本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 擷取 Macie 調查結果的敏感資料範例
透過使用 Amazon Macie,您可以擷取和顯示 Macie 在個別敏感資料調查結果中報告的敏感資料範例。這包括 Macie 使用[受管資料識別符](managed-data-identifiers.md)偵測到的敏感資料,以及符合[自訂資料識別符條件的資料](custom-data-identifiers.md)。這些範例可協助您驗證 Macie 找到的敏感資料的性質。他們也可以協助您量身打造受影響 Amazon Simple Storage Service (Amazon S3) 物件和儲存貯體的調查。除了亞太區域 (大阪) 和以色列 (特拉維夫) 區域以外,您可以在目前可使用 AWS 區域 Macie 的所有 中擷取並顯示敏感資料範例。
如果您擷取並揭露問題清單的敏感資料範例,Macie 會使用對應[敏感資料探索結果中的資料](discovery-results-repository-s3.md),找出問題清單所回報的前 1-10 個敏感資料。然後,Macie 會從受影響的 S3 物件擷取每次出現的前 1-128 個字元。如果問題清單報告了多種類型的敏感資料,Macie 最多會針對問題清單報告的 100 種敏感資料執行此操作。
當 Macie 從受影響的 S3 物件擷取敏感資料時,Macie 會使用您指定的 AWS Key Management Service (AWS KMS) 金鑰來加密資料、暫時將加密的資料存放在快取中,並在問題清單的結果中傳回資料。在擷取和加密之後不久,Macie 會永久刪除快取中的資料,除非為了解決操作問題而暫時需要額外的保留。
如果您選擇再次擷取並顯示問題清單的敏感資料範例,Macie 會重複尋找、擷取、加密、儲存和最終刪除範例的程序。
如需如何使用 Amazon Macie 主控台擷取和公開敏感資料範例的示範,請觀看下列影片:
**Topics**
+ [開始之前](#findings-retrieve-sd-proc-prereqs)
+ [判斷問題清單是否有可用的範例](#findings-retrieve-sd-proc-criteria)
+ [擷取問題清單的範例](#findings-retrieve-sd-proc-steps)
## 開始之前
您必須先[為 Amazon Macie 帳戶設定和啟用設定](findings-retrieve-sd-configure.md),才能擷取和顯示問題清單的敏感資料範例。您也需要與 AWS 管理員合作,以確認您擁有所需的許可和資源。
當您擷取並顯示問題清單的敏感資料範例時,Macie 會執行一系列任務來尋找、擷取、加密和顯示範例。Macie 不會為您的帳戶使用 [Macie 服務連結角色](service-linked-roles.md)來執行這些任務。反之,您可以使用您的 AWS Identity and Access Management (IAM) 身分,或允許 Macie 在帳戶中擔任 IAM 角色。
若要擷取並顯示問題清單的敏感資料範例,您必須能夠存取問題清單、對應的敏感資料探索結果,以及您設定 Macie 用來加密敏感資料範例 AWS KMS key 的 。此外,您必須允許 或 IAM 角色存取受影響的 S3 儲存貯體和受影響的 S3 物件。如果適用,您或角色也必須被允許使用 AWS KMS key 用來加密受影響物件的 。如果任何 IAM 政策、資源政策或其他許可設定拒絕必要存取,則會發生錯誤,且 Macie 不會傳回問題清單的任何範例。
您也必須被允許執行下列 Macie 動作:
+ `macie2:GetMacieSession`
+ `macie2:GetFindings`
+ `macie2:ListFindings`
+ `macie2:GetSensitiveDataOccurrences`
前三個動作可讓您存取 Macie 帳戶並擷取問題清單的詳細資訊。最後一個動作可讓您擷取並顯示問題清單的敏感資料範例。
若要使用 Amazon Macie 主控台擷取和公開敏感資料範例,您還必須執行下列動作:`macie2:GetSensitiveDataOccurrencesAvailability`。此動作可讓您判斷個別問題清單是否有可用的範例。您不需要執行此動作的許可,即可以程式設計方式擷取和顯示範例。不過,擁有此許可可以簡化範例的擷取。
如果您是組織的委派 Macie 管理員,且已設定 Macie 擔任 IAM 角色來擷取敏感資料範例,則您也必須執行下列動作:`macie2:GetMember`。此動作可讓您擷取帳戶與受影響帳戶之間關聯的相關資訊。它可讓 Macie 驗證您目前是受影響帳戶的 Macie 管理員。
如果您無法執行必要動作或存取必要資料和資源,請向您的 AWS 管理員尋求協助。
## 判斷問題清單是否可使用敏感資料範例
若要擷取並顯示問題清單的敏感資料範例,問題清單必須符合特定條件。它必須包含特定敏感資料出現的位置資料。此外,它必須指定有效且對應的敏感資料探索結果的位置。敏感資料探索結果必須儲存在 AWS 區域 與調查結果相同的 中。如果您設定 Amazon Macie 透過擔任 AWS Identity and Access Management (IAM) 角色存取受影響的 S3 物件,則敏感資料探索結果也必須存放在 Macie 使用雜湊型訊息驗證碼 (HMAC) 簽署的 S3 物件中 AWS KMS key。
受影響的 S3 物件也需要符合特定條件。物件的 MIME 類型必須是下列其中一項:
+ *application/avro*,適用於 Apache Avro 物件容器 (.avro) 檔案
+ *application/gzip*,適用於 GNU Zip 壓縮封存檔 (.gz 或 .gzip) 檔案
+ *application/json*,適用於 JSON 或 JSON Lines (.json 或 .jsonl) 檔案
+ *application/parquet*,適用於 Apache Parquet (.parquet) 檔案
+ *application/vnd.openxmlformats-officedocument.spreadsheetml.sheet*,適用於 Microsoft Excel 工作手冊 (.xlsx) 檔案
+ *application/zip*,適用於 ZIP 壓縮封存 (.zip) 檔案
+ *text/csv*,適用於 CSV (.csv) 檔案
+ *text/plain*,適用於 CSV、JSON、JSON Lines 或 TSV 檔案以外的非二進位文字檔案
+ *text/tab-separated-values*,適用於 TSV (.tsv) 檔案
此外,S3 物件的內容必須與建立問題清單時的內容相同。Macie 會檢查物件的實體標籤 (ETag),以判斷是否符合調查結果指定的 ETag。此外,物件的儲存大小不能超過擷取和顯示敏感資料範例的適用大小配額。如需適用的配額清單,請參閱 [Macie 配額](macie-quotas.md)。
如果問題清單和受影響的 S3 物件符合上述條件,則敏感資料範例可用於問題清單。您可以選擇先判斷特定問題清單是否如此,再嘗試擷取並顯示範例。
**判斷問題清單是否可使用敏感資料範例**
您可以使用 Amazon Macie 主控台或 Amazon Macie API 來判斷問題清單是否可使用敏感資料範例。
------
#### [ Console ]
請依照 Amazon Macie 主控台上的這些步驟來判斷問題清單是否可使用敏感資料範例。
**判斷問題清單是否有可用的範例**
1. 在 https://[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。
1. 在導覽窗格中,選擇**調查結果**。
1. 在**問題清單**頁面上,選擇問題清單。詳細資訊面板會顯示調查結果的資訊。
1. 在詳細資訊面板中,捲動至**敏感資料**區段。然後,請參閱**顯示範例**欄位。
如果問題清單可使用敏感資料範例,**則檢閱**連結會顯示在 欄位中,如下圖所示。
![\[調查結果詳細資訊面板中的顯示範例欄位。欄位包含標記為檢閱的連結。\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/scrn-findings-reveal-samples.png)
如果問題清單無法使用敏感資料範例,**顯示範例**欄位會顯示文字,指出原因:
+ **帳戶不在組織中** – 您無法使用 Macie 存取受影響的 S3 物件。受影響的帳戶目前不屬於您的組織。或者,帳戶是您組織的一部分,但目前 中的帳戶目前尚未啟用 Macie AWS 區域。
+ **無效分類結果** – 沒有調查結果對應的敏感資料探索結果。或者,對應的敏感資料探索結果無法在目前的 中使用 AWS 區域、格式不正確或損毀,或使用不支援的儲存格式。Macie 無法驗證要擷取之敏感資料的位置。
+ **無效的結果簽章** – 對應的敏感資料探索結果會儲存在非由 Macie 簽署的 S3 物件中。Macie 無法驗證敏感資料探索結果的完整性和真實性。因此,Macie 無法驗證要擷取之敏感資料的位置。
+ **成員角色過於寬鬆 –** 受影響成員帳戶中 IAM 角色的信任或許可政策不符合限制存取角色的 Macie 要求。或者,角色的信任政策不會為您的組織指定正確的外部 ID。Macie 無法擔任該角色來擷取敏感資料。
+ **缺少 GetMember 許可** – 不允許您擷取帳戶與受影響帳戶之間關聯的相關資訊。Macie 無法判斷您是否能夠以受影響帳戶的委派 Macie 管理員身分存取受影響的 S3 物件。
+ **物件超過大小配額** – 受影響 S3 物件的儲存體大小超過擷取和顯示該類型檔案中敏感資料範例的大小配額。
+ **物件無法使用** – 無法使用受影響的 S3 物件。在 Macie 建立問題清單後,物件已重新命名、移動或刪除,或其內容已變更。或者,物件會使用無法使用 AWS KMS key 的 加密。例如,金鑰已停用、排定刪除或刪除。
+ **未簽署的結果** – 對應的敏感資料探索結果會存放在尚未簽署的 S3 物件中。Macie 無法驗證敏感資料探索結果的完整性和真實性。因此,Macie 無法驗證要擷取之敏感資料的位置。
+ **角色過於寬鬆 –** 您的帳戶已設定為使用信任或許可政策不符合 Macie 限制存取角色的 IAM 角色來擷取敏感資料的出現。Macie 無法擔任該角色來擷取敏感資料。
+ **不支援的物件類型** – 受影響的 S3 物件使用 Macie 不支援的檔案或儲存格式,用於擷取和揭露敏感資料的範例。受影響 S3 物件的 MIME 類型不是[上述清單中](#findings-retrieve-sd-criteria-mimetype)的值之一。
如果問題清單的敏感資料探索結果有問題,問題清單的詳細**結果位置**欄位中的資訊可協助您調查問題。此欄位指定 Amazon S3 中結果的原始路徑。若要調查 IAM 角色的問題,請確定角色的政策符合 Macie 擔任該角色的所有要求。如需這些詳細資訊,請參閱 [設定 IAM 角色以存取受影響的 S3 物件](findings-retrieve-sd-options.md#findings-retrieve-sd-options-s3access-role-configuration)。
------
#### [ API ]
若要以程式設計方式判斷問題清單是否可使用敏感資料範例,請使用 Amazon Macie API 的 [GetSensitiveDataOccurrencesAvailability](https://docs.aws.amazon.com/macie/latest/APIReference/findings-findingid-reveal-availability.html) 操作。當您提交請求時,請使用 `findingId` 參數來指定問題清單的唯一識別符。若要取得此識別符,您可以使用 [ListFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings.html) 操作。
如果您使用的是 AWS Command Line Interface (AWS CLI),請執行 [get-sensitive-data-occurrences-availability](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitive-data-occurrences-availability.html) 命令,並使用 `finding-id` 參數來指定問題清單的唯一識別符。若要取得此識別符,您可以執行 [list-findings](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-findings.html) 命令。
如果您的請求成功,且問題清單有可用的範例,您會收到類似以下的輸出:
```
{
"code": "AVAILABLE",
"reasons": []
}
```
如果您的請求成功,且問題清單無法使用範例, `code` 欄位的值為 ,`UNAVAILABLE`且`reasons`陣列會指定原因。例如:
```
{
"code": "UNAVAILABLE",
"reasons": [
"UNSUPPORTED_OBJECT_TYPE"
]
}
```
如果問題清單的敏感資料探索結果有問題,問題清單 `classificationDetails.detailedResultsLocation` 欄位中的資訊可協助您調查問題。此欄位指定 Amazon S3 中結果的原始路徑。若要調查 IAM 角色的問題,請確定角色的政策符合 Macie 擔任該角色的所有要求。如需這些詳細資訊,請參閱 [設定 IAM 角色以存取受影響的 S3 物件](findings-retrieve-sd-options.md#findings-retrieve-sd-options-s3access-role-configuration)。
------
## 擷取問題清單的敏感資料範例
若要擷取並顯示調查結果的敏感資料範例,您可以使用 Amazon Macie 主控台或 Amazon Macie API。
------
#### [ Console ]
請依照下列步驟,使用 Amazon Macie 主控台擷取並顯示問題清單的敏感資料範例。
**擷取並顯示問題清單的敏感資料範例**
1. 在 https://[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。
1. 在導覽窗格中,選擇**調查結果**。
1. 在**問題清單**頁面上,選擇問題清單。詳細資訊面板會顯示問題清單的資訊。
1. 在詳細資訊面板中,捲動至**敏感資料**區段。然後,在**顯示範例**欄位中,選擇**檢閱**:
![\[調查結果詳細資訊面板中的顯示範例欄位。欄位包含標記為檢閱的連結。\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/scrn-findings-reveal-samples.png)
**注意**
如果**檢閱**連結未出現在**顯示範例**欄位中,則敏感資料範例不適用於調查結果。若要判斷為何會發生這種情況,請參閱[上述主題](#findings-retrieve-sd-proc-criteria)。
選擇**檢閱**後,Macie 會顯示摘要調查結果關鍵詳細資訊的頁面。詳細資訊包括 Macie 在受影響的 S3 物件中找到的敏感資料的類別、類型和出現次數。
1. 在頁面的**敏感資料**區段中,選擇**顯示範例**。然後,Macie 會擷取並顯示調查結果所報告前 1-10 個敏感資料出現的範例。每個範例都包含敏感資料出現的前 1-128 個字元。擷取和顯示範例可能需要幾分鐘的時間。
如果調查結果報告多種類型的敏感資料,Macie 會擷取並顯示最多 100 種類型的範例。例如,下圖顯示跨越多個類別和類型敏感資料的範例:AWS 憑證、美國電話號碼和人員名稱。
![\[範例資料表。它列出九個範例,以及每個範例的敏感資料類別和類型。\]](http://docs.aws.amazon.com/zh_tw/macie/latest/user/images/scrn-findings-sd-samples.png)
範例會先依敏感資料類別組織,然後依敏感資料類型組織。
------
#### [ API ]
若要以程式設計方式擷取並顯示問題清單的敏感資料範例,請使用 Amazon Macie API 的 [GetSensitiveDataOccurrences](https://docs.aws.amazon.com/macie/latest/APIReference/findings-findingid-reveal.html) 操作。當您提交請求時,請使用 `findingId` 參數來指定問題清單的唯一識別符。若要取得此識別符,您可以使用 [ListFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings.html) 操作。
若要使用 AWS Command Line Interface (AWS CLI) 擷取並顯示敏感資料範例,請執行 [get-sensitive-data-occurrences](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitive-data-occurrences.html) 命令,並使用 `finding-id` 參數來指定問題清單的唯一識別符。例如:
```
C:\> aws macie2 get-sensitive-data-occurrences --finding-id "1f1c2d74db5d8caa76859ec52example"
```
其中 *1f1c2d74db5d8caa76859ec52example* 是調查結果的唯一識別符。若要使用 取得此識別符 AWS CLI,您可以執行 [list-findings](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-findings.html) 命令。
如果您的請求成功,Macie 會開始處理您的請求,您會收到類似以下的輸出:
```
{
"status": "PROCESSING"
}
```
處理您的請求可能需要幾分鐘的時間。在幾分鐘內,再次提交您的請求。
如果 Macie 可以尋找、擷取和加密敏感資料範例,Macie 會在`sensitiveDataOccurrences`地圖中傳回範例。映射會指定問題清單報告的 1-100 種敏感資料,以及每種類型的 1-10 個範例。每個範例都包含調查結果報告的敏感資料出現的前 1-128 個字元。
在映射中,每個金鑰都是偵測到敏感資料的受管資料識別符 ID,或偵測到敏感資料的自訂資料識別符的名稱和唯一識別符。這些值是指定受管資料識別符或自訂資料識別符的範例。例如,以下回應提供受管資料識別符 (`NAME` 和 `AWS_CREDENTIALS`分別為 ) 偵測到的三個人員名稱範例和兩個 AWS 私密存取金鑰範例。
```
{
"sensitiveDataOccurrences": {
"NAME": [
{
"value": "Akua Mansa"
},
{
"value": "John Doe"
},
{
"value": "Martha Rivera"
}
],
"AWS_CREDENTIALS": [
{
"value": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY"
},
{
"value": "je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY"
}
]
},
"status": "SUCCESS"
}
```
如果您的請求成功,但問題清單無法使用敏感資料範例,您會收到一則`UnprocessableEntityException`訊息,指出無法取得範例的原因。例如:
```
{
"message": "An error occurred (UnprocessableEntityException) when calling the GetSensitiveDataOccurrences operation: OBJECT_UNAVAILABLE"
}
```
在上述範例中,Macie 嘗試從受影響的 S3 物件擷取範例,但物件不再可用。Macie 建立問題清單後,物件的內容會變更。
如果您的請求成功,但另一種類型的錯誤導致 Macie 無法擷取和公開調查結果的敏感資料範例,您會收到類似以下的輸出:
```
{
"error": "Macie can't retrieve the samples. You're not allowed to access the affected S3 object or the object is encrypted with a key that you're not allowed to use.",
"status": "ERROR"
}
```
`status` 欄位的值為 ,`ERROR`而 `error` 欄位說明發生的錯誤。[上述主題](#findings-retrieve-sd-proc-criteria)中的資訊可協助您調查錯誤。
------