本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

設定 Macie 擷取敏感資料範例

您可以選擇性地設定和使用 Amazon Macie，以擷取和顯示 Macie 在個別調查結果中報告的敏感資料範例。這些範例可協助您驗證 Macie 找到的敏感資料的性質。他們也可以協助您自訂受影響的 Amazon Simple Storage Service （Amazon S3） 物件和儲存貯體的調查。您可以在除亞太區域 （大阪） 和以色列 （特拉維夫） 區域以外 AWS 區域 ，Macie 目前可用的所有 中擷取並顯示敏感資料範例。

當您擷取並顯示調查結果的敏感資料範例時，Macie 會使用對應敏感資料探索結果中的資料，來找出受影響 S3 物件中敏感資料的發生率。然後，Macie 從受影響的物件中擷取這些事件的範例。Macie 會使用您指定的 AWS Key Management Service （AWS KMS） 金鑰加密擷取的資料、暫時將加密的資料存放在快取中，並將資料傳回至調查結果中。擷取和加密之後，Macie 很快就會永久刪除快取中的資料，除非為了解決操作問題而暫時需要額外的保留。

若要擷取並顯示調查結果的敏感資料範例，您必須先設定和啟用 Macie 帳戶的設定。您也需要設定帳戶的支援資源和許可。本節中的主題會引導您完成設定 Macie 以擷取和顯示敏感資料範例，以及管理帳戶組態狀態的程序。

開始之前

設定 Amazon Macie 擷取並顯示敏感資料範例以進行調查結果之前，請完成下列任務，以確保您擁有所需的資源和許可。

如果您已設定 Macie 擷取並顯示敏感資料範例，而且只想要變更組態設定，這些任務是選用的。

步驟 1：為敏感資料探索結果設定儲存庫

當您擷取並顯示調查結果的敏感資料範例時，Macie 會使用對應敏感資料探索結果中的資料，來找出受影響 S3 物件中敏感資料的發生率。因此，請務必確認您已為敏感資料探索結果設定儲存庫。否則，Macie 將無法找到您要擷取和顯示的敏感資料範例。

若要判斷是否已為您的帳戶設定此儲存庫，您可以使用 Amazon Macie 主控台：在導覽窗格中選擇探索結果 （設定 下）。若要以程式設計方式執行此操作，請使用 Amazon Macie GetClassificationExportConfiguration的操作API。若要進一步了解敏感資料探索結果以及如何設定此儲存庫，請參閱 儲存及保留敏感資料探索結果。

步驟 2：判斷如何存取受影響的 S3 物件

若要存取受影響的 S3 物件並從中擷取敏感資料範例，您有兩個選項。您可以設定 Macie 使用您的 AWS Identity and Access Management （IAM） 使用者憑證。或者，您可以將 Macie 設定為擔任委派存取 Macie IAM的角色。您可以搭配任何類型的 Macie 帳戶使用組態：組織的委派 Macie 管理員帳戶、組織中的 Macie 成員帳戶或獨立的 Macie 帳戶。在 Macie 中設定設定之前，請先決定要使用的存取方法。如需有關每種方法的選項和需求的詳細資訊，請參閱 擷取範例的組態選項。

如果您計劃使用IAM角色，請在 Macie 中設定設定之前建立和設定角色。同時，請確定角色的信任和許可政策符合 Macie 擔任角色的所有要求。如果您的 帳戶是集中管理多個 Macie 帳戶的組織的一部分，請與您的 Macie 管理員合作，先決定是否以及如何設定 帳戶的角色。

步驟 3：設定 AWS KMS key

當您擷取並顯示調查結果的敏感資料範例時，Macie 會使用您指定的 AWS Key Management Service （AWS KMS） 金鑰加密範例。因此，您需要決定 AWS KMS key 要使用哪個 來加密範例。金鑰可以是來自您自己的帳戶的現有KMS金鑰，也可以是另一個帳戶擁有的現有KMS金鑰。如果您想要使用另一個帳戶擁有的金鑰，請取得金鑰的 Amazon Resource Name （ARN）。在 Macie 中輸入組態設定ARN時，您需要指定此項目。

KMS 金鑰必須是客戶管理的對稱加密金鑰。它也必須是在您的 AWS 區域 Macie 帳戶中啟用的單一區域金鑰。KMS 金鑰可以在外部金鑰存放區中。但是，相較於完全在 內管理的金鑰，金鑰可能更慢且更不可靠 AWS KMS。如果延遲或可用性問題阻止 Macie 加密您想要擷取和揭露的敏感資料範例，則會發生錯誤，且 Macie 不會傳回調查結果的任何範例。

此外，金鑰的金鑰政策必須允許適當的主體 （IAM角色、IAM使用者或 AWS 帳戶） 執行下列動作：

如需有關建立和設定KMS金鑰的資訊，請參閱 AWS Key Management Service 開發人員指南 中的建立KMS金鑰。如需使用金鑰政策來管理KMS金鑰存取權的詳細資訊，請參閱 AWS Key Management Service 開發人員指南 中的金鑰政策 AWS KMS。

步驟 4：驗證您的許可

在 Macie 中設定設定之前，也請確認您擁有所需的許可。若要驗證您的許可，請使用 AWS Identity and Access Management （IAM） 來檢閱連接到您IAM身分IAM的政策。然後將這些政策中的資訊與下列您必須執行的動作清單進行比較。

如果您不被允許執行必要動作，請向您的 AWS 管理員尋求協助。

設定和啟用 Macie 設定

確認您擁有所需的資源和許可後，您可以在 Amazon Macie 中設定設定，並啟用帳戶的組態。

如果您的帳戶是集中管理多個 Macie 帳戶的組織的一部分，請在設定或隨後變更帳戶設定之前注意下列事項：

如需任一帳戶類型的組態選項和需求的詳細資訊，請參閱 擷取範例的組態選項。

若要在 Macie 中設定並啟用帳戶的組態，您可以使用 Amazon Macie 主控台或 Amazon Macie API。

Console

請依照下列步驟，使用 Amazon Macie 主控台來設定和啟用設定。

若要設定和啟用 Macie 設定

1. 在 開啟 Amazon Macie 主控台https://console.aws.amazon.com/macie/。

2. 使用頁面右上角的 AWS 區域 選取器，選擇要設定的區域，並讓 Macie 擷取並顯示敏感資料範例。

3. 在導覽窗格中的設定 下，選擇顯示範例 。

4. 在 Settings (設定) 區段中，選擇 Edit (編輯)。

5. 針對 Status (狀態)，請選擇 Enable (啟用)。

6. 在存取 下，指定從受影響的 S3 物件擷取敏感資料範例時要使用的存取方法和設定：

   • 若要使用將存取權委派給 Macie IAM的角色，請選擇擔任IAM角色 。如果您選擇此選項，Macie 會透過擔任您在 中建立和設定IAM的角色來擷取範例 AWS 帳戶。在角色名稱方塊中，輸入角色的名稱。

   • 若要使用請求樣品IAM的使用者憑證，請選擇使用IAM使用者憑證 。如果您選擇此選項，您帳戶的每個使用者都會使用其個別IAM身分來擷取範例。

7. 在加密 下，指定 AWS KMS key 您要用來加密擷取之敏感資料範例的 ：

   • 若要使用您自有帳戶中的KMS金鑰，請選擇從您的帳戶選取金鑰。然後，在AWS KMS key清單中，選擇要使用的金鑰。清單會顯示您帳戶的現有對稱加密KMS金鑰。

   • 若要使用另一個帳戶擁有的KMS金鑰，請選擇從另一個帳戶輸入金鑰ARN的 。然後，在 AWS KMS key ARN 方塊中，輸入要使用之金鑰的 Amazon Resource Name （ARN），例如 arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab。

8. 完成輸入設定後，請選擇儲存 。

Macie 會測試設定並驗證其是否正確。如果您將 Macie 設定為擔任IAM角色，Macie 也會驗證帳戶中是否存在該角色，且信任和許可政策已正確設定。如果發生問題，Macie 會顯示說明問題的訊息。

若要解決 的問題 AWS KMS key，請參閱上一個主題中的要求，並指定符合要求的KMS金鑰。若要解決IAM角色的問題，請先驗證您輸入了正確的角色名稱。如果名稱正確，請確定角色的政策符合 Macie 擔任角色的所有要求。如需這些詳細資訊，請參閱 設定IAM角色以存取受影響的 S3 物件。解決任何問題之後，您可以儲存和啟用設定。

注意

如果您是組織的 Macie 管理員，且已將 Macie 設定為擔任 IAM角色，則 Macie 會在儲存帳戶設定後產生並顯示外部 ID。請注意此 ID。每個適用成員帳戶中IAM角色的信任政策必須指定此 ID。否則，您將無法從帳戶擁有的 S3 物件擷取敏感資料範例。

API

若要以程式設計方式設定和啟用設定，請使用 Amazon Macie UpdateRevealConfiguration的操作API。在您的請求中，為支援的參數指定適當的值：

• 針對 retrievalConfiguration 參數，指定從受影響的 S3 物件擷取敏感資料範例時要使用的存取方法和設定：

  • 若要擔任將存取權委派給 Macie IAM的角色，ASSUME_ROLE請指定 retrievalMode 參數，並指定 roleName 參數的角色名稱。如果您指定這些設定，Macie 會透過擔任您在 中建立和設定IAM的角色來擷取範例 AWS 帳戶。

  • 若要使用請求樣品IAM的使用者憑證，CALLER_CREDENTIALS請為 retrievalMode 參數指定 。如果您指定此設定，您帳戶的每個使用者都會使用其個別IAM身分來擷取範例。

  重要

  如果您未指定這些參數的值，Macie 會將存取方法 （retrievalMode） 設定為 CALLER_CREDENTIALS。如果 Macie 目前設定為使用IAM角色來擷取範例，Macie 也會永久刪除目前角色名稱和組態的外部 ID。若要保留現有組態的這些設定，請在請求中包含retrievalConfiguration參數，並指定這些參數的目前設定。若要擷取目前的設定，請使用 GetRevealConfiguration操作，或者，如果您使用的是 AWS Command Line Interface （AWS CLI），請執行 get-reveal-configuration命令。

• 針對 kmsKeyId 參數，指定您要用來加密擷取之敏感資料範例 AWS KMS key 的 ：

  • 若要使用您自有帳戶中的KMS金鑰，請指定金鑰的 Amazon Resource Name （ARN）、ID 或別名。如果您指定別名，請包含alias/字首，例如 alias/ExampleAlias。

  • 若要使用另一個帳戶擁有的KMS金鑰，請指定金鑰ARN的 ，例如 arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab。或指定金鑰別名ARN的 ，例如 arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias。

• 針對 status 參數，指定 ENABLED 以啟用 Macie 帳戶的組態。

在請求中，也請確定您指定要在 AWS 區域 其中啟用和使用組態的 。

若要使用 來設定和啟用設定 AWS CLI，請執行 update-reveal-configuration命令，並為支援的參數指定適當的值。例如，如果您在 Microsoft Windows AWS CLI 上使用 ，請執行下列命令：

C:\> aws macie2 update-reveal-configuration ^
--region us-east-1 ^
--configuration={\"kmsKeyId\":\"arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias\",\"status\":\"ENABLED\"} ^
--retrievalConfiguration={\"retrievalMode\":\"ASSUME_ROLE\",\"roleName\":\"MacieRevealRole\"}

其中：

• us-east-1 是要在其中啟用和使用組態的區域。在此範例中，美國東部 （維吉尼亞北部） 區域。

• arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias 是 AWS KMS key 要使用ARN的別名。在此範例中，金鑰由另一個 帳戶擁有。

• ENABLED 是組態的狀態。

• ASSUME_ROLE 是要使用的存取方法。在此範例中，擔任指定的IAM角色。

• MacieRevealRole 是 Macie 在擷取敏感資料範例時要擔任IAM的角色名稱。

上述範例使用 caret （^） 換行字元來改善可讀性。

當您提交請求時，Macie 會測試設定。如果您將 Macie 設定為擔任IAM角色，Macie 也會驗證帳戶中是否存在該角色，且信任和許可政策已正確設定。如果發生問題，您的請求會失敗，Macie 會傳回說明問題的訊息。若要解決 的問題 AWS KMS key，請參閱上一個主題中的要求，並指定符合要求的KMS金鑰。若要解決IAM角色的問題，請先驗證您指定的角色名稱是否正確。如果名稱正確，請確定角色的政策符合 Macie 擔任角色的所有要求。如需這些詳細資訊，請參閱 設定IAM角色以存取受影響的 S3 物件。解決問題後，請再次提交您的請求。

如果您的請求成功，Macie 會在指定的區域中啟用帳戶的組態，而您會收到類似下列的輸出。

{
  "configuration": {
    "kmsKeyId": "arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias",
    "status": "ENABLED"
  },
  "retrievalConfiguration": {
    "externalId": "o2vee30hs31642lexample",
    "retrievalMode": "ASSUME_ROLE",
    "roleName": "MacieRevealRole"
  }
}

其中 kmsKeyId指定 AWS KMS key 用於加密擷取的敏感資料範例，且 status是 Macie 帳戶的組態狀態。這些retrievalConfiguration值會指定擷取範例時要使用的存取方法和設定。

注意

如果您是組織的 Macie 管理員，且已將 Macie 設定為擔任 IAM角色，請在回應中記下外部 ID （externalId）。每個適用成員帳戶中IAM角色的信任政策必須指定此 ID。否則，您將無法從帳戶擁有的受影響 S3 物件中擷取敏感資料範例。

若要後續檢查帳戶的設定或組態狀態，請使用 GetRevealConfiguration操作，或針對 AWS CLI執行 get-reveal-configuration命令。

停用 Macie 設定

您可以隨時停用 Amazon Macie 帳戶的組態設定。如果您停用組態，Macie 會保留設定，指定 AWS KMS key 要用來加密擷取的敏感資料範例。Macie 永久刪除組態的 Amazon S3 存取設定。

若要停用 Macie 帳戶的組態設定，您可以使用 Amazon Macie 主控台或 Amazon Macie API。

Console

請依照下列步驟，使用 Amazon Macie 主控台停用帳戶的組態設定。

若要停用 Macie 設定

1. 在 開啟 Amazon Macie 主控台https://console.aws.amazon.com/macie/。

2. 使用頁面右上角的 AWS 區域 選取器，選擇要停用 Macie 帳戶組態設定的區域。

3. 在導覽窗格中的設定 下，選擇顯示範例 。

4. 在 Settings (設定) 區段中，選擇 Edit (編輯)。

5. 針對狀態 ，選擇停用 。

6. 選擇 Save (儲存)。

API

若要以程式設計方式停用組態設定，請使用 Amazon Macie UpdateRevealConfiguration的操作API。在請求中，請確定您指定要在 AWS 區域 其中停用組態的 。針對 status 參數，請指定 DISABLED。

若要使用 AWS Command Line Interface （AWS CLI） 停用組態設定，請執行 update-reveal-configuration命令。使用 region 參數來指定您要停用組態的區域。針對 status 參數，請指定 DISABLED。例如，如果您在 Microsoft Windows AWS CLI 上使用 ，請執行下列命令：

C:\> aws macie2 update-reveal-configuration --region us-east-1 --configuration={\"status\":\"DISABLED\"}

其中：

• us-east-1 是要在其中停用組態的區域。在此範例中，美國東部 （維吉尼亞北部） 區域。

• DISABLED 是組態的新狀態。

如果您的請求成功，Macie 會停用指定區域中您帳戶的組態，而您會收到類似下列的輸出。

{
    "configuration": {
        "status": "DISABLED"
    }
}

Macie 帳戶組態的新狀態status在哪裡。

如果 Macie 設定為擔任IAM角色來擷取敏感資料範例，您可以選擇刪除角色和角色的許可政策。當您停用帳戶的組態設定時，Macie 不會刪除這些資源。此外，Macie 不會使用這些資源來執行您帳戶的任何其他任務。若要刪除角色及其許可政策，您可以使用 IAM 主控台或 IAM API。如需詳細資訊，請參閱 AWS Identity and Access Management 使用者指南 中的刪除角色。