結果新增至其他區域的儲存貯體，請為每個其他區域新增`aws:SourceArn`條件。例如：

       ```
       "aws:SourceArn": [
           "arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
           "arn:aws:macie2:us-east-1:111122223333:classification-job/*",
           "arn:aws:macie2:us-west-2:111122223333:export-configuration:*",
           "arn:aws:macie2:us-west-2:111122223333:classification-job/*"
       ]
       ```

       或者，您可以允許 Macie 將您使用 Macie 的所有區域的結果新增至儲存貯體。若要這樣做，請將預留位置值取代為萬用字元 (`*`)。例如：

       ```
       "aws:SourceArn": [
           "arn:aws:macie2:*:111122223333:export-configuration:*",
           "arn:aws:macie2:*:111122223333:classification-job/*"
       ]
       ```
   + 如果您在選擇加入區域中使用 Macie，請將適當的區域代碼新增至每個指定 Macie 服務主體之陳述式中 `Service` 欄位的值。例如，如果您在中東 （巴林） 區域使用 Macie，而該區域具有區域碼 *me-south-1*，請在每個適用的陳述式`macie.me-south-1.amazonaws.com`中將 取代`macie.amazonaws.com`為 。

     如需目前可使用 Macie 的區域清單和每個區域代碼，請參閱 中的 [Amazon Macie 端點和配額](https://docs.aws.amazon.com/general/latest/gr/macie.html)*AWS 一般參考*。

   請注意，範例政策包含的陳述式可讓 Macie 判斷儲存貯體位於哪個區域 (`GetBucketLocation`)，並將物件新增至儲存貯體 ()`PutObject`。這些陳述式定義使用兩個 IAM 全域條件索引鍵的條件：
   + [aws：SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) – 此條件允許 Macie 僅為您的帳戶將敏感資料探索結果新增至儲存貯體。它可防止 Macie 將其他帳戶的探索結果新增至儲存貯體。更具體地說， 條件指定哪個帳戶可以使用 儲存貯體處理`aws:SourceArn`條件指定的資源和動作。

     若要將其他帳戶的結果儲存在儲存貯體中，請將每個其他帳戶的帳戶 ID 新增至此條件。例如：

     ```
     "aws:SourceAccount": [111122223333,444455556666]
     ```
   + [aws：SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) – 此條件會根據要新增至儲存貯體的物件來源，限制對儲存貯體的存取。它 AWS 服務 可防止其他 將物件新增至儲存貯體。它也可防止 Macie 在為您的帳戶執行其他動作時，將物件新增至儲存貯體。更具體地說， 條件僅允許 Macie 在以下情況下將物件新增至儲存貯體：物件是敏感資料探索結果，而結果用於自動敏感資料探索，或由指定區域中的指定帳戶建立的敏感資料探索任務。

     若要允許 Macie 為其他帳戶執行指定的動作，請將每個其他帳戶的 ARNs 新增至此條件。例如：

     ```
     "aws:SourceArn": [
         "arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
         "arn:aws:macie2:us-east-1:111122223333:classification-job/*",
         "arn:aws:macie2:us-east-1:444455556666:export-configuration:*",
         "arn:aws:macie2:us-east-1:444455556666:classification-job/*"
     ]
     ```

   `aws:SourceAccount` 和 `aws:SourceArn`條件指定的帳戶應相符。

   這兩種條件都有助於防止 Macie 在與 Amazon S3 的交易期間被用作[混淆代理人](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)。雖然我們不建議這麼做，但您可以從儲存貯體政策中移除這些條件。

1. 當您完成更新儲存貯體政策時，請選擇**儲存變更**。

您現在可以在 Macie 中設定儲存庫設定。

**在 Macie 中設定儲存庫設定**

1. 開啟位於 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 的 Amazon Macie 主控台。

1. 在導覽窗格中的設定下****，選擇**探索結果**。

1. 在**儲存庫下取得敏感資料探索結果**，選擇**現有儲存貯體**。

1. 針對**選擇儲存貯**體，選取您要存放探索結果的儲存貯體。

1. 若要指定儲存貯體中位置路徑的字首，請展開**進階**區段。然後，針對**資料探索結果字**首，輸入字首。

   當您輸入值時，Macie 會更新方塊下方的範例，以顯示儲存貯體位置的路徑，其中將存放您的探索結果。

1. 在**加密設定**下，指定 AWS KMS key 您希望 Macie 用來加密結果的 ：
   + 若要使用自有帳戶的金鑰，請選擇**從您的帳戶選取金鑰**。然後，在**AWS KMS key**清單中，選擇要使用的金鑰。此清單會顯示您帳戶的客戶受管對稱加密 KMS 金鑰。
   + 若要使用另一個帳戶擁有的金鑰，請選擇**從另一個帳戶輸入金鑰的 ARN**。然後，在 **AWS KMS key ARN** 方塊中，輸入要使用的金鑰 ARN，例如 **arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab**。

1. 當您完成輸入設定時，請選擇**儲存**。

   Macie 會測試設定以確認其正確無誤。如果任何設定不正確，Macie 會顯示錯誤訊息，協助您解決問題。

儲存儲存庫設定後，Macie 會將前 90 天的現有探索結果新增至儲存庫。Macie 也會開始將新的探索結果新增至儲存庫。

**注意**  
如果您之後變更**資料探索結果字首**設定，也請在 Amazon S3 中更新儲存貯體政策。指定前一個字首的政策陳述式必須指定新的字首。否則，Macie 將無法將探索結果新增至儲存貯體。

**提示**  
為了降低伺服器端加密成本，也請設定 S3 儲存貯體使用 S3 儲存貯體金鑰，並指定 AWS KMS key 您為敏感資料探索結果加密設定的 。使用 S3 儲存貯體金鑰可減少對 的呼叫數量 AWS KMS，進而降低 AWS KMS 請求成本。如果 KMS 金鑰位於外部金鑰存放區中，使用 S3 儲存貯體金鑰也可以將使用金鑰的效能影響降至最低。若要進一步了解，請參閱《[Amazon Simple Storage Service 使用者指南》中的使用 Amazon S3 儲存貯體金鑰降低 SSE-KMS 的成本](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html)。 **

# 支援的儲存類別和格式
<a name="discovery-supported-storage"></a>

為了協助您探索 Amazon Simple Storage Service (Amazon S3) 資料資產中的敏感資料，Amazon Macie 支援大多數 Amazon S3 儲存類別和各種檔案和儲存格式。此支援適用於使用[受管資料識別符](managed-data-identifiers.md)，以及使用[自訂資料識別符](custom-data-identifiers.md)來分析 S3 物件。

若要讓 Macie 分析 S3 物件，必須使用支援的儲存類別將物件存放在 Amazon S3 一般用途儲存貯體中。物件也必須使用支援的檔案或儲存格式。本節中的主題會列出 Macie 目前支援的儲存類別以及檔案和儲存格式。

**提示**  
雖然 Macie 已針對 Amazon S3 進行最佳化，但您可以使用它來探索您目前存放在其他地方之資源中的敏感資料。您可以暫時或永久將資料移至 Amazon S3 來執行此操作。例如，以 Apache Parquet 格式將 Amazon Relational Database Service 或 Amazon Aurora 快照匯出至 Amazon S3。或將 Amazon DynamoDB 資料表匯出至 Amazon S3。然後，您可以建立敏感資料探索任務，以分析 Amazon S3 中的資料。

**Topics**
+ [支援的儲存類別](#discovery-supported-s3-classes)
+ [支援的檔案和儲存格式](#discovery-supported-formats)

## 支援的 Amazon S3 儲存類別
<a name="discovery-supported-s3-classes"></a>

對於敏感資料探索，Amazon Macie 支援下列 Amazon S3 儲存類別：
+ 降低備援 (RRS)
+ S3 Glacier Instant Retrieval
+ S3 Intelligent‐Tiering
+ S3 單區域-不常存取 (S3 單區域-IA)
+ S3 Standard
+ S3 標準不常存取 (S3 標準 IA)

Macie 不會分析使用其他 Amazon S3 Amazon S3儲存類別的 S3 物件，例如 S3 Glacier Deep Archive 或 S3 Express One Zone。此外，Macie 不會分析存放在 S3 目錄儲存貯體中的物件。

如果您設定敏感資料探索任務來分析未使用支援 Amazon S3 儲存類別的 S3 物件，Macie 會在任務執行時略過這些物件。 Amazon S3 Macie 不會嘗試擷取或分析物件中的資料，物件會被視為*無法分類的物件*。*無法分類的物件*是不使用支援的儲存類別或支援的檔案或儲存格式的物件。Macie 只會分析使用支援的儲存類別和支援的檔案或儲存格式的物件。

同樣地，如果您將 Macie 設定為執行自動敏感資料探索，則無法分類的物件不符合選取和分析的資格。Macie 只會選取使用支援的 Amazon S3 儲存類別和支援的檔案或儲存格式的物件。

若要識別存放無法分類物件的 S3 儲存貯體，您可以[篩選 S3 儲存貯體庫存](monitoring-s3-inventory-filter.md)。對於您庫存中的每個儲存貯體，有欄位會報告儲存貯體中無法分類物件的數量和總儲存體大小。

如需 Amazon S3 提供的儲存類別的詳細資訊，請參閱《Amazon *Simple Storage Service 使用者指南》中的*[使用 Amazon S3 儲存類別](https://docs.aws.amazon.com/AmazonS3/latest/userguide/storage-class-intro.html)。

## 支援的檔案和儲存格式
<a name="discovery-supported-formats"></a>

當 Amazon Macie 分析 S3 物件時，Macie 會從 Amazon S3 擷取物件的最新版本，然後執行物件內容的深度檢查。此檢查會考量資料的檔案或儲存格式。Macie 可以分析許多不同格式的資料，包括常用的壓縮和封存格式。

當 Macie 分析壓縮或封存檔案中的資料時，Macie 會檢查完整檔案和檔案的內容。若要檢查檔案的內容，Macie 會解壓縮檔案，然後檢查每個使用支援格式的解壓縮檔案。Macie 最多可以執行 1，000，000 個檔案，以及高達 10 個層級的巢狀深度。如需適用於敏感資料探索的其他配額資訊，請參閱[Macie 配額](macie-quotas.md)。

下表列出並說明 Macie 可以分析的檔案和儲存格式類型，以偵測敏感資料。對於每個支援的類型，資料表也會列出適用的檔案名稱副檔名。


| 檔案或儲存類型 | 描述 | 檔案名稱副檔名 | 
| --- | --- | --- | 
|  大數據  |  Apache Avro 物件容器和 Apache Parquet 檔案  |  .avro、.parquet  | 
|  壓縮或存檔  |  GNU Zip 壓縮封存、TAR 封存和 ZIP 壓縮封存  |  .gz、.gzip、.tar、.zip  | 
|  文件  |  Adobe 可攜式文件格式檔案、Microsoft Excel 工作手冊和 Microsoft Word 文件  |  .doc、.docx、.pdf、.xls、.xlsx  | 
|  電子郵件訊息  |  電子郵件檔案的內容符合 IETF RFC 為電子郵件訊息指定的要求，例如 [RFC 2822](https://www.rfc-editor.org/rfc/rfc2822)  |  .eml  | 
|  文字  |  非二進位文字檔案。範例包括：逗號分隔值 (CSV) 檔案、可擴展標記語言 (XML) 檔案、超文字標記語言 (HTML) 檔案、JavaScript 物件標記 (JSON) 檔案、JSON 行檔案、純文字文件、標籤分隔值 (TSV) 檔案和 YAML 檔案  |  根據非二進位文字檔案的類型：.csv、.htm、.html、.json、.jsonl、.tsv、.txt、.xml、.yaml、.yml 等  | 

Macie 不會分析影像中的資料，也不會分析音訊、影片和其他類型的多媒體內容。

如果您設定敏感資料探索任務來分析不使用支援檔案或儲存格式的 S3 物件，Macie 會在任務執行時略過這些物件。Macie 不會嘗試擷取或分析物件中的資料，物件會被視為*無法分類的物件*。*無法分類的物件*是不使用支援的 Amazon S3 儲存類別或支援的檔案或儲存格式的物件。Macie 只會分析使用支援的儲存類別和支援的檔案或儲存格式的物件。

同樣地，如果您將 Macie 設定為執行自動敏感資料探索，則無法分類的物件不符合選取和分析的資格。Macie 只會選取使用支援的 Amazon S3 儲存類別和支援的檔案或儲存格式的物件。

若要識別存放不可分類物件的 S3 儲存貯體，您可以[篩選 S3 儲存貯體庫存](monitoring-s3-inventory-filter.md)。對於您庫存中的每個儲存貯體，有欄位會報告儲存貯體中無法分類物件的數量和總儲存體大小。