[アップデート]Amazon Macieが機密データの入ったS3バケットを自動で検出してくれるようになりました #reinvent

Amazon Macieで機密データ検出ジョブを手動作成する必要が無くなりました
2022.11.29

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、AWS事業本部@福岡オフィスのべこみん(@beco_minn)です。

Amazon Macieにアップデートが来ました。

自動で機密データの入ったS3バケットを検出してくれるようになったみたいです。

ざっくりまとめ

  • 今までAmazon Macieでは検査対象のS3バケットを指定する必要があったが、全てのS3バケットから機密データの入ったS3バケットを自動で検出してくれるようになった
    • 機密データ検出ジョブを手動で構成しなくて良くなった
    • 幅広い範囲をコスト効率よく検査出来るようになった
  • 自動検出では以下の設定を行うことが可能
    • 検査対象から特定のS3バケットを除外可能
    • マネージドデータ識別子の設定
    • カスタムデータ識別子の設定
    • 許可リストの使用(無視したい特定の文字列を設定可能)

アップデート内容

Amazon Macieにて、全てのS3バケットから自動で機密データの入ったS3バケットを検出する機能が追加されました。

この機能のおかげで、機密データ検出ジョブを手動作成することなく、更にはコスト効率よく機密データの入ったオブジェクトを検出出来るようになりました。

この機能の公式ドキュメントは下記です。記事執筆時点では英語版のみです。

自動検出の仕組み

この自動検出では、対象のS3バケットの全てのオブジェクトを見るわけではありません。分散分析というサンプリング戦略を用いて分析対象のオブジェクトをいくつか選定し、その分析結果をもとに自動検出を行うようです。

デフォルトではこの分析を行うS3バケットは全てのS3バケットが対象になっていますが、設定で除外するS3バケットを選択することも可能です。

詳細は下記の公式ドキュメントをご参照ください。

設定できる項目

この自動検出機能では、以下の項目を設定することが可能です。

  • 分析対象から特定のS3バケットを除外可能
  • マネージドデータ識別子の設定
    • サンプリング分析に使用するデータタイプ(住所や誕生日、運転免許証番号など)を既に用意されてるものから指定可能
  • カスタムデータ識別子の設定
    • サンプリング分析に使用するデータタイプをユーザーが任意に用意したものから指定可能
  • 許可リストの使用
    • 検知するデータの中から無視したい特定の文字列を指定可能

コストについて

東京リージョンの料金は下表のようになっています。

バケットのインベントリと監視 価格
バケット/月 バケットあたり$0.10

対象を絞った自動化された機密データ検出のために毎月検査されるデータ 価格
最初の 50 TB/月 1 GB あたり$1.25
次の 450 TB/月 1 GB あたり$0.63
500 TB/月以上 1 GB あたり$0.31

自動化されたデータ検出オブジェクトの監視 価格
オブジェクト/月 10万オブジェクトあたり$0.012

引用元: Amazon Macieの料金

上記引用元ページには具体的なシチュエーションでの料金例がいくつか記載されているので、詳しくはそちらをご参照ください。

ちなみに、Amazon Macieは初回のみ30日間無料で使うことが出来ます。もちろん今回紹介している自動検出機能も無料枠の対象です。皆さん是非有効化して遊んでみてください。

やってみた

それではマネジメントコンソールで確認してみます。

今回はAmazon Macieを有効化していないアカウントで試してみました。まずはAmazon Macie自体を有効化してみます。

有効化するとストレージの分析が開始され、しばらく待っているとこのような画面が表示されました。どうやら自動検出はデフォルトで有効になっているようです。

この円グラフやその下の「機密」、「非機密」、「分析が未完了」、「分類エラー」などの部分はリンクになっており、クリックすると次のようなヒートマップが表示される画面に遷移します。(クリックする項目に応じたフィルターがかかっています)

全くS3を使っていない私のアカウントでは味気ないですね。。

下図は公式ドキュメントから引用したものですが、このようにどのS3バケットに機密データが含まれているか否かを綺麗なヒートマップで可視化してくれます。

引用元: Amazon Macieを使用して機密データの検出を自動化する

それでは設定画面に行ってみましょう。

今回のアップデートで左のサイドバーの設定項目一覧に自動検出の設定項目が追加されています。

下図が設定画面です。やはり自動検出機能は有効化されていますね。

スクロールすると次の項目が出てきます。

マネージドデータ識別子はデフォルトの状態だとデフォルトセットのマネージドデータ識別子が使用されるようですね。

ちなみにこの画面で自動検出の無効化も出来るのですが、実行しようとするとこのようなメッセージが表示されます。

無効にしてしまうと、下図のように自動検出機能の分析結果にアクセスすることも出来なくなります。

まとめ

日本国内ではあまり使われている印象が無いAmazon Macieですが、今回のアップデートでかなり使いやすくなったのではないでしょうか。

(各データ識別子が日本語に対応してくれることを祈っています。)

本記事がどなたかのお役に立てれば幸いです。

以上、べこみんでした。