本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 查看自动敏感数据发现结果
<a name="discovery-asdd-results-s3"></a>

如果启用了自动发现敏感数据，Amazon Macie 会自动为您的账户生成和维护有关亚马逊简单存储服务 (Amazon S3) 通用存储桶的其他库存数据、统计数据和其他信息。如果您是某个组织的 Macie 管理员，默认情况下这包括您的成员账户拥有的 S3 存储桶。

此额外信息会采集 Macie 迄今为止进行的自动敏感数据发现活动的结果。它还会补充 Macie 提供的、有关您的 Amazon S3 数据的其他信息，例如各个 S3 存储桶的公开访问和加密设置。除了元数据和统计数据外，Macie 还会记录其发现的敏感数据及其执行的分析 — *敏感数据调查发现*和*敏感数据发现结果*。

在自动敏感数据发现分析进度时，以下功能和数据可以帮助您查看和评测结果：
+ [****摘要**控制面板**](discovery-asdd-results-s3-dashboard.md) — 提供您的 Amazon S3 数据资产的汇总统计数据。统计数据包括关键指标数据，例如 Macie 在其中发现敏感数据的存储桶总数，以及其中可公开访问的存储桶数量。它们还会报告影响您的 Amazon S3 数据覆盖范围的问题。
+ S3 [****存储桶**热图**](discovery-asdd-results-s3-inventory-map.md) — 提供按 AWS 账户数据资产分组的数据敏感度的交互式可视化表示。每个账户的地图都包含汇总的灵敏度统计数据，并使用颜色来表示该账户拥有的每个存储桶的当前灵敏度分数。地图还使用符号帮助您识别可公开访问的存储桶、Macie 无法分析的存储桶等。
+ S3 [****存储桶**表**](discovery-asdd-results-s3-inventory-table.md) — 提供清单中每个 S3 存储桶的摘要信息。对于每个存储桶，该表都包含以下数据：存储桶当前敏感度得分；Macie 可分析的存储桶内对象数量；您是否已配置任何敏感数据发现作业，以定期分析存储桶对象。您可以选择将数据从表中导出至逗号分隔值 (CSV) 文件。
+ [****S3 存储桶**详细信息**](discovery-asdd-results-s3-inventory-details.md)-提供有关 S3 存储桶的详细统计数据和信息。详细信息包括 Macie 在存储桶中分析的对象列表，以及 Macie 在存储桶中发现的敏感数据的类型和出现次数的明细。这些是有关影响存储桶数据安全和隐私的设置的详细信息。
+ [**敏感数据调查发现**](discovery-asdd-results-s3-findings.md)：提供 Macie 在单个 S3 对象中发现的敏感数据的详细报告。详细信息包括：Macie 发现敏感数据的时间；以及 Macie 发现的敏感数据类型和出现次数。详细信息还包括有关受影响的 S3 存储桶和对象的信息，其中包括存储桶的公共访问设置以及对象最近更改时间。
+ [**敏感数据发现结果**](discovery-asdd-results-s3-sddrs.md)-提供 Macie 对单个 S3 对象执行的分析记录。这包括 Macie 没有发现敏感数据的对象，以及 Macie 因问题或错误而无法分析的对象。如果 Macie 在对象中发现敏感数据，敏感数据发现结果就会提供 Macie 发现的敏感数据的相关信息。

您可通过这些数据，评测整个 Amazon S3 数据资产的数据灵敏度，并深入评测和调查各个 S3 存储桶和对象。将 Macie 提供的、关于 Amazon S3 数据的安全和隐私信息相结合，您还可识别可能需要立即修复的情况，例如，Macie 在其中发现敏感数据的可公开访问存储桶。

其他数据可帮助您评测和监控 Amazon S3 数据的覆盖范围。通过覆盖范围数据，您可以查看整个数据资产以及其中单个 S3 存储桶的分析状态。您还可以找出阻碍 Macie 分析特定存储桶中对象的问题。如果您修复了这些问题，则可以在后续分析周期中扩大 Amazon S3 数据的覆盖范围。有关更多信息，请参阅 [评测自动敏感数据发现覆盖率](discovery-coverage.md)。

**Topics**
+ [在摘要控制面板上查看数据敏感度统计数据](discovery-asdd-results-s3-dashboard.md)
+ [使用 S3 存储桶地图观察数据灵敏度](discovery-asdd-results-s3-inventory-map.md)
+ [使用 S3 存储桶表评测数据灵敏度](discovery-asdd-results-s3-inventory-table.md)
+ [查看 S3 存储桶的数据灵敏度详细信息](discovery-asdd-results-s3-inventory-details.md)
+ [分析自动敏感数据发现的调查发现](discovery-asdd-results-s3-findings.md)
+ [访问自动敏感数据发现产生的发现结果](discovery-asdd-results-s3-sddrs.md)

# 在摘要控制面板上查看数据敏感度统计数据
<a name="discovery-asdd-results-s3-dashboard"></a>

在 Amazon Macie 控制台，**摘要**控制面板提供了当前 AWS 区域的 Amazon Simple Storage Service (Amazon S3) 的统计数据和调查发现数据汇总快照。它旨在帮助评测 Amazon S3 数据的整体安全状况。

控制面板统计数据包括关键安全指标数据，例如可公开访问或与其他 AWS 账户共享的 S3 通用存储桶的数量。控制面板还会显示您账户的调查发现数据组汇总，例如，在过去七天内生成最多结果的存储桶。如果您是组织的 Macie 管理员，则控制面板会提供组织中所有账户的汇总统计结果和数据。您可选择按账户筛选数据。

如果启用了自动敏感数据发现，“**摘要**” 仪表板将包含其他统计信息。这些统计数据记录了 Macie 迄今为止针对您的 Amazon S3 数据执行的自动发现活动的状态和结果。下图显示这些统计数据的示例。

![\[摘要控制面板上的敏感数据发现统计数据。每项统计数据都包含示例数据。\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/scrn-summary-dashboard-sensitivity.png)


统计数据主要分为两个部分，即**自动发现**和**覆盖范围问题**。**自动发现**部分中的统计数据提供了自动敏感数据发现活动的当前状态和结果快照。**覆盖率问题部分中的统计数据表明问题**是否阻止 Macie 分析单个 S3 存储桶中的对象。统计信息不包括您创建和运行的敏感数据发现作业的数据。但是，修复影响自动敏感数据发现结果的覆盖范围问题也可能增加您随后运行的敏感数据发现作业的覆盖范围。

**Topics**
+ [显示控制面板](#discovery-asdd-results-s3-dashboard-view)
+ [了解控制面板上的统计信息](#discovery-asdd-results-s3-dashboard-statistics)

## 显示“摘要”控制面板
<a name="discovery-asdd-results-s3-dashboard-view"></a>

按照以下步骤在 Amazon Macie 控制台上显示**摘要**控制面板。要以编程方式查询统计数据，请使用亚马逊 Macie API 的[GetBucketStatistics](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3-statistics.html)操作。

**要显示“摘要”控制面板**

1. 打开亚马逊 Macie 主机，网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. 在导航窗格中，选择**摘要**。Macie 会显示**摘要**控制面板。

1. 要在控制面板上深入查看某一项的支持数据，请选择该项。

如果您是组织的 Macie 管理员，则控制面板会显示组织中您的账户和成员账户的汇总统计结果和数据。要仅显示特定账户的数据，请在控制面板上方的账户框中输入该**账户**的 ID。

## 在 “摘要” 仪表板上了解敏感数据发现统计信息
<a name="discovery-asdd-results-s3-dashboard-statistics"></a>

**摘要**控制面板包含汇总统计数据，可帮助您监控自动发现的 Amazon S3 数据的敏感数据。控制面板提供您当前 AWS 区域的 Amazon S3 数据的状态和分析结果快照。例如，您可以使用控制面板统计信息快速确定 Amazon Macie 在其中发现敏感数据的 S3 存储桶数量，以及其中可公开访问的存储桶数量。您还可以评测 Amazon S3 数据的覆盖范围。覆盖范围统计信息可以帮助您找出妨碍 Macie 分析单个 S3 存储桶中对象的问题。

在控制面板上，自动敏感数据发现统计信息分为以下几个部分：
+ [存储和敏感数据发现](#discovery-asdd-results-s3-dashboard-storage-statistics)
+ [自动发现](#discovery-asdd-results-s3-dashboard-sensitivity-statistics)
+ [覆盖范围问题](#discovery-asdd-results-s3-dashboard-coverage-statistics)

每个部分的单独统计数据如下。有关控制面板其他部分的统计信息的信息，请参阅[了解“摘要”控制面板的组件](monitoring-s3-dashboard.md#monitoring-s3-dashboard-components-main)。

### 存储和敏感数据发现
<a name="discovery-asdd-results-s3-dashboard-storage-statistics"></a>

在控制面板的顶部，统计数据显示您在 Amazon S3 中存储了多少数据，以及 Amazon Macie 可以分析其中多少数据来检测敏感数据。下图显示了一个拥有七个账户的组织的这些统计数据示例。

![\[控制面板的存储和敏感数据发现部分。每个字段都包含示例数据。\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/scrn-summary-dashboard-storage.png)


本部分的单独统计信息：
+ **账户总数** – 如果您是组织的 Macie 管理员或拥有独立的 Macie 账户，则会显示此字段。它表示您的存储桶清单 AWS 账户 中自有存储桶的总数。如果您是 Macie 管理员，这是您为组织管理的 Macie 账户总数。如果您有一个独立的 Macie 账户，则该值为 *1*。

  **S3 存储桶总数**：如果您在组织中拥有成员账户，则会显示此字段。它表示您的清单中的通用存储桶总数，包括不存储任何对象的存储桶。
+ **存储**：这些统计信息提供有关存储桶清单中对象的存储大小的信息：
  + **可分类** – Macie 可在存储桶中分析的所有对象的总存储大小。
  + **总计** – 存储桶中所有对象的总存储大小，包括 Macie 无法分析的对象。

  如果任何对象为压缩文件，则这些值不反映这些文件解压缩后的实际大小。如果对任何存储桶启用了版本控制，则这些值基于这些存储桶中每个对象最新版本的存储大小。
+ **对象**：这些统计信息提供有关存储桶清单中对象数量的信息：
  + **可分类** – Macie 可在存储桶中分析的对象的总数。
  + **总计** – 存储桶中所有对象的总数，包括 Macie 无法分析的对象。

在上述统计数据中，如果数据和对象使用所支持的 Amazon S3 存储类别，并且其文件扩展名表示支持的文件或存储格式，则数据和对象属于*可分类*。您可以通过使用 Macie 检测对象中的敏感数据。有关更多信息，请参阅 [支持的存储类别和格式](discovery-supported-storage.md)。

请注意，**存储**和**对象**统计信息不包括 Macie 不允许 Macie 访问的、存储桶内对象的相关数据。要确定出现这种情况的存储桶，请在控制面板的 **覆盖范围问题**部分中选择 **访问被拒绝** 统计数据。

### 自动发现
<a name="discovery-asdd-results-s3-dashboard-sensitivity-statistics"></a>

本节记录了 Amazon Macie 迄今为止针对您的 Amazon S3 数据执行的自动敏感数据发现活动的状态和结果。下图显示了此部分提供的统计信息示例。

![\[控制面板的自动发现部分。图表和相关字段包含示例数据。\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/scrn-summary-dashboard-asdd.png)


此部分的单独统计数据如下。

**存储桶总数**  
环形图显示您的存储桶清单中的存储桶总数。该图表根据每个存储桶的当前灵敏度分数将存储分组为：  
+ **敏感**（*红色*）- 灵敏度分数介于 *51* 至 *100* 之间的存储桶总数。
+ **不敏感**（*蓝色*）-灵敏度分数介于 *1* 至 *49* 之间的存储桶总数。
+ **尚未分析**（*浅灰色*）- 灵敏度分数为 *50* 的存储桶的总数。
+ **分类错误**（*深灰色*）- 灵敏度分数为 *-1* 的存储桶总数。
有关 Macie 定义的灵敏度分数范围和标签的详细信息，请参阅 [S3 存储桶的敏感度评分](discovery-scoring-s3.md)。  
要查看某个群组的其他统计信息，请将鼠标悬停在该群组上：  
+ **存储桶**：存储桶的总数。
+ **可公开访问** - 允许公众进行读取或写入的存储桶总数。
+ **可分类字节**：Macie 可在存储桶中分析的所有对象的总存储大小。这些对象使用所支持的 Amazon S3 存储类别，并且其文件扩展名表示支持的文件或存储格式。有关更多信息，请参阅 [支持的存储类别和格式](discovery-supported-storage.md)。
+ **字节总数** - 所有存储桶的总存储大小。
在前述统计信息中，存储大小值基于存储桶中每个最新版本对象的存储大小。如果任何对象为压缩文件，则这些值不反映这些文件解压缩后的实际大小。

**敏感**  
此区域表示当前灵敏度分数介于 *51* 至 *100* 之间的存储桶的总数。在此组中，**可公开访问**表示允许公众进行读取或写入的存储桶总数。

**不敏感**  
此区域表示当前灵敏度分数介于 *1* 至 *49* 之间的存储桶的总数。在此组中，**可公开访问**表示允许公众进行读取或写入的存储桶总数。

为了确定和计算**可公开访问**的统计数据值，Macie 会分析每个存储桶的账户和存储桶级别设置组合，例如账户和存储分区的阻止公共访问设置，以及存储桶的存储桶策略。对于一个账户，Macie 最多可以为 10,000 个存储桶执行此操作。有关更多信息，请参阅 [Macie 如何监控 Amazon S3 数据安全性](monitoring-s3-how-it-works.md)。

请注意，**自动发现**部分中的统计信息不包括您创建和运行的敏感数据发现作业结果。

### 覆盖范围问题
<a name="discovery-asdd-results-s3-dashboard-coverage-statistics"></a>

在本节中，统计数据表明某些类型的问题是否阻止 Amazon Macie 分析单个 S3 存储桶中的对象。下图显示了此部分提供的统计信息示例。

![\[控制面板的覆盖范围问题部分。每个字段都包含示例数据。\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/scrn-summary-dashboard-coverage.png)


本部分的单独统计信息：
+ **访问被拒绝**：不允许 Macie 访问的存储桶总数。Macie 无法分析这些存储桶内的任何对象。存储桶的权限设置会阻止 Macie 访问存储桶和存储桶对象。
+ **分类错误**：由于对象级分类错误而导致的、Macie 未分析的存储桶总数。Macie 试图分析这些存储桶中的一个或多个对象。但是，由于对象级权限设置、对象内容或配额存在问题，Macie 无法分析对象。
+ **不可分类** - 不存储任何可分类对象的存储桶总数。Macie 无法分析这些存储桶内的任何对象。所有对象使用 Macie 不支持的 Amazon S3 存储类别，并且其文件扩展名表示 Macie 不支持的文件或存储格式。

选择统计信息值，可显示其他详细信息，并显示补救措施指南（如适用）。如果您修复了访问问题和分类错误，则可以在后续分析周期中扩大 Amazon S3 数据的覆盖范围。有关更多信息，请参阅 [评测自动敏感数据发现覆盖率](discovery-coverage.md)。

请注意，**覆盖范围问题**部分中的统计信息不会明确包含您创建和运行的敏感数据发现作业的数据。但是，修复影响自动敏感数据发现结果的覆盖范围问题也可能增加您随后运行的敏感数据发现作业的覆盖范围。

# 使用 S3 存储桶地图观察数据灵敏度
<a name="discovery-asdd-results-s3-inventory-map"></a>

在 Amazon Macie 控制台，**S3 存储桶**热图提供了 Amazon Simple Storage Service (Amazon S3) 数据资产中数据灵敏度的交互式可视化表示。它采集 Macie 迄今为止针对当前 AWS 区域中 Amazon S3 数据执行的自动敏感数据发现活动的结果。

如果您是组织的 Macie 管理员，则该地图将包含您的成员账户拥有的 S3 存储桶的结果。数据按账户 ID 分组 AWS 账户 和排序，如下图所示。

![\[S3 存储桶地图。它显示不同的彩色方块，每个存储桶对应一个方块，按账户分组。\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/scrn-s3-map-small.png)


该地图显示每个账户最多 100 个 S3 存储桶的数据。要显示所有存储桶的数据，您可以[切换到表格视图](discovery-asdd-results-s3-inventory-table.md)，改为以表格格式查看数据。

要展示地图，在控制台的导航窗格中选择 **S3 存储桶**。然后在页面顶部选择地图 (![\[The map view button, which is a button that displays four black squares.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/btn-s3-map-view.png))。仅当启用了自动敏感数据发现时，才会显示此地图。它不包括您创建和运行的敏感数据发现作业的结果。

**Topics**
+ [解读 S3 存储桶地图中的数据](#discovery-asdd-results-s3-inventory-map-legend)
+ [与 S3 存储桶地图交互](#discovery-asdd-results-s3-inventory-map-use)

## 解读 S3 存储桶地图中的数据
<a name="discovery-asdd-results-s3-inventory-map-legend"></a>

在 **S3 存储桶**地图中，每个方块都代表通用存储桶清单中的一个 S3 存储桶。正方形的颜色代表存储桶的当前灵敏度分数，它衡量两个主要维度的交集：即 Macie 在存储桶中发现的敏感数据量和 Macie 在存储桶内分析的数据量。颜色色调的强度表示一系列数据灵敏度值中评分下降位置，如下图所示。

![\[敏感度分数的色谱：蓝色色调代表 1-49，红色色调代表 51-100，灰色色调代表 -1。\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/sensitivity-scoring-spectrum.png)


通常，您可以按如下方式解读颜色和色调强度：
+ **蓝色**：如果存储桶的当前灵敏度分数介于 *1* 至 *49* 之间，则该桶的正方形为蓝色，存储桶的灵敏度标签为 **不敏感**。蓝色色调的强度反映了 Macie 在存储桶中分析的唯一对象的数量与存储桶中唯一对象总数的比率。色调越深，表示灵敏度分数越低。
+ **无颜色**：如果存储桶的当前灵敏度分数为 *50*，则该桶的正方形未着色，并且桶的灵敏度标签为**未分析**。此外，正方形还有虚线边框。
+ **红色**：如果存储桶的当前灵敏度分数介于 *51* 至 *100* 之间，则该桶的正方形为红色，存储桶的灵敏度标签为 **敏感**。红色调的强度反映了 Macie 在存储桶内发现的敏感数据量。色调越深表示灵敏度分数越高。
+ **灰色**：如果存储桶的当前灵敏度分数为 *-1*，则该存储桶的正方形为深灰色，存储桶的灵敏度标签显示**分类错误**。色相强度无变化。

有关 Macie 定义的灵敏度分数范围和标签的详细信息，请参阅 [S3 存储桶的敏感度评分](discovery-scoring-s3.md)。

地图中的 S3 存储桶的正方形也可能包含一个符号。该符号表示可能影响您对存储桶灵敏度评测的错误、问题或其他类型注意事项。符号也可以表示存储桶的安全性存在潜在问题，例如存储桶可公开访问。下表列出了 Macie 用于通知您这些情况的符号。


| 符号 | 定义 | 说明 | 
| --- | --- | --- | 
|  ![\[The Access denied symbol, which is a gray exclamation point.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-map-access-denied.png)  | 访问被拒绝 |  不允许 Macie 访问存储桶或存储桶对象。因此，Macie 无法分析这些存储桶内的任何对象。 此问题的原因通常是存储桶具有限制性存储桶策略。有关如何解决此问题的信息，请参阅 [允许 Macie 访问 S3 存储桶和对象](monitoring-restrictive-s3-buckets.md)。  | 
|  ![\[The Publicly accessible symbol, which is a solid, gray, upward-facing arrow.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-map-publicly-accessible.png)  | 公开访问 |  公众对存储桶拥有读写权限。 为了做出这一决定，Macie 会分析每个存储桶的设置组合，例如账户和存储桶的封禁公共访问设置，以及存储桶的存储桶策略。对于一个账户，Macie 最多可以为 10,000 个存储桶执行此操作。有关更多信息，请参阅 [Macie 如何监控 Amazon S3 数据安全性](monitoring-s3-how-it-works.md)。  | 
|  ![\[The Unclassifiable symbol, which is a gray question mark.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-map-unclassifiable.png)  | 不可分类 |  Macie 无法分析存储桶内的任何对象。所有存储桶对象都使用 Macie 不支持的 Amazon S3 存储类别，或者有 Macie 不支持的文件扩展名或存储格式。 Macie 要分析某个对象，该对象必须使用所支持的存储类别，并且其文件扩展名表示支持的文件或存储格式。有关更多信息，请参阅 [支持的存储类别和格式](discovery-supported-storage.md)。  | 
|  ![\[The Zero bytes symbol, which is the number zero.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-map-zero-bytes.png)  | 零字节 |  此存储桶不存储任何要由 Macie 分析的对象。存储桶为空，或存储桶中的所有对象都包含零 (0) 字节的数据。  | 

## 与 S3 存储桶地图交互
<a name="discovery-asdd-results-s3-inventory-map-use"></a>

在查看 S3 **存储桶**地图时，您可以通过不同的方式与其交互，以揭示和评测单个账户和存储桶的其他数据和详细信息。请按照以下步骤显示地图并使用其提供的各种功能。

**与 S3 存储桶地图进行交互**

1. 打开亚马逊 Macie 主机，网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. 在导航窗格中，选择** S3 存储桶**。**S3 存储桶**页面显示您的存储桶清单地图。如果页面以表格格式显示您的存储桶清单，请选择页面顶部的地图 (![\[The map view button, which is a button that displays four black squares.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/btn-s3-map-view.png))。

   默认情况下，地图不会显示当前被排除在自动敏感数据发现之外的存储桶的数据。如果您是组织的 Macie 管理员，则它也不会显示当前禁用了自动敏感数据发现的账户的数据。要显示这些数据，请在筛选框下方的**由自动发现筛选器监控**标记中选择 **X**。

1. 在页面顶部，可以选择刷新 (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/btn-refresh-data.png))，从 Amazon S3 检索最新的存储桶元数据。

1. 在 **S3 存储桶**地图中，执行以下任一操作：
   + 要确定有多少桶有特定的敏感度标签，请参阅 ID 正下方的彩色徽章。 AWS 账户 此徽章显示按灵敏度标签细分的汇总存储桶计数。

     **例如，红色徽章会报告该账户拥有、且带有灵敏度**标签的存储桶的总数。这些存储桶的灵敏度分数介于 *51* 到 *100* 之间。蓝色徽章报告该账户拥有且带有 **不敏感** 标签的存储桶总数。这些存储桶的灵敏度分数介于 *1* 到 *49* 之间。
   + 要查看有关存储桶的信息子集，请将鼠标悬停在存储桶的正方形上。弹出框显示存储桶的名称和当前的灵敏度分数。

     弹出框还会显示 Macie 可以在存储桶中分析的对象总数，以及这些对象的最新版本的总存储大小。这些对象为 *可分类*。它们使用所支持的 Amazon S3 存储类别，并且其文件扩展名表示支持的文件或存储格式。有关更多信息，请参阅 [支持的存储类别和格式](discovery-supported-storage.md)。
   + 要筛选地图并仅显示含特定字段值的存储桶，请将光标置于筛选框内，然后为该字段添加筛选条件。Macie 应用条件并在筛选框下方显示该条件。若要进一步优化结果，请为其他字段添加筛选条件。有关更多信息，请参阅 [筛选您的 S3 存储桶清单](monitoring-s3-inventory-filter.md)。
   + 要深入查看并仅显示特定账户拥有的存储桶，请选择该账户 ID。Macie 会打开新选项卡，该选项卡仅筛选和显示该账户数据。

1. 要查看特定存储桶的数据敏感度统计数据和其他信息，请选择该存储桶的方块。然后参阅详细信息面板。如需了解这些详细信息，请参阅[查看 S3 存储桶的数据灵敏度详细信息](discovery-asdd-results-s3-inventory-details.md)。
**提示**  
在面板的**存储桶详细信息**选项卡，您可以对许多字段进行转置和向下钻取。要显示某个字段中具有相同值的存储桶，请在该字段中选择 ![\[The zoom in icon, which is a magnifying glass that has a plus sign in it.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-magnifying-glass-plus-sign.png)。要显示其他字段值的存储桶，请在字段中选择 ![\[The zoom out icon, which is a magnifying glass that has a minus sign in it.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-magnifying-glass-minus-sign.png)。

# 使用 S3 存储桶表评测数据灵敏度
<a name="discovery-asdd-results-s3-inventory-table"></a>

要查看您的亚马逊简单存储服务 (Amazon S3) 存储桶的摘要信息，您可以使用亚马逊 Macie 控制台**上的 S3 存储桶**表。通过使用该表，您可以查看和分析当前通用存储桶的清单 AWS 区域，并向下钻取以查看各个存储分区的详细信息和统计数据。如果您是组织的 Macie 管理员，则该表将包含有关您的成员账户拥有的存储分区的信息。如果您更喜欢以编程方式访问和查询数据，则可以使用 Amazon Macie API 的[DescribeBuckets](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3.html)操作。

要自定义视图，您可以在控制台上对表格进行排序和筛选。您也可以选择将数据从表中导出至逗号分隔值 (CSV) 文件。如果您在表中选择一个 S3 存储桶，则详细信息面板显示有关此存储桶的其他信息。这包括设置详情和统计数据，以及洞察存储桶数据安全和隐私的指标。如果启用了自动敏感数据发现，它还包括采集 Macie 迄今为止为存储桶执行的自动发现活动结果的数据。

**若要使用 S3 存储桶表评测数据灵敏度**

1. 打开亚马逊 Macie 主机，网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. 在导航窗格中，选择** S3 存储桶**。**S3 存储桶**页面显示您的存储桶清单。

   默认情况下，该页面不会显示当前被排除在自动敏感数据发现之外的存储桶的数据。如果您是组织的 Macie 管理员，则它也不会显示当前禁用了自动敏感数据发现的账户的数据。要显示这些数据，请在筛选框下方的**由自动发现筛选器监控**标记中选择 **X**。

1. 在页面顶部，选择表 (![\[The table view button, which is a button that displays three black horizontal lines.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/btn-s3-table-view.png))。Macie 会显示您的清单中的存储桶数量和存储桶表。

1. 要从 Amazon S3 获取最新的存储桶元数据，请选择页面顶部的刷新 (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/btn-refresh-data.png))。

   如果信息图标 (![\[The information icon, which is a blue circle that has a lowercase letter i in it.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-info-blue.png)) 出现在任何存储桶名称旁边，我们建议您这样操作。此图标表明存储桶是在过去 24 小时内创建的，可能是 Macie 在[每日刷新周期](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh)中最后一次从 Amazon S3 检索存储桶和对象元数据之后创建的。

1. 在 **S3 存储桶**表中查看有关清单内每个存储桶的摘要信息：
   + **灵敏度**：存储桶的当前灵敏度分数。有关 Macie 定义的灵敏度分数范围的信息，请参阅 [S3 存储桶的敏感度评分](discovery-scoring-s3.md)。
   + **存储桶** – 存储桶名称。
   + **账户**-拥有存储桶的 AWS 账户 的账户 ID。
   + **可分类对象** – Macie 可在存储桶中分析以检测敏感数据的对象总数。
   + **可分类大小** – Macie 可在存储桶中分析以检测敏感数据的所有对象的总存储大小。

     此值不反映任何压缩对象在解压缩后的实际大小。此外，如果为存储桶启用了版本控制，则此值将基于存储桶中每个最新版本对象的存储大小。
   + **按作业监控**：是否将任何敏感数据发现作业配置为：每天、每周或每月定期分析存储桶中的对象。

     如果此字段的值为*是*，则表示该存储桶已显式包含在定期作业中，或者该存储桶在过去 24 小时内符合定期作业的条件。此外，其中至少有一个作业的状态非*已取消*。Macie 每天都会更新这些数据。
   + **最新运行的作业**：如果将任何一次性或定期的敏感数据发现作业配置为分析存储桶中的对象，则此字段表示其中一个作业开始运行的最新日期和时间。否则，该字段中会出现破折号 (-)。

   在上述数据中，如果对象使用所支持的 Amazon S3 存储类别，并且其文件扩展名表示支持的文件或存储格式，则对象属于*可分类*。您可以通过使用 Macie 检测对象中的敏感数据。有关更多信息，请参阅 [支持的存储类别和格式](discovery-supported-storage.md)。

1. 要使用表格分析清单，请执行以下操作之一：
   + 要按特定字段对表格进行排序，请选择该字段的列标题。若要更改排序顺序，请再次选择列标题。
   + 要筛选表格并仅显示含特定字段值的存储桶，请将光标置于筛选框内，然后为该字段添加筛选条件。若要进一步优化结果，请为其他字段添加筛选条件。有关更多信息，请参阅 [筛选您的 S3 存储桶清单](monitoring-s3-inventory-filter.md)。
   + 要查看特定存储桶的数据敏感度统计数据和其他信息，请选择该存储桶的名称。然后参阅详细信息面板。如需了解这些详细信息，请参阅[查看 S3 存储桶的详细信息](discovery-asdd-results-s3-inventory-details.md)。
**提示**  
在面板的**存储桶详细信息**选项卡，您可以对许多字段进行转置和向下钻取。要显示某个字段中具有相同值的存储桶，请在该字段中选择 ![\[The zoom in icon, which is a magnifying glass that has a plus sign in it.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-magnifying-glass-plus-sign.png)。要显示其他字段值的存储桶，请在字段中选择 ![\[The zoom out icon, which is a magnifying glass that has a minus sign in it.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-magnifying-glass-minus-sign.png)。

1. 要将数据从表格导出到 CSV 文件，请选中要导出的每行的复选框，或者选中选择列标题中的复选框以选择所有行。然后在页面顶部选择**导出到 CSV**。您最多可从表格中导出 50,000 行。

1. 要对一个或多个存储桶中的对象进行更深入、更直接的分析，请选中每个存储桶对应的复选框。然后选择**创建任务**。有关更多信息，请参阅 [创建敏感数据发现作业](discovery-jobs-create.md)。

# 查看 S3 存储桶的数据灵敏度详细信息
<a name="discovery-asdd-results-s3-inventory-details"></a>

随着自动发现敏感数据的进展，您可以查看 Amazon Macie 提供的有关您的每个亚马逊简单存储服务 (Amazon S3) 存储桶的统计数据和其他信息的详细结果。如果您是组织的 Macie 管理员，则这包括您的成员账户拥有的存储桶。

此统计数据和信息包括详细信息，这些详细信息提供了 S3 存储桶数据安全和隐私的洞察。它们还捕获了 Macie 迄今为止为存储桶执行的自动敏感数据发现活动的结果。例如，您可以找到 Macie 在存储桶中分析过的对象的列表。您还可以查看 Macie 在存储桶中发现的敏感数据的类型和出现次数的明细。请注意，这些数据不包括您创建和运行的敏感数据发现任务的结果。

Macie 在执行自动敏感数据发现的同时，会自动重新计算和更新 S3 存储桶的统计数据和详细信息。例如：
+ 如果 Macie 在 S3 对象中找不到敏感数据，Macie 会降低存储桶的灵敏度分数，并在必要时更新存储桶灵敏度标签。Macie 还会将该对象添加到它选择进行分析的对象列表中。
+ 如果 Macie 在 S3 对象中发现敏感数据，Macie 会将这些事件添加至 Macie 在存储桶中发现的、灵敏度数据类型的细分中。Macie 还将提高存储桶的灵敏度分数，并在必要时更新存储桶的灵敏度标签。此外，Macie 还会将该对象添加到其选择进行分析的对象列表中。除了为对象创建敏感数据调查发现之外，还包含此任务。
+ 如果 Macie 在随后更改或删除的 S3 对象中发现敏感数据，Macie 会从存储桶的敏感数据类型细分中删除该对象出现的敏感数据。Macie 还将降低存储桶的灵敏度分数，并在必要时更新存储桶的灵敏度标签。此外，Macie 会将该对象从其选择进行分析的对象列表中移除。
+ 如果 Macie 尝试分析 S3 对象，但问题或错误导致无法进行分析，则 Macie 会将该对象添加到其选择进行分析的对象列表中，并表示无法分析该对象。

如果您是组织的 Macie 管理员或拥有独立的 Macie 账户，则可以选择使用这些详细信息来评估和调整 S3 存储桶的某些自动发现设置。例如，您可将特定类型的敏感数据纳入存储桶分数，或将其移除。有关更多信息，请参阅 [调整 S3 存储桶的敏感度分数](discovery-asdd-s3bucket-manage.md)。

**查看 S3 存储桶数据灵敏度详细信息**  
要查看 S3 存储桶的数据敏感度和其他细节，您可以使用亚马逊 Macie 控制台或亚马逊 Macie API。在控制台上，详细信息面板提供对这些信息的集中访问。借助 API，您可以通过编程方式检索和处理数据。

------
#### [ Console ]

按照以下步骤使用 Amazon Macie 控制台查看 S3 存储桶的数据敏感度和其他详细信息。

**查看 S3 存储桶的详细信息**

1. 打开亚马逊 Macie 主机，网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. 在导航窗格中，选择** S3 存储桶**。**S3 存储桶**页面显示您的存储桶清单的交互地图。也可选择页面顶部表格 (![\[The table view button, which is a button that displays three black horizontal lines.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/btn-s3-table-view.png))，以显示您的表格格式清单。

   默认情况下，该页面不会显示当前被排除在自动敏感数据发现之外的存储桶的数据。如果您是组织的 Macie 管理员，则它也不会显示当前禁用了自动敏感数据发现的账户的数据。要显示这些数据，请在筛选框下方的**由自动发现筛选器监控**标记中选择 **X**。

1. 要从 Amazon S3 获取最新的存储桶元数据，请选择页面顶部的刷新 (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/btn-refresh-data.png))。

1. 请选择要查看的存储桶的详细信息。详细信息面板显示有关存储桶的数据敏感度统计数据和其他信息。

面板顶部显示有关存储桶的一般信息：存储桶的名称、拥有该存储桶的账户 ID 以及该存储桶的当前敏感度分数。 AWS 账户 如果您是 Macie 管理员或拥有独立的 Macie 账户，它还会提供更改存储桶的某些自动发现设置的选项。其他设置和信息按以下选项卡进行组织：

[灵敏度](#discovery-asdd-results-s3-inventory-sensitivity-details) \$1 [存储桶详情](#discovery-asdd-results-s3-inventory-bucket-details) \$1 [对象样本](#discovery-asdd-results-s3-inventory-sample-details) \$1 [敏感数据发现](#discovery-asdd-results-s3-inventory-sdd-details)

每个选项卡上的单独设置和信息如下所示。

**灵敏度**  
此选项卡显示存储桶的当前灵敏度分数，范围从 *-1* 至 *100*。有关 Macie 定义的灵敏度分数范围的信息，请参阅 [S3 存储桶的敏感度评分](discovery-scoring-s3.md)。  
该选项卡还详细列出了 Macie 在存储桶对象中发现的敏感数据类型，以及每种类型出现的次数：  
+ **敏感数据类型** - 检测数据的托管数据标识符的唯一标识符 (ID)，或检测数据的自定义数据标识符名称。

  托管数据标识符的 ID 描述了该标识符旨在检测的敏感数据类型，例如，用于检测美国护照号码的 **USA\$1PASSPORT\$1NUMBER**。有关每个托管数据标识符的详细信息，请参阅 [使用托管数据标识符](managed-data-identifiers.md)。
+ **计数** - 托管或自定义数据标识符检测到的数据出现的总次数。
+ **评分状态**：如果您是 Macie 管理员或拥有独立的 Macie 账户，则会显示此字段。它指定是将数据出现次数包括在存储桶的灵敏度分数中还是排除在外。

  如果 Macie 计算存储桶的分数，则可以通过在分数中包含或排除特定类型的敏感数据来调整计算方式：选中检测到要包含或排除的敏感数据的标识符对应的复选框，然后在 “**操作**” 菜单上选择一个选项。有关更多信息，请参阅 [调整 S3 存储桶的敏感度分数](discovery-asdd-s3bucket-manage.md)。
如果 Macie 未在存储桶当前存储的对象中找到敏感数据，则此部分将显示 **未找到检测结果** 消息。  
请注意，“**灵敏度**” 选项卡不包含在 Macie 分析后更改或删除的对象的数据。如果在分析后更改或删除了对象，Macie 会自动重新计算和更新相应的统计数据和数据以排除这些对象。

**存储桶详细信息**  
此选项卡提供关于存储桶设置的详细信息，包括数据安全和隐私设置。例如，您可以查看存储桶的公共访问设置明细，并确定存储桶重复对象还是与其他 AWS 账户分享。  
特别值得注意的是，**上次更新时间**字段指示 Macie 最近从 Amazon S3 中检索存储桶或存储桶对象元数据的时间。**最近的自动发现运行时间**字段指示 Macie 最近在执行自动敏感数据发现时分析存储桶对象的时间。如果未进行此分析，则此字段中会出现一个破折号（-）。  
该选项卡还提供对象级统计信息，可帮助评测 Macie 可在存储桶中分析的数据量。它还指示是否将任何敏感数据发现任务配置为分析存储桶中的对象。如果有，您可以访问最近运行作业的详细信息，然后选择显示作业产生的任何调查发现。  
在某些情况下，此选项卡可能不包含存储桶的所有详细信息。如果您在 Amazon S3 中存储的存储桶超过 10,000 个，则可能会发生这种情况。Macie 仅为一个账户维护 10,000 个存储桶的完整库存数据，即最近创建或更改的 10,000 个存储桶。但是，Macie 可以分析存储桶中超过此配额的对象。要查看存储桶的更多详细信息，请使用 Amazon S3。  
有关此选项卡的更多详情，请参阅 [查看 S3 存储桶的详细信息](monitoring-s3-inventory-review.md#monitoring-s3-inventory-view-details)。

**对象示例**  
此选项卡列出了 Macie 在为存储桶执行自动敏感数据发现时选择的分析对象。选择对象名称，以打开 Amazon S3 并显示对象属性。  
该列表包含最多 100 个对象的数据。此列表基于**对象灵敏度**字段值填充：**敏感**后跟**不敏感**，后跟 Macie 无法分析的对象。  
在列表中，**对象灵敏度** 字段指示 Macie 是否在对象中找到了敏感数据：  
+ **敏感**‬：Macie 发现对象中至少出现过一次敏感数据。
+ **不敏感**‬：Macie 未在对象中找到敏感数据。
+ **—**（*短划线*）‬：因问题或错误，Macie 无法完成对对象的分析。
**分类结果** 字段指示 Macie 是否能够分析对象：  
+ **完成**‬：Macie 完成了对对象的分析。
+ **部分**‬：由于问题或错误，Macie 仅分析部分对象数据。例如，该对象是一个存档文件，其中包含不支持的格式的文件。
+ **已跳过**‬：因问题或错误，Macie 无法分析对象中的任何数据。例如，使用不允许 Macie 使用的密钥加密对象。
请注意，该列表不包括 Macie 分析或尝试分析后更改或删除的对象。如果某个对象随后被更改或删除，Macie 会自动从列表中移除此对象。

**敏感数据发现**  
此选项卡为存储桶提供聚合、自动敏感数据发现统计信息：  
+ **已分析字节数**：Macie 在存储桶中分析的数据总量（以字节为单位）。
+ **可分类字节**：Macie 可在存储桶中分析的所有对象的总存储大小（以字节计）。这些对象使用所支持的 Amazon S3 存储类别，并且其文件扩展名表示支持的文件或存储格式。有关更多信息，请参阅 [支持的存储类别和格式](discovery-supported-storage.md)。
+ **检测总数** - Macie 在存储桶中发现的敏感数据的总出现次数。这包括当前被存储桶的灵敏度评分设置隐藏的事件。
**已分析对象**图表显示 Macie 在存储桶中分析的对象总数。它呈现了 Macie 在其中找到/未找到敏感数据的对象数量。图表下方的图例介绍了这些结果的细分：  
+ **敏感对象**（*红色*）- Macie 在其中发现至少一次敏感数据的对象总数。
+ **非敏感对象**（*蓝色*）- Macie 未在其中找到敏感数据的对象总数。
+ **跳过的对象**（*深灰色*）- Macie 因问题或错误而无法分析的对象总数。
该图表图例下方区域详细列出了 Macie 因某些类型的权限问题或加密错误而无法分析对象的情况：  
+ **已跳过：无效加密**：使用客户提供的密钥加密的对象总数。Macie 无法访问这些密钥。
+ **已跳过：KMS 无效** — 使用 AWS Key Management Service (AWS KMS) 密钥加密但不再可用的对象总数。这些对象使用 AWS KMS keys 已禁用、计划删除或已删除的对象进行加密。Macie 无法使用这些密钥。
+ **已跳过：权限被拒绝**‬：因对象的权限设置或用于加密对象密钥的权限设置、导致 Macie 无法访问的对象总数。
有关这些以及可能发生的其他类型的问题和错误的详细信息，请参阅 [修复覆盖率问题](discovery-coverage-remediate.md)。如果您修复了这些问题和错误，则可以在后续分析周期中扩大存储桶数据的覆盖范围。  
**敏感数据发现**选项卡上的统计信息中，不包括 Macie 分析或尝试分析后更改或删除的对象数据。如果在 Macie 分析或尝试分析对象后对其进行了更改或删除，Macie 会自动重新计算这些统计数据以排除这些对象。

------
#### [ API ]

要以编程方式检索 S3 存储桶的数据敏感度和其他详细信息，您有多种选择。适当的选项取决于您要检索的详细信息：
+ 要检索存储桶的当前敏感度分数和汇总的分析统计数据，请使用[GetResourceProfile](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles.html)操作。或者，如果您使用的是 AWS Command Line Interface (AWS CLI)，请运行该[get-resource-profile](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-resource-profile.html)命令。统计数据包括诸如 Macie 已分析的对象数量以及 Macie 在其中发现敏感数据的对象数量之类的数据。
+ 要检索 Macie 在存储桶中发现的敏感数据的类型和数量的明细，请使用[ListResourceProfileDetections](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles-detections.html)操作。或者，如果您使用的是 AWS CLI，请运行该[list-resource-profile-detections](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-resource-profile-detections.html)命令。细分还提供了有关检测到每种敏感数据的托管或自定义数据标识符的详细信息。
+ 要检索 Macie 从存储桶中选择的最多 100 个对象进行分析的列表，请使用[ListResourceProfileArtifacts](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles-artifacts.html)操作。或者，如果您使用的是 AWS CLI，请运行该[list-resource-profile-artifacts](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-resource-profile-artifacts.html)命令。对于每个对象，该列表指定：对象的 Amazon 资源名称 (ARN)、Macie 是否完成了对该对象的分析；以及 Macie 是否在对象中发现了敏感数据。

在您的请求中，使用`resourceArn`参数指定要检索其详细信息的存储桶的 ARN。如果您使用的是 AWS CLI，请使用`resource-arn`参数指定 ARN。

有关 S3 存储桶的其他详细信息，例如存储桶的公共访问设置，请使用[DescribeBuckets](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3.html)操作。如果您使用的是 AWS CLI，请运行 desc [ribe-buckets 命令来检索](https://docs.aws.amazon.com/cli/latest/reference/macie2/describe-buckets.html)这些详细信息。在您的请求中，可以选择使用筛选条件来指定存储桶的名称。有关更多信息以及示例，请参阅 [筛选您的 S3 存储桶清单](monitoring-s3-inventory-filter.md)。

以下示例说明如何使用检索 S3 存储桶的数据敏感度详细信息。 AWS CLI 第一个示例检索存储桶的当前敏感度分数和聚合分析统计信息。

```
$ aws macie2 get-resource-profile --resource-arn arn:aws:s3:::amzn-s3-demo-bucket
```

存储*arn:aws:s3:::amzn-s3-demo-bucket*桶的 ARN 在哪里。如果请求成功，您将收到类似于以下内容的输出：

```
{
    "profileUpdatedAt": "2024-11-21T15:44:46+00:00",
    "sensitivityScore": 83,
    "sensitivityScoreOverridden": false,
    "statistics": {
        "totalBytesClassified": 933599,
        "totalDetections": 3641,
        "totalDetectionsSuppressed": 0,
        "totalItemsClassified": 111,
        "totalItemsSensitive": 84,
        "totalItemsSkipped": 1,
        "totalItemsSkippedInvalidEncryption": 0,
        "totalItemsSkippedInvalidKms": 0,
        "totalItemsSkippedPermissionDenied": 0
    }
}
```

下一个示例检索 Macie 在 S3 存储桶中发现的敏感数据类型的明细，以及每种类型的出现次数。细分还指定了哪个托管数据标识符或自定义数据标识符检测到了数据。如果分数是由 Macie 自动计算的，它还会指示当前是否将事件从存储桶的敏感度分数中排除 (`suppressed`)。

```
$ aws macie2 list-resource-profile-detections --resource-arn arn:aws:s3:::amzn-s3-demo-bucket
```

存储*arn:aws:s3:::amzn-s3-demo-bucket*桶的 ARN 在哪里。如果请求成功，您将收到类似于以下内容的输出：

```
{
    "detections": [
        {
            "count": 8,
            "id": "AWS_CREDENTIALS",
            "name": "AWS_CREDENTIALS",
            "suppressed": false,
            "type": "MANAGED"
        },
        {
            "count": 1194,
            "id": "CREDIT_CARD_NUMBER",
            "name": "CREDIT_CARD_NUMBER",
            "suppressed": false,
            "type": "MANAGED"
        },
        {
            "count": 1194,
            "id": "CREDIT_CARD_SECURITY_CODE",
            "name": "CREDIT_CARD_SECURITY_CODE",
            "suppressed": false,
            "type": "MANAGED"
        },
        {
            "arn": "arn:aws:macie2:us-east-1:123456789012:custom-data-identifier/3293a69d-4a1e-4a07-8715-208ddexample",
            "count": 8,
            "id": "3293a69d-4a1e-4a07-8715-208ddexample",
            "name": "Employee IDs with keyword",
            "suppressed": false,
            "type": "CUSTOM"
        },
        {
            "count": 1237,
            "id": "USA_SOCIAL_SECURITY_NUMBER",
            "name": "USA_SOCIAL_SECURITY_NUMBER",
            "suppressed": false,
            "type": "MANAGED"
        }
    ]
}
```

此示例检索 Macie 从 S3 存储桶中选择的用于分析的对象列表。对于每个对象，该列表还会指示 Macie 是否完成了对该对象的分析，以及 Macie 是否在对象中发现了敏感数据。

```
$ aws macie2 list-resource-profile-artifacts --resource-arn arn:aws:s3:::amzn-s3-demo-bucket
```

存储*arn:aws:s3:::amzn-s3-demo-bucket*桶的 ARN 在哪里。如果请求成功，您将收到类似于以下内容的输出：

```
{
    "artifacts": [
        {
            "arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object1.csv",
            "classificationResultStatus": "COMPLETE",
            "sensitive": true
        },
        {
            "arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object2.xlsx",
            "classificationResultStatus": "COMPLETE",
            "sensitive": true
        },
        {
            "arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object3.json",
            "classificationResultStatus": "COMPLETE",
            "sensitive": true
        },
        {
            "arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object4.pdf",
            "classificationResultStatus": "COMPLETE",
            "sensitive": true
        },
        {
            "arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object5.zip",
            "classificationResultStatus": "PARTIAL",
            "sensitive": true
        },
        {
            "arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object6.vssx",
            "classificationResultStatus": "SKIPPED"
        }
    ]
}
```

------

# 分析自动敏感数据发现的调查发现
<a name="discovery-asdd-results-s3-findings"></a>

当 Amazon Macie 执行自动敏感数据发现时，它会为在其中发现敏感数据的每个 Amazon Simple Storage Service (Amazon S3)对象创建敏感数据调查发现。*敏感数据调查发现*是 Macie 在 S3 对象中发现的敏感数据的详细报告。调查发现不包括 Macie 发现的敏感数据。相反，它提供了用于进一步调查和必要补救的信息。

每项敏感数据调查发现都会提供严重性评级和详细信息，例如：
+ Macie 发现敏感数据的日期与时间。
+ Macie 发现敏感数据的类别和类型。
+ Macie 发现的每种敏感数据的出现次数。
+ Macie 是如何找到敏感数据、自动敏感数据发现或敏感数据发现任务作业。
+ 受影响的 S3 存储桶和对象的名称、公开访问设置、加密类型和其他信息。

根据受影响 S3 对象的文件类型或存储格式，详细信息还可能包括 Macie 发现的、多达 15 处敏感数据的位置。

Macie 会将敏感数据调查发现存储 90 天。您可以使用 Amazon Macie 控制台或 Amazon Macie API 访问它们。您还可以使用其他应用程序、服务和系统，监控和处理调查发现。有关更多信息，请参阅 [查看和分析调查发现](findings.md)。

**要分析自动敏感数据发现所得出的结果**  
若要识别和分析 Macie 在为您的账户执行自动敏感数据发现时创建的调查发现，您可筛选调查发现。您可通过筛选条件，指定调查发现属性，以构建自定义视图和调查发现查询。筛选调查发现，您可以使用 Amazon Macie 控制台，也可以使用 Amazon Macie API 以编程方式提交查询。有关更多信息，请参阅 [筛选调查发现](findings-filter-overview.md)。

**注意**  
如果您的账户属于集中管理多个 Macie 账户的组织，则只有您的组织的 Macie 管理员才能直接访问自动敏感数据发现为您组织中的账户生成的调查发现。如果您拥有成员账户，并且想要查看账户的调查发现，请联系您的 Macie 管理员。

------
#### [ Console ]

按照以下步骤，使用 Amazon Macie 控制台识别和分析调查发现。

**要分析自动发现所得出的调查发现**

1. 打开亚马逊 Macie 主机，网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. 在导航窗格中，选择 **调查发现**。

1. 要显示被[抑制规则](findings-suppression.md)隐藏的调查发现，请使用**调查发现状态**设置。选择**全部**可同时显示隐藏和未隐藏的调查发现，或者选择**已存档**以仅显示隐藏的调查发现。然后要再次隐藏被抑制的调查发现，请选择**当前**。

1. 将光标置于**筛选标准**框。在出现的字段列表中，选择 **原始类型**。

   此字段指定 Macie 是如何找到敏感数据（生成调查发现）、自动敏感数据发现或敏感数据发现任务作业。要在筛选字段列表中查找此字段，您可以浏览完整列表，或者输入部分字段名称以缩小字段列表范围。

1. 选择 **AUTOMATED\$1SENSITIVE\$1DATA\$1DISCOVERY** 作为该字段的值，然后选择**应用**。Macie 应用筛选标准并将该条件添加到**筛选标准**框中的筛选条件令牌中。

1. 若要细化结果，请为其他字段添加筛选条件，例如：**创建时间**表示调查发现创建的时间；**S3 存储桶名称**表示受影响存储桶的名称；或**敏感数据检测类型**表示检测和产生调查发现的敏感类型。

如果您想在随后再次使用这组条件，可以将其另存为筛选规则。为此，请在**筛选标准**框中选择**保存规则**。输入规则的名称和描述（可选）。完成后，选择**保存**。

------
#### [ API ]

要以编程方式识别和分析调查结果，请在使用 Amazon Macie API 的[ListFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings.html)或[GetFindingStatistics](https://docs.aws.amazon.com/macie/latest/APIReference/findings-statistics.html)操作提交的查询中指定筛选条件。该**ListFindings**操作返回一个查找结果数组 IDs，每个符合筛选条件的查找结果对应一个 ID。然后，您可以使用它们 IDs 来检索每个发现的详细信息。**GetFindingStatistics** 操作会返回与筛选条件匹配的所有调查发现的汇总统计数据，这些数据按您在请求中指定的字段分组。有关以编程方式筛选调查发现的更多信息，请参阅 [筛选调查发现](findings-filter-overview.md)。

在筛选条件中，纳入 `originType` 字段条件。此字段指定 Macie 是如何找到敏感数据（生成调查发现）、自动敏感数据发现或敏感数据发现任务作业。如果自动敏感数据发现得出了调查发现，则该字段的值为 `AUTOMATED_SENSITIVE_DATA_DISCOVERY`。

要使用 AWS Command Line Interface (AWS CLI) 识别和分析调查结果，请运行 [list-](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-findings.html) findings 或[get-finding-statistics](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-finding-statistics.html)命令。以下示例使用**list-findings**命令检索当前 AWS 区域自动发现 IDs 敏感数据的所有高严重性发现结果的结果。

此示例针对 Linux、macOS 或 Unix 进行格式化，并使用反斜杠 (\$1) 行继续符来提高可读性。

```
$ aws macie2 list-findings \
--finding-criteria '{"criterion":{"classificationDetails.originType":{"eq":["AUTOMATED_SENSITIVE_DATA_DISCOVERY"]},"severity.description":{"eq":["High"]}}}'
```

此示例针对 Microsoft Windows 进行格式化，并使用脱字号 (^) 行继续符来提高可读性。

```
C:\> aws macie2 list-findings ^
--finding-criteria={\"criterion\":{\"classificationDetails.originType\":{\"eq\":[\"AUTOMATED_SENSITIVE_DATA_DISCOVERY\"]},\"severity.description\":{\"eq\":[\"High\"]}}}
```

其中：
+ `classificationDetails.originType` 指定 **原始类型** 字段的 JSON 名称，以及：
  + `eq` 指定 *等于* 运算符。
  + `AUTOMATED_SENSITIVE_DATA_DISCOVERY` 是该字段的枚举值。
+ *`severity.description`* 指定 **严重性** 字段的 JSON 名称，以及：
  + *`eq`* 指定 *等于* 运算符。
  + *`High`* 是该字段的枚举值。

如果请求成功，Macie 将返回一个数组。`findingIds`该数组列出了符合筛选标准的每个调查发现的唯一标识符，如以下示例所示。

```
{
    "findingIds": [
        "1f1c2d74db5d8caa76859ec52example",
        "6cfa9ac820dd6d55cad30d851example",
        "702a6fd8750e567d1a3a63138example",
        "826e94e2a820312f9f964cf60example",
        "274511c3fdcd87010a19a3a42example"
    ]
}
```

如果没有符合筛选条件的调查发现，Macie 将返回空`findingIds`数组。

```
{
    "findingIds": []
}
```

------

# 访问自动敏感数据发现产生的发现结果
<a name="discovery-asdd-results-s3-sddrs"></a>

当 Amazon Macie 执行自动敏感数据发现时，它会为其选择进行分析的每个 Amazon Simple Storage Service (Amazon S3) 对象创建分析记录。这些记录称为*敏感数据发现*，记录有关 Macie 对单个 S3 对象执行的分析详细信息。这包括 Macie 认为不包含敏感数据的对象，以及 Macie 因错误或权限设置等问题而无法分析的对象。敏感数据发现结果为您提供分析记录，这些记录可能有助于数据隐私和保护审计或调查。

如果 Macie 在 S3 对象中发现敏感数据，敏感数据发现结果就会提供 Macie 发现的敏感数据的相关信息。这些信息包括敏感数据调查发现所提供的相同类型的详细信息。它还提供了其他信息，例如 Macie 发现的每种敏感数据出现多达 1000 次的位置。例如：
+ Microsoft Excel 工作簿、CSV 文件或 TSV 文件中单元格或字段的列号和行号
+ JSON 或 JSON Lines 文件中的字段或数组路径
+ 除 CSV、JSON、JSON Lines 或 TSV 文件之外的非二进制文本文件中的行号，例如 HTML、TXT 或 XML 文件
+ Adobe 可移植文档格式 (PDF) 文件中页面的页码
+ Apache Avro 对象容器或 Apache Parquet 文件中记录的字段的记录索引和路径

如果受影响的 S3 对象是存档文件（如 .tar 或 .zip 文件），则敏感数据发现结果还会提供 Macie 从存档中提取的单个文件中敏感数据出现的详细位置数据。Macie 不会在存档文件的敏感数据调查发现中包含此信息。为了报告位置数据，敏感数据发现结果使用[标准化 JSON 架构](findings-locate-sd-schema.md)。

**注意**  
与敏感数据调查发现的情况一样，敏感数据发现结果不包括 Macie 在 S3 对象中发现的敏感数据。相反，他们提供了有助于审计或调查的分析详细信息。

Macie 会将您的敏感数据发现结果存储 90 天。您无法直接在 Amazon Macie 控制台或使用 Amazon Macie API 访问它们。相反，您可以配置 Macie 将其加密并存储至 S3 存储桶内。存储桶可以用作所有敏感数据发现结果的最终长期存储库。要确定是否已为您的账户配置了此存储库，请在 Amazon Macie 控制台的导航窗格中选择**发现结果**。要以编程方式执行此[GetClassificationExportConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/classification-export-configuration.html)操作，请使用亚马逊 Macie API 的操作。如果您尚未为账户配置此存储库，请参阅 [存储和保留敏感数据发现结果](discovery-results-repository-s3.md) 以了解具体操作方法。

将 Macie 配置为将敏感数据发现存储在 S3 存储桶中后，Macie 会将结果写入 JSON Lines (.jsonl) 文件，然后加密这些文件并将其作为 GNU Zip (.gz) 文件添加至存储桶。对于自动敏感数据发现，Macie 会将文件添加至存储桶中名为 `automated-sensitive-data-discovery` 文件夹中。然后，您可以选择访问和查询该文件夹中的结果。如果您的账户属于集中管理多个 Macie 账户的组织，则 Macie 会将文件添加到您的 Macie 管理员账户的存储桶中的 `automated-sensitive-data-discovery` 文件夹中。

敏感数据发现结果符合标准模式。这可以帮助您使用其他应用程序、服务和系统进行查询、监控和处理。有关如何查询和使用这些结果的详细说明性示例，请参阅*AWS 安全*博客上的以下博客文章：[如何使用 Amazon Athena 和 Amazon Quick 查询和可视化 Macie 敏感数据发现结果](https://aws.amazon.com/blogs/security/how-to-query-and-visualize-macie-sensitive-data-discovery-results-with-athena-and-quicksight/)。有关可用于分析结果的 Athena 查询示例，请访问上的 Amazon [Macie 结果分析存储](https://github.com/aws-samples/amazon-macie-results-analytics)库。 GitHub此存储库还提供了有关配置 Athena 以检索和解密结果的说明，以及用于为结果创建表的脚本。