기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Macie를 통한 Amazon S3 보안 태세 분석
심층 분석을 수행하고 Amazon Simple Storage Service(Amazon S3) 데이터의 보안 태세를 평가하는 데 도움이 되도록 Amazon Macie는 Macie를 사용하는 각 AWS 리전 에서 S3 범용 버킷의 인벤토리를 생성하고 유지 관리합니다. Macie가 이 인벤토리를 대신 관리하는 방법을 알아보려면 [Macie가 Amazon S3 데이터 보안을 모니터링하는 방법](monitoring-s3-how-it-works.md)(을)를 참조하세요. 귀하가 조직의 Macie 관리자인 경우 인벤토리에는 멤버 계정에서 소유한 S3 버킷의 인벤토리 데이터가 포함됩니다.
이 인벤토리를 사용하면 Amazon S3 데이터 자산을 검토하고 개별 S3 버킷에 적용되는 주요 보안 설정 및 지표에 대한 세부 정보 및 통계를 검토할 수 있습니다. 예를 들어, 각 버킷의 공개 액세스 및 암호화 설정에 대한 분석, 각 버킷의 민감한 데이터를 탐지하기 위해 Macie가 분석할 수 있는 객체의 크기와 개수에 액세스할 수 있습니다. 또한 버킷의 객체를 분석하도록 민감한 데이터 검색 작업을 구성했는지 또는 민감한 데이터 자동 검색을 구성했는지 여부를 확인할 수 있습니다. 구성한 경우 인벤토리 데이터는 해당 분석이 가장 최근에 수행된 시기를 나타냅니다. 민감한 데이터 자동 검색이 활성화된 경우 Macie가 지금까지 Amazon S3 데이터에 대해 수행한 민감한 데이터 자동 검색 활동의 결과를 검토하는 데 인벤토리를 사용할 수 있습니다. 자세한 내용은 [민감한 데이터 검색](data-classification.md) 섹션을 참조하세요.
Amazon Macie 콘솔의 **S3 버킷** 페이지를 사용하여 인벤토리 데이터를 찾아보고 필터링할 수 있습니다. Amazon Macie API의 [DescribeBuckets](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3.html) 작업을 사용하여 프로그래밍 방식으로 인벤토리 데이터에 액세스할 수도 있습니다.
**Topics**
+ [S3 버킷 인벤토리 검토](monitoring-s3-inventory-review.md)
+ [S3 버킷 인벤토리 필터링](monitoring-s3-inventory-filter.md)
# Macie에서 S3 버킷 인벤토리 검토
Amazon Macie 콘솔의 **S3 버킷** 페이지는 현재 AWS 리전에 있는 Amazon Simple Storage Service(S3) 데이터의 보안 및 개인정보 보호에 대한 자세한 인사이트를 제공합니다. 이 페이지에서는 리전의 S3 범용 버킷 인벤토리를 검토 및 분석하고 개별 버킷에 대한 세부 정보 및 통계를 검토할 수 있습니다. Macie가이 인벤토리를 생성하고 유지 관리하는 방법에 대한 자세한 내용은 섹션을 참조하세요[Macie가 Amazon S3 데이터 보안을 모니터링하는 방법](monitoring-s3-how-it-works.md). 조직의 Macie 관리자인 경우, 인벤토리에는 멤버 계정이 소유한 S3 버킷에 대한 세부 정보 및 통계가 포함됩니다.
**S3 버킷** 페이지에는 Macie가 가장 최근에 언제 사용자 계정의 Amazon S3에서 버킷 또는 객체 메타데이터를 검색했는지도 표시됩니다. 이 정보는 페이지 상단의 **마지막 업데이트** 필드에서 확인할 수 있습니다. 조직의 Macie 관리자인 경우, 이 필드는 Macie가 조직 계정의 데이터를 검색한 가장 빠른 날짜와 시간을 나타냅니다. 자세한 내용은 [데이터 새로 고침](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh) 섹션을 참조하세요.
인벤토리 데이터 및 통계에는 S3 디렉터리 버킷에 대한 데이터가 포함되지 않으며 범용 버킷만 포함됩니다. Macie는 디렉터리 버킷을 모니터링하거나 분석하지 않습니다. 또한 Macie는 계정에 대해 10,000개 이하의 범용 버킷에 대한 전체 인벤토리 데이터를 유지합니다. 계정이이 할당량을 초과하면 Macie는 가장 최근에 생성되거나 변경된 10,000개의 버킷에 대한 전체 인벤토리 데이터를 제공합니다. 다른 모든 버킷의 경우 Macie는 각 버킷에 대한 정보의 하위 집합만 제공합니다. 조직의 Macie 관리자인 경우이 할당량은 조직 전체가 아니라 조직의 각 계정에 적용됩니다.
또한 대부분의 인벤토리 데이터는 Macie가 계정에 액세스할 수 있는 버킷으로 제한됩니다. 버킷의 권한 설정으로 인해 Macie가 버킷 또는 버킷의 객체에 대한 정보를 검색할 수 없는 경우, Macie는 버킷에 대한 일부 정보만 제공할 수 있습니다. 특정 버킷의 경우, Macie는 버킷 인벤토리에 해당 버킷에 대한 경고 아이콘 (![\[The warning icon, which is a red triangle that has an exclamation point in it.\]](http://docs.aws.amazon.com/ko_kr/macie/latest/user/images/icon-warning-red.png))과 메시지를 표시합니다. 버킷 세부 정보의 경우 Macie는 버킷을 소유 AWS 계정 한의 계정 ID, 버킷 이름, Amazon 리소스 이름(ARN), 생성 날짜 및 리전, Macie가 가장 최근에 일일 새로 고침 주기의 일부로 버킷에 대한 버킷 및 객체 메타데이터를 모두 검색한 시기 등 필드의 하위 집합에 대한 데이터만 제공합니다. 문제를 조사하려면 Amazon S3의 버킷 정책 및 권한 설정을 검토하세요. 예를 들어 버킷에 제한적인 버킷 정책이 있을 수 있습니다. 자세한 내용은 [Macie가 S3 버킷 및 객체에 액세스할 수 있도록 허용](monitoring-restrictive-s3-buckets.md) 섹션을 참조하세요.
프로그래밍 방식으로 인벤토리 데이터에 액세스하고 쿼리하고자 할 때, Amazon Macie API의 [DescribeBuckets](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3.html) 작업을 사용하면 됩니다.
**Topics**
+ [S3 버킷 인벤토리 검토](#monitoring-s3-inventory-view)
+ [S3 버킷의 세부 정보 검토](#monitoring-s3-inventory-view-details)
## S3 버킷 인벤토리 검토
Amazon Macie 콘솔의 **S3 버킷** 페이지에는 현재 AWS 리전에 있는 S3 범용 버킷에 대한 정보를 제공합니다. 이 페이지에는 인벤토리의 각 버킷에 대한 요약 정보가 표로 표시됩니다. 표를 정렬하고 필터링하여 보기를 사용자 지정할 수 있습니다. 표에서 버킷을 선택하면 세부 정보 패널에 해당 버킷에 대한 추가 정보가 표시됩니다. 여기에는 설정 및 메트릭에 대한 세부 정보 및 통계가 포함되어 버킷 데이터의 보안 및 개인정보 보호에 대한 인사이트를 제공받을 수 있습니다. 선택적으로 테이블의 데이터를 쉼표로 구분된 값(CSV) 파일로 내보낼 수 있습니다.
민감한 데이터 자동 검색 기능이 활성화된 경우 대화형 히트 맵을 사용하여 인벤토리를 검토할 수도 있습니다. 이 맵은 Amazon S3 데이터 자산 전반의 데이터 민감도를 시각적으로 보여줍니다. 이는 Macie가 지금까지 수행한 민감한 데이터 자동 검색 활동의 결과를 수집합니다. 이 맵에 대해 자세히 알아보려면, [S3 버킷 맵을 사용한 데이터 민감도 시각화](discovery-asdd-results-s3-inventory-map.md)을 참조하세요.
**S3 버킷 인벤토리를 검토하려면**
1. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)에서 Amazon Macie 콘솔을 엽니다.
1. 탐색 창에서 **S3 버킷**을 선택합니다. **S3 버킷** 페이지에는 버킷 인벤토리가 표시됩니다. 페이지에 인벤토리의 대화형 맵이 표시되면 페이지 상단에서 표(![\[The table view button, which is a button that displays three black horizontal lines.\]](http://docs.aws.amazon.com/ko_kr/macie/latest/user/images/btn-s3-table-view.png))를 선택합니다. 그러면 Macie는 인벤토리의 버킷 수와 버킷 표를 표시합니다.
민감한 데이터 자동 검색이 활성화된 경우 기본 보기에는 현재 자동 검색에서 제외된 버킷에 대한 데이터가 표시되지 않습니다. 이 데이터를 표시하려면 필터 상자 아래의 **자동 검색으로 모니터링됨** 필터 토큰에서 **X**를 선택합니다.
1. 필요에 따라 페이지 상단에서 새로 고침(![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/ko_kr/macie/latest/user/images/btn-refresh-data.png))을 선택하여 Amazon S3에서 최신 버킷 메타데이터를 검색할 수 있습니다.
버킷 이름 옆에 정보 아이콘(![\[The information icon, which is a blue circle that has a lowercase letter i in it.\]](http://docs.aws.amazon.com/ko_kr/macie/latest/user/images/icon-info-blue.png))이 표시되면 이렇게 하는 것이 좋습니다. 정보 아이콘은 지난 24시간 동안 버킷이 생성되었음을 의미합니다. 아마도 Macie가 [일일 새로 고침 주기](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh)의 일부로 Amazon S3에서 버킷과 객체 메타데이터를 마지막으로 검색한 이후일 것입니다.
1. **S3 버킷** 테이블에서 인벤토리의 각 버킷에 대한 다음 정보 하위 집합을 검토하세요.
+ **민감도** - 민감한 데이터 자동 검색이 활성화된 경우 버킷의 현재 민감도 점수입니다. Macie가 정의하는 민감도 점수 범위에 대한 자세한 내용은 [S3 버킷의 민감도 점수](discovery-scoring-s3.md) 섹션을 참조하세요.
+ **버킷** - 버킷의 이름
+ **계정** – 버킷을 소유한 AWS 계정 의 계정 ID.
+ **분류 가능한 객체**는 Macie가 버킷에서 민감한 데이터를 탐지하기 위해 분석할 수 있는 총 객체 수입니다.
+ **분류 가능한 크기**는 Macie가 버킷에서 민감한 데이터를 탐지하기 위해 분석할 수 있는 모든 객체의 총 스토리지 크기입니다.
이 값은 압축 해제된 후 압축된 객체의 실제 크기를 반영하지 않습니다. 버킷에 버전 관리가 활성화된 경우, 이 값은 버킷에 있는 각 객체의 최신 버전의 스토리지 크기를 기준으로 합니다.
+ **작업별 모니터링** - 민감한 데이터 검색 작업이 버킷의 객체를 일별, 주별 또는 월별로 주기적으로 분석하도록 구성되어 있는지 여부를 나타냅니다.
이 필드의 값이 *예*이면 해당 버킷이 명시적으로 정기적인 작업에 포함되어 있거나 버킷이 지난 24시간 이내에 정기적인 작업 기준과 일치한 경우입니다. 또한 이러한 작업 중 하나 이상의 상태는 *취소*되지 않습니다. Macie는 이 데이터를 매일 업데이트합니다.
+ **최신 작업 실행** - 버킷의 객체를 분석하도록 주기적 또는 일회성인 민감한 데이터 검색 작업을 구성한 경우, 이 필드는 해당 작업 중 하나가 실행되기 시작한 가장 최근 날짜 및 시간을 나타냅니다. 그렇지 않으면 이 필드에 대시(–)가 나타납니다.
앞의 데이터에서, 객체는 지원되는 Amazon S3 스토리지 클래스를 사용하고 지원되는 파일 또는 스토리지 형식의 파일 이름 확장자를 가진 경우 *분류할 수 있습니다.* Macie를 사용하여 객체에서 민감한 데이터를 탐지할 수 있습니다. 자세한 내용은 [지원하는 스토리지 클래스 및 형식](discovery-supported-storage.md) 섹션을 참조하세요.
1. 표를 사용하여 인벤토리를 분석하려면, 다음 작업 중 하나를 수행합니다.
+ 특정 필드를 기준으로 테이블을 정렬하려면 해당 필드의 열 제목을 선택합니다. 정렬 순서를 변경하려면 열 제목을 다시 선택합니다.
+ 테이블을 필터링하고 필드에 특정 값이 있는 버킷만 표시하려면 필터 상자에 커서를 놓고 필드에 필터 조건을 추가합니다. 결과를 더 세분화하려면 추가 필드에 필터 조건을 추가합니다. 자세한 내용은 [S3 버킷 인벤토리 필터링](monitoring-s3-inventory-filter.md) 섹션을 참조하세요.
1. 특정 버킷에 대한 세부 정보 및 통계를 검토하려면 테이블에서 버킷 이름을 선택하고 세부 정보 패널을 참조하세요.
**작은 정보**
패널의 버킷 세부 정보 패널에서 여러 필드를 피벗하고 드릴다운할 수 있습니다. 필드 값이 동일한 버킷을 표시하려면 필드에서 ![\[The zoom in icon, which is a magnifying glass that has a plus sign in it.\]](http://docs.aws.amazon.com/ko_kr/macie/latest/user/images/icon-magnifying-glass-plus-sign.png)를 선택합니다. 필드에 다른 값이 있는 버킷을 표시하려면 필드에서 ![\[The zoom out icon, which is a magnifying glass that has a minus sign in it.\]](http://docs.aws.amazon.com/ko_kr/macie/latest/user/images/icon-magnifying-glass-minus-sign.png)를 선택합니다.
1. 테이블에서 CSV 파일로 데이터를 내보내려면 내보낼 각 행의 확인란을 선택하거나 선택 열 제목에서 확인란을 선택하여 모든 행을 선택합니다. 그런 다음 페이지 상단에서 **CSV로 내보내기**를 선택합니다. 테이블에서 최대 50,000개의 행을 내보낼 수 있습니다.
## S3 버킷의 세부 정보 검토
S3 범용 버킷에 대한 세부 정보 및 통계를 검토하려면 Amazon Macie 콘솔의 **S3 버킷** 페이지에 있는 세부 정보 패널을 사용하면 됩니다. 패널에는 버킷 데이터의 보안 및 개인 정보 보호에 대한 인사이트를 제공하는 세부 정보와 통계가 표시됩니다.
예를 들어, S3 버킷의 퍼블릭 액세스 설정의 세부 분석을 검토하고, 버킷이 객체를 복제하도록 구성되어 있는지 또는 다른 AWS 계정과 공유되는지 여부를 확인할 수 있습니다. 또한 버킷에서 민감한 데이터를 검사하도록 민감한 데이터 검색 작업이 구성되어 있는지도 확인할 수 있습니다. 있는 경우, 가장 최근에 실행된 작업에 대한 세부 정보에 액세스하고 해당 작업에서 생성된 조사 결과를 선택적으로 표시할 수 있습니다.
민감한 데이터 자동 검색이 활성화된 경우, 세부 정보 패널을 사용하여 민감한 데이터 검색 통계 및 개별 S3 버킷에 대한 기타 정보를 검토할 수도 있습니다. 이 패널은 Macie가 지금까지 버킷에 대해 수행한 민감한 자동 데이터 검색 활동의 결과를 캡처합니다. 이러한 세부 정보에 대해 자세히 알아보려면, [S3 버킷의 데이터 민감도 세부 정보 검토](discovery-asdd-results-s3-inventory-details.md)을 참조하세요.
**S3 버킷의 세부 정보를 검토하려면**
1. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)에서 Amazon Macie 콘솔을 엽니다.
1. 탐색 창에서 **S3 버킷**을 선택합니다. **S3 버킷** 페이지에는 버킷 인벤토리가 표시됩니다.
민감한 데이터 자동 검색이 활성화된 경우 기본 보기에는 현재 자동 검색에서 제외된 버킷에 대한 데이터가 표시되지 않습니다. 이 데이터를 표시하려면 필터 상자 아래의 **자동 검색으로 모니터링됨** 필터 토큰에서 **X**를 선택합니다.
1. 필요에 따라 페이지 상단에서 새로 고침(![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/ko_kr/macie/latest/user/images/btn-refresh-data.png))을 선택하여 Amazon S3에서 최신 버킷 메타데이터를 검색할 수 있습니다.
1. 세부 정보를 검토하려는 버킷을 선택합니다. 세부 정보 패널에는 버킷에 대한 통계 및 기타 정보가 표시됩니다.
세부 정보 패널에서 통계 및 정보는 다음과 같은 기본 섹션으로 구성되어 있습니다.
[**개요**](#monitoring-s3-inventory-view-details-general) [**\$1 [**객체 통계**](#monitoring-s3-inventory-view-details-objects) \$1 [**서버 측 암호화**](#monitoring-s3-inventory-view-details-sse) \$1 [**민감한 데이터 검색**](#monitoring-s3-inventory-view-details-discovery) \$1 [**퍼블릭 액세스**](#monitoring-s3-inventory-view-details-public-access) \$1 [**복제**](#monitoring-s3-inventory-view-details-replication)\$1 태그**](#monitoring-s3-inventory-view-details-tags)
각 섹션의 정보를 검토하면서, 선택적으로 특정 필드를 피벗하고 드릴다운할 수 있습니다. 필드 값이 동일한 버킷을 표시하려면 필드에서 ![\[The zoom in icon, which is a magnifying glass that has a plus sign in it.\]](http://docs.aws.amazon.com/ko_kr/macie/latest/user/images/icon-magnifying-glass-plus-sign.png)를 선택합니다. 필드에 다른 값이 있는 버킷을 표시하려면 필드에서 ![\[The zoom out icon, which is a magnifying glass that has a minus sign in it.\]](http://docs.aws.amazon.com/ko_kr/macie/latest/user/images/icon-magnifying-glass-minus-sign.png)를 선택합니다.
### 개요
이 섹션에서는 버킷 이름, 버킷이 생성된 시간, 버킷을 소유 AWS 계정 한의 계정 ID와 같은 버킷에 대한 일반적인 정보를 제공합니다. 특히 **최종 업데이트** 필드에는 Macie가 Amazon S3에서 가장 최근에 버킷 또는 버킷 객체에 대한 메타데이터를 검색한 시기가 표시됩니다.
**공유 액세스** 필드는 버킷이 다른와 공유되는지 AWS 계정, Amazon CloudFront 오리진 액세스 ID(OAI) 또는 CloudFront 오리진 액세스 제어(OAC)와 공유되는지 여부를 나타냅니다.
+ **외부** - 버킷은 하나 이상의 CloudFront OAI, CloudFront OAC 또는 조직의 외부(조직의 일부가 아닌) 계정 또는 이들의 조합과 공유됩니다.
+ **내부** - 버킷은 조직 내부(일부)에 있는 하나 이상의 계정과 공유됩니다. CloudFront OAI 또는 OAC와 공유되지 않습니다.
+ **공유되지 않음** - 버킷은 다른 계정, CloudFront OAI 또는 CloudFront OAC와 공유되지 않습니다.
+ **알 수 없음** - Macie가 버킷의 공유된 접속 설정을 평가할 수 없었습니다. 예를 들어 할당량이나 일시적인 문제로 인해 Macie는 필요한 데이터를 검색하고 평가할 수 없었습니다.
버킷이 다른 버킷과 공유되는지 확인하기 위해 AWS 계정 Macie는 버킷에 대한 버킷 정책 및 액세스 제어 목록(ACL)을 분석합니다. 분석은 버킷 수준 설정으로 제한됩니다. 버킷에서 특정 객체를 공유하기 위한 객체 수준 설정은 반영되지 않습니다. 또한 *조직은* AWS Organizations 또는 Macie 초대를 통해 관련 계정 그룹으로 중앙에서 관리되는 Macie 계정 집합으로 정의됩니다. 버킷 공유를 위한 Amazon S3 옵션에 대한 자세한 내용은 *Amazon Simple Storage Service 사용 설명서*의 [액세스 제어를](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html) 참조하세요.
**참고**
경우에 따라 Macie는 버킷이 조직 외부(일부 아님)에 AWS 계정 있는와 공유되었음을 잘못 나타낼 수 있습니다. 이는 Macie가 버킷 정책의 `Principal` 요소와 정책의 `Condition` 요소의 특정 [AWS 글로벌 조건 컨텍스트 키](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) 또는 [Amazon S3 조건 키](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-policy-keys) 간의 관계를 완전히 평가할 수 없는 경우 발생할 수 있습니다. 이는 `aws:PrincipalAccount`, , , `aws:PrincipalArn`, , , , `aws:PrincipalOrgID`, `aws:PrincipalOrgPaths`, `aws:PrincipalTag``aws:PrincipalType``aws:SourceAccount``aws:SourceArn`, `aws:SourceIp``aws:SourceOrgID`, `aws:SourceOrgPaths`, `aws:SourceVpc`, , `aws:SourceVpce`, 및 조건 키의 경우일 수 `aws:userid` `s3:DataAccessPointAccount`있습니다`s3:DataAccessPointArn`.
버킷 정책을 검토하여 이러한 액세스가 의도적이고 안전한지 판단하는 것이 좋습니다.
버킷이 다른 와 공유하고 있는지 확인하기 위해 Macie는 해당 버킷의 버킷 정책과 ACL을 분석합니다. CloudFront OAI 또는 OAC를 사용하면 사용자가 하나 이상의 지정된 CloudFront 배포를 통해 버킷의 객체에 액세스할 수 있습니다. CloudFront OAI 및 OAC에 대해 알아보려면 *Amazon CloudFront 개발자 안내서*의 [Amazon S3 오리진에 대한 액세스 제한](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html)을 참조하세요.
**개요** 섹션에는 **최신 자동 검색 실행** 필드도 포함되어 있습니다. 이 필드는 Macie가 자동 검색을 수행하면서 가장 최근에 버킷의 객체를 분석한 시기를 나타냅니다. 이 분석이 수행되지 않은 경우 이 필드에 대시(–)가 나타납니다.
### 객체 통계
이 섹션에서는 버킷에 있는 객체의 (**총 개수**), 모든 객체의 총 스토리지 크기(**총 스토리지 크기**), 압축(.gz, .gzip 또는 .zip) 파일인 모든 객체의 총 스토리지 크기(**총 압축 크기**)를 비롯하여 버킷에 있는 객체에 대한 정보를 확인할 수 있습니다. 이 섹션의 추가 통계를 통해 Macie가 버킷에서 민감한 데이터를 감지하기 위해 분석할 수 있는 데이터의 양을 평가할 수 있습니다.
최근에 버킷을 생성했거나 지난 24시간 동안 버킷 객체를 크게 변경한 경우, 선택적으로 새로 고침(![\[The refresh button, which is a button that displays an empty, dark gray circle with an arrow.\]](http://docs.aws.amazon.com/ko_kr/macie/latest/user/images/btn-refresh-object-data.png))을 선택하여 버킷 객체에 대한 최신 메타데이터를 검색할 수 있습니다. Macie는 정보 아이콘 (![\[The information icon, which is a blue circle that has a lowercase letter i in it.\]](http://docs.aws.amazon.com/ko_kr/macie/latest/user/images/icon-info-blue.png))을 표시하여 해당 여부를 판단하는 데 도움을 줍니다. 새로 고침 옵션은 저장된 객체가 30,000개 이하인 버킷에 사용할 수 있습니다.
이 섹션의 통계를 검토할 때 다음 사항에 유의하세요.
+ 버킷에 대해 버전 관리가 활성화된 경우, 크기 값은 해당 버킷에 있는 각 객체의 최신 버전 스토리지 크기를 기준으로 합니다.
+ 버킷에 압축된 객체가 저장되어 있는 경우, 압축이 해제된 후의 크기 값은 객체의 실제 크기를 반영하지 않습니다.
+ 버킷의 객체 메타데이터를 새로 고침하면, Macie는 객체에 적용되는 암호화 통계를 일시적으로 *알 수 없음*으로 보고합니다. Macie는 24시간 이내에 버킷 및 객체 메타데이터를 다음 [일일 새로 고침](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh)을 수행할 때 이러한 통계에 대한 데이터를 재평가하고 업데이트합니다.
+ 기본적으로 객체 수와 크기 값에는 불완전한 멀티파트 업로드로 인해 버킷에 포함된 모든 객체 파트에 대한 데이터가 포함됩니다. 버킷의 객체 메타데이터를 새로 고침하면, Macie는 다시 계산된 값에서 객체 파트에 대한 데이터를 제외합니다. Macie가 버킷 및 객체 메타데이터의 다음 일일 새로 고침을 수행할 때(24시간 이내), Macie는 이러한 통계의 값을 다시 계산하여 업데이트하고 객체 파트에 대한 데이터를 다시 값에 포함합니다.
Macie는 민감한 데이터를 감지하기 위해 객체 부분을 분석할 수 없습니다. Amazon S3는 먼저 Macie가 분석할 수 있도록 부품을 하나 이상의 객체로 조립하는 작업을 완료해야 합니다. 수명 주기 규칙에 따라 파트를 자동으로 삭제하는 방법을 비롯하여 멀티파트 업로드 및 객체 파트에 대한 자세한 내용은 *Amazon Simple Storage Service 사용 설명서*의 [멀티파트 업로드를 사용한 객체 업로드 및 복사](https://docs.aws.amazon.com/AmazonS3/latest/userguide/mpuoverview.html)를 참조하세요. Amazon S3 Storage Lens에서 *불완전한 멀티파트 업로드* 지표를 참조하여 객체 부분이 포함된 버킷을 식별할 수 있습니다. 자세한 내용은 *Amazon Simple Storage Service 사용 설명서*의 [스토리지 활동 및 사용량 평가](https://docs.aws.amazon.com/AmazonS3/latest/userguide/storage_lens.html)를 참조하세요.
객체 통계는 다음과 같이 구성됩니다.
**분류 가능한 객체**
이 섹션에는 Macie가 민감한 데이터를 감지하기 위해 분석할 수 있는 총 객체 수와 해당 객체의 총 스토리지 크기가 표시됩니다. 이러한 객체는 지원되는 Amazon S3 스토리지 클래스를 사용하며 지원되는 파일 또는 스토리지 형식에 대한 파일 이름 확장자를 가집니다. Macie를 사용하여 객체에서 민감한 데이터를 탐지할 수 있습니다. 자세한 내용은 [지원하는 스토리지 클래스 및 형식](discovery-supported-storage.md) 섹션을 참조하세요.
**분류할 수 없는 객체**
이 섹션에는 Macie가 민감한 데이터를 감지하기 위해 분석할 수 없는 총 객체 수와 해당 객체의 총 스토리지 크기가 표시됩니다. 이러한 객체는 지원되는 Amazon S3 스토리지 클래스를 사용하지 않거나 지원되는 파일 또는 스토리지 형식에 대한 파일 이름 확장자가 없습니다.
**분류할 수 없는 객체: 스토리지 클래스**
이 섹션에서는 지원되는 Amazon S3 스토리지 클래스를 사용하지 않기 때문에 Macie에서 분석할 수 없는 객체의 수와 스토리지 크기에 대한 세부 분석을 제공합니다.
**분류할 수 없는 객체: 파일 유형**
이 섹션에서는 객체에 지원되는 파일 또는 스토리지 형식에 대한 파일 이름 확장명이 없기 때문에 Macie가 분석할 수 없는 객체의 수와 스토리지 크기에 대한 세부 분석을 제공합니다.
**암호화 유형별 객체**
이 섹션에서는 Amazon S3가 지원하는 각 암호화 유형을 사용하는 객체 수를 분석합니다.
+ **고객 제공** - 고객이 제공한 키로 암호화된 객체 수입니다. 이러한 객체는 SSE-C 암호화를 사용합니다.
+ **AWS KMS 관리**형 - AWS 관리형 키 또는 고객 관리형 키로 암호화된 객체 AWS KMS key수입니다. 이러한 객체는 DSSE-KMS 또는 SSE-KMS 암호화를 사용합니다.
+ **Amazon S3 관리형** - Amazon S3 관리 키로 암호화된 객체 수입니다. 이러한 객체는 SSE-S3 암호화를 사용합니다.
+ **암호화 안 함** - 암호화되지 않았거나 클라이언트 측 암호화를 사용하는 객체 수입니다. (객체가 클라이언트측 암호화를 사용하여 암호화된 경우 Macie는 해당 객체의 암호화 데이터에 액세스하여 이를 보고할 수 없습니다.)
+ **알 수 없음** - Macie에 현재 암호화 메타데이터가 없는 객체 수입니다. 이는 일반적으로 최근에 버킷 객체의 메타데이터를 수동으로 새로 고침한 경우에 발생합니다. Macie는 24시간 이내에 버킷 및 객체 메타데이터의 다음 일일 새로 고침을 수행할 때 암호화 통계를 업데이트합니다.
지원되는 각 암호화 유형에 대한 자세한 내용은 Amazon Simple Storage Service 사용 설명서**에서 [암호화를 사용하여 데이터 보호하기](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingEncryption.html)를 참조하세요.
### 서버 측 암호화
이 섹션에서는 버킷의 서버 측 암호화 설정에 대한 인사이트를 제공합니다.
**버킷 정책에 필요한 암호화** 필드에는 버킷에 객체를 추가할 때 버킷의 정책에서 객체의 서버 측 암호화를 요구하는지 여부가 표시됩니다.
+ **아니요** - 버킷에 버킷 정책이 없거나 버킷 정책에 새 객체의 서버 측 암호화가 필요하지 않습니다. 버킷 정책이 있는 경우, 유효한 서버 측 암호화 헤더를 포함하는 [PutObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html) 요청을 요구하지 않습니다.
+ **예** - 버킷 정책에 따라 새 객체의 서버 측 암호화가 필요합니다. 버킷에 대한 **PutObject** 요청에는 유효한 서버 측 암호화 헤더가 포함되어야 합니다. 그렇지 않으면 Amazon S3은 요청을 거부합니다.
+ **알 수 없음** - Macie에서 버킷 정책을 평가하여 새 객체의 서버 측 암호화가 필요한지 여부를 결정할 수 없습니다. 예를 들어 할당량이나 문제로 인해 Macie는 정책을 검색하고 평가할 수 없었습니다.
이 평가에서 유효한 서버 측 암호화 헤더는 다음과 같습니다: 값이 `AES256` 또는 `aws:kms`인 경우`x-amz-server-side-encryption`, 값이 `AES256`인 경우 `x-amz-server-side-encryption-customer-algorithm`입니다. 버킷 정책을 사용하여 새 객체에 대한 서버측 암호화를 요구하는 방법에 대한 자세한 내용은 Amazon Simple Storage Service 사용 설명서**에서 [서버 측 암호화를 사용하여 데이터 보호하기](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html)를 참조하세요.
**기본 암호화** 필드는 버킷에 추가되는 객체에 기본적으로 적용하도록 버킷이 구성된 서버 측 암호화 알고리즘을 나타냅니다.
+ **AES256** - 버킷의 기본 암호화 설정은 Amazon S3 관리 키를 사용하여 새 객체를 암호화하도록 구성되어 있습니다. 새 객체는 SSE-S3 암호화를 사용하여 자동으로 암호화됩니다.
+ **aws:kms** - 버킷의 기본 암호화 설정은 AWS 관리형 키 또는 고객 관리형 키를 사용하여 새 객체 AWS KMS key를 암호화하도록 구성됩니다. 새 객체는 SSE-KMS 암호화를 사용하여 자동으로 암호화됩니다. **AWS KMS key** 필드에는 사용된 키의 Amazon 리소스 이름(ARN) 또는 고유 식별자(키 ID)가 표시됩니다.
+ **aws:kms:dsse** – 버킷의 기본 암호화 설정은 AWS 관리형 키 또는 고객 관리형 키를 사용하여 새 객체 AWS KMS key를 암호화하도록 구성됩니다. 새 객체는 DSSE-KMS 암호화를 사용하여 자동으로 암호화됩니다. **AWS KMS key** 필드에는 사용된 키의 ARN 또는 키 ID가 표시됩니다.
+ **없음** - 버킷의 기본 암호화 설정이 새 객체에 대한 서버 측 암호화 동작을 지정하지 않습니다.
2023년 1월 5일부터 Amazon S3가 Amazon S3 관리형 키를 사용한 서버 측 암호화 (SSE-S3) 를 버킷에 추가되는 객체의 암호화의 기본 수준으로 자동 적용합니다. 선택적으로 키를 사용한 서버 측 암호화(SSE-KMS) 또는 AWS KMS 키를 사용한 이중 계층 서버 측 암호화 AWS KMS (DSSE-KMS)를 대신 사용하도록 버킷의 기본 암호화 설정을 구성할 수 있습니다. 기본 암호화 설정 및 옵션에 대한 자세한 내용은 *Amazon Simple Storage Service 사용 설명서*의 [S3 버킷의 기본 서버 측 암호화 동작 설정](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html)을 참조하세요.
### 민감한 데이터 검색
이 섹션은 민감한 데이터 검색 작업이 버킷의 객체를 매일, 매주 또는 매월 정기적으로 분석하도록 구성되어 있는지 여부를 나타냅니다. **작업별 활성 모니터링** 필드 값이 *예*이면, 해당 버킷이 명시적으로 정기적인 작업에 포함되어 있거나 버킷이 지난 24시간 이내에 정기적인 작업 기준과 일치한 경우입니다. 또한 이러한 작업 중 하나 이상의 상태는 *취소*되지 않습니다. Macie는 이 데이터를 매일 업데이트합니다.
버킷의 객체를 분석하기 위해 모든 유형의 민감한 데이터 검색 작업(정기 작업 또는 일회성 작업)을 구성한 경우, **최신 작업** 필드에는 가장 최근에 실행을 시작한 작업의 고유 식별자가 제공됩니다. **최근 작업 실행** 필드에는 해당 작업이 실행되기 시작한 시간이 표시됩니다.
**작은 정보**
작업에서 생성된 모든 민감한 데이터 결과를 표시하려면 **최근 작업(Latest job)** 필드에서 링크를 선택합니다. 작업 세부 정보 패널이 나타나면, 패널 상단에서 **결과 표시**를 선택한 다음 **조사 결과 보기**를 선택합니다.
### 공개 액세스(Public access)
이 섹션은 버킷에 퍼블릭 액세스가 가능한지를 나타냅니다. 또한 해당 여부를 결정하는 다양한 계정 및 버킷 수준 설정에 대한 분석도 제공합니다. **유효 권한** 필드에는 이러한 설정의 누적 결과가 표시됩니다.
+ **비공개** - 버킷에 공개적으로 액세스할 수 없습니다.
+ **공개** - 버킷에 공개적으로 액세스할 수 있습니다.
+ **알 수 없음** - Macie가 버킷의 퍼블릭 액세스 설정을 평가할 수 없었습니다. 예를 들어 할당량이나 일시적인 문제로 인해 Macie는 필요한 데이터를 검색하고 평가할 수 없었습니다.
이 평가를 위해 Macie는 각 버킷에 대한 계정 및 버킷 수준 설정의 조합, 즉 계정에 대한 퍼블릭 액세스 차단 설정, 버킷에 대한 퍼블릭 액세스 차단 설정, 버킷에 대한 버킷 정책, 버킷에 대한 액세스 제어 목록(ACL)을 분석합니다. 버킷의 특정 객체에 대한 퍼블릭 액세스를 활성화하는 객체 수준 설정은 평가에 포함되지 않습니다.
버킷 및 버킷 데이터에 대한 퍼블릭 액세스를 관리하기 위한 Amazon S3 설정에 대해 알아보려면 Amazon *Simple Storage Service 사용 설명서의 Amazon* S3 스토리지에 대한 [액세스 제어](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html) 및 퍼블릭 액세스 차단을 참조하세요. [ Amazon S3 ](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html)
### 복제
이 섹션에서 **복제됨** 필드에는 버킷이 다른 버킷에 객체를 복제하도록 구성되어 있는지 여부가 표시됩니다. 이 필드의 값이 *‘예’*이면, 버킷에 대해 하나 이상의 복제 규칙이 구성되고 활성화된 것입니다. 그런 다음이 섹션에는 대상 버킷을 소유 AWS 계정 한 각의 계정 ID도 나열됩니다.
**외부 복제** 필드는 버킷이 조직 외부(일부 아님)에 AWS 계정 있는의 버킷에 객체를 복제하도록 구성되어 있는지 여부를 나타냅니다. *조직은* AWS Organizations 또는 Macie 초대를 통해 관련 계정 그룹으로 중앙에서 관리되는 Macie 계정 집합입니다. 이 필드의 값이 *예*인 경우 버킷에 대해 복제 규칙이 구성 및 활성화되고 외부에서 소유한 버킷에 객체를 복제하도록 규칙이 구성됩니다 AWS 계정.
**참고**
특정 조건에서 Macie는 버킷이 외부에서 소유한 버킷에 객체를 복제하도록 구성되어 있음을 잘못 나타낼 수 있습니다 AWS 계정. 이는 Macie가 [일일 새로 고침 주기](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh)의 일부로 Amazon S3에서 버킷 및 객체 메타데이터를 검색한 후 이전 24시간 동안 다른 AWS 리전 에서 대상 버킷을 생성한 경우 발생할 수 있습니다. Macie를 사용하여 문제를 조사하려면, 새로 고침(![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/ko_kr/macie/latest/user/images/btn-refresh-data.png))을 선택하여 Amazon S3에서 최신 버킷 메타데이터를 검색합니다. 그런 다음 이 섹션의 계정 ID 목록을 검토합니다. 더 심층적인 조사를 위해, Amazon S3를 사용하여 버킷의 복제 규칙을 검토합니다.
버킷 객체 복제를 위한 Amazon S3 옵션 및 설정에 대해 알아보려면, *Amazon Simple Storage Service 사용 설명서*에서 [객체 복제하기](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication.html)를 참조하세요.
### Tags
태그가 버킷과 연결된 경우, 이 섹션이 패널에 표시되고 해당 태그가 나열됩니다. 태그는 S3 버킷을 비롯한 특정 유형의 AWS 리소스에 정의하여 할당할 수 있는 레이블입니다. 각 태그는 필수 태그 키와 선택적 태그 값으로 구성됩니다.
버킷 태그 지정에 대한 자세한 내용은 *Amazon Simple Storage Service 사용 설명서*에서 [비용 할당 S3 버킷 태그 사용](https://docs.aws.amazon.com/AmazonS3/latest/userguide/CostAllocTagging.html)을 참조하세요.
# Macie에서 S3 버킷 인벤토리 필터링
특정 특성을 가진 버킷을 식별하고 집중하기 위해 Amazon Macie 콘솔과 Amazon Macie API를 사용하여 프로그래밍 방식으로 제출하는 쿼리에서 S3 버킷 인벤토리를 필터링할 수 있습니다. 필터를 생성할 때는 특정 버킷 속성을 사용하여 보기 또는 쿼리 결과에서 버킷을 포함하거나 제외하는 기준을 정의합니다. *버킷 속성*은 버킷의 특정 메타데이터를 저장하는 필드입니다.
Macie에서 필터는 하나 이상의 조건으로 구성됩니다. *기준*이라고도 하는 각 조건은 다음과 같은 세 부분으로 구성됩니다.
+ **버킷 이름**, **태그 키** 또는 **작업에 정의됨**과 같은 속성 기반 필드.
+ *equals* 또는 *not equals*와 같은 연산자입니다.
+ 하나 이상의 값입니다. 값의 유형과 개수는 선택한 필드와 연산자에 따라 달라집니다.
필터 조건을 정의하고 적용하는 방법은 Amazon Macie 콘솔을 사용하는지 아니면 Amazon Macie API를 사용하는지에 따라 다릅니다.
**Topics**
+ [콘솔에서 인벤토리 필터링](#monitoring-s3-inventory-filter-console)
+ [프로그래밍 방식으로 인벤토리 필터링](#monitoring-s3-inventory-filter-api)
## Amazon Macie 콘솔에서 인벤토리 필터링
Amazon Macie 콘솔을 사용하여 S3 버킷 인벤토리를 필터링하는 경우, Macie는 개별 조건에 대한 필드, 연산자, 값을 선택하는 데 도움이 되는 옵션을 제공합니다. 다음 이미지와 같이 **S3 버킷** 페이지의 필터 상자를 사용하여 이러한 옵션에 액세스할 수 있습니다.
![\[S3 버킷 페이지의 필터 상자.\]](http://docs.aws.amazon.com/ko_kr/macie/latest/user/images/scrn-buckets-filter-bar-empty.png)
필터 상자에 커서를 놓으면 Macie는 필터 조건에서 사용할 수 있는 필드 목록을 표시합니다. 필드는 논리적 범주별로 구성되어 있습니다. 예를 들어, **일반 필드** 카테고리에는 S3 버킷에 대한 일반 정보를 저장하는 필드가 포함됩니다. **퍼블릭 액세스** 카테고리에는 버킷에 적용할 수 있는 다양한 유형의 퍼블릭 액세스 설정에 대한 데이터를 저장하는 필드가 있습니다. 필드는 각 범주 내에서 알파벳순으로 정렬됩니다.
조건을 추가하려면 먼저 목록에서 필드를 선택합니다. 필드를 찾으려면 전체 목록을 찾아보거나 필드 이름의 일부를 입력하여 필드 목록의 범위를 좁힙니다.
선택한 필드에 따라 Macie는 다른 옵션을 표시합니다. 옵션은 선택한 필드의 유형과 특성을 반영합니다. 예를 들어 **공유 액세스** 필드를 선택하면 Macie는 선택할 수 있는 값 목록을 표시합니다. **버킷 이름** 필드를 선택하면 Macie는 S3 버킷의 이름을 입력할 수 있는 텍스트 상자를 표시합니다. 어떤 필드를 선택하든 Macie는 필드에 필요한 설정이 포함된 조건을 추가하는 단계를 안내합니다.
조건을 추가한 후 Macie는 조건에 대한 기준을 적용하고, 다음 이미지와 같이 필터 상자 아래에 있는 필터 토큰에 조건을 표시합니다.
![\[조건에 대한 필터 토큰이 있는 필터 상자.\]](http://docs.aws.amazon.com/ko_kr/macie/latest/user/images/scrn-buckets-filter-bar-public.png)
이 예제에서는 공개적으로 액세스할 수 있는 모든 버킷을 포함하고 다른 모든 버킷은 제외하도록 조건을 구성합니다. **유효한 권한** 필드의 값이 **공개**와 *같은* 버킷을 반환합니다.
조건을 추가하면 Macie는 조건을 적용하여 필터 상자 아래에 표시합니다. 여러 개의 조건을 추가하면 Macie는 AND 로직을 사용하여 조건을 결합하고 필터 기준을 평가합니다. 즉, S3 버킷은 필터의 모든 조건과 일치하는 경우에만 필터 기준과 일치합니다. 언제든지 필터 상자 아래 영역을 참조하여 어떤 기준을 적용했는지 확인할 수 있습니다.
**콘솔을 사용하여 인벤토리 필터링하기**
1. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)에서 Amazon Macie 콘솔을 엽니다.
1. 탐색 창에서 **S3 버킷**을 선택합니다. **S3 버킷** 페이지에는 버킷 인벤토리가 표시됩니다.
민감한 데이터 자동 검색이 활성화된 경우 기본 보기에는 현재 자동 검색에서 제외된 버킷에 대한 데이터가 표시되지 않습니다. 조직의 Macie 관리자인 경우 현재 자동 검색이 비활성화된 계정의 데이터도 표시되지 않습니다. 이 데이터를 표시하려면 필터 상자 아래의 **자동 검색으로 모니터링됨** 필터 토큰에서 **X**를 선택합니다.
1. 필요에 따라 페이지 상단에서 새로 고침(![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/ko_kr/macie/latest/user/images/btn-refresh-data.png))을 선택하여 Amazon S3에서 최신 버킷 메타데이터를 검색할 수 있습니다.
1. 필터 상자에 커서를 놓고 조건에 사용할 필드를 선택합니다.
1. 다음 팁을 염두에 두고 필드에 적합한 유형의 값을 선택하거나 입력하세요.
**날짜, 시간, 시간 범위**
날짜 및 시간의 경우 **시작** 및 **종료** 상자를 사용하여 포함된 시간 범위를 정의합니다.
+ 고정된 시간 범위를 정의하려면, **시작** 및 **종료** 상자를 사용하여 범위의 첫 번째 날짜 및 시간과 마지막 날짜 및 시간을 각각 지정합니다.
+ 특정 날짜와 시간에 시작하여 현재 시간에 끝나는 상대적인 시간 범위를 정의하려면, **시작** 상자에 시작 날짜와 시간을 입력하고 **종료** 상자의 모든 텍스트를 삭제합니다.
+ 특정 날짜 및 시간에 종료되는 상대적 시간 범위를 정의하려면, **종료** 상자에 종료 날짜 및 시간을 입력하고 **시작** 상자의 모든 텍스트를 삭제합니다.
참고로 시간 값은 24시간 표기법을 사용합니다. 날짜 선택기를 사용하여 날짜를 선택하는 경우, **시작** 및 **종료** 상자에 직접 텍스트를 입력하여 값을 조정할 수 있습니다.
**숫자 및 숫자 범위**
숫자 값의 경우 **시작** 및 **종료** 상자를 사용하여 포함된 숫자 범위를 정의하는 정수를 입력합니다.
+ 고정된 숫자 범위를 정의하려면 **시작** 및 **종료** 상자를 사용하여 범위의 가장 낮은 숫자와 가장 큰 숫자를 각각 지정합니다.
+ 특정 값 하나로 제한되는 고정 숫자 범위를 정의하려면 **시작** 및 **종료** 상자 모두에 값을 입력합니다. 예를 들어 정확히 15개의 객체를 저장하는 S3 버킷만 포함하려면 **시작** 및 **종료** 상자에 **15**를 입력합니다.
+ 특정 숫자에서 시작하는 상대적 숫자 범위를 정의하려면 **시작** 상자에 숫자를 입력하고 **종료** 상자에는 텍스트를 입력하지 마세요.
+ 특정 숫자에서 끝나는 상대적 숫자 범위를 정의하려면 **종료** 상자에 숫자를 입력하고 **시작** 상자에는 텍스트를 입력하지 마세요.
**텍스트(문자열) 값**
이 유형의 값에는 필드에 대해 완전하고 유효한 값을 입력합니다. 값은 대소문자를 구분합니다.
이 유형의 값에는 부분 값이나 와일드카드 문자를 사용할 수 없다는 점에 유의하세요. 유일한 예외는 **버킷 이름** 필드입니다. 해당 필드에는 전체 버킷 이름 대신 접두사를 지정할 수 있습니다. 예를 들어 이름이 *my-S3*로 시작하는 모든 S3 버킷을 찾으려면 **버킷 이름** 필드에 필터 값으로 **my-S3**를 입력합니다. **My-s3** 또는 **my\$1**와 같은 다른 값을 입력하면 Macie는 버킷을 반환하지 않습니다.
1. 필드에 값을 모두 추가했으면 **적용**을 선택합니다. Macie는 필터 기준을 적용하고 필터 상자 아래의 필터 토큰에 조건을 표시합니다.
1. 추가할 각 추가 조건에 대해 4\$16단계를 반복합니다.
1. 조건을 제거하려면 조건에 대한 필터 토큰에서 **X**를 선택합니다.
1. 조건을 변경하려면 조건에 대한 필터 토큰에서 **X**를 선택하여 조건을 제거합니다. 그런 다음 4\$16단계를 반복하여 올바른 설정이 포함된 조건을 추가합니다.
## Amazon Macie API를 사용하여 프로그래밍 방식으로 인벤토리를 필터링합니다.
프로그래밍 방식으로 S3 버킷 인벤토리를 필터링하려면 Amazon Macie API의 [DescribeBuckets](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3.html) 작업을 사용하여 제출하는 쿼리에 필터 기준을 지정합니다. 이 작업은 객체의 배열을 반환합니다. 각 객체에는 필터 기준과 일치하는 버킷에 대한 통계 데이터 및 기타 정보가 들어 있습니다.
쿼리에서 필터 기준을 지정하려면 요청에 필터 조건 맵을 포함합니다. 각 조건에 대해 필드, 연산자, 하나 이상의 필드 값을 지정합니다. 값의 유형과 개수는 선택한 필드와 연산자에 따라 달라집니다. 조건에서 사용할 수 있는 필드, 연산자 및 값 유형에 대한 자세한 내용은 *Amazon Macie API 참조*의 [Amazon S3 데이터 소스](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3.html) 섹션을 참조하세요.
다음 예제는 [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html)를 사용하여 제출하는 쿼리에 필터 기준을 지정하는 방법을 보여줍니다. 다른 AWS 명령줄 도구 또는 AWS SDK의 최신 버전을 사용하거나 Macie에 직접 HTTPS 요청을 전송하여이 작업을 수행할 수도 있습니다. AWS 도구 및 SDKs에 대한 자세한 내용은 [빌드 기반 도구를 AWS](https://aws.amazon.com/developer/tools/) 참조하세요.
**Topics**
+ [버킷 이름으로 버킷 찾기](#monitoring-s3-inventory-filter-api-example1)
+ [버킷에 공개적으로 액세스할 수 없음을 확인](#monitoring-s3-inventory-filter-api-example2)
+ [암호화되지 않은 객체가 저장된 버킷 찾기](#monitoring-s3-inventory-filter-api-example3)
+ [데이터를 외부 계정에 복제하는 버킷 찾기](#monitoring-s3-inventory-filter-api-example5)
+ [민감한 데이터 검색 작업으로 모니터링되지 않는 버킷 찾기](#monitoring-s3-inventory-filter-api-example4)
+ [민감한 데이터 자동 검색으로 모니터링되지 않는 버킷 찾기](#monitoring-s3-inventory-filter-api-example-asdd)
+ [여러 기준에 따라 버킷 찾기](#monitoring-s3-inventory-filter-api-example6)
이 예제에서는 [describe-buckets](https://docs.aws.amazon.com/cli/latest/reference/macie2/describe-buckets.html) 명령을 사용합니다. 이 명령이 성공적으로 실행되면 Macie는 `buckets` 배열을 반환합니다. 배열에는 현재에 있고 필터 기준 AWS 리전 과 일치하는 각 버킷에 대한 객체가 포함되어 있습니다. 이 출력의 예를 보려면 다음 섹션을 펼치세요.
### `buckets` 배열의 예
이 예제에서 `buckets` 배열은 쿼리에 지정된 필터 기준과 일치하는 두 버킷에 대한 세부 정보를 제공합니다.
```
{
"buckets": [
{
"accountId": "123456789012",
"allowsUnencryptedObjectUploads": "FALSE",
"automatedDiscoveryMonitoringStatus": "MONITORED",
"bucketArn": "arn:aws:s3:::amzn-s3-demo-bucket1",
"bucketCreatedAt": "2020-05-18T19:54:00+00:00",
"bucketName": "amzn-s3-demo-bucket1",
"classifiableObjectCount": 13,
"classifiableSizeInBytes": 1592088,
"jobDetails": {
"isDefinedInJob": "TRUE",
"isMonitoredByJob": "TRUE",
"lastJobId": "08c81dc4a2f3377fae45c9ddaexample",
"lastJobRunTime": "2024-05-26T14:55:30.270000+00:00"
},
"lastAutomatedDiscoveryTime": "2024-06-07T19:11:25.364000+00:00",
"lastUpdated": "2024-06-12T07:33:06.337000+00:00",
"objectCount": 13,
"objectCountByEncryptionType": {
"customerManaged": 0,
"kmsManaged": 2,
"s3Managed": 7,
"unencrypted": 4,
"unknown": 0
},
"publicAccess": {
"effectivePermission": "NOT_PUBLIC",
"permissionConfiguration": {
"accountLevelPermissions": {
"blockPublicAccess": {
"blockPublicAcls": true,
"blockPublicPolicy": true,
"ignorePublicAcls": true,
"restrictPublicBuckets": true
}
},
"bucketLevelPermissions": {
"accessControlList": {
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
},
"blockPublicAccess": {
"blockPublicAcls": true,
"blockPublicPolicy": true,
"ignorePublicAcls": true,
"restrictPublicBuckets": true
},
"bucketPolicy": {
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
}
}
}
},
"region": "us-east-1",
"replicationDetails": {
"replicated": false,
"replicatedExternally": false,
"replicationAccounts": []
},
"sensitivityScore": 78,
"serverSideEncryption": {
"kmsMasterKeyId": null,
"type": "NONE"
},
"sharedAccess": "NOT_SHARED",
"sizeInBytes": 4549746,
"sizeInBytesCompressed": 0,
"tags": [
{
"key": "Division",
"value": "HR"
},
{
"key": "Team",
"value": "Recruiting"
}
],
"unclassifiableObjectCount": {
"fileType": 0,
"storageClass": 0,
"total": 0
},
"unclassifiableObjectSizeInBytes": {
"fileType": 0,
"storageClass": 0,
"total": 0
},
"versioning": true
},
{
"accountId": "123456789012",
"allowsUnencryptedObjectUploads": "TRUE",
"automatedDiscoveryMonitoringStatus": "MONITORED",
"bucketArn": "arn:aws:s3:::amzn-s3-demo-bucket2",
"bucketCreatedAt": "2020-11-25T18:24:38+00:00",
"bucketName": "amzn-s3-demo-bucket2",
"classifiableObjectCount": 8,
"classifiableSizeInBytes": 133810,
"jobDetails": {
"isDefinedInJob": "TRUE",
"isMonitoredByJob": "FALSE",
"lastJobId": "188d4f6044d621771ef7d65f2example",
"lastJobRunTime": "2024-04-09T19:37:11.511000+00:00"
},
"lastAutomatedDiscoveryTime": "2024-06-07T19:11:25.364000+00:00",
"lastUpdated": "2024-06-12T07:33:06.337000+00:00",
"objectCount": 8,
"objectCountByEncryptionType": {
"customerManaged": 0,
"kmsManaged": 0,
"s3Managed": 8,
"unencrypted": 0,
"unknown": 0
},
"publicAccess": {
"effectivePermission": "NOT_PUBLIC",
"permissionConfiguration": {
"accountLevelPermissions": {
"blockPublicAccess": {
"blockPublicAcls": true,
"blockPublicPolicy": true,
"ignorePublicAcls": true,
"restrictPublicBuckets": true
}
},
"bucketLevelPermissions": {
"accessControlList": {
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
},
"blockPublicAccess": {
"blockPublicAcls": true,
"blockPublicPolicy": true,
"ignorePublicAcls": true,
"restrictPublicBuckets": true
},
"bucketPolicy": {
"allowsPublicReadAccess": false,
"allowsPublicWriteAccess": false
}
}
}
},
"region": "us-east-1",
"replicationDetails": {
"replicated": false,
"replicatedExternally": false,
"replicationAccounts": []
},
"sensitivityScore": 95,
"serverSideEncryption": {
"kmsMasterKeyId": null,
"type": "AES256"
},
"sharedAccess": "EXTERNAL",
"sizeInBytes": 175978,
"sizeInBytesCompressed": 0,
"tags": [
{
"key": "Division",
"value": "HR"
},
{
"key": "Team",
"value": "Recruiting"
}
],
"unclassifiableObjectCount": {
"fileType": 3,
"storageClass": 0,
"total": 3
},
"unclassifiableObjectSizeInBytes": {
"fileType": 2999826,
"storageClass": 0,
"total": 2999826
},
"versioning": true
}
]
}
```
필터 기준과 일치하는 버킷이 없는 경우 Macie는 빈 `buckets` 배열을 반환합니다.
```
{
"buckets": []
}
```
### 예: 버킷 이름으로 버킷 찾기
이 예제에서는 현재에 AWS 리전 있고 이름이 *my-S3*로 시작하는 버킷에 대한 메타데이터를 쿼리합니다.
Linux, macOS, Unix의 경우:
```
$ aws macie2 describe-buckets --criteria '{"bucketName":{"prefix":"my-S3"}}'
```
Microsoft Windows의 경우:
```
C:\> aws macie2 describe-buckets --criteria={\"bucketName\":{\"prefix\":\"my-S3\"}}
```
위치:
+ *bucketName*은 **버킷 이름** 필드의 JSON 이름을 지정합니다.
+ *prefix*는 *접두사* 연산자를 지정합니다.
+ *my-S3*는 **버킷 이름** 필드의 값입니다.
### 예: 공개적으로 액세스할 수 있는 버킷 찾기
이 예제에서는 현재 AWS 리전 에 있고 권한 설정의 조합에 따라 공개적으로 액세스할 수 있는 버킷에 대한 메타데이터를 쿼리합니다.
Linux, macOS, Unix의 경우:
```
$ aws macie2 describe-buckets --criteria '{"publicAccess.effectivePermission":{"eq":["PUBLIC"]}}'
```
Microsoft Windows의 경우:
```
C:\> aws macie2 describe-buckets --criteria={\"publicAccess.effectivePermission\":{\"eq\":[\"PUBLIC\"]}}
```
위치:
+ *publicAccess.effectivePermission*은 **유효한 권한** 필드의 JSON 이름을 지정합니다.
+ *eq*는 *등호* 연산자를 지정합니다.
+ *PUBLIC*은 **유효한 권한** 필드의 열거형 값입니다.
### 예: 암호화되지 않은 객체를 저장하는 버킷 찾기
이 예제에서는 현재에 AWS 리전 있고 암호화되지 않은 객체를 저장하는 버킷에 대한 메타데이터를 쿼리합니다.
Linux, macOS, Unix의 경우:
```
$ aws macie2 describe-buckets --criteria '{"objectCountByEncryptionType.unencrypted":{"gte":1}}'
```
Microsoft Windows의 경우:
```
C:\> aws macie2 describe-buckets --criteria={\"objectCountByEncryptionType.unencrypted\":{\"gte\":1}}
```
위치:
+ *objectCountByEncryptionType.unencrypted*는 **암호화 없음** 필드의 JSON 이름을 지정합니다.
+ *gte*는 *크거나 같음* 연산자를 지정합니다.
+ *1*은 **암호화 없음** 필드의 포괄적이고 상대적 숫자 범위 중 가장 낮은 값입니다.
### 예: 외부 계정에 데이터를 복제하는 버킷 찾기
이 예제에서는 현재에 AWS 리전 있고 조직의 일부가 AWS 계정 아닌의 버킷에 객체를 복제하도록 구성된 버킷에 대한 메타데이터를 쿼리합니다.
Linux, macOS, Unix의 경우:
```
$ aws macie2 describe-buckets --criteria '{"replicationDetails.replicatedExternally":{"eq":["true"]}}'
```
Microsoft Windows의 경우:
```
C:\> aws macie2 describe-buckets --criteria={\"replicationDetails.replicatedExternally\":{\"eq\":[\"true\"]}}
```
위치:
+ *replicationDetails.replicatedExternally*는 **외부에서 복제** 필드의 JSON 이름을 지정합니다.
+ *eq*는 *등호* 연산자를 지정합니다.
+ *true*는 **외부에서 복제** 필드의 부울 값을 지정합니다.
### 예: 민감한 데이터 검색 작업으로 모니터링되지 않는 버킷 찾기
이 예제에서는 현재에 AWS 리전 있고 주기적으로 민감한 데이터 검색 작업과 연결되지 않은 버킷에 대한 메타데이터를 쿼리합니다.
Linux, macOS, Unix의 경우:
```
$ aws macie2 describe-buckets --criteria '{"jobDetails.isMonitoredByJob":{"eq":["FALSE"]}}'
```
Microsoft Windows의 경우:
```
C:\> aws macie2 describe-buckets --criteria={\"jobDetails.isMonitoredByJob\":{\"eq\":[\"FALSE\"]}}
```
위치:
+ *jobDetails.isMonitoredByJob*은 **작업을 통해 적극적으로 모니터링됨** 필드의 JSON 이름을 지정합니다.
+ *eq*는 *등호* 연산자를 지정합니다.
+ *FALSE*는 **작업을 통해 적극적으로 모니터링됨** 필드의 열거형 값입니다.
### 예: 민감한 데이터 자동 검색으로 모니터링되지 않는 버킷 찾기
이 예제에서는 현재에 AWS 리전 있고 민감한 데이터 자동 검색에서 제외된 버킷에 대한 메타데이터를 쿼리합니다.
Linux, macOS, Unix의 경우:
```
$ aws macie2 describe-buckets --criteria '{"automatedDiscoveryMonitoringStatus":{"eq":["NOT_MONITORED"]}}'
```
Microsoft Windows의 경우:
```
C:\> aws macie2 describe-buckets --criteria={\"automatedDiscoveryMonitoringStatus\":{\"eq\":[\"NOT_MONITORED\"]}}
```
위치:
+ *automatedDiscoveryMonitoringStatus***는 자동 검색으로 모니터링**됨 필드의 JSON 이름을 지정합니다.
+ *eq*는 *등호* 연산자를 지정합니다.
+ *NOT\$1MONITORED*는 **자동 검색으로 모니터링됨** 필드의 열거형 값입니다.
### 예: 여러 기준에 따라 버킷 찾기
이 예제에서는 현재에 있고 다음 기준 AWS 리전 과 일치하는 버킷에 대한 메타데이터를 쿼리합니다.는 권한 설정의 조합을 기반으로 공개적으로 액세스할 수 있고, 암호화되지 않은 객체를 저장하며,는 주기적으로 민감한 데이터 검색 작업과 연결되지 않습니다.
Linux, macOS 또는 Unix의 경우, 가독성을 높이기 위해 백슬래시(\$1) 줄 연속 문자를 사용합니다.
```
$ aws macie2 describe-buckets \
--criteria '{"publicAccess.effectivePermission":{"eq":["PUBLIC"]},"objectCountByEncryptionType.unencrypted":{"gte":1},"jobDetails.isMonitoredByJob":{"eq":["FALSE"]}}'
```
Microsoft Windows의 경우 캐럿(^) 줄 연속 문자를 사용하여 가독성을 개선합니다.
```
C:\> aws macie2 describe-buckets ^
--criteria={\"publicAccess.effectivePermission\":{\"eq\":[\"PUBLIC\"]},\"objectCountByEncryptionType.unencrypted\":{\"gte\":1},\"jobDetails.isMonitoredByJob\":{\"eq\":[\"FALSE\"]}}
```
위치:
+ *publicAccess.effectivePermission*은 **유효한 권한** 필드의 JSON 이름을 지정합니다.
+ *eq*는 *등호* 연산자를 지정합니다.
+ *PUBLIC*은 **유효한 권한** 필드의 열거형 값입니다.
+ *objectCountByEncryptionType.unencrypted*는 **암호화 없음** 필드의 JSON 이름을 지정합니다.
+ *gte*는 *크거나 같음* 연산자를 지정합니다.
+ *1*은 **암호화 없음** 필드의 포괄적이고 상대적 숫자 범위 중 가장 낮은 값입니다.
+ *jobDetails.isMonitoredByJob*은 **작업을 통해 적극적으로 모니터링됨** 필드의 JSON 이름을 지정합니다.
+ *eq*는 *등호* 연산자를 지정합니다.
+ *FALSE*는 **작업을 통해 적극적으로 모니터링됨** 필드의 열거형 값입니다.