Amazon Macie での機密データ検出結果の保存と保持 - Amazon Macie

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Macie での機密データ検出結果の保存と保持

機密データ検出ジョブを実行するか、Amazon Macie が機密データ自動検出を実行すると、Macie は分析のスコープに含まれる各 Amazon Simple Storage Service (Amazon S3) オブジェクトの分析レコードを作成します。これらのレコードは機密データ検出結果と呼ばれ、Macie が個々の S3 オブジェクトに対して実行した分析の詳細を記録します。これには、Macie が機密データを検出しないために検出結果を生成しないオブジェクト、およびエラーや問題のために Macie が分析できないオブジェクトが含まれます。Macie がオブジェクト内の機密データを検出すると、レコードには対応する検出結果のデータと追加情報が含まれます。機密データの検出結果から、データプライバシーと保護の監査や調査に役立つ分析レコードが得られます。

Macie は機密データの検出結果を 90 日間だけ保存します。機密データの検出結果にアクセスし、それらの長期保存と保持を有効化するには、結果を S3 バケットに保存し、 AWS Key Management Service AWS KMSキーを用いて暗号化するように Macie を設定します。バケットは、機密データの検出結果のすべての最終的で長期的なリポジトリとして機能します。次に、オプションで、そのリポジトリ内の結果にアクセスしてクエリを実行できます。

このトピックでは、 を使用して機密データ検出結果のリポジトリ AWS Management Console を設定するプロセスについて説明します。設定は、結果を暗号化する 、結果を保存する S3 汎用バケット、使用するキーとバケットを示す Macie 設定の組み合わせ AWS KMS key です。Macie 設定をプログラムで設定する場合は、Amazon Macie API の PutClassificationExportConfigurationオペレーションを使用できます。

Macie で設定を設定すると、選択は現在の AWS リージョンにのみ適用されます。お客様が組織の Macie 管理者である場合、選択はお客様のアカウントにのみ適用されます。選択は、関連付けられたメンバーアカウントには適用されません。

複数の で Macie を使用する場合は AWS リージョン、Macie を使用するリージョンごとにリポジトリ設定を構成します。オプションで、複数のリージョンの機密データ検出結果を同じ S3 バケットに保存できます。ただし、次の要件に注意してください。

  • 米国東部 (バージニア北部) リージョンなど AWS アカウント、 で をデフォルトで AWS 有効にするリージョンの結果を保存するには、デフォルトで有効になっているリージョンのバケットを選択する必要があります。結果は、オプトインリージョン (デフォルトで無効になっているリージョン) のバケットに保存できません。

  • 中東 (バーレーン) リージョンなど、オプトインリージョンの結果を保存するには、同じリージョンまたはデフォルトで有効になっているリージョンのバケットを選択する必要があります。別のオプトインリージョンのバケットに結果を保存することはできません。

リージョンがデフォルトで有効になっているかを確認するには、「AWS Identity and Access Management ユーザーガイド」の「リージョンとエンドポイント」を参照してください。上記の要件に加えて、Macie が個々の検出結果で報告する機密データのサンプルを取得するかどうかも検討してください。影響を受けた S3 オブジェクトから機密データのサンプルを取得するには、影響を受けたオブジェクト、該当する検出結果、対応する機密データ検出結果のリソースとデータを同じリージョンに保存する必要があります。

概要

Amazon Macie は、ユーザーが機密データ検出ジョブを実行したとき、または Macie がアカウントまたは組織の機密データ自動検出を実行したときに、分析したり、分析を試みたりする Amazon S3 オブジェクトごとに機密データ検出の結果を自動的に作成します。これには、以下が含まれます。

  • Macie が機密データを検出したオブジェクトなので、機密データの検出結果も生成されます。

  • Macie が機密データを検出しないため、機密データの検出結果も生成されないオブジェクト。

  • アクセス許可設定やサポートされていないファイルやストレージ形式の使用などのエラーや問題のため Macie が分析できないオブジェクト。

Macie が S3 オブジェクト内の機密データを検出すると、機密データの検出結果には、対応する機密データの調査結果のデータが含まれます。また、Macie がオブジェクト内で検出した機密データのタイプごとに最大 1,000 個までの出現の場所などの追加情報も提供します。例:

  • Microsoft Excel ワークブック、CSV ファイル、または TSV ファイル内のセルまたはフィールドの列番号と行番号

  • JSON または JSON Lines ファイル内のフィールドまたは配列へのパス

  • CSV、JSON、JSON Lines、または TSV ファイル以外の非バイナリテキストファイル (HTML、TXT、XML ファイルなど) 内の行の行番号

  • Adobe Portable Document Format (PDF) ファイル内のページのページ番号

  • Apache Avro オブジェクトコンテナまたは Apache Parquet ファイル内のレコードのレコードインデックスとフィールドへのパス

影響を受けた S3 オブジェクトが .tar ファイルや .zip ファイルなどのアーカイブファイルの場合、機密データの検出結果では、Macie がアーカイブから抽出する個別のファイル内の機密データの出現に関する詳細な場所データも提供されます。Macie は、アーカイブファイルの機密データの調査結果にこの情報を含めません。位置データを報告するために、機密データ検出結果は標準化された JSON スキーマを使用します。

機密データの検出結果には、Macie が検出した機密データは含まれません。代わりに、監査や調査に役立つ分析レコードが提供されます。

Macie は機密データの検出結果を 90 日間保存します。Amazon Macie コンソールまたは Amazon Macie API でそれらに直接アクセスすることはできません。代わりに、このトピックの手順に従って、指定した で結果を暗号化し、 AWS KMS key 指定した S3 汎用バケットに結果を保存するように Macie を設定します。その後、Macie は結果を JSON Lines (.jsonl) ファイルに書き込み、そのファイルを GNU Zip (.gz) ファイルとしてバケットに追加し、SSE-KMS 暗号化を使用してデータを暗号化します。2023 年 11 月 8 日現在、Macie は結果の S3 オブジェクトにハッシュベースのメッセージ認証コード (HMAC) で署名します AWS KMS key。

機密データ検出の結果を S3 バケットに保存するように Macie を設定すると、バケットは、結果の最終的な長期リポジトリとして機能します。次に、オプションで、そのリポジトリ内の結果にアクセスしてクエリを実行できます。

ヒント

機密データ検出結果をクエリして使用して潜在的なデータセキュリティリスクを分析およびレポートする方法の詳細な説明例については、 セキュリティブログのAmazon Athena と Amazon で Macie 機密データ検出結果をクエリおよび視覚化する方法 QuickSightAWS 」ブログ記事を参照してください。

機密データ検出結果の分析に使用できる Amazon Athena クエリのサンプルについては、 の Amazon Macie 結果分析リポジトリを参照してください GitHub。このリポジトリでは、結果を取得および復号化するように Athena を設定する手順と、結果のテーブルを作成するためのスクリプトも提供します。

ステップ 1: アクセス許可を確認する

機密データの検出結果のリポジトリを設定する前に、結果を暗号化して保存するために必要なアクセス許可があることを確認します。アクセス許可を確認するには、 AWS Identity and Access Management (IAM) を使用して、IAM ID にアタッチされている IAM ポリシーを確認します。次にこれらのポリシー内の情報を、リポジトリを設定するために実行が許可される必要がある次のアクションのリストと比較します。

Amazon Macie

Macie の場合、次のアクションの実行が許可されていることを確認します。

macie2:PutClassificationExportConfiguration

このアクションにより、Macie のリポジトリ設定の追加または変更が許可されます。

Amazon S3

Amazon S3 の場合、次のアクションの実行が許可されていることを確認します。

  • s3:CreateBucket

  • s3:GetBucketLocation

  • s3:ListAllMyBuckets

  • s3:PutBucketAcl

  • s3:PutBucketPolicy

  • s3:PutBucketPublicAccessBlock

  • s3:PutObject

これらのアクションにより、リポジトリとして機能する S3 汎用バケットにアクセスして設定できます。

AWS KMS

Amazon Macie コンソールを使用してリポジトリ設定を追加または変更するには、次の AWS KMS アクションの実行が許可されていることを確認します。

  • kms:DescribeKey

  • kms:ListAliases

これらのアクションにより、アカウントの AWS KMS keys に関する情報を取得して表示することが許可されます。その後、これらのキーのいずれかを選択して、機密データの検出結果を暗号化できます。

データを暗号化 AWS KMS key するために新しい を作成する場合は、kms:CreateKey、、kms:GetKeyPolicyおよび のアクションを実行することも許可する必要がありますkms:PutKeyPolicy

必要なアクションを実行することが許可されていない場合は、次のステップに進む前に AWS 管理者にサポートを依頼してください。

ステップ 2: AWS KMS keyを設定する

アクセス許可を確認したら、Macie AWS KMS key が機密データ検出結果を暗号化するために使用するものを決定します。キーは、結果を保存する S3 バケット AWS リージョン と同じ で有効になっている、カスタマー管理の対称暗号化 KMS キーである必要があります。

キーは、自分のアカウント AWS KMS key から既存の でも、別のアカウント AWS KMS key が所有する既存の でもかまいません。新しい KMS キーを使用する場合は、先に進む前にキーを作成します。別のアカウントが所有する既存のキーを使用する場合、キーの Amazon リソースネーム (ARN) を取得します。Macie でリポジトリ設定を設定するときに、この ARN を入力する必要があります。KMS キーの作成と設定の見直しについては、AWS Key Management Service デベロッパーガイドのキーの管理を参照してください。

注記

キーは、外部キーストア AWS KMS key の にすることができます。ただし、そのキーは、完全に AWS KMS内で管理されるキーよりも遅く、信頼性が低くなる可能性があります。機密データの検出結果を S3 バケットキーとして使用するように設定された S3 バケットに保存することで、このリスクを軽減できます。そうすることで、機密データディスカバリーの結果を暗号化するために行う必要のある AWS KMS リクエストの数が減ります。

外部キーストアで KMS キーを使用する方法については、AWS Key Management Service デベロッパーガイドの外部キーストアを参照してください。S3 バケットキー使用の詳細については、Amazon Simple Storage Service ユーザーガイドの、Amazon S3 バケットキーを使用した SSE-KMS のコストの削減を参照してください。

Macie が使用する KMS キーを決定した後、Macie にそのキーを使用するアクセス許可を付与します。そうしないと、Macie はリポジトリで結果を暗号化したり保存したりすることができなくなります。Macie にキーを使用するアクセス許可を付与するには、キーのポリシーを更新します。キーポリシーと KMS キーへのアクセス管理の詳細については、AWS Key Management Service デベロッパーガイドの AWS KMSのキーポリシーを参照してください。

キーポリシーを更新するには
  1. https://console.aws.amazon.com/kms で AWS KMS コンソールを開きます。

  2. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクタを使用します。

  3. 機密データ検出の結果を暗号化するために Macie に使用させるキーを選択します。

  4. アクセスポリシー タブで 編集 を選択します。

  5. 次のステートメントをクリップボードにコピーし、次にそれをポリシーに追加します。

    { "Sid": "Allow Macie to use the key", "Effect": "Allow", "Principal": { "Service": "macie.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Encrypt" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": [ "arn:aws:macie2:Region:111122223333:export-configuration:*", "arn:aws:macie2:Region:111122223333:classification-job/*" ] } } }

    ステートメントを追加するときは、構文が有効であることを確認します。ポリシーは JSON 形式を使用します。またこれは、ステートメントをポリシーに追加する場所に応じて、ステートメントの前後にカンマを追加する必要があることを意味します。ステートメントを最後のステートメントとして追加する場合は、前のステートメントの中括弧の後にカンマを追加します。最初のステートメントとして追加するか、既存の 2 つのステートメントの間に追加する場合は、中括弧の後にカンマを追加します。

  6. ステートメントを環境に対して正しい値で更新します。

    • Condition フィールドで、プレースホルダーの値を置き換えます。ここで、

      • 111122223333 は、お客様の AWS アカウントのアカウント ID です。

      • リージョンは、Macie AWS リージョン を使用していて、Macie にキーの使用を許可する です。

        複数のリージョンで Macie を使用していて、追加のリージョンでの Macie のキーの使用を許可する場合は、追加のリージョンごとに aws:SourceArn 条件を追加します。例:

        "aws:SourceArn": [ "arn:aws:macie2:us-east-1:111122223333:export-configuration:*", "arn:aws:macie2:us-east-1:111122223333:classification-job/*", "arn:aws:macie2:us-west-2:111122223333:export-configuration:*", "arn:aws:macie2:us-west-2:111122223333:classification-job/*" ]

        代わりに、all (すべての) リージョンで Macie のキーの使用を許可することもできます。これを行うには、プレースホルダーの値をワイルドカード文字 (*) に置き換えます。例:

        "aws:SourceArn": [ "arn:aws:macie2:*:111122223333:export-configuration:*", "arn:aws:macie2:*:111122223333:classification-job/*" ]
    • オプトインリージョンで Macie を使用している場合は、適切なリージョンコードを Service フィールドの値に追加します。たとえば、リージョンコード me-south-1 が設定されている中東 (バーレーン) リージョンで Macie を使用している場合は、macie.amazonaws.commacie.me-south-1.amazonaws.com と置き換えます。Macieが現在利用可能なリージョンのリストと、それぞれのリージョンコードについては、AWS 全般のリファレンスの Amazon Macieのエンドポイントとクォータを参照してください。

    Condition フィールドでは、2 つの IAM グローバル条件キーを使用することに注意してください。。

    • aws:SourceAccount – この条件により、Macie はお客様のアカウントに対してのみ指定されたアクションを実行できます。具体的には、aws:SourceArn 条件で指定されたリソースおよびアクションに対して、指定されたアクションを実行できるアカウントを決定します。

      Macie が追加のアカウントに対して指定されたアクションを実行することを許可するには、追加の各アカウントのアカウント ID をこの条件に追加します。例:

      "aws:SourceAccount": [111122223333,444455556666]
    • aws:SourceArn – この条件は、他の AWS のサービス が指定されたアクションを実行できないようにします。また、Macie がお客様のアカウントで他のアクションを実行中にキーを使用するのを防ぐこともできます。つまり、オブジェクトが機密データ検出の結果であり、それらの結果が自動機密データ検出または指定されたリージョンの指定されたアカウントによって作成された機密データ検出ジョブについてのものである場合にのみ、Macie がキーを使用して S3 オブジェクトを暗号化することが許可されます。

      Macie が追加のアカウントで指定したアクションを実行することを許可するには、追加のアカウントごとに ARN をこの条件に追加します。例:

      "aws:SourceArn": [ "arn:aws:macie2:us-east-1:111122223333:export-configuration:*", "arn:aws:macie2:us-east-1:111122223333:classification-job/*", "arn:aws:macie2:us-east-1:444455556666:export-configuration:*", "arn:aws:macie2:us-east-1:444455556666:classification-job/*" ]

    aws:SourceAccountaws:SourceArn の条件によって指定されたアカウントは、一致する必要があります。

    これらの条件は、 とのトランザクション中に Macie が混乱した代理として使用されるのを防ぐのに役立ちます AWS KMS。お勧めしませんが、ステートメントからこれらの条件を削除できます。

  7. ステートメントの追加と更新が完了したら、変更を保存する を選択します。

ステップ 3: S3 バケットを選択する

アクセス許可を確認して を設定したら AWS KMS key、機密データ検出結果のリポジトリとして使用する S3 バケットを指定する準備が整います。これには 2 つのオプションがあります。

  • Macie が作成する新しい S3 バケットを使用する – このオプションを選択すると、Macie は検出結果 AWS リージョン 用に現在の に新しい S3 汎用バケットを自動的に作成します。また、Macie はバケットにバケットポリシーを適用します。このポリシーでは、Macie がバケットにオブジェクトを追加することを許可します。また、SSE-KMS 暗号化を使用して、指定した AWS KMS key でオブジェクトを暗号化する必要もあります。ポリシーを確認するには、バケットの名前と使用する KMS キーを指定した後、Amazon Macie コンソールで [ポリシーを表示] を選択します。

  • 作成した既存の S3 バケットを使用する — 特定の S3 バケットに検出結果を保存する場合は、続行する前にバケットを作成します。バケットは汎用バケットである必要があります。さらに、バケットの設定とポリシーは、Macie がバケットにオブジェクトを追加することを許可する必要があります。このトピックでは、チェックする設定はどれか、およびポリシーの更新方法について説明します。また、ポリシーに追加するステートメントの例も示します。

以下のセクションでは、各オプションの手順について説明します。目的のオプションのセクションを選択します。

Macie が作成した新しい S3 バケットを使用する場合は、プロセスの最後のステップは、Macie でリポジトリ設定を設定することです。

Macie でリポジトリ設定を設定するには
  1. Amazon Macie コンソール (https://console.aws.amazon.com/macie/) を開きます。

  2. ナビゲーションペインの 設定 の下で、検出結果 を選択します。

  3. 機密データの検出結果のリポジトリ の下で、バケットを作成する を選択します。

  4. バケットを作成する ボックスで、バケットの名前を入力します。

    名前はすべての S3 バケットで一意である必要があります。また、名前は、小文字、数字、ドット (.)、およびハイフン (-) のみで設定できます。追加の命名要件については、Amazon Simple Storage Service ユーザーガイドバケットの名前付けルールを参照してください。

  5. 詳細設定 セクションを展開します。

  6. (オプショナル) バケット内の場所へのパスに使用するプレフィックスを指定するには、データ検出結果のプレフィックス ボックスにプレフィックスを入力します。

    値を入力すると、Macie はボックスの下の例を更新して、検出結果を保存するバケットの場所へのパスを表示します。

  7. すべてのパブリックアクセスをブロックするはいを選ぶと、バケツに対するすべての公開ブロック設定が有効になります。

    これらの設定の詳細については、Amazon Simple Storage Service ユーザーガイドAmazon S3 ストレージへのパブリックアクセスのブロックを参照してください。

  8. [暗号化設定] で、結果を暗号化するために Macie に使用させる AWS KMS key を指定します。

    • 自分のアカウントにキーを使用するには、アカウントからキーを選択する を選択します。そして、AWS KMS keyリストからユーザー名を選択します。リストには、お客様のアカウントの、お客様が管理する対称暗号化 KMS キーが表示されます。

    • 別のアカウントが所有し、使用が許可されているキーを使用するには、別のアカウントのキーの ARN を入力する を選択します。次に、AWS KMS key ARN ボックスに、使用するキーの Amazon リソースネーム (ARN) を入力します。例えば、arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

  9. 設定の入力が完了したら、保存 を選択します。

    Macie は設定をテストして、それらが正しいことを確認します。正しくない設定がある場合、Macie は問題への対処に役立つエラーメッセージを表示します。

リポジトリ設定を保存した後、Macie は過去 90 日間の既存の検出結果をリポジトリに追加します。また、Macie は、新しい検出結果をリポジトリに追加し始めます。

機密データの検出結果を、作成した特定の S3 バケットに保存する場合は、Macie でリポジトリ設定を設定する前に、バケットを作成して設定します。バケットを作成する際は、次の各要件に注意してください。

  • バケットは汎用バケットである必要があります。ディレクトリバケットにすることはできません。

  • バケットのObject Lockを有効化する場合は、その機能のデフォルトの保持設定を無効にする必要があります。そうしないと、Macie は検出結果をバケットに追加できません。詳細については、Amazon Simple Storage Service ユーザーガイドの「S3 Object Lock の使用」を参照してください。

  • 米国東部 (バージニア北部) リージョンなど AWS アカウント、 でデフォルトで有効になっているリージョンの検出結果を保存するには、バケットがデフォルトで有効になっているリージョンにある必要があります。結果は、オプトインリージョン (デフォルトで無効になっているリージョン) のバケットに保存できません。

  • 中東 (バーレーン) リージョンなど、オプトインリージョンについての検出の結果を保存するには、バケットは、同じリージョンまたはデフォルトで有効になっているリージョンに存在している必要があります。別のオプトインリージョンのバケットに結果を保存することはできません。

リージョンがデフォルトで有効になっているかを確認するには、「AWS Identity and Access Management ユーザーガイド」の「リージョンとエンドポイント」を参照してください。

バケットを作成したら、バケットのポリシーを更新して、Macie がバケットに関する情報を取得し、バケットにオブジェクトを追加することを許可します。次に、Macie でリポジトリ設定を設定できます。

バケットのバケットポリシーを更新するには
  1. https://console.aws.amazon.com/s3/でAmazon S3 コンソールを開きます。

  2. 検出結果を保存するバケットを選択します。

  3. アクセス許可 タブを選択します。

  4. バケットポリシー セクションで、編集 を選択します。

  5. 次のポリシー例をクリップボードにコピーします。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "Allow Macie to use the GetBucketLocation operation", "Effect": "Allow", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:GetBucketLocation", "Resource": "arn:aws:s3:::myBucketName", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": [ "arn:aws:macie2:Region:111122223333:export-configuration:*", "arn:aws:macie2:Region:111122223333:classification-job/*" ] } } }, { "Sid": "Allow Macie to add objects to the bucket", "Effect": "Allow", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::myBucketName/[optional prefix/]*", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": [ "arn:aws:macie2:Region:111122223333:export-configuration:*", "arn:aws:macie2:Region:111122223333:classification-job/*" ] } } }, { "Sid": "Deny unencrypted object uploads. This is optional", "Effect": "Deny", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::myBucketName/[optional prefix/]*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption": "aws:kms" } } }, { "Sid": "Deny incorrect encryption headers. This is optional", "Effect": "Deny", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::myBucketName/[optional prefix/]*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption-aws-kms-key-id": "arn:aws:kms:Region:111122223333:key/KMSKeyId" } } }, { "Sid": "Deny non-HTTPS access", "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": "arn:aws:s3:::myBucketName/*", "Condition": { "Bool": { "aws:SecureTransport": "false" } } } ] }
  6. ポリシー例をAmazon S3 コンソールの バケットポリシー エディタに貼り付けます。

  7. ポリシー例を環境に対して正しい値で更新します。

    • 不正な暗号化ヘッダーを拒否するオプションのステートメントでは、以下を行います。

      • をバケットの名前myBucketNameに置き換えます。

      • StringNotEquals 条件では、arn:aws:kms:Region:111122223333:key/KMSKeyId を、検出結果の暗号化 AWS KMS key に使用する の Amazon リソースネーム (ARN) に置き換えます。

    • 他のすべてのステートメントでは、プレースホルダーの値を置き換えます。ここで、

      • myBucketName はバケットの名前です。

      • 111122223333 は、お客様の AWS アカウントのアカウント ID です。

      • リージョン は、お客様が Macie を使用していて、Macie が検出結果をバケットに追加することを許可する AWS リージョン です。

        複数のリージョンで Macie を使用していて、追加のリージョンで Macie が結果をバケットに追加することを許可する場合は、追加のリージョンごとに aws:SourceArn 条件を追加します。例:

        "aws:SourceArn": [ "arn:aws:macie2:us-east-1:111122223333:export-configuration:*", "arn:aws:macie2:us-east-1:111122223333:classification-job/*", "arn:aws:macie2:us-west-2:111122223333:export-configuration:*", "arn:aws:macie2:us-west-2:111122223333:classification-job/*" ]

        代わりに、all (すべての) リージョンで Macie が結果をバケットに追加することを許可することもできます。これを行うには、プレースホルダーの値をワイルドカード文字 (*) に置き換えます。例:

        "aws:SourceArn": [ "arn:aws:macie2:*:111122223333:export-configuration:*", "arn:aws:macie2:*:111122223333:classification-job/*" ]
    • オプトインリージョンで Macie を利用している場合は、Macie サービスプリンシパルを指定するステートメントごとに、適切なリージョンコードを Service フィールドの値に追加します。たとえば、リージョンコード me-south-1 が設定されている中東 (バーレーン) リージョンで Macie を使用している場合は、該当するステートメントごとに、macie.amazonaws.commacie.me-south-1.amazonaws.com と置き換えます。Macieが現在利用可能なリージョンのリストと、それぞれのリージョンコードについては、AWS 全般のリファレンスの Amazon Macieのエンドポイントとクォータを参照してください。

    ポリシー例には、Macie がバケットが存在するリージョン (GetBucketLocation) を判断したり、オブジェクトをバケット (PutObject) に追加したりすることを許可するステートメントが含まれていることに留意してください。これらのステートメントは、2 つの IAM グローバル条件キーを使用する条件を定義します。

    • aws:SourceAccount – この条件により、Macie は機密データの検出結果をアカウントのバケットにのみ追加できます。これにより、Macie が他のアカウントの検出結果をバケットに追加するのを防ぎます。具体的には、条件は、aws:SourceArn 条件で指定されたリソースおよびアクションに対して、バケットを使用できるアカウントを指定します。

      バケット内の追加アカウントの結果を保存するには、追加のアカウントごとにアカウント ID をこの条件に追加します。例:

      "aws:SourceAccount": [111122223333,444455556666]
    • aws:SourceArn – この条件は、バケットに追加されるオブジェクトのソースに基づいてバケットへのアクセスを制限します。これにより、他の AWS のサービス がバケットにオブジェクトを追加できなくなります。また、Macie がお客様のアカウントで他のアクションを実行中にオブジェクトをバケットに追加するのを防ぐこともできます より具体的には、この条件により、オブジェクトが機密データ検出の結果であり、それらの結果が自動機密データ検出または指定されたリージョンの指定されたアカウントによって作成された機密データ検出ジョブについてのものである場合にのみ、Macie がオブジェクトをバケットに追加することが許可されます。

      Macie が追加のアカウントで指定したアクションを実行することを許可するには、追加のアカウントごとに ARN をこの条件に追加します。例:

      "aws:SourceArn": [ "arn:aws:macie2:us-east-1:111122223333:export-configuration:*", "arn:aws:macie2:us-east-1:111122223333:classification-job/*", "arn:aws:macie2:us-east-1:444455556666:export-configuration:*", "arn:aws:macie2:us-east-1:444455556666:classification-job/*" ]

    aws:SourceAccountaws:SourceArn の条件によって指定されたアカウントは、一致する必要があります。

    どちらの条件も、Macie が Amazon S3 とのトランザクション中に confused deputy (混乱した代理) として使用されるのを防ぐのに役立ちます。お勧めしませんが、バケットポリシーからこれらの条件を削除できます。

  8. バケットポリシーの更新が完了したら、変更を保存する を選択します。

Macie でリポジトリ設定を設定できるようになりました。

Macie でリポジトリ設定を設定するには
  1. Amazon Macie コンソール (https://console.aws.amazon.com/macie/) を開きます。

  2. ナビゲーションペインの 設定 の下で、検出結果 を選択します。

  3. 機密データの検出結果のリポジトリ の下で、既存のバケット を選択します。

  4. バケットを選択する で、検出結果を保存するバケットを選択します。

  5. (オプショナル) バケット内の場所へのパスに使用するパスプレフィックスを指定するには、詳細設定 セクションを展開します。次に、データ検出結果プレフィックス で、使用するパスのプレフィクスを入力します。

    値を入力すると、Macie はボックスの下の例を更新して、検出結果を保存するバケットの場所へのパスを表示します。

  6. [暗号化設定] で、結果を暗号化するために Macie に使用させる AWS KMS key を指定します。

    • 自分のアカウントにキーを使用するには、アカウントからキーを選択する を選択します。そして、AWS KMS keyリストからユーザー名を選択します。リストには、お客様のアカウントの、お客様が管理する対称暗号化 KMS キーが表示されます。

    • 別のアカウントが所有し、使用が許可されているキーを使用するには、別のアカウントのキーの ARN を入力する を選択します。次に、AWS KMS key ARN ボックスに、使用するキーの ARN を入力します。例えば、arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

  7. 設定の入力が完了したら、保存 を選択します。

    Macie は設定をテストして、それらが正しいことを確認します。正しくない設定がある場合、Macie は問題への対処に役立つエラーメッセージを表示します。

リポジトリ設定を保存した後、Macie は過去 90 日間の既存の検出結果をリポジトリに追加します。また、Macie は、新しい検出結果をリポジトリに追加し始めます。

注記

その後に [データ検出の結果のプレフィックス] の設定を変更する場合は、Amazon S3 のバケットポリシーも更新します。以前のパスを指定するポリシーステートメントでは、新しいパスを指定する必要があります。指定しない場合、Macie は検出の結果をバケットに追加することが許可されません。

ヒント

サーバー側の暗号化コストを削減するには、S3 バケットキーを使用するように S3 バケットを設定し、機密データ検出結果の暗号化用に AWS KMS key 設定した も指定します。S3 バケットキーを使用すると、 への呼び出し回数が減り AWS KMS、 AWS KMS リクエストコストが削減されます。KMS キーが外部キーストアにある場合は、S3 バケットキーを使用することでキーの使用によるパフォーマンスへの影響を最小限に抑えることができます。詳細については、Amazon Simple Storage Service ユーザーガイドのAmazon S3 バケットキーを使用した SSE-KMS のコストの削減を参照してください。