민감한 데이터 자동 검색 범위 평가

계정 또는 조직의 민감한 데이터 자동 검색이 진행됨에 따라 Amazon Macie는 Amazon Simple Storage Service (Amazon S3) 데이터 자산의 적용 범위를 평가하고 모니터링하는 데 도움이 되는 통계 및 세부 정보를 제공합니다. 이 데이터를 사용하여 전체 데이터 자산과 버킷 인벤토리의 개별 S3 버킷에 대한 민감한 데이터 자동 검색의 상태를 확인할 수 있습니다. 또한 Macie가 특정 버킷의 객체를 분석하지 못하게 하는 문제를 식별할 수 있습니다. 문제를 해결하면 후속 분석 주기 동안 Amazon S3 데이터의 적용 범위를 늘릴 수 있습니다.

커버리지 데이터는 현재 S3 범용 버킷에 대한 자동 민감 데이터 검색의 현재 상태에 대한 스냅샷을 제공합니다. AWS 리전사용자가 조직의 Macie 관리자인 경우, 여기에는 멤버 계정이 소유한 버킷이 포함됩니다. 각 버킷의 데이터는 Macie가 버킷의 객체를 분석하려고 할 때 문제가 발생했는지 여부를 나타냅니다. 문제가 발생한 경우 데이터는 각 문제의 특성과 경우에 따라 발생 횟수를 나타냅니다. 민감한 데이터 자동 검색이 매일 진행됨에 따라 데이터가 업데이트됩니다. Macie가 일일 분석 주기 동안 버킷에 있는 하나 이상의 객체를 분석하거나 분석을 시도하는 경우, Macie는 적용 범위 데이터 및 기타 데이터를 업데이트하여 결과를 반영합니다.

특정 유형의 문제의 경우 모든 S3 범용 버킷의 데이터를 집계하여 검토하고 선택적으로 드릴다운하여 각 버킷에 대한 추가 세부 정보를 확인할 수 있습니다. 예를 들어 적용 범위 데이터를 사용하면 Macie가 계정에서 액세스할 수 없는 모든 버킷을 빠르게 식별할 수 있습니다. 적용 범위 데이터는 발생한 객체 수준의 문제도 보고합니다. 분류 오류라고 하는 이러한 문제로 인해 Macie는 버킷의 특정 객체를 분석하지 못했습니다. 예를 들어 더 이상 사용할 수 없는 AWS Key Management Service (AWS KMS) 키로 객체가 암호화되므로 Macie가 버킷에서 분석하지 못한 객체 수를 확인할 수 있습니다.

Amazon Macie 콘솔을 사용하여 적용 범위 데이터를 검토하는 경우, 데이터 보기에는 각 유형의 문제를 해결하기 위한 지침이 포함됩니다. 이 섹션의 후속 주제에서는 각 유형에 대한 수정 지침도 제공합니다.

주제

민감한 데이터 자동 검색 범위 데이터 검토

자동화된 민감한 데이터 검색 범위를 검토 및 평가하려면 Amazon Macie 콘솔 또는 Amazon Macie API를 사용할 수 있습니다. 콘솔과 API는 모두 현재 Amazon Simple Storage Service (Amazon S3) 범용 버킷에 대한 분석의 현재 상태를 나타내는 데이터를 제공합니다. AWS 리전데이터에는 분석에서 격차를 야기하는 문제에 대한 정보가 포함됩니다.

Macie가 액세스할 수 없는 버킷. 버킷의 권한 설정으로 인해 Macie가 버킷과 버킷의 객체에 액세스할 수 없기 때문에 Macie는 이러한 버킷의 객체를 분석할 수 없습니다.
분류 가능한 객체를 저장하지 않는 버킷. 모든 객체가 Macie가 지원하지 않는 Amazon S3 스토리지 클래스를 사용하거나 Macie가 지원하지 않는 파일 또는 스토리지 형식에 대한 파일 이름 확장자를 가지고 있기 때문에 Macie는 이러한 버킷의 객체를 분석할 수 없습니다.
객체 수준 분류 오류로 인해 Macie가 아직 분석하지 못한 버킷입니다. Macie는 이러한 버킷에 있는 하나 이상의 객체를 분석하려고 시도했습니다. 하지만 Macie는 객체 수준 권한 설정, 객체 콘텐츠 또는 할당량 관련 문제로 인해 객체를 분석할 수 없었습니다.

커버리지 데이터는 민감한 데이터 자동 검색이 매일 진행됨에 따라 업데이트됩니다. 조직의 Macie 관리자인 경우 데이터에는 멤버 계정이 소유한 S3 버킷에 대한 정보가 포함됩니다.

참고

적용 범위 데이터에는 생성 및 실행한 민감한 데이터 검색 작업의 결과가 명시적으로 포함되지 않습니다. 하지만 민감한 데이터 자동 검색 결과에 영향을 미치는 적용 범위 문제를 해결하면 이후에 실행하는 민감한 데이터 검색 작업의 적용 범위도 늘어날 수 있습니다. 작업의 적용 범위를 평가하려면 해당 작업의 통계 및 결과를 검토하세요. 작업의 로그 이벤트 또는 기타 결과가 적용 범위 문제를 나타내는 경우, 이 섹션 뒷부분에 나오는 수정 지침을 통해 일부 문제를 해결할 수 있습니다.

민감한 데이터 자동 검색 범위 데이터를 검토하려면

Amazon Macie 콘솔 또는 Amazon Macie API를 사용하여 계정 또는 조직의 적용 범위 데이터를 검토할 수 있습니다. 콘솔에서는 각 버킷에서 최근에 발생한 문제의 롤업을 포함하여 모든 S3 범용 버킷의 커버리지 데이터를 한 페이지에 통합하여 볼 수 있습니다. 이 페이지에는 문제 유형별로 데이터 그룹을 검토할 수 있는 옵션도 제공됩니다. 특정 버킷에 대한 결과를 추적하려면 페이지의 데이터를 쉼표로 구분된 값(CSV) 파일로 내보내면 됩니다.

Console

Amazon Macie 콘솔을 사용하여 민감한 데이터 자동 검색 범위 데이터를 검토하려면 다음 단계를 따르세요.

적용 범위 데이터를 검토하려면

https://console.aws.amazon.com/macie/에서 Amazon Macie 콘솔을 엽니다.
탐색 창에서 리소스 적용 범위을 선택합니다.
리소스 적용 범위 페이지에서 검토하려는 적용 범위 데이터 유형의 탭을 선택합니다.
- 전체 - Macie가 사용자 계정에 대해 모니터링하고 분석하는 모든 버킷을 나열합니다.
  
  각 버킷의 문제 필드에는 Macie가 문제로 인해 버킷의 객체를 분석하지 못했는지에 대한 여부가 표시됩니다. 이 필드의 값이 없음이면 Macie가 버킷의 객체 중 하나 이상을 분석했거나 Macie가 아직 버킷의 객체 분석을 시도하지 않은 것입니다. 문제가 있는 경우 이 필드에는 문제의 성격과 문제 해결 방법이 표시됩니다. 객체 수준 분류 오류의 경우 오류 발생 횟수를 괄호 안에 표시할 수도 있습니다.
- 액세스 거부 - Macie가 액세스할 수 없는 버킷을 나열합니다. 이러한 버킷의 권한 설정으로 인해 Macie는 버킷과 버킷의 객체에 액세스할 수 없습니다. 따라서 Macie는 이러한 버킷의 객체를 분석할 수 없습니다.
- 분류 오류 - 객체 수준 권한 설정, 객체 콘텐츠 또는 할당량 관련 문제 등 객체 수준 분류 오류로 인해 Macie가 아직 분석하지 않은 버킷을 나열합니다.
  
  각 버킷의 문제 필드에는 발생하여 Macie가 버킷의 객체를 분석하지 못하게 한 각 오류 유형의 특성이 표시됩니다. 또한 각 유형의 오류를 해결하는 방법도 안내합니다. 오류에 따라 오류 발생 횟수를 괄호 안에 표시할 수도 있습니다.
- 분류 불가 - Macie가 분류 가능한 객체를 저장하지 않아 분석할 수 없는 버킷을 나열합니다. 이러한 버킷의 모든 객체는 지원되지 않는 Amazon S3 스토리지 클래스를 사용하거나 지원되지 않는 파일 또는 스토리지 형식에 대한 파일 이름 확장자를 사용합니다. 따라서 Macie는 이러한 버킷의 객체를 분석할 수 없습니다.
버킷에 대한 지원 데이터를 자세히 살펴보고 검토하려면 버킷 이름을 선택하십시오. 그런 다음 버킷 세부 정보 패널에서 버킷에 대한 통계 및 기타 정보를 참조하세요.
테이블을 CSV 파일로 내보내려면 페이지 상단에서 CSV로 내보내기를 선택합니다. 결과 CSV 파일에는 테이블의 각 버킷에 대한 메타데이터 하위 집합이 포함되며, 최대 50,000개의 버킷이 포함됩니다. 이 파일에는 적용 범위 문제 필드가 포함되어 있습니다. 이 필드의 값은 Macie가 문제로 인해 버킷의 객체를 분석하지 못했는지 여부와 분석할 수 없는 경우 해당 문제의 특성을 나타냅니다.

API

커버리지 데이터를 프로그래밍 방식으로 검토하려면 Amazon Macie API DescribeBuckets작업을 사용하여 제출하는 쿼리에 필터 기준을 지정하십시오. 이 작업은 객체의 배열을 반환합니다. 각 객체에는 필터 기준과 일치하는 S3 범용 버킷에 대한 통계 데이터 및 기타 정보가 들어 있습니다.

필터 기준에 검토하려는 적용 범위 데이터 유형에 대한 조건을 포함시킵니다.

버킷의 권한 설정으로 인해 Macie가 액세스할 수 없는 버킷을 식별하려면 errorCode 필드 값이 ACCESS_DENIED와(과) 같은 조건을 포함시킵니다.
Macie가 액세스할 수있지만 아직 분석하지 않은 버킷을 식별하려면 sensitivityScore 필드 값이 50와(과) 같고 errorCode 필드 값은 ACCESS_DENIED와(과) 같지 않은 조건을 포함시킵니다.
모든 버킷의 객체가 지원되지 않는 스토리지 클래스나 형식을 사용하기 때문에 Macie가 분석할 수 없는 버킷을 식별하려면 classifiableSizeInBytes 필드 값이 0와(과) 같고 sizeInBytes 필드 값이 0보다 큰 조건을 포함시킵니다.
Macie가 하나 이상의 객체를 분석한 버킷을 식별하려면 sensitivityScore 필드 값이 1~99 범위에 속하지만 50와(과) 같지 않은 조건을 포함시킵니다. 수동으로 최대 점수를 할당한 버킷도 포함하려면 해당 범위는 1~100이어야 합니다.
객체 수준 분류 오류로 인해 Macie가 아직 분석하지 않은 버킷을 식별하려면 sensitivityScore 필드 값이 -1와(과) 같은 조건을 포함시킵니다. 그런 다음 특정 버킷에서 발생한 오류 유형 및 수에 대한 분석을 검토하려면 GetResourceProfile작업을 사용하십시오.

AWS Command Line Interface (AWS CLI)를 사용하는 경우 describe-buckets 명령을 실행하여 제출하는 쿼리의 필터 기준을 지정합니다. 특정 S3 버킷에서 발생한 오류 유형 및 수를 분류하여 검토하려면 (있는 경우) get-resource-profile명령을 실행하십시오.

예를 들어 다음 AWS CLI 명령은 필터 기준을 사용하여 버킷의 권한 설정으로 인해 Macie가 액세스할 수 없는 모든 S3 버킷의 세부 정보를 검색합니다.

이 예제는 Linux, macOS 또는 Unix용 형식으로 표시됩니다.


$ aws macie2 describe-buckets --criteria '{"errorCode":{"eq":["ACCESS_DENIED"]}}'

이 예제는 Microsoft Windows에 맞게 포맷되어 있습니다.


C:\> aws macie2 describe-buckets --criteria={\"errorCode\":{\"eq\":[\"ACCESS_DENIED\"]}}

요청이 성공하면 Macie는 buckets 배열을 반환합니다. 배열에는 현재 상태이고 필터 AWS 리전 기준과 일치하는 각 S3 버킷의 객체가 포함됩니다.

필터 기준과 일치하는 S3 버킷이 없는 경우 Macie는 빈 buckets 배열을 반환합니다.


{
    "buckets": []
}

일반적인 기준의 예를 포함하여 쿼리에 필터 기준을 지정하는 방법에 대한 자세한 내용은 S3 버킷 인벤토리 필터링 섹션을 참조하세요.

민감한 데이터 자동 검색에 대한 적용 범위 문제 해결

Amazon Macie는 Amazon Simple Storage Service(S3) 데이터의 민감한 데이터 자동 검색 범위를 제한하는 여러 유형의 문제를 보고합니다. 다음 정보는 이러한 문제를 조사하고 해결하는 데 도움이 될 수 있습니다.

작은 정보

S3 버킷의 객체 수준 분류 오류를 조사하려면 먼저 버킷의 객체 샘플 목록을 검토합니다. 이 목록은 Macie가 버킷에서 분석하거나 분석을 시도한 객체(최대 100개 객체)를 나타냅니다.

Amazon Macie 콘솔에서 목록을 검토하려면 S3 버킷 페이지에서 버킷을 선택한 다음 버킷 세부 정보 패널에서 객체 샘플 탭을 선택합니다. 목록을 프로그래밍 방식으로 검토하려면 Amazon ListResourceProfileArtifactsMacie API의 작업을 사용하십시오. 객체의 분석 상태가 건너뜀(SKIPPED)인 경우 객체로 인해 오류가 발생했을 수 있습니다.

액세스 거부됨

이 문제는 S3 버킷의 권한 설정으로 인해 Macie가 버킷과 버킷의 객체에 액세스할 수 없음을 나타냅니다. Macie는 버킷의 모든 객체를 검색하고 분석할 수 없습니다.

세부 정보

이러한 유형의 문제가 발생하는 가장 일반적인 원인은 제한적인 버킷 정책입니다. 버킷 정책은 보안 주체 AWS Identity and Access Management (사용자, 계정, 서비스 또는 기타 엔티티) 가 S3 버킷에서 수행할 수 있는 작업과 보안 주체가 해당 작업을 수행할 수 있는 조건을 지정하는 리소스 기반 (IAM) 정책입니다. 제한적인 버킷 정책은 특정 조건에 따라 버킷 데이터에 대한 액세스를 허용하거나 제한하는 명시적 Allow 또는 Deny 명령문을 사용합니다. 예를 들어 버킷에 액세스하는데 특정 소스 IP 주소를 사용하지 않는 한, 버킷 정책에는 버킷에 대한 액세스를 거부하는 Allow 또는 Deny 명령문이 포함될 수 있습니다.

S3 버킷의 버킷 정책에 하나 이상의 조건이 포함된 명시적인 Deny 명령문이 포함된 경우, Macie가 민감한 데이터를 탐지하기 위해 버킷의 객체를 검색 및 분석하는 것이 허용되지 않을 수 있습니다. Macie는 버킷 이름, 생성 날짜 등 버킷에 대한 일부 정보만 제공할 수 있습니다.

수정 지침

이 문제를 해결하려면 S3 버킷의 버킷 정책을 업데이트합니다. 정책에서 Macie가 버킷과 버킷의 객체에 액세스할 수 있도록 허용하는지 확인하세요. 이 액세스를 허용하려면 Macie 서비스 연결 역할(AWSServiceRoleForAmazonMacie)에 대한 조건을 정책에 추가합니다. 조건은 Macie 서비스 연결 역할이 정책의 Deny 제한과 일치하지 않도록 해야 합니다. aws:PrincipalArn 전역 조건 컨텍스트 키와 계정에 대한 Macie 서비스 연결 역할의 Amazon 리소스 이름(ARN)을 사용하여 이 작업을 수행할 수 있습니다.

버킷 정책을 업데이트하여 Macie가 S3 버킷에 대한 액세스 권한을 얻으면 Macie가 변경 사항을 감지합니다. 이 경우 Macie는 Amazon S3 데이터에 대해 제공하는 통계, 인벤토리 데이터 및 기타 정보를 업데이트합니다. 또한 후속 분석 주기에서는 버킷의 객체가 분석에서 우선 순위가 높아지게 됩니다.

추가 참조

Macie가 버킷에 액세스할 수 있도록 S3 버킷 정책을 업데이트하는 방법에 대한 자세한 내용은 Amazon Macie가 S3 버킷 및 객체에 액세스할 수 있도록 허용 섹션을 참조하세요. 버킷에 대한 액세스를 제어하기 위한 버킷 정책 사용에 대한 자세한 내용은 Amazon Simple Storage Service 사용 설명서 의 킷 정책 및 사용자 정책과 Amazon S3가 요청을 승인하는 방법을 참조하세요.

분류 오류: 잘못된 콘텐츠

이 유형의 분류 오류는 Macie가 S3 버킷의 객체를 분석하려고 하는데 객체의 형식이 잘못되었거나 객체에 민감한 데이터 검색 할당량을 초과하는 콘텐츠가 포함된 경우 발생합니다. Macie는 객체를 분석할 수 없습니다.

세부 정보

이 오류는 일반적으로 S3 객체가 형식이 잘못되었거나 손상된 파일이기 때문에 발생합니다. 따라서 Macie는 파일의 모든 데이터를 파싱하고 분석할 수 없습니다.

이 오류는 S3 객체 분석이 개별 파일의 민감한 데이터 검색 할당량을 초과하는 경우에도 발생할 수 있습니다. 예를 들어, 객체의 스토리지 크기가 해당 유형의 파일에 대한 크기 할당량을 초과하는 경우가 있습니다.

어느 경우든 Macie는 S3 객체에 대한 분석을 완료할 수 없으며, 객체의 분석 상태는 건너뜀(SKIPPED)입니다.

수정 지침

이 오류를 조사하려면 S3 객체를 다운로드하고 파일의 형식과 내용을 확인하세요. 또한 민감한 데이터 검색을 위해 Macie 할당량을 기준으로 파일 내용을 평가하세요.

이 오류를 수정하지 않으면 Macie는 S3 버킷의 다른 객체를 분석하려고 시도합니다. Macie가 다른 객체를 성공적으로 분석하면 Macie는 버킷에 대해 제공하는 적용 범위 데이터 및 기타 정보를 업데이트합니다.

추가 참조

특정 유형의 파일에 대한 할당량을 비롯한 민감한 데이터 검색 할당량 목록은 Amazon Macie 할당량 섹션을 참조하세요. Macie가 민감도 점수를 업데이트하는 방법가 S3 버킷에 대해 제공하는 기타 정보에 대한 자세한 내용은 민감한 데이터 자동 검색의 작동 방식 섹션을 참조하세요.

분류 오류: 잘못된 암호화

이 유형의 분류 오류는 Macie가 S3 버킷의 객체를 분석하려고 시도하고 객체가 고객 제공 키로 암호화되는 경우 발생합니다. 객체는 SSE-C 암호화를 사용하므로 Macie는 객체를 검색하고 분석할 수 없습니다.

세부 정보

Amazon S3는 S3 객체에 대한 여러 암호화 옵션을 지원합니다. 대부분의 경우 Macie는 계정의 Macie 서비스 연결 역할을 사용하여 객체의 암호를 해독할 수 있습니다. 하지만, 이는 사용된 암호화 유형에 따라 달라질 수 있습니다.

Macie가 S3 객체의 암호를 해독하려면 해당 객체는 Macie가 액세스할 수 있고 사용할 수 있는 키로 암호화되어 있어야 합니다. 객체가 고객 제공 키로 암호화된 경우 Macie는 Amazon S3에서 객체를 검색하는 데 필요한 키 자료를 제공할 수 없습니다. 따라서 Macie는 객체를 분석할 수 없고 객체에 대한 분석 상태는 건너뜀(SKIPPED)입니다.

수정 지침

이 오류를 해결하려면 Amazon S3 관리 키 또는 AWS Key Management Service (AWS KMS) 키로 S3 객체를 암호화하십시오. AWS KMS 키를 사용하려는 경우 키는 AWS 관리형 KMS 키 또는 Macie가 사용할 수 있는 고객 관리형 KMS 키일 수 있습니다.

Macie가 액세스하여 사용할 수 있는 키로 기존 S3 객체를 암호화하려면 객체의 암호화 설정을 변경하면 됩니다. Macie가 액세스하여 사용할 수 있는 키로 새 객체를 암호화하려면 S3 버킷의 기본 암호화 설정을 변경합니다. 또한 버킷 정책에 따라 고객 제공 키로 새 객체를 암호화해야는지 확인하세요.

추가 참조

Macie를 사용하여 암호화된 S3 객체를 분석하기 위한 요구 사항 및 옵션에 대한 자세한 내용은 Amazon Macie를 사용한 암호화된 Amazon S3 객체 분석 섹션을 참조하세요. S3 버킷의 암호화 옵션 및 설정에 대한 자세한 내용은 Amazon Simple Storage Service 사용 설명서의 암호화로 데이터 보호 및 S3 버킷에 대한 기본 서버 측 암호화 동작 설정 섹션을 참조하세요.

분류 오류: 잘못된 KMS 키

이 유형의 분류 오류는 Macie가 S3 버킷의 객체를 분석하려고 할 때 더 이상 사용할 수 없는 AWS Key Management Service (AWS KMS) 키로 객체를 암호화하는 경우 발생합니다. Macie는 객체를 검색하고 분석할 수 없습니다.

세부 정보

AWS KMS 고객 관리를 비활성화 및 삭제할 수 있는 옵션을 제공합니다. AWS KMS keys S3 객체가 비활성화된 KMS 키로 암호화되었거나, 삭제 예정이거나, 삭제된 경우, Macie는 객체를 검색하고 암호를 해독할 수 없습니다. 따라서 Macie는 객체를 분석할 수 없고 객체에 대한 분석 상태는 건너뜀(SKIPPED)입니다. Macie가 암호화된 객체를 분석하려면 해당 객체는 Macie가 액세스할 수 있고 사용할 수 있는 키로 암호화되어 있어야 합니다.

수정 지침

이 오류를 해결하려면 키의 현재 상태에 따라 해당 AWS KMS key의 예정된 삭제를 다시 활성화하거나 취소하세요. 해당 키가 이미 삭제된 경우 이 오류를 수정할 수 없습니다.

어느 것이 S3 객체를 암호화하는 데 AWS KMS key 사용되었는지 확인하려면 먼저 Macie를 사용하여 S3 버킷의 서버 측 암호화 설정을 검토할 수 있습니다. 버킷의 기본 암호화 설정이 KMS 키를 사용하도록 구성된 경우, 버킷의 세부 정보에 사용되는 키가 표시됩니다. 그리고 해당 키의 상태를 확인할 수 있습니다. 또는 Amazon S3를 사용하여 버킷과 버킷의 개별 객체에 대한 암호화 설정을 검토할 수 있습니다.

추가 참조

Macie를 사용하여 S3 버킷의 서버 측 암호화 설정을 검토하는 방법에 대한 자세한 내용은 S3 버킷의 세부 정보 검토 섹션을 참조하세요. 예약된 삭제를 다시 활성화하거나 취소하는 방법에 대한 자세한 내용은 개발자 안내서의 키 활성화 및 비활성화 AWS KMS key, 키 삭제 예약 및 취소를 참조하십시오.AWS Key Management Service

분류 오류: 권한이 거부됨

이 유형의 분류 오류는 Macie가 S3 버킷의 객체를 분석하려고 하는데 객체에 대한 권한 설정 또는 객체 암호화에 사용된 키의 권한 설정으로 인해 Macie가 객체를 검색하거나 해독할 수 없는 경우에 발생합니다. Macie는 객체를 검색하고 분석할 수 없습니다.

세부 정보

이 오류는 일반적으로 S3 객체가 Macie가 사용할 수 없는 고객 관리형 AWS Key Management Service (AWS KMS) 키로 암호화되어 있기 때문에 발생합니다. 고객이 관리하는 AWS KMS key방식으로 객체를 암호화하는 경우 키 정책에 따라 Macie가 키를 사용하여 데이터를 해독할 수 있도록 허용해야 합니다.

Amazon S3 권한 설정으로 인해 Macie가 S3 객체를 검색하지 못하는 경우에도 이 오류가 발생할 수 있습니다. S3 버킷의 버킷 정책은 특정 버킷 객체에 대한 액세스를 제한하거나 특정 주체(사용자, 계정, 서비스 또는 기타 엔터티)만 객체에 액세스하도록 허용할 수 있습니다. 또는 객체의 액세스 제어 목록(ACL)이 객체에 대한 액세스를 제한할 수 있습니다. 따라서 Macie는 객체에 액세스하지 못할 수 있습니다.

위의 모든 경우 Macie는 객체를 검색 및 분석할 수 없으며, 객체의 분석 상태는 건너뜀(SKIPPED)입니다.

수정 지침

이 오류를 해결하려면 S3 객체가 고객 관리형 AWS KMS key(으)로 암호화되어 있는지 확인하세요. 그렇다면 키의 정책에서 Macie 서비스 연결 역할(AWSServiceRoleForAmazonMacie)이 키로 데이터를 해독하도록 허용하는지 확인하세요. 이 액세스를 허용하는 방법은 를 소유한 계정이 객체를 저장하는 S3 AWS KMS key 버킷도 소유하고 있는지 여부에 따라 달라집니다. 동일한 계정이 KMS 키와 버킷을 소유한 경우, 해당 계정의 사용자가 키 정책을 업데이트해야 합니다. 한 계정이 KMS 키를 소유하고 다른 계정이 버킷을 소유하는 경우, 키를 소유한 계정의 사용자는 키에 대한 크로스 계정 액세스를 허용해야 합니다.

작은 정보

Macie가 계정의 S3 버킷에 AWS KMS keys 있는 객체를 분석하기 위해 액세스해야 하는 모든 고객 관리 대상 목록을 자동으로 생성할 수 있습니다. 이렇게 하려면 Amazon Macie Scripts 리포지토리에서 사용할 수 있는 AWS KMS 권한 분석기 스크립트를 실행하십시오. GitHub 스크립트는 AWS Command Line Interface (AWS CLI) 명령의 추가 스크립트를 생성할 수도 있습니다. 선택적으로 이러한 명령을 실행하여 지정한 KMS 키의 필수 구성 설정 및 정책을 업데이트할 수 있습니다.

Macie가 이미 해당 객체를 사용할 수 있도록 AWS KMS key 허용되었거나 S3 객체가 고객 관리형 KMS 키로 암호화되지 않은 경우, 버킷 정책에서 Macie가 객체에 액세스할 수 있도록 허용하는지 확인하십시오. 또한 객체의 ACL이 Macie가 객체의 데이터 및 메타데이터를 읽을 수 있도록 허용하는지도 확인합니다.

버킷 정책의 경우 Macie 서비스 연결 역할에 대한 조건을 정책에 추가하여 이러한 액세스를 허용할 수 있습니다. 조건은 Macie 서비스 연결 역할이 정책의 Deny 제한과 일치하지 않도록 해야 합니다. aws:PrincipalArn 전역 조건 컨텍스트 키와 계정에 대한 Macie 서비스 연결 역할의 Amazon 리소스 이름(ARN)을 사용하여 이 작업을 수행할 수 있습니다.

객체 ACL의 경우 객체 소유자와 협의해 객체에 대한 권한이 있는 AWS 계정 수혜자로 추가함으로써 이러한 액세스를 허용할 수 있습니다. READ 그러면 Macie는 계정의 서비스 연결 역할을 사용하여 객체를 검색하고 분석할 수 있습니다. 또한 버킷의 객체 소유권 설정을 변경하는 것도 고려해 보세요. 이러한 설정을 사용하여 버킷의 모든 객체에 대한 ACL을 비활성화하고 버킷을 소유한 계정에 소유권 권한을 부여할 수 있습니다.

추가 참조

Macie가 고객 관리형 AWS KMS key을(를) 사용하여 데이터를 해독하도록 허용하는 방법에 대한 자세한 내용은 Amazon Macie가 고객 관리형 앱을 사용할 수 있도록 허용 AWS KMS key 섹션을 참조하세요. Macie가 버킷에 액세스할 수 있도록 S3 버킷 정책을 업데이트하는 방법에 대한 자세한 내용은 Amazon Macie가 S3 버킷 및 객체에 액세스할 수 있도록 허용 섹션을 참조하세요.

키 정책 업데이트에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서의 키 정책 변경을 참조하세요. 고객 관리형 AWS KMS keys S3 객체 암호화에 대한 자세한 내용은 Amazon Simple Storage Service 사용 설명서의 AWS KMS 키를 사용한 서버 측 암호화 사용을 참조하십시오.

S3 버킷에 대한 액세스를 제어하기 위한 버킷 정책 사용에 대한 자세한 내용은 Amazon Simple Storage Service 사용 설명서 의 버킷 정책 및 사용자 정책과 Amazon S3가 요청을 승인하는 방법을 참조하세요. ACL 또는 객체 소유권 설정을 사용하여 S3 객체에 대한 액세스를 제어하는 방법에 대한 자세한 내용은 Amazon Simple Storage Service 사용 설명서의 ACL을 통한 액세스 관리 및 객체 소유권 제어 및 버킷에 대해 ACL 사용 중지 섹션을 참조하세요.

분류 불가

이 문제는 S3 버킷의 모든 객체가 지원되지 않는 Amazon S3 스토리지 클래스 또는 지원되지 않는 파일 또는 스토리지 형식을 사용하여 저장되었음을 나타냅니다. Macie이 버킷에 있는 모든 객체를 분석할 수 없습니다.

세부 정보

선택 및 분석에 적합하려면 S3 객체가 Macie가 지원하는 Amazon S3 스토리지 클래스를 사용해야 합니다. 또한 객체에는 Macie가 지원하는 파일 또는 스토리지 형식의 파일 이름 확장자가 있어야 합니다. 객체가 이러한 기준을 충족하지 않는 경우 해당 객체는 분류할 수 없는 객체로 취급됩니다. Macie는 분류할 수 없는 객체의 데이터를 검색하거나 분석하려고 시도하지 않습니다.

S3 버킷의 모든 객체가 분류할 수 없는 객체인 경우 전체 버킷은 분류할 수 없는 버킷입니다. Macie는 버킷에 대해 민감한 데이터 자동 검색을 수행할 수 없습니다.

수정 지침

이 문제를 해결하려면 S3 버킷에 객체를 저장하는 데 사용되는 스토리지 클래스를 결정하는 수명 주기 구성 규칙 및 기타 설정을 검토하세요. Macie가 지원하는 스토리지 클래스를 사용하도록 이러한 설정을 조정하는 것을 고려해 보세요. 버킷에 있는 기존 객체의 스토리지 클래스를 변경할 수도 있습니다.

또한 S3 버킷에 있는 기존 객체의 파일 및 스토리지 형식을 평가합니다. 객체를 분석하려면 지원되는 형식을 사용하는 새 객체로 데이터를 일시적 또는 영구적으로 이식하는 것을 고려해 보세요.

객체가 S3 버킷에 추가되고 지원되는 스토리지 클래스와 형식을 사용하는 경우, Macie는 다음에 버킷 인벤토리를 평가할 때 객체를 감지합니다. 이 경우 Macie는 Amazon S3 데이터에 대해 제공하는 통계, 적용 범위 데이터 및 기타 정보에서 버킷을 분류할 수 없음으로 보고하는 것을 중단합니다. 또한 후속 분석 주기에서는 새로운 객체가 분석에서 우선 순위가 높아지게 됩니다.

추가 참조

Amazon S3 스토리지 클래스와 Macie가 지원하는 파일 및 스토리지 형식에 대한 자세한 내용은 Amazon Macie에서 지원하는 스토리지 클래스 및 형식 섹션을 참조하세요. 수명 주기 구성 규칙 및 Amazon S3에서 제공하는 스토리지 클래스 옵션에 대한 자세한 내용은 Amazon Simple Storage Service 사용 설명서의 스토리지 수명 주기 관리 및 Amazon S3 스토리지 클래스 사용 섹션을 참조하세요.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

개별 S3 버킷에 대한 자동화된 데이터 검색 관리

자동 검색 통계 및 결과 검토