本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 使用控制台在 Amazon SNS 中创建数据保护策略 **重要** Amazon SNS 消息数据保护不再适用于新客户。有关替代方案的更多信息和指导,请参阅 [Amazon SNS 消息数据保护可用性变更](https://docs.amazonaws.cn/sns/latest/dg/sns-message-data-protection-availability-change.html)。 一个 Amazon 账户中 Amazon SNS 资源的数量和大小是有限的。有关更多信息,请参阅 [Amazon Simple Notification Service endpoints and quotas](https://docs.amazonaws.cn/general/latest/gr/sns.html)。 **与 Amazon SNS 主题一起创建数据保护策略(控制台)** 使用此选项,与标准 Amazon SNS 主题一起创建新的数据保护策略。 1. 登录 [Amazon SNS 控制台](https://console.amazonaws.cn/sns/home)。 1. 选择一个主题或创建一个新主题。有关创建主题的详细信息,请参阅[创建 Amazon SNS 主题](sns-create-topic.md)。 1. 在 **Create topic**(创建主题)页面的 **Details**(详细信息)部分,选择 **Standard**(标准)。 1. 输入主题的**名称**。 1. (可选)输入主题的**显示名称**。 1. 展开 **Data protection policy**(数据保护策略)。 1. 选择一个 **Configuration mode**(配置模式): + **Basic**(基本)– 使用简单菜单定义数据保护策略。 + **Advanced**(高级)– 使用 JSON 定义自定义数据保护策略。 1. (可选)要创建您自己的**自定义数据标识符**,请展开**自定义数据标识符配置部分**,执行以下操作: 1. 为自定义数据标识符输入唯一**名称**。自定义数据标识符名称支持字母数字、下划线(\_)和连字符(-)等字符。最多支持 128 个字符。此名称不能与[托管式数据标识符](sns-message-data-protection-managed-data-identifiers.md)同名。有关自定义数据标识符限制的完整列表,请参阅。 1. 输入自定义数据标识符的正则表达式 (RegEx)。 RegEx支持字母数字字符、 RegEx 保留字符和符号。 RegEx 最大长度为 200 个字符。如果太复杂,Amazon SNS 就会失败 API 调用。 RegEx 有关 RegEx限制的完整列表,请参阅。 1. (可选)选择**添加自定义数据标识符**以根据需要添加其它数据标识符。每项数据保护策略最多支持 10 个自定义数据标识符。 1. 选择您要添加到数据保护策略中的语句。您可以将**审计**、**去身份识别**(遮蔽或去除)和**拒绝**(阻止)语句类型添加到同一数据保护策略中。 1. **Add audit statement**(添加审计语句)– 配置要审计的敏感数据、要为该数据审计的消息百分比以及将审计日志发送到何处。 **注意** 每个数据保护策略或主题仅允许使用一个审计语句。 1. 选择 **data identifiers**(数据标识符)以定义要审计的敏感数据。 1. 对于 **Audit sample rate**(审计采样率),输入要在其中审计敏感信息的消息百分比,最大值为 99%。 1. 在 “**审计目标**” 中,选择 Amazon Web Services 服务 要发送审计结果的目的地,然后为您 Amazon Web Services 服务 使用的每个目标输入目标名称。您可以从以下 Amazon Web Services 中进行选择: + **Amazon CloudWatch** — CloudWatch Logs 是 Amazon 标准的日志解决方案。使用 CloudWatch 日志,您可以使用 Logs Insights([参见此处的示例](https://docs.amazonaws.cn/AmazonCloudWatch/latest/logs/CWL_QuerySyntax-examples.html))执行日志分析,并创建指标和警报。 CloudWatch 日志是许多服务发布日志的地方,这使得使用一个解决方案可以更轻松地聚合所有日志。有关亚马逊的信息 CloudWatch,请参阅[亚马逊 CloudWatch 用户指南](https://docs.amazonaws.cn/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html)。 + ****— Firehose 满足了实时直播到 Splunk 的需求,也满足了 OpenSearch Amazon Redshift 对进一步日志分析的需求。有关信息,请参阅[用户指南](https://docs.amazonaws.cn/firehose/latest/dev/what-is-this-service.html)。 + **Amazon Simple Storage Service** – Amazon S3 是经济实惠的日志目标,可用于存档目的。您可能需要将日志保留数年。在这种情况下,您可以将日志放入 Amazon S3 中以节省成本。有关 Amazon Simple Storage Service 的信息,请参阅 [Amazon Simple Storage Service 用户指南](https://docs.amazonaws.cn/AmazonS3/latest/userguide/Welcome.html)。 1. **Add a de-identify statement**(添加去身份识别语句)– 配置要在消息中去身份识别的敏感数据(无论是遮蔽还是去除该数据),并且账户将停止传输该数据。 1. 对于 **Data Identifiers**(数据标识符),选择要去身份识别的敏感数据。 1. 在 “为其**定义此去身份化声明” 中,选择此去身份化声明适用的** Amazon 账户或 IAM 委托人。您可以将其应用于**所有 Amazon 账户**,也可以应用于使用** Amazon 账户或 **IAM 实体的**特定**账户或 IAM 实体(账户根、角色 IDs 或用户) ARNs。分隔多个 IDs 或 ARNs 使用逗号 (,)。 以下是受支持的 [IAM](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_identifiers.html) 主体: + **IAM account principals**(IAM 账户主体)– 例如 `arn:aws:iam::Amazon-account-ID:root`。 + **IAM role principals**(IAM 角色主体)– 例如 `arn:aws:iam::Amazon-account-ID:role/role-name`。 + **IAM use principals**(IAM 用户主体)– 例如 `arn:aws:iam::Amazon-account-ID:user/user-name`。 1. 对于 **De-identify Option**(去身份识别选项),请选择要如何对敏感数据去身份识别。支持以下选项: + **Redact**(去除)– 完全删除数据。例如,电子邮件 `classified@amazon.com` 将变为电子邮件 ` `。 + **Mask**(遮蔽)– 使用单个字符替换数据。例如,电子邮件 `classified@amazon.com` 将变为电子邮件 `*********************`。 1. (可选)根据需要继续添加去身份识别语句。 1. **Add deny statement**(添加拒绝语句)– 配置要在您的主题中阻止传输哪些敏感数据,以及阻止哪些主体传输这些数据。 1. 对于 **Data Direction**(数据方向),请选择拒绝语句的消息方向: + **Inbound messages**(入站消息)– 将此拒绝语句应用于发送到该主题的消息。 + **Outbound messages**(出站消息)– 将此拒绝语句应用于主题传输到订阅端点的消息。 1. 选择 **Data Identifiers**(数据标识符)以定义要拒绝的敏感数据。 1. 选择应用到此拒绝语句的 **IAM principals**(IAM 主体)。您可以将其应用于使用** Amazon 账户或 IAM 实体的所有账户 Amazon Web Services 账户****、**特定**或 IAM 实体**(例如,账户根、角色 IDs 或用户) ARNs。分隔多个 IDs 或 ARNs 使用逗号 (,)。以下是受支持的 [IAM](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_identifiers.html) 主体: + **IAM account principals**(IAM 账户主体)– 例如 `arn:aws:iam::Amazon-account-ID:root`。 + **IAM role principals**(IAM 角色主体)– 例如 `arn:aws:iam::Amazon-account-ID:role/role-name`。 + **IAM use principals**(IAM 用户主体)– 例如 `arn:aws:iam::Amazon-account-ID:user/user-name`。 1. (可选)根据需要继续添加拒绝语句。