Macie 조사 결과를 사용하여 민감한 데이터 샘플 검색 - Amazon Macie

Macie 조사 결과를 사용하여 민감한 데이터 샘플 검색

Amazon Macie가 조사 결과에 보고하는 민감한 데이터의 특성을 확인하기 위해 선택적으로 Macie를 구성하고 사용하여 개별 조사 결과에 의해 보고된 민감한 데이터의 샘플을 검색하고 공개할 수 있습니다. 여기에는 Macie가 관리형 데이터 식별자를 사용하여 탐지한 민감한 데이터와 사용자 지정 데이터 식별자의 기준과 일치하는 데이터가 포함됩니다. 샘플은 영향을 받는 Amazon Simple Storage Service(S3) 객체 및 버킷에 대한 조사를 맞춤 설정하는 데 도움이 될 수 있습니다.

조사 결과의 민감한 데이터 샘플을 검색하고 공개하는 경우 Macie는 다음과 같은 일반적인 작업을 수행합니다.

  1. 검색 결과에 민감한 데이터가 개별적으로 나타나는 위치와 해당하는 민감한 데이터 검색 결과의 위치가 지정되어 있는지 확인합니다.

  2. 해당하는 민감한 데이터 검색 결과를 평가하여 영향을 받는 S3 객체에 대한 메타데이터의 유효성과 개체 내 민감한 데이터 발생 여부에 대한 위치 데이터를 확인합니다.

  3. 는 민감한 데이터 검색 결과의 데이터를 사용하여 검색 결과 보고된 민감한 데이터 중 처음 1~10개를 찾아 영향을 받는 S3 객체에서 각 항목의 처음 1~128자를 추출합니다. 검색 결과 여러 유형의 민감한 데이터가 보고되는 경우 Macie는 최대 100개 유형에 대해 이 작업을 수행합니다.

  4. 사용자가 지정한 AWS Key Management Service(AWS KMS) 키를 사용하여 추출된 데이터를 암호화합니다.

  5. 암호화된 데이터를 캐시에 임시로 저장하고 검토할 수 있도록 데이터를 표시합니다. 데이터는 전송 및 저장 시 항상 암호화됩니다.

  6. 운영 문제 해결을 위해 일시적으로 추가 보존이 필요한 경우를 제외하고 추출 및 암호화 직후 캐시에서 데이터를 영구적으로 삭제합니다.

조사 결과의 민감한 데이터 샘플을 다시 검색하여 공개하도록 선택하면 Macie는 이러한 작업을 반복하여 샘플을 찾고, 추출하고, 암호화하고, 저장하고, 최종적으로는 삭제합니다.

Macie는 사용자 계정의 Macie 서비스 연결 역할을 사용하여 이러한 작업을 수행하지 않습니다. 대신 AWS Identity and Access Management(IAM) ID를 사용하거나 Macie가 계정에서 IAM 역할을 수임하도록 허용합니다. 사용자 또는 역할이 필수 리소스 및 데이터에 액세스할 수 있는 경우 조사 결과의 민감한 데이터 샘플을 검색하고 공개할 수 있으며 필요한 작업을 수행할 수 있습니다. 모든 필수 조치가 로그인AWS CloudTrail되어 있습니다.

중요

사용자 지정 IAM 정책을 사용하여 이 기능에 대한 액세스를 제한하는 것이 좋습니다. 추가 액세스 제어를 위해서는 검색되는 민감한 데이터 샘플의 암호화 전용 AWS KMS key 서버를 만들고, 민감한 데이터 샘플을 검색하고 공개할 수 있어야 하는 보안 주체만 키 사용을 제한하는 것이 좋습니다.

이 기능에 대한 액세스를 제어하는 데 사용할 수 있는 권장 사항 및 정책의 예는 AWS 보안 블로그의 Amazon Macie를 사용하여 S3 버킷의 민감한 데이터를 미리 보는 방법 블로그 게시물을 참조하세요.

이 섹션의 항목에서는 검색 결과에 대한 중요 데이터 샘플을 검색하고 공개하기 위해 Macie를 구성하고 사용하는 방법을 설명합니다. 아시아 태평양(오사카) 및 이스라엘(텔아비브) 리전을 제외하고 Macie를 현재 이용할 수 있는 모든 AWS 리전에서 이러한 작업을 수행할 수 있습니다.

주제