Macie の開始方法 - Amazon Macie
開始する前にステップ 1: Macie を有効にするステップ 2: 機密データの検出結果のリポジトリを設定するステップ 3: 検出結果のサンプルを調べるステップ 4: 機密データを検出するジョブを作成するステップ 5: 結果を確認する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Macie の開始方法

このチュートリアルでは、Amazon Macie の概要を説明します。 AWS アカウントで Macie を有効化する方法について説明します。また、Amazon Simple Storage Service (Amazon S3) セキュリティ体制を評価し、S3 バケット内の機密データを検出して報告するためのキー設定とリソースを設定する方法についても説明します。

開始する前に

Amazon Web Services AWSにサインアップすると、Amazon Macie を含むすべての AWS のサービスに、アカウントが自動的にサインアップされます。ただし、Macie を有効にして使用するには、まず Amazon Macie コンソールとAPIオペレーションへのアクセスを許可するアクセス許可を設定する必要があります。これを行う AWS には、 AWS Identity and Access Management (IAM) を使用して という名前の AWS マネージドポリシーを IAM ID AmazonMacieFullAccess にアタッチします。詳細については、「AWS Macie の マネージドポリシー」を参照してください。

ステップ 1: Macie を有効にする

必要なアクセス許可を設定した後、 AWS アカウントで Amazon Macie を有効化することができます。次のステップに従ってアカウントで Macieを有効化します。

Macie を有効化するには

  1. で Amazon Macie コンソールを開きますhttps://console.aws.amazon.com/macie/

  2. ページの右上隅にある AWS リージョン セレクターを使用して、Macie を有効にして使用するリージョンを選択します。

  3. Amazon Macie ページで、[開始方法]を選択します。

  4. (オプション) Macie を有効にする AWS のサービス と、Macie はユーザーに代わって他の を呼び出し、 AWS リソースをモニタリングできるようにするサービスにリンクされたロールを自動的に作成します。このロールのアクセスポリシーを確認するには、コンソールで View role permissions (ロールのアクセス許可の表示) を選択します。このロールの詳細については、Macie のサービスにリンクされたロールの使用を参照してください。

  5. Macie を有効化 を選択します。

Macie は数分で、現在のリージョンで S3 汎用バケットの完全なインベントリを自動的に生成して維持し始めます。また、Macie は、セキュリティとアクセスコントロールについてバケットのモニタリングと評価を開始します。詳細については、Macie が Amazon S3 データセキュリティをモニタリングする方法を参照してください。

アカウントの設定によっては、Macie は S3 バケットの機密データの自動検出も開始します。Macie は、バケット内の代表的なオブジェクトを継続的に識別、選択、分析し始め、オブジェクトの機密データを検査します。分析が進むにつれて、Macie は統計やその他の結果を提供し、通常は 48 時間以内に確認できます。分析をカスタマイズできます。詳細については、「機密データの自動検出の仕組み」を参照してください。

Amazon S3 データの集計統計を確認するには、コンソールのナビゲーションペインで概要を選択します。インベントリ内の個々の S3 バケットの詳細を確認するには、ナビゲーションペインで [S3 バケット]を選択します。バケットの詳細を表示するには、バケットを選択します。詳細パネルには、バケットのデータのセキュリティ、プライバシー、機密性に関する洞察を提供する統計およびその他の情報が表示されます。これらの詳細については、S3 バケットインベントリを確認するを参照してください。

ステップ 2: 機密データの検出結果のリポジトリを設定する

Amazon Macie を使用すると、S3 バケット内の機密データを 2 つの方法で検出できます。つまり、Macie を設定して機密データの自動検出を実行することと、機密データ検出ジョブを実行することです。機密データ検出ジョブは、S3 バケット内のオブジェクトを分析して、オブジェクトに機密データが含まれているかどうかを判断します。

Macie は、機密データ検出ジョブを実行するか、機密データの自動検出を実行するときに分析する各 S3 オブジェクトのレコードを作成します。これらのレコードは 機密データの検出結果 と呼ばれ、個々のオブジェクトの分析に関する詳細を記録します。Macie は、エラーや問題が原因で分析できないオブジェクトの機密データ検出結果も作成します。機密データの検出結果から、データプライバシーと保護の監査や調査に役立つ分析レコードが得られます。

Macie は機密データの検出結果を 90 日間だけ保存します。結果にアクセスし、それらの長期保存と保持を有効化するには、結果を S3 バケットに保存するように Macie を設定します。これは Macie を有効化してから 30 日以内に行う必要があります。この後、バケットは、機密データ検出結果のすべての最終的で長期的なリポジトリとして機能します

このリポジトリを設定する方法については、機密データ検出結果の保存と保持を参照してください。

ステップ 3: 検出結果のサンプルを調べる

Amazon Macie には、ポリシー検出結果機密データ検出結果の 2 つのカテゴリがあります。Macie は、S3 汎用バケットのポリシーまたは設定が、バケットとバケットのオブジェクトのセキュリティまたはプライバシーを低下させる方法で変更されたときにポリシー検出結果を作成します。Macie が S3 オブジェクト内の機密データを検出すると、Macie は機密データの調査結果を作成します。各カテゴリには、複数のタイプの調査結果があります。

Macie が提供するさまざまなカテゴリとタイプの調査結果を探索して学ぶために、必要に応じて検出結果のサンプルを作成して確認します。検出結果のサンプルでは、データ例とプレースホルダー値を使用して、Macie がそれぞれのタイプの調査結果に含める可能性があるさまざまな種類の情報が示されます。

検出結果のサンプルを作成して確認するには、以下のステップに従います。

検出結果のサンプルを作成して確認するには

  1. で Amazon Macie コンソールを開きますhttps://console.aws.amazon.com/macie/

  2. ナビゲーションペインで [設定] を選択します。

  3. 検出結果のサンプル で、検出結果のサンプルの生成 を選択します。Macie がサポートする調査結果のタイプごとに 1 つの検出結果のサンプルを Macie が生成します。

  4. ナビゲーションペインで 結果 を選択します。調査結果ページには、現在の AWS リージョンでのアカウントの現在の調査結果が表示されます。これには、前のステップで作成した検出結果のサンプルも含まれます。

  5. 結果ページで、タイプが 〔SAMPLE〕 で始まる結果を見つけます。

  6. 特定のサンプル結果の詳細を確認するには、調査結果を選択します。詳細パネルに、結果の詳細が表示されます。

調査結果の各タイプの詳細については、調査結果のタイプを参照してください。検出結果のサンプルの作成と確認の詳細については、検出結果のサンプルの使用を参照してください。

ステップ 4: 機密データを検出するジョブを作成する

S3 バケット内の機密データの検出およびレポートするには、機密データ検出ジョブを実行します。機密データ検出ジョブは、S3 バケット内のオブジェクトを分析して、オブジェクトに機密データが含まれているかどうかを判断します。機密データの自動検出とは異なり、分析の幅と深さを定義します。また、 1 回、またはスケジュールベースで定期的に実行するか、その頻度を指定します。

デフォルト設定を使用するジョブを作成し、それを作成した直後に 1 回実行するには、次のステップに従います。定期的に実行されるジョブまたはカスタム設定を使用するジョブを作成する方法については、機密データ検出ジョブの作成を参照してください。

機密データ検出ジョブを作成するには

  1. で Amazon Macie コンソールを開きますhttps://console.aws.amazon.com/macie/

  2. ナビゲーションペインで ジョブを選択します。

  3. ジョブの作成を選択します。

  4. S3 バケットを選択するステップでは、特定のバケットを選択するを選択します。次に、テーブルで、ジョブで分析する各 S3 バケットのチェックボックスをオンにします。

    この表は、現在の の S3 汎用バケットの完全なインベントリを提供します AWS リージョン。特定のバケットをより簡単に検索するには、テーブルの上にあるフィルターボックスにフィルター基準を入力します。テーブルで列見出しを選択して、テーブルを並べ替えることもできます。

  5. バケットの選択が終了したら、次へを選択します。

  6. S3 バケットを確認する ステップで、バケットの選択を確認して検証します。

  7. 範囲を絞り込むステップで、1 回限りのジョブを選択し、次に 次へ を選択します。

  8. [マネージドデータ識別子の選択]ステップでは、[推奨] を選択します。必要に応じて、ジョブに推奨するマネージドデータ識別子のテーブルを確認し、[次へ] を選択します。

    マネージドデータ識別子は、クレジットカード番号、 AWS シークレットアクセスキー、特定の国またはリージョンのパスポート番号など、特定のタイプの機密データを検出するように設計された一連の組み込み基準と手法です。詳細については、「マネージドデータ識別子の使用」を参照してください。

  9. カスタムデータ識別子を選択するステップで、次へを選択します。

    カスタムデータ識別子は、機密データを検出するために定義する基準のセットです。これらの基準は、一致するテキストパターンを定義し、オプションで文字シーケンス、結果を絞り込む近接ルールを定義する正規表現 (正規表現) で設定されます。詳細については、カスタムデータ識別子の構築を参照してください。

  10. [許可リストの選択]ステップでは、[次へ]を選択します。

    Macieでは、許可リストは、Macieが機密データのためにS3オブジェクトを検査するときに無視したいテキストまたはテキストパターンを指定します。これらは通常、特定のシナリオや環境における機密データの例外です。詳細については、許可リストでの機密データの例外の定義を参照してください。

  11. 名前と説明を入力するステップで、名前を入力し、必要に応じてジョブの説明を入力します。続いて、次へを選択します。

  12. 確認して作成するステップでは、ジョブの設定設定を確認し、それらが正しいことを検証します。

    ジョブを実行した場合の合計推定コスト (米ドル単位) も確認できます。見積もりは、ジョブを保存する前にジョブの設定を調整するかどうかを判断するのに役立ちます。詳細については、機密データ検出ジョブのコスト予測を参照してください。

  13. ジョブの設定の確認と検証が終了したら、送信を選択します。

Macie は直ちにジョブの実行を開始します。ジョブをモニタリングする方法については、[機密データ検出ジョブのステータスをチェックする]を参照してください。

ステップ 5: 結果を確認する

Amazon Macie は、セキュリティとアクセスコントロールのために S3 汎用バケットを自動的にモニタリングし、バケットのセキュリティまたはプライバシーに関する潜在的な問題を報告するためのポリシー検出結果を作成します。機密データ検出ジョブを実行するか、機密データの自動検出を実行するように Macie を設定すると、Macie は機密データの検出結果を作成して、S3 オブジェクトで検出した機密データを報告します。

以下の手順に従って、結果を確認します。

結果を確認するには

  1. で Amazon Macie コンソールを開きますhttps://console.aws.amazon.com/macie/

  2. ナビゲーションペインで 調査結果を選択します。調査結果ページには、現在の AWS リージョンでのアカウントの現在の調査結果が表示されます。

  3. 結果を特定の基準でフィルタリングするには、テーブルの上にあるフィルターボックスに基準を入力します。

  4. 特定の調査結果の詳細を確認するには、調査結果を選択します。詳細パネルに、結果の詳細が表示されます。

結果をグループ化してフィルタリングする方法など、検出結果の詳細については、「」を参照してください結果の確認と分析