Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Descripción de las políticas de protección de datos de Amazon SNS
**importante**
La protección de datos de mensajes de Amazon SNS dejará de estar disponible para los nuevos clientes a partir del 30 de abril de 2026. Para obtener más información y orientación sobre las alternativas, consulte Cambio en la [disponibilidad de la protección de datos de mensajes de Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-message-data-protection-availability-change.html).
## ¿Qué son las políticas de protección de datos?
Amazon SNS utiliza **políticas de protección de datos** para seleccionar los datos confidenciales que desea analizar y las acciones que desea realizar para evitar que en sus temas de Amazon SNS se intercambien esos datos. Para seleccionar los datos confidenciales que le interesan, debe utilizar [identificadores de datos](sns-message-data-protection-managed-data-identifiers.md). A continuación, la función de protección de datos de mensajes de Amazon SNS detecta los datos confidenciales mediante machine learning y la coincidencia de patrones. En respuesta a los identificadores de datos encontrados, puede definir una operación de **auditoría**, **anonimización** o **denegación**. Estas operaciones permiten registrar la información confidencial que se encuentra (o no se encuentra), enmascarar o eliminar información confidencial o denegar la entrega de mensajes.
![\[Amazon SNS utiliza políticas de protección de datos para gestionar y proteger los datos confidenciales de diferentes tipos. Servicios de AWS Muestra el flujo de trabajo de los mensajes entrantes y salientes y detalla cómo se supervisan los datos y cómo se toman las medidas en función de la configuración de las políticas, como auditar, anonimizar o denegar la transmisión de datos para proteger información como la información de identificación personal (PII) y la información médica protegida (PHI).\]](http://docs.aws.amazon.com/es_es/sns/latest/dg/images/message-data-protection-policies-overview.png)
## ¿Cómo está estructurada la política de protección de datos?
Tal y como se muestra en la siguiente figura, un documento de la política de protección de datos incluye los siguientes elementos:
+ Información opcional aplicable a toda la política en la parte superior del documento
+ Una o varias instrucciones individuales
Cada instrucción incluye información sobre un único permiso.
![\[La estructura de una política de protección de datos en Amazon SNS, que ilustra cómo la política se compone de varios elementos, como el nombre de la política, la descripción, la versión y varias instrucciones que especifican acciones como la auditoría, la anonimización o la denegación en función de la dirección de los datos, los identificadores y las entidades principales involucradas.\]](http://docs.aws.amazon.com/es_es/sns/latest/dg/images/payload-policy-process.png)
Solo se puede definir una política de protección de datos por cada tema de Amazon SNS. La política de protección de datos puede incluir una o varias instrucciones de denegación o anonimización, pero solo una instrucción de auditoría.
### Propiedades JSON para la política de protección de datos
Una política de protección de datos requiere la siguiente información básica para su identificación:
+ **Name**: el nombre de la política.
+ **Description** (opcional): la descripción de la política.
+ **Version**: la versión del idioma de la política. La versión actual es 2021-06-01.
+ **Statement**: una lista de instrucciones en la que se especifican las acciones de la política de protección de datos.
```
{
"Name": "basicPII-protection",
"Description": "Protect basic types of sensitive data",
"Version": "2021-06-01",
"Statement": [
...
]
}
```
### Propiedades JSON de una instrucción de política
Una instrucción de política establece el contexto de detección de la operación de protección de datos.
+ **Sid** (opcional): el identificador de la instrucción.
+ **DataDirection**— Entrante (para solicitudes de API de publicación) o saliente (para entregas de notificaciones) con respecto al tema Amazon SNS.
+ **DataIdentifier**— Los datos confidenciales que se deben buscar en el tema de Amazon SNS. Por ejemplo, nombre, dirección o número de teléfono.
+ **Entidad principal**: la entidad principal de IAM que publicó en el tema o la entidad principal de IAM que se suscribió al tema.
+ **Operation** (Operación): la acción de respuesta, ya sea **Audit** (Auditar), **De-identify** (Anonimizar) (enmascarar o eliminar) o **Deny** (Denegar) (bloquear), que el tema de Amazon SNS ejecuta una vez que encuentra información confidencial.
```
{
"Sid": "basicPII-inbound-protection",
"DataDirection": "Inbound",
"Principal": ["*"],
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/Name",
"arn:aws:dataprotection::aws:data-identifier/PhoneNumber-US"
],
"Operation": {
...
}
}
```
### Propiedades JSON de una operación de instrucción de política
Una instrucción de política establece una de las siguientes operaciones de protección de datos.
+ [**Auditar**](sns-message-data-protection-operations.md#statement-operation-json-properties-audit): emite métricas y registros de resultados sin interrumpir la publicación o entrega de mensajes.
+ [**De-identify**](sns-message-data-protection-operations.md#statement-operation-json-properties-deidentify): enmascara o elimina información confidencial sin interrumpir la publicación de mensajes.
+ [**Denegar**](sns-message-data-protection-operations.md#statement-operation-json-properties-deny): bloquea la solicitud de publicación de Amazon SNS o no entrega el mensaje.
## ¿Cómo determino las entidades principales de IAM para mi política de protección de datos?
La función de protección de datos de mensajes utiliza dos entidades principales de IAM que interactúan con Amazon SNS.
1. **Entidad principal de API de publicación** (entrante): la entidad principal de IAM autenticada que llama a la API `Publish` de Amazon SNS.
1. **Entidad principal de suscripción** (saliente): la entidad principal de IAM autenticada que llamó a la API `Subscribe` durante la creación de la suscripción.
`SubscriptionPrincipal` es una propiedad de suscripción a Amazon SNS disponible públicamente que se puede recuperar de la API `GetSubscriptionAttributes`.
```
{
"Attributes": {
"SubscriptionPrincipal": "arn:aws:iam::123456789012:user/NoNameAccess",
"Owner": "123412341234",
"RawMessageDelivery": "true",
"TopicArn": "arn:aws:sns:us-east-1:123412341234:PII-data-topic",
"Endpoint": "arn:aws:sqs:us-east-1:123456789012:NoNameAccess",
"Protocol": "sqs",
"PendingConfirmation": "false",
"ConfirmationWasAuthenticated": "true",
"SubscriptionArn": "arn:aws:sns:us-east-1:123412341234:PII-data-topic:5d8634ef-67ef-49eb-a824-4042b28d6f55"
}
}
```
# Operaciones de la política de protección de datos de Amazon SNS
**importante**
La protección de datos de mensajes de Amazon SNS dejará de estar disponible para los nuevos clientes a partir del 30 de abril de 2026. Para obtener más información y orientación sobre las alternativas, consulte Cambio en la [disponibilidad de la protección de datos de mensajes de Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-message-data-protection-availability-change.html).
Estos son ejemplos de políticas de protección de datos que puede utilizar para auditar y denegar datos confidenciales. Para ver un tutorial completo que incluye una aplicación de ejemplo, consulte la publicación del blog [Introducing message data protection for Amazon SNS](https://aws.amazon.com/blogs/compute/introducing-message-data-protection-for-amazon-sns/) (Introducción a la protección de datos de mensajes para Amazon SNS).
## Operación Audit (Auditar)
La operación **de auditoría** toma muestras de los mensajes entrantes relacionados con el tema y registra los datos confidenciales encontrados en un AWS destino. La frecuencia de muestreo puede ser un número entero comprendido entre 0 y 99. Esta operación requiere uno de los siguientes tipos de destinos de registro:
1. **FindingsDestination**— El destino del registro cuando el tema de Amazon SNS encuentra datos confidenciales en la carga útil.
1. **NoFindingsDestination**— El destino del registro cuando el tema de Amazon SNS no encuentra datos confidenciales en la carga útil.
Puede usar lo siguiente Servicios de AWS en cada uno de los siguientes tipos de destinos de registro:
+ **Amazon CloudWatch Logs** (opcional): `LogGroup` debe estar en la región del tema y el nombre debe empezar por **/aws/vendedlogs/**.
+ ** **(opcional): el `DeliveryStream` debe estar en la región del tema y tener **Direct PUT** como origen del flujo de entrega. Para obtener más información, consulte [Source, Destination, and Name](https://docs.aws.amazon.com/firehose/latest/dev/create-name.html) en la *Guía para desarrolladores de Amazon Data Firehose*.
+ **Amazon S3** (opcional): un nombre de bucket de Amazon S3. [Se requieren acciones adicionales para utilizar el bucket de Amazon S3 con el cifrado SSE-KMS activado](#flow-logs-s3-cmk-policy).
```
{
"Operation": {
"Audit": {
"SampleRate": "99",
"FindingsDestination": {
"CloudWatchLogs": {
"LogGroup": "/aws/vendedlogs/log-group-name"
},
"Firehose": {
"DeliveryStream": "delivery-stream-name"
},
"S3": {
"Bucket": "bucket-name"
}
},
"NoFindingsDestination": {
"CloudWatchLogs": {
"LogGroup": "/aws/vendedlogs/log-group-name"
},
"Firehose": {
"DeliveryStream": "delivery-stream-name"
},
"S3": {
"Bucket": "bucket-name"
}
}
}
}
}
```
### Permisos necesarios al especificar los destinos de registro
Al especificar los destinos de registro en la política de protección de datos, debe añadir los siguientes permisos a la política de identidad de IAM de la entidad principal de IAM que llama a la API `PutDataProtectionPolicy` de Amazon SNS o la API `CreateTopic` con el parámetro `--data-protection-policy`.
| Destino de auditoría | Permiso de IAM |
| --- | --- |
| Predeterminado | logs:CreateLogDelivery logs:GetLogDelivery logs:UpdateLogDelivery logs:DeleteLogDelivery logs:ListLogDeliveries |
| CloudWatchLogs | logs:PutResourcePolicy logs:DescribeResourcePolicies logs:DescribeLogGroups |
| Firehose | iam:CreateServiceLinkedRole firehose:TagDeliveryStream |
| S3 | s3:PutBucketPolicy s3:GetBucketPolicy [Se requieren acciones adicionales para utilizar el bucket de Amazon S3 con el cifrado SSE-KMS activado](#flow-logs-s3-cmk-policy). |
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:GetLogDelivery",
"logs:UpdateLogDelivery",
"logs:DeleteLogDelivery",
"logs:ListLogDeliveries"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"logs:PutResourcePolicy",
"logs:DescribeResourcePolicies",
"logs:DescribeLogGroups"
],
"Resource": [
"arn:aws:logs:us-west-1:123456789012:SampleLogGroupName:*:*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"firehose:TagDeliveryStream"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:PutBucketPolicy",
"s3:GetBucketPolicy"
],
"Resource": [
"arn:aws:s3:::bucket-name"
]
}
]
}
```
------
#### Política de clave requerida para el uso con SSE-KMS
Si utiliza un bucket de Amazon S3 como destino de registro, puede proteger los datos de su bucket habilitando el cifrado del lado del servidor con claves gestionadas por Amazon S3 (SSE-S3) o el cifrado del lado del servidor con (SSE-KMS). AWS KMS keys Para obtener más información, consulte [Protección de datos mediante cifrado del lado del servidor](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html) en la *Guía del usuario de Amazon S3*.
Si elija SSE-S3, no se requiere ninguna configuración adicional. Amazon S3 se encarga de la clave de cifrado.
Si elija SSE-KMS, debe utilizar una clave administrada por el cliente. Debe actualizar la política de clave para la clave administrada por el cliente, de modo que la cuenta de entrega de registros pueda escribir en el bucket de S3. Para obtener más información sobre la política de claves necesaria para su uso con SSE-KMS, consulte el cifrado del [lado del servidor de bucket de Amazon S3 en la Guía del usuario](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-logs-SSE-KMS-S3) de *Amazon CloudWatch * Logs.
### Ejemplo de registro de destino de auditoría
En el siguiente ejemplo, `callerPrincipal` se usa para identificar el origen del contenido confidencial y utilizar `messageID` como referencia para compararla con la respuesta de la API `Publish`.
```
{
"messageId": "34d9b400-c6dd-5444-820d-fbeb0f1f54cf",
"auditTimestamp": "2022-05-12T2:10:44Z",
"callerPrincipal": "arn:aws:iam::123412341234:role/Publisher",
"resourceArn": "arn:aws:sns:us-east-1:123412341234:PII-data-topic",
"dataIdentifiers": [
{
"name": "Name",
"count": 1,
"detections": [
{
"start": 1,
"end": 2
}
]
},
{
"name": "PhoneNumber",
"count": 2,
"detections": [
{
"start": 3,
"end": 4
},
{
"start": 5,
"end": 6
}
]
}
]
}
```
### Métricas de la operación Audit (Auditar)
Cuando una operación de auditoría ha especificado la propiedad `FindingsDestination` o la `NoFindingsDestination` propiedad, los propietarios del tema también reciben CloudWatch `MessagesWithFindings` las `MessagesWithNoFindings` métricas.
![\[Ejemplo de una auditoría que muestra datos durante un período de tiempo específico.\]](http://docs.aws.amazon.com/es_es/sns/latest/dg/images/audit-operations-metrics.png)
## Operación de anonimización
La operación de **Desidentificación** enmascara o elimina información confidencial de los mensajes publicados o entregados. Esta operación está disponible para los mensajes entrantes y salientes, y requiere uno de los siguientes tipos de configuraciones:
+ **MaskConfig**— Enmascarar con un carácter compatible de la siguiente tabla. Por ejemplo, ssn: `123-45-6789` se convierte en ssn: `###########`.
```
{
"Operation": {
"Deidentify": {
"MaskConfig": {
"MaskWithCharacter": "#"
}
}
}
```
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/sns/latest/dg/sns-message-data-protection-operations.html)
+ **RedactConfig**— Redacte eliminando los datos por completo. Por ejemplo, ssn: `123-45-6789` se convierte en ssn: ` `.
```
{
"Operation": {
"Deidentify": {
"RedactConfig": {}
}
}
```
En un mensaje entrante, la información confidencial se anonimiza después de la operación de auditoría y quien llama a la API de `SNS:Publish` recibe el siguiente error de parámetro no válido cuando todo el mensaje es confidencial.
`Error code: AuthorizationError ...`
## Operación Deny (Denegar)
La operación **Deny** (Denegar) interrumpe la solicitud de la API `Publish` o la entrega del mensaje si este contiene datos confidenciales. El objeto de la operación Deny (Denegar) está vacío, ya que no requiere ninguna configuración adicional.
```
"Operation": {
"Deny": {}
}
```
En un mensaje entrante, el intermediario de la API `SNS:Publish` recibe un error de autorización.
`Error code: AuthorizationError ...`
En un mensaje saliente, el tema de Amazon SNS no entrega el mensaje a la suscripción. Para realizar un seguimiento de las entregas no autorizadas, active el [registro de estado de entrega](sns-topic-attributes.md) del tema. A continuación, se muestra un ejemplo de un registro de estado de entrega:
```
{
"notification": {
"messageMD5Sum": "29638742ffb68b32cf56f42a79bcf16b",
"messageId": "34d9b400-c6dd-5444-820d-fbeb0f1f54cf",
"topicArn": "arn:aws:sns:us-east-1:123412341234:PII-data-topic",
"timestamp": "2022-05-12T2:12:44Z"
},
"delivery": {
"deliveryId": "98236591c-56aa-51ee-a5ed-0c7d43493170",
"destination": "arn:aws:sqs:us-east-1:123456789012:NoNameAccess",
"providerResponse": "The topic's data protection policy prohibits this message from being delivered to ",
"dwellTimeMs":20,
"attempts":1,
"statusCode": 403
},
"status": "FAILURE"
}
```
# Ejemplos de políticas de protección de datos de Amazon SNS
**importante**
La protección de datos de mensajes de Amazon SNS dejará de estar disponible para los nuevos clientes a partir del 30 de abril de 2026. Para obtener más información y orientación sobre las alternativas, consulte Cambio en la [disponibilidad de la protección de datos de mensajes de Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-message-data-protection-availability-change.html).
Estos ejemplos son políticas de protección de datos que puede utilizar para auditar y denegar datos confidenciales. Para ver un tutorial completo que incluye una aplicación de ejemplo, consulte la publicación del blog [Introducing message data protection for Amazon SNS](https://aws.amazon.com/blogs/compute/introducing-message-data-protection-for-amazon-sns/) (Introducción a la protección de datos de mensajes para Amazon SNS).
## Ejemplo de política para realizar una auditoría
Las políticas de auditoría le permiten auditar hasta el 99% de los mensajes entrantes y enviar los resultados a [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) y [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html). [https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html)
Por ejemplo, puede crear una política de auditoría para evaluar si alguno de sus sistemas envía o recibe datos confidenciales sin darse cuenta. Si los resultados de la auditoría muestran que los sistemas envían información de tarjetas de crédito a sistemas que no la requieren, puede implementar una política de protección de datos para bloquear la entrega de los datos.
El siguiente ejemplo audita el 99% de los mensajes que circulan por el tema buscando números de tarjetas de crédito y enviando los resultados a CloudWatch Logs, Firehose y Amazon S3.
**Política de protección de datos**:
```
{
"Name": "__example_data_protection_policy",
"Description": "Example data protection policy",
"Version": "2021-06-01",
"Statement": [
{
"DataDirection": "Inbound",
"Principal": ["*"],
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/CreditCardNumber"
],
"Operation": {
"Audit": {
"SampleRate": "99",
"FindingsDestination": {
"CloudWatchLogs": {
"LogGroup": ""
},
"Firehose": {
"DeliveryStream": ""
},
"S3": {
"Bucket": ""
}
}
}
}
}
]
}
```
**Ejemplo de formato de resultados de auditoría**:
```
{
"messageId": "...",
"callerPrincipal": "arn:aws:sts::123456789012:assumed-role/ExampleRole",
"resourceArn": "arn:aws:sns:us-east-1:123456789012:ExampleArn",
"dataIdentifiers": [
{
"name": "CreditCardNumber",
"count": 1,
"detections": [
{ "start": 1, "end": 2 }
]
}
],
"timestamp": "2021-04-20T00:33:40.241Z"
}
```
## Política de ejemplo con instrucción de máscara de desidentificación entrante
En el siguiente ejemplo, se impide que un usuario publique un mensaje en un tema con `CreditCardNumber` al enmascarar la información confidencial en el contenido del mensaje.
```
{
"Name": "__example_data_protection_policy",
"Description": "Example data protection policy",
"Version": "2021-06-01",
"Statement": [
{
"DataDirection": "Inbound",
"Principal": [
"arn:aws:iam::123456789012:user/ExampleUser"
],
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/CreditCardNumber"
],
"Operation": {
"Deidentify": {
"MaskConfig": {
"MaskWithCharacter": "#"
}
}
}
}
]
}
```
**Ejemplo de resultados entrantes de máscara de desidentificación:**
```
// original message
My credit card number is 4539894458086459
// delivered message
My credit card number is ################
```
## Política de ejemplo con instrucción de eliminación de desidentificación entrante
En el siguiente ejemplo se impide que un usuario publique un mensaje en un tema con `CreditCardNumber` al eliminar la información confidencial del contenido del mensaje.
```
{
"Name": "__example_data_protection_policy",
"Description": "Example data protection policy",
"Version": "2021-06-01",
"Statement": [
{
"DataDirection": "Inbound",
"Principal": [
"arn:aws:iam::123456789012:user/ExampleUser"
],
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/CreditCardNumber"
],
"Operation": {
"Deidentify": {
"RedactConfig": {}
}
}
}
]
}
```
**Ejemplo de resultados entrantes de anonimización y eliminación:**
```
// original message
My credit card number is 4539894458086459
// delivered message
My credit card number is
```
## Política de ejemplo con instrucción de máscara de desidentificación saliente
En el siguiente ejemplo, se impide que un usuario reciba un mensaje con `CreditCardNumber` al enmascarar la información confidencial en el contenido del mensaje.
```
{
"Name": "__example_data_protection_policy",
"Description": "Example data protection policy",
"Version": "2021-06-01",
"Statement": [
{
"DataDirection": "Outbound",
"Principal": [
"arn:aws:iam::123456789012:user/ExampleUser"
],
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/CreditCardNumber"
],
"Operation": {
"Deidentify": {
"MaskConfig": {
"MaskWithCharacter": "-"
}
}
}
}
]
}
```
**Ejemplo de resultados salientes de máscara de desidentificación:**
```
// original message
My credit card number is 4539894458086459
// delivered message
My credit card number is ----------------
```
## Política de ejemplo con instrucción de eliminación de desidentificación entrante
En el siguiente ejemplo se impide que un usuario publique un mensaje en un tema con `CreditCardNumber` al eliminar la información confidencial del contenido del mensaje.
```
{
"Name": "__example_data_protection_policy",
"Description": "Example data protection policy",
"Version": "2021-06-01",
"Statement": [
{
"DataDirection": "Outbound",
"Principal": [
"arn:aws:iam::123456789012:user/ExampleUser"
],
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/CreditCardNumber"
],
"Operation": {
"Deidentify": {
"RedactConfig": {}
}
}
}
]
}
```
**Ejemplo de resultados salientes de desidentificación y eliminación:**
```
// original message
My credit card number is 4539894458086459
// delivered message
My credit card number is
```
## Ejemplo de política con instrucción de denegación de mensaje entrante
En el siguiente ejemplo se impide que un usuario publique un mensaje en un tema con `CreditCardNumber` en el contenido de dicho mensaje. Las cargas denegadas en la respuesta de la API tienen el código de estado "403 AuthorizationError".
```
{
"Name": "__example_data_protection_policy",
"Description": "Example data protection policy",
"Version": "2021-06-01",
"Statement": [
{
"DataDirection": "Inbound",
"Principal": [
"arn:aws:iam::123456789012:user/ExampleUser"
],
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/CreditCardNumber"
],
"Operation": {
"Deny": {}
}
}
]
}
```
## Ejemplo de política con instrucción de denegación de mensaje saliente
El siguiente ejemplo bloquea una AWS cuenta para que no reciba mensajes que contengan `CreditCardNumber`
```
{
"Name": "__example_data_protection_policy",
"Description": "Example data protection policy",
"Version": "2021-06-01",
"Statement": [
{
"DataDirection": "Outbound",
"Principal": [
"arn:aws:iam::123456789012:user/ExampleUser"
],
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/CreditCardNumber"
],
"Operation": {
"Deny": {}
}
}
]
}
```
**Ejemplo de resultados de denegación salientes registrados en Amazon CloudWatch:**
```
{
"notification": {
"messageMD5Sum": "2e8f58ff2eeed723b56b15493fbfb5a5",
"messageId": "8747a956-ebf1-59da-b291-f2c2e4b87c9c",
"topicArn": "arn:aws:sns:us-east-2:664555388960:test1",
"timestamp": "2022-09-08 15:40:57.144"
},
"delivery": {
"deliveryId": "6a422437-78cc-5171-ad64-7fa3778507aa",
"destination": "arn:aws:sqs:us-east-2:664555388960:test",
"providerResponse": "The topic's data protection policy prohibits this message from being delivered to ",
"dwellTimeMs": 22,
"attempts": 1,
"statusCode": 403
},
"status": "FAILURE"
}
```
# Creación de políticas de protección de datos en Amazon SNS
**importante**
La protección de datos de mensajes de Amazon SNS dejará de estar disponible para los nuevos clientes a partir del 30 de abril de 2026. Para obtener más información y orientación sobre las alternativas, consulte Cambio en la [disponibilidad de la protección de datos de mensajes de Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-message-data-protection-availability-change.html).
Las [políticas de protección de datos](sns-message-data-protection-policies.md) le ayudan a proteger los datos publicados en los temas de Amazon SNS auditando, anonimizando (enmascarando o eliminando) y denegando (bloqueando) la información confidencial que se mueve entre aplicaciones o Servicios de AWS. Puede usar la AWS API, AWS CLI CloudFormation, o Consola de administración de AWS para crear políticas de protección de datos en Amazon SNS. Solo se puede definir una política por cada tema de Amazon SNS. Cada política de protección de datos puede incluir una o varias instrucciones de anonimización y denegación, pero solo una instrucción de auditoría.
**Topics**
+ [Uso de la API](sns-message-data-protection-configure-api.md)
+ [Uso AWS CLI](sns-message-data-protection-configure-cli.md)
+ [Usando CloudFormation](sns-message-data-protection-configure-cfn.md)
+ [Uso del Consola de administración de AWS](sns-message-data-protection-configure-console.md)
+ [Uso AWS del SDK](sns-message-data-protection-configure-sdk.md)
# Creación de políticas de protección de datos en Amazon SNS mediante la API
**importante**
La protección de datos de mensajes de Amazon SNS dejará de estar disponible para los nuevos clientes a partir del 30 de abril de 2026. Para obtener más información y orientación sobre las alternativas, consulte Cambio en la [disponibilidad de la protección de datos de mensajes de Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-message-data-protection-availability-change.html).
La cantidad y el tamaño de los recursos de Amazon SNS en una AWS cuenta son limitados. Para obtener más información, consulte [Amazon Simple Notification Service endpoints and quotas](https://docs.aws.amazon.com/general/latest/gr/sns.html) (Limitación y cuotas de Amazon Simple Notification Service).
## Creación de una política de protección de datos mediante la API
Cree una política de protección de datos de Amazon SNS mediante la AWS API.
**Para crear una política de protección de datos junto con un tema (AWS API) de Amazon SNS**
Utilice la propiedad `DataProtectionPolicy` de un tema estándar de Amazon SNS:
+ [https://docs.aws.amazon.com/sns/latest/api/API_CreateTopic.html](https://docs.aws.amazon.com/sns/latest/api/API_CreateTopic.html)
**Para recuperar o crear una política de protección de datos para un tema (AWS API) de Amazon SNS existente**
Llame a una de las siguientes operaciones:
+ [GetDataProtectionPolicy](https://docs.aws.amazon.com/sns/latest/api/API_GetDataProtectionPolicy.html)
+ [PutDataProtectionPolicy](https://docs.aws.amazon.com/sns/latest/api/API_PutDataProtectionPolicy.html)
# Creación de políticas de protección de datos en Amazon SNS mediante la CLI
**importante**
La protección de datos de mensajes de Amazon SNS dejará de estar disponible para los nuevos clientes a partir del 30 de abril de 2026. Para obtener más información y orientación sobre las alternativas, consulte Cambio en la [disponibilidad de la protección de datos de mensajes de Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-message-data-protection-availability-change.html).
La cantidad y el tamaño de los recursos de Amazon SNS en una AWS cuenta son limitados. Para obtener más información, consulte [Amazon Simple Notification Service endpoints and quotas](https://docs.aws.amazon.com/general/latest/gr/sns.html) (Limitación y cuotas de Amazon Simple Notification Service).
## Creación de políticas de protección de datos mediante el AWS CLI
Cree una política de protección de datos de Amazon SNS mediante AWS Command Line Interface.
**Para crear una política de protección de datos junto con un tema de Amazon SNS (AWS CLI)**
Utilice esta opción para crear una nueva política de protección de datos junto con un tema estándar de Amazon SNS:
+ [create-topic](https://docs.aws.amazon.com/cli/latest/reference/sns/create-topic.html)
**Para crear o recuperar una política de protección de datos para un tema de Amazon SNS existente (AWS CLI)**
Llame a una de las siguientes operaciones:
+ [get-data-protection-policy](https://docs.aws.amazon.com/cli/latest/reference/sns/get-data-protection-policy.html)
+ [put-data-protection-policy](https://docs.aws.amazon.com/cli/latest/reference/sns/put-data-protection-policy.html)
# Creación de políticas de protección de datos en Amazon SNS mediante CloudFormation
**importante**
La protección de datos de mensajes de Amazon SNS dejará de estar disponible para los nuevos clientes a partir del 30 de abril de 2026. Para obtener más información y orientación sobre las alternativas, consulte Cambio en la [disponibilidad de la protección de datos de mensajes de Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-message-data-protection-availability-change.html).
La cantidad y el tamaño de los recursos de Amazon SNS en una AWS cuenta son limitados. Para obtener más información, consulte [Amazon Simple Notification Service endpoints and quotas](https://docs.aws.amazon.com/general/latest/gr/sns.html) (Limitación y cuotas de Amazon Simple Notification Service).
## Creación de políticas de protección de datos (CloudFormation)
Cree una política de protección de datos de Amazon SNS utilizando. CloudFormation
**Para crear una política de protección de datos junto con un tema de Amazon SNS (CloudFormation)**
Utilice esta opción para crear una nueva política de protección de datos junto con un tema estándar de Amazon SNS:
+ [AWS::SNS::Topic](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-sns-topic.html)
# Creación de políticas de protección de datos en Amazon SNS mediante la consola
**importante**
La protección de datos de mensajes de Amazon SNS dejará de estar disponible para los nuevos clientes a partir del 30 de abril de 2026. Para obtener más información y orientación sobre las alternativas, consulte Cambio en la [disponibilidad de la protección de datos de mensajes de Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-message-data-protection-availability-change.html).
La cantidad y el tamaño de los recursos de Amazon SNS en una AWS cuenta son limitados. Para obtener más información, consulte [Amazon Simple Notification Service endpoints and quotas](https://docs.aws.amazon.com/general/latest/gr/sns.html) (Limitación y cuotas de Amazon Simple Notification Service).
**Para crear una política de protección de datos junto con un tema de Amazon SNS (consola)**
Utilice esta opción para crear una nueva política de protección de datos junto con un tema estándar de Amazon SNS.
1. Inicie sesión en la [consola de Amazon SNS](https://console.aws.amazon.com/sns/home).
1. Elija un tema o cree uno nuevo. Para obtener más información acerca de la creación de temas, consulte [Creación de un tema de Amazon SNS](sns-create-topic.md).
1. En la página **Create topic** (Crear tema), en la sección **Details** (Detalles), elija **Standard** (Estándar).
1. Ingrese un **nombre** para el nuevo tema.
1. (Opcional) Ingrese un **nombre para mostrar** para el tema.
1. Expanda **Data protection policy** (Política de protección de datos).
1. Elija un **Configuration mode** (Modo de configuración):
+ **Basic** (Básico): se define una política de protección de datos mediante un sencillo menú.
+ **Advanced** (Avanzado): se define una política de protección de datos personalizada mediante JSON.
1. (Opcional) Para crear el **identificador de datos personalizado** propio, expanda la **sección Configuración del identificador de datos personalizado** y haga lo siguiente:
1. Ingrese un **nombre** único para el identificador de datos personalizado. Los nombres de los identificadores de datos personalizados admiten caracteres alfanuméricos, de guion bajo (\$1) y guion (-). Se admiten hasta 128 caracteres. No se puede compartir el mismo nombre que un [identificador de datos administrado](sns-message-data-protection-managed-data-identifiers.md). Para ver una lista completa de las limitaciones de los identificadores de datos personalizados, consulte [Restricciones de identificadores de datos personalizados](sns-message-data-protection-custom-data-identifiers.md#custom-data-identifiers-limitations).
1. Introduzca una expresión regular (RegEx) para el identificador de datos personalizado. RegExadmite caracteres alfanuméricos, caracteres RegEx reservados y símbolos. RegEx tiene una longitud máxima de 200 caracteres. Si RegEx es demasiado complicado, Amazon SNS fallará en la llamada a la API. Para obtener una lista completa de RegEx limitaciones, consulte[Restricciones de identificadores de datos personalizados](sns-message-data-protection-custom-data-identifiers.md#custom-data-identifiers-limitations).
1. (Opcional) Elija **Agregar identificador de datos personalizado** para agregar identificadores de datos adicionales según sea necesario. Cada política de protección de datos admite un máximo de 10 identificadores de datos personalizados.
1. Elija las instrucciones que le gustaría añadir a su política de protección de datos. Puede agregar tipos de instrucciones de **audit** (auditoría), **de-identify** (anonimización) (enmascarar o eliminar) y **deny** (denegar) (bloquear) a la misma política de protección de datos.
1. **Add audit statement** (Añadir instrucción de auditoría): configure qué datos confidenciales auditar, qué porcentaje de mensajes desea auditar para esos datos y dónde enviar los registros de auditoría.
**nota**
Solo se permite una instrucción de auditoría por tema o política de protección de datos.
1. Seleccione los **identificadores de datos** para definir los datos confidenciales que desea auditar.
1. En **Audit sample rate** (Frecuencia de muestreo de auditoría), introduzca el porcentaje de mensajes que desea auditar en busca de información confidencial, hasta un máximo del 99 %.
1. En el **caso del destino de la auditoría**, seleccione el destino Servicios de AWS al que desea enviar los resultados de la auditoría e introduzca un nombre de destino para cada uno de los Servicio de AWS que utilice. Puede seleccionar uno de los siguientes Amazon Web Services:
+ **Amazon CloudWatch** — CloudWatch Logs es la solución de registro AWS estándar. Con CloudWatch Logs, puede realizar análisis de registros con Logs Insights ([consulte los ejemplos aquí](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_QuerySyntax-examples.html)) y crear métricas y alarmas. CloudWatch Muchos servicios publican los registros en los registros, lo que facilita la agregación de todos los registros con una sola solución. Para obtener información sobre Amazon CloudWatch, consulta la [Guía del CloudWatch usuario de Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html).
+ ****— Firehose satisface las demandas de transmisión en tiempo real a Splunk y OpenSearch Amazon Redshift para un mayor análisis de registros. Para obtener información, consulte la [Guía del usuario](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html).
+ **Amazon Simple Storage Service**: Amazon S3 es un destino de registro económico para fines de archivado. Es posible que deba conservar los registros durante años. En tal caso puede colocar registros en Amazon S3 para ahorrar costes. Para obtener información sobre Amazon Simple Storage Service, consulte la [Guía del usuario de Amazon Simple Storage](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html).
1. **Add a de-identify statement** (Agregar una instrucción de anonimización): configure los datos confidenciales que desea anonimizar en el mensaje, ya sea que desee enmascararlos o eliminarlos y las cuentas para detener la entrega de esos datos.
1. Para **Data identifiers** (Identificadores de datos), seleccione la información confidencial que desea anonimizar.
1. **En Definir esta declaración de desidentificación, seleccione las** AWS cuentas o entidades principales de IAM a las que se aplica esta declaración de desidentificación. Puede aplicarla a **todas las AWS cuentas o a cuentas** o **entidades de IAM** **específicas (raíces de AWS cuentas**, roles o usuarios) que usen una cuenta o entidad de IAM. IDs ARNs Separe varios IDs o ARNs utilice una coma (,).
Estas son las claves de entidades principales de [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html) que se admiten:
+ **IAM account principals** (Entidades principales de cuentas de IAM): por ejemplo, `arn:aws:iam::AWS-account-ID:root`.
+ **IAM role principals** (Entidades principales de roles de IAM): por ejemplo, `arn:aws:iam::AWS-account-ID:role/role-name`.
+ **IAM user principals** (Entidades principales de usuarios de IAM): por ejemplo, `arn:aws:iam::AWS-account-ID:user/user-name`.
1. Para **De-identify Option** (Opción de anonimización), seleccione cómo desea anonimizar los datos confidenciales. Las siguientes opciones son compatibles:
+ **Redact** (Eliminar): elimina los datos por completo. Por ejemplo, el correo electrónico: `classified@amazon.com` pasa a ser el correo electrónico: ` `.
+ **Mask** (Enmascarar): sustituye los datos por caracteres individuales. Por ejemplo, el correo electrónico: `classified@amazon.com` pasa a ser el correo electrónico: `*********************`.
1. (Opcional) Siga agregando instrucciones de anonimización según sea necesario.
1. **Add deny statement** (Añadir instrucción de denegación): configure qué datos confidenciales desea evitar que se utilicen en su tema y qué entidades principales evitar que entreguen esos datos.
1. Para **data direction** (dirección de los datos), elija la dirección de los mensajes de la instrucción de denegación:
+ **Inbound messages** (Mensajes entrantes): aplique esta instrucción de denegación a los mensajes que se envían al tema.
+ **Outbound messages** (Mensajes salientes): aplique esta instrucción de denegación a los mensajes que el tema envía a los puntos de conexión de la suscripción.
1. Elija los **data identifiers** (identificadores de datos) para definir la información confidencial que desea denegar.
1. Elija las **entidades principales de IAM** a las que se aplica esta instrucción de denegación. Puede aplicarlo a **todas las AWS cuentas**, a **entidades **específicas Cuentas de AWS** o de IAM** (por ejemplo, raíces de cuentas, roles o usuarios) que usen una cuenta IDs o entidad de IAM. ARNs Separe varios IDs o ARNs utilice una coma (,). Estas son las claves de entidades principales de [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html) que se admiten:
+ **IAM account principals** (Entidades principales de cuentas de IAM): por ejemplo, `arn:aws:iam::AWS-account-ID:root`.
+ **IAM role principals** (Entidades principales de roles de IAM): por ejemplo, `arn:aws:iam::AWS-account-ID:role/role-name`.
+ **IAM user principals** (Entidades principales de usuarios de IAM): por ejemplo, `arn:aws:iam::AWS-account-ID:user/user-name`.
1. (Opcional) Siga añadiendo instrucciones de denegación según sea necesario.
# Creación de políticas de protección de datos de Amazon SNS para proteger los datos de los mensajes con el SDK.
**importante**
La protección de datos de mensajes de Amazon SNS dejará de estar disponible para los nuevos clientes a partir del 30 de abril de 2026. Para obtener más información y orientación sobre las alternativas, consulte Cambio en la [disponibilidad de la protección de datos de mensajes de Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-message-data-protection-availability-change.html).
La cantidad y el tamaño de los recursos de Amazon SNS en una AWS cuenta son limitados. Para obtener más información, consulte [Amazon Simple Notification Service endpoints and quotas](https://docs.aws.amazon.com/general/latest/gr/sns.html) (Limitación y cuotas de Amazon Simple Notification Service).
## Creación de políticas de protección de datos mediante el SDK AWS
Cree una política de protección de datos de Amazon SNS mediante el AWS SDK.
**Para crear una política de protección de datos junto con un tema de Amazon SNS (SDK)AWS**
Utilice las siguientes opciones para crear una nueva política de protección de datos junto con un tema estándar de Amazon SNS:
------
#### [ Java ]
```
/**
* For information regarding CreateTopic see this documentation topic:
*
* https://docs.aws.amazon.com/code-samples/latest/catalog/javav2-sns-src-main-java-com-example-sns-CreateTopic.java.html
*/
public static String createSNSTopicWithDataProtectionPolicy(SnsClient snsClient, String topicName, String dataProtectionPolicy) {
try {
CreateTopicRequest request = CreateTopicRequest.builder()
.name(topicName)
.dataProtectionPolicy(dataProtectionPolicy)
.build();
CreateTopicResponse result = snsClient.createTopic(request);
return result.topicArn();
} catch (SnsException e) {
System.err.println(e.awsErrorDetails().errorMessage());
System.exit(1);
}
return "";
}
```
------
#### [ JavaScript ]
```
// Import required AWS SDK clients and commands for Node.js
import {CreateTopicCommand } from "@aws-sdk/client-sns";
import {snsClient } from "./libs/snsClient.js";
// Set the parameters
const params = { Name: "TOPIC_NAME", DataProtectionPolicy: "DATA_PROTECTION_POLICY" };
const run = async () => {
try {
const data = await snsClient.send(new CreateTopicCommand(params));
console.log("Success.", data);
return data; // For unit tests.
} catch (err) {
console.log("Error", err.stack);
}
};
run();
```
------
**Para crear o recuperar una política de protección de datos para un tema de Amazon SNS (AWS SDK) existente**
Utilice las siguientes opciones para crear o recuperar una nueva política de protección de datos junto con un tema estándar de Amazon SNS:
------
#### [ Java ]
```
public static void putDataProtectionPolicy(SnsClient snsClient, String topicName, String dataProtectionPolicy) {
try {
PutDataProtectionPolicyRequest request = PutDataProtectionPolicyRequest.builder()
.resourceArn(topicName)
.dataProtectionPolicy(dataProtectionPolicy)
.build();
PutDataProtectionPolicyResponse result = snsClient.putDataProtectionPolicy(request);
System.out.println("\n\nStatus was " + result.sdkHttpResponse().statusCode()
+ "\n\nTopic " + request.resourceArn()
+ " DataProtectionPolicy " + request.dataProtectionPolicy());
} catch (SnsException e) {
System.err.println(e.awsErrorDetails().errorMessage());
System.exit(1);
}
}
public static void getDataProtectionPolicy(SnsClient snsClient, String topicName) {
try {
GetDataProtectionPolicyRequest request = GetDataProtectionPolicyRequest.builder()
.resourceArn(topicName)
.build();
GetDataProtectionPolicyResponse result = snsClient.getDataProtectionPolicy(request);
System.out.println("\n\nStatus is " + result.sdkHttpResponse().statusCode()
+ "\n\nDataProtectionPolicy: \n\n" + result.dataProtectionPolicy());
} catch (SnsException e) {
System.err.println(e.awsErrorDetails().errorMessage());
System.exit(1);
}
}
```
------
#### [ JavaScript ]
```
// Import required AWS SDK clients and commands for Node.js
import {PutDataProtectionPolicyCommand, GetDataProtectionPolicyCommand } from "@aws-sdk/client-sns";
import {snsClient } from "./libs/snsClient.js";
// Set the parameters
const putParams = { ResourceArn: "TOPIC_ARN", DataProtectionPolicy: "DATA_PROTECTION_POLICY" };
const runPut = async () => {
try {
const data = await snsClient.send(new PutDataProtectionPolicyCommand(putParams));
console.log("Success.", data);
return data; // For unit tests.
} catch (err) {
console.log("Error", err.stack);
}
};
runPut();
// Set the parameters
const getParams = { ResourceArn: "TOPIC_ARN" };
const runGet = async () => {
try {
const data = await snsClient.send(new GetDataProtectionPolicyCommand(getParams));
console.log("Success.", data);
return data; // For unit tests.
} catch (err) {
console.log("Error", err.stack);
}
};
runGet();
```
------
# Eliminación de políticas de protección de datos de Amazon SNS
**importante**
La protección de datos de mensajes de Amazon SNS dejará de estar disponible para los nuevos clientes a partir del 30 de abril de 2026. Para obtener más información y orientación sobre las alternativas, consulte Cambio en la [disponibilidad de la protección de datos de mensajes de Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-message-data-protection-availability-change.html).
Puede **eliminar** las políticas de protección de datos de Amazon SNS mediante la AWS API, AWS CLI CloudFormation, o. Consola de administración de AWS
Para obtener información general sobre las políticas de protección de datos de Amazon SNS, consulte [Descripción de las políticas de protección de datos de Amazon SNS](sns-message-data-protection-policies.md).
El número y el tamaño de recursos de la política de protección de datos de Amazon SNS en una cuenta de AWS son limitados. Para obtener más información, consulte [Limitación de la API de Amazon SNS](https://docs.aws.amazon.com/general/latest/gr/sns.html) en la Referencia general de AWS.
## Eliminación de políticas de protección de datos mediante la consola
**Eliminación de una política de protección de datos administrada mediante la consola**
1. Inicie sesión en la [consola de Amazon SNS](https://console.aws.amazon.com/sns/home).
1. Elija el tema que contiene la política de protección de datos que desea eliminar.
1. Elija **Edit (Edición de)**.
1. Expanda la sección **Data protection policy** (Política de protección de datos).
1. Elija **Remove** (Eliminar) junto a la política de protección de los datos que desea eliminar.
1. Seleccione **Save changes (Guardar cambios)**.
## Eliminación de una política de protección de datos mediante una cadena JSON vacía
Puede eliminar una política de protección de datos actualizándola a una cadena JSON vacía.
## Eliminar una política de protección de datos mediante el AWS CLI
Puede eliminar una política de protección de datos mediante la AWS CLI.
`//aws sns put-data-protection-policy --resource-arn topic-arn --data-protection-policy ""`