翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# 機密データ自動検出のカバレッジ問題を修正する
機密データ自動検出が毎日進行するのに従い、Amazon Macie は、Amazon Simple Storage Service (Amazon S3) データエステートカバレッジ評価とモニタリングに役立つ統計と詳細を提供します。[カバレッジデータを確認すると](discovery-coverage-review.md)、データエステート全体およびエステート内の個々の S3 バケットについて、機密データ自動検出のステータスを確認できます。Macie が特定バケット内のオブジェクトを分析できなかった問題を特定することもできます。問題を修正すれば、その後の分析サイクルで Amazon S3 データのカバレッジを拡大できます。
Macie は、機密データ自動検出による Amazon S3 データのカバレッジを低下させる問題のタイプをいくつか報告します。これには、Macie が S3 バケット内のオブジェクトを分析するのを妨げるバケットレベルの問題が含まれます。また、オブジェクトレベルの問題も含まれます。分類エラーと呼ばれるこれらの問題により、Macie はバケット内の特定のオブジェクトを分析できませんでした。以下の情報は、これらの問題を調査して修正するのに役立ちます。
**Topics**
+ [アクセスが拒否されました](#discovery-issues-access-denied)
+ [分類エラー:コンテンツが無効です](#discovery-issues-invalid-content)
+ [分類エラー:暗号化が無効です](#discovery-issues-classification-error-invalid-encryption)
+ [分類エラー: KMS キーが無効です](#discovery-issues-classification-error-invalid-key)
+ [分類エラー:権限が拒否されました](#discovery-issues-classification-error-permission-denied)
+ [分類不可](#discovery-issues-unclassifiable)
**ヒント**
S3 バケットのオブジェクトレベル分類エラーを調査するには、まずバケットのオブジェクトサンプルリストを確認します。このリストには、Macie がバケット内で分析、または分析を試みたオブジェクト (最大 100 個) が表示されます。
Amazon Macie コンソールでリストを確認するには、**[S3 バケット]** ページでバケットを選択し、バケット詳細パネルの **[オブジェクトのサンプル]** タブを選択します。リストをプログラムで確認するには、Amazon Macie API の [ListResourceProfileArtifacts](https://docs.aws.amazon.com/macie/latest/APIReference/resource-profiles-artifacts.html) オペレーションを使用します。オブジェクトの分析ステータスが **スキップ済み**`SKIPPED`の場合、そのオブジェクトがエラーの原因となっている可能性があります。
## アクセスが拒否されました
この問題は、S3 バケットのアクセス許可設定により、Macie がバケットとバケットのオブジェクトにアクセスできなかったことを示します。Macie はバケット内のオブジェクトを取得、分析することはできません。
**詳細**
このタイプの問題の最も一般的な原因は、制限の厳しいバケットポリシーです。*バケットポリシー*は、プリンシパル (ユーザー、アカウント、サービス、またはその他のエンティティ) が S3 バケットに対して実行できるアクションと、プリンシパルがそれらのアクションを実行できる条件を指定するリソースベースの AWS Identity and Access Management (IAM) ポリシーです。制限付きバケットポリシーでは、特定の条件に基づいてバケットデータへのアクセスを許可または制限する明示的な `Allow` または `Deny` のステートメントを使用します。例えば、バケットポリシーには、特定のソース IP アドレスがバケットにアクセスするために使用されていない限り、バケットへのアクセスを拒否する `Allow` または `Deny` のステートメントが含まれる場合があります。
S3 バケットのバケットポリシーに 1 つ以上の条件を持つ明示的な `Deny` のステートメントがある場合、Macie は機密データ検出のためバケットオブジェクトを取得、分析することを許可されない場合があります。Macie は、バケット名や作成日など、バケットに関する情報のサブセットのみを提供できます。
**修正ガイダンス**
この問題を修正するには、S3 バケットのバケットポリシーを更新します。Macie がバケットとバケットのオブジェクトにアクセスすることをポリシーで許可されているか確認してください。このアクセスを許可するには、Macie サービスリンクロール`AWSServiceRoleForAmazonMacie`の条件をポリシーに追加します。その条件により、Macie サービスリンクロールがポリシーの `Deny` 制限と一致することを除外できます。これは、`aws:PrincipalArn` グローバル条件コンテキストキー および ユーザーアカウントの Macie サービスリンクロールの Amazon リソースネーム (ARN) を使用して行うことができます。
バケットポリシーを更新し、Macie が S3 バケットにアクセスできるようになると、Macie は変更を検出します。この場合、Macie は Amazon S3 データに関して提供する統計、インベントリデータ、およびその他の情報を更新します。さらに、その後の分析サイクルでは、バケットのオブジェクトがより優先的に分析されます。
追加の参考資料
Macie がバケットにアクセスできるように S3 バケットポリシーを更新する詳細については、[Macie が S3 バケットおよびオブジェクトにアクセスすることを許可する](monitoring-restrictive-s3-buckets.md) を参照してください。バケットポリシーを使用してバケットへのアクセスを制御する方法の詳細については、「*Amazon Simple Storage Service ユーザーガイド*」の「[バケットポリシー](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html)」および「[Amazon S3 がリクエストを許可する仕組み](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-s3-evaluates-access-control.html)」を参照してください。
## 分類エラー:コンテンツが無効です
このタイプの分類エラーは、Macie が S3 バケット内のオブジェクトを分析しようとして、そのオブジェクトの形式に誤りがあるか、オブジェクトに機密データ検出クォータを超えるコンテンツが含まれている場合に発生します。Macie はオブジェクトを分析できません。
**詳細**
このエラーは通常、S3 オブジェクトが誤った形式であるか、破損したファイルであることが原因で発生します。そのため、Macie はファイル内のすべてのデータを解析して分析することができません。
このエラーは、S3 オブジェクトの分析が個々のファイルの機密データ検出クォータを超える場合にも発生する可能性があります。例えば、オブジェクトのストレージサイズが、そのタイプのファイルのサイズクォータを超えている場合などです。
いずれの場合も、Macie は S3 オブジェクトの分析を完了できず、オブジェクトの分析ステータスは **スキップ済み**`SKIPPED`になります。
**修正ガイダンス**
このエラーを調べるには、S3 オブジェクトをダウンロードし、ファイルの形式とコンテンツを確認します。また、ファイルのコンテンツを Macie の機密データ検出のクォータと比較して評価してください。
このエラーを修正しないと、Macie は S3 バケット内の他のオブジェクトの分析を試みようとします。Macie が別のオブジェクトを正常に分析すると、Macie はカバレッジデータやバケットに関して提供されるその他の情報を更新します。
追加の参考資料
特定のタイプのファイルに対するクォータを含む機密データ検出クォータのリストについては、[Macie のクォータ](macie-quotas.md) を参照してください。Macie が S3 バケットに関して提供される機密スコアやその他の情報を更新する方法については、[機密データの自動検出の仕組み](discovery-asdd-how-it-works.md) を参照してください。
## 分類エラー:暗号化が無効です
このタイプの分類エラーは、Macie が S3 バケット内のオブジェクトを分析しようとして、そのオブジェクトはお客様が用意したキーで暗号化されている場合に発生します。オブジェクトが SSE-C 暗号を使用しているため、Macie はそのオブジェクトを取得、分析することができません。
**詳細**
Amazon S3 は S3 オブジェクトの複数の暗号化オプションをサポートしています。これらのオプションのほとんどで、Macie は、ユーザーアカウントの Macie サービスリンクロールを使用してオブジェクトを復号化できます。ただし、これは使用された暗号化のタイプによって異なります。
Macie が S3 オブジェクトを復号化するには、Macie がアクセスして使用を許可されているキーを用いてオブジェクトが暗号化されている必要があります。お客様が用意したキーによりオブジェクトが暗号化されている場合、Macie は Amazon S3 からオブジェクトを取得するのに必要なキーマテリアルを提供できません。その結果、Macie はオブジェクトを分析できず、オブジェクトの分析ステータスは**スキップ済み**`SKIPPED`になります。
**修正ガイダンス**
このエラーを修正するには、Amazon S3 マネージドキーまたは AWS Key Management Service (AWS KMS) キーを使用して Amazon S3 オブジェクトを暗号化します。 AWS KMS キーを使用する場合は、キーを AWS マネージド KMS キー、または Macie が使用できるカスタマーマネージド KMS キーにすることができます。
Macie がアクセスして使用できるキーで既存の S3 オブジェクトを暗号化するには、オブジェクトの暗号化設定を変更します。Macie がアクセスして使用できるキーを使用して新しいオブジェクトを暗号化するには、S3 バケットのデフォルトの暗号化設定を変更します。また、バケットのポリシーで、新しいオブジェクトはお客様が用意したキーで暗号化するよう要求されていないことも確認してください。
このエラーを修正しないと、Macie は S3 バケット内の他のオブジェクトの分析を試みようとします。Macie が別のオブジェクトを正常に分析すると、Macie はカバレッジデータやバケットに関して提供されるその他の情報を更新します。
追加の参考資料
Macie を使用して暗号化された S3 オブジェクトを分析するための要件とオプションについては、を参照してください[暗号化された Amazon S3 オブジェクトを分析する](discovery-supported-encryption-types.md)。デフォルトの暗号化設定の詳細については、Amazon Simple Storage Service ユーザーガイドの[暗号化を使用したデータの保護](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingEncryption.html)および[S3 バケット向けのサーバー側のデフォルトの暗号化動作の設定](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html)を参照してください。
## 分類エラー: KMS キーが無効です
このタイプの分類エラーは、Macie が S3 バケット内のオブジェクトを分析しようとしたときに、そのオブジェクトが使用できなくなった AWS Key Management Service (AWS KMS) キーで暗号化されている場合に発生します。Macie はオブジェクトを取得、分析することができません。
**詳細**
AWS KMS には、カスタマー管理の無効化と削除のオプションが用意されています AWS KMS keys。S3 オブジェクトが無効、削除予定、または削除済みの KMS キーで暗号化されている場合、Macie はそのオブジェクトを取得および復号化できません。その結果、Macie はオブジェクトを分析できず、オブジェクトの分析ステータスは**スキップ済み**`SKIPPED`になります。Macie が暗号化されたオブジェクトを分析するには、Macie がアクセスして使用を許可されているキーを用いてオブジェクトが暗号化されている必要があります。
**修正ガイダンス**
このエラーを修正するには、キーの現在のステータスに応じて、該当する を再度有効に AWS KMS key するか、キーのスケジュールされた削除をキャンセルします。該当するキーが既に削除されている場合、このエラーは修正できません。
どの AWS KMS key が S3 オブジェクトの暗号化に使用されたかを判断するには、まず Macie を使用して S3 バケットのサーバー側の暗号化設定を確認します。バケットのデフォルトの暗号化設定で KMS キーを使用するように設定されている場合は、バケット詳細に使用されているキーが表示されます。さらに、そのキーのステータスを確認できます。または、Amazon S3 を使用して、バケットとバケット内の個々のオブジェクトの暗号化設定を確認することもできます。
このエラーを修正しないと、Macie は S3 バケット内の他のオブジェクトの分析を試みようとします。Macie が別のオブジェクトを正常に分析すると、Macie はカバレッジデータやバケットに関して提供されるその他の情報を更新します。
**追加の参考資料**
Macie を使用して S3 バケットのサーバー側の暗号化設定を確認する詳細については、[S3 バケットの詳細を確認する](monitoring-s3-inventory-review.md#monitoring-s3-inventory-view-details) を参照してください。 AWS KMS key を再有効化するか、キーの予定削除を取り消す方法の詳細については、**AWS Key Management Service デベロッパーガイドの「[キーの有効化と無効化](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html)」および「[キーの削除](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html)」を参照してください。
## 分類エラー:権限が拒否されました
このタイプの分類エラーは、Macie が S3 バケット内のオブジェクトを分析しようとして、オブジェクトの権限設定またはオブジェクトの暗号化に使用されたキーの権限設定が原因でオブジェクトを取得または復号化できない場合に発生します。Macie はオブジェクトを取得、分析することができません。
**詳細**
このエラーは通常、S3 オブジェクトが Macie が使用を許可されていないカスタマーマネージド AWS Key Management Service AWS KMSキーで暗号化されていることが原因で発生します。オブジェクトがカスタマーマネージドで暗号化されている場合 AWS KMS key、キーのポリシーは Macie がキーを使用してデータを復号することを許可する必要があります。
このエラーは、Amazon S3 のアクセス許可設定によって Macie が S3 オブジェクトを取得できない場合にも発生する可能性があります。S3 バケットポリシーでは、特定のバケットオブジェクトへのアクセスを制限したり、特定のプリンシパル (ユーザー、アカウント、サービス、またはその他のエンティティ) にのみオブジェクトへのアクセスを許可したりする場合があります。または、オブジェクトのアクセスコントロールリスト (ACL) により、オブジェクトへのアクセスが制限される場合があります。その結果、Macie はオブジェクトにアクセスできない場合があります。
上記のいずれの場合も、Macie はオブジェクトを取得、分析できず、オブジェクトの分析ステータスは **スキップ済み**`SKIPPED`になります。
**修正ガイダンス**
このエラーを修正するには、S3 オブジェクトがカスタマーマネージド AWS KMS keyで暗号化されているかどうかを確認します。お客様が用意したもので暗号化されている場合は、キーポリシーで Macie サービスリンクロール`AWSServiceRoleForAmazonMacie`がそのキーを使用してデータを復号化することを許可していることを確認します。このアクセスを許可する方法は、 を所有するアカウントがオブジェクトを保存する S3 バケット AWS KMS key も所有しているかどうかによって異なります。同じアカウントが KMS キーとバケットを所有している場合、アカウントのユーザーはキーのポリシーを更新する必要があります。1 つのアカウントが KMS キーを所有し、別のアカウントがバケットを所有している場合、そのキーを所有するアカウントのユーザーはキーへのクロスアカウントアクセスを許可する必要があります。
AWS KMS keys Macie がアカウントの S3 バケット内のオブジェクトを分析するためにアクセスする必要があるすべてのカスタマーマネージドのリストを自動的に生成できます。これを行うには、GitHub AWS KMS の [Amazon Macie Scripts リポジトリから入手できる Permission Analyzer ](https://github.com/aws-samples/amazon-macie-scripts)スクリプトを実行します。スクリプトは、 AWS Command Line Interface (AWS CLI) コマンドの追加スクリプトを生成することもできます。必要に応じてこれらのコマンドを実行し、指定した KMS キーに必要な設定設定とポリシーを更新できます。
Macie が既に該当する の使用を許可されている場合、 AWS KMS key または S3 オブジェクトがカスタマーマネージド KMS キーで暗号化されていない場合は、バケットのポリシーで Macie がオブジェクトにアクセスすることを許可していることを確認してください。また、オブジェクトの ACL が Macie にオブジェクトのデータおよびメタデータの読み取りを許可していることも確認してください。
バケットポリシーでは、Macie のサービスリンクロールの条件をポリシーに追加することで、このアクセスを許可できます。その条件により、Macie サービスリンクロールがポリシーの `Deny` 制限と一致することを除外できます。これは、`aws:PrincipalArn` グローバル条件コンテキストキー および ユーザーアカウントの Macie サービスリンクロールの Amazon リソースネーム (ARN) を使用して行うことができます。
オブジェクト ACL の場合、オブジェクト所有者と協力して、オブジェクトに対するアクセス`READ`許可を持つ被 AWS アカウント 付与者として を追加することで、このアクセスを許可できます。その後、Macie はアカウントのサービスリンクロールを使用してオブジェクトを取得、分析できます。また、バケットのオブジェクト所有権設定を変更することも検討してください。これらの設定により、バケット内のすべてのオブジェクトの ACL を無効にし、バケットを所有するアカウントに所有権の許可を与えることができます。
このエラーを修正しないと、Macie は S3 バケット内の他のオブジェクトの分析を試みようとします。Macie が別のオブジェクトを正常に分析すると、Macie はカバレッジデータやバケットに関して提供されるその他の情報を更新します。
**追加の参考資料**
Macie がカスタマーマネージド AWS KMS keyを使ってデータ復号化をできるようにする詳細については、[Macie にカスタマーマネージドの使用を許可する AWS KMS key](discovery-supported-encryption-types.md#discovery-supported-encryption-cmk-configuration) を参照してください。Macie がバケットにアクセスできるよう S3 バケットポリシーを更新する詳細については、[Macie が S3 バケットおよびオブジェクトにアクセスすることを許可する](monitoring-restrictive-s3-buckets.md) を参照してください。
キーポリシー更新の詳細については、AWS Key Management Service デベロッパーガイドの[キーポリシーの変更](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html)を参照してください。カスタマーマネージドを使用して S3 オブジェクト AWS KMS keys を暗号化する方法については、*Amazon Simple Storage Service ユーザーガイド*の[AWS KMS 「キーによるサーバー側の暗号化](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)の使用」を参照してください。
バケットポリシーを使用して S3 バケットへのアクセスを制御する方法については、*「Amazon Simple Storage Service ユーザーガイド*」の[「アクセスコントロール](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html)」および[Amazon S3がリクエストを承認する方法](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-s3-evaluates-access-control.html)」を参照してください。ACL またはオブジェクト所有権設定を使用して S3 オブジェクトへのアクセスを制御する方法については、Amazon Simple Storage Service ユーザーガイドの[ACL によるアクセス管理](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acls.html)および[オブジェクトの所有権の制御とバケットの ACL の無効化](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html)を参照してください。
## 分類不可
この問題は、S3 バケット内のすべてのオブジェクトが、サポートされていない Amazon S3 ストレージクラスまたはサポートされていないファイルまたはストレージ形式を使用して保存されていることを示しています。Macie はバケット内のどのオブジェクトも分析できません。
**詳細**
選択と分析の対象となるには、S3 オブジェクトが Macie がサポートする Amazon S3 ストレージクラスを使用する必要があります。オブジェクトには、Macie がサポートするファイルまたはストレージ形式のファイル名拡張子もまた必要です。オブジェクトがこれらの基準を満たさない場合、そのオブジェクトは分類不可能なオブジェクトとして扱われます。Macie は分類不可のオブジェクト内データに対して取得、分析の試みをしません。
S3 バケット内のオブジェクトがすべて分類不可の場合、そのバケット全体が分類できないバケットになります。Macie はバケットの機密データ自動検出を実行できません。
**修正ガイダンス**
この問題に対処するには、S3 バケットにオブジェクトを保存するためにどのストレージクラスを使用するかを決定するライフサイクル設定ルールやその他の設定を確認してください。Macie がサポートするストレージクラスを使用するようにこれらの設定を調整することを検討してください。バケット内の既存のオブジェクトのストレージクラスを変更することもできます。
S3 バケット内の既存のオブジェクトのファイルフォーマットとストレージフォーマットも評価します。オブジェクトを分析するため、サポートされている形式を使用する新しいオブジェクトに、一時的または永続的にデータを移植することを検討してください。
S3 バケットに追加されたオブジェクトが、サポートされているストレージクラスとフォーマットを使用している場合、Macie は次回バケットインベントリ評価時にオブジェクトを検出します。その場合、Macie は Amazon S3 データに関して提供する統計、カバレッジデータ、その他の情報において、バケットが分類不可という報告を停止します。さらに、次の分析サイクルで、新しいオブジェクトは分析優先度が高くなります。
**追加の参考資料**
Macie がサポートする Amazon S3 ストレージクラス、ファイル、ストレージ形式については、[サポートされているストレージクラスとフォーマット](discovery-supported-storage.md) を参照してください。Amazon S3 が提供するライフサイクル設定ルールとストレージクラスオプションについては、Amazon Simple Storage Service ユーザーガイドの[ストレージライフサイクルの管理](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html)と[Amazon S3 ストレージクラスの使用](https://docs.aws.amazon.com/AmazonS3/latest/userguide/storage-class-intro.html)を参照してください。