機密データ自動検出を設定するための前提条件 - Amazon Macie

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

機密データ自動検出を設定するための前提条件

機密データ自動検出の設定を有効化または設定する前に、以下のタスクを完了してください。これにより、必要なリソースとアクセス許可を確保できます。

これらのタスクを完了するには、組織の Amazon Macie 管理者であるか、スタンドアロンの Macie アカウントを持っている必要があります。アカウントが組織に属している場合、組織内のアカウントの機密データ自動検出を有効または無効にできるのは組織の Macie 管理者のみです。また、そのアカウントの自動検出設定を設定できるのも Macie 管理者のみです。

ステップ 1: 機密データ検出の結果のリポジトリを設定する

Amazon Macie は、機密データ自動検出を実行する際、分析対象として選択した各 Amazon Simple Storage Service (Amazon S3) オブジェクトの分析レコードを作成します。これらのレコードは機密データの検出結果と呼ばれ、個々の S3 オブジェクトの分析に関する詳細を記録します。これには、Macie が機密データを見つけられないオブジェクト、およびアクセス許可設定などのエラーや問題のために Macie が分析できないオブジェクトが含まれます。Macie がオブジェクト内の機密データを検出すると、機密データ検出結果には、Macie が検出した機密データに関する情報が含まれます。機密データの検出結果から、データプライバシーと保護の監査や調査に役立つ分析レコードが得られます。

Macie は機密データの検出結果を 90 日間だけ保存します。結果にアクセスし、それらの長期保存と保持を有効化するには、結果を S3 バケットに保存するように Macie を設定します。バケットは、機密データの検出結果のすべての最終的で長期的なリポジトリとして機能します。組織の Macie 管理者の場合は、これには、機密データ自動検出を有効にするメンバーアカウントの機密データ検出結果が含まれます。

このリポジトリを設定したことを確認するには、Amazon Macie コンソールのナビゲーションペインで [検出結果] を選択します。プログラムでこの操作を行う場合は、Amazon Macie APIの GetClassificationExportConfiguration オペレーションを使用できます。機密データ検出の結果とこのリポジトリの設定方法の詳細については、「機密データ検出結果の保存と保持」を参照してください。

リポジトリを設定した場合、機密データ自動検出を最初に有効にしたときに、Macie はリポジトリに automated-sensitive-data-discovery という名前のフォルダを作成します。このフォルダには、Macie がアカウントまたは組織の自動検出を実行する際に作成した機密データ検出結果が格納されます。

複数の で Macie を使用する場合は AWS リージョン、それらのリージョンごとにリポジトリが設定されていることを確認します。

ステップ 2: アクセス許可を確認する

アクセス許可を確認するには、 AWS Identity and Access Management (IAM) を使用して、IAM ID にアタッチされている IAM ポリシーを確認します。次にこれらのポリシー内の情報を、実行が許可される必要がある次のアクションのリストと比較します。

  • macie2:GetMacieSession

  • macie2:UpdateAutomatedDiscoveryConfiguration

  • macie2:ListClassificationScopes

  • macie2:UpdateClassificationScope

  • macie2:ListSensitivityInspectionTemplates

  • macie2:UpdateSensitivityInspectionTemplate

最初のアクションでは、Amazon Macie アカウントにアクセスできます。2 つ目のアクションでは、アカウントまたは組織の機密データ自動検出を有効または無効にできます。組織の場合、組織内のアカウントに対して自動検出を自動的に有効にすることもできます。残りのアクションでは、設定を識別して変更できます。

Amazon Macie コンソールを使用して構成設定を確認または変更する予定がある場合は、次のアクションの実行が許可される必要があります。

  • macie2:GetAutomatedDiscoveryConfiguration

  • macie2:GetClassificationScope

  • macie2:GetSensitivityInspectionTemplate

これらのアクションにより、アカウントまたは組織の現在の構成設定と機密データ自動検出のステータスを取得できます。構成設定をプログラムで変更する場合は、これらのアクションを実行するアクセス許可はオプションです。

お客様が組織の Macie 管理者である場合は、次のアクションの実行も許可されている必要があります。

  • macie2:ListAutomatedDiscoveryAccounts

  • macie2:BatchUpdateAutomatedDiscoveryAccounts

最初のアクションでは、組織内の個々のアカウントについて、機密データ自動検出のステータスを取得できます。2 つ目のアクションでは、組織内の個々のアカウントの自動検出を有効または無効にできます。

必要なアクションを実行することが許可されていない場合は、 AWS 管理者にサポートを依頼してください。

次のステップ

上記のタスクを完了すると、アカウントまたは組織の設定を有効にして設定する準備が整います。