Comprendre les politiques de protection des données d'Amazon SNS - Amazon Simple Notification Service
En quoi consistent les politiques de protection des données ?Vue d'ensemble de la structure de protection des donnéesComment puis-je déterminer les principaux IAM

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comprendre les politiques de protection des données d'Amazon SNS

En quoi consistent les politiques de protection des données ?

Amazon SNS utilise des politiques de protection des données pour sélectionner les données sensibles que vous souhaitez analyser et les mesures que vous souhaitez prendre pour empêcher que ces données ne soient échangées par vos rubriques Amazon SNS. Pour sélectionner les données sensibles qui vous intéressent, vous utilisez des identifiants de données. Message Data Protection Amazon SNS détecte ensuite les données sensibles à l'aide du machine learning et de la correspondance de modèles. Pour agir sur les identifiants de données détectés, vous pouvez définir une opération d'audit, d'anonymisation ou de refus. Ces opérations vous permettent de consigner les données sensibles détectées (ou non détectées), de masquer ou de supprimer les données sensibles, ou de refuser la diffusion des messages.

Amazon SNS utilise des politiques de protection des données pour gérer et sécuriser les données sensibles entre différents acteurs. Services AWS Il présente le flux de travail pour les messages entrants et sortants, en détaillant la manière dont les données sont surveillées et les mesures prises en fonction de paramètres de politique tels que l'audit, la dépersonnalisation ou le refus de transmission de données afin de protéger des informations telles que les informations personnelles identifiables (PII) et les informations de santé protégées (PHI).

Comment est structurée la politique de protection des données ?

Comme illustré dans la figure suivante, un document de politique de protection des données inclut les éléments suivants :

  • Informations facultatives sur l'ensemble de la politique (en haut du document)

  • Une ou plusieurs instructions individuelles

Chaque instruction inclut des informations sur une seule autorisation.

Structure d'une politique de protection des données dans Amazon SNS, illustrant la façon dont la politique est composée de divers éléments tels que le nom de la politique, la description, la version et de multiples déclarations qui spécifient des actions telles que l'audit, la dépersonnalisation ou le refus en fonction de l'orientation des données, des identifiants et des principes concernés.

Une seule politique de protection des données peut être définie par rubrique Amazon SNS. La politique de protection des données peut comporter une ou plusieurs instructions de refus ou d'anonymisation, mais seulement une instruction d'audit.

Propriétés JSON pour la politique de protection des données

Une politique de protection des données nécessite les informations de politique de base suivantes à des fins d'identification :

  • Nom - Nom de la politique.

  • Description (Facultatif) - Description de la politique.

  • Version - Version du langage de la politique. La version actuelle est 2021-06-01.

  • Instruction - Liste d’instructions qui spécifie les actions de la politique de protection des données.

{
  "Name": "basicPII-protection",
  "Description": "Protect basic types of sensitive data",
  "Version": "2021-06-01",
  "Statement": [
        ...
  ]
}

Propriétés JSON pour une instruction de politique

Une instruction de politique définit le contexte de détection pour l'opération de protection des données.

  • Sid (facultatif) - L'identifiant de l’instruction.

  • DataDirection— Entrant (pour les demandes d'API de publication) ou sortant (pour les envois de notifications) par rapport à la rubrique Amazon SNS.

  • DataIdentifier— Les données sensibles que la rubrique Amazon SNS doit scanner. Par exemple, nom, adresse ou numéro de téléphone.

  • Principal - Le principal IAM qui est publié dans la rubrique ou qui y est abonné.

  • Opération : l'action suivante, Audit (Auditer), De-identify (Anonymiser) (masquage ou suppression) ou Deny (Refuser) (blocage), que la rubrique Amazon SNS exécute lorsqu'elle trouve des données sensibles.

{
    "Sid": "basicPII-inbound-protection",
    "DataDirection": "Inbound",
    "Principal": ["*"],
    "DataIdentifier": [
        "arn:aws:dataprotection::aws:data-identifier/Name",
        "arn:aws:dataprotection::aws:data-identifier/PhoneNumber-US"
    ],
    "Operation": {
        ...
    }
}

Propriétés JSON pour une opération d’instruction de politique

Une instruction de politique définit l'une des opérations de protection des données suivantes.

  • Audit - Émet des métriques et des journaux de recherche sans interrompre la publication ni la transmission des messages.

  • Anonymisation : masque ou supprime les données sensibles sans interrompre la publication des messages.

  • Refuser - Bloque la demande de publication Amazon SNS ou fait échouer la transmission du message.

Comment puis-je déterminer les principaux IAM de ma politique de protection des données ?

Message Data Protection utilise deux principaux IAM qui interagissent avec Amazon SNS.

  1. Publier le principal de l'API (entrant) - Le principal IAM authentifié appelant l’API Publish Amazon SNS.

  2. Principal de l’abonnement (sortant) - Le principal IAM authentifié qui a appelé l’API Subscribe lors de la création d’un abonnement.

SubscriptionPrincipal est une propriété d'abonnement Amazon SNS accessible au public qui peut être récupérée depuis l’API GetSubscriptionAttributes.

{
  "Attributes": {
    "SubscriptionPrincipal": "arn:aws:iam::123456789012:user/NoNameAccess",
    "Owner": "123412341234",
    "RawMessageDelivery": "true",
    "TopicArn": "arn:aws:sns:us-east-1:123412341234:PII-data-topic",
    "Endpoint": "arn:aws:sqs:us-east-1:123456789012:NoNameAccess",
    "Protocol": "sqs",
    "PendingConfirmation": "false",
    "ConfirmationWasAuthenticated": "true",
    "SubscriptionArn": "arn:aws:sns:us-east-1:123412341234:PII-data-topic:5d8634ef-67ef-49eb-a824-4042b28d6f55"
  }
}