Creación de una política de protección de datos para un único grupo de registro

Puedes usar la consola de CloudWatch Logs o AWS CLI comandos para crear una política de protección de datos que oculte los datos confidenciales.

Puede asignar una política de protección de datos a cada grupo de registro. Cada política de protección de datos puede auditar varios tipos de información. Cada política de protección de datos puede incluir una declaración de auditoría.

Consola

Para utilizar la consola con el fin de crear una política de protección de datos

1. Abra la CloudWatch consola en https://console.aws.amazon.com/cloudwatch/.

2. En el panel de navegación, seleccione Registros, Grupos de registros.

3. Elija el nombre del grupo de registros.

4. Elija Actions (Acciones), Create data protection policy (Crear política de protección de datos).

5. En el caso de los identificadores de datos gestionados, seleccione los tipos de datos que desee auditar y ocultar en este grupo de registros. Puede escribir en el cuadro de selección para buscar los identificadores que desee.

   Le recomendamos que seleccione solo los identificadores de datos que sean relevantes para sus datos de registro y para su empresa. Elegir muchos tipos de datos puede generar falsos positivos.

   Para obtener más información sobre los tipos de datos que puede proteger mediante identificadores de datos gestionados, consulte. Tipos de datos que puede proteger

6. (Opcional) Si desea auditar y enmascarar otros tipos de datos mediante identificadores de datos personalizados, elija Agregar identificador de datos personalizado. A continuación, introduzca un nombre para el tipo de datos y la expresión regular que desee utilizar para buscar ese tipo de datos en el registro de eventos. Para obtener más información, consulte Identificadores de datos personalizados.

   Una única política de protección de datos puede incluir hasta 10 identificadores de datos personalizados. Cada expresión regular que defina un identificador de datos personalizado debe tener 200 caracteres o menos.

7. (Opcional) Elija uno o más servicios a los que se deben enviar los resultados de la auditoría. Incluso si decide no enviar los resultados de la auditoría a ninguno de estos servicios, los tipos de datos confidenciales que seleccione seguirán ocultos.

8. Seleccione Activate data protection (Activar protección de datos).

AWS CLI

Para utilizar el AWS CLI para crear una política de protección de datos

1. Utilice un editor de texto para crear un archivo de política llamado DataProtectionPolicy.json. Para obtener información sobre la sintaxis de la política, consulte la siguiente sección.

2. Escriba el siguiente comando:

   aws logs put-data-protection-policy --log-group-identifier "my-log-group" --policy-document file:///Path/DataProtectionPolicy.json --region us-west-2

Sintaxis de la política de protección de datos para AWS CLI o API operaciones

Cuando crea una política de protección de JSON datos para utilizarla en un AWS CLI comando u API operación, la política debe incluir dos JSON bloques:

• El primer bloque debe incluir tanto una matriz DataIdentifer como una propiedad Operation con una acción Audit. La matriz DataIdentifer busca los tipos de datos confidenciales que desea enmascarar. Para obtener más información sobre las opciones disponibles, consulte Tipos de datos que puede proteger.

  La propiedad Operation con una acción Audit es necesaria para encontrar los términos de datos confidenciales. Esta acción Audit debe contener un objeto FindingsDestination. De forma opcional, puede utilizar ese objeto FindingsDestination para enumerar uno o más destinos a los que se deben enviar los informes de resultados de la auditoría. Si especifica destinos como grupos de registros, transmisiones de Amazon Data Firehose y buckets S3, es necesario que ya existan. Para ver un ejemplo de un informe de resultados de auditoría, consulte Informes de resultados de auditoría.

• El segundo bloque debe incluir tanto una matriz DataIdentifer como una propiedad Operation con una acción Deidentify. La matriz DataIdentifer debe coincidir exactamente con la matriz DataIdentifer del primer bloque de la política.

  La propiedad Operation con la acción Deidentify es lo que realmente enmascara los datos y debe contener el objeto "MaskConfig": {}. El objeto "MaskConfig": {} debe estar vacío.

El siguiente es un ejemplo de una política de protección de datos que enmascara las direcciones de correo electrónico y las licencias de conducir de los Estados Unidos.

{
    "Name": "data-protection-policy",
    "Description": "test description",
    "Version": "2021-06-01",
    "Statement": [{
            "Sid": "audit-policy",
            "DataIdentifier": [
                "arn:aws:dataprotection::aws:data-identifier/EmailAddress",
                "arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
            ],
            "Operation": {
                "Audit": {
                    "FindingsDestination": {
                        "CloudWatchLogs": {
                            "LogGroup": "EXISTING_LOG_GROUP_IN_YOUR_ACCOUNT,"
                        },
                        "Firehose": {
                            "DeliveryStream": "EXISTING_STREAM_IN_YOUR_ACCOUNT"
                        },
                        "S3": {
                            "Bucket": "EXISTING_BUCKET"
                        }
                    }
                }
            }
        },
        {
            "Sid": "redact-policy",
            "DataIdentifier": [
                "arn:aws:dataprotection::aws:data-identifier/EmailAddress",
                "arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
            ],
            "Operation": {
                "Deidentify": {
                    "MaskConfig": {}
                }
            }
        }
    ]
}