Private Operator for AWS integration guide
UID2 Operator は、UID2 エコシステム内の API サーバーです。詳細は、UID2 Operator を参照してください。
AWS Marketplace で稼働する Private Operator Service の場合、UID2 Operator ソリューションは AWS Nitro Enclave テクノロジーで強化されています。これは、UID2 情報を不正なアクセスから保護するための追加のセキュリティ対策です。
UID2 Private Operator for AWS は無償製品です。製品ページに表示されている費用は、必要なインフラの概算費用となります。
UID2 Private Operator for AWS を契約することで、以下を利用できます:
- Amazon Machine Image (AMI) UID2 Operator Service がインストールされ、ブートストラップの準備が整っている状態です:
AMI には、UID2 Operator Service がすでにセットアップされた Amazon Linux 2023 オペレーティングシステムが含まれています。AMI をベースにした EC2 インスタ ンスが起動すると、AWS アカウントから設定を自動的に取得し、エンクレーブ内で UID2 Operator サーバーを起動します。 - CloudFormation template:
このテンプレートでは、UID2 Operator AMI がデプロイ展開されます。
Operator version
最新の ZIP ファイルは、次の表の Release Notes 欄にリンクされています。
| Version Name | Version #/Release Notes | AWS Version | Date |
|---|---|---|---|
| H1 2026 | v5.70.159 | v5.70.159-r0 | June 23, 2026 |
For information about supported versions and deprecation dates, see Private Operator versions.
Private Operator upgrade policy
セキュリティと運用の整合性を維持するため、古いオペレーターのバージョンは 12 ヶ月後に無効化され、影響を受けるデプロイメントがシャットダウンまたは起動に失敗する可能性があります。最新のセキュリティと機能強化を使用するために、アップグレードを推奨します。中断を避けるために、積極的なアップグレードを推奨します。
重要なセキュリティまたは運用上の問題、または契約条件が適用される場合、Private Operator に対してより厳しいアップグレードタイムラインを適用する権利を留保します。
Prerequisites
AWS で 1 つまたは複数の UID2 Operator をサブスクライブしてデプロイするには、次の手順を実行します:
Minimal IAM role privileges
ワンクリックデプロイを成功させるためには、AWS アカウントに以下のアクションを実行する権限が必要です:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"ec2:*",
"kms:*",
"autoscaling:*",
"cloudformation:*",
"iam:ListRoleTags",
"secretsmanager:*",
"iam:PutRolePolicy",
"iam:AddRoleToInstanceProfile",
"iam:ListRolePolicies",
"iam:ListPolicies",
"iam:GetRole",
"iam:GetPolicy",
"iam:DeleteRole",
"iam:UpdateRoleDescription",
"iam:TagPolicy",
"iam:GetRolePolicy",
"iam:CreateInstanceProfile",
"iam:UntagRole",
"iam:TagRole",
"iam:ListInstanceProfilesForRole",
"iam:PassRole",
"iam:DeleteRolePolicy",
"iam:ListPolicyTags",
"iam:DeleteInstanceProfile",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:UntagPolicy",
"iam:UpdateRole",
"iam:UntagInstanceProfile",
"iam:TagInstanceProfile",
"iam:SetDefaultPolicyVersion",
"iam:UpdateAssumeRolePolicy",
"iam:GetPolicyVersion",
"iam:RemoveRoleFromInstanceProfile",
"iam:CreateRole",
"iam:AttachRolePolicy",
"iam:DetachRolePolicy",
"iam:ListAttachedRolePolicies",
"iam:DeletePolicy",
"iam:ListInstanceProfileTags",
"iam:CreatePolicyVersion",
"iam:GetInstanceProfile",
"iam:ListInstanceProfiles",
"iam:ListPolicyVersions",
"iam:DeletePolicyVersion",
"iam:ListUserTags"
],
"Resource": "*"
}
]
}
Resources created
次の表は、deployment 中に作成されるすべてのリソースの一覧です。
| Name | Type | Description |
|---|---|---|
KMSKey | AWS::KMS::Key | AWS Secrets Manager で秘密暗号化に使う Custom KMS key です。 |
SSMKeyAlias | AWS::KMS::Alias | KMSキーに簡単にアクセスする方法を提供するエイリアスです。 |
TokenSecret | AWS::SecretsManager::Secret | Operator Key を保存するための Secrets Manager のシークレットです。 |
WorkerRole | AWS::IAM::Role | UID2 Operator が実行する IAM ロールです。このロールで AWS Secrets Manager にアクセスして Operator Key を取得できます。 |
WorkerInstanceProfile | AWS::IAM::InstanceProfile | Operator EC2 インスタンスにアタッチする Worker Role を持つインスタンスプロファイルです。 |
SecurityGroup | AWS::EC2::SecurityGroup | オペレーターインスタンスに対するルールを提供するセキュリティグループポリシーです。Security group policy を参照してください。 |
LaunchTemplate | AWS::EC2::LaunchTemplate | すべての設定が配置された起動テンプレートです。こ のテンプレートから新しい UID2 Operator インスタンスを起動できます。 |
AutoScalingGroup | AWS::AutoScaling::AutoScalingGroup | 起動テンプレートがアタッチされている Auto Scaling Group(ASG)。必要であれば、これを使用して後でインスタンスの必要数を更新できます。 |
Customization options
以下は、デプロイ の実行中または実行後にカスタマイズできる内容です。
- VPC: 既存の VPC と関連する VPC サブネット ID を指定する必要があります。
- ルートボリュームサイズ (8G Minimum)
- SSH キー: UID2 Operator の EC2 インスタンスにアクセスする際に使用する SSH キーです。
- Instance type: m5.2xlarge、m5.4xlarge、といった具合です。カスタマイズがない場合は、デフォルト値の m5.2xlarge を推奨します。
Security group policy
ドメインに関連する証明書をエンクレーブに渡すのを避けるため、HTTPS の代わりにインバウンド HTTP が許可されています。これは、組織内部のプライベートネットワークで使用する場合、セキュアレイヤーのコストを回避することにもなります。
| Port Number | Direction | Protocol | Description |
|---|---|---|---|
| 80 | Inbound | HTTP | Healthcheck エンドポイント /ops/healthcheck を含むすべての UID2 API を提供します。すべてが稼働している場合、エンドポイントは HTTP 200 を返し、レスポンスボディは OK となります。詳細は、Checking UID2 Operator status を参照してください。 |
| 9080 | Inbound | HTTP | Prometheus metrics サービス (/metrics)。 |
| 443 | Outbound | HTTPS | UID2 Core Service、AWS S3 を呼び出し、オプトアウトデータとキーストア用のファイルをダウンロードします。 |
アウトバンドのネットワークが制限されている場合は、Private Operator network egress に記載されている宛先へのアウトバウンドアクセスを許可する必要があります。
VPC chart
次の図は、Private Operator をホストする仮想プライベートクラウドを示したものです。

Preparing DII for processing
UID2 に変換する入力データが許容可能な形式であることは非常に重要です。そうでない場合、期待される結果は得られません。たとえば、Phone number normalization で説明されているように、電話番号には国コードを含めるように正規化する必要があります。
詳細は、Preparing emails and phone numbers for processing を参照してください。
フルトークン生成パイプラインをエンドツーエンドで検証し、正規化・ハッシュ化・エンコードされた値から生成されたトークンが正確であることを確認するためには、[UID2 Token Validator](../ref-info/ref-token-validator.md)を使用してください。
Deployment
UID2 Operator を AWS Marketplace にデプロイするには、以下の手順を実行します:
-
Unified ID 2.0 Operator on AWS Marketplace をサブスクライブします。AWS がサブスクライブが完了するまで数分かかる場合があります。
-
Configuration をクリックし、構成値を指定します。
ソフトウェアバージョンは、Operator version を参照し、AWS Version 列で値を選択します。
-
Configuration ページで Launch をクリックし、Launch CloudFormation アクションを選択します。
-
スタック作成ウィザードでテンプレートを指定し、Next をクリックします。テンプレートファイルの S3 パスが自動的に入力されます。