本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 在 Macie 中檢閱 S3 儲存貯體庫存
在 Amazon Macie 主控台上,**S3 儲存貯**體頁面可讓您詳細了解目前 Amazon Simple Storage Service (Amazon S3) 資料的安全性和隱私權 AWS 區域。透過此頁面,您可以檢閱和分析區域中 S3 一般用途儲存貯體的庫存,並檢閱個別儲存貯體的詳細資訊和統計資料。如需有關 Macie 如何產生和維護此庫存的資訊,請參閱 [Macie 如何監控 Amazon S3 資料安全性](monitoring-s3-how-it-works.md)。如果您是組織的 Macie 管理員,您的庫存會包含成員帳戶擁有的 S3 儲存貯體的詳細資訊和統計資料。
**S3 儲存貯**體頁面也會指出 Macie 最近一次從 Amazon S3 擷取您帳戶的儲存貯體或物件中繼資料的時間。您可以在頁面頂端的**上次更新**欄位中找到此資訊。如果您是組織的 Macie 管理員,此欄位會指出 Macie 擷取組織中帳戶資料的最早日期和時間。如需詳細資訊,請參閱[資料重新整理](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh)。
請注意,庫存資料和統計資料不包含有關 S3 目錄儲存貯體的資料,僅包含一般用途儲存貯體。Macie 不會監控或分析目錄儲存貯體。此外,Macie 會維護帳戶不超過 10,000 個一般用途儲存貯體的完整庫存資料。如果您的帳戶超過此配額,Macie 會提供最近建立或變更的 10,000 個儲存貯體的完整庫存資料。對於所有其他儲存貯體,Macie 僅提供有關每個儲存貯體的資訊子集。如果您是組織的 Macie 管理員,則此配額適用於組織中的每個帳戶,而不是整個組織。
另請注意,大多數庫存資料僅限於允許 Macie 存取您帳戶的儲存貯體。如果儲存貯體的許可設定阻止 Macie 擷取儲存貯體或儲存貯體物件的相關資訊,則 Macie 只能提供儲存貯體的相關資訊子集。如果特定儲存貯體發生這種情況,Macie 會顯示儲存貯體庫存中儲存貯體的警告圖示 () 和訊息。對於儲存貯體的詳細資訊,Macie 僅提供欄位子集的資料: AWS 帳戶 擁有儲存貯體的 帳戶 ID;儲存貯體的名稱、Amazon Resource Name (ARN)、建立日期和區域;以及當 Macie 最近擷取儲存貯體的儲存貯體和物件中繼資料作為每日重新整理週期的一部分時。若要調查問題,請檢閱 Amazon S3 中的儲存貯體政策和許可設定。例如,儲存貯體可能有限制性儲存貯體政策。如需詳細資訊,請參閱[允許 Macie 存取 S3 儲存貯體和物件](monitoring-restrictive-s3-buckets.md)。
如果您偏好以程式設計方式存取和查詢庫存資料,您可以使用 Amazon Macie API 的 [DescribeBuckets](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3.html) 操作。
**Topics**
+ [檢閱 S3 儲存貯體庫存](#monitoring-s3-inventory-view)
+ [檢閱 S3 儲存貯體的詳細資訊](#monitoring-s3-inventory-view-details)
## 檢閱 S3 儲存貯體庫存
Amazon Macie 主控台上的 **S3 儲存貯**體頁面提供目前 S3 一般用途儲存貯體的相關資訊 AWS 區域。在此頁面上,資料表會顯示庫存中每個儲存貯體的摘要資訊。若要自訂檢視,您可以排序和篩選資料表。如果您在資料表中選擇儲存貯體,詳細資訊面板會顯示儲存貯體的其他資訊。這包括設定和指標的詳細資訊和統計資料,這些設定和指標可讓您深入了解儲存貯體資料的安全性和隱私權。您可以選擇將資料表中的資料匯出至逗號分隔值 (CSV) 檔案。
如果已啟用自動敏感資料探索,您也可以選擇使用互動式熱度圖來檢閱庫存。地圖提供整個 Amazon S3 資料資產的資料敏感性視覺呈現。它會擷取 Macie 到目前為止執行的自動化敏感資料探索活動的結果。若要了解此地圖,請參閱 [使用 S3 儲存貯體映射視覺化資料敏感度](discovery-asdd-results-s3-inventory-map.md)。
**若要檢閱 S3 儲存貯體庫存**
1. 開啟位於 https://[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 的 Amazon Macie 主控台。
1. 在導覽窗格中,選擇 **S3 儲存貯**體。**S3 儲存貯**體頁面會顯示您的儲存貯體庫存。如果頁面顯示庫存的互動式地圖,請選擇頁面頂端的資料表 ()。Macie 接著會顯示庫存中的儲存貯體數量,以及儲存貯體的資料表。
如果啟用自動敏感資料探索,預設檢視不會顯示目前從自動探索排除的儲存貯體的資料。若要顯示此資料,請在篩選條件方塊下方的**由自動探索篩選條件字符監控**中選擇 **X**。
1. 在頁面頂端,選擇性地選擇重新整理 () 以從 Amazon S3 擷取最新的儲存貯體中繼資料。
如果資訊圖示 () 出現在任何儲存貯體名稱旁,建議您執行此操作。此圖示表示儲存貯體在過去 24 小時內建立,可能是在 Macie 上次從 Amazon S3 擷取儲存貯體和物件中繼資料之後,做為[每日重新整理週期](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh)的一部分。
1. 在 **S3 儲存貯**體資料表中,檢閱庫存中每個儲存貯體的相關資訊子集:
+ **敏感度** – 如果啟用自動敏感資料探索,儲存貯體目前的敏感度分數。如需有關 Macie 定義之敏感度分數範圍的資訊,請參閱 [S3 儲存貯體的敏感度評分](discovery-scoring-s3.md)。
+ **儲存貯體** – 儲存貯體的名稱。
+ **帳戶** – 擁有儲存貯體 AWS 帳戶 之 的帳戶 ID。
+ **可分類物件** – Macie 可分析以偵測儲存貯體中敏感資料的物件總數。
+ **可分類大小** – Macie 可分析的所有物件的總儲存大小,用於偵測儲存貯體中的敏感資料。
請注意,此值不會反映任何壓縮物件解壓縮後的實際大小。此外,如果為儲存貯體啟用版本控制,則此值是根據儲存貯體中每個物件最新版本的儲存體大小。
+ **依任務監控** – 您是否設定任何敏感資料探索任務,以每日、每週或每月定期分析儲存貯體中的物件。
如果此欄位的值為*是*,則儲存貯體會明確包含在定期任務中,或儲存貯體符合過去 24 小時內定期任務的條件。此外,至少其中一個任務的狀態不會*取消*。Macie 每天更新此資料。
+ **最新任務執行** – 如果您設定任何定期或一次性敏感資料探索任務來分析儲存貯體中的物件,此欄位會指出其中一個任務開始執行的最新日期和時間。否則,此欄位會顯示破折號 (–)。
在上述資料中,如果物件使用支援的 Amazon S3 儲存類別,且具有支援的檔案或儲存格式的檔案名稱副檔名,則可以*分類*物件。您可以使用 Macie 偵測物件中的敏感資料。如需詳細資訊,請參閱[支援的儲存類別和格式](discovery-supported-storage.md)。
1. 若要使用 資料表分析您的庫存,請執行下列任一動作:
+ 若要依特定欄位排序資料表,請選擇欄位的欄位標題。若要變更排序順序,請再次選擇欄標題。
+ 若要篩選資料表並僅顯示具有特定欄位值的儲存貯體,請將游標放在篩選方塊中,然後為欄位新增篩選條件。若要進一步精簡結果,請新增其他欄位的篩選條件。如需詳細資訊,請參閱[篩選 S3 儲存貯體庫存](monitoring-s3-inventory-filter.md)。
1. 若要檢閱特定儲存貯體的詳細資訊和統計資料,請在資料表中選擇儲存貯體的名稱,然後參閱詳細資訊面板。
**提示**
您可以對儲存貯體詳細資訊面板中的許多欄位進行樞紐分析和向下切入。若要顯示欄位具有相同值的儲存貯體,請在欄位中選擇 。若要顯示具有欄位其他值的儲存貯體,請在欄位中選擇 。
1. 若要將資料從資料表匯出至 CSV 檔案,請選取您要匯出之每一列的核取方塊,或選取選取欄標題中的核取方塊以選取所有資料列。然後選擇頁面頂端的**匯出至 CSV**。您最多可以從資料表匯出 50,000 個資料列。
## 檢閱 S3 儲存貯體的詳細資訊
若要檢閱 S3 一般用途儲存貯體的詳細資訊和統計資料,您可以使用 Amazon Macie 主控台 **S3 儲存貯**體頁面上的詳細資訊面板。面板會顯示詳細資訊和統計資料,讓您深入了解儲存貯體資料的安全性和隱私權。
例如,您可以檢閱 S3 儲存貯體公有存取設定的明細,並判斷儲存貯體是設定為複寫物件,還是與其他 共用 AWS 帳戶。您也可以判斷是否設定任何敏感資料探索任務,以檢查儲存貯體是否有敏感資料。如果您有,您可以存取最近執行之任務的詳細資訊,並選擇性地顯示任務產生的任何問題清單。
如果已啟用自動敏感資料探索,您也可以使用詳細資訊面板來檢閱敏感資料探索統計資料和個別 S3 儲存貯體的其他資訊。此面板會擷取 Macie 到目前為止為儲存貯體執行的自動化敏感資料探索活動的結果。若要了解這些詳細資訊,請參閱 [檢閱 S3 儲存貯體的資料敏感性詳細資訊](discovery-asdd-results-s3-inventory-details.md)。
**若要檢閱 S3 儲存貯體的詳細資訊**
1. 在 https://[https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/) 開啟 Amazon Macie 主控台。
1. 在導覽窗格中,選擇 **S3 儲存貯體**。**S3 儲存貯**體頁面會顯示您的儲存貯體庫存。
如果啟用自動敏感資料探索,預設檢視不會顯示目前從自動探索排除的儲存貯體的資料。若要顯示此資料,請在篩選條件方塊下方的**「由自動探索篩選條件字符監控**」中選擇 **X**。
1. 在頁面頂端,選擇性地選擇重新整理 () 以從 Amazon S3 擷取最新的儲存貯體中繼資料。
1. 選擇您要檢閱其詳細資訊的儲存貯體。詳細資訊面板會顯示儲存貯體的統計資料和其他資訊。
在詳細資訊面板中,統計資料和資訊會整理為下列主要區段:
[**概觀**](#monitoring-s3-inventory-view-details-general) \| [**物件統計資料**](#monitoring-s3-inventory-view-details-objects) \| [**伺服器端加密 \| **](#monitoring-s3-inventory-view-details-sse)[**敏感資料探索**](#monitoring-s3-inventory-view-details-discovery) \| [**公開存取**](#monitoring-s3-inventory-view-details-public-access) \| [**複寫**](#monitoring-s3-inventory-view-details-replication) \| [**標籤**](#monitoring-s3-inventory-view-details-tags)
當您檢閱每個區段中的資訊時,您可以選擇對特定欄位進行樞紐分析和深入研究。若要顯示欄位具有相同值的儲存貯體,請在欄位中選擇 。若要顯示具有欄位其他值的儲存貯體,請在欄位中選擇 。
### 概觀
本節提供有關儲存貯體的一般資訊,例如儲存貯體名稱、建立儲存貯體的時間,以及 AWS 帳戶 擁有儲存貯體之 的帳戶 ID。特別注意,**上次更新**欄位指出 Macie 最近一次從 Amazon S3 擷取儲存貯體或儲存貯體物件中繼資料的時間。
**共用存取**欄位指出儲存貯體是否與另一個 AWS 帳戶、Amazon CloudFront 原始存取身分 (OAI) 或 CloudFront 原始存取控制 (OAC) 共用:
+ **外部** – 儲存貯體會與下列一或多個 或下列任意組合共用:CloudFront OAI、CloudFront OAC 或組織外部 (不屬於組織) 的帳戶。
+ **內部** – 儲存貯體會與組織內部 (部分) 的一或多個帳戶共用。它不會與 CloudFront OAI 或 OAC 共用。
+ **未共用** – 儲存貯體不會與其他帳戶、CloudFront OAI 或 CloudFront OAC 共用。
+ **未知** – Macie 無法評估儲存貯體的共用存取設定。例如,配額或暫時問題導致 Macie 無法擷取和評估必要資料。
為了判斷儲存貯體是否與另一個儲存貯體共用 AWS 帳戶,Macie 會分析儲存貯體的儲存貯體政策和存取控制清單 (ACL)。分析僅限於儲存貯體層級設定。它不會反映用於共用儲存貯體中特定物件的任何物件層級設定。此外,*組織*定義為一組 Macie 帳戶,透過 Macie 邀請 AWS Organizations 或由 Macie 邀請集中管理為相關帳戶群組。若要了解共用儲存貯體的 Amazon S3 選項,請參閱《*Amazon Simple Storage Service 使用者指南*》中的[存取控制](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html)。
**注意**
在某些情況下,Macie 可能會錯誤地指出儲存貯體與組織外部 (不屬於組織) AWS 帳戶 的 共用。如果 Macie 無法完整評估儲存貯體政策中的 `Principal`元素與`Condition`政策 元素中的特定[AWS 全域條件內容索引](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)鍵或 [Amazon S3 條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-policy-keys)之間的關係,就可能發生這種情況。下列條件索引鍵可能發生這種情況:`aws:PrincipalAccount`、`aws:PrincipalArn`、`aws:PrincipalOrgID``aws:PrincipalOrgPaths`、`aws:PrincipalTag`、`aws:PrincipalType`、`aws:SourceAccount`、、`aws:SourceArn``aws:SourceIp`、`aws:SourceOrgID`、`aws:SourceOrgPaths`、`aws:SourceVpc`、`aws:SourceVpce`、、 `aws:userid` `s3:DataAccessPointAccount`和 `s3:DataAccessPointArn`。
我們建議您檢閱儲存貯體的政策,以判斷此存取是否預期且安全。
為了判斷儲存貯體是與 CloudFront OAI 或 OAC 共用,Macie 會分析儲存貯體的儲存貯體政策。CloudFront OAI 或 OAC 允許使用者透過一或多個指定的 CloudFront 分佈存取儲存貯體的物件。若要了解 CloudFront OAIs 和 OACs,請參閱《[Amazon CloudFront 開發人員指南》中的限制對 Amazon S3 原始伺服器的存取](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html)。 *Amazon CloudFront *
**概觀**區段也包含**最新的自動探索執行**欄位。此欄位指出 Macie 在執行自動敏感資料探索時,何時最近分析儲存貯體中的物件。如果未進行此分析,此欄位會顯示破折號 (–)。
### 物件統計資料
本節提供有關儲存貯體中物件的資訊,從儲存貯體中的物件總數 (**總計數**)、所有這些物件的總儲存大小 (**總儲存大小**),以及壓縮 (.gz、.gzip 或 .zip) 檔案的所有物件的總儲存大小 (**總壓縮大小**) 開始。本節中的其他統計資料可協助您評估 Macie 可以分析多少資料來偵測儲存貯體中的敏感資料。
如果您最近建立儲存貯體,或在過去 24 小時內對儲存貯體的物件進行了重大變更,您可以選擇重新整理 () 以擷取儲存貯體物件的最新中繼資料。Macie 會顯示資訊圖示 (),以協助您判斷是否發生這種情況。如果儲存貯體存放 30,000 個或更少的物件,則可使用重新整理選項。
當您檢閱本節中的統計資料時,請記住下列事項:
+ 如果為儲存貯體啟用版本控制,大小值會根據儲存貯體中每個物件最新版本的儲存體大小而定。
+ 如果儲存貯體存放壓縮的物件,大小值不會反映解壓縮後這些物件的實際大小。
+ 如果您重新整理儲存貯體的物件中繼資料,Macie 會暫時報告套用至物件的加密統計資料*未知*。Macie 將在 24 小時內執行儲存貯體和物件中繼資料的下一次[每日重新整理](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh)時,重新評估和更新這些統計資料的資料。
+ 根據預設,物件計數和大小值包含儲存貯體因不完整分段上傳而包含的任何物件部分的資料。如果您重新整理儲存貯體的物件中繼資料,Macie 會從重新計算的值中排除物件部分的資料。當 Macie 執行儲存貯體和物件中繼資料的下一次每日重新整理時 (24 小時內),Macie 會重新計算和更新這些統計資料的值,並再次在值中包含物件部分的資料。
請注意,Macie 無法分析物件部分來偵測敏感資料。Amazon S3 必須先將組件組合成一或多個物件,Macie 才能分析。如需有關分段上傳和物件組件的資訊,包括如何使用生命週期規則自動刪除組件,請參閱《*Amazon Simple Storage Service 使用者指南*》中的[使用分段上傳上傳和複製物件](https://docs.aws.amazon.com/AmazonS3/latest/userguide/mpuoverview.html)。若要識別包含物件部分的儲存貯體,您可以參考 Amazon S3 Storage Lens 中*不完整的分段上傳*指標。如需詳細資訊,請參閱《*Amazon Simple Storage Service 使用者指南*》中的[評估您的儲存活動和用量](https://docs.aws.amazon.com/AmazonS3/latest/userguide/storage_lens.html)。
物件統計資料的整理方式如下。
**可分類物件**
本節指出 Macie 可以分析以偵測敏感資料的物件總數,以及這些物件的總儲存大小。這些物件使用支援的 Amazon S3 儲存類別,並具有支援檔案或儲存格式的檔案名稱副檔名。您可以使用 Macie 偵測物件中的敏感資料。如需詳細資訊,請參閱[支援的儲存類別和格式](discovery-supported-storage.md)。
**無法分類的物件**
本節指出 Macie 無法分析以偵測敏感資料的物件總數,以及這些物件的總儲存大小。這些物件不使用支援的 Amazon S3 儲存類別,或沒有支援的檔案或儲存格式的副檔名。
**無法分類的物件:儲存類別**
本節提供 Macie 無法分析之物件的數量和儲存大小明細,因為物件不使用支援的 Amazon S3 儲存類別。
**無法分類的物件:檔案類型**
本節提供 Macie 無法分析之物件的數量和儲存體大小明細,因為物件沒有支援的檔案或儲存體格式的副檔名。
**依加密類型的物件**
本節提供使用 Amazon S3 支援的每種加密類型的物件數量明細:
+ **客戶提供** – 使用客戶提供的金鑰加密的物件數量。這些物件使用 SSE-C 加密。
+ **AWS KMS 受**管 – 使用 AWS KMS key AWS 受管金鑰 或客戶受管金鑰加密的物件數量。這些物件使用 DSSE-KMS 或 SSE-KMS 加密。
+ **Amazon S3 受**管 – 使用 Amazon S3 受管金鑰加密的物件數量。這些物件使用 SSE-S3 加密。
+ **不加密** – 未加密或使用用戶端加密的物件數量。(如果使用用戶端加密來加密物件,Macie 無法存取和報告物件的加密資料。)
+ **未知** – Macie 目前沒有加密中繼資料的物件數量。如果您最近選擇手動重新整理儲存貯體物件的中繼資料,通常會發生這種情況。Macie 將在 24 小時內執行儲存貯體和物件中繼資料的下一次每日重新整理時更新加密統計資料。
如需有關每個支援的加密類型的資訊,請參閱《*Amazon Simple Storage Service 使用者指南*》中的[使用加密保護資料](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingEncryption.html)。
### 伺服器端加密
本節可讓您深入了解儲存貯體的伺服器端加密設定。
儲存**貯體政策所需的加密**欄位指出當物件新增至儲存貯體時,儲存貯體的政策是否需要物件的伺服器端加密:
+ **否** – 儲存貯體沒有儲存貯體政策,或儲存貯體的政策不需要新物件的伺服器端加密。如果儲存貯體政策存在,則不需要 [PutObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html) 請求包含有效的伺服器端加密標頭。
+ **是** – 儲存貯體的政策需要新物件的伺服器端加密。 儲存貯體的**PutObject**請求必須包含有效的伺服器端加密標頭。否則,Amazon S3 會拒絕要求。
+ **未知** – Macie 無法評估儲存貯體的政策,以判斷是否需要伺服器端加密新物件。例如,配額或問題導致 Macie 無法擷取和評估政策。
在此評估中,有效的伺服器端加密標頭為: 的值`x-amz-server-side-encryption`為 `AES256`或 `aws:kms`, `x-amz-server-side-encryption-customer-algorithm` 的值為 `AES256`。如需有關使用儲存貯體政策要求伺服器端加密新物件的資訊,請參閱《*Amazon Simple Storage Service 使用者指南*》中的[使用伺服器端加密保護資料](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html)。
**預設加密**欄位指出根據預設,儲存貯體設定為套用至新增至儲存貯體的物件的伺服器端加密演算法:
+ **AES256** – 儲存貯體的預設加密設定設定為使用 Amazon S3 受管金鑰加密新物件。新物件會使用 SSE-S3 加密自動加密。
+ **aws:kms** – 儲存貯體的預設加密設定設定為使用 AWS KMS key AWS 受管金鑰 或客戶受管金鑰來加密新物件。新物件會使用 SSE-KMS 加密自動加密。**AWS KMS key** 欄位會顯示所使用金鑰的 Amazon Resource Name (ARN) 或唯一識別符 (金鑰 ID)。
+ **aws:kms:dsse** – 儲存貯體的預設加密設定設定為使用 AWS KMS key AWS 受管金鑰 或客戶受管金鑰來加密新物件。新的物件會使用 DSSE-KMS 加密自動加密。**AWS KMS key** 欄位會顯示所使用金鑰的 ARN 或金鑰 ID。
+ **無** – 儲存貯體的預設加密設定不會指定新物件的伺服器端加密行為。
從 2023 年 1 月 5 日開始,Amazon S3 會自動使用 Amazon S3 受管金鑰 (SSE-S3) 套用伺服器端加密,做為新增至儲存貯體之物件的基本加密層級。您可以選擇將儲存貯體的預設加密設定設定為 ,改為使用具有 AWS KMS 金鑰的伺服器端加密 (SSE-KMS) 或具有 AWS KMS 金鑰的雙層伺服器端加密 (DSSE-KMS)。如需預設加密設定和選項的相關資訊,請參閱《*Amazon Simple Storage Service 使用者指南*》中的[設定 S3 儲存貯體的預設伺服器端加密行為](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html)。
### 敏感資料探索
本節指出您是否設定任何敏感資料探索任務,以每日、每週或每月定期分析儲存貯體中的物件。如果**主動監控任務**欄位的值為*是*,則儲存貯體會明確包含在定期任務中,或儲存貯體符合過去 24 小時內定期任務的條件。此外,至少其中一個任務的狀態不會*取消*。Macie 每天更新此資料。
如果您設定任何類型的敏感資料探索任務 (定期任務或一次性任務) 來分析儲存貯體中的物件,**最新任務**欄位會提供最近開始執行之任務的唯一識別符。**最新任務執行**欄位指出該任務何時開始執行。
**提示**
若要顯示任務產生的所有敏感資料調查結果,請在**最新任務**欄位中選擇連結。在出現的任務詳細資訊面板中,選擇面板頂端的**顯示結果**,然後選擇**顯示問題清單**。
### 公用存取
本節指出儲存貯體是否可公開存取。它還提供各種帳戶層級和儲存貯體層級設定的明細,以判斷是否為這種情況。**有效許可**欄位指出這些設定的累積結果:
+ **不公開** – 儲存貯體無法公開存取。
+ **公**有 – 儲存貯體可公開存取。
+ **未知** – Macie 無法評估儲存貯體的所有公有存取設定。例如,配額或暫時問題導致 Macie 無法擷取和評估必要資料。
針對此評估,Macie 會分析每個儲存貯體的帳戶層級和儲存貯體層級設定的組合:帳戶的封鎖公開存取設定、儲存貯體的封鎖公開存取設定、儲存貯體的儲存貯體政策,以及儲存貯體的存取控制清單 (ACL)。請注意,評估不包含可公開存取儲存貯體中特定物件的物件層級設定。
若要了解管理儲存貯體和儲存貯體資料的公有存取權的 Amazon S3 設定,請參閱《Amazon *Simple Storage Service 使用者指南*》中的[存取控制](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html)和[封鎖對 Amazon S3 儲存的公有存取權](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html)。
### 複寫
在本節中,**複寫**欄位指出儲存貯體是否設定為將物件複寫至其他儲存貯體。如果此欄位的值為*是*,則會為儲存貯體設定並啟用一或多個複寫規則。本節也會列出 AWS 帳戶 每個擁有目的地儲存貯體的帳戶 ID。
**外部複寫**欄位指出儲存貯體是否設定為將物件複寫至組織外部 AWS 帳戶 (非組織的一部分) 的 儲存貯體。*組織*是一組 Macie 帳戶,透過 AWS Organizations 或透過 Macie 邀請以一組相關帳戶集中管理。如果此欄位的值為*是*,則會設定並啟用儲存貯體的複寫規則,並將規則設定為將物件複寫至外部擁有的儲存貯體 AWS 帳戶。
**注意**
在某些情況下,Macie 可能不正確地指出儲存貯體已設定為將物件複寫至外部擁有的儲存貯體 AWS 帳戶。在 Macie 從 Amazon S3 擷取儲存貯體和物件中繼資料作為[每日重新整理週期](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh)的一部分之後,如果目的地儲存貯體在前 24 小時內在不同 中 AWS 區域 建立,則可能會發生這種情況。若要使用 Macie 調查問題,請選擇重新整理 () 從 Amazon S3 擷取最新的儲存貯體中繼資料。然後檢閱本節中的帳戶 IDs 清單。如需深入調查,請使用 Amazon S3 來檢閱儲存貯體的複寫規則。
若要了解用於複寫儲存貯體物件的 Amazon S3 選項和設定,請參閱《*Amazon Simple Storage Service 使用者指南*》中的[複寫物件](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication.html)。
### Tags (標籤)
如果標籤與儲存貯體相關聯,則此區段會出現在面板中並列出這些標籤。標籤是您可以定義和指派給特定資源類型的標籤,包括 S3 AWS 儲存貯體。每個標籤都包含必要的標籤索引鍵和選用的標籤值。
若要了解標記儲存貯體,請參閱《*Amazon Simple Storage Service 使用者指南*》中的[使用成本分配 S3 儲存貯體標籤](https://docs.aws.amazon.com/AmazonS3/latest/userguide/CostAllocTagging.html)。