Ayude a proteger los datos de registro confidenciales con el enmascaramiento

Puedes ayudar a proteger los datos confidenciales que ingiere CloudWatch Logs mediante las políticas de protección de datos de los grupos de registros. Estas políticas le permiten auditar y enmascarar los datos confidenciales que aparecen en los eventos de registro incorporados por los grupos de registro en su cuenta.

Cuando creas una política de protección de datos, de forma predeterminada, los datos confidenciales que coincidan con los identificadores de datos que has seleccionado se ocultan en todos los puntos de salida, incluidos CloudWatch Logs Insights, los filtros de métricas y los filtros de suscripción. Solo los usuarios que tienen el logs:Unmask IAM permiso pueden ver los datos desenmascarados.

Puede crear una política de protección de datos para todos los grupos de registro de su cuenta y, también, puede crear políticas de protección de datos para grupos de registro individuales. Al crear una política para toda la cuenta, se aplica tanto a los grupos de registro existentes como a los que se creen en el futuro.

Si crea una política de protección de datos para toda su cuenta y también crea una política para un único grupo de registro, ambas políticas se aplican a ese grupo de registro. Todos los identificadores de datos administrados que se especifican en cualquiera de las políticas se auditan y enmascaran en ese grupo de registro.

Cada grupo de registro solo puede tener una política de protección de datos a nivel de grupo de registro, pero esa política puede especificar varios identificadores de datos administrados para auditarlos y enmascararlos. El límite de una política de protección de datos es de 30 720 caracteres.

CloudWatch Los registros admiten muchos identificadores de datos gestionados, que ofrecen tipos de datos preconfigurados que puede seleccionar para proteger los datos financieros, la información de salud personal (PHI) y la información de identificación personal (). PII CloudWatch La protección de los datos de los registros le permite aprovechar los modelos de coincidencia de patrones y aprendizaje automático para detectar datos confidenciales. Para algunos tipos de identificadores de datos administrados, la detección también depende de encontrar ciertas palabras clave que rodeen los datos confidenciales. También puede utilizar identificadores de datos personalizados para crear sus propios identificadores de datos adaptados a su caso de uso específico.

Se emite una métrica CloudWatch cuando se detectan datos confidenciales que coinciden con los identificadores de datos que ha seleccionado. Esta es la LogEventsWithFindingsmétrica y se emite en el espacio de nombres AWS/Logs. Puede usar esta métrica para crear CloudWatch alarmas y visualizarla en gráficos y paneles. Las métricas emitidas por la protección de datos son métricas proporcionadas y son gratuitas. Para obtener más información sobre las métricas a las que envía CloudWatch Logs CloudWatch, consulteMonitorización con CloudWatch métricas.

Cada identificador de datos gestionados está diseñado para detectar un tipo específico de datos confidenciales, como números de tarjetas de crédito, claves de acceso AWS secretas o números de pasaporte de un país o región determinados. Al crear una política de protección de datos, puede configurarla para que utilice estos identificadores con el fin de analizar los registros que se introducen en el grupo de registro y tomar medidas cuando se detecten.

CloudWatch La protección de datos de los registros puede detectar las siguientes categorías de datos confidenciales mediante identificadores de datos gestionados:

Para obtener más información sobre los tipos de datos que puede proteger, consulte Tipos de datos que puede proteger.