Macie での S3 バケットインベントリの確認 - Amazon Macie

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Macie での S3 バケットインベントリの確認

Amazon MacieコンソールのS3バケットページでは、現在の AWS リージョンのAmazon Simple Storage Service (Amazon S3)データのセキュリティとプライバシーに関する詳細な洞察を提供します。このページでは、リージョン内の S3 汎用バケットの完全なインベントリを確認および分析し、個々のバケットの詳細情報と統計を確認できます。ユーザーが組織の Macie 管理者である場合、インベントリには、メンバーアカウントが所有する S3 バケットの詳細と統計が含まれます。

S3 バケットページには、Macie が毎日の更新サイクルの一部として、アカウントのバケットとオブジェクトメタデータの両方を最後に取得したタイミングも示されます。この情報は、ページの上部の 最終更新フィールドにあります。ユーザーが組織の Macie 管理者である場合、最終更新フィールドには、Macie が組織内のアカウントのデータを取得した最も早い日時が示されます。詳細については、「データの更新」を参照してください。

インベントリデータと統計には、S3 ディレクトリバケットに関するデータはなく、汎用バケットのみが含まれることに注意してください。Macie はディレクトリバケットをモニタリングまたは分析しません。さらに、ほとんどのインベントリデータは、Macie がアカウントに対してアクセスを許可されているバケットに限定されます。バケットのアクセス許可設定により、Macie がバケットまたはバケットのオブジェクトに関する情報を取得するのを妨げるようにしている場合、Macie はバケットに関する情報のサブセットのみを提供できます。これが特定のバケットに当てはまる場合、Macie はバケットインベントリに警告アイコン The warning icon, which is a red triangle that has an exclamation point in it. とメッセージを表示します。バケットの詳細について、Macie はフィールドとデータのサブセットのみを表示します。バケットを所有 AWS アカウント する のアカウント ID、バケットの名前、Amazon リソースネーム (ARN)、作成日、リージョン、および毎日の更新サイクルの一部として Macie がバケットとオブジェクトの両方のメタデータを最後に取得した日時です。問題を調査するには、Amazon S3 内のバケットのポリシーとアクセス許可の設定を確認します。例えば、バケットには制限があるバケットポリシーが設定されている場合があります。詳細については、「Macie が S3 バケットおよびオブジェクトにアクセスすることを許可する」を参照してください。

プログラムでインベントリデータにアクセスしてクエリを実行する場合は、Amazon Macie の DescribeBucketsオペレーションを使用できますAPI。

S3 バケットインベントリを確認する

Amazon Macie コンソールの S3 バケットページには、現在の の S3 汎用バケットに関する情報が表示されます AWS リージョン。このページでは、インベントリ内の各バケットの概要情報がテーブルに表示されます。ビューをカスタマイズするには、テーブルを並べ替えてフィルタリングします。テーブルでバケットを選択すると、詳細パネルにバケットに関する追加情報が表示されます。これには、バケットのデータのセキュリティとプライバシーに関する洞察を提供する設定とメトリクスの詳細と統計が含まれます。オプションで、テーブルからカンマ区切り値 (CSV) ファイルにデータをエクスポートできます。

機密データの自動検出が有効になっている場合は、インタラクティブなヒートマップを使用してインベントリを確認するオプションもあります。このマップは、Amazon S3 データ資産全体のデータ機密性を視覚的に表しています。Macie がこれまでに実行した機密データ自動検出アクティビティの結果をキャプチャします。このマップの詳細については、S3 バケットマップによるデータ機密性の視覚化を参照してください。

S3 バケットインベントリを確認するには
  1. で Amazon Macie コンソールを開きますhttps://console.aws.amazon.com/macie/

  2. ナビゲーションペインで、S3 バケットを選択します。S3 バケットページにはバケットインベントリが表示されます。ページにインベントリのインタラクティブマップが表示されている場合は、ページの上部にあるテーブル ( The table view button, which is a button that displays three black horizontal lines. ) を選択します。S3 バケットページが開き、インベントリ内のバケットの数とバケットのテーブルが表示されます。

    自動機密データ検出が有効になっている場合、デフォルトビューには、現在自動検出から除外されているバケットのデータが表示されません。このデータを表示するには、フィルターボックスの下にある自動検出フィルタートークンによってモニタリングされている で X を選択します。

  3. ページの上部で、必要に応じて、更新 The refresh button, which is a button that displays an empty, dark gray circle with an arrow. を選択して、Amazon S3 から最新のバケットメタデータを取得します。

    情報アイコン The information icon, which is a blue circle that has a lowercase letter i in it. がバケット名の横に表示された場合、これを行うことをお勧めします。このアイコンは、Macie が 毎日の更新サイクルの一部として Amazon S3 からバケットとオブジェクトメタデータをおそらく最後に取得した後の過去 24 時間にバケットが作成されたことを示します。

  4. S3 バケットテーブルで、インベントリ内の各バケットに関する情報のサブセットを確認します。

    • 機密性 — 自動機密データ検出が有効になっている場合のバケットの現在の機密性スコア。Macie が定義する機密性スコアの範囲については、S3 バケットの機密スコアを参照してください。

    • バケット — バケットの名前。

    • アカウント— バケットを所有している AWS アカウント のアカウント ID。

    • 分類可能なオブジェクト– バケット内の機密データを検出するために Macie が分析できるオブジェクトの総数。

    • 分類可能なサイズ– バケット内の機密データを検出するために Macie が分析できるすべてのオブジェクトの合計ストレージサイズ。

      この値は、圧縮解除後の圧縮オブジェクトの実際のサイズを反映していないことに注意してください。また、バケットでバージョニングが有効化されている場合、この値は、バケット内の各オブジェクトの最新バージョンのストレージサイズに基づきます。

    • ジョブによるモニタリング – 機密データ検出ジョブを設定して、バケット内のオブジェクトを毎日、毎週、または毎月ベースで定期的に分析するかどうか。

      このフィールドの値が はいの場合、バケットが定期的なジョブに明示的に含まれるか、バケットが過去 24 時間以内の定期的なジョブの基準に一致したことになります。さらに、それらのジョブの少なくとも 1 つのステータスは キャンセルされません。Macie は毎日ベースでこのデータを更新します。

    • 最新のジョブ実行 — バケット内のオブジェクトを分析するために、定期的な機密データ検出ジョブまたは 1 回限りの機密データ検出ジョブを設定した場合、このフィールドには、それらのジョブのいずれかの実行が開始された最新の日時が表示されます。それ以外の場合は、このフィールドにダッシュ (–) が表示されます。

    前述のデータでは、オブジェクトは、サポートされているAmazon S3のストレージクラスを使用し、サポートされているファイルまたはストレージフォーマットのファイル名拡張子を持っていれば、分類可能です。Macie を使用して、オブジェクト内の機密データを検出できます。詳細については、サポートされているストレージクラスとフォーマットを参照してください。

  5. テーブルを使用してインベントリを分析するには、次のいずれかの操作を行います。

    • 特定のフィールドでテーブルをソートするには、フィールドの列見出しを選択します。ソート順序を変更するには、列見出しを再度選択します。

    • テーブルをフィルタリングし、フィールドに対して特定の値を持つバケットのみを表示するには、フィルターボックスにカーソルを置き、フィールドでフィルター条件を追加します。結果をさらに絞り込むには、追加のフィールドでフィルター条件を追加します。詳細については、S3 バケットインベントリをフィルタリングするを参照してください。

  6. 特定のバケットの詳細と統計を確認するには、テーブルでバケットの名前を選択し、詳細パネルを参照します。

    ヒント

    バケット詳細パネルでは、多くのフィールドをピボットしてドリルダウンできます。フィールドに対して同じ値を持つバケットを表示するには、フィールドで The zoom in icon, which is a magnifying glass that has a plus sign in it. を選択します。フィールドに対して他の値を持つバケットを表示するには、フィールドで The zoom out icon, which is a magnifying glass that has a minus sign in it. を選択します。

  7. テーブルからCSVファイルにデータをエクスポートするには、エクスポートする各行のチェックボックスを選択するか、選択列見出しのチェックボックスを選択してすべての行を選択します。次に、ページの上部にあるエクスポートCSVを選択します。テーブルから最大 50,000 行をエクスポートできます。

S3 バケットの詳細を確認する

Amazon Macie コンソールでは、S3 バケットページの詳細パネルを使用して、S3 バケットS3インベントリ内の各汎用バケットに関する統計やその他の情報を確認できます。これには、バケットのデータのセキュリティとプライバシーに関する洞察を提供する設定とメトリクスの詳細と統計が含まれます。

たとえば、S3 バケットのパブリックアクセス設定の内訳を確認し、バケットがオブジェクトをレプリケートするように設定されているか、他の AWS アカウントと共有するかを判断できます。また、バケットに機密データがないか検査するように機密データ検出ジョブを設定しているかどうかも判断できます。ある場合は、最後に実行されたジョブの詳細にアクセスし、オプションでジョブが生成した検出結果を表示できます。

機密データの自動検出が有効になっている場合は、詳細パネルを使用して、機密データ検出統計や個々の S3 バケットに関するその他の情報を確認することもできます。このパネルには、Macie がこれまでにバケットに対して行った機密データ自動検出アクティビティの結果がキャプチャされます。これらの詳細については、S3 バケットのデータ機密性の詳細の確認を参照してください。

S3 バケットの詳細を確認するには
  1. で Amazon Macie コンソールを開きますhttps://console.aws.amazon.com/macie/

  2. ナビゲーションペインで、S3 バケットを選択します。S3 バケットページにはバケットインベントリが表示されます。

    自動機密データ検出が有効になっている場合、デフォルトビューには、現在自動検出から除外されているバケットのデータが表示されません。このデータを表示するには、フィルターボックスの下にある自動検出フィルタートークンによってモニタリングされている で X を選択します。

  3. ページの上部で、必要に応じて、更新 The refresh button, which is a button that displays an empty, dark gray circle with an arrow. を選択して、Amazon S3 から最新のバケットメタデータを取得します。

  4. 詳細を確認するバケットを選択します。詳細パネルには、バケットに関する統計およびその他の情報が表示されます。

詳細パネルでは、統計と情報が次の主要セクションにまとめられています。

概要| オブジェクト統計| サーバー側の暗号化| 機密データ検出| パブリックアクセス| レプリケーション| タグ

各セクションの情報を確認するときに、必要に応じて特定のフィールドをピボットしてドリルダウンできます。フィールドに対して同じ値を持つバケットを表示するには、フィールドで The zoom in icon, which is a magnifying glass that has a plus sign in it. を選択します。フィールドに対して他の値を持つバケットを表示するには、フィールドで The zoom out icon, which is a magnifying glass that has a minus sign in it. を選択します。

概要

このセクションでは、バケットの名前、バケットの作成日時、バケットを所有 AWS アカウント する のアカウント ID など、バケットに関する一般的な情報を提供します。特に、最終更新フィールドは、Macie がバケットまたはバケットのオブジェクトのメタデータを Amazon S3 から取得した日時を示します。

共有アクセスフィールドは、バケットが別の 、Amazon CloudFront オリジンアクセスアイデンティティ (OAI) AWS アカウント、または CloudFront オリジンアクセスコントロール () と共有されているかどうかを示しますOAC。

  • 外部 – バケットは、、 CloudFront OAI、CloudFront OACまたは組織の外部 (一部ではない) アカウントのいずれか、または組み合わせと共有されます。

  • 内部 — バケットは組織の内部にある (一部である) 1 つ以上のアカウントと共有されます。または と共有 CloudFront OAIされませんOAC。

  • Not shared – バケットは別のアカウント、 CloudFront OAI、または と共有されません CloudFront OAC。

  • 不明— Macie はバケットの共有アクセス設定を評価できませんでした。

バケットが別の と共有されているかどうかを判断するために AWS アカウント、Macie はバケットのバケットポリシーとアクセスコントロールリスト (ACL) を分析します。分析はバケットレベルの設定に制限されます。特定のオブジェクトをバケット内で共有するためのオブジェクトレベルの設定は反映されません。さらに、組織は、 を通じて、 AWS Organizations または Macie の招待によって関連アカウントのグループとして一元管理される一連の Macie アカウントとして定義されます。バケットを共有するための Amazon S3 オプションの詳細については、「Amazon Simple Storage Service ユーザーガイド」の「アクセス管理」を参照してください。

注記

場合によっては、Macie はバケットが組織の外部 (一部ではない) AWS アカウント と共有されていると誤って指摘することがあります。これは、Macie がバケットポリシー内の Principal 要素と、ポリシーの Condition 要素内の特定のAWS グローバル条件コンテキストキーまたは Amazon S3 条件キーとの関係を完全に評価できない場合に発生する可能性があります。適用可能な条件キーはaws:PrincipalAccount、、aws:PrincipalArnaws:PrincipalOrgIDaws:PrincipalOrgPathsaws:PrincipalTagaws:PrincipalTypeaws:SourceAccountaws:SourceArn、、aws:SourceIpaws:SourceVpcaws:SourceVpceaws:userids3:DataAccessPointAccount、および ですs3:DataAccessPointArn。バケットポリシーを確認して、このアクセスが安全かつ意図されたものか判断することをお勧めします。

バケットが または と共有 CloudFront OAIされているかどうかを判断するためにOAC、Macie はバケットのバケットポリシーを分析します。または CloudFront OAIOACは、ユーザーが 1 つ以上の指定された CloudFront ディストリビューションを介してバケットのオブジェクトにアクセスすることを許可します。および の詳細については CloudFront OAIsOACs、Amazon S3 オリジンへのアクセスの制限」を参照してください。 CloudFront

概要セクションには、最新の自動検出実行フィールドも含まれています。このフィールドは、Macie が機密データの自動検出を実行中にバケット内のオブジェクトを最後に分析した日時を示します。この分析が行われていない場合は、このフィールドにダッシュ (–) が表示されます。

オブジェクト統計

このセクションではバケット内のオブジェクトに関する情報を提供し、それはバケット内のオブジェクトの総数 (合計数)、それらのすべてのオブジェクトの合計ストレージサイズ (合計ストレージサイズ)、および圧縮されたすべてのオブジェクト (.gz、.gzip、または.zip) の合計ストレージサイズ (合計圧縮サイズ) から始まります。このセクションの追加統計は、Macie がバケット内の機密データを検出するために分析できるデータの量を評価するのに役立ちます。

最近バケットを作成した場合、または過去 24 時間の間にバケットのオブジェクトに大きな変更を加えた場合は、必要に応じて更新 The refresh button, which is a button that displays an empty, dark gray circle with an arrow. を選択して、バケットのオブジェクトの最新のメタデータを取得します。Macie は、これが当てはまるかどうかを判断するのに役立つように、情報アイコン The information icon, which is a blue circle that has a lowercase letter i in it. を表示します。更新オプションは、バケットが 30,000 個以下のオブジェクトを保存する場合に使用できます。

このセクションの統計を確認する際には、以下の点に注意してください。

  • バケットでバージョニングが有効化されている場合、サイズ値はバケット内の各オブジェクトの最新バージョンのストレージサイズに基づきます。

  • バケットに圧縮オブジェクトが保存されている場合、サイズ値は解凍後のオブジェクトの実際のサイズを反映しません。

  • バケットのオブジェクトメタデータを更新すると、Macie は、オブジェクトに適用される暗号化統計で一時的に 不明をレポートします。Macie はバケットとオブジェクトメタデータの次回 (24 時間以内) の毎日の更新を実行するときに、これらの統計のデータを再評価して更新します。

  • デフォルトでは、オブジェクト数とサイズの値には、マルチパートアップロードが不完全だったためにバケットに含まれるすべてのオブジェクトパーツのデータが含まれます。バケットのオブジェクトメタデータを更新すると、Macie はオブジェクトパーツのデータを再計算された値から除外します。Macie が次の毎日のバケットとオブジェクトメタデータの更新を行うと (24 時間以内)、Macie はこれらの統計の値を再計算して更新し、オブジェクトパーツのデータを値に再び含めます。

    Macie はオブジェクトパーツを分析して機密データを検出することはできないことに注意してください。Amazon S3 はまず、Macie が分析できるように、パーツを 1 つ以上のオブジェクトに組み立てる必要があります。ライフサイクルルールでパーツを自動的に削除する方法など、マルチパートアップロードとオブジェクトパーツについては、Amazon Simple Storage Service ユーザーガイドのマルチパートアップロードを使用したオブジェクトのアップロードとコピーを参照してください。オブジェクトパーツを含むバケットを特定するには、Amazon S3 ストレージレンズの不完全なマルチパートアップロードメトリクスを参照してください。詳細については、Amazon Simple Storage Service ユーザーガイドのストレージのアクティビティと使用状況の評価を参照してください。

オブジェクト統計は次のように設定されています。

分類可能なオブジェクト

このセクションは、Macie が機密データを検出するために分析できるオブジェクトの総数と、それらのオブジェクトの合計ストレージサイズを示します。前のデータでは、オブジェクトがサポートされている Amazon S3 ストレージクラスを使用し、サポートされているファイルまたはストレージ形式のファイル名拡張子を持っている場合、オブジェクトは 分類可能です。Macie を使用して、オブジェクト内の機密データを検出できます。詳細については、サポートされているストレージクラスとフォーマットを参照してください。

分類不可能オブジェクト

このセクションは、Macie が機密データを検出するために分析できないオブジェクトの総数と、それらのオブジェクトの合計ストレージサイズを示します。これらのオブジェクトは、サポートされている Amazon S3 ストレージクラスを使用せず、サポートされているファイルまたはストレージ形式のファイル名拡張子も持っていません。

分類不可能オブジェクト: ストレージクラス

このセクションでは、オブジェクトがサポートされている Amazon S3 ストレージクラスを使用しないため、Macie が分析できないオブジェクトの数とストレージサイズの内訳を示します。

分類不可能オブジェクト: ファイルタイプ

このセクションでは、オブジェクトがサポートされているファイルまたはストレージ形式のファイル名拡張子を持っていないため、Macie が分析できないオブジェクトの数とストレージサイズの内訳を示します。

暗号化タイプ別のオブジェクト

このセクションでは、Amazon S3 がサポートする各タイプの暗号化を使用するオブジェクトの数の内訳を示します。

  • 顧客提供 – 顧客提供のキーで暗号化されたオブジェクトの数。これらのオブジェクトは SSE-C 暗号化を使用します。

  • AWS KMS マネージド – AWS マネージドキー またはカスタマーマネージドキー AWS KMS keyのいずれかで暗号化されたオブジェクトの数。これらのオブジェクトは DSSE-KMS または SSE-KMS 暗号化を使用します。

  • Amazon S3 マネージド – Amazon S3 マネージドキーで暗号化されたオブジェクトの数。これらのオブジェクトは SSE-S3 暗号化を使用します。

  • 暗号化なし— 暗号化されていない、またはクライアント側の暗号化を使用するオブジェクトの数。(オブジェクトがクライアント側の暗号化を使用して暗号化されている場合、Macie はそのオブジェクトの暗号化データにアクセスしてレポートできません)。

  • 不明— Macie が現在の暗号化メタデータを持たないオブジェクトの数。これは通常、バケットのオブジェクトのメタデータを手動で更新することを最近選択した場合に発生します。Macie はバケットとオブジェクトメタデータの次回 (24 時間以内) の毎日の更新を実行するときに、暗号化統計を更新します。

サポートされている各暗号化タイプの詳細については、「Amazon Simple Storage Service ユーザーガイド」の「暗号化によるデータの保護」を参照してください。

サーバー側の暗号化

このセクションでは、バケットのサーバー側の暗号化設定に関する洞察を提供します。

バケットポリシーで必要とされる暗号化フィールドは、オブジェクトをバケットにアップロードするときに、バケットのポリシーではオブジェクトのサーバー側の暗号化を必要とするかどうかを示します。

  • いいえ— バケットにバケットポリシーがないか、バケットのポリシーでは新しいオブジェクトのサーバー側の暗号化を必要としません。バケットポリシーが存在する場合、有効なサーバー側の暗号化ヘッダーを含めるPutObjectリクエストは必要ありません。

  • はい— バケットのポリシーでは、新しいオブジェクトのサーバー側の暗号化が必要です。PutObject は、バケットに有効なサーバー側の暗号化ヘッダーを含めることを必要としています。アクセス許可がない場合、Amazon S3 はリクエストを拒否します。

  • 不明— Macie は、バケットポリシーを評価して、それが新しいオブジェクトのサーバー側の暗号化を必要とするかどうかを判断できませんでした。

この評価で有効なサーバー側の暗号化ヘッダーは、x-amz-server-side-encryption (値は AES256 または aws:kms)、および x-amz-server-side-encryption-customer-algorithm (値は AES256)。バケットポリシーを使用して新しいオブジェクトのサーバー側の暗号化を要求する方法については、「Amazon Simple Storage Service ユーザーガイド」の「サーバー側の暗号化によるデータの保護」を参照してください。

デフォルトの暗号化フィールドは、バケットに追加されたオブジェクトにバケットがデフォルトで適用されるように設定されたサーバー側の暗号化アルゴリズムを示します。

  • AES256 – バケットのデフォルトの暗号化設定は、Amazon S3 マネージドキーを使用して新しいオブジェクトを暗号化するように設定されています。新しいオブジェクトは、SSE-S3 暗号化を使用して自動的に暗号化されます。

  • aws:kms – バケットのデフォルトの暗号化設定は AWS KMS key、 AWS マネージドキー またはカスタマーマネージドキーのいずれかの で新しいオブジェクトを暗号化するように設定されています。新しいオブジェクトは SSE-KMS 暗号化を使用して自動的に暗号化されます。AWS KMS key フィールドには、使用されているキーの Amazon リソースネーム (ARN) または一意の識別子 (キー ID) が表示されます。

  • aws:kms:dsse – バケットのデフォルトの暗号化設定は AWS KMS key、 AWS マネージドキー またはカスタマーマネージドキーのいずれかの で新しいオブジェクトを暗号化するように設定されています。新しいオブジェクトは DSSE-KMS 暗号化を使用して自動的に暗号化されます。AWS KMS key フィールドには、使用されているキーの ARNまたは キー ID が表示されます。

  • なし— バケットのデフォルトの暗号化設定では、新しいオブジェクトに対するサーバー側の暗号化動作は指定されていません。

2023 年 1 月 5 日以降、Amazon S3 はバケットに追加されるオブジェクトの暗号化の基本レベルとして、Amazon S3 マネージドキー (SSE-S3) によるサーバー側の暗号化を自動的に適用します。オプションで、 キーによるサーバー側の暗号化 (-KMS) SSEまたは AWS KMS キーによる二層式サーバー側の暗号化 (-) を使用するようにバケットのデフォルトの暗号化設定を設定できます AWS KMS DSSEKMS。デフォルトの暗号化設定とオプションの詳細については、Amazon Simple Storage Service ユーザーガイドのS3 バケットのデフォルトのサーバー側の暗号化動作の設定を参照してください。

機密データ検出

このセクションでは、機密データ検出ジョブを設定して、バケット内のオブジェクトを毎日、毎週、または毎月ベースで定期的に分析するかどうかを示します。ジョブによって積極的にモニタリングされているフィールドの値が はいの場合、バケットが定期的なジョブに明示的に含まれるか、バケットが過去 24 時間以内の定期的なジョブの基準に一致したことになります。さらに、それらのジョブの少なくとも 1 つのステータスは キャンセルされません。Macie は毎日ベースでこのデータを更新します。

バケット内のオブジェクトを分析するために任意のタイプの機密データ検出ジョブ (定期的なジョブまたは 1 回限りのジョブ) を設定した場合、最新のジョブフィールドには、最後に実行を開始したジョブの一意の識別子が表示されます。最新のジョブ実行フィールドは、そのジョブの実行が開始されたタイミングを示します。

ヒント

ジョブが生成した機密データの調査結果をすべて表示するには、最新のジョブ実行フィールドのリンクを選択します。表示されるジョブ詳細パネルで、パネルの上部の 結果を表示するを選択し、次に 調査結果を表示するを選択します。

パブリックアクセス

このセクションでは、バケットがパブリックアクセス可能かどうかを示します。また、これが当てはまるかどうかを判断するさまざまなアカウントレベルおよびバケットレベルの設定の詳細を示します。有効なアクセス許可フィールドは、次の設定の累積結果を示します。

  • パブリックではない– バケットはパブリックアクセス可能ではありません。

  • パブリック– バケットはパブリックアクセス可能です。

  • 不明— Macie は、バケットのパブリックアクセス設定のすべては評価できませんでした。

このデータは、アカウントレベルおよびバケットレベルの設定に制限されることに注意してください。バケット内の特定のオブジェクトへのパブリックアクセスを有効化するオブジェクトレベルの設定は反映されません。

バケットとバケットデータへのパブリックアクセスを管理するための Amazon S3 設定については、Amazon Simple Storage Service ユーザーガイド「アクセス管理」およびAmazon S3 ストレージへのパブリックアクセスのブロック」を参照してください。

レプリケーション

このセクションでは、レプリケートされたフィールドは、バケットが他のバケットにオブジェクトをレプリケートするように設定されているかどうかを示します。このフィールドの値が はいの場合、バケットに 1 つ以上のレプリケーションルールが設定され、有効になっています。このセクションには、レプリケート先バケットを所有 AWS アカウント する各 のアカウント ID も一覧表示されます。

レプリケート外部フィールドは、バケットが組織の外部 (一部ではない) のバケットにオブジェクトをレプリケート AWS アカウント するように設定されているかどうかを示します。組織は、Macie の招待を通じて、 AWS Organizations または Macie の招待によって、関連アカウントのグループとして一元管理される Macie アカウントのセットです。このフィールドの値がい の場合、バケットに対してレプリケーションルールが構成および有効になり、外部 が所有するバケットにオブジェクトをレプリケートするようにルールが設定されます AWS アカウント。

注記

特定の条件下では、Macie は、バケットが外部 が所有するバケットにオブジェクトをレプリケートするように設定されていることを誤って示す可能性があります AWS アカウント。これは、毎日の更新サイクルの一環として Macie が Amazon S3 からバケットとオブジェクトメタデータを取得した後、過去 24 時間以内に宛先バケットが別の AWS リージョン に作成された場合に発生する可能性があります。

Macie を使用して問題を調査するには、更新 The refresh button, which is a button that displays an empty, dark gray circle with an arrow. を選択して Amazon S3 から最新のバケットメタデータを取得します。次に、IDsこのセクションのアカウントのリストを確認します。より詳細な調査を行うには、Amazon S3 を使用してバケットのレプリケーションルールを確認してください。

バケットオブジェクトをレプリケートするための Amazon S3 オプションと設定の詳細については、Amazon Simple Storage Service ユーザーガイドオブジェクトのレプリケーションを参照してください。

タグ

バケットにタグが関連付けられている場合は、このセクションがパネルに表示され、それらのタグがリスト化されます。タグは,定義して、S3 バケットを含む、 AWS リソースの特定のタイプに関連付けることができるラベルです。各タグは、必要なタグキーとオプションのタグ値で設定されています。

バケットのタグ付けの詳細については、Amazon Simple Storage Service ユーザーガイドコスト配分 S3 バケットタグの使用を参照してください。