本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 建立敏感資料探索任務
<a name="discovery-jobs-create"></a>

使用 Amazon Macie，您可以建立和執行敏感資料探索任務，以自動探索、記錄和報告 Amazon Simple Storage Service (Amazon S3) 一般用途儲存貯體中的敏感資料。*敏感資料探索任務*是 Macie 執行的一系列自動化處理和分析任務，用於偵測和報告 Amazon S3 物件中的敏感資料。隨著分析進行，Macie 會提供其找到的敏感資料及其執行的分析的詳細報告：*敏感資料調查結果*，其會報告 Macie 在個別 S3 物件中找到的敏感資料，以及*敏感資料探索結果*，其會記錄個別 S3 物件分析的詳細資訊。如需詳細資訊，請參閱[檢閱任務結果](discovery-jobs-manage-results.md)。

當您建立任務時，請先指定您希望 Macie 在任務執行時分析哪些 S3 儲存貯體存放物件，也就是您選取的特定儲存貯體或符合特定條件的儲存貯體。然後，您可以指定執行任務的頻率 - 一次，或每日、每週或每月定期執行。您也可以選擇選項來縮小任務分析的範圍。選項包括衍生自 S3 物件屬性的自訂條件，例如標籤、字首，以及物件上次修改的時間。

定義任務的排程和範圍之後，您可以指定要使用的受管資料識別符和自訂資料識別符：
+ *受管資料識別符*是一組內建條件和技術，旨在偵測特定類型的敏感資料，例如，信用卡號碼、 AWS 私密存取金鑰或特定國家或地區的護照號碼。這些識別符可以偵測許多國家和區域的敏感資料類型的大型和不斷增長的清單，包括多種類型的登入資料、財務資訊和個人識別資訊 (PII)。如需詳細資訊，請參閱[使用受管資料識別符](managed-data-identifiers.md)。
+ *自訂資料識別符*是您定義的一組條件，用於偵測敏感資料。使用自訂資料識別符，您可以偵測反映組織特定案例、智慧財產權或專屬資料的敏感資料，例如員工 IDs、客戶帳戶號碼或內部資料分類。您可以補充 Macie 提供的受管資料識別符。如需詳細資訊，請參閱[建置自訂資料識別符](custom-data-identifiers.md)。

然後，您可以選擇性地選取允許清單來使用。在 Macie 中，*允許清單*會指定要忽略的文字或文字模式。這些通常是您特定案例或環境的敏感資料例外狀況，例如您組織的公有名稱或電話號碼，或組織用於測試的範例資料。如需詳細資訊，請參閱[使用允許清單定義敏感資料例外狀況](allow-lists.md)。

完成選擇這些選項後，您就可以輸入任務的一般設定，例如任務的名稱和描述。然後，您可以檢閱和儲存任務。

**Topics**
+ [開始之前：設定金鑰資源](#discovery-jobs-create-prerequisites)
+ [步驟 1：選擇 S3 儲存貯體](#discovery-jobs-create-step1)
+ [步驟 2：檢閱您的 S3 儲存貯體選擇或條件](#discovery-jobs-create-step2)
+ [步驟 3：定義排程並縮小範圍](#discovery-jobs-create-step3)
+ [步驟 4：選取受管資料識別符](#discovery-jobs-create-step4)
+ [步驟 5：選取自訂資料識別符](#discovery-jobs-create-step5)
+ [步驟 6：選取允許清單](#discovery-jobs-create-step6)
+ [步驟 7：輸入一般設定](#discovery-jobs-create-step7)
+ [步驟 8：檢閱並建立](#discovery-jobs-create-step8)

## 開始之前：設定金鑰資源
<a name="discovery-jobs-create-prerequisites"></a>

建立任務之前，建議您採取下列步驟：
+ 確認您已為敏感資料探索結果設定儲存庫。若要這樣做，請在 Amazon Macie 主控台的導覽窗格中選擇**探索結果**。若要了解這些設定，請參閱 [儲存及保留敏感資料探索結果](discovery-results-repository-s3.md)。
+ 建立您希望任務使用的任何自訂資料識別符。若要了解作法，請參閱[建置自訂資料識別符](custom-data-identifiers.md)。
+ 建立您希望任務使用的任何允許清單。若要了解作法，請參閱[使用允許清單定義敏感資料例外狀況](allow-lists.md)。
+ 如果您想要分析已加密的 S3 物件，請確定 Macie 可以存取並使用適當的加密金鑰。如需詳細資訊，請參閱[分析加密的 S3 物件](discovery-supported-encryption-types.md)。
+ 如果您想要分析具有限制性儲存貯體政策的 S3 儲存貯體中的物件，請確定允許 Macie 存取物件。如需詳細資訊，請參閱[允許 Macie 存取 S3 儲存貯體和物件](monitoring-restrictive-s3-buckets.md)。

如果您在建立任務之前執行這些動作，您可以簡化任務的建立，並協助確保任務可以分析您想要的資料。

## 步驟 1：選擇 S3 儲存貯體
<a name="discovery-jobs-create-step1"></a>

當您建立任務時，第一個步驟是指定您希望 Macie 在任務執行時分析哪些 S3 儲存貯體存放物件。在此步驟中，您有兩個選項：
+ **選取特定儲存貯**體 – 使用此選項，您可以明確選取要分析的每個 S3 儲存貯體。然後，當任務執行時，Macie 只會在您選取的儲存貯體中分析物件。
+ **指定儲存貯體條件** – 使用此選項，您可以定義執行時間條件，以決定要分析的 S3 儲存貯體。條件由一或多個衍生自儲存貯體屬性的條件組成。然後，當任務執行時，Macie 會識別符合您條件的儲存貯體，並分析這些儲存貯體中的物件。

如需這些選項的詳細資訊，請參閱 [任務的範圍選項](discovery-jobs-scope.md)。

以下各節提供選擇和設定每個選項的說明。為您想要的選項選擇 區段。

### 選取特定儲存貯體
<a name="discovery-jobs-create-step1-buckets-select"></a>

如果您選擇明確選取要分析的每個 S3 儲存貯體，Macie 會為您提供目前一般用途儲存貯體的清查 AWS 區域。然後，您可以使用此庫存來選取任務的一或多個儲存貯體。若要了解此庫存，請參閱 [選取特定的 S3 儲存貯體](discovery-jobs-scope.md#discovery-jobs-scope-buckets-select)。

如果您是組織的 Macie 管理員，則清查會包含組織中成員帳戶擁有的儲存貯體。您可以選取多達 1，000 個這些儲存貯體，橫跨多達 1，000 個帳戶。

**為任務選取特定的 S3 儲存貯體**

1. 在 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。

1. 在導覽窗格中，選擇 **Jobs (任務)**。

1. 選擇**建立任務**。

1. 在**選擇 S3 儲存貯**體頁面上，選擇**選取特定儲存貯**體。Macie 會顯示目前區域中您帳戶所有一般用途儲存貯體的資料表。

1. 在**選取 S3 儲存貯**體區段中，選擇性地選擇重新整理 (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/btn-refresh-data.png)) 以從 Amazon S3 擷取最新的儲存貯體中繼資料。

   如果資訊圖示 (![\[The information icon, which is a blue circle that has a lowercase letter i in it.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/icon-info-blue.png)) 出現在任何儲存貯體名稱旁，建議您執行此操作。此圖示表示儲存貯體在過去 24 小時內建立，可能是在 Macie 上次從 Amazon S3 擷取儲存貯體和物件中繼資料之後，做為[每日重新整理週期](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh)的一部分。

1. 在表格中，選取您希望任務分析之每個儲存貯體的核取方塊。
**提示**  
若要更輕鬆地尋找特定儲存貯體，請在資料表上方的篩選條件方塊中輸入篩選條件。您也可以選擇欄標題來排序資料表。
若要判斷您是否已設定任務來定期分析儲存貯體中的物件，請參閱**依任務監控**欄位。如果欄位中顯示**是**，則儲存貯體會明確包含在定期任務中，或儲存貯體符合過去 24 小時內定期任務的條件。此外，至少其中一個任務的狀態不會*取消*。Macie 每天更新此資料。
若要判斷儲存貯體中現有定期或一次性任務最近分析的物件，請參閱**最新任務執行**欄位。如需該任務的其他資訊，請參閱儲存貯體的詳細資訊。
若要顯示儲存貯體的詳細資訊，請選擇儲存貯體的名稱。除了任務相關資訊之外，詳細資訊面板還提供儲存貯體的統計資料和其他資訊，例如儲存貯體的公有存取設定。若要進一步了解此資料，請參閱 [檢閱 S3 儲存貯體庫存](monitoring-s3-inventory-review.md)。

1. 完成選取儲存貯體後，請選擇**下一步**。

在下一個步驟中，您將檢閱並驗證您的選擇。

### 指定儲存貯體條件
<a name="discovery-jobs-create-step1-buckets-criteria"></a>

如果您選擇指定執行時間條件來決定要分析的 S3 儲存貯體，Macie 會提供選項，協助您選擇條件中個別條件的欄位、運算子和值。若要進一步了解這些選項，請參閱[指定 S3 儲存貯體條件](discovery-jobs-scope.md#discovery-jobs-scope-buckets-criteria)。

**為任務指定 S3 儲存貯體條件**

1. 在 https：//[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。

1. 在導覽窗格中，選擇 **Jobs (任務)**。

1. 選擇**建立任務**。

1. 在**選擇 S3 儲存貯**體頁面上，選擇**指定儲存貯體條件**。

1. 在**指定儲存貯體條件**下，執行下列動作，將條件新增至條件：

   1. 將游標放在篩選條件方塊中，然後選擇要用於條件的儲存貯體屬性。

   1. 在第一個方塊中，為條件選擇**等於**或不**等於的**運算子。

   1. 在下一個方塊中，輸入屬性的一或多個值。

      根據儲存貯體屬性的類型和性質，Macie 會顯示不同的輸入值選項。例如，如果您選擇**有效許可**屬性，Macie 會顯示可供選擇的值清單。如果您選擇**帳戶 ID** 屬性，Macie 會顯示文字方塊，您可以在其中輸入一或多個 AWS 帳戶 IDs。若要在文字方塊中輸入多個值，請輸入每個值，並以逗號分隔每個項目。

   1. 選擇**套用**。Macie 新增條件，並將其顯示在篩選條件方塊下方。

      根據預設，Macie 會使用包含陳述式來新增條件。這表示任務已設定為在符合條件的儲存貯體中分析 (*包含*) 物件。若要略過 (*排除*) 符合條件的儲存貯體，請為條件選擇**包含**，然後選擇**排除**。

   1. 針對您要新增至條件的每個額外條件，重複上述步驟。

1. 若要測試您的條件，請展開**預覽條件結果**區段。本節顯示最多 25 個目前符合條件的一般用途儲存貯體的資料表。

1. 若要精簡您的條件，請執行下列任一動作：
   + 若要移除條件，請為條件選擇 **X**。
   + 若要變更條件，請為條件選擇 **X** 來移除條件。然後新增具有正確設定的條件。
   + 若要移除所有條件，請選擇**清除篩選條件**。

   Macie 會更新條件結果的資料表，以反映您的變更。

1. 完成指定儲存貯體條件後，請選擇**下一步**。

在下一個步驟中，您將檢閱並驗證您的條件。

## 步驟 2：檢閱您的 S3 儲存貯體選擇或條件
<a name="discovery-jobs-create-step2"></a>

在此步驟中，請確認您在上一個步驟中選擇了正確的設定：
+ **檢閱您的儲存貯體選擇** - 如果您為任務選取了特定的 S3 儲存貯體，請檢閱儲存貯體資料表並視需要變更儲存貯體選擇。資料表可讓您深入了解任務分析的預計範圍和成本。資料是根據目前存放在儲存貯體中的物件大小和類型。

  在表格中，**預估成本**欄位指出分析 S3 儲存貯體中物件的總預估成本 （美元）。每個預估值都會反映任務將在儲存貯體中分析的未壓縮資料預測量。如果任何物件是壓縮或封存檔案，預估值會假設檔案使用 3：1 壓縮率，而任務可以分析所有擷取的檔案。如需詳細資訊，請參閱[預測和監控任務成本](discovery-jobs-costs.md)。
+ **檢閱您的儲存貯體條件** - 如果您為任務指定儲存貯體條件，請檢閱條件中的每個條件。若要變更條件，請選擇**上**一個，然後使用上一個步驟中的篩選條件選項來輸入正確的條件。完成後，請選擇**下一步**。

當您完成檢閱和驗證設定時，請選擇**下一步**。

## 步驟 3：定義排程並縮小範圍
<a name="discovery-jobs-create-step3"></a>

在此步驟中，指定您希望任務執行的頻率 - 一次，或每日、每週或每月定期執行。也請選擇各種選項來縮小任務分析的範圍。若要了解這些選項，請參閱 [任務的範圍選項](discovery-jobs-scope.md)。

**定義排程並縮小任務範圍**

1. 在**縮小範圍**頁面上，指定您希望任務執行的頻率：
   + 若要僅執行任務一次，請在完成建立任務後立即選擇**一次性任務**。
   + 若要定期執行任務，請選擇**排程任務**。針對**更新頻率**，選擇是否每天、每週或每月執行任務。然後使用**包含現有物件**選項來定義任務第一次執行的範圍：
     + 選取此核取方塊可在您完成建立任務後立即分析所有現有的物件。每個後續執行只會分析在上述執行之後建立或變更的物件。
     + 清除此核取方塊可略過所有現有物件的分析。任務的第一次執行只會分析在您完成建立任務之後以及第一次執行開始之前建立或變更的物件。每個後續執行只會分析在上述執行之後建立或變更的物件。

       清除此核取方塊對於您已分析資料並希望繼續定期分析資料的案例很有幫助。例如，如果您之前使用其他服務或應用程式來分類資料，而且最近開始使用 Macie，您可以使用此選項來確保資料的持續探索和分類，而不會產生不必要的成本或複製分類資料。

1. （選用） 若要指定您希望任務分析的物件百分比，請在**取樣深度**方塊中輸入百分比。

   如果此值小於 100%，Macie 會隨機選取要分析的物件，最高可達指定的百分比，並分析這些物件中的所有資料。預設值為 100%。

1. （選用） 若要新增特定條件，以決定任務分析中包含或排除哪些 S3 物件，請展開**其他設定**區段，然後輸入條件。這些條件由衍生自物件屬性的個別條件組成：
   + 若要分析 (*包含*) 符合特定條件的物件，請輸入條件類型和值，然後選擇**包含**。
   + 若要略過 (*排除*) 符合特定條件的物件，請輸入條件類型和值，然後選擇**排除**。

   針對您想要的每個包含或排除條件，重複此步驟。

   如果您輸入多個條件，則排除條件優先於包含條件。例如，如果您包含具有 .pdf 副檔名的物件，並排除大於 5 MB 的物件，則任務會分析具有 .pdf 副檔名的任何物件，除非物件大於 5 MB。

1. 完成後，請選擇**下一步**。

## 步驟 4：選取受管資料識別符
<a name="discovery-jobs-create-step4"></a>

在此步驟中，指定您希望任務在分析 S3 物件時使用的受管資料識別符。您有兩種選擇：
+ **使用建議的設定** - 使用此選項，任務會使用我們建議用於任務的一組受管資料識別符來分析 S3 物件。此集旨在偵測敏感資料的常見類別和類型。若要檢閱目前在集合中的受管資料識別符清單，請參閱 [建議任務使用的受管資料識別符](discovery-jobs-mdis-recommended.md)。每次從集合中新增或移除受管資料識別符時，我們會更新該清單。
+ **使用自訂設定** - 使用此選項，任務會使用您選取的受管資料識別符來分析 S3 物件。這可以是目前可用的全部或部分受管資料識別符。您也可以將任務設定為不使用任何受管資料識別符。任務可以改為只使用您在下一個步驟中選取的自訂資料識別符。若要檢閱目前可用的受管資料識別符清單，請參閱 [快速參考：依類型列出的受管資料識別符](mdis-reference-quick.md)。每次我們發行新的受管資料識別符時，都會更新該清單。

當您選擇任一選項時，Macie 會顯示受管資料識別符的資料表。在表格中，**敏感資料類型**欄位會指定受管資料識別符的唯一識別符 (ID)。此 ID 說明受管資料識別符設計用於偵測的敏感資料類型，例如：美國護照號碼的 **USA\$1PASSPORT\$1NUMBER**、信用卡號碼的 **CREDIT\$1CARD\$1NUMBER**，以及 **PGP 私有金鑰的 PGP\$1PRIVATE\$1KEY**。若要更快速地尋找特定識別符，您可以依敏感資料類別或類型排序和篩選資料表。

**為任務選取受管資料識別符**

1. 在**選取受管資料識別符**頁面的**受管資料識別符選項**下，執行下列其中一項：
   + 若要使用我們建議用於任務的一組受管資料識別符，請選擇**建議**。

     如果您選擇此選項，並將任務設定為執行多次，則每次執行都會在執行開始時自動使用建議集中的所有受管資料識別符。這包括我們發佈並新增至集合的新受管資料識別符。它排除了我們從集合中移除的受管資料識別符，不再建議用於任務。
   + 若要僅使用您選取的特定受管資料識別符，請選擇**自訂**，然後選擇**使用特定受管資料識別符**。然後，在表格中，選取您希望任務使用的每個受管資料識別符的核取方塊。

     如果您選擇此選項，並將任務設定為執行多次，則每次執行只會使用您選取的受管資料識別符。換句話說，任務每次執行時都會使用這些相同的受管資料識別符。
   + 若要使用 Macie 目前提供的所有受管資料識別符，請選擇**自訂**，然後選擇**使用特定受管資料識別符**。然後，在表格中，選取選取欄標題中的核取方塊以選取所有資料列。

     如果您選擇此選項，並將任務設定為執行多次，則每次執行只會使用您選取的受管資料識別符。換句話說，任務每次執行時都會使用這些相同的受管資料識別符。
   + 若要不使用任何受管資料識別符，並僅使用自訂資料識別符，請選擇**自訂**，然後選擇**不使用任何受管資料識別符**。然後，在下一個步驟中，選取要使用的自訂資料識別符。

1. 完成後，請選擇**下一步**。

## 步驟 5：選取自訂資料識別符
<a name="discovery-jobs-create-step5"></a>

在此步驟中，選取您希望任務在分析 S3 物件時使用的任何自訂資料識別符。除了您設定任務使用的任何受管資料識別符之外，任務將使用選取的識別符。若要進一步了解自訂資料識別符，請參閱 [建置自訂資料識別符](custom-data-identifiers.md)。

**為任務選取自訂資料識別符**

1. 在**選取自訂資料識別符**頁面上，選取您希望任務使用的每個自訂資料識別符的核取方塊。您可以選取最多 30 個自訂資料識別符。
**提示**  
若要在選取自訂資料識別符之前檢閱或測試其設定，請選擇識別符名稱旁的連結圖示 (![\[The link icon, which is a blue box that has an arrow in it.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/icon-external-link.png))。Macie 會開啟顯示識別符設定的頁面。  
您也可以使用此頁面，透過範例資料測試識別符。若要這樣做，請在**範例資料**方塊中輸入最多 1，000 個字元的文字，然後選擇**測試**。Macie 會使用識別符評估範例資料，然後報告相符項目的數量。

1. 完成選取自訂資料識別符後，請選擇**下一步**。

## 步驟 6：選取允許清單
<a name="discovery-jobs-create-step6"></a>

針對此步驟，選取您希望任務在分析 S3 物件時使用的任何允許清單。若要進一步了解允許清單，請參閱 [使用允許清單定義敏感資料例外狀況](allow-lists.md)。

**選取任務的允許清單**

1. 在**選取允許清單**頁面上，選取您希望任務使用的每個允許清單的核取方塊。您最多可以選取 10 個清單。
**提示**  
若要在選取允許清單之前檢閱其設定，請選擇清單名稱旁的連結圖示 (![\[The link icon, which is a blue box that has an arrow in it.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/icon-external-link.png))。Macie 會開啟顯示清單設定的頁面。  
如果清單指定規則表達式 (*regex*)，您也可以使用此頁面以範例資料測試 regex。若要這樣做，請在**範例資料**方塊中輸入最多 1，000 個字元的文字，然後選擇**測試**。Macie 使用 regex 評估範例資料，然後報告相符項目的數量。

1. 當您完成選取允許清單時，請選擇**下一步**。

## 步驟 7：輸入一般設定
<a name="discovery-jobs-create-step7"></a>

在此步驟中，請指定名稱，並選擇性地指定任務的描述。您也可以將標籤指派給任務。 *標籤* 是您定義並指派給特定資源類型的標籤 AWS 。每個標籤都包含必要的標籤索引鍵和選用的標籤值。標籤可協助您以不同的方式識別、分類和管理資源，例如依用途、擁有者、環境或其他條件。如需詳細資訊，請參閱 [標記 Macie 資源](tagging-resources.md)。

**輸入任務的一般設定**

1. 在**輸入一般設定**頁面上，在任務名稱方塊中輸入**任務的名稱**。名稱最多可包含 500 個字元。

1. （選用） 針對**任務描述**，輸入任務的簡短描述。描述最多可包含 200 個字元。

1. （選用） 針對**標籤**，選擇**新增標籤**，然後輸入最多 50 個要指派給任務的標籤。

1. 完成後，請選擇**下一步**。

## 步驟 8：檢閱並建立
<a name="discovery-jobs-create-step8"></a>

在此最後一個步驟中，請檢閱任務的組態設定，並確認其正確無誤。這是重要的步驟。建立任務後，您無法變更任何這些設定。這有助於確保您擁有不可變的敏感資料調查結果歷史記錄，以及您執行的資料隱私權和保護稽核或調查的探索結果。

根據任務的設定，您也可以檢閱一次執行任務的預估總成本 （美元）。如果您為任務選取特定的 S3 儲存貯體，預估值會根據您選取的儲存貯體中的物件大小和類型，以及任務可以分析的資料量而定。如果您為任務指定儲存貯體條件，預估是根據目前符合條件的最多 500 個儲存貯體中的物件大小和類型，以及任務可以分析的資料量。若要了解此預估值，請參閱 [預測和監控任務成本](discovery-jobs-costs.md)。

**檢閱和建立任務**

1. 在**檢閱和建立**頁面上，檢閱每個設定並確認其正確無誤。若要變更設定，請在包含設定的區段中選擇**編輯**，然後輸入正確的設定。您也可以使用導覽索引標籤前往包含設定的頁面。

1. 當您完成驗證設定時，請選擇**提交**以建立和儲存任務。Macie 會檢查設定，並通知您要解決的任何問題。
**注意**  
如果您尚未為敏感資料探索結果設定儲存庫，Macie 會顯示警告，而且不會儲存任務。若要解決此問題，請在**儲存庫中針對敏感資料探索結果**區段中選擇**設定**。然後輸入儲存庫的組態設定。若要了解作法，請參閱[儲存及保留敏感資料探索結果](discovery-results-repository-s3.md)。輸入設定後，返回**檢閱和建立**頁面，然後在頁面的**儲存庫中為敏感資料探索結果**區段選擇重新整理 (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/btn-refresh-data.png))。  
雖然我們不建議這麼做，但您可以暫時覆寫儲存庫需求並儲存任務。如果您這樣做，您可能會遺失任務的探索結果，Macie 只會保留結果 90 天。若要暫時覆寫需求，請選取覆寫選項的核取方塊。

1. 如果 Macie 通知您要處理的問題，請解決問題，然後再次選擇**提交**以建立和儲存任務。

如果您將任務設定為每天執行一次，或在一週或一個月的當天執行，Macie 會在您儲存任務後立即開始執行任務。否則，Macie 會準備在一週或一個月的指定日期執行任務。若要監控任務，您可以[檢查任務的狀態](discovery-jobs-status-check.md)。