Creazione di politiche di protezione dei dati in Amazon SNS utilizzando la console - Amazon Simple Notification Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione di politiche di protezione dei dati in Amazon SNS utilizzando la console

Il numero e le dimensioni delle SNS risorse Amazon in un AWS account sono limitati. Per ulteriori informazioni, consulta Endpoint e quote di Amazon Simple Notification Service.

Per creare una politica di protezione dei dati insieme a un SNS argomento Amazon (Console)

Utilizza questa opzione per creare una nuova politica di protezione dei dati insieme a un SNS argomento Amazon standard.

  1. Accedi alla SNSconsole Amazon.

  2. Scegli un argomento o creane uno nuovo. Per maggiori dettagli sulla creazione di argomenti, consulta Creazione di un SNS argomento Amazon.

  3. Nella pagina Create topic (Crea argomento), nella sezione Details (Dettagli) scegli Standard.

    1. Immetti un nome per l'argomento.

    2. (Facoltativo) Compilare il Display name (Nome visualizzato) per l'argomento.

  4. Espandi Data protection policy (Policy di protezione dei dati).

  5. Scegli una modalità in Configuration mode (Modalità di configurazione):

    • Basic (Base): consente di definire una policy di protezione dei dati utilizzando un semplice menu.

    • Avanzato: definisci una politica di protezione dei dati personalizzata utilizzandoJSON.

  6. (Facoltativo) Per creare un identificatore di dati personalizzato, espandi la sezione Configurazione dell'identificatore di dati personalizzato, procedi come segue:

    1. Immetti un nome univoco per l'identificatore di dati personalizzato. I nomi di identificatori di dati personalizzati supportano i caratteri alfanumerici, il carattere di sottolineatura (_) e il trattino (-). Sono supportati fino a 128 caratteri. Questo nome non può condividere lo stesso nome di un identificatore di dati gestito. Per un elenco completo delle limitazioni relative agli identificatori di dati personalizzati, consulta Vincoli degli identificatori di dati personalizzati.

    2. Immettete un'espressione regolare (RegEx) per l'identificatore di dati personalizzato. RegExsupporta caratteri alfanumerici, caratteri RegEx riservati e simboli. RegEx ha una lunghezza massima di 200 caratteri. Se RegEx è troppo complicato, Amazon non SNS risponderà alla API chiamata. Per un elenco completo delle RegEx limitazioni, consultaVincoli degli identificatori di dati personalizzati.

    3. (Facoltativo) Scegli Aggiungi identificatore di dati personalizzato per aggiungere altri identificatori di dati, se necessario. Ciascuna policy di protezione dei dati attualmente supporta un massimo di 10 identificatori di dati personalizzati.

  7. Scegli le dichiarazioni che desideri aggiungere alla policy di protezione dei dati. È possibile aggiungere i tipi di dichiarazione verifica, deidentificazione (mascheramento o oscuramento) e rifiuto (blocco) alla stessa policy di protezione dei dati.

    1. Add audit statement (Aggiungi dichiarazione di verifica): configura quali dati sensibili controllare, quale percentuale di messaggi desideri controllare per tali dati e dove inviare i registri di verifica.

      Nota

      È consentita una sola dichiarazione di verifica per policy o argomento di protezione dei dati.

      1. In Data identifiers (Identificatori di dati) seleziona gli identificatori di dati per definire i dati sensibili che si desidera verificare.

      2. In Audit sample rate (Frequenza di campionamento della verifica), inserisci la percentuale di messaggi per i quali verificare la presenza di informazioni sensibili, fino a un massimo del 99%.

      3. Per Destinazione di controllo, seleziona Servizi AWS a quale inviare i risultati dei risultati dell'audit e inserisci un nome di destinazione per ciascuna destinazione Servizio AWS che utilizzi. Puoi scegliere tra i seguenti servizi Amazon Web Services:

        • Amazon CloudWatch — CloudWatch Logs è la soluzione di registrazione AWS standard. Utilizzando CloudWatch Logs, puoi eseguire analisi dei log utilizzando Logs Insights (vedi esempi qui) e creare metriche e allarmi. CloudWatch Logs è il luogo in cui molti servizi pubblicano i log, il che semplifica l'aggregazione di tutti i log utilizzando un'unica soluzione. Per informazioni su Amazon CloudWatch, consulta la Amazon CloudWatch User Guide.

        • Amazon Data Firehose — Firehose soddisfa le richieste di streaming in tempo reale su Splunk OpenSearch e Amazon Redshift per ulteriori analisi dei log. Per informazioni su Amazon Data Firehose, consulta la Amazon Data Firehose User Guide.

        • Amazon Simple Storage Service: Amazon S3 è una soluzione economica per l'archiviazione dei registri. Potrebbe essere necessario conservare i registri per alcuni anni. In questo caso, puoi archiviare i registri in Amazon S3 per evitare di sostenere costi aggiuntivi. Per informazioni su Amazon Simple Storage Service, consulta la Guida per l'utente di Amazon Simple Storage Service.

    2. Add a de-identify statement (Aggiungi una dichiarazione di deidentificazione): configura i dati sensibili che desideri deidentificare nel messaggio stabilendo se mascherarli o oscurarli e imposta gli account per bloccare la consegna di tali dati.

      1. In Data identifiers (Identificatori di dati) seleziona i dati sensibili che desideri deidentificare.

      2. Per Definire questa dichiarazione di anonimizzazione per, seleziona AWS gli account o IAM i principali a cui si applica questa dichiarazione di anonimizzazione. Puoi applicarlo a tutti gli AWS account o a conti o IAMentità specifici AWS (radici, ruoli o utenti dell'account) che utilizzano l'account IDs o l'entità. IAM ARNs Separare più ARNs elementi IDs o utilizzare una virgola (,).

        Sono supportati IAMi seguenti principi:

        • IAMprincipi contabili: ad esempio,. arn:aws:iam::AWS-account-ID:root

        • IAMprincipi di ruolo: ad esempio,. arn:aws:iam::AWS-account-ID:role/role-name

        • IAMuser principals: ad esempio,. arn:aws:iam::AWS-account-ID:user/user-name

      3. Per De-identify Option (Opzione di deidentificazione), seleziona il modo in cui desideri deidentificare i dati sensibili. Sono supportate le seguenti opzioni:

        • Redact (Oscuramento): rimuove completamente i dati. Ad esempio, l'e-mail: classified@amazon.com diventa l'e-mail: .

        • Mask (Mascheramento): sostituisce i dati con caratteri singoli. Ad esempio, l'e-mail: classified@amazon.com diventa l'e-mail: *********************.

      4. (Facoltativo) Continua ad aggiungere le dichiarazioni di deidentificazione, se necessario.

    3. Add deny statement (Aggiungi dichiarazione di rifiuto): configura per quali dati sensibili impedire lo spostamento nell'argomento e per quali principali impedire la trasmissione di tali dati.

      1. Per Data direction (Direzione dei dati), scegli la direzione dei messaggi per la dichiarazione di rifiuto:

        • Inbound messages (Messaggi in entrata): applica questa dichiarazione di rifiuto ai messaggi inviati all'argomento.

        • Outbound messages (Messaggi in uscita): applica questa dichiarazione di rifiuto ai messaggi che l'argomento invia agli endpoint di sottoscrizione.

      2. Scegli Data identifiers (Identificatori di dati) per definire i dati sensibili che desideri negare.

      3. Scegli i IAMprincipi che si applicano a questa dichiarazione di rifiuto. Puoi applicarla a tutti gli AWS account, a entità specifiche Account AWS o a IAMentità (ad esempio, account root, ruoli o utenti) che utilizzano l'account IDs o IAM l'entità. ARNs Separare più ARNs elementi IDs o utilizzare una virgola (,). Sono supportati IAMi seguenti principi:

        • IAMprincipi contabili: ad esempio,. arn:aws:iam::AWS-account-ID:root

        • IAMprincipi di ruolo: ad esempio,. arn:aws:iam::AWS-account-ID:role/role-name

        • IAMuser principals: ad esempio,. arn:aws:iam::AWS-account-ID:user/user-name

      4. (Facoltativo) Continua ad aggiungere le dichiarazioni di rifiuto, se necessario.