特徴

• バケットの利用状況の可視化、オブジェクトの可視化ができる
• 設定に基づき、指定されたバケット内の機微情報の評価、検出を自動化できる
  • 機微情報は個人情報、口座番号など保護が必要な情報や設計技術など他社に知られてはいけない情報
• 機械学習とパターンマッチングを組み合わせて機微情報を検出する
• 評価、検出結果を参照し、他サービスへ連携できる
• マルチアカウントの場合、マスター/メンバー構成をとってマスターアカウントのMacieをメンバーアカウントで実行できる
• Macieによる検出結果は暗号化されたストレージで一時的に保持される
• S3 - Macie間の通信は暗号化される

利用概要

• アカウント内の全バケットをスキャンするものではなく、バケット状態の確認後にスキャンが必要なバケットを指定する
  
  • バケットの状態とは公開状況や暗号化状況、共有状況など
  • フィルタ表示ができる
    • オブジェクト数や暗号化有無、暗号化方式など
  • S3のみがスキャン対象
• スキャンはジョブを作成して定義されたものが実行される
• ジョブにはスキャン対象のバケットや実行スケジュールを定義する
  • サンプリング深度100で全オブジェクトをスキャンする
  • 100未満の場合はランダムに指定された比率のオブジェクトをスキャンする
  • 拡張子や更新日など条件フィルターができる
  • 文字コードはUTF-8のみ対応している
  • PCRE(Perl Compatible Regular Expressions)を利用した正規表現によるパターンマッチングを利用した検出ができる
  • SSE-S3, AWS-KMS, SSE-KMSによる暗号化であればスキャンできる
  • SSE-C, CSEによる暗号化は復号できないのでスキャンできない

ユーザガイド

• docs.aws.amazon.com