

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 筛选 Macie 调查发现
<a name="findings-filter-overview"></a>

为了执行有针对性的分析并更有效地分析结果，您可以筛选 Amazon Macie 调查发现。您可通过筛选条件，为调查发现构建自定义视图和查询，帮助您识别和关注有指定特点的调查发现。使用 Amazon Macie 控制台筛选调查发现，或者使用 Amazon Macie API 以编程方式提交查询。

创建筛选条件时，您可使用指定的调查发现属性，定义在视图或查询结果中包含或排除调查发现的标准。*调查发现属性*是一个存储调查发现的特定数据的字段，例如严重性、类型或调查发现所适用的 S3 存储桶的名称。

Macie 中的筛选条件包含一个或多个条件。每个条件，也称为*标准*，由三个部分组成：
+ 基于属性的字段，例如**严重性**或**调查发现类型**。
+ 一个运算符，例如*等于*或*不等于*。
+ 一个或多个值。值的类型和数量取决于您选择的字段和运算符。

如果您创建了想再次使用的筛选条件，则可以将其另存为*筛选规则*。*筛选规则*是一组筛选标准，您可以创建并保存这些筛选标准，以便在您在 Amazon Macie 控制台上查看结果时重新应用。

您也可以将筛选条件另存为*抑制规则*。*抑制规则*是您创建并保存的一组筛选条件，用于自动存档符合规则标准的调查发现。要了解有关抑制规则的信息，请参阅[抑制调查发现](findings-suppression.md)。

**Topics**
+ [筛选基础知识](findings-filter-basics.md)
+ [用于筛选调查发现的字段](findings-filter-fields.md)
+ [创建和应用筛选条件](findings-filter-procedure.md)
+ [定义筛选规则](findings-filter-rule-procedures.md)

# 筛选 Macie 调查发现的基础知识
<a name="findings-filter-basics"></a>

当您筛选调查发现时，请记住以下功能和指南。另请注意，筛选结果仅限于前 90 天和当前 AWS 区域。亚马逊 Macie 每次只会将您的发现存储 90 天。 AWS 区域

**Topics**
+ [在筛选条件中使用多个条件](#findings-filter-basics-multiple-criteria)
+ [为字段指定值](#findings-filter-basics-value-types)
+ [为字段指定多个值](#findings-filter-basics-multiple-values)
+ [在条件中使用运算符](#findings-filter-basics-operators)

## 在筛选条件中使用多个条件
<a name="findings-filter-basics-multiple-criteria"></a>

筛选条件可能包含一个或多个条件。每个条件，也称为*标准*，由三个部分组成：
+ 基于属性的字段，例如**严重性**或**调查发现类型**。有关可以使用的字段列表，请参阅 [用于筛选 Macie 调查发现的字段](findings-filter-fields.md)。
+ 一个运算符，例如*等于*或*不等于*。有关可以使用的运算符列表，请参阅 [在条件中使用运算符](#findings-filter-basics-operators)。
+ 一个或多个值。值的类型和数量取决于您选择的字段和运算符。

如果一个筛选条件包含多个条件，Amazon Macie 会使用 AND 逻辑来连接条件并评测筛选标准。这意味着，只有当结果与筛选条件中的*所有*条件都匹配时，它才会匹配筛选条件。

例如，如果您添加一个条件以仅包含高严重性调查发现，而添加另一个条件以仅包含敏感数据调查发现，则 Macie 将返回所有高严重性的敏感数据调查发现。换句话说，Macie 会排除所有策略调查发现以及所有中等严重性和低严重性的敏感数据调查发现。

在筛选条件中只能使用一个字段一次。但是，您可以为多个字段指定多个值。

例如，如果某个条件使用**严重性**字段仅包含高严重性调查发现，则不能在其他条件中使用**严重性**字段来包含中等严重性或低严重性调查发现。相反，可以为现有条件指定多个值，或者对现有条件使用不同的运算符。例如，要包括所有中等严重性和高严重性结果，请添加**严重性***等于**中、高*条件或添加**严重性***不等于**低*条件。

## 为字段指定值
<a name="findings-filter-basics-value-types"></a>

为字段指定值时，该值必须符合该字段的基础数据类型。根据字段的不同，您可以指定以下值类型之一。

**文本数组（字符串）**  
为字段指定文本（字符串）值列表。***每个字符串都与字段的预定义值或现有值相关联，例如，“**严重性**” 字段为 “*高*”，“查找结果**类型” 字段为:S3Object/FinancialSensitiveData，或 S3 存储桶名称字段**的 S3 存储桶名称。***  
如果您使用数组，请注意以下几点：  
+ 值区分大小写。
+ 您不能指定部分值或使用值中的通配符。您必须为字段指定一个完整的有效值。
例如，要筛选名为 *my-S3-bucket* 的 S3 存储桶的调查发现，请在 **S3 存储桶名称**字段中输入 **my-S3-bucket** 作为值。如果您输入任何其他值，例如 **my-s3-bucket** 或 **my-S3**，Macie 将不会返回存储桶的调查发现。  
有关每个字段的有效值的列表，请参阅 [用于筛选 Macie 调查发现的字段](findings-filter-fields.md)。  
您最多可以在一个数组中指定 50 个值。如何指定这些值取决于您使用的是 Amazon Macie 控制台还是 Amazon Macie API，如 [为字段指定多个值](#findings-filter-basics-multiple-values) 中所述。

**布尔值**  
为字段指定两个互斥值中的一个。  
如果您使用 Amazon Macie 控制台来指定此类值，则控制台会提供一个值列表供您选择。如果您使用 Amazon Macie API，请为值指定 `true` 或 `false`。

**日期/时间（及时间范围）**  
为字段指定绝对日期和时间。如果指定这种类型的值，则必须同时指定日期和时间。  
在 Amazon Macie 控制台上，日期和时间值以您的当地时区为单位，并使用 24 小时表示法。在所有其他情况下，这些值均采用协调世界时 (UTC) 和扩展的 ISO 8601 格式，例如 `2020-09-01T14:31:13Z` 为世界标准时间 2020 年 9 月 1 日下午 2:31:13。  
如果某个字段存储了一个 date/time 值，则可以使用该字段来定义固定或相对的时间范围。例如，您可以仅包括在两个特定日期和时间之间创建的调查发现，或者仅包含在特定日期和时间之前或之后创建的调查发现。如何定义时间范围取决于您是否使用 Amazon Macie 控制台或 Amazon Macie API:  
+ 在控制台上，使用日期选择器或直接在**从**和**到**框中输入文本。
+ 在 API 上，通过添加一个用于指定该范围内的第一个日期和时间的条件来定义固定时间范围，然后添加另一个用于指定该范围内最后一个日期和时间的条件。如果这样做，Macie 会使用 AND 逻辑来加入条件。要定义相对时间范围，请添加一个条件来指定该范围内的第一个或最后一个日期和时间。将这些值指定为以毫秒为单位的 Unix 时间戳，例如，`1604616572653` 为世界标准时间 2020 年 11 月 5 日 22:49:32。
在控制台上，时间范围包含在内。在 API 上，时间范围可以是包容性的，也可以是排他性的，具体取决于您选择的运算符。

**数字（和数值范围）**  
为字段指定长整数。  
如果字段存储数值，则可以使用该字段定义固定或相对数值范围。例如，您只能包含那些在 S3 对象中报告 50-90 次出现的敏感数据的发现。如何定义数值范围取决于您是否使用 Amazon Macie 控制台或 Amazon Macie API:  
+ 在控制台上，使用**从**和**到**框分别输入该范围内的最小和最高数字。
+ 使用API，通过添加一个指定范围内最低数字的条件来定义一个固定的数字范围，并添加另一个指定范围内最高数字的条件。如果这样做，Macie 会使用 AND 逻辑来加入条件。要定义相对数值范围，请添加一个条件来指定该范围内的最小或最高数字。
在控制台上，数值范围包含在内。使用 API，数值范围可以是包容性的，也可以是排他性的，具体取决于您选择的运算符。

**文本（字符串）**  
为字段指定单个文本（字符串）值。该字符串与字段的预定义值或现有值相关联，例如**严重性**字段为*高*，**S3 存储桶名称**字段为 S3 存储桶的名称，或**作业 ID**字段为敏感数据发现作业的唯一标识符。  
如果您指定一个文本字符串，请注意以下几点：  
+ 值区分大小写。
+ 您不能使用部分值或使用值中的通配符。您必须为字段指定一个完整的有效值。
例如，要筛选名为 *my-S3-bucket* 的 S3 存储桶的调查发现，请在 **S3 存储桶名称**字段中输入 **my-S3-bucket** 作为值。如果您输入任何其他值，例如 **my-s3-bucket** 或 **my-S3**，Macie 将不会返回存储桶的调查发现。  
有关每个字段的有效值的列表，请参阅 [用于筛选 Macie 调查发现的字段](findings-filter-fields.md)。

## 为字段指定多个值
<a name="findings-filter-basics-multiple-values"></a>

使用某些字段和运算符，您可以为一个字段指定多个值。如果您这样做，Amazon Macie 会使用 OR 逻辑来连接值并评测筛选条件。这意味着，如果某项查找结果具有为该字段的*任何*值，则该结果与该条件相匹配。

例如，如果您添加一个条件以包括**查找结果类型**字段的值等于:S3 的结果 *SensitiveData，*则 Object/Financial, SensitiveData:S3Object/Personal Macie 会返回仅包含财务信息的 S3 对象和仅包含个人信息的 S3 对象的敏感数据查找结果。换句话说，Macie 排除了所有策略调查发现。对于包含其他类型的敏感数据或多种类型的敏感数据的对象，Macie 还会排除所有敏感数据发现。

使用 *eqExactMatch* 运算符的条件除外。对于这个运算符，Macie 使用 AND 逻辑连接值并评测筛选条件。这意味着，只有当查找结果包含该字段的*所有*值并且*仅*包含该字段的那些值时，它才符合标准。要详细了解此运算符，请参阅 [在条件中使用运算符](#findings-filter-basics-operators)。

如何为一个字段指定多个值取决于您是使用 Amazon Macie API 还是 Amazon Macie 控制台。使用 API，您可以使用列出值的数组。

在控制台上，您通常会从列表中选择值。但是，对于某些字段，您必须为每个值添加不同的条件。例如，要包括 Macie 使用某些自定义数据标识符检测到的数据的调查发现，请执行以下操作：

1. 将光标置于**筛选标准**框中，然后选择**自定义数据标识符名称**字段。输入自定义数据标识符的名称，然后选择**应用**。

1. 对要为筛选条件指定的每个其他自定义数据标识符重复上述步骤。

有关需要执行此操作的字段列表，请参阅 [用于筛选 Macie 调查发现的字段](findings-filter-fields.md)。

## 在条件中使用运算符
<a name="findings-filter-basics-operators"></a>

您可以在各个条件中使用以下类型的运算符。

**等于号 (eq)**  
匹配 (=) 为该字段指定的任何值。可以对以下类型的值使用*等号*运算符：文本数组（字符串）、布尔值、日期/时间、数字和文本（字符串）。  
对于许多字段，您可以使用此运算符为该字段指定多达 50 个值。如果这样做，Amazon Macie 将使用 OR 逻辑连接这些值。这意味着，如果某项查找结果具有为该字段指定的*任何*值，则该结果与该条件相匹配。  
例如：  
+ 要包含报告财务信息、个人信息或财务和个人信息出现情况的结果，请添加使用**敏感数据类别**字段和此操作符的条件，并将*财务信息*和*个人信息*指定为该字段的值。
+ 要包括报告信用卡号、邮寄地址或同时出现信用卡号和邮寄地址的调查发现，请为**敏感数据检测类型**字段添加条件，使用此运算符，然后指定 *CREDIT\$1CARD\$1NUMBER* 和 *ADDRESS* 作为该字段的值。
如果您使用 Amazon Macie API 定义使用此运算符和值的条件，请将该 date/time 值指定为以毫秒为单位的 Unix 时间戳，例如，世界标准时间 2020 年 11 月 5 日 22:49:32。`1604616572653`

**等于完全匹配 (eqExactMatch)**  
只匹配为该字段指定的所有值。您可以将*等于完全匹配*运算符与一组选定的字段一起使用。  
如果您使用此运算符并为一个字段指定多个值，Macie 会使用 AND 逻辑来连接这些值。这意味着，只有当查找结果包含为该字段指定的*所有*值并且*仅*包含该字段的那些值时，它才符合条件。您最多可以指定 50 个值。  
例如：  
+ 要包括报告信用卡号出现次数而不报告其他类型敏感数据的结果，请为**敏感数据检测类型**字段添加条件，使用此运算符，然后指定 *CREDIT\$1CARD\$1NUMBER* 为该字段的唯一值。
+ 要包含报告出现信用卡号和邮寄地址(不包含其他类型的敏感数据)的结果，请为**敏感数据检测类型**字段添加一个条件，使用此操作符，并指定 *CREDIT\$1CARD\$1NUMBER* 和 *ADDRESS* 作为该字段的值。
由于 Macie 使用 AND 逻辑来连接字段的值，因此对于同一字段，您不能将此运算符与任何其他运算符组合使用。换句话说，如果您在一个条件中对字段使用*等于完全匹配*运算符，则必须在使用相同字段的所有其他条件中使用该运算符。  
与其他运算符一样，可以在筛选条件中的多个条件使用*等于完全匹配*运算符。如果这样做，Macie 会使用 AND 逻辑来加入条件并评测筛选条件。这意味着查找结果只有在具有筛选条件中*所有*条件指定的*所有*值时才符合筛选条件。  
例如，要包括在一定时间后创建的调查发现，报告信用卡号的出现次数，并且不报告任何其他类型的敏感数据，请执行以下操作：  

1. 添加一个条件，该条件使用**创建时间**字段，使用*大于*运算符，并指定筛选条件的开始日期和时间。

1. 添加另一个条件，该条件使用**敏感数据检测类型**字段，使用*等于完全匹配*运算符，并指定 *CREDIT\$1CARD\$1NUMBER* 为该字段的唯一值。
您可以对以下字段使用*等于完全匹配*运算符:  
+ 自定义数据标识符 ID (`customDataIdentifiers.detections.arn`)
+ 自定义数据标识符名称 (`customDataIdentifiers.detections.name`)
+ S3 存储桶标签键 (`resourcesAffected.s3Bucket.tags.key`)
+ S3 存储桶标签值 (`resourcesAffected.s3Bucket.tags.value`)
+ S3 对象标签键 (`resourcesAffected.s3Object.tags.key`)
+ S3 对象标签值 (`resourcesAffected.s3Object.tags.value`)
+ 敏感数据检测类型 (`sensitiveData.detections.type`)
+ 敏感数据类别 (`sensitiveData.category`)
在前面的列表中，括号中的名称使用点符号来表示搜索结果和 Amazon Macie API 的 JSON 表示形式中的字段名称。

**大于 (gt)**  
大于 (>) 为该字段指定的值。您可以将*大于*运算符与数字和日期/时间值一起使用。  
例如，要仅包括那些在 S3 对象中报告敏感数据出现次数超过 90 次的结果，请添加一个使用**敏感数据总计数**字段和此运算符的条件，并指定 90 作为该字段的值。要在 Amazon Macie 控制台上执行此操作，请在**从**框中输入 **91**，不要在**到**框中输入值，然后选择**应用**。控制台上包含数字和基于时间的比较。  
如果您使用 Amazon Macie API 定义使用此运算符的时间范围，则必须将这些 date/time 值指定为以毫秒为单位的 Unix 时间戳，例如，世界标准时间 2020 年 11 月 5 日 22:49:32。`1604616572653`

**大于或等于 (gte)**  
大于或等于 (>=) 为该字段指定的值。可以将*大于或等于运算符与*数字和 date/time 值一起使用。  
例如，要仅包含那些报告 S3 对象中敏感数据出现 90 次或以上的结果，可以添加一个条件，使用**敏感数据总计数**字段和此操作符，并指定 90 作为该字段的值。要在 Amazon Macie 控制台上执行此操作，请在**从**框中输入 **90**，不要在**到**框中输入值，然后选择**应用**。  
如果您使用 Amazon Macie API 定义使用此运算符的时间范围，则必须将这些 date/time 值指定为以毫秒为单位的 Unix 时间戳，例如，世界标准时间 2020 年 11 月 5 日 22:49:32。`1604616572653`

**小于 (lt)**  
小于 (<) 为该字段指定的值。您可以将*小于*运算符与数字和日期/时间值一起使用。  
例如，要只包含那些报告 S3 对象中敏感数据出现次数少于 90 次的结果，可以添加一个条件，使用**敏感数据总计数**字段和此操作符，并指定 90 作为该字段的值。要在 Amazon Macie 控制台上执行此操作，请在**到**框中输入 **89**，不要在**从**框中输入值，然后选择**应用**。控制台上包含数字和基于时间的比较。  
如果您使用 Amazon Macie API 定义使用此运算符的时间范围，则必须将这些 date/time 值指定为以毫秒为单位的 Unix 时间戳，例如，世界标准时间 2020 年 11 月 5 日 22:49:32。`1604616572653`

**小于或等于 (lte)**  
小于或等于 (<=) 为该字段指定的值。您可以将*小于或等于运算符与*数字和 date/time 值一起使用。  
例如，要仅包括那些在 S3 对象中报告敏感数据出现次数少于或等于 90 次的结果，请添加一个使用**敏感数据总计数**字段和此运算符的条件，并指定 90 作为该字段的值。要在 Amazon Macie 控制台上执行此操作，请在**到**框中输入 **90**，不要在**从**框中输入值，然后选择**应用**。  
如果您使用 Amazon Macie API 定义使用此运算符的时间范围，则必须将这些 date/time 值指定为以毫秒为单位的 Unix 时间戳，例如，世界标准时间 2020 年 11 月 5 日 22:49:32。`1604616572653`

**不等于 (neq)**  
不匹配 (≠) 为该字段指定的任何值。可以对以下类型的值使用*不等于*运算符：文本数组（字符串）、布尔值、日期/时间、数字和文本（字符串）。  
对于许多字段，您可以使用此运算符为该字段指定多达 50 个值。如果这样做，Macie 将使用 OR 逻辑连接这些值。这意味着，如果某项查找结果没有该字段的*任何*值，则该结果与该条件相匹配。  
例如：  
+ 要排除报告财务信息、个人信息或财务和个人信息出现情况的调查发现，请添加一个使用**敏感数据类别**字段和此运算符的条件，并将*财务信息和*个人信息**指定为该字段的值。
+ 要排除报告出现信用卡号的结果，请为**敏感数据检测类型**字段添加一个条件，使用此运算符，并指定 *CREDIT\$1CARD\$1NUMBER* 为该字段的值。
+ 要排除报告信用卡号、邮寄地址或同时出现信用卡号和邮寄地址的调查发现，请为**敏感数据检测类型**字段添加条件，使用此运算符，然后指定*CREDIT\$1CARD\$1NUMBER*和*ADDRESS*作为该字段的值。
如果您使用 Amazon Macie API 定义使用此运算符和值的条件，请将该 date/time 值指定为以毫秒为单位的 Unix 时间戳，例如，世界标准时间 2020 年 11 月 5 日 22:49:32。`1604616572653`

# 用于筛选 Macie 调查发现的字段
<a name="findings-filter-fields"></a>

为了帮助您更有效地分析调查发现，Amazon Macie 控制台和 Amazon Macie API 提供了对多组字段的访问权限，用于筛选调查发现：
+ **常用字段**‬：这些字段存储适用于任何类型的调查发现的数据。它们与调查发现的常见属性相关，例如严重性、调查发现类型和调查发现 ID。
+ **受影响的资源字段**：这些字段存储与调查发现适用的资源相关的数据，例如受影响的 S3 存储桶或对象的名称、标签和加密设置。
+ **策略调查发现字段**‬：这些字段存储特定于策略调查发现的数据，例如产生调查发现的操作以及执行操作的实体。
+ **敏感数据调查发现字段**‬：这些字段存储特定于敏感数据调查发现的数据，例如 Macie 在受影响的 S3 对象中发现的敏感数据的类别和类型。

筛选条件可以使用前面任意组中的字段组合。本节的主题列出并描述了每个字段集中的各个字段。有关这些字段的更多详情，包括字段之间的任何关系，请参阅 *Amazon Macie API 参考*中的[调查发现](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html)。

**Topics**
+ [公用字段](#findings-filter-fields-common)
+ [受影响的资源字段](#findings-filter-fields-affected-resource)
+ [策略调查发现的字段](#findings-filter-fields-policy)
+ [敏感数据调查发现的字段](#findings-filter-fields-sd)

## 公用字段
<a name="findings-filter-fields-common"></a>

下表列出并描述了可用于根据常见调查发现属性筛选结果的字段。这些字段存储适用于任何类型的调查发现的数据。

在表中，**字段**列指明了 Amazon Macie 控制台上该字段的名称。**JSON 字段**列使用点符号在调查发现和 Amazon Macie API 的 JSON 表示形式中表示字段的名称。**描述**列简要描述了该字段存储的数据，并指出了对筛选值的任何要求。该表按字段的字母升序排序，然后按 JSON 字段排序。


| 字段 | JSON 字段 | 说明 | 
| --- | --- | --- | 
|  账户 ID\$1  |  `accountId`  |  调查结果适用的唯一标识符。 AWS 账户 这通常是拥有受影响资源的账户。  | 
| — |  `archived`  |  一个布尔值，它指定调查发现是否被抑制规则屏蔽（自动存档）。 要在控制台的筛选条件中使用此字段，请在**调查发现状态**菜单上选择一个选项：**已存档**（仅限屏蔽）、**当前**（仅限取消屏蔽）或**全部**（包括屏蔽和未屏蔽）。  | 
|  类别  |  `category`  |  调查发现的类别。 当您将此字段添加到筛选条件时，控制台会提供一个值列表供您选择。在 API 中，有效值为：`CLASSIFICATION`，针对敏感数据调查发现；和 `POLICY`，针对策略调查发现。  | 
| — |  `count`  |  调查发现的出现总数。对于敏感数据调查发现，此值始终为 `1`。所有敏感数据调查发现都被认为是唯一的。 此字段不能作为控制台上的筛选选项使用。通过 API，您可以使用此字段为筛选条件定义数值范围。  | 
|  创建时间  |  `createdAt`  |  Macie 创建调查发现的日期和时间。您可以使用此字段为筛选条件定义时间范围。  | 
|  调查发现 ID\$1  |  `id`  |  调查发现的唯一标识符。这是 Macie 在创建调查发现时生成并分配给调查发现的随机字符串。  | 
|  调查发现类型\$1  |  `type`  |  调查发现的类型，例如，`SensitiveData:S3Object/Personal` 或 `Policy:IAMUser/S3BucketPublic`。 当您将此字段添加到筛选条件时，控制台会提供一个值列表供您选择。有关 API 中有效值的列表，请参阅[FindingType](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html#findings-describe-model-findingtype)《*亚马逊 Macie API* 参考》。  | 
|  Region  |  `region`  |   AWS 区域 那个 Macie 在其中创造了调查结果——例如，或。`us-east-1` `ca-central-1`  | 
|  样本  |  `sample`  |  指定调查发现是否为样本调查发现的布尔值。*样本调查发现*是一种使用示例数据和占位符值来演示调查发现可能包含的内容的调查发现。 当您将此字段添加到筛选条件时，控制台会提供一个值列表供您选择。  | 
|  严重性  |  `severity.description`  |  调查发现严重程度的定性表示。 当您将此字段添加到筛选条件时，控制台会提供一个值列表供您选择。在 API 中，有效值为 `Low`、`Medium` 和 `High`。  | 
|  更新时间  |  `updatedAt`  |  上次更新调查发现的日期和时间。对于敏感数据调查发现，此值与**创建时间**字段的值相同。所有敏感数据调查发现均被视为新发现（唯一的）。 您可以使用此字段为筛选条件定义时间范围。  | 

\$1 要在控制台上为此字段指定多个值，请添加一个使用该字段的条件并为筛选条件指定一个不同的值，然后对每个其他值重复该步骤。要使用 API 执行此操作，请使用一个列出用于筛选条件的值的数组。

## 受影响的资源字段
<a name="findings-filter-fields-affected-resource"></a>

下表列出并描述了可用于根据调查发现适用的资源类型（[S3 存储桶](#findings-filter-fields-affected-resource-S3bucket)或 [S3 对象](#findings-filter-fields-affected-resource-S3object)）筛选调查发现的字段。

### S3 存储桶
<a name="findings-filter-fields-affected-resource-S3bucket"></a>

此表列出并描述了可用于根据调查发现所适用的 S3 存储桶特征筛选调查发现的字段。

在表中，**字段**列指明了 Amazon Macie 控制台上该字段的名称。**JSON 字段**列使用点符号在调查发现和 Amazon Macie API 的 JSON 表示形式中表示字段的名称。（较长的 JSON 字段名称使用换行符序列 (`\n`) 来提高可读性。） **描述**列简要描述了该字段存储的数据，并指出了对筛选值的任何要求。该表按字段的字母升序排序，然后按 JSON 字段排序。


| 字段 | JSON 字段 | 说明 | 
| --- | --- | --- | 
|  —  |  `resourcesAffected.s3Bucket.createdAt`  |  受影响的存储桶的创建日期和时间，或者最近对受影响的存储桶进行更改（例如修改存储桶的策略）的日期和时间。 此字段不能作为控制台上的筛选选项使用。通过 API，您可以使用此字段为筛选条件定义时间范围。  | 
|  S3 存储桶的默认加密  |  `resourcesAffected.s3Bucket.\n` `defaultServerSideEncryption.encryptionType`  |  默认情况下用于加密添加到受影响存储桶中的对象的服务器端加密算法。 当您将此字段添加到筛选条件时，控制台会提供一个值列表供您选择。有关 API 的有效值列表，请参阅[EncryptionType](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html#findings-describe-model-encryptiontype)《*亚马逊 Macie API* 参考》。  | 
|  S3 存储桶加密 KMS 密钥 ID\$1  |  `resourcesAffected.s3Bucket.\n` `defaultServerSideEncryption.kmsMasterKeyId`  |  的亚马逊资源名称 (ARN) 或唯一标识符（密钥 ID） AWS KMS key ，默认用于加密添加到受影响存储桶中的对象。  | 
|  存储桶策略必需的 S3 存储桶加密  |  `resourcesAffected.s3Bucket.allowsUnencryptedObjectUploads`  |  指定在向存储桶添加对象时，受影响存储桶的存储桶策略是否要求对对象进行服务器端加密。 当您将此字段添加到筛选条件时，控制台会提供一个值列表供您选择。有关 API 的有效值列表，请参阅 *Amazon Macie API 参考*中的 [S3Bucket](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html#findings-describe-model-s3bucket)。  | 
|  S3 存储桶名称\$1  |  `resourcesAffected.s3Bucket.name`  |  受影响存储桶的全名。  | 
|  S3 存储桶所有者显示名称\$1  |  `resourcesAffected.s3Bucket.owner.displayName`  |  拥有受影响存储桶的 AWS 用户的显示名称。  | 
|  S3 存储桶公开访问权限  |  `resourcesAffected.s3Bucket.publicAccess.effectivePermission`  |  根据适用于存储桶的权限设置组合，指定受影响的存储桶是否可公开访问。 当您将此字段添加到筛选条件时，控制台会提供一个值列表供您选择。有关 API 的有效值列表，请参阅[BucketPublicAccess](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html#findings-describe-model-bucketpublicaccess)《*亚马逊 Macie API* 参考》。  | 
|  —  |  `resourcesAffected.s3Bucket.publicAccess.\n` `permissionConfiguration.accountLevelPermissions.\n` `blockPublicAccess.blockPublicAcls`  |  一个布尔值，指定 Amazon S3 是否阻止受影响的存储桶和存储桶中对象的公共访问控制列表 (ACLs)。这是存储桶的账户级屏蔽公共访问权限设置。 此字段不能作为控制台上的筛选选项使用。  | 
|  —  |  `resourcesAffected.s3Bucket.publicAccess.\n` `permissionConfiguration.accountLevelPermissions.\n` `blockPublicAccess.blockPublicPolicy`  |  一个布尔值，指定 Amazon S3 是否屏蔽受影响存储桶的公共存储桶策略。这是存储桶的账户级屏蔽公共访问权限设置。 此字段不能作为控制台上的筛选选项使用。  | 
|  —  |  `resourcesAffected.s3Bucket.publicAccess.\n` `permissionConfiguration.accountLevelPermissions.\n` `blockPublicAccess.ignorePublicAcls`  |  一个布尔值，指定 Amazon S3 是否忽略受影响的存储桶和存储桶中对象的公开ACLs 内容。这是存储桶的账户级屏蔽公共访问权限设置。 此字段不能作为控制台上的筛选选项使用。  | 
|  —  |  `resourcesAffected.s3Bucket.publicAccess.\n` `permissionConfiguration.accountLevelPermissions.\n` `blockPublicAccess.restrictPublicBuckets`  |  一个布尔值，指定 Amazon S3 是否限制受影响存储桶的公共存储桶策略。这是存储桶的账户级屏蔽公共访问权限设置。 此字段不能作为控制台上的筛选选项使用。  | 
|  —  |  `resourcesAffected.s3Bucket.publicAccess.\n` `permissionConfiguration.bucketLevelPermissions.\n` `accessControlList.allowsPublicReadAccess`  |  一个布尔值，用于指定受影响存储桶的存储桶级 ACL 是否向公众授予该存储桶的读取访问权限。 此字段不能作为控制台上的筛选选项使用。  | 
|  —  |  `resourcesAffected.s3Bucket.publicAccess.\n` `permissionConfiguration.bucketLevelPermissions.\n` `accessControlList.allowsPublicWriteAccess`  |  一个布尔值，用于指定受影响存储桶的存储桶级 ACL 是否向公众授予该存储桶的写入访问权限。 此字段不能作为控制台上的筛选选项使用。  | 
|  —  |  `resourcesAffected.s3Bucket.publicAccess.\n` `permissionConfiguration.bucketLevelPermissions.\n` `blockPublicAccess.blockPublicAcls`  |  一个布尔值，用于指定 Amazon S3 是否阻止受影响的存储桶和存储桶中的对象的公开 ACLs内容。这是存储桶的存储桶级屏蔽公共访问权限设置。 此字段不能作为控制台上的筛选选项使用。  | 
|  —  |  `resourcesAffected.s3Bucket.publicAccess.\n` `permissionConfiguration.bucketLevelPermissions.\n` `blockPublicAccess.blockPublicPolicy`  |  一个布尔值，指定 Amazon S3 是否屏蔽受影响存储桶的公共存储桶策略。这是存储桶的存储桶级屏蔽公共访问权限设置。 此字段不能作为控制台上的筛选选项使用。  | 
|  —  |  `resourcesAffected.s3Bucket.publicAccess.\n` `permissionConfiguration.bucketLevelPermissions.\n` `blockPublicAccess.ignorePublicAcls`  |  一个布尔值，指定 Amazon S3 是否忽略受影响的存储桶和存储桶中对象的公开ACLs 内容。这是存储桶的存储桶级屏蔽公共访问权限设置。 此字段不能作为控制台上的筛选选项使用。  | 
|  —  |  `resourcesAffected.s3Bucket.publicAccess.\n` `permissionConfiguration.bucketLevelPermissions.\n` `blockPublicAccess.restrictPublicBuckets`  |  一个布尔值，指定 Amazon S3 是否限制受影响存储桶的公共存储桶策略。这是存储桶的存储桶级屏蔽公共访问权限设置。 此字段不能作为控制台上的筛选选项使用。  | 
|  —  |  `resourcesAffected.s3Bucket.publicAccess.\n` `permissionConfiguration.bucketLevelPermissions.\n` `bucketPolicy.allowsPublicReadAccess`  |  一个布尔值，用于指定受影响的存储桶的策略是否允许公众拥有对该存储桶的读取权限。 此字段不能作为控制台上的筛选选项使用。  | 
|  —  |  `resourcesAffected.s3Bucket.publicAccess.\n` `permissionConfiguration.bucketLevelPermissions.\n` `bucketPolicy.allowsPublicWriteAccess`  |  一个布尔值，用于指定受影响的存储桶的策略是否允许公众拥有对存储桶的写入权限。 此字段不能作为控制台上的筛选选项使用。  | 
|  S3 存储桶标签键\$1  |  `resourcesAffected.s3Bucket.tags.key`  |  与受影响的存储桶关联的标签键。  | 
|  S3 存储桶标签值\$1  |  `resourcesAffected.s3Bucket.tags.value`  |  与受影响的存储桶关联的标签值。  | 

\$1 要在控制台上为此字段指定多个值，请添加一个使用该字段的条件并为筛选条件指定一个不同的值，然后对每个其他值重复该步骤。要使用 API 执行此操作，请使用一个列出用于筛选条件的值的数组。

### S3 对象
<a name="findings-filter-fields-affected-resource-S3object"></a>

此表列出并描述了可用于根据调查发现所适用的 S3 对象特征筛选调查发现的字段。

在表中，**字段**列指明了 Amazon Macie 控制台上该字段的名称。**JSON 字段**列使用点符号在调查发现和 Amazon Macie API 的 JSON 表示形式中表示字段的名称。（较长的 JSON 字段名称使用换行符序列 (`\n`) 来提高可读性。） **描述**列简要描述了该字段存储的数据，并指出了对筛选值的任何要求。该表按字段的字母升序排序，然后按 JSON 字段排序。


| 字段 | JSON 字段 | 说明 | 
| --- | --- | --- | 
|  S3 对象加密 KMS 密钥 ID\$1  |  `resourcesAffected.s3Object.\n` `serverSideEncryption.kmsMasterKeyId`  |  用于加密受影响对象的 Amazon 资源名称 (ARN) 或唯一标识符（密钥 ID）。 AWS KMS key   | 
|  S3 对象加密类型  |  `resourcesAffected.s3Object.\n` `serverSideEncryption.encryptionType`  |  用于加密受影响对象的服务器端加密算法。 当您将此字段添加到筛选条件时，控制台会提供一个值列表供您选择。有关 API 的有效值列表，请参阅[EncryptionType](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html#findings-describe-model-encryptiontype)《*亚马逊 Macie API* 参考》。  | 
| — |  `resourcesAffected.s3Object.extension`  |  受影响对象的文件扩展名。对于没有文件扩展名的对象，请指定 `""` 为筛选条件的值。 此字段不能作为控制台上的筛选选项使用。  | 
| — |  `resourcesAffected.s3Object.lastModified`  |  创建受影响对象或上次更改受影响对象的日期和时间，以最新日期为准。 此字段不能作为控制台上的筛选选项使用。通过 API，您可以使用此字段为筛选条件定义时间范围。  | 
| S3 对象键\$1 |  `resourcesAffected.s3Object.key`  |  受影响对象的全名（*键*），包括对象的前缀（如果适用）。  | 
| — |  `resourcesAffected.s3Object.path`  |  受影响对象的完整路径，包括受影响存储桶的名称和对象的名称（*键*）。 此字段不能作为控制台上的筛选选项使用。  | 
| S3 对象公共访问权限 |  `resourcesAffected.s3Object.publicAccess`  |  一个布尔值，它根据适用于该对象的权限设置组合来指定受影响对象是否可公开访问。 当您将此字段添加到筛选条件时，控制台会提供一个值列表供您选择。  | 
| S3 对象标签键\$1 |  `resourcesAffected.s3Object.tags.key`  |  与受影响对象关联的标签键。  | 
| S3 对象标签值\$1 |  `resourcesAffected.s3Object.tags.value`  |  与受影响对象关联的标签值。  | 

\$1 要在控制台上为此字段指定多个值，请添加一个使用该字段的条件并为筛选条件指定一个不同的值，然后对每个其他值重复该步骤。要使用 API 执行此操作，请使用一个列出用于筛选条件的值的数组。

## 策略调查发现的字段
<a name="findings-filter-fields-policy"></a>

下表列出并描述了您可使用筛选策略调查发现的字段。这些字段存储特定于策略调查发现的数据。

在表中，**字段**列指明了 Amazon Macie 控制台上该字段的名称。**JSON 字段**列使用点符号在调查发现和 Amazon Macie API 的 JSON 表示形式中表示字段的名称。（较长的 JSON 字段名称使用换行符序列 (`\n`) 来提高可读性。） **描述**列简要描述了该字段存储的数据，并指出了对筛选值的任何要求。该表按字段的字母升序排序，然后按 JSON 字段排序。


| 字段 | JSON 字段 | 说明 | 
| --- | --- | --- | 
|  操作类型  |  `policyDetails.action.actionType`  |  产生调查发现的操作的类型。该字段的唯一有效值是 `AWS_API_CALL`。  | 
|  API 调用名称\$1  |  `policyDetails.action.apiCallDetails.api`  |  最近调用并产生调查结果的操作的名称。  | 
|  API 服务名称\$1  |  `policyDetails.action.apiCallDetails.apiServiceName`  |  的 URL 提供了被调用并产生结果的操作，例如。 AWS 服务 `s3.amazonaws.com`  | 
|  —  | `policyDetails.action.apiCallDetails.firstSeen` | 调用任何操作并得出调查发现的第一个日期和时间。此字段不能作为控制台上的筛选选项使用。通过 API，您可以使用此字段为筛选条件定义时间范围。 | 
|  —  | `policyDetails.action.apiCallDetails.lastSeen` | 调用指定操作（**API 调用名称**或 `api`）并生成调查发现的最新日期和时间。此字段不能作为控制台上的筛选选项使用。通过 API，您可以使用此字段为筛选条件定义时间范围。 | 
|  —  | `policyDetails.actor.domainDetails.domainName` | 用于执行操作的设备的域名。此字段不能作为控制台上的筛选选项使用。 | 
|  知识产权城市\$1  |  `policyDetails.actor.ipAddressDetails.ipCity.name`  |  用于执行操作的设备的 IP 地址的起始城市名称。  | 
|  IP 国家/地区\$1  |  `policyDetails.actor.ipAddressDetails.ipCountry.name`  |  用于执行操作的设备 IP 地址的来源国家/地区的名称，例如，`United States`。  | 
|  —  | `policyDetails.actor.ipAddressDetails.ipOwner.asn` | 自治系统的自治系统号（ASN），包括用于执行操作的设备的 IP 地址。此字段不能作为控制台上的筛选选项使用。 | 
|  IP 所有者 ASN 组织\$1  |  `policyDetails.actor.ipAddressDetails.ipOwner.asnOrg`  |  与自治系统的 ASN 关联的组织标识符，其中包括用于执行操作的设备的 IP 地址。  | 
|  IP 所有者 ISP\$1  |  `policyDetails.actor.ipAddressDetails.ipOwner.isp`  |  拥有用于执行操作的设备的 IP 地址的互联网服务提供商（ISP）的名称。  | 
|  IP V4 地址\$1  |  `policyDetails.actor.ipAddressDetails.ipAddressV4`  |  用于执行操作的设备的互联网协议版本 4 (IPv4) 地址。  | 
|  —  | `policyDetails.actor.userIdentity.\n` `assumedRole.accessKeyId` | 对于使用通过 AWS STS API 操作获得的临时安全证书执行的`AssumeRole`操作，需要标识证书的 AWS 访问密钥 ID。此字段不能作为控制台上的筛选选项使用。 | 
|  用户身份代入角色账户 id\$1  |  `policyDetails.actor.userIdentity.\n` `assumedRole.accountId`  |  对于使用通过 AWS STS API 操作获得的临时安全证书执行的`AssumeRole`操作，则为拥有用于获取证书的实体的唯一标识符。 AWS 账户   | 
| 用户身份代入角色主体 id\$1 |  `policyDetails.actor.userIdentity.\n` `assumedRole.principalId`  |  对于使用通过 AWS STS API 的 `AssumeRole` 操作获得的临时安全凭证执行的操作，请提供用于获取凭证的实体的唯一标识符。  | 
| 用户身份代入角色会话 ARN\$1 |  `policyDetails.actor.userIdentity.\n` `assumedRole.arn`  |  对于使用通过 AWS STS API 的 `AssumeRole` 操作获得的临时安全凭证执行的操作，请提供用于获取凭证的来源账户、IAM 用户或角色的 Amazon 资源名称（ARN）。  | 
|  —  | `policyDetails.actor.userIdentity.\n` `assumedRole.sessionContext.sessionIssuer.type` | 对于使用通过 AWS STS API 操作获得的临时安全证书执行的`AssumeRole`操作，请提供临时安全证书的来源，例如`Root``IAMUser`、或`Role`。此字段不能作为控制台上的筛选选项使用。 | 
|  —  | `policyDetails.actor.userIdentity.\n` `assumedRole.sessionContext.sessionIssuer.userName` | 对于使用通过 AWS STS API 操作获得的临时安全证书执行的`AssumeRole`操作，请提供发布会话的用户或角色的名称或别名。请注意，如果凭证是从没有别名的根账户获得的，则此值为空。此字段不能作为控制台上的筛选选项使用。 | 
| 用户身份 AWS 账户账号\$1 |  `policyDetails.actor.userIdentity.\n` `awsAccount.accountId`  | 对于使用他人凭证执行的操作 AWS 账户，则为该账户的唯一标识符。 | 
| 用户身份 AWS 账户主体身份\$1 |  `policyDetails.actor.userIdentity.\n` `awsAccount.principalId`  |  对于使用另一个人的凭证执行的操作 AWS 账户，即执行该操作的实体的唯一标识符。  | 
| 调用的用户身份 AWS 服务 |  `policyDetails.actor.userIdentity.\n` `awsService.invokedBy`  |  对于属于 AWS 服务的账户执行的操作，请提供服务的名称。  | 
|  —  | `policyDetails.actor.userIdentity.\n` `federatedUser.accessKeyId` | 对于使用通过 AWS STS API 操作获得的临时安全证书执行的`GetFederationToken`操作，需要标识证书的 AWS 访问密钥 ID。此字段不能作为控制台上的筛选选项使用。 | 
| 用户身份联合验证会话 ARN\$1 |  `policyDetails.actor.userIdentity.\n` `federatedUser.arn`  |  对于使用通过 AWS STS API 操作获得的临时安全证书执行的`GetFederationToken`操作，则为用于获取证书的实体的 ARN。  | 
| 用户身份联合验证用户账户 ID \$1 |  `policyDetails.actor.userIdentity.\n` `federatedUser.accountId`  |  对于使用通过 AWS STS API 操作获得的临时安全证书执行的`GetFederationToken`操作，则为拥有用于获取证书的实体的唯一标识符。 AWS 账户   | 
| 用户身份联合验证用户主体 ID\$1 |  `policyDetails.actor.userIdentity.\n` `federatedUser.principalId`  |  对于使用通过 AWS STS API 操作获得的临时安全证书执行的`GetFederationToken`操作，这是用于获取证书的实体的唯一标识符。  | 
|  —  | `policyDetails.actor.userIdentity.\n` `federatedUser.sessionContext.sessionIssuer.type` | 对于使用通过 AWS STS API 操作获得的临时安全证书执行的`GetFederationToken`操作，请提供临时安全证书的来源，例如`Root`、`IAMUser`或。`Role`此字段不能作为控制台上的筛选选项使用。 | 
|  —  | `policyDetails.actor.userIdentity.\n` `federatedUser.sessionContext.sessionIssuer.userName` | 对于使用通过 AWS STS API 操作获得的临时安全证书执行的`GetFederationToken`操作，请提供发布会话的用户或角色的名称或别名。请注意，如果凭证是从没有别名的根账户获得的，则此值为空。此字段不能作为控制台上的筛选选项使用。 | 
| 用户身份 IAM 账户 ID \$1 |  `policyDetails.actor.userIdentity.\n` `iamUser.accountId`  |  对于使用 IAM 用户的证书执行的操作，这是与执行 AWS 账户 该操作的 IAM 用户关联的唯一标识符。  | 
| 用户身份 IAM 主体 ID\$1 |  `policyDetails.actor.userIdentity.\n` `iamUser.principalId`  |  对于使用 IAM 用户的凭证执行的操作，请提供执行该操作的 IAM 用户的唯一标识符。  | 
| 用户身份 IAM 用户名\$1 |  `policyDetails.actor.userIdentity.\n` `iamUser.userName`  |  对于使用 IAM 用户的凭证执行的操作，请提供执行该操作的 IAM 用户的用户名。  | 
| 用户身份根账户 ID\$1 |  `policyDetails.actor.userIdentity.\n` `root.accountId`  |  对于使用您的凭证执行的操作 AWS 账户，则为账户的唯一标识符。  | 
| 用户身份根主体 ID\$1 |  `policyDetails.actor.userIdentity.\n` `root.principalId`  |  对于使用您的凭证执行的操作 AWS 账户，这是执行该操作的实体的唯一标识符。  | 
| 用户身份类型 |  `policyDetails.actor.userIdentity.type`  |  执行产生调查发现的操作的实体的类型。 当您将此字段添加到筛选条件时，控制台会提供一个值列表供您选择。有关 API 的有效值列表，请参阅[UserIdentityType](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html#findings-describe-model-useridentitytype)《*亚马逊 Macie API* 参考》。  | 

\$1 要在控制台上为此字段指定多个值，请添加一个使用该字段的条件并为筛选条件指定一个不同的值，然后对每个其他值重复该步骤。要使用 API 执行此操作，请使用一个列出用于筛选条件的值的数组。

## 敏感数据调查发现的字段
<a name="findings-filter-fields-sd"></a>

下表列出并描述了您可用于筛选敏感数据调查发现的字段。这些字段存储特定于敏感数据调查发现的数据。

在表中，**字段**列指明了 Amazon Macie 控制台上该字段的名称。**JSON 字段**列使用点符号在调查发现和 Amazon Macie API 的 JSON 表示形式中表示字段的名称。（较长的 JSON 字段名称使用换行符序列 (`\n`) 来提高可读性。） **描述**列简要描述了该字段存储的数据，并指出了对筛选值的任何要求。该表按字段的字母升序排序，然后按 JSON 字段排序。


| 字段 | JSON 字段 | 说明 | 
| --- | --- | --- | 
|  自定义数据标识符 ID\$1  |  `classificationDetails.result.\n` `customDataIdentifiers.detections.arn`  |  检测数据并生成调查发现的自定义数据标识符的唯一标识符。  | 
|  自定义数据标识符名称\$1  |  `classificationDetails.result.\n` `customDataIdentifiers.detections.name`  |  用于检测数据并生成调查发现的自定义数据标识符的名称。  | 
|  自定义数据标识符总数  |  `classificationDetails.result.\n` `customDataIdentifiers.detections.count`  |  由自定义数据标识符检测到并产生调查发现的数据总出现次数。 您可以使用此字段为筛选条件定义数值范围。  | 
|  作业 ID\$1  |  `classificationDetails.jobId`  |  产生调查发现的敏感数据发现任务的唯一标识符。  | 
|  来源类型  | `classificationDetails.originType` | Macie 是如何找到产生这一调查发现的敏感数据的：`AUTOMATED_SENSITIVE_DATA_DISCOVERY` 或 `SENSITIVE_DATA_DISCOVERY_JOB`。   | 
|  —  | `classificationDetails.result.mimeType` | 调查发现适用的内容类型（以 MIME 类型表示），例如，用于 CSV 文件的 `text/csv` 或 用于 Adobe 便携文档格式文件的 `application/pdf`。此字段不能作为控制台上的筛选选项使用。 | 
|  —  | `classificationDetails.result.sizeClassified` | 调查发现适用的 S3 对象的总存储大小（以字节为单位）。此字段不能作为控制台上的筛选选项使用。通过 API，您可以使用此字段为筛选条件定义数值范围。 | 
|  结果状态代码\$1  |  `classificationDetails.result.status.code`  |  调查发现的状态。有效值为： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/findings-filter-fields.html)  | 
|  敏感数据类别  |  `classificationDetails.result.\n` `sensitiveData.category`  |  检测到并产生调查发现的敏感数据类别。 当您将此字段添加到筛选条件时，控制台会提供一个值列表供您选择。在 API 中，有效值为 `CREDENTIALS`、`FINANCIAL_INFORMATION` 和 `PERSONAL_INFORMATION`。  | 
|  敏感数据检测类型  |  `classificationDetails.result.\n` `sensitiveData.detections.type`  |  检测到并产生调查发现的敏感数据的类型。这是检测数据的托管数据标识符的唯一标识符。 当您将此字段添加到筛选条件时，控制台会提供一个值列表供您选择。有关控制台和 API 的有效值的列表，请参阅 [快速参考：按类型划分的托管数据标识符](mdis-reference-quick.md)。  | 
|  敏感数据总数  |  `classificationDetails.result.\n` `sensitiveData.detections.count`  |  检测到并产生调查发现的敏感数据类型的总出现次数。 您可以使用此字段为筛选条件定义数值范围。  | 

\$1 要在控制台上为此字段指定多个值，请添加一个使用该字段的条件并为筛选条件指定一个不同的值，然后对每个其他值重复该步骤。要使用 API 执行此操作，请使用一个列出用于筛选条件的值的数组。

# 创建筛选条件并将其应用于 Macie 调查发现
<a name="findings-filter-procedure"></a>

要识别并重点关注具有特定特征的调查发现，您可以在 Amazon Macie 控制台和使用 Amazon Macie API 以编程方式提交的查询中筛选调查发现。创建筛选条件时，您可使用指定的调查发现属性，定义在视图或查询结果中包含或排除调查发现的标准。*调查发现属性*是一个存储调查发现的特定数据的字段，例如严重性、类型或调查发现所适用的资源的名称。

Macie 中的筛选条件包含一个或多个条件。每个条件，也称为*标准*，由三个部分组成：
+ 基于属性的字段，例如**严重性**或**调查发现类型**。
+ 一个运算符，例如*等于*或*不等于*。
+ 一个或多个值。值的类型和数量取决于您选择的字段和运算符。

如何定义和应用筛选条件取决于您使用的是 Amazon Macie 主机还是 Amazon Macie API。

**Topics**
+ [使用控制台筛选调查发现](#findings-filter-procedure-console)
+ [以编程方式筛选调查发现](#findings-filter-procedure-api)

## 使用 Amazon Macie 控制台筛选调查发现
<a name="findings-filter-procedure-console"></a>

如果您使用 Amazon Macie 控制台筛选调查发现，Macie 会提供一些选项来帮助您为各个条件选择字段、运算符和值。您可以使用**调查发现**页面上的筛选条件设置访问这些选项，如下图中所示。

![\[调查发现页面上的筛选条件设置、调查发现状态菜单和筛选条件标准方框。\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/scrn-findings-filter-bar-empty.png)


通过使用**调查发现状态**菜单，您可以指定是否包括被[抑制规则](findings-suppression.md)屏蔽（自动存档）的调查发现。通过使用**筛选标准**框，您可以输入筛选条件。

当您将光标置于**筛选标准**框中时，Macie 会显示可在筛选条件中使用的字段列表。这些字段按逻辑类别组织。例如，**常用字段**类别包括适用于任何类型的调查发现的字段，而**分类字段**类别包括仅适用于敏感数据调查发现的字段。这些字段在每个类别中按字母顺序排序。

要添加条件，请先从列表中选择一个字段。要查找字段，请浏览完整列表，或输入部分字段名称以缩小字段列表范围。

根据您选择的字段，Macie 显示不同的选项。这些选项反映了您选择的字段的类型和性质。例如，如果您选择**严重性**字段，Macie 会显示一个值列表供您选择：**低**、**中**和**高**。如果您选择 **S3 存储桶名称**字段，Macie 会显示一个文本框，您可以在其中输入存储桶名称。无论您选择哪个字段，Macie 都会指导您完成添加包含该字段所需设置的条件的步骤。

添加条件后，Macie 会应用该条件的标准并将该条件添加到**筛选标准**框中的筛选条件令牌，如下图所示。

![\[筛选条件标准方框带有一个用于指定严重性字段值的方框。\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/scrn-findings-filter-bar-severity.png)


在此示例中，条件配置为包括所有中严重性和高严重性调查发现，并排除所有低严重性调查发现。它会返回**严重性**字段的值*等于***中**或**高**的调查发现。

**提示**  
对于许多字段，您可以通过在条件的筛选条件令牌中选择等号图标 (![\[The equals icon, which is a solid gray circle.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-operator-equals.png)) 来将条件的运算符从*等于*更改为*不等于*。如果您这样做，Macie 会将运算符更改为*不等于*，并在令牌中显示不等于图标 (![\[The not equals icon, which is an empty gray circle that has a backslash in it.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-operator-not-equals.png))。要再次切换到*等于*运算符，请选择不等于图标。

当您添加更多条件时，Macie 会应用其标准并将其添加到**筛选标准**框中的令牌中。您可以随时参考方框来确定您应用了哪些标准。要删除条件，请在条件的令牌中选择移除条件图标 (![\[The remove filter condition icon, which is a circle that has an X in it.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-filter-remove.png))。

**要使用控制台筛选调查发现**

1. 打开亚马逊 Macie 主机，网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. 在导航窗格中，选择 **调查发现**。

1. （可选）要首先根据预定义的逻辑组进行透视和查看调查发现，请在导航窗格（在**调查发现**下）中选择**按存储桶**、**按类型**或**按作业**。然后在表格中选择一个项目。在详细信息面板中，为字段选择要转置的链接。

1. （可选）要显示被[抑制规则](findings-suppression.md)屏蔽的调查发现，请更改**筛选状态**设置。选择**已存档** 以仅显示屏蔽的调查发现，或选择**全部**以同时显示屏蔽和未屏蔽的调查发现。要隐藏屏蔽的调查发现，请选择**当前**。

1. 要添加筛选条件，请执行以下操作：

   1. 将光标置于**筛选标准**框中，然后选择要用于条件的字段。有关您可以使用的字段的信息，请参阅 [用于筛选 Macie 调查发现的字段](findings-filter-fields.md)。

   1. 输入字段的相应类型的值。有关不同类型值的详细信息，请参阅 [为字段指定值](findings-filter-basics.md#findings-filter-basics-value-types)。

        
**文本数组（字符串）**  
对于这种类型的值，Macie 通常会提供一个值列表供您选择。如果是这种情况，请选择要在条件中使用的每个值。  
如果 Macie 未提供值列表，请为该字段输入一个完整、有效的值。要为该字段指定其他值，请选择**应用**，然后为每个附加值添加另一个条件。  
注意，值区分大小写。此外，不能在值中使用部分值或通配符。例如，要筛选名为 *my-S3-bucket* 的 S3 存储桶的调查发现，请在 **S3 存储桶名称**字段中输入 **my-S3-bucket** 作为值。如果您输入任何其他值，例如 **my-s3-bucket** 或 **my-S3**，Macie 将不会返回存储桶的调查发现。  
**布尔值**  
对于这种类型的值，Macie 提供了一个值列表供您选择。选择要在条件中使用的值。  
**日期/时间（时间范围）**  
对于这种类型的值，使用**从**和**到**框定义一个包含性时间范围：  
      + 要定义固定的时间范围，请使用**从**和**到**框分别指定该范围内的第一个日期和时间以及最后一个日期和时间。
      + 要定义从特定日期和时间开始并在当前时间结束的相对时间范围，请在**从**框中输入开始日期和时间，然后删除**到**框中的任何文本。
      + 要定义在特定日期和时间结束的相对时间范围，请在**到**框中输入结束日期和时间，然后删除**从**框中的任何文本。
请注意，时间值使用 24 小时表示法。如果您使用日期选择器选择日期，则可以通过直接在**从**和**到**框中输入文本来细化值。  
**数字（数值范围）**  
对于这种类型的值，使用**从**和**到**框输入一个或多个整数，这些整数定义了包含、固定或相对数值范围。  
**文本（字符串）值**  
对于此类值，请为该字段输入一个完整、有效的值。  
注意，值区分大小写。此外，不能在值中使用部分值或通配符。例如，要筛选名为 *my-S3-bucket* 的 S3 存储桶的调查发现，请在 **S3 存储桶名称**字段中输入 **my-S3-bucket** 作为值。如果您输入任何其他值，例如 **my-s3-bucket** 或 **my-S3**，Macie 将不会返回存储桶的调查发现。

   1. 为该字段添加完值后，选择**应用**。Macie 应用筛选标准并将该条件添加到**筛选标准**框中的筛选条件令牌中。

1. 对于要添加的每个附加条件，请重复步骤 5。

1. 要删除条件，请在条件的筛选条件令牌中选择移除条件图标 (![\[The remove filter condition icon, which is a circle that has an X in it.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-filter-remove.png))。

1. 要更改条件，请在条件的筛选条件令牌中选择移除条件图标 (![\[The remove filter condition icon, which is a circle that has an X in it.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-filter-remove.png)) 来移除该条件。然后重复步骤 5，添加设置正确的条件。

**提示**  
如果您想随后再次使用这组条件，可以将该条件集另存为筛选规则。为此，请在**筛选标准**框中选择**保存规则**。输入规则的名称和描述（可选）。完成后，选择**保存**。

## 使用 Amazon Macie API 以编程方式筛选调查发现
<a name="findings-filter-procedure-api"></a>

要以编程方式筛选结果，请在使用 Amazon Macie API 的[ListFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings.html)或[GetFindingStatistics](https://docs.aws.amazon.com/macie/latest/APIReference/findings-statistics.html)操作提交的查询中指定筛选条件。该**ListFindings**操作返回一个查找结果数组 IDs，每个符合筛选条件的查找结果对应一个 ID。**GetFindingStatistics** 操作会返回与筛选条件匹配的所有调查发现的汇总统计数据，这些数据按您在请求中指定的字段分组。

请注意，**ListFindings** 和 **GetFindingStatistics** 操作与用于[屏蔽调查发现](findings-suppression.md)的操作不同。与还指定筛选标准的屏蔽操作不同，**ListFindings** 和 **GetFindingStatistics** 操作仅查询调查发现数据。它们不会对符合筛选条件的调查发现执行任何操作。要隐藏搜索结果，请使用亚马逊 Macie API 的[CreateFindingsFilter](https://docs.aws.amazon.com/macie/latest/APIReference/findingsfilters.html)操作。

要在查询中指定筛选标准，请在请求中加入筛选条件地图。为每个条件指定一个字段、一个运算符以及该字段的一个或多个值。值的类型和数量取决于您选择的字段和运算符。有关可在条件中使用的字段、运算符和值类型的信息，请参阅[用于筛选 Macie 调查发现的字段](findings-filter-fields.md)、[在条件中使用运算符](findings-filter-basics.md#findings-filter-basics-operators)和[为字段指定值](findings-filter-basics.md#findings-filter-basics-value-types)。

以下示例向您展示了如何在使用 [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) 提交的查询中指定筛选标准。您也可以使用其他 AWS 命令行工具或 AWS SDK 的当前版本，或者直接向 Macie 发送 HTTPS 请求来执行此操作。有关 AWS 工具和的信息 SDKs，请参阅[构建工具 AWS](https://aws.amazon.com/developer/tools/)。

**Topics**
+ [基于严重性筛选调查发现](#findings-filter-procedure-api-ex1)
+ [基于敏感数据类别筛选调查发现](#findings-filter-procedure-api-ex2)
+ [根据固定时间范围筛选调查发现](#findings-filter-procedure-api-ex3)
+ [根据屏蔽状态筛选调查发现](#findings-filter-procedure-api-ex4)
+ [根据多个字段和值类型筛选调查发现](#findings-filter-procedure-api-ex5)

这些示例使用 [list-findings](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-findings.html) 命令。如果示例成功运行，Macie 将返回一个 `findingIds` 数组。该数组列出了符合筛选标准的每个调查发现的唯一标识符，如以下示例所示。

```
{
    "findingIds": [
        "1f1c2d74db5d8caa76859ec52example",
        "6cfa9ac820dd6d55cad30d851example",
        "702a6fd8750e567d1a3a63138example",
        "826e94e2a820312f9f964cf60example",
        "274511c3fdcd87010a19a3a42example"
    ]
}
```

如果没有符合筛选条件的调查发现，Macie 将返回空`findingIds`数组。

```
{
    "findingIds": []
}
```

### 示例 1：基于严重性筛选调查发现
<a name="findings-filter-procedure-api-ex1"></a>

此示例检索当前所有高严重性和中等严重性发现的结果。 IDs AWS 区域

对于 Linux、macOS 或 Unix：

```
$ aws macie2 list-findings --finding-criteria '{"criterion":{"severity.description":{"eq":["High","Medium"]}}}'
```

对于 Microsoft Windows：

```
C:\> aws macie2 list-findings --finding-criteria={\"criterion\":{\"severity.description\":{\"eq\":[\"High\",\"Medium\"]}}}
```

其中：
+ *severity.description*指定 “**严重性**” 字段的 JSON 名称。
+ *eq* 指定 *等于* 运算符。
+ *High*和*Medium*是 “**严重性**” 字段的枚举值数组。

### 示例 2：基于敏感数据类别筛选调查发现
<a name="findings-filter-procedure-api-ex2"></a>

此示例检索当前区域中所有敏感数据发现的结果，并报告 S3 对象中出现的财务信息（没有其他类别的敏感数据）。 IDs 

对于 Linux、macOS 或 Unix，使用反斜杠 (\$1) 行继续符来提高可读性：

```
$ aws macie2 list-findings \
--finding-criteria '{"criterion":{"classificationDetails.result.sensitiveData.category":{"eqExactMatch":["FINANCIAL_INFORMATION"]}}}'
```

对于 Microsoft Windows，使用脱字符 (^) 行继续符来提高可读性：

```
C:\> aws macie2 list-findings ^
--finding-criteria={\"criterion\":{\"classificationDetails.result.sensitiveData.category\":{\"eqExactMatch\":[\"FINANCIAL_INFORMATION\"]}}}
```

其中：
+ *classificationDetails.result.sensitiveData.category*指定**敏感数据类别**字段的 JSON 名称。
+ *eqExactMatch*指定*等于精确匹配*运算符。
+ *FINANCIAL\$1INFORMATION*是 “**敏感数据类别**” 字段的枚举值。

### 示例 3：根据固定时间范围筛选调查发现
<a name="findings-filter-procedure-api-ex3"></a>

此示例检索当前区域中所有发现 IDs 的结果，这些结果是在世界标准时间 2020 年 10 月 5 日 07:00 到 2020 年 11 月 5 日 07:00（含）之间创建的。

对于 Linux、macOS 或 Unix：

```
$ aws macie2 list-findings --finding-criteria '{"criterion":{"createdAt":{"gte":1601881200000,"lte":1604559600000}}}'
```

对于 Microsoft Windows：

```
C:\> aws macie2 list-findings --finding-criteria={\"criterion\":{\"createdAt\":{\"gte\":1601881200000,\"lte\":1604559600000}}}
```

其中：
+ *createdAt*指定 “**创建**时间” 字段的 JSON 名称。
+ *gte*指定*大于或等于*运算符。
+ *1601881200000*是时间范围内的第一个日期和时间（以 Unix 时间戳为单位，以毫秒为单位）。
+ *lte*指定*小于或等于*运算符。
+ *1604559600000*是时间范围内的最后一个日期和时间（以 Unix 时间戳为单位，以毫秒为单位）。

### 示例 4：根据屏蔽状态筛选调查发现
<a name="findings-filter-procedure-api-ex4"></a>

此示例检索当前区域中所有被抑制（自动存档）的搜索 IDs 结果。

对于 Linux、macOS 或 Unix：

```
$ aws macie2 list-findings --finding-criteria '{"criterion":{"archived":{"eq":["true"]}}}'
```

对于 Microsoft Windows：

```
C:\> aws macie2 list-findings --finding-criteria={\"criterion\":{\"archived\":{\"eq\":[\"true\"]}}}
```

其中：
+ *archived*指定 “**已存档**” 字段的 JSON 名称。
+ *eq* 指定 *等于* 运算符。
+ *true*是 “**已存档**” 字段的布尔值。

### 示例 5：根据多个字段和值类型筛选调查发现
<a name="findings-filter-procedure-api-ex5"></a>

此示例检索当前区域中所有符合以下条件的敏感数据查找 IDs 结果：在 UTC 2020 年 10 月 5 日 07:00 至 2020 年 11 月 5 日 07:00（独家）之间创建；报告 S3 对象中出现的财务数据但没有其他类别的敏感数据；未被禁止规则隐藏（自动存档）。

对于 Linux、macOS 或 Unix，使用反斜杠 (\$1) 行继续符来提高可读性：

```
$ aws macie2 list-findings \
--finding-criteria '{"criterion":{"createdAt":{"gt":1601881200000,"lt":1604559600000},"classificationDetails.result.sensitiveData.category":{"eqExactMatch":["FINANCIAL_INFORMATION"]},"archived":{"eq":["false"]}}}'
```

对于 Microsoft Windows，使用脱字符 (^) 行继续符来提高可读性：

```
C:\> aws macie2 list-findings ^
--finding-criteria={\"criterion\":{\"createdAt\":{\"gt\":1601881200000,\"lt\":1604559600000},\"classificationDetails.result.sensitiveData.category\":{\"eqExactMatch\":[\"FINANCIAL_INFORMATION\"]},\"archived\":{\"eq\":[\"false\"]}}}
```

其中：
+ *createdAt*指定 “**创建**时间” 字段的 JSON 名称，以及：
  + *gt*指定*大于或等于*运算符。
  + *1601881200000*是时间范围内的第一个日期和时间（以 Unix 时间戳为单位，以毫秒为单位）。
  + *lt*指定*小于或等于*运算符。
  + *1604559600000*是时间范围内的最后一个日期和时间（以 Unix 时间戳为单位，以毫秒为单位）。
+ *classificationDetails.result.sensitiveData.category*指定**敏感数据类别**字段的 JSON 名称，以及：
  + *eqExactMatch*指定*等于精确匹配*运算符。
  + *FINANCIAL\$1INFORMATION* 是该字段的枚举值。
+ *archived*指定 “**已存档**” 字段的 JSON 名称，以及：
  + *eq* 指定 *等于* 运算符。
  + *false*是该字段的布尔值。

# 定义 Macie 调查发现的筛选规则
<a name="findings-filter-rule-procedures"></a>

为了对调查发现进行一致的分析，您可以创建并应用筛选规则。*筛选规则* 是您创建并保存的一组筛选条件，用于在 Amazon Macie 控制台上查看调查发现时再次使用。筛选规则可以帮助您对具有特定特征的调查发现执行重复、一致的分析。例如，您可以创建一条筛选规则，用于分析所有报告特定类型敏感数据的高严重性敏感数据调查发现。您可以创建另一条筛选规则，用于分析存储未加密对象的 Amazon Simple Storage Service (Amazon S3) 存储桶的所有高严重性策略调查发现。

创建筛选条件时，您可使用指定的调查发现属性，定义在视图中包含或排除调查发现的标准。*调查发现属性*是一个存储调查发现的特定数据的字段，例如严重性、类型或调查发现所适用的 S3 存储桶的名称。您还可以指定规则的名称和描述（可选）。要分析符合规则标准的调查发现，请选择规则。Macie 应用规则标准，只显示符合标准的调查发现。Macie 还会显示条件，帮助您确定它的应用条件。

请注意，筛选规则与隐藏规则不同。*抑制规则*是您创建并保存的一组筛选条件，用于自动存档符合规则标准的调查发现。尽管这两种类型的规则都存储和应用筛选条件，但筛选规则不会对符合规则标准的调查发现执行任何操作。相反，筛选规则只会决定应用规则后再控制台上显示的调查发现。有关接收规则的更多信息，请参阅[抑制调查发现](findings-suppression.md)。

**Topics**
+ [创建筛选规则](findings-filter-rule-create.md)
+ [应用筛选规则](findings-filter-rule-apply.md)
+ [更改筛选规则](findings-filter-rule-change.md)
+ [删除筛选规则](findings-filter-rule-delete.md)

# 创建 Macie 调查发现的筛选规则
<a name="findings-filter-rule-create"></a>

*筛选规则* 是您创建并保存的一组筛选条件，用于在 Amazon Macie 控制台上查看调查发现时再次使用。筛选规则可以帮助您对具有特定特征的调查发现执行重复、一致的分析。例如，您可以创建一条筛选规则，用于分析所有高严重性敏感数据调查发现，这些调查发现会报告特定 Amazon Simple Storage Service (Amazon S3) 存储桶中出现敏感数据的情况。然后，每次要识别和分析具有指定特征的调查发现时，都可以应用该筛选规则。

创建筛选规则时，需要指定筛选条件、名称以及规则描述（可选）。对于筛选条件，您可以使用调查发现的特定属性来指定是否从视图中包含或排除调查发现。*调查发现属性*是一个存储调查发现的特定数据的字段，例如严重性、类型或调查发现所适用的资源的名称。筛选条件包括一个或多个条件。每个条件，也称为*标准*，由三个部分组成：
+ 基于属性的字段，例如**严重性**或**调查发现类型**。
+ 一个运算符，例如*等于*或*不等于*。
+ 一个或多个值。值的类型和数量取决于您选择的字段和运算符。

创建并保存筛选规则后，您可以通过选择规则来应用其筛选条件。然后，Macie 使用这些条件来确定要显示哪些调查发现。Macie 还会显示条件，帮助您确定您的应用条件。

请注意，筛选规则与隐藏规则不同。*抑制规则*是您创建并保存的一组筛选条件，用于自动存档符合规则标准的调查发现。尽管这两种类型的规则都存储和应用筛选条件，但筛选规则不会对符合规则标准的调查发现执行任何操作。相反，筛选规则只会决定应用规则后再控制台上显示的调查发现。有关接收规则的更多信息，请参阅[抑制调查发现](findings-suppression.md)。

**要为调查发现创建筛选规则**  
您可以使用 Amazon Macie 控制台或 Amazon Macie API 创建筛选规则。

------
#### [ Console ]

按照以下步骤，使用 Amazon Macie 控制台创建筛选规则。

**若要创建筛选规则**

1. 打开亚马逊 Macie 主机，网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. 在导航窗格中，选择 **调查发现**。
**提示**  
若要先使用现有筛选规则，请从**已保存规则**列表中选择此规则。  
您还可以通过首先透视和深入研究预定义逻辑组的调查发现来简化规则的创建。如果您这样做，Macie 会自动创建并应用适当的筛选条件，这可能是创建规则的有用起点。据此，请在导航窗格选择**按存储桶**、**按类型**或 **按作业**（**调查发现**下）。然后在表格中选择一个项目。在详细信息面板中，为字段选择要转置的链接。

1. 在**筛选标准**框，添加定义规则筛选条件的条件。  
![\[调查发现页面的筛选标准框。\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/scrn-findings-filter-bar-empty-conditions.png)

   要了解如何添加筛选条件，请参阅 [创建筛选条件并将其应用于 Macie 调查发现](findings-filter-procedure.md)。

1. 定义完规则筛选条件后，在**筛选标准**框内选择**保存规则**。  
![\[调查发现页面的筛选标准框内的保存规则链接。\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/scrn-findings-filter-bar-save-rule.png)

1. 在 **筛选规则**下，输入规则的名称和描述（可选）。

1. 选择**保存**。

------
#### [ API ]

要以编程方式创建筛选规则，请使用 Amazon Macie API 的[CreateFindingsFilter](https://docs.aws.amazon.com/macie/latest/APIReference/findingsfilters.html)操作并为所需参数指定相应的值：
+ 对于 `action` 参数，指定 `NOOP` 以确保 Macie 不会隐藏（自动存档）符合规则标准的结果。
+ 对于 `criterion` 参数，请指定定义规则筛选条件的条件映射。

  在映射中，每项条件都应为该字段指定一个字段、一个运算符以及一个或多个值。值的类型和数量取决于您选择的字段和运算符。有关可在条件中使用的字段、运算符和值类型的信息，请参阅 [用于筛选 Macie 调查发现的字段](findings-filter-fields.md)、[在条件中使用运算符](findings-filter-basics.md#findings-filter-basics-operators) 和 [为字段指定值](findings-filter-basics.md#findings-filter-basics-value-types)。

要使用 AWS Command Line Interface (AWS CLI) 创建筛选规则，请运行[create-findings-filter](https://docs.aws.amazon.com/cli/latest/reference/macie2/create-findings-filter.html)命令并为所需参数指定适当的值。以下示例创建了一个筛选规则，该规则可返回当前发现的所有敏感数据， AWS 区域 并报告 S3 对象中出现的个人信息（不包括其他类别的敏感数据）。

此示例针对 Linux、macOS 或 Unix 进行格式化，并使用反斜杠 (\$1) 行继续符来提高可读性。

```
$ aws macie2 create-findings-filter \
--action NOOP \
--name my_filter_rule \
--finding-criteria '{"criterion":{"classificationDetails.result.sensitiveData.category":{"eqExactMatch":["PERSONAL_INFORMATION"]}}}'
```

此示例针对 Microsoft Windows 进行格式化，并使用脱字号 (^) 行继续符来提高可读性。

```
C:\> aws macie2 create-findings-filter ^
--action NOOP ^
--name my_filter_rule ^
--finding-criteria={\"criterion\":{\"classificationDetails.result.sensitiveData.category\":{\"eqExactMatch\":[\"PERSONAL_INFORMATION\"]}}}
```

其中：
+ *my\$1filter\$1rule*是规则的自定义名称。
+ `criterion` 是该规则的筛选条件映射：
  + *classificationDetails.result.sensitiveData.category*是 “**敏感数据类别**” 字段的 JSON 名称。
  + *eqExactMatch*指定*等于精确匹配*运算符。
  + *PERSONAL\$1INFORMATION*是 “**敏感数据类别**” 字段的枚举值。

如果命令成功运行，则您将收到类似于以下内容的输出：

```
{
    "arn": "arn:aws:macie2:us-west-2:123456789012:findings-filter/9b2b4508-aa2f-4940-b347-d1451example",
    "id": "9b2b4508-aa2f-4940-b347-d1451example"
}
```

`arn` 是所创建筛选规则的 Amazon 资源名称（ARN），`id`是此规则的唯一标识符。

有关筛选标准的其他示例，请参阅 [使用 Amazon Macie API 以编程方式筛选调查发现](findings-filter-procedure.md#findings-filter-procedure-api)。

------

# 对 Macie 的调查发现应用筛选规则
<a name="findings-filter-rule-apply"></a>

当您应用筛选规则时，Amazon Macie 会使用规则条件确定纳入工作台调查发现视图或从中移除的调查发现。Macie 还会显示条件，帮助您确定您的应用条件。

**提示**  
尽管筛选规则专为与 Amazon Macie 控制台配合使用而设计，但您也可以使用规则的条件通过 Amazon Macie API 以编程方式查询调查发现数据。为此，请检索规则的筛选条件，然后将该条件添加到查询中。要检索标准，请使用[GetFindingsFilter](https://docs.aws.amazon.com/macie/latest/APIReference/findingsfilters-id.html)操作。然后，要确定符合条件的结果，请使用[ListFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings.html)操作并在查询中指定条件。有关在查询中指定筛选条件的信息，请参见 [创建筛选条件并将其应用于 Macie 调查发现](findings-filter-procedure.md)。

**要将筛选规则应用于调查发现**

按以下步骤，通过应用筛选规则在 Amazon Macie 控制台上筛选调查发现。

1. 打开亚马逊 Macie 主机，网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. 在导航窗格中，选择 **发现结果**。

1. 在**已保存规则**列表中，选择要应用的规则。Macie 应用规则条件并在**筛选标准**框内显示此标准。

1. 若要细化条件，请使用**筛选标准**框添加或移除筛选条件。如果您这样操作，则您的更改不会影响规则设置。只有在您明确将更改另存为新规则时，Macie 才会保存这些更改。

1. 若要应用不同的筛选规则，请重复第 3 步。

应用筛选规则后，您可以从您的视图中快速移除所有筛选条件。为此，请在**筛选标准**框中选择 **X**。

# 更改 Macie 调查发现的筛选规则
<a name="findings-filter-rule-change"></a>

创建筛选规则后，您可以细化其条件并更改规则的其他设置。*筛选规则* 是您创建并保存的一组筛选条件，用于在 Amazon Macie 控制台上查看调查发现时再次使用。筛选规则可以帮助您对具有特定特征的调查发现执行重复、一致的分析。每条规则都包含一组筛选条件、一个名称和描述（可选）。

除了更改规则的筛选条件或其他设置外，您还可以为规则分配标签。*标签*是您定义并分配给某些类型的 AWS 资源的标签。每个标签都包含一个必需的标签键和一个可选的标签值。标签可以帮助您以不同的方式识别、分类和管理资源，例如，按用途、所有者、环境或其他标准。要了解更多信息，请参阅[为 Macie 资源添加标签](tagging-resources.md)。

**要更改调查发现的筛选规则**  
要为筛选规则分配标签或更改设置，您可以使用 Amazon Macie 控制台或 Amazon Macie API。

------
#### [ Console ]

按照以下步骤，使用 Amazon Macie 控制台分配标签或更改筛选规则设置。

**要更改筛选规则**

1. 打开亚马逊 Macie 主机，网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. 在导航窗格中，选择 **调查发现**。

1. 在**已保存规则**列表中，在要更改或分配标签的筛选规则旁边选择编辑图标 (![\[The edit icon, which is a blue pencil.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-edit-resource-blue.png))。

1. 执行以下任一操作：
   + 若要更改规则筛选条件，请使用**筛选标准**框。在框中输入所需的标准条件。要了解如何操作，请参阅[创建筛选条件并将其应用于 Macie 调查发现](findings-filter-procedure.md)。
   + 若要更改规则的名称，请在**筛选规则**下的**名称**框内输入新名称。
   + 要更改规则的描述，请在**筛选规则**下的**描述**框内输入新的描述。
   + 若要为规则分配标签，请在**筛选规则**下选择**管理标签**。然后根据需要添加、查看并更改标签。一个规则可具有最多 50 个标签。

1. 完成更改后，选择 **Save (保存)**。

------
#### [ API ]

要以编程方式更改筛选规则，请使用 Amazon Macie API 的[UpdateFindingsFilter](https://docs.aws.amazon.com/macie/latest/APIReference/findingsfilters-id.html)操作。提交请求时，请使用支持的参数为要更改的每个设置指定一个新值。

对于 `id` 参数，请为待更改规则指定唯一标识符。您可以通过使用[ListFindingsFilter](https://docs.aws.amazon.com/macie/latest/APIReference/findingsfilters.html)操作来检索账户的过滤和禁止规则列表来获取此标识符。如果您使用的是 AWS Command Line Interface (AWS CLI)，请运行[list-findings-filters](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-findings-filters.html)命令来检索此列表。

要使用更改筛选规则 AWS CLI，请运行[update-findings-filter](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-findings-filter.html)命令并使用支持的参数为要更改的每个设置指定一个新值。例如，以下命令可更改现有筛选规则的名称。

```
C:\> aws macie2 update-findings-filter --id 9b2b4508-aa2f-4940-b347-d1451example --name personal_information_only
```

其中：
+ *9b2b4508-aa2f-4940-b347-d1451example*是规则的唯一标识符。
+ *personal\$1information\$1only*是该规则的新名称。

如果命令成功运行，则您将收到类似于以下内容的输出：

```
{
    "arn": "arn:aws:macie2:us-west-2:123456789012:findings-filter/9b2b4508-aa2f-4940-b347-d1451example",
    "id": "9b2b4508-aa2f-4940-b347-d1451example"
}
```

其中 `arn` 是已更改规则的 Amazon 资源名称（ARN），`id` 是该规则的唯一标识符。

同样，以下示例通过将 `action` 参数值从 `ARCHIVE` 更改为 `NOOP`，以将[抑制规则](findings-suppression.md)转换为筛选规则。

```
C:\> aws macie2 update-findings-filter --id 8a1c3508-aa2f-4940-b347-d1451example --action NOOP
```

其中：
+ *8a1c3508-aa2f-4940-b347-d1451example*是规则的唯一标识符。
+ *NOOP*是 Macie 对符合规则标准的发现执行的新操作——不执行任何操作（不要压制调查结果）。

如果命令成功运行，则您将收到类似于以下内容的输出：

```
{
    "arn": "arn:aws:macie2:us-west-2:123456789012:findings-filter/8a1c3508-aa2f-4940-b347-d1451example",
    "id": "8a1c3508-aa2f-4940-b347-d1451example"
}
```

其中 `arn` 是已更改规则的 Amazon 资源名称（ARN），`id` 是该规则的唯一标识符。

------

# 删除 Macie 调查发现的筛选规则
<a name="findings-filter-rule-delete"></a>

如果您创建筛选规则，则可以随时将其删除。*筛选规则* 是您创建并保存的一组筛选条件，用于在 Amazon Macie 控制台上查看调查发现时再次使用。如果您删除筛选规则，您的更改不会影响符合该规则标准的调查发现。筛选规则只会决定应用规则后再控制台上显示的调查发现。

**要删除调查发现的筛选规则**  
您可以使用 Amazon Macie 控制台或 Amazon Macie API 删除筛选规则。

------
#### [ Console ]

按照以下步骤，使用 Amazon Macie 控制台删除筛选规则。

**要删除筛选规则**

1. 打开亚马逊 Macie 主机，网址为。[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)

1. 在导航窗格中，选择 **调查发现**。

1. 在**已保存规则**列表中，在要删除的筛选规则旁边选择编辑图标 (![\[The edit icon, which is a blue pencil.\]](http://docs.aws.amazon.com/zh_cn/macie/latest/user/images/icon-edit-resource-blue.png))。

1. 在 **筛选规则**下，选择 **删除**。

------
#### [ API ]

要以编程方式删除筛选规则，请使用 Amazon Macie API 的[DeleteFindingsFilter](https://docs.aws.amazon.com/macie/latest/APIReference/findingsfilters-id.html)操作。对于 `id` 参数，请为待删除规则指定唯一标识符。您可以通过使用[ListFindingsFilter](https://docs.aws.amazon.com/macie/latest/APIReference/findingsfilters.html)操作来检索账户的过滤和禁止规则列表来获取此标识符。如果您使用的是 AWS Command Line Interface (AWS CLI)，请运行[list-findings-filters](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-findings-filters.html)命令来检索此列表。

要使用删除筛选规则 AWS CLI，请运行[delete-findings-filter](https://docs.aws.amazon.com/cli/latest/reference/macie2/delete-findings-filter.html)命令。例如：

```
C:\> aws macie2 delete-findings-filter --id 9b2b4508-aa2f-4940-b347-d1451example
```

其中*9b2b4508-aa2f-4940-b347-d1451example*是要删除的筛选规则的唯一标识符。

如果命令运行成功，Macie 将返回一个空 HTTP 200 响应。否则，Macie 会返回一个 HTTP 4*xx* 或 500 响应，说明操作失败的原因。

------