機密データ検出結果の保存と保持 - Amazon Macie

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

機密データ検出結果の保存と保持

機密データ検出ジョブを実行するか、Amazon Macie が機密データ自動検出を実行すると、Macie は分析のスコープに含まれる各 Amazon Simple Storage Service (Amazon S3) オブジェクトの分析レコードを作成します。これらのレコードは機密データ検出結果と呼ばれ、Macie が個々の S3 オブジェクトに対して実行した分析の詳細を記録します。これには、Macie が機密データを検出しないために検出結果を生成しないオブジェクト、およびエラーや問題のために Macie が分析できないオブジェクトが含まれます。Macie がオブジェクト内の機密データを検出すると、レコードには対応する検出結果のデータと追加情報が含まれます。機密データの検出結果から、データプライバシーと保護の監査や調査に役立つ分析レコードが得られます。

Macie は機密データの検出結果を 90 日間だけ保存します。機密データの検出結果にアクセスし、それらの長期保存と保持を有効化するには、結果を S3 バケットに保存し、 AWS Key Management Service AWS KMSキーを用いて暗号化するように Macie を設定します。バケットは、機密データの検出結果のすべての最終的で長期的なリポジトリとして機能します。次に、オプションで、そのリポジトリ内の結果にアクセスしてクエリを実行できます。

このトピックでは、 AWS Management Console を使用して機密データ検出結果のリポジトリを設定するプロセスについて説明します。設定は、結果を暗号化する AWS KMS key 、結果を保存する S3 汎用バケット、使用するキーとバケットを指定する Macie 設定の組み合わせです。Macie 設定をプログラムで設定する場合は、Amazon Macie の PutClassificationExportConfigurationオペレーションを使用できますAPI。

Macie で設定を設定すると、選択は現在の AWS リージョンにのみ適用されます。お客様が組織の Macie 管理者である場合、選択はお客様のアカウントにのみ適用されます。選択は、関連付けられたメンバーアカウントには適用されません。自動機密データ検出を有効にするか、機密データ検出ジョブを実行してメンバーアカウントのデータを分析した場合、Macie は機密データ検出結果を管理者アカウントのリポジトリに保存します。

複数の で Macie を使用する場合は AWS リージョン、Macie を使用するリージョンごとにリポジトリ設定を設定します。オプションで、複数のリージョンの機密データ検出結果を同じ S3 バケットに保存できます。ただし、次の要件に注意してください。

  • 米国東部 (バージニア北部) リージョンなど AWS アカウント、 をデフォルトで AWS 有効にするリージョンの結果を保存するには、デフォルトで有効になっているリージョンでバケットを選択する必要があります。結果は、オプトインリージョン (デフォルトで無効になっているリージョン) のバケットに保存できません。

  • 中東 (バーレーン) リージョンなど、オプトインリージョンの結果を保存するには、同じリージョンまたはデフォルトで有効になっているリージョンのバケットを選択する必要があります。別のオプトインリージョンのバケットに結果を保存することはできません。

リージョンがデフォルトで有効になっているかどうかを確認するには、 AWS Account Management ユーザーガイドAWS リージョン 「 アカウントの有効または無効」を参照してください。上記の要件に加えて、Macie が個々の検出結果で報告する機密データのサンプルを取得するかどうかも検討してください。影響を受ける S3 オブジェクトから機密データサンプルを取得するには、影響を受けるオブジェクト、該当する検出結果、対応する機密データ検出結果の、すべてのリソースとデータを同じリージョンに保存する必要があります。

開始する前に: 主要な概念を学ぶ

Amazon Macie は、機密データ検出ジョブの実行時または自動機密データ検出の実行時に分析または分析を試みる各 Amazon S3 オブジェクトに対して機密データ検出結果を自動的に作成します。これには、以下が含まれます。

  • Macie が機密データを検出したオブジェクトなので、機密データの検出結果も生成されます。

  • Macie が機密データを検出しないため、機密データの検出結果も生成されないオブジェクト。

  • アクセス許可設定やサポートされていないファイルやストレージ形式の使用などのエラーや問題のため Macie が分析できないオブジェクト。

Macie が S3 オブジェクト内の機密データを検出すると、機密データの検出結果には、対応する機密データの調査結果のデータが含まれます。また、Macie がオブジェクト内で検出した機密データのタイプごとに最大 1,000 個までの出現の場所などの追加情報も提供します。例:

  • Microsoft Excel ワークブック、CSVファイル、またはTSVファイルのセルまたはフィールドの列と行番号

  • または JSON Lines ファイル内のフィールドJSONまたは配列へのパス

  • CSV、、行JSONJSON、または ファイル以外のバイナリテキストTSVファイル内の行の行番号。例: HTML、TXT、または XML ファイル

  • Adobe Portable Document Format (PDF) ファイル内のページのページ番号

  • Apache Avro オブジェクトコンテナまたは Apache Parquet ファイル内のレコードのレコードインデックスとフィールドへのパス

影響を受ける S3 オブジェクトが .tar や .zip ファイルなどのアーカイブファイルである場合、機密データ検出結果には、Macie がアーカイブから抽出した個々のファイル内の機密データの発生に関する詳細な位置データも表示されます。Macie は、アーカイブファイルの機密データの調査結果にこの情報を含めません。ロケーションデータをレポートするために、機密データ検出結果は標準化されたJSONスキーマ を使用します。

機密データの検出結果には、Macie が検出した機密データは含まれません。代わりに、監査や調査に役立つ分析レコードが提供されます。

Macie は機密データの検出結果を 90 日間保存します。Amazon Macie コンソールまたは Amazon Macie で直接アクセスすることはできませんAPI。代わりに、このトピックの手順に従って、 AWS KMS key 指定した を使用して結果を暗号化するように Macie を設定し、指定した S3 汎用バケットに結果を保存します。次に、Macie は結果を JSON Lines (.jsonl) ファイルに書き込み、ファイルを GNU Zip (.gz) ファイルとしてバケットに追加し、 SSE-KMS 暗号化を使用してデータを暗号化します。2023 年 11 月 8 日現在、Macie は結果の S3 オブジェクトにもハッシュベースのメッセージ認証コード (HMAC) で署名しています AWS KMS key。

機密データ検出の結果を S3 バケットに保存するように Macie を設定すると、バケットは、結果の最終的な長期リポジトリとして機能します。次に、オプションで、そのリポジトリ内の結果にアクセスしてクエリを実行できます。

ヒント

機密データ検出結果をクエリして使用して潜在的なデータセキュリティリスクを分析および報告する方法の詳細な説明例は、AWS Security Blog : How to query and visualize Macie sensitive data discovery results with Amazon Athena and Amazon QuickSightのブログ記事を参照してください。

機密データ検出結果の分析に使用できる Amazon Athena クエリのサンプルについては、 の Amazon Macie Results Analytics リポジトリを参照してください GitHub。このリポジトリでは、結果を取得および復号化するように Athena を設定する手順と、結果のテーブルを作成するためのスクリプトも提供します。

ステップ 1: アクセス許可を確認する

機密データの検出結果のリポジトリを設定する前に、結果を暗号化して保存するために必要なアクセス許可があることを確認します。アクセス許可を確認するには、 AWS Identity and Access Management (IAM) を使用して IAM ID にアタッチされているIAMポリシーを確認します。次にこれらのポリシー内の情報を、リポジトリを設定するために実行が許可される必要がある次のアクションのリストと比較します。

Amazon Macie

Macie の場合、次のアクションの実行が許可されていることを確認します。

macie2:PutClassificationExportConfiguration

このアクションにより、Macie のリポジトリ設定の追加または変更が許可されます。

Amazon S3

Amazon S3 の場合、次のアクションの実行が許可されていることを確認します。

  • s3:CreateBucket

  • s3:GetBucketLocation

  • s3:ListAllMyBuckets

  • s3:PutBucketAcl

  • s3:PutBucketPolicy

  • s3:PutBucketPublicAccessBlock

  • s3:PutObject

これらのアクションにより、リポジトリとして機能する S3 汎用バケットにアクセスして設定できます。

AWS KMS

Amazon Macie コンソールを使用してリポジトリ設定を追加または変更するには、次の AWS KMS アクションの実行が許可されていることを確認します。

  • kms:DescribeKey

  • kms:ListAliases

これらのアクションにより、アカウントの AWS KMS keys に関する情報を取得して表示することが許可されます。その後、これらのキーのいずれかを選択して、機密データの検出結果を暗号化できます。

データを暗号化 AWS KMS key する新しい を作成する場合は、kms:CreateKey、、kms:GetKeyPolicyおよび のアクションを実行することも許可する必要がありますkms:PutKeyPolicy

必要なアクションを実行することが許可されていない場合は、次のステップに進む前に AWS 管理者にお問い合わせください。

ステップ 2: AWS KMS keyを設定する

アクセス許可を確認したら、機密データ検出結果を暗号化するために AWS KMS key Macie で使用するものを決定します。キーは、結果を保存する S3 バケット AWS リージョン と同じ で有効になっているカスタマーマネージドの対称暗号化KMSキーである必要があります。

キーは、独自のアカウント AWS KMS key から既存の か、 AWS KMS key 別のアカウントが所有する既存の にすることができます。新しいKMSキーを使用する場合は、続行する前にキーを作成します。別のアカウントが所有する既存のキーを使用する場合は、キーの Amazon リソースネーム (ARN) を取得します。Macie でリポジトリ設定を設定するARNときに、これを入力する必要があります。KMS キーの設定の作成と確認については、AWS Key Management Service 「 デベロッパーガイド」を参照してください。

注記

キーは、外部キーストア AWS KMS key の にすることができます。ただし、そのキーは、完全に AWS KMS内で管理されるキーよりも遅く、信頼性が低くなる可能性があります。機密データの検出結果を S3 バケットキーとして使用するように設定された S3 バケットに保存することで、このリスクを軽減できます。そうすることで、機密データディスカバリーの結果を暗号化するために行う必要のある AWS KMS リクエストの数が減ります。

外部KMSキーストアでのキーの使用の詳細については、 デベロッパーガイドの「外部キーストア」を参照してください。 AWS Key Management Service S3 バケットキーの使用については、Amazon Simple Storage Service ユーザーガイドの「Amazon Amazon S3 バケットキーを使用した SSE-KMS のコスト削減」を参照してください。

Macie が使用するKMSキーを決定したら、キーを使用するアクセス許可を Macie に付与します。そうしないと、Macie はリポジトリで結果を暗号化したり保存したりすることができなくなります。Macie にキーを使用するアクセス許可を付与するには、キーのポリシーを更新します。キーポリシーとKMSキーへのアクセス管理の詳細については、「 AWS Key Management Service デベロッパーガイド」の「 のキーポリシー AWS KMS」を参照してください。

キーポリシーを更新するには
  1. AWS KMS コンソールを https://console.aws.amazon.com/kms で開きます。

  2. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクタを使用します。

  3. 機密データ検出の結果を暗号化するために Macie に使用させるキーを選択します。

  4. アクセスポリシー タブで 編集 を選択します。

  5. 次のステートメントをクリップボードにコピーし、ポリシーに追加します。

    { "Sid": "Allow Macie to use the key", "Effect": "Allow", "Principal": { "Service": "macie.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Encrypt" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": [ "arn:aws:macie2:Region:111122223333:export-configuration:*", "arn:aws:macie2:Region:111122223333:classification-job/*" ] } } }
    注記

    ステートメントをポリシーに追加するときは、構文が有効であることを確認します。ポリシーはJSON形式を使用します。またこれは、ステートメントをポリシーに追加する場所に応じて、ステートメントの前後にカンマを追加する必要があることを意味します。ステートメントを最後のステートメントとして追加する場合は、前のステートメントの中括弧の後にカンマを追加します。最初のステートメントとして追加するか、既存の 2 つのステートメントの間に追加する場合は、中括弧の後にカンマを追加します。

  6. ステートメントを環境に対して正しい値で更新します。

    • Condition フィールドで、プレースホルダーの値を置き換えます。ここで、

      • 111122223333 は、 のアカウント ID です AWS アカウント。

      • Region は、Macie AWS リージョン を使用していて、Macie にキーの使用を許可する です。

        複数のリージョンで Macie を使用していて、追加のリージョンでの Macie のキーの使用を許可する場合は、追加のリージョンごとに aws:SourceArn 条件を追加します。例:

        "aws:SourceArn": [ "arn:aws:macie2:us-east-1:111122223333:export-configuration:*", "arn:aws:macie2:us-east-1:111122223333:classification-job/*", "arn:aws:macie2:us-west-2:111122223333:export-configuration:*", "arn:aws:macie2:us-west-2:111122223333:classification-job/*" ]

        代わりに、all (すべての) リージョンで Macie のキーの使用を許可することもできます。これを行うには、プレースホルダーの値をワイルドカード文字 (*) に置き換えます。例:

        "aws:SourceArn": [ "arn:aws:macie2:*:111122223333:export-configuration:*", "arn:aws:macie2:*:111122223333:classification-job/*" ]
    • オプトインリージョンで Macie を使用している場合は、適切なリージョンコードを Service フィールドの値に追加します。例えば、リージョンコード me-south-1 が設定されている中東 (バーレーン) リージョンで Macie を使用している場合は、macie.amazonaws.commacie.me-south-1.amazonaws.com と置き換えます。Macieが現在利用可能なリージョンのリストと、それぞれのリージョンコードについては、AWS 全般のリファレンスの Amazon Macieのエンドポイントとクォータを参照してください。

    Condition フィールドでは、2 つのIAMグローバル条件キーを使用することに注意してください。

    • aws:SourceAccount – この条件により、Macie はアカウントに対してのみ指定されたアクションを実行できます。具体的には、aws:SourceArn 条件で指定されたリソースおよびアクションに対して、指定されたアクションを実行できるアカウントを決定します。

      Macie が追加のアカウントに対して指定されたアクションを実行することを許可するには、追加の各アカウントのアカウント ID をこの条件に追加します。例:

      "aws:SourceAccount": [111122223333,444455556666]
    • aws:SourceArn – この条件により、他の が指定されたアクションを実行 AWS のサービス できなくなります。また、Macie がお客様のアカウントで他のアクションを実行中にキーを使用するのを防ぐこともできます。つまり、Macie がキーを使用して S3 オブジェクトを暗号化できるのは、オブジェクトが機密データ検出結果であり、結果が指定されたリージョンの指定されたアカウントによって作成された機密データ自動検出または機密データ検出ジョブの場合のみです。

      Macie が追加のアカウントに対して指定されたアクションを実行できるようにするには、追加のアカウントARNsごとに をこの条件に追加します。例:

      "aws:SourceArn": [ "arn:aws:macie2:us-east-1:111122223333:export-configuration:*", "arn:aws:macie2:us-east-1:111122223333:classification-job/*", "arn:aws:macie2:us-east-1:444455556666:export-configuration:*", "arn:aws:macie2:us-east-1:444455556666:classification-job/*" ]

    aws:SourceAccountaws:SourceArn の条件によって指定されたアカウントは、一致する必要があります。

    これらの条件は、 でのトランザクション中に Macie が混乱した代理として使用されるのを防ぐのに役立ちます AWS KMS。お勧めしませんが、ステートメントからこれらの条件を削除できます。

  7. ステートメントの追加と更新が完了したら、変更を保存する を選択します。

ステップ 3: S3 バケットを選択する

アクセス許可を確認して を設定すると AWS KMS key、機密データ検出結果のリポジトリとして使用する S3 バケットを指定する準備が整います。これには 2 つのオプションがあります。

  • Macie が作成する新しい S3 バケットを使用する – このオプションを選択すると、Macie は検出結果 AWS リージョン 用に現在の に新しい S3 汎用バケットを自動的に作成します。また、Macie はバケットにバケットポリシーを適用します。このポリシーでは、Macie がバケットにオブジェクトを追加することを許可します。また、 SSE-KMS 暗号化を使用して、 AWS KMS key 指定した でオブジェクトを暗号化する必要があります。ポリシーを確認するには、バケットの名前と使用するKMSキーを指定した後、Amazon Macie コンソールでポリシーの表示を選択します。

  • 作成した既存の S3 バケットを使用する — 特定の S3 バケットに検出結果を保存する場合は、続行する前にバケットを作成します。バケットは汎用バケットである必要があります。さらに、バケットの設定とポリシーにより、Macie がバケットにオブジェクトを追加できるようにする必要があります。このトピックでは、チェックする設定はどれか、およびポリシーの更新方法について説明します。また、ポリシーに追加するステートメントの例も示します。

以下のセクションでは、各オプションの手順について説明します。目的のオプションのセクションを選択します。

Macie が作成した新しい S3 バケットを使用する場合は、プロセスの最後のステップは、Macie でリポジトリ設定を設定することです。

Macie でリポジトリ設定を構成するには
  1. で Amazon Macie コンソールを開きますhttps://console.aws.amazon.com/macie/

  2. ナビゲーションペインの 設定 の下で、検出結果 を選択します。

  3. 機密データの検出結果のリポジトリ の下で、バケットを作成する を選択します。

  4. バケットを作成する ボックスで、バケットの名前を入力します。

    名前はすべての S3 バケットで一意である必要があります。また、名前は、小文字、数字、ドット (.)、およびハイフン (-) のみで設定できます。追加の命名要件については、Amazon Simple Storage Service ユーザーガイドバケットの名前付けルールを参照してください。

  5. 詳細設定 セクションを展開します。

  6. (オプショナル) バケット内の場所へのパスに使用するプレフィックスを指定するには、データ検出結果のプレフィックス ボックスにプレフィックスを入力します。

    値を入力すると、Macie はボックスの下の例を更新して、検出結果を保存するバケットの場所へのパスを表示します。

  7. すべてのパブリックアクセスをブロックするはいを選ぶと、バケツに対するすべての公開ブロック設定が有効になります。

    これらの設定の詳細については、Amazon Simple Storage Service ユーザーガイドAmazon S3 ストレージへのパブリックアクセスのブロックを参照してください。

  8. [暗号化設定] で、結果を暗号化するために Macie に使用させる AWS KMS key を指定します。

    • 自分のアカウントにキーを使用するには、アカウントからキーを選択する を選択します。そして、AWS KMS key リストからユーザー名を選択します。このリストには、アカウントのカスタマー管理の対称暗号化KMSキーが表示されます。

    • 別のアカウントが所有するキーを使用するには、別のアカウント からキーARNの を入力する を選択します。次に、 AWS KMS key ARN ボックスに、使用するキーの Amazon リソースネーム (ARN) を入力します。例えば、 ですarn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

  9. 設定の入力が完了したら、保存 を選択します。

    Macie は設定をテストして、それらが正しいことを確認します。正しくない設定がある場合、Macie は問題への対処に役立つエラーメッセージを表示します。

リポジトリ設定を保存した後、Macie は過去 90 日間の既存の検出結果をリポジトリに追加します。また、Macie は、新しい検出結果をリポジトリに追加し始めます。

機密データ検出結果を、作成した特定の S3 バケットに保存する場合は、Macie で設定する前にバケットを作成して設定します。バケットを作成する際は、次の各要件に注意してください。

  • バケットは汎用バケットである必要があります。ディレクトリバケットにすることはできません。

  • バケットのObject Lockを有効化する場合は、その機能のデフォルトの保持設定を無効にする必要があります。そうしないと、Macie は検出結果をバケットに追加できません。詳細については、Amazon Simple Storage Service ユーザーガイドの「S3 Object Lock の使用」を参照してください。

  • 米国東部 (バージニア北部) リージョンなど AWS アカウント、 でデフォルトで有効になっているリージョンの検出結果を保存するには、バケットがデフォルトで有効になっているリージョンにある必要があります。結果は、オプトインリージョン (デフォルトで無効になっているリージョン) のバケットに保存できません。

  • 中東 (バーレーン) リージョンなど、オプトインリージョンについての検出の結果を保存するには、バケットは、同じリージョンまたはデフォルトで有効になっているリージョンに存在している必要があります。別のオプトインリージョンのバケットに結果を保存することはできません。

リージョンがデフォルトで有効になっているかどうかを判断するには、 AWS Account Management ユーザーガイドAWS リージョン 「 アカウントの を有効または無効にする」を参照してください。

バケットを作成したら、バケットのポリシーを更新して、Macie がバケットに関する情報を取得し、バケットにオブジェクトを追加することを許可します。その後、Macie で設定を構成できます。

バケットのバケットポリシーを更新するには
  1. で Amazon S3 コンソールを開きますhttps://console.aws.amazon.com/s3/

  2. 検出結果を保存するバケットを選択します。

  3. アクセス許可 タブを選択します。

  4. バケットポリシー セクションで、編集 を選択します。

  5. 次のポリシー例をクリップボードにコピーします。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "Allow Macie to use the GetBucketLocation operation", "Effect": "Allow", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:GetBucketLocation", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": [ "arn:aws:macie2:Region:111122223333:export-configuration:*", "arn:aws:macie2:Region:111122223333:classification-job/*" ] } } }, { "Sid": "Allow Macie to add objects to the bucket", "Effect": "Allow", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional prefix/]*", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": [ "arn:aws:macie2:Region:111122223333:export-configuration:*", "arn:aws:macie2:Region:111122223333:classification-job/*" ] } } }, { "Sid": "Deny unencrypted object uploads. This is optional", "Effect": "Deny", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional prefix/]*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption": "aws:kms" } } }, { "Sid": "Deny incorrect encryption headers. This is optional", "Effect": "Deny", "Principal": { "Service": "macie.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional prefix/]*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption-aws-kms-key-id": "arn:aws:kms:Region:111122223333:key/KMSKeyId" } } }, { "Sid": "Deny non-HTTPS access", "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*", "Condition": { "Bool": { "aws:SecureTransport": "false" } } } ] }
  6. ポリシー例をAmazon S3 コンソールの バケットポリシー エディタに貼り付けます。

  7. ポリシー例を環境に対して正しい値で更新します。

    • 不正な暗号化ヘッダーを拒否するオプションのステートメントでは、以下を行います。

      • 置換 amzn-s3-demo-bucket バケットの名前。バケット内の場所へのパスのプレフィックスも指定するには、 を置き換えます。[optional prefix/] プレフィックス付き。それ以外の場合は、[optional prefix/] プレースホルダー値。

      • StringNotEquals 条件で、 を置き換えます。arn:aws:kms:Region:111122223333:key/KMSKeyId 検出結果の暗号化 AWS KMS key に使用する の Amazon リソースネーム (ARN) 。

    • 他のすべてのステートメントでは、プレースホルダーの値を置き換えます。ここで、

      • amzn-s3-demo-bucket はバケットの名前です。

      • [optional prefix/] は、バケット内の場所へのパスのプレフィックスです。プレフィックスを指定しない場合は、このプレースホルダー値を削除します。

      • 111122223333 は、 のアカウント ID です AWS アカウント。

      • Region は、Macie を使用していて、Macie が検出結果をバケットに追加することを許可する AWS リージョン です。

        複数のリージョンで Macie を使用していて、追加のリージョンで Macie が結果をバケットに追加することを許可する場合は、追加のリージョンごとに aws:SourceArn 条件を追加します。例:

        "aws:SourceArn": [ "arn:aws:macie2:us-east-1:111122223333:export-configuration:*", "arn:aws:macie2:us-east-1:111122223333:classification-job/*", "arn:aws:macie2:us-west-2:111122223333:export-configuration:*", "arn:aws:macie2:us-west-2:111122223333:classification-job/*" ]

        代わりに、all (すべての) リージョンで Macie が結果をバケットに追加することを許可することもできます。これを行うには、プレースホルダーの値をワイルドカード文字 (*) に置き換えます。例:

        "aws:SourceArn": [ "arn:aws:macie2:*:111122223333:export-configuration:*", "arn:aws:macie2:*:111122223333:classification-job/*" ]
    • オプトインリージョンで Macie を利用している場合は、Macie サービスプリンシパルを指定するステートメントごとに、適切なリージョンコードを Service フィールドの値に追加します。例えば、リージョンコード me-south-1 が設定されている中東 (バーレーン) リージョンで Macie を使用している場合は、該当するステートメントごとに、macie.amazonaws.commacie.me-south-1.amazonaws.com と置き換えます。Macieが現在利用可能なリージョンのリストと、それぞれのリージョンコードについては、AWS 全般のリファレンスの Amazon Macieのエンドポイントとクォータを参照してください。

    ポリシー例には、Macie がバケットが存在するリージョン (GetBucketLocation) を判断したり、オブジェクトをバケット (PutObject) に追加したりすることを許可するステートメントが含まれていることに留意してください。これらのステートメントは、2 つのIAMグローバル条件キーを使用する条件を定義します。

    • aws:SourceAccount – この条件により、Macie は機密データ検出結果を アカウントのバケットにのみ追加できます。これにより、Macie が他のアカウントの検出結果をバケットに追加するのを防ぎます。具体的には、条件は、aws:SourceArn 条件で指定されたリソースおよびアクションに対して、バケットを使用できるアカウントを指定します。

      バケット内の追加アカウントの結果を保存するには、追加のアカウントごとにアカウント ID をこの条件に追加します。例:

      "aws:SourceAccount": [111122223333,444455556666]
    • aws:SourceArn – この条件は、バケットに追加されるオブジェクトのソースに基づいてバケットへのアクセスを制限します。これにより、他の AWS のサービス がバケットにオブジェクトを追加できなくなります。また、Macie がお客様のアカウントで他のアクションを実行中にオブジェクトをバケットに追加するのを防ぐこともできます より具体的には、この条件により、Macie は、オブジェクトが機密データ検出結果であり、結果が指定されたリージョンの指定されたアカウントによって作成された自動機密データ検出または機密データ検出ジョブの場合にのみ、バケットにオブジェクトを追加できます。

      Macie が追加のアカウントに対して指定されたアクションを実行できるようにするには、追加のアカウントARNsごとに をこの条件に追加します。例:

      "aws:SourceArn": [ "arn:aws:macie2:us-east-1:111122223333:export-configuration:*", "arn:aws:macie2:us-east-1:111122223333:classification-job/*", "arn:aws:macie2:us-east-1:444455556666:export-configuration:*", "arn:aws:macie2:us-east-1:444455556666:classification-job/*" ]

    aws:SourceAccountaws:SourceArn の条件によって指定されたアカウントは、一致する必要があります。

    どちらの条件も、Macie が Amazon S3 とのトランザクション中に confused deputy (混乱した代理) として使用されるのを防ぐのに役立ちます。お勧めしませんが、バケットポリシーからこれらの条件を削除できます。

  8. バケットポリシーの更新が完了したら、変更を保存する を選択します。

Macie でリポジトリ設定を設定できるようになりました。

Macie でリポジトリ設定を設定するには
  1. で Amazon Macie コンソールを開きますhttps://console.aws.amazon.com/macie/

  2. ナビゲーションペインの 設定 の下で、検出結果 を選択します。

  3. 機密データの検出結果のリポジトリ の下で、既存のバケット を選択します。

  4. バケットを選択する で、検出結果を保存するバケットを選択します。

  5. バケット内の場所へのパスのプレフィックスを指定するには、詳細セクションを展開します。次に、データ検出結果プレフィックス にプレフィックスを入力します。

    値を入力すると、Macie はボックスの下の例を更新して、検出結果を保存するバケットの場所へのパスを表示します。

  6. [暗号化設定] で、結果を暗号化するために Macie に使用させる AWS KMS key を指定します。

    • 自分のアカウントにキーを使用するには、アカウントからキーを選択する を選択します。そして、AWS KMS key リストからユーザー名を選択します。このリストには、アカウントのカスタマー管理の対称暗号化KMSキーが表示されます。

    • 別のアカウントが所有するキーを使用するには、別のアカウント からキーARNの を入力する を選択します。次に、AWS KMS key ARNボックスに、使用するキーARNの を入力します。例えば、 ですarn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

  7. 設定の入力が完了したら、保存 を選択します。

    Macie は設定をテストして、それらが正しいことを確認します。正しくない設定がある場合、Macie は問題への対処に役立つエラーメッセージを表示します。

リポジトリ設定を保存した後、Macie は過去 90 日間の既存の検出結果をリポジトリに追加します。また、Macie は、新しい検出結果をリポジトリに追加し始めます。

注記

その後に [データ検出の結果のプレフィックス] の設定を変更する場合は、Amazon S3 のバケットポリシーも更新します。前のプレフィックスを指定するポリシーステートメントは、新しいプレフィックスを指定する必要があります。指定しない場合、Macie は検出の結果をバケットに追加することが許可されません。

ヒント

サーバー側の暗号化コストを削減するには、S3 バケットキーを使用するように S3 バケットを設定し、機密データ検出結果の暗号化用に AWS KMS key 設定した を指定します。S3 バケットキーを使用すると、 への呼び出し回数が減少し AWS KMS、 AWS KMS リクエストコストを削減できます。KMS キーが外部キーストアにある場合、S3 バケットキーを使用すると、キーの使用によるパフォーマンスへの影響を最小限に抑えることもできます。詳細については、Amazon S3 バケットキーを使用した SSE-KMS のコスト削減」を参照してください。