個々の S3 バケットのデータ機密情報の確認 - Amazon Macie

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

個々の S3 バケットのデータ機密情報の確認

Amazon Macie コンソールでは、S3 バケットページの詳細パネルを使用して、Macie がアカウントでモニタリングおよび分析する各 Amazon Simple Storage Service (Amazon S3) 汎用バケットに関する統計情報やその他の情報を確認できます。お客様が組織の Macie 管理者である場合、これには、お客さまのメンバーアカウントが所有するバケットが含まれます。

統計およびその他の情報には、S3 バケットのデータのセキュリティとプライバシーに関する洞察を提供する詳細が含まれます。機密データの自動検出が有効になっている場合、Macie がこれまでにバケットに対して実行した自動検出アクティビティの結果もキャプチャされます。たとえば、Macie がバケット内で分析したオブジェクトのリストや、Macie がバケット内で見つけた機密データのタイプと出現回数の内訳を検索できます。データには、作成して実行した機密データ検出ジョブの結果は含まれていないことに注意してください。

Macie は、機密データの自動検出を実行している間、これらの統計と詳細を自動的に再計算して更新します。例:

  • Macie が S3 オブジェクト内に機密データを見つけられない場合、Macie はバケットの機密性スコアを下げ、必要に応じてバケットの機密ラベルを更新します。Macie はまた、バケット内で分析したオブジェクトのリストにオブジェクトを追加します。

  • Macie が S3 オブジェクトで機密データを見つけると、Macie はそれらの出現を Macie がバケット内で見つけた機密データタイプの内訳に追加します。また、Macie は必要に応じてバケットの機密性スコアを上げ、バケットの機密ラベルを更新します。さらに、Macie はバケット内で分析したオブジェクトのリストにオブジェクトを追加します。これらのタスクは、オブジェクトについて機密データの結果を作成する以外にも行われます。

  • Macie が S3 オブジェクト内の機密データを発見し、そのデータがその後変更または削除された場合、Macie はバケットの機密データタイプの分類からそのオブジェクトにおける機密データの出現を削除します。また、Macie は必要に応じてバケットの機密性スコアを下げ、バケットの機密ラベルを更新します。さらに、Macie はバケット内で分析したオブジェクトのリストからオブジェクトを削除します。

  • Macie が S3 オブジェクトを分析しようとしても、問題またはエラーによりが分析できない場合、Macie はバケットで分析したオブジェクトのリストにそのオブジェクトを追加し、そのオブジェクトを分析できなかったことを通知します。

このパネルでは、統計と詳細を確認できるだけでなく、S3 バケットの機密データ自動検出の設定を調整できます。たとえば、特定のタイプの機密データをバケットのスコアに含めたり除外したりできます。詳細については、個々の S3 バケットの自動検出の管理を参照してください。

S3 バケットのデータ機密性の詳細を確認するには

  1. Amazon Macie コンソール (https://console.aws.amazon.com/macie/) を開きます。

  2. ナビゲーションペインで、S3 バケットを選択します。S3 バケットページには、バケットインベントリのインタラクティブマップが表示されます。オプションで、ページの上部にあるテーブル The table view button, which is a button that contains three black horizontal lines を選択すると、インベントリが表形式で表示されます。

    デフォルトでは、このページには、現在機密データの自動検出から除外されているバケットのデータが表示されません。ユーザーが組織の Macie 管理者である場合、機密データの自動検出が現在無効になっているアカウントのデータも表示されません。このデータを表示するには、フィルターボックスの下にある自動検出フィルタートークンによってモニタリングされている で X を選択します。

  3. S3 バケットマップまたはテーブルで、詳細を確認する S3 バケットを選択します。詳細パネルには、バケットに関する統計およびその他の情報が表示されます。

パネルの上部には、バケットの名前と、バケットを所有 AWS アカウント する のアカウント ID など、バケットに関する一般的な情報が表示されます。また、バケットの[特定の機密データ自動検出設定を変更する]オプションもあります。バケットに関するその他の設定や情報は、以下のタブにまとめられています。

各タブの個別の設定と情報は次のとおりです。

感性

このタブには、バケットの現在の機密性スコアが -1 から 100 の範囲で表示されます。Macie が定義する機密性スコアの範囲については、S3 バケットの機密スコアを参照してください。

このタブには、Macie がバケットのオブジェクト内で見つけた機密データのタイプと、各タイプの出現回数も表示されます。

  • 機密データタイプ — データを検出したマネージドデータ識別子の一意の識別子 (ID)、またはデータを検出したカスタムデータ識別子の名前。

    マネージドデータ識別子の ID は、識別子が検出する機密データのタイプを表します。たとえば、米国のパスポート番号の場合は USA_PASSPORT_NUMBER などです。各マネージドデータ識別子の詳細については、マネージドデータ識別子の使用を参照してください。

  • カウント — マネージドデータ識別子またはカスタムデータ識別子が検出したデータの出現数の合計。

  • スコアリングステータス — データの出現回数をバケットの機密性スコアに含めるか除外するかを指定します。

    バケットのスコアを自動的に計算するように Macie を設定した場合は、特定のタイプの機密データをバケットのスコアに含めたり除外したりして計算を調整できます。含めたり除外したりするデータ識別子のチェックボックスを選択し、[アクション] メニューで必要なオプションを選択します。詳細については、個々の S3 バケットの自動検出の管理を参照してください。

Macie が現在バケットに保存されているオブジェクトに機密データを見つけられない場合、このセクションには [検出が見つかりません] というメッセージが表示されます。

機密性 タブには、Macie が分析し、その後変更または削除されたオブジェクトのデータは含まれないことに注意してください。Macie が分析した後でオブジェクトが変更されたり、バケットから削除されたりした場合、Macie は該当する統計とデータを自動的に再計算して更新し、オブジェクトを除外します。

バケットの詳細

このタブには、データセキュリティやプライバシー設定など、バケットの設定に関する詳細が表示されます。たとえば、バケットのパブリックアクセス設定の内訳を確認し、バケットがオブジェクトをレプリケートするか、他の AWS アカウントと共有するかを判断できます。

最終更新フィールドは、毎日の更新サイクルの一部として、Macie がバケットとバケットのオブジェクトの両方について Amazon S3 からメタデータを最後に取得した日時を示します。。最新の自動検出実行 には、Macie が自動検出を実行中にバケット内のオブジェクトを最後に分析した日時が表示されます。この分析が行われていない場合は、このフィールドにダッシュ (–) が表示されます。

タブは、Macie がバケット内で分析できるデータの量を評価するのに役立つオブジェクトレベルの統計も示します。また、機密データ検出ジョブがバケット内のオブジェクトを分析するように設定されているかどうかも示します。存在する場合は、最後に実行されたジョブに関する詳細にアクセスし、必要に応じてジョブが生成した調査結果を表示できます。

このタブの情報の詳細については、S3 バケットの詳細を確認するを参照してください。

オブジェクトのサンプル

このタブには、Macie がバケットの自動機密データ検出を実行中に分析対象として選択したオブジェクトが一覧表示されます。オプションでオブジェクトの名前を選択すると、Amazon S3 コンソールが開き、オブジェクトのプロパティが表示されます。

リストには最大 100 のオブジェクトのデータが含まれます。このリストは、[オブジェクト機密性] フィールド、[機密性]、その次に [低機密性] 、その次に Macie が分析できなかったオブジェクトの値に基づいて入力されます。

リストの [オブジェクト機密性] フィールドには、Macie がオブジェクト内に次の機密データを見つけたかどうかが示されます。

  • 機密性 — Macie はオブジェクト内に少なくとも 1 つの機密データを検出しました。

  • 低機密性 — Macie はオブジェクト内に機密データを検出しませんでした。

  • (ダッシュ) — 問題またはエラーのため、Macie はオブジェクトの分析を完了できませんでした。

分類結果 フィールドには、Macie がオブジェクトを分析できたかどうかが表示されます。

  • Complete (完了) — Macie はオブジェクトの分析を完了しました。

  • 部分的 — Macie は問題またはエラーのため、オブジェクト内のデータのサブセットのみを分析しました。例えば、オブジェクトはサポートされていない形式のファイルを含むアーカイブファイルです。

  • スキップ — 問題またはエラーのため、Macie はオブジェクト内のデータを分析できませんでした。たとえば、オブジェクトは Macie が使用を許可されていないキーを用いて暗号化されます。

Macie が分析または分析を試みた後に変更または削除されたオブジェクトは、リストに含まれていないことに注意してください。Macie は、オブジェクトが後で変更または削除された場合、そのオブジェクトをリストから自動的に削除します。

機密データ検出

このタブには、バケットの集計機密データの自動検出統計が表示されます。

  • 分析されたバイト数 — Macie がバケット内で分析したデータの総量 (バイト単位)。

  • 分類可能 – バケット内で Macie が分析できるすべてのオブジェクトの合計ストレージサイズ。前のデータでは、オブジェクトがサポートされている Amazon S3 ストレージクラスを使用し、サポートされているファイルまたはストレージ形式のファイル名拡張子を持っている場合、オブジェクトは 分類可能です。詳細については、サポートされているストレージクラスとフォーマットを参照してください。

  • 検出数の合計 — Macie がバケット内で検出した機密データの出現数の合計。これには、バケットの機密性スコアリング設定によって現在抑制されているデータが含まれます。

分析されたオブジェクト チャートには、Macie がバケット内で分析したオブジェクトの総数が表示されます。また、Macie が機密データを見つけた、または見つけなかったオブジェクトの数も視覚的に表示されます。グラフの下の凡例には、これらの結果の内訳が示されています。

  • 機密性オブジェクト (赤) — Macie が機密データの出現を少なくとも 1 回検出したオブジェクトの総数。

  • 低機密性 オブジェクト (青) — Macie が機密データを検出しなかったオブジェクトの総数。

  • スキップされたオブジェクト (濃い灰色) — 問題またはエラーが原因で Macie が分析できなかったオブジェクトの総数。

グラフの凡例の下の領域は、特定のタイプのアクセス許可の問題または暗号化エラーが発生したために Macie がオブジェクトを分析できなかったケースの内訳を示しています。

  • スキップ: 無効な暗号化 — お客様が用意したキーで暗号化されたオブジェクトの総数。Macie はこれらのキーにアクセスできません。

  • スキップ: 無効な KMS – 使用できなくなった AWS Key Management Service (AWS KMS) キーで暗号化されたオブジェクトの総数。これらのオブジェクトは、無効 AWS KMS keys になっている、削除がスケジュールされている、または削除された で暗号化されます。Macie はこれらのキーを使用できません。

  • スキップ: アクセス許可拒否 – オブジェクトのアクセス許可設定、またはオブジェクトの暗号化に使用されたキーのアクセス許可設定が原因で Macie がアクセスを許可されていないオブジェクトの合計数。

これらの問題、および発生する可能性のあるその他のタイプの問題やエラーの詳細については、「」を参照してください機密データ自動検出のカバレッジ問題を修正する。問題とエラーを修正すると、後続の分析サイクル中にバケットのデータのカバレッジを増やすことができます。

機密データ検出 タブの統計には、Macie が分析または分析を試みた後に変更または削除されたオブジェクトのデータは含まれていません。Macie が分析または分析を試みた後にオブジェクトが変更されたり、バケットから削除されたりした場合、Macie はこれらの統計を自動的に再計算してオブジェクトを除外します。