As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Ajude a proteger dados de log confidenciais com mascaramento
Você pode ajudar a proteger dados confidenciais que são ingeridos pelo CloudWatch Logs usando políticas de proteção de dados do grupo de logs. Essas políticas permitem auditar e mascarar dados confidenciais que aparecem nos eventos de log consumidos pelos grupos de logs na sua conta.
Ao criar uma política de proteção de dados, por padrão, os dados confidenciais que correspondam aos identificadores de dados que você selecionou são mascarados em todos os pontos de saída, incluindo o CloudWatch Logs Insights, filtros de métricas e filtros de assinatura. Somente usuários com a permissão do IAM logs:Unmask podem visualizar dados não mascarados.
Você pode criar uma política de proteção de dados para todos os grupos de logs da sua conta, além de criar políticas de proteção de dados para grupos de logs individuais. Ao criar uma política para toda a conta, ela se aplica tanto aos grupos de logs existentes quanto aos grupos de logs que forem criados no futuro.
Se você criar uma política de proteção de dados para toda a conta e também criar uma política para um único grupo de logs, as duas políticas serão aplicáveis a esse grupo de logs. Todos os identificadores de dados gerenciados especificados em qualquer política são auditados e mascarados nesse grupo de logs.
nota
O mascaramento de dados confidenciais só é compatível com grupos de logs da classe de logs Padrão. Se você criar uma política de proteção de dados para todos os grupos de logs da sua conta, ela só se aplicará aos grupos de logs da classe de logs Padrão. Para obter mais informações sobre classes de logs, consulte Classes de logs.
Cada grupo de logs pode ter somente uma política de proteção de dados em nível de grupo de logs, mas essa política pode especificar vários identificadores de dados gerenciados para auditoria e mascaramento. O limite de uma política de proteção de dados é de 30.720 caracteres.
Importante
Os dados confidenciais são detectados e mascarados quando são ingeridos no grupo de logs. Quando você define uma política de proteção de dados, os eventos de log ingeridos no grupo de logs antes dessa hora não são mascarados.
O CloudWatch Logs é compatível com muitos identificadores de dados gerenciados, que oferecem tipos de dados pré-configurados que você pode selecionar para proteger dados financeiros, informações médicas pessoais (PHI) e informações de identificação pessoal (PII). A proteção de dados do CloudWatch Logs permite que você aproveite modelos de correspondência de padrões e machine learning para detectar dados confidenciais. Para alguns tipos de dados, a detecção depende também de certas palavras-chave serem encontradas próximas aos dados confidenciais. Também é possível usar identificadores de dados personalizados para criar identificadores de dados personalizados para um caso de uso específico.
Uma métrica é emitida para o CloudWatch quando são detectados dados confidenciais que correspondem aos identificadores de dados selecionados. Essa é a métrica LogEventsWithFindings e é emitida no namespace AWS/Logs. Você pode usar essa métrica para criar alarmes do CloudWatch e visualizá-la em gráficos e painéis. As métricas emitidas pela proteção de dados são métricas vendidas e gratuitas. Para obter mais informações sobre as métricas que o CloudWatch Logs envia para o CloudWatch, consulte Monitorar com métricas do CloudWatch.
Cada identificador de dados gerenciado é projetado para detectar um tipo específico de dados sigilosos, como números de cartão de crédito, chaves de acesso secretas da AWS ou números de passaporte de determinado país ou região. Ao criar uma política de proteção de dados, você pode configurá-la para usar esses identificadores para analisar logs ingeridos pelo grupo de logs e executar ações quando forem detectados.
A proteção de dados do CloudWatch Logs pode detectar as seguintes categorias de dados confidenciais usando identificadores de dados gerenciados:
Credenciais, como chaves privadas ou chaves de acesso secretas AWS
Informações financeiras, como números de cartão de crédito
Informações de identificação pessoal (PII), como carteiras de motorista ou números de previdência social
Informações de saúde protegidas (PHI), como seguro de saúde ou números de identificação médica
Identificadores de dispositivos, como endereços IP ou endereços MAC
Para obter detalhes sobre os tipos de dados que você pode proteger, consulte Tipos de dados que você pode proteger.
Sumário
- Noções básicas sobre políticas de proteção de dados
- Permissões de IAM necessárias para criar ou trabalhar com uma política de proteção de dados
- Criar uma política de proteção de dados para toda a conta
- Criar uma política de proteção de dados para um único grupo de logs
- Exibir dados não mascarados
- Relatórios de descobertas de auditoria
- Tipos de dados que você pode proteger
- Identificadores de dados gerenciados do CloudWatch Logs para tipos de dados confidenciais
- Credenciais
- Identificadores de dispositivo
- Informações financeiras
- Informações de saúde protegidas (PHI)
- Informações de identificação pessoal (PII)
- Palavras-chave para números de identificação da carteira de habilitação
- Palavras-chave para números de identificação nacional
- Palavras-chave para números de passaporte
- Palavras-chave para identificação do contribuinte e números de referência
- ARNs do identificador de dados de informações de identificação pessoal (PII)
- Identificadores de dados personalizados
- Identificadores de dados gerenciados do CloudWatch Logs para tipos de dados confidenciais
