As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Exemplos de políticas SNS de proteção de dados da Amazon
Veja a seguir as políticas de proteção de dados que você pode usar para auditar e negar dados sigilosos. Para ver um tutorial completo que inclui um aplicativo de exemplo, consulte a postagem do SNS blog Apresentando a proteção de dados de mensagens para a Amazon
Tópicos
- Exemplo de política para auditoria
- Exemplo de política com instrução de máscara de desidentificação de entrada
- Exemplo de política com instrução de eliminação da desidentificação de entrada
- Exemplo de política com instrução de máscara da desidentificação de saída
- Exemplo de política com instrução de edição da desidentificação de saída
- Exemplo de política com instrução de negação de entrada
- Exemplo de política com instrução de negação de saída
Exemplo de política para auditoria
As políticas de auditoria permitem auditar até 99% das mensagens recebidas e enviar descobertas para a Amazon CloudWatch, Amazon Data Firehose e Amazon S3.
Por exemplo, você pode criar uma política de auditoria para avaliar se algum de seus sistemas está acidentalmente enviando ou recebendo dados sigilosos. Se os resultados da auditoria mostrarem que os sistemas estão enviando informações de cartão de crédito a sistemas que não precisam delas, você pode implementar uma política de proteção de dados para bloquear a entrega dos dados.
O exemplo a seguir audita 99% das mensagens que fluem pelo tópico procurando números de cartão de crédito e enviando as descobertas para CloudWatch Logs, Firehose e Amazon S3.
Política de proteção de dados:
{ "Name": "__example_data_protection_policy", "Description": "Example data protection policy", "Version": "2021-06-01", "Statement": [ { "DataDirection": "Inbound", "Principal": ["*"], "DataIdentifier": [ "arn:aws:dataprotection::aws:data-identifier/CreditCardNumber" ], "Operation": { "Audit": { "SampleRate": "99", "FindingsDestination": { "CloudWatchLogs": { "LogGroup": "<example log name>" }, "Firehose": { "DeliveryStream": "<example stream name>" }, "S3": { "Bucket": "<example bucket name>" } } } } } ] }
Exemplo de formato de resultados de auditoria:
{ "messageId": "...", "callerPrincipal": "arn:aws:sts::123456789012:assumed-role/ExampleRole", "resourceArn": "arn:aws:sns:us-east-1:123456789012:ExampleArn", "dataIdentifiers": [ { "name": "CreditCardNumber", "count": 1, "detections": [ { "start": 1, "end": 2 } ] } ], "timestamp": "2021-04-20T00:33:40.241Z" }
Exemplo de política com instrução de máscara de desidentificação de entrada
O exemplo a seguir impede que um usuário publique uma mensagem em um tópico com CreditCardNumber ao mascarar os dados confidenciais do conteúdo da mensagem.
{ "Name": "__example_data_protection_policy", "Description": "Example data protection policy", "Version": "2021-06-01", "Statement": [ { "DataDirection": "Inbound", "Principal": [ "arn:aws:iam::123456789012:user/ExampleUser" ], "DataIdentifier": [ "arn:aws:dataprotection::aws:data-identifier/CreditCardNumber" ], "Operation": { "Deidentify": { "MaskConfig": { "MaskWithCharacter": "#" } } } } ] }
Exemplo de resultados da máscara de desidentificação de entrada:
// original message My credit card number is 4539894458086459 // delivered message My credit card number is ################
Exemplo de política com instrução de eliminação da desidentificação de entrada
O exemplo a seguir impede que um usuário publique uma mensagem em um tópico com CreditCardNumber ao eliminar os dados confidenciais do conteúdo da mensagem.
{ "Name": "__example_data_protection_policy", "Description": "Example data protection policy", "Version": "2021-06-01", "Statement": [ { "DataDirection": "Inbound", "Principal": [ "arn:aws:iam::123456789012:user/ExampleUser" ], "DataIdentifier": [ "arn:aws:dataprotection::aws:data-identifier/CreditCardNumber" ], "Operation": { "Deidentify": { "RedactConfig": {} } } } ] }
Exemplo de resultados de eliminação de desidentificação de entrada:
// original message My credit card number is 4539894458086459 // delivered message My credit card number is
Exemplo de política com instrução de máscara da desidentificação de saída
O exemplo a seguir impede que um usuário receba uma mensagem com CreditCardNumber ao mascarar os dados sigilosos do respectivo conteúdo.
{ "Name": "__example_data_protection_policy", "Description": "Example data protection policy", "Version": "2021-06-01", "Statement": [ { "DataDirection": "Outbound", "Principal": [ "arn:aws:iam::123456789012:user/ExampleUser" ], "DataIdentifier": [ "arn:aws:dataprotection::aws:data-identifier/CreditCardNumber" ], "Operation": { "Deidentify": { "MaskConfig": { "MaskWithCharacter": "-" } } } } ] }
Exemplo de resultados da máscara de desidentificação de saída:
// original message My credit card number is 4539894458086459 // delivered message My credit card number is ----------------
Exemplo de política com instrução de edição da desidentificação de saída
O exemplo a seguir impede que um usuário receba uma mensagem com CreditCardNumber ao eliminar os dados sigilosos do conteúdo da mensagem.
{ "Name": "__example_data_protection_policy", "Description": "Example data protection policy", "Version": "2021-06-01", "Statement": [ { "DataDirection": "Outbound", "Principal": [ "arn:aws:iam::123456789012:user/ExampleUser" ], "DataIdentifier": [ "arn:aws:dataprotection::aws:data-identifier/CreditCardNumber" ], "Operation": { "Deidentify": { "RedactConfig": {} } } } ] }
Exemplo de resultados de eliminação de desidentificação de saída:
// original message My credit card number is 4539894458086459 // delivered message My credit card number is
Exemplo de política com instrução de negação de entrada
O exemplo a seguir impede que um usuário publique uma mensagem em um tópico com CreditCardNumber no conteúdo da mensagem. As cargas negadas na API resposta têm um código de status de "403 AuthorizationError”.
{ "Name": "__example_data_protection_policy", "Description": "Example data protection policy", "Version": "2021-06-01", "Statement": [ { "DataDirection": "Inbound", "Principal": [ "arn:aws:iam::123456789012:user/ExampleUser" ], "DataIdentifier": [ "arn:aws:dataprotection::aws:data-identifier/CreditCardNumber" ], "Operation": { "Deny": {} } } ] }
Exemplo de política com instrução de negação de saída
O exemplo a seguir impede que uma AWS conta receba mensagens que contenhamCreditCardNumber.
{ "Name": "__example_data_protection_policy", "Description": "Example data protection policy", "Version": "2021-06-01", "Statement": [ { "DataDirection": "Outbound", "Principal": [ "arn:aws:iam::123456789012:user/ExampleUser" ], "DataIdentifier": [ "arn:aws:dataprotection::aws:data-identifier/CreditCardNumber" ], "Operation": { "Deny": {} } } ] }
Exemplo de resultados de negação de saída, registrados na Amazon: CloudWatch
{ "notification": { "messageMD5Sum": "2e8f58ff2eeed723b56b15493fbfb5a5", "messageId": "8747a956-ebf1-59da-b291-f2c2e4b87c9c", "topicArn": "arn:aws:sns:us-east-2:664555388960:test1", "timestamp": "2022-09-08 15:40:57.144" }, "delivery": { "deliveryId": "6a422437-78cc-5171-ad64-7fa3778507aa", "destination": "arn:aws:sqs:us-east-2:664555388960:test", "providerResponse": "The topic's data protection policy prohibits this message from being delivered to <subscription arn>", "dwellTimeMs": 22, "attempts": 1, "statusCode": 403 }, "status": "FAILURE" }
