この記事では、Amazon Macie の機能を検証するための AWS CLI コマンドを解説します。Amazon Macie は、AWS 上のデータを自動的に検出、分類、保護するサービスであり、機密情報を特定し、データ漏洩リスクを軽減するのに役立ちます。
前提条件
- AWS CLI がインストールされていること。
- AWS アカウントが作成済みで、適切な権限が付与されていること。
- Macie を使用するためのリージョンが有効化されていること。
Macie の有効化
まずはじめに、以下のコマンドで Macie を有効化します。
aws macie2 enable-macie --region <your-region>
このコマンドは、指定したリージョンで Amazon Macie を有効化します。
S3 バケットの作成と Macie が検出するデータを含むオブジェクトのアップロード
このセクションでは、S3 バケットを作成し、Macie が検出するデータを含むオブジェクトをアップロードする手順と AWS CLI コマンドを説明します。
1. S3 バケットの作成
以下のコマンドで S3 バケットを作成します。
aws s3api create-bucket \
--bucket <your-bucket-name> \
--region <your-region> \
--create-bucket-configuration LocationConstraint=<your-region>
このコマンドは、指定したリージョンに S3 バケットを作成します。
2. Macie が検出するデータを含むオブジェクトを作成
機密データを含むテキストファイル(例:sample-data.txt)を作成します。この例では、クレジットカード番号を含むデータを使用します。
John Doe, 4111 1111 1111 1111, 08/23, 123
Jane Smith, 5500 0000 0000 0004, 10/24, 456
このファイルには、架空の人物の名前、クレジットカード番号、有効期限、およびセキュリティコードが含まれています。Macie は、これらの情報を検出することができます。
3. オブジェクトを S3 バケットにアップロード
以下のコマンドで作成したテキストファイルを S3 バケットにアップロードします。
aws s3 cp sample-data.txt s3://<your-bucket-name>/path/to/sample-data.txt --region <your-region>
このコマンドは、sample-data.txt ファイルを指定した S3 バケットの path/to ディレクトリにアップロードします。
これで、S3 バケットが作成され、Macie が検出するデータを含むオブジェクトがアップロードされました。
分類ジョブの作成
次に、以下のコマンドで分類ジョブを作成します。
aws macie2 create-classification-job \
--region <your-region> \
--job-type ONE_TIME \
--s3-job-definition '{ "bucketDefinitions": [ { "accountId": "<your-aws-account-id>", "buckets": ["<your-bucket-name>"] } ] }' \
--name <job-name>
このコマンドは、指定した S3 バケットに対して一度だけ実行される分類ジョブを作成します。
分類ジョブの一覧表示
以下のコマンドで分類ジョブの一覧を表示します。
aws macie2 list-classification-jobs --region <your-region>
このコマンドは、現在のリージョンで作成された分類ジョブの一覧を表示します。
分類ジョブの詳細情報の取得
以下のコマンドで特定の分類ジョブの詳細情報を取得します。
aws macie2 describe-classification-job --region <your-region> --job-id <job-id>
このコマンドは、指定したジョブ ID の分類ジョブの詳細情報を表示します。
調査結果一覧を表示する
以下のコマンドで、Amazon Macie の調査結果一覧を表示できます。
aws macie2 list-findings --region <your-region>
このコマンドは、指定したリージョンで生成された調査結果の一覧を表示します。各調査結果の詳細情報にアクセスするには、この一覧から取得した調査結果 ID を使って、get-findings コマンドを実行してください。
Macie の調査結果を分析する
このセクションでは、Amazon Macie の調査結果を分析するための AWS CLI コマンドを説明します。
調査結果を取得する
以下のコマンドで、特定の分類ジョブの調査結果を取得します。
aws macie2 get-findings --region <your-region> --finding-ids <finding-id>
カスタムデータ識別子を使用する方法とコマンド
このセクションでは、カスタムデータ識別子を使用する方法と AWS CLI コマンドを説明します。
1. カスタムデータ識別子の作成
以下のコマンドでカスタムデータ識別子を作成します。
aws macie2 create-custom-data-identifier \
--name <custom-data-identifier-name> \
--regex <regular-expression> \
--region <your-region>
このコマンドは、指定した正規表現を使用してカスタムデータ識別子を作成します。これにより、Macie が特定のパターンに基づいて機密データを検出できるようになります。
2. 分類ジョブにカスタムデータ識別子を適用する
以下のコマンドで、カスタムデータ識別子を適用した分類ジョブを作成します。
aws macie2 create-classification-job \
--region <your-region> \
--job-type ONE_TIME \
--s3-job-definition '{ "bucketDefinitions": [ { "accountId": "<your-aws-account-id>", "buckets": ["<your-bucket-name>"] } ] }' \
--name <job-name> \
--custom-data-identifier-ids <custom-data-identifier-id>
このコマンドは、指定した S3 バケットに対して一度だけ実行される分類ジョブを作成し、カスタムデータ識別子を適用します。これにより、Macie がカスタムデータ識別子に基づいて機密データを検出できるようになります。
これで、カスタムデータ識別子を使用して、Amazon Macie の機能をさらに活用することができます。適切な正規表現を設定し、カスタムデータ識別子を分類ジョブに適用することで、独自の機密データの検出ルールを実現できます。
カスタムデータ識別子の一覧表示
以下のコマンドでカスタムデータ識別子の一覧を表示します。
aws macie2 list-custom-data-identifiers --region <your-region>
このコマンドは、現在のリージョンで作成されたカスタムデータ識別子の一覧を表示します。
カスタムデータ識別子の詳細情報の取得
aws macie2 get-custom-data-identifier --id <custom-data-identifier-id> --region <your-region>
このコマンドは、指定したカスタムデータ識別子 ID の詳細情報を表示します。
Amazon Macie の無効化
最後に、以下のコマンドで Macie を無効化します。
aws macie2 disable-macie --region <your-region>
このコマンドは、指定したリージョンで Amazon Macie を無効化します。
まとめ
この記事では、Amazon Macieの機能を検証するためのAWS CLIコマンドについて説明しました。Macieを有効化し、分類ジョブを実行し、調査結果を分析し、カスタムデータ識別子を使用する方法について説明しました。
これらの手順とコマンドを適切に使用することで、Amazon Macieを効果的に活用して、組織内のデータセキュリティを向上させ、AWS環境内の機密情報の検出に役立てることが出来ます。この記事が、Amazon Macieの活用に役立つ情報を提供し、データ保護の強化に貢献できることを願っています。