Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Esempi di policy di protezione dei SNS dati di Amazon
Gli esempi riportati di seguito sono policy di protezione dei dati che puoi utilizzare per controllare e rifiutare i dati sensibili. Per un tutorial completo che include un'applicazione di esempio, consulta il post SNS sul blog Introducing message data protection for Amazon
Argomenti
- Esempio di policy per la verifica
- Policy di esempio con dichiarazione di deidentificazione tramite mascheramento in entrata
- Policy di esempio con dichiarazione di deidentificazione tramite oscuramento in entrata
- Policy di esempio con dichiarazione di anonimizzazione tramite mascheramento in uscita
- Policy di esempio con dichiarazione di anonimizzazione tramite oscuramento in uscita
- Esempio di policy con una dichiarazione di rifiuto in entrata
- Esempio di policy con una dichiarazione di rifiuto in uscita
Esempio di policy per la verifica
Le politiche di controllo consentono di controllare fino al 99% dei messaggi in entrata e di inviare i risultati ad Amazon CloudWatch, Amazon Data Firehose e Amazon S3.
Ad esempio, puoi creare una policy di verifica per valutare se uno dei tuoi sistemi invia o riceve inavvertitamente dati sensibili. Se i risultati della verifica mostrano che i sistemi inviano i dati relativi alle carte di credito a sistemi che non li richiedono, puoi implementare una policy di blocco per impedire che ciò accada.
L'esempio seguente verifica il 99% dei messaggi che attraversano l'argomento cercando i numeri delle carte di credito e inviando i risultati a CloudWatch Logs, Firehose e Amazon S3.
Policy di protezione dei dati:
{ "Name": "__example_data_protection_policy", "Description": "Example data protection policy", "Version": "2021-06-01", "Statement": [ { "DataDirection": "Inbound", "Principal": ["*"], "DataIdentifier": [ "arn:aws:dataprotection::aws:data-identifier/CreditCardNumber" ], "Operation": { "Audit": { "SampleRate": "99", "FindingsDestination": { "CloudWatchLogs": { "LogGroup": "<example log name>" }, "Firehose": { "DeliveryStream": "<example stream name>" }, "S3": { "Bucket": "<example bucket name>" } } } } } ] }
Esempio di formato dei risultati della verifica:
{ "messageId": "...", "callerPrincipal": "arn:aws:sts::123456789012:assumed-role/ExampleRole", "resourceArn": "arn:aws:sns:us-east-1:123456789012:ExampleArn", "dataIdentifiers": [ { "name": "CreditCardNumber", "count": 1, "detections": [ { "start": 1, "end": 2 } ] } ], "timestamp": "2021-04-20T00:33:40.241Z" }
Policy di esempio con dichiarazione di deidentificazione tramite mascheramento in entrata
L'esempio seguente impedisce a un utente di pubblicare un messaggio in un argomento con CreditCardNumber mascherando i dati sensibili contenuti nel messaggio.
{ "Name": "__example_data_protection_policy", "Description": "Example data protection policy", "Version": "2021-06-01", "Statement": [ { "DataDirection": "Inbound", "Principal": [ "arn:aws:iam::123456789012:user/ExampleUser" ], "DataIdentifier": [ "arn:aws:dataprotection::aws:data-identifier/CreditCardNumber" ], "Operation": { "Deidentify": { "MaskConfig": { "MaskWithCharacter": "#" } } } } ] }
Esempio di risultati di deidentificazione tramite mascheramento in entrata:
// original message My credit card number is 4539894458086459 // delivered message My credit card number is ################
Policy di esempio con dichiarazione di deidentificazione tramite oscuramento in entrata
L'esempio seguente impedisce a un utente di pubblicare un messaggio in un argomento con CreditCardNumber oscurando i dati sensibili dal contenuto del messaggio.
{ "Name": "__example_data_protection_policy", "Description": "Example data protection policy", "Version": "2021-06-01", "Statement": [ { "DataDirection": "Inbound", "Principal": [ "arn:aws:iam::123456789012:user/ExampleUser" ], "DataIdentifier": [ "arn:aws:dataprotection::aws:data-identifier/CreditCardNumber" ], "Operation": { "Deidentify": { "RedactConfig": {} } } } ] }
Esempio di risultati di deidentificazione in entrata:
// original message My credit card number is 4539894458086459 // delivered message My credit card number is
Policy di esempio con dichiarazione di anonimizzazione tramite mascheramento in uscita
L'esempio seguente impedisce a un utente di ricevere un messaggio con CreditCardNumber mascherando i dati sensibili contenuti nel messaggio.
{ "Name": "__example_data_protection_policy", "Description": "Example data protection policy", "Version": "2021-06-01", "Statement": [ { "DataDirection": "Outbound", "Principal": [ "arn:aws:iam::123456789012:user/ExampleUser" ], "DataIdentifier": [ "arn:aws:dataprotection::aws:data-identifier/CreditCardNumber" ], "Operation": { "Deidentify": { "MaskConfig": { "MaskWithCharacter": "-" } } } } ] }
Esempio di risultati di anonimizzazione tramite mascheramento in uscita:
// original message My credit card number is 4539894458086459 // delivered message My credit card number is ----------------
Policy di esempio con dichiarazione di anonimizzazione tramite oscuramento in uscita
L'esempio seguente impedisce a un utente di ricevere un messaggio con CreditCardNumber oscurando i dati sensibili contenuti nel messaggio.
{ "Name": "__example_data_protection_policy", "Description": "Example data protection policy", "Version": "2021-06-01", "Statement": [ { "DataDirection": "Outbound", "Principal": [ "arn:aws:iam::123456789012:user/ExampleUser" ], "DataIdentifier": [ "arn:aws:dataprotection::aws:data-identifier/CreditCardNumber" ], "Operation": { "Deidentify": { "RedactConfig": {} } } } ] }
Esempio di risultati di anonimizzazione in uscita:
// original message My credit card number is 4539894458086459 // delivered message My credit card number is
Esempio di policy con una dichiarazione di rifiuto in entrata
L'esempio seguente impedisce a un utente di pubblicare in un argomento un messaggio contenente CreditCardNumber. I payload negati nella API risposta hanno un codice di stato di "403 AuthorizationError».
{ "Name": "__example_data_protection_policy", "Description": "Example data protection policy", "Version": "2021-06-01", "Statement": [ { "DataDirection": "Inbound", "Principal": [ "arn:aws:iam::123456789012:user/ExampleUser" ], "DataIdentifier": [ "arn:aws:dataprotection::aws:data-identifier/CreditCardNumber" ], "Operation": { "Deny": {} } } ] }
Esempio di policy con una dichiarazione di rifiuto in uscita
L'esempio seguente impedisce a un AWS account di ricevere messaggi contenentiCreditCardNumber.
{ "Name": "__example_data_protection_policy", "Description": "Example data protection policy", "Version": "2021-06-01", "Statement": [ { "DataDirection": "Outbound", "Principal": [ "arn:aws:iam::123456789012:user/ExampleUser" ], "DataIdentifier": [ "arn:aws:dataprotection::aws:data-identifier/CreditCardNumber" ], "Operation": { "Deny": {} } } ] }
Esempio di risultati di rifiuto in uscita, registrato in Amazon: CloudWatch
{ "notification": { "messageMD5Sum": "2e8f58ff2eeed723b56b15493fbfb5a5", "messageId": "8747a956-ebf1-59da-b291-f2c2e4b87c9c", "topicArn": "arn:aws:sns:us-east-2:664555388960:test1", "timestamp": "2022-09-08 15:40:57.144" }, "delivery": { "deliveryId": "6a422437-78cc-5171-ad64-7fa3778507aa", "destination": "arn:aws:sqs:us-east-2:664555388960:test", "providerResponse": "The topic's data protection policy prohibits this message from being delivered to <subscription arn>", "dwellTimeMs": 22, "attempts": 1, "statusCode": 403 }, "status": "FAILURE" }
