機密データ自動検出カバレッジの評価

アカウントの機密データ検出が自動化されると、Amazon Macie は、Amazon Simple Storage Service (Amazon S3) データ資産のカバレッジ評価と監視に役立つ統計と詳細を提供します。このデータを使用して、データ資産全体およびバケットインベントリ内の個々の S3 バケットについて、機密データ自動検出のステータスを確認できます。Macie が特定バケット内のオブジェクトを分析できなかった問題を特定することもできます。問題を修正すれば、その後の分析サイクルで Amazon S3 データのカバレッジを拡大できます。

カバレッジデータは、現在の の S3 汎用バケットの機密データ自動検出の現在のステータスのスナップショットを提供します AWS リージョン。お客様が組織の Macie 管理者である場合、これには、お客さまのメンバーアカウントが所有するバケットが含まれます。各バケットのデータには、Macie がバケット内のオブジェクトを分析しようとしたときに問題が発生したかどうかが示されます。問題が発生した場合、データには各問題の性質が示され、発生回数が示されるケースもあります。データは、毎日アカウントの機密データが自動検出されるたびに更新されます。Macie が毎日の分析サイクル中にバケット内の 1 つ以上のオブジェクトを分析または分析を試みる場合に、Macie はカバレッジやその他のデータを更新して結果を反映します。

特定のタイプの問題については、すべての S3 汎用バケットのデータを集約して確認し、オプションでドリルダウンして各バケットに関する追加の詳細を確認できます。例えば、カバレッジデータを使用すると、Macie がアカウントに対してアクセスすることを許可されていないバケットを迅速に特定できます。カバレッジデータには、発生したオブジェクトレベルの問題も報告されます。分類エラーと呼ばれるこれらの問題により、Macie はバケット内の特定のオブジェクトを分析できませんでした。例えば、オブジェクトが使用できなくなった AWS Key Management Service （AWS KMS) キーで暗号化されているために、Macie がバケット内で分析できなかったオブジェクトの数を判断できます。

Amazon Macie コンソールを使用してカバレッジデータを確認する場合、データビューには各タイプの問題を修正するためのガイダンスも含まれます。このセクションの以降のトピックでは、各タイプの修正ガイダンスも提供します。

トピック

• カバレッジデータを確認
• カバレッジ問題を修正する
  • アクセスが拒否されました
  • 分類エラー:コンテンツが無効です
  • 分類エラー:暗号化が無効です
  • 分類エラー:KMS キーが無効です
  • 分類エラー:権限が拒否されました
  • 分類不可

機密データ自動検出のカバレッジデータを確認

アカウントの機密データ自動検出のカバレッジの確認、評価には、Amazon Macie コンソールまたは Amazon Macie API を使用できます。コンソールと API の両方が、現在の の Amazon Simple Storage Service (Amazon S3) 汎用バケットの分析の現在のステータスを示すデータを提供します AWS リージョン。データには、分析に差異が生じる問題に関する情報が含まれています。

• Macie がアクセスを許可されていないバケット。バケットの権限設定により Macie がバケットとバケットのオブジェクトにアクセスできないため、Macie はこれらのバケット内のオブジェクトを分析できません。

• 分類可能なオブジェクトを保存しないバケット。すべてのオブジェクトが Macie がサポートしていない Amazon S3 ストレージクラスを使用しているか、Macie がサポートしていないファイルまたはストレージ形式のファイル名拡張子が付いているため、Macie はこれらのバケット内のオブジェクトを分析できません。

• オブジェクトレベルの分類エラーが原因で Macie がまだ分析できなかったバケット。Macie は、これらのバケット内の 1 つ以上のオブジェクトを分析しようとしました。しかし、オブジェクトレベルのアクセス許可設定、オブジェクトコンテンツ、またはクォータに問題があったため、Macie はそのオブジェクトを分析できませんでした。

カバレッジデータは、アカウントの機密データが毎日自動検出されるたびに更新されます。ユーザーが組織の Macie 管理者である場合、データには、組織のメンバーアカウントによって所有されている S3 バケットの情報が含まれます。

注記

カバレッジデータには、作成して実行した機密データ検出ジョブの結果は明示的に含まれていません。ただし、機密データ自動検出結果に影響するカバレッジの問題を修正すると、その後に実行する機密データ検出ジョブのカバレッジも拡大する可能性があります。ジョブのカバレッジを評価するには、ジョブの統計と結果を確認。ジョブのログイベントやその他の結果がカバレッジ問題を示す場合は、このセクションの後半にある修正ガイダンスがいくつかの問題に対処するのに役立ちます。

機密データ自動検出のカバレッジデータを確認するには

アカウントまたは組織のカバレッジデータを確認するには、Amazon Macie コンソールまたは Amazon Macie API を使用します。コンソールでは、単一ページに、各バケットで最近発生した問題のロールアップなど、すべての S3 汎用バケットのカバレッジデータを統合して表示できます。このページには、問題タイプ別にデータグループを確認するオプションもあります。特定のバケットの問題調査を追跡するために、そのページからデータをカンマ区切り値 (CSV) ファイルにエクスポートできます。

Console

Amazon Macie コンソールを使用して機密データ自動検出カバレッジデータを確認するには、次のステップに従います。

カバレッジデータを確認する

1. Amazon Macie コンソール (https://console.aws.amazon.com/macie/) を開きます。

2. ナビゲーションペインで リソースカバレッジ を選択します。

3. リソースカバレッジ ページで、確認したいカバレッジデータのタイプに対応するタブを選択します。

   • すべて — Macie がアカウントについてモニタリングおよび分析するすべてのバケットを一覧表示します。

     各バケットの 問題 フィールドには、問題によって Macie がバケット内のオブジェクトを分析できなかったかどうかが示されます。このフィールドの値が なし の場合、Macie はバケットのオブジェクトを少なくとも 1 つ分析したか、または Macie がバケットのオブジェクト分析を試みていないことを意味します。問題がある場合、このフィールドに問題の性質と修正方法が表示されます。オブジェクトレベル分類エラーの場合、エラーの発生回数が (括弧内に) 表示されるケースもあります。

   • アクセス拒否 — Macie がアクセスを許可されていないバケットを一覧表示します。これらのバケットの権限設定により、Macie はバケットとバケットのオブジェクトにアクセスできなくなります。そのため、Macie はこれらのバケット内のオブジェクトを分析できません。

   • 分類エラー – オブジェクトレベルの分類エラーが原因で Macie がまだ分析していないバケットを一覧表示します。オブジェクトレベルのアクセス許可設定、オブジェクトコンテンツ、またはクォータに関する問題です。

     各バケットの 問題 フィールドには、発生して Macie がバケット内のオブジェクトを分析できなかった各タイプのエラーの性質が表示されます。また、各種エラーの修正方法も示します。エラーによっては、エラーの発生回数が (括弧内に) 表示される場合もあります。

   • 分類不可 — 分類可能なオブジェクトを保存しないため Macie が分析できないバケットを一覧表示します。これらのバケット内のすべてのオブジェクトは、サポートされていない Amazon S3 ストレージクラスを使用しているか、サポートされていないファイルまたはストレージ形式のファイル名拡張子が付いています。そのため、Macie はこれらのバケット内のオブジェクトを分析できません。

4. バケットのサポートデータをドリルダウンして確認するには、バケットの名前を選択します。次に、バケットに関する統計およびその他の情報については、バケット詳細パネルを参照してください。

5. テーブルを CSV ファイルにエクスポートするには、ページ上部の CSV にエクスポート を選択します。結果の CSV ファイルには、テーブル内の各バケットのメタデータのサブセットが含まれており、最大 50,000 個のバケットが含まれます。このファイルには カバレッジ問題 フィールドが含まれています。このフィールドの値は、問題によって Macie がバケット内のオブジェクトを分析できなかったかどうか、もしできなかった場合は、その問題の性質を示します。

API

プログラムでカバレッジデータを確認するには、Amazon Macie API の DescribeBucketsオペレーションを使用して送信するクエリでフィルター条件を指定します。このオペレーションは、オブジェクトの配列を返します。各オブジェクトには、フィルター条件に一致する S3 汎用バケットに関する統計データとその他の情報が含まれています。

フィルター条件には、確認したいカバレッジデータのタイプに関する条件を含めます。

• バケットの権限設定により Macie がアクセスできないバケットを特定するには、errorCode のフィールドの値が ACCESS_DENIED に等しいという条件を含めます。

• Macie がアクセスを許可されていてまだ分析されていないバケットを特定するには、sensitivityScore のフィールドの値が 50 に等しく、errorCode のフィールドの値が ACCESS_DENIED に等しくないという条件を含めます。

• すべてのバケットのオブジェクトがサポートされていないストレージクラスまたは形式を使用しているために Macie が分析できないバケットを特定するには、classifiableSizeInBytes のフィールドの値が 0 に等しく、sizeInBytes のフィールドの値が 0 より大きいという条件を含めます。

• Macie が 1 つ以上のオブジェクトを分析したバケットを特定するには、sensitivityScore フィールドの値が 1 ～ 99 の範囲内にあるが、50 に等しくないという条件を含めます。手動で最大スコアを割り当てたバケットも含めるには、範囲を 1 ～ 100 にする必要があります。

• オブジェクトレベルの分類エラーが原因で Macie がまだ分析していないバケットを特定するには、sensitivityScore のフィールドの値が -1 に等しいという条件を含めます。次に、特定のバケットで発生したエラーのタイプと数の内訳を確認するには、 GetResourceProfileオペレーションを使用します。

AWS Command Line Interface (AWS CLI) を使用している場合は、describe-bucketsコマンドを実行して送信するクエリにフィルター条件を指定します。特定の S3 バケットで発生したエラーのタイプと数の内訳を確認するには、 get-resource-profile コマンドを実行します。

例えば、次の AWS CLI コマンドはフィルター条件を使用して、バケットのアクセス許可設定のために Macie がアクセスを許可されていないすべての S3 バケットの詳細を取得します。

この例は Linux、macOS、または Unix 用にフォーマットされています。

$ aws macie2 describe-buckets --criteria '{"errorCode":{"eq":["ACCESS_DENIED"]}}'

この例は Microsoft Windows 用にフォーマットされています。

C:\> aws macie2 describe-buckets --criteria={\"errorCode\":{\"eq\":[\"ACCESS_DENIED\"]}}

リクエストが成功すると、Macie は buckets 配列を返します 配列には、現在の にあり AWS リージョン 、フィルター条件に一致する各 S3 バケットのオブジェクトが含まれます。

フィルター基準を満たす S3 バケットがない場合、Macie は空の buckets の配列を返します。

{
    "buckets": []
}

一般的な条件の例も含め、クエリでフィルター基準を指定する詳細については、S3 バケットインベントリをフィルタリングする を参照してください。

機密データ自動検出のカバレッジ問題を修正する

Amazon Macie は、Amazon Simple Storage Service (Amazon S3) データの機密データ自動検出カバレッジを低下させる問題のタイプをいくつか報告します。以下の情報は、これらの問題を調査して修正するのに役立ちます。

問題のタイプと詳細

• アクセスが拒否されました
• 分類エラー:コンテンツが無効です
• 分類エラー:暗号化が無効です
• 分類エラー:KMS キーが無効です
• 分類エラー:権限が拒否されました
• 分類不可

ヒント

S3 バケットのオブジェクトレベル分類エラーを調査するには、まずバケットのオブジェクトサンプルリストを確認します。このリストには、Macie がバケット内で分析、または分析を試みたオブジェクト (最大 100 個) が表示されます。

Amazon Macie コンソールでリストを確認するには、S3バケット ページでバケットを選択し、バケット詳細パネルの オブジェクトのサンプル タブを選択します。プログラムでリストを確認するには、Amazon Macie API の ListResourceProfileArtifactsオペレーションを使用します。オブジェクトの分析ステータスが スキップ済みSKIPPEDの場合、そのオブジェクトがエラーの原因となっている可能性があります。

アクセスが拒否されました

この問題は、S3 バケットのアクセス許可設定により、Macie がバケットとバケットのオブジェクトにアクセスできなかったことを示します。Macie はバケット内のオブジェクトを取得、分析することはできません。

詳細

このタイプの問題の最も一般的な原因は、制限の厳しいバケットポリシーです。バケットポリシーは、プリンシパル AWS Identity and Access Management （ユーザー、アカウント、サービス、またはその他のエンティティ) が S3 バケットに対して実行できるアクションと、プリンシパルがそれらのアクションを実行できる条件を指定するリソースベースの (IAM) ポリシーです。制限付きバケットポリシーでは、特定の条件に基づいてバケットデータへのアクセスを許可または制限する明示的な Allow または Deny のステートメントを使用します。例えば、バケットポリシーには、特定のソース IP アドレスがバケットにアクセスするために使用されていない限り、バケットへのアクセスを拒否する Allow または Deny のステートメントが含まれる場合があります。

S3 バケットのバケットポリシーに 1 つ以上の条件を持つ明示的な Deny のステートメントがある場合、Macie は機密データ検出のためバケットオブジェクトを取得、分析することを許可されない場合があります。Macie は、バケット名や作成日など、バケットに関する情報のサブセットのみを提供できます。

修正ガイダンス

この問題を修正するには、S3 バケットのバケットポリシーを更新します。Macie がバケットとバケットのオブジェクトにアクセスすることをポリシーで許可されているか確認してください。このアクセスを許可するには、Macie サービスリンクロールAWSServiceRoleForAmazonMacieの条件をポリシーに追加します。その条件により、Macie サービスリンクロールがポリシーの Deny 制限と一致することを除外できます。これは、aws:PrincipalArn グローバル条件コンテキストキー および ユーザーアカウントの Macie サービスリンクロールの Amazon リソースネーム (ARN) を使用して行うことができます。

バケットポリシーを更新し、Macie が S3 バケットにアクセスできるようになると、Macie は変更を検出します。この場合、Macie は Amazon S3 データに関して提供する統計、インベントリデータ、およびその他の情報を更新します。さらに、その後の分析サイクルでは、バケットのオブジェクトがより優先的に分析されます。

追加の参考資料

Macie がバケットにアクセスできるように S3 バケットポリシーを更新する詳細については、Amazon Macie が S3 バケットおよびオブジェクトにアクセスすることを許可する を参照してください。バケットポリシーを使用してバケットへのアクセス権を制御する詳細については、Amazon Simple Storage Service ユーザーガイドのバケットポリシーとユーザーポリシーとAmazon S3 がリクエストを許可する仕組みを参照してください。

分類エラー:コンテンツが無効です

このタイプの分類エラーは、Macie が S3 バケット内のオブジェクトを分析しようとして、そのオブジェクトの形式に誤りがあるか、オブジェクトに機密データ検出クォータを超えるコンテンツが含まれている場合に発生します。Macie はオブジェクトを分析できません。

詳細

このエラーは通常、S3 オブジェクトが誤った形式であるか、破損したファイルであることが原因で発生します。そのため、Macie はファイル内のすべてのデータを解析して分析することができません。

このエラーは、S3 オブジェクトの分析が個々のファイルの機密データ検出クォータを超える場合にも発生する可能性があります。例えば、オブジェクトのストレージサイズが、そのタイプのファイルのサイズクォータを超えている場合などです。

いずれの場合も、Macie は S3 オブジェクトの分析を完了できず、オブジェクトの分析ステータスは スキップ済みSKIPPEDになります。

修正ガイダンス

このエラーを調べるには、S3 オブジェクトをダウンロードし、ファイルの形式とコンテンツを確認します。また、ファイルのコンテンツを Macie の機密データ検出のクォータと比較して評価してください。

このエラーを修正しないと、Macie は S3 バケット内の他のオブジェクトの分析を試みようとします。Macie が別のオブジェクトを正常に分析すると、Macie はカバレッジデータやバケットに関して提供されるその他の情報を更新します。

追加の参考資料

特定のタイプのファイルに対するクォータを含む機密データ検出クォータのリストについては、Amazon Macie クォータ を参照してください。Macie が S3 バケットに関して提供される機密スコアやその他の情報を更新する方法については、機密データの自動検出の仕組み を参照してください。

分類エラー:暗号化が無効です

このタイプの分類エラーは、Macie が S3 バケット内のオブジェクトを分析しようとして、そのオブジェクトはお客様が用意したキーで暗号化されている場合に発生します。オブジェクトが SSE-C 暗号を使用しているため、Macie はそのオブジェクトを取得、分析することができません。

詳細

Amazon S3 は S3 オブジェクトの複数の暗号化オプションをサポートしています。これらのオプションのほとんどで、Macie は、ユーザーアカウントの Macie サービスリンクロールを使用してオブジェクトを復号化できます。ただし、これは使用された暗号化のタイプによって異なります。

Macie が S3 オブジェクトを復号化するには、Macie がアクセスして使用を許可されているキーを用いてオブジェクトが暗号化されている必要があります。お客様が用意したキーによりオブジェクトが暗号化されている場合、Macie は Amazon S3 からオブジェクトを取得するのに必要なキーマテリアルを提供できません。その結果、Macie はオブジェクトを分析できず、オブジェクトの分析ステータスはスキップ済みSKIPPEDになります。

修正ガイダンス

このエラーを修正するには、Amazon S3 マネージドキーまたは AWS Key Management Service （AWS KMS) キーを使用して S3 オブジェクトを暗号化します。 Amazon S3 AWS KMS キーを使用する場合は、キーは AWS マネージド KMS キー、または Macie が使用できるカスタマーマネージド KMS キーにすることができます。

Macie がアクセスして使用できるキーで既存の S3 オブジェクトを暗号化するには、オブジェクトの暗号化設定を変更します。Macie がアクセスして使用できるキーを使用して新しいオブジェクトを暗号化するには、S3 バケットのデフォルトの暗号化設定を変更します。また、バケットのポリシーで、新しいオブジェクトはお客様が用意したキーで暗号化するよう要求されていないことも確認してください。

このエラーを修正しないと、Macie は S3 バケット内の他のオブジェクトの分析を試みようとします。Macie が別のオブジェクトを正常に分析すると、Macie はカバレッジデータやバケットに関して提供されるその他の情報を更新します。

追加の参考資料

Macie を使用して暗号化された S3 オブジェクトを分析するための要件とオプションについては、を参照してくださいAmazon Macie を用いた暗号化された Amazon S3 オブジェクトの分析。デフォルトの暗号化設定の詳細については、Amazon Simple Storage Service ユーザーガイドの暗号化を使用したデータの保護およびS3 バケット向けのサーバー側のデフォルトの暗号化動作の設定を参照してください。

分類エラー:KMS キーが無効です

このタイプの分類エラーは、Macie が S3 バケット内のオブジェクトを分析しようとしたときに、そのオブジェクトが使用できなくなった AWS Key Management Service （AWS KMS) キーで暗号化されている場合に発生します。Macie はオブジェクトを取得、分析することができません。

詳細

AWS KMS には、カスタマー管理の を無効化および削除するためのオプションが用意されています AWS KMS keys。S3 オブジェクトが無効、削除予定、または削除済みの KMS キーで暗号化されている場合、Macie はそのオブジェクトを取得および復号化できません。その結果、Macie はオブジェクトを分析できず、オブジェクトの分析ステータスはスキップ済みSKIPPEDになります。Macie が暗号化されたオブジェクトを分析するには、Macie がアクセスして使用を許可されているキーを用いてオブジェクトが暗号化されている必要があります。

修正ガイダンス

このエラーを修正するには、キーの最新ステータスに応じて該当する AWS KMS keyの予定削除を再度有効にするか、またはキャンセルします。該当するキーが既に削除されている場合、このエラーは修正できません。

どの AWS KMS key が S3 オブジェクトの暗号化に使用されたかを判断するには、まず Macie を使用して S3 バケットのサーバー側の暗号化設定を確認します。バケットのデフォルトの暗号化設定で KMS キーを使用するように設定されている場合は、バケット詳細に使用されているキーが表示されます。さらに、そのキーのステータスを確認できます。または、Amazon S3 を使用して、バケットとバケット内の個々のオブジェクトの暗号化設定を確認することもできます。

このエラーを修正しないと、Macie は S3 バケット内の他のオブジェクトの分析を試みようとします。Macie が別のオブジェクトを正常に分析すると、Macie はカバレッジデータやバケットに関して提供されるその他の情報を更新します。

追加の参考資料

Macie を使用して S3 バケットのサーバー側の暗号化設定を確認する詳細については、S3 バケットの詳細を確認する を参照してください。のスケジュールされた削除の再有効化またはキャンセルについては AWS KMS key、「 AWS Key Management Service デベロッパーガイド」の「キーの有効化と無効化」および「キーの削除のスケジュールとキャンセル」を参照してください。

分類エラー:権限が拒否されました

このタイプの分類エラーは、Macie が S3 バケット内のオブジェクトを分析しようとして、オブジェクトの権限設定またはオブジェクトの暗号化に使用されたキーの権限設定が原因でオブジェクトを取得または復号化できない場合に発生します。Macie はオブジェクトを取得、分析することができません。

詳細

このエラーは通常、S3 オブジェクトが Macie が使用を許可されていないカスタマーマネージド AWS Key Management Service AWS KMSキーで暗号化されていることが原因で発生します。オブジェクトがカスタマー管理の で暗号化されている場合 AWS KMS key、キーのポリシーは Macie がキーを使用してデータを復号することを許可する必要があります。

このエラーは、Amazon S3 のアクセス権限設定によって Macie が S3 オブジェクトを取得できない場合にも発生する可能性があります。S3 バケットポリシーでは、特定のバケットオブジェクトへのアクセスを制限したり、特定のプリンシパル (ユーザー、アカウント、サービス、またはその他のエンティティ) にのみオブジェクトへのアクセスを許可したりする場合があります。または、オブジェクトのアクセスコントロールリスト (ACL) により、オブジェクトへのアクセスが制限される場合があります。その結果、Macie はオブジェクトにアクセスできない場合があります。

上記のいずれの場合も、Macie はオブジェクトを取得、分析できず、オブジェクトの分析ステータスは スキップ済みSKIPPEDになります。

修正ガイダンス

このエラーを修正するには、S3 オブジェクトがカスタマーマネージド AWS KMS keyで暗号化されているかどうかを確認します。お客様が用意したもので暗号化されている場合は、キーポリシーで Macie サービスリンクロールAWSServiceRoleForAmazonMacieがそのキーを使用してデータを復号化することを許可していることを確認します。このアクセスを許可する方法は、 を所有するアカウントが、オブジェクトを保存する S3 バケット AWS KMS key も所有しているかどうかによって異なります。同じアカウントが KMS キーとバケットを所有している場合、アカウントのユーザーはキーのポリシーを更新する必要があります。1 つのアカウントが KMS キーを所有し、別のアカウントがバケットを所有している場合、そのキーを所有するアカウントのユーザーはキーへのクロスアカウントアクセスを許可する必要があります。

ヒント

Macie AWS KMS keys がアカウントの S3 バケット内のオブジェクトを分析するためにアクセスする必要があるすべてのカスタマーマネージド のリストを自動的に生成できます。これを行うには、 の Amazon Macie Scripts リポジトリから入手できる AWS KMS Permission Analyzer スクリプトを実行します GitHub。 Amazon Macie このスクリプトは、 AWS Command Line Interface （AWS CLI) コマンドの追加スクリプトを生成することもできます。必要に応じてこれらのコマンドを実行し、指定した KMS キーに必要な設定設定とポリシーを更新できます。

Macie が既に該当する の使用を許可されている場合、 AWS KMS key または S3 オブジェクトがカスタマーマネージド KMS キーで暗号化されていない場合は、バケットのポリシーで Macie がオブジェクトにアクセスすることを許可していることを確認してください。また、オブジェクトの ACL が Macie にオブジェクトのデータおよびメタデータの読み取りを許可していることも確認してください。

バケットポリシーでは、Macie のサービスリンクロールの条件をポリシーに追加することで、このアクセスを許可できます。その条件により、Macie サービスリンクロールがポリシーの Deny 制限と一致することを除外できます。これは、aws:PrincipalArn グローバル条件コンテキストキー および ユーザーアカウントの Macie サービスリンクロールの Amazon リソースネーム (ARN) を使用して行うことができます。

オブジェクト ACL の場合、オブジェクト所有者と協力して、オブジェクトに対するREADアクセス許可を持つ被付与者として を追加することで AWS アカウント 、このアクセスを許可できます。その後、Macie はアカウントのサービスリンクロールを使用してオブジェクトを取得、分析できます。また、バケットのオブジェクト所有権設定を変更することも検討してください。これらの設定により、バケット内のすべてのオブジェクトの ACL を無効にし、バケットを所有するアカウントに所有権の許可を与えることができます。

このエラーを修正しないと、Macie は S3 バケット内の他のオブジェクトの分析を試みようとします。Macie が別のオブジェクトを正常に分析すると、Macie はカバレッジデータやバケットに関して提供されるその他の情報を更新します。

追加の参考資料

Macie がカスタマーマネージド AWS KMS keyを使ってデータ復号化をできるようにする詳細については、Amazon Macie にカスタマーマネージド の使用を許可する AWS KMS key を参照してください。Macie がバケットにアクセスできるよう S3 バケットポリシーを更新する詳細については、Amazon Macie が S3 バケットおよびオブジェクトにアクセスすることを許可する を参照してください。

キーポリシー更新の詳細については、AWS Key Management Service デベロッパーガイドのキーポリシーの変更を参照してください。カスタマー管理の を使用して S3 オブジェクト AWS KMS keys を暗号化する方法については、「Amazon Simple Storage Service ユーザーガイド」の AWS KMS 「キーによるサーバー側の暗号化の使用」を参照してください。

バケットポリシーを使用して S3 バケットにアクセス権を制御する詳細については、Amazon Simple Storage Service ユーザーガイドのバケットポリシーとユーザーポリシーおよびAmazon S3 がリクエストを許可する仕組みを参照してください。ACL またはオブジェクト所有権設定を使用して S3 オブジェクトへのアクセスを制御する方法については、Amazon Simple Storage Service ユーザーガイドのACL によるアクセス管理およびオブジェクトの所有権の制御とバケットの ACL の無効化を参照してください。

分類不可

この問題は、S3 バケット内のすべてのオブジェクトが、サポートされていない Amazon S3 ストレージクラスまたはサポートされていないファイルまたはストレージ形式を使用して保存されていることを示しています。Macie はバケット内のどのオブジェクトも分析できません。

詳細

選択と分析の対象となるには、S3 オブジェクトが Macie がサポートする Amazon S3 ストレージクラスを使用する必要があります。オブジェクトには、Macie がサポートするファイルまたはストレージ形式のファイル名拡張子もまた必要です。オブジェクトがこれらの基準を満たさない場合、そのオブジェクトは分類不可能なオブジェクトとして扱われます。Macie は分類不可のオブジェクト内データに対して取得、分析の試みをしません。

S3 バケット内のオブジェクトがすべて分類不可の場合、そのバケット全体が分類できないバケットになります。Macie はバケットの機密データ自動検出を実行できません。

修正ガイダンス

この問題に対処するには、S3 バケットにオブジェクトを保存するためにどのストレージクラスを使用するかを決定するライフサイクル設定ルールやその他の設定を確認してください。Macie がサポートするストレージクラスを使用するようにこれらの設定を調整することを検討してください。バケット内の既存のオブジェクトのストレージクラスを変更することもできます。

S3 バケット内の既存のオブジェクトのファイルフォーマットとストレージフォーマットも評価します。オブジェクトを分析するため、サポートされている形式を使用する新しいオブジェクトに、一時的または永続的にデータを移植することを検討してください。

S3 バケットに追加されたオブジェクトが、サポートされているストレージクラスとフォーマットを使用している場合、Macie は次回バケットインベントリ評価時にオブジェクトを検出します。その場合、Macie は Amazon S3 データに関して提供する統計、カバレッジデータ、その他の情報において、バケットが分類不可という報告を停止します。さらに、次の分析サイクルで、新しいオブジェクトは分析優先度が高くなります。

追加の参考資料

Macie がサポートする Amazon S3 ストレージクラス、ファイル、ストレージ形式については、Amazon Macie でサポートされているストレージのクラスと形式 を参照してください。Amazon S3 が提供するライフサイクル設定ルールとストレージクラスオプションについては、Amazon Simple Storage Service ユーザーガイドのストレージライフサイクルの管理とAmazon S3 ストレージクラスの使用を参照してください。