Amazon Macie での機密データ検出結果の保存と保持 - Amazon Macie

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Macie での機密データ検出結果の保存と保持

機密データ検出ジョブを実行すると、Amazon Macie は分析するジョブを設定した Amazon SSimple Storage Service (Amazon S3) オブジェクトごとにレコードを作成します。このレコードには、機密データが含まれていないため機密データの調査結果を生成しないオブジェクト、およびアクセス許可設定やサポートされていない形式の使用などの問題のため Macie が分析できないオブジェクトが含まれます。オブジェクトに機密データが含まれている場合、レコードには対応する調査結果のデータが含まれます。また、Macie がオブジェクト内で検出した機密データのタイプごとに最大 1,000 個までの出現の場所などの追加情報も提供します。Macie は、[sensitive data discovery results] (機密データの検出結果) と呼ばれるこれらのレコードを 90 日間保存します。機密データの検出結果の詳細については、「ジョブの統計と結果の確認」を参照してください。

機密データの検出結果にアクセスし、それらの長期保存と保持を有効化するには、結果を S3 バケットに保存し、AWS Key Management Service (AWS KMS) キーを用いて暗号化するように Macie を設定します。これを行うと、Macie は機密データの検出結果を JSON Lines (.jsonl) ファイルに書き込みます。これにより、GNU Zip (.gz) ファイルとして S3 バケットに追加されます。次に S3 バケットは、機密データの検出結果のすべての最終的で長期的なリポジトリとして機能します。

このトピックでは、AWS Management Consoleをクリックして、検出結果でこのタイプのリポジトリを設定します。設定は、結果を保存する S3 バケットの組み合わせです。それらは、結果を暗号化する AWS KMS key と、使用するバケットとキーを示す Macie 設定です。Macie 設定をプログラムで構成する場合は、PutClassificationExportConfigurationAmazon Macie API の操作。

Macie で設定を構成すると、選択は現在の AWS リージョン にのみ適用されます。お客様が組織の Macie 管理者である場合、選択はお客様のアカウントにのみ適用されます。選択は、関連付けられたメンバーアカウントには適用されません。

複数のリージョンで Macie を使用する場合は、Macie を使用するリージョンごとにリポジトリを設定します。すべてのリージョンのすべての検出結果を 1 つの S3 バケットに保存する場合は、Macie を使用する各リージョンについて、1 つの特定のリージョンにある同じバケットを選択することで保存できます。

ステップ 1: アクセス許可の確認

機密データの検出結果のリポジトリを設定する前に、必要なアクセス許可があることを確認します。これを行うには、AWS Identity and Access Management (IAM) コンソールを使用します。

  1. AWS Management Consoleにサインインして、IAM コンソールを開きます https://console.aws.amazon.com/iam/

  2. ナビゲーションペインで [Users] (ユーザー) を選択します。

  3. ユーザー名を選択します。

[Permissions] (アクセス許可) タブには、ユーザー名にアタッチされているすべての IAM ポリシーがリスト化されています。詳細を表示するポリシーを選択します。次にポリシー内の情報を、リポジトリを設定するために実行が許可される必要がある次のアクションのリストと比較します。

[Macie]

Macie の場合、次のアクションの実行が許可されていることを確認します。

macie2:PutClassificationExportConfiguration

このアクションにより、Macie のリポジトリ設定の追加または変更が許可されます。

[Amazon S3]

Amazon S3 の場合、次のアクションの実行が許可されていることを確認します。

  • s3:CreateBucket

  • s3:GetBucketLocation

  • s3:ListAllMyBuckets

  • s3:PutBucketAcl

  • s3:PutBucketPolicy

  • s3:PutBucketPublicAccessBlock

  • s3:PutObject

これらのアクションにより、リポジトリとして機能できる S3 バケットへのアクセスと設定が許可されます。

AWS KMS

AWS KMS の場合、次のアクションの実行が許可されていることを確認します。

kms:ListAliases

このアクションにより、次の情報を取得できます。AWS KMS keysリポジトリ内のデータを暗号化できます。新しい KMS キーを作成してデータを暗号化することを計画している場合、次のアクションの実行も許可される必要があります。kms:CreateKey,kms:GetKeyPolicy, およびkms:PutKeyPolicy

上記のアクションの 1 つ以上の実行が許可されていない場合は、次のステップに進む前に、AWS 管理者にサポートを依頼してください。

ステップ 2: 次のいずれかを選択します。AWS KMS keyキーポリシーを更新します

権限を確認したら、どれを決定しますかAWS KMS keyMacie が機密データの検出結果の暗号化に使用する。キーは、同じにある、カスタマーマネージド、対称暗号化、KMS キーである必要があります。AWS リージョンは、結果を保存する S3 バケットとして保存します。

キーは、自分のアカウントの既存の KMS キー、または別のアカウントが所有する既存の KMS キーにすることができます。新しい KMS キーを使用する場合は、先に進む前にキーを作成します。別のアカウントが所有する既存のキーを使用する場合は、キーの Amazon リソースネーム (ARN) を取得します。Macie でリポジトリ設定を構成するときに、この ARN を入力する必要があります。KMS キー設定の作成と確認に関する詳細については、を参照してください。キーの管理AWS Key Management Serviceデベロッパーガイド

Macie が使用する KMS キーを決定した後、Macie にそのキーを使用するアクセス許可を付与します。そうしないと、Macie はリポジトリで検出結果を暗号化したり保存したりすることができなくなります。Macie にキーを使用するアクセス許可を付与するには、キーのキーポリシーを変更します。キーポリシーおよび KMS キーへのアクセスの管理の詳細については、を参照してください。キーポリシーAWS KMSAWS Key Management Serviceデベロッパーガイド

キーポリシーを変更するには

  1. AWS KMS コンソール (https://console.aws.amazon.com/kms) を開きます。

  2. AWS リージョン を変更するには、ページの右上隅にあるリージョンセレクターを使用します。

  3. 結果の暗号化に使用するキーを選択します。

  4. [Access policy] (アクセスポリシー) タブで [Edit] (編集) を選択します。

  5. 次のステートメントをクリップボードにコピーし、次にそれをポリシーに追加します。

    { "Sid": "Allow Macie to use the key", "Effect": "Allow", "Principal": { "Service": "macie.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Encrypt" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": [ "arn:aws:macie2:Region:111122223333:export-configuration:*", "arn:aws:macie2:Region:111122223333:classification-job/*" ] } } }

    ステートメントを追加するときは、構文が有効であることを確認します。ポリシーは JSON 形式を使用します。またこれは、ステートメントをポリシーに追加する場所に応じて、ステートメントの前後にカンマを追加する必要があることを意味します。ステートメントを最後のステートメントとして追加する場合は、前のステートメントの中括弧の後にカンマを追加します。最初のステートメントとして追加するか、既存の 2 つのステートメントの間に追加する場合は、中括弧の後にカンマを追加します。

  6. ステートメントを環境に対して正しい値で更新します。

    • Condition フィールドで、プレースホルダーの値を置き換えます。ここで、

      • [111122223333] は、お客様の AWS アカウント のアカウント ID です。

      • [Region] (リージョン) は、お客様が Macie を使用していて、Macie のキーの使用を許可する AWS リージョン です。

        複数のリージョンで Macie を使用していて、追加のリージョンでの Macie のキーの使用を許可する場合は、追加のリージョンごとに aws:SourceArn 条件を追加します。例:

        "aws:SourceArn": [ "arn:aws:macie2:us-east-1:111122223333:export-configuration:*", "arn:aws:macie2:us-east-1:111122223333:classification-job/*", "arn:aws:macie2:us-west-2:111122223333:export-configuration:*", "arn:aws:macie2:us-west-2:111122223333:classification-job/*" ]

        代わりに、all (すべての) リージョンで Macie のキーの使用を許可することもできます。これを行うには、プレースホルダーの値をワイルドカード文字 (*) に置き換えます。例:

        "aws:SourceArn": [ "arn:aws:macie2:*:111122223333:export-configuration:*", "arn:aws:macie2:*:111122223333:classification-job/*" ]
    • 手動で有効化した AWS リージョン で Macie を使用している場合は、適切なリージョンコードを Service フィールドの値に追加します。たとえば、リージョンコード me-south-1 が設定されている中東 (バーレーン) リージョンで Macie を使用している場合は、macie.amazonaws.commacie.me-south-1.amazonaws.com と置き換えます。

    Condition フィールドでは、2 つの IAM グローバル条件キーを使用することに注意してください。。

    • aws:SourceAccount— この条件により、Macie がお客様のアカウントに対してのみ指定されたアクションを実行することを許可します。具体的には、aws:SourceArn 条件で指定されたリソースおよびアクションに対して、指定されたアクションを実行できるアカウントを決定します。

      Macie が追加のアカウントに対して指定されたアクションを実行することを許可するには、追加の各アカウントのアカウント ID をこの条件に追加します。例:

      "aws:SourceAccount": [111122223333,444455556666]
    • aws:SourceArn— この状態は他のことを防ぎますAWS のサービス指定されたアクションの実行から。また、Macie がお客様のアカウントで他のアクションを実行中にキーを使用するのを防ぐこともできます。言い換えると、それにより、オブジェクトが機密データの検出結果である場合のみ、またその結果が条件で指定されたリージョンで、アカウントによって作成された機密データ検出ジョブのものである場合のみ、Macie が S3 オブジェクトをキーで暗号化するのを許可します。

      Macie が追加のアカウントで指定したアクションを実行することを許可するには、追加のアカウントごとに ARN をこの条件に追加します。例:

      "aws:SourceArn": [ "arn:aws:macie2:us-east-1:111122223333:export-configuration:*", "arn:aws:macie2:us-east-1:111122223333:classification-job/*", "arn:aws:macie2:us-east-1:444455556666:export-configuration:*", "arn:aws:macie2:us-east-1:444455556666:classification-job/*" ]

      aws:SourceAccountaws:SourceArn の条件によって指定されたアカウントは、一致する必要があります。

    これらの条件は、Macieが AWS KMS とのトランザクション中に [confused deputy] (混乱した代理) として使用されるのを防ぐのに役立ちます。お勧めしませんが、ステートメントからこれらの条件を削除できます。

  7. ステートメントの追加と更新が完了したら、[Save changes] (変更を保存する) を選択します。

ステップ 3: 使用する S3 バケットを指定する

権限を確認したら、AWS KMS keyを使用して、機密データの検出結果のリポジトリとして使用する S3 バケットを指定する準備が整いました。これには 2 つのオプションがあります。

  • [Use a new S3 bucket that Macie creates] (Macie が作成した新しい S3 バケットを使用する) — このオプションを選択すると、Macie は検出結果の新しい S3 バケットを自動的に作成します。Macie はバケットにバケットポリシーを適用します。このポリシーでは、Macie がバケットにオブジェクトを追加 (プット) することを許可します。このポリシーを確認するには、バケットの名前を入力した後、Amazon Macie コンソールの [View policy] (ポリシーを表示する) を選択します。

  • [Use an existing S3 bucket that you create] (作成した既存の S3 バケットを使用する) — 特定の S3 バケットに検出結果を保存する場合は、続行する前にバケットを作成します。次にバケットの設定を確認し、バケットのポリシーを更新して、Macie がバケットにオブジェクトを追加 (プット) できることを確認します。このトピックでは、チェックする設定はどれか、およびポリシーの更新方法について説明します。また、ポリシーに追加するステートメントの例も示します。

詳細については次のセクションで説明します。 step-by-step 各オプションの手順。目的のオプションのセクションを選択します。

Macie が作成した新しい S3 バケットを使用する場合は、プロセスの最後のステップは、Macie でリポジトリ設定を構成することです。

Macie でリポジトリ設定を構成するには

  1. Macie コンソール (https://console.aws.amazon.com/macie/) を開きます。

  2. ナビゲーションペインの [Settings] (設定) の下で、[Discovery results] (検出結果) を選択します。

  3. [Repository for sensitive data discovery results] (機密データの検出結果のリポジトリ) の下で、[Create bucket] (バケットを作成する) を選択します。

  4. [Create a bucket] (バケットを作成する) ボックスで、バケットの名前を入力します。名前はすべての S3 バケットで一意である必要があります。また、名前は、小文字、数字、ドット (.)、およびハイフン (-) のみで構成できます。追加の命名要件については、Amazon Simple Storage Service ユーザーガイドの「バケットの名前付けルール」を参照してください。

  5. [Advanced (詳細)] セクションを展開します。

  6. (オプション) バケット内の場所へのパスに使用するプレフィクスを指定するには、データ検出結果プレフィックスボックスに移動するとそのように表示されます。

    値を入力すると、Macie はボックスの下の例を更新して、検出結果を保存するバケットの場所へのパスを表示します。

  7. を使用する場合すべてのパブリックアクセスをブロック、選択はい— バケットの [パブリックアクセスブロック] 設定をすべて有効にします。これらの設定の詳細については、Amazon Simple Storage Service ユーザーガイドの「Amazon S3 ストレージへのパブリックアクセスのブロック」を参照してください。

  8. []暗号化設定で、AWS KMS key結果の暗号化に使用する

    • 自分のアカウントのキーを使用するには、アカウントからキーを選択する。次に、AWS KMS keyリストで、使用するキーを選択します。リストには、アカウントの既存の対称暗号化 KMS キーが表示されます。

    • 別のアカウントが所有するキーを使用するには、別のアカウントのキーの ARN を入力します。。次に、AWS KMS keyARNボックスに、使用するキーの Amazon リソースネーム (ARN) を入力します。arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

  9. 設定の入力が完了したら、[Save] (保存) を選択します。Macie は設定をテストして、それらが正しいことを確認します。正しくない設定がある場合、Macie は問題への対処に役立つエラーメッセージを表示します。

リポジトリ設定を保存した後、Macie は過去 90 日間の既存の検出結果をリポジトリに追加します。また、Macie は、新しい検出結果をリポジトリに追加し始めます。

機密データの検出結果を、作成した特定の S3 バケットに保存する場合は、Macie でリポジトリ設定を構成する前に、バケットを作成して設定します。

バケットのオブジェクトロックを有効化した場合は、その機能のデフォルトの保持設定を無効にしてください。そうしないと、Macie は検出結果をバケットに追加できません。詳細については、Amazon Simple Storage Service ユーザーガイドの「S3 オブジェクトロックの使用」を参照してください。

次に、Macie がバケットに関する情報を取得し、バケットにオブジェクトを追加 (プット) することを許可するバケットポリシーを追加します。次に、Macie でリポジトリ設定を構成できます。

バケットにバケットポリシーを追加するには

  1. Amazon S3 コンソール (https://console.aws.amazon.com/s3/) を開きます。

  2. 検出結果を保存するバケットを選択します。

  3. [Permissions] (アクセス許可) タブを選択します。

  4. [Bucket policy] (バケットポリシー) セクションで、[Edit] (編集) を選択します。

  5. 次のポリシー例をクリップボードにコピーします。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "Allow Macie to use the GetBucketLocation operation", "Effect": "Allow", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:GetBucketLocation", "Resource": "arn:aws:s3:::myBucketName", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": [ "arn:aws:macie2:Region:111122223333:export-configuration:*", "arn:aws:macie2:Region:111122223333:classification-job/*" ] } } }, { "Sid": "Allow Macie to add objects to the bucket", "Effect": "Allow", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::myBucketName/[optional prefix/]*", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": [ "arn:aws:macie2:Region:111122223333:export-configuration:*", "arn:aws:macie2:Region:111122223333:classification-job/*" ] } } }, { "Sid": "Deny unencrypted object uploads. This is optional", "Effect": "Deny", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::myBucketName/[optional prefix/]*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption": "aws:kms" } } }, { "Sid": "Deny incorrect encryption headers. This is optional", "Effect": "Deny", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::myBucketName/[optional prefix/]*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption-aws-kms-key-id": "arn:aws:kms:Region:111122223333:key/KMSKeyId" } } }, { "Sid": "Deny non-HTTPS access", "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": "arn:aws:s3:::myBucketName/*", "Condition": { "Bool": { "aws:SecureTransport": "false" } } } ] }
  6. ポリシー例をAmazon S3 コンソールの [Bucket policy] (バケットポリシー) エディタに貼り付けます。

  7. バケットポリシーを環境に対して正しい値で更新します。

    • 不正な暗号化ヘッダーを拒否するオプションのステートメントでは、以下を行います。

      • 置換myBucketNameバケットの名前。

      • StringNotEquals条件の下で、指定されたフィールドのプレースホルダ値をAWS KMS key発見結果の暗号化に使用します。

    • 他のすべてのステートメントでは、プレースホルダーの値を置き換えます。ここで、

      • myBucketNameはバケットの名前です。

      • [Region] (リージョン) は、お客様が Macie を使用していて、Macie が検出結果をバケットに追加することを許可する AWS リージョン です。

        複数のリージョンで Macie を使用していて、追加のリージョンで Macie が結果をバケットに追加することを許可する場合は、追加のリージョンごとに aws:SourceArn 条件を追加します。例:

        "aws:SourceArn": [ "arn:aws:macie2:us-east-1:111122223333:export-configuration:*", "arn:aws:macie2:us-east-1:111122223333:classification-job/*", "arn:aws:macie2:us-west-2:111122223333:export-configuration:*", "arn:aws:macie2:us-west-2:111122223333:classification-job/*" ]

        代わりに、all (すべての) リージョンで Macie が結果をバケットに追加することを許可することもできます。これを行うには、プレースホルダーの値をワイルドカード文字 (*) に置き換えます。例:

        "aws:SourceArn": [ "arn:aws:macie2:*:111122223333:export-configuration:*", "arn:aws:macie2:*:111122223333:classification-job/*" ]
      • [111122223333] は、お客様の AWS アカウント のアカウント ID です。

    • 手動で有効化した AWS リージョン で Macie を使用している場合は、Macie サービスプリンシパルを指定するステートメントごとに、適切なリージョンコードを Service フィールドの値に追加します。たとえば、リージョンコード me-south-1 が設定されている中東 (バーレーン) リージョンで Macie を使用している場合は、該当するステートメントごとに、macie.amazonaws.commacie.me-south-1.amazonaws.com と置き換えます。

    ポリシー例には、オブジェクトをバケット (PutObject) に追加するために、バケットがあるリージョン (GetBucketLocation) を Macie が判断することを許可するステートメントが含まれていることに注意してください。これらのステートメントは、2 つの IAM グローバル条件キーを使用する条件を定義します。

    • aws:SourceAccount— この条件により、Macie がアカウントに対してのみ機密データの検出結果をバケットに追加することを許可します。これにより、Macie が他のアカウントの検出結果をバケットに追加するのを防ぎます。具体的には、条件は、aws:SourceArn 条件で指定されたリソースおよびアクションに対して、バケットを使用できるアカウントを指定します。

      バケット内の追加アカウントの結果を保存するには、追加のアカウントごとにアカウント ID をこの条件に追加します。例:

      "aws:SourceAccount": [111122223333,444455556666]
    • aws:SourceArn— この条件により、バケットに追加されるオブジェクトのソースに基づいて、バケットへのアクセスを制限します。それにより、他の AWS のサービス がオブジェクトをバケットに追加することを防ぎます。また、Macie がお客様のアカウントで他のアクションを実行中にオブジェクトをバケットに追加するのを防ぐこともできます 具体的には、その条件により、オブジェクトが機密データの検出結果である場合のみ、またその結果が条件で指定されたリージョンで、アカウントによって作成された機密データ検出ジョブのものである場合のみ、Macie がオブジェクトをバケットに追加するのを許可します。

      Macie が追加のアカウントで指定したアクションを実行することを許可するには、追加のアカウントごとに ARN をこの条件に追加します。例:

      "aws:SourceArn": [ "arn:aws:macie2:us-east-1:111122223333:export-configuration:*", "arn:aws:macie2:us-east-1:111122223333:classification-job/*", "arn:aws:macie2:us-east-1:444455556666:export-configuration:*", "arn:aws:macie2:us-east-1:444455556666:classification-job/*" ]

      aws:SourceAccountaws:SourceArn の条件によって指定されたアカウントは、一致する必要があります。

    どちらの条件も、Macie が Amazon S3 とのトランザクション中に [confused deputy] (混乱した代理) として使用されるのを防ぐのに役立ちます。お勧めしませんが、バケットポリシーからこれらの条件を削除できます。

  8. バケットポリシーの更新が完了したら、[Save changes] (変更を保存する) を選択します。

重要

Macie でリポジトリ設定を構成した後にバケットパスを変更する場合は、バケットポリシーを更新する必要があります。そうしないと、Macie は検出結果をバケットに追加することは許可されません。

Macie でリポジトリ設定を構成できるようになりました。

Macie でリポジトリ設定を構成するには

  1. Macie コンソール (https://console.aws.amazon.com/macie/) を開きます。

  2. ナビゲーションペインの [Settings] (設定) の下で、[Discovery results] (検出結果) を選択します。

  3. [Repository for sensitive data discovery results] (機密データの検出結果のリポジトリ) の下で、[Existing bucket] (既存のバケット) を選択します。

  4. [Choose a bucket] (バケットを選択する) で、検出結果を保存するバケットを選択します。

  5. (オプション) バケット内の場所へのパスプレフィックスを指定するには、アドバンストセクションに追加します。それから、データ検出結果プレフィックスの場合は、使用するプレフィクスを入力します。

    値を入力すると、Macie はボックスの下の例を更新して、検出結果を保存するバケットの場所へのパスを表示します。

  6. []暗号化設定で、AWS KMS key結果の暗号化に使用する

    • 自分のアカウントのキーを使用するには、アカウントからキーを選択する。次に、AWS KMS keyリストで、使用するキーを選択します。リストには、アカウントの既存の対称暗号化 KMS キーが表示されます。

    • 別のアカウントが所有するキーを使用するには、別のアカウントのキーの ARN を入力します。。次に、AWS KMS keyARNボックスに、使用するキーの ARN を入力します。arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

  7. 設定の入力が完了したら、[Save] (保存) を選択します。Macie は設定をテストして、それらが正しいことを確認します。正しくない設定がある場合、Macie は問題への対処に役立つエラーメッセージを表示します。

リポジトリ設定を保存した後、Macie は過去 90 日間の既存の検出結果をリポジトリに追加します。また、Macie は、新しい検出結果をリポジトリに追加し始めます。