[アップデート] Amazon SNS のデータ保護ポリシーで識別解除（De-identify）がアウトバウンドメッセージでも設定出来るようになりました

#Amazon SNS

#AWS

いわさ

2023.09.23

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

いわさです。

Amazon SNS にはデータ保護ポリシーというオプション機能があります。
この機能を使うとメッセージに個人情報などが含まれている場合にポリシーに基づいた動作をさせたり、監査に利用することが出来ます。

データ保護ポリシーのオペレーションは大きくは監査、拒否、識別解除の 3 つがあります。
このうち、識別解除はメッセージに含まれる個人情報を削除あるいはマスキングする機能です。

この識別解除オペレーションについては、これまでインバウンドメッセージにのみ適用が可能でしたが、本日のアップデートでアウトバウンドメッセージに適用出来るようになりました。

ただ、一見するとインバウンドの場合もアウトバウンドの場合も受信したメッセージをマスキング（あるいは削除）して送信するという点は変わらないような気もします。
本日は実動作の検証を行いながらどういった挙動の差が発生してどういうユースケースで使えそうなのかを考察してみましたので紹介したいと思います。

「匿名化」という表現が出来そうですが、本記事ではマネジメントコンソールの日本語表記に合わせて「識別解除」としています。

データ保護ポリシーの基礎

まずはじめに簡単にデータ保護ポリシーの設定方法などについておさらいしておきます。
前提としてデータ保護ポリシーはスタンダードトピックでのみ利用が可能です。

そしてトピックのオプションとしてデータ保護ポリシーを設定することが出来ます。
IAM に似たようなポリシーを設定する形となり、それぞれのオペレーション（拒否・識別解除・監査）内で複数のポリシーを設定することが可能です。

ステートメントで設定する内容は大きくはデータの方向とデータ識別子、対象プリンシパルです。

データの方向は SNS トピックに送信されるインバウンドメッセージに対して処理するのか、それとも SNS トピックからサブスクリプションで設定したエンドポイントへ送信される際のアウトバウンドメッセージに対して処理するのかを選択します。

データ識別子は個人情報や認証情報、あるいは特定の国に固有の秘匿性の高い情報など、識別子のプリセットが用意されています。
この中からデータ保護ポリシーでどういった情報を対象とするかを指定します。

そして、対象プリンシパルですが、ここが今回のアップデートで重要な点となります。
データ保護ポリシーではトピックに流れてくるすべてのメッセージを対象にすることも出来ますが、プリンシパルを指定してきめ細かいポリシーを設定することも可能です。

この対象プリンシパルはインバウンドメッセージとアウトバウンドメッセージで対象が異なっており、インバウンドメッセージはPublish操作を行った IAM プリンシパルとなります。つまり送信元ですね。これはわかりやすい。
アウトバウンドメッセージは送信先を指定出来ます。ただこれがちょっと驚いたのですが、サブスクリプションをSubscribe操作を行った IAM プリンシパルとなります。
蛇足になっちゃいますが、この挙動からするとSubscribe操作を行うユーザーって適当なユーザーだとダメですね。きっちり決めたほうが良さそうだなと思いました。

データ保護ポリシーの識別解除を試してみる

今回はインバウンドとアウトバウンドそれぞれの識別解除（マスキング）を試してみました。
まず、トピックにエンドポイントが 2 つサブスクライブしている状態です。

そして、前述のとおり対象プリンシパルの挙動の違いがポイントとなりますので、上記サブスクリプションは別々の IAM ユーザーでSubscribe操作を行いました。
そうすると対象サブスクリプションのSubscriptionPrincipalとして設定される形となります。

% aws sns get-subscription-attributes --subscription-arn arn:aws:sns:ap-northeast-1:123456789012:hoge0923protection:55e61f7e-b942-44f0-9dbe-8f8eda80011c
{
    "Attributes": {
        "SubscriptionPrincipal": "arn:aws:iam::123456789012:user/hoge1",
        "Owner": "123456789012",
        "RawMessageDelivery": "false",
        "TopicArn": "arn:aws:sns:ap-northeast-1:123456789012:hoge0923protection",
        "Endpoint": "user1@example.com",
        "Protocol": "email",
        "PendingConfirmation": "false",
        "ConfirmationWasAuthenticated": "false",
        "SubscriptionArn": "arn:aws:sns:ap-northeast-1:123456789012:hoge0923protection:55e61f7e-b942-44f0-9dbe-8f8eda80011c"
    }
}
% aws sns get-subscription-attributes --subscription-arn arn:aws:sns:ap-northeast-1:123456789012:hoge0923protection:c6e90a5e-f3d2-4248-9d43-2c4f4afc8417
{
    "Attributes": {
        "SubscriptionPrincipal": "arn:aws:iam::123456789012:user/hoge2",
        "Owner": "123456789012",
        "RawMessageDelivery": "false",
        "TopicArn": "arn:aws:sns:ap-northeast-1:123456789012:hoge0923protection",
        "Endpoint": "user2@example.com",
        "Protocol": "email",
        "PendingConfirmation": "false",
        "ConfirmationWasAuthenticated": "false",
        "SubscriptionArn": "arn:aws:sns:ap-northeast-1:123456789012:hoge0923protection:c6e90a5e-f3d2-4248-9d43-2c4f4afc8417"
    }
}