機密データ自動検出を実行する

Amazon Simple Storage Service (Amazon S3) のデータ資産内の機密データがどこにあるかを広く把握するには、アカウントまたは組織の機密データを自動検出するように Amazon Macie を設定します。機密データ自動検出により、Macie は S3 バケットインベントリを継続的に評価し、サンプリング技術を使用してバケット内の代表的な S3 オブジェクトを識別して選択します。その後、Macie は選択したオブジェクトを取得して分析し、機密データがないか検査します。

デフォルトでは、Macie は、すべての S3 汎用バケットからオブジェクトを選択して分析します。お客様が組織の Macie 管理者である場合は、この対象に、メンバーアカウントが所有するバケット内のオブジェクトが含まれます。分析の範囲は、特定のバケットを除外して調整できます。例えば、通常 AWS ログ記録を保存するバケットを除外できます。お客様が Macie 管理者である場合は、追加のオプションとして、組織内の個々のアカウントの機密データ自動検出をケースバイケースで有効または無効にできます。

特定の種類の機密データに焦点を当てるように分析を調整できます。デフォルトでは、Macie は機密データ自動検出に推奨するマネージドデータ識別子のセットを使用して S3 オブジェクトを分析します。分析を調整するには、Macie が提供するマネージドデータ識別子、お客様が定義するカスタムデータ識別子、またはこの 2 つの組み合わせを使用するように Macie を設定します。また、指定した許可リストを使用するように Macie を設定して、分析を絞り込むこともできます。

分析が毎日進むにつれて、Macie は検出した機密データと実行した分析の記録を作成します。機密データ検出結果では、Macie が個々の S3 オブジェクト内で検出した機密データが報告され、機密データ検出結果では個々の S3 オブジェクトの分析に関する詳細が記録されます。Macie は、Amazon S3 データに関して提供する統計、インベントリデータ、およびその他の情報も更新します。例えば、コンソールのインタラクティブなヒートマップでは、データ資産全体のデータ機密性が視覚的に表示されます。

これらの機能は、Amazon S3 データ資産全体のデータ機密性を評価し、ドリルダウンして個々のアカウント、バケット、オブジェクトを調査して評価するのに役立つように設計されています。また、機密データ検出ジョブを実行することで、より詳細で即時に分析を行うべき箇所を判断するのにも役立ちます。Macie が提供する Amazon S3 データのセキュリティとプライバシーに関する情報と組み合わせることで、これらの機能を使用して、即時の修正が必要なケース (Macie が機密データを検出した一般にアクセス可能なバケットなど) を特定することもできます。

機密データ自動検出を設定して管理するには、アカウントがスタンドアロンの Macie アカウントまたは組織の Macie 管理者アカウントである必要があります。