Entendendo as políticas de proteção de dados na Amazon SNS

O que são políticas de proteção de dados?Visão geral da estrutura das políticas de proteção de dados Como faço para determinar os IAM diretores

Tópicos

O que são políticas de proteção de dados?

A Amazon SNS usa políticas de proteção de dados para selecionar os dados confidenciais que você deseja verificar e as ações que você deseja tomar para evitar que esses dados sejam trocados por seus SNS tópicos da Amazon. Para selecionar os dados sigilosos de interesse, você deve usar identificadores de dados. A proteção de dados de SNS mensagens da Amazon então detecta os dados confidenciais usando aprendizado de máquina e correspondência de padrões. Para agir de acordo com os identificadores de dados encontrados, você pode definir uma operação de auditoria, desidentificação ou negação. Essas operações permitem que você registre os dados confidenciais encontrados (ou não encontrados), mascare ou elimine os dados confidenciais ou negue a entrega de mensagens.

A Amazon SNS utiliza políticas de proteção de dados para gerenciar e proteger dados confidenciais em diferentes Serviços da AWS. Ele mostra o fluxo de trabalho das mensagens de entrada e saída, detalhando como os dados são monitorados e as ações são tomadas com base em configurações de políticas, como auditoria, desidentificação ou negação da transmissão de dados para proteger informações como informações de identificação pessoal () e informações de saúde protegidas (). PII PHI

Como a política de proteção de dados é estruturada?

Como mostrado na figura abaixo, um documento de política de proteção de dados inclui os seguintes elementos:

Informações opcionais da política na parte superior do documento
Uma ou mais instruções individuais

Cada instrução inclui informações sobre uma única permissão.

A estrutura de uma política de proteção de dados na AmazonSNS, ilustrando como a política é composta por vários elementos, como nome, descrição, versão e várias declarações que especificam ações como auditoria, desidentificação ou negação com base na direção dos dados, identificadores e princípios envolvidos.

Somente uma política de proteção de dados pode ser definida por SNS tópico da Amazon. A política de proteção de dados pode ter uma ou mais instruções de negação ou desidentificação, mas somente uma instrução de auditoria.

JSONpropriedades da política de proteção de dados

Uma política de proteção de dados requer as seguintes informações básicas de política para identificação:

Nome: o nome da política.
Descrição (Opcional): a descrição da política.
Versão: a versão do idioma das políticas. A versão atual é 2021-06-01.
Declaração: uma lista de declarações que especificam as ações da política de proteção de dados.


{
  "Name": "basicPII-protection",
  "Description": "Protect basic types of sensitive data",
  "Version": "2021-06-01",
  "Statement": [
        ...
  ]
}

JSONpropriedades para uma declaração de política

Uma declaração de política define o contexto de detecção para a operação de proteção de dados.

Sid (Opcional): o identificador da declaração.
DataDirection— Entrada (para API solicitações de publicação) ou saída (para entrega de notificações) com relação ao tópico da Amazon. SNS
DataIdentifier— Os dados confidenciais que o SNS tópico da Amazon deve verificar. Por exemplo, nome, endereço ou número de telefone.
Diretor — O IAM diretor que está publicado no tópico ou o IAM diretor que está inscrito no tópico.
Operação — A ação subsequente, seja Auditar, Desidentificar (mascarar ou redigir) ou Negar (bloquear), que o SNS tópico da Amazon executa quando encontra dados confidenciais.


{
    "Sid": "basicPII-inbound-protection",
    "DataDirection": "Inbound",
    "Principal": ["*"],
    "DataIdentifier": [
        "arn:aws:dataprotection::aws:data-identifier/Name",
        "arn:aws:dataprotection::aws:data-identifier/PhoneNumber-US"
    ],
    "Operation": {
        ...
    }
}

JSONpropriedades para uma operação de declaração de política

Uma declaração de política define uma das operações de proteção de dados a seguir.

Audit (Auditoria): emite métricas e localiza logs sem interromper a publicação ou a entrega de mensagens.
Desidentificar: mascara ou elimina dados confidenciais sem interromper a publicação de mensagens.
Negar — Bloqueia a solicitação de SNS publicação da Amazon ou falha na entrega da mensagem.

Como determino os IAM princípios da minha política de proteção de dados?

A proteção de dados de mensagens usa dois IAM princípios que interagem com a AmazonSNS.

APIDiretor de publicação (entrada) — O IAM diretor autenticado ligando para a Amazon. SNS Publish API
Principal da assinatura (saída) — O IAM principal autenticado que ligou para o Subscribe API durante a criação da assinatura.

SubscriptionPrincipalÉ uma propriedade de SNS assinatura da Amazon disponível publicamente que pode ser recuperada do GetSubscriptionAttributesAPI.


{
  "Attributes": {
    "SubscriptionPrincipal": "arn:aws:iam::123456789012:user/NoNameAccess",
    "Owner": "123412341234",
    "RawMessageDelivery": "true",
    "TopicArn": "arn:aws:sns:us-east-1:123412341234:PII-data-topic",
    "Endpoint": "arn:aws:sqs:us-east-1:123456789012:NoNameAccess",
    "Protocol": "sqs",
    "PendingConfirmation": "false",
    "ConfirmationWasAuthenticated": "true",
    "SubscriptionArn": "arn:aws:sns:us-east-1:123412341234:PII-data-topic:5d8634ef-67ef-49eb-a824-4042b28d6f55"
  }
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Proteção de dados de mensagens

Operações de política de proteção de dados