検出結果についての機密データのサンプルを取得して公開するように Amazon Macie を設定する - Amazon Macie
開始する前にMacie の設定の構成と有効化Macie の設定の無効化

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

検出結果についての機密データのサンプルを取得して公開するように Amazon Macie を設定する

オプションで Amazon Macie を設定して使用し、Macie が個々の機密データ検出結果で報告する機密データのサンプルを取得して公開することができます。サンプルは、Macie が検出した機密データの性質を確認するのに役立ちます。また、影響を受ける Amazon Simple Storage Service (Amazon S3) オブジェクトとバケットの調査を調整するのにも役立ちます。アジアパシフィック (大阪) リージョンとイスラエル (テルアビブ) リージョンを除く、Macie が現在利用可能なすべての AWS リージョン で、機密データの取得と公開を行うことができます。

検出結果の機密データのサンプルを取得して公開すると、Macie は対応する機密データの検出結果のデータを使用して、影響を受ける S3 オブジェクト内の機密データの出現を見つけます。次に、Macie は該当オブジェクトからそれらの出現のサンプルを抽出します。Macie は、抽出したデータを指定した AWS Key Management ServiceAWS KMS キーで暗号化し、暗号化されたデータを一時的にキャッシュに保存し、結果にそのデータを結果として返します。Macie は、運用上の問題を解決するために一時的に追加の保存が必要になった場合を除き、抽出と暗号化の直後に、データをキャッシュから完全に削除します。

検出結果についての機密データのサンプルを取得して公開するには、まず Macie アカウントの設定を構成し、有効にする必要があります。また、アカウントのためにサポートリソースと許可を設定する必要があります。このセクションのトピックでは、機密データのサンプルを取得して公開するように Macie を設定し、アカウントの設定ステータスを管理するプロセスについて説明します。

ヒント

この機能へのアクセスを制御するために使用できる推奨事項とポリシーの例については、AWSセキュリティブログのAmazon Macie を使用して S3 バケット内の機密データをプレビューする方法ブログ投稿を参照してください。

開始する前に

検出結果についての機密データのサンプルを取得して公開するように Amazon Macie を設定する前に、必要なリソースと許可を確実に備えているようにするために次のタスクを完了します。

機密データのサンプルを取得して公開するように Macie を既に設定しており、構成設定のみを変更したい場合、これらのタスクはオプションです。

ステップ 1: 機密データ検出の結果のリポジトリを設定する

検出結果の機密データのサンプルを取得して公開すると、Macie は対応する機密データの検出結果のデータを使用して、影響を受ける S3 オブジェクト内の機密データの出現を見つけます。そのため、機密データ検出の結果用のリポジトリを設定していることを確認することが重要です。そうしないと、Macie は、取得して公開したい機密データのサンプルを見つけることができません。

アカウントのためにこのリポジトリを設定済みであるかどうかを確認するには、Amazon Macie コンソールを使用します。ナビゲーションペインで [検出の結果] ([設定] の下にあります) を選択します。Amazon Macie APIの GetClassificationExportConfiguration オペレーションを使用して、プログラムでこのデータにアクセスすることもできます。機密データ検出の結果とこのリポジトリの設定方法の詳細については、「機密データ検出結果の保存と保持」を参照してください。

ステップ 2: 対象の S3 オブジェクトにアクセスする方法を決定する

対象の S3 オブジェクトにアクセスし、そこから機密データのサンプルを取得するには、2 つのオプションがあります。AWS Identity and Access Management (IAM) ユーザー認証情報を使用するように Macie を設定できます。あるいは、Macie にアクセスを委任する IAM ロールを引き受けるように Macie を設定することもできます。いずれの設定も、組織のために委任された Macie 管理者アカウント、組織内の Macie メンバーアカウント、スタンドアロン Macie アカウントなど、あらゆるタイプの Macie アカウントで使用できます。Macie で設定を構成する前に、使用するアクセスメソッドを決定します。各メソッドのオプションと要件の詳細については、「検出結果についての機密データのサンプルを取得するための設定オプションと要件」を参照してください。

IAM ロールを使用する予定がある場合は、Macie で設定を構成する前にロールを作成して設定します。また、ロールの信頼ポリシーと許可ポリシーが、Macie がロールを引き受けるためのすべての要件を満たしているようにしてください。アカウントが複数の Macie アカウントを一元的に管理する組織に属している場合は、まず Macie 管理者と協力して、アカウントのためにロールを設定するかどうか、またその設定方法を決定します。

ステップ 3: AWS KMS key を設定する

検出結果についての機密データのサンプルを取得して公開すると、Macie は、指定された AWS Key Management Service (AWS KMS) キーを使用してサンプルを暗号化します。そのため、サンプルを暗号化するために使用する AWS KMS key を決定する必要があります。キーは、自分のアカウントの既存の KMS キーでも、別のアカウントが所有する既存の KMS キーでもかまいません。別のアカウントが所有するキーを使用する場合、キーの Amazon リソースネーム (ARN) を取得します。Macie で設定設定を入力するときに、この ARN を指定する必要があります。

KMS キーは、カスタマーマネージドキーで、対称暗号化キーである必要があります。また、Macie アカウントと同じ AWS リージョン で有効になっている単一リージョンのキーである必要があります。KMS キーは、外部キーストアに格納できます。ただし、そのキーは、完全に AWS KMS 内で管理されるキーよりも遅く、信頼性が低くなる可能性があります。レイテンシーまたは可用性の問題により、取得して公開したい機密データサンプルを Macie が暗号化できない場合、エラーが発生し、Macie は検出結果のサンプルを返しません。

さらに、キーのキーポリシーでは、適切なプリンシパル (IAM ロール、IAM ユーザー、または AWS アカウント) が次のアクションを実行できるようにする必要があります。

  • kms:Decrypt

  • kms:DescribeKey

  • kms:GenerateDataKey

重要

アクセスコントロールをさらに強化するために、取得する機密データサンプルを暗号化するための専用の KMS キーを作成し、そのキーの使用を、機密データサンプルの取得と開示を許可する必要があるプリンシパルのみに制限することをお勧めします。ユーザーがキーのために前述のアクションを実行することを許可されていない場合、Macie は、機密データのサンプルを取得して公開するという当該ユーザーのリクエストを拒否します。Macie は、検出結果についてのサンプルを返しません。

KMS キーの作成と設定については、「AWS Key Management Service デベロッパーガイド」の「キーの管理」を参照してください。KMS キーに対するアクセスを管理するためのキーポリシーの使用については、「AWS Key Management Service デベロッパーガイド」の「AWS KMS のキーポリシー」を参照してください。

ステップ 4: 許可を確認する

Macie で設定を構成する前に、必要な許可が付与されていることも確認してください。アクセス許可を確認するには、AWS Identity and Access Management (IAM) を使用して IAM ID に添付されている IAM ポリシーを確認してください。次にこれらのポリシー内の情報を、実行が許可される必要がある次のアクションのリストと比較します。

Amazon Macie

Macie の場合、次のアクションの実行が許可されていることを確認します。

  • macie2:GetMacieSession

  • macie2:UpdateRevealConfiguration

1 つ目のアクションでは、Macie アカウントにアクセスできます。2 つ目のアクションでは、機密データのサンプルを取得して公開するための設定を変更できます。これには、アカウントの設定の有効化と無効化が含まれます。

オプションで、macie2:GetRevealConfiguration アクションの実行も許可されていることを確認します。このアクションにより、アカウントの現在の設定設定と設定の現在の状態を取得できます。

AWS KMS

Amazon Macie コンソールを使用して設定を入力する予定がある場合は、次の AWS Key Management Service (AWS KMS) アクションを実行できることも確認してください。

  • kms:DescribeKey

  • kms:ListAliases

これらのアクションにより、アカウントの AWS KMS keys に関する情報を取得できます。その後、設定を入力するときに、これらのキーのいずれかを選択できます。

IAM

機密データのサンプルを取得して公開するための IAM ロールを引き受けるように Macie を設定する予定がある場合は、次の IAM アクションの実行が許可されていることも確認してください: iam:PassRole。このアクションにより、ロールを Macie に渡すことができ、Macie がそのロールを引き受けることができるようになります。アカウントのために構成設定を入力すると、Macie はそのロールがアカウントに存在し、正しく設定されていることを検証することもできます。

必要なアクションの実行が許可されていない場合は、AWS 管理者にサポートを依頼してください。

Amazon Macie の設定の構成と有効化

必要なリソースと許可があることを確認したら、Amazon Macie で設定を構成し、アカウントのために設定を有効にすることができます。

アカウントが複数の Macie アカウントを一元的に管理する組織に属している場合は、アカウントのために設定を構成する前、または後にその設定を変更する前に、次の点に留意してください。

  • メンバーアカウントがある場合は、Macie の管理者と協力して、アカウントのために設定を構成するかどうか、およびその方法を決定します。Macie の管理者は、アカウントのために正しい構成設定を決定するのをサポートできます。

  • Macie の管理者アカウントがあり、対象の S3 オブジェクトにアクセスするための設定を変更すると、その変更によって、組織の他のアカウントやリソースに影響が及ぶ可能性があります。これは、Macie が機密データのサンプルを取得する AWS Identity and Access Management (IAM) ロールを引き受けるように現在設定されているかどうかによって異なります。そのように設定されており、IAM ユーザー認証情報を使用するように Macie を再設定すると、Macie は IAM ロールの既存の設定 (ロールの名前と設定の外部 ID) を完全に削除します。その後、組織が IAM ロールを再度使用することを選択した場合は、該当の各メンバーアカウントのロールの信頼ポリシーで新しい外部 ID を指定する必要があります。

各タイプのアカウントの設定オプションの詳細については、「検出結果についての機密データのサンプルを取得するための設定オプションと要件」を参照してください。

Macie で設定を構成し、アカウント用に設定を有効にするために、Amazon Macie コンソールまたは Amazon Macie API を使用できます。

Console

Amazon Macie コンソールを使用して設定を構成し、有効にするには、次のステップに従います。

Macie 設定を構成して有効にするには

  1. Amazon Macie コンソール (https://console.aws.amazon.com/macie/) を開きます。

  2. ページの右上にある AWS リージョン セレクターを使用して、機密データのサンプルを取得したり、公開したりするように Macie を設定して有効にするリージョンを選択します。

  3. ナビゲーションペインの 設定 で、イベントの流れ を選択します。

  4. 設定 セクションで、編集 を選択します。

  5. ステータス で、有効 を選択します。

  6. [アクセス] で、対象の S3 オブジェクトから機密データのサンプルを取得する際に使用するアクセスメソッドと設定を指定します。

    • Macie にアクセスを委任する IAM ロールを使用するには、[IAM ロールを引き受ける] を選択します。このオプションを選択すると、Macie は、AWS アカウント で作成および設定した IAM ロールを引き受けてサンプルを取得します。[ロール名] ボックスで、ロールの名前を入力します。

    • サンプルをリクエストする IAM ユーザーの認証情報を使用するには、[IAM ユーザー認証情報を使用] を選択します。このオプションを選択した場合、アカウントの各ユーザーは、個別の IAM ID を使用してサンプルを取得します。

  7. [暗号化] で、取得される機密データのサンプルを暗号化するために使用する AWS KMS key を指定します。

    • 自分のアカウントに KMS キーを使用するには、[アカウントからキーを選択] を選択します。そして、AWS KMS key リストからユーザー名を選択します。リストには、アカウントの既存の対称暗号化 KMS キーが表示されます。

    • 別のアカウントが所有し、使用が許可されている KMS キーを使用するには、[別のアカウントのキーの ARN を入力] を選択します。次に、AWS KMS key ARN ボックスに、使用するキーの Amazon リソースネーム (ARN) を入力します。例えば、arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

  8. 設定の入力が完了したら、Save (保存) を選択します。

Macie は設定をテストして、それらが正しいことを検証します。Macie が IAM ロールを引き受けるように設定した場合、Macie は、そのロールがアカウントに存在し、信頼ポリシーと許可ポリシーが正しく設定されていることも検証します。問題がある場合、Macie は、問題を説明するメッセージを表示します。

AWS KMS key の問題に対処するには、前述のトピックの要件を参照し、要件を満たす KMS キーを指定します。IAM ロールの問題に対処するには、まず、正しいロール名を入力したことを確認します。名前が正しい場合は、Macie がそのロールを引き受けるためのすべての要件を、そのロールのポリシーが満たしていることを確認します。これらの詳細については、「対象の S3 オブジェクトにアクセスするための IAM ロールの設定」を参照してください。問題に対処したら、設定を保存して有効にすることができます。

注記

自分が組織の Macie の管理者で、IAM ロールを引き受けるように Macie を設定した場合、アカウントのための設定を保存した後、Macie は外部 ID を生成して表示します。この ID を書き留めます。該当の各メンバーアカウントの IAM ロールの信頼ポリシーでは、この ID が指定される必要があります。指定されていない場合、アカウントが所有する S3 オブジェクトから機密データのサンプルを取得できません。

API

設定をプログラムで構成して、有効にするには、Amazon Macie API の UpdateRevealConfiguration オペレーションを使用します。リクエストでは、サポートされているパラメータの適切な値を指定します。

  • retrievalConfiguration パラメータで、対象の S3 オブジェクトから機密データのサンプルを取得する際に使用するアクセスメソッドと設定を指定します。

    • Macie にアクセスを委任する IAM ロールを引き受けるには、retrievalMode パラメータに ASSUME_ROLE を指定し、roleName パラメータにロールの名前を指定します。これらの設定を指定すると、Macie は、AWS アカウント で作成および設定した IAM ロールを引き受けてサンプルを取得します。

    • サンプルをリクエストする IAM ユーザーの認証情報を使用するには、retrievalMode パラメータに CALLER_CREDENTIALS を指定します。この設定を指定すると、アカウントの各ユーザーは、個別の IAM ID を使用してサンプルを取得します。

    重要

    これらのパラメータの値を指定しない場合、Macie はアクセスメソッド (retrievalMode) を CALLER_CREDENTIALS に設定します。また、Macie が現在 IAM ロールを使用してサンプルを取得するように設定されている場合、Macie は現在のロール名と設定の外部 ID を完全に削除します。既存の設定のためにこれらの設定を維持するには、リクエストに retrievalConfiguration パラメータを含めて、それらのパラメータのために現在の設定を指定します。現在の設定を取得するには、GetRevealConfiguration オペレーションを使用するか、または AWS Command Line Interface (AWS CLI) を使用している場合は get-reveal-configuration コマンドを使用します。

  • kmsKeyId パラメータには、取得される機密データのサンプルを暗号化するために使用する AWS KMS key を指定します。

    • 自分のアカウントから KMS キーを使用するには、キーの Amazon リソースネーム (ARN)、ID、またはエイリアスを指定します。エイリアスを指定する場合は、alias/ プレフィックスを含めてください。例えば、alias/ExampleAlias

    • 別のアカウントが所有する KMS キーを使用するには、キーの ARN を指定します。例えば、arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890abまたは、キーのエイリアスの ARN を指定します。例えば、arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias

  • status パラメータには、Macie ENABLED アカウントの設定を有効にするように指定します。

また、リクエストでは、設定を有効にして使用する AWS リージョン を必ず指定してください。

AWS CLI を使用して設定を構成し、有効にするには、update-reveal-configuration コマンドを実行し、サポートされているパラメータに適切な値を指定します。例えば、Microsoft Windows で AWS CLI を使用する場合は、次のコマンドを実行します:

C:\> aws macie2 update-reveal-configuration ^
--region us-east-1 ^
--configuration={\"kmsKeyId\":\"arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias\",\"status\":\"ENABLED\"} ^
--retrievalConfiguration={\"retrievalMode\":\"ASSUME_ROLE\",\"roleName\":\"MacieRevealRole\"}

実行する条件は以下のとおりです。

  • us-east-1 は、設定を有効にして使用するリージョンです。この例では、米国東部 (バージニア北部) リージョンです。

  • arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias は、使用する AWS KMS key のエイリアスの ARN です。この例では、キーは別のアカウントが所有しています。

  • 設定のステータスは ENABLED です。

  • ASSUME_ROLE は、使用するアクセスメソッドです。この例では、指定された IAM ロールを引き受けます。

  • MacieRevealRole は、機密データのサンプルを取得する際に Macie が引き受ける IAM ロールの名前です。

前述の例は、読みやすさを向上させるためにキャレット (^) の行連結文字を使用します。

リクエストを送信すると、Macie は設定をテストします。Macie が IAM ロールを引き受けるように設定した場合、Macie は、そのロールがアカウントに存在し、信頼ポリシーと許可ポリシーが正しく設定されていることも検証します。問題がある場合、リクエストは失敗し、Macie は問題を説明するメッセージを返します。AWS KMS key の問題に対処するには、前述のトピックの要件を参照し、要件を満たす KMS キーを指定します。IAM ロールの問題に対処するには、まず、正しいロール名を指定したことを確認します。名前が正しい場合は、Macie がそのロールを引き受けるためのすべての要件を、そのロールのポリシーが満たしていることを確認します。これらの詳細については、「対象の S3 オブジェクトにアクセスするための IAM ロールの設定」を参照してください。問題に対処した後、リクエストを再度送信します。

リクエストが成功すると、Macie は指定されたリージョンのアカウント設定を有効にし、次のような出力を受け取ります。

{
  "configuration": {
    "kmsKeyId": "arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias",
    "status": "ENABLED"
  },
  "retrievalConfiguration": {
    "externalId": "o2vee30hs31642lexample",
    "retrievalMode": "ASSUME_ROLE",
    "roleName": "MacieRevealRole"
  }
}

ここで、kmsKeyId は、取得される機密データのサンプルの暗号化に使用する AWS KMS key を指定し、status は Macie アカウントの設定のステータスを指定します。retrievalConfiguration の値は、サンプルを取得する際に使用するアクセスメソッドと設定を指定します。

注記

自分が組織の Macie の管理者で、Macie が IAM ロールを引き受けるように設定した場合は、応答内の外部 ID (externalId) を書き留めます。該当の各メンバーアカウントの IAM ロールの信頼ポリシーでは、この ID が指定される必要があります。指定されていない場合、アカウントが所有する対象の S3 オブジェクトから機密データのサンプルを取得できません。

アカウントの設定や設定の状態を後で確認するには、GetRevealConfigurationオペレーションを使用するか、AWS CLI の場合はget-reveal-configurationコマンドを実行します。

Amazon Macie の設定の無効化

Amazon Macie アカウントの構成設定はいつでも無効にできます。設定を無効にしても、Macie は、取得した機密データのサンプルの暗号化に使用する AWS KMS key を指定する設定を保持します。Macie は、構成についての Amazon S3 のアクセス設定を完全に削除します。

警告

Macie アカウントのために構成設定を無効にすると、対象の S3 オブジェクトに対するアクセスメソッドを指定する現在の設定も完全に削除されます。Macie が現在 AWS Identity and Access Management (IAM) ロールを引き受けることによって、対象のオブジェクトにアクセスするように設定されている場合、これには、ロールの名前と、Macie が設定用に生成した外部 ID が含まれます。これらの設定は、削除後は復元できません。

Macie アカウントのために構成設定を無効にするには、Amazon Macie コンソールまたは Amazon Macie API を使用できます。

Console

Amazon Macie コンソールを使用して、アカウントのために構成設定を無効にするには、次のステップに従います。

Macie の設定を無効にするには

  1. Amazon Macie コンソール (https://console.aws.amazon.com/macie/) を開きます。

  2. ページの右上にある AWS リージョン セレクターを使用して、Macie アカウントのために構成設定を無効にするリージョンを選択します。

  3. ナビゲーションペインの 設定 で、イベントの流れ を選択します。

  4. 設定 セクションで、編集 を選択します。

  5. [ステータス] で、[無効] を選択します。

  6. [Save (保存)] を選択します。

API

構成設定をプログラムで無効にするには、Amazon Macie API の UpdateRevealConfiguration オペレーションを使用します。リクエストでは、設定を無効にする AWS リージョン を必ず指定してください。status パラメータでは、DISABLED を指定します。

AWS Command Line Interface (AWS CLI) を使用して構成設定を無効にするには、update-reveal-configuration コマンドを実行します。設定を無効にするリージョンを指定するには region パラメータを使用します。status パラメータでは、DISABLED を指定します。例えば、Microsoft Windows で AWS CLI を使用する場合は、次のコマンドを実行します:

C:\> aws macie2 update-reveal-configuration --region us-east-1 --configuration={\"status\":\"DISABLED\"}

実行する条件は以下のとおりです。

  • us-east-1 は、設定を無効にするリージョンです。この例では、米国東部 (バージニア北部) リージョンです。

  • DISABLED は、設定の新しいステータスです。

リクエストが成功すると、Macie は指定されたリージョンのアカウント設定を無効にし、次のような出力を受け取ります。

{
    "configuration": {
        "status": "DISABLED"
    }
}

status は Macie アカウントの設定の新しいステータスです。

Macie が機密データのサンプルを取得する IAM ロールを引き受けるように設定されている場合は、オプションでロールとロールの許可ポリシーを削除できます。アカウントのために構成設定を無効にしても、Macie はこれらのリソースを削除しません。さらに、Macie は、これらのリソースを使用してアカウントの他のタスクを実行することはありません。ロールとその許可ポリシーを削除するために、IAM コンソールまたは IAM API を使用できます。詳細については、「AWS Identity and Access Management ユーザーガイド」の「ロールの削除」を参照してください。