本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 查看自动敏感数据发现的覆盖率数据 要通过自动敏感数据发现查看和评测覆盖率,您可以使用 Amazon Macie 控制台或 Amazon Macie API。控制台和 API 都提供了数据,这些数据可显示在当前 AWS 区域中对您的 Amazon Simple Storage Service (Amazon S3) 通用存储桶进行的分析的当前状态。这些数据包括有关在分析中造成差距的问题的信息: + 不允许 Macie 访问的存储桶。Macie 无法分析这些存储桶内的任何对象。存储桶的权限设置会阻止 Macie 访问存储桶和存储桶对象。 + 不存储任何可分类对象的存储桶。Macie 无法分析这些存储桶内的任何对象。所有对象使用 Macie 不支持的 Amazon S3 存储类别,并且其文件扩展名表示 Macie 不支持的文件或存储格式。 + 由于对象级分类错误,Macie 尚未能够分析的存储桶。Macie 试图分析这些存储桶中的一个或多个对象。但是,由于对象级权限设置、对象内容或配额存在问题,Macie 无法分析对象。 覆盖率数据会随着每天自动敏感数据发现的进展而更新。如果您是一个组织的 Macie 管理员,则这些数据将包含您的成员账户拥有的 S3 存储桶的信息。 **注意** 覆盖率数据并未明确包含您创建和运行的敏感数据发现任务的结果。但是,修复影响自动敏感数据发现结果的覆盖范围问题也可能增加您随后运行的敏感数据发现作业的覆盖范围。要评测某项作业的覆盖率,[请查看该作业的结果](discovery-jobs-manage-results.md)。如果作业的日志事件或其他结果表明存在覆盖率问题,[自动敏感数据发现的补救指南](discovery-coverage-remediate.md)可以帮助您解决其中一些问题。 **若要查看自动敏感数据发现的覆盖率数据** 要查看自动敏感数据发现的覆盖率数据,您可以使用 Amazon Macie 控制台或 Amazon Macie API。在控制台中,单个页面提供了当前区域中所有 S3 通用存储桶的覆盖率数据的统一视图。这包括每个存储桶最近发生的问题的汇总。该页面还提供了按问题类型查看数据组的选项。要跟踪您对特定存储桶问题的调查,您可以将页面中的数据导出到逗号分隔值 (CSV) 文件中。 ------ #### [ Console ] 按照以下步骤使用 Amazon Macie 控制台查看覆盖率数据。 **若要查看覆盖率数据** 1. 打开亚马逊 Macie 主机,网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 1. 在导航窗格中,选择**资源覆盖率**。 1. 在**资源覆盖率**页面上,选择要查看的覆盖率数据类型的选项卡: + **全部**-列出您账户的所有存储桶。对于每个存储桶,**问题**字段会显示是否存在问题阻止 Macie 分析存储桶中的对象。如果此字段的值为**无**,则表示 Macie 已经分析了存储桶的至少一个对象,或者 Macie 尚未尝试分析该存储桶的任何对象。如果存在问题,则此字段会显示问题的性质以及如何修复问题。对于对象级分类错误,它还可以(在括号中)显示错误的出现次数。 + **访问被拒绝**:列出不允许 Macie 访问的存储桶。这些存储桶的权限设置会阻止 Macie 访问存储桶和存储桶的对象。因此,Macie 无法分析存储桶中的任何对象。 + **分类错误**‬:列出 Macie 由于对象级分类错误(对象级权限设置、对象内容或配额存在问题)而尚未分析的存储桶。对于每个存储桶,**问题**字段会显示所发生的每种类型的错误的性质,这些错误阻止 Macie 分析存储桶中的对象。它还显示如何修复每种类型的错误。根据错误的不同,它还可以(在括号中)显示错误的出现次数。 + **不可分类**:列出 Macie 无法分析的存储桶,因为它们不存储任何可分类的对象。这些存储桶中的所有对象都使用不支持的 Amazon S3 存储类别,或者对不支持的文件或存储格式具有文件扩展名。因此,Macie 无法分析存储桶中的任何对象。 1. 要深入查看一个存储桶的支持数据,请选择该存储桶的名称。然后,请参阅详细信息面板,了解有关该存储桶的统计数据和其他信息。 1. 要将表格导出为 CSV 文件,请选择页面顶部的**导出到 CSV**。生成的 CSV 文件包含表中每个存储桶的元数据子集,最多 50000 个存储桶。该文件包含**覆盖率问题**字段。此字段的值表明问题是否阻止 Macie 分析存储桶中的对象,如果是,则指示问题的性质。 ------ #### [ API ] 要以编程方式查看覆盖率数据,请在使用 Amazon Macie API 的[DescribeBuckets](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3.html)操作提交的查询中指定筛选条件。此操作返回对象数组。每个对象都包含与筛选条件相匹配的 S3 通用存储桶的统计数据和其他信息。 在筛选条件中,包括要查看的覆盖率数据类型的条件: + 要识别由于存储桶的权限设置而不允许 Macie 访问的存储桶,请包括 `errorCode` 字段值等于 `ACCESS_DENIED` 的条件。 + 要识别允许 Macie 访问但尚未分析的存储桶,请包括 `sensitivityScore` 字段值等于 `50` 且 `errorCode` 字段值不等于 `ACCESS_DENIED` 的条件。 + 要识别因所有存储分区对象都使用不支持的存储类或格式而导致 Macie 无法分析的存储桶,请包括 `classifiableSizeInBytes` 字段值等于 `0` 且 `sizeInBytes` 字段值大于 `0` 的条件。 + 要识别 Macie 已经分析了至少一个对象的存储桶,请包括 `sensitivityScore` 字段值在 1—99 范围内但不等于 `50` 的条件。要同时包括您手动分配最高分数的存储桶,范围应为 1—100。 + 要识别 Macie 由于对象级分类错误而尚未分析的存储桶,请包括 `sensitivityScore` 字段值等于 `-1` 的条件。然后,要查看特定存储桶发生的错误类型和错误数量的明细,请使用[GetResourceProfile](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles.html)操作。 如果您使用的是 AWS Command Line Interface (AWS CLI),请通过运行 desc [ribe-b](https://docs.aws.amazon.com/cli/latest/reference/macie2/describe-buckets.html) uckets 命令在您提交的查询中指定筛选条件。要查看特定 S3 存储桶发生的错误类型和数量的明细(如果有),请运行该[get-resource-profile](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-resource-profile.html)命令。 例如,以下 AWS CLI 命令使用筛选条件来检索 Macie 由于存储桶的权限设置而无法访问的所有 S3 存储桶的详细信息。 此示例的格式适用于 Linux、macOS 或 Unix: ``` $ aws macie2 describe-buckets --criteria '{"errorCode":{"eq":["ACCESS_DENIED"]}}' ``` 此示例的格式适用于 Microsoft Windows: ``` C:\> aws macie2 describe-buckets --criteria={\"errorCode\":{\"eq\":[\"ACCESS_DENIED\"]}} ``` 如果请求成功,Macie 将返回一个 `buckets` 数组。该数组包含每个 S3 存储桶的对象,该对象位于当前存储桶中, AWS 区域 并且符合筛选条件。 如果没有符合筛选条件的 S3 存储桶,Macie 将返回一个空 `buckets` 数组。 ``` { "buckets": [] } ``` 有关在查询中指定筛选条件的更多信息(包括常用条件的示例),请参阅 [筛选您的 S3 存储桶清单](monitoring-s3-inventory-filter.md)。 ------ 有关帮助您解决覆盖率问题的详细信息,请参阅 [修复自动敏感数据发现的覆盖率问题](discovery-coverage-remediate.md)。