投稿日: May 17, 2021
Amazon Macie では、実行時の基準を定義して、機密データ検出ジョブに含める S3 バケットを決定できるようになりました。ジョブが実行されると、Macie は条件に一致する S3 バケットを識別し、それらの S3 バケットを自動的にジョブのスコープに追加したり、ジョブのスコープから削除したりします。この機能により、機密データについてモニタリングされる必要がある S3 バケットの管理が容易になり、また、新しく作成または変更された S3 バケットをモニタリングするために新しいジョブを作成する必要がなくなります。
基準は、アカウント、リソースタグ、パブリックアクセス許可、共有アクセス設定などのバケットプロパティから派生した 1 つ以上の条件で構成されます。例えば、アカウント内のパブリックにアクセス可能なすべての S3 バケットを対象とするバケット基準を使用してスケジュールされたジョブを設定できます。スケジュールされたジョブが実行されるたびに、Macie は、含める必要のある 1 つまたは複数のバケットを識別するために設定したジョブ基準を自動的に評価します。これにより、手動で介入することなく、アカウント内のパブリックにアクセス可能なすべてのバケットを継続的にモニタリングできます。パブリックにアクセス可能な新しいバケットが作成されるか、設定が変更されると、それらのバケットは、次回の実行時にスケジュールされた機密データ検出ジョブに自動的に追加されます。同様に、バケットポリシーの変更により、基準ベースのジョブのスコープからバケットが除外された場合、そのバケットは次のジョブ実行から自動的に除外されます。基準ベースのジョブの使用を開始するには、Macie でジョブを作成して [Specify bucket criteria] (バケット基準を指定) を選択するか、更新されたドキュメントページにアクセスしてください。
AWS マネジメントコンソールで 1 回クリックするか、単一の API 呼び出しを使用して、Amazon Macie の使用をすばやく簡単に開始できます。さらに、Macie は AWS Organizations を使用したマルチアカウントサポートを備えているため、すべての AWS アカウントでMacie を簡単に有効にできます。Macie が有効になると、バケットレベルで完全な S3 インベントリが自動的に収集され、すべてのバケットが自動的かつ継続的に評価されるため、パブリックにアクセス可能なバケット、暗号化されていないバケット、またはお客様の組織外の AWS アカウントと共有したバケットや複製したバケットにアラートが表示されます。その後、選択したバケットに機械学習とパターンマッチング手法を適用し、個人識別情報 (PII)、財務情報、信用に関する資料などの機密データを特定してアラートを発信します。これにより、医療保険の相互運用性と説明責任に関する法令 (HIPAA) や、一般データ保護規則 (GDPR) などの規制を遵守できます。