기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Macie의 조사 결과를 통한 민감한 데이터 조사
민감한 데이터 검색 작업을 실행하거나 Amazon Macie가 민감한 데이터 자동 검색을 수행하는 경우 Macie는 Amazon Simple Storage Service(S3) 객체에서 찾은 민감한 데이터의 각 발생 위치에 대한 세부 정보를 캡처합니다. 여기에는 Macie가 [관리형 데이터 식별자](managed-data-identifiers.md)를 사용하여 탐지한 민감한 데이터와 작업 또는 Macie가 사용하도록 구성한 [사용자 지정 데이터 식별자](custom-data-identifiers.md)의 기준과 일치하는 데이터가 포함됩니다.
민감한 데이터 조사 결과를 통해 Macie가 개별 S3 객체에서 발견한 민감한 데이터가 최대 15건인지 등 세부 정보를 검토할 수 있습니다. 세부 정보를 통해 특정 S3 버킷 및 객체에 포함될 수 있는 민감한 데이터의 범주와 유형에 대한 통찰력을 얻을 수 있습니다. 이를 통해 객체에서 발생하는 민감한 데이터를 개별적으로 찾아내고 특정 버킷과 객체에 대해 더 심층적인 조사를 수행할지 여부를 결정할 수 있습니다.
추가로 통찰력을 얻기 위해 Macie가 개별 조사 결과를 보고하는 민감한 데이터의 샘플을 검색하도록 Macie를 구성하고 사용할 수도 있습니다. 샘플을 통해 Macie가 발견한 민감한 데이터의 특성을 확인할 수 있습니다. 또한 영향을 받는 S3 버킷 및 객체에 대한 조사를 맞춤 설정하는 데 도움이 될 수 있습니다. 조사 결과를 얻기 위해 민감한 데이터 샘플 검색을 선택한 경우 Macie는 조사 결과에 있는 데이터를 사용하여 조사 결과에서 보고된 각 유형의 민감한 데이터 중에서 1\$110개의 항목을 찾습니다. 그런 다음 Macie는 영향을 받는 객체에서 이러한 민감한 데이터를 추출하여 검토할 수 있도록 데이터를 표시합니다.
S3 객체에 민감한 데이터가 많이 포함되어 있는 경우 조사 결과를 통해 해당 민감한 데이터 조사 결과를 탐색할 수도 있습니다. 민감한 데이터 조사 결과와는 달리, 민감한 데이터 조사 결과는 Macie가 객체에서 발견한 각 유형의 민감한 데이터가 1,000건에 달하는 상세한 위치 데이터를 제공합니다. Macie는 민감한 데이터 조사 결과 및 민감한 데이터 조사 결과의 위치 데이터에 동일한 스키마를 사용합니다. 민감한 데이터 조사 결과에 대한 자세한 내용은 [민감한 데이터 검색 결과 저장 및 유지](discovery-results-repository-s3.md)을(를) 참조하세요.
이 섹션의 항목에서는 민감한 데이터 발견으로 보고된 민감한 데이터를 찾고 선택적으로 검색하는 방법을 설명합니다. 또한 Macie가 발견한 민감한 데이터의 개별 발생 위치를 보고하는 데 사용하는 스키마에 대해서도 설명합니다.
**Topics**
+ [민감한 데이터 위치 찾기](findings-locate-sd.md)
+ [민감한 데이터 샘플 검색](findings-retrieve-sd.md)
+ [민감한 데이터 위치에 대한 스키마](findings-locate-sd-schema.md)
# Macie 조사 결과를 통한 민감한 데이터 위치 찾기
민감한 데이터 검색 작업을 실행하거나 Amazon Macie가 민감한 데이터 자동 검색을 수행하는 경우, Macie는 분석하는 각 Amazon Simple Storage Service(S3) 객체의 최신 버전을 심층 검사합니다. 각 작업 실행 또는 분석 주기의 경우, Macie는 또한 *깊이 우선 검색* 알고리즘을 사용하여 Macie가 S3 객체에서 찾은 민감한 데이터의 특정 발생 위치에 대한 세부 정보로 결과적인 조사 결과를 채웁니다. 이러한 발생 사례를 통해 영향을 받는 S3 버킷 및 객체에 포함될 수 있는 민감한 데이터의 범주 및 유형에 대한 통찰력을 얻을 수 있습니다. 세부 정보를 통해 객체의 개별적인 민감한 데이터 발생 위치를 찾아내고 특정 버킷과 객체에 대해 더 심층적인 조사를 수행할지 여부를 결정할 수 있습니다.
민감한 데이터 조사 결과를 통해, Macie가 영향을 받는 S3 객체에서 발견한 민감한 데이터의 위치를 최대 15개까지 파악할 수 있습니다. 여기에는 Macie가 [관리형 데이터 식별자](managed-data-identifiers.md)를 사용하여 탐지한 민감한 데이터와 작업이나 Macie가 사용하도록 구성한 [사용자 지정 데이터 식별자](custom-data-identifiers.md)의 기준과 일치하는 데이터가 포함됩니다.
민감한 데이터 조사 결과는 다음과 같은 세부 정보를 제공할 수 있습니다.
+ Microsoft Excel 통합 문서, CSV 파일 또는 TSV 파일에 있는 셀 또는 필드의 열 및 행 번호입니다.
+ JSON 또는 JSON 행 파일에 있는 필드 또는 배열의 경로입니다.
+ CSV, JSON, JSON 행 또는 TSV 파일이 아닌 비이진 텍스트 파일에 있는 줄의 줄 번호입니다(예: HTML, TXT 또는 XML 파일).
+ Adobe 휴대용 문서 형식(PDF) 파일에 있는 페이지의 페이지 번호입니다.
+ Apache Avro 객체 컨테이너 또는 Apache Parquet 파일에 있는 레코드의 레코드 인덱스 및 필드 경로입니다.
Amazon Macie 콘솔 또는 Amazon Macie API를 사용하여 이러한 세부 정보에 액세스할 수 있습니다. 또한 Macie가 Amazon EventBridge 및 다른 AWS 서비스에 게시하는 조사 결과에서 이러한 세부 정보에 액세스할 수 있습니다 AWS Security Hub CSPM. Macie가 이러한 세부 정보를 보고하는 데 사용하는 JSON 구조에 대해 알아보려면 [민감한 데이터의 위치를 보고하기 위한 스키마](findings-locate-sd-schema.md)을(를) 참조하세요. Macie가 다른에 게시하는 조사 결과의 세부 정보에 액세스하는 방법을 알아보려면 섹션을 AWS 서비스참조하세요[결과 모니터링 및 처리](findings-monitor.md).
S3 객체에 민감한 데이터가 많이 포함되어 있는 경우 조사 결과를 사용하여 해당 민감한 데이터 검색 결과를 탐색할 수도 있습니다. 민감한 데이터 조사 결과와 달리, 민감한 데이터 검색 결과는 Macie가 객체에서 발견한 각 유형의 민감한 데이터가 1,000건까지 발생했는지에 대한 상세한 위치 데이터를 제공합니다. S3 객체가 아카이브 파일(예: .tar 또는.zip 파일)인 경우 여기에는 Macie가 아카이브에서 추출한 개별 파일에 있는 민감한 데이터가 포함됩니다. (Macie는 민감한 데이터 조사 결과에 이 정보를 포함시키지 않습니다.) 민감한 데이터 조사 결과에 대한 자세한 내용은 [민감한 데이터 검색 결과 저장 및 유지](discovery-results-repository-s3.md)을(를) 참조하세요. Macie는 민감한 데이터 조사 결과 및 민감한 데이터 조사 결과의 위치 데이터에 동일한 스키마를 사용합니다.
**조사 결과를 사용하여 민감한 데이터를 찾으려면**
조사 결과에서 보고된 민감한 데이터의 발생을 찾으려면 Amazon Macie 콘솔 또는 Amazon Macie API를 사용할 수 있습니다. 프로그래밍 방식으로이 작업을 수행하려면 [GetFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html) 작업을 사용합니다. 조사 결과에 특정 유형의 민감한 데이터가 한 번 이상 발생한 위치에 대한 세부 정보가 포함된 경우, 조사 결과에 포함된 `occurrences` 객체는 이러한 세부 정보를 제공합니다. 자세한 내용은 [민감한 데이터의 위치를 보고하기 위한 스키마](findings-locate-sd-schema.md) 단원을 참조하십시오.
콘솔을 사용하여 민감한 데이터의 발생을 찾으려면 다음 단계를 따르세요.
1. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)에서 Amazon Macie 콘솔을 엽니다.
1. 탐색 창에서 **조사 결과**를 선택합니다.
**작은 정보**
특정 민감한 데이터 검색 작업의 모든 결과를 빠르게 표시할 수 있습니다. 이렇게 하려면, 탐색 창에서 **작업**을 선택한 다음, 작업 이름을 선택합니다. 세부 정보 패널 상단에서, **결과 표시**를 선택한 다음, **조사 결과 표시**를 선택합니다.
1. **조사 결과** 페이지에서 찾으려는 민감한 데이터에 대한 조사 결과를 선택합니다. 세부 정보 패널에 조사 결과의 정보가 표시됩니다.
1. 세부 정보 패널에서 **민감한 데이터** 섹션으로 스크롤합니다. 이 섹션에서는 Macie가 영향을 받는 S3 객체에서 발견한 민감한 데이터의 범주 및 유형에 대한 정보를 제공합니다. 이 항목은 또한 Macie가 발견한 각 유형의 민감한 데이터 발생 횟수도 나타냅니다.
예를 들어 다음 이미지는 신용 카드 번호 30건, 이름 20건, 미국 사회보장번호 29건을 보고하는 조사 결과의 일부 세부 정보를 보여줍니다.
![\[조사 결과 세부 정보 필드는 세 가지 유형의 민감한 데이터의 발생 횟수를 보여줍니다.\]](http://docs.aws.amazon.com/ko_kr/macie/latest/user/images/scrn-sdf-csv-occurrences.png)
조사 결과에 특정 유형의 민감한 데이터가 한 번 이상 발생한 위치에 대한 세부 정보가 포함된 경우, 발생 횟수는 링크입니다. 링크를 선택하면 세부 정보가 표시됩니다. Macie는 새 창을 열고 세부 정보를 JSON 형식으로 표시합니다.
예를 들어, 다음 이미지는 영향을 받는 S3 객체에서 신용 카드 번호가 두 번 나오는 위치를 보여줍니다.
![\[S3 객체에서 신용카드 번호가 두 번 발생한 위치 데이터로, JSON 형식입니다.\]](http://docs.aws.amazon.com/ko_kr/macie/latest/user/images/scrn-sdf-csv-occurrences-json.png)
세부 정보를 JSON 파일로 저장하려면, **다운로드**를 선택한 다음, 파일의 이름과 위치를 지정합니다.
1. 모든 조사 결과의 세부 정보를 JSON 파일로 저장하려면 세부 정보 패널 상단에서 조사 결과의 식별자(**조사 결과 ID**)를 선택합니다. Macie는 새 창을 열고 모든 세부 정보를 JSON 형식으로 표시합니다. **다운로드**를 선택한 다음, 파일의 이름과 위치를 지정합니다.
영향을 받는 객체에서 각 유형의 민감한 데이터가 1,000개나 나오는 위치에 대한 세부 정보에 액세스하려면, 조사 결과에 대한 해당 민감한 데이터 검색 결과를 참조합니다. 이렇게 하려면, 패널의 **세부 정보** 섹션의 시작 부분으로 스크롤합니다. 그런 다음, **상세 결과 위치** 필드에서 링크를 선택합니다. Macie는 Amazon S3 콘솔을 열고 해당 검색 결과가 포함된 파일 또는 폴더를 표시합니다.
# Macie 조사 결과를 사용하여 민감한 데이터 샘플 검색
Amazon Macie가 조사 결과에 보고하는 민감한 데이터의 특성을 확인하기 위해 선택적으로 Macie를 구성하고 사용하여 개별 조사 결과에 의해 보고된 민감한 데이터의 샘플을 검색하고 공개할 수 있습니다. 여기에는 Macie가 [관리형 데이터 식별자](managed-data-identifiers.md)를 사용하여 탐지한 민감한 데이터와 [사용자 지정 데이터 식별자](custom-data-identifiers.md)의 기준과 일치하는 데이터가 포함됩니다. 샘플은 영향을 받는 Amazon Simple Storage Service(S3) 객체 및 버킷에 대한 조사를 맞춤 설정하는 데 도움이 될 수 있습니다.
조사 결과의 민감한 데이터 샘플을 검색하고 공개하는 경우 Macie는 다음과 같은 일반적인 작업을 수행합니다.
1. 검색 결과에 민감한 데이터가 개별적으로 나타나는 위치와 해당하는 [민감한 데이터 검색 결과](discovery-results-repository-s3.md)의 위치가 지정되어 있는지 확인합니다.
1. 해당하는 민감한 데이터 검색 결과를 평가하여 영향을 받는 S3 객체에 대한 메타데이터의 유효성과 개체 내 민감한 데이터 발생 여부에 대한 위치 데이터를 확인합니다.
1. 는 민감한 데이터 검색 결과의 데이터를 사용하여 검색 결과 보고된 민감한 데이터 중 처음 1\$110개를 찾아 영향을 받는 S3 객체에서 각 항목의 처음 1\$1128자를 추출합니다. 검색 결과 여러 유형의 민감한 데이터가 보고되는 경우 Macie는 최대 100개 유형에 대해 이 작업을 수행합니다.
1. 지정한 AWS Key Management Service (AWS KMS) 키를 사용하여 추출된 데이터를 암호화합니다.
1. 암호화된 데이터를 캐시에 임시로 저장하고 검토할 수 있도록 데이터를 표시합니다. 데이터는 전송 및 저장 시 항상 암호화됩니다.
1. 운영 문제 해결을 위해 일시적으로 추가 보존이 필요한 경우를 제외하고 추출 및 암호화 직후 캐시에서 데이터를 영구적으로 삭제합니다.
조사 결과의 민감한 데이터 샘플을 다시 검색하여 공개하도록 선택하면 Macie는 이러한 작업을 반복하여 샘플을 찾고, 추출하고, 암호화하고, 저장하고, 최종적으로는 삭제합니다.
Macie는 사용자 계정의 Macie [서비스 연결 역할](service-linked-roles.md)을 사용하여 이러한 작업을 수행하지 않습니다. 대신 AWS Identity and Access Management (IAM) ID를 사용하거나 Macie가 계정에서 IAM 역할을 수임하도록 허용합니다. 사용자 또는 역할이 필수 리소스 및 데이터에 액세스할 수 있는 경우 조사 결과의 민감한 데이터 샘플을 검색하고 공개할 수 있으며 필요한 작업을 수행할 수 있습니다. 모든 필수 작업이 [로그인 AWS CloudTrail](macie-cloudtrail.md)됩니다.
**중요**
사용자 지정 [IAM 정책](security-iam.md)을 사용하여 이 기능에 대한 액세스를 제한하는 것이 좋습니다. 추가 액세스 제어를 위해 검색되는 민감한 데이터 샘플의 암호화 AWS KMS key 전용를 생성하고, 민감한 데이터 샘플을 검색하고 공개할 수 있어야 하는 보안 주체로만 키 사용을 제한하는 것이 좋습니다.
이 기능에 대한 액세스를 제어하는 데 사용할 수 있는 권장 사항 및 정책의 예는 **AWS 보안 블로그의 [Amazon Macie를 사용하여 S3 버킷의 민감한 데이터를 미리 보는 방법](https://aws.amazon.com/blogs/security/how-to-use-amazon-macie-to-preview-sensitive-data-in-s3-buckets/) 블로그 게시물을 참조하세요.
이 섹션의 항목에서는 검색 결과에 대한 중요 데이터 샘플을 검색하고 공개하기 위해 Macie를 구성하고 사용하는 방법을 설명합니다. 아시아 태평양(오사카) 및 이스라엘(텔아비브) 리전을 제외하고 Macie를 현재 이용할 수 있는 모든 AWS 리전 에서 이러한 작업을 수행할 수 있습니다.
**Topics**
+ [샘플 검색을 위한 구성 옵션](findings-retrieve-sd-options.md)
+ [샘플 검색을 위해 Macie 구성하기](findings-retrieve-sd-configure.md)
+ [샘플 검색](findings-retrieve-sd-proc.md)
# Macie로 민감한 데이터 샘플을 검색하기 위한 구성 옵션
Amazon Macie를 구성하고 사용하여 Macie가 개별 조사 결과에서 보고하는 민감한 데이터의 샘플을 검색하고 공개할 수 있습니다(선택 사항). 조사 결과의 민감한 데이터 샘플을 검색하여 공개하는 경우 Macie는 해당 [민감한 데이터 검색 결과](discovery-results-repository-s3.md)의 데이터를 사용하여 영향을 받는 Amazon Simple Storage Service(S3) 객체에서 민감한 데이터의 발생 위치를 찾습니다. 그런 다음, Macie는 영향을 받는 객체에서 해당 사건의 샘플을 추출합니다. Macie는 사용자가 지정한 AWS Key Management Service (AWS KMS) 키로 추출된 데이터를 암호화하고, 암호화된 데이터를 캐시에 임시로 저장하고, 조사 결과에 데이터를 반환합니다. Macie는 운영 문제 해결을 위해 일시적으로 추가 보존이 필요한 경우를 제외하고 추출 및 암호화 직후 캐시에서 데이터를 영구적으로 삭제합니다.
Macie는 사용자 계정의 [Macie 서비스 연결 역할](service-linked-roles.md)을 사용하여 영향을 받는 S3 객체에서 민감한 데이터 샘플을 찾거나, 검색하거나, 암호화하거나, 공개하지 않습니다. 대신 Macie는 사용자가 계정에 구성한 설정과 리소스를 사용합니다. Macie에서 설정을 구성하는 경우 영향을 받는 S3 객체에 액세스하는 방법을 지정하세요. 또한 샘플을 암호화하는 데 AWS KMS key 사용할를 지정합니다. 아시아 태평양(오사카) 및 이스라엘(텔아비브) 리전을 제외하고 현재 Macie를 사용할 수 AWS 리전 있는 모든에서 설정을 구성할 수 있습니다.
영향을 받는 S3 객체에 액세스하고 해당 객체에서 민감한 데이터 샘플을 검색하기 위한 두 가지 옵션이 있습니다. AWS Identity and Access Management (IAM) 사용자 자격 증명을 사용하거나 IAM 역할을 수임하도록 Macie를 구성할 수 있습니다.
+ **IAM 사용자 보안 인증 사용** - 이 옵션을 통해 계정의 각 사용자는 개별 IAM ID를 사용하여 샘플을 찾고, 검색하고, 암호화하고, 공개합니다. 즉, 사용자가 필수 리소스와 데이터에 액세스하고 필요한 작업을 수행하도록 허용되는 경우 조사 결과의 민감한 데이터 샘플을 검색하고 공개할 수 있습니다.
+ **IAM 역할 수임** - 이 옵션을 통해 Macie에 액세스 권한을 위임하는 IAM 역할을 생성합니다. 또한 역할에 대한 신뢰 및 권한 정책이 Macie의 역할 수임을 위한 모든 요구 사항을 충족하는지 확인합니다. 그런 다음 Macie는 계정 사용자가 조사 결과의 민감한 데이터 샘플을 찾고, 검색하고, 암호화하고, 공개하기로 선택할 때 해당 역할을 수임합니다.
조직의 위임된 Macie 관리자 계정, 조직의 Macie 멤버 계정, 독립 실행형 Macie 계정 등 모든 Macie 계정 유형의 각 구성을 사용할 수 있습니다.
다음 주제에서는 계정의 설정 및 리소스를 구성하는 방법을 결정하는 데 도움이 되는 옵션, 요구 사항, 고려 사항에 대해 설명합니다. 여기에는 IAM 역할에 연결할 신뢰 및 권한 정책이 포함됩니다. 민감한 데이터 샘플을 검색하고 공개하는 데 사용할 수 있는 추가 권장 사항 및 정책의 예는 **AWS 보안 블로그의 [How to use Amazon Macie to preview sensitive data in S3 buckets](https://aws.amazon.com/blogs/security/how-to-use-amazon-macie-to-preview-sensitive-data-in-s3-buckets/)를 참조하세요.
**Topics**
+ [사용할 액세스 방법 결정](#findings-retrieve-sd-options-s3access)
+ [IAM 사용자 보안 인증을 사용하여 영향을 받는 S3 객체에 액세스](#findings-retrieve-sd-options-s3access-user)
+ [영향을 받는 S3 객체에 액세스하기 위해 IAM 역할 수임](#findings-retrieve-sd-options-s3access-role)
+ [영향을 받는 S3 객체에 액세스하도록 IAM 역할 구성](#findings-retrieve-sd-options-s3access-role-configuration)
+ [영향을 받는 S3 객체 암호 해독](#findings-retrieve-sd-options-decrypt)
## 사용할 액세스 방법 결정
AWS 환경에 가장 적합한 구성을 결정할 때 중요한 고려 사항은 환경에 조직으로 중앙에서 관리되는 여러 Amazon Macie 계정이 포함되어 있는지 여부입니다. 조직의 위임된 Macie 관리자인 경우 IAM 역할을 수임하도록 Macie를 구성하면 조직 계정의 영향을 받는 S3 객체에서 민감한 데이터 샘플을 효율적으로 검색할 수 있습니다. 이 접근 방식을 사용하면 관리자 계정에 IAM 역할을 생성할 수 있습니다. 또한 해당하는 각 멤버 계정에 IAM 역할을 생성합니다. 관리자 계정의 역할은 Macie에 액세스 권한을 위임합니다. 멤버 계정의 역할은 관리자 계정의 역할에 크로스 계정 액세스 권한을 위임합니다. 구현되면 역할 체인을 사용하여 멤버 계정의 영향을 받는 S3 객체에 액세스할 수 있습니다.
또한 기본적으로 개별 조사 결과에 직접 액세스할 수 있는 사람이 누구인지도 고려합니다. 조사 결과의 민감한 데이터 샘플을 검색하고 공개하려면 사용자에게 먼저 조사 결과에 대한 액세스 권한이 있어야 합니다.
+ **민감한 데이터 검색 작업** – 작업을 생성한 계정만 해당 작업이 생성한 조사 결과에 액세스할 수 있습니다. Macie 관리자 계정인 경우 조직 내 모든 계정의 S3 버킷에 있는 객체를 분석하도록 작업을 구성할 수 있습니다. 따라서 작업을 통해 멤버 계정이 소유한 버킷의 객체에 대한 조사 결과가 생성될 수 있습니다. 멤버 계정이나 독립 실행형 Macie 계정이 있는 경우 해당 계정이 소유한 버킷의 객체만 분석하도록 작업을 구성할 수 있습니다.
+ **자동화된 민감한 데이터 검색** – Macie 관리자 계정만 조직의 계정을 대상으로 자동화된 검색이 생성하는 조사 결과에 액세스할 수 있습니다. 멤버 계정은 이러한 조사 결과에 액세스할 수 없습니다. 독립 실행형 Macie 계정인 경우 본인의 계정을 대상으로만 자동 검색이 생성하는 조사 결과에 액세스할 수 있습니다.
IAM 역할을 사용하여 영향을 받는 S3 객체에 액세스하려는 경우 다음 사항도 고려하세요.
+ 객체에서 민감한 데이터의 발생 위치를 찾으려면 조사 결과의 해당하는 민감한 데이터 검색 결과를 Macie가 해시 기반 메시지 인증 코드(HMAC) AWS KMS key로 서명한 S3 객체에 저장해야 합니다. Macie는 민감한 데이터 검색 결과의 무결성과 신뢰성을 확인할 수 있어야 합니다. 그러지 않으면 Macie가 민감한 데이터 샘플을 검색하는 IAM 역할을 수임하지 않습니다. 이는 계정의 S3 객체에 있는 데이터에 대한 액세스를 제한하기 위한 추가 가드레일입니다.
+ 고객 관리형으로 암호화된 객체에서 민감한 데이터 샘플을 검색하려면 IAM 역할 AWS KMS key이 키를 사용하여 데이터를 복호화할 수 있어야 합니다. 더 구체적으로 말하면 키 정책은 역할이 `kms:Decrypt` 작업을 수행할 수 있도록 허용해야 합니다. 다른 서버측 암호화 유형의 경우 영향을 받는 객체를 해독하는 데 추가 권한이나 리소스가 필요하지 않습니다. 자세한 내용은 [영향을 받는 S3 객체 암호 해독](#findings-retrieve-sd-options-decrypt) 섹션을 참조하세요.
+ 다른 계정의 객체에서 민감한 데이터 샘플을 검색하려면 현재 해당 AWS 리전의 계정에 대해 위임된 Macie 관리자여야 합니다. 또한 다음과 같습니다.
+ 현재 해당 리전의 멤버 계정에 대해 Macie가 활성화되어 있어야 합니다.
+ 멤버 계정에는 Macie 관리자 계정의 IAM 역할에 크로스 계정 액세스 권한을 위임하는 IAM 역할이 있어야 합니다. 역할의 이름은 Macie 관리자 계정과 멤버 계정에서 동일해야 합니다.
+ 멤버 계정의 IAM 역할에 대한 신뢰 정책에는 구성에 맞는 올바른 외부 ID를 지정하는 조건이 포함되어야 합니다. 이 ID는 Macie 관리자 계정의 설정을 구성한 후 Macie에서 자동으로 생성하는 고유한 영숫자 문자열입니다. 신뢰 정책에서 외부 IDs 사용하는 방법에 대한 자세한 내용은 *AWS Identity and Access Management 사용 설명서*의 [타사가 AWS 계정 소유한에 대한 액세스를](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) 참조하세요.
+ 멤버 계정의 IAM 역할이 모든 Macie 요구 사항을 충족하는 경우 해당 계정의 객체에서 민감한 데이터 샘플을 검색하기 위해 멤버 계정에서 Macie 설정을 구성하고 활성화할 필요가 없습니다. Macie는 Macie 관리자 계정의 설정 및 IAM 역할과 멤버 계정의 IAM 역할만 사용합니다.
**작은 정보**
계정이 대규모 조직에 속해 있는 경우 AWS CloudFormation 템플릿 및 스택 세트를 사용하여 조직의 멤버 계정에 대한 IAM 역할을 프로비저닝하고 관리하는 것을 고려하세요. 템플릿과 스택 세트를 생성하고 사용하는 방법에 대한 자세한 내용은 [AWS CloudFormation 사용 설명서](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)를 참조하세요.
시작점으로 사용할 수 있는 CloudFormation 템플릿을 검토하고 선택적으로 다운로드하려면 Amazon Macie 콘솔을 사용하면 됩니다. 콘솔의 탐색 창에 있는 **설정**에서 **샘플 표시**를 선택합니다. **편집**을 선택한 다음 **멤버 역할 권한 및 CloudFormation 템플릿 보기**를 선택합니다.
이 섹션의 다음 주제에서는 각 구성 유형의 추가 세부 정보와 고려 사항에 대해 설명합니다. IAM 역할의 경우 여기에는 역할에 연결할 신뢰 및 권한 정책이 포함됩니다. 환경에 가장 적합한 구성 유형을 잘 모르는 경우 AWS 관리자에게 도움을 요청하세요.
## IAM 사용자 보안 인증을 사용하여 영향을 받는 S3 객체에 액세스
IAM 사용자 보안 인증을 사용하여 민감한 데이터 샘플을 검색하도록 Amazon Macie를 구성하는 경우 Macie 계정의 각 사용자는 IAM ID를 사용하여 개별 조사 결과에 대한 샘플을 찾고, 검색하고, 암호화하고, 공개합니다. 즉, 사용자의 IAM ID가 필수 리소스와 데이터에 액세스하고 필요한 작업을 수행하도록 허용된 경우 조사 결과의 민감한 데이터 샘플을 검색하고 공개할 수 있습니다. 모든 필수 조치가 [로그인 AWS CloudTrail](macie-cloudtrail.md)되어 있습니다.
특정 조사 결과의 민감한 데이터 샘플을 검색하고 공개하려면 사용자에게 조사 결과, 해당 민감한 데이터의 검색 결과, 영향을 받은 S3 버킷, 영향을 받은 S3 객체 등의 데이터와 리소스에 액세스할 수 있는 권한이 있어야 합니다. 또한 해당하는 경우 영향을 받는 객체를 암호화하는 데 AWS KMS key 사용된와 민감한 데이터 샘플을 암호화하는 데 사용하도록 Macie를 AWS KMS key 구성하는를 사용할 수 있어야 합니다. IAM 정책, 리소스 정책 또는 기타 권한 설정이 필수 액세스를 거부하는 경우 사용자는 조사 결과의 샘플을 검색하거나 공개할 수 없습니다.
이러한 유형의 구성을 설정하려면 다음과 같은 일반적인 작업을 완료하세요.
1. 민감한 데이터 검색 결과의 리포지토리를 구성했는지 확인합니다.
1. 민감한 데이터 샘플의 암호화에 사용하도록 AWS KMS key 를 구성합니다.
1. Macie에서 설정을 구성하기 위한 권한을 확인합니다.
1. Macie에서 설정을 구성하고 활성화합니다.
이러한 작업 수행에 대한 자세한 내용은 [민감한 데이터 샘플을 검색하도록 Macie 구성](findings-retrieve-sd-configure.md) 섹션을 참조하세요.
## 영향을 받는 S3 객체에 액세스하기 위해 IAM 역할 수임
IAM 역할을 수임하여 민감한 데이터 샘플을 검색하도록 Amazon Macie를 구성하려면 먼저 Amazon Macie에 액세스 권한을 위임하는 IAM 역할을 만듭니다. 역할에 대한 신뢰 및 권한 정책이 Macie의 역할 수임을 위한 모든 요구 사항을 충족하는지 확인합니다. Macie 계정 사용자가 조사 결과의 민감한 데이터 샘플을 검색하고 공개하도록 선택하면 Macie는 영향을 받은 S3 객체에서 샘플을 검색하는 역할을 수임합니다. Macie는 사용자가 조사 결과의 샘플을 검색하고 공개하도록 선택한 경우에만 역할을 수임합니다. 역할을 수임하기 위해 Macie는 AWS Security Token Service (AWS STS) API의 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) 작업을 사용합니다. 모든 필수 작업이 [로그인 AWS CloudTrail](macie-cloudtrail.md)됩니다.
특정 조사 결과에 대한 민감한 데이터 샘플을 검색하고 공개하려면 사용자가 조사 결과, 해당 민감한 데이터 검색 결과 및 민감한 데이터 샘플을 암호화하는 데 사용하도록 Macie를 구성 AWS KMS key 한에 액세스할 수 있어야 합니다. IAM 역할은 Macie가 영향을 받는 S3 버킷 및 영향을 받는 S3 객체에 액세스할 수 있도록 허용해야 합니다. 해당하는 경우 해당 역할은 영향을 받는 객체를 암호화하는 데 AWS KMS key 사용된 도 사용할 수 있어야 합니다. IAM 정책, 리소스 정책 또는 기타 권한 설정이 필수 액세스를 거부하는 경우 사용자는 조사 결과의 샘플을 검색하거나 공개할 수 없습니다.
이러한 유형의 구성을 설정하려면 다음과 같은 일반적인 작업을 완료하세요. 조직의 멤버 계정인 경우 Macie 관리자와 함께 계정의 설정 및 리소스 구성 여부와 구성 방법을 결정합니다.
1. 다음을 정의합니다.
+ Macie에 수임할 IAM 역할의 이름 계정이 조직에 속해 있는 경우 이 이름은 위임된 Macie 관리자 계정과 조직의 각 해당 멤버 계정에 대해 동일해야 합니다. 그러지 않으면 Macie 관리자는 해당 멤버 계정의 영향을 받는 S3 객체에 액세스할 수 없습니다.
+ IAM 역할에 연결할 IAM 권한 정책의 이름 계정이 조직에 속해 있는 경우 조직의 각 해당 멤버 계정에 대해 동일한 정책 이름을 사용하는 것이 좋습니다. 이를 통해 멤버 계정의 역할 프로비저닝 및 관리를 간소화할 수 있습니다.
1. 민감한 데이터 검색 결과의 리포지토리를 구성했는지 확인합니다.
1. 민감한 데이터 샘플의 암호화에 사용하도록 AWS KMS key 를 구성합니다.
1. Macie에서 IAM 역할을 생성하고 설정을 구성하기 위한 권한을 확인합니다.
1. 조직의 위임된 Macie 관리자이거나 독립 실행형 Macie 계정인 경우:
1. 계정에 대한 IAM 역할을 생성하고 구성합니다. 역할에 대한 신뢰 및 권한 정책이 Macie의 역할 수임을 위한 모든 요구 사항을 충족하는지 확인합니다. 이러한 요구 사항에 대한 자세한 내용은 [다음 주제](#findings-retrieve-sd-options-s3access-role-configuration)를 참조하세요.
1. Macie에서 설정을 구성하고 활성화합니다. 그러면 Macie가 구성을 위한 외부 ID를 생성합니다. 조직의 Macie 관리자인 경우 이 ID를 기록해 두세요. 해당되는 각 멤버 계정의 IAM 역할에 대한 신뢰 정책에 이 ID가 지정되어 있어야 합니다.
1. 조직의 멤버 계정인 경우:
1. 계정의 IAM 역할에 대한 신뢰 정책에 지정할 외부 ID를 Macie 관리자에게 요청하세요. 또한 생성할 IAM 역할 및 권한 정책의 이름을 확인합니다.
1. 계정에 대한 IAM 역할을 생성하고 구성합니다. 역할에 대한 신뢰 및 권한 정책이 Macie 관리자가 역할을 수임하는 데 필요한 모든 요구 사항을 충족하는지 확인합니다. 이러한 요구 사항에 대한 자세한 내용은 [다음 주제](#findings-retrieve-sd-options-s3access-role-configuration)를 참조하세요.
1. (선택 사항) 사용자 계정의 영향을 받는 S3 객체에서 민감한 데이터 샘플을 검색하고 공개하려면 Macie에서 설정을 구성하고 활성화합니다. Macie가 IAM 역할을 수임하여 샘플을 검색하도록 하려면 먼저 계정에서 추가 IAM 역할을 생성하고 구성합니다. 이 추가적인 역할에 대한 신뢰 및 권한 정책이 Macie의 역할 수임을 위한 모든 요구 사항을 충족하는지 확인합니다. 그런 다음 Macie에서 설정을 구성하고 추가 역할의 이름을 지정합니다. 역할의 정책 요구 사항에 대한 자세한 내용은 [다음 주제](#findings-retrieve-sd-options-s3access-role-configuration)를 참조하세요.
이러한 작업 수행에 대한 자세한 내용은 [민감한 데이터 샘플을 검색하도록 Macie 구성](findings-retrieve-sd-configure.md) 섹션을 참조하세요.
## 영향을 받는 S3 객체에 액세스하도록 IAM 역할 구성
IAM 역할을 사용하여 영향을 받는 S3 객체에 액세스하려면 먼저 Amazon Macie에 액세스 권한을 위임하는 역할을 생성하고 구성합니다. 역할에 대한 신뢰 및 권한 정책이 Macie의 역할 수임을 위한 모든 요구 사항을 충족하는지 확인합니다. 이 작업을 수행하는 방법은 보유하고 있는 Macie 계정의 유형에 따라 다릅니다.
다음 섹션에서는 각 Macie 계정 유형의 IAM 역할에 연결할 신뢰 및 권한 정책에 대해 자세히 설명합니다. 보유한 계정 유형에 해당하는 섹션을 선택하세요.
**참고**
조직의 멤버 계정인 경우 계정에 2개의 IAM 역할을 생성하고 구성해야 할 수도 있습니다.
Macie 관리자가 계정의 영향을 받는 S3 객체에서 민감한 데이터 샘플을 검색하고 공개할 수 있도록 허용하려면 관리자 계정이 수임할 수 있는 역할을 생성하고 구성합니다. 자세한 내용을 보려면 **Macie 멤버 계정** 섹션을 선택합니다.
본인 계정의 영향을 받은 S3 객체에서 민감한 데이터 샘플을 검색하고 공개하려면 Macie가 수임할 수 있는 역할을 생성하고 구성합니다. 자세한 내용을 보려면 **독립 실행형 Macie 계정** 섹션을 선택합니다.
IAM 역할을 생성하고 구성하기 전에 Macie 관리자와 함께 계정에 적합한 구성을 결정합니다.
IAM을 사용하여 역할을 생성하는 방법에 대한 자세한 내용은 **AWS Identity and Access Management 사용 설명서의 [사용자 지정 신뢰 정책을 사용하여 역할 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html)을 참조하세요.
### Macie 관리자 계정
조직의 위임된 Macie 관리자인 경우 먼저 IAM 정책 편집기를 사용하여 IAM 역할에 대한 권한 정책을 생성합니다. 정책은 다음과 같아야 합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RetrieveS3Objects",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"*"
]
},
{
"Sid": "AssumeMacieRevealRoleForCrossAccountAccess",
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Resource": "arn:aws:iam::*:role/IAMRoleName"
}
]
}
```
------
여기서 *IAMRoleName*은 조직 내 계정의 영향을 받는 S3 객체에서 민감한 데이터 샘플을 검색할 때 Macie가 수임할 IAM 역할의 이름입니다. 이 값을 자신의 계정 또는 조직의 해당 멤버 계정에 대해 생성할 계획인 역할의 이름으로 바꿉니다. 이 이름은 Macie 관리자 계정과 해당하는 각 멤버 계정에서 동일해야 합니다.
**참고**
앞의 권한 정책에서 첫 번째 문의 `Resource` 요소는 와일드카드 문자()를 사용합니다`*`. 이를 통해 연결된 IAM 엔터티는 조직이 소유한 모든 S3 버킷에서 객체를 검색할 수 있습니다. 특정 버킷에 대해서만 이 액세스를 허용하려면 와일드카드 문자를 각 버킷의 Amazon 리소스 이름(ARN)으로 바꿉니다. 예를 들어 **amzn-s3-demo-bucket1이라는 버킷의 객체에만 액세스를 허용하려면 요소를 다음과 같이 바꿉니다.
`"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*"`
개별 계정의 특정 S3 버킷에 있는 객체에 대한 액세스를 제한할 수도 있습니다. 이렇게 하려면 각 해당 계정의 IAM 역할에 대한 권한 정책에서 `Resource` 요소에 버킷 ARN을 지정합니다. 자세한 내용과 예제는 **AWS Identity and Access Management 사용 설명서의 [IAM JSON 정책 요소: Resource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html)를 참조하세요.
IAM 역할에 대한 권한 정책을 생성한 후 역할을 생성하고 구성합니다. IAM 콘솔을 사용하여 이 작업을 수행하는 경우 역할에 대한 **신뢰할 수 있는 엔터티 유형**으로 **사용자 지정 신뢰 정책**을 선택합니다. 역할에 대해 신뢰할 수 있는 엔터티를 정의하는 신뢰 정책의 경우 다음을 지정합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowMacieReveal",
"Effect": "Allow",
"Principal": {
"Service": "reveal-samples.macie.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
}
}
}
]
}
```
------
여기서 *111122223333*은의 계정 ID입니다 AWS 계정. 이 값을 12자리 계정 ID로 바꿉니다.
앞의 신뢰 정책에서:
+ `Principal` 요소는 영향을 받는 S3 개체인 `reveal-samples.macie.amazonaws.com`에서 민감한 데이터 샘플을 검색할 때 Macie가 사용하는 서비스 주체를 지정합니다.
+ `Action` 요소는 서비스 보안 주체가 수행할 수 있는 작업인 AWS Security Token Service (AWS STS) API의 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) 작업을 지정합니다.
+ `Condition` 요소는 [aws:SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) 전역 조건 컨텍스트 키를 사용하는 조건을 정의합니다. 이 조건에 따라 지정된 작업을 수행할 수 있는 계정이 결정됩니다. 이 경우 Macie가 지정된 계정에 대해서만 역할을 수임할 수 있습니다. 조건은 Macie가 트랜잭션 중에 [혼동된 대리](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)자로 사용되는 것을 방지하는 데 도움이 됩니다 AWS STS.
IAM 역할에 대한 신뢰 정책을 정의한 후 권한 정책을 역할에 연결합니다. 이 권한 정책은 역할 생성을 시작하기 전에 생성한 권한 정책이어야 합니다. 그런 다음 IAM의 나머지 단계를 완료하여 역할 생성 및 구성을 완료합니다. 완료하면 [Macie에서 설정을 구성하고 활성화](findings-retrieve-sd-configure.md)합니다.
### Macie 멤버 계정
Macie 멤버 계정이고 Macie 관리자가 계정의 영향을 받는 S3 객체에서 민감한 데이터 샘플을 검색하여 공개할 수 있도록 허용하려면 먼저 Macie 관리자에게 다음 정보를 요청합니다.
+ 생성하려는 IAM 역할의 이름 사용자 계정의 이름과 조직의 Macie 관리자 계정 이름이 동일해야 합니다.
+ 역할에 연결할 IAM 권한 정책의 이름
+ 역할에 대한 신뢰 정책에 지정할 외부 ID 이 ID는 Macie 관리자 구성을 위해 Macie에서 생성한 외부 ID여야 합니다.
이 정보를 받은 후 IAM 정책 편집기를 사용하여 역할에 대한 권한 정책을 생성합니다. 정책은 다음과 같아야 합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RetrieveS3Objects",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"*"
]
}
]
}
```
------
앞의 권한 정책은 연결된 IAM 엔터티가 계정의 모든 S3 버킷에서 객체를 검색하도록 허용합니다. 이는 정책의 `Resource` 요소가 와일드카드 문자()를 사용하기 때문입니다`*`. 특정 버킷에 대해서만 이 액세스를 허용하려면 와일드카드 문자를 각 버킷의 Amazon 리소스 이름(ARN)으로 바꿉니다. 예를 들어 **amzn-s3-demo-bucket2이라는 버킷의 객체에만 액세스를 허용하려면 요소를 다음과 같이 바꿉니다.
`"Resource": "arn:aws:s3:::amzn-s3-demo-bucket2/*"`
자세한 내용과 예제는 **AWS Identity and Access Management 사용 설명서의 [IAM JSON 정책 요소: Resource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html)를 참조하세요.
IAM 역할에 대한 권한 정책을 생성한 후 역할을 생성합니다. IAM 콘솔을 사용하여 역할을 생성하는 경우 역할의 **신뢰할 수 있는 엔터티 유형**으로 **사용자 지정 신뢰 정책**을 선택합니다. 역할에 대해 신뢰할 수 있는 엔터티를 정의하는 신뢰 정책의 경우 다음을 지정합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowMacieAdminRevealRoleForCrossAccountAccess",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/IAMRoleName"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": "externalID",
"aws:PrincipalOrgID": "${aws:ResourceOrgID}"
}
}
}
]
}
```
------
앞의 정책에서 자리 표시자 값을 AWS 환경에 맞는 올바른 값으로 바꿉니다. 여기서:
+ *111122223333*은 Macie 관리자 계정의 12자리 계정 ID입니다.
+ *IAMRoleName*은 Macie 관리자 계정의 IAM 역할 이름입니다. 이는 Macie 관리자로부터 받은 이름이어야 합니다.
+ *externalID*는 Macie 관리자로부터 받은 외부 ID입니다.
일반적으로 신뢰 정책을 통해 Macie 관리자는 계정의 영향을 받는 S3 객체에서 민감한 데이터 샘플을 검색하고 공개하는 역할을 수임할 수 있습니다. `Principal` 요소는 Macie 관리자 계정에 있는 IAM 역할의 ARN을 지정합니다. 이 역할은 Macie 관리자가 조직 내 계정의 민감한 데이터 샘플을 검색하고 공개하는 데 사용하는 역할입니다. `Condition` 블록은 역할을 수임할 수 있는 사람을 추가로 결정하는 2가지 조건을 정의합니다.
+ 첫 번째 조건은 조직의 구성에 고유한 외부 ID를 지정합니다. 외부 IDs 대한 자세한 내용은 *AWS Identity and Access Management 사용 설명서*의 [타사가 AWS 계정 소유한에 대한 액세스를](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) 참조하세요.
+ 두 번째 조건은 [aws:PrincipalOrgID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) 전역 조건 컨텍스트 키를 사용합니다. 키 값은 AWS Organizations ()의 조직에 대한 고유 식별자를 나타내는 동적 변수입니다`${aws:ResourceOrgID}`. 이 조건은 AWS Organizations에서 동일한 조직에 속한 계정으로만 액세스를 제한합니다. Macie에서 초대를 수락하여 조직에 가입한 경우 정책에서 이 조건을 제거합니다.
IAM 역할에 대한 신뢰 정책을 정의한 후 권한 정책을 역할에 연결합니다. 이 권한 정책은 역할 생성을 시작하기 전에 생성한 권한 정책이어야 합니다. 그런 다음 IAM의 나머지 단계를 완료하여 역할 생성 및 구성을 완료합니다. Macie에서 역할의 설정을 구성하고 입력하지 마세요.
### 독립 실행형 Macie 계정
독립 실행형 Macie 계정 또는 Macie 멤버 계정이고 본인 계정의 영향을 받는 S3 객체에서 민감한 데이터 샘플을 검색하고 공개하려면 먼저 IAM 정책 편집기를 사용하여 IAM 역할에 대한 권한 정책을 생성합니다. 정책은 다음과 같아야 합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RetrieveS3Objects",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"*"
]
}
]
}
```
------
앞의 권한 정책에서 `Resource` 요소는 와일드카드 문자()를 사용합니다`*`. 이를 통해 연결된 IAM 엔터티는 사용자 계정의 모든 S3 버킷에서 객체를 검색할 수 있습니다. 특정 버킷에 대해서만 이 액세스를 허용하려면 와일드카드 문자를 각 버킷의 Amazon 리소스 이름(ARN)으로 바꿉니다. 예를 들어 **amzn-s3-demo-bucket3이라는 버킷의 객체에만 액세스를 허용하려면 요소를 다음과 같이 바꿉니다.
`"Resource": "arn:aws:s3:::amzn-s3-demo-bucket3/*"`
자세한 내용과 예제는 **AWS Identity and Access Management 사용 설명서의 [IAM JSON 정책 요소: Resource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html)를 참조하세요.
IAM 역할에 대한 권한 정책을 생성한 후 역할을 생성합니다. IAM 콘솔을 사용하여 역할을 생성하는 경우 역할의 **신뢰할 수 있는 엔터티 유형**으로 **사용자 지정 신뢰 정책**을 선택합니다. 역할에 대해 신뢰할 수 있는 엔터티를 정의하는 신뢰 정책의 경우 다음을 지정합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowMacieReveal",
"Effect": "Allow",
"Principal": {
"Service": "reveal-samples.macie.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "999999999999"
}
}
}
]
}
```
------
여기서 *999999999999*은의 계정 ID입니다 AWS 계정. 이 값을 12자리 계정 ID로 바꿉니다.
앞의 신뢰 정책에서:
+ `Principal` 요소는 영향을 받는 S3 객체인 `reveal-samples.macie.amazonaws.com`에서 민감한 데이터 샘플을 검색하고 공개할 때 Macie가 사용하는 서비스 주체를 지정합니다.
+ `Action` 요소는 서비스 보안 주체가 수행할 수 있는 작업인 AWS Security Token Service (AWS STS) API의 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) 작업을 지정합니다.
+ `Condition` 요소는 [aws:SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) 전역 조건 컨텍스트 키를 사용하는 조건을 정의합니다. 이 조건에 따라 지정된 작업을 수행할 수 있는 계정이 결정됩니다. 이를 통해 Macie는 지정된 계정에 대해서만 역할을 수임할 수 있습니다. 이 조건은 Macie가 트랜잭션 중에 [혼동된 대리](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)자로 사용되는 것을 방지하는 데 도움이 됩니다 AWS STS.
IAM 역할에 대한 신뢰 정책을 정의한 후 권한 정책을 역할에 연결합니다. 이 권한 정책은 역할 생성을 시작하기 전에 생성한 권한 정책이어야 합니다. 그런 다음 IAM의 나머지 단계를 완료하여 역할 생성 및 구성을 완료합니다. 완료하면 [Macie에서 설정을 구성하고 활성화](findings-retrieve-sd-configure.md)합니다.
## 영향을 받는 S3 객체 암호 해독
Amazon S3는 S3 객체에 대한 여러 암호화 옵션을 지원합니다. 이러한 옵션의 대부분은 영향을 받는 객체에서 민감한 데이터 샘플을 해독하고 검색하는 데 IAM 사용자나 역할에 추가 리소스나 권한이 필요하지 않습니다. 이는 Amazon S3 관리형 키 또는 AWS 관리형 AWS KMS key를 사용한 서버측 암호화를 사용하여 암호화된 객체의 경우입니다.
그러나 S3 객체가 고객 관리형으로 암호화된 경우 객체에서 민감한 데이터 샘플을 복호화하고 검색하려면 AWS KMS key추가 권한이 필요합니다. 더 구체적으로 말하면 KMS 키에 대한 키 정책은 IAM 사용자 또는 역할이 `kms:Decrypt` 작업을 수행할 수 있도록 허용해야 합니다. 그렇지 않으면 오류가 발생하고 Amazon Macie가 객체에서 샘플을 검색하지 않습니다. IAM 사용자에게 이 액세스 권한을 제공하는 방법에 대한 자세한 내용은 **AWS Key Management Service 개발자 안내서의 [KMS key access and permissions](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html)를 참조하세요.
IAM 역할에이 액세스를 제공하는 방법은를 소유한 계정이 역할을 AWS KMS key 소유하는지 여부에 따라 달라집니다.
+ 동일한 계정이 KMS 키와 역할을 소유한 경우 해당 계정의 사용자가 키 정책을 업데이트해야 합니다.
+ 한 계정이 KMS 키를 소유하고 다른 계정이 역할을 소유한 경우 키를 소유한 계정의 사용자는 키에 대한 크로스 계정 액세스를 허용해야 합니다.
이 주제에서는 S3 객체에서 민감한 데이터 샘플을 검색하기 위해 만든 IAM 역할에 대해 이러한 작업을 수행하는 방법에 대해 설명합니다. 또한 두 시나리오에 대한 예도 제공합니다. 다른 시나리오에서 고객 관리형에 대한 액세스를 허용하는 방법에 AWS KMS keys 대한 자세한 내용은 *AWS Key Management Service 개발자 안내서*의 [KMS 키 액세스 및 권한을](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html) 참조하세요.
### 고객 관리형 키에 대한 동일 계정 액세스 허용
동일한 계정이 AWS KMS key 및 IAM 역할을 모두 소유한 경우 계정의 사용자는 키 정책에 문을 추가해야 합니다. 추가 문은 IAM 역할이 키를 사용하여 데이터를 해독할 수 있도록 허용해야 합니다. 키 정책을 수정하는 방법에 대한 자세한 내용은 *AWS Key Management Service 개발자 안내서*의 [키 정책 변경](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html)을 참조하세요.
성명문에서:
+ `Principal` 요소는 IAM 역할의 Amazon 리소스 이름(ARN)을 지정해야 합니다.
+ `Action` 배열은 `kms:Decrypt` 작업을 지정해야 합니다. 이는 IAM 역할이 키로 암호화된 객체를 복호화하기 위해 수행할 수 있어야 하는 유일한 AWS KMS 작업입니다.
다음은 KMS 키 정책에 추가할 수 있는 성명문의 예입니다.
```
{
"Sid": "Allow the Macie reveal role to use the key",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/IAMRoleName"
},
"Action": [
"kms:Decrypt"
],
"Resource": "*"
}
```
이전 예제에서:
+ `Principal` 요소의 `AWS` 필드는 계정에 있는 IAM 역할의 ARN을 지정합니다. 이를 통해 역할이 정책 문에 지정된 작업을 수행할 수 있습니다. *123456789012*는 계정 ID의 예입니다. 이 값을 역할을 소유한 계정의 계정 ID 및 KMS 키로 바꿉니다. *IAMRoleName*은 예시 이름입니다. 이 값을 계정에 있는 IAM 역할의 이름으로 바꿉니다.
+ `Action` 배열은 키로 암호화된 KMS 키-암호 해독 사이퍼텍스트를 사용하여 IAM 역할이 수행할 수 있는 작업을 지정합니다.
이 성명문을 키 정책에 추가하는 위치는 정책에 현재 포함되어 있는 구조 및 요소에 따라 달라집니다. 정책에 성명문을 추가할 때 구문이 올바른지 확인합니다. 키 정책은 JSON 형식입니다. 즉, 정책에 성명문을 추가하는 위치에 따라 명령문 앞이나 뒤에 쉼표를 추가해야 합니다.
### 고객 관리형 키에 대한 크로스 계정 액세스 허용
한 계정이 AWS KMS key (*키 소유자*)를 소유하고 다른 계정이 IAM 역할(*역할 소유자*)을 소유하는 경우 키 소유자는 역할 소유자에게 키에 대한 교차 계정 액세스 권한을 제공해야 합니다. 이를 위한 한 가지 방법은 권한 부여를 사용하는 것입니다. *권한 부여*는 AWS 보안 주체가 암호화 작업에서 KMS 키를 사용할 수 있도록 하는 정책 도구입니다. 권한 부여에 대해 자세히 알아보려면 *AWS Key Management Service 개발자 안내서*의 [AWS KMS권한 부여](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)를 참조하세요.
이 접근 방식을 사용하면 키 소유자는 먼저 키의 정책에서 역할 소유자가 키에 대한 권한을 만들 수 있도록 허용하는지 확인합니다. 그러면 역할 소유자가 키에 대한 권한 부여를 생성합니다. 권한을 부여하면 계정의 IAM 역할에 관련 권한이 위임됩니다. 이 키를 사용하면 역할이 키로 암호화된 S3 객체를 해독할 수 있습니다.
**1단계: 키 정책 업데이트**
키 정책에서 키 소유자는 역할 소유자가 자신(역할 소유자) 계정에서 IAM 역할에 대한 권한 부여를 생성할 수 있도록 허용하는 문이 정책에 포함되어 있는지 확인해야 합니다. 이 문에서 `Principal` 요소는 역할 소유자 계정의 ARN을 지정해야 합니다. `Action` 배열은 `kms:CreateGrant` 작업을 지정해야 합니다. `Condition` 블록은 지정된 작업에 대한 액세스를 필터링할 수 있습니다. 다음은 KMS 키를 위한 정책 안의 성명문의 예입니다.
```
{
"Sid": "Allow a role in an account to create a grant",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:GranteePrincipal": "arn:aws:iam::111122223333:role/IAMRoleName"
},
"ForAllValues:StringEquals": {
"kms:GrantOperations": "Decrypt"
}
}
}
```
이전 예제에서:
+ `Principal` 요소의 `AWS` 필드는 역할 소유자 계정의 ARN을 지정합니다. 계정에서 정책 정책에 지정된 작업을 수행할 수 있도록 허용합니다. *111122223333*은 계정 ID의 예입니다. 이 값을 역할 소유자 계정의 계정 ID로 바꿉니다.
+ `Action` 배열은 역할 소유자가 KMS 키에 대해 수행할 수 있는 작업(키에 대한 권한 부여 생성)을 지정합니다.
+ `Condition` 블록은 [조건 연산자](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)와 다음 조건 키를 사용하여 역할 소유자가 KMS 키에 대해 수행할 수 있는 작업에 대한 액세스를 필터링합니다.
+ [kms:GranteePrincipal](https://docs.aws.amazon.com/kms/latest/developerguide/conditions-kms.html#conditions-kms-grantee-principal) - 이 조건을 사용하면 역할 소유자는 자신의 계정에 있는 IAM 역할의 ARN인 지정된 피부여자 보안 주체에 대해서만 권한 부여를 생성할 수 있습니다. 해당 ARN에서 *111122223333은* 예시계정 ID입니다. 이 값을 역할 소유자 계정의 계정 ID로 바꿉니다. *IAMRoleName*은 예시 이름입니다. 이 값을 역할 소유자의 계정에 있는 IAM 역할의 이름으로 바꿉니다.
+ [kms:GrantOperations](https://docs.aws.amazon.com/kms/latest/developerguide/conditions-kms.html#conditions-kms-grant-operations) –이 조건을 사용하면 역할 소유자가 작업을 수행할 AWS KMS `Decrypt` 수 있는 권한(키로 암호화된 암호 텍스트 해독)을 위임할 수 있는 권한만 생성할 수 있습니다. 이는 역할 소유자가 KMS 키에 대해 다른 작업을 수행할 수 있는 권한을 위임하는 권한을 만들지 못하도록 합니다. `Decrypt` 작업은 IAM 역할이 키로 암호화된 객체를 해독하기 위해 수행해야 하는 유일한 AWS KMS 작업입니다.
키 소유자가 키 정책에 이 문을 추가하는 위치는 현재 정책에 포함된 구조와 요소에 따라 달라집니다. 키 소유자가 성명문을 추가할 때, 구문이 유효한지 확인해야 합니다. 키 정책은 JSON 형식입니다. 이는 키 소유자가 정책에 성명문을 정책에 추가하는 위치에 따라 성명문 앞이나 뒤에 쉼표를 추가해야 합니다. 키 정책을 수정하는 방법에 대한 자세한 내용은 *AWS Key Management Service 개발자 안내서*의 [키 정책 변경](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html)을 참조하세요.
**2단계: 권한 부여 생성**
키 소유자가 필요에 따라 키 정책을 업데이트하면 역할 소유자가 키에 대한 권한 부여를 생성합니다. 이 권한을 부여하면 해당 권한은 (역할 소유자의) 계정에 있는 IAM 역할에 위임됩니다. 역할 소유자는 권한을 생성하기 전에 `kms:CreateGrant` 작업을 수행하도록 허용되었는지 확인해야 합니다. 이 작업을 통해 기존 고객 관리형 AWS KMS key에 권한 부여를 추가할 수 있습니다.
권한 부여를 생성하기 위해 역할 소유자는 AWS Key Management Service API의 [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) 작업을 사용할 수 있습니다. 역할 소유자는 권한 부여를 생성할 때 필수 파라미터에 다음 값을 지정해야 합니다.
+ `KeyId` - KMS 키의 ARN KMS 키에 대한 크로스 계정 액세스의 경우 이 값은 ARN이어야 합니다. 키 ID일 수 없습니다.
+ `GranteePrincipal` - 계정에 있는 IAM 역할의 ARN 이 값은 `arn:aws:iam::111122223333:role/IAMRoleName`이여야 합니다. 여기서 *111122223333*은 역할 소유자 계정의 계정 ID이고 *IAMRoleName*은 역할의 이름입니다.
+ `Operations` - AWS KMS 복호화 작업(`Decrypt`). 이는 IAM 역할이 KMS 키로 암호화된 객체를 복호화하기 위해 수행할 수 있어야 하는 유일한 AWS KMS 작업입니다.
역할 소유자가 AWS Command Line Interface (AWS CLI)를 사용하는 경우 [create-grant](https://docs.aws.amazon.com/cli/latest/reference/kms/create-grant.html) 명령을 실행하여 권한을 생성할 수 있습니다. 다음 예에서는 이 작업을 수행하는 방법을 보여줍니다. 이 예제는 Microsoft Windows용으로 포맷되었으며 가독성을 높이기 위해 캐럿 (^) 줄 연속 문자를 사용합니다.
```
C:\> aws kms create-grant ^
--key-id arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab ^
--grantee-principal arn:aws:iam::111122223333:role/IAMRoleName ^
--operations "Decrypt"
```
위치:
+ `key-id`권한 부여를 적용할 KMS 키의 ARN을 지정합니다.
+ `grantee-principal`은 권한 부여로 지정된 작업을 수행할 수 있는 IAM 역할의 ARN을 지정합니다. 이 값은 키 정책의 `kms:GranteePrincipal` 조건에 지정된 ARN과 일치해야 합니다.
+ `operations`는 지정된 주체가 이 권한으로 수행할 수 있는 작업, 즉 키를 사용하여 암호화된 사이퍼텍스트를 해독하는 작업을 지정합니다.
이 명령이 성공적으로 실행되면 다음과 비슷한 출력이 표시됩니다.
```
{
"GrantToken": "",
"GrantId": "1a2b3c4d2f5e69f440bae30eaec9570bb1fb7358824f9ddfa1aa5a0dab1a59b2"
}
```
여기서 `GrantToken`은 생성된 권한 부여를 나타내는 고유하고 암호화되지 않은 가변 길이 base64 인코딩 문자열이며 `GrantId`은 권한 부여의 고유 식별자입니다.
# 민감한 데이터 샘플을 검색하도록 Macie 구성
Amazon Macie를 구성하고 사용하여 Macie가 개별 조사 결과에서 보고하는 민감한 데이터의 샘플을 검색하고 공개할 수 있습니다(선택 사항). 샘플을 통해 Macie가 발견한 민감한 데이터의 특성을 확인할 수 있습니다. 또한 영향을 받는 Amazon Simple Storage Service(S3) 객체 및 버킷에 대한 조사를 맞춤 설정하는 데 도움이 될 수 있습니다. 아시아 태평양(오사카)및 이스라엘(텔아비브) 리전을 제외하고 Macie를 현재 이용할 수 있는 모든 AWS 리전 에서 민감한 데이터 샘플을 검색하고 공개할 수 있습니다.
조사 결과에 대한 민감한 데이터 샘플을 검색하고 공개하면, Macie는 해당하는 민감한 데이터 검색 결과의 데이터를 사용하여 영향을 받은 S3 객체의 민감한 데이터 발생 항목의 위치를 찾습니다. 그런 다음, Macie는 영향을 받는 객체에서 해당 사건의 샘플을 추출합니다. Macie는 사용자가 지정한 AWS Key Management Service (AWS KMS) 키로 추출된 데이터를 암호화하고, 암호화된 데이터를 캐시에 임시로 저장하고, 조사 결과에 데이터를 반환합니다. Macie는 운영 문제 해결을 위해 일시적으로 추가 보존이 필요한 경우를 제외하고 추출 및 암호화 직후 캐시에서 데이터를 영구적으로 삭제합니다.
조사 결과의 민감한 데이터 샘플을 검색하고 공개하려면 먼저 Macie 계정의 설정을 구성하고 활성화해야 합니다. 또한 계정에 대한 지원 리소스 및 권한을 구성해야 합니다. 이 섹션의 주제에서는 민감한 데이터 샘플을 검색하고 공개하도록 Macie를 구성하고 계정의 구성 상태를 관리하는 프로세스를 안내합니다.
**Topics**
+ [시작하기 전 준비 사항](#findings-retrieve-sd-configure-prereqs)
+ [Macie 설정 구성 및 활성화](#findings-retrieve-sd-configure-enable)
+ [Macie 설정 비활성화](#findings-retrieve-sd-configure-manage)
**작은 정보**
이 기능에 대한 액세스를 제어하는 데 사용할 수 있는 권장 사항 및 정책의 예는 **AWS 보안 블로그의 [Amazon Macie를 사용하여 S3 버킷의 민감한 데이터를 미리 보는 방법](https://aws.amazon.com/blogs/security/how-to-use-amazon-macie-to-preview-sensitive-data-in-s3-buckets/) 블로그 게시물을 참조하세요.
## 시작하기 전에
민감한 데이터 샘플을 검색하여 조사 결과를 공개하도록 Amazon Macie를 구성하기 전에 다음 작업을 완료하여 필요한 리소스와 권한이 있는지 확인하세요.
**Topics**
+ [1단계: 민감한 데이터 검색 결과를 위한 리포지토리 구성](#findings-retrieve-sd-configure-sddr)
+ [2단계: 영향을 받는 S3 객체에 액세스하는 방법 결정](#findings-retrieve-sd-configure-s3access)
+ [3단계: AWS KMS key구성](#findings-retrieve-sd-configure-key)
+ [4단계: 권한 확인](#findings-retrieve-sd-configure-permissions)
민감한 데이터 샘플을 검색하고 공개하도록 Macie를 이미 구성한 상태에서 구성 설정만 변경하려는 경우 이 작업은 선택 사항입니다.
### 1단계: 민감한 데이터 검색 결과의 리포지토리 구성
조사 결과에 대한 민감한 데이터 샘플을 검색하고 공개하면, Macie는 해당하는 민감한 데이터 검색 결과의 데이터를 사용하여 영향을 받은 S3 객체의 민감한 데이터 발생 항목의 위치를 찾습니다. 따라서 민감한 데이터 검색 결과의 리포지토리를 구성했는지 확인하는 것이 중요합니다. 그렇지 않으면 Macie는 검색 및 공개하려는 민감한 데이터 샘플의 위치를 찾을 수 없게 됩니다.
계정에 이 리포지토리를 구성했는지 확인하려면 Amazon Macie 콘솔을 사용하여 탐색 창에서 **검색 결과**(**설정** 아래)를 선택하면 됩니다. 프로그래밍 방식으로 이 작업을 수행하려면 Amazon Macie API의 [GetClassificationExportConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/classification-export-configuration.html) 작업을 사용합니다. 민감한 데이터 검색 결과와 이 리포지토리를 구성하는 방법에 대한 자세한 내용은 [민감한 데이터 검색 결과 저장 및 유지](discovery-results-repository-s3.md) 섹션을 참조하세요.
### 2단계: 영향을 받는 S3 객체에 액세스하는 방법 결정
영향을 받는 S3 객체에 액세스하고 해당 객체에서 민감한 데이터 샘플을 검색하기 위한 두 가지 옵션이 있습니다. AWS Identity and Access Management (IAM) 사용자 자격 증명을 사용하도록 Macie를 구성할 수 있습니다. 또는 Macie에 액세스를 위임하는 IAM 역할을 수임하도록 Macie를 구성할 수도 있습니다. 조직의 위임된 Macie 관리자 계정, 조직의 Macie 멤버 계정, 독립 실행형 Macie 계정 등 모든 Macie 계정 유형의 각 구성을 사용할 수 있습니다. Macie에서 설정을 구성하기 전에, 사용할 액세스 방법을 결정합니다. 각 방법의 옵션과 요구 사항에 대한 자세한 내용은 [샘플 검색을 위한 구성 옵션](findings-retrieve-sd-options.md) 섹션을 참조하세요.
IAM 역할을 사용하려는 경우 Macie에서 설정을 구성하기 전에 역할을 생성하고 구성하세요. 또한 역할에 대한 신뢰 및 권한 정책이 Macie의 역할 수임을 위한 모든 요구 사항을 충족하는지 확인합니다. 여러 Macie 계정을 중앙에서 관리하는 조직에 속해 있는 계정의 경우 먼저 Macie 관리자와 함께 계정에 대한 역할 구성 여부와 구성 방법을 결정합니다.
### 3단계: 구성 AWS KMS key
조사 결과에 대한 민감한 데이터 샘플을 검색하고 공개하면 Macie는 사용자가 지정한 AWS Key Management Service (AWS KMS) 키로 샘플을 암호화합니다. 따라서 샘플을 암호화하는 데 어떤 AWS KMS key 를 사용할지 결정해야 합니다. 키는 내 계정의 기존 KMS 키 또는 다른 계정이 소유하고 있는 기존 KMS 키일 수 있습니다. 다른 계정이 소유하고 있는 키를 사용하려면 해당 키의 Amazon 리소스 이름(ARN)이 필요합니다. Macie에서 구성 설정을 입력할 때 이 ARN을 지정해야 합니다.
이 KMS 키는 고객 관리형 대칭 암호화 키여야 합니다. 또한 Macie 계정 AWS 리전 과 동일한에서 활성화된 단일 리전 키여야 합니다. KMS 키는 외부 키 저장소에 있을 수 있습니다. 하지만 이 키는 AWS KMS내에서 완전히 관리되는 키보다 속도가 느리고 안정성이 떨어질 수 있습니다. 지연 또는 가용성 문제로 인해 Macie가 검색 및 공개하려는 민감한 데이터 샘플을 암호화할 수 없는 경우 오류가 발생하고 Macie는 조사 결과에 대한 샘플을 반환하지 않습니다.
또한 키에 대한 키 정책은 적절한 보안 주체(IAM 역할, IAM 사용자 또는 AWS 계정)가 다음 작업을 수행하도록 허용해야 합니다.
+ `kms:Decrypt`
+ `kms:DescribeKey`
+ `kms:GenerateDataKey`
**중요**
추가 액세스 제어 레이어로, 검색되는 민감한 데이터 샘플의 암호화 전용 KMS 키를 만들고, 민감한 데이터 샘플을 검색하고 공개할 수 있어야 하는 보안 주체만 키 사용을 제한하는 것이 좋습니다. 사용자가 키를 사용해 앞에 나온 작업을 수행할 수 없는 경우 Macie는 민감한 데이터 샘플을 검색하고 공개하라는 요청을 거부합니다. Macie는 조사 결과에 대해 어떠한 샘플도 반환하지 않습니다.
KMS 키 생성 및 구성에 대한 자세한 내용은 **AWS Key Management Service 개발자 안내서의 [Create a KMS key](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)를 참조하세요. 키 정책을 사용하여 KMS 키에 대한 액세스를 관리하는 방법에 대한 자세한 내용은 **AWS Key Management Service 개발자 안내서의 [Key policies in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)를 참조하세요.
### 4단계: 권한 확인
Macie에서 설정을 구성하기 전에 필요한 권한이 있는지도 확인하세요. 권한을 확인하려면 AWS Identity and Access Management (IAM)을 사용하여 IAM 자격 증명에 연결된 IAM 정책을 검토합니다. 그런 다음, 해당 정책의 정보와 수행할 수 있어야 하는 다음 작업 목록과 비교합니다.
**Amazon Macie**
Macie의 경우, 다음 작업을 수행할 수 있는지 확인합니다.
+ `macie2:GetMacieSession`
+ `macie2:UpdateRevealConfiguration`
첫 번째 작업을 통해 Macie 계정에 액세스할 수 있습니다. 두 번째 작업을 통해 민감한 데이터 샘플을 검색하고 공개하기 위한 구성 설정을 변경할 수 있습니다. 여기에는 계정에 대한 구성 활성화 및 비활성화가 포함됩니다.
필요한 경우 `macie2:GetRevealConfiguration` 작업을 수행할 수도 있는지 확인합니다. 이 작업을 통해 현재 구성 설정과 계정의 현재 구성 상태를 검색할 수 있습니다.
**AWS KMS**
Amazon Macie 콘솔을 사용하여 구성 설정을 입력하려는 경우 다음 AWS Key Management Service (AWS KMS) 작업을 수행할 수 있는지도 확인합니다.
+ `kms:DescribeKey`
+ `kms:ListAliases`
이러한 작업을 통해 계정의 AWS KMS keys 에 대한 정보를 검색할 수 있습니다. 그러면 설정을 입력할 때 이러한 키 중 하나를 선택할 수 있습니다.
**IAM**
민감한 데이터 샘플을 검색하고 공개하는 IAM 역할을 수임하도록 Macie를 구성하려는 경우 IAM 작업 `iam:PassRole`을 수행할 수 있는지도 확인하세요. 이 작업을 수행하면 Macie에 역할을 전달할 수 있으며, 그러면 Macie가 역할을 수임할 수 있습니다. 계정의 구성 설정을 입력하면 Macie는 계정에 역할이 존재하고 올바르게 구성되었는지 확인할 수도 있습니다.
필요한 작업을 수행할 수 없는 경우 AWS 관리자에게 도움을 요청하세요.
## Macie 설정 구성 및 활성화
필요한 리소스와 권한이 있는지 확인한 후에는 Amazon Macie에서 설정을 구성하고 계정의 구성을 활성화할 수 있습니다.
여러 Macie 계정을 중앙에서 관리하는 조직에 속해 있는 계정의 경우 계정 설정을 구성하거나 나중에 변경하기 전에 다음 사항에 유의하세요.
+ 멤버 계정인 경우 Macie 관리자와 협업하여 계정의 설정 구성 여부와 구성 방법을 결정합니다. Macie 관리자가 계정의 올바른 구성 설정이 무엇인지 결정하는 데 도움을 줄 수 있습니다.
+ Macie 관리자 계정이며, 영향을 받는 S3 객체에 액세스하기 위한 설정을 변경하는 경우 변경 사항이 조직의 다른 계정 및 리소스에 영향을 미칠 수 있습니다. 이는 Macie가 민감한 데이터 샘플을 검색하기 위해 현재 AWS Identity and Access Management (IAM) 역할을 수임하도록 구성되어 있는지 여부에 따라 달라집니다. 이에 해당하며 IAM 사용자 보안 인증을 사용하도록 Macie를 재구성하는 경우 Macie는 IAM 역할에 대한 기존 설정(역할 이름 및 구성에 대한 외부 ID)을 영구적으로 삭제합니다. 나중에 조직에서 IAM 역할을 다시 사용하기로 선택한 경우 해당되는 각 멤버 계정의 역할에 대한 신뢰 정책에서 새 외부 ID를 지정해야 합니다.
각 계정 유형의 구성 옵션 및 요구 사항에 대한 자세한 내용은 [샘플 검색을 위한 구성 옵션](findings-retrieve-sd-options.md) 섹션을 참조하세요.
Macie에서 설정을 구성하고 계정의 구성을 활성화하려면 Amazon Macie 콘솔이나 Amazon Macie API를 사용하면 됩니다.
------
#### [ Console ]
Amazon Macie 콘솔을 사용하여 설정을 구성하고 활성화하려면 다음 단계를 따르세요.
**Macie 설정을 구성하고 활성화하려면**
1. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)에서 Amazon Macie 콘솔을 엽니다.
1. 페이지 오른쪽 상단의 AWS 리전 선택기를 사용하여 구성하려는 리전을 선택하고 Macie가 민감한 데이터 샘플을 검색하고 공개하도록 활성화합니다.
1. 탐색 창의 **설정**아래에서 **샘플 표시**를 선택합니다.
1. **설정**(settings) 섹션에서 **편집**(Edit)을 선택합니다.
1. **상태**(Status)는 **활성**(Enable)을 선택합니다.
1. **액세스**에서 영향을 받는 S3 객체에서 민감한 데이터 샘플을 검색하는 경우 사용할 액세스 방법과 설정을 지정합니다.
+ Macie에 액세스 권한을 위임하는 IAM 역할을 사용하려면 **IAM 역할 수임**을 선택합니다. 이 옵션을 선택하면 Macie는에서 생성하고 구성한 IAM 역할을 수임하여 샘플을 검색합니다 AWS 계정. **역할 이름** 상자에 역할의 이름을 입력합니다.
+ 샘플을 요청하는 IAM 사용자의 보안 인증을 사용하려면 **IAM 사용자 자격 증명 사용**을 선택합니다. 이 옵션을 선택하면 계정의 각 사용자가 개별 IAM ID를 사용하여 샘플을 검색합니다.
1. **암호화**에서 검색 AWS KMS key 되는 민감한 데이터 샘플을 암호화하는 데 사용할를 지정합니다.
+ 자신의 계정에 있는 KMS 키를 사용하려면 **계정에서 키 선택**을 선택합니다. 그런 다음 **AWS KMS key**목록에서 사용할 키를 선택합니다. 목록에는 계정에 대한 기존의 대칭 암호화 KMS 키가 표시됩니다.
+ 다른 계정이 소유한 KMS 키를 사용하려면 **다른 계정에 있는 키의 ARN 입력**을 선택합니다. 그런 다음 **AWS KMS key ARN** 상자에 사용할 키의 Amazon 리소스 이름(ARN)을 입력합니다(예: **arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab**).
1. 규칙에 대한 설정 입력을 마치면 **저장**를 선택합니다.
Macie가 설정을 테스트하고 올바른지 확인합니다. Macie가 IAM 역할을 수임하도록 구성한 경우 Macie는 계정에 해당 역할이 존재하는지, 신뢰 및 권한 정책이 올바르게 구성되어 있는지 확인합니다. 문제가 있는 경우 Macie에서 문제를 설명하는 메시지를 표시합니다.
의 문제를 해결하려면 [이전 주제](#findings-retrieve-sd-configure-key)의 요구 사항을 AWS KMS key참조하고 요구 사항을 충족하는 KMS 키를 지정합니다. IAM 역할 관련 문제를 해결하려면 먼저 올바른 역할 이름을 입력했는지 확인합니다. 이름이 올바른 경우 역할의 정책이 Macie의 역할 수임을 위한 모든 요구 사항을 충족하는지 확인합니다. 자세한 내용은 [영향을 받는 S3 객체에 액세스하도록 IAM 역할 구성](findings-retrieve-sd-options.md#findings-retrieve-sd-options-s3access-role-configuration) 섹션을 참조하세요. 문제를 해결한 후에 설정을 저장하고 활성화할 수 있습니다.
**참고**
조직의 Macie 관리자이고 IAM 역할을 수임하도록 Macie를 구성한 경우 계정 설정을 저장하면 Macie가 외부 ID를 생성하여 표시합니다. ID를 적어 두세요. 해당되는 각 멤버 계정의 IAM 역할에 대한 신뢰 정책에 이 ID가 지정되어 있어야 합니다. 그러지 않으면 계정이 소유한 S3 객체에서 민감한 데이터 샘플을 검색할 수 없습니다.
------
#### [ API ]
설정을 프로그래밍 방식으로 구성하고 활성화하려면 Amazon Macie API의 [UpdateRevealConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/reveal-configuration.html) 작업을 사용하세요. 요청에서 지원되는 파라미터에 적절한 값을 지정합니다.
+ `retrievalConfiguration` 파라미터의 경우 영향을 받는 S3 객체에서 민감한 데이터 샘플을 검색할 때 사용할 액세스 방법과 설정을 지정합니다.
+ Macie에 액세스 권한을 위임하는 IAM 역할을 수임하려면 `retrievalMode` 파라미터에 `ASSUME_ROLE`을 지정하고 `roleName` 파라미터에 역할 이름을 지정합니다. 이러한 설정을 지정하면 Macie는에서 생성하고 구성한 IAM 역할을 수임하여 샘플을 검색합니다 AWS 계정.
+ 샘플을 요청하는 IAM 사용자의 보안 인증을 사용하려면 `retrievalMode` 파라미터에 `CALLER_CREDENTIALS`를 지정합니다. 이 설정을 지정하면 계정의 각 사용자가 개별 IAM ID를 사용하여 샘플을 검색합니다.
**중요**
이러한 파라미터에 대한 값을 지정하지 않으면 Macie는 액세스 방법(`retrievalMode`)을 `CALLER_CREDENTIALS`로 설정합니다. 현재 Macie가 IAM 역할을 사용하여 샘플을 검색하도록 구성되어 있는 경우 Macie는 구성에 대한 현재 역할 이름과 외부 ID도 영구적으로 삭제합니다. 기존 구성에서 이러한 설정을 유지하려면 요청에 `retrievalConfiguration` 파라미터를 포함하고 해당 파라미터에 대한 현재 설정을 지정하세요. 현재 설정을 검색하려면 [GetRevealConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/reveal-configuration.html) 작업을 사용하거나, AWS Command Line Interface (AWS CLI)를 사용하는 경우 [get-reveal-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-reveal-configuration.html) 명령을 실행합니다.
+ `kmsKeyId` 파라미터에서 검색 AWS KMS key 되는 민감한 데이터 샘플을 암호화하는 데 사용할를 지정합니다.
+ 사용자 계정에서 KMS 키를 사용하려면 키의 Amazon 리소스 이름(ARN), ID 또는 별칭을 지정하세요. 별칭을 지정하는 경우 `alias/` 접두사를 포함하세요(예: `alias/ExampleAlias`).
+ 다른 계정이 소유한 KMS 키를 사용하려면 키의 ARN(예: `arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`)을 지정하세요. 또는 키 별칭의 ARN(예: `arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias`)을 지정합니다.
+ `status` 파라미터의 경우, Macie 계정의 구성을 활성화하도록 `ENABLED`을(를) 지정하세요.
또한 요청에서 구성을 활성화하고 사용할 AWS 리전 를 지정해야 합니다.
를 사용하여 설정을 구성하고 활성화하려면 [update-reveal-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-reveal-configuration.html) 명령을 AWS CLI실행하고 지원되는 파라미터에 적절한 값을 지정합니다. 예를 들어 Microsoft Windows AWS CLI 에서를 사용하는 경우 다음 명령을 실행합니다.
```
C:\> aws macie2 update-reveal-configuration ^
--region us-east-1 ^
--configuration={\"kmsKeyId\":\"arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias\",\"status\":\"ENABLED\"} ^
--retrievalConfiguration={\"retrievalMode\":\"ASSUME_ROLE\",\"roleName\":\"MacieRevealRole\"}
```
위치:
+ *us-east-1*은 구성을 활성화하고 사용할 리전입니다. 이 예제에서는 미국 동부(버지니아 북부) 리전을 나타냅니다.
+ *arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias*는 AWS KMS key 에 사용할 별칭의 ARN입니다. 이 예제에서는 다른 계정이 키를 소유하고 있습니다.
+ `ENABLED`은(는) 구성의 상태입니다.
+ *ASSUME\$1ROLE*은 사용할 액세스 방법입니다. 이 예에서는 지정된 IAM 역할을 수임합니다.
+ *MacieRevealRole*은 민감한 데이터 샘플을 검색할 때 Macie가 수임하는 IAM 역할의 이름입니다.
앞의 예에서는 가독성을 높이기 위해 캐럿(^) 줄 연속 문자를 사용합니다.
요청을 제출하면 Macie는 설정을 테스트합니다. Macie가 IAM 역할을 수임하도록 구성한 경우 Macie는 계정에 해당 역할이 존재하는지, 신뢰 및 권한 정책이 올바르게 구성되어 있는지 확인합니다. 문제가 있는 경우 요청이 실패하고 Macie가 문제를 설명하는 메시지를 반환합니다. 의 문제를 해결하려면 [이전 주제](#findings-retrieve-sd-configure-key)의 요구 사항을 AWS KMS key참조하고 요구 사항을 충족하는 KMS 키를 지정합니다. IAM 역할 관련 문제를 해결하려면 먼저 올바른 역할 이름을 지정했는지 확인합니다. 이름이 올바른 경우 역할의 정책이 Macie의 역할 수임을 모든 요구 사항을 충족하는지 확인합니다. 자세한 내용은 [영향을 받는 S3 객체에 액세스하도록 IAM 역할 구성](findings-retrieve-sd-options.md#findings-retrieve-sd-options-s3access-role-configuration) 섹션을 참조하세요. 문제를 해결한 후 요청을 다시 제출합니다.
요청이 성공하면 Macie는 지정된 리전의 계정 구성을 활성화하고 다음과 비슷한 출력내용을 받게 됩니다.
```
{
"configuration": {
"kmsKeyId": "arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias",
"status": "ENABLED"
},
"retrievalConfiguration": {
"externalId": "o2vee30hs31642lexample",
"retrievalMode": "ASSUME_ROLE",
"roleName": "MacieRevealRole"
}
}
```
여기서는 검색되는 민감한 데이터 샘플을 암호화하는 AWS KMS key 데 사용할를 `kmsKeyId` 지정하며, `status`는 Macie 계정의 구성 상태입니다. `retrievalConfiguration` 값은 샘플을 검색할 때 사용할 액세스 방법과 설정을 지정합니다.
**참고**
조직의 Macie 관리자이고 IAM 역할을 수임하도록 Macie를 구성한 경우 응답에 외부 ID(`externalId`)가 있는지 확인합니다. 해당되는 각 멤버 계정의 IAM 역할에 대한 신뢰 정책에 이 ID가 지정되어 있어야 합니다. 그러지 않으면 계정이 소유하고 있고 영향을 받는 S3 객체에서 민감한 데이터 샘플을 검색할 수 없습니다.
이후에 계정에 대한 구성의 설정 또는 상태를 확인하려면 [GetRevealConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/reveal-configuration.html) 작업을 사용하거나에 대해 [get-reveal-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-reveal-configuration.html) 명령을 AWS CLI실행합니다.
------
## Macie 설정 비활성화
언제든지 Amazon Macie 계정의 구성 설정을 비활성화할 수 있습니다. 구성을 비활성화하면 Macie는 검색되는 민감한 데이터 샘플을 암호화하는 데 AWS KMS key 사용할 설정을 유지합니다. Macie는 구성에 대한 Amazon S3 액세스 설정을 영구적으로 삭제합니다.
**주의**
Macie 계정의 구성 설정을 비활성화하면 영향을 받는 S3 객체에 대한 액세스 방법을 지정하는 현재 설정도 영구적으로 삭제됩니다. Macie가 현재 AWS Identity and Access Management (IAM) 역할을 수임하여 영향을 받는 객체에 액세스하도록 구성된 경우 여기에는 역할 이름과 Macie가 구성에 대해 생성한 외부 ID가 포함됩니다. 이러한 설정은 삭제한 후에는 복구할 수 없습니다.
Macie 계정의 구성 설정을 비활성화하려면 Amazon Macie 콘솔이나 Amazon Macie API를 사용하면 됩니다.
------
#### [ Console ]
Amazon Macie 콘솔을 사용하여 계정의 구성 설정을 비활성화하려면 다음 단계를 따르세요.
**Macie 설정을 비활성화하려면**
1. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)에서 Amazon Macie 콘솔을 엽니다.
1. 페이지 오른쪽 상단의 AWS 리전 선택기를 사용하여 Macie 계정의 구성 설정을 비활성화할 리전을 선택합니다.
1. 탐색 창의 **설정**아래에서 **샘플 표시**를 선택합니다.
1. **설정**(settings) 섹션에서 **편집**(Edit)을 선택합니다.
1. **상태**에서 **비활성화**를 선택합니다.
1. **저장**을 선택합니다.
------
#### [ API ]
프로그래밍 방식으로 구성 설정을 비활성화하려면 Amazon Macie API의 [UpdateRevealConfiguration](https://docs.aws.amazon.com/macie/latest/APIReference/reveal-configuration.html) 작업을 사용합니다. 요청에서 구성을 비활성화할 AWS 리전 를 지정해야 합니다. `status` 파라미터에서 `DISABLED`를 지정합니다.
AWS Command Line Interface (AWS CLI)를 사용하여 구성 설정을 비활성화하려면 [update-reveal-configuration](https://docs.aws.amazon.com/cli/latest/reference/macie2/update-reveal-configuration.html) 명령을 실행합니다. `region` 파라미터를 사용하여 구성을 비활성화하려는 리전을 지정합니다. `status` 파라미터에서 `DISABLED`를 지정합니다. 예를 들어 Microsoft Windows AWS CLI 에서를 사용하는 경우 다음 명령을 실행합니다.
```
C:\> aws macie2 update-reveal-configuration --region us-east-1 --configuration={\"status\":\"DISABLED\"}
```
위치:
+ *us-east-1*은 구성을 비활성화할 리전입니다. 이 예제에서는 미국 동부(버지니아 북부) 리전을 나타냅니다.
+ `DISABLED`는 구성의 새로운 상태입니다.
요청이 성공하면 Macie는 지정된 리전에서 계정의 구성을 비활성화하고 다음과 유사한 출력을 얻게 됩니다.
```
{
"configuration": {
"status": "DISABLED"
}
}
```
여기서 `status`는 Macie 계정의 새로운 구성 상태입니다.
------
Macie가 IAM 역할을 수임하여 민감한 데이터 샘플을 검색하도록 구성된 경우 역할과 역할의 권한 정책을 삭제할 수 있습니다(선택 사항). 계정의 구성 설정을 비활성화하더라도 Macie는 이러한 리소스를 삭제하지 않습니다. 또한 Macie는 이러한 리소스를 사용하여 계정에 대한 다른 작업을 수행하지 않습니다. 역할과 해당 권한 정책을 삭제하려면 IAM 콘솔 또는 IAM API를 사용하면 됩니다. 자세한 내용은 **AWS Identity and Access Management 사용 설명서의 [역할 삭제](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html)를 참조하세요.
# Macie 조사 결과의 민감한 데이터 샘플 검색
Amazon Macie를 사용하면 Macie가 각 민감한 데이터 조사 결과에서 보고하는 민감한 데이터의 샘플을 검색하고 공개할 수 있습니다. 여기에는 Macie가 [관리형 데이터 식별자](managed-data-identifiers.md)를 사용하여 탐지한 민감한 데이터와 [사용자 지정 데이터 식별자](custom-data-identifiers.md)의 기준과 일치하는 데이터가 포함됩니다. 샘플을 통해 Macie가 발견한 민감한 데이터의 특성을 확인할 수 있습니다. 또한 영향을 받는 Amazon Simple Storage Service(S3) 객체 및 버킷에 대한 조사를 맞춤 설정하는 데 도움이 될 수 있습니다. 아시아 태평양(오사카) 및 이스라엘(텔아비브) 리전을 제외하고 Macie를 현재 사용할 수 AWS 리전 있는 모든에서 민감한 데이터 샘플을 검색하고 공개할 수 있습니다.
조사 결과에 대한 민감한 데이터 샘플을 검색하여 공개할 경우 Macie는 해당하는 [민감한 데이터 검색 결과](discovery-results-repository-s3.md)의 데이터를 사용하여 해당 조사 결과에서 보고된 민감한 데이터 중 처음 1\$110개의 발생 항목을 찾습니다. 그런 다음 Macie는 영향을 받는 S3 객체에서 각 발생 항목의 처음 1\$1128자를 추출합니다. 조사 결과에서 여러 유형의 민감한 데이터가 보고되는 경우 Macie는 해당 조사 결과에서 보고한 최대 100가지 유형의 민감한 데이터에 대해 이 작업을 수행합니다.
Macie가 영향을 받는 S3 객체에서 민감한 데이터를 추출하면 Macie는 사용자가 지정한 AWS Key Management Service (AWS KMS) 키로 데이터를 암호화하고, 암호화된 데이터를 캐시에 임시로 저장하고, 조사 결과에 대한 결과에 데이터를 반환합니다. Macie는 운영 문제 해결을 위해 일시적으로 추가 보존이 필요한 경우를 제외하고 추출 및 암호화 직후 캐시에서 데이터를 영구적으로 삭제합니다.
조사 결과에 대한 민감한 데이터 샘플을 검색하여 다시 찾도록 선택하면 Macie는 샘플을 찾고, 추출하고, 암호화하고, 저장하고, 최종적으로 삭제하는 프로세스를 반복합니다.
Amazon Macie 콘솔을 사용하여 민감한 데이터 샘플을 검색하고 공개하는 방법에 대한 데모를 보려면 다음 동영상을 시청하세요.
**Topics**
+ [시작하기 전 준비 사항](#findings-retrieve-sd-proc-prereqs)
+ [샘플을 조사 결과에 사용할 수 있는지 여부 결정](#findings-retrieve-sd-proc-criteria)
+ [조사 결과의 샘플 공개](#findings-retrieve-sd-proc-steps)
## 시작하기 전에
검색 결과에 대한 민감한 데이터 샘플을 검색하고 공개하려면 먼저 [Amazon Macie 계정의 설정을 구성하고 활성화](findings-retrieve-sd-configure.md)해야 합니다. 또한 AWS 관리자와 협력하여 필요한 권한과 리소스가 있는지 확인해야 합니다.
사용자가 조사 결과의 민감한 데이터 샘플을 검색하여 공개할 때 Macie는 샘플을 찾고, 검색하고, 암호화하고, 공개하기 위한 일련의 작업을 수행합니다. Macie는 사용자 계정의 Macie [서비스 연결 역할](service-linked-roles.md)을 사용하여 이러한 작업을 수행하지 않습니다. 대신 AWS Identity and Access Management (IAM) 자격 증명을 사용하거나 Macie가 계정에서 IAM 역할을 수임하도록 허용합니다.
조사 결과에 대한 민감한 데이터 샘플을 검색하고 공개하려면 조사 결과, 해당 민감한 데이터 검색 결과 및 민감한 데이터 샘플을 암호화하는 데 사용하도록 Macie를 구성 AWS KMS key 한에 액세스할 수 있어야 합니다. 또한 사용자 또는 IAM 역할이 영향을 받는 S3 버킷 및 S3 객체에 액세스할 수 있어야 합니다. 사용자 또는 역할은 해당하는 경우 영향을 받는 객체를 암호화하는 데 AWS KMS key 사용된 도 사용할 수 있어야 합니다. IAM 정책, 리소스 정책 또는 기타 권한 설정이 필요한 액세스를 거부하는 경우 오류가 발생하고 Macie가 조사 결과에 대한 샘플을 반환하지 않습니다.
다음과 같은 Macie 작업을 수행할 수도 있어야 합니다.
+ `macie2:GetMacieSession`
+ `macie2:GetFindings`
+ `macie2:ListFindings`
+ `macie2:GetSensitiveDataOccurrences`
처음 세 가지 작업을 통해 Macie 계정에 액세스하여 조사 결과의 세부 정보를 검색할 수 있습니다. 마지막 작업을 통해 민감한 데이터 샘플을 검색하여 조사 결과를 공개할 수 있습니다.
Amazon Macie 콘솔을 사용하여 민감한 데이터 샘플을 검색하고 공개하려면 `macie2:GetSensitiveDataOccurrencesAvailability` 작업도 수행할 수 있어야 합니다. 이 작업을 통해 개별 조사 결과에 샘플을 사용할 수 있는지 여부를 결정할 수 있습니다. 프로그래밍 방식으로 샘플을 검색하고 공개하는 데에는 이 작업을 수행할 수 있는 권한이 필요하지 않습니다. 하지만 이 권한이 있으면 샘플 검색을 간소화할 수 있습니다.
조직의 Macie 위임 관리자이고 민감한 데이터 샘플을 검색하는 IAM 역할을 수임하도록 Macie를 구성한 경우 `macie2:GetMember` 작업도 수행할 수 있어야 합니다. 이 작업을 수행하면 내 계정과 영향을 받은 계정 간의 연결에 대한 정보를 검색할 수 있습니다. 이를 통해 Macie는 사용자가 현재 해당 계정의 Macie 관리자인지 확인할 수 있습니다.
필요한 작업을 수행하거나 필요한 데이터 및 리소스에 액세스할 수 없는 경우 AWS 관리자에게 도움을 요청하세요.
## 민감한 데이터 샘플을 조사 결과에 사용할 수 있는지 여부 결정
조사 결과에 대한 민감한 데이터 샘플을 검색하고 공개하려면 조사 결과가 특정 기준을 충족해야 합니다. 여기에는 특정 상황의 민감한 데이터에 대한 위치 데이터가 포함되어야 합니다. 또한 유효한 해당 민감한 데이터 검색 결과의 위치도 지정해야 합니다. 민감한 데이터 검색 결과는 AWS 리전 조사 결과와 동일한에 저장되어야 합니다. (IAM) 역할을 수임하여 영향을 받는 S3 객체에 액세스하도록 Amazon Macie를 AWS Identity and Access Management 구성한 경우 Macie가 해시 기반 메시지 인증 코드(HMAC)로 서명한 S3 객체에도 민감한 데이터 검색 결과를 저장해야 합니다 AWS KMS key.
영향을 받는 S3 객체도 특정 기준을 충족해야 합니다. 객체의 MIME 유형이며 다음 중 하나여야 합니다.
+ *application/avro*, Apache Avro 객체 컨테이너(.avro) 파일의 경우
+ *application/gzip*, GNU Zip 압축 아카이브(.gz 또는 .gzip) 파일의 경우
+ *application/json*, JSON 또는 JSON 라인(.json 또는 .jsonl) 파일의 경우
+ *application/parquet*, Apache Parquet(.parquet) 파일의 경우
+ *application/vnd.openxmlformats-officedocument.spreadsheetml.sheet*, Microsoft Excel 통합문서(.xlsx) 파일의 경우
+ *application/zip*, ZIP 압축 아카이브(.zip) 파일의 경우
+ *text/csv*, CSV(.csv) 파일의 경우
+ *text/plain*, CSV, JSON, JSON 라인 또는 TSV 파일이 아닌 바이너리가 아닌 텍스트 파일의 경우
+ *text/tab-separated-values*, TSV(.tsv) 파일의 경우
또한 S3 객체의 내용은 조사 결과를 생성할 때와 같아야 합니다. Macie는 객체의 엔터티 태그(ETag)를 검사하여 조사 결과에서 지정한 ETag와 일치하는지 확인합니다. 또한 객체의 스토리지 크기는 민감한 데이터 샘플을 검색하고 공개하기 위한 해당 크기 할당량을 초과할 수 없습니다. 적용 가능한 할당량 목록은 [Macie의 할당량](macie-quotas.md) 섹션을 참조하세요.
조사 결과와 영향을 받는 S3 객체가 위 기준을 충족하는 경우, 민감한 데이터 샘플을 검조사 결과에 사용할 수 있습니다. 원하는 경우 조사 결과에 대한 샘플을 검색하여 공개하기 전에 이러한 결과가 특정 검색 조사 결과에 해당되는지 여부를 선택적으로 판단할 수 있습니다.
**민감한 데이터 샘플을 조사 결과에 사용할 수 있는지 여부를 확인하려면**
Amazon Macie 콘솔 또는 Amazon Macie API를 사용하여 민감한 데이터 샘플을 조사 결과에 사용할 수 있는지 여부를 결정할 수 있습니다.
------
#### [ Console ]
Amazon Macie 콘솔에서 다음 단계에 따라 민감한 데이터 샘플을 검색 결과에 사용할 수 있는지 확인하세요.
**조사 결과에 샘플을 사용할 수 있는지 여부를 확인하려면**
1. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)에서 Amazon Macie 콘솔을 엽니다.
1. 탐색 창에서 **조사 결과**를 선택합니다.
1. **조사 결과** 페이지에서 조사 결과를 선택합니다. 세부 정보 패널에 조사 결과의 정보가 표시됩니다.
1. 세부 정보 패널에서 **민감한 데이터** 섹션으로 스크롤합니다. 그런 다음 **샘플 공개** 필드를 참조하세요.
조사 결과에 민감한 데이터 샘플을 사용할 수 있는 경우, 다음 이미지와 같이 필드에 **검토** 링크가 나타납니다.
![\[조사 결과 세부 정보 패널의 샘플 공개 필드입니다. 이 필드에 검토라는 레이블이 지정된 링크가 있습니다.\]](http://docs.aws.amazon.com/ko_kr/macie/latest/user/images/scrn-findings-reveal-samples.png)
민감한 데이터 샘플을 조사 결과에 사용할 수 없는 경우, **샘플 공개** 필드에 다음과 같은 이유를 나타내는 텍스트가 표시됩니다.
+ **조직에 속하지 않은 계정** - Macie를 사용하여 영향을 받는 S3 객체에 액세스할 수 없습니다. 영향을 받은 계정은 현재 조직에 속해 있지 않습니다. 또는 계정이 조직에 속해 있지만 현재 AWS 리전에서 계정에 Macie를 사용하도록 설정되어 있지 않은 경우입니다.
+ **잘못된 분류 결과** - 해당 조사 결과에 해당하는 민감한 데이터 검색 결과가 없습니다. 또는 해당하는 민감한 데이터 검색 결과가 현재 AWS 리전에서 제공되지 않거나, 형식이 잘못되었거나 손상되었거나, 지원되지 않는 저장 형식을 사용하는 경우도 있습니다. Macie가 검색할 민감한 데이터의 위치를 확인할 수 없습니다.
+ **잘못된 결과 서명** - 해당하는 민감한 데이터 검색 결과는 Macie가 서명하지 않은 S3 객체에 저장됩니다. Macie는 민감한 데이터 검색 결과의 무결성과 신뢰성을 확인할 수 없습니다. 따라서 Macie가 검색할 민감한 데이터의 위치를 확인할 수 없습니다.
+ **과도하게 허용적인 멤버 역할** - 영향을 받는 멤버 계정의 IAM 역할에 대한 신뢰 또는 권한 정책이 역할에 대한 액세스를 제한하기 위한 Macie 요구 사항을 충족하지 않습니다. 또는 역할의 신뢰 정책에 조직에 대한 올바른 외부 ID가 지정되어 있지 않습니다. Macie는 민감한 데이터를 검색하는 역할을 수임할 수 없습니다.
+ **GetMember 권한 누락** - 내 계정과 영향을 받은 계정 간의 연결에 대한 정보를 검색할 수 없습니다. Macie는 사용자가 영향을 받는 계정의 위임된 Macie 관리자로서 영향을 받는 S3 객체에 액세스할 수 있는지 여부를 확인할 수 없습니다.
+ **객체 크기 할당량 초과** - 영향을 받는 S3 객체의 스토리지 크기가 해당 유형의 파일에서 민감한 데이터의 샘플을 검색하고 공개하는 데 필요한 크기 할당량을 초과합니다.
+ **객체 사용 불가** - 영향을 받은 S3 객체를 사용할 수 없습니다. Macie가 조사 결과를 생성한 후 객체 이름이 변경되거나, 이동 또는 삭제되었거나, 내용이 변경되었습니다. 또는 객체가 사용할 수 없는 AWS KMS key 로 암호화됩니다. 예를 들어 키가 비활성화되거나 삭제가 예약되거나 삭제되었습니다.
+ **서명되지 않은 결과** - 해당하는 민감한 데이터 검색 결과가 서명되지 않은 S3 객체에 저장됩니다. Macie는 민감한 데이터 검색 결과의 무결성과 신뢰성을 확인할 수 없습니다. 따라서 Macie가 검색할 민감한 데이터의 위치를 확인할 수 없습니다.
+ **과도하게 허용적인 역할** - 계정이 신뢰 또는 권한 정책이 역할에 대한 액세스를 제한하는 Macie 요구 사항을 충족하지 않는 IAM 역할을 사용하여 민감한 데이터의 발생을 검색하도록 구성되어 있습니다. Macie는 민감한 데이터를 검색하는 역할을 수임할 수 없습니다.
+ **지원되지 않는 객체 유형** - 영향을 받는 S3 객체는 Macie가 지원하지 않는 파일 또는 스토리지 형식을 사용하여 민감한 데이터의 샘플을 검색하고 공개합니다. 영향을 받는 S3 개체의 MIME 유형이 [이전 목록](#findings-retrieve-sd-criteria-mimetype)에 있는 값 중 하나가 아닙니다.
조사 결과에 대한 민감한 데이터 검색 결과에 문제가 있는 경우 조사 결과의 **상세 결과 위치** 필드에 있는 정보가 문제를 조사하는 데 도움이 될 수 있습니다. 이 필드는 Amazon S3의 결과에 대한 원래 경로를 지정합니다. IAM 역할의 문제를 조사하려면 해당 역할의 정책이 Macie의 역할 수임을 위한 모든 요구 사항을 충족하는지 확인합니다. 자세한 내용은 [영향을 받는 S3 객체에 액세스하도록 IAM 역할 구성](findings-retrieve-sd-options.md#findings-retrieve-sd-options-s3access-role-configuration) 섹션을 참조하세요.
------
#### [ API ]
민감한 데이터 샘플을 조사 결과에 사용할 수 있는지 여부를 프로그래밍 방식으로 결정하려면 Amazon Macie API의 [GetSensitiveDataOccurrencesAvailability](https://docs.aws.amazon.com/macie/latest/APIReference/findings-findingid-reveal-availability.html) 작업을 사용합니다. 요청을 제출할 때 `findingId` 파라미터를 사용하여 조사 결과의 고유 식별자를 지정합니다. 이 식별자를 얻으려면 [ListFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings.html) 작업을 사용합니다.
AWS Command Line Interface (AWS CLI)를 사용하는 경우 [get-sensitive-data-occurrences-availability](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitive-data-occurrences-availability.html) 명령을 실행하고 `finding-id` 파라미터를 사용하여 결과의 고유 식별자를 지정합니다. 이 식별자를 얻기위해 [list-findings](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-findings.html) 명령을 실행할 수 있습니다.
요청이 성공하고 조사 결과에 샘플을 사용할 수 있는 경우, 다음과 비슷한 출력이 나타납니다.
```
{
"code": "AVAILABLE",
"reasons": []
}
```
요청이 성공하고 조사 결과에 샘플을 사용할 수 없는 경우 `code` 필드의 값은 `UNAVAILABLE`이며 `reasons` 배열은 이유를 지정합니다. 예제:
```
{
"code": "UNAVAILABLE",
"reasons": [
"UNSUPPORTED_OBJECT_TYPE"
]
}
```
조사 결과에 대한 민감한 데이터 검색 결과에 문제가 있는 경우 결과의 `classificationDetails.detailedResultsLocation` 필드에 있는 정보가 문제를 조사하는 데 도움이 될 수 있습니다. 이 필드는 Amazon S3의 결과에 대한 원래 경로를 지정합니다. IAM 역할의 문제를 조사하려면 해당 역할의 정책이 Macie의 역할 수임을 위한 모든 요구 사항을 충족하는지 확인합니다. 자세한 내용은 [영향을 받는 S3 객체에 액세스하도록 IAM 역할 구성](findings-retrieve-sd-options.md#findings-retrieve-sd-options-s3access-role-configuration) 섹션을 참조하세요.
------
## 조사 결과의 민감한 데이터 샘플 검색
Amazon Macie 콘솔 또는 Amazon Macie API를 사용하여 조사 결과에 대한 민감한 데이터 샘플을 검색하고 확인할 수 있습니다.
------
#### [ Console ]
Amazon Macie 콘솔을 사용하여 조사 결과에 대한 민감한 데이터 샘플을 검색하고 공개하려면 다음 단계를 따르세요.
**조사 결과에 사용할 민감한 데이터 샘플을 검색하고 공개하려면**
1. [https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)에서 Amazon Macie 콘솔을 엽니다.
1. 탐색 창에서 **조사 결과**를 선택합니다.
1. **조사 결과** 페이지에서 조사 결과를 선택합니다. 세부 정보 패널에 조사 결과의 정보가 표시됩니다.
1. 세부 정보 패널에서 **민감한 데이터** 섹션으로 스크롤합니다. 그런 다음 **샘플 공개** 필드에서 **검토**를 선택합니다.
![\[조사 결과 세부 정보 패널의 샘플 공개 필드입니다. 이 필드에 검토라는 레이블이 지정된 링크가 있습니다.\]](http://docs.aws.amazon.com/ko_kr/macie/latest/user/images/scrn-findings-reveal-samples.png)
**참고**
**검토** 링크가 **샘플 공개** 필드에 나타나지 않으면 민감한 데이터 샘플을 조사 결과에 사용할 수 없습니다. 이 경우의 이유를 확인하려면 [앞의 주제](#findings-retrieve-sd-proc-criteria)를 참조하세요.
**검토**를 선택하면 Macie는 조사 결과의 주요 세부 정보를 요약하는 페이지를 표시합니다. 세부 정보에는 Macie가 영향을 받는 S3 객체에서 발견한 민감한 데이터의 범주, 유형 및 발생 횟수가 포함되어 있습니다.
1. 페이지의 **민감한 데이터** 섹션에서 **샘플 공개**를 선택합니다. 그러면 Macie는 조사 결과에서 보고된 민감한 데이터 중 처음 1\$110건의 샘플을 검색하여 공개합니다. 각 샘플에는 민감한 데이터 발생 항목의 첫 1\$1128자가 포함되어 있습니다. 샘플을 검색하고 공개하는 데 몇 분 정도 걸릴 수 있습니다.
조사 결과에 여러 유형의 민감한 데이터가 보고되는 경우 Macie는 최대 100가지 유형의 샘플을 검색하고 공개합니다. 예를 들어 다음 이미지는AWS 자격 증명, 미국 전화번호, 사람 이름 등 민감한 데이터의 여러 범주와 유형에 걸친 샘플을 보여줍니다.
![\[샘플 테이블입니다. 테이블에는 9개 샘플과 각 샘플의 민감한 데이터 범주 및 유형이 나열되어 있습니다.\]](http://docs.aws.amazon.com/ko_kr/macie/latest/user/images/scrn-findings-sd-samples.png)
샘플은 먼저 민감한 데이터 범주별로 구성되어 있고, 그 다음에는 민감한 데이터 유형별로 구성되어 있습니다.
------
#### [ API ]
프로그래밍 방식으로 조사 결과에 대한 중요한 데이터 샘플을 검색하고 공개하려면 Amazon Macie API의 [GetSensitiveDataOccurrences](https://docs.aws.amazon.com/macie/latest/APIReference/findings-findingid-reveal.html) 작업을 사용합니다. 요청을 제출할 때 `findingId` 파라미터를 사용하여 조사 결과의 고유 식별자를 지정합니다. 이 식별자를 얻으려면 [ListFindings](https://docs.aws.amazon.com/macie/latest/APIReference/findings.html) 작업을 사용합니다.
AWS Command Line Interface (AWS CLI)를 사용하여 민감한 데이터 샘플을 검색하고 공개하려면 [get-sensitive-data-occurrences](https://docs.aws.amazon.com/cli/latest/reference/macie2/get-sensitive-data-occurrences.html) 명령을 실행하고 `finding-id` 파라미터를 사용하여 결과의 고유 식별자를 지정합니다. 예제:
```
C:\> aws macie2 get-sensitive-data-occurrences --finding-id "1f1c2d74db5d8caa76859ec52example"
```
여기서 *1f1c2d74db5d8caa76859ec52example*은 조사 결과의 고유 식별자입니다. 를 사용하여이 식별자를 얻으려면 [list-findings](https://docs.aws.amazon.com/cli/latest/reference/macie2/list-findings.html) 명령을 실행 AWS CLI하면 됩니다.
요청이 성공하면 Macie가 요청 처리를 시작하고 다음과 비슷한 출력이 표시됩니다.
```
{
"status": "PROCESSING"
}
```
요청을 처리하는 데 몇 분 정도 걸릴 수 있습니다. 몇 분 정도 기다린 후, 다시 요청을 제출합니다.
Macie가 민감한 데이터 샘플을 찾고 검색하고 암호화할 수 있는 경우, Macie는 해당 샘플을 `sensitiveDataOccurrences` 맵에 반환합니다. 맵은 조사 결과에 의해 보고된 민감한 데이터 유형 1\$1100개와 각 유형에 대한 샘플 1\$110개를 지정합니다. 각 샘플에는 조사 결과에서 보고된 민감한 데이터 발생 항목의 처음 1\$1128자가 들어 있습니다.
맵에서 각 키는 민감한 데이터를 감지한 관리형 데이터 식별자의 ID 또는 민감한 데이터를 감지한 사용자 지정 데이터 식별자의 이름 및 고유 식별자입니다. 값은 지정된 관리형 데이터 식별자 또는 사용자 지정 데이터 식별자의 샘플입니다. 예를 들어, 다음 응답은 사용자의 이름 샘플 3개와 관리형 데이터 식별자(`NAME``AWS_CREDENTIALS`각각 및 )에서 감지한 AWS 보안 액세스 키 샘플 2개를 제공합니다.
```
{
"sensitiveDataOccurrences": {
"NAME": [
{
"value": "Akua Mansa"
},
{
"value": "John Doe"
},
{
"value": "Martha Rivera"
}
],
"AWS_CREDENTIALS": [
{
"value": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY"
},
{
"value": "je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY"
}
]
},
"status": "SUCCESS"
}
```
요청이 성공했지만 민감한 데이터 샘플을 찾을 수 없는 경우, 샘플을 사용할 수 없는 이유를 설명하는 `UnprocessableEntityException` 메시지를 받게 됩니다. 예제:
```
{
"message": "An error occurred (UnprocessableEntityException) when calling the GetSensitiveDataOccurrences operation: OBJECT_UNAVAILABLE"
}
```
앞의 예에서 Macie는 영향을 받은 S3 객체에서 샘플을 검색하려고 시도했지만 해당 객체는 더 이상 사용할 수 없습니다. Macie가 조사 결과를 생성한 후 객체의 내용이 변경되었습니다.
요청이 성공했지만 다른 유형의 오류로 인해 Macie가 조사 결과에 대한 민감한 데이터 샘플을 검색하고 공개하지 못한 경우, 다음과 비슷한 출력이 표시됩니다.
```
{
"error": "Macie can't retrieve the samples. You're not allowed to access the affected S3 object or the object is encrypted with a key that you're not allowed to use.",
"status": "ERROR"
}
```
`status`필드 값은 `ERROR`이고 `error` 필드는 발생한 오류를 설명합니다. [이전 주제](#findings-retrieve-sd-proc-criteria)의 정보는 오류를 조사하는 데 도움이 될 수 있습니다.
------
# 민감한 데이터의 위치를 보고하기 위한 스키마
Amazon Macie는 Amazon Simple Storage Service(S3) 객체에서 민감한 데이터를 찾은 위치에 대한 정보를 저장하는 데 표준화된 JSON 구조를 사용합니다. 구조는 민감한 데이터 조사 결과와 민감한 데이터 검색 결과에 사용됩니다. 민감한 데이터 조사 결과의 경우 구조는 조사 결과에 대한 JSON 스키마의 일부입니다. 전체 JSON 스키마에서 발견된 내용을 검토하려면 *Amazon Macie API 참조*의 [조사 결과](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html)를 참조하세요. 민감한 데이터 조사 결과에 대한 자세한 내용은 [민감한 데이터 검색 결과 저장 및 유지](discovery-results-repository-s3.md)을(를) 참조하세요.
**Topics**
+ [스키마 개요](#findings-locate-sd-schema-overview)
+ [스키마 세부 정보 및 예제](#findings-locate-sd-schema-examples)
## 스키마 개요
Amazon Macie가 영향을 받는 S3 객체에서 발견한 민감한 데이터의 위치를 보고하기 위해 민감한 데이터 조사 결과 및 민감한 데이터 검색 결과에 대한 JSON 스키마에는 `customDataIdentifiers` 객체 1개와 `sensitiveData` 객체 1개가 포함됩니다. `customDataIdentifiers` 객체는 Macie가 [사용자 지정 데이터 식별자](custom-data-identifiers.md)를 사용하여 탐지한 데이터에 대한 세부 정보를 제공합니다. `sensitiveData` 객체는 Macie가 [관리형 데이터 식별자](managed-data-identifiers.md)를 사용하여 탐지한 데이터에 대한 세부 정보를 제공합니다.
각 `customDataIdentifiers` 및 `sensitiveData` 객체에는 하나 이상의 `detections` 배열이 포함되어 있습니다.
+ `customDataIdentifiers` 객체에서 `detections` 배열은 데이터를 탐지하고 조사 결과를 생성한 사용자 지정 데이터 식별자를 나타냅니다. 각 사용자 지정 데이터 식별자에 대해 배열은 식별자가 탐지한 데이터의 발생 횟수도 나타냅니다. 식별자가 탐지한 데이터의 위치를 나타낼 수도 있습니다.
+ `sensitiveData` 객체에서 `detections` 배열은 Macie가 관리 데이터 식별자를 사용하여 탐지한 민감한 데이터의 유형을 나타냅니다. 각 유형의 민감한 데이터에 대해 배열은 데이터 발생 횟수를 나타내며 데이터의 위치를 나타낼 수도 있습니다.
민감한 데이터 조사 결과의 경우 `detections` 배열에 1\$115개의 `occurrences` 객체가 포함될 수 있습니다. 각 `occurrences` 객체는 Macie가 특정 유형의 민감한 데이터를 개별적으로 감지한 위치를 지정합니다.
예를 들어, 다음 `detections` 배열은 Macie가 CSV 파일에서 찾은 민감한 데이터(미국 사회보장번호)가 세 번 나오는 위치를 나타냅니다.
```
"sensitiveData": [
{
"category": "PERSONAL_INFORMATION",
"detections": [
{
"count": 30,
"occurrences": {
"cells": [
{
"cellReference": null,
"column": 1,
"columnName": "SSN",
"row": 2
},
{
"cellReference": null,
"column": 1,
"columnName": "SSN",
"row": 3
},
{
"cellReference": null,
"column": 1,
"columnName": "SSN",
"row": 4
}
]
},
"type": "USA_SOCIAL_SECURITY_NUMBER"
}
```
`detections` 배열에 있는 `occurrences` 객체의 위치와 개수는 Macie가 자동화된 중요 데이터 검색 분석 주기 또는 중요한 데이터 검색 작업 실행 중에 탐지한 중요한 데이터의 범주, 유형 및 발생 횟수에 따라 달라집니다. Macie는 각 분석 주기 또는 작업 실행에 대해 *깊이 우선 검색* 알고리즘을 사용하여 Macie가 S3 객체에서 감지한 1\$115개의 민감한 데이터에 대한 위치 데이터로 결과적인 조사 결과를 채웁니다. 이러한 상황은 영향을 받는 S3 버킷과 객체에 포함될 수 있는 민감한 데이터의 범주 및 유형을 나타냅니다.
`occurrences` 객체에는 영향을 받는 S3 객체의 파일 유형 또는 스토리지 형식에 따라 다음과 같은 구조가 포함될 수 있습니다.
+ `cells` 배열 – 이 배열은 Microsoft Excel 통합 문서, CSV 파일 및 TSV 파일에 적용됩니다. 이 배열의 객체는 Macie가 민감한 데이터의 발생을 감지한 셀 또는 필드를 지정합니다.
+ `lineRanges` 배열 – 이 배열은 이메일 메시지(EML) 파일과 CSV, JSON, JSON Lines 및 TSV 파일을 제외한 바이너리가 아닌 텍스트 파일(예: HTML, TXT, XML 파일)에 적용됩니다. 이 배열의 객체는 Macie가 민감한 데이터의 발생을 감지한 줄 또는 여러 줄의 범위를 지정하고 지정된 줄 또는 한 줄에서의 데이터 위치를 지정합니다.
배열의 객체가 다른 유형의 `lineRanges` 배열에서 지원하는 파일 유형이나 스토리지 형식으로 민감한 데이터 탐지 위치를 지정하는 경우도 있습니다. 이러한 경우는 파일 내 주석과 같이 비정형 파일의 비정형 섹션에서의 탐지, Macie가 일반 텍스트로 분석하는 잘못된 형식의 파일에서의 탐지, Macie가 민감한 데이터를 감지한 하나 이상의 열 이름이 있는 CSV 또는 TSV 파일 등입니다.
+ `offsetRanges` 배열 – 이 배열은 나중에 사용하기 위해 예약되어 있습니다. 이 배열이 있는 경우 해당 배열의 값은 null입니다.
+ `pages` 배열 – 이 배열은 Adobe Portable Document Format(PDF) 파일에 적용됩니다. 이 배열의 객체는 Macie가 민감한 데이터의 발생을 감지한 페이지를 지정합니다.
+ `records` 배열 – 이 배열은 Apache Avro 객체 컨테이너, Apache Parquet 파일, JSON 파일 및 JSON Lines 파일에 적용됩니다. Avro 객체 컨테이너 및 Parquet 파일의 경우 이 배열의 객체는 Macie가 민감한 데이터의 발생을 감지한 레코드의 필드 경로와 레코드 색인을 지정합니다. JSON 및 JSON Lines 파일의 경우 이 배열의 객체는 Macie가 민감한 데이터의 발생을 감지한 필드 또는 배열의 경로를 지정합니다. JSON Lines 파일의 경우 데이터가 포함된 라인의 인덱스도 지정합니다.
이러한 배열의 콘텐츠는 영향을 받는 S3 객체의 파일 유형이나 스토리지 형식 및 콘텐츠에 따라 달라집니다.
## 스키마 세부 정보 및 예제
Amazon Macie는 특정 유형의 파일 및 콘텐츠에서 민감한 데이터를 탐지한 위치를 나타내는 데 사용하는 JSON 구조의 콘텐츠를 조정합니다. 다음 주제에서는 이러한 구조를 설명하고 이에 대한 예제를 제공합니다.
**Topics**
+ [셀 배열](#findings-locate-sd-schema-examples-cell)
+ [LineRanges 배열](#findings-locate-sd-schema-examples-linerange)
+ [페이지 배열](#findings-locate-sd-schema-examples-page)
+ [레코드 배열](#findings-locate-sd-schema-examples-record)
민감한 데이터 조사 결과에 포함될 수 있는 JSON 구조의 전체 목록은 *Amazon Macie API 참조*의 [조사 결과](https://docs.aws.amazon.com/macie/latest/APIReference/findings-describe.html)를 참조하세요.
### 셀 배열
**적용 대상:** Microsoft Excel 통합 문서, CSV 파일 및 TSV 파일
`cells` 배열에서 `Cell` 객체는 Macie가 민감한 데이터의 발생을 감지한 셀 또는 필드를 지정합니다. 다음 표에는 `Cell` 객체에 있는 각 필드의 용도가 설명되어 있습니다.
| Field | Type | 설명 |
| --- | --- | --- |
| cellReference | 문자열 | 발생을 포함하는 셀의 위치(절대 셀 참조)입니다. 이 필드는 Excel 통합 문서에만 적용됩니다. CSV 및 TSV 파일의 경우 이 값은 null입니다. |
| column | Integer | 발생을 포함하는 열의 열 번호입니다. Excel 통합 문서의 경우 이 값은 열 식별자의 영문자(예: 열 A의 1, 열 B의 2 등)와 상호 연관됩니다. |
| columnName | 문자열 | 발생을 포함하는 열의 이름입니다(사용 가능한 경우). |
| row | Integer | 발생을 포함하는 행의 행 번호입니다. |
다음 예제는 Macie가 CSV 파일에서 감지한 민감한 데이터의 발생 위치를 지정하는 `Cell` 객체의 구조를 보여줍니다.
```
"cells": [
{
"cellReference": null,
"column": 3,
"columnName": "SSN",
"row": 5
}
]
```
위 예제에서 조사 결과는 Macie가 파일의 세 번째 열(이름: *SSN*)의 다섯 번째 행에 있는 필드에서 민감한 데이터를 탐지했음을 나타냅니다.
다음 예제는 Macie가 Excel 통합 문서에서 감지한 민감한 데이터의 발생 위치를 지정하는 `Cell` 객체의 구조를 보여줍니다.
```
"cells": [
{
"cellReference": "Sheet2!C5",
"column": 3,
"columnName": "SSN",
"row": 5
}
]
```
위 예제에서 조사 결과는 Macie가 통합 문서의 *Sheet2*라는 워크시트에서 민감한 데이터를 발견했음을 나타냅니다. 이 워크시트에서 Macie는 세 번째 열의 다섯 번째 행에 있는 셀(C열, 이름: *SSN*)에서 민감한 데이터를 발견했습니다.
### LineRanges 배열
**적용 대상:** 이메일 메시지(EML) 파일 및 CSV, JSON, JSON Lines 및 TSV 파일을 제외한 바이너리가 아닌 텍스트 파일(예: HTML, TXT 및 XML 파일)
`lineRanges` 배열에서 `Range` 객체는 Macie가 민감한 데이터의 발생을 감지한 줄 또는 여러 줄의 범위를 지정하고 지정된 줄 또는 줄에서의 데이터 위치를 지정합니다.
`occurrences` 객체의 다른 유형의 배열에서 지원하는 파일 유형의 경우 이 객체는 비어 있는 경우가 많습니다. 예외는 다음과 같습니다.
+ 기타 정형 파일의 비정형 섹션에 있는 데이터(예: 파일 내 댓글).
+ Macie가 일반 텍스트로 분석하는 잘못된 형식의 파일에 있는 데이터.
+ Macie가 민감한 데이터를 탐지한 열 이름이 하나 이상 있는 CSV 또는 TSV 파일.
다음 표에서는 `lineRanges` 배열의 `Range` 객체에 있는 각 필드의 용도를 설명합니다.
| Field | Type | 설명 |
| --- | --- | --- |
| end | Integer | 파일의 시작 부분부터 발생 끝 부분까지의 행 수입니다. |
| start | Integer | 파일의 시작 부분부터 발생 시작 부분까지의 행 수입니다. |
| startColumn | Integer | 스페이스를 포함하며 1부터 시작하여 해당 항목(start)이 포함된 첫 번째 행의 시작 부분부터 발생 시작 부분까지의 문자 수입니다. |
다음 예제는 Macie가 TXT 파일의 한 행에서 감지한 중요한 데이터의 발생 위치를 지정하는 `Range` 객체의 구조를 보여줍니다.
```
"lineRanges": [
{
"end": 1,
"start": 1,
"startColumn": 119
}
]
```
위 예제의 조사 결과는 Macie가 파일의 첫 번째 행에서 민감한 데이터(우편 주소)가 완전히 발생한 것을 탐지했음을 나타냅니다. 첫 번째 문자는 해당 행의 시작 부분부터 119자(스페이스 포함)입니다.
다음 예제는 TXT 파일에서 여러 행에 걸쳐 나타나는 민감한 데이터의 위치를 지정하는 `Range` 객체의 구조를 보여줍니다.
```
"lineRanges": [
{
"end": 54,
"start": 51,
"startColumn": 1
}
]
```
위 예제의 조사 결과는 Macie가 파일의 51\$154행에 걸쳐 민감한 데이터(우편 주소)의 발생을 탐지했음을 나타냅니다. 해당 항목의 첫 번째 문자는 파일 51행의 첫 번째 문자입니다.
### 페이지 배열
**적용 대상:** Adobe Portable Document Format(PDF) 파일
`pages` 배열에서 `Page` 객체는 Macie가 민감한 데이터의 발생을 감지한 페이지를 지정합니다. 객체는 `pageNumber` 필드를 포함하고 있습니다. `pageNumber` 필드에는 해당 항목이 포함된 페이지의 페이지 번호를 지정하는 정수가 저장됩니다.
다음 예제는 Macie가 PDF 파일에서 탐지한 민감한 데이터의 발생 위치를 지정하는 `Page` 개체의 구조를 보여줍니다.
```
"pages": [
{
"pageNumber": 10
}
]
```
위 예제의 조사 결과는 파일 10페이지에 해당 발생이 포함되어 있음을 나타냅니다.
### 레코드 배열
**적용 대상:** Apache Avro 객체 컨테이너, Apache Parquet 파일, JSON 파일 및 JSON Lines 파일
Avro 객체 컨테이너 또는 Parquet 파일의 경우 `records` 배열의 `Record` 객체는 Macie가 민감한 데이터의 발생을 감지한 레코드의 필드 경로와 레코드 색인을 지정합니다. JSON 및 JSON Lines 파일의 경우 `Record` 객체는 Macie가 민감한 데이터의 발생을 감지한 필드 또는 배열의 경로를 지정합니다. JSON Lines 파일의 경우 발생이 포함된 행의 인덱스도 지정합니다.
다음 표에는 `Record` 객체에 있는 각 필드의 용도가 설명되어 있습니다.
| Field | Type | 설명 |
| --- | --- | --- |
| jsonPath | 문자열 | 해당 발생까지의 경로(JSONPath 표현식)입니다. Avro 객체 컨테이너 또는 Parquet 파일의 경우 이 경로는 해당 발생이 포함된 레코드(`recordIndex`)의 필드 경로입니다. JSON 또는 JSON Lines 파일의 경우 이 경로는 해당 발생이 포함된 필드 또는 배열의 경로입니다. 데이터가 배열의 값인 경우 경로에는 해당 발생이 포함된 값도 표시됩니다. Macie가 경로에 있는 요소 이름에서 민감한 데이터를 감지하면 Macie는 해당 `jsonPath` 필드를 `Record` 객체에서 생략합니다. 경로 요소 이름이 240자를 초과하는 경우 Macie는 이름의 시작 부분에서 문자를 제거하여 이름을 잘라냅니다. 결과적인 전체 경로가 250자를 초과하는 경우 Macie는 경로의 첫 번째 요소부터 시작하여 경로에 250자 이하가 될 때까지 경로를 잘라냅니다. |
| recordIndex | Integer | Avro 객체 컨테이너 또는 Parquet 파일의 경우 발생이 포함된 레코드의 레코드 인덱스(0부터 시작)입니다. JSON Lines 파일의 경우, 발생이 포함된 행의 행 인덱스(0부터 시작)입니다. JSON 파일의 경우 이 값은 항상 0입니다. |
다음 예제는 Macie가 Parquet 파일에서 탐지한 민감한 데이터의 발생 위치를 지정하는 `Record` 객체의 구조를 보여줍니다.
```
"records": [
{
"jsonPath": "$['abcdefghijklmnopqrstuvwxyz']",
"recordIndex": 7663
}
]
```
위의 예에서 조사 결과는 Macie가 인덱스 7663의 레코드(레코드 번호 7664)에서 민감한 데이터를 탐지했음을 나타냅니다. 이 레코드에서 Macie는 이름이 `abcdefghijklmnopqrstuvwxyz`인 필드에서 민감한 데이터를 발견했습니다. 레코드에 있는 필드의 전체 JSON 경로는 `$.abcdefghijklmnopqrstuvwxyz`입니다. 필드는 루트(외부 수준) 객체의 직계 하위 항목입니다.
다음 예제는 Macie가 Parquet 파일에서 감지한 민감한 데이터 발생에 대한 `Record` 객체 구조도 보여줍니다. 하지만 이 예제에서는 이름이 문자 제한을 초과했기 때문에 Macie가 해당 발생이 포함된 필드 이름을 잘라냈습니다.
```
"records": [
{
"jsonPath": "$['...uvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyz']",
"recordIndex": 7663
}
]
```
위 예제에서 필드는 루트(외부 수준) 객체의 직계 하위 항목입니다.
다음 예제에서도 Macie가 Parquet 파일에서 감지한 민감한 데이터의 경우 해당 항목이 포함된 필드의 전체 경로를 잘라냈습니다. 전체 경로가 문자 제한을 초과했습니다.
```
"records": [
{
"jsonPath": "$..usssn2.usssn3.usssn4.usssn5.usssn6.usssn7.usssn8.usssn9.usssn10.usssn11.usssn12.usssn13.usssn14.usssn15.usssn16.usssn17.usssn18.usssn19.usssn20.usssn21.usssn22.usssn23.usssn24.usssn25.usssn26.usssn27.usssn28.usssn29['abcdefghijklmnopqrstuvwxyz']",
"recordIndex": 2335
}
]
```
위의 예에서 조사 결과는 Macie가 인덱스 2335의 레코드(레코드 번호 2336)에서 민감한 데이터를 탐지했음을 나타냅니다. 이 레코드에서 Macie는 이름이 `abcdefghijklmnopqrstuvwxyz`인 필드에서 민감한 데이터를 발견했습니다. 레코드에 있는 필드의 전체 JSON 경로는 다음과 같습니다.
`$['1234567890']usssn1.usssn2.usssn3.usssn4.usssn5.usssn6.usssn7.usssn8.usssn9.usssn10.usssn11.usssn12.usssn13.usssn14.usssn15.usssn16.usssn17.usssn18.usssn19.usssn20.usssn21.usssn22.usssn23.usssn24.usssn25.usssn26.usssn27.usssn28.usssn29['abcdefghijklmnopqrstuvwxyz']`
다음 예제는 Macie가 JSON 파일에서 탐지한 민감한 데이터의 발생 위치를 지정하는 `Record` 개체의 구조를 보여줍니다. 이 예제에서 이 발생은 배열의 특정 값입니다.
```
"records": [
{
"jsonPath": "$.access.key[2]",
"recordIndex": 0
}
]
```
위 예제에서 조사 결과는 Macie가 이름이 `key`인 배열의 두 번째 값에서 민감한 데이터를 탐지했음을 나타냅니다. 배열은 이름이 `access`인 객체의 하위 배열입니다.
다음 예제는 Macie가 JSON Lines 파일에서 탐지한 민감한 데이터의 발생 위치를 지정하는 `Record` 개체의 구조를 보여줍니다.
```
"records": [
{
"jsonPath": "$.access.key",
"recordIndex": 3
}
]
```
위 예제의 결과는 Macie가 파일의 세 번째 값(행)에서 민감한 데이터를 탐지했음을 나타냅니다. 이 줄에서는 이름이 `key`인 필드에서 발생하는데, 이 필드는 이름이 `access`인 객체의 하위 필드입니다.