翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 機密データ検出ジョブの実行
<a name="discovery-jobs"></a>

Amazon Macie を使用すると、機密データ検出ジョブを作成して実行し、Amazon Simple Storage Service (Amazon S3) 汎用バケット内の機密データの検出、ログ記録、レポート作成を自動化できます。機密データ検出ジョブは、Amazon S3 オブジェクト内の機密データを検出して報告するために Macie が実行する一連の自動処理および分析タスクです。各ジョブでは、Macie が検出した機密データと Macie が実行する分析に関する詳細なレポートが提供されます。ジョブを作成して実行すると、組織が Amazon S3 に保存するデータと、そのデータのセキュリティまたはコンプライアンスのリスクに関する包括的なビューを構築して維持できます。

データセキュリティおよびプライバシーの要件を満たし、それへの準拠を維持するために、Macie はジョブの範囲のスケジュールおよび定義のためのいくつかのオプションを提供しています。ジョブは、オンデマンドの分析および評価では 1 回のみ、または定期的な分析、評価、およびモニタリングでは繰り返しベースで実行するように設定できます。ジョブの分析の幅と深さ、つまり、選択する特定の S3 バケット、または特定の条件に一致するバケットも定義します。追加のオプションを選択して、オプションとして分析の範囲を絞り込むことができます。オプションには、タグやプレフィックスなどの S3 オブジェクトのプロパティから派生するカスタム基準やオブジェクト最終更新日時があります。

それぞれのジョブで、Macie が検出してレポートする機密データのタイプも指定します。各ジョブは、Macie が提供した [マネージドデータ識別子](managed-data-identifiers.md)、お客様が定義した [カスタムデータ識別子](custom-data-identifiers.md)、またはこの 2 つの組み合わせを使用して、オブジェクトを分析できます。ジョブに対して特定のマネージドデータ識別子とカスタムデータ識別子を選択することで、特定のタイプの機密データに焦点を絞るように分析を調整できます。分析を微調整するために、[許可リスト](allow-lists.md)を使用するようにジョブを設定することもできます。許可リストで、Macie に無視させたいテキストとテキストパターンを指定します。通常、組織の特定のシナリオや環境における機密データの例外です。

各ジョブは、その検出された機密データと実行された分析のレコード (機密データの調査結果 (機密データの調査結果) と 機密データの検出結果) を作成します。機密データの調査結果は、Macie がS3オブジェクトで検出した機密データの詳細なレポートです。機密データの検出結果は、オブジェクトの分析に関する詳細を記録するレコードです。Macie は、分析するジョブを設定するオブジェクトごとに、機密データの検出結果を作成します。これには、Macie が機密データを見つけられないために機密データの検出結果を生成しないオブジェクト、およびエラーや問題のために Macie が分析できないオブジェクトが含まれます。各タイプのレコードは、標準化されたスキーマに従っており、セキュリティおよびコンプライアンスの要件を満たすために、レコードのクエリ、モニタリング、および処理に役立ちます。

**Topics**
+ [ジョブの範囲のオプション](discovery-jobs-scope.md)
+ [ジョブの作成](discovery-jobs-create.md)
+ [ジョブ結果を確認する](discovery-jobs-manage-results.md)
+ [ジョブの管理](discovery-jobs-manage.md)
+ [CloudWatch Logs を使用してジョブをモニタリングする](discovery-jobs-monitor-cw-logs.md)
+ [ジョブのコストの予測とモニタリング](discovery-jobs-costs.md)
+ [ジョブに推奨されるマネージドデータ識別子](discovery-jobs-mdis-recommended.md)

# 機密データ検出ジョブの範囲のオプション
<a name="discovery-jobs-scope"></a>

機密データ検出ジョブでは、Amazon Macie が Amazon Simple Storage Service (Amazon S3) 汎用バケットで機密データを検出してレポートするために実行する分析の範囲を定義します。これを行うために、Macie では、ジョブを作成および設定するときに選択できるジョブ固有のオプションがいくつか用意されています。

**Topics**
+ [S3 バケット (複数または単一) 条件](#discovery-jobs-scope-buckets)
+ [サンプリング深度](#discovery-jobs-scope-sampling)
+ [初回実行: 既存の S3 オブジェクトを含める](#discovery-jobs-scope-objects)
+ [S3 オブジェクト基準](#discovery-jobs-scope-criteria)

## S3 バケット (複数または単一) 条件
<a name="discovery-jobs-scope-buckets"></a>

機密データ検出ジョブを作成する際、ジョブの実行時に Macie で分析するオブジェクトが保存されている S3 バケットを指定します。これを行うには、バケットインベントリから特定の S3 バケットを選択する方法と、S3 バケットのプロパティから派生するカスタム基準を指定する方法の 2 つの方法があります。

**特定の S3 バケットを選択する**  
このオプションでは、分析する各 S3 バケットを明示的に選択します。次に、ジョブが実行されると、Macie によって、選択したバケット内のオブジェクトのみが分析されます。毎日、毎週、または毎月ベースで定期的に実行されるようにジョブを設定すると、Macie はジョブが実行されるたびに同じバケット内のオブジェクトを分析します。  
この設定は、特定のデータセットを対象とした分析を実行する場合に便利です。これにより、ジョブが分析するバケットの正確かつ予測可能な制御が可能になります。

**S3 バケット基準を指定する**  
このオプションでは、分析する S3 バケットを決定するランタイム基準を定義します。基準は、パブリックアクセス設定やタグなど、バケットプロパティから派生する 1 つ以上の条件で設定されます。ジョブが実行されると、Macie は条件に一致するバケットを識別し、それらのバケット内のオブジェクトを分析します。ジョブを定期的に実行するように設定した場合、Macie はジョブが実行されるたびにこれを行います。そのため、Macie は、バケットインベントリの変更と定義した基準に応じて、ジョブが実行されるたびに異なるバケット内のオブジェクトを分析する場合があります。  
この設定は、分析範囲をバケットインベントリへの変更に動的に適応させる場合に便利です。バケット条件を使用するようにジョブを設定し、定期的に実行すると、Macie は条件に一致する新しいバケットを自動的に識別し、それらのバケットに機密データがないか検査します。

このセクションのトピックでは、各オプションに関する追加の詳細を提供します。

**Topics**
+ [特定のバケットを選択する](#discovery-jobs-scope-buckets-select)
+ [S3 バケット基準の指定](#discovery-jobs-scope-buckets-criteria)

### 特定のバケットを選択する
<a name="discovery-jobs-scope-buckets-select"></a>

ジョブで分析する各 S3 バケットを明示的に選択すると、Macie は現在の の汎用バケットのインベントリを提供します AWS リージョン。次に、インベントリを確認し、必要なバケットを選択できます。お客様が組織の Macie 管理者である場合、インベントリには、メンバーアカウントが所有するバケットが含まれます。これらのバケットは最大 1,000 個まで選択でき、最大 1,000 個のアカウントで設定されます。

バケットの選択を支援するために、インベントリは各バケットの詳細と統計を提供します。これには、ジョブが各バケットで分析できるデータ量が含まれます。分類可能なオブジェクトとは、[サポートされているAmazon S3ストレージクラス](discovery-supported-storage.md#discovery-supported-s3-classes)を使用し、サポートされているファイルまたはストレージフォーマットのファイル名拡張子を持つオブジェクトです。インベントリは、バケット内のオブジェクトを分析するように既存のジョブが設定されているかどうかも示します。これらの詳細は、ジョブの幅を推定し、バケットの選択を絞り込むのに役立ちます。

インベントリテーブルには、以下があります。
+ **機密性** - [機密データ自動検出](discovery-asdd.md)が有効になっている場合、バケットの現在の機密性スコアを指定します。
+ **分類可能なオブジェクト** - ジョブがバケット内で分析できるオブジェクトの合計数を指定します。
+ **分類可能なサイズ** - ジョブがバケット内で分析できるすべてのオブジェクトの合計ストレージサイズを指定します。

  バケットに圧縮オブジェクトが格納されている場合、この値は、解凍後のこれらのオブジェクトの実際のサイズを反映していません。バケットでバージョニングが有効化されている場合、この値は、バケット内の各オブジェクトの最新バージョンのストレージサイズに基づきます。
+ **ジョブによるモニタリング** - バケット内のオブジェクトを毎日、毎週、または毎月ベースで定期的に分析するように既存のジョブが設定されているかどうかを指定します。

  このフィールドの値が **はい**の場合、バケットが定期的なジョブに明示的に含まれるか、バケットが過去 24 時間以内の定期的なジョブの基準に一致したことになります。さらに、それらのジョブの少なくとも 1 つのステータスは *キャンセル*されません。Macie は毎日ベースでこのデータを更新します。
+ **最新のジョブ実行** — バケット内のオブジェクトを分析するように定期ジョブまたは 1 回限りのジョブを設定した場合、このフィールドは、これらのジョブのいずれかの実行が開始された最新の時刻を指定します。それ以外の場合は、このフィールドにはダッシュ (–) が表示されます。

情報アイコン (![\[The information icon, which is a blue circle that has a lowercase letter i in it.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/icon-info-blue.png)) が任意のバケット名の横に表示される場合、Amazon S3 から最新のバケットメタデータを取得することをお勧めします。これを行うには、テーブルの上の更新(![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/btn-refresh-data.png)) を選択します。情報アイコンは、Macie が毎日の更新サイクルの一部として Amazon S3 からバケットとオブジェクトのメタデータをおそらく最後に取得した後の過去 24 時間にバケットが作成されたことを示します。詳細については、「[データの更新](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh)」を参照してください。

警告アイコン![\[The warning icon, which is a red triangle that has an exclamation point in it.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/icon-warning-red.png)がバケットの名前の横に表示される場合、Macie はバケットまたはバケットのオブジェクトへのアクセスが許可されません。これは、ジョブがバケット内のオブジェクトを分析できなくなることを意味します。問題を調査するには、Amazon S3 内のバケットのポリシーとアクセス許可の設定を確認します。例えば、バケットには制限があるバケットポリシーが設定されている場合があります。詳細については、「[Macie が S3 バケットおよびオブジェクトにアクセスすることを許可する](monitoring-restrictive-s3-buckets.md)」を参照してください。

ビューをカスタマイズして特定のバケットをより簡単に検索するには、フィルターボックスにフィルター条件を入力してテーブルをフィルタリングできます。例をいくつか、次のテーブルに示します。


| ...のすべてのバケットを表示するには | ...でこのフィルターを適用 | 
| --- | --- | 
| 特定のアカウントによって所有されている | アカウント ID= the 12-digit ID for the account (アカウントの 12 桁の ID) | 
| パブリックアクセス可能である | 有効なアクセス許可 = パブリック | 
| 定期的なジョブには含まれない | ジョブによって積極的にモニタリングされる= False | 
| 定期的または 1 回限りのジョブに含まれない | ジョブで定義されている= (False) | 
| 特定のタグキーを持っている\$1 | タグキー= そのタグキー | 
| 特定のタグ値を持っている\$1 | タグ値= そのタグ値 | 
| 暗号化されていないオブジェクト (またはクライアント側の暗号化を使用するオブジェクト) を保存する | 暗号化によるオブジェクトカウントは、暗号化なしおよび From = 1 | 

\$1 タグのキーと値は大文字と小文字が区別されます。また、完全で有効な値を指定する必要があります。部分的な値を指定したり、ワイルドカード文字を使用したりすることはできません。

バケットに関する追加の詳細を表示するには、バケットの名前を選択して、詳細パネルを参照します。パネルでは、次の操作もできます。
+ フィールドの拡大鏡を選択して、特定のフィールドでピボットしてドリルダウンします。同じ値を持つバケットを表示するには![\[The zoom in icon, which is a magnifying glass that has a plus sign in it.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/icon-magnifying-glass-plus-sign.png)、 を選択します。他の値を持つバケットを表示するには![\[The zoom out icon, which is a magnifying glass that has a minus sign in it.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/icon-magnifying-glass-minus-sign.png)、 を選択します。
+ バケット内のオブジェクトの最新のメタデータを取得します。これは、バケットを最近作成したり、過去 24 時間にバケットのオブジェクトに重要な変更を行った場合に役立ちます。データを取得するには、パネルの **オブジェクト統計**セクションで更新![\[The refresh button, which is a button that displays an empty, dark gray circle with an arrow.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/btn-refresh-object-data.png)を選択します。このオプションは、30,000 個以下のオブジェクトが格納されているバケットで使用できます。

場合によっては、パネルにバケットのすべての詳細が含まれないことがあります。これは、Amazon S3 に 10,000 を超えるバケットを保存する場合に発生する可能性があります。Macie は、アカウントの 10,000 バケットのみの完全なインベントリデータを保持します。これは、最近作成または変更された 10,000 バケットです。ただし、このクォータを超えるバケット内のオブジェクトを分析するようにジョブを設定できます。これらのバケットの追加の詳細を確認するには、Amazon S3 を使用します。

### S3 バケット基準の指定
<a name="discovery-jobs-scope-buckets-criteria"></a>

ジョブのバケット基準を指定することを選択した場合、Macie は基準を定義およびテストするためのオプションを提供します。これらは、分析するオブジェクトが格納されている S3 バケットを特定するランタイム基準です。ジョブが実行されるたびに、基準に一致する汎用バケットが識別され、適切なバケット内のオブジェクトが分析されます。お客様が組織の Macie 管理者である場合、これには、お客さまのメンバーアカウントが所有するバケットが含まれます。

#### バケット基準の定義
<a name="discovery-jobs-scope-buckets-criteria-define"></a>

バケット基準は、S3 バケットのプロパティから派生する 1 つ以上の基準で設定されます。各条件は、*基準*とも呼ばれ、以下の設定要素があります。
+ **アカウント ID**または **有効なアクセス許可** などの、プロパティベースのフィールド。
+ 演算子で、*と等しい*`eq`または *等しくない*`neq`のいずれか。
+ 1 つまたは複数の値。
+ 含むまたは除外ステートメント。条件に一致するバケットを分析する (**含む) かスキップする (除外**) かどうかを示します。

フィールドに複数の値を指定した場合、Macie は OR ロジックを使用して値を結合します。基準に複数の条件を指定した場合、Macie は AND ロジックを使用して条件を結合します。また、除外条件は 含む条件よりも優先されます。たとえば、パブリックアクセス可能なバケットを含めて、特定のタグを持つバケットを除外する場合、ジョブは、バケットに指定されたタグのいずれかがない限り、パブリックアクセス可能なバケット内のオブジェクトを分析します。

S3 バケットの次のプロパティベースのフィールドのいずれかから派生する条件を定義できます。

**アカウント ID**   
バケットを所有 AWS アカウント する の一意の識別子 (ID)。このフィールドに複数の値を指定するには、各アカウントの ID を入力し、各エントリをカンマで区切ります。  
また、Macie はこのフィールドのワイルドカード文字または部分的な値の使用をサポートしていないことに注意してください

**バケット名**  
バケットの名前。このフィールドは、Amazon S3 内の、**Amazon Resource Name (ARN)** (Amazon リソースネーム (ARN)) フィールドではなく、**名前**フィールドに関連します。このフィールドに複数の値を指定するには、各バケットの名前を入力し、各エントリをカンマで区切ります。  
values (値) では、大文字と小文字が区別されることに注意してください。また、Macie はこのフィールドのワイルドカード文字または部分的な値の使用をサポートしていません。

**有効なアクセス許可**  
バケットがパブリックアクセス可能かどうかを指定します。このフィールドには、次の値を 1 つ以上選択できます。  
+ **パブリックではない**— 一般ユーザーは、バケットへの読み取りまたは書き込みのアクセス権を持っていません。
+ **パブリック**— 一般ユーザーは、バケットへの読み取りまたは書き込みのアクセス権を持っています。
+ **不明**— Macie はバケットのパブリックアクセス設定を評価できませんでした。問題またはクォータにより、Macie は必要なデータを取得して評価できませんでした。
バケットがパブリックアクセス可能かどうかを判断するため、Macie はバケットのアカウントレベルとバケットレベルの設定、アカウントのブロックパブリックアクセスの設定、バケットのブロックパブリックアクセスの設定、バケットのバケットポリシー、およびバケットのアクセスコントロールリスト (ACL) の組み合わせを分析します。これらの設定の詳細については、Amazon *Simple Storage Service ユーザーガイド*の「Amazon S3 ストレージへのアクセス[コントロール](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html)とパブリックアクセスのブロック」を参照してください。 [ Amazon S3 ](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html) 

**共有アクセス**  
バケットを別の 、Amazon CloudFront オリジンアクセスアイデンティティ (OAI) AWS アカウント、または CloudFront オリジンアクセスコントロール (OAC) と共有するかどうかを指定します。このフィールドには、次の値を 1 つ以上選択できます。  
+ **外部** — バケットは、CloudFront OAI、CloudFront OAC、または組織の外部 (一部ではない) のアカウントの 1 つ以上、またはそれらの任意の組み合わせと共有されます。
+ **内部** — バケットは組織の内部にある (一部である) 1 つ以上のアカウントと共有されます。CloudFront の OAI や OAC とは共有されません。
+ **共有なし** — バケットは別のアカウント、CloudFront OAI、または CloudFront OAC と共有されていません。
+ **不明**— Macie はバケットの共有アクセス設定を評価できませんでした。問題またはクォータにより、Macie は必要なデータを取得して評価できませんでした。
バケットが別のバケットと共有されているかどうかを判断するために AWS アカウント、Macie はバケットのバケットポリシーと ACL を分析します。さらに、*組織は*、 を通じて、 AWS Organizations または Macie の招待によって、関連するアカウントのグループとして一元管理される一連の Macie アカウントとして定義されます。バケットを共有するための Amazon S3 オプションの詳細については、*Amazon Simple Storage Service ユーザーガイド*の[「アクセスコントロール](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html)」を参照してください。  
バケットが CloudFront OAA または OAC と共有されているかを決定するために、Macie はバケットのポリシーを分析します。CloudFront OAI または OAC を使用すると、ユーザーは 1 つ以上の指定された CloudFront ディストリビューションを介してバケットのオブジェクトにアクセスできます。詳細については、Amazon CloudFront デベロッパーガイドの[Amazon S3 オリジンへのアクセスを制限する](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html)を参照してください。

**タグ**  
バケットに関連付けられているタグ。タグは、S3 バケットを含む特定のタイプの AWS リソースを定義して割り当てることができるラベルです。各タグは、必要なタグキーとオプションのタグ値で設定されています。S3 バケットのタグ付けの詳細については、Amazon Simple Storage Service ユーザーガイドの[コスト配分 S3 バケットタグの使用](https://docs.aws.amazon.com/AmazonS3/latest/userguide/CostAllocTagging.html)を参照してください。  
機密データ検出ジョブの場合、このタイプの条件を使用して、特定のタグキー、特定のタグ値、または特定のタグキーとタグ値 (ペアとして) を持つバケットを含めるか除外できます。例えば、次のようになります。  
+ タグキーとして **Project** を指定し、条件でタグ値を指定しない場合、プロジェクトタグキーを持つバケットは、そのタグキーに関連付けられているタグ値に関係なく、条件の基準を満たします。
+ **Development** と **Test** をタグ値として指定し、条件でタグキーを指定しない場合、**Development** または **Test** のタグ値を持つバケットは、それらのタグ値に関連付けられているタグキーに関係なく、条件の基準と一致します。
タグのキーと値では、大文字と小文字が区別されます。また、Macie はタグ条件でのワイルドカード文字または部分的な値の使用をサポートしていません。  
条件で複数のタグキーを指定するには、各タグキーを **キー**フィールドに入力し、各エントリをカンマで区切ります。条件で複数のタグ値を指定するには、各タグ値を **値**フィールドに入力し、各エントリをカンマで区切ります。  
Amazon S3 に 10,000 を超えるバケットを保存する場合、Macie はすべてのバケットのタグデータを維持しないことに注意してください。Macie は、アカウントの 10,000 バケットのみの完全なインベントリデータを保持します。これは、最近作成または変更された 10,000 バケットです。他のすべてのバケットでは、関連するタグキーと値はインベントリデータに含まれません。つまり、バケットは、*等号* (`eq`) 演算子を使用する条件の特定のタグキーまたは値と一致しません。タグベースの条件に*等しくない* (`neq`) 演算子を指定すると、バケットが条件と一致することを意味します。

#### バケット基準のテスト
<a name="discovery-jobs-scope-buckets-criteria-test"></a>

バケット基準を定義している間、結果をプレビューして基準をテストおよび絞り込むことができます。これを行うには、コンソールの条件の下に表示される **基準の結果のプレビュー**セクションを展開します。このセクションでは、現在条件に一致する最大 25 個の汎用バケットのテーブルを表示します。

この表はまた、ジョブが各バケットで分析できるデータ量についての洞察を提供します。分類可能なオブジェクトとは、[サポートされているAmazon S3ストレージクラス](discovery-supported-storage.md#discovery-supported-s3-classes)を使用し、[サポートされているファイルまたはストレージフォーマット](discovery-supported-storage.md#discovery-supported-formats)のファイル名拡張子を持つオブジェクトです。テーブルは、バケット内のオブジェクトを定期的に分析するように既存のジョブが設定されているかどうかも示します。

このテーブルの説明を以下に示します。
+ **機密性** - [機密データ自動検出](discovery-asdd.md)が有効になっている場合、バケットの現在の機密性スコアを指定します。
+ **分類可能なオブジェクト** - ジョブがバケット内で分析できるオブジェクトの合計数を指定します。
+ **分類可能なサイズ** - ジョブがバケット内で分析できるすべてのオブジェクトの合計ストレージサイズを指定します。

  バケットに圧縮オブジェクトが格納されている場合、この値は、解凍後のこれらのオブジェクトの実際のサイズを反映していません。バケットでバージョニングが有効化されている場合、この値は、バケット内の各オブジェクトの最新バージョンのストレージサイズに基づきます。
+ **ジョブによるモニタリング** - バケット内のオブジェクトを毎日、毎週、または毎月ベースで定期的に分析するように既存のジョブが設定されているかどうかを指定します。

  このフィールドの値が **はい**の場合、バケットが定期的なジョブに明示的に含まれるか、バケットが過去 24 時間以内の定期的なジョブの基準に一致したことになります。さらに、それらのジョブの少なくとも 1 つのステータスは *キャンセル*されません。Macie は毎日ベースでこのデータを更新します。

警告アイコン![\[The warning icon, which is a red triangle that has an exclamation point in it.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/icon-warning-red.png)がバケットの名前の横に表示される場合、Macie はバケットまたはバケットのオブジェクトへのアクセスが許可されません。これは、ジョブがバケット内のオブジェクトを分析できなくなることを意味します。問題を調査するには、Amazon S3 内のバケットのポリシーとアクセス許可の設定を確認します。例えば、バケットには制限があるバケットポリシーが設定されている場合があります。詳細については、[Macie が S3 バケットおよびオブジェクトにアクセスすることを許可する](monitoring-restrictive-s3-buckets.md)を参照してください。

ジョブのバケット基準を絞り込むには、フィルターオプションを使用して、基準の条件を追加、変更、または削除します。Macie は、変更を反映するようにテーブルを更新します。

## サンプリング深度
<a name="discovery-jobs-scope-sampling"></a>

このオプションでは、機密データ検出ジョブで分析する適格な S3 オブジェクトのパーセンテージを指定します。適格なオブジェクトとは、[サポートされている Amazon S3 ストレージクラス](discovery-supported-storage.md#discovery-supported-s3-classes)を使用し、[サポートされているファイルまたはストレージ形式](discovery-supported-storage.md#discovery-supported-formats)のファイル名拡張子を持つオブジェクトを有し、ジョブに指定するその他の条件を満たすオブジェクトです。

この値が 100% 未満の場合、Macie は、分析する適格なオブジェクトをランダムに選択し、指定されたパーセンテージまで、それらのオブジェクトのすべてのデータを分析します。たとえば、10,000 個のオブジェクトを分析するようにジョブを設定し、サンプリング深度を 20% に指定すると、Macie はジョブの実行時に、ランダムに選択した適格なオブジェクトを約 2,000 個分析します。

ジョブのサンプリング深度を下げると、コストを削減し、ジョブの所要時間を短縮できます。これは、オブジェクトのデータの一貫性が高く、各オブジェクトではなく S3 バケットに機密データが格納されているかどうかを判断する場合に便利です。

このオプションは、分析される *バイト*のパーセンテージではなく、分析される *オブジェクト*のパーセンテージを制御することに注意してください。100% 未満のサンプリング深度を入力すると、Macie は選択した各オブジェクトのデータのパーセンテージではなく、選択した各オブジェクトのすべてのデータを分析します。

## 初回実行: 既存の S3 オブジェクトを含める
<a name="discovery-jobs-scope-objects"></a>

機密データ検出ジョブを使用して、S3 バケット内のオブジェクトの継続的な増分分析を実行できます。定期的に実行するようにジョブを設定すると、Macie は自動的にこれを行います。各実行では、前の実行後に作成または変更されたオブジェクトのみが分析されます。**既存のオブジェクトを含める**オプションでは、最初の増分の開始点を選択します。
+ ジョブの作成が完了した直後に既存のオブジェクトをすべて分析するには、このオプションのチェックボックスをオンにします。
+ ジョブの作成後、初回実行前に作成または変更されたオブジェクトのみを待機して分析するには、このオプションのチェックボックスをオフにします。

  このチェックボックスをオフにすると、すでにデータを分析していて、定期的に分析し続ける場合に役立ちます。たとえば、以前は別のサービスやアプリケーションを使用してデータを分類していたが、最近Macieを使用し始めた場合、このオプションを使用することで、不必要なコストや分類データの重複を発生させることなく、データの検出と分類を継続できるようになります。

定期ジョブの後続の実行ごとに、前の実行後に作成または変更されたオブジェクトのみが自動的に分析されます。

定期的なジョブと 1 回限りのジョブの両方について、特定の時間の前後または特定の時間範囲の間に作成または変更されたオブジェクトのみを分析するためのジョブを設定することもできます。これを行うには、オブジェクトの最終更新日を使用する object criteria (オブジェクト基準) を追加します。

## S3 オブジェクト基準
<a name="discovery-jobs-scope-criteria"></a>

機密データ検出ジョブの範囲を微調整するには、S3 オブジェクトのカスタム条件を定義します。Macie は、これらの基準を使用して、ジョブの実行時に分析する (含む**) オブジェクトまたはスキップする (除外する**) オブジェクトを決定します。この基準は、S3 オブジェクトのプロパティから派生する 1 つ以上の条件で設定されます。条件は、分析に含まれるすべての S3 バケットのオブジェクトに適用されます。バケットにオブジェクトの複数のバージョンが格納されている場合、条件はオブジェクトの最新バージョンに適用されます。

複数の条件をオブジェクト基準として定義する場合、Macie は AND ロジックを使用して条件を結合します。また、除外条件は 含む条件よりも優先されます。たとえば、.pdf ファイル名拡張子を持つオブジェクトを含めて、5 MB を超えるオブジェクトを除外すると、オブジェクトが 5 MB を超えない限り、ジョブは .pdf ファイル名拡張子を持つ任意のオブジェクトを分析します。

S3 オブジェクトの次のプロパティのいずれかから派生する条件を定義できます。

**ファイル名拡張子**  
これは S3 オブジェクトのファイル名拡張子に関連します。このタイプの条件を使用して、ファイルタイプに基づいてオブジェクトを含めるか除外することができます。複数のタイプのファイルに対してこれを行うには、各タイプのファイル名拡張子を入力し、各エントリをカンマで区切ります。次に例を示します: **docx,pdf,xlsx**。条件の値として複数のファイル名拡張子を入力すると、Macie は OR ロジックを使用して値を結合します。  
values (値) では、大文字と小文字が区別されることに注意してください。また、Macie はこのタイプの条件での部分的な値またはワイルドカード文字の使用をサポートしていません。  
Macie が分析できるファイルのタイプの詳細については、[サポートされているファイルおよびストレージ形式](discovery-supported-storage.md#discovery-supported-formats)を参照してください。

**最終更新日時**  
これは、Amazon S3 の **最終更新日時**フィールドに関連します。Amazon S3 では、このフィールドには S3 オブジェクトが作成された日時、または最後に変更された日時のいずれか最新の日時が保存されます。  
機密データ検出ジョブでは、この条件には、特定の日付、特定の日時、または唯一の時間範囲を指定できます。  
+ 特定の日付または日時の後に最後に変更されたオブジェクトを分析するには、**From** フィールドに値を入力します。
+ 特定の日付または日時より前に最後に変更されたオブジェクトを分析するには、**To** フィールドに値を入力します。
+ 特定の時間範囲の間に最後に変更されたオブジェクトを分析するには、**From** フィールドを使用して、時間範囲内の最初の日付または日時の値を入力します。**To** フィールドを使用して、時間範囲内の最後の日付または日時の値を入力します。
+ 特定の 1 日の任意の時刻で最後に変更されたオブジェクトを分析するには、**From** フィールドに日付を入力します。**To** フィールドに次の日の日付を入力します 次に、両方の時間フィールドが空白であることを確認します。(Macie は空白の時間フィールドを `00:00:00` として扱います。） たとえば、2023 年 8 月 9 日に変更されたオブジェクトを分析するには、**[From]** 日付フィールドに **2023/08/09** と入力し、**[To]** 日付フィールドに **2023/08/10** と入力し、どちらの時刻フィールドにも値を入力しません。
協定世界時 (UTC) に任意の時間値を入力し、24 時間表記を使用します。

**プレフィックス**  
これは、Amazon S3 の **キー**フィールドに関連します。Amazon S3 では、このフィールドには、オブジェクトのプレフィックスを含む S3 オブジェクトの名前が保存されます。*プレフィックス*は、バケット内のディレクトリパスと類似しています。これにより、類似ファイルをファイルシステム上のフォルダにまとめて保存する場合と同様に、バケット内の類似オブジェクトをまとめてグループ化できます。Amazon S3 のオブジェクトのプレフィックスとフォルダの詳細については、*Amazon Simple Storage Service ユーザーガイド*の[フォルダを使用して Amazon S3 コンソールでオブジェクトを整理する](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-folders.html)を参照してください。  
このタイプの条件を使用して、キー (名前) が特定の値で始まるオブジェクトを含めるか除外することができます。たとえば、キーが *AWSLogs* で始まるすべてのオブジェクトを除外するには、**プレフィックス** 条件の値として **AWSLogs** と入力し、次に **除外** を選択します。  
条件の値として複数のプレフィックスを入力すると、Macie は OR ロジックを使用して値を結合します。たとえば、条件の値として **AWSLogs1** と **AWSLogs2** を入力した場合、キーが AWSLogs1またはAWSLogs2で始まるすべてのオブジェクトは、条件の基準と一致しています。  
**プレフィックス**条件で値を入力するときは、以下の点に注意してください。  
+ 値は大文字と小文字が区別されます。
+ Macie は、これらの値でのワイルドカード文字の使用をサポートしていません。
+ Amazon S3 では、オブジェクトのキーには、オブジェクトが格納されているバケットの名前は含まれません。このため、これらの値にはバケット名を指定しないでください。
+ プレフィックスに区切り文字が含まれている場合は、値に区切り文字を含めます。たとえば、*AWSLogs/eventlogs* で始まるキーを持つすべてのオブジェクトの条件を定義するには **AWSLogs/eventlogs** と入力します。Macie は、スラッシュ (/) であるデフォルトの Amazon S3 区切り文字とカスタム区切り文字をサポートしています。
また、オブジェクトが条件の条件に一致するのは、オブジェクトのキーの最初の文字から入力した値と完全に一致する場合だけであることに注意してください。また、Macieは、オブジェクトのファイル名を含め、オブジェクトの完全な **キー**値に条件を適用します。  
例えば、オブジェクトのキーがAWSLogs/eventlogs/testlog.csvで、条件に以下の値のいずれかを入力した場合、そのオブジェクトは条件の条件にマッチします：  
+ **AWSLogs**
+ **AWSLogs/event**
+ **AWSLogs/eventlogs/**
+ **AWSLogs/eventlogs/testlog**
+ **AWSLogs/eventlogs/testlog.csv**
しかし、もし**eventlogs** を入力すると、オブジェクトは条件にマッチしません。—条件の値にキーの最初の部分であるAWSLogs/が含まれていないからです。同様に、 **awslogs**を入力しても、大文字と小文字の違いにより、オブジェクトは条件に一致しない。

**ストレージサイズ**  
これは、Amazon S3 の **サイズ**フィールドに関連します。Amazon S3 では、このフィールドは S3 オブジェクトの合計ストレージサイズを示します。オブジェクトが圧縮ファイルの場合、この値は解凍後のファイルの実際のサイズを反映しません。  
このタイプの条件を使用して、特定のサイズより小さい、特定のサイズより大きい、または特定のサイズ範囲内にあるオブジェクトを含めるか除外することができます。Macie は、圧縮ファイルやアーカイブファイル、およびそれらに含まれるファイルなど、すべてのタイプのオブジェクトにこの条件を適用します。サポートされている各フォーマットのサイズベースの制限については、[Macie のクォータ](macie-quotas.md)を参照してください。

**タグ**  
S3オブジェクトに関連付けられたタグ。タグは、S3 オブジェクトを含む特定のタイプの AWS リソースを定義して割り当てることができるラベルです。各タグは、必要なタグキーとオプションのタグ値で設定されています。S3 オブジェクトのタグ付けの詳細については、*Amazon Simple Storage Service ユーザーガイド*の[タグを使用してストレージを分類する](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-tagging.html)を参照してください。  
機密データ検出ジョブの場合、このタイプの条件を使用して、特定のタグを持つオブジェクトを含めるか除外できます。これは、特定のタグキー、または特定のタグキーとタグ値 (ペア) です。条件の値として複数のタグを指定すると、Macie は OR ロジックを使用して値を結合します。例えば、ある条件のタグキーとして、**Project1** と **Project2** を指定した場合、Project1または Project2のタグキーを持つオブジェクトが、条件と一致します。  
タグのキーと値は大文字と小文字が区別されることに注意してください。また、Macie はこのタイプの条件での部分的な値またはワイルドカード文字の使用をサポートしていません。

# 機密データ検出ジョブの作成
<a name="discovery-jobs-create"></a>

Amazon Macie を使用すると、機密データ検出ジョブを作成して実行し、Amazon Simple Storage Service (Amazon S3) 汎用バケット内の機密データの検出、ログ記録、レポート作成を自動化できます。機密データ検出ジョブは、Amazon S3 オブジェクト内の機密データを検出して報告するために Macie が実行する一連の自動処理および分析タスクです。分析が進むにつれて、Macie は検出した機密データと実行した分析に関する詳細なレポートを作成します。機密データ検出結果では、Macie が個々の S3 オブジェクト内で検出した機密データを報告し、機密データ検出結果では、個々の S3 オブジェクトの分析に関するログ詳細を記録します。詳細については、「[ジョブ結果を確認する](discovery-jobs-manage-results.md)」を参照してください。

ジョブを作成する際はまず、ジョブ実行時に Macie で分析するオブジェクトが保存されている S3 バケット (選択した特定のバケットまたは特定の基準に一致したバケット) を指定します。次に、ジョブを 1 回実行するか、毎日、毎週、または毎月ベースで実行するか、その頻度を指定します。また、オプションを選択して、ジョブの分析範囲を絞り込むこともできます。オプションには、タグやプレフィックスなどの S3 オブジェクトのプロパティから派生するカスタム基準やオブジェクト最終更新日時があります。

ジョブのスケジュールと範囲を定義した後、使用するマネージドデータ識別子とカスタムデータ識別子を指定します。
+ *マネージドデータ識別子*は、クレジットカード番号、 AWS シークレットアクセスキー、特定の国や地域のパスポート番号など、特定のタイプの機密データを検出するように設計された一連の組み込み基準と手法です。これらの識別子は、複数タイプの認証情報データ、財務情報、個人健康情報 (PHI)、個人を特定できる情報 (PII) など、多くの国や地域で増加している大規模な機密データタイプのリストを検出できます。詳細については、[マネージドデータ識別子の使用](managed-data-identifiers.md)を参照してください。
+ *カスタムデータ識別子*は、機密データを検出するために定義する基準のセットです。カスタムデータ識別子を使用すると、従業員 ID、顧客アカウント番号、内部データの分類など、組織の特定のシナリオ、知的財産、または専有データを反映する機密データを検出できます。Macie が提供するマネージドデータ識別子を補足できます。詳細については、「[カスタムデータ識別子の構築](custom-data-identifiers.md)」を参照してください。

次に、必要に応じて、使用する許可リストを選択します。Macie の許可リスト**では、無視するテキストまたはテキストパターンが指定されます。これらは通常、特定のシナリオまたは環境における機密データの例外です。例えば、組織の公表名称または電話番号、組織がテストに使用するサンプルデータなどです。詳細については、「[許可リストでの機密データの例外の定義](allow-lists.md)」を参照してください。

これらのオプションの選択が完了したら、ジョブの名前やジョブの詳細など、ジョブの一般的な設定を入力できます。その後、ジョブを確認して保存します。

**Topics**
+ [開始する前に: キーリソースをセットアップする](#discovery-jobs-create-prerequisites)
+ [ステップ 1: S3 バケットを選択する](#discovery-jobs-create-step1)
+ [ステップ 2: S3 バケットの選択または基準を確認する](#discovery-jobs-create-step2)
+ [ステップ 3: スケジュールを定義し、範囲を絞り込む](#discovery-jobs-create-step3)
+ [ステップ 4: マネージドデータ識別子を選択する](#discovery-jobs-create-step4)
+ [ステップ 5: カスタムデータ識別子を選択する](#discovery-jobs-create-step5)
+ [ステップ 6: 許可リストの選択](#discovery-jobs-create-step6)
+ [ステップ 7: 全般設定を入力](#discovery-jobs-create-step7)
+ [ステップ 8: 確認して作成](#discovery-jobs-create-step8)

## 開始する前に: キーリソースをセットアップする
<a name="discovery-jobs-create-prerequisites"></a>

ジョブを作成する前に、次のステップを実行することをお勧めします。
+ 機密データ検出の結果用のリポジトリを設定していることを確認します。これを行うには、Amazon Macie コンソールのナビゲーションペインで **検出結果** を選択します。これらの設定の詳細については、[機密データ検出結果の保存と保持](discovery-results-repository-s3.md)を参照してください。
+ ジョブで使用するカスタムデータ識別子を作成します。この方法の詳細は、[カスタムデータ識別子の構築](custom-data-identifiers.md)を参照してください。
+ ジョブで使用する許可リストを作成します。この方法の詳細は、[許可リストでの機密データの例外の定義](allow-lists.md)を参照してください。
+ 暗号化された S3 オブジェクトを分析する場合は、Macie が正しい暗号化キーにアクセスして使用できることを確認してください。詳細については、[暗号化された S3 オブジェクトの分析](discovery-supported-encryption-types.md)を参照してください。
+ 制限があるバケットポリシーを持つ S3 バケット内のオブジェクトを分析する場合は、Macie がオブジェクトにアクセス許可されているか確認してください。詳細については、[Macie が S3 バケットおよびオブジェクトにアクセスすることを許可する](monitoring-restrictive-s3-buckets.md)を参照してください。

ジョブ作成の前にこれらの処理を行えば、ジョブ作成が効率化され、確実にジョブが対象データを分析できるようになります。

## ステップ 1: S3 バケットを選択する
<a name="discovery-jobs-create-step1"></a>

ジョブを作成する際まず、ジョブ実行時に Macie が分析するオブジェクトが保存されている S3 バケットを指定します。このステップでは、2 つのオプションがあります。
+ **特定のバケットを選択する** — このオプションでは、分析する各 S3 バケットを明示的に選択します。次に、ジョブが実行されると、Macie によって、選択したバケット内のオブジェクトのみが分析されます。
+ **バケット基準を指定する** — このオプションでは、分析する S3 バケットを決定するランタイム基準を定義します。基準は、バケットプロパティから派生する 1 つ以上の条件で設定されます。次に、ジョブが実行されると、Macie によって、基準に一致するバケットが識別され、それらのバケット内のオブジェクトが分析されます。

これらのオプションの詳細な情報については、[ジョブの範囲のオプション](discovery-jobs-scope.md)を参照してください。

以下のセクションでは、各オプションの選択および設定の手順について説明します。目的のオプションのセクションを選択します。

### 特定のバケットを選択する
<a name="discovery-jobs-create-step1-buckets-select"></a>

分析する各 S3 バケットを明示的に選択すると、Macie は現在の汎用バケットのインベントリを提供します AWS リージョン。次に、このインベントリを使用して、ジョブに対して 1 つ以上のバケットを選択します。このインベントリの詳細については、[特定のバケットを選択する](discovery-jobs-scope.md#discovery-jobs-scope-buckets-select)を参照してください。

お客様が組織の Macie 管理者である場合、インベントリには、組織のメンバーアカウントによって所有されているバケットが含まれます。これらのバケットは最大 1,000 個まで選択でき、最大 1,000 個のアカウントで設定されます。

**ジョブに対して特定の S3 バケットを選択するには**

1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。

1. ナビゲーションペインで **ジョブ**を選択します。

1. **[ジョブの作成]**を選択します。

1. **[S3 バケットを選択する]**ページで、**[特定のバケットを選択する]** を選択します。Macie では、現在のリージョン内のアカウントのすべての汎用バケットのテーブルが表示されます。

1. **S3 バケットを選択** のセクションで、必要に応じてリフレッシュ![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/btn-refresh-data.png)を選択して、Amazon S3 から最新バケットメタデータを取得します。

   情報アイコン![\[The information icon, which is a blue circle that has a lowercase letter i in it.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/icon-info-blue.png)がバケット名の横に表示された場合、これを行うことをお勧めします。このアイコンは、Macie が [毎日の更新サイクル](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh)の一部として Amazon S3 からバケットとオブジェクトメタデータをおそらく最後に取得した後の過去 24 時間にバケットが作成されたことを示します。

1. テーブルで、ジョブで分析する各バケットのチェックボックスをオンにします。
**ヒント**  
特定のバケットをより簡単に検索するには、テーブルの上にあるフィルターボックスにフィルター条件を入力します。列見出しを選択して、テーブルを並べ替えることもできます。
バケット内のオブジェクトを定期的に分析するジョブを既に設定したかを判断するには、**ジョブによるモニタリング** フィールドを参照します。**はい** がフィールドに表示される場合、バケットは定期的なジョブに明示的に含まれるか、あるいは、バケットが過去 24 時間以内の定期的なジョブの条件に一致したことになります。さらに、それらのジョブの少なくとも 1 つのステータスは *キャンセル*されません。Macie は毎日ベースでこのデータを更新します。
既存の定期的な設定か、あるいは、直近の 1 回限りのバケット内オブジェクト分析ジョブになっているかを判断するには、**最新のジョブ実行** フィールドを参照します。そのジョブの追加の情報については、バケットの詳細を参照してください。
バケットの詳細を表示するには、バケットの名前を選択します。ジョブ関連情報に加えて、詳細パネルには、バケットのパブリックアクセス設定など、バケットに関する統計やその他の情報が表示されます。このデータの詳細については、[S3 バケットインベントリを確認する](monitoring-s3-inventory-review.md)を参照してください。

1. バケットの選択が終了したら、**次へ**を選択します。

次のステップでは、選択内容を確認します。

### バケット基準を指定する
<a name="discovery-jobs-create-step1-buckets-criteria"></a>

分析する S3 バケットを決定するランタイム基準を指定すると、Macie から、基準内の個別の条件のフィールド、演算子、および値を選択するのに役立つオプションが提供されます。これらのオプションの詳細については、「[S3 バケット基準の指定](discovery-jobs-scope.md#discovery-jobs-scope-buckets-criteria)」を参照してください。

**ジョブの S3 バケット基準を指定するには**

1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。

1. ナビゲーションペインで **ジョブ**を選択します。

1. **ジョブの作成**を選択します。

1. **S3 バケットを選択する**ページで、**バケット基準を指定する** を選択します。

1. **バケット基準を指定する** の下で、以下を実行して、条件を基準に追加します。

   1. フィルターボックスにカーソルを置き、条件に使用するバケットプロパティを選択します。

   1. 最初のボックスで、条件の演算子 (**等しい** または **等しくない** を選択します。

   1. 次のボックスに、プロパティの値を 1 つ以上入力します。

      バケットプロパティのタイプと性質に応じて、Macie は値を入力するためのさまざまなオプションを表示します。例えば、**有効なアクセス許可** プロパティを選択した場合、Macie は選択する値のリストを表示します。**アカウント ID** プロパティを選択した場合、Macie は、1 つ以上の AWS アカウント ID を入力できるテキストボックスを表示します。テキストボックスに複数の値を入力するには、各値を入力し、各エントリをカンマで区切ります。

   1. **適用** を選択します。Macie は条件を追加し、フィルターボックスの下に表示します。

      デフォルトでは、Macie は include ステートメントで条件を追加します。これは、ジョブが条件に一致するバケット内のオブジェクトを分析する*含める*ように設定されていることを意味します 。条件に一致するバケットをスキップする (除外する) には、条件で**含める** を選択し、次に **除外する** を選択します。

   1. 基準に追加する追加の条件ごとに、上記のステップを繰り返します。

1. 基準をテストするには、**条件の結果をプレビューする**セクションを展開します。このセクションでは、現在条件に一致する最大 25 個の汎用バケットのテーブルを表示します。

1. 基準を絞り込むには、以下のいずれかを行ってください。
   + 条件を削除するには、条件で **X** を選択します。
   + 条件を変更するには、条件で **X** を選択してその条件を削除します。次に、正しい設定を持つ条件を追加します。
   + すべての条件を削除するには、**フィルターをクリア**を選択します。

   Macie は、基準の結果のテーブルを更新して、変更を反映します。

1. バケット基準の指定が終了したら、**次へ**を選択します。

次のステップでは、基準を確認します。

## ステップ 2: S3 バケットの選択または基準を確認する
<a name="discovery-jobs-create-step2"></a>

このステップでは、前のステップで正しい設定を選択したことを検証します。
+ **バケット選択の確認** ジョブに特定の S3 バケットを選択した場合は、バケットのテーブルを確認し、必要に応じてバケットの選択を変更します。このテーブルは、ジョブの分析の予測範囲とコストに関する洞察を提供します。データは、バケットに現在保存されているオブジェクトのサイズとタイプに基づいています。

  表の**推定コスト**フィールドは、S3 バケット内のオブジェクトの分析の合計推定コスト (米ドル) を示しています。各見積もりは、ジョブがバケット内で分析する非圧縮データの予測量を反映します。オブジェクトが圧縮ファイルまたはアーカイブファイルである場合、見積もりではファイルが 3:1 の圧縮率を使用し、ジョブはすべての抽出されたファイルを分析できると仮定します。詳細については、[ジョブのコストの予測とモニタリング](discovery-jobs-costs.md)を参照してください。
+ **バケット条件を確認** ジョブのバケット条件を指定した場合は、それぞれの条件がその条件になっているか確認します。基準を変更するには、**前へ** を選択し、前のステップのフィルターオプションを使用して正しい条件を入力します。終了したら、**次へ**を選択します。

設定の確認と検証が終了したら、**次へ** を選択します。

## ステップ 3: スケジュールを定義し、範囲を絞り込む
<a name="discovery-jobs-create-step3"></a>

このステップでは、ジョブを 1 回実行するか、毎日、毎週、または毎月ベースで実行するか、その頻度を指定します。また、さまざまなオプションを選択して、ジョブの分析範囲を絞り込みます。これらのオプションについては、[ジョブの範囲のオプション](discovery-jobs-scope.md)を参照してください。

**スケジュールを定義し、ジョブの範囲を絞り込むには**

1. **範囲を絞り込む** ページで、ジョブを実行する頻度を選択します。
   + ジョブを 1 回だけ実行するには、作成終了直後に、**1 回限りのジョブ**を選択します。
   + ジョブを繰り返しベースで定期的に実行するには、**スケジュールされたジョブ**を選択します。**更新頻度**では、ジョブを毎日、毎週、または毎月実行するかを選択します。次に、**既存のオブジェクトを含める**オプションを使用して、ジョブの初回実行の範囲を定義します。
     + ジョブの作成が完了した直後に既存のオブジェクトをすべて分析するには、このチェックボックスをオンにします。後続の実行ごとに、前の実行後に作成または変更されたオブジェクトのみが分析されます。
     + 既存のすべてのオブジェクトの分析をスキップするには、このチェックボックスをオフにします。ジョブの最初の実行では、ジョブの作成終了後で最初の実行開始前に作成または変更されたオブジェクトのみが分析されます。後続の実行ごとに、前の実行後に作成または変更されたオブジェクトのみが分析されます。

       このチェックボックスをオフにすると、すでにデータを分析していて、定期的に分析を続ける場合に役立ちます。例えば、以前他のサービスまたはアプリケーションを使ってデータを分類し、最近 Macie を使用し始めた場合は、このオプションを使用すると、不要なコストや重複した分類データを発生させずにデータの検出と分類を継続することができます。

1. (オプショナル) ジョブで分析するオブジェクトのパーセンテージを指定するには、**サンプリング深度**ボックスにパーセンテージを入力します。

   この値が 100% 未満の場合、Macie は、分析するオブジェクトをランダムに選択し、指定されたパーセンテージまで、それらのオブジェクトのすべてのデータを分析します。デフォルト値は 100% です。

1. (オプショナル) ジョブの分析に含めるか除外する S3 オブジェクトを決定する特定の基準を追加するには、**追加の設定**セクションを展開し、次に基準を入力します。これらの条件は、オブジェクトのプロパティから派生する個別の条件で設定されます。
   + 分析するため特定の条件を満たすオブジェクトを含め 、条件のタイプと値を入力し、次に **含める**を選択します。
   + 特定の条件を満たすオブジェクトをスキップする (除外する) には、条件のタイプと値を入力し、次に **除外する**を選択します。

   必要な 含めるまたは 除外する条件ごとに、このステップを繰り返します。

   複数の条件を入力した場合、すべての除外条件は、適用する条件より優先されます。例えば、.pdf ファイル名拡張子を持つオブジェクトを含めて、5 MB を超えるオブジェクトを除外すると、オブジェクトが 5 MB を超えない限り、ジョブは .pdf ファイル名拡張子を持つ任意のオブジェクトを分析します。

1. 終了したら、**次へ** を選択します。

## ステップ 4: マネージドデータ識別子を選択する
<a name="discovery-jobs-create-step4"></a>

このステップでは、S3 オブジェクトを分析するときにジョブで使用するマネージドデータ識別子を指定します。これには 2 つのオプションがあります。
+ **推奨設定を使用** このオプションでは、ジョブに推奨するマネージドデータ識別子のセットを使用して、ジョブにより S3 オブジェクトが分析されます。このセットは、一般的なカテゴリとタイプの機密データを検出するように設計されています。現在セット内にあるマネージドデータ識別子の詳細なリストを確認するには、[ジョブに推奨されるマネージドデータ識別子](discovery-jobs-mdis-recommended.md) を参照してください。マネージドデータ識別子がセットに追加または削除されるたびに、そのリストは更新されます。
+ **カスタム設定を使用** このオプションでは、選択したマネージドデータ識別子を使用して、ジョブにより S3 オブジェクトが分析されます。これは、現在利用可能なマネージドデータ識別子のすべてまたは一部のみとなる可能性があります。また、マネージドデータ識別子を使用しないようジョブを設定することもできます。代わりに、次のステップで選択するカスタムデータ識別子をジョブに使用します。現在利用可能なマネージドデータ識別子の一覧を確認するには、[クイックリファレンス: タイプ別のマネージドデータ識別子](mdis-reference-quick.md) を参照してください。新しいマネージドデータ識別子がリリースされるたびに、そのリストが更新されます。

いずれかのオプションを選択すると、Macie はマネージドデータ識別子のテーブルを表示します。テーブルの [**機密データのタイプ**] フィールドで、マネージドデータ識別子に一意の識別子 (ID) を指定します。この ID は、マネージドデータ識別子によって検出される機密データのタイプを示します。例えば、米国のパスポート番号は **USA\$1PASSPORT\$1NUMBER**、クレジットカード番号は **CREDIT\$1CARD\$1NUMBER**、PGP プライベートキーは **PGP\$1PRIVATE\$1KEY** です。特定の識別子をよりすばやく検索するには、機密データのカテゴリまたはタイプでテーブルを並べ替えたり、フィルタリングします。

**ジョブのマネージドデータ ID を選択するには**

1. **マネージドデータ識別子を選択する** ページの [**マネージドデータ識別子のオプション**] のところで、次のいずれかを実行します。
   + ジョブに推奨するマネージドデータ識別子のセットを使用するには、[**お勧め**] を選択します。

     このオプションを選択し、ジョブを複数回実行するように設定した場合、各実行では、実行の開始時に推奨セットにあるすべてのマネージドデータ識別子が自動的に使用されます。これには、セットに追加した新しいマネージドデータ識別子も含まれます。セットから削除し、ジョブに推奨しなくなったマネージドデータ識別子は含まれません。
   + 選択した特定のマネージドデータ識別子のみを使用するには、[**カスタム**] を選択してから [**特定のマネージドデータ識別子を使用する**]を選択します。次に、テーブルで、ジョブで使用する各マネージドデータ識別子のチェックボックスをオンにします。

     このオプションを選択し、ジョブを複数回実行するように設定した場合、各実行では選択したマネージドデータ識別子のみを使用します。つまり、ジョブは実行のたびにこれらの同じマネージドデータ識別子を使用します。
   + Macie が現在提供しているマネージドデータ識別子をすべて使用するには、[**カスタム**] を選択してから [**特定のマネージドデータ識別子を使用する**]を選択します。次に、テーブルで、選択列見出しのチェックボックスを選択して、すべての行を選択します。

     このオプションを選択し、ジョブを複数回実行するように設定した場合、各実行では選択したマネージドデータ識別子のみを使用します。つまり、ジョブは実行のたびにこれらの同じマネージドデータ識別子を使用します。
   + マネージドデータ識別子を一切使用せず、カスタムデータ識別子のみを使用するには、[**カスタム**] を選択してから [**マネージドデータ識別子を一切使用しない**] を選択します。それから次のステップで、使用するカスタムデータ識別子を選択します。

1. 終了したら、**次へ** を選択します。

## ステップ 5: カスタムデータ識別子を選択する
<a name="discovery-jobs-create-step5"></a>

このステップでは、S3 オブジェクトを分析するときにジョブで使用する カスタムデータ識別子を選択します。ジョブでは、ジョブで使用するために設定したマネージドデータ識別子に加えて、選択された識別子が使用されます。カスタムデータ識別子の詳細については、[カスタムデータ識別子の構築](custom-data-identifiers.md) を参照してください。

**ジョブのカスタムデータ識別子を選択するには**

1. **カスタムデータ識別子の選択**ページで、ジョブで使用する各カスタムデータ識別子のチェックボックスをオンにします。カスタムデータ識別子は最大 30 個まで選択できます。
**ヒント**  
カスタムデータ識別子を選択する前にその識別子を確認またはテストするには、識別子の名前の横にあるリンクアイコン![\[The link icon, which is a blue box that has an arrow in it.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/icon-external-link.png)を選択します。Macie は、識別子の設定を表示するページを開きます。  
このページを使用して、サンプルデータを用いて識別子をテストすることもできます。これを行うには、最大 1,000 文字のテキストを **サンプルデータ** ボックスに入力し、次に **Submit** (送信) を選択します。Macie は識別子を使用してサンプルデータを評価し、一致の数をレポートします。

1. カスタムデータ識別子の選択が終了したら、**次へ** を選択します。

## ステップ 6: 許可リストの選択
<a name="discovery-jobs-create-step6"></a>

このステップでは、S3 オブジェクトを分析するときにジョブで使用する許可リストを選択します。許可リストの詳細については、[許可リストでの機密データの例外の定義](allow-lists.md) を参照してください。

**ジョブの許可リストを選択する**

1. **許可リストの選択**ページで、ジョブで使用する各許可リストのチェックボックスをオンにします。リストは 10 個まで選択できます。
**ヒント**  
許可リストを選択する前にそのリストを確認するには、リスト名の横にあるリンクアイコン![\[The link icon, which is a blue box that has an arrow in it.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/icon-external-link.png)を選択します。Macie は、リストの設定を表示するページを開きます。  
リストで正規表現 (正規表現)を指定する場合は、このページを使用してサンプルデータでその正規表現を確認することもできます。これを行うには、テキスト (最大 1,000 文字) を **サンプルデータ** ボックスに入力し、次に **テスト** を選択します。Macie は正規表現を使用してサンプルデータを評価し、一致の数をレポートします。

1. 許可リストの選択が完了したら、**次へ** を選択します。

## ステップ 7: 全般設定を入力
<a name="discovery-jobs-create-step7"></a>

このステップでは、ジョブの名前と、必要に応じてジョブの詳細を入れます。ジョブにタグを割り当てることもできます。 *タグ* は、特定のタイプの AWS リソースを定義して割り当てるラベルです。各タグは、必要なタグキーとオプションのタグ値で設定されています。タグを使用することで、目的、所有者、環境、その他の条件など、さまざまな方法でリソースを分類および管理できます。詳細については、[Macie リソースにタグ付けする](tagging-resources.md)を参照してください。

**ジョブの全般設定を入力する**

1. **名前と説明を入力** ページで、ジョブの名前を **ジョブ名** ボックスに入力します。名前には最大 500 文字を含めることができます。

1. (オプショナル) **ジョブの説明**では、ジョブの簡単な説明を入力します。説明には最大 200 文字を含めることができます。

1. (オプショナル) **タグ** で [**タグを追加**] を選択し、ジョブに割り当てるタグを 50 個まで入力できます。

1. 終了したら、**次へ** を選択します。

## ステップ 8: 確認して作成
<a name="discovery-jobs-create-step8"></a>

この最後のステップでは、ジョブの構成設定を確認し、その設定が正しいことを検証します。これは重要なステップです。ジョブ作成後は、これらの設定を変更することはできません。これにより、実施するデータプライバシーと保護の監査または調査に関する機密データの調査結果と検出結果のイミュータブルな履歴を確実に保持できます。

ジョブの設定に応じて、ジョブを 1 回実行した場合の合計推定コスト (米ドル) を確認することもできます。ジョブで特定の S3 バケットを選択した場合、見積もりは、選択したバケット内のオブジェクトのサイズとタイプ、およびジョブが分析できるデータの量に基づきます。ジョブのバケット基準を指定した場合、見積もりは、現在基準に一致する最大 500 個までのバケット内のオブジェクトのサイズとタイプ、およびジョブが分析できるデータの量に基づきます。この見積もりの詳細については、[ジョブのコストの予測とモニタリング](discovery-jobs-costs.md)を参照してください。

**ジョブを確認して作成するには**

1. **確認して作成する**ページで、各設定を確認し、それが正しいことを検証します。設定を変更するには、設定が含まれるセクションで **Edit** (編集) を選択し、次に正しい設定を入力します。ナビゲーションタブを使用して、設定が含まれるページに移動することもできます。

1. 設定の確認が完了したら、**提出**を選択して、ジョブを作成して保存します。Macie は設定を確認し、対処すべき問題があれば通知します。
**注記**  
機密データの検出結果のリポジトリを設定していない場合、Macie は警告を表示し、ジョブを保存しません。この問題に対処するには、**機密データの検出結果のリポジトリ**セクションで **設定**を選択します。次に、リポジトリの設定設定を入力します。この方法の詳細は、[機密データ検出結果の保存と保持](discovery-results-repository-s3.md)を参照してください。設定を入力したら、**[確認して作成]** ページに戻り、そのページの **[機密データ検出結果のリポジトリ]** セクションで [更新] (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/btn-refresh-data.png)) を選択します。  
それは推奨されませんが、リポジトリ要件を一時的に上書きしてジョブを保存することができます。これを行うと、ジョブの検出結果を失うリスクがあります。Macie は 90 日間だけ結果を保持します。要件を一時的に上書きするには、上書きオプションのチェックボックスをオンにします。

1. Macie が対処すべき課題を通知した場合は、問題に対処し、もう一度 **提出**を選択して、ジョブを作成して保存します。

ジョブの実行頻度を 1 回限りまたは毎日ベースに設定しているか、週の現在の曜日または月の現在の日付に設定している場合、Macie はジョブを保存した直後にジョブの実行を開始します。それ以外の場合、Macie は週の指定された曜日または月の指定された日付にジョブを実行する準備をします。ジョブをモニタリングするには、[ジョブのステータスをチェック](discovery-jobs-status-check.md)できます。

# 機密データ検出ジョブの結果を確認する
<a name="discovery-jobs-manage-results"></a>

機密データ検出ジョブを実行すると、Amazon Macie はそのジョブの特定の統計データを自動的に計算してレポートします。例えば、Macie は、ジョブが実行された回数、および現在の実行中にジョブがまだ処理をしていない Amazon Simple Storage Service (Amazon S3) オブジェクトのおおよその数をレポートします。Macie は、ログイベント、機密データの調査結果、機密データの検出結果など、いくつかのタイプのジョブの結果も生成します。******

**Topics**
+ [ジョブ結果のタイプ](#discovery-jobs-manage-results-types)
+ [ジョブの統計と結果の確認](#discovery-jobs-manage-results-review)

## 機密データ検出ジョブの結果のタイプ
<a name="discovery-jobs-manage-results-types"></a>

機密データ検出ジョブの進行に伴い、Amazon Macie はそのジョブの次のタイプの結果を生成します。

**ログイベント**  
これは、ジョブの実行中に発生したイベントのレコードです。Macie は、特定のイベントのデータを自動的にログに記録し、Amazon CloudWatch Logs に発行します。これらのログのデータは、ジョブの実行を開始または停止した正確な日時など、ジョブの進行状況またはステータスに対する変更のレコードを提供します。データは、ジョブの実行中に発生したアカウントレベルまたはバケットレベルのエラーに関する詳細も提供します。  
ログイベントは、ジョブをモニタリングして、ジョブが目的のデータを分析するのを妨げた問題に対処するのに役立ちます。ジョブがランタイム基準を使用して、分析する S3 バケットを決定する場合、ログイベントは、ジョブの実行時に条件に S3 バケットが一致したかどうか、およびどの S3 バケットが一致したかを判断するのに役立ちます。  
ログイベントにアクセスするには、Amazon CloudWatch コンソールまたは Amazon CloudWatch Logs API を使用します。ジョブのログイベントに移動しやすくするために、Amazon Macie コンソールはログイベントへのリンクを提供しています。詳細については、[CloudWatch Logs を使用してジョブをモニタリングする](discovery-jobs-monitor-cw-logs.md)を参照してください。

**機密データの調査結果**  
これは Macie が S3 オブジェクトで検出した機密データのレポートです。各調査結果には、重要度評価と次のような詳細が示されます。  
+ Macie が機密データを検出した日時。
+ Macie が検出した機密データのカテゴリとタイプ。
+ Macie が検出した機密データのタイプごとの出現回数。
+ 調査結果を生成したジョブの一意の識別子。
+ 影響を受けた S3 バケットおよびオブジェクトに関する名前、パブリックアクセス設定、暗号化タイプ、およびその他の情報。
影響を受けた S3 オブジェクトのファイルタイプまたはストレージ形式によっては、Macie が見つけた機密データの最大 15 までの出現の場所も詳細に含まれます。位置データを報告するために、機密データの検出結果は、[標準化された JSON スキーマ](findings-locate-sd-schema.md)を使用します。  
機密データの調査結果には、Macie が検出した機密データは含まれません。代わりに、必要に応じてさらなる調査と修復に使用できる情報が提供されます。  
Macie は機密データの調査結果を 90 日間保存します。Amazon Macie コンソールまたは Amazon Macie API を使用してそれらにアクセスできます。また、他のアプリケーション、サービス、およびシステムを使用して、それらをモニタリングおよび処理することもできます。詳細については、[検出結果の確認と分析](findings.md)を参照してください。

**機密データの検出結果**  
これは、S3 オブジェクトの分析に関する詳細のログを記録するレコードです。Macie は、分析するジョブを設定するオブジェクトごとに、機密データの検出結果を自動的に作成します。これには、Macie が機密データを見つけられないために機密データの検出結果を生成しないオブジェクト、およびアクセス許可設定やサポートされていないファイルまたはストレージ形式の使用などのエラーや問題のために Macie が分析できないオブジェクトが含まれます。  
Macie が S3 オブジェクト内の機密データを見つけると、、機密データの検出結果には、対応する機密データの調査結果のデータが含まれます。また、Macie がオブジェクト内で検出した機密データのタイプごとに最大 1,000 個までの出現の場所などの追加情報も提供します。例:   
+ Microsoft Excel ワークブック、CSV ファイル、または TSV ファイル内のセルまたはフィールドの列番号と行番号
+ JSON または JSON Lines ファイル内のフィールドまたは配列へのパス
+ CSV、JSON、JSON Lines、または TSV ファイル以外の非バイナリテキストファイル (HTML、TXT、XML ファイルなど) 内の行の行番号
+ Adobe Portable Document Format (PDF) ファイル内のページのページ番号
+ Apache Avro オブジェクトコンテナまたは Apache Parquet ファイル内のレコードのレコードインデックスとフィールドへのパス
S3 オブジェクトが .tar ファイルや .zip ファイルなどのアーカイブファイルである場合、機密データの検出結果では、Macie がアーカイブファイルから抽出した個別のファイル内の機密データの出現に関する詳細な場所データも提供されます。Macie は、アーカイブファイルの機密データの調査結果にこの情報を含めません。位置データを報告するために、機密データ検出結果は[標準化された JSON スキーマ](findings-locate-sd-schema.md)を使用します。  
機密データの検出結果には、Macie が検出した機密データは含まれません。代わりに、データのプライバシーと保護の監査や調査に役立つ分析レコードが提供されます。  
Macie は機密データの検出結果を 90 日間保存します。Amazon Macie コンソールまたは Amazon Macie API からそれらに直接アクセスすることはできません。代わりに、それを暗号化して S3 バケットに保存するように Macie を設定します。バケットは、機密データの検出結果のすべての最終的で長期的なリポジトリとして機能します。次に、オプションで、そのリポジトリ内の結果にアクセスしてクエリを実行できます。これらの設定を行う方法については、[機密データ検出結果の保存と保持](discovery-results-repository-s3.md)を参照してください。  
設定を設定したら、Macie は機密データの検出結果を JSON Lines (.jsonl) ファイルに書き込み、それらのファイルを暗号化し GNU Zip (.gz) ファイルとして S3 バケットに追加します。結果に移動しやすくするために、Amazon Macie コンソールは結果へのリンクを提供しています。

機密データの調査結果と機密データの検出結果は、どちらも標準化されたスキーマに準拠しています。これは、オプションで、他のアプリケーション、サービス、およびシステムを使用して、それらをクエリ、モニタリング、および処理するのに役立ちます。

**ヒント**  
機密データ検出結果をクエリして使用して潜在的なデータセキュリティリスクを分析および報告する方法の詳細な説明例については、 *AWS セキュリティ*ブログのブログ記事「Amazon [ Amazon Athenaと Amazon Quick を使用して Macie 機密データ検出結果をクエリおよび視覚化する方法](https://aws.amazon.com/blogs/security/how-to-query-and-visualize-macie-sensitive-data-discovery-results-with-athena-and-quicksight/)」を参照してください。  
機密データの検出結果の分析に使用できる Amazon Athena クエリのサンプルについては、GitHub の [Amazon Macie 結果分析リポジトリ](https://github.com/aws-samples/amazon-macie-results-analytics)を参照してください。このリポジトリでは、結果を取得および復号化するように Athena を設定する手順と、結果のテーブルを作成するためのスクリプトも提供します。

## 機密データ検出ジョブの統計と結果の確認
<a name="discovery-jobs-manage-results-review"></a>

機密データ検出ジョブの処理統計と結果を確認するには、Amazon Macie コンソールまたは Amazon Macie API を使用します。コンソールを使用して統計と結果を確認するには、次の手順に従います。

ジョブの処理統計にプログラムでアクセスするには、Amazon Macie APIの [DescribeClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-jobid.html) オペレーションを使用します。ジョブが生成した結果にプログラムでアクセスするには、[ListFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings.html) オペレーションを使用して、`classificationDetails.jobId` フィールドのフィルター条件でジョブの一意の識別子を指定します。この方法の詳細は、[フィルターの作成と Macie の検出結果への適用](findings-filter-procedure.md)を参照してください。次に、[GetFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html) オペレーションを使用して、その調査結果の詳細を取得できます。

**ジョブの統計と結果を確認するには**

1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。

1. ナビゲーションペインで **ジョブ** を選択します。

1. **ジョブ** ページで、ユーザーが確認する統計と結果を持つジョブの名前を選択します。詳細パネルには、ジョブに関する統計、設定、およびその他の情報が表示されます。

1. 詳細パネルで、次のいずれかの操作を実行します。
   + ジョブの処理統計を確認するには、パネルの **統計**セクションを参照してください。このセクションには、ジョブが実行された回数や、現在の実行中にジョブがまだ処理をしていないオブジェクトのおおよその数などの統計が表示されます。
   + ジョブのログイベントを確認するには、パネルの上部で、**結果を表示する**を選択し、次に **CloudWatch Logs を表示する**を選択します。Macie は Amazon CloudWatch コンソールを開き、Macie がジョブで発行したログイベントのテーブルを表示します。
   + ジョブが生成したすべての機密データの調査結果を確認するには、パネルの上部で、**結果を表示する**を選択し、次に **調査結果を表示する**を選択します。Macie は **調査結果**ページを開き、ジョブのすべての結果を表示します。特定の調査結果の詳細を確認するには、調査結果を選択し、次に詳細パネルを参照します。
**ヒント**  
調査結果の詳細 パネルで、**詳細な結果の場所**フィールド内のリンクを使用して、Amazon S3 内の調査結果に対応する機密データの検出結果に移動します。  
大きなアーカイブまたは圧縮ファイルに調査結果が適用される場合、リンクには、ファイルの検出結果を含むフォルダが表示されます。アーカイブまたは圧縮ファイルが 100 個を超える検出結果を生成する場合、それは *大きい* になります。
小さなアーカイブまたは圧縮ファイルに調査結果が適用される場合、リンクには、ファイルの検出結果を含むファイルが表示されます。アーカイブまたは圧縮ファイルが 100 個以下の検出結果を生成する場合、それは *小さい* になります。
別のタイプのファイルに調査結果が適用される場合、リンクには、ファイルの検出結果を含むファイルが表示されます。
   + ジョブが生成したすべての機密データの検出結果を確認するには、パネルの上部で、**結果を表示する**を選択し、次に **分類を表示する**を選択します。Macie は Amazon S3 コンソールを開き、ジョブのすべての検出結果を含むフォルダを表示します。このオプションは、Macie を S3 バケットで [機密データの検出結果を保存する](discovery-results-repository-s3.md)ように設定した後にのみ使用できます。

# 機密データ検出ジョブの管理
<a name="discovery-jobs-manage"></a>

機密データ検出ジョブの管理に役立つように、Amazon Macie は各ジョブの完全なインベントリを維持します AWS リージョン。このインベントリを使用すると、単一のコレクションとしてジョブを管理して、個々のジョブの構成設定、処理統計、ステータスにアクセスできます。

例えば、定期的な分析、評価、モニタリングのために定期的に実行するように設定したすべてのジョブを特定できます。ジョブの構成設定の内訳を確認することもできます。これには、分析の範囲を定義する設定が含まれます。また、ジョブの実行時に Macie が検出してレポートを作成する機密データのタイプを指定する設定も含まれます。Amazon Macie コンソールを使用してジョブを管理する場合、各ジョブの詳細情報から、ジョブによって生成された[機密データの検出結果やその他の結果](discovery-jobs-manage-results.md)に直接アクセスできます。

これらのタスクに加えて、個々のジョブのカスタムバリエーションを作成することもできます。既存のジョブをコピーし、コピーの設定を調整してから、コピーを新しいジョブとして保存できます。これは、異なるデータセットを同じ方法で分析する場合や、異なる方法で同じデータセットを分析する場合に役立ちます。また、既存のジョブの構成設定を調整する場合にも役立ちます。この場合、既存のジョブをキャンセルしてコピーし、新しいジョブとしてコピーを調整して保存します。

**Topics**
+ [ジョブのインベントリの確認](discovery-jobs-manage-view.md)
+ [ジョブの構成設定の確認](discovery-jobs-manage-settings.md)
+ [ジョブのステータスをチェックする](discovery-jobs-status-check.md)
+ [ジョブのステータスを変更する](discovery-jobs-status-change.md)
+ [ジョブをコピーする](discovery-jobs-manage-copy.md)

# 機密データ検出ジョブのインベントリの確認
<a name="discovery-jobs-manage-view"></a>

Amazon Macie コンソールでは、現在の の機密データ検出ジョブの完全なインベントリを確認できます AWS リージョン。インベントリには、すべてのジョブの概要情報と個々のジョブの詳細情報の両方が含まれています。概要情報には、各ジョブの現在のステータス、ジョブがスケジュールに従って定期的に実行されるかどうか、特定の Amazon Simple Storage Service (Amazon S3) バケットまたはランタイム条件に一致する S3 バケット内のオブジェクトを分析するようにジョブが設定されているかどうかが含まれます。個々のジョブについては、ジョブの構成設定の内訳などの詳細情報にアクセスすることもできます。ジョブが既に実行されている場合、その詳細情報から、ジョブによって生成された機密データの検出結果やその他のタイプの結果に直接アクセスできます。

**ジョブインベントリを確認するには**

Amazon Macie コンソールを使用してインベントリを確認するには、次の手順に従います。プログラムでインベントリにアクセスするには、Amazon Macie API の [ListClassificationJobs](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-list.html) オペレーションを使用します。

1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。

1. ナビゲーションペインで **ジョブ**を選択します。**ジョブ** ページが開き、インベントリ内のジョブの数とそれらのジョブのテーブルが表示されます。

1. ページの上部で、オプションで [更新] (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/btn-refresh-data.png)) を選択して、各ジョブの現在のステータスを取得します。

1. **[ジョブ]** テーブルで、以下のジョブの概要情報を確認します。
   + **ジョブ名** – ジョブの名前。
   + **[リソース]** – 特定の S3 バケットまたはランタイム条件に一致するバケット内のオブジェクトを分析するようにジョブが設定されているかどうか。分析するジョブのバケットを明示的に選択した場合、このフィールドには選択したバケットの数が表示されます。ランタイム条件を使用するようにジョブを設定した場合、このフィールドの値は **[条件ベース]** になります。
   + **ジョブタイプ** – ジョブが 1 回 (**[1 回]**) またはスケジュールに従って定期的に (**[スケジュール済み]**) 実行するように設定されているかどうか。
   + **ステータス** – ジョブの現在のステータス。この値の詳細については、「[ジョブのステータスをチェックする](discovery-jobs-status-check.md)」を参照してください。
   + **作成日** – ジョブが作成された日。

1. インベントリを分析する、または特定のジョブをより迅速に検索するには、次のいずれかの操作を行います。
   + 特定のフィールドでテーブルを並べ替えるには、フィールドの列見出しをクリックします。並べ替え順序を変更するには、列見出しをもう一度クリックします。
   + フィールドで特定の値を持つジョブのみを表示するには、フィルターボックスにカーソルを置きます。表示されるメニューで、フィルターに使用するフィールドを選択し、フィルターの値を入力します。次に、**適用**を選択します。
   + フィールドで特定の値を持つジョブを非表示にするには、フィルターボックスにカーソルを置きます。表示されるメニューで、フィルターに使用するフィールドを選択し、フィルターの値を入力します。次に、**適用**を選択します。フィルターバーで、フィルターボックスと等しいアイコン ![\[The equals icon, which is a solid gray circle.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/icon-operator-equals.png) を選択します。これにより、フィルターの演算子が *等しい* から *等しくない*![\[The not equals icon, which is an empty gray circle that has a backslash in it.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/icon-operator-not-equals.png)に変わります。
   + フィルターを削除するには、削除するフィルターのフィルターボックス内のフィルターを削除アイコン ![\[The remove filter condition icon, which is a circle that has an X in it.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/icon-filter-remove.png) を選択します。

1. 特定のジョブの追加設定と詳細を確認するには、ジョブの名前を選択します。次に、詳細パネルを参照します。その詳細については、「[ジョブの構成設定の確認](discovery-jobs-manage-settings.md)」を参照してください。

# 機密データ検出ジョブの設定を確認する
<a name="discovery-jobs-manage-settings"></a>

Amazon Macie コンソールで、**ジョブ**ページの詳細パネルを使用して、個別の機密データ検出ジョブに関する設定設定およびその他の情報を確認します。例えば、ジョブの分析対象として設定された Amazon Simple Storage Service (Amazon S3) バケットのリストを確認できます。また、ジョブがバケット内のオブジェクトを分析するときに使用するように設定されたマネージドデータ識別子とカスタムデータ識別子を決定することもできます。

既存のジョブの構成設定は変更できません。これにより、実施するデータプライバシーと保護の監査または調査に関する機密データの調査結果と検出結果のイミュータブルな履歴を確実に保持できます。

既存のジョブを変更する場合は、[[cancel the job]](discovery-jobs-status-change.md) (ジョブをキャンセル) できます。その後 [ジョブをコピーする](discovery-jobs-manage-copy.md) で、目的の設定を使用するようにコピーを設定し、コピーを新しいジョブとして保存します。この場合、新しいジョブが既存のデータを同じ方法で再度分析しないようにするためのステップも実行する必要があります。これを行うには、既存のジョブをキャンセルした日時をメモします。次に、元のジョブをキャンセルした後に作成または変更されたオブジェクトのみを含めるように新しいジョブの範囲を設定します。例えば、[オブジェクト基準](discovery-jobs-scope.md#discovery-jobs-scope-criteria)を使用して、元のジョブをキャンセルした日時を指定する条件を定義できます。

**ジョブの構成設定を確認するには**

Amazon Macie コンソールを使用してジョブの構成設定を確認するには、次のステップに従います。プログラムで設定を確認するには、Amazon Macie API の [DescribeClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-jobid.html) オペレーションを使用します。

1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。

1. ナビゲーションペインで **ジョブ**を選択します。**ジョブ** ページが開き、インベントリ内のジョブの数とそれらのジョブのテーブルが表示されます。

1. **[ジョブ]** ページで、ユーザーが設定を確認するジョブの名前を選択します。ジョブをより迅速に見つけるには、テーブルの上にあるフィルターオプションを使用してテーブルをフィルタリングします。特定のフィールドで、テーブルを昇順または降順で並べ替えることもできます。

テーブルでジョブを選択すると、詳細パネルにジョブの構成設定とジョブに関するその他の情報が表示されます。ジョブの設定に応じて、パネルには次のセクションがあります。

**一般情報**  
このセクションは、ジョブに関する一般的な情報を提供します。例えば、ジョブの Amazon リソースネーム (ARN)、ジョブの実行が開始された最新の日時、ジョブの現在のステータスなどです。ジョブを一時停止した場合、このセクションには、ジョブを一時停止した日時と、ジョブまたは最後のジョブの実行が期限切れになった日時、または再開されない場合に期限切れになる日時も示されます。

**統計**  
このセクションには、ジョブの処理統計が示されます。例えば、ジョブが実行された回数、および現在の実行中にジョブがまだ処理をしていない S3 オブジェクトのおおよその数が指定されます。

**スコープ**  
範囲 — このセクションは、ジョブの実行頻度を示します。また、ジョブの範囲を調整する設定も示されます。例えば、[サンプリング深度](discovery-jobs-scope.md#discovery-jobs-scope-sampling)、分析で S3 オブジェクトを除外または含める任意の[オブジェクト基準](discovery-jobs-scope.md#discovery-jobs-scope-criteria)などです。

**S3 バケット**  
S3 バケット — このセクションは、ジョブを作成したときに明示的に選択したバケットをジョブが分析するように設定されている場合、パネルに表示されます。データを分析するようにジョブが設定され AWS アカウント ている の数を示します。また、ジョブが分析するように設定されているバケットの数と、それらのバケットの名前 (アカウント別にグループ化) も示します。  
アカウントとバケットの完全なリストを JSON 形式で表示するには、**合計バケット**フィールド内の数を選択します。

**S3 バケット基準**  
このセクションは、ジョブがどのバケツを分析するかを決定するために実行時の基準を使用する場合にパネルに表示されます。ここには、ジョブが使用するように設定されている基準がリスト化されています。JSON 形式で条件を表示するには、**詳細**を選択します。次に、表示されるウィンドウの**「条件**」タブを選択します。  
現在条件に一致するバケットのリストを確認するには、**詳細**を選択します。次に、表示されるウィンドウで**一致するバケット**タブを選択します。必要に応じて更新![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/btn-refresh-data.png)を選択して、最新のデータを取得します。タブには、現在条件に一致する最大 25 個のバケットが一覧表示されます。  
ジョブがすでに実行されている場合は、ジョブの実行時に基準に一致したバケットがあるかどうか、および該当する場合は、それらのバケットの名前は何かを判断することもできます。ジョブのログイベントを確認するには、パネルの上部で、**結果を表示する**を選択し、次に **CloudWatch Logs を表示する**を選択します。Macie は Amazon CloudWatch コンソールを開き、ジョブのログイベントのテーブルを表示します。イベントには、基準に一致し、ジョブの分析に含まれていた各バケットの `BUCKET_MATCHED_THE_CRITERIA` イベントが含まれます。詳細については、[CloudWatch Logs を使用してジョブをモニタリングする](discovery-jobs-monitor-cw-logs.md)を参照してください。

**カスタムデータ識別子**  
このセクションは、ジョブが 1 つ以上の[カスタムデータ識別子](custom-data-identifiers.md) を使用するように設定されている場合にパネルに表示されます。これらのカスタムデータ識別子の名前が指定されます。

**許可リスト**  
このセクションは、ジョブが 1 つ以上の [許可リスト](allow-lists.md)を使用するように設定されている場合にパネルに表示されます。これらのリストの名前を指定します。リストの設定とステータスを確認するには、リスト名の横にあるリンクアイコン ![\[The link icon, which is a blue box that has an arrow in it.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/icon-view-resource-blue.png) を選択します。

**マネージドデータ識別子**  
このセクションには、ジョブが使用するように設定されている[マネージドデータ識別子](managed-data-identifiers.md) が表示されます。これは、ジョブのマネージドデータ識別子の選択タイプによって決まります。  
+ **推奨**— ジョブの実行時には、[推奨セット](discovery-jobs-mdis-recommended.md)に含まれるマネージドデータ識別子を使用してください。
+ **選択したものを含める**— **選択**セクションにリスト化されているマネージドデータ識別子のみを使用します。
+ **すべて含める**– ジョブの実行時に使用可能なすべてのマネージドデータ識別子を使用します。
+ **選択されたものを除外する**— **選択**セクションにリスト化されたものを除き、ジョブの実行時に使用可能なすべてのマネージドデータ識別子を使用します。
+ **すべて除外する**— マネージドデータ識別子を使用しません。指定したカスタムデータ識別子のみを使用してください。
これらの設定を JSON 形式で確認するには、**詳細**を選択します。

**タグ**  
このセクションは、タグがジョブに割り当てられている場合にパネルに表示されます。これらのタグが一覧表示されます。 *タグ* は、特定のタイプの AWS リソースを定義して割り当てるラベルです。各タグは、必要なタグキーとオプションのタグ値で設定されています。詳細については[Macie リソースにタグ付けする](tagging-resources.md)を参照してください。

ジョブの設定を JSON 形式で確認して保存するには、パネルの上部でジョブの一意の識別子 (**[ジョブ ID]**)を選択します。次に、**[ダウンロード]** を選択します。

# ジョブのステータスをチェックする
<a name="discovery-jobs-status-check"></a>

機密データ検出ジョブを作成すると、ジョブのタイプとスケジュールに応じて、最初のステータスが ** アクティブ (実行中**または **アクティブ (アイドル)**になります。次に、ジョブは追加の状態をパススルーし、ジョブの進行に合わせてそれをモニタリングできます。

**ヒント**  
全体的なジョブのステータスのモニタリングに加え、ジョブの進行に伴って発生する特定のイベントをモニタリングできます。これを行うには、Amazon Macie が自動的に Amazon CloudWatch Logs に発行するログ記録データを使用します。これらのログのデータは、ジョブのステータスに対する変更のレコードと、ジョブの実行中に発生したアカウントレベルまたはバケットレベルのエラーに関する詳細を提供します。詳細については、[CloudWatch Logs を使用してジョブをモニタリングする](discovery-jobs-monitor-cw-logs.md)を参照してください。

**ジョブのステータスを確認するには**

Amazon Macie コンソールを使用してジョブのステータスをチェックするには、次のステップに従います。プログラムでジョブのステータスをチェックするには、Amazon Macie API の [DescribeClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-jobid.html) オペレーションを使用します。

1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。

1. ナビゲーションペインで **ジョブ**を選択します。**ジョブ** ページが開き、インベントリ内のジョブの数とそれらのジョブのテーブルが表示されます。

1. ページの上部で、[更新] (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/btn-refresh-data.png)) を選択して、各ジョブの現在のステータスを取得します。

1. **[ジョブ]** テーブルで、ユーザーがチェックするステータスを持つジョブを見つけます。ジョブをより迅速に見つけるには、テーブルの上にあるフィルターオプションを使用してテーブルをフィルタリングします。特定のフィールドで、テーブルを昇順または降順で並べ替えることもできます。

1. 表の **[ステータス]** フィールドを参照します。このフィールドは、ジョブの現在のステータスを示します。

ジョブのステータスは、次のいずれかになります。

**アクティブ (アイドル)**  
アクティブ (アイドル)— 定期的なジョブでは、前の実行が完了し、次のスケジュールされた実行は保留中です。この値は 1 回限りのジョブには適用されません。

**アクティブ (実行中)**  
アクティブ (実行中)— 1 回限りのジョブでは、ジョブが現在進行中です。定期的なジョブでは、スケジュールされた実行が進行中です。

**キャンセル**  
どのタイプのジョブでも、ジョブは永久に停止（キャンセル）された。  
ジョブを明示的にキャンセルした場合、またはそれが 1 回限りのジョブであり、ジョブを一時停止し、30 日以内に再開しなかった場合、ジョブはこのステータスになります。ジョブは、以前に現在の で [Macie を停止](suspend-macie.md)した場合も、このステータスになることがあります AWS リージョン。

**完了**  
1 回限りのジョブの場合、ジョブは正常に実行され、完了しました。この値は定期的なジョブには適用されません。代わりに、定期的なジョブのステータスは、各実行が正常に完了したときに **アクティブ (アイドル)**に変わります。

**一時停止 (Macie により)**  
どのタイプのジョブでも、Macie によって一時的に停止された。  
ジョブの完了またはジョブの実行が、ジョブがデータを分析するユーザーのアカウントまたはメンバーアカウントの毎月の [機密データ検出クォータ](macie-quotas.md)を超える場合、ジョブはこのステータスになります。この場合、Macie は自動的にジョブを一時停止します。Macie は、次の暦月が始まり、アカウントの毎月の割り当てがリセットされるか、アカウントの割り当てを増やすと、自動的にジョブを再開します。  
組織の Macie 管理者で、メンバーアカウントのデータを分析するようにジョブを設定した場合、そのジョブは、ジョブまたはジョブ実行の完了がメンバーアカウントの毎月の機密データ検出クォータを超えたとしても、このステータスになります。  
ジョブが実行中で、適格なオブジェクトの分析がメンバーアカウントのこのクォータに達すると、ジョブはアカウントが所有するオブジェクトの分析を停止します。ジョブが、クォータを満たしていない他のすべてのアカウントのオブジェクトの分析を終了すると、Macie は自動的にジョブを一時停止します。1 回限りのジョブの場合、Macie は次の暦月が始まったとき、または影響を受けたすべてのアカウントのクォータが増加したときのどちらか早い方で、自動的にジョブを再開します。定期的なジョブの場合は、次の実行が開始予定になるか、または次の暦月が始まるときのいずれか早いタイミングで、Macie はジョブを自動的に再開します。スケジュールされた実行が次の暦月が始まる前に開始された場合、または影響を受けるアカウントのクォータが増加した場合、ジョブはそのアカウントが所有するオブジェクトを分析しません。

**ユーザーにより一時停止**  
どのタイプのジョブでも、ジョブはお客様によって一時的に停止されました。  
1 回限りのジョブを一時停止し、30 日以内に再開しないと、ジョブは期限切れになり、Macie はそれをキャンセルします。定期的なジョブがアクティブに実行されているときに一時停止し、30 日以内に再開しないと、ジョブの実行は期限切れになり、Macie は実行をキャンセルします。一時停止中のジョブまたはジョブ実行の有効期限を確認するには、テーブルでジョブの名前を選択し、次に詳細パネルの **Status details** (ステータスの詳細) セクションの **Expires** (有効期限) フィールドを参照します。

ジョブがキャンセルまたは一時停止された場合、ジョブの詳細を参照して、ジョブの実行が開始されたかどうか、または定期的なジョブでは、キャンセルまたは一時停止の前に少なくとも 1 回実行されたかを確認できます。これを行うには、**[ジョブ]** テーブルでジョブの名前を選択し、次に詳細パネルを参照します。パネルの **実行の数** フィールドは、ジョブが実行された回数を示します。**最終ランタイム** フィールドは、ジョブの実行が開始された最新の日時を示します。

ジョブの現在のステータスに応じて、必要に応じてジョブを一時停止、再開、またはキャンセルできます。詳細については、「[ジョブのステータスを変更する](discovery-jobs-status-change.md)」を参照してください。

# 機密データ検出ジョブのステータスを変更する
<a name="discovery-jobs-status-change"></a>

機密データ検出ジョブを作成した後、一時的に一時停止するか、永続的にキャンセルできます。アクティブに実行されているジョブを一時停止すると、Amazon Macie はそのジョブのすべての処理タスクの一時停止を直ちに開始します。アクティブに実行されているジョブをキャンセルすると、Macie はそのジョブのすべての処理タスクの停止を直ちに開始します。ジョブがキャンセルされた後は、ジョブを再開または再起動することはできません。

1 回限りのジョブを一時停止した場合は、30 日以内にそれを再開できます。ジョブを再開すると、Macie はジョブを一時停止した時点から直ちに処理を再開します。Macie はジョブを最初からは再開しません。1 回限りのジョブを一時停止してから 30 日以内に再開しないと、ジョブは期限切れになり、Macie はそれをキャンセルします。

定期的なジョブを一時停止した場合は、いつでもそれを再開できます。定期的なジョブを再開し、ジョブを一時停止したときにアイドル状態だった場合、Macie はジョブを作成したときに選択したスケジュールおよびその他の設定設定に従ってジョブを再開します。定期的なジョブを再開し、ジョブを一時停止したときにそれがアクティブに実行されていた場合、Macie がジョブを再開する方法はジョブを再開するタイミングによって異なります。
+ ジョブを一時停止してから 30 日以内に再開すると、Macie は、ジョブを一時停止した時点から最新のスケジュールされた実行を直ちに再開します。Macie は実行を最初からは再開しません。
+ ジョブを一時停止してから 30 日以内に再開しないと、最新のスケジュールされた実行が期限切れになり、Macie はその実行の残りの処理タスクをすべてキャンセルします。その後ジョブを再開すると、Macie はジョブを作成したときに選択したスケジュールおよびその他の設定設定に従って、ジョブを再開します。

一時停止したジョブまたはジョブの実行がいつ期限切れになるかを判断しやすくするために、Macie はジョブの一時停止中にジョブの詳細に有効期限を追加します。さらに、ジョブまたはジョブの実行の有効期限が切れる約 7 日前に通知されます。ジョブまたはジョブの実行の有効期限が切れてキャンセルされると、再度通知されます。通知のために、 に関連付けられているアドレスに E メールが送信されます AWS アカウント。また、アカウントの AWS Health イベントと Amazon CloudWatch Events も作成します。コンソールを使用して有効期限を確認するには、**[ジョブ]** ページのテーブルでジョブ名を選択します。次に、詳細パネルの **[ステータスの詳細]** セクションの**[期限:]** フィールドを参照します。プログラムで日付をチェックするには、Amazon Macie API の [DescribeClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-jobid.html) オペレーションを使用します。

**ジョブを一時停止、再開、またはキャンセルするには**

Amazon Macie コンソールを使用してジョブを一時停止、再開、またはキャンセルするには、次の手順に従います。これをプログラムで行うには、Amazon Macie API の [UpdateClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-jobid.html) オペレーションを使用します。

1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。

1. ナビゲーションペインで **ジョブ**を選択します。**ジョブ** ページが開き、インベントリ内のジョブの数とそれらのジョブのテーブルが表示されます。

1. ページの上部で、[更新] (![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/btn-refresh-data.png)) を選択して、各ジョブの現在のステータスを取得します。

1. **ジョブ** テーブルで、一時停止、再開、またはキャンセルするジョブのチェックボックスをオンにします。ジョブをより迅速に見つけるには、テーブルの上にあるフィルターオプションを使用してテーブルをフィルタリングします。特定のフィールドで、テーブルを昇順または降順で並べ替えることもできます。

1. **[アクション]** メニューで次のいずれかを実行します。
   + ジョブを一時的に一時停止するには、**一時停止**を選択します。このオプションは、ジョブの現在のステータスが **アクティブ (アイドル)**、 **アクティブ (実行中)**、または **一時停止 (Macie により)**の場合にのみ使用できます。
   + ジョブを再開するには、**再開**を選択します。このオプションは、ジョブの現在のステータスが **一時停止 (ユーザーにより)**の場合にのみ使用できます。
   + ジョブを完全にキャンセルするには、**キャンセル**を選択します。このオプションを選択すると、後でジョブを再開または再起動することはできません。

# 機密データ検出ジョブをコピーする
<a name="discovery-jobs-manage-copy"></a>

既存のジョブと類似している機密データ検出ジョブを迅速に作成するには、既存のジョブのコピーを作成します。その後、コピーの設定を編集して、そのコピーを新しいジョブとして保存します。これは、異なるデータセットを同じ方法で分析する場合や、異なる方法で同じデータセットを分析する場合に役立ちます。また、既存のジョブの構成設定を調整する場合にも役立ちます。この場合、既存のジョブをキャンセルしてコピーし、新しいジョブとしてコピーを調整して保存します。

**ジョブをコピーするには**

Amazon Macie コンソールを使用してジョブをコピーするには、次のステップに従います。プログラムでジョブをコピーするには、Amazon Macie API の [DescribeClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs-jobid.html) オペレーションを使用して、コピーするジョブの構成設定を取得します。次に、[CreateClassificationJob](https://docs.aws.amazon.com/macie/latest/APIReference/jobs.html) オペレーションを使用してジョブのコピーを作成します。

1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。

1. ナビゲーションペインで **ジョブ**を選択します。**ジョブ** ページが開き、インベントリ内のジョブの数とそれらのジョブのテーブルが表示されます。

1. **ジョブ** テーブルで、コピーするジョブのチェックボックスをオンにします。ジョブをより迅速に見つけるには、テーブルの上にあるフィルターオプションを使用してテーブルをフィルタリングします。特定のフィールドで、テーブルを昇順または降順で並べ替えることもできます。

1. **アクション** メニューで **新規にコピー**を選択します。

1. コンソールのステップを完了して、ジョブのコピーの設定を確認および調整します。**スコープを絞り込む**ステップでは、ジョブが既存のデータを再度同じ方法で分析することを防ぐオプションを選択することを検討する：
   + 1 回限りのジョブでは、[object criteria](discovery-jobs-scope.md#discovery-jobs-scope-criteria) (オブジェクト基準) を使用して、特定の時刻の後に作成または変更されたオブジェクトのみを含めます。たとえば、キャンセルしたジョブのコピーを作成する場合は、既存のジョブをキャンセルした日時を指定する **最終更新日時**条件を追加します。
   + 定期的なジョブの場合は、**既存のオブジェクトを含める**チェックボックスをオフにします。これを行う場合、ジョブの最初の実行では、ジョブを作成した後でジョブの最初の実行前に作成または変更されたオブジェクトのみが分析されます。また、[オブジェクト基準](discovery-jobs-scope.md#discovery-jobs-scope-criteria)を使用して、特定の日時より前に最後に変更されたオブジェクトを除外することもできます。

   この手順やその他の手順の詳細については、[機密データ検出ジョブの作成](discovery-jobs-create.md) を参照してください。

1. 終了したら、**送信**を選択して、コピーを新しいジョブとして保存します。

ジョブの実行頻度を 1 回限りまたは毎日ベースに設定しているか、週の現在の曜日または月の現在の日付に設定している場合、Macie はジョブを保存した直後にジョブの実行を開始します。それ以外の場合、Macie は週の指定された曜日または月の指定された日付にジョブを実行する準備をします。ジョブをモニタリングするには、[ジョブのステータスをチェック](discovery-jobs-status-check.md)できます。

# CloudWatch Logs を使用して機密データ検出ジョブをモニタリングする
<a name="discovery-jobs-monitor-cw-logs"></a>

また、機密データ検出ジョブの [全体的なステータスのモニタリング](discovery-jobs-status-check.md) に加え、ジョブの進行に伴って発生する特定のイベントをモニタリングして分析できます。これを行うには、Amazon Macie が自動的に Amazon CloudWatch Logs に発行するほぼリアルタイムのログ記録データを使用します。これらのログのデータには、ジョブの進行状況またはステータスの変更が記録されています。例えば、このデータを使用すると、ジョブの実行の開始、一時停止、または実行の完了の正確な日時を特定できます。

ログデータは、ジョブの実行中に発生したアカウントレベルまたはバケットレベルのエラーに関する詳細も提供します。例えば、Amazon Simple Storage Service (Amazon S3) バケットのアクセス許可設定により、ジョブがバケット内のオブジェクトを分析するのが妨げられる場合、Macie はイベントをログに記録します。イベントは、エラーが発生した日時を示し、影響を受けるバケットとバケットを所有 AWS アカウント する を識別します。これらのタイプのイベントのデータは、Macie が目的のデータを分析するのを妨げたエラーの特定、調査、対処に役立ちます。

Amazon CloudWatch Logs を使用すると、Macie を含む複数のシステム、アプリケーション AWS のサービス、および からのログファイルをモニタリング、保存、およびアクセスできます。ログデータのクエリと分析を行い、特定のイベントが発生した場合やしきい値に達したときに通知するように CloudWatch Logs を設定することもできます。また、CloudWatch Logs は、ログデータをアーカイブし、データを Amazon S3 にエクスポートする機能も提供します。CloudWatch Logs の詳細については、[Amazon CloudWatch Logs ユーザーガイド](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html)を参照してください。

**Topics**
+ [ジョブでのログ記録の仕組み](discovery-jobs-monitor-cw-logs-configure.md)
+ [ジョブのログの確認](discovery-jobs-monitor-cw-logs-review.md)
+ [ジョブのログイベントについて](discovery-jobs-monitor-cw-logs-ref.md)

# 機密データ検出ジョブでのログ記録の仕組み
<a name="discovery-jobs-monitor-cw-logs-configure"></a>

機密データ検出ジョブの実行を開始すると、Amazon Macie は Amazon CloudWatch Logs で適切なリソースを自動的に作成して、すべてのジョブのイベントをログに記録します。Macie は、ジョブの実行時にイベントデータをこれらのリソースに自動的に発行します。アカウントの Macie [サービスにリンクされたロール](service-linked-roles.md) のアクセス許可ポリシーは、Macie がお客様に代わってこれらのタスクを実行することを許可します。ジョブのイベントデータをログに記録するために、なんらかの手順を実行して CloudWatch Logs でリソースを作成または設定する必要はありません。

CloudWatch Logs では、ログは *ロググループ* に整理されます。各ロググループには *ログストリーム* が含まれます。各ログストリームには *ログイベント* が含まれます。これらの各リソースの一般的な目的は次のとおりです。
+ *ロググループ* は、保持、モニタリング、アクセス制御について同じ設定を共有するログストリームのコレクションです。たとえば、すべての機密データ検出ジョブのログのコレクションなどです。
+ *ログストリーム* は、同じソースを共有する一連のログイベントです。たとえば、個別の機密データ検出ジョブなどです。
+ *ログイベント* は、アプリケーションまたはリソースによって記録されたアクティビティのレコードです。たとえば、Macie が特定の機密データ検出ジョブについて記録および発行した個別のイベントなどです。

Macie は、すべての機密データ検出ジョブのイベントを 1 つのロググループに発行します。各ジョブには、そのロググループ内に一意のログストリームがあります。ロググループには、次のプレフィックスと名前があります。

`/aws/macie/classificationjobs`

このロググループが既に存在する場合、Macie はそれを使用してジョブのログイベントを保存します。これは、組織で [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html) のような自動設定を使用して、ジョブイベントに対して事前定義された保持期間、暗号化設定、タグ、メトリクスフィルターなどを指定してロググループを作成する場合に便利です。

このロググループが存在しない場合、Macie は新しいロググループで CloudWatch Logs が使用するデフォルト設定を用いてグループを作成します。設定には、**期限切れにならない** のログ保持期間が含まれます。つまり、CloudWatch Logs はログを無期限に保存します。ロググループの保持期間を変更します。詳細については、*Amazon CloudWatch Logs ユーザーガイド*の[ロググループとログストリームの操作](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html)を参照してください。

このロググループ内で、Macie はジョブを初めて実行するときに、実行するジョブごとに一意のログストリームを作成します。ログストリームの名前は `85a55dc0fa6ed0be5939d0408example` のようなジョブの一意の識別子であり、形式は以下のとおりです。

`/aws/macie/classificationjobs/85a55dc0fa6ed0be5939d0408example`

各ログストリームには、Macie が、対応するジョブについて記録および発行したすべてのログイベントが含まれます。定期的なジョブの場合、これにはすべてのジョブの実行のイベントが含まれます。定期的なジョブのログストリームを削除すると、次回ジョブが実行されたときに Macie によってストリームが再度作成されます。1 回限りのジョブのログストリームを削除すると、復元できません。

すべてのジョブのログ記録はデフォルトで有効化されていることに注意してください。これを無効にしたり、Macie が CloudWatch Logs にジョブイベントを発行するのを防いだりすることはできません。ログを保存したくない場合は、ロググループの保持期間を 1 日のみに短縮できます。保持期間の終了時に、CloudWatch Logs はロググループから期限切れのイベントデータを自動的に削除します。



# 機密データ検出ジョブのログの確認
<a name="discovery-jobs-monitor-cw-logs-review"></a>

Amazon Macie で機密データ検出ジョブの実行を開始したら、Amazon CloudWatch Logs を使用してジョブのログを確認できます。CloudWatch Logs には、ログデータの確認、分析、モニタリングに役立つ機能があります。CloudWatch Logs の他のタイプのログデータを操作する場合と同様に、これらの機能を使用して、ジョブのログストリームとイベントを操作できます。

たとえば、集計データを検索およびフィルタリングして、特定の時間範囲の間にすべてのジョブで発生した特定のタイプのイベントを識別できます。あるいは、特定のジョブで発生したすべてのイベントのターゲットを絞ったレビューを実行することもできます。CloudWatch Logs には、ログデータのモニタリング、メトリクスフィルターの定義、カスタムアラームの作成などのオプションも用意されています。

**ヒント**  
特定のジョブのログデータにすばやく移動するには、Amazon Macie コンソールを使用できます。これを行うには、**[ジョブ]** ページでジョブの名前を選択します。詳細パネルの上部で、**結果を表示する** を選択し、次に **CloudWatch ログを表示する** を選択します。Macie は Amazon CloudWatch コンソールを開き、ジョブのログイベントのテーブルを表示します。

**機密データ検出ジョブのログを確認するには**

Amazon CloudWatch コンソールを使用してログデータに移動して確認するには、次の手順に従います。プログラムでデータを確認するには、[Amazon CloudWatch Logs API](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/Welcome.html) を使用します。

1. CloudWatch コンソールの [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) を開いてください。

1. ページの右上隅にある AWS リージョン セレクターを使用して、ログを確認するジョブを実行したリージョンを選択します。

1. ナビゲーションペインで、**ログ**、**ロググループ** の順に選択します。

1. **ロググループ** ページで、**/aws/macie/classificationjobs** ロググループを選択します。CloudWatch には、実行したジョブのログストリームのテーブルが表示されます。ジョブごとに一意のストリームが 1 つあります。各ストリームの名前は、ジョブの一意の識別子に関連します。

1. **[ログストリーム]** タブで、次のいずれかを実行します。
   + 特定のジョブのログイベントを確認するには、ジョブのログストリームを選択します。ストリームをより簡単に検索するには、テーブルの上にあるフィルターボックスにジョブの一意の識別子を入力します。ログストリームを選択すると、CloudWatch にはジョブのログイベントのテーブルが表示されます。
   + すべてのジョブのログイベントを確認するには、**すべてのログストリームを検索** を選択します。CloudWatch には、すべてのジョブのログイベントのテーブルが表示されます。

1. (オプション) テーブルの上にあるフィルターボックスで、確認する特定のイベントの特性を指定する用語、語句、または値を入力します。詳細については、*Amazon CloudWatch Logs ユーザーガイド*の[フィルターパターンを使用したログデータの検索](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/SearchDataFilterPattern.html)を参照してください。

1. 特定のログイベントの詳細を確認するには、イベントの行にある [展開] (![\[The expand row icon, which is a right-facing solid arrow.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/icon-caret-right-filled.png)) を選択します。CloudWatch には、イベントの詳細が JSON 形式で表示されます。これらの詳細については、[ジョブのログイベントについて](discovery-jobs-monitor-cw-logs-ref.md)を参照してください。

ログイベントのデータに慣れたら、追加のタスクを実行して、データの分析とモニタリングを効率化できます。例えば、ログデータを数値 CloudWatch メトリクスに変換する[メトリクスフィルターを作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/MonitoringLogData.html)できます。また、特定のログイベントを識別して対応しやすくする[カスタムアラームを作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html)することもできます。詳細については、「[Amazon CloudWatch Logs ユーザーガイド](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html)」を参照してください。

# 機密データ検出ジョブのログイベントのタイプについて
<a name="discovery-jobs-monitor-cw-logs-ref"></a>

Amazon Macie では、機密データ検出ジョブのモニタリングに役立つように、ジョブのログデータを Amazon CloudWatch Logs に自動的に発行します。これらのログのデータには、ジョブの進行状況またはステータスの変更が記録されています。例えば、このデータを使用すると、ジョブの実行の開始または実行の完了の正確な日時を特定できます。データには、ジョブの実行中に発生する可能性がある特定のタイプのエラーに関する詳細も含まれます。このデータは、Macie が目的のデータを分析するのを妨げるエラーの特定、調査、対処に役立ちます。

ジョブの実行を開始すると、Macie は CloudWatch Logs で適切なリソースを自動的に作成し、すべてのジョブのイベントをログに記録するように設定します。Macie は、ジョブの実行時にイベントデータをこれらのリソースに自動的に発行します。詳細については、「[ジョブでのログ記録の仕組み](discovery-jobs-monitor-cw-logs-configure.md)」を参照してください。

CloudWatch Logs を使用すると、ジョブのログデータをクエリおよび分析できます。たとえば、集計データを検索およびフィルタリングして、特定の時間範囲の間にすべてのジョブで発生した特定のタイプのイベントを識別できます。あるいは、特定のジョブで発生したすべてのイベントのターゲットを絞ったレビューを実行することもできます。CloudWatch Logs には、ログデータのモニタリング、メトリクスフィルターの定義、カスタムアラームの作成などのオプションも用意されています。例えば、ジョブの実行時に特定のタイプのイベントが発生した場合に通知するように CloudWatch Logs を設定できます。詳細については、「[Amazon CloudWatch Logs ユーザーガイド](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html)」を参照してください。

**Contents**
+ [ジョブのイベントスキーマ](#discovery-jobs-monitor-cw-logs-schema)
+ [ジョブのログイベントのタイプ](#discovery-jobs-monitor-cw-logs-event-index)
  + [ジョブステータスイベント](#discovery-jobs-monitor-cw-logs-event-index-status)
  + [アカウントレベルのエラーイベント](#discovery-jobs-monitor-cw-logs-event-index-account-errors)
  + [バケットレベルのエラーイベント](#discovery-jobs-monitor-cw-logs-event-index-bucket-errors)

## 機密データ検出ジョブのログイベントスキーマ
<a name="discovery-jobs-monitor-cw-logs-schema"></a>

機密データ検出ジョブの各ログイベントは標準のフィールドセットが含まれている JSON オブジェクトであり、Amazon CloudWatch Logs イベントスキーマに準拠しています。一部のイベントのタイプでは、そのタイプのイベントに特に役立つ情報を提供する追加のフィールドがあります。たとえば、アカウントレベルのエラーのイベントには、影響を受けた AWS アカウントのアカウント ID が含まれます。バケットレベルのエラーのイベントには、影響を受けた Amazon Simple Storage Service (Amazon S3) バケットの名前が含まれます。

次の例は、機密データ検出ジョブのログイベントスキーマを示します。この例では、Amazon S3 がバケットへのアクセスを拒否したため、Amazon Macie が S3 バケット内のオブジェクトを分析できなかったことがイベントによりレポートされます。

```
{
    "adminAccountId": "123456789012",
    "jobId": "85a55dc0fa6ed0be5939d0408example",
    "eventType": "BUCKET_ACCESS_DENIED",
    "occurredAt": "2024-04-14T17:11:30.574809Z",
    "description": "Macie doesn’t have permission to access the affected S3 bucket.",
    "jobName": "My_Macie_Job",
    "operation": "ListObjectsV2",
    "runDate": "2024-04-14T17:08:30.345809Z",
    "affectedAccount": "111122223333",
    "affectedResource": {
        "type": "S3_BUCKET_NAME",
        "value": "amzn-s3-demo-bucket"
    }
}
```

前の例では、Macie は、Amazon S3 API の [ListObjectsV2](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html) オペレーションを使用してバケットのオブジェクトをリスト化しようとしました。Macie が Amazon S3 にリクエストを送信すると、Amazon S3 はバケットへのアクセスを拒否しました。

機密データ検出ジョブのすべてのログイベントに共通するフィールドは、次のとおりです。
+ `adminAccountId` – ジョブを作成した AWS アカウント の一意の識別子。
+ `jobId` — ジョブの一意の識別子。
+ `eventType`発生したイベントのタイプ。
+ `occurredAt`occurredAt – イベントが発生した日時 (協定世界時 (UTC) および拡張 ISO 8601 形式)。
+ `description`イベントに関する簡単な説明です。
+ `jobName` - ジョブの名前。

イベントのタイプと性質に応じて、ログイベントには次のフィールドを含めることもできます。
+ `affectedAccount` – 影響を受けたリソースを所有している AWS アカウント の一意の識別子。
+ `affectedResource` – 影響を受けたリソースに関する詳細を提供する JSON オブジェクト。オブジェクトでは、`type` フィールドは、リソースに関するメタデータを保存するフィールドを指定します。`value` フィールドは、フィールドの値を指定します`type`。
+ `operation`– Macie が実行しようとし、エラーの原因となったオペレーション。
+ `runDate`– 該当するジョブまたはジョブ実行が開始された日時 (協定世界時 (UTC) および拡張 ISO 8601 形式)。

## 機密データ検出ジョブのログイベントのタイプ
<a name="discovery-jobs-monitor-cw-logs-event-index"></a>

Amazon Macie は、機密データ検出ジョブで発生する可能性がある 3 つのカテゴリのイベントのログイベントを発行します。
+ ジョブステータスイベント: ジョブまたはジョブ実行のステータスまたは進行状況への変更を記録します。
+ Macie が特定の の Amazon S3 データを分析できなかったエラーを記録するアカウントレベルのエラーイベント AWS アカウント。
+ バケットレベルのエラーイベント: Macie が特定の S3 バケット内のデータを分析するのを妨げたエラーを記録します。

このセクションのトピックでは、Macie がカテゴリごとに発行するイベントの種類をリスト化して説明します。

### ジョブステータスイベント
<a name="discovery-jobs-monitor-cw-logs-event-index-status"></a>

ジョブステータスイベントは、ジョブまたはジョブ実行のステータスや進行状況への変更を記録します。定期的なジョブの場合、Macie はジョブ全体と個別のジョブ実行の両方について、これらのイベントをログに記録して発行します。

次の例では、サンプルデータを使用して、ジョブステータスイベント内のフィールドの構造と性質を示します。この例では、`SCHEDULED_RUN_COMPLETED` イベントは、定期的なジョブのスケジュールされた実行が終了したことを示します。`runDate` フィールドに示されているとおり、実行は 2024 年 4 月 14 日 17:09:30 UTC に開始しました。`occurredAt` フィールドに示されているとおり、実行は 2024 年 4 月 14 日 17:16:30 UTC に終了しました。

```
{
    "adminAccountId": "123456789012",
    "jobId": "ffad0e71455f38a4c7c220f3cexample",
    "eventType": "SCHEDULED_RUN_COMPLETED",
    "occurredAt": "2024-04-14T17:16:30.574809Z",
    "description": "The scheduled job run finished running.",
    "jobName": "My_Daily_Macie_Job",
    "runDate": "2024-04-14T17:09:30.574809Z"
}
```

次のテーブルは、Macie がログに記録し、CloudWatch Logs に発行するジョブステータスイベントのタイプをリスト化して説明します。**イベントタイプ**列には、イベントの `eventType` フィールドに表示されるとおり、各イベントの名前が示されます。**説明**列には、イベントの `description` フィールドに表示されるとおり、イベントの簡単な説明が表示されます。**追加情報**には、イベントが適用されるジョブのタイプに関する情報が表示されます。テーブルは、最初にイベントが発生する可能性のある一般的な時系列順で並べ替えられ、次にイベントタイプ別のアルファベット順に並べ替えられます。


| イベントタイプ | 説明 | 追加情報 | 
| --- | --- | --- | 
|  JOB\$1CREATED  |  ジョブが作成されました。  |  1 回限りのジョブと定期的なジョブに適用されます。  | 
| ONE\$1TIME\$1JOB\$1STARTED |  ジョブが実行を開始しました。  |  1 回限りのジョブにのみ適用されます。  | 
|  SCHEDULED\$1RUN\$1STARTED  |  スケジュールされたジョブが実行を開始しました。  |  定期的なジョブにのみ適用されます。1 回限りのジョブの開始をログに記録するために、Macie はこのタイプのイベントではなく ONE\$1TIME\$1JOB\$1STARTED イベントを発行します。  | 
|  BUCKET\$1MATCHED\$1THE\$1CRITERIA  |  影響を受けたバケットは、ジョブで指定されたバケット基準に一致しました。  |  ランタイムバケット基準を使用して、分析する S3 バケットを決定する 1 回限りのジョブと定期的なジョブに適用されます。 `affectedResource` オブジェクトは、基準に一致し、ジョブの分析に含まれていたバケットの名前を指定します。  | 
|  NO\$1BUCKETS\$1MATCHED\$1THE\$1CRITERIA  |  ジョブの実行が開始されましたが、現在ジョブで指定されたバケット基準に一致するバケットはありません。ジョブはデータを分析しませんでした。  |  ランタイムバケット基準を使用して、分析する S3 バケットを決定する 1 回限りのジョブと定期的なジョブに適用されます。  | 
| SCHEDULED\$1RUN\$1COMPLETED |  スケジュールされたジョブの実行が終了しました。  |  定期的なジョブにのみ適用されます。1 回限りのジョブの完了をログに記録するために、Macie はこのタイプのイベントではなく JOB\$1COMPLETED イベントを発行します。  | 
|  JOB\$1PAUSED\$1BY\$1USER  |  ジョブがユーザーによって一時停止されました。  |  ユーザーが一時的に停止した (一時停止した) 1 回限りのジョブと定期的なジョブに適用されます。  | 
|  JOB\$1RESUMED\$1BY\$1USER  |  ジョブはユーザーによって再開されました。  |  ユーザーが一時的に停止して (一時停止して) その後再開した 1 回限りのジョブと定期的なジョブに適用されます。  | 
|  JOB\$1PAUSED\$1BY\$1MACIE\$1SERVICE\$1QUOTA\$1MET  |  ジョブが Macie によって一時停止されました。ジョブの完了は、影響を受けたアカウントの毎月のクォータを超えます。  |  Macie が一時的に停止した (一時停止した) 1 回限りのジョブと定期的なジョブに適用されます。 Macie は、ジョブの完了またはジョブの実行が、ジョブがデータを分析するアカウントの毎月の [機密データ検出クォータ](macie-quotas.md)を超える場合、ジョブを自動的に一時停止します。この問題を避けるには、影響を受けたアカウントのクォータを増やすことを検討してください。  | 
|  JOB\$1RESUMED\$1BY\$1MACIE\$1SERVICE\$1QUOTA\$1LIFTED  |  ジョブが Macie によって再開されました。影響を受けたアカウントの毎月のサービスクォータが解除されました。  |  Macie が一時的に停止して (一時停止して) その後再開した 1 回限りのジョブと定期的なジョブに適用されます。 Macie が 1 回限りのジョブを自動的に一時停止した場合、Macie は、次の月が始まるとき、または影響を受けたすべてのアカウントの月次の機密データの検出クォータが増加したときのどちらか早い方で、自動的にジョブを再開します。Macie が定期的なジョブを自動的に一時停止した場合、Macie は、次の実行が開始される予定になったとき、または翌月が始まるときのどちらか早い方で、自動的にジョブを再開します。  | 
|  JOB\$1CANCELLED  | ジョブがキャンセルされました。 |  恒久的に停止した (キャンセルした) 1 回限りのジョブと定期的なジョブに、または 1 回限りのジョブの場合は一時停止して30 日以内に再開しなかったジョブに適用されます。 Macie を停止または無効にした場合、このタイプのイベントは、Macie を停止または無効にしたときにアクティブだったか一時停止されたジョブにも適用されます。リージョンで Macie を停止または無効に AWS リージョン すると、Macie は のジョブを自動的にキャンセルします。  | 
|  JOB\$1COMPLETED  |  ジョブの実行が終了しました。  |  1 回限りのジョブにのみ適用されます。定期的なジョブについてジョブの実行の完了をログに記録するために、Macie はこのタイプのイベントではなく SCHEDULED\$1RUN\$1COMPLETED イベントを発行します。  | 

### アカウントレベルのエラーイベント
<a name="discovery-jobs-monitor-cw-logs-event-index-account-errors"></a>

アカウントレベルのエラーイベントは、特定の が所有する S3 バケット内のオブジェクトを Macie が分析できないようにするエラーを記録します AWS アカウント。各イベント内の `affectedAccount` フィールドは、そのアカウントのアカウント ID を指定します。

次の例では、サンプルデータを使用して、アカウントレベルのエラーイベント内のフィールドの構造と性質を示します。この例では、`ACCOUNT_ACCESS_DENIED` イベントは、Macie がアカウント `444455556666` によって所有されている S3 バケット内のオブジェクトを分析できなかったことを示します。

```
{
    "adminAccountId": "123456789012",
    "jobId": "85a55dc0fa6ed0be5939d0408example",
    "eventType": "ACCOUNT_ACCESS_DENIED",
    "occurredAt": "2024-04-14T17:08:30.585709Z",
    "description": "Macie doesn’t have permission to access S3 bucket data for the affected account.",
    "jobName": "My_Macie_Job",
    "operation": "ListBuckets",
    "runDate": "2024-04-14T17:05:27.574809Z",
    "affectedAccount": "444455556666"
}
```

次のテーブルは、Macie がログに記録し、CloudWatch Logs に発行するアカウントレベルのエラーイベントのタイプをリスト化して説明します。**イベントタイプ**列には、イベントの `eventType` フィールドに表示されるとおり、各イベントの名前が示されます。**説明**列には、イベントの `description` フィールドに表示されるとおり、イベントの簡単な説明が表示されます。**追加情報** 列には、発生したエラーの調査または対処を行うための適切なヒントが表示されます。テーブルは、イベントタイプ別にアルファベット順に昇順に並べ替えられます。


| イベントタイプ | 説明 | 追加情報 | 
| --- | --- | --- | 
|  ACCOUNT\$1ACCESS\$1DENIED  |  Macie には、影響を受けたアカウントの S3 バケットデータにアクセスする許可がありません。  |  これは、通常、アカウントが所有するバケットに制限があるバケットポリシーがあるために発生します。この問題の対処方法については、[Macie が S3 バケットおよびオブジェクトにアクセスすることを許可する](monitoring-restrictive-s3-buckets.md)を参照してください。 イベント内の `operation` フィールドの値は、Macie がアカウントの S3 データにアクセスするのを防いだアクセス許可設定を特定するのに役立ちます。このフィールドは、エラーが発生したときに Macie が実行しようとした Amazon S3 オペレーションを示します。  | 
| ACCOUNT\$1DISABLED |  ジョブは、影響を受けたアカウントが所有するリソースをスキップしました。Macie はアカウントに対して無効になりました。  |  この問題に対処するには、同じ AWS リージョンアカウントで Macie を再度有効化します。  | 
| ACCOUNT\$1DISASSATED |  ジョブは、影響を受けたアカウントが所有するリソースをスキップしました。アカウントは、もうメンバーアカウントとして Macie 管理者アカウントに関連付けられていません。  |  これは、お客様が、組織の Macie 管理者として、メンバーアカウントのデータを分析するようにジョブを設定し、後でそのアカウントが組織から削除された場合に発生します。 この問題に対処するには、影響を受けたアカウントをメンバーアカウントとして Macie 管理者アカウントに再度関連付けます。詳細については、[複数のアカウントの管理](macie-accounts.md)を参照してください。  | 
|  ACCOUNT\$1ISOLATED  |  ジョブは、影響を受けたアカウントが所有するリソースをスキップしました。 AWS アカウント は分離されました。  |  –  | 
|  ACCOUNT\$1REGION\$1DISABLED  |  ジョブは、影響を受けたアカウントが所有するリソースをスキップしました。 AWS アカウント は現在の ではアクティブではありません AWS リージョン。  |  –   | 
|  ACCOUNT\$1SUSPENDED  |  ジョブはキャンセルされたか、影響を受けたアカウントが所有するリソースをスキップしました。Macie はアカウントで停止されました。  |  指定したアカウントが自分のアカウントである場合、同じリージョンで Macie を停止したときに、Macie は自動的にジョブをキャンセルしました。この問題に対処するには、リージョンで Macie を再度有効化します。 指定したアカウントがメンバーアカウントである場合は、同じリージョンでそのアカウントの Macie を再度有効化します。  | 
|  ACCOUNT\$1TERMINATED  |  ジョブは、影響を受けたアカウントが所有するリソースをスキップしました。は終了 AWS アカウント しました。  |  –  | 

### バケットレベルのエラーイベント
<a name="discovery-jobs-monitor-cw-logs-event-index-bucket-errors"></a>

バケットレベルのエラーイベントは、Macie が特定の S3 バケット内のオブジェクトを分析するのを妨げたエラーを記録します。各イベントの `affectedAccount`フィールドは、バケットを所有 AWS アカウント する のアカウント ID を指定します。各イベントの `affectedResource` オブジェクトは、バケットの名前を指定します。

次の例では、サンプルデータを使用して、バケットレベルのエラーイベント内のフィールドの構造と性質を示します。この例では、`BUCKET_ACCESS_DENIED` イベントは、Macie が `amzn-s3-demo-bucket` という名前の S3 バケット内のオブジェクトを分析できなかったことを示します。Macie が Amazon S3 API の [ListObjectsV2](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html) オペレーションを使用してバケットのオブジェクトをリスト化しようとしたときに、Amazon S3 はバケットへのアクセスを拒否しました。

```
{
    "adminAccountId": "123456789012",
    "jobId": "85a55dc0fa6ed0be5939d0408example",
    "eventType": "BUCKET_ACCESS_DENIED",
    "occurredAt": "2024-04-14T17:11:30.574809Z",
    "description": "Macie doesn’t have permission to access the affected S3 bucket.",
    "jobName": "My_Macie_Job",
    "operation": "ListObjectsV2",
    "runDate": "2024-04-14T17:09:30.685209Z",
    "affectedAccount": "111122223333",
    "affectedResource": {
        "type": "S3_BUCKET_NAME",
        "value": "amzn-s3-demo-bucket"
    }
}
```

次のテーブルは、Macie がログに記録し、CloudWatch Logs に発行するバケットレベルのエラーイベントのタイプをリスト化して説明します。**イベントタイプ**列には、イベントの `eventType` フィールドに表示されるとおり、各イベントの名前が示されます。**説明**列には、イベントの `description` フィールドに表示されるとおり、イベントの簡単な説明が表示されます。**追加情報** 列には、発生したエラーの調査または対処を行うための適切なヒントが表示されます。テーブルは、イベントタイプ別にアルファベット順に昇順に並べ替えられます。


| イベントタイプ | 説明 | 追加情報 | 
| --- | --- | --- | 
|  BUCKET\$1ACCESS\$1DENIED  |  Macie には、影響を受けた S3 バケットにアクセスする許可がありません。  |  これは通常、バケットには制限があるバケットポリシーが設定されているために発生します。この問題の対処方法については、[Macie が S3 バケットおよびオブジェクトにアクセスすることを許可する](monitoring-restrictive-s3-buckets.md)を参照してください。 イベント内の `operation` フィールドの値は、Macie がバケットにアクセスするのを防いだアクセス許可設定を特定するのに役立ちます。このフィールドは、エラーが発生したときに Macie が実行しようとした Amazon S3 オペレーションを示します。  | 
|  BUCKET\$1DETAILS\$1UNAVAILABLE  |  一時的な問題により、Macie がバケットとバケットのオブジェクトに関する詳細を取得するのを妨げられました。  |  これは、一時的な問題により、Macie がバケットのオブジェクトを分析するのに必要なバケットとオブジェクトのメタデータを取得するのを妨げられた場合に発生します。たとえば、Macie がバケットへのアクセスを許可されていることを確認しようとしたときに Amazon S3 例外が発生しました。 1 回限りのジョブの問題に対処するには、バケット内のオブジェクトを分析する新しい 1 回限りのジョブを作成して実行することを検討してください。スケジュールされたジョブの場合、Macie は次のジョブ実行時にメタデータの取得を再度試みます。  | 
| BUCKET\$1DOES\$1NOT\$1EXIST |  影響を受けた S3 バケットはもう存在しません。  |  これは通常、バケットが削除されたために発生します。  | 
|  BUCKET\$1IN\$1DIFFERENT\$1REGION  |  影響を受けた S3 バケットは別の AWS リージョンに移動されました。  |  –  | 
| BUCKET\$1OWNER\$1CHANGED |  影響を受けた S3 バケットの所有者が変更されました。Macie には、もうバケットにアクセスする許可がありません。  |  これは通常、バケットの所有権 AWS アカウント が組織に含まれていない に転送された場合に発生します。イベント内の `affectedAccount` フィールドは、以前にバケットを所有していたアカウントのアカウント ID を示します。  | 

# 機密データ検出ジョブのコストの予測とモニタリング
<a name="discovery-jobs-costs"></a>

Amazon Macie の料金は、機密データ検出ジョブを実行して分析するデータの量に部分的に基づいています。機密データ検出ジョブを実行する際の推定コストを予測およびモニタリングするには、ジョブの作成時およびジョブの実行開始後に Macie が提供するコストの見積もりを確認できます。

実際のコストを確認およびモニタリングするには、 を使用します AWS Billing and Cost Management。 は、アカウントまたは組織のコストを追跡および分析し AWS のサービス、予算を管理するのに役立つように設計された機能 AWS Billing and Cost Management を提供します。また、履歴データに基づいて使用コストを予測するのに役立つ機能も提供します。詳細については、[AWS Billing ユーザーガイド](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-what-is.html)を参照してください。

Macie の料金の詳細については、[Amazon Macie 料金表](https://aws.amazon.com/macie/pricing/)を参照してください。

**Topics**
+ [ジョブのコスト予測](#discovery-jobs-costs-forecast)
+ [ジョブの推定コストのモニタリング](#discovery-jobs-costs-track)

## 機密データ検出ジョブのコスト予測
<a name="discovery-jobs-costs-forecast"></a>

機密データ検出ジョブを作成すると、ジョブ作成プロセスの主要な 2 ステップ中に、Amazon Macie は推定コストを計算して表示します。ジョブで選択した S3 バケットのテーブルを確認するステップ (ステップ 2) と、ジョブですべての設定を確認するステップ (ステップ 8) です。これらの見積もりは、ジョブを保存する前にジョブの設定を調整するかどうかを判断するのに役立ちます。見積りの可用性と性質は、ジョブに対して選択した設定によって異なります。

**Reviewing estimated costs for individual buckets (step 2)** (個別のバケットの推定コストの確認 (ステップ 2  
分析するジョブに対して個別のバケットを明示的に選択した場合、それらの各バケット内のオブジェクトを分析するための推定コストを確認できます。Macie は、バケットの選択を確認するときに、ジョブ作成プロセスのステップ 2 の間にこれらの見積もりを表示します。このステップの表では、**推定コスト**フィールドは、バケット内のオブジェクトを分析するためにジョブを 1 回実行した場合の合計推定コスト (米ドル) を示します。  
各見積もりは、バケットに現在保存されているオブジェクトのサイズとタイプに基づいて、ジョブがバケット内で分析する非圧縮データの予測量を反映します。見積もりには、現在の Macie の料金も反映されます AWS リージョン。  
バケットのコスト見積もりには、分類可能なオブジェクトのみが含まれます。分類可能オブジェクトは、[サポートされている Amazon S3 ストレージクラス](discovery-supported-storage.md#discovery-supported-s3-classes)を使用し、[サポートされているファイルまたはストレージ形式](discovery-supported-storage.md#discovery-supported-formats)のファイル名拡張子を持つ S3 オブジェクトです。分類可能なオブジェクトが圧縮ファイルまたはアーカイブファイルである場合、見積もりではファイルが 3:1 の圧縮率を使用し、ジョブはすべての抽出されたファイルを分析できると仮定します。

**ジョブの合計推定コストの確認 (ステップ 8)**  
1 回限りのジョブを作成する場合、または既存の S3 オブジェクトを含めるように定期的なジョブを作成して設定する場合、Macie はジョブ作成プロセスの最終ステップ中にジョブの合計推定コストを計算して表示します。この見積もりは、ジョブに対して選択したすべての設定を確認して検証する間に確認できます。  
この見積もりは、現在のリージョンでジョブを 1 回実行した場合の合計予測コスト (米ドル) を示します。見積もりは、ジョブが分析する非圧縮データの予測量を反映します。これは、ジョブに対して明示的に選択したバケットに現在保存されているオブジェクトのサイズとタイプ、またはジョブの設定に応じて、ジョブで指定したバケット基準に現在一致する最大 500 個のバケットに基づきます。  
この見積もりには、ジョブの範囲を調整して縮小するために選択したオプション (より低いサンプリング深度や、ジョブから特定の S3 オブジェクトを除外する条件など) は反映されていないことに注意してください。また、毎月の [sensitive data discovery quota](macie-quotas.md) (機密データ検出クォータ) を反映していません。これにより、ジョブの分析の範囲とコスト、またはアカウントに適用される可能性のある割引が制限される場合があります。  
ジョブの合計推定コストに加えて、見積もりは、ジョブの予測範囲とコストに関する洞察を提供する集計データを提供します。  
+ **Size** (サイズ) 値は、ジョブで分析できるオブジェクトと分析できないオブジェクトの合計ストレージサイズを示します。
+ **Object count** (オブジェクトカウント) 値は、ジョブが分析できないオブジェクトの合計数を示します。
これらの値で **分類可能** オブジェクトは、[サポートされている Amazon S3 ストレージクラス](discovery-supported-storage.md#discovery-supported-s3-classes)を使用し、[サポートされているファイルまたはストレージ形式](discovery-supported-storage.md#discovery-supported-formats)のファイル名拡張子を持つ S3 オブジェクトです。コスト見積もりには、分類可能なオブジェクトのみが含まれます。**分類不可** オブジェクトは、サポートされているストレージクラスを使用していないか、サポートされているファイルまたはストレージ形式のファイル名拡張子を持たないオブジェクトです。これらのオブジェクトは、コスト見積もりには含まれません。  
この見積もりは、圧縮ファイルまたはアーカイブファイルである S3 オブジェクトの追加の集計データを提供します。**Compressed** (圧縮) 値は、サポートされている Amazon S3 ストレージクラスを使用して、サポートされているタイプの圧縮ファイルまたはアーカイブファイルのファイル名拡張子を持つオブジェクトの合計ストレージサイズを示します。**非圧縮** 値は、指定された圧縮率に基づいて、これらのオブジェクトが解凍された場合のおおよそのサイズを示します。Macie が圧縮ファイルとアーカイブファイルを分析する方法のため、このデータは関連しています。  
 Macie が圧縮ファイルまたはアーカイブファイルを分析すると、完全なファイルとファイルの内容の両方が検査されます。ファイルの内容を検査するために、Macie はファイルを解凍し、次にサポートされている形式を使用する各抽出ファイルを検査します。したがって、ジョブが分析する実際のデータの量は以下によって異なります。  
+ ファイルが圧縮を使用するかどうか、および該当する場合は、使用する圧縮率を使用するかどうか。
+ 抽出されたファイルの数、サイズ、および形式。
デフォルトでは、Macie はジョブのコスト見積りを計算するときに次のことを想定しています。  
+ すべての圧縮ファイルとアーカイブファイルは 3:1 の圧縮率を使用します。
+ すべての抽出されたファイルは、サポートされているファイルまたはストレージ形式を使用します。
これらの仮定により、ジョブが分析するデータの範囲のサイズ見積もりが大きくなり、その結果、ジョブのコスト見積もりが大きくなります。  
異なる圧縮率に基づいて、ジョブの合計推定コストを再計算できます。これを行うには、**推定コスト**セクションの **推定圧縮率を選択する**リストから率を選択します。次に Macie は、選択に一致するように見積もりを更新します。

Macie が推定コストを計算する方法の詳細については、[推定使用コストを把握する](account-mgmt-costs-calculations.md)を参照してください。

## 機密データ検出ジョブの推定コストのモニタリング
<a name="discovery-jobs-costs-track"></a>

機密データ検出ジョブをすでに実行している場合、Amazon Macie コンソールの **使用状況**ページは、これらのジョブの推定コストのモニタリングに役立ちます。このページには、現在の暦月に現在の AWS リージョン で Macie を使用するための推定コスト (米ドル) が表示されます。Macie がこれらの見積もりを計算する方法については、[推定使用コストを把握する](account-mgmt-costs-calculations.md)を参照してください。

**実行中のジョブの推定コストを確認するには**

1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。

1. ページの右上隅にある AWS リージョン セレクターを使用して、推定コストを確認するリージョンを選択します。

1. ナビゲーションペインで 使用状況を選択します。

1. **使用状況** ページで、アカウントの推定コスト内訳を参照します。**機密データ検出ジョブ** 項目は、現在のリージョンで当月に実行したジョブの合計推定コストをレポートします。

   お客様が組織の Macie 管理者である場合、**Estimated costs** (推定コスト) セクションには、現在のリージョンでの当月の組織全体の推定コストが表示されます。特定のアカウントで実行されたジョブの合計推定コストを表示するには、テーブル内のアカウントを選択します。**推定コスト** セクションには、実行されたジョブの推定コストを含む、アカウントの推定コストの内訳が表示されます。別のアカウントに関するこのデータを表示するには、テーブルでアカウントを選択します。アカウントの選択を解除するには、パネルのアカウント ID の横にある **X** を選択します。

実際のコストを確認および監視するには、[AWS Billing and Cost Management](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-what-is.html) を使用します。

# 機密データ検出ジョブに推奨されるマネージドデータ識別子
<a name="discovery-jobs-mdis-recommended"></a>

機密データ検出ジョブの結果を最適化するために、ジョブに推奨するマネージドデータ識別子のセットを自動的に使用するように個々のジョブを設定できます。*マネージドデータ識別子*は、特定の国またはリージョンの AWS シークレットアクセスキー、クレジットカード番号、パスポート番号など、特定のタイプの機密データを検出するように設計された一連の組み込み基準と手法です。

推奨されるマネージドデータ識別子のセットは、機密データの一般的なカテゴリとタイプを検出するように設計されています。当社の調査に基づいて、機密データの一般的なカテゴリやタイプを検出できると同時に、ノイズを減らすことで業務結果を最適化できます。新しいマネージドデータ識別子をリリースする際、それがジョブ結果をさらに最適化できると思われる場合は、このセットに追加します。別途、既存のマネージドデータ識別子を追加したり、セットから削除したりする可能性もあります。推奨セットからマネージドデータ識別子を追加または削除すると、このページを更新し、変更の性質と時期がわかるようにします。これらの変更に関する自動通知については、[Macie ドキュメント履歴](doc-history.md) ページの RSS フィードをサブスクライブしてください。

機密データ検出ジョブを作成するときに、ジョブがAmazon Simple Storage Service (Amazon S3) バケットでオブジェクトを分析するときにどのマネージドデータ識別子を使用するかを指定します。推奨マネージドデータ識別子のセットを使用するようにジョブを設定するには、ジョブの作成時に推奨オプションを選択します。そうすると、ジョブの実行開始時に、推奨セットに含まれるすべてのマネージドデータ識別子が自動的に使用されます。ジョブを複数回実行するように設定した場合、各実行では、実行の開始時に推奨セットにあるマネージドデータ識別子をすべて自動的に使用します。

以下のトピックでは、現在推奨セットに含まれているマネージドデータ識別子を機密データのカテゴリとタイプ別に一覧表示しています。セット内の各マネージドデータ識別子の一意の識別子 (ID) を指定します。この ID は、`PGP_PRIVATE_KEY` PGP プライベートキーや米国パスポート番号の `USA_PASSPORT_NUMBER` など、マネージドデータ識別子が検出するに設計された機密データのタイプを表します。

**Topics**
+ [認証情報](#discovery-jobs-mdis-recommended-credentials)
+ [財務情報](#discovery-jobs-mdis-recommended-financial)
+ [個人を特定できる情報 (PII)](#discovery-jobs-mdis-recommended-pii)
+ [推奨セットの更新](#discovery-jobs-mdis-recommended-updates)

 特定のマネージドデータ識別子、または Macie が現在提供しているマネージドデータ識別子の全リストについては、[マネージドデータ識別子の使用](managed-data-identifiers.md)　を参照してください。

## 認証情報
<a name="discovery-jobs-mdis-recommended-credentials"></a>

S3 オブジェクトでの認証情報データの出現を検知するために、推奨セットでは次のマネージドデータ識別子を使用します。


| 機密データタイプ | マネージドデータ識別子 ID | 
| --- | --- | 
| AWS シークレットアクセスキー | AWS\$1CREDENTIALS | 
| HTTP 基本認可ヘッダー | HTTP\$1BASIC\$1AUTH\$1HEADER | 
| OpenSSH プライベートキー | OPENSSH\$1PRIVATE\$1KEY | 
| PGP プライベートキー | PGP\$1PRIVATE\$1KEY | 
| 公開鍵暗号標準 (PKCS) プライベートキー | PKCS | 
| PuTTY プライベートキー | PUTTY\$1PRIVATE\$1KEY | 

## 財務情報
<a name="discovery-jobs-mdis-recommended-financial"></a>

S3 オブジェクトでの財務情報の出現を検知するために、推奨セットでは次のマネージドデータ識別子を使用します。


| 機密データタイプ | マネージドデータ識別子 ID | 
| --- | --- | 
| クレジットカードの磁気ストライプデータ | CREDIT\$1CARD\$1MAGNETIC\$1STRIPE | 
| クレジットカード番号 | CREDIT\$1CARD\$1NUMBER (キーワードに近いクレジットカード番号の場合) | 

## 個人を特定できる情報 (PII)
<a name="discovery-jobs-mdis-recommended-pii"></a>

S3 オブジェクトでの個人を特定できる情報 (PII) の出現を検知するために、推奨セットでは次のマネージドデータ識別子を使用します。


| 機密データタイプ | マネージドデータ識別子 ID | 
| --- | --- | 
| 運転免許証識別番号 | CANADA\$1DRIVERS\$1LICENSE, DRIVERS\$1LICENSE (米国の場合)、UK\$1DRIVERS\$1LICENSE | 
| 選挙人名簿番号 | UK\$1ELECTORAL\$1ROLL\$1NUMBER | 
| 国民識別番号 | FRANCE\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, GERMANY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, ITALY\$1NATIONAL\$1IDENTIFICATION\$1NUMBER, SPAIN\$1DNI\$1NUMBER | 
| 国民保険番号 (NINO) | UK\$1NATIONAL\$1INSURANCE\$1NUMBER | 
| パスポート番号 | CANADA\$1PASSPORT\$1NUMBER, FRANCE\$1PASSPORT\$1NUMBER, GERMANY\$1PASSPORT\$1NUMBER, ITALY\$1PASSPORT\$1NUMBER, SPAIN\$1PASSPORT\$1NUMBER, UK\$1PASSPORT\$1NUMBER, USA\$1PASSPORT\$1NUMBER | 
| 社会保険番号 (SIN) | CANADA\$1SOCIAL\$1INSURANCE\$1NUMBER | 
| 社会保障番号 (SSN) | SPAIN\$1SOCIAL\$1SECURITY\$1NUMBER, USA\$1SOCIAL\$1SECURITY\$1NUMBER | 
| 納税者識別番号または参照番号 | AUSTRALIA\$1TAX\$1FILE\$1NUMBER, BRAZIL\$1CPF\$1NUMBER, FRANCE\$1TAX\$1IDENTIFICATION\$1NUMBER, GERMANY\$1TAX\$1IDENTIFICATION\$1NUMBER, SPAIN\$1NIE\$1NUMBER, SPAIN\$1NIF\$1NUMBER, SPAIN\$1TAX\$1IDENTIFICATION\$1NUMBER, USA\$1INDIVIDUAL\$1TAX\$1IDENTIFICATION\$1NUMBER | 

## 推奨セットの更新
<a name="discovery-jobs-mdis-recommended-updates"></a>

次の表は、機密データ検出ジョブに推奨するマネージドデータ識別子セットの変更点をまとめたものです。これらの変更に関する自動通知については、[Macie ドキュメント履歴](doc-history.md) ページの RSS フィードにサブスクライブしてください。


| 変更 | 説明 | 日付 | 
| --- | --- | --- | 
|  一般提供  |  推奨セットの初回リリース。  |  2023 年 6 月 27 日  |