Cuenta Security OU — Log Archive - AWS Guía prescriptiva

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cuenta Security OU — Log Archive

Nos encantaría saber de ti. Envíe sus comentarios sobre la AWS PRA mediante una breve encuesta.

La cuenta de Log Archive es el lugar donde se centralizan los tipos de registros de infraestructura, servicios y aplicaciones. Para obtener más información sobre esta cuenta, consulte la Arquitectura AWS de referencia de seguridad (AWS SRA). Con una cuenta dedicada a los registros, puede aplicar alertas coherentes en todos los tipos de registros y confirmar que el personal de respuesta a incidentes puede acceder a un conjunto de estos registros desde un solo lugar. También puedes configurar los controles de seguridad y las políticas de retención de datos desde un solo lugar, lo que puede simplificar la sobrecarga operativa en materia de privacidad. El siguiente diagrama ilustra los servicios AWS de seguridad y privacidad que están configurados en la cuenta de Log Archive.

Servicios de AWS desplegado en la cuenta Log Archive de la unidad organizativa de Seguridad.

Almacenamiento de registros centralizado

Los archivos de registro (como AWS CloudTrail los registros) pueden contener información que podría considerarse datos personales. Algunas organizaciones optan por utilizar un registro organizativo para agrupar CloudTrail los registros de todas las cuentas Regiones de AWS y de las distintas cuentas en una ubicación central, con fines de visibilidad. Para obtener más información, consulte la sección AWS CloudTrail de esta guía. Al implementar la centralización de CloudTrail los registros, estos se almacenan normalmente en un bucket de Amazon Simple Storage Service (Amazon S3) en una sola región.

Según la definición de datos personales de su organización y las normas de privacidad regionales aplicables, es posible que deba considerar la posibilidad de realizar transferencias de datos transfronterizas. Si su organización necesita cumplir con los requisitos de transferencia de datos de las normas de privacidad regionales, las siguientes opciones pueden ayudarle:

  1. Si su organización presta servicios Nube de AWS a interesados de varios países, puede optar por agregar todos los registros del país que tenga los requisitos de residencia de datos más estrictos. Por ejemplo, si opera en Alemania y el país tiene los requisitos más estrictos, puede agregar los datos en un segmento de S3 eu-central-1 Región de AWS para que los datos recopilados en Alemania no salgan de las fronteras de Alemania. Para esta opción, puede configurar un registro organizativo único CloudTrail que agregue los registros de todas las cuentas y de Regiones de AWS la región de destino.

  2. Redacte los datos personales que deben permanecer en ella Región de AWS antes de copiarlos y agregarlos a otra región. Por ejemplo, puede ocultar los datos personales de la región anfitriona de la aplicación antes de transferir los registros a otra región. Para obtener más información sobre el enmascaramiento de datos personales, consulte la Amazon Data Firehose sección de esta guía.

Trabaje con su asesor legal para determinar qué datos personales están incluidos en el ámbito de aplicación y qué transferencias de una AWS región a otra están permitidas.