Amazon Macie를 사용하여 S3 버킷 인벤토리 검토

Amazon Macie 콘솔의 S3 버킷 페이지는 현재 AWS 리전에 있는 Amazon Simple Storage Service(S3) 데이터의 보안 및 개인정보 보호에 대한 자세한 인사이트를 제공합니다. 이 페이지에서는 리전 내 S3 범용 버킷의 전체 인벤토리를 검토 및 분석하고 개별 버킷에 대한 세부 정보 및 통계를 검토할 수 있습니다. 조직의 Macie 관리자인 경우 인벤토리에는 구성원 계정이 소유한 S3 버킷에 대한 세부 정보 및 통계가 포함됩니다.

S3 버킷 페이지에는 Macie가 가장 최근에 언제 사용자 계정의 Amazon S3에서 버킷 또는 객체 메타데이터를 검색했는지도 표시됩니다. 이 정보는 페이지 상단의 마지막 업데이트 필드에서 확인할 수 있습니다. 조직의 Macie 관리자인 경우, 이 필드는 Macie가 조직 계정의 데이터를 검색한 가장 빠른 날짜와 시간을 나타냅니다. 자세한 정보는 데이터 새로 고침을 참조하세요.

참고로 인벤토리 데이터와 통계에는 S3 디렉터리 버킷에 대한 데이터가 포함되지 않고 범용 버킷만 포함됩니다. Macie는 디렉터리 버킷을 모니터링하거나 분석하지 않습니다. 또한 대부분의 인벤토리 데이터는 Macie가 사용자 계정에서 액세스할 수 있는 버킷으로 제한됩니다. 버킷의 권한 설정으로 인해 Macie가 버킷 또는 버킷의 객체에 대한 정보를 검색할 수 없는 경우, Macie는 버킷에 대한 일부 정보만 제공할 수 있습니다. 특정 버킷의 경우, Macie는 버킷 인벤토리에 해당 버킷에 대한 경고 아이콘 ( )과 메시지를 표시합니다. 버킷 세부 정보의 경우, Macie는 버킷을 소유한 AWS 계정 의 계정 ID, 버킷 이름, Amazon 리소스 이름(ARN), 생성 날짜, 리전, 매일 새로 고침 주기의 일부로 Macie가 가장 최근에 버킷과 버킷의 개체 메타데이터를 모두 검색한 날짜 등 필드와 데이터의 하위 집합만 표시합니다. 문제를 조사하려면 Amazon S3의 버킷 정책 및 권한 설정을 검토하십시오. 예를 들어 버킷에 제한적인 버킷 정책이 있을 수 있습니다. 자세한 정보는 Macie가 S3 버킷 및 객체에 액세스할 수 있도록 허용을 참조하세요.

프로그래밍 방식으로 재고 데이터에 액세스하고 쿼리하려는 경우 Amazon Macie API DescribeBuckets작업을 사용할 수 있습니다.

S3 버킷 인벤토리 검토

Amazon Macie 콘솔의 S3 버킷 페이지는 현재의 S3 범용 버킷에 대한 정보를 제공합니다. AWS 리전이 페이지에는 인벤토리의 각 버킷에 대한 요약 정보가 표로 표시됩니다. 표를 정렬하고 필터링하여 보기를 사용자 지정할 수 있습니다. 표에서 버킷을 선택하면 세부 정보 패널에 해당 버킷에 대한 추가 정보가 표시됩니다. 여기에는 설정 및 메트릭에 대한 세부 정보 및 통계가 포함되어 버킷 데이터의 보안 및 개인정보 보호에 대한 인사이트를 제공받을 수 있습니다. 선택적으로 테이블의 데이터를 쉼표로 구분된 값(CSV) 파일로 내보낼 수 있습니다.

민감한 데이터 자동 검색이 활성화된 경우 대화형 히트 맵을 사용하여 인벤토리를 검토할 수도 있습니다. 이 맵은 Amazon S3 데이터 자산 전반의 데이터 민감도를 시각적으로 보여줍니다. Macie가 지금까지 수행한 자동화된 민감한 데이터 검색 활동의 결과를 캡처합니다. 이 맵에 대해 자세히 알아보려면, S3 버킷 맵을 사용한 데이터 민감도 시각화을 참조하십시오.

S3 버킷 인벤토리를 검토하려면

1. https://console.aws.amazon.com/macie/에서 Amazon Macie 콘솔을 엽니다.

2. 탐색 창에서 S3 버킷을 선택합니다. S3 버킷 페이지에는 버킷 인벤토리가 표시됩니다. 페이지에 인벤토리의 대화형 지도가 표시되면 페이지 상단의 표 ( ) 를 선택하십시오. 그러면 Macie는 인벤토리의 버킷 수와 버킷 표를 표시합니다.

   민감한 데이터 자동 검색이 활성화된 경우 현재 자동 검색에서 제외된 버킷의 데이터는 기본 보기에 표시되지 않습니다. 이 데이터를 표시하려면 필터 상자 아래에 있는 자동 검색으로 모니터링됨 필터 토큰에서 X를 선택합니다.

3. 필요에 따라 페이지 상단에서 새로 고침( )을 선택하여 Amazon S3에서 최신 버킷 메타데이터를 검색할 수 있습니다.

   버킷 이름 옆에 정보 아이콘( )이 표시되면 이렇게 하는 것이 좋습니다. 정보 아이콘은 지난 24시간 동안 버킷이 생성되었음을 의미합니다. 아마도 Macie가 일일 새로 고침 주기의 일부로 Amazon S3에서 버킷과 객체 메타데이터를 마지막으로 검색한 이후일 것입니다.

4. S3 버킷 페이지에서 표를 사용하여 인벤토리의 각 버킷에 대한 정보의 하위 집합을 검토하세요.

   • 민감도 - 버킷의 현재 민감도 점수. 이 열은 민감한 데이터 자동 검색이 활성화된 경우에만 나타납니다. Macie가 정의하는 민감도 점수 범위에 대한 자세한 내용은 S3 버킷의 민감도 점수 섹션을 참조하세요.

   • 버킷 - 버킷의 이름

   • 계정 – 버킷을 소유한 AWS 계정 의 계정 ID.

   • 분류 가능한 객체는 Macie가 버킷에서 민감한 데이터를 탐지하기 위해 분석할 수 있는 총 객체 수입니다.

   • 분류 가능한 크기는 Macie가 버킷에서 민감한 데이터를 탐지하기 위해 분석할 수 있는 모든 객체의 총 스토리지 크기입니다.

     이 값은 압축 해제된 후 압축된 객체의 실제 크기를 반영하지 않습니다. 버킷에 버전 관리가 활성화된 경우, 이 값은 버킷에 있는 각 객체의 최신 버전의 스토리지 크기를 기준으로 합니다.

   • 작업별 모니터링 - 민감한 데이터 검색 작업이 버킷의 객체를 일별, 주별 또는 월별로 주기적으로 분석하도록 구성되어 있는지 여부를 나타냅니다.

     이 필드의 값이 예이면 해당 버킷이 명시적으로 정기적인 작업에 포함되어 있거나 버킷이 지난 24시간 이내에 정기적인 작업 기준과 일치한 경우입니다. 또한 이러한 작업 중 하나 이상의 상태는 취소되지 않습니다. Macie는 이 데이터를 매일 업데이트합니다.

   • 최근 작업 실행 - 버킷의 객체를 분석하도록 일회성 또는 주기적 중요 데이터 검색 작업을 구성한 경우 이 필드는 해당 작업 중 하나가 실행되기 시작한 가장 최근 날짜 및 시간을 나타냅니다. 그렇지 않으면 이 필드에 대시 (-) 가 표시됩니다.

   앞의 데이터에서, 객체는 지원되는 Amazon S3 스토리지 클래스를 사용하고 지원되는 파일 또는 스토리지 형식의 파일 이름 확장자를 가진 경우 분류할 수 있습니다. Macie를 사용하여 객체에서 민감한 데이터를 탐지할 수 있습니다. 자세한 정보는 지원하는 스토리지 클래스 및 형식을 참조하세요.

5. 표를 사용하여 인벤토리를 분석하려면, 다음 작업 중 하나를 수행합니다.

   • 특정 필드를 기준으로 테이블을 정렬하려면 해당 필드의 열 제목을 선택합니다. 정렬 순서를 변경하려면 열 제목을 다시 선택합니다.

   • 테이블을 필터링하고 필드에 특정 값이 있는 버킷만 표시하려면 필터 상자에 커서를 놓고 필드에 필터 조건을 추가합니다. 결과를 더 세분화하려면 추가 필드에 필터 조건을 추가합니다. 자세한 정보는 S3 버킷 인벤토리 필터링을 참조하세요.

6. 특정 버킷에 대한 세부 정보 및 통계를 검토하려면 테이블에서 버킷 이름을 선택하고 세부 정보 패널을 참조하세요.

   작은 정보

   패널의 버킷 세부 정보 패널에서 여러 필드를 피벗하고 드릴다운할 수 있습니다. 필드 값이 동일한 버킷을 표시하려면 필드에서 를 선택합니다. 필드에 다른 값이 있는 버킷을 표시하려면 필드에서 를 선택합니다.

7. 테이블의 데이터를 CSV 파일로 내보내려면 내보내려는 각 행의 확인란을 선택하거나 선택 항목의 열 제목의 확인란을 선택하여 모든 행을 선택합니다. 그런 다음 페이지 상단에서 CSV로 내보내기를 선택합니다. 테이블에서 최대 50,000개의 행을 내보낼 수 있습니다.

S3 버킷의 세부 정보 검토

Amazon Macie 콘솔에서는 S3 버킷 페이지의 세부 정보 패널을 사용하여 S3 버킷 인벤토리의 각 범용 버킷에 대한 통계 및 기타 정보를 검토할 수 있습니다. 여기에는 설정 및 메트릭에 대한 세부 정보 및 통계가 포함되어 버킷 데이터의 보안 및 개인정보 보호에 대한 인사이트를 제공받을 수 있습니다.

예를 들어, S3 버킷의 퍼블릭 액세스 설정의 세부 분석을 검토하고, 버킷이 객체를 복제하도록 구성되어 있는지 또는 다른 AWS 계정과 공유되는지 여부를 확인할 수 있습니다. 또한 버킷에서 민감한 데이터를 검사하도록 민감한 데이터 검색 작업이 구성되어 있는지도 확인할 수 있습니다. 있는 경우 가장 최근에 실행된 작업에 대한 세부 정보에 액세스하고, 해당 작업에서 생성된 조사 결과를 선택적으로 표시할 수 있습니다.

민감한 데이터 자동 검색이 활성화된 경우 세부 정보 패널을 사용하여 민감한 데이터 검색 통계 및 개별 S3 버킷에 대한 기타 정보를 검토할 수도 있습니다. 이 패널은 Macie가 지금까지 버킷에 대해 수행한 민감한 자동 데이터 검색 활동의 결과를 캡처합니다. 이러한 세부 정보에 대해 자세히 알아보려면, 개별 S3 버킷의 데이터 민감도 세부 정보 검토을 참조하십시오.

S3 버킷의 세부 정보를 검토하려면

1. https://console.aws.amazon.com/macie/에서 Amazon Macie 콘솔을 엽니다.

2. 탐색 창에서 S3 버킷을 선택합니다. S3 버킷 페이지에는 버킷 인벤토리가 표시됩니다.

   민감한 데이터 자동 검색이 활성화된 경우 현재 자동 검색에서 제외된 버킷의 데이터는 기본 보기에 표시되지 않습니다. 이 데이터를 표시하려면 필터 상자 아래에 있는 자동 검색으로 모니터링됨 필터 토큰에서 X를 선택합니다.

3. 필요에 따라 페이지 상단에서 새로 고침( )을 선택하여 Amazon S3에서 최신 버킷 메타데이터를 검색할 수 있습니다.

4. 세부 정보를 검토하려는 버킷을 선택합니다. 세부 정보 패널에는 버킷에 대한 통계 및 기타 정보가 표시됩니다.

세부 정보 패널에서 통계 및 정보는 다음과 같은 기본 섹션으로 구성되어 있습니다.

개요 | 객체 통계 | 서버 측 암호화 | 민감한 데이터 검색 | 퍼블릭 액세스 | 복제| 태그

각 섹션의 정보를 검토하면서, 선택적으로 특정 필드를 피벗하고 드릴다운할 수 있습니다. 필드 값이 동일한 버킷을 표시하려면 필드에서 를 선택합니다. 필드에 다른 값이 있는 버킷을 표시하려면 필드에서 를 선택합니다.

개요

이 섹션에서는 버킷 이름, 버킷 생성 시기, 버킷을 소유한 계정 ID 등 버킷에 대한 일반 정보를 제공합니다. AWS 계정 특히 최종 업데이트 필드에는 Macie가 Amazon S3에서 가장 최근에 버킷 또는 버킷 객체에 대한 메타데이터를 검색한 시기가 표시됩니다.

공유 액세스 필드는 버킷을 다른 사람과 공유하는지 AWS 계정, Amazon CloudFront 원본 액세스 ID (OAI) 또는 CloudFront 원본 액세스 제어 (OAC) 와 공유하는지를 나타냅니다.

• 외부 — 버킷은 CloudFront OAI, CloudFront OAC 또는 조직 외부 (소속이 아닌) 계정 중 하나 이상 또는 이들의 조합과 공유됩니다.

• 내부 - 버킷은 조직 내부(일부)에 있는 하나 이상의 계정과 공유됩니다. CloudFront OAI 또는 OAC와는 공유되지 않습니다.

• 공유되지 않음 — 버킷은 다른 계정, CloudFront OAI 또는 OAC와 공유되지 않습니다. CloudFront

• 알 수 없음 - Macie가 버킷의 공유된 접속 설정을 평가할 수 없었습니다.

버킷을 다른 AWS 계정사람과 공유하는지 여부를 확인하기 위해 Macie는 버킷의 버킷 정책 및 ACL (액세스 제어 목록) 을 분석합니다. 분석은 버킷 수준 설정으로 제한됩니다. 버킷에서 특정 객체를 공유하기 위한 객체 수준 설정은 반영되지 않습니다. 또한 조직은 Macie 초대를 통해 AWS Organizations 또는 Macie 초대를 통해 관련 계정 그룹으로 중앙에서 관리되는 Macie 계정 집합으로 정의됩니다. 버킷 공유를 위한 Amazon S3 옵션에 대해 알아보려면, Amazon Simple Storage Service 사용 설명서에서 Amazon S3의 ID 및 액세스 관리를 참조하십시오.

참고

경우에 따라 Macie에서 버킷이 조직 외부(조직의 일부가 아닌) AWS 계정 와 공유되고 있다고 잘못 표시될 수 있습니다. 이는 Macie가 버킷 정책의 Principal 요소와 정책의 Condition 요소의 특정 AWS 글로벌 조건 컨텍스트 키 또는 Amazon S3 조건 키 간의 관계를 완전히 평가할 수 없는 경우 발생할 수 있습니다. 적용 가능한 조건 키는aws:PrincipalAccount,,,aws:PrincipalArn,aws:PrincipalOrgID,,aws:PrincipalOrgPaths,aws:PrincipalTag,aws:PrincipalType,aws:SourceAccount,aws:SourceArn, aws:SourceIp aws:SourceVpc aws:SourceVpceaws:userid, s3:DataAccessPointAccount 및 입니다. s3:DataAccessPointArn 버킷 정책을 검토하여 이러한 액세스가 의도적이고 안전한지 판단하는 것이 좋습니다.

Macie는 버킷을 CloudFront OAI 또는 OAC와 공유할지 여부를 결정하기 위해 버킷의 버킷 정책을 분석합니다. CloudFront OAI 또는 OAC를 사용하면 사용자가 하나 이상의 지정된 배포를 통해 버킷의 객체에 액세스할 수 있습니다. CloudFront CloudFront OAI 및 OAC에 대해 자세히 알아보려면 Amazon 개발자 안내서의 Amazon S3 오리진에 대한 액세스 제한을 참조하십시오. CloudFront

개요 섹션에는 최신 자동 검색 실행 필드도 포함되어 있습니다. 이 필드는 Macie가 민감한 데이터 자동 검색을 수행하는 동안 가장 최근에 버킷의 객체를 분석한 시기를 나타냅니다. 이 분석이 수행되지 않은 경우 이 필드에 대시 (-) 가 표시됩니다.

객체 통계

이 섹션에서는 버킷에 있는 객체의 (총 개수), 모든 객체의 총 스토리지 크기(총 스토리지 크기), 압축(.gz, .gzip 또는 .zip) 파일인 모든 객체의 총 스토리지 크기(총 압축 크기)를 비롯하여 버킷에 있는 객체에 대한 정보를 확인할 수 있습니다. 이 섹션의 추가 통계를 통해 Macie가 버킷에서 민감한 데이터를 감지하기 위해 분석할 수 있는 데이터의 양을 평가할 수 있습니다.

최근에 버킷을 생성했거나 지난 24시간 동안 버킷 객체를 크게 변경한 경우, 선택적으로 새로 고침( )을 선택하여 버킷 객체에 대한 최신 메타데이터를 검색할 수 있습니다. Macie는 정보 아이콘 ( )을 표시하여 해당 여부를 판단하는 데 도움을 줍니다. 버킷에 저장된 객체가 30,000개 이하인 경우 새로 고침 옵션을 사용할 수 있습니다.

이 섹션의 통계를 검토할 때 다음 사항에 유의하십시오.

• 버킷에 대해 버전 관리가 활성화된 경우, 크기 값은 해당 버킷에 있는 각 객체의 최신 버전 스토리지 크기를 기준으로 합니다.

• 버킷에 압축된 객체가 저장되어 있는 경우, 크기 값은 압축을 푼 후의 해당 객체의 실제 크기를 반영하지 않습니다.

• 버킷의 객체 메타데이터를 새로 고침하면, Macie는 객체에 적용되는 암호화 통계를 일시적으로 알 수 없음으로 보고합니다. Macie는 24시간 이내에 버킷 및 객체 메타데이터를 다음 일일 새로 고침을 수행할 때 이러한 통계에 대한 데이터를 재평가하고 업데이트합니다.

• 기본적으로 객체 수와 크기 값에는 불완전한 멀티파트 업로드로 인해 버킷에 포함된 모든 객체 파트에 대한 데이터가 포함됩니다. 버킷의 객체 메타데이터를 새로 고침하면, Macie는 다시 계산된 값에서 객체 파트에 대한 데이터를 제외합니다. Macie가 버킷 및 객체 메타데이터의 다음 일일 새로 고침을 수행할 때(24시간 이내), Macie는 이러한 통계의 값을 다시 계산하여 업데이트하고 객체 파트에 대한 데이터를 다시 값에 포함합니다.

  Macie는 민감한 데이터를 감지하기 위해 객체 부분을 분석할 수 없습니다. Amazon S3는 먼저 Macie가 분석할 수 있도록 부품을 하나 이상의 객체로 조립하는 작업을 완료해야 합니다. 수명 주기 규칙에 따라 파트를 자동으로 삭제하는 방법을 비롯하여 멀티파트 업로드 및 객체 파트에 대한 자세한 내용은 Amazon Simple Storage Service 사용 설명서의 멀티파트 업로드를 사용한 객체 업로드 및 복사를 참조하세요. Amazon S3 Storage Lens에서 불완전한 멀티파트 업로드 지표를 참조하여 객체 부분이 포함된 버킷을 식별할 수 있습니다. 자세한 내용은 Amazon Simple Storage Service 사용 설명서의 스토리지 활동 및 사용량 평가를 참조하세요.

객체 통계는 다음과 같이 구성됩니다.

분류 가능한 객체

이 섹션에는 Macie가 민감한 데이터를 감지하기 위해 분석할 수 있는 총 객체 수와 해당 객체의 총 스토리지 크기가 표시됩니다. 이러한 객체는 지원되는 Amazon S3 스토리지 클래스를 사용하며 지원되는 파일 또는 스토리지 형식에 대한 파일 이름 확장자를 가집니다. Macie를 사용하여 객체에서 민감한 데이터를 탐지할 수 있습니다. 자세한 정보는 지원하는 스토리지 클래스 및 형식을 참조하세요.

분류할 수 없는 객체

이 섹션에는 Macie가 민감한 데이터를 감지하기 위해 분석할 수 없는 총 객체 수와 해당 객체의 총 스토리지 크기가 표시됩니다. 이러한 객체는 지원되는 Amazon S3 스토리지 클래스를 사용하지 않거나 지원되는 파일 또는 스토리지 형식에 대한 파일 이름 확장자가 없습니다.

분류할 수 없는 객체: 스토리지 클래스

이 섹션에서는 지원되는 Amazon S3 스토리지 클래스를 사용하지 않기 때문에 Macie에서 분석할 수 없는 객체의 수와 스토리지 크기에 대한 세부 분석을 제공합니다.

분류할 수 없는 객체: 파일 유형

이 섹션에서는 객체에 지원되는 파일 또는 스토리지 형식에 대한 파일 이름 확장명이 없기 때문에 Macie가 분석할 수 없는 객체의 수와 스토리지 크기에 대한 세부 분석을 제공합니다.

암호화 유형별 객체

이 섹션에서는 Amazon S3가 지원하는 각 암호화 유형을 사용하는 객체 수를 분석합니다.

• 고객 제공 — 고객 제공 키로 암호화된 객체 수입니다. 이러한 객체는 SSE-C 암호화를 사용합니다.

• AWS KMS 관리형 — 고객 관리 키 AWS 관리형 키 또는 고객 관리 키로 암호화된 객체 수입니다. AWS KMS key이러한 객체는 DSSE-KMS 또는 SSE-KMS 암호화를 사용합니다.

• Amazon S3 관리 - Amazon S3 관리 키로 암호화된 객체 수입니다. 이러한 객체는 SSE-S3 암호화를 사용합니다.

• 암호화 안 함 - 암호화되지 않았거나 클라이언트 측 암호화를 사용하는 객체 수입니다. (객체가 클라이언트측 암호화를 사용하여 암호화된 경우 Macie는 해당 객체의 암호화 데이터에 액세스하여 이를 보고할 수 없습니다.)

• 알 수 없음 - Macie에 현재 암호화 메타데이터가 없는 객체 수입니다. 이는 일반적으로 최근에 버킷 객체의 메타데이터를 수동으로 새로 고침한 경우에 발생합니다. Macie는 24시간 이내에 버킷 및 객체 메타데이터의 다음 일일 새로 고침을 수행할 때 암호화 통계를 업데이트합니다.

지원되는 각 암호화 유형에 대한 자세한 내용은 Amazon Simple Storage Service 사용 설명서의 암호화를 통한 데이터 보호를 참조하십시오.

서버 측 암호화

이 섹션에서는 버킷의 서버 측 암호화 설정에 대한 인사이트를 제공합니다.

버킷 정책에 필요한 암호화 필드에는 버킷에 객체를 추가할 때 버킷의 정책에서 객체의 서버 측 암호화를 요구하는지 여부가 표시됩니다.

• 아니요 - 버킷에 버킷 정책이 없거나 버킷 정책에 새 객체의 서버 측 암호화가 필요하지 않습니다. 버킷 정책이 있는 경우 PutObject요청에 유효한 서버 측 암호화 헤더를 포함할 필요가 없습니다.

• 예 - 버킷 정책에 따라 새 객체의 서버 측 암호화가 필요합니다. 버킷에 대한 PutObject 요청에는 유효한 서버 측 암호화 헤더가 포함되어야 합니다. 그렇지 않으면 Amazon S3은 요청을 거부합니다.

• 알 수 없음 - Macie에서 버킷 정책을 평가하여 새 객체의 서버 측 암호화가 필요한지 여부를 결정할 수 없습니다.

이 평가에서 유효한 서버 측 암호화 헤더는 다음과 같습니다: 값이 AES256 또는 aws:kms인 경우x-amz-server-side-encryption, 값이 AES256인 경우 x-amz-server-side-encryption-customer-algorithm입니다. 버킷 정책을 사용하여 새 객체의 서버 측 암호화를 요구하는 방법에 대한 자세한 내용은 Amazon Simple Storage Service 사용 설명서의 서버 측 암호화로 데이터 보호를 참조하십시오.

기본 암호화 필드는 버킷에 추가되는 객체에 기본적으로 적용하도록 버킷이 구성된 서버 측 암호화 알고리즘을 나타냅니다.

• AES256 - 버킷의 기본 암호화 설정은 Amazon S3 관리 키를 사용하여 새 객체를 암호화하도록 구성되어 있습니다. 새 객체는 SSE-S3 암호화를 사용하여 자동으로 암호화됩니다.

• aws:kms — 버킷의 기본 암호화 설정은 A 또는 고객 관리 키를 사용하여 새 객체를 암호화하도록 구성되어 있습니다. AWS KMS key AWS 관리형 키 새 객체는 SSE-KMS 암호화를 사용하여 자동으로 암호화됩니다. AWS KMS key필드에는 사용된 키의 Amazon 리소스 이름 (ARN) 또는 고유 식별자 (키 ID) 가 표시됩니다.

• aws:kms:dsse — 버킷의 기본 암호화 설정은 A 또는 고객 관리 키를 사용하여 새 객체를 암호화하도록 구성되어 있습니다. AWS KMS key AWS 관리형 키 새 객체는 DSSE-KMS 암호화를 사용하여 자동으로 암호화됩니다. AWS KMS key필드에는 사용된 키의 ARN 또는 키 ID가 표시됩니다.

• 없음 - 버킷의 기본 암호화 설정이 새 객체에 대한 서버 측 암호화 동작을 지정하지 않습니다.

2023년 1월 5일부터 Amazon S3가 Amazon S3 관리형 키를 사용한 서버 측 암호화 (SSE-S3) 를 버킷에 추가되는 객체의 암호화의 기본 수준으로 자동 적용합니다. 선택적으로 키를 사용한 서버 측 암호화 (SSE-KMS) 또는 AWS KMS 키를 사용한 이중 레이어 서버 측 암호화 (DSSE-KMS) 를 대신 사용하도록 버킷의 기본 암호화 설정을 구성할 수 있습니다. AWS KMS 기본 암호화 설정 및 옵션에 대한 자세한 내용은 Amazon Simple Storage Service 사용 설명서의 S3 버킷의 기본 서버 측 암호화 동작 설정을 참조하세요.

민감한 데이터 검색

이 섹션은 민감한 데이터 검색 작업이 버킷의 객체를 매일, 매주 또는 매월 정기적으로 분석하도록 구성되어 있는지 여부를 나타냅니다. 작업별 활성 모니터링 필드 값이 예이면, 해당 버킷이 명시적으로 정기적인 작업에 포함되어 있거나 버킷이 지난 24시간 이내에 정기적인 작업 기준과 일치한 경우입니다. 또한 이러한 작업 중 하나 이상의 상태는 취소되지 않습니다. Macie는 이 데이터를 매일 업데이트합니다.

버킷을 검사하도록 모든 유형의 민감한 데이터 검색 작업(정기 작업 또는 일회성 작업)이 구성된 경우, 최신 작업 필드에는 가장 최근에 실행을 시작한 작업의 고유 식별자가 제공됩니다. 최근 작업 실행 필드에는 해당 작업이 실행되기 시작한 시간이 표시됩니다.

작은 정보

작업에서 생성된 모든 민감한 데이터 결과를 표시하려면 최근 작업(Latest job) 필드에서 링크를 선택합니다. 작업 세부 정보 패널이 나타나면, 패널 상단에서 결과 표시를 선택한 다음 조사 결과 보기를 선택합니다.

공개 액세스(Public access)

이 섹션은 버킷에 퍼블릭 액세스가 가능한지를 나타냅니다. 또한 해당 여부를 결정하는 다양한 계정 및 버킷 수준 설정에 대한 분석도 제공합니다. 유효 권한 필드에는 이러한 설정의 누적 결과가 표시됩니다.

• 비공개 - 버킷에 공개적으로 액세스할 수 없습니다.

• 공개 - 버킷에 공개적으로 액세스할 수 있습니다.

• 알 수 없음 - Macie가 버킷의 퍼블릭 액세스 설정을 평가할 수 없었습니다.

참고로 이 데이터는 계정 및 버킷 수준 설정으로 제한됩니다. 버킷의 특정 객체에 대한 퍼블릭 액세스를 허용하는 객체 수준 설정은 반영되지 않습니다.

버킷 및 버킷 데이터에 대한 퍼블릭 액세스를 관리하기 위한 Amazon S3 설정에 대해 알아보려면 Amazon Simple Storage Service 사용 설명서에서 Amazon S3의 ID 및 액세스 관리와 Amazon S3 스토리지에 대한 퍼블릭 액세스 차단하기를 참조하십시오.

복제

이 섹션에서 복제됨 필드에는 버킷이 다른 버킷에 객체를 복제하도록 구성되어 있는지 여부가 표시됩니다. 이 필드의 값이 ‘예’이면, 버킷에 대해 하나 이상의 복제 규칙이 구성되고 활성화된 것입니다. 그런 다음 이 섹션에는 대상 버킷을 소유한 각 사용자의 계정 ID도 나열됩니다. AWS 계정

Replicated externally 필드는 조직 외부 (일부가 아닌) 의 버킷에 객체를 복제하도록 버킷을 구성했는지 여부를 나타냅니다. AWS 계정 조직은 Macie 초대를 통해 또는 Macie 초대를 통해 관련 계정 그룹으로 중앙에서 관리되는 Macie 계정 집합입니다. AWS Organizations 이 필드의 값이 Yes이면 해당 버킷에 대해 복제 규칙이 구성되고 활성화되며 외부 소유의 버킷에 객체를 복제하도록 규칙이 구성됩니다. AWS 계정

참고

특정 상황에서 Macie는 버킷이 외부 소유의 버킷에 객체를 복제하도록 구성되어 있다고 잘못 표시할 수 있습니다. AWS 계정이는 Macie가 일일 새로 고침 주기의 일부로 Amazon S3에서 버킷 및 객체 메타데이터를 검색한 후 이전 24시간 동안 다른 AWS 리전 에서 대상 버킷을 생성한 경우 발생할 수 있습니다.

Macie를 사용하여 문제를 조사하려면, 새로 고침( )을 선택하여 Amazon S3에서 최신 버킷 메타데이터를 검색합니다. 그런 다음 이 섹션의 계정 ID 목록을 검토합니다. 더 심층적인 조사를 위해, Amazon S3를 사용하여 버킷의 복제 규칙을 검토합니다.

버킷 객체 복제를 위한 Amazon S3 옵션 및 설정에 대해 알아보려면, Amazon Simple Storage Service 사용 설명서에서 객체 복제하기를 참조하십시오.

Tags

태그가 버킷과 연결된 경우, 이 섹션이 패널에 표시되고 해당 태그가 나열됩니다. 태그는 S3 버킷을 비롯한 특정 유형의 AWS 리소스에 정의하여 할당할 수 있는 레이블입니다. 각 태그는 필수 태그 키와 선택적 태그 값으로 구성됩니다.

버킷 태그 지정에 대한 자세한 내용은 Amazon Simple Storage Service 사용 설명서에서 비용 할당 S3 버킷 태그 사용을 참조하십시오.