検出結果の機密データサンプルを取得するように Macie を設定する

オプションで Amazon Macie を設定して使用し、Macie が個々の機密データ検出結果で報告する機密データのサンプルを取得して公開することができます。サンプルは、Macie が検出した機密データの性質を確認するのに役立ちます。また、影響を受ける Amazon Simple Storage Service (Amazon S3) オブジェクトとバケットの調査を調整するのにも役立ちます。アジアパシフィック (大阪) およびイスラエル (テルアビブ) リージョンを除く AWS リージョン Macie が現在利用可能なすべての で、機密データのサンプルを取得して公開できます。

検出結果の機密データのサンプルを取得して公開すると、Macie は対応する機密データの検出結果のデータを使用して、影響を受ける S3 オブジェクト内の機密データの出現を見つけます。次に、Macie は該当オブジェクトからそれらの出現のサンプルを抽出します。Macie は、抽出されたデータを指定した AWS Key Management Service （AWS KMS) キーで暗号化し、暗号化されたデータをキャッシュに一時的に保存し、検出結果の結果にデータを返します。Macie は、運用上の問題を解決するために一時的に追加の保存が必要になった場合を除き、抽出と暗号化の直後に、データをキャッシュから完全に削除します。

検出結果についての機密データのサンプルを取得して公開するには、まず Macie アカウントの設定を構成し、有効にする必要があります。また、アカウントのためにサポートリソースと許可を設定する必要があります。このセクションのトピックでは、機密データのサンプルを取得して公開するように Macie を設定し、アカウントの設定ステータスを管理するプロセスについて説明します。

ヒント

この機能へのアクセスを制御するために使用できる推奨事項とポリシーの例については、AWS セキュリティブログのAmazon Macie を使用して S3 バケット内の機密データをプレビューする方法ブログ投稿を参照してください。

開始する前に

検出結果についての機密データのサンプルを取得して公開するように Amazon Macie を設定する前に、必要なリソースと許可を確実に備えているようにするために次のタスクを完了します。

タスク

• ステップ 1: 機密データ検出の結果のリポジトリを設定する
• ステップ 2: 対象の S3 オブジェクトにアクセスする方法を決定する
• ステップ 3: AWS KMS keyを設定する
• ステップ 4: 許可を確認する

機密データのサンプルを取得して公開するように Macie を既に設定しており、構成設定のみを変更したい場合、これらのタスクはオプションです。

ステップ 1: 機密データ検出の結果のリポジトリを設定する

検出結果の機密データのサンプルを取得して公開すると、Macie は対応する機密データの検出結果のデータを使用して、影響を受ける S3 オブジェクト内の機密データの出現を見つけます。そのため、機密データ検出の結果用のリポジトリを設定していることを確認することが重要です。そうしないと、Macie は、取得して公開したい機密データのサンプルを見つけることができません。

アカウントのためにこのリポジトリを設定済みであるかどうかを確認するには、Amazon Macie コンソールを使用します。ナビゲーションペインで [検出の結果] ([設定] の下にあります) を選択します。プログラムでこれを行うには、Amazon Macie の GetClassificationExportConfigurationオペレーションを使用しますAPI。機密データ検出の結果とこのリポジトリの設定方法の詳細については、「機密データ検出結果の保存と保持」を参照してください。

ステップ 2: 対象の S3 オブジェクトにアクセスする方法を決定する

対象の S3 オブジェクトにアクセスし、そこから機密データのサンプルを取得するには、2 つのオプションがあります。 AWS Identity and Access Management （IAM) ユーザー認証情報を使用するように Macie を設定できます。または、Macie へのアクセスを委任する IAMロールを引き受けるように Macie を設定することもできます。いずれの設定も、組織のために委任された Macie 管理者アカウント、組織内の Macie メンバーアカウント、スタンドアロン Macie アカウントなど、あらゆるタイプの Macie アカウントで使用できます。Macie で設定を構成する前に、使用するアクセスメソッドを決定します。各メソッドのオプションと要件の詳細については、「サンプルを取得するための設定オプション」を参照してください。

IAM ロールを使用する予定がある場合は、Macie で設定する前にロールを作成して設定します。また、ロールの信頼ポリシーと許可ポリシーが、Macie がロールを引き受けるためのすべての要件を満たしているようにしてください。アカウントが複数の Macie アカウントを一元的に管理する組織に属している場合は、まず Macie 管理者と協力して、アカウントのためにロールを設定するかどうか、またその設定方法を決定します。

ステップ 3: を設定する AWS KMS key

検出結果の機密データのサンプルを取得して公開すると、Macie は指定した AWS Key Management Service （AWS KMS) キーを使用してサンプルを暗号化します。そのため、サンプルを暗号化するために使用する AWS KMS key を決定する必要があります。キーは、自分のアカウントからの既存のKMSキーでも、別のアカウントが所有する既存のKMSキーでもかまいません。別のアカウントが所有するキーを使用する場合は、キーの Amazon リソースネーム (ARN) を取得します。Macie で構成設定を入力するARNときに、これを指定する必要があります。

KMS キーは、カスタマー管理の対称暗号化キーである必要があります。また、Macie アカウント AWS リージョン と同じ で有効になっている単一リージョンキーである必要があります。KMS キーは外部キーストアに格納できます。ただし、そのキーは、完全に AWS KMS内で管理されるキーよりも遅く、信頼性が低くなる可能性があります。レイテンシーまたは可用性の問題により、取得して公開したい機密データサンプルを Macie が暗号化できない場合、エラーが発生し、Macie は検出結果のサンプルを返しません。

さらに、キーのキーポリシーでは、適切なプリンシパル (IAM ロール、IAMユーザー、または AWS アカウント) が次のアクションを実行できるようにする必要があります。

• kms:Decrypt

• kms:DescribeKey

• kms:GenerateDataKey

重要

アクセスコントロールの追加レイヤーとして、取得される機密データサンプルの暗号化専用のKMSキーを作成し、そのキーの使用を、機密データサンプルの取得と公開を許可する必要があるプリンシパルのみに制限することをお勧めします。ユーザーがキーのために前述のアクションを実行することを許可されていない場合、Macie は、機密データのサンプルを取得して公開するという当該ユーザーのリクエストを拒否します。Macie は、検出結果についてのサンプルを返しません。

KMS キーの作成と設定の詳細については、「 AWS Key Management Service デベロッパーガイド」の「キーの管理」を参照してください。キーポリシーを使用してキーへのアクセスを管理する方法についてはKMS、「 AWS Key Management Service デベロッパーガイド」の「 のキーポリシー AWS KMS」を参照してください。

ステップ 4: 許可を確認する

Macie で設定を構成する前に、必要な許可が付与されていることも確認してください。アクセス許可を確認するには、 AWS Identity and Access Management （IAM) を使用して、IAMID にアタッチされているIAMポリシーを確認します。次にこれらのポリシー内の情報を、実行が許可される必要がある次のアクションのリストと比較します。

Amazon Macie

Macie の場合、次のアクションの実行が許可されていることを確認します。

• macie2:GetMacieSession

• macie2:UpdateRevealConfiguration

1 つ目のアクションでは、Macie アカウントにアクセスできます。2 つ目のアクションでは、機密データのサンプルを取得して公開するための設定を変更できます。これには、アカウントの設定の有効化と無効化が含まれます。

オプションで、macie2:GetRevealConfiguration アクションの実行も許可されていることを確認します。このアクションにより、アカウントの現在の設定設定と設定の現在の状態を取得できます。

AWS KMS

Amazon Macie コンソールを使用して構成設定を入力する場合は、次の AWS Key Management Service （AWS KMS) アクションの実行も許可されていることを確認します。

• kms:DescribeKey

• kms:ListAliases

これらのアクションにより、アカウントの AWS KMS keys に関する情報を取得できます。その後、設定を入力するときに、これらのキーのいずれかを選択できます。

IAM

機密データのサンプルを取得して公開する IAMロールを引き受けるように Macie を設定する場合は、次のIAMアクションの実行も許可されていることを確認します: iam:PassRole。このアクションにより、ロールを Macie に渡すことができ、Macie がそのロールを引き受けることができるようになります。アカウントのために構成設定を入力すると、Macie はそのロールがアカウントに存在し、正しく設定されていることを検証することもできます。

必要なアクションを実行することが許可されていない場合は、 AWS 管理者にサポートを依頼してください。

Macie の設定の構成と有効化

必要なリソースと許可があることを確認したら、Amazon Macie で設定を構成し、アカウントのために設定を有効にすることができます。

アカウントが複数の Macie アカウントを一元的に管理する組織に属している場合は、アカウントのために設定を構成する前、または構成した後にその設定を変更する前に、次の点に留意してください。

• メンバーアカウントがある場合は、Macie の管理者と協力して、アカウントのために設定を構成するかどうか、およびその方法を決定します。Macie の管理者は、アカウントのために正しい構成設定を決定するのをサポートできます。

• Macie の管理者アカウントがあり、対象の S3 オブジェクトにアクセスするための設定を変更すると、その変更によって、組織の他のアカウントやリソースに影響が及ぶ可能性があります。これは、Macie が機密データのサンプルを取得するための AWS Identity and Access Management （IAM) ロールを引き受けるように現在設定されているかどうかによって異なります。IAM ユーザー認証情報を使用するように Macie を再設定した場合、Macie はIAMロールの名前と設定の外部 ID というロールの既存の設定を完全に削除します。その後、組織がIAMロールを再度使用することを選択した場合は、該当する各メンバーアカウントのロールの信頼ポリシーで新しい外部 ID を指定する必要があります。

いずれかのタイプのアカウントの設定オプションと要件の詳細については、「」を参照してくださいサンプルを取得するための設定オプション。

Macie で設定を行い、アカウントの設定を有効にするには、Amazon Macie コンソールまたは Amazon Macie を使用できますAPI。

Console

Amazon Macie コンソールを使用して設定を構成し、有効にするには、次のステップに従います。

Macie 設定を構成して有効にするには

1. で Amazon Macie コンソールを開きますhttps://console.aws.amazon.com/macie/。

2. ページの右上隅にある AWS リージョン セレクターを使用して、Macie が機密データのサンプルを取得して公開できるように設定および有効化するリージョンを選択します。

3. ナビゲーションペインの 設定 で、イベントの流れ を選択します。

4. 設定 セクションで、編集 を選択します。

5. ステータス で、有効 を選択します。

6. [アクセス] で、対象の S3 オブジェクトから機密データのサンプルを取得する際に使用するアクセスメソッドと設定を指定します。

   • Macie へのアクセスを委任する IAMロールを使用するには、IAMロール を引き受ける を選択します。このオプションを選択すると、Macie は で作成および設定したIAMロールを引き受けてサンプルを取得します AWS アカウント。[ロール名] ボックスで、ロールの名前を入力します。

   • サンプルを要求するIAMユーザーの認証情報を使用するには、IAMユーザー認証情報の使用 を選択します。このオプションを選択すると、アカウントの各ユーザーは個々の IAM ID を使用してサンプルを取得します。

7. 暗号化 で、取得 AWS KMS key される機密データサンプルの暗号化に使用する を指定します。

   • 自分のアカウントからKMSキーを使用するには、アカウント からキーを選択 を選択します。そして、AWS KMS key リストからユーザー名を選択します。リストには、アカウントの既存の対称暗号化KMSキーが表示されます。

   • 別のアカウントが所有するKMSキーを使用するには、別のアカウント からキーARNの を入力します を選択します。次に、AWS KMS key ARNボックスに、使用するキーの Amazon リソースネーム (ARN) を入力しますarn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab。例えば、。

8. 設定の入力が完了したら、Save (保存) を選択します。

Macie は設定をテストして、それらが正しいことを検証します。IAM ロールを引き受けるように Macie を設定した場合、Macie はロールがアカウントに存在し、信頼ポリシーとアクセス許可ポリシーが正しく設定されていることも確認します。問題がある場合は、その詳細を説明するメッセージが表示されます。

の問題に対処するには AWS KMS key、前のトピックの要件を参照して、要件を満たすKMSキーを指定します。IAM ロールの問題に対処するには、まず正しいロール名を入力したことを確認します。名前が正しい場合は、Macie がそのロールを引き受けるためのすべての要件を、そのロールのポリシーが満たしていることを確認します。これらの詳細については、「影響を受ける S3 オブジェクトにアクセスするための IAMロールの設定」を参照してください。問題に対処したら、設定を保存して有効にすることができます。

注記

ユーザーが組織の Macie 管理者であり、 IAMロールを引き受けるように Macie を設定した場合、アカウントの設定を保存した後、Macie は外部 ID を生成して表示します。この ID を書き留めます。該当する各メンバーアカウントのIAMロールの信頼ポリシーで、この ID を指定する必要があります。指定されていない場合、アカウントが所有する S3 オブジェクトから機密データのサンプルを取得できません。

API

設定をプログラムで設定して有効にするには、Amazon Macie の UpdateRevealConfigurationオペレーションを使用しますAPI。リクエストでは、サポートされているパラメータの適切な値を指定します。

• retrievalConfiguration パラメータで、対象の S3 オブジェクトから機密データのサンプルを取得する際に使用するアクセスメソッドと設定を指定します。

  • Macie へのアクセスを委任する IAMロールを引き受けるには、 retrievalModeパラメータASSUME_ROLEに を指定し、 roleNameパラメータにロールの名前を指定します。これらの設定を指定すると、Macie は で作成および設定したIAMロールを引き受けてサンプルを取得します AWS アカウント。

  • サンプルを要求するIAMユーザーの認証情報を使用するには、 retrievalModeパラメータCALLER_CREDENTIALSに を指定します。この設定を指定すると、アカウントの各ユーザーは個々の IAM ID を使用してサンプルを取得します。

  重要

  これらのパラメータの値を指定しない場合、Macie はアクセスメソッド (retrievalMode) を CALLER_CREDENTIALS に設定します。Macie が現在 IAMロールを使用してサンプルを取得するように設定されている場合、Macie は設定の現在のロール名と外部 ID も完全に削除します。既存の設定のためにこれらの設定を維持するには、リクエストに retrievalConfiguration パラメータを含めて、それらのパラメータのために現在の設定を指定します。現在の設定を取得するには、 GetRevealConfigurationオペレーションを使用するか、 AWS Command Line Interface （AWS CLI) を使用している場合は get-reveal-configuration コマンドを実行します。

• kmsKeyId パラメータには、取得 AWS KMS key される機密データサンプルの暗号化に使用する を指定します。

  • 自分のアカウントのKMSキーを使用するには、キーの Amazon リソースネーム (ARN）、ID、またはエイリアスを指定します。エイリアスを指定する場合は、alias/ プレフィックスを含めてください。例えば、alias/ExampleAlias

  • 別のアカウントが所有するKMSキーを使用するには、キーARNの を指定します。例えば、 ですarn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab。または、キーARNのエイリアスの を指定しますarn:aws:kms:us-east-1:111122223333:alias/ExampleAlias。例えば、。

• status パラメータには、Macie ENABLED アカウントの設定を有効にするように指定します。

リクエスト AWS リージョン では、設定を有効にして使用する も必ず指定してください。

を使用して設定を設定して有効にするには AWS CLI、 update-reveal-configuration コマンドを実行し、サポートされているパラメータに適切な値を指定します。たとえば、Microsoft Windows AWS CLI で を使用している場合は、次のコマンドを実行します。

C:\> aws macie2 update-reveal-configuration ^
--region us-east-1 ^
--configuration={\"kmsKeyId\":\"arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias\",\"status\":\"ENABLED\"} ^
--retrievalConfiguration={\"retrievalMode\":\"ASSUME_ROLE\",\"roleName\":\"MacieRevealRole\"}

コードの説明は以下のとおりです。

• us-east-1 は、 設定を有効にして使用するリージョンです。この例では、米国東部 (バージニア北部) リージョンです。

• arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias は、 AWS KMS key 使用する ARNのエイリアスの です。この例では、キーは別のアカウントが所有しています。

• 設定のステータスは ENABLED です。

• ASSUME_ROLE は使用するアクセス方法です。この例では、指定されたIAMロールを引き受けます。

• MacieRevealRole は、Macie が機密データのサンプルを取得するときに引き受けるIAMロールの名前です。

前述の例は、読みやすさを向上させるためにキャレット (^) の行連結文字を使用します。

リクエストを送信すると、Macie は設定をテストします。IAM ロールを引き受けるように Macie を設定した場合、Macie はロールがアカウントに存在し、信頼ポリシーとアクセス許可ポリシーが正しく設定されていることも確認します。問題がある場合、リクエストは失敗し、Macie は問題を説明するメッセージを返します。の問題に対処するには AWS KMS key、前のトピックの要件を参照して、要件を満たすKMSキーを指定します。IAM ロールの問題に対処するには、まず正しいロール名を指定したことを確認します。名前が正しい場合は、Macie がそのロールを引き受けるためのすべての要件を、そのロールのポリシーが満たしていることを確認します。これらの詳細については、「影響を受ける S3 オブジェクトにアクセスするための IAMロールの設定」を参照してください。問題に対処した後、リクエストを再度送信します。

リクエストが成功すると、Macie は指定されたリージョンのアカウント設定を有効にし、次のような出力を受け取ります。

{
  "configuration": {
    "kmsKeyId": "arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias",
    "status": "ENABLED"
  },
  "retrievalConfiguration": {
    "externalId": "o2vee30hs31642lexample",
    "retrievalMode": "ASSUME_ROLE",
    "roleName": "MacieRevealRole"
  }
}

ここで、 は取得される機密データサンプルの暗号化 AWS KMS key に使用する kmsKeyIdを指定し、 statusは Macie アカウントの設定のステータスです。retrievalConfiguration の値は、サンプルを取得する際に使用するアクセスメソッドと設定を指定します。

注記

ユーザーが組織の Macie 管理者であり、 IAMロールを引き受けるように Macie を設定した場合は、レスポンスに外部 ID (externalId) を書き留めます。該当する各メンバーアカウントのIAMロールの信頼ポリシーで、この ID を指定する必要があります。指定されていない場合、アカウントが所有する対象の S3 オブジェクトから機密データのサンプルを取得できません。

その後、アカウントの設定またはステータスを確認するには、 GetRevealConfigurationオペレーションを使用するか、 に対して get-reveal-configuration コマンド AWS CLIを実行します。

Macie の設定の無効化

Amazon Macie アカウントの構成設定はいつでも無効にできます。設定を無効にすると、Macie は取得される機密データサンプルの暗号化 AWS KMS key に使用する を指定する 設定を保持します。Macie は、構成についての Amazon S3 のアクセス設定を完全に削除します。

警告

Macie アカウントのために構成設定を無効にすると、対象の S3 オブジェクトに対するアクセスメソッドを指定する現在の設定も完全に削除されます。Macie が現在、 AWS Identity and Access Management （IAM) ロールを引き受けて影響を受けるオブジェクトにアクセスするように設定されている場合、これにはロールの名前と、Macie が設定用に生成した外部 ID が含まれます。これらの設定は、削除後は復元できません。

Macie アカウントの設定を無効にするには、Amazon Macie コンソールまたは Amazon Macie を使用できますAPI。

Console

Amazon Macie コンソールを使用して、アカウントのために構成設定を無効にするには、次のステップに従います。

Macie の設定を無効にするには

1. で Amazon Macie コンソールを開きますhttps://console.aws.amazon.com/macie/。

2. ページの右上隅にある AWS リージョン セレクターを使用して、Macie アカウントの設定を無効にするリージョンを選択します。

3. ナビゲーションペインの 設定 で、イベントの流れ を選択します。

4. 設定 セクションで、編集 を選択します。

5. [ステータス] で、[無効] を選択します。

6. [Save] を選択します。

API

構成設定をプログラムで無効にするには、Amazon Macie の UpdateRevealConfigurationオペレーションを使用しますAPI。リクエスト AWS リージョン では、設定を無効にする を必ず指定してください。status パラメータでは、DISABLED を指定します。

AWS Command Line Interface （AWS CLI) を使用して構成設定を無効にするには、 update-reveal-configuration コマンドを実行します。設定を無効にするリージョンを指定するには region パラメータを使用します。status パラメータでは、DISABLED を指定します。たとえば、Microsoft Windows AWS CLI で を使用している場合は、次のコマンドを実行します。

C:\> aws macie2 update-reveal-configuration --region us-east-1 --configuration={\"status\":\"DISABLED\"}

コードの説明は以下のとおりです。

• us-east-1 は、設定を無効にするリージョンです。この例では、米国東部 (バージニア北部) リージョンです。

• DISABLED は、設定の新しいステータスです。

リクエストが成功すると、Macie は指定されたリージョンのアカウント設定を無効にし、次のような出力を受け取ります。

{
    "configuration": {
        "status": "DISABLED"
    }
}

status は Macie アカウントの設定の新しいステータスです。

Macie が機密データのサンプルを取得するための IAMロールを引き受けるように設定されている場合は、オプションでロールとロールのアクセス許可ポリシーを削除できます。アカウントのために構成設定を無効にしても、Macie はこれらのリソースを削除しません。さらに、Macie は、これらのリソースを使用してアカウントの他のタスクを実行することはありません。ロールとそのアクセス許可ポリシーを削除するには、 IAMコンソールまたは IAM を使用できますAPI。詳細については、「AWS Identity and Access Management ユーザーガイド」の「ロールの削除」を参照してください。