本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 設定自動敏感資料探索的設定
<a name="discovery-asdd-account-configure"></a>

如果您為帳戶或組織啟用自動敏感資料探索，您可以調整自動探索設定，以精簡 Amazon Macie 執行的分析。這些設定指定要從分析中排除的 Amazon Simple Storage Service (Amazon S3) 儲存貯體。它們也會指定要偵測和報告的敏感資料類型和出現次數，包括受管資料識別符、自訂資料識別符，並允許清單在分析 S3 物件時使用。

根據預設，Macie 會為您帳戶的所有 S3 一般用途儲存貯體執行自動敏感資料探索。如果您是組織的 Macie 管理員，這包含成員帳戶擁有的儲存貯體。您可以從分析中排除特定儲存貯體。例如，您可以排除通常存放 AWS 記錄資料的儲存貯體，例如 AWS CloudTrail 事件日誌。如果您排除儲存貯體，您可以稍後再次包含該儲存貯體。

此外，Macie 只會使用一組我們建議用於自動敏感資料探索的受管資料識別符來分析 S3 物件。Macie 不會使用自訂資料識別符或允許您定義的清單。若要自訂分析，您可以新增或移除特定受管資料識別符、自訂資料識別符和允許清單。

如果您變更設定，Macie 會在下一個評估和分析週期開始時套用變更，通常是在 24 小時內。此外，您的變更僅適用於目前的 AWS 區域。若要在其他區域中進行相同的變更，請在每個其他區域中重複適用的步驟。

**Topics**
+ [組織的組態選項](#discovery-asdd-configure-options-orgs)
+ [排除或包含 S3 儲存貯體](#discovery-asdd-account-configure-s3buckets)
+ [新增或移除受管資料識別符](#discovery-asdd-account-configure-mdis)
+ [新增或移除自訂資料識別符](#discovery-asdd-account-configure-cdis)
+ [新增或移除允許清單](#discovery-asdd-account-configure-als)

**注意**  
若要設定自動敏感資料探索的設定，您必須是組織的 Macie 管理員，或擁有獨立的 Macie 帳戶。如果您的帳戶是組織的一部分，則只有組織的 Macie 管理員可以設定和管理組織中帳戶的設定。如果您有成員帳戶，請聯絡您的 Macie 管理員，以了解您帳戶和組織的設定。

## 組織的組態選項
<a name="discovery-asdd-configure-options-orgs"></a>

如果帳戶是集中管理多個 Amazon Macie 帳戶的組織的一部分，組織的 Macie 管理員會設定和管理組織中帳戶的自動敏感資料探索。這包括定義 Macie 為帳戶執行之分析範圍和性質的設定。成員無法存取自己帳戶的這些設定。

如果您是組織的 Macie 管理員，您可以透過多種方式定義分析範圍：
+ **自動啟用帳戶的自動敏感資料探索** – 當您啟用自動敏感資料探索時，您可以指定要為所有現有帳戶和新成員帳戶啟用它、僅啟用新成員帳戶，還是不啟用成員帳戶。如果您為新成員帳戶啟用此功能，則會在帳戶在 Macie 中加入您的組織時，自動為後續加入您組織的任何帳戶啟用此功能。如果帳戶已啟用此功能，Macie 會包含帳戶擁有的 S3 儲存貯體。如果帳戶已停用，Macie 會排除帳戶擁有的儲存貯體。
+ **選擇性地啟用帳戶的自動敏感資料探索** – 使用此選項，您可以case-by-case帳戶個別案例啟用或停用自動敏感資料探索。如果您為 帳戶啟用此功能，Macie 會包含帳戶擁有的 S3 儲存貯體。如果您未啟用或停用帳戶的儲存貯體，Macie 會排除帳戶擁有的儲存貯體。
+ **從自動敏感資料探索中排除特定 S3 儲存貯**體 – 如果您為帳戶啟用自動敏感資料探索，則可以排除帳戶擁有的特定 S3 儲存貯體。Macie 接著會在執行自動探索時略過儲存貯體。若要排除特定儲存貯體，請將它們新增至管理員帳戶的組態設定中的排除清單。您可以為您的組織排除多達 1，000 個儲存貯體。

根據預設，自動為組織中的所有新帳戶和現有帳戶啟用自動敏感資料探索。此外，Macie 包含帳戶擁有的所有 S3 儲存貯體。如果您保留預設設定，這表示 Macie 會為您的管理員帳戶執行所有儲存貯體的自動探索，其中包括您的成員帳戶擁有的所有儲存貯體。

身為 Macie 管理員，您也可以定義 Macie 為組織執行之分析的性質。您可以透過為管理員帳戶設定其他設定來執行此操作：受管資料識別符、自訂資料識別符，並允許 Macie 在分析 S3 物件時要使用的清單。Macie 在分析組織中其他帳戶的 S3 物件時，會使用管理員帳戶的設定。

## 在自動化敏感資料探索中排除或包含 S3 儲存貯體
<a name="discovery-asdd-account-configure-s3buckets"></a>

根據預設，Amazon Macie 會為您帳戶的所有 S3 一般用途儲存貯體執行自動敏感資料探索。如果您是組織的 Macie 管理員，這包含成員帳戶擁有的儲存貯體。

若要縮小範圍，您可以從分析中排除多達 1，000 個 S3 儲存貯體。如果您排除儲存貯體，Macie 會在執行自動敏感資料探索時停止選取和分析儲存貯體中的物件。儲存貯體的現有敏感資料探索統計資料和詳細資訊會持續存在。例如，儲存貯體目前的敏感度分數保持不變。排除儲存貯體之後，您可以稍後再次包含該儲存貯體。

**在自動化敏感資料探索中排除或包含 S3 儲存貯體**  
您可以使用 Amazon Macie 主控台或 Amazon Macie API 來排除或後續包含 S3 儲存貯體。

------
#### [ Console ]

請依照下列步驟，使用 Amazon Macie 主控台排除或後續包含 S3 儲存貯體。

**排除或包含 S3 儲存貯體**

1. 在 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。

1. 透過使用頁面右上角的 AWS 區域 選取器，選擇您要在分析中排除或包含特定 S3 儲存貯體的區域。

1. 在導覽窗格中的設定下****，選擇**自動敏感資料探索**。

   自動化**敏感資料探索**頁面隨即出現，並顯示您目前的設定。在該頁面上，**S3 儲存貯**體區段會列出目前排除的 S3 儲存貯體，或指出目前包含所有儲存貯體。

1. 在 **S3 儲存貯**體區段中，選擇**編輯**。

1. 執行以下任意一項：
   + 若要排除一或多個 S3 儲存貯體，請選擇將儲存**貯體新增至排除清單**。然後，在 **S3 儲存貯**體資料表中，選取要排除的每個儲存貯體的核取方塊。資料表列出目前區域中您帳戶或組織的所有一般用途儲存貯體。
   + 若要包含您先前排除的一或多個 S3 儲存貯體，請從**排除清單中選擇移除儲存貯體**。然後，在 **S3 儲存貯**體資料表中，選取要包含的每個儲存貯體的核取方塊。資料表列出目前從分析中排除的所有儲存貯體。

   若要更輕鬆地尋找特定儲存貯體，請在資料表上方的搜尋方塊中輸入搜尋條件。您也可以選擇欄標題來排序資料表。

1. 完成選取儲存貯體後，根據您在上一個步驟中選擇的選項，選擇**新增**或**移除**。

**提示**  
您也可以在主控台上檢閱儲存貯體詳細資訊時case-by-case排除或包含個別 S3 儲存貯體。若要這樣做，請在 **S3 儲存貯體頁面上選擇儲存貯體**。然後，在詳細資訊面板中，變更從儲存貯體的**自動探索排除**設定。

------
#### [ API ]

若要以程式設計方式排除或後續包含 S3 儲存貯體，請使用 Amazon Macie API 來更新帳戶的分類範圍。分類範圍會指定您不希望 Macie 在執行自動敏感資料探索時分析的儲存貯體。它定義了自動探索的儲存貯體排除清單。

當您更新分類範圍時，您可以指定要從排除清單中新增或移除個別儲存貯體，還是使用新清單覆寫目前的清單。因此，最好從擷取和檢閱您目前的清單開始。若要擷取清單，請使用 [GetClassificationScope](https://docs.aws.amazon.com/macie/latest/APIReference/classification-scopes-id.html) 操作。如果您使用的是 AWS Command Line Interface (AWS CLI)，請執行 [get-classification-scope](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-classification-scope.html) 命令來擷取清單。

若要擷取或更新分類範圍，您必須指定其唯一識別符 (`id`)。您可以使用 [GetAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html) 操作來取得此識別符。此操作會擷取目前用於自動敏感資料探索的組態設定，包括目前帳戶分類範圍的唯一識別符 AWS 區域。如果您使用的是 AWS CLI，請執行 [get-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-automated-discovery-configuration.html) 命令來擷取此資訊。

當您準備好更新分類範圍時，請使用 [UpdateClassificationScope](https://docs.aws.amazon.com/macie/latest/APIReference/classification-scopes-id.html) 操作，或者，如果您使用的是 AWS CLI，請執行 [update-classification-scope](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-classification-scope.html) 命令。在您的請求中，使用支援的參數在後續分析中排除或包含 S3 儲存貯體：
+ 若要排除一或多個儲存貯體，請為 `bucketNames` 參數指定每個儲存貯體的名稱。針對 `operation` 參數，請指定 `ADD`。
+ 若要包含您先前排除的一或多個儲存貯體，請為 `bucketNames` 參數指定每個儲存貯體的名稱。針對 `operation` 參數，請指定 `REMOVE`。
+ 若要使用要排除的新儲存貯體清單覆寫目前的清單，請`REPLACE`為 `operation` 參數指定 。針對 `bucketNames` 參數，指定要排除的每個儲存貯體名稱。

`bucketNames` 參數的每個值必須是目前區域中現有一般用途儲存貯體的完整名稱。值區分大小寫。如果您的請求成功，Macie 會更新分類範圍並傳回空白回應。

下列範例示範如何使用 AWS CLI 更新帳戶的分類範圍。第一組範例會從後續分析中排除兩個 S3 儲存貯體 ({{amzn-s3-demo-bucket1}} 和 {{amzn-s3-demo-bucket2}})。它會將儲存貯體新增至要排除的儲存貯體清單。

此範例已針對 Linux、macOS 或 Unix 格式化，並使用反斜線 (\\) 行接續字元來改善可讀性。

```
$ aws macie2 update-classification-scope \
--id 117aff7ed76b59a59c3224ebdexample \
--s3 '{"excludes":{"bucketNames":["{{amzn-s3-demo-bucket1}}","{{amzn-s3-demo-bucket2}}"],"operation": "ADD"}}'
```

此範例已針對 Microsoft Windows 進行格式化，並使用八進制 (^) 換行字元來改善可讀性。

```
C:\> aws macie2 update-classification-scope ^
--id 117aff7ed76b59a59c3224ebdexample ^
--s3={\"excludes\":{\"bucketNames\":[\"{{amzn-s3-demo-bucket1}}\",\"{{amzn-s3-demo-bucket2}}\"],\"operation\":\"ADD\"}}
```

下一組範例稍後會在後續分析中包含儲存貯體 ({{amzn-s3-demo-bucket1}} 和 {{amzn-s3-demo-bucket2}})。它會從要排除的儲存貯體清單中移除儲存貯體。針對 Linux、macOS 或 Unix：

```
$ aws macie2 update-classification-scope \
--id 117aff7ed76b59a59c3224ebdexample \
--s3 '{"excludes":{"bucketNames":["{{amzn-s3-demo-bucket1}}","{{amzn-s3-demo-bucket2}}"],"operation": "REMOVE"}}'
```

對於 Microsoft Windows：

```
C:\> aws macie2 update-classification-scope ^
--id 117aff7ed76b59a59c3224ebdexample ^
--s3={\"excludes\":{\"bucketNames\":[\"{{amzn-s3-demo-bucket1}}\",\"{{amzn-s3-demo-bucket2}}\"],\"operation\":\"REMOVE\"}}
```

下列範例會覆寫目前清單，並以要排除的新 S3 儲存貯體清單取代目前清單。新清單會指定三個要排除的儲存貯體：{{amzn-s3-demo-bucket}}、{{amzn-s3-demo-bucket2}} 和 {{amzn-s3-demo-bucket3}}。針對 Linux、macOS 或 Unix：

```
$ aws macie2 update-classification-scope \
--id 117aff7ed76b59a59c3224ebdexample \
--s3 '{"excludes":{"bucketNames":["{{amzn-s3-demo-bucket}}","{{amzn-s3-demo-bucket2}}","{{amzn-s3-demo-bucket3}}"],"operation": "REPLACE"}}'
```

對於 Microsoft Windows：

```
C:\> aws macie2 update-classification-scope ^
--id 117aff7ed76b59a59c3224ebdexample ^
--s3={\"excludes\":{\"bucketNames\":[\"{{amzn-s3-demo-bucket}}\",\"{{amzn-s3-demo-bucket2}}\",\"{{amzn-s3-demo-bucket3}}\"],\"operation\":\"REPLACE\"}}
```

------

## 從自動化敏感資料探索新增或移除受管資料識別符
<a name="discovery-asdd-account-configure-mdis"></a>

*受管資料識別符*是一組內建條件和技術，旨在偵測特定類型的敏感資料，例如，信用卡號碼、 AWS 私密存取金鑰或特定國家或地區的護照號碼。根據預設，Amazon Macie 會使用我們建議用於自動敏感資料探索的一組受管資料識別符來分析 S3 物件。若要檢閱這些識別符的清單，請參閱 [自動化敏感資料探索的預設設定](discovery-asdd-settings-defaults.md)。

您可以自訂分析以專注於特定類型的敏感資料：
+ 為您希望 Macie 偵測和報告的敏感資料類型新增受管資料識別符，以及
+ 移除您不希望 Macie 偵測和報告的敏感資料類型的受管資料識別符。

如需 Macie 目前提供的所有受管資料識別符的完整清單，以及每個識別符的詳細資訊，請參閱 [使用受管資料識別符](managed-data-identifiers.md)。

如果您移除受管資料識別符，您的變更不會影響 S3 儲存貯體的現有敏感資料探索統計資料和詳細資訊。例如，如果您移除秘密存取金鑰的 AWS 受管資料識別符，且 Macie 先前偵測到儲存貯體中的資料，則 Macie 會繼續報告這些偵測。不過，不要移除會影響所有儲存貯體後續分析的識別符，請考慮將其偵測排除在僅特定儲存貯體的敏感度分數之外。如需詳細資訊，請參閱[調整 S3 儲存貯體的敏感度分數](discovery-asdd-s3bucket-manage.md)。

**從自動化敏感資料探索新增或移除受管資料識別符**  
您可以使用 Amazon Macie 主控台或 Amazon Macie API 來新增或移除受管資料識別符。

------
#### [ Console ]

請依照下列步驟，使用 Amazon Macie 主控台新增或移除受管資料識別符。

**新增或移除受管資料識別符**

1. 在 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。

1. 使用頁面右上角的 AWS 區域 選取器，選擇要在其中新增或移除分析中受管資料識別符的區域。

1. 在導覽窗格中的設定下****，選擇**自動敏感資料探索**。

   自動化**敏感資料探索**頁面隨即出現，並顯示您目前的設定。在該頁面上，**受管資料識別符**區段會顯示您目前的設定，並組織成兩個索引標籤：
   + **已新增至預設** – 此標籤會列出您新增的受管資料識別符。Macie 除了在預設設定中且您尚未移除的識別符之外，還使用這些識別符。
   + **從預設中移除** – 此標籤列出您移除的受管資料識別符。Macie 不會使用這些識別符。

1. 在**受管資料識別符**區段中，選擇**編輯**。

1. 執行下列任何一項：
   + 若要新增一或多個受管資料識別符，請選擇**新增至預設**索引標籤。然後，在表格中，選取要新增的每個受管資料識別符的核取方塊。如果已選取核取方塊，表示您已新增該識別符。
   + 若要移除一或多個受管資料識別符，請選擇**從預設標籤移除**。然後，在表格中，選取要移除的每個受管資料識別符的核取方塊。如果已選取核取方塊，表示您已移除該識別符。

   在每個索引標籤上，資料表會顯示 Macie 目前提供的所有受管資料識別符清單。在表格中，第一欄指定每個受管資料識別符的 ID。ID 說明識別符設計用來偵測的敏感資料類型，例如美國護照號碼的 **USA\_PASSPORT\_NUMBER**。若要更輕鬆地尋找特定受管資料識別符，請在資料表上方的搜尋方塊中輸入搜尋條件。您也可以選擇欄標題來排序資料表。

1. 完成後，請選擇**儲存**。

------
#### [ API ]

若要以程式設計方式新增或移除受管資料識別符，請使用 Amazon Macie API 來更新帳戶的敏感檢查範本。範本會儲存設定，除了預設設定中的項目之外，還指定要使用哪些受管資料識別符 (*包括*)。它們也會指定不使用的受管資料識別符 (*排除*)。這些設定也會指定任何自訂資料識別符，並允許您要 Macie 使用的清單。

當您更新範本時，會覆寫其目前的設定。因此，最好先擷取您目前的設定，並決定要保留哪些設定。若要擷取您目前的設定，請使用 [GetSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html) 操作。如果您使用的是 AWS Command Line Interface (AWS CLI)，請執行 [get-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitivity-inspection-template.html) 命令來擷取設定。

若要擷取或更新範本，您必須指定其唯一識別符 (`id`)。您可以使用 [GetAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html) 操作來取得此識別符。此操作會擷取目前用於自動敏感資料探索的組態設定，包括目前帳戶中敏感檢查範本的唯一識別符 AWS 區域。如果您使用的是 AWS CLI，請執行 [get-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-automated-discovery-configuration.html) 命令來擷取此資訊。

當您準備好更新範本時，請使用 [UpdateSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html) 操作，或者，如果您使用的是 AWS CLI，請執行 [update-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-sensitivity-inspection-template.html) 命令。在您的請求中，使用適當的參數，從後續分析中新增或移除一或多個受管資料識別符：
+ 若要開始使用受管資料識別符，請為 `managedDataIdentifierIds` 參數的 `includes` 參數指定其 ID。
+ 若要停止使用受管資料識別符，請為 `managedDataIdentifierIds` 參數的 `excludes` 參數指定其 ID。
+ 若要還原預設設定，請勿為 `includes`和 `excludes` 參數指定任何 IDs。然後，Macie 只會開始使用預設設定中的受管資料識別符。

除了受管資料識別符的參數之外，使用適當的`includes`參數來指定您希望 Macie 使用的任何自訂資料識別符 (`customDataIdentifierIds`) 和允許清單 (`allowListIds`)。同時指定您的請求套用的區域。如果您的請求成功，Macie 會更新範本並傳回空的回應。

下列範例示範如何使用 AWS CLI 更新帳戶的敏感度檢查範本。這些範例會新增一個受管資料識別符，並從後續分析中移除另一個識別符。它們也會維護目前設定，指定要使用的兩個自訂資料識別符。

此範例已針對 Linux、macOS 或 Unix 格式化，並使用反斜線 (\\) 行接續字元來改善可讀性。

```
$ aws macie2 update-sensitivity-inspection-template \
--id {{fd7b6d71c8006fcd6391e6eedexample}} \
--excludes '{"managedDataIdentifierIds":["{{UK_ELECTORAL_ROLL_NUMBER}}"]}' \
--includes '{"managedDataIdentifierIds":["{{STRIPE_CREDENTIALS}}"],"customDataIdentifierIds":["{{3293a69d-4a1e-4a07-8715-208ddexample}}","{{6fad0fb5-3e82-4270-bede-469f2example}}"]}'
```

此範例已針對 Microsoft Windows 進行格式化，並使用八進制 (^) 換行字元來改善可讀性。

```
C:\> aws macie2 update-sensitivity-inspection-template ^
--id {{fd7b6d71c8006fcd6391e6eedexample}} ^
--excludes={\"managedDataIdentifierIds\":[\"{{UK_ELECTORAL_ROLL_NUMBER}}\"]} ^
--includes={\"managedDataIdentifierIds\":[\"{{STRIPE_CREDENTIALS}}\"],\"customDataIdentifierIds\":[\"{{3293a69d-4a1e-4a07-8715-208ddexample}}\",\"{{6fad0fb5-3e82-4270-bede-469f2example}}\"]}
```

其中：
+ {{fd7b6d71c8006fcd6391e6eedexample}} 是敏感度檢查範本要更新的唯一識別符。
+ {{UK\_ELECTORAL\_ROLL\_NUMBER}} 是受管資料識別符停止使用的 ID *（排除*)。
+ {{STRIPE\_CREDENTIALS}} 是受管資料識別符開始使用 (*包含*) 的 ID。
+ {{3293a69d-4a1e-4a07-8715-208ddexample}} 和 {{6fad0fb5-3e82-4270-bede-469f2example}} 是自訂資料識別符要使用的唯一識別符。

------

## 從自動化敏感資料探索新增或移除自訂資料識別符
<a name="discovery-asdd-account-configure-cdis"></a>

*自訂資料識別符*是您定義的一組條件，用於偵測敏感資料。此條件包含規則運算式 (*Regex*)，此表達式定義要比對的文字模式，以及可選擇的字元序列和精簡結果之鄰近性規則。如需詳細資訊，請參閱 [建置自訂資料識別符](custom-data-identifiers.md)。

根據預設，Amazon Macie 在執行自動敏感資料探索時不會使用自訂資料識別符。如果您希望 Macie 使用特定的自訂資料識別符，您可以將它們新增至後續分析。然後，除了您設定 Macie 使用的任何受管資料識別符之外，Macie 還會使用自訂資料識別符。

如果您新增自訂資料識別符，稍後可以將其移除。您的變更不會影響 S3 儲存貯體的現有敏感資料探索統計資料和詳細資訊。也就是說，如果您移除先前為儲存貯體產生偵測的自訂資料識別符，Macie 會繼續報告這些偵測。不過，不要移除會影響所有儲存貯體後續分析的識別符，請考慮將其偵測排除在僅特定儲存貯體的敏感度分數之外。如需詳細資訊，請參閱[調整 S3 儲存貯體的敏感度分數](discovery-asdd-s3bucket-manage.md)。

**從自動化敏感資料探索新增或移除自訂資料識別符**  
您可以使用 Amazon Macie 主控台或 Amazon Macie API 來新增或移除自訂資料識別符。

------
#### [ Console ]

請依照下列步驟，使用 Amazon Macie 主控台新增或移除自訂資料識別符。

**新增或移除自訂資料識別符**

1. 開啟位於 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 的 Amazon Macie 主控台。

1. 使用頁面右上角的 AWS 區域 選取器，選擇要在其中新增或移除分析中自訂資料識別符的區域。

1. 在導覽窗格中的設定下****，選擇**自動敏感資料探索**。

   自動化**敏感資料探索**頁面隨即出現，並顯示您目前的設定。在該頁面上，**自訂資料識別符**區段會列出您已新增的自訂資料識別符，或指出您尚未新增任何自訂資料識別符。

1. 在**自訂資料識別符**區段中，選擇**編輯**。

1. 執行下列任何一項：
   + 若要新增一或多個自訂資料識別符，請選取每個要新增之自訂資料識別符的核取方塊。如果已選取核取方塊，表示您已新增該識別符。
   + 若要移除一或多個自訂資料識別符，請清除每個要移除之自訂資料識別符的核取方塊。如果已清除核取方塊，Macie 目前不會使用該識別符。
**提示**  
若要在新增或移除自訂資料識別碼之前檢閱或測試其設定，請選擇識別碼名稱旁的連結圖示 (![The link icon, which is a blue box that has an arrow in it.](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/icon-external-link.png))。Macie 會開啟顯示識別符設定的頁面。若要使用範例資料測試識別符，請在該頁面的範例**資料**方塊中輸入最多 1，000 個字元的文字。然後選擇**測試**。Macie 會評估範例資料並報告相符項目的數量。

1. 完成後，請選擇**儲存**。

------
#### [ API ]

若要以程式設計方式新增或移除自訂資料識別符，請使用 Amazon Macie API 來更新帳戶的敏感檢查範本。範本會存放設定，指定您希望 Macie 在執行自動敏感資料探索時使用的自訂資料識別符。這些設定也會指定要使用的受管資料識別符和允許清單。

當您更新範本時，會覆寫其目前的設定。因此，最好先擷取您目前的設定，並決定要保留哪些設定。若要擷取您目前的設定，請使用 [GetSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html) 操作。如果您使用的是 AWS Command Line Interface (AWS CLI)，請執行 [get-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitivity-inspection-template.html) 命令來擷取設定。

若要擷取或更新範本，您必須指定其唯一識別符 (`id`)。您可以使用 [GetAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html) 操作來取得此識別符。此操作會擷取目前用於自動敏感資料探索的組態設定，包括目前帳戶中敏感檢查範本的唯一識別符 AWS 區域。如果您使用的是 AWS CLI，請執行 [get-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-automated-discovery-configuration.html) 命令來擷取此資訊。

當您準備好更新範本時，請使用 [UpdateSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html) 操作，或者，如果您使用的是 AWS CLI，請執行 [update-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-sensitivity-inspection-template.html) 命令。在您的請求中，使用 `customDataIdentifierIds` 參數從後續分析中新增或移除一或多個自訂資料識別符：
+ 若要開始使用自訂資料識別符，請為 參數指定其唯一識別符。
+ 若要停止使用自訂資料識別符，請從 參數中省略其唯一識別符。

使用其他參數來指定您要 Macie 使用的受管資料識別符和允許清單。同時指定您的請求套用的區域。如果您的請求成功，Macie 會更新範本並傳回空的回應。

下列範例示範如何使用 AWS CLI 更新帳戶的敏感度檢查範本。這些範例會將兩個自訂資料識別符新增至後續分析。它們也會維護目前設定，指定要使用的受管資料識別符和允許清單：使用一組預設的受管資料識別符和一個允許清單。

此範例已針對 Linux、macOS 或 Unix 格式化，並使用反斜線 (\\) 行接續字元來改善可讀性。

```
$ aws macie2 update-sensitivity-inspection-template \
--id {{fd7b6d71c8006fcd6391e6eedexample}} \
--includes '{"allowListIds":["{{nkr81bmtu2542yyexample}}"],"customDataIdentifierIds":["{{3293a69d-4a1e-4a07-8715-208ddexample}}","{{6fad0fb5-3e82-4270-bede-469f2example}}"]}'
```

此範例已針對 Microsoft Windows 進行格式化，並使用八進制 (^) 換行字元來改善可讀性。

```
C:\> aws macie2 update-sensitivity-inspection-template ^
--id {{fd7b6d71c8006fcd6391e6eedexample}} ^
--includes={\"allowListIds\":[\"{{nkr81bmtu2542yyexample}}\"],\"customDataIdentifierIds\":[\"{{3293a69d-4a1e-4a07-8715-208ddexample}}\",\"{{6fad0fb5-3e82-4270-bede-469f2example}}\"]}
```

其中：
+ {{fd7b6d71c8006fcd6391e6eedexample}} 是敏感度檢查範本要更新的唯一識別符。
+ {{nkr81bmtu2542yyexample}} 是允許清單使用的唯一識別符。
+ {{3293a69d-4a1e-4a07-8715-208ddexample}} 和 {{6fad0fb5-3e82-4270-bede-469f2example}} 是自訂資料識別符要使用的唯一識別符。

------

## 從自動化敏感資料探索新增或移除允許清單
<a name="discovery-asdd-account-configure-als"></a>

在 Amazon Macie 中，允許清單會定義您希望 Macie 在檢查 S3 物件是否有敏感資料時忽略的特定文字或文字模式。如果文字符合允許清單中的項目或模式，Macie 不會報告文字。即使文字符合受管或自訂資料識別符的條件，也是如此。如需詳細資訊，請參閱 [使用允許清單定義敏感資料例外狀況](allow-lists.md)。

根據預設，Macie 在執行自動敏感資料探索時，不會使用允許清單。如果您希望 Macie 使用特定的允許清單，您可以將它們新增至後續分析。如果您新增允許清單，稍後可以將其移除。

**從自動化敏感資料探索新增或移除允許清單**  
您可以使用 Amazon Macie 主控台或 Amazon Macie API 來新增或移除允許清單。

------
#### [ Console ]

請依照下列步驟，使用 Amazon Macie 主控台新增或移除允許清單。

**新增或移除允許清單**

1. 在 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。

1. 使用頁面右上角的 AWS 區域 選取器，選擇要從分析中新增或移除允許清單的區域。

1. 在導覽窗格中的設定下****，選擇**自動敏感資料探索**。

   自動化**敏感資料探索**頁面隨即出現，並顯示您目前的設定。在該頁面上，**允許清單**區段指定您已新增的允許清單，或指出您尚未新增任何允許清單。

1. 在**允許清單**區段中，選擇**編輯**。

1. 執行下列任何一項：
   + 若要新增一或多個允許清單，請選取每個要新增允許清單的核取方塊。如果已選取核取方塊，表示您已新增該清單。
   + 若要移除一或多個允許清單，請清除每個要移除允許清單的核取方塊。如果已清除核取方塊，Macie 目前不會使用該清單。
**提示**  
若要在新增或移除允許清單之前檢閱其設定，請選擇清單名稱旁的連結圖示 (![The link icon, which is a blue box that has an arrow in it.](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/icon-external-link.png))。Macie 會開啟顯示清單設定的頁面。如果清單指定規則表達式 (*regex*)，您也可以使用此頁面以範例資料測試 regex。若要這樣做，請在**範例資料**方塊中輸入最多 1，000 個字元的文字，然後選擇**測試**。Macie 會評估範例資料並報告相符項目的數量。

1. 完成後，請選擇**儲存**。

------
#### [ API ]

若要以程式設計方式新增或移除允許清單，請使用 Amazon Macie API 來更新帳戶的敏感檢查範本。範本會存放指定允許 Macie 在執行自動敏感資料探索時使用的清單的設定。這些設定也會指定要使用的受管資料識別符和自訂資料識別符。

當您更新範本時，會覆寫其目前的設定。因此，最好先擷取您目前的設定，並決定要保留哪些設定。若要擷取您目前的設定，請使用 [GetSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html) 操作。如果您使用的是 AWS Command Line Interface (AWS CLI)，請執行 [get-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitivity-inspection-template.html) 命令來擷取設定。

若要擷取或更新範本，您必須指定其唯一識別符 (`id`)。您可以使用 [GetAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html) 操作來取得此識別符。此操作會擷取目前用於自動敏感資料探索的組態設定，包括目前帳戶中敏感檢查範本的唯一識別符 AWS 區域。如果您使用的是 AWS CLI，請執行 [get-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-automated-discovery-configuration.html) 命令來擷取此資訊。

當您準備好更新範本時，請使用 [UpdateSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html) 操作，或者，如果您使用的是 AWS CLI，請執行 [update-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-sensitivity-inspection-template.html) 命令。在您的請求中，使用 `allowListIds` 參數從後續分析中新增或移除一或多個允許清單：
+ 若要開始使用允許清單，請為 參數指定其唯一識別符。
+ 若要停止使用允許清單，請從 參數省略其唯一識別符。

使用其他參數來指定您要 Macie 使用的受管資料識別符和自訂資料識別符。同時指定您的請求套用的區域。如果您的請求成功，Macie 會更新範本並傳回空的回應。

下列範例示範如何使用 AWS CLI 更新帳戶的敏感度檢查範本。這些範例會將允許清單新增至後續分析。它們也會維護目前設定，指定要使用的受管資料識別符和自訂資料識別符：使用一組預設的受管資料識別符和兩個自訂資料識別符。

此範例已針對 Linux、macOS 或 Unix 格式化，並使用反斜線 (\\) 行接續字元來改善可讀性。

```
$ aws macie2 update-sensitivity-inspection-template \
--id {{fd7b6d71c8006fcd6391e6eedexample}} \
--includes '{"allowListIds":["{{nkr81bmtu2542yyexample}}"],"customDataIdentifierIds":["{{3293a69d-4a1e-4a07-8715-208ddexample}}","{{6fad0fb5-3e82-4270-bede-469f2example}}"]}'
```

此範例已針對 Microsoft Windows 進行格式化，並使用八進制 (^) 換行字元來改善可讀性。

```
C:\> aws macie2 update-sensitivity-inspection-template ^
--id {{fd7b6d71c8006fcd6391e6eedexample}} ^
--includes={\"allowListIds\":[\"{{nkr81bmtu2542yyexample}}\"],\"customDataIdentifierIds\":[\"{{3293a69d-4a1e-4a07-8715-208ddexample}}\",\"{{6fad0fb5-3e82-4270-bede-469f2example}}\"]}
```

其中：
+ {{fd7b6d71c8006fcd6391e6eedexample}} 是敏感度檢查範本要更新的唯一識別符。
+ {{nkr81bmtu2542yyexample}} 是允許清單使用的唯一識別符。
+ {{3293a69d-4a1e-4a07-8715-208ddexample}} 和 {{6fad0fb5-3e82-4270-bede-469f2example}} 是自訂資料識別符要使用的唯一識別符。

------