本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 配置自动敏感数据发现
<a name="discovery-asdd-account-manage"></a>

要广泛了解敏感数据在 Amazon Simple Storage Service (Amazon S3) 数据库中的位置，请为您的账户或组织启用并配置自动敏感数据发现。然后，Amazon Macie 可以每天评测您的 S3 存储桶清单，并使用采样技术从您的存储桶中识别和选择具有代表性的 S3 对象。Macie 检索并分析所选对象，检查它们是否有敏感数据。如果您是组织的 Macie 管理员，默认情况下这包括您的成员账户拥有的 S3 存储桶中的对象。

在每天的分析过程中，Macie 都会记录其发现的敏感数据及其执行的分析。Macie 还会更新统计数据、库存数据以及它提供的有关您的 Amazon S3 数据的其他信息。生成的数据可让您深入了解 Macie 在您的 Amazon S3 数据资产中发现敏感数据的位置，这些数据可以跨越您的账户或组织的所有 S3 存储桶。有关更多信息，请参阅 [自动敏感数据发现的工作原理](discovery-asdd-how-it-works.md)。

如果您拥有独立的 Macie 账户，或者您是组织的 Macie 管理员，则可以配置和管理账户或组织的自动敏感数据发现。这包括启用和禁用自动发现，以及配置用于定义 Macie 所执行分析的范围和性质的设置。如果您拥有组织中的成员账户，请联系您的 Macie 管理员，了解您的账户和组织的设置。

**Topics**
+ [配置自动敏感数据发现的先决条件](discovery-asdd-account-configure-prereqs.md)
+ [启用自动敏感数据发现](discovery-asdd-account-enable.md)
+ [配置自动敏感数据发现的设置](discovery-asdd-account-configure.md)
+ [正在禁用自动敏感数据发现](discovery-asdd-account-disable.md)

# 配置自动敏感数据发现的先决条件
<a name="discovery-asdd-account-configure-prereqs"></a>

在启用或配置自动敏感数据发现的设置之前，请完成以下任务。这有助于确保您拥有所需的资源和权限。

要完成这些任务，您必须是组织的 Amazon Macie 管理员或拥有独立的 Macie 账户。如果您的账户属于组织，则只有组织的 Macie 管理员才能启用或禁用组织内账户的自动敏感数据发现。此外，只有 Macie 管理员才能为账户配置自动发现功能设置。

**Topics**
+ [第 1 步：配置用于存储敏感数据发现结果的存储库](#discovery-asdd-account-configure-prereqs-sddr)
+ [步骤 2：验证权限](#discovery-asdd-account-configure-prereqs-perms)
+ [后续步骤](#discovery-asdd-account-configure-prereqs-next)

## 第 1 步：配置用于存储敏感数据发现结果的存储库
<a name="discovery-asdd-account-configure-prereqs-sddr"></a>

当 Amazon Macie 执行自动敏感数据发现时，它会为其选择进行分析的每个 Amazon Simple Storage Service (Amazon S3) 对象创建分析记录。这些记录称为*敏感数据发现结果*，记录有关单个 S3 对象分析的详细信息。这包括 Macie 没有发现敏感数据的对象，以及 Macie 因错误或权限设置等问题而无法分析的对象。如果 Macie 在对象中发现敏感数据，敏感数据发现结果就会包含 Macie 发现的敏感数据的相关信息。敏感数据发现结果为您提供分析记录，这些记录可能有助于数据隐私和保护审计或调查。

Macie 仅将您的敏感数据发现结果存储 90 天。要访问结果并对其进行长期存储和保留，请将 Macie 配置为将结果存储在 S3 存储桶中。存储桶可以用作所有敏感数据发现结果的最终长期存储库。如果您是组织的 Macie 管理员，则此存储库中包括您为其启用自动敏感数据发现的成员账户的敏感数据发现结果。

要验证您是否配置了此存储库，请在 Amazon Macie 控制台的导航窗格中选择**发现结果**。如果您更喜欢以编程方式执行此操作，请使用 Amazon Macie API 的[GetClassificationExportConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/classification-export-configuration.html)操作。要详细了解敏感数据发现结果以及如何配置此存储库，请参阅 [存储和保留敏感数据发现结果](discovery-results-repository-s3.md)。

如果您配置了存储库，则当您首次启用自动敏感数据发现时，Macie 会在存储库中创建一个名为 `automated-sensitive-data-discovery` 的文件夹。此文件夹存储 Macie 在为您的账户或组织执行自动发现时创建的敏感数据发现结果。

如果您在多个区域中使用 Macie AWS 区域，请验证您是否为每个区域配置了存储库。

## 步骤 2：验证权限
<a name="discovery-asdd-account-configure-prereqs-perms"></a>

要验证您的权限，请使用 AWS Identity and Access Management (IAM) 查看附加到您的 IAM 身份的 IAM 策略。然后将这些策略中的信息与以下必须允许您执行的操作列表进行比较：
+ `macie2:GetMacieSession`
+ `macie2:UpdateAutomatedDiscoveryConfiguration`
+ `macie2:ListClassificationScopes`
+ `macie2:UpdateClassificationScope`
+ `macie2:ListSensitivityInspectionTemplates`
+ `macie2:UpdateSensitivityInspectionTemplate`

第一个操作允许您访问您的 Amazon Macie 账户。第二个操作允许您启用或禁用账户或组织的自动敏感数据发现。对于组织而言，它还允许您自动为组织中的账户启用自动发现功能。其余操作允许您识别和更改配置设置。

如果您计划使用 Amazon Macie 控制台查看或更改配置设置，还必须允许您执行以下操作：
+ `macie2:GetAutomatedDiscoveryConfiguration`
+ `macie2:GetClassificationScope`
+ `macie2:GetSensitivityInspectionTemplate`

通过这些操作，您可以检索当前的配置设置以及账户或组织的自动敏感数据发现的状态。如果您计划以编程方式更改配置设置，则执行这些操作的权限是可选的。

如果您是组织的 Macie 管理员，则还必须允许您执行以下操作：
+ `macie2:ListAutomatedDiscoveryAccounts`
+ `macie2:BatchUpdateAutomatedDiscoveryAccounts`

第一个操作允许您检索组织中单个账户的自动敏感数据发现的状态。第二个操作允许您启用或禁用组织中单个账户的自动发现功能。

如果不允许你执行必要的操作，请向 AWS 管理员寻求帮助。

## 后续步骤
<a name="discovery-asdd-account-configure-prereqs-next"></a>

完成上述任务后，就可以为账户或组织启用和配置设置：
+ [启用自动敏感数据发现](discovery-asdd-account-enable.md)
+ [配置自动敏感数据发现的设置](discovery-asdd-account-configure.md)

 

# 启用自动敏感数据发现
<a name="discovery-asdd-account-enable"></a>

当您启用自动敏感数据发现后，Amazon Macie 会开始评测您的 Amazon Simple Storage Service (Amazon S3) 清单，并在当前的 AWS 区域中为您的账户执行其他自动化发现活动。如果您是组织的 Macie 管理员，默认情况下，评估和活动包括成员账户拥有的 S3 存储桶。根据您的 Amazon S3 数据资产的大小，统计数据和其他结果可能会在 48 小时内开始显示。

启用自动敏感数据发现后，您可以配置设置，以完善 Macie 执行分析的范围和性质。这些设置指定了要从分析中排除的任何 S3 存储桶。它们还指定托管数据标识符、自定义数据标识符，以及 Macie 在分析 S3 对象时希望使用的允许列表。有关这些设置的信息，请参阅 [配置自动敏感数据发现的设置](discovery-asdd-account-configure.md)。如果您是组织的 Macie 管理员，则还可以通过为组织中的个人账户启用或禁用自动敏感数据发现来缩小分析范围 case-by-case。

要启用自动敏感数据发现，您必须是组织的 Macie 管理员或拥有独立的 Macie 账户。如果您在组织中拥有成员帐户，请与您的 Macie 管理员合作，为您的帐户启用自动敏感数据发现功能。

**启用自动敏感数据发现**  
如果您是组织的 Macie 管理员或拥有独立的 Macie 账户，则可以使用亚马逊 Macie 控制台或亚马逊 Macie API 启用自动发现敏感数据。如果您是第一次启用它，请先[完成先决任务](discovery-asdd-account-configure-prereqs.md)。这有助于确保您拥有所需的资源和权限。

------
#### [ Console ]

按照以下步骤使用 Amazon Macie 控制台启用自动发现敏感数据。

**启用自动敏感数据发现**

1. 打开亚马逊 Macie 主机，网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. 使用页面右上角的 AWS 区域 选择器，选择要在其中启用自动敏感数据发现的区域。

1. 在导航窗格的**设置**下，选择**自动敏感数据发现**。

1. 如果您有独立的 Macie 账户，请在**状态**部分选择**启用**。

1. 如果您是组织的 Macie 管理员，请在**状态**部分中选择一个选项，指定要启用自动敏感数据发现的账户：
   + 要为组织中的所有账户启用该功能，请选择**启用**。在随后显示的对话框中，选择**我的组织**。对于中的组织 AWS Organizations，请选择 “**为新帐户自动启**用”，以同时为随后加入您的组织的帐户自动启用该功能。完成后，选择**启用**。
   + 要只对特定的成员账户启用，请选择**管理账户**。然后，在 “**帐户**” 页面的表格中，选中要为其启用的每个帐户对应的复选框。完成后，在**操作**菜单上选择**启用自动敏感数据发现**。
   + 要只为 Macie 管理员账户启用该功能，请选择**启用**。在出现的对话框中，选择**我的账户**，然后清除**为新账户自动启用**。完成后，选择**启用**。

如果您在多个区域使用 Macie，并希望在其他区域启用自动敏感数据发现，请在每个其他区域重复上述步骤。

要随后检查或更改组织中各个帐户的自动敏感数据发现状态，请在导航窗格中选择**帐户**。在**账户**页面上，表中的**自动敏感数据发现**字段显示账户自动发现功能的当前状态。要更改账户的状态，请选中该账户的复选框。然后使用 “**操作**” 菜单启用或禁用账户的自动发现。

------
#### [ API ]

要以编程方式启用自动发现敏感数据，您有以下几种选择：
+ 要为 Macie 管理员帐户、组织或独立 Macie 账户启用该功能，请使用该[UpdateAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html)操作。或者，如果您使用的是 AWS Command Line Interface （AWS CLI），请运行 [update-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-automated-discovery-configuration.html) 命令。
+ 要仅为组织中的特定成员账户启用该功能，请使用[BatchUpdateAutomatedDiscoveryAccounts](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-accounts.html)操作。或者，如果您使用的是 AWS CLI，请运行 [batch-update-automated-discovery-accounts 命令](https://docs.aws.amazon.com/cli/latest/reference/macie2/batch-update-automated-discovery-accounts.html)。要为成员账户启用自动发现，必须先为管理员账户或组织启用自动发现。

其他选项和详细信息因您拥有的账户类型而异。

如果您是 Macie 管理员，请使用**UpdateAutomatedDiscoveryConfiguration**操作或运行**update-automated-discovery-configuration**命令为您的账户或组织启用自动敏感数据发现功能。在您的请求中，为 `status` 参数指定 `ENABLED`。对于`autoEnableOrganizationMembers`参数，请指定要为其启用该参数的帐户。如果您使用的是 AWS CLI，请使用`auto-enable-organization-members`参数指定帐户。有效值为：
+ `ALL`（默认）— 为组织中的所有账户启用该功能。这包括您的管理员帐户、现有成员帐户以及随后加入您的组织的帐户。
+ `NEW`— 为您的管理员帐户启用它。此外，还可为随后加入贵组织的账户自动启用该功能。如果您之前为组织启用了自动发现并指定了此值，则将继续为当前启用的现有成员帐户启用自动发现。
+ `NONE`— 仅为您的管理员帐户启用该功能。不要为随后加入贵组织的账户自动启用该功能。如果您之前为组织启用了自动发现并指定了此值，则将继续为当前启用的现有成员帐户启用自动发现。

如果要有选择地仅为特定成员帐户启用自动敏感数据发现，请指定`NEW`或`NONE`。然后，您可以使用该**BatchUpdateAutomatedDiscoveryAccounts**操作或运行**batch-update-automated-discovery-accounts**命令来启用账户的自动发现。

如果您有独立的 Macie 帐户，请使用该**UpdateAutomatedDiscoveryConfiguration**操作或运行**update-automated-discovery-configuration**命令为您的帐户启用自动敏感数据发现。在您的请求中，为 `status` 参数指定 `ENABLED`。对于`autoEnableOrganizationMembers`参数，请考虑您是否计划成为其他账户的 Macie 管理员，并指定相应的值。如果您指定`NONE`，则当您成为该帐户的 Macie 管理员时，不会自动为该帐户启用自动发现。如果您指定`ALL`或`NEW`，则会自动为该账户启用自动发现。如果您使用的是 AWS CLI，请使用`auto-enable-organization-members`参数为此设置指定相应的值。

以下示例说明如何使用为组织中的一个或多个账户启用自动敏感数据发现功能。 AWS CLI 第一个示例首次支持自动发现组织中的所有帐户。它允许自动发现 Macie 管理员帐户、所有现有成员帐户以及随后加入组织的所有帐户。

```
$ aws macie2 update-automated-discovery-configuration --status ENABLED --auto-enable-organization-members ALL --region us-east-1
```

哪个区域*us-east-1*是允许账户自动发现敏感数据的区域，即美国东部（弗吉尼亚北部）区域。如果请求成功，Macie 会启用账户的自动发现功能并返回空响应。

下一个示例将组织的成员启用设置更改为。`NONE`此次变更后，系统不会自动为随后加入该组织的账户启用自动敏感数据发现功能。取而代之的是，它仅适用于 Macie 管理员帐户以及当前为其启用的任何现有成员帐户。

```
$ aws macie2 update-automated-discovery-configuration --status ENABLED --auto-enable-organization-members NONE --region us-east-1
```

要更改设置的区域在哪里*us-east-1*，即美国东部（弗吉尼亚北部）区域。如果请求成功，Macie 会更新设置并返回空响应。

以下示例允许自动发现组织中的两个成员帐户的敏感数据。Macie 管理员已经为该组织启用了自动发现。此示例针对 Linux、macOS 或 Unix 进行格式化，并使用反斜杠 (\$1) 行继续符来提高可读性。

```
$ aws macie2 batch-update-automated-discovery-accounts \
--region us-east-1 \
--accounts '[{"accountId":"123456789012","status":"ENABLED"},{"accountId":"111122223333","status":"ENABLED"}]'
```

此示例针对 Microsoft Windows 进行格式化，并使用脱字号 (^) 行继续符来提高可读性。

```
C:\> aws macie2 batch-update-automated-discovery-accounts ^
--region us-east-1 ^
--accounts=[{\"accountId\":\"123456789012\",\"status\":\"ENABLED\"},{\"accountId\":\"111122223333\",\"status\":\"ENABLED\"}]
```

其中：
+ *us-east-1*是为指定账户启用自动敏感数据发现功能的区域，即美国东部（弗吉尼亚北部）区域。
+ *123456789012*并且*111122223333*是 IDs 用于启用自动敏感数据发现功能的帐户的帐户。

如果所有指定账户的请求均成功，Macie 将返回一个空`errors`数组。如果某些账户的请求失败，则数组会指定每个受影响账户发生的错误。例如：

```
"errors": [
    {
        "accountId": "123456789012",
        "errorCode": "ACCOUNT_PAUSED"
    }
]
```

在之前的响应中，对指定账户 (`123456789012`) 的请求失败，因为 Macie 当前已暂停该账户。要解决此错误，Macie 管理员必须先为该账户启用 Macie。

如果所有账户的请求都失败，您将收到一条描述所发生错误的消息。

------

# 配置自动敏感数据发现的设置
<a name="discovery-asdd-account-configure"></a>

如果为您的账户或组织启用自动敏感数据发现，您可以调整自动发现设置，以完善 Amazon Macie 执行的分析。这些设置指定要从分析中排除的亚马逊简单存储服务 (Amazon S3) Service 存储桶。它们还指定了要检测和报告的敏感数据的类型和产生——托管数据标识符、自定义数据标识符，以及分析 S3 对象时要使用的允许列表。

默认情况下，Macie 会对您账户的所有 S3 通用存储桶执行自动敏感数据发现。如果您是组织的 Macie 管理员，则这包括您的成员账户拥有的存储桶。您可以将特定的存储桶排除在分析之外。例如，您可以排除通常存储 AWS 日志数据的存储桶，例如 AWS CloudTrail 事件日志。如果您排除了某个存储桶，可以随后再次将其包括在内。

此外，Macie 仅使用我们推荐用于自动敏感数据发现的一组托管数据标识符来分析 S3 对象。Macie 不使用您定义的自定义数据标识符或允许列表。要自定义分析，您可以添加或删除特定的托管数据标识符、自定义数据标识符和允许列表。

如果您更改了设置，Macie 会在下一个评估和分析周期开始时应用您的更改，通常在 24 小时内。此外，您的更改仅适用于当前 AWS 区域。要在其他区域进行相同的更改，请在每个其他区域中重复适用的步骤。

**Topics**
+ [组织的配置选项](#discovery-asdd-configure-options-orgs)
+ [排除或包含 S3 存储桶](#discovery-asdd-account-configure-s3buckets)
+ [正在添加或删除托管数据标识符](#discovery-asdd-account-configure-mdis)
+ [正在添加或删除自定义数据标识符](#discovery-asdd-account-configure-cdis)
+ [正在添加或删除允许列表](#discovery-asdd-account-configure-als)

**注意**  
要配置自动敏感数据发现的设置，您必须是组织的 Macie 管理员或拥有独立的 Macie 账户。如果您的帐户是组织的一部分，则只有您组织的 Macie 管理员才能配置和管理组织中帐户的设置。如果您拥有成员账户，请联系您的 Macie 管理员，了解您的账户和组织的设置。

## 组织的配置选项
<a name="discovery-asdd-configure-options-orgs"></a>

如果账户属于集中管理多个 Amazon Macie 账户的组织，则该组织的 Macie 管理员会配置和管理组织内账户的自动敏感数据发现。这包括定义 Macie 对账户执行分析的范围和性质的设置。成员无法访问自己账户的这些设置。

如果您是组织的 Macie 管理员，则可以通过多种方式定义分析范围：
+ **自动为账户启用自动敏感数据发现**-启用自动发现敏感数据时，您可以指定是为所有现有账户和新成员帐户启用自动发现功能，还是仅为新成员帐户启用自动发现功能，还是不为成员帐户启用自动发现敏感数据。如果您为新成员账户启用该功能，则当该账户在 Macie 中加入您的组织时，系统会自动为该账户启用该功能。如果账户启用了该功能，则 Macie 就会包含该账户拥有的 S3 存储桶。如果账户禁用了该功能，Macie 将排除该账户拥有的存储桶。
+ **有选择地为帐户启用自动敏感数据发现**-使用此选项，您可以 case-by-case逐个启用或禁用个人帐户的自动敏感数据发现。如果您为账户启用该功能，则 Macie 会包含该账户拥有的 S3 存储桶。如果您没有为账户启用该功能或禁用了该功能，Macie 会排除该账户拥有的存储桶。
+ **将特定的 S3 存储桶排除在自动敏感数据发现**之外 — 如果您为账户启用自动敏感数据发现，则可以排除该账户拥有的特定 S3 存储桶。然后，Macie 在执行自动发现时会跳过存储桶。要排除特定的存储桶，请将其添加到管理员账户配置设置的排除列表中。您可以为您的组织排除多达 1000 个存储桶。

默认情况下，会自动为组织中的所有新账户和现有账户启用自动敏感数据发现。此外，Macie 还包括账户拥有的所有 S3 存储桶。如果您保留默认设置，则意味着 Macie 会自动发现您的管理员账户的所有存储分区，其中包括您的成员账户拥有的所有存储分区。

作为 Macie 管理员，您还可以定义 Macie 为您的组织执行的分析的性质。为此，您需要为管理员账户配置其他设置——您希望 Macie 在分析 S3 对象时使用的托管数据标识符、自定义数据标识符以及允许列表。Macie 在分析组织中其他账户的 S3 对象时，会使用您的管理员账户的设置。

## 在自动敏感数据发现中排除或包含 S3 存储桶
<a name="discovery-asdd-account-configure-s3buckets"></a>

默认情况下，Amazon Macie 会对您账户的所有 S3 通用存储桶执行自动敏感数据发现。如果您是组织的 Macie 管理员，则这包括您的成员账户拥有的存储桶。

要缩小范围，您可以从分析中排除多达 1000 个 S3 存储桶。如果您排除了存储桶，则 Macie 会在执行自动敏感数据发现时停止选择和分析该存储桶中的对象。该存储桶的现有敏感数据发现统计数据和详细信息将保留。例如，存储桶的当前敏感度分数保持不变。排除了某个存储桶后，您可以随后再次将其包括在内。

**在自动敏感数据发现中排除或包含 S3 存储桶**  
您可以使用 Amazon Macie 控制台或 Amazon Macie API 排除或随后包含 S3 存储桶。

------
#### [ Console ]

按照以下步骤使用 Amazon Macie 控制台排除或随后包含一个 S3 存储桶。

**要排除或包含 S3 存储桶**

1. 打开亚马逊 Macie 主机，网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. 使用页面右上角的 AWS 区域 选择器，选择要在分析中排除或包含特定 S3 存储桶的区域。

1. 在导航窗格的**设置**下，选择**自动敏感数据发现**。

   将出现**自动化敏感数据发现**页面，并显示您的当前设置。在该页面上，**S3 存储桶**部分列出了当前被排除的 S3 存储桶，或者显示当前包含的所有存储桶。

1. 在** S3 存储桶**部分中，选择 **编辑**。

1. 请执行以下操作之一：
   + 要排除一个或多个 S3 存储桶，请选择 **将存储桶添加到排除列表**。然后，在 S3 **存储桶**表中，选中要排除的每个存储桶对应的复选框。下表列出了您的账户或组织在当前区域中的所有通用存储桶。
   + 要包含您之前排除的一个或多个 S3 存储桶，请选择 **从排除列表中删除存储桶**。然后，在 S3 **存储桶**表中，选中要包含的每个存储桶对应的复选框。该表列出了当前被排除在分析之外的所有存储桶。

   要更轻松地查找特定存储桶，请在表格上方的搜索框中输入搜索条件。您还可以通过选择列标题对表格进行排序。

1. 选择完存储桶后，根据您在上一步中选择的选项，选择**添加**或**移除**。

**提示**  
在控制台上查看存储桶详细信息时，您也可以 case-by-case根据需要排除或包含单个 S3 存储桶。为此，请在 **S3 存储桶**页面上选择存储桶。然后，在详细信息面板中，更改存储桶的**从自动发现中排除**设置。

------
#### [ API ]

要以编程方式排除或随后包含 S3 存储桶，请使用 Amazon Macie API 更新账户的分类范围。分类范围指定了您不希望 Macie 在执行自动敏感数据发现时对其进行分析的存储桶。它定义了用于自动发现的存储桶排除列表。

更新分类范围时，您可以指定是在排除列表中添加或删除单个存储桶，还是使用新列表覆盖当前列表。因此，最好先检索并查看您当前的列表。要检索列表，请使用[GetClassificationScope](https://docs.aws.amazon.com/macie/latest/APIReference/classification-scopes-id.html)操作。如果您使用的是 AWS Command Line Interface (AWS CLI)，请运行[get-classification-scope](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-classification-scope.html)命令来检索列表。

要检索或更新分类范围，必须指定其唯一标识符 (`id`)。您可以使用[GetAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html)操作获取此标识符。此操作会检索您当前的配置设置，以便自动发现敏感数据，包括当前 AWS 区域账户分类范围的唯一标识符。如果您使用的是 AWS CLI，请运行[get-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-automated-discovery-configuration.html)命令来检索此信息。

当您准备好更新分类范围时，请使用[UpdateClassificationScope](https://docs.aws.amazon.com/macie/latest/APIReference/classification-scopes-id.html)操作，或者，如果您正在使用 AWS CLI，则运行[update-classification-scope](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-classification-scope.html)命令。在您的请求中，使用支持的参数在后续分析中排除或包含 S3 存储桶：
+ 要排除一个或多个存储桶，请为`bucketNames`参数指定每个存储桶的名称。对于 `operation` 参数，请指定 `ADD`。
+ 要包含您之前排除的一个或多个存储桶，请为`bucketNames`参数指定每个存储桶的名称。对于 `operation` 参数，请指定 `REMOVE`。
+ 要使用要排除的新存储桶列表覆盖当前列表，请`REPLACE`为参数指定。`operation`在`bucketNames`参数中，指定要排除的每个存储桶的名称。

`bucketNames`参数的每个值都必须是当前区域中现有通用存储桶的全名。值区分大小写。如果您的请求成功，Macie 会更新分类范围并返回空响应。

以下示例说明如何使用更新账户的分类范围。 AWS CLI 第一组示例将两个 S3 存储桶（*amzn-s3-demo-bucket1*和*amzn-s3-demo-bucket2*）排除在后续分析之外。它会将存储桶添加到要排除的存储桶列表中。

此示例针对 Linux、macOS 或 Unix 进行格式化，并使用反斜杠 (\$1) 行继续符来提高可读性。

```
$ aws macie2 update-classification-scope \
--id 117aff7ed76b59a59c3224ebdexample \
--s3 '{"excludes":{"bucketNames":["amzn-s3-demo-bucket1","amzn-s3-demo-bucket2"],"operation": "ADD"}}'
```

此示例针对 Microsoft Windows 进行格式化，并使用脱字号 (^) 行继续符来提高可读性。

```
C:\> aws macie2 update-classification-scope ^
--id 117aff7ed76b59a59c3224ebdexample ^
--s3={\"excludes\":{\"bucketNames\":[\"amzn-s3-demo-bucket1\",\"amzn-s3-demo-bucket2\"],\"operation\":\"ADD\"}}
```

下一组示例将在后续分析中包括存储桶（*amzn-s3-demo-bucket1*和*amzn-s3-demo-bucket2*）。它会将存储桶从要排除的存储桶列表中移除。对于 Linux、macOS 或 Unix：

```
$ aws macie2 update-classification-scope \
--id 117aff7ed76b59a59c3224ebdexample \
--s3 '{"excludes":{"bucketNames":["amzn-s3-demo-bucket1","amzn-s3-demo-bucket2"],"operation": "REMOVE"}}'
```

对于 Microsoft Windows：

```
C:\> aws macie2 update-classification-scope ^
--id 117aff7ed76b59a59c3224ebdexample ^
--s3={\"excludes\":{\"bucketNames\":[\"amzn-s3-demo-bucket1\",\"amzn-s3-demo-bucket2\"],\"operation\":\"REMOVE\"}}
```

以下示例将覆盖当前列表，并将其替换为要排除的 S3 存储桶的新列表。新列表指定了三个要排除的存储桶：*amzn-s3-demo-bucket**amzn-s3-demo-bucket2*、和。*amzn-s3-demo-bucket3*对于 Linux、macOS 或 Unix：

```
$ aws macie2 update-classification-scope \
--id 117aff7ed76b59a59c3224ebdexample \
--s3 '{"excludes":{"bucketNames":["amzn-s3-demo-bucket","amzn-s3-demo-bucket2","amzn-s3-demo-bucket3"],"operation": "REPLACE"}}'
```

对于 Microsoft Windows：

```
C:\> aws macie2 update-classification-scope ^
--id 117aff7ed76b59a59c3224ebdexample ^
--s3={\"excludes\":{\"bucketNames\":[\"amzn-s3-demo-bucket\",\"amzn-s3-demo-bucket2\",\"amzn-s3-demo-bucket3\"],\"operation\":\"REPLACE\"}}
```

------

## 在自动敏感数据发现中添加或删除托管数据标识符
<a name="discovery-asdd-account-configure-mdis"></a>

*托管数据标识符*是一组内置标准和技术，旨在检测特定类型的敏感数据，例如信用卡号、 AWS 秘密访问密钥或特定国家或地区的护照号码。默认情况下，Amazon Macie 使用我们推荐用于自动敏感数据发现的一组托管数据标识符来分析 S3 对象。要查看这些标识符的列表，请参阅 [自动敏感数据发现的默认设置](discovery-asdd-settings-defaults.md)。

您可以定制分析，将重点放在特定类型的敏感数据上：
+ 为您希望 Macie 检测和报告的敏感数据类型添加托管数据标识符，以及
+ 为您不希望 Macie 检测和报告的敏感数据类型删除托管数据标识符。

有关 Macie 当前提供的所有托管数据标识符的完整列表以及每个标识符的详细信息，请参阅[使用托管数据标识符](managed-data-identifiers.md)。

如果您删除某个托管数据标识符，则您的更改不会影响 S3 存储桶的现有敏感数据发现统计数据和详细信息。例如，如果您删除了用于检测 AWS 秘密访问密钥的托管数据标识符，而 Macie 之前在存储桶中检测到了该数据，Macie 将继续报告这些检测结果。但是，与其删除标识符，影响随后对所有存储桶的分析，不如考虑只从特定存储桶的敏感度分数中排除其检测结果。有关更多信息，请参阅 [调整 S3 存储桶的敏感度分数](discovery-asdd-s3bucket-manage.md)。

**在自动敏感数据发现中添加或删除托管数据标识符**  
您可以使用亚马逊 Macie 控制台或亚马逊 Macie API 添加或删除托管数据标识符。

------
#### [ Console ]

按照以下步骤使用 Amazon Macie 控制台添加或删除托管数据标识符。

**要添加或删除托管数据标识符**

1. 打开亚马逊 Macie 主机，网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. 使用页面右上角的 AWS 区域 选择器，选择要在其中添加托管数据标识符或从分析中移除托管数据标识符的区域。

1. 在导航窗格的**设置**下，选择**自动敏感数据发现**。

   将出现**自动化敏感数据发现**页面，并显示您的当前设置。在该页面上，**托管数据标识符**部分显示您当前的设置，分为两个选项卡：
   + **已添加到默认设置**‬：此选项卡列出了您添加的托管数据标识符。除了默认设置中的且您尚未删除的标识符外，Macie 还使用这些标识符。
   + **已从默认设置中删除**‬：此选项卡列出了您删除的托管数据标识符。Macie 不使用这些标识符。

1. 在**托管数据标识符**部分中，选择**编辑**。

1. 执行以下任一操作：
   + 要添加一个或多个托管数据标识符，请选择**已添加到默认设置**选项卡。然后，在表中，选中要添加的每个托管数据标识符对应的复选框。如果已选中某个复选框，则表示您已经添加了该标识符。
   + 要删除一个或多个托管数据标识符，请选择**从默认设置中移除**选项卡。然后，在表中，选中要删除的每个托管数据标识符对应的复选框。如果已选中某个复选框，则表示您已经删除了该标识符。

   在每个选项卡上，该表显示了 Macie 当前提供的所有托管数据标识符的列表。在表中，第一列指定了每个托管数据标识符的 ID。该 ID 描述了该标识符旨在检测的敏感数据类型，例如，用于检测美国护照号码的 **USA\$1PASSPORT\$1NUMBER**。要更轻松地查找特定的托管数据标识符，请在表格上方的搜索框中输入搜索条件。您还可以通过选择列标题对表格进行排序。

1. 完成后，选择**保存**。

------
#### [ API ]

要以编程方式添加或删除托管数据标识符，请使用 Amazon Macie API 更新账户的敏感度检查模板。该模板存储的设置除了默认集中的标识符外，还指定要使用（*包括*）哪些托管数据标识符。它们还指定不使用（*排除*）的托管数据标识符。这些设置还会指定您希望 Macie 使用的任何自定义数据标识符和允许列表。

更新模板时，会覆盖其当前设置。因此，最好先检索当前设置并确定要保留哪些设置。要检索您的当前设置，请使用[GetSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html)操作。如果您使用的是 AWS Command Line Interface (AWS CLI)，请运行[get-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitivity-inspection-template.html)命令来检索设置。

要检索或更新模板，必须指定其唯一标识符 (`id`)。您可以使用[GetAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html)操作获取此标识符。此操作会检索您当前用于自动发现敏感数据的配置设置，包括当前 AWS 区域账户敏感度检查模板的唯一标识符。如果您使用的是 AWS CLI，请运行[get-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-automated-discovery-configuration.html)命令来检索此信息。

当您准备好更新模板时，请使用[UpdateSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html)操作，或者，如果您正在使用 AWS CLI，则运行[update-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-sensitivity-inspection-template.html)命令。在您的请求中，使用相应的参数在后续分析中添加或删除一个或多个托管数据标识符：
+ 要开始使用托管数据标识符，请为`managedDataIdentifierIds`参数的`includes`参数指定其 ID。
+ 要停止使用托管数据标识符，请为`managedDataIdentifierIds`参数的`excludes`参数指定其 ID。
+ 要恢复默认设置，请不要 IDs 为`includes`和`excludes`参数指定任何设置。然后，Macie 开始仅使用默认集中的托管数据标识符。

除了托管数据标识符的参数外，还可以使用相应的`includes`参数来指定希望 Macie 使用的任何自定义数据标识符 (`customDataIdentifierIds``allowListIds`) 和允许列表 ()。此外，请指定您的请求适用的区域。如果您的请求成功，Macie 会更新模板并返回空响应。

以下示例说明如何使用更新账户的敏感度检查模板。 AWS CLI 这些示例添加了一个托管数据标识符，并从后续分析中删除了另一个托管数据标识符。它们还会维护当前的设置，即指定要使用的两个自定义数据标识符。

此示例针对 Linux、macOS 或 Unix 进行格式化，并使用反斜杠 (\$1) 行继续符来提高可读性。

```
$ aws macie2 update-sensitivity-inspection-template \
--id fd7b6d71c8006fcd6391e6eedexample \
--excludes '{"managedDataIdentifierIds":["UK_ELECTORAL_ROLL_NUMBER"]}' \
--includes '{"managedDataIdentifierIds":["STRIPE_CREDENTIALS"],"customDataIdentifierIds":["3293a69d-4a1e-4a07-8715-208ddexample","6fad0fb5-3e82-4270-bede-469f2example"]}'
```

此示例针对 Microsoft Windows 进行格式化，并使用脱字号 (^) 行继续符来提高可读性。

```
C:\> aws macie2 update-sensitivity-inspection-template ^
--id fd7b6d71c8006fcd6391e6eedexample ^
--excludes={\"managedDataIdentifierIds\":[\"UK_ELECTORAL_ROLL_NUMBER\"]} ^
--includes={\"managedDataIdentifierIds\":[\"STRIPE_CREDENTIALS\"],\"customDataIdentifierIds\":[\"3293a69d-4a1e-4a07-8715-208ddexample\",\"6fad0fb5-3e82-4270-bede-469f2example\"]}
```

其中：
+ *fd7b6d71c8006fcd6391e6eedexample*是要更新的灵敏度检查模板的唯一标识符。
+ *UK\$1ELECTORAL\$1ROLL\$1NUMBER*是要停止使用的托管数据标识符的 ID（*排除*）。
+ *STRIPE\$1CREDENTIALS*是要开始使用的托管数据标识符的 ID（*包括*）。
+ *3293a69d-4a1e-4a07-8715-208ddexample*并且*6fad0fb5-3e82-4270-bede-469f2example*是自定义数据标识符使用的唯一标识符。

------

## 在自动敏感数据发现中添加或删除自定义数据标识符
<a name="discovery-asdd-account-configure-cdis"></a>

*自定义数据标识符*是您为检测敏感数据定义的一组标准。标准由定义要匹配的文本模式的正则表达式（*regex*）和可选的字符序列以及优化结果的邻近规则组成。要了解更多信息，请参阅[构建自定义数据标识符](custom-data-identifiers.md)。

默认情况下，Amazon Macie 在执行自动敏感数据发现时不使用自定义数据标识符。如果您希望 Macie 使用特定的自定义数据标识符，则可以将其添加到后续分析中。然后，除了您配置 Macie 使用的任何托管数据标识符之外，Macie 使用自定义数据标识符。

如果您添加了自定义数据标识符，则可以之后将其删除。您的更改不会影响 S3 存储桶的现有敏感数据发现统计数据和详细信息。例如，如果您删除了之前为某个存储桶生成检测结果的自定义数据标识符，Macie 仍会继续报告这些检测结果。但是，与其删除标识符，影响随后对所有存储桶的分析，不如考虑只从特定存储桶的敏感度分数中排除其检测结果。有关更多信息，请参阅 [调整 S3 存储桶的敏感度分数](discovery-asdd-s3bucket-manage.md)。

**在自动敏感数据发现中添加或删除自定义数据标识符**  
您可以使用亚马逊 Macie 控制台或亚马逊 Macie API 添加或删除自定义数据标识符。

------
#### [ Console ]

按照以下步骤使用 Amazon Macie 控制台添加或删除自定义数据标识符。

**要添加或删除自定义数据标识符**

1. 打开亚马逊 Macie 主机，网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. 使用页面右上角的 AWS 区域 选择器，选择要在其中添加或从分析中删除自定义数据标识符的区域。

1. 在导航窗格的**设置**下，选择**自动敏感数据发现**。

   将出现**自动化敏感数据发现**页面，并显示您的当前设置。在该页面上，**自定义数据标识符**部分列出了您添加的自定义数据标识符，或者显示您尚未添加任何自定义数据标识符。

1. 在**自定义数据标识符**部分中，选择**编辑**。

1. 执行以下任一操作：
   + 要添加一个或多个自定义数据标识符，请选中要添加的每个自定义数据标识符对应的复选框。如果已选中某个复选框，则表示您已经添加了该标识符。
   + 要移除一个或多个自定义数据标识符，请清除要删除的每个自定义数据标识符对应的复选框。如果复选框已被清除，则 Macie 当前不使用该标识符。
**提示**  
要在添加或删除自定义数据标识符之前查看或测试其设置，请选择该标识符名称旁边的链接图标 (![\[The link icon, which is a blue box that has an arrow in it.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-external-link.png))。Macie 会打开一个显示标识符设置的页面。要同时使用样本数据测试标识符，请在该页面的**样本数据**框中输入最多包含 1000 个字符的文本。然后选择**测试**。Macie 评估示例数据并报告匹配项的数量。

1. 完成后，选择**保存**。

------
#### [ API ]

要以编程方式添加或删除自定义数据标识符，请使用 Amazon Macie API 更新账户的敏感度检查模板。该模板存储的设置用于指定您希望 Macie 在执行自动敏感数据发现时使用哪些自定义数据标识符。这些设置还指定要使用哪些托管数据标识符和允许列表。

更新模板时，会覆盖其当前设置。因此，最好先检索当前设置并确定要保留哪些设置。要检索您的当前设置，请使用[GetSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html)操作。如果您使用的是 AWS Command Line Interface (AWS CLI)，请运行[get-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitivity-inspection-template.html)命令来检索设置。

要检索或更新模板，必须指定其唯一标识符 (`id`)。您可以使用[GetAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html)操作获取此标识符。此操作会检索您当前用于自动发现敏感数据的配置设置，包括当前 AWS 区域账户敏感度检查模板的唯一标识符。如果您使用的是 AWS CLI，请运行[get-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-automated-discovery-configuration.html)命令来检索此信息。

当您准备好更新模板时，请使用[UpdateSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html)操作，或者，如果您正在使用 AWS CLI，则运行[update-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-sensitivity-inspection-template.html)命令。在您的请求中，使用`customDataIdentifierIds`参数在后续分析中添加或删除一个或多个自定义数据标识符：
+ 要开始使用自定义数据标识符，请为参数指定其唯一标识符。
+ 要停止使用自定义数据标识符，请在参数中省略其唯一标识符。

使用其他参数来指定希望 Macie 使用的托管数据标识符和允许列表。此外，请指定您的请求适用的区域。如果您的请求成功，Macie 会更新模板并返回空响应。

以下示例说明如何使用更新账户的敏感度检查模板。 AWS CLI 这些示例为后续分析添加了两个自定义数据标识符。他们还维护当前的设置，这些设置指定了哪些托管数据标识符和允许列表：使用默认的托管数据标识符集和一个允许列表。

此示例针对 Linux、macOS 或 Unix 进行格式化，并使用反斜杠 (\$1) 行继续符来提高可读性。

```
$ aws macie2 update-sensitivity-inspection-template \
--id fd7b6d71c8006fcd6391e6eedexample \
--includes '{"allowListIds":["nkr81bmtu2542yyexample"],"customDataIdentifierIds":["3293a69d-4a1e-4a07-8715-208ddexample","6fad0fb5-3e82-4270-bede-469f2example"]}'
```

此示例针对 Microsoft Windows 进行格式化，并使用脱字号 (^) 行继续符来提高可读性。

```
C:\> aws macie2 update-sensitivity-inspection-template ^
--id fd7b6d71c8006fcd6391e6eedexample ^
--includes={\"allowListIds\":[\"nkr81bmtu2542yyexample\"],\"customDataIdentifierIds\":[\"3293a69d-4a1e-4a07-8715-208ddexample\",\"6fad0fb5-3e82-4270-bede-469f2example\"]}
```

其中：
+ *fd7b6d71c8006fcd6391e6eedexample*是要更新的灵敏度检查模板的唯一标识符。
+ *nkr81bmtu2542yyexample*是允许列表使用的唯一标识符。
+ *3293a69d-4a1e-4a07-8715-208ddexample*并且*6fad0fb5-3e82-4270-bede-469f2example*是自定义数据标识符使用的唯一标识符。

------

## 在自动发现敏感数据时添加或删除允许列表
<a name="discovery-asdd-account-configure-als"></a>

在 Amazon Macie 中，允许列表定义了您希望 Macie 在检查 S3 对象中是否存在敏感数据时忽略的特定文本或文本模式。如果文本与允许列表中的条目或模式相匹配，则 Macie 不会报告该文本。即使文本符合托管或自定义数据标识符的标准，情况也是如此。要了解更多信息，请参阅[使用允许列表定义敏感数据例外](allow-lists.md)。

默认情况下，Macie 在执行自动敏感数据发现时不使用允许列表。如果您希望 Macie 使用特定的允许列表，则可以将其添加到后续分析中。如果您添加了允许列表，则可以之后将其删除。

**在自动敏感数据发现中添加或删除允许列表**  
您可以使用亚马逊 Macie 控制台或亚马逊 Macie API 添加或删除允许列表。

------
#### [ Console ]

按照以下步骤使用 Amazon Macie 控制台添加或删除允许列表。

**要添加或删除允许列表**

1. 打开亚马逊 Macie 主机，网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. 使用页面右上角的选择 AWS 区域 器，选择要在其中添加或删除分析允许列表的区域。

1. 在导航窗格的**设置**下，选择**自动敏感数据发现**。

   将出现**自动化敏感数据发现**页面，并显示您的当前设置。在该页面上，**允许列表**部分指定了您已添加的允许列表，或者显示您尚未添加任何允许列表。

1. 在**允许列表**部分中选择**编辑**。

1. 执行以下任一操作：
   + 要添加一个或多个允许列表，请选中要添加的每个允许列表对应的复选框。如果已选中某个复选框，则表示您已经添加了该列表。
   + 要删除一个或多个允许列表，请清除要删除的每个允许列表对应的复选框。如果某个复选框已被清除，则 Macie 当前不使用该列表。
**提示**  
要在添加或删除允许列表之前查看其设置，请选择列表名称旁边的链接图标 (![\[The link icon, which is a blue box that has an arrow in it.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-external-link.png))。Macie 会打开一个显示列表设置的页面。如果列表指定了正则表达式 (*regex*)，您也可以使用此页使用示例数据测试正则表达式。为此，请在**示例数据**框中输入最多包含 1,000 个字符的文本，然后选择**测试**。Macie 评估示例数据并报告匹配项的数量。

1. 完成后，选择**保存**。

------
#### [ API ]

要以编程方式添加或删除允许名单，请使用 Amazon Macie API 更新账户的敏感度检查模板。该模板存储的设置用于指定您希望 Macie 在执行自动敏感数据发现时使用哪些允许列表。这些设置还指定要使用的托管数据标识符和自定义数据标识符。

更新模板时，会覆盖其当前设置。因此，最好先检索当前设置并确定要保留哪些设置。要检索您的当前设置，请使用[GetSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html)操作。如果您使用的是 AWS Command Line Interface (AWS CLI)，请运行[get-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitivity-inspection-template.html)命令来检索设置。

要检索或更新模板，必须指定其唯一标识符 (`id`)。您可以使用[GetAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html)操作获取此标识符。此操作会检索您当前用于自动发现敏感数据的配置设置，包括当前 AWS 区域账户敏感度检查模板的唯一标识符。如果您使用的是 AWS CLI，请运行[get-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-automated-discovery-configuration.html)命令来检索此信息。

当您准备好更新模板时，请使用[UpdateSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html)操作，或者，如果您正在使用 AWS CLI，则运行[update-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-sensitivity-inspection-template.html)命令。在您的请求中，使用`allowListIds`参数在后续分析中添加或删除一个或多个允许列表：
+ 要开始使用允许列表，请为参数指定其唯一标识符。
+ 要停止使用允许列表，请在参数中省略其唯一标识符。

使用其他参数来指定希望 Macie 使用的托管数据标识符和自定义数据标识符。此外，请指定您的请求适用的区域。如果您的请求成功，Macie 会更新模板并返回空响应。

以下示例说明如何使用更新账户的敏感度检查模板。 AWS CLI 这些示例为后续分析添加了允许列表。他们还保留当前的设置，这些设置指定要使用的托管数据标识符和自定义数据标识符：使用默认的托管数据标识符集和两个自定义数据标识符。

此示例针对 Linux、macOS 或 Unix 进行格式化，并使用反斜杠 (\$1) 行继续符来提高可读性。

```
$ aws macie2 update-sensitivity-inspection-template \
--id fd7b6d71c8006fcd6391e6eedexample \
--includes '{"allowListIds":["nkr81bmtu2542yyexample"],"customDataIdentifierIds":["3293a69d-4a1e-4a07-8715-208ddexample","6fad0fb5-3e82-4270-bede-469f2example"]}'
```

此示例针对 Microsoft Windows 进行格式化，并使用脱字号 (^) 行继续符来提高可读性。

```
C:\> aws macie2 update-sensitivity-inspection-template ^
--id fd7b6d71c8006fcd6391e6eedexample ^
--includes={\"allowListIds\":[\"nkr81bmtu2542yyexample\"],\"customDataIdentifierIds\":[\"3293a69d-4a1e-4a07-8715-208ddexample\",\"6fad0fb5-3e82-4270-bede-469f2example\"]}
```

其中：
+ *fd7b6d71c8006fcd6391e6eedexample*是要更新的灵敏度检查模板的唯一标识符。
+ *nkr81bmtu2542yyexample*是允许列表使用的唯一标识符。
+ *3293a69d-4a1e-4a07-8715-208ddexample*并且*6fad0fb5-3e82-4270-bede-469f2example*是自定义数据标识符使用的唯一标识符。

------

# 正在禁用自动敏感数据发现
<a name="discovery-asdd-account-disable"></a>

您可以随时禁用账户或组织的自动敏感数据发现。如果您这样做，Amazon Macie 会在后续的评估和分析周期开始之前（通常在 48 小时内），停止对账户或组织执行所有自动发现活动。其他影响也各不相同：
+ 如果您是 Macie 管理员，并且您组织中的单个账户禁用了该功能，您和该账户仍可继续访问所有统计数据、库存数据以及 Macie 在为该账户执行自动发现时生成和直接提供的其他信息。您可以再次启用账户的自动发现功能。然后 Macie 会恢复您账户的所有自动化发现活动。
+ 如果您是 Macie 管理员，并为您的组织禁用了该功能，则您和组织中的账户将无法访问所有统计数据、库存数据以及 Macie 在为您的组织执行自动发现时生成和直接提供的其他信息。例如，您的 S3 存储桶清单不再包括敏感度可视化或分析统计数据。您可以随后再次为您的组织启用自动发现功能。然后，Macie 会恢复组织内账户的所有自动发现活动。如果您在 30 天内重新启用，您和账户将可以重新访问 Macie 之前在执行自动发现时生成和直接提供的数据和信息。如果您未在 30 天内重新启用，Macie 会永久删除这些数据和信息。
+ 如果您对独立的 Macie 账户禁用该功能，您将无法访问所有统计数据、库存数据以及 Macie 在对您的账户进行自动发现时生成和直接提供的其他信息。如果您未在 30 天内重新启用，Macie 会永久删除这些数据和信息。

您可以在为账户或组织执行自动敏感数据发现时继续访问 Macie 生成的敏感数据调查发现。Macie 会将调查发现存储 90 天。Macie 还会保留您的自动发现配置设置。此外，您存储或发布给他人的数据保持不 AWS 服务 变，不受影响，例如在 Amazon S3 中发现敏感数据和在 Amazon 中查找事件 EventBridge。

**要禁用自动敏感数据发现**  
如果您是组织的 Macie 管理员或拥有独立的 Macie 账户，则可以使用亚马逊 Macie 控制台或亚马逊 Macie API 禁用自动发现敏感数据。如果您拥有组织中的成员账户，请联系您的 Macie 管理员，为您的账户禁用自动发现功能。只有您的 Macie 管理员才能为您的帐户禁用自动发现功能。

------
#### [ Console ]

按照以下步骤使用 Amazon Macie 控制台禁用自动发现敏感数据。

**要禁用自动敏感数据发现**

1. 打开亚马逊 Macie 主机，网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. 使用页面右上角的选择 AWS 区域 器，选择要禁用自动敏感数据发现的区域。

1. 在导航窗格的**设置**下，选择**自动敏感数据发现**。

1. 如果您是组织的 Macie 管理员，请在**状态**部分中选择一个选项，指定要禁用自动敏感数据发现的账户：
   + 要只对特定的成员账户禁用，请选择**管理账户**。然后，在 “**帐户**” 页面的表格中，选中要为其禁用的每个帐户对应的复选框。完成后，在**操作**菜单上选择**禁用自动敏感数据发现**。
   + 要只为 Macie 管理员账户禁用该功能，请选择**禁用**。在出现的对话框中，选择**我的账户**，然后选择**禁用**。
   + 要对组织中的所有账户以及整个组织禁用该功能，请选择**禁用**。在出现的对话框中，选择**我的组织**，然后选择**禁用**。

1. 如果您有独立的 Macie 账户，请在**状态**部分选择**禁用**。

如果您在多个区域使用 Macie，并希望在其他区域禁用自动敏感数据发现，请在每个其他区域重复上述步骤。

------
#### [ API ]

使用 Amazon Macie API，您可以通过两种方式禁用自动发现敏感数据。如何将其禁用在一定程度上取决于您拥有的帐户类型。如果你是某个组织的 Macie 管理员，这还取决于你是想仅为特定的成员账户禁用自动发现，还是要为整个组织禁用自动发现。如果您为组织禁用该功能，则会对当前属于您的组织的所有帐户禁用该功能。如果随后有其他账户加入您的组织，则这些账户的自动发现功能也会被禁用。

要禁用组织或独立 Macie 账户的自动敏感数据发现，请使用该[UpdateAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html)操作。或者，如果您使用的是 AWS Command Line Interface （AWS CLI），请运行 [update-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-automated-discovery-configuration.html) 命令。在您的请求中，为 `status` 参数指定 `DISABLED`。

要仅对组织中的特定成员帐户禁用自动发现敏感数据，请使用该[BatchUpdateAutomatedDiscoveryAccounts](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-accounts.html)操作。或者，如果您使用的是 AWS CLI，请运行 [batch-update-automated-discovery-accounts 命令](https://docs.aws.amazon.com/cli/latest/reference/macie2/batch-update-automated-discovery-accounts.html)。在您的请求中，使用`accountId`参数为要禁用自动发现功能的账户指定账户 ID。对于 `status` 参数，请指定 `DISABLED`。要禁用账户的自动发现，当前必须为该账户启用 Macie。

以下示例说明如何使用禁用组织中一个或多个账户的自动敏感数据发现。 AWS CLI 第一个示例为组织禁用自动发现。它会禁用 Macie 管理员帐户和组织中所有成员帐户的自动发现。

```
$ aws macie2 update-automated-discovery-configuration --status DISABLED --region us-east-1
```

哪个区域*us-east-1*是该组织禁用自动敏感数据发现功能的区域，即美国东部（弗吉尼亚北部）区域。如果请求成功，Macie 将禁用组织的自动发现功能并返回空响应。

接下来的示例禁用组织中两个成员帐户的自动敏感数据发现。此示例针对 Linux、macOS 或 Unix 进行格式化，并使用反斜杠 (\$1) 行继续符来提高可读性。

```
$ aws macie2 batch-update-automated-discovery-accounts \
--region us-east-1 \
--accounts '[{"accountId":"123456789012","status":"DISABLED"},{"accountId":"111122223333","status":"DISABLED"}]'
```

此示例针对 Microsoft Windows 进行格式化，并使用脱字号 (^) 行继续符来提高可读性。

```
C:\> aws macie2 batch-update-automated-discovery-accounts ^
--region us-east-1 ^
--accounts=[{\"accountId\":\"123456789012\",\"status\":\"DISABLED\"},{\"accountId\":\"111122223333\",\"status\":\"DISABLED\"}]
```

其中：
+ *us-east-1*是针对指定账户禁用自动敏感数据发现功能的区域，即美国东部（弗吉尼亚北部）区域。
+ *123456789012*并且*111122223333*是禁用自动敏感数据发现功能的帐户的帐户。 IDs 

如果所有指定账户的请求均成功，Macie 将返回一个空`errors`数组。如果某些账户的请求失败，则数组会指定每个受影响账户发生的错误。例如：

```
"errors": [
    {
        "accountId": "123456789012",
        "errorCode": "ACCOUNT_PAUSED"
    }
]
```

在之前的响应中，对指定账户 (`123456789012`) 的请求失败，因为 Macie 当前已暂停该账户。

如果所有账户的请求都失败，您将收到一条描述所发生错误的消息。例如：

```
An error occurred (ConflictException) when calling the BatchUpdateAutomatedDiscoveryAccounts operation: Cannot modify account states
while auto-enable is set to ALL.
```

在前面的响应中，请求失败，因为该组织的成员启用设置当前已配置为对所有账户启用自动敏感数据发现（`ALL`）。要解决该错误，Macie 管理员必须先将此设置更改为`NONE`或`NEW`。有关该设置的信息，请参阅 [启用自动敏感数据发现](discovery-asdd-account-enable.md)。

------