許可リストのステータスを確認する - Amazon Macie

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

許可リストのステータスを確認する

許可リストを作成したら、そのステータスを定期的に確認することが重要です。そうしないと、エラーにより Amazon Macie が Amazon Simple Storage Service (Amazon S3) データについて予期しない分析結果を生成する可能性があります。例えば、Macie では、許可リストで指定したテキストの機密データ検出結果を作成する可能性があります。

機密データ検出ジョブを許可リストを使用するように設定し、ジョブの実行開始時に Macie がそのリストにアクセスできない、または使用できない場合、ジョブは引き続き実行されます。ただし、Macie は S3 オブジェクトを分析するときにはリストを使用しません。同様に、機密データを自動検出する分析サイクルが開始され、Macie が指定された許可リストにアクセスできない、または使用できない場合、分析は続行されますが、Macie はそのリストを使用しません。

正規表現 (正規表現) を指定する許可リストでは、エラーが発生する可能性はほとんどありません。これは、リストの設定を作成または更新すると、Macie が自動的に regex をテストすることが一因です。さらに、regex と他のすべてのリスト設定を Macie に保存します。

ただし、事前定義されたテキストを指定する許可リストではエラーが発生する可能性があります。これは、リストを Macie ではなく Amazon S3 に保存したことが一因です。一般的なエラーの原因は次のとおりです。

  • S3 バケットまたはオブジェクトが削除されている。

  • S3 バケットまたはオブジェクトの名前が変更されたが、Macie のリストの設定には新しい名前が指定されていない。

  • S3 バケットのアクセス許可設定が変更され、Macie はバケットとオブジェクトにアクセスできない。

  • S3 バケットの暗号化設定が変更され、Macie はリストを保存するオブジェクトを復号化できない。

  • 暗号化キーのポリシーが変更され、Macie はキーにアクセスできない。Macie はリストを保存する S3 オブジェクトを復号化できない。

重要

これらのエラーは分析結果に影響するため、すべての許可リストのステータスを定期的に確認することをお勧めします。許可リストを保存する S3 バケットのアクセス許可または暗号化設定を変更する場合、またはリストの暗号化に使用される AWS Key Management Service (AWS KMS) キーのポリシーを変更する場合にも、これを行うことをお勧めします。

発生したエラーのトラブルシューティングに役立つ詳細情報は定義済みテキストのリストのオプションと要件を参照してください。

許可リストのステータスを確認するには

Amazon Macie コンソールまたは Amazon Macie API を使用して、許可リストのステータスを確認できます。コンソールでは、1 ページですべての許可リストのステータスを同時に確認できます。Amazon Macie API を使用する場合は、個々の許可リストのステータスを一度に 1 つずつ確認できます。

Console

Amazon Macie コンソールを使用して許可リストのステータスを確認するには、次のステップに従います。

許可リストのステータスを確認するには

  1. Amazon Macie コンソール (https://console.aws.amazon.com/macie/) を開きます。

  2. ナビゲーションペインで 設定リスト を選択します。

  3. [許可リスト] ページで [更新] The refresh button, which is a button that displays an empty blue circle with an arrow. を選択します。Macie はすべての許可リストの設定をテストし、[ステータス] フィールドを更新して各リストの現在のステータスを示します。

    リストに正規表現が指定されている場合、そのステータスは通常 OK です。つまり、Macie は式をコンパイルできます。リストに定義済みのテキストが指定されている場合、そのステータスは次の値のいずれかになります。

    OK

    Macie はリストのコンテンツを取得して解析できます。

    アクセスが拒否されました

    Macie はリストが保存されている S3 オブジェクトにアクセスすることが許可されていません。Amazon S3 はオブジェクトを取得するリクエストを拒否しました。Macie が使用を許可されていないカスタマー管理の でオブジェクト AWS KMS key が暗号化されている場合、リストもこのステータスになる可能性があります。

    このエラーに対処するには、バケットとオブジェクトのバケットポリシーとその他のアクセス許可設定を確認します。Macie がオブジェクトへのアクセスと取得を許可されていることを確認してください。オブジェクトがカスタマーマネージド AWS KMS キーで暗号化されている場合は、キーポリシーも確認し、Macie がキーの使用を許可されていることを確認します。

    [エラー]

    Macie がリストの内容を取得または解析しようとしたときに、一時的なエラーまたは内部エラーが発生しました。許可リストが Amazon S3 と Macie がアクセスまたは使用できない暗号化キーで暗号化されている場合も、このステータスになる可能性があります。

    このエラーを解決するには、数分間待ってから更新 The refresh button, which is a button that displays an empty blue circle with an arrow. を再試行してください。ステータスが エラー のままの場合は、S3 オブジェクトの暗号化設定を確認してください。オブジェクトが Amazon S3 と Macie がアクセスして使用できるキーで暗号化されていることを確認してください。

    オブジェクトは空です

    Macie は Amazon S3 からリストを取得できますが、リストにはコンテンツが含まれていません。

    このエラーに対処するには、Amazon S3 からオブジェクトをダウンロードし、正しいエントリが含まれていることを確認します。エントリが正しければ、Macie のリストの設定を確認してください。指定したバケット名とオブジェクト名が正しいことを確認してください。

    オブジェクトが見つかりません。

    リストは Amazon S3 に存在しません。

    このエラーを解決するには、Macie のリストの設定を確認してください。指定したバケット名とオブジェクト名が正しいことを確認してください。

    リソースクォータ

    Macie は Amazon S3 のリストにアクセスできます。ただし、リストのエントリ数またはリストのストレージサイズが、許可リストのクォータを超えています。

    このエラーに対処するには、リストを複数のファイルに分割してください。各ファイルに含まれるエントリが 100,000 件未満であることを確認してください。また、各ファイルのサイズが 35 MB 未満であることを確認してください。次に、各ファイルを Amazon S3 にアップロードします。完了したら、Macie でファイルごとに許可リスト設定を設定します。サポートされている各 AWS リージョンで最大 5 つの定義済みテキストのリストを含めることができます。

    スロットル済み

    Amazon S3 はリストを取得するリクエストを抑制しました。

    このエラーを解決するには、数分間待ってから更新 The refresh button, which is a button that displays an empty blue circle with an arrow. を再試行してください。

    ユーザーアクセスが拒否されました

    Amazon S3 はオブジェクトを取得するリクエストを拒否しました。指定されたオブジェクトが存在する場合、そのオブジェクトへのアクセスは許可されていないか、使用が許可されていない AWS KMS キーで暗号化されています。

    このエラーに対処するには、 AWS 管理者と協力して、リストの設定で正しいバケット名とオブジェクト名が指定され、バケットとオブジェクトへの読み取りアクセス権があることを確認します。オブジェクトが暗号化されている場合、使用を許可されているキーを用いて暗号化されていることも確認してください。

  4. 特定のリストの設定とステータスを確認するには、リストの名前を選択します。

API

許可リストのステータスをプログラムで確認するには、Amazon Macie API の GetAllowList オペレーションを使用します。または、 を使用している場合は AWS CLI、get-allow-list コマンドを実行します。

id パラメータでは、ステータスを確認する許可リストの一意の識別子を指定します。この識別子を取得するには、ListAllowLists オペレーションを使用できます。ListAllowLists のオペレーションでは、アカウントのすべての許可リストに関する情報を取得します。を使用している場合は AWS CLI、list-allow-lists コマンドを実行してこの情報を取得できます。

GetAllowList リクエストを送信すると、Macie は許可リストのすべての設定をテストします。設定で正規表現 (regex) が指定されている場合、Macie は表現をコンパイルできることを確認します。設定で定義済みテキスト (s3WordsList) のリストが指定されている場合、Macie はリストを取得して解析できることを確認します。

次に Macie は許可リストの詳細を提供する GetAllowListResponse オブジェクトを返します。GetAllowListResponse オブジェクトで、status のオブジェクトは、リストの現在のステータス、つまりステータスコード code と、ステータスコードによってはリストのステータスの簡単な説明 description を示します。

許可リストに regex が指定されている場合、ステータスコードは通常OKで、関連する説明はありません。これは Macie が表現を正常にコンパイルしたことを意味します。

許可リストに定義済みのテキストが指定されている場合、ステータスコードはテスト結果によって異なります。

  • Macie がリストの取得と解析に成功した場合、ステータスコードは OK で、関連する説明はありません。

  • エラーが原因で Macie がリストを取得または解析できなかった場合は、ステータスコードと説明は発生したエラーの性質を示します。

可能性のあるステータスコードのリストとそれぞれの説明については、Amazon Macie API リファレンスの allowListStatus を参照してください。