翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Macie で機密データを検出する
Amazon Macie を使用すると、Amazon Simple Storage Service (Amazon S3) データ資産内の機密データの検出、ログ記録、レポート作成を自動化できます。これには、機密データ自動検出を実行するように Macie を設定する方法と、機密データ検出ジョブを作成して実行する方法の 2 つの方法があります。
機密データ自動検出により、Amazon S3 データエステート内の機密データがどこに存在するかに幅広い可視性を提供しています。このオプションでは、Macie は S3 バケットインベントリを毎日評価し、サンプリング技術を使用してバケットから代表的な S3 オブジェクトを識別して選択します。その後、Macie は選択したオブジェクトを取得して分析し、機密データがないか検査します。詳細については、「[機密データ自動検出を実行する](discovery-asdd.md)」を参照してください。
機密データ検出ジョブでは、より詳細で対象を絞った分析が可能になります。このオプションでは、選択する特定の S3 バケット、または特定の条件に一致するバケットなど、分析の範囲と深さを定義します。S3 オブジェクトのプロパティから派生するカスタム基準などのオプションを選択して、その分析の範囲を絞り込むこともできます。また、ジョブは、オンデマンドの分析および評価では 1 回のみ、または定期的な分析、評価、およびモニタリングでは繰り返しベースで実行するように設定できます。詳細については、「[機密データ検出ジョブの実行](discovery-jobs.md)」を参照してください。
いずれかのオプション、機密データ自動検出ジョブ、または機密データ検出ジョブを使用すると、提供するマネージドデータ識別子、定義したカスタムデータ識別子、またはこれら 2 つの組み合わせを使用して S3 オブジェクトを分析するように Macie を設定できます。許可リストを使用して分析を微調整することもできます。機密データ自動検出または機密データ検出ジョブの設定を構成するときは、使用するものを指定します。
+ **マネージドデータ識別子** – これらは、特定のタイプの機密データを検出するように設計された組み込みの基準と手法です。例えば、特定の国や地域のクレジットカード番号、 AWS シークレットアクセスキー、パスポート番号を検出できます。多くの国や地域の機密データタイプの大規模で増加しているリストを検出できます。これには、複数のタイプの個人を特定できる情報 (PII)、財務情報、認証情報データが含まれます。詳細については、「[マネージドデータ識別子の使用](managed-data-identifiers.md)」を参照してください。
+ **カスタムデータ識別子** – 機密データを検出するために定義するカスタム基準です。基準は、一致するテキストパターン、オプションで文字シーケンス、結果を絞り込む近接ルールを定義する正規表現 (正規表現)から設定されています。それらを使用して、従業員 ID、顧客アカウント番号、内部データの分類など、特定のシナリオ、知的財産、または専有データを反映する機密データを検出できます。詳細については、「[カスタムデータ識別子の構築](custom-data-identifiers.md)」を参照してください。
+ **許可リスト** – Macie が無視するテキストとテキストパターンを指定します。これらを使用して、組織のパブリックネームや電話番号、組織がテストに使用するサンプルデータなど、特定のシナリオや環境に機密データの例外を指定できます。Macie が許可リストのエントリまたはパターンに一致するテキストを検出した場合、Macie はそのテキストの出現を報告しません。これは、テキストがマネージドデータ識別子またはカスタムデータ識別子の基準と一致する場合も当てはまります。詳細については、「[許可リストでの機密データの例外の定義](allow-lists.md)」を参照してください。
Macie が S3 オブジェクトを分析すると、Macie は Amazon S3 からオブジェクトの最新バージョンを取得し、オブジェクトの内容に機密データがないか検査します。以下が当てはまる場合、Macie はオブジェクトを分析できます。
+ オブジェクトは、サポートされているファイルまたはストレージ形式を使用し、サポートされているストレージクラスを使用して S3 汎用バケットに保存されます。詳細については、「[サポートされているストレージクラスとフォーマット](discovery-supported-storage.md)」を参照してください。
+ オブジェクトが暗号化されている場合、Macie がアクセス可能で使用を許可されているキーを用いて暗号化されます。詳細については、[暗号化された S3 オブジェクトの分析](discovery-supported-encryption-types.md)を参照してください。
+ 制限バケットポリシーがあるバケットにオブジェクトが保存されている場合、ポリシーにより、Macie はバケット内のオブジェクトへのアクセスが許可されます。詳細については、[Macie が S3 バケットおよびオブジェクトにアクセスすることを許可する](monitoring-restrictive-s3-buckets.md)を参照してください。
Macieは、お客様がデータセキュリティおよびプライバシーに関する要件を満たし、コンプライアンスを維持できるよう、機密データを発見し、分析を実行した記録機密データの検出および機密データの検出結果を作成します。機密データの調査結果は、Macie がオブジェクトで検出した機密データの詳細なレポートです。*機密データの検出結果*は、オブジェクトの分析に関する詳細を記録するレコードです。各タイプのレコードは、標準化されたスキーマに従っており、必要に応じて他のアプリケーション、サービス、システムを使用して、そのクエリ、モニタリング、および処理に役立ちます。
**ヒント**
Macie は Amazon S3 向けに最適化されていますが、現在別の場所に保存されているリソース内の機密データを検出するために使用できます。これを行うには、データを Amazon S3 に一時的または永続的に移動します。例えば、Amazon Relational Database Service または Amazon Aurora のスナップショットを Apache Parquet 形式で Amazon S3 にエクスポートします。あるいは、Amazon DynamoDB テーブルを Amazon S3 にエクスポートします。その後、ジョブを作成して Amazon S3 内のデータを分析できます。
**Topics**
+ [マネージドデータ識別子の使用](managed-data-identifiers.md)
+ [カスタムデータ識別子の構築](custom-data-identifiers.md)
+ [許可リストでの機密データの例外の定義](allow-lists.md)
+ [機密データ自動検出を実行する](discovery-asdd.md)
+ [機密データ検出ジョブの実行](discovery-jobs.md)
+ [暗号化された S3 オブジェクトの分析](discovery-supported-encryption-types.md)
+ [機密データ検出結果の保存と保持](discovery-results-repository-s3.md)
+ [サポートされているストレージクラスとフォーマット](discovery-supported-storage.md)
# マネージドデータ識別子の使用
Amazon Macie は、機械学習やパターンマッチングなどの基準と手法の組み合わせを使用して、Amazon Simple Storage Service (Amazon S3) オブジェクトの機密データを検出します。これらの基準と手法は、総称してマネージドデータ識別子と呼ばれ、複数のタイプの財務データ、個人健康情報 (PHI)、個人を特定できる情報 (PII) など、多くの国またはリージョンの機密データタイプの大規模かつ増加しているリストを検出できます。各マネージドデータ識別子は、特定の国またはリージョンの AWS シークレットアクセスキー、クレジットカード番号、パスポート番号など、特定のタイプの機密データを検出するように設計されています。
Macie は、マネージドデータ識別子を使用して、次のカテゴリの機密データを検出できます。
+ プライベートキーや AWS シークレットアクセスキーなどの認証情報データ用の認証情報。
+ クレジットカード番号や銀行口座番号などの財務データに関する財務情報。
+ 医療保険や医療識別番号などの PHI、および運転免許証識別番号やパスポート番号などの PII に関する個人情報。
各カテゴリ内で、Macie は複数のタイプの機密データを検出できます。このセクションのトピックでは、各タイプとその検出に関連する要件をリスト化して説明します。各タイプでは、データを検出するように設計されたマネージドデータ識別子の一意の識別子 (ID) も示します。[機密データ検出ジョブの作成](discovery-jobs-create.md)または[機密データの自動検出の設定の構成](discovery-asdd-account-configure.md)の際、これらの ID を使用して、S3 オブジェクトを分析するときに Macie がどのマネージドデータ識別子を使用するかを指定できます。
**Topics**
+ [キーワード要件](managed-data-identifiers-keywords.md)
+ [機密データタイプ別のクイックリファレンス](mdis-reference-quick.md)
+ [機密データカテゴリ別の詳細リファレンス](mdis-reference.md)
ジョブに推奨されるマネージドデータ識別子のリストは [機密データ検出ジョブに推奨されるマネージドデータ識別子](discovery-jobs-mdis-recommended.md) を参照してください。機密データの自動検出に推奨され、デフォルトで使用されるマネージドデータ識別子のリストについては、[機密データの自動検出のデフォルト設定](discovery-asdd-settings-defaults.md)を参照してください。
# マネージドデータ識別子のキーワード要件
マネージドデータ識別子を使用して特定のタイプの機密データを検出するには、Amazon Macie ではデータの近くにあるキーワードが必要です。特定のタイプのデータに当てはまる場合、このセクションのリファレンストピックでは、そのデータのキーワード要件を示します。
キーワードが特定のタイプのデータの近くにある必要がある場合は、通常、キーワードはデータから 30 文字以内 (包括的) になければなりません。追加の近接要件は、Amazon Simple Storage Service (Amazon S3) オブジェクトのファイルタイプまたはストレージ形式によって異なります。
**構造化列データ**
列指向データでは、キーワードは同じ値の一部であるか、値を格納する列またはフィールドの名前内にある必要があります。これは、Microsoft Excel ワークブック、CSV ファイル、および TSV ファイルに当てはまります。
たとえば、フィールドの値に *SSN* と米国社会保障番号 (SSN) の構文を使用する 9 桁の番号の両方が含まれている場合、Macie はフィールド内の SSN を検出できます。同様に、列の名前に *SSN* が含まれている場合、Macie は列内の各 SSN を検出できます。Macie は、その列内の値を、キーワード SSN の近くにあるものとして扱います。
**構造化レコードベースのデータ**
レコードベースのデータでは、キーワードは同じ値の一部であるか、値を格納するフィールドまたは配列へのパス内の要素の名前内にある必要があります。これは Apache Avro オブジェクトコンテナ、Apache Parquet ファイル、JSON ファイル、および JSON Lines ファイルに当てはまります。
たとえば、 フィールドの値に*、認証情報*とシー AWS クレットアクセスキーの構文を使用する文字シーケンスの両方が含まれている場合、Macie は フィールドでキーを検出できます。同様に、フィールドへのパスが の場合`$.credentials.aws.key`、Macie は フィールドで AWS シークレットアクセスキーを検出できます。Macie は、そのフィールド内の値を、キーワード credentials (認証情報) の近くにあるものとして扱います。
**Unstructured data** (非構造化データ)
非構造化データの場合、キーワードは通常、データの 30 文字以内 (包括的) である必要があります。追加の近接要件はありません。これは、Adobe ポータブルドキュメント形式ファイル、Microsoft Word ドキュメント、E メールメッセージ、および CSV、JSON、JSON Lines、および TSV ファイル以外の非バイナリテキストファイルに当てはまります。これには、これらのタイプのファイル内のテーブルや XML などの構造化データが含まれます。
キーワードでは大文字と小文字が区別されません。さらに、キーワードにスペースが含まれている場合、Macie は、スペースを含まないキーワードのバリエーションや、スペースではなくアンダースコア (\$1) またはハイフン (-) を含むキーワードのバリエーションを自動的に照合します。場合によっては、Macie はキーワードの一般的なバリエーションに対処するためにキーワードを拡張または短縮します。
キーワードがコンテキストを提供し、Macie が特定のタイプの機密データを検出するのにどのように役立つかについては、以下の動画をご覧ください。
# クイックリファレンス: タイプ別のマネージドデータ識別子
Amazon Macie では、*マネージドデータ識別子*は、クレジットカード番号、 AWS シークレットアクセスキー、特定の国または地域のパスポート番号など、特定のタイプの機密データを検出するように設計された一連の組み込み基準と手法です。これらの識別子は、複数のタイプの認証情報データ、財務情報、個人健康情報 (PHI)、個人を特定できる情報 (PII) など、多くの国や地域の機密データタイプの大規模かつ増加しているリストを検出できます。
次の表は、Macie が現在提供しているすべてのマネージドデータ識別子を機密データタイプ別にまとめたものです。それぞれのタイプについて、以下の情報を提供している:
+ **機密データカテゴリ** — 機密データの一般的なカテゴリを指定します。そのタイプには、シークレットキーなどの認証情報データの場合は認証情報、クレジットカード番号や銀行口座番号などの財務データの場合は財務情報、健康保険や医療識別番号などの個人の健康情報の場合は個人情報: PHI、および運転免許証の識別番号やパスポート番号などの個人を特定できる情報の場合は個人情報: PIIなどがあります。
+ **マネージドデータ識別子 ID** — データを検出するように設計された 1 つ以上のマネージドデータ識別子の一意の識別子 (ID) を指定します。機密データ検出ジョブの作成または機密データの自動検出設定の構成の際、これらの ID を使用して Macie がデータを分析するときに使用するマネージドデータ ID を指定できます。ジョブに推奨されるマネージドデータ識別子のリストは [機密データ検出ジョブに推奨されるマネージドデータ識別子](discovery-jobs-mdis-recommended.md) を参照してください。機密データの自動検出に推奨されるマネージドデータ識別子のリストは [機密データの自動検出のデフォルト設定](discovery-asdd-settings-defaults.md) を参照してください。
+ **キーワードが必要** — 検出には、キーワードがデータの近くにある必要があるかどうかを指定します。Macie がデータを分析する際にどのようにキーワードを使用するかについては、[キーワード要件](managed-data-identifiers-keywords.md) を参照してください。
+ **国とリージョン** – 該当するマネージドデータ識別子が設計されている国とリージョンを指定します。マネージドデータ識別子が特定の国やリージョン向けに設計されていない場合、この値は *Any *です。
特定のタイプの機密データのマネージドデータ識別子に関する詳細情報を確認するには、そのタイプを選択します。
| 機密データタイプ | 機密データのカテゴリ | マネージドデータ識別子 ID | キーワードが必須 | 国とリージョン |
| --- | --- | --- | --- | --- |
| [AWS シークレットアクセスキー](mdis-reference-credentials.md#mdis-reference-AWS-CREDENTIALS) | 認証情報 | AWS\$1CREDENTIALS | はい | いずれか |
| [銀行口座番号](mdis-reference-financial.md#mdis-reference-BAN) | 財務情報 | BANK\$1ACCOUNT\$1NUMBER(カナダと米国の場合)、 | はい | カナダ、米国 |
| [基本銀行口座番号 (BBAN)](mdis-reference-financial.md#mdis-reference-BBAN) | 財務情報 | 国またはリージョンによって異なります。 FRANCE\$1BANK\$1ACCOUNT\$1NUMBER, GERMANY\$1BANK\$1ACCOUNT\$1NUMBER, ITALY\$1BANK\$1ACCOUNT\$1NUMBER, SPAIN\$1BANK\$1ACCOUNT\$1NUMBER, UK\$1BANK\$1ACCOUNT\$1NUMBER | はい | フランス、ドイツ、イタリア、スペイン、英国 |
| [生年月日](mdis-reference-pii.md#mdis-reference-DATE_OF_BIRTH) | 個人情報: PHI | DATE\$1OF\$1BIRTH | はい | いずれか |
| [クレジットカードの有効期限](mdis-reference-financial.md#mdis-reference-CC-expiration) | 財務情報 | CREDIT\$1CARD\$1EXPIRATION | はい | いずれか |
| [クレジットカードの磁気ストライプデータ](mdis-reference-financial.md#mdis-reference-CC-stripe) | 財務情報 | CREDIT\$1CARD\$1MAGNETIC\$1STRIPE | はい | いずれか |
| [クレジットカード番号](mdis-reference-financial.md#mdis-reference-CC-number) | 財務情報 | CREDIT\$1CARD\$1NUMBER (キーワードに近いクレジットカード番号の場合) と CREDIT\$1CARD\$1NUMBER\$1(NO\$1KEYWORD) (キーワードに近くないクレジットカード番号の場合) | 可変 | いずれか |
| [クレジットカード認証コード](mdis-reference-financial.md#mdis-reference-CC-verification-code) | 財務情報 | CREDIT\$1CARD\$1SECURITY\$1CODE | はい | いずれか |
| [運転免許証識別番号](mdis-reference-pii.md#mdis-reference-DL-num) | 個人情報: PII | 国またはリージョンによって異なります。 AUSTRALIA\$1DRIVERS\$1LICENSE, AUSTRIA\$1DRIVERS\$1LICENSE, BELGIUM\$1DRIVERS\$1LICENSE, BULGARIA\$1DRIVERS\$1LICENSE, CANADA\$1DRIVERS\$1LICENSE, CROATIA\$1DRIVERS\$1LICENSE, CYPRUS\$1DRIVERS\$1LICENSE, CZECHIA\$1DRIVERS\$1LICENSE, DENMARK\$1DRIVERS\$1LICENSE, DRIVERS\$1LICENSE (for the US), ESTONIA\$1DRIVERS\$1LICENSE, FINLAND\$1DRIVERS\$1LICENSE, FRANCE\$1DRIVERS\$1LICENSE, GERMANY\$1DRIVERS\$1LICENSE, GREECE\$1DRIVERS\$1LICENSE, HUNGARY\$1DRIVERS\$1LICENSE, INDIA\$1DRIVERS\$1LICENSE, IRELAND\$1DRIVERS\$1LICENSE, ITALY\$1DRIVERS\$1LICENSE, LATVIA\$1DRIVERS\$1LICENSE, LITHUANIA\$1DRIVERS\$1LICENSE, LUXEMBOURG\$1DRIVERS\$1LICENSE, MALTA\$1DRIVERS\$1LICENSE, NETHERLANDS\$1DRIVERS\$1LICENSE, POLAND\$1DRIVERS\$1LICENSE, PORTUGAL\$1DRIVERS\$1LICENSE, ROMANIA\$1DRIVERS\$1LICENSE, SLOVAKIA\$1DRIVERS\$1LICENSE, SLOVENIA\$1DRIVERS\$1LICENSE, SPAIN\$1DRIVERS\$1LICENSE, SWEDEN\$1DRIVERS\$1LICENSE, UK\$1DRIVERS\$1LICENSE | はい | オーストラリア、オーストリア、ベルギー、ブルガリア、カナダ、クロアチア、キプロス、チェコ共和国、デンマーク、エストニア、フィンランド、フランス、ドイツ、ギリシャ、ハンガリー、インド、アイルランド、イタリア、ラトビア、リトアニア、ルクセンブルク、マルタ、オランダ、ポーランド、ポルトガル、ルーマニア、スロバキア、スロベニア、スペイン、スウェーデン、英国、米国 |
| [麻薬取締局 (DEA) 登録番号](mdis-reference-phi.md#mdis-reference-DEA-registration-num) | 個人情報: PHI | US\$1DRUG\$1ENFORCEMENT\$1AGENCY\$1NUMBER | はい | 米国 |
| [選挙人名簿番号](mdis-reference-pii.md#mdis-reference-electoral-roll-num) | 個人情報: PII | UK\$1ELECTORAL\$1ROLL\$1NUMBER | はい | UK |
| [フルネーム](mdis-reference-pii.md#mdis-reference-full-name) | 個人情報: PII | NAME | いいえ | すべて (名前にラテン文字セットが使用されている場合) |
| [全地球測位システム (GPS) 座標](mdis-reference-pii.md#mdis-reference-GPS) | 個人情報: PII | LATITUDE\$1LONGITUDE | はい | すべて (座標が英語のキーワードの近くにある場合) |
| [Google Cloud API キー](mdis-reference-credentials.md#mdis-reference-GCP-API-key) | 認証情報 | GCP\$1API\$1KEY | はい | いずれか |
| [健康保険請求番号 (HICN)](mdis-reference-phi.md#mdis-reference-HICN) | 個人情報: PHI | USA\$1HEALTH\$1INSURANCE\$1CLAIM\$1NUMBER | はい | 米国 |
| [健康保険または医療識別番号](mdis-reference-phi.md#mdis-reference-HI-ID) | 個人情報: PHI | 国またはリージョンによって異なります。 CANADA\$1HEALTH\$1NUMBER, EUROPEAN\$1HEALTH\$1INSURANCE\$1CARD\$1NUMBER, FINLAND\$1EUROPEAN\$1HEALTH\$1INSURANCE\$1NUMBER, FRANCE\$1HEALTH\$1INSURANCE\$1NUMBER, UK\$1NHS\$1NUMBER, USA\$1MEDICARE\$1BENEFICIARY\$1IDENTIFIER | はい | カナダ、EU、フィンランド、フランス、英国、米国 |
| [ヘルスケア共通手順コーディングシステム (HCPCS) コード](mdis-reference-phi.md#mdis-reference-HCPCS) | 個人情報: PHI | USA\$1HEALTHCARE\$1PROCEDURE\$1CODE | はい | 米国 |
| [HTTP 基本認可ヘッダー](mdis-reference-credentials.md#mdis-reference-HTTP_BASIC_AUTH_HEADER) | 認証情報 | HTTP\$1BASIC\$1AUTH\$1HEADER | いいえ | いずれか |
| [HTTP クッキー](mdis-reference-pii.md#mdis-reference-HTTP_COOKIE) | 個人情報: PII | HTTP\$1COOKIE | いいえ | いずれか |
| [国際銀行口座番号(IBAN)](mdis-reference-financial.md#mdis-reference-IBAN) | 財務情報 | 国またはリージョンによって異なります。 ALBANIA\$1BANK\$1ACCOUNT\$1NUMBER, ANDORRA\$1BANK\$1ACCOUNT\$1NUMBER, BOSNIA\$1AND\$1HERZEGOVINA\$1BANK\$1ACCOUNT\$1NUMBER, BRAZIL\$1BANK\$1ACCOUNT\$1NUMBER, BULGARIA\$1BANK\$1ACCOUNT\$1NUMBER, COSTA\$1RICA\$1BANK\$1ACCOUNT\$1NUMBER, CROATIA\$1BANK\$1ACCOUNT\$1NUMBER, CYPRUS\$1BANK\$1ACCOUNT\$1NUMBER, CZECH\$1REPUBLIC\$1BANK\$1ACCOUNT\$1NUMBER, DENMARK\$1BANK\$1ACCOUNT\$1NUMBER, DOMINICAN\$1REPUBLIC\$1BANK\$1ACCOUNT\$1NUMBER, EGYPT\$1BANK\$1ACCOUNT\$1NUMBER, ESTONIA\$1BANK\$1ACCOUNT\$1NUMBER, FAROE\$1ISLANDS\$1BANK\$1ACCOUNT\$1NUMBER, FINLAND\$1BANK\$1ACCOUNT\$1NUMBER, FRANCE\$1BANK\$1ACCOUNT\$1NUMBER, GEORGIA\$1BANK\$1ACCOUNT\$1NUMBER, GERMANY\$1BANK\$1ACCOUNT\$1NUMBER, GREECE\$1BANK\$1ACCOUNT\$1NUMBER, GREENLAND\$1BANK\$1ACCOUNT\$1NUMBER, HUNGARY\$1BANK\$1ACCOUNT\$1NUMBER, ICELAND\$1BANK\$1ACCOUNT\$1NUMBER, IRELAND\$1BANK\$1ACCOUNT\$1NUMBER, ITALY\$1BANK\$1ACCOUNT\$1NUMBER, JORDAN\$1BANK\$1ACCOUNT\$1NUMBER, KOSOVO\$1BANK\$1ACCOUNT\$1NUMBER, LIECHTENSTEIN\$1BANK\$1ACCOUNT\$1NUMBER, LITHUANIA\$1BANK\$1ACCOUNT\$1NUMBER, MALTA\$1BANK\$1ACCOUNT\$1NUMBER, MAURITANIA\$1BANK\$1ACCOUNT\$1NUMBER, MAURITIUS\$1BANK\$1ACCOUNT\$1NUMBER, MONACO\$1BANK\$1ACCOUNT\$1NUMBER, MONTENEGRO\$1BANK\$1ACCOUNT\$1NUMBER, NETHERLANDS\$1BANK\$1ACCOUNT\$1NUMBER, NORTH\$1MACEDONIA\$1BANK\$1ACCOUNT\$1NUMBER, POLAND\$1BANK\$1ACCOUNT\$1NUMBER, PORTUGAL\$1BANK\$1ACCOUNT\$1NUMBER, SAN\$1MARINO\$1BANK\$1ACCOUNT\$1NUMBER, SENEGAL\$1BANK\$1ACCOUNT\$1NUMBER, SERBIA\$1BANK\$1ACCOUNT\$1NUMBER, SLOVAKIA\$1BANK\$1ACCOUNT\$1NUMBER, SLOVENIA\$1BANK\$1ACCOUNT\$1NUMBER, SPAIN\$1BANK\$1ACCOUNT\$1NUMBER, SWEDEN\$1BANK\$1ACCOUNT\$1NUMBER, SWITZERLAND\$1BANK\$1ACCOUNT\$1NUMBER, TIMOR\$1LESTE\$1BANK\$1ACCOUNT\$1NUMBER, TUNISIA\$1BANK\$1ACCOUNT\$1NUMBER, TURKIYE\$1BANK\$1ACCOUNT\$1NUMBER, UK\$1BANK\$1ACCOUNT\$1NUMBER, UKRAINE\$1BANK\$1ACCOUNT\$1NUMBER, UNITED\$1ARAB\$1EMIRATES\$1BANK\$1ACCOUNT\$1NUMBER, VIRGIN\$1ISLANDS\$1BANK\$1ACCOUNT\$1NUMBER (イギリス領バージン諸島用) | いいえ | アルバニア、アンドラ、ボスニア・ヘルツェゴビナ、ブラジル、ブルガリア、コスタリカ、クロアチア、キプロス、チェコ共和国、デンマーク、ドミニカ共和国、エジプト、エストニア、フェロー諸島、フィンランド、フランス、ジョージア、ドイツ、ギリシャ、グリーンランド、ハンガリー、アイスランド、アイルランド、イタリア、ヨルダン、コソボ、リヒテンシュタイン、リトアニア、マルタ、モーリタニア、モーリシャス、モナコ、モンテネグロ、オランダ、北マケドニア、ポーランド、ポルトガル、サンマリノ、セネガル、セルビア、スロバキア、スロベニア、スペイン、スウェーデン、スイス、東ティモール、チュニジア、トルコ、英国、ウクライナ、アラブ首長国連邦、バージン諸島(英国) |
| [JSON ウェブトークン (JWT)](mdis-reference-credentials.md#mdis-reference-JSON_WEB_TOKEN) | 認証情報 | JSON\$1WEB\$1TOKEN | いいえ | いずれか |
| [郵送先住所](mdis-reference-pii.md#mdis-reference-mailing-address) | 個人情報: PII | ADDRESS、BRAZIL\$1CEP\$1CODE (ブラジルの Código de Endereçamento Postal の場合) | 可変 | オーストラリア、ブラジル、カナダ、フランス、ドイツ、イタリア、スペイン、英国、米国 |
| [全米医薬品コード (NDC)](mdis-reference-phi.md#mdis-reference-NDC) | 個人情報: PHI | USA\$1NATIONAL\$1DRUG\$1CODE | はい | 米国 |
| [国民識別番号](mdis-reference-pii.md#mdis-reference-national-id) | 個人情報: PII | 国またはリージョンによって異なります。 ARGENTINA\$1DNI\$1NUMBER, BRAZIL\$1RG\$1NUMBER, CHILE\$1RUT\$1NUMBER, COLOMBIA\$1CITIZENSHIP\$1CARD\$1NUMBER, FRANCE\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, GERMANY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, INDIA\$1AADHAAR\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, MEXICO\$1CURP\$1NUMBER, SPAIN\$1DNI\$1NUMBER | はい | アルゼンチン、ブラジル、チリ、コロンビア、フランス、ドイツ、インド、イタリア、メキシコ、スペイン |
| [国民保険番号 (NINO)](mdis-reference-pii.md#mdis-reference-NINO) | 個人情報: PII | UK\$1NATIONAL\$1INSURANCE\$1NUMBER | はい | UK |
| [国家プロバイダー識別子 (NPI)](mdis-reference-phi.md#mdis-reference-NPI) | 個人情報: PHI | USA\$1NATIONAL\$1PROVIDER\$1IDENTIFIER | はい | 米国 |
| [OpenSSH プライベートキー](mdis-reference-credentials.md#mdis-reference-OPENSSH_PRIVATE_KEY) | 認証情報 | OPENSSH\$1PRIVATE\$1KEY | いいえ | いずれか |
| [パスポート番号](mdis-reference-pii.md#mdis-reference-passport-num) | 個人情報: PII | 国またはリージョンによって異なります。 CANADA\$1PASSPORT\$1NUMBER, FRANCE\$1PASSPORT\$1NUMBER, GERMANY\$1PASSPORT\$1NUMBER, ITALY\$1PASSPORT\$1NUMBER, SPAIN\$1PASSPORT\$1NUMBER, UK\$1PASSPORT\$1NUMBER, USA\$1PASSPORT\$1NUMBER | はい | カナダ、フランス、ドイツ、イタリア、スペイン、英国、米国 |
| [本籍地](mdis-reference-pii.md#mdis-reference-permanent-residence-num) | 個人情報: PII | CANADA\$1NATIONAL\$1IDENTIFICATION\$1NUMBER | はい | カナダ |
| [PGP プライベートキー](mdis-reference-credentials.md#mdis-reference-PGP_PRIVATE_KEY) | 認証情報 | PGP\$1PRIVATE\$1KEY | いいえ | いずれか |
| [Phone number (電話番号)](mdis-reference-pii.md#mdis-reference-phone-num) | 個人情報: PII | 国またはリージョンによって異なります。 BRAZIL\$1PHONE\$1NUMBER, FRANCE\$1PHONE\$1NUMBER, GERMANY\$1PHONE\$1NUMBER, ITALY\$1PHONE\$1NUMBER, PHONE\$1NUMBER (for Canada and the US), SPAIN\$1PHONE\$1NUMBER, UK\$1PHONE\$1NUMBER | 可変 | ブラジル、カナダ、フランス、ドイツ、イタリア、スペイン、英国、米国 |
| [公開鍵暗号標準 (PKCS) プライベートキー](mdis-reference-credentials.md#mdis-reference-PKCS) | 認証情報 | PKCS | いいえ | いずれか |
| [公共交通カード番号](mdis-reference-pii.md#mdis-reference-public-transport-num) | 個人情報: PII | ARGENTINA\$1TARJETA\$1SUBE | はい | アルゼンチン |
| [PuTTY プライベートキー](mdis-reference-credentials.md#mdis-reference-PUTTY_PRIVATE_KEY) | 認証情報 | PUTTY\$1PRIVATE\$1KEY | いいえ | いずれか |
| [社会保険番号 (SIN)](mdis-reference-pii.md#mdis-reference-social-insurance-num) | 個人情報: PII | CANADA\$1SOCIAL\$1INSURANCE\$1NUMBER | はい | カナダ |
| [社会保障番号 (SSN)](mdis-reference-pii.md#mdis-reference-social-security-num) | 個人情報: PII | 国またはリージョンによって異なります。 SPAIN\$1SOCIAL\$1SECURITY\$1NUMBER, USA\$1SOCIAL\$1SECURITY\$1NUMBER | はい | スペイン、米国 |
| [ストライプ API キー](mdis-reference-credentials.md#mdis-reference-Stripe_API_key) | 認証情報 | STRIPE\$1CREDENTIALS | いいえ | いずれか |
| [納税者識別番号または参照番号](mdis-reference-pii.md#mdis-reference-taxpayer-num) | 個人情報: PII | 国またはリージョンによって異なります。 ARGENTINA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER, ARGENTINA\$1ORGANIZATION\$1TAX\$1IDENTIFICATION\$1NUMBER, AUSTRALIA\$1TAX\$1FILE\$1NUMBER, BRAZIL\$1CNPJ\$1NUMBER, BRAZIL\$1CPF\$1NUMBER, CHILE\$1RUT\$1NUMBER, COLOMBIA\$1INDIVIDUAL\$1NIT\$1NUMBER, COLOMBIA\$1ORGANIZATION\$1NIT\$1NUMBER, FRANCE\$1TAX\$1IDENTIFICATION\$1NUMBER, GERMANY\$1TAX\$1IDENTIFICATION\$1NUMBER, INDIA\$1PERMANENT\$1ACCOUNT\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, MEXICO\$1INDIVIDUAL\$1RFC\$1NUMBER, MEXICO\$1ORGANIZATION\$1RFC\$1NUMBER, SPAIN\$1NIE\$1NUMBER, SPAIN\$1NIF\$1NUMBER, SPAIN\$1TAX\$1IDENTIFICATION\$1NUMBER, UK\$1TAX\$1IDENTIFICATION\$1NUMBER, USA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER | はい | アルゼンチン、オーストラリア、ブラジル、チリ、コロンビア、フランス、ドイツ、インド、イタリア、メキシコ、スペイン、英国、米国 |
| [機器固有識別子 (UDI)](mdis-reference-phi.md#mdis-reference-UDI) | 個人情報: PHI | MEDICAL\$1DEVICE\$1UDI | はい | 米国 |
| [車両識別番号 (VIN)](mdis-reference-pii.md#mdis-reference-vin) | 個人情報: PII | VEHICLE\$1IDENTIFICATION\$1NUMBER | はい | すべて (VIN が英語、フランス語、ドイツ語、リトアニア語、ポーランド語、ポルトガル語、ルーマニア語、またはスペイン語のいずれかの言語でキーワードの近くにある場合) |
# 詳細なリファレンス: カテゴリ別のマネージドデータ識別子
Amazon Macieでは、管理されたデータ識別子は、特定のタイプの機密データを検出するために設計された組み込みの基準とテクニックです。これらは、複数タイプの認証情報データ、財務情報、個人情報など、多くの国や地域で増加している大規模な機密データのリストを検出できます。各マネージドデータ識別子は、特定の種類の機密データ ( AWS シークレットアクセスキー、クレジットカード番号、特定の国や地域のパスポート番号など) を検出するように設計されています。
Macie は、マネージドデータ識別子を使用して、いくつかのカテゴリの機密データを検出できます。各カテゴリ内で、Macie は複数のタイプの機密データを検出できます。このセクションのトピックでは、各タイプとデータ検出に関連する要件をリスト化して説明します。カテゴリ別にトピックを参照できます。
+ [認証情報](mdis-reference-credentials.md) – プライベートキーや AWS シークレットアクセスキーなどの認証情報データ用。
+ [財務情報](mdis-reference-financial.md)— クレジットカード番号や銀行口座番号などの財務データ関連
+ [個人情報:PHI](mdis-reference-phi.md)— 健康保険や医療識別番号などの個人健康情報 (PHI) 関連
+ [個人情報:PII](mdis-reference-pii.md) — 運転免許証の識別番号やパスポート番号など個人を特定できる情報 (PII) 関連
また、次の表から特定のタイプの機密データを選択できます。この表には、Macie が現在提供しているすべてのマネージドデータ識別子が機密データタイプ別にまとめられています。この表には、各タイプの検出に関連する要件もまとめられています。
| 機密データタイプ | 機密データのカテゴリ | マネージドデータ識別子 ID | キーワードが必須 | 国とリージョン |
| --- | --- | --- | --- | --- |
| [AWS シークレットアクセスキー](mdis-reference-credentials.md#mdis-reference-AWS-CREDENTIALS) | 認証情報 | AWS\$1CREDENTIALS | はい | いずれか |
| [銀行口座番号](mdis-reference-financial.md#mdis-reference-BAN) | 財務情報 | BANK\$1ACCOUNT\$1NUMBER(カナダと米国の場合)、 | はい | カナダ、米国 |
| [基本銀行口座番号 (BBAN)](mdis-reference-financial.md#mdis-reference-BBAN) | 財務情報 | 国またはリージョンによって異なります。 FRANCE\$1BANK\$1ACCOUNT\$1NUMBER, GERMANY\$1BANK\$1ACCOUNT\$1NUMBER, ITALY\$1BANK\$1ACCOUNT\$1NUMBER, SPAIN\$1BANK\$1ACCOUNT\$1NUMBER, UK\$1BANK\$1ACCOUNT\$1NUMBER | はい | フランス、ドイツ、イタリア、スペイン、英国 |
| [生年月日](mdis-reference-pii.md#mdis-reference-DATE_OF_BIRTH) | 個人情報: PHI | DATE\$1OF\$1BIRTH | はい | いずれか |
| [クレジットカードの有効期限](mdis-reference-financial.md#mdis-reference-CC-expiration) | 財務情報 | CREDIT\$1CARD\$1EXPIRATION | はい | いずれか |
| [クレジットカードの磁気ストライプデータ](mdis-reference-financial.md#mdis-reference-CC-stripe) | 財務情報 | CREDIT\$1CARD\$1MAGNETIC\$1STRIPE | はい | いずれか |
| [クレジットカード番号](mdis-reference-financial.md#mdis-reference-CC-number) | 財務情報 | CREDIT\$1CARD\$1NUMBER (キーワードに近いクレジットカード番号の場合) と CREDIT\$1CARD\$1NUMBER\$1(NO\$1KEYWORD) (キーワードに近くないクレジットカード番号の場合) | 可変 | いずれか |
| [クレジットカード認証コード](mdis-reference-financial.md#mdis-reference-CC-verification-code) | 財務情報 | CREDIT\$1CARD\$1SECURITY\$1CODE | はい | いずれか |
| [運転免許証識別番号](mdis-reference-pii.md#mdis-reference-DL-num) | 個人情報: PII | 国またはリージョンによって異なります。 AUSTRALIA\$1DRIVERS\$1LICENSE, AUSTRIA\$1DRIVERS\$1LICENSE, BELGIUM\$1DRIVERS\$1LICENSE, BULGARIA\$1DRIVERS\$1LICENSE, CANADA\$1DRIVERS\$1LICENSE, CROATIA\$1DRIVERS\$1LICENSE, CYPRUS\$1DRIVERS\$1LICENSE, CZECHIA\$1DRIVERS\$1LICENSE, DENMARK\$1DRIVERS\$1LICENSE, DRIVERS\$1LICENSE (for the US), ESTONIA\$1DRIVERS\$1LICENSE, FINLAND\$1DRIVERS\$1LICENSE, FRANCE\$1DRIVERS\$1LICENSE, GERMANY\$1DRIVERS\$1LICENSE, GREECE\$1DRIVERS\$1LICENSE, HUNGARY\$1DRIVERS\$1LICENSE, INDIA\$1DRIVERS\$1LICENSE, IRELAND\$1DRIVERS\$1LICENSE, ITALY\$1DRIVERS\$1LICENSE, LATVIA\$1DRIVERS\$1LICENSE, LITHUANIA\$1DRIVERS\$1LICENSE, LUXEMBOURG\$1DRIVERS\$1LICENSE, MALTA\$1DRIVERS\$1LICENSE, NETHERLANDS\$1DRIVERS\$1LICENSE, POLAND\$1DRIVERS\$1LICENSE, PORTUGAL\$1DRIVERS\$1LICENSE, ROMANIA\$1DRIVERS\$1LICENSE, SLOVAKIA\$1DRIVERS\$1LICENSE, SLOVENIA\$1DRIVERS\$1LICENSE, SPAIN\$1DRIVERS\$1LICENSE, SWEDEN\$1DRIVERS\$1LICENSE, UK\$1DRIVERS\$1LICENSE | はい | オーストラリア、オーストリア、ベルギー、ブルガリア、カナダ、クロアチア、キプロス、チェコ共和国、デンマーク、エストニア、フィンランド、フランス、ドイツ、ギリシャ、ハンガリー、インド、アイルランド、イタリア、ラトビア、リトアニア、ルクセンブルク、マルタ、オランダ、ポーランド、ポルトガル、ルーマニア、スロバキア、スロベニア、スペイン、スウェーデン、英国、米国 |
| [麻薬取締局 (DEA) 登録番号](mdis-reference-phi.md#mdis-reference-DEA-registration-num) | 個人情報: PHI | US\$1DRUG\$1ENFORCEMENT\$1AGENCY\$1NUMBER | はい | 米国 |
| [選挙人名簿番号](mdis-reference-pii.md#mdis-reference-electoral-roll-num) | 個人情報: PII | UK\$1ELECTORAL\$1ROLL\$1NUMBER | はい | UK |
| [フルネーム](mdis-reference-pii.md#mdis-reference-full-name) | 個人情報: PII | NAME | いいえ | すべて (名前にラテン文字セットが使用されている場合) |
| [全地球測位システム (GPS) 座標](mdis-reference-pii.md#mdis-reference-GPS) | 個人情報: PII | LATITUDE\$1LONGITUDE | はい | すべて (座標が英語のキーワードの近くにある場合) |
| [Google Cloud API キー](mdis-reference-credentials.md#mdis-reference-GCP-API-key) | 認証情報 | GCP\$1API\$1KEY | はい | いずれか |
| [健康保険請求番号 (HICN)](mdis-reference-phi.md#mdis-reference-HICN) | 個人情報: PHI | USA\$1HEALTH\$1INSURANCE\$1CLAIM\$1NUMBER | はい | 米国 |
| [健康保険または医療識別番号](mdis-reference-phi.md#mdis-reference-HI-ID) | 個人情報: PHI | 国またはリージョンによって異なります。 CANADA\$1HEALTH\$1NUMBER, EUROPEAN\$1HEALTH\$1INSURANCE\$1CARD\$1NUMBER, FINLAND\$1EUROPEAN\$1HEALTH\$1INSURANCE\$1NUMBER, FRANCE\$1HEALTH\$1INSURANCE\$1NUMBER, UK\$1NHS\$1NUMBER, USA\$1MEDICARE\$1BENEFICIARY\$1IDENTIFIER | はい | カナダ、EU、フィンランド、フランス、英国、米国 |
| [ヘルスケア共通手順コーディングシステム (HCPCS) コード](mdis-reference-phi.md#mdis-reference-HCPCS) | 個人情報: PHI | USA\$1HEALTHCARE\$1PROCEDURE\$1CODE | はい | 米国 |
| [HTTP 基本認可ヘッダー](mdis-reference-credentials.md#mdis-reference-HTTP_BASIC_AUTH_HEADER) | 認証情報 | HTTP\$1BASIC\$1AUTH\$1HEADER | いいえ | いずれか |
| [HTTP クッキー](mdis-reference-pii.md#mdis-reference-HTTP_COOKIE) | 個人情報: PII | HTTP\$1COOKIE | いいえ | いずれか |
| [国際銀行口座番号(IBAN)](mdis-reference-financial.md#mdis-reference-IBAN) | 財務情報 | 国またはリージョンによって異なります。 ALBANIA\$1BANK\$1ACCOUNT\$1NUMBER, ANDORRA\$1BANK\$1ACCOUNT\$1NUMBER, BOSNIA\$1AND\$1HERZEGOVINA\$1BANK\$1ACCOUNT\$1NUMBER, BRAZIL\$1BANK\$1ACCOUNT\$1NUMBER, BULGARIA\$1BANK\$1ACCOUNT\$1NUMBER, COSTA\$1RICA\$1BANK\$1ACCOUNT\$1NUMBER, CROATIA\$1BANK\$1ACCOUNT\$1NUMBER, CYPRUS\$1BANK\$1ACCOUNT\$1NUMBER, CZECH\$1REPUBLIC\$1BANK\$1ACCOUNT\$1NUMBER, DENMARK\$1BANK\$1ACCOUNT\$1NUMBER, DOMINICAN\$1REPUBLIC\$1BANK\$1ACCOUNT\$1NUMBER, EGYPT\$1BANK\$1ACCOUNT\$1NUMBER, ESTONIA\$1BANK\$1ACCOUNT\$1NUMBER, FAROE\$1ISLANDS\$1BANK\$1ACCOUNT\$1NUMBER, FINLAND\$1BANK\$1ACCOUNT\$1NUMBER, FRANCE\$1BANK\$1ACCOUNT\$1NUMBER, GEORGIA\$1BANK\$1ACCOUNT\$1NUMBER, GERMANY\$1BANK\$1ACCOUNT\$1NUMBER, GREECE\$1BANK\$1ACCOUNT\$1NUMBER, GREENLAND\$1BANK\$1ACCOUNT\$1NUMBER, HUNGARY\$1BANK\$1ACCOUNT\$1NUMBER, ICELAND\$1BANK\$1ACCOUNT\$1NUMBER, IRELAND\$1BANK\$1ACCOUNT\$1NUMBER, ITALY\$1BANK\$1ACCOUNT\$1NUMBER, JORDAN\$1BANK\$1ACCOUNT\$1NUMBER, KOSOVO\$1BANK\$1ACCOUNT\$1NUMBER, LIECHTENSTEIN\$1BANK\$1ACCOUNT\$1NUMBER, LITHUANIA\$1BANK\$1ACCOUNT\$1NUMBER, MALTA\$1BANK\$1ACCOUNT\$1NUMBER, MAURITANIA\$1BANK\$1ACCOUNT\$1NUMBER, MAURITIUS\$1BANK\$1ACCOUNT\$1NUMBER, MONACO\$1BANK\$1ACCOUNT\$1NUMBER, MONTENEGRO\$1BANK\$1ACCOUNT\$1NUMBER, NETHERLANDS\$1BANK\$1ACCOUNT\$1NUMBER, NORTH\$1MACEDONIA\$1BANK\$1ACCOUNT\$1NUMBER, POLAND\$1BANK\$1ACCOUNT\$1NUMBER, PORTUGAL\$1BANK\$1ACCOUNT\$1NUMBER, SAN\$1MARINO\$1BANK\$1ACCOUNT\$1NUMBER, SENEGAL\$1BANK\$1ACCOUNT\$1NUMBER, SERBIA\$1BANK\$1ACCOUNT\$1NUMBER, SLOVAKIA\$1BANK\$1ACCOUNT\$1NUMBER, SLOVENIA\$1BANK\$1ACCOUNT\$1NUMBER, SPAIN\$1BANK\$1ACCOUNT\$1NUMBER, SWEDEN\$1BANK\$1ACCOUNT\$1NUMBER, SWITZERLAND\$1BANK\$1ACCOUNT\$1NUMBER, TIMOR\$1LESTE\$1BANK\$1ACCOUNT\$1NUMBER, TUNISIA\$1BANK\$1ACCOUNT\$1NUMBER, TURKIYE\$1BANK\$1ACCOUNT\$1NUMBER, UK\$1BANK\$1ACCOUNT\$1NUMBER, UKRAINE\$1BANK\$1ACCOUNT\$1NUMBER, UNITED\$1ARAB\$1EMIRATES\$1BANK\$1ACCOUNT\$1NUMBER, VIRGIN\$1ISLANDS\$1BANK\$1ACCOUNT\$1NUMBER (イギリス領バージン諸島用) | いいえ | アルバニア、アンドラ、ボスニア・ヘルツェゴビナ、ブラジル、ブルガリア、コスタリカ、クロアチア、キプロス、チェコ共和国、デンマーク、ドミニカ共和国、エジプト、エストニア、フェロー諸島、フィンランド、フランス、ジョージア、ドイツ、ギリシャ、グリーンランド、ハンガリー、アイスランド、アイルランド、イタリア、ヨルダン、コソボ、リヒテンシュタイン、リトアニア、マルタ、モーリタニア、モーリシャス、モナコ、モンテネグロ、オランダ、北マケドニア、ポーランド、ポルトガル、サンマリノ、セネガル、セルビア、スロバキア、スロベニア、スペイン、スウェーデン、スイス、東ティモール、チュニジア、トルコ、英国、ウクライナ、アラブ首長国連邦、バージン諸島(英国) |
| [JSON ウェブトークン (JWT)](mdis-reference-credentials.md#mdis-reference-JSON_WEB_TOKEN) | 認証情報 | JSON\$1WEB\$1TOKEN | いいえ | いずれか |
| [郵送先住所](mdis-reference-pii.md#mdis-reference-mailing-address) | 個人情報: PII | ADDRESS、BRAZIL\$1CEP\$1CODE (ブラジルの Código de Endereçamento Postal の場合) | 可変 | オーストラリア、ブラジル、カナダ、フランス、ドイツ、イタリア、スペイン、英国、米国 |
| [全米医薬品コード (NDC)](mdis-reference-phi.md#mdis-reference-NDC) | 個人情報: PHI | USA\$1NATIONAL\$1DRUG\$1CODE | はい | 米国 |
| [国民識別番号](mdis-reference-pii.md#mdis-reference-national-id) | 個人情報: PII | 国またはリージョンによって異なります。 ARGENTINA\$1DNI\$1NUMBER, BRAZIL\$1RG\$1NUMBER, CHILE\$1RUT\$1NUMBER, COLOMBIA\$1CITIZENSHIP\$1CARD\$1NUMBER, FRANCE\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, GERMANY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, INDIA\$1AADHAAR\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, MEXICO\$1CURP\$1NUMBER, SPAIN\$1DNI\$1NUMBER | はい | アルゼンチン、ブラジル、チリ、コロンビア、フランス、ドイツ、インド、イタリア、メキシコ、スペイン |
| [国民保険番号 (NINO)](mdis-reference-pii.md#mdis-reference-NINO) | 個人情報: PII | UK\$1NATIONAL\$1INSURANCE\$1NUMBER | はい | UK |
| [国家プロバイダー識別子 (NPI)](mdis-reference-phi.md#mdis-reference-NPI) | 個人情報: PHI | USA\$1NATIONAL\$1PROVIDER\$1IDENTIFIER | はい | 米国 |
| [OpenSSH プライベートキー](mdis-reference-credentials.md#mdis-reference-OPENSSH_PRIVATE_KEY) | 認証情報 | OPENSSH\$1PRIVATE\$1KEY | いいえ | いずれか |
| [パスポート番号](mdis-reference-pii.md#mdis-reference-passport-num) | 個人情報: PII | 国またはリージョンによって異なります。 CANADA\$1PASSPORT\$1NUMBER, FRANCE\$1PASSPORT\$1NUMBER, GERMANY\$1PASSPORT\$1NUMBER, ITALY\$1PASSPORT\$1NUMBER, SPAIN\$1PASSPORT\$1NUMBER, UK\$1PASSPORT\$1NUMBER, USA\$1PASSPORT\$1NUMBER | はい | カナダ、フランス、ドイツ、イタリア、スペイン、英国、米国 |
| [本籍地](mdis-reference-pii.md#mdis-reference-permanent-residence-num) | 個人情報: PII | CANADA\$1NATIONAL\$1IDENTIFICATION\$1NUMBER | はい | カナダ |
| [PGP プライベートキー](mdis-reference-credentials.md#mdis-reference-PGP_PRIVATE_KEY) | 認証情報 | PGP\$1PRIVATE\$1KEY | いいえ | いずれか |
| [Phone number (電話番号)](mdis-reference-pii.md#mdis-reference-phone-num) | 個人情報: PII | 国またはリージョンによって異なります。 BRAZIL\$1PHONE\$1NUMBER, FRANCE\$1PHONE\$1NUMBER, GERMANY\$1PHONE\$1NUMBER, ITALY\$1PHONE\$1NUMBER, PHONE\$1NUMBER (for Canada and the US), SPAIN\$1PHONE\$1NUMBER, UK\$1PHONE\$1NUMBER | 可変 | ブラジル、カナダ、フランス、ドイツ、イタリア、スペイン、英国、米国 |
| [公開鍵暗号標準 (PKCS) プライベートキー](mdis-reference-credentials.md#mdis-reference-PKCS) | 認証情報 | PKCS | いいえ | いずれか |
| [公共交通カード番号](mdis-reference-pii.md#mdis-reference-public-transport-num) | 個人情報: PII | ARGENTINA\$1TARJETA\$1SUBE | はい | アルゼンチン |
| [PuTTY プライベートキー](mdis-reference-credentials.md#mdis-reference-PUTTY_PRIVATE_KEY) | 認証情報 | PUTTY\$1PRIVATE\$1KEY | いいえ | いずれか |
| [社会保険番号 (SIN)](mdis-reference-pii.md#mdis-reference-social-insurance-num) | 個人情報: PII | CANADA\$1SOCIAL\$1INSURANCE\$1NUMBER | はい | カナダ |
| [社会保障番号 (SSN)](mdis-reference-pii.md#mdis-reference-social-security-num) | 個人情報: PII | 国またはリージョンによって異なります。 SPAIN\$1SOCIAL\$1SECURITY\$1NUMBER, USA\$1SOCIAL\$1SECURITY\$1NUMBER | はい | スペイン、米国 |
| [ストライプ API キー](mdis-reference-credentials.md#mdis-reference-Stripe_API_key) | 認証情報 | STRIPE\$1CREDENTIALS | いいえ | いずれか |
| [納税者識別番号または参照番号](mdis-reference-pii.md#mdis-reference-taxpayer-num) | 個人情報: PII | 国またはリージョンによって異なります。 ARGENTINA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER, ARGENTINA\$1ORGANIZATION\$1TAX\$1IDENTIFICATION\$1NUMBER, AUSTRALIA\$1TAX\$1FILE\$1NUMBER, BRAZIL\$1CNPJ\$1NUMBER, BRAZIL\$1CPF\$1NUMBER, CHILE\$1RUT\$1NUMBER, COLOMBIA\$1INDIVIDUAL\$1NIT\$1NUMBER, COLOMBIA\$1ORGANIZATION\$1NIT\$1NUMBER, FRANCE\$1TAX\$1IDENTIFICATION\$1NUMBER, GERMANY\$1TAX\$1IDENTIFICATION\$1NUMBER, INDIA\$1PERMANENT\$1ACCOUNT\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, MEXICO\$1INDIVIDUAL\$1RFC\$1NUMBER, MEXICO\$1ORGANIZATION\$1RFC\$1NUMBER, SPAIN\$1NIE\$1NUMBER, SPAIN\$1NIF\$1NUMBER, SPAIN\$1TAX\$1IDENTIFICATION\$1NUMBER, UK\$1TAX\$1IDENTIFICATION\$1NUMBER, USA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER | はい | アルゼンチン、オーストラリア、ブラジル、チリ、コロンビア、フランス、ドイツ、インド、イタリア、メキシコ、スペイン、英国、米国 |
| [機器固有識別子 (UDI)](mdis-reference-phi.md#mdis-reference-UDI) | 個人情報: PHI | MEDICAL\$1DEVICE\$1UDI | はい | 米国 |
| [車両識別番号 (VIN)](mdis-reference-pii.md#mdis-reference-vin) | 個人情報: PII | VEHICLE\$1IDENTIFICATION\$1NUMBER | はい | すべて (VIN が英語、フランス語、ドイツ語、リトアニア語、ポーランド語、ポルトガル語、ルーマニア語、またはスペイン語のいずれかの言語でキーワードの近くにある場合) |
# 認証情報データのマネージドデータ識別子
Amazon Macie は、マネージドデータ識別子を使用して、複数のタイプの機密認証情報データを検出できます。このページのトピックでは、各タイプを指定し、データを検出するように設計されたマネージドデータ識別子に関する情報を提供します。このトピックでは、以下に関する情報を提供します。
+ **マネージドデータ識別子 ID** — データを検出するように設計されたマネージドデータ識別子の一意の識別子 (ID) を指定します。[機密データ検出ジョブの作成](discovery-jobs-create.md)または[機密データの自動検出設定の構成](discovery-asdd-account-configure.md)の際、これらの ID を使用して Macie がデータを分析するときに使用するマネージドデータ ID を指定できます。
+ **サポートされている国と地域** — 該当するマネージドデータ識別子がどの国または地域を対象に設計されているかを示します。マネージドデータ識別子が特定の国または地域向けに設計されていない場合、この値は Any になります。
+ **キーワードが必要** — 検出には、キーワードがデータの近くにある必要があるかどうかを指定します。キーワードが必要な場合、トピックには必要なキーワードの例も記載されています。Macie がデータを分析する際にどのようにキーワードを使用するかについては、[キーワード要件](managed-data-identifiers-keywords.md) を参照してください。
+ **コメント** — マネージドデータ識別子の選択や、報告された機密データの出現状況に関する調査に影響する可能性のある関連情報を提供します。詳細には、サポートされている標準、構文要件、例外などの情報が含まれます。
トピックは機密データタイプのアルファベット順にリストされています。
**Topics**
+ [AWS シークレットアクセスキー](#mdis-reference-AWS-CREDENTIALS)
+ [Google Cloud API キー](#mdis-reference-GCP-API-key)
+ [HTTP 基本認可ヘッダー](#mdis-reference-HTTP_BASIC_AUTH_HEADER)
+ [JSON ウェブトークン (JWT)](#mdis-reference-JSON_WEB_TOKEN)
+ [OpenSSH プライベートキー](#mdis-reference-OPENSSH_PRIVATE_KEY)
+ [PGP プライベートキー](#mdis-reference-PGP_PRIVATE_KEY)
+ [公開鍵暗号標準 (PKCS) プライベートキー](#mdis-reference-PKCS)
+ [PuTTY プライベートキー](#mdis-reference-PUTTY_PRIVATE_KEY)
+ [ストライプ API キー](#mdis-reference-Stripe_API_key)
## AWS シークレットアクセスキー
**マネージドデータ識別子 ID:** AWS\$1CREDENTIALS
**サポートされている国と地域:** すべて
**キーワードが必須:** はい。キーワードには: aws\$1secret\$1access\$1key, credentials, secret access key, secret key, set-awscredentialが含まれます。
**コメント:** Macie は、架空の例としてよく使われる次の文字シーケンスの出現をレポートしません。`je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY` および `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`
## Google Cloud API キー
**マネージドデータ識別子 ID:** GCP\$1API\$1KEY
**サポートされている国と地域:** すべて
**キーワードが必須:** はい。キーワードには: G\$1PLACES\$1KEY, GCP api key, GCP key, google cloud key, google-api-key, google-cloud-apikeys, GOOGLEKEY, X-goog-api-keyが含まれます。
**コメント:** Macie は Google Cloud API キーの文字列 `keyString` コンポーネントのみを検出できます。Support には、Google Cloud API キーの ID または表示名コンポーネントの検出は含まれていません。
## HTTP 基本認可ヘッダー
**マネージドデータ識別子 ID:** HTTP\$1BASIC\$1AUTH\$1HEADER
**サポートされている国と地域:** すべて
**キーワードが必須:** いいえ
**コメント:** 検出には、[RFC 7617](https://tools.ietf.org/html/rfc7617) で指定されているように、フィールド名と認証スキームディレクティブを含む完全なヘッダーが必要です。例: `Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==` および `Proxy-Authorization: Basic dGVzdDoxMjPCow==`。
## JSON ウェブトークン (JWT)
**マネージドデータ識別子 ID:** JSON\$1WEB\$1TOKEN
**サポートされている国と地域:** すべて
**キーワードが必須:** いいえ
**コメント:** Macie は、JSON ウェブ署名 (JWS) 構造に関する [RFC 7519](https://tools.ietf.org/html/rfc7519) で規定されている要件に準拠する JSON ウェブトークン (JWT) を検出できます。トークンは署名付きでも署名なしでもかまいません。
## OpenSSH プライベートキー
**マネージドデータ識別子 ID:** OPENSSH\$1PRIVATE\$1KEY
**サポートされている国と地域:** すべて
**キーワードが必須:** いいえ
**コメント:** なし
## PGP プライベートキー
**マネージドデータ識別子 ID:** PGP\$1PRIVATE\$1KEY
**サポートされている国と地域:** すべて
**キーワードが必須:** いいえ
**コメント:** なし
## 公開鍵暗号標準 (PKCS) プライベートキー
**マネージドデータ識別子 ID:** PKCS
**サポートされている国と地域:** すべて
**キーワードが必須:** いいえ
**コメント:** なし
## PuTTY プライベートキー
**マネージドデータ識別子 ID:** PUTTY\$1PRIVATE\$1KEY
**サポートされている国と地域:** すべて
**キーワードが必須:** いいえ
**コメント:** Macie は、標準的なヘッダーとヘッダーシーケンス (`PuTTY-User-Key-File`、`Encryption`、`Comment`、`Public-Lines`、`Private-Lines`、および `Private-MAC`)を使用する PuTTY プライベートキーを検出できます。ヘッダー値には、英数字、ハイフン (`‐`)、改行文字 (`\n` または`\r`) を含めることができます。`Public-Lines` および `Private-Lines` 値には、スラッシュ (`/`)、プラス記号 (`+`)、等号 (`=`) も含めることができます。`Private-MAC` 値にもプラス記号 (`+`) を含めることができます。サポートには、スペースやアンダースコア (`_`) などの他の文字を含むヘッダー値を使用するプライベートキーの検出は含まれません。また、カスタムヘッダーを含むプライベートキーの検出も含まれません。
## ストライプ API キー
**マネージドデータ識別子 ID:** STRIPE\$1CREDENTIALS
**サポートされている国と地域:** すべて
**キーワードが必須:** いいえ
**コメント:** Macie は、Stripe のコード例でよく使われる、次の文字シーケンスの出現を報告していません。`sk_test_4eC39HqLyjWDarjtT1zdp7dc` および `pk_test_TYooMQauvdEDq54NiTphI7jx`
# 財務情報のマネージドデータ識別子
Amazon Macie がマネージドデータ識別子を使用して検出できる財務情報の種類について説明します。このページのトピックでは、それぞれのタイプを一覧表示し、データを検出するために設計されたマネージドデータ識別子に関する情報を提供しています。このトピックでは、以下に関する情報を提供します。
+ **マネージドデータ識別子 ID** — データを検出するように設計された 1 つ以上のマネージドデータ識別子の一意の識別子 (ID) を指定します。[機密データ検出ジョブの作成](discovery-jobs-create.md)または[機密データの自動検出設定の構成](discovery-asdd-account-configure.md)の際、これらの ID を使用して Macie がデータを分析するときに使用するマネージドデータ ID を指定できます。
+ **サポートされている国とリージョン** – 該当するマネージドデータ識別子が設計されている国とリージョンを示します。マネージドデータ識別子が特定の国や地域向けに設計されていない場合、この値はいずれかになります。
+ **キーワードが必要** — 検出には、キーワードがデータの近くにある必要があるかどうかを指定します。キーワードが必要な場合、トピックには必要なキーワードの例も記載されています。Macie がデータを分析する際にどのようにキーワードを使用するかについては、[キーワード要件](managed-data-identifiers-keywords.md) を参照してください。
+ **コメント** — マネージドデータ識別子の選択や、報告された機密データの出現状況に関する調査に影響する可能性のある関連情報を提供します。詳細には、サポートされている標準、構文要件、例外などの情報が含まれます。
トピックは機密データタイプのアルファベット順にリストされています。
**Topics**
+ [銀行口座番号](#mdis-reference-BAN)
+ [基本銀行口座番号 (BBAN)](#mdis-reference-BBAN)
+ [クレジットカードの有効期限](#mdis-reference-CC-expiration)
+ [クレジットカードの磁気ストライプデータ](#mdis-reference-CC-stripe)
+ [クレジットカード番号](#mdis-reference-CC-number)
+ [クレジットカード認証コード](#mdis-reference-CC-verification-code)
+ [国際銀行口座番号(IBAN)](#mdis-reference-IBAN)
## 銀行口座番号
Macie では、9 ~ 17 桁のシーケンスで設定され、スペースが含まれないカナダおよび米国の銀行口座番号を検出できます。
**マネージドデータ識別子 ID:** BANK\$1ACCOUNT\$1NUMBER
**サポートされている国と地域:** カナダ、米国
**キーワードが必須:** はい。キーワードには: bank account, bank acct, checking account, checking acct, deposit account, deposit acct, savings account, savings acct, chequing account, chequing acctが含まれます。
**コメント:** このマネージドデータ識別子は、カナダと米国の銀行口座番号を検出するために特別に設計されています。これらの国では、[ISO 13616](https://www.iso.org/standard/81090.html) の規定による銀行口座の番号付けのための ISO 国際規格で定義されている基本銀行口座番号 (BBAN) または国際銀行口座番号 (IBAN) 形式を使用していません。他の国や地域の銀行口座番号を検出するには、その形式用に設計されたマネージドデータ識別子を使用してください。詳細については、「[基本銀行口座番号 (BBAN)](#mdis-reference-BBAN)」および「[国際銀行口座番号(IBAN)](#mdis-reference-IBAN)」を参照してください。
## 基本銀行口座番号 (BBAN)
Macie は、[ISO 13616](https://www.iso.org/standard/81090.html) の規定による銀行口座の番号付けのための ISO 国際標準で定義されている BBAN 構造に準拠する基本銀行口座番号 (BBAN) を検出できます。これには、スペースを含まない BBAN が含まれるか、`NWBK60161331926819`、`NWBK 6016 1331 9268 19`、および `NWBK-6016-1331-9268-19` などのスペースやハイフンの区切り文字を使用します。
**マネージドデータ識別子 ID:** 国やリージョンによっては、FRANCE\$1BANK\$1ACCOUNT\$1NUMBER, GERMANY\$1BANK\$1ACCOUNT\$1NUMBER, ITALY\$1BANK\$1ACCOUNT\$1NUMBER, SPAIN\$1BANK\$1ACCOUNT\$1NUMBER, UK\$1BANK\$1ACCOUNT\$1NUMBER
**サポートされている国と地域:** フランス、ドイツ、イタリア、スペイン、英国
**キーワードが必須:** はい。次のテーブルに、Macie が特定の国およびリージョンについて認識するキーワードのリストを示します。
| 国またはリージョン | キーワード |
| --- | --- |
| フランス | account code, account number, accountno\$1, accountnumber\$1, bban, code bancaire, compte bancaire, customer account id, customer account number, customer bank account id, iban, numéro de compte |
| ドイツ | account code, account number, accountno\$1, accountnumber\$1, bankleitzahl, bban, customer account id, customer account number, customer bank account id, geheimzahl, iban, kartennummer, kontonummer, kreditkartennummer, sepa |
| イタリア | account code, account number, accountno\$1, accountnumber\$1, bban, codice bancario, conto bancario, customer account id, customer account number, customer bank account id, iban, numero di conto |
| スペイン | account code, account number, accountno\$1, accountnumber\$1, bban, código cuenta, código cuenta bancaria, cuenta cliente id, customer account ID, customer account number, customer bank account id, iban, número cuenta bancaria cliente, número cuenta cliente |
| UK | account code, account number, accountno\$1, accountnumber\$1, bban, customer account id, customer account number, customer bank account id, iban, sepa |
**コメント:** これらのマネージドデータ識別子は、ISO 13616 規格に準拠する国際銀行口座番号 (IBAN) も検出できます。詳細については、[国際銀行口座番号(IBAN)](#mdis-reference-IBAN)を参照してください。英国のマネージドデータ識別子 UK\$1BANK\$1ACCOUNT\$1NUMBER は、たとえば `60-16-13 31926819` など英国の国内銀行口座番号も検出できます。
## クレジットカードの有効期限
**マネージドデータ識別子 ID:** CREDIT\$1CARD\$1EXPIRATION
**サポートされている国と地域:** すべて
**キーワードが必須:** はい。キーワードには: exp d, exp m, exp y, expiration, expiryが含まれます。
**Comments (コメント):** Support には、すべての数字や数字と月の名前の組み合わせなど、ほとんどの日付形式が含まれます。日付コンポーネントは、スラッシュ (/)、ハイフン (-)、または該当するキーワードで区切ることができます。たとえば、Macie は`02/26`、`02/2026`、`Feb 2026`、`26-Feb`、および `expY=2026, expM=02` などの日付を検出できます。
## クレジットカードの磁気ストライプデータ
**マネージドデータ識別子 ID:** CREDIT\$1CARD\$1MAGNETIC\$1STRIPE
**サポートされている国と地域:** すべて
**キーワードが必須:** はい。キーワードには: card data, iso7813, mag, magstripe, stripe, swipeが含まれます。
**コメント:** Supportにはトラック 1 と 2 が含まれます。
## クレジットカード番号
**マネージドデータ識別子 ID:** キーワードに近いクレジットカード番号の場合は CREDIT\$1CARD\$1NUMBER、キーワードに近くないクレジットカード番号の場合は CREDIT\$1CARD\$1NUMBER\$1(NO\$1KEYWORD)
**サポートされている国と地域:** すべて
**必須キーワード:** 不定です。CREDIT\$1CARD\$1NUMBER マネージドデータ識別子にはキーワードが必要です。キーワードには: account number, american express, amex, bank card, c card, card, cc \$1, ccn, check card, cred card, credit, credit card, credit cards, credit no, credit num, dankort, debit, debit card, debit no, debit num, diners club, discover, electron, japanese card bureau, jcb, mastercard, mc, pan, payment account number, payment card number, pcn, pmnt \$1, pmnt card, pmnt no, pmnt number, union pay, visaが含まれます。CREDIT\$1CARD\$1NUMBER\$1(NO\$1KEYWORD) マネージドデータ識別子にはキーワードは必要ありません。
**コメント** 検出には、Luhnチェック式に従った13~19桁のデータで、以下の種類のクレジットカードの標準的なカード番号の接頭辞を使用する必要がある: American Express、Dankort、Diner's Club、Discover、Electron、Japanese Card Bureau (JCB)、Mastercard、UnionPay、Visa。
Macie、クレジットカード発行会社が公開テスト用に予約している以下のシーケンスの発生を報告していない:`122000000000003`, `2222405343248877`, `2222990905257051`, `2223007648726984`, `2223577120017656`, `30569309025904`, `34343434343434`, `3528000700000000`, `3530111333300000`, `3566002020360505`, `36148900647913`, `36700102000000`, `371449635398431`, `378282246310005`, `378734493671000`, `38520000023237`, `4012888888881881`, `4111111111111111`, `4222222222222`, `4444333322221111`, `4462030000000000`, `4484070000000000`, `4911830000000`, `4917300800000000`, `4917610000000000`, `4917610000000000003`, `5019717010103742`, `5105105105105100`, `5111010030175156`, `5185540810000019`, `5200828282828210`, `5204230080000017`, `5204740009900014`, `5420923878724339`, `5454545454545454`, `5455330760000018`, `5506900490000436`, `5506900490000444`, `5506900510000234`, `5506920809243667`, `5506922400634930`, `5506927427317625`, `5553042241984105`, `5555553753048194`, `5555555555554444`, `5610591081018250`, `6011000990139424`, `6011000400000000`, `6011111111111117`, `630490017740292441`, `630495060000000000`, `6331101999990016`, `6759649826438453`, `6799990100000000019`, と`76009244561`.
## クレジットカード認証コード
**マネージドデータ識別子 ID** CREDIT\$1CARD\$1SECURITY\$1CODE
**サポートされている国と地域:** すべて
**キーワードが必須:** はい。キーワードには: card id, card identification code, card identification number, card security code, card validation code, card validation number, card verification data, card verification value, cvc, cvc2, cvv, cvv2, elo verification codeが含まれます。
**コメント:** なし
## 国際銀行口座番号(IBAN)
Macieは、国コードなどの要素を含む最大34文字の英数字で設定される国際銀行口座番号(IBAN)を検出することができます。具体的には、Macie は [ISO 13616](https://www.iso.org/standard/81090.html) の規定による銀行口座の番号付けのための ISO 国際標準に準拠する IBAN を検出できます。これには、スペースを含まない IBAN が含まれるか、`GB29NWBK60161331926819`、`GB29 NWBK 6016 1331 9268 19`、および `GB29-NWBK-6016-1331-9268-19` などのスペースやハイフンの区切り文字を使用します。検出には、Modulus 97 スキームに基づく検証チェックが含まれます。
**マネージドデータ識別子 ID:** 国やリージョンによっては、ALBANIA\$1BANK\$1ACCOUNT\$1NUMBER, ANDORRA\$1BANK\$1ACCOUNT\$1NUMBER, BOSNIA\$1AND\$1HERZEGOVINA\$1BANK\$1ACCOUNT\$1NUMBER, BRAZIL\$1BANK\$1ACCOUNT\$1NUMBER, BULGARIA\$1BANK\$1ACCOUNT\$1NUMBER, COSTA\$1RICA\$1BANK\$1ACCOUNT\$1NUMBER, CROATIA\$1BANK\$1ACCOUNT\$1NUMBER, CYPRUS\$1BANK\$1ACCOUNT\$1NUMBER, CZECH\$1REPUBLIC\$1BANK\$1ACCOUNT\$1NUMBER, DENMARK\$1BANK\$1ACCOUNT\$1NUMBER, DOMINICAN\$1REPUBLIC\$1BANK\$1ACCOUNT\$1NUMBER, EGYPT\$1BANK\$1ACCOUNT\$1NUMBER, ESTONIA\$1BANK\$1ACCOUNT\$1NUMBER, FAROE\$1ISLANDS\$1BANK\$1ACCOUNT\$1NUMBER, FINLAND\$1BANK\$1ACCOUNT\$1NUMBER, FRANCE\$1BANK\$1ACCOUNT\$1NUMBER, GEORGIA\$1BANK\$1ACCOUNT\$1NUMBER, GERMANY\$1BANK\$1ACCOUNT\$1NUMBER, GREECE\$1BANK\$1ACCOUNT\$1NUMBER, GREENLAND\$1BANK\$1ACCOUNT\$1NUMBER, HUNGARY\$1BANK\$1ACCOUNT\$1NUMBER, ICELAND\$1BANK\$1ACCOUNT\$1NUMBER, IRELAND\$1BANK\$1ACCOUNT\$1NUMBER, ITALY\$1BANK\$1ACCOUNT\$1NUMBER, JORDAN\$1BANK\$1ACCOUNT\$1NUMBER, KOSOVO\$1BANK\$1ACCOUNT\$1NUMBER, LIECHTENSTEIN\$1BANK\$1ACCOUNT\$1NUMBER, LITHUANIA\$1BANK\$1ACCOUNT\$1NUMBER, MALTA\$1BANK\$1ACCOUNT\$1NUMBER, MAURITANIA\$1BANK\$1ACCOUNT\$1NUMBER, MAURITIUS\$1BANK\$1ACCOUNT\$1NUMBER, MONACO\$1BANK\$1ACCOUNT\$1NUMBER, MONTENEGRO\$1BANK\$1ACCOUNT\$1NUMBER, NETHERLANDS\$1BANK\$1ACCOUNT\$1NUMBER, NORTH\$1MACEDONIA\$1BANK\$1ACCOUNT\$1NUMBER, POLAND\$1BANK\$1ACCOUNT\$1NUMBER, PORTUGAL\$1BANK\$1ACCOUNT\$1NUMBER, SAN\$1MARINO\$1BANK\$1ACCOUNT\$1NUMBER, SENEGAL\$1BANK\$1ACCOUNT\$1NUMBER, SERBIA\$1BANK\$1ACCOUNT\$1NUMBER, SLOVAKIA\$1BANK\$1ACCOUNT\$1NUMBER, SLOVENIA\$1BANK\$1ACCOUNT\$1NUMBER, SPAIN\$1BANK\$1ACCOUNT\$1NUMBER, SWEDEN\$1BANK\$1ACCOUNT\$1NUMBER, SWITZERLAND\$1BANK\$1ACCOUNT\$1NUMBER, TIMOR\$1LESTE\$1BANK\$1ACCOUNT\$1NUMBER, TUNISIA\$1BANK\$1ACCOUNT\$1NUMBER, TURKIYE\$1BANK\$1ACCOUNT\$1NUMBER, UK\$1BANK\$1ACCOUNT\$1NUMBER, UKRAINE\$1BANK\$1ACCOUNT\$1NUMBER, UNITED\$1ARAB\$1EMIRATES\$1BANK\$1ACCOUNT\$1NUMBER, VIRGIN\$1ISLANDS\$1BANK\$1ACCOUNT\$1NUMBER (イギリス領バージン諸島の場合)
**サポートされている国と地域:** アルバニア、アンドラ、ボスニア・ヘルツェゴビナ、ブラジル、ブルガリア、コスタリカ、クロアチア、キプロス、チェコ共和国、デンマーク、ドミニカ共和国、エジプト、エストニア、フェロー諸島、フィンランド、フランス、ジョージア、ドイツ、ギリシャ、グリーンランド、ハンガリー、アイスランド、アイルランド、イタリア、ヨルダン、コソボ、リヒテンシュタイン、リトアニア、マルタ、モーリタニア、モーリシャス、モナコ、モンテネグロ、オランダ、北マケドニア、ポーランド、ポルトガル、サンマリノ、セネガル、セルビア、スロバキア、スロベニア、スペイン、スウェーデン、スイス、東ティモール、チュニジア、トルコ、英国、ウクライナ、アラブ首長国連邦エミレーツ、バージン諸島(英国)
**キーワードが必須:** いいえ
**コメント:** フランス、ドイツ、イタリア、スペイン、英国のマネージドデータ識別子では、ISO 13616 規格で定義されている BBAN 構造に準拠する基本銀行口座番号 (BBAN) も検出できます (文字列がキーワードに近い場合)。詳細については、[基本銀行口座番号 (BBAN)](#mdis-reference-BBAN)を参照してください。
# PHI 向けマネージドデータ識別子
Amazon Macie では、マネージドデータ識別子を使用して複数のタイプの機密の個人健康情報 (PHI) を検出できます。このページのトピックでは、各タイプを指定し、データを検出するように設計されたマネージドデータ識別子に関する情報を提供します。このトピックでは、以下に関する情報を提供します。
+ **マネージドデータ識別子 ID** — データを検出するように設計されたマネージドデータ識別子の一意の識別子 (ID) を指定します。[機密データ検出ジョブの作成](discovery-jobs-create.md)または[機密データの自動検出設定の構成](discovery-asdd-account-configure.md)の際、これらの ID を使用して Macie がデータを分析するときに使用するマネージドデータ ID を指定できます。
+ **サポートされている国と地域** — 該当するマネージドデータ識別子がどの国または地域を対象に設計されているかを示します。マネージドデータ識別子が特定の国または地域向けに設計されていない場合、この値は Any になります。
+ **キーワードが必要** — 検出には、キーワードがデータの近くにある必要があるかどうかを指定します。キーワードが必要な場合、トピックには必要なキーワードの例も記載されています。Macie がデータを分析する際にどのようにキーワードを使用するかについては、[キーワード要件](managed-data-identifiers-keywords.md) を参照してください。
+ **コメント** — マネージドデータ識別子の選択や、報告された機密データの出現状況に関する調査に影響する可能性のある関連情報を提供します。詳細には、サポートされている標準、構文要件、例外などの情報が含まれます。
トピックは機密データタイプのアルファベット順にリストされています。
**Topics**
+ [麻薬取締局 (DEA) 登録番号](#mdis-reference-DEA-registration-num)
+ [健康保険請求番号 (HICN)](#mdis-reference-HICN)
+ [健康保険または医療識別番号](#mdis-reference-HI-ID)
+ [ヘルスケア共通手順コーディングシステム (HCPCS) コード](#mdis-reference-HCPCS)
+ [全米医薬品コード (NDC)](#mdis-reference-NDC)
+ [国家プロバイダー識別子 (NPI)](#mdis-reference-NPI)
+ [機器固有識別子 (UDI)](#mdis-reference-UDI)
## 麻薬取締局 (DEA) 登録番号
**マネージドデータ識別子 ID:** US\$1DRUG\$1ENFORCEMENT\$1AGENCY\$1NUMBER
**サポートされている国と地域:** 米国
**キーワードが必須:** はい。キーワードには: dea number, dea registrationが含まれます。
**コメント:** なし
## 健康保険請求番号 (HICN)
**マネージドデータ識別子 ID:** USA\$1HEALTH\$1INSURANCE\$1CLAIM\$1NUMBER
**サポートされている国と地域:** 米国
**キーワードが必須:** はい。キーワードには: health insurance claim number, hic no, hic no., hic number, hic\$1, hicn, hicn\$1., hicno\$1が含まれます。
**コメント:** なし
## 健康保険または医療識別番号
EUとフィンランドの欧州健康保険証番号、フランスの健康保険番号、米国のメディケア受給者番号、英国のNHS番号、カナダのパーソナル・ヘルス・ナンバーをサポートしています。
**マネージドデータ識別子 ID:** 国やリージョンによっては、CANADA\$1HEALTH\$1NUMBER, EUROPEAN\$1HEALTH\$1INSURANCE\$1CARD\$1NUMBER, FINLAND\$1EUROPEAN\$1HEALTH\$1INSURANCE\$1NUMBER, FRANCE\$1HEALTH\$1INSURANCE\$1NUMBER, UK\$1NHS\$1NUMBER, USA\$1MEDICARE\$1BENEFICIARY\$1IDENTIFIER
**サポートされている国と地域:** カナダ、EU、フィンランド、フランス、英国、米国
**キーワードが必須:** はい。次のテーブルに、Macie が特定の国およびリージョンについて認識するキーワードのリストを示します。
| 国またはリージョン | キーワード |
| --- | --- |
| カナダ | canada healthcare number, msp number, personal healthcare number, phn, soins de santé |
| EU | assicurazione sanitaria numero, carta assicurazione numero, carte d’assurance maladie, carte européenne d'assurance maladie, ceam, ehic, ehic\$1, finlandehicnumber\$1, gesundheitskarte, hälsokort, health card, health card number, health insurance card, health insurance number, insurance card number, krankenversicherungskarte, krankenversicherungsnummer, medical account number, numero conto medico, numéro d’assurance maladie, numéro de carte d’assurance, numéro de compte medical, número de cuenta médica, número de seguro de salud, número de tarjeta de seguro, sairaanhoitokortin, sairausvakuutuskortti, sairausvakuutusnumero, sjukförsäkring nummer, sjukförsäkringskort, suomi ehic-numero, tarjeta de salud, terveyskortti, tessera sanitaria assicurazione numero, versicherungsnummer |
| フィンランド | ehic, ehic\$1, finland health insurance card, finlandehicnumber\$1, finska sjukförsäkringskort, hälsokort, health card, health card number, health insurance card, health insurance number, sairaanhoitokortin, sairaanhoitokortin, sairausvakuutuskortti, sairausvakuutusnumero, sjukförsäkring nummer, sjukförsäkringskort, suomen sairausvakuutuskortti, suomi ehic-numero, terveyskortti |
| フランス | carte d'assuré social, carte vitale, insurance card |
| 英国 | national health service, NHS |
| 米国 | mbi, medicare beneficiary |
**コメント:** なし
## ヘルスケア共通手順コーディングシステム (HCPCS) コード
**マネージドデータ識別子 ID:** USA\$1HEALTHCARE\$1PROCEDURE\$1CODE
**サポートされている国と地域:** 米国
**キーワードが必須:** はい。キーワードには: current procedural terminology, hcpcs, healthcare common procedure coding systemが含まれます。
**コメント:** なし
## 全米医薬品コード (NDC)
**マネージドデータ識別子 ID:** USA\$1NATIONAL\$1DRUG\$1CODE
**サポートされている国と地域:** 米国
**キーワードが必須:** はい。キーワードには: national drug code, ndcが含まれます。
**コメント:** なし
## 国家プロバイダー識別子 (NPI)
**マネージドデータ識別子 ID:** USA\$1NATIONAL\$1PROVIDER\$1IDENTIFIER
**サポートされている国と地域:** 米国
**キーワードが必須:** はい。キーワードには: hipaa, n.p.i, national provider, npiが含まれます。
**コメント:** なし
## 機器固有識別子 (UDI)
**マネージドデータ識別子 ID:** MEDICAL\$1DEVICE\$1UDI
**サポートされている国と地域:** 米国
**キーワードが必須:** はい。キーワードには: blood, blood bag, dev id, device id, device identifier, gs1, hibcc, iccbba, med, udi, unique device id, unique device identifierが含まれます。
**コメント:** Macie は、米国食品医薬品局が承認した形式に準拠する一意のデバイス識別子 (UDI) を検出できます。これには GS1、HIBCC、および ICCBBA で定義されている標準フォーマットが含まれます。ICCBA は ISBT 標準をサポートしています。
# PII 向けマネージドデータ識別子
Amazon Macie は、マネージドデータ識別子を使用して、複数のタイプの個人を特定できる情報 (PII) 機密データを検出できます。このページのトピックでは、それぞれのタイプを一覧表示し、データを検出するために設計されたマネージドデータ識別子に関する情報を提供しています。このトピックでは、以下に関する情報を提供します。
+ **マネージドデータ識別子 ID** — データを検出するように設計された 1 つ以上のマネージドデータ識別子の一意の識別子 (ID) を指定します。[機密データ検出ジョブの作成](discovery-jobs-create.md)または[機密データの自動検出設定の構成](discovery-asdd-account-configure.md)の際、これらの ID を使用して Macie がデータを分析するときに使用するマネージドデータ ID を指定できます。
+ **サポートされている国とリージョン** – 該当するマネージドデータ識別子が設計されている国とリージョンを示します。マネージドデータ識別子が特定の国や地域向けに設計されていない場合、この値はいずれかになります。
+ **キーワードが必要** — 検出には、キーワードがデータの近くにある必要があるかどうかを指定します。キーワードが必要な場合、トピックには必要なキーワードの例も記載されています。Macie がデータを分析する際にどのようにキーワードを使用するかについては、[キーワード要件](managed-data-identifiers-keywords.md) を参照してください。
+ **コメント** — マネージドデータ識別子の選択や、報告された機密データの出現状況に関する調査に影響する可能性のある関連情報を提供します。詳細には、サポートされている標準、構文要件、例外などの情報が含まれます。
トピックは機密データタイプのアルファベット順にリストされています。
**Topics**
+ [生年月日](#mdis-reference-DATE_OF_BIRTH)
+ [運転免許証識別番号](#mdis-reference-DL-num)
+ [選挙人名簿番号](#mdis-reference-electoral-roll-num)
+ [フルネーム](#mdis-reference-full-name)
+ [全地球測位システム (GPS) 座標](#mdis-reference-GPS)
+ [HTTP クッキー](#mdis-reference-HTTP_COOKIE)
+ [郵送先住所](#mdis-reference-mailing-address)
+ [国民識別番号](#mdis-reference-national-id)
+ [国民保険番号 (NINO)](#mdis-reference-NINO)
+ [パスポート番号](#mdis-reference-passport-num)
+ [本籍地](#mdis-reference-permanent-residence-num)
+ [Phone number (電話番号)](#mdis-reference-phone-num)
+ [公共交通カード番号](#mdis-reference-public-transport-num)
+ [社会保険番号 (SIN)](#mdis-reference-social-insurance-num)
+ [社会保障番号 (SSN)](#mdis-reference-social-security-num)
+ [納税者識別番号または参照番号](#mdis-reference-taxpayer-num)
+ [車両識別番号 (VIN)](#mdis-reference-vin)
## 生年月日
**マネージドデータ識別子 ID:** DATE\$1OF\$1BIRTH
**サポートされている国と地域:** すべて
**キーワードが必須:** はい。キーワードには: bday, b-day, birth date, birthday, date of birth, dobが含まれます。
**Comments (コメント):** Support には、すべての数字や数字と月の名前の組み合わせなど、ほとんどの日付形式が含まれます。日付コンポーネントは、スペース、スラッシュ (/)、またはハイフン (-) で区切ることができます。
## 運転免許証識別番号
**マネージドデータ識別子 ID:** 国や地域によっては、AUSTRALIA\$1DRIVERS\$1LICENSE, AUSTRIA\$1DRIVERS\$1LICENSE, BELGIUM\$1DRIVERS\$1LICENSE, BULGARIA\$1DRIVERS\$1LICENSE, CANADA\$1DRIVERS\$1LICENSE, CROATIA\$1DRIVERS\$1LICENSE, CYPRUS\$1DRIVERS\$1LICENSE, CZECHIA\$1DRIVERS\$1LICENSE, DENMARK\$1DRIVERS\$1LICENSE, DRIVERS\$1LICENSE (for the US), ESTONIA\$1DRIVERS\$1LICENSE, FINLAND\$1DRIVERS\$1LICENSE, FRANCE\$1DRIVERS\$1LICENSE, GERMANY\$1DRIVERS\$1LICENSE, GREECE\$1DRIVERS\$1LICENSE, HUNGARY\$1DRIVERS\$1LICENSE, INDIA\$1DRIVERS\$1LICENSE, IRELAND\$1DRIVERS\$1LICENSE, ITALY\$1DRIVERS\$1LICENSE, LATVIA\$1DRIVERS\$1LICENSE, LITHUANIA\$1DRIVERS\$1LICENSE, LUXEMBOURG\$1DRIVERS\$1LICENSE, MALTA\$1DRIVERS\$1LICENSE, NETHERLANDS\$1DRIVERS\$1LICENSE, POLAND\$1DRIVERS\$1LICENSE, PORTUGAL\$1DRIVERS\$1LICENSE, ROMANIA\$1DRIVERS\$1LICENSE, SLOVAKIA\$1DRIVERS\$1LICENSE, SLOVENIA\$1DRIVERS\$1LICENSE, SPAIN\$1DRIVERS\$1LICENSE, SWEDEN\$1DRIVERS\$1LICENSE, UK\$1DRIVERS\$1LICENSE
**サポートされている国と地域:** オーストラリア、オーストリア、ベルギー、ブルガリア、カナダ、クロアチア、キプロス、チェコ共和国、デンマーク、エストニア、フィンランド、フランス、ドイツ、ギリシャ、ハンガリー、インド、アイルランド、イタリア、ラトビア、リトアニア、ルクセンブルク、マルタ、オランダ、ポーランド、ポルトガル、ルーマニア、スロバキア、スロベニア、スペイン、スウェーデン、英国、米国
**キーワードが必須:** はい。次のテーブルに、Macie が特定の国およびリージョンについて認識するキーワードのリストを示します。
| 国またはリージョン | キーワード |
| --- | --- |
| オーストラリア | dl\$1, dl:, dlno\$1, driver licence, driver license, driver permit, drivers lic., drivers licence, driver's licence, drivers license, driver's license, drivers permit, driver's permit, drivers permit number, driving licence, driving license, driving permit |
| オーストリア | führerschein, fuhrerschein, führerschein republik österreich, fuhrerschein republik osterreich |
| ベルギー | fuehrerschein, fuehrerschein- nr, fuehrerscheinnummer, fuhrerschein, führerschein, fuhrerschein- nr, führerschein- nr, fuhrerscheinnummer, führerscheinnummer, numéro permis conduire, permis de conduire, rijbewijs, rijbewijsnummer |
| ブルガリア | превозно средство, свидетелство за управление на моторно, свидетелство за управление на мпс, сумпс, шофьорска книжка |
| カナダ | dl\$1, dl:, dlno\$1, driver licence, driver licences, driver license, driver licenses, driver permit, drivers lic., drivers licence, driver's licence, drivers licences, driver's licences, drivers license, driver's license, drivers licenses, driver's licenses, drivers permit, driver's permit, drivers permit number, driving licence, driving license, driving permit, permis de conduire |
| クロアチア | vozačka dozvola |
| キプロス | άδεια οδήγησης |
| チェコ共和国 | číslo licence, císlo licence řidiče, číslo řidičského průkazu, ovladače lic., povolení k jízdě, povolení řidiče, řidiči povolení, řidičský prúkaz, řidičský průkaz |
| デンマーク | kørekort, kørekortnummer |
| エストニア | juhi litsentsi number, juhiloa number, juhiluba, juhiluba number |
| フィンランド | ajokortin numero, ajokortti, förare lic., körkort, körkort nummer, kuljettaja lic., permis de conduire |
| フランス | permis de conduire |
| ドイツ | fuehrerschein, fuehrerschein- nr, fuehrerscheinnummer, fuhrerschein, führerschein, fuhrerschein- nr, führerschein- nr, fuhrerscheinnummer, führerscheinnummer |
| ギリシャ | δεια οδήγησης, adeia odigisis |
| ハンガリー | illesztőprogramok lic, jogosítvány, jogsi, licencszám, vezető engedély, vezetői engedély |
| インド | driver licence, driver licences, driver license, driver licenses, drivers lic., drivers licence, driver's licence, drivers licences, driver's licences, drivers license, driver's license, drivers licenses, driver's licenses, driving licence, driving license |
| アイルランド | ceadúnas tiomána |
| イタリア | patente di guida, patente di guida numero, patente guida, patente guida numero |
| ラトビア | autovadītāja apliecība, licences numurs, vadītāja apliecība, vadītāja apliecības numurs, vadītāja atļauja, vadītāja licences numurs, vadītāji lic. |
| リトアニア | vairuotojo pažymėjimas |
| ルクセンブルグ | fahrerlaubnis, führerschäin |
| マルタ | liċenzja tas-sewqan |
| オランダ | permis de conduire, rijbewijs, rijbewijsnummer |
| ポーランド | numer licencyjny, prawo jazdy, zezwolenie na prowadzenie |
| ポルトガル | carta de condução, carteira de habilitação, carteira de motorist, carteira habilitação, carteira motorist, licença condução, licença de condução, número de licença, número licença, permissão condução, permissão de condução |
| ルーマニア | numărul permisului de conducere, permis de conducere |
| スロバキア | číslo licencie, číslo vodičského preukazu, ovládače lic., povolenia vodičov, povolenie jazdu, povolenie na jazdu, povolenie vodiča, vodičský preukaz |
| スロベニア | vozniško dovoljenje |
| スペイン | carnet conducer, el carnet de conducer, licencia conducer, licencia de manejo, número carnet conducer, número de carnet de conducer, número de permiso conducer, número de permiso de conducer, número licencia conducer, número permiso conducer, permiso conducción, permiso conducer, permiso de conducción |
| スウェーデン | ajokortin numero, dlno\$1 ajokortti, drivere lic., förare lic., körkort, körkort nummer, körkortsnummer, kuljettajat lic. |
| 英国 | dl\$1, dl:, dlno\$1, driver licence, driver licences, driver license, driver licenses, driver permit, drivers lic., drivers licence, driver's licence, drivers licences, driver's licences, drivers license, driver's license, drivers licenses, driver's licenses, drivers permit, driver's permit, drivers permit number, driving licence, driving license, driving permit |
| 米国 | dl\$1, dl:, dlno\$1, driver licence, driver licences, driver license, driver licenses, driver permit, drivers lic., drivers licence, driver's licence, drivers licences, driver's licences, drivers license, driver's license, drivers licenses, driver's licenses, drivers permit, driver's permit, drivers permit number, driving licence, driving license, driving permit |
**コメント:** なし
## 選挙人名簿番号
**マネージドデータ識別子 ID:** UK\$1ELECTORAL\$1ROLL\$1NUMBER
**サポートされている国と地域:** 英国
**キーワードが必須:** はい。キーワードには: electoral \$1, electoral number, electoral roll \$1, electoral roll no., electoral roll number, electoralrollnoが含まれます。
**コメント:** なし
## フルネーム
**マネージドデータ識別子 ID:** NAME
**サポートされている国と地域:** すべて
**キーワードが必須:** いいえ
**Comments (コメント):** Macie はフルネームのみを検出できます。Support はラテン文字セットに限定されます。
## 全地球測位システム (GPS) 座標
**マネージドデータ識別子 ID:** LATITUDE\$1LONGITUDE
サポートされる国と地域: 座標が英語のキーワードに近い場合は任意。
**キーワードが必須:** はい。キーワードには: coordinate, coordinates, lat long, latitude longitude, positionが含まれます。
**Comments (コメント):** Macie は、緯度と経度の座標がペアとして保存され、それらが10 進度 (DD) 形式の場合、GPS 座標を検出できます (例えば、`41.948614,-87.655311`)。Support には、例えば、度 10 進分 (DDM) 形式 (例えば、`41°56.9168'N 87°39.3187'W`)、または、度、分、秒 (DMS) 形式 (例えば、`41°56'55.0104"N 87°39'19.1196"W`) の座標の検出は含まれません。
## HTTP クッキー
**マネージドデータ識別子 ID:** HTTP\$1COOKIE
**サポートされている国と地域:** すべて
**キーワードが必須:** いいえ
**コメント:** 検出には完全な `Cookie` または `Set-Cookie` ヘッダーが必要です。ヘッダーには、名前と値のペアを 1 つ以上含めることができます。例えば、`Set-Cookie: id=TWlrZQ` と `Cookie: session=3948; lang=en`。
## 郵送先住所
**マネージドデータ識別子 ID:** ADDRESS (オーストラリア、カナダ、フランス、ドイツ、イタリア、スペイン、英国、米国)、BRAZIL\$1CEP\$1CODE (ブラジルの Código de Endereçamento Postal)
**サポートされている国と地域:**オーストラリア、ブラジル、カナダ、フランス、ドイツ、イタリア、スペイン、英国、米国
**必須キーワード:** 不定です。ADDRESS マネージドデータ識別子にはキーワードは必要ありません。BRAZIL\$1CEP\$1CODE マネージドデータ識別子にはキーワードが必要です。キーワードには: cep, código de endereçamento postal, codigo de endereçamento postal, código postal, codigo postalが含まれます。
**コメント:** ADDRESS マネージドデータ識別子にはキーワードは必須ではありませんが、検出では、住所には、サポートされている国または地域の都市または場所の名前および ZIP コードまたは郵便番号を含める必要があります。BRAZIL\$1CEP\$1CODE マネージドデータ識別子は、アドレスの Código de Endereçamento Postal (CEP) 部分のみを検出できます。
## 国民識別番号
サポートには、インドの Aadhaar 番号、コロンビアの Cédula de Ciudadanía 番号、メキシコの Clave Única de Registro de Población (CURP) 番号、イタリアの Codice Financiale 番号、アルゼンチンとスペインの Documento Nacional de Identidad (DNI) 番号、フランス国立統計経済研究所 (INSEE) コード、ドイツの National Identity Card 番号、ブラジルのRegistro Geral (RG) 番号、チリの Rol Único Nacional (RUN) 番号が含まれます。
**マネージドデータ識別子 ID:** 国や地域によっては、ARGENTINA\$1DNI\$1NUMBER, BRAZIL\$1RG\$1NUMBER, CHILE\$1RUT\$1NUMBER, COLOMBIA\$1CITIZENSHIP\$1CARD\$1NUMBER, FRANCE\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, GERMANY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, INDIA\$1AADHAAR\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, MEXICO\$1CURP\$1NUMBER, SPAIN\$1DNI\$1NUMBER
**サポートされている国と地域:** アルゼンチン、ブラジル、チリ、コロンビア、フランス、ドイツ、インド、イタリア、メキシコ、スペイン
**キーワードが必須:** はい。次のテーブルに、Macie が特定の国およびリージョンについて認識するキーワードのリストを示します。
| 国またはリージョン | キーワード |
| --- | --- |
| アルゼンチン | dni, dni\$1, d.n.i., documento nacional de identidad |
| ブラジル | registro geral, rg |
| チリ | identidad número, nacional identidad, national unique role, nationaluniqueroleID\$1, número identificación, rol único nacional, rol único tributario, run, run\$1, r.u.n., rut, rut\$1, r.u.t., unique national number, unique national role, unique tax registry, unique tax role, unique tributary number, unique tributary role |
| コロンビア | cédula de ciudadanía, documento de identificación |
| フランス | assurance sociale, carte nationale d’identité, cni, code sécurité sociale, French social security number, fssn\$1, insee, insurance number, national id number, nationalid\$1, numéro d'assurance, sécurité sociale, sécurité sociale non., sécurité sociale numéro, social, social security, social security number, socialsecuritynumber, ss\$1, ssn, ssn\$1 |
| ドイツ | ausweisnummer, id number, identification number, identity number, insurance number, personal id, personalausweis |
| インド | aadhaar, aadhar, adhaar, uidai |
| イタリア | codice fiscal, dati anagrafici, ehic, health card, health insurance card, p. iva, partita i.v.a., personal data, tax code, tessera sanitaria |
| メキシコ | clave personal identidad, clave única, clave única de registro de población, clavepersonalIdentidad, curp, registration code, registry code, personal identidad clave, population code |
| スペイン | dni, dni\$1, dninúmero\$1, documento nacional de identidad, identidad único, identidadúnico\$1, insurance number, national identification number, national identity, nationalid\$1, nationalidno\$1, número nacional identidad, personal identification number, personal identity no, unique identity number, uniqueid\$1 |
**コメント:** Chile (CHILE\$1RUT\$1NUMBER) のマネージドデータ識別子は、Rol Único Nacional (RUN) 番号と Rol Único Tributario (RUT) 番号の両方を検出するように設計されています。どちらのタイプの数値でも、Macie は一般的に例として使用されるため、 など`00000000-K`、すべての数字がゼロである出現を報告しません。
アルゼンチンとスペインの DNI 番号の構文は異なりますが、両者の間には類似点があります。したがって、Macie はアルゼンチンの DNI 番号をスペインの DNI 番号として報告するか、その逆の方法で報告する場合があります。さらに、Macie は、DNI 番号の例として一般的に使用される `99999999`および の文字シーケンスの出現を報告しません`99.999.999`。Macie は、ゼロのみで構成される出現も報告しません。たとえば、 `000000000`や などです`00.000.000`。
## 国民保険番号 (NINO)
**マネージドデータ識別子 ID:** UK\$1NATIONAL\$1INSURANCE\$1NUMBER
**サポートされている国と地域:** 英国
**キーワードが必須:** はい。キーワードには: insurance no., insurance number, insurance\$1, national insurance number, nationalinsurance\$1, nationalinsurancenumber, nin, ninoが含まれます。
**コメント:** なし
## パスポート番号
**マネージドデータ識別子 ID:** 国や地域によっては、CANADA\$1PASSPORT\$1NUMBER, FRANCE\$1PASSPORT\$1NUMBER, GERMANY\$1PASSPORT\$1NUMBER, ITALY\$1PASSPORT\$1NUMBER, SPAIN\$1PASSPORT\$1NUMBER, UK\$1PASSPORT\$1NUMBER, USA\$1PASSPORT\$1NUMBER
サポートされている国と地域: カナダ、フランス、ドイツ、イタリア、スペイン、英国、米国
**キーワードが必須:** はい。次のテーブルに、Macie が特定の国およびリージョンについて認識するキーワードのリストを示します。
| 国またはリージョン | キーワード |
| --- | --- |
| カナダ | passeport, passeport\$1, passport, passport\$1, passportno, passportno\$1 |
| フランス | numéro de passeport, passeport, passeport \$1, passeport n °, passeport non |
| ドイツ | ausstellungsdatum, ausstellungsort, geburtsdatum, passport, passports, reisepass, reisepass–nr, reisepassnummer |
| イタリア | italian passport number, numéro passeport, numéro passeport italien, passaporto, passaporto italiana, passaporto numero, passport number, repubblica italiana passaporto |
| スペイン | españa pasaporte, libreta pasaporte, número pasaporte, pasaporte, passport, passport book, passport no, passport number, spain passport |
| 英国 | passeport \$1, passeport n °, passeport non, passeportn °, passport \$1, passport no, passport number, passport\$1, passportid |
| 米国 | passport, travel document |
**コメント:** なし
## 本籍地
**マネージドデータ識別子 ID:** CANADA\$1NATIONAL\$1IDENTIFICATION\$1NUMBER
**サポートされている国と地域:**カナダ
**キーワードが必須:** はい。キーワードには: carte résident permanent, numéro carte résident permanent, numéro résident permanent, permanent resident card, permanent resident card number, permanent resident no, permanent resident no., permanent resident number, pr no, pr no., pr non, pr number, résident permanent no., résident permanent nonが含まれます。
**コメント:** なし
## Phone number (電話番号)
**マネージドデータ識別子 ID:** 国や地域によっては、BRAZIL\$1PHONE\$1NUMBER, FRANCE\$1PHONE\$1NUMBER, GERMANY\$1PHONE\$1NUMBER, ITALY\$1PHONE\$1NUMBER, PHONE\$1NUMBER (for Canada and the US), SPAIN\$1PHONE\$1NUMBER, UK\$1PHONE\$1NUMBER
サポートされている国と地域: ブラジル、カナダ、フランス、ドイツ、イタリア、スペイン、英国、米国
**必須キーワード:** 不定です。キーワードがデータの近くにある場合、番号に国コードを含める必要はありません。キーワードには: cell, contact, fax, fax number, mobile, phone, phone number, tel, telephone, telephone numberが含まれます。ブラジル: キーワードにはcel, celular, fone, móvel, número residencial, numero residencial, telefone.も含まれます。キーワードがデータの近くにない場合は、番号に国コードを含める必要があります。
**コメント: **米国では、サポートには通話料無料の番号が含まれます。
## 公共交通カード番号
**マネージドデータ識別子 ID:** ARGENTINA\$1TARJETA\$1SUBE
**サポートされている国と地域:** アルゼンチン
**キーワードが必須:** はい。キーワードには: sistema único de boleto electrónico, subeが含まれます。
**コメント:** Macie は、`6061`Luhn チェック式で始まる 16 桁の Sistema Único de Boleto Electrónico (SUBE) カード番号を検出できます。カード番号コンポーネントは、スペースまたはハイフン (‐) で区切ることも、`6061 1234 1234 1234`、、 `6061‐1234‐1234‐1234`などの区切り文字を使用しないこともできます`6061123412341234`。
## 社会保険番号 (SIN)
**マネージドデータ識別子 ID:** CANADA\$1SOCIAL\$1INSURANCE\$1NUMBER
**サポートされている国と地域:**カナダ
**キーワードが必須:** はい。キーワードには: canadian id, numéro d'assurance sociale, sin, social insurance numberが含まれます。
**コメント:** なし
## 社会保障番号 (SSN)
**マネージドデータ識別子 ID:** 国や地域によっては、SPAIN\$1SOCIAL\$1SECURITY\$1NUMBER, USA\$1SOCIAL\$1SECURITY\$1NUMBER
**サポートされている国と地域:**スペイン、米国
**キーワードが必須:** はい。スペインの場合、キーワードにはnúmero de la seguridad social, social security no., social security number, socialsecurityno\$1, ssn, ssn\$1が含まれます。米国の場合、キーワードにはsocial security, ss\$1, ssnが含まれます。
**コメント:** なし
## 納税者識別番号または参照番号
サポートには、アルゼンチンの CUIL および CUIT コード、スペインの CIF、NIE、NIF 番号、ブラジルの CNPJ および CPF 番号、イタリアの Codice Financiale 番号、米国の ITINs、コロンビアの NIT 番号、インドPANs、メキシコの RFC 番号、チリの RUN および RUT 番号、ドイツの Steueridentifikationsnummer 番号、オーストラリアの TFNs、フランスTINs、英国の TRN および UTR 番号が含まれます。
**マネージドデータ識別子 ID:** 国や地域によっては、ARGENTINA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER, ARGENTINA\$1ORGANIZATION\$1TAX\$1IDENTIFICATION\$1NUMBER, AUSTRALIA\$1TAX\$1FILE\$1NUMBER, BRAZIL\$1CNPJ\$1NUMBER, BRAZIL\$1CPF\$1NUMBER, CHILE\$1RUT\$1NUMBER, COLOMBIA\$1INDIVIDUAL\$1NIT\$1NUMBER, COLOMBIA\$1ORGANIZATION\$1NIT\$1NUMBER, FRANCE\$1TAX\$1IDENTIFICATION\$1NUMBER, GERMANY\$1TAX\$1IDENTIFICATION\$1NUMBER, INDIA\$1PERMANENT\$1ACCOUNT\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, MEXICO\$1INDIVIDUAL\$1RFC\$1NUMBER, MEXICO\$1ORGANIZATION\$1RFC\$1NUMBER, SPAIN\$1NIE\$1NUMBER, SPAIN\$1NIF\$1NUMBER, SPAIN\$1TAX\$1IDENTIFICATION\$1NUMBER, UK\$1TAX\$1IDENTIFICATION\$1NUMBER, USA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER
**サポートされている国と地域:** アルゼンチン、オーストラリア、ブラジル、チリ、コロンビア、フランス、ドイツ、インド、イタリア、メキシコ、スペイン、英国、米国
**キーワードが必須:** はい。次のテーブルに、Macie が特定の国およびリージョンについて認識するキーワードのリストを示します。
| 国またはリージョン | キーワード |
| --- | --- |
| アルゼンチン | argentina taxpayer id, clave única de identificación tributaria, cuil, c.u.i.l, cuit, c.u.i.t, número de identificación fiscal, número de contribuyente, unified labor identification code |
| オーストラリア | tax file number, tfn |
| ブラジル | cadastro de pessoa física, cadastro de pessoa fisica, cadastro de pessoas físicas, cadastro de pessoas fisicas, cadastro nacional da pessoa jurídica, cadastro nacional da pessoa juridica, cnpj, cpf |
| チリ | identidad número, nacional identidad, national unique role, nationaluniqueroleID\$1, número identificación, rol único nacional, rol único tributario, run, run\$1, r.u.n., rut, rut\$1, r.u.t., unique national number, unique national role, unique tax registry, unique tax role, unique tributary number, unique tributary role |
| コロンビア | nit, nit., nit\$1, n.i.t. |
| フランス | numéro d'identification fiscal, tax id, tax identification number, tax number, tin, tin\$1 |
| ドイツ | identifikationsnummer, steuer id, steueridentifikationsnummer, steuernummer, tax id, tax identification number, tax number |
| インド | e-pan, pan card, pan number, permanent account number |
| イタリア | codice fiscal, dati anagrafici, ehic, health card, health insurance card, p. iva, partita i.v.a., personal data, tax code, tessera sanitaria |
| メキシコ | código del registro federal de contribuyentes, identificación de impuestos, identificacion de impuestos, impuesto al valor agregado, iva, iva\$1, i.v.a., registro federal de contribuyentes, rfc, rfc\$1, r.f.c. |
| スペイン | cif, cif número, cifnúmero\$1, nie, nif, número de contribuyente, número de identidad de extranjero, número de identificación fiscal, número de impuesto corporativo, personal tax number, tax id, tax identification number, tax number, tin, tin\$1 |
| 英国 | paye, tax id, tax id no., tax id number, tax identification, tax identification\$1, tax no., tax number, tax reference, tax\$1, taxid\$1, temporary reference number, tin, trn, unique tax reference, unique taxpayer reference, utr |
| 米国 | i.t.i.n., individual taxpayer identification number, itin |
**コメント:** Chile (CHILE\$1RUT\$1NUMBER) のマネージドデータ識別子は、Rol Único Nacional (RUN) 番号と Rol Único Tributario (RUT) 番号の両方を検出するように設計されています。メキシコの Registro Federal de Contribuyentes (RFC) 番号の場合、Macie は RFC 番号の例として一般的に使用される次の文字シーケンスの出現を報告しません: `XAXX010101000`および `XEXX010101000`。
納税者識別番号と参照番号のいくつかのタイプでは、Macie は`00000000-K`、、、 `000000000`など、すべての桁がゼロである出現を報告しません`00.000.000`。これは、ゼロのみを使用することが、特定のタイプの納税者識別番号と参照番号の例で一般的であるためです。
## 車両識別番号 (VIN)
**マネージドデータ識別子 ID:** VEHICLE\$1IDENTIFICATION\$1NUMBER
**サポートされている国と地域:** すべて (VIN が英語、フランス語、ドイツ語、リトアニア語、ポーランド語、ポルトガル語、ルーマニア語、またはスペイン語のいずれかの言語でキーワードの近くにある場合)。
**キーワードが必須:** はい。キーワードには: Fahrgestellnummer, niv, numarul de identificare, numarul seriei de sasiu, numer VIN, Número de Identificação do Veículo, Número de Identificación de Automóviles, numéro d'identification du véhicule, vehicle identification number, vin, VIN numerisが含まれます。
コメント: Macieは、17文字のシーケンスで設定され、ISO 3779および3780規格に準拠したVINを検出することができます。これらの規格は、世界中で使用するために設計されています。
# カスタムデータ識別子の構築
Amazon Macie が提供するマネージドデータ識別子を使用するだけでなく、カスタムデータ識別子を作成して使用することもできます。カスタムデータ識別子は、機密データを検出するために定義する基準のセットです。基準は、一致するテキストパターン、オプションで文字シーケンス、結果を絞り込む近接ルールを定義する正規表現 (*正規表現*) から設定されています。文字シーケンスは、正規表現に一致するテキストに近接する必要がある単語またはフレーズである「キーワード」**、または結果から除外する単語またはフレーズである「無視する単語」**になります。
カスタムデータ識別子を使用すると、組織の特定のシナリオ、知的財産、または独自のデータを反映する検出基準を定義できます。例えば、従業員 ID、顧客アカウント番号、内部データの分類などを検出できます。[機密データの検出ジョブ](discovery-jobs.md)または[機密データ自動検出](discovery-asdd.md)でこれらの識別子を使用するように設定すると、Macie が提供している[マネージドデータ識別子](managed-data-identifiers.md)を補足できます。
検出基準に加えて、カスタムデータ識別子が生成する検出結果のカスタム重要度設定を定義できます。デフォルトでは、Macie はカスタムデータ識別子が生成するすべての検出結果に**中程度の重要度を割り当てます。重要度は、識別子の検出基準に一致するテキストの出現回数によって変化しません。カスタム重要度設定を定義すると、基準に一致するテキストの出現回数に基づいて、重要度を指定できます。
**Topics**
+ [カスタムデータ識別子の設定オプション](cdis-options.md)
+ [カスタムデータ識別子の作成](cdis-create.md)
+ [カスタムデータ識別子の削除](cdis-delete.md)
# カスタムデータ識別子の設定オプション
カスタムデータ識別子を使用して、Amazon Simple Storage Service (Amazon S3) 内の機密データを検出するためのカスタム基準を定義できます。Amazon Macie が提供する[マネージドデータ識別子](managed-data-identifiers.md)を補足し、組織の特定のシナリオ、知的財産、または専有データを反映する機密データを検出できます。
各カスタムデータ識別子では、識別子によって生成される検出結果の検出基準と重要度設定 (オプション) を指定します。検出基準では、S3 オブジェクト内で一致させるテキストパターンを定義する正規表現を指定します。この基準では、結果を絞り込む文字シーケンスと近接ルールを指定することもできます。重要度設定では、結果に割り当てる重要度を指定します。重要度は、識別子の検出基準に一致するテキストの出現回数に基づいて指定できます。
**Topics**
+ [検出基準](#cdis-detection-criteria)
+ [検出結果の重要度設定](#cdis-finding-severity)
## 検出基準
各カスタムデータ識別子を作成するときに、一致するテキストパターンを定義する正規表現 (*regex*) を指定します。また、単語やフレーズなどの文字シーケンス、および結果を絞り込む近接ルールを指定することもできます。文字シーケンスは、正規表現に一致するテキストに近接する必要がある単語またはフレーズである「キーワード」**、または結果から除外する単語またはフレーズである「無視する単語」**になります。
正規表現では、Amazon Macie は、[Perl 互換正規表現 (PCRE) ライブラリ](https://www.pcre.org/)によって提供されるパターン構文のサブセットをサポートしています。PCRE ライブラリによって提供される設定のうち、Macie は次のパターン要素をサポートしていません。
+ バックリファレンス
+ キャプチャグループ
+ 条件付きパターン
+ 埋め込みコード
+ グローバルパターンフラグ (`/i`、`/m`、および `/x` など)
+ 再帰的なパターン
+ 正と負のルックビハインドおよびルックアヘッドのゼロ幅アサーション (`?=`、`?!`、`?<=`、および `?
カスタムデータ識別子を作成するときに、識別子が生成する機密データの検出結果のカスタム重要度設定も指定できます。デフォルトでは、Amazon Macie はカスタムデータ識別子が生成するすべての検出結果に**中程度の重要度を割り当てます。S3 オブジェクトに検出基準と一致するテキストが少なくとも 1 つ含まれている場合、Macie は検出結果に自動的に中程度**の重大度を割り当てます。
カスタム重要度設定により、検出基準に一致するテキストの出現回数に基づいて、割り当てる重要度を指定できます。この場合、**低 (最小重要度)、中**、および 高** (最大重要度) の最大 3 つの重要度レベルで頻度しきい値**を定義できます。頻度しきい値は、指定された重要度で結果を生成するために S3 オブジェクトに存在する必要がある一致の最小数です。しきい値を超える値を指定する場合、しきい値は重要度で昇順 (低 から 高 に移動) である必要があります。
例えば、次の図は 3 つの頻度しきい値を指定する重要度設定 (Macie がサポートする重要度レベルごとに 1 つ) を示しています。
![\[各重要度のレベル (低、中、高) の頻度しきい値を指定する重要度設定。\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/scrn-cdi-severity.png)
次のテーブルに、カスタムデータ識別子が生成する結果の重要度を示します。
| 頻度しきい値 | 重要度レベル | 結果 |
| --- | --- | --- |
| 1 | 低 | S3 オブジェクトに、検出基準に一致するテキストの出現が 1~49 回含まれている場合、Macie はオブジェクトで低重要度の結果を作成します。 |
| 50 | 中 | S3 オブジェクトに、検出基準に一致するテキストの出現が 50~99 回含まれている場合、Macie はオブジェクトで中重要度の結果を作成します。 |
| 100 | 高 | S3 オブジェクトに、検出基準に一致するテキストの出現が 100 回以上含まれている場合、Macie はオブジェクトで高重要度の結果を作成します。 |
重要度設定を使用して、結果を作成するかどうかを指定することもできます。S3 オブジェクトに含まれる出現の回数が最小頻度しきい値よりも少ない場合、Macie は結果を作成しません。
# カスタムデータ識別子の作成
カスタムデータ識別子は、機密データを検出するために定義する基準のセットです。各カスタムデータ識別子を作成するときに、S3 オブジェクト内で一致するテキストパターンを定義する正規表現 (*regex*) を指定します。また、結果を絞り込む文字シーケンスと近接ルールを指定することもできます。文字シーケンスは、正規表現に一致するテキストに近接する必要がある単語またはフレーズである「キーワード」**、または結果から除外する単語またはフレーズである「無視する単語」**になります。カスタムデータ識別子を使用して、Amazon Macie が提供する[マネージドデータ識別子](managed-data-identifiers.md)を補足し、組織の特定のシナリオ、知的財産、または専有データを反映する機密データを検出できます。
例えば、多くの企業は、従業員 ID の特定の構文を持っています。そのような構文の 1 つは、従業員がフルタイム (*F*) またはパートタイム (*P*) の従業員であるかを示す大文字で、その後にハイフン (-)、その後に従業員を識別する 8 桁のシーケンスが続きます。例: フルタイム従業員の場合は *F–12345678*、パートタイム従業員の場合は *P–87654321*。この構文を使用する従業員 IDs を検出するには、 という正規表現を指定するカスタムデータ識別子を作成できます`[A-Z]-\d{8}`。分析を絞り込み、誤検出を回避するために、キーワード (`employee` と `employee ID`) と最大一致距離 (20 文字) を使用するように識別子を設定することもできます。これらの基準では、テキストがキーワード*従業員*または*従業員 ID* の後に発生し、すべてのテキストがそれらのキーワードの 1 つから 20 文字以内に発生した場合、結果には正規表現に一致するテキストが含まれます。
キーワードが機密データの検索や誤検出の回避にどのように役立つかについては、以下の動画をご覧ください。
検出基準に加えて、カスタムデータ識別子が生成する検出結果のカスタム重要度設定を任意で指定できます。重要度は、識別子の検出基準に一致するテキストの出現回数に基づいて指定できます。これらの設定を指定しない場合、Macie は識別子が生成するすべての検出結果に中程度の**重要度を自動的に割り当てます。重要度は、識別子の検出基準に一致するテキストの出現回数によって変化しません。
これらの情報およびその他の設定の詳細については、「[カスタムデータ識別子の設定オプション](cdis-options.md)」を参照してください。
**カスタムデータ識別子を作成するには**
Amazon Macie コンソールまたは Amazon Macie API を使用して、カスタムデータ識別子を作成できます。
------
#### [ Console ]
Amazon Macie コンソールを使用してカスタムデータ識別子を作成するには、次のステップに従います。
**カスタムデータ識別子を作成するには**
1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。
1. ナビゲーションペインの **設定** の下で、**カスタムデータ識別子** を選択します。
1. **作成** を選択します。
1. **名前** では、カスタムデータ識別子の名前を入力します。名前には最大 128 文字を含めることができます。
1. **[説明]** では、カスタムデータ識別子の簡単な説明を任意で入力します。説明には最大 512 文字を含めることができます。
**注記**
カスタムデータ識別子の名前または説明に機密データを含めないでください。Macie で実行できるアクションによっては、アカウントの他のユーザーが名前や説明にアクセスできる場合があります。
1. **正規表現** では、一致するテキストパターンを定義する正規表現 (*正規表現*) を入力します。正規表現には最大 512 文字を含めることができます。
Macie は、[Perl 互換正規表現 (PCRE) ライブラリ](https://www.pcre.org/)によって提供されるパターン構文のサブセットをサポートしています。詳細とヒントについては、「[カスタムデータ識別子の検出基準](cdis-options.md#cdis-detection-criteria)」を参照してください。
1. **[キーワード]** では、一致する特定のテキストを定義する 50 文字のシーケンス (カンマ区切り) を入力します。
Macie は、テキストが正規表現パターンと一致し、テキストがこれらのキーワードのいずれかの最大一致距離内にある場合にのみ、結果に出現を含めます。各キーワードには、3~90 の UTF-8 文字を含めることができます。キーワードでは、大文字と小文字が区別されません。
1. **単語を無視**する場合は、オプションで、結果から除外する特定のテキストを定義する最大 10 文字のシーケンス (カンマで区切る) を入力します。
Macie は、テキストが正規表現パターンと一致するが、これらの無視ワードのいずれかが含まれている場合、結果から出現を除外します。無視する単語には、4~90 の UTF-8 文字を含めることができます。無視する単語では、大文字と小文字が区別されます。
1. **[最大一致距離]** では、正規表現に一致するテキストとキーワードの間に存在できる文字の最大数を入力します。
Macie は、テキストが正規表現パターンと一致し、テキストが完全なキーワードからこの距離内にある場合にのみ、結果に出現を含めます。距離は 1〜300 文字です。デフォルトの距離は 50 文字です。
1. **[重要度]** の下で、カスタムデータ識別子が生成する機密データの検出結果の重要度を特定する方法を選択します。
+ *中*重要度をすべての結果に自動的に割り当てるには、**任意の数の一致に対して中重要度を使用する (デフォルト)** を選択します。このオプションでは、影響を受ける S3 オブジェクトに検出基準と一致するテキストが 1 つ以上含まれている場合、Macie は検出結果に自動的に重大度中を割り当てます。
+ 指定したカスタム頻度しきい値に基づいて重要度を割り当てるには、カスタム設定を使用して重要度を判断する を選択します。次に、**頻度しきい値** および **重要度レベル** オプションを使用して、選択した重要度で結果を生成するために S3 オブジェクトに存在する必要がある一致の最小数を指定します。
Macie がサポートする重大度レベルごとに 1 つずつ、最大 3 つの頻度しきい値を指定できます: **[低] (最小の重要度)、**[中]、または [高]** (最大の重要度)。1 を超える値を指定する場合、しきい値は重要度で昇順 (*低* から *高* に移動) である必要があります。S3 オブジェクトに含まれる出現回数が最低しきい値よりも少ない場合、Macie は検出結果を作成しません。
1. (オプショナル) **タグ** で **タグを追加** を選択し、カスタムデータ識別子に割り当てるタグを 50 個まで入力します。
*タグ* は、特定のタイプの AWS リソースを定義して割り当てるラベルです。各タグは、必要なタグキーとオプションのタグ値で設定されています。タグを使用することで、目的、所有者、環境、その他の条件など、さまざまな方法でリソースを分類および管理できます。詳細については、[Macie リソースにタグ付けする](tagging-resources.md)を参照してください。
1. (オプショナル) **評価** では、**サンプルデータ** ボックスに最大 1,000 文字を入力し、**テスト** を選択して検出条件をテストします。Macie はサンプルデータを評価し、基準に一致するテキストの出現回数をレポートします。基準を調整して最適化するために、このステップを何回でも繰り返すことができます。
**注記**
サンプルデータを使用して検出基準をテストおよび改良することを強くお勧めします。カスタムデータ識別子は機密データ検出ジョブで使用されるため、作成後にカスタムデータ識別子を変更することはできません。これにより、機密データの検出結果と結果の不変の履歴を確保できます。
Macie は構造化レコードを処理するときに追加のロジックを適用するため、**評価**ボックスによって返される一致数は、ジョブによって生成される結果とは異なる場合があります。
1. 完了したら、**送信** を選択します。
Macie は設定をテストし、正規表現をコンパイルできることを確認します。設定または正規表現に問題がある場合、Macie は問題を説明するエラーを表示します。問題を解決したら、カスタムデータ識別子を保存できます。
------
#### [ API ]
カスタムデータ識別子をプログラムで作成するには、Amazon Macie APIの [CreateCustomDataIdentifier](https://docs.aws.amazon.com/macie/latest/APIReference/custom-data-identifiers.html) オペレーションを使用します。または、 AWS Command Line Interface (AWS CLI) を使用している場合は、[create-custom-data-identifier](https://docs.aws.amazon.com/cli/latest/reference/macie2/create-custom-data-identifier.html) コマンドを実行します。
**注記**
カスタムデータ識別子を作成する前に、サンプルデータを使用して検出基準をテストおよび改良することを強くお勧めします。カスタムデータ識別子は機密データ検出ジョブで使用されるため、作成後にカスタムデータ識別子を変更することはできません。これにより、機密データの検出結果と結果の不変の履歴を確保できます。
プログラムで基準をテストするには、Amazon Macie API の [TestCustomDataIdentifier](https://docs.aws.amazon.com/macie/latest/APIReference/custom-data-identifiers-test.html) オペレーションを使用できます。このオペレーションは、検出基準を使用してサンプルデータを評価する環境を提供します。を使用している場合は AWS CLI、[test-custom-data-identifier](https://docs.aws.amazon.com/cli/latest/reference/macie2/test-custom-data-identifier.html) コマンドを実行して基準をテストできます。
カスタムデータ識別子を作成する準備ができたら、次のパラメータを使用して検出基準を定義します。
+ `regex` – 一致するテキストパターンを定義する正規表現 (*regex*) を指定します。正規表現には最大 512 文字を含めることができます。
Macie は、[Perl 互換正規表現 (PCRE) ライブラリ](https://www.pcre.org/)によって提供されるパターン構文のサブセットをサポートしています。詳細とヒントについては、「[カスタムデータ識別子の検出基準](cdis-options.md#cdis-detection-criteria)」を参照してください。
+ `keywords` – 必要に応じて、正規表現パターンに一致するテキストの近くにある必要がある 1~50 文字のシーケンス (*キーワード*) を指定します。
Macie は、テキストが正規表現パターンと一致し、テキストがこれらのキーワードのいずれかの最大一致距離内にある場合にのみ、結果に出現を含めます。各キーワードには、3~90 の UTF-8 文字を含めることができます。キーワードでは、大文字と小文字が区別されません。
+ `maximumMatchDistance` – オプションで、キーワードの末尾と正規表現パターンに一致するテキストの末尾の間に存在できる最大文字数を指定します。を使用している場合は AWS CLI、 `maximum-match-distance`パラメータを使用してこの値を指定します。
Macie は、テキストが正規表現パターンと一致し、テキストが完全なキーワードからこの距離内にある場合にのみ、結果に出現を含めます。距離は 1〜300 文字です。デフォルトの距離は 50 文字です。
+ `ignoreWords` – オプションで、結果から除外する 1~10 文字のシーケンス (*単語を無視) *を指定します。を使用している場合は AWS CLI、 `ignore-words`パラメータを使用してこれらの文字シーケンスを指定します。
Macie は、テキストが正規表現パターンと一致するが、これらの無視ワードのいずれかが含まれている場合、結果から出現を除外します。無視する単語には、4~90 の UTF-8 文字を含めることができます。無視する単語では、大文字と小文字が区別されます。
カスタムデータ識別子が生成する機密データの検出結果の重要度を指定するには、 `severityLevels`パラメータを使用するか、 を使用している場合は AWS CLI`severity-levels`パラメータを使用します。
+ すべての結果に`MEDIUM`重要度を自動的に割り当てるには、このパラメータを省略します。その後、Macie はデフォルト設定を使用します。デフォルトでは、影響を受ける S3 オブジェクトに検出基準に一致するテキストの出現が 1 つ以上含まれている場合、Macie は検出結果に`MEDIUM`重要度を割り当てます。
+ 指定した出現しきい値に基づいて重要度を割り当てるには、指定した重要度の結果を生成するために S3 オブジェクトに存在する必要がある一致の最小数を指定します。
Macie がサポートする重要度レベルごとに 1 つずつ、最大 3 つの出現しきい値を指定できます: `LOW` (最も重要度が低い)、`MEDIUM`、または `HIGH` (最も重要度が高い)。複数の を指定する場合、しきい値は重要度別に昇順で、 から `LOW` に移行する必要があります`HIGH`。S3 オブジェクトに含まれる出現回数が最低しきい値よりも少ない場合、Macie は検出結果を作成しません。
追加のパラメータを使用して、カスタムデータ識別子の名前とタグなどのその他の設定を指定します。これらの設定に機密データを含めないでください。Macie で実行できるアクションによっては、アカウントの他のユーザーがこれらの値にアクセスできる場合があります。
リクエストを送信すると、Macie は設定をテストし、正規表現をコンパイルできることを確認します。設定または正規表現に問題がある場合、リクエストは失敗し、Macie は問題を説明するメッセージを返します。リクエストが成功すると、次のような出力を受け取ります。
```
{
"customDataIdentifierId": "393950aa-82ea-4bdc-8f7b-e5be3example"
}
```
ここで、 は、作成されたカスタムデータ識別子の一意の識別子 (ID) `customDataIdentifierId`を指定します。
その後、カスタムデータ識別子の設定を取得して確認するには、[GetCustomDataIdentifier](https://docs.aws.amazon.com/macie/latest/APIReference/custom-data-identifiers-id.html) オペレーションを使用するか、 を使用している場合は AWS CLI get[get-custom-data-identifier](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-custom-data-identifier.html) コマンドを実行します。`id` パラメータには、カスタムデータ識別子の ID を指定します。
次の例は、 を使用してカスタムデータ識別子 AWS CLI を作成する方法を示しています。この例では、特定の構文を使用し、指定されたキーワードの近くにある従業員 IDs を検出するように設計されたカスタムデータ識別子を作成します。この例では、識別子が生成する検出結果のカスタム重要度設定も定義します。
この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。
```
$ aws macie2 create-custom-data-identifier \
--name "EmployeeIDs" \
--regex "[A-Z]-\d{8}" \
--keywords '["employee","employee ID"]' \
--maximum-match-distance 20 \
--severity-levels '[{"occurrencesThreshold":1,"severity":"LOW"},{"occurrencesThreshold":50,"severity":"MEDIUM"},{"occurrencesThreshold":100,"severity":"HIGH"}]' \
--description "Detects employee IDs in proximity of a keyword." \
--tags '{"Stack":"Production"}'
```
この例は Microsoft Windows 用にフォーマットされており、読みやすさを向上させるためにキャレット (^) の行継続文字を使用しています。
```
C:\> aws macie2 create-custom-data-identifier ^
--name "EmployeeIDs" ^
--regex "[A-Z]-\d{8}" ^
--keywords "[\"employee\",\"employee ID\"]" ^
--maximum-match-distance 20 ^
--severity-levels "[{\"occurrencesThreshold\":1,\"severity\":\"LOW\"},{\"occurrencesThreshold\":50,\"severity\":\"MEDIUM\"},{\"occurrencesThreshold\":100,\"severity\":\"HIGH\"}]" ^
--description "Detects employee IDs in proximity of a keyword." ^
--tags={\"Stack\":\"Production\"}
```
コードの説明は以下のとおりです。
+ `EmployeeIDs` はカスタムデータ識別子の名前です。
+ `[A-Z]-\d{8}` は、一致するテキストパターンの正規表現です。
+ `employee` および `employee ID`は、正規表現パターンに一致するテキストの近くにある必要があるキーワードです。
+ `20` は、キーワードの末尾と正規表現パターンに一致するテキストの末尾の間に存在できる最大文字数です。
+ `description` は、カスタムデータ識別子の簡単な説明を指定します。
+ `severity-levels` は、カスタムデータ識別子が生成する検出結果の重要度のカスタム出現しきい値を定義します。1~49 件の出現`LOW`の場合、50~99 `MEDIUM` 件の出現の場合、100 件以上の出現`HIGH`の場合。
+ `Stack` は、カスタムデータ識別子に割り当てるタグのタグキーです。 `Production`は、指定されたタグキーのタグ値です。
------
カスタムデータ識別子を作成したら、それを使用するように[機密データ検出ジョブを作成および設定](discovery-jobs-create.md)したり、[機密データ自動検出の設定に追加したりできます](discovery-asdd-account-configure.md)。
# カスタムデータ識別子の削除
カスタムデータ識別子を作成したら、削除できます。これを行うと、Amazon Macie はカスタムデータ識別子をソフト削除します。つまり、カスタムデータ識別子のレコードはアカウントに残りますが、削除済みとしてマークされます。カスタムデータ識別子にこのステータスがある場合、それを使用するように新しい機密データ検出ジョブを設定したり、機密データ自動検出の設定に追加したりすることはできません。さらに、Amazon Macie コンソールを使用してアクセスできなくなります。ただし、Amazon Macie API を使用して設定を取得できます。カスタムデータ識別子を削除しても、アカウントのカスタムデータ識別子のクォータにはカウントされません。
後で削除するカスタムデータ識別子を使用するように機密データ検出ジョブを設定すると、ジョブはスケジュールどおりに実行され、引き続きカスタムデータ識別子が使用されます。つまり、機密データの検出結果と機密データの検出結果の両方が、識別子の基準に一致するテキストをレポートします。これにより、実施するデータプライバシーと保護の監査または調査に関する機密データの調査結果と検出結果のイミュータブルな履歴を確実に保持できます。
同様に、後で削除するカスタムデータ識別子を使用するように機密データ自動検出を設定すると、毎日の分析サイクルが続行され、引き続きカスタムデータ識別子が使用されます。つまり、機密データの検出結果、統計、およびその他のタイプの結果は、識別子の基準に一致するテキストを引き続きレポートします。
カスタムデータ識別子を削除する前に、次の操作を実行して、Macie が以降の分析サイクルとジョブの実行中にそれを使用しないようにします。
+ 機密データの自動検出の設定を確認します。これらの設定にカスタムデータ識別子を追加した場合は、削除します。詳細については、「[機密データ自動検出設定を構成する](discovery-asdd-account-configure.md)」を参照してください。
+ ジョブインベントリを確認して、カスタムデータ識別子を使用し、将来実行される予定のジョブを特定します。ジョブでカスタムデータ識別子の使用を停止する場合は、ジョブをキャンセルできます。次に、ジョブのコピーを作成し、コピーの設定を調整し、コピーを新しいジョブとして保存します。詳細については、「[機密データ検出ジョブの管理](discovery-jobs-manage.md)」を参照してください。
また、Macie がカスタムデータ識別子に割り当てた一意の識別子 (ID) を書き留めておくことをお勧めします。後でカスタムデータ識別子の設定を確認する場合は、この ID が必要です。
上記のタスクが完了したら、カスタムデータ識別子を削除します。
**カスタムデータ識別子を削除するには**
Amazon Macie コンソールまたは Amazon Macie API を使用して、カスタムデータ識別子を削除できます。
------
#### [ Console ]
Amazon Macie コンソールを使用してカスタムデータ識別子を削除するには、次の手順に従います。
**カスタムデータ識別子を削除するには**
1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。
1. ナビゲーションペインの **設定** の下で、**カスタムデータ識別子** を選択します。
1. 削除するカスタムデータ識別子の一意の識別子 (ID) を書き留めるには、カスタムデータ識別子の名前を選択します。表示されるページに、**ID** ボックスにこの ID が表示されます。ID を記録したら、ナビゲーションペインで**カスタムデータ識別子**を再度選択します。
1. **カスタムデータ識別子**ページで、削除するカスタムデータ識別子のチェックボックスをオンにします。
1. **Actions** メニューで、**Delete** を選択します。
1. 確認を求められたら、**OK** を選択します。
------
#### [ API ]
プログラムでカスタムデータ識別子を削除するには、Amazon Macie API の [DeleteCustomDataIdentifier](https://docs.aws.amazon.com/macie/latest/APIReference/custom-data-identifiers-id.html) オペレーションを使用します。または、 AWS Command Line Interface (AWS CLI) を使用している場合は、[delete-custom-data-identifier](https://docs.aws.amazon.com/cli/latest/reference/macie2/delete-custom-data-identifier.html) コマンドを実行します。
`id` パラメータには、削除するカスタムデータ識別子の一意の識別子 (ID) を指定します。この ID は、[ListCustomDataIdentifiers](https://docs.aws.amazon.com/macie/latest/APIReference/custom-data-identifiers-list.html) オペレーションを使用して取得できます。このオペレーションは、アカウントのカスタムデータ識別子に関する情報のサブセットを取得します。を使用している場合は AWS CLI、[list-custom-data-identifiers](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-custom-data-identifiers.html) コマンドを実行してこの情報を取得できます。
次の例は、 を使用してカスタムデータ識別子を削除する方法を示しています AWS CLI。
```
$ aws macie2 delete-custom-data-identifier --id 393950aa-82ea-4bdc-8f7b-e5be3example
```
ここで、*393950aa-82ea-4bdc-8f7b-e5be3example* は削除するカスタムデータ識別子の ID です。
リクエストが成功すると、Macie は空の HTTP 200 レスポンスを返します。それ以外の場合、Macie はリクエストが失敗した理由を示す HTTP 4*xx* または 500 レスポンスを返します。
------
削除した後にカスタムデータ識別子の設定を確認するには、Amazon Macie API の [GetCustomDataIdentifier](https://docs.aws.amazon.com/macie/latest/APIReference/custom-data-identifiers-id.html) オペレーションを使用します。または、 を使用している場合は AWS CLI、[get-custom-data-identifier](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-custom-data-identifier.html) コマンドを実行します。`id` パラメータには、カスタムデータ識別子の ID を指定します。カスタムデータ識別子を削除した後は、Amazon Macie コンソールを使用してその設定にアクセスすることはできません。
# 許可リストでの機密データの例外の定義
Amazon Macie の許可リストでは、Macie が Amazon Simple Storage Service (Amazon S3) オブジェクトの機密データを検査するときに無視する特定のテキストとテキストパターンを定義できます。これらは通常、特定のシナリオや環境における機密データの例外です。データが許可リストのテキストまたはテキストパターンと一致する場合、Macie はデータを報告しません。これは、データが[マネージドデータ識別子](managed-data-identifiers.md)または[カスタムデータ識別子](custom-data-identifiers.md)の基準と一致する場合も当てはまります。許可リストを使用することで、Amazon S3 データの分析を改善し、ノイズを減らすことができます。
Macie では、次の 2 タイプの許可リストを作成して使用できます。
+ **事前定義されたテキスト** – このタイプのリストでは、無視する特定の文字シーケンスを指定します。例えば、組織の公的担当者の名前、特定の電話番号、組織がテストに使用する特定のサンプルデータなどを指定します。このタイプのリストを使用する場合、Macie はリスト内のエントリに完全に一致するテキストを無視します。
このタイプのリストには、通常、機密性が低く、変更される可能性が低く、必ずしも共通のパターンに従っているとは限らない特定の単語、フレーズ、その他の種類の文字列が含まれています。
+ **正規表現** - このタイプのリストの場合、無視するテキストパターンを定義する正規表現 (*regex*) を指定します。例えば、組織の公開電話番号、組織のドメインのメールアドレス、組織がテストに使用するパターン化されたサンプルデータなどを指定します。このタイプのリストを使用する場合、Amazon Macie はリストで定義されたパターンに完全に一致するテキストを無視します。
このタイプの許可リストは、共通のパターンに準拠させつつ、機密性はないが変更する、または変更される可能性が高いテキストを指定したい場合に役立ちます。
許可リストを作成したら、それを使用するために[機密データ検出ジョブを作成して設定](discovery-jobs-create.md)したり、[機密データ自動検出設定にそれを追加](discovery-asdd-account-configure.md)したりできます。その後、Macie はそのリストを使用してデータを分析します。Macie が許可リストのエントリまたはパターンに一致するテキストを見つけても、機密データの検出結果、統計、その他のタイプの結果にそのテキストの出現は報告しません。
アジアパシフィック (大阪) リージョンを除く AWS リージョン Macie が現在利用可能なすべての で許可リストを管理および使用できます。
**Topics**
+ [許可リストの設定オプション](allow-lists-options.md)
+ [許可リストの作成](allow-lists-create.md)
+ [許可リストのステータスを確認する](allow-lists-status-check.md)
+ [許可リストの変更](allow-lists-change.md)
+ [許可リストを削除する](allow-lists-delete.md)
# 許可リストの設定オプションと要件
Amazon Macie では、Amazon Simple Storage Service (Amazon S3) オブジェクトに機密データがあるか検査するときに無視すべきテキストまたはテキストパターンを、許可リストを使用して指定できます。Macie には、定義済みのテキストと正規表現の 2 タイプの許可リストのオプションが用意されています。
定義済みテキストのリストは、機密性があると見なさない特定の単語、フレーズ、その他のタイプの文字列を無視させたい場合に役立ちます。例としては、組織の公的担当者の名前、特定の電話番号、組織がテストに使用する特定のサンプルデータなどがあります。Macie は、マネージドデータ識別子またはカスタムデータ識別子の基準に一致し、許可リストのエントリとも一致するテキストを見つけた場合、機密データ検出結果、統計、その他のタイプの結果にそのテキストが存在することを報告しません。
正規表現 (*regex*) は、共通のパターンに準拠させつつ、変更する、または変更される可能性が高いテキストを Macie に無視するようにしたい場合に役立ちます。regex は、無視するテキストパターンを指定します。例としては、組織の公開電話番号、組織のドメインのメールアドレス、組織がテストに使用するパターン化されたサンプルデータなどがあります。Macie は、マネージドデータ識別子またはカスタムデータ識別子の基準に一致し、許可リストの regex パターンとも一致するテキストを見つけた場合、機密データ検出結果、統計、その他のタイプの結果にそのテキストが存在することを報告しません。
アジアパシフィック (大阪) リージョンを除く AWS リージョン Macie が現在利用可能なすべての で、両方のタイプの許可リストを作成して使用できます。許可リストを作成および管理する際には、次のオプションと要件を念頭に置いてください。また、郵送先住所のリストエントリと regex パターンはサポートされていないことにも注意してください。
**Contents**
+ [定義済みテキストのリストのオプションと要件](#allow-lists-options-s3list)
+ [構文要件](#allow-lists-options-s3list-syntax)
+ [ストレージの要件](#allow-lists-options-s3list-storage)
+ [暗号化/復号化の要件](#allow-lists-options-s3list-encryption)
+ [設計上の考慮事項と推奨事項](#allow-lists-options-s3list-notes)
+ [正規表現のオプションと要件](#allow-lists-options-regex)
+ [構文サポートと推奨事項](#allow-lists-options-regex-syntax)
+ [例](#allow-lists-options-regex-examples)
## 定義済みテキストのリストのオプションと要件
このタイプの許可リストでは、無視する特定の文字シーケンスを列挙した行区切りのプレーンテキストファイルを用意します。このタイプのリストには、通常、機密性が低く、変更される可能性が低く、必ずしも共通のパターンに従っているとは限らない特定の単語、フレーズ、その他の種類の文字列が含まれています。このタイプのリストを使用する場合、Amazon Macie はリスト内のエントリと完全に一致するテキストの出現を報告しません。Macie は、各リストエントリを文字列リテラル値として扱います。
このタイプの許可リストを使用するには、まずテキストエディターでリストを作成し、プレーンテキストファイルとして保存します。次に、リストを S3 汎用バケットにアップロードします。また、バケットとオブジェクトのストレージと暗号化の設定によって Macie がリストを取得および復号化できることを確認します。次に、Macie で[リストを作成して設定を行います](allow-lists-create.md)。
Macie で設定を設定したら、アカウントまたは組織の代表的な小さなデータセットを使用して許可リストをテストすることをお勧めします。リストをテストするには、[1 回限りのジョブを作成します](discovery-jobs-create.md)。データ分析に通常使用するマネージドデータ識別子とカスタムデータ識別子に加えて、リストを使用するようにジョブを設定します。その後、ジョブの結果 (機密データの検出結果、機密データの検出結果、あるいはその両方) を確認できます。ジョブの結果が予想と異なる場合は、期待どおりの結果になるまでリストを変更してテストできます。
許可リストの設定とテストが完了したら、そのリストを使用する追加のジョブを作成・設定したり、アカウントの機密データ自動検出の設定に追加したりできます。これらのジョブの実行が開始されるか、次の自動検出分析サイクルが開始されると、Macie は Amazon S3 から最新バージョンのリストを取得し、一時メモリに保存します。その後、Macie は S3 オブジェクトに機密データがないか検査するときに、リストの一時的なコピーを使用します。ジョブの実行が終了するか、分析サイクルが完了すると、Macie はリストのコピーをメモリから完全に削除します。このリストは Macie では保持されません。Macie ではリストの設定のみが保持されます。
**重要**
Macie では定義済みのテキストのリストは保持されないため、[許可リストのステータスを定期的に確認する](allow-lists-status-check.md)ことが重要です。ジョブまたは自動検出で使用するように設定したリストを Macie が取得または解析できない場合、Macie はそのリストを使用しません。これにより、リストに指定したテキストの機密データが見つかるなど、予期しない検出結果が生じる可能性があります。
**Topics**
+ [構文要件](#allow-lists-options-s3list-syntax)
+ [ストレージの要件](#allow-lists-options-s3list-storage)
+ [暗号化/復号化の要件](#allow-lists-options-s3list-encryption)
+ [設計上の考慮事項と推奨事項](#allow-lists-options-s3list-notes)
### 構文要件
このタイプの許可リストを作成するときは、リストのファイルに関する次の要件に注意してください。
+ リストは、.txt、.text、.plain ファイルなどのプレーンテキスト `text/plain` ファイルとして保存する必要があります。
+ リストでは、個々のエントリを改行して区切る必要があります。例えば、次のようになります。
```
Akua Mansa
John Doe
Martha Rivera
425-555-0100
425-555-0101
425-555-0102
```
Macie は各行をリスト内の 1 つの個別のエントリとして扱います。ファイルには読みやすくするために空白行を含めることもできます。Macie はファイルを解析する際に空白行をスキップします。
+ 各エントリには、1~90 の UTF-8 文字を含めることができます。
+ テキストの完全一致が無視されるようにするためには、各エントリが完全である必要があります。Macie はエントリのワイルドカード文字または部分的な値の使用をサポートしていません。Macie は、各エントリを文字列リテラル値として扱います。一致では大文字と小文字は区別されません。
+ このファイルには 1~100,000 個のエントリを含めることができます。
+ 添付されたファイルの合計サイズが 35 MB を超えることはできません。
### ストレージの要件
Amazon S3 で許可リストを追加および管理するときは、以下のストレージ要件と推奨事項に注意してください。
+ **リージョンサポート** – 許可リストは、Macie アカウント AWS リージョン と同じ にあるバケットに保存する必要があります。Macie は、許可リストが別のリージョンに保存されている場合、その許可リストにアクセスできません。
+ **バケットの所有権** – 許可リストは、 が所有するバケットに保存する必要があります AWS アカウント。他のアカウントに同じ許可リストを使用させたい場合は、Amazon S3 レプリケーションルールを作成して、それらのアカウントが所有するバケットにリストを複製することを検討してください。S3オブジェクトのレプリケーションについては、Amazon Simple Storage Service ユーザーガイドの[オブジェクトのレプリケート](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication.html)を参照してください。
さらに、 AWS Identity and Access Management (IAM) ID には、リストを保存するバケットとオブジェクトへの読み取りアクセス権が必要です。そうしないと、Macie を使用してリストの設定を作成または更新したり、リストのステータスを確認したりできなくなります。
+ **ストレージタイプとクラス** – 許可リストは、ディレクトリバケットではなく、汎用バケットに保存する必要があります。また、Reduced Redundancy (RRS)、S3 Glacier Instant Retrieval、S3 Intelligent-Tiering、S3 One Zone-IA、S3 Standard、または S3 Standard-IA のいずれかのストレージクラスを使用して保存する必要があります。
+ **バケットポリシー** — 制限付きバケットポリシーを持つバケットに許可リストを格納する場合、そのポリシーが、Macie がリストの取得を許可していることを確認してください。これを行うには、Macie のサービスにリンクされたロールの条件をバケットポリシーに追加できます。詳細については、[Macie が S3 バケットおよびオブジェクトにアクセスすることを許可する](monitoring-restrictive-s3-buckets.md)を参照してください。
また、ポリシーが、IAM アイデンティティがバケットへの読み取りアクセス権を持つことを許可していることを確認してください。そうしないと、Macie を使用してリストの設定を作成または更新したり、リストのステータスを確認したりできなくなります。
+ **オブジェクトパス** — Amazon S3 に複数の許可リストを保存する場合、各リストのオブジェクトパスは一意である必要があります。つまり、各許可リストはそれぞれ独自の S3 オブジェクトに個別に保存する必要があります。
+ **バージョニング** - バケットに許可リストを追加するときは、バケットのバージョニングも有効にすることをお勧めします。その後、日付と時刻の値を使用して、リストのバージョンと、そのリストを使用する機密データ検出ジョブの結果や機密データ自動検出サイクルの結果を関連付けることができます。これは、実施するデータプライバシーと保護の監査または調査に役立ちます。
+ **オブジェクトロック** — 許可リストが一定期間または無期限に削除または上書きされないようにするには、リストを保存するバケットのオブジェクトロックを有効にします。この設定を有効にしても Macie がリストにアクセスできなくなるわけではありません。この設定の詳細については、*Amazon Simple Storage Service ユーザーガイド*の[「オブジェクトロックによるオブジェクトのロック](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock.html)」を参照してください。
### 暗号化/復号化の要件
Amazon S3 で許可リストを暗号化する場合、通常、[Macie のサービスにリンクされたロール](service-linked-roles.md)のアクセス許可ポリシーは、リストの復号化に必要なアクセス許可をMacie に付与します。ただし、これは使用された暗号化のタイプによって異なります。
+ Amazon S3 マネージドキー (SSE-S3) を使用したサーバー側の暗号化によりリストが暗号化されている場合、Macie はリストを復号化できます。Macie アカウントのサービスにリンクされたロールは、Macie に必要なアクセス許可を付与します。
+ AWS マネージド AWS KMS key (DSSE-KMS または SSE-KMS) によるサーバー側の暗号化を使用してリストが暗号化されている場合、Macie はリストを復号できます。Macie アカウントのサービスにリンクされたロールは、Macie に必要なアクセス許可を付与します。
+ カスタマーマネージド AWS KMS key (DSSE-KMS または SSE-KMS) を用いたサーバー側の暗号化を使用してリストが暗号化されている場合、Macie によるキーの使用が許可されている場合にのみ、Macie はリストを復号化できます。これを行う方法については、「[Macie にカスタマーマネージドの使用を許可する AWS KMS key](discovery-supported-encryption-types.md#discovery-supported-encryption-cmk-configuration)」を参照してください。
**注記**
リストは、外部キーストア AWS KMS key でカスタマーマネージド型で暗号化できます。ただし、そのキーは、完全に AWS KMS内で管理されるキーよりも遅く、信頼性が低くなる可能性があります。レイテンシーや可用性の問題により Macie がリストを復号化できない場合、Macie は S3 オブジェクトの分析にリストを使用しません。これにより、リストに指定したテキストの機密データが見つかるなど、予期しない検出結果が生じる可能性があります。このリスクを軽減するには、そのキーを S3 バケットキーとして使用するように設定された S3 バケットにリストを保存することを検討してください。
外部キーストアで KMS キーを使用する方法については、AWS Key Management Service デベロッパーガイドの[外部キーストア](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-external.html)を参照してください。S3 バケットキー使用の詳細については、Amazon Simple Storage Service ユーザーガイドの、[Amazon S3 バケットキーを使用した SSE-KMS のコストの削減](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html)を参照してください。
+ 顧客提供キーを使用したサーバー側の暗号化 (SSE-C)、またはクライアント側の暗号化を使用してリストが暗号化されている場合、Macie はリストを復号化できません。代わりに、SSE-S3、DSSE-KMS、または SSE-KMS 暗号化を使用することを検討してください。
リストが AWS マネージド KMS キーまたはカスタマーマネージド KMS キーで暗号化されている場合、 AWS Identity and Access Management (IAM) ID にもキーの使用を許可する必要があります。そうしないと、Macie を使用してリストの設定を作成または更新したり、リストのステータスを確認したりできなくなります。KMS キーのアクセス許可を確認または変更する方法については、AWS Key Management Service デベロッパーガイドの[キーポリシー AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)を参照してください。
Amazon S3 データの暗号化オプションの詳細については、「*Amazon Simple Storage Service ユーザーガイド*」の「[暗号化を使用したデータの保護](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingEncryption.html)」を参照してください。
### 設計上の考慮事項と推奨事項
一般的に、Macieは許可リストの各エントリーを文字列リテラル値として扱います。つまり、Macie は許可リストのエントリ全体と完全に一致するテキストの出現をすべて無視します。一致では大文字と小文字は区別されません。
ただし、Macie はそれらのエントリをより大規模なデータ抽出および分析フレームワークの一部として使用します。このフレームワークには、文法や構文のバリエーション、そして多くの場合はキーワードの近接性などの次元を考慮に入れる機械学習とパターンマッチング機能が含まれています。このフレームワークは、S3 オブジェクトのファイルタイプまたはストレージ形式も考慮します。そのため、許可リストにエントリを追加して管理する際には、次の考慮事項と推奨事項に留意してください。
**さまざまなファイルタイプや保存形式に備える**
Adobe Portable Document Format (.pdf) ファイル内のテキストなどの非構造化データでは、Macie は許可リストのエントリ全体と完全に一致するテキスト (複数行またはページにまたがるテキストを含む) を無視します。
CSV ファイルの列データや JSON ファイルのレコードベースのデータなどの構造化データでは、すべてのテキストが 1 つのフィールド、セル、または配列に格納されている場合、Macie は許可リストのエントリ全体と完全に一致するテキストを無視します。この要件は、.pdf ファイル内のテーブルなど、非構造であるファイルに格納されている構造化データには適用されません。
例えば、CSV ファイル内の次の内容を考えてください。
```
Name,Account ID
Akua Mansa,111111111111
John Doe,222222222222
```
`Akua Mansa` と `John Doe` が許可リストに登録されている場合、Macie は CSV ファイル内のそれらの名前を無視します。各リストエントリの全テキストは 1 つの `Name` フィールドに保存されます。
逆に、以下の列とフィールドを含む CSV ファイルを考えてみましょう。
```
First Name,Last Name,Account ID
Akua,Mansa,111111111111
John,Doe,222222222222
```
`Akua Mansa` と `John Doe` が許可リストに登録されている場合、Macie は CSV ファイル内のそれらの名前を無視しません。CSV ファイルのどのフィールドにも、許可リストのエントリの全テキストは含まれていません。
**一般的なバリエーションを含める**
数値データ、固有名詞、用語、および英数字の文字列の一般的なバリエーションのエントリを追加します。たとえば、単語間にスペースが 1 つしかない名前やフレーズを追加する場合は、単語の間にスペースを 2 つ含むバリエーションも追加します。同様に、特殊文字を含む単語と含まない単語やフレーズを追加し、一般的な構文や意味のバリエーションを含めることを検討してください。
たとえば、米国の電話番号425-555-0100の場合は、次のエントリを許可リストに追加するとよいでしょう。
```
425-555-0100
425.555.0100
(425) 555-0100
+1-425-555-0100
```
多国籍の文脈における日付2022 年 2 月 1 日には、特殊文字を含むバリエーションと含まないバリエーションを含む、英語とフランス語の一般的な構文バリエーションを含むエントリを追加します。
```
February 1, 2022
1 février 2022
1 fevrier 2022
Feb 01, 2022
1 fév 2022
1 fev 2022
02/01/2022
01/02/2022
```
人物の名前には、機密ではないと思われるさまざまな形式の名前のエントリを含めてください。たとえば、名前の後に姓、姓の後に名前、名前と姓を 1 スペースで区切る、名前と姓を 2 つのスペースで区切る、ニックネームなどを含めます。
たとえばMartha Riveraという名前には、次のように追加します。
```
Martha Rivera
Martha Rivera
Rivera, Martha
Rivera, Martha
Rivera Martha
Rivera Martha
```
多くの部分を含む特定の名前のバリエーションを無視したい場合は、代わりに正規表現を使用する許可リストを作成します。たとえば、Dr. Martha Lyda Rivera, PhDという名前には、次の正規表現を使用します。`^(Dr. )?Martha\s(Lyda|L\.)?\s?Rivera,?( PhD)?$`
## 正規表現のオプションと要件
このタイプの許可リストの場合、無視するテキストパターンを定義する正規表現 (*regex*) を指定します。例えば、組織の公開電話番号、組織のドメインのメールアドレス、組織がテストに使用するパターン化されたサンプルデータなどを指定します。regex は、機密と見なされない特定のタイプのデータに共通のパターンを定義します。このタイプの許可リストを使用する場合、Amazon Macie は指定されたパターンに完全に一致するテキストの出現を報告しません。無視する定義済みのテキストを指定する許可リストとは異なり、正規表現と他のすべてのリスト設定を Macie に作成して保存します。
このタイプの許可リストを作成または更新すると、リストを保存する前にサンプルデータを使用してリストの regex をテストできます。これは、複数のサンプルデータセットで行うことをお勧めします。あまりにも一般的な regex を作成すると、Macie は機密と見なされるテキストの出現を無視する可能性があります。regex が具体的すぎると、Macie は機密と見なされないテキストの出現を無視しない可能性があります。不正な形式または長時間実行される表現から保護するために、Macie はサンプルテキストのコレクションに対して正規表現 regex を自動的にコンパイルしてテストし、対処すべき問題を通知します。
さらにテストを行うには、アカウントまたは組織の代表的な小さなデータセットを使用してリストの regex をテストすることもお勧めします。そのためには、[1 回限りのジョブを作成します](discovery-jobs-create.md)。データ分析に通常使用するマネージドデータ識別子とカスタムデータ識別子に加えて、リストを使用するようにジョブを設定します。その後、ジョブの結果 (機密データの検出結果、機密データの検出結果、あるいはその両方) を確認できます。ジョブの結果が予想と異なる場合は、期待どおりの結果になるまで regex を変更してテストできます。
許可リストを設定してテストしたら、それを使用する追加のジョブを作成して設定したり、アカウントの機密データ自動検出の設定に追加したりできます。これらのジョブが実行されるか、Macie が自動検出を実行すると、Macie はリストの regex の最新バージョンを使用してデータを分析します。
**Topics**
+ [構文サポートと推奨事項](#allow-lists-options-regex-syntax)
+ [例](#allow-lists-options-regex-examples)
### 構文サポートと推奨事項
許可リストでは、512 文字までの正規表現 (正規表現) を指定できます。Macie は、[Perl 互換正規表現 (PCRE) ライブラリ](https://www.pcre.org/)によって提供される正規表現パターン構文のサブセットをサポートしています。PCRE ライブラリによって提供される設定のうち、Macie は次のパターン要素をサポートしていません。
+ バックリファレンス
+ キャプチャグループ
+ 条件付きパターン
+ 埋め込みコード
+ グローバルパターンフラグ (`/i`、`/m`、および `/x` など)
+ 再帰的なパターン
+ 正と負のルックビハインドおよびルックアヘッドのゼロ幅アサーション (`?=`、`?!`、`?<=`、および `?
以下の例は、いくつかの一般的なシナリオで有効な regex パターンを示しています。
**[E メールアドレス]**
カスタムデータ識別子を使用してE メールアドレスを検出する場合、組織の電子メールアドレスなど、機密と見なされない電子メールアドレスは無視できます。
特定のセカンドレベルドメインとトップレベルドメインのメールアドレスを無視するには、次のパターンを使用できます。
`[a-zA-Z0-9_.+\\-]+@example\.com`
ここで、*example* は第 2 レベルドメインの名前で、*com* は最上位ドメインです。この場合、Macie は johndoe@example.com や john.doe@example.com などのアドレスを一致させ無視します。
.com や .gov などの汎用トップレベルドメイン (gTLD) の特定のドメインのメールアドレスを無視するには、次のパターンを使用できます。
`[a-zA-Z0-9_.+\\-]+@example\.[a-zA-Z]{2,}`
ここで、*example* はドメインの名前です。この場合、Macie は johndoe@example.com や john.doe@example.com などのアドレスを一致させ無視します。
カナダの .ca、オーストラリアの .au など、単一国コード最上位ドメイン (ccTLD) 内の特定のドメインのメールアドレスを無視するには、次のパターンを使用できます。
`[a-zA-Z0-9_.+\\-]+@example\.(ca|au)`
ここで、*example* はドメインの名前で、*ca* および *au* は無視すべき特定のccTLDs です。この場合、Macie は johndoe@example.com や john.doe@example.com などのアドレスを一致させ無視します。
特定のドメインと gTLD 用で、第 3 レベルと第 4 レベルのドメインを含むメールアドレスを無視するには、次のパターンを使用できます。
`[a-zA-Z0-9_.+\\-]+@([a-zA-Z0-9-]+\.)?[a-zA-Z0-9-]+\.example\.com`
ここで、*example* はドメインの名前で、*com* はgTLD です。この場合、Macie は johndoe@example.com や john.doe@example.com などのアドレスを一致させ無視します。
**電話番号**
Macie は、複数の国や地域の電話番号を検出できるマネージドデータ識別子を提供しています。組織の通話料無料番号や公開電話番号など、特定の電話番号を無視するには、次のようなパターンを使用できます。
市外局番 800 を使用した、(800) \$1\$1\$1-\$1\$1\$1\$1 という形式の米国の通話料無料番号を無視するには:
`^\(?800\)?[ -]?\d{3}[ -]?\d{4}$`
市外局番 888 を使用した、(888) \$1\$1\$1-\$1\$1\$1\$1 という形式の米国の通話料無料番号を無視するには:
`^\(?888\)?[ -]?\d{3}[ -]?\d{4}$`
33 の国コードを含み、\$133 \$1\$1 \$1\$1 \$1\$1 \$1\$1 \$1\$1という形式の 10 桁のフランスの電話番号を無視するには:
`^\+33 \d( \d\d){4}$`
特定の市外局番と交換コードを使用し、国コードが含まれず、(\$1\$1\$1) \$1\$1\$1-\$1\$1\$1\$1という形式の米国およびカナダの電話番号を無視するには:
`^\(?123\)?[ -]?555[ -]?\d{4}$`
*123* はエリアコード、*555* は交換コードです。
特定の市外局番と交換コードを使用し、国コードが含まれ、\$11 (\$1\$1\$1) \$1\$1-\$1\$1\$1\$1\$1 という形式の米国およびカナダの電話番号を無視するには:
`^\+1\(?123\)?[ -]?555[ -]?\d{4}$`
*123* はエリアコード、*555* は交換コードです。
# 許可リストの作成
Amazon Macie では、許可リストによって、Macie が機密データの Amazon Simple Storage Service (Amazon S3) オブジェクトを検査する際に無視する特定のテキストまたはテキストパターンを定義します。テキストが許可リストのエントリまたはパターンに一致する場合、Macie は機密データの検出結果、統計、その他のタイプの結果のテキストを報告しません。これは、テキストが[マネージドデータ識別子](managed-data-identifiers.md)または[カスタムデータ識別子](custom-data-identifiers.md)の基準と一致する場合も当てはまります。
Macie では次のタイプの許可リストを作成できます。
**定義済みのテキスト**
このタイプのリストには、通常、機密性が低く、変更される可能性が低く、必ずしも共通のパターンに従っているとは限らない特定の単語、フレーズ、その他の種類の文字列が含まれています。例としては、組織の公的担当者の名前、特定の電話番号、組織がテストに使用する特定のサンプルデータなどがあります。このタイプのリストを使用する場合、Macie はリスト内のエントリに完全に一致するテキストを無視します。
このタイプのリストでは、無視する特定のテキストを列挙した行区切りのプレーンテキストファイルを作成します。次に、S3 バケットにファイルを保存し、バケット内のリストにアクセスするための Macie の設定を設定します。その後、そのリストを使用するように機密データ検出ジョブを作成して設定したり、機密データ自動検出設定にリストを追加したりできます。各ジョブの実行が開始されるか、次の自動検出分析サイクルが開始されると、Macie は Amazon S3 から最新バージョンのリストを取得します。その後、Macie はそのバージョンのリストを使用して S3 オブジェクトに機密データがないか検査します。Macie がリスト内のエントリに完全に一致するテキストを見つけた場合、Macie はテキストの出現を機密データとして報告しません。
**正規表現**
無視するテキスト・パターンを定義する正規表現 (正規表現)を指定するには、このタイプのリストを使う。例としては、組織の公開電話番号、組織のドメインのメールアドレス、組織がテストに使用するパターン化されたサンプルデータなどがあります。このタイプのリストを使用する場合、Macie はリストで定義された正規表現パターンに完全に一致するテキストを無視します。
このタイプのリストでは、機密性はないが変更する、または変更される可能性が高いテキストの共通のパターンを定義する正規表現を作成します。定義済みテキストのリストとは異なり、正規表現と他のすべてのリスト設定を作成して Macie に保存します。その後、そのリストを使用するように機密データ検出ジョブを作成して設定したり、機密データ自動検出設定にリストを追加したりできます。これらのジョブが実行されるか、Macie が自動検出を実行すると、Macie はリストの regex の最新バージョンを使用してデータを分析します。Macie がリストで定義されたパターンに完全に一致するテキストを見つけた場合、Macie はテキストの出現を機密データとして報告しません。
詳細な要件、推奨事項、および各タイプのリストの例については、「[許可リストの設定オプションと要件](allow-lists-options.md)」を参照してください。
サポートされている各 に最大 10 個の許可リストを作成できます AWS リージョン。事前定義されたテキストを指定する許可リストは最大 5 個、正規表現を指定する許可リストは最大 5 個です。アジアパシフィック (大阪) リージョンを除く AWS リージョン Macie が現在利用可能なすべての で許可リストを作成して使用できます。
**許可リストを作成するには**
許可リストの作成方法は、作成するリストのタイプによって異なります。つまり、無視する定義済みテキストが記載されているファイル、または無視するテキストパターンを定義する正規表現です。以下のセクションでは、各タイプの手順について説明します。作成するリストのタイプに対応するセクションを選択します。
## 定義済みのテキスト
Macie でこのタイプの許可リストを作成する前に、次の手順を実行します。
1. テキストエディタを使用して、無視する特定のテキスト (.txt、.text、.plain ファイルなど) をリストした行区切りのプレーンテキストファイルを作成します。詳細については、「[構文要件](allow-lists-options.md#allow-lists-options-s3list-syntax)」を参照してください。
1. ファイルを S3 汎用バケットにアップロードし、バケットとオブジェクトの名前を書き留めます。Macie で設定を設定するときに、これらの名前を入力する必要があります。
1. S3 バケットとオブジェクトの設定で、あなたと Macie がバケットからリストを取得できることを確認してください。詳細については、「[ストレージの要件](allow-lists-options.md#allow-lists-options-s3list-storage)」を参照してください。
1. S3 オブジェクトを暗号化した場合、ユーザーと Macie が使用を許可されているキーを用いて暗号化されていることも確認してください。詳細については、「[暗号化/復号化の要件](allow-lists-options.md#allow-lists-options-s3list-encryption)」を参照してください。
これらのタスクを完了すると、Macie でリストの設定を行う準備が整います。Amazon Macie コンソールまたは Amazon Macie API を使用して、設定を定義できます。
------
#### [ Console ]
Amazon Macie コンソールを使用して許可リストの設定を定義するには、次のステップに従います。
**Macie で許可リスト設定を設定するには**
1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。
1. ナビゲーションペインで **設定** の **リスト** を選択します。
1. **[許可リスト]**ページで、**[作成]**を選択します。
1. **[リストのタイプの選択]** で **[定義済みテキスト]** を選択します。
1. **[リスト設定]** で、以下のオプションを使用して許可リストの追加設定を入力します。
+ **リスト名** で、リストの名前を入力します。名前には最大 128 文字を含めることができます。
+ **説明**に、任意に 簡単な説明を入力します。説明には最大 512 文字を含めることができます。
+ **[S3 バケット名]** には、リストを保存するバケットの名前を入力します。
Amazon S3 では、この値はバケットのプロパティの **[名前]** フィールドにあります。この値では、大文字と小文字が区別されます。また、ワイルドカード文字を使用したり、名前に部分的な値を指定したりしないでください。
+ **[S3 オブジェクト名]** には、リストを保存する S3 オブジェクトの名前を入力します。
Amazon S3 では、この値はオブジェクトのプロパティの **[キー]**フィールドにあります。名前にパスが含まれる場合は、名前を入力するときにたとえば **allowlists/macie/mylist.txt** のように、完全なパスを含めます。この値では、大文字と小文字が区別されます。また、ワイルドカード文字を使用したり、名前に部分的な値を指定したりしないでください。
1. (オプション) **[タグ]** で **[タグを追加]** を選択し、許可リストに割り当てるタグを 50 個まで入力します。
A*tag* は、特定のタイプの AWS リソースを定義して割り当てるラベルです。各タグは、必要なタグキーとオプションのタグ値で設定されています。タグを使用することで、目的、所有者、環境、その他の条件など、さまざまな方法でリソースを分類および管理できます。詳細については、[Macie リソースにタグ付けする](tagging-resources.md)を参照してください。
1. 完了したら、**作成** を選択します。
Macie はリストの設定をテストします。Macie は、Amazon S3 からリストを取得し、リストのコンテンツを解析できることも確認します。エラーが発生した場合、Macie はエラーを説明するメッセージを表示します。エラーのトラブルシューティングに役立つ詳細情報は[定義済みテキストのリストのオプションと要件](allow-lists-options.md#allow-lists-options-s3list)を参照してください。エラーを解決したら、リストの設定を保存できます。
------
#### [ API ]
許可リスト設定をプログラムで設定するには、Amazon Macie API の [CreateAllowList](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists.html) オペレーションを使用して、必要なパラメータに適切な値を指定します。
`criteria` パラメータには、`s3WordsList` オブジェクトを使用して S3 バケットの名前 `bucketName` と、リストを保存する S3 オブジェクト `objectKey` の名前を指定します。バケット名を確認するには、Amazon S3 の `Name` フィールドを参照してください。オブジェクト名を確認するには、Amazon S3 の `Key` フィールドを参照してください。値 では、大文字と小文字が区別されることに注意してください。また、これらの名前を指定するとき、ワイルドカード文字や部分的な値を使用しないでください。
を使用して設定を構成するには AWS CLI、[create-allow-list](https://docs.aws.amazon.com/cli/latest/reference/macie2/create-allow-list.html) コマンドを実行し、必要なパラメータに適切な値を指定します。以下の例は、*amzn-s3-demo-bucket* という名前の S3 バケットに保存されている許可リストの設定方法を示しています。リストを保存する S3 オブジェクトの名前は *allowlists/macie/mylist.txt* です。
この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。
```
$ aws macie2 create-allow-list \
--criteria '{"s3WordsList":{"bucketName":"amzn-s3-demo-bucket","objectKey":"allowlists/macie/mylist.txt"}}' \
--name my_allow_list \
--description "Lists public phone numbers and names for Example Corp."
```
この例は Microsoft Windows 用にフォーマットされており、読みやすさを向上させるためにキャレット (^) の行継続文字を使用しています。
```
C:\> aws macie2 create-allow-list ^
--criteria={\"s3WordsList\":{\"bucketName\":\"amzn-s3-demo-bucket\",\"objectKey\":\"allowlists/macie/mylist.txt\"}} ^
--name my_allow_list ^
--description "Lists public phone numbers and names for Example Corp."
```
リクエストを送信すると、Macie はリストの設定をテストします。Macie は、Amazon S3 からリストを取得し、リストのコンテンツを解析できることも確認します。エラーが発生した場合、リクエストは失敗し、Macie はエラーを説明するメッセージを返します。エラーのトラブルシューティングに役立つ詳細情報は[定義済みテキストのリストのオプションと要件](allow-lists-options.md#allow-lists-options-s3list)を参照してください。
Macie がリストを取得して解析できた場合、リクエストは成功し、以下に類似した出力が表示されます。
```
{
"arn": "arn:aws:macie2:us-west-2:123456789012:allow-list/nkr81bmtu2542yyexample",
"id": "nkr81bmtu2542yyexample"
}
```
ここで、`arn` は、作成された許可リストの Amazon リソースネーム (ARN)で、`id` は、リストの一意の識別子です。
------
リストの設定を保存したら、そのリストを使用するために[機密データ検出ジョブを作成して設定](discovery-jobs-create.md)したり、[機密データ自動検出の設定にリストを追加](discovery-asdd-account-configure.md)したりできます。これらのジョブの実行が開始されるか、自動検出分析サイクルが開始されるたびに、Macie は Amazon S3 から最新バージョンのリストを取得します。その後、Macie はそのバージョンのリストを使用してデータを分析します。
## 正規表現
正規表現 (正規表現) を指定する許可リストを作成する場合、その正規表現とその他のリスト設定はすべて Macie で直接定義します。正規表現では、Macie は、[Perl 互換正規表現 (PCRE) ライブラリ](https://www.pcre.org/)によって提供されるパターン構文のサブセットをサポートしています。詳細については、「[構文サポートと推奨事項](allow-lists-options.md#allow-lists-options-regex-syntax)」を参照してください。
Amazon Macie コンソールまたは Amazon Macie API を使用して、このタイプのリストを作成できます。
------
#### [ Console ]
Amazon Macie コンソールを使用して許可リストを作成するには、次のステップに従います。
**コンソールを使用して許可リストを作成するには**
1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。
1. ナビゲーションペインで **設定** の **リスト** を選択します。
1. **[許可リスト]** ページで**[作成]**を選択します。
1. **[リストのタイプの選択]** で **[正規表現]** を選択します。
1. **[リスト設定]** で、以下のオプションを使用して許可リストの追加設定を入力します。
+ **リスト名** で、リストの名前を入力します。名前には最大 128 文字を含めることができます。
+ **説明**に、任意に 簡単な説明を入力します。説明には最大 512 文字を含めることができます。
+ **正規表現**には、無視するテキスト・パターンを定義する正規表現を入力する。正規表現には512文字まで含めることができる。
1. (オプション) **[評価]** では、**[サンプルデータ]** ボックスに 1,000 文字まで入力し、**[テスト]** を選択して regex をテストします。Macie はサンプルデータを評価し、正規表現に一致するテキストの出現回数をレポートします。正規表現を調整して最適化するために、このステップを何回でも繰り返すことができます。
**注記**
regex は、複数のサンプルデータセットでテストして調整することをお勧めします。あまりにも一般的な regex を作成すると、Macie は機密と見なされるテキストの出現を無視する可能性があります。regex が具体的すぎると、Macie は機密と見なされないテキストの出現を無視しない可能性があります。
1. (オプション) **[タグ]** で **[タグを追加]** を選択し、許可リストに割り当てるタグを 50 個まで入力します。
A*tag* は、特定のタイプの AWS リソースを定義して割り当てるラベルです。各タグは、必要なタグキーとオプションのタグ値で設定されています。タグを使用することで、目的、所有者、環境、その他の条件など、さまざまな方法でリソースを分類および管理できます。詳細については、[Macie リソースにタグ付けする](tagging-resources.md)を参照してください。
1. 完了したら、**作成** を選択します。
Macie はリストの設定をテストします。Macie は regex をテストして表現をコンパイルできるかどうかも確認します。エラーが発生した場合は、エラーを説明するメッセージ。エラーのトラブルシューティングに役立つ詳細情報は[正規表現のオプションと要件](allow-lists-options.md#allow-lists-options-regex)を参照してください。エラーに対処したら、許可リストを保存できます。
------
#### [ API ]
Macie でこのタイプの許可リストを作成する前に、複数のサンプルデータを使用して正規表現をテストし、調整することをお勧めします。あまりにも一般的な regex を作成すると、Macie は機密と見なされるテキストの出現を無視する可能性があります。regex が具体的すぎると、Macie は機密と見なされないテキストの出現を無視しない可能性があります。
Macie で式をテストするには、Amazon Macie API の [TestCustomDataIdentifier](https://docs.aws.amazon.com/macie/latest/APIReference/custom-data-identifiers-test.html) オペレーションを使用するか、 で [test-custom-data-identifier](https://docs.aws.amazon.com/cli/latest/reference/macie2/test-custom-data-identifier.html) コマンド AWS CLIを実行します。Macie は同じ基本コードを使用して、許可リストとカスタムデータ識別子の表現をコンパイルします。この方法で式をテストする場合は、必ず `regex` と `sampleText` パラメータの値のみを指定してください。これを実行しない場合は、不正確な結果が表示されます。
このタイプの許可リストを作成する準備ができたら、Amazon Macie API の [CreateAllowList](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists.html) オペレーションを使用して、必要なパラメータに適切な値を指定します。`criteria`パラメータでは、`regex` フィールドを使用して、無視するテキストパターンを定義する正規表現を指定します。式には最大 512 文字を含めることができます。
を使用してこのタイプのリストを作成するには AWS CLI、[create-allow-list](https://docs.aws.amazon.com/cli/latest/reference/macie2/create-allow-list.html) コマンドを実行し、必要なパラメータに適切な値を指定します。次の例では、*my\$1allow\$1list* という名前の許可リストを作成します。regex は、カスタムデータ識別子が検出した可能性がある `example.com` ドメインのすべての電子メールアドレスを無視するように設計されています。
この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。
```
$ aws macie2 create-allow-list \
--criteria '{"regex":"[a-z]@example.com"}' \
--name my_allow_list \
--description "Ignores all email addresses for Example Corp."
```
この例は Microsoft Windows 用にフォーマットされており、読みやすさを向上させるためにキャレット (^) の行継続文字を使用しています。
```
C:\> aws macie2 create-allow-list ^
--criteria={\"regex\":\"[a-z]@example.com\"} ^
--name my_allow_list ^
--description "Ignores all email addresses for Example Corp."
```
リクエストを送信すると、Macie はリストの設定をテストします。Macie は regex をテストして表現をコンパイルできるかどうかも確認します。エラーが発生した場合、リクエストは失敗し、Macie はエラーを説明するメッセージを返します。エラーのトラブルシューティングに役立つ詳細情報は[正規表現のオプションと要件](allow-lists-options.md#allow-lists-options-regex)を参照してください。
Macie が表現をコンパイルできた場合、リクエストは成功し、次のような出力が表示されます。
```
{
"arn": "arn:aws:macie2:us-west-2:123456789012:allow-list/km2d4y22hp6rv05example",
"id": "km2d4y22hp6rv05example"
}
```
ここで、`arn` は、作成されたフィルタールールの Amazon リソースネーム (ARN)で、`id` は、ルールの一意の識別子です。
------
リストを保存したら、それを使用するために[機密データ検出ジョブを作成して設定](discovery-jobs-create.md)したり、[機密データ自動検出の設定にそれを追加](discovery-asdd-account-configure.md)したりできます。これらのジョブが実行されるか、Macie が自動検出を実行すると、Macie はリストの regex の最新バージョンを使用してデータを分析します。
# 許可リストのステータスを確認する
許可リストを作成したら、そのステータスを定期的に確認することが重要です。そうしないと、エラーにより Amazon Macie が Amazon Simple Storage Service (Amazon S3) データについて予期しない分析結果を生成する可能性があります。例えば、Macie では、許可リストで指定したテキストの機密データ検出結果を作成する可能性があります。
機密データ検出ジョブを許可リストを使用するように設定し、ジョブの実行開始時に Macie がそのリストにアクセスできない、または使用できない場合、ジョブは引き続き実行されます。ただし、Macie は S3 オブジェクトを分析するときにはリストを使用しません。同様に、機密データを自動検出する分析サイクルが開始され、Macie が指定された許可リストにアクセスできない、または使用できない場合、分析は続行されますが、Macie はそのリストを使用しません。
正規表現 (*正規表現*) を指定する許可リストでは、エラーが発生する可能性はほとんどありません。これは、リストの設定を作成または更新すると、Macie が自動的に regex をテストすることが一因です。さらに、regex と他のすべてのリスト設定を Macie に保存します。
ただし、事前定義されたテキストを指定する許可リストではエラーが発生する可能性があります。これは、リストを Macie ではなく Amazon S3 に保存したことが一因です。一般的なエラーの原因は次のとおりです。
+ S3 バケットまたはオブジェクトが削除されている。
+ S3 バケットまたはオブジェクトの名前が変更されたが、Macie のリストの設定には新しい名前が指定されていない。
+ S3 バケットのアクセス許可設定が変更され、Macie はバケットとオブジェクトにアクセスできない。
+ S3 バケットの暗号化設定が変更され、Macie はリストを保存するオブジェクトを復号化できない。
+ 暗号化キーのポリシーが変更され、Macie はキーにアクセスできない。Macie はリストを保存する S3 オブジェクトを復号化できない。
**重要**
これらのエラーは分析結果に影響するため、すべての許可リストのステータスを定期的に確認することをお勧めします。許可リストを保存する S3 バケットのアクセス許可または暗号化設定を変更する場合、またはリストの暗号化に使用される AWS Key Management Service (AWS KMS) キーのポリシーを変更する場合にも、これを行うことをお勧めします。
発生したエラーのトラブルシューティングに役立つ詳細情報は[定義済みテキストのリストのオプションと要件](allow-lists-options.md#allow-lists-options-s3list)を参照してください。
**許可リストのステータスを確認するには**
Amazon Macie コンソールまたは Amazon Macie API を使用して、許可リストのステータスを確認できます。コンソールでは、1 ページですべての許可リストのステータスを同時に確認できます。Amazon Macie API を使用する場合は、個々の許可リストのステータスを一度に 1 つずつ確認できます。
------
#### [ Console ]
Amazon Macie コンソールを使用して許可リストのステータスを確認するには、次のステップに従います。
**許可リストのステータスを確認するには**
1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。
1. ナビゲーションペインで **設定** の **リスト** を選択します。
1. **[許可リスト]** ページで [更新]![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/btn-refresh-data.png)を選択します。Macie はすべての許可リストの設定をテストし、**[ステータス]** フィールドを更新して各リストの現在のステータスを示します。
リストに正規表現が指定されている場合、そのステータスは通常 **OK** です。つまり、Macie は式をコンパイルできます。リストに定義済みのテキストが指定されている場合、そのステータスは次の値のいずれかになります。
**OK**
Macie はリストのコンテンツを取得して解析できます。
**アクセスが拒否されました**
Macie はリストが保存されている S3 オブジェクトにアクセスすることが許可されていません。Amazon S3 はオブジェクトを取得するリクエストを拒否しました。Macie が使用を許可されていないカスタマー管理の でオブジェクト AWS KMS key が暗号化されている場合、リストもこのステータスになる可能性があります。
このエラーに対処するには、バケットとオブジェクトのバケットポリシーとその他のアクセス許可設定を確認します。Macie がオブジェクトへのアクセスと取得を許可されていることを確認してください。オブジェクトがカスタマーマネージド AWS KMS キーで暗号化されている場合は、キーポリシーも確認し、Macie がキーの使用を許可されていることを確認します。
**[エラー]**
Macie がリストの内容を取得または解析しようとしたときに、一時的なエラーまたは内部エラーが発生しました。許可リストが Amazon S3 と Macie がアクセスまたは使用できない暗号化キーで暗号化されている場合も、このステータスになる可能性があります。
このエラーを解決するには、数分間待ってから更新![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/btn-refresh-data.png) を再試行してください。ステータスが **エラー** のままの場合は、S3 オブジェクトの暗号化設定を確認してください。オブジェクトが Amazon S3 と Macie がアクセスして使用できるキーで暗号化されていることを確認してください。
**オブジェクトは空です**
Macie は Amazon S3 からリストを取得できますが、リストにはコンテンツが含まれていません。
このエラーに対処するには、Amazon S3 からオブジェクトをダウンロードし、正しいエントリが含まれていることを確認します。エントリが正しければ、Macie のリストの設定を確認してください。指定したバケット名とオブジェクト名が正しいことを確認してください。
**オブジェクトが見つかりません。**
リストは Amazon S3 に存在しません。
このエラーを解決するには、Macie のリストの設定を確認してください。指定したバケット名とオブジェクト名が正しいことを確認してください。
**リソースクォータ**
Macie は Amazon S3 のリストにアクセスできます。ただし、リストのエントリ数またはリストのストレージサイズが、許可リストのクォータを超えています。
このエラーに対処するには、リストを複数のファイルに分割してください。各ファイルに含まれるエントリが 100,000 件未満であることを確認してください。また、各ファイルのサイズが 35 MB 未満であることを確認してください。次に、各ファイルを Amazon S3 にアップロードします。完了したら、Macie でファイルごとに許可リスト設定を設定します。サポートされている各 AWS リージョンで最大 5 つの定義済みテキストのリストを含めることができます。
**スロットル済み**
Amazon S3 はリストを取得するリクエストを抑制しました。
このエラーを解決するには、数分間待ってから更新![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/btn-refresh-data.png) を再試行してください。
**ユーザーアクセスが拒否されました**
Amazon S3 はオブジェクトを取得するリクエストを拒否しました。指定されたオブジェクトが存在する場合、そのオブジェクトへのアクセスは許可されていないか、使用が許可されていない AWS KMS キーで暗号化されています。
このエラーに対処するには、 AWS 管理者と協力して、リストの設定で正しいバケット名とオブジェクト名が指定され、バケットとオブジェクトへの読み取りアクセス権があることを確認します。オブジェクトが暗号化されている場合、使用を許可されているキーを用いて暗号化されていることも確認してください。
1. 特定のリストの設定とステータスを確認するには、リストの名前を選択します。
------
#### [ API ]
許可リストのステータスをプログラムで確認するには、Amazon Macie API の [GetAllowList](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists-id.html) オペレーションを使用します。または、 を使用している場合は AWS CLI、[get-allow-list](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-allow-list.html) コマンドを実行します。
`id` パラメータでは、ステータスを確認する許可リストの一意の識別子を指定します。この識別子を取得するには、[ListAllowLists](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists.html) オペレーションを使用できます。**ListAllowLists** のオペレーションでは、アカウントのすべての許可リストに関する情報を取得します。を使用している場合は AWS CLI、[list-allow-lists](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-allow-lists.html) コマンドを実行してこの情報を取得できます。
**GetAllowList** リクエストを送信すると、Macie は許可リストのすべての設定をテストします。設定で正規表現 (`regex`) が指定されている場合、Macie は表現をコンパイルできることを確認します。設定で定義済みテキスト (`s3WordsList`) のリストが指定されている場合、Macie はリストを取得して解析できることを確認します。
次に Macie は許可リストの詳細を提供する `GetAllowListResponse` オブジェクトを返します。`GetAllowListResponse` オブジェクトで、`status` のオブジェクトは、リストの現在のステータス、つまりステータスコード `code` と、ステータスコードによってはリストのステータスの簡単な説明 `description` を示します。
許可リストに regex が指定されている場合、ステータスコードは通常`OK`で、関連する説明はありません。これは Macie が表現を正常にコンパイルしたことを意味します。
許可リストに定義済みのテキストが指定されている場合、ステータスコードはテスト結果によって異なります。
+ Macie がリストの取得と解析に成功した場合、ステータスコードは `OK` で、関連する説明はありません。
+ エラーが原因で Macie がリストを取得または解析できなかった場合は、ステータスコードと説明は発生したエラーの性質を示します。
可能性のあるステータスコードのリストとそれぞれの説明については、Amazon Macie API リファレンスの [allowListStatus](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists-id.html#allow-lists-id-model-allowliststatus) を参照してください。
------
# 許可リストの変更
許可リストを作成したら、Amazon Macie のリスト設定のほとんどを変更できます。例えば、リストの名前と説明を変更できます。リストのタグを追加および編集することもできます。変更できない設定はリストのタイプだけです。例えば、既存のリストで正規表現 (*regex*) が指定されている場合、そのタイプを事前定義済みのテキストに変更することはできません。
許可リストに定義済みのテキストが指定されている場合は、リスト内のエントリを変更することもできます。これを行うには、エントリが含まれているファイルを更新します。次に、新しいバージョンのファイルを Amazon Simple Storage Service (Amazon S3) にアップロードします。Macie が次にリストを使用する準備をするときに、Macie は Amazon S3 からファイルの最新バージョンを取得します。新しいファイルをアップロードするときは、必ず同じ S3 バケットとオブジェクトに保存してください。または、バケットまたはオブジェクトの名前を変更した場合は、必ず Macie のリストの設定を更新してください。
**許可リストの設定を変更するには**
Amazon Macie コンソールまたは Amazon Macie API を使用して、許可リストの設定を変更できます。
------
#### [ Console ]
Amazon Macie コンソールを使用して許可リストの設定を変更するには、次のステップに従います。
**コンソールを使用して許可リストの設定を変更するには**
1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。
1. ナビゲーションペインで **設定** の **リスト** を選択します。
1. **[許可リスト]** ページで、変更する許可リストの名前を選択します。許可リストページが開き、リストの現在の設定が表示されます。
1. 許可リストのタグを割り当てまたは編集するには、**[タグ]** セクションで、**[タグを管理]** を選択します。次に、必要に応じてタグを変更します。終了したら、**保存** を選択します。
1. 許可リストの他の設定を変更するには、**[リスト設定]**セクションで **[編集]**を選択します。次に、必要に応じて設定を変更してください。
+ **名前** — リストの新しい名前を入力します。名前には最大 128 文字を含めることができます。
+ **説明** — リストの新しい説明を入力します。説明には最大 512 文字を含めることができます。
+ 許可リストに定義済みのテキストが指定されている場合:
+ **S3 バケット名** – リストを保存するバケットの名前を入力します。
Amazon S3 では、この値はバケットのプロパティの **[名前]** フィールドにあります。この値では、大文字と小文字が区別されます。また、ワイルドカード文字を使用したり、名前に部分的な値を指定したりしないでください。
+ **S3 オブジェクト名** – リストを保存する S3 オブジェクトの名前を入力します。
Amazon S3 では、この値はオブジェクトのプロパティの **[キー]**フィールドにあります。名前にパスが含まれる場合は、名前を入力するときにたとえば **allowlists/macie/mylist.txt** のように、完全なパスを含めます。この値では、大文字と小文字が区別されます。また、ワイルドカード文字を使用したり、名前に部分的な値を指定したりしないでください。
+ 許可リストに正規表現(*正規表現*)が指定されている場合は、**[正規表現]** ボックスに新しい正規表現を入力します。正規表現には最大 512 文字を含めることができます。
新しい regex を入力したら、必要に応じてテストします。これを行うには、最大 1,000 文字のテキストを **サンプルデータ** ボックスに入力し、次に **送信** を選択します。Macie はサンプルデータを評価し、検出基準に一致するテキストの出現回数をレポートします。正規表現を調整して最適化してから変更を保存するために、このステップを何回でも繰り返すことができます。
1. 完了したら、**保存** を選択します。
Macie はリストの設定をテストします。定義済みのテキストのリストについては、Macie は Amazon S3 からリストを取得してリストの内容を解析できるかどうかも確認します。regex の場合、Macie は表現をコンパイルできるかどうかも確認します。エラーが発生した場合は、エラーを説明するメッセージ。エラーのトラブルシューティングに役立つ詳細情報は[許可リストの設定オプションと要件](allow-lists-options.md)を参照してください。エラーを解決したら、変更を保存できます。
------
#### [ API ]
許可リストの設定をプログラムで変更するには、Amazon Macie API の [UpdateAllowList](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists-id.html) オペレーションを使用します。または、 を使用している場合は AWS CLI、[update-allow-list](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-allow-list.html) コマンドを実行します。リクエストでは、サポートされているパラメータを使用して、変更する設定ごとに新しい値を指定します。`criteria`、`id`、および `name` パラメータが必要なことに注意してください。必須パラメータの値を変更したくない場合は、パラメータの現在の値を指定します。
たとえば、次のコマンドでは、既存の許可リストの名前と説明を変更します。この例は Microsoft Windows 用にフォーマットされており、読みやすさを向上させるためにキャレット (^) の行連結文字を使用します。
```
C:\> aws macie2 update-allow-list ^
--id km2d4y22hp6rv05example ^
--name my_allow_list-email ^
--criteria={\"regex\":\"[a-z]@example.com\"} ^
--description "Ignores all email addresses for the example.com domain"
```
コードの説明は以下のとおりです。
+ *km2d4y22hp6rv05example* はリストの一意の識別子です。
+ *my\$1allow\$1list-email* はリストの新しい名前です。
+ *a-z@example .com* はリストの基準、正規表現です。
+ リストの新しい説明である *example.com ドメインのメールアドレスをすべて無視します*。
リクエストを送信すると、Macie はリストの設定をテストします。リストに定義済みのテキスト (`s3WordsList`) が指定されている場合、これには Macie が Amazon S3 からリストを取得し、リストのコンテンツを解析できるかどうかの検証も含まれます。リストに regex (`regex`) が指定されている場合は、Macie が表現をコンパイルできるかどうかの検証も含まれます。
Macie が設定をテストしたときにエラーが発生した場合、リクエストは失敗し、Macie はエラーを説明するメッセージを返します。エラーのトラブルシューティングに役立つ詳細情報は[許可リストの設定オプションと要件](allow-lists-options.md)を参照してください。別の理由でリクエストが失敗した場合、Macie は HTTP 4xx またはオペレーションが失敗した理由を示す 500 レスポンスを返します。
リクエストが成功すると、Macie はリストの設定を更新し、次のような出力を受け取ります。
```
{
"arn": "arn:aws:macie2:us-west-2:123456789012:allow-list/km2d4y22hp6rv05example",
"id": "km2d4y22hp6rv05example"
}
```
ここで、`arn` は、更新された許可リストの Amazon リソースネーム (ARN)で、`id` は、リストの一意の識別子です
------
# 許可リストを削除する
Amazon Macie で許可リストを削除すると、リストのすべての設定が完全に削除されます。これらの設定は、削除後は復元できません。設定で Amazon Simple Storage Service (Amazon S3) に保存する定義済みテキストのリストが指定されている場合、Macie はそのリストが保存されている S3 オブジェクトを削除しません。Macie の設定のみが削除されます。
後から削除する許可リストを使用するように機密データ検出ジョブを設定すると、ジョブはスケジュールどおりに実行されます。ただし、機密データ検出結果と機密データ検出結果の両方で、以前に許可リストに指定したテキストがジョブの結果から報告されることがあります。同様に、後から削除するリストを使用するように機密データ自動検出を設定すると、毎日の分析サイクルが続行されます。ただし、機密データの検出結果、統計、その他のタイプの結果では、以前に許可リストに指定したテキストが報告される場合があります。
許可リストを削除する前に、[ジョブインベントリを確認して](discovery-jobs-manage-view.md)、そのリストを使用するジョブで、将来に実行が予定されているジョブを特定することをお勧めします。インベントリの詳細パネルには、ジョブが許可リストを使用するように設定されているかどうか、設定されている場合はどの許可リストを使用するかが示されます。また、[機密データ自動検出の設定を確認する](discovery-asdd-account-configure.md)こともお勧めします。リストを削除するよりも変更する方が良いと判断するかもしれません。
追加の安全対策として、許可リストを削除しようとすると、Macie はすべてのジョブの設定をチェックします。リストを使用するようにジョブを設定していて、それらのジョブのいずれかのステータスが **[完了]** または **[キャンセル]**以外の場合、ユーザーが追加の確認を行わない限り、Macie はリストを削除しません。
**許可リストを削除するには**
Amazon Macie コンソールまたは Amazon Macie API を使用して、許可リストを削除できます。
------
#### [ Console ]
Amazon Macie コンソールを使用して許可リストを削除するには、次のステップに従います。
**コンソールを使用して許可リストを削除するには**
1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。
1. ナビゲーションペインで **設定**の **リスト**を選択します。
1. **許可リスト**ページで、削除する許可リストのチェックボックスをオンにします。
1. **Actions** メニューで、**Delete** を選択します。
1. 確認を求められたら、**delete**と入力してから、**Delete** (削除) を選択します。
------
#### [ API ]
別のアカウントとの関連付けをプログラムで削除するには、Amazon Macie API の [DeleteAllowList](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists-id.html) オペレーションを使用します。`id` パラメータでは、削除する許可リストの一意の識別子を指定します。この識別子は [ListAllowLists](https://docs.aws.amazon.com/macie/latest/APIReference/allow-lists.html) オペレーションを使用して取得できます。**ListAllowLists** のオペレーションでは、アカウントのすべての許可リストに関する情報を取得します。 AWS CLIを使用している場合は、[list-allow-lists](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-allow-lists.html) コマンドを実行してこの情報を取得できます。
機密データ検出ジョブがリストを使用するように設定されている場合でも、`ignoreJobChecks` パラメータにはリストを強制的に削除するかどうかを指定します。
+ `false` を指定した場合、Macie は `COMPLETE` または `CANCELLED` 以外のステータスのすべてのジョブの設定をチェックします。どのジョブもリストを使用するように設定されていない場合、Macie はそのリストを完全に削除します。これらのジョブのいずれかがリストを使用するように設定されている場合、Macie はリクエストを拒否し、HTTP 400 `ValidationException` エラーを返します。エラーメッセージには、最大 200 件のジョブに適用可能なジョブの数が表示されます。
+ `true` を指定した場合、Macie はジョブの設定を確認せずにリストを完全に削除します。
を使用して許可リストを削除するには AWS CLI、[delete-allow-list](https://docs.aws.amazon.com/cli/latest/reference/macie2/delete-allow-list.html) コマンドを実行します。以下に例を示します。
```
C:\> aws macie2 delete-allow-list --id nkr81bmtu2542yyexample --ignore-job-checks false
```
ここで、*nkr81bmtu2542yyexample* は削除する許可リストの一意の識別子です。
リクエストが成功すると、Macie は空の HTTP 200 レスポンスを返します。それ以外の場合、Macie は HTTP 4*xx* またはオペレーションが失敗した理由を示す 500 レスポンスを返します。
------
許可リストに定義済みのテキストが指定されている場合は、リストを格納する S3 オブジェクトをオプションで削除できます。ただし、このオブジェクトを保持すると、データプライバシーと保護の監査または調査に関する機密データの調査結果と検出結果のイミュータブルな履歴を確実に保持できます。
# 機密データ自動検出を実行する
Amazon Simple Storage Service (Amazon S3) のデータ資産内の機密データがどこにあるかを広く把握するには、アカウントまたは組織の機密データを自動検出するように Amazon Macie を設定します。機密データ自動検出により、Macie は S3 バケットインベントリを継続的に評価し、サンプリング技術を使用してバケット内の代表的な S3 オブジェクトを識別して選択します。その後、Macie は選択したオブジェクトを取得して分析し、機密データがないか検査します。
デフォルトでは、Macie は、すべての S3 汎用バケットからオブジェクトを選択して分析します。お客様が組織の Macie 管理者である場合は、この対象に、メンバーアカウントが所有するバケット内のオブジェクトが含まれます。分析の範囲は、特定のバケットを除外して調整できます。例えば、通常は AWS ログデータを保存するバケットを除外できます。お客様が Macie 管理者である場合は、追加のオプションとして、組織内の個々のアカウントの機密データ自動検出をケースバイケースで有効または無効にできます。
特定の種類の機密データに焦点を当てるように分析を調整できます。デフォルトでは、Macie は機密データ自動検出に推奨するマネージドデータ識別子のセットを使用して S3 オブジェクトを分析します。分析を調整するには、Macie が提供する[マネージドデータ識別子](managed-data-identifiers.md)、お客様が定義する[カスタムデータ識別子](custom-data-identifiers.md)、またはこの 2 つの組み合わせを使用するように Macie を設定します。また、指定した[許可リスト](allow-lists.md)を使用するように Macie を設定して、分析を絞り込むこともできます。
分析が毎日進むにつれて、Macie は検出した機密データと実行した分析の記録を作成します。**機密データ検出結果では、Macie が個々の S3 オブジェクト内で検出した機密データが報告され、**機密データ検出結果では個々の S3 オブジェクトの分析に関する詳細が記録されます。Macie は、Amazon S3 データに関して提供する統計、インベントリデータ、およびその他の情報も更新します。例えば、コンソールのインタラクティブなヒートマップでは、データ資産全体のデータ機密性が視覚的に表示されます。
![\[S3 バケットマップ。アカウント別にグループ化され、異なる色で色分けされた S3 バケットごとの四角形が表示されます。\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/scrn-s3-map-small.png)
これらの機能は、Amazon S3 データ資産全体のデータ機密性を評価し、ドリルダウンして個々のアカウント、バケット、オブジェクトを調査して評価するのに役立つように設計されています。また、[機密データ検出ジョブを実行する](discovery-jobs.md)ことで、より詳細で即時に分析を行うべき箇所を判断するのにも役立ちます。Macie が提供する Amazon S3 データのセキュリティとプライバシーに関する情報と組み合わせることで、これらの機能を使用して、即時の修正が必要なケース (Macie が機密データを検出した一般にアクセス可能なバケットなど) を特定することもできます。
機密データ自動検出を設定して管理するには、アカウントがスタンドアロンの Macie アカウントまたは組織の Macie 管理者アカウントである必要があります。
**Topics**
+ [機密データの自動検出の仕組み](discovery-asdd-how-it-works.md)
+ [機密データ自動検出を設定する](discovery-asdd-account-manage.md)
+ [機密データ自動検出の結果を確認する](discovery-asdd-results-s3.md)
+ [機密データ自動検出カバレッジの評価](discovery-coverage.md)
+ [S3 バケットの機密スコアを調整する](discovery-asdd-s3bucket-manage.md)
+ [S3 バケットの機密スコア](discovery-scoring-s3.md)
+ [機密データの自動検出のデフォルト設定](discovery-asdd-settings-defaults.md)
# 機密データの自動検出の仕組み
で Amazon Macie を有効にすると AWS アカウント、Macie は現在の でアカウントの AWS Identity and Access Management (IAM) [サービスにリンクされたロール](service-linked-roles.md)を作成します AWS リージョン。このロールのアクセス許可ポリシーにより、Macie はユーザーに代わって他の を呼び出し AWS のサービス 、 AWS リソースをモニタリングできます。このロールを使用することで、Macie は リージョンで Amazon Simple Storage Service (Amazon S3) 汎用バケットのインベントリを生成および維持します。インベントリには、各 S3 バケットとバケット内のオブジェクトに関する情報が含まれます。お客様が組織の Macie 管理者である場合、インベントリには、メンバーアカウントが所有するバケットに関する情報が含まれます。詳細については、「[複数のアカウントの管理](macie-accounts.md)」を参照してください。
機密データ自動検出が有効になっている場合、Macie はインベントリデータを毎日評価して、自動検出に適する S3 オブジェクトを識別します。評価の一環として、Macie は代表的なオブジェクトのサンプルを選択して分析します。次に、Macie は、選択した各オブジェクトの最新バージョンを取得して分析し、各オブジェクトに機密データがないか検査します。
分析が毎日進むにつれて、Macie は Amazon S3 データについて提供する統計、インベントリデータ、およびその他の情報を更新します。Macie は、検出した機密データや実行した分析の記録も作成します。結果のデータは、Macie が Amazon S3 データ資産内の機密データを検出した場所に関するインサイトを提供します。これは、アカウントのすべての S3 汎用バケットにまたがる可能性があります。このデータは、Amazon S3 データのセキュリティとプライバシーの評価、より詳細な調査の実施の決定、および修復が必要なケースの特定に役立ちます。
機密データの自動検出の仕組みについては、以下の動画をご覧ください。
機密データ自動検出を設定して管理するには、アカウントがスタンドアロンの Macie アカウントまたは組織の Macie 管理者アカウントである必要があります。お客様のアカウントが組織に属している場合、組織内のアカウントの自動検出を有効または無効にできるのはその組織の Macie 管理者のみです。また、そのアカウントの自動検出設定を行い、管理できるのも Macie 管理者のみです。これには、Macie が実行する分析の範囲と性質を定義する設定が含まれます。組織のメンバーアカウントをお持ちの場合は、Macie 管理者に連絡して、アカウントと組織の設定を確認してください。
**Topics**
+ [主要コンポーネント](#discovery-asdd-how-it-works-components)
+ [考慮事項](#discovery-asdd-how-it-works-considerations)
## 主要コンポーネント
Amazon Macie は、さまざまな機能と技術を組み合わせて、機密データ自動検出を実行します。これらは、[セキュリティとアクセスコントロールのために Amazon S3 データを監視する](monitoring-s3-how-it-works.md)のに役立つ Macie 提供の機能と連動します。
**分析する S3 オブジェクトの選択**
Macie は毎日 Amazon S3 インベントリデータを評価して、機密データ自動検出による分析の対象となる S3 オブジェクトを識別します。ユーザーが組織の Macie 管理者である場合、評価にはデフォルトで、メンバーアカウントが所有する S3 バケットのデータが含まれます。
評価の一環として、Macie はサンプリング技術を使用して代表的な S3 オブジェクトを選択し、分析します。この手法は、メタデータが類似していて内容が類似している可能性が高いオブジェクトのグループを定義します。グループは、バケット名、プレフィックス、ストレージクラス、ファイル名拡張子、最終更新日などのディメンションに基づいています。次に、Macie は各グループから代表的なサンプルセットを選択し、選択した各オブジェクトの最新バージョンを Amazon S3 から取得し、選択した各オブジェクトを分析して、オブジェクトに機密データが含まれているかどうかを判断します。分析が完了すると、Macie はオブジェクトのコピーを破棄します。
サンプリング戦略では、分散分析が優先されます。一般的に、Amazon S3 のデータエステートは幅優先のアプローチを採用しています。毎日、Amazon S3 データエステート内の分類可能なすべてのオブジェクトの合計ストレージサイズに基づいて、できるだけ多くのバケットから代表的な汎用 S3 オブジェクトセットが選択されます。例えば、Macie が、あるバケットのオブジェクト内の機密データをすでに分析して発見していて、別のバケットのオブジェクトをまだ分析していない場合、分析の優先順位は後者のバケットの方が高くなります。このアプローチにより、Amazon S3 データの機密性に関する幅広い洞察をより迅速に得ることができます。データエステートの規模にもよりますが、48 時間以内に分析結果が表示されるようになります。
また、サンプリング戦略では、さまざまなタイプの S3 オブジェクトや、最近作成または変更されたオブジェクトの分析も優先されます。単一のオブジェクトサンプルが決定的であるとは限りません。したがって、さまざまなオブジェクトのセットを分析することで、S3 バケットに含まれる機密データのタイプと量をよりよく理解できます。さらに、新しいオブジェクトまたは最近変更されたオブジェクトに優先順位を付けると、バケットインベントリへの変更に分析を適応させるのに役立ちます。例えば、前回の分析の後にオブジェクトが作成または変更された場合、それらのオブジェクトはその後の分析で優先度が高くなります。逆に、オブジェクトが以前に分析され、その分析以降に変更されていない場合、Macie はそのオブジェクトを再度分析しません。このアプローチは、個々の S3 バケットの感度ベースラインを確立するのに役立ちます。その後、アカウントの継続的な段階的な分析が進むにつれて、個々のバケットの感度評価が予測可能な速度でますます深く、詳細になります。
**分析範囲の定義**
デフォルトでは、Macie はインベントリデータを評価し、分析する S3 オブジェクトを選択するときに、アカウントのすべての S3 汎用バケットを含めます。お客様が組織の Macie 管理者である場合、これには、お客さまのメンバーアカウントが所有するバケットが含まれます。
特定の S3 バケットを機密データ自動検出から除外して、分析の範囲を調整できます。例えば、 AWS CloudTrail イベントログなどの AWS ログ記録データを保存するバケットを除外できます。バケットを除外するには、アカウントまたはバケットの自動検出設定を変更できます。これを行うと、Macie は次の日次評価および分析サイクルが始まるときにバケットの除外を開始します。分析から除外できるバケットは 1,000 個までです。S3 バケットを除外する場合、そのバケットは後で再び含めることができます。そのためには、アカウントまたはバケットの設定を再度変更してください。Macie は、次の日次評価と分析のサイクルが始まるとバケットの検出を開始します。
お客様が組織の Macie 管理者である場合は、組織内の個々のアカウントの機密データ自動検出を有効または無効にすることもできます。アカウントの自動検出を無効にすると、Macie は、アカウントが所有するすべての S3 バケットを除外します。その後、アカウントの自動検出を再度有効にすると、Macie では、バケットが再度含まれるようになります。
**検出して報告する機密データのタイプを決定する**
デフォルトでは、Macie は機密データの自動検出に推奨されるマネージドデータ識別子のセットを使用して S3 オブジェクトを検査します。これらのマネージドデータ識別子のリストについては、[機密データの自動検出のデフォルト設定](discovery-asdd-settings-defaults.md) を参照してください。
特定の種類の機密データに焦点を当てるように分析を調整できます。そのためには、自動検出設定を次のいずれかの方法で変更します。
+ **マネージドデータ識別子の追加または削除** – *マネージドデータ識別子*は、クレジットカード番号、 AWS シークレットアクセスキー、特定の国または地域のパスポート番号など、特定のタイプの機密データを検出するように設計された一連の組み込み基準と手法です。詳細については、「[マネージドデータ識別子の使用](managed-data-identifiers.md)」を参照してください。
+ **カスタムデータ識別子を追加またはその後削除する** - *カスタムデータ識別子*は、機密データを検出するために定義する基準のセットです。カスタムデータ識別子を使用すれば、お客様の組織の特定のシナリオ、知的財産、または専有データを反映する機密データを検出できます。例えば、従業員 ID、顧客アカウント番号、内部データの分類などを検出できます。詳細については、「[カスタムデータ識別子の構築](custom-data-identifiers.md)」を参照してください。
+ **許可リストを追加または削除する** – Macie では、許可リストにより、Macie が S3 オブジェクトで無視するテキストまたはテキストパターンを指定します。これらは通常、特定のシナリオや環境における機密データの例外です。例えば、組織の公表名称または電話番号、組織がテストに使用するサンプルデータなどです。詳細については、「[許可リストでの機密データの例外の定義](allow-lists.md)」を参照してください。
設定を変更した場合、Macie は次の日次分析サイクルの開始時に変更を適用します。お客様が組織の Macie 管理者である場合、Macie は、組織内の他のアカウントの S3 オブジェクトを分析するとき、このアカウントの設定を使用します。
バケットレベルの設定を行い、特定のタイプの機密データをバケットの機密性の評価に含めるかどうかを決定することもできます。この方法の詳細は、[S3 バケットの機密スコアを調整する](discovery-asdd-s3bucket-manage.md)を参照してください。
**機密スコアの計算**
デフォルトでは、Macie はアカウントの S3 汎用バケットごとに機密スコアを自動的に計算します。お客様が組織の Macie 管理者である場合、これには、お客さまのメンバーアカウントが所有するバケットが含まれます。
Macie では、機密スコアは、Macie がバケット内で検出した機密データの量と Macie がバケット内で分析したデータの量という 2 つの主要なディメンションの共通集合を定量的に測定したものです。バケットの機密スコアによって、Macie がバケットに割り当てる機密ラベルが決まります。機密ラベルは、バケットの機密スコアを定性的に表したものです。例えば、機密、非機密、分析が未完了などです。Macie が定義する機密性スコアとラベルの範囲の詳細については、[S3 バケットの機密スコア](discovery-scoring-s3.md) を参照してください。
S3 バケットの機密スコアとラベルは、バケットまたはバケットのオブジェクトがお客様またはお客様が属する組織に対して緊急性または重要性を意味したり、示したりするものではありません。代わりに、潜在的なセキュリティリスクの特定とモニタリングに役立つ参照ポイントを提供することを目的としています。
機密データ自動検出を最初に有効にすると、Macie は自動的に 50 の機密スコアと [分析が未完了] ラベルを各 S3 バケットに割り当てます。****ただし、空のバケットは例外です。空のバケット**とは、オブジェクトを一切保存していないバケット、またはバケットのすべてのオブジェクトにゼロ (0) バイトのデータが含まれているバケットです。バケットの場合、Macie はバケットに1のスコアを割り当て、バケットには非機密ラベルを割り当てます。
機密データ自動検出が進むと、Macie は、分析の結果を反映するように機密スコアとラベルを更新します。以下に例を示します。
+ Macie がオブジェクト内の機密データを検出しない場合、必要に応じてMacie はバケットの機密スコアを下げ、バケットの機密ラベルを更新します。
+ Macie がオブジェクト内の機密データを検出すると、必要に応じて Macie はバケットの機密スコアを上げ、バケットの機密ラベルを更新します。
+ その後変更されたオブジェクト内で機密データが検出された場合、Macie は必要に応じてそのオブジェクトの機密データ検出をバケットの機密スコアから削除し、バケットの機密ラベルを更新します。
+ その後削除されたオブジェクト内で機密データが検出された場合、Macie は必要に応じてそのオブジェクトの機密データをバケットの機密スコアから削除し、バケットの機密ラベルを更新します。
特定のタイプの機密データをバケットのスコアに含めたり除外したりすることで、個々の S3 バケットの感度スコアリング設定を調整できます。最大スコア(100) をバケットに手動で割り当てることで、バケットの計算スコアを上書きすることもできます。最大スコアを割り当てると、バケットのラベルは *[機密]* になります。詳細については、「[S3 バケットの機密スコアを調整する](discovery-asdd-s3bucket-manage.md)」を参照してください。
**メタデータ、統計、その他のタイプ結果の生成**
機密データ自動検出を有効にすると、Macie は追加のインベントリデータ、統計、およびアカウントの S3 汎用バケットに関するその他の情報を生成して維持し始めます。お客様が組織の Macie 管理者である場合、これにはデフォルトで、お客さまのメンバーアカウントが所有するバケットが含まれます。
追加情報には、Macie がこれまでに実行した機密データ自動検出アクティビティの結果がキャプチャされます。また、個々のバケットのパブリックアクセスや共有アクセス設定など、Macie が提供する Amazon S3 データに関するその他の情報を補足するものでもあります。追加情報には以下が含まれます。
+ Amazon S3 データエステート全体のデータ機密性をインタラクティブかつ視覚的に表現します。
+ Macie が機密データを検出したバケットの総数や、それらのバケットのうちパブリックにアクセスできるバケットの数など、集約されたデータ機密性統計。
+ 分析の現在のステータスを示すバケットレベルの詳細情報。Macie がバケット内で分析したオブジェクトのリスト、Macie がバケット内で見つけた機密データのタイプ、Macie が見つけた機密データごとの出現回数などです。
この情報には、Amazon S3 データのカバレッジの評価とモニタリングに役立つ統計と詳細も含まれています。データエステート全体と個々の S3 バケットの分析ステータスを確認できます。Macie が特定バケット内のオブジェクトを分析できなかった問題を特定することもできます。問題を修正すれば、その後の分析サイクルで Amazon S3 データのカバレッジを拡大できます。詳細については、「[機密データ自動検出カバレッジの評価](discovery-coverage.md)」を参照してください。
Macie は、機密データ自動検出を実行しながら、この情報を自動的に再計算して更新します。例えば、Macie が S3 オブジェクト内の機密データを検出し、その後変更または削除された場合、Macie は該当するバケットのメタデータを更新します。つまり、分析対象オブジェクトのリストからそのオブジェクトを削除し、Macie がオブジェクト内で検出した機密データを削除して、スコアが自動的に計算された場合は機密スコアを再計算し、必要に応じて新しいスコアを反映するように機密ラベルを更新します。
メタデータと統計に加えて、Macie は検出した機密データおよび実行した分析のレコードを作成します。機密データ調査結果は、Macie が個々の S3 オブジェクト内で検出した機密データを報告し、機密データ検出結果は、個々の S3 オブジェクトの分析に関する詳細を記録します。****
詳細については、「[機密データ自動検出の結果を確認する](discovery-asdd-results-s3.md)」を参照してください。
## 考慮事項
Amazon Macie を設定して使用し、Amazon S3 データの機密データの自動検出を実行する場合、次の点に注意してください。
+ 自動検出設定は、現在の にのみ適用されます AWS リージョン。したがって、結果の分析とデータは、現在のリージョンの S3 汎用バケットとオブジェクトにのみ適用されます。追加のリージョンの自動検出を実行し、結果データにアクセスするには、追加の各リージョンで自動検出を有効化して設定します。
+ ユーザーが組織の Macie 管理者である場合:
+ 現在のリージョンのアカウントで Macie が有効になっている場合にのみ、メンバーアカウントの自動検出を実行できます。さらに、そのリージョン内のアカウントに対して自動検出を有効にする必要があります。メンバーは、自分のアカウントの自動検出を有効または無効にすることはできません。
+ メンバーアカウントの自動検出を有効にすると、Macie は、メンバーアカウントのデータを分析する際、管理者アカウントの自動検出設定を使用します。適用可能な設定は、分析から除外する S3 バケットのリスト、マネージドデータ識別子、カスタムデータ識別子、および S3 オブジェクトの分析時に使用できるリストです。メンバーはこれらの設定を確認または変更できません。
+ メンバーは、自らが所有する個々の S3 バケットの自動検出設定にアクセスできません。例えば、メンバーは、いずれかのバケットの機密スコア設定を確認または調整することはできません。Macie 管理者だけがこれらの設定にアクセスできます。
+ メンバーは、Macie が自分の S3 バケットに直接提供する機密データ検出統計やその他の結果への読み取りアクセスは許可されていません。例えば、メンバーは、Macie を使用して、S3 バケットの機密性スコアとカバレッジデータを確認できます。例外は機密データの検出結果です。自動検出によって生成される検出結果に直接アクセスできるのは Macie 管理者のみです。
+ S3 バケットのアクセス許可設定により、Macie によるバケットまたはバケットのオブジェクトに関する情報のアクセスまたは取得が妨げられている場合、Macie はバケットの自動検出を実行できません。Macie は、バケットを所有 AWS アカウント する のアカウント ID、バケットの名前、Macie が[毎日の更新サイクル](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh)の一部としてバケットとオブジェクトメタデータを最後に取得した日時など、バケットに関する情報のサブセットのみを提供できます。バケットインベントリでは、これらのバケットの機密スコアは50で、その機密ラベルの分析が未完了です。このような状況にある S3 バケットを特定するには、カバレッジデータを参照します。詳細については、「[機密データ自動検出カバレッジの評価](discovery-coverage.md)」を参照してください。
+ 選択と分析の対象となるには、S3 オブジェクトが汎用バケットに保存され、**分類可能である必要があります。分類可能なオブジェクトは、サポートされているAmazon S3ストレージクラスを使用し、サポートされているファイルまたはストレージフォーマットのファイル名拡張子を持っています。詳細については、[サポートされているストレージクラスとフォーマット](discovery-supported-storage.md)を参照してください。
+ S3 オブジェクトが暗号化されている場合、Macie がそれを分析できるのは Macie がアクセス可能で使用を許可されているキーを用いて暗号化されている場合のみです。詳細については、「[暗号化された S3 オブジェクトの分析](discovery-supported-encryption-types.md)」を参照してください。暗号化設定により Macie がバケット内の 1 つ以上のオブジェクトを分析できなかったケースを特定するには、カバレッジデータを参照します。詳細については、「[機密データ自動検出カバレッジの評価](discovery-coverage.md)」を参照してください。
# 機密データ自動検出を設定する
Amazon Simple Storage Service (Amazon S3) のデータエステート内のどこに機密データがあるかを広く把握するには、アカウントまたは組織の機密データ自動検出を有効にして設定します。これにより、Amazon Macie は S3 バケットインベントリを毎日評価し、サンプリング技術を使用してバケットから代表的な S3 オブジェクトを識別して選択します。Macie は、選択したオブジェクトを取得して分析し、機密データがないか検査します。お客様が組織の Macie 管理者である場合、これには、メンバーアカウントが所有する S3 バケット内のオブジェクトがデフォルトで含まれます。
分析が毎日進むにつれて、Macie は、検出した機密データや実行した分析の記録も作成します。Macie は、Amazon S3 データに関して提供する統計、インベントリデータ、およびその他の情報も更新します。結果として得られるデータは、Macie が Amazon S3 データ資産内の機密データを検出した場所に関するインサイトを提供します。これは、アカウントまたは組織のすべての S3 バケットにまたがる可能性があります。詳細については、「[機密データの自動検出の仕組み](discovery-asdd-how-it-works.md)」を参照してください。
お客様がスタンドアロンの Macie アカウントをお持ちの場合、または組織の Macie 管理者である場合は、アカウントまたは組織の機密データ自動検出を設定および管理できます。これには、自動検出の有効化と無効化、および Macie が実行する分析の範囲と性質を定義する設定の構成が含まれます。組織のメンバーアカウントをお持ちの場合は、Macie 管理者に連絡して、アカウントと組織の設定を確認してください。
**Topics**
+ [機密データ自動検出を設定するための前提条件](discovery-asdd-account-configure-prereqs.md)
+ [機密データ自動検出を有効にする](discovery-asdd-account-enable.md)
+ [機密データ自動検出設定を構成する](discovery-asdd-account-configure.md)
+ [機密データ自動検出を無効にする](discovery-asdd-account-disable.md)
# 機密データ自動検出を設定するための前提条件
機密データ自動検出の設定を有効化または設定する前に、以下のタスクを完了してください。これにより、必要なリソースとアクセス許可を確保できます。
これらのタスクを完了するには、組織の Amazon Macie 管理者であるか、スタンドアロンの Macie アカウントを持っている必要があります。アカウントが組織に属している場合、組織内のアカウントの機密データ自動検出を有効または無効にできるのは組織の Macie 管理者のみです。また、そのアカウントの自動検出設定を設定できるのも Macie 管理者のみです。
**Topics**
+ [ステップ 1: 機密データ検出の結果のリポジトリを設定する](#discovery-asdd-account-configure-prereqs-sddr)
+ [ステップ 2: アクセス許可を確認する](#discovery-asdd-account-configure-prereqs-perms)
+ [次の手順](#discovery-asdd-account-configure-prereqs-next)
## ステップ 1: 機密データ検出の結果のリポジトリを設定する
Amazon Macie は、機密データ自動検出を実行する際、分析対象として選択した各 Amazon Simple Storage Service (Amazon S3) オブジェクトの分析レコードを作成します。これらのレコードは**機密データの検出結果と呼ばれ、個々の S3 オブジェクトの分析に関する詳細を記録します。これには、Macie が機密データを見つけられないオブジェクト、およびアクセス許可設定などのエラーや問題のために Macie が分析できないオブジェクトが含まれます。Macie がオブジェクト内の機密データを検出すると、機密データ検出結果には、Macie が検出した機密データに関する情報が含まれます。機密データの検出結果から、データプライバシーと保護の監査や調査に役立つ分析レコードが得られます。
Macie は機密データの検出結果を 90 日間だけ保存します。結果にアクセスし、それらの長期保存と保持を有効化するには、結果を S3 バケットに保存するように Macie を設定します。バケットは、機密データの検出結果のすべての最終的で長期的なリポジトリとして機能します。組織の Macie 管理者の場合は、これには、機密データ自動検出を有効にするメンバーアカウントの機密データ検出結果が含まれます。
このリポジトリを設定したことを確認するには、Amazon Macie コンソールのナビゲーションペインで **[検出結果]** を選択します。プログラムでこの操作を行う場合は、Amazon Macie APIの [GetClassificationExportConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/classification-export-configuration.html) オペレーションを使用できます。機密データ検出の結果とこのリポジトリの設定方法の詳細については、「[機密データ検出結果の保存と保持](discovery-results-repository-s3.md)」を参照してください。
リポジトリを設定した場合、機密データ自動検出を最初に有効にしたときに、Macie はリポジトリに `automated-sensitive-data-discovery` という名前のフォルダを作成します。このフォルダには、Macie がアカウントまたは組織の自動検出を実行する際に作成した機密データ検出結果が格納されます。
複数の で Macie を使用する場合は AWS リージョン、それらのリージョンごとにリポジトリが設定されていることを確認します。
## ステップ 2: アクセス許可を確認する
アクセス許可を確認するには、 AWS Identity and Access Management (IAM) を使用して、IAM ID にアタッチされている IAM ポリシーを確認します。次にこれらのポリシー内の情報を、実行が許可される必要がある次のアクションのリストと比較します。
+ `macie2:GetMacieSession`
+ `macie2:UpdateAutomatedDiscoveryConfiguration`
+ `macie2:ListClassificationScopes`
+ `macie2:UpdateClassificationScope`
+ `macie2:ListSensitivityInspectionTemplates`
+ `macie2:UpdateSensitivityInspectionTemplate`
最初のアクションでは、Amazon Macie アカウントにアクセスできます。2 つ目のアクションでは、アカウントまたは組織の機密データ自動検出を有効または無効にできます。組織の場合、組織内のアカウントに対して自動検出を自動的に有効にすることもできます。残りのアクションでは、設定を識別して変更できます。
Amazon Macie コンソールを使用して構成設定を確認または変更する予定がある場合は、次のアクションの実行が許可される必要があります。
+ `macie2:GetAutomatedDiscoveryConfiguration`
+ `macie2:GetClassificationScope`
+ `macie2:GetSensitivityInspectionTemplate`
これらのアクションにより、アカウントまたは組織の現在の構成設定と機密データ自動検出のステータスを取得できます。構成設定をプログラムで変更する場合は、これらのアクションを実行するアクセス許可はオプションです。
お客様が組織の Macie 管理者である場合は、次のアクションの実行も許可されている必要があります。
+ `macie2:ListAutomatedDiscoveryAccounts`
+ `macie2:BatchUpdateAutomatedDiscoveryAccounts`
最初のアクションでは、組織内の個々のアカウントについて、機密データ自動検出のステータスを取得できます。2 つ目のアクションでは、組織内の個々のアカウントの自動検出を有効または無効にできます。
必要なアクションを実行することが許可されていない場合は、 AWS 管理者にサポートを依頼してください。
## 次の手順
上記のタスクを完了すると、アカウントまたは組織の設定を有効にして設定する準備が整います。
+ [機密データ自動検出を有効にする](discovery-asdd-account-enable.md)
+ [機密データ自動検出設定を構成する](discovery-asdd-account-configure.md)
# 機密データ自動検出を有効にする
機密データ自動検出を有効にすると、Amazon Macie は Amazon Simple Storage Service (Amazon S3) インベントリデータの評価を開始し、現在の AWS リージョンでアカウントのその他の自動検出アクティビティを実行します。お客様が組織の Macie 管理者である場合、この評価とアクティビティに、メンバーアカウントが所有する S3 バケットがデフォルトで含まれます。Amazon S3 データエステートのサイズによっては、統計やその他の結果が 48 時間以内に表示され始める場合があります。
機密データ自動検出を有効にしたら、Macie が実行する分析の範囲と性質を絞り込む設定を行うことができます。これらの設定では、分析から除外する S3 バケットを指定します。また、マネージドデータ識別子、カスタムデータ識別子、および Macie が S3 オブジェクトを分析するときに使用する許可リストを指定します。これらの設定については、「[機密データ自動検出設定を構成する](discovery-asdd-account-configure.md)」を参照してください。お客様が組織の Macie 管理者である場合は、組織内の個々のアカウントの機密データ自動検出をcase-by-caseで有効または無効にすることで、分析の範囲を絞り込むこともできます。
機密データ自動検出を有効にするには、組織の Macie 管理者であるか、スタンドアロンの Macie アカウントが付与されている必要があります。組織にメンバーアカウントがある場合は、Macie 管理者と協力して、アカウントの機密データ自動検出を有効にします。
**機密データ自動検出を有効にするには**
お客様が組織の Macie 管理者であるか、スタンドアロンの Macie アカウントをお持ちの場合は、Amazon Macie コンソールまたは Amazon Macie API を使用して機密データ自動検出を有効にできます。 Amazon Macie 初めて有効にする場合は、[まず前提条件タスクを完了](discovery-asdd-account-configure-prereqs.md)します。これにより、必要なリソースとアクセス許可を確保できます。
------
#### [ Console ]
Amazon Macie コンソールを使用して機密データの自動検出を有効にするには、次の手順に従います。
**機密データ自動検出を有効にするには**
1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。
1. ページの右上隅にある AWS リージョン セレクターを使用して、機密データの自動検出を有効にするリージョンを選択します。
1. ナビゲーションペインの **[設定]** で、**[機密データ自動検出]** を選択します。
1. スタンドアロンの Macie アカウントをお持ちの場合は、**[ステータス]** セクションで **[有効化]** を選択します。
1. お客様が組織の Macie 管理者である場合は、**[ステータス]** セクションでオプションを選択して、機密データ自動検出を有効にするアカウントを指定します。
+ この機能を組織内のすべてのアカウントで有効にするには、**[有効化]** を選択します。表示されたダイアログボックスで **[組織]** を選択します。の組織では AWS Organizations、**新しいアカウントに対して自動的に有効に**する を選択し、その後組織に参加するアカウントに対しても自動的に有効にします。終了したら、**[有効化]** を選択します。
+ この機能を特定のメンバーアカウントのみで有効にするには、**[アカウントを管理]** を選択します。次に、**アカウント**ページの表で、有効にする各アカウントのチェックボックスをオンにします。完了したら、**[アクション]** メニューで **[機密データ自動検出を有効化]** を選択します。
+ この機能を Macie 管理者アカウントのみで有効にするには、**[有効化]** を選択します。表示されるダイアログボックスで、**[マイアカウント]** をオンにし、**[新しいアカウントで自動的に有効化]** をオフにします。終了したら、**[有効化]** を選択します。
複数のリージョンで Macie を使用し、追加のリージョンで機密データ自動検出を有効にする場合は、追加のリージョンごとに前述のステップを繰り返します。
その後、組織内の個々のアカウントの機密データ自動検出のステータスを確認または変更するには、ナビゲーションペインで**アカウント**を選択します。**[アカウント]** ページでは、テーブル内の **[自動機密データ検出]** フィールドにアカウントの自動検出の現在のステータスが示されます。アカウントのステータスを変更するには、アカウントのチェックボックスをオンにします。次に、**アクション**メニューを使用して、アカウントの自動検出を有効または無効にします。
------
#### [ API ]
機密データ自動検出をプログラムで有効にするには、いくつかのオプションがあります。
+ Macie 管理者アカウント、組織、またはスタンドアロン Macie アカウントに対してこれを有効にするには、[UpdateAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html) オペレーションを使用します。または、 (AWS CLI) を使用している場合は AWS Command Line Interface 、[update-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-automated-discovery-configuration.html) コマンドを実行します。
+ 組織内の特定のメンバーアカウントでのみ有効にするには、[BatchUpdateAutomatedDiscoveryAccounts](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-accounts.html) オペレーションを使用します。または、 を使用している場合は AWS CLI、 [batch-update-automated-discovery-accounts](https://docs.aws.amazon.com/cli/latest/reference/macie2/batch-update-automated-discovery-accounts.html) コマンドを実行します。メンバーアカウントの自動検出を有効にするには、まず管理者アカウントまたは組織に対して自動検出を有効にする必要があります。
追加のオプションと詳細は、アカウントの種類によって異なります。
Macie 管理者の場合は、 **UpdateAutomatedDiscoveryConfiguration**オペレーションを使用するか、 **update-automated-discovery-configuration** コマンドを実行して、アカウントまたは組織の機密データ自動検出を有効にします。リクエストで、`status` パラメータを `ENABLED` として指定します。`autoEnableOrganizationMembers` パラメータには、有効にするアカウントを指定します。を使用している場合は AWS CLI、 `auto-enable-organization-members`パラメータを使用してアカウントを指定します。次の値を指定できます。
+ `ALL` (デフォルト) – 組織内のすべてのアカウントで有効にします。これには、管理者アカウント、既存のメンバーアカウント、その後組織に参加するアカウントが含まれます。
+ `NEW` – 管理者アカウントで有効にします。また、後で組織に参加するアカウントでも自動的に有効にします。以前に組織の自動検出を有効にし、この値を指定した場合、自動検出は、現在有効になっている既存のメンバーアカウントに対して引き続き有効になります。
+ `NONE` – 管理者アカウントに対してのみ有効にします。後で組織に参加するアカウントに対して自動的に有効にしないでください。以前に組織の自動検出を有効にし、この値を指定した場合、自動検出は、現在有効になっている既存のメンバーアカウントに対して引き続き有効になります。
特定のメンバーアカウントのみの機密データ自動検出を選択的に有効にする場合は、 `NEW`または を指定します`NONE`。その後、 **BatchUpdateAutomatedDiscoveryAccounts**オペレーションを使用するか、 **batch-update-automated-discovery-accounts** コマンドを実行して、アカウントの自動検出を有効にできます。
スタンドアロン Macie アカウントがある場合は、 **UpdateAutomatedDiscoveryConfiguration**オペレーションを使用するか、 **update-automated-discovery-configuration** コマンドを実行して、アカウントの機密データ自動検出を有効にします。リクエストで、`status` パラメータを `ENABLED` として指定します。`autoEnableOrganizationMembers` パラメータでは、他のアカウントの Macie 管理者になる予定があるかどうかを検討し、適切な値を指定します。を指定した場合`NONE`、アカウントの Macie 管理者になると、アカウントの自動検出は自動的に有効になりません。`ALL` または を指定した場合`NEW`、自動検出はアカウントに対して自動的に有効になります。を使用している場合は AWS CLI、 `auto-enable-organization-members`パラメータを使用して、この設定に適した値を指定します。
次の例は、 を使用して、組織内の 1 つ以上のアカウントの機密データ自動検出 AWS CLI を有効にする方法を示しています。この最初の例では、組織内のすべてのアカウントの自動検出を初めて有効にします。これにより、Macie 管理者アカウント、既存のすべてのメンバーアカウント、およびその後組織に加わるアカウントの自動検出が可能になります。
```
$ aws macie2 update-automated-discovery-configuration --status ENABLED --auto-enable-organization-members ALL --region us-east-1
```
*us-east-1* は、アカウントの機密データ自動検出を有効にするリージョン、米国東部 (バージニア北部) リージョンです。リクエストが成功すると、Macie はアカウントの自動検出を有効にし、空のレスポンスを返します。
次の例では、組織のメンバー有効化設定を に変更します`NONE`。この変更により、機密データの自動検出は、その後組織に加わったアカウントに対して自動的に有効になることはありません。代わりに、Macie 管理者アカウントと、現在有効になっている既存のメンバーアカウントに対してのみ有効になります。
```
$ aws macie2 update-automated-discovery-configuration --status ENABLED --auto-enable-organization-members NONE --region us-east-1
```
*us-east-1* は、設定を変更するリージョン、米国東部 (バージニア北部) リージョンです。リクエストが成功すると、Macie は 設定を更新し、空のレスポンスを返します。
次の例では、組織内の 2 つのメンバーアカウントの機密データ自動検出を有効にします。Macie 管理者は、組織の自動検出を既に有効にしています。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。
```
$ aws macie2 batch-update-automated-discovery-accounts \
--region us-east-1 \
--accounts '[{"accountId":"123456789012","status":"ENABLED"},{"accountId":"111122223333","status":"ENABLED"}]'
```
この例は Microsoft Windows 用にフォーマットされており、読みやすさを向上させるためにキャレット (^) の行継続文字を使用しています。
```
C:\> aws macie2 batch-update-automated-discovery-accounts ^
--region us-east-1 ^
--accounts=[{\"accountId\":\"123456789012\",\"status\":\"ENABLED\"},{\"accountId\":\"111122223333\",\"status\":\"ENABLED\"}]
```
コードの説明は以下のとおりです。
+ *us-east-1* は、指定されたアカウントの機密データ自動検出を有効にするリージョン、米国東部 (バージニア北部) リージョンです。
+ *123456789012* および *111122223333* は、機密データの自動検出を有効にするアカウントのアカウント IDs です。
指定されたすべてのアカウントでリクエストが成功すると、Macie は空の`errors`配列を返します。一部のアカウントでリクエストが失敗した場合、 配列は影響を受けるアカウントごとに発生したエラーを指定します。例えば、次のようになります。
```
"errors": [
{
"accountId": "123456789012",
"errorCode": "ACCOUNT_PAUSED"
}
]
```
前述のレスポンスでは、Macie は現在アカウントで停止されているため、指定されたアカウント (`123456789012`) のリクエストが失敗しました。このエラーに対処するには、Macie 管理者はまずアカウントの Macie を有効にする必要があります。
すべてのアカウントでリクエストが失敗すると、発生したエラーを説明するメッセージが表示されます。
------
# 機密データ自動検出設定を構成する
アカウントまたは組織で機密データ自動検出が有効になっている場合、自動検出設定を調整して、Amazon Macie が実行する分析を絞り込むことができます。設定では、分析から除外する Amazon Simple Storage Service (Amazon S3) バケットを指定します。また、S3 オブジェクトを分析する際に使用する管理データ識別子、カスタムデータ識別子、許可リストなど、検出してレポートする機密データの種類と出現頻度も指定します。
デフォルトでは、Macie はアカウントのすべての S3 汎用バケットに対して機密データの自動検出を実行します。お客様が組織の Macie 管理者である場合、これには、お客さまのメンバーアカウントが所有するバケットが含まれます。特定のバケットを分析から除外できます。たとえば、 AWS CloudTrail イベントログなどの AWS ログデータを保存するバケットを除外できます。バケットを除外する場合、そのバケットは後で再び含めることができます。
さらに、Macie は、機密データ自動検出に推奨されるマネージドデータ識別子のセットのみを使用して S3 オブジェクトを分析します。Macie は、カスタムデータ識別子またはユーザーが定義した許可リストを使用しません。分析をカスタマイズするには、特定のマネージドデータ識別子、カスタムデータ識別子、許可リストを追加または削除します。
設定を変更した場合、Macie は、次の評価および分析サイクルが開始されたときに (通常は 24 時間以内)、変更を適用します。また、変更は現在の AWS リージョンにのみ適用されます。追加のリージョンで同じ変更を行うには、追加のリージョンごとに該当するステップを繰り返します。
**Topics**
+ [組織の設定オプション](#discovery-asdd-configure-options-orgs)
+ [S3 バケットを除外するか、含める](#discovery-asdd-account-configure-s3buckets)
+ [マネージドデータ識別子を追加または削除する](#discovery-asdd-account-configure-mdis)
+ [カスタムデータ識別子を追加または削除する](#discovery-asdd-account-configure-cdis)
+ [許可リストを追加または削除する](#discovery-asdd-account-configure-als)
**注記**
機密データ自動検出設定を設定するには、組織の Macie 管理者であるか、スタンドアロンの Macie アカウントが付与されている必要があります。アカウントが組織の一部である場合、組織の Macie 管理者のみが組織内のアカウントの設定を構成および管理できます。メンバーアカウントをお持ちの場合は、Macie 管理者に連絡して、アカウントと組織の設定を確認してください。
## 組織の設定オプション
アカウントが複数の Amazon Macie アカウントを一元的に管理する組織に属している場合、組織の Macie 管理者が組織内のアカウントの機密データ自動検出を設定して管理します。これには、Macie がアカウントに対して実行する分析の範囲と性質を定義する設定が含まれます。メンバーは、自分のアカウントのこれらの設定にはアクセスできません。
お客様が組織の Macie 管理者である場合、以下のいくつかの方法で分析の範囲を定義できます。
+ **アカウントの機密データ自動検出を自動的に有効にする** – 機密データ自動検出を有効にする場合、既存のすべてのアカウントと新しいメンバーアカウントに対してのみ有効にするか、新しいメンバーアカウントに対してのみ有効にするか、メンバーアカウントなしで有効にするかを指定します。新しいメンバーアカウントで有効にすると、アカウントが Macie で組織に参加するときに、その後組織に参加するすべてのアカウントで自動的に有効になります。機密データ自動検出がアカウントで有効な場合、Macie には、アカウントが所有する S3 バケットが含まれます。機密データ自動検出がアカウントで無効な場合、Macie は、アカウントが所有するバケットを除外します。
+ **アカウントの機密データ自動検出を選択的に有効にする** – このオプションを指定すると、個々のアカウントで機密データ自動検出をケースバイケースで有効または無効にします。機密データ自動検出をアカウントに対して有効にすると、Macie にはアカウントが所有する S3 バケットが含まれます。機密データ自動検出をアカウントに対して有効にしない場合、または無効にした場合、Macie はアカウントが所有するバケットを除外します。
+ **機密データ自動検出から特定の S3 バケットを除外**する – アカウントの機密データ自動検出を有効にすると、アカウントが所有する特定の S3 バケットを除外できます。その後、Macie は自動検出を実行するときにバケットをスキップします。特定のバケットを除外するには、管理者アカウントの設定で除外リストに追加します。組織で最大 1,000 個のバケットを除外できます。
デフォルトでは、機密データ自動検出は、組織内のすべての新規アカウントと既存のアカウントで自動的に有効になります。さらに、Macie には、アカウントが所有するすべての S3 バケットが含まれます。デフォルト設定のままにすると、Macie は、メンバーアカウントが所有するすべてのバケットを含む、管理者アカウントのすべてのバケットに対して自動検出を実行することになります。
Macie 管理者は、Macie が組織に対して実行する分析の性質も定義できます。これを行うには、管理データ識別子、カスタムデータ識別子、Macie が S3 オブジェクトを分析するときに使用する許可リストなど、管理者アカウントの追加設定を行います。Macie は、組織内の他のアカウントの S3 オブジェクトを分析するとき、この管理者アカウントの設定を使用します。
## 機密データ自動検出での S3 バケットの除外または包含
デフォルトでは、Amazon Macie はアカウントのすべての S3 汎用バケットに対して機密データの自動検出を実行します。お客様が組織の Macie 管理者である場合、これには、お客さまのメンバーアカウントが所有するバケットが含まれます。
範囲を絞り込むために、分析から最大 1,000 個の S3 バケットを除外できます。バケットを除外すると、Macie は、機密データ自動検出を実行する際、バケット内のオブジェクトを選択して分析するのを停止します。バケットの既存の機密データ検出の統計と詳細は保持されます。例えば、バケットの現在の機密スコアは変更されません。バケットを除外する場合、そのバケットは後で再び含めることができます。
**機密データ自動検出で S3 バケットを除外または含めるには**
Amazon Macie コンソールまたは Amazon Macie API を使用して、S3 バケットを除外するか、後から含めることができます。
------
#### [ Console ]
Amazon Macie コンソールを使用して S3 バケットを除外または後から含めるには、次の手順に従います。
**S3 バケットを除外するか、含めるには**
1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。
1. ページの右上隅にある AWS リージョン セレクターを使用して、分析に特定の S3 バケットを除外または含めるリージョンを選択します。
1. ナビゲーションペインの **[設定]** で、**[機密データ自動検出]** を選択します。
**機密データ自動検出** ページが表示され、現在の設定が表示されます。そのページの [**S3 バケット**] セクションには、現在除外されている S3 バケットが一覧表示されているか、現在すべてのバケットが含まれていることが示されます。
1. **S3 バケット** セクションで、**編集** を選択します。
1. 次のいずれかを行います。
+ 1 つ以上の S3 バケットを除外するには、[**除外リストにバケットを追加**] を選択します。次に、**S3 バケット**テーブルで、除外する各バケットのチェックボックスをオンにします。テーブルには、現在のリージョン内のアカウントまたは組織のすべての汎用バケットが表示されます。
+ 以前に除外した 1 つ以上の S3 バケットを含めるには、[**除外リストからバケットを削除する**] を選択します。次に、**S3 バケット**テーブルで、含める各バケットのチェックボックスをオンにします。テーブルには、現在分析から除外されているすべてのバケットが一覧表示されます。
特定のバケットをより簡単に検索するには、テーブルの上にある検索ボックスに検索条件を入力します。列見出しを選択して、テーブルを並べ替えることもできます。
1. バケットを選択し終えたら、前のステップで選択したオプションに応じて [**追加**] または [**削除**] を選択します。
**ヒント**
コンソールでバケットの詳細を確認しながら、ケースに応じて個々の S3 バケットを除外したり、含めたりすることもできます。これを行うには、**S3 バケット**ページでバケットを選択します。次に、詳細パネルで、バケットの **[自動検出から除外]** 設定を変更します。
------
#### [ API ]
プログラムで S3 バケットを除外または後から含めるには、Amazon Macie API を使用してアカウントの分類範囲を更新します。分類スコープは、Macie が機密データの自動検出を実行するときに分析したくないバケットを指定します。自動検出用のバケット除外リストを定義します。
分類スコープを更新するときは、除外リストから個々のバケットを追加または削除するか、現在のリストを新しいリストで上書きするかを指定します。したがって、まず現在のリストを取得して確認することをお勧めします。リストを取得するには、[GetClassificationScope](https://docs.aws.amazon.com/macie/latest/APIReference/classification-scopes-id.html) オペレーションを使用します。 AWS Command Line Interface (AWS CLI) を使用している場合は、[get-classification-scope](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-classification-scope.html) コマンドを実行してリストを取得します。
分類スコープを取得または更新するには、一意の識別子 () を指定する必要があります`id`。この識別子を取得するには、[GetAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html) オペレーションを使用します。このオペレーションは、現在のアカウントの分類スコープの一意の識別子を含む、機密データ自動検出の現在の設定を取得します AWS リージョン。を使用している場合は AWS CLI、[get-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-automated-discovery-configuration.html) コマンドを実行してこの情報を取得します。
分類スコープを更新する準備ができたら、[UpdateClassificationScope](https://docs.aws.amazon.com/macie/latest/APIReference/classification-scopes-id.html) オペレーションを使用するか、 を使用している場合は AWS CLI update[update-classification-scope](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-classification-scope.html) コマンドを実行します。リクエストでは、サポートされているパラメータを使用して、後続の分析で S3 バケットを除外または含めます。
+ 1 つ以上のバケットを除外するには、 `bucketNames`パラメータの各バケットの名前を指定します。`operation` パラメータでは、`ADD` を指定します。
+ 以前に除外した 1 つ以上のバケットを含めるには、 `bucketNames`パラメータの各バケットの名前を指定します。`operation` パラメータでは、`REMOVE` を指定します。
+ 現在のリストを除外するバケットの新しいリストで上書きするには、 `operation`パラメータ`REPLACE`に を指定します。`bucketNames` パラメータには、除外する各バケットの名前を指定します。
`bucketNames` パラメータの各値は、現在のリージョンにある既存の汎用バケットのフルネームである必要があります。値は大文字と小文字が区別されます。リクエストが成功すると、Macie は分類範囲を更新し、空のレスポンスを返します。
次の例は、 を使用してアカウントの分類範囲 AWS CLI を更新する方法を示しています。最初の一連の例では、2 つの S3 バケット (*amzn-s3-demo-bucket1* と *amzn-s3-demo-bucket2*) を後続の分析から除外しています。除外するバケットのリストにバケットを追加します。
この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。
```
$ aws macie2 update-classification-scope \
--id 117aff7ed76b59a59c3224ebdexample \
--s3 '{"excludes":{"bucketNames":["amzn-s3-demo-bucket1","amzn-s3-demo-bucket2"],"operation": "ADD"}}'
```
この例は Microsoft Windows 用にフォーマットされており、読みやすさを向上させるためにキャレット (^) の行継続文字を使用しています。
```
C:\> aws macie2 update-classification-scope ^
--id 117aff7ed76b59a59c3224ebdexample ^
--s3={\"excludes\":{\"bucketNames\":[\"amzn-s3-demo-bucket1\",\"amzn-s3-demo-bucket2\"],\"operation\":\"ADD\"}}
```
次の例のセットには、後続の分析でバケット (*amzn-s3-demo-bucket1* および *amzn-s3-demo-bucket2*) が含まれます。除外するバケットのリストからバケットを削除します。Linux、macOS、Unix の場合:
```
$ aws macie2 update-classification-scope \
--id 117aff7ed76b59a59c3224ebdexample \
--s3 '{"excludes":{"bucketNames":["amzn-s3-demo-bucket1","amzn-s3-demo-bucket2"],"operation": "REMOVE"}}'
```
Microsoft Windows の場合:
```
C:\> aws macie2 update-classification-scope ^
--id 117aff7ed76b59a59c3224ebdexample ^
--s3={\"excludes\":{\"bucketNames\":[\"amzn-s3-demo-bucket1\",\"amzn-s3-demo-bucket2\"],\"operation\":\"REMOVE\"}}
```
次の例では、現在のリストを除外する S3 バケットの新しいリストで上書きして置き換えます。新しいリストでは、除外する 3 つのバケットを指定します。*amzn-s3-demo-bucket*、*amzn-s3-demo-bucket2*、*amzn-s3-demo-bucket3*。Linux、macOS、Unix の場合:
```
$ aws macie2 update-classification-scope \
--id 117aff7ed76b59a59c3224ebdexample \
--s3 '{"excludes":{"bucketNames":["amzn-s3-demo-bucket","amzn-s3-demo-bucket2","amzn-s3-demo-bucket3"],"operation": "REPLACE"}}'
```
Microsoft Windows の場合:
```
C:\> aws macie2 update-classification-scope ^
--id 117aff7ed76b59a59c3224ebdexample ^
--s3={\"excludes\":{\"bucketNames\":[\"amzn-s3-demo-bucket\",\"amzn-s3-demo-bucket2\",\"amzn-s3-demo-bucket3\"],\"operation\":\"REPLACE\"}}
```
------
## 機密データ自動検出へのマネージドデータ識別子の追加または削除
*マネージドデータ識別子*は、クレジットカード番号、 AWS シークレットアクセスキー、特定の国またはリージョンのパスポート番号など、特定のタイプの機密データを検出するように設計された一連の組み込み基準と手法です。デフォルトでは、Amazon Macie は、機密データ自動検出に推奨するマネージドデータ識別子のセットを使用して S3 オブジェクトを分析します。これらの識別子のリストを確認するには、「[機密データの自動検出のデフォルト設定](discovery-asdd-settings-defaults.md)」を参照してください。
特定の種類の機密データに焦点を当てるように分析を調整できます。
+ Macie が検出および報告する機密データのタイプのマネージドデータ識別子を追加する
+ Macie が検出して報告しない機密データのタイプのマネージドデータ識別子を削除する
Macie が現在提供しているすべてのマネージドデータ識別子の完全なリストと各識別子の詳細については、「」を参照してください[マネージドデータ識別子の使用](managed-data-identifiers.md)。
マネージドデータ識別子 ID を削除しても、その変更は既存の機密データ検出統計や S3 バケットの詳細には影響しません。例えば、 AWS シークレットアクセスキーのマネージドデータ識別子を削除し、Macie が以前にバケット内でそのデータを検出していた場合、Macie は引き続きその検出結果を報告します。ただし、この識別子を削除すると、すべてのバケットのその後の分析が影響を受けるため、その代わりに特定のバケットのみの機密スコアからそのタイプの検出を除外することを検討してください。詳細については、「[S3 バケットの機密スコアを調整する](discovery-asdd-s3bucket-manage.md)」を参照してください。
**機密データ自動検出からマネージドデータ識別子を追加または削除するには**
Amazon Macie コンソールまたは Amazon Macie API を使用して、マネージドデータ識別子を追加または削除できます。
------
#### [ Console ]
Amazon Macie コンソールを使用してマネージドデータ識別子を追加または削除するには、次の手順に従います。
**マネージドデータ識別子を追加または削除するには**
1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。
1. ページの右上隅にある AWS リージョン セレクターを使用して、分析からマネージドデータ識別子を追加または削除するリージョンを選択します。
1. ナビゲーションペインの **[設定]** で、**[機密データ自動検出]** を選択します。
**機密データ自動検出** ページが表示され、現在の設定が表示されます。このページの **[マネージドデータ識別子]** セクションには、現在の設定が 2 つのタブに分かれて表示されます。
+ **デフォルトに追加** — このタブには、追加したマネージドデータ識別子が一覧表示されます。Macie は、これらの識別子を、デフォルトセットに含まれていて削除されていないものと共に使用します。
+ **デフォルトから削除** — このタブには、削除したマネージドデータ識別子が一覧表示されます。Macie は、これらの識別子を使用しません。
1. [**マネージドデータ識別子**] セクションで [**編集**] を選択します。
1. 次のいずれかを実行します。
+ 1 つ以上のマネージドデータ識別子を追加するには、[**デフォルトに追加**] タブを選択します。次に、テーブルで、追加する各マネージドデータ識別子のチェックボックスをオンにします。チェックボックスが既に選択されている場合は、その識別子を既に追加しています。
+ 1 つ以上のマネージドデータ識別子を削除するには、[**デフォルトから削除**] タブを選択します。次に、テーブルで、削除する各マネージドデータ識別子のチェックボックスをオンにします。チェックボックスが既に選択されている場合、その識別子はすでに削除されています。
各タブには、Macie が現在提供しているすべてのマネージドデータ識別子のリストがテーブルに表示されます。表の最初の列で、各マネージドデータ識別子の ID を指定します。この ID は、識別子が検出する機密データのタイプを表します。例えば、米国のパスポート番号の場合、**USA\$1PASSPORT\$1NUMBER** などです。特定のマネージドデータ識別子をより簡単に検索するには、テーブルの上にある検索ボックスに検索条件を入力します。列見出しを選択して、テーブルを並べ替えることもできます。
1. 完了したら、**保存** を選択します。
------
#### [ API ]
マネージドデータ識別子をプログラムで追加または削除するには、Amazon Macie API を使用してアカウントの機密検査テンプレートを更新します。テンプレートには、デフォルトセットのマネージドデータ識別子に加えて、使用する (*含め*る) マネージドデータ識別子を指定する設定が保存されます。また、使用しない (*除外*する) マネージドデータ識別子も指定します。設定では、Macie で使用するカスタムデータ識別子と許可リストも指定します。
テンプレートを更新すると、現在の設定が上書きされます。したがって、まず現在の設定を取得し、保持する設定を決定することをお勧めします。現在の設定を取得するには、[GetSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html) オペレーションを使用します。 AWS Command Line Interface (AWS CLI) を使用している場合は、[get-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitivity-inspection-template.html) コマンドを実行して設定を取得します。
テンプレートを取得または更新するには、一意の識別子 () を指定する必要があります`id`。この識別子を取得するには、[GetAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html) オペレーションを使用します。このオペレーションは、現在のアカウントの機密検査テンプレートの一意の識別子など、機密データ自動検出の現在の構成設定を取得します AWS リージョン。を使用している場合は AWS CLI、[get-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-automated-discovery-configuration.html) コマンドを実行してこの情報を取得します。
テンプレートを更新する準備ができたら、[UpdateSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html) オペレーションを使用するか、 を使用している場合は AWS CLI update[update-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-sensitivity-inspection-template.html) コマンドを実行します。リクエストでは、適切なパラメータを使用して、後続の分析から 1 つ以上のマネージドデータ識別子を追加または削除します。
+ マネージドデータ識別子の使用を開始するには、 `managedDataIdentifierIds` パラメータの `includes`パラメータにその ID を指定します。
+ マネージドデータ識別子の使用を停止するには、 `managedDataIdentifierIds` パラメータの `excludes`パラメータにその ID を指定します。
+ デフォルト設定を復元するには、 `includes`および `excludes`パラメータIDs を指定しないでください。その後、Macie はデフォルトのセットにあるマネージドデータ識別子のみの使用を開始します。
マネージドデータ識別子のパラメータに加えて、適切な`includes`パラメータを使用して、Macie で使用するカスタムデータ識別子 (`customDataIdentifierIds`) と許可リスト (`allowListIds`) を指定します。また、リクエストが適用されるリージョンも指定します。リクエストが成功すると、Macie はテンプレートを更新し、空のレスポンスを返します。
次の例は、 を使用してアカウントの機密検査テンプレート AWS CLI を更新する方法を示しています。この例では、1 つのマネージドデータ識別子を追加し、後続の分析から別のデータ識別子を削除します。また、使用する 2 つのカスタムデータ識別子を指定する現在の設定も維持します。
この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。
```
$ aws macie2 update-sensitivity-inspection-template \
--id fd7b6d71c8006fcd6391e6eedexample \
--excludes '{"managedDataIdentifierIds":["UK_ELECTORAL_ROLL_NUMBER"]}' \
--includes '{"managedDataIdentifierIds":["STRIPE_CREDENTIALS"],"customDataIdentifierIds":["3293a69d-4a1e-4a07-8715-208ddexample","6fad0fb5-3e82-4270-bede-469f2example"]}'
```
この例は Microsoft Windows 用にフォーマットされており、読みやすさを向上させるためにキャレット (^) の行継続文字を使用しています。
```
C:\> aws macie2 update-sensitivity-inspection-template ^
--id fd7b6d71c8006fcd6391e6eedexample ^
--excludes={\"managedDataIdentifierIds\":[\"UK_ELECTORAL_ROLL_NUMBER\"]} ^
--includes={\"managedDataIdentifierIds\":[\"STRIPE_CREDENTIALS\"],\"customDataIdentifierIds\":[\"3293a69d-4a1e-4a07-8715-208ddexample\",\"6fad0fb5-3e82-4270-bede-469f2example\"]}
```
コードの説明は以下のとおりです。
+ *fd7b6d71c8006fcd6391e6eedexample* は、更新する機密検査テンプレートの一意の識別子です。
+ *UK\$1ELECTORAL\$1ROLL\$1NUMBER* は、使用を停止するマネージドデータ識別子の ID (*除外*) です。
+ *STRIPE\$1CREDENTIALS* は、 マネージドデータ識別子が使用を開始する (*含め*る) ID です。
+ *3293a69d-4a1e-4a07-8715-208ddexample* および *6fad0fb5-3e82-4270-bede-469f2example* は、使用するカスタムデータ識別子の一意の識別子です。
------
## 機密データ自動検出からのカスタムデータ識別子の追加または削除
カスタムデータ識別子は、機密データを検出するために定義する基準のセットです。基準は、一致するテキストパターン、オプションで文字シーケンス、結果を絞り込む近接ルールを定義する正規表現 (*正規表現*) から設定されています。詳細については、[カスタムデータ識別子の構築](custom-data-identifiers.md)を参照してください。
デフォルトでは、Amazon Macie は機密データ自動検出を実行する際にカスタムデータ識別子を使用しません。Macie で特定のカスタムデータ識別子を使用する場合は、後続の分析に追加できます。次に、Macie は、Macie を使用するように設定したマネージドデータ識別子に加えて、カスタムデータ識別子を使用します。
カスタムデータ識別子を追加した場合、後で削除できます。この変更は、S3 バケットの既存の機密データ検出統計や詳細には影響しません。つまり、以前にバケットで検出されたカスタムデータ識別子を削除しても、Macie は引き続きこの検出結果を報告します。ただし、この識別子を削除すると、すべてのバケットのその後の分析が影響を受けるため、その代わりに特定のバケットのみの機密スコアからそのタイプの検出を除外することを検討してください。詳細については、「[S3 バケットの機密スコアを調整する](discovery-asdd-s3bucket-manage.md)」を参照してください。
**機密データ自動検出でカスタムデータ識別子を追加または削除するには**
Amazon Macie コンソールまたは Amazon Macie API を使用して、カスタムデータ識別子を追加または削除できます。
------
#### [ Console ]
Amazon Macie コンソールを使用してカスタムデータ識別子を追加または削除するには、次の手順に従います。
**カスタムデータ識別子を追加または削除するには**
1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。
1. ページの右上隅にある AWS リージョン セレクターを使用して、分析からカスタムデータ識別子を追加または削除するリージョンを選択します。
1. ナビゲーションペインの **[設定]** で、**[機密データ自動検出]** を選択します。
**機密データ自動検出** ページが表示され、現在の設定が表示されます。そのページの **[カスタムデータ識別子]** セクションには、追加したカスタムデータ識別子が一覧表示されているか、カスタムデータ識別子が追加されていないことが示されます。
1. [**カスタムデータ識別子**] セクションで [**編集**] を選択します。
1. 次のいずれかを実行します。
+ 1 つ以上のカスタムデータ識別子を追加するには、追加する各カスタムデータ識別子のチェックボックスをオンにします。チェックボックスが既に選択されている場合は、その識別子を既に追加しています。
+ 1 つ以上のカスタムデータ識別子を削除するには、削除する各カスタムデータ識別子のチェックボックスをオフにします。チェックボックスが既にオフになっている場合、Macie は現在その識別子を使用しません。
**ヒント**
カスタムデータ識別子を選択する前にその識別子を確認またはテストするには、識別子の名前の横にあるリンクアイコン![\[The link icon, which is a blue box that has an arrow in it.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/icon-external-link.png) を選択します。Macie は、識別子の設定を表示するページを開きます。サンプルデータを使用して識別子をテストするには、そのページの **[サンプルデータ]** ボックスに最大 1,000 文字のテキストを入力します。次に **[テスト]** を選択します。Macie は、サンプルデータを評価して、一致の数を報告します。
1. 完了したら、**保存** を選択します。
------
#### [ API ]
プログラムでカスタムデータ識別子を追加または削除するには、Amazon Macie API を使用してアカウントの機密検査テンプレートを更新します。テンプレートには、機密データの自動検出を実行するときに Macie が使用するカスタムデータ識別子を指定する設定が保存されます。設定では、使用するマネージドデータ識別子と許可リストも指定します。
テンプレートを更新すると、現在の設定が上書きされます。したがって、まず現在の設定を取得し、保持する設定を決定することをお勧めします。現在の設定を取得するには、[GetSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html) オペレーションを使用します。 AWS Command Line Interface (AWS CLI) を使用している場合は、[get-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitivity-inspection-template.html) コマンドを実行して設定を取得します。
テンプレートを取得または更新するには、一意の識別子 () を指定する必要があります`id`。この識別子を取得するには、[GetAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html) オペレーションを使用します。このオペレーションは、現在のアカウントの機密検査テンプレートの一意の識別子など、機密データ自動検出の現在の構成設定を取得します AWS リージョン。を使用している場合は AWS CLI、[get-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-automated-discovery-configuration.html) コマンドを実行してこの情報を取得します。
テンプレートを更新する準備ができたら、[UpdateSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html) オペレーションを使用するか、 を使用している場合は AWS CLI update[update-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-sensitivity-inspection-template.html) コマンドを実行します。リクエストで、 `customDataIdentifierIds`パラメータを使用して、後続の分析から 1 つ以上のカスタムデータ識別子を追加または削除します。
+ カスタムデータ識別子の使用を開始するには、 パラメータに一意の識別子を指定します。
+ カスタムデータ識別子の使用を停止するには、 パラメータから一意の識別子を省略します。
追加のパラメータを使用して、Macie が使用するマネージドデータ識別子と許可リストを指定します。また、リクエストが適用されるリージョンも指定します。リクエストが成功すると、Macie はテンプレートを更新し、空のレスポンスを返します。
次の例は、 を使用してアカウントの機密検査テンプレート AWS CLI を更新する方法を示しています。この例では、後続の分析に 2 つのカスタムデータ識別子を追加します。また、マネージドデータ識別子のデフォルトセットと 1 つの許可リストを使用して、使用するマネージドデータ識別子と許可リストを指定する現在の設定も維持します。
この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。
```
$ aws macie2 update-sensitivity-inspection-template \
--id fd7b6d71c8006fcd6391e6eedexample \
--includes '{"allowListIds":["nkr81bmtu2542yyexample"],"customDataIdentifierIds":["3293a69d-4a1e-4a07-8715-208ddexample","6fad0fb5-3e82-4270-bede-469f2example"]}'
```
この例は Microsoft Windows 用にフォーマットされており、読みやすさを向上させるためにキャレット (^) の行継続文字を使用しています。
```
C:\> aws macie2 update-sensitivity-inspection-template ^
--id fd7b6d71c8006fcd6391e6eedexample ^
--includes={\"allowListIds\":[\"nkr81bmtu2542yyexample\"],\"customDataIdentifierIds\":[\"3293a69d-4a1e-4a07-8715-208ddexample\",\"6fad0fb5-3e82-4270-bede-469f2example\"]}
```
コードの説明は以下のとおりです。
+ *fd7b6d71c8006fcd6391e6eedexample* は、更新する機密検査テンプレートの一意の識別子です。
+ *nkr81bmtu2542yyexample* は、使用する許可リストの一意の識別子です。
+ *3293a69d-4a1e-4a07-8715-208ddexample* および *6fad0fb5-3e82-4270-bede-469f2example* は、使用するカスタムデータ識別子の一意の識別子です。
------
## 機密データ自動検出の許可リストの追加または削除
Amazon Macie では、許可リストによって、Macie が機密データの S3 オブジェクトを検査する際に無視する特定のテキストまたはテキストパターンを定義します。テキストが許可リストのテキストまたはパターンと一致する場合、Macie はテキストを報告しません。これは、テキストがマネージドデータ識別子またはカスタムデータ識別子の基準と一致する場合も当てはまります。詳細については[許可リストでの機密データの例外の定義](allow-lists.md)を参照してください。
デフォルトでは、Macie は機密データ自動検出を実行する際に許可リストを使用しません。Macie で特定の許可リストを使用する場合は、後続の分析に追加できます。許可リストを追加した場合、後で削除できます。
**機密データ自動検出で許可リストを追加または削除するには**
Amazon Macie コンソールまたは Amazon Macie API を使用して、許可リストを追加または削除できます。
------
#### [ Console ]
Amazon Macie コンソールを使用して許可リストを追加または削除するには、次の手順に従います。
**許可リストを追加または削除するには**
1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。
1. ページの右上隅にある AWS リージョン セレクターを使用して、分析から許可リストを追加または削除するリージョンを選択します。
1. ナビゲーションペインの **[設定]** で、**[機密データ自動検出]** を選択します。
**機密データ自動検出** ページが表示され、現在の設定が表示されます。そのページでは、既に追加した許可リストが **[許可リスト]** セクションで指定されているか、許可リストを追加していないことが示されます。
1. **ストレージ** セクションで、**編集** を選択します。
1. 次のいずれかを実行します。
+ 1 つ以上の許可リストを追加するには、追加する各許可リストのチェックボックスをオンにします。チェックボックスが既に選択されている場合は、そのリストを既に追加しています。
+ 1 つ以上の許可リストを削除するには、削除する各許可リストのチェックボックスをオフにします。チェックボックスが既にオフになっている場合、Macie は現在そのリストを使用しません。
**ヒント**
許可リストを追加または削除する前にその設定を確認するには、リスト名の横にあるリンクアイコン![\[The link icon, which is a blue box that has an arrow in it.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/icon-external-link.png) を選択します。Macie は、リストの設定を表示するページを開きます。リストで正規表現 (正規表現)を指定する場合は、このページを使用してサンプルデータでその正規表現を確認することもできます。これを行うには、テキスト (最大 1,000 文字) を **サンプルデータ** ボックスに入力し、次に **テスト** を選択します。Macie は、サンプルデータを評価して、一致の数を報告します。
1. 完了したら、**保存** を選択します。
------
#### [ API ]
プログラムで許可リストを追加または削除するには、Amazon Macie API を使用してアカウントの機密検査テンプレートを更新します。テンプレートには、機密データの自動検出を実行するときに Macie が使用する許可リストを指定する設定が保存されます。設定では、使用するマネージドデータ識別子とカスタムデータ識別子も指定します。
テンプレートを更新すると、現在の設定が上書きされます。したがって、まず現在の設定を取得し、保持する設定を決定することをお勧めします。現在の設定を取得するには、[GetSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html) オペレーションを使用します。 AWS Command Line Interface (AWS CLI) を使用している場合は、[get-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitivity-inspection-template.html) コマンドを実行して設定を取得します。
テンプレートを取得または更新するには、一意の識別子 () を指定する必要があります`id`。この識別子を取得するには、[GetAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html) オペレーションを使用します。このオペレーションは、現在のアカウントの機密検査テンプレートの一意の識別子など、機密データ自動検出の現在の構成設定を取得します AWS リージョン。を使用している場合は AWS CLI、[get-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-automated-discovery-configuration.html) コマンドを実行してこの情報を取得します。
テンプレートを更新する準備ができたら、[UpdateSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html) オペレーションを使用するか、 を使用している場合は AWS CLI update[update-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-sensitivity-inspection-template.html) コマンドを実行します。リクエストで、 `allowListIds`パラメータを使用して、後続の分析から 1 つ以上の許可リストを追加または削除します。
+ 許可リストの使用を開始するには、 パラメータに一意の識別子を指定します。
+ 許可リストの使用を停止するには、 パラメータから一意の識別子を省略します。
追加のパラメータを使用して、Macie で使用するマネージドデータ識別子とカスタムデータ識別子を指定します。また、リクエストが適用されるリージョンも指定します。リクエストが成功すると、Macie はテンプレートを更新し、空のレスポンスを返します。
次の例は、 を使用してアカウントの機密検査テンプレート AWS CLI を更新する方法を示しています。この例では、後続の分析に許可リストを追加します。また、使用するマネージドデータ識別子とカスタムデータ識別子を指定する現在の設定も維持します。デフォルトのマネージドデータ識別子のセットと 2 つのカスタムデータ識別子を使用します。
この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。
```
$ aws macie2 update-sensitivity-inspection-template \
--id fd7b6d71c8006fcd6391e6eedexample \
--includes '{"allowListIds":["nkr81bmtu2542yyexample"],"customDataIdentifierIds":["3293a69d-4a1e-4a07-8715-208ddexample","6fad0fb5-3e82-4270-bede-469f2example"]}'
```
この例は Microsoft Windows 用にフォーマットされており、読みやすさを向上させるためにキャレット (^) の行継続文字を使用しています。
```
C:\> aws macie2 update-sensitivity-inspection-template ^
--id fd7b6d71c8006fcd6391e6eedexample ^
--includes={\"allowListIds\":[\"nkr81bmtu2542yyexample\"],\"customDataIdentifierIds\":[\"3293a69d-4a1e-4a07-8715-208ddexample\",\"6fad0fb5-3e82-4270-bede-469f2example\"]}
```
コードの説明は以下のとおりです。
+ *fd7b6d71c8006fcd6391e6eedexample* は、更新する機密検査テンプレートの一意の識別子です。
+ *nkr81bmtu2542yyexample* は、使用する許可リストの一意の識別子です。
+ *3293a69d-4a1e-4a07-8715-208ddexample* および *6fad0fb5-3e82-4270-bede-469f2example* は、使用するカスタムデータ識別子の一意の識別子です。
------
# 機密データ自動検出を無効にする
アカウントまたは組織の機密データ自動検出はいつでも無効にすることができます。これを行うと、Amazon Macie は、後続の評価と分析サイクルが開始する前、通常 48 時間以内に、アカウントまたは組織のすべての自動検出アクティビティの実行を停止します。その他にも、次のようなさまざまな効果があります。
+ お客様が Macie 管理者で、組織内の個々のアカウントに対してこの機能を無効にした場合、Macie が作成して、アカウントの自動検出の実行中に直接提供したすべての統計データ、インベントリデータ、およびその他の情報に引き続きアクセスできます。アカウントの自動検出は、再度有効にできます。その後、Macie はアカウントの自動検出アクティビティをすべて再開します。
+ お客様が Macie 管理者で、組織に対してこの機能を無効にした場合、Macie が作成して、組織の自動検出の実行中に直接提供したすべての統計データ、インベントリデータ、およびその他の情報に組織内のアカウントはアクセスできなくなります。例えば、S3 バケットインベントリには機密視覚化や分析が含まれなくなります。その後、組織の自動検出は、再度有効にできます。これにより、Macie は組織内のアカウントですべての自動検出アクティビティを再開します。この機能を 30 日以内に再度有効にすると、ユーザーとアカウントは、Macie が以前に作成し、自動検出の実行中に直接提供したデータや情報に再びアクセスできるようになります。30 日以内に再度有効にしない場合、Macie はこのデータと情報を完全に削除します。
+ この機能をスタンドアロンの Macie アカウントで無効にすると、お客様は、Macie が作成して、アカウントの自動検出の実行中に直接提供したすべての統計データ、インベントリデータ、およびその他の情報にアクセスできなくなります。30 日以内に再度有効にしない場合、Macie はこのデータと情報を完全に削除します。
アカウントまたは組織の機密データ自動検出を実行している間も、Macie が作成した機密データの検出結果には引き続きアクセスできます。Macie は 90 日間検出結果を保存します。Macie は自動検出の設定も保持します。それに加えて、Amazon S3 の機密データの検出結果や Amazon EventBridge の調査結果イベントなど、他の AWS のサービス に保存または発行されたデータはそのまま残り、影響を受けません。
**機密データ自動検出を無効にするには**
お客様が組織の Macie 管理者である場合、またはスタンドアロンの Macie アカウントをお持ちの場合は、Amazon Macie コンソールまたは Amazon Macie API を使用して機密データ自動検出を無効にすることができます。組織のメンバーアカウントをお持ちの場合は、Macie 管理者と協力して、アカウントの自動検出を無効にします。Macie 管理者のみが、アカウントの自動検出を無効にできます。
------
#### [ Console ]
Amazon Macie コンソールを使用して機密データの自動検出を無効にするには、次の手順に従います。
**機密データ自動検出を無効にするには**
1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。
1. ページの右上隅にある AWS リージョン セレクターを使用して、機密データの自動検出を無効にするリージョンを選択します。
1. ナビゲーションペインの **[設定]** で、**[機密データ自動検出]** を選択します。
1. 組織の Macie 管理者である場合は、**[ステータス]** セクションでオプションを選択して、機密データ自動検出を無効にするアカウントを指定します。
+ この機能を特定のメンバーアカウントのみで無効にするには、**[アカウントを管理]** を選択します。次に、**アカウント**ページの表で、無効にする各アカウントのチェックボックスをオンにします。完了したら、**[アクション]** メニューで **[機密データ自動検出を無効化]** を選択します。
+ この機能を Macie 管理者アカウントのみで無効にするには、**[無効化]** を選択します。表示されるダイアログボックスで、**[マイアカウント]** を選択してから **[無効化]** を選択します。
+ 組織内のすべてのアカウントと組織全体で無効にするには、**[無効化]** を選択します。表示されるダイアログボックスで、**[マイ組織]** を選択してから **[無効化]** を選択します。
1. スタンドアロンの Macie アカウントをお持ちの場合は、**[ステータス]** セクションで **[無効化]** を選択します。
複数のリージョンで Macie を使用し、追加のリージョンで機密データ自動検出を無効にする場合は、追加のリージョンごとに前述のステップを繰り返します。
------
#### [ API ]
Amazon Macie API を使用すると、機密データの自動検出を 2 つの方法で無効にできます。無効にする方法は、アカウントのタイプによって部分的に異なります。お客様が組織の Macie 管理者である場合、特定のメンバーアカウントのみの自動検出を無効にするか、組織全体の自動検出を無効にするかにも依存します。組織で無効にする場合は、現在組織の一部であるすべてのアカウントで無効にします。その後、追加のアカウントが組織に加わると、それらのアカウントの自動検出も無効になります。
組織またはスタンドアロン Macie アカウントの機密データ自動検出を無効にするには、[UpdateAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html) オペレーションを使用します。または、 (AWS CLI) を使用している場合 AWS Command Line Interface は、[update-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-automated-discovery-configuration.html) コマンドを実行します。リクエストで、`status` パラメータを `DISABLED` として指定します。
組織内の特定のメンバーアカウントのみの機密データ自動検出を無効にするには、[BatchUpdateAutomatedDiscoveryAccounts](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-accounts.html) オペレーションを使用します。または、 を使用している場合は AWS CLI、 [batch-update-automated-discovery-accounts](https://docs.aws.amazon.com/cli/latest/reference/macie2/batch-update-automated-discovery-accounts.html) コマンドを実行します。リクエストで、 `accountId`パラメータを使用して、自動検出を無効にするアカウントのアカウント ID を指定します。`status` パラメータでは、`DISABLED` を指定します。アカウントの自動検出を無効にするには、Macie が現在アカウントに対して有効になっている必要があります。
次の例は、 を使用して AWS CLI 、組織内の 1 つ以上のアカウントの機密データ自動検出を無効にする方法を示しています。この最初の例では、組織の自動検出を無効にします。Macie 管理者アカウントと組織内のすべてのメンバーアカウントの自動検出を無効にします。
```
$ aws macie2 update-automated-discovery-configuration --status DISABLED --region us-east-1
```
*us-east-1* は、組織の機密データ自動検出を無効にするリージョン、米国東部 (バージニア北部) リージョンです。リクエストが成功すると、Macie は組織の自動検出を無効にし、空のレスポンスを返します。
次の例では、組織内の 2 つのメンバーアカウントの機密データ自動検出を無効にします。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。
```
$ aws macie2 batch-update-automated-discovery-accounts \
--region us-east-1 \
--accounts '[{"accountId":"123456789012","status":"DISABLED"},{"accountId":"111122223333","status":"DISABLED"}]'
```
この例は Microsoft Windows 用にフォーマットされており、読みやすさを向上させるためにキャレット (^) の行継続文字を使用しています。
```
C:\> aws macie2 batch-update-automated-discovery-accounts ^
--region us-east-1 ^
--accounts=[{\"accountId\":\"123456789012\",\"status\":\"DISABLED\"},{\"accountId\":\"111122223333\",\"status\":\"DISABLED\"}]
```
コードの説明は以下のとおりです。
+ *us-east-1* は、指定されたアカウントの機密データ自動検出を無効にするリージョン、米国東部 (バージニア北部) リージョンです。
+ *123456789012* と *111122223333* は、機密データの自動検出を無効にするアカウントのアカウント IDs です。
指定されたすべてのアカウントでリクエストが成功すると、Macie は空の`errors`配列を返します。一部のアカウントでリクエストが失敗した場合、 配列は影響を受けるアカウントごとに発生したエラーを指定します。例えば、次のようになります。
```
"errors": [
{
"accountId": "123456789012",
"errorCode": "ACCOUNT_PAUSED"
}
]
```
前述のレスポンスでは、Macie は現在アカウントで停止されているため、指定されたアカウント (`123456789012`) のリクエストが失敗しました。
すべてのアカウントでリクエストが失敗すると、発生したエラーを説明するメッセージが表示されます。例えば、次のようになります。
```
An error occurred (ConflictException) when calling the BatchUpdateAutomatedDiscoveryAccounts operation: Cannot modify account states
while auto-enable is set to ALL.
```
前述のレスポンスでは、組織のメンバー有効化設定が現在、すべてのアカウント () で機密データの自動検出を有効にするように設定されているため、リクエストは失敗しました`ALL`。エラーに対処するには、Macie 管理者はまずこの設定を `NONE`または に変更する必要があります`NEW`。この設定についての情報は、「[機密データ自動検出を有効にする](discovery-asdd-account-enable.md)」を参照してください。
------
# 機密データ自動検出の結果を確認する
機密データの自動検出が有効になっている場合、Amazon Macie は、アカウントの Amazon Simple Storage Service (Amazon S3) 汎用バケットに関する追加のインベントリデータ、統計、その他の情報を自動的に生成して維持します。お客様が組織の Macie 管理者である場合、これにはデフォルトで、メンバーアカウントが所有する S3 バケットが含まれます。
追加情報には、Macie がこれまでに実行した機密データ自動検出アクティビティの結果がキャプチャされます。また、Macie が提供する Amazon S3 データに関するその他の情報 (パブリックアクセスや個々の S3 バケットの暗号化設定など) を補足するものでもあります。Macie は、メタデータと統計に加え、検出された機密データと実行された分析、つまり機密データの調査結果と機密データ検出結果の報告を作成します。****
機密データ自動検出は毎日進行するため、以下の機能とデータが結果の確認と評価に役立ちます。
+ [****概要**ダッシュボード**](discovery-asdd-results-s3-dashboard.md) – Amazon S3 データエステートの集計統計を提供します。統計には、Macie が機密データを検出したバケットの総数や、それらのうちパブリックアクセスが可能であるものの数など、主要なメトリクスのデータが含まれます。また、Amazon S3 データのカバレッジに影響する問題の報告も含まれます。
+ [****S3 バケットヒート**マップ**](discovery-asdd-results-s3-inventory-map.md) – データ資産全体のデータ機密性をインタラクティブに視覚的にグループ化して表示します AWS アカウント。マップにはアカウントごとに集約された機密性統計が含まれ、アカウントが所有する各バケットの現在の機密性スコアが色で示されています。また、マップではシンボルを使用して、一般にアクセス可能なバケット、Macie では分析できないバケットなどを識別できます。
+ [****S3 バケット**テーブル**](discovery-asdd-results-s3-inventory-table.md) – インベントリ内の各 S3 バケットの概要情報を提供します。各バケットについて、テーブルにはバケットの現在の機密性スコア、Macie がバケット内で分析できるオブジェクトの数、バケット内のオブジェクトを定期的に分析するように機密データ検出ジョブを設定したかどうかなどのデータが含まれます。データは、テーブルからカンマ区切り値 (CSV) ファイルにエクスポートできます。
+ [****S3 バケット**の詳細**](discovery-asdd-results-s3-inventory-details.md) – S3 バケットに関する詳細な統計と情報を提供します。詳細には、Macie がバケット内で分析したオブジェクトのリスト、Macie がバケット内で検出した機密データのタイプと出現回数の内訳が含まれます。これらは、バケットのデータのセキュリティとプライバシーに影響を与える設定に関する詳細情報に追加されます。
+ [**機密データの調査結果**](discovery-asdd-results-s3-findings.md) — Macie が個々の S3 オブジェクト内で検出した機密データの詳細なレポートを提供します。詳細には、Macie が機密データをいつ見つけたか、また Macie が見つけた機密データのタイプと出現回数が含まれます。詳細には、バケットのパブリックアクセス設定やオブジェクトの最新の変更日など、影響を受けた S3 バケットとオブジェクトに関する情報も含まれます。
+ [**機密データの検出結果**](discovery-asdd-results-s3-sddrs.md) — Macie が個々の S3 オブジェクトに対して行った分析の記録を提供します。これには、Macie が機密データを検出しないオブジェクト、および問題やエラーのために Macie が分析できないオブジェクトが含まれます。Macie がオブジェクト内の機密データを検出すると、機密データ検出結果には、Macie が検出した機密データに関する情報が含まれます。
このデータを使用して、Amazon S3 データ資産全体のデータ機密性を評価し、ドリルダウンして個々の S3 バケットとオブジェクトを評価および調査できます。Macie が提供する Amazon S3 データのセキュリティとプライバシーに関する情報と組み合わせることで、即時の修復が必要なケースを特定することもできます。たとえば、Macie が機密データを発見したパブリックにアクセス可能なバケットなどです。
追加データは、Amazon S3 データのカバレッジの評価とモニタリングに役立ちます。カバレッジデータを使用すると、データエステート全体とこのデータエステート内の個々の S3 バケットの分析ステータスを確認できます。Macie が特定バケット内のオブジェクトを分析できなかった問題を特定することもできます。問題を修正すれば、その後の分析サイクルで Amazon S3 データのカバレッジを拡大できます。詳細については、「[機密データ自動検出カバレッジの評価](discovery-coverage.md)」を参照してください。
**Topics**
+ [概要ダッシュボードのデータ機密性統計を確認する](discovery-asdd-results-s3-dashboard.md)
+ [S3 バケットマップによるデータ機密性の視覚化](discovery-asdd-results-s3-inventory-map.md)
+ [S3 バケットテーブルによるデータ機密性の評価](discovery-asdd-results-s3-inventory-table.md)
+ [S3 バケットのデータ機密情報の確認](discovery-asdd-results-s3-inventory-details.md)
+ [機密データ自動検出の検出結果を分析する](discovery-asdd-results-s3-findings.md)
+ [機密データ自動検出の検出結果にアクセスする](discovery-asdd-results-s3-sddrs.md)
# 概要ダッシュボードのデータ機密性統計を確認する
Amazon Macie コンソールで、**概要**ダッシュボードには、現在の AWS リージョンでの Amazon S3 データの集約された統計と調査結果データのスナップショットが表示されます。Amazon S3 データの全体的なセキュリティ体制を評価するのに役立つように設計されています。
ダッシュボードの統計には、パブリックアクセス可能か、または他の AWS アカウントと共有されている S3 汎用バケットの数など、主要なセキュリティメトリクスのデータが含まれます。ダッシュボードには、アカウントの集約された調査結果データのグループ (たとえば、過去 7 日間に最も多い調査結果を生成したバケット) も表示されます。ユーザーが組織の Macie 管理者である場合、ダッシュボードには、組織内のすべてのアカウントの集約された統計とデータが提供されます。オプションで、アカウント別にデータをフィルタリングすることができます。
機密データの自動検出が有効になっている場合、**概要**ダッシュボードには追加の統計情報が含まれます。統計は、Macie が Amazon S3 データに対してこれまでに実行した自動検出アクティビティのステータスと結果をキャプチャします。次の画像は、これらの統計の例を示しています。
![\[[概要] ダッシュボードの機密データ検出統計。各統計にはサンプルデータが含まれています。\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/scrn-summary-dashboard-sensitivity.png)
統計は、主に **[自動検出]** と **[カバレッジ問題]** の 2 つのセクションにまとめられます。**[自動検出]** セクションの統計には、現在の状況と機密データ自動検出アクティビティの結果のスナップショットが表示されます。**カバレッジの問題**セクションの統計は、Macie が個々の S3 バケット内のオブジェクトを分析できなかったかどうかを示します。統計には、作成されて実行された機密データ検出ジョブのデータは含まれません。ただし、機密データ自動検出のカバレッジ問題を修正すると、その後に実行する機密データ検出ジョブによってカバレッジも向上する可能性があります。
**Topics**
+ [ダッシュボードを表示する](#discovery-asdd-results-s3-dashboard-view)
+ [ダッシュボードの統計について](#discovery-asdd-results-s3-dashboard-statistics)
## 概要ダッシュボードを表示する
Amazon Macie コンソールに**[概要]** ダッシュボードを表示するには、次のステップに従います。統計をプログラムでクエリするには、Amazon Macie API の [GetBucketStatistics](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3-statistics.html) オペレーションを使用します。
**サマリーダッシュボードを表示するには**
1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。
1. ナビゲーションペインで **概要**を選択します。Macie は **概要**ダッシュボードを表示します。
1. ダッシュボードの項目をドリルダウンして、その項目のサポートデータを確認するには、その項目を選択します。
ユーザーが組織の Macie 管理者である場合、ダッシュボードには、自分のアカウントと組織内のメンバーアカウントの集約された統計とデータが表示されます。特定のアカウントのデータのみを表示するには、ダッシュボードの上にある**アカウント**ボックスにアカウントの ID を入力します。
## 概要ダッシュボードの機密データ検出統計について
**概要**ダッシュボードには、Amazon S3 データの機密データ自動検出をモニタリングするのに役立つ集計統計が含まれています。ダッシュボードには、現在の AWS リージョンの Amazon S3 データの分析の現在のステータスと結果のスナップショットが表示されます。たとえば、ダッシュボードの統計情報を使用して、Amazon Macie が機密データを見つけた S3 バケットの数や、それらのうちパブリックアクセスが可能であるものの数をすばやく判断できます。Amazon S3 データのカバレッジを評価することもできます。カバレッジ統計は、Macie が個々の S3 バケット内のオブジェクトを分析するのを妨げている問題を特定するのに役立ちます。
ダッシュボードでは、機密データ自動検出の統計は主に以下のセクションに分かれています。
+ [ストレージと機密データ検出](#discovery-asdd-results-s3-dashboard-storage-statistics)
+ [自動検出](#discovery-asdd-results-s3-dashboard-sensitivity-statistics)
+ [カバレッジ問題](#discovery-asdd-results-s3-dashboard-coverage-statistics)
各セクションの個別統計は以下の通りです。ダッシュボードの他のセクションの統計情報については、「」を参照してください[概要ダッシュボードのコンポーネントを理解する](monitoring-s3-dashboard.md#monitoring-s3-dashboard-components-main)。
### ストレージと機密データ検出
ダッシュボードの上部にある統計は、Amazon S3 に保存するデータの量と、Amazon Macie が機密データを検出するために分析できるデータの量を示します。次の図は、7 つのアカウントを持つ組織のこれらの統計の例を示しています。
![\[ダッシュボードの [ストレージと機密データの検出] セクション。各フィールドのデータはサンプルです。\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/scrn-summary-dashboard-storage.png)
このセクションの個々の統計は以下のとおりです。
+ **合計アカウント** — このフィールドは、組織の Macie 管理者であるか、スタンドアロンの Macie アカウントを持っている場合に表示されます。バケットインベントリ内の AWS アカウント 独自のバケットの総数を示します。Macie 管理者の場合、これは組織で管理している Macie アカウントの総数です。スタンドアロンの Macie アカウントをお持ちの場合、この値は 1 です。
**S3 バケットの合計** — このフィールドは、お客様が組織のメンバーアカウントをお持ちの場合に表示されます。オブジェクトが保存されていないバケットを含む、インベントリ内の汎用バケットの総数を示します。
+ **ストレージ** — これらの統計は、バケットインベントリ内のオブジェクトのストレージサイズに関する情報を提供します。
+ **分類可能** – バケット内で Macie が分析できるすべてのオブジェクトの合計ストレージサイズ。
+ **合計**— Macie が分析できないオブジェクトを含む、バケット内のすべてのオブジェクトの合計ストレージサイズ。
いずれかのオブジェクトが圧縮ファイルである場合、これらの値は解凍後のファイルの実際のサイズを反映しません。いずれかのバケットでバージョニングが有効化されている場合、これらの値は、それらのバケット内の各オブジェクトの最新バージョンのストレージサイズに基づきます。
+ **オブジェクト** — これらの統計は、バケットインベントリ内のオブジェクト数に関する情報を提供します。
+ **分類可能** - バケット内で Macie が分析できるオブジェクトの合計数。
+ **合計**— Macie が分析できないオブジェクトを含む、バケット内のオブジェクトの総数。
前述の統計では、データとオブジェクトは、サポートされているAmazon S3ストレージクラスを使用し、サポートされているファイルまたはストレージフォーマットのファイル名拡張子を持っている場合、分類可能です。Macie を使用して、オブジェクト内の機密データを検出できます。詳細については、[サポートされているストレージクラスとフォーマット](discovery-supported-storage.md)を参照してください。
**ストレージ** と **オブジェクト** の統計には、Macie がアクセスするのを許可されていないバケット内のオブジェクトに関するデータは含まれないことに注意してください。このようなケースを特定するには、ダッシュボードの **[カバレッジ問題]** セクションにある **[アクセス拒否]** 統計を選択します。
### 自動検出
このセクションでは、Amazon Macie が Amazon S3 データに対してこれまでに実行した機密データ自動検出アクティビティのステータスと結果をキャプチャします。次の図は、このセクションが提供する統計の例を示しています。
![\[ダッシュボードの [自動検出] セクション。グラフと関連フィールドのデータはサンプルです。\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/scrn-summary-dashboard-asdd.png)
このセクションの個々の統計は以下のとおりです。
**バケットの総数**
ドーナツグラフは、バケットインベントリ内のバケットの総数を示します。このグラフは、各バケットの現在の機密性スコアに基づいてバケットをカテゴリ別に次のようにグループ化します。
+ **高機密性** (赤) — 機密性スコアが51~100の範囲にあるバケットの総数。
+ **低機密性** (青) — 機密性スコアが1~49の範囲にあるバケットの総数。
+ **分析が未完了** (ライトグレー) — 機密性スコアが50のバケットの総数。
+ **分類エラー** (濃い灰色) — 機密性スコアが-1のバケットの総数
Macie が定義する機密性スコアとラベルの範囲の詳細については、[S3 バケットの機密スコア](discovery-scoring-s3.md) を参照してください。
グループのその他の統計情報を確認するには、そのグループにカーソルを合わせます。
+ **バケット** — アカウント内のバケットの総数。
+ **パブリックアクセス可能** — 一般ユーザーがバケットへの読み取りまたは書き込みアクセス権を持つことを許可するバケットの数とパーセンテージ。
+ **分類可能** – バケット内で Macie が分析できるすべてのオブジェクトの合計ストレージサイズ。これらのオブジェクトは、サポートされているAmazon S3ストレージクラスを使用し、サポートされているファイルまたはストレージ形式のファイル名拡張子を持っています。詳細については、[サポートされているストレージクラスとフォーマット](discovery-supported-storage.md)を参照してください。
+ **合計バイト数** — すべてのバケットの合計ストレージサイズ。
前述の統計では、ストレージサイズの値は、バケット内の各オブジェクトの最新バージョンのストレージサイズに基づきます。いずれかのオブジェクトが圧縮ファイルである場合、これらの値は解凍後のファイルの実際のサイズを反映しません。
**機密性**
この領域には、現時点で機密性スコアが *51*~*100* の範囲にあるバケットの総数が示されます。このグループ内の **パブリックアクセス可能**は、一般ユーザーもバケットへの読み取りまたは書き込みアクセス権を持つことが許可されるバケットの総数を示します。
**非機密**
この領域には、現時点で機密性スコアが *1*~*49* の範囲にあるバケットの総数が示されます。このグループ内の **[パブリックアクセス可能]**は、一般ユーザーもバケットへの読み取りまたは書き込みアクセス権を持つことが許可されるバケットの総数を示します。
**[パブリックアクセス可能]**統計の値を決定および計算するために、Macie はアカウントとバケットのパブリックアクセスをブロックする設定や、バケットのバケットポリシーなど、各バケットのアカウントレベルとバケットレベルの設定を組み合わせて分析します。Macie は、アカウントに対して最大 10,000 個のバケットに対してこれを行います。詳細については、「[Macie が Amazon S3 データセキュリティをモニタリングする方法](monitoring-s3-how-it-works.md)」を参照してください。
**[自動検出]** セクションの統計には、作成して実行する機密データ検出ジョブの結果は含まれないことに注意してください。
### カバレッジ問題
このセクションでは、特定のタイプの問題によって Amazon Macie が個々の S3 バケット内のオブジェクトを分析できなかったかどうかを統計で示します。次の図は、このセクションが提供する統計の例を示しています。
![\[ダッシュボードの [カバレッジ問題] セクション。各フィールドのデータはサンプルです。\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/scrn-summary-dashboard-coverage.png)
このセクションの個々の統計は以下のとおりです。
+ **アクセス拒否** — Macie がアクセスを許可されていないバケットの総数。Macie はこれらのバケット内のオブジェクトを一切分析できません。バケットのアクセス許可設定により、Macie はバケットとバケットのオブジェクトにアクセスできなくなります。
+ **分類エラー** — オブジェクトレベルの分類エラーにより Macie がまだ分析していないバケットの総数。Macie は、これらのバケット内の 1 つ以上のオブジェクトを分析しようとしました。しかし、オブジェクトレベルのアクセス許可設定、オブジェクトコンテンツ、またはクォータに問題があったため、Macie はそのオブジェクトを分析できませんでした。
+ **分類不可** — 分類可能なオブジェクトを一切保存していないバケットの総数です。Macie はこれらのバケット内のオブジェクトを一切分析できません。すべてのオブジェクトは、Macie がサポートしていない Amazon S3 ストレージクラスを使用しているか、Macie がサポートしていないファイルまたはストレージ形式のファイル名拡張子が付いています。
統計の値を選択すると、追加の詳細と、該当する場合修復ガイダンスが表示されます。アクセスの問題や分類エラーを修正すれば、その後の分析サイクルで Amazon S3 データのカバレッジを拡大できます。詳細については、「[機密データ自動検出カバレッジの評価](discovery-coverage.md)」を参照してください。
**[カバレッジ問題]** セクションの統計には、作成して実行する機密データ検出ジョブの結果は含まれないことに注意してください。ただし、機密データ自動検出に影響があるカバレッジ問題を修正すると、その後に実行する機密データ検出ジョブによってカバレッジも向上する可能性があります。
# S3 バケットマップによるデータ機密性の視覚化
Amazon Macie コンソールでは、**S3 バケット**ヒートマップにより、Amazon Simple Storage Service (Amazon S3) データエステート全体のデータ機密性がインタラクティブで視覚的に表現されます。また、Macie が現在の AWS リージョン内の Amazon S3 アカウントに対してこれまでに実行した機密データ自動検出アクティビティの結果がキャプチャされます。
お客様が組織の Macie 管理者である場合、マップには、メンバーアカウントが所有する S3 バケットの結果が含まれます。次の図に示すように、データはアカウント ID でグループ化 AWS アカウント およびソートされます。
![\[S3 バケットマップ。アカウント別にグループ化され、異なる色で色分けされたバケットごとの四角形が表示されます。\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/scrn-s3-map-small.png)
マップには、アカウントごとに最大 100 個の S3 バケットのデータが表示されます。すべてのバケットのデータを表示するには、[テーブルビューに切り替え](discovery-asdd-results-s3-inventory-table.md)て、代わりに表形式でデータを確認できます。
コンソールの左側のナビゲーションペインで、**S3 バケット** を選択します。ページの上部で、名前の変更を選択します。このマップは、機密データ自動検出が現在有効になっている場合にのみ使用できます。作成して実行する機密データ検出ジョブの結果は含まれません。
**Topics**
+ [S3 バケットマップ内のデータの解釈](#discovery-asdd-results-s3-inventory-map-legend)
+ [S3 バケットマップを操作する](#discovery-asdd-results-s3-inventory-map-use)
## S3 バケットマップ内のデータの解釈
**S3 バケット**マップでは、各四角形はバケットインベントリ内の S3 汎用バケットを表します。四角の色はバケットの現在の機密性スコアを表します。これは、Macie がバケット内で見つけた機密データの量と Macie がバケット内で分析したデータの量という 2 つの主要な指標の共通点を測定します。色相の濃さは、次の図に示すように、スコアがデータ機密性値の範囲内のどの部分に当てはまるかを表しています。
![\[機密スコアの色スペクトル: 1~49 の場合は青色、51~100 の場合は赤色、-1 の場合は灰色。\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/sensitivity-scoring-spectrum.png)
一般に、色と色相の濃さは次のように解釈できます。
+ **青** — バケットの現在の機密性スコアが 1~49 の範囲であれば、バケットの四角形は青で、バケットの機密性ラベルは **[低機密性]** です。青の色相の濃さは、バケット内の一意のオブジェクトの総数に関連して、Macie がバケット内で分析した一意のオブジェクトの数を反映しています。色相が濃いほど、機密性スコアが低くなります。
+ **色なし** — バケットの現在の機密性スコアが 50 の場合、バケットの四角形は色付けされず、バケットの機密性ラベルは**分析が未完了** です。さらに、四角形には破線が付いています。
+ **赤** — バケットの現在の機密性スコアが*51*~*100*の場合、バケットの四角形は赤で、バケットの機密性ラベルは**[高機密性]** です。赤の色相の濃さは、Macie がバケット内で検出した機密データの量を反映しています。色相が暗いほど、機密性スコアが高いことを示します。
+ **グレー** — バケットの現在の機密性スコアが -1 の場合、バケットの四角形は濃い灰色で、バケットの機密性ラベルは **[分類エラー]** です。色相の濃さは変化しません。
Macie が定義する機密性スコアとラベルの範囲の詳細については、[S3 バケットの機密スコア](discovery-scoring-s3.md) を参照してください。
マップでは、S3 バケットの四角形にはシンボルも含まれている場合があります。このシンボルはエラー、問題、またはバケットの機密性の評価に影響する可能性のあるその他の考慮事項を示しています。シンボルは、バケットがパブリックアクセス可能であるといった、バケットのセキュリティに関する潜在的な問題を示す場合もあります。次の表は、Macie がこれらのケースを通知するために使用する記号の一覧です。
| 記号 | 定義 | 説明 |
| --- | --- | --- |
| ![\[The Access denied symbol, which is a gray exclamation point.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/icon-map-access-denied.png) | アクセスが拒否されました | Macie はバケットやバケットのオブジェクトにアクセスすることが許可されていません。そのため、Macie はバケット内のオブジェクトを分析できません。 この問題は通常、バケットに制限があるバケットポリシーが設定されているために発生します。この問題の対処方法については、[Macie が S3 バケットおよびオブジェクトにアクセスすることを許可する](monitoring-restrictive-s3-buckets.md)を参照してください。 |
| ![\[The Publicly accessible symbol, which is a solid, gray, upward-facing arrow.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/icon-map-publicly-accessible.png) | パブリックアクセス可能 | 一般ユーザーは、バケットへの読み取りまたは書き込みのアクセス権を持っています。 この決定を行うために、Macie はアカウントとバケットのパブリックアクセスブロック設定、バケットのバケットポリシーなど、各バケットの設定の組み合わせを分析します。Macie は、アカウントに対して最大 10,000 個のバケットに対してこれを行うことができます。詳細については、「[Macie が Amazon S3 データセキュリティをモニタリングする方法](monitoring-s3-how-it-works.md)」を参照してください。 |
| ![\[The Unclassifiable symbol, which is a gray question mark.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/icon-map-unclassifiable.png) | 分類不可 | Macie はバケット内のどのオブジェクトも分析できません。バケットのすべてのオブジェクトには、Macie がサポートしていない Amazon S3 ストレージクラスが使用されているか、Macie がサポートしていないファイルまたはストレージ形式のファイル名拡張子が付いています。 Macie がオブジェクトを分析するには、オブジェクトはサポートされているストレージクラスを使用し、サポートされているファイルまたはストレージ形式のファイル名拡張子を有している必要があります。詳細については、「[サポートされているストレージクラスとフォーマット](discovery-supported-storage.md)」を参照してください。 |
| ![\[The Zero bytes symbol, which is the number zero.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/icon-map-zero-bytes.png) | 0 バイト | このバケットには Macie が分析するオブジェクトは保存されていません。バケットが空か、バケット内のすべてのオブジェクトにゼロ (0) バイトのデータが含まれています。 |
## S3 バケットマップを操作する
**S3 バケット** マップを確認すると、さまざまな方法でマップを操作して、個々のアカウントやバケットの追加データや詳細を確認したり評価したりできます。マップを表示し、マップが提供するさまざまな機能を操作するには、次の手順に従います。
**S3 バケットマップを操作するには**
1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。
1. ナビゲーションペインで、**S3 バケット**を選択します。**S3 バケット**には、バケットインベントリのマップが表示されます。ページにインベントリが表形式で表示されている場合は、ページ上部の map ![\[The map view button, which is a button that displays four black squares.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/btn-s3-map-view.png) を選択します。
デフォルトでは、自動機密データ検出から現在除外されているバケットのデータはマップに表示されません。お客様が組織の Macie 管理者である場合、機密データの自動検出が現在無効になっているアカウントのデータも表示されません。このデータを表示するには、フィルターボックスの下にある **[自動検出によってモニタリング]** フィルタートークンで **X** を選択します。
1. ページの上部で、必要に応じて、更新![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/btn-refresh-data.png) を選択して、Amazon S3 から最新のバケットメタデータを取得します。
1. **S3 バケット** マップで、次のいずれかを実行します。
+ 特定の機密ラベルを持つバケットの数を確認するには、 AWS アカウント ID のすぐ下にある色付きバッジを参照してください。バッジには、機密性ラベル別に分類された集計されたバケット数が表示されます。
たとえば、赤のバッジは、アカウントが所有しており**[高機密性]** ラベルが付いているバケットの総数を示しています。これらのバケットの機密性スコアは 51~100 の範囲です。青のバッジは、そのアカウントが所有していて、**低機密性** というラベルが付いたバケットの総数を示しています。これらのバケットの機密性スコアは 1~49 の範囲です。
+ バケットに関する情報のサブセットを確認するには、バケットの四角形にカーソルを合わせます。ポップオーバーにはバケットの名前と現在の機密性スコアが表示されます。
ポップオーバーには、Macie がバケット内で分析できるオブジェクトの総数と、それらのオブジェクトの最新バージョンの合計ストレージサイズも表示されます。これらのオブジェクトは分類可能です。サポートされている Amazon S3 ストレージクラスを使用し、サポートされているファイルまたはストレージ形式のファイル名拡張子が付いています。詳細については、[サポートされているストレージクラスとフォーマット](discovery-supported-storage.md)を参照してください。
+ マップをフィルタリングし、フィールドに対して特定の値を持つバケットのみを表示するには、フィルターボックスにカーソルを置き、フィールドでフィルター条件を追加します。Macie は条件の基準を適用し、フィルターボックスの下に条件を表示します。結果をさらに絞り込むには、追加のフィールドでフィルター条件を追加します。詳細については、[S3 バケットインベントリをフィルタリングする](monitoring-s3-inventory-filter.md)を参照してください。
+ 特定のアカウントが所有するバケットだけをドリルダウンして表示するには、そのアカウントのアカウント ID を選択します。Macie によって新しいタブが開かれ、そのアカウントのみのデータがフィルタリングして表示されます。
1. 特定のバケットのデータ機密性統計およびその他の情報を確認するには、バケットの二乗を選択します。次に、詳細パネルを参照します。その詳細については、「[S3 バケットのデータ機密情報の確認](discovery-asdd-results-s3-inventory-details.md)」を参照してください。
**ヒント**
詳細パネルでは、多くのフィールドをピボットしてドリルダウンできます。フィールドに対して同じ値を持つバケットを表示するには、フィールドで ![\[The zoom in icon, which is a magnifying glass that has a plus sign in it.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/icon-magnifying-glass-plus-sign.png) を選択します。フィールドに対して他の値を持つバケットを表示するには、フィールドで ![\[The zoom out icon, which is a magnifying glass that has a minus sign in it.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/icon-magnifying-glass-minus-sign.png) を選択します。
# S3 バケットテーブルによるデータ機密性の評価
Amazon Simple Storage Service (Amazon S3) バケットの概要情報を確認するには、Amazon Macie コンソールの **S3 バケット**テーブルを使用できます。テーブルを使用すると、現在の の汎用バケットのインベントリを確認および分析し AWS リージョン、ドリルダウンして個々のバケットの詳細情報と統計を確認できます。お客様が組織の Macie 管理者である場合、テーブルにはメンバーアカウントが所有するバケットに関する情報が含まれます。プログラムでデータにアクセスしてクエリを実行する場合は、Amazon Macie API の [DescribeBuckets](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3.html) オペレーションを使用できます。
コンソールで、テーブルを並べ替えてフィルタリングし、てビューをカスタマイズできます。テーブルからカンマ区切り値 (CSV) ファイルにデータをエクスポートすることもできます。テーブルで S3 バケットを選択すると、詳細パネルにバケットに関する追加情報が表示されます。これには、バケットのデータのセキュリティとプライバシーに関する洞察を提供する設定とメトリクスの詳細と統計が含まれます。機密データの自動検出が有効な場合、Macie がバケットに対してこれまで実行した機密データ自動検出アクティビティの結果をキャプチャしたデータも、これに含まれます。
**S3 バケットテーブルを使用してデータの機密性を評価するには**
1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。
1. ナビゲーションペインで、**S3 バケット**を選択します。**S3 バケット**ページにはバケットインベントリが表示されます。
デフォルトでは、自動機密データ検出から現在除外されているバケットのデータはこのページに表示されません。お客様が組織の Macie 管理者である場合、機密データの自動検出が現在無効になっているアカウントのデータも表示されません。このデータを表示するには、フィルターボックスの下にある **[自動検出によってモニタリング]** フィルタートークンで **X** を選択します。
1. ページの上部で、テーブル (![\[The table view button, which is a button that displays three black horizontal lines.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/btn-s3-table-view.png)) を選択します。S3 バケットページが開き、インベントリ内のバケットの数とバケットのテーブルが表示されます。
1. Amazon S3 から最新のバケットメタデータを取得するには、ページの上部の [refresh] (更新) (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/btn-refresh-data.png)) を選択します。
情報アイコン![\[The information icon, which is a blue circle that has a lowercase letter i in it.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/icon-info-blue.png)がバケット名の横に表示された場合、これを行うことをお勧めします。このアイコンは、Macie が [毎日の更新サイクル](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh) の一部として Amazon S3 からバケットとオブジェクトメタデータをおそらく最後に取得した後の過去 24 時間にバケットが作成されたことを示します。
1. **S3 バケット** ページで、テーブルを使用して、インベントリ内の各バケットに関する情報のサブセットを確認します。
+ **機密性** — バケットの現在の機密性スコア。Macie が定義する機密性スコアの範囲については、[S3 バケットの機密スコア](discovery-scoring-s3.md)を参照してください。
+ **バケット** — バケットの名前。
+ **アカウント** – バケットを所有 AWS アカウント する のアカウント ID。
+ **分類可能なオブジェクト**– バケット内の機密データを検出するために Macie が分析できるオブジェクトの総数。
+ **分類可能なサイズ** – バケット内の機密データを検出するために Macie が分析できるすべてのオブジェクトの合計ストレージサイズ。
この値は、圧縮解除後の圧縮オブジェクトの実際のサイズを反映していません。また、バケットでバージョニングが有効化されている場合、この値は、バケット内の各オブジェクトの最新バージョンのストレージサイズに基づきます。
+ **ジョブによるモニタリング** - 機密データ検出ジョブがバケット内のオブジェクトを毎日、毎週、または毎月ベースで定期的に分析するように設定しているかどうか。
このフィールドの値が *はい*の場合、バケットが定期的なジョブに明示的に含まれるか、バケットが過去 24 時間以内の定期的なジョブの基準に一致したことになります。さらに、それらのジョブの少なくとも 1 つのステータスは *キャンセル*されません。Macie は毎日ベースでこのデータを更新します。
+ **最新のジョブ実行** — バケット内のオブジェクトを分析するように 1 回限りまたは定期的な機密データ検出ジョブを設定している場合、このフィールドには、これらのジョブのいずれかの実行が開始された最新の時刻が示されます。それ以外の場合は、このフィールドにはダッシュ (–) が表示されます。
前述のデータでは、オブジェクトは、サポートされているAmazon S3のストレージクラスを使用し、サポートされているファイルまたはストレージフォーマットのファイル名拡張子を持っていれば、分類可能です。Macie を使用して、オブジェクト内の機密データを検出できます。詳細については、[サポートされているストレージクラスとフォーマット](discovery-supported-storage.md)を参照してください。
1. テーブルを使用してインベントリを分析するには、次のいずれかの操作を行います。
+ 特定のフィールドでテーブルを並べ替えるには、フィールドの列見出しをクリックします。並べ替え順序を変更するには、列見出しをもう一度クリックします。
+ テーブルをフィルタリングし、フィールドに対して特定の値を持つバケットのみを表示するには、フィルターボックスにカーソルを置き、フィールドでフィルター条件を追加します。結果をさらに絞り込むには、追加のフィールドでフィルター条件を追加します。詳細については、「[S3 バケットインベントリをフィルタリングする](monitoring-s3-inventory-filter.md)」を参照してください。
+ 特定のバケットのデータ機密性統計およびその他の情報を確認するには、バケットの名前を選択します。次に、詳細パネルを参照します。その詳細については、「[S3 バケットの詳細の確認](discovery-asdd-results-s3-inventory-details.md)」を参照してください。
**ヒント**
詳細パネルでは、多くのフィールドをピボットしてドリルダウンできます。フィールドに対して同じ値を持つバケットを表示するには、フィールドで ![\[The zoom in icon, which is a magnifying glass that has a plus sign in it.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/icon-magnifying-glass-plus-sign.png) を選択します。フィールドに対して他の値を持つバケットを表示するには、フィールドで ![\[The zoom out icon, which is a magnifying glass that has a minus sign in it.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/icon-magnifying-glass-minus-sign.png) を選択します。
1. テーブルから CSV ファイルにデータをエクスポートするには、エクスポートする各行のチェックボックスを選択するか、選択列見出しのチェックボックスを選択してすべての行を選択します。次に、ページ上部の **CSV にエクスポート**を選択します。テーブルから最大 50,000 行をエクスポートできます。
1. 1 つ以上のバケット内のオブジェクトをより深く、より迅速に分析するには、各バケットのチェックボックスをオンにします。次に、**ジョブの作成** を選択します。詳細については、「[機密データ検出ジョブの作成](discovery-jobs-create.md)」を参照してください。
# S3 バケットのデータ機密情報の確認
機密データの自動検出が進むにつれて、Amazon Macie が各 Amazon Simple Storage Service (Amazon S3) バケットについて提供する統計やその他の情報で詳細な結果を確認できます。お客様が組織の Macie 管理者である場合、これには、お客さまのメンバーアカウントが所有するバケットが含まれます。
統計およびその他の情報には、S3 バケットのデータのセキュリティとプライバシーに関する洞察を提供する詳細が含まれます。また、Macie がバケットに対してこれまでに実行した機密データ自動検出アクティビティの結果もキャプチャします。たとえば、Macie が分析したオブジェクトのリストをバケットで見つけることができます。Macie がバケット内で検出した機密データのタイプと出現回数の内訳も確認できます。このデータには、作成して実行した機密データ検出ジョブの結果は含まれません。
Macie は、機密データの自動検出を実行しながら、S3 バケットの統計と詳細を自動的に再計算して更新します。例えば、次のようになります。
+ Macie が S3 オブジェクト内に機密データを見つけられない場合、Macie はバケットの機密性スコアを下げ、必要に応じてバケットの機密ラベルを更新します。Macie は、分析用に選択したオブジェクトのリストにオブジェクトも追加します。
+ Macie が S3 オブジェクトで機密データを見つけると、Macie はそれらの出現を Macie がバケット内で見つけた機密データタイプの内訳に追加します。また、Macie は必要に応じてバケットの機密性スコアを上げ、バケットの機密ラベルを更新します。さらに、Macie は分析用に選択したオブジェクトのリストにオブジェクトを追加します。これらのタスクは、オブジェクトについて機密データの結果を作成する以外にも行われます。
+ Macie が後に変更または削除された S3 オブジェクトで機密データを検出した場合、Macie はバケットの機密データタイプの内訳からオブジェクトの機密データの出現を削除します。また、Macie は必要に応じてバケットの機密性スコアを下げ、バケットの機密ラベルを更新します。さらに、Macie は分析用に選択したオブジェクトのリストからオブジェクトを削除します。
+ Macie が S3 オブジェクトの分析を試みても、問題またはエラーにより分析が妨げられる場合、Macie は分析用に選択したオブジェクトのリストにオブジェクトを追加し、オブジェクトを分析できなかったことを示します。
お客様が組織の Macie 管理者であるか、スタンドアロンの Macie アカウントをお持ちの場合は、オプションでこれらの詳細を使用して S3 バケットの特定の自動検出設定を評価および調整できます。たとえば、特定のタイプの機密データをバケットのスコアに含めたり除外したりできます。詳細については、[S3 バケットの機密スコアを調整する](discovery-asdd-s3bucket-manage.md)を参照してください。
**S3 バケットのデータ機密性の詳細を確認するには**
S3 バケットのデータ機密性やその他の詳細を確認するには、Amazon Macie コンソールまたは Amazon Macie API を使用できます。コンソールの詳細パネルでは、この情報に一元的にアクセスできます。API を使用すると、データをプログラムで取得して処理できます。
------
#### [ Console ]
Amazon Macie コンソールを使用して S3 バケットのデータ機密性やその他の詳細を確認するには、次の手順に従います。
**S3 バケットの詳細を確認するには**
1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。
1. ナビゲーションペインで、**S3 バケット**を選択します。**S3 バケット**ページには、バケットインベントリのインタラクティブマップが表示されます。オプションで、ページの上部にあるテーブル ![\[The table view button, which is a button that displays three black horizontal lines.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/btn-s3-table-view.png) を選択すると、インベントリが表形式で表示されます。
デフォルトでは、自動機密データ検出から現在除外されているバケットのデータはこのページに表示されません。お客様が組織の Macie 管理者である場合、機密データの自動検出が現在無効になっているアカウントのデータも表示されません。このデータを表示するには、フィルターボックスの下にある **[自動検出によってモニタリング]** フィルタートークンで **X** を選択します。
1. Amazon S3 から最新のバケットメタデータを取得するには、ページの上部の [refresh] (更新) (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/btn-refresh-data.png)) を選択します。
1. 詳細を確認するバケットを選択します。詳細パネルには、データ機密性統計およびバケットに関するその他の情報が表示されます。
パネルの上部には、バケットの名前、バケットを所有 AWS アカウント する のアカウント ID、バケットの現在の機密スコアなど、バケットに関する一般的な情報が表示されます。お客様が Macie 管理者であるか、スタンドアロンの Macie アカウントをお持ちの場合、バケットの特定の自動検出設定を変更するオプションも指定できます。その他の設定や情報は、以下のタブにまとめられています。
[機密性](#discovery-asdd-results-s3-inventory-sensitivity-details) \$1 [バケットの詳細](#discovery-asdd-results-s3-inventory-bucket-details) \$1 [オブジェクトサンプル](#discovery-asdd-results-s3-inventory-sample-details) \$1 [機密データ検出](#discovery-asdd-results-s3-inventory-sdd-details)
各タブの個別の設定と情報は次のとおりです。
**感性**
このタブには、バケットの現在の機密性スコアが -1 から 100 の範囲で表示されます。Macie が定義する機密性スコアの範囲については、[S3 バケットの機密スコア](discovery-scoring-s3.md)を参照してください。
このタブには、Macie がバケットのオブジェクト内で見つけた機密データのタイプと、各タイプの出現回数も表示されます。
+ **機密データタイプ** — データを検出したマネージドデータ識別子の一意の識別子 (ID)、またはデータを検出したカスタムデータ識別子の名前。
マネージドデータ識別子の ID は、検出する機密データのタイプを表します。例えば、米国のパスポート番号の場合は **USA\$1PASSPORT\$1NUMBER** です。各マネージドデータ識別子の詳細については、[マネージドデータ識別子の使用](managed-data-identifiers.md)を参照してください。
+ **カウント** — マネージドデータ識別子またはカスタムデータ識別子が検出したデータの出現数の合計。
+ **スコアステータス** – お客様が Macie 管理者か、スタンドアロンの Macie アカウントをお持ちの場合、このフィールドが表示されます。このフィールドでは、データの出現回数をバケットの機密性スコアに含めるか、除外するかを指定します。
Macie がバケットのスコアを計算する場合、スコアから特定のタイプの機密データを含めるか除外して計算を調整できます。含めるか除外する機密データを検出した識別子のチェックボックスを選択し、**アクション**メニューのオプションを選択します。詳細については、「[S3 バケットの機密スコアを調整する](discovery-asdd-s3bucket-manage.md)」を参照してください。
Macie が現在バケットに保存されているオブジェクトに機密データを見つけられない場合、このセクションには **[検出が見つかりません]** というメッセージが表示されます。
**機密**タブには、Macie が分析した後に変更または削除されたオブジェクトのデータが含まれていないことに注意してください。分析後にオブジェクトが変更または削除されると、Macie は適切な統計とデータを自動的に再計算して更新し、オブジェクトを除外します。
**バケットの詳細**
このタブには、データセキュリティやプライバシー設定など、バケットの設定に関する詳細が表示されます。たとえば、バケットのパブリックアクセス設定の内訳を確認し、バケットがオブジェクトをレプリケートするか、他の AWS アカウントと共有するかを判断できます。
最終更新フィールドは、毎日の更新サイクルの一部として、Macie がバケットとバケットのオブジェクトの両方について Amazon S3 からメタデータを最後に取得した日時を示します。。**[最新の自動検出実行]** フィールドには、Macie が機密データ自動検出を実行中にバケット内のオブジェクトを最後に分析した日時が表示されます。この分析が実行されていない場合、このフィールドにはダッシュ (–) が表示されます。
タブは、Macie がバケット内で分析できるデータの量を評価するのに役立つオブジェクトレベルの統計も示します。また、機密データ検出ジョブがバケット内のオブジェクトを分析するように設定したかどうかも示されます。設定した場合は、最後に実行されたジョブに関する詳細にアクセスし、必要に応じてジョブが生成した検出結果を表示できます。
場合によっては、このタブにバケットのすべての詳細が含まれていないことがあります。これは、Amazon S3 に 10,000 を超えるバケットを保存する場合に発生する可能性があります。Macie は、アカウントの 10,000 バケットのみの完全なインベントリデータを保持します。これは、最近作成または変更された 10,000 バケットです。ただし、Macie はこのクォータを超えるバケット内のオブジェクトを分析できます。バケットの追加の詳細を確認するには、Amazon S3 を使用します。
このタブの情報の詳細については、[S3 バケットの詳細を確認する](monitoring-s3-inventory-review.md#monitoring-s3-inventory-view-details)を参照してください。
**オブジェクトのサンプル**
このタブには、バケットに対する機密データ自動検出を実行中、Macie が分析対象として選択したオブジェクトが一覧表示されます。オプションでオブジェクトの名前を選択すると、Amazon S3 コンソールが開き、オブジェクトのプロパティが表示されます。
リストには最大 100 のオブジェクトのデータが含まれます。このリストは、**[オブジェクト機密性]** フィールド、**[機密性]**、その次に **[低機密性]** 、その次に Macie が分析できなかったオブジェクトの値に基づいて入力されます。
リストの **[オブジェクト機密性]** フィールドには、Macie がオブジェクト内に次の機密データを見つけたかどうかが示されます。
+ **機密性** — Macie はオブジェクト内に少なくとも 1 つの機密データを検出しました。
+ **低機密性** — Macie はオブジェクト内に機密データを検出しませんでした。
+ **—** (ダッシュ) — 問題またはエラーのため、Macie はオブジェクトの分析を完了できませんでした。
**分類結果** フィールドには、Macie がオブジェクトを分析できたかどうかが表示されます。
+ **Complete** (完了) — Macie はオブジェクトの分析を完了しました。
+ **部分的** — Macie は問題またはエラーのため、オブジェクト内のデータのサブセットのみを分析しました。例えば、オブジェクトはサポートされていない形式のファイルを含むアーカイブファイルです。
+ **スキップ** — 問題またはエラーのため、Macie はオブジェクト内のデータを分析できませんでした。たとえば、オブジェクトは Macie が使用を許可されていないキーを用いて暗号化されます。
Macie が分析または分析を試みた後に変更または削除されたオブジェクトは、リストに含まれていないことに注意してください。Macie は、オブジェクトが後で変更または削除された場合、そのオブジェクトをリストから自動的に削除します。
**機密データ検出**
このタブには、バケットの集計機密データの自動検出統計が表示されます。
+ **分析されたバイト数** — Macie がバケット内で分析したデータの総量 (バイト単位)。
+ **分類可能** – バケット内で Macie が分析できるすべてのオブジェクトの合計ストレージサイズ。前のデータでは、オブジェクトがサポートされている Amazon S3 ストレージクラスを使用し、サポートされているファイルまたはストレージ形式のファイル名拡張子を持っている場合、オブジェクトは 分類可能です。詳細については、[サポートされているストレージクラスとフォーマット](discovery-supported-storage.md)を参照してください。
+ **検出数の合計** — Macie がバケット内で検出した機密データの出現数の合計。これには、バケットの機密性スコアリング設定によって現在抑制されているデータが含まれます。
**分析されたオブジェクト** チャートには、Macie がバケット内で分析したオブジェクトの総数が表示されます。また、Macie が機密データを見つけた、または見つけなかったオブジェクトの数も視覚的に表示されます。グラフの下の凡例には、これらの結果の内訳が示されています。
+ **機密性**オブジェクト (赤) — Macie が機密データの出現を少なくとも 1 回検出したオブジェクトの総数。
+ **低機密性** オブジェクト (青) — Macie が機密データを検出しなかったオブジェクトの総数。
+ **スキップされたオブジェクト** (濃い灰色) — 問題またはエラーが原因で Macie が分析できなかったオブジェクトの総数。
グラフの凡例の下の領域には、特定のタイプのアクセス許可の問題や暗号化エラーが発生したために Macie がオブジェクトを分析できなかった事例の内訳が示されます。
+ **スキップ済み: 無効な暗号化** – お客様が用意したキーで暗号化されたオブジェクトの総数。Macie はこのようなキーにアクセスできません。
+ **スキップ: 無効な KMS** – 使用できなくなった AWS Key Management Service (AWS KMS) キーで暗号化されたオブジェクトの総数。これらのオブジェクトは、無効になっている、削除がスケジュールされている、または削除された AWS KMS keys で暗号化されます。Macie はこのようなキーを使用できません。
+ **スキップ済み: アクセスが許可されません** — オブジェクトのアクセス許可設定、またはそのオブジェクトの暗号化に使用されたキーのアクセス許可設定により、Macie がアクセスできないオブジェクトの総数。
このような問題や発生する可能性があるその他のタイプの問題やエラーの詳細については、「[カバレッジ問題を修正する](discovery-coverage-remediate.md)」を参照してください。このような問題やエラーを修正すれば、その後の分析サイクルでバケットのデータのカバレッジを拡大できます。
**機密データ検出** タブの統計には、Macie が分析または分析を試みた後に変更または削除されたオブジェクトのデータは含まれていません。Macie がオブジェクトを分析または分析しようとした後にオブジェクトが変更または削除された場合、Macie はこれらの統計を自動的に再計算してオブジェクトを除外します。
------
#### [ API ]
S3 バケットのデータ機密性やその他の詳細をプログラムで取得するには、いくつかのオプションがあります。適切なオプションは、取得する詳細によって異なります。
+ バケットの現在の機密スコアと集計された分析統計を取得するには、[GetResourceProfile](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles.html) オペレーションを使用します。または、 AWS Command Line Interface (AWS CLI) を使用している場合は、[get-resource-profile](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-resource-profile.html) コマンドを実行します。統計には、Macie が分析したオブジェクトの数や、Macie が機密データを検出したオブジェクトの数などのデータが含まれます。
+ Macie がバケットで検出した機密データのタイプと量の内訳を取得するには、[ListResourceProfileDetections](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles-detections.html) オペレーションを使用します。または、 を使用している場合は AWS CLI、[list-resource-profile-detections](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-resource-profile-detections.html) コマンドを実行します。この内訳は、各タイプの機密データを検出したマネージドデータ識別子またはカスタムデータ識別子に関する詳細も示します。
+ Macie が分析のためにバケットから選択した最大 100 個のオブジェクトのリストを取得するには、[ListResourceProfileArtifacts](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles-artifacts.html) オペレーションを使用します。または、 を使用している場合は AWS CLI、[list-resource-profile-artifacts](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-resource-profile-artifacts.html) コマンドを実行します。リストでは、オブジェクトごとに、オブジェクトの Amazon リソースネーム (ARN)、Macie がオブジェクトの分析を完了したかどうか、Macie がオブジェクト内で機密データを見つけたかどうかを指定します。
リクエストで、 `resourceArn`パラメータを使用して、詳細を取得するバケットの ARN を指定します。を使用している場合は AWS CLI、 `resource-arn`パラメータを使用して ARN を指定します。
バケットのパブリックアクセス設定など、S3 バケットの詳細については、[DescribeBuckets](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3.html) オペレーションを使用します。を使用している場合は AWS CLI、[describe-buckets](https://docs.aws.amazon.com/cli/latest/reference/macie2/describe-buckets.html) コマンドを実行してこれらの詳細を取得します。リクエストでは、オプションでフィルター条件を使用してバケットの名前を指定します。詳細な説明と例については、[S3 バケットインベントリをフィルタリングする](monitoring-s3-inventory-filter.md) を参照してください。
次の例は、 を使用して AWS CLI S3 バケットのデータ機密性の詳細を取得する方法を示しています。この最初の例では、バケットの現在の機密スコアと集計された分析統計を取得します。
```
$ aws macie2 get-resource-profile --resource-arn arn:aws:s3:::amzn-s3-demo-bucket
```
ここで*、arn:aws:s3::amzn-s3-demo-bucket* はバケットの ARN です。リクエストが成功すると、次のような出力を受け取ります。
```
{
"profileUpdatedAt": "2024-11-21T15:44:46+00:00",
"sensitivityScore": 83,
"sensitivityScoreOverridden": false,
"statistics": {
"totalBytesClassified": 933599,
"totalDetections": 3641,
"totalDetectionsSuppressed": 0,
"totalItemsClassified": 111,
"totalItemsSensitive": 84,
"totalItemsSkipped": 1,
"totalItemsSkippedInvalidEncryption": 0,
"totalItemsSkippedInvalidKms": 0,
"totalItemsSkippedPermissionDenied": 0
}
}
```
次の例では、Macie が S3 バケットで検出した機密データのタイプと、各タイプの出現回数の内訳を取得します。内訳は、データを検出したマネージドデータ識別子またはカスタムデータ識別子も指定します。また、Macie によってスコアが自動的に計算された場合、出現がバケットの機密スコアから現在除外されているかどうか (`suppressed`) も示します。
```
$ aws macie2 list-resource-profile-detections --resource-arn arn:aws:s3:::amzn-s3-demo-bucket
```
*arn:aws:s3::amzn-s3-demo-bucket* はバケットの ARN です。リクエストが成功すると、次のような出力を受け取ります。
```
{
"detections": [
{
"count": 8,
"id": "AWS_CREDENTIALS",
"name": "AWS_CREDENTIALS",
"suppressed": false,
"type": "MANAGED"
},
{
"count": 1194,
"id": "CREDIT_CARD_NUMBER",
"name": "CREDIT_CARD_NUMBER",
"suppressed": false,
"type": "MANAGED"
},
{
"count": 1194,
"id": "CREDIT_CARD_SECURITY_CODE",
"name": "CREDIT_CARD_SECURITY_CODE",
"suppressed": false,
"type": "MANAGED"
},
{
"arn": "arn:aws:macie2:us-east-1:123456789012:custom-data-identifier/3293a69d-4a1e-4a07-8715-208ddexample",
"count": 8,
"id": "3293a69d-4a1e-4a07-8715-208ddexample",
"name": "Employee IDs with keyword",
"suppressed": false,
"type": "CUSTOM"
},
{
"count": 1237,
"id": "USA_SOCIAL_SECURITY_NUMBER",
"name": "USA_SOCIAL_SECURITY_NUMBER",
"suppressed": false,
"type": "MANAGED"
}
]
}
```
この例では、Macie が分析のために S3 バケットから選択したオブジェクトのリストを取得します。オブジェクトごとに、リストには Macie がオブジェクトの分析を完了したかどうか、および Macie がオブジェクト内で機密データを見つけたかどうかも示されます。
```
$ aws macie2 list-resource-profile-artifacts --resource-arn arn:aws:s3:::amzn-s3-demo-bucket
```
*arn:aws:s3::amzn-s3-demo-bucket* はバケットの ARN です。リクエストが成功すると、次のような出力を受け取ります。
```
{
"artifacts": [
{
"arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object1.csv",
"classificationResultStatus": "COMPLETE",
"sensitive": true
},
{
"arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object2.xlsx",
"classificationResultStatus": "COMPLETE",
"sensitive": true
},
{
"arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object3.json",
"classificationResultStatus": "COMPLETE",
"sensitive": true
},
{
"arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object4.pdf",
"classificationResultStatus": "COMPLETE",
"sensitive": true
},
{
"arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object5.zip",
"classificationResultStatus": "PARTIAL",
"sensitive": true
},
{
"arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object6.vssx",
"classificationResultStatus": "SKIPPED"
}
]
}
```
------
# 機密データ自動検出の検出結果を分析する
Amazon Macie は、機密データの自動検出を実行すると、機密データを検出した Amazon Simple Storage Service (Amazon S3) ごとに機密データの検出結果を作成します。機密データの調査結果は、Macie がオブジェクトで検出した機密データの詳細なレポートです。検出結果には、Macie が検出した機密データは含まれません。代わりに、必要に応じてさらなる調査と修復に使用できる情報が提供されます。
各機密データの調査結果には、重要度評価と次のような詳細が示されます。
+ Macie が機密データを検出した日時。
+ Macie が検出した機密データのカテゴリとタイプ。
+ Macie が検出した機密データのタイプごとの出現回数。
+ Macie が機密データ、機密データの自動検出、または機密データ検出ジョブを検出した方法。
+ 影響を受けた S3 バケットおよびオブジェクトに関する名前、パブリックアクセス設定、暗号化タイプ、およびその他の情報。
影響を受けた S3 オブジェクトのファイルタイプまたはストレージ形式によっては、Macie が見つけた機密データの最大 15 までの出現の場所も詳細に含まれます。
Macie は機密データの調査結果を 90 日間保存します。Amazon Macie コンソールまたは Amazon Macie API を使用してそれらにアクセスできます。また、他のアプリケーション、サービス、およびシステムを使用して、調査結果をモニタリングおよび処理することもできます。詳細については、[検出結果の確認と分析](findings.md)を参照してください。
**機密データの自動検出によって得られた結果を分析するには**
機密データ自動検出の実行中に Macie が作成した機密データ検出結果を特定して分析するには、検出結果をフィルタリングします。フィルターを使用すると、検出結果の特定の属性を使用して、検出結果のカスタムビューとクエリを構築します。検出結果をフィルタリングするには、Amazon Macie コンソールを使用するか、Amazon Macie API を使用してプログラムでクエリを送信します。詳細については、「[調査結果のフィルタリング](findings-filter-overview.md)」を参照してください。
**注記**
お客様のアカウントが複数の Macie アカウントを一元的に管理する組織に含まれている場合、自動機密データ検出により組織のアカウントに対して生成される検出結果に直接アクセスできるのは組織の Macie 管理者だけです。お客様がメンバーアカウントを持ち、そのアカウントの検出結果を確認する必要がある場合は、Macie 管理者に連絡してください。
------
#### [ Console ]
Amazon Macie コンソールを使用してサンプル検出結果を作成するには、次のステップに従います。
**自動検出によって生成された結果を分析するには**
1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。
1. ナビゲーションペインで **調査結果**を選択します。
1. [抑制ルール](findings-suppression.md)によって抑制された検出結果を表示するには、**[検索ステータス]** 設定を変更します。次に **アーカイブ済み** を選択して、抑制された調査結果のみを表示するか、**すべて** を選択して、現在の調査結果と抑制された調査結果の両方を表示します。非表示にした結果を再度非表示にするには、**[現在]**を選択します。
1. **[フィルター条件]** ボックスにカーソルを置きます。表示されるフィールドのリストで、**サンプル** を選択します。
このフィールドには、Macie が検出結果、機密データの自動検出、または機密データ検出ジョブの原因となった機密データをどのように見つけたかを指定します。フィルタフィールドのリスト内でこのフィールドを見つけるには、完全なリストを参照するか、フィールド名の一部を入力してフィールドのリストを絞り込みます。
1. フィールドの値として **AUTOMATED\$1SENSITIVE\$1DATA\$1DISCOVERY** を選択し、次に **適用** を選択します。Macie はフィルター基準を適用し、フィルター条件ボックスのフィルタートークンに条件を追加します。
1. 結果を絞り込むには、追加のフィールドにフィルター条件を追加します。例えば、検出果が作成された時間範囲には **[作成日]**、影響を受けたバケットの名前には **[S3 バケット名]**、検出結果を生成した機密データのタイプには **[機密データ検出タイプ]** などのフィルター条件を追加します。
後でこの条件のセットを再度使用する場合は、フィルタールールとして保存できます。これを行うには、**フィルターバーの** **ルールを保存する** を選択します。次に、ルールの名前を入力し、オプションで説明を入力します。終了したら、**保存** を選択します。
------
#### [ API ]
調査結果をプログラムで特定して分析するには、Amazon Macie APIの [ListFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings.html) または [GetFindingStatistics](https://docs.aws.amazon.com/macie/latest/APIReference/findings-statistics.html) オペレーションを使用して送信するクエリでフィルター基準を指定します。**ListFindings** オペレーションは、フィルター基準と一致する結果ごとの 1 つの ID である、検索条件 ID の配列を返します。その後、それらの ID を使用して各検出結果の詳細を取得できます。**GetFindingStatistics** オペレーションは、リクエストで指定したフィールド別にグループ化された、フィルター基準と一致するすべての調査結果に関する集計統計データを返します。検出結果をプログラムでフィルタリングする方法の詳細については、「[調査結果のフィルタリング](findings-filter-overview.md)」を参照してください。
フィルター条件には、`originType` フィールドの条件を含めてください。このフィールドには、Macie が検出結果、機密データの自動検出、または機密データ検出ジョブの原因となった機密データをどのように見つけたかを指定します。機密データ自動検出によって検出結果が生成された場合、このフィールドの値は `AUTOMATED_SENSITIVE_DATA_DISCOVERY` です。
AWS Command Line Interface (AWS CLI) を使用して検出結果を特定して分析するには、[list-findings](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-findings.html) コマンドまたは [get-finding-statistics](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-finding-statistics.html) コマンドを実行します。以下の例では、**list-findings** コマンドを使用して、現在の AWS リージョンにおける機密データ自動検出によって生成された重要度の高いすべての検出結果の検出結果 ID を取得します。
この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。
```
$ aws macie2 list-findings \
--finding-criteria '{"criterion":{"classificationDetails.originType":{"eq":["AUTOMATED_SENSITIVE_DATA_DISCOVERY"]},"severity.description":{"eq":["High"]}}}'
```
この例は Microsoft Windows 用にフォーマットされており、読みやすさを向上させるためにキャレット (^) の行継続文字を使用しています。
```
C:\> aws macie2 list-findings ^
--finding-criteria={\"criterion\":{\"classificationDetails.originType\":{\"eq\":[\"AUTOMATED_SENSITIVE_DATA_DISCOVERY\"]},\"severity.description\":{\"eq\":[\"High\"]}}}
```
コードの説明は以下のとおりです。
+ `classificationDetails.originType` は、**[オリジンタイプ]** フィールドの JSON 名を指定し、
+ eqは、equals演算子を指定します。
+ `AUTOMATED_SENSITIVE_DATA_DISCOVERY` はフィールドの列挙値です。
+ *`severity.description`* は**[重要度]** フィールドの JSON 名を指定し、
+ eqは、equals 演算子を指定します*`eq`* 。
+ *`High`* はフィールドの列挙値です。
リクエストが成功すると、Macie は`findingIds`配列を返します。配列には、次の例に示すように、フィルター基準と一致する各調査結果の一意の識別子がリスト化されます。
```
{
"findingIds": [
"1f1c2d74db5d8caa76859ec52example",
"6cfa9ac820dd6d55cad30d851example",
"702a6fd8750e567d1a3a63138example",
"826e94e2a820312f9f964cf60example",
"274511c3fdcd87010a19a3a42example"
]
}
```
フィルター基準と一致する調査結果がない場合、Macie は空の `findingIds` 配列を返します。
```
{
"findingIds": []
}
```
------
# 機密データ自動検出の検出結果にアクセスする
Amazon Macie は、機密データ自動検出を実行する際、分析対象として選択した各 Amazon Simple Storage Service (Amazon S3) オブジェクトの分析レコードを作成します。これらのレコードは機密データの検出結果と呼ばれ、Macie が個々の S3 オブジェクトに対して実行した分析の詳細を記録します。これには、Macie が機密データを検出しないオブジェクト、およびアクセス許可設定やサポートされていないファイルまたはストレージ形式の使用などのエラーや問題のために Macie が分析できないオブジェクトが含まれます。機密データの検出結果から、データプライバシーと保護の監査や調査に役立つ分析レコードが得られます。
Macie が S3 オブジェクト内の機密データを検出すると、機密データ検出結果に、Macie が検出した機密データに関する情報が含まれます。この情報には、機密データの検出結果に含まれる情報と同じタイプの詳細情報が含まれます。また、Macie が検出した機密データのタイプごとに最大 1,000 件まで、出現の場所などの追加情報も提供されます。例えば、次のようになります。
+ Microsoft Excel ワークブック、CSV ファイル、または TSV ファイル内のセルまたはフィールドの列番号と行番号
+ JSON または JSON Lines ファイル内のフィールドまたは配列へのパス
+ CSV、JSON、JSON Lines、または TSV ファイル以外の非バイナリテキストファイル (HTML、TXT、XML ファイルなど) 内の行の行番号
+ Adobe Portable Document Format (PDF) ファイル内のページのページ番号
+ Apache Avro オブジェクトコンテナまたは Apache Parquet ファイル内のレコードのレコードインデックスとフィールドへのパス
S3 オブジェクトが .tar ファイルや .zip ファイルなどのアーカイブファイルである場合、機密データの検出結果では、Macie がアーカイブファイルから抽出した個別のファイル内の機密データの出現に関する詳細な場所データも提供されます。Macie は、アーカイブファイルの機密データの調査結果にこの情報を含めません。位置データを報告するために、機密データ検出結果は[標準化された JSON スキーマ](findings-locate-sd-schema.md)を使用します。
**注記**
機密データの検出結果と同様に、機密データ検出の結果には、Macie が S3 オブジェクトで検出した機密データは含まれません。代わりに、監査や調査に役立つ分析の詳細情報が提供されます。
Macie は機密データの検出結果を 90 日間保存します。Amazon Macie コンソールまたは Amazon Macie API からそれらに直接アクセスすることはできません。代わりに、それを暗号化して S3 バケットに保存するように Macie を設定します。バケットは、機密データの検出結果のすべての最終的で長期的なリポジトリとして機能します。アカウントのこのリポジトリの場所を確認するには、Amazon Macie コンソールのナビゲーションペインで **[検出結果]** を選択します。Amazon Macie APIの [GetClassificationExportConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/classification-export-configuration.html) オペレーションを使用して、プログラムでこのデータにアクセスすることもできます。アカウントにこのリポジトリを設定していない場合は、[機密データ検出結果の保存と保持](discovery-results-repository-s3.md) でその方法を確認してください。
機密データの検出結果を S3 バケットに保存するように Macie を設定した後、Macie は JSON Lines (.jsonl) ファイルに結果を書き込み、それらのファイルを暗号化し GNU Zip (.gz) ファイルとしてバケットに追加します。機密データ自動検出を実行するため、Macie では、バケット内の `automated-sensitive-data-discovery` という名前のフォルダにファイルを追加します。次に、オプションで、そのフォルダ内の結果にアクセスしてクエリを実行できます。お客様のアカウントが複数の Macie アカウントを一元的に管理する組織に含まれている場合、Macie は Macie 管理者のアカウントでバケット内の `automated-sensitive-data-discovery` フォルダにファイルを追加します。
機密データの検出結果は、標準化されたスキーマに準拠しています。これは、他のアプリケーション、サービス、およびシステムを使用して、それらをクエリ、モニタリング、および処理するのに役立ちます。これらの結果をクエリして使用する方法の詳細な説明例については、 *AWS セキュリティ*ブログのブログ記事「Amazon [ Amazon Athenaと Amazon Quick を使用して Macie 機密データ検出結果をクエリおよび視覚化する方法](https://aws.amazon.com/blogs/security/how-to-query-and-visualize-macie-sensitive-data-discovery-results-with-athena-and-quicksight/)」を参照してください。結果の分析に使用できる Athena クエリのサンプルについては、GitHub の「[Amazon Macie 結果分析リポジトリ](https://github.com/aws-samples/amazon-macie-results-analytics)」を参照してください。このリポジトリでは、結果を取得および復号化するように Athena を設定する手順と、結果のテーブルを作成するためのスクリプトも提供します。
# 機密データ自動検出カバレッジの評価
お客様のアカウントまたは組織の機密データ自動検出が進行するのに従い、Amazon Macie では、Amazon Simple Storage Service (Amazon S3) データエステートのカバレッジを評価してモニタリングするのに役立つ統計と詳細情報を提供します。このデータを使用すると、データエステート全体およびエステート内の個々の S3 バケットについて、機密データ自動検出のステータスを確認できます。Macie が特定バケット内のオブジェクトを分析できなかった問題を特定することもできます。問題を修正すれば、その後の分析サイクルで Amazon S3 データのカバレッジを拡大できます。
カバレッジデータは、現在の AWS リージョンにおける S3 汎用バケットに対する機密データ自動検出の最新ステータスのスナップショットを提供します。お客様が組織の Macie 管理者である場合、これには、お客さまのメンバーアカウントが所有するバケットが含まれます。各バケットのデータには、Macie がバケット内のオブジェクトを分析しようとしたときに問題が発生したかどうかが示されます。問題が発生した場合、データには各問題の性質が示され、発生回数が示されるケースもあります。データは、毎日、機密データ自動検出が進行するたびに更新されます。Macie が毎日の分析サイクル中にバケット内の 1 つ以上のオブジェクトを分析または分析を試みる場合に、Macie はカバレッジやその他のデータを更新して結果を反映します。
特定の種類の問題については、すべての S3 汎用バケットのデータを集計で確認し、必要に応じて各バケットの詳細用にドリルダウンできます。例えば、カバレッジデータを使用すると、Macie がアカウントに対してアクセスすることを許可されていないバケットを迅速に特定できます。カバレッジデータには、発生したオブジェクトレベルの問題も報告されます。分類エラーと呼ばれるこれらの問題により、Macie はバケット内の特定のオブジェクトを分析できませんでした。たとえば、Macie がバケット内で分析できなかったオブジェクトの数を判断できます。オブジェクトは、使用できなくなった AWS Key Management Service (AWS KMS) キーで暗号化されているためです。
Amazon Macie コンソールを使用してカバレッジデータを確認する場合、データビューには各タイプの問題を修正するためのガイダンスも含まれます。このセクションの以降のトピックでは、各タイプの修正ガイダンスも提供します。
**Topics**
+ [カバレッジデータを確認](discovery-coverage-review.md)
+ [カバレッジ問題を修正する](discovery-coverage-remediate.md)
# 機密データ自動検出のカバレッジデータを確認する
機密データ自動検出のカバレッジを確認して評価するには、Amazon Macie コンソールまたは Amazon Macie API を使用します。コンソールと API は両方とも、現在の AWS リージョンでの Amazon Simple Storage Service (Amazon S3) 汎用バケット分析の最新ステータスを示すデータを提供します。データには、分析に差異が生じる問題に関する情報が含まれています。
+ Macie がアクセスを許可されていないバケット。Macie はこれらのバケット内のオブジェクトを一切分析できません。バケットのアクセス許可設定により、Macie はバケットとバケットのオブジェクトにアクセスできなくなります。
+ 分類可能なオブジェクトが一切保存されていないバケット。Macie はこれらのバケット内のオブジェクトを一切分析できません。すべてのオブジェクトは、Macie がサポートしていない Amazon S3 ストレージクラスを使用しているか、Macie がサポートしていないファイルまたはストレージ形式のファイル名拡張子が付いています。
+ オブジェクトレベル分類エラーにより Macie が分析できなかったバケット。Macie は、これらのバケット内の 1 つ以上のオブジェクトを分析しようとしました。しかし、オブジェクトレベルのアクセス許可設定、オブジェクトコンテンツ、またはクォータに問題があったため、Macie はそのオブジェクトを分析できませんでした。
カバレッジデータは、毎日、機密データ自動検出が進行するたびに更新されます。ユーザーが組織の Macie 管理者である場合、データには、組織のメンバーアカウントによって所有されている S3 バケットの情報が含まれます。
**注記**
カバレッジデータには、作成して実行する機密データ検出ジョブの結果が明示的に含まれていません。ただし、機密データ自動検出に影響があるカバレッジ問題を修正すると、その後に実行する機密データ検出ジョブによってカバレッジも向上する可能性があります。ジョブのカバレッジを評価するには、[ジョブの結果を確認します](discovery-jobs-manage-results.md)。ジョブのログイベントやその他の結果でカバレッジ問題が示された場合、[機密データ自動検出の修正ガイダンス](discovery-coverage-remediate.md)がいくつかの問題に対処するのに役立ちます。
**機密データ自動検出のカバレッジデータを確認するには**
機密データ自動検出のカバレッジを確認するには、Amazon Macie コンソールまたは Amazon Macie API を使用します。コンソールでは、1 つのページに、現在のリージョン内の S3 汎用バケットすべてのカバレッジデータが統一ビューで表示されます。これには、各バケットで最近発生した問題のロールアップが含まれます。このページには、問題タイプ別にデータグループを確認するオプションもあります。特定のバケットの問題調査を追跡するために、そのページからデータをカンマ区切り値 (CSV) ファイルにエクスポートできます。
------
#### [ Console ]
Amazon Macie コンソールを使用してカバレッジデータを確認するには、次のステップに従います。
**カバレッジデータを確認する**
1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。
1. ナビゲーションペインで **リソースカバレッジ** を選択します。
1. **リソースカバレッジ** ページで、確認したいカバレッジデータのタイプに対応するタブを選択します。
+ **すべて** – アカウントのすべてのバケットを一覧表示します。各バケットの [**問題**] フィールドには、問題によって Macie がバケット内のオブジェクトを分析できなかったかどうかが示されます。このフィールドの値が **なし** の場合、Macie はバケットのオブジェクトを少なくとも 1 つ分析したか、または Macie がバケットのオブジェクト分析を試みていないことを意味します。問題がある場合、このフィールドに問題の性質と修正方法が表示されます。オブジェクトレベル分類エラーの場合、エラーの発生回数が (括弧内に) 表示されるケースもあります。
+ **アクセス拒否** — Macie がアクセスを許可されていないバケットが一覧表示されます。これらのバケットの権限設定により、Macie はバケットとバケットのオブジェクトにアクセスできなくなります。この結果、Macie はバケット内のオブジェクトを分析できません。
+ **分類エラー** — オブジェクトレベルの分類エラー (オブジェクトレベルの権限設定、オブジェクトコンテンツ、またはクォータに関する問題) が原因で Macie がまだ分析していないバケットが一覧表示されます。各バケットの [**問題**] フィールドには、発生して Macie がバケット内のオブジェクトを分析できなかった各タイプのエラーの性質が表示されます。また、各種エラーの修正方法も示します。エラーによっては、エラーの発生回数が (括弧内に) 表示される場合もあります。
+ **分類不可能** — 分類可能なオブジェクトが保存されていないために Macie が分析できないバケットが一覧表示されます。これらのバケット内のすべてのオブジェクトは、サポートされていない Amazon S3 ストレージクラスを使用しているか、サポートされていないファイルまたはストレージ形式のファイル名拡張子が付いています。この結果、Macie はバケット内のオブジェクトを分析できません。
1. バケットでサポートされているデータをドリルダウンして確認するには、バケットの名前を選択します。次に、バケットに関する統計およびその他の情報については、詳細パネルを参照します。
1. テーブルを CSV ファイルにエクスポートするには、ページ上部の [**CSV にエクスポート**] を選択します。結果の CSV ファイルには、テーブル内の各バケットのメタデータのサブセット (最大 50,000 バケット) が含まれています。このファイルには [**カバレッジ問題**] フィールドが含まれています。このフィールドの値は、問題によって Macie がバケット内のオブジェクトを分析できなかったかどうか、もしできなかった場合は、その問題の性質を示します。
------
#### [ API ]
カバレッジデータをプログラムで確認するには、Amazon Macie API の[DescribeBuckets](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3.html)オペレーションを使用して、送信するクエリでフィルター基準を指定します。このオペレーションは、オブジェクトの配列を返します。各オブジェクトには、フィルター基準を満たす S3 汎用バケットに関する統計データおよびその他の情報が含まれます。
フィルター条件には、確認したいカバレッジデータのタイプに関する条件を含めます。
+ バケットの権限設定により Macie がアクセスできないバケットを特定するには、`errorCode` のフィールドの値が `ACCESS_DENIED` に等しいという条件を含めます。
+ Macie がアクセスを許可されていてまだ分析されていないバケットを特定するには、`sensitivityScore` のフィールドの値が `50` に等しく、`errorCode` のフィールドの値が `ACCESS_DENIED` に等しくないという条件を含めます。
+ すべてのバケットのオブジェクトがサポートされていないストレージクラスまたは形式を使用しているために Macie が分析できないバケットを特定するには、`classifiableSizeInBytes` のフィールドの値が `0` に等しく、`sizeInBytes` のフィールドの値が `0` より大きいという条件を含めます。
+ Macie が 1 つ以上のオブジェクトを分析したバケットを特定するには、`sensitivityScore` フィールドの値が 1~99 の範囲内にあるが、`50` に等しくないという条件を含めます。手動で最大スコアを割り当てたバケットも含めるには、範囲を 1~100 にする必要があります。
+ オブジェクトレベルの分類エラーが原因で Macie がまだ分析していないバケットを特定するには、`sensitivityScore` のフィールドの値が `-1` に等しいという条件を含めます。次に、特定のバケットで発生したエラーのタイプと数の内訳を確認するには、[GetResourceProfile](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles.html) オペレーションを使用します。
AWS Command Line Interface (AWS CLI) を使用している場合は、[describe-buckets](https://docs.aws.amazon.com/cli/latest/reference/macie2/describe-buckets.html) コマンドを実行して、送信するクエリでフィルター条件を指定します。特定の S3 バケットで発生したエラーがあり、タイプと数の内訳を確認するには、[get-resource-profile](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-resource-profile.html)コマンドを実行します。
たとえば、次の AWS CLI コマンドはフィルター条件を使用して、バケットのアクセス許可設定のために Macie がアクセスを許可されていないすべての S3 バケットの詳細を取得します。
この例は Linux、macOS、または Unix 用にフォーマットされています。
```
$ aws macie2 describe-buckets --criteria '{"errorCode":{"eq":["ACCESS_DENIED"]}}'
```
この例は Microsoft Windows 用にフォーマットされています。
```
C:\> aws macie2 describe-buckets --criteria={\"errorCode\":{\"eq\":[\"ACCESS_DENIED\"]}}
```
リクエストが成功すると、Macie は `buckets` 配列を返します 配列には、現在の にあり AWS リージョン 、フィルター条件に一致する各 S3 バケットのオブジェクトが含まれます。
フィルター基準を満たす S3 バケットがない場合、Macie は空の `buckets` の配列を返します。
```
{
"buckets": []
}
```
一般的な条件の例も含め、クエリでフィルター基準を指定する詳細については、[S3 バケットインベントリをフィルタリングする](monitoring-s3-inventory-filter.md) を参照してください。
------
カバレッジの問題に対処するのに役立つ詳細については、「[機密データ自動検出のカバレッジ問題を修正する](discovery-coverage-remediate.md)」を参照してください。
# 機密データ自動検出のカバレッジ問題を修正する
機密データ自動検出が毎日進行するのに従い、Amazon Macie は、Amazon Simple Storage Service (Amazon S3) データエステートカバレッジ評価とモニタリングに役立つ統計と詳細を提供します。[カバレッジデータを確認すると](discovery-coverage-review.md)、データエステート全体およびエステート内の個々の S3 バケットについて、機密データ自動検出のステータスを確認できます。Macie が特定バケット内のオブジェクトを分析できなかった問題を特定することもできます。問題を修正すれば、その後の分析サイクルで Amazon S3 データのカバレッジを拡大できます。
Macie は、機密データ自動検出による Amazon S3 データのカバレッジを低下させる問題のタイプをいくつか報告します。これには、Macie が S3 バケット内のオブジェクトを分析するのを妨げるバケットレベルの問題が含まれます。また、オブジェクトレベルの問題も含まれます。分類エラーと呼ばれるこれらの問題により、Macie はバケット内の特定のオブジェクトを分析できませんでした。以下の情報は、これらの問題を調査して修正するのに役立ちます。
**Topics**
+ [アクセスが拒否されました](#discovery-issues-access-denied)
+ [分類エラー:コンテンツが無効です](#discovery-issues-invalid-content)
+ [分類エラー:暗号化が無効です](#discovery-issues-classification-error-invalid-encryption)
+ [分類エラー: KMS キーが無効です](#discovery-issues-classification-error-invalid-key)
+ [分類エラー:権限が拒否されました](#discovery-issues-classification-error-permission-denied)
+ [分類不可](#discovery-issues-unclassifiable)
**ヒント**
S3 バケットのオブジェクトレベル分類エラーを調査するには、まずバケットのオブジェクトサンプルリストを確認します。このリストには、Macie がバケット内で分析、または分析を試みたオブジェクト (最大 100 個) が表示されます。
Amazon Macie コンソールでリストを確認するには、**[S3 バケット]** ページでバケットを選択し、バケット詳細パネルの **[オブジェクトのサンプル]** タブを選択します。リストをプログラムで確認するには、Amazon Macie API の [ListResourceProfileArtifacts](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles-artifacts.html) オペレーションを使用します。オブジェクトの分析ステータスが **スキップ済み**`SKIPPED`の場合、そのオブジェクトがエラーの原因となっている可能性があります。
## アクセスが拒否されました
この問題は、S3 バケットのアクセス許可設定により、Macie がバケットとバケットのオブジェクトにアクセスできなかったことを示します。Macie はバケット内のオブジェクトを取得、分析することはできません。
**詳細**
このタイプの問題の最も一般的な原因は、制限の厳しいバケットポリシーです。*バケットポリシー*は、プリンシパル (ユーザー、アカウント、サービス、またはその他のエンティティ) が S3 バケットに対して実行できるアクションと、プリンシパルがそれらのアクションを実行できる条件を指定するリソースベースの AWS Identity and Access Management (IAM) ポリシーです。制限付きバケットポリシーでは、特定の条件に基づいてバケットデータへのアクセスを許可または制限する明示的な `Allow` または `Deny` のステートメントを使用します。例えば、バケットポリシーには、特定のソース IP アドレスがバケットにアクセスするために使用されていない限り、バケットへのアクセスを拒否する `Allow` または `Deny` のステートメントが含まれる場合があります。
S3 バケットのバケットポリシーに 1 つ以上の条件を持つ明示的な `Deny` のステートメントがある場合、Macie は機密データ検出のためバケットオブジェクトを取得、分析することを許可されない場合があります。Macie は、バケット名や作成日など、バケットに関する情報のサブセットのみを提供できます。
**修正ガイダンス**
この問題を修正するには、S3 バケットのバケットポリシーを更新します。Macie がバケットとバケットのオブジェクトにアクセスすることをポリシーで許可されているか確認してください。このアクセスを許可するには、Macie サービスリンクロール`AWSServiceRoleForAmazonMacie`の条件をポリシーに追加します。その条件により、Macie サービスリンクロールがポリシーの `Deny` 制限と一致することを除外できます。これは、`aws:PrincipalArn` グローバル条件コンテキストキー および ユーザーアカウントの Macie サービスリンクロールの Amazon リソースネーム (ARN) を使用して行うことができます。
バケットポリシーを更新し、Macie が S3 バケットにアクセスできるようになると、Macie は変更を検出します。この場合、Macie は Amazon S3 データに関して提供する統計、インベントリデータ、およびその他の情報を更新します。さらに、その後の分析サイクルでは、バケットのオブジェクトがより優先的に分析されます。
追加の参考資料
Macie がバケットにアクセスできるように S3 バケットポリシーを更新する詳細については、[Macie が S3 バケットおよびオブジェクトにアクセスすることを許可する](monitoring-restrictive-s3-buckets.md) を参照してください。バケットポリシーを使用してバケットへのアクセスを制御する方法の詳細については、「*Amazon Simple Storage Service ユーザーガイド*」の「[バケットポリシー](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html)」および「[Amazon S3 がリクエストを許可する仕組み](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-s3-evaluates-access-control.html)」を参照してください。
## 分類エラー:コンテンツが無効です
このタイプの分類エラーは、Macie が S3 バケット内のオブジェクトを分析しようとして、そのオブジェクトの形式に誤りがあるか、オブジェクトに機密データ検出クォータを超えるコンテンツが含まれている場合に発生します。Macie はオブジェクトを分析できません。
**詳細**
このエラーは通常、S3 オブジェクトが誤った形式であるか、破損したファイルであることが原因で発生します。そのため、Macie はファイル内のすべてのデータを解析して分析することができません。
このエラーは、S3 オブジェクトの分析が個々のファイルの機密データ検出クォータを超える場合にも発生する可能性があります。例えば、オブジェクトのストレージサイズが、そのタイプのファイルのサイズクォータを超えている場合などです。
いずれの場合も、Macie は S3 オブジェクトの分析を完了できず、オブジェクトの分析ステータスは **スキップ済み**`SKIPPED`になります。
**修正ガイダンス**
このエラーを調べるには、S3 オブジェクトをダウンロードし、ファイルの形式とコンテンツを確認します。また、ファイルのコンテンツを Macie の機密データ検出のクォータと比較して評価してください。
このエラーを修正しないと、Macie は S3 バケット内の他のオブジェクトの分析を試みようとします。Macie が別のオブジェクトを正常に分析すると、Macie はカバレッジデータやバケットに関して提供されるその他の情報を更新します。
追加の参考資料
特定のタイプのファイルに対するクォータを含む機密データ検出クォータのリストについては、[Macie のクォータ](macie-quotas.md) を参照してください。Macie が S3 バケットに関して提供される機密スコアやその他の情報を更新する方法については、[機密データの自動検出の仕組み](discovery-asdd-how-it-works.md) を参照してください。
## 分類エラー:暗号化が無効です
このタイプの分類エラーは、Macie が S3 バケット内のオブジェクトを分析しようとして、そのオブジェクトはお客様が用意したキーで暗号化されている場合に発生します。オブジェクトが SSE-C 暗号を使用しているため、Macie はそのオブジェクトを取得、分析することができません。
**詳細**
Amazon S3 は S3 オブジェクトの複数の暗号化オプションをサポートしています。これらのオプションのほとんどで、Macie は、ユーザーアカウントの Macie サービスリンクロールを使用してオブジェクトを復号化できます。ただし、これは使用された暗号化のタイプによって異なります。
Macie が S3 オブジェクトを復号化するには、Macie がアクセスして使用を許可されているキーを用いてオブジェクトが暗号化されている必要があります。お客様が用意したキーによりオブジェクトが暗号化されている場合、Macie は Amazon S3 からオブジェクトを取得するのに必要なキーマテリアルを提供できません。その結果、Macie はオブジェクトを分析できず、オブジェクトの分析ステータスは**スキップ済み**`SKIPPED`になります。
**修正ガイダンス**
このエラーを修正するには、Amazon S3 マネージドキーまたは AWS Key Management Service (AWS KMS) キーを使用して Amazon S3 オブジェクトを暗号化します。 AWS KMS キーを使用する場合は、キーを AWS マネージド KMS キー、または Macie が使用できるカスタマーマネージド KMS キーにすることができます。
Macie がアクセスして使用できるキーで既存の S3 オブジェクトを暗号化するには、オブジェクトの暗号化設定を変更します。Macie がアクセスして使用できるキーを使用して新しいオブジェクトを暗号化するには、S3 バケットのデフォルトの暗号化設定を変更します。また、バケットのポリシーで、新しいオブジェクトはお客様が用意したキーで暗号化するよう要求されていないことも確認してください。
このエラーを修正しないと、Macie は S3 バケット内の他のオブジェクトの分析を試みようとします。Macie が別のオブジェクトを正常に分析すると、Macie はカバレッジデータやバケットに関して提供されるその他の情報を更新します。
追加の参考資料
Macie を使用して暗号化された S3 オブジェクトを分析するための要件とオプションについては、を参照してください[暗号化された Amazon S3 オブジェクトを分析する](discovery-supported-encryption-types.md)。デフォルトの暗号化設定の詳細については、Amazon Simple Storage Service ユーザーガイドの[暗号化を使用したデータの保護](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingEncryption.html)および[S3 バケット向けのサーバー側のデフォルトの暗号化動作の設定](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html)を参照してください。
## 分類エラー: KMS キーが無効です
このタイプの分類エラーは、Macie が S3 バケット内のオブジェクトを分析しようとしたときに、そのオブジェクトが使用できなくなった AWS Key Management Service (AWS KMS) キーで暗号化されている場合に発生します。Macie はオブジェクトを取得、分析することができません。
**詳細**
AWS KMS には、カスタマー管理の無効化と削除のオプションが用意されています AWS KMS keys。S3 オブジェクトが無効、削除予定、または削除済みの KMS キーで暗号化されている場合、Macie はそのオブジェクトを取得および復号化できません。その結果、Macie はオブジェクトを分析できず、オブジェクトの分析ステータスは**スキップ済み**`SKIPPED`になります。Macie が暗号化されたオブジェクトを分析するには、Macie がアクセスして使用を許可されているキーを用いてオブジェクトが暗号化されている必要があります。
**修正ガイダンス**
このエラーを修正するには、キーの現在のステータスに応じて、該当する を再度有効に AWS KMS key するか、キーのスケジュールされた削除をキャンセルします。該当するキーが既に削除されている場合、このエラーは修正できません。
どの AWS KMS key が S3 オブジェクトの暗号化に使用されたかを判断するには、まず Macie を使用して S3 バケットのサーバー側の暗号化設定を確認します。バケットのデフォルトの暗号化設定で KMS キーを使用するように設定されている場合は、バケット詳細に使用されているキーが表示されます。さらに、そのキーのステータスを確認できます。または、Amazon S3 を使用して、バケットとバケット内の個々のオブジェクトの暗号化設定を確認することもできます。
このエラーを修正しないと、Macie は S3 バケット内の他のオブジェクトの分析を試みようとします。Macie が別のオブジェクトを正常に分析すると、Macie はカバレッジデータやバケットに関して提供されるその他の情報を更新します。
**追加の参考資料**
Macie を使用して S3 バケットのサーバー側の暗号化設定を確認する詳細については、[S3 バケットの詳細を確認する](monitoring-s3-inventory-review.md#monitoring-s3-inventory-view-details) を参照してください。 AWS KMS key を再有効化するか、キーの予定削除を取り消す方法の詳細については、**AWS Key Management Service デベロッパーガイドの「[キーの有効化と無効化](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html)」および「[キーの削除](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html)」を参照してください。
## 分類エラー:権限が拒否されました
このタイプの分類エラーは、Macie が S3 バケット内のオブジェクトを分析しようとして、オブジェクトの権限設定またはオブジェクトの暗号化に使用されたキーの権限設定が原因でオブジェクトを取得または復号化できない場合に発生します。Macie はオブジェクトを取得、分析することができません。
**詳細**
このエラーは通常、S3 オブジェクトが Macie が使用を許可されていないカスタマーマネージド AWS Key Management Service AWS KMSキーで暗号化されていることが原因で発生します。オブジェクトがカスタマーマネージドで暗号化されている場合 AWS KMS key、キーのポリシーは Macie がキーを使用してデータを復号することを許可する必要があります。
このエラーは、Amazon S3 のアクセス許可設定によって Macie が S3 オブジェクトを取得できない場合にも発生する可能性があります。S3 バケットポリシーでは、特定のバケットオブジェクトへのアクセスを制限したり、特定のプリンシパル (ユーザー、アカウント、サービス、またはその他のエンティティ) にのみオブジェクトへのアクセスを許可したりする場合があります。または、オブジェクトのアクセスコントロールリスト (ACL) により、オブジェクトへのアクセスが制限される場合があります。その結果、Macie はオブジェクトにアクセスできない場合があります。
上記のいずれの場合も、Macie はオブジェクトを取得、分析できず、オブジェクトの分析ステータスは **スキップ済み**`SKIPPED`になります。
**修正ガイダンス**
このエラーを修正するには、S3 オブジェクトがカスタマーマネージド AWS KMS keyで暗号化されているかどうかを確認します。お客様が用意したもので暗号化されている場合は、キーポリシーで Macie サービスリンクロール`AWSServiceRoleForAmazonMacie`がそのキーを使用してデータを復号化することを許可していることを確認します。このアクセスを許可する方法は、 を所有するアカウントがオブジェクトを保存する S3 バケット AWS KMS key も所有しているかどうかによって異なります。同じアカウントが KMS キーとバケットを所有している場合、アカウントのユーザーはキーのポリシーを更新する必要があります。1 つのアカウントが KMS キーを所有し、別のアカウントがバケットを所有している場合、そのキーを所有するアカウントのユーザーはキーへのクロスアカウントアクセスを許可する必要があります。
AWS KMS keys Macie がアカウントの S3 バケット内のオブジェクトを分析するためにアクセスする必要があるすべてのカスタマーマネージドのリストを自動的に生成できます。これを行うには、GitHub AWS KMS の [Amazon Macie Scripts リポジトリから入手できる Permission Analyzer ](https://github.com/aws-samples/amazon-macie-scripts)スクリプトを実行します。スクリプトは、 AWS Command Line Interface (AWS CLI) コマンドの追加スクリプトを生成することもできます。必要に応じてこれらのコマンドを実行し、指定した KMS キーに必要な設定設定とポリシーを更新できます。
Macie が既に該当する の使用を許可されている場合、 AWS KMS key または S3 オブジェクトがカスタマーマネージド KMS キーで暗号化されていない場合は、バケットのポリシーで Macie がオブジェクトにアクセスすることを許可していることを確認してください。また、オブジェクトの ACL が Macie にオブジェクトのデータおよびメタデータの読み取りを許可していることも確認してください。
バケットポリシーでは、Macie のサービスリンクロールの条件をポリシーに追加することで、このアクセスを許可できます。その条件により、Macie サービスリンクロールがポリシーの `Deny` 制限と一致することを除外できます。これは、`aws:PrincipalArn` グローバル条件コンテキストキー および ユーザーアカウントの Macie サービスリンクロールの Amazon リソースネーム (ARN) を使用して行うことができます。
オブジェクト ACL の場合、オブジェクト所有者と協力して、オブジェクトに対するアクセス`READ`許可を持つ被 AWS アカウント 付与者として を追加することで、このアクセスを許可できます。その後、Macie はアカウントのサービスリンクロールを使用してオブジェクトを取得、分析できます。また、バケットのオブジェクト所有権設定を変更することも検討してください。これらの設定により、バケット内のすべてのオブジェクトの ACL を無効にし、バケットを所有するアカウントに所有権の許可を与えることができます。
このエラーを修正しないと、Macie は S3 バケット内の他のオブジェクトの分析を試みようとします。Macie が別のオブジェクトを正常に分析すると、Macie はカバレッジデータやバケットに関して提供されるその他の情報を更新します。
**追加の参考資料**
Macie がカスタマーマネージド AWS KMS keyを使ってデータ復号化をできるようにする詳細については、[Macie にカスタマーマネージドの使用を許可する AWS KMS key](discovery-supported-encryption-types.md#discovery-supported-encryption-cmk-configuration) を参照してください。Macie がバケットにアクセスできるよう S3 バケットポリシーを更新する詳細については、[Macie が S3 バケットおよびオブジェクトにアクセスすることを許可する](monitoring-restrictive-s3-buckets.md) を参照してください。
キーポリシー更新の詳細については、AWS Key Management Service デベロッパーガイドの[キーポリシーの変更](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html)を参照してください。カスタマーマネージドを使用して S3 オブジェクト AWS KMS keys を暗号化する方法については、*Amazon Simple Storage Service ユーザーガイド*の[AWS KMS 「キーによるサーバー側の暗号化](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)の使用」を参照してください。
バケットポリシーを使用して S3 バケットへのアクセスを制御する方法については、*「Amazon Simple Storage Service ユーザーガイド*」の[「アクセスコントロール](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html)」および[Amazon S3がリクエストを承認する方法](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-s3-evaluates-access-control.html)」を参照してください。ACL またはオブジェクト所有権設定を使用して S3 オブジェクトへのアクセスを制御する方法については、Amazon Simple Storage Service ユーザーガイドの[ACL によるアクセス管理](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acls.html)および[オブジェクトの所有権の制御とバケットの ACL の無効化](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html)を参照してください。
## 分類不可
この問題は、S3 バケット内のすべてのオブジェクトが、サポートされていない Amazon S3 ストレージクラスまたはサポートされていないファイルまたはストレージ形式を使用して保存されていることを示しています。Macie はバケット内のどのオブジェクトも分析できません。
**詳細**
選択と分析の対象となるには、S3 オブジェクトが Macie がサポートする Amazon S3 ストレージクラスを使用する必要があります。オブジェクトには、Macie がサポートするファイルまたはストレージ形式のファイル名拡張子もまた必要です。オブジェクトがこれらの基準を満たさない場合、そのオブジェクトは分類不可能なオブジェクトとして扱われます。Macie は分類不可のオブジェクト内データに対して取得、分析の試みをしません。
S3 バケット内のオブジェクトがすべて分類不可の場合、そのバケット全体が分類できないバケットになります。Macie はバケットの機密データ自動検出を実行できません。
**修正ガイダンス**
この問題に対処するには、S3 バケットにオブジェクトを保存するためにどのストレージクラスを使用するかを決定するライフサイクル設定ルールやその他の設定を確認してください。Macie がサポートするストレージクラスを使用するようにこれらの設定を調整することを検討してください。バケット内の既存のオブジェクトのストレージクラスを変更することもできます。
S3 バケット内の既存のオブジェクトのファイルフォーマットとストレージフォーマットも評価します。オブジェクトを分析するため、サポートされている形式を使用する新しいオブジェクトに、一時的または永続的にデータを移植することを検討してください。
S3 バケットに追加されたオブジェクトが、サポートされているストレージクラスとフォーマットを使用している場合、Macie は次回バケットインベントリ評価時にオブジェクトを検出します。その場合、Macie は Amazon S3 データに関して提供する統計、カバレッジデータ、その他の情報において、バケットが分類不可という報告を停止します。さらに、次の分析サイクルで、新しいオブジェクトは分析優先度が高くなります。
**追加の参考資料**
Macie がサポートする Amazon S3 ストレージクラス、ファイル、ストレージ形式については、[サポートされているストレージクラスとフォーマット](discovery-supported-storage.md) を参照してください。Amazon S3 が提供するライフサイクル設定ルールとストレージクラスオプションについては、Amazon Simple Storage Service ユーザーガイドの[ストレージライフサイクルの管理](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html)と[Amazon S3 ストレージクラスの使用](https://docs.aws.amazon.com/AmazonS3/latest/userguide/storage-class-intro.html)を参照してください。
# S3 バケットの機密スコアを調整する
自動機密データ検出の統計、データ、その他の結果を確認して評価する際、Amazon Simple Storage Service (Amazon S3) バケットの機密性評価を微調整する必要がある場合があります。また、お客様または組織が特定のバケットに対して実行した調査の結果をキャプチャする必要がある場合もあるかもしれません。お客様が組織の Amazon Macie 管理者であるか、スタンドアロンの Macie アカウントをお持ちの場合は、個々のバケットの機密スコアやその他の設定を調整することで、これらの変更を行うことができます。お客様が組織のメンバーアカウントをお持ちの場合は、Macie 管理者と協力して、所有するバケットの設定を調整できます。このようなバケットの設定を調整できるのは、組織の Macie 管理者だけです。
Macie 管理者またはスタンドアロン Macie アカウントをお持ちの場合は、次の方法で S3 バケットの機密スコアを調整できます。
+ **機密スコアを割り当てる** – デフォルトでは、Macie はバケットの機密スコアを自動的に計算します。スコアは主に Macie がバケット内で検出した機密データ量、およびバケット内で分析したデータ量に基づいています。詳細については、[S3 バケットの機密スコア](discovery-scoring-s3.md)を参照してください。
バケットの計算スコアを上書きし、手動で最大スコア(100)を割り当てることができます。これにより、バケットに機密ラベルも適用されます。これを行うと、スコアが 100 のバケットはさらなるスキャンから除外されるため、Macie はバケットの機密データ自動検出の実行を停止します。スコアを自動的に計算してスキャンを再開するには、設定を再度変更します。
+ **機密データタイプを除外または機密スコアに含める** – 自動的に計算された場合、バケットの機密スコアは、Macie がバケット内で検出した機密データの量に一部基づいています。これは主に、Macie が検出した機密データタイプの性質と数、および各タイプの出現数から導き出されます。デフォルトでは、Macie は、バケットの機密スコアを計算する際、あらゆるタイプの機密データの出現回数を含めます。
特定のタイプの機密データをバケットのスコアから除外したり含めたりすることで、計算を調整できます。例えば、Macie がバケット内の郵送先住所を検出し、それが問題ないと判断した場合、そのバケットのスコアからすべての郵送先住所を除外できます。ある機密データタイプを除外した場合、Macie は引き続きバケットにそのタイプのデータがないか調べ、検出したデータの出現を報告します。ただし、このような出現はバケットのスコアには影響しません。スコアに機密データタイプを再度含めるには、設定を再度変更します。
また、後続の分析から S3 バケットを除外することもできます。バケットを除外した場合、バケットの既存の機密データ検出の統計と詳細は保持されます。例えば、バケットの現在の機密スコアは変更されません。ただし、Macie は、機密データ自動検出を実行する際、バケット内のオブジェクトの分析を停止します。バケットを除外する場合、そのバケットは後で再び含めることができます。
S3 バケットの機密スコアに影響する設定を変更すると、Macie はすぐにスコアの再計算を開始します。Macie は、バケットと Amazon S3 データ全体に関して提供する関連性の高い統計やその他の情報も更新します。たとえば、バケットに最大スコアを割り当てると、Macie は集計統計で*機密*バケットの数を増やします。
**S3 バケットの機密スコアやその他の設定を調整するには**
S3 バケットの機密性スコアやその他の設定を調整するには、Amazon Macie コンソールまたは Amazon Macie API を使用します。
------
#### [ Console ]
Amazon Macie コンソールを使用して S3 バケットの機密スコアまたは設定を調整するには、次の手順に従います。
1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。
1. ナビゲーションペインで、**S3 バケット**を選択します。**S3 バケット**ページにはバケットインベントリが表示されます。
デフォルトでは、分析から現在除外されているバケットのデータはこのページに表示されません。お客様が組織の Macie 管理者である場合、機密データの自動検出が現在無効になっているアカウントのデータも表示されません。このデータを表示するには、フィルターボックスの下にある **[自動検出によってモニタリング]** フィルタートークンで **X** を選択します。
1. 設定を調整する S3 バケットを選択します。バケットは、テーブルビュー (![\[The table view button, which is a button that displays three black horizontal lines.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/btn-s3-table-view.png)) またはインタラクティブマップ (![\[The map view button, which is a button that displays four black squares.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/btn-s3-map-view.png)) を使用して選択できます。
1. 詳細パネルで、次のいずれかの操作を実行します。
+ 計算された機密スコアを上書きしてスコアを手動で割り当てるには、**[最大スコアの割り当て]** (![\[A toggle switch with a gray background and the toggle positioned to the left.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/tgl-gray-off.png)) をオンにします。これによりバケットのスコアが 100 に変更され、機密ラベルがバケットに適用されます。
+ Macie が自動的に計算する機密スコアを割り当てるには、**[最大スコアの割り当て]** (![\[A toggle switch with a blue background and the toggle positioned to the right.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/tgl-blue-on.png)) をオフにします。
+ 機密スコアで特定の種類の機密データを除外または含めるには、**[機密性]** タブを選択します。**Detections** テーブルで、除外または含める機密データタイプのチェックボックスをオンにします。次に、[**アクション**] メニューで [**スコアから除外**] を選択してタイプを除外するか、[**スコアに含める**] を選択してタイプを含めます。
表の **[機密データタイプ]** フィールドでは、データが検出されたマネージドデータ識別子またはカスタムデータ識別子を指定します。マネージドデータ識別子の場合、これは、識別子が検出するように設計された機密データのタイプを表す一意の識別子 (ID) です。例えば、米国のパスポート番号の場合、**USA\$1PASSPORT\$1NUMBER** です。各マネージドデータ識別子の詳細については、[マネージドデータ識別子の使用](managed-data-identifiers.md)を参照してください。
+ バケットを以降の分析から除外するには、[**自動検出から除外**![\[A toggle switch with a gray background and the toggle positioned to the left.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/tgl-gray-off.png)]をオンにします。
+ バケットを分析から除外していた場合、後続の分析にバケットを含めるには、**[自動検出から除外]** (![\[A toggle switch with a blue background and the toggle positioned to the right.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/tgl-blue-on.png)) をオフにします。
------
#### [ API ]
S3 バケットの機密スコアまたは設定をプログラムで調整するには、いくつかのオプションがあります。適切なオプションは、調整する内容によって異なります。
**機密スコアを割り当てる**
S3 バケットに機密スコアを割り当てるには、[UpdateResourceProfile](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles.html) オペレーションを使用します。リクエストで、 `resourceArn`パラメータを使用してバケットの Amazon リソースネーム (ARN) を指定します。`sensitivityScoreOverride` パラメータで、次のいずれかを実行します。
+ 計算されたスコアを上書きし、最大スコアを手動で割り当てるには、 を指定します`100`。
+ Macie が自動的に計算するスコアを割り当てるには、 パラメータを省略します。このパラメータが null の場合、Macie はスコアを計算して割り当てます。
AWS Command Line Interface (AWS CLI) を使用している場合は、[update-resource-profile](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-resource-profile.html) コマンドを実行して、S3 バケットに機密スコアを割り当てます。リクエストで、 `resource-arn`パラメータを使用してバケットの ARN を指定します。を省略するか、 `sensitivity-score-override`パラメータを使用して、割り当てるスコアを指定します。
リクエストが成功すると、Macie は指定されたスコアを割り当て、空のレスポンスを返します。
**機密データタイプを機密スコアから除外または含める**
S3 バケットの機密スコアに機密データタイプを除外または含めるには、[UpdateResourceProfileDetections](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles-detections.html) オペレーションを使用します。このオペレーションを使用すると、バケットのスコアの現在の包含設定と除外設定が上書きされます。したがって、まず現在の設定を取得し、どの設定を保持するかを決定することをお勧めします。現在の設定を取得するには、[ListResourceProfileDetections](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles-detections.html) オペレーションを使用します。
設定を更新する準備ができたら、 `resourceArn`パラメータを使用して S3 バケットの ARN を指定します。`suppressDataIdentifiers` パラメータで、次のいずれかを実行します。
+ バケットのスコアから機密データタイプを除外するには、 `type`パラメータを使用して、データを検出したデータ識別子のタイプ、マネージドデータ識別子 (`MANAGED`)、またはカスタムデータ識別子 () を指定します`CUSTOM`。`id` パラメータを使用して、データを検出したマネージドデータ識別子またはカスタムデータ識別子の一意の識別子を指定します。
+ バケットのスコアに機密データタイプを含めるには、データを検出したマネージドデータ識別子またはカスタムデータ識別子の詳細を指定しないでください。
+ バケットのスコアにすべての機密データタイプを含めるには、値を指定しないでください。`suppressDataIdentifiers` パラメータの値が null (空) の場合、Macie はスコアを計算するときにすべてのタイプの検出を含めます。
を使用している場合は AWS CLI、[update-resource-profile-detections](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-resource-profile-detections.html) コマンドを実行して、S3 バケットの機密スコアに機密データタイプを除外または含めます。`resource-arn` パラメータを使用して、バケットの ARN を指定します。`suppress-data-identifiers` パラメータを使用して、バケットのスコアから除外または含める機密データタイプを指定します。バケットの現在の設定を最初に取得して確認するには、[list-resource-profile-detections](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-resource-profile-detections.html) コマンドを実行します。
リクエストが成功すると、Macie は設定を更新し、空のレスポンスを返します。
**分析に S3 バケットを除外または含める**
分析で S3 バケットを除外または後で含めるには、[UpdateClassificationScope](https://docs.aws.amazon.com/macie/latest/APIReference/classification-scopes-id.html) オペレーションを使用します。または、 を使用している場合は AWS CLI、[update-classification-scope](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-classification-scope.html) コマンドを実行します。詳細と例については、「」を参照してください[機密データ自動検出での S3 バケットの除外または包含](discovery-asdd-account-configure.md#discovery-asdd-account-configure-s3buckets)。
次の例は、 を使用して AWS CLI S3 バケットの個々の設定を調整する方法を示しています。この最初の例では、最大感度スコア (`100`) をバケットに手動で割り当てます。バケットの計算スコアを上書きします。
```
$ aws macie2 update-resource-profile --resource-arn arn:aws:s3:::amzn-s3-demo-bucket --sensitivity-score-override 100
```
*arn:aws:s3::amzn-s3-demo-bucket* は S3 バケットの ARN です。
次の例では、S3 バケットの機密スコアを Macie が自動的に計算するスコアに変更します。現在、バケットには、計算されたスコアを上書きする手動で割り当てられたスコアがあります。この例では、リクエストから `sensitivity-score-override`パラメータを省略して、その上書きを削除します。
```
$ aws macie2 update-resource-profile --resource-arn arn:aws:s3:::amzn-s3-demo-bucket2
```
ここで*、arn:aws:s3::amzn-s3-demo-bucket2* は S3 バケットの ARN です。
次の例では、特定のタイプの機密データを S3 バケットの機密スコアから除外します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。
```
$ aws macie2 update-resource-profile-detections \
--resource-arn arn:aws:s3:::amzn-s3-demo-bucket3 \
--suppress-data-identifiers '[{"type":"MANAGED","id":"ADDRESS"},{"type":"CUSTOM","id":"3293a69d-4a1e-4a07-8715-208ddexample"}]'
```
この例は Microsoft Windows 用にフォーマットされており、読みやすさを向上させるためにキャレット (^) の行継続文字を使用しています。
```
C:\> aws macie2 update-resource-profile-detections ^
--resource-arn arn:aws:s3:::amzn-s3-demo-bucket3 ^
--suppress-data-identifiers=[{\"type\":\"MANAGED\",\"id\":\"ADDRESS\"},{\"type\":\"CUSTOM\",\"id\":\"3293a69d-4a1e-4a07-8715-208ddexample\"}]
```
コードの説明は以下のとおりです。
+ *arn:aws:s3:::amzn-s3-demo-bucket3* は S3 バケットの ARN です。
+ *ADDRESS* は、除外する機密データのタイプ (メールアドレス) を検出したマネージドデータ識別子の一意の識別子です。
+ *3293a69d-4a1e-4a07-8715-208ddexample* は、除外する機密データのタイプを検出したカスタムデータ識別子の一意の識別子です。
この次の例のセットには、後で S3 バケットの機密スコアにすべてのタイプの機密データが含まれます。`suppress-data-identifiers` パラメータに空の (null) 値を指定することで、バケットの現在の除外設定を上書きします。Linux、macOS、Unix の場合:
```
$ aws macie2 update-resource-profile-detections --resource-arn arn:aws:s3:::amzn-s3-demo-bucket3 --suppress-data-identifiers '[]'
```
Microsoft Windows の場合:
```
C:\> aws macie2 update-resource-profile-detections --resource-arn arn:aws:s3:::amzn-s3-demo-bucket3 --suppress-data-identifiers=[]
```
ここで*、arn:aws:s3::amzn-s3-demo-bucket3* は S3 バケットの ARN です。
------
# S3 バケットの機密スコア
機密データの自動検出が有効になっている場合、Amazon Macie は、アカウントまたは組織のモニタリングと分析を行う各 Amazon Simple Storage Service (Amazon S3) 汎用バケットに自動的に機密スコアを計算して割り当てます。機密スコアは、S3 バケットに含まれる可能性のある機密データの量を定量的に表したものです。そのスコアに基づいて、Macie は各バケットに機密ラベルも割り当てます。機密ラベルは、バケットの機密スコアを定性的に表したものです。これらの値は、Amazon S3 データ資産内の機密データがどこにあるかを判断し、そのデータの潜在的なセキュリティリスクを特定して監視するための参照ポイントとして役立ちます。
デフォルトでは、S3 バケットの機密スコアとラベルには、Macie がそれまでにバケットに対して実行した機密データ自動検出活動の結果が反映されています。作成して実行する機密データ検出ジョブの結果は反映されません。さらに、スコアもラベルも、バケットやバケットのオブジェクトがお客様または組織にもたらす緊急性や重要度を暗示したり、提示したりするものではありません。ただし、最大スコア(*100*) をバケットに手動で割り当てることで、バケットの計算スコアを上書きできます。これにより、**機密ラベルがバケットに割り当てられます。計算スコアを上書きするには、バケットを所有するアカウントの Macie 管理者であるか、スタンドアロンの Macie アカウントを持っている必要があります。
**Topics**
+ [機密スコアリングの寸法と範囲](#discovery-scoring-s3-dimensions)
+ [機密スコアの監視](#discovery-scoring-s3-monitoring)
## 機密スコアリングの寸法と範囲
Amazon Macie の計算上、S3 バケットの機密スコアは 2 つの主要な寸法の交差点を定量的に測定したものです。
+ Macie がバケット内で検出した機密データ量 これは主に、Macie がバケット内で検出した機密データタイプの性質と数、および各タイプの出現数から導き出されます。
+ Macie がバケット内で分析したデータ量 これは主に、Macie がバケット内で分析したユニークオブジェクトの数と、バケット内の固有オブジェクトの総数との比較から算出されます。
S3 バケットの機密スコアによって、Macie がバケットに割り当てる機密ラベルも決まります。機密ラベルは、スコアを機密または非機密など定性的に表したものです。Amazon Macie コンソールでは、バケットの機密スコアによって、次の図に示すように Macie ユーザーがデータ視覚化でバケットを表すために使う色も決まります。
![\[機密スコアの色スペクトル: 1~49 の場合は青色、51~100 の場合は赤色、-1 の場合は灰色。\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/sensitivity-scoring-spectrum.png)
機密スコアの範囲は-1から100す(次の表を参照)。S3 バケットのスコアへの入力を評価するには、Macie がバケットに関して提供する機密データ検出統計やその他詳細情報を参照します。
| 機密スコア | 機密ラベル | 追加情報 |
| --- | --- | --- |
| -1 | 分類エラー | Macie は、オブジェクトレベルの分類エラーのため (オブジェクトレベルの権限設定、オブジェクトコンテンツ、クォータに関する問題)、まだバケットのオブジェクトを正常に分析していません。 Macie がバケット内の 1 つ以上のオブジェクトを分析しようとしたときに、エラーが発生しました。例えば、オブジェクトが不正な形式のファイルであったり、Macie がアクセスできない、あるいは使用を許可されていないキーでオブジェクトが暗号化されている場合などです。バケットのカバレッジデータは、エラーの調査と修正に役立ちます。詳細については、[機密データ自動検出カバレッジの評価](discovery-coverage.md)を参照してください。 Macie はバケット内のオブジェクトの分析を引き続き試みます。Macie がオブジェクトを正常に分析すると、Macie はバケットの機密スコアとラベルを更新して、分析結果を反映します。 |
| 1 〜 49 | 非機密 | この範囲で *49*のような高いスコアは、Macie がバケット内で分析したオブジェクトが比較的少ないことを示します。*1*のような低いスコアは、Macie がバケット内の多数のオブジェクト (バケット内のオブジェクト総数に対して) を分析し、それらのオブジェクトに含まれる機密データのタイプと出現が比較的少ないことを示します。 スコアが *1* の場合、バケットにオブジェクトが格納されていない、またはバケット内すべてのオブジェクトのデータがゼロ (0) バイトの可能性もあります。バケットの詳細にあるオブジェクトの統計は、それに該当するか判断するのに役立ちます。詳細については、[S3 バケットの詳細の確認](discovery-asdd-results-s3-inventory-details.md)を参照してください。 |
| 50 | 分析が未完了 | Macie はまだバケットのオブジェクトを分析していない、または分析を試みていません。 Macie は、自動検出が最初に有効にされたとき、またはバケットがアカウントのバケットインベントリに追加されたときに、このスコアを自動的に割り当てます。組織では、バケットを所有するアカウントに対して自動検出が有効になっていない場合、バケットにこのスコアを割り当てることもできます。 スコアが*50*の場合、バケットのアクセス許可設定により、Macie がバケットまたはバケットのオブジェクトにアクセスできなくなっている可能性もあります。これは通常、制限の厳しいバケットポリシーが原因です。Macie はバケットに関するサブセットのみの情報を提供できるので、バケットの詳細がそれに該当するか判断するのに役立ちます。この問題の対処方法については、[Macie が S3 バケットおよびオブジェクトにアクセスすることを許可する](monitoring-restrictive-s3-buckets.md)を参照してください。 |
| 51 〜 99 | 機密 | この範囲で、*99*のような高いスコアは、Macie がバケット内の多数のオブジェクト (バケット内のオブジェクトの総数に対して) を分析し、それらのオブジェクトに含まれる機密データの多くのタイプと出現を検出したことを示します。*51*のような低めのスコアは、Macie がバケット内で中程度の数のオブジェクト (バケット内のオブジェクトの総数と比較して) を分析し、それらのオブジェクト内の機密データのタイプと出現を少なくとも数種類検出したことを示します。 |
| 100 | 機密 | スコアは手動でバケットに割り当てられ、計算されたスコアは上書きされました。Macie はこのスコアをバケットに割り当てません。 |
## 機密スコアの監視
アカウントに対して機密データ自動検出を最初に有効化する際、Amazon Macie は、アカウントが所有する各 S3 バケットに *50* の機密スコアを自動的に割り当てます。また、Macie は、バケットがアカウントのバケットインベントリに追加されるときに、このスコアをバケットにも割り当てます。そのスコアに基づいて、各バケットの機密ラベルは分析が*未完了*です。例外は、オブジェクトが一切格納されていない、またはバケット内のすべてのオブジェクトのデータがゼロ (0) である空のバケットです。その場合、Macie はバケットに*1*のスコアを割り当て、バケットの機密ラベルは*非機密*とします。
機密データ自動検出が毎日進行するにつれて、Macie は S3 バケットの機密スコアとラベルを更新してその分析の結果を反映します。例えば、次のようになります。
+ Macie がオブジェクト内の機密データを検出しない場合、Macie は必要に応じてバケットの機密スコアを下げ、機密ラベルを更新します。
+ Macie がオブジェクト内の機密データを検出すると、Macie は必要に応じてバケットの機密スコアを上げ、機密ラベルを更新します。
+ その後変更されたオブジェクト内で機密データが検出された場合、Macie は必要に応じてそのオブジェクトの機密データ検出をバケットの機密スコアから削除し、機密ラベルを更新します。
+ その後削除されたオブジェクト内で機密データが検出された場合、Macie は必要に応じてそのオブジェクトの機密データをバケットの機密スコアから削除し、機密ラベルを更新します。
+ 以前は空だったバケットにオブジェクトが追加され、Macie がそのオブジェクトに機密データを検出した場合、Macie は必要に応じてバケットの機密スコアを上げ、機密ラベルを更新します。
+ バケットの権限設定により、Macie がバケットまたはバケットのオブジェクトに関する情報にアクセスできないか、これを取得できない場合、Macie はバケットの機密スコアを *50* に変更し、バケットの機密ラベルを [分析が未完了] **に変更します。
アカウントの機密データ自動検出を有効にしてから 48 時間以内に分析結果が表示されるようになります。
お客様が組織の Macie 管理者であるか、スタンドアロンの Macie アカウントをお持ちの場は、組織またはアカウントの機密スコア設定を調整できます。
+ すべての S3 バケットの後続の分析の設定を調整するには、アカウントの設定を変更します。特定のマネージドデータ識別子、カスタムデータ識別子、または許可リストを分析に含めたり、除外したりできるようになります。また、特定のバケットを除外することもできるようになります。詳細については、「[自動検出設定を構成する](discovery-asdd-account-configure.md)」を参照してください。
+ 個々の S3 バケットの設定を調整するには、各バケットの設定を変更します。特定のタイプの機密データをバケットのスコアに含めたり、除外したりできます。自動計算されたスコアをバケットに割り当てるかどうかも指定できます。詳細については、「[S3 バケットの機密スコアを調整する](discovery-asdd-s3bucket-manage.md)」を参照してください。
機密データ自動検出を無効にした場合、その影響は既存の機密性スコアとラベルによって異なります。組織内のメンバーアカウントに対して無効にした場合は、アカウントが所有する S3 バケットに対して既存のスコアとラベルが保持されます。組織全体またはスタンドアロン Macie アカウントで無効にした場合は、既存のスコアとラベルは 30 日間のみ保持されます。30 日後、Macie では組織またはアカウントが所有するすべてのバケットのスコアとラベルをリセットします。バケットにオブジェクトが格納されている場合は、Macie はスコアを *50* に変更し、[分析が未完了]** ラベルをバケットに割り当てます。バケットが空の場合は、Macie はスコアを *1* に変更し、[機密データは内]** ラベルをバケットに割り当てます。このリセット後、Macie では、組織またはアカウントの機密データの自動検出を再度有効にしない限り、バケットの機密性スコアとラベルの更新を停止します。
# 機密データの自動検出のデフォルト設定
機密データ自動検出が有効になっている場合、Amazon Macie はアカウントのすべての Amazon Simple Storage Service (Amazon S3) 汎用バケットからサンプルオブジェクトを自動的に選択して分析します。お客様が組織の Macie 管理者である場合、これにはデフォルトで、メンバーアカウントが所有する S3 バケットが含まれます。
お客様が Macie 管理者の場合、またはスタンドアロンの Macie アカウントをお持ちの場合は、機密データ自動検出から特定の S3 バケットを除外して、分析の範囲を絞り込むことができます。これには、アカウントの設定を変更する方法と、個々のバケットの設定を変更する方法の 2 つの方法があります。お客様は、Macie 管理者として、組織内の個々のアカウントの機密データ自動検出を有効または無効にすることもできます。
デフォルトでは、Macie は機密データ自動検出に推奨するマネージドデータ識別子のセットのみを使用して S3 オブジェクトを分析します。Macie は、ユーザーが定義したカスタムデータ識別子や許可リストを使用しません。お客様が Macie 管理者の場合、またはスタンドアロンの Macie アカウントをお持ちの場合は、特定のマネージドデータ識別子、カスタムデータ識別子、許可リストを使用するように Macie を設定して分析をカスタマイズできます。そのためには、アカウントの設定を変更します。
設定の変更については、「[機密データ自動検出設定を構成する](discovery-asdd-account-configure.md)」を参照してください。
**Topics**
+ [デフォルトのマネージドデータ識別子](#discovery-asdd-settings-defaults-mdis)
+ [デフォルト設定へ更新](#discovery-asdd-mdis-default-updates)
## 機密データ自動検出のためのデフォルトのマネージドデータ識別子
デフォルトでは、Amazon Macie は、機密データ自動検出に推奨するマネージドデータ識別子のセットのみを使用して S3 オブジェクトを分析します。このデフォルトのマネージドデータ識別子セットは、一般的なカテゴリやタイプの機密データを検出するように設計されています。当社の調査に基づいて、機密データの一般的なカテゴリやタイプを検出できると同時に、ノイズを減らすことで結果を最適化できます。
デフォルトセットは動的です。新しいマネージドデータ識別子をリリースするにあたり、機密データの自動検出結果をさらに最適化できる可能性がある場合は、それらをデフォルトセットに追加します。別途、既存のマネージドデータ識別子を追加したり、セットから削除したりする可能性もあります。マネージドデータ識別子を削除しても、S3 バケットの既存の機密データ検出統計や詳細には影響しません。例えば、Macie が以前にバケット内で検出した機密データのタイプのマネージドデータ識別子を削除しても、Macie は引き続きそのバケットの検出結果を報告します。マネージドデータ識別子をデフォルトセットに追加または削除すると、このページが更新され、変更の性質とタイミングが示されます。これらの変更に関する自動アラートについては、[Macie ドキュメント履歴](doc-history.md)ページの RSS フィードをサブスクライブしてください。
以下のトピックでは、現在デフォルトセットに含まれているマネージドデータ識別子を機密データのカテゴリとタイプ別に一覧表示しています。セット内の各マネージドデータ識別子の一意の識別子 (ID) を指定します。この ID は、`PGP_PRIVATE_KEY` PGP プライベートキーや米国パスポート番号の `USA_PASSPORT_NUMBER` など、マネージドデータ識別子が検出するに設計された機密データのタイプを表します。機密データ自動検出の設定を変更する場合、この ID を使用して、後続の分析でマネージドデータ識別子を明示的に除外できます。
**Topics**
+ [認証情報](#discovery-asdd-settings-defaults-mdis-credentials)
+ [財務情報](#discovery-asdd-settings-defaults-mdis-financial)
+ [個人を特定できる情報 (PII)](#discovery-asdd-settings-defaults-mdis-pii)
特定のマネージドデータ識別子、または Macie が現在提供しているマネージドデータ識別子の全リストについては、[マネージドデータ識別子の使用](managed-data-identifiers.md) を参照してください。
### 認証情報
Macie では、S3 オブジェクトでの認証情報データの出現を検知するために、次のマネージドデータ識別子を使用します。
| 機密データタイプ | マネージドデータ識別子 ID |
| --- | --- |
| AWS シークレットアクセスキー | AWS\$1CREDENTIALS |
| HTTP 基本認可ヘッダー | HTTP\$1BASIC\$1AUTH\$1HEADER |
| OpenSSH プライベートキー | OPENSSH\$1PRIVATE\$1KEY |
| PGP プライベートキー | PGP\$1PRIVATE\$1KEY |
| 公開鍵暗号標準 (PKCS) プライベートキー | PKCS |
| PuTTY プライベートキー | PUTTY\$1PRIVATE\$1KEY |
### 財務情報
Macie では、S3 オブジェクトでの財務情報の出現を検知するために、次のマネージドデータ識別子を使用します。
| 機密データタイプ | マネージドデータ識別子 ID |
| --- | --- |
| クレジットカードの磁気ストライプデータ | CREDIT\$1CARD\$1MAGNETIC\$1STRIPE |
| クレジットカード番号 | CREDIT\$1CARD\$1NUMBER (キーワードに近いクレジットカード番号の場合) |
### 個人を特定できる情報 (PII)
S3 オブジェクトで個人を特定できる情報 (PII) の出現を検知するために、Macie はデフォルトで次のマネージドデータ識別子を使用します。
| 機密データタイプ | マネージドデータ識別子 ID |
| --- | --- |
| 運転免許証識別番号 | CANADA\$1DRIVERS\$1LICENSE, DRIVERS\$1LICENSE (米国の場合)、 UK\$1DRIVERS\$1LICENSE |
| 選挙人名簿番号 | UK\$1ELECTORAL\$1ROLL\$1NUMBER |
| 国民識別番号 | FRANCE\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, GERMANY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, SPAIN\$1DNI\$1NUMBER |
| 国民保険番号 (NINO) | UK\$1NATIONAL\$1INSURANCE\$1NUMBER |
| パスポート番号 | CANADA\$1PASSPORT\$1NUMBER, FRANCE\$1PASSPORT\$1NUMBER, GERMANY\$1PASSPORT\$1NUMBER, ITALY\$1PASSPORT\$1NUMBER, SPAIN\$1PASSPORT\$1NUMBER, UK\$1PASSPORT\$1NUMBER, USA\$1PASSPORT\$1NUMBER |
| 社会保険番号 (SIN) | CANADA\$1SOCIAL\$1INSURANCE\$1NUMBER |
| 社会保障番号 (SSN) | SPAIN\$1SOCIAL\$1SECURITY\$1NUMBER, USA\$1SOCIAL\$1SECURITY\$1NUMBER |
| 納税者識別番号または参照番号 | AUSTRALIA\$1TAX\$1FILE\$1NUMBER, BRAZIL\$1CPF\$1NUMBER, FRANCE\$1TAX\$1IDENTIFICATION\$1NUMBER, GERMANY\$1TAX\$1IDENTIFICATION\$1NUMBER, SPAIN\$1NIE\$1NUMBER, SPAIN\$1NIF\$1NUMBER, SPAIN\$1TAX\$1IDENTIFICATION\$1NUMBER, USA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER |
## 機密データ自動検出用にデフォルト設定へ更新
次の表は、Amazon Macie が機密データの自動検出用にデフォルトで使用する設定の変更を示しています。これらの変更に関する自動アラートについては、[Macie ドキュメント履歴](doc-history.md)ページの RSS フィードをサブスクライブしてください。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| デフォルトマネージドデータ識別子の新しい動的セットを実装 | 新しい機密データ自動検出設定は、動的な[マネージドデータ識別子のデフォルトセット](#discovery-asdd-settings-defaults-mdis)をベースにするようになりました。この日以降に初めて機密データ自動検出を有効にした場合、設定は動的セットに基づいて行われます。 この日より以前に初めて機密データ自動検出を有効にした場合、設定は別のマネージドデータ識別子のセットに基づいています。詳細については、この表の後にある注を参照してください。 | 2023 年 8 月 2 日 |
| 一般提供 | 機密データ自動検出の初回リリース。 | 2022 年 11 月 28 日 |
2023 年 8 月 2 日より前に機密データ自動検出を最初に有効にした場合、設定はデフォルトのマネージドデータ識別子の動的セットに基づいていません。代わりに、以下の表に示すように、機密データ自動検出の初回リリース時に定義したマネージドデータ識別子の静的なセットに基づいて設定されています。
機密データ自動検出を最初に有効にした時期を確認するには、Amazon Macie コンソールを使用して、ナビゲーションペインで **[機密データ自動検出]** を選択し、**[ステータス]** セクションで有効になった日付を参照します。これをプログラムで行うには、Amazon Macie API の [GetAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html) オペレーションを使用し、`firstEnabledAt` フィールドの値を参照します。日付が 2023 年 8 月 2 日より前で、デフォルトのマネージドデータ識別子の動的セットの使用を開始する場合は、 AWS サポート にお問い合わせください。
次の表には、静的セットのマネージドデータ識別子がすべて示されています。この表は、まず機密データカテゴリ別に、次に機密データタイプ別にソートされています。特定のマネージドデータ識別子の詳細については、[マネージドデータ識別子の使用](managed-data-identifiers.md) を参照してください。
| 機密データのカテゴリ | 機密データタイプ | マネージドデータ識別子 ID |
| --- | --- | --- |
| 認証情報 | AWS シークレットアクセスキー | AWS\$1CREDENTIALS |
| 認証情報 | HTTP 基本認可ヘッダー | HTTP\$1BASIC\$1AUTH\$1HEADER |
| 認証情報 | OpenSSH プライベートキー | OPENSSH\$1PRIVATE\$1KEY |
| 認証情報 | PGP プライベートキー | PGP\$1PRIVATE\$1KEY |
| 認証情報 | 公開鍵暗号標準 (PKCS) プライベートキー | PKCS |
| 認証情報 | PuTTY プライベートキー | PUTTY\$1PRIVATE\$1KEY |
| 財務情報 | 銀行口座番号 | BANK\$1ACCOUNT\$1NUMBER (カナダおよび米国の銀行口座番号の場合)、FRANCE\$1BANK\$1ACCOUNT\$1NUMBER, GERMANY\$1BANK\$1ACCOUNT\$1NUMBER, ITALY\$1BANK\$1ACCOUNT\$1NUMBER, SPAIN\$1BANK\$1ACCOUNT\$1NUMBER, UK\$1BANK\$1ACCOUNT\$1NUMBER |
| 財務情報 | クレジットカードの有効期限 | CREDIT\$1CARD\$1EXPIRATION |
| 財務情報 | クレジットカードの磁気ストライプデータ | CREDIT\$1CARD\$1MAGNETIC\$1STRIPE |
| 財務情報 | クレジットカード番号 | CREDIT\$1CARD\$1NUMBER (キーワードに近いクレジットカード番号の場合) |
| 財務情報 | クレジットカード認証コード | CREDIT\$1CARD\$1SECURITY\$1CODE |
| 個人情報: 個人の健康情報 (PHI) | 麻薬取締局 (DEA) 登録番号 | US\$1DRUG\$1ENFORCEMENT\$1AGENCY\$1NUMBER |
| 個人情報: PHI | 健康保険請求番号 (HICN) | USA\$1HEALTH\$1INSURANCE\$1CLAIM\$1NUMBER |
| 個人情報: PHI | 健康保険または医療識別番号 | CANADA\$1HEALTH\$1NUMBER, EUROPEAN\$1HEALTH\$1INSURANCE\$1CARD\$1NUMBER, FINLAND\$1EUROPEAN\$1HEALTH\$1INSURANCE\$1NUMBER, FRANCE\$1HEALTH\$1INSURANCE\$1NUMBER, UK\$1NHS\$1NUMBER, USA\$1MEDICARE\$1BENEFICIARY\$1IDENTIFIER |
| 個人情報: PHI | ヘルスケア共通手順コーディングシステム (HCPCS) コード | USA\$1HEALTHCARE\$1PROCEDURE\$1CODE |
| 個人情報: PHI | 全米医薬品コード (NDC) | USA\$1NATIONAL\$1DRUG\$1CODE |
| 個人情報: PHI | 国家プロバイダー識別子 (NPI) | USA\$1NATIONAL\$1PROVIDER\$1IDENTIFIER |
| 個人情報: PHI | 機器固有識別子 (UDI) | MEDICAL\$1DEVICE\$1UDI |
| 個人情報: 個人を特定できる情報 (PII) | 生年月日 | DATE\$1OF\$1BIRTH |
| 個人情報: PII | 運転免許証識別番号 | AUSTRALIA\$1DRIVERS\$1LICENSE, AUSTRIA\$1DRIVERS\$1LICENSE, BELGIUM\$1DRIVERS\$1LICENSE, BULGARIA\$1DRIVERS\$1LICENSE, CANADA\$1DRIVERS\$1LICENSE, CROATIA\$1DRIVERS\$1LICENSE, CYPRUS\$1DRIVERS\$1LICENSE, CZECHIA\$1DRIVERS\$1LICENSE, DENMARK\$1DRIVERS\$1LICENSE, DRIVERS\$1LICENSE (米国の場合)、ESTONIA\$1DRIVERS\$1LICENSE, FINLAND\$1DRIVERS\$1LICENSE, FRANCE\$1DRIVERS\$1LICENSE, GERMANY\$1DRIVERS\$1LICENSE, GREECE\$1DRIVERS\$1LICENSE, HUNGARY\$1DRIVERS\$1LICENSE, IRELAND\$1DRIVERS\$1LICENSE, ITALY\$1DRIVERS\$1LICENSE, LATVIA\$1DRIVERS\$1LICENSE, LITHUANIA\$1DRIVERS\$1LICENSE, LUXEMBOURG\$1DRIVERS\$1LICENSE, MALTA\$1DRIVERS\$1LICENSE, NETHERLANDS\$1DRIVERS\$1LICENSE, POLAND\$1DRIVERS\$1LICENSE, PORTUGAL\$1DRIVERS\$1LICENSE, ROMANIA\$1DRIVERS\$1LICENSE, SLOVAKIA\$1DRIVERS\$1LICENSE, SLOVENIA\$1DRIVERS\$1LICENSE, SPAIN\$1DRIVERS\$1LICENSE, SWEDEN\$1DRIVERS\$1LICENSE, UK\$1DRIVERS\$1LICENSE |
| 個人情報: PII | 選挙人名簿番号 | UK\$1ELECTORAL\$1ROLL\$1NUMBER |
| 個人情報: PII | フルネーム | NAME |
| 個人情報: PII | 全地球測位システム (GPS) 座標 | LATITUDE\$1LONGITUDE |
| 個人情報: PII | 郵送先住所 | ADDRESS, BRAZIL\$1CEP\$1CODE |
| 個人情報: PII | 国民識別番号 | BRAZIL\$1RG\$1NUMBER, FRANCE\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, GERMANY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, SPAIN\$1DNI\$1NUMBER |
| 個人情報: PII | 国民保険番号 (NINO) | UK\$1NATIONAL\$1INSURANCE\$1NUMBER |
| 個人情報: PII | パスポート番号 | CANADA\$1PASSPORT\$1NUMBER, FRANCE\$1PASSPORT\$1NUMBER, GERMANY\$1PASSPORT\$1NUMBER, ITALY\$1PASSPORT\$1NUMBER, SPAIN\$1PASSPORT\$1NUMBER, UK\$1PASSPORT\$1NUMBER, USA\$1PASSPORT\$1NUMBER |
| 個人情報: PII | 本籍地 | CANADA\$1NATIONAL\$1IDENTIFICATION\$1NUMBER |
| 個人情報: PII | Phone number (電話番号) | BRAZIL\$1PHONE\$1NUMBER, FRANCE\$1PHONE\$1NUMBER, GERMANY\$1PHONE\$1NUMBER, ITALY\$1PHONE\$1NUMBER, PHONE\$1NUMBER (カナダと米国の場合)、SPAIN\$1PHONE\$1NUMBER, UK\$1PHONE\$1NUMBER |
| 個人情報: PII | 社会保険番号 (SIN) | CANADA\$1SOCIAL\$1INSURANCE\$1NUMBER |
| 個人情報: PII | 社会保障番号 (SSN) | SPAIN\$1SOCIAL\$1SECURITY\$1NUMBER, USA\$1SOCIAL\$1SECURITY\$1NUMBER |
| 個人情報: PII | 納税者識別番号または参照番号 | AUSTRALIA\$1TAX\$1FILE\$1NUMBER, BRAZIL\$1CNPJ\$1NUMBER, BRAZIL\$1CPF\$1NUMBER, FRANCE\$1TAX\$1IDENTIFICATION\$1NUMBER, GERMANY\$1TAX\$1IDENTIFICATION\$1NUMBER, SPAIN\$1NIE\$1NUMBER, SPAIN\$1NIF\$1NUMBER, SPAIN\$1TAX\$1IDENTIFICATION\$1NUMBER, UK\$1TAX\$1IDENTIFICATION\$1NUMBER, USA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER |
| 個人情報: PII | 車両識別番号 (VIN) | VEHICLE\$1IDENTIFICATION\$1NUMBER |
# 機密データ検出ジョブの実行
Amazon Macie を使用すると、機密データ検出ジョブを作成して実行し、Amazon Simple Storage Service (Amazon S3) 汎用バケット内の機密データの検出、ログ記録、レポート作成を自動化できます。機密データ検出ジョブは、Amazon S3 オブジェクト内の機密データを検出して報告するために Macie が実行する一連の自動処理および分析タスクです。各ジョブでは、Macie が検出した機密データと Macie が実行する分析に関する詳細なレポートが提供されます。ジョブを作成して実行すると、組織が Amazon S3 に保存するデータと、そのデータのセキュリティまたはコンプライアンスのリスクに関する包括的なビューを構築して維持できます。
データセキュリティおよびプライバシーの要件を満たし、それへの準拠を維持するために、Macie はジョブの範囲のスケジュールおよび定義のためのいくつかのオプションを提供しています。ジョブは、オンデマンドの分析および評価では 1 回のみ、または定期的な分析、評価、およびモニタリングでは繰り返しベースで実行するように設定できます。ジョブの分析の幅と深さ、つまり、選択する特定の S3 バケット、または特定の条件に一致するバケットも定義します。追加のオプションを選択して、オプションとして分析の範囲を絞り込むことができます。オプションには、タグやプレフィックスなどの S3 オブジェクトのプロパティから派生するカスタム基準やオブジェクト最終更新日時があります。
それぞれのジョブで、Macie が検出してレポートする機密データのタイプも指定します。各ジョブは、Macie が提供した [マネージドデータ識別子](managed-data-identifiers.md)、お客様が定義した [カスタムデータ識別子](custom-data-identifiers.md)、またはこの 2 つの組み合わせを使用して、オブジェクトを分析できます。ジョブに対して特定のマネージドデータ識別子とカスタムデータ識別子を選択することで、特定のタイプの機密データに焦点を絞るように分析を調整できます。分析を微調整するために、[許可リスト](allow-lists.md)を使用するようにジョブを設定することもできます。許可リストで、Macie に無視させたいテキストとテキストパターンを指定します。通常、組織の特定のシナリオや環境における機密データの例外です。
各ジョブは、その検出された機密データと実行された分析のレコード (機密データの調査結果 (機密データの調査結果) と 機密データの検出結果) を作成します。機密データの調査結果は、Macie がS3オブジェクトで検出した機密データの詳細なレポートです。機密データの検出結果は、オブジェクトの分析に関する詳細を記録するレコードです。Macie は、分析するジョブを設定するオブジェクトごとに、機密データの検出結果を作成します。これには、Macie が機密データを見つけられないために機密データの検出結果を生成しないオブジェクト、およびエラーや問題のために Macie が分析できないオブジェクトが含まれます。各タイプのレコードは、標準化されたスキーマに従っており、セキュリティおよびコンプライアンスの要件を満たすために、レコードのクエリ、モニタリング、および処理に役立ちます。
**Topics**
+ [ジョブの範囲のオプション](discovery-jobs-scope.md)
+ [ジョブの作成](discovery-jobs-create.md)
+ [ジョブ結果を確認する](discovery-jobs-manage-results.md)
+ [ジョブの管理](discovery-jobs-manage.md)
+ [CloudWatch Logs を使用してジョブをモニタリングする](discovery-jobs-monitor-cw-logs.md)
+ [ジョブのコストの予測とモニタリング](discovery-jobs-costs.md)
+ [ジョブに推奨されるマネージドデータ識別子](discovery-jobs-mdis-recommended.md)
# 機密データ検出ジョブの範囲のオプション
機密データ検出ジョブでは、Amazon Macie が Amazon Simple Storage Service (Amazon S3) 汎用バケットで機密データを検出してレポートするために実行する分析の範囲を定義します。これを行うために、Macie では、ジョブを作成および設定するときに選択できるジョブ固有のオプションがいくつか用意されています。
**Topics**
+ [S3 バケット (複数または単一) 条件](#discovery-jobs-scope-buckets)
+ [サンプリング深度](#discovery-jobs-scope-sampling)
+ [初回実行: 既存の S3 オブジェクトを含める](#discovery-jobs-scope-objects)
+ [S3 オブジェクト基準](#discovery-jobs-scope-criteria)
## S3 バケット (複数または単一) 条件
機密データ検出ジョブを作成する際、ジョブの実行時に Macie で分析するオブジェクトが保存されている S3 バケットを指定します。これを行うには、バケットインベントリから特定の S3 バケットを選択する方法と、S3 バケットのプロパティから派生するカスタム基準を指定する方法の 2 つの方法があります。
**特定の S3 バケットを選択する**
このオプションでは、分析する各 S3 バケットを明示的に選択します。次に、ジョブが実行されると、Macie によって、選択したバケット内のオブジェクトのみが分析されます。毎日、毎週、または毎月ベースで定期的に実行されるようにジョブを設定すると、Macie はジョブが実行されるたびに同じバケット内のオブジェクトを分析します。
この設定は、特定のデータセットを対象とした分析を実行する場合に便利です。これにより、ジョブが分析するバケットの正確かつ予測可能な制御が可能になります。
**S3 バケット基準を指定する**
このオプションでは、分析する S3 バケットを決定するランタイム基準を定義します。基準は、パブリックアクセス設定やタグなど、バケットプロパティから派生する 1 つ以上の条件で設定されます。ジョブが実行されると、Macie は条件に一致するバケットを識別し、それらのバケット内のオブジェクトを分析します。ジョブを定期的に実行するように設定した場合、Macie はジョブが実行されるたびにこれを行います。そのため、Macie は、バケットインベントリの変更と定義した基準に応じて、ジョブが実行されるたびに異なるバケット内のオブジェクトを分析する場合があります。
この設定は、分析範囲をバケットインベントリへの変更に動的に適応させる場合に便利です。バケット条件を使用するようにジョブを設定し、定期的に実行すると、Macie は条件に一致する新しいバケットを自動的に識別し、それらのバケットに機密データがないか検査します。
このセクションのトピックでは、各オプションに関する追加の詳細を提供します。
**Topics**
+ [特定のバケットを選択する](#discovery-jobs-scope-buckets-select)
+ [S3 バケット基準の指定](#discovery-jobs-scope-buckets-criteria)
### 特定のバケットを選択する
ジョブで分析する各 S3 バケットを明示的に選択すると、Macie は現在の の汎用バケットのインベントリを提供します AWS リージョン。次に、インベントリを確認し、必要なバケットを選択できます。お客様が組織の Macie 管理者である場合、インベントリには、メンバーアカウントが所有するバケットが含まれます。これらのバケットは最大 1,000 個まで選択でき、最大 1,000 個のアカウントで設定されます。
バケットの選択を支援するために、インベントリは各バケットの詳細と統計を提供します。これには、ジョブが各バケットで分析できるデータ量が含まれます。分類可能なオブジェクトとは、[サポートされているAmazon S3ストレージクラス](discovery-supported-storage.md#discovery-supported-s3-classes)を使用し、サポートされているファイルまたはストレージフォーマットのファイル名拡張子を持つオブジェクトです。インベントリは、バケット内のオブジェクトを分析するように既存のジョブが設定されているかどうかも示します。これらの詳細は、ジョブの幅を推定し、バケットの選択を絞り込むのに役立ちます。
インベントリテーブルには、以下があります。
+ **機密性** - [機密データ自動検出](discovery-asdd.md)が有効になっている場合、バケットの現在の機密性スコアを指定します。
+ **分類可能なオブジェクト** - ジョブがバケット内で分析できるオブジェクトの合計数を指定します。
+ **分類可能なサイズ** - ジョブがバケット内で分析できるすべてのオブジェクトの合計ストレージサイズを指定します。
バケットに圧縮オブジェクトが格納されている場合、この値は、解凍後のこれらのオブジェクトの実際のサイズを反映していません。バケットでバージョニングが有効化されている場合、この値は、バケット内の各オブジェクトの最新バージョンのストレージサイズに基づきます。
+ **ジョブによるモニタリング** - バケット内のオブジェクトを毎日、毎週、または毎月ベースで定期的に分析するように既存のジョブが設定されているかどうかを指定します。
このフィールドの値が **はい**の場合、バケットが定期的なジョブに明示的に含まれるか、バケットが過去 24 時間以内の定期的なジョブの基準に一致したことになります。さらに、それらのジョブの少なくとも 1 つのステータスは *キャンセル*されません。Macie は毎日ベースでこのデータを更新します。
+ **最新のジョブ実行** — バケット内のオブジェクトを分析するように定期ジョブまたは 1 回限りのジョブを設定した場合、このフィールドは、これらのジョブのいずれかの実行が開始された最新の時刻を指定します。それ以外の場合は、このフィールドにはダッシュ (–) が表示されます。
情報アイコン (![\[The information icon, which is a blue circle that has a lowercase letter i in it.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/icon-info-blue.png)) が任意のバケット名の横に表示される場合、Amazon S3 から最新のバケットメタデータを取得することをお勧めします。これを行うには、テーブルの上の更新(![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/btn-refresh-data.png)) を選択します。情報アイコンは、Macie が毎日の更新サイクルの一部として Amazon S3 からバケットとオブジェクトのメタデータをおそらく最後に取得した後の過去 24 時間にバケットが作成されたことを示します。詳細については、「[データの更新](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh)」を参照してください。
警告アイコン![\[The warning icon, which is a red triangle that has an exclamation point in it.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/icon-warning-red.png)がバケットの名前の横に表示される場合、Macie はバケットまたはバケットのオブジェクトへのアクセスが許可されません。これは、ジョブがバケット内のオブジェクトを分析できなくなることを意味します。問題を調査するには、Amazon S3 内のバケットのポリシーとアクセス許可の設定を確認します。例えば、バケットには制限があるバケットポリシーが設定されている場合があります。詳細については、「[Macie が S3 バケットおよびオブジェクトにアクセスすることを許可する](monitoring-restrictive-s3-buckets.md)」を参照してください。
ビューをカスタマイズして特定のバケットをより簡単に検索するには、フィルターボックスにフィルター条件を入力してテーブルをフィルタリングできます。例をいくつか、次のテーブルに示します。
| ...のすべてのバケットを表示するには | ...でこのフィルターを適用 |
| --- | --- |
| 特定のアカウントによって所有されている | アカウント ID= the 12-digit ID for the account (アカウントの 12 桁の ID) |
| パブリックアクセス可能である | 有効なアクセス許可 = パブリック |
| 定期的なジョブには含まれない | ジョブによって積極的にモニタリングされる= False |
| 定期的または 1 回限りのジョブに含まれない | ジョブで定義されている= (False) |
| 特定のタグキーを持っている\$1 | タグキー= そのタグキー |
| 特定のタグ値を持っている\$1 | タグ値= そのタグ値 |
| 暗号化されていないオブジェクト (またはクライアント側の暗号化を使用するオブジェクト) を保存する | 暗号化によるオブジェクトカウントは、暗号化なしおよび From = 1 |
\$1 タグのキーと値は大文字と小文字が区別されます。また、完全で有効な値を指定する必要があります。部分的な値を指定したり、ワイルドカード文字を使用したりすることはできません。
バケットに関する追加の詳細を表示するには、バケットの名前を選択して、詳細パネルを参照します。パネルでは、次の操作もできます。
+ フィールドの拡大鏡を選択して、特定のフィールドでピボットしてドリルダウンします。同じ値を持つバケットを表示するには![\[The zoom in icon, which is a magnifying glass that has a plus sign in it.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/icon-magnifying-glass-plus-sign.png)、 を選択します。他の値を持つバケットを表示するには![\[The zoom out icon, which is a magnifying glass that has a minus sign in it.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/icon-magnifying-glass-minus-sign.png)、 を選択します。
+ バケット内のオブジェクトの最新のメタデータを取得します。これは、バケットを最近作成したり、過去 24 時間にバケットのオブジェクトに重要な変更を行った場合に役立ちます。データを取得するには、パネルの **オブジェクト統計**セクションで更新![\[The refresh button, which is a button that displays an empty, dark gray circle with an arrow.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/btn-refresh-object-data.png)を選択します。このオプションは、30,000 個以下のオブジェクトが格納されているバケットで使用できます。
場合によっては、パネルにバケットのすべての詳細が含まれないことがあります。これは、Amazon S3 に 10,000 を超えるバケットを保存する場合に発生する可能性があります。Macie は、アカウントの 10,000 バケットのみの完全なインベントリデータを保持します。これは、最近作成または変更された 10,000 バケットです。ただし、このクォータを超えるバケット内のオブジェクトを分析するようにジョブを設定できます。これらのバケットの追加の詳細を確認するには、Amazon S3 を使用します。
### S3 バケット基準の指定
ジョブのバケット基準を指定することを選択した場合、Macie は基準を定義およびテストするためのオプションを提供します。これらは、分析するオブジェクトが格納されている S3 バケットを特定するランタイム基準です。ジョブが実行されるたびに、基準に一致する汎用バケットが識別され、適切なバケット内のオブジェクトが分析されます。お客様が組織の Macie 管理者である場合、これには、お客さまのメンバーアカウントが所有するバケットが含まれます。
#### バケット基準の定義
バケット基準は、S3 バケットのプロパティから派生する 1 つ以上の基準で設定されます。各条件は、*基準*とも呼ばれ、以下の設定要素があります。
+ **アカウント ID**または **有効なアクセス許可** などの、プロパティベースのフィールド。
+ 演算子で、*と等しい*`eq`または *等しくない*`neq`のいずれか。
+ 1 つまたは複数の値。
+ 含むまたは除外ステートメント。条件に一致するバケットを分析する (**含む) かスキップする (除外**) かどうかを示します。
フィールドに複数の値を指定した場合、Macie は OR ロジックを使用して値を結合します。基準に複数の条件を指定した場合、Macie は AND ロジックを使用して条件を結合します。また、除外条件は 含む条件よりも優先されます。たとえば、パブリックアクセス可能なバケットを含めて、特定のタグを持つバケットを除外する場合、ジョブは、バケットに指定されたタグのいずれかがない限り、パブリックアクセス可能なバケット内のオブジェクトを分析します。
S3 バケットの次のプロパティベースのフィールドのいずれかから派生する条件を定義できます。
**アカウント ID**
バケットを所有 AWS アカウント する の一意の識別子 (ID)。このフィールドに複数の値を指定するには、各アカウントの ID を入力し、各エントリをカンマで区切ります。
また、Macie はこのフィールドのワイルドカード文字または部分的な値の使用をサポートしていないことに注意してください
**バケット名**
バケットの名前。このフィールドは、Amazon S3 内の、**Amazon Resource Name (ARN)** (Amazon リソースネーム (ARN)) フィールドではなく、**名前**フィールドに関連します。このフィールドに複数の値を指定するには、各バケットの名前を入力し、各エントリをカンマで区切ります。
values (値) では、大文字と小文字が区別されることに注意してください。また、Macie はこのフィールドのワイルドカード文字または部分的な値の使用をサポートしていません。
**有効なアクセス許可**
バケットがパブリックアクセス可能かどうかを指定します。このフィールドには、次の値を 1 つ以上選択できます。
+ **パブリックではない**— 一般ユーザーは、バケットへの読み取りまたは書き込みのアクセス権を持っていません。
+ **パブリック**— 一般ユーザーは、バケットへの読み取りまたは書き込みのアクセス権を持っています。
+ **不明**— Macie はバケットのパブリックアクセス設定を評価できませんでした。問題またはクォータにより、Macie は必要なデータを取得して評価できませんでした。
バケットがパブリックアクセス可能かどうかを判断するため、Macie はバケットのアカウントレベルとバケットレベルの設定、アカウントのブロックパブリックアクセスの設定、バケットのブロックパブリックアクセスの設定、バケットのバケットポリシー、およびバケットのアクセスコントロールリスト (ACL) の組み合わせを分析します。これらの設定の詳細については、Amazon *Simple Storage Service ユーザーガイド*の「Amazon S3 ストレージへのアクセス[コントロール](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html)とパブリックアクセスのブロック」を参照してください。 [ Amazon S3 ](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html)
**共有アクセス**
バケットを別の 、Amazon CloudFront オリジンアクセスアイデンティティ (OAI) AWS アカウント、または CloudFront オリジンアクセスコントロール (OAC) と共有するかどうかを指定します。このフィールドには、次の値を 1 つ以上選択できます。
+ **外部** — バケットは、CloudFront OAI、CloudFront OAC、または組織の外部 (一部ではない) のアカウントの 1 つ以上、またはそれらの任意の組み合わせと共有されます。
+ **内部** — バケットは組織の内部にある (一部である) 1 つ以上のアカウントと共有されます。CloudFront の OAI や OAC とは共有されません。
+ **共有なし** — バケットは別のアカウント、CloudFront OAI、または CloudFront OAC と共有されていません。
+ **不明**— Macie はバケットの共有アクセス設定を評価できませんでした。問題またはクォータにより、Macie は必要なデータを取得して評価できませんでした。
バケットが別のバケットと共有されているかどうかを判断するために AWS アカウント、Macie はバケットのバケットポリシーと ACL を分析します。さらに、*組織は*、 を通じて、 AWS Organizations または Macie の招待によって、関連するアカウントのグループとして一元管理される一連の Macie アカウントとして定義されます。バケットを共有するための Amazon S3 オプションの詳細については、*Amazon Simple Storage Service ユーザーガイド*の[「アクセスコントロール](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html)」を参照してください。
バケットが CloudFront OAA または OAC と共有されているかを決定するために、Macie はバケットのポリシーを分析します。CloudFront OAI または OAC を使用すると、ユーザーは 1 つ以上の指定された CloudFront ディストリビューションを介してバケットのオブジェクトにアクセスできます。詳細については、Amazon CloudFront デベロッパーガイドの[Amazon S3 オリジンへのアクセスを制限する](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html)を参照してください。
**タグ**
バケットに関連付けられているタグ。タグは、S3 バケットを含む特定のタイプの AWS リソースを定義して割り当てることができるラベルです。各タグは、必要なタグキーとオプションのタグ値で設定されています。S3 バケットのタグ付けの詳細については、Amazon Simple Storage Service ユーザーガイドの[コスト配分 S3 バケットタグの使用](https://docs.aws.amazon.com/AmazonS3/latest/userguide/CostAllocTagging.html)を参照してください。
機密データ検出ジョブの場合、このタイプの条件を使用して、特定のタグキー、特定のタグ値、または特定のタグキーとタグ値 (ペアとして) を持つバケットを含めるか除外できます。例えば、次のようになります。
+ タグキーとして **Project** を指定し、条件でタグ値を指定しない場合、プロジェクトタグキーを持つバケットは、そのタグキーに関連付けられているタグ値に関係なく、条件の基準を満たします。
+ **Development** と **Test** をタグ値として指定し、条件でタグキーを指定しない場合、**Development** または **Test** のタグ値を持つバケットは、それらのタグ値に関連付けられているタグキーに関係なく、条件の基準と一致します。
タグのキーと値では、大文字と小文字が区別されます。また、Macie はタグ条件でのワイルドカード文字または部分的な値の使用をサポートしていません。
条件で複数のタグキーを指定するには、各タグキーを **キー**フィールドに入力し、各エントリをカンマで区切ります。条件で複数のタグ値を指定するには、各タグ値を **値**フィールドに入力し、各エントリをカンマで区切ります。
Amazon S3 に 10,000 を超えるバケットを保存する場合、Macie はすべてのバケットのタグデータを維持しないことに注意してください。Macie は、アカウントの 10,000 バケットのみの完全なインベントリデータを保持します。これは、最近作成または変更された 10,000 バケットです。他のすべてのバケットでは、関連するタグキーと値はインベントリデータに含まれません。つまり、バケットは、*等号* (`eq`) 演算子を使用する条件の特定のタグキーまたは値と一致しません。タグベースの条件に*等しくない* (`neq`) 演算子を指定すると、バケットが条件と一致することを意味します。
#### バケット基準のテスト
バケット基準を定義している間、結果をプレビューして基準をテストおよび絞り込むことができます。これを行うには、コンソールの条件の下に表示される **基準の結果のプレビュー**セクションを展開します。このセクションでは、現在条件に一致する最大 25 個の汎用バケットのテーブルを表示します。
この表はまた、ジョブが各バケットで分析できるデータ量についての洞察を提供します。分類可能なオブジェクトとは、[サポートされているAmazon S3ストレージクラス](discovery-supported-storage.md#discovery-supported-s3-classes)を使用し、[サポートされているファイルまたはストレージフォーマット](discovery-supported-storage.md#discovery-supported-formats)のファイル名拡張子を持つオブジェクトです。テーブルは、バケット内のオブジェクトを定期的に分析するように既存のジョブが設定されているかどうかも示します。
このテーブルの説明を以下に示します。
+ **機密性** - [機密データ自動検出](discovery-asdd.md)が有効になっている場合、バケットの現在の機密性スコアを指定します。
+ **分類可能なオブジェクト** - ジョブがバケット内で分析できるオブジェクトの合計数を指定します。
+ **分類可能なサイズ** - ジョブがバケット内で分析できるすべてのオブジェクトの合計ストレージサイズを指定します。
バケットに圧縮オブジェクトが格納されている場合、この値は、解凍後のこれらのオブジェクトの実際のサイズを反映していません。バケットでバージョニングが有効化されている場合、この値は、バケット内の各オブジェクトの最新バージョンのストレージサイズに基づきます。
+ **ジョブによるモニタリング** - バケット内のオブジェクトを毎日、毎週、または毎月ベースで定期的に分析するように既存のジョブが設定されているかどうかを指定します。
このフィールドの値が **はい**の場合、バケットが定期的なジョブに明示的に含まれるか、バケットが過去 24 時間以内の定期的なジョブの基準に一致したことになります。さらに、それらのジョブの少なくとも 1 つのステータスは *キャンセル*されません。Macie は毎日ベースでこのデータを更新します。
警告アイコン![\[The warning icon, which is a red triangle that has an exclamation point in it.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/icon-warning-red.png)がバケットの名前の横に表示される場合、Macie はバケットまたはバケットのオブジェクトへのアクセスが許可されません。これは、ジョブがバケット内のオブジェクトを分析できなくなることを意味します。問題を調査するには、Amazon S3 内のバケットのポリシーとアクセス許可の設定を確認します。例えば、バケットには制限があるバケットポリシーが設定されている場合があります。詳細については、[Macie が S3 バケットおよびオブジェクトにアクセスすることを許可する](monitoring-restrictive-s3-buckets.md)を参照してください。
ジョブのバケット基準を絞り込むには、フィルターオプションを使用して、基準の条件を追加、変更、または削除します。Macie は、変更を反映するようにテーブルを更新します。
## サンプリング深度
このオプションでは、機密データ検出ジョブで分析する適格な S3 オブジェクトのパーセンテージを指定します。適格なオブジェクトとは、[サポートされている Amazon S3 ストレージクラス](discovery-supported-storage.md#discovery-supported-s3-classes)を使用し、[サポートされているファイルまたはストレージ形式](discovery-supported-storage.md#discovery-supported-formats)のファイル名拡張子を持つオブジェクトを有し、ジョブに指定するその他の条件を満たすオブジェクトです。
この値が 100% 未満の場合、Macie は、分析する適格なオブジェクトをランダムに選択し、指定されたパーセンテージまで、それらのオブジェクトのすべてのデータを分析します。たとえば、10,000 個のオブジェクトを分析するようにジョブを設定し、サンプリング深度を 20% に指定すると、Macie はジョブの実行時に、ランダムに選択した適格なオブジェクトを約 2,000 個分析します。
ジョブのサンプリング深度を下げると、コストを削減し、ジョブの所要時間を短縮できます。これは、オブジェクトのデータの一貫性が高く、各オブジェクトではなく S3 バケットに機密データが格納されているかどうかを判断する場合に便利です。
このオプションは、分析される *バイト*のパーセンテージではなく、分析される *オブジェクト*のパーセンテージを制御することに注意してください。100% 未満のサンプリング深度を入力すると、Macie は選択した各オブジェクトのデータのパーセンテージではなく、選択した各オブジェクトのすべてのデータを分析します。
## 初回実行: 既存の S3 オブジェクトを含める
機密データ検出ジョブを使用して、S3 バケット内のオブジェクトの継続的な増分分析を実行できます。定期的に実行するようにジョブを設定すると、Macie は自動的にこれを行います。各実行では、前の実行後に作成または変更されたオブジェクトのみが分析されます。**既存のオブジェクトを含める**オプションでは、最初の増分の開始点を選択します。
+ ジョブの作成が完了した直後に既存のオブジェクトをすべて分析するには、このオプションのチェックボックスをオンにします。
+ ジョブの作成後、初回実行前に作成または変更されたオブジェクトのみを待機して分析するには、このオプションのチェックボックスをオフにします。
このチェックボックスをオフにすると、すでにデータを分析していて、定期的に分析し続ける場合に役立ちます。たとえば、以前は別のサービスやアプリケーションを使用してデータを分類していたが、最近Macieを使用し始めた場合、このオプションを使用することで、不必要なコストや分類データの重複を発生させることなく、データの検出と分類を継続できるようになります。
定期ジョブの後続の実行ごとに、前の実行後に作成または変更されたオブジェクトのみが自動的に分析されます。
定期的なジョブと 1 回限りのジョブの両方について、特定の時間の前後または特定の時間範囲の間に作成または変更されたオブジェクトのみを分析するためのジョブを設定することもできます。これを行うには、オブジェクトの最終更新日を使用する object criteria (オブジェクト基準) を追加します。
## S3 オブジェクト基準
機密データ検出ジョブの範囲を微調整するには、S3 オブジェクトのカスタム条件を定義します。Macie は、これらの基準を使用して、ジョブの実行時に分析する (含む**) オブジェクトまたはスキップする (除外する**) オブジェクトを決定します。この基準は、S3 オブジェクトのプロパティから派生する 1 つ以上の条件で設定されます。条件は、分析に含まれるすべての S3 バケットのオブジェクトに適用されます。バケットにオブジェクトの複数のバージョンが格納されている場合、条件はオブジェクトの最新バージョンに適用されます。
複数の条件をオブジェクト基準として定義する場合、Macie は AND ロジックを使用して条件を結合します。また、除外条件は 含む条件よりも優先されます。たとえば、.pdf ファイル名拡張子を持つオブジェクトを含めて、5 MB を超えるオブジェクトを除外すると、オブジェクトが 5 MB を超えない限り、ジョブは .pdf ファイル名拡張子を持つ任意のオブジェクトを分析します。
S3 オブジェクトの次のプロパティのいずれかから派生する条件を定義できます。
**ファイル名拡張子**
これは S3 オブジェクトのファイル名拡張子に関連します。このタイプの条件を使用して、ファイルタイプに基づいてオブジェクトを含めるか除外することができます。複数のタイプのファイルに対してこれを行うには、各タイプのファイル名拡張子を入力し、各エントリをカンマで区切ります。次に例を示します: **docx,pdf,xlsx**。条件の値として複数のファイル名拡張子を入力すると、Macie は OR ロジックを使用して値を結合します。
values (値) では、大文字と小文字が区別されることに注意してください。また、Macie はこのタイプの条件での部分的な値またはワイルドカード文字の使用をサポートしていません。
Macie が分析できるファイルのタイプの詳細については、[サポートされているファイルおよびストレージ形式](discovery-supported-storage.md#discovery-supported-formats)を参照してください。
**最終更新日時**
これは、Amazon S3 の **最終更新日時**フィールドに関連します。Amazon S3 では、このフィールドには S3 オブジェクトが作成された日時、または最後に変更された日時のいずれか最新の日時が保存されます。
機密データ検出ジョブでは、この条件には、特定の日付、特定の日時、または唯一の時間範囲を指定できます。
+ 特定の日付または日時の後に最後に変更されたオブジェクトを分析するには、**From** フィールドに値を入力します。
+ 特定の日付または日時より前に最後に変更されたオブジェクトを分析するには、**To** フィールドに値を入力します。
+ 特定の時間範囲の間に最後に変更されたオブジェクトを分析するには、**From** フィールドを使用して、時間範囲内の最初の日付または日時の値を入力します。**To** フィールドを使用して、時間範囲内の最後の日付または日時の値を入力します。
+ 特定の 1 日の任意の時刻で最後に変更されたオブジェクトを分析するには、**From** フィールドに日付を入力します。**To** フィールドに次の日の日付を入力します 次に、両方の時間フィールドが空白であることを確認します。(Macie は空白の時間フィールドを `00:00:00` として扱います。) たとえば、2023 年 8 月 9 日に変更されたオブジェクトを分析するには、**[From]** 日付フィールドに **2023/08/09** と入力し、**[To]** 日付フィールドに **2023/08/10** と入力し、どちらの時刻フィールドにも値を入力しません。
協定世界時 (UTC) に任意の時間値を入力し、24 時間表記を使用します。
**プレフィックス**
これは、Amazon S3 の **キー**フィールドに関連します。Amazon S3 では、このフィールドには、オブジェクトのプレフィックスを含む S3 オブジェクトの名前が保存されます。*プレフィックス*は、バケット内のディレクトリパスと類似しています。これにより、類似ファイルをファイルシステム上のフォルダにまとめて保存する場合と同様に、バケット内の類似オブジェクトをまとめてグループ化できます。Amazon S3 のオブジェクトのプレフィックスとフォルダの詳細については、*Amazon Simple Storage Service ユーザーガイド*の[フォルダを使用して Amazon S3 コンソールでオブジェクトを整理する](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-folders.html)を参照してください。
このタイプの条件を使用して、キー (名前) が特定の値で始まるオブジェクトを含めるか除外することができます。たとえば、キーが *AWSLogs* で始まるすべてのオブジェクトを除外するには、**プレフィックス** 条件の値として **AWSLogs** と入力し、次に **除外** を選択します。
条件の値として複数のプレフィックスを入力すると、Macie は OR ロジックを使用して値を結合します。たとえば、条件の値として **AWSLogs1** と **AWSLogs2** を入力した場合、キーが AWSLogs1またはAWSLogs2で始まるすべてのオブジェクトは、条件の基準と一致しています。
**プレフィックス**条件で値を入力するときは、以下の点に注意してください。
+ 値は大文字と小文字が区別されます。
+ Macie は、これらの値でのワイルドカード文字の使用をサポートしていません。
+ Amazon S3 では、オブジェクトのキーには、オブジェクトが格納されているバケットの名前は含まれません。このため、これらの値にはバケット名を指定しないでください。
+ プレフィックスに区切り文字が含まれている場合は、値に区切り文字を含めます。たとえば、*AWSLogs/eventlogs* で始まるキーを持つすべてのオブジェクトの条件を定義するには **AWSLogs/eventlogs** と入力します。Macie は、スラッシュ (/) であるデフォルトの Amazon S3 区切り文字とカスタム区切り文字をサポートしています。
また、オブジェクトが条件の条件に一致するのは、オブジェクトのキーの最初の文字から入力した値と完全に一致する場合だけであることに注意してください。また、Macieは、オブジェクトのファイル名を含め、オブジェクトの完全な **キー**値に条件を適用します。
例えば、オブジェクトのキーがAWSLogs/eventlogs/testlog.csvで、条件に以下の値のいずれかを入力した場合、そのオブジェクトは条件の条件にマッチします:
+ **AWSLogs**
+ **AWSLogs/event**
+ **AWSLogs/eventlogs/**
+ **AWSLogs/eventlogs/testlog**
+ **AWSLogs/eventlogs/testlog.csv**
しかし、もし**eventlogs** を入力すると、オブジェクトは条件にマッチしません。—条件の値にキーの最初の部分であるAWSLogs/が含まれていないからです。同様に、 **awslogs**を入力しても、大文字と小文字の違いにより、オブジェクトは条件に一致しない。
**ストレージサイズ**
これは、Amazon S3 の **サイズ**フィールドに関連します。Amazon S3 では、このフィールドは S3 オブジェクトの合計ストレージサイズを示します。オブジェクトが圧縮ファイルの場合、この値は解凍後のファイルの実際のサイズを反映しません。
このタイプの条件を使用して、特定のサイズより小さい、特定のサイズより大きい、または特定のサイズ範囲内にあるオブジェクトを含めるか除外することができます。Macie は、圧縮ファイルやアーカイブファイル、およびそれらに含まれるファイルなど、すべてのタイプのオブジェクトにこの条件を適用します。サポートされている各フォーマットのサイズベースの制限については、[Macie のクォータ](macie-quotas.md)を参照してください。
**タグ**
S3オブジェクトに関連付けられたタグ。タグは、S3 オブジェクトを含む特定のタイプの AWS リソースを定義して割り当てることができるラベルです。各タグは、必要なタグキーとオプションのタグ値で設定されています。S3 オブジェクトのタグ付けの詳細については、*Amazon Simple Storage Service ユーザーガイド*の[タグを使用してストレージを分類する](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-tagging.html)を参照してください。
機密データ検出ジョブの場合、このタイプの条件を使用して、特定のタグを持つオブジェクトを含めるか除外できます。これは、特定のタグキー、または特定のタグキーとタグ値 (ペア) です。条件の値として複数のタグを指定すると、Macie は OR ロジックを使用して値を結合します。例えば、ある条件のタグキーとして、**Project1** と **Project2** を指定した場合、Project1または Project2のタグキーを持つオブジェクトが、条件と一致します。
タグのキーと値は大文字と小文字が区別されることに注意してください。また、Macie はこのタイプの条件での部分的な値またはワイルドカード文字の使用をサポートしていません。
# 機密データ検出ジョブの作成
Amazon Macie を使用すると、機密データ検出ジョブを作成して実行し、Amazon Simple Storage Service (Amazon S3) 汎用バケット内の機密データの検出、ログ記録、レポート作成を自動化できます。機密データ検出ジョブは、Amazon S3 オブジェクト内の機密データを検出して報告するために Macie が実行する一連の自動処理および分析タスクです。分析が進むにつれて、Macie は検出した機密データと実行した分析に関する詳細なレポートを作成します。機密データ検出結果では、Macie が個々の S3 オブジェクト内で検出した機密データを報告し、機密データ検出結果では、個々の S3 オブジェクトの分析に関するログ詳細を記録します。詳細については、「[ジョブ結果を確認する](discovery-jobs-manage-results.md)」を参照してください。
ジョブを作成する際はまず、ジョブ実行時に Macie で分析するオブジェクトが保存されている S3 バケット (選択した特定のバケットまたは特定の基準に一致したバケット) を指定します。次に、ジョブを 1 回実行するか、毎日、毎週、または毎月ベースで実行するか、その頻度を指定します。また、オプションを選択して、ジョブの分析範囲を絞り込むこともできます。オプションには、タグやプレフィックスなどの S3 オブジェクトのプロパティから派生するカスタム基準やオブジェクト最終更新日時があります。
ジョブのスケジュールと範囲を定義した後、使用するマネージドデータ識別子とカスタムデータ識別子を指定します。
+ *マネージドデータ識別子*は、クレジットカード番号、 AWS シークレットアクセスキー、特定の国や地域のパスポート番号など、特定のタイプの機密データを検出するように設計された一連の組み込み基準と手法です。これらの識別子は、複数タイプの認証情報データ、財務情報、個人健康情報 (PHI)、個人を特定できる情報 (PII) など、多くの国や地域で増加している大規模な機密データタイプのリストを検出できます。詳細については、[マネージドデータ識別子の使用](managed-data-identifiers.md)を参照してください。
+ *カスタムデータ識別子*は、機密データを検出するために定義する基準のセットです。カスタムデータ識別子を使用すると、従業員 ID、顧客アカウント番号、内部データの分類など、組織の特定のシナリオ、知的財産、または専有データを反映する機密データを検出できます。Macie が提供するマネージドデータ識別子を補足できます。詳細については、「[カスタムデータ識別子の構築](custom-data-identifiers.md)」を参照してください。
次に、必要に応じて、使用する許可リストを選択します。Macie の許可リスト**では、無視するテキストまたはテキストパターンが指定されます。これらは通常、特定のシナリオまたは環境における機密データの例外です。例えば、組織の公表名称または電話番号、組織がテストに使用するサンプルデータなどです。詳細については、「[許可リストでの機密データの例外の定義](allow-lists.md)」を参照してください。
これらのオプションの選択が完了したら、ジョブの名前やジョブの詳細など、ジョブの一般的な設定を入力できます。その後、ジョブを確認して保存します。
**Topics**
+ [開始する前に: キーリソースをセットアップする](#discovery-jobs-create-prerequisites)
+ [ステップ 1: S3 バケットを選択する](#discovery-jobs-create-step1)
+ [ステップ 2: S3 バケットの選択または基準を確認する](#discovery-jobs-create-step2)
+ [ステップ 3: スケジュールを定義し、範囲を絞り込む](#discovery-jobs-create-step3)
+ [ステップ 4: マネージドデータ識別子を選択する](#discovery-jobs-create-step4)
+ [ステップ 5: カスタムデータ識別子を選択する](#discovery-jobs-create-step5)
+ [ステップ 6: 許可リストの選択](#discovery-jobs-create-step6)
+ [ステップ 7: 全般設定を入力](#discovery-jobs-create-step7)
+ [ステップ 8: 確認して作成](#discovery-jobs-create-step8)
## 開始する前に: キーリソースをセットアップする
ジョブを作成する前に、次のステップを実行することをお勧めします。
+ 機密データ検出の結果用のリポジトリを設定していることを確認します。これを行うには、Amazon Macie コンソールのナビゲーションペインで **検出結果** を選択します。これらの設定の詳細については、[機密データ検出結果の保存と保持](discovery-results-repository-s3.md)を参照してください。
+ ジョブで使用するカスタムデータ識別子を作成します。この方法の詳細は、[カスタムデータ識別子の構築](custom-data-identifiers.md)を参照してください。
+ ジョブで使用する許可リストを作成します。この方法の詳細は、[許可リストでの機密データの例外の定義](allow-lists.md)を参照してください。
+ 暗号化された S3 オブジェクトを分析する場合は、Macie が正しい暗号化キーにアクセスして使用できることを確認してください。詳細については、[暗号化された S3 オブジェクトの分析](discovery-supported-encryption-types.md)を参照してください。
+ 制限があるバケットポリシーを持つ S3 バケット内のオブジェクトを分析する場合は、Macie がオブジェクトにアクセス許可されているか確認してください。詳細については、[Macie が S3 バケットおよびオブジェクトにアクセスすることを許可する](monitoring-restrictive-s3-buckets.md)を参照してください。
ジョブ作成の前にこれらの処理を行えば、ジョブ作成が効率化され、確実にジョブが対象データを分析できるようになります。
## ステップ 1: S3 バケットを選択する
ジョブを作成する際まず、ジョブ実行時に Macie が分析するオブジェクトが保存されている S3 バケットを指定します。このステップでは、2 つのオプションがあります。
+ **特定のバケットを選択する** — このオプションでは、分析する各 S3 バケットを明示的に選択します。次に、ジョブが実行されると、Macie によって、選択したバケット内のオブジェクトのみが分析されます。
+ **バケット基準を指定する** — このオプションでは、分析する S3 バケットを決定するランタイム基準を定義します。基準は、バケットプロパティから派生する 1 つ以上の条件で設定されます。次に、ジョブが実行されると、Macie によって、基準に一致するバケットが識別され、それらのバケット内のオブジェクトが分析されます。
これらのオプションの詳細な情報については、[ジョブの範囲のオプション](discovery-jobs-scope.md)を参照してください。
以下のセクションでは、各オプションの選択および設定の手順について説明します。目的のオプションのセクションを選択します。
### 特定のバケットを選択する
分析する各 S3 バケットを明示的に選択すると、Macie は現在の汎用バケットのインベントリを提供します AWS リージョン。次に、このインベントリを使用して、ジョブに対して 1 つ以上のバケットを選択します。このインベントリの詳細については、[特定のバケットを選択する](discovery-jobs-scope.md#discovery-jobs-scope-buckets-select)を参照してください。
お客様が組織の Macie 管理者である場合、インベントリには、組織のメンバーアカウントによって所有されているバケットが含まれます。これらのバケットは最大 1,000 個まで選択でき、最大 1,000 個のアカウントで設定されます。
**ジョブに対して特定の S3 バケットを選択するには**
1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。
1. ナビゲーションペインで **ジョブ**を選択します。
1. **[ジョブの作成]**を選択します。
1. **[S3 バケットを選択する]**ページで、**[特定のバケットを選択する]** を選択します。Macie では、現在のリージョン内のアカウントのすべての汎用バケットのテーブルが表示されます。
1. **S3 バケットを選択** のセクションで、必要に応じてリフレッシュ![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/btn-refresh-data.png)を選択して、Amazon S3 から最新バケットメタデータを取得します。
情報アイコン![\[The information icon, which is a blue circle that has a lowercase letter i in it.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/icon-info-blue.png)がバケット名の横に表示された場合、これを行うことをお勧めします。このアイコンは、Macie が [毎日の更新サイクル](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh)の一部として Amazon S3 からバケットとオブジェクトメタデータをおそらく最後に取得した後の過去 24 時間にバケットが作成されたことを示します。
1. テーブルで、ジョブで分析する各バケットのチェックボックスをオンにします。
**ヒント**
特定のバケットをより簡単に検索するには、テーブルの上にあるフィルターボックスにフィルター条件を入力します。列見出しを選択して、テーブルを並べ替えることもできます。
バケット内のオブジェクトを定期的に分析するジョブを既に設定したかを判断するには、**ジョブによるモニタリング** フィールドを参照します。**はい** がフィールドに表示される場合、バケットは定期的なジョブに明示的に含まれるか、あるいは、バケットが過去 24 時間以内の定期的なジョブの条件に一致したことになります。さらに、それらのジョブの少なくとも 1 つのステータスは *キャンセル*されません。Macie は毎日ベースでこのデータを更新します。
既存の定期的な設定か、あるいは、直近の 1 回限りのバケット内オブジェクト分析ジョブになっているかを判断するには、**最新のジョブ実行** フィールドを参照します。そのジョブの追加の情報については、バケットの詳細を参照してください。
バケットの詳細を表示するには、バケットの名前を選択します。ジョブ関連情報に加えて、詳細パネルには、バケットのパブリックアクセス設定など、バケットに関する統計やその他の情報が表示されます。このデータの詳細については、[S3 バケットインベントリを確認する](monitoring-s3-inventory-review.md)を参照してください。
1. バケットの選択が終了したら、**次へ**を選択します。
次のステップでは、選択内容を確認します。
### バケット基準を指定する
分析する S3 バケットを決定するランタイム基準を指定すると、Macie から、基準内の個別の条件のフィールド、演算子、および値を選択するのに役立つオプションが提供されます。これらのオプションの詳細については、「[S3 バケット基準の指定](discovery-jobs-scope.md#discovery-jobs-scope-buckets-criteria)」を参照してください。
**ジョブの S3 バケット基準を指定するには**
1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。
1. ナビゲーションペインで **ジョブ**を選択します。
1. **ジョブの作成**を選択します。
1. **S3 バケットを選択する**ページで、**バケット基準を指定する** を選択します。
1. **バケット基準を指定する** の下で、以下を実行して、条件を基準に追加します。
1. フィルターボックスにカーソルを置き、条件に使用するバケットプロパティを選択します。
1. 最初のボックスで、条件の演算子 (**等しい** または **等しくない** を選択します。
1. 次のボックスに、プロパティの値を 1 つ以上入力します。
バケットプロパティのタイプと性質に応じて、Macie は値を入力するためのさまざまなオプションを表示します。例えば、**有効なアクセス許可** プロパティを選択した場合、Macie は選択する値のリストを表示します。**アカウント ID** プロパティを選択した場合、Macie は、1 つ以上の AWS アカウント ID を入力できるテキストボックスを表示します。テキストボックスに複数の値を入力するには、各値を入力し、各エントリをカンマで区切ります。
1. **適用** を選択します。Macie は条件を追加し、フィルターボックスの下に表示します。
デフォルトでは、Macie は include ステートメントで条件を追加します。これは、ジョブが条件に一致するバケット内のオブジェクトを分析する*含める*ように設定されていることを意味します 。条件に一致するバケットをスキップする (除外する) には、条件で**含める** を選択し、次に **除外する** を選択します。
1. 基準に追加する追加の条件ごとに、上記のステップを繰り返します。
1. 基準をテストするには、**条件の結果をプレビューする**セクションを展開します。このセクションでは、現在条件に一致する最大 25 個の汎用バケットのテーブルを表示します。
1. 基準を絞り込むには、以下のいずれかを行ってください。
+ 条件を削除するには、条件で **X** を選択します。
+ 条件を変更するには、条件で **X** を選択してその条件を削除します。次に、正しい設定を持つ条件を追加します。
+ すべての条件を削除するには、**フィルターをクリア**を選択します。
Macie は、基準の結果のテーブルを更新して、変更を反映します。
1. バケット基準の指定が終了したら、**次へ**を選択します。
次のステップでは、基準を確認します。
## ステップ 2: S3 バケットの選択または基準を確認する
このステップでは、前のステップで正しい設定を選択したことを検証します。
+ **バケット選択の確認** ジョブに特定の S3 バケットを選択した場合は、バケットのテーブルを確認し、必要に応じてバケットの選択を変更します。このテーブルは、ジョブの分析の予測範囲とコストに関する洞察を提供します。データは、バケットに現在保存されているオブジェクトのサイズとタイプに基づいています。
表の**推定コスト**フィールドは、S3 バケット内のオブジェクトの分析の合計推定コスト (米ドル) を示しています。各見積もりは、ジョブがバケット内で分析する非圧縮データの予測量を反映します。オブジェクトが圧縮ファイルまたはアーカイブファイルである場合、見積もりではファイルが 3:1 の圧縮率を使用し、ジョブはすべての抽出されたファイルを分析できると仮定します。詳細については、[ジョブのコストの予測とモニタリング](discovery-jobs-costs.md)を参照してください。
+ **バケット条件を確認** ジョブのバケット条件を指定した場合は、それぞれの条件がその条件になっているか確認します。基準を変更するには、**前へ** を選択し、前のステップのフィルターオプションを使用して正しい条件を入力します。終了したら、**次へ**を選択します。
設定の確認と検証が終了したら、**次へ** を選択します。
## ステップ 3: スケジュールを定義し、範囲を絞り込む
このステップでは、ジョブを 1 回実行するか、毎日、毎週、または毎月ベースで実行するか、その頻度を指定します。また、さまざまなオプションを選択して、ジョブの分析範囲を絞り込みます。これらのオプションについては、[ジョブの範囲のオプション](discovery-jobs-scope.md)を参照してください。
**スケジュールを定義し、ジョブの範囲を絞り込むには**
1. **範囲を絞り込む** ページで、ジョブを実行する頻度を選択します。
+ ジョブを 1 回だけ実行するには、作成終了直後に、**1 回限りのジョブ**を選択します。
+ ジョブを繰り返しベースで定期的に実行するには、**スケジュールされたジョブ**を選択します。**更新頻度**では、ジョブを毎日、毎週、または毎月実行するかを選択します。次に、**既存のオブジェクトを含める**オプションを使用して、ジョブの初回実行の範囲を定義します。
+ ジョブの作成が完了した直後に既存のオブジェクトをすべて分析するには、このチェックボックスをオンにします。後続の実行ごとに、前の実行後に作成または変更されたオブジェクトのみが分析されます。
+ 既存のすべてのオブジェクトの分析をスキップするには、このチェックボックスをオフにします。ジョブの最初の実行では、ジョブの作成終了後で最初の実行開始前に作成または変更されたオブジェクトのみが分析されます。後続の実行ごとに、前の実行後に作成または変更されたオブジェクトのみが分析されます。
このチェックボックスをオフにすると、すでにデータを分析していて、定期的に分析を続ける場合に役立ちます。例えば、以前他のサービスまたはアプリケーションを使ってデータを分類し、最近 Macie を使用し始めた場合は、このオプションを使用すると、不要なコストや重複した分類データを発生させずにデータの検出と分類を継続することができます。
1. (オプショナル) ジョブで分析するオブジェクトのパーセンテージを指定するには、**サンプリング深度**ボックスにパーセンテージを入力します。
この値が 100% 未満の場合、Macie は、分析するオブジェクトをランダムに選択し、指定されたパーセンテージまで、それらのオブジェクトのすべてのデータを分析します。デフォルト値は 100% です。
1. (オプショナル) ジョブの分析に含めるか除外する S3 オブジェクトを決定する特定の基準を追加するには、**追加の設定**セクションを展開し、次に基準を入力します。これらの条件は、オブジェクトのプロパティから派生する個別の条件で設定されます。
+ 分析するため特定の条件を満たすオブジェクトを含め 、条件のタイプと値を入力し、次に **含める**を選択します。
+ 特定の条件を満たすオブジェクトをスキップする (除外する) には、条件のタイプと値を入力し、次に **除外する**を選択します。
必要な 含めるまたは 除外する条件ごとに、このステップを繰り返します。
複数の条件を入力した場合、すべての除外条件は、適用する条件より優先されます。例えば、.pdf ファイル名拡張子を持つオブジェクトを含めて、5 MB を超えるオブジェクトを除外すると、オブジェクトが 5 MB を超えない限り、ジョブは .pdf ファイル名拡張子を持つ任意のオブジェクトを分析します。
1. 終了したら、**次へ** を選択します。
## ステップ 4: マネージドデータ識別子を選択する
このステップでは、S3 オブジェクトを分析するときにジョブで使用するマネージドデータ識別子を指定します。これには 2 つのオプションがあります。
+ **推奨設定を使用** このオプションでは、ジョブに推奨するマネージドデータ識別子のセットを使用して、ジョブにより S3 オブジェクトが分析されます。このセットは、一般的なカテゴリとタイプの機密データを検出するように設計されています。現在セット内にあるマネージドデータ識別子の詳細なリストを確認するには、[ジョブに推奨されるマネージドデータ識別子](discovery-jobs-mdis-recommended.md) を参照してください。マネージドデータ識別子がセットに追加または削除されるたびに、そのリストは更新されます。
+ **カスタム設定を使用** このオプションでは、選択したマネージドデータ識別子を使用して、ジョブにより S3 オブジェクトが分析されます。これは、現在利用可能なマネージドデータ識別子のすべてまたは一部のみとなる可能性があります。また、マネージドデータ識別子を使用しないようジョブを設定することもできます。代わりに、次のステップで選択するカスタムデータ識別子をジョブに使用します。現在利用可能なマネージドデータ識別子の一覧を確認するには、[クイックリファレンス: タイプ別のマネージドデータ識別子](mdis-reference-quick.md) を参照してください。新しいマネージドデータ識別子がリリースされるたびに、そのリストが更新されます。
いずれかのオプションを選択すると、Macie はマネージドデータ識別子のテーブルを表示します。テーブルの [**機密データのタイプ**] フィールドで、マネージドデータ識別子に一意の識別子 (ID) を指定します。この ID は、マネージドデータ識別子によって検出される機密データのタイプを示します。例えば、米国のパスポート番号は **USA\$1PASSPORT\$1NUMBER**、クレジットカード番号は **CREDIT\$1CARD\$1NUMBER**、PGP プライベートキーは **PGP\$1PRIVATE\$1KEY** です。特定の識別子をよりすばやく検索するには、機密データのカテゴリまたはタイプでテーブルを並べ替えたり、フィルタリングします。
**ジョブのマネージドデータ ID を選択するには**
1. **マネージドデータ識別子を選択する** ページの [**マネージドデータ識別子のオプション**] のところで、次のいずれかを実行します。
+ ジョブに推奨するマネージドデータ識別子のセットを使用するには、[**お勧め**] を選択します。
このオプションを選択し、ジョブを複数回実行するように設定した場合、各実行では、実行の開始時に推奨セットにあるすべてのマネージドデータ識別子が自動的に使用されます。これには、セットに追加した新しいマネージドデータ識別子も含まれます。セットから削除し、ジョブに推奨しなくなったマネージドデータ識別子は含まれません。
+ 選択した特定のマネージドデータ識別子のみを使用するには、[**カスタム**] を選択してから [**特定のマネージドデータ識別子を使用する**]を選択します。次に、テーブルで、ジョブで使用する各マネージドデータ識別子のチェックボックスをオンにします。
このオプションを選択し、ジョブを複数回実行するように設定した場合、各実行では選択したマネージドデータ識別子のみを使用します。つまり、ジョブは実行のたびにこれらの同じマネージドデータ識別子を使用します。
+ Macie が現在提供しているマネージドデータ識別子をすべて使用するには、[**カスタム**] を選択してから [**特定のマネージドデータ識別子を使用する**]を選択します。次に、テーブルで、選択列見出しのチェックボックスを選択して、すべての行を選択します。
このオプションを選択し、ジョブを複数回実行するように設定した場合、各実行では選択したマネージドデータ識別子のみを使用します。つまり、ジョブは実行のたびにこれらの同じマネージドデータ識別子を使用します。
+ マネージドデータ識別子を一切使用せず、カスタムデータ識別子のみを使用するには、[**カスタム**] を選択してから [**マネージドデータ識別子を一切使用しない**] を選択します。それから次のステップで、使用するカスタムデータ識別子を選択します。
1. 終了したら、**次へ** を選択します。
## ステップ 5: カスタムデータ識別子を選択する
このステップでは、S3 オブジェクトを分析するときにジョブで使用する カスタムデータ識別子を選択します。ジョブでは、ジョブで使用するために設定したマネージドデータ識別子に加えて、選択された識別子が使用されます。カスタムデータ識別子の詳細については、[カスタムデータ識別子の構築](custom-data-identifiers.md) を参照してください。
**ジョブのカスタムデータ識別子を選択するには**
1. **カスタムデータ識別子の選択**ページで、ジョブで使用する各カスタムデータ識別子のチェックボックスをオンにします。カスタムデータ識別子は最大 30 個まで選択できます。
**ヒント**
カスタムデータ識別子を選択する前にその識別子を確認またはテストするには、識別子の名前の横にあるリンクアイコン![\[The link icon, which is a blue box that has an arrow in it.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/icon-external-link.png)を選択します。Macie は、識別子の設定を表示するページを開きます。
このページを使用して、サンプルデータを用いて識別子をテストすることもできます。これを行うには、最大 1,000 文字のテキストを **サンプルデータ** ボックスに入力し、次に **Submit** (送信) を選択します。Macie は識別子を使用してサンプルデータを評価し、一致の数をレポートします。
1. カスタムデータ識別子の選択が終了したら、**次へ** を選択します。
## ステップ 6: 許可リストの選択
このステップでは、S3 オブジェクトを分析するときにジョブで使用する許可リストを選択します。許可リストの詳細については、[許可リストでの機密データの例外の定義](allow-lists.md) を参照してください。
**ジョブの許可リストを選択する**
1. **許可リストの選択**ページで、ジョブで使用する各許可リストのチェックボックスをオンにします。リストは 10 個まで選択できます。
**ヒント**
許可リストを選択する前にそのリストを確認するには、リスト名の横にあるリンクアイコン![\[The link icon, which is a blue box that has an arrow in it.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/icon-external-link.png)を選択します。Macie は、リストの設定を表示するページを開きます。
リストで正規表現 (正規表現)を指定する場合は、このページを使用してサンプルデータでその正規表現を確認することもできます。これを行うには、テキスト (最大 1,000 文字) を **サンプルデータ** ボックスに入力し、次に **テスト** を選択します。Macie は正規表現を使用してサンプルデータを評価し、一致の数をレポートします。
1. 許可リストの選択が完了したら、**次へ** を選択します。
## ステップ 7: 全般設定を入力
このステップでは、ジョブの名前と、必要に応じてジョブの詳細を入れます。ジョブにタグを割り当てることもできます。 *タグ* は、特定のタイプの AWS リソースを定義して割り当てるラベルです。各タグは、必要なタグキーとオプションのタグ値で設定されています。タグを使用することで、目的、所有者、環境、その他の条件など、さまざまな方法でリソースを分類および管理できます。詳細については、[Macie リソースにタグ付けする](tagging-resources.md)を参照してください。
**ジョブの全般設定を入力する**
1. **名前と説明を入力** ページで、ジョブの名前を **ジョブ名** ボックスに入力します。名前には最大 500 文字を含めることができます。
1. (オプショナル) **ジョブの説明**では、ジョブの簡単な説明を入力します。説明には最大 200 文字を含めることができます。
1. (オプショナル) **タグ** で [**タグを追加**] を選択し、ジョブに割り当てるタグを 50 個まで入力できます。
1. 終了したら、**次へ** を選択します。
## ステップ 8: 確認して作成
この最後のステップでは、ジョブの構成設定を確認し、その設定が正しいことを検証します。これは重要なステップです。ジョブ作成後は、これらの設定を変更することはできません。これにより、実施するデータプライバシーと保護の監査または調査に関する機密データの調査結果と検出結果のイミュータブルな履歴を確実に保持できます。
ジョブの設定に応じて、ジョブを 1 回実行した場合の合計推定コスト (米ドル) を確認することもできます。ジョブで特定の S3 バケットを選択した場合、見積もりは、選択したバケット内のオブジェクトのサイズとタイプ、およびジョブが分析できるデータの量に基づきます。ジョブのバケット基準を指定した場合、見積もりは、現在基準に一致する最大 500 個までのバケット内のオブジェクトのサイズとタイプ、およびジョブが分析できるデータの量に基づきます。この見積もりの詳細については、[ジョブのコストの予測とモニタリング](discovery-jobs-costs.md)を参照してください。
**ジョブを確認して作成するには**
1. **確認して作成する**ページで、各設定を確認し、それが正しいことを検証します。設定を変更するには、設定が含まれるセクションで **Edit** (編集) を選択し、次に正しい設定を入力します。ナビゲーションタブを使用して、設定が含まれるページに移動することもできます。
1. 設定の確認が完了したら、**提出**を選択して、ジョブを作成して保存します。Macie は設定を確認し、対処すべき問題があれば通知します。
**注記**
機密データの検出結果のリポジトリを設定していない場合、Macie は警告を表示し、ジョブを保存しません。この問題に対処するには、**機密データの検出結果のリポジトリ**セクションで **設定**を選択します。次に、リポジトリの設定設定を入力します。この方法の詳細は、[機密データ検出結果の保存と保持](discovery-results-repository-s3.md)を参照してください。設定を入力したら、**[確認して作成]** ページに戻り、そのページの **[機密データ検出結果のリポジトリ]** セクションで [更新] (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/btn-refresh-data.png)) を選択します。
それは推奨されませんが、リポジトリ要件を一時的に上書きしてジョブを保存することができます。これを行うと、ジョブの検出結果を失うリスクがあります。Macie は 90 日間だけ結果を保持します。要件を一時的に上書きするには、上書きオプションのチェックボックスをオンにします。
1. Macie が対処すべき課題を通知した場合は、問題に対処し、もう一度 **提出**を選択して、ジョブを作成して保存します。
ジョブの実行頻度を 1 回限りまたは毎日ベースに設定しているか、週の現在の曜日または月の現在の日付に設定している場合、Macie はジョブを保存した直後にジョブの実行を開始します。それ以外の場合、Macie は週の指定された曜日または月の指定された日付にジョブを実行する準備をします。ジョブをモニタリングするには、[ジョブのステータスをチェック](discovery-jobs-status-check.md)できます。
# 機密データ検出ジョブの結果を確認する
機密データ検出ジョブを実行すると、Amazon Macie はそのジョブの特定の統計データを自動的に計算してレポートします。例えば、Macie は、ジョブが実行された回数、および現在の実行中にジョブがまだ処理をしていない Amazon Simple Storage Service (Amazon S3) オブジェクトのおおよその数をレポートします。Macie は、ログイベント、機密データの調査結果、機密データの検出結果など、いくつかのタイプのジョブの結果も生成します。******
**Topics**
+ [ジョブ結果のタイプ](#discovery-jobs-manage-results-types)
+ [ジョブの統計と結果の確認](#discovery-jobs-manage-results-review)
## 機密データ検出ジョブの結果のタイプ
機密データ検出ジョブの進行に伴い、Amazon Macie はそのジョブの次のタイプの結果を生成します。
**ログイベント**
これは、ジョブの実行中に発生したイベントのレコードです。Macie は、特定のイベントのデータを自動的にログに記録し、Amazon CloudWatch Logs に発行します。これらのログのデータは、ジョブの実行を開始または停止した正確な日時など、ジョブの進行状況またはステータスに対する変更のレコードを提供します。データは、ジョブの実行中に発生したアカウントレベルまたはバケットレベルのエラーに関する詳細も提供します。
ログイベントは、ジョブをモニタリングして、ジョブが目的のデータを分析するのを妨げた問題に対処するのに役立ちます。ジョブがランタイム基準を使用して、分析する S3 バケットを決定する場合、ログイベントは、ジョブの実行時に条件に S3 バケットが一致したかどうか、およびどの S3 バケットが一致したかを判断するのに役立ちます。
ログイベントにアクセスするには、Amazon CloudWatch コンソールまたは Amazon CloudWatch Logs API を使用します。ジョブのログイベントに移動しやすくするために、Amazon Macie コンソールはログイベントへのリンクを提供しています。詳細については、[CloudWatch Logs を使用してジョブをモニタリングする](discovery-jobs-monitor-cw-logs.md)を参照してください。
**機密データの調査結果**
これは Macie が S3 オブジェクトで検出した機密データのレポートです。各調査結果には、重要度評価と次のような詳細が示されます。
+ Macie が機密データを検出した日時。
+ Macie が検出した機密データのカテゴリとタイプ。
+ Macie が検出した機密データのタイプごとの出現回数。
+ 調査結果を生成したジョブの一意の識別子。
+ 影響を受けた S3 バケットおよびオブジェクトに関する名前、パブリックアクセス設定、暗号化タイプ、およびその他の情報。
影響を受けた S3 オブジェクトのファイルタイプまたはストレージ形式によっては、Macie が見つけた機密データの最大 15 までの出現の場所も詳細に含まれます。位置データを報告するために、機密データの検出結果は、[標準化された JSON スキーマ](findings-locate-sd-schema.md)を使用します。
機密データの調査結果には、Macie が検出した機密データは含まれません。代わりに、必要に応じてさらなる調査と修復に使用できる情報が提供されます。
Macie は機密データの調査結果を 90 日間保存します。Amazon Macie コンソールまたは Amazon Macie API を使用してそれらにアクセスできます。また、他のアプリケーション、サービス、およびシステムを使用して、それらをモニタリングおよび処理することもできます。詳細については、[検出結果の確認と分析](findings.md)を参照してください。
**機密データの検出結果**
これは、S3 オブジェクトの分析に関する詳細のログを記録するレコードです。Macie は、分析するジョブを設定するオブジェクトごとに、機密データの検出結果を自動的に作成します。これには、Macie が機密データを見つけられないために機密データの検出結果を生成しないオブジェクト、およびアクセス許可設定やサポートされていないファイルまたはストレージ形式の使用などのエラーや問題のために Macie が分析できないオブジェクトが含まれます。
Macie が S3 オブジェクト内の機密データを見つけると、、機密データの検出結果には、対応する機密データの調査結果のデータが含まれます。また、Macie がオブジェクト内で検出した機密データのタイプごとに最大 1,000 個までの出現の場所などの追加情報も提供します。例:
+ Microsoft Excel ワークブック、CSV ファイル、または TSV ファイル内のセルまたはフィールドの列番号と行番号
+ JSON または JSON Lines ファイル内のフィールドまたは配列へのパス
+ CSV、JSON、JSON Lines、または TSV ファイル以外の非バイナリテキストファイル (HTML、TXT、XML ファイルなど) 内の行の行番号
+ Adobe Portable Document Format (PDF) ファイル内のページのページ番号
+ Apache Avro オブジェクトコンテナまたは Apache Parquet ファイル内のレコードのレコードインデックスとフィールドへのパス
S3 オブジェクトが .tar ファイルや .zip ファイルなどのアーカイブファイルである場合、機密データの検出結果では、Macie がアーカイブファイルから抽出した個別のファイル内の機密データの出現に関する詳細な場所データも提供されます。Macie は、アーカイブファイルの機密データの調査結果にこの情報を含めません。位置データを報告するために、機密データ検出結果は[標準化された JSON スキーマ](findings-locate-sd-schema.md)を使用します。
機密データの検出結果には、Macie が検出した機密データは含まれません。代わりに、データのプライバシーと保護の監査や調査に役立つ分析レコードが提供されます。
Macie は機密データの検出結果を 90 日間保存します。Amazon Macie コンソールまたは Amazon Macie API からそれらに直接アクセスすることはできません。代わりに、それを暗号化して S3 バケットに保存するように Macie を設定します。バケットは、機密データの検出結果のすべての最終的で長期的なリポジトリとして機能します。次に、オプションで、そのリポジトリ内の結果にアクセスしてクエリを実行できます。これらの設定を行う方法については、[機密データ検出結果の保存と保持](discovery-results-repository-s3.md)を参照してください。
設定を設定したら、Macie は機密データの検出結果を JSON Lines (.jsonl) ファイルに書き込み、それらのファイルを暗号化し GNU Zip (.gz) ファイルとして S3 バケットに追加します。結果に移動しやすくするために、Amazon Macie コンソールは結果へのリンクを提供しています。
機密データの調査結果と機密データの検出結果は、どちらも標準化されたスキーマに準拠しています。これは、オプションで、他のアプリケーション、サービス、およびシステムを使用して、それらをクエリ、モニタリング、および処理するのに役立ちます。
**ヒント**
機密データ検出結果をクエリして使用して潜在的なデータセキュリティリスクを分析および報告する方法の詳細な説明例については、 *AWS セキュリティ*ブログのブログ記事「Amazon [ Amazon Athenaと Amazon Quick を使用して Macie 機密データ検出結果をクエリおよび視覚化する方法](https://aws.amazon.com/blogs/security/how-to-query-and-visualize-macie-sensitive-data-discovery-results-with-athena-and-quicksight/)」を参照してください。
機密データの検出結果の分析に使用できる Amazon Athena クエリのサンプルについては、GitHub の [Amazon Macie 結果分析リポジトリ](https://github.com/aws-samples/amazon-macie-results-analytics)を参照してください。このリポジトリでは、結果を取得および復号化するように Athena を設定する手順と、結果のテーブルを作成するためのスクリプトも提供します。
## 機密データ検出ジョブの統計と結果の確認
機密データ検出ジョブの処理統計と結果を確認するには、Amazon Macie コンソールまたは Amazon Macie API を使用します。コンソールを使用して統計と結果を確認するには、次の手順に従います。
ジョブの処理統計にプログラムでアクセスするには、Amazon Macie APIの [DescribeClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-jobid.html) オペレーションを使用します。ジョブが生成した結果にプログラムでアクセスするには、[ListFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings.html) オペレーションを使用して、`classificationDetails.jobId` フィールドのフィルター条件でジョブの一意の識別子を指定します。この方法の詳細は、[フィルターの作成と Macie の検出結果への適用](findings-filter-procedure.md)を参照してください。次に、[GetFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html) オペレーションを使用して、その調査結果の詳細を取得できます。
**ジョブの統計と結果を確認するには**
1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。
1. ナビゲーションペインで **ジョブ** を選択します。
1. **ジョブ** ページで、ユーザーが確認する統計と結果を持つジョブの名前を選択します。詳細パネルには、ジョブに関する統計、設定、およびその他の情報が表示されます。
1. 詳細パネルで、次のいずれかの操作を実行します。
+ ジョブの処理統計を確認するには、パネルの **統計**セクションを参照してください。このセクションには、ジョブが実行された回数や、現在の実行中にジョブがまだ処理をしていないオブジェクトのおおよその数などの統計が表示されます。
+ ジョブのログイベントを確認するには、パネルの上部で、**結果を表示する**を選択し、次に **CloudWatch Logs を表示する**を選択します。Macie は Amazon CloudWatch コンソールを開き、Macie がジョブで発行したログイベントのテーブルを表示します。
+ ジョブが生成したすべての機密データの調査結果を確認するには、パネルの上部で、**結果を表示する**を選択し、次に **調査結果を表示する**を選択します。Macie は **調査結果**ページを開き、ジョブのすべての結果を表示します。特定の調査結果の詳細を確認するには、調査結果を選択し、次に詳細パネルを参照します。
**ヒント**
調査結果の詳細 パネルで、**詳細な結果の場所**フィールド内のリンクを使用して、Amazon S3 内の調査結果に対応する機密データの検出結果に移動します。
大きなアーカイブまたは圧縮ファイルに調査結果が適用される場合、リンクには、ファイルの検出結果を含むフォルダが表示されます。アーカイブまたは圧縮ファイルが 100 個を超える検出結果を生成する場合、それは *大きい* になります。
小さなアーカイブまたは圧縮ファイルに調査結果が適用される場合、リンクには、ファイルの検出結果を含むファイルが表示されます。アーカイブまたは圧縮ファイルが 100 個以下の検出結果を生成する場合、それは *小さい* になります。
別のタイプのファイルに調査結果が適用される場合、リンクには、ファイルの検出結果を含むファイルが表示されます。
+ ジョブが生成したすべての機密データの検出結果を確認するには、パネルの上部で、**結果を表示する**を選択し、次に **分類を表示する**を選択します。Macie は Amazon S3 コンソールを開き、ジョブのすべての検出結果を含むフォルダを表示します。このオプションは、Macie を S3 バケットで [機密データの検出結果を保存する](discovery-results-repository-s3.md)ように設定した後にのみ使用できます。
# 機密データ検出ジョブの管理
機密データ検出ジョブの管理に役立つように、Amazon Macie は各ジョブの完全なインベントリを維持します AWS リージョン。このインベントリを使用すると、単一のコレクションとしてジョブを管理して、個々のジョブの構成設定、処理統計、ステータスにアクセスできます。
例えば、定期的な分析、評価、モニタリングのために定期的に実行するように設定したすべてのジョブを特定できます。ジョブの構成設定の内訳を確認することもできます。これには、分析の範囲を定義する設定が含まれます。また、ジョブの実行時に Macie が検出してレポートを作成する機密データのタイプを指定する設定も含まれます。Amazon Macie コンソールを使用してジョブを管理する場合、各ジョブの詳細情報から、ジョブによって生成された[機密データの検出結果やその他の結果](discovery-jobs-manage-results.md)に直接アクセスできます。
これらのタスクに加えて、個々のジョブのカスタムバリエーションを作成することもできます。既存のジョブをコピーし、コピーの設定を調整してから、コピーを新しいジョブとして保存できます。これは、異なるデータセットを同じ方法で分析する場合や、異なる方法で同じデータセットを分析する場合に役立ちます。また、既存のジョブの構成設定を調整する場合にも役立ちます。この場合、既存のジョブをキャンセルしてコピーし、新しいジョブとしてコピーを調整して保存します。
**Topics**
+ [ジョブのインベントリの確認](discovery-jobs-manage-view.md)
+ [ジョブの構成設定の確認](discovery-jobs-manage-settings.md)
+ [ジョブのステータスをチェックする](discovery-jobs-status-check.md)
+ [ジョブのステータスを変更する](discovery-jobs-status-change.md)
+ [ジョブをコピーする](discovery-jobs-manage-copy.md)
# 機密データ検出ジョブのインベントリの確認
Amazon Macie コンソールでは、現在の の機密データ検出ジョブの完全なインベントリを確認できます AWS リージョン。インベントリには、すべてのジョブの概要情報と個々のジョブの詳細情報の両方が含まれています。概要情報には、各ジョブの現在のステータス、ジョブがスケジュールに従って定期的に実行されるかどうか、特定の Amazon Simple Storage Service (Amazon S3) バケットまたはランタイム条件に一致する S3 バケット内のオブジェクトを分析するようにジョブが設定されているかどうかが含まれます。個々のジョブについては、ジョブの構成設定の内訳などの詳細情報にアクセスすることもできます。ジョブが既に実行されている場合、その詳細情報から、ジョブによって生成された機密データの検出結果やその他のタイプの結果に直接アクセスできます。
**ジョブインベントリを確認するには**
Amazon Macie コンソールを使用してインベントリを確認するには、次の手順に従います。プログラムでインベントリにアクセスするには、Amazon Macie API の [ListClassificationJobs](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-list.html) オペレーションを使用します。
1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。
1. ナビゲーションペインで **ジョブ**を選択します。**ジョブ** ページが開き、インベントリ内のジョブの数とそれらのジョブのテーブルが表示されます。
1. ページの上部で、オプションで [更新] (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/btn-refresh-data.png)) を選択して、各ジョブの現在のステータスを取得します。
1. **[ジョブ]** テーブルで、以下のジョブの概要情報を確認します。
+ **ジョブ名** – ジョブの名前。
+ **[リソース]** – 特定の S3 バケットまたはランタイム条件に一致するバケット内のオブジェクトを分析するようにジョブが設定されているかどうか。分析するジョブのバケットを明示的に選択した場合、このフィールドには選択したバケットの数が表示されます。ランタイム条件を使用するようにジョブを設定した場合、このフィールドの値は **[条件ベース]** になります。
+ **ジョブタイプ** – ジョブが 1 回 (**[1 回]**) またはスケジュールに従って定期的に (**[スケジュール済み]**) 実行するように設定されているかどうか。
+ **ステータス** – ジョブの現在のステータス。この値の詳細については、「[ジョブのステータスをチェックする](discovery-jobs-status-check.md)」を参照してください。
+ **作成日** – ジョブが作成された日。
1. インベントリを分析する、または特定のジョブをより迅速に検索するには、次のいずれかの操作を行います。
+ 特定のフィールドでテーブルを並べ替えるには、フィールドの列見出しをクリックします。並べ替え順序を変更するには、列見出しをもう一度クリックします。
+ フィールドで特定の値を持つジョブのみを表示するには、フィルターボックスにカーソルを置きます。表示されるメニューで、フィルターに使用するフィールドを選択し、フィルターの値を入力します。次に、**適用**を選択します。
+ フィールドで特定の値を持つジョブを非表示にするには、フィルターボックスにカーソルを置きます。表示されるメニューで、フィルターに使用するフィールドを選択し、フィルターの値を入力します。次に、**適用**を選択します。フィルターバーで、フィルターボックスと等しいアイコン ![\[The equals icon, which is a solid gray circle.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/icon-operator-equals.png) を選択します。これにより、フィルターの演算子が *等しい* から *等しくない*![\[The not equals icon, which is an empty gray circle that has a backslash in it.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/icon-operator-not-equals.png)に変わります。
+ フィルターを削除するには、削除するフィルターのフィルターボックス内のフィルターを削除アイコン ![\[The remove filter condition icon, which is a circle that has an X in it.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/icon-filter-remove.png) を選択します。
1. 特定のジョブの追加設定と詳細を確認するには、ジョブの名前を選択します。次に、詳細パネルを参照します。その詳細については、「[ジョブの構成設定の確認](discovery-jobs-manage-settings.md)」を参照してください。
# 機密データ検出ジョブの設定を確認する
Amazon Macie コンソールで、**ジョブ**ページの詳細パネルを使用して、個別の機密データ検出ジョブに関する設定設定およびその他の情報を確認します。例えば、ジョブの分析対象として設定された Amazon Simple Storage Service (Amazon S3) バケットのリストを確認できます。また、ジョブがバケット内のオブジェクトを分析するときに使用するように設定されたマネージドデータ識別子とカスタムデータ識別子を決定することもできます。
既存のジョブの構成設定は変更できません。これにより、実施するデータプライバシーと保護の監査または調査に関する機密データの調査結果と検出結果のイミュータブルな履歴を確実に保持できます。
既存のジョブを変更する場合は、[[cancel the job]](discovery-jobs-status-change.md) (ジョブをキャンセル) できます。その後 [ジョブをコピーする](discovery-jobs-manage-copy.md) で、目的の設定を使用するようにコピーを設定し、コピーを新しいジョブとして保存します。この場合、新しいジョブが既存のデータを同じ方法で再度分析しないようにするためのステップも実行する必要があります。これを行うには、既存のジョブをキャンセルした日時をメモします。次に、元のジョブをキャンセルした後に作成または変更されたオブジェクトのみを含めるように新しいジョブの範囲を設定します。例えば、[オブジェクト基準](discovery-jobs-scope.md#discovery-jobs-scope-criteria)を使用して、元のジョブをキャンセルした日時を指定する条件を定義できます。
**ジョブの構成設定を確認するには**
Amazon Macie コンソールを使用してジョブの構成設定を確認するには、次のステップに従います。プログラムで設定を確認するには、Amazon Macie API の [DescribeClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-jobid.html) オペレーションを使用します。
1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。
1. ナビゲーションペインで **ジョブ**を選択します。**ジョブ** ページが開き、インベントリ内のジョブの数とそれらのジョブのテーブルが表示されます。
1. **[ジョブ]** ページで、ユーザーが設定を確認するジョブの名前を選択します。ジョブをより迅速に見つけるには、テーブルの上にあるフィルターオプションを使用してテーブルをフィルタリングします。特定のフィールドで、テーブルを昇順または降順で並べ替えることもできます。
テーブルでジョブを選択すると、詳細パネルにジョブの構成設定とジョブに関するその他の情報が表示されます。ジョブの設定に応じて、パネルには次のセクションがあります。
**一般情報**
このセクションは、ジョブに関する一般的な情報を提供します。例えば、ジョブの Amazon リソースネーム (ARN)、ジョブの実行が開始された最新の日時、ジョブの現在のステータスなどです。ジョブを一時停止した場合、このセクションには、ジョブを一時停止した日時と、ジョブまたは最後のジョブの実行が期限切れになった日時、または再開されない場合に期限切れになる日時も示されます。
**統計**
このセクションには、ジョブの処理統計が示されます。例えば、ジョブが実行された回数、および現在の実行中にジョブがまだ処理をしていない S3 オブジェクトのおおよその数が指定されます。
**スコープ**
範囲 — このセクションは、ジョブの実行頻度を示します。また、ジョブの範囲を調整する設定も示されます。例えば、[サンプリング深度](discovery-jobs-scope.md#discovery-jobs-scope-sampling)、分析で S3 オブジェクトを除外または含める任意の[オブジェクト基準](discovery-jobs-scope.md#discovery-jobs-scope-criteria)などです。
**S3 バケット**
S3 バケット — このセクションは、ジョブを作成したときに明示的に選択したバケットをジョブが分析するように設定されている場合、パネルに表示されます。データを分析するようにジョブが設定され AWS アカウント ている の数を示します。また、ジョブが分析するように設定されているバケットの数と、それらのバケットの名前 (アカウント別にグループ化) も示します。
アカウントとバケットの完全なリストを JSON 形式で表示するには、**合計バケット**フィールド内の数を選択します。
**S3 バケット基準**
このセクションは、ジョブがどのバケツを分析するかを決定するために実行時の基準を使用する場合にパネルに表示されます。ここには、ジョブが使用するように設定されている基準がリスト化されています。JSON 形式で条件を表示するには、**詳細**を選択します。次に、表示されるウィンドウの**「条件**」タブを選択します。
現在条件に一致するバケットのリストを確認するには、**詳細**を選択します。次に、表示されるウィンドウで**一致するバケット**タブを選択します。必要に応じて更新![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/btn-refresh-data.png)を選択して、最新のデータを取得します。タブには、現在条件に一致する最大 25 個のバケットが一覧表示されます。
ジョブがすでに実行されている場合は、ジョブの実行時に基準に一致したバケットがあるかどうか、および該当する場合は、それらのバケットの名前は何かを判断することもできます。ジョブのログイベントを確認するには、パネルの上部で、**結果を表示する**を選択し、次に **CloudWatch Logs を表示する**を選択します。Macie は Amazon CloudWatch コンソールを開き、ジョブのログイベントのテーブルを表示します。イベントには、基準に一致し、ジョブの分析に含まれていた各バケットの `BUCKET_MATCHED_THE_CRITERIA` イベントが含まれます。詳細については、[CloudWatch Logs を使用してジョブをモニタリングする](discovery-jobs-monitor-cw-logs.md)を参照してください。
**カスタムデータ識別子**
このセクションは、ジョブが 1 つ以上の[カスタムデータ識別子](custom-data-identifiers.md) を使用するように設定されている場合にパネルに表示されます。これらのカスタムデータ識別子の名前が指定されます。
**許可リスト**
このセクションは、ジョブが 1 つ以上の [許可リスト](allow-lists.md)を使用するように設定されている場合にパネルに表示されます。これらのリストの名前を指定します。リストの設定とステータスを確認するには、リスト名の横にあるリンクアイコン ![\[The link icon, which is a blue box that has an arrow in it.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/icon-view-resource-blue.png) を選択します。
**マネージドデータ識別子**
このセクションには、ジョブが使用するように設定されている[マネージドデータ識別子](managed-data-identifiers.md) が表示されます。これは、ジョブのマネージドデータ識別子の選択タイプによって決まります。
+ **推奨**— ジョブの実行時には、[推奨セット](discovery-jobs-mdis-recommended.md)に含まれるマネージドデータ識別子を使用してください。
+ **選択したものを含める**— **選択**セクションにリスト化されているマネージドデータ識別子のみを使用します。
+ **すべて含める**– ジョブの実行時に使用可能なすべてのマネージドデータ識別子を使用します。
+ **選択されたものを除外する**— **選択**セクションにリスト化されたものを除き、ジョブの実行時に使用可能なすべてのマネージドデータ識別子を使用します。
+ **すべて除外する**— マネージドデータ識別子を使用しません。指定したカスタムデータ識別子のみを使用してください。
これらの設定を JSON 形式で確認するには、**詳細**を選択します。
**タグ**
このセクションは、タグがジョブに割り当てられている場合にパネルに表示されます。これらのタグが一覧表示されます。 *タグ* は、特定のタイプの AWS リソースを定義して割り当てるラベルです。各タグは、必要なタグキーとオプションのタグ値で設定されています。詳細については[Macie リソースにタグ付けする](tagging-resources.md)を参照してください。
ジョブの設定を JSON 形式で確認して保存するには、パネルの上部でジョブの一意の識別子 (**[ジョブ ID]**)を選択します。次に、**[ダウンロード]** を選択します。
# ジョブのステータスをチェックする
機密データ検出ジョブを作成すると、ジョブのタイプとスケジュールに応じて、最初のステータスが ** アクティブ (実行中**または **アクティブ (アイドル)**になります。次に、ジョブは追加の状態をパススルーし、ジョブの進行に合わせてそれをモニタリングできます。
**ヒント**
全体的なジョブのステータスのモニタリングに加え、ジョブの進行に伴って発生する特定のイベントをモニタリングできます。これを行うには、Amazon Macie が自動的に Amazon CloudWatch Logs に発行するログ記録データを使用します。これらのログのデータは、ジョブのステータスに対する変更のレコードと、ジョブの実行中に発生したアカウントレベルまたはバケットレベルのエラーに関する詳細を提供します。詳細については、[CloudWatch Logs を使用してジョブをモニタリングする](discovery-jobs-monitor-cw-logs.md)を参照してください。
**ジョブのステータスを確認するには**
Amazon Macie コンソールを使用してジョブのステータスをチェックするには、次のステップに従います。プログラムでジョブのステータスをチェックするには、Amazon Macie API の [DescribeClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-jobid.html) オペレーションを使用します。
1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。
1. ナビゲーションペインで **ジョブ**を選択します。**ジョブ** ページが開き、インベントリ内のジョブの数とそれらのジョブのテーブルが表示されます。
1. ページの上部で、[更新] (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/btn-refresh-data.png)) を選択して、各ジョブの現在のステータスを取得します。
1. **[ジョブ]** テーブルで、ユーザーがチェックするステータスを持つジョブを見つけます。ジョブをより迅速に見つけるには、テーブルの上にあるフィルターオプションを使用してテーブルをフィルタリングします。特定のフィールドで、テーブルを昇順または降順で並べ替えることもできます。
1. 表の **[ステータス]** フィールドを参照します。このフィールドは、ジョブの現在のステータスを示します。
ジョブのステータスは、次のいずれかになります。
**アクティブ (アイドル)**
アクティブ (アイドル)— 定期的なジョブでは、前の実行が完了し、次のスケジュールされた実行は保留中です。この値は 1 回限りのジョブには適用されません。
**アクティブ (実行中)**
アクティブ (実行中)— 1 回限りのジョブでは、ジョブが現在進行中です。定期的なジョブでは、スケジュールされた実行が進行中です。
**キャンセル**
どのタイプのジョブでも、ジョブは永久に停止(キャンセル)された。
ジョブを明示的にキャンセルした場合、またはそれが 1 回限りのジョブであり、ジョブを一時停止し、30 日以内に再開しなかった場合、ジョブはこのステータスになります。ジョブは、以前に現在の で [Macie を停止](suspend-macie.md)した場合も、このステータスになることがあります AWS リージョン。
**完了**
1 回限りのジョブの場合、ジョブは正常に実行され、完了しました。この値は定期的なジョブには適用されません。代わりに、定期的なジョブのステータスは、各実行が正常に完了したときに **アクティブ (アイドル)**に変わります。
**一時停止 (Macie により)**
どのタイプのジョブでも、Macie によって一時的に停止された。
ジョブの完了またはジョブの実行が、ジョブがデータを分析するユーザーのアカウントまたはメンバーアカウントの毎月の [機密データ検出クォータ](macie-quotas.md)を超える場合、ジョブはこのステータスになります。この場合、Macie は自動的にジョブを一時停止します。Macie は、次の暦月が始まり、アカウントの毎月の割り当てがリセットされるか、アカウントの割り当てを増やすと、自動的にジョブを再開します。
組織の Macie 管理者で、メンバーアカウントのデータを分析するようにジョブを設定した場合、そのジョブは、ジョブまたはジョブ実行の完了がメンバーアカウントの毎月の機密データ検出クォータを超えたとしても、このステータスになります。
ジョブが実行中で、適格なオブジェクトの分析がメンバーアカウントのこのクォータに達すると、ジョブはアカウントが所有するオブジェクトの分析を停止します。ジョブが、クォータを満たしていない他のすべてのアカウントのオブジェクトの分析を終了すると、Macie は自動的にジョブを一時停止します。1 回限りのジョブの場合、Macie は次の暦月が始まったとき、または影響を受けたすべてのアカウントのクォータが増加したときのどちらか早い方で、自動的にジョブを再開します。定期的なジョブの場合は、次の実行が開始予定になるか、または次の暦月が始まるときのいずれか早いタイミングで、Macie はジョブを自動的に再開します。スケジュールされた実行が次の暦月が始まる前に開始された場合、または影響を受けるアカウントのクォータが増加した場合、ジョブはそのアカウントが所有するオブジェクトを分析しません。
**ユーザーにより一時停止**
どのタイプのジョブでも、ジョブはお客様によって一時的に停止されました。
1 回限りのジョブを一時停止し、30 日以内に再開しないと、ジョブは期限切れになり、Macie はそれをキャンセルします。定期的なジョブがアクティブに実行されているときに一時停止し、30 日以内に再開しないと、ジョブの実行は期限切れになり、Macie は実行をキャンセルします。一時停止中のジョブまたはジョブ実行の有効期限を確認するには、テーブルでジョブの名前を選択し、次に詳細パネルの **Status details** (ステータスの詳細) セクションの **Expires** (有効期限) フィールドを参照します。
ジョブがキャンセルまたは一時停止された場合、ジョブの詳細を参照して、ジョブの実行が開始されたかどうか、または定期的なジョブでは、キャンセルまたは一時停止の前に少なくとも 1 回実行されたかを確認できます。これを行うには、**[ジョブ]** テーブルでジョブの名前を選択し、次に詳細パネルを参照します。パネルの **実行の数** フィールドは、ジョブが実行された回数を示します。**最終ランタイム** フィールドは、ジョブの実行が開始された最新の日時を示します。
ジョブの現在のステータスに応じて、必要に応じてジョブを一時停止、再開、またはキャンセルできます。詳細については、「[ジョブのステータスを変更する](discovery-jobs-status-change.md)」を参照してください。
# 機密データ検出ジョブのステータスを変更する
機密データ検出ジョブを作成した後、一時的に一時停止するか、永続的にキャンセルできます。アクティブに実行されているジョブを一時停止すると、Amazon Macie はそのジョブのすべての処理タスクの一時停止を直ちに開始します。アクティブに実行されているジョブをキャンセルすると、Macie はそのジョブのすべての処理タスクの停止を直ちに開始します。ジョブがキャンセルされた後は、ジョブを再開または再起動することはできません。
1 回限りのジョブを一時停止した場合は、30 日以内にそれを再開できます。ジョブを再開すると、Macie はジョブを一時停止した時点から直ちに処理を再開します。Macie はジョブを最初からは再開しません。1 回限りのジョブを一時停止してから 30 日以内に再開しないと、ジョブは期限切れになり、Macie はそれをキャンセルします。
定期的なジョブを一時停止した場合は、いつでもそれを再開できます。定期的なジョブを再開し、ジョブを一時停止したときにアイドル状態だった場合、Macie はジョブを作成したときに選択したスケジュールおよびその他の設定設定に従ってジョブを再開します。定期的なジョブを再開し、ジョブを一時停止したときにそれがアクティブに実行されていた場合、Macie がジョブを再開する方法はジョブを再開するタイミングによって異なります。
+ ジョブを一時停止してから 30 日以内に再開すると、Macie は、ジョブを一時停止した時点から最新のスケジュールされた実行を直ちに再開します。Macie は実行を最初からは再開しません。
+ ジョブを一時停止してから 30 日以内に再開しないと、最新のスケジュールされた実行が期限切れになり、Macie はその実行の残りの処理タスクをすべてキャンセルします。その後ジョブを再開すると、Macie はジョブを作成したときに選択したスケジュールおよびその他の設定設定に従って、ジョブを再開します。
一時停止したジョブまたはジョブの実行がいつ期限切れになるかを判断しやすくするために、Macie はジョブの一時停止中にジョブの詳細に有効期限を追加します。さらに、ジョブまたはジョブの実行の有効期限が切れる約 7 日前に通知されます。ジョブまたはジョブの実行の有効期限が切れてキャンセルされると、再度通知されます。通知のために、 に関連付けられているアドレスに E メールが送信されます AWS アカウント。また、アカウントの AWS Health イベントと Amazon CloudWatch Events も作成します。コンソールを使用して有効期限を確認するには、**[ジョブ]** ページのテーブルでジョブ名を選択します。次に、詳細パネルの **[ステータスの詳細]** セクションの**[期限:]** フィールドを参照します。プログラムで日付をチェックするには、Amazon Macie API の [DescribeClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-jobid.html) オペレーションを使用します。
**ジョブを一時停止、再開、またはキャンセルするには**
Amazon Macie コンソールを使用してジョブを一時停止、再開、またはキャンセルするには、次の手順に従います。これをプログラムで行うには、Amazon Macie API の [UpdateClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-jobid.html) オペレーションを使用します。
1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。
1. ナビゲーションペインで **ジョブ**を選択します。**ジョブ** ページが開き、インベントリ内のジョブの数とそれらのジョブのテーブルが表示されます。
1. ページの上部で、[更新] (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/btn-refresh-data.png)) を選択して、各ジョブの現在のステータスを取得します。
1. **ジョブ** テーブルで、一時停止、再開、またはキャンセルするジョブのチェックボックスをオンにします。ジョブをより迅速に見つけるには、テーブルの上にあるフィルターオプションを使用してテーブルをフィルタリングします。特定のフィールドで、テーブルを昇順または降順で並べ替えることもできます。
1. **[アクション]** メニューで次のいずれかを実行します。
+ ジョブを一時的に一時停止するには、**一時停止**を選択します。このオプションは、ジョブの現在のステータスが **アクティブ (アイドル)**、 **アクティブ (実行中)**、または **一時停止 (Macie により)**の場合にのみ使用できます。
+ ジョブを再開するには、**再開**を選択します。このオプションは、ジョブの現在のステータスが **一時停止 (ユーザーにより)**の場合にのみ使用できます。
+ ジョブを完全にキャンセルするには、**キャンセル**を選択します。このオプションを選択すると、後でジョブを再開または再起動することはできません。
# 機密データ検出ジョブをコピーする
既存のジョブと類似している機密データ検出ジョブを迅速に作成するには、既存のジョブのコピーを作成します。その後、コピーの設定を編集して、そのコピーを新しいジョブとして保存します。これは、異なるデータセットを同じ方法で分析する場合や、異なる方法で同じデータセットを分析する場合に役立ちます。また、既存のジョブの構成設定を調整する場合にも役立ちます。この場合、既存のジョブをキャンセルしてコピーし、新しいジョブとしてコピーを調整して保存します。
**ジョブをコピーするには**
Amazon Macie コンソールを使用してジョブをコピーするには、次のステップに従います。プログラムでジョブをコピーするには、Amazon Macie API の [DescribeClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-jobid.html) オペレーションを使用して、コピーするジョブの構成設定を取得します。次に、[CreateClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs.html) オペレーションを使用してジョブのコピーを作成します。
1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。
1. ナビゲーションペインで **ジョブ**を選択します。**ジョブ** ページが開き、インベントリ内のジョブの数とそれらのジョブのテーブルが表示されます。
1. **ジョブ** テーブルで、コピーするジョブのチェックボックスをオンにします。ジョブをより迅速に見つけるには、テーブルの上にあるフィルターオプションを使用してテーブルをフィルタリングします。特定のフィールドで、テーブルを昇順または降順で並べ替えることもできます。
1. **アクション** メニューで **新規にコピー**を選択します。
1. コンソールのステップを完了して、ジョブのコピーの設定を確認および調整します。**スコープを絞り込む**ステップでは、ジョブが既存のデータを再度同じ方法で分析することを防ぐオプションを選択することを検討する:
+ 1 回限りのジョブでは、[object criteria](discovery-jobs-scope.md#discovery-jobs-scope-criteria) (オブジェクト基準) を使用して、特定の時刻の後に作成または変更されたオブジェクトのみを含めます。たとえば、キャンセルしたジョブのコピーを作成する場合は、既存のジョブをキャンセルした日時を指定する **最終更新日時**条件を追加します。
+ 定期的なジョブの場合は、**既存のオブジェクトを含める**チェックボックスをオフにします。これを行う場合、ジョブの最初の実行では、ジョブを作成した後でジョブの最初の実行前に作成または変更されたオブジェクトのみが分析されます。また、[オブジェクト基準](discovery-jobs-scope.md#discovery-jobs-scope-criteria)を使用して、特定の日時より前に最後に変更されたオブジェクトを除外することもできます。
この手順やその他の手順の詳細については、[機密データ検出ジョブの作成](discovery-jobs-create.md) を参照してください。
1. 終了したら、**送信**を選択して、コピーを新しいジョブとして保存します。
ジョブの実行頻度を 1 回限りまたは毎日ベースに設定しているか、週の現在の曜日または月の現在の日付に設定している場合、Macie はジョブを保存した直後にジョブの実行を開始します。それ以外の場合、Macie は週の指定された曜日または月の指定された日付にジョブを実行する準備をします。ジョブをモニタリングするには、[ジョブのステータスをチェック](discovery-jobs-status-check.md)できます。
# CloudWatch Logs を使用して機密データ検出ジョブをモニタリングする
また、機密データ検出ジョブの [全体的なステータスのモニタリング](discovery-jobs-status-check.md) に加え、ジョブの進行に伴って発生する特定のイベントをモニタリングして分析できます。これを行うには、Amazon Macie が自動的に Amazon CloudWatch Logs に発行するほぼリアルタイムのログ記録データを使用します。これらのログのデータには、ジョブの進行状況またはステータスの変更が記録されています。例えば、このデータを使用すると、ジョブの実行の開始、一時停止、または実行の完了の正確な日時を特定できます。
ログデータは、ジョブの実行中に発生したアカウントレベルまたはバケットレベルのエラーに関する詳細も提供します。例えば、Amazon Simple Storage Service (Amazon S3) バケットのアクセス許可設定により、ジョブがバケット内のオブジェクトを分析するのが妨げられる場合、Macie はイベントをログに記録します。イベントは、エラーが発生した日時を示し、影響を受けるバケットとバケットを所有 AWS アカウント する を識別します。これらのタイプのイベントのデータは、Macie が目的のデータを分析するのを妨げたエラーの特定、調査、対処に役立ちます。
Amazon CloudWatch Logs を使用すると、Macie を含む複数のシステム、アプリケーション AWS のサービス、および からのログファイルをモニタリング、保存、およびアクセスできます。ログデータのクエリと分析を行い、特定のイベントが発生した場合やしきい値に達したときに通知するように CloudWatch Logs を設定することもできます。また、CloudWatch Logs は、ログデータをアーカイブし、データを Amazon S3 にエクスポートする機能も提供します。CloudWatch Logs の詳細については、[Amazon CloudWatch Logs ユーザーガイド](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html)を参照してください。
**Topics**
+ [ジョブでのログ記録の仕組み](discovery-jobs-monitor-cw-logs-configure.md)
+ [ジョブのログの確認](discovery-jobs-monitor-cw-logs-review.md)
+ [ジョブのログイベントについて](discovery-jobs-monitor-cw-logs-ref.md)
# 機密データ検出ジョブでのログ記録の仕組み
機密データ検出ジョブの実行を開始すると、Amazon Macie は Amazon CloudWatch Logs で適切なリソースを自動的に作成して、すべてのジョブのイベントをログに記録します。Macie は、ジョブの実行時にイベントデータをこれらのリソースに自動的に発行します。アカウントの Macie [サービスにリンクされたロール](service-linked-roles.md) のアクセス許可ポリシーは、Macie がお客様に代わってこれらのタスクを実行することを許可します。ジョブのイベントデータをログに記録するために、なんらかの手順を実行して CloudWatch Logs でリソースを作成または設定する必要はありません。
CloudWatch Logs では、ログは *ロググループ* に整理されます。各ロググループには *ログストリーム* が含まれます。各ログストリームには *ログイベント* が含まれます。これらの各リソースの一般的な目的は次のとおりです。
+ *ロググループ* は、保持、モニタリング、アクセス制御について同じ設定を共有するログストリームのコレクションです。たとえば、すべての機密データ検出ジョブのログのコレクションなどです。
+ *ログストリーム* は、同じソースを共有する一連のログイベントです。たとえば、個別の機密データ検出ジョブなどです。
+ *ログイベント* は、アプリケーションまたはリソースによって記録されたアクティビティのレコードです。たとえば、Macie が特定の機密データ検出ジョブについて記録および発行した個別のイベントなどです。
Macie は、すべての機密データ検出ジョブのイベントを 1 つのロググループに発行します。各ジョブには、そのロググループ内に一意のログストリームがあります。ロググループには、次のプレフィックスと名前があります。
`/aws/macie/classificationjobs`
このロググループが既に存在する場合、Macie はそれを使用してジョブのログイベントを保存します。これは、組織で [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html) のような自動設定を使用して、ジョブイベントに対して事前定義された保持期間、暗号化設定、タグ、メトリクスフィルターなどを指定してロググループを作成する場合に便利です。
このロググループが存在しない場合、Macie は新しいロググループで CloudWatch Logs が使用するデフォルト設定を用いてグループを作成します。設定には、**期限切れにならない** のログ保持期間が含まれます。つまり、CloudWatch Logs はログを無期限に保存します。ロググループの保持期間を変更します。詳細については、*Amazon CloudWatch Logs ユーザーガイド*の[ロググループとログストリームの操作](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html)を参照してください。
このロググループ内で、Macie はジョブを初めて実行するときに、実行するジョブごとに一意のログストリームを作成します。ログストリームの名前は `85a55dc0fa6ed0be5939d0408example` のようなジョブの一意の識別子であり、形式は以下のとおりです。
`/aws/macie/classificationjobs/85a55dc0fa6ed0be5939d0408example`
各ログストリームには、Macie が、対応するジョブについて記録および発行したすべてのログイベントが含まれます。定期的なジョブの場合、これにはすべてのジョブの実行のイベントが含まれます。定期的なジョブのログストリームを削除すると、次回ジョブが実行されたときに Macie によってストリームが再度作成されます。1 回限りのジョブのログストリームを削除すると、復元できません。
すべてのジョブのログ記録はデフォルトで有効化されていることに注意してください。これを無効にしたり、Macie が CloudWatch Logs にジョブイベントを発行するのを防いだりすることはできません。ログを保存したくない場合は、ロググループの保持期間を 1 日のみに短縮できます。保持期間の終了時に、CloudWatch Logs はロググループから期限切れのイベントデータを自動的に削除します。
# 機密データ検出ジョブのログの確認
Amazon Macie で機密データ検出ジョブの実行を開始したら、Amazon CloudWatch Logs を使用してジョブのログを確認できます。CloudWatch Logs には、ログデータの確認、分析、モニタリングに役立つ機能があります。CloudWatch Logs の他のタイプのログデータを操作する場合と同様に、これらの機能を使用して、ジョブのログストリームとイベントを操作できます。
たとえば、集計データを検索およびフィルタリングして、特定の時間範囲の間にすべてのジョブで発生した特定のタイプのイベントを識別できます。あるいは、特定のジョブで発生したすべてのイベントのターゲットを絞ったレビューを実行することもできます。CloudWatch Logs には、ログデータのモニタリング、メトリクスフィルターの定義、カスタムアラームの作成などのオプションも用意されています。
**ヒント**
特定のジョブのログデータにすばやく移動するには、Amazon Macie コンソールを使用できます。これを行うには、**[ジョブ]** ページでジョブの名前を選択します。詳細パネルの上部で、**結果を表示する** を選択し、次に **CloudWatch ログを表示する** を選択します。Macie は Amazon CloudWatch コンソールを開き、ジョブのログイベントのテーブルを表示します。
**機密データ検出ジョブのログを確認するには**
Amazon CloudWatch コンソールを使用してログデータに移動して確認するには、次の手順に従います。プログラムでデータを確認するには、[Amazon CloudWatch Logs API](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/Welcome.html) を使用します。
1. CloudWatch コンソールの [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) を開いてください。
1. ページの右上隅にある AWS リージョン セレクターを使用して、ログを確認するジョブを実行したリージョンを選択します。
1. ナビゲーションペインで、**ログ**、**ロググループ** の順に選択します。
1. **ロググループ** ページで、**/aws/macie/classificationjobs** ロググループを選択します。CloudWatch には、実行したジョブのログストリームのテーブルが表示されます。ジョブごとに一意のストリームが 1 つあります。各ストリームの名前は、ジョブの一意の識別子に関連します。
1. **[ログストリーム]** タブで、次のいずれかを実行します。
+ 特定のジョブのログイベントを確認するには、ジョブのログストリームを選択します。ストリームをより簡単に検索するには、テーブルの上にあるフィルターボックスにジョブの一意の識別子を入力します。ログストリームを選択すると、CloudWatch にはジョブのログイベントのテーブルが表示されます。
+ すべてのジョブのログイベントを確認するには、**すべてのログストリームを検索** を選択します。CloudWatch には、すべてのジョブのログイベントのテーブルが表示されます。
1. (オプション) テーブルの上にあるフィルターボックスで、確認する特定のイベントの特性を指定する用語、語句、または値を入力します。詳細については、*Amazon CloudWatch Logs ユーザーガイド*の[フィルターパターンを使用したログデータの検索](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/SearchDataFilterPattern.html)を参照してください。
1. 特定のログイベントの詳細を確認するには、イベントの行にある [展開] (![\[The expand row icon, which is a right-facing solid arrow.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/icon-caret-right-filled.png)) を選択します。CloudWatch には、イベントの詳細が JSON 形式で表示されます。これらの詳細については、[ジョブのログイベントについて](discovery-jobs-monitor-cw-logs-ref.md)を参照してください。
ログイベントのデータに慣れたら、追加のタスクを実行して、データの分析とモニタリングを効率化できます。例えば、ログデータを数値 CloudWatch メトリクスに変換する[メトリクスフィルターを作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/MonitoringLogData.html)できます。また、特定のログイベントを識別して対応しやすくする[カスタムアラームを作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html)することもできます。詳細については、「[Amazon CloudWatch Logs ユーザーガイド](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html)」を参照してください。
# 機密データ検出ジョブのログイベントのタイプについて
Amazon Macie では、機密データ検出ジョブのモニタリングに役立つように、ジョブのログデータを Amazon CloudWatch Logs に自動的に発行します。これらのログのデータには、ジョブの進行状況またはステータスの変更が記録されています。例えば、このデータを使用すると、ジョブの実行の開始または実行の完了の正確な日時を特定できます。データには、ジョブの実行中に発生する可能性がある特定のタイプのエラーに関する詳細も含まれます。このデータは、Macie が目的のデータを分析するのを妨げるエラーの特定、調査、対処に役立ちます。
ジョブの実行を開始すると、Macie は CloudWatch Logs で適切なリソースを自動的に作成し、すべてのジョブのイベントをログに記録するように設定します。Macie は、ジョブの実行時にイベントデータをこれらのリソースに自動的に発行します。詳細については、「[ジョブでのログ記録の仕組み](discovery-jobs-monitor-cw-logs-configure.md)」を参照してください。
CloudWatch Logs を使用すると、ジョブのログデータをクエリおよび分析できます。たとえば、集計データを検索およびフィルタリングして、特定の時間範囲の間にすべてのジョブで発生した特定のタイプのイベントを識別できます。あるいは、特定のジョブで発生したすべてのイベントのターゲットを絞ったレビューを実行することもできます。CloudWatch Logs には、ログデータのモニタリング、メトリクスフィルターの定義、カスタムアラームの作成などのオプションも用意されています。例えば、ジョブの実行時に特定のタイプのイベントが発生した場合に通知するように CloudWatch Logs を設定できます。詳細については、「[Amazon CloudWatch Logs ユーザーガイド](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html)」を参照してください。
**Contents**
+ [ジョブのイベントスキーマ](#discovery-jobs-monitor-cw-logs-schema)
+ [ジョブのログイベントのタイプ](#discovery-jobs-monitor-cw-logs-event-index)
+ [ジョブステータスイベント](#discovery-jobs-monitor-cw-logs-event-index-status)
+ [アカウントレベルのエラーイベント](#discovery-jobs-monitor-cw-logs-event-index-account-errors)
+ [バケットレベルのエラーイベント](#discovery-jobs-monitor-cw-logs-event-index-bucket-errors)
## 機密データ検出ジョブのログイベントスキーマ
機密データ検出ジョブの各ログイベントは標準のフィールドセットが含まれている JSON オブジェクトであり、Amazon CloudWatch Logs イベントスキーマに準拠しています。一部のイベントのタイプでは、そのタイプのイベントに特に役立つ情報を提供する追加のフィールドがあります。たとえば、アカウントレベルのエラーのイベントには、影響を受けた AWS アカウントのアカウント ID が含まれます。バケットレベルのエラーのイベントには、影響を受けた Amazon Simple Storage Service (Amazon S3) バケットの名前が含まれます。
次の例は、機密データ検出ジョブのログイベントスキーマを示します。この例では、Amazon S3 がバケットへのアクセスを拒否したため、Amazon Macie が S3 バケット内のオブジェクトを分析できなかったことがイベントによりレポートされます。
```
{
"adminAccountId": "123456789012",
"jobId": "85a55dc0fa6ed0be5939d0408example",
"eventType": "BUCKET_ACCESS_DENIED",
"occurredAt": "2024-04-14T17:11:30.574809Z",
"description": "Macie doesn’t have permission to access the affected S3 bucket.",
"jobName": "My_Macie_Job",
"operation": "ListObjectsV2",
"runDate": "2024-04-14T17:08:30.345809Z",
"affectedAccount": "111122223333",
"affectedResource": {
"type": "S3_BUCKET_NAME",
"value": "amzn-s3-demo-bucket"
}
}
```
前の例では、Macie は、Amazon S3 API の [ListObjectsV2](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html) オペレーションを使用してバケットのオブジェクトをリスト化しようとしました。Macie が Amazon S3 にリクエストを送信すると、Amazon S3 はバケットへのアクセスを拒否しました。
機密データ検出ジョブのすべてのログイベントに共通するフィールドは、次のとおりです。
+ `adminAccountId` – ジョブを作成した AWS アカウント の一意の識別子。
+ `jobId` — ジョブの一意の識別子。
+ `eventType`発生したイベントのタイプ。
+ `occurredAt`occurredAt – イベントが発生した日時 (協定世界時 (UTC) および拡張 ISO 8601 形式)。
+ `description`イベントに関する簡単な説明です。
+ `jobName` - ジョブの名前。
イベントのタイプと性質に応じて、ログイベントには次のフィールドを含めることもできます。
+ `affectedAccount` – 影響を受けたリソースを所有している AWS アカウント の一意の識別子。
+ `affectedResource` – 影響を受けたリソースに関する詳細を提供する JSON オブジェクト。オブジェクトでは、`type` フィールドは、リソースに関するメタデータを保存するフィールドを指定します。`value` フィールドは、フィールドの値を指定します`type`。
+ `operation`– Macie が実行しようとし、エラーの原因となったオペレーション。
+ `runDate`– 該当するジョブまたはジョブ実行が開始された日時 (協定世界時 (UTC) および拡張 ISO 8601 形式)。
## 機密データ検出ジョブのログイベントのタイプ
Amazon Macie は、機密データ検出ジョブで発生する可能性がある 3 つのカテゴリのイベントのログイベントを発行します。
+ ジョブステータスイベント: ジョブまたはジョブ実行のステータスまたは進行状況への変更を記録します。
+ Macie が特定の の Amazon S3 データを分析できなかったエラーを記録するアカウントレベルのエラーイベント AWS アカウント。
+ バケットレベルのエラーイベント: Macie が特定の S3 バケット内のデータを分析するのを妨げたエラーを記録します。
このセクションのトピックでは、Macie がカテゴリごとに発行するイベントの種類をリスト化して説明します。
### ジョブステータスイベント
ジョブステータスイベントは、ジョブまたはジョブ実行のステータスや進行状況への変更を記録します。定期的なジョブの場合、Macie はジョブ全体と個別のジョブ実行の両方について、これらのイベントをログに記録して発行します。
次の例では、サンプルデータを使用して、ジョブステータスイベント内のフィールドの構造と性質を示します。この例では、`SCHEDULED_RUN_COMPLETED` イベントは、定期的なジョブのスケジュールされた実行が終了したことを示します。`runDate` フィールドに示されているとおり、実行は 2024 年 4 月 14 日 17:09:30 UTC に開始しました。`occurredAt` フィールドに示されているとおり、実行は 2024 年 4 月 14 日 17:16:30 UTC に終了しました。
```
{
"adminAccountId": "123456789012",
"jobId": "ffad0e71455f38a4c7c220f3cexample",
"eventType": "SCHEDULED_RUN_COMPLETED",
"occurredAt": "2024-04-14T17:16:30.574809Z",
"description": "The scheduled job run finished running.",
"jobName": "My_Daily_Macie_Job",
"runDate": "2024-04-14T17:09:30.574809Z"
}
```
次のテーブルは、Macie がログに記録し、CloudWatch Logs に発行するジョブステータスイベントのタイプをリスト化して説明します。**イベントタイプ**列には、イベントの `eventType` フィールドに表示されるとおり、各イベントの名前が示されます。**説明**列には、イベントの `description` フィールドに表示されるとおり、イベントの簡単な説明が表示されます。**追加情報**には、イベントが適用されるジョブのタイプに関する情報が表示されます。テーブルは、最初にイベントが発生する可能性のある一般的な時系列順で並べ替えられ、次にイベントタイプ別のアルファベット順に並べ替えられます。
| イベントタイプ | 説明 | 追加情報 |
| --- | --- | --- |
| JOB\$1CREATED | ジョブが作成されました。 | 1 回限りのジョブと定期的なジョブに適用されます。 |
| ONE\$1TIME\$1JOB\$1STARTED | ジョブが実行を開始しました。 | 1 回限りのジョブにのみ適用されます。 |
| SCHEDULED\$1RUN\$1STARTED | スケジュールされたジョブが実行を開始しました。 | 定期的なジョブにのみ適用されます。1 回限りのジョブの開始をログに記録するために、Macie はこのタイプのイベントではなく ONE\$1TIME\$1JOB\$1STARTED イベントを発行します。 |
| BUCKET\$1MATCHED\$1THE\$1CRITERIA | 影響を受けたバケットは、ジョブで指定されたバケット基準に一致しました。 | ランタイムバケット基準を使用して、分析する S3 バケットを決定する 1 回限りのジョブと定期的なジョブに適用されます。 `affectedResource` オブジェクトは、基準に一致し、ジョブの分析に含まれていたバケットの名前を指定します。 |
| NO\$1BUCKETS\$1MATCHED\$1THE\$1CRITERIA | ジョブの実行が開始されましたが、現在ジョブで指定されたバケット基準に一致するバケットはありません。ジョブはデータを分析しませんでした。 | ランタイムバケット基準を使用して、分析する S3 バケットを決定する 1 回限りのジョブと定期的なジョブに適用されます。 |
| SCHEDULED\$1RUN\$1COMPLETED | スケジュールされたジョブの実行が終了しました。 | 定期的なジョブにのみ適用されます。1 回限りのジョブの完了をログに記録するために、Macie はこのタイプのイベントではなく JOB\$1COMPLETED イベントを発行します。 |
| JOB\$1PAUSED\$1BY\$1USER | ジョブがユーザーによって一時停止されました。 | ユーザーが一時的に停止した (一時停止した) 1 回限りのジョブと定期的なジョブに適用されます。 |
| JOB\$1RESUMED\$1BY\$1USER | ジョブはユーザーによって再開されました。 | ユーザーが一時的に停止して (一時停止して) その後再開した 1 回限りのジョブと定期的なジョブに適用されます。 |
| JOB\$1PAUSED\$1BY\$1MACIE\$1SERVICE\$1QUOTA\$1MET | ジョブが Macie によって一時停止されました。ジョブの完了は、影響を受けたアカウントの毎月のクォータを超えます。 | Macie が一時的に停止した (一時停止した) 1 回限りのジョブと定期的なジョブに適用されます。 Macie は、ジョブの完了またはジョブの実行が、ジョブがデータを分析するアカウントの毎月の [機密データ検出クォータ](macie-quotas.md)を超える場合、ジョブを自動的に一時停止します。この問題を避けるには、影響を受けたアカウントのクォータを増やすことを検討してください。 |
| JOB\$1RESUMED\$1BY\$1MACIE\$1SERVICE\$1QUOTA\$1LIFTED | ジョブが Macie によって再開されました。影響を受けたアカウントの毎月のサービスクォータが解除されました。 | Macie が一時的に停止して (一時停止して) その後再開した 1 回限りのジョブと定期的なジョブに適用されます。 Macie が 1 回限りのジョブを自動的に一時停止した場合、Macie は、次の月が始まるとき、または影響を受けたすべてのアカウントの月次の機密データの検出クォータが増加したときのどちらか早い方で、自動的にジョブを再開します。Macie が定期的なジョブを自動的に一時停止した場合、Macie は、次の実行が開始される予定になったとき、または翌月が始まるときのどちらか早い方で、自動的にジョブを再開します。 |
| JOB\$1CANCELLED | ジョブがキャンセルされました。 | 恒久的に停止した (キャンセルした) 1 回限りのジョブと定期的なジョブに、または 1 回限りのジョブの場合は一時停止して30 日以内に再開しなかったジョブに適用されます。 Macie を停止または無効にした場合、このタイプのイベントは、Macie を停止または無効にしたときにアクティブだったか一時停止されたジョブにも適用されます。リージョンで Macie を停止または無効に AWS リージョン すると、Macie は のジョブを自動的にキャンセルします。 |
| JOB\$1COMPLETED | ジョブの実行が終了しました。 | 1 回限りのジョブにのみ適用されます。定期的なジョブについてジョブの実行の完了をログに記録するために、Macie はこのタイプのイベントではなく SCHEDULED\$1RUN\$1COMPLETED イベントを発行します。 |
### アカウントレベルのエラーイベント
アカウントレベルのエラーイベントは、特定の が所有する S3 バケット内のオブジェクトを Macie が分析できないようにするエラーを記録します AWS アカウント。各イベント内の `affectedAccount` フィールドは、そのアカウントのアカウント ID を指定します。
次の例では、サンプルデータを使用して、アカウントレベルのエラーイベント内のフィールドの構造と性質を示します。この例では、`ACCOUNT_ACCESS_DENIED` イベントは、Macie がアカウント `444455556666` によって所有されている S3 バケット内のオブジェクトを分析できなかったことを示します。
```
{
"adminAccountId": "123456789012",
"jobId": "85a55dc0fa6ed0be5939d0408example",
"eventType": "ACCOUNT_ACCESS_DENIED",
"occurredAt": "2024-04-14T17:08:30.585709Z",
"description": "Macie doesn’t have permission to access S3 bucket data for the affected account.",
"jobName": "My_Macie_Job",
"operation": "ListBuckets",
"runDate": "2024-04-14T17:05:27.574809Z",
"affectedAccount": "444455556666"
}
```
次のテーブルは、Macie がログに記録し、CloudWatch Logs に発行するアカウントレベルのエラーイベントのタイプをリスト化して説明します。**イベントタイプ**列には、イベントの `eventType` フィールドに表示されるとおり、各イベントの名前が示されます。**説明**列には、イベントの `description` フィールドに表示されるとおり、イベントの簡単な説明が表示されます。**追加情報** 列には、発生したエラーの調査または対処を行うための適切なヒントが表示されます。テーブルは、イベントタイプ別にアルファベット順に昇順に並べ替えられます。
| イベントタイプ | 説明 | 追加情報 |
| --- | --- | --- |
| ACCOUNT\$1ACCESS\$1DENIED | Macie には、影響を受けたアカウントの S3 バケットデータにアクセスする許可がありません。 | これは、通常、アカウントが所有するバケットに制限があるバケットポリシーがあるために発生します。この問題の対処方法については、[Macie が S3 バケットおよびオブジェクトにアクセスすることを許可する](monitoring-restrictive-s3-buckets.md)を参照してください。 イベント内の `operation` フィールドの値は、Macie がアカウントの S3 データにアクセスするのを防いだアクセス許可設定を特定するのに役立ちます。このフィールドは、エラーが発生したときに Macie が実行しようとした Amazon S3 オペレーションを示します。 |
| ACCOUNT\$1DISABLED | ジョブは、影響を受けたアカウントが所有するリソースをスキップしました。Macie はアカウントに対して無効になりました。 | この問題に対処するには、同じ AWS リージョンアカウントで Macie を再度有効化します。 |
| ACCOUNT\$1DISASSATED | ジョブは、影響を受けたアカウントが所有するリソースをスキップしました。アカウントは、もうメンバーアカウントとして Macie 管理者アカウントに関連付けられていません。 | これは、お客様が、組織の Macie 管理者として、メンバーアカウントのデータを分析するようにジョブを設定し、後でそのアカウントが組織から削除された場合に発生します。 この問題に対処するには、影響を受けたアカウントをメンバーアカウントとして Macie 管理者アカウントに再度関連付けます。詳細については、[複数のアカウントの管理](macie-accounts.md)を参照してください。 |
| ACCOUNT\$1ISOLATED | ジョブは、影響を受けたアカウントが所有するリソースをスキップしました。 AWS アカウント は分離されました。 | – |
| ACCOUNT\$1REGION\$1DISABLED | ジョブは、影響を受けたアカウントが所有するリソースをスキップしました。 AWS アカウント は現在の ではアクティブではありません AWS リージョン。 | – |
| ACCOUNT\$1SUSPENDED | ジョブはキャンセルされたか、影響を受けたアカウントが所有するリソースをスキップしました。Macie はアカウントで停止されました。 | 指定したアカウントが自分のアカウントである場合、同じリージョンで Macie を停止したときに、Macie は自動的にジョブをキャンセルしました。この問題に対処するには、リージョンで Macie を再度有効化します。 指定したアカウントがメンバーアカウントである場合は、同じリージョンでそのアカウントの Macie を再度有効化します。 |
| ACCOUNT\$1TERMINATED | ジョブは、影響を受けたアカウントが所有するリソースをスキップしました。は終了 AWS アカウント しました。 | – |
### バケットレベルのエラーイベント
バケットレベルのエラーイベントは、Macie が特定の S3 バケット内のオブジェクトを分析するのを妨げたエラーを記録します。各イベントの `affectedAccount`フィールドは、バケットを所有 AWS アカウント する のアカウント ID を指定します。各イベントの `affectedResource` オブジェクトは、バケットの名前を指定します。
次の例では、サンプルデータを使用して、バケットレベルのエラーイベント内のフィールドの構造と性質を示します。この例では、`BUCKET_ACCESS_DENIED` イベントは、Macie が `amzn-s3-demo-bucket` という名前の S3 バケット内のオブジェクトを分析できなかったことを示します。Macie が Amazon S3 API の [ListObjectsV2](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html) オペレーションを使用してバケットのオブジェクトをリスト化しようとしたときに、Amazon S3 はバケットへのアクセスを拒否しました。
```
{
"adminAccountId": "123456789012",
"jobId": "85a55dc0fa6ed0be5939d0408example",
"eventType": "BUCKET_ACCESS_DENIED",
"occurredAt": "2024-04-14T17:11:30.574809Z",
"description": "Macie doesn’t have permission to access the affected S3 bucket.",
"jobName": "My_Macie_Job",
"operation": "ListObjectsV2",
"runDate": "2024-04-14T17:09:30.685209Z",
"affectedAccount": "111122223333",
"affectedResource": {
"type": "S3_BUCKET_NAME",
"value": "amzn-s3-demo-bucket"
}
}
```
次のテーブルは、Macie がログに記録し、CloudWatch Logs に発行するバケットレベルのエラーイベントのタイプをリスト化して説明します。**イベントタイプ**列には、イベントの `eventType` フィールドに表示されるとおり、各イベントの名前が示されます。**説明**列には、イベントの `description` フィールドに表示されるとおり、イベントの簡単な説明が表示されます。**追加情報** 列には、発生したエラーの調査または対処を行うための適切なヒントが表示されます。テーブルは、イベントタイプ別にアルファベット順に昇順に並べ替えられます。
| イベントタイプ | 説明 | 追加情報 |
| --- | --- | --- |
| BUCKET\$1ACCESS\$1DENIED | Macie には、影響を受けた S3 バケットにアクセスする許可がありません。 | これは通常、バケットには制限があるバケットポリシーが設定されているために発生します。この問題の対処方法については、[Macie が S3 バケットおよびオブジェクトにアクセスすることを許可する](monitoring-restrictive-s3-buckets.md)を参照してください。 イベント内の `operation` フィールドの値は、Macie がバケットにアクセスするのを防いだアクセス許可設定を特定するのに役立ちます。このフィールドは、エラーが発生したときに Macie が実行しようとした Amazon S3 オペレーションを示します。 |
| BUCKET\$1DETAILS\$1UNAVAILABLE | 一時的な問題により、Macie がバケットとバケットのオブジェクトに関する詳細を取得するのを妨げられました。 | これは、一時的な問題により、Macie がバケットのオブジェクトを分析するのに必要なバケットとオブジェクトのメタデータを取得するのを妨げられた場合に発生します。たとえば、Macie がバケットへのアクセスを許可されていることを確認しようとしたときに Amazon S3 例外が発生しました。 1 回限りのジョブの問題に対処するには、バケット内のオブジェクトを分析する新しい 1 回限りのジョブを作成して実行することを検討してください。スケジュールされたジョブの場合、Macie は次のジョブ実行時にメタデータの取得を再度試みます。 |
| BUCKET\$1DOES\$1NOT\$1EXIST | 影響を受けた S3 バケットはもう存在しません。 | これは通常、バケットが削除されたために発生します。 |
| BUCKET\$1IN\$1DIFFERENT\$1REGION | 影響を受けた S3 バケットは別の AWS リージョンに移動されました。 | – |
| BUCKET\$1OWNER\$1CHANGED | 影響を受けた S3 バケットの所有者が変更されました。Macie には、もうバケットにアクセスする許可がありません。 | これは通常、バケットの所有権 AWS アカウント が組織に含まれていない に転送された場合に発生します。イベント内の `affectedAccount` フィールドは、以前にバケットを所有していたアカウントのアカウント ID を示します。 |
# 機密データ検出ジョブのコストの予測とモニタリング
Amazon Macie の料金は、機密データ検出ジョブを実行して分析するデータの量に部分的に基づいています。機密データ検出ジョブを実行する際の推定コストを予測およびモニタリングするには、ジョブの作成時およびジョブの実行開始後に Macie が提供するコストの見積もりを確認できます。
実際のコストを確認およびモニタリングするには、 を使用します AWS Billing and Cost Management。 は、アカウントまたは組織のコストを追跡および分析し AWS のサービス、予算を管理するのに役立つように設計された機能 AWS Billing and Cost Management を提供します。また、履歴データに基づいて使用コストを予測するのに役立つ機能も提供します。詳細については、[AWS Billing ユーザーガイド](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-what-is.html)を参照してください。
Macie の料金の詳細については、[Amazon Macie 料金表](https://aws.amazon.com/macie/pricing/)を参照してください。
**Topics**
+ [ジョブのコスト予測](#discovery-jobs-costs-forecast)
+ [ジョブの推定コストのモニタリング](#discovery-jobs-costs-track)
## 機密データ検出ジョブのコスト予測
機密データ検出ジョブを作成すると、ジョブ作成プロセスの主要な 2 ステップ中に、Amazon Macie は推定コストを計算して表示します。ジョブで選択した S3 バケットのテーブルを確認するステップ (ステップ 2) と、ジョブですべての設定を確認するステップ (ステップ 8) です。これらの見積もりは、ジョブを保存する前にジョブの設定を調整するかどうかを判断するのに役立ちます。見積りの可用性と性質は、ジョブに対して選択した設定によって異なります。
**Reviewing estimated costs for individual buckets (step 2)** (個別のバケットの推定コストの確認 (ステップ 2
分析するジョブに対して個別のバケットを明示的に選択した場合、それらの各バケット内のオブジェクトを分析するための推定コストを確認できます。Macie は、バケットの選択を確認するときに、ジョブ作成プロセスのステップ 2 の間にこれらの見積もりを表示します。このステップの表では、**推定コスト**フィールドは、バケット内のオブジェクトを分析するためにジョブを 1 回実行した場合の合計推定コスト (米ドル) を示します。
各見積もりは、バケットに現在保存されているオブジェクトのサイズとタイプに基づいて、ジョブがバケット内で分析する非圧縮データの予測量を反映します。見積もりには、現在の Macie の料金も反映されます AWS リージョン。
バケットのコスト見積もりには、分類可能なオブジェクトのみが含まれます。分類可能オブジェクトは、[サポートされている Amazon S3 ストレージクラス](discovery-supported-storage.md#discovery-supported-s3-classes)を使用し、[サポートされているファイルまたはストレージ形式](discovery-supported-storage.md#discovery-supported-formats)のファイル名拡張子を持つ S3 オブジェクトです。分類可能なオブジェクトが圧縮ファイルまたはアーカイブファイルである場合、見積もりではファイルが 3:1 の圧縮率を使用し、ジョブはすべての抽出されたファイルを分析できると仮定します。
**ジョブの合計推定コストの確認 (ステップ 8)**
1 回限りのジョブを作成する場合、または既存の S3 オブジェクトを含めるように定期的なジョブを作成して設定する場合、Macie はジョブ作成プロセスの最終ステップ中にジョブの合計推定コストを計算して表示します。この見積もりは、ジョブに対して選択したすべての設定を確認して検証する間に確認できます。
この見積もりは、現在のリージョンでジョブを 1 回実行した場合の合計予測コスト (米ドル) を示します。見積もりは、ジョブが分析する非圧縮データの予測量を反映します。これは、ジョブに対して明示的に選択したバケットに現在保存されているオブジェクトのサイズとタイプ、またはジョブの設定に応じて、ジョブで指定したバケット基準に現在一致する最大 500 個のバケットに基づきます。
この見積もりには、ジョブの範囲を調整して縮小するために選択したオプション (より低いサンプリング深度や、ジョブから特定の S3 オブジェクトを除外する条件など) は反映されていないことに注意してください。また、毎月の [sensitive data discovery quota](macie-quotas.md) (機密データ検出クォータ) を反映していません。これにより、ジョブの分析の範囲とコスト、またはアカウントに適用される可能性のある割引が制限される場合があります。
ジョブの合計推定コストに加えて、見積もりは、ジョブの予測範囲とコストに関する洞察を提供する集計データを提供します。
+ **Size** (サイズ) 値は、ジョブで分析できるオブジェクトと分析できないオブジェクトの合計ストレージサイズを示します。
+ **Object count** (オブジェクトカウント) 値は、ジョブが分析できないオブジェクトの合計数を示します。
これらの値で **分類可能** オブジェクトは、[サポートされている Amazon S3 ストレージクラス](discovery-supported-storage.md#discovery-supported-s3-classes)を使用し、[サポートされているファイルまたはストレージ形式](discovery-supported-storage.md#discovery-supported-formats)のファイル名拡張子を持つ S3 オブジェクトです。コスト見積もりには、分類可能なオブジェクトのみが含まれます。**分類不可** オブジェクトは、サポートされているストレージクラスを使用していないか、サポートされているファイルまたはストレージ形式のファイル名拡張子を持たないオブジェクトです。これらのオブジェクトは、コスト見積もりには含まれません。
この見積もりは、圧縮ファイルまたはアーカイブファイルである S3 オブジェクトの追加の集計データを提供します。**Compressed** (圧縮) 値は、サポートされている Amazon S3 ストレージクラスを使用して、サポートされているタイプの圧縮ファイルまたはアーカイブファイルのファイル名拡張子を持つオブジェクトの合計ストレージサイズを示します。**非圧縮** 値は、指定された圧縮率に基づいて、これらのオブジェクトが解凍された場合のおおよそのサイズを示します。Macie が圧縮ファイルとアーカイブファイルを分析する方法のため、このデータは関連しています。
Macie が圧縮ファイルまたはアーカイブファイルを分析すると、完全なファイルとファイルの内容の両方が検査されます。ファイルの内容を検査するために、Macie はファイルを解凍し、次にサポートされている形式を使用する各抽出ファイルを検査します。したがって、ジョブが分析する実際のデータの量は以下によって異なります。
+ ファイルが圧縮を使用するかどうか、および該当する場合は、使用する圧縮率を使用するかどうか。
+ 抽出されたファイルの数、サイズ、および形式。
デフォルトでは、Macie はジョブのコスト見積りを計算するときに次のことを想定しています。
+ すべての圧縮ファイルとアーカイブファイルは 3:1 の圧縮率を使用します。
+ すべての抽出されたファイルは、サポートされているファイルまたはストレージ形式を使用します。
これらの仮定により、ジョブが分析するデータの範囲のサイズ見積もりが大きくなり、その結果、ジョブのコスト見積もりが大きくなります。
異なる圧縮率に基づいて、ジョブの合計推定コストを再計算できます。これを行うには、**推定コスト**セクションの **推定圧縮率を選択する**リストから率を選択します。次に Macie は、選択に一致するように見積もりを更新します。
Macie が推定コストを計算する方法の詳細については、[推定使用コストを把握する](account-mgmt-costs-calculations.md)を参照してください。
## 機密データ検出ジョブの推定コストのモニタリング
機密データ検出ジョブをすでに実行している場合、Amazon Macie コンソールの **使用状況**ページは、これらのジョブの推定コストのモニタリングに役立ちます。このページには、現在の暦月に現在の AWS リージョン で Macie を使用するための推定コスト (米ドル) が表示されます。Macie がこれらの見積もりを計算する方法については、[推定使用コストを把握する](account-mgmt-costs-calculations.md)を参照してください。
**実行中のジョブの推定コストを確認するには**
1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。
1. ページの右上隅にある AWS リージョン セレクターを使用して、推定コストを確認するリージョンを選択します。
1. ナビゲーションペインで 使用状況を選択します。
1. **使用状況** ページで、アカウントの推定コスト内訳を参照します。**機密データ検出ジョブ** 項目は、現在のリージョンで当月に実行したジョブの合計推定コストをレポートします。
お客様が組織の Macie 管理者である場合、**Estimated costs** (推定コスト) セクションには、現在のリージョンでの当月の組織全体の推定コストが表示されます。特定のアカウントで実行されたジョブの合計推定コストを表示するには、テーブル内のアカウントを選択します。**推定コスト** セクションには、実行されたジョブの推定コストを含む、アカウントの推定コストの内訳が表示されます。別のアカウントに関するこのデータを表示するには、テーブルでアカウントを選択します。アカウントの選択を解除するには、パネルのアカウント ID の横にある **X** を選択します。
実際のコストを確認および監視するには、[AWS Billing and Cost Management](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-what-is.html) を使用します。
# 機密データ検出ジョブに推奨されるマネージドデータ識別子
機密データ検出ジョブの結果を最適化するために、ジョブに推奨するマネージドデータ識別子のセットを自動的に使用するように個々のジョブを設定できます。*マネージドデータ識別子*は、特定の国またはリージョンの AWS シークレットアクセスキー、クレジットカード番号、パスポート番号など、特定のタイプの機密データを検出するように設計された一連の組み込み基準と手法です。
推奨されるマネージドデータ識別子のセットは、機密データの一般的なカテゴリとタイプを検出するように設計されています。当社の調査に基づいて、機密データの一般的なカテゴリやタイプを検出できると同時に、ノイズを減らすことで業務結果を最適化できます。新しいマネージドデータ識別子をリリースする際、それがジョブ結果をさらに最適化できると思われる場合は、このセットに追加します。別途、既存のマネージドデータ識別子を追加したり、セットから削除したりする可能性もあります。推奨セットからマネージドデータ識別子を追加または削除すると、このページを更新し、変更の性質と時期がわかるようにします。これらの変更に関する自動通知については、[Macie ドキュメント履歴](doc-history.md) ページの RSS フィードをサブスクライブしてください。
機密データ検出ジョブを作成するときに、ジョブがAmazon Simple Storage Service (Amazon S3) バケットでオブジェクトを分析するときにどのマネージドデータ識別子を使用するかを指定します。推奨マネージドデータ識別子のセットを使用するようにジョブを設定するには、ジョブの作成時に推奨オプションを選択します。そうすると、ジョブの実行開始時に、推奨セットに含まれるすべてのマネージドデータ識別子が自動的に使用されます。ジョブを複数回実行するように設定した場合、各実行では、実行の開始時に推奨セットにあるマネージドデータ識別子をすべて自動的に使用します。
以下のトピックでは、現在推奨セットに含まれているマネージドデータ識別子を機密データのカテゴリとタイプ別に一覧表示しています。セット内の各マネージドデータ識別子の一意の識別子 (ID) を指定します。この ID は、`PGP_PRIVATE_KEY` PGP プライベートキーや米国パスポート番号の `USA_PASSPORT_NUMBER` など、マネージドデータ識別子が検出するに設計された機密データのタイプを表します。
**Topics**
+ [認証情報](#discovery-jobs-mdis-recommended-credentials)
+ [財務情報](#discovery-jobs-mdis-recommended-financial)
+ [個人を特定できる情報 (PII)](#discovery-jobs-mdis-recommended-pii)
+ [推奨セットの更新](#discovery-jobs-mdis-recommended-updates)
特定のマネージドデータ識別子、または Macie が現在提供しているマネージドデータ識別子の全リストについては、[マネージドデータ識別子の使用](managed-data-identifiers.md) を参照してください。
## 認証情報
S3 オブジェクトでの認証情報データの出現を検知するために、推奨セットでは次のマネージドデータ識別子を使用します。
| 機密データタイプ | マネージドデータ識別子 ID |
| --- | --- |
| AWS シークレットアクセスキー | AWS\$1CREDENTIALS |
| HTTP 基本認可ヘッダー | HTTP\$1BASIC\$1AUTH\$1HEADER |
| OpenSSH プライベートキー | OPENSSH\$1PRIVATE\$1KEY |
| PGP プライベートキー | PGP\$1PRIVATE\$1KEY |
| 公開鍵暗号標準 (PKCS) プライベートキー | PKCS |
| PuTTY プライベートキー | PUTTY\$1PRIVATE\$1KEY |
## 財務情報
S3 オブジェクトでの財務情報の出現を検知するために、推奨セットでは次のマネージドデータ識別子を使用します。
| 機密データタイプ | マネージドデータ識別子 ID |
| --- | --- |
| クレジットカードの磁気ストライプデータ | CREDIT\$1CARD\$1MAGNETIC\$1STRIPE |
| クレジットカード番号 | CREDIT\$1CARD\$1NUMBER (キーワードに近いクレジットカード番号の場合) |
## 個人を特定できる情報 (PII)
S3 オブジェクトでの個人を特定できる情報 (PII) の出現を検知するために、推奨セットでは次のマネージドデータ識別子を使用します。
| 機密データタイプ | マネージドデータ識別子 ID |
| --- | --- |
| 運転免許証識別番号 | CANADA\$1DRIVERS\$1LICENSE, DRIVERS\$1LICENSE (米国の場合)、UK\$1DRIVERS\$1LICENSE |
| 選挙人名簿番号 | UK\$1ELECTORAL\$1ROLL\$1NUMBER |
| 国民識別番号 | FRANCE\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, GERMANY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, SPAIN\$1DNI\$1NUMBER |
| 国民保険番号 (NINO) | UK\$1NATIONAL\$1INSURANCE\$1NUMBER |
| パスポート番号 | CANADA\$1PASSPORT\$1NUMBER, FRANCE\$1PASSPORT\$1NUMBER, GERMANY\$1PASSPORT\$1NUMBER, ITALY\$1PASSPORT\$1NUMBER, SPAIN\$1PASSPORT\$1NUMBER, UK\$1PASSPORT\$1NUMBER, USA\$1PASSPORT\$1NUMBER |
| 社会保険番号 (SIN) | CANADA\$1SOCIAL\$1INSURANCE\$1NUMBER |
| 社会保障番号 (SSN) | SPAIN\$1SOCIAL\$1SECURITY\$1NUMBER, USA\$1SOCIAL\$1SECURITY\$1NUMBER |
| 納税者識別番号または参照番号 | AUSTRALIA\$1TAX\$1FILE\$1NUMBER, BRAZIL\$1CPF\$1NUMBER, FRANCE\$1TAX\$1IDENTIFICATION\$1NUMBER, GERMANY\$1TAX\$1IDENTIFICATION\$1NUMBER, SPAIN\$1NIE\$1NUMBER, SPAIN\$1NIF\$1NUMBER, SPAIN\$1TAX\$1IDENTIFICATION\$1NUMBER, USA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER |
## 推奨セットの更新
次の表は、機密データ検出ジョブに推奨するマネージドデータ識別子セットの変更点をまとめたものです。これらの変更に関する自動通知については、[Macie ドキュメント履歴](doc-history.md) ページの RSS フィードにサブスクライブしてください。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| 一般提供 | 推奨セットの初回リリース。 | 2023 年 6 月 27 日 |
# 暗号化された Amazon S3 オブジェクトを分析する
で Amazon Macie を有効にすると AWS アカウント、Macie は AWS のサービス [ユーザーに代わって Amazon Simple Storage Service (Amazon S3) およびその他の を呼び出すために必要なアクセス許可を Macie に付与するサービスにリンクされたロール](service-linked-roles.md)を作成します。Amazon S3 サービスにリンクされたロールを使用すると、サービスがユーザーに代わってアクションを実行するためのアクセス許可を手動で追加する必要がなくなる AWS のサービス ため、 のセットアッププロセスが簡素化されます。このタイプのロールの詳細については、「*AWS Identity and Access Management ユーザーガイド*」の「[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)」を参照してください。
Macie のサービスリンクロール`AWSServiceRoleForAmazonMacie`のアクセス許可ポリシーにより、Macie は S3 バケットとオブジェクトに関する情報の取得および S3 バケット内のオブジェクトの取得、分析などのアクションを実行することが許可されます。お客様のアカウントが組織の Macie 管理者アカウントである場合、ポリシーにより Macie が組織のメンバーアカウントに対してユーザーに代わってこれらのアクションを実行することも許可されます。
S3 オブジェクトが暗号化されている場合、Macie サービスリンクロールのアクセス許可ポリシーは通常、オブジェクトの復号化に必要なアクセス許可を Macie に付与します。ただし、これは使用された暗号化のタイプによって異なります。それは、Macie が適切な暗号化キーの使用を許可されているかどうかによっても異なる可能性があります。
**Topics**
+ [S3 オブジェクトの暗号化オプション](#discovery-supported-encryption-types-matrix)
+ [Macie にカスタマーマネージドの使用を許可する AWS KMS key](#discovery-supported-encryption-cmk-configuration)
## Amazon S3 オブジェクトの暗号化オプション
Amazon S3 は S3 オブジェクトの複数の暗号化オプションをサポートしています。これらのオプションのほとんどで、Amazon Macie は、ユーザーアカウントの Macie サービスリンクロールを使用してオブジェクトを復号化できます。ただし、これはオブジェクトの暗号化に使用された暗号化のタイプによって異なります。
**Amazon S3 マネージドキーを用いたサーバー側の暗号化 (SSE-S3)**
Amazon S3 マネージドキー (SSE-S3) を用いたサーバー側の暗号化を使用してオブジェクトが暗号化されている場合、Macie はそのオブジェクトを復号化できます。
このタイプの暗号化の詳細については、Amazon Simple Storage Service ユーザーガイドの[Amazon S3 マネージドキーを用いたサーバー側の暗号化を使用](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)を参照してください。
** AWS KMS keys (DSSE-KMS および SSE-KMS) によるサーバー側の暗号化**
オブジェクトが二層式サーバー側の暗号化または AWS マネージド AWS KMS key (DSSE-KMS または SSE-KMS) によるサーバー側の暗号化を使用して暗号化されている場合、Macie はオブジェクトを復号できます。
オブジェクトが二層式サーバー側の暗号化またはカスタマーマネージド AWS KMS key (DSSE-KMS または SSE-KMS) によるサーバー側の暗号化を使用して暗号化されている場合、Macie は Macie に[キーの使用を許可する](#discovery-supported-encryption-cmk-configuration)場合にのみオブジェクトを復号できます。これは、外部キーストアで完全に管理される KMS キー AWS KMS と KMS キーで暗号化されたオブジェクトの場合に当てはまります。Macie が該当の KMS キー使用を許可されていない場合、Macie はオブジェクトのメタデータの保存およびレポートのみできます。
これらのタイプの暗号化の詳細については、「*Amazon Simple Storage Service ユーザーガイド*」の「[AWS KMS keysによる二層式サーバー側の暗号化 (DSSE-KMS) の使用](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingDSSEncryption.html)」と「[AWS KMS keysによるサーバー側の暗号化 (SSE-KMS) の使用](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)」を参照してください。
AWS KMS keys Macie がアカウントの S3 バケット内のオブジェクトを分析するためにアクセスする必要があるすべてのカスタマーマネージドのリストを自動的に生成できます。これを行うには、GitHub AWS KMS の [Amazon Macie Scripts リポジトリから入手できる Permission Analyzer ](https://github.com/aws-samples/amazon-macie-scripts)スクリプトを実行します。スクリプトは、 AWS Command Line Interface (AWS CLI) コマンドの追加スクリプトを生成することもできます。必要に応じてこれらのコマンドを実行し、指定した KMS キーに必要な設定設定とポリシーを更新できます。
**顧客提供のキーを用いたサーバー側の暗号化 (SSE-C)**。
お客様が用意したキー (SSE-C) を用いたサーバー側の暗号化を使用してオブジェクトが暗号化されている場合、Macie はオブジェクトを復号化できません。Macie はオブジェクトのメタデータのみを保存およびレポートできます。
このタイプの暗号化の詳細については、Amazon Simple Storage Service ユーザーガイドの[お客様が用意したキーによるサーバー側の暗号化の使用](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerSideEncryptionCustomerKeys.html)を参照してください。
**クライアント側の暗号化**
クライアント側の暗号化を使用してオブジェクトが暗号化されている場合、Macie はオブジェクトを復号化できません。Macie はオブジェクトのメタデータのみを保存およびレポートできます。例えば、Macie はオブジェクトに関連付けられているオブジェクトとタグのサイズをレポートできます。
Amazon S3 のコンテキストでのこのタイプの暗号化詳細については、Amazon Simple Storage Service ユーザーガイドの[クライアント側の暗号化を使用したデータの保護](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html)を参照してください。
Macie で[バケットインベントリをフィルタリング](monitoring-s3-inventory-filter.md)して、特定のタイプの暗号化を使用するオブジェクトを保存する S3 バケットを判別できます。また、新しいオブジェクトを保存するときに、デフォルトで特定のタイプのサーバー側の暗号化を使用するバケットを判別することもできます。次のテーブルは、バケットインベントリに適用してこの情報を検索できるフィルターの例を示しています。
| ...のバケットを表示するには | ...でこのフィルターを適用 |
| --- | --- |
| SSE-C 暗号化を使用するオブジェクトを保存する | [暗号化方法別のオブジェクト数] が [カスタマー提供]、From = 1 |
| DSSE-KMS 暗号化を使用するオブジェクトを保存する | [暗号化方法別のオブジェクト数] が [AWS KMS で管理]、From = 1 |
| SSE-S3 暗号化を使用するオブジェクトを保存する | [暗号化方法別のオブジェクト数] が [Amazon S3 で管理]、From = 1 |
| クライアント側の暗号化を使用するオブジェクトを保存する (または暗号化されていない) | 暗号化によるオブジェクトカウントは、暗号化なしおよび From = 1 |
| DSSE-KMS 暗号化を使用してデフォルトで新しいオブジェクトを暗号化する | [デフォルトの暗号化] = aws:kms:dsse |
| SSE-KMS 暗号化を使用してデフォルトで新しいオブジェクトを暗号化する | デフォルトの暗号化= aws:kms |
| SSE-S3 暗号化を使用してデフォルトで新しいオブジェクトを暗号化する | デフォルトの暗号化= AES256 |
バケットが DSSE-KMS または SSE-KMS 暗号化を使用してデフォルトで新しいオブジェクトを暗号化するように設定されている場合は、どちら AWS KMS key を使用するかを決定することもできます。これを行うには、**S3 バケット**ページでバケットを選択します。バケット詳細パネルの**サーバー側の暗号化**の **[AWS KMS key]** フィールドを参照します。このフィールドには、Amazon リソースネーム (ARN) またはキーの一意の識別子 (キー ID) が表示されます。
## Macie にカスタマーマネージドの使用を許可する AWS KMS key
Amazon S3 オブジェクトが、二層式サーバー側の暗号化またはカスタマーマネージド AWS KMS key (DSSE-KMS または SSE-KMS) によるサーバー側の暗号化を使用して暗号化されている場合、Amazon Macie はキーの使用が許可されている場合にのみオブジェクトを復号できます。このアクセスを提供する方法は、キーを所有するアカウントがオブジェクトを保存する S3 バケットも所有しているかどうかによって異なります。
+ 同じアカウントが AWS KMS key と バケットを所有している場合、アカウントのユーザーはキーのポリシーを更新する必要があります。
+ あるアカウントが を所有 AWS KMS key し、別のアカウントがバケットを所有している場合、キーを所有するアカウントのユーザーは、キーへのクロスアカウントアクセスを許可する必要があります。
このトピックでは、これらのタスクの実行方法を説明し、両方のシナリオの例を示します。カスタマーマネージドへのアクセスの許可の詳細については AWS KMS keys、「 *AWS Key Management Service デベロッパーガイド*」の[「KMS キーのアクセスとアクセス許可](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html)」を参照してください。
### カスタマーマネージドキーへの同じアカウントのアクセスを許可する
同じアカウントが AWS KMS key と S3 バケットの両方を所有している場合、アカウントのユーザーはキーのポリシーにステートメントを追加する必要があります。追加のステートメントでは、アカウントの Macie サービスリンクロールがキーを使用してデータを復号することを許可する必要があります。キーポリシーの更新の詳細な情報については、*AWS Key Management Service デベロッパーガイド*の[キーポリシーの変更](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html)を参照してください。
ステートメントにおいて:
+ `Principal` 要素は、 AWS KMS key と S3 バケットを所有するアカウントの Macie サービスにリンクされたロールの Amazon リソースネーム (ARN) を指定する必要があります。
アカウントがオプトインの場合 AWS リージョン、ARN にはリージョンに適したリージョンコードも含める必要があります。例えば、アカウントが、リージョンコード *me-south-1* が設定されている中東 (バーレーン) リージョン内にある場合、`Principal` 要素は `arn:aws:iam::123456789012:role/aws-service-role/macie.me-south-1.amazonaws.com/AWSServiceRoleForAmazonMacie` を指定する必要があります。ここで、*123456789012*は、アカウントのアカウント ID です。Macie が現在利用可能なリージョンのリージョンコードのリストについては、「AWS 全般のリファレンス」の「[Amazon Macie エンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/macie.html)」を参照してください。
+ `Action` 配列は、`kms:Decrypt` アクションを指定する必要があります。これは、キーで暗号化された S3 オブジェクトを復号するために Macie が実行できる唯一の AWS KMS アクションです。
AWS KMS keyのポリシーに追加するステートメントの例を次に示します。
```
{
"Sid": "Allow the Macie service-linked role to use the key",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie"
},
"Action": [
"kms:Decrypt"
],
"Resource": "*"
}
```
前の例では、以下のようになっています。
+ `Principal` 要素 の `AWS` フィールドは、アカウントの Macie サービスリンクロール`AWSServiceRoleForAmazonMacie`のARNを指定します。これにより、Macie サービスにリンクされたロールがポリシーステートメントで指定されたアクションを実行することを許可します。*123456789012* はアカウント ID の例です。この値をKMS キーと S3 バケットを所有するアカウントのアカウント ID に置き換えます。
+ `Action` 配列は、Macie サービスリンクロールが KMS キーを使用して実行することを許可されたアクション (キーで暗号化される暗号文を復号) を指定します。
このステートメントをキーポリシーのどこに追加するかは、ポリシーに現在含まれている構造と要素によって異なります。ステートメントをポリシーに追加するときに、構文が有効であることを確認します。キーポリシーは JSON 形式を使用します。これは、ステートメントをポリシーのどこに追加するかに応じて、ステートメントの前後にカンマを追加する必要があることも意味します。
### カスタマーマネージドキーへのクロスアカウントアクセスを許可する
あるアカウントが AWS KMS key (*キー所有者*) を所有し、別のアカウントが S3 バケット (*バケット所有者*) を所有している場合、キー所有者はバケット所有者に KMS キーへのクロスアカウントアクセスを提供する必要があります。これを行うには、キー所有者はまず、キーのポリシーにより、バケット所有者がキーの使用とキーの付与の作成の両方を行うことを許可することを確認します。次に、バケット所有者はキーの付与を作成します。付与 は、ポリシーツールであり、付与によって指定された条件が満たされている場合、 AWS プリンシパルに暗号化オペレーションで (KMS キー) の使用を許可します。この場合、許可は、関連する許可をバケット所有者のアカウントの Macie サービスリンクロールに委任します。
キーポリシーの更新の詳細な情報については、*AWS Key Management Service デベロッパーガイド*の[キーポリシーの変更](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html)を参照してください。付与の詳細については、AWS Key Management Service デベロッパーガイドの[AWS KMSでの付与](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)を参照してください。
**ステップ 1: キーポリシーを変更する**
キーポリシーでは、キー所有者は、ポリシーに 2 つのステートメントが含まれていることを確認する必要があります:
+ 最初のステートメントは、バケット所有者がキーを使用してデータを復号することを許可します。
+ 2 番目のステートメントは、バケット所有者が自らの (当該バケット所有者の) アカウントの Macie サービスリンクロールの許可を作成することを許可します。
最初のステートメントでは、`Principal` 要素は、バケット所有者のアカウントの ARN を指定する必要があります。`Action` 配列は、`kms:Decrypt` アクションを指定する必要があります。これは、キーで暗号化されたオブジェクトを復号するために Macie が実行できる唯一の AWS KMS アクションです。 AWS KMS keyのポリシーのこのステートメントの例を次に示します。
```
{
"Sid": "Allow account 111122223333 to use the key",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"kms:Decrypt"
],
"Resource": "*"
}
```
前の例では、以下のようになっています。
+ `Principal` 要素の `AWS` フィールドは、バケット所有者のアカウントの ARN を指定します (*111122223333*)。これにより、バケット所有者がポリシーステートメントで指定されたアクションを実行することを許可します。*111122223333* はアカウント ID の例です。この値をバケット所有者のアカウントのアカウント ID に置き換えます。
+ `Action` 配列は、バケット所有者が KMS キーを使用して実行することを許可されたアクション (キーで暗号化される暗号文を復号) を指定します。
キーポリシーの 2 番目のステートメントは、バケット所有者が自分のアカウントの Macie サービスにリンクされたロールの付与を作成することを許可します。このステートメントでは、`Principal` 要素は、バケットの所有者のアカウントの ARN を指定する必要があります。`Action` 配列は、`kms:CreateGrant` アクションを指定する必要があります。`Condition` 要素は、ステートメントで指定された `kms:CreateGrant` アクションへのアクセスをフィルタリングできます。 AWS KMS keyのポリシーのこのステートメントの例を次に示します。
```
{
"Sid": "Allow account 111122223333 to create a grant",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:GranteePrincipal": "arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie"
}
}
}
```
前の例では、以下のようになっています。
+ `Principal` 要素の `AWS` フィールドは、バケット所有者のアカウントの ARN を指定します (*111122223333*)。これにより、バケット所有者がポリシーステートメントで指定されたアクションを実行することを許可します。*111122223333* はアカウント ID の例です。この値をバケット所有者のアカウントのアカウント ID に置き換えます。
+ `Action` 配列は、バケット所有者が KMS キーを使用して実行することを許可されたアクションを指定します (キーの付与を作成)。
+ `Condition` 要素は、`StringEquals` [条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)と `kms:GranteePrincipal` [条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awskeymanagementservice.html#awskeymanagementservice-policy-keys)を使用して、ポリシーステートメントで指定されたアクションへのアクセスをフィルタリングします。この場合、バケット所有者は指定された `GranteePrincipal` のためのみ許可を作成できます。これは、これらのバケット所有者のアカウントの Macie サービスリンクロールの ARN です。そのARNでは、*111122223333* はアカウント ID の例です。この値をバケット所有者のアカウントのアカウント ID に置き換えます。
バケット所有者のアカウントがオプトインにある場合は AWS リージョン、Macie サービスにリンクされたロールの ARN に適切なリージョンコードも含めます。例えば、アカウントが、リージョンコード *me-south-1* が設定されている中東 (バーレーン) リージョンにある場合は、ARN で `macie.amazonaws.com` を `macie.me-south-1.amazonaws.com` と置き換えます。Macie が現在利用可能なリージョンのリージョンコードのリストについては、「AWS 全般のリファレンス」の「[Amazon Macie エンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/macie.html)」を参照してください。
キー所有者がこれらのステートメントをキーポリシーのどこに追加するかは、ポリシーに現在含まれている構造と要素によって異なります。キー所有者がステートメントを追加するときは、構文が有効であることを確認する必要があります。キーポリシーは JSON 形式を使用します。これは、ステートメントをポリシーのどこに追加するかに応じて、キー所有者は各ステートメントの前後にカンマを追加する必要があることも意味します。
**ステップ 2: 許可を作成する**
キー所有者が必要に応じてキーポリシーを更新した後、バケット所有者はキーの付与を作成する必要があります。この付与は、関連するアクセス許可を (バケット所有者の) アカウントの Macie サービスにリンクされたロールに委任します。バケット所有者が付与を作成する前に、バケット所有者はアカウントの `kms:CreateGrant` アクションの実施が許可されていることを確認する必要があります。このアクションにより、ロール所有者が既存のカスタマーマネージド AWS KMS keyに許可を追加することが許可されます。
許可を作成するには、バケット所有者は AWS Key Management Service API の [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) オペレーションを使用できます。バケット所有者が付与を作成するときに、必要なパラメータに次の値を指定する必要があります。
+ `KeyId` – KMS キーの ARN。KMS キーへのクロスアカウントアクセスでは、この値は ARN である必要があります。キー ID にすることはできません。
+ `GranteePrincipal` – アカウントの Macie サービスリンクロール (`AWSServiceRoleForAmazonMacie`) の ARN この値は `arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie` である必要があります。ここで、*111122223333* は、バケット所有者のアカウントのアカウント ID です。
アカウントがオプトインリージョン内にある場合、ARN には適切なリージョンコードを含める必要があります。例えば、アカウントが、リージョンコード me-south-1 が設定されている中東 (バーレーン) リージョン内にある場合、ARN は `arn:aws:iam::111122223333:role/aws-service-role/macie.me-south-1.amazonaws.com/AWSServiceRoleForAmazonMacie` である必要があります。ここで、*111122223333* は、バケット所有者のアカウント ID です。
+ `Operations` – AWS KMS 復号アクション (`Decrypt`)。これは、KMS キーで暗号化されたオブジェクトを復号するために Macie が実行できる唯一の AWS KMS アクションです。
AWS Command Line Interface (AWS CLI) を使用してカスタマーマネージド KMS キーの許可を作成するには、[create-grant](https://docs.aws.amazon.com/cli/latest/reference/kms/create-grant.html) コマンドを実行します。以下の例のように指定します。この例は Microsoft Windows 用にフォーマットされており、読みやすさを向上させるためにキャレット (^) の行連結文字を使用します。
```
C:\> aws kms create-grant ^
--key-id arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab ^
--grantee-principal arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie ^
--operations "Decrypt"
```
コードの説明は以下のとおりです。
+ `key-id` は、付与を適用する KMS キーの ARN を指定します。
+ `grantee-principal` は、許可によって指定されたアクションの実行を許可されたアカウントの Macie サービスリンクロールの ARN を指定します。この値は、キーポリシーの 2 番目のステートメントの `kms:GranteePrincipal` 条件によって指定された ARN と一致する必要があります。
+ `operations` は、許可が、指定されたプリンシパルが実行することを許可するアクション (KMS キーで暗号化される暗号文の復号) を指定します。
コマンドが正常に実行された場合は、以下のような出力が表示されます。
```
{
"GrantToken": "",
"GrantId": "1a2b3c4d2f5e69f440bae30eaec9570bb1fb7358824f9ddfa1aa5a0dab1a59b2"
}
```
ここで、`GrantToken` は、作成された付与を表す、一意で、非シークレットで、可変長の base64 でエンコードされた文字列であり、`GrantId` は、付与の一意の識別子です。
# 機密データ検出結果の保存と保持
機密データ検出ジョブを実行するか、Amazon Macie が機密データ自動検出を実行すると、Macie は分析のスコープに含まれる各 Amazon Simple Storage Service (Amazon S3) オブジェクトの分析レコードを作成します。これらのレコードは機密データ検出結果と呼ばれ、Macie が個々の S3 オブジェクトに対して実行した分析の詳細を記録します。これには、Macie が機密データを検出しないために検出結果を生成しないオブジェクト、およびエラーや問題のために Macie が分析できないオブジェクトが含まれます。Macie がオブジェクト内で機密データを検出する場合、レコードには対応する検出結果のデータと追加情報が含まれます。機密データの検出結果から、データプライバシーと保護の監査や調査に役立つ分析レコードが得られます。
Macie は機密データの検出結果を 90 日間だけ保存します。機密データの検出結果にアクセスし、それらの長期保存と保持を有効化するには、結果を S3 バケットに保存し、 AWS Key Management Service AWS KMSキーを用いて暗号化するように Macie を設定します。バケットは、機密データの検出結果のすべての最終的で長期的なリポジトリとして機能します。次に、オプションで、そのリポジトリ内の結果にアクセスしてクエリを実行できます。
このトピックでは、 を使用して機密データ検出結果のリポジトリ AWS マネジメントコンソール を設定するプロセスについて説明します。設定は、結果を暗号化する AWS KMS key 、結果を保存する S3 汎用バケット、使用するキーとバケット指定する Macie 設定の組み合わせです。Macie 設定をプログラムで設定する場合は、Amazon Macie APIの[分類エクスポート設定を入れる](https://docs.aws.amazon.com/macie/latest/APIReference/classification-export-configuration.html)オペレーションを使用できます。
Macie で設定を設定すると、選択は現在の AWS リージョンにのみ適用されます。お客様が組織の Macie 管理者である場合、選択はお客様のアカウントにのみ適用されます。選択は、関連付けられたメンバーアカウントには適用されません。機密データ自動検出を有効にするか、機密データ検出ジョブを実行してメンバーアカウントのデータを分析すると、Macie は機密データ検出結果を管理者アカウントのリポジトリに保存します。
複数の で Macie を使用する場合は AWS リージョン、Macie を使用するリージョンごとにリポジトリ設定を構成します。オプションで、複数のリージョンの機密データ検出結果を同じ S3 バケットに保存できます。ただし、次の要件に注意してください。
+ 米国東部 (バージニア北部) リージョンなど AWS アカウント、 でデフォルトで AWS を有効にするリージョンの結果を保存するには、デフォルトで有効になっているリージョンでバケットを選択する必要があります。結果は、オプトインリージョン (デフォルトで無効になっているリージョン) のバケットに保存できません。
+ 中東 (バーレーン) リージョンなど、オプトインリージョンの結果を保存するには、同じリージョンまたはデフォルトで有効になっているリージョンのバケットを選択する必要があります。別のオプトインリージョンのバケットに結果を保存することはできません。
リージョンがデフォルトで有効になっているかどうかを確認するには、*AWS アカウント管理 「 ユーザーガイド*」の[「アカウント AWS リージョン で有効または無効に](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html)する」を参照してください。上記の要件に加えて、Macie が個々の検出結果で報告する[機密データのサンプルを取得する](findings-retrieve-sd.md)かどうかも検討してください。影響を受ける S3 オブジェクトから機密データサンプルを取得するには、影響を受けるオブジェクト、該当する検出結果、および対応する機密データ検出結果のリソースとデータがすべて同じリージョンに保存されている必要があります。
**Topics**
+ [開始する前に: 主要な概念を学ぶ](#discovery-results-repository-s3-overview)
+ [ステップ 1: アクセス許可を確認する](#discovery-results-repository-s3-permissions)
+ [ステップ 2: を設定する AWS KMS key](#discovery-results-repository-s3-key-policy)
+ [ステップ 3: S3 バケットを選択する](#discovery-results-repository-s3-choose-bucket)
## 開始する前に: 主要な概念を学ぶ
Amazon Macie は、ユーザーが機密データ検出ジョブを実行したとき、または機密データ自動検出が実行されたときに、分析したり、分析を試みたりする Amazon S3 オブジェクトごとに機密データ検出の結果を自動的に作成します。これには、以下が含まれます。
+ Macie が機密データを検出したオブジェクトなので、機密データの検出結果も生成されます。
+ Macie が機密データを検出しないため、機密データの検出結果も生成されないオブジェクト。
+ アクセス許可設定やサポートされていないファイルやストレージ形式の使用などのエラーや問題のため Macie が分析できないオブジェクト。
Macie が S3 オブジェクト内の機密データを検出すると、機密データの検出結果には、対応する機密データの調査結果のデータが含まれます。また、Macie がオブジェクト内で検出した機密データのタイプごとに最大 1,000 個までの出現の場所などの追加情報も提供します。例:
+ Microsoft Excel ワークブック、CSV ファイル、または TSV ファイル内のセルまたはフィールドの列番号と行番号
+ JSON または JSON Lines ファイル内のフィールドまたは配列へのパス
+ CSV、JSON、JSON Lines、または TSV ファイル以外の非バイナリテキストファイル (HTML、TXT、XML ファイルなど) 内の行の行番号
+ Adobe Portable Document Format (PDF) ファイル内のページのページ番号
+ Apache Avro オブジェクトコンテナまたは Apache Parquet ファイル内のレコードのレコードインデックスとフィールドへのパス
S3 オブジェクトが .tar ファイルや .zip ファイルなどのアーカイブファイルである場合、機密データの検出結果では、Macie がアーカイブファイルから抽出した個別のファイル内の機密データの出現に関する詳細な場所データも提供されます。Macie は、アーカイブファイルの機密データの調査結果にこの情報を含めません。位置データを報告するために、機密データ検出結果は[標準化された JSON スキーマ](findings-locate-sd-schema.md)を使用します。
機密データの検出結果には、Macie が検出した機密データは含まれません。代わりに、監査や調査に役立つ分析レコードが提供されます。
Macie は機密データの検出結果を 90 日間保存します。Amazon Macie コンソールまたは Amazon Macie API からそれらに直接アクセスすることはできません。代わりに、このトピックの手順に従って、 AWS KMS key 指定した で結果を暗号化するように Macie を設定し、指定した S3 汎用バケットに結果を保存します。その後、Macie は結果を JSON Lines (.jsonl) ファイルに書き込み、そのファイルを GNU Zip (.gz) ファイルとしてバケットに追加し、SSE-KMS 暗号化を使用してデータを暗号化します。2023 年 11 月 8 日現在、Macie は結果の S3 オブジェクトにもハッシュベースのメッセージ認証コード (HMAC) で署名しています AWS KMS key。
機密データ検出の結果を S3 バケットに保存するように Macie を設定すると、バケットは、結果の最終的な長期リポジトリとして機能します。次に、オプションで、そのリポジトリ内の結果にアクセスしてクエリを実行できます。
**ヒント**
機密データ検出結果をクエリして使用して潜在的なデータセキュリティリスクを分析およびレポートする方法の詳細な説明例については、 *AWS セキュリティ*ブログのブログ記事「Amazon [ Amazon Athenaと Amazon Quick を使用して Macie 機密データ検出結果をクエリおよび視覚化する方法](https://aws.amazon.com/blogs/security/how-to-query-and-visualize-macie-sensitive-data-discovery-results-with-athena-and-quicksight/)」を参照してください。
機密データの検出結果の分析に使用できる Amazon Athena クエリのサンプルについては、GitHub の [Amazon Macie 結果分析リポジトリ](https://github.com/aws-samples/amazon-macie-results-analytics)を参照してください。このリポジトリでは、結果を取得および復号化するように Athena を設定する手順と、結果のテーブルを作成するためのスクリプトも提供します。
## ステップ 1: アクセス許可を確認する
機密データの検出結果のリポジトリを設定する前に、結果を暗号化して保存するために必要なアクセス許可があることを確認します。アクセス許可を確認するには、 AWS Identity and Access Management (IAM) を使用して、IAM ID にアタッチされている IAM ポリシーを確認します。次にこれらのポリシー内の情報を、リポジトリを設定するために実行が許可される必要がある次のアクションのリストと比較します。
**Amazon Macie**
Macie の場合、次のアクションの実行が許可されていることを確認します。
`macie2:PutClassificationExportConfiguration`
このアクションにより、Macie のリポジトリ設定の追加または変更が許可されます。
**Amazon S3**
Amazon S3 の場合、次のアクションの実行が許可されていることを確認します。
+ `s3:CreateBucket`
+ `s3:GetBucketLocation`
+ `s3:ListAllMyBuckets`
+ `s3:PutBucketAcl`
+ `s3:PutBucketPolicy`
+ `s3:PutBucketPublicAccessBlock`
+ `s3:PutObject`
これらのアクションにより、リポジトリとして機能できる S3 汎用バケットへのアクセスと設定が許可されます。
**AWS KMS**
Amazon Macie コンソールを使用してリポジトリ設定を追加または変更するには、次の AWS KMS アクションの実行が許可されていることを確認します。
+ `kms:DescribeKey`
+ `kms:ListAliases`
これらのアクションにより、アカウントの AWS KMS keys に関する情報を取得して表示することが許可されます。その後、これらのキーのいずれかを選択して、機密データの検出結果を暗号化できます。
データを暗号化 AWS KMS key するために新しい を作成する場合は、`kms:CreateKey`、、`kms:GetKeyPolicy`および のアクションを実行することも許可する必要があります`kms:PutKeyPolicy`。
必要なアクションを実行することが許可されていない場合は、次のステップに進む前に AWS 管理者にサポートを依頼してください。
## ステップ 2: を設定する AWS KMS key
アクセス許可を確認したら、Macie AWS KMS key が機密データ検出結果を暗号化するために使用するものを決定します。キーは、結果を保存する S3 バケット AWS リージョン と同じ で有効になっているカスタマー管理の対称暗号化 KMS キーである必要があります。
キーは、自分のアカウント AWS KMS key から既存の にすることも、別のアカウント AWS KMS key が所有する既存の にすることもできます。新しい KMS キーを使用する場合は、先に進む前にキーを作成します。別のアカウントが所有する既存のキーを使用する場合、キーの Amazon リソースネーム (ARN) を取得します。Macie でリポジトリ設定を設定するときに、この ARN を入力する必要があります。KMS キー設定の作成と確認については、[https://docs.aws.amazon.com/kms/latest/developerguide/overview.html](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)AWS Key Management Service デベロッパーガイドを参照してください。
**注記**
キーは、外部キーストア AWS KMS key の にすることができます。ただし、そのキーは、完全に AWS KMS内で管理されるキーよりも遅く、信頼性が低くなる可能性があります。機密データの検出結果を S3 バケットキーとして使用するように設定された S3 バケットに保存することで、このリスクを軽減できます。そうすることで、機密データディスカバリーの結果を暗号化するために行う必要のある AWS KMS リクエストの数が減ります。
外部キーストアで KMS キーを使用する方法については、AWS Key Management Service デベロッパーガイドの[外部キーストア](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-external.html)を参照してください。S3 バケットキー使用の詳細については、Amazon Simple Storage Service ユーザーガイドの、[Amazon S3 バケットキーを使用した SSE-KMS のコストの削減](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html)を参照してください。
Macie が使用する KMS キーを決定した後、Macie にそのキーを使用するアクセス許可を付与します。そうしないと、Macie はリポジトリで結果を暗号化したり保存したりすることができなくなります。Macie にキーを使用するアクセス許可を付与するには、キーのポリシーを更新します。キーポリシーと KMS キーへのアクセス管理の詳細については、AWS Key Management Service デベロッパーガイドの AWS KMSの[キーポリシー](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)を参照してください。
**キーポリシーを更新するには**
1. [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) で AWS KMS コンソールを開きます。
1. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクターを使用します。
1. 機密データ検出の結果を暗号化するために Macie に使用させるキーを選択します。
1. **アクセスポリシー** タブで **編集** を選択します。
1. 次のステートメントをクリップボードにコピーして、それをポリシーに追加します。
```
{
"Sid": "Allow Macie to use the key",
"Effect": "Allow",
"Principal": {
"Service": "macie.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Encrypt"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
"arn:aws:macie2:us-east-1:111122223333:classification-job/*"
]
}
}
}
```
**注記**
ステートメントをポリシーに追加するときは、構文が有効であることを確認します。ポリシーは JSON 形式を使用します。またこれは、ステートメントをポリシーに追加する場所に応じて、ステートメントの前後にカンマを追加する必要があることを意味します。ステートメントを最後のステートメントとして追加する場合は、前のステートメントの中括弧の後にカンマを追加します。最初のステートメントとして追加するか、既存の 2 つのステートメントの間に追加する場合は、中括弧の後にカンマを追加します。
1. ステートメントを環境に対して正しい値で更新します。
+ `Condition` フィールドで、プレースホルダーの値を置き換えます。ここで、
+ *111122223333* は、お客様の AWS アカウントのアカウント ID です。
+ *us-east-1* は、Macie を使用していて、Macie AWS リージョン にキーの使用を許可する のリージョンコードです。
複数のリージョンで Macie を使用していて、追加のリージョンでの Macie のキーの使用を許可する場合は、追加のリージョンごとに `aws:SourceArn` 条件を追加します。例:
```
"aws:SourceArn": [
"arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
"arn:aws:macie2:us-east-1:111122223333:classification-job/*",
"arn:aws:macie2:us-west-2:111122223333:export-configuration:*",
"arn:aws:macie2:us-west-2:111122223333:classification-job/*"
]
```
代わりに、all (すべての) リージョンで Macie のキーの使用を許可することもできます。これを行うには、プレースホルダー値をワイルドカード文字 () に置き換えます`*`。例えば、次のようになります。
```
"aws:SourceArn": [
"arn:aws:macie2:*:111122223333:export-configuration:*",
"arn:aws:macie2:*:111122223333:classification-job/*"
]
```
+ オプトインリージョンで Macie を使用している場合は、適切なリージョンコードを `Service` フィールドの値に追加します。たとえば、リージョンコード を持つ中東 (バーレーン) リージョンで Macie を使用している場合は、 を *me-south-1*`macie.amazonaws.com`に置き換えます`macie.me-south-1.amazonaws.com`。
Macie が現在利用可能なリージョンのリストと、それぞれのリージョンコードについては、AWS 全般のリファレンスの [ Amazon Macie のエンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/macie.html)を参照してください。
`Condition` フィールドでは、2 つの IAM グローバル条件キーを使用することに注意してください。。
+ [aws:SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) — この条件により、Macie がお客様のアカウントに対してのみ指定されたアクションを実行することを許可します。具体的には、`aws:SourceArn` 条件で指定されたリソースおよびアクションに対して、指定されたアクションを実行できるアカウントを決定します。
Macie が追加のアカウントに対して指定されたアクションを実行することを許可するには、追加の各アカウントのアカウント ID をこの条件に追加します。例:
```
"aws:SourceAccount": [111122223333,444455556666]
```
+ [aws:SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) — この条件により、他の AWS のサービス が指定されたアクションを実行するのを防ぎます。また、Macie がお客様のアカウントで他のアクションを実行中にキーを使用するのを防ぐこともできます。つまり、オブジェクトが機密データ検出の結果であり、その結果が機密データ自動検出または指定されたリージョンの指定されたアカウントによって作成された機密データ検出ジョブについてのものである場合にのみ、Macie がキーを使用して S3 オブジェクトを暗号化することが許可されます。
Macie が追加のアカウントで指定したアクションを実行することを許可するには、追加のアカウントごとに ARN をこの条件に追加します。例:
```
"aws:SourceArn": [
"arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
"arn:aws:macie2:us-east-1:111122223333:classification-job/*",
"arn:aws:macie2:us-east-1:444455556666:export-configuration:*",
"arn:aws:macie2:us-east-1:444455556666:classification-job/*"
]
```
`aws:SourceAccount` と `aws:SourceArn` の条件によって指定されたアカウントは、一致する必要があります。
これらの条件は、Macie がトランザクション中に[混乱した代理](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)として使用されるのを防ぐのに役立ちます AWS KMS。お勧めしませんが、ステートメントからこれらの条件を削除できます。
1. ステートメントの追加と更新が完了したら、**変更を保存する** を選択します。
## ステップ 3: S3 バケットを選択する
アクセス許可を確認して を設定したら AWS KMS key、機密データ検出結果のリポジトリとして使用する S3 バケットを指定する準備が整います。これには 2 つのオプションがあります。
+ **Macie が作成する新しい S3 バケット**を使用する – このオプションを選択すると、Macie は検出結果 AWS リージョン 用に現在の に新しい S3 汎用バケットを自動的に作成します。また、Macie はバケットにバケットポリシーを適用します。このポリシーでは、Macie がバケットにオブジェクトを追加することを許可します。また、SSE-KMS 暗号化を使用して、指定した AWS KMS key でオブジェクトを暗号化する必要もあります。ポリシーを確認するには、バケットの名前と使用する KMS キーを指定した後、Amazon Macie コンソールで **[ポリシーを表示]** を選択します。
+ **作成した既存の S3 バケットを使用する** — 特定の S3 バケットに検出結果を保存する場合は、続行する前にバケットを作成します。バケットは汎用バケットである必要があります。さらに、バケットの設定とポリシーでは、Macie がバケットにオブジェクトを追加することを許可する必要があります。このトピックでは、チェックする設定はどれか、およびポリシーの更新方法について説明します。また、ポリシーに追加するステートメントの例も示します。
以下のセクションでは、各オプションの手順について説明します。目的のオプションのセクションを選択します。
### Macie が作成した新しい S3 バケットを使用します。
Macie が作成した新しい S3 バケットを使用する場合は、プロセスの最後のステップは、Macie でリポジトリ設定を設定することです。
**Macie でリポジトリ設定を設定するには**
1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。
1. ナビゲーションペインの **設定** の下で、**検出結果** を選択します。
1. **機密データの検出結果のリポジトリ** の下で、**バケットを作成する** を選択します。
1. **バケットを作成する** ボックスで、バケットの名前を入力します。
名前はすべての S3 バケットで一意である必要があります。また、名前は、小文字、数字、ドット (.)、およびハイフン (-) のみで設定できます。追加の命名要件については、*Amazon Simple Storage Service ユーザーガイド*の[バケットの名前付けルール](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucketnamingrules.html)を参照してください。
1. **詳細設定** セクションを展開します。
1. (オプショナル) バケット内の場所へのパスに使用するプレフィックスを指定するには、**データ検出結果のプレフィックス** ボックスにプレフィックスを入力します。
値を入力すると、Macie はボックスの下の例を更新して、検出結果を保存するバケットの場所へのパスを表示します。
1. **すべてのパブリックアクセスをブロックする**で**はい**を選ぶと、バケツに対するすべての公開ブロック設定が有効になります。
これらの設定の詳細については、*Amazon Simple Storage Service ユーザーガイド*の[Amazon S3 ストレージへのパブリックアクセスのブロック](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html)を参照してください。
1. **[暗号化設定]** で、結果を暗号化するために Macie に使用させる AWS KMS key を指定します。
+ 自分のアカウントにキーを使用するには、**アカウントからキーを選択する** を選択します。そして、**AWS KMS key**リストからユーザー名を選択します。リストには、お客様のアカウントの、お客様が管理する対称暗号化 KMS キーが表示されます。
+ 別のアカウントが所有し、使用が許可されているキーを使用するには、**別のアカウントのキーの ARN を入力する** を選択します。次に、**AWS KMS key ARN** ボックスに、使用するキーの Amazon リソースネーム (ARN) を入力します。例えば、**`arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`**
1. 設定の入力が完了したら、**保存** を選択します。
Macie は設定をテストして、それらが正しいことを確認します。正しくない設定がある場合、Macie は問題への対処に役立つエラーメッセージを表示します。
リポジトリ設定を保存した後、Macie は過去 90 日間の既存の検出結果をリポジトリに追加します。また、Macie は、新しい検出結果をリポジトリに追加し始めます。
### 作成した既存の S3 バケットを使用します。
機密データの検出結果を、作成した特定の S3 バケットに保存する場合は、Macie で設定を設定する前に、バケットを作成して設定します。バケットを作成する際は、次の各要件に注意してください。
+ バケットは汎用バケットである必要があります。ディレクトリバケットなど、別のタイプのバケットにすることはできません。
+ 米国東部 (バージニア北部) リージョンなど AWS アカウント、デフォルトで有効になっているリージョンの検出結果を保存するには、バケットがデフォルトで有効になっているリージョンにある必要があります。結果は、オプトインリージョン (デフォルトで無効になっているリージョン) のバケットに保存できません。
+ 中東 (バーレーン) リージョンなど、オプトインリージョンについての検出の結果を保存するには、バケットは、同じリージョンまたはデフォルトで有効になっているリージョンに存在している必要があります。別のオプトインリージョンのバケットに結果を保存することはできません。
リージョンがデフォルトで有効になっているかどうかを確認するには、「*AWS アカウント管理 ユーザーガイド*」の「[アカウントでの AWS リージョン の有効化または無効化](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html)」を参照してください。
バケットを作成したら、バケットのポリシーを更新して、Macie がバケットに関する情報を取得し、バケットにオブジェクトを追加することを許可します。これで、Macie で設定を構成できます。
**バケットのバケットポリシーを更新するには**
1. Amazon S3 コンソール ([https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)) を開きます。
1. 検出結果を保存するバケットを選択します。
1. **アクセス許可** タブを選択します。
1. **バケットポリシー** セクションで、**編集** を選択します。
1. 次のポリシー例をクリップボードにコピーします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow Macie to use the GetBucketLocation operation",
"Effect": "Allow",
"Principal": {
"Service": "macie.amazonaws.com"
},
"Action": "s3:GetBucketLocation",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
"arn:aws:macie2:us-east-1:111122223333:classification-job/*"
]
}
}
},
{
"Sid": "Allow Macie to add objects to the bucket",
"Effect": "Allow",
"Principal": {
"Service": "macie.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional prefix/]*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
"arn:aws:macie2:us-east-1:111122223333:classification-job/*"
]
}
}
},
{
"Sid": "Deny unencrypted object uploads. This is optional",
"Effect": "Deny",
"Principal": {
"Service": "macie.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional prefix/]*",
"Condition": {
"StringNotEquals": {
"s3:x-amz-server-side-encryption": "aws:kms"
}
}
},
{
"Sid": "Deny incorrect encryption headers. This is optional",
"Effect": "Deny",
"Principal": {
"Service": "macie.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional prefix/]*",
"Condition": {
"StringNotEquals": {
"s3:x-amz-server-side-encryption-aws-kms-key-id": "arn:aws:kms:us-east-1:111122223333:key/KMSKeyId"
}
}
},
{
"Sid": "Deny non-HTTPS access",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
}
]
}
```
------
1. ポリシー例をAmazon S3 コンソールの **バケットポリシー** エディタに貼り付けます。
1. ポリシー例を環境に対して正しい値で更新します。
+ 不正な暗号化ヘッダーを拒否するオプションのステートメントでは、以下を行います。
+ *amzn-s3-demo-bucket* をバケットの名前に置き換えます。バケット内の場所へのパスにもプレフィックスを指定するには、*[optional prefix/]* をプレフィックスに置き換えます。それ以外の場合は、*[optional prefix/]* プレースホルダー値を削除します。
+ `StringNotEquals` 条件で、*arn:aws:kms:us-east-1:111122223333:key/KMSKeyId* AWS KMS key を、検出結果の暗号化に使用する の Amazon リソースネーム (ARN) に置き換えます。
+ 他のすべてのステートメントでは、プレースホルダーの値を置き換えます。ここで、
+ *amzn-s3-demo-bucket* はバケットの名前です。
+ *[optional prefix/]* は、バケット内の場所へのパスのプレフィックスです。プレフィックスを指定しない場合は、このプレースホルダー値を削除します。
+ *111122223333* は、お客様の AWS アカウントのアカウント ID です。
+ *us-east-1* は、Macie を使用していて、Macie AWS リージョン が検出結果をバケットに追加できるようにする のリージョンコードです。
複数のリージョンで Macie を使用していて、追加のリージョンで Macie が結果をバケットに追加することを許可する場合は、追加のリージョンごとに `aws:SourceArn` 条件を追加します。例:
```
"aws:SourceArn": [
"arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
"arn:aws:macie2:us-east-1:111122223333:classification-job/*",
"arn:aws:macie2:us-west-2:111122223333:export-configuration:*",
"arn:aws:macie2:us-west-2:111122223333:classification-job/*"
]
```
代わりに、all (すべての) リージョンで Macie が結果をバケットに追加することを許可することもできます。これを行うには、プレースホルダー値をワイルドカード文字 () に置き換えます`*`。例えば、次のようになります。
```
"aws:SourceArn": [
"arn:aws:macie2:*:111122223333:export-configuration:*",
"arn:aws:macie2:*:111122223333:classification-job/*"
]
```
+ オプトインリージョンで Macie を利用している場合は、Macie サービスプリンシパルを指定するステートメントごとに、適切なリージョンコードを `Service` フィールドの値に追加します。たとえば、リージョンコード を持つ中東 (バーレーン) リージョンで Macie を使用している場合*me-south-1*は、該当する各ステートメント`macie.me-south-1.amazonaws.com`で `macie.amazonaws.com`を に置き換えます。
Macie が現在利用可能なリージョンのリストと、それぞれのリージョンコードについては、AWS 全般のリファレンスの [Amazon Macie のエンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/macie.html)を参照してください。
ポリシー例には、Macie がバケットが存在するリージョン (`GetBucketLocation`) を判断したり、オブジェクトをバケット (`PutObject`) に追加したりすることを許可するステートメントが含まれていることに留意してください。これらのステートメントは、2 つの IAM グローバル条件キーを使用する条件を定義します。
+ [aws:SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) — この条件により、Macie がアカウントに対してのみ機密データの検出結果をバケットに追加することを許可します。これにより、Macie が他のアカウントの検出結果をバケットに追加するのを防ぎます。具体的には、条件は、`aws:SourceArn` 条件で指定されたリソースおよびアクションに対して、バケットを使用できるアカウントを指定します。
バケット内の追加アカウントの結果を保存するには、追加のアカウントごとにアカウント ID をこの条件に追加します。例:
```
"aws:SourceAccount": [111122223333,444455556666]
```
+ [aws:SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) — この条件により、バケットに追加されているオブジェクトのソースに基づいて、バケットへのアクセスを制限します。これにより、他の AWS のサービス がバケットにオブジェクトを追加できなくなります。また、Macie がお客様のアカウントで他のアクションを実行中にオブジェクトをバケットに追加するのを防ぐこともできます より具体的には、この条件により、オブジェクトが機密データ検出の結果であり、それらの結果が自動機密データ検出または指定されたリージョンの指定されたアカウントによって作成された機密データ検出ジョブについてのものである場合にのみ、Macie がオブジェクトをバケットに追加することが許可されます。
Macie が追加のアカウントで指定したアクションを実行することを許可するには、追加のアカウントごとに ARN をこの条件に追加します。例:
```
"aws:SourceArn": [
"arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
"arn:aws:macie2:us-east-1:111122223333:classification-job/*",
"arn:aws:macie2:us-east-1:444455556666:export-configuration:*",
"arn:aws:macie2:us-east-1:444455556666:classification-job/*"
]
```
`aws:SourceAccount` と `aws:SourceArn` の条件によって指定されたアカウントは、一致する必要があります。
どちらの条件も、Macie が Amazon S3 とのトランザクション中に [confused deputy](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) (混乱した代理) として使用されるのを防ぐのに役立ちます。お勧めしませんが、バケットポリシーからこれらの条件を削除できます。
1. バケットポリシーの更新が完了したら、**変更を保存する** を選択します。
Macie でリポジトリ設定を設定できるようになりました。
**Macie でリポジトリ設定を設定するには**
1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。
1. ナビゲーションペインの **設定** の下で、**検出結果** を選択します。
1. **機密データの検出結果のリポジトリ** の下で、**既存のバケット** を選択します。
1. **バケットを選択する** で、検出結果を保存するバケットを選択します。
1. バケット内の場所へのパスにプレフィックスを指定するには、**[詳細設定]** セクションを展開します。次に、**[データ検出結果プレフィックス]** で、プレフィクスを入力します。
値を入力すると、Macie はボックスの下の例を更新して、検出結果を保存するバケットの場所へのパスを表示します。
1. **[暗号化設定]** で、結果を暗号化するために Macie に使用させる AWS KMS key を指定します。
+ 自分のアカウントにキーを使用するには、**アカウントからキーを選択する** を選択します。そして、**AWS KMS key**リストからユーザー名を選択します。リストには、お客様のアカウントの、お客様が管理する対称暗号化 KMS キーが表示されます。
+ 別のアカウントが所有し、使用が許可されているキーを使用するには、**別のアカウントのキーの ARN を入力する** を選択します。次に、**AWS KMS key ARN** ボックスに、使用するキーの ARN を入力します。例えば、**arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab**
1. 設定の入力が完了したら、**保存** を選択します。
Macie は設定をテストして、それらが正しいことを確認します。正しくない設定がある場合、Macie は問題への対処に役立つエラーメッセージを表示します。
リポジトリ設定を保存した後、Macie は過去 90 日間の既存の検出結果をリポジトリに追加します。また、Macie は、新しい検出結果をリポジトリに追加し始めます。
**注記**
その後に **[データ検出の結果のプレフィックス]** の設定を変更する場合は、Amazon S3 のバケットポリシーも更新します。以前のプレフィックスを指定するポリシーステートメントでは、新しいプレフィックスを指定する必要があります。指定しない場合、Macie は検出の結果をバケットに追加することが許可されません。
**ヒント**
サーバー側の暗号化コストを削減するには、S3 バケットキーを使用するように S3 バケットを設定し、機密データ検出結果の暗号化用に AWS KMS key 設定した を指定します。S3 バケットキーを使用すると、 への呼び出し回数が減少し AWS KMS、 AWS KMS リクエストコストを削減できます。KMS キーが外部キーストアにある場合は、S3 バケットキーを使用することでキーの使用によるパフォーマンスへの影響を最小限に抑えることができます。詳細については、Amazon Simple Storage Service ユーザーガイドの[Amazon S3 バケットキーを使用した SSE-KMS のコストの削減](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html)を参照してください。
# サポートされているストレージクラスとフォーマット
Amazon Simple Storage Service (Amazon S3) データエステート内の機密データを検出できるように、Amazon Macie は、ほとんどの Amazon S3 ストレージクラスと、さまざまなファイルおよびストレージ形式をサポートします。このサポートは、S3 オブジェクトを分析するための[マネージドデータ識別子](managed-data-identifiers.md)および[カスタムデータ識別子](custom-data-identifiers.md)の使用に適用されます。
Macie が S3 オブジェクトを分析するには、サポートされているストレージクラスを使用してオブジェクトを Amazon S3 の汎用バケットに保存する必要があります。オブジェクトは、サポートされているファイルまたはストレージ形式を使用する必要があります。このセクションのトピックでは、Macie が現在サポートしているストレージクラス、ファイルおよびストレージ形式を一覧表示しています。
**ヒント**
Macie は Amazon S3 向けに最適化されていますが、現在別の場所に保存されているリソース内の機密データを検出するために使用できます。これを行うには、データを Amazon S3 に一時的または永続的に移動します。例えば、Amazon Relational Database Service または Amazon Aurora のスナップショットを Apache Parquet 形式で Amazon S3 にエクスポートします。あるいは、Amazon DynamoDB テーブルを Amazon S3 にエクスポートします。その後、機密データ検出ジョブを作成して Amazon S3 内のデータを分析できます。
**Topics**
+ [サポートされているストレージクラス](#discovery-supported-s3-classes)
+ [サポートされているファイルおよびストレージ形式](#discovery-supported-formats)
## サポートされている Amazon S3 ストレージクラス
機密データを検出するために、Amazon Macie は次の Amazon S3 ストレージクラスをサポートしています。
+ 低冗長化 (RRS)
+ S3 Glacier Instant Retrieval
+ S3 Intelligent‐Tiering
+ S3 1 ゾーン - 低頻度アクセス (S3 1 ゾーン -IA)
+ S3 Standard
+ S3 標準 - 低頻度アクセス (S3 標準 IA)
Macie は、S3 Glacier Deep Archive や S3 Express One Zone など、他の Amazon S3 ストレージクラスを使用する S3 オブジェクトを分析しません。さらに、Macie は、S3 ディレクトリバケットに保存されているオブジェクトを分析しません。
サポートされている Amazon S3 ストレージクラスを使用しない S3 オブジェクトを分析する機密データ検出ジョブを設定する場合、Macie はジョブの実行時にそれらのオブジェクトをスキップします。Macie はオブジェクト内のデータを取得または分析しようとはしません。オブジェクトは*分類できないオブジェクト*として扱われます。*分類できないオブジェクト*とは、サポートされているストレージクラスと、サポートされているファイルまたはストレージ形式を使用していないオブジェクトです。Macie は、サポートされているストレージクラスと、サポートされているファイルまたはストレージ形式を使用するオブジェクトのみを分析します。
同様に、機密データの自動検出を実行するように Macie を設定した場合、分類できないオブジェクトは選択と分析の対象にはなりません。Macie は、サポートされている Amazon S3 ストレージクラスと、サポートされているファイルまたはストレージ形式を使用するオブジェクトのみを選択します。
分類できないオブジェクトが保存されている S3 バケットを識別するには、[S3 バケットインベントリをフィルタリング](monitoring-s3-inventory-filter.md)できます。インベントリ内の各バケットには、バケット内の分類できないオブジェクトの数と合計ストレージサイズを報告するフィールドがあります。
Amazon S3 が提供するストレージクラスの詳細については、*Amazon Simple Storage Service ユーザーガイド*の[Amazon S3 ストレージクラスの使用](https://docs.aws.amazon.com/AmazonS3/latest/userguide/storage-class-intro.html)を参照してください。
## サポートされているファイルおよびストレージ形式
Amazon Macie が S3 オブジェクトを分析すると、Macie は Amazon S3 からオブジェクトの最新バージョンを取得し、オブジェクトのコンテンツを詳細に検査します。この検査では、データのファイルまたはストレージ形式が考慮されます。Macie は、一般的に使用される圧縮形式やアーカイブ形式など、さまざまな形式でデータを分析できます。
Macie が圧縮ファイルまたはアーカイブファイル内のデータを分析するとき、Macie は完全なファイルとファイルの内容の両方を検査します。ファイルの内容を検査するために、Macie はファイルを解凍し、次にサポートされている形式を使用する各抽出ファイルを検査します。Macie は、最大 1,000,000 個までのファイルに対して、最大 10 レベルのネストされた深さまでこれを行うことができます。機密データ検出に適用される追加のクォータの詳細については、[Macie のクォータ](macie-quotas.md)を参照してください。
次のテーブルでは、Macie が機密データを検出するために分析できるファイルおよびストレージ形式のタイプをリスト化して説明します。サポートされているタイプごとに、表には該当するファイル名拡張子もリスト化されています。
| ファイルまたはストレージタイプ | 説明 | ファイル名拡張子 |
| --- | --- | --- |
| ビッグデータ | Apache Avro オブジェクトコンテナおよび Apache Parquet ファイル | .avro、.parquet |
| 圧縮またはアーカイブ | GNU Zip 圧縮アーカイブ、TAR アーカイブ、および ZIP 圧縮アーカイブ | .gz、.gzip、.tar、.zip |
| ドキュメント | Adobe Portable Document Format ファイル、Microsoft Excel ワークブック、および Microsoft Word ドキュメント | .doc、.docx、.pdf、.xls、.xlsx |
| E メールメッセージ | 内容が IETF RFC で指定された電子メールメッセージに関する要件 ([RFC 2822](https://www.rfc-editor.org/rfc/rfc2822)など) に準拠する電子メールファイル | .eml |
| Text (テキスト) | 非バイナリテキストファイル。例: カンマ区切り値 (CSV) ファイル、Extensible Markup Language (XML) ファイル、Hypertext Markup Language (HTML) ファイル、JavaScript Object Notation (JSON) ファイル、JSON Lines ファイル、プレーンテキストドキュメント、タブ区切り値 (TSV) ファイル、YAML ファイル | 非バイナリテキストファイルのタイプによる: .csv、.htm、.html、.json、.jsonl、.tsv、.txt、.xml、yaml、yml、その他 |
Macie は、画像または音声、動画、その他のマルチメディアコンテンツのデータを分析しません。
機密データ検出ジョブを設定して、サポートされているファイルまたはストレージ形式を使用しない S3 オブジェクトを分析すると、Macie はジョブの実行時にそれらのオブジェクトをスキップします。Macie はオブジェクト内のデータを取得または分析しようとはしません。オブジェクトは*分類できないオブジェクト*として扱われます。分類不可能オブジェクトは、サポートされている Amazon S3 ストレージクラスを使用しないか、サポートされているファイルまたはストレージ形式のファイル名拡張子を持たないオブジェクトです。Macie は、サポートされているストレージクラスと、サポートされているファイルまたはストレージ形式を使用するオブジェクトのみを分析します。
同様に、機密データの自動検出を実行するように Macie を設定した場合、分類できないオブジェクトは選択と分析の対象にはなりません。Macie は、サポートされている Amazon S3 ストレージクラスと、サポートされているファイルまたはストレージ形式を使用するオブジェクトのみを選択します。
分類できないオブジェクトが保存されている S3 バケットを識別するには、[S3 バケットインベントリをフィルタリング](monitoring-s3-inventory-filter.md)できます。インベントリ内の各バケットには、バケット内の分類できないオブジェクトの数と合計ストレージサイズを報告するフィールドがあります。