다음을 통해 공유


Microsoft Purview용 Amazon S3 다중 클라우드 검사 커넥터

Microsoft Purview용 다중 클라우드 검사 커넥터를 사용하면 Azure Storage 서비스 외에도 Amazon Web Services를 비롯한 클라우드 공급자에서 조직 데이터를 탐색할 수 있습니다.

이 문서에서는 Microsoft Purview를 사용하여 현재 Amazon S3 표준 버킷에 저장된 비정형 데이터를 검사하고 데이터에 존재하는 중요한 정보 유형을 검색하는 방법을 설명합니다. 이 방법 가이드에서는 간편한 정보 보호 및 데이터 규정 준수를 위해 데이터가 현재 저장되어 있는 Amazon S3 버킷을 식별하는 방법도 설명합니다.

이 서비스의 경우 Microsoft Purview를 사용하여 Microsoft Purview용 다중 클라우드 검사 커넥터가 실행되는 AWS에 대한 보안 액세스 권한을 Microsoft 계정에 제공합니다. Microsoft Purview용 다중 클라우드 검사 커넥터는 Amazon S3 버킷에 대한 이 액세스를 사용하여 데이터를 읽은 다음 메타데이터 및 분류만 포함한 검사 결과를 Azure에 다시 보고합니다. Microsoft Purview 분류 및 레이블 지정 보고서를 사용하여 데이터 검사 결과를 분석하고 검토합니다.

중요

Microsoft Purview용 다중 클라우드 검사 커넥터는 Microsoft Purview에 대한 별도의 추가 기능입니다. Microsoft Purview용 다중 클라우드 검사 커넥터의 사용 약관은 Microsoft Azure 서비스를 획득한 계약에 포함되어 있습니다. 자세한 내용은 에서 Microsoft Azure 법률 정보를 참조하세요 https://azure.microsoft.com/support/legal/.

지원되는 기능

메타데이터 추출 전체 검사 증분 검사 범위가 지정된 검사 분류 레이블 지정 액세스 정책 계보 데이터 공유 라이브 보기
아니요 제한** 아니요 아니요

데이터 세트가 Data Factory 복사 작업 원본/싱크로 사용되는 경우 ** 계보가 지원됩니다.

알려진 제한

Glacier 스토리지 클래스의 Amazon S3을 검사할 때 스키마 추출, 분류 및 민감도 레이블은 지원되지 않습니다.

Microsoft Purview 프라이빗 엔드포인트는 Amazon S3을 검사할 때 지원되지 않습니다.

Microsoft Purview 제한에 대한 자세한 내용은 다음을 참조하세요.

스토리지 및 검사 지역

Amazon S3 서비스에 대한 Microsoft Purview 커넥터는 현재 특정 지역에만 배포됩니다. 다음 표는 데이터가 저장되는 지역을 Microsoft Purview에서 검사할 지역에 매핑합니다.

중요

고객은 버킷의 지역에 따라 모든 관련 데이터 전송 요금에 대해 요금이 청구됩니다.

스토리지 지역 검사 영역
미국 동부(오하이오 주) 미국 동부(오하이오 주)
미국 동부(버지니아 주) 미국 동부(버지니아 주)
미국 서부(캘리포니아 주) 미국 서부(캘리포니아 주)
미국 서부(오리건 주) 미국 서부(오리건 주)
아프리카(케이프타운) 유럽(프랑크푸르트)
아시아 태평양(홍콩 특별 행정구) 아시아 태평양(도쿄)
아시아 태평양(뭄바이) 아시아 태평양(싱가포르)
아시아 태평양(오사카-로컬) 아시아 태평양(도쿄)
아시아 태평양(서울) 아시아 태평양(도쿄)
아시아 태평양(싱가포르) 아시아 태평양(싱가포르)
아시아 태평양(시드니) 아시아 태평양(시드니)
아시아 태평양(도쿄) 아시아 태평양(도쿄)
캐나다(중부) 미국 동부(오하이오 주)
중국(베이징) 지원되지 않음
중국(닝샤) 지원되지 않음
유럽(프랑크푸르트) 유럽(프랑크푸르트)
유럽(아일랜드) 유럽(아일랜드)
유럽(런던) 유럽(런던)
유럽(밀라노) 유럽(파리)
유럽(파리) 유럽(파리)
유럽(스톡홀름) 유럽(프랑크푸르트)
중동(바레인) 유럽(프랑크푸르트)
남아메리카(상파울루) 미국 동부(오하이오 주)

필수 구성 요소

Amazon S3 버킷을 Microsoft Purview 데이터 원본으로 추가하고 S3 데이터를 검사하기 전에 다음 필수 조건을 수행했는지 확인합니다.

Microsoft Purview 계정 만들기

  • Microsoft Purview 계정이 이미 있는 경우 AWS S3 지원에 필요한 구성을 계속할 수 있습니다. AWS 버킷 검사를 위한 Microsoft Purview 자격 증명 만들기부터 시작합니다.

  • Microsoft Purview 계정을 만들어야 하는 경우 Microsoft Purview 계정만들기 instance 지침을 따릅니다. 계정을 만든 후 여기로 돌아와서 구성을 완료하고 Amazon S3용 Microsoft Purview 커넥터 사용을 시작합니다.

Microsoft Purview에 대한 새 AWS 역할 만들기

Microsoft Purview 스캐너는 AWS의 Microsoft 계정에 배포됩니다. Microsoft Purview 스캐너가 S3 데이터를 읽을 수 있도록 하려면 스캐너에서 사용할 AWS 포털의 IAM 영역에서 전용 역할을 만들어야 합니다.

이 절차에서는 필요한 Microsoft 계정 ID 및 Microsoft Purview의 외부 ID를 사용하여 AWS 역할을 만든 다음 Microsoft Purview에 역할 ARN 값을 입력하는 방법을 설명합니다.

Microsoft 계정 ID 및 외부 ID를 찾으려면 다음을 수행합니다.

  1. Microsoft Purview에서 관리 센터> 보안으로 이동하여자격 증명에 액세스>합니다.

  2. 새로 만들기를 선택하여 새 자격 증명을 만듭니다.

    표시되는 새 자격 증명 창의 인증 방법 드롭다운에서 역할 ARN을 선택합니다.

    그런 다음 별도의 파일에 표시되는 Microsoft 계정 ID외부 ID 값을 복사하거나 AWS의 관련 필드에 붙여넣는 데 편리하게 사용할 수 있습니다. 예를 들면

    Microsoft 계정 ID 및 외부 ID 값을 찾습니다.

Microsoft Purview에 대한 AWS 역할을 만들려면 다음을 수행합니다.

  1. Amazon Web Services 콘솔을 열고 보안, ID 및 규정 준수에서 IAM을 선택합니다.

  2. 역할을 선택한 다음, 역할 만들기를 선택합니다.

  3. 다른 AWS 계정을 선택한 다음, 다음 값을 입력합니다.

    필드 설명
    계정 ID Microsoft 계정 ID를 입력합니다. 예: 181328463391
    외부 ID 옵션에서 외부 ID 필요...를 선택한 다음 지정된 필드에 외부 ID를 입력합니다.
    예: e7e2b8a3-0a9f-414f-a065-afaf4ac6d994

    예를 들면

    AWS 계정에 Microsoft 계정 ID를 추가합니다.

  4. 역할 > 연결 권한 정책 만들기 영역에서 S3에 표시되는 권한을 필터링합니다. AmazonS3ReadOnlyAccess를 선택한 다음, 다음: 태그를 선택합니다.

    새 Amazon S3 검사 역할에 대한 ReadOnlyAccess 정책을 선택합니다.

    중요

    AmazonS3ReadOnlyAccess 정책은 S3 버킷을 검사하는 데 필요한 최소 권한을 제공하며 다른 권한도 포함할 수 있습니다.

    버킷을 검사하는 데 필요한 최소 권한만 적용하려면 계정의 단일 버킷 또는 모든 버킷을 검사할지에 따라 AWS 정책에 대한 최소 권한에 나열된 권한으로 새 정책을 만듭니다.

    AmazonS3ReadOnlyAccess 대신 역할에 새 정책을 적용합니다.

  5. 태그 추가(선택 사항) 영역에서 필요에 따라 이 새 역할에 대한 의미 있는 태그를 만들도록 선택할 수 있습니다. 유용한 태그를 사용하면 사용자가 만드는 각 역할에 대한 액세스를 구성, 추적 및 제어할 수 있습니다.

    필요에 따라 태그에 대한 새 키와 값을 입력합니다. 완료되면 또는 이 단계를 건너뛰려면 다음: 검토를 선택하여 역할 세부 정보를 검토하고 역할 만들기를 완료합니다.

    의미 있는 태그를 추가하여 새 역할에 대한 액세스를 구성, 추적 또는 제어합니다.

  6. 검토 영역에서 다음을 수행합니다.

    • 역할 이름 필드에 역할의 의미 있는 이름을 입력합니다.
    • 역할 설명 상자에 선택적 설명을 입력하여 역할의 목적을 식별합니다.
    • 정책 섹션에서 올바른 정책(AmazonS3ReadOnlyAccess)이 역할에 연결되어 있는지 확인합니다.

    그런 다음 역할 만들기 를 선택하여 프로세스를 완료합니다. 예를 들면

    역할을 만들기 전에 세부 정보를 검토합니다.

추가 필수 구성:

AWS S3 검사를 위한 Microsoft Purview 자격 증명 만들기

이 절차에서는 AWS 버킷을 검사할 때 사용할 새 Microsoft Purview 자격 증명을 만드는 방법을 설명합니다.

Microsoft Purview에 대한 새 AWS 역할 만들기에서 직접 진행하는 경우 Microsoft Purview에서 새 자격 증명 창이 이미 열려 있을 수 있습니다.

검사를 구성하는 동안 프로세스 중간에 새 자격 증명을 만들 수도 있습니다. 이 경우 자격 증명 필드에서 새로 만들기를 선택합니다.

  1. Microsoft Purview에서 관리 센터로 이동하고 보안 및 액세스에서 자격 증명을 선택합니다.

  2. 새로 만들기를 선택하고 오른쪽에 표시되는 새 자격 증명 창에서 다음 필드를 사용하여 Microsoft Purview 자격 증명을 만듭니다.

    필드 설명
    이름 이 자격 증명의 의미 있는 이름을 입력합니다.
    설명 이 자격 증명에 대한 선택적 설명을 입력합니다(예: ). Used to scan the tutorial S3 buckets
    인증 방법 역할 ARN을 사용하여 버킷에 액세스하므로 역할 ARN을 선택합니다.
    역할 ARN Amazon IAM 역할을 만든 후 AWS IAM 영역에서 역할로 이동하여 역할 ARN 값을 복사한 다음 여기에 입력합니다. 예: arn:aws:iam::181328463391:role/S3Role

    자세한 내용은 새 역할 ARN 검색을 참조하세요.

    Microsoft 계정 ID외부 ID 값은 AWS에서 역할 ARN을 만들 때 사용됩니다.

  3. 완료되면 만들기 를 선택하여 자격 증명 만들기를 완료합니다.

Microsoft Purview 자격 증명에 대한 자세한 내용은 Microsoft Purview에서 원본 인증을 위한 자격 증명을 참조하세요.

암호화된 Amazon S3 버킷에 대한 검사 구성

AWS 버킷은 여러 암호화 유형을 지원합니다. AWS-KMS 암호화를 사용하는 버킷의 경우 검사를 사용하도록 설정하려면 특별한 구성이 필요합니다.

참고

암호화, AES-256 또는 AWS-KMS S3 암호화를 사용하지 않는 버킷의 경우 이 섹션을 건너뛰고 Amazon S3 버킷 이름 검색을 계속합니다.

Amazon S3 버킷에 사용되는 암호화 유형을 검사:

  1. AWS에서 스토리지>S3> 으로 이동하고 왼쪽 메뉴에서 버킷 을 선택합니다.

    Amazon S3 버킷 탭을 선택합니다.

  2. 검사 버킷을 선택합니다. 버킷의 세부 정보 페이지에서 속성 탭을 선택하고 기본 암호화 영역까지 아래로 스크롤합니다.

    • 선택한 버킷이 AWS-KMS 암호화를 제외한 모든 항목에 대해 구성된 경우(버킷에 대한 기본 암호화가 사용 안 함인 경우 포함) 이 절차의 나머지 부분을 건너뛰고 Amazon S3 버킷 이름 검색을 계속합니다.

    • 선택한 버킷이 AWS-KMS 암호화에 대해 구성된 경우 아래 설명된 대로 계속하여 사용자 지정 AWS-KMS 암호화를 사용하여 버킷을 검사할 수 있는 새 정책을 추가합니다.

    예를 들면

    AWS-KMS 암호화로 구성된 Amazon S3 버킷 보기

사용자 지정 AWS-KMS 암호화를 사용하여 버킷을 검사할 수 있도록 새 정책을 추가하려면 다음을 수행합니다.

  1. AWS에서 서비스>IAM>정책으로 이동하고 정책 만들기를 선택합니다.

  2. 정책> 만들기시각적 편집기 탭에서 다음 값으로 정책을 정의합니다.

    필드 설명
    서비스 KMS를 입력하고 선택합니다.
    작업 액세스 수준에서쓰기를 선택하여 쓰기 섹션을 확장합니다.
    확장되면 암호 해독 옵션만 선택합니다.
    리소스 특정 리소스 또는 모든 리소스를 선택합니다.

    완료되면 정책 검토를 선택하여 계속합니다.

    AWS-KMS 암호화를 사용하여 버킷을 검사하기 위한 정책을 만듭니다.

  3. 정책 검토 페이지에서 정책의 의미 있는 이름과 선택적 설명을 입력한 다음 정책 만들기를 선택합니다.

    새로 만든 정책이 정책 목록에 추가됩니다.

  4. 검사를 위해 추가한 역할에 새 정책을 연결합니다.

    1. IAM>역할 페이지로 돌아가서 이전에 추가한 역할을 선택합니다.

    2. 사용 권한 탭에서 정책 연결을 선택합니다.

      역할의 사용 권한 탭에서 정책 연결을 선택합니다.

    3. 사용 권한 연결 페이지에서 위에서 만든 새 정책을 검색하여 선택합니다. 정책 연결을 선택하여 역할에 정책을 연결합니다.

      새 정책이 역할에 연결되어 요약 페이지가 업데이트됩니다.

      새 정책이 역할에 연결된 업데이트된 요약 페이지를 봅니다.

버킷 정책 액세스 확인

S3 버킷 정책이 연결을 차단하지 않는지 확인합니다.

  1. AWS에서 S3 버킷으로 이동한 다음 권한 탭 >버킷 정책을 선택합니다.
  2. 정책 세부 정보를 확인하여 Microsoft Purview 스캐너 서비스의 연결을 차단하지 않는지 확인합니다.

SCP 정책 액세스 확인

S3 버킷에 대한 연결을 차단하는 SCP 정책이 없는지 확인합니다.

예를 들어 SCP 정책은 S3 버킷이 호스트되는 AWS 지역에 대한 읽기 API 호출을 차단할 수 있습니다.

  • SCP 정책에서 허용해야 하는 필수 API 호출에는 , , GetBucketLocation, GetObject, ListBucketGetBucketPublicAccessBlock포함됩니다AssumeRole.
  • SCP 정책은 API 호출의 기본 지역 인 us-east-1 AWS 지역에 대한 호출도 허용해야 합니다. 자세한 내용은 AWS 설명서를 참조하세요.

SCP 설명서에 따라 organization SCP 정책을 검토하고 Microsoft Purview 스캐너에 필요한 모든 권한을 사용할 수 있는지 확인합니다.

새 역할 ARN 검색

Amazon S3 버킷에 대한 검사를 만들 때 AWS 역할 ARN을 기록하고 Microsoft Purview에 복사해야 합니다.

역할 ARN을 검색하려면 다음을 수행합니다.

  1. AWS IAM(ID 및 액세스 관리)>역할 영역에서 Microsoft Purview에 대해 만든 새 역할을 검색하여 선택합니다.

  2. 역할의 요약 페이지에서 역할 ARN 값의 오른쪽에 있는 클립보드에 복사 단추를 선택합니다.

    역할 ARN 값을 클립보드에 복사합니다.

Microsoft Purview에서 AWS S3에 대한 자격 증명을 편집하고 검색된 역할을 역할 ARN 필드에 붙여넣을 수 있습니다. 자세한 내용은 하나 이상의 Amazon S3 버킷에 대한 검사 만들기를 참조하세요.

Amazon S3 버킷 이름 검색

Amazon S3 버킷에 대한 검사를 만들 때 Microsoft Purview에 복사하려면 Amazon S3 버킷의 이름이 필요합니다.

버킷 이름을 검색하려면 다음을 수행합니다.

  1. AWS에서 스토리지>S3> 으로 이동하고 왼쪽 메뉴에서 버킷 을 선택합니다.

    Amazon S3 버킷 탭을 봅니다.

  2. 버킷을 검색하여 선택하여 버킷 세부 정보 페이지를 본 다음 버킷 이름을 클립보드에 복사합니다.

    예를 들면

    S3 버킷 URL을 검색하고 복사합니다.

    버킷 이름을 보안 파일에 붙여넣고 접두사를 s3:// 추가하여 버킷을 Microsoft Purview 계정으로 구성할 때 입력해야 하는 값을 만듭니다.

    예: s3://purview-tutorial-bucket

버킷의 루트 수준만 Microsoft Purview 데이터 원본으로 지원됩니다. 예를 들어 하위 폴더를 포함하는 다음 URL은 지원 되지 않습니다 . s3://purview-tutorial-bucket/view-data

그러나 특정 S3 버킷에 대한 검사를 구성하는 경우 검사에 대해 하나 이상의 특정 폴더를 선택할 수 있습니다. 자세한 내용은 검사를 scope 단계를 참조하세요.

AWS 계정 ID 찾기

AWS 계정을 모든 버킷과 함께 Microsoft Purview 데이터 원본으로 등록하려면 AWS 계정 ID가 필요합니다.

AWS 계정 ID는 AWS 콘솔에 로그인하는 데 사용하는 ID입니다. IAM dashboard 로그인한 후 탐색 옵션의 왼쪽과 맨 위에 로그인 URL의 숫자 부분으로 로그인하면 찾을 수도 있습니다.

예를 들면

AWS 계정 ID를 검색합니다.

단일 Amazon S3 버킷을 Microsoft Purview 계정으로 추가

Microsoft Purview에 데이터 원본으로 등록하려는 단일 S3 버킷만 있거나 AWS 계정에 여러 버킷이 있지만 모든 버킷을 Microsoft Purview에 등록하지 않으려는 경우 이 절차를 사용합니다.

버킷을 추가하려면 다음을 수행합니다.

  1. Microsoft Purview에서 데이터 맵 페이지로 이동하여 등록 등록아이콘을 선택합니다.>Amazon S3>계속합니다.

    Amazon AWS 버킷을 Microsoft Purview 데이터 원본으로 추가합니다.

    컬렉션이 여러개 있고 Amazon S3을 특정 컬렉션에 추가하려는 경우 오른쪽 위에 있는 지도 보기를 선택한 다음, 등록 등록 아이콘을 선택합니다. 컬렉션 내에서 단추.

  2. 열리는 원본 등록(Amazon S3) 창에서 다음 세부 정보를 입력합니다.

    필드 설명
    이름 의미 있는 이름을 입력하거나 제공된 기본값을 사용합니다.
    버킷 URL 다음 구문을 사용하여 AWS 버킷 URL을 입력합니다. s3://<bucketName>

    참고: 버킷의 루트 수준만 사용해야 합니다. 자세한 내용은 Amazon S3 버킷 이름 검색을 참조하세요.
    컬렉션 선택 컬렉션 내에서 데이터 원본을 등록하도록 선택한 경우 해당 컬렉션이 이미 나열되어 있습니다.

    필요에 따라 다른 컬렉션을 선택하고, 컬렉션을 할당하지 않으면 없음 을 선택하거나, 새로 만들기를 선택하여 새 컬렉션을 만듭니다.

    Microsoft Purview 컬렉션에 대한 자세한 내용은 Microsoft Purview에서 데이터 원본 관리를 참조하세요.

    완료되면 마침 을 선택하여 등록을 완료합니다.

하나 이상의 Amazon S3 버킷에 대한 검사 만들기를 계속 진행합니다.

AWS 계정을 Microsoft Purview 계정으로 추가

Amazon 계정에 여러 S3 버킷이 있고 모든 버킷을 Microsoft Purview 데이터 원본으로 등록하려는 경우 이 절차를 사용합니다.

스캔을 구성할 때 모든 버킷을 함께 검사하지 않으려면 검사할 특정 버킷을 선택할 수 있습니다.

Amazon 계정을 추가하려면 다음을 수행합니다.

  1. Microsoft Purview에서 데이터 맵 페이지로 이동하여 등록 등록아이콘을 선택합니다.>Amazon 계정>계속합니다.

    Amazon 계정을 Microsoft Purview 데이터 원본으로 추가합니다.

    컬렉션이 여러개 있고 Amazon S3을 특정 컬렉션에 추가하려는 경우 오른쪽 위에 있는 지도 보기를 선택한 다음, 등록 등록 아이콘을 선택합니다. 컬렉션 내에서 단추.

  2. 열리는 원본 등록(Amazon S3) 창에서 다음 세부 정보를 입력합니다.

    필드 설명
    이름 의미 있는 이름을 입력하거나 제공된 기본값을 사용합니다.
    AWS 계정 ID AWS 계정 ID를 입력합니다. 자세한 내용은 AWS 계정 ID 찾기를 참조하세요.
    컬렉션 선택 컬렉션 내에서 데이터 원본을 등록하도록 선택한 경우 해당 컬렉션이 이미 나열되어 있습니다.

    필요에 따라 다른 컬렉션을 선택하고, 컬렉션을 할당하지 않으면 없음 을 선택하거나, 새로 만들기를 선택하여 새 컬렉션을 만듭니다.

    Microsoft Purview 컬렉션에 대한 자세한 내용은 Microsoft Purview에서 데이터 원본 관리를 참조하세요.

    완료되면 마침 을 선택하여 등록을 완료합니다.

하나 이상의 Amazon S3 버킷에 대한 검사 만들기를 계속 진행합니다.

하나 이상의 Amazon S3 버킷에 대한 검사 만들기

버킷을 Microsoft Purview 데이터 원본으로 추가한 후에는 예약된 간격으로 또는 즉시 실행되도록 검사를 구성할 수 있습니다.

  1. Microsoft Purview 거버넌스 포털의 왼쪽 창에서 데이터 맵 탭을 선택한 다음 다음 중 하나를 수행합니다.

    • 맵 보기에서 새 검사새 검사 아이콘을 선택합니다. 데이터 원본 상자에서
    • 목록 보기에서 데이터 원본의 행을 마우스로 가리키고 새 검사새 검사 아이콘을 선택합니다.
  2. 오른쪽에 열리는 스캔... 창에서 다음 필드를 정의한 다음 , 계속을 선택합니다.

    필드 설명
    이름 검사에 의미 있는 이름을 입력하거나 기본값을 사용합니다.
    유형 모든 버킷이 포함된 AWS 계정을 추가한 경우에만 표시됩니다.

    현재 옵션은 모든>Amazon S3만 포함합니다. Microsoft Purview의 지원 매트릭스가 확장될 때 선택할 수 있는 더 많은 옵션을 계속 지켜봐 주시기 바랍니다.
    Credential 역할 ARN을 사용하여 Microsoft Purview 자격 증명을 선택합니다.

    : 현재 새 자격 증명을 만들려면 새로 만들기를 선택합니다. 자세한 내용은 AWS 버킷 검사에 대한 Microsoft Purview 자격 증명 만들기를 참조하세요.
    Amazon S3 모든 버킷이 포함된 AWS 계정을 추가한 경우에만 표시됩니다.

    검사할 버킷을 하나 이상 선택하거나 모두 선택하여 계정의 모든 버킷을 검사합니다.

    Microsoft Purview는 ARN 역할이 유효하고 버킷 내의 버킷 및 개체에 액세스할 수 있는지 자동으로 확인한 다음 연결이 성공하면 계속됩니다.

    계속하기 전에 다른 값을 입력하고 직접 연결을 테스트하려면 오른쪽 아래에서 연결 테스트를 선택한 후 계속을 선택합니다.

  3. 검사 범위 창에서 검사에 포함할 특정 버킷 또는 폴더를 선택합니다.

    전체 AWS 계정에 대한 검사를 만들 때 검사할 특정 버킷을 선택할 수 있습니다. 특정 AWS S3 버킷에 대한 검사를 만들 때 검사할 특정 폴더를 선택할 수 있습니다.

  4. 검사 규칙 집합 선택 창에서 AmazonS3 기본 규칙 집합을 선택하거나 새 검사 규칙 집합을 선택하여 새 사용자 지정 규칙 집합을 만듭니다. 규칙 집합이 선택되면 계속을 선택합니다.

    새 사용자 지정 검사 규칙 집합을 만들도록 선택하는 경우 마법사를 사용하여 다음 설정을 정의합니다.

    설명
    새 검사 규칙 집합 /
    검사 규칙 설명
    규칙 집합에 대한 의미 있는 이름과 선택적 설명을 입력합니다.
    파일 형식 선택 검사에 포함할 모든 파일 형식을 선택한 다음 계속을 선택합니다.

    새 파일 형식을 추가하려면 새 파일 형식을 선택하고 다음을 정의합니다.
    - 추가할 파일 확장명입니다.
    - 선택적 설명
    - 파일 내용에 사용자 지정 구분 기호가 있는지 또는 시스템 파일 형식인지 여부입니다. 그런 다음 사용자 지정 구분 기호를 입력하거나 시스템 파일 형식을 선택합니다.

    만들기를 선택하여 사용자 지정 파일 형식을 만듭니다.
    분류 규칙 선택 데이터 세트에서 실행하려는 분류 규칙으로 이동하여 선택합니다.

    완료되면 만들기 를 선택하여 규칙 집합을 만듭니다.

  5. 검사 트리거 설정 창에서 다음 중 하나를 선택한 다음, 계속을 선택합니다.

    • 되풀이 검사 일정을 구성하기 위한 되풀이
    • 즉시 시작하는 검사를 구성하려면 한 번
  6. 검사 검토 창에서 검사 세부 정보를 검사 올바른지 확인한 다음, 이전 창에서 한 번을 선택한 경우 저장 또는 저장 및 실행을 선택합니다.

    참고

    시작되면 검사를 완료하는 데 최대 24시간이 걸릴 수 있습니다. 각 검사를 시작한 후 24시간 후에 인사이트 보고서를 검토하고 카탈로그를 검색할 수 있습니다.

자세한 내용은 Microsoft Purview 검사 결과 탐색을 참조하세요.

Microsoft Purview 검사 결과 살펴보기

Amazon S3 버킷에서 Microsoft Purview 검사가 완료되면 Microsoft Purview 데이터 맵 영역에서 드릴다운하여 검사 기록을 확인합니다.

데이터 원본을 선택하여 세부 정보를 확인한 다음 검사 탭 선택하여 현재 실행 중이거나 완료된 검사를 확인합니다. 여러 버킷이 있는 AWS 계정을 추가한 경우 각 버킷에 대한 검사 기록이 계정 아래에 표시됩니다.

예를 들면

AWS 계정 원본 아래에 AWS S3 버킷 검사를 표시합니다.

Microsoft Purview의 다른 영역을 사용하여 Amazon S3 버킷을 포함하여 데이터 자산의 콘텐츠에 대한 세부 정보를 확인할 수 있습니다.

  • Microsoft Purview 데이터 카탈로그를 검색 하고 특정 버킷을 필터링합니다. 예를 들면

    카탈로그에서 AWS S3 자산을 검색합니다.

  • 인사이트 보고서를 보고 분류, 민감도 레이블, 파일 형식 및 콘텐츠에 대한 자세한 내용을 볼 수 있습니다.

    모든 Microsoft Purview Insight 보고서에는 Amazon S3 검사 결과와 Azure 데이터 원본의 나머지 결과가 포함됩니다. 관련된 경우 다른 Amazon S3 자산 유형이 보고서 필터링 옵션에 추가되었습니다.

    자세한 내용은 Microsoft Purview의 데이터 자산 인사이트 이해를 참조하세요.

AWS 정책에 대한 최소 권한

S3 버킷을 검사할 때 사용할 Microsoft Purview에 대한 AWS 역할을 만들기 위한 기본 절차는 AmazonS3ReadOnlyAccess 정책을 사용합니다.

AmazonS3ReadOnlyAccess 정책은 S3 버킷을 검사하는 데 필요한 최소 권한을 제공하며 다른 권한도 포함할 수 있습니다.

버킷을 검사하는 데 필요한 최소 권한만 적용하려면 계정의 단일 버킷 또는 모든 버킷을 검사할지에 따라 다음 섹션에 나열된 권한으로 새 정책을 만듭니다.

AmazonS3ReadOnlyAccess 대신 역할에 새 정책을 적용합니다.

개별 버킷

개별 S3 버킷을 검사할 때 최소 AWS 권한에는 다음이 포함됩니다.

  • GetBucketLocation
  • GetBucketPublicAccessBlock
  • GetObject
  • ListBucket

특정 버킷 이름으로 리소스를 정의해야 합니다. 예를 들면

{
"Version": "2012-10-17",
"Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:GetBucketPublicAccessBlock",
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": "arn:aws:s3:::<bucketname>"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": "arn:aws:s3::: <bucketname>/*"
        }
    ]
}

계정의 모든 버킷

AWS 계정의 모든 버킷을 검사할 때 최소 AWS 권한에는 다음이 포함됩니다.

  • GetBucketLocation
  • GetBucketPublicAccessBlock
  • GetObject
  • ListAllMyBuckets
  • ListBucket.

와일드카드를 사용하여 리소스를 정의해야 합니다. 예를 들면

{
"Version": "2012-10-17",
"Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:GetBucketPublicAccessBlock",
                "s3:GetObject",
                "s3:ListAllMyBuckets",
                "s3:ListBucket"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": "*"
        }
    ]
}

문제 해결

Amazon S3 리소스를 검사하려면 AWS의 Microsoft 계정에서 실행되는 Microsoft Purview 스캐너 서비스가 데이터를 읽을 수 있도록 AWS IAM에서 역할을 만들어야 합니다.

역할의 구성 오류로 인해 연결이 실패할 수 있습니다. 이 섹션에서는 검사를 설정하는 동안 발생할 수 있는 연결 오류의 몇 가지 예와 각 사례에 대한 문제 해결 지침을 설명합니다.

다음 섹션에 설명된 모든 항목이 올바르게 구성되고 S3 버킷 검사가 여전히 오류와 함께 실패하는 경우 Microsoft 지원에 문의하세요.

참고

정책 액세스 문제의 경우 버킷 정책이나 SCP 정책이 Microsoft Purview에서 S3 버킷에 대한 액세스를 차단하지 않는지 확인합니다.

자세한 내용은 버킷 정책 액세스 확인SCP 정책 액세스 확인을 참조하세요.

버킷은 KMS를 사용하여 암호화됩니다.

AWS 역할에 KMS 암호 해독 권한이 있는지 확인합니다. 자세한 내용은 암호화된 Amazon S3 버킷에 대한 검사 구성을 참조하세요.

AWS 역할에 외부 ID가 없습니다.

AWS 역할에 올바른 외부 ID가 있는지 확인합니다.

  1. AWS IAM 영역에서 역할 > 신뢰 관계 탭을 선택합니다.
  2. Microsoft Purview에 대한 새 AWS 역할 만들기의 단계에 따라 세부 정보를 확인합니다.

ARN 역할과 함께 발견된 오류

이는 역할 ARN을 사용할 때 문제를 나타내는 일반적인 오류입니다. 예를 들어 다음과 같이 문제를 해결할 수 있습니다.

  • AWS 역할에 선택한 S3 버킷을 읽는 데 필요한 권한이 있는지 확인합니다. 필요한 권한에는 암호화된 버킷에 대해 또는 최소 읽기 권한이KMS Decrypt 포함 AmazonS3ReadOnlyAccess 됩니다.

  • AWS 역할에 올바른 Microsoft 계정 ID가 있는지 확인합니다. AWS IAM 영역에서 역할 > 신뢰 관계 탭을 선택한 다음 , Microsoft Purview에 대한 새 AWS 역할 만들기 의 단계에 따라 세부 정보를 확인합니다.

자세한 내용은 지정된 버킷을 찾을 수 없습니다.를 참조하세요.

지정된 버킷을 찾을 수 없습니다.

S3 버킷 URL이 올바르게 정의되어 있는지 확인합니다.

  1. AWS에서 S3 버킷으로 이동하고 버킷 이름을 복사합니다.
  2. Microsoft Purview에서 Amazon S3 데이터 원본을 편집하고 다음 구문을 사용하여 복사한 버킷 이름을 포함하도록 버킷 URL을 업데이트합니다. s3://<BucketName>

다음 단계

Microsoft Purview Insight 보고서에 대해 자세히 알아보세요.