在 Amazon Macie 中創建和管理允許列表

在 Amazon Macie 中，允許清單定義了您希望 Macie 在檢查 Amazon Simple Storage Service (Amazon S3) 物件中是否有敏感資料時忽略的特定文字或文字模式。如果文字與允許清單中的項目或模式相符，Macie 不會在敏感資料發現項目、統計資料或其他類型的結果中報告文字，即使該文字符合受管理資料識別碼或自訂資料識別碼的準則。

您可以在 Macie 中建立和管理下列類型的允許清單。

預定義文字

使用這種類型的清單來指定不敏感、不太可能變更且不一定遵循一般模式的字元序列的字詞、片語和其他類型的字元序列。範例包括貴組織的公開代表姓名、特定電話號碼，以及貴組織用於測試的特定範例資料。如果您使用這種類型的清單，Macie 會忽略與清單中項目完全相符的文字。

對於這種類型的清單，您可以建立以行分隔的純文字檔案，其中列出要忽略的特定文字。然後，您將檔案儲存在 S3 儲存貯體中，並設定 Macie 的設定，以存取儲存貯體中的清單。然後，您可以建立並設定敏感資料探索工作以使用清單，或將清單新增至您帳戶的自動化敏感資料探索設定。當每個任務開始執行或下一個自動探索分析週期開始時，Macie 會從 Amazon S3 擷取最新版本的清單。然後，當 Macie 檢查 S3 物件是否存在敏感資料時，會使用該清單版本。如果 Macie 找到與清單中項目完全相符的文字，Macie 就不會將該出現的文字報告為敏感資料。

Regular expression (常規表達式)

使用這種類型的列表來指定定義要忽略的文本模式的正則表達式（regex）。範例包括組織的公用電話號碼、組織網域的電子郵件地址，以及組織用於測試的樣本資料。如果您使用這種類型的列表，Macie 會忽略完全符合列表定義的正則表達式模式的文本。

對於這種類型的列表，您可以創建一個正則表達式，該正則表達式定義不敏感但變化或可能發生變化的文本的常見模式。與預定義文本列表不同，您可以在 Macie 中創建並存儲正則表達式和所有其他列表設置。然後，您可以建立並設定敏感資料探索工作以使用清單，或將清單新增至您帳戶的自動化敏感資料探索設定。當這些工作執行或 Macie 為您的帳戶執行自動探索時，Macie 會使用最新版本的清單正則運算式來分析資料。如果 Macie 找到完全符合清單所定義模式的文字，Macie 就不會將出現的文字報告為敏感資料。

如需每種清單類型的詳細需求、建議和範例，請參閱允許清單選項和需求。您可以在每個支援的帳戶中建立多達 10 個允許清單 AWS 區域，最多五個指定預先定義文字的允許清單，以及最多五個指定規則運算式的允許清單。除了亞太區域（大阪）地區以外，您可以 AWS 區域在 Macie 目前所有可用的地方創建和使用允許列表。

若要建立和管理允許清單，您可以使用 Amazon Macie 主控台或 Amazon Macie API。下列主題說明如何進行。對於 API，主題包括如何使用 AWS Command Line Interface (AWS CLI) 執行這些工作的範例。您也可以使用目前版本的其他 AWS 命令列工具或 AWS SDK，或直接將 HTTPS 要求傳送至 Macie 來執行這些工作。如需 AWS 工具和 SDK 的相關資訊，請參閱要建置的工具。 AWS

建立允許清單

在 Amazon Macie 中建立允許清單的方式取決於您要建立的清單類型。允許列表可以是列出要忽略的預定義文本的文件，也可以是定義要忽略的文本模式的正則表達式（regex）。選擇您要建立之清單類型的區段。

在 Macie 中建立此類型的允許清單之前，請先執行下列步驟：

透過使用文字編輯器，建立以行分隔的純文字檔案，其中列出要忽略的特定文字，例如 .txt、.text 或 .plain 檔案。如需詳細資訊，請參閱預先定義文字清單的語法需求。
將檔案上傳到 S3 一般用途儲存貯體，並記下儲存貯體和物件的名稱。在 Macie 中進行設定時，您需要輸入這些名稱。
確定 S3 儲存貯體和物件的設定允許您和 Macie 從儲存貯體擷取清單。如需詳細資訊，請參閱預先定義文字清單的儲存需求。
如果您已加密 S3 物件，請確定已使用允許您和 Macie 使用的金鑰加密該物件。如需詳細資訊，請參閱預定義文本列表的加密/解密要求。

完成這些步驟後，您就可以在 Macie 中設定清單的設定了。您可以使用亞馬遜 Macie 控制台或亞馬 Amazon Macie API 來配置設置。

Console

請依照下列步驟使用 Amazon Macie 主控台設定允許清單的設定。

在 Macie 中設定允許清單設定

在以下位置打開 Amazon Macie 亞控制台 https://console.aws.amazon.com/macie/。
在功能窗格的 [設定] 下，選擇 [允許清單]。
在 [允許清單] 頁面上，選擇 [建立]。
在選取清單類型下，選擇預先定義的文字。
在 [清單設定] 下，使用下列選項輸入允許清單的其他設定：
- 在「名稱」中，輸入清單的名稱。該名稱最多可包含 128 個字元。
- 在「說明」中，選擇性地輸入清單的簡短描述。該描述最多可包含 512 個字元。
- 對於 S3 儲存貯體名稱，請輸入存放清單的儲存貯體名稱。
  
  在 Amazon S3 中，您可以在儲存貯體屬性的「名稱」欄位中找到此值。此值區分大小寫。此外，輸入名稱時請勿使用萬用字元或部分值。
- 對於 S3 物件名稱，請輸入存放清單的 S3 物件名稱。
  
  在 Amazon S3 中，您可以在物件屬性的「金鑰」欄位中找到此值。例如，如果名稱包含路徑，請務必在輸入名稱時包含完整路徑allowlists/macie/mylist.txt。此值區分大小寫。此外，輸入名稱時請勿使用萬用字元或部分值。
(選擇性) 在「標籤」下，選擇「新增標籤」，然後輸入最多 50 個標籤以指派給允許清單。

標籤是您定義並指派給特定 AWS 資源類型的標籤。每個標籤都包含必要的標籤鍵和一個可選的標籤值。標籤可協助您以不同的方式識別、分類及管理資源，例如依用途、擁有者、環境或其他條件。如需進一步了解，請參閱標記亞馬遜麥西資源。
當您完成時，請選擇建立。

馬西測試列表的設置。Macie 還驗證它是否可以從 Amazon S3 檢索列表和解析列表的內容。如果發生錯誤，Macie 會顯示描述錯誤的訊息。如需可協助您疑難排解錯誤的詳細資訊，請參閱預先定義文字清單的選項和需求。解決任何錯誤後，您可以儲存清單的設定。

API

若要以程式設計方式設定允許清單設定，請使用 Amazon Macie API 的CreateAllowList操作，並為所需參數指定適當的值。

對於criteria參數，請使用s3WordsList物件來指定 S3 儲存貯體 (bucketName) 的名稱和存放清單的 S3 物件 (objectKey) 名稱。若要判斷儲存貯體名稱，請參閱 Amazon S3 中的Name欄位。若要判斷物件名稱，請參閱 Amazon S3 中的Key欄位。請注意，這些值區分大小寫。此外，當您指定這些名稱時，請勿使用萬用字元或部分值。

若要使用配置設定 AWS CLI，請執行命create-allow-list令並為所需參數指定適當的值。下列範例說明如何針對存放在名為 DOC/EXAMPLE- BUCKET 的 S3 儲存貯體中的允許清單進行設定。儲存清單的 S3 物件的名稱為 allowlists/macie/mylist.txt。

此範例已針對 Linux、macOS 或 Unix 格式化，並使用反斜線 (\) 行接續字元來改善可讀性。


$ aws macie2 create-allow-list \
--criteria '{"s3WordsList":{"bucketName":"DOC-EXAMPLE-BUCKET","objectKey":"allowlists/macie/mylist.txt"}}' \
--name my_allow_list \
--description "Lists public phone numbers and names for Example Corp."

此範例針對 Microsoft Windows 進行格式化，並使用脫字符號 (^) 行接續字元來提高可讀性。


C:\> aws macie2 create-allow-list ^
--criteria={\"s3WordsList\":{\"bucketName\":\"DOC-EXAMPLE-BUCKET\",\"objectKey\":\"allowlists/macie/mylist.txt\"}} ^
--name my_allow_list ^
--description "Lists public phone numbers and names for Example Corp."

當您提交請求時，Macie 會測試列表的設置。Macie 還驗證它是否可以從 Amazon S3 檢索列表和解析列表的內容。如果發生錯誤，您的要求會失敗，而 Macie 會傳回描述錯誤的訊息。如需可協助您疑難排解錯誤的詳細資訊，請參閱預先定義文字清單的選項和需求。

如果 Macie 可以擷取和剖析清單，您的要求就會成功，而且您會收到類似下列內容的輸出。


{
    "arn": "arn:aws:macie2:us-west-2:123456789012:allow-list/nkr81bmtu2542yyexample",
    "id": "nkr81bmtu2542yyexample"
}

其中arn是建立之允許清單的 Amazon 資源名稱 (ARN)，id是清單的唯一識別碼。

儲存清單設定後，您可以建立並設定敏感資料探索工作以使用清單，或將清單新增至自動化的敏感資料探索設定。每當這些任務開始執行或自動探索分析週期開始時，Macie 都會從 Amazon S3 擷取最新版本的清單。然後，Macie 會在分析資料時使用該清單版本。

當您建立指定規則運算式 (regex) 的允許清單時，您可以直接在 Macie 中定義正則運算式和所有其他清單設定。Macie 支持 Perl 兼容正則表達式（PCRE）庫提供的正則表達式模式語法的子集。如需詳細資訊，請參閱語法支援與建議。

您可以通過使用亞馬遜 Macie 控制台或亞馬 Amazon Macie API 創建這種類型的列表。

Console

請依照下列步驟使用 Amazon Macie 主控台建立允許清單。

建立允許清單

在以下位置打開 Amazon Macie 亞控制台 https://console.aws.amazon.com/macie/。
在功能窗格的 [設定] 下，選擇 [允許清單]。
在 [允許清單] 頁面上，選擇 [建立]。
在 [選取清單類型] 下，選擇 [規則運算式]。
在 [清單設定] 下，使用下列選項輸入允許清單的其他設定：
- 在「名稱」中，輸入清單的名稱。該名稱最多可包含 128 個字元。
- 在「說明」中，選擇性地輸入清單的簡短描述。該描述最多可包含 512 個字元。
- 針對規則運算式，請輸入定義要忽略之文字模式的 regex。正則表達式可以包含多達 512 個字符。
(選擇性) 對於「評估」，請在「範例資料」方塊中輸入最多 1,000 個字元，然後選擇「測試」來測試正則運算式。Macie 會評估範例資料，並報告符合正則運算式的文字出現次數。您可以根據需要重複此步驟，以優化和優化正則表達式。

注意
我們建議您使用多組樣本數據來測試和優化正則表達式。如果您創建了一個過於通用的正則表達式，Macie 可能會忽略您認為敏感的文本的出現情況。如果正則表達式太具體，Macie 可能不會忽略您不認為敏感的文本的出現次數。
(選擇性) 在「標籤」下，選擇「新增標籤」，然後輸入最多 50 個標籤以指派給允許清單。

標籤是您定義並指派給特定 AWS 資源類型的標籤。每個標籤都包含必要的標籤鍵和一個可選的標籤值。標籤可協助您以不同的方式識別、分類及管理資源，例如依用途、擁有者、環境或其他條件。如需進一步了解，請參閱標記亞馬遜麥西資源。
當您完成時，請選擇建立。

馬西測試列表的設置。Macie 還測試正則表達式以驗證它是否可以編譯表達式。如果發生錯誤，Macie 會顯示描述錯誤的訊息。如需可協助您疑難排解錯誤的詳細資訊，請參閱允許清單中規則運算式的選項和需求。解決任何錯誤後，您可以儲存允許清單。

API

在 Macie 中建立這種類型的允許清單之前，我們建議您使用多組範例資料來測試和調整規則運算式。如果您創建了一個過於通用的正則表達式，Macie 可能會忽略您認為敏感的文本的出現情況。如果正則表達式太具體，Macie 可能不會忽略您不認為敏感的文本的出現次數。

若要使用 Macie 測試運算式，您可以使用 Amazon Macie API 的TestCustomDataIdentifier作業，或執行命令。 AWS CLItest-custom-data-identifierMacie 會使用相同的基礎程式碼來編譯允許清單和自訂資料識別碼的運算式。如果您以這種方式測試表示式，請務必僅為regex和sampleText參數指定值。否則，您將收到不正確的結果。

當您準備好建立此類型的允許清單時，請使用 Amazon Macie API 的CreateAllowList作業，並為所需參數指定適當的值。對於criteria參數，請使用regex欄位來指定定義要忽略之文字模式的規則運算式。該運算式最多可包含 512 個字元。

若要使用建立此類型的清單 AWS CLI，請執行create-allow-list命令並為所需參數指定適當的值。下列範例會建立名為 my_allow_ list 的允許清單。正則表達式旨在忽略自定義數據標識符否則可能檢測到該example.com域的所有電子郵件地址。

此範例已針對 Linux、macOS 或 Unix 格式化，並使用反斜線 (\) 行接續字元來改善可讀性。


$ aws macie2 create-allow-list \
--criteria '{"regex":"[a-z]@example.com"}' \
--name my_allow_list \
--description "Ignores all email addresses for Example Corp."

此範例針對 Microsoft Windows 進行格式化，並使用脫字符號 (^) 行接續字元來提高可讀性。


C:\> aws macie2 create-allow-list ^
--criteria={\"regex\":\"[a-z]@example.com\"} ^
--name my_allow_list ^
--description "Ignores all email addresses for Example Corp."

當您提交請求時，Macie 會測試列表的設置。Macie 還測試正則表達式以驗證它是否可以編譯表達式。如果發生錯誤，請求會失敗，Macie 會傳回描述錯誤的訊息。如需可協助您疑難排解錯誤的詳細資訊，請參閱允許清單中規則運算式的選項和需求。

如果 Macie 可以編譯運算式，請求就會成功，而且您會收到類似下列內容的輸出：


{
    "arn": "arn:aws:macie2:us-west-2:123456789012:allow-list/km2d4y22hp6rv05example",
    "id": "km2d4y22hp6rv05example"
}

其中arn是建立之允許清單的 Amazon 資源名稱 (ARN)，id是清單的唯一識別碼。

儲存清單後，您可以建立並設定敏感資料探索工作以使用該清單，或將其新增至自動化的敏感資料探索設定。當這些工作執行或 Macie 為您的帳戶執行自動探索時，Macie 會使用最新版本的清單正則運算式來分析資料。

檢查允許清單的狀態

定期檢查允許清單的狀態很重要。否則，錯誤可能會導致 Amazon Macie 產生非預期的分析結果，例如針對您在允許清單中指定的文字發現的敏感資料。

如果您將敏感資料探索工作設定為使用允許清單，且 Macie 在工作開始執行時無法存取或使用該清單，則工作會繼續執行。但是，Macie 在分析 S3 物件時不會使用清單。同樣地，如果自動化敏感資料探索的分析週期開始，而 Macie 無法存取或使用指定的允許清單，則分析會繼續進行，但 Macie 不會使用該清單。

指定正則表達式（regex）的允許列表不太可能發生錯誤。這部分是因為 Macie 會在您創建或更新列表的設置時自動測試正則表達式。此外，您可以將正則表達式和所有其他列表設置存儲在 Macie 中。

不過，指定預先定義文字的允許清單可能會發生錯誤，部分原因是您將清單存放在 Amazon S3 而非 Macie。錯誤的常見原因是：

S3 儲存貯體或物件已刪除。
S3 儲存貯體或物件已重新命名，而且 Macie 中的清單設定不會指定新名稱。
S3 儲存貯體的許可設定已變更，而 Macie 會失去儲存貯體和物件的存取權。
S3 儲存貯體的加密設定已變更，Macie 無法解密儲存清單的物件。
加密金鑰的政策已變更，而 Macie 會失去對金鑰的存取權。Macie 無法解密存儲列表的 S3 對象。

重要

由於這些錯誤會影響您的分析結果，因此建議您定期檢查允許清單的狀態。如果您變更存放允許清單的 S3 儲存貯體的許可或加密設定，或變更用於加密清單的 AWS Key Management Service (AWS KMS) 金鑰的政策，我們也建議您這麼做。

您可以使用亞馬遜 Macie 主控台或亞馬 Amazon Macie API 來檢查允許清單的狀態。如需可協助您疑難排解發生錯誤的詳細資訊，請參閱預先定義文字清單的選項和需求。

Console

請按照以下步驟使用 Amazon Macie 主控台檢查允許清單的狀態。

檢查允許清單的狀態

在以下位置打開 Amazon Macie 亞控制台 https://console.aws.amazon.com/macie/。
在功能窗格的 [設定] 下，選擇 [允許清單]。
在 [允許清單] 頁面上，選擇 [重新整理] ( )。Macie 會測試所有允許清單的設定，並更新 [狀態] 欄位以指出每個清單的目前狀態。

如果清單指定規則運算式，則其狀態通常為 OK。這意味著馬西可以編譯表達式。如果清單指定了預先定義的文字，其狀態可以是下列任一值。

OK (確定)

Macie 可以檢索和解析列表的內容。

存取遭拒

Macie 不允許訪問存儲列表的 S3 對象。Amazon S3 拒絕了檢索對象的請求。如果物件是由受管理的 Macie 不允許使用的客戶進行加密 AWS KMS key ，則清單也可以具有此狀態。

若要解決此錯誤，請檢閱值區政策以及值區和物件的其他權限設定。確保 Macie 被允許訪問和檢索對象。如果物件使用客戶管理的 AWS KMS 金鑰加密，請同時檢閱金鑰政策，並確保允許 Macie 使用金鑰。

錯誤

當 Macie 嘗試擷取或剖析清單的內容時，就會發生暫時性或內部錯誤。如果允許清單使用 Amazon S3 和 Macie 無法存取或使用的加密金鑰加密，則允許清單也可能具有此狀態。

若要解決此錯誤，請等待幾分鐘，然後再次選擇 refresh ( )。如果狀態繼續為「錯誤」，請檢查 S3 物件的加密設定。確保使用 Amazon S3 和 Macie 可以存取和使用的金鑰對物件進行加密。

對象是空的

Macie 可以從 Amazon S3 檢索列表，但列表不包含任何內容。

若要解決此錯誤，請從 Amazon S3 下載物件，並確保其中包含正確的項目。如果輸入正確，請在 Macie 中檢閱清單的設定。請確定指定的值區和物件名稱正確無誤。

找不到物件

該列表在 Amazon S3 中不存在。

若要解決此錯誤，請在 Macie 中檢閱清單的設定。請確定指定的值區和物件名稱正確無誤。

超過配額

馬西可以在 Amazon S3 訪問列表。不過，清單中的項目數目或清單的儲存大小超過允許清單的配額。

若要解決此錯誤，請將清單分成多個檔案。請確定每個檔案包含少於 100,000 個項目。另外，請確保每個文件的大小小於 35 MB。然後，將每個文件上傳到 Amazon S3。完成後，請在 Macie 中為每個檔案設定允許清單設定。在每個支援的預先定義文字中，您可以有多達五個清單 AWS 區域。

節流

Amazon S3 限制了請求以檢索列表。

若要解決此錯誤，請等待幾分鐘，然後再次選擇 refresh ( )。

拒絕使用者存取

Amazon S3 拒絕了檢索對象的請求。如果指定的對象存在，則不允許您訪問它，或者使用您不允許使用的密 AWS KMS 鑰對其進行加密。

若要解決此錯誤，請與您的 AWS 管理員合作，確定清單的設定指定了正確的值區和物件名稱，並且您具有值區和物件的讀取權限。如果物件已加密，也請確保此物件使用允許您使用的金鑰加密。
若要檢閱特定清單的設定和狀態，請選擇清單名稱。

API

若要以程式設計方式檢查允許清單的狀態，請使用 Amazon Macie API 的GetAllowList作業，或針對 AWS CLI執行命get-allow-list令。

對於id參數，請為您要檢查其狀態的允許清單指定唯一識別碼。要獲取此標識符，您可以使用該ListAllowLists操作。此ListAllowLists作業會擷取有關您帳戶之所有允許清單的資訊。如果您使用的是 AWS CLI，您可以執行命list-allow-lists令來擷取此資訊。

當您提交GetAllowList要求時，Macie 會測試允許清單的所有設定。如果設置指定了正則表達式（regex），Macie 會驗證它是否可以編譯表達式。如果設定指定了預先定義的文字清單，Macie 會驗證它是否可以擷取和剖析清單。

然後 Macie 會傳回提供允許清單詳細資訊的GetAllowListResponse物件。在GetAllowListResponse物件中，status物件會指示清單的目前狀態：狀態碼 (code)，以及清單狀態碼的簡短描述 (description)。

如果允許列表指定了正則表達式，則狀態代碼通常是OK並且沒有關聯的描述。這意味著馬西成功地編譯了表達式。

如果允許清單指定預先定義的文字，狀態碼會根據測試結果而有所不同：

如果 Macie 成功擷取並剖析清單，則狀態碼為OK且沒有關聯的描述。
如果發生錯誤導致 Macie 無法擷取或剖析清單，狀態碼和說明會指出發生錯誤的性質。

如需可能的狀態碼清單和每個狀態碼的說明，請參閱 Amazon Macie API 參考AllowListStatus中的。

變更允許清單

建立允許清單後，您可以在 Amazon Macie 中變更清單的大部分設定。例如，您可以變更清單的名稱和說明，也可以新增和編輯清單的標籤。唯一無法變更的設定是清單類型。例如，如果現有的允許清單指定規則運算式，則無法將其類型變更為預先定義的文字。

如果允許清單指定預先定義的文字，您也可以變更清單中的項目。若要這麼做，請更新包含項目的檔案，然後將檔案的新版本上傳到 Amazon S3。下次 Macie 準備使用清單時，Macie 會從 Amazon S3 擷取檔案的最新版本。上傳新檔案時，請確保將其存放在相同的 S3 儲存貯體和物件中。或者，如果您變更值區或物件的名稱，請務必在 Macie 中更新清單的設定。

您可以使用亞馬遜 Macie 主控台或亞馬 Amazon Macie API 來變更允許清單的設定。

Console

請依照下列步驟使用 Amazon Macie 主控台變更允許清單的設定。

變更允許清單

在以下位置打開 Amazon Macie 亞控制台 https://console.aws.amazon.com/macie/。
在功能窗格的 [設定] 下，選擇 [允許清單]。
在 [允許清單] 頁面上，選擇您要變更的允許清單名稱。允許清單頁面隨即開啟，並顯示清單的目前設定。
若要指派或編輯允許清單的標籤，請在「標籤」區段中選擇「管理標籤」。然後視需要變更標籤。完成後，請選擇儲存。
若要變更允許清單的其他設定，請在 [清單設定] 區段中選擇 [編輯]。然後變更您想要的設定：
- 名稱 — 輸入清單的新名稱。該名稱最多可包含 128 個字元。
- 描述 — 輸入清單的新描述。該描述最多可包含 512 個字元。
- 如果允許清單指定預先定義的文字：
  - S3 儲存貯體名稱 — 輸入目前存放清單的儲存貯體名稱。
    
    在 Amazon S3 中，您可以在儲存貯體屬性的「名稱」欄位中找到此值。此值區分大小寫。此外，輸入名稱時請勿使用萬用字元或部分值。
  - S3 物件名稱 — 輸入目前存放清單的 S3 物件名稱。
    
    在 Amazon S3 中，您可以在物件屬性的「金鑰」欄位中找到此值。例如，如果名稱包含路徑，請務必在輸入名稱時包含完整路徑allowlists/macie/mylist.txt。此值區分大小寫。此外，輸入名稱時請勿使用萬用字元或部分值。
- 如果允許清單指定規則運算式 (regex)，請在「規則運算式」方塊中輸入新的 regex。正則表達式可以包含多達 512 個字符。
  
  輸入新的正則表達式後，可以選擇對其進行測試。若要這麼做，請在 [範例資料] 方塊中輸入最多 1,000 個字元，然後選擇 [測試]。Macie 會評估範例資料，並報告符合正則運算式的文字出現次數。在儲存變更之前，您可以根據需要重複此步驟，以精簡和最佳化正則表達式。
完成變更設定後，請選擇 [儲存]。

馬西測試列表的設置。對於預先定義的文字清單，Macie 也會驗證它是否可以從 Amazon S3 擷取清單並剖析清單的內容。對於正則表達式，Macie 還驗證它是否可以編譯表達式。如果發生錯誤，Macie 會顯示描述錯誤的訊息。如需可協助您疑難排解錯誤的詳細資訊，請參閱允許清單選項和需求。解決任何錯誤後，您可以儲存變更。

API

若要以程式設計方式變更允許清單，請使用 Amazon Macie API 的UpdateAllowList作業，或針對 AWS CLI執行命update-allow-list令。在您的請求中，使用支援的參數為您要變更的每個設定指定一個新值。請注意，criteriaid、和name參數是必需的。如果您不想變更必要參數的值，請指定參數的目前值。

例如，下列命令會變更現有允許清單的名稱和描述。此範例已針對 Microsoft Windows 進行格式化，並使用脫字元 (^) 行接續字元來提高可讀性。


C:\> aws macie2 update-allow-list ^
--id km2d4y22hp6rv05example ^
--name my_allow_list-email ^
--criteria={\"regex\":\"[a-z]@example.com\"} ^
--description "Ignores all email addresses for the example.com domain"

其中：

km2d4y22hp6 rv05 範例是該清單的唯一識別碼。
my_allow_list-電子郵件是該列表的新名稱。
[a-z] @example .com 是列表的標準，一個正則表達式。
忽略 example.com 網域的所有電子郵件地址是清單的新描述。

當您提交請求時，Macie 會測試列表的設置。如果清單指定了預先定義的文字，這包括驗證 Macie 可以從 Amazon S3 擷取清單並剖析清單的內容。如果列表指定了正則表達式，這包括驗證 Macie 是否可以編譯表達式。

如果 Macie 測試設定時發生錯誤，您的要求會失敗，而 Macie 會傳回描述錯誤的訊息。如需可協助您疑難排解錯誤的詳細資訊，請參閱允許清單選項和需求。如果要求因其他原因而失敗，Macie 會傳回 HTTP 4 xx 或 500 回應，指出作業失敗的原因。

如果您的請求成功，Macie 會更新列表的設置，並且您會收到類似以下內容的輸出。


{
    "arn": "arn:aws:macie2:us-west-2:123456789012:allow-list/km2d4y22hp6rv05example",
    "id": "km2d4y22hp6rv05example"
}

其中arn是已更新之允許清單的 Amazon 資源名稱 (ARN)，id是清單的唯一識別碼。

刪除允許清單

當您在 Amazon Macie 中刪除允許清單時，會永久刪除清單的所有設定。刪除這些設定後無法復原。如果設定指定您存放在 Amazon S3 中的預先定義文字清單，Macie 不會刪除存放清單的 S3 物件。只會刪除 Macie 中的設定。

如果您將敏感資料探查工作設定為使用允許清單，並隨後刪除該清單，則工作將會依排程執行。不過，您的工作結果 (包括敏感資料發現項目和敏感資料探索結果) 都可能會報告您先前在允許清單中指定的文字。同樣地，如果您將自動化敏感資料探索設定為使用清單，並隨後刪除清單，則會繼續進行每日分析週期。不過，敏感資料發現項目、統計資料或其他類型的結果可能會報告您先前在允許清單中指定的文字。

刪除允許清單之前，建議您先檢閱工作清單，以識別使用該清單且排定在 future 執行的工作。在詳細目錄中，詳細資料面板會指出工作是否設定為使用任何允許清單，如果有，則指出哪些允許清單。此外，請檢查您的自動化敏感資料探索設定。您可能會判斷最好是變更清單，而不是刪除清單。

當您嘗試刪除允許清單時，Macie 會檢查所有工作的設定，作為額外的保護措施。如果您將工作設定為使用清單，且這些工作的狀態為「完成」或「已取消」以外的狀態，除非您提供其他確認，否則 Macie 不會刪除該清單。

您可以使用亞馬遜 Macie 主控台或亞馬 Amazon Macie API 刪除允許清單。

Console

請依照下列步驟使用 Amazon Macie 主控台刪除允許清單。

刪除允許清單

在以下位置打開 Amazon Macie 亞控制台 https://console.aws.amazon.com/macie/。
在功能窗格的 [設定] 下，選擇 [允許清單]。
在 [允許清單] 頁面上，選取要刪除之允許清單的核取方塊。
在操作功能表上，選擇刪除。
出現確認提示時，請輸入 delete，然後選擇 Delete (刪除)。

API

若要以程式設計方式刪除允許清單，請使用 Amazon Macie API 的DeleteAllowList作業。對於id參數，請為允許清單指定要刪除的唯一識別碼。您可以通過使用ListAllowLists操作獲取此標識符。此ListAllowLists作業會擷取有關您帳戶之所有允許清單的資訊。如果您使用的是 AWS CLI，您可以執行命list-allow-lists令來擷取此資訊。

對於ignoreJobChecks參數，請指定是否強制刪除清單，即使將敏感資料探索工作設定為使用清單：

如果您指定false，Macie 會檢查所有狀態為COMPLETE或CANCELLED以外的工作的設定。如果這些工作均未設定為使用清單，Macie 會永久刪除該清單。如果這些工作中有任何設定為使用清單，Macie 會拒絕您的要求，並傳回 HTTP 400 (ValidationException) 錯誤訊息。錯誤訊息會指出最多 200 個工作的適用工作數目。
如果您指定true，Macie 會永久刪除清單，而不檢查任何工作的設定。

若要使用刪除允許清單 AWS CLI，請執行delete-allow-list命令。例如：


C:\> aws macie2 delete-allow-list --id nkr81bmtu2542yyexample --ignore-job-checks false

其中 nkr81bmtu2542 年範例是允許清單刪除的唯一識別碼。

如果您的請求成功，馬西會返回一個空的 HTTP 200 響應。否則，馬西會傳回 HTTP 4 xx 或 500 回應，指出作業失敗的原因。

如果允許清單指定了預先定義的文字，您可以選擇性地刪除存放清單的 S3 物件。但是，保留此物件有助於確保您擁有不可變的敏感資料發現歷史記錄，以及資料隱私權和保護稽核或調查的探索結果。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

允許清單選項和需求

執行自動化敏感資料探索