個々の S3 バケットの機密データ自動検出の管理 - Amazon Macie

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

個々の S3 バケットの機密データ自動検出の管理

機密データ自動検出の統計、データ、およびその他の結果を確認して評価する際に、Amazon Simple Storage Service (Amazon S3) バケットの機密性評価を微調整する場合があります。また、ユーザーまたは組織が特定のバケットに対して実行した調査の結果をキャプチャすることもできます。お客様が組織の Macie 管理者である場合、またはスタンドアロン Macie アカウントをお持ちの場合は、個々のバケットの機密スコアやその他の設定を調整することで、これらの変更を行うことができます。組織にメンバーアカウントがある場合は、所有するバケットの設定の調整について Macie 管理者にお問い合わせください。バケットのこれらの設定は、組織の Macie 管理者のみが調整できます。

Macie 管理者またはスタンドアロン Macie アカウントをお持ちの場合は、次の方法で S3 バケットの機密データ自動検出設定を調整できます。

機密スコアを割り当てる

デフォルトでは、Amazon Macie はバケットの機密スコアを自動的に計算します。スコアは主に Macie がバケット内で検出した機密データ量、およびバケット内で分析したデータ量に基づいています。詳細については、S3 バケットの機密スコアを参照してください。

バケットの計算スコアを上書きし、手動で最大スコア(100)を割り当てることができます。これにより、バケットに機密ラベルも適用されます。これを行うと、Macie はバケットの機密データ自動検出を引き続き実行します。ただし、その後の分析はバケットのスコアには影響しません。スコアを再度自動的に計算するには、設定をもう一度変更してください。

機密データのタイプを機密スコアから除外または含める

自動的に計算された場合、バケットの機密スコアは、Macie がバケット内で検出した機密データの量に部分的に基づいています。これは主に、Macie がバケット内で検出した機密データタイプの性質と数、および各タイプの出現回数から派生します。デフォルトでは、Macie はバケットの機密スコアを計算するときに、あらゆるタイプの機密データの出現回数を含めます。

特定のタイプの機密データをバケットのスコアから除外したり含めたりすることで、計算を調整できます。例えば、Macie がバケット内の郵送先住所を検出し、それが問題ないと判断した場合、そのバケットのスコアからすべての郵送先住所を除外できます。ある機密データタイプを除外した場合、Macie は引き続きバケットにそのタイプのデータがないか調べ、検出したデータの出現を報告します。ただし、これらの出現はバケットの計算スコアには影響しません。計算スコアに機密データタイプを再度含めるには、設定を再度変更してください。

対象のバケットを今後の分析に除外または含める

デフォルトでは、Macie はアカウントのモニタリングと分析を行うすべての汎用バケットに対して機密データの自動検出を実行します。ユーザーが組織の Macie 管理者である場合、デフォルト設定にはメンバーアカウントが所有するバケットが含まれます。分析から特定のバケットを除外できます。例えば、 AWS CloudTrail イベントログなどの AWS ログデータを保存するバケットを除外できます。

バケットを除外しても、そのバケットに関する既存の機密データ検出統計と詳細はそのまま残ります。例えば、バケットの現在の機密スコアは変わりません。ただし、Macie は機密データの自動検出を実行すると、バケット内のオブジェクトの分析を停止します。バケットを除外した後、そのバケットを再度含めることができます。

S3 バケットの機密スコアに影響する設定を変更すると、Macie は直ちに Amazon S3 データに関して提供する関連する統計と情報の再計算と更新を開始します。例えば、バケットに最大スコアを割り当てると、Macie はアカウントまたは組織の集計統計で機密バケットの数を増やします。

Amazon Macie コンソールを使用して設定を変更するには、次のステップに従います。設定をプログラムで変更するには、Amazon Macie の次のオペレーションを使用できますAPI: UpdateResourceProfile、バケットに機密スコアを割り当てるには UpdateResourceProfileDetections、バケットのスコアに機密データタイプを除外またはその後含めUpdateClassificationScopeるには 、後続の分析にバケットを除外または含めます。

S3 バケットの機密データ自動検出設定を変更する

  1. で Amazon Macie コンソールを開きますhttps://console.aws.amazon.com/macie/

  2. ナビゲーションペインで、S3 バケットを選択します。S3 バケットページにはバケットインベントリが表示されます。

    デフォルトでは、このページには、現在分析から除外されているバケットのデータが表示されません。ユーザーが組織の Macie 管理者である場合、機密データの自動検出が現在無効になっているアカウントのデータも表示されません。このデータを表示するには、フィルターボックスの下にある自動検出フィルタートークンによってモニタリングされる で X を選択します。

  3. 設定を変更する S3 バケットを選択します。テーブルビュー ( The table view button, which is a button that displays three black horizontal lines. ) またはインタラクティブマップ () を使用してバケットを選択できます The map view button, which is a button that displays four black squares.

  4. 詳細パネルで、次のいずれかの操作を実行します。

    • 計算された機密スコアを上書きし、手動でバケットにスコアを割り当てるには、最大スコアの割り当て () をオンにします A toggle switch with a gray background and the toggle positioned to the left. 。これによりバケットのスコアが 100 に変更され、機密ラベルがバケットに適用されます。

    • Macie が自動的に計算する機密スコアを割り当てるには、最大スコアの割り当て () をオフにします A toggle switch with a blue background and the toggle positioned to the right.

    • 特定のタイプの機密データを除外またはバケットの機密スコアに含めるには、機密性タブを選択します。[検出] テーブルで、除外または含める機密データタイプのチェックボックスを選択します。次に、[アクション] メニューで [スコアから除外] を選択してタイプを除外するか、[スコアに含める] を選択してタイプを含めます。

      表の 機密データタイプ フィールドには、データを検出したマネージドデータ識別子の固有識別子 (ID)、またはデータを検出したカスタムデータ識別子の名前を指定します。マネージドデータ識別子の ID は、識別子が検出するように設計された機密データのタイプを記述します。例えば、米国のパスポート番号の場合は USA_PASSPORT_NUMBER です。各マネージドデータ識別子の詳細については、マネージドデータ識別子の使用を参照してください。

    • バケットを以降の分析から除外するには、[自動検出から除外 A toggle switch with a gray background and the toggle positioned to the left. ]をオンにします。

    • バケットを後続の分析に含めるには、以前に除外した場合は、自動検出から除外 () をオフにします A toggle switch with a blue background and the toggle positioned to the right.

S3 バケットの機密スコアに影響する設定を変更した場合、Macie はすぐにスコアの再計算を開始します。Macie は、バケットと Amazon S3 データ全体に関して提供する関連する統計情報やその他の情報も更新します。