本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
SNS使用控制台在 Amazon 中创建数据保护策略
AWS 账户中 Amazon SNS 资源的数量和大小是有限的。有关更多信息,请参阅 Amazon Simple Notification Service 端点和配额。
创建数据保护策略和 Amazon SNS 主题(控制台)
使用此选项创建新的数据保护策略以及标准的 Amazon SNS 主题。
登录 Amazon SNS 控制台
。 -
选择一个主题或创建一个新主题。有关创建主题的更多详情,请参阅创建 Amazon SNS 主题。
-
在 Create topic(创建主题)页面的 Details(详细信息)部分,选择 Standard(标准)。
-
输入主题的名称。
-
(可选)输入主题的显示名称。
-
-
展开 Data protection policy(数据保护策略)。
-
选择一个 Configuration mode(配置模式):
-
Basic(基本)– 使用简单菜单定义数据保护策略。
-
高级-使用定义自定义数据保护策略JSON。
-
-
(可选)要创建您自己的自定义数据标识符,请展开自定义数据标识符配置部分,执行以下操作:
-
为自定义数据标识符输入唯一名称。自定义数据标识符名称支持字母数字、下划线(_)和连字符(-)等字符。最多支持 128 个字符。此名称不能与托管式数据标识符同名。有关自定义数据标识符限制的完整列表,请参阅自定义数据标识符限制。
-
输入自定义数据标识符的正则表达式 (RegEx)。 RegEx支持字母数字字符、 RegEx 保留字符和符号。 RegEx 最大长度为 200 个字符。如果太复杂,Amazon SNS 将无法进行API通话。 RegEx 有关 RegEx限制的完整列表,请参阅自定义数据标识符限制。
-
(可选)选择添加自定义数据标识符以根据需要添加其它数据标识符。每项数据保护策略最多支持 10 个自定义数据标识符。
-
-
选择您要添加到数据保护策略中的语句。您可以将审计、去身份识别(遮蔽或去除)和拒绝(阻止)语句类型添加到同一数据保护策略中。
-
Add audit statement(添加审计语句)– 配置要审计的敏感数据、要为该数据审计的消息百分比以及将审计日志发送到何处。
注意
每个数据保护策略或主题仅允许使用一个审计语句。
-
选择 data identifiers(数据标识符)以定义要审计的敏感数据。
-
对于 Audit sample rate(审计采样率),输入要在其中审计敏感信息的消息百分比,最大值为 99%。
-
在 “审计目标” 中,选择 AWS 服务 要发送审计结果的目的地,然后为您 AWS 服务 使用的每个目标输入目标名称。您可以从以下 Amazon Web Services 中进行选择:
-
Amazon CloudWatch — CloudWatch Logs 是 AWS 标准的日志解决方案。使用 CloudWatch 日志,您可以使用 Logs Insights(参见此处的示例)执行日志分析,并创建指标和警报。 CloudWatch 日志是许多服务发布日志的地方,这使得使用一个解决方案可以更轻松地聚合所有日志。有关亚马逊的信息 CloudWatch,请参阅亚马逊 CloudWatch 用户指南。
-
Amazon Data Firehos e — Firehose 可以满足实时直播到 Splunk 的需求,而 OpenSearch亚马逊 Redshift 可以满足进一步日志分析的需求。有关亚马逊数据 Firehose 的信息,请参阅亚马逊数据 Firehose 用户指南。
-
Amazon Simple Storage Service – Amazon S3 是经济实惠的日志目标,可用于存档目的。您可能需要将日志保留数年。在这种情况下,您可以将日志放入 Amazon S3 中以节省成本。有关 Amazon Simple Storage Service 的信息,请参阅 Amazon Simple Storage Service 用户指南。
-
-
-
Add a de-identify statement(添加去身份识别语句)– 配置要在消息中去身份识别的敏感数据(无论是遮蔽还是去除该数据),并且账户将停止传输该数据。
-
对于 Data Identifiers(数据标识符),选择要去身份识别的敏感数据。
-
在 “为其定义此去身份化对账单” 中,选择此去身份化声明适用的 AWS 账户或IAM委托人。您可以将其应用于所有 AWS 账户,也可以应用于使用 AWS 账户或IAM实体的特定账户或实IAM体(账户根、角色IDs或用户)ARNs。分隔多个IDs或ARNs使用逗号 (,)。
支持以下IAM主体:
-
IAM账户委托人-例如,
arn:aws:iam::AWS-account-ID:root
。 -
IAM角色主体-例如,
arn:aws:iam::AWS-account-ID:role/role-name
。 -
IAM用户主体-例如,
arn:aws:iam::AWS-account-ID:user/user-name
。
-
-
对于 De-identify Option(去身份识别选项),请选择要如何对敏感数据去身份识别。支持以下选项:
-
Redact(去除)– 完全删除数据。例如,电子邮件
classified@amazon.com
将变为电子邮件 -
Mask(遮蔽)– 使用单个字符替换数据。例如,电子邮件
classified@amazon.com
将变为电子邮件*********************
。
-
-
(可选)根据需要继续添加去身份识别语句。
-
-
Add deny statement(添加拒绝语句)– 配置要在您的主题中阻止传输哪些敏感数据,以及阻止哪些主体传输这些数据。
-
对于 Data Direction(数据方向),请选择拒绝语句的消息方向:
-
Inbound messages(入站消息)– 将此拒绝语句应用于发送到该主题的消息。
-
Outbound messages(出站消息)– 将此拒绝语句应用于主题传输到订阅端点的消息。
-
-
选择 Data Identifiers(数据标识符)以定义要拒绝的敏感数据。
-
选择适用于IAM此拒绝语句的主体。您可以将其应用于所有 AWS 账户 AWS 账户、特定账户或使用账户或IAM实体的实体(例如,账户根、角色IDs或IAM用户)ARNs。分隔多个IDs或ARNs使用逗号 (,)。支持以下IAM主体:
-
IAM账户委托人-例如,
arn:aws:iam::AWS-account-ID:root
。 -
IAM角色主体-例如,
arn:aws:iam::AWS-account-ID:role/role-name
。 -
IAM用户主体-例如,
arn:aws:iam::AWS-account-ID:user/user-name
。
-
-
(可选)根据需要继续添加拒绝语句。
-
-