민감한 데이터 검색 결과 저장 및 유지 - Amazon Macie
시작하기 전에: 주요 개념 알아보기1단계: 권한 확인2단계: AWS KMS key 구성3단계: S3 버킷 선택

민감한 데이터 검색 결과 저장 및 유지

민감한 데이터 검색 작업을 실행하거나 Amazon Macie가 민감한 데이터 자동 검색을 수행할 때 Macie는 분석 범위에 포함된 각 Amazon Simple Storage Service(S3) 객체에 대한 분석 레코드를 생성합니다. 민감한 데이터 검색 결과라고 하는 이러한 레코드는 Macie가 개별 S3 객체에 대해 수행하는 분석에 대한 상세 정보를 기록합니다. 여기에는 민감한 데이터를 찾지 못해서 민감한 데이터 결과가 생성되지 않는 객체와 오류 또는 문제로 인해 Macie가 분석할 수 없는 객체도 포함됩니다. Macie가 객체에서 민감한 데이터를 감지하면 레코드에는 해당 조사 결과의 데이터와 추가 정보가 포함됩니다. 민감한 데이터 검색 결과에는 데이터 프라이버시 및 보호 감사 또는 조사에 도움이 될 수 있는 분석 기록이 표시됩니다.

Macie는 민감한 데이터 검색 결과를 90일 동안만 저장합니다. 결과에 액세스하고 결과를 장기간 저장 및 보관하려면, 결과를 AWS Key Management Service(AWS KMS)키로 암호화하고 S3 버킷에 저장하도록 Macie를 구성하십시오. 버킷은 모든 민감한 데이터 검색 결과를 위한 확정적이고 장기적인 리포지토리 역할을 할 수 있습니다. 그런 다음, 필요에 따라 해당 리포지토리에 있는 결과에 액세스하고 쿼리할 수 있습니다.

이 주제에서는 AWS Management Console를 사용하여 민감한 데이터 검색 결과에 대한 리포지토리를 구성하는 프로세스를 설명합니다. 구성은 결과를 암호화하는 AWS KMS key, 결과를 저장하는 S3 범용 버킷, 사용할 키와 버킷을 나타내는 Macie 설정의 조합으로 이루어집니다. 프로그래밍 방식으로 Macie 설정을 구성할 때는 Amazon Macie API의 PutClassificationExportConfiguration 작업을 사용하면 됩니다.

Macie에서 설정을 구성할 때 선택한 항목은 현재 AWS 리전에만 적용됩니다. 조직의 Macie 관리자인 경우 선택 사항은 해당 계정에만 적용됩니다. 연결된 멤버 계정에는 적용되지 않습니다. 민감한 데이터 자동 검색을 활성화하거나 민감한 데이터 검색 작업을 실행하여 멤버 계정의 데이터를 분석하는 경우 Macie는 민감한 데이터 검색 결과를 관리자 계정의 리포지토리에 저장합니다.

여러 AWS 리전에서 Macie를 사용하는 경우, Macie를 사용하는 각 리전에 대한 리포지토리 설정을 구성합니다. 필요에 따라 여러 리전에 대한 민감한 데이터 검색 결과를 동일한 S3 버킷에 저장할 수 있습니다. 그러나 다음과 같은 요구 사항을 확인해야 합니다.

  • 미국 동부(버지니아 북부) 리전과 같이 AWS에서 기본적으로 AWS 계정에 대해 활성화하는 리전의 결과를 저장하려면 기본적으로 활성화된 리전에서 버킷을 선택해야 합니다. 옵트인 리전(기본적으로 비활성화되어 있는 리전)에서는 결과를 버킷에 저장할 수 없습니다.

  • 중동(바레인) 리전과 같은 옵트인 리전에 대한 결과를 저장하려면 동일한 리전 또는 기본적으로 활성화된 리전의 버킷을 선택해야 합니다. 결과는 다른 옵트인 리전의 버킷에 저장할 수 없습니다.

리전이 기본적으로 활성화되어 있는지 확인하려면 AWS Account Management 사용 설명서의 계정에서 AWS 리전 활성화 또는 비활성화를 참조하세요. 위의 요구 사항 외에도 Macie가 개별 조사 결과에서 보고하는 민감한 데이터의 샘플을 검색할지 여부도 고려합니다. 영향을 받은 S3 객체에서 민감한 데이터 샘플을 검색하려면 영향을 받은 객체, 해당 조사 결과 및 해당 민감한 데이터 검색 결과 등 모든 리소스와 데이터를 동일한 지역에 저장해야 합니다.

시작하기 전에: 주요 개념 알아보기

민감한 데이터 검색 작업을 실행하거나 민감한 데이터 자동 검색을 수행할 때 Amazon Macie는 분석하거나 분석을 시도하는 각 Amazon S3 객체의 민감한 데이터 검색 결과를 자동으로 생성합니다. 여기에는 다음이 포함됩니다.

  • Macie가 민감한 데이터를 감지하여 민감한 데이터 결과를 생성하는 객체.

  • Macie가 민감한 데이터를 감지하지 못해 민감한 데이터 결과를 생성하지 않는 객체.

  • 권한 설정 또는 지원되지 않는 파일 또는 저장 형식 사용과 같은 오류나 문제로 인해 Macie가 분석할 수 없는 객체.

Macie가 S3 개체에서 민감한 데이터를 감지하는 경우, 민감한 데이터 검색 결과에는 해당 민감한 데이터에 대한 조사 결과도 포함됩니다. Macie가 객체에서 발견한 각 유형의 민감한 데이터가 1,000건 이상 발생한 위치와 같은 추가 정보도 제공합니다. 예:

  • Microsoft Excel 통합 문서, CSV 파일 또는 TSV 파일에 있는 셀 또는 필드의 열 및 행 번호

  • JSON 또는 JSON 라인 파일에 있는 필드 또는 배열의 경로

  • CSV, JSON, JSON 라인 또는 TSV 파일이 아닌 비이진 텍스트 파일(예: HTML, TXT 또는 XML 파일)의 줄 번호

  • Adobe PDF(휴대용 문서 형식) 파일에 있는 페이지의 페이지 번호

  • Apache Avro 객체 컨테이너 또는 Apache Parquet 파일에 있는 레코드 인덱스 및 레코드 내 필드 경로

영향을 받는 S3 객체가 .tar 또는 .zip 파일과 같은 아카이브 파일인 경우, 민감한 데이터 검색 결과는 Macie가 아카이브에서 추출한 개별 파일의 민감한 데이터 발생에 대한 자세한 위치 데이터도 제공합니다. Macie는 아카이브 파일에 대한 민감한 데이터 조사 결과에 이 정보를 포함시키지 않습니다. 위치 데이터를 보고하기 위해 민감한 데이터 검색 결과는 표준화된 JSON 스키마를 사용합니다.

민감한 데이터 검색 결과에는 Macie가 발견한 민감한 데이터는 포함되지 않습니다. 대신 감사 또는 조사에 도움이 될 수 있는 분석 기록을 제공합니다.

Macie는 민감한 데이터 검색 결과를 90일 동안 저장합니다. Amazon Macie 콘솔이나 Amazon Macie API에서는 바로 액세스할 수 없습니다. 대신 이 주제에 나와 있는 단계에 따라 사용자가 지정한 AWS KMS key로 결과를 암호화하도록 Macie를 구성하고 함께 지정한 S3 범용 버킷에 결과를 저장합니다. 그런 다음 Macie는 결과를 JSON 라인(.jsonl) 파일에 쓰고, 버킷에 GNU Zip(.gz) 파일로 파일을 추가하고, SSE-KMS 암호화를 사용하여 데이터를 암호화합니다. 2023년 11월 8일부터 Macie는 결과 S3 객체에 해시 기반 메시지 인증 코드(HMAC) AWS KMS key로 서명합니다.

민감한 데이터 검색 결과를 S3 버킷에 저장하도록 Macie를 구성한 후에는 이 버킷이 결과의 최종적이고 장기적인 리포지토리 역할을 수행할 수 있습니다. 그런 다음, 필요에 따라 해당 리포지토리에 있는 결과에 액세스하고 쿼리할 수 있습니다.

민감한 데이터 검색 결과를 쿼리하고 사용하여 잠재적인 데이터 보안 위험을 분석 및 보고하는 방법에 대한 자세하고 교육적인 예는 AWS 보안 블로그 How to query and visualize Macie sensitive data discovery results with Amazon Athena and Amazon QuickSight 블로그 게시물을 참조하세요.

민감한 데이터 검색 결과를 분석하는 데 사용할 수 있는 Amazon Athena 쿼리 샘플은 GitHub의 Amazon Macie 결과 분석 리포지토리에서 찾을 수 있습니다. 또한 이 리포지토리는 결과를 검색하고 해독할 수 있게 Athena를 구성하는 지침과 결과에 대한 테이블을 생성하는 스크립트도 제공합니다.

1단계: 권한 확인

민감한 데이터 검색 결과에 대한 리포지토리를 구성하기 전에 결과를 암호화하고 저장하는 데 필요한 권한이 있는지 확인합니다. 권한을 확인하려면 AWS Identity and Access Management(IAM)을 사용하여 IAM ID에 연결된 IAM 정책을 검토하세요. 그런 다음 해당 정책의 정보를 리포지토리를 구성하기 위해 수행할 수 있는 다음 작업 목록과 비교합니다.

Amazon Macie

Macie의 경우 다음 작업을 수행할 수 있는지 확인합니다.

macie2:PutClassificationExportConfiguration

이 작업을 통해 Macie에서 리포지토리 설정을 추가하거나 변경할 수 있습니다.

Amazon S3

Amazon S3의 경우 다음 작업을 수행할 수 있는지 확인합니다.

  • s3:CreateBucket

  • s3:GetBucketLocation

  • s3:ListAllMyBuckets

  • s3:PutBucketAcl

  • s3:PutBucketPolicy

  • s3:PutBucketPublicAccessBlock

  • s3:PutObject

이러한 작업을 통해 리포지토리 역할을 할 수 있는 S3 범용 버킷에 액세스하고 구성할 수 있습니다.

AWS KMS

Amazon Macie 콘솔을 사용하여 리포지토리 설정을 추가하거나 변경하려면 다음 AWS KMS 작업을 수행할 수 있는 권한이 있는지 확인합니다.

  • kms:DescribeKey

  • kms:ListAliases

이러한 작업을 통해 계정의 AWS KMS keys에 대한 정보를 검색하고 표시할 수 있습니다. 그런 다음 이러한 키 중 하나를 선택하여 민감한 데이터 검색 결과를 암호화할 수 있습니다.

새 AWS KMS key를 만들어 데이터를 암호화하려는 경우 kms:CreateKey, kms:GetKeyPolicy, kms:PutKeyPolicy 작업을 수행할 수 있어야 합니다.

필요한 작업을 수행할 수 없는 경우 다음 단계로 진행하기 전에 AWS 관리자에게 도움을 요청하십시오.

2단계: AWS KMS key 구성

권한을 확인한 후 Macie가 민감한 데이터 검색 결과를 암호화하는 데 사용할 AWS KMS key를 결정합니다. 키는 결과를 저장하려는 S3 버킷과 동일한 AWS 리전에서 활성화된 고객 관리형 대칭 암호화 KMS 키여야 합니다.

키는 내 계정의 기존 AWS KMS key 또는 다른 계정이 소유하고 있는 기존 AWS KMS key일 수 있습니다. 새 KMS 키를 사용하려는 경우 계속하기 전에 키를 생성합니다. 다른 계정이 소유하고 있는 기존 키를 사용하려면 해당 키의 Amazon 리소스 이름(ARN)이 필요합니다. Macie에서 리포지토리 설정을 구성할 때 이 ARN을 입력해야 합니다. KMS 키 설정 생성 및 검토에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서를 참조하세요.

참고

키는 외부 키 저장소의 AWS KMS key일 수 있습니다. 하지만 이 키는 AWS KMS 내에서 완전히 관리되는 키보다 속도가 느리고 안정성이 떨어질 수 있습니다. 민감한 데이터 검색 결과를 S3 버킷 키로 사용하도록 구성된 S3 버킷에 저장하면 이러한 위험을 줄일 수 있습니다. 이렇게 하면 민감한 데이터 검색 결과를 암호화하기 위해 수행해야 하는 AWS KMS 요청 횟수를 줄일 수 있습니다.

외부 키 저장소에 있는 KMS 키 사용에 대한 정보는 AWS Key Management Service개발자 가이드외부 키 저장소를 참조하십시오. S3 버킷 키 사용에 대한 자세한 내용은 Amazon Simple Storage Service 사용 설명서Amazon S3 버킷 키로 SSE-KMS 비용 절감을 참조하세요.

Macie가 사용할 KMS 키를 결정한 후에는 Macie에 키 사용 권한을 부여합니다. 그렇지 않으면 Macie는 결과를 암호화하거나 리포지토리에 저장할 수 없습니다. Macie에게 키 사용 권한을 부여하려면 키에 대한 키 정책을 업데이트하십시오. 키 정책 및 KMS 키 액세스 관리에 대한 자세한 내용은 AWS Key Management Service개발자 가이드에서 AWS KMS의 키 정책을 참조하십시오.

키 정책을 업데이트하는 방법

  1. AWS KMS 콘솔(https://console.aws.amazon.com/kms)을 엽니다.

  2. AWS 리전을 변경하려면 페이지의 오른쪽 상단 모서리에 있는 리전 선택기를 사용합니다.

  3. Macie에서 민감한 데이터 검색 결과를 암호화하는 데 사용할 키를 선택합니다.

  4. 키 정책 탭에서 편집을 선택합니다.

  5. 다음 명령문을 클립보드에 복사한 다음 정책에 추가합니다.

    {
    "Sid": "Allow Macie to use the key",
    "Effect": "Allow",
    "Principal": {
        "Service": "macie.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Encrypt"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": "111122223333"
         },
         "ArnLike": {
             "aws:SourceArn": [
                 "arn:aws:macie2:Region:111122223333:export-configuration:*",
                 "arn:aws:macie2:Region:111122223333:classification-job/*"
             ]
         }
    }
}
    참고

    정책에 문을 추가할 때 구문이 올바른지 확인합니다. 정책은 JSON 형식입니다. 즉, 정책에 성명문을 추가하는 위치에 따라 명령문 앞이나 뒤에 쉼표를 추가해야 합니다. 문을 정책의 마지막 문으로 추가하는 경우 이전 섹션의 닫는 괄호 뒤에 쉼표를 추가합니다. 문을 첫 번째 문으로 추가하거나 기존 두 문 사이에 추가하는 경우 닫는 괄호 뒤에 쉼표를 추가합니다.

  6. 환경에 맞는 올바른 값으로 명령문을 업데이트합니다.

    • Condition 필드에서 자리 표시자 값을 다음과 같이 바꿉니다.

      • 111122223333은 AWS 계정의 계정 ID입니다.

      • 리전은 Macie를 사용하고 있으며 Macie가 키를 사용하도록 허용하려는 AWS 리전입니다.

        여러 리전에서 Macie를 사용하고 있으며 Macie가 다른 리전에서도 키를 사용할 수 있도록 허용하려면 각 리전에 aws:SourceArn 조건을 추가합니다. 예:

        "aws:SourceArn": [
    "arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
    "arn:aws:macie2:us-east-1:111122223333:classification-job/*",
    "arn:aws:macie2:us-west-2:111122223333:export-configuration:*",
    "arn:aws:macie2:us-west-2:111122223333:classification-job/*"
]

        또는 Macie가 모든 리전에서 키를 사용하도록 허용할 수도 있습니다. 이렇게 하려면 자리표시자 값을 와일드카드 문자(*)로 바꿉니다. 예:

        "aws:SourceArn": [
    "arn:aws:macie2:*:111122223333:export-configuration:*",
    "arn:aws:macie2:*:111122223333:classification-job/*"
]

    • 옵트인 리전에서 Macie를 사용하는 경우 Service 필드 값에 적절한 리전 코드를 추가합니다. 예를 들어 계정이 지역 코드 me-south-1인 중동(바레인) 지역서 Macie를 사용하는 경우 ARN에서 macie.amazonaws.com.rproxy.goskope.commacie.me-south-1.amazonaws.com으로 바꾸십시오. 현재 Macie를 사용할 수 있는 리전 목록 및 각 리전의 지역 코드는 AWS 일반 참조Amazon Macie 엔드포인트 및 할당량을 참조하세요.

    참고로 Condition 필드에는 두 개의 IAM 글로벌 조건 키가 사용됩니다.

    • aws:SourceAccount – 이 조건을 사용하면 Macie가 사용자 계정에 대해서만 지정된 작업을 수행할 수 있습니다. 좀 더 구체적으로 설명하면 aws:SourceArn 조건으로 지정된 리소스 및 작업에 대해 지정된 작업을 수행할 수 있는 계정을 결정합니다.

      Macie가 다른 계정에서도 지정된 작업을 수행할 수 있도록 하려면 각 계정의 계정 ID를 이 조건에 추가합니다. 예:

      "aws:SourceAccount": [111122223333,444455556666]

    • aws:SourceArn – 이 조건은 다른 AWS 서비스에서 지정된 작업을 수행하지 못하도록 합니다. 또한 계정에서 다른 작업을 수행하는 동안 Macie가 키를 사용하지 못하도록 합니다. 즉, Macie가 키를 사용하여 S3 객체를 암호화할 수 있는 경우는 다음과 같습니다. 객체가 민감한 데이터 검색 결과이고, 결과가 민감한 데이터 자동 검색 또는 지정된 리전의 지정된 계정에서 생성한 민감한 데이터 검색 작업인 경우입니다.

      Macie가 다른 계정에서도 지정된 작업을 수행할 수 있도록 하려면 각 계정의 ARN을 이 조건에 추가합니다. 예:

      "aws:SourceArn": [
    "arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
    "arn:aws:macie2:us-east-1:111122223333:classification-job/*",
    "arn:aws:macie2:us-east-1:444455556666:export-configuration:*",
    "arn:aws:macie2:us-east-1:444455556666:classification-job/*"
]

    aws:SourceAccountaws:SourceArn 조건에 지정된 계정이 일치해야 합니다.

    이러한 조건은 AWS KMS와의 거래에서 Macie가 혼동된 대리자로 사용되는 것을 방지하는 데 도움이 됩니다. 권장하지는 않지만 명령문에서 이러한 조건을 직접 삭제할 수 있습니다.

  7. 명령문 추가 및 업데이트를 마치면 변경 사항 저장을 선택합니다.

3단계: S3 버킷 선택

권한을 확인하고 AWS KMS key를 구성한 후에는 민감한 데이터 검색 결과의 리포지토리로 사용할 S3 버킷을 지정할 수 있습니다. 여기에는 두 가지 옵션이 있습니다.

  • Macie가 생성한 새 S3 버킷 사용 - 이 옵션을 선택하면 Macie는 검색 결과에 대해 현재 AWS 리전에 새 S3 범용 버킷을 자동으로 생성합니다. Macie는 또한 해당 버킷에 버킷 정책을 적용합니다. 이 정책을 통해 Macie는 버킷에 객체를 추가할 수 있습니다. 또한 SSE-KMS 암호화를 사용하여 지정한 AWS KMS key로 개체를 암호화해야 합니다. 정책을 검토하려면 버킷의 이름과 사용할 KMS 키를 지정한 후 Amazon Macie 콘솔에서 정책 보기를 선택합니다.

  • 생성한 기존 S3 버킷 사용 - 생성한 특정 S3 버킷에 검색 결과를 저장하려면 진행하기 전에 버킷을 생성해야 합니다. 버킷은 범용 버킷이어야 합니다. 또한 버킷의 설정과 정책에서 Macie가 버킷에 객체를 추가할 수 있도록 허용해야 합니다. 이 주제에서는 확인해야 할 설정과 정책을 업데이트하는 방법을 설명합니다. 또한 정책에 추가할 명령문의 예도 제공합니다.

다음 단원에서는 그 방법에 대해서 설명합니다. 원하는 옵션에 대한 선택사항을 선택합니다.

Macie가 생성한 새 S3 버킷을 사용하려는 경우 프로세스의 마지막 단계에서 Macie에 리포지토리 설정을 구성해야 합니다.

Macie에서 리포지토리 설정을 구성하려면

  1. https://console.aws.amazon.com/macie/에서 Amazon Macie 콘솔을 엽니다.

  2. 탐색 창의 설정 아래에서 결과 찾기를 선택합니다.

  3. 민감한 데이터 검색 결과에 대한 리포지토리에서 버킷 생성을 선택합니다.

  4. 버킷 만들기 대화 상자에서 버킷 이름을 입력합니다.

    이 이름은 모든 S3 버킷에 대해 고유해야 합니다. 버킷 이름은 소문자, 숫자, 점(.) 및 하이픈(-)으로만 구성될 수 있습니다. 이름 지정 규칙의 추가 요건은 Amazon Simple Storage Service 사용 설명서버킷 이름 지정 규칙을 참조하세요.

  5. [Advanced] 단원을 확장합니다.

  6. (선택 사항) 버킷의 위치 경로에 사용할 접두사를 지정하려면 데이터 검색 결과 접두사 상자에 접두사를 입력합니다.

    값을 입력하면 Macie는 상자 아래의 예를 업데이트하여 검색 결과를 저장할 버킷의 위치 경로를 표시합니다.

  7. 모든 퍼블릭 액세스 차단에서 를 선택하여 버킷에 대한 모든 퍼블릭 액세스 차단 설정을 활성화합니다.

    이 설정에 대한 자세한 내용은 Amazon Simple Storage Service 사용 설명서Amazon S3 Storage에 대한 퍼블릭 액세스 차단을 참조하세요.

  8. 암호화 설정에서 Macie가 결과를 암호화하는 데 사용하려는 AWS KMS key를 지정합니다.

    • 자신의 계정에 있는 키를 사용하려면 내 계정에서 키 선택을 선택합니다. 그런 다음 AWS KMS key목록에서 사용할 키를 선택합니다. 목록에는 계정의 고객 관리형 대칭 암호화 KMS 키가 표시됩니다.

    • 다른 계정이 소유한 키를 사용하려면 다른 계정에 있는 키의 ARN 입력을 선택합니다. 그런 다음 AWS KMS key ARN 상자에 사용할 키의 Amazon 리소스 이름(ARN)을 입력합니다(예: arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab).

  9. 규칙에 대한 설정 입력을 마치면 저장를 선택합니다.

    Macie는 설정이 올바른지 테스트합니다. 설정이 올바르지 않으면 Macie는 문제 해결에 도움이 되는 오류 메시지를 표시합니다.

리포지토리 설정을 저장하면 Macie는 이전 90일 동안의 기존 검색 결과를 리포지토리에 추가합니다. 또한 Macie는 새 검색 결과를 리포지토리에 추가하기 시작합니다.

민감한 데이터 검색 결과를 생성한 특정 S3 버킷에 저장하려면 Macie에서 설정을 구성하기 전에 버킷을 만들고 구성합니다. 버킷을 생성할 때 다음 요구 사항에 유의합니다.

  • 버킷은 범용 버킷이어야 합니다. 버킷은 디렉터리 버킷일 수 없습니다.

  • 버킷에 대해 객체 잠금을 활성화하면 해당 기능에 대한 기본 보존 설정을 비활성화해야 합니다. 그렇지 않으면 Macie는 검색 결과를 버킷에 추가할 수 없습니다. 이 설정에 대한 정보는 Amazon Simple Storage Service 사용 설명서Amazon S3 객체 잠금 사용을 참조하세요.

  • 미국 동부(버지니아 북부) 리전과 같이 AWS 계정에서 기본적으로 활성화된 리전의 검색 결과를 저장하려면 버킷이 기본적으로 활성화된 리전에 있어야 합니다. 옵트인 리전(기본적으로 비활성화되어 있는 리전)에서는 결과를 버킷에 저장할 수 없습니다.

  • 중동(바레인) 리전과 같은 옵트인 리전에 대한 검색 결과를 저장하려면 버킷이 동일한 리전 또는 기본적으로 활성화된 리전에 있어야 합니다. 결과는 다른 옵트인 리전의 버킷에 저장할 수 없습니다.

리전이 기본적으로 활성화되어 있는지 확인하려면 AWS Account Management 사용 설명서의 계정에서 AWS 리전 활성화 또는 비활성화를 참조하세요.

버킷을 생성한 후에는 Macie가 버킷에 대한 정보를 검색하고 버킷에 객체를 추가할 수 있도록 버킷 정책을 업데이트합니다. 그런 다음 Macie에서 설정을 구성할 수 있습니다.

버킷의 버킷 정책을 업데이트하는 방법

  1. https://console.aws.amazon.com/s3/에서 Amazon S3 콘솔을 엽니다.

  2. 검색 결과를 저장할 버킷을 선택합니다.

  3. 권한 탭을 선택합니다.

  4. 버킷 정책 섹션에서 편집을 선택합니다.

  5. 다음 예제 정책을 클립보드에 복사합니다.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow Macie to use the GetBucketLocation operation",
            "Effect": "Allow",
            "Principal": {
                "Service": "macie.amazonaws.com"
            },
            "Action": "s3:GetBucketLocation",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333"
                },
                "ArnLike": {
                    "aws:SourceArn": [
                        "arn:aws:macie2:Region:111122223333:export-configuration:*",
                        "arn:aws:macie2:Region:111122223333:classification-job/*"
                    ]
                }
            }
        },
        {
            "Sid": "Allow Macie to add objects to the bucket",
            "Effect": "Allow",
            "Principal": {
                "Service": "macie.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional prefix/]*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333"
                },
                "ArnLike": {
                    "aws:SourceArn": [
                        "arn:aws:macie2:Region:111122223333:export-configuration:*",
                        "arn:aws:macie2:Region:111122223333:classification-job/*"
                    ]
                }
            }
        },
        {
            "Sid": "Deny unencrypted object uploads. This is optional",
            "Effect": "Deny",
            "Principal": {
                "Service": "macie.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional prefix/]*",
            "Condition": {
                "StringNotEquals": {
                    "s3:x-amz-server-side-encryption": "aws:kms"
                }
            }
        },
        {
            "Sid": "Deny incorrect encryption headers. This is optional",
            "Effect": "Deny",
            "Principal": {
                "Service": "macie.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional prefix/]*",
            "Condition": {
                "StringNotEquals": {
                    "s3:x-amz-server-side-encryption-aws-kms-key-id": "arn:aws:kms:Region:111122223333:key/KMSKeyId"
                }
            }
        },
        {
            "Sid": "Deny non-HTTPS access",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
            "Condition": {
                "Bool": {
                    "aws:SecureTransport": "false"
                }
            }
        }
    ]
}

  6. Amazon S3 콘솔의 버킷 정책 편집기에서 예제 정책을 붙여넣습니다.

  7. 환경에 맞는 올바른 값으로 정책을 업데이트합니다.

    • 잘못된 암호화 헤더를 거부하는 선택적 명령문에서:

      • amzn-s3-demo-bucket을 버킷 이름으로 바꿉니다. 버킷의 위치에 대한 경로의 접두사를 지정하려면 [선택 사항 접두사/]를 접두사로 바꿉니다. 그렇지 않으면 [선택 사항 접두사/] 자리 표시자 값을 제거합니다.

      • StringNotEquals 조건에서 arn:aws:kms:Region:111122223333:key/KMSKeyId를 AWS KMS key의 Amazon 리소스 이름(ARN)으로 대체하여 검색 결과를 암호화하는 데 사용합니다.

    • 그 외 다른 모든 명령문에서는 다음과 같이 자리 표시자 값을 바꿉니다.

      • amzn-s3-demo-bucket은 S3 버킷의 이름입니다.

      • [선택 사항 접두사/]는 버킷의 위치에 대한 경로의 접두사입니다. 접두사를 지정하지 않으려면 이 자리 표시자 값을 제거합니다.

      • 111122223333은 AWS 계정의 계정 ID입니다.

      • 리전은 Macie를 사용하고 있으며 Macie가 검색 결과를 버킷에 추가하도록 허용하려는 AWS 리전입니다.

        여러 리전에서 Macie를 사용하고 있으며 Macie가 다른 리전에서도 결과를 버킷에 추가할 수 있도록 허용하려면 각 리전에 aws:SourceArn 조건을 추가합니다. 예:

        "aws:SourceArn": [
    "arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
    "arn:aws:macie2:us-east-1:111122223333:classification-job/*",
    "arn:aws:macie2:us-west-2:111122223333:export-configuration:*",
    "arn:aws:macie2:us-west-2:111122223333:classification-job/*"
]

        또는 Macie를 사용하는 모든 리전의 결과를 Macie가 버킷에 추가하도록 할 수도 있습니다. 이렇게 하려면 자리표시자 값을 와일드카드 문자(*)로 바꿉니다. 예:

        "aws:SourceArn": [
    "arn:aws:macie2:*:111122223333:export-configuration:*",
    "arn:aws:macie2:*:111122223333:classification-job/*"
]

    • 옵트인 리전에서 Macie를 사용하는 경우 Macie 서비스 주체를 지정하는 각 문의 Service 필드 값에 적절한 리전 코드를 추가합니다. 예를 들어 계정이 지역 코드 me-south-1인 중동(바레인) 지역에서 Macie를 사용하는 경우 적용되는 각 스테이트먼트에서 macie.amazonaws.com.rproxy.goskope.commacie.me-south-1.amazonaws.com으로 바꾸십시오. 현재 Macie를 사용할 수 있는 리전 목록 및 각 리전의 지역 코드는 AWS 일반 참조Amazon Macie 엔드포인트 및 할당량을 참조하세요.

    예제 정책에는 Macie가 버킷이 어느 리전에 있는지 확인하고(GetBucketLocation) 버킷에 객체를 추가할 수 있도록 하는(PutObject) 문이 포함되어 있습니다. 이 명령문은 다음 두 개의 IAM 글로벌 조건 키를 사용하는 조건을 정의합니다.

    • aws:SourceAccount – 이 조건을 통해 Macie는 민감한 데이터 검색 결과를 사용자 계정에 한해 버킷에 추가할 수 있습니다. 이렇게 하면 Macie가 다른 계정의 검색 결과를 버킷에 추가할 수 없게 됩니다. 좀 더 구체적으로 설명하면 aws:SourceArn 조건으로 지정된 리소스 및 작업에 대해 버킷을 사용할 수 있는 계정을 결정합니다.

      버킷에 다른 계정의 결과를 저장하려면 이 조건에 각 계정의 계정 ID를 추가합니다. 예:

      "aws:SourceAccount": [111122223333,444455556666]

    • AWS:sourceARN - 이 조건은 버킷에 추가되는 객체의 소스에 따라 버킷에 대한 액세스를 제한하고, 다른 AWS 서비스가 버킷에 객체를 추가하는 것을 방지합니다. 또한 계정에서 다른 작업을 수행하는 동안 Macie가 버킷에 객체를 추가하지 못하도록 합니다. 보다 구체적으로 객체가 민감한 데이터 검색 결과인 경우와 해당 결과가 자동화된 민감한 데이터 검색 또는 지정된 리전의 지정된 계정으로 생성된 민감한 데이터 검색 작업에 대한 결과인 경우에 조건을 통해 Macie가 버킷에 객체를 추가할 수 있습니다.

      Macie가 다른 계정에서도 지정된 작업을 수행할 수 있도록 하려면 각 계정의 ARN을 이 조건에 추가합니다. 예:

      "aws:SourceArn": [
    "arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
    "arn:aws:macie2:us-east-1:111122223333:classification-job/*",
    "arn:aws:macie2:us-east-1:444455556666:export-configuration:*",
    "arn:aws:macie2:us-east-1:444455556666:classification-job/*"
]

    aws:SourceAccountaws:SourceArn 조건에 지정된 계정이 일치해야 합니다.

    이러한 조건은 Amazon S3와의 거래에서 Macie가 혼동된 대리자로 사용되는 것을 방지하는 데 도움이 됩니다. 권장하지는 않지만 버킷 정책에서 이러한 조건을 직접 삭제할 수 있습니다.

  8. 버킷 정책 업데이트가 완료되면 변경 사항 저장을 선택합니다.

이제 Macie에서 리포지토리 설정을 구성할 수 있습니다.

Macie에서 리포지토리 설정을 구성하려면

  1. https://console.aws.amazon.com/macie/에서 Amazon Macie 콘솔을 엽니다.

  2. 탐색 창의 설정 아래에서 결과 찾기를 선택합니다.

  3. 민감한 데이터 검색 결과에 대한 리포지토리에서 기존 버킷을 선택합니다.

  4. 버킷 선택에서는 검색 결과를 저장할 버킷을 선택합니다.

  5. 버킷의 위치 경로에 대한 접두사를 지정하려면 고급 섹션을 확장합니다. 그런 다음 데이터 검색 결과 접두사에 접두사를 입력합니다.

    값을 입력하면 Macie는 상자 아래의 예를 업데이트하여 검색 결과를 저장할 버킷의 위치 경로를 표시합니다.

  6. 암호화 설정에서 Macie가 결과를 암호화하는 데 사용하려는 AWS KMS key를 지정합니다.

    • 자신의 계정에 있는 키를 사용하려면 내 계정에서 키 선택을 선택합니다. 그런 다음 AWS KMS key목록에서 사용할 키를 선택합니다. 목록에는 계정의 고객 관리형 대칭 암호화 KMS 키가 표시됩니다.

    • 다른 계정이 소유한 키를 사용하려면 다른 계정에 있는 키의 ARN 입력을 선택합니다. 그런 다음 AWS KMS key ARN 상자에 사용할 키의 Amazon 리소스 이름(ARN)을 입력합니다(예: arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab).

  7. 규칙에 대한 설정 입력을 마치면 저장를 선택합니다.

    Macie는 설정이 올바른지 테스트합니다. 설정이 올바르지 않으면 Macie는 문제 해결에 도움이 되는 오류 메시지를 표시합니다.

리포지토리 설정을 저장하면 Macie는 이전 90일 동안의 기존 검색 결과를 리포지토리에 추가합니다. 또한 Macie는 새 검색 결과를 리포지토리에 추가하기 시작합니다.

참고

나중에 데이터 검색 결과 접두사 설정을 변경하는 경우 Amazon S3의 버킷 정책도 업데이트합니다. 이전 접두사를 지정하는 정책 문은 새로운 접두사를 지정해야 합니다. 그러지 않으면 Macie는 검색 결과를 버킷에 추가할 수 없습니다.

작은 정보

또한 서버 측 암호화 비용을 줄이려면 S3 버킷 키를 사용하도록 S3 버킷을 구성하고 민감한 데이터 검색 결과를 암호화하기 위해 구성한 키AWS KMS key를 지정합니다. S3 버킷 키를 사용하면 AWS KMS에 대한 호출 횟수가 줄어들어 AWS KMS 요청 비용을 절감할 수 있습니다. KMS 키가 외부 키 저장소에 있는 경우 S3 버킷 키를 사용하면 키 사용으로 인한 성능 영향을 최소화할 수도 있습니다. 자세한 내용은 Amazon Simple Storage Service 사용 설명서Amazon S3 버킷 키를 사용하여 SSE-KMS 비용 절감을 참조하세요.