Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Ejemplos de políticas SNS de protección de datos de Amazon
Estos ejemplos son políticas de protección de datos que puede utilizar para auditar y denegar datos confidenciales. Para ver un tutorial completo que incluye un ejemplo de aplicación, consulta la entrada del SNS blog Introducing Message Data Protection for Amazon
Temas
- Ejemplo de política para realizar una auditoría
- Política de ejemplo con instrucción de máscara de desidentificación entrante
- Política de ejemplo con instrucción de eliminación de desidentificación entrante
- Política de ejemplo con instrucción de máscara de desidentificación saliente
- Política de ejemplo con instrucción de eliminación de desidentificación entrante
- Ejemplo de política con instrucción de denegación de mensaje entrante
- Ejemplo de política con instrucción de denegación de mensaje saliente
Ejemplo de política para realizar una auditoría
Las políticas de auditoría le permiten auditar hasta el 99% de los mensajes entrantes y enviar los resultados a Amazon CloudWatch, Amazon Data Firehose y Amazon S3.
Por ejemplo, puede crear una política de auditoría para evaluar si alguno de sus sistemas envía o recibe datos confidenciales sin darse cuenta. Si los resultados de la auditoría muestran que los sistemas envían información de tarjetas de crédito a sistemas que no la requieren, puede implementar una política de protección de datos para bloquear la entrega de los datos.
El siguiente ejemplo audita el 99% de los mensajes que circulan por el tema buscando números de tarjetas de crédito y enviando los resultados a CloudWatch Logs, Firehose y Amazon S3.
Política de protección de datos:
{ "Name": "__example_data_protection_policy", "Description": "Example data protection policy", "Version": "2021-06-01", "Statement": [ { "DataDirection": "Inbound", "Principal": ["*"], "DataIdentifier": [ "arn:aws:dataprotection::aws:data-identifier/CreditCardNumber" ], "Operation": { "Audit": { "SampleRate": "99", "FindingsDestination": { "CloudWatchLogs": { "LogGroup": "<example log name>" }, "Firehose": { "DeliveryStream": "<example stream name>" }, "S3": { "Bucket": "<example bucket name>" } } } } } ] }
Ejemplo de formato de resultados de auditoría:
{ "messageId": "...", "callerPrincipal": "arn:aws:sts::123456789012:assumed-role/ExampleRole", "resourceArn": "arn:aws:sns:us-east-1:123456789012:ExampleArn", "dataIdentifiers": [ { "name": "CreditCardNumber", "count": 1, "detections": [ { "start": 1, "end": 2 } ] } ], "timestamp": "2021-04-20T00:33:40.241Z" }
Política de ejemplo con instrucción de máscara de desidentificación entrante
En el siguiente ejemplo, se impide que un usuario publique un mensaje en un tema con CreditCardNumber al enmascarar la información confidencial en el contenido del mensaje.
{ "Name": "__example_data_protection_policy", "Description": "Example data protection policy", "Version": "2021-06-01", "Statement": [ { "DataDirection": "Inbound", "Principal": [ "arn:aws:iam::123456789012:user/ExampleUser" ], "DataIdentifier": [ "arn:aws:dataprotection::aws:data-identifier/CreditCardNumber" ], "Operation": { "Deidentify": { "MaskConfig": { "MaskWithCharacter": "#" } } } } ] }
Ejemplo de resultados entrantes de máscara de desidentificación:
// original message My credit card number is 4539894458086459 // delivered message My credit card number is ################
Política de ejemplo con instrucción de eliminación de desidentificación entrante
En el siguiente ejemplo se impide que un usuario publique un mensaje en un tema con CreditCardNumber al eliminar la información confidencial del contenido del mensaje.
{ "Name": "__example_data_protection_policy", "Description": "Example data protection policy", "Version": "2021-06-01", "Statement": [ { "DataDirection": "Inbound", "Principal": [ "arn:aws:iam::123456789012:user/ExampleUser" ], "DataIdentifier": [ "arn:aws:dataprotection::aws:data-identifier/CreditCardNumber" ], "Operation": { "Deidentify": { "RedactConfig": {} } } } ] }
Ejemplo de resultados entrantes de anonimización y eliminación:
// original message My credit card number is 4539894458086459 // delivered message My credit card number is
Política de ejemplo con instrucción de máscara de desidentificación saliente
En el siguiente ejemplo, se impide que un usuario reciba un mensaje con CreditCardNumber al enmascarar la información confidencial en el contenido del mensaje.
{ "Name": "__example_data_protection_policy", "Description": "Example data protection policy", "Version": "2021-06-01", "Statement": [ { "DataDirection": "Outbound", "Principal": [ "arn:aws:iam::123456789012:user/ExampleUser" ], "DataIdentifier": [ "arn:aws:dataprotection::aws:data-identifier/CreditCardNumber" ], "Operation": { "Deidentify": { "MaskConfig": { "MaskWithCharacter": "-" } } } } ] }
Ejemplo de resultados salientes de máscara de desidentificación:
// original message My credit card number is 4539894458086459 // delivered message My credit card number is ----------------
Política de ejemplo con instrucción de eliminación de desidentificación entrante
En el siguiente ejemplo se impide que un usuario publique un mensaje en un tema con CreditCardNumber al eliminar la información confidencial del contenido del mensaje.
{ "Name": "__example_data_protection_policy", "Description": "Example data protection policy", "Version": "2021-06-01", "Statement": [ { "DataDirection": "Outbound", "Principal": [ "arn:aws:iam::123456789012:user/ExampleUser" ], "DataIdentifier": [ "arn:aws:dataprotection::aws:data-identifier/CreditCardNumber" ], "Operation": { "Deidentify": { "RedactConfig": {} } } } ] }
Ejemplo de resultados salientes de desidentificación y eliminación:
// original message My credit card number is 4539894458086459 // delivered message My credit card number is
Ejemplo de política con instrucción de denegación de mensaje entrante
En el siguiente ejemplo se impide que un usuario publique un mensaje en un tema con CreditCardNumber en el contenido de dicho mensaje. Las cargas útiles denegadas en la API respuesta tienen el código de estado»403 AuthorizationError".
{ "Name": "__example_data_protection_policy", "Description": "Example data protection policy", "Version": "2021-06-01", "Statement": [ { "DataDirection": "Inbound", "Principal": [ "arn:aws:iam::123456789012:user/ExampleUser" ], "DataIdentifier": [ "arn:aws:dataprotection::aws:data-identifier/CreditCardNumber" ], "Operation": { "Deny": {} } } ] }
Ejemplo de política con instrucción de denegación de mensaje saliente
El siguiente ejemplo bloquea una AWS cuenta para que no reciba mensajes que contenganCreditCardNumber.
{ "Name": "__example_data_protection_policy", "Description": "Example data protection policy", "Version": "2021-06-01", "Statement": [ { "DataDirection": "Outbound", "Principal": [ "arn:aws:iam::123456789012:user/ExampleUser" ], "DataIdentifier": [ "arn:aws:dataprotection::aws:data-identifier/CreditCardNumber" ], "Operation": { "Deny": {} } } ] }
Ejemplo de resultados de denegación salientes registrados en Amazon CloudWatch:
{ "notification": { "messageMD5Sum": "2e8f58ff2eeed723b56b15493fbfb5a5", "messageId": "8747a956-ebf1-59da-b291-f2c2e4b87c9c", "topicArn": "arn:aws:sns:us-east-2:664555388960:test1", "timestamp": "2022-09-08 15:40:57.144" }, "delivery": { "deliveryId": "6a422437-78cc-5171-ad64-7fa3778507aa", "destination": "arn:aws:sqs:us-east-2:664555388960:test", "providerResponse": "The topic's data protection policy prohibits this message from being delivered to <subscription arn>", "dwellTimeMs": 22, "attempts": 1, "statusCode": 403 }, "status": "FAILURE" }
