個々の S3 バケットの機密データ自動検出の管理 - Amazon Macie

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

個々の S3 バケットの機密データ自動検出の管理

機密データ自動検出の統計と結果を確認して評価すると、個々の Amazon Simple Storage Service (Amazon S3) バケットの機密スコアリングやその他の設定を調整できます。これらの設定を調整することで、Amazon S3 データ資産全体とデータ資産内の特定のバケットの機密性評価を微調整できます。また、特定のバケットに対して実施した調査の結果をキャプチャすることもできます。

S3 バケットの機密データ自動検出設定は、次の方法で調整できます。

機密スコアを割り当てる

デフォルトでは、Amazon Macie はバケットの機密スコアを自動的に計算します。スコアは主に Macie がバケット内で検出した機密データ量、およびバケット内で分析したデータ量に基づいています。詳細については、S3 バケットの機密スコアを参照してください。

バケットの計算スコアを上書きし、手動で最大スコア(100)を割り当てることができます。これにより、バケットに機密ラベルも適用されます。これを行うと、Macie はバケットに対して引き続き自動検出を実行します。ただし、その後の分析はバケットのスコアには影響しません。スコアを再度自動的に計算するには、設定をもう一度変更してください。

特定の機密データタイプを機密スコアから除外または含める

自動計算の場合、バケットの機密スコアは部分的に、Macie がバケット内で検出した機密データ量に基づいて算出されます。これは主に、Macie がバケット内で検出した機密データタイプの性質と数、および各タイプの出現数から導き出されます。デフォルトでは、Macie はバケットの機密スコアを計算するときに、あらゆるタイプの機密データの出現回数を含めます。

特定のタイプの機密データをバケットのスコアから除外したり含めたりすることで、計算を調整できます。例えば、Macie がバケット内の郵送先住所を検出し、それが問題ないと判断した場合、そのバケットのスコアからすべての郵送先住所を除外できます。ある機密データタイプを除外した場合、Macie は引き続きバケットにそのタイプのデータがないか調べ、検出したデータの出現を報告します。ただし、これらの出現はバケットの計算スコアには影響しません。計算スコアに機密データタイプを再度含めるには、設定を再度変更してください。

対象のバケットを今後の分析に除外または含める

デフォルトでは、Macie はアカウントのモニタリングと分析を行うすべての汎用バケットの自動検出を実行します。ユーザーが組織の Macie 管理者である場合、デフォルト設定にはメンバーアカウントが所有するバケットが含まれます。分析から特定のバケットを除外できます。例えば、 AWS CloudTrail イベントログなどの AWS ログデータを保存するバケットを除外できます。

バケットを除外しても、そのバケットに関する既存の機密データ検出統計と詳細はそのまま残ります。例えば、バケットの現在の機密スコアは変わりません。ただし、Macie は自動検出を実行するとバケット内のオブジェクトの分析を停止します。バケットを除外した後、そのバケットを再度含めることができます。

S3 バケットの機密スコアに影響する設定を変更すると、Macie は直ちに Amazon S3 データに関して提供する関連する統計と情報の再計算と更新を開始します。例えば、バケットに最大スコアを割り当てると、Macie はアカウントまたは組織の集計統計で機密バケットの数を増やします。

Amazon Macie コンソールを使用して設定を変更するには、次のステップに従います。設定をプログラムで変更するには、Amazon Macie API の次のオペレーションを使用できます。UpdateResourceProfile、バケットに機密性スコアを割り当てる、UpdateResourceProfileDetections、バケットのスコアに機密データタイプを除外またはその後含める、および後続の分析にバケットUpdateClassificationScopeを除外または含める。

S3 バケットの機密データ自動検出設定を変更する
  1. Amazon Macie コンソール (https://console.aws.amazon.com/macie/) を開きます。

  2. ナビゲーションペインで、S3 バケットを選択します。S3 バケットページにはバケットインベントリが表示されます。

    デフォルトでは、このページには、現在分析から除外されているバケットのデータが表示されません。ユーザーが組織の Macie 管理者である場合、機密データの自動検出が現在無効になっているアカウントのデータも表示されません。このデータを表示するには、フィルターボックスの下にある自動検出フィルタートークンによってモニタリングされる で X を選択します。

  3. 設定を変更する S3 バケットを選択します。テーブルビュー ( The table view button, which is a button that contains three black horizontal lines ) またはインタラクティブマップ () を使用してバケットを選択できます The map view button, which is a button that contains four black squares

  4. 詳細パネルで、次のいずれかの操作を実行します。

    • 計算されたスコアを上書きしてバケットに機密スコアを手動で割り当てるには、[最大スコアの割り当て A toggle switch with a gray background and the toggle positioned to the left. ]をオンにします。これによりバケットのスコアが 100 に変更され、機密ラベルがバケットに適用されます。

      Macie が自動的に計算するスコアを割り当てるには、[最大スコアの割り当て A toggle switch with a blue background and the toggle positioned to the right. ]をオフにします。

    • バケットを以降の分析から除外するには、[自動検出から除外 A toggle switch with a gray background and the toggle positioned to the left. ]をオンにします。

      以前にバケットを分析から除外していた場合は、[自動検出から除外 A toggle switch with a blue background and the toggle positioned to the right. ]をオフにして再度分析対象に含めます。

    • 特定の種類の機密データをバケットの機密スコアから除外または含めるには、[機密性] タブを選択します。[検出] テーブルで、除外または含める機密データタイプのチェックボックスを選択します。次に、[アクション] メニューで [スコアから除外] を選択してタイプを除外するか、[スコアに含める] を選択してタイプを含めます。

      表の 機密データタイプ フィールドには、データを検出したマネージドデータ識別子の固有識別子 (ID)、またはデータを検出したカスタムデータ識別子の名前を指定します。マネージドデータ識別子の ID は、識別子が検出する機密データのタイプを表します。例えば、米国のパスポート番号の場合は USA_PASSPORT_NUMBER などです。各マネージドデータ識別子の詳細については、マネージドデータ識別子の使用を参照してください。

S3 バケットの機密スコアに影響する設定を変更した場合、Macie は直ちに関連する機密データ検出統計およびバケットに関するその他の情報の再計算と更新を開始します。