Amazon의 데이터 보호 정책에 대한 이해 SNS - Amazon Simple Notification Service
데이터 보호 정책이란 무엇입니까?데이터 보호 정책 구조 개요보안 주체를 어떻게 결정하나요? IAM

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon의 데이터 보호 정책에 대한 이해 SNS

주제

데이터 보호 정책이란 무엇입니까?

SNSAmazon은 데이터 보호 정책을 사용하여 스캔하려는 민감한 데이터를 선택하고 해당 데이터가 Amazon SNS 주제와 교환되지 않도록 보호하기 위해 취하려는 조치를 선택합니다. 관심 있는 중요한 데이터를 선택하려면 데이터 식별자를 사용합니다. 그러면 Amazon SNS 메시지 데이터 보호가 기계 학습과 패턴 매칭을 사용하여 민감한 데이터를 탐지합니다. 발견된 데이터 식별자에 따라 조치를 취하기 위해 감사, 비식별 또는 거부 작업을 정의할 수 있습니다. 이러한 작업을 통해 발견된(또는 찾을 수 없는) 중요한 데이터를 기록하거나 마스킹, 수정 또는 메시지 배달을 거부할 수 있습니다.

SNSAmazon은 데이터 보호 정책을 활용하여 여러 AWS 서비스곳의 민감한 데이터를 관리하고 보호합니다. 인바운드 메시지와 아웃바운드 메시지 모두의 워크플로를 보여 주며, 개인 식별 정보 () 및 보호 대상 건강 정보 () 와 같은 정보를 보호하기 위한 감사, 식별 해제 또는 데이터 전송 거부 등의 정책 설정에 따라 데이터를 모니터링하고 조치를 취하는 방법을 자세히 설명합니다. PII PHI

데이터 보호 정책은 어떻게 구성되어 있습니까?

다음 그림처럼 데이터 보호 정책 문서는 다음 요소를 포함합니다.

  • 문서 상단에 위치하는 정책 전반의 선택적 정보

  • 하나 이상의 개별 문

각 설명문에는 단일 권한에 대한 정보가 포함되어 있습니다.

Amazon의 데이터 보호 정책 구조로SNS, 정책 이름, 설명, 버전, 데이터 방향, 식별자 및 관련 주체에 따라 감사, 식별 해제 또는 거부와 같은 조치를 지정하는 여러 명령문 등 다양한 요소로 정책이 어떻게 구성되어 있는지를 보여줍니다.

Amazon SNS 주제당 하나의 데이터 보호 정책만 정의할 수 있습니다. 데이터 보호 정책은 하나 이상의 거부 또는 비식별 명령문과 하나의 감사 명령문을 가질 수 있습니다.

JSON데이터 보호 정책의 속성

데이터 보호 정책에는 식별을 위해 다음과 같은 기본 정책 정보가 필요합니다.

  • Name(이름) – 정책 이름입니다.

  • Description(설명)(선택 사항) – 정책 설명입니다.

  • Version(버전) - 정책 언어 버전입니다. 현재 버전은 2021-06-01입니다.

  • Statement(명령문) - 데이터 보호 정책 조치를 지정하는 명령문 목록입니다.

{
  "Name": "basicPII-protection",
  "Description": "Protect basic types of sensitive data",
  "Version": "2021-06-01",
  "Statement": [
        ...
  ]
}

JSON정책 설명의 속성

정책 명령문은 데이터 보호 작업에 대한 탐지 컨텍스트를 설정합니다.

  • Sid(선택 사항) - 명령문 식별자입니다.

  • DataDirection— Amazon 주제와 관련된 인바운드 (게시 API 요청용) 또는 아웃바운드 (알림 전달용) SNS

  • DataIdentifier— Amazon SNS 주제가 스캔해야 하는 민감한 데이터. 이러한 데이터로는 이름, 주소 또는 전화번호가 있습니다.

  • 주도자 — 주제에 대해 게시된 IAM 주도자 또는 주제를 구독하는 주도자. IAM

  • 작업감사, 식별 해제 (마스크 또는 삭제) 또는 거부 (차단) 중 하나인 후속 조치로, Amazon SNS 주제가 민감한 데이터를 발견하면 이 작업을 실행합니다.

{
    "Sid": "basicPII-inbound-protection",
    "DataDirection": "Inbound",
    "Principal": ["*"],
    "DataIdentifier": [
        "arn:aws:dataprotection::aws:data-identifier/Name",
        "arn:aws:dataprotection::aws:data-identifier/PhoneNumber-US"
    ],
    "Operation": {
        ...
    }
}

JSON정책 설명 작업을 위한 속성

정책 명령문은 다음 데이터 보호 작업 중 하나를 설정합니다.

  • Audit(감사) – 메시지 게시 또는 배달을 중단하지 않고 메트릭을 내보내고 로그를 찾습니다.

  • De-identify(비식별) - 메시지 게시를 중단하지 않고 민감한 데이터를 마스킹하거나 수정합니다.

  • 거부 — Amazon SNS 게시 요청을 차단하거나 메시지 전송에 실패합니다.

데이터 보호 정책의 IAM 원칙을 어떻게 결정하나요?

메시지 데이터 보호는 Amazon과 상호 작용하는 IAM 두 가지 원칙을 사용합니다. SNS

  1. 게시 API 주체 (인바운드) — Amazon에 전화를 거는 인증된 IAM 주체. SNS Publish API

  2. 구독 주체 (아웃바운드) — 구독 생성 중에 전화를 건 인증된 IAM 주체입니다. Subscribe API

SubscriptionPrincipal는 에서 검색할 수 있는 공개적으로 사용할 수 있는 Amazon SNS 구독 속성입니다. GetSubscriptionAttributes API 

{
  "Attributes": {
    "SubscriptionPrincipal": "arn:aws:iam::123456789012:user/NoNameAccess",
    "Owner": "123412341234",
    "RawMessageDelivery": "true",
    "TopicArn": "arn:aws:sns:us-east-1:123412341234:PII-data-topic",
    "Endpoint": "arn:aws:sqs:us-east-1:123456789012:NoNameAccess",
    "Protocol": "sqs",
    "PendingConfirmation": "false",
    "ConfirmationWasAuthenticated": "true",
    "SubscriptionArn": "arn:aws:sns:us-east-1:123412341234:PII-data-topic:5d8634ef-67ef-49eb-a824-4042b28d6f55"
  }
}