翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
このチュートリアルでは、Amazon Macie の概要を説明します。 AWS アカウントで Macie を有効化する方法について説明します。Amazon Simple Storage Service (Amazon S3) のセキュリティ体制を評価し、S3 バケット内の機密データを検出してレポートするための主要な設定とリソースを構成する方法についても説明します。
タスク
[開始する前に]
Amazon Web Services AWSにサインアップすると、Amazon Macie を含むすべての AWS のサービスに、アカウントが自動的にサインアップされます。ただし、Macie を有効化して使用するには、まず Amazon Macie コンソールと API オペレーションへのアクセスを許可するアクセス許可を設定する必要があります。これを行う AWS には、 AWS Identity and Access Management (IAM) を使用して という名前 AWS の管理ポリシーを IAM ID AmazonMacieFullAccess
にアタッチします。詳細については、「AWS Macie の マネージドポリシー」を参照してください。
ステップ 1 - Macie を有効にする
必要なアクセス許可を設定した後、 AWS アカウントで Amazon Macie を有効化することができます。次のステップに従ってアカウントで Macieを有効化します。
Macie を有効化するには
Amazon Macie コンソール (https://console.aws.amazon.com/macie/
) を開きます。 -
ページの右上隅にある AWS リージョン セレクターを使用して、Macie を有効にして使用するリージョンを選択します。
-
Amazon Macie ページで、[開始方法]を選択します。
-
(オプション) Macie を有効にする AWS のサービス と、Macie はユーザーに代わって他の を呼び出して AWS リソースをモニタリングすることを許可するサービスにリンクされたロールを自動的に作成します。このロールのアクセスポリシーを確認するには、コンソールで View role permissions (ロールのアクセス許可の表示) を選択します。このロールの詳細については、Macie のサービスリンクロールの使用を参照してください。
-
Macie を有効化 を選択します。
Macie は数分以内に、現在のリージョンで S3 汎用バケットのインベントリを自動的に生成し、維持を開始します。また、Macie は、セキュリティとアクセスコントロールについてバケットのモニタリングと評価を開始します。詳細については、「データのセキュリティとプライバシーのモニタリング」を参照してください。
アカウントの設定によっては、Macie は S3 バケットの機密データの自動検出も開始します。Macie は、バケット内の代表的なオブジェクトを継続的に特定、選択、分析し始め、オブジェクトに機密データがないか検査します。分析が進むにつれて、Macie によって通常 48 時間以内に統計やその他の結果が提供され、ユーザーが確認できます。分析は、カスタマイズできます。詳細については、「機密データ自動検出を実行する」を参照してください。
Amazon S3 データの集計された統計を確認するには、コンソールのナビゲーションペインで [概要]を選択します。インベントリ内の個々の S3 バケットの詳細を確認するには、ナビゲーションペインで [S3 バケット]を選択します。バケットの詳細を表示するには、バケットを選択します。詳細パネルには、バケットのデータのセキュリティ、プライバシー、機密性に関する洞察を提供する統計およびその他の情報が表示されます。これらの詳細については、S3 バケットインベントリを確認するを参照してください。
ステップ 2: 機密データの検出結果のリポジトリを設定する
Amazon Macie では、S3 バケット内の機密データを検出するには、Macie が自動的に機密データ検出を実行するように設定するか、機密データ検出ジョブを実行するという 2 つの方法があります。機密データ検出ジョブは、S3 バケット内のオブジェクトを分析して、オブジェクトに機密データが含まれているかどうかを判断します。
Macie は S3 オブジェクトごとにレコードを作成し、お客様が機密データ検出ジョブを実行するか、機密データ自動検出が実行されたときにそれを分析します。これらのレコードは 機密データの検出結果 と呼ばれ、個々のオブジェクトの分析に関する詳細を記録します。Macie は、エラーや問題が原因で分析できないオブジェクトの機密データ検出結果も作成します。機密データの検出結果から、データプライバシーと保護の監査や調査に役立つ分析レコードが得られます。
Macie は機密データの検出結果を 90 日間だけ保存します。結果にアクセスし、それらの長期保存と保持を有効化するには、結果を S3 バケットに保存するように Macie を設定します。これは Macie を有効化してから 30 日以内に行う必要があります。この後、バケットは、機密データ検出結果のすべての最終的で長期的なリポジトリとして機能します
このリポジトリを設定する方法については、機密データ検出結果の保存と保持を参照してください。
ステップ 3: 検出結果のサンプルを調べる
Amazon Macie では、ポリシーの検出結果と機密データの検出結果の 2 つのカテゴリの検出結果が生成されます。Macie は、S3 汎用バケットとバケットのオブジェクトのセキュリティまたはプライバシーを低下させる方法でバケットのポリシーまたは設定が変更されたときにポリシーの検出結果を作成します。Macie が S3 オブジェクト内の機密データを検出すると、Macie は機密データの調査結果を作成します。各カテゴリには、複数のタイプの調査結果があります。
Macie が提供するさまざまなカテゴリとタイプの調査結果を探索して学ぶために、必要に応じて検出結果のサンプルを作成して確認します。検出結果のサンプルでは、データ例とプレースホルダー値を使用して、Macie がそれぞれのタイプの調査結果に含める可能性があるさまざまな種類の情報が示されます。
検出結果のサンプルを作成して確認するには、以下のステップに従います。
検出結果のサンプルを作成して確認するには
Amazon Macie コンソール (https://console.aws.amazon.com/macie/
) を開きます。 -
ナビゲーションペインで 設定 を選択します。
-
検出結果のサンプル で、検出結果のサンプルの生成 を選択します。Macie がサポートする調査結果のタイプごとに 1 つの検出結果のサンプルを Macie が生成します。
-
ナビゲーションペインで 結果 を選択します。調査結果ページには、現在の AWS リージョンでのアカウントの現在の調査結果が表示されます。これには、前のステップで作成した検出結果のサンプルも含まれます。
-
調査結果ページで、タイプが SAMPLE で始まる調査結果を見つけます。
-
特定のサンプル結果の詳細を確認するには、調査結果を選択します。詳細パネルに、結果の詳細が表示されます。
調査結果の各タイプの詳細については、調査結果のタイプを参照してください。検出結果のサンプルの作成と確認の詳細については、検出結果のサンプルの使用を参照してください。
ステップ 4: 機密データを検出するジョブを作成する
S3 バケット内の機密データの検出およびレポートするには、機密データ検出ジョブを実行します。機密データ検出ジョブは、S3 バケット内のオブジェクトを分析して、オブジェクトに機密データが含まれているかどうかを判断します。機密データの自動検出とは異なり、分析の幅と深さを定義します。また、 1 回、またはスケジュールベースで定期的に実行するか、その頻度を指定します。
デフォルト設定を使用するジョブを作成し、それを作成した直後に 1 回実行するには、次のステップに従います。定期的に実行されるジョブまたはカスタム設定を使用するジョブを作成する方法については、機密データ検出ジョブの作成を参照してください。
機密データ検出ジョブを作成するには
Amazon Macie コンソール (https://console.aws.amazon.com/macie/
) を開きます。 -
ナビゲーションペインで ジョブを選択します。
-
ジョブの作成を選択します。
-
S3 バケットを選択するステップでは、特定のバケットを選択するを選択します。次に、テーブルで、ジョブで分析する各 S3 バケットのチェックボックスをオンにします。
この表は、現在の の S3 汎用バケットのインベントリを示しています AWS リージョン。特定のバケットをより簡単に検索するには、テーブルの上にあるフィルターボックスにフィルター条件を入力します。列見出しを選択して、テーブルを並べ替えることもできます。
-
バケットの選択が終了したら、次へを選択します。
-
S3 バケットを確認する ステップで、バケットの選択を確認して検証します。
-
範囲を絞り込むステップで、1 回限りのジョブを選択し、次に 次へ を選択します。
-
[マネージドデータ識別子の選択]ステップでは、[推奨] を選択します。必要に応じて、ジョブに推奨するマネージドデータ識別子のテーブルを確認し、[次へ] を選択します。
マネージドデータ識別子は、クレジットカード番号、 AWS シークレットアクセスキー、特定の国または地域のパスポート番号など、特定のタイプの機密データを検出するように設計された一連の組み込み基準と手法です。詳細については、「マネージドデータ識別子の使用」を参照してください。
-
カスタムデータ識別子を選択するステップで、次へを選択します。
カスタムデータ識別子は、機密データを検出するために定義する基準のセットです。これらの基準は、一致するテキストパターンを定義し、オプションで文字シーケンス、結果を絞り込む近接ルールを定義する正規表現 (正規表現) で設定されます。詳細については、カスタムデータ識別子の構築を参照してください。
-
[許可リストの選択]ステップでは、[次へ]を選択します。
Macieでは、許可リストは、Macieが機密データのためにS3オブジェクトを検査するときに無視したいテキストまたはテキストパターンを指定します。これらは通常、特定のシナリオや環境における機密データの例外です。詳細については、許可リストでの機密データの例外の定義を参照してください。
-
名前と説明を入力するステップで、名前を入力し、必要に応じてジョブの説明を入力します。続いて、次へを選択します。
-
確認して作成するステップでは、ジョブの設定設定を確認し、それらが正しいことを検証します。
ジョブの実行にかかる総推定コスト (米ドル) を確認することもできます。見積もりは、ジョブを保存する前にジョブの設定を調整するかどうかを判断するのに役立ちます。詳細については、機密データ検出ジョブのコスト予測を参照してください。
-
ジョブの設定の確認と検証が終了したら、送信を選択します。
Macie は直ちにジョブの実行を開始します。ジョブをモニタリングする方法については、[機密データ検出ジョブのステータスをチェックする]を参照してください。
ステップ 5: 検出結果を確認する
Amazon Macie は、S3 汎用バケットのセキュリティとアクセス制御を自動的にモニタリングし、バケットのセキュリティまたはプライバシーに関する潜在的な問題を報告するためのポリシー検出結果を作成します。お客様が機密データ検出ジョブを実行するか、機密データ自動検出を実行するように Macie を設定すると、Macie では S3 オブジェクトで検出した機密データをレポートする機密データの検出結果を作成します。
検出結果を確認するには、以下のステップを実行します。
結果を確認するには
Amazon Macie コンソール (https://console.aws.amazon.com/macie/
) を開きます。 -
ナビゲーションペインで 調査結果を選択します。調査結果ページには、現在の AWS リージョンでのアカウントの現在の調査結果が表示されます。
-
特定の基準で検出結果をフィルタリングするには、テーブルの上にあるフィルターボックスに基準を入力します。
-
特定の調査結果の詳細を確認するには、調査結果を選択します。詳細パネルに、結果の詳細が表示されます。
検出結果をグループ化してフィルタリングする方法など、検出結果の詳細については、「検出結果の確認と分析」を参照してください。