Amazon Macie の調査結果を用いて機密データのサンプルを取得する - Amazon Macie

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Macie の調査結果を用いて機密データのサンプルを取得する

Amazon Macie が検出して結果で報告する機密データの性質を検証するために、オプションで Macie を設定して使用し、個々の調査結果によって報告された機密データのサンプルを取得して表示することができます。これには、Macie が使用して検出した機密データが含まれます。マネージドデータ識別子、およびの基準に一致するデータカスタムデータ識別子使用する機密データ検出ジョブを構成する。これらのサンプルは、Macie が見つけたデータの性質を検証し、影響を受ける Amazon SSimple Storage Service (Amazon S3) のオブジェクトとバケットの調査を調整するのに役立ちます。

調査結果の機密データサンプルを取得して公開するたびに、Macie は次の一般的なタスクを実行します。

  1. 検査結果が、機密データの個別の出現と、対応する機密データの検出結果の場所を指定していることを確認します。

  2. 影響を受けたS3オブジェクトのメタデータと、影響を受けたオブジェクト内の機密データの個別の出現の場所データの両方の有効性をチェックして、対応する機密データの検出結果を評価します。

  3. は、センシティブデータ検出結果のデータを使用して、結果によって報告されたセンシティブデータの最初の 1 ~ 10 個の場所を特定し、影響を受ける S3 オブジェクトから各オカレンスの最初の 1 ~ 128 文字を抽出します。調査結果が複数の種類の機密データを報告する場合、Macie は最大 100 種類までこれを行います。

  4. 抽出したデータをAWS Key Management Service(AWS KMS) キーを指定します。

  5. 暗号化されたデータを一時的にキャッシュに保存し、確認できるようにデータを表示します。のデータは転送中と不使用時のいずれも常に暗号化されます。

  6. 抽出と暗号化の直後に、運用上の問題を解決するために一時的に追加の保持が必要でない限り、はキャッシュからデータを完全に削除します。

Macie は Macie を使わないサービスにリンクされたロールアカウントがこれらのタスクを実行できるようにします。代わりに以下のコマンドを使用しますAWS Identity and Access Management(IAM) の識別情報。サンプルの検索、取得、暗号化、公開を行います。必要なリソースとデータへのアクセスが許可されていて、必要なアクションの実行が許可されている場合は、結果の機密データサンプルを取得して表示できます。必要なアクションはすべてログインしましたAWS CloudTrail

重要

カスタムを使用して、この機能へのアクセスを制限することをお勧めしますIAM ポリシー。さらにアクセス制御する場合は、専用のAWS KMS key取得される機密データサンプルの暗号化、および機密データサンプルの取得と公開を許可する必要があるプリンシパルのみにキーの使用を制限します。

このセクションのトピックでは、Macie を構成および使用して、検査結果の機密データのサンプルを取得し、明らかにする方法について説明します。これらのタスクはすべてのAWS リージョンMacie がアジアパシフィック (大阪) リージョンを除き、現在ご利用いただける場合