Amazon Macie の調査結果のタイプ

バケットレベルのパブリックアクセスブロック設定がバケットに対し無効になりました。バケットへのアクセスは、アカウントのパブリックアクセスブロック設定、アクセスコントロールリスト (ACL)、およびバケットポリシーによって制御されます。

S3 バケットのブロックパブリックアクセス設定の詳細については、Amazon Simple Storage Service ユーザーガイドのAmazon S3 ストレージへのパブリックアクセスのブロックを参照してください。

バケットのデフォルトの暗号化設定は、Amazon S3 マネージドキーを使用して新しいオブジェクトを自動的に暗号化するデフォルトの Amazon S3 暗号化動作にリセットされました。

2023 年 1 月 5 日以降、Amazon S3 はバケットに追加されるオブジェクトに対して、基本レベルの暗号化として Amazon S3 管理キー (SSE-S3) によるサーバーサイド暗号化を自動的に適用します。オプションで、 キーによるサーバー側の暗号化 (SSE-KMS) または AWS KMS キーによる二層式サーバー側の暗号化 AWS KMS (DSSE-KMS) を使用するようにバケットのデフォルトの暗号化設定を設定できます。S3 バケットのデフォルト暗号化設定とオプションについては、Amazon Simple Storage Service ユーザーガイドのS3 バケットのデフォルトのサーバー側の暗号化動作の設定を参照してください。

Macie が 2023 年 1 月 5 日より前にこのタイプの検出結果を生成した場合、その検出結果では、デフォルトの暗号化設定が影響するバケットでは無効になっていたことが示されます。つまり、バケットの設定では、新しいオブジェクトに対するデフォルトのサーバー側の暗号化動作が指定されていなかったということです。バケットのデフォルトの暗号化設定を無効にする機能は、Amazon S3 ではサポートされなくなりました。

匿名ユーザーまたはすべての認証済み AWS Identity and Access Management (IAM) ID によるアクセスを許可するように、バケットの ACL またはバケットポリシーが変更されました。

S3 バケットの ACL およびバケットポリシーの詳細については、Amazon Simple Storage Service ユーザーガイドのAmazon S3 での Identity and Access Managementを参照してください。

レプリケーションが有効になっており、組織の外部 (一部ではない) AWS アカウント にある のバケットにオブジェクトをレプリケートするように設定されています。組織は、Macie の招待を通じて、 AWS Organizations または Macie の招待によって、関連するアカウントのグループとして一元管理される一連の Macie アカウントです。

特定の条件下では、Macie は、外部 のバケットにオブジェクトをレプリケートするように設定されていないバケットに対して、このタイプの検出結果を生成することがあります AWS アカウント。これは、Macie が毎日の更新サイクル の一部として Amazon S3 からバケットとオブジェクトのメタデータを取得した後、過去 24 AWS リージョン 時間以内にレプリケート先バケットが別の に作成された場合に発生する可能性があります。この検出結果を調べるには、まずインベントリデータを更新することから始めてください。その後、バケットの詳細を確認します。詳細には、そのバケットが他のバケットにオブジェクトをレプリケートするよう設定されているかどうかが示されます。バケットがそのように設定されている場合、詳細には宛先バケットを所有する各アカウントのアカウント ID が表示されます。

S3 バケットのレプリケーション設定の詳細については、Amazon Simple Storage Service ユーザーガイドのオブジェクトのレプリケーションを参照してください。

バケットの ACL またはバケットポリシーが変更され、組織の外部 (一部ではない) AWS アカウント の とバケットを共有できるようになりました。組織は、Macie の招待を通じて、 AWS Organizations または Macie の招待によって、関連アカウントのグループとして一元管理される一連の Macie アカウントです。

場合によっては、Macie は外部 AWS アカウントと共有されていないバケットに対してこのタイプの検出結果を生成することがあります。これは、Macie がバケットポリシー内の Principal 要素と、ポリシーの Condition 要素内の特定のAWS グローバル条件コンテキストキーまたは Amazon S3 条件キーとの関係を完全に評価できない場合に発生する可能性があります。適用可能な条件キーはaws:PrincipalAccount、、aws:PrincipalArn、aws:PrincipalOrgID、aws:PrincipalOrgPaths、aws:PrincipalTag、aws:PrincipalType、aws:SourceAccountaws:SourceArn、、aws:SourceIp、aws:SourceVpc、aws:SourceVpceaws:userid、s3:DataAccessPointAccount、および ですs3:DataAccessPointArn。バケットポリシーを確認して、このアクセスが安全かつ意図されたものか判断することをお勧めします。

S3 バケットの ACL およびバケットポリシーの詳細については、Amazon Simple Storage Service ユーザーガイドのAmazon S3 での Identity and Access Managementを参照してください。

バケットのバケットポリシーが変更され、バケットを Amazon CloudFront オリジンアクセスアイデンティティ (OAI)、 CloudFront オリジンアクセスコントロール (OAC)、または CloudFront OAI と CloudFront OAC の両方と共有できるようになりました。 CloudFront OAI または OAC を使用すると、ユーザーは 1 つ以上の指定された CloudFrontディストリビューションを介してバケットのオブジェクトにアクセスできます。

CloudFront OAIs と OACs」を参照してください。 Amazon S3 CloudFront

オブジェクトには、 AWS シークレットアクセスキーやプライベートキーなどの機密認証情報データが含まれています。

オブジェクトには、1 つ以上のカスタムデータ識別子の検出基準に一致するテキストが含まれています。オブジェクトには、複数のタイプの機密データが含まれている場合があります。

オブジェクトには、銀行口座番号やクレジットカード番号など機密性の高い財務情報が含まれます。

オブジェクトには、1 つ以上のカテゴリの機密データ (1 つ以上のカスタムデータ識別子の検出基準に一致する認証情報データ、財務情報、個人情報、またはテキストの任意の組み合わせ) が含まれます。

オブジェクトには、パスポート番号や運転免許証識別番号などの個人を特定できる情報 (PII)、健康保険や医療識別番号などの個人の健康情報 (PHI)、または PII と PHI の組み合わせのような機密性の高い個人情報が含まれます。