機密データサンプルを取得するように Macie を設定する - Amazon Macie
開始する前にMacie の設定の構成と有効化Macie の設定の無効化

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

機密データサンプルを取得するように Macie を設定する

オプションで Amazon Macie を設定して使用し、Macie が個々の検出結果で報告する機密データのサンプルを取得して公開することができます。サンプルは、Macie が検出した機密データの性質を確認するのに役立ちます。また、影響を受ける Amazon Simple Storage Service (Amazon S3) オブジェクトとバケットの調査を調整するのにも役立ちます。アジアパシフィック (大阪) リージョンとイスラエル (テルアビブ) リージョンを除く、Macie が現在利用可能なすべての AWS リージョン で、機密データの取得と公開を行うことができます。

検出結果の機密データのサンプルを取得して公開すると、Macie は対応する機密データの検出結果のデータを使用して、影響を受ける S3 オブジェクト内の機密データの出現を見つけます。次に、Macie は該当オブジェクトからそれらの出現のサンプルを抽出します。Macie は、抽出されたデータを指定した AWS Key Management Service (AWS KMS) キーで暗号化し、暗号化されたデータをキャッシュに一時的に保存し、結果を結果に返します。Macie は、運用上の問題を解決するために一時的に追加の保存が必要になった場合を除き、抽出と暗号化の直後に、データをキャッシュから完全に削除します。

検出結果についての機密データのサンプルを取得して公開するには、まず Macie アカウントの設定を構成し、有効にする必要があります。また、アカウントのためにサポートリソースと許可を設定する必要があります。このセクションのトピックでは、機密データのサンプルを取得して公開するように Macie を設定し、アカウントの設定ステータスを管理するプロセスについて説明します。

ヒント

この機能へのアクセスを制御するために使用できるポリシーのレコメンデーションと例については、AWS 「 Security Blog : How to use Amazon Macie to Preview sensitive data in S3 buckets」のブログ記事を参照してください。

開始する前に

検出結果についての機密データのサンプルを取得して公開するように Amazon Macie を設定する前に、必要なリソースと許可を確実に備えているようにするために次のタスクを完了します。

機密データのサンプルを取得して公開するように Macie を既に設定しており、構成設定のみを変更したい場合、これらのタスクはオプションです。

ステップ 1: 機密データ検出の結果のリポジトリを設定する

検出結果の機密データのサンプルを取得して公開すると、Macie は対応する機密データの検出結果のデータを使用して、影響を受ける S3 オブジェクト内の機密データの出現を見つけます。そのため、機密データ検出の結果用のリポジトリを設定していることを確認することが重要です。そうしないと、Macie は、取得して公開したい機密データのサンプルを見つけることができません。

アカウントのためにこのリポジトリを設定済みであるかどうかを確認するには、Amazon Macie コンソールを使用します。ナビゲーションペインで [検出の結果] ([設定] の下にあります) を選択します。プログラムでこれを行うには、Amazon Macie の GetClassificationExportConfigurationオペレーションを使用しますAPI。機密データ検出の結果とこのリポジトリの設定方法の詳細については、「機密データ検出結果の保存と保持」を参照してください。

ステップ 2: 対象の S3 オブジェクトにアクセスする方法を決定する

対象の S3 オブジェクトにアクセスし、そこから機密データのサンプルを取得するには、2 つのオプションがあります。 AWS Identity and Access Management (IAM) ユーザー認証情報を使用するように Macie を設定できます。または、Macie へのアクセスを委任するIAMロールを引き受けるように Macie を設定できます。いずれの設定も、組織のために委任された Macie 管理者アカウント、組織内の Macie メンバーアカウント、スタンドアロン Macie アカウントなど、あらゆるタイプの Macie アカウントで使用できます。Macie で設定を構成する前に、使用するアクセスメソッドを決定します。各メソッドのオプションと要件の詳細については、「サンプルを取得するための設定オプション」を参照してください。

IAM ロールを使用する場合は、Macie で設定する前にロールを作成して設定します。また、ロールの信頼ポリシーと許可ポリシーが、Macie がロールを引き受けるためのすべての要件を満たしているようにしてください。アカウントが複数の Macie アカウントを一元的に管理する組織に属している場合は、まず Macie 管理者と協力して、アカウントのためにロールを設定するかどうか、またその設定方法を決定します。

ステップ 3: を設定する AWS KMS key

検出結果の機密データサンプルを取得して公開すると、Macie は指定した AWS Key Management Service (AWS KMS) キーでサンプルを暗号化します。そのため、サンプルを暗号化するために使用する AWS KMS key を決定する必要があります。キーは、独自のアカウントからの既存のKMSキー、または別のアカウントが所有する既存のKMSキーにすることができます。別のアカウントが所有するキーを使用する場合は、キーの Amazon リソースネーム (ARN) を取得します。Macie で設定を入力するARNときに、これを指定する必要があります。

KMS キーは、カスタマー管理の対称暗号化キーである必要があります。また、Macie アカウント AWS リージョン と同じ で有効になっている単一リージョンキーである必要があります。KMS キーは外部キーストアに格納できます。ただし、そのキーは、完全に AWS KMS内で管理されるキーよりも遅く、信頼性が低くなる可能性があります。レイテンシーまたは可用性の問題により、取得して公開したい機密データサンプルを Macie が暗号化できない場合、エラーが発生し、Macie は検出結果のサンプルを返しません。

さらに、キーのキーポリシーでは、適切なプリンシパル (IAM ロール、IAMユーザー、または AWS アカウント) が次のアクションを実行できるようにする必要があります。

  • kms:Decrypt

  • kms:DescribeKey

  • kms:GenerateDataKey

重要

アクセスコントロールの追加のレイヤーとして、取得した機密データサンプルの暗号化用の専用KMSキーを作成し、機密データサンプルを取得して公開することを許可する必要があるプリンシパルのみにキーの使用を制限することをお勧めします。ユーザーがキーのために前述のアクションを実行することを許可されていない場合、Macie は、機密データのサンプルを取得して公開するという当該ユーザーのリクエストを拒否します。Macie は、検出結果についてのサンプルを返しません。

KMS キーの作成と設定の詳細については、「 デベロッパーガイド」のKMS「キーの作成」を参照してください。 AWS Key Management Service キーポリシーを使用してKMSキーへのアクセスを管理する方法については、 デベロッパーガイドの「 のキーポリシー AWS KMS」を参照してください。 AWS Key Management Service

ステップ 4: 許可を確認する

Macie で設定を構成する前に、必要な許可が付与されていることも確認してください。アクセス許可を確認するには、 AWS Identity and Access Management (IAM) を使用して、IAMアイデンティティにアタッチされているIAMポリシーを確認します。次にこれらのポリシー内の情報を、実行が許可される必要がある次のアクションのリストと比較します。

Amazon Macie

Macie の場合、次のアクションの実行が許可されていることを確認します。

  • macie2:GetMacieSession

  • macie2:UpdateRevealConfiguration

1 つ目のアクションでは、Macie アカウントにアクセスできます。2 つ目のアクションでは、機密データのサンプルを取得して公開するための設定を変更できます。これには、アカウントの設定の有効化と無効化が含まれます。

オプションで、macie2:GetRevealConfiguration アクションの実行も許可されていることを確認します。このアクションにより、アカウントの現在の設定設定と設定の現在の状態を取得できます。

AWS KMS

Amazon Macie コンソールを使用して設定を入力する場合は、次の AWS Key Management Service (AWS KMS) アクションを実行できることを確認します。

  • kms:DescribeKey

  • kms:ListAliases

これらのアクションにより、アカウントの に関する情報を取得 AWS KMS keys できます。その後、設定を入力するときに、これらのキーのいずれかを選択できます。

IAM

機密データサンプルを取得して公開するIAMロールを引き受けるように Macie を設定する場合は、次のIAMアクションを実行できることを確認します。 iam:PassRoleこのアクションにより、ロールを Macie に渡すことができ、Macie がそのロールを引き受けることができるようになります。アカウントのために構成設定を入力すると、Macie はそのロールがアカウントに存在し、正しく設定されていることを検証することもできます。

必要なアクションを実行することが許可されていない場合は、 AWS 管理者にお問い合わせください。

Macie の設定の構成と有効化

必要なリソースと許可があることを確認したら、Amazon Macie で設定を構成し、アカウントのために設定を有効にすることができます。

アカウントが複数の Macie アカウントを一元的に管理する組織に属している場合は、アカウントのために設定を構成する前、または構成した後にその設定を変更する前に、次の点に留意してください。

  • メンバーアカウントがある場合は、Macie の管理者と協力して、アカウントのために設定を構成するかどうか、およびその方法を決定します。Macie の管理者は、アカウントのために正しい構成設定を決定するのをサポートできます。

  • Macie の管理者アカウントがあり、対象の S3 オブジェクトにアクセスするための設定を変更すると、その変更によって、組織の他のアカウントやリソースに影響が及ぶ可能性があります。これは、Macie が機密データサンプルを取得するための AWS Identity and Access Management (IAM) ロールを引き受けるように現在設定されているかどうかによって異なります。ユーザーIAM認証情報を使用するように Macie を再設定すると、Macie はIAMロールの名前と設定の外部 ID というロールの既存の設定を完全に削除します。その後、組織がIAMロールを再度使用することを選択した場合は、該当する各メンバーアカウントのロールの信頼ポリシーに新しい外部 ID を指定する必要があります。

いずれかのタイプのアカウントの設定オプションと要件の詳細については、「」を参照してくださいサンプルを取得するための設定オプション

Macie で設定を行い、アカウントの設定を有効にするには、Amazon Macie コンソールまたは Amazon Macie を使用できますAPI。

Console

Amazon Macie コンソールを使用して設定を構成し、有効にするには、次のステップに従います。

Macie 設定を構成して有効にするには

  1. で Amazon Macie コンソールを開きますhttps://console.aws.amazon.com/macie/

  2. ページの右上隅にある AWS リージョン セレクターを使用して、設定するリージョンを選択し、Macie が機密データサンプルを取得して公開できるようにします。

  3. ナビゲーションペインの 設定 で、イベントの流れ を選択します。

  4. 設定 セクションで、編集 を選択します。

  5. ステータス で、有効 を選択します。

  6. [アクセス] で、対象の S3 オブジェクトから機密データのサンプルを取得する際に使用するアクセスメソッドと設定を指定します。

    • Macie へのアクセスを委任するIAMロールを使用するには、IAM「ロールを引き受ける」を選択します。このオプションを選択すると、Macie は で作成および設定したIAMロールを引き受けることでサンプルを取得します AWS アカウント。[ロール名] ボックスで、ロールの名前を入力します。

    • サンプルを要求するIAMユーザーの認証情報を使用するには、IAMユーザー認証情報の使用 を選択します。このオプションを選択すると、アカウントの各ユーザーは個々の IAM ID を使用してサンプルを取得します。

  7. 暗号化 で、取得した機密データサンプルの暗号化 AWS KMS key に使用する を指定します。

    • 自分のアカウントからKMSキーを使用するには、アカウントからキーを選択する を選択します。そして、AWS KMS key リストからユーザー名を選択します。リストには、アカウントの既存の対称暗号化KMSキーが表示されます。

    • 別のアカウントが所有するKMSキーを使用するには、別のアカウント からキーARNの を入力する を選択します。次に、 AWS KMS key ARN ボックスに、使用するキーの Amazon リソースネーム (ARN) を入力します。例えば、 ですarn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

  8. 設定の入力が完了したら、Save (保存) を選択します。

Macie は設定をテストして、それらが正しいことを検証します。Macie がIAMロールを引き受けるように設定した場合、Macie はロールがアカウントに存在し、信頼ポリシーとアクセス許可ポリシーが正しく設定されていることを確認します。問題がある場合は、その詳細を説明するメッセージが表示されます。

の問題に対処するには AWS KMS key、前のトピックの要件を参照し、要件を満たすKMSキーを指定します。IAM ロールの問題に対処するには、まず正しいロール名を入力したことを確認します。名前が正しい場合は、Macie がそのロールを引き受けるためのすべての要件を、そのロールのポリシーが満たしていることを確認します。これらの詳細については、「影響を受ける S3 オブジェクトにアクセスするためのIAMロールの設定」を参照してください。問題に対処したら、設定を保存して有効にすることができます。

注記

組織の Macie 管理者であり、Macie がIAMロールを引き受けるように設定した場合、Macie はアカウントの設定を保存した後に外部 ID を生成して表示します。この ID を書き留めます。該当する各メンバーアカウントのIAMロールの信頼ポリシーで、この ID を指定する必要があります。指定されていない場合、アカウントが所有する S3 オブジェクトから機密データのサンプルを取得できません。

API

プログラムで設定を設定して有効にするには、Amazon Macie の UpdateRevealConfigurationオペレーションを使用しますAPI。リクエストでは、サポートされているパラメータの適切な値を指定します。

  • retrievalConfiguration パラメータで、対象の S3 オブジェクトから機密データのサンプルを取得する際に使用するアクセスメソッドと設定を指定します。

    • Macie へのアクセスを委任するIAMロールを引き受けるには、 retrievalModeパラメータASSUME_ROLEに を指定し、 roleName パラメータのロール名を指定します。これらの設定を指定すると、Macie は で作成および設定したIAMロールを引き受けることでサンプルを取得します AWS アカウント。

    • サンプルを要求するIAMユーザーの認証情報を使用するには、 retrievalModeパラメータCALLER_CREDENTIALSに を指定します。この設定を指定すると、アカウントの各ユーザーは個々の IAM ID を使用してサンプルを取得します。

    重要

    これらのパラメータの値を指定しない場合、Macie はアクセスメソッド (retrievalMode) を CALLER_CREDENTIALS に設定します。Macie が現在IAM、ロールを使用してサンプルを取得するように設定されている場合、Macie は設定の現在のロール名と外部 ID も完全に削除します。既存の設定のためにこれらの設定を維持するには、リクエストに retrievalConfiguration パラメータを含めて、それらのパラメータのために現在の設定を指定します。現在の設定を取得するには、 GetRevealConfigurationオペレーションを使用するか、 AWS Command Line Interface (AWS CLI) を使用している場合は get-reveal-configuration コマンドを実行します。

  • kmsKeyId パラメータで、取得される機密データサンプルの暗号化 AWS KMS key に使用する を指定します。

    • 独自のアカウントのKMSキーを使用するには、キーの Amazon リソースネーム (ARN)、ID、またはエイリアスを指定します。エイリアスを指定する場合は、alias/ プレフィックスを含めてください。例えば、alias/ExampleAlias

    • 別のアカウントが所有するKMSキーを使用するには、キーARNの を指定します。例えば、 ですarn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab。または、キーARNのエイリアスの を指定します。例えば、 ですarn:aws:kms:us-east-1:111122223333:alias/ExampleAlias

  • status パラメータには、Macie ENABLED アカウントの設定を有効にするように指定します。

リクエストでは、設定を有効にして使用する AWS リージョン も指定してください。

を使用して設定を設定および有効にするには AWS CLI、 update-reveal-configuration コマンドを実行し、サポートされているパラメータに適切な値を指定します。たとえば、Microsoft Windows AWS CLI で を使用している場合は、次のコマンドを実行します。

C:\> aws macie2 update-reveal-configuration ^
--region us-east-1 ^
--configuration={\"kmsKeyId\":\"arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias\",\"status\":\"ENABLED\"} ^
--retrievalConfiguration={\"retrievalMode\":\"ASSUME_ROLE\",\"roleName\":\"MacieRevealRole\"}

コードの説明は以下のとおりです。

  • us-east-1 は、 設定を有効にして使用するリージョンです。この例では、米国東部 (バージニア北部) リージョンです。

  • arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias は、 AWS KMS key 使用する ARNのエイリアスの です。この例では、キーは別のアカウントが所有しています。

  • 設定のステータスは ENABLED です。

  • ASSUME_ROLE は使用するアクセス方法です。この例では、指定されたIAMロールを引き受けます。

  • MacieRevealRole は、機密データサンプルを取得するときに Macie が引き受けるIAMロールの名前です。

前述の例は、読みやすさを向上させるためにキャレット (^) の行連結文字を使用します。

リクエストを送信すると、Macie は設定をテストします。Macie がIAMロールを引き受けるように設定した場合、Macie はロールがアカウントに存在し、信頼ポリシーとアクセス許可ポリシーが正しく設定されていることを確認します。問題がある場合、リクエストは失敗し、Macie は問題を説明するメッセージを返します。の問題に対処するには AWS KMS key、前のトピックの要件を参照し、要件を満たすKMSキーを指定します。IAM ロールの問題に対処するには、まず正しいロール名を指定していることを確認します。名前が正しい場合は、Macie がそのロールを引き受けるためのすべての要件を、そのロールのポリシーが満たしていることを確認します。これらの詳細については、「影響を受ける S3 オブジェクトにアクセスするためのIAMロールの設定」を参照してください。問題に対処した後、リクエストを再度送信します。

リクエストが成功すると、Macie は指定されたリージョンのアカウント設定を有効にし、次のような出力を受け取ります。

{
  "configuration": {
    "kmsKeyId": "arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias",
    "status": "ENABLED"
  },
  "retrievalConfiguration": {
    "externalId": "o2vee30hs31642lexample",
    "retrievalMode": "ASSUME_ROLE",
    "roleName": "MacieRevealRole"
  }
}

ここで、 AWS KMS key は取得された機密データサンプルの暗号化に使用する kmsKeyIdを指定し、 statusは Macie アカウントの設定のステータスです。retrievalConfiguration の値は、サンプルを取得する際に使用するアクセスメソッドと設定を指定します。

注記

組織の Macie 管理者であり、Macie がIAMロールを引き受けるように設定した場合は、レスポンスに外部 ID (externalId) を書き留めます。該当する各メンバーアカウントのIAMロールの信頼ポリシーで、この ID を指定する必要があります。指定されていない場合、アカウントが所有する対象の S3 オブジェクトから機密データのサンプルを取得できません。

その後、アカウントの設定またはステータスを確認するには、 GetRevealConfigurationオペレーションを使用するか、 で get-reveal-configuration コマンド AWS CLIを実行します。

Macie の設定の無効化

Amazon Macie アカウントの構成設定はいつでも無効にできます。設定を無効にすると、Macie は取得される機密データサンプルの暗号化 AWS KMS key に使用する設定を保持します。Macie は、構成についての Amazon S3 のアクセス設定を完全に削除します。

警告

Macie アカウントのために構成設定を無効にすると、対象の S3 オブジェクトに対するアクセスメソッドを指定する現在の設定も完全に削除されます。Macie が AWS Identity and Access Management (IAM) ロールを引き受けて影響を受けるオブジェクトにアクセスするように現在設定されている場合、これにはロールの名前と、Macie が設定用に生成した外部 ID が含まれます。これらの設定は、削除後は復元できません。

Macie アカウントの設定を無効にするには、Amazon Macie コンソールまたは Amazon Macie を使用できますAPI。

Console

Amazon Macie コンソールを使用して、アカウントのために構成設定を無効にするには、次のステップに従います。

Macie の設定を無効にするには

  1. で Amazon Macie コンソールを開きますhttps://console.aws.amazon.com/macie/

  2. ページの右上隅にある AWS リージョン セレクターを使用して、Macie アカウントの設定を無効にするリージョンを選択します。

  3. ナビゲーションペインの 設定 で、イベントの流れ を選択します。

  4. 設定 セクションで、編集 を選択します。

  5. [ステータス] で、[無効] を選択します。

  6. [Save] を選択します。

API

プログラムで設定を無効にするには、Amazon Macie の UpdateRevealConfigurationオペレーションを使用しますAPI。リクエストで、設定を無効にする AWS リージョン を指定していることを確認します。status パラメータでは、DISABLED を指定します。

AWS Command Line Interface (AWS CLI) を使用して設定を無効にするには、 update-reveal-configuration コマンドを実行します。設定を無効にするリージョンを指定するには region パラメータを使用します。status パラメータでは、DISABLED を指定します。たとえば、Microsoft Windows AWS CLI で を使用している場合は、次のコマンドを実行します。

C:\> aws macie2 update-reveal-configuration --region us-east-1 --configuration={\"status\":\"DISABLED\"}

コードの説明は以下のとおりです。

  • us-east-1 は、設定を無効にするリージョンです。この例では、米国東部 (バージニア北部) リージョンです。

  • DISABLED は、設定の新しいステータスです。

リクエストが成功すると、Macie は指定されたリージョンのアカウント設定を無効にし、次のような出力を受け取ります。

{
    "configuration": {
        "status": "DISABLED"
    }
}

status は Macie アカウントの設定の新しいステータスです。

Macie が機密データサンプルを取得するIAMロールを引き受けるように設定されている場合は、オプションでロールとロールのアクセス許可ポリシーを削除できます。アカウントのために構成設定を無効にしても、Macie はこれらのリソースを削除しません。さらに、Macie は、これらのリソースを使用してアカウントの他のタスクを実行することはありません。ロールとそのアクセス許可ポリシーを削除するには、 IAM コンソールまたは IAM を使用できますAPI。詳細については、「AWS Identity and Access Management ユーザーガイド」の「ロールの削除」を参照してください。