Amazon Macie で S3 バケットインベントリを確認する - Amazon Macie

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Macie で S3 バケットインベントリを確認する

Amazon Macie コンソールの [S3 buckets] (S3 バケット) ページでは、Amazon Simple Storage Service (Amazon S3) データのセキュリティとプライバシーに関する詳細な洞察を提供します。このページでは、現在の AWS リージョン での S3 バケットの完全なインベントリを確認および分析し、個別のバケットの詳細な情報と統計を確認できます。ユーザーが組織の Macie 管理者である場合、インベントリには、組織のメンバーアカウントによって所有されている S3 バケットの詳細と統計が含まれます。

[S3 buckets] (S3 バケット) ページには、Macie が毎日の更新サイクルの一部として、アカウントのバケットとオブジェクトメタデータの両方を最後に取得したタイミングも示されます。この情報は、ページの上部の [Last updated] (最終更新) フィールドにあります。詳細については、「データの更新」を参照してください。

ほとんどのインベントリデータは、Macie がアカウントに対してアクセスすることを許可されたバケットに限定されることに注意してください。バケットのアクセス許可設定により、Macie がバケットまたはバケットのオブジェクトに関する情報を取得するのを妨げるようにしている場合、Macie はバケットに関する情報のサブセットのみを提供できます。これが特定のバケットに当てはまる場合、Macie はバケットインベントリに警告アイコン ( A red triangle with a red exclamation point in it ) とメッセージを表示します。バケットの詳細では、Macie は以下のフィールドとデータのサブセットのみを表示します: バケットを所有する AWS アカウント のアカウント ID、バケットの名前、Amazon リソースネーム (ARN)、作成日、リージョン、および毎日の更新サイクルの一部として Macie がバケットとオブジェクトメタデータの両方を最後に取得した日時。問題を調査するには、Amazon S3 内のバケットのポリシーとアクセス許可の設定を確認します。たとえば、バケットには制限があるバケットポリシーが設定されている場合があります。詳細については、「Macie が S3 バケットおよびオブジェクトにアクセスすることを許可する」を参照してください。

インベントリデータにプログラムでアクセスしてクエリを行う場合は、Amazon Macie API の Amazon S3 データソースリソースを使用できます。

S3 バケットインベントリを表示する

Amazon Macie コンソールの [S3 buckets] (S3 バケット) ページには、現在の AWS リージョン 内の S3 バケットに関する情報が表示されます。このページでは、インベントリ内の各バケットの概要情報がテーブルに表示されます。ビューをカスタマイズするには、テーブルを並べ替えてフィルタリングします。

テーブルでバケットを選択すると、詳細パネルにバケットに関する追加情報が表示されます。これには、バケットのデータのセキュリティとプライバシーに関する洞察を提供する設定とメトリクスの詳細と統計が含まれます。

S3 バケットインベントリを表示するには

  1. Macie コンソール (https://console.aws.amazon.com/macie/) を開きます。

  2. ナビゲーションペインで、[S3 buckets] (S3 バケット) を選択します。[S3 buckets] (S3 バケット) ページが開き、インベントリ内のバケットの数とバケットのテーブルが表示されます。

  3. ページの上部で、必要に応じて、[refresh] (更新) ( The refresh button, which is a button that contains an empty, dark gray circle with an arrow ) を選択して、Amazon S3 から最新のバケットメタデータを取得します。

    情報アイコン ( A blue circle with a blue, lowercase letter i in it ) がバケット名の横に表示された場合、これを行うことをお勧めします。このアイコンは、Macie が [daily refresh cycle] (毎日の更新サイクル) の一部として Amazon S3 からバケットとオブジェクトメタデータをおそらく最後に取得した後の過去 24 時間にバケットが作成されたことを示します。

  4. [S3 buckets] (S3 バケット) ページで、テーブルを使用して、インベントリ内の各バケットに関する情報のサブセットを確認します。

    • [Bucket] (バケット) — バケットの名前。

    • [Account] (アカウント) — バケットを所有している AWS アカウント のアカウント ID。

    • [Classifiable objects] (分類可能なオブジェクト) – バケット内の機密データを検出するために Macie が分析できるオブジェクトの総数。

    • [Classifiable size] (分類可能なサイズ) – バケット内の機密データを検出するために Macie が分析できるすべてのオブジェクトの合計ストレージサイズ。

      この値は、圧縮解除後の圧縮オブジェクトの実際のサイズを反映していないことに注意してください。また、バケットでバージョニングが有効化されている場合、この値は、バケット内の各オブジェクトの最新バージョンのストレージサイズに基づきます。

    • [Monitored] (モニタリングされている) - 機密データ検出ジョブがバケット内のオブジェクトを毎日、毎週、または毎月ベースで定期的に分析するように設定されているかどうか。

      このフィールドの値が [Yes] (はい) の場合、バケットが定期的なジョブに明示的に含まれるか、バケットが過去 24 時間以内の定期的なジョブの基準に一致したことになります。さらに、それらのジョブの少なくとも 1 つのステータスは [Cancelled] (キャンセル) されません。Macie は毎日ベースでこのデータを更新します。

    • [Latest job run] (最新のジョブ実行) — バケット内のオブジェクトを分析するように 1 回限りまたは定期的な機密データ検出ジョブが設定されている場合、このフィールドの値は、これらのジョブの実行が開始された最新の時刻を示します。それ以外の場合、このフィールドは空です。

    前のデータでは、オブジェクトがサポートされている Amazon S3 ストレージクラスを使用し、サポートされているファイルまたはストレージ形式のファイル名拡張子を持っている場合、オブジェクトは [classifiable] (分類可能) です。機密データ検出ジョブを作成して実行することで、これらのオブジェクトで機密データを検出できます。分析するオブジェクトを含む各バケットのチェックボックスをオンにし、[Create job] (ジョブの作成) を選択します。詳細については、「機密データの検出」を参照してください。

  5. テーブルを使用してインベントリを分析するには、次のいずれかの操作を行います。

    • 特定のフィールドでテーブルを並べ替えるには、フィールドの列見出しをクリックします。並べ替え順序を変更するには、列見出しをもう一度クリックします。

    • テーブルをフィルタリングし、フィールドに対して特定の値を持つバケットのみを表示するには、フィルターバーにカーソルを置き、フィールドでフィルター条件を追加します。結果をさらに絞り込むには、追加のフィールドでフィルター条件を追加します。詳細については、「S3 バケットインベントリをフィルタリングする」を参照してください。

  6. 特定のバケットの詳細と統計を確認するには、テーブルでバケットの名前を選択し、詳細パネルを参照します。

    ヒント

    詳細パネルでは、多くのフィールドをピボットしてドリルダウンできます。フィールドに対して同じ値を持つバケットを表示するには、フィールドで A magnifying glass with a plus sign を選択します。フィールドに対して他の値を持つバケットを表示するには、フィールドで A magnifying glass with a minus sign を選択します。

S3 バケットの詳細を表示する

Amazon Macie コンソールで、[S3 buckets] (S3 バケット) ページの詳細パネルを使用して、バケットインベントリ内の個別の S3 バケットに関する統計およびその他の情報を確認できます。これには、バケットのデータのセキュリティとプライバシーに関する洞察を提供する設定とメトリクスの詳細と統計が含まれます。

たとえば、バケットのパブリックアクセス設定の内訳を確認し、バケットがオブジェクトをレプリケートするか、他の AWS アカウント と共有するかを判断できます。また、機密データ検出ジョブがバケット内の機密データを検査するように設定されているかどうかを判断することもできます。存在する場合は、最後に実行されたジョブに関する詳細にアクセスし、必要に応じてジョブが生成した調査結果を表示できます。

S3 バケットの詳細を表示するには

  1. Macie コンソール (https://console.aws.amazon.com/macie/) を開きます。

  2. ナビゲーションペインで、[S3 buckets] (S3 バケット) を選択します。

  3. S3 buckets (S3 バケット) ページで、必要に応じて [refresh] (更新) ( The refresh button, which is a button that contains an empty, dark gray circle with an arrow ) を選択して、Amazon S3 から最新のバケットメタデータを取得します。

    情報アイコン ( A blue circle with a blue, lowercase letter i in it ) がバケット名の横に表示された場合、これを行うことをお勧めします。このアイコンは、Macie が [daily refresh cycle] (毎日の更新サイクル) の一部として Amazon S3 からバケットとオブジェクトメタデータをおそらく最後に取得した後の過去 24 時間にバケットが作成されたことを示します。

  4. [S3 buckets] (S3 バケット) テーブルで、詳細を確認するバケットの名前を選択します。詳細パネルには、バケットに関する統計およびその他の情報が表示されます。

詳細パネルでは、バケットの統計と情報が次の主要なセクションに整理されています。

各セクションの情報を確認するときに、必要に応じて特定のフィールドをピボットしてドリルダウンできます。フィールドに対して同じ値を持つバケットを表示するには、フィールドで A magnifying glass with a plus sign を選択します。フィールドに対して他の値を持つバケットを表示するには、フィールドで A magnifying glass with a minus sign を選択します。

概要

このセクションでは、バケットの名前、バケットの作成日時、バケットを所有する AWS アカウント のアカウント ID など、バケットに関する一般的な情報を提供します。[Last updated] (最終更新) フィールドは、[daily refresh cycle] (毎日の更新サイクル) の一部として、Macie がバケットとバケットのオブジェクトの両方について Amazon S3 からメタデータを最後に取得した日時を示します。。

特に注意すべきは、[Shared access] (共有アクセス) フィールドは、バケットが他の AWS アカウント と共有されているかどうかを示し、またその場合、それらのアカウントが組織の内部 (一部) であるか、組織の外部 (一部ではない) かどうかを示すことです。[organization] (組織) は、AWS Organizations を通じて、またはMacie の招待によって、関連するアカウントのグループとして集中管理される Macie アカウントのセットです。このフィールドの値を決定するために、Macie はバケットポリシーとバケットのアクセスコントロールリスト (ACL) を分析します。このデータはバケットレベルの設定に制限されることに注意してください。特定のオブジェクトを別のアカウントと共有するためのオブジェクトレベルの設定は反映されません。

オブジェクト統計

このセクションではバケット内のオブジェクトに関する情報を提供し、それはバケット内のオブジェクトの総数、それらのすべてのオブジェクトの合計ストレージサイズ、および圧縮されたすべてのオブジェクト (.gz、.gzip、.zip) の合計ストレージサイズから始まります。バケットでバージョニングが有効化されている場合、サイズ値はバケット内の各オブジェクトの最新バージョンのサイズに基づきます。

最近バケットを作成した場合、または過去 24 時間の間にバケットのオブジェクトに大きな変更を加えた場合は、必要に応じて [refresh] (更新) ( The refresh button, which is a button that contains an empty, dark gray circle with an arrow ) を選択して、バケットのオブジェクトの最新のメタデータを取得します。Macie は、これが当てはまるかどうかを判断するのに役立つように、情報アイコン ( A blue circle with a blue, lowercase letter i in it ) を表示します。更新オプションは、バケットに含まれるオブジェクトが 30,000 個以下の場合に使用できます。

注記

バケットのオブジェクトメタデータを更新すると、Macie は、オブジェクトに適用される暗号化統計で一時的に [Unknown] (不明) をレポートします。Macie はバケットとオブジェクトメタデータの次回 (24 時間以内) の毎日の更新を実行するときに、これらの統計のデータを再評価して更新します。

このセクションの追加統計は、Macie がバケット内の機密データを検出するために分析できるデータの量を評価するのに役立ちます。

[Classifiable objects] (分類可能なオブジェクト)

このセクションは、Macie が機密データを検出するために分析できるオブジェクトの総数と、それらのオブジェクトの合計ストレージサイズを示します。これらのオブジェクトは、サポートされている Amazon S3 ストレージクラス (S3 Intelligent-Tiering、S3 1 ゾーン – IA、S3 Standard、または S3 標準 – IA) を使用し、サポートされているファイルまたはストレージ形式のファイル名拡張子を持っています。これは、機密データ検出ジョブを作成して実行することで、オブジェクト内の機密データを検出できることを意味します。詳細については、「機密データの検出」を参照してください。

[Total storage size] (合計ストレージサイズ) フィールドの値は、圧縮解除後の圧縮オブジェクトの実際のサイズを反映していないことに注意してください。また、バケットでバージョニングが有効化されている場合、この値は、バケット内の各オブジェクトの最新バージョンのストレージサイズに基づきます。

[Unclassifiable objects] (分類可能ではないオブジェクト)

このセクションは、Macie が機密データを検出するために分析できないオブジェクトの総数と、それらのオブジェクトの合計ストレージサイズを示します。これらのオブジェクトは、サポートされている Amazon S3 ストレージクラス (S3 Intelligent-Tiering、S3 1 ゾーン – IA、S3 Standard、または S3 標準 – IA) を使用せず、[supported file or storage format] (サポートされているファイルまたはストレージ形式) のファイル名拡張子を持っていません。

[Total storage size] (合計ストレージサイズ) フィールドの値は、圧縮解除後の圧縮オブジェクトの実際のサイズを反映していないことに注意してください。また、バケットでバージョニングが有効化されている場合、この値は、バケット内の各オブジェクトの最新バージョンのストレージサイズに基づきます。

[Unclassifiable objects] ストレージクラス

このセクションでは、オブジェクトがサポートされている Amazon S3 ストレージクラスを使用しないため、Macie が分析できないオブジェクトの数とストレージサイズの内訳を示します。

[Storage size] (ストレージサイズ) フィールドの値は、圧縮解除後の圧縮オブジェクトの実際のサイズを反映していません。また、バケットでバージョニングが有効化されている場合、この値は、バケット内の該当する各オブジェクトの最新バージョンのストレージサイズに基づきます。

[Unclassifiable objects] ファイルタイプ

このセクションでは、オブジェクトがサポートされているファイルまたはストレージ形式のファイル名拡張子を持っていないため、Macie が分析できないオブジェクトの数とストレージサイズの内訳を示します。

[Storage size] (ストレージサイズ) フィールドの値は、圧縮解除後の圧縮オブジェクトの実際のサイズを反映していません。また、バケットでバージョニングが有効化されている場合、この値は、バケット内の該当する各オブジェクトの最新バージョンのストレージサイズに基づきます。

[Objects by encryption type] (暗号化タイプ別のオブジェクト)

このセクションでは、Amazon S3 がサポートする各タイプの暗号化を使用するオブジェクトの数の内訳を示します。

  • [Customer managed] (カスタマーマネージド) — 顧客提供キーで暗号化されているオブジェクトの数。これらのオブジェクトは SSE-C 暗号化を使用します。

  • [SSE-KMS managed] (SSE-KMS マネージド) — AWS KMS key (AWS マネージド KMS キーまたはカスタマーマネージド KMS キーのいずれか) で暗号化されているオブジェクトの数。これらのオブジェクトは SSE-KMS 暗号化を使用します。

  • [SSE-S3 managed] (SSE-S3 マネージド) — Amazon S3 マネージドキーで暗号化されているオブジェクトの数。これらのオブジェクトは SSE-S3 暗号化を使用します。

  • [No encryption] (暗号化なし) — 暗号化されていない、またはクライアント側の暗号化を使用するオブジェクトの数。(オブジェクトがクライアント側の暗号化を使用して暗号化されている場合、Macie はそのオブジェクトの暗号化データにアクセスしてレポートできません)。

  • [Unknown] (不明) — Macie が現在の暗号化メタデータを持たないオブジェクトの数。これは通常、バケットのオブジェクトのメタデータを手動で更新することを最近選択した場合に発生します。Macie はバケットとオブジェクトメタデータの次回 (24 時間以内) の毎日の更新を実行するときに、暗号化統計を更新します。

サポートされている各暗号化タイプの詳細については、Amazon Simple Storage Service ユーザーガイドの「暗号化を使用したデータの保護」を参照してください。

サーバー側の暗号化

このセクションでは、バケットのサーバー側の暗号化設定に関する洞察を提供します。

[Encryption required by bucket policy] (バケットポリシーで必要とされる暗号化) フィールドは、オブジェクトをバケットにアップロードするときに、バケットのポリシーではオブジェクトのサーバー側の暗号化を必要とするかどうかを示します。

  • [No] (いいえ) — バケットにバケットポリシーがないか、バケットのポリシーでは新しいオブジェクトのサーバー側の暗号化を必要としません。バケットポリシーが存在する場合、それは必要ありませんPutObjectをインクルードする要求x-amz-server-side-encryptionheader、そのヘッダーの値がAES256またはaws:kms

  • [Yes] (はい) — バケットポリシーでは新しいオブジェクトのサーバー側の暗号化を必要とします。これは、バケットの PutObject リクエストは x-amz-server-side-encryption ヘッダーを含める必要があり、ヘッダーの値は AES256 または aws:kms である必要があることを意味します。アクセス許可がない場合、Amazon S3 はリクエストを拒否します。

  • [Unknown] (不明) — Macie は、バケットポリシーを評価して、それが新しいオブジェクトのサーバー側の暗号化を必要とするかどうかを判断できませんでした。

新しいオブジェクトのサーバー側の暗号化を必要とするバケットポリシーを使用する方法については、AWS セキュリティブログの「暗号化されていないオブジェクトのAmazon S3 へのアップロードを防ぐ方法」を参照してください。

[Default encryption] (デフォルトの暗号化) フィールドは、バケットに対してデフォルトの暗号化が有効になっているかどうか、またそうである場合、使用されているサーバー側の暗号化のタイプを示します。

  • [AES256] — 新しいオブジェクトは Amazon S3 マネージドキーを使用して自動的に暗号化されます。バケットのデフォルトの暗号化が有効で、SSE-S3 暗号化が使用されます。

  • [aws:kms]— 新しいオブジェクトは、AWS KMS key (AWSマネージド KMS キーまたはカスタマーマネージド KMS キーのいずれか) で自動的に暗号化されています。バケットのデフォルトの暗号化が有効で、SSE-KMS 暗号化が使用されています。[KMS key] (KMS キー) フィールドには、フィールドには、Amazon リソースネーム (ARN) または使用される KMS キーの一意の識別子 (キー ID) が表示されます。

  • [None] (なし) — 新しいオブジェクトは自動的に暗号化されません。バケットのデフォルトの暗号化は無効になっています。

デフォルトの暗号化設定の詳細については、「」を参照してください。S3 バケット向けのサーバー側のデフォルトの暗号化動作の設定Amazon Simple Storage Service

機密データ検出

このセクションでは、毎日、毎週、毎月ベースでバケットの機密データを検査するように定期的な機密データ検出ジョブが設定されているかどうかを示します。[Actively monitored by job] (ジョブによって積極的にモニタリングされている)フィールドの値が [Yes] (はい) の場合、バケットが定期的なジョブに明示的に含まれるか、バケットが過去 24 時間以内の定期的なジョブの基準に一致したことになります。さらに、それらのジョブの少なくとも 1 つのステータスは [Cancelled] (キャンセル) されません。Macie は毎日ベースでこのデータを更新します。

バケットを検査するように任意のタイプの機密データ検出ジョブ (定期的なジョブまたは 1 回限りのジョブ) が設定されている場合、[Latest job] (最新のジョブ) フィールドには、最後に実行を開始したジョブの一意の識別子が表示されます。[Latest job run] (最新のジョブ実行) フィールドは、そのジョブの実行が開始されたタイミングを示します。

ヒント

ジョブが生成した機密データの調査結果をすべて表示するには、[Latest job run] (最新のジョブ実行) フィールドのリンクを選択します。表示されるジョブ詳細パネルで、パネルの上部の [Show results] (結果を表示する) を選択し、次に [Show findings] (調査結果を表示する) を選択します。

公開アクセス

このセクションでは、バケットがパブリックアクセス可能かどうかを示し、バケットがパブリックアクセス可能かどうかを判断するさまざまなアカウントレベルおよびバケットレベルの設定の詳細を示します。[Effective permission] (有効なアクセス許可) フィールドは、次の設定の累積結果を示します。

  • [Not public] (パブリックではない) – バケットはパブリックアクセス可能ではありません。

  • [Public] (パブリック) – バケットはパブリックアクセス可能です。

  • [Unknown] (不明) — Macie は、バケットのパブリックアクセス設定のすべては評価できませんでした。

このデータは、アカウントレベルおよびバケットレベルの設定に制限されることに注意してください。バケット内の特定のオブジェクトへのパブリックアクセスを有効化するオブジェクトレベルの設定は反映されません。

バケットおよびバケットデータへのパブリックアクセスを管理するための Amazon S3 設定の詳細については、Amazon Simple Storage Service ユーザーガイドの「Amazon S3 での Identity and Access Management」と「Amazon S3 ストレージへのパブリックアクセスのブロック」を参照してください。

レプリケーション

このセクションでは、[Replicated] (レプリケートされた) フィールドは、バケットが他の AWS アカウント によって所有されているバケットにオブジェクトをレプリケートするようにバケットが設定されているかどうかを示します。バケットがこれを行うように設定されている場合、このセクションにはそれらのアカウントのアカウント ID もリスト化されます。

[Replicated externally] (外部でレプリケートされた) フィールドは、バケットオブジェクトが組織の外部 (一部ではない) である AWS アカウント にレプリケートされているかどうかを示します。[organization] (組織) は、AWS Organizations を通じて、またはMacie の招待によって、関連するアカウントのグループとして集中管理される Macie アカウントのセットです。

バケットオブジェクトをレプリケートするための Amazon S3 オプションと設定の詳細については、Amazon Simple Storage Service ユーザーガイドの「オブジェクトのレプリケーション」を参照してください。

タグ

バケットにタグが関連付けられている場合は、このセクションがパネルに表示され、それらのタグがリスト化されます。タグは、定義して特定のタイプに割り当てることができるラベルです。AWSS3 バケットを含むリソース。各タグは、必要なタグキーとオプションのタグ値で構成されています。

バケットのタグ付けの詳細については、Amazon Simple Storage Service ユーザーガイドの「コスト配分 S3 バケットタグの使用」を参照してください。