Amazon Macie를 활용한 민감 데이터 탐지 및 보호조치 자동화

많은 고객들이 AWS에서 각종 데이터 및 로그를 보관하고 활용하기 위해서 Amazon Simple Storage Service (S3)를 기본 스토리지로 선택합니다. S3는 안정적이면서 저렴하고 또한 간편하게 생성이 가능하여 다양한 버킷들이 활발하게 생성되고 여러 서비스와 계정에 공유되어 사용됩니다.
비지니스가 성장하면서 S3와 같은 공유 리소스에 저장되는 데이터의 양이 방대하게 늘어나고 있으며, 이로 인해 수많은 버킷에 있는 엄청난 양의 데이터들이 의도한 대로 분류되고 저장되고 활용되며 적절하게 보호되고 있는지를 확인하는 일에 소요되는 노력과 자원이 가중되고 있습니다. 특히 개인식별정보(PII, Personally Identifiable Information)나 회사의 민감정보가 지정된 버킷 외에 다른 버킷에 복사 되거나 잘못 저장되어, 의도하지 않게 노출되는 것은 반드시 방지되어야 하기 때문에 이러한 식별업무의 중요도 역시 함께 증가합니다. 또한 변화하고 강화되는 데이터 프라이버시 규정 및 민감 데이터에 대한 확장된 범위를 준수하기 위한 데이터 보안 요구 사항 역시 증대되고 있습니다

Amazon Macie 소개

이러한 워크로드를 효과적이고 안전하게 처리하기 위하여 사용할 수 있는 AWS 서비스가 Amazon Macie입니다. Amazon Macie는 기계 학습 및 패턴 매칭을 사용하여 민감 데이터를 검색하고, 데이터 보안 위험에 대한 중앙 집중화 된 가시성을 제공하며, 나아가 확인된 위험에 대한 자동 보호를 가능하게 하는 데이터 보안 서비스입니다. 고객은 Amazon Macie를 사용하여 Amazon S3 환경의 데이터 보안 태세를 관리하며, 발견된 이슈들에 대해서 적절한 처리를 수행 할 수 있습니다.

본 블로그에서는, Amazon Macie를 활용하여, 1) 민감정보 (개인정보 및 대외비 정보)가 포함된 버킷과 파일을 자동으로, 주기적으로 탐지하고, 2) 잘못 저장된 민감정보는 자동으로 민감정보 버킷으로 이동하며, 3) Amazon SNS를 통해서 담당자에게 적절한 알람이 가도록 구현하는 방법을 알아 보겠습니다.

Architecture 개요

사용하게 될 Architecture 개요는 아래와 같습니다. 회사에서 진행중인 대외비 프로젝트 관련 파일을 탐지하여, 위반이 발견된 파일에 대해서 즉시 대외비 버킷(Confidential Bucket)으로 이동하고, 위반한 버킷의 Owner에게 해당 사실을 통보하도록 자동화 하는 방안에 대해서 알아보겠습니다. 더불어서 개인정보가 포함된 파일에 대해서도 전체 버킷을 대상으로 매일 자동 점검하며, 탐지된 내용에 대해서는 직접 보안 담당자가 샘플링을 통해 확인하여 적절한 조치가 이루어지도록 할 수도 있습니다.

민감정보 탐지 및 이동 처리 자동화 구성도

Amazon Macie 설정 및 민감정보 설정

Amazon Macie 및 AWS Security Hub 활성화

Amazon Macie를 사용하기 위하여 설정을 진행합니다. Amazon Macie 콘솔로 이동해서, “시작하기”를 클릭하고 다음 화면에서 “Macie 활성화”를 클릭합니다. 별다른 설정 없이 클릭 한번으로 활성화가 진행되며, 최초 사용인 경우에는 30일 무료 평가 기간이 적용됩니다. (만약 활성화 버튼이 보이지 않는다면 이미 활성화 된 상황입니다.)

중앙 집중화 된 보안 태세관리를 위한 AWS Security Hub 역시 활성화 해 줍니다. AWS Security Hub 콘솔로 이동해서, “Security Hub로 이동”을 클릭하고 다음 화면에서 “Security Hub 활성화”를 클릭합니다. 보안 태세관리를 위해서는 보안 표준과, AWS Config를 함께 활성화 하는 것이 추천되지만, Macie에서 발생된 이벤트 처리만을 위해서라면 해당 구성은 하지 않아도 됩니다.

Amazon Macie 설정

Macie에서 탐지된 내용이 Security Hub로 집계 될 수 있도록, Macie 콘솔의 좌측 패널에서 “설정”을 클릭하고 다음 화면에서 “결과 게시“ 섹션으로 이동하여 ”대상“에 정책 결과 게시와 민감한 데이터 결과 게시 모두를 선택하고 ‘저장’을 클릭 합니다.

또한, Macie에서 탐지된 결과가 보관되도록 리포지토리를 S3에 구성해 주어야 합니다. Maice 콘솔의 좌측 패널에서 “설정” → “검색 결과”를 클릭하고 다음 화면에서 “지금 구성”을 클릭한 후에 탐지결과가 저장될 버킷과, 탐지결과를 암호화 하는데 사용할 KMS 키를 설정합니다.

이때, 만약 KMS key에서 권한 오류가 발생하면, “Key Management Service (KMS)“ 콘솔에서 해당 KMS 키의 ”키 정책” 탭에서 “편집” 버튼을 클릭한 후 아래와 같이 Macie의 권한을 추가합니다.

{
   "Sid": "Allow Macie to use the key",
   "Effect": "Allow",
   "Principal": {
      "Service": "macie.amazonaws.com"
   },
   "Action": [
      "kms:GenerateDataKey",
      "kms:Encrypt"
   ],
   "Resource": "<KEY ARN>",
   "Condition": {
      "StringEquals": {
         "aws:SourceAccount": "<ACCOUNT NUMBER>"
      },
      "ArnLike": {
         "aws:SourceArn": [
            "arn:aws:macie2:<REGION-ID>:<ACCOUNT NUMBER>:export-configuration:*",
            "arn:aws:macie2:<REGION-ID>:<ACCOUNT NUMBER>:classification-job/*"
         ]
      }
   }
}

이제 좌측 패널에서 “설정” → “샘플 표시” 를 클릭하여 화면을 이동하고, 실제 탐지된 값들이 결과화면에서 샘플링 될 수 있도록 활성화 해 줍니다.(샘플링 된 값을 암호화 하기 위하여 반드시 KMS 키를 적용하여야 합니다.) 만약 해당 기능을 Enable 하지 않으면 Macie는 민감정보가 몇 건 탐지 되었는지만 보여주며 실제 탐지 값을 확인하기 위해서는 원본 Object를 직접 열어 봐야 하기 때문에 불편할 수 있습니다. 따라서 권한을 가진 보안 담당자가 탐지 값들에 대하여 샘플링하여 일부를 즉시 확인할 수 있도록 하는 편이 업무 효율이 올라갑니다.

검색 대상 버킷의 복호화 권한 추가

또한 Macie가 암호화된 버킷의 내용을 검사할 수 있도록, 대상 버킷들의 KMS 키의 “키 정책”에서 아래와 같이 추가해 줍니다.

{
   "Sid": "Allow Macie Service Role to use the key",
   "Effect": "Allow",
   "Principal": {
      "AWS": "arn:aws:iam::<ACCOUNT NUMBER>:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie"
   },
   "Action": [
      "kms:Decrypt"
   ],
   "Resource": "*"
}

민감정보 지정

민감정보로 탐지하기 위한 custom data identifier (사용자 지정 데이터 식별자)를 작성해 봅니다. 여기서는 테스트를 위해서 “대외비”, “비밀”, “Project MARS”를 대외비용 식별자로 지정하고, 주민등록번호 정규식, 신용카드 번호, 그리고 전화번호 정규식을 PII 식별자로 적용하도록 하겠습니다.

Amazon Macie 콘솔로 이동해서, “설정” → 사용자 지정 데이터 식별자“를 클릭합니다. ”생성“을 클릭한 다음 필요한 정규식 (?i)MARS를 입력 합니다. 아래의 예에서는 ”Project MARS”를 예로 입력하였습니다. 대소문자를 무시하는 “MARS”라는 단어가 키워드 “project”, “대외비”, 또는 “비밀”이라는 단어와 거리 30이내에 위치할 때 식별하도록 합니다.

샘플 데이터를 이용해서 위의 규칙이 정상적으로 동작하는 지 테스트 해 볼 수 있습니다.

Project MARS
PROJECT MARS
ProjectMars
ProjectSUN
SUN Project
Mars는 대외비로서
비밀 프로젝트인 MARS를 통해서
SUN 계획을 이용하여

보시는 것처럼 의도한 대로 탐지하는 것이 확인됩니다. “제출”을 클릭합니다.

이제 이어서 주민등록번호와 전화번호에 대한 정규식을 지정해 봅니다. (신용카드 번호는 이미 사전에 정의된 preset에 포함되어 있어서 별도로 작성할 필요가 없습니다.)

먼저 주민등록번호 입니다.
정규식 패턴으로 아래 값을 입력해 주고,

^(?:[0-9]{2}(?:0[1-9]|1[0-2])(?:0[1-9]|[1,2][0-9]|3[0,1]))[-]*[1-4][0-9]{6}$

해당 패턴이 개별 Object에서 1개 식별되면 심각도 Medium, 2개 이상 식별되면 High로 분류하도록 했습니다.

“제출”을 클릭합니다.

전화번호의 경우에는 아래의 정규식을 활용했으며, 탐지 갯수 1개는 low, 2개는 Medium, 10개 이상 부터는 High로 분류되도록 하였습니다.

^[0]\d{1,3}-\d{3,4}-\d{4}$

“제출”을 클릭합니다.

이벤트 처리를 위한 설정

이제 Maice에서 탐지되는 이벤트들을 처리하기 위하여 필요한 서비스와 자원을 생성하도록 하겠습니다. 생성 되는 자원은 아래와 같습니다.

1) Amazon SNS 주제
2) AWS Lambda 함수
3) Amazon EventBridge 규칙
4) AWS Security Hub Custom Action

Amazon SNS 주제 생성

먼저 Amazon SNS 주제를 생성하여 이벤트가 적절하게 통지되도록 합니다. Amazon SNS 콘솔로 이동하여 좌측 페널에서 “주제”를 선택한 뒤, 나타나는 메뉴에서 “주제 생성”을 클릭합니다. 유형은 “표준”으로 선택하고 주제의 이름과 메일 제목에 포함될 표시이름을 적절한 값으로 입력하고 주제를 생성합니다. 여기서는 둘 다 Macie-ProjectMARS-workload-sns-랜덤값이라고 하였습니다.

“주제 생성”을 클릭합니다.

이제 주제에 대한 구독을 생성하고 구독할 대상을 지정합니다. 좌측 페널에서 “구독”를 선택한 뒤, 나타나는 메뉴에서 “구독 생성”을 클릭합니다. 주제 ARN이 방금전에 생성한 주제인지 확인하고, 프로토콜로는 “이메일”을 선택합니다. 이후, SNS알림을 수신할 수신자를 엔드포인트에 적어주고 “구독 생성”을 클릭해서 구독생성을 마칩니다. (! 주의 이때, 구독생성이 정상적으로 완료되기 위해서는 반드시 엔드포인트에 기입한 이메일로 전송되는 Confirmation 링크를 클릭하여 주어야 합니다)

AWS Lambda 함수 생성

다음으로 Macie에서 Project MARS관련하여 탐지되는 이벤트에 대해서 Remediation 처리를 하기 위한 Lambda 함수를 생성합니다.
AWS Lambda 콘솔로 이동하여 “함수 생성“을 클릭합니다. ”새로 생성“을 선택한뒤 적절한 함수 이름 (여기서는 ”macie-projectMARS-remediation-랜덤값“이라고 했습니다.)을 기입하고 런타임으로 ”Python“을 선택합니다 (버전은 가급적 최신의 버전으로 선택합니다.)

“함수 생성” 버튼을 눌러서 표시되는 화면에 소스코드를 아래의 코드로 대체 합니다. 이때, SNS를 위한 VPC 엔드포인트를 확인하여 endpoint_url을 적절한 값으로 변경해 줍니다. (만약 SNS를 위한 VPC 엔드포인트가 없다면, 보안과 비용절감을 위해서 만들어서 활용하실 것을 적극 권장합니다. 만드는 방법은 “인터페이스 VPC 엔드포인트를 사용하여 AWS 서비스 액세스” 웹 문서를 참고 바랍니다.)

import json
import boto3
import os
import string
import random
secureBucket = os.environ['SECURE_BUCKET']
snsTopicArn = os.environ['TOPIC_ARN']
stV = os.environ['SECURE_TAG_VALUE']

snsc = boto3.client('sns', endpoint_url='https://<YOUR VPC ENDPOINT FOR SNS>')
s3c = boto3.client('s3')


def getRandom(stringLength=10):
    lettersAndDigits = string.ascii_lowercase + string.digits
    return ''.join((random.choice(lettersAndDigits) for i in range(stringLength)))

def handler(event, context):
    
    accountId = event['account']
    encryptionTypeFile = event["detail"]["resourcesAffected"]["s3Object"]["serverSideEncryption"]["encryptionType"] 
    bkN = event['detail']['resourcesAffected']['s3Bucket']['name']
    feN = event['detail']['resourcesAffected']['s3Object']['key']


    sbT = "[중요] 대외비 자료가 임의의 버킷에서 발견되었습니다."
    msT = "대외비 자료가 "+accountId+"어카운트에 속한 임의의 버킷에서 발견되었습니다.\n대외비 자료는 반드시 지정된 대외비 버킷에 존재하여야하며 대외비로 테깅 되어야 합니다.\n\n발견된 자세한 내용은 아래와 같습니다:\n\n"
    msT = msT + '발견된 파일 이름 : '+feN+'\n'
    msT = msT + '발견된 원본 버킷 : '+bkN+'\n\n'
    msT = msT + '위반 사항\n'
    msT = msT + ' - 대외비 버킷이 아닌 버킷('+bkN+')에 대외비 자료가 저장되어 있습니다.\n'
    msT = msT + ' - 파일의 암호화 수준이 낮습니다. '+encryptionTypeFile+'로 되어 있습니다. 대외비 전용의 KMS키로 암호화 되어야 합니다\n\n'
    msT = msT + '상기 위반사항에 대한 조치를 위하여 해당 파일은 원본 버킷에서 다음의 버킷으로 이동처리되었습니다: '+secureBucket+'\n'

    #copy the object to the secure holding bucket
    copySource = { 'Bucket': bkN, 'Key':feN }
    try:
        response = s3c.copy(copySource, secureBucket, feN)
        response = s3c.delete_object(Bucket=bkN,Key=feN)
        response = s3c.put_object_tagging(Bucket=secureBucket,Key=feN,Tagging={'TagSet': [{'Key':'Classification','Value':stV},]})    

        tmpFn = '/tmp/'+getRandom(20)
        f = open(tmpFn, 'w')
        f.write("Moved to s3://"+secureBucket+"/"+feN)
        f.close
        with open(tmpFn, 'rb') as f:
            response = s3c.upload_fileobj(f, bkN, feN)

    except Exception as e:
        print(e)
    # Notify the administrator
    response = snsc.publish(
        TopicArn=snsTopicArn,
        Message=msT,
        Subject=sbT
        )

    return {
        'statusCode': 200,
    }    

적절한 환경 변수를 구현하기 위해서 “구성”탭을 클릭하여 좌측 패널을 열어주고, “환경 변수”를 선택합니다. 그리고 “편집”을 눌러서 나타나는 창에서 아래의 환경 변수들을 추가해 줍니다.

• SECURE_BUCKET : ProjectMARS 관련 비밀정보가 저장되어야 할 버킷의 이름
• SECURE_TAG_VALUE : Confidential
• TOPIC_ARN : Macie-ProjectMARS-workload-SNS 주제의 ARN

Amazon EventBridge 규칙 생성

이제 Macie에서 탐지되는 이벤트에 대해서 적절하게 대응하기 위한 EventBridge 규칙을 생성합니다.
Amazon EventBridge 콘솔로 이동해서 “규칙 생성”을 클릭하고, 규칙이름과 설명을 적절한 값으로 넣습니다. 여기서는 규칙 이름으로 Macie-Remediation-Rule-Project-MARS라고 하였습니다.

다음으로 진행하여, 이벤트 소스를 “AWS 이벤트 또는 EventBridge 파트너 이벤트” 로 선택하고 아래로 스크롤헤서 이벤트 패턴 섹션에서 “패턴 편집”을 클릭한 뒤, 아래와 같이 패턴을 입력하고 다음으로 진행합니다. 해당 패턴에서는 Macie 작업에서 사용자 지정 데이터 식별자인 “Project MARS”에 해당 하는 탐지 결과가 나왔을 때 이벤트를 트리거 하도록 합니다.

{
  "source": ["aws.macie"],
  "detail-type": ["Macie Finding"],
  "detail": {
    "classificationDetails": {
      "result": {
        "customDataIdentifiers": {
          "detections": {
            "name": ["Project MARS"]
          }
        }
      }
    }
  }
}

대상 선택 페이지에서는 대상을 “Lambda 함수”로 선택하고, 이전에 만든 Lambda 함수인 “macie-projectMARS-remediation-랜덤값“을 선택한 뒤 계속 진행하여 규칙 생성을 완료 합니다.

Amazon Macie 를 활용한 민감 데이터 탐지

이제 실제로 Macie를 사용하여 작업을 수행해 보겠습니다. Amazon Macie 콘솔로 이동해서, 좌측 패널에서 “작업”을 클릭하고 다음 화면에서 “작업 생성“을 클릭합니다. 이후 대상 버킷을 선택하는 화면에서 데이터 탐지 작업을 수행할 버킷들을 선택하고 다음으로 이동합니다. 작업에 소요되는 예상 비용이 표시되면 확인하고 다음으로 이동합니다.
작업의 범위를 설정하는 [범위 구체화] 화면에서는 데이터 분류 작업을 주기적으로 수행할 것인지, 1회성으로 수행할 것인지를 선택합니다. 여기서는 기본으로 선택된 주기적인 점검작업을 수행해 보겠습니다.

예약된 작업
– 업데이트 빈도 : 일별
– 기존객체 포함 : 체크
샘플링 깊이 : 100%

나머지 값들은 모두 그대로 두고 “다음”을 눌러서 [관리형 데이터 식별자 선택] 화면으로 이동합니다. 여기서는 AWS에서 preset으로 관리하는 각종 민감정보 식별자들을 확인하고 선택할 수 있습니다. 아직 대한민국의 민감정보는 관리형 데이터 식별자에 포함되어 있지 않으므로, 여기서는 “Custom”을 지정한뒤, Selection type으로 “포함”을 선택하고, 포함할 관리형 데이터 식별자 선택에서 “card”로 필터링 한 결과중에, “CREDIT_CARD_NUMBER”를 선택하고 다음으로 진행합니다.

이제, 우리가 만든 사용자 지정 식별자를 선택할 수 있는 화면이 나옵니다. 여기서는 모든 식별자를 선택해 주고 계속 진행하여 [일반 설정 입력] 화면까지 진행한 뒤 적절한 작업 이름을(예: Daily Data Classification) 지정한 뒤 “다음”을 클릭하여 [검토 및 생성] 단계로 넘어갑니다. 다시한번 지금까지 선택한 내용들이 맞는지 확인하고 소요되는 예상 비용도 확인합니다. 이후 ”제출“을 클릭하여 식별작업을 수행하도록 합니다.

실제 작업이 Daily로 진행되므로, 여기서는 1회성으로 즉시 작업을 수행하고 결과를 볼 수 있도록 같은 내용의 작업을 다시한번 걸어줍니다
좌측 패널의 “작업”을 클릭하면, 조금 전에 생성한 작업이 활성화 되어 있음을 확인할 수 있습니다. 해당 작업이름을 선택하고, 우측에서 “작업” 버튼을 눌러서 “다음 새 위치에 복사”를 선택합니다.

이후 나타나는 작업관리 화면에서 계속 다음으로 진행하여 [범위 구체화] 화면으로 이동합니다. 여기서는 “일화성 작업”을 선택해 주고 계속 다음으로 진행하여 작업을 제출합니다. (이때 작업을 구별하기 위헤서 다른 작업 이름을 사용할 것이 권장됩니다. 예시 : Daily Data Classification (One Time))
작업 소요 시간은 버킷의수, 포함되는 Object의 갯수, Object의 크기, 샘플링 깊이 등에 영향을 받으므로, 충분한 시간을 주고 기다려 봅니다. 만약 샘플로 수백개 정도의 Object를 포함하는 버킷을 대상으로 하였다면 대략 10분 – 15분 정도가 소요될 것입니다.

잠시 좌측 패널에서 “결과”를 클릭해서 작업 결과를 확인해 보니, 아래 결과 예시의 경우 3개의 민감정보가 Public bucket에 포함되어 있는 것을 확인하였습니다.
결과 유형을 클릭해서 세부적인 내용을 살펴봅니다.

화면에 보이는 것 처럼 “주민번호 샘플.txt”라는 파일에 주민등록번호가 4개 포함된 것이 확인되고 있습니다. 해당 버킷은 퍼블릭용으로 활용되는 버킷이며 (다만 직접적인 퍼블릭 Access는 차단되어 있습니다.), KMS 암호화가 아닌 기본 암호화가 적용되고 있고, 별도의 암호화 정책이 할당되어 있지 않은 것이 확인됩니다.
이제 샘플 표시 에서 “검토”를 클릭하여 실제 값들을 확인해 봅니다. 민감한 데이터 섹션에서 “샘플 표시”를 클릭하면 잠시 뒤에 실제 탐지된 값이 아래와 같이 표시됩니다.

또한 “무제.pdf“ 파일에는 Project MARS 관련 대외비 자료가 포함된 것도 확인할 수 있습니다.(심각도 수준은 기본값인 Medium으로 되어 있습니다.) 해당 문제점은 이미 EventBrigde에서 Lambda 함수를 호출하여 자동화 처리 되었습니다. 메일함을 보시면 아래와 같은 내용의 메일을 확인 하실 수 있을 것입니다. 발견된 계정과 대상 버킷, Object 이름, 위반사항 그리고 조치사항이 설명되고 있어서 보안팀의 담당자는 이후 해당 버킷의 관리부서를 확인하여 경고와 같은 후속조치를 수행할 수 있습니다.

AWS Security Hub – 사용자 지정 작업(Custom Action)을 이용한 조치

AWS Security Hub 콘솔로 이동해서 좌측 패널의 “분석 결과”를 클릭해 보면, Maice에서 탐지된 내용들이 그대로 통합되어 나타나는 것을 확인 할 수 있습니다.

보안관리자는 Security Hub를 통해서 확인되는 보안이슈들에 대해서 미리 정의한 사용자 지정작업을 통해 업무를 빠르고 일관되게 처리할 수 있습니다. 여기서는 주민등록번호 등 PII 정보가 발견될 경우 담당자에게 메일을 전송하도록 해 보겠습니다. “설정” → “사용자 지정 작업” 탭을 선택한 뒤, ”사용자 지정 작업 생성“을 클릭하고 적절한 이름과 작업 ID를 입력하고 ”사용자 지정 작업 생성“ 버튼을 눌러줍니다.

이제 생성된 사용자 지정작업의 ARN을 이용해서 EventBridge 규칙을 아래와 같이 만들어 줍니다. 이벤트의 대상으로는 PII관련 담당자들이 구독자로 포함된 SNS 주제를 선택하거나, 별도 Lambda 함수를 선택하여 해당이벤트를 처리하도록 합니다. (여기서는 SNS를 활용해 보았습니다.)

[대상 선택] 화면에서 앞에서 생성한 SNS 주제를 선택합니다. 다음을 계속 진행하여 규칙 생성을 완료 합니다.

이제 Security Hub에서 탐지된 내역에 대해서 “작업 → 정의된 사용자 지정 작업(email-noti-PII)을 수행할 수 있게 되었습니다.

다만, SNS로 바로 보내게 되면, 아래와 같이 CloudTrail log가 전달되므로, 가독성을 위해서는 별도의 Lambda 함수를 활용하거나, 신속성을 위해서 슬랙과 같은 사내 메신저로 보내도록 수정하여 활용하는 것이 더 효과적일 것입니다.

결론

지금까지 Amazon Maice를 활용해서 민감정보를 자동으로 확인하고, Security Hub에 통합하여 탐지 내역을 관리하며, EventBridge를 활용하여 위반 사항에 대한 자동/수동 조치를 수행하는 방안에 대해서 알아 보았습니다. Amazon Macie를 활용하면 사람이 수동으로 하기에는 거의 불가능에 가까운 방대한 데이터에 대한 탐지 작업을 수행하고 조직의 모든 계정에 대한 S3 보안 구성 현황을 효과적으로 관리할 수 있습니다.

본 블로그에서는 이해를 돕기 위해서 기본적인 내용만을 다루었으며, 보다 효율적인 사용을 위한 샘플링 방안, 압축파일을 다루기 위한 압출 비율 설정, 점검 대상을 세분화 하기 위한 허용 목록 및 Scope down 구문 적용방안 등 여러가지 추가 기능들을 다루지 않았습니다. 또한 S3의 보안 설정과 민감도를 평가하는 다양한 기능들 역시 포함되지 않았습니다. Amazon Maice 소개 페이지와 사용설명서를 참조하시면 이러한 모든 기능들과 효용에 대해서 더 자세히 확인할 수 있습니다.