このページでは、Amazon S3 で使用する Sensitive Data Protection の検出について説明します。この機能は、Enterprise ティアで Security Command Center を有効にしたお客様のみご利用いただけます。
Sensitive Data Protection の検出機能を使用すると、S3 に保存されているデータの種類とデータの機密性レベルを確認できます。S3 データをプロファイリングすると、ファイルストアのデータ プロファイルが生成されます。このプロファイルには、S3 バケットに関する分析情報とメタデータが含まれます。S3 バケットごとに、ファイル ストアのデータ プロファイルには次の情報が含まれます。
- バケットに保存するファイルの種類(ファイルクラスタに分類)
- バケット内のデータの機密レベル
- 検出された各ファイル クラスタの概要(検出された機密情報の種類を含む)
各ファイルストア データ プロファイルの分析情報とメタデータの一覧については、ファイルストア データ プロファイルをご覧ください。
検出サービスの詳細については、データ プロファイルをご覧ください。
ワークフロー
Amazon S3 データのプロファイリングの概要は次のとおりです。
Security Command Center で、Amazon Web Services(AWS)のコネクタを作成します。[Sensitive Data Protection 検出の権限を付与する] チェックボックスがオンになっていることを確認し、手順に沿って、機密データ検出の権限を持つコネクタを構成します。
[機密データの保護の検出に権限を付与する] が選択されていないコネクタがすでにある場合は、既存の AWS コネクタに機密データ検出の権限を付与するをご覧ください。
global
リージョンまたは検出スキャン構成と生成されたすべてのデータ プロファイルを保存するリージョンに検査テンプレートを作成します。-
Sensitive Data Protection は、指定したスケジュールに従ってデータをプロファイリングします。
料金
Amazon S3 データをプロファイリングすると、検出の料金に記載されている Sensitive Data Protection の料金が発生します。また、Sensitive Data Protection が行うリクエストとS3 からインターネットへのデータ転送に対しても課金されます。
検出サービスがデータをプロファイリングすると、S3 バケット内のデータのサンプルがスキャンされます。Discovery はヒューリスティクス メソッドを使用して、各バケットと特定のファイル内でサンプリングするデータの量を決定します。このプロセスでは、一部のデータが Google Cloud に転送され、Sensitive Data Protection のコンテンツ検査サービスを使用して検査されます。断続的なエラーが発生しない場合、ほとんどの場合、各バケットで転送およびスキャンされるデータは 30 GB を超えません。各バケットでサンプリングされるデータは 30 GB 未満にできます。
Sensitive Data Protection からのリクエスト
機密データの保護は、S3 バケットのプロファイリング プロセスで次のオペレーションを実行します。
- プロファイルされた S3 バケットごとに 1 日あたり約 50 件の
LIST
リクエスト。 - プロファイリングされたバケット内のファイルごとに約 10 件の
GET
リクエスト。通常、Sensitive Data Protection は 100,000 回未満のGET
呼び出しを行います。コストを最適化する際にこの値に依存しないでください。この値は将来変更される可能性があります。
AWS が 1,000 リクエストごとに請求する料金は、S3 バケットのリージョンによって異なります。詳細については、Amazon S3 の料金に関するドキュメントのリクエストとデータの取得をご覧ください。
S3 からインターネットへのデータ転送
Sensitive Data Protection が S3 データをプロファイリングすると、データは S3 からインターネットに転送されたと見なされます。AWS の料金が発生する場合があります。詳細については、Amazon S3 の料金ドキュメントの Amazon S3 からインターネットへのデータ転送をご覧ください。
計算の例
米国東部(北部)の 10 個の S3 Standard バケットのプロファイルを作成するとします。バージニア)リージョンにログインしていることを確認します。検出オペレーションに直接関連する Amazon の費用は、次のように見積もることができます。
例: リクエストとデータの取得
バケットあたりの推定リクエスト数 | 10 バケットのリクエスト数の推定値 | Amazon レート | 小計 | |
---|---|---|---|---|
LIST |
50 | 500 | 呼び出し 1,000 回あたり $0.005 | 0.005 |
GET |
28,000 | 280,000 | 呼び出し 1,000 回あたり $0.0004 | 0.112 |
合計 | 0.117 |
例: Amazon S3 からインターネットへのデータ転送
バケットあたりのサンプリングされたデータ |
Amazon レート | バケットあたりの料金 |
---|---|---|
最大 30 GB | $0.09/GB | $2.70 まで |
データ所在地に関する検討事項
Amazon S3 データをプロファイリングする計画を立てる際は、次の点を考慮してください。
データ プロファイルは、検出スキャン構成とともに保存されます。一方、Google Cloud データをプロファイリングする場合、プロファイルはプロファイリング対象のデータと同じリージョンに保存されます。
検査テンプレートを
global
リージョンに保存する場合、検出スキャン構成を保存するリージョンで、そのテンプレートのインメモリ コピーが読み取られます。S3 データは変更されません。データのインメモリ コピーは、検出スキャン構成を保存するリージョンで読み取られます。ただし、機密データの保護では、パブリック インターネットに到達した後のデータの通過場所について保証はされません。データは SSL で暗号化されます。