S3 バケットの機密スコアを調整する - Amazon Macie

S3 バケットの機密スコアを調整する

自動機密データ検出の統計、データ、その他の結果を確認して評価する際、Amazon Simple Storage Service (Amazon S3) バケットの機密性評価を微調整する必要がある場合があります。また、お客様または組織が特定のバケットに対して実行した調査の結果をキャプチャする必要がある場合もあるかもしれません。お客様が組織の Macie 管理者であるか、スタンドアロンの Macie アカウントをお持ちの場合は、個々のバケットの機密性スコアやその他の設定を調整して、これらの変更を行うことができます。お客様が組織のメンバーアカウントをお持ちの場合は、Macie 管理者と協力して、所有するバケットの設定を調整できます。このようなバケットの設定を調整できるのは、組織の Macie 管理者だけです。

お客様が Macie 管理者であるか、スタンドアロンの Macie アカウントをお持ちの場合は、次の方法で S3 バケットの設定を調整できます。

機密スコアを割り当てる

デフォルトでは、Amazon Macie はバケットの機密スコアを自動的に計算します。スコアは主に Macie がバケット内で検出した機密データ量、およびバケット内で分析したデータ量に基づいています。詳細については、S3 バケットの機密スコアを参照してください。

バケットの計算スコアを上書きし、手動で最大スコア(100)を割り当てることができます。これにより、バケットに機密ラベルも適用されます。これを行うと、Macie はバケットに対して引き続き機密データ自動検出を実行します。ただし、その後の分析はバケットのスコアには影響しません。スコアを再度自動的に計算するには、設定をもう一度変更してください。

ある機密データのタイプを機密スコアで除外または含める

自動計算の場合、バケットの機密スコアは、Macie がバケット内で検出した機密データ量の一部に基づいて算出されます。これは主に、Macie が検出した機密データタイプの性質と数、および各タイプの出現数から導き出されます。デフォルトでは、Macie は、バケットの機密スコアを計算する際、あらゆるタイプの機密データの出現回数を含めます。

特定のタイプの機密データをバケットのスコアから除外したり含めたりすることで、計算を調整できます。例えば、Macie がバケット内の郵送先住所を検出し、それが問題ないと判断した場合、そのバケットのスコアからすべての郵送先住所を除外できます。ある機密データタイプを除外した場合、Macie は引き続きバケットにそのタイプのデータがないか調べ、検出したデータの出現を報告します。ただし、このような出現はバケットのスコアには影響しません。スコアに機密データタイプを再度含めるには、設定を再度変更します。

また、後続の分析から S3 バケットを除外することもできます。バケットを除外した場合、バケットの既存の機密データ検出の統計と詳細は保持されます。例えば、バケットの現在の機密スコアは変更されません。ただし、Macie は、機密データ自動検出を実行する際、バケット内のオブジェクトの分析を停止します。バケットを除外する場合、そのバケットは後で再び含めることができます。

S3 バケットの設定を調整するには

S3 バケットの機密性スコアやその他の設定を調整するには、Amazon Macie コンソールまたは Amazon Macie API を使用します。設定をプログラムで変更するには、UpdateResourceProfile (バケットに機密スコアを割り当てる)、UpdateResourceProfileDetections (バケットのスコアで機密データタイプを除外または含める)、UpdateClassificationScope (後続の分析でバケットを除外または含める) の各オペレーションを使用します。

コンソールを使用して設定を調整するには、以下の手順に従います。

  1. Amazon Macie コンソール (https://console.aws.amazon.com/macie/) を開きます。

  2. ナビゲーションペインで、S3 バケットを選択します。S3 バケットページにはバケットインベントリが表示されます。

    デフォルトでは、分析から現在除外されているバケットのデータはこのページに表示されません。お客様が組織の Macie 管理者である場合、機密データの自動検出が現在無効になっているアカウントのデータも表示されません。このデータを表示するには、フィルターボックスの下にある [自動検出によってモニタリング] フィルタートークンで X を選択します。

  3. 設定を調整する S3 バケットを選択します。バケットは、テーブルビュー ( The table view button, which is a button that displays three black horizontal lines. ) またはインタラクティブマップ ( The map view button, which is a button that displays four black squares. ) を使用して選択できます。

  4. 詳細パネルで、次のいずれかの操作を実行します。

    • 計算された機密スコアを上書きしてスコアを手動で割り当てるには、[最大スコアの割り当て] ( A toggle switch with a gray background and the toggle positioned to the left. ) をオンにします。これによりバケットのスコアが 100 に変更され、機密ラベルがバケットに適用されます。

    • Macie が自動的に計算する機密スコアを割り当てるには、[最大スコアの割り当て] ( A toggle switch with a blue background and the toggle positioned to the right. ) をオフにします。

    • 機密スコアで特定の種類の機密データを除外または含めるには、[機密性] タブを選択します。[検出] テーブルで、除外または含める機密データタイプのチェックボックスを選択します。次に、[アクション] メニューで [スコアから除外] を選択してタイプを除外するか、[スコアに含める] を選択してタイプを含めます。

      表の [機密データタイプ] フィールドでは、データが検出されたマネージドデータ識別子またはカスタムデータ識別子を指定します。マネージドデータ識別子の場合、これは、識別子が検出するように設計された機密データのタイプを表す一意の識別子 (ID) です。例えば、米国のパスポート番号の場合、USA_PASSPORT_NUMBER です。各マネージドデータ識別子の詳細については、マネージドデータ識別子の使用を参照してください。

    • バケットを以降の分析から除外するには、[自動検出から除外 A toggle switch with a gray background and the toggle positioned to the left. ]をオンにします。

    • バケットを分析から除外していた場合、後続の分析にバケットを含めるには、[自動検出から除外] ( A toggle switch with a blue background and the toggle positioned to the right. ) をオフにします。

S3 バケットの機密性スコアに影響を与える設定を変更すると、Macie はすぐにスコアの再計算を開始します。Macie は、バケットと Amazon S3 データ全体に関して提供する関連性の高い統計やその他の情報も更新します。例えば、バケットに最大スコアを割り当てると、Macie はアカウントまたは組織の集約統計に含まれる機密バケットの数を増やします。