翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# 機密データ自動検出を実行する
Amazon Simple Storage Service (Amazon S3) のデータ資産内の機密データがどこにあるかを広く把握するには、アカウントまたは組織の機密データを自動検出するように Amazon Macie を設定します。機密データ自動検出により、Macie は S3 バケットインベントリを継続的に評価し、サンプリング技術を使用してバケット内の代表的な S3 オブジェクトを識別して選択します。その後、Macie は選択したオブジェクトを取得して分析し、機密データがないか検査します。
デフォルトでは、Macie は、すべての S3 汎用バケットからオブジェクトを選択して分析します。お客様が組織の Macie 管理者である場合は、この対象に、メンバーアカウントが所有するバケット内のオブジェクトが含まれます。分析の範囲は、特定のバケットを除外して調整できます。例えば、通常は AWS ログデータを保存するバケットを除外できます。お客様が Macie 管理者である場合は、追加のオプションとして、組織内の個々のアカウントの機密データ自動検出をケースバイケースで有効または無効にできます。
特定の種類の機密データに焦点を当てるように分析を調整できます。デフォルトでは、Macie は機密データ自動検出に推奨するマネージドデータ識別子のセットを使用して S3 オブジェクトを分析します。分析を調整するには、Macie が提供する[マネージドデータ識別子](managed-data-identifiers.md)、お客様が定義する[カスタムデータ識別子](custom-data-identifiers.md)、またはこの 2 つの組み合わせを使用するように Macie を設定します。また、指定した[許可リスト](allow-lists.md)を使用するように Macie を設定して、分析を絞り込むこともできます。
分析が毎日進むにつれて、Macie は検出した機密データと実行した分析の記録を作成します。**機密データ検出結果では、Macie が個々の S3 オブジェクト内で検出した機密データが報告され、**機密データ検出結果では個々の S3 オブジェクトの分析に関する詳細が記録されます。Macie は、Amazon S3 データに関して提供する統計、インベントリデータ、およびその他の情報も更新します。例えば、コンソールのインタラクティブなヒートマップでは、データ資産全体のデータ機密性が視覚的に表示されます。
![\[S3 バケットマップ。アカウント別にグループ化され、異なる色で色分けされた S3 バケットごとの四角形が表示されます。\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/scrn-s3-map-small.png)
これらの機能は、Amazon S3 データ資産全体のデータ機密性を評価し、ドリルダウンして個々のアカウント、バケット、オブジェクトを調査して評価するのに役立つように設計されています。また、[機密データ検出ジョブを実行する](discovery-jobs.md)ことで、より詳細で即時に分析を行うべき箇所を判断するのにも役立ちます。Macie が提供する Amazon S3 データのセキュリティとプライバシーに関する情報と組み合わせることで、これらの機能を使用して、即時の修正が必要なケース (Macie が機密データを検出した一般にアクセス可能なバケットなど) を特定することもできます。
機密データ自動検出を設定して管理するには、アカウントがスタンドアロンの Macie アカウントまたは組織の Macie 管理者アカウントである必要があります。
**Topics**
+ [機密データの自動検出の仕組み](discovery-asdd-how-it-works.md)
+ [機密データ自動検出を設定する](discovery-asdd-account-manage.md)
+ [機密データ自動検出の結果を確認する](discovery-asdd-results-s3.md)
+ [機密データ自動検出カバレッジの評価](discovery-coverage.md)
+ [S3 バケットの機密スコアを調整する](discovery-asdd-s3bucket-manage.md)
+ [S3 バケットの機密スコア](discovery-scoring-s3.md)
+ [機密データの自動検出のデフォルト設定](discovery-asdd-settings-defaults.md)
# 機密データの自動検出の仕組み
で Amazon Macie を有効にすると AWS アカウント、Macie は現在の でアカウントの AWS Identity and Access Management (IAM) [サービスにリンクされたロール](service-linked-roles.md)を作成します AWS リージョン。このロールのアクセス許可ポリシーにより、Macie はユーザーに代わって他の を呼び出し AWS のサービス 、 AWS リソースをモニタリングできます。このロールを使用することで、Macie は リージョンで Amazon Simple Storage Service (Amazon S3) 汎用バケットのインベントリを生成および維持します。インベントリには、各 S3 バケットとバケット内のオブジェクトに関する情報が含まれます。お客様が組織の Macie 管理者である場合、インベントリには、メンバーアカウントが所有するバケットに関する情報が含まれます。詳細については、「[複数のアカウントの管理](macie-accounts.md)」を参照してください。
機密データ自動検出が有効になっている場合、Macie はインベントリデータを毎日評価して、自動検出に適する S3 オブジェクトを識別します。評価の一環として、Macie は代表的なオブジェクトのサンプルを選択して分析します。次に、Macie は、選択した各オブジェクトの最新バージョンを取得して分析し、各オブジェクトに機密データがないか検査します。
分析が毎日進むにつれて、Macie は Amazon S3 データについて提供する統計、インベントリデータ、およびその他の情報を更新します。Macie は、検出した機密データや実行した分析の記録も作成します。結果のデータは、Macie が Amazon S3 データ資産内の機密データを検出した場所に関するインサイトを提供します。これは、アカウントのすべての S3 汎用バケットにまたがる可能性があります。このデータは、Amazon S3 データのセキュリティとプライバシーの評価、より詳細な調査の実施の決定、および修復が必要なケースの特定に役立ちます。
機密データの自動検出の仕組みについては、以下の動画をご覧ください。
機密データ自動検出を設定して管理するには、アカウントがスタンドアロンの Macie アカウントまたは組織の Macie 管理者アカウントである必要があります。お客様のアカウントが組織に属している場合、組織内のアカウントの自動検出を有効または無効にできるのはその組織の Macie 管理者のみです。また、そのアカウントの自動検出設定を行い、管理できるのも Macie 管理者のみです。これには、Macie が実行する分析の範囲と性質を定義する設定が含まれます。組織のメンバーアカウントをお持ちの場合は、Macie 管理者に連絡して、アカウントと組織の設定を確認してください。
**Topics**
+ [主要コンポーネント](#discovery-asdd-how-it-works-components)
+ [考慮事項](#discovery-asdd-how-it-works-considerations)
## 主要コンポーネント
Amazon Macie は、さまざまな機能と技術を組み合わせて、機密データ自動検出を実行します。これらは、[セキュリティとアクセスコントロールのために Amazon S3 データを監視する](monitoring-s3-how-it-works.md)のに役立つ Macie 提供の機能と連動します。
**分析する S3 オブジェクトの選択**
Macie は毎日 Amazon S3 インベントリデータを評価して、機密データ自動検出による分析の対象となる S3 オブジェクトを識別します。ユーザーが組織の Macie 管理者である場合、評価にはデフォルトで、メンバーアカウントが所有する S3 バケットのデータが含まれます。
評価の一環として、Macie はサンプリング技術を使用して代表的な S3 オブジェクトを選択し、分析します。この手法は、メタデータが類似していて内容が類似している可能性が高いオブジェクトのグループを定義します。グループは、バケット名、プレフィックス、ストレージクラス、ファイル名拡張子、最終更新日などのディメンションに基づいています。次に、Macie は各グループから代表的なサンプルセットを選択し、選択した各オブジェクトの最新バージョンを Amazon S3 から取得し、選択した各オブジェクトを分析して、オブジェクトに機密データが含まれているかどうかを判断します。分析が完了すると、Macie はオブジェクトのコピーを破棄します。
サンプリング戦略では、分散分析が優先されます。一般的に、Amazon S3 のデータエステートは幅優先のアプローチを採用しています。毎日、Amazon S3 データエステート内の分類可能なすべてのオブジェクトの合計ストレージサイズに基づいて、できるだけ多くのバケットから代表的な汎用 S3 オブジェクトセットが選択されます。例えば、Macie が、あるバケットのオブジェクト内の機密データをすでに分析して発見していて、別のバケットのオブジェクトをまだ分析していない場合、分析の優先順位は後者のバケットの方が高くなります。このアプローチにより、Amazon S3 データの機密性に関する幅広い洞察をより迅速に得ることができます。データエステートの規模にもよりますが、48 時間以内に分析結果が表示されるようになります。
また、サンプリング戦略では、さまざまなタイプの S3 オブジェクトや、最近作成または変更されたオブジェクトの分析も優先されます。単一のオブジェクトサンプルが決定的であるとは限りません。したがって、さまざまなオブジェクトのセットを分析することで、S3 バケットに含まれる機密データのタイプと量をよりよく理解できます。さらに、新しいオブジェクトまたは最近変更されたオブジェクトに優先順位を付けると、バケットインベントリへの変更に分析を適応させるのに役立ちます。例えば、前回の分析の後にオブジェクトが作成または変更された場合、それらのオブジェクトはその後の分析で優先度が高くなります。逆に、オブジェクトが以前に分析され、その分析以降に変更されていない場合、Macie はそのオブジェクトを再度分析しません。このアプローチは、個々の S3 バケットの感度ベースラインを確立するのに役立ちます。その後、アカウントの継続的な段階的な分析が進むにつれて、個々のバケットの感度評価が予測可能な速度でますます深く、詳細になります。
**分析範囲の定義**
デフォルトでは、Macie はインベントリデータを評価し、分析する S3 オブジェクトを選択するときに、アカウントのすべての S3 汎用バケットを含めます。お客様が組織の Macie 管理者である場合、これには、お客さまのメンバーアカウントが所有するバケットが含まれます。
特定の S3 バケットを機密データ自動検出から除外して、分析の範囲を調整できます。例えば、 AWS CloudTrail イベントログなどの AWS ログ記録データを保存するバケットを除外できます。バケットを除外するには、アカウントまたはバケットの自動検出設定を変更できます。これを行うと、Macie は次の日次評価および分析サイクルが始まるときにバケットの除外を開始します。分析から除外できるバケットは 1,000 個までです。S3 バケットを除外する場合、そのバケットは後で再び含めることができます。そのためには、アカウントまたはバケットの設定を再度変更してください。Macie は、次の日次評価と分析のサイクルが始まるとバケットの検出を開始します。
お客様が組織の Macie 管理者である場合は、組織内の個々のアカウントの機密データ自動検出を有効または無効にすることもできます。アカウントの自動検出を無効にすると、Macie は、アカウントが所有するすべての S3 バケットを除外します。その後、アカウントの自動検出を再度有効にすると、Macie では、バケットが再度含まれるようになります。
**検出して報告する機密データのタイプを決定する**
デフォルトでは、Macie は機密データの自動検出に推奨されるマネージドデータ識別子のセットを使用して S3 オブジェクトを検査します。これらのマネージドデータ識別子のリストについては、[機密データの自動検出のデフォルト設定](discovery-asdd-settings-defaults.md) を参照してください。
特定の種類の機密データに焦点を当てるように分析を調整できます。そのためには、自動検出設定を次のいずれかの方法で変更します。
+ **マネージドデータ識別子の追加または削除** – *マネージドデータ識別子*は、クレジットカード番号、 AWS シークレットアクセスキー、特定の国または地域のパスポート番号など、特定のタイプの機密データを検出するように設計された一連の組み込み基準と手法です。詳細については、「[マネージドデータ識別子の使用](managed-data-identifiers.md)」を参照してください。
+ **カスタムデータ識別子を追加またはその後削除する** - *カスタムデータ識別子*は、機密データを検出するために定義する基準のセットです。カスタムデータ識別子を使用すれば、お客様の組織の特定のシナリオ、知的財産、または専有データを反映する機密データを検出できます。例えば、従業員 ID、顧客アカウント番号、内部データの分類などを検出できます。詳細については、「[カスタムデータ識別子の構築](custom-data-identifiers.md)」を参照してください。
+ **許可リストを追加または削除する** – Macie では、許可リストにより、Macie が S3 オブジェクトで無視するテキストまたはテキストパターンを指定します。これらは通常、特定のシナリオや環境における機密データの例外です。例えば、組織の公表名称または電話番号、組織がテストに使用するサンプルデータなどです。詳細については、「[許可リストでの機密データの例外の定義](allow-lists.md)」を参照してください。
設定を変更した場合、Macie は次の日次分析サイクルの開始時に変更を適用します。お客様が組織の Macie 管理者である場合、Macie は、組織内の他のアカウントの S3 オブジェクトを分析するとき、このアカウントの設定を使用します。
バケットレベルの設定を行い、特定のタイプの機密データをバケットの機密性の評価に含めるかどうかを決定することもできます。この方法の詳細は、[S3 バケットの機密スコアを調整する](discovery-asdd-s3bucket-manage.md)を参照してください。
**機密スコアの計算**
デフォルトでは、Macie はアカウントの S3 汎用バケットごとに機密スコアを自動的に計算します。お客様が組織の Macie 管理者である場合、これには、お客さまのメンバーアカウントが所有するバケットが含まれます。
Macie では、機密スコアは、Macie がバケット内で検出した機密データの量と Macie がバケット内で分析したデータの量という 2 つの主要なディメンションの共通集合を定量的に測定したものです。バケットの機密スコアによって、Macie がバケットに割り当てる機密ラベルが決まります。機密ラベルは、バケットの機密スコアを定性的に表したものです。例えば、機密、非機密、分析が未完了などです。Macie が定義する機密性スコアとラベルの範囲の詳細については、[S3 バケットの機密スコア](discovery-scoring-s3.md) を参照してください。
S3 バケットの機密スコアとラベルは、バケットまたはバケットのオブジェクトがお客様またはお客様が属する組織に対して緊急性または重要性を意味したり、示したりするものではありません。代わりに、潜在的なセキュリティリスクの特定とモニタリングに役立つ参照ポイントを提供することを目的としています。
機密データ自動検出を最初に有効にすると、Macie は自動的に 50 の機密スコアと [分析が未完了] ラベルを各 S3 バケットに割り当てます。****ただし、空のバケットは例外です。空のバケット**とは、オブジェクトを一切保存していないバケット、またはバケットのすべてのオブジェクトにゼロ (0) バイトのデータが含まれているバケットです。バケットの場合、Macie はバケットに1のスコアを割り当て、バケットには非機密ラベルを割り当てます。
機密データ自動検出が進むと、Macie は、分析の結果を反映するように機密スコアとラベルを更新します。以下に例を示します。
+ Macie がオブジェクト内の機密データを検出しない場合、必要に応じてMacie はバケットの機密スコアを下げ、バケットの機密ラベルを更新します。
+ Macie がオブジェクト内の機密データを検出すると、必要に応じて Macie はバケットの機密スコアを上げ、バケットの機密ラベルを更新します。
+ その後変更されたオブジェクト内で機密データが検出された場合、Macie は必要に応じてそのオブジェクトの機密データ検出をバケットの機密スコアから削除し、バケットの機密ラベルを更新します。
+ その後削除されたオブジェクト内で機密データが検出された場合、Macie は必要に応じてそのオブジェクトの機密データをバケットの機密スコアから削除し、バケットの機密ラベルを更新します。
特定のタイプの機密データをバケットのスコアに含めたり除外したりすることで、個々の S3 バケットの感度スコアリング設定を調整できます。最大スコア(100) をバケットに手動で割り当てることで、バケットの計算スコアを上書きすることもできます。最大スコアを割り当てると、バケットのラベルは *[機密]* になります。詳細については、「[S3 バケットの機密スコアを調整する](discovery-asdd-s3bucket-manage.md)」を参照してください。
**メタデータ、統計、その他のタイプ結果の生成**
機密データ自動検出を有効にすると、Macie は追加のインベントリデータ、統計、およびアカウントの S3 汎用バケットに関するその他の情報を生成して維持し始めます。お客様が組織の Macie 管理者である場合、これにはデフォルトで、お客さまのメンバーアカウントが所有するバケットが含まれます。
追加情報には、Macie がこれまでに実行した機密データ自動検出アクティビティの結果がキャプチャされます。また、個々のバケットのパブリックアクセスや共有アクセス設定など、Macie が提供する Amazon S3 データに関するその他の情報を補足するものでもあります。追加情報には以下が含まれます。
+ Amazon S3 データエステート全体のデータ機密性をインタラクティブかつ視覚的に表現します。
+ Macie が機密データを検出したバケットの総数や、それらのバケットのうちパブリックにアクセスできるバケットの数など、集約されたデータ機密性統計。
+ 分析の現在のステータスを示すバケットレベルの詳細情報。Macie がバケット内で分析したオブジェクトのリスト、Macie がバケット内で見つけた機密データのタイプ、Macie が見つけた機密データごとの出現回数などです。
この情報には、Amazon S3 データのカバレッジの評価とモニタリングに役立つ統計と詳細も含まれています。データエステート全体と個々の S3 バケットの分析ステータスを確認できます。Macie が特定バケット内のオブジェクトを分析できなかった問題を特定することもできます。問題を修正すれば、その後の分析サイクルで Amazon S3 データのカバレッジを拡大できます。詳細については、「[機密データ自動検出カバレッジの評価](discovery-coverage.md)」を参照してください。
Macie は、機密データ自動検出を実行しながら、この情報を自動的に再計算して更新します。例えば、Macie が S3 オブジェクト内の機密データを検出し、その後変更または削除された場合、Macie は該当するバケットのメタデータを更新します。つまり、分析対象オブジェクトのリストからそのオブジェクトを削除し、Macie がオブジェクト内で検出した機密データを削除して、スコアが自動的に計算された場合は機密スコアを再計算し、必要に応じて新しいスコアを反映するように機密ラベルを更新します。
メタデータと統計に加えて、Macie は検出した機密データおよび実行した分析のレコードを作成します。機密データ調査結果は、Macie が個々の S3 オブジェクト内で検出した機密データを報告し、機密データ検出結果は、個々の S3 オブジェクトの分析に関する詳細を記録します。****
詳細については、「[機密データ自動検出の結果を確認する](discovery-asdd-results-s3.md)」を参照してください。
## 考慮事項
Amazon Macie を設定して使用し、Amazon S3 データの機密データの自動検出を実行する場合、次の点に注意してください。
+ 自動検出設定は、現在の にのみ適用されます AWS リージョン。したがって、結果の分析とデータは、現在のリージョンの S3 汎用バケットとオブジェクトにのみ適用されます。追加のリージョンの自動検出を実行し、結果データにアクセスするには、追加の各リージョンで自動検出を有効化して設定します。
+ ユーザーが組織の Macie 管理者である場合:
+ 現在のリージョンのアカウントで Macie が有効になっている場合にのみ、メンバーアカウントの自動検出を実行できます。さらに、そのリージョン内のアカウントに対して自動検出を有効にする必要があります。メンバーは、自分のアカウントの自動検出を有効または無効にすることはできません。
+ メンバーアカウントの自動検出を有効にすると、Macie は、メンバーアカウントのデータを分析する際、管理者アカウントの自動検出設定を使用します。適用可能な設定は、分析から除外する S3 バケットのリスト、マネージドデータ識別子、カスタムデータ識別子、および S3 オブジェクトの分析時に使用できるリストです。メンバーはこれらの設定を確認または変更できません。
+ メンバーは、自らが所有する個々の S3 バケットの自動検出設定にアクセスできません。例えば、メンバーは、いずれかのバケットの機密スコア設定を確認または調整することはできません。Macie 管理者だけがこれらの設定にアクセスできます。
+ メンバーは、Macie が自分の S3 バケットに直接提供する機密データ検出統計やその他の結果への読み取りアクセスは許可されていません。例えば、メンバーは、Macie を使用して、S3 バケットの機密性スコアとカバレッジデータを確認できます。例外は機密データの検出結果です。自動検出によって生成される検出結果に直接アクセスできるのは Macie 管理者のみです。
+ S3 バケットのアクセス許可設定により、Macie によるバケットまたはバケットのオブジェクトに関する情報のアクセスまたは取得が妨げられている場合、Macie はバケットの自動検出を実行できません。Macie は、バケットを所有 AWS アカウント する のアカウント ID、バケットの名前、Macie が[毎日の更新サイクル](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh)の一部としてバケットとオブジェクトメタデータを最後に取得した日時など、バケットに関する情報のサブセットのみを提供できます。バケットインベントリでは、これらのバケットの機密スコアは50で、その機密ラベルの分析が未完了です。このような状況にある S3 バケットを特定するには、カバレッジデータを参照します。詳細については、「[機密データ自動検出カバレッジの評価](discovery-coverage.md)」を参照してください。
+ 選択と分析の対象となるには、S3 オブジェクトが汎用バケットに保存され、**分類可能である必要があります。分類可能なオブジェクトは、サポートされているAmazon S3ストレージクラスを使用し、サポートされているファイルまたはストレージフォーマットのファイル名拡張子を持っています。詳細については、[サポートされているストレージクラスとフォーマット](discovery-supported-storage.md)を参照してください。
+ S3 オブジェクトが暗号化されている場合、Macie がそれを分析できるのは Macie がアクセス可能で使用を許可されているキーを用いて暗号化されている場合のみです。詳細については、「[暗号化された S3 オブジェクトの分析](discovery-supported-encryption-types.md)」を参照してください。暗号化設定により Macie がバケット内の 1 つ以上のオブジェクトを分析できなかったケースを特定するには、カバレッジデータを参照します。詳細については、「[機密データ自動検出カバレッジの評価](discovery-coverage.md)」を参照してください。
# 機密データ自動検出を設定する
Amazon Simple Storage Service (Amazon S3) のデータエステート内のどこに機密データがあるかを広く把握するには、アカウントまたは組織の機密データ自動検出を有効にして設定します。これにより、Amazon Macie は S3 バケットインベントリを毎日評価し、サンプリング技術を使用してバケットから代表的な S3 オブジェクトを識別して選択します。Macie は、選択したオブジェクトを取得して分析し、機密データがないか検査します。お客様が組織の Macie 管理者である場合、これには、メンバーアカウントが所有する S3 バケット内のオブジェクトがデフォルトで含まれます。
分析が毎日進むにつれて、Macie は、検出した機密データや実行した分析の記録も作成します。Macie は、Amazon S3 データに関して提供する統計、インベントリデータ、およびその他の情報も更新します。結果として得られるデータは、Macie が Amazon S3 データ資産内の機密データを検出した場所に関するインサイトを提供します。これは、アカウントまたは組織のすべての S3 バケットにまたがる可能性があります。詳細については、「[機密データの自動検出の仕組み](discovery-asdd-how-it-works.md)」を参照してください。
お客様がスタンドアロンの Macie アカウントをお持ちの場合、または組織の Macie 管理者である場合は、アカウントまたは組織の機密データ自動検出を設定および管理できます。これには、自動検出の有効化と無効化、および Macie が実行する分析の範囲と性質を定義する設定の構成が含まれます。組織のメンバーアカウントをお持ちの場合は、Macie 管理者に連絡して、アカウントと組織の設定を確認してください。
**Topics**
+ [機密データ自動検出を設定するための前提条件](discovery-asdd-account-configure-prereqs.md)
+ [機密データ自動検出を有効にする](discovery-asdd-account-enable.md)
+ [機密データ自動検出設定を構成する](discovery-asdd-account-configure.md)
+ [機密データ自動検出を無効にする](discovery-asdd-account-disable.md)
# 機密データ自動検出を設定するための前提条件
機密データ自動検出の設定を有効化または設定する前に、以下のタスクを完了してください。これにより、必要なリソースとアクセス許可を確保できます。
これらのタスクを完了するには、組織の Amazon Macie 管理者であるか、スタンドアロンの Macie アカウントを持っている必要があります。アカウントが組織に属している場合、組織内のアカウントの機密データ自動検出を有効または無効にできるのは組織の Macie 管理者のみです。また、そのアカウントの自動検出設定を設定できるのも Macie 管理者のみです。
**Topics**
+ [ステップ 1: 機密データ検出の結果のリポジトリを設定する](#discovery-asdd-account-configure-prereqs-sddr)
+ [ステップ 2: アクセス許可を確認する](#discovery-asdd-account-configure-prereqs-perms)
+ [次の手順](#discovery-asdd-account-configure-prereqs-next)
## ステップ 1: 機密データ検出の結果のリポジトリを設定する
Amazon Macie は、機密データ自動検出を実行する際、分析対象として選択した各 Amazon Simple Storage Service (Amazon S3) オブジェクトの分析レコードを作成します。これらのレコードは**機密データの検出結果と呼ばれ、個々の S3 オブジェクトの分析に関する詳細を記録します。これには、Macie が機密データを見つけられないオブジェクト、およびアクセス許可設定などのエラーや問題のために Macie が分析できないオブジェクトが含まれます。Macie がオブジェクト内の機密データを検出すると、機密データ検出結果には、Macie が検出した機密データに関する情報が含まれます。機密データの検出結果から、データプライバシーと保護の監査や調査に役立つ分析レコードが得られます。
Macie は機密データの検出結果を 90 日間だけ保存します。結果にアクセスし、それらの長期保存と保持を有効化するには、結果を S3 バケットに保存するように Macie を設定します。バケットは、機密データの検出結果のすべての最終的で長期的なリポジトリとして機能します。組織の Macie 管理者の場合は、これには、機密データ自動検出を有効にするメンバーアカウントの機密データ検出結果が含まれます。
このリポジトリを設定したことを確認するには、Amazon Macie コンソールのナビゲーションペインで **[検出結果]** を選択します。プログラムでこの操作を行う場合は、Amazon Macie APIの [GetClassificationExportConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/classification-export-configuration.html) オペレーションを使用できます。機密データ検出の結果とこのリポジトリの設定方法の詳細については、「[機密データ検出結果の保存と保持](discovery-results-repository-s3.md)」を参照してください。
リポジトリを設定した場合、機密データ自動検出を最初に有効にしたときに、Macie はリポジトリに `automated-sensitive-data-discovery` という名前のフォルダを作成します。このフォルダには、Macie がアカウントまたは組織の自動検出を実行する際に作成した機密データ検出結果が格納されます。
複数の で Macie を使用する場合は AWS リージョン、それらのリージョンごとにリポジトリが設定されていることを確認します。
## ステップ 2: アクセス許可を確認する
アクセス許可を確認するには、 AWS Identity and Access Management (IAM) を使用して、IAM ID にアタッチされている IAM ポリシーを確認します。次にこれらのポリシー内の情報を、実行が許可される必要がある次のアクションのリストと比較します。
+ `macie2:GetMacieSession`
+ `macie2:UpdateAutomatedDiscoveryConfiguration`
+ `macie2:ListClassificationScopes`
+ `macie2:UpdateClassificationScope`
+ `macie2:ListSensitivityInspectionTemplates`
+ `macie2:UpdateSensitivityInspectionTemplate`
最初のアクションでは、Amazon Macie アカウントにアクセスできます。2 つ目のアクションでは、アカウントまたは組織の機密データ自動検出を有効または無効にできます。組織の場合、組織内のアカウントに対して自動検出を自動的に有効にすることもできます。残りのアクションでは、設定を識別して変更できます。
Amazon Macie コンソールを使用して構成設定を確認または変更する予定がある場合は、次のアクションの実行が許可される必要があります。
+ `macie2:GetAutomatedDiscoveryConfiguration`
+ `macie2:GetClassificationScope`
+ `macie2:GetSensitivityInspectionTemplate`
これらのアクションにより、アカウントまたは組織の現在の構成設定と機密データ自動検出のステータスを取得できます。構成設定をプログラムで変更する場合は、これらのアクションを実行するアクセス許可はオプションです。
お客様が組織の Macie 管理者である場合は、次のアクションの実行も許可されている必要があります。
+ `macie2:ListAutomatedDiscoveryAccounts`
+ `macie2:BatchUpdateAutomatedDiscoveryAccounts`
最初のアクションでは、組織内の個々のアカウントについて、機密データ自動検出のステータスを取得できます。2 つ目のアクションでは、組織内の個々のアカウントの自動検出を有効または無効にできます。
必要なアクションを実行することが許可されていない場合は、 AWS 管理者にサポートを依頼してください。
## 次の手順
上記のタスクを完了すると、アカウントまたは組織の設定を有効にして設定する準備が整います。
+ [機密データ自動検出を有効にする](discovery-asdd-account-enable.md)
+ [機密データ自動検出設定を構成する](discovery-asdd-account-configure.md)
# 機密データ自動検出を有効にする
機密データ自動検出を有効にすると、Amazon Macie は Amazon Simple Storage Service (Amazon S3) インベントリデータの評価を開始し、現在の AWS リージョンでアカウントのその他の自動検出アクティビティを実行します。お客様が組織の Macie 管理者である場合、この評価とアクティビティに、メンバーアカウントが所有する S3 バケットがデフォルトで含まれます。Amazon S3 データエステートのサイズによっては、統計やその他の結果が 48 時間以内に表示され始める場合があります。
機密データ自動検出を有効にしたら、Macie が実行する分析の範囲と性質を絞り込む設定を行うことができます。これらの設定では、分析から除外する S3 バケットを指定します。また、マネージドデータ識別子、カスタムデータ識別子、および Macie が S3 オブジェクトを分析するときに使用する許可リストを指定します。これらの設定については、「[機密データ自動検出設定を構成する](discovery-asdd-account-configure.md)」を参照してください。お客様が組織の Macie 管理者である場合は、組織内の個々のアカウントの機密データ自動検出をcase-by-caseで有効または無効にすることで、分析の範囲を絞り込むこともできます。
機密データ自動検出を有効にするには、組織の Macie 管理者であるか、スタンドアロンの Macie アカウントが付与されている必要があります。組織にメンバーアカウントがある場合は、Macie 管理者と協力して、アカウントの機密データ自動検出を有効にします。
**機密データ自動検出を有効にするには**
お客様が組織の Macie 管理者であるか、スタンドアロンの Macie アカウントをお持ちの場合は、Amazon Macie コンソールまたは Amazon Macie API を使用して機密データ自動検出を有効にできます。 Amazon Macie 初めて有効にする場合は、[まず前提条件タスクを完了](discovery-asdd-account-configure-prereqs.md)します。これにより、必要なリソースとアクセス許可を確保できます。
------
#### [ Console ]
Amazon Macie コンソールを使用して機密データの自動検出を有効にするには、次の手順に従います。
**機密データ自動検出を有効にするには**
1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。
1. ページの右上隅にある AWS リージョン セレクターを使用して、機密データの自動検出を有効にするリージョンを選択します。
1. ナビゲーションペインの **[設定]** で、**[機密データ自動検出]** を選択します。
1. スタンドアロンの Macie アカウントをお持ちの場合は、**[ステータス]** セクションで **[有効化]** を選択します。
1. お客様が組織の Macie 管理者である場合は、**[ステータス]** セクションでオプションを選択して、機密データ自動検出を有効にするアカウントを指定します。
+ この機能を組織内のすべてのアカウントで有効にするには、**[有効化]** を選択します。表示されたダイアログボックスで **[組織]** を選択します。の組織では AWS Organizations、**新しいアカウントに対して自動的に有効に**する を選択し、その後組織に参加するアカウントに対しても自動的に有効にします。終了したら、**[有効化]** を選択します。
+ この機能を特定のメンバーアカウントのみで有効にするには、**[アカウントを管理]** を選択します。次に、**アカウント**ページの表で、有効にする各アカウントのチェックボックスをオンにします。完了したら、**[アクション]** メニューで **[機密データ自動検出を有効化]** を選択します。
+ この機能を Macie 管理者アカウントのみで有効にするには、**[有効化]** を選択します。表示されるダイアログボックスで、**[マイアカウント]** をオンにし、**[新しいアカウントで自動的に有効化]** をオフにします。終了したら、**[有効化]** を選択します。
複数のリージョンで Macie を使用し、追加のリージョンで機密データ自動検出を有効にする場合は、追加のリージョンごとに前述のステップを繰り返します。
その後、組織内の個々のアカウントの機密データ自動検出のステータスを確認または変更するには、ナビゲーションペインで**アカウント**を選択します。**[アカウント]** ページでは、テーブル内の **[自動機密データ検出]** フィールドにアカウントの自動検出の現在のステータスが示されます。アカウントのステータスを変更するには、アカウントのチェックボックスをオンにします。次に、**アクション**メニューを使用して、アカウントの自動検出を有効または無効にします。
------
#### [ API ]
機密データ自動検出をプログラムで有効にするには、いくつかのオプションがあります。
+ Macie 管理者アカウント、組織、またはスタンドアロン Macie アカウントに対してこれを有効にするには、[UpdateAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html) オペレーションを使用します。または、 (AWS CLI) を使用している場合は AWS Command Line Interface 、[update-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-automated-discovery-configuration.html) コマンドを実行します。
+ 組織内の特定のメンバーアカウントでのみ有効にするには、[BatchUpdateAutomatedDiscoveryAccounts](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-accounts.html) オペレーションを使用します。または、 を使用している場合は AWS CLI、 [batch-update-automated-discovery-accounts](https://docs.aws.amazon.com/cli/latest/reference/macie2/batch-update-automated-discovery-accounts.html) コマンドを実行します。メンバーアカウントの自動検出を有効にするには、まず管理者アカウントまたは組織に対して自動検出を有効にする必要があります。
追加のオプションと詳細は、アカウントの種類によって異なります。
Macie 管理者の場合は、 **UpdateAutomatedDiscoveryConfiguration**オペレーションを使用するか、 **update-automated-discovery-configuration** コマンドを実行して、アカウントまたは組織の機密データ自動検出を有効にします。リクエストで、`status` パラメータを `ENABLED` として指定します。`autoEnableOrganizationMembers` パラメータには、有効にするアカウントを指定します。を使用している場合は AWS CLI、 `auto-enable-organization-members`パラメータを使用してアカウントを指定します。次の値を指定できます。
+ `ALL` (デフォルト) – 組織内のすべてのアカウントで有効にします。これには、管理者アカウント、既存のメンバーアカウント、その後組織に参加するアカウントが含まれます。
+ `NEW` – 管理者アカウントで有効にします。また、後で組織に参加するアカウントでも自動的に有効にします。以前に組織の自動検出を有効にし、この値を指定した場合、自動検出は、現在有効になっている既存のメンバーアカウントに対して引き続き有効になります。
+ `NONE` – 管理者アカウントに対してのみ有効にします。後で組織に参加するアカウントに対して自動的に有効にしないでください。以前に組織の自動検出を有効にし、この値を指定した場合、自動検出は、現在有効になっている既存のメンバーアカウントに対して引き続き有効になります。
特定のメンバーアカウントのみの機密データ自動検出を選択的に有効にする場合は、 `NEW`または を指定します`NONE`。その後、 **BatchUpdateAutomatedDiscoveryAccounts**オペレーションを使用するか、 **batch-update-automated-discovery-accounts** コマンドを実行して、アカウントの自動検出を有効にできます。
スタンドアロン Macie アカウントがある場合は、 **UpdateAutomatedDiscoveryConfiguration**オペレーションを使用するか、 **update-automated-discovery-configuration** コマンドを実行して、アカウントの機密データ自動検出を有効にします。リクエストで、`status` パラメータを `ENABLED` として指定します。`autoEnableOrganizationMembers` パラメータでは、他のアカウントの Macie 管理者になる予定があるかどうかを検討し、適切な値を指定します。を指定した場合`NONE`、アカウントの Macie 管理者になると、アカウントの自動検出は自動的に有効になりません。`ALL` または を指定した場合`NEW`、自動検出はアカウントに対して自動的に有効になります。を使用している場合は AWS CLI、 `auto-enable-organization-members`パラメータを使用して、この設定に適した値を指定します。
次の例は、 を使用して、組織内の 1 つ以上のアカウントの機密データ自動検出 AWS CLI を有効にする方法を示しています。この最初の例では、組織内のすべてのアカウントの自動検出を初めて有効にします。これにより、Macie 管理者アカウント、既存のすべてのメンバーアカウント、およびその後組織に加わるアカウントの自動検出が可能になります。
```
$ aws macie2 update-automated-discovery-configuration --status ENABLED --auto-enable-organization-members ALL --region us-east-1
```
*us-east-1* は、アカウントの機密データ自動検出を有効にするリージョン、米国東部 (バージニア北部) リージョンです。リクエストが成功すると、Macie はアカウントの自動検出を有効にし、空のレスポンスを返します。
次の例では、組織のメンバー有効化設定を に変更します`NONE`。この変更により、機密データの自動検出は、その後組織に加わったアカウントに対して自動的に有効になることはありません。代わりに、Macie 管理者アカウントと、現在有効になっている既存のメンバーアカウントに対してのみ有効になります。
```
$ aws macie2 update-automated-discovery-configuration --status ENABLED --auto-enable-organization-members NONE --region us-east-1
```
*us-east-1* は、設定を変更するリージョン、米国東部 (バージニア北部) リージョンです。リクエストが成功すると、Macie は 設定を更新し、空のレスポンスを返します。
次の例では、組織内の 2 つのメンバーアカウントの機密データ自動検出を有効にします。Macie 管理者は、組織の自動検出を既に有効にしています。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。
```
$ aws macie2 batch-update-automated-discovery-accounts \
--region us-east-1 \
--accounts '[{"accountId":"123456789012","status":"ENABLED"},{"accountId":"111122223333","status":"ENABLED"}]'
```
この例は Microsoft Windows 用にフォーマットされており、読みやすさを向上させるためにキャレット (^) の行継続文字を使用しています。
```
C:\> aws macie2 batch-update-automated-discovery-accounts ^
--region us-east-1 ^
--accounts=[{\"accountId\":\"123456789012\",\"status\":\"ENABLED\"},{\"accountId\":\"111122223333\",\"status\":\"ENABLED\"}]
```
コードの説明は以下のとおりです。
+ *us-east-1* は、指定されたアカウントの機密データ自動検出を有効にするリージョン、米国東部 (バージニア北部) リージョンです。
+ *123456789012* および *111122223333* は、機密データの自動検出を有効にするアカウントのアカウント IDs です。
指定されたすべてのアカウントでリクエストが成功すると、Macie は空の`errors`配列を返します。一部のアカウントでリクエストが失敗した場合、 配列は影響を受けるアカウントごとに発生したエラーを指定します。例えば、次のようになります。
```
"errors": [
{
"accountId": "123456789012",
"errorCode": "ACCOUNT_PAUSED"
}
]
```
前述のレスポンスでは、Macie は現在アカウントで停止されているため、指定されたアカウント (`123456789012`) のリクエストが失敗しました。このエラーに対処するには、Macie 管理者はまずアカウントの Macie を有効にする必要があります。
すべてのアカウントでリクエストが失敗すると、発生したエラーを説明するメッセージが表示されます。
------
# 機密データ自動検出設定を構成する
アカウントまたは組織で機密データ自動検出が有効になっている場合、自動検出設定を調整して、Amazon Macie が実行する分析を絞り込むことができます。設定では、分析から除外する Amazon Simple Storage Service (Amazon S3) バケットを指定します。また、S3 オブジェクトを分析する際に使用する管理データ識別子、カスタムデータ識別子、許可リストなど、検出してレポートする機密データの種類と出現頻度も指定します。
デフォルトでは、Macie はアカウントのすべての S3 汎用バケットに対して機密データの自動検出を実行します。お客様が組織の Macie 管理者である場合、これには、お客さまのメンバーアカウントが所有するバケットが含まれます。特定のバケットを分析から除外できます。たとえば、 AWS CloudTrail イベントログなどの AWS ログデータを保存するバケットを除外できます。バケットを除外する場合、そのバケットは後で再び含めることができます。
さらに、Macie は、機密データ自動検出に推奨されるマネージドデータ識別子のセットのみを使用して S3 オブジェクトを分析します。Macie は、カスタムデータ識別子またはユーザーが定義した許可リストを使用しません。分析をカスタマイズするには、特定のマネージドデータ識別子、カスタムデータ識別子、許可リストを追加または削除します。
設定を変更した場合、Macie は、次の評価および分析サイクルが開始されたときに (通常は 24 時間以内)、変更を適用します。また、変更は現在の AWS リージョンにのみ適用されます。追加のリージョンで同じ変更を行うには、追加のリージョンごとに該当するステップを繰り返します。
**Topics**
+ [組織の設定オプション](#discovery-asdd-configure-options-orgs)
+ [S3 バケットを除外するか、含める](#discovery-asdd-account-configure-s3buckets)
+ [マネージドデータ識別子を追加または削除する](#discovery-asdd-account-configure-mdis)
+ [カスタムデータ識別子を追加または削除する](#discovery-asdd-account-configure-cdis)
+ [許可リストを追加または削除する](#discovery-asdd-account-configure-als)
**注記**
機密データ自動検出設定を設定するには、組織の Macie 管理者であるか、スタンドアロンの Macie アカウントが付与されている必要があります。アカウントが組織の一部である場合、組織の Macie 管理者のみが組織内のアカウントの設定を構成および管理できます。メンバーアカウントをお持ちの場合は、Macie 管理者に連絡して、アカウントと組織の設定を確認してください。
## 組織の設定オプション
アカウントが複数の Amazon Macie アカウントを一元的に管理する組織に属している場合、組織の Macie 管理者が組織内のアカウントの機密データ自動検出を設定して管理します。これには、Macie がアカウントに対して実行する分析の範囲と性質を定義する設定が含まれます。メンバーは、自分のアカウントのこれらの設定にはアクセスできません。
お客様が組織の Macie 管理者である場合、以下のいくつかの方法で分析の範囲を定義できます。
+ **アカウントの機密データ自動検出を自動的に有効にする** – 機密データ自動検出を有効にする場合、既存のすべてのアカウントと新しいメンバーアカウントに対してのみ有効にするか、新しいメンバーアカウントに対してのみ有効にするか、メンバーアカウントなしで有効にするかを指定します。新しいメンバーアカウントで有効にすると、アカウントが Macie で組織に参加するときに、その後組織に参加するすべてのアカウントで自動的に有効になります。機密データ自動検出がアカウントで有効な場合、Macie には、アカウントが所有する S3 バケットが含まれます。機密データ自動検出がアカウントで無効な場合、Macie は、アカウントが所有するバケットを除外します。
+ **アカウントの機密データ自動検出を選択的に有効にする** – このオプションを指定すると、個々のアカウントで機密データ自動検出をケースバイケースで有効または無効にします。機密データ自動検出をアカウントに対して有効にすると、Macie にはアカウントが所有する S3 バケットが含まれます。機密データ自動検出をアカウントに対して有効にしない場合、または無効にした場合、Macie はアカウントが所有するバケットを除外します。
+ **機密データ自動検出から特定の S3 バケットを除外**する – アカウントの機密データ自動検出を有効にすると、アカウントが所有する特定の S3 バケットを除外できます。その後、Macie は自動検出を実行するときにバケットをスキップします。特定のバケットを除外するには、管理者アカウントの設定で除外リストに追加します。組織で最大 1,000 個のバケットを除外できます。
デフォルトでは、機密データ自動検出は、組織内のすべての新規アカウントと既存のアカウントで自動的に有効になります。さらに、Macie には、アカウントが所有するすべての S3 バケットが含まれます。デフォルト設定のままにすると、Macie は、メンバーアカウントが所有するすべてのバケットを含む、管理者アカウントのすべてのバケットに対して自動検出を実行することになります。
Macie 管理者は、Macie が組織に対して実行する分析の性質も定義できます。これを行うには、管理データ識別子、カスタムデータ識別子、Macie が S3 オブジェクトを分析するときに使用する許可リストなど、管理者アカウントの追加設定を行います。Macie は、組織内の他のアカウントの S3 オブジェクトを分析するとき、この管理者アカウントの設定を使用します。
## 機密データ自動検出での S3 バケットの除外または包含
デフォルトでは、Amazon Macie はアカウントのすべての S3 汎用バケットに対して機密データの自動検出を実行します。お客様が組織の Macie 管理者である場合、これには、お客さまのメンバーアカウントが所有するバケットが含まれます。
範囲を絞り込むために、分析から最大 1,000 個の S3 バケットを除外できます。バケットを除外すると、Macie は、機密データ自動検出を実行する際、バケット内のオブジェクトを選択して分析するのを停止します。バケットの既存の機密データ検出の統計と詳細は保持されます。例えば、バケットの現在の機密スコアは変更されません。バケットを除外する場合、そのバケットは後で再び含めることができます。
**機密データ自動検出で S3 バケットを除外または含めるには**
Amazon Macie コンソールまたは Amazon Macie API を使用して、S3 バケットを除外するか、後から含めることができます。
------
#### [ Console ]
Amazon Macie コンソールを使用して S3 バケットを除外または後から含めるには、次の手順に従います。
**S3 バケットを除外するか、含めるには**
1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。
1. ページの右上隅にある AWS リージョン セレクターを使用して、分析に特定の S3 バケットを除外または含めるリージョンを選択します。
1. ナビゲーションペインの **[設定]** で、**[機密データ自動検出]** を選択します。
**機密データ自動検出** ページが表示され、現在の設定が表示されます。そのページの [**S3 バケット**] セクションには、現在除外されている S3 バケットが一覧表示されているか、現在すべてのバケットが含まれていることが示されます。
1. **S3 バケット** セクションで、**編集** を選択します。
1. 次のいずれかを行います。
+ 1 つ以上の S3 バケットを除外するには、[**除外リストにバケットを追加**] を選択します。次に、**S3 バケット**テーブルで、除外する各バケットのチェックボックスをオンにします。テーブルには、現在のリージョン内のアカウントまたは組織のすべての汎用バケットが表示されます。
+ 以前に除外した 1 つ以上の S3 バケットを含めるには、[**除外リストからバケットを削除する**] を選択します。次に、**S3 バケット**テーブルで、含める各バケットのチェックボックスをオンにします。テーブルには、現在分析から除外されているすべてのバケットが一覧表示されます。
特定のバケットをより簡単に検索するには、テーブルの上にある検索ボックスに検索条件を入力します。列見出しを選択して、テーブルを並べ替えることもできます。
1. バケットを選択し終えたら、前のステップで選択したオプションに応じて [**追加**] または [**削除**] を選択します。
**ヒント**
コンソールでバケットの詳細を確認しながら、ケースに応じて個々の S3 バケットを除外したり、含めたりすることもできます。これを行うには、**S3 バケット**ページでバケットを選択します。次に、詳細パネルで、バケットの **[自動検出から除外]** 設定を変更します。
------
#### [ API ]
プログラムで S3 バケットを除外または後から含めるには、Amazon Macie API を使用してアカウントの分類範囲を更新します。分類スコープは、Macie が機密データの自動検出を実行するときに分析したくないバケットを指定します。自動検出用のバケット除外リストを定義します。
分類スコープを更新するときは、除外リストから個々のバケットを追加または削除するか、現在のリストを新しいリストで上書きするかを指定します。したがって、まず現在のリストを取得して確認することをお勧めします。リストを取得するには、[GetClassificationScope](https://docs.aws.amazon.com/macie/latest/APIReference/classification-scopes-id.html) オペレーションを使用します。 AWS Command Line Interface (AWS CLI) を使用している場合は、[get-classification-scope](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-classification-scope.html) コマンドを実行してリストを取得します。
分類スコープを取得または更新するには、一意の識別子 () を指定する必要があります`id`。この識別子を取得するには、[GetAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html) オペレーションを使用します。このオペレーションは、現在のアカウントの分類スコープの一意の識別子を含む、機密データ自動検出の現在の設定を取得します AWS リージョン。を使用している場合は AWS CLI、[get-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-automated-discovery-configuration.html) コマンドを実行してこの情報を取得します。
分類スコープを更新する準備ができたら、[UpdateClassificationScope](https://docs.aws.amazon.com/macie/latest/APIReference/classification-scopes-id.html) オペレーションを使用するか、 を使用している場合は AWS CLI update[update-classification-scope](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-classification-scope.html) コマンドを実行します。リクエストでは、サポートされているパラメータを使用して、後続の分析で S3 バケットを除外または含めます。
+ 1 つ以上のバケットを除外するには、 `bucketNames`パラメータの各バケットの名前を指定します。`operation` パラメータでは、`ADD` を指定します。
+ 以前に除外した 1 つ以上のバケットを含めるには、 `bucketNames`パラメータの各バケットの名前を指定します。`operation` パラメータでは、`REMOVE` を指定します。
+ 現在のリストを除外するバケットの新しいリストで上書きするには、 `operation`パラメータ`REPLACE`に を指定します。`bucketNames` パラメータには、除外する各バケットの名前を指定します。
`bucketNames` パラメータの各値は、現在のリージョンにある既存の汎用バケットのフルネームである必要があります。値は大文字と小文字が区別されます。リクエストが成功すると、Macie は分類範囲を更新し、空のレスポンスを返します。
次の例は、 を使用してアカウントの分類範囲 AWS CLI を更新する方法を示しています。最初の一連の例では、2 つの S3 バケット (*amzn-s3-demo-bucket1* と *amzn-s3-demo-bucket2*) を後続の分析から除外しています。除外するバケットのリストにバケットを追加します。
この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。
```
$ aws macie2 update-classification-scope \
--id 117aff7ed76b59a59c3224ebdexample \
--s3 '{"excludes":{"bucketNames":["amzn-s3-demo-bucket1","amzn-s3-demo-bucket2"],"operation": "ADD"}}'
```
この例は Microsoft Windows 用にフォーマットされており、読みやすさを向上させるためにキャレット (^) の行継続文字を使用しています。
```
C:\> aws macie2 update-classification-scope ^
--id 117aff7ed76b59a59c3224ebdexample ^
--s3={\"excludes\":{\"bucketNames\":[\"amzn-s3-demo-bucket1\",\"amzn-s3-demo-bucket2\"],\"operation\":\"ADD\"}}
```
次の例のセットには、後続の分析でバケット (*amzn-s3-demo-bucket1* および *amzn-s3-demo-bucket2*) が含まれます。除外するバケットのリストからバケットを削除します。Linux、macOS、Unix の場合:
```
$ aws macie2 update-classification-scope \
--id 117aff7ed76b59a59c3224ebdexample \
--s3 '{"excludes":{"bucketNames":["amzn-s3-demo-bucket1","amzn-s3-demo-bucket2"],"operation": "REMOVE"}}'
```
Microsoft Windows の場合:
```
C:\> aws macie2 update-classification-scope ^
--id 117aff7ed76b59a59c3224ebdexample ^
--s3={\"excludes\":{\"bucketNames\":[\"amzn-s3-demo-bucket1\",\"amzn-s3-demo-bucket2\"],\"operation\":\"REMOVE\"}}
```
次の例では、現在のリストを除外する S3 バケットの新しいリストで上書きして置き換えます。新しいリストでは、除外する 3 つのバケットを指定します。*amzn-s3-demo-bucket*、*amzn-s3-demo-bucket2*、*amzn-s3-demo-bucket3*。Linux、macOS、Unix の場合:
```
$ aws macie2 update-classification-scope \
--id 117aff7ed76b59a59c3224ebdexample \
--s3 '{"excludes":{"bucketNames":["amzn-s3-demo-bucket","amzn-s3-demo-bucket2","amzn-s3-demo-bucket3"],"operation": "REPLACE"}}'
```
Microsoft Windows の場合:
```
C:\> aws macie2 update-classification-scope ^
--id 117aff7ed76b59a59c3224ebdexample ^
--s3={\"excludes\":{\"bucketNames\":[\"amzn-s3-demo-bucket\",\"amzn-s3-demo-bucket2\",\"amzn-s3-demo-bucket3\"],\"operation\":\"REPLACE\"}}
```
------
## 機密データ自動検出へのマネージドデータ識別子の追加または削除
*マネージドデータ識別子*は、クレジットカード番号、 AWS シークレットアクセスキー、特定の国またはリージョンのパスポート番号など、特定のタイプの機密データを検出するように設計された一連の組み込み基準と手法です。デフォルトでは、Amazon Macie は、機密データ自動検出に推奨するマネージドデータ識別子のセットを使用して S3 オブジェクトを分析します。これらの識別子のリストを確認するには、「[機密データの自動検出のデフォルト設定](discovery-asdd-settings-defaults.md)」を参照してください。
特定の種類の機密データに焦点を当てるように分析を調整できます。
+ Macie が検出および報告する機密データのタイプのマネージドデータ識別子を追加する
+ Macie が検出して報告しない機密データのタイプのマネージドデータ識別子を削除する
Macie が現在提供しているすべてのマネージドデータ識別子の完全なリストと各識別子の詳細については、「」を参照してください[マネージドデータ識別子の使用](managed-data-identifiers.md)。
マネージドデータ識別子 ID を削除しても、その変更は既存の機密データ検出統計や S3 バケットの詳細には影響しません。例えば、 AWS シークレットアクセスキーのマネージドデータ識別子を削除し、Macie が以前にバケット内でそのデータを検出していた場合、Macie は引き続きその検出結果を報告します。ただし、この識別子を削除すると、すべてのバケットのその後の分析が影響を受けるため、その代わりに特定のバケットのみの機密スコアからそのタイプの検出を除外することを検討してください。詳細については、「[S3 バケットの機密スコアを調整する](discovery-asdd-s3bucket-manage.md)」を参照してください。
**機密データ自動検出からマネージドデータ識別子を追加または削除するには**
Amazon Macie コンソールまたは Amazon Macie API を使用して、マネージドデータ識別子を追加または削除できます。
------
#### [ Console ]
Amazon Macie コンソールを使用してマネージドデータ識別子を追加または削除するには、次の手順に従います。
**マネージドデータ識別子を追加または削除するには**
1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。
1. ページの右上隅にある AWS リージョン セレクターを使用して、分析からマネージドデータ識別子を追加または削除するリージョンを選択します。
1. ナビゲーションペインの **[設定]** で、**[機密データ自動検出]** を選択します。
**機密データ自動検出** ページが表示され、現在の設定が表示されます。このページの **[マネージドデータ識別子]** セクションには、現在の設定が 2 つのタブに分かれて表示されます。
+ **デフォルトに追加** — このタブには、追加したマネージドデータ識別子が一覧表示されます。Macie は、これらの識別子を、デフォルトセットに含まれていて削除されていないものと共に使用します。
+ **デフォルトから削除** — このタブには、削除したマネージドデータ識別子が一覧表示されます。Macie は、これらの識別子を使用しません。
1. [**マネージドデータ識別子**] セクションで [**編集**] を選択します。
1. 次のいずれかを実行します。
+ 1 つ以上のマネージドデータ識別子を追加するには、[**デフォルトに追加**] タブを選択します。次に、テーブルで、追加する各マネージドデータ識別子のチェックボックスをオンにします。チェックボックスが既に選択されている場合は、その識別子を既に追加しています。
+ 1 つ以上のマネージドデータ識別子を削除するには、[**デフォルトから削除**] タブを選択します。次に、テーブルで、削除する各マネージドデータ識別子のチェックボックスをオンにします。チェックボックスが既に選択されている場合、その識別子はすでに削除されています。
各タブには、Macie が現在提供しているすべてのマネージドデータ識別子のリストがテーブルに表示されます。表の最初の列で、各マネージドデータ識別子の ID を指定します。この ID は、識別子が検出する機密データのタイプを表します。例えば、米国のパスポート番号の場合、**USA\$1PASSPORT\$1NUMBER** などです。特定のマネージドデータ識別子をより簡単に検索するには、テーブルの上にある検索ボックスに検索条件を入力します。列見出しを選択して、テーブルを並べ替えることもできます。
1. 完了したら、**保存** を選択します。
------
#### [ API ]
マネージドデータ識別子をプログラムで追加または削除するには、Amazon Macie API を使用してアカウントの機密検査テンプレートを更新します。テンプレートには、デフォルトセットのマネージドデータ識別子に加えて、使用する (*含め*る) マネージドデータ識別子を指定する設定が保存されます。また、使用しない (*除外*する) マネージドデータ識別子も指定します。設定では、Macie で使用するカスタムデータ識別子と許可リストも指定します。
テンプレートを更新すると、現在の設定が上書きされます。したがって、まず現在の設定を取得し、保持する設定を決定することをお勧めします。現在の設定を取得するには、[GetSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html) オペレーションを使用します。 AWS Command Line Interface (AWS CLI) を使用している場合は、[get-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitivity-inspection-template.html) コマンドを実行して設定を取得します。
テンプレートを取得または更新するには、一意の識別子 () を指定する必要があります`id`。この識別子を取得するには、[GetAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html) オペレーションを使用します。このオペレーションは、現在のアカウントの機密検査テンプレートの一意の識別子など、機密データ自動検出の現在の構成設定を取得します AWS リージョン。を使用している場合は AWS CLI、[get-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-automated-discovery-configuration.html) コマンドを実行してこの情報を取得します。
テンプレートを更新する準備ができたら、[UpdateSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html) オペレーションを使用するか、 を使用している場合は AWS CLI update[update-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-sensitivity-inspection-template.html) コマンドを実行します。リクエストでは、適切なパラメータを使用して、後続の分析から 1 つ以上のマネージドデータ識別子を追加または削除します。
+ マネージドデータ識別子の使用を開始するには、 `managedDataIdentifierIds` パラメータの `includes`パラメータにその ID を指定します。
+ マネージドデータ識別子の使用を停止するには、 `managedDataIdentifierIds` パラメータの `excludes`パラメータにその ID を指定します。
+ デフォルト設定を復元するには、 `includes`および `excludes`パラメータIDs を指定しないでください。その後、Macie はデフォルトのセットにあるマネージドデータ識別子のみの使用を開始します。
マネージドデータ識別子のパラメータに加えて、適切な`includes`パラメータを使用して、Macie で使用するカスタムデータ識別子 (`customDataIdentifierIds`) と許可リスト (`allowListIds`) を指定します。また、リクエストが適用されるリージョンも指定します。リクエストが成功すると、Macie はテンプレートを更新し、空のレスポンスを返します。
次の例は、 を使用してアカウントの機密検査テンプレート AWS CLI を更新する方法を示しています。この例では、1 つのマネージドデータ識別子を追加し、後続の分析から別のデータ識別子を削除します。また、使用する 2 つのカスタムデータ識別子を指定する現在の設定も維持します。
この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。
```
$ aws macie2 update-sensitivity-inspection-template \
--id fd7b6d71c8006fcd6391e6eedexample \
--excludes '{"managedDataIdentifierIds":["UK_ELECTORAL_ROLL_NUMBER"]}' \
--includes '{"managedDataIdentifierIds":["STRIPE_CREDENTIALS"],"customDataIdentifierIds":["3293a69d-4a1e-4a07-8715-208ddexample","6fad0fb5-3e82-4270-bede-469f2example"]}'
```
この例は Microsoft Windows 用にフォーマットされており、読みやすさを向上させるためにキャレット (^) の行継続文字を使用しています。
```
C:\> aws macie2 update-sensitivity-inspection-template ^
--id fd7b6d71c8006fcd6391e6eedexample ^
--excludes={\"managedDataIdentifierIds\":[\"UK_ELECTORAL_ROLL_NUMBER\"]} ^
--includes={\"managedDataIdentifierIds\":[\"STRIPE_CREDENTIALS\"],\"customDataIdentifierIds\":[\"3293a69d-4a1e-4a07-8715-208ddexample\",\"6fad0fb5-3e82-4270-bede-469f2example\"]}
```
コードの説明は以下のとおりです。
+ *fd7b6d71c8006fcd6391e6eedexample* は、更新する機密検査テンプレートの一意の識別子です。
+ *UK\$1ELECTORAL\$1ROLL\$1NUMBER* は、使用を停止するマネージドデータ識別子の ID (*除外*) です。
+ *STRIPE\$1CREDENTIALS* は、 マネージドデータ識別子が使用を開始する (*含め*る) ID です。
+ *3293a69d-4a1e-4a07-8715-208ddexample* および *6fad0fb5-3e82-4270-bede-469f2example* は、使用するカスタムデータ識別子の一意の識別子です。
------
## 機密データ自動検出からのカスタムデータ識別子の追加または削除
カスタムデータ識別子は、機密データを検出するために定義する基準のセットです。基準は、一致するテキストパターン、オプションで文字シーケンス、結果を絞り込む近接ルールを定義する正規表現 (*正規表現*) から設定されています。詳細については、[カスタムデータ識別子の構築](custom-data-identifiers.md)を参照してください。
デフォルトでは、Amazon Macie は機密データ自動検出を実行する際にカスタムデータ識別子を使用しません。Macie で特定のカスタムデータ識別子を使用する場合は、後続の分析に追加できます。次に、Macie は、Macie を使用するように設定したマネージドデータ識別子に加えて、カスタムデータ識別子を使用します。
カスタムデータ識別子を追加した場合、後で削除できます。この変更は、S3 バケットの既存の機密データ検出統計や詳細には影響しません。つまり、以前にバケットで検出されたカスタムデータ識別子を削除しても、Macie は引き続きこの検出結果を報告します。ただし、この識別子を削除すると、すべてのバケットのその後の分析が影響を受けるため、その代わりに特定のバケットのみの機密スコアからそのタイプの検出を除外することを検討してください。詳細については、「[S3 バケットの機密スコアを調整する](discovery-asdd-s3bucket-manage.md)」を参照してください。
**機密データ自動検出でカスタムデータ識別子を追加または削除するには**
Amazon Macie コンソールまたは Amazon Macie API を使用して、カスタムデータ識別子を追加または削除できます。
------
#### [ Console ]
Amazon Macie コンソールを使用してカスタムデータ識別子を追加または削除するには、次の手順に従います。
**カスタムデータ識別子を追加または削除するには**
1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。
1. ページの右上隅にある AWS リージョン セレクターを使用して、分析からカスタムデータ識別子を追加または削除するリージョンを選択します。
1. ナビゲーションペインの **[設定]** で、**[機密データ自動検出]** を選択します。
**機密データ自動検出** ページが表示され、現在の設定が表示されます。そのページの **[カスタムデータ識別子]** セクションには、追加したカスタムデータ識別子が一覧表示されているか、カスタムデータ識別子が追加されていないことが示されます。
1. [**カスタムデータ識別子**] セクションで [**編集**] を選択します。
1. 次のいずれかを実行します。
+ 1 つ以上のカスタムデータ識別子を追加するには、追加する各カスタムデータ識別子のチェックボックスをオンにします。チェックボックスが既に選択されている場合は、その識別子を既に追加しています。
+ 1 つ以上のカスタムデータ識別子を削除するには、削除する各カスタムデータ識別子のチェックボックスをオフにします。チェックボックスが既にオフになっている場合、Macie は現在その識別子を使用しません。
**ヒント**
カスタムデータ識別子を選択する前にその識別子を確認またはテストするには、識別子の名前の横にあるリンクアイコン![\[The link icon, which is a blue box that has an arrow in it.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/icon-external-link.png) を選択します。Macie は、識別子の設定を表示するページを開きます。サンプルデータを使用して識別子をテストするには、そのページの **[サンプルデータ]** ボックスに最大 1,000 文字のテキストを入力します。次に **[テスト]** を選択します。Macie は、サンプルデータを評価して、一致の数を報告します。
1. 完了したら、**保存** を選択します。
------
#### [ API ]
プログラムでカスタムデータ識別子を追加または削除するには、Amazon Macie API を使用してアカウントの機密検査テンプレートを更新します。テンプレートには、機密データの自動検出を実行するときに Macie が使用するカスタムデータ識別子を指定する設定が保存されます。設定では、使用するマネージドデータ識別子と許可リストも指定します。
テンプレートを更新すると、現在の設定が上書きされます。したがって、まず現在の設定を取得し、保持する設定を決定することをお勧めします。現在の設定を取得するには、[GetSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html) オペレーションを使用します。 AWS Command Line Interface (AWS CLI) を使用している場合は、[get-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitivity-inspection-template.html) コマンドを実行して設定を取得します。
テンプレートを取得または更新するには、一意の識別子 () を指定する必要があります`id`。この識別子を取得するには、[GetAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html) オペレーションを使用します。このオペレーションは、現在のアカウントの機密検査テンプレートの一意の識別子など、機密データ自動検出の現在の構成設定を取得します AWS リージョン。を使用している場合は AWS CLI、[get-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-automated-discovery-configuration.html) コマンドを実行してこの情報を取得します。
テンプレートを更新する準備ができたら、[UpdateSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html) オペレーションを使用するか、 を使用している場合は AWS CLI update[update-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-sensitivity-inspection-template.html) コマンドを実行します。リクエストで、 `customDataIdentifierIds`パラメータを使用して、後続の分析から 1 つ以上のカスタムデータ識別子を追加または削除します。
+ カスタムデータ識別子の使用を開始するには、 パラメータに一意の識別子を指定します。
+ カスタムデータ識別子の使用を停止するには、 パラメータから一意の識別子を省略します。
追加のパラメータを使用して、Macie が使用するマネージドデータ識別子と許可リストを指定します。また、リクエストが適用されるリージョンも指定します。リクエストが成功すると、Macie はテンプレートを更新し、空のレスポンスを返します。
次の例は、 を使用してアカウントの機密検査テンプレート AWS CLI を更新する方法を示しています。この例では、後続の分析に 2 つのカスタムデータ識別子を追加します。また、マネージドデータ識別子のデフォルトセットと 1 つの許可リストを使用して、使用するマネージドデータ識別子と許可リストを指定する現在の設定も維持します。
この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。
```
$ aws macie2 update-sensitivity-inspection-template \
--id fd7b6d71c8006fcd6391e6eedexample \
--includes '{"allowListIds":["nkr81bmtu2542yyexample"],"customDataIdentifierIds":["3293a69d-4a1e-4a07-8715-208ddexample","6fad0fb5-3e82-4270-bede-469f2example"]}'
```
この例は Microsoft Windows 用にフォーマットされており、読みやすさを向上させるためにキャレット (^) の行継続文字を使用しています。
```
C:\> aws macie2 update-sensitivity-inspection-template ^
--id fd7b6d71c8006fcd6391e6eedexample ^
--includes={\"allowListIds\":[\"nkr81bmtu2542yyexample\"],\"customDataIdentifierIds\":[\"3293a69d-4a1e-4a07-8715-208ddexample\",\"6fad0fb5-3e82-4270-bede-469f2example\"]}
```
コードの説明は以下のとおりです。
+ *fd7b6d71c8006fcd6391e6eedexample* は、更新する機密検査テンプレートの一意の識別子です。
+ *nkr81bmtu2542yyexample* は、使用する許可リストの一意の識別子です。
+ *3293a69d-4a1e-4a07-8715-208ddexample* および *6fad0fb5-3e82-4270-bede-469f2example* は、使用するカスタムデータ識別子の一意の識別子です。
------
## 機密データ自動検出の許可リストの追加または削除
Amazon Macie では、許可リストによって、Macie が機密データの S3 オブジェクトを検査する際に無視する特定のテキストまたはテキストパターンを定義します。テキストが許可リストのテキストまたはパターンと一致する場合、Macie はテキストを報告しません。これは、テキストがマネージドデータ識別子またはカスタムデータ識別子の基準と一致する場合も当てはまります。詳細については[許可リストでの機密データの例外の定義](allow-lists.md)を参照してください。
デフォルトでは、Macie は機密データ自動検出を実行する際に許可リストを使用しません。Macie で特定の許可リストを使用する場合は、後続の分析に追加できます。許可リストを追加した場合、後で削除できます。
**機密データ自動検出で許可リストを追加または削除するには**
Amazon Macie コンソールまたは Amazon Macie API を使用して、許可リストを追加または削除できます。
------
#### [ Console ]
Amazon Macie コンソールを使用して許可リストを追加または削除するには、次の手順に従います。
**許可リストを追加または削除するには**
1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。
1. ページの右上隅にある AWS リージョン セレクターを使用して、分析から許可リストを追加または削除するリージョンを選択します。
1. ナビゲーションペインの **[設定]** で、**[機密データ自動検出]** を選択します。
**機密データ自動検出** ページが表示され、現在の設定が表示されます。そのページでは、既に追加した許可リストが **[許可リスト]** セクションで指定されているか、許可リストを追加していないことが示されます。
1. **ストレージ** セクションで、**編集** を選択します。
1. 次のいずれかを実行します。
+ 1 つ以上の許可リストを追加するには、追加する各許可リストのチェックボックスをオンにします。チェックボックスが既に選択されている場合は、そのリストを既に追加しています。
+ 1 つ以上の許可リストを削除するには、削除する各許可リストのチェックボックスをオフにします。チェックボックスが既にオフになっている場合、Macie は現在そのリストを使用しません。
**ヒント**
許可リストを追加または削除する前にその設定を確認するには、リスト名の横にあるリンクアイコン![\[The link icon, which is a blue box that has an arrow in it.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/icon-external-link.png) を選択します。Macie は、リストの設定を表示するページを開きます。リストで正規表現 (正規表現)を指定する場合は、このページを使用してサンプルデータでその正規表現を確認することもできます。これを行うには、テキスト (最大 1,000 文字) を **サンプルデータ** ボックスに入力し、次に **テスト** を選択します。Macie は、サンプルデータを評価して、一致の数を報告します。
1. 完了したら、**保存** を選択します。
------
#### [ API ]
プログラムで許可リストを追加または削除するには、Amazon Macie API を使用してアカウントの機密検査テンプレートを更新します。テンプレートには、機密データの自動検出を実行するときに Macie が使用する許可リストを指定する設定が保存されます。設定では、使用するマネージドデータ識別子とカスタムデータ識別子も指定します。
テンプレートを更新すると、現在の設定が上書きされます。したがって、まず現在の設定を取得し、保持する設定を決定することをお勧めします。現在の設定を取得するには、[GetSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html) オペレーションを使用します。 AWS Command Line Interface (AWS CLI) を使用している場合は、[get-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitivity-inspection-template.html) コマンドを実行して設定を取得します。
テンプレートを取得または更新するには、一意の識別子 () を指定する必要があります`id`。この識別子を取得するには、[GetAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html) オペレーションを使用します。このオペレーションは、現在のアカウントの機密検査テンプレートの一意の識別子など、機密データ自動検出の現在の構成設定を取得します AWS リージョン。を使用している場合は AWS CLI、[get-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-automated-discovery-configuration.html) コマンドを実行してこの情報を取得します。
テンプレートを更新する準備ができたら、[UpdateSensitivityInspectionTemplate](https://docs.aws.amazon.com/macie/latest/APIReference/templates-sensitivity-inspections-id.html) オペレーションを使用するか、 を使用している場合は AWS CLI update[update-sensitivity-inspection-template](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-sensitivity-inspection-template.html) コマンドを実行します。リクエストで、 `allowListIds`パラメータを使用して、後続の分析から 1 つ以上の許可リストを追加または削除します。
+ 許可リストの使用を開始するには、 パラメータに一意の識別子を指定します。
+ 許可リストの使用を停止するには、 パラメータから一意の識別子を省略します。
追加のパラメータを使用して、Macie で使用するマネージドデータ識別子とカスタムデータ識別子を指定します。また、リクエストが適用されるリージョンも指定します。リクエストが成功すると、Macie はテンプレートを更新し、空のレスポンスを返します。
次の例は、 を使用してアカウントの機密検査テンプレート AWS CLI を更新する方法を示しています。この例では、後続の分析に許可リストを追加します。また、使用するマネージドデータ識別子とカスタムデータ識別子を指定する現在の設定も維持します。デフォルトのマネージドデータ識別子のセットと 2 つのカスタムデータ識別子を使用します。
この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。
```
$ aws macie2 update-sensitivity-inspection-template \
--id fd7b6d71c8006fcd6391e6eedexample \
--includes '{"allowListIds":["nkr81bmtu2542yyexample"],"customDataIdentifierIds":["3293a69d-4a1e-4a07-8715-208ddexample","6fad0fb5-3e82-4270-bede-469f2example"]}'
```
この例は Microsoft Windows 用にフォーマットされており、読みやすさを向上させるためにキャレット (^) の行継続文字を使用しています。
```
C:\> aws macie2 update-sensitivity-inspection-template ^
--id fd7b6d71c8006fcd6391e6eedexample ^
--includes={\"allowListIds\":[\"nkr81bmtu2542yyexample\"],\"customDataIdentifierIds\":[\"3293a69d-4a1e-4a07-8715-208ddexample\",\"6fad0fb5-3e82-4270-bede-469f2example\"]}
```
コードの説明は以下のとおりです。
+ *fd7b6d71c8006fcd6391e6eedexample* は、更新する機密検査テンプレートの一意の識別子です。
+ *nkr81bmtu2542yyexample* は、使用する許可リストの一意の識別子です。
+ *3293a69d-4a1e-4a07-8715-208ddexample* および *6fad0fb5-3e82-4270-bede-469f2example* は、使用するカスタムデータ識別子の一意の識別子です。
------
# 機密データ自動検出を無効にする
アカウントまたは組織の機密データ自動検出はいつでも無効にすることができます。これを行うと、Amazon Macie は、後続の評価と分析サイクルが開始する前、通常 48 時間以内に、アカウントまたは組織のすべての自動検出アクティビティの実行を停止します。その他にも、次のようなさまざまな効果があります。
+ お客様が Macie 管理者で、組織内の個々のアカウントに対してこの機能を無効にした場合、Macie が作成して、アカウントの自動検出の実行中に直接提供したすべての統計データ、インベントリデータ、およびその他の情報に引き続きアクセスできます。アカウントの自動検出は、再度有効にできます。その後、Macie はアカウントの自動検出アクティビティをすべて再開します。
+ お客様が Macie 管理者で、組織に対してこの機能を無効にした場合、Macie が作成して、組織の自動検出の実行中に直接提供したすべての統計データ、インベントリデータ、およびその他の情報に組織内のアカウントはアクセスできなくなります。例えば、S3 バケットインベントリには機密視覚化や分析が含まれなくなります。その後、組織の自動検出は、再度有効にできます。これにより、Macie は組織内のアカウントですべての自動検出アクティビティを再開します。この機能を 30 日以内に再度有効にすると、ユーザーとアカウントは、Macie が以前に作成し、自動検出の実行中に直接提供したデータや情報に再びアクセスできるようになります。30 日以内に再度有効にしない場合、Macie はこのデータと情報を完全に削除します。
+ この機能をスタンドアロンの Macie アカウントで無効にすると、お客様は、Macie が作成して、アカウントの自動検出の実行中に直接提供したすべての統計データ、インベントリデータ、およびその他の情報にアクセスできなくなります。30 日以内に再度有効にしない場合、Macie はこのデータと情報を完全に削除します。
アカウントまたは組織の機密データ自動検出を実行している間も、Macie が作成した機密データの検出結果には引き続きアクセスできます。Macie は 90 日間検出結果を保存します。Macie は自動検出の設定も保持します。それに加えて、Amazon S3 の機密データの検出結果や Amazon EventBridge の調査結果イベントなど、他の AWS のサービス に保存または発行されたデータはそのまま残り、影響を受けません。
**機密データ自動検出を無効にするには**
お客様が組織の Macie 管理者である場合、またはスタンドアロンの Macie アカウントをお持ちの場合は、Amazon Macie コンソールまたは Amazon Macie API を使用して機密データ自動検出を無効にすることができます。組織のメンバーアカウントをお持ちの場合は、Macie 管理者と協力して、アカウントの自動検出を無効にします。Macie 管理者のみが、アカウントの自動検出を無効にできます。
------
#### [ Console ]
Amazon Macie コンソールを使用して機密データの自動検出を無効にするには、次の手順に従います。
**機密データ自動検出を無効にするには**
1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。
1. ページの右上隅にある AWS リージョン セレクターを使用して、機密データの自動検出を無効にするリージョンを選択します。
1. ナビゲーションペインの **[設定]** で、**[機密データ自動検出]** を選択します。
1. 組織の Macie 管理者である場合は、**[ステータス]** セクションでオプションを選択して、機密データ自動検出を無効にするアカウントを指定します。
+ この機能を特定のメンバーアカウントのみで無効にするには、**[アカウントを管理]** を選択します。次に、**アカウント**ページの表で、無効にする各アカウントのチェックボックスをオンにします。完了したら、**[アクション]** メニューで **[機密データ自動検出を無効化]** を選択します。
+ この機能を Macie 管理者アカウントのみで無効にするには、**[無効化]** を選択します。表示されるダイアログボックスで、**[マイアカウント]** を選択してから **[無効化]** を選択します。
+ 組織内のすべてのアカウントと組織全体で無効にするには、**[無効化]** を選択します。表示されるダイアログボックスで、**[マイ組織]** を選択してから **[無効化]** を選択します。
1. スタンドアロンの Macie アカウントをお持ちの場合は、**[ステータス]** セクションで **[無効化]** を選択します。
複数のリージョンで Macie を使用し、追加のリージョンで機密データ自動検出を無効にする場合は、追加のリージョンごとに前述のステップを繰り返します。
------
#### [ API ]
Amazon Macie API を使用すると、機密データの自動検出を 2 つの方法で無効にできます。無効にする方法は、アカウントのタイプによって部分的に異なります。お客様が組織の Macie 管理者である場合、特定のメンバーアカウントのみの自動検出を無効にするか、組織全体の自動検出を無効にするかにも依存します。組織で無効にする場合は、現在組織の一部であるすべてのアカウントで無効にします。その後、追加のアカウントが組織に加わると、それらのアカウントの自動検出も無効になります。
組織またはスタンドアロン Macie アカウントの機密データ自動検出を無効にするには、[UpdateAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html) オペレーションを使用します。または、 (AWS CLI) を使用している場合 AWS Command Line Interface は、[update-automated-discovery-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-automated-discovery-configuration.html) コマンドを実行します。リクエストで、`status` パラメータを `DISABLED` として指定します。
組織内の特定のメンバーアカウントのみの機密データ自動検出を無効にするには、[BatchUpdateAutomatedDiscoveryAccounts](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-accounts.html) オペレーションを使用します。または、 を使用している場合は AWS CLI、 [batch-update-automated-discovery-accounts](https://docs.aws.amazon.com/cli/latest/reference/macie2/batch-update-automated-discovery-accounts.html) コマンドを実行します。リクエストで、 `accountId`パラメータを使用して、自動検出を無効にするアカウントのアカウント ID を指定します。`status` パラメータでは、`DISABLED` を指定します。アカウントの自動検出を無効にするには、Macie が現在アカウントに対して有効になっている必要があります。
次の例は、 を使用して AWS CLI 、組織内の 1 つ以上のアカウントの機密データ自動検出を無効にする方法を示しています。この最初の例では、組織の自動検出を無効にします。Macie 管理者アカウントと組織内のすべてのメンバーアカウントの自動検出を無効にします。
```
$ aws macie2 update-automated-discovery-configuration --status DISABLED --region us-east-1
```
*us-east-1* は、組織の機密データ自動検出を無効にするリージョン、米国東部 (バージニア北部) リージョンです。リクエストが成功すると、Macie は組織の自動検出を無効にし、空のレスポンスを返します。
次の例では、組織内の 2 つのメンバーアカウントの機密データ自動検出を無効にします。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。
```
$ aws macie2 batch-update-automated-discovery-accounts \
--region us-east-1 \
--accounts '[{"accountId":"123456789012","status":"DISABLED"},{"accountId":"111122223333","status":"DISABLED"}]'
```
この例は Microsoft Windows 用にフォーマットされており、読みやすさを向上させるためにキャレット (^) の行継続文字を使用しています。
```
C:\> aws macie2 batch-update-automated-discovery-accounts ^
--region us-east-1 ^
--accounts=[{\"accountId\":\"123456789012\",\"status\":\"DISABLED\"},{\"accountId\":\"111122223333\",\"status\":\"DISABLED\"}]
```
コードの説明は以下のとおりです。
+ *us-east-1* は、指定されたアカウントの機密データ自動検出を無効にするリージョン、米国東部 (バージニア北部) リージョンです。
+ *123456789012* と *111122223333* は、機密データの自動検出を無効にするアカウントのアカウント IDs です。
指定されたすべてのアカウントでリクエストが成功すると、Macie は空の`errors`配列を返します。一部のアカウントでリクエストが失敗した場合、 配列は影響を受けるアカウントごとに発生したエラーを指定します。例えば、次のようになります。
```
"errors": [
{
"accountId": "123456789012",
"errorCode": "ACCOUNT_PAUSED"
}
]
```
前述のレスポンスでは、Macie は現在アカウントで停止されているため、指定されたアカウント (`123456789012`) のリクエストが失敗しました。
すべてのアカウントでリクエストが失敗すると、発生したエラーを説明するメッセージが表示されます。例えば、次のようになります。
```
An error occurred (ConflictException) when calling the BatchUpdateAutomatedDiscoveryAccounts operation: Cannot modify account states
while auto-enable is set to ALL.
```
前述のレスポンスでは、組織のメンバー有効化設定が現在、すべてのアカウント () で機密データの自動検出を有効にするように設定されているため、リクエストは失敗しました`ALL`。エラーに対処するには、Macie 管理者はまずこの設定を `NONE`または に変更する必要があります`NEW`。この設定についての情報は、「[機密データ自動検出を有効にする](discovery-asdd-account-enable.md)」を参照してください。
------
# 機密データ自動検出の結果を確認する
機密データの自動検出が有効になっている場合、Amazon Macie は、アカウントの Amazon Simple Storage Service (Amazon S3) 汎用バケットに関する追加のインベントリデータ、統計、その他の情報を自動的に生成して維持します。お客様が組織の Macie 管理者である場合、これにはデフォルトで、メンバーアカウントが所有する S3 バケットが含まれます。
追加情報には、Macie がこれまでに実行した機密データ自動検出アクティビティの結果がキャプチャされます。また、Macie が提供する Amazon S3 データに関するその他の情報 (パブリックアクセスや個々の S3 バケットの暗号化設定など) を補足するものでもあります。Macie は、メタデータと統計に加え、検出された機密データと実行された分析、つまり機密データの調査結果と機密データ検出結果の報告を作成します。****
機密データ自動検出は毎日進行するため、以下の機能とデータが結果の確認と評価に役立ちます。
+ [****概要**ダッシュボード**](discovery-asdd-results-s3-dashboard.md) – Amazon S3 データエステートの集計統計を提供します。統計には、Macie が機密データを検出したバケットの総数や、それらのうちパブリックアクセスが可能であるものの数など、主要なメトリクスのデータが含まれます。また、Amazon S3 データのカバレッジに影響する問題の報告も含まれます。
+ [****S3 バケットヒート**マップ**](discovery-asdd-results-s3-inventory-map.md) – データ資産全体のデータ機密性をインタラクティブに視覚的にグループ化して表示します AWS アカウント。マップにはアカウントごとに集約された機密性統計が含まれ、アカウントが所有する各バケットの現在の機密性スコアが色で示されています。また、マップではシンボルを使用して、一般にアクセス可能なバケット、Macie では分析できないバケットなどを識別できます。
+ [****S3 バケット**テーブル**](discovery-asdd-results-s3-inventory-table.md) – インベントリ内の各 S3 バケットの概要情報を提供します。各バケットについて、テーブルにはバケットの現在の機密性スコア、Macie がバケット内で分析できるオブジェクトの数、バケット内のオブジェクトを定期的に分析するように機密データ検出ジョブを設定したかどうかなどのデータが含まれます。データは、テーブルからカンマ区切り値 (CSV) ファイルにエクスポートできます。
+ [****S3 バケット**の詳細**](discovery-asdd-results-s3-inventory-details.md) – S3 バケットに関する詳細な統計と情報を提供します。詳細には、Macie がバケット内で分析したオブジェクトのリスト、Macie がバケット内で検出した機密データのタイプと出現回数の内訳が含まれます。これらは、バケットのデータのセキュリティとプライバシーに影響を与える設定に関する詳細情報に追加されます。
+ [**機密データの調査結果**](discovery-asdd-results-s3-findings.md) — Macie が個々の S3 オブジェクト内で検出した機密データの詳細なレポートを提供します。詳細には、Macie が機密データをいつ見つけたか、また Macie が見つけた機密データのタイプと出現回数が含まれます。詳細には、バケットのパブリックアクセス設定やオブジェクトの最新の変更日など、影響を受けた S3 バケットとオブジェクトに関する情報も含まれます。
+ [**機密データの検出結果**](discovery-asdd-results-s3-sddrs.md) — Macie が個々の S3 オブジェクトに対して行った分析の記録を提供します。これには、Macie が機密データを検出しないオブジェクト、および問題やエラーのために Macie が分析できないオブジェクトが含まれます。Macie がオブジェクト内の機密データを検出すると、機密データ検出結果には、Macie が検出した機密データに関する情報が含まれます。
このデータを使用して、Amazon S3 データ資産全体のデータ機密性を評価し、ドリルダウンして個々の S3 バケットとオブジェクトを評価および調査できます。Macie が提供する Amazon S3 データのセキュリティとプライバシーに関する情報と組み合わせることで、即時の修復が必要なケースを特定することもできます。たとえば、Macie が機密データを発見したパブリックにアクセス可能なバケットなどです。
追加データは、Amazon S3 データのカバレッジの評価とモニタリングに役立ちます。カバレッジデータを使用すると、データエステート全体とこのデータエステート内の個々の S3 バケットの分析ステータスを確認できます。Macie が特定バケット内のオブジェクトを分析できなかった問題を特定することもできます。問題を修正すれば、その後の分析サイクルで Amazon S3 データのカバレッジを拡大できます。詳細については、「[機密データ自動検出カバレッジの評価](discovery-coverage.md)」を参照してください。
**Topics**
+ [概要ダッシュボードのデータ機密性統計を確認する](discovery-asdd-results-s3-dashboard.md)
+ [S3 バケットマップによるデータ機密性の視覚化](discovery-asdd-results-s3-inventory-map.md)
+ [S3 バケットテーブルによるデータ機密性の評価](discovery-asdd-results-s3-inventory-table.md)
+ [S3 バケットのデータ機密情報の確認](discovery-asdd-results-s3-inventory-details.md)
+ [機密データ自動検出の検出結果を分析する](discovery-asdd-results-s3-findings.md)
+ [機密データ自動検出の検出結果にアクセスする](discovery-asdd-results-s3-sddrs.md)
# 概要ダッシュボードのデータ機密性統計を確認する
Amazon Macie コンソールで、**概要**ダッシュボードには、現在の AWS リージョンでの Amazon S3 データの集約された統計と調査結果データのスナップショットが表示されます。Amazon S3 データの全体的なセキュリティ体制を評価するのに役立つように設計されています。
ダッシュボードの統計には、パブリックアクセス可能か、または他の AWS アカウントと共有されている S3 汎用バケットの数など、主要なセキュリティメトリクスのデータが含まれます。ダッシュボードには、アカウントの集約された調査結果データのグループ (たとえば、過去 7 日間に最も多い調査結果を生成したバケット) も表示されます。ユーザーが組織の Macie 管理者である場合、ダッシュボードには、組織内のすべてのアカウントの集約された統計とデータが提供されます。オプションで、アカウント別にデータをフィルタリングすることができます。
機密データの自動検出が有効になっている場合、**概要**ダッシュボードには追加の統計情報が含まれます。統計は、Macie が Amazon S3 データに対してこれまでに実行した自動検出アクティビティのステータスと結果をキャプチャします。次の画像は、これらの統計の例を示しています。
![\[[概要] ダッシュボードの機密データ検出統計。各統計にはサンプルデータが含まれています。\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/scrn-summary-dashboard-sensitivity.png)
統計は、主に **[自動検出]** と **[カバレッジ問題]** の 2 つのセクションにまとめられます。**[自動検出]** セクションの統計には、現在の状況と機密データ自動検出アクティビティの結果のスナップショットが表示されます。**カバレッジの問題**セクションの統計は、Macie が個々の S3 バケット内のオブジェクトを分析できなかったかどうかを示します。統計には、作成されて実行された機密データ検出ジョブのデータは含まれません。ただし、機密データ自動検出のカバレッジ問題を修正すると、その後に実行する機密データ検出ジョブによってカバレッジも向上する可能性があります。
**Topics**
+ [ダッシュボードを表示する](#discovery-asdd-results-s3-dashboard-view)
+ [ダッシュボードの統計について](#discovery-asdd-results-s3-dashboard-statistics)
## 概要ダッシュボードを表示する
Amazon Macie コンソールに**[概要]** ダッシュボードを表示するには、次のステップに従います。統計をプログラムでクエリするには、Amazon Macie API の [GetBucketStatistics](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3-statistics.html) オペレーションを使用します。
**サマリーダッシュボードを表示するには**
1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。
1. ナビゲーションペインで **概要**を選択します。Macie は **概要**ダッシュボードを表示します。
1. ダッシュボードの項目をドリルダウンして、その項目のサポートデータを確認するには、その項目を選択します。
ユーザーが組織の Macie 管理者である場合、ダッシュボードには、自分のアカウントと組織内のメンバーアカウントの集約された統計とデータが表示されます。特定のアカウントのデータのみを表示するには、ダッシュボードの上にある**アカウント**ボックスにアカウントの ID を入力します。
## 概要ダッシュボードの機密データ検出統計について
**概要**ダッシュボードには、Amazon S3 データの機密データ自動検出をモニタリングするのに役立つ集計統計が含まれています。ダッシュボードには、現在の AWS リージョンの Amazon S3 データの分析の現在のステータスと結果のスナップショットが表示されます。たとえば、ダッシュボードの統計情報を使用して、Amazon Macie が機密データを見つけた S3 バケットの数や、それらのうちパブリックアクセスが可能であるものの数をすばやく判断できます。Amazon S3 データのカバレッジを評価することもできます。カバレッジ統計は、Macie が個々の S3 バケット内のオブジェクトを分析するのを妨げている問題を特定するのに役立ちます。
ダッシュボードでは、機密データ自動検出の統計は主に以下のセクションに分かれています。
+ [ストレージと機密データ検出](#discovery-asdd-results-s3-dashboard-storage-statistics)
+ [自動検出](#discovery-asdd-results-s3-dashboard-sensitivity-statistics)
+ [カバレッジ問題](#discovery-asdd-results-s3-dashboard-coverage-statistics)
各セクションの個別統計は以下の通りです。ダッシュボードの他のセクションの統計情報については、「」を参照してください[概要ダッシュボードのコンポーネントを理解する](monitoring-s3-dashboard.md#monitoring-s3-dashboard-components-main)。
### ストレージと機密データ検出
ダッシュボードの上部にある統計は、Amazon S3 に保存するデータの量と、Amazon Macie が機密データを検出するために分析できるデータの量を示します。次の図は、7 つのアカウントを持つ組織のこれらの統計の例を示しています。
![\[ダッシュボードの [ストレージと機密データの検出] セクション。各フィールドのデータはサンプルです。\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/scrn-summary-dashboard-storage.png)
このセクションの個々の統計は以下のとおりです。
+ **合計アカウント** — このフィールドは、組織の Macie 管理者であるか、スタンドアロンの Macie アカウントを持っている場合に表示されます。バケットインベントリ内の AWS アカウント 独自のバケットの総数を示します。Macie 管理者の場合、これは組織で管理している Macie アカウントの総数です。スタンドアロンの Macie アカウントをお持ちの場合、この値は 1 です。
**S3 バケットの合計** — このフィールドは、お客様が組織のメンバーアカウントをお持ちの場合に表示されます。オブジェクトが保存されていないバケットを含む、インベントリ内の汎用バケットの総数を示します。
+ **ストレージ** — これらの統計は、バケットインベントリ内のオブジェクトのストレージサイズに関する情報を提供します。
+ **分類可能** – バケット内で Macie が分析できるすべてのオブジェクトの合計ストレージサイズ。
+ **合計**— Macie が分析できないオブジェクトを含む、バケット内のすべてのオブジェクトの合計ストレージサイズ。
いずれかのオブジェクトが圧縮ファイルである場合、これらの値は解凍後のファイルの実際のサイズを反映しません。いずれかのバケットでバージョニングが有効化されている場合、これらの値は、それらのバケット内の各オブジェクトの最新バージョンのストレージサイズに基づきます。
+ **オブジェクト** — これらの統計は、バケットインベントリ内のオブジェクト数に関する情報を提供します。
+ **分類可能** - バケット内で Macie が分析できるオブジェクトの合計数。
+ **合計**— Macie が分析できないオブジェクトを含む、バケット内のオブジェクトの総数。
前述の統計では、データとオブジェクトは、サポートされているAmazon S3ストレージクラスを使用し、サポートされているファイルまたはストレージフォーマットのファイル名拡張子を持っている場合、分類可能です。Macie を使用して、オブジェクト内の機密データを検出できます。詳細については、[サポートされているストレージクラスとフォーマット](discovery-supported-storage.md)を参照してください。
**ストレージ** と **オブジェクト** の統計には、Macie がアクセスするのを許可されていないバケット内のオブジェクトに関するデータは含まれないことに注意してください。このようなケースを特定するには、ダッシュボードの **[カバレッジ問題]** セクションにある **[アクセス拒否]** 統計を選択します。
### 自動検出
このセクションでは、Amazon Macie が Amazon S3 データに対してこれまでに実行した機密データ自動検出アクティビティのステータスと結果をキャプチャします。次の図は、このセクションが提供する統計の例を示しています。
![\[ダッシュボードの [自動検出] セクション。グラフと関連フィールドのデータはサンプルです。\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/scrn-summary-dashboard-asdd.png)
このセクションの個々の統計は以下のとおりです。
**バケットの総数**
ドーナツグラフは、バケットインベントリ内のバケットの総数を示します。このグラフは、各バケットの現在の機密性スコアに基づいてバケットをカテゴリ別に次のようにグループ化します。
+ **高機密性** (赤) — 機密性スコアが51~100の範囲にあるバケットの総数。
+ **低機密性** (青) — 機密性スコアが1~49の範囲にあるバケットの総数。
+ **分析が未完了** (ライトグレー) — 機密性スコアが50のバケットの総数。
+ **分類エラー** (濃い灰色) — 機密性スコアが-1のバケットの総数
Macie が定義する機密性スコアとラベルの範囲の詳細については、[S3 バケットの機密スコア](discovery-scoring-s3.md) を参照してください。
グループのその他の統計情報を確認するには、そのグループにカーソルを合わせます。
+ **バケット** — アカウント内のバケットの総数。
+ **パブリックアクセス可能** — 一般ユーザーがバケットへの読み取りまたは書き込みアクセス権を持つことを許可するバケットの数とパーセンテージ。
+ **分類可能** – バケット内で Macie が分析できるすべてのオブジェクトの合計ストレージサイズ。これらのオブジェクトは、サポートされているAmazon S3ストレージクラスを使用し、サポートされているファイルまたはストレージ形式のファイル名拡張子を持っています。詳細については、[サポートされているストレージクラスとフォーマット](discovery-supported-storage.md)を参照してください。
+ **合計バイト数** — すべてのバケットの合計ストレージサイズ。
前述の統計では、ストレージサイズの値は、バケット内の各オブジェクトの最新バージョンのストレージサイズに基づきます。いずれかのオブジェクトが圧縮ファイルである場合、これらの値は解凍後のファイルの実際のサイズを反映しません。
**機密性**
この領域には、現時点で機密性スコアが *51*~*100* の範囲にあるバケットの総数が示されます。このグループ内の **パブリックアクセス可能**は、一般ユーザーもバケットへの読み取りまたは書き込みアクセス権を持つことが許可されるバケットの総数を示します。
**非機密**
この領域には、現時点で機密性スコアが *1*~*49* の範囲にあるバケットの総数が示されます。このグループ内の **[パブリックアクセス可能]**は、一般ユーザーもバケットへの読み取りまたは書き込みアクセス権を持つことが許可されるバケットの総数を示します。
**[パブリックアクセス可能]**統計の値を決定および計算するために、Macie はアカウントとバケットのパブリックアクセスをブロックする設定や、バケットのバケットポリシーなど、各バケットのアカウントレベルとバケットレベルの設定を組み合わせて分析します。Macie は、アカウントに対して最大 10,000 個のバケットに対してこれを行います。詳細については、「[Macie が Amazon S3 データセキュリティをモニタリングする方法](monitoring-s3-how-it-works.md)」を参照してください。
**[自動検出]** セクションの統計には、作成して実行する機密データ検出ジョブの結果は含まれないことに注意してください。
### カバレッジ問題
このセクションでは、特定のタイプの問題によって Amazon Macie が個々の S3 バケット内のオブジェクトを分析できなかったかどうかを統計で示します。次の図は、このセクションが提供する統計の例を示しています。
![\[ダッシュボードの [カバレッジ問題] セクション。各フィールドのデータはサンプルです。\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/scrn-summary-dashboard-coverage.png)
このセクションの個々の統計は以下のとおりです。
+ **アクセス拒否** — Macie がアクセスを許可されていないバケットの総数。Macie はこれらのバケット内のオブジェクトを一切分析できません。バケットのアクセス許可設定により、Macie はバケットとバケットのオブジェクトにアクセスできなくなります。
+ **分類エラー** — オブジェクトレベルの分類エラーにより Macie がまだ分析していないバケットの総数。Macie は、これらのバケット内の 1 つ以上のオブジェクトを分析しようとしました。しかし、オブジェクトレベルのアクセス許可設定、オブジェクトコンテンツ、またはクォータに問題があったため、Macie はそのオブジェクトを分析できませんでした。
+ **分類不可** — 分類可能なオブジェクトを一切保存していないバケットの総数です。Macie はこれらのバケット内のオブジェクトを一切分析できません。すべてのオブジェクトは、Macie がサポートしていない Amazon S3 ストレージクラスを使用しているか、Macie がサポートしていないファイルまたはストレージ形式のファイル名拡張子が付いています。
統計の値を選択すると、追加の詳細と、該当する場合修復ガイダンスが表示されます。アクセスの問題や分類エラーを修正すれば、その後の分析サイクルで Amazon S3 データのカバレッジを拡大できます。詳細については、「[機密データ自動検出カバレッジの評価](discovery-coverage.md)」を参照してください。
**[カバレッジ問題]** セクションの統計には、作成して実行する機密データ検出ジョブの結果は含まれないことに注意してください。ただし、機密データ自動検出に影響があるカバレッジ問題を修正すると、その後に実行する機密データ検出ジョブによってカバレッジも向上する可能性があります。
# S3 バケットマップによるデータ機密性の視覚化
Amazon Macie コンソールでは、**S3 バケット**ヒートマップにより、Amazon Simple Storage Service (Amazon S3) データエステート全体のデータ機密性がインタラクティブで視覚的に表現されます。また、Macie が現在の AWS リージョン内の Amazon S3 アカウントに対してこれまでに実行した機密データ自動検出アクティビティの結果がキャプチャされます。
お客様が組織の Macie 管理者である場合、マップには、メンバーアカウントが所有する S3 バケットの結果が含まれます。次の図に示すように、データはアカウント ID でグループ化 AWS アカウント およびソートされます。
![\[S3 バケットマップ。アカウント別にグループ化され、異なる色で色分けされたバケットごとの四角形が表示されます。\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/scrn-s3-map-small.png)
マップには、アカウントごとに最大 100 個の S3 バケットのデータが表示されます。すべてのバケットのデータを表示するには、[テーブルビューに切り替え](discovery-asdd-results-s3-inventory-table.md)て、代わりに表形式でデータを確認できます。
コンソールの左側のナビゲーションペインで、**S3 バケット** を選択します。ページの上部で、名前の変更を選択します。このマップは、機密データ自動検出が現在有効になっている場合にのみ使用できます。作成して実行する機密データ検出ジョブの結果は含まれません。
**Topics**
+ [S3 バケットマップ内のデータの解釈](#discovery-asdd-results-s3-inventory-map-legend)
+ [S3 バケットマップを操作する](#discovery-asdd-results-s3-inventory-map-use)
## S3 バケットマップ内のデータの解釈
**S3 バケット**マップでは、各四角形はバケットインベントリ内の S3 汎用バケットを表します。四角の色はバケットの現在の機密性スコアを表します。これは、Macie がバケット内で見つけた機密データの量と Macie がバケット内で分析したデータの量という 2 つの主要な指標の共通点を測定します。色相の濃さは、次の図に示すように、スコアがデータ機密性値の範囲内のどの部分に当てはまるかを表しています。
![\[機密スコアの色スペクトル: 1~49 の場合は青色、51~100 の場合は赤色、-1 の場合は灰色。\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/sensitivity-scoring-spectrum.png)
一般に、色と色相の濃さは次のように解釈できます。
+ **青** — バケットの現在の機密性スコアが 1~49 の範囲であれば、バケットの四角形は青で、バケットの機密性ラベルは **[低機密性]** です。青の色相の濃さは、バケット内の一意のオブジェクトの総数に関連して、Macie がバケット内で分析した一意のオブジェクトの数を反映しています。色相が濃いほど、機密性スコアが低くなります。
+ **色なし** — バケットの現在の機密性スコアが 50 の場合、バケットの四角形は色付けされず、バケットの機密性ラベルは**分析が未完了** です。さらに、四角形には破線が付いています。
+ **赤** — バケットの現在の機密性スコアが*51*~*100*の場合、バケットの四角形は赤で、バケットの機密性ラベルは**[高機密性]** です。赤の色相の濃さは、Macie がバケット内で検出した機密データの量を反映しています。色相が暗いほど、機密性スコアが高いことを示します。
+ **グレー** — バケットの現在の機密性スコアが -1 の場合、バケットの四角形は濃い灰色で、バケットの機密性ラベルは **[分類エラー]** です。色相の濃さは変化しません。
Macie が定義する機密性スコアとラベルの範囲の詳細については、[S3 バケットの機密スコア](discovery-scoring-s3.md) を参照してください。
マップでは、S3 バケットの四角形にはシンボルも含まれている場合があります。このシンボルはエラー、問題、またはバケットの機密性の評価に影響する可能性のあるその他の考慮事項を示しています。シンボルは、バケットがパブリックアクセス可能であるといった、バケットのセキュリティに関する潜在的な問題を示す場合もあります。次の表は、Macie がこれらのケースを通知するために使用する記号の一覧です。
| 記号 | 定義 | 説明 |
| --- | --- | --- |
| ![\[The Access denied symbol, which is a gray exclamation point.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/icon-map-access-denied.png) | アクセスが拒否されました | Macie はバケットやバケットのオブジェクトにアクセスすることが許可されていません。そのため、Macie はバケット内のオブジェクトを分析できません。 この問題は通常、バケットに制限があるバケットポリシーが設定されているために発生します。この問題の対処方法については、[Macie が S3 バケットおよびオブジェクトにアクセスすることを許可する](monitoring-restrictive-s3-buckets.md)を参照してください。 |
| ![\[The Publicly accessible symbol, which is a solid, gray, upward-facing arrow.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/icon-map-publicly-accessible.png) | パブリックアクセス可能 | 一般ユーザーは、バケットへの読み取りまたは書き込みのアクセス権を持っています。 この決定を行うために、Macie はアカウントとバケットのパブリックアクセスブロック設定、バケットのバケットポリシーなど、各バケットの設定の組み合わせを分析します。Macie は、アカウントに対して最大 10,000 個のバケットに対してこれを行うことができます。詳細については、「[Macie が Amazon S3 データセキュリティをモニタリングする方法](monitoring-s3-how-it-works.md)」を参照してください。 |
| ![\[The Unclassifiable symbol, which is a gray question mark.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/icon-map-unclassifiable.png) | 分類不可 | Macie はバケット内のどのオブジェクトも分析できません。バケットのすべてのオブジェクトには、Macie がサポートしていない Amazon S3 ストレージクラスが使用されているか、Macie がサポートしていないファイルまたはストレージ形式のファイル名拡張子が付いています。 Macie がオブジェクトを分析するには、オブジェクトはサポートされているストレージクラスを使用し、サポートされているファイルまたはストレージ形式のファイル名拡張子を有している必要があります。詳細については、「[サポートされているストレージクラスとフォーマット](discovery-supported-storage.md)」を参照してください。 |
| ![\[The Zero bytes symbol, which is the number zero.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/icon-map-zero-bytes.png) | 0 バイト | このバケットには Macie が分析するオブジェクトは保存されていません。バケットが空か、バケット内のすべてのオブジェクトにゼロ (0) バイトのデータが含まれています。 |
## S3 バケットマップを操作する
**S3 バケット** マップを確認すると、さまざまな方法でマップを操作して、個々のアカウントやバケットの追加データや詳細を確認したり評価したりできます。マップを表示し、マップが提供するさまざまな機能を操作するには、次の手順に従います。
**S3 バケットマップを操作するには**
1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。
1. ナビゲーションペインで、**S3 バケット**を選択します。**S3 バケット**には、バケットインベントリのマップが表示されます。ページにインベントリが表形式で表示されている場合は、ページ上部の map ![\[The map view button, which is a button that displays four black squares.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/btn-s3-map-view.png) を選択します。
デフォルトでは、自動機密データ検出から現在除外されているバケットのデータはマップに表示されません。お客様が組織の Macie 管理者である場合、機密データの自動検出が現在無効になっているアカウントのデータも表示されません。このデータを表示するには、フィルターボックスの下にある **[自動検出によってモニタリング]** フィルタートークンで **X** を選択します。
1. ページの上部で、必要に応じて、更新![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/btn-refresh-data.png) を選択して、Amazon S3 から最新のバケットメタデータを取得します。
1. **S3 バケット** マップで、次のいずれかを実行します。
+ 特定の機密ラベルを持つバケットの数を確認するには、 AWS アカウント ID のすぐ下にある色付きバッジを参照してください。バッジには、機密性ラベル別に分類された集計されたバケット数が表示されます。
たとえば、赤のバッジは、アカウントが所有しており**[高機密性]** ラベルが付いているバケットの総数を示しています。これらのバケットの機密性スコアは 51~100 の範囲です。青のバッジは、そのアカウントが所有していて、**低機密性** というラベルが付いたバケットの総数を示しています。これらのバケットの機密性スコアは 1~49 の範囲です。
+ バケットに関する情報のサブセットを確認するには、バケットの四角形にカーソルを合わせます。ポップオーバーにはバケットの名前と現在の機密性スコアが表示されます。
ポップオーバーには、Macie がバケット内で分析できるオブジェクトの総数と、それらのオブジェクトの最新バージョンの合計ストレージサイズも表示されます。これらのオブジェクトは分類可能です。サポートされている Amazon S3 ストレージクラスを使用し、サポートされているファイルまたはストレージ形式のファイル名拡張子が付いています。詳細については、[サポートされているストレージクラスとフォーマット](discovery-supported-storage.md)を参照してください。
+ マップをフィルタリングし、フィールドに対して特定の値を持つバケットのみを表示するには、フィルターボックスにカーソルを置き、フィールドでフィルター条件を追加します。Macie は条件の基準を適用し、フィルターボックスの下に条件を表示します。結果をさらに絞り込むには、追加のフィールドでフィルター条件を追加します。詳細については、[S3 バケットインベントリをフィルタリングする](monitoring-s3-inventory-filter.md)を参照してください。
+ 特定のアカウントが所有するバケットだけをドリルダウンして表示するには、そのアカウントのアカウント ID を選択します。Macie によって新しいタブが開かれ、そのアカウントのみのデータがフィルタリングして表示されます。
1. 特定のバケットのデータ機密性統計およびその他の情報を確認するには、バケットの二乗を選択します。次に、詳細パネルを参照します。その詳細については、「[S3 バケットのデータ機密情報の確認](discovery-asdd-results-s3-inventory-details.md)」を参照してください。
**ヒント**
詳細パネルでは、多くのフィールドをピボットしてドリルダウンできます。フィールドに対して同じ値を持つバケットを表示するには、フィールドで ![\[The zoom in icon, which is a magnifying glass that has a plus sign in it.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/icon-magnifying-glass-plus-sign.png) を選択します。フィールドに対して他の値を持つバケットを表示するには、フィールドで ![\[The zoom out icon, which is a magnifying glass that has a minus sign in it.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/icon-magnifying-glass-minus-sign.png) を選択します。
# S3 バケットテーブルによるデータ機密性の評価
Amazon Simple Storage Service (Amazon S3) バケットの概要情報を確認するには、Amazon Macie コンソールの **S3 バケット**テーブルを使用できます。テーブルを使用すると、現在の の汎用バケットのインベントリを確認および分析し AWS リージョン、ドリルダウンして個々のバケットの詳細情報と統計を確認できます。お客様が組織の Macie 管理者である場合、テーブルにはメンバーアカウントが所有するバケットに関する情報が含まれます。プログラムでデータにアクセスしてクエリを実行する場合は、Amazon Macie API の [DescribeBuckets](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3.html) オペレーションを使用できます。
コンソールで、テーブルを並べ替えてフィルタリングし、てビューをカスタマイズできます。テーブルからカンマ区切り値 (CSV) ファイルにデータをエクスポートすることもできます。テーブルで S3 バケットを選択すると、詳細パネルにバケットに関する追加情報が表示されます。これには、バケットのデータのセキュリティとプライバシーに関する洞察を提供する設定とメトリクスの詳細と統計が含まれます。機密データの自動検出が有効な場合、Macie がバケットに対してこれまで実行した機密データ自動検出アクティビティの結果をキャプチャしたデータも、これに含まれます。
**S3 バケットテーブルを使用してデータの機密性を評価するには**
1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。
1. ナビゲーションペインで、**S3 バケット**を選択します。**S3 バケット**ページにはバケットインベントリが表示されます。
デフォルトでは、自動機密データ検出から現在除外されているバケットのデータはこのページに表示されません。お客様が組織の Macie 管理者である場合、機密データの自動検出が現在無効になっているアカウントのデータも表示されません。このデータを表示するには、フィルターボックスの下にある **[自動検出によってモニタリング]** フィルタートークンで **X** を選択します。
1. ページの上部で、テーブル (![\[The table view button, which is a button that displays three black horizontal lines.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/btn-s3-table-view.png)) を選択します。S3 バケットページが開き、インベントリ内のバケットの数とバケットのテーブルが表示されます。
1. Amazon S3 から最新のバケットメタデータを取得するには、ページの上部の [refresh] (更新) (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/btn-refresh-data.png)) を選択します。
情報アイコン![\[The information icon, which is a blue circle that has a lowercase letter i in it.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/icon-info-blue.png)がバケット名の横に表示された場合、これを行うことをお勧めします。このアイコンは、Macie が [毎日の更新サイクル](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh) の一部として Amazon S3 からバケットとオブジェクトメタデータをおそらく最後に取得した後の過去 24 時間にバケットが作成されたことを示します。
1. **S3 バケット** ページで、テーブルを使用して、インベントリ内の各バケットに関する情報のサブセットを確認します。
+ **機密性** — バケットの現在の機密性スコア。Macie が定義する機密性スコアの範囲については、[S3 バケットの機密スコア](discovery-scoring-s3.md)を参照してください。
+ **バケット** — バケットの名前。
+ **アカウント** – バケットを所有 AWS アカウント する のアカウント ID。
+ **分類可能なオブジェクト**– バケット内の機密データを検出するために Macie が分析できるオブジェクトの総数。
+ **分類可能なサイズ** – バケット内の機密データを検出するために Macie が分析できるすべてのオブジェクトの合計ストレージサイズ。
この値は、圧縮解除後の圧縮オブジェクトの実際のサイズを反映していません。また、バケットでバージョニングが有効化されている場合、この値は、バケット内の各オブジェクトの最新バージョンのストレージサイズに基づきます。
+ **ジョブによるモニタリング** - 機密データ検出ジョブがバケット内のオブジェクトを毎日、毎週、または毎月ベースで定期的に分析するように設定しているかどうか。
このフィールドの値が *はい*の場合、バケットが定期的なジョブに明示的に含まれるか、バケットが過去 24 時間以内の定期的なジョブの基準に一致したことになります。さらに、それらのジョブの少なくとも 1 つのステータスは *キャンセル*されません。Macie は毎日ベースでこのデータを更新します。
+ **最新のジョブ実行** — バケット内のオブジェクトを分析するように 1 回限りまたは定期的な機密データ検出ジョブを設定している場合、このフィールドには、これらのジョブのいずれかの実行が開始された最新の時刻が示されます。それ以外の場合は、このフィールドにはダッシュ (–) が表示されます。
前述のデータでは、オブジェクトは、サポートされているAmazon S3のストレージクラスを使用し、サポートされているファイルまたはストレージフォーマットのファイル名拡張子を持っていれば、分類可能です。Macie を使用して、オブジェクト内の機密データを検出できます。詳細については、[サポートされているストレージクラスとフォーマット](discovery-supported-storage.md)を参照してください。
1. テーブルを使用してインベントリを分析するには、次のいずれかの操作を行います。
+ 特定のフィールドでテーブルを並べ替えるには、フィールドの列見出しをクリックします。並べ替え順序を変更するには、列見出しをもう一度クリックします。
+ テーブルをフィルタリングし、フィールドに対して特定の値を持つバケットのみを表示するには、フィルターボックスにカーソルを置き、フィールドでフィルター条件を追加します。結果をさらに絞り込むには、追加のフィールドでフィルター条件を追加します。詳細については、「[S3 バケットインベントリをフィルタリングする](monitoring-s3-inventory-filter.md)」を参照してください。
+ 特定のバケットのデータ機密性統計およびその他の情報を確認するには、バケットの名前を選択します。次に、詳細パネルを参照します。その詳細については、「[S3 バケットの詳細の確認](discovery-asdd-results-s3-inventory-details.md)」を参照してください。
**ヒント**
詳細パネルでは、多くのフィールドをピボットしてドリルダウンできます。フィールドに対して同じ値を持つバケットを表示するには、フィールドで ![\[The zoom in icon, which is a magnifying glass that has a plus sign in it.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/icon-magnifying-glass-plus-sign.png) を選択します。フィールドに対して他の値を持つバケットを表示するには、フィールドで ![\[The zoom out icon, which is a magnifying glass that has a minus sign in it.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/icon-magnifying-glass-minus-sign.png) を選択します。
1. テーブルから CSV ファイルにデータをエクスポートするには、エクスポートする各行のチェックボックスを選択するか、選択列見出しのチェックボックスを選択してすべての行を選択します。次に、ページ上部の **CSV にエクスポート**を選択します。テーブルから最大 50,000 行をエクスポートできます。
1. 1 つ以上のバケット内のオブジェクトをより深く、より迅速に分析するには、各バケットのチェックボックスをオンにします。次に、**ジョブの作成** を選択します。詳細については、「[機密データ検出ジョブの作成](discovery-jobs-create.md)」を参照してください。
# S3 バケットのデータ機密情報の確認
機密データの自動検出が進むにつれて、Amazon Macie が各 Amazon Simple Storage Service (Amazon S3) バケットについて提供する統計やその他の情報で詳細な結果を確認できます。お客様が組織の Macie 管理者である場合、これには、お客さまのメンバーアカウントが所有するバケットが含まれます。
統計およびその他の情報には、S3 バケットのデータのセキュリティとプライバシーに関する洞察を提供する詳細が含まれます。また、Macie がバケットに対してこれまでに実行した機密データ自動検出アクティビティの結果もキャプチャします。たとえば、Macie が分析したオブジェクトのリストをバケットで見つけることができます。Macie がバケット内で検出した機密データのタイプと出現回数の内訳も確認できます。このデータには、作成して実行した機密データ検出ジョブの結果は含まれません。
Macie は、機密データの自動検出を実行しながら、S3 バケットの統計と詳細を自動的に再計算して更新します。例えば、次のようになります。
+ Macie が S3 オブジェクト内に機密データを見つけられない場合、Macie はバケットの機密性スコアを下げ、必要に応じてバケットの機密ラベルを更新します。Macie は、分析用に選択したオブジェクトのリストにオブジェクトも追加します。
+ Macie が S3 オブジェクトで機密データを見つけると、Macie はそれらの出現を Macie がバケット内で見つけた機密データタイプの内訳に追加します。また、Macie は必要に応じてバケットの機密性スコアを上げ、バケットの機密ラベルを更新します。さらに、Macie は分析用に選択したオブジェクトのリストにオブジェクトを追加します。これらのタスクは、オブジェクトについて機密データの結果を作成する以外にも行われます。
+ Macie が後に変更または削除された S3 オブジェクトで機密データを検出した場合、Macie はバケットの機密データタイプの内訳からオブジェクトの機密データの出現を削除します。また、Macie は必要に応じてバケットの機密性スコアを下げ、バケットの機密ラベルを更新します。さらに、Macie は分析用に選択したオブジェクトのリストからオブジェクトを削除します。
+ Macie が S3 オブジェクトの分析を試みても、問題またはエラーにより分析が妨げられる場合、Macie は分析用に選択したオブジェクトのリストにオブジェクトを追加し、オブジェクトを分析できなかったことを示します。
お客様が組織の Macie 管理者であるか、スタンドアロンの Macie アカウントをお持ちの場合は、オプションでこれらの詳細を使用して S3 バケットの特定の自動検出設定を評価および調整できます。たとえば、特定のタイプの機密データをバケットのスコアに含めたり除外したりできます。詳細については、[S3 バケットの機密スコアを調整する](discovery-asdd-s3bucket-manage.md)を参照してください。
**S3 バケットのデータ機密性の詳細を確認するには**
S3 バケットのデータ機密性やその他の詳細を確認するには、Amazon Macie コンソールまたは Amazon Macie API を使用できます。コンソールの詳細パネルでは、この情報に一元的にアクセスできます。API を使用すると、データをプログラムで取得して処理できます。
------
#### [ Console ]
Amazon Macie コンソールを使用して S3 バケットのデータ機密性やその他の詳細を確認するには、次の手順に従います。
**S3 バケットの詳細を確認するには**
1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。
1. ナビゲーションペインで、**S3 バケット**を選択します。**S3 バケット**ページには、バケットインベントリのインタラクティブマップが表示されます。オプションで、ページの上部にあるテーブル ![\[The table view button, which is a button that displays three black horizontal lines.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/btn-s3-table-view.png) を選択すると、インベントリが表形式で表示されます。
デフォルトでは、自動機密データ検出から現在除外されているバケットのデータはこのページに表示されません。お客様が組織の Macie 管理者である場合、機密データの自動検出が現在無効になっているアカウントのデータも表示されません。このデータを表示するには、フィルターボックスの下にある **[自動検出によってモニタリング]** フィルタートークンで **X** を選択します。
1. Amazon S3 から最新のバケットメタデータを取得するには、ページの上部の [refresh] (更新) (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/btn-refresh-data.png)) を選択します。
1. 詳細を確認するバケットを選択します。詳細パネルには、データ機密性統計およびバケットに関するその他の情報が表示されます。
パネルの上部には、バケットの名前、バケットを所有 AWS アカウント する のアカウント ID、バケットの現在の機密スコアなど、バケットに関する一般的な情報が表示されます。お客様が Macie 管理者であるか、スタンドアロンの Macie アカウントをお持ちの場合、バケットの特定の自動検出設定を変更するオプションも指定できます。その他の設定や情報は、以下のタブにまとめられています。
[機密性](#discovery-asdd-results-s3-inventory-sensitivity-details) \$1 [バケットの詳細](#discovery-asdd-results-s3-inventory-bucket-details) \$1 [オブジェクトサンプル](#discovery-asdd-results-s3-inventory-sample-details) \$1 [機密データ検出](#discovery-asdd-results-s3-inventory-sdd-details)
各タブの個別の設定と情報は次のとおりです。
**感性**
このタブには、バケットの現在の機密性スコアが -1 から 100 の範囲で表示されます。Macie が定義する機密性スコアの範囲については、[S3 バケットの機密スコア](discovery-scoring-s3.md)を参照してください。
このタブには、Macie がバケットのオブジェクト内で見つけた機密データのタイプと、各タイプの出現回数も表示されます。
+ **機密データタイプ** — データを検出したマネージドデータ識別子の一意の識別子 (ID)、またはデータを検出したカスタムデータ識別子の名前。
マネージドデータ識別子の ID は、検出する機密データのタイプを表します。例えば、米国のパスポート番号の場合は **USA\$1PASSPORT\$1NUMBER** です。各マネージドデータ識別子の詳細については、[マネージドデータ識別子の使用](managed-data-identifiers.md)を参照してください。
+ **カウント** — マネージドデータ識別子またはカスタムデータ識別子が検出したデータの出現数の合計。
+ **スコアステータス** – お客様が Macie 管理者か、スタンドアロンの Macie アカウントをお持ちの場合、このフィールドが表示されます。このフィールドでは、データの出現回数をバケットの機密性スコアに含めるか、除外するかを指定します。
Macie がバケットのスコアを計算する場合、スコアから特定のタイプの機密データを含めるか除外して計算を調整できます。含めるか除外する機密データを検出した識別子のチェックボックスを選択し、**アクション**メニューのオプションを選択します。詳細については、「[S3 バケットの機密スコアを調整する](discovery-asdd-s3bucket-manage.md)」を参照してください。
Macie が現在バケットに保存されているオブジェクトに機密データを見つけられない場合、このセクションには **[検出が見つかりません]** というメッセージが表示されます。
**機密**タブには、Macie が分析した後に変更または削除されたオブジェクトのデータが含まれていないことに注意してください。分析後にオブジェクトが変更または削除されると、Macie は適切な統計とデータを自動的に再計算して更新し、オブジェクトを除外します。
**バケットの詳細**
このタブには、データセキュリティやプライバシー設定など、バケットの設定に関する詳細が表示されます。たとえば、バケットのパブリックアクセス設定の内訳を確認し、バケットがオブジェクトをレプリケートするか、他の AWS アカウントと共有するかを判断できます。
最終更新フィールドは、毎日の更新サイクルの一部として、Macie がバケットとバケットのオブジェクトの両方について Amazon S3 からメタデータを最後に取得した日時を示します。。**[最新の自動検出実行]** フィールドには、Macie が機密データ自動検出を実行中にバケット内のオブジェクトを最後に分析した日時が表示されます。この分析が実行されていない場合、このフィールドにはダッシュ (–) が表示されます。
タブは、Macie がバケット内で分析できるデータの量を評価するのに役立つオブジェクトレベルの統計も示します。また、機密データ検出ジョブがバケット内のオブジェクトを分析するように設定したかどうかも示されます。設定した場合は、最後に実行されたジョブに関する詳細にアクセスし、必要に応じてジョブが生成した検出結果を表示できます。
場合によっては、このタブにバケットのすべての詳細が含まれていないことがあります。これは、Amazon S3 に 10,000 を超えるバケットを保存する場合に発生する可能性があります。Macie は、アカウントの 10,000 バケットのみの完全なインベントリデータを保持します。これは、最近作成または変更された 10,000 バケットです。ただし、Macie はこのクォータを超えるバケット内のオブジェクトを分析できます。バケットの追加の詳細を確認するには、Amazon S3 を使用します。
このタブの情報の詳細については、[S3 バケットの詳細を確認する](monitoring-s3-inventory-review.md#monitoring-s3-inventory-view-details)を参照してください。
**オブジェクトのサンプル**
このタブには、バケットに対する機密データ自動検出を実行中、Macie が分析対象として選択したオブジェクトが一覧表示されます。オプションでオブジェクトの名前を選択すると、Amazon S3 コンソールが開き、オブジェクトのプロパティが表示されます。
リストには最大 100 のオブジェクトのデータが含まれます。このリストは、**[オブジェクト機密性]** フィールド、**[機密性]**、その次に **[低機密性]** 、その次に Macie が分析できなかったオブジェクトの値に基づいて入力されます。
リストの **[オブジェクト機密性]** フィールドには、Macie がオブジェクト内に次の機密データを見つけたかどうかが示されます。
+ **機密性** — Macie はオブジェクト内に少なくとも 1 つの機密データを検出しました。
+ **低機密性** — Macie はオブジェクト内に機密データを検出しませんでした。
+ **—** (ダッシュ) — 問題またはエラーのため、Macie はオブジェクトの分析を完了できませんでした。
**分類結果** フィールドには、Macie がオブジェクトを分析できたかどうかが表示されます。
+ **Complete** (完了) — Macie はオブジェクトの分析を完了しました。
+ **部分的** — Macie は問題またはエラーのため、オブジェクト内のデータのサブセットのみを分析しました。例えば、オブジェクトはサポートされていない形式のファイルを含むアーカイブファイルです。
+ **スキップ** — 問題またはエラーのため、Macie はオブジェクト内のデータを分析できませんでした。たとえば、オブジェクトは Macie が使用を許可されていないキーを用いて暗号化されます。
Macie が分析または分析を試みた後に変更または削除されたオブジェクトは、リストに含まれていないことに注意してください。Macie は、オブジェクトが後で変更または削除された場合、そのオブジェクトをリストから自動的に削除します。
**機密データ検出**
このタブには、バケットの集計機密データの自動検出統計が表示されます。
+ **分析されたバイト数** — Macie がバケット内で分析したデータの総量 (バイト単位)。
+ **分類可能** – バケット内で Macie が分析できるすべてのオブジェクトの合計ストレージサイズ。前のデータでは、オブジェクトがサポートされている Amazon S3 ストレージクラスを使用し、サポートされているファイルまたはストレージ形式のファイル名拡張子を持っている場合、オブジェクトは 分類可能です。詳細については、[サポートされているストレージクラスとフォーマット](discovery-supported-storage.md)を参照してください。
+ **検出数の合計** — Macie がバケット内で検出した機密データの出現数の合計。これには、バケットの機密性スコアリング設定によって現在抑制されているデータが含まれます。
**分析されたオブジェクト** チャートには、Macie がバケット内で分析したオブジェクトの総数が表示されます。また、Macie が機密データを見つけた、または見つけなかったオブジェクトの数も視覚的に表示されます。グラフの下の凡例には、これらの結果の内訳が示されています。
+ **機密性**オブジェクト (赤) — Macie が機密データの出現を少なくとも 1 回検出したオブジェクトの総数。
+ **低機密性** オブジェクト (青) — Macie が機密データを検出しなかったオブジェクトの総数。
+ **スキップされたオブジェクト** (濃い灰色) — 問題またはエラーが原因で Macie が分析できなかったオブジェクトの総数。
グラフの凡例の下の領域には、特定のタイプのアクセス許可の問題や暗号化エラーが発生したために Macie がオブジェクトを分析できなかった事例の内訳が示されます。
+ **スキップ済み: 無効な暗号化** – お客様が用意したキーで暗号化されたオブジェクトの総数。Macie はこのようなキーにアクセスできません。
+ **スキップ: 無効な KMS** – 使用できなくなった AWS Key Management Service (AWS KMS) キーで暗号化されたオブジェクトの総数。これらのオブジェクトは、無効になっている、削除がスケジュールされている、または削除された AWS KMS keys で暗号化されます。Macie はこのようなキーを使用できません。
+ **スキップ済み: アクセスが許可されません** — オブジェクトのアクセス許可設定、またはそのオブジェクトの暗号化に使用されたキーのアクセス許可設定により、Macie がアクセスできないオブジェクトの総数。
このような問題や発生する可能性があるその他のタイプの問題やエラーの詳細については、「[カバレッジ問題を修正する](discovery-coverage-remediate.md)」を参照してください。このような問題やエラーを修正すれば、その後の分析サイクルでバケットのデータのカバレッジを拡大できます。
**機密データ検出** タブの統計には、Macie が分析または分析を試みた後に変更または削除されたオブジェクトのデータは含まれていません。Macie がオブジェクトを分析または分析しようとした後にオブジェクトが変更または削除された場合、Macie はこれらの統計を自動的に再計算してオブジェクトを除外します。
------
#### [ API ]
S3 バケットのデータ機密性やその他の詳細をプログラムで取得するには、いくつかのオプションがあります。適切なオプションは、取得する詳細によって異なります。
+ バケットの現在の機密スコアと集計された分析統計を取得するには、[GetResourceProfile](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles.html) オペレーションを使用します。または、 AWS Command Line Interface (AWS CLI) を使用している場合は、[get-resource-profile](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-resource-profile.html) コマンドを実行します。統計には、Macie が分析したオブジェクトの数や、Macie が機密データを検出したオブジェクトの数などのデータが含まれます。
+ Macie がバケットで検出した機密データのタイプと量の内訳を取得するには、[ListResourceProfileDetections](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles-detections.html) オペレーションを使用します。または、 を使用している場合は AWS CLI、[list-resource-profile-detections](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-resource-profile-detections.html) コマンドを実行します。この内訳は、各タイプの機密データを検出したマネージドデータ識別子またはカスタムデータ識別子に関する詳細も示します。
+ Macie が分析のためにバケットから選択した最大 100 個のオブジェクトのリストを取得するには、[ListResourceProfileArtifacts](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles-artifacts.html) オペレーションを使用します。または、 を使用している場合は AWS CLI、[list-resource-profile-artifacts](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-resource-profile-artifacts.html) コマンドを実行します。リストでは、オブジェクトごとに、オブジェクトの Amazon リソースネーム (ARN)、Macie がオブジェクトの分析を完了したかどうか、Macie がオブジェクト内で機密データを見つけたかどうかを指定します。
リクエストで、 `resourceArn`パラメータを使用して、詳細を取得するバケットの ARN を指定します。を使用している場合は AWS CLI、 `resource-arn`パラメータを使用して ARN を指定します。
バケットのパブリックアクセス設定など、S3 バケットの詳細については、[DescribeBuckets](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3.html) オペレーションを使用します。を使用している場合は AWS CLI、[describe-buckets](https://docs.aws.amazon.com/cli/latest/reference/macie2/describe-buckets.html) コマンドを実行してこれらの詳細を取得します。リクエストでは、オプションでフィルター条件を使用してバケットの名前を指定します。詳細な説明と例については、[S3 バケットインベントリをフィルタリングする](monitoring-s3-inventory-filter.md) を参照してください。
次の例は、 を使用して AWS CLI S3 バケットのデータ機密性の詳細を取得する方法を示しています。この最初の例では、バケットの現在の機密スコアと集計された分析統計を取得します。
```
$ aws macie2 get-resource-profile --resource-arn arn:aws:s3:::amzn-s3-demo-bucket
```
ここで*、arn:aws:s3::amzn-s3-demo-bucket* はバケットの ARN です。リクエストが成功すると、次のような出力を受け取ります。
```
{
"profileUpdatedAt": "2024-11-21T15:44:46+00:00",
"sensitivityScore": 83,
"sensitivityScoreOverridden": false,
"statistics": {
"totalBytesClassified": 933599,
"totalDetections": 3641,
"totalDetectionsSuppressed": 0,
"totalItemsClassified": 111,
"totalItemsSensitive": 84,
"totalItemsSkipped": 1,
"totalItemsSkippedInvalidEncryption": 0,
"totalItemsSkippedInvalidKms": 0,
"totalItemsSkippedPermissionDenied": 0
}
}
```
次の例では、Macie が S3 バケットで検出した機密データのタイプと、各タイプの出現回数の内訳を取得します。内訳は、データを検出したマネージドデータ識別子またはカスタムデータ識別子も指定します。また、Macie によってスコアが自動的に計算された場合、出現がバケットの機密スコアから現在除外されているかどうか (`suppressed`) も示します。
```
$ aws macie2 list-resource-profile-detections --resource-arn arn:aws:s3:::amzn-s3-demo-bucket
```
*arn:aws:s3::amzn-s3-demo-bucket* はバケットの ARN です。リクエストが成功すると、次のような出力を受け取ります。
```
{
"detections": [
{
"count": 8,
"id": "AWS_CREDENTIALS",
"name": "AWS_CREDENTIALS",
"suppressed": false,
"type": "MANAGED"
},
{
"count": 1194,
"id": "CREDIT_CARD_NUMBER",
"name": "CREDIT_CARD_NUMBER",
"suppressed": false,
"type": "MANAGED"
},
{
"count": 1194,
"id": "CREDIT_CARD_SECURITY_CODE",
"name": "CREDIT_CARD_SECURITY_CODE",
"suppressed": false,
"type": "MANAGED"
},
{
"arn": "arn:aws:macie2:us-east-1:123456789012:custom-data-identifier/3293a69d-4a1e-4a07-8715-208ddexample",
"count": 8,
"id": "3293a69d-4a1e-4a07-8715-208ddexample",
"name": "Employee IDs with keyword",
"suppressed": false,
"type": "CUSTOM"
},
{
"count": 1237,
"id": "USA_SOCIAL_SECURITY_NUMBER",
"name": "USA_SOCIAL_SECURITY_NUMBER",
"suppressed": false,
"type": "MANAGED"
}
]
}
```
この例では、Macie が分析のために S3 バケットから選択したオブジェクトのリストを取得します。オブジェクトごとに、リストには Macie がオブジェクトの分析を完了したかどうか、および Macie がオブジェクト内で機密データを見つけたかどうかも示されます。
```
$ aws macie2 list-resource-profile-artifacts --resource-arn arn:aws:s3:::amzn-s3-demo-bucket
```
*arn:aws:s3::amzn-s3-demo-bucket* はバケットの ARN です。リクエストが成功すると、次のような出力を受け取ります。
```
{
"artifacts": [
{
"arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object1.csv",
"classificationResultStatus": "COMPLETE",
"sensitive": true
},
{
"arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object2.xlsx",
"classificationResultStatus": "COMPLETE",
"sensitive": true
},
{
"arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object3.json",
"classificationResultStatus": "COMPLETE",
"sensitive": true
},
{
"arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object4.pdf",
"classificationResultStatus": "COMPLETE",
"sensitive": true
},
{
"arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object5.zip",
"classificationResultStatus": "PARTIAL",
"sensitive": true
},
{
"arn": "arn:aws:s3:::amzn-s3-demo-bucket/amzn-s3-demo-object6.vssx",
"classificationResultStatus": "SKIPPED"
}
]
}
```
------
# 機密データ自動検出の検出結果を分析する
Amazon Macie は、機密データの自動検出を実行すると、機密データを検出した Amazon Simple Storage Service (Amazon S3) ごとに機密データの検出結果を作成します。機密データの調査結果は、Macie がオブジェクトで検出した機密データの詳細なレポートです。検出結果には、Macie が検出した機密データは含まれません。代わりに、必要に応じてさらなる調査と修復に使用できる情報が提供されます。
各機密データの調査結果には、重要度評価と次のような詳細が示されます。
+ Macie が機密データを検出した日時。
+ Macie が検出した機密データのカテゴリとタイプ。
+ Macie が検出した機密データのタイプごとの出現回数。
+ Macie が機密データ、機密データの自動検出、または機密データ検出ジョブを検出した方法。
+ 影響を受けた S3 バケットおよびオブジェクトに関する名前、パブリックアクセス設定、暗号化タイプ、およびその他の情報。
影響を受けた S3 オブジェクトのファイルタイプまたはストレージ形式によっては、Macie が見つけた機密データの最大 15 までの出現の場所も詳細に含まれます。
Macie は機密データの調査結果を 90 日間保存します。Amazon Macie コンソールまたは Amazon Macie API を使用してそれらにアクセスできます。また、他のアプリケーション、サービス、およびシステムを使用して、調査結果をモニタリングおよび処理することもできます。詳細については、[検出結果の確認と分析](findings.md)を参照してください。
**機密データの自動検出によって得られた結果を分析するには**
機密データ自動検出の実行中に Macie が作成した機密データ検出結果を特定して分析するには、検出結果をフィルタリングします。フィルターを使用すると、検出結果の特定の属性を使用して、検出結果のカスタムビューとクエリを構築します。検出結果をフィルタリングするには、Amazon Macie コンソールを使用するか、Amazon Macie API を使用してプログラムでクエリを送信します。詳細については、「[調査結果のフィルタリング](findings-filter-overview.md)」を参照してください。
**注記**
お客様のアカウントが複数の Macie アカウントを一元的に管理する組織に含まれている場合、自動機密データ検出により組織のアカウントに対して生成される検出結果に直接アクセスできるのは組織の Macie 管理者だけです。お客様がメンバーアカウントを持ち、そのアカウントの検出結果を確認する必要がある場合は、Macie 管理者に連絡してください。
------
#### [ Console ]
Amazon Macie コンソールを使用してサンプル検出結果を作成するには、次のステップに従います。
**自動検出によって生成された結果を分析するには**
1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。
1. ナビゲーションペインで **調査結果**を選択します。
1. [抑制ルール](findings-suppression.md)によって抑制された検出結果を表示するには、**[検索ステータス]** 設定を変更します。次に **アーカイブ済み** を選択して、抑制された調査結果のみを表示するか、**すべて** を選択して、現在の調査結果と抑制された調査結果の両方を表示します。非表示にした結果を再度非表示にするには、**[現在]**を選択します。
1. **[フィルター条件]** ボックスにカーソルを置きます。表示されるフィールドのリストで、**サンプル** を選択します。
このフィールドには、Macie が検出結果、機密データの自動検出、または機密データ検出ジョブの原因となった機密データをどのように見つけたかを指定します。フィルタフィールドのリスト内でこのフィールドを見つけるには、完全なリストを参照するか、フィールド名の一部を入力してフィールドのリストを絞り込みます。
1. フィールドの値として **AUTOMATED\$1SENSITIVE\$1DATA\$1DISCOVERY** を選択し、次に **適用** を選択します。Macie はフィルター基準を適用し、フィルター条件ボックスのフィルタートークンに条件を追加します。
1. 結果を絞り込むには、追加のフィールドにフィルター条件を追加します。例えば、検出果が作成された時間範囲には **[作成日]**、影響を受けたバケットの名前には **[S3 バケット名]**、検出結果を生成した機密データのタイプには **[機密データ検出タイプ]** などのフィルター条件を追加します。
後でこの条件のセットを再度使用する場合は、フィルタールールとして保存できます。これを行うには、**フィルターバーの** **ルールを保存する** を選択します。次に、ルールの名前を入力し、オプションで説明を入力します。終了したら、**保存** を選択します。
------
#### [ API ]
調査結果をプログラムで特定して分析するには、Amazon Macie APIの [ListFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings.html) または [GetFindingStatistics](https://docs.aws.amazon.com/macie/latest/APIReference/findings-statistics.html) オペレーションを使用して送信するクエリでフィルター基準を指定します。**ListFindings** オペレーションは、フィルター基準と一致する結果ごとの 1 つの ID である、検索条件 ID の配列を返します。その後、それらの ID を使用して各検出結果の詳細を取得できます。**GetFindingStatistics** オペレーションは、リクエストで指定したフィールド別にグループ化された、フィルター基準と一致するすべての調査結果に関する集計統計データを返します。検出結果をプログラムでフィルタリングする方法の詳細については、「[調査結果のフィルタリング](findings-filter-overview.md)」を参照してください。
フィルター条件には、`originType` フィールドの条件を含めてください。このフィールドには、Macie が検出結果、機密データの自動検出、または機密データ検出ジョブの原因となった機密データをどのように見つけたかを指定します。機密データ自動検出によって検出結果が生成された場合、このフィールドの値は `AUTOMATED_SENSITIVE_DATA_DISCOVERY` です。
AWS Command Line Interface (AWS CLI) を使用して検出結果を特定して分析するには、[list-findings](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-findings.html) コマンドまたは [get-finding-statistics](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-finding-statistics.html) コマンドを実行します。以下の例では、**list-findings** コマンドを使用して、現在の AWS リージョンにおける機密データ自動検出によって生成された重要度の高いすべての検出結果の検出結果 ID を取得します。
この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。
```
$ aws macie2 list-findings \
--finding-criteria '{"criterion":{"classificationDetails.originType":{"eq":["AUTOMATED_SENSITIVE_DATA_DISCOVERY"]},"severity.description":{"eq":["High"]}}}'
```
この例は Microsoft Windows 用にフォーマットされており、読みやすさを向上させるためにキャレット (^) の行継続文字を使用しています。
```
C:\> aws macie2 list-findings ^
--finding-criteria={\"criterion\":{\"classificationDetails.originType\":{\"eq\":[\"AUTOMATED_SENSITIVE_DATA_DISCOVERY\"]},\"severity.description\":{\"eq\":[\"High\"]}}}
```
コードの説明は以下のとおりです。
+ `classificationDetails.originType` は、**[オリジンタイプ]** フィールドの JSON 名を指定し、
+ eqは、equals演算子を指定します。
+ `AUTOMATED_SENSITIVE_DATA_DISCOVERY` はフィールドの列挙値です。
+ *`severity.description`* は**[重要度]** フィールドの JSON 名を指定し、
+ eqは、equals 演算子を指定します*`eq`* 。
+ *`High`* はフィールドの列挙値です。
リクエストが成功すると、Macie は`findingIds`配列を返します。配列には、次の例に示すように、フィルター基準と一致する各調査結果の一意の識別子がリスト化されます。
```
{
"findingIds": [
"1f1c2d74db5d8caa76859ec52example",
"6cfa9ac820dd6d55cad30d851example",
"702a6fd8750e567d1a3a63138example",
"826e94e2a820312f9f964cf60example",
"274511c3fdcd87010a19a3a42example"
]
}
```
フィルター基準と一致する調査結果がない場合、Macie は空の `findingIds` 配列を返します。
```
{
"findingIds": []
}
```
------
# 機密データ自動検出の検出結果にアクセスする
Amazon Macie は、機密データ自動検出を実行する際、分析対象として選択した各 Amazon Simple Storage Service (Amazon S3) オブジェクトの分析レコードを作成します。これらのレコードは機密データの検出結果と呼ばれ、Macie が個々の S3 オブジェクトに対して実行した分析の詳細を記録します。これには、Macie が機密データを検出しないオブジェクト、およびアクセス許可設定やサポートされていないファイルまたはストレージ形式の使用などのエラーや問題のために Macie が分析できないオブジェクトが含まれます。機密データの検出結果から、データプライバシーと保護の監査や調査に役立つ分析レコードが得られます。
Macie が S3 オブジェクト内の機密データを検出すると、機密データ検出結果に、Macie が検出した機密データに関する情報が含まれます。この情報には、機密データの検出結果に含まれる情報と同じタイプの詳細情報が含まれます。また、Macie が検出した機密データのタイプごとに最大 1,000 件まで、出現の場所などの追加情報も提供されます。例えば、次のようになります。
+ Microsoft Excel ワークブック、CSV ファイル、または TSV ファイル内のセルまたはフィールドの列番号と行番号
+ JSON または JSON Lines ファイル内のフィールドまたは配列へのパス
+ CSV、JSON、JSON Lines、または TSV ファイル以外の非バイナリテキストファイル (HTML、TXT、XML ファイルなど) 内の行の行番号
+ Adobe Portable Document Format (PDF) ファイル内のページのページ番号
+ Apache Avro オブジェクトコンテナまたは Apache Parquet ファイル内のレコードのレコードインデックスとフィールドへのパス
S3 オブジェクトが .tar ファイルや .zip ファイルなどのアーカイブファイルである場合、機密データの検出結果では、Macie がアーカイブファイルから抽出した個別のファイル内の機密データの出現に関する詳細な場所データも提供されます。Macie は、アーカイブファイルの機密データの調査結果にこの情報を含めません。位置データを報告するために、機密データ検出結果は[標準化された JSON スキーマ](findings-locate-sd-schema.md)を使用します。
**注記**
機密データの検出結果と同様に、機密データ検出の結果には、Macie が S3 オブジェクトで検出した機密データは含まれません。代わりに、監査や調査に役立つ分析の詳細情報が提供されます。
Macie は機密データの検出結果を 90 日間保存します。Amazon Macie コンソールまたは Amazon Macie API からそれらに直接アクセスすることはできません。代わりに、それを暗号化して S3 バケットに保存するように Macie を設定します。バケットは、機密データの検出結果のすべての最終的で長期的なリポジトリとして機能します。アカウントのこのリポジトリの場所を確認するには、Amazon Macie コンソールのナビゲーションペインで **[検出結果]** を選択します。Amazon Macie APIの [GetClassificationExportConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/classification-export-configuration.html) オペレーションを使用して、プログラムでこのデータにアクセスすることもできます。アカウントにこのリポジトリを設定していない場合は、[機密データ検出結果の保存と保持](discovery-results-repository-s3.md) でその方法を確認してください。
機密データの検出結果を S3 バケットに保存するように Macie を設定した後、Macie は JSON Lines (.jsonl) ファイルに結果を書き込み、それらのファイルを暗号化し GNU Zip (.gz) ファイルとしてバケットに追加します。機密データ自動検出を実行するため、Macie では、バケット内の `automated-sensitive-data-discovery` という名前のフォルダにファイルを追加します。次に、オプションで、そのフォルダ内の結果にアクセスしてクエリを実行できます。お客様のアカウントが複数の Macie アカウントを一元的に管理する組織に含まれている場合、Macie は Macie 管理者のアカウントでバケット内の `automated-sensitive-data-discovery` フォルダにファイルを追加します。
機密データの検出結果は、標準化されたスキーマに準拠しています。これは、他のアプリケーション、サービス、およびシステムを使用して、それらをクエリ、モニタリング、および処理するのに役立ちます。これらの結果をクエリして使用する方法の詳細な説明例については、 *AWS セキュリティ*ブログのブログ記事「Amazon [ Amazon Athenaと Amazon Quick を使用して Macie 機密データ検出結果をクエリおよび視覚化する方法](https://aws.amazon.com/blogs/security/how-to-query-and-visualize-macie-sensitive-data-discovery-results-with-athena-and-quicksight/)」を参照してください。結果の分析に使用できる Athena クエリのサンプルについては、GitHub の「[Amazon Macie 結果分析リポジトリ](https://github.com/aws-samples/amazon-macie-results-analytics)」を参照してください。このリポジトリでは、結果を取得および復号化するように Athena を設定する手順と、結果のテーブルを作成するためのスクリプトも提供します。
# 機密データ自動検出カバレッジの評価
お客様のアカウントまたは組織の機密データ自動検出が進行するのに従い、Amazon Macie では、Amazon Simple Storage Service (Amazon S3) データエステートのカバレッジを評価してモニタリングするのに役立つ統計と詳細情報を提供します。このデータを使用すると、データエステート全体およびエステート内の個々の S3 バケットについて、機密データ自動検出のステータスを確認できます。Macie が特定バケット内のオブジェクトを分析できなかった問題を特定することもできます。問題を修正すれば、その後の分析サイクルで Amazon S3 データのカバレッジを拡大できます。
カバレッジデータは、現在の AWS リージョンにおける S3 汎用バケットに対する機密データ自動検出の最新ステータスのスナップショットを提供します。お客様が組織の Macie 管理者である場合、これには、お客さまのメンバーアカウントが所有するバケットが含まれます。各バケットのデータには、Macie がバケット内のオブジェクトを分析しようとしたときに問題が発生したかどうかが示されます。問題が発生した場合、データには各問題の性質が示され、発生回数が示されるケースもあります。データは、毎日、機密データ自動検出が進行するたびに更新されます。Macie が毎日の分析サイクル中にバケット内の 1 つ以上のオブジェクトを分析または分析を試みる場合に、Macie はカバレッジやその他のデータを更新して結果を反映します。
特定の種類の問題については、すべての S3 汎用バケットのデータを集計で確認し、必要に応じて各バケットの詳細用にドリルダウンできます。例えば、カバレッジデータを使用すると、Macie がアカウントに対してアクセスすることを許可されていないバケットを迅速に特定できます。カバレッジデータには、発生したオブジェクトレベルの問題も報告されます。分類エラーと呼ばれるこれらの問題により、Macie はバケット内の特定のオブジェクトを分析できませんでした。たとえば、Macie がバケット内で分析できなかったオブジェクトの数を判断できます。オブジェクトは、使用できなくなった AWS Key Management Service (AWS KMS) キーで暗号化されているためです。
Amazon Macie コンソールを使用してカバレッジデータを確認する場合、データビューには各タイプの問題を修正するためのガイダンスも含まれます。このセクションの以降のトピックでは、各タイプの修正ガイダンスも提供します。
**Topics**
+ [カバレッジデータを確認](discovery-coverage-review.md)
+ [カバレッジ問題を修正する](discovery-coverage-remediate.md)
# 機密データ自動検出のカバレッジデータを確認する
機密データ自動検出のカバレッジを確認して評価するには、Amazon Macie コンソールまたは Amazon Macie API を使用します。コンソールと API は両方とも、現在の AWS リージョンでの Amazon Simple Storage Service (Amazon S3) 汎用バケット分析の最新ステータスを示すデータを提供します。データには、分析に差異が生じる問題に関する情報が含まれています。
+ Macie がアクセスを許可されていないバケット。Macie はこれらのバケット内のオブジェクトを一切分析できません。バケットのアクセス許可設定により、Macie はバケットとバケットのオブジェクトにアクセスできなくなります。
+ 分類可能なオブジェクトが一切保存されていないバケット。Macie はこれらのバケット内のオブジェクトを一切分析できません。すべてのオブジェクトは、Macie がサポートしていない Amazon S3 ストレージクラスを使用しているか、Macie がサポートしていないファイルまたはストレージ形式のファイル名拡張子が付いています。
+ オブジェクトレベル分類エラーにより Macie が分析できなかったバケット。Macie は、これらのバケット内の 1 つ以上のオブジェクトを分析しようとしました。しかし、オブジェクトレベルのアクセス許可設定、オブジェクトコンテンツ、またはクォータに問題があったため、Macie はそのオブジェクトを分析できませんでした。
カバレッジデータは、毎日、機密データ自動検出が進行するたびに更新されます。ユーザーが組織の Macie 管理者である場合、データには、組織のメンバーアカウントによって所有されている S3 バケットの情報が含まれます。
**注記**
カバレッジデータには、作成して実行する機密データ検出ジョブの結果が明示的に含まれていません。ただし、機密データ自動検出に影響があるカバレッジ問題を修正すると、その後に実行する機密データ検出ジョブによってカバレッジも向上する可能性があります。ジョブのカバレッジを評価するには、[ジョブの結果を確認します](discovery-jobs-manage-results.md)。ジョブのログイベントやその他の結果でカバレッジ問題が示された場合、[機密データ自動検出の修正ガイダンス](discovery-coverage-remediate.md)がいくつかの問題に対処するのに役立ちます。
**機密データ自動検出のカバレッジデータを確認するには**
機密データ自動検出のカバレッジを確認するには、Amazon Macie コンソールまたは Amazon Macie API を使用します。コンソールでは、1 つのページに、現在のリージョン内の S3 汎用バケットすべてのカバレッジデータが統一ビューで表示されます。これには、各バケットで最近発生した問題のロールアップが含まれます。このページには、問題タイプ別にデータグループを確認するオプションもあります。特定のバケットの問題調査を追跡するために、そのページからデータをカンマ区切り値 (CSV) ファイルにエクスポートできます。
------
#### [ Console ]
Amazon Macie コンソールを使用してカバレッジデータを確認するには、次のステップに従います。
**カバレッジデータを確認する**
1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。
1. ナビゲーションペインで **リソースカバレッジ** を選択します。
1. **リソースカバレッジ** ページで、確認したいカバレッジデータのタイプに対応するタブを選択します。
+ **すべて** – アカウントのすべてのバケットを一覧表示します。各バケットの [**問題**] フィールドには、問題によって Macie がバケット内のオブジェクトを分析できなかったかどうかが示されます。このフィールドの値が **なし** の場合、Macie はバケットのオブジェクトを少なくとも 1 つ分析したか、または Macie がバケットのオブジェクト分析を試みていないことを意味します。問題がある場合、このフィールドに問題の性質と修正方法が表示されます。オブジェクトレベル分類エラーの場合、エラーの発生回数が (括弧内に) 表示されるケースもあります。
+ **アクセス拒否** — Macie がアクセスを許可されていないバケットが一覧表示されます。これらのバケットの権限設定により、Macie はバケットとバケットのオブジェクトにアクセスできなくなります。この結果、Macie はバケット内のオブジェクトを分析できません。
+ **分類エラー** — オブジェクトレベルの分類エラー (オブジェクトレベルの権限設定、オブジェクトコンテンツ、またはクォータに関する問題) が原因で Macie がまだ分析していないバケットが一覧表示されます。各バケットの [**問題**] フィールドには、発生して Macie がバケット内のオブジェクトを分析できなかった各タイプのエラーの性質が表示されます。また、各種エラーの修正方法も示します。エラーによっては、エラーの発生回数が (括弧内に) 表示される場合もあります。
+ **分類不可能** — 分類可能なオブジェクトが保存されていないために Macie が分析できないバケットが一覧表示されます。これらのバケット内のすべてのオブジェクトは、サポートされていない Amazon S3 ストレージクラスを使用しているか、サポートされていないファイルまたはストレージ形式のファイル名拡張子が付いています。この結果、Macie はバケット内のオブジェクトを分析できません。
1. バケットでサポートされているデータをドリルダウンして確認するには、バケットの名前を選択します。次に、バケットに関する統計およびその他の情報については、詳細パネルを参照します。
1. テーブルを CSV ファイルにエクスポートするには、ページ上部の [**CSV にエクスポート**] を選択します。結果の CSV ファイルには、テーブル内の各バケットのメタデータのサブセット (最大 50,000 バケット) が含まれています。このファイルには [**カバレッジ問題**] フィールドが含まれています。このフィールドの値は、問題によって Macie がバケット内のオブジェクトを分析できなかったかどうか、もしできなかった場合は、その問題の性質を示します。
------
#### [ API ]
カバレッジデータをプログラムで確認するには、Amazon Macie API の[DescribeBuckets](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3.html)オペレーションを使用して、送信するクエリでフィルター基準を指定します。このオペレーションは、オブジェクトの配列を返します。各オブジェクトには、フィルター基準を満たす S3 汎用バケットに関する統計データおよびその他の情報が含まれます。
フィルター条件には、確認したいカバレッジデータのタイプに関する条件を含めます。
+ バケットの権限設定により Macie がアクセスできないバケットを特定するには、`errorCode` のフィールドの値が `ACCESS_DENIED` に等しいという条件を含めます。
+ Macie がアクセスを許可されていてまだ分析されていないバケットを特定するには、`sensitivityScore` のフィールドの値が `50` に等しく、`errorCode` のフィールドの値が `ACCESS_DENIED` に等しくないという条件を含めます。
+ すべてのバケットのオブジェクトがサポートされていないストレージクラスまたは形式を使用しているために Macie が分析できないバケットを特定するには、`classifiableSizeInBytes` のフィールドの値が `0` に等しく、`sizeInBytes` のフィールドの値が `0` より大きいという条件を含めます。
+ Macie が 1 つ以上のオブジェクトを分析したバケットを特定するには、`sensitivityScore` フィールドの値が 1~99 の範囲内にあるが、`50` に等しくないという条件を含めます。手動で最大スコアを割り当てたバケットも含めるには、範囲を 1~100 にする必要があります。
+ オブジェクトレベルの分類エラーが原因で Macie がまだ分析していないバケットを特定するには、`sensitivityScore` のフィールドの値が `-1` に等しいという条件を含めます。次に、特定のバケットで発生したエラーのタイプと数の内訳を確認するには、[GetResourceProfile](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles.html) オペレーションを使用します。
AWS Command Line Interface (AWS CLI) を使用している場合は、[describe-buckets](https://docs.aws.amazon.com/cli/latest/reference/macie2/describe-buckets.html) コマンドを実行して、送信するクエリでフィルター条件を指定します。特定の S3 バケットで発生したエラーがあり、タイプと数の内訳を確認するには、[get-resource-profile](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-resource-profile.html)コマンドを実行します。
たとえば、次の AWS CLI コマンドはフィルター条件を使用して、バケットのアクセス許可設定のために Macie がアクセスを許可されていないすべての S3 バケットの詳細を取得します。
この例は Linux、macOS、または Unix 用にフォーマットされています。
```
$ aws macie2 describe-buckets --criteria '{"errorCode":{"eq":["ACCESS_DENIED"]}}'
```
この例は Microsoft Windows 用にフォーマットされています。
```
C:\> aws macie2 describe-buckets --criteria={\"errorCode\":{\"eq\":[\"ACCESS_DENIED\"]}}
```
リクエストが成功すると、Macie は `buckets` 配列を返します 配列には、現在の にあり AWS リージョン 、フィルター条件に一致する各 S3 バケットのオブジェクトが含まれます。
フィルター基準を満たす S3 バケットがない場合、Macie は空の `buckets` の配列を返します。
```
{
"buckets": []
}
```
一般的な条件の例も含め、クエリでフィルター基準を指定する詳細については、[S3 バケットインベントリをフィルタリングする](monitoring-s3-inventory-filter.md) を参照してください。
------
カバレッジの問題に対処するのに役立つ詳細については、「[機密データ自動検出のカバレッジ問題を修正する](discovery-coverage-remediate.md)」を参照してください。
# 機密データ自動検出のカバレッジ問題を修正する
機密データ自動検出が毎日進行するのに従い、Amazon Macie は、Amazon Simple Storage Service (Amazon S3) データエステートカバレッジ評価とモニタリングに役立つ統計と詳細を提供します。[カバレッジデータを確認すると](discovery-coverage-review.md)、データエステート全体およびエステート内の個々の S3 バケットについて、機密データ自動検出のステータスを確認できます。Macie が特定バケット内のオブジェクトを分析できなかった問題を特定することもできます。問題を修正すれば、その後の分析サイクルで Amazon S3 データのカバレッジを拡大できます。
Macie は、機密データ自動検出による Amazon S3 データのカバレッジを低下させる問題のタイプをいくつか報告します。これには、Macie が S3 バケット内のオブジェクトを分析するのを妨げるバケットレベルの問題が含まれます。また、オブジェクトレベルの問題も含まれます。分類エラーと呼ばれるこれらの問題により、Macie はバケット内の特定のオブジェクトを分析できませんでした。以下の情報は、これらの問題を調査して修正するのに役立ちます。
**Topics**
+ [アクセスが拒否されました](#discovery-issues-access-denied)
+ [分類エラー:コンテンツが無効です](#discovery-issues-invalid-content)
+ [分類エラー:暗号化が無効です](#discovery-issues-classification-error-invalid-encryption)
+ [分類エラー: KMS キーが無効です](#discovery-issues-classification-error-invalid-key)
+ [分類エラー:権限が拒否されました](#discovery-issues-classification-error-permission-denied)
+ [分類不可](#discovery-issues-unclassifiable)
**ヒント**
S3 バケットのオブジェクトレベル分類エラーを調査するには、まずバケットのオブジェクトサンプルリストを確認します。このリストには、Macie がバケット内で分析、または分析を試みたオブジェクト (最大 100 個) が表示されます。
Amazon Macie コンソールでリストを確認するには、**[S3 バケット]** ページでバケットを選択し、バケット詳細パネルの **[オブジェクトのサンプル]** タブを選択します。リストをプログラムで確認するには、Amazon Macie API の [ListResourceProfileArtifacts](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles-artifacts.html) オペレーションを使用します。オブジェクトの分析ステータスが **スキップ済み**`SKIPPED`の場合、そのオブジェクトがエラーの原因となっている可能性があります。
## アクセスが拒否されました
この問題は、S3 バケットのアクセス許可設定により、Macie がバケットとバケットのオブジェクトにアクセスできなかったことを示します。Macie はバケット内のオブジェクトを取得、分析することはできません。
**詳細**
このタイプの問題の最も一般的な原因は、制限の厳しいバケットポリシーです。*バケットポリシー*は、プリンシパル (ユーザー、アカウント、サービス、またはその他のエンティティ) が S3 バケットに対して実行できるアクションと、プリンシパルがそれらのアクションを実行できる条件を指定するリソースベースの AWS Identity and Access Management (IAM) ポリシーです。制限付きバケットポリシーでは、特定の条件に基づいてバケットデータへのアクセスを許可または制限する明示的な `Allow` または `Deny` のステートメントを使用します。例えば、バケットポリシーには、特定のソース IP アドレスがバケットにアクセスするために使用されていない限り、バケットへのアクセスを拒否する `Allow` または `Deny` のステートメントが含まれる場合があります。
S3 バケットのバケットポリシーに 1 つ以上の条件を持つ明示的な `Deny` のステートメントがある場合、Macie は機密データ検出のためバケットオブジェクトを取得、分析することを許可されない場合があります。Macie は、バケット名や作成日など、バケットに関する情報のサブセットのみを提供できます。
**修正ガイダンス**
この問題を修正するには、S3 バケットのバケットポリシーを更新します。Macie がバケットとバケットのオブジェクトにアクセスすることをポリシーで許可されているか確認してください。このアクセスを許可するには、Macie サービスリンクロール`AWSServiceRoleForAmazonMacie`の条件をポリシーに追加します。その条件により、Macie サービスリンクロールがポリシーの `Deny` 制限と一致することを除外できます。これは、`aws:PrincipalArn` グローバル条件コンテキストキー および ユーザーアカウントの Macie サービスリンクロールの Amazon リソースネーム (ARN) を使用して行うことができます。
バケットポリシーを更新し、Macie が S3 バケットにアクセスできるようになると、Macie は変更を検出します。この場合、Macie は Amazon S3 データに関して提供する統計、インベントリデータ、およびその他の情報を更新します。さらに、その後の分析サイクルでは、バケットのオブジェクトがより優先的に分析されます。
追加の参考資料
Macie がバケットにアクセスできるように S3 バケットポリシーを更新する詳細については、[Macie が S3 バケットおよびオブジェクトにアクセスすることを許可する](monitoring-restrictive-s3-buckets.md) を参照してください。バケットポリシーを使用してバケットへのアクセスを制御する方法の詳細については、「*Amazon Simple Storage Service ユーザーガイド*」の「[バケットポリシー](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html)」および「[Amazon S3 がリクエストを許可する仕組み](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-s3-evaluates-access-control.html)」を参照してください。
## 分類エラー:コンテンツが無効です
このタイプの分類エラーは、Macie が S3 バケット内のオブジェクトを分析しようとして、そのオブジェクトの形式に誤りがあるか、オブジェクトに機密データ検出クォータを超えるコンテンツが含まれている場合に発生します。Macie はオブジェクトを分析できません。
**詳細**
このエラーは通常、S3 オブジェクトが誤った形式であるか、破損したファイルであることが原因で発生します。そのため、Macie はファイル内のすべてのデータを解析して分析することができません。
このエラーは、S3 オブジェクトの分析が個々のファイルの機密データ検出クォータを超える場合にも発生する可能性があります。例えば、オブジェクトのストレージサイズが、そのタイプのファイルのサイズクォータを超えている場合などです。
いずれの場合も、Macie は S3 オブジェクトの分析を完了できず、オブジェクトの分析ステータスは **スキップ済み**`SKIPPED`になります。
**修正ガイダンス**
このエラーを調べるには、S3 オブジェクトをダウンロードし、ファイルの形式とコンテンツを確認します。また、ファイルのコンテンツを Macie の機密データ検出のクォータと比較して評価してください。
このエラーを修正しないと、Macie は S3 バケット内の他のオブジェクトの分析を試みようとします。Macie が別のオブジェクトを正常に分析すると、Macie はカバレッジデータやバケットに関して提供されるその他の情報を更新します。
追加の参考資料
特定のタイプのファイルに対するクォータを含む機密データ検出クォータのリストについては、[Macie のクォータ](macie-quotas.md) を参照してください。Macie が S3 バケットに関して提供される機密スコアやその他の情報を更新する方法については、[機密データの自動検出の仕組み](discovery-asdd-how-it-works.md) を参照してください。
## 分類エラー:暗号化が無効です
このタイプの分類エラーは、Macie が S3 バケット内のオブジェクトを分析しようとして、そのオブジェクトはお客様が用意したキーで暗号化されている場合に発生します。オブジェクトが SSE-C 暗号を使用しているため、Macie はそのオブジェクトを取得、分析することができません。
**詳細**
Amazon S3 は S3 オブジェクトの複数の暗号化オプションをサポートしています。これらのオプションのほとんどで、Macie は、ユーザーアカウントの Macie サービスリンクロールを使用してオブジェクトを復号化できます。ただし、これは使用された暗号化のタイプによって異なります。
Macie が S3 オブジェクトを復号化するには、Macie がアクセスして使用を許可されているキーを用いてオブジェクトが暗号化されている必要があります。お客様が用意したキーによりオブジェクトが暗号化されている場合、Macie は Amazon S3 からオブジェクトを取得するのに必要なキーマテリアルを提供できません。その結果、Macie はオブジェクトを分析できず、オブジェクトの分析ステータスは**スキップ済み**`SKIPPED`になります。
**修正ガイダンス**
このエラーを修正するには、Amazon S3 マネージドキーまたは AWS Key Management Service (AWS KMS) キーを使用して Amazon S3 オブジェクトを暗号化します。 AWS KMS キーを使用する場合は、キーを AWS マネージド KMS キー、または Macie が使用できるカスタマーマネージド KMS キーにすることができます。
Macie がアクセスして使用できるキーで既存の S3 オブジェクトを暗号化するには、オブジェクトの暗号化設定を変更します。Macie がアクセスして使用できるキーを使用して新しいオブジェクトを暗号化するには、S3 バケットのデフォルトの暗号化設定を変更します。また、バケットのポリシーで、新しいオブジェクトはお客様が用意したキーで暗号化するよう要求されていないことも確認してください。
このエラーを修正しないと、Macie は S3 バケット内の他のオブジェクトの分析を試みようとします。Macie が別のオブジェクトを正常に分析すると、Macie はカバレッジデータやバケットに関して提供されるその他の情報を更新します。
追加の参考資料
Macie を使用して暗号化された S3 オブジェクトを分析するための要件とオプションについては、を参照してください[暗号化された Amazon S3 オブジェクトを分析する](discovery-supported-encryption-types.md)。デフォルトの暗号化設定の詳細については、Amazon Simple Storage Service ユーザーガイドの[暗号化を使用したデータの保護](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingEncryption.html)および[S3 バケット向けのサーバー側のデフォルトの暗号化動作の設定](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html)を参照してください。
## 分類エラー: KMS キーが無効です
このタイプの分類エラーは、Macie が S3 バケット内のオブジェクトを分析しようとしたときに、そのオブジェクトが使用できなくなった AWS Key Management Service (AWS KMS) キーで暗号化されている場合に発生します。Macie はオブジェクトを取得、分析することができません。
**詳細**
AWS KMS には、カスタマー管理の無効化と削除のオプションが用意されています AWS KMS keys。S3 オブジェクトが無効、削除予定、または削除済みの KMS キーで暗号化されている場合、Macie はそのオブジェクトを取得および復号化できません。その結果、Macie はオブジェクトを分析できず、オブジェクトの分析ステータスは**スキップ済み**`SKIPPED`になります。Macie が暗号化されたオブジェクトを分析するには、Macie がアクセスして使用を許可されているキーを用いてオブジェクトが暗号化されている必要があります。
**修正ガイダンス**
このエラーを修正するには、キーの現在のステータスに応じて、該当する を再度有効に AWS KMS key するか、キーのスケジュールされた削除をキャンセルします。該当するキーが既に削除されている場合、このエラーは修正できません。
どの AWS KMS key が S3 オブジェクトの暗号化に使用されたかを判断するには、まず Macie を使用して S3 バケットのサーバー側の暗号化設定を確認します。バケットのデフォルトの暗号化設定で KMS キーを使用するように設定されている場合は、バケット詳細に使用されているキーが表示されます。さらに、そのキーのステータスを確認できます。または、Amazon S3 を使用して、バケットとバケット内の個々のオブジェクトの暗号化設定を確認することもできます。
このエラーを修正しないと、Macie は S3 バケット内の他のオブジェクトの分析を試みようとします。Macie が別のオブジェクトを正常に分析すると、Macie はカバレッジデータやバケットに関して提供されるその他の情報を更新します。
**追加の参考資料**
Macie を使用して S3 バケットのサーバー側の暗号化設定を確認する詳細については、[S3 バケットの詳細を確認する](monitoring-s3-inventory-review.md#monitoring-s3-inventory-view-details) を参照してください。 AWS KMS key を再有効化するか、キーの予定削除を取り消す方法の詳細については、**AWS Key Management Service デベロッパーガイドの「[キーの有効化と無効化](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html)」および「[キーの削除](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html)」を参照してください。
## 分類エラー:権限が拒否されました
このタイプの分類エラーは、Macie が S3 バケット内のオブジェクトを分析しようとして、オブジェクトの権限設定またはオブジェクトの暗号化に使用されたキーの権限設定が原因でオブジェクトを取得または復号化できない場合に発生します。Macie はオブジェクトを取得、分析することができません。
**詳細**
このエラーは通常、S3 オブジェクトが Macie が使用を許可されていないカスタマーマネージド AWS Key Management Service AWS KMSキーで暗号化されていることが原因で発生します。オブジェクトがカスタマーマネージドで暗号化されている場合 AWS KMS key、キーのポリシーは Macie がキーを使用してデータを復号することを許可する必要があります。
このエラーは、Amazon S3 のアクセス許可設定によって Macie が S3 オブジェクトを取得できない場合にも発生する可能性があります。S3 バケットポリシーでは、特定のバケットオブジェクトへのアクセスを制限したり、特定のプリンシパル (ユーザー、アカウント、サービス、またはその他のエンティティ) にのみオブジェクトへのアクセスを許可したりする場合があります。または、オブジェクトのアクセスコントロールリスト (ACL) により、オブジェクトへのアクセスが制限される場合があります。その結果、Macie はオブジェクトにアクセスできない場合があります。
上記のいずれの場合も、Macie はオブジェクトを取得、分析できず、オブジェクトの分析ステータスは **スキップ済み**`SKIPPED`になります。
**修正ガイダンス**
このエラーを修正するには、S3 オブジェクトがカスタマーマネージド AWS KMS keyで暗号化されているかどうかを確認します。お客様が用意したもので暗号化されている場合は、キーポリシーで Macie サービスリンクロール`AWSServiceRoleForAmazonMacie`がそのキーを使用してデータを復号化することを許可していることを確認します。このアクセスを許可する方法は、 を所有するアカウントがオブジェクトを保存する S3 バケット AWS KMS key も所有しているかどうかによって異なります。同じアカウントが KMS キーとバケットを所有している場合、アカウントのユーザーはキーのポリシーを更新する必要があります。1 つのアカウントが KMS キーを所有し、別のアカウントがバケットを所有している場合、そのキーを所有するアカウントのユーザーはキーへのクロスアカウントアクセスを許可する必要があります。
AWS KMS keys Macie がアカウントの S3 バケット内のオブジェクトを分析するためにアクセスする必要があるすべてのカスタマーマネージドのリストを自動的に生成できます。これを行うには、GitHub AWS KMS の [Amazon Macie Scripts リポジトリから入手できる Permission Analyzer ](https://github.com/aws-samples/amazon-macie-scripts)スクリプトを実行します。スクリプトは、 AWS Command Line Interface (AWS CLI) コマンドの追加スクリプトを生成することもできます。必要に応じてこれらのコマンドを実行し、指定した KMS キーに必要な設定設定とポリシーを更新できます。
Macie が既に該当する の使用を許可されている場合、 AWS KMS key または S3 オブジェクトがカスタマーマネージド KMS キーで暗号化されていない場合は、バケットのポリシーで Macie がオブジェクトにアクセスすることを許可していることを確認してください。また、オブジェクトの ACL が Macie にオブジェクトのデータおよびメタデータの読み取りを許可していることも確認してください。
バケットポリシーでは、Macie のサービスリンクロールの条件をポリシーに追加することで、このアクセスを許可できます。その条件により、Macie サービスリンクロールがポリシーの `Deny` 制限と一致することを除外できます。これは、`aws:PrincipalArn` グローバル条件コンテキストキー および ユーザーアカウントの Macie サービスリンクロールの Amazon リソースネーム (ARN) を使用して行うことができます。
オブジェクト ACL の場合、オブジェクト所有者と協力して、オブジェクトに対するアクセス`READ`許可を持つ被 AWS アカウント 付与者として を追加することで、このアクセスを許可できます。その後、Macie はアカウントのサービスリンクロールを使用してオブジェクトを取得、分析できます。また、バケットのオブジェクト所有権設定を変更することも検討してください。これらの設定により、バケット内のすべてのオブジェクトの ACL を無効にし、バケットを所有するアカウントに所有権の許可を与えることができます。
このエラーを修正しないと、Macie は S3 バケット内の他のオブジェクトの分析を試みようとします。Macie が別のオブジェクトを正常に分析すると、Macie はカバレッジデータやバケットに関して提供されるその他の情報を更新します。
**追加の参考資料**
Macie がカスタマーマネージド AWS KMS keyを使ってデータ復号化をできるようにする詳細については、[Macie にカスタマーマネージドの使用を許可する AWS KMS key](discovery-supported-encryption-types.md#discovery-supported-encryption-cmk-configuration) を参照してください。Macie がバケットにアクセスできるよう S3 バケットポリシーを更新する詳細については、[Macie が S3 バケットおよびオブジェクトにアクセスすることを許可する](monitoring-restrictive-s3-buckets.md) を参照してください。
キーポリシー更新の詳細については、AWS Key Management Service デベロッパーガイドの[キーポリシーの変更](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html)を参照してください。カスタマーマネージドを使用して S3 オブジェクト AWS KMS keys を暗号化する方法については、*Amazon Simple Storage Service ユーザーガイド*の[AWS KMS 「キーによるサーバー側の暗号化](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)の使用」を参照してください。
バケットポリシーを使用して S3 バケットへのアクセスを制御する方法については、*「Amazon Simple Storage Service ユーザーガイド*」の[「アクセスコントロール](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html)」および[Amazon S3がリクエストを承認する方法](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-s3-evaluates-access-control.html)」を参照してください。ACL またはオブジェクト所有権設定を使用して S3 オブジェクトへのアクセスを制御する方法については、Amazon Simple Storage Service ユーザーガイドの[ACL によるアクセス管理](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acls.html)および[オブジェクトの所有権の制御とバケットの ACL の無効化](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html)を参照してください。
## 分類不可
この問題は、S3 バケット内のすべてのオブジェクトが、サポートされていない Amazon S3 ストレージクラスまたはサポートされていないファイルまたはストレージ形式を使用して保存されていることを示しています。Macie はバケット内のどのオブジェクトも分析できません。
**詳細**
選択と分析の対象となるには、S3 オブジェクトが Macie がサポートする Amazon S3 ストレージクラスを使用する必要があります。オブジェクトには、Macie がサポートするファイルまたはストレージ形式のファイル名拡張子もまた必要です。オブジェクトがこれらの基準を満たさない場合、そのオブジェクトは分類不可能なオブジェクトとして扱われます。Macie は分類不可のオブジェクト内データに対して取得、分析の試みをしません。
S3 バケット内のオブジェクトがすべて分類不可の場合、そのバケット全体が分類できないバケットになります。Macie はバケットの機密データ自動検出を実行できません。
**修正ガイダンス**
この問題に対処するには、S3 バケットにオブジェクトを保存するためにどのストレージクラスを使用するかを決定するライフサイクル設定ルールやその他の設定を確認してください。Macie がサポートするストレージクラスを使用するようにこれらの設定を調整することを検討してください。バケット内の既存のオブジェクトのストレージクラスを変更することもできます。
S3 バケット内の既存のオブジェクトのファイルフォーマットとストレージフォーマットも評価します。オブジェクトを分析するため、サポートされている形式を使用する新しいオブジェクトに、一時的または永続的にデータを移植することを検討してください。
S3 バケットに追加されたオブジェクトが、サポートされているストレージクラスとフォーマットを使用している場合、Macie は次回バケットインベントリ評価時にオブジェクトを検出します。その場合、Macie は Amazon S3 データに関して提供する統計、カバレッジデータ、その他の情報において、バケットが分類不可という報告を停止します。さらに、次の分析サイクルで、新しいオブジェクトは分析優先度が高くなります。
**追加の参考資料**
Macie がサポートする Amazon S3 ストレージクラス、ファイル、ストレージ形式については、[サポートされているストレージクラスとフォーマット](discovery-supported-storage.md) を参照してください。Amazon S3 が提供するライフサイクル設定ルールとストレージクラスオプションについては、Amazon Simple Storage Service ユーザーガイドの[ストレージライフサイクルの管理](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html)と[Amazon S3 ストレージクラスの使用](https://docs.aws.amazon.com/AmazonS3/latest/userguide/storage-class-intro.html)を参照してください。
# S3 バケットの機密スコアを調整する
自動機密データ検出の統計、データ、その他の結果を確認して評価する際、Amazon Simple Storage Service (Amazon S3) バケットの機密性評価を微調整する必要がある場合があります。また、お客様または組織が特定のバケットに対して実行した調査の結果をキャプチャする必要がある場合もあるかもしれません。お客様が組織の Amazon Macie 管理者であるか、スタンドアロンの Macie アカウントをお持ちの場合は、個々のバケットの機密スコアやその他の設定を調整することで、これらの変更を行うことができます。お客様が組織のメンバーアカウントをお持ちの場合は、Macie 管理者と協力して、所有するバケットの設定を調整できます。このようなバケットの設定を調整できるのは、組織の Macie 管理者だけです。
Macie 管理者またはスタンドアロン Macie アカウントをお持ちの場合は、次の方法で S3 バケットの機密スコアを調整できます。
+ **機密スコアを割り当てる** – デフォルトでは、Macie はバケットの機密スコアを自動的に計算します。スコアは主に Macie がバケット内で検出した機密データ量、およびバケット内で分析したデータ量に基づいています。詳細については、[S3 バケットの機密スコア](discovery-scoring-s3.md)を参照してください。
バケットの計算スコアを上書きし、手動で最大スコア(100)を割り当てることができます。これにより、バケットに機密ラベルも適用されます。これを行うと、スコアが 100 のバケットはさらなるスキャンから除外されるため、Macie はバケットの機密データ自動検出の実行を停止します。スコアを自動的に計算してスキャンを再開するには、設定を再度変更します。
+ **機密データタイプを除外または機密スコアに含める** – 自動的に計算された場合、バケットの機密スコアは、Macie がバケット内で検出した機密データの量に一部基づいています。これは主に、Macie が検出した機密データタイプの性質と数、および各タイプの出現数から導き出されます。デフォルトでは、Macie は、バケットの機密スコアを計算する際、あらゆるタイプの機密データの出現回数を含めます。
特定のタイプの機密データをバケットのスコアから除外したり含めたりすることで、計算を調整できます。例えば、Macie がバケット内の郵送先住所を検出し、それが問題ないと判断した場合、そのバケットのスコアからすべての郵送先住所を除外できます。ある機密データタイプを除外した場合、Macie は引き続きバケットにそのタイプのデータがないか調べ、検出したデータの出現を報告します。ただし、このような出現はバケットのスコアには影響しません。スコアに機密データタイプを再度含めるには、設定を再度変更します。
また、後続の分析から S3 バケットを除外することもできます。バケットを除外した場合、バケットの既存の機密データ検出の統計と詳細は保持されます。例えば、バケットの現在の機密スコアは変更されません。ただし、Macie は、機密データ自動検出を実行する際、バケット内のオブジェクトの分析を停止します。バケットを除外する場合、そのバケットは後で再び含めることができます。
S3 バケットの機密スコアに影響する設定を変更すると、Macie はすぐにスコアの再計算を開始します。Macie は、バケットと Amazon S3 データ全体に関して提供する関連性の高い統計やその他の情報も更新します。たとえば、バケットに最大スコアを割り当てると、Macie は集計統計で*機密*バケットの数を増やします。
**S3 バケットの機密スコアやその他の設定を調整するには**
S3 バケットの機密性スコアやその他の設定を調整するには、Amazon Macie コンソールまたは Amazon Macie API を使用します。
------
#### [ Console ]
Amazon Macie コンソールを使用して S3 バケットの機密スコアまたは設定を調整するには、次の手順に従います。
1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。
1. ナビゲーションペインで、**S3 バケット**を選択します。**S3 バケット**ページにはバケットインベントリが表示されます。
デフォルトでは、分析から現在除外されているバケットのデータはこのページに表示されません。お客様が組織の Macie 管理者である場合、機密データの自動検出が現在無効になっているアカウントのデータも表示されません。このデータを表示するには、フィルターボックスの下にある **[自動検出によってモニタリング]** フィルタートークンで **X** を選択します。
1. 設定を調整する S3 バケットを選択します。バケットは、テーブルビュー (![\[The table view button, which is a button that displays three black horizontal lines.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/btn-s3-table-view.png)) またはインタラクティブマップ (![\[The map view button, which is a button that displays four black squares.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/btn-s3-map-view.png)) を使用して選択できます。
1. 詳細パネルで、次のいずれかの操作を実行します。
+ 計算された機密スコアを上書きしてスコアを手動で割り当てるには、**[最大スコアの割り当て]** (![\[A toggle switch with a gray background and the toggle positioned to the left.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/tgl-gray-off.png)) をオンにします。これによりバケットのスコアが 100 に変更され、機密ラベルがバケットに適用されます。
+ Macie が自動的に計算する機密スコアを割り当てるには、**[最大スコアの割り当て]** (![\[A toggle switch with a blue background and the toggle positioned to the right.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/tgl-blue-on.png)) をオフにします。
+ 機密スコアで特定の種類の機密データを除外または含めるには、**[機密性]** タブを選択します。**Detections** テーブルで、除外または含める機密データタイプのチェックボックスをオンにします。次に、[**アクション**] メニューで [**スコアから除外**] を選択してタイプを除外するか、[**スコアに含める**] を選択してタイプを含めます。
表の **[機密データタイプ]** フィールドでは、データが検出されたマネージドデータ識別子またはカスタムデータ識別子を指定します。マネージドデータ識別子の場合、これは、識別子が検出するように設計された機密データのタイプを表す一意の識別子 (ID) です。例えば、米国のパスポート番号の場合、**USA\$1PASSPORT\$1NUMBER** です。各マネージドデータ識別子の詳細については、[マネージドデータ識別子の使用](managed-data-identifiers.md)を参照してください。
+ バケットを以降の分析から除外するには、[**自動検出から除外**![\[A toggle switch with a gray background and the toggle positioned to the left.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/tgl-gray-off.png)]をオンにします。
+ バケットを分析から除外していた場合、後続の分析にバケットを含めるには、**[自動検出から除外]** (![\[A toggle switch with a blue background and the toggle positioned to the right.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/tgl-blue-on.png)) をオフにします。
------
#### [ API ]
S3 バケットの機密スコアまたは設定をプログラムで調整するには、いくつかのオプションがあります。適切なオプションは、調整する内容によって異なります。
**機密スコアを割り当てる**
S3 バケットに機密スコアを割り当てるには、[UpdateResourceProfile](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles.html) オペレーションを使用します。リクエストで、 `resourceArn`パラメータを使用してバケットの Amazon リソースネーム (ARN) を指定します。`sensitivityScoreOverride` パラメータで、次のいずれかを実行します。
+ 計算されたスコアを上書きし、最大スコアを手動で割り当てるには、 を指定します`100`。
+ Macie が自動的に計算するスコアを割り当てるには、 パラメータを省略します。このパラメータが null の場合、Macie はスコアを計算して割り当てます。
AWS Command Line Interface (AWS CLI) を使用している場合は、[update-resource-profile](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-resource-profile.html) コマンドを実行して、S3 バケットに機密スコアを割り当てます。リクエストで、 `resource-arn`パラメータを使用してバケットの ARN を指定します。を省略するか、 `sensitivity-score-override`パラメータを使用して、割り当てるスコアを指定します。
リクエストが成功すると、Macie は指定されたスコアを割り当て、空のレスポンスを返します。
**機密データタイプを機密スコアから除外または含める**
S3 バケットの機密スコアに機密データタイプを除外または含めるには、[UpdateResourceProfileDetections](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles-detections.html) オペレーションを使用します。このオペレーションを使用すると、バケットのスコアの現在の包含設定と除外設定が上書きされます。したがって、まず現在の設定を取得し、どの設定を保持するかを決定することをお勧めします。現在の設定を取得するには、[ListResourceProfileDetections](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles-detections.html) オペレーションを使用します。
設定を更新する準備ができたら、 `resourceArn`パラメータを使用して S3 バケットの ARN を指定します。`suppressDataIdentifiers` パラメータで、次のいずれかを実行します。
+ バケットのスコアから機密データタイプを除外するには、 `type`パラメータを使用して、データを検出したデータ識別子のタイプ、マネージドデータ識別子 (`MANAGED`)、またはカスタムデータ識別子 () を指定します`CUSTOM`。`id` パラメータを使用して、データを検出したマネージドデータ識別子またはカスタムデータ識別子の一意の識別子を指定します。
+ バケットのスコアに機密データタイプを含めるには、データを検出したマネージドデータ識別子またはカスタムデータ識別子の詳細を指定しないでください。
+ バケットのスコアにすべての機密データタイプを含めるには、値を指定しないでください。`suppressDataIdentifiers` パラメータの値が null (空) の場合、Macie はスコアを計算するときにすべてのタイプの検出を含めます。
を使用している場合は AWS CLI、[update-resource-profile-detections](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-resource-profile-detections.html) コマンドを実行して、S3 バケットの機密スコアに機密データタイプを除外または含めます。`resource-arn` パラメータを使用して、バケットの ARN を指定します。`suppress-data-identifiers` パラメータを使用して、バケットのスコアから除外または含める機密データタイプを指定します。バケットの現在の設定を最初に取得して確認するには、[list-resource-profile-detections](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-resource-profile-detections.html) コマンドを実行します。
リクエストが成功すると、Macie は設定を更新し、空のレスポンスを返します。
**分析に S3 バケットを除外または含める**
分析で S3 バケットを除外または後で含めるには、[UpdateClassificationScope](https://docs.aws.amazon.com/macie/latest/APIReference/classification-scopes-id.html) オペレーションを使用します。または、 を使用している場合は AWS CLI、[update-classification-scope](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-classification-scope.html) コマンドを実行します。詳細と例については、「」を参照してください[機密データ自動検出での S3 バケットの除外または包含](discovery-asdd-account-configure.md#discovery-asdd-account-configure-s3buckets)。
次の例は、 を使用して AWS CLI S3 バケットの個々の設定を調整する方法を示しています。この最初の例では、最大感度スコア (`100`) をバケットに手動で割り当てます。バケットの計算スコアを上書きします。
```
$ aws macie2 update-resource-profile --resource-arn arn:aws:s3:::amzn-s3-demo-bucket --sensitivity-score-override 100
```
*arn:aws:s3::amzn-s3-demo-bucket* は S3 バケットの ARN です。
次の例では、S3 バケットの機密スコアを Macie が自動的に計算するスコアに変更します。現在、バケットには、計算されたスコアを上書きする手動で割り当てられたスコアがあります。この例では、リクエストから `sensitivity-score-override`パラメータを省略して、その上書きを削除します。
```
$ aws macie2 update-resource-profile --resource-arn arn:aws:s3:::amzn-s3-demo-bucket2
```
ここで*、arn:aws:s3::amzn-s3-demo-bucket2* は S3 バケットの ARN です。
次の例では、特定のタイプの機密データを S3 バケットの機密スコアから除外します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。
```
$ aws macie2 update-resource-profile-detections \
--resource-arn arn:aws:s3:::amzn-s3-demo-bucket3 \
--suppress-data-identifiers '[{"type":"MANAGED","id":"ADDRESS"},{"type":"CUSTOM","id":"3293a69d-4a1e-4a07-8715-208ddexample"}]'
```
この例は Microsoft Windows 用にフォーマットされており、読みやすさを向上させるためにキャレット (^) の行継続文字を使用しています。
```
C:\> aws macie2 update-resource-profile-detections ^
--resource-arn arn:aws:s3:::amzn-s3-demo-bucket3 ^
--suppress-data-identifiers=[{\"type\":\"MANAGED\",\"id\":\"ADDRESS\"},{\"type\":\"CUSTOM\",\"id\":\"3293a69d-4a1e-4a07-8715-208ddexample\"}]
```
コードの説明は以下のとおりです。
+ *arn:aws:s3:::amzn-s3-demo-bucket3* は S3 バケットの ARN です。
+ *ADDRESS* は、除外する機密データのタイプ (メールアドレス) を検出したマネージドデータ識別子の一意の識別子です。
+ *3293a69d-4a1e-4a07-8715-208ddexample* は、除外する機密データのタイプを検出したカスタムデータ識別子の一意の識別子です。
この次の例のセットには、後で S3 バケットの機密スコアにすべてのタイプの機密データが含まれます。`suppress-data-identifiers` パラメータに空の (null) 値を指定することで、バケットの現在の除外設定を上書きします。Linux、macOS、Unix の場合:
```
$ aws macie2 update-resource-profile-detections --resource-arn arn:aws:s3:::amzn-s3-demo-bucket3 --suppress-data-identifiers '[]'
```
Microsoft Windows の場合:
```
C:\> aws macie2 update-resource-profile-detections --resource-arn arn:aws:s3:::amzn-s3-demo-bucket3 --suppress-data-identifiers=[]
```
ここで*、arn:aws:s3::amzn-s3-demo-bucket3* は S3 バケットの ARN です。
------
# S3 バケットの機密スコア
機密データの自動検出が有効になっている場合、Amazon Macie は、アカウントまたは組織のモニタリングと分析を行う各 Amazon Simple Storage Service (Amazon S3) 汎用バケットに自動的に機密スコアを計算して割り当てます。機密スコアは、S3 バケットに含まれる可能性のある機密データの量を定量的に表したものです。そのスコアに基づいて、Macie は各バケットに機密ラベルも割り当てます。機密ラベルは、バケットの機密スコアを定性的に表したものです。これらの値は、Amazon S3 データ資産内の機密データがどこにあるかを判断し、そのデータの潜在的なセキュリティリスクを特定して監視するための参照ポイントとして役立ちます。
デフォルトでは、S3 バケットの機密スコアとラベルには、Macie がそれまでにバケットに対して実行した機密データ自動検出活動の結果が反映されています。作成して実行する機密データ検出ジョブの結果は反映されません。さらに、スコアもラベルも、バケットやバケットのオブジェクトがお客様または組織にもたらす緊急性や重要度を暗示したり、提示したりするものではありません。ただし、最大スコア(*100*) をバケットに手動で割り当てることで、バケットの計算スコアを上書きできます。これにより、**機密ラベルがバケットに割り当てられます。計算スコアを上書きするには、バケットを所有するアカウントの Macie 管理者であるか、スタンドアロンの Macie アカウントを持っている必要があります。
**Topics**
+ [機密スコアリングの寸法と範囲](#discovery-scoring-s3-dimensions)
+ [機密スコアの監視](#discovery-scoring-s3-monitoring)
## 機密スコアリングの寸法と範囲
Amazon Macie の計算上、S3 バケットの機密スコアは 2 つの主要な寸法の交差点を定量的に測定したものです。
+ Macie がバケット内で検出した機密データ量 これは主に、Macie がバケット内で検出した機密データタイプの性質と数、および各タイプの出現数から導き出されます。
+ Macie がバケット内で分析したデータ量 これは主に、Macie がバケット内で分析したユニークオブジェクトの数と、バケット内の固有オブジェクトの総数との比較から算出されます。
S3 バケットの機密スコアによって、Macie がバケットに割り当てる機密ラベルも決まります。機密ラベルは、スコアを機密または非機密など定性的に表したものです。Amazon Macie コンソールでは、バケットの機密スコアによって、次の図に示すように Macie ユーザーがデータ視覚化でバケットを表すために使う色も決まります。
![\[機密スコアの色スペクトル: 1~49 の場合は青色、51~100 の場合は赤色、-1 の場合は灰色。\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/sensitivity-scoring-spectrum.png)
機密スコアの範囲は-1から100す(次の表を参照)。S3 バケットのスコアへの入力を評価するには、Macie がバケットに関して提供する機密データ検出統計やその他詳細情報を参照します。
| 機密スコア | 機密ラベル | 追加情報 |
| --- | --- | --- |
| -1 | 分類エラー | Macie は、オブジェクトレベルの分類エラーのため (オブジェクトレベルの権限設定、オブジェクトコンテンツ、クォータに関する問題)、まだバケットのオブジェクトを正常に分析していません。 Macie がバケット内の 1 つ以上のオブジェクトを分析しようとしたときに、エラーが発生しました。例えば、オブジェクトが不正な形式のファイルであったり、Macie がアクセスできない、あるいは使用を許可されていないキーでオブジェクトが暗号化されている場合などです。バケットのカバレッジデータは、エラーの調査と修正に役立ちます。詳細については、[機密データ自動検出カバレッジの評価](discovery-coverage.md)を参照してください。 Macie はバケット内のオブジェクトの分析を引き続き試みます。Macie がオブジェクトを正常に分析すると、Macie はバケットの機密スコアとラベルを更新して、分析結果を反映します。 |
| 1 〜 49 | 非機密 | この範囲で *49*のような高いスコアは、Macie がバケット内で分析したオブジェクトが比較的少ないことを示します。*1*のような低いスコアは、Macie がバケット内の多数のオブジェクト (バケット内のオブジェクト総数に対して) を分析し、それらのオブジェクトに含まれる機密データのタイプと出現が比較的少ないことを示します。 スコアが *1* の場合、バケットにオブジェクトが格納されていない、またはバケット内すべてのオブジェクトのデータがゼロ (0) バイトの可能性もあります。バケットの詳細にあるオブジェクトの統計は、それに該当するか判断するのに役立ちます。詳細については、[S3 バケットの詳細の確認](discovery-asdd-results-s3-inventory-details.md)を参照してください。 |
| 50 | 分析が未完了 | Macie はまだバケットのオブジェクトを分析していない、または分析を試みていません。 Macie は、自動検出が最初に有効にされたとき、またはバケットがアカウントのバケットインベントリに追加されたときに、このスコアを自動的に割り当てます。組織では、バケットを所有するアカウントに対して自動検出が有効になっていない場合、バケットにこのスコアを割り当てることもできます。 スコアが*50*の場合、バケットのアクセス許可設定により、Macie がバケットまたはバケットのオブジェクトにアクセスできなくなっている可能性もあります。これは通常、制限の厳しいバケットポリシーが原因です。Macie はバケットに関するサブセットのみの情報を提供できるので、バケットの詳細がそれに該当するか判断するのに役立ちます。この問題の対処方法については、[Macie が S3 バケットおよびオブジェクトにアクセスすることを許可する](monitoring-restrictive-s3-buckets.md)を参照してください。 |
| 51 〜 99 | 機密 | この範囲で、*99*のような高いスコアは、Macie がバケット内の多数のオブジェクト (バケット内のオブジェクトの総数に対して) を分析し、それらのオブジェクトに含まれる機密データの多くのタイプと出現を検出したことを示します。*51*のような低めのスコアは、Macie がバケット内で中程度の数のオブジェクト (バケット内のオブジェクトの総数と比較して) を分析し、それらのオブジェクト内の機密データのタイプと出現を少なくとも数種類検出したことを示します。 |
| 100 | 機密 | スコアは手動でバケットに割り当てられ、計算されたスコアは上書きされました。Macie はこのスコアをバケットに割り当てません。 |
## 機密スコアの監視
アカウントに対して機密データ自動検出を最初に有効化する際、Amazon Macie は、アカウントが所有する各 S3 バケットに *50* の機密スコアを自動的に割り当てます。また、Macie は、バケットがアカウントのバケットインベントリに追加されるときに、このスコアをバケットにも割り当てます。そのスコアに基づいて、各バケットの機密ラベルは分析が*未完了*です。例外は、オブジェクトが一切格納されていない、またはバケット内のすべてのオブジェクトのデータがゼロ (0) である空のバケットです。その場合、Macie はバケットに*1*のスコアを割り当て、バケットの機密ラベルは*非機密*とします。
機密データ自動検出が毎日進行するにつれて、Macie は S3 バケットの機密スコアとラベルを更新してその分析の結果を反映します。例えば、次のようになります。
+ Macie がオブジェクト内の機密データを検出しない場合、Macie は必要に応じてバケットの機密スコアを下げ、機密ラベルを更新します。
+ Macie がオブジェクト内の機密データを検出すると、Macie は必要に応じてバケットの機密スコアを上げ、機密ラベルを更新します。
+ その後変更されたオブジェクト内で機密データが検出された場合、Macie は必要に応じてそのオブジェクトの機密データ検出をバケットの機密スコアから削除し、機密ラベルを更新します。
+ その後削除されたオブジェクト内で機密データが検出された場合、Macie は必要に応じてそのオブジェクトの機密データをバケットの機密スコアから削除し、機密ラベルを更新します。
+ 以前は空だったバケットにオブジェクトが追加され、Macie がそのオブジェクトに機密データを検出した場合、Macie は必要に応じてバケットの機密スコアを上げ、機密ラベルを更新します。
+ バケットの権限設定により、Macie がバケットまたはバケットのオブジェクトに関する情報にアクセスできないか、これを取得できない場合、Macie はバケットの機密スコアを *50* に変更し、バケットの機密ラベルを [分析が未完了] **に変更します。
アカウントの機密データ自動検出を有効にしてから 48 時間以内に分析結果が表示されるようになります。
お客様が組織の Macie 管理者であるか、スタンドアロンの Macie アカウントをお持ちの場は、組織またはアカウントの機密スコア設定を調整できます。
+ すべての S3 バケットの後続の分析の設定を調整するには、アカウントの設定を変更します。特定のマネージドデータ識別子、カスタムデータ識別子、または許可リストを分析に含めたり、除外したりできるようになります。また、特定のバケットを除外することもできるようになります。詳細については、「[自動検出設定を構成する](discovery-asdd-account-configure.md)」を参照してください。
+ 個々の S3 バケットの設定を調整するには、各バケットの設定を変更します。特定のタイプの機密データをバケットのスコアに含めたり、除外したりできます。自動計算されたスコアをバケットに割り当てるかどうかも指定できます。詳細については、「[S3 バケットの機密スコアを調整する](discovery-asdd-s3bucket-manage.md)」を参照してください。
機密データ自動検出を無効にした場合、その影響は既存の機密性スコアとラベルによって異なります。組織内のメンバーアカウントに対して無効にした場合は、アカウントが所有する S3 バケットに対して既存のスコアとラベルが保持されます。組織全体またはスタンドアロン Macie アカウントで無効にした場合は、既存のスコアとラベルは 30 日間のみ保持されます。30 日後、Macie では組織またはアカウントが所有するすべてのバケットのスコアとラベルをリセットします。バケットにオブジェクトが格納されている場合は、Macie はスコアを *50* に変更し、[分析が未完了]** ラベルをバケットに割り当てます。バケットが空の場合は、Macie はスコアを *1* に変更し、[機密データは内]** ラベルをバケットに割り当てます。このリセット後、Macie では、組織またはアカウントの機密データの自動検出を再度有効にしない限り、バケットの機密性スコアとラベルの更新を停止します。
# 機密データの自動検出のデフォルト設定
機密データ自動検出が有効になっている場合、Amazon Macie はアカウントのすべての Amazon Simple Storage Service (Amazon S3) 汎用バケットからサンプルオブジェクトを自動的に選択して分析します。お客様が組織の Macie 管理者である場合、これにはデフォルトで、メンバーアカウントが所有する S3 バケットが含まれます。
お客様が Macie 管理者の場合、またはスタンドアロンの Macie アカウントをお持ちの場合は、機密データ自動検出から特定の S3 バケットを除外して、分析の範囲を絞り込むことができます。これには、アカウントの設定を変更する方法と、個々のバケットの設定を変更する方法の 2 つの方法があります。お客様は、Macie 管理者として、組織内の個々のアカウントの機密データ自動検出を有効または無効にすることもできます。
デフォルトでは、Macie は機密データ自動検出に推奨するマネージドデータ識別子のセットのみを使用して S3 オブジェクトを分析します。Macie は、ユーザーが定義したカスタムデータ識別子や許可リストを使用しません。お客様が Macie 管理者の場合、またはスタンドアロンの Macie アカウントをお持ちの場合は、特定のマネージドデータ識別子、カスタムデータ識別子、許可リストを使用するように Macie を設定して分析をカスタマイズできます。そのためには、アカウントの設定を変更します。
設定の変更については、「[機密データ自動検出設定を構成する](discovery-asdd-account-configure.md)」を参照してください。
**Topics**
+ [デフォルトのマネージドデータ識別子](#discovery-asdd-settings-defaults-mdis)
+ [デフォルト設定へ更新](#discovery-asdd-mdis-default-updates)
## 機密データ自動検出のためのデフォルトのマネージドデータ識別子
デフォルトでは、Amazon Macie は、機密データ自動検出に推奨するマネージドデータ識別子のセットのみを使用して S3 オブジェクトを分析します。このデフォルトのマネージドデータ識別子セットは、一般的なカテゴリやタイプの機密データを検出するように設計されています。当社の調査に基づいて、機密データの一般的なカテゴリやタイプを検出できると同時に、ノイズを減らすことで結果を最適化できます。
デフォルトセットは動的です。新しいマネージドデータ識別子をリリースするにあたり、機密データの自動検出結果をさらに最適化できる可能性がある場合は、それらをデフォルトセットに追加します。別途、既存のマネージドデータ識別子を追加したり、セットから削除したりする可能性もあります。マネージドデータ識別子を削除しても、S3 バケットの既存の機密データ検出統計や詳細には影響しません。例えば、Macie が以前にバケット内で検出した機密データのタイプのマネージドデータ識別子を削除しても、Macie は引き続きそのバケットの検出結果を報告します。マネージドデータ識別子をデフォルトセットに追加または削除すると、このページが更新され、変更の性質とタイミングが示されます。これらの変更に関する自動アラートについては、[Macie ドキュメント履歴](doc-history.md)ページの RSS フィードをサブスクライブしてください。
以下のトピックでは、現在デフォルトセットに含まれているマネージドデータ識別子を機密データのカテゴリとタイプ別に一覧表示しています。セット内の各マネージドデータ識別子の一意の識別子 (ID) を指定します。この ID は、`PGP_PRIVATE_KEY` PGP プライベートキーや米国パスポート番号の `USA_PASSPORT_NUMBER` など、マネージドデータ識別子が検出するに設計された機密データのタイプを表します。機密データ自動検出の設定を変更する場合、この ID を使用して、後続の分析でマネージドデータ識別子を明示的に除外できます。
**Topics**
+ [認証情報](#discovery-asdd-settings-defaults-mdis-credentials)
+ [財務情報](#discovery-asdd-settings-defaults-mdis-financial)
+ [個人を特定できる情報 (PII)](#discovery-asdd-settings-defaults-mdis-pii)
特定のマネージドデータ識別子、または Macie が現在提供しているマネージドデータ識別子の全リストについては、[マネージドデータ識別子の使用](managed-data-identifiers.md) を参照してください。
### 認証情報
Macie では、S3 オブジェクトでの認証情報データの出現を検知するために、次のマネージドデータ識別子を使用します。
| 機密データタイプ | マネージドデータ識別子 ID |
| --- | --- |
| AWS シークレットアクセスキー | AWS\$1CREDENTIALS |
| HTTP 基本認可ヘッダー | HTTP\$1BASIC\$1AUTH\$1HEADER |
| OpenSSH プライベートキー | OPENSSH\$1PRIVATE\$1KEY |
| PGP プライベートキー | PGP\$1PRIVATE\$1KEY |
| 公開鍵暗号標準 (PKCS) プライベートキー | PKCS |
| PuTTY プライベートキー | PUTTY\$1PRIVATE\$1KEY |
### 財務情報
Macie では、S3 オブジェクトでの財務情報の出現を検知するために、次のマネージドデータ識別子を使用します。
| 機密データタイプ | マネージドデータ識別子 ID |
| --- | --- |
| クレジットカードの磁気ストライプデータ | CREDIT\$1CARD\$1MAGNETIC\$1STRIPE |
| クレジットカード番号 | CREDIT\$1CARD\$1NUMBER (キーワードに近いクレジットカード番号の場合) |
### 個人を特定できる情報 (PII)
S3 オブジェクトで個人を特定できる情報 (PII) の出現を検知するために、Macie はデフォルトで次のマネージドデータ識別子を使用します。
| 機密データタイプ | マネージドデータ識別子 ID |
| --- | --- |
| 運転免許証識別番号 | CANADA\$1DRIVERS\$1LICENSE, DRIVERS\$1LICENSE (米国の場合)、 UK\$1DRIVERS\$1LICENSE |
| 選挙人名簿番号 | UK\$1ELECTORAL\$1ROLL\$1NUMBER |
| 国民識別番号 | FRANCE\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, GERMANY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, SPAIN\$1DNI\$1NUMBER |
| 国民保険番号 (NINO) | UK\$1NATIONAL\$1INSURANCE\$1NUMBER |
| パスポート番号 | CANADA\$1PASSPORT\$1NUMBER, FRANCE\$1PASSPORT\$1NUMBER, GERMANY\$1PASSPORT\$1NUMBER, ITALY\$1PASSPORT\$1NUMBER, SPAIN\$1PASSPORT\$1NUMBER, UK\$1PASSPORT\$1NUMBER, USA\$1PASSPORT\$1NUMBER |
| 社会保険番号 (SIN) | CANADA\$1SOCIAL\$1INSURANCE\$1NUMBER |
| 社会保障番号 (SSN) | SPAIN\$1SOCIAL\$1SECURITY\$1NUMBER, USA\$1SOCIAL\$1SECURITY\$1NUMBER |
| 納税者識別番号または参照番号 | AUSTRALIA\$1TAX\$1FILE\$1NUMBER, BRAZIL\$1CPF\$1NUMBER, FRANCE\$1TAX\$1IDENTIFICATION\$1NUMBER, GERMANY\$1TAX\$1IDENTIFICATION\$1NUMBER, SPAIN\$1NIE\$1NUMBER, SPAIN\$1NIF\$1NUMBER, SPAIN\$1TAX\$1IDENTIFICATION\$1NUMBER, USA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER |
## 機密データ自動検出用にデフォルト設定へ更新
次の表は、Amazon Macie が機密データの自動検出用にデフォルトで使用する設定の変更を示しています。これらの変更に関する自動アラートについては、[Macie ドキュメント履歴](doc-history.md)ページの RSS フィードをサブスクライブしてください。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| デフォルトマネージドデータ識別子の新しい動的セットを実装 | 新しい機密データ自動検出設定は、動的な[マネージドデータ識別子のデフォルトセット](#discovery-asdd-settings-defaults-mdis)をベースにするようになりました。この日以降に初めて機密データ自動検出を有効にした場合、設定は動的セットに基づいて行われます。 この日より以前に初めて機密データ自動検出を有効にした場合、設定は別のマネージドデータ識別子のセットに基づいています。詳細については、この表の後にある注を参照してください。 | 2023 年 8 月 2 日 |
| 一般提供 | 機密データ自動検出の初回リリース。 | 2022 年 11 月 28 日 |
2023 年 8 月 2 日より前に機密データ自動検出を最初に有効にした場合、設定はデフォルトのマネージドデータ識別子の動的セットに基づいていません。代わりに、以下の表に示すように、機密データ自動検出の初回リリース時に定義したマネージドデータ識別子の静的なセットに基づいて設定されています。
機密データ自動検出を最初に有効にした時期を確認するには、Amazon Macie コンソールを使用して、ナビゲーションペインで **[機密データ自動検出]** を選択し、**[ステータス]** セクションで有効になった日付を参照します。これをプログラムで行うには、Amazon Macie API の [GetAutomatedDiscoveryConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/automated-discovery-configuration.html) オペレーションを使用し、`firstEnabledAt` フィールドの値を参照します。日付が 2023 年 8 月 2 日より前で、デフォルトのマネージドデータ識別子の動的セットの使用を開始する場合は、 AWS サポート にお問い合わせください。
次の表には、静的セットのマネージドデータ識別子がすべて示されています。この表は、まず機密データカテゴリ別に、次に機密データタイプ別にソートされています。特定のマネージドデータ識別子の詳細については、[マネージドデータ識別子の使用](managed-data-identifiers.md) を参照してください。
| 機密データのカテゴリ | 機密データタイプ | マネージドデータ識別子 ID |
| --- | --- | --- |
| 認証情報 | AWS シークレットアクセスキー | AWS\$1CREDENTIALS |
| 認証情報 | HTTP 基本認可ヘッダー | HTTP\$1BASIC\$1AUTH\$1HEADER |
| 認証情報 | OpenSSH プライベートキー | OPENSSH\$1PRIVATE\$1KEY |
| 認証情報 | PGP プライベートキー | PGP\$1PRIVATE\$1KEY |
| 認証情報 | 公開鍵暗号標準 (PKCS) プライベートキー | PKCS |
| 認証情報 | PuTTY プライベートキー | PUTTY\$1PRIVATE\$1KEY |
| 財務情報 | 銀行口座番号 | BANK\$1ACCOUNT\$1NUMBER (カナダおよび米国の銀行口座番号の場合)、FRANCE\$1BANK\$1ACCOUNT\$1NUMBER, GERMANY\$1BANK\$1ACCOUNT\$1NUMBER, ITALY\$1BANK\$1ACCOUNT\$1NUMBER, SPAIN\$1BANK\$1ACCOUNT\$1NUMBER, UK\$1BANK\$1ACCOUNT\$1NUMBER |
| 財務情報 | クレジットカードの有効期限 | CREDIT\$1CARD\$1EXPIRATION |
| 財務情報 | クレジットカードの磁気ストライプデータ | CREDIT\$1CARD\$1MAGNETIC\$1STRIPE |
| 財務情報 | クレジットカード番号 | CREDIT\$1CARD\$1NUMBER (キーワードに近いクレジットカード番号の場合) |
| 財務情報 | クレジットカード認証コード | CREDIT\$1CARD\$1SECURITY\$1CODE |
| 個人情報: 個人の健康情報 (PHI) | 麻薬取締局 (DEA) 登録番号 | US\$1DRUG\$1ENFORCEMENT\$1AGENCY\$1NUMBER |
| 個人情報: PHI | 健康保険請求番号 (HICN) | USA\$1HEALTH\$1INSURANCE\$1CLAIM\$1NUMBER |
| 個人情報: PHI | 健康保険または医療識別番号 | CANADA\$1HEALTH\$1NUMBER, EUROPEAN\$1HEALTH\$1INSURANCE\$1CARD\$1NUMBER, FINLAND\$1EUROPEAN\$1HEALTH\$1INSURANCE\$1NUMBER, FRANCE\$1HEALTH\$1INSURANCE\$1NUMBER, UK\$1NHS\$1NUMBER, USA\$1MEDICARE\$1BENEFICIARY\$1IDENTIFIER |
| 個人情報: PHI | ヘルスケア共通手順コーディングシステム (HCPCS) コード | USA\$1HEALTHCARE\$1PROCEDURE\$1CODE |
| 個人情報: PHI | 全米医薬品コード (NDC) | USA\$1NATIONAL\$1DRUG\$1CODE |
| 個人情報: PHI | 国家プロバイダー識別子 (NPI) | USA\$1NATIONAL\$1PROVIDER\$1IDENTIFIER |
| 個人情報: PHI | 機器固有識別子 (UDI) | MEDICAL\$1DEVICE\$1UDI |
| 個人情報: 個人を特定できる情報 (PII) | 生年月日 | DATE\$1OF\$1BIRTH |
| 個人情報: PII | 運転免許証識別番号 | AUSTRALIA\$1DRIVERS\$1LICENSE, AUSTRIA\$1DRIVERS\$1LICENSE, BELGIUM\$1DRIVERS\$1LICENSE, BULGARIA\$1DRIVERS\$1LICENSE, CANADA\$1DRIVERS\$1LICENSE, CROATIA\$1DRIVERS\$1LICENSE, CYPRUS\$1DRIVERS\$1LICENSE, CZECHIA\$1DRIVERS\$1LICENSE, DENMARK\$1DRIVERS\$1LICENSE, DRIVERS\$1LICENSE (米国の場合)、ESTONIA\$1DRIVERS\$1LICENSE, FINLAND\$1DRIVERS\$1LICENSE, FRANCE\$1DRIVERS\$1LICENSE, GERMANY\$1DRIVERS\$1LICENSE, GREECE\$1DRIVERS\$1LICENSE, HUNGARY\$1DRIVERS\$1LICENSE, IRELAND\$1DRIVERS\$1LICENSE, ITALY\$1DRIVERS\$1LICENSE, LATVIA\$1DRIVERS\$1LICENSE, LITHUANIA\$1DRIVERS\$1LICENSE, LUXEMBOURG\$1DRIVERS\$1LICENSE, MALTA\$1DRIVERS\$1LICENSE, NETHERLANDS\$1DRIVERS\$1LICENSE, POLAND\$1DRIVERS\$1LICENSE, PORTUGAL\$1DRIVERS\$1LICENSE, ROMANIA\$1DRIVERS\$1LICENSE, SLOVAKIA\$1DRIVERS\$1LICENSE, SLOVENIA\$1DRIVERS\$1LICENSE, SPAIN\$1DRIVERS\$1LICENSE, SWEDEN\$1DRIVERS\$1LICENSE, UK\$1DRIVERS\$1LICENSE |
| 個人情報: PII | 選挙人名簿番号 | UK\$1ELECTORAL\$1ROLL\$1NUMBER |
| 個人情報: PII | フルネーム | NAME |
| 個人情報: PII | 全地球測位システム (GPS) 座標 | LATITUDE\$1LONGITUDE |
| 個人情報: PII | 郵送先住所 | ADDRESS, BRAZIL\$1CEP\$1CODE |
| 個人情報: PII | 国民識別番号 | BRAZIL\$1RG\$1NUMBER, FRANCE\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, GERMANY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, SPAIN\$1DNI\$1NUMBER |
| 個人情報: PII | 国民保険番号 (NINO) | UK\$1NATIONAL\$1INSURANCE\$1NUMBER |
| 個人情報: PII | パスポート番号 | CANADA\$1PASSPORT\$1NUMBER, FRANCE\$1PASSPORT\$1NUMBER, GERMANY\$1PASSPORT\$1NUMBER, ITALY\$1PASSPORT\$1NUMBER, SPAIN\$1PASSPORT\$1NUMBER, UK\$1PASSPORT\$1NUMBER, USA\$1PASSPORT\$1NUMBER |
| 個人情報: PII | 本籍地 | CANADA\$1NATIONAL\$1IDENTIFICATION\$1NUMBER |
| 個人情報: PII | Phone number (電話番号) | BRAZIL\$1PHONE\$1NUMBER, FRANCE\$1PHONE\$1NUMBER, GERMANY\$1PHONE\$1NUMBER, ITALY\$1PHONE\$1NUMBER, PHONE\$1NUMBER (カナダと米国の場合)、SPAIN\$1PHONE\$1NUMBER, UK\$1PHONE\$1NUMBER |
| 個人情報: PII | 社会保険番号 (SIN) | CANADA\$1SOCIAL\$1INSURANCE\$1NUMBER |
| 個人情報: PII | 社会保障番号 (SSN) | SPAIN\$1SOCIAL\$1SECURITY\$1NUMBER, USA\$1SOCIAL\$1SECURITY\$1NUMBER |
| 個人情報: PII | 納税者識別番号または参照番号 | AUSTRALIA\$1TAX\$1FILE\$1NUMBER, BRAZIL\$1CNPJ\$1NUMBER, BRAZIL\$1CPF\$1NUMBER, FRANCE\$1TAX\$1IDENTIFICATION\$1NUMBER, GERMANY\$1TAX\$1IDENTIFICATION\$1NUMBER, SPAIN\$1NIE\$1NUMBER, SPAIN\$1NIF\$1NUMBER, SPAIN\$1TAX\$1IDENTIFICATION\$1NUMBER, UK\$1TAX\$1IDENTIFICATION\$1NUMBER, USA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER |
| 個人情報: PII | 車両識別番号 (VIN) | VEHICLE\$1IDENTIFICATION\$1NUMBER |