本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 檢查允許清單的狀態 如果您建立允許清單,請務必定期檢查其狀態。否則,錯誤可能會導致 Amazon Macie 為您的 Amazon Simple Storage Service (Amazon S3) 資料產生非預期的分析結果。例如,Macie 可能會為您在允許清單中指定的文字建立敏感資料調查結果。 如果您將敏感資料探索任務設定為使用允許清單,且 Macie 無法在任務開始執行時存取或使用清單,則任務會繼續執行。不過,Macie 在分析 S3 物件時不會使用該清單。同樣地,如果自動敏感資料探索的分析週期開始,且 Macie 無法存取或使用指定的允許清單,則分析會繼續,但 Macie 不會使用該清單。 指定規則表達式 (*regex*) 的允許清單不太可能發生錯誤。部分原因是 Macie 會在您建立或更新清單的設定時自動測試 regex。此外,您可以將 regex 和所有其他清單設定存放在 Macie 中。 不過,指定預先定義文字的允許清單可能會發生錯誤,部分原因是您將清單存放在 Amazon S3 中,而不是 Macie。常見的錯誤原因包括: + S3 儲存貯體或物件已刪除。 + S3 儲存貯體或物件會重新命名,且 Macie 中的清單設定不會指定新名稱。 + S3 儲存貯體的許可設定已變更,Macie 無法存取儲存貯體和物件。 + S3 儲存貯體的加密設定已變更,且 Macie 無法解密存放清單的物件。 + 加密金鑰的政策已變更,Macie 無法存取金鑰。Macie 無法解密存放清單的 S3 物件。 **重要** 由於這些錯誤會影響分析的結果,建議您定期檢查所有允許清單的狀態。如果您變更儲存允許清單之 S3 儲存貯體的許可或加密設定,或變更用於加密清單之 AWS Key Management Service (AWS KMS) 金鑰的政策,建議您也這樣做。 如需可協助您疑難排解所發生錯誤的詳細資訊,請參閱 [預先定義文字清單的選項和需求](allow-lists-options.md#allow-lists-options-s3list)。 **檢查允許清單的狀態** 您可以使用 Amazon Macie 主控台或 Amazon Macie API 來檢查允許清單的狀態。在 主控台上,您可以使用單一頁面來同時檢查所有允許清單的狀態。如果您使用 Amazon Macie API,您可以檢查個別允許清單的狀態,一次一個。 ------ #### [ Console ] 請依照下列步驟,使用 Amazon Macie 主控台檢查允許清單的狀態。 **檢查允許清單的狀態** 1. 在 [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/):// 開啟 Amazon Macie 主控台。 1. 在導覽窗格中**的設定**下,選擇**允許清單**。 1. 在**允許清單**頁面上,選擇重新整理 (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/btn-refresh-data.png))。Macie 會測試所有允許清單的設定,並更新**狀態**欄位,以指出每個清單的目前狀態。 如果清單指定規則表達式,其狀態通常是**正常**的。這表示 Macie 可以編譯表達式。如果清單指定預先定義的文字,其狀態可以是下列任何值。 **OK (確定)** Macie 可以擷取和剖析清單的內容。 **存取遭拒** Macie 無法存取存放清單的 S3 物件。Amazon S3 拒絕擷取物件的請求。如果物件使用不允許 Macie 使用的客戶受管加密 AWS KMS key ,則清單也可以具有此狀態。 若要解決此錯誤,請檢閱儲存貯體政策和儲存貯體和物件的其他許可設定。確定 Macie 可存取和擷取物件。如果使用客戶受管 AWS KMS 金鑰加密物件,請檢閱金鑰政策,並確保 Macie 可以使用金鑰。 **錯誤** 當 Macie 嘗試擷取或剖析清單的內容時,會發生暫時性或內部錯誤。如果允許清單使用 Amazon S3 和 Macie 無法存取或使用的加密金鑰進行加密,也可以有此狀態。 若要解決此錯誤,請等待幾分鐘,然後再次選擇重新整理 (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/btn-refresh-data.png))。如果狀態持續為**錯誤**,請檢查 S3 物件的加密設定。請確定物件已使用 Amazon S3 和 Macie 可存取和使用的金鑰加密。 **物件為空** Macie 可以從 Amazon S3 擷取清單,但清單不包含任何內容。 若要解決此錯誤,請從 Amazon S3 下載物件,並確保其中包含正確的項目。如果項目正確,請在 Macie 中檢閱清單的設定。確定指定的儲存貯體和物件名稱正確。 **找不到物件** Amazon S3 中不存在此清單。 若要解決此錯誤,請在 Macie 中檢閱清單的設定。確定指定的儲存貯體和物件名稱正確。 **超出配額** Macie 可以存取 Amazon S3 中的清單。不過,清單中的項目數量或清單的儲存大小超過允許清單的配額。 若要解決此錯誤,請將清單分成多個檔案。確保每個檔案都包含少於 100,000 個項目。同時確保每個檔案的大小小於 35 MB。然後,將每個檔案上傳至 Amazon S3。完成後,請在 Macie 中為每個檔案設定允許清單設定。每個支援的預先定義文字最多可有五個清單 AWS 區域。 **調節** Amazon S3 已調節擷取清單的請求。 若要解決此錯誤,請等待幾分鐘,然後再次選擇重新整理 (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/btn-refresh-data.png))。 **使用者存取遭拒** Amazon S3 拒絕擷取物件的請求。如果指定的物件存在,則不允許存取該物件,或使用不允許使用的 AWS KMS 金鑰進行加密。 若要解決此錯誤,請與您的 AWS 管理員合作,以確保清單的設定指定正確的儲存貯體和物件名稱,而且您可以讀取儲存貯體和物件的存取權。如果物件已加密,也請確保此物件使用允許您使用的金鑰加密。 1. 若要檢閱特定清單的設定和狀態,請選擇清單的名稱。 ------ #### [ API ] 若要以程式設計方式檢查允許清單的狀態,請使用 Amazon Macie API 的 [GetAllowList](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists-id.html) 操作。或者,如果您使用的是 AWS CLI,請執行 [get-allow-list](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-allow-list.html) 命令。 針對 `id` 參數,指定您要檢查其狀態之允許清單的唯一識別符。若要取得此識別符,您可以使用 [ListAllowLists](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists.html) 操作。**ListAllowLists** 操作會擷取您帳戶的所有允許清單的相關資訊。如果您使用的是 AWS CLI,您可以執行 [list-allow-lists](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-allow-lists.html) 命令來擷取此資訊。 當您提交**GetAllowList**請求時,Macie 會測試允許清單的所有設定。如果設定指定規則運算式 (`regex`),Macie 會驗證是否可以編譯運算式。如果設定指定預先定義文字清單 (`s3WordsList`),Macie 會驗證是否可以擷取和剖析清單。 Macie 接著會傳回提供允許清單詳細資訊的`GetAllowListResponse`物件。在 `GetAllowListResponse` 物件中, `status` 物件會指出清單的目前狀態:狀態碼 (`code`),並根據狀態碼,簡短描述清單的狀態 (`description`)。 如果允許清單指定 regex,狀態碼通常是 `OK`,而且沒有相關聯的描述。這表示 Macie 成功編譯表達式。 如果允許清單指定預先定義的文字,狀態碼會根據測試結果而有所不同: + 如果 Macie 成功擷取並剖析清單,狀態碼為 `OK`,而且沒有相關聯的描述。 + 如果錯誤導致 Macie 無法擷取或剖析清單,狀態碼和描述會指出發生錯誤的性質。 如需可能的狀態碼清單和每個狀態碼的說明,請參閱《*Amazon Macie API 參考*》中的 [AllowListStatus](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists-id.html#allow-lists-id-model-allowliststatus)。 ------