翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Macie で S3 バケットインベントリを確認する
<a name="monitoring-s3-inventory-review"></a>

Amazon Macieコンソールの**S3バケット**ページでは、現在の AWS リージョンのAmazon Simple Storage Service (Amazon S3)データのセキュリティとプライバシーに関する詳細な洞察を提供します。このページでは、 リージョンの S3 汎用バケットのインベントリを確認および分析し、個々のバケットの詳細情報と統計を確認できます。Macie がこのインベントリを生成および維持する方法については、「」を参照してください[Macie が Amazon S3 データセキュリティをモニタリングする方法](monitoring-s3-how-it-works.md)。お客様が組織の Macie 管理者である場合、インベントリには、組織のメンバーアカウントで所有されている S3 バケットの詳細と統計が含まれます。

**S3 バケット**ページには、Macie が毎日の更新サイクルの一部として、アカウントのバケットとオブジェクトメタデータの両方を最後に取得したタイミングも示されます。この情報は、ページの上部の **最終更新**フィールドにあります。ユーザーが組織の Macie 管理者である場合、最終更新フィールドには、Macie が組織内のアカウントのデータを取得した最も早い日時が示されます。詳細については、「[データの更新](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh)」を参照してください。

インベントリデータと統計には、S3 ディレクトリバケットに関するデータは含まれず、汎用バケットのみが含まれます。Macie はディレクトリバケットをモニタリングまたは分析しません。さらに、Macie はアカウントの 10,000 個以下の汎用バケットの完全なインベントリデータを保持します。アカウントがこのクォータを超えると、Macie は最近作成または変更された 10,000 個のバケットの完全なインベントリデータを提供します。他のすべてのバケットについて、Macie は各バケットに関する情報のサブセットのみを提供します。お客様が組織の Macie 管理者である場合、このクォータは組織全体ではなく、組織内の各アカウントに適用されます。

また、ほとんどのインベントリデータは、Macie がアカウントに対してアクセスできるバケットに制限されていることに注意してください。バケットのアクセス許可設定により、Macie がバケットまたはバケットのオブジェクトに関する情報を取得するのを妨げるようにしている場合、Macie はバケットに関する情報のサブセットのみを提供できます。これが特定のバケットに当てはまる場合、Macie はバケットインベントリに警告アイコン![\[The warning icon, which is a red triangle that has an exclamation point in it.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/icon-warning-red.png)とメッセージを表示します。バケットの詳細について、Macie はフィールドのサブセットのみのデータを提供します。バケットを所有 AWS アカウント する のアカウント ID、バケットの名前、Amazon リソースネーム (ARN)、作成日、リージョン、および Macie が毎日の更新サイクルの一部としてバケットとオブジェクトの両方のメタデータを最後に取得した日時です。問題を調査するには、Amazon S3 内のバケットのポリシーとアクセス許可の設定を確認します。例えば、バケットには制限があるバケットポリシーが設定されている場合があります。詳細については、[Macie が S3 バケットおよびオブジェクトにアクセスすることを許可する](monitoring-restrictive-s3-buckets.md)を参照してください。

インベントリデータにプログラムでアクセスしてクエリを行う場合は、Amazon Macie API の [DescribeBuckets](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3.html) オペレーションを使用できます。

**Topics**
+ [S3 バケットインベントリを確認する](#monitoring-s3-inventory-view)
+ [S3 バケットの詳細を確認する](#monitoring-s3-inventory-view-details)

## S3 バケットインベントリを確認する
<a name="monitoring-s3-inventory-view"></a>

Amazon Macie コンソールの **[S3 バケット]**ページには、現在の AWS リージョン内の S3 バケットに関する情報が表示されます。このページでは、インベントリ内の各バケットの概要情報がテーブルに表示されます。ビューをカスタマイズするには、テーブルを並べ替えてフィルタリングします。テーブルでバケットを選択すると、詳細パネルにバケットに関する追加情報が表示されます。これには、バケットのデータのセキュリティとプライバシーに関する洞察を提供する設定とメトリクスの詳細と統計が含まれます。オプションで、データをテーブルからカンマ区切り値 (CSV) ファイルにエクスポートできます。

機密データ自動検出が有効な場合は、インタラクティブなヒートマップを使用してインベントリを確認することもできます。このマップは、Amazon S3 データ資産全体のデータ機密性を視覚的に表しています。Macie がこれまでに実行した機密データ自動検出アクティビティの結果がキャプチャされます。このマップの詳細については、[S3 バケットマップによるデータ機密性の視覚化](discovery-asdd-results-s3-inventory-map.md)を参照してください。

**S3 バケットインベントリを確認するには**

1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。

1. ナビゲーションペインで、**S3 バケット**を選択します。**S3 バケット**ページにはバケットインベントリが表示されます。ページにインベントリのインタラクティブマップが表示される場合、ページ上部のテーブル (![\[The table view button, which is a button that displays three black horizontal lines.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/btn-s3-table-view.png)) を選択します。S3 バケットページが開き、インベントリ内のバケットの数とバケットのテーブルが表示されます。

   機密データ自動検出が有効な場合、デフォルトのビューには、現在自動検出から除外されているバケットのデータは表示されません。このデータを表示するには、フィルターボックスの下にある **[自動検出によってモニタリング]** フィルタートークンで **X** を選択します。

1. ページの上部で、必要に応じて、更新 ![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/btn-refresh-data.png) を選択して、Amazon S3 から最新のバケットメタデータを取得します。

   情報アイコン![\[The information icon, which is a blue circle that has a lowercase letter i in it.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/icon-info-blue.png)がバケット名の横に表示された場合、これを行うことをお勧めします。このアイコンは、Macie が [毎日の更新サイクル](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh)の一部として Amazon S3 からバケットとオブジェクトメタデータをおそらく最後に取得した後の過去 24 時間にバケットが作成されたことを示します。

1. **[S3 バケット]** テーブルで、インベントリ内の各バケットに関する情報のサブセットを確認します。
   + **機密性** - 機密データ自動検出が有効な場合、バケットの現在の機密性スコア。Macie が定義する機密性スコアの範囲については、[S3 バケットの機密スコア](discovery-scoring-s3.md)を参照してください。
   + **バケット** — バケットの名前。
   + **アカウント**— バケットを所有している AWS アカウント のアカウント ID。
   + **分類可能なオブジェクト**– バケット内の機密データを検出するために Macie が分析できるオブジェクトの総数。
   + **分類可能なサイズ**– バケット内の機密データを検出するために Macie が分析できるすべてのオブジェクトの合計ストレージサイズ。

     この値は、圧縮解除後の圧縮オブジェクトの実際のサイズを反映していないことに注意してください。また、バケットでバージョニングが有効化されている場合、この値は、バケット内の各オブジェクトの最新バージョンのストレージサイズに基づきます。
   + **ジョブによるモニタリング** - 機密データ検出ジョブがバケット内のオブジェクトを毎日、毎週、または毎月ベースで定期的に分析するように設定しているかどうか。

     このフィールドの値が *はい*の場合、バケットが定期的なジョブに明示的に含まれるか、バケットが過去 24 時間以内の定期的なジョブの基準に一致したことになります。さらに、それらのジョブの少なくとも 1 つのステータスは *キャンセル*されません。Macie は毎日ベースでこのデータを更新します。
   + **最新のジョブ実行** — バケット内のオブジェクトを分析するように定期的または 1 回限りの機密データ検出ジョブを設定している場合、このフィールドには、これらのジョブのいずれかの実行が開始された最新の時刻が示されます。それ以外の場合は、このフィールドにはダッシュ (–) が表示されます。

   前述のデータでは、オブジェクトは、サポートされているAmazon S3のストレージクラスを使用し、サポートされているファイルまたはストレージフォーマットのファイル名拡張子を持っていれば、分類可能です。Macie を使用して、オブジェクト内の機密データを検出できます。詳細については、[サポートされているストレージクラスとフォーマット](discovery-supported-storage.md)を参照してください。

1. テーブルを使用してインベントリを分析するには、次のいずれかの操作を行います。
   + 特定のフィールドでテーブルを並べ替えるには、フィールドの列見出しをクリックします。並べ替え順序を変更するには、列見出しをもう一度クリックします。
   + テーブルをフィルタリングし、フィールドに対して特定の値を持つバケットのみを表示するには、フィルターボックスにカーソルを置き、フィールドでフィルター条件を追加します。結果をさらに絞り込むには、追加のフィールドでフィルター条件を追加します。詳細については、[S3 バケットインベントリをフィルタリングする](monitoring-s3-inventory-filter.md)を参照してください。

1. 特定のバケットの詳細と統計を確認するには、テーブルでバケットの名前を選択し、詳細パネルを参照します。
**ヒント**  
バケット詳細パネルでは、多くのフィールドをピボットしてドリルダウンできます。フィールドに対して同じ値を持つバケットを表示するには、フィールドで ![\[The zoom in icon, which is a magnifying glass that has a plus sign in it.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/icon-magnifying-glass-plus-sign.png) を選択します。フィールドに対して他の値を持つバケットを表示するには、フィールドで ![\[The zoom out icon, which is a magnifying glass that has a minus sign in it.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/icon-magnifying-glass-minus-sign.png) を選択します。

1. テーブルから CSV ファイルにデータをエクスポートするには、エクスポートする各行のチェックボックスを選択するか、選択列見出しのチェックボックスを選択してすべての行を選択します。次に、ページ上部の **CSV にエクスポート**を選択します。テーブルから最大 50,000 行をエクスポートできます。

## S3 バケットの詳細を確認する
<a name="monitoring-s3-inventory-view-details"></a>

S3 汎用バケットの詳細と統計を確認するには、Amazon Macie コンソールの **S3 バケット**ページの詳細パネルを使用します。パネルには、バケットのデータのセキュリティとプライバシーに関するインサイトを提供する詳細と統計が表示されます。

たとえば、S3 バケットのパブリックアクセス設定の内訳を確認し、バケットがオブジェクトをレプリケートするように設定されているか、他の AWS アカウントと共有するかを判断できます。また、機密データ検出ジョブがバケットの機密データを検査するように設定されているかどうかを判断することもできます。設定されている場合は、最後に実行されたジョブに関する詳細にアクセスし、必要に応じて、ジョブによって生成された検出結果を表示できます。

機密データ自動検出が有効な場合は、詳細パネルを使用して、個々の S3 バケットに関する機密データ検出統計やその他の情報を確認することもできます。このパネルには、Macie がこれまでにバケットに対して行った機密データ自動検出アクティビティの結果がキャプチャされます。これらの詳細については、[S3 バケットのデータ機密情報の確認](discovery-asdd-results-s3-inventory-details.md)を参照してください。

**S3 バケットの詳細を確認するには**

1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。

1. ナビゲーションペインで、**S3 バケット**を選択します。**S3 バケット**ページにはバケットインベントリが表示されます。

   機密データ自動検出が有効な場合、デフォルトのビューには、現在自動検出から除外されているバケットのデータは表示されません。このデータを表示するには、フィルターボックスの下にある **[自動検出によってモニタリング]** フィルタートークンで **X** を選択します。

1. ページの上部で、必要に応じて、更新![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/btn-refresh-data.png) を選択して、Amazon S3 から最新のバケットメタデータを取得します。

1. 詳細を確認するバケットを選択します。詳細パネルには、バケットに関する統計およびその他の情報が表示されます。<a name="monitoring-s3-inventory-bucket-details"></a>

詳細パネルでは、統計と情報が次の主要なセクションに整理されています。

[**概要**](#monitoring-s3-inventory-view-details-general)\$1 [**オブジェクト統計**](#monitoring-s3-inventory-view-details-objects)\$1 [**サーバー側の暗号化**](#monitoring-s3-inventory-view-details-sse)\$1 [**機密データ検出**](#monitoring-s3-inventory-view-details-discovery)\$1 [**パブリックアクセス**](#monitoring-s3-inventory-view-details-public-access)\$1 [**レプリケーション**](#monitoring-s3-inventory-view-details-replication)\$1 [**タグ**](#monitoring-s3-inventory-view-details-tags)

各セクションの情報を確認するときに、必要に応じて特定のフィールドをピボットしてドリルダウンできます。フィールドに対して同じ値を持つバケットを表示するには、フィールドで ![\[The zoom in icon, which is a magnifying glass that has a plus sign in it.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/icon-magnifying-glass-plus-sign.png) を選択します。フィールドに対して他の値を持つバケットを表示するには、フィールドで ![\[The zoom out icon, which is a magnifying glass that has a minus sign in it.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/icon-magnifying-glass-minus-sign.png) を選択します。

### 概要:
<a name="monitoring-s3-inventory-view-details-general"></a>

このセクションでは、バケットの名前、バケットの作成日時、バケットを所有 AWS アカウント する のアカウント ID など、バケットに関する一般的な情報を提供します。特に、**最終更新**フィールドは、Macie がバケットまたはバケットのオブジェクトのメタデータを Amazon S3 から取得した日時を示します。

**共有アクセス**フィールドは、バケットが別の 、Amazon CloudFront オリジンアクセスアイデンティティ (OAI) AWS アカウント、または CloudFront オリジンアクセスコントロール (OAC) と共有されているかどうかを示します。
+ **外部** — バケットは、CloudFront OAI、CloudFront OAC、または組織の外部 (一部ではない) のアカウントの 1 つ以上、またはそれらの任意の組み合わせと共有されます。
+ **内部** — バケットは組織の内部にある (一部である) 1 つ以上のアカウントと共有されます。CloudFront の OAI や OAC とは共有されません。
+ **共有なし** — バケットは別のアカウント、CloudFront OAI、または CloudFront OAC と共有されていません。
+ **不明**— Macie はバケットの共有アクセス設定を評価できませんでした。たとえば、クォータや一時的な問題により、Macie は必要なデータを取得して評価することができませんでした。

バケットが別のバケットと共有されているかどうかを判断するために AWS アカウント、Macie はバケットのバケットポリシーとアクセスコントロールリスト (ACL) を分析します。分析はバケットレベルの設定に制限されます。特定のオブジェクトをバケット内で共有するためのオブジェクトレベルの設定は反映されません。さらに、*組織は*、 を通じて、 AWS Organizations または Macie の招待によって、関連するアカウントのグループとして一元管理される一連の Macie アカウントとして定義されます。バケットを共有するための Amazon S3 オプションの詳細については、*「Amazon Simple Storage Service ユーザーガイド*」の[「アクセスコントロール](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html)」を参照してください。

**注記**  
場合によっては、Macie は、バケットが組織の外部 (一部ではない) にある と共有 AWS アカウント されていることを誤って示す可能性があります。これは、Macie がバケットポリシー内の `Principal` 要素と、ポリシーの `Condition` 要素内の特定の[AWS グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)または [Amazon S3 条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-policy-keys)との関係を完全に評価できない場合に発生する可能性があります。これは、、`aws:PrincipalAccount`、`aws:PrincipalArn`、、`aws:PrincipalOrgID`、`aws:PrincipalOrgPaths`、、、`aws:PrincipalTag``aws:PrincipalType``aws:SourceAccount`、、`aws:SourceArn`、、`aws:SourceIp`、、`aws:SourceOrgID`、`aws:SourceOrgPaths``aws:SourceVpc``aws:SourceVpce``aws:userid``s3:DataAccessPointAccount`、、および の条件キーの場合です`s3:DataAccessPointArn`。  
バケットポリシーを確認して、このアクセスが安全かつ意図されたものか判断することをお勧めします。

バケットが CloudFront OAA または OAC と共有されているかを決定するために、Macie はバケットのポリシーを分析します。CloudFront OAI または OAC を使用すると、ユーザーは 1 つ以上の指定された CloudFront ディストリビューションを介してバケットのオブジェクトにアクセスできます。CloudFront の OAI と OAC について詳しくは、Amazon CloudFront デベロッパーガイドの[Amazon S3 オリジンへのアクセスを制限する](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html)を参照してください。

**[概要]**セクションには、**[最新の自動検出実行]** フィールドも含まれています。このフィールドには、Macie が機密データ自動検出を実行中にバケット内のオブジェクトを最後に分析した日時が表示されます。この分析が実行されていない場合、このフィールドにはダッシュ (–) が表示されます。

### オブジェクト統計
<a name="monitoring-s3-inventory-view-details-objects"></a>

このセクションではバケット内のオブジェクトに関する情報を提供し、それはバケット内のオブジェクトの総数 (**合計数**)、それらのすべてのオブジェクトの合計ストレージサイズ (**合計ストレージサイズ**)、および圧縮されたすべてのオブジェクト (.gz、.gzip、または.zip) の合計ストレージサイズ (**合計圧縮サイズ**) から始まります。このセクションの追加統計は、Macie がバケット内の機密データを検出するために分析できるデータの量を評価するのに役立ちます。

最近バケットを作成した場合、または過去 24 時間の間にバケットのオブジェクトに大きな変更を加えた場合は、必要に応じて更新![\[The refresh button, which is a button that displays an empty, dark gray circle with an arrow.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/btn-refresh-object-data.png)を選択して、バケットのオブジェクトの最新のメタデータを取得します。Macie は、これが当てはまるかどうかを判断するのに役立つように、情報アイコン![\[The information icon, which is a blue circle that has a lowercase letter i in it.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/icon-info-blue.png)を表示します。更新オプションは、バケットに保存されるオブジェクトが 30,000 個以下の場合に使用できます。

このセクションの統計を確認する際には、以下の点に注意してください。
+ バケットでバージョニングが有効化されている場合、サイズ値はバケット内の各オブジェクトの最新バージョンのストレージサイズに基づきます。
+ バケットに圧縮オブジェクトが保存されている場合、サイズ値は解凍後のこれらのオブジェクトの実際のサイズを反映していません。
+ バケットのオブジェクトメタデータを更新すると、Macie は、オブジェクトに適用される暗号化統計で一時的に *不明*をレポートします。Macie はバケットとオブジェクトメタデータの次回 (24 時間以内) の[毎日の更新](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh)を実行するときに、これらの統計のデータを再評価して更新します。
+ デフォルトでは、オブジェクト数とサイズの値には、マルチパートアップロードが不完全だったためにバケットに含まれるすべてのオブジェクトパーツのデータが含まれます。バケットのオブジェクトメタデータを更新すると、Macie はオブジェクトパーツのデータを再計算された値から除外します。Macie が次の毎日のバケットとオブジェクトメタデータの更新を行うと (24 時間以内)、Macie はこれらの統計の値を再計算して更新し、オブジェクトパーツのデータを値に再び含めます。

  Macie はオブジェクトパーツを分析して機密データを検出することはできないことに注意してください。Amazon S3 はまず、Macie が分析できるように、パーツを 1 つ以上のオブジェクトに組み立てる必要があります。ライフサイクルルールでパーツを自動的に削除する方法など、マルチパートアップロードとオブジェクトパーツについては、Amazon Simple Storage Service ユーザーガイドの[マルチパートアップロードを使用したオブジェクトのアップロードとコピー](https://docs.aws.amazon.com/AmazonS3/latest/userguide/mpuoverview.html)を参照してください。オブジェクトパーツを含むバケットを特定するには、Amazon S3 ストレージレンズの不完全なマルチパートアップロードメトリクスを参照してください。詳細については、Amazon Simple Storage Service ユーザーガイドの[ストレージのアクティビティと使用状況の評価](https://docs.aws.amazon.com/AmazonS3/latest/userguide/storage_lens.html)を参照してください。

オブジェクト統計は次のように設定されています。

**分類可能なオブジェクト**  
このセクションは、Macie が機密データを検出するために分析できるオブジェクトの総数と、それらのオブジェクトの合計ストレージサイズを示します。前のデータでは、オブジェクトがサポートされている Amazon S3 ストレージクラスを使用し、サポートされているファイルまたはストレージ形式のファイル名拡張子を持っている場合、オブジェクトは 分類可能です。Macie を使用して、オブジェクト内の機密データを検出できます。詳細については、[サポートされているストレージクラスとフォーマット](discovery-supported-storage.md)を参照してください。

**分類不可能オブジェクト**  
このセクションは、Macie が機密データを検出するために分析できないオブジェクトの総数と、それらのオブジェクトの合計ストレージサイズを示します。これらのオブジェクトは、サポートされている Amazon S3 ストレージクラスを使用せず、サポートされているファイルまたはストレージ形式のファイル名拡張子も持っていません。

**分類不可能オブジェクト: ストレージクラス**  
このセクションでは、オブジェクトがサポートされている Amazon S3 ストレージクラスを使用しないため、Macie が分析できないオブジェクトの数とストレージサイズの内訳を示します。

**分類不可能オブジェクト: ファイルタイプ**  
このセクションでは、オブジェクトがサポートされているファイルまたはストレージ形式のファイル名拡張子を持っていないため、Macie が分析できないオブジェクトの数とストレージサイズの内訳を示します。

**暗号化タイプ別のオブジェクト**  
このセクションでは、Amazon S3 がサポートする各タイプの暗号化を使用するオブジェクトの数の内訳を示します。  
+ **カスタマー提供**— 顧客提供キーで暗号化されているオブジェクトの数。これらのオブジェクトは SSE-C 暗号化を使用します。
+ managed**AWS KMS ** – AWS KMS key AWS マネージドキー またはカスタマーマネージドキーで暗号化されたオブジェクトの数。これらのオブジェクトは DSSE-KMS または SSE-KMS 暗号化を使用します。
+ **Amazon S3 マネージド** — Amazon S3 マネージドキーで暗号化されているオブジェクトの数。これらのオブジェクトは SSE-S3 暗号化を使用します。
+ **暗号化なし**— 暗号化されていない、またはクライアント側の暗号化を使用するオブジェクトの数。(オブジェクトがクライアント側の暗号化を使用して暗号化されている場合、Macie はそのオブジェクトの暗号化データにアクセスしてレポートできません)。
+ **不明**— Macie が現在の暗号化メタデータを持たないオブジェクトの数。これは通常、バケットのオブジェクトのメタデータを手動で更新することを最近選択した場合に発生します。Macie はバケットとオブジェクトメタデータの次回 (24 時間以内) の毎日の更新を実行するときに、暗号化統計を更新します。
サポートされている各暗号化タイプの詳細については、「*Amazon Simple Storage Service ユーザーガイド*」の「[暗号化によるデータの保護](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingEncryption.html)」を参照してください。

### サーバー側の暗号化
<a name="monitoring-s3-inventory-view-details-sse"></a>

このセクションでは、バケットのサーバー側の暗号化設定に関する洞察を提供します。

**バケットポリシーで必要とされる暗号化**フィールドは、オブジェクトをバケットにアップロードするときに、バケットのポリシーではオブジェクトのサーバー側の暗号化を必要とするかどうかを示します。
+ **いいえ**— バケットにバケットポリシーがないか、バケットのポリシーでは新しいオブジェクトのサーバー側の暗号化を必要としません。バケットポリシーが存在する場合、[PutObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html) リクエストに有効なサーバー側の暗号化ヘッダーを含める必要はありません。
+ **はい**— バケットのポリシーでは、新しいオブジェクトのサーバー側の暗号化が必要です。**PutObject** は、バケットに有効なサーバー側の暗号化ヘッダーを含めることを必要としています。アクセス許可がない場合、Amazon S3 はリクエストを拒否します。
+ **不明**— Macie は、バケットポリシーを評価して、それが新しいオブジェクトのサーバー側の暗号化を必要とするかどうかを判断できませんでした。たとえば、クォータや問題により、Macie はポリシーを取得して評価できませんでした。

この評価で有効なサーバー側の暗号化ヘッダーは、`x-amz-server-side-encryption` (値は `AES256` または `aws:kms`)、および `x-amz-server-side-encryption-customer-algorithm` (値は `AES256`)。新しいオブジェクトのサーバー側の暗号化を必要とするバケットポリシーの使用の詳細については、「*Amazon Simple Storage Service ユーザーガイド*」の「[サーバー側の暗号化によるデータの保護](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html)」を参照してください。

**[デフォルトの暗号化]** フィールドには、バケットに追加されたオブジェクトにデフォルトで適用するようにバケットが設定されているサーバー側の暗号化アルゴリズムが示されます。
+ **AES256** — バケットのデフォルトの暗号化設定は、Amazon S3 マネージドキーを使用して新しいオブジェクトを暗号化するように設定されています。新しいオブジェクトは SSE-S3 暗号化を使用して自動的に暗号化されます。
+ **aws:kms** – バケットのデフォルトの暗号化設定は AWS KMS key、 AWS マネージドキー またはカスタマーマネージドキーを使用して新しいオブジェクトを暗号化するように設定されています。新しいオブジェクトは SSE-KMS 暗号化を使用して自動的に暗号化されます。[**AWS KMS key**] フィールドには、Amazon リソースネーム (ARN) または使用される KMS キーの一意の識別子 (キー ID) が表示されます。
+ **aws:kms:dsse** – バケットのデフォルトの暗号化設定は AWS KMS key、 AWS マネージドキー またはカスタマーマネージドキーを使用して新しいオブジェクトを暗号化するように設定されています。新しいオブジェクトは SSE-KMS 暗号化を使用して自動的に暗号化されます。[**AWS KMS key**] フィールドには、使用されたキーの ARN またはキー ID が表示されます。
+ **なし**— バケットのデフォルトの暗号化設定では、新しいオブジェクトに対するサーバー側の暗号化動作は指定されていません。

2023 年 1 月 5 日以降、Amazon S3 はバケットに追加されるオブジェクトに対して、基本レベルの暗号化として Amazon S3 管理キー (SSE-S3) によるサーバーサイド暗号化を自動的に適用します。オプションで、 キーによるサーバー側の暗号化 (SSE-KMS) または AWS KMS キーによる二層式サーバー側の暗号化 AWS KMS (DSSE-KMS) を使用するようにバケットのデフォルトの暗号化設定を設定できます。デフォルトの暗号化設定とオプションの詳細については、「*Amazon Simple Storage Service ユーザーガイド*」の「[S3 バケットのデフォルトのサーバー側の暗号化動作の設定](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html)」を参照してください。

### 機密データ検出
<a name="monitoring-s3-inventory-view-details-discovery"></a>

このセクションには、機密データ検出ジョブがバケット内のオブジェクトを毎日、毎週、または毎月ベースで定期的に分析するように設定されているかどうかが示されます。**ジョブによって積極的にモニタリングされている**フィールドの値が はいの場合、バケットが定期的なジョブに明示的に含まれるか、バケットが過去 24 時間以内の定期的なジョブの基準に一致したことになります。さらに、それらのジョブの少なくとも 1 つのステータスは *キャンセル*されません。Macie は毎日ベースでこのデータを更新します。

バケット内のオブジェクトを分析するように任意のタイプの機密データ検出ジョブ (定期的なジョブまたは 1 回限りのジョブ) が設定されている場合、**[最新のジョブ]** フィールドには、最後に実行を開始したジョブの一意の識別子が表示されます。**最新のジョブ実行**フィールドは、そのジョブの実行が開始されたタイミングを示します。

**ヒント**  
ジョブが生成した機密データの調査結果をすべて表示するには、**最新のジョブ実行**フィールドのリンクを選択します。表示されるジョブ詳細パネルで、パネルの上部の **結果を表示する**を選択し、次に **調査結果を表示する**を選択します。

### パブリックアクセス
<a name="monitoring-s3-inventory-view-details-public-access"></a>

このセクションでは、バケットがパブリックアクセス可能かどうかを示します。また、これが当てはまるかどうかを判断するさまざまなアカウントレベルおよびバケットレベルの設定の詳細を示します。**有効なアクセス許可**フィールドは、次の設定の累積結果を示します。
+ **パブリックではない**– バケットはパブリックアクセス可能ではありません。
+ **パブリック**– バケットはパブリックアクセス可能です。
+ **不明**— Macie は、バケットのパブリックアクセス設定のすべては評価できませんでした。たとえば、クォータや一時的な問題により、Macie は必要なデータを取得して評価することができませんでした。

この評価では、Macie は各バケットのアカウントレベルとバケットレベルの設定の組み合わせを分析します。アカウントのブロックパブリックアクセス設定、バケットのブロックパブリックアクセス設定、バケットのバケットポリシー、バケットのアクセスコントロールリスト (ACL) です。評価には、バケット内の特定のオブジェクトへのパブリックアクセスを有効にするオブジェクトレベルの設定が含まれていないことに注意してください。

バケットとバケットデータへのパブリックアクセスを管理する Amazon S3 設定については、Amazon *Simple Storage Service ユーザーガイド*の[「Amazon S3 ストレージへのアクセスコントロール](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html)[とパブリックアクセスのブロックAmazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html)」を参照してください。

### レプリケーション
<a name="monitoring-s3-inventory-view-details-replication"></a>

このセクションでは、**レプリケートされた**フィールドは、バケットが他のバケットにオブジェクトをレプリケートするように設定されているかどうかを示します。このフィールドの値が はいの場合、バケットに 1 つ以上のレプリケーションルールが設定され、有効になっています。このセクションには、送信先バケットを所有 AWS アカウント する各 のアカウント ID も一覧表示されます。

**Replicated external** フィールドは、バケットが組織の外部 (一部ではない) のバケットにオブジェクトをレプリケートするように設定 AWS アカウント されているかどうかを示します。*組織は*、Macie の招待を通じて、 AWS Organizations または Macie の招待によって、関連するアカウントのグループとして一元管理される一連の Macie アカウントです。このフィールドの値が*はい*の場合、バケットに対してレプリケーションルールが設定され、有効になり、外部が所有するバケットにオブジェクトをレプリケートするようにルールが設定されます AWS アカウント。

**注記**  
特定の条件下では、Macie はバケットが外部が所有するバケットにオブジェクトをレプリケートするように設定されていることを誤って示す可能性があります AWS アカウント。これは、[毎日の更新サイクル](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh)の一環として Macie が Amazon S3 からバケットとオブジェクトメタデータを取得した後、過去 24 時間以内に宛先バケットが別の AWS リージョン に作成された場合に発生する可能性があります。Macie を使用して問題を調査するには、更新![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/btn-refresh-data.png) を選択して Amazon S3 から最新のバケットメタデータを取得します。次に、このセクションのアカウント ID のリストを確認してください。より詳細な調査を行うには、Amazon S3 を使用してバケットのレプリケーションルールを確認してください。

バケットオブジェクトをレプリケートするための Amazon S3 オプションと設定の詳細については、*Amazon Simple Storage Service ユーザーガイド*の[オブジェクトのレプリケーション](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication.html)を参照してください。

### タグ
<a name="monitoring-s3-inventory-view-details-tags"></a>

バケットにタグが関連付けられている場合は、このセクションがパネルに表示され、それらのタグがリスト化されます。タグは,定義して、S3 バケットを含む、 AWS リソースの特定のタイプに関連付けることができるラベルです。各タグは、必要なタグキーとオプションのタグ値で設定されています。

バケットのタグ付けの詳細については、*Amazon Simple Storage Service ユーザーガイド*の[コスト配分 S3 バケットタグの使用](https://docs.aws.amazon.com/AmazonS3/latest/userguide/CostAllocTagging.html)を参照してください。