了解亚马逊的数据保护政策 SNS - Amazon Simple Notification Service
什么是数据保护策略?数据保护策略结构概览如何确定IAM校长

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

了解亚马逊的数据保护政策 SNS

主题

什么是数据保护策略?

Amazon SNS 使用数据保护策略来选择您要扫描的敏感数据,以及您要采取哪些措施来保护这些数据不被您的亚马逊SNS主题交换。要选择感兴趣的敏感数据,您可以使用数据标识符。然后,Amazon SNS 消息数据保护使用机器学习和模式匹配来检测敏感数据。要对找到的数据标识符采取操作,您可以定义审计去身份识别拒绝操作。利用这些操作,您可以记录已找到(或未找到)的敏感数据,遮蔽或者去除敏感数据,或者拒绝消息传送。

Amazon SNS 利用数据保护策略来管理和保护不同 AWS 服务地区的敏感数据。它显示了入站和出站邮件的工作流程,详细说明了如何监控数据以及如何根据诸如审计、取消身份识别或拒绝数据传输之类的策略设置采取措施,以保护个人身份信息 (PII) 和受保护的健康信息 (PHI) 等信息。

数据保护策略采用什么结构?

如下图所示,数据保护策略文档包含以下元素:

  • 文档顶部的可选策略范围信息

  • 一个或多个单独语句

每个语句都包含有关单个权限的信息。

Amazon 中数据保护政策的结构SNS,说明该政策是如何由各种元素组成的,例如策略名称、描述、版本和多个声明,这些声明根据数据方向、标识符和相关委托人指定诸如审计、取消身份识别或拒绝之类的操作。

每个 Amazon SNS 主题只能定义一项数据保护政策。数据保护策略可以有一个或多个拒绝或去身份识别语句,但只能有一个审计语句。

JSON数据保护策略的属性

数据保护策略需要以下基本策略信息用于识别:

  • Name(名称)– 策略名称。

  • Description(描述)(可选)– 策略描述。

  • Version(版本)– 策略语言版本。当前版本为 2021-06-01。

  • Statement(语句)– 指定数据保护策略操作的语句列表。

{
  "Name": "basicPII-protection",
  "Description": "Protect basic types of sensitive data",
  "Version": "2021-06-01",
  "Statement": [
        ...
  ]
}

JSON策略声明的属性

策略语句设置数据保护操作的检测上下文。

  • Sid(可选)– 语句标识符。

  • DataDirection— 与 Amazon SNS 主题相关的入库(用于发布API请求)或出库(用于通知传送)。

  • DataIdentifier— Amazon SNS 主题应扫描的敏感数据。例如,姓名、地址或电话号码。

  • 校长 — IAM 针对该主题发布的委IAM托人,或订阅该主题的委托人。

  • 操作 — 后续操作,即 “审计”、“取消识别”(屏蔽或隐藏)或 “拒绝”(阻止),Amazon SNS 主题在发现敏感数据后就会执行这些操作。

{
    "Sid": "basicPII-inbound-protection",
    "DataDirection": "Inbound",
    "Principal": ["*"],
    "DataIdentifier": [
        "arn:aws:dataprotection::aws:data-identifier/Name",
        "arn:aws:dataprotection::aws:data-identifier/PhoneNumber-US"
    ],
    "Operation": {
        ...
    }
}

JSON策略声明操作的属性

策略语句设置以下数据保护操作之一。

  • Audit(审计)– 发布指标并发现结果日志,而不中断消息发布或传输。

  • De-identify(去身份识别)– 遮蔽或去除敏感数据而不中断消息发布。

  • 拒绝 — 阻止 Amazon SNS 发布请求或消息传送失败。

如何确定我的数据保护政策的IAM委托人?

消息数据保护使用两个与 Amazon SNS 交互的IAM委托人。

  1. 发布API委托人(入站)-调用 Amazon 的经过身份验证的IAM委托人SNSPublishAPI。

  2. 订阅委托人(出站)-订阅创建SubscribeAPI期间调用的经过身份验证的IAM委托人。

SubscriptionPrincipal是可公开获得的 Amazon SNS 订阅资产,可从中检索GetSubscriptionAttributesAPI。

{
  "Attributes": {
    "SubscriptionPrincipal": "arn:aws:iam::123456789012:user/NoNameAccess",
    "Owner": "123412341234",
    "RawMessageDelivery": "true",
    "TopicArn": "arn:aws:sns:us-east-1:123412341234:PII-data-topic",
    "Endpoint": "arn:aws:sqs:us-east-1:123456789012:NoNameAccess",
    "Protocol": "sqs",
    "PendingConfirmation": "false",
    "ConfirmationWasAuthenticated": "true",
    "SubscriptionArn": "arn:aws:sns:us-east-1:123412341234:PII-data-topic:5d8634ef-67ef-49eb-a824-4042b28d6f55"
  }
}