Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Ausführen von Erkennungsaufgaben für vertrauliche Daten
Mit Amazon Macie können Sie Discovery-Jobs für sensible Daten erstellen und ausführen, um die Erkennung, Protokollierung und Berichterstattung sensibler Daten in Allzweck-Buckets von Amazon Simple Storage Service (Amazon S3) zu automatisieren. Ein *Discovery-Job für sensible Daten* ist eine Reihe automatisierter Verarbeitungs- und Analyseaufgaben, die Macie ausführt, um sensible Daten in Amazon S3 S3-Objekten zu erkennen und zu melden. Jeder Job bietet detaillierte Berichte über die sensiblen Daten, die Macie findet, und über die Analyse, die Macie durchführt. Durch das Erstellen und Ausführen von Jobs können Sie einen umfassenden Überblick über die Daten, die Ihre Organisation in Amazon S3 speichert, und über alle Sicherheits- oder Compliance-Risiken für diese Daten erstellen und verwalten.
Um Sie bei der Erfüllung und Einhaltung Ihrer Anforderungen an Datensicherheit und Datenschutz zu unterstützen, bietet Macie verschiedene Optionen für die Planung und Definition des Umfangs eines Auftrags. Sie können einen Job so konfigurieren, dass er nur einmal für Analysen und Bewertungen auf Abruf oder für regelmäßige Analysen, Bewertungen und Überwachungen regelmäßig ausgeführt wird. Sie definieren auch den Umfang und die Tiefe der Analyse eines Jobs — spezifische S3-Buckets, die Sie auswählen, oder Buckets, die bestimmten Kriterien entsprechen. Sie können den Umfang dieser Analyse optional verfeinern, indem Sie zusätzliche Optionen auswählen. Zu den Optionen gehören benutzerdefinierte Kriterien, die sich aus den Eigenschaften von S3-Objekten ableiten, wie z. B. Tags, Präfixe und wann ein Objekt zuletzt geändert wurde.
Für jeden Job geben Sie außerdem die Typen vertraulicher Daten an, die Macie erkennen und melden soll. Sie können einen Job so konfigurieren, dass [er verwaltete Datenkennungen](managed-data-identifiers.md) verwendet, die Macie bereitstellt, [benutzerdefinierte Datenbezeichner](custom-data-identifiers.md), die Sie definieren, oder eine Kombination aus beidem. Durch die Auswahl bestimmter verwalteter und benutzerdefinierter Datenbezeichner für einen Job können Sie die Analyse so anpassen, dass sie sich auf bestimmte Arten sensibler Daten konzentriert. Zur Feinabstimmung der Analyse können Sie einen Job auch so konfigurieren, dass er [Zulassungslisten](allow-lists.md) verwendet. Zulassungslisten geben Text und Textmuster an, die Macie ignorieren soll. In der Regel handelt es sich dabei um Ausnahmen für sensible Daten in bestimmten Szenarien oder Umgebungen Ihres Unternehmens.
Bei jedem Auftrag werden die sensiblen Daten, die Macie findet, und die von Macie durchgeführten Analysen aufgezeichnet — Ergebnisse *sensibler Daten und Ergebnisse* der Entdeckung *sensibler Daten*. Ein *Ergebnis vertraulicher Daten* ist ein detaillierter Bericht über sensible Daten, die Macie in einem S3-Objekt gefunden hat. Ein *Ergebnis der Entdeckung sensibler Daten* ist ein Datensatz, der Details zur Analyse eines S3-Objekts protokolliert. Macie erstellt für jedes Objekt, für dessen Analyse Sie einen Job konfigurieren, ein Erkennungsergebnis vertraulicher Daten. Dazu gehören Objekte, in denen Macie keine sensiblen Daten findet und daher keine Ergebnisse für sensible Daten liefert, sowie Objekte, die Macie aufgrund von Fehlern oder Problemen nicht analysieren kann. Jeder Datensatztyp folgt einem standardisierten Schema, mit dessen Hilfe Sie die Datensätze abfragen, überwachen und verarbeiten können, um Ihre Sicherheits- und Compliance-Anforderungen zu erfüllen.
**Topics**
+ [Bereichsoptionen für Aufgaben](discovery-jobs-scope.md)
+ [Erstellen eines-Auftrags](discovery-jobs-create.md)
+ [Überprüfung der Arbeitsergebnisse](discovery-jobs-manage-results.md)
+ [Verwalten von Aufträgen](discovery-jobs-manage.md)
+ [Überwachung von Jobs mit CloudWatch Logs](discovery-jobs-monitor-cw-logs.md)
+ [Prognose und Überwachung der Auftragskosten](discovery-jobs-costs.md)
+ [Verwaltete Datenkennungen werden für Jobs empfohlen](discovery-jobs-mdis-recommended.md)
# Umfangsoptionen für Aufgaben zur Erkennung sensibler Daten
Mit Aufträgen zur Erkennung sensibler Daten definieren Sie den Umfang der Analyse, die Amazon Macie durchführt, um sensible Daten in Ihren Allzweck-Buckets von Amazon Simple Storage Service (Amazon S3) zu erkennen und zu melden. Um Ihnen dabei zu helfen, bietet Macie mehrere auftragsspezifische Optionen, die Sie bei der Erstellung und Konfiguration eines Jobs auswählen können.
**Topics**
+ [S3-Buckets oder Bucket-Kriterien](#discovery-jobs-scope-buckets)
+ [Tiefe der Probenahme](#discovery-jobs-scope-sampling)
+ [Erster Lauf: Bestehende S3-Objekte einbeziehen](#discovery-jobs-scope-objects)
+ [S3-Objektkriterien](#discovery-jobs-scope-criteria)
## S3-Buckets oder Bucket-Kriterien
Wenn Sie einen Discovery-Job für sensible Daten erstellen, geben Sie an, in welchen S3-Buckets Objekte gespeichert werden, die Macie analysieren soll, wenn der Job ausgeführt wird. Sie können dies auf zwei Arten tun: indem Sie bestimmte S3-Buckets aus Ihrem Bucket-Inventar auswählen oder indem Sie benutzerdefinierte Kriterien angeben, die sich aus den Eigenschaften von S3-Buckets ableiten.
**Wählen Sie bestimmte S3-Buckets aus**
Mit dieser Option wählen Sie explizit jeden S3-Bucket aus, der analysiert werden soll. Wenn der Job dann ausgeführt wird, analysiert Macie nur Objekte in den von Ihnen ausgewählten Buckets. Wenn Sie einen Job so konfigurieren, dass er regelmäßig täglich, wöchentlich oder monatlich ausgeführt wird, analysiert Macie bei jeder Ausführung des Jobs Objekte in denselben Buckets.
Diese Konfiguration ist hilfreich für Fälle, in denen Sie eine gezielte Analyse eines bestimmten Datensatzes durchführen möchten. Sie gibt Ihnen eine präzise und vorhersehbare Kontrolle darüber, welche Buckets ein Job analysiert.
**Geben Sie S3-Bucket-Kriterien an**
Mit dieser Option definieren Sie Laufzeitkriterien, die bestimmen, welche S3-Buckets analysiert werden sollen. Die Kriterien bestehen aus einer oder mehreren Bedingungen, die sich aus Bucket-Eigenschaften wie Einstellungen und Tags für den öffentlichen Zugriff ergeben. Wenn der Job ausgeführt wird, identifiziert Macie Buckets, die Ihren Kriterien entsprechen, und analysiert dann Objekte in diesen Buckets. Wenn Sie einen Job so konfigurieren, dass er regelmäßig ausgeführt wird, tut Macie dies bei jeder Ausführung des Jobs. Daher analysiert Macie möglicherweise bei jeder Ausführung des Jobs Objekte in unterschiedlichen Buckets, abhängig von den Änderungen an Ihrem Bucket-Inventar und den von Ihnen definierten Kriterien.
Diese Konfiguration ist in Fällen hilfreich, in denen Sie möchten, dass sich der Umfang der Analyse dynamisch an Änderungen an Ihrem Bucket-Inventar anpasst. Wenn Sie einen Job so konfigurieren, dass er Bucket-Kriterien verwendet und regelmäßig ausgeführt wird, identifiziert Macie automatisch neue Buckets, die den Kriterien entsprechen, und überprüft diese Buckets auf sensible Daten.
Die Themen in diesem Abschnitt enthalten zusätzliche Informationen zu den einzelnen Optionen.
**Topics**
+ [Auswahl bestimmter S3-Buckets](#discovery-jobs-scope-buckets-select)
+ [Angabe von S3-Bucket-Kriterien](#discovery-jobs-scope-buckets-criteria)
### Auswahl bestimmter S3-Buckets
Wenn Sie sich dafür entscheiden, explizit jeden S3-Bucket auszuwählen, den ein Job analysieren soll, stellt Macie Ihnen eine Bestandsaufnahme Ihrer aktuellen Allzweck-Buckets zur Verfügung. AWS-Region Anschließend können Sie Ihr Inventar überprüfen und die gewünschten Buckets auswählen. Wenn Sie der Macie-Administrator einer Organisation sind, umfasst Ihr Inventar auch Buckets, die Ihren Mitgliedskonten gehören. Sie können bis zu 1.000 dieser Buckets auswählen, die sich über bis zu 1.000 Konten erstrecken.
Um Ihnen bei der Auswahl Ihrer Buckets zu helfen, enthält das Inventar Details und Statistiken für jeden Bucket. Dazu gehört die Datenmenge, die ein Job in jedem Bucket analysieren kann. *Klassifizierbare Objekte sind Objekte*, die eine [unterstützte Amazon S3 S3-Speicherklasse](discovery-supported-storage.md#discovery-supported-s3-classes) verwenden und eine Dateinamenerweiterung für ein [unterstütztes Datei- oder Speicherformat](discovery-supported-storage.md#discovery-supported-formats) haben. Das Inventar gibt auch an, ob Sie bestehende Jobs zur Analyse von Objekten in einem Bucket konfiguriert haben. Anhand dieser Details können Sie den Umfang eines Jobs einschätzen und Ihre Bucket-Auswahl verfeinern.
In der Inventartabelle:
+ **Sensitivität** — Gibt den aktuellen Vertraulichkeitswert des Buckets an, wenn die [automatische Erkennung sensibler Daten](discovery-asdd.md) aktiviert ist.
+ **Klassifizierbare Objekte** — Gibt die Gesamtzahl der Objekte an, die der Job im Bucket analysieren kann.
+ **Klassifizierbare Größe** — Gibt die Gesamtspeichergröße aller Objekte an, die der Job im Bucket analysieren kann.
Wenn der Bucket komprimierte Objekte speichert, gibt dieser Wert nicht die tatsächliche Größe dieser Objekte nach der Dekomprimierung wieder. Wenn die Versionsverwaltung für den Bucket aktiviert ist, basiert dieser Wert auf der Speichergröße der neuesten Version jedes Objekts im Bucket.
+ **Nach Job überwacht** — Gibt an, ob Sie bestehende Jobs so konfiguriert haben, dass Objekte im Bucket regelmäßig täglich, wöchentlich oder monatlich analysiert werden.
Wenn der Wert für dieses Feld **Ja** lautet, ist der Bucket explizit in einem periodischen Job enthalten oder der Bucket hat innerhalb der letzten 24 Stunden die Kriterien für einen periodischen Job erfüllt. Darüber hinaus lautet der Status von mindestens einem dieser Jobs nicht *Storniert*. Macie aktualisiert diese Daten täglich.
+ **Letzte Auftragsausführung** — Wenn Sie periodische oder einmalige Jobs zur Analyse von Objekten im Bucket konfiguriert haben, gibt dieses Feld das Datum und die Uhrzeit an, zu der einer dieser Jobs zuletzt gestartet wurde. Andernfalls erscheint in diesem Feld ein Bindestrich (—).
Wenn das Informationssymbol (![\[The information icon, which is a blue circle that has a lowercase letter i in it.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/icon-info-blue.png)) neben Bucket-Namen angezeigt wird, empfehlen wir Ihnen, die neuesten Bucket-Metadaten von Amazon S3 abzurufen. Wählen Sie dazu über der Tabelle refresh (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/btn-refresh-data.png)) aus. Das Informationssymbol weist darauf hin, dass in den letzten 24 Stunden ein Bucket erstellt wurde, möglicherweise nachdem Macie im Rahmen des täglichen Aktualisierungszyklus das letzte Mal Bucket- und Objektmetadaten von Amazon S3 abgerufen hat. Weitere Informationen finden Sie unter [Daten werden aktualisiert](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh).
Wenn das Warnsymbol (![\[The warning icon, which is a red triangle that has an exclamation point in it.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/icon-warning-red.png)) neben dem Namen eines Buckets erscheint, darf Macie nicht auf den Bucket oder die Objekte des Buckets zugreifen. Das bedeutet, dass der Job keine Objekte im Bucket analysieren kann. Um das Problem zu untersuchen, überprüfen Sie die Richtlinien- und Berechtigungseinstellungen des Buckets in Amazon S3. Beispielsweise könnte der Bucket eine restriktive Bucket-Richtlinie haben. Weitere Informationen finden Sie unter [Macie darf auf S3-Buckets und -Objekte zugreifen](monitoring-restrictive-s3-buckets.md).
Um Ihre Ansicht anzupassen und bestimmte Buckets einfacher zu finden, können Sie die Tabelle filtern, indem Sie Filterkriterien in das Filterfeld eingeben. Die folgende Tabelle bietet einige Beispiele.
| Um alle Buckets anzuzeigen, die... | Wende diesen Filter an... |
| --- | --- |
| Gehören einem bestimmten Konto | Konto-ID = the 12-digit ID for the account |
| Sind öffentlich zugänglich | Wirksame Genehmigung = Öffentlich |
| Sind in keinen regelmäßigen Jobs enthalten | Aktiv vom Job überwacht = Falsch |
| Sind nicht in regelmäßigen oder einmaligen Aufträgen enthalten | Definiert in Job = False |
| Habe einen bestimmten Tag-Schlüssel\$1 | Tag-Schlüssel = the tag key |
| Habe einen bestimmten Tag-Wert\$1 | Tag-Wert = the tag value |
| Speichern Sie unverschlüsselte Objekte (oder Objekte, die clientseitige Verschlüsselung verwenden) | Die Anzahl der Objekte bei Verschlüsselung ist „Keine Verschlüsselung“ und „Von“ = 1 |
\$1 Bei Tag-Schlüsseln und -Werten wird zwischen Groß- und Kleinschreibung unterschieden. Außerdem müssen Sie einen vollständigen, gültigen Wert angeben. Sie können keine Teilwerte angeben oder Platzhalterzeichen verwenden.
Um zusätzliche Details für einen Bucket anzuzeigen, wählen Sie den Namen des Buckets aus und schauen Sie im Detailbereich nach. In dem Bereich können Sie auch:
+ Wählen Sie ein Vergrößerungsglas für das Feld aus, um bestimmte Felder zu öffnen und nach unten zu gelangen. Wählen Sie aus![\[The zoom in icon, which is a magnifying glass that has a plus sign in it.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/icon-magnifying-glass-plus-sign.png), ob Buckets mit demselben Wert angezeigt werden sollen. Wählen Sie aus![\[The zoom out icon, which is a magnifying glass that has a minus sign in it.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/icon-magnifying-glass-minus-sign.png), ob Buckets mit anderen Werten angezeigt werden sollen.
+ Ruft die neuesten Metadaten für Objekte im Bucket ab. Dies kann hilfreich sein, wenn Sie kürzlich einen Bucket erstellt haben oder in den letzten 24 Stunden wesentliche Änderungen an den Objekten des Buckets vorgenommen haben. Um die Daten abzurufen, wählen Sie im Bereich **Objektstatistiken** des Bedienfelds die Option refresh (![\[The refresh button, which is a button that displays an empty, dark gray circle with an arrow.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/btn-refresh-object-data.png)) aus. Diese Option ist für Buckets verfügbar, die 30.000 oder weniger Objekte speichern.
In bestimmten Fällen enthält das Panel möglicherweise nicht alle Details eines Buckets. Dies kann vorkommen, wenn Sie mehr als 10.000 Buckets in Amazon S3 speichern. Macie verwaltet vollständige Inventardaten für nur 10.000 Buckets für ein Konto — die 10.000 Buckets, die zuletzt erstellt oder geändert wurden. Sie können jedoch einen Job so konfigurieren, dass Objekte in Buckets analysiert werden, die dieses Kontingent überschreiten. Verwenden Sie Amazon S3, um weitere Details für diese Buckets zu überprüfen.
### Angabe von S3-Bucket-Kriterien
Wenn Sie Bucket-Kriterien für einen Job angeben möchten, bietet Macie Optionen zum Definieren und Testen der Kriterien. Dies sind Laufzeitkriterien, die bestimmen, in welchen S3-Buckets zu analysierende Objekte gespeichert werden. Bei jeder Ausführung des Jobs identifiziert Macie Allzweck-Buckets, die Ihren Kriterien entsprechen, und analysiert dann Objekte in den entsprechenden Buckets. Wenn Sie der Macie-Administrator einer Organisation sind, schließt dies auch Buckets ein, die Ihren Mitgliedskonten gehören.
#### Definition von Bucket-Kriterien
Bucket-Kriterien bestehen aus einer oder mehreren Bedingungen, die sich aus den Eigenschaften von S3-Buckets ergeben. Jede Bedingung, auch als *Kriterium* bezeichnet, besteht aus den folgenden Teilen:
+ Ein eigenschaftsbasiertes Feld, z. B. **Konto-ID** oder **Gültige** Berechtigung.
+ Ein Operator, entweder *gleich* (`eq`) oder ungleich (*)*. `neq`
+ Ein oder mehrere Werte.
+ Eine Include- oder Exclude-Anweisung, die angibt, ob Buckets, die der Bedingung entsprechen, analysiert (*eingeschlossen*) oder übersprungen (*ausgeschlossen*) werden sollen.
Wenn Sie mehr als einen Wert für ein Feld angeben, verwendet Macie die OR-Logik, um die Werte zu verknüpfen. Wenn Sie mehr als eine Bedingung für die Kriterien angeben, verwendet Macie die UND-Logik, um die Bedingungen zu verknüpfen. Außerdem haben Ausschlussbedingungen Vorrang vor Einschlussbedingungen. Wenn Sie beispielsweise öffentlich zugängliche Buckets einbeziehen und Buckets mit bestimmten Tags ausschließen, analysiert der Job Objekte in allen Buckets, auf die öffentlich zugegriffen werden kann, sofern der Bucket nicht über eines der angegebenen Tags verfügt.
Sie können Bedingungen definieren, die sich aus einem der folgenden eigenschaftsbasierten Felder für S3-Buckets ableiten.
**Konto-ID**
Die eindeutige Kennung (ID) für den, dem ein Bucket AWS-Konto gehört. Um mehrere Werte für dieses Feld anzugeben, geben Sie die ID für jedes Konto ein und trennen Sie jeden Eintrag durch ein Komma.
Beachten Sie, dass Macie die Verwendung von Platzhalterzeichen oder Teilwerten für dieses Feld nicht unterstützt.
**Bucket-Name**
Der Name eines Buckets. Dieses Feld entspricht dem Feld **Name**, nicht dem Feld **Amazon Resource Name (ARN)** in Amazon S3. Um mehrere Werte für dieses Feld anzugeben, geben Sie den Namen jedes Buckets ein und trennen Sie jeden Eintrag durch ein Komma.
Beachten Sie, dass bei Werten zwischen Groß- und Kleinschreibung unterschieden wird. Darüber hinaus unterstützt Macie die Verwendung von Platzhalterzeichen oder Teilwerten für dieses Feld nicht.
**Wirksame Erlaubnis**
Gibt an, ob ein Bucket öffentlich zugänglich ist. Sie können einen oder mehrere der folgenden Werte für dieses Feld wählen:
+ **Nicht öffentlich** — Die allgemeine Öffentlichkeit hat keinen Lese- oder Schreibzugriff auf den Bucket.
+ **Öffentlich** — Die allgemeine Öffentlichkeit hat Lese- oder Schreibzugriff auf den Bucket.
+ **Unbekannt** — Macie war nicht in der Lage, die Einstellungen für den öffentlichen Zugriff für den Bucket auszuwerten. Ein Problem oder ein Kontingent hinderte Macie daran, die erforderlichen Daten abzurufen und auszuwerten.
Um festzustellen, ob ein Bucket öffentlich zugänglich ist, analysiert Macie eine Kombination von Einstellungen auf Konto- und Bucket-Ebene für den Bucket: die Einstellungen für den Block öffentlichen Zugriff für das Konto, die Einstellungen für den Block für den öffentlichen Zugriff, die Bucket-Richtlinie für den Bucket und die Zugriffskontrollliste (ACL) für den Bucket. Informationen zu diesen Einstellungen finden Sie unter [Zugriffskontrolle](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html) und [Sperren des öffentlichen Zugriffs auf Ihren Amazon S3 S3-Speicher](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.
**Gemeinsamer Zugriff**
Gibt an, ob ein Bucket mit einem anderen AWS-Konto, einer Amazon CloudFront Origin Access Identity (OAI) oder einer CloudFront Origin Access Control (OAC) geteilt wird. Sie können einen oder mehrere der folgenden Werte für dieses Feld wählen:
+ **Extern** — Der Bucket wird mit einer oder mehreren der folgenden Personen oder einer beliebigen Kombination der folgenden Personen gemeinsam genutzt: eine CloudFront OAI, eine CloudFront OAC oder ein Konto, das extern zu Ihrer Organisation gehört (nicht Teil davon ist).
+ **Intern** — Der Bucket wird mit einem oder mehreren Konten geteilt, die innerhalb (eines Teils) Ihrer Organisation liegen. Es wird nicht mit einer CloudFront OAI oder OAC geteilt.
+ **Nicht geteilt** — Der Bucket wird nicht mit einem anderen Konto, einer CloudFront OAI oder einem OAC geteilt. CloudFront
+ **Unbekannt** — Macie war nicht in der Lage, die Einstellungen für den gemeinsamen Zugriff für den Bucket auszuwerten. Ein Problem oder ein Kontingent hinderte Macie daran, die erforderlichen Daten abzurufen und auszuwerten.
Um festzustellen, ob ein Bucket mit einem anderen gemeinsam genutzt wird AWS-Konto, analysiert Macie die Bucket-Richtlinie und die ACL für den Bucket. Darüber hinaus ist eine *Organisation* als eine Gruppe von Macie-Konten definiert, die über AWS Organizations oder auf Einladung von Macie als Gruppe verwandter Konten zentral verwaltet werden. Informationen zu den Amazon S3 S3-Optionen für die gemeinsame Nutzung von Buckets finden Sie unter [Zugriffskontrolle](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.
Um festzustellen, ob ein Bucket mit einer CloudFront OAI oder OAC gemeinsam genutzt wird, analysiert Macie die Bucket-Richtlinie für den Bucket. Eine CloudFront OAI oder OAC ermöglicht es Benutzern, über eine oder mehrere angegebene Distributionen auf die Objekte eines Buckets zuzugreifen. CloudFront Informationen zu CloudFront OAIs und OACs finden Sie unter [Beschränken des Zugriffs auf einen Amazon S3 S3-Ursprung](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) im *Amazon CloudFront Developer Guide*.
**Tags**
Die Tags, die einem Bucket zugeordnet sind. Tags sind Labels, die Sie definieren und bestimmten Ressourcentypen, einschließlich S3-Buckets, zuweisen können. AWS Jedes Tag besteht aus einem erforderlichen Tag-Schlüssel und einem optionalen Tag-Wert. Informationen zum Taggen von S3-Buckets finden Sie unter [Verwenden von S3-Bucket-Tags für die Kostenzuweisung](https://docs.aws.amazon.com/AmazonS3/latest/userguide/CostAllocTagging.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.
Für einen Job zur Erkennung sensibler Daten können Sie diese Art von Bedingung verwenden, um Buckets mit einem bestimmten Tag-Schlüssel, einem bestimmten Tag-Wert oder einem bestimmten Tag-Schlüssel und Tag-Wert (als Paar) ein- oder auszuschließen. Beispiel:
+ Wenn Sie einen Tag-Schlüssel angeben **Project** und keine Tag-Werte für eine Bedingung angeben, entspricht jeder Bucket, der den Tag-Schlüssel *Project* enthält, den Kriterien der Bedingung, unabhängig von den Tag-Werten, die diesem Tag-Schlüssel zugeordnet sind.
+ Wenn Sie **Development** und **Test** als Tag-Werte angeben und keine Tag-Schlüssel für eine Bedingung angeben, entspricht jeder Bucket, der den **Development** oder **Test** -Tag-Wert enthält, den Kriterien der Bedingung, unabhängig von den Tag-Schlüsseln, die diesen Tag-Werten zugeordnet sind.
Bei Tag-Schlüsseln und -Werten muss die Groß- und Kleinschreibung beachtet werden. Darüber hinaus unterstützt Macie nicht die Verwendung von Platzhalterzeichen oder Teilwerten in Tag-Bedingungen.
Um mehrere Tag-Schlüssel in einer Bedingung anzugeben, geben Sie jeden Tag-Schlüssel in das **Schlüsselfeld** ein und trennen Sie jeden Eintrag durch ein Komma. Um mehrere Tagwerte in einer Bedingung anzugeben, geben Sie jeden Tagwert in das Feld **Wert** ein und trennen Sie jeden Eintrag durch ein Komma.
Wenn Sie mehr als 10.000 Buckets in Amazon S3 speichern, beachten Sie, dass Macie nicht die Tag-Daten für alle Buckets verwaltet. Macie verwaltet vollständige Inventardaten für nur 10.000 Buckets für ein Konto — die 10.000 Buckets, die zuletzt erstellt oder geändert wurden. Für alle anderen Buckets sind alle zugehörigen Tag-Schlüssel und -Werte nicht in den Inventardaten enthalten. Das bedeutet, dass die Buckets in einer Bedingung, die den *Equals* () `eq` -Operator verwendet, keinen bestimmten Tag-Schlüsseln oder -Werten entsprechen. Wenn Sie für eine auf Tags basierende Bedingung *den Operator „ungleich“ (`neq`) angeben, bedeutet dies, dass die Buckets der Bedingung entsprechen*.
#### Bucket-Kriterien werden getestet
Während Sie Ihre Bucket-Kriterien definieren, können Sie die Kriterien testen und verfeinern, indem Sie sich eine Vorschau der Ergebnisse ansehen. Erweitern Sie dazu den Abschnitt **Vorschau der Kriterienergebnisse** anzeigen, der unter den Kriterien in der Konsole angezeigt wird. In diesem Abschnitt wird eine Tabelle mit bis zu 25 Allzweck-Buckets angezeigt, die derzeit den Kriterien entsprechen.
Die Tabelle bietet auch einen Einblick in die Datenmenge, die der Job in jedem Bucket analysieren kann. *Klassifizierbare Objekte sind Objekte*, die eine [unterstützte Amazon S3 S3-Speicherklasse](discovery-supported-storage.md#discovery-supported-s3-classes) verwenden und eine Dateinamenerweiterung für ein [unterstütztes Datei- oder Speicherformat](discovery-supported-storage.md#discovery-supported-formats) haben. Die Tabelle gibt auch an, ob Sie bestehende Jobs so konfiguriert haben, dass Objekte in einem Bucket regelmäßig analysiert werden.
In der Tabelle:
+ **Sensitivität** — Gibt den aktuellen Vertraulichkeitswert des Buckets an, wenn die [automatische Erkennung sensibler Daten](discovery-asdd.md) aktiviert ist.
+ **Klassifizierbare Objekte** — Gibt die Gesamtzahl der Objekte an, die der Job im Bucket analysieren kann.
+ **Klassifizierbare Größe** — Gibt die Gesamtspeichergröße aller Objekte an, die der Job im Bucket analysieren kann.
Wenn der Bucket komprimierte Objekte speichert, gibt dieser Wert nicht die tatsächliche Größe dieser Objekte nach der Dekomprimierung wieder. Wenn die Versionsverwaltung für den Bucket aktiviert ist, basiert dieser Wert auf der Speichergröße der neuesten Version jedes Objekts im Bucket.
+ **Nach Job überwacht** — Gibt an, ob Sie bestehende Jobs so konfiguriert haben, dass Objekte im Bucket regelmäßig täglich, wöchentlich oder monatlich analysiert werden.
Wenn der Wert für dieses Feld **Ja** lautet, ist der Bucket explizit in einem periodischen Job enthalten oder der Bucket hat innerhalb der letzten 24 Stunden die Kriterien für einen periodischen Job erfüllt. Darüber hinaus lautet der Status von mindestens einem dieser Jobs nicht *Storniert*. Macie aktualisiert diese Daten täglich.
Wenn das Warnsymbol (![\[The warning icon, which is a red triangle that has an exclamation point in it.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/icon-warning-red.png)) neben dem Namen eines Buckets erscheint, darf Macie nicht auf den Bucket oder die Objekte des Buckets zugreifen. Das bedeutet, dass der Job keine Objekte im Bucket analysieren kann. Um das Problem zu untersuchen, überprüfen Sie die Richtlinien- und Berechtigungseinstellungen des Buckets in Amazon S3. Beispielsweise könnte der Bucket eine restriktive Bucket-Richtlinie haben. Weitere Informationen finden Sie unter [Macie darf auf S3-Buckets und -Objekte zugreifen](monitoring-restrictive-s3-buckets.md).
Um die Bucket-Kriterien für den Job zu verfeinern, verwenden Sie die Filteroptionen, um Bedingungen zu den Kriterien hinzuzufügen, zu ändern oder zu entfernen. Macie aktualisiert dann die Tabelle, um Ihre Änderungen widerzuspiegeln.
## Tiefe der Probenahme
Mit dieser Option geben Sie den Prozentsatz der in Frage kommenden S3-Objekte an, die von einem Discovery-Job für sensible Daten analysiert werden sollen. In Frage kommende Objekte sind Objekte, die: eine [unterstützte Amazon S3 S3-Speicherklasse](discovery-supported-storage.md#discovery-supported-s3-classes) verwenden, eine Dateinamenerweiterung für ein [unterstütztes Datei- oder Speicherformat](discovery-supported-storage.md#discovery-supported-formats) haben und andere Kriterien erfüllen, die Sie für den Job angeben.
Wenn dieser Wert unter 100% liegt, wählt Macie nach dem Zufallsprinzip geeignete Objekte für die Analyse bis zum angegebenen Prozentsatz aus und analysiert alle Daten in diesen Objekten. Wenn Sie beispielsweise einen Job für die Analyse von 10.000 Objekten konfigurieren und eine Stichprobentiefe von 20% angeben, analysiert Macie ungefähr 2.000 zufällig ausgewählte, geeignete Objekte, wenn der Job ausgeführt wird.
Durch die Reduzierung der Stichprobentiefe eines Jobs können die Kosten gesenkt und die Dauer eines Jobs verkürzt werden. Dies ist hilfreich in Fällen, in denen die Daten in Objekten sehr konsistent sind und Sie feststellen möchten, ob nicht jedes Objekt, sondern ein S3-Bucket sensible Daten speichert.
Beachten Sie, dass diese Option den Prozentsatz der analysierten *Objekte* steuert, nicht den Prozentsatz der analysierten *Byte*. Wenn Sie eine Stichprobentiefe von weniger als 100% eingeben, analysiert Macie alle Daten in jedem ausgewählten Objekt, nicht den Prozentsatz der Daten in jedem ausgewählten Objekt.
## Erster Lauf: Bestehende S3-Objekte einbeziehen
Sie können Aufgaben zur Erkennung sensibler Daten verwenden, um eine fortlaufende, inkrementelle Analyse von Objekten in S3-Buckets durchzuführen. Wenn Sie einen Job so konfigurieren, dass er regelmäßig ausgeführt wird, erledigt Macie dies automatisch für Sie. Bei jedem Lauf werden nur die Objekte analysiert, die nach dem vorherigen Lauf erstellt oder geändert wurden. Mit der Option **Bestehende Objekte einbeziehen** wählen Sie den Startpunkt für das erste Inkrement:
+ Um alle vorhandenen Objekte unmittelbar nach Abschluss der Erstellung des Jobs zu analysieren, aktivieren Sie das Kontrollkästchen für diese Option.
+ Um zu warten und nur die Objekte zu analysieren, die nach der Erstellung des Jobs und vor der ersten Ausführung erstellt oder geändert wurden, deaktivieren Sie das Kontrollkästchen für diese Option.
Das Deaktivieren dieses Kästchens ist in Fällen hilfreich, in denen Sie die Daten bereits analysiert haben und sie regelmäßig weiter analysieren möchten. Wenn Sie beispielsweise zuvor einen anderen Dienst oder eine andere Anwendung zum Klassifizieren von Daten verwendet haben und seit Kurzem Macie verwenden, können Sie diese Option verwenden, um sicherzustellen, dass Ihre Daten kontinuierlich erkannt und klassifiziert werden, ohne dass Ihnen unnötige Kosten entstehen oder Klassifizierungsdaten dupliziert werden.
Bei jeder nachfolgenden Ausführung eines periodischen Jobs werden automatisch nur die Objekte analysiert, die nach der vorherigen Ausführung erstellt oder geändert wurden.
Sowohl für periodische als auch für einmalige Jobs können Sie einen Job auch so konfigurieren, dass nur die Objekte analysiert werden, die vor oder nach einer bestimmten Zeit oder in einem bestimmten Zeitraum erstellt oder geändert wurden. Fügen Sie dazu Objektkriterien hinzu, die das Datum der letzten Änderung für Objekte verwenden.
## S3-Objektkriterien
Um den Umfang eines Discovery-Jobs für sensible Daten zu optimieren, können Sie benutzerdefinierte Kriterien für S3-Objekte definieren. Macie verwendet diese Kriterien, um zu bestimmen, welche Objekte analysiert (*eingeschlossen*) oder übersprungen (*ausgeschlossen*) werden sollen, wenn der Job ausgeführt wird. Die Kriterien bestehen aus einer oder mehreren Bedingungen, die sich aus den Eigenschaften von S3-Objekten ergeben. Die Bedingungen gelten für Objekte in allen S3-Buckets, die in der Analyse enthalten sind. Wenn ein Bucket mehrere Versionen eines Objekts speichert, gelten die Bedingungen für die neueste Version des Objekts.
Wenn Sie mehrere Bedingungen als Objektkriterien definieren, verwendet Macie die UND-Logik, um die Bedingungen zu verknüpfen. Außerdem haben Ausschlussbedingungen Vorrang vor Einschlussbedingungen. Wenn Sie beispielsweise Objekte mit der Dateinamenerweiterung PDF einbeziehen und Objekte ausschließen, die größer als 5 MB sind, analysiert der Job jedes Objekt mit der Dateinamenerweiterung PDF, sofern das Objekt nicht größer als 5 MB ist.
Sie können Bedingungen definieren, die sich aus einer der folgenden Eigenschaften von S3-Objekten ableiten.
**Dateinamenerweiterung**
Dies entspricht der Dateinamenerweiterung eines S3-Objekts. Sie können diese Art von Bedingung verwenden, um Objekte basierend auf dem Dateityp ein- oder auszuschließen. Um dies für mehrere Dateitypen zu tun, geben Sie die Dateinamenerweiterung für jeden Typ ein und trennen Sie jeden Eintrag durch ein Komma, zum Beispiel:. **docx,pdf,xlsx** Wenn Sie mehrere Dateinamenerweiterungen als Werte für eine Bedingung eingeben, verwendet Macie die OR-Logik, um die Werte zu verknüpfen.
Beachten Sie, dass bei Werten zwischen Groß- und Kleinschreibung unterschieden wird. Darüber hinaus unterstützt Macie die Verwendung von Teilwerten oder Platzhalterzeichen in dieser Art von Bedingung nicht.
Hinweise zu den Dateitypen, die Macie analysieren kann, finden Sie unter. [Unterstützte Datei- und Speicherformate](discovery-supported-storage.md#discovery-supported-formats)
**Zuletzt geändert**
Dies entspricht dem Feld **Letzte Änderung** in Amazon S3. In Amazon S3 speichert dieses Feld Datum und Uhrzeit der Erstellung oder letzten Änderung eines S3-Objekts, je nachdem, welcher Zeitpunkt zuletzt ist.
Bei einem Discovery-Job für sensible Daten kann es sich bei dieser Bedingung um ein bestimmtes Datum, ein bestimmtes Datum und eine bestimmte Uhrzeit oder um einen exklusiven Zeitraum handeln:
+ Um Objekte zu analysieren, die nach einem bestimmten Datum oder Datum und Uhrzeit zuletzt geändert wurden, geben Sie die Werte in die Felder **Von** ein.
+ Um Objekte zu analysieren, die vor einem bestimmten Datum oder Datum und Uhrzeit zuletzt geändert wurden, geben Sie die Werte in die Felder **Bis** ein.
+ Um Objekte zu analysieren, die in einem bestimmten Zeitraum zuletzt geändert wurden, verwenden Sie die Felder **Von**, um die Werte für das erste Datum oder Datum und die erste Uhrzeit im Zeitraum einzugeben. **Verwenden Sie die Felder Bis, um die Werte für das letzte Datum oder Datum und die letzte Uhrzeit im Zeitraum einzugeben.**
+ Um Objekte zu analysieren, die zu einem beliebigen Zeitpunkt an einem bestimmten Tag zuletzt geändert wurden, geben Sie das Datum in das Feld **Startdatum** ein. Geben Sie das Datum für den nächsten Tag in das Feld **Bis** ein. Vergewissern Sie sich dann, dass beide Zeitfelder leer sind. (Macie behandelt ein leeres Zeitfeld als`00:00:00`.) **Um beispielsweise Objekte zu analysieren, die sich am 9. August 2023 geändert haben, geben Sie **2023/08/09** in das Feld Startdatum und **2023/08/10** in das Feld **Bis** Datum ein, und geben Sie in keinem der beiden Zeitfelder einen Wert ein.**
Geben Sie beliebige Zeitwerte in der koordinierten Weltzeit (UTC) ein und verwenden Sie die 24-Stunden-Notation.
**Präfix**
Dies entspricht dem **Schlüsselfeld** in Amazon S3. In Amazon S3 speichert dieses Feld den Namen eines S3-Objekts, einschließlich des Präfixes des Objekts. Ein *Präfix* ähnelt einem Verzeichnispfad innerhalb eines Buckets. Es ermöglicht Ihnen, ähnliche Objekte in einem Bucket zu gruppieren, ähnlich wie Sie ähnliche Dateien zusammen in einem Ordner auf einem Dateisystem speichern könnten. Informationen zu Objektpräfixen und Ordnern in Amazon S3 finden Sie unter [Organisieren von Objekten in der Amazon S3 S3-Konsole mithilfe von Ordnern](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-folders.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.
Sie können diese Art von Bedingung verwenden, um Objekte ein- oder auszuschließen, deren Schlüssel (Namen) mit einem bestimmten Wert beginnen. Um beispielsweise alle Objekte auszuschließen, deren Schlüssel mit 1 beginnt *AWSLogs*, geben Sie **AWSLogs** als Wert für eine **Präfix-Bedingung** ein und wählen Sie dann **Ausschließen**.
Wenn Sie mehrere Präfixe als Werte für eine Bedingung eingeben, verwendet Macie die OR-Logik, um die Werte zu verknüpfen. Wenn Sie beispielsweise **AWSLogs1** und **AWSLogs2** als Werte für eine Bedingung eingeben, ist das jedes Objekt, dessen Schlüssel mit den Kriterien der Bedingung beginnt *AWSLogs1*oder den *AWSLogs2*Kriterien der Bedingung entspricht.
Wenn Sie einen Wert für eine **Präfix-Bedingung** eingeben, sollten Sie Folgendes beachten:
+ Bei Werten wird zwischen Groß- und Kleinschreibung unterschieden.
+ Macie unterstützt die Verwendung von Platzhalterzeichen in diesen Werten nicht.
+ In Amazon S3 enthält der Schlüssel eines Objekts nicht den Namen des Buckets, in dem das Objekt gespeichert ist. Geben Sie aus diesem Grund in diesen Werten keine Bucket-Namen an.
+ Wenn ein Präfix ein Trennzeichen enthält, nehmen Sie das Trennzeichen in den Wert auf. *Geben Sie beispielsweise ein, **AWSLogs/eventlogs** um eine Bedingung für alle Objekte zu definieren, deren Schlüssel mit /eventlogs beginnt. AWSLogs* Macie unterstützt das standardmäßige Amazon S3 S3-Trennzeichen, das ein Schrägstrich (/) ist, und benutzerdefinierte Trennzeichen.
Beachten Sie auch, dass ein Objekt nur dann den Kriterien einer Bedingung entspricht, wenn der Schlüssel des Objekts genau dem von Ihnen eingegebenen Wert entspricht, beginnend mit dem ersten Zeichen im Objektschlüssel. Darüber hinaus wendet Macie eine Bedingung auf den kompletten **Schlüsselwert** für ein Objekt an, einschließlich des Dateinamens des Objekts.
Lautet der Schlüssel eines Objekts beispielsweise *AWSLogs/eventlogs/testlog.csv* und Sie geben einen der folgenden Werte für eine Bedingung ein, entspricht das Objekt den Kriterien der Bedingung:
+ **AWSLogs**
+ **AWSLogs/event**
+ **AWSLogs/eventlogs/**
+ **AWSLogs/eventlogs/testlog**
+ **AWSLogs/eventlogs/testlog.csv**
*Wenn Sie jedoch eingeben**eventlogs**, entspricht das Objekt nicht den Kriterien — der Wert der Bedingung enthält nicht den ersten Teil des Schlüssels,/. AWSLogs* Ebenso entspricht das Objekt bei der Eingabe **awslogs** aufgrund von Unterschieden in der Groß- und Kleinschreibung nicht den Kriterien.
**Größe des Speichers**
Dies entspricht dem Feld **Größe** in Amazon S3. In Amazon S3 gibt dieses Feld die Gesamtspeichergröße eines S3-Objekts an. Wenn es sich bei einem Objekt um eine komprimierte Datei handelt, spiegelt dieser Wert nicht die tatsächliche Größe der Datei nach der Dekomprimierung wider.
Sie können diese Art von Bedingung verwenden, um Objekte ein- oder auszuschließen, die kleiner als eine bestimmte Größe sind, größer als eine bestimmte Größe sind oder in einen bestimmten Größenbereich fallen. Macie wendet diese Art von Bedingung auf alle Objekttypen an, einschließlich komprimierter Dateien oder Archivdateien und der darin enthaltenen Dateien. Informationen zu größenabhängigen Einschränkungen für jedes unterstützte Format finden Sie unter. [Kontingente für Macie](macie-quotas.md)
**Tags**
Die Tags, die einem S3-Objekt zugeordnet sind. Tags sind Beschriftungen, die Sie definieren und bestimmten Ressourcentypen AWS , einschließlich S3-Objekten, zuweisen können. Jedes Tag besteht aus einem erforderlichen Tag-Schlüssel und einem optionalen Tag-Wert. Informationen zum Taggen von S3-Objekten finden Sie unter [Kategorisieren Ihres Speichers mithilfe von Tags](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-tagging.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.
Für einen Job zur Erkennung sensibler Daten können Sie diese Art von Bedingung verwenden, um Objekte mit einem bestimmten Tag ein- oder auszuschließen. Dabei kann es sich um einen bestimmten Tag-Schlüssel oder um einen bestimmten Tag-Schlüssel und Tag-Wert (als Paar) handeln. Wenn Sie mehrere Tags als Werte für eine Bedingung angeben, verwendet Macie die OR-Logik, um die Werte zu verknüpfen. Wenn Sie beispielsweise **Project1** und **Project2** als Tag-Schlüssel für eine Bedingung angeben, entspricht jedes Objekt, das den Tag-Schlüssel *Project1* oder *Project2* besitzt, den Kriterien der Bedingung.
Beachten Sie, dass bei Tag-Schlüsseln und -Werten zwischen Groß- und Kleinschreibung unterschieden wird. Außerdem unterstützt Macie die Verwendung von Teilwerten oder Platzhalterzeichen in dieser Art von Bedingung nicht.
# Erstellen einer Aufgabe zur Erkennung vertraulicher Daten
Mit Amazon Macie können Sie Discovery-Jobs für sensible Daten erstellen und ausführen, um die Erkennung, Protokollierung und Berichterstattung sensibler Daten in Allzweck-Buckets von Amazon Simple Storage Service (Amazon S3) zu automatisieren. Ein *Discovery-Job für sensible Daten* ist eine Reihe automatisierter Verarbeitungs- und Analyseaufgaben, die Macie ausführt, um sensible Daten in Amazon S3 S3-Objekten zu erkennen und zu melden. Im weiteren Verlauf der Analyse erstellt Macie detaillierte Berichte über die gefundenen sensiblen Daten und die durchgeführten Analysen: *Ergebnisse sensibler Daten, bei denen sensible Daten* gemeldet werden, die Macie in einzelnen S3-Objekten findet, und *Ergebnisse der Erkennung sensibler Daten*, in denen Details zur Analyse einzelner S3-Objekte protokolliert werden. Weitere Informationen finden Sie unter [Überprüfung der Arbeitsergebnisse](discovery-jobs-manage-results.md).
Wenn Sie einen Job erstellen, geben Sie zunächst an, welche S3-Buckets Objekte speichern, die Macie analysieren soll, wenn der Job ausgeführt wird — spezifische Buckets, die Sie auswählen, oder Buckets, die bestimmten Kriterien entsprechen. Anschließend geben Sie an, wie oft der Job ausgeführt werden soll — einmal oder regelmäßig auf täglicher, wöchentlicher oder monatlicher Basis. Sie können auch Optionen wählen, um den Umfang der Analyse des Jobs zu verfeinern. Zu den Optionen gehören benutzerdefinierte Kriterien, die sich aus den Eigenschaften von S3-Objekten ableiten, wie z. B. Tags, Präfixe und wann ein Objekt zuletzt geändert wurde.
Nachdem Sie den Zeitplan und den Umfang des Jobs definiert haben, geben Sie an, welche verwalteten Datenkennungen und benutzerdefinierten Datenbezeichner verwendet werden sollen:
+ Ein *verwalteter Datenbezeichner* besteht aus einer Reihe integrierter Kriterien und Techniken, mit denen ein bestimmter Typ vertraulicher Daten erkannt werden kann, z. B. Kreditkartennummern, AWS geheime Zugangsschlüssel oder Passnummern für ein bestimmtes Land oder eine bestimmte Region. Diese Identifikatoren können eine große und ständig wachsende Liste sensibler Datentypen für viele Länder und Regionen erkennen, darunter mehrere Arten von Anmeldedaten, Finanzinformationen und personenbezogenen Daten (PII). Weitere Informationen finden Sie unter [Verwenden von verwalteten Datenbezeichnern](managed-data-identifiers.md).
+ Ein *benutzerdefinierter Datenbezeichner* besteht aus einer Reihe von Kriterien, die Sie zur Erkennung vertraulicher Daten definieren. Mithilfe benutzerdefinierter Datenkennungen können Sie sensible Daten erkennen, die bestimmte Szenarien, geistiges Eigentum oder geschützte Daten Ihres Unternehmens widerspiegeln, z. B. Mitarbeiter- IDs, Kundenkontonummern oder interne Datenklassifizierungen. Sie können die von Macie bereitgestellten verwalteten Datenkennungen ergänzen. Weitere Informationen finden Sie unter [Erstellen von benutzerdefinierten Datenbezeichnern](custom-data-identifiers.md).
Anschließend wählen Sie optional die Verwendung von Zulassungslisten aus. In Macie gibt eine *Zulassungsliste* Text oder ein Textmuster an, das ignoriert werden soll. Dabei handelt es sich in der Regel um Ausnahmen für sensible Daten für Ihre speziellen Szenarien oder Umgebungen, z. B. öffentliche Namen oder Telefonnummern für Ihre Organisation oder Beispieldaten, die Ihre Organisation für Tests verwendet. Weitere Informationen finden Sie unter [Definition von Ausnahmen für sensible Daten mit Zulassungslisten](allow-lists.md).
Wenn Sie mit der Auswahl dieser Optionen fertig sind, können Sie allgemeine Einstellungen für den Job eingeben, z. B. den Namen und die Beschreibung des Jobs. Anschließend können Sie den Job überprüfen und speichern.
**Topics**
+ [Bevor Sie beginnen: Richten Sie wichtige Ressourcen ein](#discovery-jobs-create-prerequisites)
+ [Schritt 1: Wählen Sie S3-Buckets](#discovery-jobs-create-step1)
+ [Schritt 2: Überprüfen Sie Ihre S3-Bucket-Auswahl oder -Kriterien](#discovery-jobs-create-step2)
+ [Schritt 3: Definieren Sie den Zeitplan und verfeinern Sie den Umfang](#discovery-jobs-create-step3)
+ [Schritt 4: Wählen Sie verwaltete Datenkennungen](#discovery-jobs-create-step4)
+ [Schritt 5: Wählen Sie benutzerdefinierte Datenkennungen aus](#discovery-jobs-create-step5)
+ [Schritt 6: Wählen Sie Zulassungslisten aus](#discovery-jobs-create-step6)
+ [Schritt 7: Geben Sie die allgemeinen Einstellungen ein](#discovery-jobs-create-step7)
+ [Schritt 8: Überprüfen und erstellen](#discovery-jobs-create-step8)
## Bevor Sie beginnen: Richten Sie wichtige Ressourcen ein
Bevor Sie einen Job erstellen, sollten Sie die folgenden Schritte ausführen:
+ Stellen Sie sicher, dass Sie ein Repository für die Ergebnisse der Erkennung sensibler Daten konfiguriert haben. Wählen Sie dazu im Navigationsbereich der Amazon Macie Macie-Konsole **Discovery-Ergebnisse** aus. Weitere Informationen zu diesen Einstellungen finden Sie unter[Speicherung und Beibehaltung der Erkennungsergebnisse von vertraulichen Daten](discovery-results-repository-s3.md).
+ Erstellen Sie alle benutzerdefinierten Datenbezeichner, die der Job verwenden soll. Um zu erfahren wie dies geht, vgl. [Erstellen von benutzerdefinierten Datenbezeichnern](custom-data-identifiers.md).
+ Erstellen Sie alle Zulassungslisten, die der Job verwenden soll. Um zu erfahren wie dies geht, vgl. [Definition von Ausnahmen für sensible Daten mit Zulassungslisten](allow-lists.md).
+ Wenn Sie verschlüsselte S3-Objekte analysieren möchten, stellen Sie sicher, dass Macie auf die entsprechenden Verschlüsselungsschlüssel zugreifen und diese verwenden kann. Weitere Informationen finden Sie unter [Analysieren verschlüsselter S3-Objekte](discovery-supported-encryption-types.md).
+ Wenn Sie Objekte in einem S3-Bucket analysieren möchten, für den eine restriktive Bucket-Richtlinie gilt, stellen Sie sicher, dass Macie auf die Objekte zugreifen darf. Weitere Informationen finden Sie unter [Macie darf auf S3-Buckets und -Objekte zugreifen](monitoring-restrictive-s3-buckets.md).
Wenn Sie diese Dinge tun, bevor Sie einen Job erstellen, optimieren Sie die Erstellung des Jobs und stellen sicher, dass der Job die gewünschten Daten analysieren kann.
## Schritt 1: Wählen Sie S3-Buckets
Wenn Sie einen Job erstellen, müssen Sie zunächst angeben, in welchen S3-Buckets Objekte gespeichert werden, die Macie analysieren soll, wenn der Job ausgeführt wird. Für diesen Schritt haben Sie zwei Optionen:
+ **Wählen Sie bestimmte Buckets** aus — Mit dieser Option wählen Sie explizit jeden S3-Bucket aus, der analysiert werden soll. Wenn der Job dann ausgeführt wird, analysiert Macie nur Objekte in den von Ihnen ausgewählten Buckets.
+ **Bucket-Kriterien angeben** — Mit dieser Option definieren Sie Laufzeitkriterien, die bestimmen, welche S3-Buckets analysiert werden sollen. Die Kriterien bestehen aus einer oder mehreren Bedingungen, die sich aus Bucket-Eigenschaften ergeben. Wenn der Job dann ausgeführt wird, identifiziert Macie Buckets, die Ihren Kriterien entsprechen, und analysiert Objekte in diesen Buckets.
Weitere Informationen zu diesen Optionen finden Sie unter [Bereichsoptionen für Aufgaben](discovery-jobs-scope.md).
Die folgenden Abschnitte enthalten Anweisungen zur Auswahl und Konfiguration der einzelnen Optionen. Wählen Sie den Abschnitt für die gewünschte Option aus.
### Wählen Sie bestimmte Buckets aus
Wenn Sie jeden zu analysierenden S3-Bucket explizit auswählen, stellt Macie Ihnen eine Bestandsaufnahme Ihrer aktuellen Allzweck-Buckets zur Verfügung. AWS-Region Sie können dieses Inventar dann verwenden, um einen oder mehrere Buckets für den Job auszuwählen. Weitere Informationen zu diesem Inventar finden Sie unter[Auswahl bestimmter S3-Buckets](discovery-jobs-scope.md#discovery-jobs-scope-buckets-select).
Wenn Sie der Macie-Administrator einer Organisation sind, umfasst das Inventar Buckets, die Mitgliedskonten in Ihrer Organisation gehören. Sie können bis zu 1.000 dieser Buckets auswählen, die sich über bis zu 1.000 Konten erstrecken.
**Um bestimmte S3-Buckets für den Job auszuwählen**
1. Öffnen Sie die Amazon Macie Macie-Konsole unter [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/).
1. Wählen Sie im Navigationsbereich die Option **Jobs (Aufträge)** aus.
1. Wählen Sie **Job erstellen** aus.
1. **Wählen Sie auf der Seite S3-Buckets** auswählen die **Option Bestimmte Buckets auswählen aus**. Macie zeigt eine Tabelle mit allen Allzweck-Buckets für Ihr Konto in der aktuellen Region an.
1. **Wählen Sie im Abschnitt S3-Buckets** auswählen optional refresh (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/btn-refresh-data.png)), um die neuesten Bucket-Metadaten von Amazon S3 abzurufen.
Wenn das Informationssymbol (![\[The information icon, which is a blue circle that has a lowercase letter i in it.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/icon-info-blue.png)) neben Bucket-Namen angezeigt wird, empfehlen wir Ihnen, dies zu tun. Dieses Symbol weist darauf hin, dass in den letzten 24 Stunden ein Bucket erstellt wurde, möglicherweise nachdem Macie im Rahmen des [täglichen Aktualisierungszyklus](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh) zuletzt Bucket- und Objektmetadaten von Amazon S3 abgerufen hat.
1. Aktivieren Sie in der Tabelle das Kontrollkästchen für jeden Bucket, den der Job analysieren soll.
**Tipp**
Um bestimmte Buckets einfacher zu finden, geben Sie Filterkriterien in das Filterfeld über der Tabelle ein. Sie können die Tabelle auch sortieren, indem Sie eine Spaltenüberschrift auswählen.
Informationen darüber, ob Sie bereits einen Job für die regelmäßige Analyse von Objekten in einem Bucket konfiguriert haben, finden Sie im Feld **Überwacht durch Job**. Wenn in einem Feld **Ja** angezeigt wird, ist der Bucket explizit in einem periodischen Job enthalten oder der Bucket hat innerhalb der letzten 24 Stunden die Kriterien für einen periodischen Job erfüllt. Darüber hinaus lautet der Status von mindestens einem dieser Jobs nicht *Storniert*. Macie aktualisiert diese Daten täglich.
Informationen darüber, wann ein vorhandener periodischer oder einmaliger Job zuletzt Objekte in einem Bucket analysiert hat, finden Sie im Feld **Letzte Auftragsausführung**. Weitere Informationen zu diesem Job finden Sie in den Details des Buckets.
Um die Details eines Buckets anzuzeigen, wählen Sie den Namen des Buckets aus. Zusätzlich zu den auftragsbezogenen Informationen bietet das Detailfenster Statistiken und andere Informationen über den Bucket, z. B. die Einstellungen für den öffentlichen Zugriff des Buckets. Weitere Informationen zu diesen Daten finden Sie unter[Überprüfen Sie Ihr S3-Bucket-Inventar](monitoring-s3-inventory-review.md).
1. Wenn Sie mit der Auswahl der Buckets fertig sind, wählen Sie **Weiter**.
Im nächsten Schritt überprüfen und verifizieren Sie Ihre Auswahl.
### Geben Sie Bucket-Kriterien an
Wenn Sie Laufzeitkriterien angeben, die bestimmen, welche S3-Buckets analysiert werden sollen, bietet Macie Optionen, die Sie bei der Auswahl von Feldern, Operatoren und Werten für einzelne Bedingungen in den Kriterien unterstützen. Weitere Informationen zu diesen Optionen finden Sie unter [Angabe von S3-Bucket-Kriterien](discovery-jobs-scope.md#discovery-jobs-scope-buckets-criteria).
**Um S3-Bucket-Kriterien für den Job anzugeben**
1. Öffnen Sie die Amazon Macie Macie-Konsole unter [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/).
1. Wählen Sie im Navigationsbereich die Option **Jobs (Aufträge)** aus.
1. Wählen Sie **Job erstellen** aus.
1. **Wählen Sie auf der Seite S3-Buckets** auswählen die Option **Bucket-Kriterien angeben** aus.
1. Gehen **Sie unter Bucket-Kriterien angeben** wie folgt vor, um den Kriterien eine Bedingung hinzuzufügen:
1. Platzieren Sie den Cursor in dem Filterfeld und wählen Sie dann die Bucket-Eigenschaft aus, die für die Bedingung verwendet werden soll.
1. Wählen Sie im ersten Feld einen Operator für die Bedingung aus: **Gleich** oder **Nicht gleich**.
1. Geben Sie im nächsten Feld einen oder mehrere Werte für die Eigenschaft ein.
Je nach Typ und Art der Bucket-Eigenschaft zeigt Macie verschiedene Optionen für die Eingabe von Werten an. Wenn Sie beispielsweise die Eigenschaft **Effektive Berechtigung** wählen, zeigt Macie eine Liste mit Werten an, aus denen Sie wählen können. Wenn Sie die Eigenschaft **Account-ID** wählen, zeigt Macie ein Textfeld an, in das Sie einen oder mehrere eingeben können. AWS-Konto IDs Um mehrere Werte in ein Textfeld einzugeben, geben Sie jeden Wert ein und trennen Sie jeden Eintrag durch ein Komma.
1. Wählen Sie **Anwenden** aus. Macie fügt die Bedingung hinzu und zeigt sie unter dem Filterfeld an.
Standardmäßig fügt Macie die Bedingung mit einer Include-Anweisung hinzu. Das bedeutet, dass der Job so konfiguriert ist, dass Objekte in Buckets analysiert (*eingeschlossen*) werden, die der Bedingung entsprechen. **Um Buckets zu überspringen (*auszuschließen*), die der Bedingung entsprechen, wählen Sie **Include** für die Bedingung und dann Exclude aus.**
1. Wiederholen Sie die vorherigen Schritte für jede weitere Bedingung, die Sie zu den Kriterien hinzufügen möchten.
1. Um Ihre Kriterien zu testen, erweitern Sie den Abschnitt **Vorschau der Kriterienergebnisse** anzeigen. In diesem Abschnitt wird eine Tabelle mit bis zu 25 Allzweck-Buckets angezeigt, die derzeit den Kriterien entsprechen.
1. Gehen Sie wie folgt vor, um Ihre Kriterien zu verfeinern:
+ Um eine Bedingung zu entfernen, wählen Sie **X** für die Bedingung.
+ Um eine Bedingung zu ändern, entfernen Sie die Bedingung, indem Sie **X** für die Bedingung wählen. Fügen Sie dann eine Bedingung hinzu, die die richtigen Einstellungen hat.
+ Um alle Bedingungen zu entfernen, wählen Sie **Filter löschen**.
Macie aktualisiert die Tabelle mit den Kriterienergebnissen, um Ihre Änderungen widerzuspiegeln.
1. Wenn Sie mit der Angabe der Bucket-Kriterien fertig sind, wählen Sie **Weiter**.
Im nächsten Schritt überprüfen und verifizieren Sie Ihre Kriterien.
## Schritt 2: Überprüfen Sie Ihre S3-Bucket-Auswahl oder -Kriterien
Stellen Sie für diesen Schritt sicher, dass Sie im vorherigen Schritt die richtigen Einstellungen ausgewählt haben:
+ **Überprüfen Sie Ihre Bucket-Auswahl** — Wenn Sie bestimmte S3-Buckets für den Job ausgewählt haben, überprüfen Sie die Bucket-Tabelle und ändern Sie Ihre Bucket-Auswahl nach Bedarf. Die Tabelle gibt Aufschluss über den voraussichtlichen Umfang und die Kosten der Auftragsanalyse. Die Daten basieren auf der Größe und Art der Objekte, die derzeit in einem Bucket gespeichert sind.
In der Tabelle gibt das Feld **Geschätzte Kosten** die geschätzten Gesamtkosten (in US-Dollar) für die Analyse von Objekten in einem S3-Bucket an. Jede Schätzung spiegelt die voraussichtliche Menge an unkomprimierten Daten wider, die der Job in einem Bucket analysieren wird. Handelt es sich bei Objekten um komprimierte Dateien oder Archivdateien, geht die Schätzung davon aus, dass die Dateien ein Komprimierungsverhältnis von 3:1 verwenden und der Job alle extrahierten Dateien analysieren kann. Weitere Informationen finden Sie unter [Prognose und Überwachung der Auftragskosten](discovery-jobs-costs.md).
+ **Überprüfen Sie Ihre Bucket-Kriterien** — Wenn Sie Bucket-Kriterien für den Job angegeben haben, überprüfen Sie jede Bedingung in den Kriterien. Um die Kriterien zu ändern, wählen Sie **Zurück** und verwenden Sie dann die Filteroptionen des vorherigen Schritts, um die richtigen Kriterien einzugeben. Wenn Sie fertig sind, wählen Sie **Next (Weiter)** aus.
Wenn Sie mit der Überprüfung und Überprüfung der Einstellungen fertig sind, wählen Sie **Weiter**.
## Schritt 3: Definieren Sie den Zeitplan und verfeinern Sie den Umfang
Geben Sie für diesen Schritt an, wie oft der Job ausgeführt werden soll — einmalig oder regelmäßig täglich, wöchentlich oder monatlich. Wählen Sie außerdem verschiedene Optionen, um den Umfang der Jobanalyse zu verfeinern. Weitere Informationen zu diesen Optionen finden Sie unter[Bereichsoptionen für Aufgaben](discovery-jobs-scope.md).
**Um den Zeitplan zu definieren und den Umfang des Auftrags zu verfeinern**
1. Geben Sie auf **der Seite Umfang verfeinern** an, wie oft der Job ausgeführt werden soll:
+ Wenn der Job nur einmal ausgeführt werden soll, unmittelbar nachdem Sie ihn erstellt haben, wählen Sie **Einmaliger Job**.
+ Um den Job regelmäßig und wiederkehrend auszuführen, wählen Sie **Geplanter Job**. Wählen Sie unter **Aktualisierungshäufigkeit** aus, ob der Job täglich, wöchentlich oder monatlich ausgeführt werden soll. Verwenden Sie dann die Option **Bestehende Objekte einbeziehen**, um den Umfang der ersten Ausführung des Jobs zu definieren:
+ Aktivieren Sie dieses Kontrollkästchen, um alle vorhandenen Objekte unmittelbar nach Abschluss der Auftragserstellung zu analysieren. Bei jedem nachfolgenden Lauf werden nur die Objekte analysiert, die nach dem vorherigen Lauf erstellt oder geändert wurden.
+ Deaktivieren Sie dieses Kontrollkästchen, um die Analyse aller vorhandenen Objekte zu überspringen. Bei der ersten Ausführung des Jobs werden nur die Objekte analysiert, die erstellt oder geändert wurden, nachdem Sie die Erstellung des Jobs abgeschlossen haben und bevor der erste Lauf gestartet wird. Bei jedem nachfolgenden Lauf werden nur die Objekte analysiert, die nach dem vorherigen Lauf erstellt oder geändert wurden.
Das Deaktivieren dieses Kästchens ist in Fällen hilfreich, in denen Sie die Daten bereits analysiert haben und sie weiterhin regelmäßig analysieren möchten. Wenn Sie beispielsweise zuvor einen anderen Dienst oder eine andere Anwendung zum Klassifizieren von Daten verwendet haben und seit Kurzem Macie verwenden, können Sie diese Option verwenden, um sicherzustellen, dass Ihre Daten kontinuierlich erkannt und klassifiziert werden, ohne dass Ihnen unnötige Kosten entstehen oder Klassifizierungsdaten dupliziert werden.
1. **(Optional) Um den Prozentsatz der Objekte anzugeben, die der Job analysieren soll, geben Sie den Prozentsatz in das Feld Stichprobentiefe ein.**
Wenn dieser Wert unter 100% liegt, wählt Macie die zu analysierenden Objekte nach dem Zufallsprinzip bis zum angegebenen Prozentsatz aus und analysiert alle Daten in diesen Objekten. Der Standardwert ist 100%.
1. (Optional) Um spezifische Kriterien hinzuzufügen, die bestimmen, welche S3-Objekte in die Analyse des Jobs aufgenommen oder ausgeschlossen werden, erweitern Sie den Abschnitt **Zusätzliche Einstellungen** und geben Sie dann die Kriterien ein. Diese Kriterien bestehen aus einzelnen Bedingungen, die sich aus den Eigenschaften von Objekten ergeben:
+ Um Objekte zu analysieren (*einzubeziehen*), die eine bestimmte Bedingung erfüllen, geben Sie den Bedingungstyp und den Wert ein, und wählen Sie dann **Einschließen** aus.
+ Um Objekte zu überspringen (*auszuschließen*), die eine bestimmte Bedingung erfüllen, geben Sie den Bedingungstyp und den Wert ein und wählen Sie dann **Ausschließen aus**.
Wiederholen Sie diesen Schritt für jede gewünschte Ein- oder Ausschlussbedingung.
Wenn Sie mehrere Bedingungen eingeben, haben alle Ausschlussbedingungen Vorrang vor Einschlussbedingungen. Wenn Sie beispielsweise Objekte mit der Dateinamenerweiterung PDF einbeziehen und Objekte ausschließen, die größer als 5 MB sind, analysiert der Job jedes Objekt mit der Dateinamenerweiterung PDF, sofern das Objekt nicht größer als 5 MB ist.
1. Wenn Sie fertig sind, wählen Sie **Next (Weiter)** aus.
## Schritt 4: Wählen Sie verwaltete Datenkennungen
Geben Sie für diesen Schritt an, welche verwalteten Datenkennungen der Job bei der Analyse von S3-Objekten verwenden soll. Sie haben zwei Optionen:
+ **Empfohlene Einstellungen verwenden** — Mit dieser Option analysiert der Job S3-Objekte anhand der verwalteten Datenbezeichner, die wir für Jobs empfehlen. Dieses Set dient zur Erkennung gängiger Kategorien und Typen vertraulicher Daten. Eine Liste der verwalteten Datenbezeichner, die derzeit in der Gruppe enthalten sind, finden Sie unter[Verwaltete Datenkennungen werden für Jobs empfohlen](discovery-jobs-mdis-recommended.md). Wir aktualisieren diese Liste jedes Mal, wenn wir einen verwalteten Datenbezeichner hinzufügen oder daraus entfernen.
+ **Benutzerdefinierte Einstellungen verwenden** — Bei dieser Option analysiert der Job S3-Objekte mithilfe von ausgewählten verwalteten Datenkennungen. Dies können alle oder nur einige der derzeit verfügbaren verwalteten Datenkennungen sein. Sie können den Job auch so konfigurieren, dass er keine verwalteten Datenkennungen verwendet. Der Job kann stattdessen nur benutzerdefinierte Datenbezeichner verwenden, die Sie im nächsten Schritt auswählen. Eine Liste der derzeit verfügbaren verwalteten Datenkennungen finden Sie unter. [Kurzübersicht: Verwaltete Datenkennungen nach Typ](mdis-reference-quick.md) Wir aktualisieren diese Liste jedes Mal, wenn wir einen neuen Identifier für verwaltete Daten veröffentlichen.
Wenn Sie sich für eine der Optionen entscheiden, zeigt Macie eine Tabelle mit verwalteten Datenkennungen an. In der Tabelle gibt das Feld **Sensibler Datentyp** den eindeutigen Bezeichner (ID) für einen verwalteten Datenbezeichner an. **Diese ID beschreibt den Typ vertraulicher Daten, die der verwaltete Datenbezeichner erkennen soll, zum Beispiel: **USA\$1PASSPORT\$1NUMBER für US-Passnummern, CREDIT\$1CARD\$1NUMBER** für Kreditkartennummern und **PGP\$1PRIVATE\$1KEY für private** PGP-Schlüssel.** Um bestimmte Identifikatoren schneller zu finden, können Sie die Tabelle nach Kategorie oder Typ vertraulicher Daten sortieren und filtern.
**Um verwaltete Datenkennungen für den Job auszuwählen**
1. Führen Sie auf der Seite **Verwaltete Datenkennungen auswählen** unter **Optionen für verwaltete Datenbezeichner** eine der folgenden Aktionen aus:
+ **Um den Satz verwalteter Datenbezeichner zu verwenden, den wir für Jobs empfehlen, wählen Sie Empfohlen aus.**
Wenn Sie diese Option wählen und den Job so konfiguriert haben, dass er mehr als einmal ausgeführt wird, verwendet jeder Lauf automatisch alle verwalteten Datenbezeichner, die zu Beginn der Ausführung im empfohlenen Satz enthalten sind. Dazu gehören auch neue Kennungen für verwaltete Daten, die wir veröffentlichen und dem Satz hinzufügen. Davon ausgenommen sind verwaltete Datenkennungen, die wir aus dem Set entfernen und die wir nicht mehr für Jobs empfehlen.
+ Um nur bestimmte von Ihnen ausgewählte verwaltete Datenkennungen zu verwenden, wählen Sie **Benutzerdefiniert** und dann **Bestimmte verwaltete Datenkennungen verwenden** aus. Aktivieren Sie dann in der Tabelle das Kontrollkästchen für jede verwaltete Daten-ID, die der Job verwenden soll.
Wenn Sie diese Option wählen und den Job so konfiguriert haben, dass er mehr als einmal ausgeführt wird, verwendet jeder Lauf nur die von Ihnen ausgewählten verwalteten Datenbezeichner. Mit anderen Worten, der Job verwendet bei jeder Ausführung dieselben verwalteten Datenbezeichner.
+ Um alle verwalteten Datenkennungen zu verwenden, die Macie derzeit bereitstellt, wählen Sie **Benutzerdefiniert** und dann **Bestimmte verwaltete Datenkennungen verwenden** aus. Aktivieren Sie dann in der Tabelle das Kontrollkästchen in der Überschrift der Auswahlspalte, um alle Zeilen auszuwählen.
Wenn Sie diese Option wählen und den Job so konfiguriert haben, dass er mehr als einmal ausgeführt wird, verwendet jeder Lauf nur die von Ihnen ausgewählten verwalteten Datenkennungen. Mit anderen Worten, der Job verwendet bei jeder Ausführung dieselben verwalteten Datenbezeichner.
+ Um keine verwalteten Datenkennungen und nur benutzerdefinierte Datenkennungen zu verwenden, wählen Sie **Benutzerdefiniert** und dann **Keine verwalteten Datenkennungen verwenden** aus. Wählen Sie dann im nächsten Schritt die zu verwendenden benutzerdefinierten Datenbezeichner aus.
1. Wenn Sie fertig sind, wählen Sie **Next (Weiter)** aus.
## Schritt 5: Wählen Sie benutzerdefinierte Datenkennungen aus
Wählen Sie für diesen Schritt alle benutzerdefinierten Datenbezeichner aus, die der Job bei der Analyse von S3-Objekten verwenden soll. Der Job verwendet die ausgewählten Identifikatoren zusätzlich zu allen verwalteten Datenbezeichnern, für deren Verwendung Sie den Job konfiguriert haben. Weitere Informationen zu benutzerdefinierten Datenbezeichnern finden Sie unter. [Erstellen von benutzerdefinierten Datenbezeichnern](custom-data-identifiers.md)
**Um benutzerdefinierte Datenbezeichner für den Job auszuwählen**
1. **Aktivieren Sie auf der Seite Benutzerdefinierte Datenbezeichner** auswählen das Kontrollkästchen für jeden benutzerdefinierten Datenbezeichner, den der Job verwenden soll. Sie können bis zu 30 benutzerdefinierte Datenbezeichner auswählen.
**Tipp**
Um die Einstellungen für einen benutzerdefinierten Datenbezeichner zu überprüfen oder zu testen, bevor Sie ihn auswählen, wählen Sie das Linksymbol (![\[The link icon, which is a blue box that has an arrow in it.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/icon-external-link.png)) neben dem Namen des Identifikators. Macie öffnet eine Seite, auf der die Einstellungen der Kennung angezeigt werden.
Sie können diese Seite auch verwenden, um den Identifier anhand von Beispieldaten zu testen. Geben Sie dazu bis zu 1.000 Zeichen Text in das Feld **Beispieldaten** ein und wählen Sie dann **Test** aus. Macie wertet die Beispieldaten anhand der Kennung aus und meldet dann die Anzahl der Treffer.
1. **Wenn Sie mit der Auswahl der benutzerdefinierten Datenbezeichner fertig sind, wählen Sie Weiter.**
## Schritt 6: Wählen Sie Zulassungslisten aus
Wählen Sie für diesen Schritt alle Zulassungslisten aus, die der Job bei der Analyse von S3-Objekten verwenden soll. Weitere Informationen zu Zulassungslisten finden Sie unter[Definition von Ausnahmen für sensible Daten mit Zulassungslisten](allow-lists.md).
**So wählen Sie Zulassungslisten für den Job aus**
1. Aktivieren **Sie auf der Seite Zulassungslisten** auswählen das Kontrollkästchen für jede Zulassungsliste, die der Job verwenden soll. Sie können bis zu 10 Listen auswählen.
**Tipp**
Wenn Sie die Einstellungen für eine Zulassungsliste überprüfen möchten, bevor Sie sie auswählen, klicken Sie auf das Linksymbol (![\[The link icon, which is a blue box that has an arrow in it.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/icon-external-link.png)) neben dem Namen der Liste. Macie öffnet eine Seite, auf der die Einstellungen der Liste angezeigt werden.
Wenn in der Liste ein regulärer Ausdruck (*Regex*) angegeben ist, können Sie diese Seite auch verwenden, um den regulären Ausdruck mit Beispieldaten zu testen. **Geben Sie dazu bis zu 1.000 Zeichen Text in das Feld **Beispieldaten** ein, und wählen Sie dann Test aus.** Macie wertet die Beispieldaten mithilfe der Regex aus und meldet dann die Anzahl der Treffer.
1. **Wenn Sie mit der Auswahl der Zulassungslisten fertig sind, wählen Sie Weiter.**
## Schritt 7: Geben Sie die allgemeinen Einstellungen ein
Geben Sie für diesen Schritt einen Namen und optional eine Beschreibung des Jobs an. Sie können dem Job auch Tags zuweisen. Ein *Tag* ist eine Bezeichnung, die Sie definieren und bestimmten Ressourcentypen AWS zuweisen. Jedes Tag besteht aus einem erforderlichen Tag-Schlüssel und einem optionalen Tag-Wert. Mithilfe von Tags können Sie Ressourcen auf unterschiedliche Weise identifizieren, kategorisieren und verwalten, z. B. nach Zweck, Eigentümer, Umgebung oder anderen Kriterien. Weitere Informationen hierzu finden Sie unter [Macie-Ressourcen taggen](tagging-resources.md).
**Um allgemeine Einstellungen für den Job einzugeben**
1. **Geben Sie auf der Seite Allgemeine Einstellungen** eingeben einen Namen für den Job in das Feld **Jobname** ein. Der Name kann bis zu 500 Zeichen enthalten.
1. (Optional) Geben Sie **unter Stellenbeschreibung** eine kurze Beschreibung der Stelle ein. Die Beschreibung kann bis zu 200 Zeichen enthalten.
1. (Optional) Wählen Sie für **Tags** die Option **Tag hinzufügen** aus und geben Sie dann bis zu 50 Tags ein, die dem Job zugewiesen werden sollen.
1. Wenn Sie fertig sind, wählen Sie **Next (Weiter)** aus.
## Schritt 8: Überprüfen und erstellen
Überprüfen Sie für diesen letzten Schritt die Konfigurationseinstellungen des Jobs und stellen Sie sicher, dass sie korrekt sind. Dies ist ein wichtiger Schritt. Nachdem Sie einen Job erstellt haben, können Sie keine dieser Einstellungen ändern. Auf diese Weise können Sie sicherstellen, dass Sie über einen unveränderlichen Verlauf der Ergebnisse sensibler Daten und der Ergebnisse der von Ihnen durchgeführten Datenschutzprüfungen oder Untersuchungen verfügen.
Abhängig von den Einstellungen des Jobs können Sie auch die geschätzten Gesamtkosten (in US-Dollar) für die einmalige Ausführung des Jobs überprüfen. Wenn Sie bestimmte S3-Buckets für den Job ausgewählt haben, basiert die Schätzung auf der Größe und den Typen der Objekte in den ausgewählten Buckets und darauf, wie viele dieser Daten der Job analysieren kann. Wenn Sie Bucket-Kriterien für den Job angegeben haben, basiert die Schätzung auf der Größe und den Typen von Objekten in bis zu 500 Buckets, die derzeit den Kriterien entsprechen, und darauf, wie viele dieser Daten der Job analysieren kann. Weitere Informationen zu dieser Schätzung finden Sie unter[Prognose und Überwachung der Auftragskosten](discovery-jobs-costs.md).
**Um den Job zu überprüfen und zu erstellen**
1. Überprüfen Sie auf der Seite **Überprüfen und erstellen** jede Einstellung und stellen Sie sicher, dass sie korrekt sind. Um eine Einstellung zu ändern, wählen Sie in dem Abschnitt, der die Einstellung enthält, **Bearbeiten** aus und geben Sie dann die richtige Einstellung ein. Sie können auch die Navigationsregisterkarten verwenden, um zu der Seite zu gelangen, die eine Einstellung enthält.
1. Wenn Sie mit der Überprüfung der Einstellungen fertig sind, wählen Sie **Senden** aus, um den Job zu erstellen und zu speichern. Macie überprüft die Einstellungen und informiert Sie über alle Probleme, die behoben werden müssen.
**Anmerkung**
Wenn Sie kein Repository für die Ergebnisse der Erkennung sensibler Daten konfiguriert haben, zeigt Macie eine Warnung an und speichert den Job nicht. Um dieses Problem zu beheben, wählen Sie im Abschnitt **Repository für die Ergebnisse der Erkennung sensibler Daten** die Option **Konfigurieren** aus. Geben Sie dann die Konfigurationseinstellungen für das Repository ein. Um zu erfahren wie dies geht, vgl. [Speicherung und Beibehaltung der Erkennungsergebnisse von vertraulichen Daten](discovery-results-repository-s3.md). Nachdem Sie die Einstellungen eingegeben haben, kehren Sie zur Seite **Überprüfen und erstellen** zurück und wählen Sie auf der Seite im Bereich **Repository für Ergebnisse der Erkennung sensibler Daten** die Option Aktualisieren (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/btn-refresh-data.png)) aus.
Es wird zwar nicht empfohlen, Sie können jedoch die Repository-Anforderung vorübergehend außer Kraft setzen und den Job speichern. Wenn Sie dies tun, riskieren Sie den Verlust der Discovery-Ergebnisse aus dem Job — MacIE speichert die Ergebnisse nur 90 Tage lang. Um die Anforderung vorübergehend außer Kraft zu setzen, aktivieren Sie das Kontrollkästchen für die Option „Außerkraftsetzung“.
1. Wenn Macie Sie über Probleme informiert, die behoben werden müssen, gehen Sie auf die Probleme ein und wählen Sie dann erneut „**Senden**“, um den Job zu erstellen und zu speichern.
Wenn Sie den Job so konfiguriert haben, dass er einmal, täglich oder am aktuellen Tag der Woche oder des Monats ausgeführt wird, startet Macie den Job sofort, nachdem Sie ihn gespeichert haben. Andernfalls bereitet sich Macie darauf vor, den Job am angegebenen Wochentag oder Monat auszuführen. Um den Job zu überwachen, können Sie [den Status des Jobs überprüfen](discovery-jobs-status-check.md).
# Überprüfung der Ergebnisse eines Discovery-Jobs für sensible Daten
Wenn Sie einen Discovery-Job für sensible Daten ausführen, berechnet Amazon Macie automatisch bestimmte statistische Daten für den Job und meldet diese. Macie meldet beispielsweise, wie oft der Job ausgeführt wurde, und die ungefähre Anzahl von Amazon Simple Storage Service (Amazon S3) -Objekten, die der Job während seiner aktuellen Ausführung noch nicht verarbeitet hat. Macie erzeugt außerdem verschiedene Arten von Ergebnissen für den Job: *Protokollereignisse*, Ergebnisse *vertraulicher Daten und Ergebnisse* der *Erkennung sensibler Daten*.
**Topics**
+ [Arten von Arbeitsergebnissen](#discovery-jobs-manage-results-types)
+ [Überprüfung der Jobstatistiken und Ergebnisse](#discovery-jobs-manage-results-review)
## Arten von Ergebnissen für Aufgaben zur Erkennung sensibler Daten
Während ein Job zur Erkennung sensibler Daten voranschreitet, erzeugt Amazon Macie die folgenden Arten von Ergebnissen für den Job.
**Ereignis protokollieren**
Dies ist eine Aufzeichnung eines Ereignisses, das während der Ausführung des Jobs aufgetreten ist. Macie protokolliert und veröffentlicht automatisch Daten für bestimmte Ereignisse in Amazon CloudWatch Logs. Die Daten in diesen Protokollen zeichnen Änderungen am Fortschritt oder Status des Jobs auf, z. B. das genaue Datum und die Uhrzeit, an dem der Job gestartet oder beendet wurde. Die Daten enthalten auch Details zu allen Fehlern auf Konto- oder Bucket-Ebene, die während der Ausführung des Jobs aufgetreten sind.
Mithilfe von Protokollereignissen können Sie einen Job überwachen und alle Probleme beheben, die den Job daran gehindert haben, die gewünschten Daten zu analysieren. Wenn ein Job anhand von Laufzeitkriterien bestimmt, welche S3-Buckets analysiert werden sollen, können Sie anhand von Protokollereignissen auch feststellen, ob und welche S3-Buckets den Kriterien bei der Ausführung des Jobs entsprachen.
Sie können über die CloudWatch Amazon-Konsole oder die Amazon CloudWatch Logs-API auf Protokollereignisse zugreifen. Um Ihnen die Navigation zu den Protokollereignissen für einen Job zu erleichtern, stellt die Amazon Macie Macie-Konsole einen Link zu diesen Ereignissen bereit. Weitere Informationen finden Sie unter [Überwachung von Jobs mit CloudWatch Logs](discovery-jobs-monitor-cw-logs.md).
**Suche nach sensiblen Daten**
Dies ist ein Bericht über sensible Daten, die Macie in einem S3-Objekt gefunden hat. Jedes Ergebnis enthält eine Bewertung des Schweregrads und Einzelheiten wie:
+ Datum und Uhrzeit, an dem Macie die sensiblen Daten gefunden hat.
+ Die Kategorie und die Arten sensibler Daten, die Macie gefunden hat.
+ Die Anzahl der Vorkommen der einzelnen Arten vertraulicher Daten, die Macie gefunden hat.
+ Die eindeutige Kennung für den Job, der zu dem Ergebnis geführt hat.
+ Der Name, die Einstellungen für den öffentlichen Zugriff, der Verschlüsselungstyp und andere Informationen zum betroffenen S3-Bucket und Objekt.
Je nach Dateityp oder Speicherformat des betroffenen S3-Objekts können die Details auch den Speicherort von bis zu 15 Vorkommen der sensiblen Daten beinhalten, die Macie gefunden hat. Um Standortdaten zu melden, verwenden die Ergebnisse sensibler Daten ein [standardisiertes JSON-Schema](findings-locate-sd-schema.md).
Ein Ergebnis vertraulicher Daten beinhaltet nicht die sensiblen Daten, die Macie gefunden hat. Stattdessen enthält es Informationen, die Sie bei Bedarf für weitere Untersuchungen und Problembehebungen verwenden können.
Macie speichert Ergebnisse sensibler Daten 90 Tage lang. Sie können über die Amazon Macie Macie-Konsole oder die Amazon Macie Macie-API darauf zugreifen. Sie können sie auch mithilfe anderer Anwendungen, Dienste und Systeme überwachen und verarbeiten. Weitere Informationen finden Sie unter [Überprüfung und Analyse der Ergebnisse](findings.md).
**Ergebnis der Entdeckung sensibler Daten**
Dies ist ein Datensatz, der Details zur Analyse eines S3-Objekts protokolliert. Macie erstellt automatisch ein Erkennungsergebnis vertraulicher Daten für jedes Objekt, für dessen Analyse Sie einen Job konfigurieren. Dazu gehören Objekte, in denen Macie keine sensiblen Daten findet und daher keine Ergebnisse für sensible Daten liefert, sowie Objekte, die Macie aufgrund von Fehlern oder Problemen nicht analysieren kann, z. B. aufgrund von Berechtigungseinstellungen oder der Verwendung eines nicht unterstützten Datei- oder Speicherformats.
Wenn Macie sensible Daten in einem S3-Objekt findet, umfasst das Ergebnis der Erkennung sensibler Daten auch Daten aus dem entsprechenden Fund vertraulicher Daten. Es bietet auch zusätzliche Informationen, z. B. den Standort von bis zu 1.000 Vorkommen jedes Typs vertraulicher Daten, die Macie in dem Objekt gefunden hat. Beispiel:
+ Die Spalten- und Zeilennummer für eine Zelle oder ein Feld in einer Microsoft Excel-Arbeitsmappe, CSV-Datei oder TSV-Datei
+ Der Pfad zu einem Feld oder Array in einer JSON- oder JSON Lines-Datei
+ Die Zeilennummer für eine Zeile in einer nicht-binären Textdatei, bei der es sich nicht um eine CSV-, JSON-, JSON-Zeilen- oder TSV-Datei handelt, z. B. eine HTML-, TXT- oder XML-Datei
+ Die Seitennummer für eine Seite in einer PDF-Datei (Adobe Portable Document Format)
+ Der Datensatzindex und der Pfad zu einem Feld in einem Datensatz in einem Apache Avro-Objektcontainer oder einer Apache Parquet-Datei
Handelt es sich bei dem betroffenen S3-Objekt um eine Archivdatei, z. B. eine .tar- oder .zip-Datei, enthält das Ergebnis der Erkennung sensibler Daten auch detaillierte Standortdaten für das Vorkommen sensibler Daten in einzelnen Dateien, die Macie aus dem Archiv extrahiert hat. Macie nimmt diese Informationen nicht in die Ergebnisse sensibler Daten für Archivdateien auf. Um Standortdaten zu melden, verwenden die Ergebnisse der Erkennung sensibler Daten ein [standardisiertes JSON-Schema](findings-locate-sd-schema.md).
Ein Ermittlungsergebnis für sensible Daten beinhaltet nicht die sensiblen Daten, die Macie gefunden hat. Stattdessen erhalten Sie einen Analysedatensatz, der für Prüfungen oder Untersuchungen zum Datenschutz hilfreich sein kann.
Macie speichert Ihre Ergebnisse der Entdeckung sensibler Daten 90 Tage lang. Sie können nicht direkt über die Amazon Macie Macie-Konsole oder mit der Amazon Macie Macie-API darauf zugreifen. Stattdessen konfigurieren Sie Macie so, dass sie verschlüsselt und in einem S3-Bucket gespeichert werden. Der Bucket kann als definitives, langfristiges Repository für all Ihre Erkennungsergebnisse sensibler Daten dienen. Anschließend können Sie optional auf die Ergebnisse in diesem Repository zugreifen und diese abfragen. Informationen zur Konfiguration dieser Einstellungen finden Sie unter[Speicherung und Beibehaltung der Erkennungsergebnisse von vertraulichen Daten](discovery-results-repository-s3.md).
Nachdem Sie die Einstellungen konfiguriert haben, schreibt Macie Ihre Ergebnisse der Erkennung sensibler Daten in JSON Lines (.jsonl) -Dateien, verschlüsselt diese Dateien und fügt sie dem S3-Bucket als GNU-Zip-Dateien (.gz) hinzu. Um Ihnen die Navigation zu den Ergebnissen zu erleichtern, enthält die Amazon Macie Macie-Konsole Links zu diesen.
Sowohl die Ergebnisse sensibler Daten als auch die Ergebnisse der Entdeckung sensibler Daten entsprechen standardisierten Schemata. Auf diese Weise können Sie diese Daten optional mithilfe anderer Anwendungen, Dienste und Systeme abfragen, überwachen und verarbeiten.
**Tipps**
Ein detailliertes, anschauliches Beispiel dafür, wie Sie die Ergebnisse der Erkennung sensibler Daten abfragen und verwenden können, um potenzielle Datensicherheitsrisiken zu analysieren und zu melden, finden Sie im folgenden Blogbeitrag auf dem *AWS Security Blog*: [How to query and visualize macie sensitive data discovery results with Amazon Athena and Amazon](https://aws.amazon.com/blogs/security/how-to-query-and-visualize-macie-sensitive-data-discovery-results-with-athena-and-quicksight/) Quick.
Beispiele für Amazon Athena Athena-Abfragen, mit denen Sie Erkennungsergebnisse sensibler Daten analysieren können, finden Sie im [Amazon Macie Results Analytics-Repository](https://github.com/aws-samples/amazon-macie-results-analytics) unter. GitHub Dieses Repository enthält auch Anweisungen zur Konfiguration von Athena zum Abrufen und Entschlüsseln Ihrer Ergebnisse sowie Skripten zum Erstellen von Tabellen für die Ergebnisse.
## Überprüfung von Statistiken und Ergebnissen für einen Job zur Erkennung sensibler Daten
Um die Verarbeitungsstatistiken und die Ergebnisse eines Discovery-Jobs für sensible Daten zu überprüfen, können Sie die Amazon Macie Macie-Konsole oder die Amazon Macie Macie-API verwenden. Gehen Sie wie folgt vor, um die Statistiken und Ergebnisse mithilfe der Konsole zu überprüfen.
Um programmgesteuert auf die Verarbeitungsstatistiken eines Jobs zuzugreifen, verwenden Sie den [DescribeClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-jobid.html)Betrieb der Amazon Macie Macie-API. Für den programmatischen Zugriff auf die Ergebnisse eines Jobs verwenden Sie die [ListFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings.html)Operation und geben Sie die eindeutige Kennung des Jobs in einer Filterbedingung für das Feld an. `classificationDetails.jobId` Um zu erfahren wie dies geht, vgl. [Filter erstellen und auf Macie-Ergebnisse anwenden](findings-filter-procedure.md). Anschließend können Sie den [GetFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html)Vorgang verwenden, um die Details der Ergebnisse abzurufen.
**Um Statistiken und Ergebnisse für einen Job zu überprüfen**
1. Öffnen Sie die Amazon Macie Macie-Konsole unter [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/).
1. Wählen Sie im Navigationsbereich die Option **Jobs (Aufträge)** aus.
1. Wählen Sie auf der Seite **Jobs** den Namen des Jobs aus, dessen Statistiken und Ergebnisse Sie überprüfen möchten. Im Detailbereich werden Statistiken, Einstellungen und andere Informationen über den Job angezeigt.
1. Führen Sie im Detailbereich einen der folgenden Schritte aus:
+ Informationen zur Überprüfung der Verarbeitungsstatistiken für den Job finden Sie im Bereich **Statistiken** des Fensters. In diesem Abschnitt werden Statistiken angezeigt, z. B. wie oft der Job ausgeführt wurde, und die ungefähre Anzahl der Objekte, die der Job während seiner aktuellen Ausführung noch nicht verarbeitet hat.
+ Um die Protokollereignisse für den Job zu überprüfen, wählen Sie oben im Bereich „**Ergebnisse anzeigen**“ und anschließend „** CloudWatch Protokolle anzeigen**“. Macie öffnet die CloudWatch Amazon-Konsole und zeigt eine Tabelle mit den Protokollereignissen an, die Macie für den Job veröffentlicht hat.
+ Um alle Ergebnisse zu sensiblen Daten zu überprüfen, die der Job hervorgebracht hat, wählen Sie oben im Fenster **Ergebnisse anzeigen** und dann Ergebnisse **anzeigen** aus. Macie öffnet die **Ergebnisseite** und zeigt alle Ergebnisse des Jobs an. Um die Details eines bestimmten Ergebnisses zu überprüfen, wählen Sie das Ergebnis aus und rufen Sie dann das Detailfenster auf.
**Tipp**
Im Bereich mit den Befunddetails können Sie den Link im Feld **Detaillierter Ergebnisort** verwenden, um zum entsprechenden Ergebnis der Erkennung sensibler Daten in Amazon S3 zu navigieren:
Wenn sich das Ergebnis auf ein großes Archiv oder eine komprimierte Datei bezieht, zeigt der Link den Ordner an, der die Erkennungsergebnisse für die Datei enthält. Ein Archiv oder eine komprimierte Datei ist *groß*, wenn sie mehr als 100 Ermittlungsergebnisse generiert.
Wenn sich das Ergebnis auf ein kleines Archiv oder eine komprimierte Datei bezieht, zeigt der Link die Datei an, die die Ermittlungsergebnisse für die Datei enthält. Ein Archiv oder eine komprimierte Datei ist *klein*, wenn sie 100 oder weniger Ermittlungsergebnisse generiert.
Wenn der Befund auf einen anderen Dateityp zutrifft, zeigt der Link die Datei an, die die Ermittlungsergebnisse für die Datei enthält.
+ Um alle Ergebnisse der Suche nach sensiblen Daten zu überprüfen, die der Job hervorgebracht hat, wählen Sie oben im Fenster **Ergebnisse anzeigen** und dann **Klassifizierungen anzeigen** aus. Macie öffnet die Amazon S3 S3-Konsole und zeigt den Ordner an, der alle Ermittlungsergebnisse für den Job enthält. Diese Option ist erst verfügbar, nachdem Sie Macie so konfiguriert haben, dass [Ihre Erkennungsergebnisse vertraulicher Daten in einem S3-Bucket gespeichert](discovery-results-repository-s3.md) werden.
# Verwaltung von Aufträgen zur Erkennung sensibler Daten
Um Sie bei der Verwaltung Ihrer Aufträge zur Erkennung sensibler Daten zu unterstützen, führt Amazon Macie für jeden AWS-Region Auftrag ein vollständiges Inventar Ihrer Aufträge. Mit diesem Inventar können Sie Ihre Jobs als eine einzige Sammlung verwalten und auf Konfigurationseinstellungen, Verarbeitungsstatistiken und den Status einzelner Jobs zugreifen.
Sie können beispielsweise alle Jobs identifizieren, die Sie so konfiguriert haben, dass sie regelmäßig ausgeführt werden, um sie regelmäßig zu analysieren, zu bewerten und zu überwachen. Sie können auch eine Aufschlüsselung der Konfigurationseinstellungen für einen Job überprüfen. Dazu gehören Einstellungen, die den Umfang der Analyse definieren. Dazu gehören auch Einstellungen, die angeben, welche Arten vertraulicher Daten Macie bei der Ausführung des Jobs erkennen und melden soll. Wenn Sie die Amazon Macie Macie-Konsole verwenden, um Ihre Jobs zu verwalten, bieten die Details jedes Jobs auch direkten Zugriff auf Ergebnisse [sensibler Daten und andere Ergebnisse](discovery-jobs-manage-results.md), die der Job hervorgebracht hat.
Zusätzlich zu diesen Aufgaben können Sie benutzerdefinierte Varianten einzelner Jobs erstellen. Sie können einen vorhandenen Job kopieren, die Einstellungen für die Kopie anpassen und die Kopie dann als neuen Job speichern. Dies kann in Fällen hilfreich sein, in denen Sie verschiedene Datensätze auf dieselbe Weise oder denselben Datensatz auf unterschiedliche Weise analysieren möchten. Es kann auch hilfreich sein, wenn Sie die Konfigurationseinstellungen für einen vorhandenen Job anpassen möchten. Stornieren Sie den vorhandenen Job, kopieren Sie ihn und passen Sie die Kopie dann an und speichern Sie die Kopie als neuen Job.
**Topics**
+ [Überprüfung Ihres Jobinventars](discovery-jobs-manage-view.md)
+ [Überprüfen der Konfigurationseinstellungen für einen Job](discovery-jobs-manage-settings.md)
+ [Den Status eines Jobs überprüfen](discovery-jobs-status-check.md)
+ [Den Status eines Jobs ändern](discovery-jobs-status-change.md)
+ [Einen Job kopieren](discovery-jobs-manage-copy.md)
# Überprüfung Ihres Inventars an Aufträgen zur Erkennung sensibler Daten
In der Amazon Macie Macie-Konsole können Sie einen vollständigen Bestand Ihrer aktuellen AWS-Region Discovery-Jobs für sensible Daten einsehen. Das Inventar enthält sowohl zusammenfassende Informationen für all Ihre Jobs als auch Details zu einzelnen Jobs. Zu den zusammenfassenden Informationen gehören: der aktuelle Status jedes Jobs, ob ein Job nach einem Zeitplan und in regelmäßigen Abständen ausgeführt wird und ob ein Job so konfiguriert ist, dass er Objekte in bestimmten Amazon Simple Storage Service (Amazon S3) -Buckets oder S3-Buckets analysiert, die den Laufzeitkriterien entsprechen. Für einzelne Jobs können Sie auch auf Details wie eine Aufschlüsselung der Konfigurationseinstellungen des Jobs zugreifen. Wenn ein Job bereits ausgeführt wurde, bieten die Details auch direkten Zugriff auf Ergebnisse sensibler Daten und andere Arten von Ergebnissen, die der Job generiert hat.
**Um Ihr Jobinventar zu überprüfen**
Gehen Sie wie folgt vor, um Ihr Jobinventar mithilfe der Amazon Macie Macie-Konsole zu überprüfen. Verwenden Sie die Amazon Macie Macie-API, um programmgesteuert [ListClassificationJobs](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-list.html)auf Ihr Inventar zuzugreifen.
1. Öffnen Sie die Amazon Macie Macie-Konsole unter [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/).
1. Wählen Sie im Navigationsbereich die Option **Jobs (Aufträge)** aus. Die Seite **Jobs** wird geöffnet und zeigt die Anzahl der Jobs in Ihrem Inventar sowie eine Tabelle dieser Jobs an.
1. Wählen Sie oben auf der Seite optional Aktualisieren (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/btn-refresh-data.png)), um den aktuellen Status der einzelnen Jobs abzurufen.
1. Überprüfen Sie in der Tabelle **Jobs** die Übersichtsinformationen für Ihre Jobs:
+ **Jobname** — Der Name des Jobs.
+ **Ressourcen** — Gibt an, ob der Job so konfiguriert ist, dass er Objekte in bestimmten S3-Buckets oder Buckets analysiert, die den Laufzeitkriterien entsprechen. Wenn Sie explizit Buckets für den zu analysierenden Job ausgewählt haben, gibt dieses Feld die Anzahl der Buckets an, die Sie ausgewählt haben. Wenn Sie den Job für die Verwendung von Laufzeitkriterien konfiguriert haben, ist der Wert für dieses Feld **kriterienbasiert**.
+ **Auftragstyp** — Gibt an, ob der Job so konfiguriert ist, dass er **einmal (einmalig**) oder nach einem Zeitplan und in regelmäßigen Abständen (**geplant**) ausgeführt wird.
+ **Status** — Der aktuelle Status des Jobs. Weitere Informationen zu diesem Wert finden Sie unter[Den Status eines Jobs überprüfen](discovery-jobs-status-check.md).
+ **Erstellt am** — Als der Job erstellt wurde.
1. Gehen Sie wie folgt vor, um Ihr Inventar zu analysieren oder einen bestimmten Job schneller zu finden:
+ Um die Tabelle nach einem bestimmten Feld zu sortieren, wählen Sie die Spaltenüberschrift für das Feld aus. Um die Sortierreihenfolge zu ändern, wählen Sie erneut die Spaltenüberschrift aus.
+ Um nur die Jobs anzuzeigen, die einen bestimmten Wert für ein Feld haben, platzieren Sie den Cursor in das Filterfeld. Wählen Sie im daraufhin angezeigten Menü das Feld aus, das für den Filter verwendet werden soll, und geben Sie den Wert für den Filter ein. Wählen Sie dann **Apply (Anwenden)**.
+ Um Jobs auszublenden, die einen bestimmten Wert für ein Feld haben, platzieren Sie den Cursor in das Filterfeld. Wählen Sie im daraufhin angezeigten Menü das Feld aus, das für den Filter verwendet werden soll, und geben Sie den Wert für den Filter ein. Wählen Sie dann **Apply (Anwenden)**. Wählen Sie im Filterfeld das Gleichheitssymbol (![\[The equals icon, which is a solid gray circle.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/icon-operator-equals.png)) für den Filter aus. Dadurch wird der Operator des Filters von *gleich zu ungleich* *() geändert.* ![\[The not equals icon, which is an empty gray circle that has a backslash in it.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/icon-operator-not-equals.png)
+ Um einen Filter zu entfernen, wählen Sie das Symbol „Filter entfernen“ (![\[The remove filter condition icon, which is a circle that has an X in it.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/icon-filter-remove.png)) für den Filter, den Sie entfernen möchten.
1. Um zusätzliche Einstellungen und Details für einen bestimmten Job zu überprüfen, wählen Sie den Namen des Jobs. Sehen Sie sich dann das Detailfenster an. Informationen zu diesen Details finden Sie unter[Überprüfen der Konfigurationseinstellungen für einen Job](discovery-jobs-manage-settings.md).
# Überprüfen der Einstellungen für einen Discovery-Job für sensible Daten
In der Amazon Macie Macie-Konsole können Sie den Detailbereich auf der Seite **Jobs** verwenden, um die Konfigurationseinstellungen und andere Informationen zu einzelnen Discovery-Jobs für sensible Daten zu überprüfen. Sie können beispielsweise eine Liste der Amazon Simple Storage Service (Amazon S3) -Buckets überprüfen, für deren Analyse ein Job konfiguriert ist. Sie können auch festlegen, welche verwalteten und benutzerdefinierten Datenkennungen ein Job für die Analyse von Objekten in diesen Buckets verwendet.
Beachten Sie, dass Sie keine Konfigurationseinstellungen für einen vorhandenen Job ändern können. Auf diese Weise können Sie sicherstellen, dass Sie über einen unveränderlichen Verlauf vertraulicher Daten und der Ergebnisse der von Ihnen durchgeführten Datenschutzprüfungen oder Untersuchungen verfügen.
Wenn Sie einen bestehenden Job ändern möchten, können Sie [den Job stornieren](discovery-jobs-status-change.md). [Kopieren Sie dann den Job](discovery-jobs-manage-copy.md), konfigurieren Sie die Kopie so, dass sie die gewünschten Einstellungen verwendet, und speichern Sie die Kopie als neuen Job. Wenn Sie dies tun, sollten Sie auch Maßnahmen ergreifen, um sicherzustellen, dass der neue Job vorhandene Daten nicht erneut auf dieselbe Weise analysiert. Notieren Sie sich dazu das Datum und die Uhrzeit, zu der Sie den vorhandenen Job stornieren. Konfigurieren Sie dann den Umfang des neuen Jobs so, dass er nur die Objekte umfasst, die erstellt oder geändert wurden, nachdem Sie den ursprünglichen Job storniert haben. Sie können beispielsweise [Objektkriterien](discovery-jobs-scope.md#discovery-jobs-scope-criteria) verwenden, um eine Ausschlussbedingung zu definieren, die angibt, wann Sie den ursprünglichen Job storniert haben.
**Um die Konfigurationseinstellungen für einen Job zu überprüfen**
Gehen Sie wie folgt vor, um die Konfigurationseinstellungen eines Jobs mithilfe der Amazon Macie Macie-Konsole zu überprüfen. Verwenden Sie den [DescribeClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-jobid.html)Betrieb der Amazon Macie Macie-API, um die Einstellungen programmgesteuert zu überprüfen.
1. Öffnen Sie die Amazon Macie Macie-Konsole unter [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/).
1. Wählen Sie im Navigationsbereich die Option **Jobs (Aufträge)** aus. Die Seite **Jobs** wird geöffnet und zeigt die Anzahl der Jobs in Ihrem Inventar sowie eine Tabelle dieser Jobs an.
1. Wählen Sie in der Tabelle **Jobs** den Namen des Jobs aus, dessen Einstellungen Sie überprüfen möchten. Um den Job schneller zu finden, können Sie die Tabelle mithilfe der Filteroptionen über der Tabelle filtern. Sie können die Tabelle auch in auf- oder absteigender Reihenfolge nach bestimmten Feldern sortieren.
Wenn Sie einen Job in der Tabelle auswählen, werden im Detailbereich die Konfigurationseinstellungen des Jobs und andere Informationen über den Job angezeigt. Je nach den Einstellungen des Jobs enthält das Fenster die folgenden Abschnitte.
**Allgemeine Informationen**
Dieser Abschnitt enthält allgemeine Informationen über den Job. Es zeigt beispielsweise den Amazon-Ressourcennamen (ARN) des Jobs, wann der Job zuletzt gestartet wurde, und den aktuellen Status des Jobs. Wenn Sie den Job angehalten haben, gibt dieser Abschnitt auch an, wann Sie den Job angehalten haben und wann der Job oder die letzte Jobausführung abgelaufen ist oder abläuft, wenn Sie ihn nicht fortsetzen.
**Statistiken**
In diesem Abschnitt werden Verarbeitungsstatistiken für den Job angezeigt. Es gibt beispielsweise an, wie oft der Job ausgeführt wurde, und die ungefähre Anzahl von S3-Objekten, die der Job während seiner aktuellen Ausführung noch verarbeiten muss.
**Scope**
In diesem Abschnitt wird angegeben, wie oft der Job ausgeführt wird. Außerdem werden Einstellungen angezeigt, mit denen der Umfang des Jobs verfeinert werden kann, z. B. die [Stichprobentiefe](discovery-jobs-scope.md#discovery-jobs-scope-sampling) und alle [Objektkriterien](discovery-jobs-scope.md#discovery-jobs-scope-criteria), die S3-Objekte in die Analyse einbeziehen oder ausschließen.
**S3-Buckets**
Dieser Abschnitt wird im Bereich angezeigt, wenn der Job für die Analyse von Buckets konfiguriert ist, die Sie bei der Erstellung des Jobs ausdrücklich ausgewählt haben. Er gibt die Nummer an, für AWS-Konten die der Job konfiguriert ist, um Daten zu analysieren. Es gibt auch die Anzahl der Buckets an, für deren Analyse der Job konfiguriert ist, sowie die Namen dieser Buckets (gruppiert nach Konto).
Um die vollständige Liste der Konten und Buckets im JSON-Format anzuzeigen, wählen Sie die Zahl im Feld **Gesamtzahl** der Buckets aus.
**Kriterien für S3-Buckets**
Dieser Abschnitt wird im Panel angezeigt, wenn der Job anhand von Laufzeitkriterien bestimmt, welche Buckets analysiert werden sollen. Er listet die Kriterien auf, für deren Verwendung der Job konfiguriert ist. Um die Kriterien im JSON-Format anzuzeigen, wählen Sie **Details**. Wählen Sie dann im daraufhin angezeigten Fenster die Registerkarte **Kriterien** aus.
Um eine Liste der Buckets zu überprüfen, die derzeit den Kriterien entsprechen, wählen Sie „**Details**“. Wählen Sie dann im daraufhin angezeigten Fenster die Registerkarte **Passende Buckets** aus. Wählen Sie optional Aktualisieren (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/btn-refresh-data.png)), um die neuesten Daten abzurufen. Auf der Registerkarte werden bis zu 25 Buckets aufgeführt, die derzeit den Kriterien entsprechen.
Wenn der Job bereits ausgeführt wurde, können Sie auch feststellen, ob Buckets den Kriterien bei der Ausführung des Jobs entsprachen, und, falls ja, die Namen dieser Buckets. Überprüfen Sie dazu die Protokollereignisse für den Job: Wählen Sie oben im Bereich „**Ergebnisse anzeigen**“ und anschließend „Protokolle **anzeigen CloudWatch **“. Macie öffnet die CloudWatch Amazon-Konsole und zeigt eine Tabelle mit Protokollereignissen für den Job an. Die Ereignisse beinhalten ein `BUCKET_MATCHED_THE_CRITERIA` Ereignis für jeden Bucket, der den Kriterien entsprach und in die Analyse des Jobs aufgenommen wurde. Weitere Informationen finden Sie unter [Überwachung von Jobs mit CloudWatch Logs](discovery-jobs-monitor-cw-logs.md).
**Benutzerdefinierte Datenbezeichner**
Dieser Abschnitt wird im Bereich angezeigt, wenn der Job für die Verwendung eines oder mehrerer [benutzerdefinierter Datenbezeichner](custom-data-identifiers.md) konfiguriert ist. Er gibt die Namen dieser benutzerdefinierten Datenbezeichner an.
**Listen zulassen**
Dieser Abschnitt wird im Fenster angezeigt, wenn der Job für die Verwendung einer oder mehrerer [Zulassungslisten](allow-lists.md) konfiguriert ist. Er gibt die Namen dieser Listen an. Um die Einstellungen und den Status einer Liste zu überprüfen, wählen Sie das Linksymbol (![\[The link icon, which is a blue box that has an arrow in it.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/icon-view-resource-blue.png)) neben dem Namen der Liste.
**Verwaltete Datenkennungen**
In diesem Abschnitt wird angegeben, für welche [verwalteten Datenbezeichner](managed-data-identifiers.md) der Job konfiguriert ist. Dies wird durch den Auswahltyp für verwaltete Datenbezeichner für den Job bestimmt:
+ **Empfohlen** — Verwenden Sie bei der Ausführung des Jobs die verwalteten Datenbezeichner, die sich im [empfohlenen Satz](discovery-jobs-mdis-recommended.md) befinden.
+ **Ausgewählte einbeziehen** — Verwenden Sie nur die verwalteten Datenbezeichner, die im Abschnitt „**Auswahl**“ aufgeführt sind.
+ **Alle einbeziehen** — Verwenden Sie alle verwalteten Datenkennungen, die bei der Ausführung des Jobs verfügbar sind.
+ **Ausgewählte ausschließen** — Verwenden Sie alle verwalteten Datenkennungen, die bei der Ausführung des Jobs verfügbar sind, mit Ausnahme der im Abschnitt „**Auswahl**“ aufgeführten.
+ **Alle ausschließen** — Verwenden Sie keine verwalteten Datenkennungen. Verwenden Sie nur die angegebenen benutzerdefinierten Datenbezeichner.
Um diese Einstellungen im JSON-Format zu überprüfen, wählen Sie **Details**.
**Tags**
Dieser Abschnitt wird im Bereich angezeigt, wenn dem Job Tags zugewiesen wurden. Er listet diese Tags auf. Ein *Tag* ist eine Bezeichnung, die Sie definieren und bestimmten Ressourcentypen AWS zuweisen. Jedes Tag besteht aus einem erforderlichen Tag-Schlüssel und einem optionalen Tag-Wert. Weitere Informationen hierzu finden Sie unter [Macie-Ressourcen taggen](tagging-resources.md).
Um die Einstellungen des Jobs zu überprüfen und im JSON-Format zu speichern, wählen Sie oben im Panel die eindeutige Kennung für den **Job (Job-ID**) aus. Wählen Sie dann „**Herunterladen**“.
# Überprüfen Sie den Status eines Discovery-Jobs für sensible Daten
Wenn Sie einen Discovery-Job für sensible Daten erstellen, lautet sein Anfangsstatus je nach Art und Zeitplan des Auftrags **Aktiv (Wird **ausgeführt)** oder Aktiv (Inaktiv**). Der Job durchläuft dann weitere Status, die Sie im Verlauf des Jobs überwachen können.
**Tipp**
Sie können nicht nur den Gesamtstatus eines Auftrags überwachen, sondern auch bestimmte Ereignisse überwachen, die im Verlauf eines Auftrags auftreten. Sie können dies tun, indem Sie Protokolldaten verwenden, die Amazon Macie automatisch in Amazon CloudWatch Logs veröffentlicht. Die Daten in diesen Protokollen enthalten eine Aufzeichnung der Änderungen am Status eines Auftrags sowie Einzelheiten zu Fehlern auf Konto- oder Bucket-Ebene, die während der Ausführung eines Auftrags auftreten. Weitere Informationen finden Sie unter [Überwachung von Jobs mit CloudWatch Logs](discovery-jobs-monitor-cw-logs.md).
**So überprüfen Sie den Status eines -Auftrags**
Gehen Sie wie folgt vor, um den Status eines Auftrags mithilfe der Amazon Macie Macie-Konsole zu überprüfen. Um den Status eines Jobs programmgesteuert zu überprüfen, verwenden Sie den [DescribeClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-jobid.html)Betrieb der Amazon Macie Macie-API.
1. Öffnen Sie die Amazon Macie Macie-Konsole unter [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/).
1. Wählen Sie im Navigationsbereich die Option **Jobs (Aufträge)** aus. Die Seite **Jobs** wird geöffnet und zeigt die Anzahl der Jobs in Ihrem Inventar sowie eine Tabelle dieser Jobs an.
1. Klicken Sie oben auf der Seite auf Aktualisieren (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/btn-refresh-data.png)), um den aktuellen Status der einzelnen Jobs abzurufen.
1. Suchen Sie in der Tabelle **Jobs** den Job, dessen Status Sie überprüfen möchten. Um den Job schneller zu finden, können Sie die Tabelle mithilfe der Filteroptionen über der Tabelle filtern. Sie können die Tabelle auch in auf- oder absteigender Reihenfolge nach bestimmten Feldern sortieren.
1. Weitere Informationen finden Sie im Feld **Status** in der Tabelle. Dieses Feld gibt den aktuellen Status des Jobs an.
Der Status eines Jobs kann einer der folgenden sein.
**Aktiv (Inaktiv)**
Bei einem periodischen Auftrag ist die vorherige Ausführung abgeschlossen und die nächste geplante Ausführung steht noch aus. Dieser Wert gilt nicht für einmalige Jobs.
**Aktiv (läuft)**
Bei einem einmaligen Job ist der Job gerade in Bearbeitung. Bei einem periodischen Auftrag wird gerade eine geplante Ausführung ausgeführt.
**Abgebrochen**
Bei jeder Art von Auftrag wurde der Auftrag dauerhaft gestoppt (storniert).
Ein Job hat diesen Status, wenn Sie ihn ausdrücklich storniert haben oder, falls es sich um einen einmaligen Job handelt, Sie den Job pausiert und nicht innerhalb von 30 Tagen wieder aufgenommen haben. Ein Job kann diesen Status auch haben, wenn du [Macie zuvor in der aktuellen Zeit suspendiert](suspend-macie.md) hast. AWS-Region
**Vollständig**
Bei einem einmaligen Job wurde der Job erfolgreich ausgeführt und ist jetzt abgeschlossen. Dieser Wert gilt nicht für periodische Jobs. Stattdessen ändert sich der Status eines periodischen Auftrags in **Aktiv (Inaktiv)**, wenn jede Ausführung erfolgreich abgeschlossen wurde.
**Angehalten (von Macie)**
Bei jeder Art von Job wurde der Job vorübergehend von Macie gestoppt (pausiert).
Ein Auftrag hat diesen Status, wenn der Abschluss des Auftrags oder einer Auftragsausführung das monatliche [Kontingent für die Entdeckung sensibler Daten](macie-quotas.md) für Ihr Konto überschreiten würde. In diesem Fall unterbricht Macie den Job automatisch. Macie nimmt den Job automatisch wieder auf, wenn der nächste Kalendermonat beginnt und das monatliche Kontingent für Ihr Konto zurückgesetzt wird, oder Sie erhöhen das Kontingent für Ihr Konto.
Wenn Sie der Macie-Administrator einer Organisation sind und den Job so konfiguriert haben, dass er Daten für Mitgliedskonten analysiert, kann der Job auch diesen Status haben, wenn der Abschluss des Jobs oder einer Jobausführung das monatliche Kontingent für die Erkennung sensibler Daten für ein Mitgliedskonto überschreiten würde.
Wenn ein Job ausgeführt wird und die Analyse geeigneter Objekte dieses Kontingent für ein Mitgliedskonto erreicht, beendet der Job die Analyse von Objekten, die dem Konto gehören. Wenn der Job die Analyse der Objekte für alle anderen Konten abgeschlossen hat, die das Kontingent nicht erfüllt haben, unterbricht Macie den Job automatisch. Handelt es sich um einen einmaligen Job, nimmt Macie den Job automatisch wieder auf, wenn der nächste Kalendermonat beginnt, oder das Kontingent wird für alle betroffenen Konten erhöht, je nachdem, was zuerst eintritt. Handelt es sich um einen periodischen Job, nimmt Macie den Job automatisch wieder auf, wenn der nächste Lauf geplant ist oder der nächste Kalendermonat beginnt, je nachdem, was zuerst eintritt. Wenn eine geplante Ausführung vor Beginn des nächsten Kalendermonats beginnt oder das Kontingent für ein betroffenes Konto erhöht wird, analysiert der Job keine Objekte, die dem Konto gehören.
**Angehalten (vom Benutzer)**
Bei jeder Art von Job wurde der Job vorübergehend von Ihnen gestoppt (pausiert).
Wenn Sie einen einmaligen Job pausieren und ihn nicht innerhalb von 30 Tagen wieder aufnehmen, läuft der Job ab und Macie storniert ihn. Wenn Sie einen regelmäßigen Job unterbrechen, während er aktiv ausgeführt wird, und Sie ihn nicht innerhalb von 30 Tagen wieder aufnehmen, läuft die Ausführung des Jobs ab und Macie bricht den Lauf ab. Um das Ablaufdatum eines unterbrochenen Auftrags oder einer Auftragsausführung zu überprüfen, wählen Sie den Namen des Auftrags in der Tabelle aus und suchen Sie dann im Bereich **Statusdetails** im Detailbereich nach dem Feld **Läuft ab**.
Wenn ein Auftrag storniert oder angehalten wurde, können Sie anhand der Auftragsdetails feststellen, ob die Ausführung des Jobs gestartet wurde oder, bei einem periodischen Job, mindestens einmal ausgeführt wurde, bevor er abgebrochen oder angehalten wurde. Wählen Sie dazu den Namen des Jobs in der Tabelle **Jobs** aus und schauen Sie dann im Detailbereich nach. Im Bereich gibt das Feld **Anzahl der Durchläufe** an, wie oft der Job ausgeführt wurde. Das Feld **Letzte Laufzeit** gibt das Datum und die Uhrzeit an, zu der der Job zuletzt gestartet wurde.
Abhängig vom aktuellen Status des Jobs können Sie den Job optional anhalten, fortsetzen oder abbrechen. Weitere Informationen finden Sie unter [Den Status eines Jobs ändern](discovery-jobs-status-change.md).
# Den Status eines Discovery-Jobs für sensible Daten ändern
Nachdem Sie einen Discovery-Job für sensible Daten erstellt haben, können Sie ihn vorübergehend unterbrechen oder dauerhaft abbrechen. Wenn Sie einen Job anhalten, der aktiv ausgeführt wird, beginnt Amazon Macie sofort damit, alle Verarbeitungsaufgaben für den Job anzuhalten. Wenn Sie einen Job stornieren, der aktiv ausgeführt wird, beginnt Macie sofort, alle Verarbeitungsaufgaben für den Job zu beenden. Sie können einen Job nicht fortsetzen oder neu starten, nachdem er storniert wurde.
Wenn Sie einen einmaligen Auftrag pausieren, können Sie ihn innerhalb von 30 Tagen wieder aufnehmen. Wenn Sie den Job wieder aufnehmen, nimmt Macie die Verarbeitung sofort an dem Punkt wieder auf, an dem Sie den Job unterbrochen haben. Macie startet den Job nicht von Anfang an neu. Wenn Sie einen einmaligen Job nicht innerhalb von 30 Tagen nach der Unterbrechung wieder aufnehmen, läuft der Job ab und Macie storniert ihn.
Wenn Sie einen regelmäßigen Job unterbrechen, können Sie ihn jederzeit wieder aufnehmen. Wenn Sie einen periodischen Job wieder aufnehmen und der Job sich im Leerlauf befand, als Sie ihn angehalten haben, setzt Macie den Job gemäß dem Zeitplan und anderen Konfigurationseinstellungen fort, die Sie bei der Erstellung des Jobs ausgewählt haben. Wenn Sie einen periodischen Job wieder aufnehmen und der Job aktiv ausgeführt wurde, als Sie ihn angehalten haben, hängt die Art und Weise, wie Macie den Job wieder aufnimmt, davon ab, wann Sie den Job wieder aufnehmen:
+ Wenn Sie den Job innerhalb von 30 Tagen nach dem Unterbrechen wieder aufnehmen, nimmt Macie sofort den letzten geplanten Lauf an dem Punkt wieder auf, an dem Sie den Job unterbrochen haben. Macie startet den Lauf nicht von Anfang an neu.
+ Wenn Sie den Job nicht innerhalb von 30 Tagen nach dem Anhalten wieder aufnehmen, läuft die letzte geplante Ausführung ab und Macie bricht alle verbleibenden Verarbeitungsaufgaben für den Lauf ab. Wenn Sie den Job anschließend wieder aufnehmen, setzt Macie den Job gemäß dem Zeitplan und anderen Konfigurationseinstellungen fort, die Sie bei der Erstellung des Jobs ausgewählt haben.
Damit Sie leichter bestimmen können, wann ein angehaltener Job oder eine Auftragsausführung abläuft, fügt Macie den Auftragsdetails ein Ablaufdatum hinzu, während der Job angehalten ist. Darüber hinaus benachrichtigen wir Sie ungefähr sieben Tage vor Ablauf des Auftrags oder der Auftragsausführung. Wir benachrichtigen Sie erneut, wenn der Job oder die Auftragsausführung abläuft und storniert wird. Um Sie zu benachrichtigen, senden wir eine E-Mail an die Adresse, die mit Ihrer verknüpft ist AWS-Konto. Wir erstellen auch AWS Health Events und Amazon CloudWatch Events für Ihr Konto. Um das Ablaufdatum mithilfe der Konsole zu überprüfen, wählen Sie den Namen des Jobs in der Tabelle auf der Seite **Jobs** aus. Sehen Sie sich dann das Feld **Läuft ab** im Abschnitt **Statusdetails** des Detailfensters an. Verwenden Sie den [DescribeClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-jobid.html)Betrieb der Amazon Macie Macie-API, um das Datum programmgesteuert zu überprüfen.
**Um einen Job anzuhalten, fortzusetzen oder abzubrechen**
Gehen Sie wie folgt vor, um einen Job mithilfe der Amazon Macie Macie-Konsole anzuhalten, fortzusetzen oder abzubrechen. Verwenden Sie dazu programmgesteuert den [UpdateClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-jobid.html)Betrieb der Amazon Macie Macie-API.
1. Öffnen Sie die Amazon Macie Macie-Konsole unter [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/).
1. Wählen Sie im Navigationsbereich die Option **Jobs (Aufträge)** aus. Die Seite **Jobs** wird geöffnet und zeigt die Anzahl der Jobs in Ihrem Inventar sowie eine Tabelle dieser Jobs an.
1. Klicken Sie oben auf der Seite auf Aktualisieren (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/btn-refresh-data.png)), um den aktuellen Status der einzelnen Jobs abzurufen.
1. Aktivieren Sie in der Tabelle **Jobs** das Kontrollkästchen für den Job, den Sie anhalten, fortsetzen oder abbrechen möchten. Um den Job schneller zu finden, können Sie die Tabelle mithilfe der Filteroptionen über der Tabelle filtern. Sie können die Tabelle auch in auf- oder absteigender Reihenfolge nach bestimmten Feldern sortieren.
1. Führen Sie im Menü **Aktionen** einen der folgenden Schritte aus:
+ Um den Job vorübergehend anzuhalten, wählen Sie **Pause**. Diese Option ist nur verfügbar, wenn der aktuelle Status des Jobs **Aktiv (Inaktiv)**, **Aktiv (Wird ausgeführt)** oder **Angehalten (Von Macie**) lautet.
+ **Um den Job fortzusetzen, wählen Sie Fortsetzen.** Diese Option ist nur verfügbar, wenn der aktuelle Status des Jobs „**Unterbrochen (vom Benutzer**)“ lautet.
+ **Um den Job dauerhaft abzubrechen, wählen Sie Abbrechen.** Wenn Sie diese Option wählen, können Sie den Job anschließend nicht fortsetzen oder neu starten.
# Einen Discovery-Job für vertrauliche Daten wird kopiert
Um schnell einen Discovery-Job für sensible Daten zu erstellen, der einem vorhandenen Job ähnelt, können Sie eine Kopie des vorhandenen Jobs erstellen. Anschließend können Sie die Einstellungen der Kopie bearbeiten und die Kopie als neuen Job speichern. Dies kann in Fällen hilfreich sein, in denen Sie verschiedene Datensätze auf dieselbe Weise oder denselben Datensatz auf unterschiedliche Weise analysieren möchten. Es kann auch hilfreich sein, wenn Sie die Konfigurationseinstellungen für einen vorhandenen Job anpassen möchten. Stornieren Sie den vorhandenen Job, kopieren Sie ihn und passen Sie die Kopie dann an und speichern Sie die Kopie als neuen Job.
**Um einen Job zu kopieren**
Gehen Sie wie folgt vor, um einen Job mithilfe der Amazon Macie Macie-Konsole zu kopieren. Um einen Job programmgesteuert zu kopieren, rufen Sie mithilfe [DescribeClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-jobid.html)der Amazon Macie Macie-API die Konfigurationseinstellungen für den Job ab, den Sie kopieren möchten. Verwenden Sie dann den [CreateClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs.html)Vorgang, um eine Kopie des Jobs zu erstellen.
1. Öffnen Sie die Amazon Macie Macie-Konsole unter [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/).
1. Wählen Sie im Navigationsbereich die Option **Jobs (Aufträge)** aus. Die Seite **Jobs** wird geöffnet und zeigt die Anzahl der Jobs in Ihrem Inventar sowie eine Tabelle dieser Jobs an.
1. Aktivieren Sie in der Tabelle **Jobs** das Kontrollkästchen für den Job, den Sie kopieren möchten. Um den Job schneller zu finden, können Sie die Tabelle mithilfe der Filteroptionen über der Tabelle filtern. Sie können die Tabelle auch in auf- oder absteigender Reihenfolge nach bestimmten Feldern sortieren.
1. Wählen Sie im Menü **Aktionen** die Option In neu **kopieren** aus.
1. Führen Sie die Schritte auf der Konsole aus, um die Einstellungen für die Kopie des Jobs zu überprüfen und anzupassen. Erwägen Sie, für **den Schritt „Umfang verfeinern**“ Optionen auszuwählen, die verhindern, dass der Job vorhandene Daten erneut auf dieselbe Weise analysiert:
+ Verwenden Sie für einen einmaligen Job [Objektkriterien](discovery-jobs-scope.md#discovery-jobs-scope-criteria), um nur die Objekte einzubeziehen, die nach einer bestimmten Zeit erstellt oder geändert wurden. Wenn Sie beispielsweise eine Kopie eines Auftrags erstellen, den Sie storniert haben, fügen Sie die Bedingung **Letzte Änderung** hinzu, die das Datum und die Uhrzeit angibt, zu der Sie den vorhandenen Auftrag storniert haben.
+ Deaktivieren Sie für einen periodischen Auftrag das Kontrollkästchen **Bestehende Objekte einbeziehen**. In diesem Fall werden bei der ersten Ausführung des Jobs nur die Objekte analysiert, die nach der Erstellung des Jobs und vor der ersten Ausführung des Jobs erstellt oder geändert wurden. Sie können auch [Objektkriterien](discovery-jobs-scope.md#discovery-jobs-scope-criteria) verwenden, um Objekte auszuschließen, die vor einem bestimmten Datum und einer bestimmten Uhrzeit zuletzt geändert wurden.
Weitere Informationen zu diesem und anderen Schritten finden Sie unter[Erstellen einer Aufgabe zur Erkennung vertraulicher Daten](discovery-jobs-create.md).
1. Wenn Sie fertig sind, wählen Sie „**Senden**“, um die Kopie als neuen Job zu speichern.
Wenn Sie den Job so konfiguriert haben, dass er einmal, täglich oder am aktuellen Wochentag oder Monat ausgeführt wird, startet Macie den Job sofort nach dem Speichern. Andernfalls bereitet sich Macie darauf vor, den Job am angegebenen Wochentag oder Monat auszuführen. Um den Job zu überwachen, können Sie [den Status des Jobs überprüfen](discovery-jobs-status-check.md).
# Überwachung von Aufträgen zur Erkennung sensibler Daten mit CloudWatch Logs
Sie können nicht nur [den Gesamtstatus eines Discovery-Jobs für sensible Daten überwachen](discovery-jobs-status-check.md) und analysieren, sondern auch bestimmte Ereignisse überwachen und analysieren, die im Verlauf eines Auftrags auftreten. Sie können dies tun, indem Sie Protokolldaten nahezu in Echtzeit verwenden, die Amazon Macie automatisch in Amazon CloudWatch Logs veröffentlicht. Die Daten in diesen Protokollen zeichnen Änderungen am Fortschritt oder Status eines Auftrags auf. Sie können die Daten beispielsweise verwenden, um das genaue Datum und die Uhrzeit zu ermitteln, zu der die Ausführung eines Jobs gestartet, unterbrochen oder beendet wurde.
Die Protokolldaten enthalten auch Details zu Fehlern auf Konto- oder Bucket-Ebene, die während der Ausführung eines Jobs auftreten. Macie protokolliert beispielsweise ein Ereignis, wenn die Berechtigungseinstellungen für einen Amazon Simple Storage Service (Amazon S3) -Bucket verhindern, dass ein Job Objekte im Bucket analysiert. Das Ereignis gibt an, wann der Fehler aufgetreten ist, und identifiziert den betroffenen Bucket und den Bucket AWS-Konto , dem der Bucket gehört. Die Daten für diese Ereignistypen können Ihnen helfen, Fehler zu identifizieren, zu untersuchen und zu beheben, die Macie daran hindern, die gewünschten Daten zu analysieren.
Mit Amazon CloudWatch Logs können Sie Protokolldateien von mehreren Systemen, Anwendungen und, einschließlich Macie, überwachen, speichern und AWS-Services darauf zugreifen. Sie können auch Protokolldaten abfragen und analysieren und CloudWatch Protokolle so konfigurieren, dass Sie benachrichtigt werden, wenn bestimmte Ereignisse eintreten oder Schwellenwerte erreicht werden. CloudWatch Logs bietet auch Funktionen zum Archivieren von Protokolldaten und zum Exportieren der Daten nach Amazon S3. Weitere Informationen zu CloudWatch Logs finden Sie im [Amazon CloudWatch Logs-Benutzerhandbuch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html).
**Topics**
+ [Wie funktioniert die Protokollierung für Jobs](discovery-jobs-monitor-cw-logs-configure.md)
+ [Protokolle für Jobs überprüfen](discovery-jobs-monitor-cw-logs-review.md)
+ [Grundlegendes zu Protokollereignissen für Jobs](discovery-jobs-monitor-cw-logs-ref.md)
# So funktioniert die Protokollierung bei Aufträgen zur Erkennung sensibler Daten
Wenn Sie mit der Ausführung von Aufträgen zur Erkennung sensibler Daten beginnen, erstellt und konfiguriert Amazon Macie automatisch die entsprechenden Ressourcen in Amazon CloudWatch Logs, um Ereignisse für all Ihre Jobs zu protokollieren. Macie veröffentlicht dann automatisch Ereignisdaten auf diesen Ressourcen, wenn Ihre Jobs ausgeführt werden. Die Berechtigungsrichtlinie für die [dienstbezogene Macie-Rolle](service-linked-roles.md) für Ihr Konto ermöglicht es Macie, diese Aufgaben in Ihrem Namen auszuführen. Sie müssen keine Schritte unternehmen, um Ressourcen in CloudWatch Logs zu erstellen oder zu konfigurieren, um Ereignisdaten für Ihre Jobs zu protokollieren.
In CloudWatch Logs sind Logs in *Protokollgruppen* organisiert. Jede Protokollgruppe enthält *Protokollstreams*. Jeder Protokollstream enthält *Protokollereignisse*. Der allgemeine Zweck jeder dieser Ressourcen ist wie folgt:
+ Eine *Protokollgruppe* ist eine Sammlung von Protokollströmen, die dieselben Einstellungen für Aufbewahrung, Überwachung und Zugriffskontrolle verwenden, z. B. die Sammlung von Protokollen für all Ihre Aufgaben zur Erkennung vertraulicher Daten.
+ Ein *Protokollstream* ist eine Abfolge von Protokollereignissen, die dieselbe Quelle verwenden, z. B. eine einzelne Aufgabe zur Erkennung vertraulicher Daten.
+ Ein *Protokollereignis* ist eine Aufzeichnung einer Aktivität, die von einer Anwendung oder Ressource aufgezeichnet wurde, z. B. ein einzelnes Ereignis, das Macie für einen bestimmten Discovery-Job für sensible Daten aufgezeichnet und veröffentlicht hat.
Macie veröffentlicht Ereignisse für alle Ihre Aufgaben zur Erkennung sensibler Daten in einer Protokollgruppe. Jeder Job hat einen eigenen Protokollstream in dieser Protokollgruppe. Die Protokollgruppe hat das folgende Präfix und den folgenden Namen:
`/aws/macie/classificationjobs`
Wenn diese Protokollgruppe bereits existiert, verwendet Macie sie, um Protokollereignisse für Ihre Jobs zu speichern. Dies kann hilfreich sein, wenn Ihre Organisation automatisierte Konfigurationen verwendet, z. B. [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)um Protokollgruppen mit vordefinierten Aufbewahrungszeiträumen, Verschlüsselungseinstellungen, Tags, metrischen Filtern usw. für Auftragsereignisse zu erstellen.
Wenn diese Protokollgruppe nicht existiert, erstellt Macie sie mit den Standardeinstellungen, die CloudWatch Logs für neue Protokollgruppen verwendet. Die Einstellungen beinhalten eine Aufbewahrungsfrist von **Never Expire**, was bedeutet, dass CloudWatch Logs die Protokolle auf unbestimmte Zeit speichert. Sie können den Aufbewahrungszeitraum für die Protokollgruppe ändern. Wie das geht, erfahren Sie unter [Arbeiten mit Protokollgruppen und Log-Streams](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html) im *Amazon CloudWatch Logs-Benutzerhandbuch*.
Innerhalb dieser Protokollgruppe erstellt Macie einen eindeutigen Protokollstream für jeden Job, den Sie ausführen, wenn der Job zum ersten Mal ausgeführt wird. Der Name des Protokollstreams ist die eindeutige Kennung für den Job, z. B. `85a55dc0fa6ed0be5939d0408example` im folgenden Format:
`/aws/macie/classificationjobs/85a55dc0fa6ed0be5939d0408example`
Jeder Protokollstream enthält alle Protokollereignisse, die Macie für den entsprechenden Job aufgezeichnet und veröffentlicht hat. Bei periodischen Jobs umfasst dies Ereignisse für alle Jobausführungen. Wenn Sie den Protokollstream für einen periodischen Job löschen, erstellt Macie den Stream erneut, wenn der Job das nächste Mal ausgeführt wird. Wenn Sie den Protokollstream für einen einmaligen Job löschen, können Sie ihn nicht wiederherstellen.
Beachten Sie, dass die Protokollierung standardmäßig für alle Ihre Jobs aktiviert ist. Sie können es nicht deaktivieren oder Macie auf andere Weise daran hindern, Job-Ereignisse in CloudWatch Logs zu veröffentlichen. Wenn Sie die Protokolle nicht speichern möchten, können Sie die Aufbewahrungsfrist für die Protokollgruppe auf nur einen Tag reduzieren. Am Ende des Aufbewahrungszeitraums löscht CloudWatch Logs automatisch abgelaufene Ereignisdaten aus der Protokollgruppe.
# Überprüfung der Protokolle bei Aufträgen zur Erkennung sensibler Daten
Nachdem Sie mit der Ausführung von Aufträgen zur Erkennung sensibler Daten in Amazon Macie begonnen haben, können Sie die Protokolle für Ihre Jobs mithilfe von Amazon CloudWatch Logs überprüfen. CloudWatch Logs bietet Funktionen, mit denen Sie Protokolldaten überprüfen, analysieren und überwachen können. Sie können diese Funktionen verwenden, um mit Protokolldatenströmen und Ereignissen für Jobs zu arbeiten, genauso wie Sie mit allen anderen Protokolldatentypen in CloudWatch Logs arbeiten würden.
Sie können beispielsweise aggregierte Daten durchsuchen und filtern, um bestimmte Arten von Ereignissen zu identifizieren, die für alle Ihre Jobs in einem bestimmten Zeitraum aufgetreten sind. Oder Sie können eine gezielte Überprüfung aller Ereignisse durchführen, die für einen bestimmten Job eingetreten sind. CloudWatch Logs bietet auch Optionen für die Überwachung von Protokolldaten, die Definition von Metrikfiltern und die Erstellung benutzerdefinierter Alarme.
**Tipp**
Um schnell zu den Protokolldaten für einen bestimmten Job zu navigieren, können Sie die Amazon Macie Macie-Konsole verwenden. Wählen Sie dazu auf der Seite **Jobs den Namen des Jobs** aus. Wählen Sie oben im Detailbereich die Option **Ergebnisse anzeigen** und anschließend ** CloudWatch Protokolle anzeigen** aus. Macie öffnet die CloudWatch Amazon-Konsole und zeigt eine Tabelle mit Protokollereignissen für den Job an.
**Um die Protokolle von Aufträgen zur Erkennung sensibler Daten zu überprüfen**
Gehen Sie wie folgt vor, um mithilfe der CloudWatch Amazon-Konsole zu den Protokolldaten zu navigieren und diese zu überprüfen. Verwenden Sie die [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/Welcome.html) API, um die Daten programmgesteuert zu überprüfen.
1. Öffnen Sie die CloudWatch Konsole unter. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)
1. Wählen Sie mithilfe der AWS-Region Auswahl in der oberen rechten Ecke der Seite die Region aus, in der Sie Jobs ausgeführt haben, für die Sie Logs überprüfen möchten.
1. Wählen Sie im Navigationsbereich **Logs** (Protokolle) und dann **Log groups** (Protokollgruppen) aus.
1. Wählen Sie auf der Seite **Protokollgruppen** die Protokollgruppe**/aws/macie/classificationjobs**aus. CloudWatch zeigt eine Tabelle mit Log-Streams für die Jobs an, die Sie ausgeführt haben. Für jeden Job gibt es einen eindeutigen Stream. Der Name jedes Streams entspricht der eindeutigen Kennung für einen Job.
1. Führen Sie auf der Registerkarte **Log-Streams** einen der folgenden Schritte aus:
+ Um die Protokollereignisse für einen bestimmten Job zu überprüfen, wählen Sie den Log-Stream für den Job aus. Um den Stream leichter zu finden, geben Sie die eindeutige Kennung des Jobs in das Filterfeld über der Tabelle ein. Nachdem Sie den Protokollstream ausgewählt haben, CloudWatch wird eine Tabelle mit Protokollereignissen für den Job angezeigt.
+ Um die Protokollereignisse für alle Ihre Jobs zu überprüfen, wählen Sie **Alle Protokollstreams durchsuchen** aus. CloudWatch zeigt eine Tabelle mit Protokollereignissen für all Ihre Jobs an.
1. (Optional) Geben Sie in das Filterfeld über der Tabelle Begriffe, Ausdrücke oder Werte ein, die die Merkmale bestimmter Ereignisse angeben, die überprüft werden sollen. Weitere Informationen finden Sie unter [Durchsuchen von Protokolldaten mithilfe von Filtermustern](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/SearchDataFilterPattern.html) im *Amazon CloudWatch Logs-Benutzerhandbuch*.
1. Um die Details eines bestimmten Protokollereignisses zu überprüfen, wählen Sie in der Zeile für das Ereignis die Option expand (![\[The expand row icon, which is a right-facing solid arrow.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/icon-caret-right-filled.png)) aus. CloudWatch zeigt die Details des Ereignisses im JSON-Format an. Weitere Informationen zu diesen Details finden Sie unter[Grundlegendes zu Protokollereignissen für Jobs](discovery-jobs-monitor-cw-logs-ref.md).
Wenn Sie sich mit den Daten in den Protokollereignissen vertraut machen, können Sie zusätzliche Aufgaben ausführen, um die Analyse und Überwachung der Daten zu optimieren. Sie können beispielsweise [Metrikfilter erstellen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/MonitoringLogData.html), die Protokolldaten in numerische CloudWatch Metriken umwandeln. Sie können auch [benutzerdefinierte Alarme erstellen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html), die es einfacher machen, bestimmte Protokollereignisse zu identifizieren und darauf zu reagieren. Weitere Informationen finden Sie im [Amazon CloudWatch Logs-Benutzerhandbuch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html).
# Grundlegendes zu Protokollereignissen bei Aufträgen zur Erkennung sensibler Daten
Um Sie bei der Überwachung Ihrer Discovery-Jobs für sensible Daten zu unterstützen, veröffentlicht Amazon Macie automatisch Protokolldaten für Jobs in Amazon CloudWatch Logs. Die Daten in diesen Protokollen enthalten eine Aufzeichnung der Änderungen am Fortschritt oder Status eines Auftrags. Sie können die Daten beispielsweise verwenden, um das genaue Datum und die Uhrzeit zu ermitteln, zu der ein Job gestartet oder beendet wurde. Die Daten enthalten auch Details zu bestimmten Arten von Fehlern, die bei der Ausführung eines Jobs auftreten können. Mithilfe dieser Daten können Sie Fehler identifizieren, untersuchen und beheben, die Macie daran hindern, die gewünschten Daten zu analysieren.
Wenn Sie mit der Ausführung von Jobs beginnen, erstellt und konfiguriert Macie automatisch die entsprechenden Ressourcen in CloudWatch Logs, um Ereignisse für all Ihre Jobs zu protokollieren. Macie veröffentlicht dann automatisch Ereignisdaten auf diesen Ressourcen, wenn Ihre Jobs ausgeführt werden. Weitere Informationen finden Sie unter [Wie funktioniert die Protokollierung für Jobs](discovery-jobs-monitor-cw-logs-configure.md).
Mithilfe von CloudWatch Logs können Sie dann Protokolldaten für Ihre Jobs abfragen und analysieren. Sie können beispielsweise aggregierte Daten durchsuchen und filtern, um bestimmte Arten von Ereignissen zu identifizieren, die bei all Ihren Jobs in einem bestimmten Zeitraum aufgetreten sind. Oder Sie können eine gezielte Überprüfung aller Ereignisse durchführen, die für einen bestimmten Job eingetreten sind. CloudWatch Logs bietet auch Optionen für die Überwachung von Protokolldaten, die Definition von Metrikfiltern und die Erstellung benutzerdefinierter Alarme. Sie können CloudWatch Protokolle beispielsweise so konfigurieren, dass Sie benachrichtigt werden, wenn bei der Ausführung Ihrer Jobs ein bestimmter Ereignistyp eintritt. Weitere Informationen finden Sie im [Amazon CloudWatch Logs-Benutzerhandbuch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html).
**Contents**
+ [Ereignisschema für Jobs protokollieren](#discovery-jobs-monitor-cw-logs-schema)
+ [Arten von Protokollereignissen für Jobs](#discovery-jobs-monitor-cw-logs-event-index)
+ [Ereignisse zum Jobstatus](#discovery-jobs-monitor-cw-logs-event-index-status)
+ [Fehlerereignisse auf Kontoebene](#discovery-jobs-monitor-cw-logs-event-index-account-errors)
+ [Fehlerereignisse auf Bucket-Ebene](#discovery-jobs-monitor-cw-logs-event-index-bucket-errors)
## Protokollereignisschema für Aufgaben zur Erkennung sensibler Daten
Jedes Protokollereignis für einen Discovery-Job für sensible Daten ist ein JSON-Objekt, das einen Standardsatz von Feldern enthält und dem Amazon CloudWatch Logs-Ereignisschema entspricht. Einige Ereignistypen verfügen über zusätzliche Felder, die Informationen enthalten, die für diese Art von Ereignis besonders nützlich sind. Ereignisse für Fehler auf Kontoebene beinhalten beispielsweise die Konto-ID der betroffenen Person. AWS-Konto Zu den Ereignissen für Fehler auf Bucket-Ebene gehört der Name des betroffenen Amazon Simple Storage Service (Amazon S3) -Buckets.
Das folgende Beispiel zeigt das Protokollereignisschema für Aufträge zur Erkennung sensibler Daten. In diesem Beispiel meldet das Ereignis, dass Amazon Macie keine Objekte in einem S3-Bucket analysieren konnte, weil Amazon S3 den Zugriff auf den Bucket verweigert hat.
```
{
"adminAccountId": "123456789012",
"jobId": "85a55dc0fa6ed0be5939d0408example",
"eventType": "BUCKET_ACCESS_DENIED",
"occurredAt": "2024-04-14T17:11:30.574809Z",
"description": "Macie doesn’t have permission to access the affected S3 bucket.",
"jobName": "My_Macie_Job",
"operation": "ListObjectsV2",
"runDate": "2024-04-14T17:08:30.345809Z",
"affectedAccount": "111122223333",
"affectedResource": {
"type": "S3_BUCKET_NAME",
"value": "amzn-s3-demo-bucket"
}
}
```
Im vorherigen Beispiel hat Macie versucht, die Objekte des Buckets mithilfe der [ListObjectsV2-Operation](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html) der Amazon S3 S3-API aufzulisten. Als Macie die Anfrage an Amazon S3 sendete, verweigerte Amazon S3 den Zugriff auf den Bucket.
Die folgenden Felder sind allen Protokollereignissen für Aufgaben zur Erkennung sensibler Daten gemeinsam:
+ `adminAccountId`— Die eindeutige Kennung für den AWS-Konto , der den Job erstellt hat.
+ `jobId`— Die eindeutige Kennung für den Job.
+ `eventType`— Die Art des Ereignisses, das eingetreten ist.
+ `occurredAt`— Datum und Uhrzeit in koordinierter Weltzeit (UTC) und erweitertem ISO 8601-Format, an dem das Ereignis eingetreten ist.
+ `description`— Eine kurze Beschreibung des Ereignisses.
+ `jobName`— Der Name des Jobs.
Je nach Art und Art eines Ereignisses kann ein Protokollereignis auch die folgenden Felder enthalten:
+ `affectedAccount`— Die eindeutige Kennung für die Person AWS-Konto , der die betroffene Ressource gehört.
+ `affectedResource`— Ein JSON-Objekt, das Details zur betroffenen Ressource bereitstellt. Im Objekt gibt das `type` Feld ein Feld an, das Metadaten zu einer Ressource speichert. Das `value` Feld gibt den Wert für das Feld an (`type`).
+ `operation`— Der Vorgang, den Macie auszuführen versucht hat und der den Fehler verursacht hat.
+ `runDate`— Datum und Uhrzeit in koordinierter Weltzeit (UTC) und erweitertem ISO 8601-Format, an dem der entsprechende Job oder die Ausführung des Jobs gestartet wurde.
## Arten von Protokollereignissen für Aufgaben zur Erkennung sensibler Daten
Amazon Macie veröffentlicht Protokollereignisse für drei Kategorien von Ereignissen, die bei einem Discovery-Job für sensible Daten auftreten können:
+ Jobstatusereignisse, die Änderungen am Status oder Fortschritt eines Jobs oder einer Jobausführung aufzeichnen.
+ Fehlerereignisse auf Kontoebene, bei denen Fehler aufgezeichnet werden, die Macie daran gehindert haben, Amazon S3 S3-Daten auf bestimmte Weise zu analysieren. AWS-Konto
+ Fehlerereignisse auf Bucket-Ebene, bei denen Fehler aufgezeichnet werden, die Macie daran gehindert haben, Daten in einem bestimmten S3-Bucket zu analysieren.
In den Themen dieses Abschnitts sind die Ereignistypen aufgeführt und beschrieben, die Macie für jede Kategorie veröffentlicht.
### Ereignisse zum Jobstatus
Ein Jobstatusereignis zeichnet eine Änderung des Status oder des Fortschritts eines Auftrags oder einer Auftragsausführung auf. Bei periodischen Jobs protokolliert und veröffentlicht Macie diese Ereignisse sowohl für den gesamten Job als auch für einzelne Jobläufe.
Im folgenden Beispiel werden anhand von Beispieldaten die Struktur und Art der Felder in einem Jobstatusereignis veranschaulicht. In diesem Beispiel weist ein `SCHEDULED_RUN_COMPLETED` Ereignis darauf hin, dass eine geplante Ausführung eines periodischen Jobs beendet wurde. Der Lauf begann am 14. April 2024 um 17:09:30 UTC, wie aus dem Feld hervorgeht. `runDate` Der Lauf endete am 14. April 2024 um 17:16:30 Uhr UTC, wie aus dem Feld hervorgeht. `occurredAt`
```
{
"adminAccountId": "123456789012",
"jobId": "ffad0e71455f38a4c7c220f3cexample",
"eventType": "SCHEDULED_RUN_COMPLETED",
"occurredAt": "2024-04-14T17:16:30.574809Z",
"description": "The scheduled job run finished running.",
"jobName": "My_Daily_Macie_Job",
"runDate": "2024-04-14T17:09:30.574809Z"
}
```
In der folgenden Tabelle sind die Typen von Jobstatusereignissen aufgeführt und beschrieben, die Macie protokolliert und in Logs veröffentlicht. CloudWatch In der Spalte **Ereignistyp** wird der Name jedes Ereignisses so angegeben, wie er im `eventType` Feld eines Ereignisses erscheint. Die Spalte **Beschreibung** enthält eine kurze Beschreibung des Ereignisses, wie es im `description` Feld eines Ereignisses angezeigt wird. Die **zusätzlichen Informationen** enthalten Informationen über die Art des Jobs, für den sich das Ereignis bezieht. Die Tabelle ist zuerst nach der allgemeinen chronologischen Reihenfolge sortiert, in der Ereignisse auftreten können, und dann in aufsteigender alphabetischer Reihenfolge nach Ereignistyp.
| Ereignistyp | Description | Zusätzliche Informationen |
| --- | --- | --- |
| JOB\$1CREATED | Der Job wurde erstellt. | Gilt für einmalige und regelmäßige Jobs. |
| ONE\$1TIME\$1JOB\$1STARTED | Der Job wurde gestartet. | Gilt nur für einmalige Jobs. |
| SCHEDULED\$1RUN\$1STARTED | Der geplante Joblauf wurde gestartet. | Gilt nur für periodische Jobs. Um den Start eines einmaligen Jobs zu protokollieren, veröffentlicht Macie ein ONE\$1TIME\$1JOB\$1STARTED-Ereignis, nicht dieses Ereignis. |
| BUCKET\$1MATCHED\$1THE\$1CRITERIA | Der betroffene Bucket entsprach den für den Job angegebenen Bucket-Kriterien. | Gilt für einmalige und regelmäßige Jobs, bei denen anhand von Runtime-Bucket-Kriterien bestimmt wird, welche S3-Buckets analysiert werden sollen. Das `affectedResource` Objekt gibt den Namen des Buckets an, der den Kriterien entsprach und in die Analyse des Jobs aufgenommen wurde. |
| NO\$1BUCKETS\$1MATCHED\$1THE\$1CRITERIA | Der Job wurde gestartet, aber derzeit entsprechen keine Buckets den für den Job angegebenen Bucket-Kriterien. Der Job hat keine Daten analysiert. | Gilt für einmalige und regelmäßige Jobs, bei denen anhand von Runtime-Bucket-Kriterien bestimmt wird, welche S3-Buckets analysiert werden sollen. |
| SCHEDULED\$1RUN\$1COMPLETED | Die Ausführung des geplanten Auftrags wurde abgeschlossen. | Gilt nur für periodische Jobs. Um den Abschluss eines einmaligen Jobs zu protokollieren, veröffentlicht Macie ein JOB\$1COMPLETED-Ereignis, nicht dieses Ereignis. |
| JOB\$1PAUSED\$1BY\$1USER | Der Job wurde von einem Benutzer angehalten. | Gilt für einmalige und regelmäßige Jobs, die Sie vorübergehend beendet (angehalten) haben. |
| JOB\$1RESUMED\$1BY\$1USER | Der Job wurde von einem Benutzer wieder aufgenommen. | Gilt für einmalige und regelmäßige Aufträge, die Sie vorübergehend beendet (angehalten) und später wieder aufgenommen haben. |
| JOB\$1PAUSED\$1BY\$1MACIE\$1SERVICE\$1QUOTA\$1MET | Der Job wurde von Macie unterbrochen. Die Fertigstellung des Auftrags würde ein monatliches Kontingent für das betroffene Konto überschreiten. | Gilt für einmalige und regelmäßige Aufträge, die Macie vorübergehend beendet (angehalten) hat. Macie unterbricht einen Job automatisch, wenn die zusätzliche Verarbeitung durch den Job oder eine Auftragsausführung das monatliche [Kontingent für die Erkennung sensibler Daten](macie-quotas.md) für ein oder mehrere Konten, für die der Job Daten analysiert, überschreiten würde. Um dieses Problem zu vermeiden, sollten Sie erwägen, das Kontingent für die betroffenen Konten zu erhöhen. |
| JOB\$1RESUMED\$1BY\$1MACIE\$1SERVICE\$1QUOTA\$1LIFTED | Der Job wurde von Macie wieder aufgenommen. Das monatliche Servicekontingent für das betroffene Konto wurde aufgehoben. | Gilt für einmalige und regelmäßige Aufträge, die Macie vorübergehend beendet (angehalten) und später wieder aufgenommen hat. Wenn Macie einen einmaligen Job automatisch angehalten hat, nimmt Macie den Job automatisch wieder auf, wenn der Folgemonat beginnt oder die monatliche Quote für die Erkennung sensibler Daten für alle betroffenen Konten erhöht wird, je nachdem, was zuerst eintritt. Wenn Macie einen regelmäßigen Job automatisch angehalten hat, nimmt Macie den Job automatisch wieder auf, wenn der nächste Lauf geplant ist oder der darauffolgende Monat beginnt, je nachdem, was zuerst eintritt. |
| JOB\$1CANCELLED | Der Job wurde storniert. | Gilt für einmalige und regelmäßige Jobs, die Sie dauerhaft beendet (storniert) oder, bei einmaligen Aufträgen, pausiert und nicht innerhalb von 30 Tagen wieder aufgenommen haben. Wenn Sie Macie sperren oder deaktivieren, gilt diese Art von Ereignis auch für Jobs, die aktiv oder pausiert waren, als Sie Macie gesperrt oder deaktiviert haben. Macie storniert deine Jobs automatisch, AWS-Region wenn du Macie in der Region sperrst oder deaktivierst. |
| JOB\$1COMPLETED | Die Ausführung des Jobs wurde abgeschlossen. | Gilt nur für einmalige Jobs. Um den Abschluss eines Auftrags zu protokollieren, der für einen periodischen Job ausgeführt wird, veröffentlicht Macie ein SCHEDULED\$1RUN\$1COMPLETED-Ereignis, nicht diesen Ereignistyp. |
### Fehlerereignisse auf Kontoebene
Ein Fehlerereignis auf Kontoebene zeichnet einen Fehler auf, der Macie daran hinderte, Objekte in S3-Buckets zu analysieren, die einer bestimmten Person gehören. AWS-Konto Das `affectedAccount` Feld in jedem Ereignis gibt die Konto-ID für dieses Konto an.
Im folgenden Beispiel werden anhand von Beispieldaten die Struktur und Art der Felder in einem Fehlerereignis auf Kontoebene veranschaulicht. In diesem Beispiel weist ein `ACCOUNT_ACCESS_DENIED` Ereignis darauf hin, dass Macie keine Objekte in S3-Buckets analysieren konnte, die einem Konto gehören. `444455556666`
```
{
"adminAccountId": "123456789012",
"jobId": "85a55dc0fa6ed0be5939d0408example",
"eventType": "ACCOUNT_ACCESS_DENIED",
"occurredAt": "2024-04-14T17:08:30.585709Z",
"description": "Macie doesn’t have permission to access S3 bucket data for the affected account.",
"jobName": "My_Macie_Job",
"operation": "ListBuckets",
"runDate": "2024-04-14T17:05:27.574809Z",
"affectedAccount": "444455556666"
}
```
In der folgenden Tabelle sind die Arten von Fehlerereignissen auf Kontoebene aufgeführt und beschrieben, die Macie protokolliert und in Logs veröffentlicht. CloudWatch In der Spalte **Ereignistyp** wird der Name jedes Ereignisses so angegeben, wie er im `eventType` Feld eines Ereignisses erscheint. Die Spalte **Beschreibung** enthält eine kurze Beschreibung des Ereignisses, wie es im `description` Feld eines Ereignisses angezeigt wird. Die Spalte **Zusätzliche Informationen** enthält alle anwendbaren Tipps zur Untersuchung oder Behebung des aufgetretenen Fehlers. Die Tabelle ist in aufsteigender alphabetischer Reihenfolge nach Ereignistyp sortiert.
| Ereignistyp | Description | Zusätzliche Informationen |
| --- | --- | --- |
| ACCOUNT\$1ACCESS\$1DENIED | Macie hat keine Berechtigung, auf S3-Bucket-Daten für das betroffene Konto zuzugreifen. | Dies liegt in der Regel daran, dass für die Buckets, die dem Konto gehören, restriktive Bucket-Richtlinien gelten. Informationen zur Behebung dieses Problems finden Sie unter[Macie darf auf S3-Buckets und -Objekte zugreifen](monitoring-restrictive-s3-buckets.md). Anhand des Werts für das `operation` Feld im Ereignis können Sie ermitteln, welche Berechtigungseinstellungen Macie daran gehindert haben, auf S3-Daten für das Konto zuzugreifen. Dieses Feld gibt den Amazon S3 S3-Vorgang an, den Macie auszuführen versuchte, als der Fehler auftrat. |
| ACCOUNT\$1DISABLED | Der Job hat Ressourcen übersprungen, die dem betroffenen Konto gehören. Macie wurde für das Konto deaktiviert. | Um dieses Problem zu beheben, aktivieren Sie Macie erneut für das Konto in demselben. AWS-Region |
| ACCOUNT\$1DISASSOCIATED | Der Job hat Ressourcen übersprungen, die dem betroffenen Konto gehören. Das Konto ist nicht mehr mit Ihrem Macie-Administratorkonto als Mitgliedskonto verknüpft. | Dies ist der Fall, wenn Sie als Macie-Administrator für eine Organisation einen Job zur Analyse von Daten für ein Mitgliedskonto konfigurieren und das Konto später aus Ihrer Organisation entfernt wird. Um dieses Problem zu beheben, ordnen Sie das betroffene Konto erneut Ihrem Macie-Administratorkonto als Mitgliedskonto zu. Weitere Informationen finden Sie unter [Verwalten mehrerer Konten](macie-accounts.md). |
| ACCOUNT\$1ISOLATED | Der Job hat Ressourcen übersprungen, die dem betroffenen Konto gehören. Der AWS-Konto war isoliert. | – |
| ACCOUNT\$1REGION\$1DISABLED | Der Job hat Ressourcen übersprungen, die dem betroffenen Konto gehören. Der AWS-Konto ist derzeit AWS-Region nicht aktiv. | – |
| ACCOUNT\$1SUSPENDIERT | Der Job wurde storniert oder es wurden Ressourcen übersprungen, die dem betroffenen Konto gehören. Macie wurde für das Konto gesperrt. | Wenn es sich bei dem angegebenen Konto um Ihr eigenes Konto handelt, hat Macie den Job automatisch storniert, als Sie Macie in derselben Region gesperrt haben. Um das Problem zu beheben, aktivieren Sie Macie in der Region erneut. Wenn es sich bei dem angegebenen Konto um ein Mitgliedskonto handelt, aktivieren Sie Macie erneut für dieses Konto in derselben Region. |
| ACCOUNT\$1TERMINATED | Der Job hat Ressourcen übersprungen, die dem betroffenen Konto gehören. Der AWS-Konto wurde beendet. | – |
### Fehlerereignisse auf Bucket-Ebene
Ein Fehlerereignis auf Bucket-Ebene zeichnet einen Fehler auf, der Macie daran hinderte, Objekte in einem bestimmten S3-Bucket zu analysieren. Das `affectedAccount` Feld in jedem Ereignis gibt die Konto-ID für den Bucket an AWS-Konto , dem der Bucket gehört. Das `affectedResource` Objekt in jedem Ereignis gibt den Namen des Buckets an.
Im folgenden Beispiel werden anhand von Beispieldaten die Struktur und Art der Felder in einem Fehlerereignis auf Bucket-Ebene veranschaulicht. In diesem Beispiel weist ein `BUCKET_ACCESS_DENIED` Ereignis darauf hin, dass Macie keine Objekte im genannten S3-Bucket analysieren konnte. `amzn-s3-demo-bucket` Als Macie versuchte, die Objekte des Buckets mithilfe der [ListObjectsV2-Operation](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html) der Amazon S3-API aufzulisten, verweigerte Amazon S3 den Zugriff auf den Bucket.
```
{
"adminAccountId": "123456789012",
"jobId": "85a55dc0fa6ed0be5939d0408example",
"eventType": "BUCKET_ACCESS_DENIED",
"occurredAt": "2024-04-14T17:11:30.574809Z",
"description": "Macie doesn’t have permission to access the affected S3 bucket.",
"jobName": "My_Macie_Job",
"operation": "ListObjectsV2",
"runDate": "2024-04-14T17:09:30.685209Z",
"affectedAccount": "111122223333",
"affectedResource": {
"type": "S3_BUCKET_NAME",
"value": "amzn-s3-demo-bucket"
}
}
```
In der folgenden Tabelle sind die Arten von Fehlerereignissen auf Bucket-Ebene aufgeführt und beschrieben, die Macie protokolliert und in Logs veröffentlicht. CloudWatch In der Spalte **Ereignistyp** wird der Name jedes Ereignisses so angegeben, wie er im `eventType` Feld eines Ereignisses erscheint. Die Spalte **Beschreibung** enthält eine kurze Beschreibung des Ereignisses, wie es im `description` Feld eines Ereignisses angezeigt wird. Die Spalte **Zusätzliche Informationen** enthält alle anwendbaren Tipps zur Untersuchung oder Behebung des aufgetretenen Fehlers. Die Tabelle ist in aufsteigender alphabetischer Reihenfolge nach Ereignistyp sortiert.
| Ereignistyp | Description | Zusätzliche Informationen |
| --- | --- | --- |
| BUCKET\$1ACCESS\$1DENIED | Macie hat keine Berechtigung, auf den betroffenen S3-Bucket zuzugreifen. | Dies ist in der Regel darauf zurückzuführen, dass für einen Bucket eine restriktive Bucket-Richtlinie gilt. Informationen zur Behebung dieses Problems finden Sie unter[Macie darf auf S3-Buckets und -Objekte zugreifen](monitoring-restrictive-s3-buckets.md). Anhand des Werts für das `operation` Feld im Ereignis können Sie ermitteln, welche Berechtigungseinstellungen Macie daran gehindert haben, auf den Bucket zuzugreifen. Dieses Feld gibt den Amazon S3 S3-Vorgang an, den Macie auszuführen versuchte, als der Fehler auftrat. |
| BUCKET\$1DETAILS\$1UNAVAILABLE | Ein vorübergehendes Problem hinderte Macie daran, Details über den Bucket und die Objekte des Buckets abzurufen. | Dieses Problem tritt auf, wenn Macie aufgrund eines vorübergehenden Problems die Bucket- und Objektmetadaten, die zur Analyse der Objekte eines Buckets benötigt werden, nicht abrufen konnte. Beispielsweise trat eine Amazon S3 S3-Ausnahme auf, als Macie versuchte zu überprüfen, ob er auf den Bucket zugreifen darf. Um das Problem für einen einmaligen Job zu beheben, sollten Sie erwägen, einen neuen einmaligen Job zur Analyse von Objekten im Bucket zu erstellen und auszuführen. Bei einem geplanten Job versucht Macie bei der nächsten Auftragsausführung erneut, die Metadaten abzurufen. |
| BUCKET\$1DOES\$1NOT\$1EXIST | Der betroffene S3-Bucket existiert nicht mehr. | Dies tritt normalerweise auf, weil ein Bucket gelöscht wurde. |
| BUCKET\$1IN\$1DIFFERENT\$1REGION | Der betroffene S3-Bucket wurde in einen anderen verschoben. AWS-Region | – |
| BUCKET\$1OWNER\$1CHANGED | Der Besitzer des betroffenen S3-Buckets hat sich geändert. Macie hat keine Berechtigung mehr, auf den Bucket zuzugreifen. | Dies ist in der Regel der Fall, wenn der Besitz eines Buckets auf einen Bucket übertragen wurde AWS-Konto , der nicht Teil Ihrer Organisation ist. Das `affectedAccount` Feld im Ereignis gibt die Konto-ID für das Konto an, dem der Bucket zuvor gehörte. |
# Prognose und Überwachung der Kosten für Aufgaben zur Erkennung sensibler Daten
Die Preise von Amazon Macie basieren teilweise auf der Datenmenge, die Sie analysieren, indem Sie Erkennungsaufträge für sensible Daten ausführen. Um Ihre geschätzten Kosten für die Ausführung von Aufträgen zur Erkennung sensibler Daten zu prognostizieren und zu überwachen, können Sie die Kostenschätzungen überprüfen, die Macie bei der Erstellung eines Auftrags und nach Beginn der Ausführung von Aufträgen bereitstellt.
Um Ihre tatsächlichen Kosten zu überprüfen und zu überwachen, können Sie Folgendes verwenden AWS Fakturierung und Kostenmanagement. AWS Fakturierung und Kostenmanagement bietet Funktionen, mit denen Sie Ihre Kosten für AWS-Services Ihr Konto oder Ihre Organisation verfolgen und analysieren und Budgets verwalten können. Es bietet auch Funktionen, mit denen Sie Nutzungskosten auf der Grundlage historischer Daten prognostizieren können. Weitere Informationen finden Sie im [AWS Billing -Benutzerhandbuch](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-what-is.html).
Informationen zu den Macie-Preisen finden Sie unter [Amazon Macie Macie-Preise](https://aws.amazon.com/macie/pricing/).
**Topics**
+ [Prognostizieren der Kosten einer Aufgabe](#discovery-jobs-costs-forecast)
+ [Überwachung der geschätzten Kosten für Arbeitsplätze](#discovery-jobs-costs-track)
## Prognose der Kosten für die Suche nach sensiblen Daten
Wenn Sie einen Discovery-Job für sensible Daten erstellen, kann Amazon Macie die geschätzten Kosten in zwei wichtigen Schritten des Auftragserstellungsprozesses berechnen und anzeigen: wenn Sie die Tabelle der S3-Buckets überprüfen, die Sie für den Job ausgewählt haben (Schritt 2), und wenn Sie alle Einstellungen für den Job überprüfen (Schritt 8). Anhand dieser Schätzungen können Sie entscheiden, ob Sie die Einstellungen des Jobs anpassen müssen, bevor Sie den Job speichern. Die Verfügbarkeit und Art der Schätzungen hängen von den Einstellungen ab, die Sie für den Job auswählen.
**Überprüfung der geschätzten Kosten für einzelne Bereiche (Schritt 2)**
Wenn Sie explizit einzelne Bereiche für einen zu analysierenden Job auswählen, können Sie die geschätzten Kosten für die Analyse von Objekten in jedem dieser Bereiche überprüfen. Macie zeigt diese Schätzungen in Schritt 2 des Auftragserstellungsprozesses an, wenn Sie Ihre Bucket-Auswahl überprüfen. In der Tabelle für diesen Schritt gibt das Feld **Geschätzte Kosten** die geschätzten Gesamtkosten (in US-Dollar) für die einmalige Ausführung des Jobs zur Analyse von Objekten in einem Bucket an.
Jede Schätzung spiegelt die voraussichtliche Menge an unkomprimierten Daten wider, die der Job in einem Bucket analysieren wird, basierend auf der Größe und den Typen der Objekte, die derzeit in dem Bucket gespeichert sind. Die Schätzung spiegelt auch die aktuellen Macie-Preise wider. AWS-Region
In der Kostenschätzung für einen Bereich sind nur klassifizierbare Objekte enthalten. Ein *klassifizierbares Objekt* ist ein S3-Objekt, das eine [unterstützte Amazon S3 S3-Speicherklasse](discovery-supported-storage.md#discovery-supported-s3-classes) verwendet und eine Dateinamenerweiterung für ein [unterstütztes Datei- oder Speicherformat](discovery-supported-storage.md#discovery-supported-formats) hat. Wenn es sich bei klassifizierbaren Objekten um komprimierte oder archivierte Dateien handelt, wird bei der Schätzung davon ausgegangen, dass die Dateien ein Komprimierungsverhältnis von 3:1 verwenden und der Job alle extrahierten Dateien analysieren kann.
**Überprüfung der geschätzten Gesamtkosten eines Auftrags (Schritt 8)**
Wenn Sie einen einmaligen Job erstellen oder einen periodischen Job so erstellen und konfigurieren, dass er vorhandene S3-Objekte einbezieht, berechnet Macie die geschätzten Gesamtkosten des Jobs und zeigt sie im letzten Schritt des Auftragserstellungsprozesses an. Sie können diese Schätzung überprüfen, während Sie alle Einstellungen, die Sie für den Job ausgewählt haben, überprüfen und verifizieren.
Diese Schätzung gibt die voraussichtlichen Gesamtkosten (in US-Dollar) für die einmalige Ausführung des Jobs in der aktuellen Region an. Die Schätzung spiegelt die voraussichtliche Menge an unkomprimierten Daten wider, die der Job analysieren wird. Sie basiert auf der Größe und den Typen von Objekten, die derzeit in Buckets gespeichert sind, die Sie explizit für den Job ausgewählt haben, oder auf bis zu 500 Buckets, die aktuell den Bucket-Kriterien entsprechen, die Sie für den Job angegeben haben, je nach den Einstellungen des Jobs.
Beachten Sie, dass diese Schätzung keine Optionen berücksichtigt, die Sie ausgewählt haben, um den Umfang des Jobs zu verfeinern und zu reduzieren, z. B. eine geringere Stichprobentiefe oder Kriterien, die bestimmte S3-Objekte vom Job ausschließen. Es spiegelt auch nicht Ihr monatliches [Kontingent für die Entdeckung sensibler Daten](macie-quotas.md) wider, was den Umfang und die Kosten der Analyse des Jobs einschränken könnte, oder etwaige Rabatte, die für Ihr Konto gelten könnten.
Zusätzlich zu den geschätzten Gesamtkosten des Auftrags enthält die Schätzung aggregierte Daten, die Aufschluss über den voraussichtlichen Umfang und die Kosten des Auftrags geben:
+ **Größenwerte** geben die Gesamtspeichergröße der Objekte an, die der Job analysieren kann und die nicht.
+ Die Werte für die **Objektanzahl** geben die Gesamtzahl der Objekte an, die der Job analysieren kann und die nicht.
In diesen Werten ist ein **klassifizierbares** Objekt ein S3-Objekt, das eine [unterstützte Amazon S3 S3-Speicherklasse](discovery-supported-storage.md#discovery-supported-s3-classes) verwendet und eine Dateinamenerweiterung für ein [unterstütztes Datei- oder Speicherformat](discovery-supported-storage.md#discovery-supported-formats) hat. Nur klassifizierbare Objekte sind in der Kostenschätzung enthalten. Ein **nicht klassifizierbares** Objekt ist ein Objekt, das keine unterstützte Speicherklasse verwendet oder keine Dateinamenerweiterung für ein unterstütztes Datei- oder Speicherformat hat. Diese Objekte sind nicht im Kostenvoranschlag enthalten.
Die Schätzung enthält zusätzliche aggregierte Daten für S3-Objekte, bei denen es sich um komprimierte Dateien oder Archivdateien handelt. Der Wert **Komprimiert** gibt die Gesamtspeichergröße von Objekten an, die eine unterstützte Amazon S3 S3-Speicherklasse verwenden und eine Dateinamenerweiterung für einen unterstützten Typ von komprimierter Datei oder Archivdatei haben. Der Wert **Unkomprimiert** gibt die ungefähre Größe dieser Objekte an, wenn sie dekomprimiert sind, basierend auf einem angegebenen Komprimierungsverhältnis. Diese Daten sind aufgrund der Art und Weise relevant, wie Macie komprimierte Dateien und Archivdateien analysiert.
Wenn Macie eine komprimierte Datei oder eine Archivdatei analysiert, überprüft es sowohl die gesamte Datei als auch den Inhalt der Datei. Um den Inhalt der Datei zu überprüfen, dekomprimiert Macie die Datei und überprüft dann jede extrahierte Datei, die ein unterstütztes Format verwendet. Die tatsächliche Datenmenge, die ein Job analysiert, hängt daher von folgenden Faktoren ab:
+ Ob eine Datei komprimiert wird und, falls ja, welches Komprimierungsverhältnis sie verwendet.
+ Anzahl, Größe und Format der extrahierten Dateien.
Standardmäßig geht Macie bei der Berechnung von Kostenvoranschlägen für einen Auftrag von folgenden Annahmen aus:
+ Alle komprimierten Dateien und Archivdateien verwenden ein Komprimierungsverhältnis von 3:1.
+ Alle extrahierten Dateien verwenden ein unterstütztes Datei- oder Speicherformat.
Diese Annahmen können zu einer umfassenderen Schätzung für den Umfang der Daten führen, die im Auftrag analysiert werden, und folglich zu einer höheren Kostenschätzung für den Auftrag.
Sie können die geschätzten Gesamtkosten des Auftrags auf der Grundlage eines anderen Komprimierungsverhältnisses neu berechnen. **Wählen Sie dazu im Abschnitt Geschätzte Kosten das Verhältnis aus der Liste **Wählen Sie ein geschätztes Kompressionsverhältnis** aus.** Macie aktualisiert dann die Schätzung, sodass sie Ihrer Auswahl entspricht.
Weitere Informationen darüber, wie Macie die geschätzten Kosten berechnet, finden Sie unter. [Grundlegendes zu den geschätzten Nutzungskosten](account-mgmt-costs-calculations.md)
## Überwachung der geschätzten Kosten für Aufgaben zur Erkennung sensibler Daten
Wenn Sie bereits Aufträge zur Erkennung sensibler Daten ausführen, können Sie auf der Seite **Nutzung** der Amazon Macie Macie-Konsole die geschätzten Kosten dieser Jobs überwachen. Auf der Seite werden Ihre geschätzten Kosten (in US-Dollar) für die aktuelle Nutzung von Macie im aktuellen AWS-Region Kalendermonat angezeigt. Informationen darüber, wie Macie diese Schätzungen berechnet, finden Sie unter. [Grundlegendes zu den geschätzten Nutzungskosten](account-mgmt-costs-calculations.md)
**Hier finden Sie Ihre geschätzten Kosten für die Ausführung von Aufträgen**
1. Öffnen Sie die Amazon Macie Macie-Konsole unter [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/).
1. Wählen Sie mithilfe der AWS-Region Auswahl in der oberen rechten Ecke der Seite die Region aus, in der Sie Ihre geschätzten Kosten überprüfen möchten.
1. Wählen Sie im Navigationsbereich **Benutzer**.
1. Auf der Seite „**Nutzung**“ finden Sie die Aufschlüsselung der geschätzten Kosten für Ihr Konto. Das Element **Aufträge zur Erkennung sensibler Daten** gibt die geschätzten Gesamtkosten der Jobs an, die Sie im aktuellen Monat in der aktuellen Region bisher ausgeführt haben.
Wenn Sie der Macie-Administrator einer Organisation sind, werden im Abschnitt **Geschätzte Kosten** die geschätzten Gesamtkosten für Ihre Organisation für den aktuellen Monat in der aktuellen Region angezeigt. Um die geschätzten Gesamtkosten der Jobs anzuzeigen, die für ein bestimmtes Konto ausgeführt wurden, wählen Sie das Konto in der Tabelle aus. Im Abschnitt **Geschätzte Kosten** wird dann eine Aufschlüsselung der geschätzten Kosten für das Konto angezeigt, einschließlich der geschätzten Kosten der ausgeführten Jobs. Um diese Daten für ein anderes Konto anzuzeigen, wählen Sie das Konto in der Tabelle aus. Um Ihre Kontoauswahl zu löschen, wählen Sie **X** neben der Konto-ID aus.
Um Ihre tatsächlichen Kosten zu überprüfen und zu überwachen, verwenden Sie [AWS Fakturierung und Kostenmanagement](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-what-is.html).
# Verwaltete Datenkennungen werden für Aufgaben zur Erkennung sensibler Daten empfohlen
Um die Ergebnisse Ihrer Discovery-Jobs für sensible Daten zu optimieren, können Sie einzelne Jobs so konfigurieren, dass sie automatisch den Satz verwalteter Datenbezeichner verwenden, den wir für Jobs empfehlen. Ein *verwalteter Datenbezeichner* besteht aus einer Reihe integrierter Kriterien und Techniken, mit denen ein bestimmter Typ vertraulicher Daten erkannt werden kann, z. B. AWS geheime Zugangsschlüssel, Kreditkartennummern oder Passnummern für ein bestimmtes Land oder eine bestimmte Region.
Der empfohlene Satz verwalteter Datenkennungen dient der Erkennung gängiger Kategorien und Typen sensibler Daten. Basierend auf unseren Recherchen kann es allgemeine Kategorien und Typen sensibler Daten erkennen und gleichzeitig Ihre Arbeitsergebnisse optimieren, indem es Datenlärm reduziert. Wenn wir neue Identifikatoren für verwaltete Daten veröffentlichen, fügen wir sie dieser Gruppe hinzu, wenn sie Ihre Arbeitsergebnisse voraussichtlich weiter optimieren werden. Im Laufe der Zeit können wir dem Set auch bestehende Identifikatoren für verwaltete Daten hinzufügen oder daraus entfernen. Wenn wir dem empfohlenen Satz eine verwaltete Daten-ID hinzufügen oder daraus entfernen, aktualisieren wir diese Seite, um Art und Zeitpunkt der Änderung anzugeben. Wenn Sie automatische Benachrichtigungen über diese Änderungen erhalten möchten, können Sie den RSS-Feed auf der [Macie-Dokumentverlaufsseite](doc-history.md) abonnieren.
Wenn Sie einen Discovery-Job für sensible Daten erstellen, geben Sie an, welche verwalteten Datenkennungen der Job zur Analyse von Objekten in Amazon Simple Storage Service (Amazon S3) -Buckets verwenden soll. Um einen Job so zu konfigurieren, dass er den empfohlenen Satz verwalteter Datenkennungen verwendet, wählen Sie bei der Erstellung des Jobs die Option *Empfohlen* aus. Der Job verwendet dann automatisch alle verwalteten Datenbezeichner, die sich im empfohlenen Satz befinden, wenn der Job ausgeführt wird. Wenn Sie einen Job so konfigurieren, dass er mehr als einmal ausgeführt wird, werden bei jedem Lauf automatisch alle verwalteten Datenbezeichner verwendet, die zu Beginn der Ausführung im empfohlenen Satz enthalten sind.
In den folgenden Themen sind die Identifikatoren für verwaltete Daten aufgeführt, die derzeit in der empfohlenen Gruppe enthalten sind, geordnet nach Kategorie und Typ vertraulicher Daten. Sie geben den eindeutigen Bezeichner (ID) für jeden verwalteten Datenbezeichner im Satz an. Diese ID beschreibt die Art der sensiblen Daten, die ein verwalteter Datenbezeichner erkennen soll, z. B. `PGP_PRIVATE_KEY` für private PGP-Schlüssel und `USA_PASSPORT_NUMBER` für US-Passnummern.
**Topics**
+ [Anmeldeinformationen](#discovery-jobs-mdis-recommended-credentials)
+ [Finanzinformationen](#discovery-jobs-mdis-recommended-financial)
+ [Persönlich Identifizierbare Informationen (PII)](#discovery-jobs-mdis-recommended-pii)
+ [Aktualisierungen des empfohlenen Sets](#discovery-jobs-mdis-recommended-updates)
Einzelheiten zu bestimmten verwalteten Datenkennungen oder eine vollständige Liste aller verwalteten Datenkennungen, die Macie derzeit bereitstellt, finden Sie unter. [Verwenden von verwalteten Datenbezeichnern](managed-data-identifiers.md)
## Anmeldeinformationen
Um das Vorkommen von Anmeldedaten in S3-Objekten zu erkennen, verwendet der empfohlene Satz die folgenden verwalteten Datenbezeichner.
| Vertraulicher Datentyp | ID der verwalteten Datenkennung |
| --- | --- |
| AWS geheimer Zugriffsschlüssel | AWS\$1CREDENTIALS |
| Header für die grundlegende HTTP-Autorisierung | HTTP\$1BASIC\$1AUTH\$1HEADER |
| Privater OpenSSH-Schlüssel | OPENSSH\$1PRIVATE\$1KEY |
| Privater PGP-Schlüssel | PGP\$1PRIVATE\$1KEY |
| Privater Schlüssel nach dem Public Key Cryptography Standard (PKCS) | PKCS |
| Privater PuTTY-Schlüssel | PUTTY\$1PRIVATE\$1KEY |
## Finanzinformationen
Um das Vorkommen von Finanzinformationen in S3-Objekten zu erkennen, verwendet das empfohlene Set die folgenden verwalteten Datenkennungen.
| Vertraulicher Datentyp | ID der verwalteten Datenkennung |
| --- | --- |
| Magnetstreifendaten der Kreditkarte | CREDIT\$1CARD\$1MAGNETIC\$1STRIPE |
| Kreditkartennummer | CREDIT\$1CARD\$1NUMBER(für Kreditkartennummern in der Nähe eines Schlüsselworts) |
## Persönlich Identifizierbare Informationen (PII)
Um das Vorkommen personenbezogener Daten (PII) in S3-Objekten zu erkennen, verwendet das empfohlene Set die folgenden verwalteten Datenkennungen.
| Vertraulicher Datentyp | ID der verwalteten Datenkennung |
| --- | --- |
| Identifikationsnummer des Führerscheins | CANADA\$1DRIVERS\$1LICENSE, DRIVERS\$1LICENSE(für die USA), UK\$1DRIVERS\$1LICENSE |
| Nummer der Wählerliste | UK\$1ELECTORAL\$1ROLL\$1NUMBER |
| Nationale Identifikationsnummern | FRANCE\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, GERMANY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, SPAIN\$1DNI\$1NUMBER |
| Landesversicherungsnummer (NINO) | UK\$1NATIONAL\$1INSURANCE\$1NUMBER |
| Passnummer | CANADA\$1PASSPORT\$1NUMBER, FRANCE\$1PASSPORT\$1NUMBER, GERMANY\$1PASSPORT\$1NUMBER, ITALY\$1PASSPORT\$1NUMBER, SPAIN\$1PASSPORT\$1NUMBER, UK\$1PASSPORT\$1NUMBER, USA\$1PASSPORT\$1NUMBER |
| Sozialversicherungsnummer (SIN) | CANADA\$1SOCIAL\$1INSURANCE\$1NUMBER |
| Sozialversicherungsnummer (SSN) | SPAIN\$1SOCIAL\$1SECURITY\$1NUMBER, USA\$1SOCIAL\$1SECURITY\$1NUMBER |
| Steuerpflichtigen-Identifikationsnummer oder Referenznummer | AUSTRALIA\$1TAX\$1FILE\$1NUMBER, BRAZIL\$1CPF\$1NUMBER, FRANCE\$1TAX\$1IDENTIFICATION\$1NUMBER, GERMANY\$1TAX\$1IDENTIFICATION\$1NUMBER, SPAIN\$1NIE\$1NUMBER, SPAIN\$1NIF\$1NUMBER, SPAIN\$1TAX\$1IDENTIFICATION\$1NUMBER, USA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER |
## Aktualisierungen des empfohlenen Sets
In der folgenden Tabelle werden Änderungen am Satz verwalteter Datenbezeichner beschrieben, die wir für Aufgaben zur Erkennung vertraulicher Daten empfehlen. Abonnieren Sie den RSS-Feed auf der [Macie-Dokumentverlaufsseite](doc-history.md), um automatische Benachrichtigungen über diese Änderungen zu erhalten.
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| Allgemeine Verfügbarkeit | Erste Version des empfohlenen Sets. | 27. Juni 2023 |