Surveillance des tâches de découverte de données sensibles avec Amazon CloudWatch Logs

Outre le suivi de l'état général d'une tâche de découverte de données sensibles, vous pouvez surveiller et analyser des événements spécifiques qui se produisent au fur et à mesure de l'avancement d'une tâche. Vous pouvez le faire en utilisant des données de journalisation en temps quasi réel qu'Amazon Macie publie automatiquement sur Amazon CloudWatch Logs. Les données de ces journaux fournissent un enregistrement des modifications apportées à la progression ou à l'état d'une tâche, telles que la date et l'heure exactes auxquelles une tâche a commencé à s'exécuter, a été suspendue ou s'est terminée.

Les données du journal fournissent également des détails sur les erreurs de compte ou de compartiment survenant lors de l'exécution d'une tâche. Par exemple, si les paramètres d'autorisation d'un compartiment S3 empêchent une tâche d'analyser les objets du compartiment, Macie enregistre un événement. L'événement indique à quel moment l'erreur s'est produite et identifie à la fois le bucket concerné et le compte propriétaire du bucket. Les données relatives à ces types d'événements peuvent vous aider à identifier, à étudier et à corriger les erreurs qui empêchent Macie d'analyser les données souhaitées.

Avec Amazon CloudWatch Logs, vous pouvez surveiller, stocker et accéder aux fichiers journaux provenant de plusieurs systèmes, applicationsServices AWS, y compris Macie. Vous pouvez également interroger et analyser les données des journaux, et configurer les CloudWatch journaux pour qu'ils vous avertissent lorsque certains événements se produisent ou que des seuils sont atteints. CloudWatch Logs fournit également des fonctionnalités permettant d'archiver les données des journaux et de les exporter vers Amazon S3. Pour en savoir plus sur CloudWatch les journaux, consultez le guide de l'utilisateur Amazon CloudWatch Logs.

Comment fonctionne la journalisation pour les tâches de découverte de données sensibles

Lorsque vous commencez à exécuter des tâches de découverte de données sensibles, Macie crée et configure automatiquement les ressources appropriées dans Amazon CloudWatch Logs pour enregistrer les événements relatifs à toutes vos tâches en cours. Région AWS Macie publie ensuite automatiquement les données des événements sur ces ressources lorsque vos tâches sont exécutées. La politique d'autorisation pour le rôle lié au service Macie pour votre compte permet à Macie d'effectuer ces tâches en votre nom. Vous n'avez pas besoin de prendre de mesures pour créer ou configurer des ressources dans CloudWatch Logs, ni pour enregistrer les données d'événements pour vos tâches.

Dans CloudWatch Logs, les logs sont organisés en groupes de logs. Chaque groupe de journaux contient des flux de journaux. Chaque flux de journal contient des événements de journal. L'objectif général de chacune de ces ressources est le suivant :

• Un groupe de journaux est un ensemble de flux de journaux qui partagent les mêmes paramètres de conservation, de surveillance et de contrôle d'accès, par exemple la collecte de journaux pour toutes vos tâches de découverte de données sensibles.

• Un flux de journal est une séquence d'événements de journal qui partagent la même source, par exemple une tâche individuelle de découverte de données sensibles.

• Un événement de journal est un enregistrement d'une activité enregistrée par une application ou une ressource, par exemple un événement individuel enregistré et publié par Macie pour une tâche de découverte de données sensibles particulière.

Macie publie les événements de toutes vos tâches de découverte de données sensibles dans un seul groupe de journaux, et chaque tâche possède un flux de journal unique dans ce groupe de journaux. Le groupe de journaux porte le préfixe et le nom suivants :

/aws/macie/classificationjobs

Si ce groupe de journaux existe déjà, Macie l'utilise pour stocker les événements liés à vos tâches. Cela peut être utile si votre organisation utilise une configuration automatisée, par exemple pour créer des groupes de journaux avec des périodes de conservation des journaux prédéfinies, des paramètres de chiffrement, des balises, des filtres métriques, etc. pour les événements professionnels. AWS CloudFormation

Si ce groupe de journaux n'existe pas, Macie le crée avec les paramètres par défaut utilisés par Logs pour les nouveaux groupes de CloudWatch journaux. Les paramètres incluent une période de conservation des journaux Never Expire, ce qui signifie que CloudWatch Logs stocke les journaux indéfiniment. Pour modifier la période de conservation du groupe de journaux, vous pouvez utiliser la CloudWatch console Amazon ou l'API Amazon CloudWatch Logs. Pour savoir comment procéder, consultez la section Utilisation des groupes de journaux et des flux de CloudWatch journaux dans le guide de l'utilisateur Amazon Logs.

Au sein de ce groupe de journaux, Macie crée un flux de journal unique pour chaque tâche que vous exécutez, la première fois que la tâche est exécutée. Le nom du flux de journal est l'identifiant unique de la tâche, par exemple 85a55dc0fa6ed0be5939d0408example dans le format suivant.

/aws/macie/classificationjobs/85a55dc0fa6ed0be5939d0408example

Chaque flux de journal contient tous les événements de journal que Macie a enregistrés et publiés pour la tâche correspondante. Pour les tâches périodiques, cela inclut les événements relatifs à toutes les exécutions de la tâche. Si vous supprimez le flux de journal pour une tâche périodique, Macie le crée à nouveau lors de la prochaine exécution de la tâche. Si vous supprimez le flux de journal pour une tâche ponctuelle, vous ne pouvez pas le restaurer.

Notez que la journalisation est activée par défaut pour toutes vos tâches. Vous ne pouvez pas le désactiver ou empêcher Macie de publier des événements professionnels dans CloudWatch Logs. Si vous ne souhaitez pas stocker les journaux, vous pouvez réduire la période de conservation du groupe de journaux à un jour seulement. À la fin de la période de conservation, CloudWatch Logs supprime automatiquement les données d'événements expirées du groupe de journaux.

Examen des journaux pour les tâches de découverte de données sensibles

Vous pouvez consulter les journaux de vos tâches de découverte de données sensibles à l'aide de la CloudWatch console Amazon ou de l'API Amazon CloudWatch Logs. La console et l'API fournissent toutes deux des fonctionnalités conçues pour vous aider à consulter et à analyser les données du journal. Vous pouvez utiliser ces fonctionnalités pour gérer les flux de journaux et les événements liés à vos tâches, comme vous le feriez avec tout autre type de données de journal dans CloudWatch Logs.

Par exemple, vous pouvez rechercher et filtrer des données agrégées afin d'identifier des types spécifiques d'événements survenus pour toutes vos tâches au cours d'une période donnée. Vous pouvez également effectuer un examen ciblé de tous les événements survenus pour une tâche donnée. CloudWatch Logs fournit également des options pour surveiller les données des journaux, définir des filtres métriques et créer des alarmes personnalisées.

Astuce

Pour accéder aux événements du journal d'une tâche en particulier à l'aide de la console Amazon Macie, procédez comme suit : Sur la page Tâches, choisissez le nom de la tâche. En haut du panneau de détails, choisissez Afficher les résultats, puis Afficher CloudWatch les journaux. Macie ouvre la CloudWatch console Amazon et affiche un tableau des événements du journal de la tâche.

Pour consulter les journaux de vos tâches ( CloudWatch console Amazon)

1. Ouvrez la CloudWatch console à l'adresse https://console.aws.amazon.com/cloudwatch/.

2. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, sélectionnez la région dans laquelle vous avez exécuté les tâches dont vous souhaitez consulter les journaux.

3. Dans le panneau de navigation de gauche, choisissez Logs (Journaux), puis Log groups (Groupes de journaux).

4. Sur la page Groupes de journaux, choisissez le groupe de journaux /aws/macie/classificationjobs. CloudWatch Logs affiche un tableau des flux de journaux pour les tâches que vous avez exécutées. Il existe un flux unique pour chaque tâche. Le nom de chaque flux correspond à l'identifiant unique d'une tâche.

5. Sous Log streams, effectuez l'une des opérations suivantes :

   • Pour consulter les événements du journal d'une tâche en particulier, choisissez le flux de journal correspondant à la tâche. Pour trouver le flux plus facilement, entrez l'identifiant unique de la tâche dans le champ de filtre situé au-dessus du tableau. Une fois que vous avez choisi le flux de journal, CloudWatch Logs affiche un tableau des événements de journal relatifs à la tâche.

   • Pour consulter les événements du journal de toutes vos tâches, choisissez Rechercher dans tous les flux de journaux. CloudWatch Logs affiche un tableau des événements du journal pour toutes vos tâches.

6. (Facultatif) Dans la zone de filtre située au-dessus du tableau, entrez des termes, des phrases ou des valeurs qui spécifient les caractéristiques des événements spécifiques à examiner. Pour plus d'informations, consultez la section Rechercher dans les données des journaux à l'aide de modèles de filtre dans le guide de l'utilisateur Amazon CloudWatch Logs.

7. Pour consulter les détails d'un événement de journal spécifique, cliquez sur la flèche droite ( ) dans la ligne correspondant à l'événement. CloudWatch Logs affiche les détails de l'événement au format JSON.

Au fur et à mesure que vous vous familiarisez avec les données des événements du journal, vous pouvez également effectuer des tâches telles que la création de filtres de mesures qui transforment les données du journal en CloudWatch mesures numériques, et la création d'alarmes personnalisées qui vous permettent d'identifier et de répondre plus facilement à des événements de journal spécifiques. Pour plus d'informations, consultez le guide de l'utilisateur Amazon CloudWatch Logs.

Schéma des événements de journal pour les tâches de découverte de données sensibles

Chaque événement de journal pour une tâche de découverte de données sensibles est un objet JSON conforme au schéma d'événements Amazon CloudWatch Logs et contenant un ensemble standard de champs. Certains types d'événements comportent des champs supplémentaires qui fournissent des informations particulièrement utiles pour ce type d'événement. Par exemple, les événements liés à des erreurs au niveau du compte incluent l'ID de compte de la personne concernée. Compte AWS Les événements liés à des erreurs au niveau du compartiment incluent le nom du compartiment S3 concerné. Pour une liste détaillée des événements professionnels publiés par Macie sur CloudWatch Logs, consultezTypes d'événements de journalisation pour les offres d'emploi.

L'exemple suivant montre le schéma des événements du journal pour les tâches de découverte de données sensibles. Dans cet exemple, l'événement indique que Macie n'a pu analyser aucun objet dans un compartiment S3 car Amazon S3 a refusé l'accès au compartiment.

{
    "adminAccountId": "123456789012",
    "jobId": "85a55dc0fa6ed0be5939d0408example",
    "eventType": "BUCKET_ACCESS_DENIED",
    "occurredAt": "2021-04-14T17:11:30.574809Z",
    "description": "Macie doesn’t have permission to access the affected S3 bucket.",
    "jobName": "My_Macie_Job",
    "operation": "ListObjectsV2",
    "runDate": "2021-04-14T17:08:30.345809Z",
    "affectedAccount": "111122223333",
    "affectedResource": {
        "type": "S3_BUCKET_NAME",
        "value": "DOC-EXAMPLE-BUCKET"
    }
}

Dans l'exemple précédent, Macie a tenté de répertorier les objets du compartiment en utilisant l'opération ListObjectsV2 de l'API Amazon S3. Lorsque Macie a envoyé la demande à Amazon S3, Amazon S3 a refusé l'accès au compartiment.

Les champs suivants sont communs à tous les événements de journalisation relatifs aux tâches de découverte de données sensibles :

• adminAccountId— L'identifiant unique de la personne Compte AWS qui a créé la tâche.

• jobId— L'identifiant unique de la tâche.

• eventType— Le type d'événement qui s'est produit. Pour obtenir la liste complète des valeurs possibles et une description de chacune d'entre elles, voirTypes d'événements de journalisation pour les offres d'emploi.

• occurredAt— La date et l'heure, en temps universel coordonné (UTC) et au format ISO 8601 étendu, auxquelles l'événement s'est produit.

• description— Une brève description de l'événement.

• jobName— Le nom personnalisé de la tâche.

Selon le type et la nature d'un événement, un événement de journal peut également contenir les champs suivants :

• affectedAccount— L'identifiant unique du propriétaire Compte AWS de la ressource affectée.

• affectedResource— Un objet qui fournit des informations sur la ressource affectée. Dans l'objet, le type champ indique un champ qui stocke les métadonnées relatives à une ressource. Le value champ indique la valeur du champ (type).

• operation— L'opération que Macie a tenté d'effectuer et qui est à l'origine de l'erreur.

• runDate— Date et heure, en temps universel coordonné (UTC) et au format ISO 8601 étendu, du début de la tâche ou de l'exécution de la tâche applicable.

Types d'événements de journalisation pour les tâches de découverte de données sensibles

Macie publie des événements de journal pour trois catégories d'événements :

• Événements relatifs au statut d'une tâche, qui enregistrent les modifications apportées au statut ou à la progression d'une tâche ou d'une exécution de tâche.

• Événements d'erreur au niveau du compte, qui enregistrent les erreurs qui ont empêché Macie d'analyser les données Amazon S3 pour une recherche spécifique. Compte AWS

• Événements d'erreur au niveau du compartiment, qui enregistrent les erreurs qui ont empêché Macie d'analyser les données d'un compartiment S3 spécifique.

Les rubriques de cette section répertorient et décrivent les types d'événements publiés par Macie pour chaque catégorie.

Rubriques

• Événements relatifs au statut des emplois
• Événements d'erreur au niveau du compte
• Événements d'erreur au niveau du bucket

Événements relatifs au statut des emplois

Un événement relatif au statut d'une tâche enregistre une modification du statut ou de la progression d'une tâche ou d'une exécution de tâche. Pour les tâches périodiques, Macie enregistre et publie ces événements à la fois pour l'ensemble de la tâche et pour l'exécution des tâches individuelles. Pour plus d'informations sur la détermination du statut général d'une tâche, consultezVérification de l'état des tâches de découverte de données sensibles.

L'exemple suivant utilise des exemples de données pour montrer la structure et la nature des champs lors d'un événement relatif au statut d'une tâche. Dans cet exemple, un SCHEDULED_RUN_COMPLETED événement indique que l'exécution planifiée d'une tâche périodique s'est terminée. La course a débuté le 14 avril 2021 à 17:09:30 UTC, comme indiqué sur le runDate terrain. La course s'est terminée le 14 avril 2021 à 17 h 16 h 30 UTC, comme indiqué sur le occurredAt terrain.

{
    "adminAccountId": "123456789012",
    "jobId": "ffad0e71455f38a4c7c220f3cexample",
    "eventType": "SCHEDULED_RUN_COMPLETED",
    "occurredAt": "2021-04-14T17:16:30.574809Z",
    "description": "The scheduled job run finished running.",
    "jobName": "My_Daily_Macie_Job",
    "runDate": "2021-04-14T17:09:30.574809Z"
}

Le tableau suivant répertorie et décrit les types d'événements relatifs à l'état des tâches que Macie enregistre et publie dans CloudWatch Logs. La colonne Type d'événement indique le nom de chaque événement tel qu'il apparaît dans le eventType champ d'un événement. La colonne Description fournit une brève description de l'événement tel qu'il apparaît dans le description champ d'un événement. Les informations supplémentaires fournissent des informations sur le type de tâche auquel s'applique l'événement. Le tableau est d'abord trié selon l'ordre chronologique général dans lequel les événements peuvent se produire, puis par ordre alphabétique croissant par type d'événement.

Type d'événement	Description	Informations supplémentaires
EMPLOI CRÉÉ	L'emploi a été créé.	S'applique aux tâches ponctuelles et périodiques.
UN SEUL TRAVAIL A COMMENCÉ	La tâche a commencé à s'exécuter.	S'applique uniquement aux tâches ponctuelles.
SCHEDULED_RUN_STARTED	L'exécution de la tâche planifiée a commencé à s'exécuter.	S'applique uniquement aux tâches périodiques. Pour enregistrer le début d'une tâche ponctuelle, Macie publie un événement ONE_TIME_JOB_STARTED, pas ce type d'événement.
LE SEAU CORRESPONDAIT AUX CRITÈRES	Le compartiment concerné correspondait aux critères de compartiment spécifiés pour la tâche.	S'applique aux tâches ponctuelles et périodiques qui utilisent les critères des compartiments d'exécution pour déterminer les compartiments S3 à analyser. L'affectedResourceobjet indique le nom du compartiment qui correspond aux critères et qui a été inclus dans l'analyse de la tâche.
AUCUN SEAU NE CORRESPONDAIT AUX CRITÈRES	La tâche a commencé à s'exécuter mais aucun compartiment ne correspond actuellement aux critères de compartiment spécifiés pour la tâche. Le travail n'a analysé aucune donnée.	S'applique aux tâches ponctuelles et périodiques qui utilisent les critères des compartiments d'exécution pour déterminer les compartiments S3 à analyser.
SCHEDULED_RUN_COMPLETED	L'exécution de la tâche planifiée s'est terminée.	S'applique uniquement aux tâches périodiques. Pour enregistrer l'achèvement d'une tâche ponctuelle, Macie publie un événement JOB_COMPLETED, et non ce type d'événement.
JOB_PAUSED_BY_USER	La tâche a été interrompue par un utilisateur.	S'applique aux tâches ponctuelles et périodiques que vous avez arrêtées temporairement (suspendues).
REPRISE DU TRAVAIL PAR L'UTILISATEUR	La tâche a été reprise par un utilisateur.	S'applique aux tâches ponctuelles et périodiques que vous avez arrêtées temporairement (suspendues) puis reprises.
JOB_PAUSED_BY_MACIE_SERVICE_QUOTA_MET	Le travail a été suspendu par Macie. L'achèvement du travail dépasserait le quota mensuel pour le compte concerné.	S'applique aux tâches ponctuelles et périodiques que Macie a temporairement arrêtées (suspendues). Macie suspend automatiquement une tâche lorsque le traitement supplémentaire effectué par la tâche ou l'exécution d'une tâche dépasse le quota mensuel de découverte de données sensibles pour un ou plusieurs comptes pour lesquels la tâche analyse les données. Pour éviter ce problème, pensez à augmenter le quota des comptes concernés.
JOB_RESUMED_BY_MACIE_SERVICE_QUOTA_LIFTED	Le travail a été repris par Macie. Le quota de service mensuel a été levé pour le compte concerné.	S'applique aux tâches ponctuelles et périodiques que Macie a arrêtées temporairement (mises en pause) puis reprises. Si Macie a automatiquement suspendu une tâche ponctuelle, Macie reprend automatiquement la tâche au début du mois suivant ou le quota mensuel de découverte de données sensibles est augmenté pour tous les comptes concernés, selon la première éventualité. Si Macie a automatiquement suspendu une tâche périodique, Macie reprend automatiquement la tâche au début de la prochaine exécution ou au début du mois suivant, selon la première éventualité.
JOB ANNULÉ	Le travail a été annulé.	S'applique aux tâches ponctuelles et périodiques que vous avez arrêtées définitivement (annulées) ou, pour les tâches ponctuelles, suspendues et que vous n'avez pas reprises dans les 30 jours. Si vous suspendez ou désactivez Macie, ce type d'événement s'applique également aux tâches qui étaient actives ou suspendues lorsque vous avez suspendu ou désactivé Macie. Macie annule automatiquement vos tâches Région AWS si vous suspendez ou désactivez Macie dans la région.
TÂCHE TERMINÉE	L'exécution de la tâche s'est terminée.	S'applique uniquement aux tâches ponctuelles. Pour enregistrer la fin d'une tâche exécutée pour une tâche périodique, Macie publie un événement SCHEDULED_RUN_COMPLETED, pas ce type d'événement.

Événements d'erreur au niveau du compte

Un événement d'erreur au niveau du compte enregistre une erreur qui a empêché Macie d'analyser des objets dans des compartiments S3 appartenant à une personne spécifique. Compte AWS Le affectedAccount champ de chaque événement indique l'ID de compte de ce compte.

L'exemple suivant utilise des exemples de données pour montrer la structure et la nature des champs lors d'un événement d'erreur au niveau du compte. Dans cet exemple, un ACCOUNT_ACCESS_DENIED événement indique que Macie n'a pas été en mesure d'analyser les objets dans les compartiments S3 appartenant à un compte. 444455556666

{
    "adminAccountId": "123456789012",
    "jobId": "85a55dc0fa6ed0be5939d0408example",
    "eventType": "ACCOUNT_ACCESS_DENIED",
    "occurredAt": "2021-04-14T17:08:30.585709Z",
    "description": "Macie doesn’t have permission to access S3 bucket data for the affected account.",
    "jobName": "My_Macie_Job",
    "operation": "ListBuckets",
    "runDate": "2021-04-14T17:05:27.574809Z",
    "affectedAccount": "444455556666"
}

Le tableau suivant répertorie et décrit les types d'événements d'erreur au niveau du compte que Macie enregistre et publie dans Logs. CloudWatch La colonne Type d'événement indique le nom de chaque événement tel qu'il apparaît dans le eventType champ d'un événement. La colonne Description fournit une brève description de l'événement tel qu'il apparaît dans le description champ d'un événement. La colonne Informations supplémentaires fournit tous les conseils applicables pour rechercher ou corriger l'erreur survenue. Le tableau est trié par ordre alphabétique croissant par type d'événement.

Type d'événement	Description	Informations supplémentaires
ACCESS_DE_COMPTE_REFUSÉ	Macie n'est pas autorisé à accéder aux données du compartiment S3 pour le compte concerné.	Cela se produit généralement parce que les compartiments détenus par le compte sont soumis à des politiques de compartiment restrictives. Pour plus d'informations sur la manière de résoudre ce problème, consultezAutoriser Macie à accéder aux compartiments et aux objets S3. La valeur du operation champ de l'événement peut vous aider à déterminer quels paramètres d'autorisation ont empêché Macie d'accéder aux données S3 du compte. Ce champ indique l'opération Amazon S3 que Macie a tenté d'effectuer lorsque l'erreur s'est produite.
COMPTE_DÉSACTIVÉ	La tâche ignorait les ressources détenues par le compte concerné. Macie a été désactivée pour le compte.	Pour résoudre ce problème, réactivez Macie pour le compte dans celui-ci. Région AWS
COMPTE_DISSOCIÉ	La tâche ignorait les ressources détenues par le compte concerné. Le compte n'est plus associé à votre compte administrateur Macie en tant que compte membre.	Cela se produit si, en tant qu'administrateur Macie d'une organisation, vous configurez une tâche pour analyser les données d'un compte de membre associé et que le compte de membre est ensuite supprimé de votre organisation. Pour résoudre ce problème, associez à nouveau le compte concerné à votre compte administrateur Macie en tant que compte membre. Pour plus d'informations, veuillez consulter Gestion de plusieurs comptes .
COMPTE_ISOLÉ	La tâche ignorait les ressources détenues par le compte concerné. Ils Compte AWS étaient isolés.	–
COMPTE_RÉGION_DÉSACTIVÉ	La tâche ignorait les ressources détenues par le compte concerné. Le Compte AWS n'est pas actif en ce momentRégion AWS.	–
COMPTE_SUSPENDU	La tâche a été annulée ou des ressources appartenant au compte concerné ont été ignorées. Macie a été suspendu pour ce compte.	Si le compte indiqué est le vôtre, Macie a automatiquement annulé le travail lorsque vous avez suspendu Macie dans la même région. Pour résoudre ce problème, réactivez Macie dans la région. Si le compte spécifié est un compte membre, réactivez Macie pour ce compte dans la même région.
COMPTE RÉSILIÉ	La tâche ignorait les ressources détenues par le compte concerné. Compte AWSIl a été résilié.	–

Événements d'erreur au niveau du bucket

Un événement d'erreur au niveau du compartiment enregistre une erreur qui a empêché Macie d'analyser des objets dans un compartiment S3 spécifique. Le affectedAccount champ de chaque événement indique l'ID de compte du Compte AWS propriétaire du bucket. Dans chaque événement, l'affectedResourceobjet indique le nom du compartiment.

L'exemple suivant utilise des exemples de données pour montrer la structure et la nature des champs lors d'un événement d'erreur au niveau du compartiment. Dans cet exemple, un BUCKET_ACCESS_DENIED événement indique que Macie n'a pu analyser aucun objet dans le compartiment S3 nomméDOC-EXAMPLE-BUCKET. Lorsque Macie a tenté de répertorier les objets du compartiment en utilisant l'opération ListObjectsV2 de l'API Amazon S3, Amazon S3 a refusé l'accès au compartiment.

{
    "adminAccountId": "123456789012",
    "jobId": "85a55dc0fa6ed0be5939d0408example",
    "eventType": "BUCKET_ACCESS_DENIED",
    "occurredAt": "2021-04-14T17:11:30.574809Z",
    "description": "Macie doesn’t have permission to access the affected S3 bucket.",
    "jobName": "My_Macie_Job",
    "operation": "ListObjectsV2",
    "runDate": "2021-04-14T17:09:30.685209Z",
    "affectedAccount": "111122223333",
    "affectedResource": {
        "type": "S3_BUCKET_NAME",
        "value": "DOC-EXAMPLE-BUCKET"
    }
}

Le tableau suivant répertorie et décrit les types d'événements d'erreur au niveau du compartiment que Macie enregistre et publie dans Logs. CloudWatch La colonne Type d'événement indique le nom de chaque événement tel qu'il apparaît dans le eventType champ d'un événement. La colonne Description fournit une brève description de l'événement tel qu'il apparaît dans le description champ d'un événement. La colonne Informations supplémentaires fournit tous les conseils applicables pour rechercher ou corriger l'erreur survenue. Le tableau est trié par ordre alphabétique croissant par type d'événement.

Type d'événement	Description	Informations supplémentaires
BUCKET_ACCESS_DENIED	Macie n'est pas autorisé à accéder au compartiment S3 concerné.	Cela se produit généralement parce qu'un compartiment est soumis à une politique de compartiment restrictive. Pour plus d'informations sur la manière de résoudre ce problème, consultezAutoriser Macie à accéder aux compartiments et aux objets S3. La valeur du operation champ de l'événement peut vous aider à déterminer quels paramètres d'autorisation ont empêché Macie d'accéder au bucket. Ce champ indique l'opération Amazon S3 que Macie a tenté d'effectuer lorsque l'erreur s'est produite.
DÉTAILS DU GODET NON DISPONIBLES	Un problème temporaire a empêché Macie de récupérer des informations sur le compartiment et ses objets.	Cela se produit si un problème temporaire a empêché Macie de récupérer les métadonnées du bucket et de l'objet dont il a besoin pour analyser les objets d'un bucket. Par exemple, une exception Amazon S3 s'est produite lorsque Macie a essayé de vérifier qu'elle était autorisée à accéder au compartiment. Pour résoudre le problème lié à une tâche ponctuelle, envisagez de créer et d'exécuter une nouvelle tâche ponctuelle pour analyser les objets du compartiment. Pour une tâche planifiée, Macie essaiera à nouveau de récupérer les métadonnées lors de la prochaine exécution de la tâche.
LE GODET N'EXISTE PAS	Le compartiment S3 concerné n'existe plus.	Cela se produit généralement parce qu'un compartiment a été supprimé.
SEAU DANS UNE RÉGION DIFFÉRENTE	Le compartiment S3 concerné a été déplacé vers un autreRégion AWS.	–
LE PROPRIÉTAIRE DU GODET A CHANGÉ	Le propriétaire du compartiment S3 concerné a changé. Macie n'est plus autorisé à accéder au bucket.	Cela se produit généralement si la propriété d'un bucket a été transférée à un Compte AWS utilisateur ne faisant pas partie de votre organisation. Le affectedAccount champ de l'événement indique l'ID de compte du compte qui possédait auparavant le bucket.