민감한 데이터 검색 결과 저장 및 유지 - Amazon Macie
시작하기 전: 주요 개념 알아보기1단계: 권한 확인2단계: 구성 AWS KMS key3단계: S3 버킷 선택

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

민감한 데이터 검색 결과 저장 및 유지

민감한 데이터 검색 작업을 실행하거나 Amazon Macie가 민감한 데이터 자동 검색을 수행할 때 Macie는 분석 범위에 포함된 각 Amazon Simple Storage Service(S3) 객체에 대한 분석 레코드를 생성합니다. 민감한 데이터 검색 결과라고 하는 이러한 레코드는 Macie가 개별 S3 객체에 대해 수행하는 분석에 대한 상세 정보를 기록합니다. 여기에는 민감한 데이터를 찾지 못해서 민감한 데이터 결과가 생성되지 않는 객체와 오류 또는 문제로 인해 Macie가 분석할 수 없는 객체도 포함됩니다. Macie가 물체에서 민감한 데이터를 탐지한 경우 기록에는 해당 발견의 데이터와 추가 정보가 포함됩니다. 민감한 데이터 검색 결과에는 데이터 프라이버시 및 보호 감사 또는 조사에 도움이 될 수 있는 분석 기록이 표시됩니다.

Macie는 민감한 데이터 검색 결과를 90일 동안만 저장합니다. 결과에 액세스하고 결과를 장기간 저장 및 보관하려면, 결과를 AWS Key Management Service (AWS KMS)키로 암호화하고 S3 버킷에 저장하도록 Macie를 구성하십시오. 버킷은 모든 민감한 데이터 검색 결과를 위한 확정적이고 장기적인 리포지토리 역할을 할 수 있습니다. 그런 다음, 필요에 따라 해당 리포지토리에 있는 결과에 액세스하고 쿼리할 수 있습니다.

이 항목에서는 를 사용하여 민감한 데이터 검색 결과를 위한 리포지토리를 구성하는 프로세스를 안내합니다. AWS Management Console 구성은 결과를 AWS KMS key 암호화하는 S3 범용 버킷, 결과를 저장하는 S3 범용 버킷, 사용할 키와 버킷을 지정하는 Macie 설정의 조합입니다. 프로그래밍 방식으로 Macie 설정을 구성하려는 경우 Amazon Macie의 PutClassificationExportConfiguration작업을 사용할 수 있습니다. API

Macie에서 설정을 구성할 때 선택한 항목은 현재 AWS 리전에만 적용됩니다. 조직의 Macie 관리자인 경우 선택 사항은 해당 계정에만 적용됩니다. 연결된 멤버 계정에는 적용되지 않습니다. 민감한 데이터 자동 검색을 활성화하거나 민감한 데이터 검색 작업을 실행하여 구성원 계정의 데이터를 분석하는 경우 Macie는 민감한 데이터 검색 결과를 관리자 계정의 리포지토리에 저장합니다.

Macie를 여러 AWS 리전곳에서 사용하는 경우 Macie를 사용하는 각 지역의 리포지토리 설정을 구성하십시오. 필요에 따라 여러 리전에 대한 민감한 데이터 검색 결과를 동일한 S3 버킷에 저장할 수 있습니다. 그러나 다음과 같은 요구 사항을 확인해야 합니다.

  • 미국 동부 (버지니아 북부) 지역과 같이 기본적으로 AWS 활성화되는 지역의 결과를 저장하려면 기본적으로 활성화된 지역의 버킷을 선택해야 합니다. AWS 계정옵트인 리전(기본적으로 비활성화되어 있는 리전)에서는 결과를 버킷에 저장할 수 없습니다.

  • 중동(바레인) 리전과 같은 옵트인 리전에 대한 결과를 저장하려면 동일한 리전 또는 기본적으로 활성화된 리전의 버킷을 선택해야 합니다. 결과는 다른 옵트인 리전의 버킷에 저장할 수 없습니다.

리전이 기본적으로 활성화되어 있는지 확인하려면 AWS Identity and Access Management 사용 설명서에서 지역 및 엔드포인트를 참조하세요. 위의 요구 사항 외에도 Macie가 개별 조사 결과에서 보고하는 민감한 데이터의 샘플을 검색할지 여부도 고려하십시오. 영향을 받는 S3 객체에서 민감한 데이터 샘플을 검색하려면 영향 받는 객체, 해당 검색 결과, 해당하는 민감한 데이터 검색 결과 등 모든 리소스와 데이터를 동일한 지역에 저장해야 합니다.

시작하기 전: 주요 개념에 대해 알아보십시오.

Amazon Macie는 민감한 데이터 검색 작업을 실행하거나 민감한 데이터 자동 검색을 수행할 때 분석 또는 분석을 시도하는 각 Amazon S3 객체에 대해 민감한 데이터 검색 결과를 자동으로 생성합니다. 여기에는 다음이 포함됩니다.

  • Macie가 민감한 데이터를 감지하여 민감한 데이터 결과를 생성하는 객체.

  • Macie가 민감한 데이터를 감지하지 못해 민감한 데이터 결과를 생성하지 않는 객체.

  • 권한 설정 또는 지원되지 않는 파일 또는 저장 형식 사용과 같은 오류나 문제로 인해 Macie가 분석할 수 없는 객체.

Macie가 S3 개체에서 민감한 데이터를 감지하는 경우, 민감한 데이터 검색 결과에는 해당 민감한 데이터에 대한 조사 결과도 포함됩니다. Macie가 객체에서 발견한 각 유형의 민감한 데이터가 1,000건 이상 발생한 위치와 같은 추가 정보도 제공합니다. 예:

  • Microsoft Excel 통합 문서, CSV 파일 또는 파일에 있는 셀 또는 필드의 열 및 행 번호 TSV

  • 또는 JSON Lines 파일에 있는 필드 또는 배열의 경로 JSON

  • aCSV,JSON, Lines 또는 파일이 아닌 비바이너리 텍스트 파일의 JSON 라인 번호 TSV (예:, 또는 파일) HTML TXT XML

  • Adobe 휴대용 문서 형식 () 파일에 있는 페이지의 페이지 번호 PDF

  • Apache Avro 객체 컨테이너 또는 Apache Parquet 파일에 있는 레코드 인덱스 및 레코드 내 필드 경로

영향을 받는 S3 객체가 아카이브 파일 (예: .tar 또는.zip 파일) 인 경우, 민감한 데이터 검색 결과는 Macie가 아카이브에서 추출한 개별 파일의 민감한 데이터 발생에 대한 자세한 위치 데이터도 제공합니다. Macie는 아카이브 파일에 대한 민감한 데이터 조사 결과에 이 정보를 포함시키지 않습니다. 위치 데이터를 보고하기 위해 민감한 데이터 검색 결과는 표준화된 스키마를 사용합니다. JSON

민감한 데이터 검색 결과에는 Macie가 발견한 민감한 데이터는 포함되지 않습니다. 대신 감사 또는 조사에 도움이 될 수 있는 분석 기록을 제공합니다.

Macie는 민감한 데이터 검색 결과를 90일 동안 저장합니다. Amazon Macie 콘솔이나 Amazon Macie에서는 직접 액세스할 수 없습니다. API 대신 이 항목의 단계에 따라 사용자가 지정한 S3 범용 버킷으로 결과를 암호화하고 사용자가 지정한 S3 범용 버킷에 결과를 저장하도록 Macie를 구성하십시오. AWS KMS key 그런 다음 Macie는 결과를 JSON Lines (.jsonl) 파일에 기록하고 파일을 버킷에 GNU Zip (.gz) 파일로 추가한 다음 - 암호화를 사용하여 데이터를 암호화합니다. SSE KMS 또한 2023년 11월 8일부터 Macie는 해시 기반 메시지 인증 코드 () 를 사용하여 결과 S3 객체에 서명합니다. HMAC AWS KMS key

민감한 데이터 검색 결과를 S3 버킷에 저장하도록 Macie를 구성한 후에는 이 버킷이 결과의 최종적이고 장기적인 리포지토리 역할을 수행할 수 있습니다. 그런 다음, 필요에 따라 해당 리포지토리에 있는 결과에 액세스하고 쿼리할 수 있습니다.

민감한 데이터 검색 결과를 쿼리하고 사용하여 잠재적 데이터 보안 위험을 분석하고 보고하는 방법에 대한 자세한 지침 예제는 보안 블로그의 다음 블로그 게시물: Amazon Athena와 Amazon을 사용하여 Macie의 민감한 데이터 검색 결과를 쿼리하고 시각화하는 방법을 참조하십시오.AWS QuickSight

민감한 데이터 검색 결과를 분석하는 데 사용할 수 있는 Amazon Athena 쿼리 샘플을 보려면 의 Amazon Macie 결과 분석 리포지토리를 방문하십시오. GitHub 또한 이 리포지토리는 결과를 검색하고 해독할 수 있게 Athena를 구성하는 지침과 결과에 대한 테이블을 생성하는 스크립트도 제공합니다.

1단계: 권한 확인

민감한 데이터 검색 결과에 대한 리포지토리를 구성하기 전에 결과를 암호화하고 저장하는 데 필요한 권한이 있는지 확인합니다. 권한을 확인하려면 AWS Identity and Access Management (IAM) 를 사용하여 자격 증명에 연결된 IAM 정책을 검토하십시오. IAM 그런 다음 해당 정책의 정보를 리포지토리를 구성하기 위해 수행할 수 있는 다음 작업 목록과 비교합니다.

Amazon Macie

Macie의 경우 다음 작업을 수행할 수 있는지 확인합니다.

macie2:PutClassificationExportConfiguration

이 작업을 통해 Macie에서 리포지토리 설정을 추가하거나 변경할 수 있습니다.

Amazon S3

Amazon S3의 경우 다음 작업을 수행할 수 있는지 확인합니다.

  • s3:CreateBucket

  • s3:GetBucketLocation

  • s3:ListAllMyBuckets

  • s3:PutBucketAcl

  • s3:PutBucketPolicy

  • s3:PutBucketPublicAccessBlock

  • s3:PutObject

이러한 작업을 통해 리포지토리 역할을 할 수 있는 S3 범용 버킷에 액세스하고 구성할 수 있습니다.

AWS KMS

Amazon Macie 콘솔을 사용하여 리포지토리 설정을 추가하거나 변경하려면 다음 AWS KMS 작업을 수행할 수 있는 권한이 있는지 확인합니다.

  • kms:DescribeKey

  • kms:ListAliases

이러한 작업을 통해 계정의 AWS KMS keys 에 대한 정보를 검색하고 표시할 수 있습니다. 그런 다음 이러한 키 중 하나를 선택하여 민감한 데이터 검색 결과를 암호화할 수 있습니다.

새 데이터를 생성하여 데이터를 AWS KMS key 암호화하려는 경우 kms:CreateKeykms:GetKeyPolicy, 및 kms:PutKeyPolicy 다음 작업도 수행할 수 있어야 합니다.

필요한 작업을 수행할 수 없는 경우 다음 단계로 진행하기 전에 AWS 관리자에게 도움을 요청하세요.

2단계: AWS KMS key구성

권한을 확인한 후 Macie가 AWS KMS key 민감한 데이터 검색 결과를 암호화하는 데 사용할 권한을 결정하십시오. 키는 결과를 저장하려는 S3 버킷과 AWS 리전 동일하게 활성화된 고객 관리형 대칭 암호화 KMS 키여야 합니다.

키는 사용자 AWS KMS key 계정의 기존 키이거나 다른 계정이 AWS KMS key 소유한 기존 키일 수 있습니다. 새 KMS 키를 사용하려면 진행하기 전에 키를 생성하세요. 다른 계정이 소유한 기존 키를 사용하려면 해당 키의 Amazon 리소스 이름 (ARN) 을 확보하십시오. Macie에서 리포지토리 설정을 구성할 ARN 때 이 값을 입력해야 합니다. KMS키 설정을 만들고 검토하는 방법에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서의 키 관리를 참조하십시오.

참고

키는 외부 키 스토어에 있을 수 있습니다. AWS KMS key 하지만 이 키는 AWS KMS내에서 완전히 관리되는 키보다 속도가 느리고 안정성이 떨어질 수 있습니다. 민감한 데이터 검색 결과를 S3 버킷 키로 사용하도록 구성된 S3 버킷에 저장하면 이러한 위험을 줄일 수 있습니다. 이렇게 하면 민감한 데이터 검색 결과를 암호화하기 위해 수행해야 하는 AWS KMS 요청 횟수를 줄일 수 있습니다.

외부 키 저장소에서 KMS 키를 사용하는 방법에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서의 외부 키 저장소를 참조하십시오. S3 버킷 키 사용에 대한 자세한 내용은 Amazon 심플 스토리지 서비스 사용 설명서의 Amazon S3 버킷 키를 KMS 사용한 SSE -의 비용 절감을 참조하십시오.

Macie가 사용할 KMS 키를 결정한 후에는 Macie에게 키 사용 권한을 부여하십시오. 그렇지 않으면 Macie는 결과를 암호화하거나 리포지토리에 저장할 수 없습니다. Macie에게 키 사용 권한을 부여하려면 키에 대한 키 정책을 업데이트하십시오. 키 정책 및 키 액세스 관리에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서의 키 정책을 참조하십시오. KMS AWS KMS

키 정책을 업데이트하려면

  1. https://console.aws.amazon.com/kms에서 AWS KMS 콘솔을 엽니다.

  2. 를 변경하려면 AWS 리전페이지 오른쪽 상단에 있는 지역 선택기를 사용하십시오.

  3. Macie에서 민감한 데이터 검색 결과를 암호화하는 데 사용할 키를 선택합니다.

  4. 키 정책 탭에서 편집을 선택합니다.

  5. 다음 설명을 클립보드에 복사한 다음 정책에 추가합니다.

    {
    "Sid": "Allow Macie to use the key",
    "Effect": "Allow",
    "Principal": {
        "Service": "macie.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Encrypt"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": "111122223333"
         },
         "ArnLike": {
             "aws:SourceArn": [
                 "arn:aws:macie2:Region:111122223333:export-configuration:*",
                 "arn:aws:macie2:Region:111122223333:classification-job/*"
             ]
         }
    }
}
    참고

    정책에 문을 추가할 때 구문이 올바른지 확인합니다. 정책은 형식을 사용합니다JSON. 즉, 정책에 성명문을 추가하는 위치에 따라 명령문 앞이나 뒤에 쉼표를 추가해야 합니다. 문을 정책의 마지막 문으로 추가하는 경우 이전 섹션의 닫는 괄호 뒤에 쉼표를 추가합니다. 문을 첫 번째 문으로 추가하거나 기존 두 문 사이에 추가하는 경우 닫는 괄호 뒤에 쉼표를 추가합니다.

  6. 환경에 맞는 올바른 값으로 명령문을 업데이트합니다.

    • Condition 필드에서 자리 표시자 값을 다음과 같이 바꿉니다.

      • 111122223333 는 사용자의 계정 AWS 계정 ID입니다.

      • Region Macie를 사용 중이고 Macie가 키를 사용하도록 허용하려는 계정입니다. AWS 리전

        여러 리전에서 Macie를 사용하고 있으며 Macie가 다른 리전에서도 키를 사용할 수 있도록 허용하려면 각 리전에 aws:SourceArn 조건을 추가합니다. 예:

        "aws:SourceArn": [
    "arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
    "arn:aws:macie2:us-east-1:111122223333:classification-job/*",
    "arn:aws:macie2:us-west-2:111122223333:export-configuration:*",
    "arn:aws:macie2:us-west-2:111122223333:classification-job/*"
]

        또는 Macie가 모든 리전에서 키를 사용하도록 허용할 수도 있습니다. 이렇게 하려면 자리표시자 값을 와일드카드 문자(*)로 바꿉니다. 예:

        "aws:SourceArn": [
    "arn:aws:macie2:*:111122223333:export-configuration:*",
    "arn:aws:macie2:*:111122223333:classification-job/*"
]

    • 옵트인 리전에서 Macie를 사용하는 경우 Service 필드 값에 적절한 리전 코드를 추가합니다. 예를 들어 계정이 지역 코드 me-south-1인 중동(바레인) 지역서 Macie를 사용하는 경우 ARN에서 macie.amazonaws.com.rproxy.goskope.commacie.me-south-1.amazonaws.com으로 바꾸십시오. 현재 Macie를 사용할 수 있는 리전 목록 및 각 리전의 지역 코드는 AWS 일반 참조Amazon Macie 엔드포인트 및 할당량을 참조하세요.

    참고로 Condition 필드에는 두 개의 IAM 글로벌 조건 키가 사용됩니다.

    • aws: SourceAccount — 이 조건을 사용하면 Macie가 사용자 계정에 대해서만 지정된 작업을 수행할 수 있습니다. 좀 더 구체적으로 설명하면 aws:SourceArn 조건으로 지정된 리소스 및 작업에 대해 지정된 작업을 수행할 수 있는 계정을 결정합니다.

      Macie가 다른 계정에서도 지정된 작업을 수행할 수 있도록 하려면 각 계정의 계정 ID를 이 조건에 추가합니다. 예:

      "aws:SourceAccount": [111122223333,444455556666]

    • aws: SourceArn — 이 조건은 다른 AWS 서비스 사람이 지정된 작업을 수행하는 것을 방지합니다. 또한 계정에서 다른 작업을 수행하는 동안 Macie가 키를 사용하지 못하도록 합니다. 즉, Macie는 객체가 민감한 데이터 검색 결과이고 결과가 지정된 지역의 지정된 계정으로 생성된 자동 민감한 데이터 검색 또는 민감한 데이터 검색 작업에 대한 결과인 경우에만 키를 사용하여 S3 객체를 암호화할 수 있습니다.

      Macie가 추가 계정에 대해 지정된 작업을 수행할 수 있도록 하려면 각 추가 계정마다 이 조건을 추가하십시오ARNs. 예:

      "aws:SourceArn": [
    "arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
    "arn:aws:macie2:us-east-1:111122223333:classification-job/*",
    "arn:aws:macie2:us-east-1:444455556666:export-configuration:*",
    "arn:aws:macie2:us-east-1:444455556666:classification-job/*"
]

    aws:SourceAccountaws:SourceArn 조건에 지정된 계정이 일치해야 합니다.

    이러한 조건은 Macie가 거래 시 혼란스러운 대리인으로 사용되는 것을 방지하는 데 도움이 됩니다. AWS KMS권장하지는 않지만 명령문에서 이러한 조건을 직접 삭제할 수 있습니다.

  7. 명령문 추가 및 업데이트를 마치면 변경 사항 저장을 선택합니다.

3단계: S3 버킷 선택

권한을 확인하고 구성했으면 민감한 데이터 검색 결과를 위한 리포지토리로 사용할 S3 버킷을 지정할 준비가 된 것입니다. AWS KMS key여기에는 두 가지 옵션이 있습니다.

  • Macie가 생성한 새 S3 버킷 사용 — 이 옵션을 선택하면 Macie는 검색 결과를 AWS 리전 위해 최신 S3 범용 버킷을 자동으로 생성합니다. Macie는 또한 해당 버킷에 버킷 정책을 적용합니다. 이 정책을 통해 Macie는 버킷에 객체를 추가할 수 있습니다. 또한 암호화를 사용하여 SSE 지정한 방법으로 객체를 암호화해야 합니다. AWS KMS key KMS 정책을 검토하려면 사용할 버킷 이름과 KMS 키를 지정한 후 Amazon Macie 콘솔에서 정책 보기를 선택합니다.

  • 생성한 기존 S3 버킷 사용 - 생성한 특정 S3 버킷에 검색 결과를 저장하려면 진행하기 전에 버킷을 생성해야 합니다. 버킷은 범용 버킷이어야 합니다. 또한 버킷의 설정 및 정책에서 Macie가 버킷에 객체를 추가할 수 있도록 허용해야 합니다. 이 주제에서는 확인해야 할 설정과 정책을 업데이트하는 방법을 설명합니다. 또한 정책에 추가할 명령문의 예도 제공합니다.

다음 단원에서는 그 방법에 대해서 설명합니다. 원하는 옵션에 대한 선택사항을 선택합니다.

Macie가 생성한 새 S3 버킷을 사용하려는 경우 프로세스의 마지막 단계에서 Macie에 리포지토리 설정을 구성해야 합니다.

Macie에서 리포지토리 설정을 구성하려면

  1. 에서 Amazon Macie 콘솔을 엽니다. https://console.aws.amazon.com/macie/

  2. 탐색 창의 설정 아래에서 결과 찾기를 선택합니다.

  3. 민감한 데이터 검색 결과에 대한 리포지토리에서 버킷 생성을 선택합니다.

  4. 버킷 만들기 대화 상자에서 버킷 이름을 입력합니다.

    이 이름은 모든 S3 버킷에 대해 고유해야 합니다. 버킷 이름은 소문자, 숫자, 점(.) 및 하이픈(-)으로만 구성될 수 있습니다. 이름 지정 규칙의 추가 요건은 Amazon Simple Storage Service 사용 설명서버킷 이름 지정 규칙을 참조하세요.

  5. [Advanced] 단원을 확장합니다.

  6. (선택 사항) 버킷의 위치 경로에 사용할 접두사를 지정하려면 데이터 검색 결과 접두사 상자에 접두사를 입력합니다.

    값을 입력하면 Macie는 상자 아래의 예를 업데이트하여 검색 결과를 저장할 버킷의 위치 경로를 표시합니다.

  7. 모든 퍼블릭 액세스 차단에서 를 선택하여 버킷에 대한 모든 퍼블릭 액세스 차단 설정을 활성화합니다.

    이 설정에 대한 자세한 내용은 Amazon Simple Storage Service 사용 설명서Amazon S3 Storage에 대한 퍼블릭 액세스 차단을 참조하세요.

  8. 암호화 설정에서 Macie가 결과를 암호화하는 데 사용하려는 AWS KMS key 를 지정합니다.

    • 자신의 계정에 있는 키를 사용하려면 내 계정에서 키 선택을 선택합니다. 그런 다음 AWS KMS key목록에서 사용할 키를 선택합니다. 목록에는 계정에 대한 고객 관리형 대칭 암호화 KMS 키가 표시됩니다.

    • 다른 계정이 소유한 키를 사용하려면 다른 계정의 키 입력을 선택합니다. ARN 그런 다음 AWS KMS key ARN상자에 사용할 키의 Amazon 리소스 이름 (ARN) 을 입력합니다 (예:). arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

  9. 규칙에 대한 설정 입력을 마치면 저장를 선택합니다.

    Macie는 설정이 올바른지 테스트합니다. 설정이 올바르지 않으면 Macie는 문제 해결에 도움이 되는 오류 메시지를 표시합니다.

리포지토리 설정을 저장하면 Macie는 이전 90일 동안의 기존 검색 결과를 리포지토리에 추가합니다. 또한 Macie는 새 검색 결과를 리포지토리에 추가하기 시작합니다.

민감한 데이터 검색 결과를 생성한 특정 S3 버킷에 저장하려면 Macie에서 설정을 구성하기 전에 먼저 버킷을 만들고 구성하십시오. 버킷을 생성할 때 다음 요구 사항에 유의합니다.

  • 버킷은 범용 버킷이어야 합니다. 디렉터리 버킷이 될 수 없습니다.

  • 버킷에 대해 객체 잠금을 활성화하면 해당 기능에 대한 기본 보존 설정을 비활성화해야 합니다. 그렇지 않으면 Macie는 검색 결과를 버킷에 추가할 수 없습니다. 이 설정에 대한 정보는 Amazon Simple Storage Service 사용 설명서Amazon S3 객체 잠금 사용을 참조하세요.

  • 미국 동부 (버지니아 북부) 지역과 같이 기본적으로 활성화된 지역의 검색 결과를 저장하려면 버킷이 기본적으로 활성화된 지역에 있어야 합니다. AWS 계정옵트인 리전(기본적으로 비활성화되어 있는 리전)에서는 결과를 버킷에 저장할 수 없습니다.

  • 중동(바레인) 리전과 같은 옵트인 리전에 대한 검색 결과를 저장하려면 버킷이 동일한 리전 또는 기본적으로 활성화된 리전에 있어야 합니다. 결과는 다른 옵트인 리전의 버킷에 저장할 수 없습니다.

리전이 기본적으로 활성화되어 있는지 확인하려면 AWS Identity and Access Management 사용 설명서에서 지역 및 엔드포인트를 참조하세요.

버킷을 생성한 후에는 Macie가 버킷에 대한 정보를 검색하고 버킷에 객체를 추가할 수 있도록 버킷 정책을 업데이트합니다. 그런 다음 Macie에서 설정을 구성할 수 있습니다.

버킷의 버킷 정책을 업데이트하는 방법

  1. 에서 Amazon S3 콘솔을 엽니다 https://console.aws.amazon.com/s3/.

  2. 검색 결과를 저장할 버킷을 선택합니다.

  3. 권한 탭을 선택합니다.

  4. 버킷 정책 섹션에서 편집을 선택합니다.

  5. 다음 예제 정책을 클립보드에 복사합니다.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow Macie to use the GetBucketLocation operation",
            "Effect": "Allow",
            "Principal": {
                "Service": "macie.amazonaws.com"
            },
            "Action": "s3:GetBucketLocation",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333"
                },
                "ArnLike": {
                    "aws:SourceArn": [
                        "arn:aws:macie2:Region:111122223333:export-configuration:*",
                        "arn:aws:macie2:Region:111122223333:classification-job/*"
                    ]
                }
            }
        },
        {
            "Sid": "Allow Macie to add objects to the bucket",
            "Effect": "Allow",
            "Principal": {
                "Service": "macie.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional prefix/]*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333"
                },
                "ArnLike": {
                    "aws:SourceArn": [
                        "arn:aws:macie2:Region:111122223333:export-configuration:*",
                        "arn:aws:macie2:Region:111122223333:classification-job/*"
                    ]
                }
            }
        },
        {
            "Sid": "Deny unencrypted object uploads. This is optional",
            "Effect": "Deny",
            "Principal": {
                "Service": "macie.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional prefix/]*",
            "Condition": {
                "StringNotEquals": {
                    "s3:x-amz-server-side-encryption": "aws:kms"
                }
            }
        },
        {
            "Sid": "Deny incorrect encryption headers. This is optional",
            "Effect": "Deny",
            "Principal": {
                "Service": "macie.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional prefix/]*",
            "Condition": {
                "StringNotEquals": {
                    "s3:x-amz-server-side-encryption-aws-kms-key-id": "arn:aws:kms:Region:111122223333:key/KMSKeyId"
                }
            }
        },
        {
            "Sid": "Deny non-HTTPS access",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
            "Condition": {
                "Bool": {
                    "aws:SecureTransport": "false"
                }
            }
        }
    ]
}

  6. Amazon S3 콘솔의 버킷 정책 편집기에서 예제 정책을 붙여넣습니다.

  7. 환경에 맞는 올바른 값으로 정책을 업데이트합니다.

    • 잘못된 암호화 헤더를 거부하는 선택적 명령문에서:

      • Replace amzn-s3-demo-bucket 버킷 이름과 함께. 버킷 내 위치 경로의 접두사도 지정하려면 다음을 대체하십시오.[optional prefix/] 접두사를 사용합니다. 그렇지 않으면 다음을 제거하세요.[optional prefix/] 플레이스홀더 값.

      • 이 경우 다음을 StringNotEquals 대체하십시오.arn:aws:kms:Region:111122223333:key/KMSKeyId 검색 결과를 암호화하는 AWS KMS key 데 사용할 Amazon 리소스 이름 (ARN) 과 함께 사용합니다.

    • 그 외 다른 모든 명령문에서는 다음과 같이 자리 표시자 값을 바꿉니다.

      • amzn-s3-demo-bucket 버킷 이름입니다.

      • [optional prefix/] 버킷 내 위치 경로의 접두사입니다. 접두사를 지정하지 않으려면 이 자리 표시자 값을 삭제하세요.

      • 111122223333 는 사용자의 계정 ID입니다. AWS 계정

      • Region Macie를 사용 중이고 Macie가 버킷에 검색 결과를 추가할 수 있도록 허용하려는 사용자입니다. AWS 리전

        여러 리전에서 Macie를 사용하고 있으며 Macie가 다른 리전에서도 결과를 버킷에 추가할 수 있도록 허용하려면 각 리전에 aws:SourceArn 조건을 추가합니다. 예:

        "aws:SourceArn": [
    "arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
    "arn:aws:macie2:us-east-1:111122223333:classification-job/*",
    "arn:aws:macie2:us-west-2:111122223333:export-configuration:*",
    "arn:aws:macie2:us-west-2:111122223333:classification-job/*"
]

        또는 Macie를 사용하는 모든 리전의 결과를 Macie가 버킷에 추가하도록 할 수도 있습니다. 이렇게 하려면 자리표시자 값을 와일드카드 문자(*)로 바꿉니다. 예:

        "aws:SourceArn": [
    "arn:aws:macie2:*:111122223333:export-configuration:*",
    "arn:aws:macie2:*:111122223333:classification-job/*"
]

    • 옵트인 리전에서 Macie를 사용하는 경우 Macie 서비스 주체를 지정하는 각 문의 Service 필드 값에 적절한 리전 코드를 추가합니다. 예를 들어 계정이 지역 코드 me-south-1인 중동(바레인) 지역에서 Macie를 사용하는 경우 적용되는 각 스테이트먼트에서 macie.amazonaws.com.rproxy.goskope.commacie.me-south-1.amazonaws.com으로 바꾸십시오. 현재 Macie를 사용할 수 있는 리전 목록 및 각 리전의 지역 코드는 AWS 일반 참조Amazon Macie 엔드포인트 및 할당량을 참조하세요.

    예제 정책에는 Macie가 버킷이 어느 리전에 있는지 확인하고(GetBucketLocation) 버킷에 객체를 추가할 수 있도록 하는(PutObject) 문이 포함되어 있습니다. 다음 명령문은 두 개의 IAM 글로벌 조건 키를 사용하는 조건을 정의합니다.

    • aws: SourceAccount — 이 조건을 통해 Macie는 민감한 데이터 검색 결과를 사용자 계정의 버킷에만 추가할 수 있습니다. 이렇게 하면 Macie가 다른 계정의 검색 결과를 버킷에 추가할 수 없게 됩니다. 좀 더 구체적으로 설명하면 aws:SourceArn 조건으로 지정된 리소스 및 작업에 대해 버킷을 사용할 수 있는 계정을 결정합니다.

      버킷에 다른 계정의 결과를 저장하려면 이 조건에 각 계정의 계정 ID를 추가합니다. 예:

      "aws:SourceAccount": [111122223333,444455556666]

    • aws: SourceArn — 이 조건은 버킷에 추가되는 객체의 소스를 기반으로 버킷에 대한 액세스를 제한합니다. 다른 AWS 서비스 사람이 버킷에 객체를 추가하는 것을 방지합니다. 또한 계정에서 다른 작업을 수행하는 동안 Macie가 버킷에 객체를 추가하지 못하도록 합니다. 보다 구체적으로 말하자면, Macie는 객체가 민감한 데이터 검색 결과이고 결과가 지정된 지역의 지정된 계정으로 생성된 자동화된 민감한 데이터 검색 또는 민감한 데이터 검색 작업에 대한 결과인 경우에만 버킷에 객체를 추가할 수 있도록 허용합니다.

      Macie가 추가 계정에 대해 지정된 작업을 수행할 수 있도록 하려면 각 추가 계정마다 이 조건을 추가하십시오ARNs. 예:

      "aws:SourceArn": [
    "arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
    "arn:aws:macie2:us-east-1:111122223333:classification-job/*",
    "arn:aws:macie2:us-east-1:444455556666:export-configuration:*",
    "arn:aws:macie2:us-east-1:444455556666:classification-job/*"
]

    aws:SourceAccountaws:SourceArn 조건에 지정된 계정이 일치해야 합니다.

    이러한 조건은 Amazon S3와의 거래에서 Macie가 혼동된 대리자로 사용되는 것을 방지하는 데 도움이 됩니다. 권장하지는 않지만 버킷 정책에서 이러한 조건을 직접 삭제할 수 있습니다.

  8. 버킷 정책 업데이트가 완료되면 변경 사항 저장을 선택합니다.

이제 Macie에서 리포지토리 설정을 구성할 수 있습니다.

Macie에서 리포지토리 설정을 구성하려면

  1. 에서 Amazon Macie 콘솔을 엽니다. https://console.aws.amazon.com/macie/

  2. 탐색 창의 설정 아래에서 결과 찾기를 선택합니다.

  3. 민감한 데이터 검색 결과에 대한 리포지토리에서 기존 버킷을 선택합니다.

  4. 버킷 선택에서는 검색 결과를 저장할 버킷을 선택합니다.

  5. 버킷 내 위치 경로의 접두사를 지정하려면 고급 섹션을 확장하십시오. 그런 다음 데이터 검색 결과 접두사에 접두사를 입력합니다.

    값을 입력하면 Macie는 상자 아래의 예를 업데이트하여 검색 결과를 저장할 버킷의 위치 경로를 표시합니다.

  6. 암호화 설정에서 Macie가 결과를 암호화하는 데 사용하려는 AWS KMS key 를 지정합니다.

    • 자신의 계정에 있는 키를 사용하려면 내 계정에서 키 선택을 선택합니다. 그런 다음 AWS KMS key목록에서 사용할 키를 선택합니다. 목록에는 계정에 대한 고객 관리형 대칭 암호화 KMS 키가 표시됩니다.

    • 다른 계정이 소유한 키를 사용하려면 다른 계정의 키 입력을 선택합니다. ARN 그런 다음 AWS KMS key ARN상자에 사용할 키 (예:) 를 입력합니다. ARN arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

  7. 규칙에 대한 설정 입력을 마치면 저장를 선택합니다.

    Macie는 설정이 올바른지 테스트합니다. 설정이 올바르지 않으면 Macie는 문제 해결에 도움이 되는 오류 메시지를 표시합니다.

리포지토리 설정을 저장하면 Macie는 이전 90일 동안의 기존 검색 결과를 리포지토리에 추가합니다. 또한 Macie는 새 검색 결과를 리포지토리에 추가하기 시작합니다.

참고

나중에 데이터 검색 결과 접두사 설정을 변경하는 경우 Amazon S3의 버킷 정책도 업데이트합니다. 이전 접두사를 지정하는 정책 설명에는 새 접두사를 지정해야 합니다. 그러지 않으면 Macie는 검색 결과를 버킷에 추가할 수 없습니다.

작은 정보

또한 서버 측 암호화 비용을 줄이려면 S3 버킷 키를 사용하도록 S3 버킷을 구성하고 민감한 데이터 검색 결과를 암호화하도록 구성한 AWS KMS key 것을 지정하십시오. S3 버킷 키를 사용하면 호출 횟수가 AWS KMS줄어들어 AWS KMS 요청 비용을 줄일 수 있습니다. 키가 외부 KMS 키 스토어에 있는 경우 S3 버킷 키를 사용하면 키 사용으로 인한 성능 영향을 최소화할 수도 있습니다. 자세한 내용은 Amazon 심플 스토리지 서비스 사용 설명서의 Amazon S3 버킷 키를 KMS 사용한 비용 절감을 참조하십시오. SSE