评测自动敏感数据发现覆盖率

随着自动发现您账户敏感数据的进展，Amazon Macie 会提供统计数据和详细信息，以帮助您评测和监控其对 Amazon Simple Storage Service (Amazon S3) 数据资产的覆盖率。利用这些数据，您可以检查您的整个数据资产以及存储桶清单中各个 S3 存储桶的自动敏感数据发现状态。您还可以找出阻碍 Macie 分析特定存储桶中对象的问题。如果您修复了这些问题，则可以在后续分析周期中扩大 Amazon S3 数据的覆盖范围。

覆盖率数据提供了对当前 AWS 区域中 S3 存储桶中自动敏感数据发现的当前状态的快照。如果您是某个组织的 Macie 管理员，则这包括您的成员账户拥有的 S3 存储桶。对于每个存储桶，数据表明 Macie 尝试分析存储桶中的对象时是否出现问题。如果出现问题，则数据会显示每个问题的性质，在某些情况下，还会显示出现的次数。数据会随着您账户每天自动敏感数据发现的进展而更新。如果 Macie 在每日分析周期内分析或尝试分析存储桶中的一个或多个对象，Macie 会更新覆盖率和其他数据以反映结果。

对于某些类型的问题，您可以查看所有 S3 存储桶的汇总数据，也可以选择深入了解有关每个存储桶的更多详细信息。例如，覆盖率数据可以帮助您快速识别 Macie 不允许您账户访问的所有存储桶。覆盖率数据还会报告发生的对象级问题。这些问题被称为分类错误，使 Macie 无法分析存储桶中的特定对象。例如，您可以确定 Macie 无法在存储桶中分析多少对象，因为这些对象是使用不再可用的 AWS Key Management Service (AWS KMS) 密钥加密的。

如果您使用 Amazon Macie 控制台查看覆盖率数据，则您的数据视图包括修复每类问题的指南。本节的后续主题还为每种类型提供了补救指导。

主题

查看自动敏感数据发现覆盖率数据

要查看和评测您账户的自动敏感数据发现覆盖率，您可以使用 Amazon Macie 控制台或 Amazon Macie API。控制台和 API 都提供了数据，这些数据可显示在当前 AWS 区域中对您的 Amazon Simple Storage Service (Amazon S3) 存储桶进行的分析的当前状态。这些数据包括有关在分析中造成差距的问题的信息：

不允许 Macie 访问的 S3 存储桶。Macie 无法分析这些存储桶中的任何对象，因为存储桶的权限设置会阻止 Macie 访问存储桶和存储桶的对象。
不存储任何可分类对象的 S3 存储桶。Macie 无法分析这些存储桶中的任何对象，因为所有对象都使用了 Macie 不支持的 Amazon S3 存储类别，或者它们有 Macie 不支持的文件或存储格式的文件扩展名。
由于对象级分类错误，Macie 尚未能够分析的 S3 存储桶。Macie 试图分析这些存储桶中的一个或多个对象。但是，由于对象级权限设置、对象内容或配额存在问题，Macie 无法分析对象。

覆盖率数据会随着您账户每天自动敏感数据发现的进展而更新。如果您是一个组织的 Macie 管理员，则这些数据将包含您的成员账户拥有的 S3 存储桶的信息。

注意

覆盖率数据并未明确包含您创建和运行的敏感数据发现任务的结果。但是，修复影响自动敏感数据发现结果的覆盖范围问题也可能增加您随后运行的敏感数据发现任务的覆盖率。要评测某项工作的覆盖率，请查看该职位的统计数据和结果。如果作业的日志事件或其他结果表明存在覆盖率问题，则本节后面的补救指南可以帮助您解决其中一些问题。

查看自动敏感数据发现覆盖率数据

您可以使用 Amazon Macie 控制台或 Amazon Macie API 来查看您的账户或组织的覆盖率数据。在控制台上，单个页面提供了所有 S3 存储桶的覆盖率数据的统一视图，包括每个存储桶最近发生的问题的汇总。该页面还提供了按问题类型查看数据组的选项。要跟踪您对特定存储桶问题的调查，您可以将页面中的数据导出到逗号分隔值 (CSV) 文件中。

Console

按照以下步骤使用 Amazon Macie 控制台查看自动敏感数据发现覆盖率数据。

查看覆盖率数据

通过以下网址打开 Amazon Macie 控制台：https://console.aws.amazon.com/macie/。
在导航窗格中，选择资源覆盖率。
在资源覆盖率页面上，选择要查看的覆盖率数据类型的选项卡：
- 全部‬ – 列出 Macie 监控和分析您账户的全部 S3 存储桶。
  
  对于每个存储桶，问题字段会显示是否存在问题阻止 Macie 分析存储桶中的对象。如果此字段的值为无，则表示 Macie 已经分析了存储桶的至少一个对象，或者 Macie 尚未尝试分析该存储桶的任何对象。如果存在问题，则此字段会显示问题的性质以及如何修复问题。对于对象级分类错误，它还可以（在括号中）显示错误的出现次数。
- 访问被拒绝-列出不允许 Macie 访问的 S3 存储桶。这些存储桶的权限设置会阻止 Macie 访问存储桶和存储桶的对象。因此，Macie 无法分析这些存储桶中的任何对象。
- 分类错误‬ – 列出 Macie 由于对象级分类错误（对象级权限设置、对象内容或配额存在问题）而尚未分析的 S3 存储桶。
  
  对于每个存储桶，问题字段会显示所发生的每种类型的错误的性质，这些错误阻止 Macie 分析存储桶中的对象。它还显示如何修复每种类型的错误。根据错误的不同，它还可以（在括号中）显示错误的出现次数。
- 不可分类 - 列出 Macie 无法分析的 S3 存储桶，因为它们不存储任何可分类的对象。这些存储桶中的所有对象都使用不支持的 Amazon S3 存储类别，或者对不支持的文件或存储格式具有文件扩展名。因此，Macie 无法分析这些存储桶中的任何对象。
要深入查看某个 S3 存储桶的支持数据，请选择该存储桶的名称。然后，请参阅存储桶详细信息面板，了解有关该存储桶的统计数据和其他信息。
要将表格导出为 CSV 文件，请选择页面顶部的导出到 CSV。生成的 CSV 文件包含表中每个 S3 存储桶的元数据子集，最多 50,000 个存储桶。该文件包含覆盖率问题字段。此字段的值表明问题是否阻止 Macie 分析存储桶中的对象，如果是，则指示问题的性质。

API

要以编程方式查看覆盖率数据，请在使用 Amazon Macie API 的 DescribeBuckets 操作提交的查询中指定筛选条件。此操作返回对象数组。每个对象都包含与筛选条件相匹配的 S3 存储桶的统计数据和其他信息。

在筛选条件中，包括要查看的覆盖率数据类型的条件：

要识别由于存储桶的权限设置而不允许 Macie 访问的存储桶，请包括 errorCode 字段值等于 ACCESS_DENIED 的条件。
要识别允许 Macie 访问但尚未分析的存储桶，请包括 sensitivityScore 字段值等于 50 且 errorCode 字段值不等于 ACCESS_DENIED 的条件。
要识别因所有存储分区对象都使用不支持的存储类或格式而导致 Macie 无法分析的存储桶，请包括 classifiableSizeInBytes 字段值等于 0 且 sizeInBytes 字段值大于 0 的条件。
要识别 Macie 已经分析了至少一个对象的存储桶，请包括 sensitivityScore 字段值在 1—99 范围内但不等于 50 的条件。要同时包括您手动分配最高分数的存储桶，范围应为 1—100。
要识别 Macie 由于对象级分类错误而尚未分析的存储桶，请包括 sensitivityScore 字段值等于 -1 的条件。然后，要查看特定存储桶发生的错误类型和数量的明细，请使用 GetResourceProfile 操作。

如果您使用的是 AWS Command Line Interface(AWS CLI)，请通过运行 describe-buckets 命令在您提交的查询中指定筛选条件。要查看特定 S3 存储桶发生的错误类型和数量的明细（如果有），请运行 get-resource-profile 命令。

例如，以下 AWS CLI 命令使用筛选条件来检索 Macie 由于存储桶的权限设置而无法访问的所有 S3 存储桶的详细信息。

此示例的格式适用于 Linux、macOS 或 Unix：


$ aws macie2 describe-buckets --criteria '{"errorCode":{"eq":["ACCESS_DENIED"]}}'

此示例的格式适用于 Microsoft Windows：


C:\> aws macie2 describe-buckets --criteria={\"errorCode\":{\"eq\":[\"ACCESS_DENIED\"]}}

如果请求成功，Macie 将返回一个 buckets 数组。该数组包含每个 S3 存储桶的对象，该对象位于当前 AWS 区域中，并且符合筛选条件。

如果没有符合筛选条件的 S3 存储桶，Macie 将返回一个空 buckets 数组。


{
    "buckets": []
}

有关在查询中指定筛选条件的更多信息（包括常用条件的示例），请参阅筛选您的 S3 存储桶清单。

修复自动敏感数据发现的覆盖率问题

Amazon Macie 报告了几种类型的问题，这些问题降低了 Amazon Simple Storage Service (Amazon S3) 数据的自动敏感数据发现的覆盖率。以下信息可帮助您调查和修复这些问题。

提示

要调查 S3 存储桶的对象级分类错误，请先查看该存储桶的对象样本列表。此列表显示 Macie 在存储桶中分析或尝试分析哪些对象，最多可包含 100 个对象。

要查看 Amazon Macie 控制台上的列表，请在 S3 存储桶页面上选择存储桶，然后在存储桶详细信息面板中选择对象示例选项卡。要以编程方式查看清单，请使用 Amazon Macie API 的 listResourceProfileArtiFacts 操作。如果某个对象的分析状态为已跳过 (SKIPPED)，则可能是该对象导致了错误。

访问被拒绝

此问题表明 S3 存储桶的权限设置阻止 Macie 访问该存储桶和存储桶的对象。Macie 无法检索和分析存储桶内的任何对象。

详细信息

此类问题的最常见原因是限制性存储桶策略。存储桶策略是一种基于资源的 AWS Identity and Access Management (IAM) policy ，它指定主体（用户、账户、服务或其他实体）可以对 S3 存储桶执行哪些操作，以及主体可以在哪些条件下执行这些操作。限制性存储桶策略使用明确的 Allow 或 Deny 声明，根据特定条件授予或限制对存储桶数据的访问权限。例如，存储桶策略可能包含拒绝访问存储桶的 Allow 或 Deny 语句，除非使用特定的源 IP 地址访问存储桶。

如果 S3 存储桶的存储桶策略包含带有一个或多个条件的明确 Deny 声明，则可能不允许 Macie 检索和分析存储桶的对象以检测敏感数据。Macie 只能提供有关存储桶的部分信息，例如存储桶的名称和创建日期。

补救指南

要修复此问题，请更新 S3 存储桶的存储桶策略。确保该策略允许 Macie 访问存储桶和存储桶的对象。要允许此访问权限，请在策略中添加 Macie 服务相关角色 (AWSServiceRoleForAmazonMacie) 的条件。该条件应将 Macie 服务相关角色排除在与策略 Deny 限制的匹配范围之外。它可以通过使用 aws:PrincipalArn 全局条件上下文密钥和您账户的 Macie 服务相关角色的 Amazon 资源名称（ARN）实现这一点。

如果您更新存储桶策略且 Macie 获得了对 S3 存储桶的访问权限，Macie 将检测到更改。发生这种情况时，Macie 将更新统计数据、库存数据以及它提供的有关您的 Amazon S3 数据的其他信息。此外，在随后的分析周期中，存储桶的对象将具有更高的优先级进行分析。

其他参考资料

有关更新 S3 存储桶策略以允许 Macie 访问存储桶的更多信息，请参阅允许 Amazon Macie 访问 S3 存储桶和对象。有关使用存储桶策略控制存储桶访问权限的信息，请参阅 Amazon Simple Storage Service 用户指南中的存储桶策略和用户策略以及 Amazon S3 如何授权请求。

分类错误：内容无效

如果 Macie 尝试分析 S3 存储桶中的对象，但该对象格式不正确，或者该对象包含的内容超过敏感数据发现配额，则会发生此类分类错误。Macie 无法分析该对象。

详细信息

出现此错误的原因通常是因为 S3 对象是格式错误或损坏的文件。因此，Macie 无法解析和分析文件中的所有数据。

如果对 S3 对象的分析超过单个文件的敏感数据发现配额，也会发生此错误。例如，对象的存储大小超过了该类型文件的大小配额。

无论哪种情况，Macie 都无法完成对 S3 对象的分析，并且该对象的分析状态为已跳过 (SKIPPED)。

补救指南

要调查此错误，请下载 S3 对象并检查文件的格式和内容。此外，还要根据 Macie 配额评测文件内容，以发现敏感数据。

如果您不修复此错误，Macie 将尝试分析 S3 存储桶中的其他对象。如果 Macie 成功分析了另一个对象，Macie 将更新覆盖率数据以及它提供的有关该存储桶的其他信息。

其他参考资料

有关敏感数据发现配额的列表，包括某些类型的文件的配额，请参阅 Amazon Macie 限额。有关 Macie 如何更新敏感度分数以及它提供的有关 S3 存储桶的其他信息的信息，请参阅自动敏感数据发现的工作原理。

分类错误：加密无效

如果 Macie 尝试分析 S3 存储桶中的对象，并且该对象使用客户提供的密钥进行加密，则会发生此类分类错误。该对象使用 SSE-C 加密，这意味着 Macie 无法检索和分析该对象。

详细信息

Amazon S3 支持多种 S3 对象的加密选项。对于其中的大多数选项，Macie 都可以使用您账户的 Macie 服务关联角色来解密对象。但是，这取决于其使用的加密类型。

要让 Macie 解密 S3 对象，必须使用 Macie 可以访问并允许使用的密钥对该对象进行加密。如果使用客户提供的密钥对对象进行加密，则 Macie 无法提供从 Amazon S3 检索该对象所需的密钥材料。因此，Macie 无法分析该对象，并且该对象的分析状态为已跳过 (SKIPPED)。

补救指南

要纠正此错误，请使用 Amazon S3 托管密钥或 AWS Key Management Service (AWS KMS) 密钥加密 S3 对象。如果您更喜欢使用 AWS KMS 密钥，则密钥可以是 AWS 托管 KMS 密钥或允许 Macie 使用的客户托管 KMS 密钥。

要使用 Macie 可以访问和使用的密钥加密现有 S3 对象，您可以更改对象的加密设置。要使用 Macie 可以访问和使用的密钥加密新对象，请更改 S3 存储桶的默认加密设置。还要确保存储桶的策略不要求使用客户提供的密钥对新对象进行加密。

其他参考资料

有关使用 Macie 分析加密的 S3 对象的要求和选项的信息，请参阅使用 Amazon Macie 分析加密的 Amazon S3 对象。有关 S3 存储桶的加密选项和设置的信息，请参阅 Amazon Simple Storage Service 用户指南中的使用加密保护数据和为 S3 存储桶设置默认服务器端加密行为。

分类错误：KMS 密钥无效

如果 Macie 尝试分析 S3 存储桶中的对象，并且该对象使用不再可用的 AWS Key Management Service (AWS KMS) 密钥加密，则会发生此类分类错误。Macie 无法检索和分析该对象。

详细信息

AWS KMS 提供了禁用和删除客户管理的 AWS KMS keys 的选项。如果 S3 对象使用已禁用、计划删除或已被删除的 KMS 密钥加密，Macie 将无法检索和解密该对象。因此，Macie 无法分析该对象，并且该对象的分析状态为已跳过 (SKIPPED)。为使 Macie 分析加密对象，必须使用 Macie 可以访问和使用的密钥对该对象进行加密。

补救指南

要纠正此错误，请根据密钥的当前状态重新启用或取消相应 AWS KMS key 的删除计划。如果适用的密钥已被删除，则无法纠正此错误。

要确定哪个 AWS KMS key 用于加密 S3 对象，您可以先使用 Macie 查看 S3 存储桶的服务器端加密设置。如果将存储桶的默认加密设置配置为使用 KMS 密钥，则存储桶的详细信息将表明使用的是哪个密钥。然后，您可以查看该密钥的状态。或者，您可以使用 Amazon S3 查看存储桶和存储桶中各个对象的加密设置。

其他参考资料

有关使用 Macie 查看 S3 存储桶的服务器端加密设置的信息，请参阅查看 S3 存储桶的详细信息。有关重新启用或取消按计划删除的信息AWS KMS key，请参阅 AWS Key Management Service 开发者指南中的启用和禁用密钥以及计划和取消密钥删除。

分类错误：权限被拒绝

如果 Macie 尝试分析 S3 存储桶中的对象，而 Macie 由于该对象的权限设置或用于加密该对象的密钥的权限设置而无法检索或解密该对象，则会发生此类分类错误。Macie 无法检索和分析该对象。

详细信息

之所以出现此错误，通常是因为 S3 对象使用不允许 Macie 使用的客户托管 AWS Key Management Service (AWS KMS) 密钥进行加密。如果使用客户管理的 AWS KMS key 加密对象，则密钥的策略必须允许 Macie 使用该密钥解密数据。

如果 Amazon S3 权限设置阻止 Macie 检索 S3 对象，也会发生此错误。S3 存储桶的存储桶策略可能会限制对特定存储桶对象的访问权限，或者仅允许某些主体（用户、账户、服务或其他实体）访问这些对象。或者，对象的访问控制列表（ACL）可能会限制对该对象的访问。因此，可能不允许 Macie 访问该对象。

对于上述任何情况，Macie 都无法检索和分析对象，并且该对象的分析状态为已跳过 (SKIPPED)。

补救指南

要纠正此错误，请确定 S3 对象是否使用客户托管的 AWS KMS key 进行加密。如果是，请确保密钥的策略允许 Macie 服务相关角色 (AWSServiceRoleForAmazonMacie) 使用密钥解密数据。您如何允许此访问取决于拥有 AWS KMS key 的账户是否还拥有存储该对象的 S3 存储桶。如果同一个账户拥有 KMS 密钥和存储桶，则该账户的用户必须更新密钥策略。如果一个账户拥有 KMS 密钥而另一个账户拥有存储桶，则拥有密钥账户的用户必须允许跨账户存取密钥。

提示

您可以自动生成一份关于 Macie 需要访问的所有客户托管AWS KMS keys的列表，以分析您账户的 S3 存储桶中的对象。为此，请运行 AWS KMS 权限分析器脚本，该脚本可从 GitHub 的 Amazon Macie Scripts 存储库获取。该脚本还可以生成关于 AWS Command Line Interface (AWS CLI) 命令的附加脚本。您可以选择运行这些命令来更新指定 KMS 密钥的必要配置设置和策略。

如果已允许 Macie 使用适用的 AWS KMS key，或者 S3 对象未使用客户托管的 KMS 密钥加密，请确保存储桶的策略允许 Macie 访问该对象。还要验证对象的 ACL 是否允许 Macie 读取对象的数据和元数据。

对于存储桶策略，您可以通过向策略中添加 Macie 服务相关角色的条件来允许此访问权限。该条件应将 Macie 服务相关角色排除在与策略 Deny 限制的匹配范围之外。它可以通过使用 aws:PrincipalArn 全局条件上下文密钥和您账户的 Macie 服务相关角色的 Amazon 资源名称（ARN）实现这一点。

对于对象 ACL，您可以通过与对象所有者合作将您的 AWS 账户添加为拥有对象 READ 权限的被授权者来允许此访问。然后 Macie 可以使用您账户的服务相关角色检索和分析该对象。还可以考虑更改存储桶的对象所有权设置。您可以使用这些设置为存储桶中的所有对象禁用 ACL，并向拥有该存储桶的账户授予所有权权限。

其他参考资料

有关允许 Macie 在客户管理的 AWS KMS key 的情况下解密数据的更多信息，请参阅允许 Amazon Macie 使用客户托管 AWS KMS key。有关更新 S3 存储桶策略以允许 Macie 访问存储桶的信息，请参阅允许 Amazon Macie 访问 S3 存储桶和对象。

有关更新密钥政策的信息，请参阅 AWS Key Management Service 开发者指南中的更改密钥政策。有关使用客户托管 AWS KMS keys 加密 S3 对象的信息，请参阅 Amazon Simple Storage Service 用户指南中的使用带有 AWS KMS 密钥的服务器端加密。

有关使用 S3 存储桶策略控制存储桶访问权限的信息，请参阅 Amazon Simple Storage Service 用户指南中的存储桶策略和用户策略以及 Amazon S3 如何授权请求。有关使用 ACL 或对象所有权设置来控制对 S3 对象的访问的信息，请参阅 Amazon Simple Storage Service 用户指南中的使用 ACL 管理访问权限和控制对象所有权以及为存储桶禁用 ACL。

不可分类

此问题表明 S3 存储桶中的所有对象均使用不支持的 Amazon S3 存储类或不支持的文件或存储格式进行存储。Macie 无法分析存储桶内的任何对象。

详细信息

要获得选择和分析资格，S3 对象必须使用 Macie 支持的 Amazon S3 存储类。该对象还必须具有 Macie 支持的文件或存储格式的文件扩展名。如果对象不符合这些标准，则该对象将被视为不可分类的对象。Macie 不会尝试检索或分析不可分类的对象中的数据。

如果 S3 存储桶中的所有对象都是不可分类的对象，则整个存储桶是不可分类的存储桶。Macie 无法对存储桶执行自动敏感数据发现。

补救指南

要解决此问题，请查看生命周期配置规则和其他设置，以确定哪些存储类用于在 S3 存储桶中存储对象。考虑调整这些设置以使用 Macie 支持的存储类别。您也可以更改存储桶中现有对象的存储类别。

还要评测 S3 存储桶中现有对象的文件和存储格式。要分析对象，可以考虑将数据临时或永久移植到使用支持格式的新对象。

如果将对象添加到 S3 存储桶中，并且它们使用支持的存储类和格式，则 Macie 将在下次评测您的存储桶清单时检测到这些对象。发生这种情况时，Macie 将停止报告该存储桶在统计数据、覆盖率数据以及它提供的有关您的 Amazon S3 数据的其他信息中不可分类的情况。此外，在随后的分析周期中，新对象将具有更高的分析优先级。

其他参考资料

有关 Amazon S3 存储类别以及 Macie 支持的文件和存储格式的信息，请参阅 Amazon Macie 支持的存储类别和格式。有关生命周期配置规则和 Amazon S3 提供的存储类选项的信息，请参阅 Amazon Simple Storage Service 用户指南中的管理存储生命周期和使用 Amazon S3 存储类别。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

管理单个 S3 存储桶的自动发现

查看自动发现统计数据和结果