Macie の検出結果を使用した機密データのサンプルの取得

Amazon Macie が検出結果で報告する機密データの性質を検証するために、必要に応じ、Macie を設定して使用し、個々の検出結果によって報告された機密データのサンプルを取得して公開することができます。これには、Macie が マネージドデータ識別子 を使用して検出した機密データ、および使用するジョブを設定している任意の カスタムデータ識別子 の基準に一致するデータが含まれます。サンプルは、対象の Amazon Simple Storage Service (Amazon S3) オブジェクトとバケットの調査をカスタマイズするのに役立ちます。

検出結果についての機密データのサンプルを取得して公開する場合、Macie は次の一般的なタスクを実行します。

1. 検出結果によって、機密データの個別の出現場所と、対応する機密データ検出の結果の場所が指定されていることを確認します。

2. 対応する機密データ検出の結果を評価し、対象の S3 オブジェクトのメタデータ、およびオブジェクトにおいて機密データが出現した場所のデータの有効性を確認します。

3. 機密データ検出結果のデータを使用して、検出結果によって報告された機密データの最初の 1 ～ 10 件を特定し、該当する S3 オブジェクトから各出現箇所の最初の 1 ～ 128 文字を抽出します。検出結果から複数タイプの機密データが報告された場合、Macie は最大 100 種類の機密データを検出します。

4. で抽出されたデータを暗号化する AWS Key Management Service (AWS KMS) 指定したキー。

5. 暗号化されたデータを一時的にキャッシュに保存し、確認できるようにデータを表示します。データは、転送時および保管時のいずれも常に暗号化されます。

6. 運用上の問題を解決するために一時的に追加の保存が必要になった場合を除き、データは抽出、暗号化の後すぐにキャッシュから完全に削除されます。

検出結果についての機密データのサンプルを再度取得して公開することを選択した場合、Macie はこれらのタスクを繰り返して、サンプルを検索、抽出、暗号化、保存し、最終的には削除します。

Macie はこれらのタスクを実行するのに、アカウントの Macie サービスにリンクされたロールを使用しません。代わりに、 を使用します。 AWS Identity and Access Management （IAM) ID を指定するか、Macie がアカウントの IAMロールを引き受けることを許可します。ユーザーまたはロールが必要なリソースとデータにアクセスし、必要なアクションを実行することを許可されている場合は、検出結果についての機密データのサンプルを取得して公開することができます。必要なアクションはすべてログインされます AWS CloudTrail.

重要

カスタムIAMポリシー を使用して、この機能へのアクセスを制限することをお勧めします。アクセスコントロールを追加するには、専用の も作成することをお勧めします。 AWS KMS key は、取得される機密データサンプルの暗号化に使用し、キーの使用を、機密データのサンプルの取得と公開を許可する必要があるプリンシパルのみに制限します。

この機能へのアクセスを制御するために使用できるポリシーの推奨事項と例については、 の次のブログ記事を参照してください。 AWS セキュリティブログ: Amazon Macie を使用して S3 バケット内の機密データをプレビューする方法。

このセクションのトピックでは、Macie を設定および使用して、検出結果の機密データのサンプルを取得および開示する方法について説明します。これらのタスクは、すべての で実行できます。 AWS リージョン アジアパシフィック (大阪) およびイスラエル (テルアビブ) リージョンを除く Macie が現在利用可能な 。

トピック

• サンプルを取得するための設定オプション
• サンプルを取得するように Macie を設定する
• サンプルの取得