本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 Macie 調查結果調查敏感資料
當您執行敏感資料探索任務或 Amazon Macie 執行自動敏感資料探索時,Macie 會擷取其在 Amazon Simple Storage Service (Amazon S3) 物件中找到之敏感資料每次出現位置的詳細資訊。這包括 Macie 使用[受管資料識別符](managed-data-identifiers.md)偵測到的敏感資料,以及符合您設定任務或 Macie 使用之[自訂資料識別符](custom-data-identifiers.md)條件的資料。
使用敏感資料調查結果,您可以檢閱這些詳細資訊,最多可達 Macie 在個別 S3 物件中找到的 15 個敏感資料。詳細資訊可讓您深入了解特定 S3 儲存貯體和物件可能包含之敏感資料的類別和類型。它們可協助您找出物件中個別出現的敏感資料,並決定是否對特定儲存貯體和物件執行更深入的調查。
如需其他洞見,您可以選擇設定和使用 Macie 來擷取 Macie 在個別調查結果中報告的敏感資料範例。這些範例可協助您驗證 Macie 找到的敏感資料的性質。他們也可以協助您量身打造受影響 S3 儲存貯體和物件的調查。如果您選擇擷取問題清單的敏感資料範例,Macie 會使用問題清單中的資料來找出問題清單所報告之每種敏感資料的 1-10 個類型。然後,Macie 會從受影響的物件擷取這些敏感資料,並顯示資料供您檢閱。
如果 S3 物件包含許多敏感資料的出現,調查結果也可協助您導覽至對應的敏感資料探索結果。與敏感資料調查結果不同,敏感資料探索結果提供詳細的位置資料,多達 1,000 個 Macie 在物件中發現的每種敏感資料類型。Macie 對敏感資料調查結果和敏感資料探索結果中的位置資料使用相同的結構描述。若要進一步了解敏感資料探索結果,請參閱 [儲存及保留敏感資料探索結果](discovery-results-repository-s3.md)。
本節中的主題說明如何尋找和選擇性地擷取敏感資料調查結果報告的敏感資料。他們也會說明 Macie 用來報告 Macie 發現之敏感資料個別出現位置的結構描述。
**Topics**
+ [尋找敏感資料](findings-locate-sd.md)
+ [擷取敏感資料範例](findings-retrieve-sd.md)
+ [敏感資料位置的結構描述](findings-locate-sd-schema.md)
# 使用 Macie 調查結果尋找敏感資料
當您執行敏感資料探索任務或 Amazon Macie 執行自動敏感資料探索時,Macie 會對其分析的每個 Amazon Simple Storage Service (Amazon S3) 物件的最新版本執行深入檢查。對於每個任務執行或分析週期,Macie 也會使用*深度優先搜尋*演算法,將 Macie 在 S3 物件中發現的特定敏感資料位置的詳細資訊填入產生的調查結果。這些事件可讓您深入了解受影響的 S3 儲存貯體和物件可能包含的敏感資料的類別和類型。詳細資訊可協助您找出物件中個別出現的敏感資料,並決定是否對特定儲存貯體和物件執行更深入的調查。
透過敏感資料調查結果,您可以判斷 Macie 在受影響的 S3 物件中發現多達 15 個敏感資料出現的位置。這包括 Macie 使用[受管資料識別符偵測到的敏感資料](managed-data-identifiers.md),以及符合您設定任務或 Macie 使用之[自訂資料識別符](custom-data-identifiers.md)條件的資料。
敏感資料調查結果可以提供詳細資訊,例如:
+ Microsoft Excel 工作手冊、CSV 檔案或 TSV 檔案中儲存格或欄位的資料欄和資料列編號。
+ JSON 或 JSON Lines 檔案中欄位或陣列的路徑。
+ CSV、JSON、JSON Lines 或 TSV 檔案以外的非二進位文字檔案中一行的行號,例如 HTML、TXT 或 XML 檔案。
+ Adobe 可攜式文件格式 (PDF) 檔案中頁面的頁碼。
+ 記錄索引和 Apache Avro 物件容器或 Apache Parquet 檔案中記錄欄位的路徑。
您可以使用 Amazon Macie 主控台或 Amazon Macie API 來存取這些詳細資訊。您也可以在 Macie 發佈至其他 Amazon EventBridge 和 AWS 服務的調查結果中存取這些詳細資訊 AWS Security Hub CSPM。若要了解 Macie 用來報告這些詳細資訊的 JSON 結構,請參閱 [報告敏感資料位置的結構描述](findings-locate-sd-schema.md)。若要了解如何存取 Macie 發佈至其他問題清單的詳細資訊 AWS 服務,請參閱 [監控和處理問題清單](findings-monitor.md)。
如果 S3 物件包含許多敏感資料的出現,您也可以使用問題清單來導覽至其對應的敏感資料探索結果。與敏感資料調查結果不同,敏感資料探索結果提供詳細的位置資料,多達 1,000 個 Macie 在物件中找到的每種敏感資料類型。如果 S3 物件是封存檔案,例如 .tar 或 .zip 檔案,這包括 Macie 從封存中擷取之個別檔案中的敏感資料。(Macie 不會在敏感資料調查結果中包含此資訊。) 若要進一步了解敏感資料探索結果,請參閱 [儲存及保留敏感資料探索結果](discovery-results-repository-s3.md)。Macie 對敏感資料調查結果和敏感資料探索結果中的位置資料使用相同的結構描述。
**使用調查結果尋找敏感資料**
若要尋找調查結果報告的敏感資料,您可以使用 Amazon Macie 主控台或 Amazon Macie API。若要以程式設計方式執行此操作,請使用 [GetFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html) 操作。如果問題清單包含一或多個特定類型敏感資料出現位置的詳細資訊,問題清單中的`occurrences`物件會提供這些詳細資訊。如需詳細資訊,請參閱[報告敏感資料位置的結構描述](findings-locate-sd-schema.md)。
若要使用 主控台尋找敏感資料的出現,請遵循下列步驟。
1. 在 [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/):// 開啟 Amazon Macie 主控台。
1. 在導覽窗格中,選擇**調查結果**。
**提示**
您可以快速顯示特定敏感資料探索任務的所有調查結果。若要執行此操作,請在導覽窗格中選擇**任務**,然後選擇任務的名稱。在詳細資訊面板頂端,選擇**顯示結果**,然後選擇**顯示問題清單**。
1. 在**調查結果**頁面上,選擇您要尋找的敏感資料調查結果。詳細資訊面板會顯示問題清單的資訊。
1. 在詳細資訊面板中,捲動至**敏感資料**區段。本節提供有關 Macie 在受影響的 S3 物件中找到的敏感資料的類別和類型的資訊。它也會指出 Macie 找到的每種敏感資料的出現次數。
例如,下圖顯示問題清單的一些詳細資訊,報告 30 個出現的信用卡號碼、20 個出現的名稱,以及 29 個出現的美國社會安全號碼。
![\[調查結果詳細資訊欄位會顯示三種敏感資料的出現次數。\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/scrn-sdf-csv-occurrences.png)
如果問題清單包含一或多個特定類型敏感資料出現位置的詳細資訊,則出現次數為連結。選擇連結以顯示詳細資訊。Macie 會開啟新視窗,並以 JSON 格式顯示詳細資訊。
例如,下圖顯示受影響 S3 物件中發生兩個信用卡號碼的位置。
![\[位置資料,以 JSON 格式顯示,在 S3 物件中出現兩個信用卡號碼。\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/scrn-sdf-csv-occurrences-json.png)
若要將詳細資訊儲存為 JSON 檔案,請選擇**下載**,然後為檔案指定名稱和位置。
1. 若要將所有調查結果的詳細資訊儲存為 JSON 檔案,請在詳細資訊面板上方選擇調查結果的識別符 **(調查結果 ID**)。Macie 會開啟新視窗,並以 JSON 格式顯示所有詳細資訊。選擇**下載**,然後指定檔案的名稱和位置。
若要存取受影響物件中多達 1,000 個不同類型敏感資料位置的詳細資訊,請參閱調查結果的對應敏感資料探索結果。若要執行此操作,請捲動至面板**詳細資訊**區段的開頭。然後在**詳細結果位置**欄位中選擇連結。Macie 會開啟 Amazon S3 主控台,並顯示包含對應探索結果的檔案或資料夾。
# 使用 Macie 調查結果擷取敏感資料範例
若要驗證 Amazon Macie 在調查結果中報告的敏感資料的性質,您可以選擇設定和使用 Macie 來擷取和顯示個別調查結果報告的敏感資料範例。這包括 Macie 使用[受管資料識別符](managed-data-identifiers.md)偵測到的敏感資料,以及符合[自訂資料識別符條件的資料](custom-data-identifiers.md)。這些範例可協助您量身打造受影響 Amazon Simple Storage Service (Amazon S3) 物件和儲存貯體的調查。
如果您擷取並揭露問題清單的敏感資料範例,Macie 會執行下列一般任務:
1. 驗證調查結果是否指定個別出現敏感資料的位置,以及對應的[敏感資料探索結果](discovery-results-repository-s3.md)的位置。
1. 評估對應的敏感資料探索結果,檢查受影響的 S3 物件中繼資料的有效性,以及位置資料在物件中是否出現敏感資料。
1. 透過在敏感資料探索結果中使用資料, 會找出問題清單報告的前 1-10 個敏感資料,並從受影響的 S3 物件擷取每次出現的前 1-128 個字元。如果調查結果報告了多種類型的敏感資料,Macie 最多會執行此操作 100 個類型。
1. 使用您指定的 AWS Key Management Service (AWS KMS) 金鑰來加密擷取的資料。
1. 暫時將加密的資料存放在快取中,並顯示資料供您檢閱。資料會隨時加密,包括傳輸中和靜態。
1. 在擷取和加密之後不久, 會永久刪除快取中的資料,除非為了解決操作問題而暫時需要額外的保留。
如果您選擇再次擷取並顯示調查結果的敏感資料範例,Macie 會重複這些任務,以尋找、擷取、加密、儲存和最終刪除這些範例。
Macie 不會為您的帳戶使用 [Macie 服務連結角色](service-linked-roles.md)來執行這些任務。反之,您可以使用 AWS Identity and Access Management (IAM) 身分,或允許 Macie 在帳戶中擔任 IAM 角色。如果您或角色被允許存取必要的資源和資料,並執行必要的動作,您可以擷取並揭露問題清單的敏感資料範例。所有必要動作都會[登入 AWS CloudTrail](macie-cloudtrail.md)。
**重要**
建議您使用[自訂 IAM 政策](security-iam.md)來限制對此功能的存取。如需額外的存取控制,我們建議您也建立專用 AWS KMS key 於加密擷取的敏感資料範例,並將金鑰的使用限制為必須允許擷取和公開敏感資料範例的委託人。
如需可用來控制此功能存取的政策建議和範例,請參閱安全*AWS 部落格*上的下列部落格文章:[如何使用 Amazon Macie 預覽 S3 儲存貯體中的敏感資料](https://aws.amazon.com/blogs/security/how-to-use-amazon-macie-to-preview-sensitive-data-in-s3-buckets/)。
本節中的主題說明如何設定和使用 Macie 來擷取和顯示問題清單的敏感資料範例。您可以在目前可使用 Macie 的所有 AWS 區域 中執行這些任務,但亞太區域 (大阪) 和以色列 (特拉維夫) 區域除外。
**Topics**
+ [擷取範例的組態選項](findings-retrieve-sd-options.md)
+ [設定 Macie 擷取範例](findings-retrieve-sd-configure.md)
+ [擷取範例](findings-retrieve-sd-proc.md)
# 使用 Macie 擷取敏感資料範例的組態選項
您可以選擇性地設定和使用 Amazon Macie,以擷取和顯示 Macie 在個別調查結果中報告的敏感資料範例。如果您擷取並揭露問題清單的敏感資料範例,Macie 會使用對應[敏感資料探索結果](discovery-results-repository-s3.md)中的資料,找出受影響 Amazon Simple Storage Service (Amazon S3) 物件中敏感資料的出現。Macie 接著會從受影響的物件擷取這些事件的範例。Macie 會使用您指定的 AWS Key Management Service (AWS KMS) 金鑰來加密擷取的資料、暫時將加密的資料存放在快取中,並在問題清單的結果中傳回資料。在擷取和加密之後不久,Macie 會永久刪除快取中的資料,除非為了解決操作問題而暫時需要額外的保留。
Macie 不會為您的帳戶使用 [Macie 服務連結角色](service-linked-roles.md)來尋找、擷取、加密或公開受影響 S3 物件的敏感資料範例。相反地,Macie 會使用您為帳戶設定的設定和資源。當您在 Macie 中設定設定時,您可以指定如何存取受影響的 S3 物件。您也可以指定 AWS KMS key 要使用哪個 來加密範例。除了亞太區域 (大阪) 和以色列 (特拉維夫) 區域以外,您可以在目前可使用 AWS 區域 Macie 的所有 中設定設定。
若要存取受影響的 S3 物件並從中擷取敏感資料範例,您有兩個選項。您可以設定 Macie 使用 AWS Identity and Access Management (IAM) 使用者登入資料或擔任 IAM 角色:
+ **使用 IAM 使用者登入**資料 – 使用此選項,您帳戶的每個使用者都會使用其個別 IAM 身分來尋找、擷取、加密和揭露範例。這表示如果允許使用者存取必要的資源和資料,並執行必要的動作,使用者可以擷取並揭露問題清單的敏感資料範例。
+ **擔任 IAM 角色** – 使用此選項,您可以建立將存取權委派給 Macie 的 IAM 角色。您也可以確保角色的信任和許可政策符合 Macie 擔任角色的所有要求。然後,當帳戶的使用者選擇尋找、擷取、加密和公開問題清單的敏感資料範例時,Macie 會擔任該角色。
您可以搭配任何類型的 Macie 帳戶使用組態:組織的委派 Macie 管理員帳戶、組織中的 Macie 成員帳戶或獨立 Macie 帳戶。
下列主題說明可協助您決定如何設定 帳戶設定和資源的選項、需求和考量事項。這包括要連接到 IAM 角色的信任和許可政策。如需可用於擷取和揭露敏感資料範例的政策的其他建議和範例,請參閱安全*AWS 部落格*上的下列部落格文章:[如何使用 Amazon Macie 在 S3 儲存貯體中預覽敏感資料](https://aws.amazon.com/blogs/security/how-to-use-amazon-macie-to-preview-sensitive-data-in-s3-buckets/)。
**Topics**
+ [決定要使用的存取方法](#findings-retrieve-sd-options-s3access)
+ [使用 IAM 使用者登入資料來存取受影響的 S3 物件](#findings-retrieve-sd-options-s3access-user)
+ [擔任 IAM 角色以存取受影響的 S3 物件](#findings-retrieve-sd-options-s3access-role)
+ [設定 IAM 角色以存取受影響的 S3 物件](#findings-retrieve-sd-options-s3access-role-configuration)
+ [解密受影響的 S3 物件](#findings-retrieve-sd-options-decrypt)
## 決定要使用的存取方法
判斷哪種組態最適合您的 AWS 環境時,關鍵考量是您的環境是否包含以組織身分集中管理的多個 Amazon Macie 帳戶。如果您是組織的委派 Macie 管理員,將 Macie 設定為擔任 IAM 角色可以簡化組織中帳戶受影響 S3 物件的敏感資料範例擷取。使用此方法,您可以在管理員帳戶中建立 IAM 角色。您也可以在每個適用的成員帳戶中建立 IAM 角色。管理員帳戶中的角色會將存取權委派給 Macie。成員帳戶中的角色會將跨帳戶存取權委派給您的管理員帳戶中的角色。如果實作,您就可以使用角色鏈結來存取成員帳戶受影響的 S3 物件。
根據預設,也請考慮誰可以直接存取個別問題清單。若要擷取並顯示問題清單的敏感資料範例,使用者必須先存取問題清單:
+ **敏感資料探索任務** – 只有建立任務的帳戶可以存取任務產生的調查結果。如果您有 Macie 管理員帳戶,您可以設定任務來分析組織中任何帳戶的 S3 儲存貯體中的物件。因此,您的任務可以在成員帳戶擁有的儲存貯體中產生物件的調查結果。如果您有成員帳戶或獨立的 Macie 帳戶,您可以設定任務,僅在您帳戶擁有的儲存貯體中分析物件。
+ **自動化敏感資料探索** – 只有 Macie 管理員帳戶可以存取自動化探索為其組織中的帳戶產生的調查結果。成員帳戶無法存取這些調查結果。如果您有獨立的 Macie 帳戶,您可以存取自動化探索只會為您自己的帳戶產生的調查結果。
如果您計劃使用 IAM 角色存取受影響的 S3 物件,也請考慮下列事項:
+ 若要尋找物件中出現的敏感資料,問題清單對應的敏感資料探索結果必須存放在 Macie 使用雜湊型訊息驗證碼 (HMAC) 簽署的 S3 物件中 AWS KMS key。Macie 必須能夠驗證敏感資料探索結果的完整性和真實性。否則,Macie 不會擔任 IAM 角色來擷取敏感資料範例。這是額外的護欄,用於限制存取 帳戶的 S3 物件中的資料。
+ 若要從使用客戶受管加密的物件擷取敏感資料範例 AWS KMS key,必須允許 IAM 角色使用 金鑰解密資料。更具體地說,金鑰的政策必須允許角色執行 `kms:Decrypt`動作。對於其他類型的伺服器端加密,不需要額外的許可或資源來解密受影響的物件。如需詳細資訊,請參閱[解密受影響的 S3 物件](#findings-retrieve-sd-options-decrypt)。
+ 若要從另一個帳戶的物件擷取敏感資料範例,您目前必須是適用 中帳戶的委派 Macie 管理員 AWS 區域。此外還能:
+ Macie 目前必須為適用區域中的成員帳戶啟用。
+ 成員帳戶必須具有 IAM 角色,將跨帳戶存取權委派給 Macie 管理員帳戶中的 IAM 角色。角色的名稱在您的 Macie 管理員帳戶和成員帳戶中必須相同。
+ 成員帳戶中 IAM 角色的信任政策必須包含為您的組態指定正確外部 ID 的條件。此 ID 是唯一的英數字串,在您為 Macie 管理員帳戶設定設定後,Macie 會自動產生此字串。如需有關在信任政策中使用外部 IDs 的資訊,請參閱*AWS Identity and Access Management 《 使用者指南*》中的[存取第三方 AWS 帳戶 擁有](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)的 。
+ 如果成員帳戶中的 IAM 角色符合所有 Macie 要求,成員帳戶不需要設定和啟用 Macie 設定,即可從其帳戶的物件擷取敏感資料範例。Macie 只會使用 Macie 管理員帳戶中的設定和 IAM 角色,以及成員帳戶中的 IAM 角色。
**提示**
如果您的帳戶是大型組織的一部分,請考慮使用 AWS CloudFormation 範本和堆疊集來佈建和管理組織中成員帳戶的 IAM 角色。如需有關建立和使用範本和堆疊集的資訊,請參閱 [AWS CloudFormation 使用者指南](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)。
若要檢閱並選擇性地下載可做為起點的 CloudFormation 範本,您可以使用 Amazon Macie 主控台。在主控台的導覽窗格中的設定下****,選擇**顯示範例**。選擇**編輯**,然後選擇**檢視成員角色許可和 CloudFormation 範本**。
本節中的後續主題提供每種組態類型的其他詳細資訊和考量。對於 IAM 角色,這包含要連接到角色的信任和許可政策。如果您不確定哪種類型的組態最適合您的環境,請向您的 AWS 管理員尋求協助。
## 使用 IAM 使用者登入資料來存取受影響的 S3 物件
如果您設定 Amazon Macie 使用 IAM 使用者登入資料擷取敏感資料範例,您的 Macie 帳戶的每個使用者都會使用其 IAM 身分來尋找、擷取、加密和顯示個別問題清單的範例。這表示如果允許使用者的 IAM 身分存取必要的資源和資料,並執行必要的動作,使用者可以擷取並揭露調查結果的敏感資料範例。所有必要動作都會[記錄在 中 AWS CloudTrail](macie-cloudtrail.md)。
若要擷取並揭露特定調查結果的敏感資料範例,必須允許使用者存取下列資料和資源:調查結果、對應的敏感資料探索結果、受影響的 S3 儲存貯體,以及受影響的 S3 物件。如果適用,他們也必須被允許使用 AWS KMS key 用來加密受影響物件的 ,以及您設定 Macie 用來加密敏感資料範例 AWS KMS key 的 。如果任何 IAM 政策、資源政策或其他許可設定拒絕必要的存取,使用者將無法擷取並顯示調查結果的範例。
若要設定此類型的組態,請完成下列一般任務:
1. 確認您已為敏感資料探索結果設定儲存庫。
1. AWS KMS key 將 設定為用於敏感資料範例的加密。
1. 驗證您在 Macie 中設定設定的許可。
1. 在 Macie 中設定和啟用設定。
如需執行這些任務的資訊,請參閱 [設定 Macie 擷取敏感資料範例](findings-retrieve-sd-configure.md)。
## 擔任 IAM 角色以存取受影響的 S3 物件
若要設定 Amazon Macie 透過擔任 IAM 角色來擷取敏感資料範例,請先建立將存取權委派給 Amazon Macie 的 IAM 角色。確保角色的信任和許可政策符合 Macie 擔任角色的所有要求。當 Macie 帳戶的使用者接著選擇擷取並揭露問題清單的敏感資料範例時,Macie 會擔任從受影響的 S3 物件擷取範例的角色。Macie 只有在使用者選擇擷取並顯示問題清單的範例時,才會擔任該角色。為了擔任該角色,Macie 使用 AWS Security Token Service (AWS STS) API 的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) 操作。所有必要動作都會[登入 AWS CloudTrail](macie-cloudtrail.md)。
若要擷取並揭露特定調查結果的敏感資料範例,必須允許使用者存取調查結果、對應的敏感資料探索結果,以及您設定 Macie 用來加密敏感資料範例 AWS KMS key 的 。IAM 角色必須允許 Macie 存取受影響的 S3 儲存貯體和受影響的 S3 物件。如果適用,也必須允許角色使用 AWS KMS key 用來加密受影響物件的 。如果任何 IAM 政策、資源政策或其他許可設定拒絕必要的存取,使用者將無法擷取並顯示調查結果的範例。
若要設定此類型的組態,請完成下列一般任務。如果您在組織中有成員帳戶,請與您的 Macie 管理員合作,決定是否以及如何設定帳戶的設定和資源。
1. 定義下列項目:
+ 您希望 Macie 擔任的 IAM 角色名稱。如果您的帳戶是組織的一部分,則委派 Macie 管理員帳戶和組織中每個適用的成員帳戶的名稱必須相同。否則,Macie 管理員將無法存取適用成員帳戶的受影響 S3 物件。
+ 要連接到 IAM 角色的 IAM 許可政策名稱。如果您的帳戶是組織的一部分,我們建議您為組織中每個適用的成員帳戶使用相同的政策名稱。這可以簡化成員帳戶中的角色的佈建和管理。
1. 確認您已為敏感資料探索結果設定儲存庫。
1. AWS KMS key 將 設定為用於敏感資料範例的加密。
1. 驗證您在 Macie 中建立 IAM 角色和設定設定的許可。
1. 如果您是組織的委派 Macie 管理員,或擁有獨立的 Macie 帳戶:
1. 為您的 帳戶建立和設定 IAM 角色。確保角色的信任和許可政策符合 Macie 擔任角色的所有要求。如需這些需求的詳細資訊,請參閱[下一個主題](#findings-retrieve-sd-options-s3access-role-configuration)。
1. 在 Macie 中設定和啟用設定。Macie 接著會產生組態的外部 ID。如果您是組織的 Macie 管理員,請注意此 ID。每個適用成員帳戶中 IAM 角色的信任政策必須指定此 ID。
1. 如果您在組織中有成員帳戶:
1. 向您的 Macie 管理員詢問外部 ID,以便在您帳戶中 IAM 角色的信任政策中指定 。同時驗證要建立的 IAM 角色和許可政策的名稱。
1. 為您的 帳戶建立和設定 IAM 角色。確保角色的信任和許可政策符合 Macie 管理員擔任角色的所有要求。如需這些需求的詳細資訊,請參閱[下一個主題](#findings-retrieve-sd-options-s3access-role-configuration)。
1. (選用) 如果您想要針對自己的帳戶從受影響的 S3 物件擷取並顯示敏感資料範例,請在 Macie 中設定和啟用設定。如果您希望 Macie 擔任 IAM 角色來擷取範例,請先在帳戶中建立和設定其他 IAM 角色。確保此額外角色的信任和許可政策符合 Macie 擔任該角色的所有要求。然後在 Macie 中設定設定,並指定此額外角色的名稱。如需角色政策需求的詳細資訊,請參閱[下一個主題](#findings-retrieve-sd-options-s3access-role-configuration)。
如需執行這些任務的資訊,請參閱 [設定 Macie 擷取敏感資料範例](findings-retrieve-sd-configure.md)。
## 設定 IAM 角色以存取受影響的 S3 物件
若要使用 IAM 角色存取受影響的 S3 物件,請先建立和設定將存取權委派給 Amazon Macie 的角色。確保角色的信任和許可政策符合 Macie 擔任角色的所有要求。執行此作業的方式取決於您擁有的 Macie 帳戶類型。
下列各節提供有關要連接到每種 Macie 帳戶之 IAM 角色的信任和許可政策的詳細資訊。選擇您擁有的帳戶類型的 區段。
**注意**
如果您在組織中有成員帳戶,您可能需要為帳戶建立和設定兩個 IAM 角色:
若要允許 Macie 管理員從您帳戶受影響的 S3 物件擷取並揭露敏感資料範例,請建立並設定管理員帳戶可擔任的角色。如需這些詳細資訊,請選擇 **Macie 成員帳戶**區段。
若要從您自己帳戶受影響的 S3 物件擷取並顯示敏感資料範例,請建立並設定 Macie 可以擔任的角色。如需這些詳細資訊,請選擇**獨立 Macie 帳戶**區段。
在您建立和設定任一個 IAM 角色之前,請與您的 Macie 管理員合作,以判斷您帳戶的適當組態。
如需使用 IAM 建立角色的詳細資訊,請參閱*AWS Identity and Access Management 《 使用者指南*》中的[使用自訂信任政策建立角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html)。
### Macie 管理員帳戶
如果您是組織的委派 Macie 管理員,請先使用 IAM 政策編輯器來建立 IAM 角色的許可政策。政策應如下所示。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RetrieveS3Objects",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"*"
]
},
{
"Sid": "AssumeMacieRevealRoleForCrossAccountAccess",
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Resource": "arn:aws:iam::*:role/IAMRoleName"
}
]
}
```
------
其中 *IAMRoleName* 是 Macie 從組織帳戶受影響的 S3 物件擷取敏感資料範例時要擔任的 IAM 角色名稱。將此值取代為您為帳戶建立的角色名稱,並計劃為組織中適用的成員帳戶建立。此名稱必須與您的 Macie 管理員帳戶和每個適用的成員帳戶相同。
**注意**
在上述許可政策中,第一個陳述式中的 `Resource`元素使用萬用字元 (`*`)。這可讓連接的 IAM 實體從組織擁有的所有 S3 儲存貯體擷取物件。若要僅允許對特定儲存貯體進行此存取,請將萬用字元取代為每個儲存貯體的 Amazon Resource Name (ARN)。例如,若要僅允許存取名為 之儲存貯體中的物件*amzn-s3-demo-bucket1*,請將 元素變更為:
`"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*"`
您也可以限制對個別帳戶特定 S3 儲存貯體中物件的存取。若要這樣做,請在每個適用帳戶中 IAM 角色許可政策的 `Resource`元素中指定儲存貯ARNs。如需詳細資訊和範例,請參閱*AWS Identity and Access Management 《 使用者指南*》中的 [IAM JSON 政策元素:資源](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html)。
建立 IAM 角色的許可政策後,請建立和設定角色。如果您使用 IAM 主控台執行此操作,請選擇**自訂信任政策**作為角色的**受信任實體類型**。對於定義角色受信任實體的信任政策,請指定以下內容。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowMacieReveal",
"Effect": "Allow",
"Principal": {
"Service": "reveal-samples.macie.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
}
}
}
]
}
```
------
其中 *111122223333* 是 的帳戶 ID AWS 帳戶。將此值取代為您的 12 位數帳戶 ID。
在上述信任政策中:
+ `Principal` 元素指定 Macie 從受影響的 S3 物件擷取敏感資料範例時所使用的服務主體`reveal-samples.macie.amazonaws.com`。
+ `Action` 元素指定允許服務主體執行的動作,即 AWS Security Token Service (AWS STS) API 的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) 操作。
+ `Condition` 元素定義使用 [aws:SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) 全域條件內容索引鍵的條件。此條件決定哪些帳戶可以執行指定的動作。在這種情況下,它允許 Macie 僅擔任指定帳戶的角色。條件有助於防止 Macie 在交易期間被用作[混淆代理人](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) AWS STS。
定義 IAM 角色的信任政策後,請將許可政策連接至角色。這應該是您在開始建立角色之前建立的許可政策。然後完成 IAM 中的其餘步驟,以完成建立和設定角色。完成後,[請在 Macie 中設定和啟用設定](findings-retrieve-sd-configure.md)。
### Macie 成員帳戶
如果您有 Macie 成員帳戶,而且想要允許 Macie 管理員擷取並揭露您帳戶受影響 S3 物件的敏感資料範例,請先向您的 Macie 管理員詢問以下資訊:
+ 要建立的 IAM 角色名稱。您的 帳戶和組織的 Macie 管理員帳戶的名稱必須相同。
+ 要連接到角色的 IAM 許可政策名稱。
+ 在角色的信任政策中指定的外部 ID。此 ID 必須是 Macie 為 Macie 管理員組態產生的外部 ID。
收到此資訊後,請使用 IAM 政策編輯器來建立角色的許可政策。政策應如下所示。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RetrieveS3Objects",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"*"
]
}
]
}
```
------
上述許可政策允許連接的 IAM 實體從您帳戶的所有 S3 儲存貯體擷取物件。這是因為政策中的 `Resource`元素使用萬用字元 (`*`)。若要僅允許對特定儲存貯體進行此存取,請將萬用字元取代為每個儲存貯體的 Amazon Resource Name (ARN)。例如,若要僅允許存取名為 之儲存貯體中的物件*amzn-s3-demo-bucket2*,請將 元素變更為:
`"Resource": "arn:aws:s3:::amzn-s3-demo-bucket2/*"`
如需詳細資訊和範例,請參閱*AWS Identity and Access Management 《 使用者指南*》中的 [IAM JSON 政策元素:資源](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html)。
建立 IAM 角色的許可政策後,請建立角色。如果您使用 IAM 主控台建立角色,請選擇**自訂信任政策**作為角色的**受信任實體類型**。對於定義角色受信任實體的信任政策,請指定以下內容。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowMacieAdminRevealRoleForCrossAccountAccess",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/IAMRoleName"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": "externalID",
"aws:PrincipalOrgID": "${aws:ResourceOrgID}"
}
}
}
]
}
```
------
在上述政策中,將預留位置值取代為您的 AWS 環境的正確值,其中:
+ *111122223333* 是您 Macie 管理員帳戶的 12 位數帳戶 ID。
+ *IAMRoleName* 是 Macie 管理員帳戶中 IAM 角色的名稱。它應該是您從 Macie 管理員收到的名稱。
+ *externalID* 是您從 Macie 管理員收到的外部 ID。
一般而言,信任政策可讓您的 Macie 管理員擔任 角色,從您帳戶受影響的 S3 物件擷取和公開敏感資料範例。`Principal` 元素指定 Macie 管理員帳戶中 IAM 角色的 ARN。這是 Macie 管理員用來擷取和公開組織帳戶的敏感資料範例的角色。`Condition` 區塊會定義兩個條件,以進一步判斷誰可以擔任該角色:
+ 第一個條件會指定組織組態獨有的外部 ID。若要進一步了解外部 IDs,請參閱*AWS Identity and Access Management 《 使用者指南*》中的[存取第三方 AWS 帳戶 擁有](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)的 。
+ 第二個條件使用 [aws:PrincipalOrgID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) 全域條件內容索引鍵。索引鍵的值是動態變數,代表組織中 in AWS Organizations () 的唯一識別符`${aws:ResourceOrgID}`。條件限制只能存取屬於相同組織一部分的帳戶 AWS Organizations。如果您在 Macie 中接受邀請來加入組織,請從政策中移除此條件。
定義 IAM 角色的信任政策後,請將許可政策連接至角色。這應該是您在開始建立角色之前建立的許可政策。然後完成 IAM 中的其餘步驟,以完成建立和設定角色。請勿在 Macie 中設定和輸入角色的設定。
### 獨立 Macie 帳戶
如果您有獨立 Macie 帳戶或 Macie 成員帳戶,而且想要擷取並揭露自您帳戶受影響 S3 物件的敏感資料範例,請先使用 IAM 政策編輯器來建立 IAM 角色的許可政策。政策應如下所示。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RetrieveS3Objects",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"*"
]
}
]
}
```
------
在上述許可政策中, `Resource`元素使用萬用字元 (`*`)。這可讓連接的 IAM 實體從您帳戶的所有 S3 儲存貯體擷取物件。若要僅允許對特定儲存貯體進行此存取,請將萬用字元取代為每個儲存貯體的 Amazon Resource Name (ARN)。例如,若要僅允許存取名為 之儲存貯體中的物件*amzn-s3-demo-bucket3*,請將 元素變更為:
`"Resource": "arn:aws:s3:::amzn-s3-demo-bucket3/*"`
如需詳細資訊和範例,請參閱*AWS Identity and Access Management 《 使用者指南*》中的 [IAM JSON 政策元素:資源](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html)。
建立 IAM 角色的許可政策後,請建立角色。如果您使用 IAM 主控台建立角色,請選擇**自訂信任政策**作為角色的**受信任實體類型**。對於定義角色受信任實體的信任政策,請指定以下內容。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowMacieReveal",
"Effect": "Allow",
"Principal": {
"Service": "reveal-samples.macie.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "999999999999"
}
}
}
]
}
```
------
其中 *999999999999* 是 的帳戶 ID AWS 帳戶。將此值取代為您的 12 位數帳戶 ID。
在上述信任政策中:
+ `Principal` 元素會指定 Macie 從受影響的 S3 物件擷取和顯示敏感資料範例時所使用的服務主體`reveal-samples.macie.amazonaws.com`。
+ `Action` 元素指定允許服務主體執行的動作,即 AWS Security Token Service (AWS STS) API 的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) 操作。
+ `Condition` 元素定義使用 [aws:SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) 全域條件內容索引鍵的條件。此條件決定哪些帳戶可以執行指定的動作。它允許 Macie 僅擔任指定帳戶的角色。條件有助於防止 Macie 在與 交易期間被用作[混淆代理人](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) AWS STS。
定義 IAM 角色的信任政策後,請將許可政策連接至角色。這應該是您在開始建立角色之前建立的許可政策。然後完成 IAM 中的其餘步驟,以完成建立和設定角色。完成後,[請在 Macie 中設定和啟用設定](findings-retrieve-sd-configure.md)。
## 解密受影響的 S3 物件
Amazon S3 支援 S3 物件的多個加密選項。對於大多數這些選項,IAM 使用者或角色不需要額外的資源或許可,即可從受影響的物件解密和擷取敏感資料範例。這種情況適用於使用伺服器端加密搭配 Amazon S3 受管金鑰或 AWS 受管金鑰進行加密的物件 AWS KMS key。
不過,如果 S3 物件使用客戶受管加密 AWS KMS key,則需要額外的許可,才能從物件解密和擷取敏感資料範例。更具體地說,KMS 金鑰的金鑰政策必須允許 IAM 使用者或角色執行`kms:Decrypt`動作。否則,發生錯誤,Amazon Macie 不會從物件擷取任何範例。若要了解如何為 IAM 使用者提供此存取權,請參閱《 *AWS Key Management Service 開發人員指南*》中的 [KMS 金鑰存取和許可](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html)。
如何為 IAM 角色提供此存取權取決於擁有 的帳戶是否 AWS KMS key 也擁有該角色:
+ 如果同一個帳戶擁有 KMS 金鑰和角色,則帳戶的使用者必須更新金鑰的政策。
+ 如果一個帳戶擁有 KMS 金鑰,而另一個帳戶擁有該角色,則擁有金鑰的帳戶使用者必須允許跨帳戶存取金鑰。
本主題說明如何針對您建立的 IAM 角色執行這些任務,以從 S3 物件擷取敏感資料範例。它也提供這兩種案例的範例。如需有關允許存取其他案例 AWS KMS keys 所管理的客戶的資訊,請參閱《 *AWS Key Management Service 開發人員指南*》中的 [KMS 金鑰存取和許可](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html)。
### 允許相同帳戶存取客戶受管金鑰
如果同一個帳戶同時擁有 AWS KMS key 和 IAM 角色,則帳戶的使用者必須將陳述式新增至金鑰的政策。其他陳述式必須允許 IAM 角色使用 金鑰解密資料。如需更新金鑰政策的詳細資訊,請參閱《 *AWS Key Management Service 開發人員指南*》中的[變更金鑰政策](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html)。
在 陳述式中:
+ `Principal` 元素必須指定 IAM 角色的 Amazon Resource Name (ARN)。
+ `Action` 陣列必須指定 `kms:Decrypt`動作。這是唯一必須允許 AWS KMS IAM 角色執行的動作,以解密使用 金鑰加密的物件。
以下是要新增至 KMS 金鑰政策的 陳述式範例。
```
{
"Sid": "Allow the Macie reveal role to use the key",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/IAMRoleName"
},
"Action": [
"kms:Decrypt"
],
"Resource": "*"
}
```
在上述範例中:
+ `Principal` 元素中的 `AWS` 欄位指定帳戶中 IAM 角色的 ARN。它允許角色執行政策陳述式指定的動作。*123456789012* 是帳戶 ID 範例。將此值取代為擁有角色和 KMS 金鑰之帳戶的帳戶 ID。*IAMRoleName* 是範例名稱。將此值取代為帳戶中 IAM 角色的名稱。
+ `Action` 陣列指定允許 IAM 角色使用 KMS 金鑰執行的動作 - 解密使用金鑰加密的加密文字。
您在其中將此陳述式新增至金鑰政策,取決於政策目前包含的結構和元素。當您新增 陳述式時,請確定語法有效。金鑰政策使用 JSON 格式。這表示您還必須在陳述式之前或之後新增逗號,具體取決於您將陳述式新增至政策的位置。
### 允許跨帳戶存取客戶受管金鑰
如果一個帳戶擁有 AWS KMS key (*金鑰擁有者*),而另一個帳戶擁有 IAM 角色 (*角色擁有者*),則金鑰擁有者必須為角色擁有者提供金鑰的跨帳戶存取權。其中一種方法是使用授予。*授予*是一種政策工具,允許 AWS 主體在符合授予指定的條件時,在密碼編譯操作中使用 KMS 金鑰。若要了解授予,請參閱《 *AWS Key Management Service 開發人員指南*[》中的授予 AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)。
使用此方法,金鑰擁有者會先確保金鑰的政策允許角色擁有者建立金鑰的授予。角色擁有者接著會建立金鑰的授予。授予會將相關許可委派給其帳戶中的 IAM 角色。它允許角色解密使用 金鑰加密的 S3 物件。
**步驟 1:更新金鑰政策**
在金鑰政策中,金鑰擁有者應確保政策包含允許角色擁有者為其 (角色擁有者) 帳戶中的 IAM 角色建立授予的陳述式。在此陳述式中, `Principal`元素必須指定角色擁有者帳戶的 ARN。`Action` 陣列必須指定 `kms:CreateGrant`動作。`Condition` 區塊可以篩選對指定動作的存取。以下是 KMS 金鑰政策中此陳述式的範例。
```
{
"Sid": "Allow a role in an account to create a grant",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:GranteePrincipal": "arn:aws:iam::111122223333:role/IAMRoleName"
},
"ForAllValues:StringEquals": {
"kms:GrantOperations": "Decrypt"
}
}
}
```
在上述範例中:
+ `Principal` 元素中的 `AWS` 欄位指定角色擁有者帳戶的 ARN。它允許帳戶執行政策陳述式指定的動作。*111122223333* 是帳戶 ID 範例。將此值取代為角色擁有者帳戶的帳戶 ID。
+ `Action` 陣列指定允許角色擁有者在 KMS 金鑰上執行的動作 - 建立金鑰的授予。
+ `Condition` 區塊使用[條件運算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)和下列條件金鑰來篩選對角色擁有者在 KMS 金鑰上執行之動作的存取:
+ [kms:GranteePrincipal](https://docs.aws.amazon.com/kms/latest/developerguide/conditions-kms.html#conditions-kms-grantee-principal) – 此條件允許角色擁有者僅為指定的承授者委託人建立授予,這是其帳戶中 IAM 角色的 ARN。在該 ARN 中,*111122223333* 是帳戶 ID 範例。將此值取代為角色擁有者帳戶的帳戶 ID。*IAMRoleName* 是範例名稱。將此值取代為角色擁有者帳戶中的 IAM 角色名稱。
+ [kms:GrantOperations](https://docs.aws.amazon.com/kms/latest/developerguide/conditions-kms.html#conditions-kms-grant-operations) – 此條件僅允許角色擁有者建立授予,以委派執行動作的 AWS KMS `Decrypt`許可 (使用金鑰加密的加密文字)。它可防止角色擁有者建立授予,以委派許可對 KMS 金鑰執行其他動作。`Decrypt` 動作是 IAM 角色必須執行的唯一 AWS KMS 動作,才能解密使用 金鑰加密的物件。
金鑰擁有者將此陳述式新增至金鑰政策的位置,取決於政策目前包含的結構和元素。當金鑰擁有者新增陳述式時,他們應該確保語法有效。金鑰政策使用 JSON 格式。這表示金鑰擁有者也必須在陳述式之前或之後新增逗號,視其將陳述式新增至政策的位置而定。如需更新金鑰政策的詳細資訊,請參閱《 *AWS Key Management Service 開發人員指南*》中的[變更金鑰政策](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html)。
**步驟 2:建立授予**
在金鑰擁有者視需要更新金鑰政策之後,角色擁有者會建立金鑰的授予。授予會將相關許可委派給其 (角色擁有者) 帳戶中的 IAM 角色。在角色擁有者建立授予之前,他們應該驗證他們是否能夠執行`kms:CreateGrant`動作。此動作可讓他們將授予新增至現有的客戶受管 AWS KMS key。
若要建立授予,角色擁有者可以使用 AWS Key Management Service API 的 [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) 操作。當角色擁有者建立授予時,他們應該為必要參數指定下列值:
+ `KeyId` – KMS 金鑰的 ARN。若要跨帳戶存取 KMS 金鑰,此值必須是 ARN。它不能是金鑰 ID。
+ `GranteePrincipal` – 其帳戶中 IAM 角色的 ARN。此值應為 `arn:aws:iam::111122223333:role/IAMRoleName`,其中 *111122223333* 是角色擁有者帳戶的帳戶 ID,*IAMRoleName* 是角色的名稱。
+ `Operations` – AWS KMS 解密動作 (`Decrypt`)。這是唯一必須允許 IAM 角色執行 AWS KMS 的動作,以解密使用 KMS 金鑰加密的物件。
如果角色擁有者使用 AWS Command Line Interface (AWS CLI),他們可以執行 [create-grant](https://docs.aws.amazon.com/cli/latest/reference/kms/create-grant.html) 命令來建立授予。下列範例會顯示作法。此範例已針對 Microsoft Windows 進行格式化,並使用八進制 (^) 換行字元來改善可讀性。
```
C:\> aws kms create-grant ^
--key-id arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab ^
--grantee-principal arn:aws:iam::111122223333:role/IAMRoleName ^
--operations "Decrypt"
```
其中:
+ `key-id` 指定要套用授予的 KMS 金鑰 ARN。
+ `grantee-principal` 指定允許執行授予所指定動作的 IAM 角色 ARN。此值應符合金鑰政策中`kms:GranteePrincipal`條件指定的 ARN。
+ `operations` 指定授予允許指定委託人執行的動作 - 解密使用 金鑰加密的加密文字。
如果此命令成功執行,您會收到類似如下的輸出。
```
{
"GrantToken": "",
"GrantId": "1a2b3c4d2f5e69f440bae30eaec9570bb1fb7358824f9ddfa1aa5a0dab1a59b2"
}
```
其中 `GrantToken` 是唯一、非秘密、可變長度、以 base64 編碼的字串,代表已建立的授予,並且`GrantId`是授予的唯一識別符。
# 設定 Macie 擷取敏感資料範例
您可以選擇性地設定和使用 Amazon Macie,以擷取和顯示 Macie 在個別調查結果中報告的敏感資料範例。這些範例可協助您驗證 Macie 找到的敏感資料的性質。他們也可以協助您量身打造受影響 Amazon Simple Storage Service (Amazon S3) 物件和儲存貯體的調查。除了亞太區域 (大阪) 和以色列 (特拉維夫) 區域以外,您可以在目前可使用 AWS 區域 Macie 的所有 中擷取並揭露敏感資料範例。
當您擷取並揭露問題清單的敏感資料範例時,Macie 會使用對應敏感資料探索結果中的資料,找出受影響 S3 物件中敏感資料的出現。Macie 接著會從受影響的物件擷取這些出現的範例。Macie 會使用您指定的 AWS Key Management Service (AWS KMS) 金鑰來加密擷取的資料、暫時將加密的資料存放在快取中,並在調查結果中傳回資料。在擷取和加密之後不久,Macie 會永久刪除快取中的資料,除非為了解決操作問題而暫時需要額外的保留。
若要擷取並顯示問題清單的敏感資料範例,您必須先設定和啟用 Macie 帳戶的設定。您也需要設定帳戶的支援資源和許可。本節中的主題會引導您完成設定 Macie 以擷取和顯示敏感資料範例的程序,以及管理您帳戶的組態狀態。
**Topics**
+ [開始之前](#findings-retrieve-sd-configure-prereqs)
+ [設定和啟用 Macie 設定](#findings-retrieve-sd-configure-enable)
+ [停用 Macie 設定](#findings-retrieve-sd-configure-manage)
**提示**
如需可用於控制此功能存取的政策建議和範例,請參閱安全*AWS 部落格*上的下列部落格文章:[如何使用 Amazon Macie 預覽 S3 儲存貯體中的敏感資料](https://aws.amazon.com/blogs/security/how-to-use-amazon-macie-to-preview-sensitive-data-in-s3-buckets/)。
## 開始之前
設定 Amazon Macie 擷取並顯示問題清單的敏感資料範例之前,請先完成下列任務,以確保您擁有所需的資源和許可。
**Topics**
+ [步驟 1:為敏感資料探索結果設定儲存庫](#findings-retrieve-sd-configure-sddr)
+ [步驟 2:決定如何存取受影響的 S3 物件](#findings-retrieve-sd-configure-s3access)
+ [步驟 3:設定 AWS KMS key](#findings-retrieve-sd-configure-key)
+ [步驟 4:驗證您的許可](#findings-retrieve-sd-configure-permissions)
如果您已設定 Macie 擷取並顯示敏感資料範例,而且只想要變更組態設定,這些任務是選用的。
### 步驟 1:為敏感資料探索結果設定儲存庫
當您擷取並揭露問題清單的敏感資料範例時,Macie 會使用對應敏感資料探索結果中的資料,找出受影響 S3 物件中敏感資料的出現。因此,請務必確認您已為敏感資料探索結果設定儲存庫。否則,Macie 將無法找到您要擷取和顯示的敏感資料範例。
若要判斷是否已為您的帳戶設定此儲存庫,您可以使用 Amazon Macie 主控台:在導覽窗格中選擇**探索結果** (**設定**下)。若要以程式設計方式執行此操作,請使用 Amazon Macie API 的 [GetClassificationExportConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/classification-export-configuration.html) 操作。若要進一步了解敏感資料探索結果以及如何設定此儲存庫,請參閱 [儲存及保留敏感資料探索結果](discovery-results-repository-s3.md)。
### 步驟 2:決定如何存取受影響的 S3 物件
若要存取受影響的 S3 物件並從中擷取敏感資料範例,您有兩個選項。您可以設定 Macie 使用您的 AWS Identity and Access Management (IAM) 使用者登入資料。或者,您可以設定 Macie 擔任將存取權委派給 Macie 的 IAM 角色。您可以搭配任何類型的 Macie 帳戶使用組態:組織的委派 Macie 管理員帳戶、組織中的 Macie 成員帳戶或獨立的 Macie 帳戶。在 Macie 中設定設定之前,請先決定要使用的存取方法。如需每種方法選項和需求的詳細資訊,請參閱 [擷取範例的組態選項](findings-retrieve-sd-options.md)。
如果您計劃使用 IAM 角色,請在 Macie 中設定設定之前建立和設定角色。同時確保角色的信任和許可政策符合 Macie 擔任角色的所有要求。如果您的帳戶是集中管理多個 Macie 帳戶的組織的一部分,請與您的 Macie 管理員合作,先判斷是否以及如何為您的帳戶設定角色。
### 步驟 3:設定 AWS KMS key
當您擷取並顯示問題清單的敏感資料範例時,Macie 會使用您指定的 AWS Key Management Service (AWS KMS) 金鑰來加密範例。因此,您需要決定 AWS KMS key 要使用哪個 來加密範例。金鑰可以是來自您自己的帳戶的現有 KMS 金鑰,或另一個帳戶擁有的現有 KMS 金鑰。如果您想要使用另一個帳戶擁有的金鑰,請取得金鑰的 Amazon Resource Name (ARN)。在 Macie 中輸入組態設定時,您將需要指定此 ARN。
KMS 金鑰必須是客戶受管的對稱加密金鑰。它也必須是 AWS 區域 在您的 Macie 帳戶相同的 中啟用的單一區域金鑰。KMS 金鑰可以位於外部金鑰存放區中。不過,相較於完全在其中管理的金鑰,金鑰可能較慢且較不可靠 AWS KMS。如果延遲或可用性問題阻止 Macie 加密您想要擷取和揭露的敏感資料範例,則發生錯誤,Macie 不會傳回問題清單的任何範例。
此外,金鑰的金鑰政策必須允許適當的委託人 (IAM 角色、IAM 使用者或 AWS 帳戶) 執行下列動作:
+ `kms:Decrypt`
+ `kms:DescribeKey`
+ `kms:GenerateDataKey`
**重要**
作為額外的存取控制層,我們建議您建立專用 KMS 金鑰來加密擷取的敏感資料範例,並將金鑰的使用限制為必須允許擷取和公開敏感資料範例的委託人。如果不允許使用者對金鑰執行上述動作,Macie 會拒絕其擷取和揭露敏感資料範例的請求。Macie 不會傳回問題清單的任何範例。
如需有關建立和設定 KMS 金鑰的資訊,請參閱《 *AWS Key Management Service 開發人員指南*》中的[建立 KMS 金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)。如需有關使用金鑰政策來管理 KMS 金鑰存取權的資訊,請參閱《 *AWS Key Management Service 開發人員指南*》中的 [中的金鑰政策 AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)。
### 步驟 4:驗證您的許可
在 Macie 中設定設定之前,也請確認您擁有所需的許可。若要驗證您的許可,請使用 AWS Identity and Access Management (IAM) 檢閱連接至 IAM 身分的 IAM 政策。然後將這些政策中的資訊與下列必須允許您執行的動作清單進行比較。
**Amazon Macie**
針對 Macie,確認您可執行下列動作:
+ `macie2:GetMacieSession`
+ `macie2:UpdateRevealConfiguration`
第一個動作可讓您存取 Macie 帳戶。第二個動作可讓您變更組態設定,以擷取和揭露敏感資料範例。這包括啟用和停用您帳戶的組態。
選擇性地驗證您是否也被允許執行 `macie2:GetRevealConfiguration`動作。此動作可讓您擷取目前組態設定,以及帳戶的目前組態狀態。
**AWS KMS**
如果您打算使用 Amazon Macie 主控台輸入組態設定,也請確認您可以執行下列 AWS Key Management Service (AWS KMS) 動作:
+ `kms:DescribeKey`
+ `kms:ListAliases`
這些動作可讓您擷取 AWS KMS keys 帳戶 的相關資訊。然後,您可以在輸入設定時選擇其中一個金鑰。
**IAM**
如果您打算將 Macie 設定為擔任 IAM 角色來擷取和揭露敏感資料範例,也請確認您能夠執行下列 IAM 動作:`iam:PassRole`。此動作可讓您將角色傳遞給 Macie,進而允許 Macie 擔任該角色。當您輸入帳戶的組態設定時,Macie 也可以驗證帳戶中是否存在該角色並已正確設定。
如果您不被允許執行必要動作,請向您的 AWS 管理員尋求協助。
## 設定和啟用 Macie 設定
確認您擁有所需的資源和許可後,您可以在 Amazon Macie 中設定設定,並啟用帳戶的組態。
如果您的帳戶是集中管理多個 Macie 帳戶的組織的一部分,請在設定或隨後變更帳戶的設定之前,注意下列事項:
+ 如果您有成員帳戶,請與您的 Macie 管理員合作,以決定是否以及如何設定您帳戶的設定。Macie 管理員可協助您判斷帳戶的正確組態設定。
+ 如果您有 Macie 管理員帳戶,而且您變更了存取受影響 S3 物件的設定,您的變更可能會影響組織的其他帳戶和資源。這取決於 Macie 目前是否設定為擔任 AWS Identity and Access Management (IAM) 角色來擷取敏感資料範例。如果是 ,而且您重新設定 Macie 使用 IAM 使用者登入資料,Macie 會永久刪除 IAM 角色的現有設定,即角色的名稱和組態的外部 ID。如果您的組織隨後選擇再次使用 IAM 角色,您將需要在每個適用的成員帳戶中該角色的信任政策中指定新的外部 ID。
如需任一帳戶類型的組態選項和需求的詳細資訊,請參閱 [擷取範例的組態選項](findings-retrieve-sd-options.md)。
若要在 Macie 中設定並啟用帳戶的組態,您可以使用 Amazon Macie 主控台或 Amazon Macie API。
------
#### [ Console ]
請依照下列步驟,使用 Amazon Macie 主控台來設定和啟用設定。
**設定和啟用 Macie 設定**
1. 在 https://[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。
1. 透過使用頁面右上角的選擇 AWS 區域 器,選擇您要設定的區域,並讓 Macie 擷取並顯示敏感資料範例。
1. 在導覽窗格中的設定下****,選擇**顯示範例**。
1. 在 **Settings** (設定) 區段中,選擇 **Edit** (編輯)。
1. 針對 **Status** (狀態),請選擇 **Enable** (啟用)。
1. 在**存取**下,指定從受影響的 S3 物件擷取敏感資料範例時要使用的存取方法和設定:
+ 若要使用將存取權委派給 Macie 的 IAM 角色,請選擇**擔任 IAM 角色**。如果您選擇此選項,Macie 會透過擔任您在 中建立和設定的 IAM 角色來擷取範例 AWS 帳戶。在**角色名稱**方塊中,輸入角色的名稱。
+ 若要使用請求範例的 IAM 使用者的登入資料,請選擇**使用 IAM 使用者登入資料**。如果您選擇此選項,您帳戶的每個使用者都會使用其個別 IAM 身分來擷取範例。
1. 在**加密**下,指定 AWS KMS key 您要用來加密擷取之敏感資料範例的 :
+ 若要從您自己的帳戶使用 KMS 金鑰,請選擇**從您的帳戶選取金鑰**。然後,在**AWS KMS key**清單中,選擇要使用的金鑰。清單會顯示您帳戶的現有對稱加密 KMS 金鑰。
+ 若要使用另一個帳戶擁有的 KMS 金鑰,請選擇**從另一個帳戶輸入金鑰的 ARN**。然後,在 **AWS KMS key ARN** 方塊中,輸入要使用之金鑰的 Amazon Resource Name (ARN),例如 **arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab**。
1. 當您完成輸入設定時,請選擇**儲存**。
Macie 會測試設定並驗證其是否正確。如果您將 Macie 設定為擔任 IAM 角色,Macie 也會驗證帳戶中是否存在該角色,並正確設定信任和許可政策。如果發生問題,Macie 會顯示說明問題的訊息。
若要解決 的問題 AWS KMS key,請參閱[上述主題](#findings-retrieve-sd-configure-key)中的要求,並指定符合要求的 KMS 金鑰。若要解決 IAM 角色的問題,請先驗證您輸入了正確的角色名稱。如果名稱正確,請確保角色的政策符合 Macie 擔任角色的所有要求。如需這些詳細資訊,請參閱 [設定 IAM 角色以存取受影響的 S3 物件](findings-retrieve-sd-options.md#findings-retrieve-sd-options-s3access-role-configuration)。解決任何問題後,您可以儲存並啟用設定。
**注意**
如果您是組織的 Macie 管理員,且已將 Macie 設定為擔任 IAM 角色,則 Macie 會在儲存帳戶設定後產生並顯示外部 ID。請注意此 ID。每個適用成員帳戶中 IAM 角色的信任政策必須指定此 ID。否則,您將無法從帳戶擁有的 S3 物件擷取敏感資料範例。
------
#### [ API ]
若要以程式設計方式設定和啟用設定,請使用 Amazon Macie API 的 [UpdateRevealConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/reveal-configuration.html) 操作。在您的請求中,為支援的參數指定適當的值:
+ 針對 `retrievalConfiguration` 參數,指定從受影響的 S3 物件擷取敏感資料範例時要使用的存取方法和設定:
+ 若要擔任將存取權委派給 Macie 的 IAM 角色,請`ASSUME_ROLE`為 `retrievalMode` 參數指定 ,並為 `roleName` 參數指定角色的名稱。如果您指定這些設定,Macie 會透過擔任您在 中建立和設定的 IAM 角色來擷取範例 AWS 帳戶。
+ 若要使用請求範例的 IAM 使用者的登入資料,請`CALLER_CREDENTIALS`為 `retrievalMode` 參數指定 。如果您指定此設定,您帳戶的每個使用者都會使用其個別 IAM 身分來擷取範例。
**重要**
如果您未指定這些參數的值,Macie 會將存取方法 (`retrievalMode`) 設定為 `CALLER_CREDENTIALS`。如果 Macie 目前設定為使用 IAM 角色來擷取範例,Macie 也會永久刪除組態的目前角色名稱和外部 ID。若要保留現有組態的這些設定,請在請求中包含`retrievalConfiguration`參數,並指定這些參數的目前設定。若要擷取目前的設定,請使用 [GetRevealConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/reveal-configuration.html) 操作,或者,如果您使用的是 AWS Command Line Interface (AWS CLI),請執行 [get-reveal-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-reveal-configuration.html) 命令。
+ 針對 `kmsKeyId` 參數,指定 AWS KMS key 您要用來加密擷取之敏感資料範例的 :
+ 若要使用來自您自己的帳戶的 KMS 金鑰,請指定金鑰的 Amazon Resource Name (ARN)、ID 或別名。如果您指定別名,請包含 `alias/`字首,例如 `alias/ExampleAlias`。
+ 若要使用另一個帳戶擁有的 KMS 金鑰,請指定金鑰的 ARN,例如 `arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`。或指定金鑰別名的 ARN,例如 `arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias`。
+ 針對 `status` 參數,指定 `ENABLED` 以啟用 Macie 帳戶的組態。
在請求中,也請確定您指定要在 AWS 區域 其中啟用和使用組態的 。
若要使用 來設定和啟用設定 AWS CLI,請執行 [update-reveal-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-reveal-configuration.html) 命令,並為支援的參數指定適當的值。例如,如果您在 Microsoft Windows AWS CLI 上使用 ,請執行下列命令:
```
C:\> aws macie2 update-reveal-configuration ^
--region us-east-1 ^
--configuration={\"kmsKeyId\":\"arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias\",\"status\":\"ENABLED\"} ^
--retrievalConfiguration={\"retrievalMode\":\"ASSUME_ROLE\",\"roleName\":\"MacieRevealRole\"}
```
其中:
+ *us-east-1* 是啟用和使用組態的區域。在此範例中,美國東部 (維吉尼亞北部) 區域。
+ *arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias* 是 AWS KMS key 要使用之別名的 ARN。在此範例中,金鑰由另一個 帳戶擁有。
+ `ENABLED` 是組態的狀態。
+ *ASSUME\$1ROLE* 是要使用的存取方法。在此範例中,擔任指定的 IAM 角色。
+ *MacieRevealRole* 是 Macie 在擷取敏感資料範例時要擔任的 IAM 角色名稱。
上述範例使用八進制 (^) 換行字元來改善可讀性。
當您提交請求時,Macie 會測試設定。如果您將 Macie 設定為擔任 IAM 角色,Macie 也會驗證帳戶中是否存在該角色,並正確設定信任和許可政策。如果發生問題,您的請求會失敗,Macie 會傳回說明問題的訊息。若要解決 的問題 AWS KMS key,請參閱[上述主題](#findings-retrieve-sd-configure-key)中的要求,並指定符合要求的 KMS 金鑰。若要解決 IAM 角色的問題,請先驗證您指定的角色名稱是否正確。如果名稱正確,請確保角色的政策符合 Macie 擔任角色的所有要求。如需這些詳細資訊,請參閱 [設定 IAM 角色以存取受影響的 S3 物件](findings-retrieve-sd-options.md#findings-retrieve-sd-options-s3access-role-configuration)。解決問題後,請再次提交您的請求。
如果您的請求成功,Macie 會在指定的區域中啟用您帳戶的組態,您會收到類似以下的輸出。
```
{
"configuration": {
"kmsKeyId": "arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias",
"status": "ENABLED"
},
"retrievalConfiguration": {
"externalId": "o2vee30hs31642lexample",
"retrievalMode": "ASSUME_ROLE",
"roleName": "MacieRevealRole"
}
}
```
其中 `kmsKeyId`指定 AWS KMS key 要使用 來加密擷取的敏感資料範例,且 `status`是 Macie 帳戶的組態狀態。這些`retrievalConfiguration`值指定擷取範例時要使用的存取方法和設定。
**注意**
如果您是組織的 Macie 管理員,並將 Macie 設定為擔任 IAM 角色,請在回應中記下外部 ID (`externalId`)。每個適用成員帳戶中 IAM 角色的信任政策必須指定此 ID。否則,您將無法從帳戶擁有的受影響 S3 物件擷取敏感資料範例。
若要後續檢查帳戶的組態設定或狀態,請使用 [GetRevealConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/reveal-configuration.html) 操作,或針對 AWS CLI執行 [get-reveal-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-reveal-configuration.html) 命令。
------
## 停用 Macie 設定
您可以隨時停用 Amazon Macie 帳戶的組態設定。如果您停用組態,Macie 會保留設定,指定 AWS KMS key 要使用哪個設定來加密擷取的敏感資料範例。Macie 會永久刪除組態的 Amazon S3 存取設定。
**警告**
當您停用 Macie 帳戶的組態設定時,您也可以永久刪除指定如何存取受影響 S3 物件的目前設定。如果 Macie 目前設定為透過擔任 AWS Identity and Access Management (IAM) 角色存取受影響的物件,這包括:角色的名稱,以及 Macie 為組態產生的外部 ID。這些設定在刪除後無法復原。
若要停用 Macie 帳戶的組態設定,您可以使用 Amazon Macie 主控台或 Amazon Macie API。
------
#### [ Console ]
請依照下列步驟,使用 Amazon Macie 主控台停用帳戶的組態設定。
**停用 Macie 設定**
1. 開啟位於 https://[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 的 Amazon Macie 主控台。
1. 使用頁面右上角的選擇 AWS 區域 器,選擇您要停用 Macie 帳戶組態設定的區域。
1. 在導覽窗格中的設定下****,選擇**顯示範例**。
1. 在 **Settings** (設定) 區段中,選擇 **Edit** (編輯)。
1. 針對**狀態**,選擇**停用**。
1. 選擇**儲存**。
------
#### [ API ]
若要以程式設計方式停用組態設定,請使用 Amazon Macie API 的 [UpdateRevealConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/reveal-configuration.html) 操作。在您的請求中,請確定您指定要在 AWS 區域 其中停用組態的 。針對 `status` 參數,請指定 `DISABLED`。
若要使用 AWS Command Line Interface (AWS CLI) 停用組態設定,請執行 [update-reveal-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-reveal-configuration.html) 命令。使用 `region` 參數來指定您要停用組態的區域。針對 `status` 參數,請指定 `DISABLED`。例如,如果您在 Microsoft Windows AWS CLI 上使用 ,請執行下列命令:
```
C:\> aws macie2 update-reveal-configuration --region us-east-1 --configuration={\"status\":\"DISABLED\"}
```
其中:
+ *us-east-1* 是要在其中停用組態的區域。在此範例中,美國東部 (維吉尼亞北部) 區域。
+ `DISABLED` 是組態的新狀態。
如果您的請求成功,Macie 會停用指定區域中您帳戶的組態,您會收到類似以下的輸出。
```
{
"configuration": {
"status": "DISABLED"
}
}
```
其中 `status` 是 Macie 帳戶組態的新狀態。
------
如果 Macie 設定為擔任 IAM 角色來擷取敏感資料範例,您可以選擇刪除角色和角色的許可政策。當您停用帳戶的組態設定時,Macie 不會刪除這些資源。此外,Macie 不會使用這些資源來執行您帳戶的任何其他任務。若要刪除角色及其許可政策,您可以使用 IAM 主控台或 IAM API。如需詳細資訊,請參閱*AWS Identity and Access Management 《 使用者指南*》中的[刪除角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html)。
# 擷取 Macie 調查結果的敏感資料範例
透過使用 Amazon Macie,您可以擷取和顯示 Macie 在個別敏感資料調查結果中報告的敏感資料範例。這包括 Macie 使用[受管資料識別符](managed-data-identifiers.md)偵測到的敏感資料,以及符合[自訂資料識別符條件的資料](custom-data-identifiers.md)。這些範例可協助您驗證 Macie 找到的敏感資料的性質。他們也可以協助您量身打造受影響 Amazon Simple Storage Service (Amazon S3) 物件和儲存貯體的調查。除了亞太區域 (大阪) 和以色列 (特拉維夫) 區域以外,您可以在目前可使用 AWS 區域 Macie 的所有 中擷取並顯示敏感資料範例。
如果您擷取並揭露問題清單的敏感資料範例,Macie 會使用對應[敏感資料探索結果中的資料](discovery-results-repository-s3.md),找出問題清單所回報的前 1-10 個敏感資料。然後,Macie 會從受影響的 S3 物件擷取每次出現的前 1-128 個字元。如果問題清單報告了多種類型的敏感資料,Macie 最多會針對問題清單報告的 100 種敏感資料執行此操作。
當 Macie 從受影響的 S3 物件擷取敏感資料時,Macie 會使用您指定的 AWS Key Management Service (AWS KMS) 金鑰來加密資料、暫時將加密的資料存放在快取中,並在問題清單的結果中傳回資料。在擷取和加密之後不久,Macie 會永久刪除快取中的資料,除非為了解決操作問題而暫時需要額外的保留。
如果您選擇再次擷取並顯示問題清單的敏感資料範例,Macie 會重複尋找、擷取、加密、儲存和最終刪除範例的程序。
如需如何使用 Amazon Macie 主控台擷取和公開敏感資料範例的示範,請觀看下列影片:
**Topics**
+ [開始之前](#findings-retrieve-sd-proc-prereqs)
+ [判斷問題清單是否有可用的範例](#findings-retrieve-sd-proc-criteria)
+ [擷取問題清單的範例](#findings-retrieve-sd-proc-steps)
## 開始之前
您必須先[為 Amazon Macie 帳戶設定和啟用設定](findings-retrieve-sd-configure.md),才能擷取和顯示問題清單的敏感資料範例。您也需要與 AWS 管理員合作,以確認您擁有所需的許可和資源。
當您擷取並顯示問題清單的敏感資料範例時,Macie 會執行一系列任務來尋找、擷取、加密和顯示範例。Macie 不會為您的帳戶使用 [Macie 服務連結角色](service-linked-roles.md)來執行這些任務。反之,您可以使用您的 AWS Identity and Access Management (IAM) 身分,或允許 Macie 在帳戶中擔任 IAM 角色。
若要擷取並顯示問題清單的敏感資料範例,您必須能夠存取問題清單、對應的敏感資料探索結果,以及您設定 Macie 用來加密敏感資料範例 AWS KMS key 的 。此外,您必須允許 或 IAM 角色存取受影響的 S3 儲存貯體和受影響的 S3 物件。如果適用,您或角色也必須被允許使用 AWS KMS key 用來加密受影響物件的 。如果任何 IAM 政策、資源政策或其他許可設定拒絕必要存取,則會發生錯誤,且 Macie 不會傳回問題清單的任何範例。
您也必須被允許執行下列 Macie 動作:
+ `macie2:GetMacieSession`
+ `macie2:GetFindings`
+ `macie2:ListFindings`
+ `macie2:GetSensitiveDataOccurrences`
前三個動作可讓您存取 Macie 帳戶並擷取問題清單的詳細資訊。最後一個動作可讓您擷取並顯示問題清單的敏感資料範例。
若要使用 Amazon Macie 主控台擷取和公開敏感資料範例,您還必須執行下列動作:`macie2:GetSensitiveDataOccurrencesAvailability`。此動作可讓您判斷個別問題清單是否有可用的範例。您不需要執行此動作的許可,即可以程式設計方式擷取和顯示範例。不過,擁有此許可可以簡化範例的擷取。
如果您是組織的委派 Macie 管理員,且已設定 Macie 擔任 IAM 角色來擷取敏感資料範例,則您也必須執行下列動作:`macie2:GetMember`。此動作可讓您擷取帳戶與受影響帳戶之間關聯的相關資訊。它可讓 Macie 驗證您目前是受影響帳戶的 Macie 管理員。
如果您無法執行必要動作或存取必要資料和資源,請向您的 AWS 管理員尋求協助。
## 判斷問題清單是否可使用敏感資料範例
若要擷取並顯示問題清單的敏感資料範例,問題清單必須符合特定條件。它必須包含特定敏感資料出現的位置資料。此外,它必須指定有效且對應的敏感資料探索結果的位置。敏感資料探索結果必須儲存在 AWS 區域 與調查結果相同的 中。如果您設定 Amazon Macie 透過擔任 AWS Identity and Access Management (IAM) 角色存取受影響的 S3 物件,則敏感資料探索結果也必須存放在 Macie 使用雜湊型訊息驗證碼 (HMAC) 簽署的 S3 物件中 AWS KMS key。
受影響的 S3 物件也需要符合特定條件。物件的 MIME 類型必須是下列其中一項:
+ *application/avro*,適用於 Apache Avro 物件容器 (.avro) 檔案
+ *application/gzip*,適用於 GNU Zip 壓縮封存檔 (.gz 或 .gzip) 檔案
+ *application/json*,適用於 JSON 或 JSON Lines (.json 或 .jsonl) 檔案
+ *application/parquet*,適用於 Apache Parquet (.parquet) 檔案
+ *application/vnd.openxmlformats-officedocument.spreadsheetml.sheet*,適用於 Microsoft Excel 工作手冊 (.xlsx) 檔案
+ *application/zip*,適用於 ZIP 壓縮封存 (.zip) 檔案
+ *text/csv*,適用於 CSV (.csv) 檔案
+ *text/plain*,適用於 CSV、JSON、JSON Lines 或 TSV 檔案以外的非二進位文字檔案
+ *text/tab-separated-values*,適用於 TSV (.tsv) 檔案
此外,S3 物件的內容必須與建立問題清單時的內容相同。Macie 會檢查物件的實體標籤 (ETag),以判斷是否符合調查結果指定的 ETag。此外,物件的儲存大小不能超過擷取和顯示敏感資料範例的適用大小配額。如需適用的配額清單,請參閱 [Macie 配額](macie-quotas.md)。
如果問題清單和受影響的 S3 物件符合上述條件,則敏感資料範例可用於問題清單。您可以選擇先判斷特定問題清單是否如此,再嘗試擷取並顯示範例。
**判斷問題清單是否可使用敏感資料範例**
您可以使用 Amazon Macie 主控台或 Amazon Macie API 來判斷問題清單是否可使用敏感資料範例。
------
#### [ Console ]
請依照 Amazon Macie 主控台上的這些步驟來判斷問題清單是否可使用敏感資料範例。
**判斷問題清單是否有可用的範例**
1. 在 https://[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。
1. 在導覽窗格中,選擇**調查結果**。
1. 在**問題清單**頁面上,選擇問題清單。詳細資訊面板會顯示調查結果的資訊。
1. 在詳細資訊面板中,捲動至**敏感資料**區段。然後,請參閱**顯示範例**欄位。
如果問題清單可使用敏感資料範例,**則檢閱**連結會顯示在 欄位中,如下圖所示。
![\[調查結果詳細資訊面板中的顯示範例欄位。欄位包含標記為檢閱的連結。\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/scrn-findings-reveal-samples.png)
如果問題清單無法使用敏感資料範例,**顯示範例**欄位會顯示文字,指出原因:
+ **帳戶不在組織中** – 您無法使用 Macie 存取受影響的 S3 物件。受影響的帳戶目前不屬於您的組織。或者,帳戶是您組織的一部分,但目前 中的帳戶目前尚未啟用 Macie AWS 區域。
+ **無效分類結果** – 沒有調查結果對應的敏感資料探索結果。或者,對應的敏感資料探索結果無法在目前的 中使用 AWS 區域、格式不正確或損毀,或使用不支援的儲存格式。Macie 無法驗證要擷取之敏感資料的位置。
+ **無效的結果簽章** – 對應的敏感資料探索結果會儲存在非由 Macie 簽署的 S3 物件中。Macie 無法驗證敏感資料探索結果的完整性和真實性。因此,Macie 無法驗證要擷取之敏感資料的位置。
+ **成員角色過於寬鬆 –** 受影響成員帳戶中 IAM 角色的信任或許可政策不符合限制存取角色的 Macie 要求。或者,角色的信任政策不會為您的組織指定正確的外部 ID。Macie 無法擔任該角色來擷取敏感資料。
+ **缺少 GetMember 許可** – 不允許您擷取帳戶與受影響帳戶之間關聯的相關資訊。Macie 無法判斷您是否能夠以受影響帳戶的委派 Macie 管理員身分存取受影響的 S3 物件。
+ **物件超過大小配額** – 受影響 S3 物件的儲存體大小超過擷取和顯示該類型檔案中敏感資料範例的大小配額。
+ **物件無法使用** – 無法使用受影響的 S3 物件。在 Macie 建立問題清單後,物件已重新命名、移動或刪除,或其內容已變更。或者,物件會使用無法使用 AWS KMS key 的 加密。例如,金鑰已停用、排定刪除或刪除。
+ **未簽署的結果** – 對應的敏感資料探索結果會存放在尚未簽署的 S3 物件中。Macie 無法驗證敏感資料探索結果的完整性和真實性。因此,Macie 無法驗證要擷取之敏感資料的位置。
+ **角色過於寬鬆 –** 您的帳戶已設定為使用信任或許可政策不符合 Macie 限制存取角色的 IAM 角色來擷取敏感資料的出現。Macie 無法擔任該角色來擷取敏感資料。
+ **不支援的物件類型** – 受影響的 S3 物件使用 Macie 不支援的檔案或儲存格式,用於擷取和揭露敏感資料的範例。受影響 S3 物件的 MIME 類型不是[上述清單中](#findings-retrieve-sd-criteria-mimetype)的值之一。
如果問題清單的敏感資料探索結果有問題,問題清單的詳細**結果位置**欄位中的資訊可協助您調查問題。此欄位指定 Amazon S3 中結果的原始路徑。若要調查 IAM 角色的問題,請確定角色的政策符合 Macie 擔任該角色的所有要求。如需這些詳細資訊,請參閱 [設定 IAM 角色以存取受影響的 S3 物件](findings-retrieve-sd-options.md#findings-retrieve-sd-options-s3access-role-configuration)。
------
#### [ API ]
若要以程式設計方式判斷問題清單是否可使用敏感資料範例,請使用 Amazon Macie API 的 [GetSensitiveDataOccurrencesAvailability](https://docs.aws.amazon.com/macie/latest/APIReference/findings-findingid-reveal-availability.html) 操作。當您提交請求時,請使用 `findingId` 參數來指定問題清單的唯一識別符。若要取得此識別符,您可以使用 [ListFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings.html) 操作。
如果您使用的是 AWS Command Line Interface (AWS CLI),請執行 [get-sensitive-data-occurrences-availability](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitive-data-occurrences-availability.html) 命令,並使用 `finding-id` 參數來指定問題清單的唯一識別符。若要取得此識別符,您可以執行 [list-findings](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-findings.html) 命令。
如果您的請求成功,且問題清單有可用的範例,您會收到類似以下的輸出:
```
{
"code": "AVAILABLE",
"reasons": []
}
```
如果您的請求成功,且問題清單無法使用範例, `code` 欄位的值為 ,`UNAVAILABLE`且`reasons`陣列會指定原因。例如:
```
{
"code": "UNAVAILABLE",
"reasons": [
"UNSUPPORTED_OBJECT_TYPE"
]
}
```
如果問題清單的敏感資料探索結果有問題,問題清單 `classificationDetails.detailedResultsLocation` 欄位中的資訊可協助您調查問題。此欄位指定 Amazon S3 中結果的原始路徑。若要調查 IAM 角色的問題,請確定角色的政策符合 Macie 擔任該角色的所有要求。如需這些詳細資訊,請參閱 [設定 IAM 角色以存取受影響的 S3 物件](findings-retrieve-sd-options.md#findings-retrieve-sd-options-s3access-role-configuration)。
------
## 擷取問題清單的敏感資料範例
若要擷取並顯示調查結果的敏感資料範例,您可以使用 Amazon Macie 主控台或 Amazon Macie API。
------
#### [ Console ]
請依照下列步驟,使用 Amazon Macie 主控台擷取並顯示問題清單的敏感資料範例。
**擷取並顯示問題清單的敏感資料範例**
1. 在 https://[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。
1. 在導覽窗格中,選擇**調查結果**。
1. 在**問題清單**頁面上,選擇問題清單。詳細資訊面板會顯示問題清單的資訊。
1. 在詳細資訊面板中,捲動至**敏感資料**區段。然後,在**顯示範例**欄位中,選擇**檢閱**:
![\[調查結果詳細資訊面板中的顯示範例欄位。欄位包含標記為檢閱的連結。\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/scrn-findings-reveal-samples.png)
**注意**
如果**檢閱**連結未出現在**顯示範例**欄位中,則敏感資料範例不適用於調查結果。若要判斷為何會發生這種情況,請參閱[上述主題](#findings-retrieve-sd-proc-criteria)。
選擇**檢閱**後,Macie 會顯示摘要調查結果關鍵詳細資訊的頁面。詳細資訊包括 Macie 在受影響的 S3 物件中找到的敏感資料的類別、類型和出現次數。
1. 在頁面的**敏感資料**區段中,選擇**顯示範例**。然後,Macie 會擷取並顯示調查結果所報告前 1-10 個敏感資料出現的範例。每個範例都包含敏感資料出現的前 1-128 個字元。擷取和顯示範例可能需要幾分鐘的時間。
如果調查結果報告多種類型的敏感資料,Macie 會擷取並顯示最多 100 種類型的範例。例如,下圖顯示跨越多個類別和類型敏感資料的範例:AWS 憑證、美國電話號碼和人員名稱。
![\[範例資料表。它列出九個範例,以及每個範例的敏感資料類別和類型。\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/scrn-findings-sd-samples.png)
範例會先依敏感資料類別組織,然後依敏感資料類型組織。
------
#### [ API ]
若要以程式設計方式擷取並顯示問題清單的敏感資料範例,請使用 Amazon Macie API 的 [GetSensitiveDataOccurrences](https://docs.aws.amazon.com/macie/latest/APIReference/findings-findingid-reveal.html) 操作。當您提交請求時,請使用 `findingId` 參數來指定問題清單的唯一識別符。若要取得此識別符,您可以使用 [ListFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings.html) 操作。
若要使用 AWS Command Line Interface (AWS CLI) 擷取並顯示敏感資料範例,請執行 [get-sensitive-data-occurrences](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitive-data-occurrences.html) 命令,並使用 `finding-id` 參數來指定問題清單的唯一識別符。例如:
```
C:\> aws macie2 get-sensitive-data-occurrences --finding-id "1f1c2d74db5d8caa76859ec52example"
```
其中 *1f1c2d74db5d8caa76859ec52example* 是調查結果的唯一識別符。若要使用 取得此識別符 AWS CLI,您可以執行 [list-findings](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-findings.html) 命令。
如果您的請求成功,Macie 會開始處理您的請求,您會收到類似以下的輸出:
```
{
"status": "PROCESSING"
}
```
處理您的請求可能需要幾分鐘的時間。在幾分鐘內,再次提交您的請求。
如果 Macie 可以尋找、擷取和加密敏感資料範例,Macie 會在`sensitiveDataOccurrences`地圖中傳回範例。映射會指定問題清單報告的 1-100 種敏感資料,以及每種類型的 1-10 個範例。每個範例都包含調查結果報告的敏感資料出現的前 1-128 個字元。
在映射中,每個金鑰都是偵測到敏感資料的受管資料識別符 ID,或偵測到敏感資料的自訂資料識別符的名稱和唯一識別符。這些值是指定受管資料識別符或自訂資料識別符的範例。例如,以下回應提供受管資料識別符 (`NAME` 和 `AWS_CREDENTIALS`分別為 ) 偵測到的三個人員名稱範例和兩個 AWS 私密存取金鑰範例。
```
{
"sensitiveDataOccurrences": {
"NAME": [
{
"value": "Akua Mansa"
},
{
"value": "John Doe"
},
{
"value": "Martha Rivera"
}
],
"AWS_CREDENTIALS": [
{
"value": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY"
},
{
"value": "je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY"
}
]
},
"status": "SUCCESS"
}
```
如果您的請求成功,但問題清單無法使用敏感資料範例,您會收到一則`UnprocessableEntityException`訊息,指出無法取得範例的原因。例如:
```
{
"message": "An error occurred (UnprocessableEntityException) when calling the GetSensitiveDataOccurrences operation: OBJECT_UNAVAILABLE"
}
```
在上述範例中,Macie 嘗試從受影響的 S3 物件擷取範例,但物件不再可用。Macie 建立問題清單後,物件的內容會變更。
如果您的請求成功,但另一種類型的錯誤導致 Macie 無法擷取和公開調查結果的敏感資料範例,您會收到類似以下的輸出:
```
{
"error": "Macie can't retrieve the samples. You're not allowed to access the affected S3 object or the object is encrypted with a key that you're not allowed to use.",
"status": "ERROR"
}
```
`status` 欄位的值為 ,`ERROR`而 `error` 欄位說明發生的錯誤。[上述主題](#findings-retrieve-sd-proc-criteria)中的資訊可協助您調查錯誤。
------
# 報告敏感資料位置的結構描述
Amazon Macie 使用標準化的 JSON 結構來儲存在 Amazon Simple Storage Service (Amazon S3) 物件中尋找敏感資料的位置的相關資訊。這些結構由敏感資料調查結果和敏感資料探索結果使用。對於敏感資料調查結果,結構是調查結果的 JSON 結構描述的一部分。若要檢閱問題清單的完整 JSON 結構描述,請參閱《*Amazon Macie API 參考*》中的[問題清單](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html)。若要進一步了解敏感資料探索結果,請參閱 [儲存及保留敏感資料探索結果](discovery-results-repository-s3.md)。
**Topics**
+ [結構描述概觀](#findings-locate-sd-schema-overview)
+ [結構描述詳細資訊和範例](#findings-locate-sd-schema-examples)
## 結構描述概觀
若要報告 Amazon Macie 在受影響的 S3 物件中找到的敏感資料的位置,敏感資料調查結果和敏感資料探索結果的 JSON 結構描述包含一個`customDataIdentifiers`物件和一個`sensitiveData`物件。`customDataIdentifiers` 物件提供 Macie 使用[自訂資料識別符偵測到之資料](custom-data-identifiers.md)的詳細資訊。`sensitiveData` 物件提供 Macie 使用[受管資料識別符偵測到的資料](managed-data-identifiers.md)詳細資訊。
每個 `customDataIdentifiers`和 `sensitiveData` 物件包含一或多個`detections`陣列:
+ 在 `customDataIdentifiers` 物件中,`detections`陣列會指出哪些自訂資料識別符偵測到資料並產生調查結果。對於每個自訂資料識別符,陣列也會指出識別符偵測到的資料出現次數。它也可以指出識別符偵測到的資料位置。
+ 在 `sensitiveData` 物件中,`detections`陣列會指出 Macie 使用受管資料識別符偵測到的敏感資料類型。對於每種類型的敏感資料,陣列也會指出資料的出現次數,並且可以指出資料的位置。
對於敏感資料調查結果,`detections`陣列可包含 1-15 個`occurrences`物件。每個`occurrences`物件指定 Macie 偵測到特定類型敏感資料個別出現的位置。
例如,下列`detections`陣列指出 Macie 在 CSV 檔案中發現三個敏感資料 (美國社會安全號碼) 出現的位置。
```
"sensitiveData": [
{
"category": "PERSONAL_INFORMATION",
"detections": [
{
"count": 30,
"occurrences": {
"cells": [
{
"cellReference": null,
"column": 1,
"columnName": "SSN",
"row": 2
},
{
"cellReference": null,
"column": 1,
"columnName": "SSN",
"row": 3
},
{
"cellReference": null,
"column": 1,
"columnName": "SSN",
"row": 4
}
]
},
"type": "USA_SOCIAL_SECURITY_NUMBER"
}
```
`detections` 陣列中的`occurrences`物件位置和數量會根據 Macie 在自動化敏感資料探索分析週期或敏感資料探索任務執行期間偵測到的敏感資料類別、類型和出現次數而有所不同。對於每個分析週期或任務執行,Macie *會使用深度優先搜尋*演算法,將 Macie 在 S3 物件中偵測到的 1-15 個敏感資料出現的位置資料填入產生的調查結果。這些出現表示受影響的 S3 儲存貯體和物件可能包含的敏感資料的類別和類型。
`occurrences` 物件可以包含下列任何結構,取決於受影響的 S3 物件的檔案類型或儲存格式:
+ `cells` 陣列 – 此陣列適用於 Microsoft Excel 工作手冊、CSV 檔案和 TSV 檔案。此陣列中的物件會指定 Macie 偵測到敏感資料的儲存格或欄位。
+ `lineRanges` 陣列 – 此陣列適用於電子郵件訊息 (EML) 檔案,以及 CSV、JSON、JSON Lines 和 TSV 檔案以外的非二進位文字檔案,例如 HTML、TXT 和 XML 檔案。此陣列中的物件會指定 Macie 偵測到出現敏感資料的行或包含行範圍,以及指定行或行上資料的位置。
在某些情況下,`lineRanges`陣列中的物件會以另一種陣列支援的檔案類型或儲存格式指定敏感資料偵測的位置。這些案例包括:在結構化檔案的非結構化區段中偵測,例如檔案中的註解;Macie 分析為純文字的格式不正確檔案中的偵測;以及具有 Macie 偵測到敏感資料之一或多個資料欄名稱的 CSV 或 TSV 檔案。
+ `offsetRanges` array – 此陣列保留供日後使用。如果此陣列存在,則其值為 null。
+ `pages` 陣列 – 此陣列適用於 Adobe 可攜式文件格式 (PDF) 檔案。此陣列中的物件會指定 Macie 偵測到敏感資料的頁面。
+ `records` 陣列 – 此陣列適用於 Apache Avro 物件容器、Apache Parquet 檔案、JSON 檔案和 JSON Lines 檔案。對於 Avro 物件容器和 Parquet 檔案,此陣列中的物件會指定記錄索引,以及 Macie 偵測到發生敏感資料的記錄中欄位的路徑。對於 JSON 和 JSON Lines 檔案,此陣列中的物件會指定 Macie 偵測到敏感資料出現在其中的欄位或陣列路徑。對於 JSON Lines 檔案,它也會指定包含資料的行索引。
這些陣列的內容會根據受影響的 S3 物件的檔案類型或儲存格式及其內容而有所不同。
## 結構描述詳細資訊和範例
Amazon Macie 會量身打造 JSON 結構的內容,以指出它在特定類型的檔案和內容中偵測到敏感資料的位置。下列主題說明並提供這些結構的範例。
**Topics**
+ [儲存格陣列](#findings-locate-sd-schema-examples-cell)
+ [LineRanges 陣列](#findings-locate-sd-schema-examples-linerange)
+ [頁面陣列](#findings-locate-sd-schema-examples-page)
+ [記錄陣列](#findings-locate-sd-schema-examples-record)
如需可以包含在敏感資料調查結果中的 JSON 結構完整清單,請參閱《*Amazon Macie API 參考*》中的[調查結果](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html)。
### 儲存格陣列
**適用於:**Microsoft Excel 工作手冊、CSV 檔案和 TSV 檔案
在`cells`陣列中,`Cell`物件會指定 Macie 偵測到發生敏感資料的儲存格或欄位。下表說明 `Cell` 物件中每個欄位的用途。
| 欄位 | Type | Description |
| --- | --- | --- |
| cellReference | String | 儲存格的位置,做為絕對儲存格參考,其中包含出現的情況。此欄位僅適用於 Excel 工作手冊。CSV 和 TSV 檔案的此值為 null。 |
| column | Integer | 包含出現的欄的欄編號。對於 Excel 工作手冊,此值與欄識別符的字母字元 (例如1欄 A、2欄 B 等) 相關。 |
| columnName | String | 如果可用,包含出現的欄名稱。 |
| row | Integer | 包含出現之資料列的資料列編號。 |
下列範例顯示 `Cell` 物件的結構,指定 Macie 在 CSV 檔案中偵測到的敏感資料出現的位置。
```
"cells": [
{
"cellReference": null,
"column": 3,
"columnName": "SSN",
"row": 5
}
]
```
在上述範例中,調查結果指出 Macie 在 檔案第三欄 (命名為 *SSN*) 的第五列的 欄位中偵測到敏感資料。
下列範例顯示 `Cell` 物件的結構,指定 Macie 在 Excel 工作手冊中偵測到的敏感資料出現的位置。
```
"cells": [
{
"cellReference": "Sheet2!C5",
"column": 3,
"columnName": "SSN",
"row": 5
}
]
```
在上述範例中,調查結果指出 Macie 在工作手冊中偵測到名為 *Sheet2* 的工作表中的敏感資料。在該工作表中,Macie 偵測到第三欄 (欄 C,名為 *SSN*) 第五列儲存格中的敏感資料。
### LineRanges 陣列
**適用於:**電子郵件訊息 (EML) 檔案,以及 CSV、JSON、JSON Lines 和 TSV 檔案以外的非二進位文字檔案,例如 HTML、TXT 和 XML 檔案
在`lineRanges`陣列中,`Range`物件會指定 Macie 偵測到出現敏感資料的行或包含行範圍,以及指定行或行上資料的位置。
對於物件中其他陣列類型支援的檔案類型,此`occurrences`物件通常是空的。例外狀況包括:
+ 其他結構化檔案的非結構化區段中的資料,例如檔案中的註解。
+ Macie 分析為純文字的格式錯誤檔案中的資料。
+ CSV 或 TSV 檔案,具有 Macie 偵測到敏感資料的一或多個資料欄名稱。
下表說明`lineRanges`陣列`Range`物件中每個欄位的用途。
| 欄位 | Type | 說明 |
| --- | --- | --- |
| end | Integer | 從檔案開頭到出現結束的行數。 |
| start | Integer | 從檔案開頭到出現開頭的行數。 |
| startColumn | Integer | 包含出現次數 (start) 的第一行開頭到出現次數開頭的字元數,以空格開頭,從 1 開始。 |
下列範例顯示 `Range` 物件的結構,指定 Macie 在 TXT 檔案的單一行上偵測到的敏感資料出現的位置。
```
"lineRanges": [
{
"end": 1,
"start": 1,
"startColumn": 119
}
]
```
在上述範例中,調查結果指出 Macie 偵測到檔案第一行完全出現敏感資料 (郵寄地址)。出現的第一個字元是從該行開頭開始的 119 個字元 (含空格)。
下列範例顯示 `Range` 物件的結構,指定 TXT 檔案中跨越多行之敏感資料出現的位置。
```
"lineRanges": [
{
"end": 54,
"start": 51,
"startColumn": 1
}
]
```
在上述範例中,調查結果指出 Macie 偵測到的敏感資料 (郵寄地址) 橫跨檔案的第 51 行到第 54 行。出現的第一個字元是檔案第 51 行的第一個字元。
### 頁面陣列
**適用於:**Adobe 可攜式文件格式 (PDF) 檔案
在`pages`陣列中,`Page`物件會指定 Macie 偵測到敏感資料的頁面。物件包含 `pageNumber` 欄位。`pageNumber` 欄位會存放整數,指定包含出現的頁面的頁碼。
下列範例顯示 `Page` 物件的結構,指定 Macie 在 PDF 檔案中偵測到的敏感資料出現的位置。
```
"pages": [
{
"pageNumber": 10
}
]
```
在上述範例中,問題清單指出檔案的第 10 頁包含該事件。
### 記錄陣列
**適用於:**Apache Avro 物件容器、Apache Parquet 檔案、JSON 檔案和 JSON Lines 檔案
對於 Avro 物件容器或 Parquet 檔案,`records`陣列中的`Record`物件會指定記錄索引,以及 Macie 偵測到發生敏感資料的記錄中欄位的路徑。對於 JSON 和 JSON Lines 檔案,`Record`物件會指定 Macie 偵測到敏感資料出現在其中的欄位或陣列路徑。對於 JSON Lines 檔案,它也會指定包含出現次數的行索引。
下表說明 `Record` 物件中每個欄位的用途。
| 欄位 | Type | Description |
| --- | --- | --- |
| jsonPath | String | 出現的路徑,做為 JSONPath 表達式。 對於 Avro 物件容器或 Parquet 檔案,這是記錄 (`recordIndex`) 中包含出現的 欄位的路徑。對於 JSON 或 JSON Lines 檔案,這是包含出現的欄位或陣列路徑。如果資料是陣列中的值,路徑也會指出哪個值包含出現的次數。 如果 Macie 偵測到路徑中任何元素名稱中的敏感資料,Macie 會從`Record`物件省略 `jsonPath` 欄位。如果路徑元素的名稱超過 240 個字元,Macie 會透過從名稱開頭移除字元來截斷名稱。如果產生的完整路徑超過 250 個字元,Macie 也會截斷路徑,從路徑中的第一個元素開始,直到路徑包含 250 個或更少的字元。 |
| recordIndex | Integer | 對於 Avro 物件容器或 Parquet 檔案,記錄索引會從 0 開始,針對包含出現次數的記錄。對於 JSON Lines 檔案,從 0 開始的行索引包含出現的行。此值一律0適用於 JSON 檔案。 |
下列範例顯示`Record`物件的結構,指定 Macie 在 Parquet 檔案中偵測到的敏感資料出現的位置。
```
"records": [
{
"jsonPath": "$['abcdefghijklmnopqrstuvwxyz']",
"recordIndex": 7663
}
]
```
在上述範例中,調查結果指出 Macie 偵測到索引 7663 記錄中的敏感資料 (記錄編號 7664)。在該記錄中,Macie 在名為 的 欄位中偵測到敏感資料`abcdefghijklmnopqrstuvwxyz`。記錄中 欄位的完整 JSON 路徑為 `$.abcdefghijklmnopqrstuvwxyz`。欄位是根 (外部層級) 物件的直接子系。
下列範例也會顯示 `Record` Macie 在 Parquet 檔案中偵測到的敏感資料的物件結構。不過,在此範例中,Macie 截斷了包含出現的欄位名稱,因為名稱超過字元限制。
```
"records": [
{
"jsonPath": "$['...uvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyz']",
"recordIndex": 7663
}
]
```
在上述範例中, 欄位是根 (外部層級) 物件的直接子系。
在下列範例中,對於 Macie 在 Parquet 檔案中偵測到的敏感資料,Macie 也截斷了包含出現的 欄位的完整路徑。完整路徑超過字元限制。
```
"records": [
{
"jsonPath": "$..usssn2.usssn3.usssn4.usssn5.usssn6.usssn7.usssn8.usssn9.usssn10.usssn11.usssn12.usssn13.usssn14.usssn15.usssn16.usssn17.usssn18.usssn19.usssn20.usssn21.usssn22.usssn23.usssn24.usssn25.usssn26.usssn27.usssn28.usssn29['abcdefghijklmnopqrstuvwxyz']",
"recordIndex": 2335
}
]
```
在上述範例中,調查結果指出 Macie 偵測到索引 2335 記錄中的敏感資料 (記錄編號 2336)。在該記錄中,Macie 在名為 的 欄位中偵測到敏感資料`abcdefghijklmnopqrstuvwxyz`。記錄中 欄位的完整 JSON 路徑為:
`$['1234567890']usssn1.usssn2.usssn3.usssn4.usssn5.usssn6.usssn7.usssn8.usssn9.usssn10.usssn11.usssn12.usssn13.usssn14.usssn15.usssn16.usssn17.usssn18.usssn19.usssn20.usssn21.usssn22.usssn23.usssn24.usssn25.usssn26.usssn27.usssn28.usssn29['abcdefghijklmnopqrstuvwxyz']`
下列範例顯示`Record`物件的結構,指定 Macie 在 JSON 檔案中偵測到的敏感資料出現的位置。在此範例中, 的出現是陣列中的特定值。
```
"records": [
{
"jsonPath": "$.access.key[2]",
"recordIndex": 0
}
]
```
在上述範例中,調查結果指出 Macie 在名為 的陣列的第二個值中偵測到敏感資料`key`。陣列是名為 之物件的子項`access`。
下列範例顯示`Record`物件的結構,指定 Macie 在 JSON Lines 檔案中偵測到的敏感資料出現的位置。
```
"records": [
{
"jsonPath": "$.access.key",
"recordIndex": 3
}
]
```
在上述範例中,調查結果指出 Macie 在 檔案的第三個值 (行) 中偵測到敏感資料。在該行中,出現在名為 的欄位中`key`,該欄位是名為 之物件的子項`access`。