データ保護ポリシーを理解する - Amazon Simple Notification Service
データ保護ポリシーとはデータ保護ポリシーの構成の概要IAM プリンシパルを決定する方法

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

データ保護ポリシーを理解する

トピック

データ保護ポリシーとは

Amazon SNS はデータ保護ポリシーを使って、スキャンする機密データと、そのデータが Amazon SNS トピックで交換されないように保護するアクションを選択します。目的の機密データを選択するには、データ識別子を使用します。次に、Amazon SNS メッセージデータ保護は、機械学習とパターンマッチングを使用して機密データを検出します。見つかったデータ識別子に基づいて、監査識別解除、または拒否のオペレーションを定義できます。これらのオペレーションにより、見つかった (または見つからなかった) 機密データをログに記録、機密データをマスクまたは編集、またはメッセージの配信を拒否できます。

メッセージデータ保護では、データ保護ポリシーを使用して、Amazon SNS トピック内外に移動する機密データを監視します。

データ保護ポリシーの構成の仕組み

次の図に示すように、データ保護ポリシードキュメントには次の要素が含まれています。

  • ドキュメントの最上部に記載されるポリシー全体の情報 (任意)

  • 1 つ以上の個別のステートメント

各ステートメントには、1 つのアクセス許可に関する情報が含まれています。

ステートメントからポリシーステートメントへの例

Amazon SNS トピックごとに定義できるデータ保護ポリシーは 1 つだけです。データ保護ポリシーには、1 つまたは複数の拒否または識別解除ステートメントと 1 つの監査ステートメントのみを含めることができます。

データ保護ポリシーの JSON プロパティ

データ保護ポリシーでは、識別のために以下の基本ポリシー情報が必要です。

  • Name – ポリシーの名前。

  • Description (オプション) – ポリシーの説明。

  • Version – ポリシー言語のバージョン。現在のバージョンは 2021-06-01. です。

  • Statement – データ保護ポリシーアクションを指定するステートメントのリスト。

{
  "Name": "basicPII-protection",
  "Description": "Protect basic types of sensitive data",
  "Version": "2021-06-01",
  "Statement": [
        ...
  ]
}

ポリシーステートメントの JSON プロパティ

ポリシーステートメントは、データ保護オペレーションの検出コンテキストを設定します。

  • [Sid] (オプション) — ステートメントの識別子。

  • [DataDirection] (データ方向) — Amazon SNS トピックに関するインバウンド (API リクエストの発行) またはアウトバウンド (通知配信)。

  • [DataIdentifier] (データ識別子) — Amazon SNS トピックがスキャンすべき機密データ。名前、住所、電話番号などです。

  • [プリンシパル] — トピックを発行した IAM プリンシパル、またはトピックにサブスクライブされた IAM プリンシパル。

  • [Operation] (オペレーション) — 機密データが見つかると Amazon SNS トピックが実行する、[Audit] (監査)、[De-identify] (マスクまたは編集)、または [Deny] (拒否) (ブロック) のいずれかである後続のアクション。

{
    "Sid": "basicPII-inbound-protection",
    "DataDirection": "Inbound",
    "Principal": ["*"],
    "DataIdentifier": [
        "arn:aws:dataprotection::aws:data-identifier/Name",
        "arn:aws:dataprotection::aws:data-identifier/PhoneNumber-US"
    ],
    "Operation": {
        ...
    }
}

ポリシーステートメントオペレーションの JSON プロパティ

ポリシーステートメントは、次のデータ保護オペレーションのいずれかを設定します。

  • [Audit] (監査) — メッセージの発行や配信を中断することなく、メトリクスを出力してログを検索します。

  • 識別解除 — メッセージの公開を中断することなく、機密データをマスク、または編集できます。

  • [Deny] (拒否) — Amazon SNS 発行リクエストをブロックするか、メッセージの配信に失敗します。

データ保護ポリシーの IAM プリンシパルを決定する方法

メッセージデータ保護では、Amazon SNS とやり取りする 2 つの IAM プリンシパルを使用します。

  1. [Publish API Principal] (API プリンシパルの発行) (インバウンド) — Amazon SNS Publish API を呼び出す認証済みの IAM プリンシパル。

  2. [Subscription Principal] (サブスクリプションプリンシパル) (アウトバウンド) — サブスクリプションの作成中に Subscribe API を呼び出した認証済みの IAM プリンシパル。

SubscriptionPrincipal は公開されている Amazon SNS サブスクリプションプロパティで、GetSubscriptionAttributes API から取得できます。

{
  "Attributes": {
    "SubscriptionPrincipal": "arn:aws:iam::123456789012:user/NoNameAccess",
    "Owner": "123412341234",
    "RawMessageDelivery": "true",
    "TopicArn": "arn:aws:sns:us-east-1:123412341234:PII-data-topic",
    "Endpoint": "arn:aws:sqs:us-east-1:123456789012:NoNameAccess",
    "Protocol": "sqs",
    "PendingConfirmation": "false",
    "ConfirmationWasAuthenticated": "true",
    "SubscriptionArn": "arn:aws:sns:us-east-1:123412341234:PII-data-topic:5d8634ef-67ef-49eb-a824-4042b28d6f55"
  }
}