みなさん、こんにちは。サニービュー事業部の小寺です。
Amazon Simple Notification Service (Amazon SNS) をお使いの方も多いですよね。
SNSトピックのデータ保護のパブリックレビューが利用できるようになりました。
アップデートのうれしいこと
Amazon SNS のメッセージデータ保護機能のアップデートで、アプリケーション間で通信される、特定の種類の個人を特定できる情報 (PII) および保護医療情報 (PHI) データを検出して保護できるようになりました。
一番のメリットとしては、メッセージをリアルタイムでスキャンして該当する機密データを探すことができ、検出結果の詳細な監査レポートをログとして残すか、メッセージ配信を完全にブロックします。
様々な規制に対応できるようになっています。
・医療保険の携行性と責任に関する法律 (HIPAA、Health Insurance Portability and Accountability Act)
・一般データ保護規則 (GDPR、General Data Privacy Regulation)
・ペイメントカード業界データセキュリティ基準 (PCI-DSS、Payment Card Industry Data Security Standard)
・連邦政府リスクおよび認証管理プログラム (FedRAMP、Federal Risk and Authorization Management Program)
試してみた
(1)AWSマネジメントコンソールで確認してみます。既に作成済のトピックに対しても、「データ保護ポリシー(プレビュー)」が表示されています。
(2)保護ポリシー自体はトピックを編集して設定する必要がありそうです。
(3)トピックを編集から「データ保護ポリシー-プレビュー, オプション」を確認してみます。 設定モードは「ベーシック」と「アドバンスト」の2つから選べます。
(4)拒否設定をしてみます。
トピックを通じてやり取りされないようにする機密データと、そのデータの配信を禁止するアカウントの設定ができます。
データの方向は「インバウンドメッセージ」と「アウトバウンドメッセージ」から選べます。
(5)データ識別子は、あらかじめプルダウンから選べるようになっています。
(6)次に「設定を監査」から先ほどと同様にデータ識別子から監査するデータを選びます。サンプルレートを監査という項目があり、機密情報について監査するメッセージの割合が設定できるようです。
最大99%というのが気になります。全て?ではないということでしょうか。
(7)監査結果の送信先としては、以下の3つから選べます。
・Amazon CloudWatch
・Amazon Kinesis Data Firehose
・Amazon Simple Storage Service
(8)メッセージを送信したので確認してみます。
S3を指定していたので、「Amazon S3>バケット>バケット名>AWSLogs>AWSアカウントID>AuditLogs>SNS>ap-northeast-1>トピック名>YYYY>MM>DD>」に
保管されていました。
対応リージョン
Amazon SNS メッセージデータ保護は以下のリージョンに対応しています。
・米国東部 (オハイオ)
・米国東部 (バージニア北部)
・米国西部 (北カルフォルニア)
・米国西部 (オレゴン)
・アフリカ (ケープタウン)
・アジアパシフィック (香港)
・アジアパシフィック (ジャカルタ)
・アジアパシフィック (ムンバイ)
・アジアパシフィック (大阪)
・アジアパシフィック (ソウル)
・アジアパシフィック (シンガポール)
・アジアパシフィック (シドニー)
・アジアパシフィック (東京)
・カナダ (中部)
・欧州 (フランクフルト)
・欧州 (アイルランド)
・欧州 (ロンドン)
・欧州 (ミラノ)
・欧州 (パリ)
・欧州 (ストックホルム)
・中東 (バーレーン)
・南米 (サンパウロ)
まとめ
SNSトピックのデータ保護のパブリックレビューが利用できるようになったので、試してみました。まずは監査機能を使って、どのようにログ出力されているのか動作確認をしてみるのも良いですよね。また、色々な規制対応をしないといけないワークロードへ対応という意味でも活用が進みそうですね。
