Amazon Macie を設定して、調査結果の機密データサンプルを取得して公開する - Amazon Macie

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Macie を設定して、調査結果の機密データサンプルを取得して公開する

オプションで、Amazon Macie を設定して使用し、Macie が検出し、個々の機密データの検出結果で報告する機密データのサンプルを取得して表示することができます。これらのサンプルは、Macie が見つけた機密データの性質を検証し、影響を受ける Amazon SSimple Storage Service (Amazon S3) のオブジェクトとバケットの調査を調整するのに役立ちます。

調査結果の機密データサンプルを取得して公開する場合、Macie は対応する機密データ検出結果— 影響を受けた S3 オブジェクトで機密データが発生している場所を特定します。Macie は、影響を受けるオブジェクトからこれらのオカレンスのサンプルを抽出します。Macie は、抽出されたデータをAWS Key Management Service(AWS KMS) キーを指定し、暗号化されたデータを一時的にキャッシュに保存し、結果のデータを返します。抽出と暗号化の直後に、Macie は、運用上の問題を解決するために一時的に追加の保持が必要でない限り、キャッシュからデータを完全に削除します。

検出結果の機密データサンプルを取得して表示するには、まず Macie アカウントの設定を構成する必要があります。AWS KMS key— サンプルの暗号化に使用し、アカウントの設定を有効化する。すべての設定を編集できますAWS リージョンMacie がアジアパシフィック (大阪) リージョンを除き、現在利用できる場所。ユーザーが組織の Macie 管理者である場合、設定はお客様のアカウントにのみ適用されます。メンバーアカウントには適用されません。

このトピックでは、Macie を設定して機密データサンプルを取得および表示するためのプロセスについて説明します。このプロセスを開始する前に、機密データ検出結果のリポジトリを設定する。そうしないと、Macie は取得して公開する機密データサンプルを見つけることができません。

ステップ 1: アクセス許可の確認

Macie を設定して機密データのサンプルを取得して公開する前に、必要なアクセス許可があることを確認します。これを行うには、AWS Identity and Access Management (IAM) コンソールを使用します。

  1. AWS Management Consoleにサインインして、IAM コンソールを開きます https://console.aws.amazon.com/iam/

  2. ナビゲーションペインで [Users] (ユーザー) を選択します。

  3. ユーザー名を選択します。

[Permissions] (アクセス許可) タブには、ユーザー名にアタッチされているすべての IAM ポリシーがリスト化されています。詳細を表示するポリシーを選択します。次に、ポリシー内の情報を、実行が許可される必要がある次のアクションのリストと比較します。

[Macie]

Macie の場合、次のアクションの実行が許可されていることを確認します。

macie2:UpdateRevealConfiguration

このアクションにより、機密データサンプルを取得および表示するための構成設定を変更できます。これには、構成の有効化と無効化が含まれます。

オプションで、macie2:GetRevealConfigurationaction. このアクションを使用すると、現在の設定と、設定のステータスを取得できます。

AWS KMS

Amazon Macie のコンソールを使用して設定を入力する場合は、次の実行が許可されていることを確認します。AWS KMSアクション:

  • kms:DescribeKey

  • kms:ListAliases

これらのアクションでは、AWS KMS keysあなたのアカウントのために。設定を入力するときに、これらのキーのいずれかを選択できます。

必要なアクションを実行することが許可されていない場合は、AWS管理者の支援

ステップ 2: [] でAWS KMS key

権限を確認したら、どれを決定しますかAWS KMS key取得して公開する機密データサンプルの暗号化に使用したい。このキーは、自分のアカウントの既存の KMS キーでも、別のアカウントが所有する既存の KMS キーでもかまいません。別のアカウントが所有するキーを使用する場合は、キーの Amazon リソースネーム (ARN) を取得します。Macie の構成設定を入力するときに、この ARN を指定する必要があります。

キーは、お客様が管理する対称暗号化 KMS キーであることが必要です。また、同じで有効化されている単一リージョンキーであることが必要ですAWS リージョンを Macie アカウントとして使用します。さらに、キーのキーポリシーでは、適切なプリンシパル (IAM ロール、IAM ユーザー、またはAWS アカウント) で、次のアクションを実行します。

  • kms:Decrypt

  • kms:DescribeKey

  • kms:GenerateDataKey

重要

アクセス制御の追加レイヤーとして、取得される機密データサンプルの暗号化専用の KMS キーを作成し、そのキーの使用を、機密データサンプルの取得と公開を許可する必要があるプリンシパルのみに制限することをお勧めします。ユーザーがキーに対して前述のアクションを実行することを許可されておらず、ユーザーがキーで暗号化されたサンプルを取得して公開しようとすると、Macie はリクエストを拒否し、結果のサンプルを返しません。

KMS キーの設定の作成と確認に関する詳細については、キーの管理AWS Key Management Serviceデベロッパーガイド。KMS キーに対するアクセス管理の詳細については、のキーポリシーAWS KMSAWS Key Management Serviceデベロッパーガイド

ステップ 3: Amazon Macie の設定を設定する

権限を検証し、どれを決定したらAWS KMS keyMacie アカウントの設定を設定する準備ができました。これは、Amazon Macie コンソールまたは Amazon Macie コンソールを使用して行うことができます。

Console

Amazon Macie コンソールを使用して設定を構成するには、次のステップに従います。

Macie 設定を構成するには

  1. Amazon Macie コンソール (https://console.aws.amazon.com/macie/) を開きます。

  2. を使用してAWS リージョンセレクターで、Macie を設定して、機密データのサンプルを取得して表示する Region を選択します。

  3. ナビゲーションペインの設定、選択サンプルを公開する

  4. 設定[] セクションで編集

  5. Status (ステータス) で、有効 を選択します。

  6. []暗号化で、AWS KMS機密データサンプルの暗号化に使用するキー

    • 自分のアカウントのキーを使用するには、アカウントからキーを選択します。次に、AWS KMS key[] リストで、使用するキーを選択します。リストには、アカウントの既存の対称暗号化 KMS キーが表示されます。

    • 別のアカウントが所有するキーを使用するには、別のアカウントのキーの ARN を入力します。次に、AWS KMS keyARNボックスに、使用するキーの Amazon リソースネーム (ARN) を入力します。arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

  7. 設定の入力が完了したら、[Save] (保存) を選択します。

暗号化設定を後で変更するには、上のステップを繰り返します。続いて設定を無効にするには、手順 1 ~ 4 を繰り返します。次に、ステップ 5 でDisable (無効)にとってステータス。完了したら、[保存] を選択します。

API

設定をプログラムで構成するには、UpdateRevealConfigurationAmazon Macie のオペレーションで、必要なパラメータに適切な値を指定します。

  • 向けのkmsKeyIdパラメータで、AWS KMS key機密データサンプルの暗号化に使用する。

    自分のアカウントから KMS キーを使用するには、キーの Amazon リソースネーム (ARN)、ID、またはエイリアスを指定します。エイリアスを指定する場合は、alias/接頭辞-たとえば、alias/ExampleAlias

    別のアカウントが所有する KMS キーを使用するには、キーの ARN を指定します。たとえば、arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab。または、キーのエイリアスの ARN を指定します。たとえば、arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias

  • 向けのstatusパラメータで、ENABLEDをクリックして、Macie アカウントの設定を有効にします。

また、リクエストでAWS リージョン指定した構成を使用する場所。

を使用して設定を構成するにはAWS Command Line Interface(AWS CLI)、を実行update-reveal-configurationコマンドを実行し、必須のパラメータに適切な値を指定します。たとえば、AWS CLIMicrosoft Windows の場合

C:\> aws macie2 update-reveal-configuration ^ --region us-east-1 ^ --configuration={\"kmsKeyId\":\"arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias\",\"status\":\"ENABLED\"}

実行する条件は以下のとおりです。

  • us-east-1は、設定を使用するリージョンです。この例では、米国東部 (バージニア北部) リージョンです。

  • arms: arnExampleAliasは、使用する KMS キーのエイリアスの ARN です。この例では、キーは、別のアカウントによって所有されます。

  • ENABLEDは、設定のステータスです。

この例は、読みやすさを向上させるためにキャレット (^) の行継続文字を使用しています。

リクエストを送信すると、Macie によって設定がテストされます。エラーが発生すると、リクエストは失敗し、Macie はエラーを説明するメッセージを返します。

リクエストが成功すると、Macie は指定されたリージョンでアカウントの設定を有効にし、お客様は次のような出力を受け取ります。

{ "configuration": { "kmsKeyId": "arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias", "status": "ENABLED" } }

各パラメータの意味は次のとおりです。kmsKeyId取得および公開された機密データサンプルの暗号化に使用する KMS キーを指定します。statusは Macie アカウントの設定のステータスです。

アカウントの設定またはステータスを後で確認するには、GetRevealConfigurationオペレーション、またはAWS CLI、を実行get-reveal-configurationコマンド。

アカウントの設定またはステータスを後で変更するには、UpdateRevealConfigurationオペレーション、またはAWS CLI、を実行update-reveal-configurationコマンド。リクエストでは、サポートされているパラメータを使用して、変更する設定ごとに新しい値を指定します。