本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 检查允许列表状态 如果您创建了允许列表,请务必定期检查其状态。否则,错误可能会导致 Amazon Macie 为您的 Amazon Simple Storage Service (Amazon S3) 数据生成异常分析结果。例如,Macie 可能会为您在允许列表中指定的文本创建敏感数据调查发现。 如果您将敏感数据发现作业配置为使用允许列表,但是 Macie 在作业开始运行时无法访问或使用该列表,则该作业将继续运行。但是,Macie 在分析 S3 对象时不使用此列表。同样,如果分析周期开始自动敏感数据发现,而 Macie 无法访问或使用指定的允许列表,则分析将继续进行,但 Macie 不使用此列表。 指定正则表达式 (*regex*) 的允许列表发生错误的概率较低。部分原因是当您创建或者更新列表设置时,Macie 会自动测试正则表达式。此外,您还可以将正则表达式和所有其他列表设置存储至 Macie。 但是,指定预定义文本的允许列表可能会出错,部分原因是您将列表存储在 Amazon S3 中,而非 Macie 中。错误的常见原因包括: + S3 存储桶或对象已被删除。 + S3 存储桶或对象已被重命名,Macie 中的列表设置未指定新名称。 + S3 存储桶的权限设置已更改,Macie 将失去对存储桶和对象的访问权限。 + S3 存储桶的加密设置已更改,Macie 无法解密存储列表对象。 + 加密密钥策略已更改,Macie 将无法访问此密钥。Macie 无法解密存储列表的 S3 对象。 **重要** 由于这些错误会影响您的分析结果,因此我们建议您定期检查所有允许列表状态。如果您更改了存储允许列表的 S3 存储桶的权限或加密设置,或者更改了用于加密列表的 AWS Key Management Service (AWS KMS) 密钥的策略,我们建议您也这样做。 有关帮助您进行错误故障排除的详细信息,请参见 [预定义文本列表的选项与要求](allow-lists-options.md#allow-lists-options-s3list)。 **要检查允许列表状态** 您可以使用 Amazon Macie 控制台或 Amazon Macie API 检查允许列表状态。在控制台中,您可以用单个页面同时检查所有允许列表的状态。如果您使用 Amazon Macie API,则可以逐一检查各个允许列表的状态。 ------ #### [ Console ] 按照以下步骤,使用 Amazon Macie 控制台检查允许列表状态。 **若要检查您的允许列表状态** 1. 打开亚马逊 Macie 主机,网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 1. 在导航窗格中的 **设置** 下,选择 **允许列表**。 1. 在**允许列表**页面,选择刷新 (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/btn-refresh-data.png))。Macie 会测试所有允许列表设置,并更新 **状态** 字段以指示每个列表的当前状态。 如果列表指定了正则表达式,则其状态通常为 **确定**。这意味着 Macie 可以编译表达式。如果列表指定了预定义文本,则可能包含以下状态之一。 **确定** Macie 可以检索和解析列表的内容。 **访问被拒绝** 不允许 Macie 访问存储列表的 S3 对象。Amazon S3 拒绝了检索对象的请求。如果列表使用不允许 Macie 使用的客户管理的对象进行加密 AWS KMS key ,则列表也可能处于此状态。 要解决此错误,检查桶策略以及桶和对象的其他权限设置。确保允许 Macie 访问和检索对象。如果使用客户管理的 AWS KMS 密钥对对象进行加密,还要查看密钥策略并确保允许 Macie 使用该密钥。 **错误** Macie 尝试检索或解析列表内容时发生暂时性或内部错误。如果使用 Amazon S3 和 Macie 无法访问或使用的加密密钥对列表进行加密,则允许列表也可以具有此状态。 若要修正此错误,请等待几分钟,然后再次选择刷新 (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/btn-refresh-data.png))。如果状态继续为 **错误**,请检查 S3 对象的加密设置。确保使用 Amazon S3 和 Macie 可以访问和使用的密钥加密对象。 **对象为空** Macie 可以检索 Amazon S3 列表,但列表不包含任何内容。 若要修正此错误,请从 Amazon S3 下载数据元并确保其中包含正确的条目。如果条目正确,请在 Macie 中查看列表设置。确保指定的存储桶和对象名称正确。 **未找到对象** 该列表在 Amazon S3 中不存在。 若要修正错误,请在 Macie 中查看列表设置。确保指定的存储桶和对象名称正确。 **超出配额** Macie 可以在 Amazon S3 中访问列表。但是,列表中的条目数或列表的存储大小超过了允许列表配额。 要修正此错误,请将列表分成多个文件。确保每个文件包含的条目数量少于 100000 个。还要确保每个文件的大小都小于 35MB。将文件上传到 Amazon S3 然后,在 Macie 中为每个文件配置列表设置。每个支持的 AWS 区域最多有五个自定义文本列表。 **受限** Amazon S3 限制了检索列表的请求。 若要修正此错误,请等待几分钟,然后再次选择刷新 (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/btn-refresh-data.png))。 **用户访问被拒绝** Amazon S3 拒绝了检索对象的请求。如果指定的对象存在,则不允许您访问该对象,或者使用不允许使用的 AWS KMS 密钥对其进行加密。 要解决此错误,请与您的 AWS 管理员合作,确保列表的设置指定了正确的存储桶和对象名称,并且您拥有对存储桶和对象的读取权限。如果对象已加密,还要确保使用允许您使用的密钥对其进行加密。 1. 要检查特定列表的设置和状态,请选择列表的名称。 ------ #### [ API ] 要以编程方式检查允许列表的状态,请使用 Amazon Macie API 的[GetAllowList](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists-id.html)操作。或者,如果您使用的是 AWS CLI,请运行该[get-allow-list](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-allow-list.html)命令。 对于 `id` 参数,指定待检查状态允许列表的唯一标识符。要获取此标识符,您可以使用[ListAllowLists](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists.html)操作。**ListAllowLists** 操作会检索有关您账户的所有允许列表的信息。如果您使用的是 AWS CLI,则可以运行[list-allow-lists](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-allow-lists.html)命令来检索此信息。 当您提交 **GetAllowList** 请求时,Macie 会测试允许列表的所有设置。如果设置指定了正则表达式 (`regex`),Macie 会验证它是否可以编译此表达式。如果设置指定了预定义文本列表 (`s3WordsList`),Macie 会验证它是否可以检索和解析此列表。 然后 Macie 返回提供允许列表详细信息的 `GetAllowListResponse` 对象。在 `GetAllowListResponse` 对象中,`status` 对象表示列表的当前状态:状态码 (`code`);以及列表状态的简要描述 (`description`),视状态代码而定。 如果允许列表指定了正则表达式,则状态码通常为`OK`,并且没有相关的描述。这意味着 Macie 成功编译了此表达式。 如果允许列表指定了预定义文本,则状态代码会视测试结果而异: + 如果 Macie 成功检索并解析了列表,则状态码为`OK`,并且没有相关的描述。 + 如果错误阻止 Macie 检索或解析列表,则状态代码和描述将表明错误性质。 有关可能的状态代码列表和每个状态码的描述,请参阅[AllowListStatus](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists-id.html#allow-lists-id-model-allowliststatus)《*Amazon Macie API* 参考》。 ------