Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Ayude a proteger los datos de registro confidenciales con el enmascaramiento
Puedes ayudar a proteger los datos confidenciales que ingiere CloudWatch Logs mediante las políticas de protección de datos de los grupos de registros. Estas políticas le permiten auditar y enmascarar los datos confidenciales que aparecen en los eventos de registro incorporados por los grupos de registro en su cuenta.
Cuando creas una política de protección de datos, de forma predeterminada, los datos confidenciales que coincidan con los identificadores de datos que has seleccionado se ocultan en todos los puntos de salida, incluidos CloudWatch Logs Insights, los filtros de métricas y los filtros de suscripción. Solo los usuarios que tienen el permiso de IAM de logs:Unmask pueden ver los datos desenmascarados.
Puede crear una política de protección de datos para todos los grupos de registro de su cuenta y, también, puede crear políticas de protección de datos para grupos de registro individuales. Al crear una política para toda la cuenta, se aplica tanto a los grupos de registro existentes como a los que se creen en el futuro.
Si crea una política de protección de datos para toda su cuenta y también crea una política para un único grupo de registro, ambas políticas se aplican a ese grupo de registro. Todos los identificadores de datos administrados que se especifican en cualquiera de las políticas se auditan y enmascaran en ese grupo de registros.
Cada grupo de registro solo puede tener una política de protección de datos a nivel de grupo de registro, pero esa política puede especificar varios identificadores de datos administrados para auditarlos y enmascararlos. El límite de una política de protección de datos es de 30 720 caracteres.
importante
Los datos confidenciales se detectan y enmascaran cuando se introducen en el grupo de registro. Al establecer una política de protección de datos, los eventos de registro que se introducen en el grupo de registro antes de esa hora no se enmascaran.
CloudWatch La protección de datos de Logs te permite aprovechar los modelos de aprendizaje automático y de coincidencia de patrones para detectar datos confidenciales. Los criterios y técnicas utilizados se denominan identificadores de datos administrados. Las técnicas pueden detectar una larga lista de tipos de datos confidenciales para muchos países y regiones, incluidos datos financieros, información de identificación personal e información de salud protegida. Para algunos tipos de datos, la detección también depende de encontrar ciertas palabras clave que rodeen los datos confidenciales.
Se emite una métrica CloudWatch cuando se detectan datos confidenciales que coinciden con los identificadores de datos que ha seleccionado. Esta es la LogEventsWithFindingsmétrica y se emite en el espacio de nombres AWS/Logs. Puede usar esta métrica para crear CloudWatch alarmas y visualizarla en gráficos y paneles. Las métricas emitidas por la protección de datos son métricas proporcionadas y son gratuitas. Para obtener más información sobre las métricas a las que envía CloudWatch Logs CloudWatch, consulteMonitoreo con métricas de CloudWatch.
Cada identificador de datos gestionados está diseñado para detectar un tipo específico de datos confidenciales, como números de tarjetas de crédito, claves de acceso AWS secretas o números de pasaporte de un país o región determinados. Al crear una política de protección de datos, puede configurarla para que utilice estos identificadores con el fin de analizar los registros que se introducen en el grupo de registro y tomar medidas cuando se detecten.
CloudWatch La protección de datos de los registros puede detectar las siguientes categorías de datos confidenciales mediante identificadores de datos gestionados:
Credenciales, como claves privadas o claves de acceso AWS secretas
Información financiera, como números de tarjetas de crédito
Información de identificación personal (PII), como licencias de conducir o números de la seguridad social
Información médica protegida (PHI), como números de seguro médico o identificación médica
Identificadores de dispositivos, como direcciones IP o direcciones MAC
Para obtener más información sobre los tipos de datos que puede proteger, consulte Tipos de datos que puede proteger.
Contenido
- Descripción de las políticas de protección de datos
- Permisos de IAM requeridos para crear una política de protección de datos o trabajar con ella
- Creación de una política de protección de datos para toda la cuenta
- Creación de una política de protección de datos para un único grupo de registro
- Visualización de datos desenmascarados
- Informes de resultados de auditoría
- Tipos de datos que puede proteger
- CloudWatch Registra los identificadores de datos gestionados para tipos de datos confidenciales
- Credenciales
- Identificadores de dispositivos
- Información financiera
- Información médica protegida (PHI)
- Información de identificación personal (PII)
- Palabras clave de números de identificación del permiso de conducir
- Palabras clave para números de documentos nacionales de identificación
- Palabras clave para números de pasaporte
- Palabras clave para números de identificación y referencia del contribuyente
- ARN de identificadores de datos para la información de identificación personal (PII)
