本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 檢閱 S3 儲存貯體的資料敏感性詳細資訊 隨著自動化敏感資料探索的進行,您可以在 Amazon Macie 針對每個 Amazon Simple Storage Service (Amazon S3) 儲存貯體提供的統計資料和其他資訊中檢閱詳細結果。如果您是組織的 Macie 管理員,這包含成員帳戶擁有的儲存貯體。 統計資料和資訊包含詳細資訊,可讓您深入了解 S3 儲存貯體資料的安全性和隱私權。它們也會擷取 Macie 到目前為止對儲存貯體執行的自動化敏感資料探索活動的結果。例如,您可以找到 Macie 在儲存貯體中分析的物件清單。您也可以找到 Macie 在儲存貯體中找到之敏感資料的類型和出現次數明細。請注意,此資料不包含您建立和執行的敏感資料探索任務的結果。 Macie 在執行自動敏感資料探索時,會自動重新計算和更新 S3 儲存貯體的統計資料和詳細資訊。例如: + 如果 Macie 在 S3 物件中找不到敏感資料,Macie 會降低儲存貯體的敏感度分數,並視需要更新儲存貯體的敏感度標籤。Macie 也會將物件新增至選取用於分析的物件清單。 + 如果 Macie 在 S3 物件中找到敏感資料,Macie 會將這些事件新增至 Macie 在儲存貯體中找到的敏感資料類型明細。Macie 也會提高儲存貯體的敏感度分數,並視需要更新儲存貯體的敏感度標籤。此外,Macie 會將物件新增至選取用於分析的物件清單。除了為物件建立敏感資料調查結果之外,這些任務也一樣。 + 如果 Macie 在後續變更或刪除的 S3 物件中找到敏感資料,Macie 會從儲存貯體的敏感資料類型明細中移除物件的敏感資料出現次數。Macie 也會降低儲存貯體的敏感度分數,並視需要更新儲存貯體的敏感度標籤。此外,Macie 會從選取用於分析的物件清單中移除物件。 + 如果 Macie 嘗試分析 S3 物件,但問題或錯誤導致無法分析,Macie 會將物件新增至選取用於分析的物件清單,並指出無法分析物件。 如果您是組織的 Macie 管理員或擁有獨立的 Macie 帳戶,您可以選擇使用這些詳細資訊來評估和調整 S3 儲存貯體的特定自動探索設定。例如,您可以從儲存貯體的分數中包含或排除特定類型的敏感資料。如需詳細資訊,請參閱[調整 S3 儲存貯體的敏感度分數](discovery-asdd-s3bucket-manage.md)。 **檢閱 S3 儲存貯體的資料敏感性詳細資訊** 若要檢閱 S3 儲存貯體的資料敏感性和其他詳細資訊,您可以使用 Amazon Macie 主控台或 Amazon Macie API。在 主控台上,詳細資訊面板可讓您集中存取此資訊。您可以使用 API 以程式設計方式擷取和處理資料。 ------ #### [ Console ] 請依照下列步驟,使用 Amazon Macie 主控台檢閱 S3 儲存貯體的資料敏感性和其他詳細資訊。 **若要檢閱 S3 儲存貯體的詳細資訊** 1. 在 https://[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。 1. 在導覽窗格中,選擇 **S3 儲存貯體**。**S3 儲存貯**體頁面會顯示儲存貯體庫存的互動式地圖。選擇性地選擇頁面頂端的資料表 (![\[The table view button, which is a button that displays three black horizontal lines.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/btn-s3-table-view.png)),以表格格式顯示您的庫存。 根據預設,頁面不會顯示目前從自動敏感資料探索中排除的儲存貯體資料。如果您是組織的 Macie 管理員,也不會顯示目前停用自動敏感資料探索的帳戶資料。若要顯示此資料,請在篩選條件方塊下方的**由自動探索篩選條件字符監控**中選擇 **X**。 1. 若要從 Amazon S3 擷取最新的儲存貯體中繼資料,請選擇頁面頂端的重新整理 (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/btn-refresh-data.png))。 1. 選擇您要檢閱其詳細資訊的儲存貯體。詳細資訊面板會顯示資料敏感統計資料和儲存貯體的其他資訊。 面板頂端顯示儲存貯體的一般資訊:儲存貯體名稱、 AWS 帳戶 擁有儲存貯體之 的帳戶 ID,以及儲存貯體目前的敏感度分數。如果您是 Macie 管理員或擁有獨立的 Macie 帳戶,它也提供變更儲存貯體特定自動探索設定的選項。其他設定和資訊會整理成下列索引標籤: [敏感度](#discovery-asdd-results-s3-inventory-sensitivity-details) \$1 [儲存貯體詳細資訊](#discovery-asdd-results-s3-inventory-bucket-details) \$1 [物件範例](#discovery-asdd-results-s3-inventory-sample-details) \$1 [敏感資料探索](#discovery-asdd-results-s3-inventory-sdd-details) 每個索引標籤上的個別設定和資訊如下。 **敏感度** 此標籤顯示儲存貯體目前的敏感度分數,範圍從 *-1* 到 *100*。如需有關 Macie 定義之敏感度分數範圍的資訊,請參閱 [S3 儲存貯體的敏感度評分](discovery-scoring-s3.md)。 此索引標籤也提供 Macie 在儲存貯體物件中找到的敏感資料類型明細,以及每種類型的出現次數: + **敏感資料類型** – 偵測到資料的受管資料識別符的唯一識別符 (ID),或偵測到資料的自訂資料識別符名稱。 受管資料識別符的 ID 說明其設計用於偵測的敏感資料類型,例如美國護照號碼的 **USA\$1PASSPORT\$1NUMBER**。如需每個受管資料識別符的詳細資訊,請參閱 [使用受管資料識別符](managed-data-identifiers.md)。 + **計數** – 受管或自訂資料識別符偵測到的資料總出現次數。 + **評分狀態** – 如果您是 Macie 管理員或擁有獨立的 Macie 帳戶,則此欄位會顯示。它指定資料出現是否包含在儲存貯體的敏感度分數中或排除在其中。 如果 Macie 計算儲存貯體的分數,您可以透過從分數中包含或排除特定類型的敏感資料來調整計算:選取偵測到要包含或排除敏感資料的識別符核取方塊,然後在**動作**功能表上選擇一個選項。如需詳細資訊,請參閱[調整 S3 儲存貯體的敏感度分數](discovery-asdd-s3bucket-manage.md)。 如果 Macie 在儲存貯體目前存放的物件中找不到敏感資料,本節會顯示**找不到偵測**訊息。 請注意,**敏感度**索引標籤不包含 Macie 分析物件之後變更或刪除的物件資料。如果在分析後變更或刪除物件,Macie 會自動重新計算和更新適當的統計資料和資料,以排除物件。 **儲存貯體詳細資訊** 此標籤提供儲存貯體設定的詳細資訊,包括資料安全和隱私權設定。例如,您可以檢閱儲存貯體公有存取設定的明細,並判斷儲存貯體是否複寫物件或與其他 共用 AWS 帳戶。 特別注意,**上次更新**欄位指出 Macie 最近一次從 Amazon S3 擷取儲存貯體或儲存貯體物件中繼資料的時間。**最新自動探索執行**欄位指出 Macie 在執行自動敏感資料探索時,何時最近分析儲存貯體中的物件。如果未進行此分析,此欄位中會顯示破折號 (–)。 此索引標籤也提供物件層級統計資料,可協助您評估 Macie 可在儲存貯體中分析的資料量。它還指出您是否設定了任何敏感資料探索任務來分析儲存貯體中的物件。如果您有,您可以存取最近執行的任務詳細資訊,然後選擇性地顯示任務產生的任何問題清單。 在某些情況下,此標籤可能不會包含儲存貯體的所有詳細資訊。如果您在 Amazon S3 中存放超過 10,000 個儲存貯體,就會發生這種情況。Macie 只會為帳戶維護 10,000 個儲存貯體的完整庫存資料,也就是最近建立或變更的 10,000 個儲存貯體。不過,Macie 可以分析儲存貯體中超過此配額的物件。若要檢閱儲存貯體的其他詳細資訊,請使用 Amazon S3。 如需此標籤上資訊的其他詳細資訊,請參閱 [檢閱 S3 儲存貯體的詳細資訊](monitoring-s3-inventory-review.md#monitoring-s3-inventory-view-details)。 **物件範例** 此標籤列出 Macie 在執行儲存貯體的自動敏感資料探索時,為分析選取的物件。選擇性地選擇物件的名稱,以開啟 Amazon S3 主控台並顯示物件的屬性。 此清單包含最多 100 個物件的資料。清單會根據**物件敏感度**欄位的值填入:**敏感**,後面接著**不敏感**,後面接著 Macie 無法分析的物件。 在清單中,**物件敏感度**欄位指出 Macie 是否在物件中找到敏感資料: + **敏感** – Macie 發現物件中至少出現一個敏感資料。 + **不敏感** – Macie 在 物件中找不到敏感資料。 + **–** (*破折號*) – Macie 由於問題或錯誤而無法完成物件的分析。 **分類結果**欄位指出 Macie 是否能夠分析物件: + **完成** – Macie 已完成其對物件的分析。 + **部分** – Macie 僅因為問題或錯誤而分析 物件中的一部分資料。例如, 物件是一個封存檔案,其中包含不支援格式的檔案。 + **已略過** – Macie 由於問題或錯誤而無法分析物件中的任何資料。例如,物件會使用不允許 Macie 使用的金鑰進行加密。 請注意,此清單不包含 Macie 分析或嘗試分析後變更或刪除的物件。如果物件隨後變更或刪除,Macie 會自動從清單中移除物件。 **敏感資料探索** 此標籤提供儲存貯體的彙總、自動化敏感資料探索統計資料: + **分析的位元組** – Macie 在儲存貯體中分析的資料總量,以位元組為單位。 + **可分類位元組** – Macie 可在儲存貯體中分析之所有物件的總儲存大小,以位元組為單位。這些物件使用支援的 Amazon S3 儲存類別,且具有支援檔案或儲存格式的副檔名。如需詳細資訊,請參閱[支援的儲存類別和格式](discovery-supported-storage.md)。 + **偵測總數** – Macie 在儲存貯體中找到的敏感資料發生總數。這包括目前由儲存貯體的敏感度評分設定所隱藏的發生次數。 **物件分析**圖表指出 Macie 在儲存貯體中分析的物件總數。它還提供 Macie 在其中找到或不找到敏感資料的物件數量的視覺化表示。圖表下方的圖例顯示這些結果的明細: + **敏感物件** (*紅色*) – Macie 在其中發現至少發生一次敏感資料的物件總數。 + **非敏感物件** (*藍色*) – Macie 找不到敏感資料的物件總數。 + **物件已略過** (*深灰色*) – Macie 由於問題或錯誤而無法分析的物件總數。 圖表圖例下方的區域提供 Macie 因為發生特定類型的許可問題或密碼編譯錯誤而無法分析物件的案例明細: + **略過:無效的加密** – 使用客戶提供的金鑰加密的物件總數。Macie 無法存取這些金鑰。 + **已略過:無效的 KMS** – 使用不再可用的 AWS Key Management Service (AWS KMS) 金鑰加密的物件總數。這些物件會使用已停用、排定刪除或刪除 AWS KMS keys 的 加密。Macie 無法使用這些金鑰。 + **已略過:許可遭拒** – 由於物件的許可設定,或用於加密物件之金鑰的許可設定,而不允許 Macie 存取的物件總數。 如需這些和其他可能發生之問題和錯誤類型的詳細資訊,請參閱 [修復涵蓋範圍問題](discovery-coverage-remediate.md)。如果您修復了問題和錯誤,您可以在後續分析週期中增加儲存貯體資料的涵蓋範圍。 **敏感資料探索**索引標籤上的統計資料不包含 Macie 分析或嘗試分析後變更或刪除之物件的資料。如果在 Macie 分析或嘗試分析物件之後變更或刪除物件,Macie 會自動重新計算這些統計資料以排除物件。 ------ #### [ API ] 若要以程式設計方式擷取 S3 儲存貯體的資料敏感性和其他詳細資訊,您有幾個選項。適當的選項取決於您要擷取的詳細資訊: + 若要擷取儲存貯體目前的敏感度分數和彙總分析統計資料,請使用 [GetResourceProfile](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles.html) 操作。或者,如果您使用的是 AWS Command Line Interface (AWS CLI),請執行 [get-resource-profile](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-resource-profile.html) 命令。統計資料包括資料,例如 Macie 已分析的物件數量,以及 Macie 找到敏感資料的物件數量。 + 若要擷取 Macie 在儲存貯體中找到的敏感資料類型和數量明細,請使用 [ListResourceProfileDetections](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles-detections.html) 操作。或者,如果您使用的是 AWS CLI,請執行 [list-resource-profile-detections](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-resource-profile-detections.html) 命令。明細也會提供有關偵測到每種敏感資料的受管或自訂資料識別符的詳細資訊。 + 若要擷取 Macie 從儲存貯體中選取最多 100 個物件的清單進行分析,請使用 [ListResourceProfileArtifacts](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles-artifacts.html) 操作。或者,如果您使用的是 AWS CLI,請執行 [list-resource-profile-artifacts](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-resource-profile-artifacts.html) 命令。對於每個物件,清單會指定:物件的 Amazon Resource Name (ARN)、Macie 是否完成物件的分析,以及 Macie 是否在物件中找到敏感資料。 在您的請求中,使用 `resourceArn` 參數指定要擷取其詳細資訊的儲存貯體 ARN。如果您使用的是 AWS CLI,請使用 `resource-arn` 參數來指定 ARN。 如需 S3 儲存貯體的其他詳細資訊,例如儲存貯體的公有存取設定,請使用 [DescribeBuckets](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3.html) 操作。如果您使用的是 AWS CLI,請執行 [describe-buckets](https://docs.aws.amazon.com/cli/latest/reference/macie2/describe-buckets.html) 命令來擷取這些詳細資訊。在您的請求中,選擇性地使用篩選條件來指定儲存貯體的名稱。如需詳細資訊和範例,請參閱 [篩選 S3 儲存貯體庫存](monitoring-s3-inventory-filter.md)。 下列範例示範如何使用 AWS CLI 擷取 S3 儲存貯體的資料敏感性詳細資訊。第一個範例會擷取儲存貯體目前的敏感度分數和彙總分析統計資料。 ``` $ aws macie2 get-resource-profile --resource-arn arn:aws:s3:::amzn-s3-demo-bucket ``` 其中 *arn:aws:s3::amzn-s3-demo-bucket* 是儲存貯體的 ARN。如果請求成功,您會收到類似以下的輸出: ``` { "profileUpdatedAt": "2024-11-21T15:44:46+00:00", "sensitivityScore": 83, "sensitivityScoreOverridden": false, "statistics": { "totalBytesClassified": 933599, "totalDetections": 3641, "totalDetectionsSuppressed": 0, "totalItemsClassified": 111, "totalItemsSensitive": 84, "totalItemsSkipped": 1, "totalItemsSkippedInvalidEncryption": 0, "totalItemsSkippedInvalidKms": 0, "totalItemsSkippedPermissionDenied": 0 } } ``` 下一個範例會擷取 Macie 在 S3 儲存貯體中找到的敏感資料類型明細,以及每種類型的出現次數。明細也會指定偵測到資料的受管資料識別符或自訂資料識別符。如果 Macie 自動計算分數,也會指出事件目前是否從儲存貯體的敏感度分數中排除 (`suppressed`)。 ``` $ aws macie2 list-resource-profile-detections --resource-arn arn:aws:s3:::amzn-s3-demo-bucket ``` 其中 *arn:aws:s3::amzn-s3-demo-bucket* 是儲存貯體的 ARN。如果請求成功,您會收到類似以下的輸出: ``` { "detections": [ { "count": 8, "id": "AWS_CREDENTIALS", "name": "AWS_CREDENTIALS", "suppressed": false, "type": "MANAGED" }, { "count": 1194, "id": "CREDIT_CARD_NUMBER", "name": "CREDIT_CARD_NUMBER", "suppressed": false, "type": "MANAGED" }, { "count": 1194, "id": "CREDIT_CARD_SECURITY_CODE", "name": "CREDIT_CARD_SECURITY_CODE", "suppressed": false, "type": "MANAGED" }, { "arn": "arn:aws:macie2:us-east-1:123456789012:custom-data-identifier/3293a69d-4a1e-4a07-8715-208ddexample", "count": 8, "id": "3293a69d-4a1e-4a07-8715-208ddexample", "name": "Employee IDs with keyword", "suppressed": false, "type": "CUSTOM" }, { "count": 1237, "id": "USA_SOCIAL_SECURITY_NUMBER", "name": "USA_SOCIAL_SECURITY_NUMBER", "suppressed": false, "type": "MANAGED" } ] } ``` 此範例會擷取 Macie 從 S3 儲存貯體中選取用於分析的物件清單。對於每個物件,清單也會指出 Macie 是否已完成物件的分析,以及 Macie 是否在物件中找到敏感資料。 ``` $ aws macie2 list-resource-profile-artifacts --resource-arn arn:aws:s3:::amzn-s3-demo-bucket ``` 其中 *arn:aws:s3::amzn-s3-demo-bucket* 是儲存貯體的 ARN。如果請求成功,您會收到類似以下的輸出: ``` { "artifacts": [ { "arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object1.csv", "classificationResultStatus": "COMPLETE", "sensitive": true }, { "arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object2.xlsx", "classificationResultStatus": "COMPLETE", "sensitive": true }, { "arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object3.json", "classificationResultStatus": "COMPLETE", "sensitive": true }, { "arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object4.pdf", "classificationResultStatus": "COMPLETE", "sensitive": true }, { "arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object5.zip", "classificationResultStatus": "PARTIAL", "sensitive": true }, { "arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object6.vssx", "classificationResultStatus": "SKIPPED" } ] } ``` ------