Macie 検出結果の機密データサンプルの取得 - Amazon Macie
開始する前に検出結果についてのサンプルが使用できるかどうかの判断検出結果のサンプルの取得

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Macie 検出結果の機密データサンプルの取得

Amazon Macie を使用すると、Macie が個々の機密データの検出結果で報告する機密データのサンプルを取得して公開できます。これには、Macie が マネージドデータ識別子 を使用して検出した機密データ、および使用するジョブを設定している任意の カスタムデータ識別子 の基準に一致するデータが含まれます。サンプルは、Macie が検出した機密データの性質を確認するのに役立ちます。また、影響を受ける Amazon Simple Storage Service (Amazon S3) オブジェクトとバケットの調査を調整するのにも役立ちます。すべての で機密データのサンプルを取得して公開できます。 AWS リージョン アジアパシフィック (大阪) およびイスラエル (テルアビブ) リージョンを除く Macie が現在利用可能な 。

検出結果の機密データサンプルを取得して公開すると、Macie は対応する機密データ検出結果のデータを使用して、検出結果によって報告された機密データの最初の 1~10 件の出現を見つけます。次に、Macie は該当する S3 オブジェクトから各出現の最初の 1 ~ 128 文字を抽出します。検出結果から複数のタイプの機密データが報告された場合、Macie はその結果によって報告された最大 100 タイプの機密データに対して抽出を行います。

Macie が影響を受けた S3 オブジェクトから機密データを抽出すると、Macie はデータを で暗号化します。 AWS Key Management Service (AWS KMS) 指定した キーは、暗号化されたデータを一時的にキャッシュに保存し、検出結果の結果にデータを返します。Macie は、運用上の問題を解決するために一時的に追加の保存が必要になった場合を除き、抽出と暗号化の直後に、データをキャッシュから完全に削除します。

機密データのサンプルを再度取得して公開することを選択した場合、Macie はサンプルの検索、抽出、暗号化、保存、そして最終的には削除のプロセスを繰り返します。

Amazon Macie コンソールを使用して機密データサンプルを取得して公開する方法のデモンストレーションについては、以下のビデオをご覧ください。

開始する前に

検出結果についての機密データのサンプルを取得して公開する前に、Amazon Macie アカウントの設定を構成し、有効にする必要があります。また、 AWS 管理者が必要なアクセス許可とリソースを持っていることを確認します。

検出結果についての機密データのサンプルを取得して公開すると、Macie は、サンプルを検索、取得、暗号化、公開する一連のタスクを実行します。Macie はこれらのタスクを実行するのに、アカウントの Macie サービスにリンクされたロールを使用しません。代わりに、 を使用します。 AWS Identity and Access Management (IAM) ID を指定するか、Macie がアカウントの IAMロールを引き受けることを許可します。

検出結果の機密データのサンプルを取得して公開するには、検出結果、対応する機密データ検出結果、および にアクセスできる必要があります。 AWS KMS key Macie が機密データサンプルの暗号化に使用するように設定した 。さらに、ユーザーまたはIAMロールは、影響を受ける S3 バケットと影響を受ける S3 オブジェクトへのアクセスを許可されている必要があります。ユーザーまたはロールには、 の使用も許可されている必要があります。 AWS KMS key 必要に応じて、影響を受けたオブジェクトの暗号化に使用された 。必要なアクセスを拒否するIAMポリシー、リソースポリシー、またはその他のアクセス許可設定がある場合、エラーが発生し、Macie は検出結果のサンプルを返します。

また、次の Macie アクションの実行が許可される必要があります。

  • macie2:GetMacieSession

  • macie2:GetFindings

  • macie2:ListFindings

  • macie2:GetSensitiveDataOccurrences

最初の 3 つのアクションでは、Macie アカウントにアクセスして検出結果の詳細を取得できます。最後のアクションでは、検出結果についての機密データのサンプルを取得して公開できます。

Amazon Macie コンソールを使用して機密データのサンプルを取得して公開するには、次のアクションの実行も許可されている必要があります: macie2:GetSensitiveDataOccurrencesAvailability。このアクションにより、個々の検出結果にサンプルがあるかどうかを判断できます。このアクションを実行しても、サンプルをプログラムで取得して公開するアクセス許可は必要ありません。ただし、このアクセス許可があると、サンプルの検索を効率化できます。

ユーザーが組織の委任 Macie 管理者であり、機密データのサンプルを取得する IAMロールを引き受けるように Macie を設定した場合、次のアクションの実行も許可されている必要があります: macie2:GetMember。このアクションにより、自分のアカウントと対象のアカウントとの関連付けに関する情報を取得できます。これにより、対象のアカウントについてユーザーが現在 Macie の管理者であることを Macie が検証できます。

必要なアクションを実行したり、必要なデータとリソースにアクセスしたりすることが許可されていない場合は、 AWS 管理者によるサポート。

検出結果についての機密データのサンプルが使用できるかどうかの判断

検出結果に必要な機密データのサンプルを取得して明らかにするためには、その検出結果が一定の基準を満たす必要があります。特定の機密データが見つかった場合の位置データを含める必要があります。さらに、対応する有効な機密データ検出結果の場所を指定する必要があります。機密データの検出結果は、同じ に保存する必要があります。 AWS リージョン を結果として使用します。を引き受けて、影響を受ける S3 オブジェクトにアクセスするように Amazon Macie を設定した場合 AWS Identity and Access Management (IAM) ロール。機密データの検出結果は、Macie がハッシュベースのメッセージ認証コード (HMAC) で署名した S3 オブジェクトにも保存する必要があります。 AWS KMS key.

影響を受ける S3 オブジェクトも一定の基準を満たす必要があります。オブジェクトMIMEのタイプは、次のいずれかである必要があります。

  • application/avro は、Apache Avro オブジェクトコンテナ (.avro) ファイルの場合

  • application/gzip、Zip GNU 圧縮アーカイブ (.gz または .gzip) ファイルの場合

  • application/json、 JSONまたは JSON Lines (.json または .jsonl) ファイルの場合

  • application/parquet、Apache Parquet (.parquet) ファイル

  • application/vnd.openxmlformats-officedocument.spreadsheetml.sheet、Microsoft Excel ワークブック (.xlsx) ファイルのサイズ

  • application/zip、ZIP圧縮アーカイブ (.zip) ファイルの場合

  • text/csvCSV (.csv) ファイルの場合は 。

  • text/plain、、、JSONJSON行CSV、または ファイル以外の非バイナリテキストTSVファイルの場合

  • text/tab-separated-valuesTSV (.tsv) ファイルの場合は、

さらに、S3 オブジェクトの内容は検出結果が作成されたときと同じである必要があります。Macie はオブジェクトのエンティティタグ (ETag) をチェックして、検出結果でETag指定された と一致するかどうかを判断します。また、オブジェクトのストレージサイズは、機密データサンプルの取得と公開に適用されるサイズクォータを超えることはできません。適用可能なクォータのリストについては、Macie のクォータを参照してください。

結果と影響を受ける S3 オブジェクトが前述の基準を満たす場合は、その検出結果に機密データのサンプルを使用できます。オプションで、サンプルを取得して公開する前に、特定の検出結果に当てはまるかどうかを判断できます。

センシティブデータのサンプルが検出結果に利用できるかどうかを判断するには

Amazon Macie コンソールまたは Amazon Macie を使用してAPI、機密データのサンプルが検出結果に使用できるかどうかを判断できます。

Console

Amazon Macie コンソールの次の手順に従って、機密データのサンプルが検出結果に利用できるかどうかを判断します。

検出結果にサンプルが使用できるかどうかを判断するには

  1. で Amazon Macie コンソールを開きますhttps://console.aws.amazon.com/macie/

  2. ナビゲーションペインで 調査結果 を選択します。

  3. GuardDuty の 検出結果 のページで、検出結果を選択します。詳細パネルに、調査結果の情報が表示されます。

  4. 詳細パネルで、詳細 セクションにスクロールします。次に、[サンプルを公開] フィールドを参照してください。

    検出結果に機密データのサンプルがある場合は、次の図に示すように レビュー リンクがフィールドに表示されます。

    検出結果の詳細パネルの [サンプルを公開] フィールド。このフィールドには、[確認] というラベルのリンクが含まれています。

    検出結果に用いる機密データサンプルがない場合、[サンプルを公開] フィールドには理由を示すテキストが表示されます。

    • [アカウントが組織に含まれていません] – Macie を使用して、対象の S3 オブジェクトにアクセスすることは許可されていません。対象のアカウントは現在、組織に属していません。または、アカウントは組織の一部ですが、Macie は現在、現在の のアカウントに対して有効になっていません。 AWS リージョン.

    • [分類の結果が無効です] – 検出結果についての機密データ検出の結果はありません。または、対応する機密データの検出結果が現在の で利用できない AWS リージョン、不正な形式または破損している、またはサポートされていないストレージ形式を使用している。Macie は、取得する機密データの場所を検証できません。

    • [結果の署名が無効です] – 対応する機密データ検出の結果は、Macie によって署名されていない S3 オブジェクトに保存されています。Macie は、機密データ検出の結果の完全性と信頼性を検証できません。そのため、Macie は取得する機密データの場所を検証できません。

    • メンバーロールが過度に許容されている — 影響を受けるメンバーアカウントのIAMロールの信頼ポリシーまたはアクセス許可ポリシーが、ロールへのアクセスを制限するための Macie 要件を満たしていません。あるいは、ロールの信頼ポリシーで組織の正しい外部 ID が指定されていません。Macie は、機密データを取得するためのロールを引き受けることができません。

    • アクセス GetMember 許可がない – アカウントと影響を受けるアカウントとの関連付けに関する情報を取得することはできません。Macie は、対象のアカウントについての委任された Macie の管理者として、対象の S3 オブジェクトにアクセスすることが許可されているかどうかを判断できません。

    • [オブジェクトがサイズクォータを超えています] – 対象の S3 オブジェクトのストレージサイズが、そのタイプのファイルから機密データのサンプルを取得して公開するためのサイズクォータを超えています。

    • [オブジェクトを使用できません] – 対象の S3 オブジェクトは使用できません。Macie が検出結果を作成した後に、オブジェクトの名前が変更されたり、移動されたり、削除されたり、その内容が変更されたりしました。または、オブジェクトが で暗号化されている AWS KMS key は利用できません。例えば、キーが無効になっている、削除がスケジュールされている、または削除されたなどです。

    • [結果が署名されていません] – 対応する機密データ検出の結果は、署名されていない S3 オブジェクトに保存されています。Macie は、機密データ検出の結果の完全性と信頼性を検証できません。そのため、Macie は取得する機密データの場所を検証できません。

    • ロールの許容度が高すぎる – アカウントは、信頼ポリシーまたはアクセス許可ポリシーが Macie IAMのロールへのアクセス制限要件を満たしていないロールを使用して、機密データの出現を取得するように設定されています。Macie は、機密データを取得するためのロールを引き受けることができません。

    • [サポートされていないオブジェクトタイプ] – 対象の S3 オブジェクトは、Macie が機密データのサンプルの取得と公開をサポートしていないファイルまたはストレージ形式を使用しています。影響を受ける S3 オブジェクトMIMEのタイプは、前のリストの値の 1 つではありません。

    検出結果についての機密データ検出の結果に問題がある場合は、検出結果の [詳細な結果の場所] フィールドの情報が問題の調査に役立ちます。このフィールドは、Amazon S3 の結果への元のパスを指定します。IAM ロールの問題を調査するには、ロールのポリシーが Macie がロールを引き受けるためのすべての要件を満たしていることを確認します。これらの詳細については、「影響を受ける S3 オブジェクトにアクセスするための IAMロールの設定」を参照してください。

API

機密データのサンプルが検出結果に使用できるかどうかをプログラムで判断するには、Amazon Macie の GetSensitiveDataOccurrencesAvailabilityオペレーションを使用しますAPI。リクエストを送信するときは、findingId パラメータを使用して、検出結果の一意の識別子を指定します。この識別子を取得するには、 ListFindingsオペレーションを使用できます。

を使用している場合 AWS Command Line Interface (AWS CLI) で get-sensitive-data-occurrences-availability コマンドを実行し、 finding-idパラメータを使用して検出結果の一意の識別子を指定します。この識別子を取得するには、list-findingsコマンドを実行します。

リクエストが成功し、検出結果のサンプルが入手された場合は、お客様は次のような出力を受け取ります。

{
    "code": "AVAILABLE",
    "reasons": []
}

リクエストが成功しても結果にサンプルがない場合、code フィールドの値は UNAVAILABLE で、reasons 配列には理由が示されます。例:

{
    "code": "UNAVAILABLE",
    "reasons": [
        "UNSUPPORTED_OBJECT_TYPE"
    ]
}

検出結果についての機密データ検出の結果に問題がある場合は、検出結果の [classificationDetails.detailedResultsLocation] フィールドの情報が問題の調査に役立ちます。このフィールドは、Amazon S3 の結果への元のパスを指定します。IAM ロールの問題を調査するには、ロールのポリシーが Macie がロールを引き受けるためのすべての要件を満たしていることを確認します。これらの詳細については、「影響を受ける S3 オブジェクトにアクセスするための IAMロールの設定」を参照してください。

検出結果の機密データサンプルの取得

検出結果の機密データのサンプルを取得して公開するには、Amazon Macie コンソールまたは Amazon Macie を使用できますAPI。

Console

Amazon Macie コンソールを使用して、検出結果の機密データのサンプルを取得して表示するには、次のステップに従います。

検出結果の機密データサンプルを取得して公開するには

  1. で Amazon Macie コンソールを開きますhttps://console.aws.amazon.com/macie/

  2. ナビゲーションペインで 調査結果 を選択します。

  3. GuardDuty の 検出結果 のページで、検出結果を選択します。詳細パネルに、調査結果の情報が表示されます。

  4. 詳細パネルで、詳細 セクションにスクロールします。次に、[サンプルを公開] フィールドで [確認] を選択します。

    検出結果の詳細パネルの [サンプルを公開] フィールド。このフィールドには、[確認] というラベルのリンクが含まれています。
    注記

    [サンプルを公開] フィールドに [確認] リンクが表示されない場合、機密データのサンプルは結果に使用できません。これが当てはまる理由を確認するには、前のトピック「」を参照してください。

    [レビュー] を選択すると、Macie は検出結果の主要な詳細を要約したページを表示します。詳細には、Macie が影響を受けた S3 オブジェクトで見つけた機密データのカテゴリ、タイプ、出現の数が含まれます。

  5. ページの [機密データ] セクションで、[サンプルを公開] を選択します。その後、Macie は、検出結果によって報告された機密データのうち、最初の 1~10 件の機密データの出現のサンプルを取得して公開します。各サンプルには、機密データの最初の 1 ~ 128 文字が含まれます。サンプルを取得して公開するまでに数分かかる場合があります。

    結果から複数のタイプの機密データが報告された場合、Macie は最大 100 タイプのサンプルを取得して表示します。例えば、次の画像は、複数のカテゴリとタイプの機密データにまたがるサンプルを示しています。AWS 認証情報、米国の電話番号、および人の名前。

    サンプルテーブル。9 つのサンプルと、各サンプルの機密データのカテゴリとタイプが一覧表示されます。

    サンプルは最初にセンシティブデータカテゴリ別に整理され、次にセンシティブデータタイプ別に整理されています。

API

プログラムで検出結果の機密データのサンプルを取得して公開するには、Amazon Macie の GetSensitiveDataOccurrencesオペレーションを使用しますAPI。リクエストを送信するときは、findingId パラメータを使用して、検出結果の一意の識別子を指定します。この識別子を取得するには、 ListFindingsオペレーションを使用できます。

を使用して機密データのサンプルを取得して公開するには AWS Command Line Interface (AWS CLI) get-sensitive-data-occurrences コマンドを実行し、 finding-idパラメータを使用して検出結果の一意の識別子を指定します。例:

C:\> aws macie2 get-sensitive-data-occurrences --finding-id "1f1c2d74db5d8caa76859ec52example"

各パラメータの意味は次のとおりです。1f1c2d74db5d8caa76859ec52example は結果の一意の識別子です。を使用してこの識別子を取得するには AWS CLI、list-findings コマンドを実行できます。

リクエストが成功すると、Macie がリクエストの処理を開始し、お客様は次のような出力を受け取ります。

{
    "status": "PROCESSING"
}

がスタックを作成するのに、数分かかります。数分以内にリクエストを再度送信してください。

Macie が機密データサンプルを検索、取得、暗号化できる場合、Macie はサンプルを sensitiveDataOccurrences マップに返します。マップは、検出結果によって報告された機密データのタイプを 1~100 個指定し、タイプごとにサンプルを 1~10 個指定します。各サンプルには、検出結果によって報告された機密データの最初の 1 ~ 128 文字が含まれています。

マップ内の各キーは、機密データを検出したマネージドデータ識別子の ID、または機密データを検出したカスタムデータ識別子の名前と一意の識別子です。値は、指定されたマネージドデータ識別子またはカスタムデータ識別子のサンプルです。例えば、次のレスポンスは、人の名前の 3 つのサンプルと の 2 つのサンプルを提供します。 AWS マネージドデータ識別子によって検出されたシークレットアクセスキー (NAMEAWS_CREDENTIALSそれぞれ と )。

{
    "sensitiveDataOccurrences": {
        "NAME": [
            {
                "value": "Akua Mansa"
            },
            {
                "value": "John Doe"
            },
            {
                "value": "Martha Rivera"
            }
        ],
        "AWS_CREDENTIALS": [
            {
                "value": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY"
            },
            {
                "value": "je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY"
            }
        ]
    },
    "status": "SUCCESS"
}

リクエストが成功しても、その検出結果に含まれる機密データのサンプルが見つからない場合は、サンプルが入手できない理由を示す UnprocessableEntityException メッセージが表示されます。例:

{
    "message": "An error occurred (UnprocessableEntityException) when calling the GetSensitiveDataOccurrences operation: OBJECT_UNAVAILABLE"
}

前述の例では、Macie は対象の S3 オブジェクトからサンプルを取得しようとしましたが、そのオブジェクトは使用不可になっています。Macie が検出結果を作成した後でオブジェクトの内容が変更されたこともあります。

リクエストが成功しても、別のタイプのエラーで、Macie が検出結果の機密データのサンプルを取得して表示できなかった場合は、お客様は次のような出力が表示されます。

{
    "error": "Macie can't retrieve the samples. You're not allowed to access the affected S3 object or the object is encrypted with a key that you're not allowed to use.",
    "status": "ERROR"
}

ERROR フィールドの値はで、statuserror フィールドには発生したエラーが説明されています。前述のトピックの情報は、エラーを調査するのに役立ちます。