Creazione di politiche di protezione dei dati in Amazon SNS utilizzando la console

Il numero e le dimensioni delle risorse Amazon SNS in un AWS account sono limitati. Per ulteriori informazioni, consulta Endpoint e quote di Amazon Simple Notification Service.

Per creare una policy di protezione dei dati in combinazione con un argomento Amazon SNS (console)

Usa questa opzione per creare una nuova policy di protezione dei dati in combinazione con un argomento standard di Amazon SNS.

1. Accedi alla console Amazon SNS.

2. Scegli un argomento o creane uno nuovo. Per ulteriori dettagli sulla creazione di argomenti, consulta Creare un argomento Amazon SNS.

3. Nella pagina Create topic (Crea argomento), nella sezione Details (Dettagli) scegli Standard.

   1. Immetti un nome per l'argomento.

   2. (Facoltativo) Compilare il Display name (Nome visualizzato) per l'argomento.

4. Espandi Data protection policy (Policy di protezione dei dati).

5. Scegli una modalità in Configuration mode (Modalità di configurazione):

   • Basic (Base): consente di definire una policy di protezione dei dati utilizzando un semplice menu.

   • Advanced (Avanzato): consente di definire una policy di protezione dei dati personalizzata utilizzando JSON.

6. (Facoltativo) Per creare un identificatore di dati personalizzato, espandi la sezione Configurazione dell'identificatore di dati personalizzato, procedi come segue:

   1. Immetti un nome univoco per l'identificatore di dati personalizzato. I nomi di identificatori di dati personalizzati supportano i caratteri alfanumerici, il carattere di sottolineatura (_) e il trattino (-). Sono supportati fino a 128 caratteri. Questo nome non può condividere lo stesso nome di un identificatore di dati gestito. Per un elenco completo delle limitazioni relative agli identificatori di dati personalizzati, consulta Vincoli degli identificatori di dati personalizzati.

   2. Inserisci un'espressione regolare (RegEx) per l'identificatore di dati personalizzato. RegExsupporta caratteri alfanumerici, caratteri RegEx riservati e simboli. RegEx ha una lunghezza massima di 200 caratteri. Se RegEx è troppo complicato, Amazon SNS fallirà la chiamata API. Per un elenco completo delle RegEx limitazioni, consultaVincoli degli identificatori di dati personalizzati.

   3. (Facoltativo) Scegli Aggiungi identificatore di dati personalizzato per aggiungere altri identificatori di dati, se necessario. Ciascuna policy di protezione dei dati attualmente supporta un massimo di 10 identificatori di dati personalizzati.

7. Scegli le dichiarazioni che desideri aggiungere alla policy di protezione dei dati. È possibile aggiungere i tipi di dichiarazione verifica, deidentificazione (mascheramento o oscuramento) e rifiuto (blocco) alla stessa policy di protezione dei dati.

   1. Add audit statement (Aggiungi dichiarazione di verifica): configura quali dati sensibili controllare, quale percentuale di messaggi desideri controllare per tali dati e dove inviare i registri di verifica.

      Nota

      È consentita una sola dichiarazione di verifica per policy o argomento di protezione dei dati.

      1. In Data identifiers (Identificatori di dati) seleziona gli identificatori di dati per definire i dati sensibili che si desidera verificare.

      2. In Audit sample rate (Frequenza di campionamento della verifica), inserisci la percentuale di messaggi per i quali verificare la presenza di informazioni sensibili, fino a un massimo del 99%.

      3. Per Destinazione di controllo, seleziona Servizi AWS a quale inviare i risultati dei risultati dell'audit e inserisci un nome di destinazione per ciascuna destinazione Servizio AWS che utilizzi. Puoi scegliere tra i seguenti servizi Amazon Web Services:

         • Amazon CloudWatch — CloudWatch Logs è la soluzione di registrazione AWS standard. Utilizzando CloudWatch Logs, puoi eseguire analisi dei log utilizzando Logs Insights (vedi esempi qui) e creare metriche e allarmi. CloudWatch Logs è il luogo in cui molti servizi pubblicano i log, il che semplifica l'aggregazione di tutti i log utilizzando un'unica soluzione. Per informazioni su Amazon CloudWatch, consulta la Amazon CloudWatch User Guide.

         • Amazon Data Firehose — Firehose soddisfa le richieste di streaming in tempo reale su Splunk OpenSearch e Amazon Redshift per ulteriori analisi dei log. Per informazioni su Amazon Data Firehose, consulta la Amazon Data Firehose User Guide.

         • Amazon Simple Storage Service: Amazon S3 è una soluzione economica per l'archiviazione dei registri. Potrebbe essere necessario conservare i registri per alcuni anni. In questo caso, puoi archiviare i registri in Amazon S3 per evitare di sostenere costi aggiuntivi. Per informazioni su Amazon Simple Storage Service, consulta la Guida per l'utente di Amazon Simple Storage Service.

   2. Add a de-identify statement (Aggiungi una dichiarazione di deidentificazione): configura i dati sensibili che desideri deidentificare nel messaggio stabilendo se mascherarli o oscurarli e imposta gli account per bloccare la consegna di tali dati.

      1. In Data identifiers (Identificatori di dati) seleziona i dati sensibili che desideri deidentificare.

      2. Per Definire questa dichiarazione di anonimizzazione per, seleziona AWS gli account o i principali IAM a cui si applica questa dichiarazione di anonimizzazione. Puoi applicarlo a tutti gli AWS account o a AWS account o entità IAM specifici (radici, ruoli o utenti dell'account) che utilizzano l'account IDs o l'entità IAM. ARNs Separare più ARNs elementi IDs o utilizzare una virgola (,).

         Sono supportati i seguenti principali IAM:

         • IAM account principals (Principali degli account IAM): ad esempio, arn:aws:iam::AWS-account-ID:root.

         • IAM role principals (Principali dei ruoli IAM): ad esempio, arn:aws:iam::AWS-account-ID:role/role-name.

         • IAM user principals (Principali degli utenti IAM): ad esempio, arn:aws:iam::AWS-account-ID:user/user-name.

      3. Per De-identify Option (Opzione di deidentificazione), seleziona il modo in cui desideri deidentificare i dati sensibili. Sono supportate le seguenti opzioni:

         • Redact (Oscuramento): rimuove completamente i dati. Ad esempio, l'e-mail: classified@amazon.com diventa l'e-mail: .

         • Mask (Mascheramento): sostituisce i dati con caratteri singoli. Ad esempio, l'e-mail: classified@amazon.com diventa l'e-mail: *********************.

      4. (Facoltativo) Continua ad aggiungere le dichiarazioni di deidentificazione, se necessario.

   3. Add deny statement (Aggiungi dichiarazione di rifiuto): configura per quali dati sensibili impedire lo spostamento nell'argomento e per quali principali impedire la trasmissione di tali dati.

      1. Per Data direction (Direzione dei dati), scegli la direzione dei messaggi per la dichiarazione di rifiuto:

         • Inbound messages (Messaggi in entrata): applica questa dichiarazione di rifiuto ai messaggi inviati all'argomento.

         • Outbound messages (Messaggi in uscita): applica questa dichiarazione di rifiuto ai messaggi che l'argomento invia agli endpoint di sottoscrizione.

      2. Scegli Data identifiers (Identificatori di dati) per definire i dati sensibili che desideri negare.

      3. In IAM principals (Principali IAM) seleziona i principali IAM a cui applicare questa dichiarazione di rifiuto. Puoi applicarlo a tutti gli AWS account, a entità specifiche Account AWS o IAM (ad esempio, account root, ruoli o utenti) che utilizzano l'account IDs o l'entità IAM ARNs. Separare più ARNs elementi IDs o utilizzare una virgola (,). Sono supportati i seguenti principali IAM:

         • IAM account principals (Principali degli account IAM): ad esempio, arn:aws:iam::AWS-account-ID:root.

         • IAM role principals (Principali dei ruoli IAM): ad esempio, arn:aws:iam::AWS-account-ID:role/role-name.

         • IAM user principals (Principali degli utenti IAM): ad esempio, arn:aws:iam::AWS-account-ID:user/user-name.

      4. (Facoltativo) Continua ad aggiungere le dichiarazioni di rifiuto, se necessario.