As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Ajude a proteger dados de log confidenciais com mascaramento
Você pode ajudar a proteger dados confidenciais que são ingeridos pelo CloudWatch Logs usando políticas de proteção de dados de grupos de registros. Essas políticas permitem auditar e mascarar dados confidenciais que aparecem nos eventos de log consumidos pelos grupos de logs na sua conta.
Quando você cria uma política de proteção de dados, por padrão, os dados confidenciais que correspondem aos identificadores de dados selecionados são mascarados em todos os pontos de saída, incluindo CloudWatch Logs Insights, filtros métricos e filtros de assinatura. Somente usuários com logs:Unmask IAM permissão podem visualizar dados não mascarados.
Você pode criar uma política de proteção de dados para todos os grupos de logs da sua conta, além de criar políticas de proteção de dados para grupos de logs individuais. Ao criar uma política para toda a conta, ela se aplica tanto aos grupos de logs existentes quanto aos grupos de logs que forem criados no futuro.
Se você criar uma política de proteção de dados para toda a conta e também criar uma política para um único grupo de logs, as duas políticas serão aplicáveis a esse grupo de logs. Todos os identificadores de dados gerenciados especificados em qualquer política são auditados e mascarados nesse grupo de logs.
nota
O mascaramento de dados confidenciais é suportado somente para grupos de registros na classe de registros Standard. Se você criar uma política de proteção de dados para todos os grupos de registros em sua conta, ela se aplicará somente aos grupos de registros na classe de registro Padrão. Para obter mais informações sobre classes de log, consulteClasses de log.
Cada grupo de logs pode ter somente uma política de proteção de dados em nível de grupo de logs, mas essa política pode especificar vários identificadores de dados gerenciados para auditoria e mascaramento. O limite de uma política de proteção de dados é de 30.720 caracteres.
Importante
Os dados confidenciais são detectados e mascarados quando são ingeridos no grupo de logs. Quando você define uma política de proteção de dados, os eventos de log ingeridos no grupo de logs antes dessa hora não são mascarados.
CloudWatch O Logs oferece suporte a vários identificadores de dados gerenciados, que oferecem tipos de dados pré-configurados que você pode selecionar para proteger dados financeiros, informações pessoais de saúde (PHI) e informações de identificação pessoal (). PII CloudWatch A proteção de dados de registros permite que você aproveite a correspondência de padrões e os modelos de aprendizado de máquina para detectar dados confidenciais. Para alguns tipos de identificadores de dados gerenciados, a detecção depende também da localização de determinadas palavras-chave próximas aos dados confidenciais. Você também pode usar identificadores de dados personalizados para criar identificadores de dados personalizados para seu caso de uso específico.
CloudWatch Quando dados confidenciais são detectados, é emitida uma métrica que corresponde aos identificadores de dados selecionados. Essa é a LogEventsWithFindingsmétrica e é emitida no namespace AWS/Logs. Você pode usar essa métrica para criar CloudWatch alarmes e visualizá-la em gráficos e painéis. As métricas emitidas pela proteção de dados são métricas vendidas e gratuitas. Para obter mais informações sobre as métricas para as CloudWatch quais o Logs envia CloudWatch, consulteMonitoramento com CloudWatch métricas.
Cada identificador de dados gerenciados foi projetado para detectar um tipo específico de dados confidenciais, como números de cartão de crédito, AWS chaves de acesso secretas ou números de passaporte para um determinado país ou região. Ao criar uma política de proteção de dados, você pode configurá-la para usar esses identificadores para analisar logs ingeridos pelo grupo de logs e executar ações quando forem detectados.
CloudWatch A proteção de dados de registros pode detectar as seguintes categorias de dados confidenciais usando identificadores de dados gerenciados:
Credenciais, como chaves privadas ou AWS chaves de acesso secretas
Informações financeiras, como números de cartão de crédito
Informações de identificação pessoal (PII), como carteiras de motorista ou números de previdência social
Informações de saúde protegidas (PHI), como seguro saúde ou números de identificação médica
Identificadores de dispositivos, como endereços IP ou MAC endereços
Para obter detalhes sobre os tipos de dados que você pode proteger, consulte Tipos de dados que você pode proteger.
Sumário
- Noções básicas sobre políticas de proteção de dados
- IAMpermissões necessárias para criar ou trabalhar com uma política de proteção de dados
- Criar uma política de proteção de dados para toda a conta
- Criar uma política de proteção de dados para um único grupo de logs
- Exibir dados não mascarados
- Relatórios de descobertas de auditoria
- Tipos de dados que você pode proteger
- CloudWatch Registra identificadores de dados gerenciados para tipos de dados confidenciais
- Credenciais
- Identificadores de dispositivo
- Informações financeiras
- Informações de saúde protegidas (PHI)
- Informações de identificação pessoal () PII
- Palavras-chave para números de identificação da carteira de habilitação
- Palavras-chave para números de identificação nacional
- Palavras-chave para números de passaporte
- Palavras-chave para identificação do contribuinte e números de referência
- Identificador de dados ARNs para informações de identificação pessoal () PII
- Identificadores de dados personalizados
- CloudWatch Registra identificadores de dados gerenciados para tipos de dados confidenciais
