Creación de una política de protección de datos para un único grupo de registro - Amazon CloudWatch Logs
ConsolaAWS CLI

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Creación de una política de protección de datos para un único grupo de registro

Puedes usar la consola o los AWS CLI comandos de CloudWatch Logs para crear una política de protección de datos que oculte los datos confidenciales.

Puede asignar una política de protección de datos a cada grupo de registro. Cada política de protección de datos puede auditar varios tipos de información. Cada política de protección de datos puede incluir una declaración de auditoría.

Consola

Para utilizar la consola con el fin de crear una política de protección de datos

  1. Abre la CloudWatch consola en https://console.aws.amazon.com/cloudwatch/.

  2. En el panel de navegación, elija Logs (Registros), Log groups (Grupos de registro).

  3. Elija el nombre del grupo de registro.

  4. Elija Actions (Acciones), Create data protection policy (Crear política de protección de datos).

  5. En Identificadores de datos administrados, seleccione los tipos de datos que desea auditar y enmascarar en este grupo de registro. Puede escribir en el cuadro de selección para buscar los identificadores que desee.

    Le recomendamos que seleccione solo los identificadores de datos que sean relevantes para sus datos de registro y para su empresa. Elegir muchos tipos de datos puede generar falsos positivos.

    Para obtener más información sobre qué tipos de datos puede proteger mediante los identificadores de datos administrados, consulte Tipos de datos que puede proteger.

  6. (Opcional) Si quiere auditar y enmascarar otros tipos de datos mediante identificadores de datos personalizados, seleccione Agregar identificador de datos personalizado. A continuación, introduzca un nombre para el tipo de datos y la expresión regular que desee utilizar para buscar ese tipo de datos en los eventos de registro. Para obtener más información, consulte Identificadores de datos personalizados.

    Una única política de protección de datos puede incluir hasta 10 identificadores de datos personalizados. Cada expresión regular que define un identificador de datos personalizado debe tener 200 caracteres o menos.

  7. (Opcional) Elija uno o más servicios a los que se deben enviar los resultados de la auditoría. Incluso si decide no enviar los resultados de la auditoría a ninguno de estos servicios, los tipos de datos confidenciales que seleccione seguirán ocultos.

  8. Seleccione Activate data protection (Activar protección de datos).

AWS CLI

Para usar el AWS CLI para crear una política de protección de datos

  1. Utilice un editor de texto para crear un archivo de política llamado DataProtectionPolicy.json. Para obtener información sobre la sintaxis de la política, consulte la siguiente sección.

  2. Escriba el siguiente comando:

    aws logs put-data-protection-policy --log-group-identifier "my-log-group" --policy-document file:///Path/DataProtectionPolicy.json --region us-west-2

Sintaxis de la política de protección de datos para AWS CLI nuestras API operaciones

Al crear una política de protección de JSON datos para utilizarla en un AWS CLI comando u API operación, la política debe incluir dos JSON bloques:

  • El primer bloque debe incluir tanto una matriz DataIdentifer como una propiedad Operation con una acción Audit. La matriz DataIdentifer busca los tipos de datos confidenciales que desea enmascarar. Para obtener más información sobre las opciones disponibles, consulte Tipos de datos que puede proteger.

    La propiedad Operation con una acción Audit es necesaria para encontrar los términos de datos confidenciales. Esta acción Audit debe contener un objeto FindingsDestination. De forma opcional, puede utilizar ese objeto FindingsDestination para enumerar uno o más destinos a los que se deben enviar los informes de resultados de la auditoría. Si especifica destinos como grupos de registro, flujos de Amazon Data Firehose y buckets de S3, ya deben existir. Para ver un ejemplo de un informe de resultados de auditoría, consulte Informes de resultados de auditoría.

  • El segundo bloque debe incluir tanto una matriz DataIdentifer como una propiedad Operation con una acción Deidentify. La matriz DataIdentifer debe coincidir exactamente con la matriz DataIdentifer del primer bloque de la política.

    La propiedad Operation con la acción Deidentify es lo que realmente enmascara los datos y debe contener el objeto "MaskConfig": {}. El objeto "MaskConfig": {} debe estar vacío.

El siguiente es un ejemplo de una política de protección de datos que enmascara las direcciones de correo electrónico y las licencias de conducir de los Estados Unidos.

{
    "Name": "data-protection-policy",
    "Description": "test description",
    "Version": "2021-06-01",
    "Statement": [{
            "Sid": "audit-policy",
            "DataIdentifier": [
                "arn:aws:dataprotection::aws:data-identifier/EmailAddress",
                "arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
            ],
            "Operation": {
                "Audit": {
                    "FindingsDestination": {
                        "CloudWatchLogs": {
                            "LogGroup": "EXISTING_LOG_GROUP_IN_YOUR_ACCOUNT,"
                        },
                        "Firehose": {
                            "DeliveryStream": "EXISTING_STREAM_IN_YOUR_ACCOUNT"
                        },
                        "S3": {
                            "Bucket": "EXISTING_BUCKET"
                        }
                    }
                }
            }
        },
        {
            "Sid": "redact-policy",
            "DataIdentifier": [
                "arn:aws:dataprotection::aws:data-identifier/EmailAddress",
                "arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
            ],
            "Operation": {
                "Deidentify": {
                    "MaskConfig": {}
                }
            }
        }
    ]
}