

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# コンソールを使用して Amazon SNS でデータ保護ポリシーを作成する
<a name="sns-message-data-protection-configure-console"></a>

**重要**  
Amazon SNS メッセージデータ保護は、新規顧客には利用できなくなりました。代替方法の詳細とガイダンスについては、[Amazon SNS メッセージデータ保護の可用性の変更](https://docs.aws.amazon.com/sns/latest/dg/sns-message-data-protection-availability-change.html)」を参照してください。

 AWS アカウント内の Amazon SNS リソースの数とサイズは限られています。詳細については、「[Amazon Simple Notification Service のエンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/sns.html)」を参照してくださ。

**Amazon SNS トピックとともにデータ保護ポリシーを作成するには (コンソール)**  
このオプションを使用して、標準の Amazon SNS トピックと一緒に新しいデータ保護ポリシーを作成します。

1. [Amazon SNS コンソール](https://console.aws.amazon.com/sns/home)にサインインします。

1. トピックを選択するか、新しいトピックを作成できます。トピックの作成の詳細については、「[Amazon SNS のトピックの作成](sns-create-topic.md)」を参照してください。

1. **[Create topic]** (トピックの作成) ページの **[Details]** (詳細) セクションで **[Standard]** (標準) を選択します。

   1. トピックの**名前**を入力します。

   1. (オプション) トピックの**表示名**を入力します。

1. **[Data protection policy]** (データ保護ポリシー) を展開します。

1. **[Configuration mode]** (設定モード) を選択します。
   + **[Basic]** (ベーシック) — シンプルなメニューを使用してデータ保護ポリシーを定義します。
   + **[Advanced]** (アドバンスト) — JSON を使用してカスタムデータ保護ポリシーを定義します。

1. (オプション) **独自のカスタムデータ識別子**を作成するには、**[カスタムデータ識別子の設定セクション]** を展開し、次の操作を行います。

   1. カスタムデータ識別子の一意の**名前**を入力します。カスタムデータ識別子名には、英数字、アンダースコア (\_)、ハイフン (-) を使用できます。カスタム識別子名の長さは最大 128 文字です。カスタムデータ識別子は、[マネージドデータ識別子](sns-message-data-protection-managed-data-identifiers.md)と同じ名前を共有することはできません。カスタムデータ識別子の制限の詳細な一覧については、「[カスタムデータ識別子の制約](sns-message-data-protection-custom-data-identifiers.md#custom-data-identifiers-limitations)」を参照してください。

   1. カスタムデータ識別子の正規表現 (RegEx) を入力します。RegEx は、英数字、RegEx 予約文字、および記号をサポートしています。RegEx の最大長は 200 文字です。RegEx が複雑すぎる場合、Amazon SNS は API コールに失敗します。RegEx の制限の詳細な一覧については、[カスタムデータ識別子の制約](sns-message-data-protection-custom-data-identifiers.md#custom-data-identifiers-limitations) を参照してください。

   1. (オプション) 必要に応じて **[カスタムデータ識別子の追加]** を選択し、データ識別子を追加します。各データ保護ポリシーに使用できるカスタムデータ識別子は最大 10個です。

1. データ保護ポリシーに追加したいステートメントを選択します。**監査**、**識別解除** (マスクまたは編集)、**拒否** (ブロック) の各ステートメントタイプを同じデータ保護ポリシーに追加できます。

   1. **[Add audit statement]** (監査ステートメントの追加) — 監査する機密データ、そのデータについて監査するメッセージの割合、監査ログの送信先を設定します。
**注記**  
データ保護ポリシーまたはトピックごとに許可される監査ステートメントは 1 つだけです。

      1. **データ識別子**を指定して監査する機密データを定義します。

      1. **[Audit sample rate]** (監査サンプルレート) に、機密情報を監査するメッセージの割合を最大 99% で入力します。

      1. **監査送信先**で、監査結果の送信 AWS のサービス 先を選択し、 AWS のサービス 使用する各送信先名を入力します。次のAmazon Web Services から選択できます。
         + **Amazon CloudWatch** — CloudWatch Logs は AWS の標準ロギングソリューションです。CloudWatch Logs を使用すると、Logs Insights ([サンプルはこちら](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_QuerySyntax-examples.html)) を使用してログ分析を実行し、メトリクスとアラームを作成できます。CloudWatch Logs は多くのサービスがログを公開する場所であるため、1 つのソリューションを使用してすべてのログを簡単に集約できます。Amazon CloudWatch の詳細については、「[Amazon CloudWatch ユーザーガイド](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html)」を参照してください。
         + **** – Firehose は、さらにログ分析を行うために、Splunk、OpenSearch、Amazon Redshift へのリアルタイムストリーミングのニーズに対応します。詳細については、「[ユーザーガイド](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html)」を参照してください。
         + **Amazon Simple Storage Service** — Amazon S3 は、アーカイブ用のログ記録先として経済的です。ログは、数年間にわたって保持が必要な場合があります。こうした場合、ログを Amazon S3 に保存することで、コストを節約できます。Amazon Simple Storage Service の詳細については、「[Amazon Simple Storage Service ユーザーガイド](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html)」を参照してください。

   1. **識別解除ステートメントの追加** — メッセージで識別解除したい機密データを設定して、そのデータをマスクまたは編集するか、アカウントでそのデータの配信を停止します。

      1. **データ識別子**の場合は、識別解除する機密データを選択します。

      1. **この識別解除ステートメントを定義する で**、この識別解除ステートメントが適用される AWS アカウントまたは IAM プリンシパルを選択します。このステートメントは、**すべての AWS アカウント**に適用できます。また、アカウント ID や IAM エンティティ ARN を使用する**特定の AWS アカウント**または **IAM エンティティ** (アカウントルート、ロール、またはユーザー) にも適用できます。複数の ID または ARN を設定するには、それぞれをカンマ (,) で区切ります。

         サポートされている [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html) プリンシパルは次のとおりです。
         + **IAM アカウントプリンシパル** — 例: `arn:aws:iam::AWS-account-ID:root`。
         + **IAM ロールプリンシパル** — 例: `arn:aws:iam::AWS-account-ID:role/role-name`。
         + **IAM ユーザープリンシパル** — 例: `arn:aws:iam::AWS-account-ID:user/user-name`。

      1. **識別解除オプション**の場合は、機密データを識別解除する方法を選択します。以下のオペレーションがサポートされています。
         + **編集** — データを完全に削除します。例えば、email: `classified@amazon.com` は email: ` ` になります。
         + **マスク** — データを単一の文字に置き換えます。例えば、email: `classified@amazon.com` は email: `*********************` になります。

      1. (オプション) 必要に応じて、さらに識別解除ステートメントを追加します。

   1. **[Add deny statement]** (拒否ステートメントの追加) — トピック内を移動しないようにする機密データと、そのデータの送信を防ぐプリンシパルを構成します。

      1. **データ方向**については、拒否ステートメントのメッセージの方向を選択します。
         + **[Inbound messages]** (インバウンドメッセージ) — この拒否ステートメントをトピックに送信されるメッセージに適用します。
         + **[Outbound messages]** (アウトバウンドメッセージ) — この拒否ステートメントを、トピックがサブスクリプションエンドポイントに配信するメッセージに適用します。

      1. **データ識別子**を選択して拒否する機密データを定義します。

      1. この拒否ステートメントに適用する **IAM プリンシパル**を選択します。アカウント IDs または **IAM エンティティ** ARNs を使用する**すべてのアカウント、 AWS ****特定の AWS アカウント** または IAM エンティティ (アカウントルート、ロール、ユーザーなど) に適用できます。複数の ID または ARN を設定するには、それぞれをカンマ (,) で区切ります。サポートされている [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html) プリンシパルは次のとおりです。
         + **IAM アカウントプリンシパル** — 例: `arn:aws:iam::AWS-account-ID:root`。
         + **IAM ロールプリンシパル** — 例: `arn:aws:iam::AWS-account-ID:role/role-name`。
         + **IAM ユーザープリンシパル** — 例: `arn:aws:iam::AWS-account-ID:user/user-name`。

      1. (オプション) 必要に応じて、さらに拒否ステートメントを追加します。