Ayude a proteger los datos de registro confidenciales con el enmascaramiento

Puede ayudar a proteger los datos confidenciales que se incorporan a Registros de CloudWatch mediante las políticas de protección de datos de los grupos de registro. Estas políticas le permiten auditar y enmascarar los datos confidenciales que aparecen en los eventos de registro incorporados por los grupos de registro en su cuenta.

Cuando crea una política de protección de datos, se ocultan de forma predeterminada los datos confidenciales que coincidan con los identificadores de datos que seleccione en todos los puntos de salida, incluidos los de Información de registros de CloudWatch, los filtros de métrica y los filtros de suscripción. Solo los usuarios que tienen el permiso de IAM de logs:Unmask pueden ver los datos desenmascarados.

Puede crear una política de protección de datos para todos los grupos de registro de su cuenta y, también, puede crear políticas de protección de datos para grupos de registro individuales. Al crear una política para toda la cuenta, se aplica tanto a los grupos de registro existentes como a los que se creen en el futuro.

Si crea una política de protección de datos para toda su cuenta y también crea una política para un único grupo de registro, ambas políticas se aplican a ese grupo de registro. Todos los identificadores de datos administrados que se especifican en cualquiera de las políticas se auditan y enmascaran en ese grupo de registros.

nota

El enmascaramiento de datos confidenciales solo se admite en los grupos de registros de la clase de registro Estándar. Si crea una política de protección de datos para todos los grupos de registro de su cuenta, se aplicará únicamente a los grupos de registro que tengan la clase de registro Estándar. Para obtener más información acerca de las clases de registros, consulte Clases de registro.

Cada grupo de registro solo puede tener una política de protección de datos a nivel de grupo de registro, pero esa política puede especificar varios identificadores de datos administrados para auditarlos y enmascararlos. El límite de una política de protección de datos es de 30 720 caracteres.

importante

Los datos confidenciales se detectan y enmascaran cuando se introducen en el grupo de registro. Al establecer una política de protección de datos, los eventos de registro que se introducen en el grupo de registro antes de esa hora no se enmascaran.

Registros de CloudWatch admite muchos identificadores de datos administrados, que ofrecen tipos de datos preconfigurados que puede seleccionar para proteger datos financieros, información médica personal (PHI) e información de identificación personal (PII). La protección de datos de Registros de CloudWatch le permite aprovechar los modelos de coincidencia de patrones y machine learning para detectar datos confidenciales. Para algunos tipos de identificadores de datos administrados, la detección también depende de encontrar ciertas palabras clave que rodeen los datos confidenciales. También puede utilizar identificadores de datos personalizados para crear sus propios identificadores de datos adaptados a su caso de uso específico.

Se emite una métrica a CloudWatch cuando se detectan datos confidenciales que coinciden con los identificadores de datos que seleccione. Esta es la métrica LogEventsWithFindings y se emite en el espacio de nombres AWS/Logs. Puede utilizar esta métrica para crear alarmas de CloudWatch y visualizarla en gráficos y paneles. Las métricas emitidas por la protección de datos son métricas proporcionadas y son gratuitas. Para obtener más información sobre las métricas que Registros de CloudWatch envía a CloudWatch, consulte Monitoreo con métricas de CloudWatch.

Cada identificador de datos administrado está diseñado para detectar un tipo específico de datos confidenciales, como números de tarjetas de crédito,claves de acceso secretas de AWS o números de pasaporte de un país o región en particular. Al crear una política de protección de datos, puede configurarla para que utilice estos identificadores con el fin de analizar los registros que se introducen en el grupo de registro y tomar medidas cuando se detecten.

La protección de datos de Registros de CloudWatch puede detectar las siguientes categorías de datos confidenciales mediante identificadores de datos administrados:

• Credenciales, como claves privadas o claves de acceso secretas de AWS

• Información financiera, como números de tarjetas de crédito

• Información de identificación personal (PII), como licencias de conducir o números de la seguridad social

• Información médica protegida (PHI), como números de seguro médico o identificación médica

• Identificadores de dispositivos, como direcciones IP o direcciones MAC

Para obtener más información sobre los tipos de datos que puede proteger, consulte Tipos de datos que puede proteger.

Contenido

• Descripción de las políticas de protección de datos
  • ¿Qué son las políticas de protección de datos?
  • ¿Cómo está estructurada la política de protección de datos?
    • Propiedades JSON para la política de protección de datos
    • Propiedades JSON de una instrucción de política
    • Propiedades JSON de una operación de instrucción de política
• Permisos de IAM requeridos para crear una política de protección de datos o trabajar con ella
  • Permisos necesarios para las políticas de protección de datos de la cuenta
  • Permisos necesarios para las políticas de protección de datos de un único grupo de registro
  • Política de protección de datos de ejemplo
• Creación de una política de protección de datos para toda la cuenta
  • Consola
  • AWS CLI
    • Sintaxis de la política de protección de datos para la AWS CLI o las operaciones de la API
• Creación de una política de protección de datos para un único grupo de registro
  • Consola
  • AWS CLI
    • Sintaxis de la política de protección de datos para la AWS CLI o las operaciones de la API
• Visualización de datos desenmascarados
• Informes de resultados de auditoría
  • Política de claves requerida para enviar los resultados de la auditoría a un bucket protegido por AWS KMS
• Tipos de datos que puede proteger
  • Identificadores de datos administrados de Registros de CloudWatch para tipos de datos confidenciales
    • Credenciales
      • ARN de identificador de datos para tipos de datos de credenciales
    • Identificadores de dispositivos
      • ARN de identificador de datos para tipos de datos de dispositivos
    • Información financiera
      • ARN de identificador de datos para tipos de datos financieros
    • Información médica protegida (PHI)
      • ARN de identificador de datos para tipos de datos de información médica protegida (PHI)
    • Información de identificación personal (PII)
      • Palabras clave de números de identificación del permiso de conducir
      • Palabras clave para números de documentos nacionales de identificación
      • Palabras clave para números de pasaporte
      • Palabras clave para números de identificación y referencia del contribuyente
      • ARN de identificadores de datos para la información de identificación personal (PII)
  • Identificadores de datos personalizados
    • ¿Qué son los identificadores de datos personalizados?
    • Restricciones de identificadores de datos personalizados
    • Uso de identificadores de datos personalizados en la consola
    • Uso de identificadores de datos personalizados en la política de protección de datos