View a markdown version of this page

Comprendere le politiche di protezione dei dati di Amazon SNS - Amazon Simple Notification Service
Cosa sono le policy di protezione dei dati?Panoramica della struttura di una policy di protezione dei datiCome faccio a determinare i principali IAM

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Comprendere le politiche di protezione dei dati di Amazon SNS

Importante

La protezione dei dati dei messaggi Amazon SNS non è più disponibile per i nuovi clienti. Per ulteriori informazioni e indicazioni sulle alternative, consulta Amazon SNS Message Data Protection Availability Change.

Cosa sono le policy di protezione dei dati?

Amazon SNS utilizza le policy di protezione dei dati per selezionare i dati sensibili da sottoporre a scansione e le operazioni che desideri intraprendere per proteggere tali dati dall'interscambio a livello di argomenti Amazon SNS. Per selezionare i dati sensibili di interesse, utilizza gli identificatori di dati. La protezione dei dati dei messaggi di Amazon SNS rileva quindi la presenza di dati sensibili utilizzando il machine learning e i criteri di ricerca. Per agire sugli identificatori di dati trovati, è possibile definire un'operazione di verifica, deidentificazione o rifiuto. Queste operazioni consentono di registrare i dati sensibili trovati (o non trovati), di mascherare o oscurare i dati sensibili o di rifiutare il recapito dei messaggi.

Amazon SNS utilizza politiche di protezione dei dati per gestire e proteggere i dati sensibili tra diversi. Servizi AWS Mostra il flusso di lavoro per i messaggi in entrata e in uscita, descrivendo in dettaglio come i dati vengono monitorati e le azioni intraprese in base a impostazioni politiche come il controllo, la deidentificazione o il rifiuto della trasmissione dei dati per salvaguardare informazioni come le informazioni di identificazione personale (PII) e le informazioni sanitarie protette (PHI).

Come è strutturata una policy di protezione dei dati?

Come illustrato nella figura riportata di seguito, un documento relativo alla policy di protezione dei dati include questi elementi:

  • Informazioni opzionali sulla policy nella parte superiore del documento

  • Una o più istruzioni singole

Ogni istruzione include informazioni su una singola autorizzazione.

La struttura di una politica di protezione dei dati in Amazon SNS, che illustra come la policy sia composta da vari elementi come il nome, la descrizione, la versione e diverse dichiarazioni che specificano azioni come il controllo, la de-identificazione o il rifiuto in base alla direzione dei dati, agli identificatori e ai principali coinvolti.

È possibile definire solo una policy di protezione dei dati per argomento Amazon SNS. La policy di protezione dei dati può includere una o più dichiarazioni di rifiuto o deidentificazione, ma solo una dichiarazione di verifica.

Proprietà JSON per la policy di protezione dei dati

Una policy di protezione dei dati richiede le seguenti informazioni di base ai fini dell'identificazione:

  • Name (Nome): nome della policy.

  • Description (Descrizione): (facoltativo) la descrizione della policy.

  • Version (Versione): la versione del linguaggio della policy. La versione corrente è 2021-06-01.

  • Statement (Dichiarazione): l'elenco di dichiarazioni che specificano le operazioni della policy di protezione dei dati.

{
  "Name": "basicPII-protection",
  "Description": "Protect basic types of sensitive data",
  "Version": "2021-06-01",
  "Statement": [
        ...
  ]
}

Proprietà JSON per una dichiarazione di policy

Una dichiarazione di policy definisce il contesto di rilevamento per l'operazione di protezione dei dati.

  • Sid: (facoltativo) l'identificatore della dichiarazione.

  • DataDirection— In entrata (per le richieste Publish API) o in uscita (per le consegne di notifiche) per quanto riguarda l'argomento Amazon SNS.

  • DataIdentifier— I dati sensibili che l'argomento Amazon SNS deve analizzare. Ad esempio, nome, indirizzo o numero di telefono.

  • Principale: il principale IAM che ha pubblicato nell'argomento o il principale IAM che ha effettuato la sottoscrizione all'argomento.

  • Operation (Operazione): l'operazione successiva, ovvero Audit (Verifica), De-identify (Deidentificazione) (mascheramento o oscuramento) o Deny (Rifiuto) (blocco), eseguita dall'argomento Amazon SNS se è stata rilevata la presenza di dati sensibili.

{
    "Sid": "basicPII-inbound-protection",
    "DataDirection": "Inbound",
    "Principal": ["*"],
    "DataIdentifier": [
        "arn:aws:dataprotection::aws:data-identifier/Name",
        "arn:aws:dataprotection::aws:data-identifier/PhoneNumber-US"
    ],
    "Operation": {
        ...
    }
}

Proprietà JSON per un'operazione della dichiarazione di policy

Una dichiarazione di policy definisce una delle seguenti operazioni di protezione dei dati.

  • Audit (Verifica): genera parametri e registri di risultati della ricerca senza interrompere la pubblicazione o il recapito dei messaggi.

  • De-identify (Deidentificazione): maschera o oscura i dati sensibili senza interrompere la pubblicazione dei messaggi.

  • Deny (Rifiuto): blocca la richiesta di pubblicazione di Amazon SNS o non finalizza il recapito dei messaggi.

Come faccio a determinare i principali IAM per la policy di protezione dei dati?

La protezione dei dati dei messaggi utilizza due principali IAM che interagiscono con Amazon SNS.

  1. Principale dell'API Publish (in entrata): il principale IAM autenticato che chiama l'API Amazon SNS Publish.

  2. Subscription Principal (Principale di sottoscrizione) (in uscita): il principale IAM autenticato che ha chiamato l'API Subscribe durante la creazione della sottoscrizione.

SubscriptionPrincipal è una proprietà di sottoscrizione Amazon SNS disponibile pubblicamente e che può essere recuperata dall'API GetSubscriptionAttributes.

{
  "Attributes": {
    "SubscriptionPrincipal": "arn:aws:iam::123456789012:user/NoNameAccess",
    "Owner": "123412341234",
    "RawMessageDelivery": "true",
    "TopicArn": "arn:aws:sns:us-east-1:123412341234:PII-data-topic",
    "Endpoint": "arn:aws:sqs:us-east-1:123456789012:NoNameAccess",
    "Protocol": "sqs",
    "PendingConfirmation": "false",
    "ConfirmationWasAuthenticated": "true",
    "SubscriptionArn": "arn:aws:sns:us-east-1:123412341234:PII-data-topic:5d8634ef-67ef-49eb-a824-4042b28d6f55"
  }
}