As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Compreender as políticas de proteção de dados do Amazon SNS
**Importante**
A proteção de dados de mensagens do Amazon SNS não estará mais disponível para novos clientes a partir de 30 de abril de 2026. Para obter mais informações e orientações sobre alternativas, consulte Alteração na [disponibilidade da proteção de dados de mensagens do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-message-data-protection-availability-change.html).
## O que são políticas de proteção de dados?
O Amazon SNS usa **políticas de proteção de dados** para selecionar os dados sigilosos que você deseja verificar e as ações que quer realizar para evitar que esses dados sejam trocados por seus tópicos do Amazon SNS. Para selecionar os dados sigilosos de interesse, você deve usar [identificadores de dados](sns-message-data-protection-managed-data-identifiers.md). Depois, a proteção de dados de mensagens do Amazon SNS detecta os dados sigilosos usando machine learning e correspondência de padrões. Para agir de acordo com os identificadores de dados encontrados, você pode definir uma operação de **auditoria**, **desidentificação** ou **negação**. Essas operações permitem que você registre os dados confidenciais encontrados (ou não encontrados), mascare ou elimine os dados confidenciais ou negue a entrega de mensagens.
![\[O Amazon SNS utiliza políticas de proteção de dados para gerenciar e proteger dados confidenciais em diferentes. Serviços da AWS Ele mostra o fluxo de trabalho das mensagens de entrada e saída, detalhando como os dados são monitorados e as ações são tomadas com base em configurações de políticas, como auditoria, desidentificação ou negação da transmissão de dados para proteger informações como informações de identificação pessoal (PII) e informações de saúde protegidas (PHI).\]](http://docs.aws.amazon.com/pt_br/sns/latest/dg/images/message-data-protection-policies-overview.png)
## Como a política de proteção de dados é estruturada?
Como mostrado na figura abaixo, um documento de política de proteção de dados inclui os seguintes elementos:
+ Informações opcionais da política na parte superior do documento
+ Uma ou mais instruções individuais
Cada instrução inclui informações sobre uma única permissão.
![\[A estrutura de uma política de proteção de dados no Amazon SNS, ilustrando como a política é composta por vários elementos, como nome, descrição, versão e várias declarações da política, que especificam ações como auditoria, desidentificação ou negação com base na direção dos dados, identificadores e entidades principais envolvidas.\]](http://docs.aws.amazon.com/pt_br/sns/latest/dg/images/payload-policy-process.png)
Só é possível definir uma política de proteção de dados por tópico do Amazon SNS. A política de proteção de dados pode ter uma ou mais instruções de negação ou desidentificação, mas somente uma instrução de auditoria.
### Propriedades JSON para a política de proteção de dados
Uma política de proteção de dados requer as seguintes informações básicas de política para identificação:
+ **Nome**: o nome da política.
+ **Descrição** (Opcional): a descrição da política.
+ **Versão**: a versão do idioma das políticas. A versão atual é 2021-06-01.
+ **Declaração**: uma lista de declarações que especificam as ações da política de proteção de dados.
```
{
"Name": "basicPII-protection",
"Description": "Protect basic types of sensitive data",
"Version": "2021-06-01",
"Statement": [
...
]
}
```
### Propriedades JSON para uma declaração de política
Uma declaração de política define o contexto de detecção para a operação de proteção de dados.
+ **Sid** (Opcional): o identificador da declaração.
+ **DataDirection**— Entrada (para solicitações de API de publicação) ou saída (para entrega de notificações) com relação ao tópico do Amazon SNS.
+ **DataIdentifier**— Os dados confidenciais que o tópico do Amazon SNS deve verificar. Por exemplo, nome, endereço ou número de telefone.
+ **Entidade principal**: a entidade principal do IAM que publicou no tópico ou a entidade principal do IAM que assinou o tópico.
+ **Operação**: a ação subsequente, seja **Audit** (Auditor), **De-identify** (Desidentificar) (mascarar ou eliminar) ou **Deny** (Negar), que o tópico do Amazon SNS realiza quando encontra dados confidenciais.
```
{
"Sid": "basicPII-inbound-protection",
"DataDirection": "Inbound",
"Principal": ["*"],
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/Name",
"arn:aws:dataprotection::aws:data-identifier/PhoneNumber-US"
],
"Operation": {
...
}
}
```
### Propriedades JSON para uma operação de declaração de política
Uma declaração de política define uma das operações de proteção de dados a seguir.
+ [**Auditoria**](sns-message-data-protection-operations.md#statement-operation-json-properties-audit): emite métricas e localiza logs sem interromper a publicação ou a entrega de mensagens.
+ [**Desidentificar**](sns-message-data-protection-operations.md#statement-operation-json-properties-deidentify): mascara ou elimina dados confidenciais sem interromper a publicação de mensagens.
+ [**Negar**](sns-message-data-protection-operations.md#statement-operation-json-properties-deny): bloqueia a solicitação de publicação do Amazon SNS ou não entrega a mensagem.
## Como determino as entidades principais do IAM para minha política de proteção de dados?
A proteção de dados de mensagens usa duas entidades principais do IAM que interagem com o Amazon SNS.
1. **Entidade principal da API de publicação** (entrada): a entidade principal autenticada do IAM que chama a API `Publish` do Amazon SNS.
1. **Entidades principais de assinatura ** (saída): a entidade principal autenticada do IAM que chamou a API `Subscribe` durante a criação da assinatura.
A `SubscriptionPrincipal` é uma propriedade de assinatura do Amazon SNS disponível ao público que pode ser recuperada na API `GetSubscriptionAttributes`.
```
{
"Attributes": {
"SubscriptionPrincipal": "arn:aws:iam::123456789012:user/NoNameAccess",
"Owner": "123412341234",
"RawMessageDelivery": "true",
"TopicArn": "arn:aws:sns:us-east-1:123412341234:PII-data-topic",
"Endpoint": "arn:aws:sqs:us-east-1:123456789012:NoNameAccess",
"Protocol": "sqs",
"PendingConfirmation": "false",
"ConfirmationWasAuthenticated": "true",
"SubscriptionArn": "arn:aws:sns:us-east-1:123412341234:PII-data-topic:5d8634ef-67ef-49eb-a824-4042b28d6f55"
}
}
```
# Operações de política de proteção de dados no Amazon SNS
**Importante**
A proteção de dados de mensagens do Amazon SNS não estará mais disponível para novos clientes a partir de 30 de abril de 2026. Para obter mais informações e orientações sobre alternativas, consulte Alteração na [disponibilidade da proteção de dados de mensagens do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-message-data-protection-availability-change.html).
Veja a seguir as políticas de proteção de dados que você pode usar para auditar e negar dados sigilosos. Para ver um tutorial completo que inclui uma aplicação de exemplo, consulte a publicação do blog [Introducing message data protection for Amazon SNS](https://aws.amazon.com/blogs/compute/introducing-message-data-protection-for-amazon-sns/) (“Apresentar a proteção de dados de mensagens para o Amazon SNS”).
## Operação de auditoria
A operação **de auditoria** coleta amostras de mensagens de entrada de tópicos e registra as descobertas de dados confidenciais em um AWS destino. A taxa de amostragem pode ser um número inteiro entre 0 e 99. Essa operação requer um dos seguintes tipos de destino de registro em log:
1. **FindingsDestination**— O destino do registro quando o tópico do Amazon SNS encontra dados confidenciais na carga útil.
1. **NoFindingsDestination**— O destino do registro quando o tópico do Amazon SNS não encontra dados confidenciais na carga útil.
Você pode usar o seguinte Serviços da AWS em cada um dos seguintes tipos de destino de log:
+ **Amazon CloudWatch Logs** (opcional) — Eles `LogGroup` devem estar na região do tópico e o nome deve começar com **/aws/vendedlogs/**.
+ ** **(Opcional): o `DeliveryStream` deve estar na região do tópico e ter **Direct PUT** como fonte de fluxo de entrega. Para obter detalhes adicionais, consulte [Source, Destination, and Name](https://docs.aws.amazon.com/firehose/latest/dev/create-name.html) (“Origem, destino e nome”) no *Guia do desenvolvedor do Amazon Kinesis Data Firehose*.
+ **Amazon S3** (Opcional): um nome de bucket do Amazon S3. [Ações extras são necessárias para usar o bucket do Amazon S3 com a criptografia SSE-KMS ativada](#flow-logs-s3-cmk-policy).
```
{
"Operation": {
"Audit": {
"SampleRate": "99",
"FindingsDestination": {
"CloudWatchLogs": {
"LogGroup": "/aws/vendedlogs/log-group-name"
},
"Firehose": {
"DeliveryStream": "delivery-stream-name"
},
"S3": {
"Bucket": "bucket-name"
}
},
"NoFindingsDestination": {
"CloudWatchLogs": {
"LogGroup": "/aws/vendedlogs/log-group-name"
},
"Firehose": {
"DeliveryStream": "delivery-stream-name"
},
"S3": {
"Bucket": "bucket-name"
}
}
}
}
}
```
### Permissões necessárias ao especificar destinos de log
Ao especificar destinos de registro em log na política de proteção de dados, você deve adicionar as seguintes permissões à política de identidade do IAM da entidade principal do IAM que está chamando o Amazon SNS: API `PutDataProtectionPolicy` ou `CreateTopic` com o parâmetro `--data-protection-policy`.
| Destino de auditoria | Permissão do IAM |
| --- | --- |
| Padrão | logs:CreateLogDelivery logs:GetLogDelivery logs:UpdateLogDelivery logs:DeleteLogDelivery logs:ListLogDeliveries |
| CloudWatchLogs | logs:PutResourcePolicy logs:DescribeResourcePolicies logs:DescribeLogGroups |
| Firehose | iam:CreateServiceLinkedRole firehose:TagDeliveryStream |
| S3 | s3:PutBucketPolicy s3:GetBucketPolicy [Ações extras são necessárias para usar o bucket do Amazon S3 com a criptografia SSE-KMS ativada](#flow-logs-s3-cmk-policy). |
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:GetLogDelivery",
"logs:UpdateLogDelivery",
"logs:DeleteLogDelivery",
"logs:ListLogDeliveries"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"logs:PutResourcePolicy",
"logs:DescribeResourcePolicies",
"logs:DescribeLogGroups"
],
"Resource": [
"arn:aws:logs:us-west-1:123456789012:SampleLogGroupName:*:*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"firehose:TagDeliveryStream"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:PutBucketPolicy",
"s3:GetBucketPolicy"
],
"Resource": [
"arn:aws:s3:::bucket-name"
]
}
]
}
```
------
#### Política de chaves obrigatórias para uso com SSE-KMS
Se você usar um bucket do Amazon S3 como destino de log, poderá proteger os dados em seu bucket habilitando a criptografia do lado do servidor com chaves gerenciadas pelo Amazon S3 (SSE-S3) ou a criptografia do lado do servidor com (SSE-KMS). AWS KMS keys Para obter mais informações, consulte [Proteger dados usando criptografia do lado do servidor](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html) no *Manual do usuário do Amazon S3*.
Se você escolher SSE-S3, nenhuma configuração adicional será necessária. O Amazon S3 lida com a chave de criptografia.
Se você escolher o SSE-KMS, deverá usar uma chave gerenciada pelo cliente. Você deve atualizar a política de chaves para a chave gerenciada pelo cliente para que a conta de entrega de logs possa gravar no bucket do S3. *Para obter mais informações sobre a política de chaves necessária para uso com o SSE-KMS, consulte a [criptografia do lado do servidor do bucket Amazon S3](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-logs-SSE-KMS-S3) no Guia do usuário do Amazon Logs. CloudWatch *
### Exemplo de log de destino de auditoria
No exemplo a seguir, `callerPrincipal` é usado para identificar a origem do conteúdo sigiloso e `messageID` como referência para comparar com a resposta da API `Publish`.
```
{
"messageId": "34d9b400-c6dd-5444-820d-fbeb0f1f54cf",
"auditTimestamp": "2022-05-12T2:10:44Z",
"callerPrincipal": "arn:aws:iam::123412341234:role/Publisher",
"resourceArn": "arn:aws:sns:us-east-1:123412341234:PII-data-topic",
"dataIdentifiers": [
{
"name": "Name",
"count": 1,
"detections": [
{
"start": 1,
"end": 2
}
]
},
{
"name": "PhoneNumber",
"count": 2,
"detections": [
{
"start": 3,
"end": 4
},
{
"start": 5,
"end": 6
}
]
}
]
}
```
### Métricas de operação de auditoria
Quando uma operação de auditoria especifica a `FindingsDestination` ou a `NoFindingsDestination` propriedade, os proprietários do tópico também recebem CloudWatch `MessagesWithFindings` `MessagesWithNoFindings` métricas.
![\[Exemplo de auditoria exibindo dados durante um período especificado.\]](http://docs.aws.amazon.com/pt_br/sns/latest/dg/images/audit-operations-metrics.png)
## Operação de desidentificação
A operação **Remoção de identificação** mascara ou elimina dados sigilosos das mensagens publicadas ou entregues. Essa operação está disponível para mensagens de entrada e saída e requer um dos seguintes tipos de configuração:
+ **MaskConfig**— Máscara usando um caractere compatível da tabela a seguir. Por exemplo, ssn: `123-45-6789` se torna ssn: `###########`.
```
{
"Operation": {
"Deidentify": {
"MaskConfig": {
"MaskWithCharacter": "#"
}
}
}
```
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/sns/latest/dg/sns-message-data-protection-operations.html)
+ **RedactConfig**— Redija removendo totalmente os dados. Por exemplo, ssn: `123-45-6789` se torna ssn: ` `.
```
{
"Operation": {
"Deidentify": {
"RedactConfig": {}
}
}
```
Em uma mensagem de entrada, os dados confidenciais são desidentificados após a operação de auditoria, e o chamador da API `SNS:Publish` recebe o erro de parâmetro inválido a seguir quando toda a mensagem é confidencial.
`Error code: AuthorizationError ...`
## Operação de negação
A operação **Deny** (Negação) interromperá a solicitação da API `Publish` ou a entrega da mensagem se a mensagem contiver dados sigilosos. O objeto da operação Deny (Negação) está em branco, pois não requer configuração adicional.
```
"Operation": {
"Deny": {}
}
```
Em uma mensagem de entrada, o chamador da API `SNS:Publish` recebe um erro de autorização.
`Error code: AuthorizationError ...`
Em uma mensagem de saída, o tópico do Amazon SNS não entrega a mensagem para a assinatura. Para monitorar entregas não autorizadas, habilite o [registro em log do status de entrega](sns-topic-attributes.md) do tópico. Veja a seguir um exemplo de log de status de entrega:
```
{
"notification": {
"messageMD5Sum": "29638742ffb68b32cf56f42a79bcf16b",
"messageId": "34d9b400-c6dd-5444-820d-fbeb0f1f54cf",
"topicArn": "arn:aws:sns:us-east-1:123412341234:PII-data-topic",
"timestamp": "2022-05-12T2:12:44Z"
},
"delivery": {
"deliveryId": "98236591c-56aa-51ee-a5ed-0c7d43493170",
"destination": "arn:aws:sqs:us-east-1:123456789012:NoNameAccess",
"providerResponse": "The topic's data protection policy prohibits this message from being delivered to ",
"dwellTimeMs":20,
"attempts":1,
"statusCode": 403
},
"status": "FAILURE"
}
```
# Exemplos de políticas de proteção de dados do Amazon SNS
**Importante**
A proteção de dados de mensagens do Amazon SNS não estará mais disponível para novos clientes a partir de 30 de abril de 2026. Para obter mais informações e orientações sobre alternativas, consulte Alteração na [disponibilidade da proteção de dados de mensagens do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-message-data-protection-availability-change.html).
Veja a seguir as políticas de proteção de dados que você pode usar para auditar e negar dados sigilosos. Para ver um tutorial completo que inclui uma aplicação de exemplo, consulte a publicação do blog [Introducing message data protection for Amazon SNS](https://aws.amazon.com/blogs/compute/introducing-message-data-protection-for-amazon-sns/) (“Apresentar a proteção de dados de mensagens para o Amazon SNS”).
## Exemplo de política para auditoria
As políticas de auditoria permitem auditar até 99% das mensagens recebidas e enviar descobertas para a [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) e o [Amazon](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) S3. [https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html)
Por exemplo, você pode criar uma política de auditoria para avaliar se algum de seus sistemas está acidentalmente enviando ou recebendo dados sigilosos. Se os resultados da auditoria mostrarem que os sistemas estão enviando informações de cartão de crédito a sistemas que não precisam delas, você pode implementar uma política de proteção de dados para bloquear a entrega dos dados.
O exemplo a seguir audita 99% das mensagens que fluem pelo tópico procurando números de cartão de crédito e enviando as descobertas para CloudWatch Logs, Firehose e Amazon S3.
**Política de proteção de dados**:
```
{
"Name": "__example_data_protection_policy",
"Description": "Example data protection policy",
"Version": "2021-06-01",
"Statement": [
{
"DataDirection": "Inbound",
"Principal": ["*"],
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/CreditCardNumber"
],
"Operation": {
"Audit": {
"SampleRate": "99",
"FindingsDestination": {
"CloudWatchLogs": {
"LogGroup": ""
},
"Firehose": {
"DeliveryStream": ""
},
"S3": {
"Bucket": ""
}
}
}
}
}
]
}
```
**Exemplo de formato de resultados de auditoria**:
```
{
"messageId": "...",
"callerPrincipal": "arn:aws:sts::123456789012:assumed-role/ExampleRole",
"resourceArn": "arn:aws:sns:us-east-1:123456789012:ExampleArn",
"dataIdentifiers": [
{
"name": "CreditCardNumber",
"count": 1,
"detections": [
{ "start": 1, "end": 2 }
]
}
],
"timestamp": "2021-04-20T00:33:40.241Z"
}
```
## Exemplo de política com instrução de máscara de desidentificação de entrada
O exemplo a seguir impede que um usuário publique uma mensagem em um tópico com `CreditCardNumber` ao mascarar os dados confidenciais do conteúdo da mensagem.
```
{
"Name": "__example_data_protection_policy",
"Description": "Example data protection policy",
"Version": "2021-06-01",
"Statement": [
{
"DataDirection": "Inbound",
"Principal": [
"arn:aws:iam::123456789012:user/ExampleUser"
],
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/CreditCardNumber"
],
"Operation": {
"Deidentify": {
"MaskConfig": {
"MaskWithCharacter": "#"
}
}
}
}
]
}
```
**Exemplo de resultados da máscara de desidentificação de entrada:**
```
// original message
My credit card number is 4539894458086459
// delivered message
My credit card number is ################
```
## Exemplo de política com instrução de eliminação da desidentificação de entrada
O exemplo a seguir impede que um usuário publique uma mensagem em um tópico com `CreditCardNumber` ao eliminar os dados confidenciais do conteúdo da mensagem.
```
{
"Name": "__example_data_protection_policy",
"Description": "Example data protection policy",
"Version": "2021-06-01",
"Statement": [
{
"DataDirection": "Inbound",
"Principal": [
"arn:aws:iam::123456789012:user/ExampleUser"
],
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/CreditCardNumber"
],
"Operation": {
"Deidentify": {
"RedactConfig": {}
}
}
}
]
}
```
**Exemplo de resultados de eliminação de desidentificação de entrada:**
```
// original message
My credit card number is 4539894458086459
// delivered message
My credit card number is
```
## Exemplo de política com instrução de máscara da desidentificação de saída
O exemplo a seguir impede que um usuário receba uma mensagem com `CreditCardNumber` ao mascarar os dados sigilosos do respectivo conteúdo.
```
{
"Name": "__example_data_protection_policy",
"Description": "Example data protection policy",
"Version": "2021-06-01",
"Statement": [
{
"DataDirection": "Outbound",
"Principal": [
"arn:aws:iam::123456789012:user/ExampleUser"
],
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/CreditCardNumber"
],
"Operation": {
"Deidentify": {
"MaskConfig": {
"MaskWithCharacter": "-"
}
}
}
}
]
}
```
**Exemplo de resultados da máscara de desidentificação de saída:**
```
// original message
My credit card number is 4539894458086459
// delivered message
My credit card number is ----------------
```
## Exemplo de política com instrução de edição da desidentificação de saída
O exemplo a seguir impede que um usuário receba uma mensagem com `CreditCardNumber` ao eliminar os dados sigilosos do conteúdo da mensagem.
```
{
"Name": "__example_data_protection_policy",
"Description": "Example data protection policy",
"Version": "2021-06-01",
"Statement": [
{
"DataDirection": "Outbound",
"Principal": [
"arn:aws:iam::123456789012:user/ExampleUser"
],
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/CreditCardNumber"
],
"Operation": {
"Deidentify": {
"RedactConfig": {}
}
}
}
]
}
```
**Exemplo de resultados de eliminação de desidentificação de saída:**
```
// original message
My credit card number is 4539894458086459
// delivered message
My credit card number is
```
## Exemplo de política com instrução de negação de entrada
O exemplo a seguir impede que um usuário publique uma mensagem em um tópico com `CreditCardNumber` no conteúdo da mensagem. As cargas úteis negadas na resposta da API têm o código de status “403 AuthorizationError”.
```
{
"Name": "__example_data_protection_policy",
"Description": "Example data protection policy",
"Version": "2021-06-01",
"Statement": [
{
"DataDirection": "Inbound",
"Principal": [
"arn:aws:iam::123456789012:user/ExampleUser"
],
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/CreditCardNumber"
],
"Operation": {
"Deny": {}
}
}
]
}
```
## Exemplo de política com instrução de negação de saída
O exemplo a seguir impede que uma AWS conta receba mensagens que contenham`CreditCardNumber`.
```
{
"Name": "__example_data_protection_policy",
"Description": "Example data protection policy",
"Version": "2021-06-01",
"Statement": [
{
"DataDirection": "Outbound",
"Principal": [
"arn:aws:iam::123456789012:user/ExampleUser"
],
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/CreditCardNumber"
],
"Operation": {
"Deny": {}
}
}
]
}
```
**Exemplo de resultados de negação de saída, registrados na Amazon: CloudWatch**
```
{
"notification": {
"messageMD5Sum": "2e8f58ff2eeed723b56b15493fbfb5a5",
"messageId": "8747a956-ebf1-59da-b291-f2c2e4b87c9c",
"topicArn": "arn:aws:sns:us-east-2:664555388960:test1",
"timestamp": "2022-09-08 15:40:57.144"
},
"delivery": {
"deliveryId": "6a422437-78cc-5171-ad64-7fa3778507aa",
"destination": "arn:aws:sqs:us-east-2:664555388960:test",
"providerResponse": "The topic's data protection policy prohibits this message from being delivered to ",
"dwellTimeMs": 22,
"attempts": 1,
"statusCode": 403
},
"status": "FAILURE"
}
```
# Criar políticas de proteção de dados no Amazon SNS
**Importante**
A proteção de dados de mensagens do Amazon SNS não estará mais disponível para novos clientes a partir de 30 de abril de 2026. Para obter mais informações e orientações sobre alternativas, consulte Alteração na [disponibilidade da proteção de dados de mensagens do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-message-data-protection-availability-change.html).
As [políticas de proteção de dados](sns-message-data-protection-policies.md) ajudam você a proteger os dados publicados em seus tópicos do Amazon SNS auditando, desidentificando (mascarando ou eliminando) e negando (bloqueando) informações confidenciais passadas entre aplicações ou Serviços da AWS. Você pode usar a AWS API, AWS CLI, CloudFormation, ou Console de gerenciamento da AWS para criar políticas de proteção de dados no Amazon SNS. Somente uma política pode ser definida por tópico do Amazon SNS. Cada política de proteção de dados pode ter uma ou mais instruções de desidentificação e negação, mas somente uma instrução de auditoria.
**Topics**
+ [Usar a API](sns-message-data-protection-configure-api.md)
+ [Usando AWS CLI](sns-message-data-protection-configure-cli.md)
+ [Usando CloudFormation](sns-message-data-protection-configure-cfn.md)
+ [Usando o Console de gerenciamento da AWS](sns-message-data-protection-configure-console.md)
+ [Usando o AWS SDK](sns-message-data-protection-configure-sdk.md)
# Criar políticas de proteção de dados no Amazon SNS use o API
**Importante**
A proteção de dados de mensagens do Amazon SNS não estará mais disponível para novos clientes a partir de 30 de abril de 2026. Para obter mais informações e orientações sobre alternativas, consulte Alteração na [disponibilidade da proteção de dados de mensagens do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-message-data-protection-availability-change.html).
O número e o tamanho dos recursos do Amazon SNS em uma AWS conta são limitados. Para obter mais informações, consulte [Amazon Simple Notification Service endpoints and quotas](https://docs.aws.amazon.com/general/latest/gr/sns.html) (Endpoints e cotas do Amazon Simple Notification Service).
## Criar uma política de proteção de dados usando API
Crie uma política de proteção de dados do Amazon SNS usando a AWS API.
**Para criar uma política de proteção de dados junto com um tópico do Amazon SNS (API)AWS**
Use a propriedade `DataProtectionPolicy` de um tópico padrão do Amazon SNS:
+ [https://docs.aws.amazon.com/sns/latest/api/API_CreateTopic.html](https://docs.aws.amazon.com/sns/latest/api/API_CreateTopic.html)
**Para recuperar ou criar uma política de proteção de dados para um tópico AWS existente do Amazon SNS (API)**
Chame uma das seguintes operações:
+ [GetDataProtectionPolicy](https://docs.aws.amazon.com/sns/latest/api/API_GetDataProtectionPolicy.html)
+ [PutDataProtectionPolicy](https://docs.aws.amazon.com/sns/latest/api/API_PutDataProtectionPolicy.html)
# Criar políticas de proteção de dados no Amazon SNS use o CLI
**Importante**
A proteção de dados de mensagens do Amazon SNS não estará mais disponível para novos clientes a partir de 30 de abril de 2026. Para obter mais informações e orientações sobre alternativas, consulte Alteração na [disponibilidade da proteção de dados de mensagens do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-message-data-protection-availability-change.html).
O número e o tamanho dos recursos do Amazon SNS em uma AWS conta são limitados. Para obter mais informações, consulte [Amazon Simple Notification Service endpoints and quotas](https://docs.aws.amazon.com/general/latest/gr/sns.html) (Endpoints e cotas do Amazon Simple Notification Service).
## Criação de políticas de proteção de dados usando o AWS CLI
Crie uma política de proteção de dados do Amazon SNS usando o AWS Command Line Interface.
**Como criar uma política de proteção de dados com um tópico do Amazon SNS (AWS CLI)**
Use essa opção para criar uma política de proteção de dados com um tópico padrão do Amazon SNS:
+ [create-topic](https://docs.aws.amazon.com/cli/latest/reference/sns/create-topic.html)
**Como recuperar ou criar uma política de proteção de dados para um tópico existente do Amazon SNS (AWS CLI)**
Chame uma das seguintes operações:
+ [get-data-protection-policy](https://docs.aws.amazon.com/cli/latest/reference/sns/get-data-protection-policy.html)
+ [put-data-protection-policy](https://docs.aws.amazon.com/cli/latest/reference/sns/put-data-protection-policy.html)
# Criação de políticas de proteção de dados no Amazon SNS usando CloudFormation
**Importante**
A proteção de dados de mensagens do Amazon SNS não estará mais disponível para novos clientes a partir de 30 de abril de 2026. Para obter mais informações e orientações sobre alternativas, consulte Alteração na [disponibilidade da proteção de dados de mensagens do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-message-data-protection-availability-change.html).
O número e o tamanho dos recursos do Amazon SNS em uma AWS conta são limitados. Para obter mais informações, consulte [Amazon Simple Notification Service endpoints and quotas](https://docs.aws.amazon.com/general/latest/gr/sns.html) (Endpoints e cotas do Amazon Simple Notification Service).
## Criar políticas de proteção de dados (CloudFormation)
Crie uma política de proteção de dados do Amazon SNS usando. CloudFormation
**Como criar uma política de proteção de dados com um tópico do Amazon SNS (CloudFormation)**
Use essa opção para criar uma política de proteção de dados com um tópico padrão do Amazon SNS:
+ [AWS::SNS::Topic](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-sns-topic.html)
# Criar políticas de proteção de dados no Amazon SNS use o console
**Importante**
A proteção de dados de mensagens do Amazon SNS não estará mais disponível para novos clientes a partir de 30 de abril de 2026. Para obter mais informações e orientações sobre alternativas, consulte Alteração na [disponibilidade da proteção de dados de mensagens do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-message-data-protection-availability-change.html).
O número e o tamanho dos recursos do Amazon SNS em uma AWS conta são limitados. Para obter mais informações, consulte [Amazon Simple Notification Service endpoints and quotas](https://docs.aws.amazon.com/general/latest/gr/sns.html) (Endpoints e cotas do Amazon Simple Notification Service).
**Como criar uma política de proteção de dados com um tópico do Amazon SNS (console)**
Use essa opção para criar uma política de proteção de dados com um tópico padrão do Amazon SNS.
1. Faça login no console [do Amazon SNS](https://console.aws.amazon.com/sns/home).
1. Selecione um tópico ou crie um. Para obter mais detalhes sobre como criar tópicos, consulte [Criar um tópico do Amazon SNS](sns-create-topic.md).
1. Na página **Create topic** (Criar tópico), na seção **Details** (Detalhes), selecione **Standard** (Padrão).
1. Insira um **Nome** para o tópico.
1. (Opcional) Insira um **Nome de exibição** para o tópico.
1. Amplie **Data protection policy** (Política de proteção de dados).
1. Selecione um **Configuration mode** (Modo de configuração):
+ **Basic** (Básico): defina uma política de proteção de dados usando um menu simples.
+ **Avançado**: defina uma política de proteção de dados personalizada usando JSON.
1. (Opcional) Para criar o próprio **identificador de dados personalizado**, expanda a seção **Configuração personalizada do identificador de dados** e faça o seguinte:
1. Insira um **nome** exclusivo para o identificador de dados personalizado. Os nomes de identificadores de dados personalizados aceitam caracteres alfanuméricos, sublinhado (\$1) e hífen (-). São aceitos até 128 caracteres. Esse nome não pode compartilhar o mesmo nome de um [identificador de dados gerenciado](sns-message-data-protection-managed-data-identifiers.md). Para obter uma lista completa de limitações de identificadores de dados personalizados, consulte [Restrições de identificadores de dados personalizados](sns-message-data-protection-custom-data-identifiers.md#custom-data-identifiers-limitations).
1. Insira uma expressão regular (RegEx) para o identificador de dados personalizado. RegExsuporta caracteres alfanuméricos, caracteres RegEx reservados e símbolos. RegEx tem um comprimento máximo de 200 caracteres. Se RegEx for muito complicado, o Amazon SNS falhará na chamada da API. Para obter uma lista completa das RegEx limitações, consulte[Restrições de identificadores de dados personalizados](sns-message-data-protection-custom-data-identifiers.md#custom-data-identifiers-limitations).
1. (Opcional) Selecione **Adicionar identificador de dados personalizado** para adicionar outros identificadores de dados, conforme necessário. As políticas de proteção de dados são compatíveis com dez identificadores de dados personalizados, no máximo.
1. Selecione as declarações que você gostaria de adicionar à sua política de proteção de dados. Você pode adicionar os tipos de instrução **audit** (auditar), **de-identify** (desidentificar) (mascarar ou eliminar) e **deny** (negar) (bloquear) à mesma política de proteção de dados.
1. **Adicionar declaração de auditoria**: configure quais dados sigilosos devem ser auditados, qual porcentagem de mensagens você deseja auditar nesses dados e para onde enviar os logs de auditoria.
**nota**
Somente uma declaração de auditoria é permitida por política ou tópico de proteção de dados.
1. Selecione **data identifiers** (identificadores de dados) para definir os dados sigilosos que você deseja auditar.
1. Em **Audit sample rate** (Taxa de amostragem de auditoria), insira a porcentagem de mensagens a serem auditadas quanto a informações sigilosas, até no máximo 99%.
1. Em **Destino da auditoria**, selecione qual Serviços da AWS deseja enviar os resultados da descoberta de auditoria e insira um nome de destino para cada um AWS service (Serviço da AWS) que você usa. Você pode selecionar entre os seguintes serviços da Amazon Web Services:
+ **Amazon CloudWatch** — CloudWatch Logs é a solução de registro AWS padrão. Usando o CloudWatch Logs, você pode realizar análises de registros usando o Logs Insights ([veja exemplos aqui](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_QuerySyntax-examples.html)) e criar métricas e alarmes. CloudWatch É nos registros que muitos serviços publicam registros, o que facilita a agregação de todos os registros usando uma única solução. Para obter informações sobre a Amazon CloudWatch, consulte o [Guia CloudWatch do usuário da Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html).
+ ****— O Firehose satisfaz as demandas de streaming em tempo real para a Splunk e o OpenSearch Amazon Redshift para análises adicionais de registros. Para obter informações, consulte o [Guia do usuário](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html).
+ **Amazon Simple Storage Service**: o Amazon S3 é um destino de log com bom custo-benefício para fins de arquivamento. Pode ser necessário manter os logs por um período de anos. Nesse caso, você pode colocar os logs no Amazon S3 para reduzir os custos. Para obter informações sobre o Amazon Simple Storage Service, consulte o [Guia do usuário do Amazon Simple Storage Service](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html).
1. **Adicionar uma instrução de desidentificação**: configure os dados confidenciais que você deseja desidentificar na mensagem, se deseja ou não mascarar ou eliminar esses dados, e as contas para interromper a entrega desses dados.
1. Em **Identificadores de dados**, selecione os dados confidenciais que deseja desidentificar.
1. Em **Definir essa declaração de desidentificação para**, selecione as AWS contas ou os diretores do IAM aos quais essa declaração de desidentificação se aplica. Você pode aplicá-la a **todas as AWS contas** ou a ** AWS contas específicas** ou **entidades do IAM** (raízes da conta, funções ou usuários) que usam conta IDs ou entidade do IAM ARNs. Separe vários IDs ou ARNs use uma vírgula (,).
As seguintes entidades principais do [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html) são compatíveis:
+ **IAM account principals** (Entidades principais de conta do IAM): por exemplo, `arn:aws:iam::AWS-account-ID:root`.
+ **IAM role principals** (Entidades principais de perfil do IAM): por exemplo, `arn:aws:iam::AWS-account-ID:role/role-name`.
+ **IAM user principals** (Entidades principais de usuário do IAM): por exemplo, `arn:aws:iam::AWS-account-ID:user/user-name`.
1. Em **De-identify Option** (Opção de desidentificação), selecione como deseja desidentificar os dados confidenciais. Há compatibilidade com as seguintes opções:
+ **Redact** (Eliminar): remoção total dos dados. Por exemplo, e-mail: `classified@amazon.com` se torna e-mail: ` `.
+ **Mask** (Máscara): substitui os dados por caracteres únicos. Por exemplo, e-mail: `classified@amazon.com` se torna e-mail: `*********************`.
1. (Opcional) Continue adicionando instruções de desidentificação conforme necessário.
1. **Adicionar declaração de negação**: configure quais dados sigilosos não devem percorrer o tópico e quais entidades principais não devem entregar esses dados.
1. Em **data direction** (direcionamento de dados), escolha o direcionamento das mensagens para a instrução de negação:
+ **Mensagens de entrada**: aplique essa declaração de negação às mensagens enviadas ao tópico.
+ **Mensagens de saída**: aplique essa declaração de negação às mensagens que o tópico entrega aos endpoints de assinatura.
1. Selecione **data identifiers** (identificadores de dados) para definir os dados sigilosos que você deseja negar.
1. Selecione as **IAM principals** (Entidades principais do IAM) que se aplicam a essa instrução de negação. Você pode aplicá-la a **todas as AWS contas**, a **entidades **específicas Contas da AWS** ou do IAM** (por exemplo, raízes da conta, funções ou usuários) que usam conta IDs ou entidade do IAM ARNs. Separe vários IDs ou ARNs use uma vírgula (,). As seguintes entidades principais do [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html) são compatíveis:
+ **IAM account principals** (Entidades principais de conta do IAM): por exemplo, `arn:aws:iam::AWS-account-ID:root`.
+ **IAM role principals** (Entidades principais de perfil do IAM): por exemplo, `arn:aws:iam::AWS-account-ID:role/role-name`.
+ **IAM user principals** (Entidades principais de usuário do IAM): por exemplo, `arn:aws:iam::AWS-account-ID:user/user-name`.
1. (Opcional) Continue adicionando declarações de negação conforme necessário.
# Criar políticas de proteção de dados do Amazon SNS para proteger os dados das mensagens usando o SDK
**Importante**
A proteção de dados de mensagens do Amazon SNS não estará mais disponível para novos clientes a partir de 30 de abril de 2026. Para obter mais informações e orientações sobre alternativas, consulte Alteração na [disponibilidade da proteção de dados de mensagens do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-message-data-protection-availability-change.html).
O número e o tamanho dos recursos do Amazon SNS em uma AWS conta são limitados. Para obter mais informações, consulte [Amazon Simple Notification Service endpoints and quotas](https://docs.aws.amazon.com/general/latest/gr/sns.html) (Endpoints e cotas do Amazon Simple Notification Service).
## Criação de políticas de proteção de dados usando o AWS SDK
Crie uma política de proteção de dados do Amazon SNS usando o AWS SDK.
**Para criar uma política de proteção de dados junto com um tópico do Amazon SNS (AWS SDK)**
Use as seguintes opções para criar uma política de proteção de dados com um tópico padrão do Amazon SNS:
------
#### [ Java ]
```
/**
* For information regarding CreateTopic see this documentation topic:
*
* https://docs.aws.amazon.com/code-samples/latest/catalog/javav2-sns-src-main-java-com-example-sns-CreateTopic.java.html
*/
public static String createSNSTopicWithDataProtectionPolicy(SnsClient snsClient, String topicName, String dataProtectionPolicy) {
try {
CreateTopicRequest request = CreateTopicRequest.builder()
.name(topicName)
.dataProtectionPolicy(dataProtectionPolicy)
.build();
CreateTopicResponse result = snsClient.createTopic(request);
return result.topicArn();
} catch (SnsException e) {
System.err.println(e.awsErrorDetails().errorMessage());
System.exit(1);
}
return "";
}
```
------
#### [ JavaScript ]
```
// Import required AWS SDK clients and commands for Node.js
import {CreateTopicCommand } from "@aws-sdk/client-sns";
import {snsClient } from "./libs/snsClient.js";
// Set the parameters
const params = { Name: "TOPIC_NAME", DataProtectionPolicy: "DATA_PROTECTION_POLICY" };
const run = async () => {
try {
const data = await snsClient.send(new CreateTopicCommand(params));
console.log("Success.", data);
return data; // For unit tests.
} catch (err) {
console.log("Error", err.stack);
}
};
run();
```
------
**Para criar ou recuperar uma política de proteção de dados para um tópico AWS existente do Amazon SNS (SDK)**
Use as seguintes opções para criar ou recuperar uma política de proteção de dados com um tópico padrão do Amazon SNS:
------
#### [ Java ]
```
public static void putDataProtectionPolicy(SnsClient snsClient, String topicName, String dataProtectionPolicy) {
try {
PutDataProtectionPolicyRequest request = PutDataProtectionPolicyRequest.builder()
.resourceArn(topicName)
.dataProtectionPolicy(dataProtectionPolicy)
.build();
PutDataProtectionPolicyResponse result = snsClient.putDataProtectionPolicy(request);
System.out.println("\n\nStatus was " + result.sdkHttpResponse().statusCode()
+ "\n\nTopic " + request.resourceArn()
+ " DataProtectionPolicy " + request.dataProtectionPolicy());
} catch (SnsException e) {
System.err.println(e.awsErrorDetails().errorMessage());
System.exit(1);
}
}
public static void getDataProtectionPolicy(SnsClient snsClient, String topicName) {
try {
GetDataProtectionPolicyRequest request = GetDataProtectionPolicyRequest.builder()
.resourceArn(topicName)
.build();
GetDataProtectionPolicyResponse result = snsClient.getDataProtectionPolicy(request);
System.out.println("\n\nStatus is " + result.sdkHttpResponse().statusCode()
+ "\n\nDataProtectionPolicy: \n\n" + result.dataProtectionPolicy());
} catch (SnsException e) {
System.err.println(e.awsErrorDetails().errorMessage());
System.exit(1);
}
}
```
------
#### [ JavaScript ]
```
// Import required AWS SDK clients and commands for Node.js
import {PutDataProtectionPolicyCommand, GetDataProtectionPolicyCommand } from "@aws-sdk/client-sns";
import {snsClient } from "./libs/snsClient.js";
// Set the parameters
const putParams = { ResourceArn: "TOPIC_ARN", DataProtectionPolicy: "DATA_PROTECTION_POLICY" };
const runPut = async () => {
try {
const data = await snsClient.send(new PutDataProtectionPolicyCommand(putParams));
console.log("Success.", data);
return data; // For unit tests.
} catch (err) {
console.log("Error", err.stack);
}
};
runPut();
// Set the parameters
const getParams = { ResourceArn: "TOPIC_ARN" };
const runGet = async () => {
try {
const data = await snsClient.send(new GetDataProtectionPolicyCommand(getParams));
console.log("Success.", data);
return data; // For unit tests.
} catch (err) {
console.log("Error", err.stack);
}
};
runGet();
```
------
# Excluir políticas de proteção de dados no Amazon SNS
**Importante**
A proteção de dados de mensagens do Amazon SNS não estará mais disponível para novos clientes a partir de 30 de abril de 2026. Para obter mais informações e orientações sobre alternativas, consulte Alteração na [disponibilidade da proteção de dados de mensagens do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-message-data-protection-availability-change.html).
Você pode **excluir as** políticas de proteção de dados do Amazon SNS usando a AWS API,, AWS CLI CloudFormation, ou. Console de gerenciamento da AWS
Para obter informações gerais sobre políticas de proteção de dados do Amazon SNS, consulte [Compreender as políticas de proteção de dados do Amazon SNS](sns-message-data-protection-policies.md).
O número e o tamanho dos recursos da política de proteção de dados do Amazon SNS em uma conta da AWS são limitados. Para obter mais informações, consulte [Controle de utilização da API do Amazon SNS](https://docs.aws.amazon.com/general/latest/gr/sns.html) na Referência geral da AWS.
## Excluir políticas de proteção de dados usando o console
**Como excluir uma política de proteção de dados gerenciados usando o console**
1. Faça login no console [do Amazon SNS](https://console.aws.amazon.com/sns/home).
1. Selecione o tópico que contém a política de proteção de dados que você deseja excluir.
1. Escolha **Editar**.
1. Expanda a seção **Data protection policy** (Política de proteção de dados).
1. Selecione **Remove** (Remover) ao lado da declaração da política de proteção de dados que você deseja remover.
1. Escolha **Salvar alterações**.
## Excluir uma política de proteção de dados usando uma string JSON em branco
Você pode excluir uma política de proteção de dados atualizando-a para uma string JSON em branco.
## Excluindo uma política de proteção de dados usando o AWS CLI
Você pode excluir uma política de proteção de dados usando a AWS CLI.
`//aws sns put-data-protection-policy --resource-arn topic-arn --data-protection-policy ""`