Microsoft Purview 用 Amazon S3 マルチクラウド スキャン コネクタ
Microsoft Purview 用マルチクラウド スキャン コネクタを使用すると、Azure ストレージ サービスに加えて Amazon Web Services を含むクラウド プロバイダー全体で組織のデータを調べることができます。
この記事では、Microsoft Purview を使用して、現在 Amazon S3 標準バケットに格納されている非構造化データをスキャンし、データに存在する機密情報の種類を検出する方法について説明します。 このハウツー ガイドでは、簡単な情報保護とデータコンプライアンスのためにデータが現在格納されている Amazon S3 バケットを識別する方法についても説明します。
このサービスでは、Microsoft Purview を使用して、AWS へのセキュリティで保護されたアクセス権を持つ Microsoft アカウントを提供します。このアカウントでは、Microsoft Purview 用のマルチクラウド スキャン コネクタが実行されます。 Microsoft Purview 用マルチクラウド スキャン コネクタは、Amazon S3 バケットへのこのアクセスを使用してデータを読み取り、メタデータと分類のみを含むスキャン結果を Azure に報告します。 Microsoft Purview 分類レポートとラベル付けレポートを使用して、データ スキャンの結果を分析および確認します。
重要
Microsoft Purview 用のマルチクラウド スキャン コネクタは、Microsoft Purview とは別のアドオンです。 Microsoft Purview 用マルチクラウド スキャン コネクタの使用条件は、Microsoft Azure Services を取得した契約に含まれています。 詳細については、 の「Microsoft Azure の法的情報 https://azure.microsoft.com/support/legal/」を参照してください。
サポートされている機能
メタデータ抽出 | フル スキャン | 増分スキャン | スコープスキャン | 分類 | ラベル付け | アクセス ポリシー | 系統 | データ共有 | ライブ ビュー |
---|---|---|---|---|---|---|---|---|---|
はい | はい | はい | はい | はい | はい | いいえ | 限ら れた** | 不要 | 不要 |
** データセットが Data Factory Copy アクティビティのソース/シンクとして使用されている場合は、系列がサポートされます
既知の制限
Glacier ストレージ クラスの Amazon S3 をスキャンする場合、スキーマ抽出、分類、秘密度ラベルはサポートされていません。
Amazon S3 をスキャンする場合、Microsoft Purview プライベート エンドポイントはサポートされていません。
Microsoft Purview の制限の詳細については、次を参照してください。
ストレージとスキャンリージョン
Amazon S3 サービスの Microsoft Purview コネクタは現在、特定のリージョンにのみデプロイされています。 次の表は、データが格納されているリージョンを、Microsoft Purview によってスキャンされるリージョンにマップします。
重要
顧客は、バケットのリージョンに応じて、関連するすべてのデータ転送料金に対して課金されます。
ストレージリージョン | スキャン領域 |
---|---|
米国東部 (オハイオ) | 米国東部 (オハイオ) |
米国東部 (バージニア北部) | 米国東部 (バージニア北部) |
米国西部 (N. カリフォルニア) | 米国西部 (N. カリフォルニア) |
米国西部 (オレゴン) | 米国西部 (オレゴン) |
アフリカ (ケープタウン) | ヨーロッパ (フランクフルト) |
アジア太平洋 (香港特別行政区) | アジア太平洋 (東京) |
アジア 太平洋 (ムンバイ) | アジア 太平洋 (シンガポール) |
アジア太平洋 (大阪ローカル) | アジア太平洋 (東京) |
アジア太平洋 (ソウル) | アジア太平洋 (東京) |
アジア 太平洋 (シンガポール) | アジア 太平洋 (シンガポール) |
アジア太平洋 (シドニー) | アジア太平洋 (シドニー) |
アジア太平洋 (東京) | アジア太平洋 (東京) |
カナダ (中部) | 米国東部 (オハイオ) |
中国 (北京) | サポート対象外 |
中国 (寧夏) | 非サポート |
ヨーロッパ (フランクフルト) | ヨーロッパ (フランクフルト) |
ヨーロッパ (アイルランド) | ヨーロッパ (アイルランド) |
ヨーロッパ (ロンドン) | ヨーロッパ (ロンドン) |
ヨーロッパ (ミラノ) | ヨーロッパ (パリ) |
ヨーロッパ (パリ) | ヨーロッパ (パリ) |
ヨーロッパ (ストックホルム) | ヨーロッパ (フランクフルト) |
中東 (バーレーン) | ヨーロッパ (フランクフルト) |
南アメリカ (サンパウロ) | 米国東部 (オハイオ) |
前提条件
Amazon S3 バケットを Microsoft Purview データ ソースとして追加し、S3 データをスキャンする前に、次の前提条件を実行していることを確認します。
- Microsoft Purview データ ソース 管理である必要があります。
- まだアカウントを持っていない場合は、Microsoft Purview アカウントを作成します
- Microsoft Purview で使用する新しい AWS ロールを作成する
- AWS バケット スキャンの Microsoft Purview 資格情報を作成する
- 暗号化された Amazon S3 バケットのスキャンを構成する (該当する場合)
- バケット ポリシーで接続がブロックされていないことを確認します。 詳細については、「 バケット ポリシーの要件 」と「 SCP ポリシーの要件」を参照してください。 これらの項目については、AWS エキスパートに問い合わせて、ポリシーで必要なアクセスが許可されていることを確認する必要があります。
- Microsoft Purview リソースとしてバケットを追加する場合は、 AWS ARN の値、 バケット名、場合によっては AWS アカウント ID が必要になります。
Microsoft Purview アカウントを作成する
既に Microsoft Purview アカウントをお持ちの場合は、 AWS S3 のサポートに必要な構成を続行できます。 「 AWS バケット スキャンの Microsoft Purview 資格情報を作成する」から始めます。
Microsoft Purview アカウントを作成する必要がある場合は、「Microsoft Purview アカウントインスタンスを作成する」の手順に従います。 アカウントを作成したら、ここに戻って構成を完了し、Amazon S3 用 Microsoft Purview コネクタの使用を開始します。
Microsoft Purview の新しい AWS ロールを作成する
Microsoft Purview スキャナーは、AWS の Microsoft アカウントにデプロイされます。 Microsoft Purview スキャナーが S3 データを読み取ることができるようにするには、AWS portal の IAM 領域でスキャナーで使用する専用ロールを作成する必要があります。
この手順では、Microsoft Purview から必要な Microsoft アカウント ID と外部 ID を使用して AWS ロールを作成し、Microsoft Purview にロール ARN 値を入力する方法について説明します。
Microsoft アカウント ID と外部 ID を見つけるには:
Microsoft Purview で、管理センター>の [セキュリティ] に移動し、[資格情報]にアクセス>します。
[ 新規 ] を選択して新しい資格情報を作成します。
表示される [ 新しい資格情報 ] ウィンドウの [ 認証方法 ] ドロップダウンで、[ ロール ARN] を選択します。
次に、別のファイルに表示される Microsoft アカウント ID と 外部 ID の 値をコピーするか、AWS の関連フィールドに貼り付けるときに便利です。 例:
Microsoft Purview の AWS ロールを作成するには:
Amazon Web Services コンソールを開き、[セキュリティ]、[ID]、[コンプライアンス] で [IAM] を選択します。
[ ロール ] を選択し、[ ロールの作成] を選択します。
[ 別の AWS アカウント] を選択し、次の値を入力します。
フィールド 説明 Account ID Microsoft アカウント ID を入力します。 例: 181328463391
[外部 ID] [オプション] で[ 外部 ID が必要]...を選択し、指定されたフィールドに外部 ID を入力します。
例:e7e2b8a3-0a9f-414f-a065-afaf4ac6d994
例:
[ ロール > の作成] [アクセス許可ポリシーのアタッチ ] 領域で、 S3 に表示されるアクセス許可をフィルター処理します。 [ AmazonS3ReadOnlyAccess] を選択し、[ 次へ: タグ] を選択します。
重要
AmazonS3ReadOnlyAccess ポリシーは、S3 バケットのスキャンに必要な最小限のアクセス許可を提供し、他のアクセス許可も含めることができます。
バケットのスキャンに必要な最小限のアクセス許可のみを適用するには、1 つのバケットをスキャンするか、アカウント内のすべてのバケットをスキャンするかに応じて、「 AWS ポリシーの最小アクセス許可」に一覧表示されているアクセス許可を持つ新しいポリシーを作成します。
AmazonS3ReadOnlyAccess ではなく、ロールに新しいポリシーを適用します。
[ タグの追加 (省略可能)] 領域で、必要に応じて、この新しいロールの意味のあるタグを作成することを選択できます。 便利なタグを使用すると、作成する各ロールのアクセスを整理、追跡、制御できます。
必要に応じて、タグの新しいキーと値を入力します。 完了したら、またはこの手順をスキップする場合は、[ 次へ: 確認] を選択してロールの詳細を確認し、ロールの作成を完了します。
[ レビュー ] 領域で、次の操作を行います。
- [ ロール名 ] フィールドに、ロールのわかりやすい名前を入力します
- [ ロールの説明 ] ボックスに、ロールの目的を識別するための省略可能な説明を入力します。
- [ ポリシー] セクションで、正しいポリシー (AmazonS3ReadOnlyAccess) がロールにアタッチされていることを確認します。
次に、[ ロールの作成 ] を選択してプロセスを完了します。 例:
追加の必須構成:
AWS-KMS 暗号化を使用するバケットの場合、スキャンを有効にするには特別な構成が必要です。
バケット ポリシーが接続をブロックしていないことを確認します。 詳細については、以下を参照してください:
AWS S3 スキャンの Microsoft Purview 資格情報を作成する
この手順では、AWS バケットをスキャンするときに使用する新しい Microsoft Purview 資格情報を作成する方法について説明します。
ヒント
Microsoft Purview の新しい AWS ロールの作成から直接作業を続けている場合は、Microsoft Purview で [新しい資格情報] ウィンドウが既に開いている可能性があります。
スキャンの構成中に、プロセスの途中で新しい資格情報を作成することもできます。 その場合は、[ 資格情報 ] フィールドで [ 新規] を選択します。
Microsoft Purview で 管理センターに移動し、[ セキュリティとアクセス] で [資格情報] を選択 します。
[ 新規] を選択し、右側に表示される [ 新しい資格情報 ] ウィンドウで、次のフィールドを使用して Microsoft Purview 資格情報を作成します。
フィールド 説明 名前 この資格情報のわかりやすい名前を入力します。 説明 この資格情報の説明 (省略可能) を入力します (例: Used to scan the tutorial S3 buckets
認証方法 ロール ARN を使用してバケットにアクセスするため、[ロール ARN] を選択します。 ロール ARN Amazon IAM ロールを作成したら、AWS IAM 領域でロールに移動し、[ロール ARN] の値をコピーして、ここに入力します。 (例: arn:aws:iam::181328463391:role/S3Role
)。
詳細については、「 新しいロール ARN を取得する」を参照してください。AWS でロール ARN を作成するときに、Microsoft アカウント ID と外部 ID の値が使用されます。
資格情報の作成が完了したら、[ 作成 ] を選択します。
Microsoft Purview 資格情報の詳細については、「Microsoft Purview でのソース認証の資格情報」を参照してください。
暗号化された Amazon S3 バケットのスキャンを構成する
AWS バケットでは、複数の暗号化の種類がサポートされています。 AWS-KMS 暗号化を使用するバケットの場合、スキャンを有効にするには特別な構成が必要です。
注:
暗号化を使用しないバケット (AES-256 または AWS-KMS S3 暗号化) の場合は、このセクションをスキップし、引き続き Amazon S3 バケット名を取得します。
Amazon S3 バケットで使用される暗号化の種類をチェックするには:
AWS で、 Storage>S3> に移動し、左側のメニューから [バケット ] を選択します。
チェックするバケットを選択します。 バケットの詳細ページで、[ プロパティ ] タブを選択し、[ 既定の暗号化 ] 領域まで下にスクロールします。
選択したバケットが AWS-KMS 暗号化以外に対して構成されている場合 (バケットの既定の暗号化が無効になっている場合など ) は、この手順の残りの部分をスキップして、「 Amazon S3 バケット名を取得する」に進みます。
選択したバケットが AWS-KMS 暗号化用に構成されている場合は、以下の説明に従って、カスタム AWS-KMS 暗号化を使用してバケットをスキャンできる新しいポリシーを追加します。
例:
カスタム AWS-KMS 暗号化を使用してバケットのスキャンを許可する新しいポリシーを追加するには:
AWS で、[ サービス>IAM>ポリシー] に移動し、[ ポリシーの作成] を選択します。
[ポリシー>の作成] [ビジュアル エディター] タブで、次の値を使用してポリシーを定義します。
フィールド 説明 サービス 「 KMS」と入力して選択します。 アクション [ アクセス レベル] で、[ 書き込み ] を選択して [ 書き込み ] セクションを展開します。
展開したら、[ 復号化 ] オプションのみを選択します。リソース 特定のリソースまたは [すべてのリソース] を選択します。 完了したら、[ ポリシーの確認 ] を選択して続行します。
[ ポリシーの確認 ] ページで、ポリシーのわかりやすい名前と説明 (省略可能) を入力し、[ ポリシーの作成] を選択します。
新しく作成されたポリシーがポリシーの一覧に追加されます。
スキャンのために追加したロールに新しいポリシーをアタッチします。
[IAM>ロール] ページに戻り、前に追加したロールを選択します。
[ アクセス許可 ] タブで、[ ポリシーのアタッチ] を選択します。
[ アクセス許可のアタッチ] ページで、上記で作成した新しいポリシーを検索して選択します。 [ ポリシーのアタッチ] を選択して、ポリシーをロールにアタッチします。
[ 概要] ページが更新され、新しいポリシーがロールにアタッチされます。
バケット ポリシーのアクセスを確認する
S3 バケット ポリシー が接続をブロックしていないことを確認します。
- AWS で、S3 バケットに移動し、[アクセス許可] タブ [バケット ポリシー] を選択します>。
- ポリシーの詳細を確認して、Microsoft Purview スキャナー サービスからの接続がブロックされていないことを確認します。
SCP ポリシーへのアクセスを確認する
S3 バケットへの接続をブロックする SCP ポリシー がないことを確認します。
たとえば、SCP ポリシーでは、S3 バケットがホストされている AWS リージョン への読み取り API 呼び出しがブロックされる場合があります。
- SCP ポリシーで許可する必要がある必要のある API 呼び出しには、、
GetObject
GetBucketLocation
、、ListBucket
、GetBucketPublicAccessBlock
が含まれますAssumeRole
。 - SCP ポリシーでは、API 呼び出しの既定のリージョンである us-east-1 AWS リージョンへの呼び出しも許可する必要があります。 詳細については、 AWS のドキュメントを参照してください。
SCP ドキュメントに従い、organizationの SCP ポリシーを確認し、Microsoft Purview スキャナーに必要なすべてのアクセス許可が使用可能であることを確認します。
新しいロール ARN を取得する
Amazon S3 バケットのスキャンを作成するときは、AWS ロール ARN を記録し、それを Microsoft Purview にコピーする必要があります。
ロール ARN を取得するには:
[AWS Identity and Access Management (IAM)ロール]> 領域で、Microsoft Purview 用に作成した新しいロールを検索して選択します。
ロールの [概要] ページで、ロール ARN 値の右側にある [クリップボードにコピー] ボタンを選択します。
Microsoft Purview では、AWS S3 の資格情報を編集し、取得したロールを [ロール ARN ] フィールドに貼り付けることができます。 詳細については、「 1 つ以上の Amazon S3 バケットのスキャンを作成する」を参照してください。
Amazon S3 バケット名を取得する
Amazon S3 バケットのスキャンを作成するときに、Amazon S3 バケットの名前を Microsoft Purview にコピーする必要があります
バケット名を取得するには:
AWS で、 Storage>S3> に移動し、左側のメニューから [バケット ] を選択します。
バケットを検索して選択してバケットの詳細ページを表示し、バケット名をクリップボードにコピーします。
例:
バケット名をセキュリティで保護されたファイルに貼り付け、プレフィックスを追加
s3://
して、バケットを Microsoft Purview アカウントとして構成するときに入力する必要がある値を作成します。例:
s3://purview-tutorial-bucket
ヒント
バケットのルート レベルのみが Microsoft Purview データ ソースとしてサポートされます。 たとえば、サブフォルダーを含む次の URL はサポート されていません 。 s3://purview-tutorial-bucket/view-data
ただし、特定の S3 バケットのスキャンを構成する場合は、スキャン用に 1 つ以上の特定のフォルダーを選択できます。 詳細については、スキャンのスコープを設定する手順 に関するページを参照してください。
AWS アカウント ID を見つける
すべてのバケットと共に、AWS アカウントを Microsoft Purview データ ソースとして登録するには、AWS アカウント ID が必要です。
AWS アカウント ID は、AWS コンソールへのサインインに使用する ID です。 また、IAM ダッシュボード、ナビゲーション オプションの下の左側、上部のサインイン URL の数値部分としてログインすると、それを見つけることもできます。
例:
1 つの Amazon S3 バケットを Microsoft Purview アカウントとして追加する
データ ソースとして Microsoft Purview に登録する S3 バケットが 1 つだけの場合、または AWS アカウントに複数のバケットがあるが、それらのすべてを Microsoft Purview に登録したくない場合は、この手順を使用します。
バケットを追加するには:
Microsoft Purview で、[ データ マップ ] ページに移動し、[ 登録>Amazon S3>続行します。
ヒント
複数のコレクションがあり、Amazon S3 を特定のコレクションに追加する場合は、右上にある [マップ] ビューを選択し、コレクション内の [登録] を選択します。
開いた [ ソースの登録 (Amazon S3)] ペインで、次の詳細を入力します。
フィールド 説明 名前 わかりやすい名前を入力するか、指定された既定値を使用します。 バケット URL 次の構文を使用して、AWS バケット URL を入力します。 s3://<bucketName>
注: バケットのルート レベルのみを使用してください。 詳細については、「 Amazon S3 バケット名を取得する」を参照してください。コレクションを選択する コレクション内からデータ ソースを登録することを選択した場合、そのコレクションは既に一覧表示されています。
必要に応じて別のコレクションを選択し、コレクションを割り当てない場合は [なし] 、新しいコレクションを今すぐ作成するには [ 新規 ] を選択します。
Microsoft Purview コレクションの詳細については、「Microsoft Purview でデータ ソースを管理する」を参照してください。完了したら、[ 完了] を選択して登録を完了します。
「 1 つ以上の Amazon S3 バケットのスキャンを作成する」に進みます。
Microsoft Purview アカウントとして AWS アカウントを追加する
Amazon アカウントに複数の S3 バケットがあり、それらすべてを Microsoft Purview データ ソースとして登録する場合は、この手順を使用します。
スキャンを構成するときに、スキャンする特定のバケットをすべて一緒にスキャンしない場合は、スキャンする特定のバケットを選択できます。
Amazon アカウントを追加するには:
Microsoft Purview で、[ データ マップ ] ページに移動し、[ 登録>Amazon アカウント>続行します。
ヒント
複数のコレクションがあり、Amazon S3 を特定のコレクションに追加する場合は、右上にある [マップ] ビューを選択し、コレクション内の [登録] を選択します。
開いた [ ソースの登録 (Amazon S3)] ペインで、次の詳細を入力します。
フィールド 説明 名前 わかりやすい名前を入力するか、指定された既定値を使用します。 AWS アカウント ID AWS アカウント ID を入力します。 詳細については、「AWS アカウント ID を見つける」を参照してください。 コレクションを選択する コレクション内からデータ ソースを登録することを選択した場合、そのコレクションは既に一覧表示されています。
必要に応じて別のコレクションを選択し、コレクションを割り当てない場合は [なし] 、新しいコレクションを今すぐ作成するには [ 新規 ] を選択します。
Microsoft Purview コレクションの詳細については、「Microsoft Purview でデータ ソースを管理する」を参照してください。完了したら、[ 完了] を選択して登録を完了します。
「 1 つ以上の Amazon S3 バケットのスキャンを作成する」に進みます。
1 つ以上の Amazon S3 バケットのスキャンを作成する
バケットを Microsoft Purview データ ソースとして追加したら、スケジュールされた間隔で、またはすぐに実行するようにスキャンを構成できます。
Microsoft Purview ガバナンス ポータルの左側のウィンドウで [データ マップ] タブを選択し、次のいずれかの操作を行います。
- [マップ] ビューで、[新しいスキャンを選択します。データ ソース ボックスに表示されます。
- リスト ビューで、データ ソースの行にカーソルを合わせ、[新しいスキャン] [新しいスキャン] を選択します。
右側に開く [ スキャン... ] ウィンドウで、次のフィールドを定義し、[ 続行] を選択します。
フィールド 説明 名前 スキャンのわかりやすい名前を入力するか、既定値を使用します。 型 AWS アカウントを追加した場合にのみ表示され、すべてのバケットが含まれます。
現在のオプションには、 すべての>Amazon S3 のみが含まれます。 Microsoft Purview のサポート マトリックスが拡大するにつれて、その他のオプションを選択できるようにご期待ください。Credential ロール ARN を使用して Microsoft Purview 資格情報を選択します。
ヒント: この時点で新しい資格情報を作成する場合は、[新規] を選択 します。 詳細については、「 AWS バケット スキャンの Microsoft Purview 資格情報を作成する」を参照してください。Amazon S3 AWS アカウントを追加した場合にのみ表示され、すべてのバケットが含まれます。
スキャンするバケットを 1 つ以上選択するか、[ すべて選択] を選択 してアカウント内のすべてのバケットをスキャンします。Microsoft Purview は、ロール ARN が有効であること、およびバケット内のバケットとオブジェクトにアクセスできることを自動的にチェックし、接続が成功した場合は続行します。
ヒント
続行する前に別の値を入力して接続をテストするには、右下にある [ 接続のテスト ] を選択してから [続行] を選択 します。
[ スキャンのスコープ ] ウィンドウで、スキャンに含める特定のバケットまたはフォルダーを選択します。
AWS アカウント全体のスキャンを作成するときは、スキャンする特定のバケットを選択できます。 特定の AWS S3 バケットのスキャンを作成するときに、スキャンする特定のフォルダーを選択できます。
[ スキャンルールセットの選択 ] ペインで、 AmazonS3 の既定のルールセットを選択するか、[ 新しいスキャンルールセット ] を選択して新しいカスタムルールセットを作成します。 ルール セットを選択したら、[続行] を選択 します。
新しいカスタム スキャン ルール セットを作成する場合は、ウィザードを使用して次の設定を定義します。
Pane 説明 新しいスキャン ルール セット /
スキャン ルールの説明ルール セットのわかりやすい名前と説明 (省略可能) を入力します ファイルの種類を選択する スキャンに含めるすべてのファイルの種類を選択し、[続行] を選択 します。
新しいファイルの種類を追加するには、[ 新しいファイルの種類] を選択し、次を定義します。
- 追加するファイル拡張子
- 省略可能な説明
- ファイルの内容にカスタム区切り記号があるかどうか、またはシステム ファイルの種類かどうか。 次に、カスタム区切り記号を入力するか、システム ファイルの種類を選択します。
[ 作成] を 選択して、カスタム ファイルの種類を作成します。分類ルールを選択する データセットに対して実行する分類ルールに移動して選択します。 完了したら、[ 作成 ] を選択してルール セットを作成します。
[ スキャン トリガーの設定 ] ウィンドウで、次のいずれかを選択し、[続行] を選択 します。
- 定期的な スキャンのスケジュールを構成するための定期的な
- 一度 すぐに開始するスキャンを構成する
[スキャンの確認] ウィンドウで、スキャンの詳細をチェックして正しいことを確認し、前のウィンドウで [1 回] を選択した場合は [保存] または [保存して実行] を選択します。
注:
開始すると、スキャンが完了するまでに最大 24 時間かかることがあります。 分析情報レポートを確認し、各スキャンを開始してから 24 時間後にカタログを検索できます。
詳細については、「 Microsoft Purview スキャン結果を調べる」を参照してください。
Microsoft Purview スキャンの結果を調べる
Amazon S3 バケットで Microsoft Purview スキャンが完了したら、Microsoft Purview データ マップ 領域をドリルダウンしてスキャン履歴を表示します。
データ ソースを選択して詳細を表示し、[ スキャン ] タブを選択して、現在実行中または完了しているスキャンを表示します。 複数のバケットを含む AWS アカウントを追加した場合、各バケットのスキャン履歴がアカウントの下に表示されます。
例:
Microsoft Purview の他の領域を使用して、Amazon S3 バケットなど、データ資産内のコンテンツの詳細を確認します。
Microsoft Purview データ カタログを検索し、 特定のバケットをフィルター処理します。 例:
分析情報レポートを表示 して、分類、秘密度ラベル、ファイルの種類、およびコンテンツに関する詳細の統計情報を表示します。
すべての Microsoft Purview Insight レポートには、Amazon S3 スキャンの結果と、Azure データ ソースからの残りの結果が含まれます。 関連する場合、別の Amazon S3 アセットタイプがレポートフィルタリングオプションに追加されました。
詳細については、「 Microsoft Purview の Data Estate Insights について」を参照してください。
AWS ポリシーの最小アクセス許可
S3 バケットをスキャンするときに 使用する Microsoft Purview の AWS ロールを作成 するための既定の手順では、 AmazonS3ReadOnlyAccess ポリシーが使用されます。
AmazonS3ReadOnlyAccess ポリシーは、S3 バケットのスキャンに必要な最小限のアクセス許可を提供し、他のアクセス許可も含めることができます。
バケットのスキャンに必要な最小限のアクセス許可のみを適用するには、1 つのバケットをスキャンするか、アカウント内のすべてのバケットをスキャンするかに応じて、次のセクションに記載されているアクセス許可を持つ新しいポリシーを作成します。
AmazonS3ReadOnlyAccess ではなく、ロールに新しいポリシーを適用します。
個々のバケット
個々の S3 バケットをスキャンする場合、AWS の最小アクセス許可には次のものが含まれます。
GetBucketLocation
GetBucketPublicAccessBlock
GetObject
ListBucket
特定のバケット名を使用してリソースを定義してください。 例:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:GetBucketPublicAccessBlock",
"s3:GetObject",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::<bucketname>"
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": "arn:aws:s3::: <bucketname>/*"
}
]
}
アカウント内のすべてのバケット
AWS アカウント内のすべてのバケットをスキャンする場合、AWS の最小アクセス許可には以下が含まれます。
GetBucketLocation
GetBucketPublicAccessBlock
GetObject
ListAllMyBuckets
-
ListBucket
.
ワイルドカードを使用してリソースを定義してください。 例:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:GetBucketPublicAccessBlock",
"s3:GetObject",
"s3:ListAllMyBuckets",
"s3:ListBucket"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": "*"
}
]
}
トラブルシューティング
Amazon S3 リソースをスキャンするには 、AWS の Microsoft アカウントで実行されている Microsoft Purview スキャナー サービスがデータを読み取ることができるように、AWS IAM でロールを作成する必要があります。
ロールの構成エラーにより、接続エラーが発生する可能性があります。 このセクションでは、スキャンの設定中に発生する可能性がある接続エラーの例と、各ケースのトラブルシューティング ガイドラインについて説明します。
次のセクションで説明するすべての項目が適切に構成されていて、S3 バケットのスキャンがエラーで失敗する場合は、Microsoft サポートにお問い合わせください。
注:
ポリシー アクセスの問題については、バケット ポリシーも SCP ポリシーも、Microsoft Purview からの S3 バケットへのアクセスをブロックしていないことを確認します。
詳細については、「 バケット ポリシーのアクセスを確認する 」と 「SCP ポリシーのアクセスを確認する」を参照してください。
バケットは KMS で暗号化されます
AWS ロールに KMS 復号化 アクセス許可があることを確認します。 詳細については、「 暗号化された Amazon S3 バケットのスキャンを構成する」を参照してください。
AWS ロールに外部 ID がありません
AWS ロールに正しい外部 ID があることを確認します。
- AWS IAM 領域で、[ ロール > の信頼関係 ] タブを選択します。
- 「 Microsoft Purview の新しい AWS ロールを作成する 」の手順に従って、詳細を確認します。
ロール ARN でエラーが見つかりました
これは、ロール ARN を使用するときの問題を示す一般的なエラーです。 たとえば、次のようにトラブルシューティングを行うことができます。
AWS ロールに、選択した S3 バケットを読み取るために必要なアクセス許可があることを確認します。 必要なアクセス許可には、暗号化されたバケットに対する読み取りアクセス許可または
KMS Decrypt
最小読み取りアクセス許可が含まれますAmazonS3ReadOnlyAccess
。AWS ロールに正しい Microsoft アカウント ID があることを確認します。 AWS IAM 領域で、[ ロール > の信頼関係 ] タブを選択し、「 Microsoft Purview 用の新しい AWS ロールをもう 一度作成する」の手順に従って詳細を確認します。
詳細については、「 指定したバケットが見つからない」を参照してください。
指定したバケットが見つかりません
S3 バケット URL が適切に定義されていることを確認します。
- AWS で、S3 バケットに移動し、バケット名をコピーします。
- Microsoft Purview で、Amazon S3 データ ソースを編集し、次の構文を使用して、コピーしたバケット名を含むようにバケット URL を更新します。
s3://<BucketName>
次の手順
Microsoft Purview Insight レポートの詳細については、以下をご覧ください。