Criar uma política de proteção de dados para um único grupo de logs - CloudWatch Registros da Amazon
ConsoleAWS CLI

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criar uma política de proteção de dados para um único grupo de logs

Você pode usar o console ou os comandos AWS CLI do CloudWatch Logs para criar uma política de proteção de dados para mascarar dados confidenciais.

Você pode atribuir uma política de proteção de dados a cada grupo de logs. Cada política de proteção de dados pode auditar vários tipos de informações. Cada política de proteção de dados pode incluir uma declaração de auditoria.

Console

Para usar o console para criar uma política de proteção de dados

  1. Abra o console do CloudWatch em https://console.aws.amazon.com/cloudwatch/.

  2. No painel de navegação, escolha Logs, Log groups (Grupos de log).

  3. Escolha o nome do grupo de logs.

  4. Escolha Actions (Ações), Create data protection policy (Criar política de proteção de dados).

  5. Em Identificadores de dados gerenciados, selecione os tipos de dados que você deseja auditar e mascarar nesse grupo de logs. Você pode digitar na caixa de seleção para encontrar os identificadores que deseja.

    Recomendamos que você selecione apenas os identificadores de dados relevantes para seus dados de log e sua empresa. A escolha de muitos tipos de dados pode levar a falsos positivos.

    Para obter detalhes sobre quais são os tipos de dados que você pode proteger, consulte Tipos de dados que você pode proteger.

  6. (Opcional) Se você quiser auditar e mascarar outros tipos de dados usando identificadores de dados personalizados, escolha Adicionar identificador de dados personalizado. Em seguida, insira um nome para o tipo de dados e a expressão regular a ser usada para pesquisar esse tipo de dados nos eventos de log. Para ter mais informações, consulte Identificadores de dados personalizados.

    Uma única política de proteção de dados pode incluir até 10 identificadores de dados personalizados. Cada expressão regular que define um identificador de dados personalizado deve ter no máximo 200 caracteres.

  7. (Opcional) Escolha um ou mais serviços para enviar as descobertas da auditoria. Mesmo se você optar por não enviar descobertas de auditoria a nenhum desses serviços, os tipos de dados confidenciais selecionados ainda serão mascarados.

  8. Escolha Activate data protection (Ativar proteção de dados).

AWS CLI

Para usar o AWS CLI para criar uma política de proteção de dados

  1. Use um editor de texto para criar um arquivo de política chamado DataProtectionPolicy.json. Para obter informações sobre a sintaxe da política, consulte a seção a seguir.

  2. Digite o comando :

    aws logs put-data-protection-policy --log-group-identifier "my-log-group" --policy-document file:///Path/DataProtectionPolicy.json --region us-west-2

Sintaxe da política de proteção de dados para operações de API e AWS CLI

Quando você cria uma política de proteção de dados JSON para usar em um comando AWS CLI ou operação de API, a política deve incluir dois blocos JSON:

  • O primeiro bloco deve incluir uma matriz DataIdentifer e uma propriedade Operation com uma ação Audit. A matriz DataIdentifer faz uma lista com os tipos de dados sigilosos que você deseja mascarar. Para obter mais informações sobre as opções disponíveis, consulte Tipos de dados que você pode proteger.

    A propriedade Operation com uma ação Audit é necessária para encontrar os termos de dados confidenciais. Essa ação Audit deve conter um objeto FindingsDestination. Opcionalmente, você pode usar esse objeto FindingsDestination para listar um ou mais destinos para enviar relatórios de descobertas de auditoria. Se você especificar destinos como grupos de logs, fluxos do Amazon Data Firehose e buckets do S3, eles já deverão existir. Para obter um exemplo de um relatório de constatações de auditoria, consulte Relatórios de descobertas de auditoria.

  • O segundo bloco deve incluir uma matriz DataIdentifer e uma propriedade Operation com uma ação Deidentify. A matriz DataIdentifer deve corresponder exatamente à matriz DataIdentifer no primeiro bloco da política.

    A propriedade Operation com a ação Deidentify é o que realmente mascara os dados e deve conter o objeto "MaskConfig": {}. O objeto "MaskConfig": {} deve estar vazio.

Veja a seguir um exemplo de política de proteção de dados que mascara endereços de e-mail e carteiras de habilitação dos Estados Unidos.

{
    "Name": "data-protection-policy",
    "Description": "test description",
    "Version": "2021-06-01",
    "Statement": [{
            "Sid": "audit-policy",
            "DataIdentifier": [
                "arn:aws:dataprotection::aws:data-identifier/EmailAddress",
                "arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
            ],
            "Operation": {
                "Audit": {
                    "FindingsDestination": {
                        "CloudWatchLogs": {
                            "LogGroup": "EXISTING_LOG_GROUP_IN_YOUR_ACCOUNT,"
                        },
                        "Firehose": {
                            "DeliveryStream": "EXISTING_STREAM_IN_YOUR_ACCOUNT"
                        },
                        "S3": {
                            "Bucket": "EXISTING_BUCKET"
                        }
                    }
                }
            }
        },
        {
            "Sid": "redact-policy",
            "DataIdentifier": [
                "arn:aws:dataprotection::aws:data-identifier/EmailAddress",
                "arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
            ],
            "Operation": {
                "Deidentify": {
                    "MaskConfig": {}
                }
            }
        }
    ]
}