Amazon Macie の概念と用語 - Amazon Macie

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Macie の概念と用語

Amazon Macieでは、共通AWSの概念と用語そして、これらの追加用語を使用します。

アカウント

標準AWS アカウントそれはあなたのAWSリソースと、それらのリソースにアクセスできる ID。

Macie を使用するには、AWS側AWS アカウント認証情報で、AWS リージョンここで Macie を使用し、次に Macie をAWS アカウントその地域で。詳細については、「Amazon Macie の開始方法」を参照してください。

Macie には次の 3 種類のアカウントがあります。

  • 管理者アカウント— このタイプのアカウントは、組織の Macie アカウントを管理します。An会社は、相互に関連付けられ、特定の関連するアカウントのグループとして集中管理される Macie アカウントのセットです。AWS リージョン。

  • メンバーアカウント— このタイプのアカウントは、組織の Macie 管理者アカウントに関連付けられ、管理されます。

  • スタンドアロンのアカウント— このタイプのアカウントは、管理者でもメンバーアカウントでもありません。組織の一部ではありません。

Macie アカウントを組織に追加するには、次の 2 つの方法があります。Macie をAWS Organizationsまたは、Macie メンバーシップの招待状を送信して承諾します。詳細については、「複数のアカウントの管理」を参照してください。

管理者アカウント

Macie で、組織の Macie アカウントを管理するアカウント。An会社は、相互に関連付けられ、特定の関連するアカウントのグループとして集中管理される Macie アカウントのセットです。AWS リージョン。

Macie 管理者アカウントのユーザーは、Amazon Simple Storage Service (Amazon S3) のインベントリデータにアクセスできます。ポリシーの結果、および組織内のすべてのアカウントに対する特定の Macie 設定とリソース。他のインスタンスで機密データ検出ジョアカウントが所有する S3 バケット内の機密データを検出します。アカウントが管理者アカウントとしてどのように指定されているかに応じて、組織内の他のアカウントに対して追加のタスクを実行できる場合もあります。

詳細については、「複数のアカウントの管理」を参照してください。

AWS Security Finding 形式

のコンテンツの JSON 形式調査結果に発行された、またはによって生成されたAWS Security Hub。ASFF には、セキュリティ問題のソース、影響を受けるリソース、および結果のステータスに関する詳細が含まれます。

ASFF の詳細については、「」を参照してください。AWSSecurity Finding 形式AWS Security Hubユーザーガイド。Macie の調査結果を Security Hub に公開する方法については、「Amazon Macie の AWS Security Hub との統合

分類可能なバイトまたはサイズ

Macie が提供する S3 バケット統計では、Macie が提供する S3 バケット統計では、すべての分類可能オブジェクトS3 バケット

バケットでバージョニングが有効化されている場合、この値は、バケット内の各分類可能なオブジェクトの最新バージョンのストレージサイズに基づきます。オブジェクトが圧縮ファイルの場合、この値はファイルが解凍後のファイルコンテンツの実際のサイズを反映していません。

詳細については、S3 バケットインベントリを確認する および Amazon S3 のセキュリティ体制を評価する を参照してください。

分類

Macie が機密データを検出するために分析できる S3 オブジェクト。

S3 バケット統計を計算する際、Macie はオブジェクトが分類可能オブジェクトのストレージクラスとファイル名拡張子に基づきます。オブジェクトは分類可能サポートされている Amazon S3 ストレージクラス (S3 Intelligent-Tiering ering or S3 1 ゾーン — IA) を使用し、[supported file or storage format] (サポートされているファイルまたはストレージ形式) のファイル名拡張子を持っている場合。

詳細については、S3 バケットインベントリを確認する および Amazon S3 のセキュリティ体制を評価する を参照してください。

を使用する場合機密データ検出ジョ、Macie は、オブジェクトが分類可能オブジェクトのストレージクラス、ファイル名拡張子、および内容に基づきます。オブジェクトは分類可能サポートされている Amazon S3 ストレージクラスを使用し、サポートされているファイルまたはストレージ形式のファイル名拡張子を持ち、Macie がオブジェクトからデータを抽出および分析できることを確認した場合。

詳細については、機密データの検出 および コストの予測とモニタリング を参照してください。

カスタムデータ識別

機密データを検出するために定義する一連の条件。

基準は、一致するテキストパターン、オプションで文字シーケンス、結果を絞り込む近接ルールを定義する正規表現 (regex) から構成されています。文字シーケンスには次のものがあります。

  • キーワード、正規表現に一致するテキストの近接にある必要がある単語またはフレーズ

  • Ignore 単語(結果から除外する単語またはフレーズ) です。

検出基準に加えて、カスタム重要度設定を定義できます機密データの調査結果カスタムデータ識別子識別子が生成するものです。

詳細については、「カスタムデータ識別子の構築」を参照してください。

フィルタールール

分析のために作成および保存する属性ベースのフィルタ条件のセット調査結果Amazon Macie コンソールで フィルタールールは、特定のタイプの機密データを報告するすべての重要度が高い調査結果など、特定の特性を持つ調査結果の一貫した分析を実行するのに役立ちます。

詳細については、「調査結果のフィルタールールの作成と管理」を参照してください。

検出結果

S3 オブジェクト内の機密データの詳細なレポート、またはS3 バケットのセキュリティまたはプライバシーに関する潜在的な問題の詳細なレポート。各調査結果では、重要度評価、影響を受けたリソースに関する情報、Macie がデータまたは問題を見つけたタイミングなどの詳細が示されます。

Macie は 2 つのカテゴリの調査結果を生成します。機密データの調査結果、Macie が S3 オブジェクトで検出する機密データ用、およびポリシーの結果、S3 バケットのセキュリティまたはプライバシーに関する潜在的な問題について。各カテゴリには、特定のタイプの調査結果があります。

詳細については、「Amazon Macie の調査結果のタイプ」を参照してください。

イベントを検索

アマゾン EventBridge イベントの詳細を含むイベント機密データ調査またはポリシーの調査

Macie は、機密データの調査結果とポリシー調査結果を自動的に Amazon に公開します。 EventBridgeなのでイベント。各イベントは JSON オブジェクトであり、 EventBridge のスキーマAWSイベント. これらのイベントを使用して、他のアプリケーション、サービス、およびシステムを使用して、結果をモニタリング、処理、およびアクションを取ることができます。

これらのイベントのスキーマの詳細については、「」を参照してください。アマゾン EventBridge Amazon Macie 調査結果のイベントスキーマ。Macie が調査結果を EventBridge「」を参照してくださいAmazon Macie の Amazon との統合 EventBridge

ジョブ

「」を参照してください。機密データ検出ジョ

管理データ識別

特定の種類の機密データを検出するように設計された、組み込みの基準と手法のセット。機密データの例としては、クレジットカード番号、AWSシークレットアクセスキー、または特定の国または地域のパスポート番号。これらの識別子は、多くの国や地域の機密データタイプの大規模かつ増加しているリストを検出できます。

詳細については、「マネージドデータ識別子の使用」を参照してください。

メンバーアカウント

指定された Macie が管理する Macie アカウント管理者アカウント組織の場合 An会社は、相互に関連付けられ、特定の関連するアカウントのグループとして集中管理される Macie アカウントのセットです。AWS リージョン。

アカウントは 2 つの方法でメンバーアカウントになることができます。Macie をアカウントの組織と統合する方法です。AWS Organizationsまたは、Macie メンバーシップの招待を承諾します。

メンバーアカウントを持っている場合、Macie 管理者は Amazon S3 インベントリデータにアクセスできます。ポリシーの結果、およびアカウント用の特定の Macie 設定とリソース。管理者で機密データ検出ジョS3 バケット内の機密データを検出します。また、アカウントがどのようにメンバーアカウントになったかに応じて、アカウントに対して追加のタスクを実行できる場合もあります。

詳細については、「複数のアカウントの管理」を参照してください。

組織

相互に関連付けられ、特定の関連するアカウントのグループとして集中管理される Macie アカウントのセットAWS リージョン。

各組織は指定されたMacieで構成されています管理者アカウントおよび1つ以上の関連するメンバーアカウント。管理者アカウントは、メンバーアカウントの特定の Macie 設定、データ、およびリソースにアクセスできます。組織は、2 つの方法で作成できます。Macie をAWS Organizationsまたは、Macieでメンバーシップの招待を送信して承認します。

詳細については、「複数のアカウントの管理」を参照してください。

ポリシーの調査

S3 バケットのセキュリティおよびアクセス制御設定に関する潜在的なポリシー違反または問題の詳細なレポート。詳細には、重要度評価、影響を受けたリソースに関する情報、およびMacie が問題を見つけたタイミングが含まれます。

Macie は、バケットとバケットのオブジェクトのセキュリティまたはプライバシーを低下させる方法で S3 バケットのポリシーまたは設定が変更されたときにポリシーの調査結果を生成します。Macie は、Amazon S3 データの継続的なモニタリングアクティビティの一部としてこれらの結果を生成します。Macie は、いくつかのタイプのポリシー結果を生成できます。

詳細については、Amazon Macie の調査結果のタイプ および Amazon S3 データをモニタリングする を参照してください。

サンプルの検出

ある発見では、データ例とプレースホルダー値を使用して、調査結果に含まれる可能性のある情報の種類を示します。

詳細については、「サンプル調査結果の使用」を参照してください。

機密データ調査

Macie がS3 オブジェクトで検出した機密データの詳細なレポート。この詳細には、重要度評価、影響を受けたリソースに関する情報、Macie が検出した機密データのタイプと発生回数、およびMacie が機密データを検出したタイミングが含まれます。

Macie は、設定した S3 オブジェクト内の機密データを検出するときに、機密データの調査結果を生成します。機密データ検出ジョ分析する。Macie は、いくつかのタイプの機密データの調査結果を生成することができます。

詳細については、Amazon Macie の調査結果のタイプ および 機密データの検出 を参照してください。

機密データ検出ジョ

Aとも呼ばれますジョブは、Macie が S3 オブジェクトを分析し、オブジェクトに機密データが含まれているかどうかを判断するために実行する一連の自動処理および分析タスクです。ジョブを作成するときは、ジョブを実行する頻度を指定し、ジョブの分析の範囲と性質を定義します。

ジョブが実行されると、Macie は見つけた機密データの記録を作成します (機密データの調査結果) とそれが実行する分析 (機密データ検出結果). Macie はロギングデータも Amazon に公開しています CloudWatch ログ。

詳細については、「機密データ検出ジョブの実行」を参照してください。

機密データ検出結果

オブジェクトに機密データが含まれているかどうかを判断するために Macie が S3 オブジェクトに対して実行した分析の詳細を記録するレコード。Macie は、これらのレコードを生成して JSON Lines (.jsonl) ファイルに書き込みます。これにより、指定したS3 バケットに保存されます。レコードは標準化されたスキーマに準拠しています。

を実行すると機密データ検出ジョを選択すると、Macie は、分析するジョブを設定したオブジェクトごとに、機密データ検出結果を作成します。これには、以下のものが含まれます:

  • 機密データを含むため、生成するオブジェクト機密データの調査結果

  • 機密データを含まないため、機密データの検出結果を生成しないオブジェクト。

  • アクセス許可設定やサポートされていないファイルまたはストレージ形式の使用などの問題のため Macie が分析できないオブジェクト。

詳細については、「ジョブの統計と結果の確認」を参照してください。

スタンドアロンのアカウント

管理者でもメンバーアカウントでもない Macie アカウント会社。アカウントは組織の一部ではありません。

抑制された調査

ある発見Aによって自動的にアーカイブされたサプレッションルール。つまり、Macie は発見のステータスを自動的にarchivedなぜなら、その発見は、Macieが発見を生成したときの抑制規則の基準に一致したからです。

詳細については、「調査結果を抑制する」を参照してください。

サプレッションルール

作成してアーカイブに保存する属性ベースのフィルタ条件のセット (抑制)調査結果自動的に。抑制ルールは、調査結果のクラスを確認した後、それらの調査結果を再度通知してほしくない場合に役立ちます。

抑制ルールで調査結果を抑制する場合、Macie はルールの基準に一致する調査結果を生成し続けます。ただし、Macie は調査結果のステータスを自動的に [archived] (アーカイブ済み) に変更します。これは、調査結果がデフォルトで Amazon Macie コンソールに表示されず、Macie が他の人に公開しないことを意味しますAWS のサービス。

詳細については、「調査結果を抑制する」を参照してください。

分類できないバイトまたはサイズ

Macie が提供する S3 バケット統計では、Macie が提供する S3 バケット統計では、すべての分類S3 バケット

バケットでバージョニングが有効化されている場合、この値は、バケット内の各分類可能ではないオブジェクトの最新バージョンのストレージサイズに基づきます。オブジェクトが圧縮ファイルの場合、この値はファイルが解凍後のファイルコンテンツの実際のサイズを反映していません。

詳細については、S3 バケットインベントリを確認する および Amazon S3 のセキュリティ体制を評価する を参照してください。

分類

Macie が機密データを検出するために分析できない S3 オブジェクト。

S3 バケット統計を計算する際、Macie はオブジェクトが分類オブジェクトのストレージクラスとファイル名拡張子に基づきます。オブジェクトは分類サポートされている Amazon S3 ストレージクラス (S3 Intelligent-Tiering ering — IA、S3 Standard、S3 Standard、S3 Standard、S3 Standard、S3 Standard、S3 Standard、S3 Standard、S3 Standard

詳細については、S3 バケットインベントリを確認する および Amazon S3 のセキュリティ体制を評価する を参照してください。

を使用する場合機密データ検出ジョ、Macie は、オブジェクトが分類オブジェクトのストレージクラス、ファイル名拡張子、および内容に基づきます。オブジェクトは分類サポートされている Amazon S3 ストレージクラスを使用しないか、サポートされているファイルまたはストレージ形式のファイル名拡張子を持たないか、Macie がオブジェクトからデータを抽出および分析できなかった場合。たとえば、オブジェクトの形式が不正なファイルです。

詳細については、「機密データの検出」および「コストの予測とモニタリング」を参照してください。