使用控制台在 Amazon SNS 中创建数据保护策略 - Amazon Simple Notification Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

使用控制台在 Amazon SNS 中创建数据保护策略

Amazon 账户中 Amazon SNS 资源的数量和大小是有限的。有关更多信息,请参阅 Amazon Simple Notification Service 端点和配额

与 Amazon SNS 主题一起创建数据保护策略(控制台)

使用此选项,与标准 Amazon SNS 主题一起创建新的数据保护策略。

  1. 登录 Amazon SNS 控制台

  2. 选择一个主题或创建一个新主题。有关创建主题的详细信息,请参阅创建 Amazon SNS 主题

  3. Create topic(创建主题)页面的 Details(详细信息)部分,选择 Standard(标准)。

    1. 输入主题的名称

    2. (可选)输入主题的显示名称

  4. 展开 Data protection policy(数据保护策略)。

  5. 选择一个 Configuration mode(配置模式):

    • Basic(基本)– 使用简单菜单定义数据保护策略。

    • Advanced(高级)– 使用 JSON 定义自定义数据保护策略。

  6. (可选)要创建您自己的自定义数据标识符,请展开自定义数据标识符配置部分,执行以下操作:

    1. 为自定义数据标识符输入唯一名称。自定义数据标识符名称支持字母数字、下划线(_)和连字符(-)等字符。最多支持 128 个字符。此名称不能与托管式数据标识符同名。有关自定义数据标识符限制的完整列表,请参阅

    2. 输入自定义数据标识符的正则表达式(RegEx)。正则表达式支持字母数字字符、正则表达式保留字符和符号。正则表达式的最大长度为 200 个字符。如果正则表达式过于复杂,Amazon SNS 将无法进行 API 调用。有关正则表达式限制的完整列表,请参阅

    3. (可选)选择添加自定义数据标识符以根据需要添加其它数据标识符。每项数据保护策略最多支持 10 个自定义数据标识符。

  7. 选择您要添加到数据保护策略中的语句。您可以将审计去身份识别(遮蔽或去除)和拒绝(阻止)语句类型添加到同一数据保护策略中。

    1. Add audit statement(添加审计语句)– 配置要审计的敏感数据、要为该数据审计的消息百分比以及将审计日志发送到何处。

      注意

      每个数据保护策略或主题仅允许使用一个审计语句。

      1. 选择 data identifiers(数据标识符)以定义要审计的敏感数据。

      2. 对于 Audit sample rate(审计采样率),输入要在其中审计敏感信息的消息百分比,最大值为 99%。

      3. 对于 Audit destination(审计目标),选择要将审计发现结果发送到的 Amazon Web Services 服务,并输入您使用的各个 Amazon Web Services 服务 的名称。您可以从以下 Amazon Web Services 中进行选择:

        • Amazon CloudWatch – CloudWatch Logs 是 Amazon 标准日志记录解决方案。借助 CloudWatch Logs,您可以使用 Logs Insights 执行日志分析(在此处查看示例)并创建指标和警报。许多服务将日志发布到 CloudWatch Logs,这可以更轻松地通过一种解决方案聚合所有日志。有关 Amazon CloudWatch 的信息,请参阅 Amazon CloudWatch 用户指南

        • – Firehose 满足了实时流式传输到 Splunk、OpenSearch 和 Amazon Redshift 以执行进一步日志分析的需求。有关信息,请参阅用户指南

        • Amazon Simple Storage Service – Amazon S3 是经济实惠的日志目标,可用于存档目的。您可能需要将日志保留数年。在这种情况下,您可以将日志放入 Amazon S3 中以节省成本。有关 Amazon Simple Storage Service 的信息,请参阅 Amazon Simple Storage Service 用户指南

    2. Add a de-identify statement(添加去身份识别语句)– 配置要在消息中去身份识别的敏感数据(无论是遮蔽还是去除该数据),并且账户将停止传输该数据。

      1. 对于 Data Identifiers(数据标识符),选择要去身份识别的敏感数据。

      2. 对于 Define this de-identify statement for(定义此去身份识别语句用于),选择此去身份识别语句适用于的 Amazon 账户或 IAM 主体。您可以将其应用到所有 Amazon 账户,或者应用到使用账户 ID 或 IAM 实体 ARN 的特定 Amazon 账户IAM 实体(账户根、角色或用户)。使用逗号 (,) 分隔多个 ID 或 ARN。

        以下是受支持的 IAM 主体:

        • IAM account principals(IAM 账户主体)– 例如 arn:aws:iam::Amazon-account-ID:root

        • IAM role principals(IAM 角色主体)– 例如 arn:aws:iam::Amazon-account-ID:role/role-name

        • IAM use principals(IAM 用户主体)– 例如 arn:aws:iam::Amazon-account-ID:user/user-name

      3. 对于 De-identify Option(去身份识别选项),请选择要如何对敏感数据去身份识别。支持以下选项:

        • Redact(去除)– 完全删除数据。例如,电子邮件 classified@amazon.com 将变为电子邮件

        • Mask(遮蔽)– 使用单个字符替换数据。例如,电子邮件 classified@amazon.com 将变为电子邮件 *********************

      4. (可选)根据需要继续添加去身份识别语句。

    3. Add deny statement(添加拒绝语句)– 配置要在您的主题中阻止传输哪些敏感数据,以及阻止哪些主体传输这些数据。

      1. 对于 Data Direction(数据方向),请选择拒绝语句的消息方向:

        • Inbound messages(入站消息)– 将此拒绝语句应用于发送到该主题的消息。

        • Outbound messages(出站消息)– 将此拒绝语句应用于主题传输到订阅端点的消息。

      2. 选择 Data Identifiers(数据标识符)以定义要拒绝的敏感数据。

      3. 选择应用到此拒绝语句的 IAM principals(IAM 主体)。您可以将其应用到所有 Amazon 账户,或者应用到使用账户 ID 或 IAM 实体 ARN 的特定 Amazon Web Services 账户 账户IAM 实体(例如,账户根、角色或用户)。使用逗号 (,) 分隔多个 ID 或 ARN。以下是受支持的 IAM 主体:

        • IAM account principals(IAM 账户主体)– 例如 arn:aws:iam::Amazon-account-ID:root

        • IAM role principals(IAM 角色主体)– 例如 arn:aws:iam::Amazon-account-ID:role/role-name

        • IAM use principals(IAM 用户主体)– 例如 arn:aws:iam::Amazon-account-ID:user/user-name

      4. (可选)根据需要继续添加拒绝语句。