翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon SNS でのメッセージデータ保護
**重要**
Amazon SNS メッセージデータ保護は、2026 年 4 月 30 日以降、新規のお客様は利用できなくなります。代替方法の詳細とガイダンスについては、[Amazon SNS メッセージデータ保護の可用性の変更](https://docs.aws.amazon.com/sns/latest/dg/sns-message-data-protection-availability-change.html)」を参照してください。
## メッセージデータ保護とは
**メッセージデータ保護**は、[データ保護ポリシー](sns-message-data-protection-policies.md)を使用してアプリケーションまたは AWS サービス間を移動する機密情報を監査、マスク、編集、またはブロックすることで、Amazon SNS トピックに公開されるデータを保護します。
メッセージデータ保護は、*データ識別子*を使って、個人を特定できる情報 (PII) および保護医療情報 (PHI) に関する移動中のデータをスキャンします。[事前定義された](sns-message-data-protection-managed-data-identifiers.md) (または Amazon SNS マネージド) データ識別子 (名前、住所、クレジットカード番号、処方薬コードなど) の使用を選択するか、ビジネスユースケースに固有の独自の[カスタム](sns-message-data-protection-custom-data-identifiers.md)データ識別子を作成できます。メッセージデータ保護は、スキャンした情報を使用して詳細な監査ログを提供するため、データを保護するための措置を講じることができます。
メッセージデータ保護は、機密性の高い顧客情報を保護するために以下のアクションをサポートしています。
+ [**監査**](sns-message-data-protection-operations.md#statement-operation-json-properties-audit) — Amazon SNS トピックに発行されたデータの最大 99% を監査します。その後、検出結果を [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html)、[Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html)、または [https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html) のいずれかに送信できます。
+ [**識別解除**](sns-message-data-protection-operations.md#statement-operation-json-properties-deidentify) — メッセージの発行や配信を中断することなく、機密データをマスクまたは削除できます。
+ [**拒否**](sns-message-data-protection-operations.md#statement-operation-json-properties-deny) – ペイロード内に機密データが存在する場合、アプリケーションと AWS リソース間のデータ送信をブロックします。
**注記**
Amazon SNS は Amazon SNS 標準トピックのみのメッセージデータ保護をサポートします。
## メッセージデータ保護を使用すべき理由
ガバナンス、リスク管理、コンプライアンスプログラムにメッセージデータ保護を導入することで、データ漏洩の特定と防止に役立つデータ保護ポリシーを実装できます。これにより、HIPAA、GDPR、PCI、FedRAMP などのプライバシー規制に準拠することで、財務、法律、規制上のリスクを軽減するのに役立つツールをチームに提供できます。また、開発者は、機密データを保護するための独自のツールの構築および管理に伴う運用上のオーバーヘッドから解放されます。
たとえば、メッセージデータ保護を使用して*監査ポリシー*を作成し、誤って機密データを送受信しているシステムがないかどうかを確認できます。監査結果から、システムがクレジットカード情報を必要としないシステムに送信していることが明らかになった場合は、*ブロックポリシー*を使用してデータの配信を防止できます。
**注記**
Amazon SNS は Amazon SNS 標準トピックのみのメッセージデータ保護をサポートします。
# Amazon SNS メッセージデータ保護の可用性の変更
**重要**
Amazon SNS メッセージデータ保護は、2026 年 4 月 30 日以降、新規のお客様は利用できなくなります。代替方法の詳細とガイダンスについては、[Amazon SNS メッセージデータ保護の可用性の変更](https://docs.aws.amazon.com/sns/latest/dg/sns-message-data-protection-availability-change.html)」を参照してください。
慎重に検討した結果、Amazon SNS メッセージデータ保護機能は、2026 年 4 月 30 日以降、新規のお客様に利用できなくなります。SNS メッセージデータ保護ポリシーが設定されている既存のお客様は、これらのアカウント内でこの機能を引き続き使用できます。機能の強化は導入しませんが、セキュリティ更新の提供に引き続き取り組んでいます。
## 代替アーキテクチャ
Amazon Bedrock ガードレールを使用する AWS Lambdaベースのアーキテクチャは、代替ソリューションを求めるお客様に推奨されるアプローチです。このソリューションにより、機密データのリアルタイム検出と保護が可能になり、特定の要件を満たすようにデータ保護を柔軟にカスタマイズできます。
この 推奨 アーキテクチャ を示す例は、GitHub の Samples リポジトリで AWS 利用できます。[ Amazon Bedrock ガードレールを使用して SNS メッセージ内の機密データを保護する](https://github.com/aws-samples/sample-sns-sensitive-data-protection-bedrock)。 この例は、 機密データ の検出 に Amazon Bedrock ガードレール とカスタム パターン マッチング を活用する方法を示しています。
**アーキテクチャの概要**
推奨される Lambda ベースのアーキテクチャは、次のように機能します。
1. パブリッシャーは、インバウンド Amazon SNS トピックにメッセージを送信します。
1. インバウンドトピックにサブスクライブされている Lambda 関数は、メッセージコンテンツを検査します。
1. Lambda 関数は Amazon Bedrock ガードレールを活用してメッセージ内の機密データを検出し、ポリシーを適用します。
+ **LOG** – 機密性の高い検出を記録し、元のメッセージを発行します。
+ **ブロック** – メッセージを完全にドロップします。
+ **REDACT** – 機密データを編集し、編集したメッセージを公開します。
1. 処理されたメッセージは、トピックのサブスクライバーに配信するために、送信先の Amazon SNS トピックに発行されます。
詳細なガイダンスとサンプルコードについては、[「Amazon Bedrock ガードレールを使用した SNS メッセージ内の機密データの保護](https://github.com/aws-samples/sample-sns-sensitive-data-protection-bedrock)」を参照してください。
## 既存のメッセージデータ保護ポリシーの表示
現在 Amazon SNS メッセージデータ保護を使用している場合は、 AWS マネジメントコンソール または を使用して設定済みのポリシーを確認できます AWS CLI。
**の使用 AWS マネジメントコンソール**
1. [Amazon SNS コンソール](https://console.aws.amazon.com/sns/)に移動します。
1. ナビゲーションパネルから**トピック**を選択します。
1. トピックを選択して詳細を表示します。
1. データ保護ポリシーが**データ保護ポリシー**タブで設定されているかどうかを確認します。
**の使用 AWS CLI**
特定のトピックでメッセージデータ保護が有効になっているかどうかを確認するには、次のコマンドを実行します。*topic-arn* を Amazon SNS トピック ARN に置き換えます。
```
aws sns get-data-protection-policy --resource-arn topic-arn
```
## Amazon SNS メッセージデータ保護の無効化
Amazon SNS トピックからデータ保護ポリシーは、Lambda ベースの代替手段に移行する場合でも、データ保護が不要になった場合でも、いつでも削除できます。ポリシーの削除プロセスは AWS マネジメントコンソール、 AWS CLI、または Infrastructure as Code (IaC) ツールを使用して完了できます。
**の使用 AWS マネジメントコンソール**
1. [Amazon SNS コンソール](https://console.aws.amazon.com/sns/)に移動します。
1. ナビゲーションパネルから**トピック**を選択します。
1. 変更するトピックを選択します。
1. **[Edit]** (編集) を選択します。
1. **データ保護ポリシー**セクションに移動します。
1. トピックに関連付けられたデータ保護ポリシー設定を削除します。
**の使用 AWS CLI**
メッセージデータ保護を無効にするには、トピックからデータ保護ポリシーを削除します。*topic-arn* を Amazon SNS トピック ARN に置き換えます。
```
aws sns put-data-protection-policy --resource-arn topic-arn --data-protection-policy ""
```
その他の質問がある場合は、 [AWS サポート](https://console.aws.amazon.com/support/home#/)にお問い合わせください。
# Amazon SNS データ保護ポリシーの理解
**重要**
Amazon SNS メッセージデータ保護は、2026 年 4 月 30 日以降、新規のお客様は利用できなくなります。代替方法の詳細とガイダンスについては、[Amazon SNS メッセージデータ保護の可用性の変更](https://docs.aws.amazon.com/sns/latest/dg/sns-message-data-protection-availability-change.html)」を参照してください。
## データ保護ポリシーとは
Amazon SNS は**データ保護ポリシー**を使って、スキャンする機密データと、そのデータが Amazon SNS トピックで交換されないように保護するアクションを選択します。目的の機密データを選択するには、[データ識別子](sns-message-data-protection-managed-data-identifiers.md)を使用します。次に、Amazon SNS メッセージデータ保護は、機械学習とパターンマッチングを使用して機密データを検出します。見つかったデータ識別子に基づいて、**監査**、**識別解除**、または**拒否**のオペレーションを定義できます。これらのオペレーションにより、見つかった (または見つからなかった) 機密データをログに記録、機密データをマスクまたは編集、またはメッセージの配信を拒否できます。
![\[Amazon SNS はデータ保護ポリシーを使用して、異なる 間で機密データを管理および保護します AWS のサービス。インバウンドメッセージとアウトバウンドメッセージの両方のワークフローを示し、データがモニタリングされる方法を説明します。データの監査、識別解除、データ送信の拒否などのポリシー設定に基づいてアクションが実行され、個人を特定できる情報 (PII) や保護された医療情報 (PHI) などの情報が保護される方法について詳しく説明します。\]](http://docs.aws.amazon.com/ja_jp/sns/latest/dg/images/message-data-protection-policies-overview.png)
## データ保護ポリシーの構成の仕組み
次の図に示すように、データ保護ポリシードキュメントには次の要素が含まれています。
+ ドキュメントの最上部に記載されるポリシー全体の情報 (任意)
+ 1 つ以上の個別のステートメント
各ステートメントには、1 つのアクセス許可に関する情報が含まれています。
![\[Amazon SNS のデータ保護ポリシーが、さまざまな要素で構成されていることを示しています。ポリシー名、説明、バージョンをはじめ、データ方向、識別子、関連するプリンシパルに基づいてアクション (監査、識別解除、拒否など) を指定する複数のステートメントなどで構成されています。\]](http://docs.aws.amazon.com/ja_jp/sns/latest/dg/images/payload-policy-process.png)
Amazon SNS トピックごとに定義できるデータ保護ポリシーは 1 つだけです。データ保護ポリシーには、1 つまたは複数の拒否または識別解除ステートメントと 1 つの監査ステートメントのみを含めることができます。
### データ保護ポリシーの JSON プロパティ
データ保護ポリシーでは、識別のために以下の基本ポリシー情報が必要です。
+ **Name** – ポリシーの名前。
+ **Description** (オプション) – ポリシーの説明。
+ **Version** – ポリシー言語のバージョン。現在のバージョンは 2021-06-01. です。
+ **Statement** – データ保護ポリシーアクションを指定するステートメントのリスト。
```
{
"Name": "basicPII-protection",
"Description": "Protect basic types of sensitive data",
"Version": "2021-06-01",
"Statement": [
...
]
}
```
### ポリシーステートメントの JSON プロパティ
ポリシーステートメントは、データ保護オペレーションの検出コンテキストを設定します。
+ **[Sid]** (オプション) — ステートメントの識別子。
+ **[DataDirection]** (データ方向) — Amazon SNS トピックに関するインバウンド (API リクエストの発行) またはアウトバウンド (通知配信)。
+ **[DataIdentifier]** (データ識別子) — Amazon SNS トピックがスキャンすべき機密データ。名前、住所、電話番号などです。
+ **[プリンシパル]** — トピックを発行した IAM プリンシパル、またはトピックにサブスクライブされた IAM プリンシパル。
+ **[Operation]** (オペレーション) — 機密データが見つかると Amazon SNS トピックが実行する、**[Audit]** (監査)、**[De-identify]** (マスクまたは編集)、または **[Deny]** (拒否) (ブロック) のいずれかである後続のアクション。
```
{
"Sid": "basicPII-inbound-protection",
"DataDirection": "Inbound",
"Principal": ["*"],
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/Name",
"arn:aws:dataprotection::aws:data-identifier/PhoneNumber-US"
],
"Operation": {
...
}
}
```
### ポリシーステートメントオペレーションの JSON プロパティ
ポリシーステートメントは、次のデータ保護オペレーションのいずれかを設定します。
+ [**監査**](sns-message-data-protection-operations.md#statement-operation-json-properties-audit) – メッセージの発行や配信を中断することなく、メトリクスと検出結果ログを出力します。
+ [**識別解除**](sns-message-data-protection-operations.md#statement-operation-json-properties-deidentify) — メッセージの公開を中断することなく、機密データをマスク、または編集できます。
+ [**拒否**](sns-message-data-protection-operations.md#statement-operation-json-properties-deny) — Amazon SNS 発行リクエストをブロックするか、メッセージの配信を失敗させます。
## データ保護ポリシーの IAM プリンシパルを決定する方法
メッセージデータ保護では、Amazon SNS とやり取りする 2 つの IAM プリンシパルを使用します。
1. **[Publish API Principal]** (API プリンシパルの発行) (インバウンド) — Amazon SNS `Publish` API を呼び出す認証済みの IAM プリンシパル。
1. **[Subscription Principal]** (サブスクリプションプリンシパル) (アウトバウンド) — サブスクリプションの作成中に `Subscribe` API を呼び出した認証済みの IAM プリンシパル。
`SubscriptionPrincipal` は公開されている Amazon SNS サブスクリプションプロパティで、`GetSubscriptionAttributes` API から取得できます。
```
{
"Attributes": {
"SubscriptionPrincipal": "arn:aws:iam::123456789012:user/NoNameAccess",
"Owner": "123412341234",
"RawMessageDelivery": "true",
"TopicArn": "arn:aws:sns:us-east-1:123412341234:PII-data-topic",
"Endpoint": "arn:aws:sqs:us-east-1:123456789012:NoNameAccess",
"Protocol": "sqs",
"PendingConfirmation": "false",
"ConfirmationWasAuthenticated": "true",
"SubscriptionArn": "arn:aws:sns:us-east-1:123412341234:PII-data-topic:5d8634ef-67ef-49eb-a824-4042b28d6f55"
}
}
```
# Amazon SNS のデータ保護ポリシーオペレーション
**重要**
Amazon SNS メッセージデータ保護は、2026 年 4 月 30 日以降、新規のお客様は利用できなくなります。代替方法の詳細とガイダンスについては、[Amazon SNS メッセージデータ保護の可用性の変更](https://docs.aws.amazon.com/sns/latest/dg/sns-message-data-protection-availability-change.html)」を参照してください。
以下は、機密データの監査および拒否に使用できるデータ保護ポリシーの例です。サンプルアプリケーションを含む完全なチュートリアルについては、「[Introducing message data protection for Amazon SNS](https://aws.amazon.com/blogs/compute/introducing-message-data-protection-for-amazon-sns/)」(Amazon SNS のメッセージデータ保護の実装) のブログ記事を参照してください。
## 監査オペレーション
**監査**オペレーションは、トピックのインバウンドメッセージをサンプリングし、送信 AWS 先の機密データの検出結果をログに記録します。サンプルレートは、0 ~ 99 の整数になります。このオペレーションには、次のいずれかのタイプのロギング先が必要です。
1. **[FindingsDestination]** — Amazon SNS トピックがペイロードに機密データを見つけたときのロギング先。
1. **[NoFindingsDestination]** — Amazon SNS トピックがペイロードに機密データを見つけなかったときのロギング先。
次の各ログ送信先タイプ AWS のサービス で以下を使用できます。
+ **Amazon CloudWatch Logs** (オプション) — `LogGroup` はトピックリージョンにあり、名前が **/aws/vendedlogs/** で始まる必要があります。
+ ****(オプション) – `DeliveryStream` はトピックリージョンにあり、配信ストリームのソースとして **Direct PUT** が必要です。詳細については、「*Amazon Data Firehose デベロッパーガイド*」の「[送信元、送信先、および名前](https://docs.aws.amazon.com/firehose/latest/dev/create-name.html)」を参照してください。
+ **Amazon S3** (オプション) — Amazon S3 バケット名。[SSE-KMS 暗号化を有効にして Amazon S3 バケットを使用するには、追加のアクションが必要です](#flow-logs-s3-cmk-policy)。
```
{
"Operation": {
"Audit": {
"SampleRate": "99",
"FindingsDestination": {
"CloudWatchLogs": {
"LogGroup": "/aws/vendedlogs/log-group-name"
},
"Firehose": {
"DeliveryStream": "delivery-stream-name"
},
"S3": {
"Bucket": "bucket-name"
}
},
"NoFindingsDestination": {
"CloudWatchLogs": {
"LogGroup": "/aws/vendedlogs/log-group-name"
},
"Firehose": {
"DeliveryStream": "delivery-stream-name"
},
"S3": {
"Bucket": "bucket-name"
}
}
}
}
}
```
### ログの送信先の指定に必要な権限
データ保護ポリシーでロギング先を指定する場合、Amazon SNS `PutDataProtectionPolicy` API、または `--data-protection-policy` パラメータを含む `CreateTopic` API を呼び出す IAM プリンシパルの IAM ID ポリシーに、次のアクセス権限を追加する必要があります。
| 監査先 | IAM 許可 |
| --- | --- |
| デフォルト | logs:CreateLogDelivery logs:GetLogDelivery logs:UpdateLogDelivery logs:DeleteLogDelivery logs:ListLogDeliveries |
| CloudWatchLogs | logs:PutResourcePolicy logs:DescribeResourcePolicies logs:DescribeLogGroups |
| Firehose | iam:CreateServiceLinkedRole firehose:TagDeliveryStream |
| S3 | s3:PutBucketPolicy s3:GetBucketPolicy [SSE-KMS 暗号化を有効にして Amazon S3 バケットを使用するには、追加のアクションが必要です](#flow-logs-s3-cmk-policy)。 |
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:GetLogDelivery",
"logs:UpdateLogDelivery",
"logs:DeleteLogDelivery",
"logs:ListLogDeliveries"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"logs:PutResourcePolicy",
"logs:DescribeResourcePolicies",
"logs:DescribeLogGroups"
],
"Resource": [
"arn:aws:logs:us-west-1:123456789012:SampleLogGroupName:*:*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"firehose:TagDeliveryStream"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:PutBucketPolicy",
"s3:GetBucketPolicy"
],
"Resource": [
"arn:aws:s3:::bucket-name"
]
}
]
}
```
------
#### SSE-KMS に使用する必須のキーポリシー
Amazon S3 バケットをログの送信先として使用する場合は、Amazon S3 S3-Managed) または によるサーバー側の暗号化 AWS KMS keys (SSE-KMS) を有効にすることで、バケット内のデータを保護できます。詳細については、「*Amazon S3 ユーザーガイド*」の「[サーバー側の暗号化を使用したデータの保護](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html)」をご参照ください。
SSE-S3 を選択した場合、追加の設定は必要ありません。Amazon S3 が暗号化キーを処理します。
SSE-KMS を選択した場合は、カスタマーマネージドキーを使用する必要があります。ログ配信アカウントが S3 バケットに書き込めるように、カスタマーマネージドキーのキーポリシーを更新する必要があります。SSE-KMS での使用に必要なキーポリシーについては、「Amazon CloudWatch Logs ユーザーガイド」の「[Amazon S3 バケットのサーバー側の暗号化](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-logs-SSE-KMS-S3)」を参照してください。
### 監査先ログの例
次の例では、`callerPrincipal` を使用して機密コンテンツのソースを特定します。また、`messageID` を参照として使用し、`Publish` API レスポンスに対してチェックします。
```
{
"messageId": "34d9b400-c6dd-5444-820d-fbeb0f1f54cf",
"auditTimestamp": "2022-05-12T2:10:44Z",
"callerPrincipal": "arn:aws:iam::123412341234:role/Publisher",
"resourceArn": "arn:aws:sns:us-east-1:123412341234:PII-data-topic",
"dataIdentifiers": [
{
"name": "Name",
"count": 1,
"detections": [
{
"start": 1,
"end": 2
}
]
},
{
"name": "PhoneNumber",
"count": 2,
"detections": [
{
"start": 3,
"end": 4
},
{
"start": 5,
"end": 6
}
]
}
]
}
```
### 監査オペレーションのメトリクス
監査オペレーションで `FindingsDestination` または `NoFindingsDestination` プロパティが指定された場合、トピックのオーナーは CloudWatch `MessagesWithFindings` および `MessagesWithNoFindings` メトリクスも受信します。
![\[指定した期間のデータを表示する監査の例。\]](http://docs.aws.amazon.com/ja_jp/sns/latest/dg/images/audit-operations-metrics.png)
## 識別解除オペレーション
**識別解除**オペレーションは、発行または配信するメッセージの機密データをマスキングまたは削除します。このオペレーションは、インバウンドとアウトバウンドの両方のメッセージに使用可能であり、次のいずれかのタイプの設定を必要とします。
+ **MaskConfig** — 次の表からサポートされている文字を使用してマスクします。例えば、ssn: `123-45-6789` は ssn: `###########` になります。
```
{
"Operation": {
"Deidentify": {
"MaskConfig": {
"MaskWithCharacter": "#"
}
}
}
```
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/sns/latest/dg/sns-message-data-protection-operations.html)
+ **RedactConfig** — データを完全に削除して編集します。例えば、ssn: `123-45-6789` は ssn: ` ` になります。
```
{
"Operation": {
"Deidentify": {
"RedactConfig": {}
}
}
```
受信メッセージでは、監査オペレーション後に機密データが識別解除され、メッセージ全体が機密である場合、`SNS:Publish` API 発信者は次の無効なパラメータエラーを受け取ります。
`Error code: AuthorizationError ...`
## 拒否オペレーション
**[Deny]** (拒否) オペレーションは、メッセージに機密データが含まれている場合に `Publish` API リクエストまたはメッセージの配信のいずれかを中断します。拒否オペレーションオブジェクトは、追加の設定を必要としないため空です。
```
"Operation": {
"Deny": {}
}
```
インバウンドメッセージでは、`SNS:Publish` API 発信者が認可エラーを受け取ります。
`Error code: AuthorizationError ...`
アウトバウンドメッセージでは、Amazon SNS トピックはメッセージをサブスクリプションに配信しません。不正配信を追跡するには、トピックの[[delivery status logging]](sns-topic-attributes.md) (配信ステータスのログ記録) を有効にします。以下は、配信ステータスログの例です。
```
{
"notification": {
"messageMD5Sum": "29638742ffb68b32cf56f42a79bcf16b",
"messageId": "34d9b400-c6dd-5444-820d-fbeb0f1f54cf",
"topicArn": "arn:aws:sns:us-east-1:123412341234:PII-data-topic",
"timestamp": "2022-05-12T2:12:44Z"
},
"delivery": {
"deliveryId": "98236591c-56aa-51ee-a5ed-0c7d43493170",
"destination": "arn:aws:sqs:us-east-1:123456789012:NoNameAccess",
"providerResponse": "The topic's data protection policy prohibits this message from being delivered to ",
"dwellTimeMs":20,
"attempts":1,
"statusCode": 403
},
"status": "FAILURE"
}
```
# Amazon SNS データ保護ポリシーの例
**重要**
Amazon SNS メッセージデータ保護は、2026 年 4 月 30 日以降、新規のお客様は利用できなくなります。代替方法の詳細とガイダンスについては、[Amazon SNS メッセージデータ保護の可用性の変更](https://docs.aws.amazon.com/sns/latest/dg/sns-message-data-protection-availability-change.html)」を参照してください。
以下は、機密データの監査および拒否に使用できるデータ保護ポリシーの例です。サンプルアプリケーションを含む完全なチュートリアルについては、「[Introducing message data protection for Amazon SNS](https://aws.amazon.com/blogs/compute/introducing-message-data-protection-for-amazon-sns/)」(Amazon SNS のメッセージデータ保護の実装) のブログ記事を参照してください。
## 監査ポリシーの例
監査ポリシーを使うと、インバウンドメッセージの最大 99% を監査して、検出結果を [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html)、[https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html)、[Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) に送信できます。
例えば、監査ポリシーを作成して、システムのいずれかが誤って機密データを送受信していないかを評価できます。監査結果から、システムがクレジットカード情報を必要としないシステムにその情報を送信していることが明らかになった場合は、データ保護ポリシーを実装してデータの配信を防止できます。
次の例では、クレジットカード番号を検索し、その結果を CloudWatch Logs、Firehose、および Amazon S3 に送信することで、トピックを通過するメッセージの 99% を監査します。
**データ保護ポリシー**:
```
{
"Name": "__example_data_protection_policy",
"Description": "Example data protection policy",
"Version": "2021-06-01",
"Statement": [
{
"DataDirection": "Inbound",
"Principal": ["*"],
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/CreditCardNumber"
],
"Operation": {
"Audit": {
"SampleRate": "99",
"FindingsDestination": {
"CloudWatchLogs": {
"LogGroup": ""
},
"Firehose": {
"DeliveryStream": ""
},
"S3": {
"Bucket": ""
}
}
}
}
}
]
}
```
**監査結果の形式の例**:
```
{
"messageId": "...",
"callerPrincipal": "arn:aws:sts::123456789012:assumed-role/ExampleRole",
"resourceArn": "arn:aws:sns:us-east-1:123456789012:ExampleArn",
"dataIdentifiers": [
{
"name": "CreditCardNumber",
"count": 1,
"detections": [
{ "start": 1, "end": 2 }
]
}
],
"timestamp": "2021-04-20T00:33:40.241Z"
}
```
## インバウンド識別解除マスキングステートメントを含むポリシーの例
次の例では、メッセージの内容から機密データをマスキングして、ユーザーがメッセージ内の `CreditCardNumber` をトピックに発行できないようにします。
```
{
"Name": "__example_data_protection_policy",
"Description": "Example data protection policy",
"Version": "2021-06-01",
"Statement": [
{
"DataDirection": "Inbound",
"Principal": [
"arn:aws:iam::123456789012:user/ExampleUser"
],
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/CreditCardNumber"
],
"Operation": {
"Deidentify": {
"MaskConfig": {
"MaskWithCharacter": "#"
}
}
}
}
]
}
```
**インバウンド識別解除マスキング結果の例:**
```
// original message
My credit card number is 4539894458086459
// delivered message
My credit card number is ################
```
## インバウンド識別解除の削除ステートメントを使用したポリシーの例
次の例では、メッセージ内の機密データを削除して、ユーザーがメッセージ内の `CreditCardNumber` をトピックに発行できないようにします。
```
{
"Name": "__example_data_protection_policy",
"Description": "Example data protection policy",
"Version": "2021-06-01",
"Statement": [
{
"DataDirection": "Inbound",
"Principal": [
"arn:aws:iam::123456789012:user/ExampleUser"
],
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/CreditCardNumber"
],
"Operation": {
"Deidentify": {
"RedactConfig": {}
}
}
}
]
}
```
**インバウンド識別解除の削除結果の例:**
```
// original message
My credit card number is 4539894458086459
// delivered message
My credit card number is
```
## アウトバウンド識別解除マスキングステートメントを使用したポリシーの例
次の例では、メッセージ内の機密データをマスキングして、ユーザーがメッセージ内の `CreditCardNumber` を受信できないようにします。
```
{
"Name": "__example_data_protection_policy",
"Description": "Example data protection policy",
"Version": "2021-06-01",
"Statement": [
{
"DataDirection": "Outbound",
"Principal": [
"arn:aws:iam::123456789012:user/ExampleUser"
],
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/CreditCardNumber"
],
"Operation": {
"Deidentify": {
"MaskConfig": {
"MaskWithCharacter": "-"
}
}
}
}
]
}
```
**アウトバウンド識別解除マスキング結果の例:**
```
// original message
My credit card number is 4539894458086459
// delivered message
My credit card number is ----------------
```
## アウトバウンド識別解除の削除ステートメントを使用したポリシーの例
次の例では、メッセージ内の機密データを削除して、ユーザーがメッセージ内の `CreditCardNumber` を受信できないようにします。
```
{
"Name": "__example_data_protection_policy",
"Description": "Example data protection policy",
"Version": "2021-06-01",
"Statement": [
{
"DataDirection": "Outbound",
"Principal": [
"arn:aws:iam::123456789012:user/ExampleUser"
],
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/CreditCardNumber"
],
"Operation": {
"Deidentify": {
"RedactConfig": {}
}
}
}
]
}
```
**アウトバウンド識別解除の削除結果の例:**
```
// original message
My credit card number is 4539894458086459
// delivered message
My credit card number is
```
## インバウンド拒否ステートメントを使用するポリシーの例
次の例では、メッセージの内容に `CreditCardNumber` が含まれている場合、ユーザーがメッセージをトピックに発行するのをブロックします。API レスポンスで拒否されたペイロードのステータスコードは「403 AuthorizationError」です。
```
{
"Name": "__example_data_protection_policy",
"Description": "Example data protection policy",
"Version": "2021-06-01",
"Statement": [
{
"DataDirection": "Inbound",
"Principal": [
"arn:aws:iam::123456789012:user/ExampleUser"
],
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/CreditCardNumber"
],
"Operation": {
"Deny": {}
}
}
]
}
```
## アウトバウンド拒否ステートメントを使用するポリシーの例
次の例では、 AWS アカウントが を含むメッセージの受信をブロックします`CreditCardNumber`。
```
{
"Name": "__example_data_protection_policy",
"Description": "Example data protection policy",
"Version": "2021-06-01",
"Statement": [
{
"DataDirection": "Outbound",
"Principal": [
"arn:aws:iam::123456789012:user/ExampleUser"
],
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/CreditCardNumber"
],
"Operation": {
"Deny": {}
}
}
]
}
```
**Amazon CloudWatch にロギングされたアウトバウンド拒否結果の例:**
```
{
"notification": {
"messageMD5Sum": "2e8f58ff2eeed723b56b15493fbfb5a5",
"messageId": "8747a956-ebf1-59da-b291-f2c2e4b87c9c",
"topicArn": "arn:aws:sns:us-east-2:664555388960:test1",
"timestamp": "2022-09-08 15:40:57.144"
},
"delivery": {
"deliveryId": "6a422437-78cc-5171-ad64-7fa3778507aa",
"destination": "arn:aws:sqs:us-east-2:664555388960:test",
"providerResponse": "The topic's data protection policy prohibits this message from being delivered to ",
"dwellTimeMs": 22,
"attempts": 1,
"statusCode": 403
},
"status": "FAILURE"
}
```
# Amazon SNS でのデータ保護ポリシーの作成
**重要**
Amazon SNS メッセージデータ保護は、2026 年 4 月 30 日以降、新規のお客様は利用できなくなります。代替方法の詳細とガイダンスについては、[Amazon SNS メッセージデータ保護の可用性の変更](https://docs.aws.amazon.com/sns/latest/dg/sns-message-data-protection-availability-change.html)」を参照してください。
[データ保護ポリシー](sns-message-data-protection-policies.md)は、アプリケーションまたは AWS のサービス間を移動する機密情報を監査、識別解除 (マスキングまたは編集)、および拒否 (ブロック) することで、Amazon SNS トピックに対して発行されたデータを保護します。 AWS API、 AWS CLI CloudFormation、または AWS マネジメントコンソール を使用して、Amazon SNS でデータ保護ポリシーを作成できます。Amazon SNS トピックごとに定義できるポリシーは 1 つだけです。各データ保護ポリシーには、1 つまたは複数の識別解除および拒否ステートメントと 1 つの監査ステートメントのみを含めることができます。
**Topics**
+ [API の使用](sns-message-data-protection-configure-api.md)
+ [の使用 AWS CLI](sns-message-data-protection-configure-cli.md)
+ [CloudFormation の使用](sns-message-data-protection-configure-cfn.md)
+ [の使用 AWS マネジメントコンソール](sns-message-data-protection-configure-console.md)
+ [AWS SDK の使用](sns-message-data-protection-configure-sdk.md)
# API を使用して Amazon SNS でデータ保護ポリシーを作成する
**重要**
Amazon SNS メッセージデータ保護は、2026 年 4 月 30 日以降、新規のお客様は利用できなくなります。代替方法の詳細とガイダンスについては、[Amazon SNS メッセージデータ保護の可用性の変更](https://docs.aws.amazon.com/sns/latest/dg/sns-message-data-protection-availability-change.html)」を参照してください。
AWS アカウント内の Amazon SNS リソースの数とサイズは限られています。詳細については、「[Amazon Simple Notification Service のエンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/sns.html)」を参照してください。
## API を使用したデータ保護ポリシーの作成
AWS API を使用して Amazon SNS データ保護ポリシーを作成します。
**Amazon SNS トピック (AWS API) とともにデータ保護ポリシーを作成するには**
標準 Amazon SNS トピックの `DataProtectionPolicy` プロパティの使用 :
+ [https://docs.aws.amazon.com/sns/latest/api/API_CreateTopic.html](https://docs.aws.amazon.com/sns/latest/api/API_CreateTopic.html)
**既存の Amazon SNS トピックのデータ保護ポリシーを取得または作成するには (AWS API)**
以下のいずれかのオペレーションを呼び出します。
+ [GetDataProtectionPolicy](https://docs.aws.amazon.com/sns/latest/api/API_GetDataProtectionPolicy.html)
+ [PutDataProtectionPolicy](https://docs.aws.amazon.com/sns/latest/api/API_PutDataProtectionPolicy.html)
# CLI を使用して Amazon SNS でデータ保護ポリシーを作成する
**重要**
Amazon SNS メッセージデータ保護は、2026 年 4 月 30 日以降、新規のお客様は利用できなくなります。代替方法の詳細とガイダンスについては、[Amazon SNS メッセージデータ保護の可用性の変更](https://docs.aws.amazon.com/sns/latest/dg/sns-message-data-protection-availability-change.html)」を参照してください。
AWS アカウント内の Amazon SNS リソースの数とサイズは限られています。詳細については、「[Amazon Simple Notification Service のエンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/sns.html)」を参照してください。
## を使用したデータ保護ポリシーの作成 AWS CLI
AWS Command Line Interfaceを使って Amazon SNS データ保護ポリシーを作成することができます。
**Amazon SNS トピック (AWS CLI) と一緒にデータ保護ポリシーを作成するには**
このオプションを使用して、標準の Amazon SNS トピックと一緒に新しいデータ保護ポリシーを作成します。
+ [create-topic](https://docs.aws.amazon.com/cli/latest/reference/sns/create-topic.html)
**既存の Amazon SNS トピック (AWS CLI) のデータ保護ポリシーを作成または取得するには**
以下のいずれかのオペレーションを呼び出します。
+ [get-data-protection-policy](https://docs.aws.amazon.com/cli/latest/reference/sns/get-data-protection-policy.html)
+ [put-data-protection-policy](https://docs.aws.amazon.com/cli/latest/reference/sns/put-data-protection-policy.html)
# CloudFormation を使用して Amazon SNS でデータ保護ポリシーを作成する
**重要**
Amazon SNS メッセージデータ保護は、2026 年 4 月 30 日以降、新規のお客様は利用できなくなります。代替方法の詳細とガイダンスについては、[Amazon SNS メッセージデータ保護の可用性の変更](https://docs.aws.amazon.com/sns/latest/dg/sns-message-data-protection-availability-change.html)」を参照してください。
AWS アカウント内の Amazon SNS リソースの数とサイズは限られています。詳細については、「[Amazon Simple Notification Service のエンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/sns.html)」を参照してください。
## データ保護ポリシーの作成 (CloudFormation)
を使用して Amazon SNS データ保護ポリシーを作成します CloudFormation。
**Amazon SNS トピック (CloudFormation) と一緒にデータ保護ポリシーを作成するには**
このオプションを使用して、標準の Amazon SNS トピックと一緒に新しいデータ保護ポリシーを作成します。
+ [AWS::SNS::Topic](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-sns-topic.html)
# コンソールを使用して Amazon SNS でデータ保護ポリシーを作成する
**重要**
Amazon SNS メッセージデータ保護は、2026 年 4 月 30 日以降、新規のお客様は利用できなくなります。代替方法の詳細とガイダンスについては、[Amazon SNS メッセージデータ保護の可用性の変更](https://docs.aws.amazon.com/sns/latest/dg/sns-message-data-protection-availability-change.html)」を参照してください。
AWS アカウント内の Amazon SNS リソースの数とサイズは限られています。詳細については、「[Amazon Simple Notification Service のエンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/sns.html)」を参照してくださ。
**Amazon SNS トピックとともにデータ保護ポリシーを作成するには (コンソール)**
このオプションを使用して、標準の Amazon SNS トピックと一緒に新しいデータ保護ポリシーを作成します。
1. [Amazon SNS コンソール](https://console.aws.amazon.com/sns/home)にサインインします。
1. トピックを選択するか、新しいトピックを作成できます。トピックの作成の詳細については、「[Amazon SNS のトピックの作成](sns-create-topic.md)」を参照してください。
1. **[Create topic]** (トピックの作成) ページの **[Details]** (詳細) セクションで **[Standard]** (標準) を選択します。
1. トピックの**名前**を入力します。
1. (オプション) トピックの**表示名**を入力します。
1. **[Data protection policy]** (データ保護ポリシー) を展開します。
1. **[Configuration mode]** (設定モード) を選択します。
+ **[Basic]** (ベーシック) — シンプルなメニューを使用してデータ保護ポリシーを定義します。
+ **[Advanced]** (アドバンスト) — JSON を使用してカスタムデータ保護ポリシーを定義します。
1. (オプション) **独自のカスタムデータ識別子**を作成するには、**[カスタムデータ識別子の設定セクション]** を展開し、次の操作を行います。
1. カスタムデータ識別子の一意の**名前**を入力します。カスタムデータ識別子名には、英数字、アンダースコア (\$1)、ハイフン (-) を使用できます。カスタム識別子名の長さは最大 128 文字です。カスタムデータ識別子は、[マネージドデータ識別子](sns-message-data-protection-managed-data-identifiers.md)と同じ名前を共有することはできません。カスタムデータ識別子の制限の詳細な一覧については、「[カスタムデータ識別子の制約](sns-message-data-protection-custom-data-identifiers.md#custom-data-identifiers-limitations)」を参照してください。
1. カスタムデータ識別子の正規表現 (RegEx) を入力します。RegEx は、英数字、RegEx 予約文字、および記号をサポートしています。RegEx の最大長は 200 文字です。RegEx が複雑すぎる場合、Amazon SNS は API コールに失敗します。RegEx の制限の詳細な一覧については、[カスタムデータ識別子の制約](sns-message-data-protection-custom-data-identifiers.md#custom-data-identifiers-limitations) を参照してください。
1. (オプション) 必要に応じて **[カスタムデータ識別子の追加]** を選択し、データ識別子を追加します。各データ保護ポリシーに使用できるカスタムデータ識別子は最大 10個です。
1. データ保護ポリシーに追加したいステートメントを選択します。**監査**、**識別解除** (マスクまたは編集)、**拒否** (ブロック) の各ステートメントタイプを同じデータ保護ポリシーに追加できます。
1. **[Add audit statement]** (監査ステートメントの追加) — 監査する機密データ、そのデータについて監査するメッセージの割合、監査ログの送信先を設定します。
**注記**
データ保護ポリシーまたはトピックごとに許可される監査ステートメントは 1 つだけです。
1. **データ識別子**を指定して監査する機密データを定義します。
1. **[Audit sample rate]** (監査サンプルレート) に、機密情報を監査するメッセージの割合を最大 99% で入力します。
1. **監査送信先**で、監査結果の送信 AWS のサービス 先を選択し、 AWS のサービス 使用する各送信先名を入力します。次のAmazon Web Services から選択できます。
+ **Amazon CloudWatch** — CloudWatch Logs は AWS の標準ロギングソリューションです。CloudWatch Logs を使用すると、Logs Insights ([サンプルはこちら](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_QuerySyntax-examples.html)) を使用してログ分析を実行し、メトリクスとアラームを作成できます。CloudWatch Logs は多くのサービスがログを公開する場所であるため、1 つのソリューションを使用してすべてのログを簡単に集約できます。Amazon CloudWatch の詳細については、「[Amazon CloudWatch ユーザーガイド](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html)」を参照してください。
+ **** – Firehose は、さらにログ分析を行うために、Splunk、OpenSearch、Amazon Redshift へのリアルタイムストリーミングのニーズに対応します。詳細については、「[ユーザーガイド](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html)」を参照してください。
+ **Amazon Simple Storage Service** — Amazon S3 は、アーカイブ用のログ記録先として経済的です。ログは、数年間にわたって保持が必要な場合があります。こうした場合、ログを Amazon S3 に保存することで、コストを節約できます。Amazon Simple Storage Service の詳細については、「[Amazon Simple Storage Service ユーザーガイド](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html)」を参照してください。
1. **識別解除ステートメントの追加** — メッセージで識別解除したい機密データを設定して、そのデータをマスクまたは編集するか、アカウントでそのデータの配信を停止します。
1. **データ識別子**の場合は、識別解除する機密データを選択します。
1. **この識別解除ステートメントを定義する で**、この識別解除ステートメントが適用される AWS アカウントまたは IAM プリンシパルを選択します。このステートメントは、**すべての AWS アカウント**に適用できます。また、アカウント ID や IAM エンティティ ARN を使用する**特定の AWS アカウント**または **IAM エンティティ** (アカウントルート、ロール、またはユーザー) にも適用できます。複数の ID または ARN を設定するには、それぞれをカンマ (,) で区切ります。
サポートされている [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html) プリンシパルは次のとおりです。
+ **IAM アカウントプリンシパル** — 例: `arn:aws:iam::AWS-account-ID:root`。
+ **IAM ロールプリンシパル** — 例: `arn:aws:iam::AWS-account-ID:role/role-name`。
+ **IAM ユーザープリンシパル** — 例: `arn:aws:iam::AWS-account-ID:user/user-name`。
1. **識別解除オプション**の場合は、機密データを識別解除する方法を選択します。以下のオペレーションがサポートされています。
+ **編集** — データを完全に削除します。例えば、email: `classified@amazon.com` は email: ` ` になります。
+ **マスク** — データを単一の文字に置き換えます。例えば、email: `classified@amazon.com` は email: `*********************` になります。
1. (オプション) 必要に応じて、さらに識別解除ステートメントを追加します。
1. **[Add deny statement]** (拒否ステートメントの追加) — トピック内を移動しないようにする機密データと、そのデータの送信を防ぐプリンシパルを構成します。
1. **データ方向**については、拒否ステートメントのメッセージの方向を選択します。
+ **[Inbound messages]** (インバウンドメッセージ) — この拒否ステートメントをトピックに送信されるメッセージに適用します。
+ **[Outbound messages]** (アウトバウンドメッセージ) — この拒否ステートメントを、トピックがサブスクリプションエンドポイントに配信するメッセージに適用します。
1. **データ識別子**を選択して拒否する機密データを定義します。
1. この拒否ステートメントに適用する **IAM プリンシパル**を選択します。アカウント IDs または **IAM エンティティ** ARNs を使用する**すべてのアカウント、 AWS ****特定の AWS アカウント** または IAM エンティティ (アカウントルート、ロール、ユーザーなど) に適用できます。複数の ID または ARN を設定するには、それぞれをカンマ (,) で区切ります。サポートされている [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html) プリンシパルは次のとおりです。
+ **IAM アカウントプリンシパル** — 例: `arn:aws:iam::AWS-account-ID:root`。
+ **IAM ロールプリンシパル** — 例: `arn:aws:iam::AWS-account-ID:role/role-name`。
+ **IAM ユーザープリンシパル** — 例: `arn:aws:iam::AWS-account-ID:user/user-name`。
1. (オプション) 必要に応じて、さらに拒否ステートメントを追加します。
# SDK を使用してメッセージデータを保護するための Amazon SNS データ保護ポリシーを作成する
**重要**
Amazon SNS メッセージデータ保護は、2026 年 4 月 30 日以降、新規のお客様は利用できなくなります。代替方法の詳細とガイダンスについては、[Amazon SNS メッセージデータ保護の可用性の変更](https://docs.aws.amazon.com/sns/latest/dg/sns-message-data-protection-availability-change.html)」を参照してください。
AWS アカウント内の Amazon SNS リソースの数とサイズは限られています。詳細については、「[Amazon Simple Notification Service のエンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/sns.html)」を参照してください。
## AWS SDK を使用したデータ保護ポリシーの作成
AWS SDK を使用して Amazon SNS データ保護ポリシーを作成します。
**Amazon SNS トピック (AWS SDK) とともにデータ保護ポリシーを作成するには**
以下のオプションを使用して、標準の Amazon SNS トピックと一緒に新しいデータ保護ポリシーを作成します。
------
#### [ Java ]
```
/**
* For information regarding CreateTopic see this documentation topic:
*
* https://docs.aws.amazon.com/code-samples/latest/catalog/javav2-sns-src-main-java-com-example-sns-CreateTopic.java.html
*/
public static String createSNSTopicWithDataProtectionPolicy(SnsClient snsClient, String topicName, String dataProtectionPolicy) {
try {
CreateTopicRequest request = CreateTopicRequest.builder()
.name(topicName)
.dataProtectionPolicy(dataProtectionPolicy)
.build();
CreateTopicResponse result = snsClient.createTopic(request);
return result.topicArn();
} catch (SnsException e) {
System.err.println(e.awsErrorDetails().errorMessage());
System.exit(1);
}
return "";
}
```
------
#### [ JavaScript ]
```
// Import required AWS SDK clients and commands for Node.js
import {CreateTopicCommand } from "@aws-sdk/client-sns";
import {snsClient } from "./libs/snsClient.js";
// Set the parameters
const params = { Name: "TOPIC_NAME", DataProtectionPolicy: "DATA_PROTECTION_POLICY" };
const run = async () => {
try {
const data = await snsClient.send(new CreateTopicCommand(params));
console.log("Success.", data);
return data; // For unit tests.
} catch (err) {
console.log("Error", err.stack);
}
};
run();
```
------
**既存の Amazon SNS トピック (SDK) のデータ保護ポリシーを作成または取得するにはAWS**
以下のオプションを使用して、標準の Amazon SNS トピックと一緒に新しいデータ保護ポリシーを作成または取得します。
------
#### [ Java ]
```
public static void putDataProtectionPolicy(SnsClient snsClient, String topicName, String dataProtectionPolicy) {
try {
PutDataProtectionPolicyRequest request = PutDataProtectionPolicyRequest.builder()
.resourceArn(topicName)
.dataProtectionPolicy(dataProtectionPolicy)
.build();
PutDataProtectionPolicyResponse result = snsClient.putDataProtectionPolicy(request);
System.out.println("\n\nStatus was " + result.sdkHttpResponse().statusCode()
+ "\n\nTopic " + request.resourceArn()
+ " DataProtectionPolicy " + request.dataProtectionPolicy());
} catch (SnsException e) {
System.err.println(e.awsErrorDetails().errorMessage());
System.exit(1);
}
}
public static void getDataProtectionPolicy(SnsClient snsClient, String topicName) {
try {
GetDataProtectionPolicyRequest request = GetDataProtectionPolicyRequest.builder()
.resourceArn(topicName)
.build();
GetDataProtectionPolicyResponse result = snsClient.getDataProtectionPolicy(request);
System.out.println("\n\nStatus is " + result.sdkHttpResponse().statusCode()
+ "\n\nDataProtectionPolicy: \n\n" + result.dataProtectionPolicy());
} catch (SnsException e) {
System.err.println(e.awsErrorDetails().errorMessage());
System.exit(1);
}
}
```
------
#### [ JavaScript ]
```
// Import required AWS SDK clients and commands for Node.js
import {PutDataProtectionPolicyCommand, GetDataProtectionPolicyCommand } from "@aws-sdk/client-sns";
import {snsClient } from "./libs/snsClient.js";
// Set the parameters
const putParams = { ResourceArn: "TOPIC_ARN", DataProtectionPolicy: "DATA_PROTECTION_POLICY" };
const runPut = async () => {
try {
const data = await snsClient.send(new PutDataProtectionPolicyCommand(putParams));
console.log("Success.", data);
return data; // For unit tests.
} catch (err) {
console.log("Error", err.stack);
}
};
runPut();
// Set the parameters
const getParams = { ResourceArn: "TOPIC_ARN" };
const runGet = async () => {
try {
const data = await snsClient.send(new GetDataProtectionPolicyCommand(getParams));
console.log("Success.", data);
return data; // For unit tests.
} catch (err) {
console.log("Error", err.stack);
}
};
runGet();
```
------
# Amazon SNS でデータ保護ポリシーを削除する
**重要**
Amazon SNS メッセージデータ保護は、2026 年 4 月 30 日以降、新規のお客様は利用できなくなります。代替方法の詳細とガイダンスについては、[Amazon SNS メッセージデータ保護の可用性の変更](https://docs.aws.amazon.com/sns/latest/dg/sns-message-data-protection-availability-change.html)」を参照してください。
AWS API、 AWS CLI CloudFormation、または を使用して Amazon SNS データ保護ポリシー**を削除**できます AWS マネジメントコンソール。
Amazon SNS データ保護ポリシーの一般情報については、「[Amazon SNS データ保護ポリシーの理解](sns-message-data-protection-policies.md)」を参照してください。
AWS アカウントの Amazon SNS データ保護ポリシーリソースの数とサイズには制限があります。詳細については、「 AWS 全般のリファレンス」の「[Amazon SNS API スロットリング](https://docs.aws.amazon.com/general/latest/gr/sns.html)」を参照してください。
## コンソールを使用したデータ保護ポリシーの削除
**コンソールを使用してマネージドデータ保護ポリシーを削除するには**
1. [Amazon SNS コンソール](https://console.aws.amazon.com/sns/home)にサインインします。
1. 削除するデータ保護ポリシーを含むトピックを選択します。
1. **[編集]** を選択します。
1. **[Data protection policy]** (データ保護ポリシー) セクションを展開します。
1. 削除するデータ保護ポリシーステートメントの横にある **[Remove]** (削除) を選択します。
1. **[Save changes]** (変更の保存) をクリックします。
## 空の JSON 文字列を使用してデータ保護ポリシーを削除する
データ保護ポリシーは、空の JSON 文字列に更新することで削除できます。
## を使用したデータ保護ポリシーの削除 AWS CLI
AWS CLIを使用してデータ保護ポリシーを削除できます。
`//aws sns put-data-protection-policy --resource-arn topic-arn --data-protection-policy ""`
# Amazon SNS データ識別子
**重要**
Amazon SNS メッセージデータ保護は、2026 年 4 月 30 日以降、新規のお客様は利用できなくなります。代替方法の詳細とガイダンスについては、[Amazon SNS メッセージデータ保護の可用性の変更](https://docs.aws.amazon.com/sns/latest/dg/sns-message-data-protection-availability-change.html)」を参照してください。
Amazon SNS は、機械学習やパターンマッチングなどの基準と手法の組み合わせを使用して、機密データを検出します。これらの基準と手法は、総称してデータ識別子**と呼ばれ、多くの国や地域の機密データタイプの大規模かつ増加しているリストを検出できます。Amazon SNS マネージドデータ識別子には、財務データ、個人健康情報 (PHI)、個人を特定できる情報 (PII) を保護するために、事前設定されたデータタイプが用意されています。また、カスタムデータ識別子を使用して、特定のユースケースに合わせた独自のデータ識別子を作成することもできます。
# Using managed data identifiers in Amazon SNS
## マネージドデータ識別子とは
Amazon SNS マネージドデータ識別子は、特定の国またはリージョンのクレジットカード番号、 AWS シークレットアクセスキー、パスポート番号など、特定のタイプの機密データを検出するように設計されています。データ保護ポリシーを作成すると、これらの識別子を使用してトピックを通過するメッセージを分析し、検出された場合にアクションを実行するように Amazon SNS を設定できます。
Amazon SNS は、マネージドデータ識別子を使用して、次のカテゴリの機密データを検出できます。
+ プライベートキーや AWS シークレットアクセスキーなどの認証情報
+ IP アドレスや MAC アドレスなどのデバイス識別子。
+ クレジットカード番号などの財務情報
+ 健康保険または医療識別番号などの PHI に関する医療情報。
+ 個人情報 (運転免許証や社会保障番号など)
各カテゴリ内で、Amazon SNS は複数のタイプの機密データを検出できます。このセクションのトピックでは、各タイプとその検出に関連する要件をリスト化して説明します。各タイプでは、データを検出するように設計されたマネージドデータ識別子の一意の識別子 (ID) も示します。データ保護ポリシーを作成するとき、この ID を使用して、検出するメッセージデータ保護のマネージドデータ識別子を含めることができます。
### キーワード要件
特定のタイプの機密データを検出するため、Amazon SNS ではデータの近くにあるキーワードをスキャンします。特定のタイプのデータに当てはまる場合、このセクションのその後のトピックでは、そのデータの特定のキーワード要件を示します。
キーワードでは大文字と小文字が区別されません。さらに、キーワードにスペースが含まれている場合、Amazon SNS は、スペースを含まないキーワードのバリエーションや、スペースではなくアンダースコア (\$1) またはハイフン (-) を含むキーワードのバリエーションを自動的に照合します。場合によっては、Amazon SNS はキーワードの一般的なバリエーションに対処するためにキーワードを拡張または短縮します。
### 機密データタイプの Amazon SNS マネージドデータ識別子
次のテーブルでは、Amazon SNSがマネージドデータ識別子を使用して検出できる認証情報、デバイス、財務、医療および個人健康情報 (PHI) のタイプの一覧とその説明を示しています。これらは、個人を特定できる情報 (PII) としても認定される可能性のある特定のタイプのデータに加えたものです。
地域に依存するデータ識別子には、ダッシュ付きの識別子名と 2 文字のコード (ISO 3166-1 alpha-2) が必要です。例えば、DriversLicense-US です。
| 識別子 | Category | 国/言語 |
| --- | --- | --- |
| BankAccountNumber | 金融 | DE、ES、FR、GB、IT |
| cepCode | 個人 | BR |
| Cnpj | 個人 | BR |
| cpfCode | 個人 | BR |
| DriversLicense | 個人 | AT、AU、BE、BG、CA、CY、CZ、DE、DK、EE、ES、FI、FR、GB、GR、HR、HU、IE、IT、LT、LU、LV、MT、NL、PL、PT、RO、SE、SI、SK、US |
| DrugEnforcementAgencyNumber | 健康 | US |
| ElectoralRollNumber | 個人 | GB |
| HealthInsuranceCardNumber | 健康 | EU |
| HealthInsuranceClaimNumber | 健康 | US |
| HealthInsuranceNumber | 健康 | FR |
| HealthcareProcedureCode | 健康 | US |
| IndividualTaxIdentificationNumber | 個人 | US |
| inSeeCode | 個人 | FR |
| MedicareBeneficiaryNumber | 健康 | US |
| NationalDrugCode | 健康 | US |
| NationalIdentificationNumber | 個人 | DE、ES、IT |
| NationalInsuranceNumber | 個人 | GB |
| NationalProviderId | 健康 | 米国 |
| NhsNumber | 健康 | GB |
| nieNumber | 個人 | ES |
| nifNumber | 個人 | ES |
| PassportNumber | 個人 | CA、DE、ES、FR、GB、IT、US |
| PermanentResidenceNumber | 個人 | CA |
| PersonalHealthNumber | 健康 | CA |
| PhoneNumber | 個人 | BR、DE、ES、FR、GB、IT、US |
| PostalCode | 個人 | CA |
| rgNumber | 個人 | BR |
| SocialInsuranceNumber | 個人 | CA |
| SSN | 個人 | es-US |
| TaxID | 個人 | DE、ES、FR、GB |
| ZipCode | 個人 | US |
**言語や地域に依存しないサポート対象の識別子**
| 識別子 | Category |
| --- | --- |
| Address | 個人 |
| AwsSecretKey | 認証情報 |
| CreditCardExpiration | 金融 |
| CreditCardNumber | 金融 |
| CreditCardSecurityCode | 金融 |
| EmailAddress | 個人 |
| IpAddress | 個人 |
| LatLong | 個人 |
| 名前 | 個人 |
| OpenSshPrivateKey | 認証情報 |
| PgpPrivateKey | 認証情報 |
| PkcsPrivateKey | 認証情報 |
| PuttyPrivateKey | 認証情報 |
| VehicleIdentificationNumber | 個人 |
# Amazon SNS 機密データタイプ: 認証情報
次のテーブルでは、Amazon SNS がマネージドデータ識別子を使用して検出できる認証情報のタイプをリスト化して説明します。
| 検出タイプ | マネージドデータ識別子 ID | キーワードが必須 | 国とリージョン |
| --- | --- | --- | --- |
| AWS シークレットアクセスキー | AwsSecretKey | aws\$1secret\$1access\$1key, credentials, secret access key, secret key, set-awscredential | いずれか |
| OpenSSH プライベートキー | OpenSshPrivateKey | いいえ | いずれか |
| PGP プライベートキー | PgpPrivateKey | いいえ | いずれか |
| 公開鍵暗号標準 (PKCS) プライベートキー | PkcsPrivateKey | いいえ | いずれか |
| PuTTY プライベートキー | PuttyPrivateKey | いいえ | いずれか |
## 認証情報データタイプのデータ識別子 ARN
以下は、データ保護ポリシーに追加できるデータ識別子の Amazon リソースネーム (ARN) のリストを示しています。
| 認証情報データ識別子 ARN |
| --- |
| arn:aws:dataprotection::aws:data-identifier/AwsSecretKey |
| arn:aws:dataprotection::aws:data-identifier/OpenSshPrivateKey |
| arn:aws:dataprotection::aws:data-identifier/PgpPrivateKey |
| arn:aws:dataprotection::aws:data-identifier/PkcsPrivateKey |
| arn:aws:dataprotection::aws:data-identifier/PuttyPrivateKey |
# Amazon SNS 機密データタイプ: デバイス
次のテーブルは、Amazon SNS がマネージドデータ識別子を使用して検出できるデバイス識別子のタイプをリスト化して説明します。
| 検出タイプ | マネージドデータ識別子 ID | キーワードが必須 | 国とリージョン |
| --- | --- | --- | --- |
| IP アドレス | IpAddress | いいえ | いずれか |
## デバイスデータタイプのデータ識別子 ARN
以下は、データ保護ポリシーに追加できるデータ識別子の Amazon リソースネーム (ARN) のリストを示しています。
| デバイスデータ識別子 ARN |
| --- |
| arn:aws:dataprotection::aws:data-identifier/IpAddress |
# Amazon SNS 機密データタイプ: 財務情報
次のテーブルでは、Amazon SNS がマネージドデータ識別子を使用して検出できる財務情報のタイプをリスト化して説明します。
| 検出タイプ | マネージドデータ識別子 ID | キーワードが必須 | 追加情報 | 国とリージョン |
| --- | --- | --- | --- | --- |
| 銀行口座番号 | BankAccountNumber BankAccountNumber-US | はい、[銀行口座番号のキーワード](#sns-managed-data-identifiers-bank-keywords) を参照してください。 | これには、国コードなどの要素を含む、最大 34 文字の英数字で構成される国際銀行口座番号 (IBAN) が含まれます。 | フランス、ドイツ、イタリア、スペイン、英国 |
| クレジットカードの有効期限 | CreditCardExpiration | exp d、exp m、exp y、expiration、expiry | – | いずれか |
| クレジットカードの磁気ストライプデータ | CreditCardMagneticStripe | 以下が含まれます: card data、iso7813、mag、magstripe、stripe、swipe。 | トラック 1 と 2 が含まれます。 | いずれか |
| クレジットカード番号 | CreditCardNumber | account number、american express、amex、bank card、card、card num、card number、cc \$1、ccn、check card、credit、credit card\$1、dankort、debit、debit card、diners club、discover、electron、elo verification code、japanese card bureau、jcb、mastercard、mc、pan、payment account number、payment card number、pcn、union pay、visa | 検出では、データを Luhn チェック式に従った 13~19 桁のシーケンスである必要があり、American Express、Dankort、Diner’s Club、Discover、Electron、Japanese Card Bureau (JCB)、Mastercard、UnionPay、Visa のいずれかのタイプのクレジットカードについて標準のカード番号プレフィックスを使用します (以下の 1 の上付きリンク)。 | いずれか |
| クレジットカード認証コード | CreditCardSecurityCode | card id、card identification code、card identification number、card security code、card validation code、card validation number、card verification data、card verification value、cvc、cvc2、cvv、cvv2、elo verification code | – | いずれか |
1. Amazon SNS は、クレジットカード発行会社がパブリックテストのために予約している、以下のシーケンスの出現をレポートしません。
122000000000003、2222405343248877、2222990905257051、2223007648726984、2223577120017656、30569309025904、34343434343434、3528000700000000、3530111333300000、3566002020360505、36148900647913、36700102000000、371449635398431、378282246310005、378734493671000、38520000023237、4012888888881881、4111111111111111、4222222222222、4444333322221111、4462030000000000、4484070000000000、4911830000000、4917300800000000、4917610000000000、4917610000000000003、5019717010103742、5105105105105100、5111010030175156、5185540810000019、5200828282828210、5204230080000017、5204740009900014、5420923878724339、5454545454545454、5455330760000018、5506900490000436、5506900490000444、5506900510000234、5506920809243667、5506922400634930、5506927427317625、5553042241984105、5555553753048194、5555555555554444、5610591081018250、6011000990139424、6011000400000000、6011111111111117、630490017740292441、630495060000000000、6331101999990016、6759649826438453、6799990100000000019、および 76009244561。
## 銀行口座番号のキーワード
次のキーワードを使用して、国コードなどの要素を含む、最大 34 文字の英数字で構成される国際銀行口座番号 (IBAN) を検出します。
| 国またはリージョン | キーワード |
| --- | --- |
| フランス | account code, account number, accountno\$1, accountnumber\$1, bban, code bancaire, compte bancaire, customer account id, customer account number, customer bank account id, iban, numéro de compte |
| ドイツ | account code, account number, accountno\$1, accountnumber\$1, bankleitzahl, bban, customer account id, customer account number, customer bank account id, geheimzahl, iban, kartennummer, kontonummer, kreditkartennummer, sepa |
| イタリア | account code, account number, accountno\$1, accountnumber\$1, bban, codice bancario, conto bancario, customer account id, customer account number, customer bank account id, iban, numero di conto |
| スペイン | account code, account number, accountno\$1, accountnumber\$1, bban, código cuenta, código cuenta bancaria, cuenta cliente id, customer account ID, customer account number, customer bank account id, iban, número cuenta bancaria cliente, número cuenta cliente |
| 英国 | account code, account number, accountno\$1, accountnumber\$1, bban, customer account id, customer account number, customer bank account id, iban, sepa |
| 米国 | bank account、bank acct、checking account、checking acct、deposit account、deposit acct、savings account、savings acct、chequing account、chequing acct |
### 財務データタイプのデータ識別子 ARN
以下は、データ保護ポリシーに追加できるデータ識別子の Amazon リソースネーム (ARN) のリストを示しています。
| 財務データ識別子 ARN |
| --- |
| arn:aws:dataprotection::aws:data-identifier/BankAccountNumber-DE |
| arn:aws:dataprotection::aws:data-identifier/BankAccountNumber-ES |
| arn:aws:dataprotection::aws:data-identifier/BankAccountNumber-FR |
| arn:aws:dataprotection::aws:data-identifier/BankAccountNumber-GB |
| arn:aws:dataprotection::aws:data-identifier/BankAccountNumber-IT |
| arn:aws:dataprotection::aws:data-identifier/BankAccountNumber-US |
| arn:aws:dataprotection::aws:data-identifier/CreditCardExpiration |
| arn:aws:dataprotection::aws:data-identifier/CreditCardNumber |
| arn:aws:dataprotection::aws:data-identifier/CreditCardSecurityCode |
# Amazon SNS 機密データタイプ: 保護対象健康情報 (PHI)
次のテーブルでは、Amazon SNS がマネージドデータ識別子を使用して検出できる保護対象の医療情報 (PHI) のタイプをリスト化して説明します。
| 検出タイプ | マネージドデータ識別子 ID | キーワードが必須 | 国とリージョン |
| --- | --- | --- | --- |
| 麻薬取締局 (DEA) 登録番号 | DrugEnforcementAgencyNumber | dea number, dea registration | 米国 |
| 健康保険証番号 (EHIC) | HealthInsuranceCardNumber | assicurazione sanitaria numero、carta assicurazione numero、carte d’assurance maladie、carte européenne d'assurance maladie、ceam、ehic、ehic\$1、finlandehicnumber\$1、gesundheitskarte、hälsokort、health card、health card number、health insurance card、health insurance number、insurance card number、krankenversicherungskarte、krankenversicherungsnummer、medical account number、numero conto medico、numéro d’assurance maladie、numéro de carte d’assurance、numéro de compte medical、número de cuenta médica、número de seguro de salud、número de tarjeta de seguro、sairaanhoitokortin、sairausvakuutuskortti、sairausvakuutusnumero、sjukförsäkring nummer、sjukförsäkringskort、suomi ehic-numero、tarjeta de salud、terveyskortti、tessera sanitaria assicurazione numero、versicherungsnummer | EU |
| 健康保険請求番号 (HICN) | HealthInsuranceClaimNumber | health insurance claim number, hic no, hic no., hic number, hic\$1, hicn, hicn\$1., hicno\$1 | US |
| 健康保険または医療識別番号 | HealthInsuranceNumber | carte d'assuré social, carte vitale, insurance card | FR |
| ヘルスケア共通手順コーディングシステム (HCPCS) コード | HealthcareProcedureCode | current procedural terminology, hcpcs, healthcare common procedure coding system | US |
| メディケア受給者番号 (MBN) | MedicareBeneficiaryNumber | mbi, medicare beneficiary | US |
| 全米医薬品コード (NDC) | NationalDrugCode | national drug code, ndc | US |
| 国家プロバイダー識別子 (NPI) | NationalProviderId | hipaa, n.p.i, national provider, npi | US |
| National Health Service (NHS) 番号 | NhsNumber | national health service, NHS | GB |
| 個人健康管理番号 (PHN) | PersonalHealthNumber | canada healthcare number, msp number, personal healthcare number, phn, soins de santé | CA |
## 健康保険と医療識別番号のキーワード
さまざまなタイプの健康保険と医療識別番号を検出するために、Amazon SNS では番号の近くにあるキーワードが必要です。これには、欧州健康保険カード番号 (EU、フィンランド)、健康保険番号 (フランス)、メディケア受益者識別子 (米国)、国民保険番号 (英国)、NHS 番号 (英国)、個人保険番号 (カナダ) が含まれます。
次のテーブルに、Amazon SNS が特定の国およびリージョンについて認識するキーワードのリストを示します。
| 国またはリージョン | キーワード |
| --- | --- |
| カナダ | Canada healthcare number, msp number, personal healthcare number, phn, soins de santé |
| EU | assicurazione sanitaria numero, carta assicurazione numero, carte d’assurance maladie, carte européenne d'assurance maladie, ceam, ehic, ehic\$1, finlandehicnumber\$1, gesundheitskarte, hälsokort, health card, health card number, health insurance card, health insurance number, insurance card number, krankenversicherungskarte, krankenversicherungsnummer, medical account number, numero conto medico, numéro d’assurance maladie, numéro de carte d’assurance, numéro de compte medical, número de cuenta médica, número de seguro de salud, número de tarjeta de seguro, sairaanhoitokortin, sairausvakuutuskortti, sairausvakuutusnumero, sjukförsäkring nummer, sjukförsäkringskort, suomi ehic-numero, tarjeta de salud, terveyskortti, tessera sanitaria assicurazione numero, versicherungsnummer |
| フィンランド | ehic, ehic\$1, finland health insurance card, finlandehicnumber\$1, finska sjukförsäkringskort, hälsokort, health card, health card number, health insurance card, health insurance number, sairaanhoitokortin, sairaanhoitokortin, sairausvakuutuskortti, sairausvakuutusnumero, sjukförsäkring nummer, sjukförsäkringskort, suomen sairausvakuutuskortti, suomi ehic-numero, terveyskortti |
| フランス | carte d'assuré social, carte vitale, insurance card |
| 英国 | 国民保健サービス、NHS |
| 米国 | mbi, medicare beneficiary |
### 保護対象の医療情報 (PHI) データタイプのデータ識別子 ARN
PHI データ保護ポリシーで使用できるデータ識別子 Amazon リソースネーム (ARN) を以下に示します。
| PHI データ識別子 ARN |
| --- |
| arn:aws:dataprotection::aws:data-identifier/DrugEnforcementAgencyNumber-US |
| arn:aws:dataprotection::aws:data-identifier/HealthcareProcedureCode-US |
| arn:aws:dataprotection::aws:data-identifier/HealthInsuranceCardNumber-EU |
| arn:aws:dataprotection::aws:data-identifier/HealthInsuranceClaimNumber-US |
| arn:aws:dataprotection::aws:data-identifier/HealthInsuranceNumber-FR |
| arn:aws:dataprotection::aws:data-identifier/MedicareBeneficiaryNumber-US |
| arn:aws:dataprotection::aws:data-identifier/NationalDrugCode-US |
| arn:aws:dataprotection::aws:data-identifier/NationalInsuranceNumber-GB |
| arn:aws:dataprotection::aws:data-identifier/NationalProviderId-US |
| arn:aws:dataprotection::aws:data-identifier/NhsNumber-GB |
| arn:aws:dataprotection::aws:data-identifier/PersonalHealthNumber-CA |
# Amazon SNS 機密データタイプ: 個人を特定できる情報 (PII)
次の表では、Amazon SNS がマネージドデータ識別子を使用して検出できる個人を特定できる情報 (PII) のタイプをリスト化して説明します。
| 検出タイプ | マネージドデータ識別子 ID | キーワードが必須 | 追加情報 | 国とリージョン |
| --- | --- | --- | --- | --- |
| 生年月日 | DateOfBirth | dob, date of birth, birthdate, birth date, birthday, b-day, bday | Support には、すべての数字や数字と月の名前の組み合わせなど、ほとんどの日付形式が含まれます。日付コンポーネントは、スペース、スラッシュ (/)、またはハイフン (-) で区切ることができます。 | いずれか |
| Código de Endereçamento Postal (CEP) | CepCode | cep, código de endereçamento postal, codigo de endereçamento postal | – | ブラジル |
| Cadastro Nacional da Pessoa Jurídica (CNPJ) | Cnpj | cadastro nacional da pessoa jurídica, cadastro nacional da pessoa juridica, cnpj | – | ブラジル |
| Cadastro de Pessoas Físicas (CPF) | CpfCode | Cadastro de pessoas fisicas, cadastro de pessoas físicas, cadastro de pessoa física, cadastro de pessoa fisica, cpf | – | ブラジル |
| 運転免許証識別番号 | DriversLicense | はい、[運転免許証識別番号のキーワード](#sns-managed-data-identifiers-pii-dl-keywords) を参照してください。 | – | オーストラリア、オーストリア、ベルギー、ブルガリア、カナダ、クロアチア、キプロス、チェコ共和国、デンマーク、エストニア、フィンランド、フランス、ドイツ、ギリシャ、ハンガリー、アイルランド、イタリア、ラトビア、リトアニア、ルクセンブルク、マルタ、オランダ、ポーランド、ポルトガル、ルーマニア、スロバキア、スロベニア、スペイン、スウェーデン、英国、米国 |
| 選挙人名簿番号 | ElectoralRollNumber | electoral\$1, electoral \$1, electoralnumber, electoral number, electoralroll\$1, electoral roll\$1, electoral roll \$1, electoral roll no., electoral roll number, electoralrollno | – | UK |
| 個人納税者識別 | IndividualTaxIdentificationNumber | はい、[納税者識別と参照番号のキーワード](#sns-managed-data-identifiers-financial-tin-keywords) を参照してください。 | – | 米国 |
| 国立統計経済研究所 (INSEE) | InseeCode | はい、[国民識別番号のキーワード](#sns-managed-data-identifiers-pii-natlid-keywords) を参照してください。 | – | フランス |
| 国民識別番号 | NationalIdentificationNumber | はい、[国民識別番号のキーワード](#sns-managed-data-identifiers-pii-natlid-keywords) を参照してください。 | これには、Documento Nacional de Identidad (DNI) 識別子 (スペイン)、Codice fiscale codes (イタリア)、国民 ID カード番号 (ドイツ語) が含まれます。 | ドイツ、イタリア、スペイン |
| 国民保険番号 (NINO) | NationalInsuranceNumber | insurance no., insurance number, insurance\$1, national insurance number, nationalinsurance\$1, nationalinsurancenumber, nin, nino | – | UK |
| Número de identidad de extranjero (NIE) | NieNumber | はい、[納税者識別と参照番号のキーワード](#sns-managed-data-identifiers-financial-tin-keywords) を参照してください。 | – | スペイン |
| Número de Identificación Fiscal (NIF) | NifNumber | はい、[納税者識別と参照番号のキーワード](#sns-managed-data-identifiers-financial-tin-keywords) を参照してください。 | – | スペイン |
| パスポート番号 | PassportNumber | はい、[パスポート番号のキーワード](#sns-managed-data-identifiers-pii-passport-keywords) を参照してください。 | – | カナダ、フランス、ドイツ、イタリア、スペイン、英国、米国 |
| 本籍地 | PermanentResidenceNumber | carte résident permanent, numéro carte résident permanent, numéro résident permanent, permanent resident card, permanent resident card number, permanent resident no, permanent resident no., permanent resident number, pr no, pr no., pr non, pr number, résident permanent no., résident permanent non | – | カナダ |
| Phone number (電話番号) | PhoneNumber | ブラジル: キーワードには cel、celular、fone、móvel、número residencial、numero residencial、telefone も含まれます その他: cell、contact、fax、fax number、mobile、phone、phone number、tel、telephone、telephone number | これには、米国の通話料無料の番号とファックス番号が含まれます。キーワードがデータの近くにある場合、番号に国コードを含める必要はありません。キーワードがデータの近くにない場合は、番号に国コードを含める必要があります。 | ブラジル、カナダ、フランス、ドイツ、イタリア、スペイン、英国、米国 |
| 郵便番号 | PostalCode | No | – | カナダ |
| Registro Geral (RG) | RgNumber | はい、[国民識別番号のキーワード](#sns-managed-data-identifiers-pii-natlid-keywords) を参照してください。 | – | ブラジル |
| 社会保険番号 (SIN) | SocialInsuranceNumber | canadian id, numéro d'assurance sociale, social insurance number, sin | – | カナダ |
| 社会保障番号 (SSN) | Ssn | スペイン – número de la seguridad social、social security no.、social security no. número de la seguridad social、social security number、socialsecurityno\$1、ssn、ssn\$1 US — social social、ss\$1、ssn | – | スペイン、米国 |
| 納税者識別番号または参照番号 | TaxId | はい、[納税者識別と参照番号のキーワード](#sns-managed-data-identifiers-financial-tin-keywords) を参照してください。 | これには、TIN (フランス)、Steueridentifikationsnummer (ドイツ)、CIF (スペイン)、TRN、UTR (英国) が含まれます。 | フランス、ドイツ、スペイン、英国 |
| 米国郵便番号 | ZipCode | zip code, zip\$14 | – | US |
| 郵送先住所 | Address | No | キーワードは必要ありませんが、検出では、住所には都市または場所の名前および郵便番号を含める必要があります。 | オーストラリア、カナダ、フランス、ドイツ、イタリア、スペイン、英国、米国 |
| 電子メールアドレス | EmailAddress | email、email address、e mail、e mail address | – | いずれか |
| 全地球測位システム (GPS) 座標 | LatLong | coordinate, coordinates, lat long, latitude longitude, location, position | Amazon SNS は、緯度と経度の座標がペアとして保存され、それらが10 進度 (DD) 形式の場合、GPS 座標を検出できます (例: 41.948614,-87.655311)。サポートには、度 10 進分 (DDM) 形式 (例: 41°56.9168'N 87°39.3187'W)、または、度、分、秒 (DMS) 形式 (例: 41°56'55.0104"N 87°39'19.1196"W) の座標は含まれません。 | いずれか |
| フルネーム | Name | No | Amazon SNS はフルネームのみを検出できます。Support はラテン文字セットに限定されます。 | いずれか |
| 車両識別番号 (VIN) | VehicleIdentificationNumber | Fahrgestellnummer, niv, numarul de identificare, numarul seriei de sasiu, serie sasiu, numer VIN, Número de Identificação do Veículo, Número de Identificación de Automóviles, numéro d'identification du véhicule, vehicle identification number, vin, VIN numeris | Amazon SNS は、17 文字のシーケンスで構成され、ISO 3779 および 3780 規格に従った VIN を検出できます。これらの規格は、世界中で使用するために設計されています。 | いずれか |
## 運転免許証識別番号のキーワード
さまざまなタイプの運転免許証識別番号を検出するために、Amazon SNS では番号の近くにあるキーワードが必要です。次のテーブルに、Amazon SNS が特定の国およびリージョンについて認識するキーワードのリストを示します。
| 国またはリージョン | キーワード |
| --- | --- |
| オーストラリア | dl\$1 dl:, dl :, dlno\$1 driver licence, driver license, driver permit, drivers lic., drivers licence, driver's licence, drivers license, driver's license, drivers permit, driver's permit, drivers permit number, driving licence, driving license, driving permit |
| オーストリア | führerschein, fuhrerschein, führerschein republik österreich, fuhrerschein republik osterreich |
| ベルギー | fuehrerschein, fuehrerschein- nr, fuehrerscheinnummer, fuhrerschein, führerschein, fuhrerschein- nr, führerschein- nr, fuhrerscheinnummer, führerscheinnummer, numéro permis conduire, permis de conduire, rijbewijs, rijbewijsnummer |
| ブルガリア | превозно средство, свидетелство за управление на моторно, свидетелство за управление на мпс, сумпс, шофьорска книжка |
| カナダ | dl\$1, dl:, dlno\$1, driver licence, driver licences, driver license, driver licenses, driver permit, drivers lic., drivers licence, driver's licence, drivers licences, driver's licences, drivers license, driver's license, drivers licenses, driver's licenses, drivers permit, driver's permit, drivers permit number, driving licence, driving license, driving permit, permis de conduire |
| クロアチア | vozačka dozvola |
| キプロス | άδεια οδήγησης |
| チェコ共和国 | číslo licence, císlo licence řidiče, číslo řidičského průkazu, ovladače lic., povolení k jízdě, povolení řidiče, řidiči povolení, řidičský prúkaz, řidičský průkaz |
| デンマーク | kørekort, kørekortnummer |
| エストニア | juhi litsentsi number, juhiloa number, juhiluba, juhiluba number |
| フィンランド | ajokortin numero, ajokortti, förare lic., körkort, körkort nummer, kuljettaja lic., permis de conduire |
| フランス | permis de conduire |
| ドイツ | fuehrerschein, fuehrerschein- nr, fuehrerscheinnummer, fuhrerschein, führerschein, fuhrerschein- nr, führerschein- nr, fuhrerscheinnummer, führerscheinnummer |
| ギリシャ | δεια οδήγησης, adeia odigisis |
| ハンガリー | illesztőprogramok lic, jogosítvány, jogsi, licencszám, vezető engedély, vezetői engedély |
| アイルランド | ceadúnas tiomána |
| イタリア | patente di guida, patente di guida numero, patente guida, patente guida numero |
| ラトビア | autovadītāja apliecība, licences numurs, vadītāja apliecība, vadītāja apliecības numurs, vadītāja atļauja, vadītāja licences numurs, vadītāji lic. |
| リトアニア | vairuotojo pažymėjimas |
| ルクセンブルグ | fahrerlaubnis, führerschäin |
| マルタ | liċenzja tas-sewqan |
| オランダ | permis de conduire, rijbewijs, rijbewijsnummer |
| ポーランド | numer licencyjny, prawo jazdy, zezwolenie na prowadzenie |
| ポルトガル | carta de condução, carteira de habilitação, carteira de motorist, carteira habilitação, carteira motorist, licença condução, licença de condução, número de licença, número licença, permissão condução, permissão de condução |
| ルーマニア | numărul permisului de conducere, permis de conducere |
| スロバキア | číslo licencie, číslo vodičského preukazu, ovládače lic., povolenia vodičov, povolenie jazdu, povolenie na jazdu, povolenie vodiča, vodičský preukaz |
| スロベニア | vozniško dovoljenje |
| スペイン | carnet conducer, el carnet de conducer, licencia conducer, licencia de manejo, número carnet conducer, número de carnet de conducer, número de permiso conducer, número de permiso de conducer, número licencia conducer, número permiso conducer, permiso conducción, permiso conducer, permiso de conducción |
| スウェーデン | ajokortin numero, dlno\$1 ajokortti, drivere lic., förare lic., körkort, körkort nummer, körkortsnummer, kuljettajat lic. |
| 英国 | dl\$1, dl:, dlno\$1, driver licence, driver licences, driver license, driver licenses, driver permit, drivers lic., drivers licence, driver's licence, drivers licences, driver's licences, drivers license, driver's license, drivers licenses, driver's licenses, drivers permit, driver's permit, drivers permit number, driving licence, driving license, driving permit |
| 米国 | dl\$1, dl:, dlno\$1, driver licence, driver licences, driver license, driver licenses, driver permit, drivers lic., drivers licence, driver's licence, drivers licences, driver's licences, drivers license, driver's license, drivers licenses, driver's licenses, drivers permit, driver's permit, drivers permit number, driving licence, driving license, driving permit |
## 国民識別番号のキーワード
さまざまなタイプの国民識別番号を検出するために、Amazon SNS では番号の近くにあるキーワードが必要です。これには、Documento Nacional de Identidad (DNI) 識別子 (スペイン)、フランス国立統計経済研究所 (INSEE) コード、ドイツの国民 ID カード番号、Registro Geral (RG) 番号 (ブラジル) が含まれます。
次のテーブルに、Amazon SNS が特定の国およびリージョンについて認識するキーワードのリストを示します。
| 国またはリージョン | キーワード |
| --- | --- |
| ブラジル | registro geral, rg |
| フランス | assurance sociale, carte nationale d’identité, cni, code sécurité sociale, French social security number, fssn\$1, insee, insurance number, national id number, nationalid\$1, numéro d'assurance, sécurité sociale, sécurité sociale non., sécurité sociale numéro, social, social security, social security number, socialsecuritynumber, ss\$1, ssn, ssn\$1 |
| ドイツ | ausweisnummer, id number, identification number, identity number, insurance number, personal id, personalausweis |
| イタリア | codice fiscal, dati anagrafici, ehic, health card, health insurance card, p. iva, partita i.v.a., personal data, tax code, tessera sanitaria |
| スペイン | dni, dni\$1, dninúmero\$1, documento nacional de identidad, identidad único, identidadúnico\$1, insurance number, national identification number, national identity, nationalid\$1, nationalidno\$1, número nacional identidad, personal identification number, personal identity no, unique identity number, uniqueid\$1 |
## パスポート番号のキーワード
さまざまなタイプのパスポート番号を検出するには、Amazon SNS では番号の近くにあるキーワードが必要です。次のテーブルに、Amazon SNS が特定の国およびリージョンについて認識するキーワードのリストを示します。
| 国またはリージョン | キーワード |
| --- | --- |
| カナダ | passeport, passeport\$1, passport, passport\$1, passportno, passportno\$1 |
| フランス | numéro de passeport, passeport, passeport\$1, passeport \$1, passeportn °, passeport n °, passeportNon, passeport non |
| ドイツ | ausstellungsdatum, ausstellungsort, geburtsdatum, passport, passports, reisepass, reisepass–nr, reisepassnummer |
| イタリア | italian passport number, numéro passeport, numéro passeport italien, passaporto, passaporto italiana, passaporto numero, passport number, repubblica italiana passaporto |
| スペイン | españa pasaporte, libreta pasaporte, número pasaporte, pasaporte, passport, passport book, passport no, passport number, spain passport |
| 英国 | passeport \$1, passeport n °, passeportNon, passeport non, passeportn °, passport \$1, passport no, passport number, passport\$1, passportid |
| 米国 | passport, travel document |
## 納税者識別と参照番号のキーワード
さまざまなタイプの納税者識別番号と参照番号を検出するために、Amazon SNS では番号の近くにあるキーワードが必要です。次のテーブルに、Amazon SNS が特定の国およびリージョンについて認識するキーワードのリストを示します。
| 国またはリージョン | キーワード |
| --- | --- |
| ブラジル | cadastro de pessoa física, cadastro de pessoa fisica, cadastro de pessoas físicas, cadastro de pessoas fisicas, cadastro nacional da pessoa jurídica, cadastro nacional da pessoa juridica, cnpj, cpf |
| フランス | numéro d'identification fiscale, tax id, tax identification number, tax number, tin, tin\$1 |
| ドイツ | identifikationsnummer, steuer id, steueridentifikationsnummer, steuernummer, tax id, tax identification number, tax number |
| スペイン | cif, cif número, cifnúmero\$1, nie, nif, número de contribuyente, número de identidad de extranjero, número de identificación fiscal, número de impuesto corporativo, personal tax number, tax id, tax identification number, tax number, tin, tin\$1 |
| 英国 | paye, tax id, tax id no., tax id number, tax identification, tax identification\$1, tax no., tax number, tax reference, tax\$1, taxid\$1, temporary reference number, tin, trn, unique tax reference, unique taxpayer reference, utr |
| 米国 | 個別の納税者識別番号、itin、i.t.i.n。 |
## 個人を特定できる情報 (PII) のデータ識別子 ARN
以下の表は、データ保護ポリシーに追加できるデータ識別子の Amazon リソースネーム (ARN) のリストを示しています。
| PII データ識別子 ARN |
| --- |
| arn:aws:dataprotection::aws:data-identifier/Address |
| arn:aws:dataprotection::aws:data-identifier/CepCode-BR |
| arn:aws:dataprotection::aws:data-identifier/Cnpj-BR |
| arn:aws:dataprotection::aws:data-identifier/CpfCode-BR |
| arn:aws:dataprotection::aws:data-identifier/DateOfBirth |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-AT |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-AU |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-BE |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-BG |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-CA |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-CY |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-CZ |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-DE |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-DK |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-EE |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-ES |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-FI |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-FR |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-GB |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-GR |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-HR |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-HU |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-IE |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-IT |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-LT |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-LU |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-LV |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-MT |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-NL |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-PL |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-PT |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-RO |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-SE |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-SI |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-SK |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-US |
| arn:aws:dataprotection::aws:data-identifier/ElectoralRollNumber-GB |
| arn:aws:dataprotection::aws:data-identifier/EmailAddress |
| arn:aws:dataprotection::aws:data-identifier/IndividualTaxIdentificationNumber-US |
| arn:aws:dataprotection::aws:data-identifier/InseeCode-FR |
| arn:aws:dataprotection::aws:data-identifier/LatLong |
| arn:aws:dataprotection::aws:data-identifier/Name |
| arn:aws:dataprotection::aws:data-identifier/NationalIdentificationNumber-DE |
| arn:aws:dataprotection::aws:data-identifier/NationalIdentificationNumber-ES |
| arn:aws:dataprotection::aws:data-identifier/NationalIdentificationNumber-IT |
| arn:aws:dataprotection::aws:data-identifier/NieNumber-ES |
| arn:aws:dataprotection::aws:data-identifier/NifNumber-ES |
| arn:aws:dataprotection::aws:data-identifier/PassportNumber-CA |
| arn:aws:dataprotection::aws:data-identifier/PassportNumber-DE |
| arn:aws:dataprotection::aws:data-identifier/PassportNumber-ES |
| arn:aws:dataprotection::aws:data-identifier/PassportNumber-FR |
| arn:aws:dataprotection::aws:data-identifier/PassportNumber-GB |
| arn:aws:dataprotection::aws:data-identifier/PassportNumber-IT |
| arn:aws:dataprotection::aws:data-identifier/PassportNumber-US |
| arn:aws:dataprotection::aws:data-identifier/PermanentResidenceNumber-CA |
| arn:aws:dataprotection::aws:data-identifier/PhoneNumber-BR |
| arn:aws:dataprotection::aws:data-identifier/PhoneNumber-DE |
| arn:aws:dataprotection::aws:data-identifier/PhoneNumber-ES |
| arn:aws:dataprotection::aws:data-identifier/PhoneNumber-FR |
| arn:aws:dataprotection::aws:data-identifier/PhoneNumber-GB |
| arn:aws:dataprotection::aws:data-identifier/PhoneNumber-IT |
| arn:aws:dataprotection::aws:data-identifier/PhoneNumber-US |
| arn:aws:dataprotection::aws:data-identifier/PostalCode-CA |
| arn:aws:dataprotection::aws:data-identifier/RgNumber-BR |
| arn:aws:dataprotection::aws:data-identifier/SocialInsuranceNumber-CA |
| arn:aws:dataprotection::aws:data-identifier/Ssn-ES |
| arn:aws:dataprotection::aws:data-identifier/Ssn-US |
| arn:aws:dataprotection::aws:data-identifier/TaxId-DE |
| arn:aws:dataprotection::aws:data-identifier/TaxId-ES |
| arn:aws:dataprotection::aws:data-identifier/TaxId-FR |
| arn:aws:dataprotection::aws:data-identifier/TaxId-GB |
| arn:aws:dataprotection::aws:data-identifier/VehicleIdentificationNumber |
| arn:aws:dataprotection::aws:data-identifier/ZipCode-US |
# Amazon SNS でのカスタムデータ識別子の使用
カスタムデータ識別子 (CDI) を使用すると、データ保護ポリシーで使用できる独自のカスタム正規表現を定義できます。カスタムデータ識別子を使用すると、[マネージドデータ識別子](sns-message-data-protection-managed-data-identifiers.md)では提供できないビジネス固有の個人を特定できる情報 (PII) のユースケースをターゲットにすることができます。たとえば、カスタムデータ識別子を使用すると、会社固有の従業員 ID を検索できます。カスタムデータ識別子は、マネージドデータ ID と組み合わせて使用できます。
## SNS カスタムデータ識別子とは
カスタムデータ識別子 (CDI) を使用すると、データ保護ポリシーで使用できる独自のカスタム正規表現を定義できます。カスタムデータ識別子を使用すると、[マネージドデータ識別子](sns-message-data-protection-managed-data-identifiers.md)では提供できないビジネス固有の個人を特定できる情報 (PII) のユースケースをターゲットにすることができます。たとえば、カスタムデータ識別子を使用すると、会社固有の従業員 ID を検索できます。カスタムデータ識別子は、マネージドデータ ID と組み合わせて使用できます。
## データ保護ポリシーでカスタムデータ識別子を使用する
以下のデータ保護ポリシーでは、会社固有の従業員 ID を含むペイロードを検出し、これらの ID をハッシュ記号 (\$1) でマスクするよう Amazon SNS トピックに指示します。
1. データ保護ポリシー内で `Configuration` ブロックを作成します。
1. カスタムデータ識別子の `Name` を入力します。例えば、**EmployeeId**。
1. カスタムデータ識別子の `Regex` を入力します。例えば、**EID-\$1d\$19\$1-US**。
1. ポリシーステートメントで、以下のカスタムデータ識別子を参照します。
```
{
"Name": "__example_data_protection_policy",
"Description": "Example data protection policy",
"Version": "2021-06-01",
"Configuration": {
"CustomDataIdentifier": [
{"Name": "EmployeeId", "Regex": "EID-\d{9}-US"}
]
},
"Statement": [
{
"DataDirection": "Inbound",
"Principal": ["*"],
"DataIdentifier": [
"EmployeeId"
],
"Operation": {
"Deidentify": {
"MaskConfig": {
"MaskWithCharacter": "#"
}
}
}
}
]
}
```
1. (オプション) 必要に応じて、`Configuration` ブロックにさらに **カスタムデータ識別子**を追加します。現在、データ保護ポリシーでは最大 10 個のカスタムデータ識別子を使用できます。
## カスタムデータ識別子の制約
Amazon SNS カスタムデータ識別子には、以下の制限があります。
+ 各データ保護ポリシーに使用できるカスタムデータ識別子は最大 10個です。
+ カスタムデータ識別子名に使用できるのは 128 文字までです。以下の文字がサポートされています。
+ 英数字: (a-zA-Z0-9)
+ 記号: ( '\$1' \$1 '-' )
+ RegEx の最大長は 200 文字です。以下の文字がサポートされています。
+ 英数字: (a-zA-Z0-9)
+ 記号: ( '\$1' \$1 '\$1' \$1 '=' \$1 '@' \$1'/' \$1 ';' \$1 ',' \$1 '-' \$1 ' ' )
+ RegEx 予約文字: ( '^' \$1 '\$1' \$1 '?' \$1 '[' \$1 ']' \$1 '\$1' \$1 '\$1' \$1 '\$1' \$1 '\$1\$1' \$1 '\$1' \$1 '\$1' \$1 '.' )
+ カスタムデータ識別子は、マネージドデータ識別子と同じ名前を共有することはできません。
+ カスタムデータ識別子は、各 Amazon SNS トピックのすべてのデータ保護ポリシーで指定する必要があります。