翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # Amazon SNS データ保護ポリシーの理解 **重要** Amazon SNS メッセージデータ保護は、新規顧客には利用できなくなりました。代替方法の詳細とガイダンスについては、[Amazon SNS メッセージデータ保護の可用性の変更](https://docs.aws.amazon.com/sns/latest/dg/sns-message-data-protection-availability-change.html)」を参照してください。 ## データ保護ポリシーとは Amazon SNS は**データ保護ポリシー**を使って、スキャンする機密データと、そのデータが Amazon SNS トピックで交換されないように保護するアクションを選択します。目的の機密データを選択するには、[データ識別子](sns-message-data-protection-managed-data-identifiers.md)を使用します。次に、Amazon SNS メッセージデータ保護は、機械学習とパターンマッチングを使用して機密データを検出します。見つかったデータ識別子に基づいて、**監査**、**識別解除**、または**拒否**のオペレーションを定義できます。これらのオペレーションにより、見つかった (または見つからなかった) 機密データをログに記録、機密データをマスクまたは編集、またはメッセージの配信を拒否できます。 ![Amazon SNS はデータ保護ポリシーを使用して、異なる 間で機密データを管理および保護します AWS のサービス。インバウンドメッセージとアウトバウンドメッセージの両方のワークフローを示し、データがモニタリングされる方法を説明します。データの監査、識別解除、データ送信の拒否などのポリシー設定に基づいてアクションが実行され、個人を特定できる情報 (PII) や保護された医療情報 (PHI) などの情報が保護される方法について詳しく説明します。](http://docs.aws.amazon.com/ja_jp/sns/latest/dg/images/message-data-protection-policies-overview.png) ## データ保護ポリシーの構成の仕組み 次の図に示すように、データ保護ポリシードキュメントには次の要素が含まれています。 + ドキュメントの最上部に記載されるポリシー全体の情報 (任意) + 1 つ以上の個別のステートメント 各ステートメントには、1 つのアクセス許可に関する情報が含まれています。 ![Amazon SNS のデータ保護ポリシーが、さまざまな要素で構成されていることを示しています。ポリシー名、説明、バージョンをはじめ、データ方向、識別子、関連するプリンシパルに基づいてアクション (監査、識別解除、拒否など) を指定する複数のステートメントなどで構成されています。](http://docs.aws.amazon.com/ja_jp/sns/latest/dg/images/payload-policy-process.png) Amazon SNS トピックごとに定義できるデータ保護ポリシーは 1 つだけです。データ保護ポリシーには、1 つまたは複数の拒否または識別解除ステートメントと 1 つの監査ステートメントのみを含めることができます。 ### データ保護ポリシーの JSON プロパティ データ保護ポリシーでは、識別のために以下の基本ポリシー情報が必要です。 + **Name** – ポリシーの名前。 + **Description** (オプション) – ポリシーの説明。 + **Version** – ポリシー言語のバージョン。現在のバージョンは 2021-06-01. です。 + **Statement** – データ保護ポリシーアクションを指定するステートメントのリスト。 ``` { "Name": "basicPII-protection", "Description": "Protect basic types of sensitive data", "Version": "2021-06-01", "Statement": [ ... ] } ``` ### ポリシーステートメントの JSON プロパティ ポリシーステートメントは、データ保護オペレーションの検出コンテキストを設定します。 + **[Sid]** (オプション) — ステートメントの識別子。 + **[DataDirection]** (データ方向) — Amazon SNS トピックに関するインバウンド (API リクエストの発行) またはアウトバウンド (通知配信)。 + **[DataIdentifier]** (データ識別子) — Amazon SNS トピックがスキャンすべき機密データ。名前、住所、電話番号などです。 + **[プリンシパル]** — トピックを発行した IAM プリンシパル、またはトピックにサブスクライブされた IAM プリンシパル。 + **[Operation]** (オペレーション) — 機密データが見つかると Amazon SNS トピックが実行する、**[Audit]** (監査)、**[De-identify]** (マスクまたは編集)、または **[Deny]** (拒否) (ブロック) のいずれかである後続のアクション。 ``` { "Sid": "basicPII-inbound-protection", "DataDirection": "Inbound", "Principal": ["*"], "DataIdentifier": [ "arn:aws:dataprotection::aws:data-identifier/Name", "arn:aws:dataprotection::aws:data-identifier/PhoneNumber-US" ], "Operation": { ... } } ``` ### ポリシーステートメントオペレーションの JSON プロパティ ポリシーステートメントは、次のデータ保護オペレーションのいずれかを設定します。 + [**監査**](sns-message-data-protection-operations.md#statement-operation-json-properties-audit) – メッセージの発行や配信を中断することなく、メトリクスと検出結果ログを出力します。 + [**識別解除**](sns-message-data-protection-operations.md#statement-operation-json-properties-deidentify) — メッセージの公開を中断することなく、機密データをマスク、または編集できます。 + [**拒否**](sns-message-data-protection-operations.md#statement-operation-json-properties-deny) — Amazon SNS 発行リクエストをブロックするか、メッセージの配信を失敗させます。 ## データ保護ポリシーの IAM プリンシパルを決定する方法 メッセージデータ保護では、Amazon SNS とやり取りする 2 つの IAM プリンシパルを使用します。 1. **[Publish API Principal]** (API プリンシパルの発行) (インバウンド) — Amazon SNS `Publish` API を呼び出す認証済みの IAM プリンシパル。 1. **[Subscription Principal]** (サブスクリプションプリンシパル) (アウトバウンド) — サブスクリプションの作成中に `Subscribe` API を呼び出した認証済みの IAM プリンシパル。 `SubscriptionPrincipal` は公開されている Amazon SNS サブスクリプションプロパティで、`GetSubscriptionAttributes` API から取得できます。 ``` { "Attributes": { "SubscriptionPrincipal": "arn:aws:iam::123456789012:user/NoNameAccess", "Owner": "123412341234", "RawMessageDelivery": "true", "TopicArn": "arn:aws:sns:us-east-1:123412341234:PII-data-topic", "Endpoint": "arn:aws:sqs:us-east-1:123456789012:NoNameAccess", "Protocol": "sqs", "PendingConfirmation": "false", "ConfirmationWasAuthenticated": "true", "SubscriptionArn": "arn:aws:sns:us-east-1:123412341234:PII-data-topic:5d8634ef-67ef-49eb-a824-4042b28d6f55" } } ```