本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 配置自动敏感数据发现的设置
<a name="discovery-asdd-account-configure"></a>

如果为您的账户或组织启用自动敏感数据发现，您可以调整自动发现设置，以完善 Amazon Macie 执行的分析。这些设置指定要从分析中排除的亚马逊简单存储服务 (Amazon S3) Service 存储桶。它们还指定了要检测和报告的敏感数据的类型和产生——托管数据标识符、自定义数据标识符，以及分析 S3 对象时要使用的允许列表。

默认情况下，Macie 会对您账户的所有 S3 通用存储桶执行自动敏感数据发现。如果您是组织的 Macie 管理员，则这包括您的成员账户拥有的存储桶。您可以将特定的存储桶排除在分析之外。例如，您可以排除通常存储 AWS 日志数据的存储桶，例如 AWS CloudTrail 事件日志。如果您排除了某个存储桶，可以随后再次将其包括在内。

此外，Macie 仅使用我们推荐用于自动敏感数据发现的一组托管数据标识符来分析 S3 对象。Macie 不使用您定义的自定义数据标识符或允许列表。要自定义分析，您可以添加或删除特定的托管数据标识符、自定义数据标识符和允许列表。

如果您更改了设置，Macie 会在下一个评估和分析周期开始时应用您的更改，通常在 24 小时内。此外，您的更改仅适用于当前 AWS 区域。要在其他区域进行相同的更改，请在每个其他区域中重复适用的步骤。

**Topics**
+ [组织的配置选项](#discovery-asdd-configure-options-orgs)
+ [排除或包含 S3 存储桶](#discovery-asdd-account-configure-s3buckets)
+ [正在添加或删除托管数据标识符](#discovery-asdd-account-configure-mdis)
+ [正在添加或删除自定义数据标识符](#discovery-asdd-account-configure-cdis)
+ [正在添加或删除允许列表](#discovery-asdd-account-configure-als)

**注意**  
要配置自动敏感数据发现的设置，您必须是组织的 Macie 管理员或拥有独立的 Macie 账户。如果您的帐户是组织的一部分，则只有您组织的 Macie 管理员才能配置和管理组织中帐户的设置。如果您拥有成员账户，请联系您的 Macie 管理员，了解您的账户和组织的设置。

## 组织的配置选项
<a name="discovery-asdd-configure-options-orgs"></a>

如果账户属于集中管理多个 Amazon Macie 账户的组织，则该组织的 Macie 管理员会配置和管理组织内账户的自动敏感数据发现。这包括定义 Macie 对账户执行分析的范围和性质的设置。成员无法访问自己账户的这些设置。

如果您是组织的 Macie 管理员，则可以通过多种方式定义分析范围：
+ **自动为账户启用自动敏感数据发现**-启用自动发现敏感数据时，您可以指定是为所有现有账户和新成员帐户启用自动发现功能，还是仅为新成员帐户启用自动发现功能，还是不为成员帐户启用自动发现敏感数据。如果您为新成员账户启用该功能，则当该账户在 Macie 中加入您的组织时，系统会自动为该账户启用该功能。如果账户启用了该功能，则 Macie 就会包含该账户拥有的 S3 存储桶。如果账户禁用了该功能，Macie 将排除该账户拥有的存储桶。
+ **有选择地为帐户启用自动敏感数据发现**-使用此选项，您可以 case-by-case逐个启用或禁用个人帐户的自动敏感数据发现。如果您为账户启用该功能，则 Macie 会包含该账户拥有的 S3 存储桶。如果您没有为账户启用该功能或禁用了该功能，Macie 会排除该账户拥有的存储桶。
+ **将特定的 S3 存储桶排除在自动敏感数据发现**之外 — 如果您为账户启用自动敏感数据发现，则可以排除该账户拥有的特定 S3 存储桶。然后，Macie 在执行自动发现时会跳过存储桶。要排除特定的存储桶，请将其添加到管理员账户配置设置的排除列表中。您可以为您的组织排除多达 1000 个存储桶。

默认情况下，会自动为组织中的所有新账户和现有账户启用自动敏感数据发现。此外，Macie 还包括账户拥有的所有 S3 存储桶。如果您保留默认设置，则意味着 Macie 会自动发现您的管理员账户的所有存储分区，其中包括您的成员账户拥有的所有存储分区。

作为 Macie 管理员，您还可以定义 Macie 为您的组织执行的分析的性质。为此，您需要为管理员账户配置其他设置——您希望 Macie 在分析 S3 对象时使用的托管数据标识符、自定义数据标识符以及允许列表。Macie 在分析组织中其他账户的 S3 对象时，会使用您的管理员账户的设置。

## 在自动敏感数据发现中排除或包含 S3 存储桶
<a name="discovery-asdd-account-configure-s3buckets"></a>

默认情况下，Amazon Macie 会对您账户的所有 S3 通用存储桶执行自动敏感数据发现。如果您是组织的 Macie 管理员，则这包括您的成员账户拥有的存储桶。

要缩小范围，您可以从分析中排除多达 1000 个 S3 存储桶。如果您排除了存储桶，则 Macie 会在执行自动敏感数据发现时停止选择和分析该存储桶中的对象。该存储桶的现有敏感数据发现统计数据和详细信息将保留。例如，存储桶的当前敏感度分数保持不变。排除了某个存储桶后，您可以随后再次将其包括在内。

**在自动敏感数据发现中排除或包含 S3 存储桶**  
您可以使用 Amazon Macie 控制台或 Amazon Macie API 排除或随后包含 S3 存储桶。

------
#### [ Console ]

按照以下步骤使用 Amazon Macie 控制台排除或随后包含一个 S3 存储桶。

**要排除或包含 S3 存储桶**

1. 打开亚马逊 Macie 主机，网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. 使用页面右上角的 AWS 区域 选择器，选择要在分析中排除或包含特定 S3 存储桶的区域。

1. 在导航窗格的**设置**下，选择**自动敏感数据发现**。

   将出现**自动化敏感数据发现**页面，并显示您的当前设置。在该页面上，**S3 存储桶**部分列出了当前被排除的 S3 存储桶，或者显示当前包含的所有存储桶。

1. 在** S3 存储桶**部分中，选择 **编辑**。

1. 请执行以下操作之一：
   + 要排除一个或多个 S3 存储桶，请选择 **将存储桶添加到排除列表**。然后，在 S3 **存储桶**表中，选中要排除的每个存储桶对应的复选框。下表列出了您的账户或组织在当前区域中的所有通用存储桶。
   + 要包含您之前排除的一个或多个 S3 存储桶，请选择 **从排除列表中删除存储桶**。然后，在 S3 **存储桶**表中，选中要包含的每个存储桶对应的复选框。该表列出了当前被排除在分析之外的所有存储桶。

   要更轻松地查找特定存储桶，请在表格上方的搜索框中输入搜索条件。您还可以通过选择列标题对表格进行排序。

1. 选择完存储桶后，根据您在上一步中选择的选项，选择**添加**或**移除**。

**提示**  
在控制台上查看存储桶详细信息时，您也可以 case-by-case根据需要排除或包含单个 S3 存储桶。为此，请在 **S3 存储桶**页面上选择存储桶。然后，在详细信息面板中，更改存储桶的**从自动发现中排除**设置。

------
#### [ API ]

要以编程方式排除或随后包含 S3 存储桶，请使用 Amazon Macie API 更新账户的分类范围。分类范围指定了您不希望 Macie 在执行自动敏感数据发现时对其进行分析的存储桶。它定义了用于自动发现的存储桶排除列表。

更新分类范围时，您可以指定是在排除列表中添加或删除单个存储桶，还是使用新列表覆盖当前列表。因此，最好先检索并查看您当前的列表。要检索列表，请使用[GetClassificationScope](https://docs.aws.amazon.com/macie/latest/APIReference/classification-scopes-id.html)操作。如果您使用的是 AWS Command Line Interface (AWS CLI)，请运行[get-classification-scope](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-classification-scope.html)命令来检索列表。

要检索或更新分类范围，必须指定其唯一标识符 (`id`)。您可以使用[GetAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html)操作获取此标识符。此操作会检索您当前的配置设置，以便自动发现敏感数据，包括当前 AWS 区域账户分类范围的唯一标识符。如果您使用的是 AWS CLI，请运行[get-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-automated-discovery-configuration.html)命令来检索此信息。

当您准备好更新分类范围时，请使用[UpdateClassificationScope](https://docs.aws.amazon.com/macie/latest/APIReference/classification-scopes-id.html)操作，或者，如果您正在使用 AWS CLI，则运行[update-classification-scope](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-classification-scope.html)命令。在您的请求中，使用支持的参数在后续分析中排除或包含 S3 存储桶：
+ 要排除一个或多个存储桶，请为`bucketNames`参数指定每个存储桶的名称。对于 `operation` 参数，请指定 `ADD`。
+ 要包含您之前排除的一个或多个存储桶，请为`bucketNames`参数指定每个存储桶的名称。对于 `operation` 参数，请指定 `REMOVE`。
+ 要使用要排除的新存储桶列表覆盖当前列表，请`REPLACE`为参数指定。`operation`在`bucketNames`参数中，指定要排除的每个存储桶的名称。

`bucketNames`参数的每个值都必须是当前区域中现有通用存储桶的全名。值区分大小写。如果您的请求成功，Macie 会更新分类范围并返回空响应。

以下示例说明如何使用更新账户的分类范围。 AWS CLI 第一组示例将两个 S3 存储桶（*amzn-s3-demo-bucket1*和*amzn-s3-demo-bucket2*）排除在后续分析之外。它会将存储桶添加到要排除的存储桶列表中。

此示例针对 Linux、macOS 或 Unix 进行格式化，并使用反斜杠 (\$1) 行继续符来提高可读性。

```
$ aws macie2 update-classification-scope \
--id 117aff7ed76b59a59c3224ebdexample \
--s3 '{"excludes":{"bucketNames":["amzn-s3-demo-bucket1","amzn-s3-demo-bucket2"],"operation": "ADD"}}'
```

此示例针对 Microsoft Windows 进行格式化，并使用脱字号 (^) 行继续符来提高可读性。

```
C:\> aws macie2 update-classification-scope ^
--id 117aff7ed76b59a59c3224ebdexample ^
--s3={\"excludes\":{\"bucketNames\":[\"amzn-s3-demo-bucket1\",\"amzn-s3-demo-bucket2\"],\"operation\":\"ADD\"}}
```

下一组示例将在后续分析中包括存储桶（*amzn-s3-demo-bucket1*和*amzn-s3-demo-bucket2*）。它会将存储桶从要排除的存储桶列表中移除。对于 Linux、macOS 或 Unix：

```
$ aws macie2 update-classification-scope \
--id 117aff7ed76b59a59c3224ebdexample \
--s3 '{"excludes":{"bucketNames":["amzn-s3-demo-bucket1","amzn-s3-demo-bucket2"],"operation": "REMOVE"}}'
```

对于 Microsoft Windows：

```
C:\> aws macie2 update-classification-scope ^
--id 117aff7ed76b59a59c3224ebdexample ^
--s3={\"excludes\":{\"bucketNames\":[\"amzn-s3-demo-bucket1\",\"amzn-s3-demo-bucket2\"],\"operation\":\"REMOVE\"}}
```

以下示例将覆盖当前列表，并将其替换为要排除的 S3 存储桶的新列表。新列表指定了三个要排除的存储桶：*amzn-s3-demo-bucket**amzn-s3-demo-bucket2*、和。*amzn-s3-demo-bucket3*对于 Linux、macOS 或 Unix：

```
$ aws macie2 update-classification-scope \
--id 117aff7ed76b59a59c3224ebdexample \
--s3 '{"excludes":{"bucketNames":["amzn-s3-demo-bucket","amzn-s3-demo-bucket2","amzn-s3-demo-bucket3"],"operation": "REPLACE"}}'
```

对于 Microsoft Windows：

```
C:\> aws macie2 update-classification-scope ^
--id 117aff7ed76b59a59c3224ebdexample ^
--s3={\"excludes\":{\"bucketNames\":[\"amzn-s3-demo-bucket\",\"amzn-s3-demo-bucket2\",\"amzn-s3-demo-bucket3\"],\"operation\":\"REPLACE\"}}
```

------

## 在自动敏感数据发现中添加或删除托管数据标识符
<a name="discovery-asdd-account-configure-mdis"></a>

*托管数据标识符*是一组内置标准和技术，旨在检测特定类型的敏感数据，例如信用卡号、 AWS 秘密访问密钥或特定国家或地区的护照号码。默认情况下，Amazon Macie 使用我们推荐用于自动敏感数据发现的一组托管数据标识符来分析 S3 对象。要查看这些标识符的列表，请参阅 [自动敏感数据发现的默认设置](discovery-asdd-settings-defaults.md)。

您可以定制分析，将重点放在特定类型的敏感数据上：
+ 为您希望 Macie 检测和报告的敏感数据类型添加托管数据标识符，以及
+ 为您不希望 Macie 检测和报告的敏感数据类型删除托管数据标识符。

有关 Macie 当前提供的所有托管数据标识符的完整列表以及每个标识符的详细信息，请参阅[使用托管数据标识符](managed-data-identifiers.md)。

如果您删除某个托管数据标识符，则您的更改不会影响 S3 存储桶的现有敏感数据发现统计数据和详细信息。例如，如果您删除了用于检测 AWS 秘密访问密钥的托管数据标识符，而 Macie 之前在存储桶中检测到了该数据，Macie 将继续报告这些检测结果。但是，与其删除标识符，影响随后对所有存储桶的分析，不如考虑只从特定存储桶的敏感度分数中排除其检测结果。有关更多信息，请参阅 [调整 S3 存储桶的敏感度分数](discovery-asdd-s3bucket-manage.md)。

**在自动敏感数据发现中添加或删除托管数据标识符**  
您可以使用亚马逊 Macie 控制台或亚马逊 Macie API 添加或删除托管数据标识符。

------
#### [ Console ]

按照以下步骤使用 Amazon Macie 控制台添加或删除托管数据标识符。

**要添加或删除托管数据标识符**

1. 打开亚马逊 Macie 主机，网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. 使用页面右上角的 AWS 区域 选择器，选择要在其中添加托管数据标识符或从分析中移除托管数据标识符的区域。

1. 在导航窗格的**设置**下，选择**自动敏感数据发现**。

   将出现**自动化敏感数据发现**页面，并显示您的当前设置。在该页面上，**托管数据标识符**部分显示您当前的设置，分为两个选项卡：
   + **已添加到默认设置**‬：此选项卡列出了您添加的托管数据标识符。除了默认设置中的且您尚未删除的标识符外，Macie 还使用这些标识符。
   + **已从默认设置中删除**‬：此选项卡列出了您删除的托管数据标识符。Macie 不使用这些标识符。

1. 在**托管数据标识符**部分中，选择**编辑**。

1. 执行以下任一操作：
   + 要添加一个或多个托管数据标识符，请选择**已添加到默认设置**选项卡。然后，在表中，选中要添加的每个托管数据标识符对应的复选框。如果已选中某个复选框，则表示您已经添加了该标识符。
   + 要删除一个或多个托管数据标识符，请选择**从默认设置中移除**选项卡。然后，在表中，选中要删除的每个托管数据标识符对应的复选框。如果已选中某个复选框，则表示您已经删除了该标识符。

   在每个选项卡上，该表显示了 Macie 当前提供的所有托管数据标识符的列表。在表中，第一列指定了每个托管数据标识符的 ID。该 ID 描述了该标识符旨在检测的敏感数据类型，例如，用于检测美国护照号码的 **USA\$1PASSPORT\$1NUMBER**。要更轻松地查找特定的托管数据标识符，请在表格上方的搜索框中输入搜索条件。您还可以通过选择列标题对表格进行排序。

1. 完成后，选择**保存**。

------
#### [ API ]

要以编程方式添加或删除托管数据标识符，请使用 Amazon Macie API 更新账户的敏感度检查模板。该模板存储的设置除了默认集中的标识符外，还指定要使用（*包括*）哪些托管数据标识符。它们还指定不使用（*排除*）的托管数据标识符。这些设置还会指定您希望 Macie 使用的任何自定义数据标识符和允许列表。

更新模板时，会覆盖其当前设置。因此，最好先检索当前设置并确定要保留哪些设置。要检索您的当前设置，请使用[GetSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html)操作。如果您使用的是 AWS Command Line Interface (AWS CLI)，请运行[get-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitivity-inspection-template.html)命令来检索设置。

要检索或更新模板，必须指定其唯一标识符 (`id`)。您可以使用[GetAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html)操作获取此标识符。此操作会检索您当前用于自动发现敏感数据的配置设置，包括当前 AWS 区域账户敏感度检查模板的唯一标识符。如果您使用的是 AWS CLI，请运行[get-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-automated-discovery-configuration.html)命令来检索此信息。

当您准备好更新模板时，请使用[UpdateSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html)操作，或者，如果您正在使用 AWS CLI，则运行[update-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-sensitivity-inspection-template.html)命令。在您的请求中，使用相应的参数在后续分析中添加或删除一个或多个托管数据标识符：
+ 要开始使用托管数据标识符，请为`managedDataIdentifierIds`参数的`includes`参数指定其 ID。
+ 要停止使用托管数据标识符，请为`managedDataIdentifierIds`参数的`excludes`参数指定其 ID。
+ 要恢复默认设置，请不要 IDs 为`includes`和`excludes`参数指定任何设置。然后，Macie 开始仅使用默认集中的托管数据标识符。

除了托管数据标识符的参数外，还可以使用相应的`includes`参数来指定希望 Macie 使用的任何自定义数据标识符 (`customDataIdentifierIds``allowListIds`) 和允许列表 ()。此外，请指定您的请求适用的区域。如果您的请求成功，Macie 会更新模板并返回空响应。

以下示例说明如何使用更新账户的敏感度检查模板。 AWS CLI 这些示例添加了一个托管数据标识符，并从后续分析中删除了另一个托管数据标识符。它们还会维护当前的设置，即指定要使用的两个自定义数据标识符。

此示例针对 Linux、macOS 或 Unix 进行格式化，并使用反斜杠 (\$1) 行继续符来提高可读性。

```
$ aws macie2 update-sensitivity-inspection-template \
--id fd7b6d71c8006fcd6391e6eedexample \
--excludes '{"managedDataIdentifierIds":["UK_ELECTORAL_ROLL_NUMBER"]}' \
--includes '{"managedDataIdentifierIds":["STRIPE_CREDENTIALS"],"customDataIdentifierIds":["3293a69d-4a1e-4a07-8715-208ddexample","6fad0fb5-3e82-4270-bede-469f2example"]}'
```

此示例针对 Microsoft Windows 进行格式化，并使用脱字号 (^) 行继续符来提高可读性。

```
C:\> aws macie2 update-sensitivity-inspection-template ^
--id fd7b6d71c8006fcd6391e6eedexample ^
--excludes={\"managedDataIdentifierIds\":[\"UK_ELECTORAL_ROLL_NUMBER\"]} ^
--includes={\"managedDataIdentifierIds\":[\"STRIPE_CREDENTIALS\"],\"customDataIdentifierIds\":[\"3293a69d-4a1e-4a07-8715-208ddexample\",\"6fad0fb5-3e82-4270-bede-469f2example\"]}
```

其中：
+ *fd7b6d71c8006fcd6391e6eedexample*是要更新的灵敏度检查模板的唯一标识符。
+ *UK\$1ELECTORAL\$1ROLL\$1NUMBER*是要停止使用的托管数据标识符的 ID（*排除*）。
+ *STRIPE\$1CREDENTIALS*是要开始使用的托管数据标识符的 ID（*包括*）。
+ *3293a69d-4a1e-4a07-8715-208ddexample*并且*6fad0fb5-3e82-4270-bede-469f2example*是自定义数据标识符使用的唯一标识符。

------

## 在自动敏感数据发现中添加或删除自定义数据标识符
<a name="discovery-asdd-account-configure-cdis"></a>

*自定义数据标识符*是您为检测敏感数据定义的一组标准。标准由定义要匹配的文本模式的正则表达式（*regex*）和可选的字符序列以及优化结果的邻近规则组成。要了解更多信息，请参阅[构建自定义数据标识符](custom-data-identifiers.md)。

默认情况下，Amazon Macie 在执行自动敏感数据发现时不使用自定义数据标识符。如果您希望 Macie 使用特定的自定义数据标识符，则可以将其添加到后续分析中。然后，除了您配置 Macie 使用的任何托管数据标识符之外，Macie 使用自定义数据标识符。

如果您添加了自定义数据标识符，则可以之后将其删除。您的更改不会影响 S3 存储桶的现有敏感数据发现统计数据和详细信息。例如，如果您删除了之前为某个存储桶生成检测结果的自定义数据标识符，Macie 仍会继续报告这些检测结果。但是，与其删除标识符，影响随后对所有存储桶的分析，不如考虑只从特定存储桶的敏感度分数中排除其检测结果。有关更多信息，请参阅 [调整 S3 存储桶的敏感度分数](discovery-asdd-s3bucket-manage.md)。

**在自动敏感数据发现中添加或删除自定义数据标识符**  
您可以使用亚马逊 Macie 控制台或亚马逊 Macie API 添加或删除自定义数据标识符。

------
#### [ Console ]

按照以下步骤使用 Amazon Macie 控制台添加或删除自定义数据标识符。

**要添加或删除自定义数据标识符**

1. 打开亚马逊 Macie 主机，网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. 使用页面右上角的 AWS 区域 选择器，选择要在其中添加或从分析中删除自定义数据标识符的区域。

1. 在导航窗格的**设置**下，选择**自动敏感数据发现**。

   将出现**自动化敏感数据发现**页面，并显示您的当前设置。在该页面上，**自定义数据标识符**部分列出了您添加的自定义数据标识符，或者显示您尚未添加任何自定义数据标识符。

1. 在**自定义数据标识符**部分中，选择**编辑**。

1. 执行以下任一操作：
   + 要添加一个或多个自定义数据标识符，请选中要添加的每个自定义数据标识符对应的复选框。如果已选中某个复选框，则表示您已经添加了该标识符。
   + 要移除一个或多个自定义数据标识符，请清除要删除的每个自定义数据标识符对应的复选框。如果复选框已被清除，则 Macie 当前不使用该标识符。
**提示**  
要在添加或删除自定义数据标识符之前查看或测试其设置，请选择该标识符名称旁边的链接图标 (![\[The link icon, which is a blue box that has an arrow in it.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-external-link.png))。Macie 会打开一个显示标识符设置的页面。要同时使用样本数据测试标识符，请在该页面的**样本数据**框中输入最多包含 1000 个字符的文本。然后选择**测试**。Macie 评估示例数据并报告匹配项的数量。

1. 完成后，选择**保存**。

------
#### [ API ]

要以编程方式添加或删除自定义数据标识符，请使用 Amazon Macie API 更新账户的敏感度检查模板。该模板存储的设置用于指定您希望 Macie 在执行自动敏感数据发现时使用哪些自定义数据标识符。这些设置还指定要使用哪些托管数据标识符和允许列表。

更新模板时，会覆盖其当前设置。因此，最好先检索当前设置并确定要保留哪些设置。要检索您的当前设置，请使用[GetSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html)操作。如果您使用的是 AWS Command Line Interface (AWS CLI)，请运行[get-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitivity-inspection-template.html)命令来检索设置。

要检索或更新模板，必须指定其唯一标识符 (`id`)。您可以使用[GetAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html)操作获取此标识符。此操作会检索您当前用于自动发现敏感数据的配置设置，包括当前 AWS 区域账户敏感度检查模板的唯一标识符。如果您使用的是 AWS CLI，请运行[get-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-automated-discovery-configuration.html)命令来检索此信息。

当您准备好更新模板时，请使用[UpdateSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html)操作，或者，如果您正在使用 AWS CLI，则运行[update-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-sensitivity-inspection-template.html)命令。在您的请求中，使用`customDataIdentifierIds`参数在后续分析中添加或删除一个或多个自定义数据标识符：
+ 要开始使用自定义数据标识符，请为参数指定其唯一标识符。
+ 要停止使用自定义数据标识符，请在参数中省略其唯一标识符。

使用其他参数来指定希望 Macie 使用的托管数据标识符和允许列表。此外，请指定您的请求适用的区域。如果您的请求成功，Macie 会更新模板并返回空响应。

以下示例说明如何使用更新账户的敏感度检查模板。 AWS CLI 这些示例为后续分析添加了两个自定义数据标识符。他们还维护当前的设置，这些设置指定了哪些托管数据标识符和允许列表：使用默认的托管数据标识符集和一个允许列表。

此示例针对 Linux、macOS 或 Unix 进行格式化，并使用反斜杠 (\$1) 行继续符来提高可读性。

```
$ aws macie2 update-sensitivity-inspection-template \
--id fd7b6d71c8006fcd6391e6eedexample \
--includes '{"allowListIds":["nkr81bmtu2542yyexample"],"customDataIdentifierIds":["3293a69d-4a1e-4a07-8715-208ddexample","6fad0fb5-3e82-4270-bede-469f2example"]}'
```

此示例针对 Microsoft Windows 进行格式化，并使用脱字号 (^) 行继续符来提高可读性。

```
C:\> aws macie2 update-sensitivity-inspection-template ^
--id fd7b6d71c8006fcd6391e6eedexample ^
--includes={\"allowListIds\":[\"nkr81bmtu2542yyexample\"],\"customDataIdentifierIds\":[\"3293a69d-4a1e-4a07-8715-208ddexample\",\"6fad0fb5-3e82-4270-bede-469f2example\"]}
```

其中：
+ *fd7b6d71c8006fcd6391e6eedexample*是要更新的灵敏度检查模板的唯一标识符。
+ *nkr81bmtu2542yyexample*是允许列表使用的唯一标识符。
+ *3293a69d-4a1e-4a07-8715-208ddexample*并且*6fad0fb5-3e82-4270-bede-469f2example*是自定义数据标识符使用的唯一标识符。

------

## 在自动发现敏感数据时添加或删除允许列表
<a name="discovery-asdd-account-configure-als"></a>

在 Amazon Macie 中，允许列表定义了您希望 Macie 在检查 S3 对象中是否存在敏感数据时忽略的特定文本或文本模式。如果文本与允许列表中的条目或模式相匹配，则 Macie 不会报告该文本。即使文本符合托管或自定义数据标识符的标准，情况也是如此。要了解更多信息，请参阅[使用允许列表定义敏感数据例外](allow-lists.md)。

默认情况下，Macie 在执行自动敏感数据发现时不使用允许列表。如果您希望 Macie 使用特定的允许列表，则可以将其添加到后续分析中。如果您添加了允许列表，则可以之后将其删除。

**在自动敏感数据发现中添加或删除允许列表**  
您可以使用亚马逊 Macie 控制台或亚马逊 Macie API 添加或删除允许列表。

------
#### [ Console ]

按照以下步骤使用 Amazon Macie 控制台添加或删除允许列表。

**要添加或删除允许列表**

1. 打开亚马逊 Macie 主机，网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. 使用页面右上角的选择 AWS 区域 器，选择要在其中添加或删除分析允许列表的区域。

1. 在导航窗格的**设置**下，选择**自动敏感数据发现**。

   将出现**自动化敏感数据发现**页面，并显示您的当前设置。在该页面上，**允许列表**部分指定了您已添加的允许列表，或者显示您尚未添加任何允许列表。

1. 在**允许列表**部分中选择**编辑**。

1. 执行以下任一操作：
   + 要添加一个或多个允许列表，请选中要添加的每个允许列表对应的复选框。如果已选中某个复选框，则表示您已经添加了该列表。
   + 要删除一个或多个允许列表，请清除要删除的每个允许列表对应的复选框。如果某个复选框已被清除，则 Macie 当前不使用该列表。
**提示**  
要在添加或删除允许列表之前查看其设置，请选择列表名称旁边的链接图标 (![\[The link icon, which is a blue box that has an arrow in it.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-external-link.png))。Macie 会打开一个显示列表设置的页面。如果列表指定了正则表达式 (*regex*)，您也可以使用此页使用示例数据测试正则表达式。为此，请在**示例数据**框中输入最多包含 1,000 个字符的文本，然后选择**测试**。Macie 评估示例数据并报告匹配项的数量。

1. 完成后，选择**保存**。

------
#### [ API ]

要以编程方式添加或删除允许名单，请使用 Amazon Macie API 更新账户的敏感度检查模板。该模板存储的设置用于指定您希望 Macie 在执行自动敏感数据发现时使用哪些允许列表。这些设置还指定要使用的托管数据标识符和自定义数据标识符。

更新模板时，会覆盖其当前设置。因此，最好先检索当前设置并确定要保留哪些设置。要检索您的当前设置，请使用[GetSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html)操作。如果您使用的是 AWS Command Line Interface (AWS CLI)，请运行[get-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitivity-inspection-template.html)命令来检索设置。

要检索或更新模板，必须指定其唯一标识符 (`id`)。您可以使用[GetAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html)操作获取此标识符。此操作会检索您当前用于自动发现敏感数据的配置设置，包括当前 AWS 区域账户敏感度检查模板的唯一标识符。如果您使用的是 AWS CLI，请运行[get-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-automated-discovery-configuration.html)命令来检索此信息。

当您准备好更新模板时，请使用[UpdateSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html)操作，或者，如果您正在使用 AWS CLI，则运行[update-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-sensitivity-inspection-template.html)命令。在您的请求中，使用`allowListIds`参数在后续分析中添加或删除一个或多个允许列表：
+ 要开始使用允许列表，请为参数指定其唯一标识符。
+ 要停止使用允许列表，请在参数中省略其唯一标识符。

使用其他参数来指定希望 Macie 使用的托管数据标识符和自定义数据标识符。此外，请指定您的请求适用的区域。如果您的请求成功，Macie 会更新模板并返回空响应。

以下示例说明如何使用更新账户的敏感度检查模板。 AWS CLI 这些示例为后续分析添加了允许列表。他们还保留当前的设置，这些设置指定要使用的托管数据标识符和自定义数据标识符：使用默认的托管数据标识符集和两个自定义数据标识符。

此示例针对 Linux、macOS 或 Unix 进行格式化，并使用反斜杠 (\$1) 行继续符来提高可读性。

```
$ aws macie2 update-sensitivity-inspection-template \
--id fd7b6d71c8006fcd6391e6eedexample \
--includes '{"allowListIds":["nkr81bmtu2542yyexample"],"customDataIdentifierIds":["3293a69d-4a1e-4a07-8715-208ddexample","6fad0fb5-3e82-4270-bede-469f2example"]}'
```

此示例针对 Microsoft Windows 进行格式化，并使用脱字号 (^) 行继续符来提高可读性。

```
C:\> aws macie2 update-sensitivity-inspection-template ^
--id fd7b6d71c8006fcd6391e6eedexample ^
--includes={\"allowListIds\":[\"nkr81bmtu2542yyexample\"],\"customDataIdentifierIds\":[\"3293a69d-4a1e-4a07-8715-208ddexample\",\"6fad0fb5-3e82-4270-bede-469f2example\"]}
```

其中：
+ *fd7b6d71c8006fcd6391e6eedexample*是要更新的灵敏度检查模板的唯一标识符。
+ *nkr81bmtu2542yyexample*是允许列表使用的唯一标识符。
+ *3293a69d-4a1e-4a07-8715-208ddexample*并且*6fad0fb5-3e82-4270-bede-469f2example*是自定义数据标识符使用的唯一标识符。

------