Amazon SNSのデータ保護ポリシーを試してみる
2022/11/03から一般公開(GA)となりました。(9月からパブリックプレビューでした)
データ保護ポリシーについて
こちら↑を見ていただくと早いですが、、、。
- 特定のデータの送信をブロックしたり、チェックする
- 個人を特定できる情報 (PII) および保護対象の医療情報 (PHI)が入っていないか、データ識別子 (名前、住所、クレジットカード番号、処方薬コードなど) を使う
- Amazon SNS *標準トピックのみ*対応
- 日本語は*非対応*
仕組み
(画像は公式docより)
インバウンド(SNSトピックまで)とアウトバウンド(SNSトピックから出る側)で、それぞれデータをモニターできます。アウトバウンドの場合、SNSが送信するときの情報が追加されているので、それらを組み合わせた確認ができそうです。
データ保護ポリシーはSNSトピックに1つで、ステートメントを複数追加できます。ステートメントはJSONで書けます。例はここ
データ保護アクション
保護データが見つかったときに、どう対応するかを設定します。
- Audit(監査) ... 一部を抜き出して確認してログを出す。(S3、CloudWatch、Firehose)
- De-identify(識別解除) ... 当該データ部分をマスクしたり(例えば「#」に置き換える)、削除したりする。(GAで追加された機能)
- Deny(拒否) ... 保護データが見つかった場合にブロックする
コンソール上で、De-identifyが「識別解除」と日本語訳されていますが、非特定化あるいは非識別化のほうが良さそうです(個人の意見です)。
やってみる
コンソール上で、トピックの新規作成または編集画面に入り、データ保護のところにBasicモードで作ります。JSONで作るときはAdvancedです。
こちらでダミーのクレジットカード番号を拾ってきます。
Deny(拒否)
これは単純というか普通にエラーが出るだけなので割愛。
De-identify
クレジットカード番号が入っていたらマスクするように設定します。
SNSから送る文です。
マスクしたメールが届きます。
Audit(監査)
レートを99%、宛先をS3にして、クレジットカード番号が入っていたらログを出す設定にします。かなり深いフォルダの中にlog.gzが保存されていますね。
Amazon S3 > Buckets> bucket/AWSLogs/111122223333/AuditLogs/SNS/ap-northeast-1/my-test-data-protection/2022/11/03/findings/20221103T2205Z_739c6ca9.log.gz
中を見てみると、start endというのが見つかった箇所です。
{
"messageId": "a49067bf-8dd8-5717-bad4-3c61b04c2783",
"auditTimestamp": "2022-11-03T22:06:12Z",f27977
"callerPrincipal": "arn:aws:iam::111122223333:user/user",
"resourceArn": "arn:aws:sns:ap-northeast-1:111122223333:my-test-data-protection",
"dataIdentifiers": [
{
"name": "CreditCardNumber",
"count": 1,
"detections": [
{
"start": 26,
"end": 41
}
]
}
]
}
エラー
途中でこういうエラーが出ましたが、これはconfiguration(Denyとか)の設定を空の状態で保存しようとしていました。このエラー文ではワカラン。。
Couldn't put the topic data protection policy.
Error code: InvalidParameter - Error message: An error occurred while putting data protection policy on resource. Invalid parameter: DataProtectionPolicy Reason: Statement DataIdentifier cannot be empty
まとめ
- SNSのデータ保護機能がGAされたのでやってみました。
- 個人的には、マスクしてくれる非識別化の機能が使いどころありそうで面白いなと思います。
Discussion