Conta de segurança OU — Log Archive - AWS Orientação prescritiva
Armazenamento centralizado de registros

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Conta de segurança OU — Log Archive

Gostaríamos muito de ouvir de você. Forneça feedback sobre o AWS PRA respondendo a uma breve pesquisa.

A conta Log Archive é onde você centraliza os tipos de log de infraestrutura, serviços e aplicativos. Para obter mais informações sobre essa conta, consulte a Arquitetura AWS de Referência de Segurança (AWS SRA). Com uma conta dedicada para registros, você pode aplicar alertas consistentes em todos os tipos de registros e confirmar que os respondentes a incidentes podem acessar um conjunto desses registros em um só lugar. Você também pode configurar controles de segurança e políticas de retenção de dados em um só lugar, o que pode simplificar a sobrecarga operacional de privacidade. O diagrama a seguir ilustra os serviços AWS de segurança e privacidade configurados na conta do Log Archive.

Serviços da AWS implantado na conta do Log Archive na unidade organizacional de Segurança.

Armazenamento centralizado de registros

Arquivos de log (como AWS CloudTrail registros) podem conter informações que podem ser consideradas dados pessoais. Algumas organizações optam por usar uma trilha organizacional para agregar CloudTrail registros entre Regiões da AWS contas em um local central, para fins de visibilidade. Para obter mais informações, consulte AWS CloudTrail neste guia. Ao implementar a centralização de CloudTrail registros, os registros normalmente são armazenados em um bucket do Amazon Simple Storage Service (Amazon S3) em uma única região.

Dependendo da definição de dados pessoais da sua organização e dos regulamentos de privacidade regionais aplicáveis, talvez seja necessário considerar transferências de dados internacionais. Se sua organização precisar atender aos requisitos de transferência de dados das regulamentações regionais de privacidade, as opções a seguir podem ajudar no suporte:

  1. Se sua organização estiver fornecendo serviços Nuvem AWS para titulares de dados em vários países, você pode optar por agregar todos os registros no país que tenha os requisitos de residência de dados mais rigorosos. Por exemplo, se você estiver operando na Alemanha e ela tiver os requisitos mais rigorosos, você pode agregar dados em um bucket do S3 para que eu-central-1 Região da AWS os dados coletados na Alemanha não saiam das fronteiras da Alemanha. Para essa opção, você pode configurar uma única trilha organizacional CloudTrail que agregue registros de todas as contas e Regiões da AWS da região de destino.

  2. Redija os dados pessoais que precisam permanecer Região da AWS antes de serem copiados e agregados em outra região. Por exemplo, você pode mascarar os dados pessoais na região anfitriã do aplicativo antes de transferir os registros para uma região diferente. Para obter mais informações sobre como mascarar dados pessoais, consulte a Amazon Data Firehose seção deste guia.

Trabalhe com seu advogado para determinar quais dados pessoais estão no escopo e quais AWS Region-to-Region transferências são permitidas.