機密データ自動検出のカバレッジデータを確認する - Amazon Macie

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

機密データ自動検出のカバレッジデータを確認する

機密データの自動検出によってカバレッジを確認および評価するには、Amazon Macie コンソールまたは Amazon Macie を使用できますAPI。コンソールと の両方が、現在の の Amazon Simple Storage Service (Amazon S3) 汎用バケットの分析の現在のステータスを示すデータAPIを提供します AWS リージョン。データには、分析に差異が生じる問題に関する情報が含まれています。

  • Macie がアクセスを許可されていないバケット。Macie はこれらのバケット内のオブジェクトを一切分析できません。バケットのアクセス許可設定により、Macie はバケットとバケットのオブジェクトにアクセスできなくなります。

  • 分類可能なオブジェクトが一切保存されていないバケット。Macie はこれらのバケット内のオブジェクトを一切分析できません。すべてのオブジェクトは、Macie がサポートしていない Amazon S3 ストレージクラスを使用しているか、Macie がサポートしていないファイルまたはストレージ形式のファイル名拡張子が付いています。

  • オブジェクトレベル分類エラーにより Macie が分析できなかったバケット。Macie は、これらのバケット内の 1 つ以上のオブジェクトを分析しようとしました。しかし、オブジェクトレベルのアクセス許可設定、オブジェクトコンテンツ、またはクォータに問題があったため、Macie はそのオブジェクトを分析できませんでした。

カバレッジデータは、毎日、機密データ自動検出が進行するたびに更新されます。ユーザーが組織の Macie 管理者である場合、データには、組織のメンバーアカウントによって所有されている S3 バケットの情報が含まれます。

注記

カバレッジデータには、作成して実行する機密データ検出ジョブの結果が明示的に含まれていません。ただし、機密データ自動検出に影響があるカバレッジ問題を修正すると、その後に実行する機密データ検出ジョブによってカバレッジも向上する可能性があります。ジョブのカバレッジを評価するには、ジョブの結果を確認します。ジョブのログイベントやその他の結果でカバレッジ問題が示された場合、機密データ自動検出の修正ガイダンスがいくつかの問題に対処するのに役立ちます。

機密データ自動検出のカバレッジデータを確認するには

機密データ自動検出のカバレッジデータを確認するには、Amazon Macie コンソールまたは Amazon Macie を使用できますAPI。コンソールでは、1 つのページに、現在のリージョン内の S3 汎用バケットすべてのカバレッジデータが統一ビューで表示されます。これには、各バケットで最近発生した問題のロールアップが含まれます。このページには、問題タイプ別にデータグループを確認するオプションもあります。特定のバケットの問題の調査を追跡するには、ページからカンマ区切り値 (CSV) ファイルにデータをエクスポートできます。

Console

Amazon Macie コンソールを使用してカバレッジデータを確認するには、次のステップに従います。

カバレッジデータを確認する

  1. で Amazon Macie コンソールを開きますhttps://console.aws.amazon.com/macie/

  2. ナビゲーションペインで リソースカバレッジ を選択します。

  3. リソースカバレッジ ページで、確認したいカバレッジデータのタイプに対応するタブを選択します。

    • All – アカウントのすべてのバケットを一覧表示します。各バケットの [問題] フィールドには、問題によって Macie がバケット内のオブジェクトを分析できなかったかどうかが示されます。このフィールドの値が なし の場合、Macie はバケットのオブジェクトを少なくとも 1 つ分析したか、または Macie がバケットのオブジェクト分析を試みていないことを意味します。問題がある場合、このフィールドに問題の性質と修正方法が表示されます。オブジェクトレベル分類エラーの場合、エラーの発生回数が (括弧内に) 表示されるケースもあります。

    • アクセス拒否 — Macie がアクセスを許可されていないバケットが一覧表示されます。これらのバケットの権限設定により、Macie はバケットとバケットのオブジェクトにアクセスできなくなります。この結果、Macie はバケット内のオブジェクトを分析できません。

    • 分類エラー — オブジェクトレベルの分類エラー (オブジェクトレベルの権限設定、オブジェクトコンテンツ、またはクォータに関する問題) が原因で Macie がまだ分析していないバケットが一覧表示されます。各バケットの [問題] フィールドには、発生して Macie がバケット内のオブジェクトを分析できなかった各タイプのエラーの性質が表示されます。また、各種エラーの修正方法も示します。エラーによっては、エラーの発生回数が (括弧内に) 表示される場合もあります。

    • 分類不可能 — 分類可能なオブジェクトが保存されていないために Macie が分析できないバケットが一覧表示されます。これらのバケット内のすべてのオブジェクトは、サポートされていない Amazon S3 ストレージクラスを使用しているか、サポートされていないファイルまたはストレージ形式のファイル名拡張子が付いています。この結果、Macie はバケット内のオブジェクトを分析できません。

  4. バケットでサポートされているデータをドリルダウンして確認するには、バケットの名前を選択します。次に、バケットに関する統計およびその他の情報については、詳細パネルを参照します。

  5. テーブルをCSVファイルにエクスポートするには、ページ上部の にエクスポートCSVを選択します。結果のCSVファイルには、テーブル内の各バケットのメタデータのサブセットが含まれ、最大 50,000 個のバケットが含まれます。このファイルには [カバレッジ問題] フィールドが含まれています。このフィールドの値は、問題によって Macie がバケット内のオブジェクトを分析できなかったかどうか、もしできなかった場合は、その問題の性質を示します。

API

プログラムでカバレッジデータを確認するには、Amazon Macie の DescribeBucketsオペレーションを使用して送信するクエリでフィルター条件を指定しますAPI。このオペレーションは、オブジェクトの配列を返します。各オブジェクトには、フィルター基準を満たす S3 汎用バケットに関する統計データおよびその他の情報が含まれます。

フィルター条件には、確認したいカバレッジデータのタイプに関する条件を含めます。

  • バケットの権限設定により Macie がアクセスできないバケットを特定するには、errorCode のフィールドの値が ACCESS_DENIED に等しいという条件を含めます。

  • Macie がアクセスを許可されていてまだ分析されていないバケットを特定するには、sensitivityScore のフィールドの値が 50 に等しく、errorCode のフィールドの値が ACCESS_DENIED に等しくないという条件を含めます。

  • すべてのバケットのオブジェクトがサポートされていないストレージクラスまたは形式を使用しているために Macie が分析できないバケットを特定するには、classifiableSizeInBytes のフィールドの値が 0 に等しく、sizeInBytes のフィールドの値が 0 より大きいという条件を含めます。

  • Macie が 1 つ以上のオブジェクトを分析したバケットを特定するには、sensitivityScore フィールドの値が 1~99 の範囲内にあるが、50 に等しくないという条件を含めます。手動で最大スコアを割り当てたバケットも含めるには、範囲を 1~100 にする必要があります。

  • オブジェクトレベルの分類エラーが原因で Macie がまだ分析していないバケットを特定するには、sensitivityScore のフィールドの値が -1 に等しいという条件を含めます。次に、特定のバケットで発生したエラーのタイプと数の内訳を確認するには、 GetResourceProfileオペレーションを使用します。

AWS Command Line Interface (AWS CLI) を使用している場合は、describe-buckets コマンドを実行して、送信するクエリでフィルター条件を指定します。特定の S3 バケットで発生したエラーのタイプと数の内訳を確認するには、 get-resource-profile コマンドを実行します。

例えば、次の AWS CLI コマンドはフィルター条件を使用して、バケットのアクセス許可設定のために Macie がアクセスを許可されていないすべての S3 バケットの詳細を取得します。

この例は Linux、macOS、または Unix 用にフォーマットされています。

$ aws macie2 describe-buckets --criteria '{"errorCode":{"eq":["ACCESS_DENIED"]}}'

この例は Microsoft Windows 用にフォーマットされています。

C:\> aws macie2 describe-buckets --criteria={\"errorCode\":{\"eq\":[\"ACCESS_DENIED\"]}}

リクエストが成功すると、Macie は buckets 配列を返します 配列には、現在の にあり AWS リージョン 、フィルター条件に一致する各 S3 バケットのオブジェクトが含まれます。

フィルター基準を満たす S3 バケットがない場合、Macie は空の buckets の配列を返します。

{
    "buckets": []
}

一般的な条件の例も含め、クエリでフィルター基準を指定する詳細については、S3 バケットインベントリをフィルタリングする を参照してください。

カバレッジの問題に対処するのに役立つ詳細については、「機密データ自動検出のカバレッジ問題を修正する」を参照してください。