既存でAmazon Macieが有効な環境で機密データ自動検出をオンにして除外機能や利用量などを確認してみた #reinvent

Amazon Macieの機密データの自動検出機能でより便利にS3の機密データ管理ができるようになりました。その利用方法を紹介します。
2022.12.05

こんにちは、臼田です。

みなさん、S3のデータ管理してますか?(挨拶

今回はre:Invent 2022でアップデートされたAmazon Macieの機密データの自動検出機能を既存環境で有効化して色々見てみました。

概要

re:Invent 2022でAmazon Macieに機密データの自動検出機能が追加されました。

Amazon MacieはS3に保存された機密データを検出し、もともと想定した機密データの管理がされているか、想定外の場所に機密データを保持していないかなどを確認できます。

従来はこの機密データの検出はジョブを設定し、定期的あるいはスポットで指定したバケットに指定した機密データの有無を確認します。

今回のアップデートではそれが自動的にスキャンが実行され検出できるようになりました。他にもUIがよくなり、わかりやすくなりました。詳細は下記をご確認ください。

有効化

上記記事では新規にMacieを有効化し、デフォルトで機密データの自動検出が有効になっていました。

既存環境では、下記のようにMacieにアクセスすると有効化ボタンが現れていました。また新しいUIの円グラフが存在していますが、これは正常に利用できない状態です。

移動して、こちらもUIが変わったS3バケット一覧を確認します。有効化されていないため、こちらも以前と変わりない状態です。

それでは有効化します。「設定 -> 自動検出」から「有効化」します。

確認が出るので有効化します。

有効になりました。

トップに戻ります。いい感じのUIですね!どの程度機密情報がS3バケットに保存されているか、よりわかりやすくなっています。ちなみにこれまでのグラフはこの下に並んでいます。

S3バケット一覧もバケット単位でどの程度の機密スコアであるか、グラデーションがかかっています。

除外設定

自動検出していると、管理しなくていい項目を検出したり、対象外にしたいバケットが出てきます。これらの機能もあるので試していきます。

まずは個別の項目の例外から。S3バケット一覧から「機密性」タブに検出したデータが確認できます。この項目を選択して「スコアから除外」 を選択すると個別の検出項目を算出されたスコアから除外できます。

52だったスコアが3に下がりました。細かいですが、バケット単位の機密情報保持の有無を示す赤と青の数字も赤から青に分類がかわりました。現状ではこの指定した項目の例外は、各項目を確認しないと状況を把握できないようでした。

続いてバケット単位の除外です。同様の画面で「自動検出からの除外」ボタンが存在しますのでこれをオンにします。これだけです。こちらの設定は「設定 -> 機密データ自動検出」にて確認が可能です。

他にも、もともと検出時に特定の機密データを無視する「許可リスト」が「機密データの自動検出」として別で存在します。

ちなみにS3バケットの一覧表示は引き続き利用可能ですが、こちらでも機密性スコアに応じたグラデーションが利用可能で、ソートするとわかりやすいです。

費用

「使用状況」で機密データの自動検出の利用状況が確認できます。30日の無料トライアルがありますので、その間に費用感を確認できるでしょう。

まとめ

Amazon Macieの機密データの自動検出機能を試してみました。

これまでより利用が簡単になり、UIがよくなりました。機密データ管理に大変便利ですので、ぜひ利用してみてください。