Amazon Macie の調査結果を用いて機密データサンプルを取得 - Amazon Macie

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Macie の調査結果を用いて機密データサンプルを取得

Amazon Macie を使用することで、Macie が検出した機密データのサンプルを取得して明らかにし、個々の機密データの検出結果で報告することができます。これには、Macie が使用して検出した機密データが含まれますマネージドデータ識別子、およびの基準に一致するデータカスタムデータ識別子使用する機密データ検出ジョブを構成する。これらのサンプルは、Macie が見つけた機密データの性質を検証し、影響を受ける Amazon SSimple Storage Service (Amazon S3) オブジェクトとバケットの調査を調整するのに役立ちます。機密データサンプルをすべて取得して公開できますAWS リージョンMacie がアジアパシフィック (大阪) リージョン以外の利用可能な場所。

調査結果の機密データサンプルを取得して公開する場合、Macie は対応する機密データ検出結果を使用して、調査結果によって報告された機密データの最初の 1 ~ 10 個の場所を特定します。次に、Macie は、影響を受ける S3 オブジェクトから出現する各オカレンスの最初の 1 ~ 128 文字を抽出します。調査結果が複数の種類の機密データを報告する場合、Macie は、その結果によって報告された最大 100 種類の機密データに対してこれを行います。

Macie が影響を受ける S3 オブジェクトから機密データを抽出すると、Macie はそのデータをAWS Key Management Service(AWS KMS) キーを指定し、暗号化されたデータを一時的にキャッシュに保存し、結果のデータを返します。抽出と暗号化の直後に、Macie は、運用上の問題を解決するために一時的に追加の保持が必要でない限り、キャッシュからデータを完全に削除します。

発見のために機密データサンプルを再度取得して公開することを選択した場合、Macie はサンプルの検索、抽出、暗号化、保存、および最終的な削除のプロセスを繰り返します。

Amazon Macie コンソールを使用して機密データサンプルを取得して表示する方法のデモンストレーションについては、次のビデオをご覧ください。

開始する前に

調査結果の機密データサンプルを取得して明らかにするには、まず次のことを行う必要があります。Macie アカウントの設定を構成する。また、あなたのAWS管理者に連絡し、必要なアクセス許可があることを確認します。

機密データサンプルを取得して公開するたびに、AWS Identity and Access Management(IAM) の識別情報。サンプルの検索、取得、暗号化、公開を行います。Macie は Macie を使わないサービスにリンクされたロールがお客様に代わってこれらのタスクを実行します。

つまり、結果のサンプルを取得して表示するには、次のデータおよびリソースへのアクセスを許可する必要があります。結果、その結果に対応する機密データの検出結果、影響を受ける S3 バケット、および影響を受ける S3 オブジェクト。また、使用を許可されている必要がありますAWS KMS keyこれは、影響を受けたS3 オブジェクトを暗号化するために使用され、AWS KMS key機密データサンプルの暗号化に使用するようにMacieを設定したもの。IAM ポリシー、リソースポリシー、またはその他のアクセス権限設定によって必要なアクセスが拒否されると、エラーが発生し、Macie は結果のサンプルを返しません。

また、次の Macie アクションを実行するための許可が必要です。

  • macie2:GetFindings

  • macie2:ListFindings

  • macie2:GetSensitiveDataOccurrences

最初の 2 つのアクションでは、フィルターの詳細を取得できます。3 番目のアクションでは、検出結果の機密データサンプルを取得できます。

Amazon Macie コンソールを使用して機密データサンプルを取得して表示するには、次のアクションの実行も許可されている必要があります。

macie2:GetSensitiveDataOccurrencesAvailability

このアクションにより、個々の所見に対してサンプルが利用可能かどうかを判断できます。プログラムでサンプルを取得して表示するために、このアクションを実行する権限は必要ありません。ただし、この許可があると、サンプルの検索が効率化されます。

必要なアクションを実行したり、必要なデータやリソースにアクセスしたりすることが許可されていない場合は、AWS管理者のサポート。

機密データサンプルが調査結果に利用可能かどうかの判断

調査結果の機密データサンプルを取得して明らかにするには、その結果が特定の基準を満たす必要があります。機密データの特定のオカレンスの位置データを含める必要があります。さらに、有効な、対応する機密データの検出結果の場所を指定する必要があります。

影響を受ける S3 オブジェクトも特定の基準を満たす必要があります。オブジェクトの合計ストレージサイズは 10 MB を超えることはできません。また、オブジェクトの MIME タイプは、以下のいずれかである必要があります。

  • application/avroApache Avro オブジェクトコンテナ (.avro) ファイルの場合

  • application/gzipGNU Zip 圧縮アーカイブ (.gz) ファイルの場合

  • application/json、JSON または JSON ライン (.json または.jsonl) ファイルの場合

  • application/parquetApache Parquet (.parquet) ファイルの場合

  • application/vnd.openxmlformats-officedocument.spreadsheetml.sheetは、Microsoft Excel ワークブック (.xlsx) ファイルの場合

  • application/zipZIP 圧縮アーカイブ (.zip) ファイルの場合

  • text/csv、CSV (.csv) ファイルの場合

  • text/plainは、CSV Lines ファイル以外の非バイナリテキストファイル

さらに、オブジェクトの内容は、結果が作成されたときと同じでなければなりません。Macie は、オブジェクトのエンティティタグ (ETag) をチェックして、その結果によって指定された ETag と一致するかどうかを判断します。

結果と影響を受けた S3 オブジェクトがこれらの条件を満たすかどうかを判断するには、Amazon Macie コンソールまたは Amazon Macie API を使用できます。コンソールで、[] 内のフィルターを選択します。結果テーブル。次に、[Finding] (検出結果) のパネルで、サンプルを公開するフィールド。フィルターと S3 オブジェクトが条件を満たす場合は、確認リンクが、次の図に示すように、フィールドに表示されます。


        -サンプルを公開する[検索の詳細] パネルの [ フィールドには、確認。

Amazon Macie API を使用したいときは、GetSensitiveDataOccurrencesAvailabilityオペレーション、またはAWS Command Line Interface(AWS CLI)で、を実行get-sensitive-data-occurrences-可用性コマンド。リクエストが成功し、結果と S3 オブジェクトの両方が条件を満たす場合は、お客様は次のような出力を受け取ります。

{ "code": "AVAILABLE", "reasons": [] }

リクエストが成功し、結果またはオブジェクトが基準を満たさない場合、reasonsarrayは、その理由と値を指定しますcodeフィールドはUNAVAILABLE。例:

{ "code": "UNAVAILABLE", "reasons": [ "UNSUPPORTED_OBJECT_TYPE" ] }

調査結果の機密データサンプルの取得と公開

フィルターに機密データサンプルを取得して表示するには、Amazon Macie API を使用できます。

Console

Amazon Macie コンソールを使用してフィルターに機密データサンプルを取得して表示するには、次のステップに従います。

調査結果の機密データサンプルを取得して明らかにするには

  1. Amazon Macie コンソール (https://console.aws.amazon.com/macie/) を開きます。

  2. ナビゲーションペインで [Findings] (調査結果) を選択します。

  3. リポジトリの []結果ページで、フィルターを選択します。詳細パネルに、調査結果の情報が表示されます。

  4. 詳細パネルで、[] を機密データセクションに追加します。次に、サンプルを公開するフィールドで、確認:

    
                  -サンプルを公開する[検索の詳細] パネルの [ フィールドには、確認。

    Macie は、フィルターの主な詳細をまとめたページを表示します。詳細には、Macie が影響を受けた S3 オブジェクトで見つけた機密データのカテゴリ、タイプ、および出現の数が含まれます。

  5. 機密データセクションで、[]サンプルを公開する

    Macieは、調査結果によって報告された機密データの最初の1〜10個の出現のサンプルを取得して明らかにします。各サンプルには、機密データの最初の 1 ~ 128 文字が含まれています。調査結果が複数の種類の機密データを報告する場合、Macie は最大 100 種類までこれを行います。これには数分間かかる場合があります。

    たとえば、次の図は、機密データの複数のカテゴリとタイプにまたがるサンプルを示しています。AWS資格情報、米国の電話番号、およびフルネーム。

    
                  3 つの列を持つテーブル: カテゴリ,タイプ, およびサンプル。この表には、8つのサンプルがリストされ、各サンプルの機密データのカテゴリとタイプが示されています。

    サンプルは、まずセンシティブデータカテゴリ別にリストされ、次にセンシティブデータタイプ別にリストされます。

API

結果の機密データサンプルをプログラムで取得して表示するには、GetSensitiveDataOccurrencesAmazon Macie API の リクエストを送信するときは、findingIdパラメータを使用して、フィルターの一意の識別子を指定します。この識別子を取得するには、ListFindingsオペレーション.

を使用して機密データサンプルを取得して表示するにはAWS CLIで、を実行get-sensitive-data-occurrencesコマンドを実行し、finding-idパラメータを使用して、フィルターの一意の識別子を指定します。例:

C:\> aws macie2 get-sensitive-data-occurrences --finding-id "1f1c2d74db5d8caa76859ec52example"

各パラメータの意味は次のとおりです。1f1c2d74db5d8caa76859ec52 例は、フィルターの一意の識別子です。を使用してこの識別子を取得するにはAWS CLIで、を実行リスト調査結果コマンド。

リクエストが成功すると、Macie はリクエストの処理を開始し、お客様は次のような出力を受け取ります。

{ "status": "PROCESSING" }

リクエストを処理するには、数分かかることがあります。数分以内に、もう一度リクエストを送信してください。

Macie が機密データサンプルを検索、取得、暗号化できる場合、Macie はサンプルをsensitiveDataOccurrencesマップ。このマップでは、結果によって報告された機密データを 1 ~ 100 種類指定し、各タイプに 1 ~ 10 個のサンプルを指定します。各サンプルには、調査結果によって報告された機密データの出現の最初の 1 ~ 128 文字が含まれています。

マップでは、各キーはマネージドデータ識別子センシティブデータを検出したか、センシティブデータを検出したカスタムデータ識別子の名前と一意の識別子。値は、指定された管理データ識別子またはカスタムデータ識別子のサンプルオカレンスです。たとえば、次の応答は、フルネームの 3 つのサンプルと 2 つのサンプルを提供します。AWS管理対象データ識別子 (NAMEそしてAWS_CREDENTIALS、それぞれ)。

{ "sensitiveDataOccurrences": { "NAME": [ { "value": "Akua Mansa" }, { "value": "John Doe" }, { "value": "Martha Rivera" } ], "AWS_CREDENTIALS": [ { "value": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY" }, { "value": "je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY" } ] }, "status": "SUCCESS" }

リクエストは成功するが、機密データサンプルが調査結果に利用できない場合は、UnprocessableEntityExceptionサンプルが使用できない理由を示すメッセージ。例:

{ "message": "An error occurred (UnprocessableEntityException) when calling the GetSensitiveDataOccurrences operation: OBJECT_UNAVAILABLE" }

前の例では、Macie は影響を受けた S3 オブジェクトからサンプルを取得しようとしましたが、オブジェクトはもう存在しません。オブジェクトが名前変更、移動、または削除された、または結果の作成後にオブジェクトが変更された。

リクエストが成功したが、Macie が見つけた機密データサンプルを取得して公開できなかった場合は、お客様は次のような出力を受け取ります。

{ "error": "Macie can't retrieve the samples. You're not allowed to access the affected S3 object or the object is encrypted with a key that you're not allowed to use.", "status": "ERROR" }

の値statusフィールドはERRORerrorフィールドには、発生したエラーの説明が表示されます。前のトピックの情報は、エラーのトラブルシューティングに役立ちます。