修復自動化敏感資料探索的涵蓋範圍問題

此類問題的最常見原因是限制性儲存貯體政策。儲存貯體政策是資源型 AWS Identity and Access Management (IAM) 政策，指定委託人 （使用者、帳戶、服務或其他實體） 可以在 S3 儲存貯體上執行的動作，以及委託人可以執行這些動作的條件。限制性儲存貯體政策使用明確Allow或Deny陳述式，根據特定條件授予或限制對儲存貯體資料的存取。例如，儲存貯體政策可能包含 Allow或 Deny陳述式，除非使用特定來源 IP 地址來存取儲存貯體，否則拒絕存取儲存貯體。

如果 S3 儲存貯體的儲存貯體政策包含具有一或多個條件的明確Deny陳述式，則可能不允許 Macie 擷取和分析儲存貯體的物件以偵測敏感資料。Macie 只能提供有關儲存貯體的資訊子集，例如儲存貯體的名稱和建立日期。

若要修復此問題，請更新 S3 儲存貯體的儲存貯體政策。確保政策允許 Macie 存取儲存貯體和儲存貯體的物件。若要允許此存取，請將 Macie 服務連結角色 (AWSServiceRoleForAmazonMacie) 的條件新增至政策。條件應排除 Macie 服務連結角色與政策中的Deny限制相符。它可以使用您帳戶的 Macie 服務連結角色的aws:PrincipalArn全域條件內容金鑰和 Amazon Resource Name (ARN) 來執行此操作。

如果您更新儲存貯體政策，且 Macie 可以存取 S3 儲存貯體，則 Macie 會偵測變更。發生這種情況時，Macie 會更新統計資料、庫存資料，以及其提供的其他 Amazon S3 資料相關資訊。此外，儲存貯體的物件在後續分析週期中，將是分析的較高優先順序。

如需更新 S3 儲存貯體政策以允許 Macie 存取儲存貯體的詳細資訊，請參閱 允許 Macie 存取 S3 儲存貯體和物件。如需使用儲存貯體政策控制對儲存貯體之存取的相關資訊，請參閱《Amazon Simple Storage Service 使用者指南》中的儲存貯體政策及 Amazon S3 如何授權請求。

此錯誤通常會發生，因為 S3 物件是格式錯誤或損毀的檔案。因此，Macie 無法剖析和分析 檔案中的所有資料。

如果 S3 物件的分析將超過個別檔案的敏感資料探索配額，則也可能發生此錯誤。例如，物件的儲存體大小超過該類型檔案的大小配額。

對於這兩種情況，Macie 都無法完成 S3 物件的分析，且物件的分析狀態為略過 (SKIPPED)。

若要調查此錯誤，請下載 S3 物件並檢查檔案的格式和內容。也針對敏感資料探索的 Macie 配額評估 檔案的內容。

如果您未修復此錯誤，Macie 會嘗試分析 S3 儲存貯體中的其他物件。如果 Macie 成功分析另一個物件，則 Macie 將更新涵蓋範圍資料及其提供有關儲存貯體的其他資訊。

如需敏感資料探索配額清單，包括特定類型檔案的配額，請參閱 Macie 配額。如需有關 Macie 如何更新敏感度分數的資訊，以及其提供的其他 S3 儲存貯體相關資訊，請參閱 自動化敏感資料探索的運作方式。

Amazon S3 支援 S3 物件的多個加密選項。對於大多數選項，Macie 可以使用您帳戶的 Macie 服務連結角色來解密物件。不過，這取決於使用的加密類型。

若要讓 Macie 解密 S3 物件，該物件必須使用 Macie 可存取且允許使用的金鑰加密。如果物件使用客戶提供的金鑰加密，Macie 無法提供從 Amazon S3 擷取物件的必要金鑰材料。因此，Macie 無法分析物件，且物件的分析狀態為略過 (SKIPPED)。

若要修復此錯誤，請使用 Amazon S3 受管金鑰或 AWS Key Management Service (AWS KMS) 金鑰加密 S3 物件。 Amazon S3 如果您偏好使用 AWS KMS 金鑰，則可以使用受 AWS 管 KMS 金鑰，或允許 Macie 使用的客戶受管 KMS 金鑰。

若要使用 Macie 可存取和使用的金鑰來加密現有的 S3 物件，您可以變更物件的加密設定。若要使用 Macie 可存取和使用的金鑰來加密新物件，請變更 S3 儲存貯體的預設加密設定。此外，請確定儲存貯體的政策不需要使用客戶提供的金鑰來加密新的物件。

如果您未修復此錯誤，Macie 會嘗試分析 S3 儲存貯體中的其他物件。如果 Macie 成功分析另一個物件，則 Macie 將更新涵蓋範圍資料及其提供有關儲存貯體的其他資訊。

如需使用 Macie 分析加密 S3 物件之需求和選項的相關資訊，請參閱分析加密的 Amazon S3 物件。如需 S3 儲存貯體加密選項和設定的相關資訊，請參閱《Amazon Simple Storage Service 使用者指南》中的使用加密保護資料和設定 S3 儲存貯體的預設伺服器端加密行為。

AWS KMS 提供停用和刪除客戶受管的選項 AWS KMS keys。如果 S3 物件使用已停用的 KMS 金鑰加密、排定刪除或刪除，則 Macie 無法擷取和解密物件。因此，Macie 無法分析物件，且物件的分析狀態為略過 (SKIPPED)。若要讓 Macie 分析加密的物件，該物件必須使用 Macie 可存取且允許使用的金鑰進行加密。

若要修復此錯誤，請重新啟用適用的 AWS KMS key 或取消排程的金鑰刪除，視金鑰的目前狀態而定。如果已刪除適用的金鑰，則無法修復此錯誤。

若要判斷哪些物件 AWS KMS key 用於加密 S3 物件，您可以使用 Macie 來檢閱 S3 儲存貯體的伺服器端加密設定。如果儲存貯體的預設加密設定設定為使用 KMS 金鑰，儲存貯體的詳細資訊會指出使用的金鑰。然後，您可以檢查該金鑰的狀態。或者，您可以使用 Amazon S3 來檢閱儲存貯體和儲存貯體中個別物件的加密設定。

如果您未修復此錯誤，Macie 會嘗試分析 S3 儲存貯體中的其他物件。如果 Macie 成功分析另一個物件，則 Macie 將更新涵蓋範圍資料及其提供有關儲存貯體的其他資訊。

如需使用 Macie 檢閱 S3 儲存貯體之伺服器端加密設定的相關資訊，請參閱 檢閱 S3 儲存貯體的詳細資訊。如需有關重新啟用 AWS KMS key 或取消排程刪除金鑰的資訊，請參閱《 AWS Key Management Service 開發人員指南》中的啟用和停用金鑰和刪除金鑰。

此錯誤通常是因為 S3 物件使用 Macie 不允許使用的客戶受管 AWS Key Management Service (AWS KMS) 金鑰進行加密。如果使用客戶受管的物件加密 AWS KMS key，金鑰的政策必須允許 Macie 使用金鑰解密資料。

如果 Amazon S3 許可設定導致 Macie 無法擷取 S3 物件，也可能發生此錯誤。S3 儲存貯體的儲存貯體政策可能會限制對特定儲存貯體物件的存取，或僅允許特定主體 （使用者、帳戶、服務或其他實體） 存取物件。或者，物件的存取控制清單 (ACL) 可能會限制對物件的存取。因此，可能不允許 Macie 存取物件。

對於上述任何情況，Macie 無法擷取和分析物件，且物件的分析狀態為略過 (SKIPPED)。

若要修復此錯誤，請判斷 S3 物件是否使用客戶受管加密 AWS KMS key。如果是，請確定金鑰的政策允許 Macie 服務連結角色 (AWSServiceRoleForAmazonMacie) 使用金鑰解密資料。如何允許此存取取決於擁有 的帳戶是否 AWS KMS key 也擁有存放物件的 S3 儲存貯體。如果同一個帳戶擁有 KMS 金鑰和儲存貯體，帳戶使用者必須更新金鑰的政策。如果一個帳戶擁有 KMS 金鑰，而另一個帳戶擁有儲存貯體，則擁有金鑰的帳戶使用者必須允許跨帳戶存取金鑰。

如果 Macie 已獲准使用適用的 ， AWS KMS key 或 S3 物件未透過客戶受管 KMS 金鑰加密，請確定儲存貯體的政策允許 Macie 存取物件。同時確認物件的 ACL 允許 Macie 讀取物件的資料和中繼資料。

對於儲存貯體政策，您可以將 Macie 服務連結角色的條件新增至政策，以允許此存取。條件應排除 Macie 服務連結角色與政策中的Deny限制相符。它可以使用您帳戶的 Macie 服務連結角色的aws:PrincipalArn全域條件內容金鑰和 Amazon Resource Name (ARN) 來執行此操作。

對於物件 ACL，您可以與物件擁有者合作，將 新增至具有物件READ許可的承授者 AWS 帳戶 ，以允許此存取。然後，Macie 可以使用您帳戶的 服務連結角色來擷取和分析物件。另請考慮變更儲存貯體的物件擁有權設定。您可以使用這些設定來停用儲存貯體中所有物件ACLs，並將擁有權許可授予擁有儲存貯體的帳戶。

如果您未修復此錯誤，Macie 會嘗試分析 S3 儲存貯體中的其他物件。如果 Macie 成功分析另一個物件，則 Macie 將更新涵蓋範圍資料及其提供有關儲存貯體的其他資訊。

如需允許 Macie 使用客戶受管 解密資料的詳細資訊 AWS KMS key，請參閱 允許 Macie 使用客戶受管 AWS KMS key。如需更新 S3 儲存貯體政策以允許 Macie 存取儲存貯體的詳細資訊，請參閱 允許 Macie 存取 S3 儲存貯體和物件。

如需更新金鑰政策的相關資訊，請參閱《 AWS Key Management Service 開發人員指南》中的變更金鑰政策。如需使用受管客戶 AWS KMS keys 來加密 S3 物件的資訊，請參閱《Amazon Simple Storage Service 使用者指南》中的使用伺服器端加密搭配 AWS KMS 金鑰。

如需使用儲存貯體政策控制對 S3 儲存貯體的存取的資訊，請參閱《Amazon Simple Storage Service 使用者指南》中的存取控制和 Amazon S3 如何授權請求。如需有關使用 ACLs 或物件擁有權設定來控制對 S3 物件的存取的資訊，請參閱《Amazon Simple Storage Service 使用者指南》中的使用 ACLs 管理存取權和控制物件的擁有權，以及停用儲存貯體ACLs。

若要符合選取和分析的資格，S3 物件必須使用 Macie 支援的 Amazon S3 儲存類別。物件也必須具有 Macie 支援的檔案或儲存格式的檔案名稱副檔名。如果物件不符合這些條件，則該物件會被視為無法分類的物件。Macie 不會嘗試擷取或分析無法分類物件中的資料。

如果 S3 儲存貯體中的所有物件都是無法分類的物件，則整體儲存貯體會是無法分類的儲存貯體。Macie 無法執行儲存貯體的自動敏感資料探索。

若要解決此問題，請檢閱生命週期組態規則和其他設定，以決定哪些儲存類別用於將物件存放在 S3 儲存貯體中。請考慮調整這些設定，以使用 Macie 支援的儲存類別。您也可以變更儲存貯體中現有物件的儲存體類別。

同時評估 S3 儲存貯體中現有物件的檔案和儲存格式。若要分析物件，請考慮將資料暫時或永久移植到使用支援格式的新物件。

如果物件已新增至 S3 儲存貯體，且使用支援的儲存類別和格式，則下次評估儲存貯體庫存時，Macie 會偵測物件。發生這種情況時，Macie 會停止報告儲存貯體在統計資料、涵蓋範圍資料和其提供的其他 Amazon S3 資料相關資訊中無法分類。 Amazon S3 此外，在後續分析週期期間，新的物件將是分析的較高優先順序。

如需有關 Amazon S3 儲存類別以及 Macie 支援的檔案和儲存格式的資訊，請參閱 支援的儲存類別和格式。如需有關生命週期組態規則和 Amazon S3 提供的儲存類別選項的資訊，請參閱《Amazon Simple Storage Service 使用者指南》中的管理您的儲存生命週期和使用 Amazon S3 儲存類別。