本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
了解 Amazon 中的數據保護政策 SNS
主題
什麼是資料保護政策?
Amazon SNS 使用資料保護政策來選取要掃描的敏感資料,以及您想要採取的動作來保護該資料不被 Amazon SNS 主題交換。若要選擇感興趣的敏感資料,請使用資料識別符。然後,Amazon SNS 訊息資料保護會使用機器學習和模式比對來偵測敏感資料。若要根據找到的資料識別符採取行動,您可以定義稽核、去識別化或拒絕操作。這些操作可讓您記錄找到 (或找不到) 的敏感資料、遮罩或修訂敏感資料,或拒絕訊息傳遞。
資料保護政策的結構如何?
如下圖所示,資料保護政策文件包含以下元素:
-
在文件最上方選用的整體政策資訊
-
一或多個個別的陳述式
每個陳述式包含關於單一許可的資訊。
每個 Amazon SNS 主題只能定義一個資料保護政策。資料保護政策可以有一或多個拒絕或去識別化陳述式,但只能有一個稽核陳述式。
JSON資料保護政策的內容
資料保護政策需要下列基本政策資訊才能識別:
-
Name - 政策名稱。
-
Description (選用) - 政策描述。
-
Version - 政策語言版本。目前版本是 2021-06-01。
-
Statement - 指定資料保護政策動作的陳述式清單。
{ "Name": "basicPII-protection", "Description": "Protect basic types of sensitive data", "Version": "2021-06-01", "Statement": [ ... ] }
JSON政策聲明的屬性
政策陳述式會設定資料保護操作的偵測內容。
-
Sid (選用) - 陳述式識別符。
-
DataDirection— 與 Amazon SNS 主題相關的輸入 (針對發佈API請求) 或傳出 (用於通知交付)。
-
DataIdentifier— Amazon SNS 主題應掃描的敏感數據。例如,姓名、地址或電話號碼。
-
主參與者 IAM — 發行至主題的主IAM參與者,或訂閱主題的主參與者。
-
操作 — Amazon SNS 主題在找到敏感資料後執行的後續動作,可以是稽核、去識別 (遮罩或編輯) 或拒絕 (封鎖)。
{ "Sid": "basicPII-inbound-protection", "DataDirection": "Inbound", "Principal": ["*"], "DataIdentifier": [ "arn:aws:dataprotection::aws:data-identifier/Name", "arn:aws:dataprotection::aws:data-identifier/PhoneNumber-US" ], "Operation": { ... } }
JSON原則陳述式作業的屬性
政策陳述式會設定下列其中一項資料保護操作。
如何確定我的資料保護政策的IAM主體?
訊息資料保護使用兩個與 Amazon SNS 互動的IAM主體。
-
發布API主體(入站)— 調用 Amazon 的經過身份驗證的IAM主體SNS
PublishAPI。 -
訂閱主體 (出埠) — 在建立訂閱
SubscribeAPI期間呼叫的已驗證IAM主體。
這SubscriptionPrincipal是一個公開可用的 Amazon SNS 訂閱屬性,可以從 GetSubscriptionAttributesAPI.
{ "Attributes": { "SubscriptionPrincipal": "arn:aws:iam::123456789012:user/NoNameAccess", "Owner": "123412341234", "RawMessageDelivery": "true", "TopicArn": "arn:aws:sns:us-east-1:123412341234:PII-data-topic", "Endpoint": "arn:aws:sqs:us-east-1:123456789012:NoNameAccess", "Protocol": "sqs", "PendingConfirmation": "false", "ConfirmationWasAuthenticated": "true", "SubscriptionArn": "arn:aws:sns:us-east-1:123412341234:PII-data-topic:5d8634ef-67ef-49eb-a824-4042b28d6f55" } }
