翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
コンソールを使用して Amazon SNS でデータ保護ポリシーを作成する
AWS アカウント内の Amazon SNS リソースの数とサイズには制限があります。詳細については、「Amazon Simple Notification Service のエンドポイントとクォータ」を参照してくださ。
Amazon SNS トピックとともにデータ保護ポリシーを作成するには (コンソール)
このオプションを使用して、標準の Amazon SNS トピックと一緒に新しいデータ保護ポリシーを作成します。
Amazon SNS コンソール
にサインインします。 -
トピックを選択するか、新しいトピックを作成できます。トピックの作成の詳細については、「Amazon SNS のトピックの作成」を参照してください。
-
[Create topic] (トピックの作成) ページの [Details] (詳細) セクションで [Standard] (標準) を選択します。
-
トピックの名前を入力します。
-
(オプション) トピックの表示名を入力します。
-
-
[Data protection policy] (データ保護ポリシー) を展開します。
-
[Configuration mode] (設定モード) を選択します。
-
[Basic] (ベーシック) — シンプルなメニューを使用してデータ保護ポリシーを定義します。
-
[Advanced] (アドバンスト) — JSON を使用してカスタムデータ保護ポリシーを定義します。
-
-
(オプション) 独自のカスタムデータ識別子を作成するには、[カスタムデータ識別子の設定セクション] を展開し、次の操作を行います。
-
カスタムデータ識別子の一意の名前を入力します。カスタムデータ識別子名には、英数字、アンダースコア (_)、ハイフン (-) を使用できます。カスタム識別子名の長さは最大 128 文字です。カスタムデータ識別子は、マネージドデータ識別子と同じ名前を共有することはできません。カスタムデータ識別子の制限の詳細な一覧については、「カスタムデータ識別子の制約」を参照してください。
-
カスタムデータ識別子の正規表現 (RegEx) を入力します。RegEx は、英数字、RegEx 予約文字、および記号をサポートしています。RegEx の最大長は 200 文字です。RegEx が複雑すぎる場合、Amazon SNS は API コールに失敗します。RegEx の制限の詳細な一覧については、カスタムデータ識別子の制約 を参照してください。
-
(オプション) 必要に応じて [カスタムデータ識別子の追加] を選択し、データ識別子を追加します。各データ保護ポリシーに使用できるカスタムデータ識別子は最大 10個です。
-
-
データ保護ポリシーに追加したいステートメントを選択します。監査、識別解除 (マスクまたは編集)、拒否 (ブロック) の各ステートメントタイプを同じデータ保護ポリシーに追加できます。
-
[Add audit statement] (監査ステートメントの追加) — 監査する機密データ、そのデータについて監査するメッセージの割合、監査ログの送信先を設定します。
注記
データ保護ポリシーまたはトピックごとに許可される監査ステートメントは 1 つだけです。
-
データ識別子を指定して監査する機密データを定義します。
-
[Audit sample rate] (監査サンプルレート) に、機密情報を監査するメッセージの割合を最大 99% で入力します。
-
監査送信先 AWS のサービス で、監査結果を送信する を選択し、 AWS のサービス 使用する各 の送信先名を入力します。次のAmazon Web Services から選択できます。
-
Amazon CloudWatch — CloudWatch Logs は AWS の標準ロギングソリューションです。CloudWatch Logs を使用すると、Logs Insights (サンプルはこちら) を使用してログ分析を実行し、メトリクスとアラームを作成できます。CloudWatch Logs は多くのサービスがログを公開する場所であるため、1 つのソリューションを使用してすべてのログを簡単に集約できます。Amazon CloudWatch の詳細については、「Amazon CloudWatch ユーザーガイド」を参照してください。
-
Amazon Data Firehose — Firehose は、Splunk、OpenSearch、および Amazon Redshift へのリアルタイムストリーミングによる詳細なログ分析のニーズに対応します。Amazon Data Firehose の詳細については、「Amazon Data Firehose ユーザーガイド」を参照してください。
-
Amazon Simple Storage Service — Amazon S3 は、アーカイブ用のログ記録先として経済的です。ログは、数年間にわたって保持が必要な場合があります。こうした場合、ログを Amazon S3 に保存することで、コストを節約できます。Amazon Simple Storage Service の詳細については、「Amazon Simple Storage Service ユーザーガイド」を参照してください。
-
-
-
識別解除ステートメントの追加 — メッセージで識別解除したい機密データを設定して、そのデータをマスクまたは編集するか、アカウントでそのデータの配信を停止します。
-
データ識別子の場合は、識別解除する機密データを選択します。
-
この識別解除ステートメントを定義するには、この識別解除ステートメントが適用される AWS アカウントまたは IAM プリンシパルを選択します。これはすべての AWS アカウント、または特定の AWS アカウントまたはアカウント ID または IAM エンティティ ARN を使用する IAM エンティティ (アカウントルート、ロール、またはユーザー) に適用できます。複数の ID または ARN を設定するには、それぞれをカンマ (,) で区切ります。
サポートされている IAM プリンシパルは次のとおりです。
-
IAM アカウントプリンシパル — 例:
arn:aws:iam::AWS-account-ID:root。 -
IAM ロールプリンシパル — 例:
arn:aws:iam::AWS-account-ID:role/role-name。 -
IAM ユーザープリンシパル — 例:
arn:aws:iam::AWS-account-ID:user/user-name。
-
-
識別解除オプションの場合は、機密データを識別解除する方法を選択します。以下のオペレーションがサポートされています。
-
編集 — データを完全に削除します。例えば、email:
classified@amazon.comは email: -
マスク — データを単一の文字に置き換えます。例えば、email:
classified@amazon.comは email:*********************になります。
-
-
(オプション) 必要に応じて、さらに識別解除ステートメントを追加します。
-
-
[Add deny statement] (拒否ステートメントの追加) — トピック内を移動しないようにする機密データと、そのデータの送信を防ぐプリンシパルを構成します。
-
データ方向については、拒否ステートメントのメッセージの方向を選択します。
-
[Inbound messages] (インバウンドメッセージ) — この拒否ステートメントをトピックに送信されるメッセージに適用します。
-
[Outbound messages] (アウトバウンドメッセージ) — この拒否ステートメントを、トピックがサブスクリプションエンドポイントに配信するメッセージに適用します。
-
-
データ識別子を選択して拒否する機密データを定義します。
-
この拒否ステートメントに適用する IAM プリンシパルを選択します。アカウント IDs または IAM エンティティ ARNs を使用するすべてのアカウント、 AWS 特定の AWS アカウント または IAM エンティティ (アカウントルート、ロール、ユーザーなど) に適用できます。複数の ID または ARN を設定するには、それぞれをカンマ (,) で区切ります。サポートされている IAM プリンシパルは次のとおりです。
-
IAM アカウントプリンシパル — 例:
arn:aws:iam::AWS-account-ID:root。 -
IAM ロールプリンシパル — 例:
arn:aws:iam::AWS-account-ID:role/role-name。 -
IAM ユーザープリンシパル — 例:
arn:aws:iam::AWS-account-ID:user/user-name。
-
-
(オプション) 必要に応じて、さらに拒否ステートメントを追加します。
-
-
