S3 バケットのデータ機密情報の確認 - Amazon Macie

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

S3 バケットのデータ機密情報の確認

機密データの自動検出が進むにつれて、Amazon Macie が各 Amazon Simple Storage Service (Amazon S3) バケットに関して提供する統計やその他の情報で詳細な結果を確認できます。お客様が組織の Macie 管理者である場合、これには、お客さまのメンバーアカウントが所有するバケットが含まれます。

統計およびその他の情報には、S3 バケットのデータのセキュリティとプライバシーに関する洞察を提供する詳細が含まれます。また、Macie がバケットに対してこれまでに実行した機密データ自動検出アクティビティの結果もキャプチャします。例えば、Macie がバケット内で分析したオブジェクトのリストを見つけることができます。Macie がバケット内で検出した機密データのタイプと出現回数の内訳も確認できます。このデータには、作成して実行する機密データ検出ジョブの結果は含まれません。

Macie は、機密データの自動検出を実行しながら、S3 バケットの統計と詳細を自動的に再計算して更新します。以下に例を示します。

  • Macie が S3 オブジェクト内に機密データを見つけられない場合、Macie はバケットの機密性スコアを下げ、必要に応じてバケットの機密ラベルを更新します。Macie は、分析用に選択したオブジェクトのリストにオブジェクトも追加します。

  • Macie が S3 オブジェクトで機密データを見つけると、Macie はそれらの出現を Macie がバケット内で見つけた機密データタイプの内訳に追加します。また、Macie は必要に応じてバケットの機密性スコアを上げ、バケットの機密ラベルを更新します。さらに、Macie は分析用に選択したオブジェクトのリストにオブジェクトを追加します。これらのタスクは、オブジェクトについて機密データの結果を作成する以外にも行われます。

  • Macie が S3 オブジェクト内で機密データを検出し、その後変更または削除された場合、Macie はバケットの機密データタイプの内訳からオブジェクトの機密データの出現を削除します。また、Macie は必要に応じてバケットの機密性スコアを下げ、バケットの機密ラベルを更新します。さらに、Macie は分析用に選択したオブジェクトのリストからオブジェクトを削除します。

  • Macie が S3 オブジェクトの分析を試みても、問題またはエラーにより分析が妨げられる場合、Macie は分析用に選択したオブジェクトのリストにオブジェクトを追加し、オブジェクトを分析できなかったことを示します。

お客様が組織の Macie 管理者であるか、スタンドアロンの Macie アカウントをお持ちの場合は、オプションでこれらの詳細を使用して、S3 バケットの特定の自動検出設定を評価および調整できます。たとえば、特定のタイプの機密データをバケットのスコアに含めたり除外したりできます。詳細については、S3 バケットの機密スコアを調整するを参照してください。

S3 バケットのデータ機密性の詳細を確認するには

S3 バケットのデータ機密性やその他の詳細を確認するには、Amazon Macie コンソールまたは Amazon Macie API を使用できます。コンソールの詳細パネルでは、この情報に一元的にアクセスできます。API を使用すると、データをプログラムで取得して処理できます。

Console

Amazon Macie コンソールを使用して S3 バケットのデータ機密性やその他の詳細を確認するには、次の手順に従います。

S3 バケットの詳細を確認するには

  1. Amazon Macie コンソール (https://console.aws.amazon.com/macie/) を開きます。

  2. ナビゲーションペインで、S3 バケットを選択します。S3 バケットページには、バケットインベントリのインタラクティブマップが表示されます。オプションで、ページの上部にあるテーブル The table view button, which is a button that displays three black horizontal lines. を選択すると、インベントリが表形式で表示されます。

    デフォルトでは、自動機密データ検出から現在除外されているバケットのデータはこのページに表示されません。お客様が組織の Macie 管理者である場合、機密データの自動検出が現在無効になっているアカウントのデータも表示されません。このデータを表示するには、フィルターボックスの下にある [自動検出によってモニタリング] フィルタートークンで X を選択します。

  3. Amazon S3 から最新のバケットメタデータを取得するには、ページの上部の [refresh] (更新) ( The refresh button, which is a button that displays an empty blue circle with an arrow. ) を選択します。

  4. 詳細を確認するバケットを選択します。詳細パネルには、バケットに関するデータ機密性統計およびその他の情報が表示されます。

パネルの上部には、バケットの名前、バケットを所有 AWS アカウント する のアカウント ID、バケットの現在の機密スコアなど、バケットに関する一般的な情報が表示されます。お客様が Macie 管理者であるか、スタンドアロンの Macie アカウントをお持ちの場合、バケットの特定の自動検出設定を変更するオプションも指定できます。その他の設定や情報は、以下のタブにまとめられています。

機密性 | バケットの詳細 | オブジェクトサンプル | 機密データ検出

各タブの個別の設定と情報は次のとおりです。

感性

このタブには、バケットの現在の機密性スコアが -1 から 100 の範囲で表示されます。Macie が定義する機密性スコアの範囲については、S3 バケットの機密スコアを参照してください。

このタブには、Macie がバケットのオブジェクト内で見つけた機密データのタイプと、各タイプの出現回数も表示されます。

  • 機密データタイプ — データを検出したマネージドデータ識別子の一意の識別子 (ID)、またはデータを検出したカスタムデータ識別子の名前。

    マネージドデータ識別子の ID は、検出する機密データのタイプを表します。例えば、米国のパスポート番号の場合は USA_PASSPORT_NUMBER です。各マネージドデータ識別子の詳細については、マネージドデータ識別子の使用を参照してください。

  • カウント — マネージドデータ識別子またはカスタムデータ識別子が検出したデータの出現数の合計。

  • スコアステータス – お客様が Macie 管理者か、スタンドアロンの Macie アカウントをお持ちの場合、このフィールドが表示されます。このフィールドでは、データの出現回数をバケットの機密性スコアに含めるか、除外するかを指定します。

    Macie がバケットのスコアを計算する場合、特定のタイプの機密データをスコアに含めるか除外することで計算を調整できます。含めるか除外する機密データを検出した識別子のチェックボックスを選択し、アクションメニューのオプションを選択します。詳細については、「S3 バケットの機密スコアを調整する」を参照してください。

Macie が現在バケットに保存されているオブジェクトに機密データを見つけられない場合、このセクションには [検出が見つかりません] というメッセージが表示されます。

Macie が分析した後に変更または削除されたオブジェクトのデータは、機密性タブには含まれないことに注意してください。分析後にオブジェクトが変更または削除されると、Macie は自動的に適切な統計とデータを再計算して更新し、オブジェクトを除外します。

バケットの詳細

このタブには、データセキュリティやプライバシー設定など、バケットの設定に関する詳細が表示されます。たとえば、バケットのパブリックアクセス設定の内訳を確認し、バケットがオブジェクトをレプリケートするか、他の AWS アカウントと共有するかを判断できます。

最終更新フィールドは、毎日の更新サイクルの一部として、Macie がバケットとバケットのオブジェクトの両方について Amazon S3 からメタデータを最後に取得した日時を示します。。[最新の自動検出実行] フィールドには、Macie が機密データ自動検出を実行中にバケット内のオブジェクトを最後に分析した日時が表示されます。この分析が実行されていない場合、このフィールドにはダッシュ (–) が表示されます。

タブは、Macie がバケット内で分析できるデータの量を評価するのに役立つオブジェクトレベルの統計も示します。また、機密データ検出ジョブがバケット内のオブジェクトを分析するように設定したかどうかも示されます。設定した場合は、最後に実行されたジョブに関する詳細にアクセスし、必要に応じてジョブが生成した検出結果を表示できます。

場合によっては、このタブにバケットのすべての詳細が含まれていないことがあります。これは、Amazon S3 に 10,000 を超えるバケットを保存した場合に発生する可能性があります。Macie は、アカウントに対して 10,000 バケットのみの完全なインベントリデータを保持します。これは、最近作成または変更された 10,000 バケットです。ただし、Macie はこのクォータを超えるバケット内のオブジェクトを分析できます。バケットの追加の詳細を確認するには、Amazon S3 を使用します。

このタブの情報の詳細については、S3 バケットの詳細を確認するを参照してください。

オブジェクトのサンプル

このタブには、バケットに対する機密データ自動検出を実行中、Macie が分析対象として選択したオブジェクトが一覧表示されます。オプションでオブジェクトの名前を選択すると、Amazon S3 コンソールが開き、オブジェクトのプロパティが表示されます。

リストには最大 100 のオブジェクトのデータが含まれます。このリストは、[オブジェクト機密性] フィールド、[機密性]、その次に [低機密性] 、その次に Macie が分析できなかったオブジェクトの値に基づいて入力されます。

リストの [オブジェクト機密性] フィールドには、Macie がオブジェクト内に次の機密データを見つけたかどうかが示されます。

  • 機密性 — Macie はオブジェクト内に少なくとも 1 つの機密データを検出しました。

  • 低機密性 — Macie はオブジェクト内に機密データを検出しませんでした。

  • (ダッシュ) — 問題またはエラーのため、Macie はオブジェクトの分析を完了できませんでした。

分類結果 フィールドには、Macie がオブジェクトを分析できたかどうかが表示されます。

  • Complete (完了) — Macie はオブジェクトの分析を完了しました。

  • 部分的 — Macie は問題またはエラーのため、オブジェクト内のデータのサブセットのみを分析しました。例えば、オブジェクトはサポートされていない形式のファイルを含むアーカイブファイルです。

  • スキップ — 問題またはエラーのため、Macie はオブジェクト内のデータを分析できませんでした。たとえば、オブジェクトは Macie が使用を許可されていないキーを用いて暗号化されます。

Macie が分析または分析を試みた後に変更または削除されたオブジェクトは、リストに含まれていないことに注意してください。Macie は、オブジェクトが後で変更または削除された場合、そのオブジェクトをリストから自動的に削除します。

機密データ検出

このタブには、バケットの集計機密データの自動検出統計が表示されます。

  • 分析されたバイト数 — Macie がバケット内で分析したデータの総量 (バイト単位)。

  • 分類可能 – バケット内で Macie が分析できるすべてのオブジェクトの合計ストレージサイズ。前のデータでは、オブジェクトがサポートされている Amazon S3 ストレージクラスを使用し、サポートされているファイルまたはストレージ形式のファイル名拡張子を持っている場合、オブジェクトは 分類可能です。詳細については、サポートされているストレージクラスとフォーマットを参照してください。

  • 検出数の合計 — Macie がバケット内で検出した機密データの出現数の合計。これには、バケットの機密性スコアリング設定によって現在抑制されているデータが含まれます。

分析されたオブジェクト チャートには、Macie がバケット内で分析したオブジェクトの総数が表示されます。また、Macie が機密データを見つけた、または見つけなかったオブジェクトの数も視覚的に表示されます。グラフの下の凡例には、これらの結果の内訳が示されています。

  • 機密性オブジェクト (赤) — Macie が機密データの出現を少なくとも 1 回検出したオブジェクトの総数。

  • 低機密性 オブジェクト (青) — Macie が機密データを検出しなかったオブジェクトの総数。

  • スキップされたオブジェクト (濃い灰色) — 問題またはエラーが原因で Macie が分析できなかったオブジェクトの総数。

グラフの凡例の下の領域には、特定のタイプのアクセス許可の問題や暗号化エラーが発生したために Macie がオブジェクトを分析できなかった事例の内訳が示されます。

  • スキップ済み: 無効な暗号化 – お客様が用意したキーで暗号化されたオブジェクトの総数。Macie はこのようなキーにアクセスできません。

  • スキップ: 無効な KMS – 使用できなくなった AWS Key Management Service (AWS KMS) キーで暗号化されたオブジェクトの合計数。これらのオブジェクトは、無効になっている AWS KMS keys 、削除がスケジュールされている、または削除された で暗号化されます。Macie はこのようなキーを使用できません。

  • スキップ済み: アクセスが許可されません — オブジェクトのアクセス許可設定、またはそのオブジェクトの暗号化に使用されたキーのアクセス許可設定により、Macie がアクセスできないオブジェクトの総数。

このような問題や発生する可能性があるその他のタイプの問題やエラーの詳細については、「カバレッジ問題を修正する」を参照してください。このような問題やエラーを修正すれば、その後の分析サイクルでバケットのデータのカバレッジを拡大できます。

機密データ検出 タブの統計には、Macie が分析または分析を試みた後に変更または削除されたオブジェクトのデータは含まれていません。Macie が分析または分析を試みた後にオブジェクトが変更または削除されると、Macie はこれらの統計を自動的に再計算してオブジェクトを除外します。

API

S3 バケットのデータ機密性やその他の詳細をプログラムで取得するには、いくつかのオプションがあります。適切なオプションは、取得する詳細によって異なります。

  • バケットの現在の機密スコアと集計された分析統計を取得するには、GetResourceProfile オペレーションを使用します。または、 AWS Command Line Interface (AWS CLI) を使用している場合は、get-resource-profile コマンドを実行します。統計には、Macie が分析したオブジェクトの数や、Macie が機密データを検出したオブジェクトの数などのデータが含まれます。

  • Macie がバケット内で検出した機密データのタイプと量の内訳を取得するには、ListResourceProfileDetections オペレーションを使用します。または、 を使用している場合は AWS CLI、list-resource-profile-detections コマンドを実行します。内訳には、各タイプの機密データを検出したマネージドデータ識別子またはカスタムデータ識別子に関する詳細も表示されます。

  • Macie が分析のためにバケットから選択した最大 100 個のオブジェクトのリストを取得するには、ListResourceProfileArtifacts オペレーションを使用します。または、 を使用している場合は AWS CLI、list-resource-profile-artifacts コマンドを実行します。リストには、オブジェクトごとに、オブジェクトの Amazon リソースネーム (ARN)、Macie がオブジェクトの分析を完了したかどうか、および Macie がオブジェクト内で機密データを検出したかどうかが指定されます。

リクエストで、 resourceArnパラメータを使用して、詳細を取得するバケットの ARN を指定します。を使用している場合は AWS CLI、 resource-arnパラメータを使用して ARN を指定します。

バケットのパブリックアクセス設定など、S3 バケットの詳細については、DescribeBuckets オペレーションを使用します。を使用している場合は AWS CLI、describe-buckets コマンドを実行してこれらの詳細を取得します。リクエストでは、オプションでフィルター条件を使用してバケットの名前を指定します。詳細な説明と例についてはS3 バケットインベントリをフィルタリングするを参照してください。

次の例は、 を使用して S3 バケットのデータ機密性の詳細 AWS CLI を取得する方法を示しています。この最初の例では、バケットの現在の機密スコアと集計された分析統計を取得します。

$ aws macie2 get-resource-profile --resource-arn arn:aws:s3:::amzn-s3-demo-bucket

arn:aws:s3::amzn-s3-demo-bucket はバケットの ARN です。リクエストが成功すると、次のような出力が表示されます。

{
    "profileUpdatedAt": "2024-11-21T15:44:46+00:00",
    "sensitivityScore": 83,
    "sensitivityScoreOverridden": false,
    "statistics": {
        "totalBytesClassified": 933599,
        "totalDetections": 3641,
        "totalDetectionsSuppressed": 0,
        "totalItemsClassified": 111,
        "totalItemsSensitive": 84,
        "totalItemsSkipped": 1,
        "totalItemsSkippedInvalidEncryption": 0,
        "totalItemsSkippedInvalidKms": 0,
        "totalItemsSkippedPermissionDenied": 0
    }
}

次の例では、Macie が S3 バケットで検出した機密データのタイプと、各タイプの出現回数の内訳を取得します。内訳では、データを検出したマネージドデータ識別子またはカスタムデータ識別子も指定します。また、スコアが Macie によって自動的に計算された場合、出現がバケットの機密スコアから現在除外されているかどうか (suppressed) も示します。

$ aws macie2 list-resource-profile-detections --resource-arn arn:aws:s3:::amzn-s3-demo-bucket

arn:aws:s3::amzn-s3-demo-bucket はバケットの ARN です。リクエストが成功すると、次のような出力が表示されます。

{
    "detections": [
        {
            "count": 8,
            "id": "AWS_CREDENTIALS",
            "name": "AWS_CREDENTIALS",
            "suppressed": false,
            "type": "MANAGED"
        },
        {
            "count": 1194,
            "id": "CREDIT_CARD_NUMBER",
            "name": "CREDIT_CARD_NUMBER",
            "suppressed": false,
            "type": "MANAGED"
        },
        {
            "count": 1194,
            "id": "CREDIT_CARD_SECURITY_CODE",
            "name": "CREDIT_CARD_SECURITY_CODE",
            "suppressed": false,
            "type": "MANAGED"
        },
        {
            "arn": "arn:aws:macie2:us-east-1:123456789012:custom-data-identifier/3293a69d-4a1e-4a07-8715-208ddexample",
            "count": 8,
            "id": "3293a69d-4a1e-4a07-8715-208ddexample",
            "name": "Employee IDs with keyword",
            "suppressed": false,
            "type": "CUSTOM"
        },
        {
            "count": 1237,
            "id": "USA_SOCIAL_SECURITY_NUMBER",
            "name": "USA_SOCIAL_SECURITY_NUMBER",
            "suppressed": false,
            "type": "MANAGED"
        }
    ]
}

この例では、Macie が分析のために S3 バケットから選択したオブジェクトのリストを取得します。オブジェクトごとに、リストには Macie がオブジェクトの分析を完了したかどうか、および Macie がオブジェクト内で機密データを検出したかどうかも示されます。

$ aws macie2 list-resource-profile-artifacts --resource-arn arn:aws:s3:::amzn-s3-demo-bucket

ここで、arn:aws:s3::amzn-s3-demo-bucket はバケットの ARN です。リクエストが成功すると、次のような出力が表示されます。

{
    "artifacts": [
        {
            "arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object1.csv",
            "classificationResultStatus": "COMPLETE",
            "sensitive": true
        },
        {
            "arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object2.xlsx",
            "classificationResultStatus": "COMPLETE",
            "sensitive": true
        },
        {
            "arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object3.json",
            "classificationResultStatus": "COMPLETE",
            "sensitive": true
        },
        {
            "arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object4.pdf",
            "classificationResultStatus": "COMPLETE",
            "sensitive": true
        },
        {
            "arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object5.zip",
            "classificationResultStatus": "PARTIAL",
            "sensitive": true
        },
        {
            "arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object6.vssx",
            "classificationResultStatus": "SKIPPED"
        }
    ]
}