Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Untersuchung sensibler Daten mit Ergebnissen von Macie
<a name="findings-investigate-sd"></a>

Wenn Sie Aufträge zur Erkennung vertraulicher Daten ausführen oder Amazon Macie eine automatische Erkennung sensibler Daten durchführt, erfasst Macie Details über den Standort jedes Vorkommens vertraulicher Daten, die es in Amazon Simple Storage Service (Amazon S3) -Objekten findet. Dazu gehören sensible Daten, die Macie anhand [verwalteter Datenkennungen](managed-data-identifiers.md) erkennt, und Daten, die den Kriterien von [benutzerdefinierten Datenbezeichnern](custom-data-identifiers.md) entsprechen, für deren Verwendung Sie einen Job oder Macie konfigurieren.

Bei Ergebnissen vertraulicher Daten können Sie diese Details auf bis zu 15 Vorkommen sensibler Daten überprüfen, die Macie in einzelnen S3-Objekten findet. Die Details geben Aufschluss über die Bandbreite der Kategorien und Typen sensibler Daten, die bestimmte S3-Buckets und -Objekte enthalten können. Sie können Ihnen dabei helfen, einzelne Vorkommen sensibler Daten in Objekten zu lokalisieren und zu entscheiden, ob bestimmte Buckets und Objekte eingehender untersucht werden sollten.

Für zusätzliche Einblicke können Sie Macie optional konfigurieren und verwenden, um Stichproben sensibler Daten abzurufen, die Macie als Einzelergebnisse meldet. Anhand der Beispiele können Sie die Art der sensiblen Daten überprüfen, die Macie gefunden hat. Sie können Ihnen auch dabei helfen, Ihre Untersuchung eines betroffenen S3-Buckets und -Objekts maßgeschneidert zu gestalten. Wenn Sie für einen Befund Stichproben sensibler Daten abrufen möchten, verwendet Macie die im Ergebnis enthaltenen Daten, um 1—10 Vorkommen jeder Art von sensiblen Daten zu lokalisieren, die durch den Befund gemeldet wurden. Macie extrahiert dann diese Vorkommen sensibler Daten aus dem betroffenen Objekt und zeigt die Daten zur Überprüfung an.

Wenn ein S3-Objekt viele Vorkommen vertraulicher Daten enthält, kann Ihnen ein Ergebnis auch dabei helfen, zum entsprechenden Erkennungsergebnis vertraulicher Daten zu gelangen. Im Gegensatz zu einer Entdeckung vertraulicher Daten liefert ein Erkennungsergebnis vertraulicher Daten detaillierte Standortdaten für bis zu 1.000 Vorkommen jedes Typs vertraulicher Daten, die Macie in einem Objekt findet. Macie verwendet dasselbe Schema für Standortdaten bei Ergebnissen sensibler Daten und bei der Entdeckung sensibler Daten. Weitere Informationen zu den Ergebnissen der Erkennung sensibler Daten finden Sie unter[Speicherung und Beibehaltung der Erkennungsergebnisse von vertraulichen Daten](discovery-results-repository-s3.md).

In den Themen dieses Abschnitts wird erläutert, wie Sie anhand von Ergebnissen vertraulicher Daten gemeldete Vorkommen sensibler Daten lokalisieren und optional abrufen können. Außerdem wird das Schema erklärt, das Macie verwendet, um den Standort einzelner Vorkommen vertraulicher Daten, die Macie findet, zu melden.

**Topics**
+ [Lokalisieren sensibler Daten](findings-locate-sd.md)
+ [Stichproben sensibler Daten werden abgerufen](findings-retrieve-sd.md)
+ [Schema für Speicherorte sensibler Daten](findings-locate-sd-schema.md)

# Auffinden sensibler Daten mit Macie-Ergebnissen
<a name="findings-locate-sd"></a>

Wenn Sie Aufträge zur Erkennung vertraulicher Daten ausführen oder Amazon Macie die automatische Erkennung sensibler Daten durchführt, führt Macie eine eingehende Prüfung der neuesten Version jedes Amazon Simple Storage Service (Amazon S3) -Objekts durch, das analysiert wird. Bei jeder Auftragsausführung oder bei jedem Analysezyklus verwendet Macie außerdem einen *Suchalgorithmus, der* die Ergebnisse mit Details über den Ort bestimmter Vorkommen vertraulicher Daten, die Macie in S3-Objekten findet, auffüllt. Diese Ereignisse geben Aufschluss über die Kategorien und Typen sensibler Daten, die ein betroffener S3-Bucket und ein betroffenes S3-Objekt enthalten könnten. Anhand der Details können Sie einzelne Vorkommen sensibler Daten in Objekten ausfindig machen und entscheiden, ob bestimmte Buckets und Objekte genauer untersucht werden sollten.

Anhand der Ergebnisse sensibler Daten können Sie den Standort von bis zu 15 Vorkommen sensibler Daten bestimmen, die Macie in einem betroffenen S3-Objekt gefunden hat. Dazu gehören sensible Daten, die Macie anhand [verwalteter Datenkennungen erkannt hat, und Daten](managed-data-identifiers.md), die den Kriterien von [benutzerdefinierten Datenbezeichnern](custom-data-identifiers.md) entsprechen, für deren Verwendung Sie einen Job oder Macie konfiguriert haben.

Eine Entdeckung sensibler Daten kann Details wie die folgenden liefern:
+ Die Spalten- und Zeilennummer für eine Zelle oder ein Feld in einer Microsoft Excel-Arbeitsmappe, CSV-Datei oder TSV-Datei.
+ Der Pfad zu einem Feld oder Array in einer JSON- oder JSON Lines-Datei.
+ Die Zeilennummer für eine Zeile in einer nicht-binären Textdatei, bei der es sich nicht um eine CSV-, JSON-, JSON-Zeilen- oder TSV-Datei handelt, z. B. eine HTML-, TXT- oder XML-Datei.
+ Die Seitennummer für eine Seite in einer PDF-Datei (Adobe Portable Document Format).
+ Der Datensatzindex und der Pfad zu einem Feld in einem Datensatz in einem Apache Avro-Objektcontainer oder einer Apache Parquet-Datei.

Sie können über die Amazon Macie-Konsole oder die Amazon Macie Macie-API auf diese Details zugreifen. Sie können auf diese Details auch in Ergebnissen zugreifen, die Macie für andere veröffentlicht AWS-Services, EventBridge sowohl AWS Security Hub CSPM Amazon als auch. Weitere Informationen zu den JSON-Strukturen, die Macie verwendet, um diese Details zu melden, finden Sie unter. [Schema für die Meldung des Standorts sensibler Daten](findings-locate-sd-schema.md) Informationen zum Zugriff auf die Details der Ergebnisse, die Macie für andere veröffentlicht AWS-Services, finden Sie unter. [Überwachung und Verarbeitung von Ergebnissen](findings-monitor.md) 

Wenn ein S3-Objekt häufig vertrauliche Daten enthält, können Sie anhand eines Ergebnisses auch zu dem entsprechenden Ergebnis der Erkennung vertraulicher Daten navigieren. Im Gegensatz zu einer Entdeckung vertraulicher Daten liefert ein Erkennungsergebnis vertraulicher Daten detaillierte Standortdaten für bis zu 1.000 Vorkommen jedes Typs vertraulicher Daten, die Macie in einem Objekt gefunden hat. Handelt es sich bei einem S3-Objekt um eine Archivdatei, z. B. eine .tar- oder .zip-Datei, schließt dies auch das Vorkommen sensibler Daten in einzelnen Dateien ein, die Macie aus dem Archiv extrahiert hat. (Macie bezieht diese Informationen nicht in die Ergebnisse sensibler Daten mit ein.) Weitere Informationen zu den Ergebnissen der Erkennung sensibler Daten finden Sie unter[Speicherung und Beibehaltung der Erkennungsergebnisse von vertraulichen Daten](discovery-results-repository-s3.md). Macie verwendet dasselbe Schema für Standortdaten in Ergebnissen sensibler Daten und Ergebnissen der Erkennung sensibler Daten.

**Um sensible Daten anhand von Ergebnissen zu lokalisieren**  
Sie können die Amazon Macie-Konsole oder die Amazon Macie Macie-API verwenden, um das Vorkommen sensibler Daten zu lokalisieren, die durch einen Befund gemeldet wurden. Verwenden Sie die Operation, um dies programmgesteuert zu tun. [GetFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html) Wenn ein Ergebnis Details zur Position eines oder mehrerer Vorkommen eines bestimmten Typs sensibler Daten enthält, liefern die `occurrences` Objekte im Befund diese Details. Weitere Informationen finden Sie unter [Schema für die Meldung des Standorts sensibler Daten](findings-locate-sd-schema.md).

Gehen Sie wie folgt vor, um mithilfe der Konsole nach Vorkommen vertraulicher Daten zu suchen. 

1. Öffnen Sie die Amazon Macie Macie-Konsole unter [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/).

1. Wählen Sie im Navigationsbereich **Findings** aus.
**Tipp**  
Sie können schnell alle Ergebnisse eines bestimmten Discovery-Jobs für sensible Daten anzeigen. Wählen Sie dazu im Navigationsbereich **Jobs** und dann den Namen des Jobs aus. Wählen Sie oben im Detailbereich die Option **Ergebnisse anzeigen** und anschließend **Ergebnisse anzeigen** aus.

1. Wählen Sie auf der Seite **Ergebnisse** das Ergebnis für die vertraulichen Daten aus, nach denen Sie suchen möchten. Im Detailbereich werden Informationen zum Ergebnis angezeigt.

1. Scrollen Sie im Detailbereich zum Abschnitt **Vertrauliche Daten**. Dieser Abschnitt enthält Informationen zu den Kategorien und Typen vertraulicher Daten, die Macie im betroffenen S3-Objekt gefunden hat. Es gibt auch die Anzahl der Vorkommen der einzelnen Arten vertraulicher Daten an, die Macie gefunden hat.

   Die folgende Abbildung zeigt beispielsweise einige Details eines Ergebnisses, bei dem 30 Vorkommen von Kreditkartennummern, 20 Vorkommen von Namen und 29 Vorkommen von US-Sozialversicherungsnummern gemeldet werden.  
![\[Die Felder mit den Ergebnisdetails, in denen die Anzahl der Vorkommen von drei Arten sensibler Daten angezeigt wird.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/scrn-sdf-csv-occurrences.png)

   Wenn das Ergebnis Details über den Standort eines oder mehrerer Vorkommen eines bestimmten Typs sensibler Daten enthält, handelt es sich bei der Anzahl der Vorkommen um einen Link. Wählen Sie den Link, um die Details anzuzeigen. Macie öffnet ein neues Fenster und zeigt die Details im JSON-Format an.

   Die folgende Abbildung zeigt beispielsweise die Position von zwei Vorkommen von Kreditkartennummern in einem betroffenen S3-Objekt.  
![\[Die Standortdaten im JSON-Format für zwei Vorkommen von Kreditkartennummern in einem S3-Objekt.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/scrn-sdf-csv-occurrences-json.png)

   Um die Details als JSON-Datei zu speichern, wählen Sie **Herunterladen** und geben Sie dann einen Namen und einen Speicherort für die Datei an.

1. Um alle Details des Ergebnisses als JSON-Datei zu speichern, wählen Sie oben im Detailbereich die Kennung des Ergebnisses (**Finding-ID**) aus. Macie öffnet ein neues Fenster und zeigt alle Details im JSON-Format an. Wählen Sie **Herunterladen** und geben Sie dann einen Namen und einen Speicherort für die Datei an.

Einzelheiten zum Standort von bis zu 1.000 Vorkommen der einzelnen Typen vertraulicher Daten im betroffenen Objekt finden Sie in den entsprechenden Ergebnissen der Suche nach sensiblen Daten. Scrollen Sie dazu zum Anfang des Bereichs „**Details**“ des Fensters. Wählen Sie dann den Link im Feld „**Standort für detaillierte Ergebnisse**“. Macie öffnet die Amazon S3 S3-Konsole und zeigt die Datei oder den Ordner an, die das entsprechende Erkennungsergebnis enthält.

# Abrufen sensibler Datenproben mit Macie-Ergebnissen
<a name="findings-retrieve-sd"></a>

Um die Art der sensiblen Daten zu überprüfen, die Amazon Macie in Ergebnissen meldet, können Sie Macie optional so konfigurieren und verwenden, dass Stichproben sensibler Daten abgerufen und angezeigt werden, die von einzelnen Ergebnissen gemeldet wurden. [Dazu gehören sensible Daten, die Macie anhand [verwalteter Datenkennungen erkennt, sowie Daten](managed-data-identifiers.md), die den Kriterien von benutzerdefinierten Datenkennungen entsprechen.](custom-data-identifiers.md) Die Beispiele können Ihnen helfen, Ihre Untersuchung eines betroffenen Amazon Simple Storage Service (Amazon S3) -Objekts und -Buckets auf Ihre Bedürfnisse zuzuschneiden.

Wenn Sie sensible Datenproben für einen Befund abrufen und offenlegen, führt Macie die folgenden allgemeinen Aufgaben aus:

1. Überprüft, ob der Befund den Standort einzelner Vorkommen vertraulicher Daten und den Ort eines entsprechenden Ergebnisses der Entdeckung [sensibler Daten](discovery-results-repository-s3.md) angibt.

1. Wertet das entsprechende Erkennungsergebnis vertraulicher Daten aus und überprüft die Gültigkeit der Metadaten für das betroffene S3-Objekt und der Standortdaten auf das Vorkommen sensibler Daten im Objekt.

1. Findet mithilfe von Daten im Ermittlungsergebnis vertraulicher Daten die ersten 1—10 Vorkommen sensibler Daten, die durch den Befund gemeldet wurden, und extrahiert die ersten 1—128 Zeichen jedes Vorkommens aus dem betroffenen S3-Objekt. Wenn das Ergebnis mehrere Typen vertraulicher Daten meldet, führt Macie dies für bis zu 100 Typen durch.

1. Verschlüsselt die extrahierten Daten mit einem von Ihnen AWS KMS angegebenen Schlüssel AWS Key Management Service ().

1. Speichert die verschlüsselten Daten vorübergehend in einem Cache und zeigt die Daten zur Überprüfung an. Die Daten sind jederzeit verschlüsselt, sowohl bei der Übertragung als auch bei der Speicherung.

1. Kurz nach dem Extrahieren und Verschlüsseln werden die Daten dauerhaft aus dem Cache gelöscht, es sei denn, eine zusätzliche Aufbewahrung ist vorübergehend erforderlich, um ein Betriebsproblem zu lösen.

Wenn Sie sich dafür entscheiden, sensible Datenproben für einen Fund erneut abzurufen und offenzulegen, wiederholt Macie diese Aufgaben, um die Proben zu finden, zu extrahieren, zu verschlüsseln, zu speichern und schließlich zu löschen.

Macie verwendet die mit dem [Dienst verknüpfte Macie-Rolle für Ihr Konto](service-linked-roles.md) nicht, um diese Aufgaben auszuführen. Stattdessen verwenden Sie Ihre AWS Identity and Access Management (IAM-) Identität oder erlauben Macie, eine IAM-Rolle in Ihrem Konto anzunehmen. Sie können Stichproben sensibler Daten abrufen und offenlegen, um festzustellen, ob Sie oder die Rolle auf die erforderlichen Ressourcen und Daten zugreifen und die erforderlichen Aktionen ausführen dürfen. [Alle erforderlichen Aktionen sind angemeldet. AWS CloudTrail](macie-cloudtrail.md)

**Wichtig**  
Wir empfehlen, den Zugriff auf diese Funktion mithilfe [benutzerdefinierter IAM-Richtlinien](security-iam.md) einzuschränken. Für eine zusätzliche Zugriffskontrolle empfehlen wir, dass Sie auch ein spezielles Programm AWS KMS key für die Verschlüsselung von Stichproben einrichten, die abgerufen werden, und die Verwendung des Schlüssels nur auf die Prinzipale beschränken, denen das Abrufen und Offenlegen vertraulicher Datenproben gestattet sein muss.  
Empfehlungen und Beispiele für Richtlinien, mit denen Sie den Zugriff auf diese Funktion kontrollieren können, finden Sie im folgenden Blogbeitrag im *AWS Sicherheits-Blog*: [So verwenden Sie Amazon Macie, um eine Vorschau sensibler Daten in S3-Buckets](https://aws.amazon.com/blogs/security/how-to-use-amazon-macie-to-preview-sensitive-data-in-s3-buckets/) anzuzeigen.

In den Themen dieses Abschnitts wird erklärt, wie Macie konfiguriert und verwendet wird, um Stichproben sensibler Daten abzurufen und für Ergebnisse offenzulegen. Sie können diese Aufgaben in allen Regionen ausführen, in AWS-Regionen denen Macie derzeit verfügbar ist, mit Ausnahme der Regionen Asien-Pazifik (Osaka) und Israel (Tel Aviv).

**Topics**
+ [Konfigurationsoptionen für das Abrufen von Proben](findings-retrieve-sd-options.md)
+ [Konfiguration von Macie für das Abrufen von Proben](findings-retrieve-sd-configure.md)
+ [Proben werden abgerufen](findings-retrieve-sd-proc.md)

# Konfigurationsoptionen für das Abrufen sensibler Datenproben mit Macie
<a name="findings-retrieve-sd-options"></a>

Sie können Amazon Macie optional konfigurieren und verwenden, um Stichproben vertraulicher Daten abzurufen und offenzulegen, die Macie in einzelnen Ergebnissen meldet. Wenn Sie Stichproben sensibler Daten für einen Befund abrufen und offenlegen, verwendet Macie die Daten im entsprechenden [Ermittlungsergebnis für sensible Daten, um das](discovery-results-repository-s3.md) Vorkommen sensibler Daten im betroffenen Amazon Simple Storage Service (Amazon S3) -Objekt zu lokalisieren. Macie extrahiert dann Proben dieser Vorkommnisse aus dem betroffenen Objekt. Macie verschlüsselt die extrahierten Daten mit einem von Ihnen angegebenen Schlüssel AWS Key Management Service (AWS KMS), speichert die verschlüsselten Daten vorübergehend in einem Cache und gibt die Daten in Ihren Ergebnissen für die Suche zurück. Kurz nach dem Extrahieren und Verschlüsseln löscht Macie die Daten dauerhaft aus dem Cache, es sei denn, eine zusätzliche Aufbewahrung ist vorübergehend erforderlich, um ein Betriebsproblem zu lösen.

Macie verwendet die mit dem [Dienst verknüpfte Macie-Rolle](service-linked-roles.md) für Ihr Konto nicht, um sensible Datenproben für betroffene S3-Objekte zu finden, abzurufen, zu verschlüsseln oder offenzulegen. Stattdessen verwendet Macie Einstellungen und Ressourcen, die Sie für Ihr Konto konfigurieren. Wenn Sie die Einstellungen in Macie konfigurieren, geben Sie an, wie auf die betroffenen S3-Objekte zugegriffen werden soll. Sie geben auch an, welches AWS KMS key zum Verschlüsseln der Samples verwendet werden soll. Sie können die Einstellungen in allen Regionen konfigurieren, in AWS-Regionen denen Macie derzeit verfügbar ist, mit Ausnahme der Regionen Asien-Pazifik (Osaka) und Israel (Tel Aviv).

Um auf betroffene S3-Objekte zuzugreifen und sensible Datenproben von ihnen abzurufen, haben Sie zwei Möglichkeiten. Sie können Macie so konfigurieren, dass es AWS Identity and Access Management (IAM-) Benutzeranmeldedaten verwendet oder eine IAM-Rolle übernimmt:
+ **IAM-Benutzeranmeldedaten verwenden** — Bei dieser Option verwendet jeder Benutzer Ihres Kontos seine individuelle IAM-Identität, um die Beispiele zu finden, abzurufen, zu verschlüsseln und offenzulegen. Das bedeutet, dass ein Benutzer sensible Datenproben abrufen und offenlegen kann, um festzustellen, ob er auf die erforderlichen Ressourcen und Daten zugreifen und die erforderlichen Aktionen ausführen darf.
+ **Nehmen Sie eine IAM-Rolle** an — Mit dieser Option erstellen Sie eine IAM-Rolle, die den Zugriff an Macie delegiert. Sie stellen außerdem sicher, dass die Vertrauens- und Berechtigungsrichtlinien für die Rolle alle Voraussetzungen erfüllen, damit Macie die Rolle übernehmen kann. Macie übernimmt dann die Rolle, wenn ein Benutzer Ihres Kontos entscheidet, sensible Datenproben zu finden, abzurufen, zu verschlüsseln und offenzulegen, um eine Entdeckung zu machen.

Sie können beide Konfigurationen mit jeder Art von Macie-Konto verwenden — dem delegierten Macie-Administratorkonto für eine Organisation, einem Macie-Mitgliedskonto in einer Organisation oder einem eigenständigen Macie-Konto.

In den folgenden Themen werden Optionen, Anforderungen und Überlegungen erläutert, anhand derer Sie festlegen können, wie Sie die Einstellungen und Ressourcen für Ihr Konto konfigurieren. Dazu gehören die Vertrauens- und Berechtigungsrichtlinien, die einer IAM-Rolle zugewiesen werden können. Weitere Empfehlungen und Beispiele für Richtlinien, die Sie zum Abrufen und Offenlegen vertraulicher Datenproben verwenden können, finden Sie im folgenden Blogbeitrag im *AWS Sicherheits-Blog*: [So verwenden Sie Amazon Macie, um eine Vorschau sensibler Daten in S3-Buckets](https://aws.amazon.com/blogs/security/how-to-use-amazon-macie-to-preview-sensitive-data-in-s3-buckets/) anzuzeigen.

**Topics**
+ [Bestimmen Sie, welche Zugriffsmethode verwendet werden soll](#findings-retrieve-sd-options-s3access)
+ [Verwenden von IAM-Benutzeranmeldedaten für den Zugriff auf betroffene S3-Objekte](#findings-retrieve-sd-options-s3access-user)
+ [Annahme einer IAM-Rolle für den Zugriff auf betroffene S3-Objekte](#findings-retrieve-sd-options-s3access-role)
+ [Konfiguration einer IAM-Rolle für den Zugriff auf betroffene S3-Objekte](#findings-retrieve-sd-options-s3access-role-configuration)
+ [Betroffene S3-Objekte werden entschlüsselt](#findings-retrieve-sd-options-decrypt)

## Bestimmen Sie, welche Zugriffsmethode verwendet werden soll
<a name="findings-retrieve-sd-options-s3access"></a>

Bei der Entscheidung, welche Konfiguration für Ihre AWS Umgebung am besten geeignet ist, sollten Sie unbedingt berücksichtigen, ob Ihre Umgebung mehrere Amazon Macie Macie-Konten umfasst, die zentral als Organisation verwaltet werden. Wenn Sie der delegierte Macie-Administrator für eine Organisation sind, kann die Konfiguration von Macie für die Übernahme einer IAM-Rolle den Abruf sensibler Datenproben von betroffenen S3-Objekten für Konten in Ihrer Organisation rationalisieren. Mit diesem Ansatz erstellen Sie eine IAM-Rolle in Ihrem Administratorkonto. Sie erstellen auch eine IAM-Rolle in jedem entsprechenden Mitgliedskonto. Die Rolle in Ihrem Administratorkonto delegiert den Zugriff auf Macie. Die Rolle in einem Mitgliedskonto delegiert den kontoübergreifenden Zugriff auf die Rolle in Ihrem Administratorkonto. Falls implementiert, können Sie dann mithilfe der Rollenverkettung auf die betroffenen S3-Objekte für Ihre Mitgliedskonten zugreifen.

Überlegen Sie auch, wer standardmäßig direkten Zugriff auf einzelne Ergebnisse hat. Um sensible Datenproben für ein Ergebnis abzurufen und offenzulegen, muss ein Benutzer zunächst Zugriff auf das Ergebnis haben:
+ **Jobs zur Erkennung sensibler Daten** — Nur das Konto, das einen Job erstellt, kann auf die Ergebnisse zugreifen, die der Job liefert. Wenn Sie über ein Macie-Administratorkonto verfügen, können Sie einen Job zur Analyse von Objekten in S3-Buckets für jedes Konto in Ihrer Organisation konfigurieren. Daher können Ihre Jobs Ergebnisse für Objekte in Buckets liefern, die Ihren Mitgliedskonten gehören. Wenn Sie ein Mitgliedskonto oder ein eigenständiges Macie-Konto haben, können Sie einen Job so konfigurieren, dass nur Objekte in Buckets analysiert werden, die Ihrem Konto gehören.
+ **Automatisierte Erkennung sensibler Daten** — Nur das Macie-Administratorkonto kann auf Ergebnisse zugreifen, die die automatische Erkennung für Konten in ihrem Unternehmen generiert. Mitgliedskonten können nicht auf diese Ergebnisse zugreifen. Wenn Sie ein eigenständiges Macie-Konto haben, können Sie nur für Ihr eigenes Konto auf Ergebnisse zugreifen, die durch automatische Erkennung generiert werden.

Wenn Sie planen, mithilfe einer IAM-Rolle auf betroffene S3-Objekte zuzugreifen, sollten Sie auch Folgendes berücksichtigen:
+ Um das Vorkommen vertraulicher Daten in einem Objekt zu lokalisieren, muss das entsprechende Erkennungsergebnis vertraulicher Daten in einem S3-Objekt gespeichert werden, das Macie mit einem Hash-basierten Message Authentication Code (HMAC) signiert hat. AWS KMS key Macie muss in der Lage sein, die Integrität und Authentizität des Ermittlungsergebnisses vertraulicher Daten zu überprüfen. Andernfalls übernimmt Macie nicht die IAM-Rolle beim Abrufen sensibler Datenproben. Dies ist eine zusätzliche Schutzmaßnahme, um den Zugriff auf Daten in S3-Objekten für ein Konto einzuschränken.
+ Um sensible Datenproben von einem Objekt abzurufen, das verschlüsselt und von einem Kunden verwaltet wird AWS KMS key, muss die IAM-Rolle berechtigt sein, Daten mit dem Schlüssel zu entschlüsseln. Insbesondere muss die Richtlinie des Schlüssels es der Rolle ermöglichen, die Aktion auszuführen. `kms:Decrypt` Bei anderen Arten der serverseitigen Verschlüsselung sind keine zusätzlichen Berechtigungen oder Ressourcen erforderlich, um ein betroffenes Objekt zu entschlüsseln. Weitere Informationen finden Sie unter [Betroffene S3-Objekte werden entschlüsselt](#findings-retrieve-sd-options-decrypt).
+ Um sensible Datenproben von einem Objekt für ein anderes Konto abzurufen, müssen Sie derzeit der delegierte Macie-Administrator für das entsprechende Konto sein. AWS-Region Darüber hinaus gilt:
  + Macie muss derzeit für das Mitgliedskonto in der entsprechenden Region aktiviert sein. 
  + Das Mitgliedskonto muss über eine IAM-Rolle verfügen, die den kontoübergreifenden Zugriff an eine IAM-Rolle in Ihrem Macie-Administratorkonto delegiert. Der Name der Rolle muss in Ihrem Macie-Administratorkonto und im Mitgliedskonto identisch sein.
  + Die Vertrauensrichtlinie für die IAM-Rolle im Mitgliedskonto muss eine Bedingung enthalten, die die richtige externe ID für Ihre Konfiguration angibt. Diese ID ist eine eindeutige alphanumerische Zeichenfolge, die Macie automatisch generiert, nachdem Sie die Einstellungen für Ihr Macie-Administratorkonto konfiguriert haben. *Informationen zur Verwendung externer IDs Vertrauensrichtlinien finden Sie [AWS-Konten im Benutzerhandbuch unter Zugriff auf Drittanbieter](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html).AWS Identity and Access Management *
  + Wenn die IAM-Rolle im Mitgliedskonto alle Macie-Anforderungen erfüllt, muss das Mitgliedskonto keine Macie-Einstellungen konfigurieren und aktivieren, damit Sie sensible Datenproben von Objekten für das Konto abrufen können. Macie verwendet nur die Einstellungen und die IAM-Rolle in Ihrem Macie-Administratorkonto und die IAM-Rolle im Mitgliedskonto.
**Tipp**  
Wenn Ihr Konto Teil einer großen Organisation ist, sollten Sie erwägen, ein AWS CloudFormation Template- und Stack-Set zu verwenden, um die IAM-Rollen für Mitgliedskonten in Ihrer Organisation bereitzustellen und zu verwalten. Informationen zur Erstellung und Verwendung von Vorlagen und Stack-Sets finden Sie im [AWS CloudFormation Benutzerhandbuch](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html).  
Um eine CloudFormation Vorlage zu überprüfen und optional herunterzuladen, die als Ausgangspunkt dienen kann, können Sie die Amazon Macie Macie-Konsole verwenden. Wählen Sie im Navigationsbereich der Konsole unter **Einstellungen** die Option **Beispiele anzeigen aus**. Wählen Sie **„Bearbeiten“** und anschließend „**Rollenberechtigungen und CloudFormation Vorlage für Mitglieder anzeigen**“.

Die nachfolgenden Themen in diesem Abschnitt enthalten zusätzliche Details und Überlegungen zu den einzelnen Konfigurationstypen. Bei IAM-Rollen umfasst dies die Vertrauens- und Berechtigungsrichtlinien, die einer Rolle zugewiesen werden sollen. Wenn Sie sich nicht sicher sind, welcher Konfigurationstyp für Ihre Umgebung am besten geeignet ist, bitten Sie Ihren AWS Administrator um Unterstützung.

## Verwenden von IAM-Benutzeranmeldedaten für den Zugriff auf betroffene S3-Objekte
<a name="findings-retrieve-sd-options-s3access-user"></a>

Wenn Sie Amazon Macie so konfigurieren, dass sensible Datenproben mithilfe von IAM-Benutzeranmeldedaten abgerufen werden, verwendet jeder Benutzer Ihres Macie-Kontos seine IAM-Identität, um Stichproben für einzelne Ergebnisse zu finden, abzurufen, zu verschlüsseln und anzuzeigen. Dies bedeutet, dass ein Benutzer sensible Datenproben abrufen und offenlegen kann, um festzustellen, ob seine IAM-Identität auf die erforderlichen Ressourcen und Daten zugreifen darf, und die erforderlichen Aktionen ausführen kann. [Alle erforderlichen Aktionen sind angemeldet. AWS CloudTrail](macie-cloudtrail.md)

Um Stichproben sensibler Daten für ein bestimmtes Ergebnis abzurufen und aufzudecken, muss ein Benutzer Zugriff auf die folgenden Daten und Ressourcen haben: den Befund, das entsprechende Ermittlungsergebnis vertraulicher Daten, den betroffenen S3-Bucket und das betroffene S3-Objekt. Sie müssen auch das verwenden dürfen AWS KMS key , das, falls zutreffend, zum Verschlüsseln des betroffenen Objekts verwendet wurde, und das, für AWS KMS key das Sie Macie zum Verschlüsseln sensibler Datenproben konfiguriert haben. Wenn IAM-Richtlinien, Ressourcenrichtlinien oder andere Berechtigungseinstellungen den erforderlichen Zugriff verweigern, kann der Benutzer keine Stichproben für das Ergebnis abrufen und anzeigen.

Um diese Art von Konfiguration einzurichten, führen Sie die folgenden allgemeinen Aufgaben aus:

1. Stellen Sie sicher, dass Sie ein Repository für die Ergebnisse der Erkennung sensibler Daten konfiguriert haben.

1. Konfigurieren Sie den AWS KMS key , der für die Verschlüsselung sensibler Datenproben verwendet werden soll.

1. Überprüfen Sie Ihre Berechtigungen für die Konfiguration der Einstellungen in Macie.

1. Konfigurieren und aktivieren Sie die Einstellungen in Macie.

Informationen zur Ausführung dieser Aufgaben finden Sie unter[Konfiguration von Macie zum Abrufen sensibler Datenproben](findings-retrieve-sd-configure.md).

## Annahme einer IAM-Rolle für den Zugriff auf betroffene S3-Objekte
<a name="findings-retrieve-sd-options-s3access-role"></a>

Um Amazon Macie so zu konfigurieren, dass sensible Datenproben abgerufen werden, indem eine IAM-Rolle übernommen wird, erstellen Sie zunächst eine IAM-Rolle, die den Zugriff auf Amazon Macie delegiert. Stellen Sie sicher, dass die Vertrauens- und Berechtigungsrichtlinien für die Rolle alle Voraussetzungen erfüllen, damit Macie die Rolle übernehmen kann. Wenn ein Benutzer Ihres Macie-Kontos dann entscheidet, sensible Datenproben für einen Befund abzurufen und offenzulegen, übernimmt Macie die Rolle, die Proben aus dem betroffenen S3-Objekt abzurufen. Macie übernimmt die Rolle nur, wenn ein Benutzer sich dafür entscheidet, Proben für einen Befund abzurufen und offenzulegen. Um die Rolle zu übernehmen, verwendet Macie den [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)Betrieb der AWS -Security-Token-Service (AWS STS) -API. Alle erforderlichen Aktionen sind [angemeldet](macie-cloudtrail.md). AWS CloudTrail

Um Stichproben vertraulicher Daten für ein bestimmtes Ergebnis abzurufen und aufzudecken, muss ein Benutzer Zugriff auf den Befund, das entsprechende Ermittlungsergebnis vertraulicher Daten und das, für AWS KMS key das Sie Macie zur Verschlüsselung sensibler Datenproben konfiguriert haben, zugreifen dürfen. Die IAM-Rolle muss Macie den Zugriff auf den betroffenen S3-Bucket und das betroffene S3-Objekt ermöglichen. Die Rolle muss gegebenenfalls auch das verwenden dürfen AWS KMS key , mit dem das betroffene Objekt verschlüsselt wurde. Wenn IAM-Richtlinien, Ressourcenrichtlinien oder andere Berechtigungseinstellungen den erforderlichen Zugriff verweigern, kann der Benutzer keine Stichproben für das Ergebnis abrufen und anzeigen.

Führen Sie die folgenden allgemeinen Aufgaben aus, um diese Art von Konfiguration einzurichten. Wenn Sie ein Mitgliedskonto in einer Organisation haben, entscheiden Sie gemeinsam mit Ihrem Macie-Administrator, ob und wie Sie die Einstellungen und Ressourcen für Ihr Konto konfigurieren müssen.

1. Definieren Sie Folgendes:
   + Der Name der IAM-Rolle, die Macie annehmen soll. Wenn Ihr Konto Teil einer Organisation ist, muss dieser Name für das delegierte Macie-Administratorkonto und jedes entsprechende Mitgliedskonto in der Organisation identisch sein. Andernfalls kann der Macie-Administrator nicht auf die betroffenen S3-Objekte für ein entsprechendes Mitgliedskonto zugreifen.
   + Der Name der IAM-Berechtigungsrichtlinie, die der IAM-Rolle zugewiesen werden soll. Wenn Ihr Konto Teil einer Organisation ist, empfehlen wir, dass Sie für jedes entsprechende Mitgliedskonto in der Organisation denselben Richtliniennamen verwenden. Dadurch können die Bereitstellung und Verwaltung der Rolle in Mitgliedskonten optimiert werden.

1. Stellen Sie sicher, dass Sie ein Repository für die Ergebnisse der Erkennung sensibler Daten konfiguriert haben.

1. Konfigurieren Sie den AWS KMS key , der für die Verschlüsselung sensibler Datenproben verwendet werden soll.

1. Überprüfen Sie Ihre Berechtigungen für die Erstellung von IAM-Rollen und die Konfiguration der Einstellungen in Macie.

1. Wenn Sie der delegierte Macie-Administrator für eine Organisation sind oder über ein eigenständiges Macie-Konto verfügen:

   1. Erstellen und konfigurieren Sie die IAM-Rolle für Ihr Konto. Stellen Sie sicher, dass die Vertrauens- und Berechtigungsrichtlinien für die Rolle alle Voraussetzungen erfüllen, damit Macie die Rolle übernehmen kann. Einzelheiten zu diesen Anforderungen finden Sie im [nächsten Thema](#findings-retrieve-sd-options-s3access-role-configuration).

   1. Konfigurieren und aktivieren Sie die Einstellungen in Macie. Macie generiert dann eine externe ID für die Konfiguration. Wenn Sie der Macie-Administrator einer Organisation sind, notieren Sie sich diese ID. In der Vertrauensrichtlinie für die IAM-Rolle in jedem Ihrer jeweiligen Mitgliedskonten muss diese ID angegeben sein.

1. Wenn Sie ein Mitgliedskonto in einer Organisation haben:

   1. Fragen Sie Ihren Macie-Administrator nach der externen ID, die Sie in der Vertrauensrichtlinie für die IAM-Rolle in Ihrem Konto angeben müssen. Überprüfen Sie außerdem den Namen der IAM-Rolle und die zu erstellende Berechtigungsrichtlinie.

   1. Erstellen und konfigurieren Sie die IAM-Rolle für Ihr Konto. Stellen Sie sicher, dass die Vertrauens- und Berechtigungsrichtlinien für die Rolle alle Anforderungen erfüllen, damit Ihr Macie-Administrator die Rolle übernehmen kann. Einzelheiten zu diesen Anforderungen finden Sie im [nächsten Thema](#findings-retrieve-sd-options-s3access-role-configuration).

   1. (Optional) Wenn Sie sensible Datenproben von betroffenen S3-Objekten für Ihr eigenes Konto abrufen und offenlegen möchten, konfigurieren und aktivieren Sie die Einstellungen in Macie. Wenn Sie möchten, dass Macie beim Abrufen der Samples eine IAM-Rolle übernimmt, erstellen und konfigurieren Sie zunächst eine zusätzliche IAM-Rolle in Ihrem Konto. Stellen Sie sicher, dass die Vertrauens- und Berechtigungsrichtlinien für diese zusätzliche Rolle alle Voraussetzungen erfüllen, damit Macie die Rolle übernehmen kann. Konfigurieren Sie dann die Einstellungen in Macie und geben Sie den Namen dieser zusätzlichen Rolle an. Einzelheiten zu den Richtlinienanforderungen für die Rolle finden Sie im [nächsten Thema](#findings-retrieve-sd-options-s3access-role-configuration).

Informationen zur Ausführung dieser Aufgaben finden Sie unter[Konfiguration von Macie zum Abrufen sensibler Datenproben](findings-retrieve-sd-configure.md).

## Konfiguration einer IAM-Rolle für den Zugriff auf betroffene S3-Objekte
<a name="findings-retrieve-sd-options-s3access-role-configuration"></a>

Um mithilfe einer IAM-Rolle auf betroffene S3-Objekte zuzugreifen, erstellen und konfigurieren Sie zunächst eine Rolle, die den Zugriff an Amazon Macie delegiert. Stellen Sie sicher, dass die Vertrauens- und Berechtigungsrichtlinien für die Rolle alle Voraussetzungen erfüllen, damit Macie die Rolle übernehmen kann. Wie Sie dabei vorgehen, hängt von der Art Ihres Macie-Kontos ab.

In den folgenden Abschnitten finden Sie Einzelheiten zu den Vertrauens- und Berechtigungsrichtlinien, die der IAM-Rolle für jeden Macie-Kontotyp zugewiesen werden müssen. Wählen Sie den Abschnitt für den Kontotyp aus, den Sie haben. 

**Anmerkung**  
Wenn Sie ein Mitgliedskonto in einer Organisation haben, müssen Sie möglicherweise zwei IAM-Rollen für Ihr Konto erstellen und konfigurieren:  
Damit Ihr Macie-Administrator sensible Datenproben von betroffenen S3-Objekten für Ihr Konto abrufen und offenlegen kann, erstellen und konfigurieren Sie eine Rolle, die Ihr Administratorkonto übernehmen kann. Wählen Sie für diese Informationen den Abschnitt **Macie-Mitgliedskonto** aus.
Um sensible Datenproben von betroffenen S3-Objekten für Ihr eigenes Konto abzurufen und offenzulegen, erstellen und konfigurieren Sie eine Rolle, die Macie übernehmen kann. Wählen Sie für diese Informationen den Abschnitt **Eigenständiges Macie-Konto** aus.
Bevor Sie eine der IAM-Rollen erstellen und konfigurieren, sollten Sie mit Ihrem Macie-Administrator die passende Konfiguration für Ihr Konto ermitteln.

*Ausführliche Informationen zur Verwendung von IAM zur Erstellung der Rolle finden Sie im Benutzerhandbuch unter [Erstellen einer Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html).AWS Identity and Access Management *

### Macie-Administratorkonto
<a name="findings-retrieve-sd-options-s3access-role-admin"></a>

Wenn Sie der delegierte Macie-Administrator für eine Organisation sind, verwenden Sie zunächst den IAM-Richtlinieneditor, um die Berechtigungsrichtlinie für die IAM-Rolle zu erstellen. Die Richtlinie sollte wie folgt lauten.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RetrieveS3Objects",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "AssumeMacieRevealRoleForCrossAccountAccess",
            "Effect": "Allow",
            "Action": [
                "sts:AssumeRole"
            ],
            "Resource": "arn:aws:iam::*:role/IAMRoleName"
        }
    ]
}
```

------

Wo *IAMRoleName* ist der Name der IAM-Rolle, die Macie beim Abrufen sensibler Datenproben von betroffenen S3-Objekten für die Konten Ihrer Organisation übernehmen soll? Ersetzen Sie diesen Wert durch den Namen der Rolle, die Sie für Ihr Konto erstellen und die Erstellung für entsprechende Mitgliedskonten in Ihrer Organisation planen. Dieser Name muss für Ihr Macie-Administratorkonto und jedes entsprechende Mitgliedskonto identisch sein.

**Anmerkung**  
In der vorherigen Berechtigungsrichtlinie verwendet das `Resource` Element in der ersten Anweisung ein Platzhalterzeichen ()`*`. Auf diese Weise kann eine angehängte IAM-Entität Objekte aus allen S3-Buckets abrufen, die Ihrem Unternehmen gehören. Um diesen Zugriff nur für bestimmte Buckets zuzulassen, ersetzen Sie das Platzhalterzeichen durch den Amazon-Ressourcennamen (ARN) jedes Buckets. Um beispielsweise nur den Zugriff auf Objekte in einem Bucket mit dem Namen zu ermöglichen *amzn-s3-demo-bucket1*, ändern Sie das Element wie folgt:  
`"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*"`  
Sie können den Zugriff auf Objekte in bestimmten S3-Buckets auch für einzelne Konten einschränken. Geben Sie dazu ARNs im `Resource` Element der Berechtigungsrichtlinie für die IAM-Rolle in jedem entsprechenden Konto einen Bucket an. Weitere Informationen und Beispiele finden Sie unter [IAM-JSON-Richtlinienelemente: Ressource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) im *AWS Identity and Access Management Benutzerhandbuch*.

Nachdem Sie die Berechtigungsrichtlinie für die IAM-Rolle erstellt haben, erstellen und konfigurieren Sie die Rolle. Wenn Sie dazu die IAM-Konsole verwenden, wählen Sie **Benutzerdefinierte Vertrauensrichtlinie** als **vertrauenswürdigen Entitätstyp** für die Rolle aus. Geben Sie für die Vertrauensrichtlinie, die vertrauenswürdige Entitäten für die Rolle definiert, Folgendes an.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowMacieReveal",
            "Effect": "Allow",
            "Principal": {
                "Service": "reveal-samples.macie.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333"
                }
            }
        }
    ]
}
```

------

Wo *111122223333* ist die Konto-ID für Ihren AWS-Konto. Ersetzen Sie diesen Wert durch Ihre 12-stellige Konto-ID.

In der vorherigen Vertrauensrichtlinie:
+ Das `Principal` Element gibt den Dienstprinzipal an, den Macie beim Abrufen sensibler Datenproben von betroffenen S3-Objekten verwendet,. `reveal-samples.macie.amazonaws.com`
+ Das `Action` Element gibt die Aktion an, die der Dienstprinzipal ausführen darf, nämlich den [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)Betrieb der AWS -Security-Token-Service (AWS STS) -API.
+ Das `Condition` Element definiert eine Bedingung, die den Kontextschlüssel [aws: SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) global condition verwendet. Diese Bedingung bestimmt, welches Konto die angegebene Aktion ausführen kann. In diesem Fall kann Macie die Rolle nur für das angegebene Konto übernehmen. Diese Bedingung verhindert, dass Macie bei Transaktionen mit Macie als [verwirrter Stellvertreter](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) eingesetzt wird. AWS STS

Nachdem Sie die Vertrauensrichtlinie für die IAM-Rolle definiert haben, fügen Sie der Rolle die Berechtigungsrichtlinie hinzu. Dies sollte die Berechtigungsrichtlinie sein, die Sie erstellt haben, bevor Sie mit der Erstellung der Rolle begonnen haben. Führen Sie dann die verbleibenden Schritte in IAM aus, um die Erstellung und Konfiguration der Rolle abzuschließen. Wenn Sie fertig sind, [konfigurieren und aktivieren Sie die Einstellungen in Macie](findings-retrieve-sd-configure.md).

### Macie-Mitgliedskonto
<a name="findings-retrieve-sd-options-s3access-role-member"></a>

Wenn Sie ein Macie-Mitgliedskonto haben und Ihrem Macie-Administrator ermöglichen möchten, sensible Datenproben von betroffenen S3-Objekten für Ihr Konto abzurufen und offenzulegen, fragen Sie zunächst Ihren Macie-Administrator nach den folgenden Informationen:
+ Der Name der zu erstellenden IAM-Rolle. Der Name muss für Ihr Konto und das Macie-Administratorkonto für Ihre Organisation identisch sein.
+ Der Name der IAM-Berechtigungsrichtlinie, die der Rolle zugewiesen werden soll.
+ Die externe ID, die in der Vertrauensrichtlinie für die Rolle angegeben werden soll. Diese ID muss die externe ID sein, die Macie für die Konfiguration Ihres Macie-Administrators generiert hat. 

Nachdem Sie diese Informationen erhalten haben, verwenden Sie den IAM-Richtlinieneditor, um die Berechtigungsrichtlinie für die Rolle zu erstellen. Die Richtlinie sollte wie folgt lauten.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RetrieveS3Objects",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}
```

------

Die oben genannte Berechtigungsrichtlinie ermöglicht es einer angehängten IAM-Entität, Objekte aus allen S3-Buckets für Ihr Konto abzurufen. Das liegt daran, dass das `Resource` Element in der Richtlinie ein Platzhalterzeichen () verwendet. `*` Um diesen Zugriff nur für bestimmte Buckets zuzulassen, ersetzen Sie das Platzhalterzeichen durch den Amazon-Ressourcennamen (ARN) jedes Buckets. Um beispielsweise nur den Zugriff auf Objekte in einem Bucket mit dem Namen zu ermöglichen *amzn-s3-demo-bucket2*, ändern Sie das Element wie folgt:

`"Resource": "arn:aws:s3:::amzn-s3-demo-bucket2/*"`

Weitere Informationen und Beispiele finden Sie unter [IAM-JSON-Richtlinienelemente: Ressource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) im *AWS Identity and Access Management Benutzerhandbuch*.

Nachdem Sie die Berechtigungsrichtlinie für die IAM-Rolle erstellt haben, erstellen Sie die Rolle. Wenn Sie die Rolle mithilfe der IAM-Konsole erstellen, wählen Sie **Benutzerdefinierte Vertrauensrichtlinie als Vertrauenswürdigen** **Entitätstyp** für die Rolle aus. Geben Sie für die Vertrauensrichtlinie, die vertrauenswürdige Entitäten für die Rolle definiert, Folgendes an.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowMacieAdminRevealRoleForCrossAccountAccess",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/IAMRoleName"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:ExternalId": "externalID",
                    "aws:PrincipalOrgID": "${aws:ResourceOrgID}"
                }
            }
        }
    ]
}
```

------

Ersetzen Sie in der vorherigen Richtlinie die Platzhalterwerte durch die richtigen Werte für Ihre AWS Umgebung, wobei:
+ *111122223333*ist die 12-stellige Konto-ID für das Macie-Administratorkonto.
+ *IAMRoleName*ist der Name der IAM-Rolle in Ihrem Macie-Administratorkonto. Es sollte der Name sein, den Sie von Ihrem Macie-Administrator erhalten haben.
+ *externalID*ist die externe ID, die Sie von Ihrem Macie-Administrator erhalten haben.

Im Allgemeinen ermöglicht die Vertrauensrichtlinie Ihrem Macie-Administrator, die Rolle des Abrufs und der Offenlegung sensibler Datenproben von betroffenen S3-Objekten für Ihr Konto zu übernehmen. Das `Principal` Element gibt den ARN einer IAM-Rolle im Konto Ihres Macie-Administrators an. Dies ist die Rolle, die Ihr Macie-Administrator verwendet, um sensible Datenproben für die Konten Ihrer Organisation abzurufen und offenzulegen. Der `Condition` Block definiert zwei Bedingungen, die weiter bestimmen, wer die Rolle übernehmen kann:
+ Die erste Bedingung gibt eine externe ID an, die für die Konfiguration Ihrer Organisation eindeutig ist. Weitere Informationen zu externen IDs Inhalten finden Sie im *AWS Identity and Access Management Benutzerhandbuch* unter [Zugriff auf AWS-Konten Eigentum Dritter](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html).
+ Die zweite Bedingung verwendet den globalen Bedingungskontextschlüssel [aws: PrincipalOrg ID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid). Der Wert für den Schlüssel ist eine dynamische Variable, die den eindeutigen Bezeichner für eine Organisation in AWS Organizations (`${aws:ResourceOrgID}`) darstellt. Die Bedingung beschränkt den Zugriff nur auf die Konten, die Teil derselben Organisation in AWS Organizations sind. Wenn Sie Ihrer Organisation beigetreten sind, indem Sie eine Einladung in Macie angenommen haben, entfernen Sie diese Bedingung aus der Richtlinie.

Nachdem Sie die Vertrauensrichtlinie für die IAM-Rolle definiert haben, fügen Sie der Rolle die Berechtigungsrichtlinie hinzu. Dies sollte die Berechtigungsrichtlinie sein, die Sie erstellt haben, bevor Sie mit der Erstellung der Rolle begonnen haben. Führen Sie dann die verbleibenden Schritte in IAM aus, um die Erstellung und Konfiguration der Rolle abzuschließen. Konfigurieren und geben Sie keine Einstellungen für die Rolle in Macie ein.

### Eigenständiges Macie-Konto
<a name="findings-retrieve-sd-options-s3access-role-standalone"></a>

Wenn Sie ein eigenständiges Macie-Konto oder ein Macie-Mitgliedskonto haben und sensible Datenproben von betroffenen S3-Objekten für Ihr eigenes Konto abrufen und offenlegen möchten, verwenden Sie zunächst den IAM-Richtlinieneditor, um die Berechtigungsrichtlinie für die IAM-Rolle zu erstellen. Die Richtlinie sollte wie folgt lauten.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RetrieveS3Objects",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}
```

------

In der vorherigen Berechtigungsrichtlinie verwendet das `Resource` Element ein Platzhalterzeichen (`*`). Dadurch kann eine angehängte IAM-Entität Objekte aus allen S3-Buckets für Ihr Konto abrufen. Um diesen Zugriff nur für bestimmte Buckets zuzulassen, ersetzen Sie das Platzhalterzeichen durch den Amazon-Ressourcennamen (ARN) jedes Buckets. Um beispielsweise nur den Zugriff auf Objekte in einem Bucket mit dem Namen zu ermöglichen *amzn-s3-demo-bucket3*, ändern Sie das Element wie folgt:

`"Resource": "arn:aws:s3:::amzn-s3-demo-bucket3/*"`

Weitere Informationen und Beispiele finden Sie unter [IAM-JSON-Richtlinienelemente: Ressource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) im *AWS Identity and Access Management Benutzerhandbuch*. 

Nachdem Sie die Berechtigungsrichtlinie für die IAM-Rolle erstellt haben, erstellen Sie die Rolle. Wenn Sie die Rolle mithilfe der IAM-Konsole erstellen, wählen Sie **Benutzerdefinierte Vertrauensrichtlinie als Vertrauenswürdigen** **Entitätstyp** für die Rolle aus. Geben Sie für die Vertrauensrichtlinie, die vertrauenswürdige Entitäten für die Rolle definiert, Folgendes an.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowMacieReveal",
            "Effect": "Allow",
            "Principal": {
                "Service": "reveal-samples.macie.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "999999999999"
                }
            }
        }
    ]
}
```

------

Wo *999999999999* ist die Konto-ID für Ihren AWS-Konto. Ersetzen Sie diesen Wert durch Ihre 12-stellige Konto-ID.

In der vorherigen Vertrauensrichtlinie:
+ Das `Principal` Element gibt den Dienstprinzipal an, den Macie beim Abrufen und Aufdecken sensibler Datenproben von betroffenen S3-Objekten verwendet,. `reveal-samples.macie.amazonaws.com`
+ Das `Action` Element spezifiziert die Aktion, die der Dienstprinzipal ausführen darf, nämlich den [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)Betrieb der AWS -Security-Token-Service (AWS STS) -API.
+ Das `Condition` Element definiert eine Bedingung, die den Kontextschlüssel [aws: SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) global condition verwendet. Diese Bedingung bestimmt, welches Konto die angegebene Aktion ausführen kann. Dadurch kann Macie die Rolle nur für das angegebene Konto übernehmen. Diese Bedingung verhindert, dass Macie bei Transaktionen mit als [verwirrter Stellvertreterin](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) eingesetzt wird. AWS STS

Nachdem Sie die Vertrauensrichtlinie für die IAM-Rolle definiert haben, fügen Sie der Rolle die Berechtigungsrichtlinie hinzu. Dies sollte die Berechtigungsrichtlinie sein, die Sie erstellt haben, bevor Sie mit der Erstellung der Rolle begonnen haben. Führen Sie dann die verbleibenden Schritte in IAM aus, um die Erstellung und Konfiguration der Rolle abzuschließen. Wenn Sie fertig sind, [konfigurieren und aktivieren Sie die Einstellungen in Macie](findings-retrieve-sd-configure.md).

## Betroffene S3-Objekte werden entschlüsselt
<a name="findings-retrieve-sd-options-decrypt"></a>

Amazon S3 unterstützt mehrere Verschlüsselungsoptionen für S3-Objekte. Für die meisten dieser Optionen sind keine zusätzlichen Ressourcen oder Berechtigungen für einen IAM-Benutzer oder eine IAM-Rolle erforderlich, um sensible Datenproben von einem betroffenen Objekt zu entschlüsseln und abzurufen. Dies ist der Fall bei einem Objekt, das mithilfe einer serverseitigen Verschlüsselung mit einem von Amazon S3 verwalteten Schlüssel oder einem AWS AWS KMS key verwalteten Schlüssel verschlüsselt wurde.

Wenn ein S3-Objekt jedoch verschlüsselt und von einem Kunden verwaltet wird AWS KMS key, sind zusätzliche Berechtigungen erforderlich, um sensible Datenproben aus dem Objekt zu entschlüsseln und abzurufen. Genauer gesagt muss die Schlüsselrichtlinie für den KMS-Schlüssel es dem IAM-Benutzer oder der IAM-Rolle ermöglichen, die `kms:Decrypt` Aktion auszuführen. Andernfalls tritt ein Fehler auf und Amazon Macie ruft keine Proben aus dem Objekt ab. Informationen dazu, wie Sie einem IAM-Benutzer diesen Zugriff gewähren, finden Sie unter [KMS-Schlüsselzugriff und Berechtigungen](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html) im *AWS Key Management Service Entwicklerhandbuch*.

Wie dieser Zugriff für eine IAM-Rolle bereitgestellt wird, hängt davon ab, ob das Konto, dem die Rolle gehört, AWS KMS key auch Eigentümer der Rolle ist:
+ Wenn dasselbe Konto den KMS-Schlüssel und die Rolle besitzt, muss ein Benutzer des Kontos die Richtlinie für den Schlüssel aktualisieren. 
+ Wenn ein Konto den KMS-Schlüssel und ein anderes Konto die Rolle besitzt, muss ein Benutzer des Kontos, dem der Schlüssel gehört, kontenübergreifenden Zugriff auf den Schlüssel gewähren.

In diesem Thema wird beschrieben, wie Sie diese Aufgaben für eine IAM-Rolle ausführen, die Sie zum Abrufen sensibler Datenproben aus S3-Objekten erstellt haben. Es enthält auch Beispiele für beide Szenarien. Informationen zur Gewährung des Zugriffs für vom Kunden verwaltete Benutzer AWS KMS keys für andere Szenarien finden Sie unter [KMS-Schlüsselzugriff und -berechtigungen](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html) im *AWS Key Management Service Entwicklerhandbuch*.

### Erlauben des Zugriffs auf einen vom Kunden verwalteten Schlüssel für dasselbe Konto
<a name="findings-retrieve-sd-options-decrypt-same-account"></a>

Wenn dasselbe Konto AWS KMS key sowohl die als auch die IAM-Rolle besitzt, muss ein Benutzer des Kontos der Richtlinie für den Schlüssel eine Erklärung hinzufügen. Die zusätzliche Anweisung muss es der IAM-Rolle ermöglichen, Daten mithilfe des Schlüssels zu entschlüsseln. Ausführliche Informationen zur Aktualisierung einer Schlüsselrichtlinie finden Sie unter [Ändern einer Schlüsselrichtlinie](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) im *AWS Key Management Service Entwicklerhandbuch*.

In der Erklärung:
+ Das `Principal` Element muss den Amazon-Ressourcennamen (ARN) der IAM-Rolle angeben.
+ Das `Action` Array muss die `kms:Decrypt` Aktion spezifizieren. Dies ist die einzige AWS KMS Aktion, die die IAM-Rolle ausführen darf, um ein mit dem Schlüssel verschlüsseltes Objekt zu entschlüsseln.

Im Folgenden finden Sie ein Beispiel für die Anweisung, die der Richtlinie für einen KMS-Schlüssel hinzugefügt werden soll. 

```
{
    "Sid": "Allow the Macie reveal role to use the key",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::123456789012:role/IAMRoleName"
    },
    "Action": [
        "kms:Decrypt"
    ],
    "Resource": "*"
}
```

Für das obige Beispiel gilt: 
+ Das `AWS` Feld im `Principal` Element gibt den ARN der IAM-Rolle im Konto an. Es ermöglicht der Rolle, die in der Richtlinienerklärung angegebene Aktion auszuführen. *123456789012*ist ein Beispiel für eine Konto-ID. Ersetzen Sie diesen Wert durch die Konto-ID für das Konto, dem die Rolle gehört, und durch den KMS-Schlüssel. *IAMRoleName*ist ein Beispielname. Ersetzen Sie diesen Wert durch den Namen der IAM-Rolle im Konto.
+ Das `Action` Array gibt die Aktion an, die die IAM-Rolle mithilfe des KMS-Schlüssels ausführen darf, d. h. den Chiffretext entschlüsseln, der mit dem Schlüssel verschlüsselt ist.

Wo Sie diese Anweisung zu einer wichtigen Richtlinie hinzufügen, hängt von der Struktur und den Elementen ab, die die Richtlinie derzeit enthält. Wenn Sie die Anweisung hinzufügen, stellen Sie sicher, dass die Syntax gültig ist. Wichtige Richtlinien verwenden das JSON-Format. Das bedeutet, dass Sie vor oder nach der Anweisung auch ein Komma hinzufügen müssen, je nachdem, wo Sie die Anweisung zur Richtlinie hinzufügen. 

### Ermöglicht den kontoübergreifenden Zugriff auf einen vom Kunden verwalteten Schlüssel
<a name="findings-retrieve-sd-options-decrypt-cross-account"></a>

Wenn ein Konto den AWS KMS key (*Schlüsselinhaber*) besitzt und ein anderes Konto die *IAM-Rolle (Rolleninhaber*) besitzt, muss der Schlüsselinhaber dem Rolleninhaber kontoübergreifenden Zugriff auf den Schlüssel gewähren. Eine Möglichkeit, dies zu tun, ist die Verwendung eines Zuschusses. Ein *Zuschuss* ist ein politisches Instrument, das es AWS Prinzipalen ermöglicht, KMS-Schlüssel für kryptografische Operationen zu verwenden, sofern die im Zuschuss festgelegten Bedingungen erfüllt sind. Weitere Informationen zu Zuschüssen finden Sie unter [Zuschüsse AWS KMS im AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) *Entwicklerhandbuch*.

Bei diesem Ansatz stellt der Schlüsselinhaber zunächst sicher, dass die Richtlinie des Schlüssels es dem Rolleninhaber ermöglicht, einen Zuschuss für den Schlüssel zu erstellen. Der Rolleninhaber erstellt dann einen Zuschuss für den Schlüssel. Durch die Gewährung werden die entsprechenden Berechtigungen an die IAM-Rolle in ihrem Konto delegiert. Sie ermöglicht der Rolle, S3-Objekte zu entschlüsseln, die mit dem Schlüssel verschlüsselt wurden.

**Schritt 1: Aktualisieren Sie die Schlüsselrichtlinie**  
In der Schlüsselrichtlinie sollte der Schlüsselinhaber sicherstellen, dass die Richtlinie eine Erklärung enthält, die es dem Rolleninhaber ermöglicht, einen Zuschuss für die IAM-Rolle in seinem Konto (dem des Rollenbesitzers) zu erstellen. In dieser Anweisung muss das `Principal` Element den ARN des Kontos des Rollenbesitzers angeben. Das `Action` Array muss die `kms:CreateGrant` Aktion spezifizieren. Ein `Condition` Block kann den Zugriff auf die angegebene Aktion filtern. Im Folgenden finden Sie ein Beispiel für diese Anweisung in der Richtlinie für einen KMS-Schlüssel.

```
{
    "Sid": "Allow a role in an account to create a grant",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:root"
    },
    "Action": [
        "kms:CreateGrant"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:GranteePrincipal": "arn:aws:iam::111122223333:role/IAMRoleName"
        },
        "ForAllValues:StringEquals": {
            "kms:GrantOperations": "Decrypt"
        }
    }
}
```

Für das obige Beispiel gilt:
+ Das `AWS` Feld im `Principal` Element gibt den ARN des Kontos des Rollenbesitzers an. Es ermöglicht dem Konto, die in der Richtlinienerklärung angegebene Aktion auszuführen. *111122223333*ist ein Beispiel für eine Konto-ID. Ersetzen Sie diesen Wert durch die Konto-ID für das Konto des Rollenbesitzers.
+ Das `Action` Array gibt die Aktion an, die der Rolleninhaber mit dem KMS-Schlüssel ausführen darf — eine Zuweisung für den Schlüssel erstellen.
+ Der `Condition` Block verwendet [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) und die folgenden Bedingungsschlüssel, um den Zugriff auf die Aktion zu filtern, die der Rolleninhaber mit dem KMS-Schlüssel ausführen darf:
  + [kms: GranteePrincipal](https://docs.aws.amazon.com/kms/latest/developerguide/conditions-kms.html#conditions-kms-grantee-principal) — Diese Bedingung ermöglicht es dem Rolleninhaber, einen Grant nur für den angegebenen Principal des Empfängers zu erstellen, bei dem es sich um den ARN der IAM-Rolle in seinem Konto handelt. In diesem ARN *111122223333* befindet sich ein Beispiel für eine Konto-ID. Ersetzen Sie diesen Wert durch die Konto-ID für das Konto des Rollenbesitzers. *IAMRoleName*ist ein Beispielname. Ersetzen Sie diesen Wert durch den Namen der IAM-Rolle im Konto des Rollenbesitzers.
  + [kms: GrantOperations](https://docs.aws.amazon.com/kms/latest/developerguide/conditions-kms.html#conditions-kms-grant-operations) — Diese Bedingung ermöglicht es dem Rolleninhaber, eine Genehmigung nur zu erstellen, um die Erlaubnis zur Ausführung der AWS KMS `Decrypt` Aktion zu delegieren (Entschlüsselung des mit dem Schlüssel verschlüsselten Chiffretextes). Sie verhindert, dass der Rolleninhaber Genehmigungen erstellt, mit denen Berechtigungen zur Ausführung anderer Aktionen mit dem KMS-Schlüssel delegiert werden. Diese `Decrypt` Aktion ist die einzige AWS KMS Aktion, die die IAM-Rolle ausführen darf, um ein Objekt zu entschlüsseln, das mit dem Schlüssel verschlüsselt wurde.

Wo der Schlüsselinhaber diese Erklärung zur Schlüsselrichtlinie hinzufügt, hängt von der Struktur und den Elementen ab, die die Richtlinie derzeit enthält. Wenn der Schlüsselinhaber die Anweisung hinzufügt, sollte er sicherstellen, dass die Syntax gültig ist. Wichtige Richtlinien verwenden das JSON-Format. Das bedeutet, dass der Schlüsselinhaber vor oder nach der Anweisung auch ein Komma hinzufügen muss, je nachdem, wo er die Anweisung zur Richtlinie hinzufügt. Ausführliche Informationen zur Aktualisierung einer wichtigen Richtlinie finden Sie unter [Ändern einer Schlüsselrichtlinie](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) im *AWS Key Management Service Entwicklerhandbuch*.

**Schritt 2: Erstellen Sie einen Zuschuss**  
Nachdem der Schlüsselinhaber die Schlüsselrichtlinie nach Bedarf aktualisiert hat, erstellt der Rolleninhaber einen Grant für den Schlüssel. Durch die Erteilung werden die entsprechenden Berechtigungen an die IAM-Rolle in ihrem Konto (dem des Rollenbesitzers) delegiert. Bevor der Rolleninhaber den Zuschuss erstellt, sollte er überprüfen, ob er die `kms:CreateGrant` Aktion ausführen darf. Diese Aktion ermöglicht es ihnen, einem bestehenden, vom Kunden verwalteten Betrag einen Zuschuss hinzuzufügen AWS KMS key.

Um den Zuschuss zu erstellen, kann der Rolleninhaber den [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)Betrieb der AWS Key Management Service API verwenden. Wenn der Rolleninhaber den Grant erstellt, sollte er die folgenden Werte für die erforderlichen Parameter angeben:
+ `KeyId`— Der ARN des KMS-Schlüssels. Für den kontoübergreifenden Zugriff auf einen KMS-Schlüssel muss es sich bei diesem Wert um einen ARN handeln. Es kann keine Schlüssel-ID sein.
+ `GranteePrincipal`— Der ARN der IAM-Rolle in ihrem Konto. Dieser Wert sollte lauten`arn:aws:iam::111122223333:role/IAMRoleName`, wobei *111122223333* es sich um die Konto-ID für das Konto des Rollenbesitzers und um den Namen der Rolle *IAMRoleName* handelt.
+ `Operations`— Die AWS KMS Entschlüsselungsaktion (`Decrypt`). Dies ist die einzige AWS KMS Aktion, die die IAM-Rolle ausführen darf, um ein Objekt zu entschlüsseln, das mit dem KMS-Schlüssel verschlüsselt ist.

Wenn der Rollenbesitzer AWS Command Line Interface (AWS CLI) verwendet, kann er den Befehl [create-grant ausführen, um den Grant](https://docs.aws.amazon.com/cli/latest/reference/kms/create-grant.html) zu erstellen. Im folgenden Beispiel wird gezeigt, wie dies geschieht. Das Beispiel ist für Microsoft Windows formatiert und verwendet das Zeilenfortsetzungszeichen Caret (^), um die Lesbarkeit zu verbessern.

```
C:\> aws kms create-grant ^
--key-id arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab ^
--grantee-principal arn:aws:iam::111122223333:role/IAMRoleName ^
--operations "Decrypt"
```

Wobei Folgendes gilt:
+ `key-id`gibt den ARN des KMS-Schlüssels an, auf den der Zuschuss angewendet werden soll.
+ `grantee-principal`gibt den ARN der IAM-Rolle an, die die im Grant angegebene Aktion ausführen darf. Dieser Wert sollte dem ARN entsprechen, der in der `kms:GranteePrincipal` Bedingung in der Schlüsselrichtlinie angegeben ist.
+ `operations`gibt die Aktion an, die der angegebene Prinzipal aufgrund des Grants ausführen kann — das Entschlüsseln von Chiffretext, der mit dem Schlüssel verschlüsselt ist.

Wird der Befehl erfolgreich ausgeführt, erhalten Sie eine Ausgabe ähnlich der folgenden:

```
{
    "GrantToken": "<grant token>",
    "GrantId": "1a2b3c4d2f5e69f440bae30eaec9570bb1fb7358824f9ddfa1aa5a0dab1a59b2"
}
```

Dabei `GrantToken` handelt es sich um eine eindeutige, nicht geheime, Base64-kodierte Zeichenfolge mit variabler Länge, die den Grant darstellt, der erstellt wurde, und der eindeutige Bezeichner für den Grant ist. `GrantId`

# Konfiguration von Macie zum Abrufen sensibler Datenproben
<a name="findings-retrieve-sd-configure"></a>

Sie können Amazon Macie optional konfigurieren und verwenden, um Stichproben vertraulicher Daten abzurufen und offenzulegen, die Macie in einzelnen Ergebnissen meldet. Anhand der Beispiele können Sie die Art der sensiblen Daten überprüfen, die Macie gefunden hat. Sie können Ihnen auch dabei helfen, Ihre Untersuchung eines betroffenen Amazon Simple Storage Service (Amazon S3) -Objekts und -Buckets maßgeschneidert zu gestalten. Sie können sensible Datenproben überall dort abrufen und offenlegen, AWS-Regionen wo Macie derzeit verfügbar ist, mit Ausnahme der Regionen Asien-Pazifik (Osaka) und Israel (Tel Aviv).

Wenn Sie Stichproben sensibler Daten für einen Befund abrufen und offenlegen, verwendet Macie die Daten aus dem entsprechenden Ermittlungsergebnis für sensible Daten, um das Vorkommen sensibler Daten im betroffenen S3-Objekt zu lokalisieren. Macie extrahiert dann Stichproben dieser Vorkommnisse aus dem betroffenen Objekt. Macie verschlüsselt die extrahierten Daten mit einem von Ihnen angegebenen Schlüssel AWS Key Management Service (AWS KMS), speichert die verschlüsselten Daten vorübergehend in einem Cache und gibt die Daten in Ihren Ergebnissen für die Suche zurück. Kurz nach dem Extrahieren und Verschlüsseln löscht Macie die Daten dauerhaft aus dem Cache, es sei denn, eine zusätzliche Aufbewahrung ist vorübergehend erforderlich, um ein Betriebsproblem zu lösen.

Um Stichproben vertraulicher Daten abzurufen und für Ergebnisse freizugeben, müssen Sie zunächst die Einstellungen für Ihr Macie-Konto konfigurieren und aktivieren. Außerdem müssen Sie unterstützende Ressourcen und Berechtigungen für Ihr Konto konfigurieren. Die Themen in diesem Abschnitt führen Sie durch die Konfiguration von Macie für den Abruf und die Offenlegung sensibler Datenproben sowie durch die Verwaltung des Status der Konfiguration für Ihr Konto.

**Topics**
+ [Bevor Sie beginnen](#findings-retrieve-sd-configure-prereqs)
+ [Konfiguration und Aktivierung der Macie-Einstellungen](#findings-retrieve-sd-configure-enable)
+ [Macie-Einstellungen deaktivieren](#findings-retrieve-sd-configure-manage)

**Tipp**  
Empfehlungen und Beispiele für Richtlinien, mit denen Sie den Zugriff auf diese Funktion kontrollieren können, finden Sie im folgenden Blogbeitrag im *AWS Sicherheits-Blog*: [So verwenden Sie Amazon Macie, um eine Vorschau sensibler Daten in S3-Buckets](https://aws.amazon.com/blogs/security/how-to-use-amazon-macie-to-preview-sensitive-data-in-s3-buckets/) anzuzeigen.

## Bevor Sie beginnen
<a name="findings-retrieve-sd-configure-prereqs"></a>

Bevor Sie Amazon Macie so konfigurieren, dass Stichproben sensibler Daten für Ergebnisse abgerufen und offengelegt werden, führen Sie die folgenden Aufgaben durch, um sicherzustellen, dass Sie über die erforderlichen Ressourcen und Berechtigungen verfügen.

**Topics**
+ [Schritt 1: Konfigurieren Sie ein Repository für Ergebnisse der Erkennung sensibler Daten](#findings-retrieve-sd-configure-sddr)
+ [Schritt 2: Ermitteln Sie, wie auf die betroffenen S3-Objekte zugegriffen werden kann](#findings-retrieve-sd-configure-s3access)
+ [Schritt 3: Konfigurieren Sie ein AWS KMS key](#findings-retrieve-sd-configure-key)
+ [Schritt 4: Überprüfen Sie Ihre Berechtigungen](#findings-retrieve-sd-configure-permissions)

Diese Aufgaben sind optional, wenn Sie Macie bereits für den Abruf und die Offenlegung sensibler Datenproben konfiguriert haben und nur Ihre Konfigurationseinstellungen ändern möchten.

### Schritt 1: Konfigurieren Sie ein Repository für die Ergebnisse der Erkennung sensibler Daten
<a name="findings-retrieve-sd-configure-sddr"></a>

Wenn Sie Stichproben sensibler Daten für einen Befund abrufen und offenlegen, verwendet Macie die Daten aus dem entsprechenden Ermittlungsergebnis für sensible Daten, um das Vorkommen sensibler Daten im betroffenen S3-Objekt zu lokalisieren. Daher ist es wichtig, zu überprüfen, ob Sie ein Repository für die Ergebnisse der Erkennung sensibler Daten konfiguriert haben. Andernfalls wird Macie nicht in der Lage sein, Stichproben sensibler Daten zu finden, die Sie abrufen und offenlegen möchten.

Um festzustellen, ob Sie dieses Repository für Ihr Konto konfiguriert haben, können Sie die Amazon Macie Macie-Konsole verwenden: Wählen Sie im Navigationsbereich **Discovery-Ergebnisse** (unter **Einstellungen**) aus. Um dies programmgesteuert zu tun, verwenden Sie den [GetClassificationExportConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/classification-export-configuration.html)Betrieb der Amazon Macie Macie-API. Weitere Informationen zu den Ergebnissen der Erkennung sensibler Daten und zur Konfiguration dieses Repositorys finden Sie unter. [Speicherung und Beibehaltung der Erkennungsergebnisse von vertraulichen Daten](discovery-results-repository-s3.md)

### Schritt 2: Ermitteln Sie, wie auf die betroffenen S3-Objekte zugegriffen werden soll
<a name="findings-retrieve-sd-configure-s3access"></a>

Um auf betroffene S3-Objekte zuzugreifen und sensible Datenproben von ihnen abzurufen, haben Sie zwei Möglichkeiten. Sie können Macie so konfigurieren, dass es Ihre AWS Identity and Access Management (IAM-) Benutzeranmeldedaten verwendet. Oder Sie können Macie so konfigurieren, dass es eine IAM-Rolle annimmt, die den Zugriff an Macie delegiert. Sie können beide Konfigurationen mit einem beliebigen Macie-Konto verwenden — dem delegierten Macie-Administratorkonto für eine Organisation, einem Macie-Mitgliedskonto in einer Organisation oder einem eigenständigen Macie-Konto. Bevor Sie die Einstellungen in Macie konfigurieren, legen Sie fest, welche Zugriffsmethode Sie verwenden möchten. Einzelheiten zu den Optionen und Anforderungen für die einzelnen Methoden finden Sie unter[Konfigurationsoptionen für das Abrufen von Proben](findings-retrieve-sd-options.md).

Wenn Sie eine IAM-Rolle verwenden möchten, erstellen und konfigurieren Sie die Rolle, bevor Sie die Einstellungen in Macie konfigurieren. Stellen Sie außerdem sicher, dass die Vertrauens- und Berechtigungsrichtlinien für die Rolle alle Voraussetzungen erfüllen, damit Macie die Rolle übernehmen kann. Wenn Ihr Konto Teil einer Organisation ist, die mehrere Macie-Konten zentral verwaltet, entscheiden Sie zunächst mit Ihrem Macie-Administrator, ob und wie die Rolle für Ihr Konto konfiguriert werden soll.

### Schritt 3: Konfigurieren Sie ein AWS KMS key
<a name="findings-retrieve-sd-configure-key"></a>

Wenn Sie sensible Datenproben für einen Befund abrufen und offenlegen, verschlüsselt Macie die Stichproben mit einem von Ihnen AWS KMS angegebenen Schlüssel AWS Key Management Service (). Daher müssen Sie festlegen, welchen AWS KMS key Sie zum Verschlüsseln der Stichproben verwenden möchten. Der Schlüssel kann ein vorhandener KMS-Schlüssel aus Ihrem eigenen Konto oder ein vorhandener KMS-Schlüssel sein, den ein anderes Konto besitzt. Wenn Sie einen Schlüssel verwenden möchten, den ein anderes Konto besitzt, rufen Sie den Amazon-Ressourcennamen (ARN) des Schlüssels ab. Sie müssen diesen ARN angeben, wenn Sie die Konfigurationseinstellungen in Macie eingeben.

Der KMS-Schlüssel muss ein vom Kunden verwalteter, symmetrischer Verschlüsselungsschlüssel sein. Es muss sich außerdem um einen Schlüssel für eine einzelne Region handeln, der genauso aktiviert ist AWS-Region wie Ihr Macie-Konto. Der KMS-Schlüssel kann sich in einem externen Schlüsselspeicher befinden. Der Schlüssel ist dann jedoch möglicherweise langsamer und weniger zuverlässig als ein Schlüssel, der vollständig innerhalb verwaltet wird AWS KMS. Wenn Macie aufgrund von Latenz- oder Verfügbarkeitsproblemen daran gehindert wird, sensible Datenproben zu verschlüsseln, die Sie abrufen und offenlegen möchten, tritt ein Fehler auf und Macie sendet keine Stichproben für die Suche zurück.

Darüber hinaus muss die Schlüsselrichtlinie für den Schlüssel es den entsprechenden Prinzipalen (IAM-Rollen, IAM-Benutzern oder AWS-Konten) ermöglichen, die folgenden Aktionen auszuführen:
+ `kms:Decrypt`
+ `kms:DescribeKey`
+ `kms:GenerateDataKey`

**Wichtig**  
Als zusätzliche Ebene der Zugriffskontrolle empfehlen wir, einen speziellen KMS-Schlüssel für die Verschlüsselung der abgerufenen vertraulichen Datenproben zu erstellen und die Verwendung des Schlüssels auf die Prinzipale zu beschränken, die sensible Datenproben abrufen und offenlegen dürfen. Wenn ein Benutzer die oben genannten Aktionen für den Schlüssel nicht ausführen darf, lehnt Macie seine Anfrage ab, sensible Datenproben abzurufen und offenzulegen. Macie sendet keine Proben für den Befund zurück.

Informationen zum Erstellen und Konfigurieren von KMS-Schlüsseln finden Sie unter [Erstellen eines KMS-Schlüssels](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) im *AWS Key Management Service Entwicklerhandbuch*. Informationen zur Verwendung von Schlüsselrichtlinien zur Verwaltung des Zugriffs auf [KMS-Schlüssel finden Sie unter Wichtige Richtlinien AWS KMS im AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) *Entwicklerhandbuch*.

### Schritt 4: Überprüfen Sie Ihre Berechtigungen
<a name="findings-retrieve-sd-configure-permissions"></a>

Bevor Sie die Einstellungen in Macie konfigurieren, stellen Sie außerdem sicher, dass Sie über die erforderlichen Berechtigungen verfügen. Um Ihre Berechtigungen zu überprüfen, verwenden Sie AWS Identity and Access Management (IAM), um die IAM-Richtlinien zu überprüfen, die mit Ihrer IAM-Identität verknüpft sind. Vergleichen Sie dann die Informationen in diesen Richtlinien mit der folgenden Liste von Aktionen, die Sie ausführen dürfen müssen.

**Amazon Macie**  
Stellen Sie für Macie sicher, dass Sie die folgenden Aktionen ausführen dürfen:  
+ `macie2:GetMacieSession`
+ `macie2:UpdateRevealConfiguration`
Mit der ersten Aktion können Sie auf Ihr Macie-Konto zugreifen. Mit der zweiten Aktion können Sie Ihre Konfigurationseinstellungen für das Abrufen und Offenlegen sensibler Datenproben ändern. Dazu gehört das Aktivieren und Deaktivieren der Konfiguration für Ihr Konto.  
Vergewissern Sie sich optional, dass Sie die `macie2:GetRevealConfiguration` Aktion auch ausführen dürfen. Mit dieser Aktion können Sie Ihre aktuellen Konfigurationseinstellungen und den aktuellen Status der Konfiguration für Ihr Konto abrufen.

**AWS KMS**  
Wenn Sie die Amazon Macie Macie-Konsole verwenden möchten, um die Konfigurationseinstellungen einzugeben, stellen Sie außerdem sicher, dass Sie die folgenden AWS Key Management Service (AWS KMS) Aktionen ausführen dürfen:  
+ `kms:DescribeKey`
+ `kms:ListAliases`
Mit diesen Aktionen können Sie Informationen über das AWS KMS keys für Ihr Konto abrufen. Sie können dann bei der Eingabe der Einstellungen einen dieser Schlüssel auswählen.

**IAM**  
Wenn Sie Macie so konfigurieren möchten, dass es eine IAM-Rolle zum Abrufen und Offenlegen vertraulicher Datenproben annimmt, stellen Sie außerdem sicher, dass Sie die folgende IAM-Aktion ausführen dürfen:. `iam:PassRole` Diese Aktion ermöglicht es Ihnen, die Rolle an Macie zu übergeben, wodurch Macie wiederum die Rolle übernehmen kann. Wenn Sie die Konfigurationseinstellungen für Ihr Konto eingeben, kann Macie dann auch überprüfen, ob die Rolle in Ihrem Konto vorhanden und korrekt konfiguriert ist.

Wenn Sie die erforderlichen Aktionen nicht ausführen dürfen, bitten Sie Ihren AWS Administrator um Unterstützung.

## Konfiguration und Aktivierung der Macie-Einstellungen
<a name="findings-retrieve-sd-configure-enable"></a>

Nachdem Sie sich vergewissert haben, dass Sie über die benötigten Ressourcen und Berechtigungen verfügen, können Sie die Einstellungen in Amazon Macie konfigurieren und die Konfiguration für Ihr Konto aktivieren.

Wenn Ihr Konto Teil einer Organisation ist, die mehrere Macie-Konten zentral verwaltet, beachten Sie Folgendes, bevor Sie die Einstellungen für Ihr Konto konfigurieren oder anschließend ändern:
+ Wenn Sie ein Mitgliedskonto haben, entscheiden Sie gemeinsam mit Ihrem Macie-Administrator, ob und wie Sie die Einstellungen für Ihr Konto konfigurieren müssen. Ihr Macie-Administrator kann Ihnen helfen, die richtigen Konfigurationseinstellungen für Ihr Konto zu ermitteln.
+ Wenn Sie über ein Macie-Administratorkonto verfügen und Ihre Einstellungen für den Zugriff auf betroffene S3-Objekte ändern, können sich Ihre Änderungen auf andere Konten und Ressourcen Ihrer Organisation auswirken. Dies hängt davon ab, ob Macie derzeit so konfiguriert ist, dass es eine AWS Identity and Access Management (IAM-) Rolle beim Abrufen sensibler Datenproben übernimmt. Ist dies der Fall und Sie konfigurieren Macie für die Verwendung von IAM-Benutzeranmeldedaten neu, löscht Macie dauerhaft die vorhandenen Einstellungen für die IAM-Rolle — den Namen der Rolle und die externe ID für Ihre Konfiguration. Wenn sich Ihre Organisation später dafür entscheidet, wieder IAM-Rollen zu verwenden, müssen Sie in der Vertrauensrichtlinie für die Rolle in jedem entsprechenden Mitgliedskonto eine neue externe ID angeben.

Einzelheiten zu den Konfigurationsoptionen und Anforderungen für beide Kontotypen finden Sie unter[Konfigurationsoptionen für das Abrufen von Proben](findings-retrieve-sd-options.md).

Um die Einstellungen in Macie zu konfigurieren und die Konfiguration für Ihr Konto zu aktivieren, können Sie die Amazon Macie Macie-Konsole oder die Amazon Macie Macie-API verwenden.

------
#### [ Console ]

Gehen Sie wie folgt vor, um die Einstellungen mithilfe der Amazon Macie Macie-Konsole zu konfigurieren und zu aktivieren.

**Um die Macie-Einstellungen zu konfigurieren und zu aktivieren**

1. Öffnen Sie die Amazon Macie Macie-Konsole unter [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/).

1. Wählen Sie mithilfe der AWS-Region Auswahl in der oberen rechten Ecke der Seite die Region aus, für die Sie konfigurieren möchten, und aktivieren Sie Macie, um sensible Datenproben abzurufen und anzuzeigen.

1. **Wählen Sie im Navigationsbereich unter **Einstellungen die Option Beispiele anzeigen** aus.**

1. Wählen Sie im Abschnitt **Settings** (Einstellungen) die Option **Edit** (Bearbeiten) aus.

1. Wählen Sie für **Status** die Option **Aktiviert**.

1. Geben Sie unter **Zugriff** die Zugriffsmethode und die Einstellungen an, die Sie beim Abrufen sensibler Datenproben von betroffenen S3-Objekten verwenden möchten:
   + Um eine IAM-Rolle zu verwenden, die den Zugriff an Macie delegiert, wählen Sie Assume **an IAM-Rolle**. Wenn Sie diese Option wählen, ruft Macie die Beispiele ab, indem es die IAM-Rolle annimmt, die Sie in Ihrem erstellt und konfiguriert haben. AWS-Konto Geben Sie im Feld **Rollenname** den Namen der Rolle ein.
   + Um die Anmeldeinformationen des IAM-Benutzers zu verwenden, der die Beispiele anfordert, wählen Sie „**IAM-Benutzeranmeldedaten verwenden**“. Wenn Sie diese Option wählen, verwendet jeder Benutzer Ihres Kontos seine individuelle IAM-Identität, um die Samples abzurufen.

1. Geben Sie unter **Verschlüsselung** die Daten an AWS KMS key , die Sie zum Verschlüsseln sensibler Datenproben verwenden möchten, die abgerufen werden:
   + Um einen KMS-Schlüssel von Ihrem eigenen Konto zu verwenden, wählen Sie **Wählen Sie einen Schlüssel aus Ihrem Konto** aus. Wählen Sie dann in der **AWS KMS key**Liste den Schlüssel aus, den Sie verwenden möchten. In der Liste werden die vorhandenen KMS-Schlüssel mit symmetrischer Verschlüsselung für Ihr Konto angezeigt.
   + Um einen KMS-Schlüssel zu verwenden, der einem anderen Konto gehört, wählen Sie **Geben Sie den ARN eines Schlüssels von einem anderen Konto** ein. Geben Sie dann in das Feld **AWS KMS key ARN** den Amazon-Ressourcennamen (ARN) des zu verwendenden Schlüssels ein, z. B. **arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab**

1. **Wenn Sie mit der Eingabe der Einstellungen fertig sind, wählen Sie Speichern.**

Macie testet die Einstellungen und stellt sicher, dass sie korrekt sind. Wenn Sie Macie so konfiguriert haben, dass er eine IAM-Rolle annimmt, überprüft Macie auch, ob die Rolle in Ihrem Konto vorhanden ist und dass die Vertrauens- und Berechtigungsrichtlinien korrekt konfiguriert sind. Wenn es ein Problem gibt, zeigt Macie eine Meldung an, die das Problem beschreibt. 

Informationen zur Behebung eines Problems mit dem AWS KMS key finden Sie in den Anforderungen im [vorherigen Thema](#findings-retrieve-sd-configure-key) und geben Sie einen KMS-Schlüssel an, der die Anforderungen erfüllt. Um ein Problem mit der IAM-Rolle zu beheben, überprüfen Sie zunächst, ob Sie den richtigen Rollennamen eingegeben haben. Wenn der Name korrekt ist, stellen Sie sicher, dass die Richtlinien der Rolle alle Voraussetzungen erfüllen, damit Macie die Rolle übernehmen kann. Diese Einzelheiten finden Sie unter[Konfiguration einer IAM-Rolle für den Zugriff auf betroffene S3-Objekte](findings-retrieve-sd-options.md#findings-retrieve-sd-options-s3access-role-configuration). Nachdem Sie alle Probleme behoben haben, können Sie die Einstellungen speichern und aktivieren.

**Anmerkung**  
Wenn Sie der Macie-Administrator einer Organisation sind und Macie so konfiguriert haben, dass er eine IAM-Rolle annimmt, generiert Macie eine externe ID und zeigt sie an, nachdem Sie die Einstellungen für Ihr Konto gespeichert haben. Notieren Sie sich diese ID. In der Vertrauensrichtlinie für die IAM-Rolle in jedem Ihrer jeweiligen Mitgliedskonten muss diese ID angegeben sein. Andernfalls können Sie keine sensiblen Datenproben von S3-Objekten abrufen, die den Konten gehören.

------
#### [ API ]

Verwenden Sie den [UpdateRevealConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/reveal-configuration.html)Betrieb der Amazon Macie Macie-API, um die Einstellungen programmgesteuert zu konfigurieren und zu aktivieren. Geben Sie in Ihrer Anfrage die entsprechenden Werte für die unterstützten Parameter an:
+ Geben Sie für die `retrievalConfiguration` Parameter die Zugriffsmethode und die Einstellungen an, die Sie beim Abrufen sensibler Datenproben von betroffenen S3-Objekten verwenden möchten: 
  + Um eine IAM-Rolle anzunehmen, die den Zugriff an Macie delegiert, geben Sie `ASSUME_ROLE` für den `retrievalMode` Parameter und den Namen der Rolle für den Parameter an. `roleName` Wenn Sie diese Einstellungen angeben, ruft Macie die Beispiele ab, indem es die IAM-Rolle annimmt, die Sie in Ihrem erstellt und konfiguriert haben. AWS-Konto
  + Um die Anmeldeinformationen des IAM-Benutzers zu verwenden, der die Beispiele anfordert, geben Sie `CALLER_CREDENTIALS` für den Parameter Folgendes an. `retrievalMode` Wenn Sie diese Einstellung angeben, verwendet jeder Benutzer Ihres Kontos seine individuelle IAM-Identität, um die Samples abzurufen.
**Wichtig**  
Wenn Sie keine Werte für diese Parameter angeben, setzt Macie die Zugriffsmethode (`retrievalMode`) auf. `CALLER_CREDENTIALS` Wenn Macie derzeit so konfiguriert ist, dass eine IAM-Rolle zum Abrufen der Beispiele verwendet wird, löscht Macie auch den aktuellen Rollennamen und die externe ID für Ihre Konfiguration dauerhaft. Um diese Einstellungen für eine bestehende Konfiguration beizubehalten, nehmen Sie die `retrievalConfiguration` Parameter in Ihre Anfrage auf und geben Sie Ihre aktuellen Einstellungen für diese Parameter an. Um Ihre aktuellen Einstellungen abzurufen, verwenden Sie die [GetRevealConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/reveal-configuration.html)Operation oder, falls Sie die AWS Command Line Interface (AWS CLI) verwenden, führen Sie den [get-reveal-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-reveal-configuration.html)Befehl aus.
+ Geben Sie für den `kmsKeyId` Parameter den AWS KMS key an, den Sie zum Verschlüsseln sensibler Datenproben verwenden möchten, die abgerufen werden:
  + Um einen KMS-Schlüssel aus Ihrem eigenen Konto zu verwenden, geben Sie den Amazon-Ressourcennamen (ARN), die ID oder den Alias für den Schlüssel an. Wenn Sie einen Alias angeben, geben Sie das `alias/` Präfix an, z. B. `alias/ExampleAlias`
  + Um einen KMS-Schlüssel zu verwenden, der einem anderen Konto gehört, geben Sie den ARN des Schlüssels an, zum Beispiel. `arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab` Oder geben Sie den ARN des Alias für den Schlüssel an, z. B. `arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias`
+ Geben Sie für den `status` Parameter an, ob `ENABLED` die Konfiguration für Ihr Macie-Konto aktiviert werden soll.

Stellen Sie in Ihrer Anfrage außerdem sicher, dass Sie die Konfiguration angeben, AWS-Region in der Sie die Konfiguration aktivieren und verwenden möchten.

Um die Einstellungen mithilfe von zu konfigurieren und zu aktivieren AWS CLI, führen Sie den [update-reveal-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-reveal-configuration.html)Befehl aus und geben Sie die entsprechenden Werte für die unterstützten Parameter an. Wenn Sie beispielsweise den AWS CLI unter Microsoft Windows verwenden, führen Sie den folgenden Befehl aus:

```
C:\> aws macie2 update-reveal-configuration ^
--region us-east-1 ^
--configuration={\"kmsKeyId\":\"arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias\",\"status\":\"ENABLED\"} ^
--retrievalConfiguration={\"retrievalMode\":\"ASSUME_ROLE\",\"roleName\":\"MacieRevealRole\"}
```

Wobei Folgendes gilt: 
+ *us-east-1*ist die Region, in der die Konfiguration aktiviert und verwendet werden soll. In diesem Beispiel die Region USA Ost (Nord-Virginia).
+ *arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias*ist der ARN des Alias, der verwendet AWS KMS key werden soll. In diesem Beispiel gehört der Schlüssel einem anderen Konto.
+ `ENABLED`ist der Status der Konfiguration.
+ *ASSUME\$1ROLE*ist die zu verwendende Zugriffsmethode. Gehen Sie in diesem Beispiel von der angegebenen IAM-Rolle aus.
+ *MacieRevealRole*ist der Name der IAM-Rolle, die Macie beim Abrufen sensibler Datenproben übernehmen soll.

Im vorherigen Beispiel wird das Zeilenfortsetzungszeichen Caret (^) verwendet, um die Lesbarkeit zu verbessern.

Wenn Sie Ihre Anfrage einreichen, testet Macie die Einstellungen. Wenn Sie Macie so konfiguriert haben, dass es eine IAM-Rolle annimmt, überprüft Macie auch, ob die Rolle in Ihrem Konto vorhanden ist und dass die Vertrauens- und Berechtigungsrichtlinien korrekt konfiguriert sind. Wenn es ein Problem gibt, schlägt Ihre Anfrage fehl und Macie gibt eine Nachricht zurück, in der das Problem beschrieben wird. Informationen zur Behebung eines Problems mit dem AWS KMS key finden Sie in den Anforderungen im [vorherigen Thema](#findings-retrieve-sd-configure-key) und geben Sie einen KMS-Schlüssel an, der die Anforderungen erfüllt. Um ein Problem mit der IAM-Rolle zu beheben, überprüfen Sie zunächst, ob Sie den richtigen Rollennamen angegeben haben. Wenn der Name korrekt ist, stellen Sie sicher, dass die Richtlinien der Rolle alle Voraussetzungen erfüllen, damit Macie die Rolle übernehmen kann. Diese Einzelheiten finden Sie unter[Konfiguration einer IAM-Rolle für den Zugriff auf betroffene S3-Objekte](findings-retrieve-sd-options.md#findings-retrieve-sd-options-s3access-role-configuration). Nachdem Sie das Problem behoben haben, reichen Sie Ihre Anfrage erneut ein.

Wenn Ihre Anfrage erfolgreich ist, aktiviert Macie die Konfiguration für Ihr Konto in der angegebenen Region und Sie erhalten eine Ausgabe, die der folgenden ähnelt.

```
{
  "configuration": {
    "kmsKeyId": "arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias",
    "status": "ENABLED"
  },
  "retrievalConfiguration": {
    "externalId": "o2vee30hs31642lexample",
    "retrievalMode": "ASSUME_ROLE",
    "roleName": "MacieRevealRole"
  }
}
```

Wo `kmsKeyId` gibt das an AWS KMS key , was zur Verschlüsselung sensibler Daten verwendet werden soll, die abgerufen werden, und `status` ist der Status der Konfiguration für Ihr Macie-Konto. Die `retrievalConfiguration` Werte geben die Zugriffsmethode und die Einstellungen an, die beim Abrufen der Samples verwendet werden sollen.

**Anmerkung**  
Wenn Sie der Macie-Administrator einer Organisation sind und Macie so konfiguriert haben, dass er eine IAM-Rolle annimmt, notieren Sie sich die externe ID (`externalId`) in der Antwort. Die Vertrauensrichtlinie für die IAM-Rolle in jedem Ihrer jeweiligen Mitgliedskonten muss diese ID angeben. Andernfalls können Sie keine sensiblen Datenproben von betroffenen S3-Objekten abrufen, die den Konten gehören.

Um anschließend die Einstellungen oder den Status der Konfiguration für Ihr Konto zu überprüfen, verwenden Sie den [GetRevealConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/reveal-configuration.html)Vorgang oder führen Sie für den den AWS CLI den [get-reveal-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-reveal-configuration.html)Befehl aus.

------

## Macie-Einstellungen deaktivieren
<a name="findings-retrieve-sd-configure-manage"></a>

Sie können die Konfigurationseinstellungen für Ihr Amazon Macie Macie-Konto jederzeit deaktivieren. Wenn Sie die Konfiguration deaktivieren, behält Macie die Einstellung bei, die angibt, welche AWS KMS key für die Verschlüsselung sensibler Datenproben verwendet werden soll, die abgerufen werden. Macie löscht die Amazon S3 S3-Zugriffseinstellungen für die Konfiguration dauerhaft.

**Warnung**  
Wenn Sie die Konfigurationseinstellungen für Ihr Macie-Konto deaktivieren, löschen Sie auch dauerhaft die aktuellen Einstellungen, die angeben, wie auf die betroffenen S3-Objekte zugegriffen werden soll. Wenn Macie derzeit so konfiguriert ist, dass es auf betroffene Objekte zugreift, indem es eine AWS Identity and Access Management (IAM-) Rolle annimmt, beinhaltet dies: den Namen der Rolle und die externe ID, die Macie für die Konfiguration generiert hat. Diese Einstellungen können nicht wiederhergestellt werden, nachdem sie gelöscht wurden.

Um die Konfigurationseinstellungen für Ihr Macie-Konto zu deaktivieren, können Sie die Amazon Macie Macie-Konsole oder die Amazon Macie Macie-API verwenden.

------
#### [ Console ]

Gehen Sie wie folgt vor, um die Konfigurationseinstellungen für Ihr Konto mithilfe der Amazon Macie Macie-Konsole zu deaktivieren.

**Um die Macie-Einstellungen zu deaktivieren**

1. Öffnen Sie die Amazon Macie Macie-Konsole unter [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/).

1. Wählen Sie mithilfe der AWS-Region Auswahl in der oberen rechten Ecke der Seite die Region aus, in der Sie die Konfigurationseinstellungen für Ihr Macie-Konto deaktivieren möchten.

1. **Wählen Sie im Navigationsbereich unter **Einstellungen** die Option Reveal samples aus.**

1. Wählen Sie im Abschnitt **Settings** (Einstellungen) die Option **Edit** (Bearbeiten) aus.

1. Wählen Sie für **Status** die Option **Deaktivieren** aus.

1. Wählen Sie **Speichern**.

------
#### [ API ]

Um die Konfigurationseinstellungen programmgesteuert zu deaktivieren, verwenden Sie den [UpdateRevealConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/reveal-configuration.html)Betrieb der Amazon Macie Macie-API. Stellen Sie in Ihrer Anfrage sicher, dass Sie angeben, AWS-Region in welcher Version Sie die Konfiguration deaktivieren möchten. Geben Sie für den Parameter `status` `DISABLED` an:

Führen Sie den [update-reveal-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-reveal-configuration.html)Befehl aus, um die Konfigurationseinstellungen mithilfe von AWS Command Line Interface (AWS CLI) zu deaktivieren. Verwenden Sie den `region` Parameter, um die Region anzugeben, in der Sie die Konfiguration deaktivieren möchten. Geben Sie für den Parameter `status` `DISABLED` an: Wenn Sie beispielsweise den AWS CLI unter Microsoft Windows verwenden, führen Sie den folgenden Befehl aus:

```
C:\> aws macie2 update-reveal-configuration --region us-east-1 --configuration={\"status\":\"DISABLED\"}
```

Wobei Folgendes gilt: 
+ *us-east-1*ist die Region, in der die Konfiguration deaktiviert werden soll. In diesem Beispiel die Region USA Ost (Nord-Virginia).
+ `DISABLED`ist der neue Status der Konfiguration.

Wenn Ihre Anfrage erfolgreich ist, deaktiviert Macie die Konfiguration für Ihr Konto in der angegebenen Region und Sie erhalten eine Ausgabe, die der folgenden ähnelt.

```
{
    "configuration": {
        "status": "DISABLED"
    }
}
```

Wo `status` ist der neue Status der Konfiguration für Ihr Macie-Konto?

------

Wenn Macie so konfiguriert wurde, dass es eine IAM-Rolle zum Abrufen sensibler Datenproben annimmt, können Sie optional die Rolle und die Berechtigungsrichtlinie der Rolle löschen. Macie löscht diese Ressourcen nicht, wenn Sie die Konfigurationseinstellungen für Ihr Konto deaktivieren. Darüber hinaus verwendet Macie diese Ressourcen nicht, um andere Aufgaben für Ihr Konto auszuführen. Um die Rolle und ihre Berechtigungsrichtlinie zu löschen, können Sie die IAM-Konsole oder die IAM-API verwenden. Weitere Informationen finden Sie im *AWS Identity and Access Management Benutzerhandbuch* unter [Löschen von Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html).

# Abrufen sensibler Datenproben für einen Macie-Befund
<a name="findings-retrieve-sd-proc"></a>

Mithilfe von Amazon Macie können Sie Stichproben sensibler Daten abrufen und offenlegen, die Macie als individuelle Ergebnisse für sensible Daten meldet. [Dazu gehören sensible Daten, die Macie anhand [verwalteter Datenkennungen erkennt, sowie Daten](managed-data-identifiers.md), die den Kriterien von benutzerdefinierten Datenkennungen entsprechen.](custom-data-identifiers.md) Anhand der Beispiele können Sie die Art der sensiblen Daten überprüfen, die Macie gefunden hat. Sie können Ihnen auch dabei helfen, Ihre Untersuchung eines betroffenen Amazon Simple Storage Service (Amazon S3) -Objekts und -Buckets maßgeschneidert zu gestalten. Sie können sensible Datenproben überall dort abrufen und offenlegen, AWS-Regionen wo Macie derzeit verfügbar ist, mit Ausnahme der Regionen Asien-Pazifik (Osaka) und Israel (Tel Aviv).

Wenn Sie Stichproben sensibler Daten für einen Befund abrufen und offenlegen, verwendet Macie die Daten aus dem entsprechenden [Ergebnis der Entdeckung sensibler Daten](discovery-results-repository-s3.md), um die ersten 1—10 Vorkommen sensibler Daten zu lokalisieren, die im Rahmen des Befundes gemeldet wurden. Macie extrahiert dann die ersten 1—128 Zeichen jedes Vorkommens aus dem betroffenen S3-Objekt. Wenn ein Befund mehrere Typen sensibler Daten meldet, tut Macie dies für bis zu 100 Arten sensibler Daten, die durch den Befund gemeldet wurden. 

Wenn Macie vertrauliche Daten aus einem betroffenen S3-Objekt extrahiert, verschlüsselt Macie die Daten mit einem von Ihnen angegebenen Schlüssel AWS Key Management Service (AWS KMS), speichert die verschlüsselten Daten vorübergehend in einem Cache und gibt die Daten in Ihren Ergebnissen für den Befund zurück. Kurz nach der Extraktion und Verschlüsselung löscht Macie die Daten dauerhaft aus dem Cache, es sei denn, eine zusätzliche Aufbewahrung ist vorübergehend erforderlich, um ein Betriebsproblem zu lösen.

Wenn Sie sich dafür entscheiden, sensible Datenproben für einen Fund erneut abzurufen und offenzulegen, wiederholt Macie den Vorgang zum Auffinden, Extrahieren, Verschlüsseln, Speichern und schließlich zum Löschen der Proben.

Sehen Sie sich das folgende Video an, um zu zeigen, wie Sie sensible Datenproben mithilfe der Amazon Macie Macie-Konsole abrufen und offenlegen können:




**Topics**
+ [Bevor Sie beginnen](#findings-retrieve-sd-proc-prereqs)
+ [Feststellen, ob Stichproben für einen Befund verfügbar sind](#findings-retrieve-sd-proc-criteria)
+ [Stichproben für einen Befund werden abgerufen](#findings-retrieve-sd-proc-steps)

## Bevor Sie beginnen
<a name="findings-retrieve-sd-proc-prereqs"></a>

Bevor Sie sensible Datenproben abrufen und für Befunde offenlegen können, müssen Sie die [Einstellungen für Ihr Amazon Macie Macie-Konto konfigurieren und aktivieren](findings-retrieve-sd-configure.md). Sie müssen auch mit Ihrem AWS Administrator zusammenarbeiten, um zu überprüfen, ob Sie über die erforderlichen Berechtigungen und Ressourcen verfügen.

Wenn Sie sensible Datenproben für einen Befund abrufen und offenlegen, führt Macie eine Reihe von Aufgaben aus, um die Proben zu lokalisieren, abzurufen, zu verschlüsseln und offenzulegen. Macie verwendet die mit dem [Dienst verknüpfte Macie-Rolle](service-linked-roles.md) für Ihr Konto nicht, um diese Aufgaben auszuführen. Stattdessen verwenden Sie Ihre AWS Identity and Access Management (IAM-) Identität oder erlauben Macie, eine IAM-Rolle in Ihrem Konto anzunehmen.

Um Stichproben vertraulicher Daten für einen Befund abzurufen und offenzulegen, benötigen Sie Zugriff auf den Befund, das entsprechende Ermittlungsergebnis vertraulicher Daten und das, für AWS KMS key das Sie Macie zur Verschlüsselung sensibler Datenproben konfiguriert haben. Darüber hinaus müssen Sie oder die IAM-Rolle Zugriff auf den betroffenen S3-Bucket und das betroffene S3-Objekt haben. Sie oder die Rolle müssen gegebenenfalls auch das verwenden dürfen AWS KMS key , das zum Verschlüsseln des betroffenen Objekts verwendet wurde. Wenn IAM-Richtlinien, Ressourcenrichtlinien oder andere Berechtigungseinstellungen den erforderlichen Zugriff verweigern, tritt ein Fehler auf und Macie sendet keine Stichproben für die Suche zurück.

Sie müssen außerdem berechtigt sein, die folgenden Macie-Aktionen auszuführen:
+ `macie2:GetMacieSession`
+ `macie2:GetFindings`
+ `macie2:ListFindings`
+ `macie2:GetSensitiveDataOccurrences`

Mit den ersten drei Aktionen können Sie auf Ihr Macie-Konto zugreifen und die Einzelheiten der Ergebnisse abrufen. Mit der letzten Aktion können Sie sensible Datenproben für Ergebnisse abrufen und offenlegen.

Um die Amazon Macie Macie-Konsole zum Abrufen und Offenlegen vertraulicher Datenproben zu verwenden, müssen Sie außerdem die folgende Aktion ausführen dürfen:`macie2:GetSensitiveDataOccurrencesAvailability`. Mit dieser Aktion können Sie feststellen, ob Proben für einzelne Befunde verfügbar sind. Sie benötigen keine Genehmigung, um diese Aktion zum programmgesteuerten Abrufen und Anzeigen von Proben auszuführen. Mit dieser Berechtigung können Sie jedoch das Abrufen von Proben vereinfachen.

Wenn Sie der delegierte Macie-Administrator für eine Organisation sind und Macie so konfiguriert haben, dass er eine IAM-Rolle zum Abrufen sensibler Datenproben annimmt, müssen Sie auch die folgende Aktion ausführen dürfen:. `macie2:GetMember` Mit dieser Aktion können Sie Informationen über die Verknüpfung zwischen Ihrem Konto und einem betroffenen Konto abrufen. Dadurch kann Macie überprüfen, ob Sie derzeit der Macie-Administrator für das betroffene Konto sind.

Wenn Sie die erforderlichen Aktionen nicht ausführen oder auf die erforderlichen Daten und Ressourcen zugreifen dürfen, bitten Sie Ihren AWS Administrator um Unterstützung.

## Feststellen, ob Stichproben sensibler Daten für einen Befund verfügbar sind
<a name="findings-retrieve-sd-proc-criteria"></a>

Um Stichproben sensibler Daten für einen Befund abrufen und offenlegen zu können, muss der Befund bestimmte Kriterien erfüllen. Es muss Standortdaten für bestimmte Vorkommen sensibler Daten enthalten. Darüber hinaus muss der Standort eines gültigen, entsprechenden Ermittlungsergebnisses für sensible Daten angegeben werden. Das Ergebnis der Entdeckung sensibler Daten muss im selben Verzeichnis AWS-Region wie das Ergebnis gespeichert werden. Wenn Sie Amazon Macie für den Zugriff auf betroffene S3-Objekte konfiguriert haben, indem Sie eine AWS Identity and Access Management (IAM-) Rolle übernehmen, muss das Ergebnis der Erkennung sensibler Daten auch in einem S3-Objekt gespeichert werden, das Macie mit einem Hash-basierten Message Authentication Code (HMAC) signiert hat. AWS KMS key<a name="findings-retrieve-sd-criteria-mimetype"></a>

Das betroffene S3-Objekt muss außerdem bestimmte Kriterien erfüllen. Der MIME-Typ des Objekts muss einer der folgenden sein:
+ *application/avro*, für eine Apache Avro-Objektcontainerdatei (.avro)
+ *application/gzip*, für eine komprimierte GNU Zip-Archivdatei (.gz oder .gzip)
+ *application/json*, für eine JSON- oder JSON-Lines-Datei (.json oder .jsonl)
+ *application/parquet*, für eine Apache Parquet-Datei (.parquet)
+ *application/vnd.openxmlformats-officedocument.spreadsheetml.sheet*, für eine Microsoft Excel-Arbeitsmappendatei (.xlsx)
+ *application/zip*, für eine komprimierte ZIP-Archivdatei (.zip)
+ *text/csv*, für eine CSV-Datei (.csv)
+ *text/plain*, für eine nicht-binäre Textdatei, bei der es sich nicht um eine CSV-, JSON-, JSON Lines- oder TSV-Datei handelt
+ *text/tab-separated-values*, für eine TSV-Datei (.tsv)

Außerdem muss der Inhalt des S3-Objekts mit dem Inhalt identisch sein, zu dem der Befund erstellt wurde. Macie überprüft das Entity-Tag (ETag) des Objekts, um festzustellen, ob es mit dem durch den Befund ETag angegebenen übereinstimmt. Außerdem darf die Speichergröße des Objekts das für das Abrufen und Offenlegen vertraulicher Datenproben geltende Größenkontingent nicht überschreiten. Eine Liste der geltenden Kontingente finden Sie unter[Kontingente für Macie](macie-quotas.md).

Wenn ein Ergebnis und das betroffene S3-Objekt die oben genannten Kriterien erfüllen, sind Stichproben sensibler Daten für den Befund verfügbar. Sie können optional feststellen, ob dies bei einem bestimmten Befund der Fall ist, bevor Sie versuchen, Stichproben dafür abzurufen und aufzudecken.

**Um festzustellen, ob Stichproben sensibler Daten für einen Befund verfügbar sind**  
Sie können die Amazon Macie Macie-Konsole oder die Amazon Macie Macie-API verwenden, um festzustellen, ob sensible Datenproben für einen Befund verfügbar sind.

------
#### [ Console ]

Folgen Sie diesen Schritten auf der Amazon Macie Macie-Konsole, um festzustellen, ob sensible Datenproben für eine Suche verfügbar sind.

**Um festzustellen, ob Stichproben für einen Befund verfügbar sind**

1. Öffnen Sie die Amazon Macie Macie-Konsole unter [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/).

1. Wählen Sie im Navigationsbereich **Findings** aus.

1. Wählen Sie auf der Seite **Ergebnisse** das Ergebnis aus. Im Detailbereich werden Informationen zum Ergebnis angezeigt.

1. Scrollen Sie im Detailbereich zum Abschnitt **Vertrauliche Daten**. Sehen Sie sich dann das Feld **Reveal-Beispiele** an.

   Wenn Stichproben sensibler Daten für den Befund verfügbar sind, wird in dem Feld der Link **Überprüfen** angezeigt, wie in der folgenden Abbildung dargestellt.  
![\[Das Feld Stichproben anzeigen im Bereich mit den Ergebnisdetails. Das Feld enthält einen Link mit der Bezeichnung Überprüfen.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/scrn-findings-reveal-samples.png)

   Wenn für den Befund keine Stichproben vertraulicher Daten verfügbar sind, wird im Feld **Stichproben** anzeigen ein Text angezeigt, der angibt, warum:
   + **Konto nicht in der Organisation** — Sie sind nicht berechtigt, mit Macie auf das betroffene S3-Objekt zuzugreifen. Das betroffene Konto ist derzeit nicht Teil Ihrer Organisation. Oder das Konto ist Teil Ihrer Organisation, aber Macie ist derzeit nicht für das Konto aktiviert. AWS-Region
   + **Ungültiges Klassifizierungsergebnis** — Für den Befund gibt es kein entsprechendes Ermittlungsergebnis vertraulicher Daten. Oder das entsprechende Ermittlungsergebnis für vertrauliche Daten ist aktuell nicht verfügbar AWS-Region, falsch formatiert oder beschädigt oder verwendet ein nicht unterstütztes Speicherformat. Macie kann den Speicherort der abzurufenden sensiblen Daten nicht überprüfen.
   + **Ungültige Ergebnissignatur** — Das entsprechende Ergebnis der Erkennung sensibler Daten wird in einem S3-Objekt gespeichert, das nicht von Macie signiert wurde. Macie kann die Integrität und Authentizität des Ermittlungsergebnisses sensibler Daten nicht überprüfen. Daher kann Macie den Speicherort der abzurufenden sensiblen Daten nicht überprüfen.
   + **Mitgliedsrolle zu freizügig** — Die Vertrauens- oder Berechtigungsrichtlinie für die IAM-Rolle im betroffenen Mitgliedskonto entspricht nicht den Anforderungen von Macie zur Beschränkung des Zugriffs auf die Rolle. Oder die Vertrauensrichtlinie der Rolle gibt nicht die richtige externe ID für Ihre Organisation an. Macie kann die Rolle zum Abrufen der sensiblen Daten nicht übernehmen.
   + **Fehlende GetMember Erlaubnis** — Sie dürfen keine Informationen über die Verknüpfung zwischen Ihrem Konto und dem betroffenen Konto abrufen. Macie kann nicht feststellen, ob Sie als delegierter Macie-Administrator für das betroffene Konto auf das betroffene S3-Objekt zugreifen dürfen.
   + **Objekt überschreitet Größenkontingent** — Die Speichergröße des betroffenen S3-Objekts überschreitet das Größenkontingent für das Abrufen und Offenlegen von Stichproben vertraulicher Daten aus diesem Dateityp.
   + **Objekt nicht verfügbar** — Das betroffene S3-Objekt ist nicht verfügbar. Das Objekt wurde umbenannt, verschoben oder gelöscht, oder sein Inhalt wurde geändert, nachdem Macie das Ergebnis erstellt hatte. Oder das Objekt ist mit einem verschlüsselt AWS KMS key , das nicht verfügbar ist. Zum Beispiel ist der Schlüssel deaktiviert, das Löschen ist geplant oder er wurde gelöscht.
   + **Ergebnis nicht signiert** — Das entsprechende Ergebnis der Erkennung sensibler Daten wird in einem S3-Objekt gespeichert, das nicht signiert wurde. Macie kann die Integrität und Authentizität des Ermittlungsergebnisses sensibler Daten nicht überprüfen. Daher kann Macie den Speicherort der abzurufenden sensiblen Daten nicht überprüfen.
   + **Rolle zu freizügig** — Ihr Konto ist so konfiguriert, dass vertrauliche Daten mithilfe einer IAM-Rolle abgerufen werden, deren Vertrauens- oder Berechtigungsrichtlinie nicht den Anforderungen von Macie zur Beschränkung des Zugriffs auf die Rolle entspricht. Macie kann die Rolle zum Abrufen der sensiblen Daten nicht übernehmen.
   + **Nicht unterstützter Objekttyp** — Das betroffene S3-Objekt verwendet ein Datei- oder Speicherformat, das Macie nicht unterstützt, um Beispiele vertraulicher Daten abzurufen und offenzulegen. [Der MIME-Typ des betroffenen S3-Objekts gehört nicht zu den Werten in der vorherigen Liste.](#findings-retrieve-sd-criteria-mimetype)

   Wenn es ein Problem mit dem Ergebnis der Erkennung sensibler Daten für den Befund gibt, können Ihnen die Informationen im Feld **Detaillierter Ergebnisort** des Befundes helfen, das Problem zu untersuchen. Dieses Feld gibt den ursprünglichen Pfad zum Ergebnis in Amazon S3 an. Um ein Problem mit einer IAM-Rolle zu untersuchen, stellen Sie sicher, dass die Richtlinien der Rolle alle Anforderungen erfüllen, damit Macie die Rolle übernehmen kann. Diese Einzelheiten finden Sie unter. [Konfiguration einer IAM-Rolle für den Zugriff auf betroffene S3-Objekte](findings-retrieve-sd-options.md#findings-retrieve-sd-options-s3access-role-configuration)

------
#### [ API ]

Verwenden Sie den [GetSensitiveDataOccurrencesAvailability](https://docs.aws.amazon.com/macie/latest/APIReference/findings-findingid-reveal-availability.html)Betrieb der Amazon Macie Macie-API, um programmgesteuert zu ermitteln, ob Stichproben sensibler Daten für einen Befund verfügbar sind. Wenn Sie Ihre Anfrage einreichen, verwenden Sie den `findingId` Parameter, um die eindeutige Kennung für das Ergebnis anzugeben. Um diese Kennung zu erhalten, können Sie die [ListFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings.html)Operation verwenden.

Wenn Sie AWS Command Line Interface (AWS CLI) verwenden, führen Sie den Befehl [get-sensitive-data-occurrences-availability](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitive-data-occurrences-availability.html) aus und verwenden Sie den `finding-id` Parameter, um den eindeutigen Bezeichner für den Befund anzugeben. Um diesen Bezeichner zu erhalten, können Sie den Befehl [list-findings](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-findings.html) ausführen.

Wenn Ihre Anfrage erfolgreich ist und Beispiele für den Befund verfügbar sind, erhalten Sie eine Ausgabe, die der folgenden ähnelt:

```
{
    "code": "AVAILABLE",
    "reasons": []
}
```

Wenn Ihre Anfrage erfolgreich ist und keine Stichproben für die Suche verfügbar sind, lautet der Wert für das `code` Feld `UNAVAILABLE` und das `reasons` Array gibt an, warum. Beispiel:

```
{
    "code": "UNAVAILABLE",
    "reasons": [
        "UNSUPPORTED_OBJECT_TYPE"
    ]
}
```

Wenn es ein Problem mit dem Ergebnis der Entdeckung sensibler Daten für den Befund gibt, können Ihnen die Informationen im `classificationDetails.detailedResultsLocation` Feld des Ergebnisses bei der Untersuchung des Problems helfen. Dieses Feld gibt den ursprünglichen Pfad zum Ergebnis in Amazon S3 an. Um ein Problem mit einer IAM-Rolle zu untersuchen, stellen Sie sicher, dass die Richtlinien der Rolle alle Anforderungen erfüllen, damit Macie die Rolle übernehmen kann. Diese Einzelheiten finden Sie unter. [Konfiguration einer IAM-Rolle für den Zugriff auf betroffene S3-Objekte](findings-retrieve-sd-options.md#findings-retrieve-sd-options-s3access-role-configuration)

------

## Stichproben sensibler Daten für einen Befund abrufen
<a name="findings-retrieve-sd-proc-steps"></a>

Um sensible Datenproben für einen Befund abzurufen und aufzudecken, können Sie die Amazon Macie Macie-Konsole oder die Amazon Macie Macie-API verwenden.

------
#### [ Console ]

Gehen Sie wie folgt vor, um mithilfe der Amazon Macie Macie-Konsole sensible Datenproben für einen Befund abzurufen und aufzudecken.

**So rufen Sie Stichproben sensibler Daten für einen Befund ab und legen diese offen**

1. Öffnen Sie die Amazon Macie Macie-Konsole unter [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/).

1. Wählen Sie im Navigationsbereich **Findings** aus.

1. Wählen Sie auf der Seite **Ergebnisse** das Ergebnis aus. Im Detailbereich werden Informationen zum Ergebnis angezeigt.

1. Scrollen Sie im Detailbereich zum Abschnitt **Vertrauliche Daten**. Wählen Sie dann im Feld **Reveal-Beispiele** die Option **Überprüfen** aus:  
![\[Das Feld „Stichproben anzeigen“ im Bereich „Details zum Befund“. Das Feld enthält einen Link mit der Bezeichnung Überprüfen.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/scrn-findings-reveal-samples.png)
**Anmerkung**  
Wenn der Link **Überprüfen** nicht im Feld **Stichproben anzeigen** angezeigt wird, sind sensible Datenproben für den Befund nicht verfügbar. Informationen dazu, warum dies der Fall ist, finden Sie im [vorherigen Thema](#findings-retrieve-sd-proc-criteria).

   Nachdem Sie „**Überprüfen**“ ausgewählt haben, zeigt Macie eine Seite an, auf der die wichtigsten Details des Ergebnisses zusammengefasst sind. Zu den Details gehören die Kategorien, Typen und die Anzahl der Vorkommen vertraulicher Daten, die Macie im betroffenen S3-Objekt gefunden hat.

1. Wählen Sie auf der Seite im Bereich **Vertrauliche Daten** die Option Beispiele **anzeigen** aus. Macie ruft dann Stichproben der ersten 1—10 Fälle sensibler Daten ab, die im Rahmen des Befundes gemeldet wurden, und zeigt sie an. Jede Stichprobe enthält die ersten 1—128 Zeichen eines Vorkommens sensibler Daten. Das Abrufen und Aufdecken der Proben kann mehrere Minuten dauern.

   Wenn das Ergebnis mehrere Arten sensibler Daten meldet, ruft Macie Stichproben für bis zu 100 Typen ab und zeigt sie an. Die folgende Abbildung zeigt beispielsweise Stichproben, die sich über mehrere Kategorien und Typen vertraulicher Daten erstrecken:AWS Anmeldeinformationen, US-Telefonnummern und Namen von Personen.  
![\[Die Tabelle mit den Beispielen. Sie listet neun Stichproben sowie die Kategorie und den Typ sensibler Daten jeder Probe auf.\]](http://docs.aws.amazon.com/de_de/macie/latest/user/images/scrn-findings-sd-samples.png)

   Die Stichproben sind zuerst nach der Kategorie sensibler Daten und dann nach dem Typ sensibler Daten geordnet.

------
#### [ API ]

Verwenden Sie den [GetSensitiveDataOccurrences](https://docs.aws.amazon.com/macie/latest/APIReference/findings-findingid-reveal.html)Betrieb der Amazon Macie Macie-API, um sensible Datenproben für einen Befund programmatisch abzurufen und aufzudecken. Wenn Sie Ihre Anfrage einreichen, verwenden Sie den `findingId` Parameter, um die eindeutige Kennung für das Ergebnis anzugeben. Um diese Kennung zu erhalten, können Sie die [ListFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings.html)Operation verwenden.

Um Stichproben vertraulicher Daten mithilfe von AWS Command Line Interface (AWS CLI) abzurufen und aufzudecken, führen Sie den [get-sensitive-data-occurrences](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitive-data-occurrences.html)Befehl aus und verwenden Sie den `finding-id` Parameter, um den eindeutigen Bezeichner für den Befund anzugeben. Beispiel:

```
C:\> aws macie2 get-sensitive-data-occurrences --finding-id "1f1c2d74db5d8caa76859ec52example"
```

Wo *1f1c2d74db5d8caa76859ec52example* ist der eindeutige Bezeichner für den Befund? Um diesen Bezeichner mithilfe von zu erhalten AWS CLI, können Sie den Befehl [list-findings](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-findings.html) ausführen.

Wenn Ihre Anfrage erfolgreich ist, beginnt Macie mit der Bearbeitung Ihrer Anfrage und Sie erhalten eine Ausgabe, die der folgenden ähnelt:

```
{
    "status": "PROCESSING"
}
```

Die Bearbeitung Ihrer Anfrage kann mehrere Minuten dauern. Reichen Sie Ihre Anfrage innerhalb weniger Minuten erneut ein.

Wenn Macie die sensiblen Datenproben lokalisieren, abrufen und verschlüsseln kann, gibt Macie die Beispiele in einer Map zurück. `sensitiveDataOccurrences` In der Karte sind 1—100 Arten sensibler Daten angegeben, die anhand des Ergebnisses gemeldet wurden, und 1—10 Stichproben für jeden Typ. Jede Stichprobe enthält die ersten 1—128 Zeichen eines Vorkommens sensibler Daten, das aufgrund des Ergebnisses gemeldet wurde.

In der Zuordnung ist jeder Schlüssel die ID der verwalteten Daten-ID, die die sensiblen Daten erkannt hat, oder der Name und die eindeutige Kennung für die benutzerdefinierte Daten-ID, mit der die sensiblen Daten erkannt wurden. Die Werte sind Beispiele für den angegebenen verwalteten Datenbezeichner oder den benutzerdefinierten Datenbezeichner. Die folgende Antwort enthält beispielsweise drei Stichproben für Personennamen und zwei Beispiele für AWS geheime Zugriffsschlüssel, die anhand verwalteter Datenkennungen (`NAME`bzw.`AWS_CREDENTIALS`) erkannt wurden.

```
{
    "sensitiveDataOccurrences": {
        "NAME": [
            {
                "value": "Akua Mansa"
            },
            {
                "value": "John Doe"
            },
            {
                "value": "Martha Rivera"
            }
        ],
        "AWS_CREDENTIALS": [
            {
                "value": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY"
            },
            {
                "value": "je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY"
            }
        ]
    },
    "status": "SUCCESS"
}
```

Wenn Ihre Anfrage erfolgreich ist, aber keine Stichproben sensibler Daten für die Suche verfügbar sind, erhalten Sie eine `UnprocessableEntityException` Meldung, in der angegeben wird, warum keine Stichproben verfügbar sind. Beispiel:

```
{
    "message": "An error occurred (UnprocessableEntityException) when calling the GetSensitiveDataOccurrences operation: OBJECT_UNAVAILABLE"
}
```

Im vorherigen Beispiel hat Macie versucht, Stichproben aus dem betroffenen S3-Objekt abzurufen, aber das Objekt ist nicht mehr verfügbar. Der Inhalt des Objekts wurde geändert, nachdem Macie den Befund erstellt hatte.

Wenn Ihre Anfrage erfolgreich ist, Macie jedoch aufgrund eines anderen Fehlers nicht in der Lage war, Stichproben vertraulicher Daten für den Befund abzurufen und offenzulegen, erhalten Sie eine Ausgabe, die der folgenden ähnelt:

```
{
    "error": "Macie can't retrieve the samples. You're not allowed to access the affected S3 object or the object is encrypted with a key that you're not allowed to use.",
    "status": "ERROR"
}
```

Der Wert für das `status` Feld ist `ERROR` und das `error` Feld beschreibt den aufgetretenen Fehler. Die Informationen im [vorherigen Thema](#findings-retrieve-sd-proc-criteria) können Ihnen bei der Untersuchung des Fehlers helfen.

------

# Schema für die Meldung des Standorts sensibler Daten
<a name="findings-locate-sd-schema"></a>

Amazon Macie verwendet standardisierte JSON-Strukturen, um Informationen darüber zu speichern, wo sensible Daten in Amazon Simple Storage Service (Amazon S3) -Objekten gefunden werden. Die Strukturen werden für Ergebnisse sensibler Daten und Ergebnisse der Entdeckung sensibler Daten verwendet. Bei Ergebnissen sensibler Daten sind die Strukturen Teil des JSON-Schemas für Ergebnisse. Informationen zum vollständigen JSON-Schema für Ergebnisse finden Sie unter [Ergebnisse](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html) in der *Amazon Macie API-Referenz.* Weitere Informationen zu den Ergebnissen der Erkennung sensibler Daten finden Sie unter[Speicherung und Beibehaltung der Erkennungsergebnisse von vertraulichen Daten](discovery-results-repository-s3.md).

**Topics**
+ [Überblick über das Schema](#findings-locate-sd-schema-overview)
+ [Schemadetails und Beispiele](#findings-locate-sd-schema-examples)

## Überblick über das Schema
<a name="findings-locate-sd-schema-overview"></a>

Um den Speicherort vertraulicher Daten zu melden, die Amazon Macie in einem betroffenen S3-Objekt gefunden hat, umfasst das JSON-Schema für Ergebnisse sensibler Daten und Erkennungsergebnisse vertraulicher Daten ein `customDataIdentifiers` Objekt und ein `sensitiveData` Objekt. Das `customDataIdentifiers` Objekt enthält Details zu Daten, die Macie mithilfe [benutzerdefinierter Datenbezeichner](custom-data-identifiers.md) erkannt hat. Das `sensitiveData` Objekt enthält Details zu Daten, die Macie mithilfe [verwalteter](managed-data-identifiers.md) Datenkennungen erkannt hat.

Jedes `customDataIdentifiers` `sensitiveData` AND-Objekt enthält ein oder mehrere `detections` Arrays:
+ In einem `customDataIdentifiers` Objekt gibt das `detections` Array an, welche benutzerdefinierten Datenbezeichner die Daten erkannt und zu dem Ergebnis geführt haben. Für jeden benutzerdefinierten Datenbezeichner gibt das Array auch die Anzahl der Vorkommen der Daten an, die der Identifier erkannt hat. Es kann auch den Speicherort der Daten angeben, die der Identifier erkannt hat.
+ In einem `sensitiveData` Objekt gibt ein `detections` Array die Typen vertraulicher Daten an, die Macie mithilfe verwalteter Datenkennungen erkannt hat. Für jeden Typ sensibler Daten gibt das Array auch die Anzahl der Vorkommen der Daten an und es kann den Speicherort der Daten angeben.

Bei einer Suche nach sensiblen Daten kann ein `detections` Array 1—15 `occurrences` Objekte enthalten. Jedes `occurrences` Objekt gibt an, wo Macie einzelne Vorkommen eines bestimmten Typs sensibler Daten entdeckt hat.

Das folgende `detections` Array gibt beispielsweise den Standort von drei Vorkommen vertraulicher Daten (US-Sozialversicherungsnummern) an, die Macie in einer CSV-Datei gefunden hat.

```
"sensitiveData": [
     {
       "category": "PERSONAL_INFORMATION",
       "detections": [
          {
             "count": 30,
             "occurrences": {
                "cells": [
                   {
                      "cellReference": null,
                      "column": 1,
                      "columnName": "SSN",
                      "row": 2
                   },
                   {
                      "cellReference": null,
                      "column": 1,
                      "columnName": "SSN",
                      "row": 3
                   },
                   {
                      "cellReference": null,
                      "column": 1,
                      "columnName": "SSN",
                      "row": 4
                   }
                ]
             },
             "type": "USA_SOCIAL_SECURITY_NUMBER"
           }
```

Die Position und Anzahl der `occurrences` Objekte in einem `detections` Array hängt von den Kategorien, Typen und der Anzahl der Vorkommen vertraulicher Daten ab, die Macie während eines automatisierten Analysezyklus zur Erkennung sensibler Daten oder bei der Ausführung eines Discovery-Jobs für sensible Daten entdeckt. Bei jedem Analysezyklus oder Joblauf verwendet Macie einen Algorithmus für die *Tiefensuche*, um die resultierenden Ergebnisse mit Standortdaten für 1—15 Vorkommen vertraulicher Daten zu füllen, die Macie in S3-Objekten entdeckt. Diese Vorkommnisse geben Aufschluss über die Kategorien und Typen sensibler Daten, die ein betroffener S3-Bucket und ein betroffenes S3-Objekt enthalten könnten.

Ein `occurrences` Objekt kann je nach Dateityp oder Speicherformat eines betroffenen S3-Objekts eine der folgenden Strukturen enthalten:
+ `cells`array — Dieses Array gilt für Microsoft Excel-Arbeitsmappen, CSV-Dateien und TSV-Dateien. Ein Objekt in diesem Array gibt eine Zelle oder ein Feld an, in dem Macie sensible Daten entdeckt hat. 
+ `lineRanges`array — Dieses Array gilt für E-Mail-Nachrichtendateien (EML) und nicht-binäre Textdateien mit Ausnahme von CSV-, JSON-, JSON-Zeilen- und TSV-Dateien, z. B. HTML-, TXT- und XML-Dateien. Ein Objekt in diesem Array gibt eine Zeile oder einen umfassenden Zeilenbereich an, in dem Macie das Vorkommen vertraulicher Daten erkannt hat, sowie die Position der Daten in der oder den angegebenen Zeilen.

  In bestimmten Fällen gibt ein Objekt in einem `lineRanges` Array den Speicherort einer Erkennung sensibler Daten in einem Dateityp oder Speicherformat an, das von einem anderen Array-Typ unterstützt wird. Diese Fälle sind: eine Entdeckung in einem unstrukturierten Abschnitt einer anderweitig strukturierten Datei, z. B. ein Kommentar in einer Datei; eine Entdeckung in einer falsch formatierten Datei, die Macie als Klartext analysiert; und eine CSV- oder TSV-Datei mit einem oder mehreren Spaltennamen, in denen Macie sensible Daten erkannt hat.
+ `offsetRanges`array — Dieses Array ist für die future Verwendung reserviert. Wenn dieses Array vorhanden ist, ist der Wert dafür Null.
+ `pages`array — Dieses Array gilt für Dateien im Adobe Portable Document Format (PDF). Ein Objekt in diesem Array gibt eine Seite an, auf der Macie sensible Daten entdeckt hat.
+ `records`array — Dieses Array gilt für Apache Avro-Objektcontainer, Apache Parquet-Dateien, JSON-Dateien und JSON Lines-Dateien. Für Avro-Objektcontainer und Parquet-Dateien gibt ein Objekt in diesem Array einen Datensatzindex und den Pfad zu einem Feld in einem Datensatz an, in dem Macie das Vorkommen sensibler Daten festgestellt hat. Bei JSON- und JSON Lines-Dateien gibt ein Objekt in diesem Array den Pfad zu einem Feld oder Array an, in dem Macie das Vorkommen sensibler Daten erkannt hat. Für JSON Lines-Dateien gibt es auch den Index der Zeile an, die die Daten enthält.

Der Inhalt dieser Arrays variiert je nach Dateityp oder Speicherformat eines betroffenen S3-Objekts und dessen Inhalt.

## Schemadetails und Beispiele
<a name="findings-locate-sd-schema-examples"></a>

Amazon Macie passt den Inhalt der JSON-Strukturen an, anhand derer angegeben wird, wo sensible Daten in bestimmten Typen von Dateien und Inhalten erkannt wurden. In den folgenden Themen werden diese Strukturen erläutert und anhand von Beispielen veranschaulicht.

**Topics**
+ [Zellen-Array](#findings-locate-sd-schema-examples-cell)
+ [LineRanges Array](#findings-locate-sd-schema-examples-linerange)
+ [Seiten-Array](#findings-locate-sd-schema-examples-page)
+ [Datensatz-Array](#findings-locate-sd-schema-examples-record)

Eine vollständige Liste der JSON-Strukturen, die in eine Suche nach sensiblen Daten aufgenommen werden können, finden Sie unter [Ergebnisse](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html) in der *Amazon Macie API-Referenz.*

### Zellen-Array
<a name="findings-locate-sd-schema-examples-cell"></a>

**Gilt für:** Microsoft Excel-Arbeitsmappen, CSV-Dateien und TSV-Dateien

In einem `cells` Array gibt ein `Cell` Objekt eine Zelle oder ein Feld an, in dem Macie das Vorkommen vertraulicher Daten erkannt hat. In der folgenden Tabelle wird der Zweck der einzelnen Felder in einem `Cell` Objekt beschrieben.


| Feld | Typ | Description | 
| --- | --- | --- | 
| cellReference | Zeichenfolge | Die Position der Zelle als absolute Zellreferenz, die das Vorkommen enthält. Dieses Feld gilt nur für Excel-Arbeitsmappen. Dieser Wert ist Null für CSV- und TSV-Dateien. | 
| column | Ganzzahl | Die Spaltennummer der Spalte, die das Vorkommen enthält. Bei einer Excel-Arbeitsmappe korreliert dieser Wert mit dem/den alphabetischen Zeichen für einen Spaltenbezeichner, z. B. 1 für Spalte A, 2 für Spalte B usw. | 
| columnName | Zeichenfolge | Der Name der Spalte, die das Vorkommen enthält, falls verfügbar. | 
| row | Ganzzahl | Die Zeilennummer der Zeile, die das Vorkommen enthält. | 

Das folgende Beispiel zeigt die Struktur eines `Cell` Objekts, das den Ort eines Vorkommens vertraulicher Daten angibt, das Macie in einer CSV-Datei erkannt hat.

```
"cells": [
   {
      "cellReference": null,
      "column": 3,
      "columnName": "SSN",
      "row": 5
   }
]
```

Im vorherigen Beispiel deutet das Ergebnis darauf hin, dass Macie sensible Daten in dem Feld in der fünften Zeile der dritten Spalte (mit dem Namen *SSN*) der Datei erkannt hat.

Das folgende Beispiel zeigt die Struktur eines `Cell` Objekts, das den Ort angibt, an dem vertrauliche Daten vorkommen, die Macie in einer Excel-Arbeitsmappe entdeckt hat.

```
"cells": [
   {
      "cellReference": "Sheet2!C5",
      "column": 3,
      "columnName": "SSN",
      "row": 5
   }
]
```

Im vorherigen Beispiel deutet das Ergebnis darauf hin, dass Macie sensible Daten in dem Arbeitsblatt mit dem Namen *Sheet2* in der Arbeitsmappe erkannt hat. *In diesem Arbeitsblatt entdeckte Macie sensible Daten in der Zelle in der fünften Zeile der dritten Spalte (Spalte C, SSN genannt).*

### LineRanges Array
<a name="findings-locate-sd-schema-examples-linerange"></a>

**Gilt für:** E-Mail-Nachrichtendateien (EML) und nicht-binäre Textdateien mit Ausnahme von CSV-, JSON-, JSON-Zeilen- und TSV-Dateien, z. B. HTML-, TXT- und XML-Dateien

In einem `lineRanges` Array gibt ein `Range` Objekt eine Zeile oder einen umfassenden Zeilenbereich an, in dem Macie das Vorkommen vertraulicher Daten erkannt hat, sowie die Position der Daten in der oder den angegebenen Zeilen.

Dieses Objekt ist bei Dateitypen, die von anderen Typen von Arrays in `occurrences` Objekten unterstützt werden, häufig leer. Ausnahmen sind:
+ Daten in unstrukturierten Abschnitten einer anderweitig strukturierten Datei, z. B. ein Kommentar in einer Datei.
+ Daten in einer falsch formatierten Datei, die Macie als Klartext analysiert.
+ Eine CSV- oder TSV-Datei mit einem oder mehreren Spaltennamen, in denen Macie sensible Daten erkannt hat.

In der folgenden Tabelle wird der Zweck jedes Felds in einem `Range` Objekt eines `lineRanges` Arrays beschrieben.


| Feld | Typ | Description | 
| --- | --- | --- | 
| end | Ganzzahl | Die Anzahl der Zeilen vom Anfang der Datei bis zum Ende des Vorkommnisses. | 
| start | Ganzzahl | Die Anzahl der Zeilen vom Anfang der Datei bis zum Anfang des Vorkommnisses. | 
| startColumn | Ganzzahl | Die Anzahl der Zeichen, mit Leerzeichen und beginnend bei 1, vom Anfang der ersten Zeile, die das Vorkommen (start) enthält, bis zum Anfang des Vorkommens. | 

Das folgende Beispiel zeigt die Struktur eines `Range` Objekts, das den Ort eines Vorkommens vertraulicher Daten angibt, das Macie in einer einzelnen Zeile in einer TXT-Datei erkannt hat.

```
"lineRanges": [
   {
      "end": 1,
      "start": 1,
      "startColumn": 119
   }
]
```

Im vorherigen Beispiel deutet das Ergebnis darauf hin, dass Macie in der ersten Zeile der Datei ein vollständiges Vorkommen vertraulicher Daten (eine Postanschrift) entdeckt hat. Das erste Zeichen des Vorkommens ist 119 Zeichen (mit Leerzeichen) vom Anfang der Zeile entfernt.

Das folgende Beispiel zeigt die Struktur eines `Range` Objekts, das die Position eines Vorkommens vertraulicher Daten angibt, das sich über mehrere Zeilen in einer TXT-Datei erstreckt.

```
"lineRanges": [
   {
      "end": 54,
      "start": 51,
      "startColumn": 1
   }
]
```

Im vorherigen Beispiel deutet das Ergebnis darauf hin, dass Macie ein Vorkommen sensibler Daten (eine Postanschrift) entdeckt hat, die sich über die Zeilen 51 bis 54 der Datei erstrecken. Das erste Zeichen in dem Vorkommen ist das erste Zeichen in Zeile 51 der Datei.

### Seiten-Array
<a name="findings-locate-sd-schema-examples-page"></a>

**Gilt für:** Dateien im Adobe Portable Document Format (PDF)

In einem `pages` Array gibt ein `Page` Objekt eine Seite an, auf der Macie sensible Daten entdeckt hat. Das Objekt enthält ein `pageNumber` Feld. Das `pageNumber` Feld speichert eine Ganzzahl, die die Seitennummer der Seite angibt, die das Vorkommen enthält.

Das folgende Beispiel zeigt die Struktur eines `Page` Objekts, das den Ort eines Vorkommens vertraulicher Daten angibt, das Macie in einer PDF-Datei entdeckt hat.

```
"pages": [
   {
      "pageNumber": 10
   }
]
```

Im vorherigen Beispiel deutet das Ergebnis darauf hin, dass Seite 10 der Datei das Vorkommen enthält.

### Datensatz-Array
<a name="findings-locate-sd-schema-examples-record"></a>

**Gilt für:** Apache Avro-Objektcontainer, Apache Parquet-Dateien, JSON-Dateien und JSON Lines-Dateien

Bei einem Avro-Objektcontainer oder einer Parquet-Datei gibt ein `Record` Objekt in einem `records` Array einen Datensatzindex und den Pfad zu einem Feld in einem Datensatz an, in dem Macie das Vorkommen sensibler Daten erkannt hat. Bei JSON- und JSON Lines-Dateien gibt ein `Record` Objekt den Pfad zu einem Feld oder Array an, in dem Macie das Vorkommen sensibler Daten erkannt hat. Bei JSON-Lines-Dateien gibt es auch den Index der Zeile an, die das Vorkommen enthält.

In der folgenden Tabelle wird der Zweck der einzelnen Felder in einem `Record` Objekt beschrieben.


| Feld | Typ | Description | 
| --- | --- | --- | 
| jsonPath | Zeichenfolge |  Der Pfad zum Vorkommen als JSONPath Ausdruck. Bei einem Avro-Objektcontainer oder einer Parquet-Datei ist dies der Pfad zu dem Feld im Datensatz (`recordIndex`), das das Vorkommen enthält. Bei einer JSON- oder JSON-Lines-Datei ist dies der Pfad zu dem Feld oder Array, das das Vorkommen enthält. Wenn es sich bei den Daten um einen Wert in einem Array handelt, gibt der Pfad auch an, welcher Wert das Vorkommen enthält. Wenn Macie sensible Daten im Namen eines Elements im Pfad erkennt, lässt Macie das `jsonPath` Feld in einem Objekt aus. `Record` Wenn der Name eines Pfadelements 240 Zeichen überschreitet, kürzt Macie den Namen, indem er Zeichen am Anfang des Namens entfernt. Wenn der resultierende vollständige Pfad 250 Zeichen überschreitet, kürzt Macie den Pfad ebenfalls ab, beginnend mit dem ersten Element im Pfad, bis der Pfad 250 oder weniger Zeichen enthält.  | 
| recordIndex | Ganzzahl | Bei einem Avro-Objektcontainer oder einer Parquet-Datei der Datensatzindex, beginnend bei 0, für den Datensatz, der das Vorkommen enthält. Bei einer JSON-Lines-Datei der Zeilenindex, beginnend bei 0, für die Zeile, die das Vorkommen enthält. Dieser Wert gilt immer 0 für JSON-Dateien. | 

Das folgende Beispiel zeigt die Struktur eines `Record` Objekts, das den Ort angibt, an dem sensible Daten vorkommen, die Macie in einer Parquet-Datei entdeckt hat.

```
"records": [
   {
      "jsonPath": "$['abcdefghijklmnopqrstuvwxyz']",
      "recordIndex": 7663
   }
]
```

Im vorherigen Beispiel deutet das Ergebnis darauf hin, dass Macie sensible Daten im Datensatz mit Index 7663 (Datensatznummer 7664) entdeckt hat. In diesem Datensatz entdeckte Macie sensible Daten in dem genannten Feld. `abcdefghijklmnopqrstuvwxyz` Der vollständige JSON-Pfad zu dem Feld im Datensatz lautet`$.abcdefghijklmnopqrstuvwxyz`. Das Feld ist ein direkter Nachkomme des Stammobjekts (äußerste Ebene).

Das folgende Beispiel zeigt auch die Struktur eines `Record` Objekts für das Vorkommen vertraulicher Daten, das Macie in einer Parquet-Datei entdeckt hat. In diesem Beispiel hat Macie jedoch den Namen des Felds gekürzt, das das Vorkommen enthält, weil der Name die Zeichenbeschränkung überschreitet.

```
"records": [
   {
      "jsonPath": "$['...uvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyz']",
      "recordIndex": 7663
   }
]
```

Im vorherigen Beispiel ist das Feld ein direkter Nachkomme des Stammobjekts (äußerste Ebene).

Im folgenden Beispiel hat Macie auch bei einem Vorkommen vertraulicher Daten, das Macie in einer Parquet-Datei entdeckt hat, den vollständigen Pfad zu dem Feld gekürzt, das das Vorkommen enthält. Der vollständige Pfad überschreitet die Zeichenbeschränkung.

```
"records": [
   {
      "jsonPath": "$..usssn2.usssn3.usssn4.usssn5.usssn6.usssn7.usssn8.usssn9.usssn10.usssn11.usssn12.usssn13.usssn14.usssn15.usssn16.usssn17.usssn18.usssn19.usssn20.usssn21.usssn22.usssn23.usssn24.usssn25.usssn26.usssn27.usssn28.usssn29['abcdefghijklmnopqrstuvwxyz']",
      "recordIndex": 2335
   }
]
```

Im vorherigen Beispiel deutet das Ergebnis darauf hin, dass Macie sensible Daten im Datensatz mit Index 2335 (Datensatznummer 2336) entdeckt hat. In diesem Datensatz entdeckte Macie sensible Daten in dem genannten Feld. `abcdefghijklmnopqrstuvwxyz` Der vollständige JSON-Pfad zu dem Feld im Datensatz lautet:

`$['1234567890']usssn1.usssn2.usssn3.usssn4.usssn5.usssn6.usssn7.usssn8.usssn9.usssn10.usssn11.usssn12.usssn13.usssn14.usssn15.usssn16.usssn17.usssn18.usssn19.usssn20.usssn21.usssn22.usssn23.usssn24.usssn25.usssn26.usssn27.usssn28.usssn29['abcdefghijklmnopqrstuvwxyz']`

Das folgende Beispiel zeigt die Struktur eines `Record` Objekts, das den Ort angibt, an dem sensible Daten vorkommen, die Macie in einer JSON-Datei erkannt hat. In diesem Beispiel ist das Vorkommen ein bestimmter Wert in einem Array.

```
"records": [
   {
      "jsonPath": "$.access.key[2]",
      "recordIndex": 0
   }
]
```

Im vorherigen Beispiel deutet das Ergebnis darauf hin, dass Macie sensible Daten im zweiten Wert eines Arrays mit dem Namen `key` erkannt hat. Das Array ist ein untergeordnetes Objekt eines Objekts mit dem Namen`access`.

Das folgende Beispiel zeigt die Struktur eines `Record` Objekts, das den Ort angibt, an dem sensible Daten vorkommen, die Macie in einer JSON-Lines-Datei erkannt hat.

```
"records": [
   {
      "jsonPath": "$.access.key",
      "recordIndex": 3
   }
]
```

Im vorherigen Beispiel deutet das Ergebnis darauf hin, dass Macie sensible Daten im dritten Wert (Zeile) in der Datei erkannt hat. In dieser Zeile befindet sich das Vorkommen in einem Feld mit dem Namen`key`, das einem Objekt mit dem Namen `access` untergeordnet ist.