민감한 데이터 검색 결과 저장 및 유지 - Amazon Macie
시작하기 전에: 주요 개념 알아보기1단계: 권한 확인2단계: 구성 AWS KMS key3단계: S3 버킷 선택

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

민감한 데이터 검색 결과 저장 및 유지

민감한 데이터 검색 작업을 실행하거나 Amazon Macie가 민감한 데이터 자동 검색을 수행할 때 Macie는 분석 범위에 포함된 각 Amazon Simple Storage Service(S3) 객체에 대한 분석 레코드를 생성합니다. 민감한 데이터 검색 결과라고 하는 이러한 레코드는 Macie가 개별 S3 객체에 대해 수행하는 분석에 대한 상세 정보를 기록합니다. 여기에는 민감한 데이터를 찾지 못해서 민감한 데이터 결과가 생성되지 않는 객체와 오류 또는 문제로 인해 Macie가 분석할 수 없는 객체도 포함됩니다. Macie가 객체에서 민감한 데이터를 감지하면 레코드에는 해당 조사 결과의 데이터와 추가 정보가 포함됩니다. 민감한 데이터 검색 결과에는 데이터 프라이버시 및 보호 감사 또는 조사에 도움이 될 수 있는 분석 기록이 표시됩니다.

Macie는 민감한 데이터 검색 결과를 90일 동안만 저장합니다. 결과에 액세스하고 결과를 장기간 저장 및 보관하려면, 결과를 AWS Key Management Service (AWS KMS)키로 암호화하고 S3 버킷에 저장하도록 Macie를 구성하십시오. 버킷은 모든 민감한 데이터 검색 결과를 위한 확정적이고 장기적인 리포지토리 역할을 할 수 있습니다. 그런 다음, 필요에 따라 해당 리포지토리에 있는 결과에 액세스하고 쿼리할 수 있습니다.

이 주제에서는 를 사용하여 민감한 데이터 검색 결과에 대한 리포지토리를 AWS Management Console 구성하는 프로세스를 안내합니다. 구성은 결과를 암호화하는 , 결과를 저장하는 S3 범용 버킷, 사용할 키와 버킷을 지정하는 Macie 설정의 AWS KMS key 조합입니다. Macie 설정을 프로그래밍 방식으로 구성하려면 Amazon Macie 의 PutClassificationExportConfiguration 작업을 사용할 수 있습니다API.

Macie에서 설정을 구성할 때 선택한 항목은 현재 AWS 리전에만 적용됩니다. 조직의 Macie 관리자인 경우 선택 사항은 해당 계정에만 적용됩니다. 연결된 멤버 계정에는 적용되지 않습니다. 민감한 데이터 자동 검색을 활성화하거나 민감한 데이터 검색 작업을 실행하여 멤버 계정의 데이터를 분석하는 경우 Macie는 민감한 데이터 검색 결과를 관리자 계정의 리포지토리에 저장합니다.

여러 에서 Macie를 사용하는 경우 Macie를 사용하는 각 리전에 대해 리포지토리 설정을 AWS 리전구성합니다. 필요에 따라 여러 리전에 대한 민감한 데이터 검색 결과를 동일한 S3 버킷에 저장할 수 있습니다. 그러나 다음과 같은 요구 사항을 확인해야 합니다.

  • 미국 동부(버지니아 북부) 리전 AWS 계정과 같이 기본적으로 에 대해 를 AWS 활성화한 리전의 결과를 저장하려면 기본적으로 활성화된 리전에서 버킷을 선택해야 합니다. 옵트인 리전(기본적으로 비활성화되어 있는 리전)에서는 결과를 버킷에 저장할 수 없습니다.

  • 중동(바레인) 리전과 같은 옵트인 리전에 대한 결과를 저장하려면 동일한 리전 또는 기본적으로 활성화된 리전의 버킷을 선택해야 합니다. 결과는 다른 옵트인 리전의 버킷에 저장할 수 없습니다.

리전이 기본적으로 활성화되어 있는지 확인하려면 AWS Account Management 사용 설명서계정 AWS 리전 에서 활성화 또는 비활성화를 참조하세요. 위의 요구 사항 외에도 Macie가 개별 조사 결과에서 보고하는 민감한 데이터의 샘플을 검색할지 여부도 고려합니다. 영향을 받는 S3 객체에서 민감한 데이터 샘플을 검색하려면 영향을 받는 객체, 해당 결과 및 해당하는 민감한 데이터 검색 결과와 같은 모든 리소스와 데이터를 동일한 리전에 저장해야 합니다.

시작하기 전에: 주요 개념 알아보기

Amazon Macie는 민감한 데이터 검색 작업을 실행하거나 민감한 데이터 자동 검색을 수행할 때 분석하거나 분석하려고 시도하는 각 Amazon S3 객체에 대해 민감한 데이터 검색 결과를 자동으로 생성합니다. 여기에는 다음이 포함됩니다.

  • Macie가 민감한 데이터를 감지하여 민감한 데이터 결과를 생성하는 객체.

  • Macie가 민감한 데이터를 감지하지 못해 민감한 데이터 결과를 생성하지 않는 객체.

  • 권한 설정 또는 지원되지 않는 파일 또는 저장 형식 사용과 같은 오류나 문제로 인해 Macie가 분석할 수 없는 객체.

Macie가 S3 개체에서 민감한 데이터를 감지하는 경우, 민감한 데이터 검색 결과에는 해당 민감한 데이터에 대한 조사 결과도 포함됩니다. Macie가 객체에서 발견한 각 유형의 민감한 데이터가 1,000건 이상 발생한 위치와 같은 추가 정보도 제공합니다. 예:

  • Microsoft Excel 통합 문서, CSV 파일 또는 TSV 파일의 셀 또는 필드의 열 및 행 번호

  • JSON 또는 JSON 행 파일의 필드 또는 배열 경로

  • CSV, JSONJSON, 행 또는 파일 이외의 비바이너리 텍스트 TSV 파일의 행 번호. 예: HTML, TXT또는 XML 파일

  • Adobe Portable Document Format(PDF) 파일의 페이지 번호

  • Apache Avro 객체 컨테이너 또는 Apache Parquet 파일에 있는 레코드 인덱스 및 레코드 내 필드 경로

영향을 받는 S3 객체가 .tar 또는 .zip 파일과 같은 아카이브 파일인 경우, 민감한 데이터 검색 결과는 Macie가 아카이브에서 추출한 개별 파일에 민감한 데이터가 발생할 경우 자세한 위치 데이터도 제공합니다. Macie는 아카이브 파일에 대한 민감한 데이터 조사 결과에 이 정보를 포함시키지 않습니다. 위치 데이터를 보고하기 위해 민감한 데이터 검색 결과는 표준화된 스키마 JSON 를 사용합니다.

민감한 데이터 검색 결과에는 Macie가 발견한 민감한 데이터는 포함되지 않습니다. 대신 감사 또는 조사에 도움이 될 수 있는 분석 기록을 제공합니다.

Macie는 민감한 데이터 검색 결과를 90일 동안 저장합니다. Amazon Macie 콘솔 또는 Amazon Macie 를 통해 직접 액세스할 수 없습니다API. 대신 이 주제의 단계에 따라 AWS KMS key 지정한 로 결과를 암호화하도록 Macie를 구성하고, 지정한 S3 범용 버킷에 결과를 저장합니다. 그런 다음 Macie는 결과를 JSON Lines(.jsonl) 파일에 쓰고, 버킷에 파일을 GNU Zip(.gz) 파일로 추가하고, SSE-KMS 암호화를 사용하여 데이터를 암호화합니다. 2023년 11월 8일부터 Macie는 해시 기반 메시지 인증 코드(HMAC)로 결과 S3 객체에 서명합니다 AWS KMS key.

민감한 데이터 검색 결과를 S3 버킷에 저장하도록 Macie를 구성한 후에는 이 버킷이 결과의 최종적이고 장기적인 리포지토리 역할을 수행할 수 있습니다. 그런 다음, 필요에 따라 해당 리포지토리에 있는 결과에 액세스하고 쿼리할 수 있습니다.

민감한 데이터 검색 결과를 쿼리하고 사용하여 잠재적 데이터 보안 위험을 분석하고 보고하는 방법에 대한 자세한 지침 예제는 AWS 보안 블로그의 다음 블로그 게시물을 참조하세요. Amazon Athena 및 Amazon 를 사용하여 Macie 민감한 데이터 검색 결과를 쿼리하고 시각화하는 방법 QuickSight.

민감한 데이터 검색 결과를 분석하는 데 사용할 수 있는 Amazon Athena 쿼리 샘플은 의 Amazon Macie Results Analytics 리포지토리를 참조하세요 GitHub. 또한 이 리포지토리는 결과를 검색하고 해독할 수 있게 Athena를 구성하는 지침과 결과에 대한 테이블을 생성하는 스크립트도 제공합니다.

1단계: 권한 확인

민감한 데이터 검색 결과에 대한 리포지토리를 구성하기 전에 결과를 암호화하고 저장하는 데 필요한 권한이 있는지 확인합니다. 권한을 확인하려면 AWS Identity and Access Management (IAM)를 사용하여 IAM 자격 증명에 연결된 IAM 정책을 검토합니다. 그런 다음 해당 정책의 정보를 리포지토리를 구성하기 위해 수행할 수 있는 다음 작업 목록과 비교합니다.

Amazon Macie

Macie의 경우 다음 작업을 수행할 수 있는지 확인합니다.

macie2:PutClassificationExportConfiguration

이 작업을 통해 Macie에서 리포지토리 설정을 추가하거나 변경할 수 있습니다.

Amazon S3

Amazon S3의 경우 다음 작업을 수행할 수 있는지 확인합니다.

  • s3:CreateBucket

  • s3:GetBucketLocation

  • s3:ListAllMyBuckets

  • s3:PutBucketAcl

  • s3:PutBucketPolicy

  • s3:PutBucketPublicAccessBlock

  • s3:PutObject

이러한 작업을 통해 리포지토리 역할을 할 수 있는 S3 범용 버킷에 액세스하고 구성할 수 있습니다.

AWS KMS

Amazon Macie 콘솔을 사용하여 리포지토리 설정을 추가하거나 변경하려면 다음 AWS KMS 작업을 수행할 수 있는 권한이 있는지 확인합니다.

  • kms:DescribeKey

  • kms:ListAliases

이러한 작업을 통해 계정의 AWS KMS keys 에 대한 정보를 검색하고 표시할 수 있습니다. 그런 다음 이러한 키 중 하나를 선택하여 민감한 데이터 검색 결과를 암호화할 수 있습니다.

데이터를 암호화하는 새 AWS KMS key 를 생성하려는 경우 , kms:CreateKey kms:GetKeyPolicy및 도 수행할 수 있어야 합니다kms:PutKeyPolicy.

필수 작업을 수행할 수 없는 경우 다음 단계로 진행하기 전에 AWS 관리자에게 지원을 요청하십시오.

2단계: AWS KMS key구성

권한을 확인한 후 Macie AWS KMS key 가 민감한 데이터 검색 결과를 암호화하는 데 사용할 권한을 결정합니다. 키는 결과를 저장하려는 S3 버킷 AWS 리전 과 동일한 에서 활성화된 고객 관리형 대칭 암호화 KMS 키여야 합니다.

키는 사용자 계정 AWS KMS key 의 기존 또는 다른 계정이 소유 AWS KMS key 한 기존일 수 있습니다. 새 KMS 키를 사용하려면 계속하기 전에 키를 생성합니다. 다른 계정이 소유한 기존 키를 사용하려면 키의 Amazon 리소스 이름(ARN)을 가져옵니다. Macie에서 리포지토리 설정을 구성할 ARN 때 이를 입력해야 합니다. KMS 키 설정 생성 및 검토에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서를 참조하세요.

참고

키는 외부 키 스토어 AWS KMS key 의 가 될 수 있습니다. 하지만 이 키는 AWS KMS내에서 완전히 관리되는 키보다 속도가 느리고 안정성이 떨어질 수 있습니다. 민감한 데이터 검색 결과를 S3 버킷 키로 사용하도록 구성된 S3 버킷에 저장하면 이러한 위험을 줄일 수 있습니다. 이렇게 하면 민감한 데이터 검색 결과를 암호화하기 위해 수행해야 하는 AWS KMS 요청 횟수를 줄일 수 있습니다.

외부 KMS 키 스토어에서 키를 사용하는 방법에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서외부 키 스토어를 참조하세요. S3 버킷 키 사용에 대한 자세한 내용은 Amazon Simple Storage Service 사용 설명서의KMS Amazon S3 버킷 키를 SSE사용하여 비용 절감Amazon S3을 참조하세요.

Macie가 사용할 KMS 키를 결정한 후 Macie에게 키를 사용할 수 있는 권한을 부여합니다. 그렇지 않으면 Macie는 결과를 암호화하거나 리포지토리에 저장할 수 없습니다. Macie에게 키 사용 권한을 부여하려면 키에 대한 키 정책을 업데이트하십시오. 키 정책 및 키에 대한 액세스 관리에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서의 에서 키 정책을 AWS KMS KMS 참조하세요.

키 정책을 업데이트하려면

  1. AWS KMS 콘솔을 https://console.aws.amazon.com/km 에서 엽니다.

  2. 를 변경하려면 페이지 오른쪽 상단의 리전 선택기를 AWS 리전사용합니다.

  3. Macie에서 민감한 데이터 검색 결과를 암호화하는 데 사용할 키를 선택합니다.

  4. 키 정책 탭에서 편집을 선택합니다.

  5. 다음 문을 클립보드에 복사한 다음 정책에 추가합니다.

    {
    "Sid": "Allow Macie to use the key",
    "Effect": "Allow",
    "Principal": {
        "Service": "macie.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Encrypt"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": "111122223333"
         },
         "ArnLike": {
             "aws:SourceArn": [
                 "arn:aws:macie2:Region:111122223333:export-configuration:*",
                 "arn:aws:macie2:Region:111122223333:classification-job/*"
             ]
         }
    }
}
    참고

    정책에 문을 추가할 때 구문이 올바른지 확인합니다. 정책은 JSON 형식을 사용합니다. 즉, 정책에 성명문을 추가하는 위치에 따라 명령문 앞이나 뒤에 쉼표를 추가해야 합니다. 문을 정책의 마지막 문으로 추가하는 경우 이전 섹션의 닫는 괄호 뒤에 쉼표를 추가합니다. 문을 첫 번째 문으로 추가하거나 기존 두 문 사이에 추가하는 경우 닫는 괄호 뒤에 쉼표를 추가합니다.

  6. 환경에 맞는 올바른 값으로 명령문을 업데이트합니다.

    • Condition 필드에서 자리 표시자 값을 다음과 같이 바꿉니다.

      • 111122223333 는 의 계정 ID입니다 AWS 계정.

      • Region 는 Macie AWS 리전 를 사용하는 이고 Macie가 키를 사용하도록 허용하려는 입니다.

        여러 리전에서 Macie를 사용하고 있으며 Macie가 다른 리전에서도 키를 사용할 수 있도록 허용하려면 각 리전에 aws:SourceArn 조건을 추가합니다. 예:

        "aws:SourceArn": [
    "arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
    "arn:aws:macie2:us-east-1:111122223333:classification-job/*",
    "arn:aws:macie2:us-west-2:111122223333:export-configuration:*",
    "arn:aws:macie2:us-west-2:111122223333:classification-job/*"
]

        또는 Macie가 모든 리전에서 키를 사용하도록 허용할 수도 있습니다. 이렇게 하려면 자리표시자 값을 와일드카드 문자(*)로 바꿉니다. 예:

        "aws:SourceArn": [
    "arn:aws:macie2:*:111122223333:export-configuration:*",
    "arn:aws:macie2:*:111122223333:classification-job/*"
]

    • 옵트인 리전에서 Macie를 사용하는 경우 Service 필드 값에 적절한 리전 코드를 추가합니다. 예를 들어 계정이 지역 코드 me-south-1인 중동(바레인) 지역서 Macie를 사용하는 경우 ARN에서 macie.amazonaws.com.rproxy.goskope.commacie.me-south-1.amazonaws.com으로 바꾸십시오. 현재 Macie를 사용할 수 있는 리전 목록 및 각 리전의 지역 코드는 AWS 일반 참조Amazon Macie 엔드포인트 및 할당량을 참조하세요.

    Condition 필드는 두 개의 IAM 전역 조건 키를 사용합니다.

    • aws:SourceAccount – 이 조건을 사용하면 Macie가 계정에 대해 지정된 작업만 수행할 수 있습니다. 좀 더 구체적으로 설명하면 aws:SourceArn 조건으로 지정된 리소스 및 작업에 대해 지정된 작업을 수행할 수 있는 계정을 결정합니다.

      Macie가 다른 계정에서도 지정된 작업을 수행할 수 있도록 하려면 각 계정의 계정 ID를 이 조건에 추가합니다. 예:

      "aws:SourceAccount": [111122223333,444455556666]

    • aws:SourceArn – 이 조건은 다른 AWS 서비스 이 지정된 작업을 수행하지 못하도록 합니다. 또한 계정에서 다른 작업을 수행하는 동안 Macie가 키를 사용하지 못하도록 합니다. 즉, Macie는 객체가 민감한 데이터 검색 결과이고 결과가 지정된 리전의 지정된 계정에서 생성된 민감한 데이터 자동 검색 또는 민감한 데이터 검색 작업에 대한 것인 경우에만 키로 S3 객체를 암호화할 수 있습니다.

      Macie가 추가 계정에 대해 지정된 작업을 수행하도록 허용하려면 이 조건에 각 추가 계정에 ARNs 를 추가합니다. 예:

      "aws:SourceArn": [
    "arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
    "arn:aws:macie2:us-east-1:111122223333:classification-job/*",
    "arn:aws:macie2:us-east-1:444455556666:export-configuration:*",
    "arn:aws:macie2:us-east-1:444455556666:classification-job/*"
]

    aws:SourceAccountaws:SourceArn 조건에 지정된 계정이 일치해야 합니다.

    이러한 조건은 Macie가 와의 트랜잭션 중에 혼동된 대리자로 사용되지 않도록 하는 데 도움이 됩니다 AWS KMS. 권장하지는 않지만 명령문에서 이러한 조건을 직접 삭제할 수 있습니다.

  7. 명령문 추가 및 업데이트를 마치면 변경 사항 저장을 선택합니다.

3단계: S3 버킷 선택

권한을 확인하고 를 구성한 후에는 민감한 데이터 검색 결과의 리포지토리로 사용할 S3 버킷을 지정할 준비가 AWS KMS key되었습니다. 여기에는 두 가지 옵션이 있습니다.

  • Macie가 생성하는 새 S3 버킷 사용 - 이 옵션을 선택하면 Macie는 검색 결과에 AWS 리전 대해 현재 에 새 S3 범용 버킷을 자동으로 생성합니다. Macie는 또한 해당 버킷에 버킷 정책을 적용합니다. 이 정책을 통해 Macie는 버킷에 객체를 추가할 수 있습니다. 또한 SSE-KMS 암호화를 사용하여 AWS KMS key 지정한 로 객체를 암호화해야 합니다. 정책을 검토하려면 버킷의 이름과 사용할 KMS 키를 지정한 후 Amazon Macie 콘솔에서 정책 보기를 선택합니다.

  • 생성한 기존 S3 버킷 사용 - 생성한 특정 S3 버킷에 검색 결과를 저장하려면 진행하기 전에 버킷을 생성해야 합니다. 버킷은 범용 버킷이어야 합니다. 또한 버킷의 설정 및 정책은 Macie가 버킷에 객체를 추가할 수 있도록 허용해야 합니다. 이 주제에서는 확인해야 할 설정과 정책을 업데이트하는 방법을 설명합니다. 또한 정책에 추가할 명령문의 예도 제공합니다.

다음 단원에서는 그 방법에 대해서 설명합니다. 원하는 옵션에 대한 선택사항을 선택합니다.

Macie가 생성한 새 S3 버킷을 사용하려는 경우 프로세스의 마지막 단계에서 Macie에 리포지토리 설정을 구성해야 합니다.

Macie에서 리포지토리 설정을 구성하려면

  1. 에서 Amazon Macie 콘솔을 엽니다https://console.aws.amazon.com/macie/.

  2. 탐색 창의 설정 아래에서 결과 찾기를 선택합니다.

  3. 민감한 데이터 검색 결과에 대한 리포지토리에서 버킷 생성을 선택합니다.

  4. 버킷 만들기 대화 상자에서 버킷 이름을 입력합니다.

    이 이름은 모든 S3 버킷에 대해 고유해야 합니다. 버킷 이름은 소문자, 숫자, 점(.) 및 하이픈(-)으로만 구성될 수 있습니다. 이름 지정 규칙의 추가 요건은 Amazon Simple Storage Service 사용 설명서버킷 이름 지정 규칙을 참조하세요.

  5. [Advanced] 단원을 확장합니다.

  6. (선택 사항) 버킷의 위치 경로에 사용할 접두사를 지정하려면 데이터 검색 결과 접두사 상자에 접두사를 입력합니다.

    값을 입력하면 Macie는 상자 아래의 예를 업데이트하여 검색 결과를 저장할 버킷의 위치 경로를 표시합니다.

  7. 모든 퍼블릭 액세스 차단에서 를 선택하여 버킷에 대한 모든 퍼블릭 액세스 차단 설정을 활성화합니다.

    이 설정에 대한 자세한 내용은 Amazon Simple Storage Service 사용 설명서Amazon S3 Storage에 대한 퍼블릭 액세스 차단을 참조하세요.

  8. 암호화 설정에서 Macie가 결과를 암호화하는 데 사용하려는 AWS KMS key 를 지정합니다.

    • 자신의 계정에 있는 키를 사용하려면 내 계정에서 키 선택을 선택합니다. 그런 다음 AWS KMS key목록에서 사용할 키를 선택합니다. 목록에는 계정의 고객 관리형 대칭 암호화 KMS 키가 표시됩니다.

    • 다른 계정이 소유한 키를 사용하려면 다른 계정 에서 키 ARN의 입력을 선택합니다. 그런 다음 AWS KMS key ARN 상자에 사용할 키의 Amazon 리소스 이름(ARN)을 입력합니다. 예: arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab.

  9. 규칙에 대한 설정 입력을 마치면 저장를 선택합니다.

    Macie는 설정이 올바른지 테스트합니다. 설정이 올바르지 않으면 Macie는 문제 해결에 도움이 되는 오류 메시지를 표시합니다.

리포지토리 설정을 저장하면 Macie는 이전 90일 동안의 기존 검색 결과를 리포지토리에 추가합니다. 또한 Macie는 새 검색 결과를 리포지토리에 추가하기 시작합니다.

민감한 데이터 검색 결과를 생성하는 특정 S3 버킷에 저장하려면 Macie에서 설정을 구성하기 전에 버킷을 생성하고 구성합니다. 버킷을 생성할 때 다음 요구 사항에 유의합니다.

  • 버킷은 범용 버킷이어야 합니다. 디렉터리 버킷일 수 없습니다.

  • 버킷에 대해 객체 잠금을 활성화하면 해당 기능에 대한 기본 보존 설정을 비활성화해야 합니다. 그렇지 않으면 Macie는 검색 결과를 버킷에 추가할 수 없습니다. 이 설정에 대한 정보는 Amazon Simple Storage Service 사용 설명서Amazon S3 객체 잠금 사용을 참조하세요.

  • 미국 동부(버지니아 북부) 리전 AWS 계정과 같이 에 대해 기본적으로 활성화된 리전에 대한 검색 결과를 저장하려면 버킷이 기본적으로 활성화된 리전에 있어야 합니다. 옵트인 리전(기본적으로 비활성화되어 있는 리전)에서는 결과를 버킷에 저장할 수 없습니다.

  • 중동(바레인) 리전과 같은 옵트인 리전에 대한 검색 결과를 저장하려면 버킷이 동일한 리전 또는 기본적으로 활성화된 리전에 있어야 합니다. 결과는 다른 옵트인 리전의 버킷에 저장할 수 없습니다.

리전이 기본적으로 활성화되어 있는지 확인하려면 AWS Account Management 사용 설명서계정 AWS 리전 에서 활성화 또는 비활성화를 참조하세요.

버킷을 생성한 후에는 Macie가 버킷에 대한 정보를 검색하고 버킷에 객체를 추가할 수 있도록 버킷 정책을 업데이트합니다. 그런 다음 Macie에서 설정을 구성할 수 있습니다.

버킷의 버킷 정책을 업데이트하는 방법

  1. 에서 Amazon S3 콘솔을 엽니다https://console.aws.amazon.com/s3/.

  2. 검색 결과를 저장할 버킷을 선택합니다.

  3. 권한 탭을 선택합니다.

  4. 버킷 정책 섹션에서 편집을 선택합니다.

  5. 다음 예제 정책을 클립보드에 복사합니다.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow Macie to use the GetBucketLocation operation",
            "Effect": "Allow",
            "Principal": {
                "Service": "macie.amazonaws.com"
            },
            "Action": "s3:GetBucketLocation",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333"
                },
                "ArnLike": {
                    "aws:SourceArn": [
                        "arn:aws:macie2:Region:111122223333:export-configuration:*",
                        "arn:aws:macie2:Region:111122223333:classification-job/*"
                    ]
                }
            }
        },
        {
            "Sid": "Allow Macie to add objects to the bucket",
            "Effect": "Allow",
            "Principal": {
                "Service": "macie.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional prefix/]*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333"
                },
                "ArnLike": {
                    "aws:SourceArn": [
                        "arn:aws:macie2:Region:111122223333:export-configuration:*",
                        "arn:aws:macie2:Region:111122223333:classification-job/*"
                    ]
                }
            }
        },
        {
            "Sid": "Deny unencrypted object uploads. This is optional",
            "Effect": "Deny",
            "Principal": {
                "Service": "macie.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional prefix/]*",
            "Condition": {
                "StringNotEquals": {
                    "s3:x-amz-server-side-encryption": "aws:kms"
                }
            }
        },
        {
            "Sid": "Deny incorrect encryption headers. This is optional",
            "Effect": "Deny",
            "Principal": {
                "Service": "macie.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional prefix/]*",
            "Condition": {
                "StringNotEquals": {
                    "s3:x-amz-server-side-encryption-aws-kms-key-id": "arn:aws:kms:Region:111122223333:key/KMSKeyId"
                }
            }
        },
        {
            "Sid": "Deny non-HTTPS access",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
            "Condition": {
                "Bool": {
                    "aws:SecureTransport": "false"
                }
            }
        }
    ]
}

  6. Amazon S3 콘솔의 버킷 정책 편집기에서 예제 정책을 붙여넣습니다.

  7. 환경에 맞는 올바른 값으로 정책을 업데이트합니다.

    • 잘못된 암호화 헤더를 거부하는 선택적 명령문에서:

      • Replace amzn-s3-demo-bucket 버킷의 이름을 사용합니다. 버킷의 위치에 대한 경로의 접두사를 지정하려면 를 바꿉니다.[optional prefix/] 접두사가 있습니다. 그렇지 않으면 [optional prefix/] 자리 표시자 값입니다.

      • StringNotEquals 조건에서 를 바꿉니다.arn:aws:kms:Region:111122223333:key/KMSKeyId 검색 결과의 암호화에 AWS KMS key 사용할 의 Amazon 리소스 이름(ARN)을 사용합니다.

    • 그 외 다른 모든 명령문에서는 다음과 같이 자리 표시자 값을 바꿉니다.

      • amzn-s3-demo-bucket 는 버킷의 이름입니다.

      • [optional prefix/] 는 버킷의 위치에 대한 경로의 접두사입니다. 접두사를 지정하지 않으려면 이 자리 표시자 값을 제거합니다.

      • 111122223333 는 의 계정 ID입니다 AWS 계정.

      • Region 는 Macie를 AWS 리전 사용 중이며 Macie가 버킷에 검색 결과를 추가하도록 허용하려는 입니다.

        여러 리전에서 Macie를 사용하고 있으며 Macie가 다른 리전에서도 결과를 버킷에 추가할 수 있도록 허용하려면 각 리전에 aws:SourceArn 조건을 추가합니다. 예:

        "aws:SourceArn": [
    "arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
    "arn:aws:macie2:us-east-1:111122223333:classification-job/*",
    "arn:aws:macie2:us-west-2:111122223333:export-configuration:*",
    "arn:aws:macie2:us-west-2:111122223333:classification-job/*"
]

        또는 Macie를 사용하는 모든 리전의 결과를 Macie가 버킷에 추가하도록 할 수도 있습니다. 이렇게 하려면 자리표시자 값을 와일드카드 문자(*)로 바꿉니다. 예:

        "aws:SourceArn": [
    "arn:aws:macie2:*:111122223333:export-configuration:*",
    "arn:aws:macie2:*:111122223333:classification-job/*"
]

    • 옵트인 리전에서 Macie를 사용하는 경우 Macie 서비스 주체를 지정하는 각 문의 Service 필드 값에 적절한 리전 코드를 추가합니다. 예를 들어 계정이 지역 코드 me-south-1인 중동(바레인) 지역에서 Macie를 사용하는 경우 적용되는 각 스테이트먼트에서 macie.amazonaws.com.rproxy.goskope.commacie.me-south-1.amazonaws.com으로 바꾸십시오. 현재 Macie를 사용할 수 있는 리전 목록 및 각 리전의 지역 코드는 AWS 일반 참조Amazon Macie 엔드포인트 및 할당량을 참조하세요.

    예제 정책에는 Macie가 버킷이 어느 리전에 있는지 확인하고(GetBucketLocation) 버킷에 객체를 추가할 수 있도록 하는(PutObject) 문이 포함되어 있습니다. 다음 문은 두 개의 IAM 전역 조건 키를 사용하는 조건을 정의합니다.

    • aws:SourceAccount - 이 조건을 사용하면 Macie가 계정에 대해서만 버킷에 민감한 데이터 검색 결과를 추가할 수 있습니다. 이렇게 하면 Macie가 다른 계정의 검색 결과를 버킷에 추가할 수 없게 됩니다. 좀 더 구체적으로 설명하면 aws:SourceArn 조건으로 지정된 리소스 및 작업에 대해 버킷을 사용할 수 있는 계정을 결정합니다.

      버킷에 다른 계정의 결과를 저장하려면 이 조건에 각 계정의 계정 ID를 추가합니다. 예:

      "aws:SourceAccount": [111122223333,444455556666]

    • aws:SourceArn – 이 조건은 버킷에 추가되는 객체의 소스에 따라 버킷에 대한 액세스를 제한합니다. 다른 사용자가 버킷 AWS 서비스 에 객체를 추가하는 것을 방지합니다. 또한 계정에서 다른 작업을 수행하는 동안 Macie가 버킷에 객체를 추가하지 못하도록 합니다. 보다 구체적으로 말하자면, 이 조건을 통해 Macie는 객체가 민감한 데이터 검색 결과이고 결과가 지정된 리전의 지정된 계정에서 생성된 민감한 데이터 자동 검색 또는 민감한 데이터 검색 작업에 대한 것인 경우에만 버킷에 객체를 추가할 수 있습니다.

      Macie가 추가 계정에 대해 지정된 작업을 수행하도록 허용하려면 이 조건에 각 추가 계정에 ARNs 를 추가합니다. 예:

      "aws:SourceArn": [
    "arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
    "arn:aws:macie2:us-east-1:111122223333:classification-job/*",
    "arn:aws:macie2:us-east-1:444455556666:export-configuration:*",
    "arn:aws:macie2:us-east-1:444455556666:classification-job/*"
]

    aws:SourceAccountaws:SourceArn 조건에 지정된 계정이 일치해야 합니다.

    이러한 조건은 Amazon S3와의 거래에서 Macie가 혼동된 대리자로 사용되는 것을 방지하는 데 도움이 됩니다. 권장하지는 않지만 버킷 정책에서 이러한 조건을 직접 삭제할 수 있습니다.

  8. 버킷 정책 업데이트가 완료되면 변경 사항 저장을 선택합니다.

이제 Macie에서 리포지토리 설정을 구성할 수 있습니다.

Macie에서 리포지토리 설정을 구성하려면

  1. 에서 Amazon Macie 콘솔을 엽니다https://console.aws.amazon.com/macie/.

  2. 탐색 창의 설정 아래에서 결과 찾기를 선택합니다.

  3. 민감한 데이터 검색 결과에 대한 리포지토리에서 기존 버킷을 선택합니다.

  4. 버킷 선택에서는 검색 결과를 저장할 버킷을 선택합니다.

  5. 버킷의 위치에 대한 경로의 접두사를 지정하려면 고급 섹션을 확장합니다. 그런 다음 데이터 검색 결과 접두사 에 접두사를 입력합니다.

    값을 입력하면 Macie는 상자 아래의 예를 업데이트하여 검색 결과를 저장할 버킷의 위치 경로를 표시합니다.

  6. 암호화 설정에서 Macie가 결과를 암호화하는 데 사용하려는 AWS KMS key 를 지정합니다.

    • 자신의 계정에 있는 키를 사용하려면 내 계정에서 키 선택을 선택합니다. 그런 다음 AWS KMS key목록에서 사용할 키를 선택합니다. 목록에는 계정의 고객 관리형 대칭 암호화 KMS 키가 표시됩니다.

    • 다른 계정이 소유한 키를 사용하려면 다른 계정 에서 키 ARN 의 입력을 선택합니다. 그런 다음 AWS KMS key ARN 상자에 사용할 키ARN의 를 입력합니다. 예: arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab.

  7. 규칙에 대한 설정 입력을 마치면 저장를 선택합니다.

    Macie는 설정이 올바른지 테스트합니다. 설정이 올바르지 않으면 Macie는 문제 해결에 도움이 되는 오류 메시지를 표시합니다.

리포지토리 설정을 저장하면 Macie는 이전 90일 동안의 기존 검색 결과를 리포지토리에 추가합니다. 또한 Macie는 새 검색 결과를 리포지토리에 추가하기 시작합니다.

참고

나중에 데이터 검색 결과 접두사 설정을 변경하는 경우 Amazon S3의 버킷 정책도 업데이트합니다. 이전 접두사를 지정하는 정책 문은 새 접두사를 지정해야 합니다. 그러지 않으면 Macie는 검색 결과를 버킷에 추가할 수 없습니다.

작은 정보

서버 측 암호화 비용을 줄이려면 S3 버킷 키를 사용하도록 S3 버킷을 구성하고 민감한 데이터 검색 결과의 암호화를 위해 구성 AWS KMS key 한 를 지정합니다. S3 버킷 키를 사용하면 에 대한 호출 수가 줄어들 AWS KMS어 AWS KMS 요청 비용이 절감될 수 있습니다. KMS 키가 외부 키 스토어에 있는 경우 S3 버킷 키를 사용하면 키 사용의 성능 영향을 최소화할 수도 있습니다. 자세한 내용은 Amazon Simple Storage Service 사용 설명서의KMS Amazon S3 버킷 키를 SSE사용한 비용 절감Amazon S3을 참조하세요.