翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
機密データ検出ジョブの範囲のオプション
機密データ検出ジョブでは、Amazon Macie が Amazon Simple Storage Service (Amazon S3) 汎用バケットで機密データを検出してレポートするために実行する分析の範囲を定義します。これを行うために、Macie では、ジョブを作成および設定するときに選択できるジョブ固有のオプションがいくつか用意されています。
S3 バケット (複数または単一) 条件
機密データ検出ジョブを作成する際、ジョブの実行時に Macie で分析するオブジェクトが保存されている S3 バケットを指定します。これを行うには、バケットインベントリから特定の S3 バケットを選択する方法と、S3 バケットのプロパティから派生するカスタム基準を指定する方法の 2 つの方法があります。
- 特定の S3 バケットを選択する
-
このオプションでは、分析する各 S3 バケットを明示的に選択します。次に、ジョブが実行されると、Macie によって、選択したバケット内のオブジェクトのみが分析されます。毎日、毎週、または毎月ベースで定期的に実行するようにジョブを設定すると、Macie はジョブが実行されるたびに同じバケット内のオブジェクトを分析します。
この設定は、特定のデータセットを対象とした分析を実行する場合に便利です。これにより、ジョブが分析するバケットの正確かつ予測可能な制御が可能になります。
- S3 バケット基準を指定する
-
このオプションでは、分析する S3 バケットを決定するランタイム基準を定義します。基準は、パブリックアクセス設定やタグなど、バケットプロパティから派生する 1 つ以上の条件で設定されます。ジョブが実行されると、Macie は条件に一致するバケットを識別し、それらのバケット内のオブジェクトを分析します。ジョブを定期的に実行するように設定した場合、Macie はジョブが実行されるたびにこれを行います。そのため、Macie は、バケットインベントリの変更と定義した基準に応じて、ジョブが実行されるたびに異なるバケット内のオブジェクトを分析する場合があります。
この設定は、分析範囲をバケットインベントリへの変更に動的に適応させる場合に便利です。バケット基準を使用して定期的に実行するようにジョブを設定すると、Macie は基準に一致する新しいバケットを自動的に識別し、それらのバケットに機密データがないか検査します。
このセクションのトピックでは、各オプションに関する追加の詳細を提供します。
特定のバケットを選択する
ジョブで分析する各 S3 バケットを明示的に選択すると、Macie は現在の の汎用バケットのインベントリを提供します AWS リージョン。次に、インベントリを確認し、必要なバケットを選択できます。お客様が組織の Macie 管理者である場合、インベントリには、メンバーアカウントが所有するバケットが含まれます。これらのバケットは最大 1,000 個まで選択でき、最大 1,000 個のアカウントで設定されます。
バケットの選択を支援するために、インベントリは各バケットの詳細と統計を提供します。これには、ジョブが各バケットで分析できるデータ量が含まれます。分類可能なオブジェクトとは、サポートされているAmazon S3ストレージクラスを使用し、サポートされているファイルまたはストレージフォーマットのファイル名拡張子を持つオブジェクトです。インベントリは、バケット内のオブジェクトを分析するように既存のジョブが設定されているかどうかも示します。これらの詳細は、ジョブの幅を推定し、バケットの選択を絞り込むのに役立ちます。
インベントリテーブルには、以下があります。
-
機密性 - 機密データ自動検出が有効になっている場合、バケットの現在の機密性スコアを指定します。
-
分類可能なオブジェクト - ジョブがバケット内で分析できるオブジェクトの合計数を指定します。
-
分類可能なサイズ - ジョブがバケット内で分析できるすべてのオブジェクトの合計ストレージサイズを指定します。
バケットに圧縮オブジェクトが格納されている場合、この値は、解凍後のこれらのオブジェクトの実際のサイズを反映していません。バケットでバージョニングが有効化されている場合、この値は、バケット内の各オブジェクトの最新バージョンのストレージサイズに基づきます。
-
ジョブによるモニタリング - バケット内のオブジェクトを毎日、毎週、または毎月ベースで定期的に分析するように既存のジョブが設定されているかどうかを指定します。
このフィールドの値が はいの場合、バケットが定期的なジョブに明示的に含まれるか、バケットが過去 24 時間以内の定期的なジョブの基準に一致したことになります。さらに、それらのジョブの少なくとも 1 つのステータスは キャンセルされません。Macie は毎日ベースでこのデータを更新します。
-
最新のジョブ実行 — バケット内のオブジェクトを分析するように定期ジョブまたは 1 回限りのジョブを設定した場合、このフィールドは、これらのジョブのいずれかの実行が開始された最新の時刻を指定します。それ以外の場合は、このフィールドにはダッシュ (–) が表示されます。
情報アイコン (
) が任意のバケット名の横に表示される場合、Amazon S3 から最新のバケットメタデータを取得することをお勧めします。これを行うには、テーブルの上の更新(
) を選択します。情報アイコンは、Macie が毎日の更新サイクルの一部として Amazon S3 からバケットとオブジェクトのメタデータをおそらく最後に取得した後の過去 24 時間にバケットが作成されたことを示します。詳細については、「データの更新」を参照してください。
警告アイコン
がバケットの名前の横に表示される場合、Macie はバケットまたはバケットのオブジェクトへのアクセスが許可されません。これは、ジョブがバケット内のオブジェクトを分析できなくなることを意味します。問題を調査するには、Amazon S3 内のバケットのポリシーとアクセス許可の設定を確認します。例えば、バケットには制限があるバケットポリシーが設定されている場合があります。詳細については、「Macie が S3 バケットおよびオブジェクトにアクセスすることを許可する」を参照してください。
ビューをカスタマイズし、特定のバケットをより簡単に検索するには、フィルターボックスにフィルター条件を入力してテーブルをフィルタリングできます。例をいくつか、次のテーブルに示します。
| ...のすべてのバケットを表示するには | ...でこのフィルターを適用 |
|---|---|
| 特定のアカウントによって所有されている | アカウント ID= the 12-digit ID for the account (アカウントの 12 桁の ID) |
| パブリックアクセス可能である | 有効なアクセス許可 = パブリック |
| 定期的なジョブには含まれない | ジョブによって積極的にモニタリングされる= False |
| 定期的または 1 回限りのジョブに含まれない | ジョブで定義されている= (False) |
| 特定のタグキーを持っている* | タグキー= そのタグキー |
| 特定のタグ値を持っている* | タグ値= そのタグ値 |
| 暗号化されていないオブジェクト (またはクライアント側の暗号化を使用するオブジェクト) を保存する | 暗号化によるオブジェクトカウントは、暗号化なしおよび From = 1 |
* タグのキーと値は大文字と小文字が区別されます。また、完全で有効な値を指定する必要があります。部分的な値を指定したり、ワイルドカード文字を使用したりすることはできません。
バケットに関する追加の詳細を表示するには、バケットの名前を選択して、詳細パネルを参照します。パネルでは、次の操作もできます。
-
フィールドの拡大鏡を選択して、特定のフィールドでピボットしてドリルダウンします。同じ値を持つバケットを表示するには
、 を選択します。他の値を持つバケットを表示するには 
、 を選択します。 -
バケット内のオブジェクトの最新のメタデータを取得します。これは、バケットを最近作成したり、過去 24 時間にバケットのオブジェクトに重要な変更を行った場合に役立ちます。データを取得するには、パネルの オブジェクト統計セクションで更新
を選択します。このオプションは、30,000 個以下のオブジェクトが格納されているバケットで使用できます。
場合によっては、パネルにバケットのすべての詳細が含まれないことがあります。これは、Amazon S3 に 10,000 を超えるバケットを保存した場合に発生する可能性があります。Macie は、アカウントに対して 10,000 バケットのみの完全なインベントリデータを保持します。これは、最近作成または変更された 10,000 バケットです。ただし、このクォータを超えるバケット内のオブジェクトを分析するようにジョブを設定できます。これらのバケットの追加の詳細を確認するには、Amazon S3 を使用します。
S3 バケット基準の指定
ジョブのバケット基準を指定することを選択した場合、Macie は基準を定義およびテストするためのオプションを提供します。これらは、分析するオブジェクトが格納されている S3 バケットを特定するランタイム基準です。ジョブが実行されるたびに、基準に一致する汎用バケットが識別され、適切なバケット内のオブジェクトが分析されます。お客様が組織の Macie 管理者である場合、これには、お客さまのメンバーアカウントが所有するバケットが含まれます。
バケット基準の定義
バケット基準は、S3 バケットのプロパティから派生する 1 つ以上の基準で設定されます。各条件は、基準とも呼ばれ、以下の設定要素があります。
-
アカウント IDまたは 有効なアクセス許可 などの、プロパティベースのフィールド。
-
演算子で、と等しい
eqまたは 等しくないneqのいずれか。 -
1 つまたは複数の値。
-
含むまたは除外ステートメント。条件に一致するバケットを分析する (含む) かスキップする (除外) かどうかを示します。
フィールドに複数の値を指定した場合、Macie は OR ロジックを使用して値を結合します。基準に複数の条件を指定した場合、Macie は AND ロジックを使用して条件を結合します。また、除外条件は 含む条件よりも優先されます。たとえば、パブリックアクセス可能なバケットを含めて、特定のタグを持つバケットを除外する場合、ジョブは、バケットに指定されたタグのいずれかがない限り、パブリックアクセス可能なバケット内のオブジェクトを分析します。
S3 バケットの次のプロパティベースのフィールドのいずれかから派生する条件を定義できます。
- アカウント ID
-
バケットを所有 AWS アカウント する の一意の識別子 (ID)。このフィールドに複数の値を指定するには、各アカウントの ID を入力し、各エントリをカンマで区切ります。
また、Macie はこのフィールドのワイルドカード文字または部分的な値の使用をサポートしていないことに注意してください
- バケット名
-
バケットの名前。このフィールドは、Amazon S3 内の、Amazon Resource Name (ARN) (Amazon リソースネーム (ARN)) フィールドではなく、名前フィールドに関連します。このフィールドに複数の値を指定するには、各バケットの名前を入力し、各エントリをカンマで区切ります。
values (値) では、大文字と小文字が区別されることに注意してください。また、Macie はこのフィールドのワイルドカード文字または部分的な値の使用をサポートしていません。
- 有効なアクセス許可
-
バケットがパブリックアクセス可能かどうかを指定します。このフィールドには、次の値を 1 つ以上選択できます。
-
パブリックではない— 一般ユーザーは、バケットへの読み取りまたは書き込みのアクセス権を持っていません。
-
パブリック— 一般ユーザーは、バケットへの読み取りまたは書き込みのアクセス権を持っています。
-
不明— Macie はバケットのパブリックアクセス設定を評価できませんでした。問題またはクォータにより、Macie は必要なデータを取得して評価できませんでした。
バケットがパブリックアクセス可能かどうかを判断するため、Macie はバケットのアカウントレベルとバケットレベルの設定、アカウントのブロックパブリックアクセスの設定、バケットのブロックパブリックアクセスの設定、バケットのバケットポリシー、およびバケットのアクセスコントロールリスト (ACL) の組み合わせを分析します。これらの設定の詳細については、「Amazon Simple Storage Service ユーザーガイド」の「Amazon S3 ストレージへのアクセスコントロールとパブリックアクセスのブロック」を参照してください。 Amazon S3
-
- 共有アクセス
-
バケットを別の 、Amazon CloudFront オリジンアクセスアイデンティティ (OAI) AWS アカウント、または CloudFront オリジンアクセスコントロール (OAC) と共有するかどうかを指定します。このフィールドには、次の値を 1 つ以上選択できます。
-
外部 — バケットは、CloudFront OAI、CloudFront OAC、または組織の外部 (一部ではない) のアカウントの 1 つ以上、またはそれらの任意の組み合わせと共有されます。
-
内部 — バケットは組織の内部にある (一部である) 1 つ以上のアカウントと共有されます。CloudFront の OAI や OAC とは共有されません。
-
共有なし — バケットは別のアカウント、CloudFront OAI、または CloudFront OAC と共有されていません。
-
不明— Macie はバケットの共有アクセス設定を評価できませんでした。問題またはクォータにより、Macie は必要なデータを取得して評価できませんでした。
バケットが別のバケットと共有されているかどうかを判断するために AWS アカウント、Macie はバケットのバケットポリシーと ACL を分析します。さらに、組織は、 を通じて、 AWS Organizations または Macie の招待によって関連アカウントのグループとして一元管理される一連の Macie アカウントとして定義されます。バケットを共有するための Amazon S3 オプションの詳細については、「Amazon Simple Storage Service ユーザーガイド」の「アクセスコントロール」を参照してください。
バケットが CloudFront OAA または OAC と共有されているかを決定するために、Macie はバケットのポリシーを分析します。CloudFront OAI または OAC を使用すると、ユーザーは 1 つ以上の指定された CloudFront ディストリビューションを介してバケットのオブジェクトにアクセスできます。詳細については、Amazon CloudFront デベロッパーガイドのAmazon S3 オリジンへのアクセスを制限するを参照してください。
-
- タグ
-
バケットに関連付けられているタグ。タグは、S3 バケットを含む特定のタイプの AWS リソースを定義して割り当てることができるラベルです。各タグは、必要なタグキーとオプションのタグ値で設定されています。S3 バケットのタグ付けの詳細については、Amazon Simple Storage Service ユーザーガイドのコスト配分 S3 バケットタグの使用を参照してください。
機密データ検出ジョブの場合、このタイプの条件を使用して、特定のタグキー、特定のタグ値、または特定のタグキーとタグ値 (ペアとして) を持つバケットを含めるか除外できます。以下に例を示します。
-
タグキーとして
Projectを指定し、条件でタグ値を指定しない場合、プロジェクトタグキーを持つバケットは、そのタグキーに関連付けられているタグ値に関係なく、条件の基準を満たします。 -
DevelopmentとTestをタグ値として指定し、条件でタグキーを指定しない場合、DevelopmentまたはTestのタグ値を持つバケットは、それらのタグ値に関連付けられているタグキーに関係なく、条件の基準と一致します。
タグのキーと値では、大文字と小文字が区別されます。また、Macie はタグ条件でのワイルドカード文字または部分的な値の使用をサポートしていません。
条件で複数のタグキーを指定するには、各タグキーを キーフィールドに入力し、各エントリをカンマで区切ります。条件で複数のタグ値を指定するには、各タグ値を 値フィールドに入力し、各エントリをカンマで区切ります。
Amazon S3 に 10,000 個を超えるバケットを保存する場合、Macie はすべてのバケットのタグデータを保持しないことに注意してください。Macie は、アカウントに対して 10,000 バケットのみの完全なインベントリデータを保持します。これは、最近作成または変更された 10,000 バケットです。他のすべてのバケットでは、関連するタグキーと値はインベントリデータに含まれません。つまり、等号 (
eq) 演算子を使用する条件では、バケットは特定のタグキーまたは値と一致しません。タグベースの条件に不等号 (neq) 演算子を指定すると、バケットは条件に一致することになります。 -
バケット基準のテスト
バケット基準を定義している間、結果をプレビューして基準をテストおよび絞り込むことができます。これを行うには、コンソールの条件の下に表示される 基準の結果のプレビューセクションを展開します。このセクションでは、現在条件に一致する最大 25 個の汎用バケットのテーブルを表示します。
この表はまた、ジョブが各バケットで分析できるデータ量についての洞察を提供します。分類可能なオブジェクトとは、サポートされているAmazon S3ストレージクラスを使用し、サポートされているファイルまたはストレージフォーマットのファイル名拡張子を持つオブジェクトです。テーブルは、バケット内のオブジェクトを定期的に分析するように既存のジョブが設定されているかどうかも示します。
このテーブルの説明を以下に示します。
-
機密性 - 機密データ自動検出が有効になっている場合、バケットの現在の機密性スコアを指定します。
-
分類可能なオブジェクト - ジョブがバケット内で分析できるオブジェクトの合計数を指定します。
-
分類可能なサイズ - ジョブがバケット内で分析できるすべてのオブジェクトの合計ストレージサイズを指定します。
バケットに圧縮オブジェクトが格納されている場合、この値は、解凍後のこれらのオブジェクトの実際のサイズを反映していません。バケットでバージョニングが有効化されている場合、この値は、バケット内の各オブジェクトの最新バージョンのストレージサイズに基づきます。
-
ジョブによるモニタリング - バケット内のオブジェクトを毎日、毎週、または毎月ベースで定期的に分析するように既存のジョブが設定されているかどうかを指定します。
このフィールドの値が はいの場合、バケットが定期的なジョブに明示的に含まれるか、バケットが過去 24 時間以内の定期的なジョブの基準に一致したことになります。さらに、それらのジョブの少なくとも 1 つのステータスは キャンセルされません。Macie は毎日ベースでこのデータを更新します。
警告アイコン
がバケットの名前の横に表示される場合、Macie はバケットまたはバケットのオブジェクトへのアクセスが許可されません。これは、ジョブがバケット内のオブジェクトを分析できなくなることを意味します。問題を調査するには、Amazon S3 内のバケットのポリシーとアクセス許可の設定を確認します。例えば、バケットには制限があるバケットポリシーが設定されている場合があります。詳細については、Macie が S3 バケットおよびオブジェクトにアクセスすることを許可するを参照してください。
ジョブのバケット基準を絞り込むには、フィルターオプションを使用して、基準の条件を追加、変更、または削除します。Macie は、変更を反映するようにテーブルを更新します。
サンプリング深度
このオプションでは、機密データ検出ジョブで分析する適格な S3 オブジェクトのパーセンテージを指定します。適格なオブジェクトとは、サポートされている Amazon S3 ストレージクラスを使用し、サポートされているファイルまたはストレージ形式のファイル名拡張子を持つオブジェクトを有し、ジョブに指定するその他の条件を満たすオブジェクトです。
この値が 100% 未満の場合、Macie は、分析する適格なオブジェクトをランダムに選択し、指定されたパーセンテージまで、それらのオブジェクトのすべてのデータを分析します。たとえば、10,000 個のオブジェクトを分析するようにジョブを設定し、サンプリング深度を 20% に指定すると、Macie はジョブの実行時に、ランダムに選択した適格なオブジェクトを約 2,000 個分析します。
ジョブのサンプリング深度を下げると、コストを削減し、ジョブの所要時間を短縮できます。これは、オブジェクトのデータの一貫性が高く、各オブジェクトではなく S3 バケットに機密データが格納されているかどうかを判断する場合に便利です。
このオプションは、分析される バイトのパーセンテージではなく、分析される オブジェクトのパーセンテージを制御することに注意してください。100% 未満のサンプリング深度を入力すると、Macie は選択した各オブジェクトのデータのパーセンテージではなく、選択した各オブジェクトのすべてのデータを分析します。
初回実行: 既存の S3 オブジェクトを含める
機密データ検出ジョブを使用して、S3 バケット内のオブジェクトの継続的な増分分析を実行できます。定期的に実行するようにジョブを設定すると、Macie は自動的にこれを行います。各実行では、前の実行後に作成または変更されたオブジェクトのみが分析されます。既存のオブジェクトを含めるオプションでは、最初の増分の開始点を選択します。
-
ジョブの作成が完了した直後に既存のオブジェクトをすべて分析するには、このオプションのチェックボックスをオンにします。
-
ジョブの作成後、初回実行前に作成または変更されたオブジェクトのみを待機して分析するには、このオプションのチェックボックスをオフにします。
このチェックボックスをオフにすると、すでにデータを分析していて、定期的に分析を続ける場合に役立ちます。たとえば、以前は別のサービスやアプリケーションを使用してデータを分類していたが、最近Macieを使用し始めた場合、このオプションを使用することで、不必要なコストや分類データの重複を発生させることなく、データの検出と分類を継続できるようになります。
定期ジョブの後続の実行ごとに、前の実行後に作成または変更されたオブジェクトのみが自動的に分析されます。
定期的なジョブと 1 回限りのジョブの両方について、特定の時間の前後または特定の時間範囲の間に作成または変更されたオブジェクトのみを分析するためのジョブを設定することもできます。これを行うには、オブジェクトの最終更新日を使用する object criteria (オブジェクト基準) を追加します。
S3 オブジェクト基準
機密データ検出ジョブの範囲を微調整するには、S3 オブジェクトのカスタム条件を定義します。Macie は、これらの基準を使用して、ジョブの実行時に分析する (含む) オブジェクトまたはスキップする (除外する) オブジェクトを決定します。この基準は、S3 オブジェクトのプロパティから派生する 1 つ以上の条件で設定されます。条件は、分析に含まれるすべての S3 バケットのオブジェクトに適用されます。バケットにオブジェクトの複数のバージョンが格納されている場合、条件はオブジェクトの最新バージョンに適用されます。
複数の条件をオブジェクト基準として定義する場合、Macie は AND ロジックを使用して条件を結合します。また、除外条件は 含む条件よりも優先されます。たとえば、.pdf ファイル名拡張子を持つオブジェクトを含めて、5 MB を超えるオブジェクトを除外すると、オブジェクトが 5 MB を超えない限り、ジョブは .pdf ファイル名拡張子を持つ任意のオブジェクトを分析します。
S3 オブジェクトの次のプロパティのいずれかから派生する条件を定義できます。
- ファイル名拡張子
-
これは S3 オブジェクトのファイル名拡張子に関連します。このタイプの条件を使用して、ファイルタイプに基づいてオブジェクトを含めるか除外することができます。複数のタイプのファイルに対してこれを行うには、各タイプのファイル名拡張子を入力し、各エントリをカンマで区切ります。次に例を示します:
docx,pdf,xlsx。条件の値として複数のファイル名拡張子を入力すると、Macie は OR ロジックを使用して値を結合します。values (値) では、大文字と小文字が区別されることに注意してください。また、Macie はこのタイプの条件での部分的な値またはワイルドカード文字の使用をサポートしていません。
Macie が分析できるファイルのタイプの詳細については、サポートされているファイルおよびストレージ形式を参照してください。
- 最終更新日時
-
これは、Amazon S3 の 最終更新日時フィールドに関連します。Amazon S3 では、このフィールドには S3 オブジェクトが作成された日時、または最後に変更された日時のいずれか最新の日時が保存されます。
機密データ検出ジョブでは、この条件には、特定の日付、特定の日時、または唯一の時間範囲を指定できます。
-
特定の日付または日時の後に最後に変更されたオブジェクトを分析するには、From フィールドに値を入力します。
-
特定の日付または日時より前に最後に変更されたオブジェクトを分析するには、To フィールドに値を入力します。
-
特定の時間範囲の間に最後に変更されたオブジェクトを分析するには、From フィールドを使用して、時間範囲内の最初の日付または日時の値を入力します。To フィールドを使用して、時間範囲内の最後の日付または日時の値を入力します。
-
特定の 1 日の任意の時刻で最後に変更されたオブジェクトを分析するには、From フィールドに日付を入力します。To フィールドに次の日の日付を入力します 次に、両方の時間フィールドが空白であることを確認します。(Macie は空白の時間フィールドを
00:00:00として扱います。) たとえば、2023 年 8 月 9 日に変更されたオブジェクトを分析するには、[From] 日付フィールドに2023/08/09と入力し、[To] 日付フィールドに2023/08/10と入力し、どちらの時刻フィールドにも値を入力しません。
協定世界時 (UTC) に任意の時間値を入力し、24 時間表記を使用します。
-
- プレフィックス
-
これは、Amazon S3 の キーフィールドに関連します。Amazon S3 では、このフィールドには、オブジェクトのプレフィックスを含む S3 オブジェクトの名前が保存されます。プレフィックスは、バケット内のディレクトリパスと類似しています。これにより、類似ファイルをファイルシステム上のフォルダにまとめて保存する場合と同様に、バケット内の類似オブジェクトをまとめてグループ化できます。Amazon S3 のオブジェクトのプレフィックスとフォルダの詳細については、Amazon Simple Storage Service ユーザーガイドのフォルダを使用して Amazon S3 コンソールでオブジェクトを整理するを参照してください。
このタイプの条件を使用して、キー (名前) が特定の値で始まるオブジェクトを含めるか除外することができます。たとえば、キーが AWSLogs で始まるすべてのオブジェクトを除外するには、プレフィックス 条件の値として
AWSLogsと入力し、次に 除外 を選択します。条件の値として複数のプレフィックスを入力すると、Macie は OR ロジックを使用して値を結合します。たとえば、条件の値として
AWSLogs1とAWSLogs2を入力した場合、キーが AWSLogs1またはAWSLogs2で始まるすべてのオブジェクトは、条件の基準と一致しています。プレフィックス条件で値を入力するときは、以下の点に注意してください。
-
値は大文字と小文字が区別されます。
-
Macie は、これらの値でのワイルドカード文字の使用をサポートしていません。
-
Amazon S3 では、オブジェクトのキーには、オブジェクトが格納されているバケットの名前は含まれません。このため、これらの値にはバケット名を指定しないでください。
-
プレフィックスに区切り文字が含まれている場合は、値に区切り文字を含めます。たとえば、AWSLogs/eventlogs で始まるキーを持つすべてのオブジェクトの条件を定義するには
AWSLogs/eventlogsと入力します。Macie は、スラッシュ (/) であるデフォルトの Amazon S3 区切り文字とカスタム区切り文字をサポートしています。
また、オブジェクトが条件の条件に一致するのは、オブジェクトのキーの最初の文字から入力した値と完全に一致する場合だけであることに注意してください。また、Macieは、オブジェクトのファイル名を含め、オブジェクトの完全な キー値に条件を適用します。
例えば、オブジェクトのキーがAWSLogs/eventlogs/testlog.csvで、条件に以下の値のいずれかを入力した場合、そのオブジェクトは条件の条件にマッチします:
-
AWSLogs -
AWSLogs/event -
AWSLogs/eventlogs/ -
AWSLogs/eventlogs/testlog -
AWSLogs/eventlogs/testlog.csv
しかし、もし
eventlogsを入力すると、オブジェクトは条件にマッチしません。—条件の値にキーの最初の部分であるAWSLogs/が含まれていないからです。同様に、awslogsを入力しても、大文字と小文字の違いにより、オブジェクトは条件に一致しない。 -
- ストレージサイズ
-
これは、Amazon S3 の サイズフィールドに関連します。Amazon S3 では、このフィールドは S3 オブジェクトの合計ストレージサイズを示します。オブジェクトが圧縮ファイルの場合、この値は解凍後のファイルの実際のサイズを反映しません。
このタイプの条件を使用して、特定のサイズより小さい、特定のサイズより大きい、または特定のサイズ範囲内にあるオブジェクトを含めるか除外することができます。Macie は、圧縮ファイルやアーカイブファイル、およびそれらに含まれるファイルなど、すべてのタイプのオブジェクトにこの条件を適用します。サポートされている各フォーマットのサイズベースの制限については、Macie のクォータを参照してください。
- タグ
-
S3オブジェクトに関連付けられたタグ。タグは、S3 オブジェクトを含む特定のタイプの AWS リソースを定義して割り当てることができるラベルです。各タグは、必要なタグキーとオプションのタグ値で設定されています。S3 オブジェクトのタグ付けの詳細については、Amazon Simple Storage Service ユーザーガイドのタグを使用してストレージを分類するを参照してください。
機密データ検出ジョブの場合、このタイプの条件を使用して、特定のタグを持つオブジェクトを含めるか除外できます。これは、特定のタグキー、または特定のタグキーとタグ値 (ペア) です。条件の値として複数のタグを指定すると、Macie は OR ロジックを使用して値を結合します。例えば、ある条件のタグキーとして、
Project1とProject2を指定した場合、Project1または Project2のタグキーを持つオブジェクトが、条件と一致します。タグのキーと値は大文字と小文字が区別されることに注意してください。また、Macie はこのタイプの条件での部分的な値またはワイルドカード文字の使用をサポートしていません。
