機密データ自動検出設定を構成する - Amazon Macie
組織の設定オプションS3 バケットを除外するか、含めるマネージドデータ識別子を追加または削除するカスタムデータ識別子を追加または削除する許可リストを追加または削除する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

機密データ自動検出設定を構成する

アカウントまたは組織で機密データ自動検出が有効になっている場合、自動検出設定を調整して、Amazon Macie が実行する分析を絞り込むことができます。設定では、分析から除外する Amazon Simple Storage Service (Amazon S3) バケットを指定します。また、S3 オブジェクトを分析する際に使用する管理データ識別子、カスタムデータ識別子、許可リストなど、検出してレポートする機密データの種類と出現頻度も指定します。

デフォルトでは、Macie はアカウントのすべての S3 汎用バケットに対して機密データの自動検出を実行します。お客様が組織の Macie 管理者である場合、これには、お客さまのメンバーアカウントが所有するバケットが含まれます。特定のバケットを分析から除外できます。例えば、 AWS CloudTrail イベントログなどの AWS ログデータを保存するバケットを除外できます。バケットを除外する場合、そのバケットは後で再び含めることができます。

さらに、Macie は、機密データ自動検出に推奨されるマネージドデータ識別子のセットのみを使用して S3 オブジェクトを分析します。Macie は、カスタムデータ識別子またはユーザーが定義した許可リストを使用しません。分析をカスタマイズするには、特定のマネージドデータ識別子、カスタムデータ識別子、許可リストを追加または削除します。

設定を変更した場合、Macie は、次の評価および分析サイクルが開始されたときに (通常は 24 時間以内)、変更を適用します。また、変更は現在の AWS リージョンにのみ適用されます。追加のリージョンで同じ変更を行うには、追加のリージョンごとに該当するステップを繰り返します。

注記

機密データ自動検出設定を設定するには、組織の Macie 管理者であるか、スタンドアロンの Macie アカウントが付与されている必要があります。アカウントが組織の一部である場合は、組織の Macie 管理者のみが組織内のアカウントの設定と管理を行うことができます。メンバーアカウントをお持ちの場合は、Macie 管理者に連絡して、アカウントと組織の設定を確認してください。

組織の設定オプション

アカウントが複数の Amazon Macie アカウントを一元的に管理する組織に属している場合、組織の Macie 管理者が組織内のアカウントの機密データ自動検出を設定して管理します。これには、Macie がアカウントに対して実行する分析の範囲と性質を定義する設定が含まれます。メンバーは、自分のアカウントのこれらの設定にはアクセスできません。

お客様が組織の Macie 管理者である場合、以下のいくつかの方法で分析の範囲を定義できます。

  • アカウントの機密データ自動検出を自動的に有効にする – 機密データ自動検出を有効にするときは、既存のすべてのアカウントと新しいメンバーアカウントに対してのみ有効にするか、新しいメンバーアカウントに対してのみ有効にするか、メンバーアカウントに対して有効にしないかを指定します。新しいメンバーアカウントで有効にすると、アカウントが Macie の組織に参加するときに、その後組織に参加するすべてのアカウントで自動的に有効になります。機密データ自動検出がアカウントで有効な場合、Macie には、アカウントが所有する S3 バケットが含まれます。機密データ自動検出がアカウントで無効な場合、Macie は、アカウントが所有するバケットを除外します。

  • アカウントの機密データ自動検出を選択的に有効にする – このオプションを指定すると、個々のアカウントで機密データ自動検出をケースバイケースで有効または無効にします。機密データ自動検出をアカウントに対して有効にすると、Macie にはアカウントが所有する S3 バケットが含まれます。機密データ自動検出をアカウントに対して有効にしない場合、または無効にした場合、Macie はアカウントが所有するバケットを除外します。

  • 機密データ自動検出から特定の S3 バケットを除外する – アカウントの機密データ自動検出を有効にすると、アカウントが所有する特定の S3 バケットを除外できます。その後、Macie は自動検出を実行するときにバケットをスキップします。特定のバケットを除外するには、管理者アカウントの設定で除外リストに追加します。組織で最大 1,000 個のバケットを除外できます。

デフォルトでは、機密データ自動検出は、組織内のすべての新規アカウントと既存のアカウントで自動的に有効になります。さらに、Macie には、アカウントが所有するすべての S3 バケットが含まれます。デフォルト設定のままにしておくと、Macie は、メンバーアカウントが所有するすべてのバケットを含む、管理者アカウントのすべてのバケットに対して自動検出を実行することになります。

Macie 管理者は、Macie が組織に対して実行する分析の性質も定義できます。これを行うには、管理データ識別子、カスタムデータ識別子、Macie が S3 オブジェクトを分析するときに使用する許可リストなど、管理者アカウントの追加設定を行います。Macie は、組織内の他のアカウントの S3 オブジェクトを分析するとき、この管理者アカウントの設定を使用します。

機密データ自動検出での S3 バケットの除外または包含

デフォルトでは、Amazon Macie はアカウントのすべての S3 汎用バケットに対して機密データの自動検出を実行します。お客様が組織の Macie 管理者である場合、これには、お客さまのメンバーアカウントが所有するバケットが含まれます。

範囲を絞り込むために、分析から最大 1,000 個の S3 バケットを除外できます。バケットを除外すると、Macie は、機密データ自動検出を実行する際、バケット内のオブジェクトを選択して分析するのを停止します。バケットの既存の機密データ検出の統計と詳細は保持されます。例えば、バケットの現在の機密スコアは変更されません。バケットを除外する場合、そのバケットは後で再び含めることができます。

機密データ自動検出で S3 バケットを除外または含めるには

Amazon Macie コンソールまたは Amazon Macie API を使用して、S3 バケットを除外するか、後から含めることができます。

Console

Amazon Macie コンソールを使用して S3 バケットを除外または後から含めるには、次の手順に従います。

S3 バケットを除外するか、含めるには

  1. Amazon Macie コンソール (https://console.aws.amazon.com/macie/) を開きます。

  2. ページの右上隅にある AWS リージョン セレクターを使用して、分析に特定の S3 バケットを除外または含めるリージョンを選択します。

  3. ナビゲーションペインの [設定] で、[機密データ自動検出] を選択します。

    機密データ自動検出 ページが表示され、現在の設定が表示されます。そのページの [S3 バケット] セクションには、現在除外されている S3 バケットが一覧表示されているか、現在すべてのバケットが含まれていることが示されます。

  4. S3 バケット セクションで、編集 を選択します。

  5. 次のいずれかを行います:

    • 1 つ以上の S3 バケットを除外するには、[除外リストにバケットを追加] を選択します。次に、S3 バケットテーブルで、除外する各バケットのチェックボックスをオンにします。テーブルには、現在のリージョン内のアカウントまたは組織のすべての汎用バケットが表示されます。

    • 以前に除外した 1 つ以上の S3 バケットを含めるには、[除外リストからバケットを削除する] を選択します。次に、S3 バケットテーブルで、含める各バケットのチェックボックスをオンにします。テーブルには、現在分析から除外されているすべてのバケットが一覧表示されます。

    特定のバケットをより簡単に検索するには、テーブルの上にある検索ボックスに検索条件を入力します。列見出しを選択して、テーブルを並べ替えることもできます。

  6. バケットを選択し終えたら、前のステップで選択したオプションに応じて [追加] または [削除] を選択します。

ヒント

コンソールでバケットの詳細を確認しながら、ケースに応じて個々の S3 バケットを除外したり、含めたりすることもできます。これを行うには、S3 バケットページでバケットを選択します。次に、詳細パネルで、バケットの [自動検出から除外] 設定を変更します。

API

プログラムで S3 バケットを除外またはその後含めるには、Amazon Macie API を使用してアカウントの分類範囲を更新します。分類スコープは、Macie が機密データ自動検出を実行するときに分析したくないバケットを指定します。自動検出用のバケット除外リストを定義します。

分類スコープを更新するときは、除外リストから個々のバケットを追加または削除するか、現在のリストを新しいリストで上書きするかを指定します。したがって、まず現在のリストを取得して確認することをお勧めします。リストを取得するには、GetClassificationScope オペレーションを使用します。 AWS Command Line Interface (AWS CLI) を使用している場合は、get-classification-scope コマンドを実行してリストを取得します。

分類スコープを取得または更新するには、一意の識別子 () を指定する必要がありますid。この識別子は、GetAutomatedDiscoveryConfiguration オペレーションを使用して取得できます。このオペレーションは、現在の のアカウントの分類スコープの一意の識別子を含む、機密データ自動検出の現在の構成設定を取得します AWS リージョン。を使用している場合は AWS CLI、get-automated-discovery-configuration コマンドを実行してこの情報を取得します。

分類スコープを更新する準備ができたら、UpdateClassificationScope オペレーションを使用するか、 を使用している場合は update-classification-scope コマンド AWS CLIを実行します。リクエストでは、サポートされているパラメータを使用して、後続の分析で S3 バケットを除外または含めます。

  • 1 つ以上のバケットを除外するには、 bucketNamesパラメータに各バケットの名前を指定します。operation パラメータでは、ADD を指定します。

  • 以前に除外した 1 つ以上のバケットを含めるには、 bucketNamesパラメータに各バケットの名前を指定します。operation パラメータでは、REMOVE を指定します。

  • 現在のリストを除外するバケットの新しいリストで上書きするには、 operationパラメータREPLACEに を指定します。bucketNames パラメータには、除外する各バケットの名前を指定します。

bucketNames パラメータの各値は、現在のリージョンにある既存の汎用バケットのフルネームである必要があります。値は大文字と小文字が区別されます。リクエストが成功すると、Macie は分類スコープを更新し、空のレスポンスを返します。

次の例は、 を使用してアカウントの分類範囲 AWS CLI を更新する方法を示しています。最初の例のセットでは、2 つの S3 バケット (amzn-s3-demo-bucket1amzn-s3-demo-bucket2) を後続の分析から除外します。除外するバケットのリストにバケットが追加されます。

この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\) の行継続文字を使用しています。

$ aws macie2 update-classification-scope \
--id 117aff7ed76b59a59c3224ebdexample \
--s3 '{"excludes":{"bucketNames":["amzn-s3-demo-bucket1","amzn-s3-demo-bucket2"],"operation": "ADD"}}'

この例は Microsoft Windows 用にフォーマットされており、読みやすさを向上させるためにキャレット (^) の行継続文字を使用しています。

C:\> aws macie2 update-classification-scope ^
--id 117aff7ed76b59a59c3224ebdexample ^
--s3={\"excludes\":{\"bucketNames\":[\"amzn-s3-demo-bucket1\",\"amzn-s3-demo-bucket2\"],\"operation\":\"ADD\"}}

次の例のセットには、後続の分析でバケット (amzn-s3-demo-bucket1amzn-s3-demo-bucket2) が含まれます。除外するバケットのリストからバケットを削除します。Linux、macOS、Unix の場合:

$ aws macie2 update-classification-scope \
--id 117aff7ed76b59a59c3224ebdexample \
--s3 '{"excludes":{"bucketNames":["amzn-s3-demo-bucket1","amzn-s3-demo-bucket2"],"operation": "REMOVE"}}'

Microsoft Windows の場合:

C:\> aws macie2 update-classification-scope ^
--id 117aff7ed76b59a59c3224ebdexample ^
--s3={\"excludes\":{\"bucketNames\":[\"amzn-s3-demo-bucket1\",\"amzn-s3-demo-bucket2\"],\"operation\":\"REMOVE\"}}

次の例では、現在のリストを上書きし、除外する S3 バケットの新しいリストに置き換えます。新しいリストでは、除外する 3 つのバケットを指定します。amzn-s3-demo-bucketamzn-s3-demo-bucket2amzn-s3-demo-bucket3 です。Linux、macOS、Unix の場合:

$ aws macie2 update-classification-scope \
--id 117aff7ed76b59a59c3224ebdexample \
--s3 '{"excludes":{"bucketNames":["amzn-s3-demo-bucket","amzn-s3-demo-bucket2","amzn-s3-demo-bucket3"],"operation": "REPLACE"}}'

Microsoft Windows の場合:

C:\> aws macie2 update-classification-scope ^
--id 117aff7ed76b59a59c3224ebdexample ^
--s3={\"excludes\":{\"bucketNames\":[\"amzn-s3-demo-bucket\",\"amzn-s3-demo-bucket2\",\"amzn-s3-demo-bucket3\"],\"operation\":\"REPLACE\"}}

機密データ自動検出からのマネージドデータ識別子の追加または削除

マネージドデータ識別子は、クレジットカード番号、 AWS シークレットアクセスキー、特定の国や地域のパスポート番号など、特定のタイプの機密データを検出するように設計された一連の組み込み基準と手法です。デフォルトでは、Amazon Macie は、機密データ自動検出に推奨するマネージドデータ識別子のセットを使用して S3 オブジェクトを分析します。これらの識別子のリストを確認するには、「機密データの自動検出のデフォルト設定」を参照してください。

特定の種類の機密データに焦点を当てるように分析を調整できます。

  • Macie が検出および報告する機密データのタイプのマネージドデータ識別子を追加する

  • Macie が検出して報告しない機密データのタイプのマネージドデータ識別子を削除する

Macie が現在提供しているすべてのマネージドデータ識別子の完全なリストとそれぞれの詳細については、「」を参照してくださいマネージドデータ識別子の使用

マネージドデータ識別子 ID を削除しても、その変更は既存の機密データ検出統計や S3 バケットの詳細には影響しません。例えば、 AWS シークレットアクセスキーのマネージドデータ識別子を削除し、Macie が以前にバケット内でそのデータを検出していた場合、Macie は引き続きその検出結果を報告します。ただし、この識別子を削除すると、すべてのバケットのその後の分析が影響を受けるため、その代わりに特定のバケットのみの機密スコアからそのタイプの検出を除外することを検討してください。詳細については、「S3 バケットの機密スコアを調整する」を参照してください。

機密データ自動検出からマネージドデータ識別子を追加または削除するには

Amazon Macie コンソールまたは Amazon Macie API を使用して、マネージドデータ識別子を追加または削除できます。

Console

Amazon Macie コンソールを使用してマネージドデータ識別子を追加または削除するには、次の手順に従います。

マネージドデータ識別子を追加または削除するには

  1. Amazon Macie コンソール (https://console.aws.amazon.com/macie/) を開きます。

  2. ページの右上隅にある AWS リージョン セレクターを使用して、分析にマネージドデータ識別子を追加または削除するリージョンを選択します。

  3. ナビゲーションペインの [設定] で、[機密データ自動検出] を選択します。

    機密データ自動検出 ページが表示され、現在の設定が表示されます このページの [マネージドデータ識別子] セクションには、現在の設定が 2 つのタブに分かれて表示されます。

    • デフォルトに追加 — このタブには、追加したマネージドデータ識別子が一覧表示されます。Macie は、これらの識別子を、デフォルトセットに含まれていて削除されていないものと共に使用します。

    • デフォルトから削除 — このタブには、削除したマネージドデータ識別子が一覧表示されます。Macie は、これらの識別子を使用しません。

  4. [マネージドデータ識別子] セクションで [編集] を選択します。

  5. 次のいずれかを実行します。

    • 1 つ以上のマネージドデータ識別子を追加するには、[デフォルトに追加] タブを選択します。次に、テーブルで、追加する各マネージドデータ識別子のチェックボックスをオンにします。チェックボックスが既にオンになっている場合は、その識別子を既に追加しています。

    • 1 つ以上のマネージドデータ識別子を削除するには、[デフォルトから削除] タブを選択します。次に、テーブルで、削除する各マネージドデータ識別子のチェックボックスをオンにします。チェックボックスが既にオンになっている場合は、その識別子が既に削除されています。

    各タブには、Macie が現在提供しているすべてのマネージドデータ識別子のリストがテーブルに表示されます。表の最初の列で、各マネージドデータ識別子の ID を指定します。この ID は、識別子が検出する機密データのタイプを表します。例えば、米国のパスポート番号の場合、USA_PASSPORT_NUMBER などです。特定のマネージドデータ識別子をより簡単に検索するには、テーブルの上にある検索ボックスに検索条件を入力します。列見出しを選択して、テーブルを並べ替えることもできます。

  6. 完了したら、保存 を選択します。

API

マネージドデータ識別子をプログラムで追加または削除するには、Amazon Macie API を使用してアカウントの機密検査テンプレートを更新します。テンプレートには、デフォルトセットのマネージドデータ識別子に加えて、使用する (含める) マネージドデータ識別子を指定する設定が保存されます。また、使用しない (除外する) マネージドデータ識別子も指定します。この設定では、Macie で使用するカスタムデータ識別子と許可リストも指定します。

テンプレートを更新すると、現在の設定が上書きされます。したがって、まず現在の設定を取得し、保持する設定を決定することをお勧めします。現在の設定を取得するには、GetSensitivityInspectionTemplate オペレーションを使用します。 AWS Command Line Interface (AWS CLI) を使用している場合は、get-sensitivity-inspection-template コマンドを実行して設定を取得します。

テンプレートを取得または更新するには、一意の識別子 () を指定する必要がありますid。この識別子は、GetAutomatedDiscoveryConfiguration オペレーションを使用して取得できます。このオペレーションは、現在の のアカウントの機密検査テンプレートの一意の識別子を含む、機密データ自動検出の現在の構成設定を取得します AWS リージョン。を使用している場合は AWS CLI、get-automated-discovery-configuration コマンドを実行してこの情報を取得します。

テンプレートを更新する準備ができたら、UpdateSensitivityInspectionTemplate オペレーションを使用するか、 を使用している場合は update-sensitivity-inspection-template コマンド AWS CLIを実行します。リクエストでは、適切なパラメータを使用して、後続の分析から 1 つ以上のマネージドデータ識別子を追加または削除します。

  • マネージドデータ識別子の使用を開始するには、 managedDataIdentifierIdsパラメータの includesパラメータにその ID を指定します。

  • マネージドデータ識別子の使用を停止するには、 managedDataIdentifierIdsパラメータの excludesパラメータにその ID を指定します。

  • デフォルト設定を復元するには、 includesおよび excludesパラメータIDs を指定しないでください。その後、Macie はデフォルトセットにあるマネージドデータ識別子のみの使用を開始します。

マネージドデータ識別子のパラメータに加えて、適切なincludesパラメータを使用して、Macie が使用するカスタムデータ識別子 (customDataIdentifierIds) と許可リスト (allowListIds) を指定します。リクエストが適用されるリージョンも指定します。リクエストが成功すると、Macie はテンプレートを更新し、空のレスポンスを返します。

次の例は、 を使用してアカウントの機密検査テンプレート AWS CLI を更新する方法を示しています。この例では、1 つのマネージドデータ識別子を追加し、後続の分析から別のマネージドデータ識別子を削除します。また、使用する 2 つのカスタムデータ識別子を指定する現在の設定も維持します。

この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\) の行継続文字を使用しています。

$ aws macie2 update-sensitivity-inspection-template \
--id fd7b6d71c8006fcd6391e6eedexample \
--excludes '{"managedDataIdentifierIds":["UK_ELECTORAL_ROLL_NUMBER"]}' \
--includes '{"managedDataIdentifierIds":["STRIPE_CREDENTIALS"],"customDataIdentifierIds":["3293a69d-4a1e-4a07-8715-208ddexample","6fad0fb5-3e82-4270-bede-469f2example"]}'

この例は Microsoft Windows 用にフォーマットされており、読みやすさを向上させるためにキャレット (^) の行継続文字を使用しています。

C:\> aws macie2 update-sensitivity-inspection-template ^
--id fd7b6d71c8006fcd6391e6eedexample ^
--excludes={\"managedDataIdentifierIds\":[\"UK_ELECTORAL_ROLL_NUMBER\"]} ^
--includes={\"managedDataIdentifierIds\":[\"STRIPE_CREDENTIALS\"],\"customDataIdentifierIds\":[\"3293a69d-4a1e-4a07-8715-208ddexample\",\"6fad0fb5-3e82-4270-bede-469f2example\"]}

コードの説明は以下のとおりです。

  • fd7b6d71c8006fcd6391e6eedexample は、更新する機密検査テンプレートの一意の識別子です。

  • UK_ELECTORAL_ROLL_NUMBER は、使用を停止するマネージドデータ識別子の ID (除外) です。

  • STRIPE_CREDENTIALS は、使用を開始するマネージドデータ識別子の ID (含む) です。

  • 3293a69d-4a1e-4a07-8715-208ddexample および 6fad0fb5-3e82-4270-bede-469f2example は、使用するカスタムデータ識別子の一意の識別子です。

機密データ自動検出からのカスタムデータ識別子の追加または削除

カスタムデータ識別子は、機密データを検出するために定義する基準のセットです。基準は、一致するテキストパターン、オプションで文字シーケンス、結果を絞り込む近接ルールを定義する正規表現 (正規表現) から設定されています。詳細については、カスタムデータ識別子の構築を参照してください。

デフォルトでは、Amazon Macie は機密データ自動検出を実行する際にカスタムデータ識別子を使用しません。Macie に特定のカスタムデータ識別子を使用させる場合は、後続の分析に追加できます。次に、Macie は、Macie を使用するように設定したマネージドデータ識別子に加えて、カスタムデータ識別子を使用します。

カスタムデータ識別子を追加した場合、後で削除できます。この変更は、S3 バケットの既存の機密データ検出統計や詳細には影響しません。つまり、以前にバケットで検出されたカスタムデータ識別子を削除しても、Macie は引き続きこの検出結果を報告します。ただし、この識別子を削除すると、すべてのバケットのその後の分析が影響を受けるため、その代わりに特定のバケットのみの機密スコアからそのタイプの検出を除外することを検討してください。詳細については、「S3 バケットの機密スコアを調整する」を参照してください。

機密データ自動検出からカスタムデータ識別子を追加または削除するには

Amazon Macie コンソールまたは Amazon Macie API を使用して、カスタムデータ識別子を追加または削除できます。

Console

Amazon Macie コンソールを使用してカスタムデータ識別子を追加または削除するには、次の手順に従います。

カスタムデータ識別子を追加または削除するには

  1. Amazon Macie コンソール (https://console.aws.amazon.com/macie/) を開きます。

  2. ページの右上隅にある AWS リージョン セレクターを使用して、分析にカスタムデータ識別子を追加または削除するリージョンを選択します。

  3. ナビゲーションペインの [設定] で、[機密データ自動検出] を選択します。

    機密データ自動検出 ページが表示され、現在の設定が表示されます そのページの [カスタムデータ識別子] セクションには、追加したカスタムデータ識別子が一覧表示されているか、カスタムデータ識別子が追加されていないことが示されます。

  4. [カスタムデータ識別子] セクションで [編集] を選択します。

  5. 次のいずれかを実行します。

    • 1 つ以上のカスタムデータ識別子を追加するには、追加する各カスタムデータ識別子のチェックボックスをオンにします。チェックボックスが既にオンになっている場合は、その識別子を既に追加しています。

    • 1 つ以上のカスタムデータ識別子を削除するには、削除する各カスタムデータ識別子のチェックボックスをオフにします。チェックボックスが既にオフになっている場合、Macie は現在その識別子を使用しません。

    ヒント

    カスタムデータ識別子を選択する前にその識別子を確認またはテストするには、識別子の名前の横にあるリンクアイコン The link icon, which is a blue box that has an arrow in it. を選択します。Macie は、識別子の設定を表示するページを開きます。サンプルデータを使用して識別子をテストするには、そのページの [サンプルデータ] ボックスに最大 1,000 文字のテキストを入力します。次に [テスト] を選択します。Macie は、サンプルデータを評価して、一致の数を報告します。

  6. 完了したら、保存 を選択します。

API

カスタムデータ識別子をプログラムで追加または削除するには、Amazon Macie API を使用してアカウントの機密検査テンプレートを更新します。テンプレートには、機密データ自動検出を実行するときに Macie が使用するカスタムデータ識別子を指定する設定が保存されます。この設定では、使用するマネージドデータ識別子と許可リストも指定します。

テンプレートを更新すると、現在の設定が上書きされます。したがって、まず現在の設定を取得し、保持する設定を決定することをお勧めします。現在の設定を取得するには、GetSensitivityInspectionTemplate オペレーションを使用します。 AWS Command Line Interface (AWS CLI) を使用している場合は、get-sensitivity-inspection-template コマンドを実行して設定を取得します。

テンプレートを取得または更新するには、一意の識別子 () を指定する必要がありますid。この識別子は、GetAutomatedDiscoveryConfiguration オペレーションを使用して取得できます。このオペレーションは、現在の のアカウントの機密検査テンプレートの一意の識別子を含む、機密データ自動検出の現在の構成設定を取得します AWS リージョン。を使用している場合は AWS CLI、get-automated-discovery-configuration コマンドを実行してこの情報を取得します。

テンプレートを更新する準備ができたら、UpdateSensitivityInspectionTemplate オペレーションを使用するか、 を使用している場合は update-sensitivity-inspection-template コマンド AWS CLIを実行します。リクエストでは、 customDataIdentifierIdsパラメータを使用して、後続の分析から 1 つ以上のカスタムデータ識別子を追加または削除します。

  • カスタムデータ識別子の使用を開始するには、 パラメータに一意の識別子を指定します。

  • カスタムデータ識別子の使用を停止するには、 パラメータから一意の識別子を省略します。

追加のパラメータを使用して、Macie が使用するマネージドデータ識別子と許可リストを指定します。リクエストが適用されるリージョンも指定します。リクエストが成功すると、Macie はテンプレートを更新し、空のレスポンスを返します。

次の例は、 を使用してアカウントの機密検査テンプレート AWS CLI を更新する方法を示しています。この例では、後続の分析に 2 つのカスタムデータ識別子を追加します。また、マネージドデータ識別子のデフォルトセットと 1 つの許可リストを使用して、使用するマネージドデータ識別子と許可リストを指定する現在の設定も維持します。

この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\) の行継続文字を使用しています。

$ aws macie2 update-sensitivity-inspection-template \
--id fd7b6d71c8006fcd6391e6eedexample \
--includes '{"allowListIds":["nkr81bmtu2542yyexample"],"customDataIdentifierIds":["3293a69d-4a1e-4a07-8715-208ddexample","6fad0fb5-3e82-4270-bede-469f2example"]}'

この例は Microsoft Windows 用にフォーマットされており、読みやすさを向上させるためにキャレット (^) の行継続文字を使用しています。

C:\> aws macie2 update-sensitivity-inspection-template ^
--id fd7b6d71c8006fcd6391e6eedexample ^
--includes={\"allowListIds\":[\"nkr81bmtu2542yyexample\"],\"customDataIdentifierIds\":[\"3293a69d-4a1e-4a07-8715-208ddexample\",\"6fad0fb5-3e82-4270-bede-469f2example\"]}

コードの説明は以下のとおりです。

  • fd7b6d71c8006fcd6391e6eedexample は、更新する機密検査テンプレートの一意の識別子です。

  • nkr81bmtu2542yyexample は、使用する許可リストの一意の識別子です。

  • 3293a69d-4a1e-4a07-8715-208ddexample および 6fad0fb5-3e82-4270-bede-469f2example は、使用するカスタムデータ識別子の一意の識別子です。

機密データ自動検出の許可リストの追加または削除

Amazon Macie では、許可リストによって、Macie が機密データの S3 オブジェクトを検査する際に無視する特定のテキストまたはテキストパターンを定義します。テキストが許可リストのテキストまたはパターンと一致する場合、Macie はテキストを報告しません。これは、テキストがマネージドデータ識別子またはカスタムデータ識別子の基準と一致する場合も当てはまります。詳細については、「許可リストでの機密データの例外の定義」を参照してください。

デフォルトでは、Macie は機密データ自動検出を実行する際に許可リストを使用しません。Macie に特定の許可リストを使用させる場合は、後続の分析に追加できます。許可リストを追加した場合、後で削除できます。

機密データ自動検出で許可リストを追加または削除するには

Amazon Macie コンソールまたは Amazon Macie API を使用して、許可リストを追加または削除できます。

Console

Amazon Macie コンソールを使用して許可リストを追加または削除するには、次の手順に従います。

許可リストを追加または削除するには

  1. Amazon Macie コンソール (https://console.aws.amazon.com/macie/) を開きます。

  2. ページの右上隅にある AWS リージョン セレクターを使用して、分析から許可リストを追加または削除するリージョンを選択します。

  3. ナビゲーションペインの [設定] で、[機密データ自動検出] を選択します。

    機密データ自動検出 ページが表示され、現在の設定が表示されます そのページでは、既に追加した許可リストが [許可リスト] セクションで指定されているか、許可リストを追加していないことが示されます。

  4. ストレージ セクションで、編集 を選択します。

  5. 次のいずれかを実行します。

    • 1 つ以上の許可リストを追加するには、追加する各許可リストのチェックボックスをオンにします。チェックボックスが既にオンになっている場合は、そのリストを既に追加しています。

    • 1 つ以上の許可リストを削除するには、削除する各許可リストのチェックボックスをオフにします。チェックボックスが既にオフになっている場合、Macie は現在そのリストを使用しません。

    ヒント

    許可リストを追加または削除する前にその設定を確認するには、リスト名の横にあるリンクアイコン The link icon, which is a blue box that has an arrow in it. を選択します。Macie は、リストの設定を表示するページを開きます。リストで正規表現 (正規表現)を指定する場合は、このページを使用してサンプルデータでその正規表現を確認することもできます。これを行うには、テキスト (最大 1,000 文字) を サンプルデータ ボックスに入力し、次に テスト を選択します。Macie は、サンプルデータを評価して、一致の数を報告します。

  6. 完了したら、保存 を選択します。

API

プログラムで許可リストを追加または削除するには、Amazon Macie API を使用してアカウントの機密検査テンプレートを更新します。テンプレートには、機密データ自動検出を実行するときに Macie が使用する許可リストを指定する設定が保存されます。この設定では、使用するマネージドデータ識別子とカスタムデータ識別子も指定します。

テンプレートを更新すると、現在の設定が上書きされます。したがって、まず現在の設定を取得し、保持する設定を決定することをお勧めします。現在の設定を取得するには、GetSensitivityInspectionTemplate オペレーションを使用します。 AWS Command Line Interface (AWS CLI) を使用している場合は、get-sensitivity-inspection-template コマンドを実行して設定を取得します。

テンプレートを取得または更新するには、一意の識別子 () を指定する必要がありますid。この識別子は、GetAutomatedDiscoveryConfiguration オペレーションを使用して取得できます。このオペレーションは、現在の のアカウントの機密検査テンプレートの一意の識別子を含む、機密データ自動検出の現在の構成設定を取得します AWS リージョン。を使用している場合は AWS CLI、get-automated-discovery-configuration コマンドを実行してこの情報を取得します。

テンプレートを更新する準備ができたら、UpdateSensitivityInspectionTemplate オペレーションを使用するか、 を使用している場合は update-sensitivity-inspection-template コマンド AWS CLIを実行します。リクエストでは、 allowListIdsパラメータを使用して、後続の分析から 1 つ以上の許可リストを追加または削除します。

  • 許可リストの使用を開始するには、 パラメータに一意の識別子を指定します。

  • 許可リストの使用を停止するには、 パラメータから一意の識別子を省略します。

追加のパラメータを使用して、Macie が使用するマネージドデータ識別子とカスタムデータ識別子を指定します。リクエストが適用されるリージョンも指定します。リクエストが成功すると、Macie はテンプレートを更新し、空のレスポンスを返します。

次の例は、 を使用してアカウントの機密検査テンプレート AWS CLI を更新する方法を示しています。この例では、後続の分析に許可リストを追加します。また、使用するマネージドデータ識別子とカスタムデータ識別子を指定する現在の設定も維持します。デフォルトのマネージドデータ識別子のセットと 2 つのカスタムデータ識別子を使用します。

この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\) の行継続文字を使用しています。

$ aws macie2 update-sensitivity-inspection-template \
--id fd7b6d71c8006fcd6391e6eedexample \
--includes '{"allowListIds":["nkr81bmtu2542yyexample"],"customDataIdentifierIds":["3293a69d-4a1e-4a07-8715-208ddexample","6fad0fb5-3e82-4270-bede-469f2example"]}'

この例は Microsoft Windows 用にフォーマットされており、読みやすさを向上させるためにキャレット (^) の行継続文字を使用しています。

C:\> aws macie2 update-sensitivity-inspection-template ^
--id fd7b6d71c8006fcd6391e6eedexample ^
--includes={\"allowListIds\":[\"nkr81bmtu2542yyexample\"],\"customDataIdentifierIds\":[\"3293a69d-4a1e-4a07-8715-208ddexample\",\"6fad0fb5-3e82-4270-bede-469f2example\"]}

コードの説明は以下のとおりです。

  • fd7b6d71c8006fcd6391e6eedexample は、更新する機密検査テンプレートの一意の識別子です。

  • nkr81bmtu2542yyexample は、使用する許可リストの一意の識別子です。

  • 3293a69d-4a1e-4a07-8715-208ddexample および 6fad0fb5-3e82-4270-bede-469f2example は、使用するカスタムデータ識別子の一意の識別子です。