SNS使用控制台在 Amazon 中创建数据保护策略 - Amazon Simple Notification Service

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

SNS使用控制台在 Amazon 中创建数据保护策略

AWS 账户中 Amazon SNS 资源的数量和大小是有限的。有关更多信息,请参阅 Amazon Simple Notification Service 端点和配额

创建数据保护策略和 Amazon SNS 主题(控制台)

使用此选项创建新的数据保护策略以及标准的 Amazon SNS 主题。

  1. 登录 Amazon SNS 控制台

  2. 选择一个主题或创建一个新主题。有关创建主题的更多详情,请参阅创建 Amazon SNS 主题

  3. Create topic(创建主题)页面的 Details(详细信息)部分,选择 Standard(标准)。

    1. 输入主题的名称

    2. (可选)输入主题的显示名称

  4. 展开 Data protection policy(数据保护策略)。

  5. 选择一个 Configuration mode(配置模式):

    • Basic(基本)– 使用简单菜单定义数据保护策略。

    • 高级-使用定义自定义数据保护策略JSON。

  6. (可选)要创建您自己的自定义数据标识符,请展开自定义数据标识符配置部分,执行以下操作:

    1. 为自定义数据标识符输入唯一名称。自定义数据标识符名称支持字母数字、下划线(_)和连字符(-)等字符。最多支持 128 个字符。此名称不能与托管式数据标识符同名。有关自定义数据标识符限制的完整列表,请参阅自定义数据标识符限制

    2. 输入自定义数据标识符的正则表达式 (RegEx)。 RegEx支持字母数字字符、 RegEx 保留字符和符号。 RegEx 最大长度为 200 个字符。如果太复杂,Amazon SNS 将无法进行API通话。 RegEx 有关 RegEx限制的完整列表,请参阅自定义数据标识符限制

    3. (可选)选择添加自定义数据标识符以根据需要添加其它数据标识符。每项数据保护策略最多支持 10 个自定义数据标识符。

  7. 选择您要添加到数据保护策略中的语句。您可以将审计去身份识别(遮蔽或去除)和拒绝(阻止)语句类型添加到同一数据保护策略中。

    1. Add audit statement(添加审计语句)– 配置要审计的敏感数据、要为该数据审计的消息百分比以及将审计日志发送到何处。

      注意

      每个数据保护策略或主题仅允许使用一个审计语句。

      1. 选择 data identifiers(数据标识符)以定义要审计的敏感数据。

      2. 对于 Audit sample rate(审计采样率),输入要在其中审计敏感信息的消息百分比,最大值为 99%。

      3. 在 “审计目标” 中,选择 AWS 服务 要发送审计结果的目的地,然后为您 AWS 服务 使用的每个目标输入目标名称。您可以从以下 Amazon Web Services 中进行选择:

        • Amazon CloudWatch — CloudWatch Logs 是 AWS 标准的日志解决方案。使用 CloudWatch 日志,您可以使用 Logs Insights(参见此处的示例)执行日志分析,并创建指标和警报。 CloudWatch 日志是许多服务发布日志的地方,这使得使用一个解决方案可以更轻松地聚合所有日志。有关亚马逊的信息 CloudWatch,请参阅亚马逊 CloudWatch 用户指南

        • Amazon Data Firehos e — Firehose 可以满足实时直播到 Splunk 的需求,而 OpenSearch亚马逊 Redshift 可以满足进一步日志分析的需求。有关亚马逊数据 Firehose 的信息,请参阅亚马逊数据 Firehose 用户指南

        • Amazon Simple Storage Service – Amazon S3 是经济实惠的日志目标,可用于存档目的。您可能需要将日志保留数年。在这种情况下,您可以将日志放入 Amazon S3 中以节省成本。有关 Amazon Simple Storage Service 的信息,请参阅 Amazon Simple Storage Service 用户指南

    2. Add a de-identify statement(添加去身份识别语句)– 配置要在消息中去身份识别的敏感数据(无论是遮蔽还是去除该数据),并且账户将停止传输该数据。

      1. 对于 Data Identifiers(数据标识符),选择要去身份识别的敏感数据。

      2. 在 “为其定义此去身份化对账单” 中,选择此去身份化声明适用的 AWS 账户或IAM委托人。您可以将其应用于所有 AWS 账户,也可以应用于使用 AWS 账户或IAM实体的特定账户或实IAM体(账户根、角色IDs或用户)ARNs。分隔多个IDs或ARNs使用逗号 (,)。

        支持以下IAM主体

        • IAM账户委托人-例如,arn:aws:iam::AWS-account-ID:root

        • IAM角色主体-例如,arn:aws:iam::AWS-account-ID:role/role-name

        • IAM用户主体-例如,arn:aws:iam::AWS-account-ID:user/user-name

      3. 对于 De-identify Option(去身份识别选项),请选择要如何对敏感数据去身份识别。支持以下选项:

        • Redact(去除)– 完全删除数据。例如,电子邮件 classified@amazon.com 将变为电子邮件

        • Mask(遮蔽)– 使用单个字符替换数据。例如,电子邮件 classified@amazon.com 将变为电子邮件 *********************

      4. (可选)根据需要继续添加去身份识别语句。

    3. Add deny statement(添加拒绝语句)– 配置要在您的主题中阻止传输哪些敏感数据,以及阻止哪些主体传输这些数据。

      1. 对于 Data Direction(数据方向),请选择拒绝语句的消息方向:

        • Inbound messages(入站消息)– 将此拒绝语句应用于发送到该主题的消息。

        • Outbound messages(出站消息)– 将此拒绝语句应用于主题传输到订阅端点的消息。

      2. 选择 Data Identifiers(数据标识符)以定义要拒绝的敏感数据。

      3. 选择适用于IAM此拒绝语句的主体。您可以将其应用于所有 AWS 账户 AWS 账户、特定账户或使用账户或IAM实体的实体(例如,账户根、角色IDs或IAM用户)ARNs。分隔多个IDs或ARNs使用逗号 (,)。支持以下IAM主体:

        • IAM账户委托人-例如,arn:aws:iam::AWS-account-ID:root

        • IAM角色主体-例如,arn:aws:iam::AWS-account-ID:role/role-name

        • IAM用户主体-例如,arn:aws:iam::AWS-account-ID:user/user-name

      4. (可选)根据需要继续添加拒绝语句。