Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Creación de una política de protección de datos para toda la cuenta
Puedes usar la consola o los AWS CLI comandos de CloudWatch Logs para crear una política de protección de datos que oculte los datos confidenciales de todos los grupos de registros de tu cuenta. Esto afectará tanto a los grupos de registro actuales como a los que cree en el futuro.
importante
Los datos confidenciales se detectan y enmascaran cuando se introducen en el grupo de registro. Al establecer una política de protección de datos, los eventos de registro que se introducen en el grupo de registro antes de esa hora no se enmascaran.
Consola
Para utilizar la consola con el fin de crear una política de protección de datos para toda la cuenta
-
Abre la CloudWatch consola en https://console.aws.amazon.com/cloudwatch/
. -
En el panel de navegación, seleccione Configuración. Se encuentra cerca del final de la lista.
Elija la pestaña Logs (Registros).
Elija Configurar.
En Identificadores de datos administrados, seleccione los tipos de datos que desea auditar y enmascarar para todos sus grupos de registro. Puede escribir en el cuadro de selección para buscar los identificadores que desee.
Le recomendamos que seleccione solo los identificadores de datos que sean relevantes para sus datos de registro y para su empresa. Elegir muchos tipos de datos puede generar falsos positivos.
Para obtener más información sobre qué tipos de datos puede proteger, consulte Tipos de datos que puede proteger.
(Opcional) Si quiere auditar y enmascarar otros tipos de datos mediante identificadores de datos personalizados, seleccione Agregar identificador de datos personalizado. A continuación, introduzca un nombre para el tipo de datos y la expresión regular que desee utilizar para buscar ese tipo de datos en los eventos de registro. Para obtener más información, consulte Identificadores de datos personalizados.
Una única política de protección de datos puede incluir hasta 10 identificadores de datos personalizados. Cada expresión regular que define un identificador de datos personalizado debe tener 200 caracteres o menos.
(Opcional) Elija uno o más servicios a los que se deben enviar los resultados de la auditoría. Incluso si decide no enviar los resultados de la auditoría a ninguno de estos servicios, los tipos de datos confidenciales que seleccione seguirán ocultos.
Seleccione Activate data protection (Activar protección de datos).
AWS CLI
Para usar el AWS CLI para crear una política de protección de datos
Utilice un editor de texto para crear un archivo de política llamado
DataProtectionPolicy.json. Para obtener información sobre la sintaxis de la política, consulte la siguiente sección.Escriba el siguiente comando:
aws logs put-account-policy \ --policy-name TEST_POLICY --policy-type "DATA_PROTECTION_POLICY" \ --policy-document file://policy.json \ --scope "ALL" \ --regionus-west-2
Sintaxis de la política de protección de datos para AWS CLI nuestras API operaciones
Al crear una política de protección de JSON datos para utilizarla en un AWS CLI comando u API operación, la política debe incluir dos JSON bloques:
El primer bloque debe incluir tanto una matriz
DataIdentifercomo una propiedadOperationcon una acciónAudit. La matrizDataIdentiferbusca los tipos de datos confidenciales que desea enmascarar. Para obtener más información sobre las opciones disponibles, consulte Tipos de datos que puede proteger.La propiedad
Operationcon una acciónAudites necesaria para encontrar los términos de datos confidenciales. Esta acciónAuditdebe contener un objetoFindingsDestination. De forma opcional, puede utilizar ese objetoFindingsDestinationpara enumerar uno o más destinos a los que se deben enviar los informes de resultados de la auditoría. Si especifica destinos como grupos de registro, flujos de Amazon Data Firehose y buckets de S3, ya deben existir. Para ver un ejemplo de un informe de resultados de auditoría, consulte Informes de resultados de auditoría.El segundo bloque debe incluir tanto una matriz
DataIdentifercomo una propiedadOperationcon una acciónDeidentify. La matrizDataIdentiferdebe coincidir exactamente con la matrizDataIdentiferdel primer bloque de la política.La propiedad
Operationcon la acciónDeidentifyes lo que realmente enmascara los datos y debe contener el objeto"MaskConfig": {}. El objeto"MaskConfig": {}debe estar vacío.
En el siguiente ejemplo verá una política de protección de datos que utiliza solo identificadores de datos administrados. Esta política enmascara las direcciones de correo electrónico y los permisos de conducir de los Estados Unidos.
Para obtener información sobre las políticas que especifican identificadores de datos personalizados, consulte Uso de identificadores de datos personalizados en la política de protección de datos.
{ "Name": "data-protection-policy", "Description": "test description", "Version": "2021-06-01", "Statement": [{ "Sid": "audit-policy", "DataIdentifier": [ "arn:aws:dataprotection::aws:data-identifier/EmailAddress", "arn:aws:dataprotection::aws:data-identifier/DriversLicense-US" ], "Operation": { "Audit": { "FindingsDestination": { "CloudWatchLogs": { "LogGroup": "EXISTING_LOG_GROUP_IN_YOUR_ACCOUNT," }, "Firehose": { "DeliveryStream": "EXISTING_STREAM_IN_YOUR_ACCOUNT" }, "S3": { "Bucket": "EXISTING_BUCKET" } } } } }, { "Sid": "redact-policy", "DataIdentifier": [ "arn:aws:dataprotection::aws:data-identifier/EmailAddress", "arn:aws:dataprotection::aws:data-identifier/DriversLicense-US" ], "Operation": { "Deidentify": { "MaskConfig": {} } } } ] }
