檢查允許清單的狀態 - Amazon Macie

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

檢查允許清單的狀態

如果您建立允許清單,請務必定期檢查其狀態。否則,錯誤可能會導致 Amazon Macie 為您的 Amazon Simple Storage Service (Amazon S3) 資料產生非預期的分析結果。例如,Macie 可能會為您在允許清單中指定的文字建立敏感資料調查結果。

如果您將敏感資料探索任務設定為使用允許清單,且 Macie 無法在任務開始執行時存取或使用清單,則任務會繼續執行。不過,Macie 在分析 S3 物件時不會使用該清單。同樣地,如果自動敏感資料探索的分析週期開始,且 Macie 無法存取或使用指定的允許清單,則分析會繼續,但 Macie 不會使用該清單。

指定規則表達式 (regex) 的允許清單不太可能發生錯誤。部分原因是 Macie 會在您建立或更新清單的設定時自動測試 regex。此外,您可以將 regex 和所有其他清單設定存放在 Macie 中。

不過,指定預先定義文字的允許清單可能會發生錯誤,部分原因是您將清單存放在 Amazon S3 中,而不是 Macie。常見的錯誤原因包括:

  • S3 儲存貯體或物件已刪除。

  • S3 儲存貯體或物件會重新命名,且 Macie 中的清單設定不會指定新名稱。

  • S3 儲存貯體的許可設定已變更,Macie 無法存取儲存貯體和物件。

  • S3 儲存貯體的加密設定已變更,且 Macie 無法解密存放清單的物件。

  • 加密金鑰的政策已變更,Macie 無法存取金鑰。Macie 無法解密存放清單的 S3 物件。

重要

由於這些錯誤會影響分析的結果,建議您定期檢查所有允許清單的狀態。如果您變更儲存允許清單之 S3 儲存貯體的許可或加密設定,或變更用於加密清單之 AWS Key Management Service (AWS KMS) 金鑰的政策,建議您也這樣做。

如需可協助您疑難排解所發生錯誤的詳細資訊,請參閱 預先定義文字清單的選項和需求

檢查允許清單的狀態

您可以使用 Amazon Macie 主控台或 Amazon Macie API 來檢查允許清單的狀態。在 主控台上,您可以使用單一頁面來同時檢查所有允許清單的狀態。如果您使用 Amazon Macie API,您可以檢查個別允許清單的狀態,一次一個。

Console

請依照下列步驟,使用 Amazon Macie 主控台檢查允許清單的狀態。

檢查允許清單的狀態

  1. https://console.aws.amazon.com/macie/:// 開啟 Amazon Macie 主控台。

  2. 在導覽窗格中的設定下,選擇允許清單

  3. 允許清單頁面上,選擇重新整理 ( The refresh button, which is a button that displays an empty blue circle with an arrow. )。Macie 會測試所有允許清單的設定,並更新狀態欄位,以指出每個清單的目前狀態。

    如果清單指定規則表達式,其狀態通常是正常的。這表示 Macie 可以編譯表達式。如果清單指定預先定義的文字,其狀態可以是下列任何值。

    OK (確定)

    Macie 可以擷取和剖析清單的內容。

    存取遭拒

    Macie 無法存取存放清單的 S3 物件。Amazon S3 拒絕擷取物件的請求。如果物件使用不允許 Macie 使用的客戶受管加密 AWS KMS key ,則清單也可以具有此狀態。

    若要解決此錯誤,請檢閱儲存貯體政策和儲存貯體和物件的其他許可設定。確定 Macie 可存取和擷取物件。如果使用客戶受管 AWS KMS 金鑰加密物件,請檢閱金鑰政策,並確保 Macie 可以使用金鑰。

    錯誤

    當 Macie 嘗試擷取或剖析清單的內容時,會發生暫時性或內部錯誤。如果允許清單使用 Amazon S3 和 Macie 無法存取或使用的加密金鑰進行加密,也可以有此狀態。

    若要解決此錯誤,請等待幾分鐘,然後再次選擇重新整理 ( The refresh button, which is a button that displays an empty blue circle with an arrow. )。如果狀態持續為錯誤,請檢查 S3 物件的加密設定。請確定物件已使用 Amazon S3 和 Macie 可存取和使用的金鑰加密。

    物件為空

    Macie 可以從 Amazon S3 擷取清單,但清單不包含任何內容。

    若要解決此錯誤,請從 Amazon S3 下載物件,並確保其中包含正確的項目。如果項目正確,請在 Macie 中檢閱清單的設定。確定指定的儲存貯體和物件名稱正確。

    找不到物件

    Amazon S3 中不存在此清單。

    若要解決此錯誤,請在 Macie 中檢閱清單的設定。確定指定的儲存貯體和物件名稱正確。

    超出配額

    Macie 可以存取 Amazon S3 中的清單。不過,清單中的項目數量或清單的儲存大小超過允許清單的配額。

    若要解決此錯誤,請將清單分成多個檔案。確保每個檔案都包含少於 100,000 個項目。同時確保每個檔案的大小小於 35 MB。然後,將每個檔案上傳至 Amazon S3。完成後,請在 Macie 中為每個檔案設定允許清單設定。每個支援的預先定義文字最多可有五個清單 AWS 區域。

    調節

    Amazon S3 已調節擷取清單的請求。

    若要解決此錯誤,請等待幾分鐘,然後再次選擇重新整理 ( The refresh button, which is a button that displays an empty blue circle with an arrow. )。

    使用者存取遭拒

    Amazon S3 拒絕擷取物件的請求。如果指定的物件存在,則不允許存取該物件,或使用不允許使用的 AWS KMS 金鑰進行加密。

    若要解決此錯誤,請與您的 AWS 管理員合作,以確保清單的設定指定正確的儲存貯體和物件名稱,而且您可以讀取儲存貯體和物件的存取權。如果物件已加密,也請確保此物件使用允許您使用的金鑰加密。

  4. 若要檢閱特定清單的設定和狀態,請選擇清單的名稱。

API

若要以程式設計方式檢查允許清單的狀態,請使用 Amazon Macie API 的 GetAllowList 操作。或者,如果您使用的是 AWS CLI,請執行 get-allow-list 命令。

針對 id 參數,指定您要檢查其狀態之允許清單的唯一識別符。若要取得此識別符,您可以使用 ListAllowLists 操作。ListAllowLists 操作會擷取您帳戶的所有允許清單的相關資訊。如果您使用的是 AWS CLI,您可以執行 list-allow-lists 命令來擷取此資訊。

當您提交GetAllowList請求時,Macie 會測試允許清單的所有設定。如果設定指定規則運算式 (regex),Macie 會驗證是否可以編譯運算式。如果設定指定預先定義文字清單 (s3WordsList),Macie 會驗證是否可以擷取和剖析清單。

Macie 接著會傳回提供允許清單詳細資訊的GetAllowListResponse物件。在 GetAllowListResponse 物件中, status 物件會指出清單的目前狀態:狀態碼 (code),並根據狀態碼,簡短描述清單的狀態 (description)。

如果允許清單指定 regex,狀態碼通常是 OK,而且沒有相關聯的描述。這表示 Macie 成功編譯表達式。

如果允許清單指定預先定義的文字,狀態碼會根據測試結果而有所不同:

  • 如果 Macie 成功擷取並剖析清單,狀態碼為 OK,而且沒有相關聯的描述。

  • 如果錯誤導致 Macie 無法擷取或剖析清單,狀態碼和描述會指出發生錯誤的性質。

如需可能的狀態碼清單和每個狀態碼的說明,請參閱《Amazon Macie API 參考》中的 AllowListStatus