Amazon のデータ保護ポリシーについて SNS - Amazon Simple Notification Service
データ保護ポリシーとはデータ保護ポリシーの構成の概要IAM プリンシパルを決定する方法

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon のデータ保護ポリシーについて SNS

トピック

データ保護ポリシーとは

Amazon SNS は、データ保護ポリシーを使用して、スキャンする機密データと、そのデータが Amazon SNSトピックによって交換されないように保護するために実行するアクションを選択します。目的の機密データを選択するには、データ識別子を使用します。Amazon SNS メッセージデータ保護は、機械学習とパターンマッチングを使用して機密データを検出します。見つかったデータ識別子に基づいて、監査識別解除、または拒否のオペレーションを定義できます。これらのオペレーションにより、見つかった (または見つからなかった) 機密データをログに記録、機密データをマスクまたは編集、またはメッセージの配信を拒否できます。

Amazon はデータ保護ポリシーSNSを利用して、さまざまな の機密データを管理および保護します AWS のサービス。インバウンドメッセージとアウトバウンドメッセージの両方のワークフローを示し、個人を特定できる情報 (PII) や保護対象の医療情報 () などの情報を保護するために、データの監査、識別解除、拒否などのポリシー設定に基づいてデータがどのようにモニタリングされ、アクションを実行するかを詳しく説明しますPHI。

データ保護ポリシーの構成の仕組み

次の図に示すように、データ保護ポリシードキュメントには次の要素が含まれています。

  • ドキュメントの最上部に記載されるポリシー全体の情報 (任意)

  • 1 つ以上の個別のステートメント

各ステートメントには、1 つのアクセス許可に関する情報が含まれています。

Amazon のデータ保護ポリシーの構造。ポリシーがSNS、ポリシー名、説明、バージョン、およびデータの方向、識別子、関連するプリンシパルに基づいて監査、識別解除、拒否などのアクションを指定する複数のステートメントなどのさまざまな要素で構成されている方法を示しています。

Amazon SNSトピックごとに定義できるデータ保護ポリシーは 1 つだけです。データ保護ポリシーには、1 つまたは複数の拒否または識別解除ステートメントと 1 つの監査ステートメントのみを含めることができます。

JSON データ保護ポリシーの プロパティ

データ保護ポリシーでは、識別のために以下の基本ポリシー情報が必要です。

  • Name – ポリシーの名前。

  • Description (オプション) – ポリシーの説明。

  • Version – ポリシー言語のバージョン。現在のバージョンは 2021-06-01. です。

  • Statement – データ保護ポリシーアクションを指定するステートメントのリスト。

{
  "Name": "basicPII-protection",
  "Description": "Protect basic types of sensitive data",
  "Version": "2021-06-01",
  "Statement": [
        ...
  ]
}

JSON ポリシーステートメントの プロパティ

ポリシーステートメントは、データ保護オペレーションの検出コンテキストを設定します。

  • Sid (オプション) – ステートメント識別子。

  • DataDirection – Amazon SNSトピックに関するインバウンド (公開APIリクエストの場合) またはアウトバウンド (通知配信の場合)。

  • DataIdentifier – Amazon SNSトピックがスキャンする機密データ。名前、住所、電話番号などです。

  • プリンシIAMパル – トピックに発行されるプリンシパル、またはトピックにサブスクライブされているIAMプリンシパル。

  • オペレーション – 次のアクションは、監査、識別解除 (マスクまたは編集)、または拒否 (ブロック) のいずれかです。このアクションは、Amazon SNSトピックが機密データを検出したときに実行されます。

{
    "Sid": "basicPII-inbound-protection",
    "DataDirection": "Inbound",
    "Principal": ["*"],
    "DataIdentifier": [
        "arn:aws:dataprotection::aws:data-identifier/Name",
        "arn:aws:dataprotection::aws:data-identifier/PhoneNumber-US"
    ],
    "Operation": {
        ...
    }
}

JSON ポリシーステートメントオペレーションの プロパティ

ポリシーステートメントは、次のデータ保護オペレーションのいずれかを設定します。

  • [Audit] (監査) — メッセージの発行や配信を中断することなく、メトリクスを出力してログを検索します。

  • 識別解除 — メッセージの公開を中断することなく、機密データをマスク、または編集できます。

  • 拒否 — Amazon SNS パブリッシュリクエストをブロックするか、メッセージ配信に失敗します。

データ保護ポリシーのIAMプリンシパルを確認するにはどうすればよいですか?

メッセージデータ保護は、Amazon とやり取りする 2 つのIAMプリンシパルを使用しますSNS。

  1. Publish API Principal (インバウンド) — Amazon を呼び出す認証済みIAMプリンシパルSNSPublishAPI。

  2. サブスクリプションプリンシパル (アウトバウンド) — サブスクリプションの作成SubscribeAPI中に を呼び出した認証済みIAMプリンシパル。

SubscriptionPrincipal は、 から取得できるパブリックに利用可能な Amazon GetSubscriptionAttributes SNSサブスクリプションプロパティですAPI。

{
  "Attributes": {
    "SubscriptionPrincipal": "arn:aws:iam::123456789012:user/NoNameAccess",
    "Owner": "123412341234",
    "RawMessageDelivery": "true",
    "TopicArn": "arn:aws:sns:us-east-1:123412341234:PII-data-topic",
    "Endpoint": "arn:aws:sqs:us-east-1:123456789012:NoNameAccess",
    "Protocol": "sqs",
    "PendingConfirmation": "false",
    "ConfirmationWasAuthenticated": "true",
    "SubscriptionArn": "arn:aws:sns:us-east-1:123412341234:PII-data-topic:5d8634ef-67ef-49eb-a824-4042b28d6f55"
  }
}