機密データサンプルを取得するように Macie を設定する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

オプションで Amazon Macie を設定して使用し、Macie が個々の検出結果で報告する機密データのサンプルを取得して公開することができます。サンプルは、Macie が検出した機密データの性質を確認するのに役立ちます。また、影響を受ける Amazon Simple Storage Service (Amazon S3) オブジェクトとバケットの調査を調整するのにも役立ちます。アジアパシフィック (大阪) リージョンとイスラエル (テルアビブ) リージョンを除く、Macie が現在利用可能なすべての AWS リージョン で、機密データの取得と公開を行うことができます。

検出結果の機密データのサンプルを取得して公開すると、Macie は対応する機密データの検出結果のデータを使用して、影響を受ける S3 オブジェクト内の機密データの出現を見つけます。次に、Macie は該当オブジェクトからそれらの出現のサンプルを抽出します。Macie は、抽出されたデータを指定した AWS Key Management Service （AWS KMS) キーで暗号化し、暗号化されたデータをキャッシュに一時的に保存し、検出結果の結果にデータを返します。Macie は、運用上の問題を解決するために一時的に追加の保存が必要になった場合を除き、抽出と暗号化の直後に、データをキャッシュから完全に削除します。

検出結果についての機密データのサンプルを取得して公開するには、まず Macie アカウントの設定を構成し、有効にする必要があります。また、アカウントのためにサポートリソースと許可を設定する必要があります。このセクションのトピックでは、機密データのサンプルを取得して公開するように Macie を設定し、アカウントの設定ステータスを管理するプロセスについて説明します。

[開始する前に]

検出結果についての機密データのサンプルを取得して公開するように Amazon Macie を設定する前に、必要なリソースと許可を確実に備えているようにするために次のタスクを完了します。

機密データのサンプルを取得して公開するように Macie を既に設定しており、構成設定のみを変更したい場合、これらのタスクはオプションです。

ステップ 1: 機密データ検出の結果のリポジトリを設定する

検出結果の機密データのサンプルを取得して公開すると、Macie は対応する機密データの検出結果のデータを使用して、影響を受ける S3 オブジェクト内の機密データの出現を見つけます。そのため、機密データ検出の結果用のリポジトリを設定していることを確認することが重要です。そうしないと、Macie は、取得して公開したい機密データのサンプルを見つけることができません。

アカウントのためにこのリポジトリを設定済みであるかどうかを確認するには、Amazon Macie コンソールを使用します。ナビゲーションペインで [検出の結果] ([設定] の下にあります) を選択します。Amazon Macie APIの GetClassificationExportConfiguration オペレーションを使用して、プログラムでこのデータにアクセスすることもできます。機密データ検出の結果とこのリポジトリの設定方法の詳細については、「機密データ検出結果の保存と保持」を参照してください。

ステップ 2: 対象の S3 オブジェクトにアクセスする方法を決定する

対象の S3 オブジェクトにアクセスし、そこから機密データのサンプルを取得するには、2 つのオプションがあります。 AWS Identity and Access Management (IAM) ユーザー認証情報を使用するように Macie を設定できます。あるいは、Macie にアクセスを委任する IAM ロールを引き受けるように Macie を設定することもできます。いずれの設定も、組織のために委任された Macie 管理者アカウント、組織内の Macie メンバーアカウント、スタンドアロン Macie アカウントなど、あらゆるタイプの Macie アカウントで使用できます。Macie で設定を構成する前に、使用するアクセスメソッドを決定します。各メソッドのオプションと要件の詳細については、「サンプルを取得するための設定オプション」を参照してください。

IAM ロールを使用する予定がある場合は、Macie で設定を構成する前にロールを作成して設定します。また、ロールの信頼ポリシーと許可ポリシーが、Macie がロールを引き受けるためのすべての要件を満たしているようにしてください。アカウントが複数の Macie アカウントを一元的に管理する組織に属している場合は、まず Macie 管理者と協力して、アカウントのためにロールを設定するかどうか、またその設定方法を決定します。

ステップ 3: を設定する AWS KMS key

検出結果の機密データのサンプルを取得して公開すると、Macie は指定した AWS Key Management Service （AWS KMS) キーでサンプルを暗号化します。そのため、サンプルを暗号化するために使用する AWS KMS key を決定する必要があります。キーは、自分のアカウントの既存の KMS キーでも、別のアカウントが所有する既存の KMS キーでもかまいません。別のアカウントが所有するキーを使用する場合、キーの Amazon リソースネーム (ARN) を取得します。Macie で設定設定を入力するときに、この ARN を指定する必要があります。

KMS キーは、カスタマーマネージドキーで、対称暗号化キーである必要があります。また、Macie アカウント AWS リージョン と同じ で有効になっている単一リージョンキーである必要があります。KMS キーは、外部キーストアに格納できます。ただし、そのキーは、完全に AWS KMS内で管理されるキーよりも遅く、信頼性が低くなる可能性があります。レイテンシーまたは可用性の問題により、取得して公開したい機密データサンプルを Macie が暗号化できない場合、エラーが発生し、Macie は検出結果のサンプルを返しません。

さらに、キーのキーポリシーでは、適切なプリンシパル (IAM ロール、IAM ユーザー、または AWS アカウント) が次のアクションを実行することを許可する必要があります。

KMS キーの作成と設定については、「AWS Key Management Service デベロッパーガイド」の「KMS キーを作成する」を参照してください。KMS キーに対するアクセスを管理するためのキーポリシーの使用については、「AWS Key Management Service デベロッパーガイド」の「AWS KMSのキーポリシー」を参照してください。

ステップ 4: 許可を確認する

Macie で設定を構成する前に、必要な許可が付与されていることも確認してください。アクセス許可を確認するには、 AWS Identity and Access Management (IAM) を使用して、IAM ID にアタッチされている IAM ポリシーを確認します。次にこれらのポリシー内の情報を、実行が許可される必要がある次のアクションのリストと比較します。

必要なアクションを実行することが許可されていない場合は、 AWS 管理者にサポートを依頼してください。

Macie の設定の構成と有効化

必要なリソースと許可があることを確認したら、Amazon Macie で設定を構成し、アカウントのために設定を有効にすることができます。

アカウントが複数の Macie アカウントを一元的に管理する組織に属している場合は、アカウントのために設定を構成する前、または構成した後にその設定を変更する前に、次の点に留意してください。

各タイプのアカウントの設定オプションと要件の詳細については、「サンプルを取得するための設定オプション」を参照してください。

Macie で設定を構成し、アカウント用に設定を有効にするために、Amazon Macie コンソールまたは Amazon Macie API を使用できます。

Console

Amazon Macie コンソールを使用して設定を構成し、有効にするには、次のステップに従います。

Macie 設定を構成して有効にするには

1. Amazon Macie コンソール (https://console.aws.amazon.com/macie/) を開きます。

2. ページの右上隅にある AWS リージョン セレクターを使用して、Macie が機密データのサンプルを取得して公開するように設定して有効にするリージョンを選択します。

3. ナビゲーションペインの 設定 で、イベントの流れ を選択します。

4. 設定 セクションで、編集 を選択します。

5. ステータス で、有効 を選択します。

6. [アクセス] で、対象の S3 オブジェクトから機密データのサンプルを取得する際に使用するアクセスメソッドと設定を指定します。

   • Macie にアクセスを委任する IAM ロールを使用するには、[IAM ロールを引き受ける] を選択します。このオプションを選択すると、Macie は で作成および設定した IAM ロールを引き受けてサンプルを取得します AWS アカウント。[ロール名] ボックスで、ロールの名前を入力します。

   • サンプルをリクエストする IAM ユーザーの認証情報を使用するには、[IAM ユーザー認証情報を使用] を選択します。このオプションを選択した場合、アカウントの各ユーザーは、個別の IAM ID を使用してサンプルを取得します。

7. 暗号化で、取得 AWS KMS key される機密データサンプルの暗号化に使用する を指定します。

   • 自分のアカウントに KMS キーを使用するには、[アカウントからキーを選択] を選択します。そして、AWS KMS key リストからユーザー名を選択します。リストには、アカウントの既存の対称暗号化 KMS キーが表示されます。

   • 別のアカウントが所有し、使用が許可されている KMS キーを使用するには、[別のアカウントのキーの ARN を入力] を選択します。次に、AWS KMS key ARN ボックスに、使用するキーの Amazon リソースネーム (ARN) を入力します。例えば、arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

8. 設定の入力が完了したら、Save (保存) を選択します。

Macie は設定をテストして、それらが正しいことを検証します。Macie が IAM ロールを引き受けるように設定した場合、Macie は、そのロールがアカウントに存在し、信頼ポリシーと許可ポリシーが正しく設定されていることも検証します。問題がある場合は、その詳細を説明するメッセージが表示されます。

の問題に対処するには AWS KMS key、前のトピックの要件を参照し、要件を満たす KMS キーを指定します。IAM ロールの問題に対処するには、まず正しいロール名を入力したことを確認します。名前が正しい場合は、Macie がそのロールを引き受けるためのすべての要件を、そのロールのポリシーが満たしていることを確認します。これらの詳細については、「対象の S3 オブジェクトにアクセスするための IAM ロールの設定」を参照してください。問題に対処したら、設定を保存して有効にすることができます。

注記

自分が組織の Macie の管理者で、IAM ロールを引き受けるように Macie を設定した場合、アカウントのための設定を保存した後、Macie は外部 ID を生成して表示します。この ID を書き留めます。該当する各メンバーアカウントの IAM ロールの信頼ポリシーには、この ID を指定する必要があります。指定されていない場合、アカウントが所有する S3 オブジェクトから機密データのサンプルを取得できません。

API

設定をプログラムで構成して、有効にするには、Amazon Macie API の UpdateRevealConfiguration オペレーションを使用します。リクエストでは、サポートされているパラメータの適切な値を指定します。

• retrievalConfiguration パラメータで、対象の S3 オブジェクトから機密データのサンプルを取得する際に使用するアクセスメソッドと設定を指定します。

  • Macie にアクセスを委任する IAM ロールを引き受けるには、retrievalMode パラメータに ASSUME_ROLE を指定し、roleName パラメータにロールの名前を指定します。これらの設定を指定すると、Macie は で作成および設定した IAM ロールを引き受けてサンプルを取得します AWS アカウント。

  • サンプルをリクエストする IAM ユーザーの認証情報を使用するには、retrievalMode パラメータに CALLER_CREDENTIALS を指定します。この設定を指定すると、アカウントの各ユーザーは、個別の IAM ID を使用してサンプルを取得します。

  重要

  これらのパラメータの値を指定しない場合、Macie はアクセスメソッド (retrievalMode) を CALLER_CREDENTIALS に設定します。また、Macie が現在 IAM ロールを使用してサンプルを取得するように設定されている場合、Macie は現在のロール名と設定の外部 ID を完全に削除します。既存の設定のためにこれらの設定を維持するには、リクエストに retrievalConfiguration パラメータを含めて、それらのパラメータのために現在の設定を指定します。現在の設定を取得するには、GetRevealConfiguration オペレーションを使用するか、 AWS Command Line Interface （AWS CLI) を使用している場合は get-reveal-configuration コマンドを実行します。

• kmsKeyId パラメータには、取得 AWS KMS key される機密データサンプルの暗号化に使用する を指定します。

  • 自分のアカウントから KMS キーを使用するには、キーの Amazon リソースネーム (ARN)、ID、またはエイリアスを指定します。エイリアスを指定する場合は、alias/ プレフィックスを含めてください。例えば、alias/ExampleAlias

  • 別のアカウントが所有する KMS キーを使用するには、キーの ARN を指定します。例えば、arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890abまたは、キーのエイリアスの ARN を指定します。例えば、arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias

• status パラメータには、Macie ENABLED アカウントの設定を有効にするように指定します。

リクエスト AWS リージョン では、設定を有効にして使用する も必ず指定してください。

を使用して設定を設定して有効にするには AWS CLI、update-reveal-configuration コマンドを実行し、サポートされているパラメータに適切な値を指定します。たとえば、Microsoft Windows AWS CLI で を使用している場合は、次のコマンドを実行します。

C:\> aws macie2 update-reveal-configuration ^
--region us-east-1 ^
--configuration={\"kmsKeyId\":\"arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias\",\"status\":\"ENABLED\"} ^
--retrievalConfiguration={\"retrievalMode\":\"ASSUME_ROLE\",\"roleName\":\"MacieRevealRole\"}

コードの説明は以下のとおりです。

• us-east-1 は、設定を有効にして使用するリージョンです。この例では、米国東部 (バージニア北部) リージョンです。

• arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias は、使用する AWS KMS key のエイリアスの ARN です。この例では、キーは別のアカウントが所有しています。

• 設定のステータスは ENABLED です。

• ASSUME_ROLE は、使用するアクセスメソッドです。この例では、指定された IAM ロールを引き受けます。

• MacieRevealRole は、機密データのサンプルを取得する際に Macie が引き受ける IAM ロールの名前です。

前述の例は、読みやすさを向上させるためにキャレット (^) の行連結文字を使用します。

リクエストを送信すると、Macie は設定をテストします。Macie が IAM ロールを引き受けるように設定した場合、Macie は、そのロールがアカウントに存在し、信頼ポリシーと許可ポリシーが正しく設定されていることも検証します。問題がある場合、リクエストは失敗し、Macie は問題を説明するメッセージを返します。の問題に対処するには AWS KMS key、前のトピックの要件を参照し、要件を満たす KMS キーを指定します。IAM ロールの問題に対処するには、まず、正しいロール名を指定したことを確認します。名前が正しい場合は、Macie がそのロールを引き受けるためのすべての要件を、そのロールのポリシーが満たしていることを確認します。これらの詳細については、「対象の S3 オブジェクトにアクセスするための IAM ロールの設定」を参照してください。問題に対処した後、リクエストを再度送信します。

リクエストが成功すると、Macie は指定されたリージョンのアカウント設定を有効にし、次のような出力を受け取ります。

{
  "configuration": {
    "kmsKeyId": "arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias",
    "status": "ENABLED"
  },
  "retrievalConfiguration": {
    "externalId": "o2vee30hs31642lexample",
    "retrievalMode": "ASSUME_ROLE",
    "roleName": "MacieRevealRole"
  }
}

ここで、 は取得される機密データサンプルの暗号化 AWS KMS key に使用する kmsKeyIdを指定し、 statusは Macie アカウントの設定のステータスです。retrievalConfiguration の値は、サンプルを取得する際に使用するアクセスメソッドと設定を指定します。

注記

自分が組織の Macie の管理者で、Macie が IAM ロールを引き受けるように設定した場合は、応答内の外部 ID (externalId) を書き留めます。該当する各メンバーアカウントの IAM ロールの信頼ポリシーには、この ID を指定する必要があります。指定されていない場合、アカウントが所有する対象の S3 オブジェクトから機密データのサンプルを取得できません。

その後、アカウントの設定またはステータスを確認するには、GetRevealConfiguration オペレーションを使用するか、 で get-reveal-configuration コマンド AWS CLIを実行します。

anchoranchor

• Console
• API

Amazon Macie コンソールを使用して設定を構成し、有効にするには、次のステップに従います。

Macie 設定を構成して有効にするには

1. Amazon Macie コンソール (https://console.aws.amazon.com/macie/) を開きます。

2. ページの右上隅にある AWS リージョン セレクターを使用して、Macie が機密データのサンプルを取得して公開するように設定して有効にするリージョンを選択します。

3. ナビゲーションペインの 設定 で、イベントの流れ を選択します。

4. 設定 セクションで、編集 を選択します。

5. ステータス で、有効 を選択します。

6. [アクセス] で、対象の S3 オブジェクトから機密データのサンプルを取得する際に使用するアクセスメソッドと設定を指定します。

   • Macie にアクセスを委任する IAM ロールを使用するには、[IAM ロールを引き受ける] を選択します。このオプションを選択すると、Macie は で作成および設定した IAM ロールを引き受けてサンプルを取得します AWS アカウント。[ロール名] ボックスで、ロールの名前を入力します。

   • サンプルをリクエストする IAM ユーザーの認証情報を使用するには、[IAM ユーザー認証情報を使用] を選択します。このオプションを選択した場合、アカウントの各ユーザーは、個別の IAM ID を使用してサンプルを取得します。

7. 暗号化で、取得 AWS KMS key される機密データサンプルの暗号化に使用する を指定します。

   • 自分のアカウントに KMS キーを使用するには、[アカウントからキーを選択] を選択します。そして、AWS KMS key リストからユーザー名を選択します。リストには、アカウントの既存の対称暗号化 KMS キーが表示されます。

   • 別のアカウントが所有し、使用が許可されている KMS キーを使用するには、[別のアカウントのキーの ARN を入力] を選択します。次に、AWS KMS key ARN ボックスに、使用するキーの Amazon リソースネーム (ARN) を入力します。例えば、arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

8. 設定の入力が完了したら、Save (保存) を選択します。

Macie は設定をテストして、それらが正しいことを検証します。Macie が IAM ロールを引き受けるように設定した場合、Macie は、そのロールがアカウントに存在し、信頼ポリシーと許可ポリシーが正しく設定されていることも検証します。問題がある場合は、その詳細を説明するメッセージが表示されます。

の問題に対処するには AWS KMS key、前のトピックの要件を参照し、要件を満たす KMS キーを指定します。IAM ロールの問題に対処するには、まず正しいロール名を入力したことを確認します。名前が正しい場合は、Macie がそのロールを引き受けるためのすべての要件を、そのロールのポリシーが満たしていることを確認します。これらの詳細については、「対象の S3 オブジェクトにアクセスするための IAM ロールの設定」を参照してください。問題に対処したら、設定を保存して有効にすることができます。

注記

自分が組織の Macie の管理者で、IAM ロールを引き受けるように Macie を設定した場合、アカウントのための設定を保存した後、Macie は外部 ID を生成して表示します。この ID を書き留めます。該当する各メンバーアカウントの IAM ロールの信頼ポリシーには、この ID を指定する必要があります。指定されていない場合、アカウントが所有する S3 オブジェクトから機密データのサンプルを取得できません。

Macie の設定の無効化

Amazon Macie アカウントの構成設定はいつでも無効にできます。設定を無効にすると、Macie は取得される機密データサンプルの暗号化 AWS KMS key に使用する を指定する 設定を保持します。Macie は、構成についての Amazon S3 のアクセス設定を完全に削除します。

Macie アカウントのために構成設定を無効にするには、Amazon Macie コンソールまたは Amazon Macie API を使用できます。

Console

Amazon Macie コンソールを使用して、アカウントのために構成設定を無効にするには、次のステップに従います。

Macie の設定を無効にするには

1. Amazon Macie コンソール (https://console.aws.amazon.com/macie/) を開きます。

2. ページの右上隅にある AWS リージョン セレクターを使用して、Macie アカウントの設定を無効にするリージョンを選択します。

3. ナビゲーションペインの 設定 で、イベントの流れ を選択します。

4. 設定 セクションで、編集 を選択します。

5. [ステータス] で、[無効] を選択します。

6. [Save] を選択します。

API

構成設定をプログラムで無効にするには、Amazon Macie API の UpdateRevealConfiguration オペレーションを使用します。リクエスト AWS リージョン では、設定を無効にする を必ず指定してください。status パラメータでは、DISABLED を指定します。

AWS Command Line Interface （AWS CLI) を使用して設定を無効にするには、update-reveal-configuration コマンドを実行します。設定を無効にするリージョンを指定するには region パラメータを使用します。status パラメータでは、DISABLED を指定します。たとえば、Microsoft Windows AWS CLI で を使用している場合は、次のコマンドを実行します。

C:\> aws macie2 update-reveal-configuration --region us-east-1 --configuration={\"status\":\"DISABLED\"}

コードの説明は以下のとおりです。

• us-east-1 は、設定を無効にするリージョンです。この例では、米国東部 (バージニア北部) リージョンです。

• DISABLED は、設定の新しいステータスです。

リクエストが成功すると、Macie は指定されたリージョンのアカウント設定を無効にし、次のような出力を受け取ります。

{
    "configuration": {
        "status": "DISABLED"
    }
}

status は Macie アカウントの設定の新しいステータスです。

anchoranchor

• Console
• API

Amazon Macie コンソールを使用して、アカウントのために構成設定を無効にするには、次のステップに従います。

Macie の設定を無効にするには

1. Amazon Macie コンソール (https://console.aws.amazon.com/macie/) を開きます。

2. ページの右上隅にある AWS リージョン セレクターを使用して、Macie アカウントの設定を無効にするリージョンを選択します。

3. ナビゲーションペインの 設定 で、イベントの流れ を選択します。

4. 設定 セクションで、編集 を選択します。

5. [ステータス] で、[無効] を選択します。

6. [Save] を選択します。

Macie が機密データのサンプルを取得する IAM ロールを引き受けるように設定されている場合は、オプションでロールとロールの許可ポリシーを削除できます。アカウントのために構成設定を無効にしても、Macie はこれらのリソースを削除しません。さらに、Macie は、これらのリソースを使用してアカウントの他のタスクを実行することはありません。ロールとその許可ポリシーを削除するために、IAM コンソールまたは IAM API を使用できます。詳細については、「AWS Identity and Access Management ユーザーガイド」の「ロールの削除」を参照してください。