As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Criar uma política de proteção de dados para toda a conta
Você pode usar o console de CloudWatch registros ou AWS CLI os comandos para criar uma política de proteção de dados para mascarar dados confidenciais de todos os grupos de registros em sua conta. Isso afeta os grupos de logs atuais e os grupos de logs que você criar no futuro.
Importante
Os dados confidenciais são detectados e mascarados quando são ingeridos no grupo de logs. Quando você define uma política de proteção de dados, os eventos de log ingeridos no grupo de logs antes dessa hora não são mascarados.
Console
Para usar o console a fim de criar uma política de proteção de dados para toda a conta
-
Abra o CloudWatch console em https://console.aws.amazon.com/cloudwatch/
. -
No painel de navegação, selecione Configurações. Ele está localizado no final da lista.
Escolha a guia Logs.
Selecione Configurar.
Em Identificadores de dados gerenciados, selecione os tipos de dados que você deseja auditar e mascarar para todos os grupos de logs. Você pode digitar na caixa de seleção para encontrar os identificadores que deseja.
Recomendamos que você selecione apenas os identificadores de dados relevantes para seus dados de log e sua empresa. A escolha de muitos tipos de dados pode levar a falsos positivos.
Para obter detalhes sobre quais tipos de dados que você pode proteger, consulte Tipos de dados que você pode proteger.
(Opcional) Se você quiser auditar e mascarar outros tipos de dados usando identificadores de dados personalizados, escolha Adicionar identificador de dados personalizado. Em seguida, insira um nome para o tipo de dados e a expressão regular a ser usada para pesquisar esse tipo de dados nos eventos de log. Para obter mais informações, consulte Identificadores de dados personalizados.
Uma única política de proteção de dados pode incluir até 10 identificadores de dados personalizados. Cada expressão regular que define um identificador de dados personalizado deve ter no máximo 200 caracteres.
(Opcional) Escolha um ou mais serviços para enviar as descobertas da auditoria. Mesmo se você optar por não enviar descobertas de auditoria a nenhum desses serviços, os tipos de dados confidenciais selecionados ainda serão mascarados.
Escolha Activate data protection (Ativar proteção de dados).
AWS CLI
Para usar o AWS CLI para criar uma política de proteção de dados
Use um editor de texto para criar um arquivo de política chamado
DataProtectionPolicy.json. Para obter informações sobre a sintaxe da política, consulte a seção a seguir.Digite o comando :
aws logs put-account-policy \ --policy-name TEST_POLICY --policy-type "DATA_PROTECTION_POLICY" \ --policy-document file://policy.json \ --scope "ALL" \ --regionus-west-2
Sintaxe da política de proteção de dados para AWS CLI nossas operações API
Quando você cria uma política de proteção de JSON dados para usar em um AWS CLI comando ou API operação, a política deve incluir dois JSON blocos:
O primeiro bloco deve incluir uma matriz
DataIdentifere uma propriedadeOperationcom uma açãoAudit. A matrizDataIdentiferfaz uma lista com os tipos de dados sigilosos que você deseja mascarar. Para obter mais informações sobre as opções disponíveis, consulte Tipos de dados que você pode proteger.A propriedade
Operationcom uma açãoAudité necessária para encontrar os termos de dados confidenciais. Essa açãoAuditdeve conter um objetoFindingsDestination. Opcionalmente, você pode usar esse objetoFindingsDestinationpara listar um ou mais destinos para enviar relatórios de descobertas de auditoria. Se você especificar destinos como grupos de logs, fluxos do Amazon Data Firehose e buckets do S3, eles já deverão existir. Para obter um exemplo de um relatório de constatações de auditoria, consulte Relatórios de descobertas de auditoria.O segundo bloco deve incluir uma matriz
DataIdentifere uma propriedadeOperationcom uma açãoDeidentify. A matrizDataIdentiferdeve corresponder exatamente à matrizDataIdentiferno primeiro bloco da política.A propriedade
Operationcom a açãoDeidentifyé o que realmente mascara os dados e deve conter o objeto"MaskConfig": {}. O objeto"MaskConfig": {}deve estar vazio.
O exemplo de política de proteção de dados a seguir só usa identificadores de dados gerenciados. Essa política mascara os endereços de e-mail e as carteiras de habilitação dos Estados Unidos.
Para obter informações sobre políticas que especificam identificadores de dados personalizados, consulte Usar identificadores de dados personalizados na política de proteção de dados.
{ "Name": "data-protection-policy", "Description": "test description", "Version": "2021-06-01", "Statement": [{ "Sid": "audit-policy", "DataIdentifier": [ "arn:aws:dataprotection::aws:data-identifier/EmailAddress", "arn:aws:dataprotection::aws:data-identifier/DriversLicense-US" ], "Operation": { "Audit": { "FindingsDestination": { "CloudWatchLogs": { "LogGroup": "EXISTING_LOG_GROUP_IN_YOUR_ACCOUNT," }, "Firehose": { "DeliveryStream": "EXISTING_STREAM_IN_YOUR_ACCOUNT" }, "S3": { "Bucket": "EXISTING_BUCKET" } } } } }, { "Sid": "redact-policy", "DataIdentifier": [ "arn:aws:dataprotection::aws:data-identifier/EmailAddress", "arn:aws:dataprotection::aws:data-identifier/DriversLicense-US" ], "Operation": { "Deidentify": { "MaskConfig": {} } } } ] }
