Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Permisos de IAM requeridos para crear una política de protección de datos o trabajar con ella
Para poder trabajar con políticas de protección de datos para los grupos de registro, debe tener ciertos permisos, como se muestra en las tablas siguientes. Los permisos son diferentes para las políticas de protección de datos de toda la cuenta y para las políticas de protección de datos que se aplican a un único grupo de registro.
Permisos necesarios para las políticas de protección de datos de la cuenta
nota
Si realiza alguna de estas operaciones dentro de una función de Lambda, el rol de ejecución de Lambda y el límite de permisos también deben incluir los siguientes permisos.
| Operación | Se necesita permiso de IAM | Recurso |
|---|---|---|
|
Crear una política de protección de datos sin destinos de auditoría |
|
|
|
|
|
|
|
Crea una política de protección de datos con CloudWatch Logs como destino de la auditoría |
|
|
|
|
| |
|
|
| |
|
| |
|
| |
|
| |
|
Crear una política de protección de datos con Kinesis Data Firehose como destino de auditoría |
|
|
|
| |
|
| |
|
| |
|
Crear una política de protección de datos con Amazon S3 como destino de auditoría |
|
|
|
| |
|
| |
|
| |
|
| |
|
Desenmascarar eventos de registro en un grupo de registro especificado |
|
|
|
Ver una política de protección de datos existente |
|
|
|
Eliminar una política de protección de datos |
|
|
|
|
Si ya se están enviando registros de auditoría de protección de datos a algún destino, las demás políticas que envíen registros al mismo destino solo necesitan los permisos logs:PutDataProtectionPolicy y logs:CreateLogDelivery.
Permisos necesarios para las políticas de protección de datos de un único grupo de registro
nota
Si realiza alguna de estas operaciones dentro de una función de Lambda, el rol de ejecución de Lambda y el límite de permisos también deben incluir los siguientes permisos.
| Operación | Se necesita permiso de IAM | Recurso |
|---|---|---|
|
Crear una política de protección de datos sin destinos de auditoría |
|
|
|
Cree una política de protección de datos con CloudWatch Logs como destino de auditoría |
|
|
|
Crear una política de protección de datos con Kinesis Data Firehose como destino de auditoría |
|
|
|
Create a data protection policy with Amazon S3 as an audit destination |
|
|
|
Unmask masked log events |
|
|
|
View an existing data protection policy |
|
|
|
Eliminar una política de protección de datos |
|
|
Si ya se están enviando registros de auditoría de protección de datos a algún destino, las demás políticas que envíen registros al mismo destino solo necesitan los permisos logs:PutDataProtectionPolicy y logs:CreateLogDelivery.
Política de protección de datos de ejemplo
La siguiente política de ejemplo permite al usuario crear, visualizar y eliminar las políticas de protección de datos que pueden enviar los resultados de las auditorías a los tres tipos de destinos de auditoría. No permite que el usuario vea los datos desenmascarados.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "YOUR_SID_1", "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:PutResourcePolicy", "logs:DescribeLogGroups", "logs:DescribeResourcePolicies" ], "Resource": "*" }, { "Sid": "YOUR_SID_2", "Effect": "Allow", "Action": [ "logs:GetDataProtectionPolicy", "logs:DeleteDataProtectionPolicy", "logs:PutDataProtectionPolicy", "s3:PutBucketPolicy", "firehose:TagDeliveryStream", "s3:GetBucketPolicy" ], "Resource": [ "arn:aws:firehose:::deliverystream/YOUR_DELIVERY_STREAM", "arn:aws:s3:::YOUR_BUCKET", "arn:aws:logs:::log-group:YOUR_LOG_GROUP:*" ] } ] }
