Amazon Macie の調査結果のタイプ - Amazon Macie
ポリシーの検出結果のタイプ機密データの調査結果のタイプ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Macie の調査結果のタイプ

Amazon Macie は、2 つのカテゴリの調査結果を生成します: [policy findings] (ポリシーの調査結果) と[sensitive data findings] (機密データの調査結果)。[policy finding] (ポリシーの調査結果) は、Amazon SSimple Storage Service (Amazon S3) バケットのセキュリティまたはプライバシーに関する潜在的なポリシー違反や問題の詳細なレポートです。Macie は、セキュリティとアクセスコントロールのために S3 バケットを評価およびモニタリングする継続的なアクティビティの一部としてポリシーの調査結果を生成します。[sensitive data finding] (機密データの調査結果) は、Macie が S3 オブジェクトで検出した機密データの詳細なレポートです。Macie は、ユーザーが機密データ検出ジョブを実行したり、アカウントの機密データ自動検出を実行したりするときに、実行するアクティビティの一部として、機密データの検出結果を生成します。

各カテゴリには、特定のタイプがあります。[finding] (調査結果) は、Macie が見つけた問題や機密データの性質に関する洞察を提供します。[finding] (調査結果) の詳細には、重要度評価、影響を受けたリソースに関する情報、およびMacie が問題を見つけたタイミングと方法などの追加情報や [sensitive data] 調査結果が表示されます。

ヒント

Macie が生成できるさまざまなカテゴリとタイプの調査結果を探索して学ぶために、[create sample findings] (サンプル調査結果を作成) します。サンプル調査結果では、データ例とプレースホルダー値を使用して、各タイプの調査結果に含まれる可能性のある情報の種類を示します。

ポリシーの検出結果のタイプ

Amazon Macie は、バケットとバケットのオブジェクトのセキュリティまたはプライバシーを低下させる方法で S3 バケットのポリシーまたは設定が変更されたときにポリシーの調査結果を生成します。Macie がこれらの変更を検出する方法については、「」を参照してくださいMacie が Amazon S3 データセキュリティをモニタリングする方法

Macie は、について Macie を有効にした後に変更が発生した場合にのみ、ポリシーの調査結果を生成しますAWS アカウント。たとえば、Macie を有効にした後に、S3 バケットのブロックパブリックアクセス設定が無効になった場合、Macie は [Policy: IAMUser/S3]BlockPublicAccessDisabled 調査結果をバケットで生成します。ただし、Macie を有効にしてから、引き続き無効になっているときに、バケットで無効になった場合、Macie は [Policy: IAMUser/S3]BlockPublicAccessDisabled 調査結果をバケットで生成しません。

Macie は、既存のポリシーの調査結果のその後の出現を検出すると、Macie は、その後の出現に関する詳細を追加し、出現の数を増加させて、既存の調査結果を更新します。Macie は、90 日間ポリシーの調査結果を保存します。

Macie は S3 バケットに対して次のタイプのポリシーの調査結果を生成できます。

Policy:IAMUser/S3BlockPublicAccessDisabled

バケットのブロックパブリックアクセス設定がすべて無効になりました。バケットへのアクセスは、アカウントのブロックパブリックアクセス設定、アクセス制御リスト (ACL)、およびバケットのバケットポリシーによって制御されます。

S3 バケットのブロックパブリックアクセス設定の詳細については、Amazon Simple Storage Service ユーザーガイドの「Amazon S3 ストレージへのパブリックアクセスのブロック」を参照してください。

Policy:IAMUser/S3BucketEncryptionDisabled

バケットのデフォルトの暗号化設定は、Amazon S3 マネージドキーを使用して新しいオブジェクトを自動的に暗号化するという、デフォルトの Amazon S3 暗号化動作にリセットされました。

2023 年 1 月 5 日以降、Amazon S3 は、バケットに追加されるオブジェクトの暗号化の基本レベルとして、Amazon S3 が管理するキー (SSE-S3) によるサーバー側の暗号化を自動的に適用します。オプションで、AWS KMS代わりに新しいオブジェクトをキー (SSE-KMS) で暗号化するようにバケットのデフォルトの暗号化設定を構成できます。S3 バケットのデフォルトの暗号化設定とオプションの詳細については、Amazon Storage Service ユーザーガイドの「S3 バケットのデフォルトのサーバー側の暗号化動作の設定」を参照してください。

Macie がこの種の結果を 2023 年 1 月 5 日より前に生成した場合、その結果は、影響を受けたバケットのデフォルトの暗号化設定が無効になっていることを示しています。つまり、バケットの設定では、新しいオブジェクトに対するデフォルトのサーバー側暗号化動作が指定されていませんでした。バケットのデフォルトの暗号化設定を無効にする機能は、Amazon S3 ではサポートされなくなりました。

Policy:IAMUser/S3BucketPublic

バケットの ACL またはバケットポリシーが、匿名ユーザーまたは認証されたすべてのAWS Identity and Access Management (IAM) ID によるアクセスを許可するように変更されました。

S3 バケットの ACL およびバケットポリシーの詳細については、Amazon Simple Storage Service ユーザーガイドの「Amazon S3 での Identity and Access Management」を参照してください。

Policy:IAMUser/S3BucketReplicatedExternally

レプリケーションが有効になり、バケットから組織の一部ではない (の一部ではない) バケットにオブジェクトをレプリケートするように設定されました。AWS アカウント[organization] (組織) は、AWS Organizations を通じて、またはMacie の招待によって、関連するアカウントのグループとして集中管理される Macie アカウントのセットです。

S3 バケットのレプリケーション設定の詳細については、Amazon Simple Storage Service ユーザーガイドの「オブジェクトのレプリケーション」を参照してください。

Policy:IAMUser/S3BucketSharedExternally

バケットの ACL またはバケットポリシーが、バケットが組織の一部ではないと共有されることを許可するように変更されました。AWS アカウント[organization] (組織) は、AWS Organizations を通じて、またはMacie の招待によって、関連するアカウントのグループとして集中管理される Macie アカウントのセットです。

場合によっては、外部の AWS アカウントと共有されていないバケットについて、Macie がこの種の検索結果を生成することがあります。これは、Macie がバケットのポリシー内の要素と、PrincipalAWSポリシーの要素内の特定のグローバル条件コンテキストキーとの関係を十分に評価できない場合に発生する可能性がありますCondition該当する条件コンテキストキーはaws:PrincipalAccount、、aws:PrincipalArnaws:PrincipalOrgIDaws:PrincipalOrgPathsaws:PrincipalTagaws:PrincipalTypeaws:SourceAccountaws:SourceArnおよびです。バケットのポリシーを確認して、このアクセスが意図的で安全かどうかを判断することをお勧めします。

S3 バケットの ACL およびバケットポリシーの詳細については、Amazon Simple Storage Service ユーザーガイドの「Amazon S3 での Identity and Access Management」を参照してください。

Policy:IAMUser/S3BucketSharedWithCloudFront

バケットのバケットポリシーが変更され、バケットを Amazon CloudFront オリジンアクセスアイデンティティ (OAI)、 CloudFront オリジンアクセスコントロール (OAC)、または CloudFront OAI と CloudFront OAC の両方と共有できるようになりました。 CloudFront OAI または OAC を使用すると、ユーザーは 1 CloudFront つ以上の指定されたディストリビューションを通じてバケットのオブジェクトにアクセスできます。

OAI と CloudFront OAC の詳細については、Amazon CloudFront開発者ガイドのAmazon S3 オリジンへのアクセスの制限」を参照してください。

注記

場合によっては、Macie がバケットの policy: iamuser/S3BucketSharedExternally 結果の代わりに policy: iamuser/S3BucketSharedWithCloudFront の結果を生成することがあります。これらのケースは以下のとおりです。

  • バケットは、AWS アカウント CloudFront OAI または OAC に加えて、組織外部のユーザーと共有されます。

  • バケットのポリシーは、Amazon リソースネーム (ARN) ではなく、 CloudFront OAI の正規ユーザー ID を指定します。

これにより、バケットのポリシー結果の重要度が高くなります。

機密データの調査結果のタイプ

Macie は、機密データを検出するために分析する S3 オブジェクト内の機密データを検出するときに、機密データの調査結果を生成します。これには、機密データ検出ジョブを実行したときや、機密データの自動検出を実行するときに Macie が実行する分析が含まれます。

たとえば、機密データ検出ジョブを作成して実行し、Macie が S3 オブジェクトで銀行口座番号を検出した場合、Macie はそのオブジェクトの:S3Object/Financial SensitiveData結果を生成します。同様に、自動化された機密データ検出サイクル中に Macie が分析する S3 オブジェクトで銀行口座番号を検出すると、Macie はそのオブジェクトの:S3Object/FINANCIAL SensitiveData結果を生成します

Macie が後続のジョブ実行または機密データの自動検出サイクル中に同じ S3 オブジェクトから機密データを検出した場合、Macie はそのオブジェクトに関する新しい機密データ検出結果を生成します。ポリシーの調査結果とは異なり、機密データの調査結果はすべて新規 (一意) として処理されます。Macie は機密データの調査結果を 90 日間保存します。

Macie は S3 オブジェクトに対して次のタイプの機密データの調査結果を生成できます。

SensitiveData:S3Object/Credentials

オブジェクトには、AWSシークレットアクセスキーやプライベートキーなどの認証データが含まれています。

SensitiveData:S3Object/CustomIdentifier

オブジェクトには、1 つ以上のカスタムデータ識別子の検出基準に一致するテキストが含まれています。オブジェクトには、複数のタイプの機密データが含まれている場合があります。

SensitiveData:S3Object/Financial

オブジェクトには、銀行口座番号やクレジットカード番号などの財務情報が含まれています。

SensitiveData:S3Object/Multiple

オブジェクトには、1 つ以上のカテゴリの機密データカテゴリ (1 つ以上のカスタムデータ識別子の検出基準に一致する認証情報、財務情報、個人情報、またはテキストの任意の組み合わせ) が含まれています。

SensitiveData:S3Object/Personal

オブジェクトには、個人を特定できる情報 (郵送先住所や運転免許証の識別番号など)、個人の健康情報 (健康保険や医療識別番号など)、またはこれらの 2 つの組み合わせが含まれています。

Macie が組み込み型の基準と手法を使用して検出できる機密データのタイプの詳細については、「」を参照してくださいマネージドデータ識別子の使用。Macie が分析できる S3 オブジェクトのタイプの詳細については、「サポートされるストレージクラスと形式」を参照してください。