Memantau pekerjaan penemuan data sensitif dengan Amazon CloudWatch Logs - Amazon Macie
Cara pencatatan bekerja untuk tugasMeninjau log untuk tugasSkema log acara untuk tugasTipe log acara untuk tugas

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memantau pekerjaan penemuan data sensitif dengan Amazon CloudWatch Logs

Selain memantau status keseluruhan dari tugas penemuan data sensitif, Anda dapat memantau dan menganalisis peristiwa tertentu yang terjadi saat tugas berlangsung. Anda dapat melakukan ini dengan menggunakan data logging mendekati waktu nyata yang Amazon Macie terbitkan secara otomatis ke Amazon Logs. CloudWatch Data dalam log ini menyediakan catatan perubahan kemajuan atau status tugas, seperti tanggal dan waktu yang tepat ketika tugas mulai berjalan, dijeda, atau selesai berjalan.

Data log juga menyediakan detail tentang kesalahan tingkat akun atau bucket yang terjadi saat tugas berjalan. Sebagai contoh, jika pengaturan izin untuk bucket S3 mencegah tugas untuk menganalisis objek di bucket ember, maka Macie akan mencatat suatu peristiwa. Peristiwa tersebut menunjukkan ketika terjadi kesalahan, dan mengidentifikasi semua bucket yang terpengaruh dan akun yang memiliki bucket. Data untuk tipe peristiwa ini dapat membantu Anda mengidentifikasi, menyelidiki, dan mengatasi kesalahan yang mencegah Macie dari menganalisis data yang Anda inginkan.

Dengan Amazon CloudWatch Logs, Anda dapat memantau, menyimpan, dan mengakses file log dari beberapa sistem, aplikasi, danLayanan AWS, termasuk Macie. Anda juga dapat menanyakan dan menganalisis data log, dan mengonfigurasi CloudWatch Log untuk memberi tahu Anda saat peristiwa tertentu terjadi atau ambang batas terpenuhi. CloudWatch Log juga menyediakan fitur untuk pengarsipan data log dan mengekspor data ke Amazon S3. Untuk mempelajari lebih lanjut tentang CloudWatch Log, lihat Panduan Pengguna Amazon CloudWatch Logs.

Cara pencatatan bekerja untuk tugas penemuan data sensitif

Saat Anda mulai menjalankan pekerjaan penemuan data sensitif, Macie secara otomatis membuat dan mengonfigurasi sumber daya yang sesuai di Amazon CloudWatch Logs untuk mencatat peristiwa untuk semua pekerjaan Anda saat ini. Wilayah AWS Macie kemudian mempublikasikan data peristiwa ke sumber daya tersebut secara otomatis ketika tugas Anda berjalan. Kebijakan izin untuk Peran yang terhubung dengan layanan Macie untuk akun Anda memungkinkan Macie untuk melakukan tugas-tugas ini atas nama Anda. Anda tidak perlu mengambil langkah apa pun untuk membuat atau mengonfigurasi sumber daya di CloudWatch Log, atau mencatat data peristiwa untuk pekerjaan Anda.

Di CloudWatch Log, log diatur ke dalam grup log. Setiap grup log berisi pengaliran log. Setiap pengaliran log berisi log acara. Tujuan umum dari masing-masing sumber daya ini adalah sebagai berikut:

  • Grup log adalah kumpulan pengaliran log yang berbagi pengaturan penyimpanan, pemantauan, dan kontrol akses yang sama—misalnya, pengumpulan log untuk semua tugas penemuan data sensitif Anda.

  • Pengaliran log adalah urutan log acara yang berbagi sumber yang sama—misalnya, tugas penemuan data sensitif individu.

  • Peristiwa log adalah catatan aktivitas yang dicatat oleh aplikasi atau sumber daya—misalnya, peristiwa individual yang dicatat dan dipublikasikan Macie untuk tugas penemuan data sensitif tertentu.

Macie mempublikasikan peristiwa untuk semua tugas penemuan data sensitif Anda ke satu grup log, dan setiap tugas memiliki pengaliran log unik di grup log tersebut. Grup log memiliki prefiks dan nama berikut:

/aws/macie/classificationjobs

Jika grup log ini sudah ada, Macie menggunakannya untuk menyimpan log acara untuk tugas Anda. Hal ini dapat membantu jika organisasi Anda menggunakan konfigurasi otomatis, seperti AWS CloudFormation, untuk membuat grup log dengan periode retensi log yang telah ditentukan sebelumnya, pengaturan enkripsi, tanda, filter metrik, dan sebagainya untuk peristiwa tugas.

Jika grup log ini tidak ada, Macie membuatnya dengan pengaturan default yang digunakan CloudWatch Log untuk grup log baru. Pengaturan mencakup periode penyimpanan log Never Exire, yang berarti bahwa CloudWatch Log menyimpan log tanpa batas waktu. Untuk mengubah periode penyimpanan grup log, Anda dapat menggunakan CloudWatch konsol Amazon atau Amazon CloudWatch Logs API. Untuk mempelajari caranya, lihat Bekerja dengan grup log dan aliran log di Panduan Pengguna Amazon CloudWatch Logs.

Dalam grup log ini, Macie menciptakan pengaliran log unik untuk setiap tugas yang Anda jalankan, saat tugas berjalan untuk pertama kalinya. Nama pengaliran log merupakan pengidentifikasi unik untuk tugas, seperti 85a55dc0fa6ed0be5939d0408example, dalam format berikut.

/aws/macie/classificationjobs/85a55dc0fa6ed0be5939d0408example

Setiap pengaliran log berisi semua log acara yang Macie catat dan publikasikan untuk tugas yang sesuai. Untuk tugas berkala, ini termasuk peristiwa untuk semua pelaksanaan tugas. Jika Anda menghapus pengaliran log untuk tugas berkala, Macie akan membuat pengaliran lagi pada waktu berikutnya saat tugas berjalan. Jika Anda menghapus pengaliran log untuk tugas satu kali, Anda tidak dapat memulihkannya.

Perhatikan bahwa pencatatan diaktifkan secara default untuk semua tugas Anda. Anda tidak dapat menonaktifkannya atau mencegah Macie memublikasikan peristiwa pekerjaan ke CloudWatch Log. Jika Anda tidak ingin menyimpan log, Anda dapat mengurangi retensi penyimpanan grup log menjadi paling sedikit satu hari. Pada akhir periode penyimpanan, CloudWatch Log secara otomatis menghapus data peristiwa kedaluwarsa dari grup log.

Meninjau log untuk tugas penemuan data sensitif

Anda dapat meninjau log untuk pekerjaan penemuan data sensitif Anda dengan menggunakan CloudWatch konsol Amazon atau Amazon CloudWatch Logs API. Konsol tersebut dan API menyediakan fitur yang dirancang untuk membantu Anda meninjau dan menganalisis data log. Anda dapat menggunakan fitur ini untuk bekerja dengan aliran log dan peristiwa untuk pekerjaan Anda karena Anda akan bekerja dengan jenis data log lainnya di CloudWatch Log.

Misalnya, Anda dapat mencari dan memfilter data kumpulan untuk mengidentifikasi tipe peristiwa tertentu yang terjadi untuk semua tugas Anda selama rentang waktu tertentu. Atau Anda dapat melakukan tinjauan yang ditargetkan dari semua peristiwa yang terjadi untuk pekerjaan tertentu. CloudWatch Log juga menyediakan opsi untuk memantau data log, menentukan filter metrik, dan membuat alarm khusus.

Tip

Untuk menavigasi ke log acara untuk tugas tertentu dengan menggunakan konsol Amazon Macie, lakukan hal berikut: pada Tugas, pilih nama tugas. Di bagian atas panel detail, pilih Tampilkan hasil, lalu pilih Tampilkan CloudWatch log. Macie membuka CloudWatch konsol Amazon dan menampilkan tabel peristiwa log untuk pekerjaan itu.

Untuk meninjau log untuk pekerjaan Anda ( CloudWatch konsol Amazon)

  1. Buka CloudWatch konsol di https://console.aws.amazon.com/cloudwatch/.

  2. Dengan menggunakan pemilih Wilayah AWS di bagian atas kanan pada halaman, pilih Wilayah tempat Anda menjalankan tugas yang lognya ingin Anda tinjau.

  3. Pada panel navigasi, pilih Log, lalu pilih Grup log.

  4. Pada halaman Grup log, pilih grup log /aws/macie/classificationjobs. CloudWatch Log menampilkan tabel aliran log untuk pekerjaan yang telah Anda jalankan. Ada satu pengaliran unik untuk setiap tugas. Nama setiap pengaliran berkorelasi dengan pengindetifikasi unik untuk suatu tugas.

  5. Di bawah Pengaliran log, lakukan salah satu langkah berikut:

    • Untuk meninjau log acara untuk tugas tertentu, pilih pengaliran log untuk tugas tersebut. Untuk menemukan aliran lebih mudah, masukkan pengenal unik pekerjaan di kotak filter di atas tabel. Setelah Anda memilih aliran CloudWatch log, Log menampilkan tabel peristiwa log untuk pekerjaan itu.

    • Untuk meninjau peristiwa log untuk semua pekerjaan Anda, pilih Cari semua aliran log. CloudWatch Log menampilkan tabel peristiwa log untuk semua pekerjaan Anda.

  6. (Opsional) Pada kotak filter di atas tabel, masukkan istilah, frasa, atau nilai yang menentukan karakteristik peristiwa tertentu untuk ditinjau. Untuk informasi selengkapnya, lihat Cari data log menggunakan pola filter di Panduan Pengguna Amazon CloudWatch Logs.

  7. Untuk meninjau detail peristiwa log tertentu, pilih panah kanan ( A right-facing solid arrow ) di baris untuk acara tersebut. CloudWatch Log menampilkan rincian acara dalam format JSON.

Saat Anda membiasakan diri dengan data dalam peristiwa log, Anda juga dapat melakukan tugas seperti membuat filter metrik yang mengubah data log menjadi CloudWatch metrik numerik, dan membuat alarm khusus yang memudahkan Anda mengidentifikasi dan merespons peristiwa log tertentu. Untuk informasi selengkapnya, lihat Panduan Pengguna Amazon CloudWatch Logs.

Skema log acara untuk tugas penemuan data sensitif

Setiap peristiwa log untuk pekerjaan penemuan data sensitif adalah objek JSON yang sesuai dengan skema peristiwa Amazon CloudWatch Logs dan berisi kumpulan bidang standar. Beberapa tipe peristiwa memiliki bidang tambahan yang menyediakan informasi yang sangat berguna untuk tipe peristiwa tersebut. Misalnya, peristiwa untuk kesalahan tingkat akun menyertakan ID akun untuk yang terpengaruh. Akun AWS Peristiwa untuk kesalahan tingkat bucket termasuk nama bucket S3 yang terpengaruh. Untuk daftar detail acara pekerjaan yang dipublikasikan Macie ke CloudWatch Log, lihat. Tipe log acara untuk tugas

Contoh berikut menunjukkan skema log acara untuk tugas penemuan data sensitif. Dalam contoh ini, peristiwa tersebut melaporkan bahwa Macie tidak mampu menganalisis objek apa pun di bucket S3 karena Amazon S3 menolak akses ke bucket.

{
    "adminAccountId": "123456789012",
    "jobId": "85a55dc0fa6ed0be5939d0408example",
    "eventType": "BUCKET_ACCESS_DENIED",
    "occurredAt": "2021-04-14T17:11:30.574809Z",
    "description": "Macie doesn’t have permission to access the affected S3 bucket.",
    "jobName": "My_Macie_Job",
    "operation": "ListObjectsV2",
    "runDate": "2021-04-14T17:08:30.345809Z",
    "affectedAccount": "111122223333",
    "affectedResource": {
        "type": "S3_BUCKET_NAME",
        "value": "DOC-EXAMPLE-BUCKET"
    }
}

Pada contoh sebelumnya, Macie mencoba mencantumkan objek di bucket dengan menggunakan operasi ListObjectsV2 dari Amazon S3 API. Ketika Macie mengirim permintaan ke Amazon S3, Amazon S3 menolak akses ke bucket.

Bidang berikut ini umum untuk semua log acara untuk tugas penemuan data sensitif:

  • adminAccountId— Pengenal unik untuk Akun AWS yang menciptakan pekerjaan.

  • jobId— Pengenal unik untuk pekerjaan itu.

  • eventTypeJenis peristiwa yang terjadi. Untuk daftar lengkap dari nilai yang memungkinkan dan deskripsi masing-masing, lihat Tipe log acara untuk tugas.

  • occurredAtTanggal dan waktu, dalam Coordinated Universal Time (UTC) dan format ISO 8601 yang diperpanjang, ketika peristiwa terjadi.

  • description— Penjelasan singkat tentang acara tersebut.

  • jobName— Nama khusus pekerjaan.

Tergantung pada tipe dan sifat peristiwa, log acara juga dapat berisi bidang-bidang berikut:

  • affectedAccount— Pengidentifikasi unik untuk Akun AWS yang memiliki sumber daya yang terpengaruh.

  • affectedResource— Objek yang memberikan rincian tentang sumber daya yang terpengaruh. Dalam objek, type bidang menentukan bidang yang menyimpan metadata tentang sumber daya. Bidang value menentukan nilai untuk bidang (type).

  • operation— Operasi yang Macie coba lakukan dan menyebabkan kesalahan.

  • runDateTanggal dan waktu, dalam Coordinated Universal Time (UTC) dan format ISO 8601 yang diperpanjang, saat pekerjaan atau pekerjaan yang berlaku dimulai.

Tipe log acara untuk tugas penemuan data sensitif

Macie mempublikasikan log acara untuk tiga kategori peristiwa:

  • Peristiwa status tugas, yang mencatat perubahan status atau kemajuan tugas atau tugas yang dijalankan.

  • Peristiwa kesalahan tingkat akun, yang mencatat kesalahan yang mencegah Macie menganalisis data Amazon S3 untuk Akun AWS tertentu.

  • Peristiwa kesalahan tingkat bucket, yang mencatat kesalahan yang mencegah Macie menganalisis data di bucket S3 tertentu.

Topik dalam bagian ini mencantumkan dan menjelaskan tipe peristiwa yang diterbitkan Macie untuk setiap kategori.

Peristiwa status tugas

Peristiwa status tugas mencatat perubahan status atau kemajuan tugas atau tugas yang dijalankan. Untuk tugas berkala, Macie mencatat dan mempublikasikan peristiwa ini untuk kedua tugas secara keseluruhan dan tugas individu yang dijalankan. Untuk informasi tentang penentuan status tugas secara keseluruhan, lihat Memeriksa status tugas penemuan data sensitif.

Contoh berikut menggunakan data sampel untuk menunjukkan struktur dan sifat bidang dalam peristiwa status tugas. Dalam contoh ini, peristiwa SCHEDULED_RUN_COMPLETED menunjukkan bahwa pelaksanaan terjadwal tugas berkala selesai dijalankan. Pelaksanaan tersebut dimulai pada 14 April 2021, pukul 17:09:30 UTC, seperti yang ditunjukkan oleh bidang runDate. Pelaksanaan tersebut selesai pada 14 April 2021, pukul 17:16:30 UTC, seperti yang ditunjukkan oleh bidang occurredAt.

{
    "adminAccountId": "123456789012",
    "jobId": "ffad0e71455f38a4c7c220f3cexample",
    "eventType": "SCHEDULED_RUN_COMPLETED",
    "occurredAt": "2021-04-14T17:16:30.574809Z",
    "description": "The scheduled job run finished running.",
    "jobName": "My_Daily_Macie_Job",
    "runDate": "2021-04-14T17:09:30.574809Z"
}

Tabel berikut mencantumkan dan menjelaskan jenis peristiwa status pekerjaan yang dicatat dan diterbitkan oleh Macie ke CloudWatch Log. Kolom Tipe peristiwa menunjukkan nama dari setiap peristiwa seperti yang muncul di bidang eventType suatu acara. Kolom Deskripsi menyediakan penjelasan singkat dari peristiwa seperti yang muncul di bidang description suatu acara. Informasi tambahan memberikan informasi tentang tipe tugas yang berlaku untuk peristiwa tersebut. Tabel diurutkan pertama berdasarkan urutan kronologis umum saat peristiwa mungkin terjadi, lalu dalam urutan abjad naik berdasarkan tipe peristiwa.

Tipe peristiwa Deskripsi Informasi tambahan

TUGAS_DIBUAT

Tugas tersebut dibuat.

Berlaku untuk tugas satu kali dan berkala.
TUGAS_SATU_KALI_DIMULAI

Tugas mulai berjalan.

Hanya berlaku untuk tugas satu kali.

PELAKSANAAN_TERJADWAL_DIMULAI

Pelaksanaan tugas terjadwal mulai berjalan.

Hanya berlaku tugas berkala. Untuk mencatat awal tugas satu kali, Macie mempublikasikan peristiwa TUGAS_SATU_KALI_DIMULAI, bukan tipe peristiwa.

BUCKET_COCOK_DENGAN_KRITERIA

Bucket yang terpengaruh cocok dengan kriteria bucket yang ditentukan untuk tugas tersebut.

Berlaku untuk pekerjaan satu kali dan berkala yang menggunakan kriteria bucket runtime untuk menentukan bucket S3 mana yang akan dianalisis.

affectedResourceObjek menentukan nama bucket yang cocok dengan kriteria dan dimasukkan dalam analisis pekerjaan.

TIDAK_ADA_BUCKETS_YANG_COCOK_DENGAN_KRITERIA

Tugas mulai berjalan tetapi saat ini tidak ada bucket yang cocok dengan kriteria bucket yang ditentukan untuk tugas tersebut. Tugas tersebut tidak menganalisis data apa pun.

Berlaku untuk pekerjaan satu kali dan berkala yang menggunakan kriteria bucket runtime untuk menentukan bucket S3 mana yang akan dianalisis.
PELAKSANAAN_TERJADWAL_SELESAI

Pelaksanaan tugas terjadwal selesai berjalan.

Hanya berlaku tugas berkala. Untuk mencatat penyelesaian tugas satu kali, Macie mempublikasikan peristiwa TUGAS_SELESAI bukan tipe peristiwa ini.

TUGAS_DIJEDA_PENGGUNA

Tugas dijeda oleh pengguna.

Berlaku untuk tugas satu kali dan berkala yang Anda hentikan sementara (dijeda).

TUGAS_DILANJUTKAN_OLEH_PENGGUNA

Tugas dilanjutkan oleh pengguna.

Berlaku untuk tugas satu kali dan berkala yang Anda hentikan sementara (dijeda) lalu dilanjutkan kembali.

TUGAS_YANG_DIJEDA_OLEH_KUOTA_LAYANAN_MACIE_TERPENUHI

Tugas dijeda oleh Macie. Penyelesaian tugas akan melebihi kuota bulanan untuk akun terdampak.

Berlaku untuk tugas satu kali dan berkala yang Macie hentikan sementara (dijeda).

Macie secara otomatis menghentikan sementara pekerjaan ketika pemrosesan tambahan oleh pekerjaan atau pekerjaan akan melebihi kuota penemuan data sensitif bulanan untuk satu atau lebih akun yang dianalisis data pekerjaan tersebut. Untuk menghindari masalah ini, pertimbangkan untuk meningkatkan kuota untuk akun yang terkena dampak.

TUGAS_YANG_DILANJUTKAN_KUOTA_LAYANAN_MACIE_DIANGKAT

Tugas dilanjutkan oleh Macie. Service Quotas bulanan diangkat untuk akun yang terkena dampak.

Berlaku untuk tugas satu kali dan berkala yang Macie hentikan sementara (dijeda) lalu dilanjutkan kembali.

Jika Macie secara otomatis menghentikan sementara pekerjaan satu kali, Macie secara otomatis melanjutkan pekerjaan ketika bulan berikutnya dimulai atau kuota penemuan data sensitif bulanan ditingkatkan untuk semua akun yang terpengaruh, mana yang terjadi lebih dulu. Jika Macie secara otomatis menghentikan sementara pekerjaan berkala, Macie secara otomatis melanjutkan pekerjaan ketika putaran berikutnya dijadwalkan untuk dimulai atau bulan berikutnya dimulai, mana yang terjadi lebih dulu.

TUGAS_DIBATALKAN

 Tugas dibatalkan.

Berlaku untuk tugas satu kali dan berkala yang Anda hentikan secara permanen (dibatalkan) atau, untuk tugas satu kali, yang dijeda dan tidak dilanjutkan dalam waktu 30 hari.

Jika Anda menangguhkan atau menonaktifkan Macie, tipe peristiwa ini juga berlaku untuk tugas yang aktif atau dijeda saat Anda menangguhkan atau menonaktifkan Macie. Macie secara otomatis membatalkan tugas Anda di Wilayah AWS jika Anda menangguhkan atau menonaktifkan Macie di Wilayah.

TUGAS_SELESAI

Tugas selesai berjalan.

Hanya berlaku untuk tugas satu kali. Untuk mencatat penyelesaian pelaksanaan tugas satu kali, Macie mempublikasikan peristiwa PELAKSANAAN_TERJADWAL_SELESAI bukan tipe peristiwa ini.

Peristiwa kesalahan tingkat akun

Peristiwa kesalahan tingkat akun mencatat kesalahan yang mencegah Macie menganalisis objek di bucket S3 yang dimiliki oleh Akun AWS tertentu. Bidang affectedAccount di setiap peristiwa menentukan ID akun untuk akun tersebut.

Contoh berikut menggunakan data sampel untuk menunjukkan struktur dan sifat bidang di peristiwa kesalahan tingkat akun. Dalam contoh ini, peristiwa ACCOUNT_ACCESS_DENIED menunjukkan bahwa Macie tidak mampu menganalisis objek di setiap bucket S3 yang dimiliki oleh akun 444455556666.

{
    "adminAccountId": "123456789012",
    "jobId": "85a55dc0fa6ed0be5939d0408example",
    "eventType": "ACCOUNT_ACCESS_DENIED",
    "occurredAt": "2021-04-14T17:08:30.585709Z",
    "description": "Macie doesn’t have permission to access S3 bucket data for the affected account.",
    "jobName": "My_Macie_Job",
    "operation": "ListBuckets",
    "runDate": "2021-04-14T17:05:27.574809Z",
    "affectedAccount": "444455556666"
}

Tabel berikut mencantumkan dan menjelaskan jenis peristiwa kesalahan tingkat akun yang dicatat dan diterbitkan oleh Macie ke Log. CloudWatch Kolom Tipe peristiwa menunjukkan nama dari setiap peristiwa seperti yang muncul di bidang eventType suatu acara. Kolom Deskripsi menyediakan penjelasan singkat dari peristiwa seperti yang muncul di bidang description suatu acara. Kolom Informasi tambahan menyediakan tips yang berlaku untuk menyelidiki atau mengatasi kesalahan yang terjadi. Tabel diurutkan berdasarkan urutan abjad naik menurut tipe peristiwa.

Tipe peristiwa Deskripsi Informasi tambahan

AKSES_AKUN_DITOLAK

Macie tidak memiliki izin untuk mengakses data bucket S3 untuk akun yang terkena dampak.

Hal ini biasanya terjadi karena bucket yang dimiliki oleh akun memiliki kebijakan bucket ketat. Untuk informasi tentang cara mengatasi masalah ini, lihat Mengizinkan Macie untuk mengakses bucket S3 dan objek.

Nilai untuk bidang operation dalam peristiwa tersebut dapat membantu Anda menentukan pengaturan izin yang mencegah Macie mengakses data S3 untuk akun tersebut. Bidang ini menunjukkan operasi Amazon S3 yang coba dilakukan Macie ketika kesalahan terjadi.
AKUN_DINONAKTIFKAN

Tugas melewatkan sumber daya yang dimiliki oleh akun yang terkena dampak. Macie dinonaktifkan untuk akun.

Untuk mengatasi masalah ini, aktifkan kembali Macie untuk akun di Wilayah AWS yang sama.
AKUN_DIPISAHKAN

Tugas melewatkan sumber daya yang dimiliki oleh akun yang terkena dampak. Akun tersebut tidak lagi dikaitkan dengan akun administrator Macie sebagai akun anggota.

Hal ini terjadi jika Anda, sebagai administrator Macie untuk organisasi, mengonfigurasi tugas untuk menganalisis data untuk akun anggota terkait dan akun anggota kemudian dihapus dari organisasi Anda.

Untuk mengatasi masalah ini, kaitkan kembali akun yang terpengaruh dengan akun administrator Macie sebagai akun anggota. Untuk informasi selengkapnya, lihat Mengelola beberapa akun.

AKUN_TERISOLASI

Tugas melewatkan sumber daya yang dimiliki oleh akun yang terkena dampak. Akun AWS terisolasi.

WILAYAH_AKUN_DINONAKTIFKAN

Tugas melewatkan sumber daya yang dimiliki oleh akun yang terkena dampak. Akun AWS tidak aktif di Wilayah AWS ini.

AKUN_DITANGGUHKAN

Tugas dibatalkan atau melewatkan sumber daya yang dimiliki oleh akun yang terkena dampak. Macie ditangguhkan untuk akun.

Jika akun yang ditentukan adalah akun Anda sendiri, Macie secara otomatis membatalkan pekerjaan ketika Anda menangguhkan Macie di Wilayah yang sama. Untuk mengatasi masalah ini, aktifkan kembali Macie di Wilayah tersebut.

Jika akun yang ditentukan adalah akun anggota, aktifkan kembali Macie untuk akun tersebut di Wilayah yang sama.

AKUN_DIAKHIRI

Tugas melewatkan sumber daya yang dimiliki oleh akun yang terkena dampak. Akun AWS diakhiri.

Peristiwa kesalahan tingkat bucket

Peristiwa kesalahan tingkat bucket mencatat kesalahan yang mencegah Macie menganalisis objek di bucket S3 tertentu. Bidang affectedAccount di setiap peristiwa menentukan ID akun untuk Akun AWS yang memiliki bucket tersebut. affectedResourceObjek dalam setiap acara menentukan nama bucket.

Contoh berikut menggunakan data sampel untuk menunjukkan struktur dan sifat bidang di peristiwa kesalahan tingkat bucket. Dalam contoh ini, peristiwa BUCKET_ACCESS_DENIED menunjukkan bahwa Macie tidak mampu menganalisis objek di bucket S3 yang bernama DOC-EXAMPLE-BUCKET. Saat Macie mencoba membuat daftar objek di bucket dengan menggunakan operasi ListObjectsV2 dari Amazon S3 API, Amazon S3 menolak akses ke bucket.

{
    "adminAccountId": "123456789012",
    "jobId": "85a55dc0fa6ed0be5939d0408example",
    "eventType": "BUCKET_ACCESS_DENIED",
    "occurredAt": "2021-04-14T17:11:30.574809Z",
    "description": "Macie doesn’t have permission to access the affected S3 bucket.",
    "jobName": "My_Macie_Job",
    "operation": "ListObjectsV2",
    "runDate": "2021-04-14T17:09:30.685209Z",
    "affectedAccount": "111122223333",
    "affectedResource": {
        "type": "S3_BUCKET_NAME",
        "value": "DOC-EXAMPLE-BUCKET"
    }
}

Tabel berikut mencantumkan dan menjelaskan jenis peristiwa kesalahan tingkat ember yang dicatat dan diterbitkan oleh Macie ke Log. CloudWatch Kolom Tipe peristiwa menunjukkan nama dari setiap peristiwa seperti yang muncul di bidang eventType suatu acara. Kolom Deskripsi menyediakan penjelasan singkat dari peristiwa seperti yang muncul di bidang description suatu acara. Kolom Informasi tambahan menyediakan tips yang berlaku untuk menyelidiki atau mengatasi kesalahan yang terjadi. Tabel diurutkan berdasarkan urutan abjad naik menurut tipe peristiwa.

Tipe peristiwa Deskripsi Informasi tambahan

AKSES_BUCKET_DITOLAK

Macie tidak memiliki izin untuk mengakses bucket S3 yang terkena dampak.

Ini biasanya terjadi karena bucket memiliki kebijakan bucket yang membatasi. Untuk informasi tentang cara mengatasi masalah ini, lihat Mengizinkan Macie untuk mengakses bucket S3 dan objek.

Nilai untuk bidang operation dalam peristiwa tersebut dapat membantu Anda menentukan pengaturan izin yang mencegah Macie mengakses bucket. Bidang ini menunjukkan operasi Amazon S3 yang coba dilakukan Macie ketika kesalahan terjadi.

BUCKET_DETAILS_UNAVAILABLE

Masalah sementara mencegah Macie mengambil detail tentang ember dan objek ember.

Ini terjadi jika masalah sementara mencegah Macie mengambil bucket dan metadata objek yang diperlukan untuk menganalisis objek bucket. Misalnya, pengecualian Amazon S3 terjadi ketika Macie mencoba memverifikasi bahwa itu diizinkan untuk mengakses bucket.

Untuk mengatasi masalah untuk pekerjaan satu kali, pertimbangkan untuk membuat dan menjalankan pekerjaan baru satu kali untuk menganalisis objek dalam ember. Untuk pekerjaan terjadwal, Macie akan mencoba untuk mengambil metadata lagi selama menjalankan pekerjaan berikutnya.
BUCKET_TIDAK_ADA

Bucket S3 yang terkena tidak ada lagi.

Hal ini biasanya terjadi karena bucket telah dihapus.

BUCKET_DI_WILAYAH_BERBEDA

Bucket S3 yang terkena dampak dipindahkan ke Wilayah AWS berbeda.

PEMILIK_BUCKET_DIUBAH

Pemilik bucket S3 yang terkena dampak berubah. Macie tidak memiliki izin untuk mengakses bucket lagi.

Hal ini biasanya terjadi jika kepemilikan bucket dipindahkan ke Akun AWS yang bukan bagian organisasi Anda. Kolom affectedAccount dalam peristiwa menunjukkan ID akun untuk akun yang sebelumnya dimiliki bucket.