Criar uma política de proteção de dados para um único grupo de logs - CloudWatch Registros da Amazon
ConsoleAWS CLI

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criar uma política de proteção de dados para um único grupo de logs

Você pode usar o console CloudWatch Logs ou AWS CLI comandos para criar uma política de proteção de dados para mascarar dados confidenciais.

Você pode atribuir uma política de proteção de dados a cada grupo de logs. Cada política de proteção de dados pode auditar vários tipos de informações. Cada política de proteção de dados pode incluir uma declaração de auditoria.

Console

Para usar o console para criar uma política de proteção de dados

  1. Abra o CloudWatch console em https://console.aws.amazon.com/cloudwatch/.

  2. No painel de navegação, escolha Logs, Log groups (Grupos de log).

  3. Escolha o nome do grupo de logs.

  4. Escolha Actions (Ações), Create data protection policy (Criar política de proteção de dados).

  5. Em Identificadores de dados gerenciados, selecione os tipos de dados que você deseja auditar e mascarar nesse grupo de registros. Você pode digitar na caixa de seleção para encontrar os identificadores que deseja.

    Recomendamos que você selecione apenas os identificadores de dados relevantes para seus dados de log e sua empresa. A escolha de muitos tipos de dados pode levar a falsos positivos.

    Para obter detalhes sobre quais tipos de dados você pode proteger usando identificadores de dados gerenciados, consulteTipos de dados que você pode proteger.

  6. (Opcional) Se você quiser auditar e mascarar outros tipos de dados usando identificadores de dados personalizados, escolha Adicionar identificador de dados personalizado. Em seguida, insira um nome para o tipo de dados e a expressão regular a serem usados para pesquisar esse tipo de dados nos eventos de log. Para obter mais informações, consulte Identificadores de dados personalizados.

    Uma única política de proteção de dados pode incluir até 10 identificadores de dados personalizados. Cada expressão regular que define um identificador de dados personalizado deve ter 200 caracteres ou menos.

  7. (Opcional) Escolha um ou mais serviços para enviar as descobertas da auditoria. Mesmo se você optar por não enviar descobertas de auditoria a nenhum desses serviços, os tipos de dados confidenciais selecionados ainda serão mascarados.

  8. Escolha Activate data protection (Ativar proteção de dados).

AWS CLI

Para usar o AWS CLI para criar uma política de proteção de dados

  1. Use um editor de texto para criar um arquivo de política chamado DataProtectionPolicy.json. Para obter informações sobre a sintaxe da política, consulte a seção a seguir.

  2. Digite o comando :

    aws logs put-data-protection-policy --log-group-identifier "my-log-group" --policy-document file:///Path/DataProtectionPolicy.json --region us-west-2

Sintaxe da política de proteção de dados para AWS CLI ou API operações

Quando você cria uma política JSON de proteção de dados para usar em um AWS CLI comando ou API operação, a política deve incluir dois JSON blocos:

  • O primeiro bloco deve incluir uma matriz DataIdentifer e uma propriedade Operation com uma ação Audit. A matriz DataIdentifer faz uma lista com os tipos de dados sigilosos que você deseja mascarar. Para obter mais informações sobre as opções disponíveis, consulte Tipos de dados que você pode proteger.

    A propriedade Operation com uma ação Audit é necessária para encontrar os termos de dados confidenciais. Essa ação Audit deve conter um objeto FindingsDestination. Opcionalmente, você pode usar esse objeto FindingsDestination para listar um ou mais destinos para enviar relatórios de descobertas de auditoria. Se você especificar destinos como grupos de logs, streams do Amazon Data Firehose e buckets S3, eles já devem existir. Para obter um exemplo de um relatório de constatações de auditoria, consulte Relatórios de descobertas de auditoria.

  • O segundo bloco deve incluir uma matriz DataIdentifer e uma propriedade Operation com uma ação Deidentify. A matriz DataIdentifer deve corresponder exatamente à matriz DataIdentifer no primeiro bloco da política.

    A propriedade Operation com a ação Deidentify é o que realmente mascara os dados e deve conter o objeto "MaskConfig": {}. O objeto "MaskConfig": {} deve estar vazio.

Veja a seguir um exemplo de política de proteção de dados que mascara endereços de e-mail e carteiras de habilitação dos Estados Unidos.

{
    "Name": "data-protection-policy",
    "Description": "test description",
    "Version": "2021-06-01",
    "Statement": [{
            "Sid": "audit-policy",
            "DataIdentifier": [
                "arn:aws:dataprotection::aws:data-identifier/EmailAddress",
                "arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
            ],
            "Operation": {
                "Audit": {
                    "FindingsDestination": {
                        "CloudWatchLogs": {
                            "LogGroup": "EXISTING_LOG_GROUP_IN_YOUR_ACCOUNT,"
                        },
                        "Firehose": {
                            "DeliveryStream": "EXISTING_STREAM_IN_YOUR_ACCOUNT"
                        },
                        "S3": {
                            "Bucket": "EXISTING_BUCKET"
                        }
                    }
                }
            }
        },
        {
            "Sid": "redact-policy",
            "DataIdentifier": [
                "arn:aws:dataprotection::aws:data-identifier/EmailAddress",
                "arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
            ],
            "Operation": {
                "Deidentify": {
                    "MaskConfig": {}
                }
            }
        }
    ]
}