啟用自動化敏感資料探索

當您啟用自動敏感資料探索時，Amazon Macie 會開始評估您的 Amazon Simple Storage Service (Amazon S3) 清查資料，並在目前為您的帳戶執行其他自動探索活動 AWS 區域。如果您是組織的 Macie 管理員，則依預設，評估和活動會包含成員帳戶擁有的 S3 儲存貯體。根據您的 Amazon S3 資料資產的大小，統計資料和其他結果可能會在 48 小時內開始出現。

啟用自動敏感資料探索後，您可以設定設定，以縮小 Macie 執行之分析的範圍和性質。這些設定會指定要從分析中排除的任何 S3 儲存貯體。它們也會指定受管資料識別符、自訂資料識別符，並允許 Macie 在分析 S3 物件時要使用的清單。如需這些設定的資訊，請參閱 設定自動敏感資料探索的設定。如果您是組織的 Macie 管理員，您也可以根據case-by-case啟用或停用組織中個別帳戶的自動敏感資料探索，以縮小分析範圍。

若要啟用自動敏感資料探索，您必須是組織的 Macie 管理員，或擁有獨立的 Macie 帳戶。如果您在組織中有成員帳戶，請與您的 Macie 管理員合作，為您的帳戶啟用自動敏感資料探索。

啟用自動化敏感資料探索

如果您是組織的 Macie 管理員，或擁有獨立的 Macie 帳戶，您可以使用 Amazon Macie 主控台或 Amazon Macie API 來啟用自動敏感資料探索。如果您是第一次啟用，請先完成先決條件任務。這有助於確保您擁有所需的資源和許可。

Console

請依照下列步驟，使用 Amazon Macie 主控台啟用自動敏感資料探索。

啟用自動化敏感資料探索

1. 在 https://console.aws.amazon.com/macie/：// 開啟 Amazon Macie 主控台。

2. 使用頁面右上角的 AWS 區域 選取器，選擇您要啟用自動敏感資料探索的區域。

3. 在導覽窗格中的設定下，選擇自動敏感資料探索。

4. 如果您有獨立的 Macie 帳戶，請在狀態區段中選擇啟用。

5. 如果您是組織的 Macie 管理員，請在狀態區段中選擇 選項，以指定帳戶以啟用自動敏感資料探索：

   • 若要為您組織中的所有帳戶啟用此功能，請選擇啟用。在出現的對話方塊中，選擇我的組織。對於 中的組織 AWS Organizations，選取自動啟用新帳戶，以自動啟用後續加入您組織的帳戶。完成後，請選擇啟用。

   • 若要僅針對特定成員帳戶啟用此功能，請選擇管理帳戶。然後，在帳戶頁面上的表格中，選取每個帳戶的核取方塊以啟用帳戶。完成後，請在動作功能表上選擇啟用自動敏感資料探索。

   • 若要僅針對 Macie 管理員帳戶啟用它，請選擇啟用。在出現的對話方塊中，選擇我的帳戶並清除自動啟用新帳戶。完成後，請選擇啟用。

如果您在多個區域中使用 Macie，並想要在其他區域中啟用自動敏感資料探索，請在每個其他區域中重複上述步驟。

若要後續檢查或變更組織中個別帳戶自動敏感資料探索的狀態，請在導覽窗格中選擇帳戶。在帳戶頁面上，表格中的自動敏感資料探索欄位會指出帳戶自動探索的目前狀態。若要變更帳戶的狀態，請選取帳戶的核取方塊。然後使用動作功能表來啟用或停用帳戶的自動探索。

API

若要以程式設計方式啟用自動化敏感資料探索，您有幾個選項：

• 若要為 Macie 管理員帳戶、組織或獨立 Macie 帳戶啟用它，請使用 UpdateAutomatedDiscoveryConfiguration 操作。或者，如果您使用的是 AWS Command Line Interface (AWS CLI)，請執行 update-automated-discovery-configuration 命令。

• 若要僅針對組織中的特定成員帳戶啟用此功能，請使用 BatchUpdateAutomatedDiscoveryAccounts 操作。或者，如果您使用的是 AWS CLI，請執行 batch-update-automated-discovery-accounts 命令。若要為成員帳戶啟用自動探索，您必須先為管理員帳戶或組織啟用它。

其他選項和詳細資訊取決於您擁有的帳戶類型。

如果您是 Macie 管理員，請使用 UpdateAutomatedDiscoveryConfiguration操作或執行 update-automated-discovery-configuration命令來啟用您帳戶或組織的自動敏感資料探索。在您的請求中，ENABLED為 status 參數指定 。針對 autoEnableOrganizationMembers 參數，指定要為其啟用的帳戶。如果您使用的是 AWS CLI，請使用 auto-enable-organization-members 參數指定帳戶。有效的 值如下：

• ALL （預設） – 為您組織中的所有帳戶啟用它。這包括您的管理員帳戶、現有的成員帳戶，以及後續加入您組織的帳戶。

• NEW – 為您的管理員帳戶啟用它。同時為後續加入您組織的帳戶自動啟用此功能。如果您先前為組織啟用了自動探索功能，並指定了此值，則目前為其啟用的現有成員帳戶將繼續啟用自動探索功能。

• NONE – 僅啟用您的管理員帳戶。請勿針對後續加入您組織的帳戶自動啟用它。如果您先前為組織啟用了自動探索功能，並指定了此值，則目前為其啟用的現有成員帳戶將繼續啟用自動探索功能。

如果您想要僅針對特定成員帳戶選擇性地啟用自動敏感資料探索，請指定 NEW或 NONE。然後，您可以使用 BatchUpdateAutomatedDiscoveryAccounts操作或執行 batch-update-automated-discovery-accounts命令來啟用帳戶的自動探索。

如果您有獨立的 Macie 帳戶，請使用 UpdateAutomatedDiscoveryConfiguration操作或執行 update-automated-discovery-configuration命令來啟用您帳戶的自動敏感資料探索。在您的請求中，ENABLED為 status 參數指定 。針對 autoEnableOrganizationMembers 參數，請考慮您是否計劃成為其他帳戶的 Macie 管理員，並指定適當的值。如果您指定 NONE，當您成為帳戶的 Macie 管理員時，系統不會自動為帳戶啟用自動探索。如果您指定 ALL或 NEW，會自動為帳戶啟用自動探索。如果您使用的是 AWS CLI，請使用 auto-enable-organization-members 參數來指定此設定的適當值。

下列範例示範如何使用 AWS CLI 為組織中的一或多個帳戶啟用自動敏感資料探索。第一個範例會第一次為組織中的所有帳戶啟用自動探索。它可自動探索 Macie 管理員帳戶、所有現有的成員帳戶，以及後續加入組織的任何帳戶。

$ aws macie2 update-automated-discovery-configuration --status ENABLED --auto-enable-organization-members ALL --region us-east-1

其中 us-east-1 是為帳戶啟用自動敏感資料探索的區域，即美國東部 （維吉尼亞北部） 區域。如果請求成功，Macie 會啟用帳戶的自動探索，並傳回空的回應。

下一個範例會將組織的成員啟用設定變更為 NONE。透過此變更，不會針對後續加入組織的帳戶自動啟用自動敏感資料探索。反之，它只會針對 Macie 管理員帳戶及其目前啟用的任何現有成員帳戶啟用。

$ aws macie2 update-automated-discovery-configuration --status ENABLED --auto-enable-organization-members NONE --region us-east-1

其中 us-east-1 是要變更設定的 區域，即美國東部 （維吉尼亞北部） 區域。如果請求成功，Macie 會更新設定並傳回空白回應。

下列範例可為組織中的兩個成員帳戶啟用自動敏感資料探索。Macie 管理員已為組織啟用自動探索。此範例已針對 Linux、macOS 或 Unix 格式化，並使用反斜線 (\) 行接續字元來改善可讀性。

$ aws macie2 batch-update-automated-discovery-accounts \
--region us-east-1 \
--accounts '[{"accountId":"123456789012","status":"ENABLED"},{"accountId":"111122223333","status":"ENABLED"}]'

此範例已針對 Microsoft Windows 進行格式化，並使用 caret (^) line-contination 字元來改善可讀性。

C:\> aws macie2 batch-update-automated-discovery-accounts ^
--region us-east-1 ^
--accounts=[{\"accountId\":\"123456789012\",\"status\":\"ENABLED\"},{\"accountId\":\"111122223333\",\"status\":\"ENABLED\"}]

其中：

• us-east-1 是為指定的帳戶美國東部 （維吉尼亞北部） 區域啟用自動敏感資料探索的區域。

• 123456789012 和 111122223333 是帳戶要啟用自動敏感資料探索的帳戶 IDs。

如果所有指定帳戶的請求成功，Macie 會傳回空errors陣列。如果某些帳戶的請求失敗，陣列會指定每個受影響帳戶發生的錯誤。例如：

"errors": [
    {
        "accountId": "123456789012",
        "errorCode": "ACCOUNT_PAUSED"
    }
]

在上述回應中，指定帳戶 (123456789012) 的請求失敗，因為該帳戶的 Macie 目前已暫停。若要解決此錯誤，Macie 管理員必須先為帳戶啟用 Macie。

如果所有帳戶的請求失敗，您會收到一則訊息，說明發生的錯誤。