評估自動化敏感資料探索範圍

隨著您的帳戶或組織進行自動化敏感資料探索，Amazon Macie 會提供統計資料和詳細資料，協助您評估和監控 Amazon Simple Storage Service (Amazon S3) 資料資產的涵蓋範圍。有了這些資料，您可以檢查整體資料資產和儲存貯體庫存中個別 S3 儲存貯體的自動化敏感資料探索狀態。您也可以找出阻止 Macie 分析特定值區中物件的問題。如果修復問題，您可以在後續分析週期中增加 Amazon S3 資料的涵蓋範圍。

涵蓋範圍資料提供目前 S3 一般用途儲存貯體的自動化敏感資料探索目前狀態的快照 AWS 區域。如果您是組織的 Macie 管理員，這包括您的成員帳戶所擁有的值區。對於每個值區，資料會指出當 Macie 嘗試分析值區中的物件時是否發生問題。如果發生問題，資料會指出每個問題的性質，以及 (在某些情況下) 發生次數。資料會隨著自動化敏感資料探索每天進行而更新。如果 Macie 在每日分析週期中分析或嘗試分析值區中的一或多個物件，Macie 會更新涵蓋範圍和其他資料以反映結果。

針對特定類型的問題，您可以檢閱所有 S3 一般用途儲存貯體的彙總資料，並選擇性地向下展開以取得每個儲存貯體的其他詳細資訊。例如，涵蓋範圍資料可協助您快速識別 Macie 不允許存取您帳戶的所有值區。涵蓋範圍資料也會報告所發生的物件層級問題。這些稱為分類錯誤的問題，使得 Macie 無法分析值區中的特定物件。例如，您可以判斷 Macie 無法在值區中分析多少物件，因為物件是使用不再可用的 AWS Key Management Service (AWS KMS) 金鑰加密物件。

如果您使用 Amazon Macie 主控台檢閱涵蓋範圍資料，您的資料檢視會包含修復每種類型問題的指引。本節的後續主題也提供每種類型的修正指引。

主題

檢閱自動化敏感資料探索範圍資料

若要檢閱和評估自動化敏感資料探索涵蓋範圍，您可以使用 Amazon Macie 主控台或 Amazon Macie API。主控台和 API 都會提供資料，指出目前 Amazon 簡單儲存服務 (Amazon S3) 一般用途儲存貯體的目前分析狀態 AWS 區域。資料包括有關在分析中造成間隙的問題的資訊：

梅西不允許訪問的桶。Macie 無法分析這些值區中的任何物件，因為值區的權限設定會阻止 Macie 存取值區和值區的物件。
不儲存任何可分類物件的值區。Macie 無法分析這些儲存貯體中的任何物件，因為所有物件都使用 Macie 不支援的 Amazon S3 儲存類別，或者它們具有 Macie 不支援的檔案或儲存格式的副檔名。
由於物件層級分類錯誤，Macie 尚未能夠分析的值區。Macie 試圖分析這些值區中的一或多個物件。不過，由於物件層級權限設定、物件內容或配額有問題，Macie 無法分析物件。

涵蓋範圍資料會隨著每天進行自動化敏感資料探索而更新。如果您是組織的 Macie 管理員，資料會包含您的成員帳戶所擁有之 S3 儲存貯體的資訊。

注意

涵蓋範圍資料不會明確包含您已建立和執行之敏感資料探索工作的結果。不過，修正影響自動化敏感資料探索結果的涵蓋範圍問題也可能會增加您隨後執行的敏感資料探索工作的涵蓋範圍。若要評估工作的涵蓋範圍，請檢閱工作的統計資料和結果。如果工作的記錄事件或其他結果指出涵蓋範圍問題，本節稍後的補救指引可協助您解決部分問題。

檢閱自動化敏感資料探索涵蓋範圍資料

您可以使用 Amazon Macie 主控台或 Amazon Macie API 來檢閱您帳戶或組織的涵蓋範圍資料。在主控台上，單一頁面提供所有 S3 一般用途儲存貯體的涵蓋範圍資料的統一檢視，包括最近針對每個儲存貯體發生的問題彙總。此頁面也提供依問題類型複查資料群組的選項。若要追蹤特定值區的問題調查，您可以將頁面中的資料匯出為逗號分隔值 (CSV) 檔案。

Console

請遵循下列步驟，使用 Amazon Macie 主控台檢閱自動化敏感資料探索涵蓋範圍資料。

檢視涵蓋範圍資料

在以下位置打開 Amazon Macie 控制台 https://console.aws.amazon.com/macie/。
在瀏覽窗格中，選擇 [資源涵蓋範圍]。
在 [資源涵蓋範圍] 頁面上，選擇您要複查之涵蓋範圍資料類型的索引標籤：
- 全部 — 列出 Macie 為您的帳戶監控和分析的所有值區。
  
  針對每個值區，「問題」欄位會指出問題是否導致 Macie 無法分析值區中的物件。如果此欄位的值為 None，表示 Macie 已分析至少一個值區的物件，或者 Macie 尚未嘗試分析值區的任何物件。如果發生問題，此欄位會指出問題的性質以及如何修正問題。對於物件層級的分類錯誤，它也可能會指出錯誤的發生次數 (括弧內)。
- 拒絕存取 — 列出 Macie 不允許存取的儲存貯體。這些值區的權限設定會阻止 Macie 存取值區和值區的物件。因此，Macie 無法分析這些值區中的任何物件。
- 分類錯誤 — 列出由於物件層級分類錯誤而尚未分析的值區 — 物件層級權限設定、物件內容或配額的問題。
  
  針對每個值區，「問題」欄位會指出發生的每種錯誤類型的性質，並防止 Macie 分析值區中的物件。它也會指出如何修復每種類型的錯誤。根據錯誤的不同，它也可能會指出錯誤的發生次數 (在括號中)。
- 未分類 — 列出 Macie 無法分析的值區，因為它們不儲存任何可分類的物件。這些儲存貯體中的所有物件均使用不受支援的 Amazon S3 儲存類別，或具有不支援檔案或儲存格式的副檔名。因此，Macie 無法分析這些值區中的任何物件。
若要向下鑽研並複查值區的支援資料，請選擇值區的名稱。然後，請參閱值區詳細資料面板，以取得值區的統計資料和其他相關資訊。
若要將表格匯出為 CSV 檔案，請選擇頁面頂端的「匯出為 CSV」。產生的 CSV 檔案包含表格中每個值區的中繼資料子集，最多可容納 50,000 個值區。該文件包括一個覆蓋問題字段。此欄位的值會指出問題是否阻止 Macie 分析值區中的物件，以及問題的性質 (若有)。

API

若要以程式設計方式檢閱涵蓋範圍資料，請在使用 Amazon Macie API DescribeBuckets操作提交的查詢中指定篩選條件。此操作返回對象的數組。每個物件都包含符合篩選準則的 S3 一般用途儲存貯體的統計資料和其他資訊。

在篩選條件中，包含您要檢閱之涵蓋範圍資料類型的條件：

若要識別因為值區的權限設定而不允許 Macie 存取的值區，請加入欄位值等於的條件。errorCode ACCESS_DENIED
若要識別 Macie 允許存取且尚未分析的值區，請包含欄位值等於50且sensitivityScore欄位值不相等ACCESS_DENIED的errorCode條件。
若要識別 Macie 無法分析的值區，因為所有值區的物件都使用不支援的儲存區類別或格式，請包含classifiableSizeInBytes欄位值等於0且sizeInBytes欄位值大於的條件。0
若要識別 Macie 已分析至少一個物件的值區，請包含sensitivityScore欄位值落在 1—99 範圍內但不等於的條件。50若要同時包含您手動指派最高分數的值區，範圍應為 1-100。
若要識別 Macie 因物件層級分類錯誤而尚未分析的值區，請加入sensitivityScore欄位值等於的條件。-1然後若要複查特定值區所發生之類型和錯誤數目的明細，請使用此GetResourceProfile作業。

如果您使用的是 AWS Command Line Interface (AWS CLI)，請在您提交的查詢中指定篩選條件，方法是執行 describe- bucket 命令。若要檢閱特定 S3 儲存貯體發生的類型和錯誤數目的明細 (如果有的話)，請執行get-resource-profile命令。

例如，下列 AWS CLI 命令會使用篩選準則擷取由於儲存貯體的權限設定而不允許 Macie 存取的所有 S3 儲存貯體的詳細資料。

此範例是針對 Linux、macOS 或 Unix 進行格式化：


$ aws macie2 describe-buckets --criteria '{"errorCode":{"eq":["ACCESS_DENIED"]}}'

這個例子被格式化為 Microsoft 視窗：


C:\> aws macie2 describe-buckets --criteria={\"errorCode\":{\"eq\":[\"ACCESS_DENIED\"]}}

如果您的請求成功，Macie 返回一個數組buckets。陣列針對目前儲存貯體中的每個 S3 儲存貯體包含一個物件， AWS 區域且符合篩選準則。

如果沒有 S3 儲存貯體符合篩選條件，Macie 會傳回空buckets陣列。


{
    "buckets": []
}

如需有關在查詢中指定篩選條件的詳細資訊，包括一般條件的範例，請參閱篩選 S3 儲存貯體庫存。

修正自動化敏感資料探索的涵蓋範圍問題

Amazon Macie 報告了幾種類型的問題，這些問題可減少 Amazon Simple Storage Service (Amazon S3) 資料的自動化敏感資料探索涵蓋範圍。下列資訊可協助您調查並修正這些問題。

提示

若要調查 S3 儲存貯體的物件層級分類錯誤，請先檢閱儲存貯體的物件範例清單。此清單會指出 Macie 在值區中分析或嘗試分析哪些物件，最多 100 個物件。

若要檢閱 Amazon Macie 主控台上的清單，請在 S3 儲存貯體頁面上選擇儲存貯體，然後選擇儲存貯體詳細資料面板中的物件範例索引標籤。若要以程式設計方式檢閱清單，請使用 Amazon Macie API 的ListResourceProfileArtifacts作業。如果物件的分析狀況為「略過」(SKIPPED)，則該物件可能已導致錯誤。

存取遭拒

此問題表示 S3 儲存貯體的許可設定會阻止 Macie 存取儲存貯體和儲存貯體的物件。Macie 無法擷取和分析值區中的任何物件。

詳細資訊

造成此類問題的最常見原因是限制性值區政策。儲存貯體政策是以資源為基礎的 AWS Identity and Access Management (IAM) 政策，可指定主體 (使用者、帳戶、服務或其他實體) 可在 S3 儲存貯體上執行的動作，以及主體可以執行這些動作的條件。限制性值區政策會使用明確的Allow或Deny陳述式，根據特定條件授予或限制儲存貯體資料的存取權。例如，值區政策可能包含拒絕存取值區的Allow或Deny陳述式，除非使用特定來源 IP 位址存取值區。

如果 S3 儲存貯體政策包含具有一或多個條件的明確Deny陳述式，可能不允許 Macie 擷取和分析儲存貯體的物件以偵測敏感資料。Macie 只能提供值區相關資訊的子集，例如值區的名稱和建立日期。

補救指引

若要修復此問題，請更新 S3 儲存貯體的儲存貯體政策。請確定政策允許 Macie 存取值區和值區的物件。若要允許此存取，請將 Macie 服務連結角色 (AWSServiceRoleForAmazonMacie) 的條件新增至原則。此條件應排除 Macie 服務連結角色，使其不符合原則中的Deny限制。它可以使用您帳戶的 Macie 服務連結角色的aws:PrincipalArn全域條件內容金鑰和 Amazon 資源名稱 (ARN) 來執行此操作。

如果您更新儲存貯體政策且 Macie 取得 S3 儲存貯體的存取權，Macie 會偵測變更。發生這種情況時，Macie 將更新統計資料、庫存資料和其他提供的 Amazon S3 資料相關資訊。此外，在後續的分析週期中，值區的物件將成為較高的分析優先順序。

其他參考

如需更新 S3 儲存貯體政策以允許 Macie 存取儲存貯體的詳細資訊，請參閱允許 Amazon Macie 訪問 S3 存儲桶和對象。如需使用儲存貯體政策控制儲存貯體存取的相關資訊，請參閱 Amazon 簡單儲存服務使用者指南中的儲存貯體政策和使用者政策以及 Amazon S3 如何授權請求。

分類錯誤：無效的內容

如果 Macie 嘗試分析 S3 儲存貯體中的物件，且物件格式錯誤，或物件包含超出敏感資料探索配額的內容，就會發生這種類型的分類錯誤。馬西不能分析對象。

詳細資訊

這個錯誤通常是因為 S3 物件是格式錯誤或損毀的檔案。因此，Macie 無法剖析和分析檔案中的所有資料。

如果 S3 物件的分析超出個別檔案的敏感資料探索配額，也會發生此錯誤。例如，物件的儲存大小超過該類型檔案的大小配額。

對於任何一種情況，Macie 都無法完成對 S3 物件的分析，且物件的分析狀態為略過 (SKIPPED)。

補救指引

若要調查此錯誤，請下載 S3 物件並檢查檔案的格式和內容。同時針對敏感資料探索的 Macie 配額來評估檔案內容。

如果您未修復此錯誤，Macie 會嘗試分析 S3 儲存貯體中的其他物件。如果 Macie 成功分析另一個物件，Macie 會更新涵蓋範圍資料及其提供關於值區的其他資訊。

其他參考

如需敏感資料探索配額的清單，包括特定檔案類型的配額，請參閱Amazon Macie 配額。如需 Macie 如何更新敏感度分數及其提供有關 S3 儲存貯體的其他資訊的詳細資訊，請參閱自動化敏感資料探索如何運作。

分類錯誤：無效的加密

如果 Macie 嘗試分析 S3 儲存貯體中的物件，並使用客戶提供的金鑰對物件進行加密，就會發生這種類型的分類錯誤。物件使用 SSE-C 加密，這表示 Macie 無法擷取和分析物件。

詳細資訊

Amazon S3 支援 S3 物件的多個加密選項。對於大多數這些選項，Macie 可以使用您帳戶的 Macie 服務連結角色來解密物件。但是，這取決於所使用的加密類型。

若要讓 Macie 解密 S3 物件，物件必須使用 Macie 可以存取且可以使用的金鑰加密。如果物件使用客戶提供的金鑰加密，Macie 就無法提供必要的金鑰材料來從 Amazon S3 擷取物件。因此，Macie 無法分析物件，且物件的分析狀態為「略過」(SKIPPED)。

補救指引

若要修復此錯誤，請使用 Amazon S3 受管金鑰或 AWS Key Management Service (AWS KMS) 金鑰加密 S3 物件。如果您偏好使用金 AWS KMS 鑰，金鑰可以是 AWS 受管理的 KMS 金鑰，也可以是 Macie 允許使用的客戶管理 KMS 金鑰。

若要使用 Macie 可存取和使用的金鑰加密現有 S3 物件，您可以變更物件的加密設定。若要使用 Macie 可存取和使用的金鑰加密新物件，請變更 S3 儲存貯體的預設加密設定。此外，請確保儲存貯體的政策不需要使用客戶提供的金鑰加密新物件。

其他參考

如需使用 Macie 分析加密 S3 物件的需求和選項的相關資訊，請參閱使用亞馬遜 Macie 分析加密的 Amazon S3 對象。如需 S3 儲存貯體加密選項和設定的相關資訊，請參閱 Amazon Simple Storage 服務使用者指南中的使用加密保護資料和為 S3 儲存貯體設定預設伺服器端加密行為。

分類錯誤:無效的 KMS 金鑰

如果 Macie 嘗試分析 S3 儲存貯體中的物件，並使用不再可用的 AWS Key Management Service (AWS KMS) 金鑰加密物件，就會發生這種類型的分類錯誤。Macie 無法擷取和分析物件。

詳細資訊

AWS KMS 提供停用和刪除客戶管理的選項 AWS KMS keys。如果 S3 物件使用已停用、排定刪除或刪除的 KMS 金鑰加密，Macie 就無法擷取和解密該物件。因此，Macie 無法分析物件，且物件的分析狀態為「略過」(SKIPPED)。若要讓 Macie 分析加密的物件，物件必須使用 Macie 可以存取且可以使用的金鑰加密。

補救指引

若要修正此錯誤，請根據金鑰的目前狀態 AWS KMS key，重新啟用或取消適用項目的排程刪除。如果已刪除適用的金鑰，則無法修正此錯誤。

若要判斷哪個 AWS KMS key 是用來加密 S3 物件，您可以先使用 Macie 檢閱 S3 儲存貯體的伺服器端加密設定。如果儲存貯體的預設加密設定已設定為使用 KMS 金鑰，則儲存貯體的詳細資料會指出使用哪個金鑰。然後，您可以檢查該密鑰的狀態。或者，您可以使用 Amazon S3 檢閱儲存貯體和儲存貯體中個別物件的加密設定。

其他參考

如需使用 Macie 檢閱 S3 儲存貯體的伺服器端加密設定的相關資訊，請參閱檢閱 S3 儲存貯體的詳細資訊。如需有關重新啟用或取消排程刪除的資訊 AWS KMS key，請參閱開發人員指南中的啟用和停用金鑰以及排程和取消金鑰刪除。AWS Key Management Service

分類錯誤：權限被拒

如果 Macie 嘗試分析 S3 儲存貯體中的物件，而因為物件的權限設定或用於加密物件的金鑰的權限設定，Macie 無法擷取或解密該物件，就會發生這種類型的分類錯誤。Macie 無法擷取和分析物件。

詳細資訊

此錯誤通常是因為 S3 物件使用不允許 Macie 使用的客戶管理 AWS Key Management Service (AWS KMS) 金鑰加密。如果使用客戶管理的物件加密 AWS KMS key，則該金鑰的政策必須允許 Macie 使用金鑰解密資料。

如果 Amazon S3 許可設定阻止 Macie 擷取 S3 物件，也可能發生此錯誤。S3 儲存貯體的儲存貯體政策可能會限制對特定儲存貯體物件的存取，或只允許特定主體 (使用者、帳戶、服務或其他實體) 存取物件。或者物件的存取控制清單 (ACL) 可能會限制物件的存取權。因此，Macie 可能無法存取物件。

對於上述任何一種情況，Macie 都無法擷取和分析物件，且該物件的分析狀態為「略過」(SKIPPED)。

補救指引

若要修復此錯誤，請判斷 S3 物件是否透過受管 AWS KMS key的客戶加密。如果是，請確定金鑰的原則允許 Macie 服務連結角色 (AWSServiceRoleForAmazonMacie) 使用金鑰解密資料。允許此存取的方式取決於擁有該物件的帳戶是否 AWS KMS key 也擁有存放該物件的 S3 儲存貯體。如果相同的帳戶擁有 KMS 金鑰和儲存貯體，則該帳戶的使用者必須更新金鑰的政策。如果一個帳戶擁有 KMS 金鑰，而另一個帳戶擁有該儲存貯體，則擁有該金鑰的帳戶的使用者必須允許跨帳戶存取金鑰。

提示

您可以自動產生 Macie 需要存取的所 AWS KMS keys 有受管理客戶清單，以分析您帳戶的 S3 儲存貯體中的物件。若要執行此操作，請執行 AWS KMS 權限分析器指令碼，該指令碼可從 Amazon Macie 指令碼存放庫取 GitHub得。該腳本還可以生成 AWS Command Line Interface (AWS CLI) 命令的其他腳本。您可以選擇性地執行這些命令，為您指定的 KMS 金鑰更新必要的組態設定和原則。

如果 Macie 已被允許使用適用的， AWS KMS key 或者 S3 物件未使用客戶管理的 KMS 金鑰加密，請確定儲存貯體的政策允許 Macie 存取物件。同時驗證物件的 ACL 是否允許 Macie 讀取物件的資料和中繼資料。

對於值區政策，您可以將 Macie 服務連結角色的條件新增至原則，以允許此存取。此條件應排除 Macie 服務連結角色，使其不符合原則中的Deny限制。它可以使用您帳戶的 Macie 服務連結角色的aws:PrincipalArn全域條件內容金鑰和 Amazon 資源名稱 (ARN) 來執行此操作。

對於物件 ACL，您可以與物件擁有者合作，將您新增 AWS 帳戶為具有物件權限的受權者，以允許此存取READ權。然後，Macie 可以針對您的帳戶使用服務連結角色來擷取和分析物件。此外，也請考慮變更值區的「物件擁有權」設定。您可以使用這些設定來停用值區中所有物件的 ACL，並將擁有權權限授與擁有值區的帳戶。

其他參考

有關允許 Macie 與受管理的客戶解密數據的更多信息 AWS KMS key，請參閱允許 Amazon Macie 使用客戶管理 AWS KMS key。如需更新 S3 儲存貯體政策以允許 Macie 存取儲存貯體的詳細資訊，請參閱允許 Amazon Macie 訪問 S3 存儲桶和對象。

如需更新金鑰原則的詳細資訊，請參閱AWS Key Management Service 開發人員指南中的變更金鑰政策。如需使用受管客戶 AWS KMS keys 來加密 S3 物件的相關資訊，請參閱 Amazon 簡單儲存服務使用者指南中的以 AWS KMS 金鑰使用伺服器端加密。

如需使用儲存貯體政策控制 S3 儲存貯體存取的相關資訊，請參閱 Amazon 簡單儲存服務使用者指南中的儲存貯體政策和使用者政策以及 Amazon S3 如何授權請求。如需使用 ACL 或物件擁有權設定來控制 S3 物件存取的相關資訊，請參閱 Amazon 簡單儲存服務使用者指南中的使用 ACL 管理存取和控制物件擁有權和停用儲存貯體的 ACL。

未分類

此問題表示 S3 儲存貯體中的所有物件均使用不支援的 Amazon S3 儲存類別或不支援的檔案或儲存格式來存放。Macie 無法分析值區中的任何物件。

詳細資訊

為了符合選擇和分析的資格，S3 物件必須使用 Macie 支援的 Amazon S3 儲存類別。物件還必須具有 Macie 支援的檔案或儲存格式的副檔名。如果物件不符合這些準則，則會將物件視為不可分類的物件。Macie 不會嘗試擷取或分析未分類物件中的資料。

如果 S3 儲存貯體中的所有物件都是未分類的物件，則整個儲存貯體就是不可分類的儲存貯體。Macie 無法為值區執行自動化敏感資料探索。

補救指引

若要解決此問題，請檢閱生命週期組態規則和其他設定，以判斷哪些儲存類別用於在 S3 儲存貯體中存放物件。請考慮調整這些設定，以使用 Macie 支援的儲存空間類別。您也可以變更值區中現有物件的儲存空間類別。

同時評估 S3 儲存貯體中現有物件的檔案和儲存格式。若要分析物件，請考慮將資料暫時或永久移植到使用支援格式的新物件。

如果將物件新增至 S3 儲存貯體，且物件使用支援的儲存類別和格式，Macie 會在下次評估儲存貯體庫存時偵測到物件。發生這種情況時，Macie 將停止報告儲存貯體未分類的統計資料、涵蓋範圍資料以及其提供有關 Amazon S3 資料的其他資訊。此外，在後續的分析週期中，新物件將具有較高的分析優先順序。

其他參考

如需 Amazon S3 儲存類別以及 Macie 支援的檔案和儲存格式的相關資訊，請參閱Amazon Macie 支援的儲存類別和格式。如需 Amazon S3 提供的生命週期組態規則和儲存類別選項的詳細資訊，請參閱 Amazon 簡單儲存服務使用者指南中的管理儲存生命週期和使用 Amazon S3 儲存類別。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

管理個別 S3 儲存貯體的自動化探索

檢閱自動探索統計資料和結果