Zulassungslisten in Amazon Macie erstellen und verwalten - Amazon Macie
Zulassungslisten erstellenÜberprüfen Sie den Status der ZulassungslistenZulässige Listen ändernZulässige Listen löschen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Zulassungslisten in Amazon Macie erstellen und verwalten

In Amazon Macie definiert eine Zulassungsliste einen bestimmten Text oder ein Textmuster, das Macie ignorieren soll, wenn es Objekte von Amazon Simple Storage Service (Amazon S3) auf sensible Daten untersucht. Wenn Text mit einem Eintrag oder einem Muster in einer Zulassungsliste übereinstimmt, meldet Macie den Text nicht in Ergebnissen, Statistiken oder anderen Ergebnissen, selbst wenn der Text den Kriterien einer verwalteten Daten-ID oder einer benutzerdefinierten Daten-ID entspricht.

In Macie können Sie die folgenden Typen von Zulassungslisten erstellen und verwalten.

Vordefinierter Text

Verwenden Sie diese Art von Liste, um Wörter, Ausdrücke und andere Arten von Zeichenfolgen anzugeben, die nicht sensibel sind, sich wahrscheinlich nicht ändern werden und die nicht unbedingt einem gemeinsamen Muster entsprechen. Beispiele hierfür sind die Namen der öffentlichen Vertreter Ihrer Organisation, bestimmte Telefonnummern und spezifische Beispieldaten, die Ihre Organisation für Tests verwendet. Wenn Sie diese Art von Liste verwenden, ignoriert Macie Text, der genau mit einem Eintrag in der Liste übereinstimmt.

Für diesen Listentyp erstellen Sie eine durch Zeilen getrennte Klartextdatei, die bestimmten Text auflistet, der ignoriert werden soll. Anschließend speichern Sie die Datei in einem S3-Bucket und konfigurieren Einstellungen für Macie, um auf die Liste im Bucket zuzugreifen. Anschließend können Sie Aufträge zur Erkennung vertraulicher Daten erstellen und konfigurieren, um die Liste zu verwenden, oder die Liste zu den Einstellungen für die automatische Erkennung sensibler Daten für Ihr Konto hinzufügen. Wenn jeder Job ausgeführt wird oder der nächste automatisierte Discovery-Analysezyklus beginnt, ruft Macie die neueste Version der Liste von Amazon S3 ab. Macie verwendet dann diese Version der Liste, wenn es S3-Objekte auf sensible Daten untersucht. Wenn Macie Text findet, der genau mit einem Eintrag in der Liste übereinstimmt, meldet Macie dieses Vorkommen von Text nicht als sensible Daten.

Regulärer Ausdruck

Verwenden Sie diesen Listentyp, um einen regulären Ausdruck (Regex) anzugeben, der ein zu ignorierendes Textmuster definiert. Beispiele hierfür sind öffentliche Telefonnummern für Ihre Organisation, E-Mail-Adressen für die Domain Ihrer Organisation und gemusterte Beispieldaten, die Ihre Organisation für Tests verwendet. Wenn Sie diese Art von Liste verwenden, ignoriert Macie Text, der vollständig dem in der Liste definierten Regex-Muster entspricht.

Für diesen Listentyp erstellen Sie eine Regex, die ein allgemeines Muster für Text definiert, der nicht sensibel ist, aber variiert oder sich wahrscheinlich ändern wird. Im Gegensatz zu einer Liste mit vordefiniertem Text erstellen und speichern Sie den regulären Ausdruck und alle anderen Listeneinstellungen in Macie. Anschließend können Sie Aufträge zur Erkennung vertraulicher Daten erstellen und konfigurieren, um die Liste zu verwenden, oder die Liste zu den Einstellungen für die automatische Erkennung vertraulicher Daten für Ihr Konto hinzufügen. Wenn diese Jobs ausgeführt werden oder Macie eine automatische Erkennung für Ihr Konto durchführt, verwendet Macie die neueste Version des regulären Ausdrucks der Liste, um Daten zu analysieren. Wenn Macie Text findet, der vollständig dem in der Liste definierten Muster entspricht, meldet Macie dieses Vorkommen von Text nicht als sensible Daten.

Ausführliche Anforderungen, Empfehlungen und Beispiele für die einzelnen Listentypen finden Sie unter. Listenoptionen und Anforderungen zulassen Sie können für jedes unterstützte Konto bis zu 10 Zulassungslisten erstellen AWS-Region, bis zu fünf Zulassungslisten, die vordefinierten Text angeben, und bis zu fünf Zulassungslisten, die reguläre Ausdrücke angeben. Sie können Zulassungslisten überall dort erstellen und verwenden, AWS-Regionen wo Macie derzeit verfügbar ist, mit Ausnahme der Region Asien-Pazifik (Osaka).

Um Zulassungslisten zu erstellen und zu verwalten, können Sie die Amazon Macie Macie-Konsole oder die Amazon Macie Macie-API verwenden. In den folgenden Themen wird erklärt, wie das geht. Für die API enthalten die Themen Beispiele dafür, wie diese Aufgaben mithilfe von AWS Command Line Interface (AWS CLI) ausgeführt werden können. Sie können diese Aufgaben auch ausführen, indem Sie eine aktuelle Version eines anderen AWS Befehlszeilentools oder eines AWS SDK verwenden oder indem Sie HTTPS-Anfragen direkt an Macie senden. Informationen zu AWS Tools und SDKs finden Sie unter Tools, auf denen Sie aufbauen können. AWS

Zulassungslisten erstellen

Wie Sie eine Zulassungsliste in Amazon Macie erstellen, hängt von der Art der Liste ab, die Sie erstellen möchten. Eine Zulassungsliste kann eine Datei sein, die vordefinierten Text auflistet, der ignoriert werden soll, oder es kann sich um einen regulären Ausdruck (Regex) handeln, der ein zu ignorierendes Textmuster definiert. Wählen Sie den Abschnitt für den Listentyp aus, den Sie erstellen möchten.

Bevor Sie diese Art von Zulassungsliste in Macie erstellen, gehen Sie wie folgt vor:

  1. Erstellen Sie mithilfe eines Texteditors eine durch Zeilen getrennte Klartextdatei, die bestimmten zu ignorierenden Text auflistet, z. B. eine .txt-, .text- oder .plain-Datei. Weitere Informationen finden Sie unter Syntaxanforderungen für Listen mit vordefiniertem Text.

  2. Laden Sie die Datei in einen S3-Allzweck-Bucket hoch und notieren Sie sich den Namen des Buckets und des Objekts. Sie müssen diese Namen eingeben, wenn Sie die Einstellungen in Macie konfigurieren.

  3. Stellen Sie sicher, dass die Einstellungen für den S3-Bucket und das Objekt es Ihnen und Macie ermöglichen, die Liste aus dem Bucket abzurufen. Weitere Informationen finden Sie unter Speicheranforderungen für Listen mit vordefiniertem Text.

  4. Wenn Sie das S3-Objekt verschlüsselt haben, stellen Sie sicher, dass es mit einem Schlüssel verschlüsselt ist, den Sie und Macie verwenden dürfen. Weitere Informationen finden Sie unter Anforderungen an die Verschlüsselung/Entschlüsselung für Listen mit vordefiniertem Text.

Nachdem Sie diese Schritte ausgeführt haben, können Sie die Einstellungen der Liste in Macie konfigurieren. Sie können die Einstellungen mithilfe der Amazon Macie Macie-Konsole oder der Amazon Macie Macie-API konfigurieren.

Console

Gehen Sie wie folgt vor, um die Einstellungen für eine Zulassungsliste mithilfe der Amazon Macie Macie-Konsole zu konfigurieren.

So konfigurieren Sie die Einstellungen für die Zulassungsliste in Macie

  1. Öffnen Sie die Amazon Macie Macie-Konsole unter https://console.aws.amazon.com/macie/.

  2. Wählen Sie im Navigationsbereich unter Einstellungen die Option Listen zulassen aus.

  3. Wählen Sie auf der Seite „Listen zulassen“ die Option Erstellen aus.

  4. Wählen Sie unter Listentyp auswählen die Option Vordefinierter Text aus.

  5. Verwenden Sie unter Listeneinstellungen die folgenden Optionen, um zusätzliche Einstellungen für die Zulassungsliste einzugeben:

    • Geben Sie unter Name einen Namen für die Liste ein. Der Name darf maximal 128 Zeichen enthalten.

    • Geben Sie unter Beschreibung optional eine kurze Beschreibung der Liste ein. Die Beschreibung darf maximal 512 Zeichen enthalten.

    • Geben Sie als S3-Bucket-Name den Namen des Buckets ein, in dem die Liste gespeichert ist.

      In Amazon S3 finden Sie diesen Wert im Feld Name der Eigenschaften des Buckets. Bei diesem Wert ist die Groß- und Kleinschreibung zu beachten. Verwenden Sie außerdem keine Platzhalterzeichen oder unvollständige Werte, wenn Sie den Namen eingeben.

    • Geben Sie als S3-Objektname den Namen des S3-Objekts ein, das die Liste speichert.

      In Amazon S3 finden Sie diesen Wert im Schlüsselfeld der Objekteigenschaften. Wenn der Name einen Pfad enthält, achten Sie beispielsweise darauf, den vollständigen Pfad anzugeben, wenn Sie den Namen eingebenallowlists/macie/mylist.txt. Bei diesem Wert ist die Groß- und Kleinschreibung zu beachten. Verwenden Sie außerdem keine Platzhalterzeichen oder unvollständige Werte, wenn Sie den Namen eingeben.

  6. (Optional) Wählen Sie unter Tags die Option Tag hinzufügen aus, und geben Sie dann bis zu 50 Tags ein, die Sie der Zulassungsliste zuweisen möchten.

    Ein Tag ist eine Bezeichnung, die Sie definieren und bestimmten Ressourcentypen AWS zuweisen. Jedes Tag besteht aus einem erforderlichen Tag-Schlüssel und einem optionalen Tag-Wert. Mithilfe von Tags können Sie Ressourcen auf unterschiedliche Weise identifizieren, kategorisieren und verwalten, z. B. nach Zweck, Eigentümer, Umgebung oder anderen Kriterien. Weitere Informationen hierzu finden Sie unter Kennzeichnen von Amazon Macie-Ressourcen.

  7. Wenn Sie fertig sind, klicken Sie auf Create.

Macie testet die Einstellungen der Liste. Macie überprüft auch, ob es die Liste von Amazon S3 abrufen und den Inhalt der Liste analysieren kann. Wenn ein Fehler auftritt, zeigt Macie eine Meldung an, die den Fehler beschreibt. Ausführliche Informationen, die Ihnen bei der Behebung des Fehlers helfen können, finden Sie unterOptionen und Anforderungen für Listen mit vordefiniertem Text. Nachdem Sie alle Fehler behoben haben, können Sie die Einstellungen der Liste speichern.

API

Um die Einstellungen für die Zulassungsliste programmgesteuert zu konfigurieren, verwenden Sie den CreateAllowListBetrieb der Amazon Macie Macie-API und geben Sie die entsprechenden Werte für die erforderlichen Parameter an.

Verwenden Sie für den criteria Parameter ein s3WordsList Objekt, um den Namen des S3-Buckets (bucketName) und den Namen des S3-Objekts (objectKey) anzugeben, das die Liste speichert. Informationen zum Ermitteln des Bucket-Namens finden Sie in dem Name Feld in Amazon S3. Den Objektnamen können Sie dem Key Feld in Amazon S3 entnehmen. Beachten Sie, dass bei diesen Werten zwischen Groß- und Kleinschreibung unterschieden wird. Verwenden Sie außerdem keine Platzhalterzeichen oder unvollständige Werte, wenn Sie diese Namen angeben.

Um die Einstellungen mithilfe von zu konfigurieren AWS CLI, führen Sie den create-allow-listBefehl aus und geben Sie die entsprechenden Werte für die erforderlichen Parameter an. Die folgenden Beispiele zeigen, wie die Einstellungen für eine Zulassungsliste konfiguriert werden, die in einem S3-Bucket namens DOC-EXAMPLE-BUCKET gespeichert ist. Der Name des S3-Objekts, das die Liste speichert, lautet allowlists/macie/mylist.txt.

Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\) zur Verbesserung der Lesbarkeit.

$ aws macie2 create-allow-list \
--criteria '{"s3WordsList":{"bucketName":"DOC-EXAMPLE-BUCKET","objectKey":"allowlists/macie/mylist.txt"}}' \
--name my_allow_list \
--description "Lists public phone numbers and names for Example Corp."

Dieses Beispiel ist für Microsoft Windows formatiert und verwendet das Zeilenfortsetzungszeichen Caret (^), um die Lesbarkeit zu verbessern.

C:\> aws macie2 create-allow-list ^
--criteria={\"s3WordsList\":{\"bucketName\":\"DOC-EXAMPLE-BUCKET\",\"objectKey\":\"allowlists/macie/mylist.txt\"}} ^
--name my_allow_list ^
--description "Lists public phone numbers and names for Example Corp."

Wenn Sie Ihre Anfrage einreichen, testet Macie die Einstellungen der Liste. Macie überprüft auch, ob es die Liste von Amazon S3 abrufen und den Inhalt der Liste analysieren kann. Wenn ein Fehler auftritt, schlägt Ihre Anfrage fehl und Macie gibt eine Meldung zurück, die den Fehler beschreibt. Ausführliche Informationen, die Ihnen bei der Behebung des Fehlers helfen können, finden Sie unterOptionen und Anforderungen für Listen mit vordefiniertem Text.

Wenn Macie die Liste abrufen und analysieren kann, ist Ihre Anfrage erfolgreich und Sie erhalten eine Ausgabe, die der folgenden ähnelt.

{
    "arn": "arn:aws:macie2:us-west-2:123456789012:allow-list/nkr81bmtu2542yyexample",
    "id": "nkr81bmtu2542yyexample"
}

Wo arn ist der Amazon-Ressourcenname (ARN) der Zulassungsliste, die erstellt wurde, und id ist der eindeutige Bezeichner für die Liste.

Nachdem Sie die Einstellungen der Liste gespeichert haben, können Sie Aufträge zur Erkennung vertraulicher Daten erstellen und konfigurieren, um die Liste zu verwenden, oder die Liste zu Ihren Einstellungen für die automatische Erkennung vertraulicher Daten hinzufügen. Jedes Mal, wenn diese Jobs ausgeführt werden oder ein automatisierter Discovery-Analysezyklus beginnt, ruft Macie die neueste Version der Liste von Amazon S3 ab. Macie verwendet dann diese Version der Liste, wenn es Daten analysiert.

Wenn Sie eine Zulassungsliste erstellen, die einen regulären Ausdruck (Regex) spezifiziert, definieren Sie den regulären Ausdruck und alle anderen Listeneinstellungen direkt in Macie. Macie unterstützt eine Teilmenge der Regex-Mustersyntax, die von der Bibliothek Perl Compatible Regular Expressions (PCRE) bereitgestellt wird. Weitere Informationen finden Sie unter Syntaxunterstützung und Empfehlungen.

Sie können diese Art von Liste mithilfe der Amazon Macie Macie-Konsole oder der Amazon Macie Macie-API erstellen.

Console

Gehen Sie wie folgt vor, um mithilfe der Amazon Macie Macie-Konsole eine Zulassungsliste zu erstellen.

Um eine Zulassungsliste zu erstellen

  1. Öffnen Sie die Amazon Macie Macie-Konsole unter https://console.aws.amazon.com/macie/.

  2. Wählen Sie im Navigationsbereich unter Einstellungen die Option Listen zulassen aus.

  3. Wählen Sie auf der Seite „Listen zulassen“ die Option Erstellen aus.

  4. Wählen Sie unter Listentyp auswählen die Option Regulärer Ausdruck aus.

  5. Verwenden Sie unter Listeneinstellungen die folgenden Optionen, um zusätzliche Einstellungen für die Zulassungsliste einzugeben:

    • Geben Sie unter Name einen Namen für die Liste ein. Der Name darf maximal 128 Zeichen enthalten.

    • Geben Sie unter Beschreibung optional eine kurze Beschreibung der Liste ein. Die Beschreibung darf maximal 512 Zeichen enthalten.

    • Geben Sie für Regulärer Ausdruck den regulären Ausdruck ein, der das zu ignorierende Textmuster definiert. Der reguläre Ausdruck kann bis zu 512 Zeichen enthalten.

  6. (Optional) Geben Sie für Evaluate bis zu 1.000 Zeichen in das Feld Beispieldaten ein, und wählen Sie dann Test aus, um den regulären Ausdruck zu testen. Macie wertet die Beispieldaten aus und gibt an, wie oft Text mit der Regex übereinstimmt. Sie können diesen Schritt beliebig oft wiederholen, um die Regex zu verfeinern und zu optimieren.

    Anmerkung

    Wir empfehlen, dass Sie die Regex mit mehreren Sätzen von Beispieldaten testen und verfeinern. Wenn Sie eine zu allgemeine Regex erstellen, ignoriert Macie möglicherweise Textvorkommen, die Sie für sensibel halten. Wenn ein Regex zu spezifisch ist, ignoriert Macie möglicherweise nicht das Vorkommen von Text, den Sie nicht für sensibel halten.

  7. (Optional) Wählen Sie unter Tags die Option Tag hinzufügen aus, und geben Sie dann bis zu 50 Tags ein, die der Zulassungsliste zugewiesen werden sollen.

    Ein Tag ist eine Bezeichnung, die Sie definieren und bestimmten Ressourcentypen AWS zuweisen. Jedes Tag besteht aus einem erforderlichen Tag-Schlüssel und einem optionalen Tag-Wert. Mithilfe von Tags können Sie Ressourcen auf unterschiedliche Weise identifizieren, kategorisieren und verwalten, z. B. nach Zweck, Eigentümer, Umgebung oder anderen Kriterien. Weitere Informationen hierzu finden Sie unter Kennzeichnen von Amazon Macie-Ressourcen.

  8. Wenn Sie fertig sind, klicken Sie auf Create.

Macie testet die Einstellungen der Liste. Macie testet auch den regulären Ausdruck, um sicherzustellen, dass er den Ausdruck kompilieren kann. Wenn ein Fehler auftritt, zeigt Macie eine Meldung an, die den Fehler beschreibt. Ausführliche Informationen, die Ihnen bei der Behebung des Fehlers helfen können, finden Sie unterOptionen und Anforderungen für reguläre Ausdrücke in Zulassungslisten. Nachdem Sie alle Fehler behoben haben, können Sie die Zulassungsliste speichern.

API

Bevor Sie diese Art von Zulassungsliste in Macie erstellen, empfehlen wir Ihnen, den regulären Ausdruck anhand mehrerer Beispieldatensätze zu testen und zu verfeinern. Wenn Sie eine zu allgemeine Regex erstellen, ignoriert Macie möglicherweise Textvorkommen, die Sie für sensibel halten. Wenn ein Regex zu spezifisch ist, ignoriert Macie möglicherweise nicht das Vorkommen von Text, den Sie nicht für sensibel halten.

Um einen Ausdruck mit Macie zu testen, können Sie den TestCustomDataIdentifierBetrieb der Amazon Macie Macie-API verwenden oder für den den den AWS CLI Befehl ausführen. test-custom-data-identifier Macie verwendet denselben zugrunde liegenden Code, um Ausdrücke für Zulassungslisten und benutzerdefinierte Datenbezeichner zu kompilieren. Wenn Sie einen Ausdruck auf diese Weise testen, achten Sie darauf, nur Werte für die Parameter regex und sampleText anzugeben. Andernfalls erhalten Sie ungenaue Ergebnisse.

Wenn Sie bereit sind, diese Art von Zulassungsliste zu erstellen, verwenden Sie den CreateAllowListBetrieb der Amazon Macie Macie-API und geben Sie die entsprechenden Werte für die erforderlichen Parameter an. Verwenden Sie für den criteria Parameter das regex Feld, um den regulären Ausdruck anzugeben, der das zu ignorierende Textmuster definiert. Der Ausdruck darf maximal 512 Zeichen enthalten.

Um diesen Listentyp mithilfe von zu erstellen AWS CLI, führen Sie den create-allow-listBefehl aus und geben Sie die entsprechenden Werte für die erforderlichen Parameter an. In den folgenden Beispielen wird eine Zulassungsliste mit dem Namen my_allow_list erstellt. Der reguläre Ausdruck ist so konzipiert, dass er alle E-Mail-Adressen ignoriert, die ein benutzerdefinierter Datenbezeichner andernfalls für die Domain erkennen könnte. example.com

Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\) zur Verbesserung der Lesbarkeit.

$ aws macie2 create-allow-list \
--criteria '{"regex":"[a-z]@example.com"}' \
--name my_allow_list \
--description "Ignores all email addresses for Example Corp."

Dieses Beispiel ist für Microsoft Windows formatiert und verwendet das Zeilenfortsetzungszeichen Caret (^), um die Lesbarkeit zu verbessern.

C:\> aws macie2 create-allow-list ^
--criteria={\"regex\":\"[a-z]@example.com\"} ^
--name my_allow_list ^
--description "Ignores all email addresses for Example Corp."

Wenn Sie Ihre Anfrage einreichen, testet Macie die Einstellungen der Liste. Macie testet auch den regulären Ausdruck, um sicherzustellen, dass er den Ausdruck kompilieren kann. Wenn ein Fehler auftritt, schlägt die Anfrage fehl und Macie gibt eine Meldung zurück, die den Fehler beschreibt. Ausführliche Informationen, die Ihnen bei der Behebung des Fehlers helfen können, finden Sie unterOptionen und Anforderungen für reguläre Ausdrücke in Zulassungslisten.

Wenn Macie den Ausdruck kompilieren kann, ist die Anfrage erfolgreich und Sie erhalten eine Ausgabe, die der folgenden ähnelt:

{
    "arn": "arn:aws:macie2:us-west-2:123456789012:allow-list/km2d4y22hp6rv05example",
    "id": "km2d4y22hp6rv05example"
}

Wo arn ist der Amazon-Ressourcenname (ARN) der Zulassungsliste, die erstellt wurde, und id ist der eindeutige Bezeichner für die Liste.

Nachdem Sie die Liste gespeichert haben, können Sie Aufträge zur Erkennung vertraulicher Daten erstellen und konfigurieren, um sie zu verwenden, oder sie zu Ihren Einstellungen für die automatische Erkennung vertraulicher Daten hinzufügen. Wenn diese Jobs ausgeführt werden oder Macie automatische Erkennungsvorgänge für Ihr Konto durchführt, verwendet Macie die neueste Version der Regex der Liste, um Daten zu analysieren.

Überprüfen Sie den Status der Zulassungslisten

Es ist wichtig, den Status Ihrer Zulassungslisten regelmäßig zu überprüfen. Andernfalls können Fehler dazu führen, dass Amazon Macie unerwartete Analyseergebnisse generiert, z. B. Ergebnisse vertraulicher Daten für Text, den Sie in einer Zulassungsliste angegeben haben.

Wenn Sie einen Auftrag zur Erkennung vertraulicher Daten so konfigurieren, dass er eine Zulassungsliste verwendet, und Macie nicht auf die Liste zugreifen oder sie verwenden kann, wenn der Job ausgeführt wird, wird der Job weiter ausgeführt. Macie verwendet die Liste jedoch nicht, wenn es S3-Objekte analysiert. Wenn ein Analysezyklus für die automatische Erkennung sensibler Daten gestartet wird und Macie nicht auf eine bestimmte Zulassungsliste zugreifen oder diese verwenden kann, wird die Analyse ebenfalls fortgesetzt, Macie verwendet die Liste jedoch nicht.

Bei einer Zulassungsliste, die einen regulären Ausdruck (Regex) angibt, ist es unwahrscheinlich, dass Fehler auftreten. Das liegt zum Teil daran, dass Macie die Regex automatisch testet, wenn Sie die Einstellungen der Liste erstellen oder aktualisieren. Darüber hinaus speichern Sie die Regex und alle anderen Listeneinstellungen in Macie.

Bei einer Zulassungsliste, die vordefinierten Text angibt, können jedoch Fehler auftreten, auch weil Sie die Liste in Amazon S3 statt in Macie speichern. Die häufigsten Fehlerursachen sind:

  • Der S3-Bucket oder das S3-Objekt wird gelöscht.

  • Der S3-Bucket oder das S3-Objekt wird umbenannt und die Listeneinstellungen in Macie geben den neuen Namen nicht an.

  • Die Berechtigungseinstellungen des S3-Buckets werden geändert und Macie verliert den Zugriff auf den Bucket und das Objekt.

  • Die Verschlüsselungseinstellungen für den S3-Bucket werden geändert und Macie kann das Objekt, das die Liste speichert, nicht entschlüsseln.

  • Die Richtlinie für den Verschlüsselungsschlüssel wird geändert und Macie verliert den Zugriff auf den Schlüssel. Macie kann das S3-Objekt, das die Liste speichert, nicht entschlüsseln.

Wichtig

Da sich diese Fehler auf die Ergebnisse Ihrer Analysen auswirken, empfehlen wir Ihnen, den Status Ihrer Zulassungslisten regelmäßig zu überprüfen. Wir empfehlen Ihnen, dies auch zu tun, wenn Sie die Berechtigungen oder Verschlüsselungseinstellungen für einen S3-Bucket ändern, in dem eine Zulassungsliste gespeichert ist, oder wenn Sie die Richtlinie für einen AWS Key Management Service (AWS KMS) -Schlüssel ändern, der zum Verschlüsseln einer Liste verwendet wird.

Sie können den Status Ihrer Zulassungslisten mithilfe der Amazon Macie Macie-Konsole oder der Amazon Macie Macie-API überprüfen. Detaillierte Informationen, die Ihnen bei der Behebung von aufgetretenen Fehlern helfen können, finden Sie unter. Optionen und Anforderungen für Listen mit vordefiniertem Text

Console

Gehen Sie wie folgt vor, um den Status Ihrer Zulassungslisten mithilfe der Amazon Macie Macie-Konsole zu überprüfen.

Um den Status Ihrer Zulassungslisten zu überprüfen

  1. Öffnen Sie die Amazon Macie Macie-Konsole unter https://console.aws.amazon.com/macie/.

  2. Wählen Sie im Navigationsbereich unter Einstellungen die Option Listen zulassen aus.

  3. Wählen Sie auf der Seite „Zulässige Listen“ die Option Aktualisieren ( The refresh button, which is a button that contains an empty, dark gray circle with an arrow ) aus. Macie testet die Einstellungen für all Ihre Zulassungslisten und aktualisiert das Statusfeld, um den aktuellen Status jeder Liste anzuzeigen.

    Wenn eine Liste einen regulären Ausdruck angibt, ist ihr Status normalerweise OK. Das bedeutet, dass Macie den Ausdruck kompilieren kann. Wenn eine Liste vordefinierten Text angibt, kann ihr Status einen der folgenden Werte haben.

    OK

    Macie kann den Inhalt der Liste abrufen und analysieren.

    Zugriff verweigert

    Macie darf nicht auf das S3-Objekt zugreifen, das die Liste speichert. Amazon S3 hat die Anfrage zum Abrufen des Objekts abgelehnt. Eine Liste kann diesen Status auch haben, wenn das Objekt mit einer Kundenverwaltung verschlüsselt ist AWS KMS key , die Macie nicht verwenden darf.

    Um diesen Fehler zu beheben, überprüfen Sie die Bucket-Richtlinie und andere Berechtigungseinstellungen für den Bucket und das Objekt. Stellen Sie sicher, dass Macie auf das Objekt zugreifen und es abrufen darf. Wenn das Objekt mit einem vom Kunden verwalteten AWS KMS Schlüssel verschlüsselt ist, überprüfen Sie auch die Schlüsselrichtlinie und stellen Sie sicher, dass Macie den Schlüssel verwenden darf.

    Fehler

    Ein vorübergehender oder interner Fehler trat auf, als Macie versuchte, den Inhalt der Liste abzurufen oder zu analysieren. Eine Zulassungsliste kann diesen Status auch haben, wenn sie mit einem Verschlüsselungsschlüssel verschlüsselt ist, auf den Amazon S3 und Macie nicht zugreifen oder den sie nicht verwenden können.

    Um diesen Fehler zu beheben, warten Sie ein paar Minuten und wählen Sie dann erneut refresh ( The refresh button, which is a button that contains an empty, dark gray circle with an arrow ). Wenn der Status weiterhin Fehler lautet, überprüfen Sie die Verschlüsselungseinstellungen für das S3-Objekt. Stellen Sie sicher, dass das Objekt mit einem Schlüssel verschlüsselt ist, auf den Amazon S3 und Macie zugreifen und ihn verwenden können.

    Objekt ist leer

    Macie kann die Liste von Amazon S3 abrufen, aber die Liste enthält keinen Inhalt.

    Um diesen Fehler zu beheben, laden Sie das Objekt von Amazon S3 herunter und stellen Sie sicher, dass es die richtigen Einträge enthält. Wenn die Einträge korrekt sind, überprüfen Sie die Einstellungen der Liste in Macie. Stellen Sie sicher, dass die angegebenen Bucket- und Objektnamen korrekt sind.

    Objekt wurde nicht gefunden

    Die Liste ist in Amazon S3 nicht vorhanden.

    Um diesen Fehler zu beheben, überprüfen Sie die Einstellungen der Liste in Macie. Stellen Sie sicher, dass die angegebenen Bucket- und Objektnamen korrekt sind.

    Kontingent überschritten

    Macie kann in Amazon S3 auf die Liste zugreifen. Die Anzahl der Einträge in der Liste oder die Speichergröße der Liste überschreiten jedoch das Kontingent für eine Zulassungsliste.

    Um diesen Fehler zu beheben, teilen Sie die Liste in mehrere Dateien auf. Stellen Sie sicher, dass jede Datei weniger als 100.000 Einträge enthält. Stellen Sie außerdem sicher, dass die Größe jeder Datei weniger als 35 MB beträgt. Laden Sie dann jede Datei auf Amazon S3 hoch. Wenn Sie fertig sind, konfigurieren Sie die Einstellungen für die Zulassungsliste in Macie für jede Datei. In jeder unterstützten AWS-Region Liste können bis zu fünf Listen mit vordefiniertem Text enthalten sein.

    Gestrosselt

    Amazon S3 hat die Anfrage zum Abrufen der Liste gedrosselt.

    Um diesen Fehler zu beheben, warten Sie einige Minuten und wählen Sie dann erneut refresh ( The refresh button, which is a button that contains an empty, dark gray circle with an arrow ).

    Benutzerzugriff verweigert

    Amazon S3 hat die Anfrage zum Abrufen des Objekts abgelehnt. Wenn das angegebene Objekt existiert, dürfen Sie nicht darauf zugreifen oder es ist mit einem AWS KMS Schlüssel verschlüsselt, den Sie nicht verwenden dürfen.

    Um diesen Fehler zu beheben, stellen Sie gemeinsam mit Ihrem AWS Administrator sicher, dass in den Einstellungen der Liste die richtigen Bucket- und Objektnamen angegeben sind und dass Sie Lesezugriff auf den Bucket und das Objekt haben. Wenn das Objekt verschlüsselt ist, sollten Sie außerdem sicherstellen, dass Sie den zugehörigen Schlüssel verwenden dürfen.

  4. Um die Einstellungen und den Status einer bestimmten Liste zu überprüfen, wählen Sie den Namen der Liste.

API

Um den Status einer Zulassungsliste programmgesteuert zu überprüfen, verwenden Sie den GetAllowListBetrieb der Amazon Macie Macie-API oder führen Sie für den den den Befehl AWS CLI aus. get-allow-list

Geben Sie für den id Parameter die eindeutige Kennung für die Zulassungsliste an, deren Status Sie überprüfen möchten. Um diese Kennung zu erhalten, können Sie die ListAllowListsOperation verwenden. Bei ListAllowLists diesem Vorgang werden Informationen zu allen Zulassungslisten für Ihr Konto abgerufen. Wenn Sie den verwenden AWS CLI, können Sie den list-allow-listsBefehl ausführen, um diese Informationen abzurufen.

Wenn Sie eine GetAllowList Anfrage einreichen, testet Macie alle Einstellungen für die Zulassungsliste. Wenn die Einstellungen einen regulären Ausdruck (Regex) angeben, überprüft Macie, ob der Ausdruck kompiliert werden kann. Wenn die Einstellungen eine Liste mit vordefiniertem Text angeben, überprüft Macie, ob die Liste abgerufen und analysiert werden kann.

Macie gibt dann ein GetAllowListResponse Objekt zurück, das die Details der Zulassungsliste enthält. Im GetAllowListResponse Objekt gibt das status Objekt den aktuellen Status der Liste an: einen Statuscode (code) und, je nach Statuscode, eine kurze Beschreibung des Status der Liste (description).

Wenn in der Zulassungsliste ein regulärer Ausdruck angegeben ist, lautet der Statuscode in der Regel OK und es gibt keine zugehörige Beschreibung. Das bedeutet, dass Macie den Ausdruck erfolgreich kompiliert hat.

Wenn in der Zulassungsliste vordefinierten Text angegeben ist, hängt der Statuscode von den Testergebnissen ab:

  • Wenn Macie die Liste erfolgreich abgerufen und analysiert hat, lautet der Statuscode OK und es gibt keine zugehörige Beschreibung.

  • Wenn Macie aufgrund eines Fehlers daran gehindert wurde, die Liste abzurufen oder zu analysieren, geben der Statuscode und die Beschreibung die Art des aufgetretenen Fehlers an.

Eine Liste möglicher Statuscodes und eine Beschreibung der einzelnen Statuscodes finden Sie AllowListStatusin der Amazon Macie API-Referenz.

Zulässige Listen ändern

Nachdem Sie eine Zulassungsliste erstellt haben, können Sie die meisten Einstellungen der Liste in Amazon Macie ändern. Sie können beispielsweise den Namen und die Beschreibung der Liste ändern und die Tags der Liste hinzufügen und bearbeiten. Die einzige Einstellung, die Sie nicht ändern können, ist der Typ einer Liste. Wenn beispielsweise in einer vorhandenen Zulassungsliste ein regulärer Ausdruck angegeben ist, können Sie dessen Typ nicht in vordefinierten Text ändern.

Wenn in einer Zulassungsliste vordefinierten Text angegeben ist, können Sie auch die Einträge in der Liste ändern. Aktualisieren Sie dazu die Datei, die die Einträge enthält, und laden Sie dann die neue Version der Datei auf Amazon S3 hoch. Wenn Macie sich das nächste Mal darauf vorbereitet, die Liste zu verwenden, ruft Macie die neueste Version der Datei von Amazon S3 ab. Wenn Sie die neue Datei hochladen, stellen Sie sicher, dass Sie sie im selben S3-Bucket und Objekt speichern. Oder, wenn Sie den Namen des Buckets oder Objekts ändern, stellen Sie sicher, dass Sie die Einstellungen der Liste in Macie aktualisieren.

Sie können die Einstellungen einer Zulassungsliste mithilfe der Amazon Macie Macie-Konsole oder der Amazon Macie Macie-API ändern.

Console

Gehen Sie wie folgt vor, um die Einstellungen für eine Zulassungsliste mithilfe der Amazon Macie Macie-Konsole zu ändern.

Um eine Zulassungsliste zu ändern

  1. Öffnen Sie die Amazon Macie Macie-Konsole unter https://console.aws.amazon.com/macie/.

  2. Wählen Sie im Navigationsbereich unter Einstellungen die Option Listen zulassen aus.

  3. Wählen Sie auf der Seite Zulassungslisten den Namen der Zulassungsliste aus, die Sie ändern möchten. Die Seite mit der Zulassungsliste wird geöffnet und zeigt die aktuellen Einstellungen für die Liste an.

  4. Um der Zulassungsliste Tags zuzuweisen oder zu bearbeiten, wählen Sie im Abschnitt Tags die Option Tags verwalten aus. Ändern Sie dann die Tags nach Bedarf. Wählen Sie Save (Speichern) aus, wenn Sie fertig sind.

  5. Um andere Einstellungen für die Zulassungsliste zu ändern, wählen Sie im Abschnitt Listeneinstellungen die Option Bearbeiten aus. Ändern Sie dann die gewünschten Einstellungen:

    • Name — Geben Sie einen neuen Namen für die Liste ein. Der Name darf maximal 128 Zeichen enthalten.

    • Beschreibung — Geben Sie eine neue Beschreibung der Liste ein. Die Beschreibung darf maximal 512 Zeichen enthalten.

    • Wenn in der Zulassungsliste vordefinierten Text angegeben ist:

      • S3-Bucket-Name — Geben Sie den Namen des Buckets ein, in dem die Liste derzeit gespeichert ist.

        In Amazon S3 finden Sie diesen Wert im Feld Name der Eigenschaften des Buckets. Bei diesem Wert ist die Groß- und Kleinschreibung zu beachten. Verwenden Sie außerdem keine Platzhalterzeichen oder unvollständige Werte, wenn Sie den Namen eingeben.

      • S3-Objektname — Geben Sie den Namen des S3-Objekts ein, das die Liste derzeit speichert.

        In Amazon S3 finden Sie diesen Wert im Schlüsselfeld der Objekteigenschaften. Wenn der Name einen Pfad enthält, achten Sie beispielsweise darauf, den vollständigen Pfad anzugeben, wenn Sie den Namen eingebenallowlists/macie/mylist.txt. Bei diesem Wert ist die Groß- und Kleinschreibung zu beachten. Verwenden Sie außerdem keine Platzhalterzeichen oder unvollständige Werte, wenn Sie den Namen eingeben.

    • Wenn in der Zulassungsliste ein regulärer Ausdruck (Regex) angegeben ist, geben Sie einen neuen regulären Ausdruck in das Feld Regulärer Ausdruck ein. Der reguläre Ausdruck kann bis zu 512 Zeichen enthalten.

      Nachdem Sie den neuen regulären Ausdruck eingegeben haben, können Sie ihn optional testen. Geben Sie dazu bis zu 1.000 Zeichen in das Feld Beispieldaten ein, und wählen Sie dann Test aus. Macie wertet die Beispieldaten aus und gibt an, wie oft Text mit der Regex übereinstimmt. Sie können diesen Schritt beliebig oft wiederholen, um den regulären Ausdruck zu verfeinern und zu optimieren, bevor Sie Ihre Änderungen speichern.

    Wenn Sie mit dem Ändern der Einstellungen fertig sind, wählen Sie Speichern.

Macie testet die Einstellungen der Liste. Für eine Liste mit vordefiniertem Text überprüft Macie auch, ob es die Liste von Amazon S3 abrufen und den Inhalt der Liste analysieren kann. Bei einer Regex überprüft Macie auch, ob der Ausdruck kompiliert werden kann. Wenn ein Fehler auftritt, zeigt Macie eine Meldung an, die den Fehler beschreibt. Ausführliche Informationen, die Ihnen bei der Behebung des Fehlers helfen können, finden Sie unterListenoptionen und Anforderungen zulassen. Nachdem Sie alle Fehler behoben haben, können Sie Ihre Änderungen speichern.

API

Um eine Zulassungsliste programmgesteuert zu ändern, verwenden Sie den UpdateAllowListBetrieb der Amazon Macie Macie-API oder führen Sie dafür den Befehl AWS CLI aus. update-allow-list Verwenden Sie in Ihrer Anfrage die unterstützten Parameter, um für jede Einstellung, die Sie ändern möchten, einen neuen Wert anzugeben. Beachten Siecriteria, dass die name Parameterid, und erforderlich sind. Wenn Sie den Wert für einen erforderlichen Parameter nicht ändern möchten, geben Sie den aktuellen Wert für den Parameter an.

Mit dem folgenden Befehl werden beispielsweise der Name und die Beschreibung einer vorhandenen Zulassungsliste geändert. Das Beispiel ist für Microsoft Windows formatiert und verwendet das Zeilenfortsetzungszeichen Caret (^), um die Lesbarkeit zu verbessern.

C:\> aws macie2 update-allow-list ^
--id km2d4y22hp6rv05example ^
--name my_allow_list-email ^
--criteria={\"regex\":\"[a-z]@example.com\"} ^
--description "Ignores all email addresses for the example.com domain"

Wobei gilt:

  • km2d4y22hp6rv05example ist der eindeutige Bezeichner für die Liste.

  • my_allow_list-email ist der neue Name für die Liste.

  • [a-z] @example .com ist das Kriterium der Liste, ein regulärer Ausdruck.

  • Ignoriert alle E-Mail-Adressen für die Domain example.com ist die neue Beschreibung für die Liste.

Wenn Sie Ihre Anfrage einreichen, testet Macie die Einstellungen der Liste. Wenn in der Liste vordefinierten Text angegeben ist, muss auch überprüft werden, ob Macie die Liste von Amazon S3 abrufen und den Inhalt der Liste analysieren kann. Wenn in der Liste ein regulärer Ausdruck angegeben ist, beinhaltet dies die Überprüfung, ob Macie den Ausdruck kompilieren kann.

Tritt beim Testen der Einstellungen ein Fehler auf, schlägt Ihre Anfrage fehl und Macie gibt eine Meldung zurück, die den Fehler beschreibt. Ausführliche Informationen, die Ihnen bei der Behebung des Fehlers helfen können, finden Sie unter. Listenoptionen und Anforderungen zulassen Wenn die Anforderung aus einem anderen Grund fehlschlägt, gibt Macie eine HTTP 4 xx - oder 500-Antwort zurück, die angibt, warum der Vorgang fehlgeschlagen ist.

Wenn Ihre Anfrage erfolgreich ist, aktualisiert Macie die Einstellungen der Liste und Sie erhalten eine Ausgabe, die der folgenden ähnelt.

{
    "arn": "arn:aws:macie2:us-west-2:123456789012:allow-list/km2d4y22hp6rv05example",
    "id": "km2d4y22hp6rv05example"
}

Wo arn ist der Amazon-Ressourcenname (ARN) der Zulassungsliste, die aktualisiert wurde, und id ist der eindeutige Bezeichner für die Liste.

Zulässige Listen löschen

Wenn Sie eine Zulassungsliste in Amazon Macie löschen, werden alle Einstellungen der Liste dauerhaft gelöscht. Diese Einstellungen können nicht wiederhergestellt werden, nachdem sie gelöscht wurden. Wenn die Einstellungen eine Liste mit vordefiniertem Text angeben, den Sie in Amazon S3 speichern, löscht Macie das S3-Objekt, das die Liste speichert, nicht. Nur die Einstellungen in Macie werden gelöscht.

Wenn Sie Aufträge zur Erkennung vertraulicher Daten so konfigurieren, dass sie eine Zulassungsliste verwenden, und die Liste anschließend löschen, werden die Jobs wie geplant ausgeführt. Ihre Auftragsergebnisse, sowohl Ergebnisse vertraulicher Daten als auch Ergebnisse der Erkennung vertraulicher Daten, enthalten jedoch möglicherweise Text, den Sie zuvor in einer Zulassungsliste angegeben haben. Wenn Sie die automatische Erkennung sensibler Daten für die Verwendung einer Liste konfigurieren und die Liste anschließend löschen, werden die täglichen Analysezyklen ebenfalls fortgesetzt. Ergebnisse sensibler Daten, Statistiken oder andere Arten von Ergebnissen können jedoch Text melden, den Sie zuvor in einer Zulassungsliste angegeben haben.

Bevor Sie eine Zulassungsliste löschen, empfehlen wir Ihnen, Ihr Auftragsinventar zu überprüfen, um Jobs zu identifizieren, die die Liste verwenden und deren Ausführung für die future geplant ist. Im Inventar wird im Detailbereich angezeigt, ob ein Job für die Verwendung beliebiger Zulassungslisten konfiguriert ist, und falls ja, welche. Überprüfen Sie außerdem Ihre Einstellungen für die automatische Erkennung sensibler Daten. Möglicherweise entscheiden Sie, dass es am besten ist, eine Liste zu ändern, anstatt sie zu löschen.

Als zusätzliche Sicherheitsmaßnahme überprüft Macie die Einstellungen für all Ihre Jobs, wenn Sie versuchen, eine Zulassungsliste zu löschen. Wenn Sie Jobs für die Verwendung der Liste konfiguriert haben und einer dieser Jobs einen anderen Status als Abgeschlossen oder Storniert hat, löscht Macie die Liste nicht, es sei denn, Sie geben eine zusätzliche Bestätigung.

Sie können eine Zulassungsliste mithilfe der Amazon Macie Macie-Konsole oder der Amazon Macie Macie-API löschen.

Console

Gehen Sie wie folgt vor, um eine Zulassungsliste mithilfe der Amazon Macie Macie-Konsole zu löschen.

Um eine Zulassungsliste zu löschen

  1. Öffnen Sie die Amazon Macie Macie-Konsole unter https://console.aws.amazon.com/macie/.

  2. Wählen Sie im Navigationsbereich unter Einstellungen die Option Listen zulassen aus.

  3. Aktivieren Sie auf der Seite Zulassungslisten das Kontrollkästchen für die Zulassungsliste, die Sie löschen möchten.

  4. Wählen Sie im Menü Actions die Option Delete.

  5. Wenn Sie zur Bestätigung aufgefordert werden, geben Sie delete ein und wählen Sie dann Delete (Löschen) aus.

API

Um eine Zulassungsliste programmgesteuert zu löschen, verwenden Sie den DeleteAllowListBetrieb der Amazon Macie Macie-API. Geben Sie für den id Parameter die eindeutige Kennung für die Zulassungsliste an, die gelöscht werden soll. Sie können diesen Bezeichner mithilfe der ListAllowListsOperation abrufen. Bei ListAllowLists diesem Vorgang werden Informationen zu allen Zulassungslisten für Ihr Konto abgerufen. Wenn Sie den verwenden AWS CLI, können Sie den list-allow-listsBefehl ausführen, um diese Informationen abzurufen.

Geben Sie für den ignoreJobChecks Parameter an, ob das Löschen der Liste erzwungen werden soll, auch wenn Discovery-Jobs für sensible Daten so konfiguriert sind, dass sie die Liste verwenden:

  • Wenn Sie dies angebenfalse, überprüft Macie die Einstellungen für all Ihre Jobs, die einen anderen Status als COMPLETE oder CANCELLED haben. Wenn keiner dieser Jobs für die Verwendung der Liste konfiguriert ist, löscht Macie die Liste dauerhaft. Wenn einer dieser Jobs für die Verwendung der Liste konfiguriert ist, lehnt Macie Ihre Anfrage ab und gibt einen HTTP 400 () -Fehler zurück. ValidationException Die Fehlermeldung gibt die Anzahl der zutreffenden Jobs für bis zu 200 Jobs an.

  • Wenn Sie dies angebentrue, löscht Macie die Liste dauerhaft, ohne die Einstellungen für einen Ihrer Jobs zu überprüfen.

Um eine Zulassungsliste mit dem zu löschen AWS CLI, führen Sie den delete-allow-listBefehl aus. Beispielsweise:

C:\> aws macie2 delete-allow-list --id nkr81bmtu2542yyexample --ignore-job-checks false

Wobei nkr81bmtu2542yyexample der eindeutige Bezeichner für die zu löschende Zulassungsliste ist.

Wenn Ihre Anfrage erfolgreich ist, gibt Macie eine leere HTTP 200-Antwort zurück. Andernfalls gibt Macie eine HTTP 4 xx - oder 500-Antwort zurück, die angibt, warum der Vorgang fehlgeschlagen ist.

Wenn in der Zulassungsliste ein vordefinierter Text angegeben wurde, können Sie optional das S3-Objekt löschen, in dem die Liste gespeichert ist. Wenn Sie dieses Objekt behalten, können Sie jedoch sicherstellen, dass Sie über eine unveränderliche Historie vertraulicher Daten und der Ergebnisse von Datensicherheitsprüfungen oder -untersuchungen verfügen.