创建数据保护策略以保护消息数据(控制台) - Amazon Simple Notification Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

创建数据保护策略以保护消息数据(控制台)

Amazon 账户中 Amazon SNS 资源的数量和大小是有限的。有关更多信息,请参阅 Amazon Simple Notification Service 端点和配额

与 Amazon SNS 主题一起创建数据保护策略(控制台)

使用此选项,与标准 Amazon SNS 主题一起创建新的数据保护策略:

  1. 登录 Amazon SNS 控制台

  2. 选择一个主题或创建一个新主题。有关创建主题的详细信息,请参阅创建 Amazon SNS 主题

  3. Create topic(创建主题)页面的 Details(详细信息)部分,选择 Standard(标准)。

    1. 输入主题的名称

    2. (可选)输入主题的显示名称

  4. 展开 Data protection policy(数据保护策略)。

  5. 选择一个 Configuration mode(配置模式):

    • Basic(基本)– 使用简单菜单定义数据保护策略。

    • Advanced(高级)– 使用 JSON 定义自定义数据保护策略。

  6. 选择您要添加到数据保护策略中的语句。您可以在同一个数据保护策略中同时添加拒绝审计语句类型。

    1. Add deny statement(添加拒绝语句)– 配置要在您的主题中阻止传输哪些敏感数据,以及阻止哪些主体传输这些数据。

      1. 选择此拒绝语句所适用于的消息的 Data direction(数据方向):

        • Inbound messages(入站消息)– 将此拒绝语句应用于发送到该主题的消息。

        • Outbound messages(出站消息)– 将此拒绝语句应用于主题传输到订阅端点的消息。

      2. 选择 data identifiers(数据标识符)以定义要拒绝的敏感数据。

      3. 选择此拒绝语句适用于的 IAM principals(IAM 主体)。您可以将其应用到 all Amazon accounts(所有 Amazon 账户)、specific Amazon Web Services 账户(特定 Amazon Web Services 账户)或使用账户 ID 或 IAM 实体 ARN 的 IAM entities(IAM 实体)(账户根、角色或用户)。使用逗号 (,) 分隔多个 ID 或 ARN。以下是受支持的 IAM 主体:

        • IAM 账户主体(例如,arn:aws:iam::Amazon-account-ID:root)

        • IAM 角色主体(例如,arn:aws:iam::Amazon-account-ID:role/role-name)

        • IAM 用户主体(例如,arn:aws:iam::Amazon-account-ID:user/user-name)

      4. (可选)根据需要继续添加拒绝语句。

    2. Add audit statement(添加审计语句)– 配置要审计的敏感数据、要为该数据审计的消息百分比以及将审计日志发送到何处。

      注意

      每个数据保护策略或主题仅允许使用一个审计语句。

      1. 选择 data identifiers(数据标识符)以定义要审计的敏感数据。

      2. 对于 Audit sample rate(审计采样率),输入要在其中审计敏感信息的消息百分比,最大值为 99%。

      3. 对于 Audit destination(审计目标),选择要将审计发现结果发送到的 Amazon Web Services,并输入您使用的各个 Amazon Web Service的名称。您可以从以下 Amazon Web Services 中进行选择:

        • Amazon CloudWatch – CloudWatch Logs 是 Amazon 标准日志记录解决方案。借助 CloudWatch Logs,您可以使用 Logs Insights 执行日志分析(在此处查看示例)并创建指标和警报。许多服务将日志发布到 CloudWatch Logs,这可以更轻松地通过一种解决方案聚合所有日志。有关 Amazon CloudWatch 的信息,请参阅 Amazon CloudWatch 用户指南

        • Amazon Kinesis Data Firehose – Kinesis Data Firehose 满足了实时流式传输到 Splunk、OpenSearch 和 Amazon Redshift 以执行进一步日志分析的需求。有关 Amazon Kinesis Data Firehose 的更多信息,请参阅 Amazon Kinesis Data Firehose 用户指南

        • Amazon Simple Storage Service – Amazon S3 是经济实惠的日志目标,可用于存档目的。您可能需要将日志保留数年。在这种情况下,您可以将日志放入 Amazon S3 中以节省成本。有关 Amazon Simple Storage Service 的信息,请参阅 Amazon Simple Storage Service 用户指南