민감한 데이터 자동 검색에 대한 적용 범위 문제 해결

이러한 유형의 문제가 발생하는 가장 일반적인 원인은 제한적인 버킷 정책입니다. 버킷 정책은 보안 주체(사용자, 계정, 서비스 또는 기타 엔터티IAM)가 S3 버킷에서 수행할 수 있는 작업과 보안 주체가 이러한 작업을 수행할 수 있는 조건을 지정하는 리소스 기반 AWS Identity and Access Management () 정책입니다. 제한적인 버킷 정책은 특정 조건에 따라 버킷 데이터에 대한 액세스를 허용하거나 제한하는 명시적 Allow 또는 Deny 명령문을 사용합니다. 예를 들어 버킷에 액세스하는데 특정 소스 IP 주소를 사용하지 않는 한, 버킷 정책에는 버킷에 대한 액세스를 거부하는 Allow 또는 Deny 명령문이 포함될 수 있습니다.

S3 버킷의 버킷 정책에 하나 이상의 조건이 포함된 명시적인 Deny 명령문이 포함된 경우, Macie가 민감한 데이터를 탐지하기 위해 버킷의 객체를 검색 및 분석하는 것이 허용되지 않을 수 있습니다. Macie는 버킷 이름, 생성 날짜 등 버킷에 대한 일부 정보만 제공할 수 있습니다.

이 문제를 해결하려면 S3 버킷의 버킷 정책을 업데이트합니다. 정책에서 Macie가 버킷과 버킷의 객체에 액세스할 수 있도록 허용하는지 확인하세요. 이 액세스를 허용하려면 Macie 서비스 연결 역할(AWSServiceRoleForAmazonMacie)에 대한 조건을 정책에 추가합니다. 조건은 Macie 서비스 연결 역할이 정책의 Deny 제한과 일치하지 않도록 해야 합니다. 이 작업은 계정의 Macie 서비스 연결 역할의 aws:PrincipalArn 전역 조건 컨텍스트 키와 Amazon 리소스 이름(ARN)을 사용하여 수행할 수 있습니다.

버킷 정책을 업데이트하여 Macie가 S3 버킷에 대한 액세스 권한을 얻으면 Macie가 변경 사항을 감지합니다. 이 경우 Macie는 Amazon S3 데이터에 대해 제공하는 통계, 인벤토리 데이터 및 기타 정보를 업데이트합니다. 또한 후속 분석 주기에서는 버킷의 객체가 분석에서 우선 순위가 높아지게 됩니다.

Macie가 버킷에 액세스할 수 있도록 S3 버킷 정책을 업데이트하는 방법에 대한 자세한 내용은 Macie가 S3 버킷 및 객체에 액세스할 수 있도록 허용 섹션을 참조하세요. 버킷 정책을 사용하여 버킷에 대한 액세스를 제어하는 방법에 대한 자세한 내용은 Amazon Simple Storage Service 사용 설명서의 버킷 정책 및 Amazon S3가 요청을 승인하는 방법을 참조하세요.

이 오류는 일반적으로 S3 객체가 형식이 잘못되었거나 손상된 파일이기 때문에 발생합니다. 따라서 Macie는 파일의 모든 데이터를 파싱하고 분석할 수 없습니다.

이 오류는 S3 객체 분석이 개별 파일의 민감한 데이터 검색 할당량을 초과하는 경우에도 발생할 수 있습니다. 예를 들어, 객체의 스토리지 크기가 해당 유형의 파일에 대한 크기 할당량을 초과하는 경우가 있습니다.

어느 경우든 Macie는 S3 객체에 대한 분석을 완료할 수 없으며, 객체의 분석 상태는 건너뜀(SKIPPED)입니다.

이 오류를 조사하려면 S3 객체를 다운로드하고 파일의 형식과 내용을 확인하세요. 또한 민감한 데이터 검색을 위해 Macie 할당량을 기준으로 파일 내용을 평가하세요.

이 오류를 수정하지 않으면 Macie는 S3 버킷의 다른 객체를 분석하려고 시도합니다. Macie가 다른 객체를 성공적으로 분석하면 Macie는 버킷에 대해 제공하는 적용 범위 데이터 및 기타 정보를 업데이트합니다.

특정 유형의 파일에 대한 할당량을 비롯한 민감한 데이터 검색 할당량 목록은 메이시 쿼터 섹션을 참조하세요. Macie가 민감도 점수를 업데이트하는 방법가 S3 버킷에 대해 제공하는 기타 정보에 대한 자세한 내용은 민감한 데이터 자동 검색의 작동 방식 섹션을 참조하세요.

Amazon S3는 S3 객체에 대한 여러 암호화 옵션을 지원합니다. 대부분의 경우 Macie는 계정의 Macie 서비스 연결 역할을 사용하여 객체의 암호를 해독할 수 있습니다. 하지만, 이는 사용된 암호화 유형에 따라 달라질 수 있습니다.

Macie가 S3 객체의 암호를 해독하려면 해당 객체는 Macie가 액세스할 수 있고 사용할 수 있는 키로 암호화되어 있어야 합니다. 객체가 고객 제공 키로 암호화된 경우 Macie는 Amazon S3에서 객체를 검색하는 데 필요한 키 자료를 제공할 수 없습니다. 따라서 Macie는 객체를 분석할 수 없고 객체에 대한 분석 상태는 건너뜀(SKIPPED)입니다.

이 오류를 해결하려면 Amazon S3 관리형 키 또는 AWS Key Management Service (AWS KMS) 키를 사용하여 Amazon S3 객체를 암호화합니다. AWS KMS 키를 사용하려는 경우 키는 Macie가 사용할 수 있는 AWS 관리형 KMS 키 또는 고객 관리형 KMS 키일 수 있습니다.

Macie가 액세스하여 사용할 수 있는 키로 기존 S3 객체를 암호화하려면 객체의 암호화 설정을 변경하면 됩니다. Macie가 액세스하여 사용할 수 있는 키로 새 객체를 암호화하려면 S3 버킷의 기본 암호화 설정을 변경합니다. 또한 버킷 정책에 따라 고객 제공 키로 새 객체를 암호화해야는지 확인하세요.

이 오류를 수정하지 않으면 Macie는 S3 버킷의 다른 객체를 분석하려고 시도합니다. Macie가 다른 객체를 성공적으로 분석하면 Macie는 버킷에 대해 제공하는 적용 범위 데이터 및 기타 정보를 업데이트합니다.

Macie를 사용하여 암호화된 S3 객체를 분석하기 위한 요구 사항 및 옵션에 대한 자세한 내용은 암호화된 Amazon S3 객체 분석 섹션을 참조하세요. S3 버킷의 암호화 옵션 및 설정에 대한 자세한 내용은 Amazon Simple Storage Service 사용 설명서의 암호화로 데이터 보호 및 S3 버킷에 대한 기본 서버 측 암호화 동작 설정 섹션을 참조하세요.

AWS KMS 는 고객 관리형 를 비활성화하고 삭제하는 옵션을 제공합니다 AWS KMS keys. S3 객체가 비활성화된 KMS 키로 암호화되거나 삭제가 예약되거나 삭제된 경우 Macie는 객체를 검색하고 복호화할 수 없습니다. 따라서 Macie는 객체를 분석할 수 없고 객체에 대한 분석 상태는 건너뜀(SKIPPED)입니다. Macie가 암호화된 객체를 분석하려면 해당 객체는 Macie가 액세스할 수 있고 사용할 수 있는 키로 암호화되어 있어야 합니다.

이 오류를 해결하려면 키의 현재 상태에 따라 해당 를 다시 활성화 AWS KMS key 하거나 키의 예약된 삭제를 취소합니다. 해당 키가 이미 삭제된 경우 이 오류를 수정할 수 없습니다.

S3 객체를 암호화하는 데 AWS KMS key 사용된 객체를 확인하려면 Macie를 사용하여 S3 버킷의 서버 측 암호화 설정을 검토하는 것으로 시작할 수 있습니다. 버킷에 대한 기본 암호화 설정이 KMS 키를 사용하도록 구성된 경우 버킷의 세부 정보는 사용되는 키를 나타냅니다. 그리고 해당 키의 상태를 확인할 수 있습니다. 또는 Amazon S3를 사용하여 버킷과 버킷의 개별 객체에 대한 암호화 설정을 검토할 수 있습니다.

이 오류를 수정하지 않으면 Macie는 S3 버킷의 다른 객체를 분석하려고 시도합니다. Macie가 다른 객체를 성공적으로 분석하면 Macie는 버킷에 대해 제공하는 적용 범위 데이터 및 기타 정보를 업데이트합니다.

Macie를 사용하여 S3 버킷의 서버 측 암호화 설정을 검토하는 방법에 대한 자세한 내용은 S3 버킷의 세부 정보 검토 섹션을 참조하세요. 키의 예약된 삭제를 다시 활성화 AWS KMS key 하거나 취소하는 방법에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서의 키 활성화 및 비활성화 및 키 삭제를 참조하세요.

이 오류는 일반적으로 S3 객체가 Macie가 사용할 수 없는 고객 관리형 AWS Key Management Service (AWS KMS) 키로 암호화되어 있기 때문에 발생합니다. 고객이 관리하는 로 객체를 암호화하는 경우 키의 정책은 Macie AWS KMS key가 키를 사용하여 데이터를 복호화하도록 허용해야 합니다.

Amazon S3 권한 설정으로 인해 Macie가 S3 객체를 검색하지 못하는 경우에도 이 오류가 발생할 수 있습니다. S3 버킷의 버킷 정책은 특정 버킷 객체에 대한 액세스를 제한하거나 특정 주체(사용자, 계정, 서비스 또는 기타 엔터티)만 객체에 액세스하도록 허용할 수 있습니다. 또는 객체에 대한 액세스 제어 목록(ACL)이 객체에 대한 액세스를 제한할 수 있습니다. 따라서 Macie는 객체에 액세스하지 못할 수 있습니다.

위의 모든 경우 Macie는 객체를 검색 및 분석할 수 없으며, 객체의 분석 상태는 건너뜀(SKIPPED)입니다.

이 오류를 해결하려면 S3 객체가 고객 관리형 AWS KMS key(으)로 암호화되어 있는지 확인하세요. 그렇다면 키의 정책에서 Macie 서비스 연결 역할(AWSServiceRoleForAmazonMacie)이 키로 데이터를 해독하도록 허용하는지 확인하세요. 이 액세스를 허용하는 방법은 를 소유한 계정이 객체를 저장하는 S3 버킷 AWS KMS key 도 소유하는지 여부에 따라 달라집니다. 동일한 계정이 KMS 키와 버킷을 소유한 경우 계정 사용자는 키 정책을 업데이트해야 합니다. 한 계정이 KMS 키를 소유하고 다른 계정이 버킷을 소유하는 경우 키를 소유한 계정의 사용자는 키에 대한 교차 계정 액세스를 허용해야 합니다.

Macie가 이미 해당 를 사용하도록 허용 AWS KMS key 되었거나 S3 객체가 고객 관리형 KMS 키로 암호화되지 않은 경우 버킷의 정책에서 Macie가 객체에 액세스할 수 있도록 허용해야 합니다. 또한 객체의 에서 Macie가 객체의 데이터 및 메타데이터를 읽을 수 있도록 ACL 허용하는지 확인합니다.

버킷 정책의 경우 Macie 서비스 연결 역할에 대한 조건을 정책에 추가하여 이러한 액세스를 허용할 수 있습니다. 조건은 Macie 서비스 연결 역할이 정책의 Deny 제한과 일치하지 않도록 해야 합니다. 이 작업은 계정의 Macie 서비스 연결 역할의 aws:PrincipalArn 글로벌 조건 컨텍스트 키와 Amazon 리소스 이름(ARN)을 사용하여 수행할 수 있습니다.

객체 의 경우 객체 소유자와 협력하여 객체에 대한 READ 권한이 있는 AWS 계정 권한 부여자로 를 추가하여 이 액세스를 허용할 ACL수 있습니다. 그러면 Macie는 계정의 서비스 연결 역할을 사용하여 객체를 검색하고 분석할 수 있습니다. 또한 버킷의 객체 소유권 설정을 변경하는 것도 고려해 보세요. 이러한 설정을 사용하여 버킷의 모든 객체에 ACLs 대해 를 비활성화하고 버킷을 소유한 계정에 소유권 권한을 부여할 수 있습니다.

이 오류를 수정하지 않으면 Macie는 S3 버킷의 다른 객체를 분석하려고 시도합니다. Macie가 다른 객체를 성공적으로 분석하면 Macie는 버킷에 대해 제공하는 적용 범위 데이터 및 기타 정보를 업데이트합니다.

Macie가 고객 관리형 AWS KMS key을(를) 사용하여 데이터를 해독하도록 허용하는 방법에 대한 자세한 내용은 Macie가 고객 관리형을 사용하도록 허용 AWS KMS key 섹션을 참조하세요. Macie가 버킷에 액세스할 수 있도록 S3 버킷 정책을 업데이트하는 방법에 대한 자세한 내용은 Macie가 S3 버킷 및 객체에 액세스할 수 있도록 허용 섹션을 참조하세요.

키 정책 업데이트에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서의 키 정책 변경을 참조하세요. S3 객체를 암호화하는 AWS KMS keys 데 고객 관리형을 사용하는 방법에 대한 자세한 내용은 Amazon Simple Storage Service 사용 설명서의 AWS KMS 키를 사용하여 서버 측 암호화 사용을 참조하세요.

버킷 정책을 사용하여 S3 버킷에 대한 액세스를 제어하는 방법에 대한 자세한 내용은 Amazon Simple Storage Service 사용 설명서의 액세스 관리 및 Amazon S3가 요청을 승인하는 방법을 참조하세요. ACLs 또는 객체 소유권 설정을 사용하여 S3 객체에 대한 액세스를 제어하는 방법에 대한 자세한 내용은 Amazon Simple Storage Service 사용 설명서의 객체에 대한 액세스 관리 ACLs 및 소유권 제어 및 버킷에 대한 비활성화를 참조하세요. ACLs

선택 및 분석에 적합하려면 S3 객체가 Macie가 지원하는 Amazon S3 스토리지 클래스를 사용해야 합니다. 또한 객체에는 Macie가 지원하는 파일 또는 스토리지 형식의 파일 이름 확장자가 있어야 합니다. 객체가 이러한 기준을 충족하지 않는 경우 해당 객체는 분류할 수 없는 객체로 취급됩니다. Macie는 분류할 수 없는 객체의 데이터를 검색하거나 분석하려고 시도하지 않습니다.

S3 버킷의 모든 객체가 분류할 수 없는 객체인 경우 전체 버킷은 분류할 수 없는 버킷입니다. Macie는 버킷에 대해 민감한 데이터 자동 검색을 수행할 수 없습니다.

이 문제를 해결하려면 S3 버킷에 객체를 저장하는 데 사용되는 스토리지 클래스를 결정하는 수명 주기 구성 규칙 및 기타 설정을 검토하세요. Macie가 지원하는 스토리지 클래스를 사용하도록 이러한 설정을 조정하는 것을 고려해 보세요. 버킷에 있는 기존 객체의 스토리지 클래스를 변경할 수도 있습니다.

또한 S3 버킷에 있는 기존 객체의 파일 및 스토리지 형식을 평가합니다. 객체를 분석하려면 지원되는 형식을 사용하는 새 객체로 데이터를 일시적 또는 영구적으로 이식하는 것을 고려해 보세요.

객체가 S3 버킷에 추가되고 지원되는 스토리지 클래스와 형식을 사용하는 경우, Macie는 다음에 버킷 인벤토리를 평가할 때 객체를 감지합니다. 이 경우 Macie는 Amazon S3 데이터에 대해 제공하는 통계, 적용 범위 데이터 및 기타 정보에서 버킷을 분류할 수 없음으로 보고하는 것을 중단합니다. 또한 후속 분석 주기에서는 새로운 객체가 분석에서 우선 순위가 높아지게 됩니다.

Amazon S3 스토리지 클래스와 Macie가 지원하는 파일 및 스토리지 형식에 대한 자세한 내용은 지원하는 스토리지 클래스 및 형식 섹션을 참조하세요. 수명 주기 구성 규칙 및 Amazon S3에서 제공하는 스토리지 클래스 옵션에 대한 자세한 내용은 Amazon Simple Storage Service 사용 설명서의 스토리지 수명 주기 관리 및 Amazon S3 스토리지 클래스 사용 섹션을 참조하세요.