Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Uso de grupos de registro y flujos de registros
Un flujo de registro es una secuencia de eventos de registro que comparten la misma fuente. Cada fuente independiente de CloudWatch registros de Logs constituye un flujo de registros independiente.
Un grupo de registro es un grupo de flujos de registro que comparten la misma configuración de retención, monitoreo y control de acceso. Puede definir grupos de registro y especificar los flujos que deben incluirse en cada uno. No hay límites en el número de flujos de registros que pueden pertenecer a un grupo de registros.
Para las organizaciones que necesitan consolidar los datos de registro de varias cuentas y regiones, puede utilizar la centralización de CloudWatch registros para replicar automáticamente los grupos de registros en una cuenta central. Para obtener más información, consulte [Centralización de registros entre cuentas y regiones](CloudWatchLogs_Centralization.md).
Puede usar los procedimientos de esta sección para trabajar con grupos y flujos de registros.
## Cree un grupo de registros en Logs CloudWatch
Al instalar el agente de CloudWatch Logs en una instancia de Amazon EC2 siguiendo los pasos de las secciones anteriores de la Guía del usuario de Amazon CloudWatch Logs, el grupo de registros se crea como parte de ese proceso. También puede crear un grupo de registros directamente en la CloudWatch consola.
**Para crear un grupo de registro**
1. Abra la CloudWatch consola en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. En el panel de navegación, elija **Administración de registros**.
1. Elija **Actions (Acciones)** y, a continuación, elija **Create log group (Crear grupo de registro)**.
1. Escriba el nombre del grupo de registro y, a continuación, seleccione **Crear grupo de registro**.
**sugerencia**
Puede marcar como favoritos a grupos de registro, así como paneles y alarmas, desde el menú ***Favorites and recents*** (Favoritos y recientes) del panel de navegación. En la columna ***Visitados recientemente***, desplácese sobre el grupo de registro que desea marcar como favoritos y elija el símbolo de estrella junto a este.
## Enviar registros a un grupo de registro
CloudWatch Logs recibe automáticamente los eventos de registro de varios AWS servicios. También puede enviar otros eventos de registro a CloudWatch Logs mediante uno de los siguientes métodos:
+ **CloudWatch agente**: el CloudWatch agente unificado puede enviar métricas y CloudWatch registros a Logs. Para obtener información sobre la instalación y el uso del CloudWatch agente, consulte [Recopilación de métricas y registros de instancias de Amazon EC2 y servidores locales con el CloudWatch agente en la Guía del](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html) usuario de *Amazon CloudWatch *.
+ **AWS CLI[put-log-events](https://docs.aws.amazon.com/cli/latest/reference/logs/put-log-events.html)**—Carga lotes de eventos de registro a Logs. CloudWatch
+ **Mediante programación**: la [PutLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutLogEvents.html)API le permite cargar lotes de eventos de registro a Logs de forma programática. CloudWatch
## Vea los datos de registro enviados a Logs CloudWatch
Puede ver los datos de registro y desplazarse por ellos stream-by-stream según los envíe el agente de CloudWatch registros a CloudWatch Logs. Puede especificar el intervalo de tiempo para los datos de registro que desee ver.
**Para ver los datos de registro**
1. Abra la CloudWatch consola en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. En el panel de navegación, elija **Administración de registros**.
1. En **Log Groups (Grupos de registro)**, elija el grupo de registro para ver los flujos.
1. En la lista de grupos de registro, elija el nombre del grupo de registro que desea ver.
1. En la lista de flujos de registros, elija el nombre del flujo de registros que desea ver.
1. Para cambiar la forma en que se muestran los datos de registro, lleve a cabo alguna de las siguientes operaciones:
+ Para expandir un único evento de registro, elija la flecha situada junto a ese evento de registro.
+ Para ampliar todos los eventos de registro y verlos como texto sin formato, por encima de la lista de eventos de registro, elija **Text (Texto)**.
+ Para filtrar los eventos de registro, escriba el filtro de búsqueda que desee en el campo de búsqueda. Para obtener más información, consulte [Creación de métricas a partir de eventos de registro mediante filtros](MonitoringLogData.md).
+ Para ver los datos de registro de un intervalo de fechas y horas especificado, junto al filtro de búsqueda, elija la flecha situada al lado de la fecha y hora. Para especificar un intervalo de fechas y horas, elija **Absolute (Absoluto)**. Para elegir un número predefinido de minutos, horas, días o semanas, elija **Relative (Relativo)**. También puede cambiar entre zona horaria UTC y zona horaria local.
# Búsqueda de datos de registro mediante patrones de filtro
Puede buscar los datos de registro con [Filtro de sintaxis de patrones para filtros de métricas, filtros de suscripción, eventos de registro de filtros y Live Tail](FilterAndPatternSyntax.md). Puede buscar en todos los flujos de registro de un grupo de registros o, si lo utiliza, también AWS CLI puede buscar flujos de registro específicos. Cuando se ejecuta cada búsqueda, devuelve hasta la primera página de los datos encontrados y un token para recuperar la siguiente página de datos o para continuar con la búsqueda. Si no se devuelve ningún resultado, puede continuar con la búsqueda.
Puede definir el intervalo de tiempo que desea consultar para limitar el alcance de la búsqueda. Podría comenzar por un intervalo mayor para ver las líneas de registro en las que está interesado y, a continuación, acortar el intervalo de tiempo al ámbito para ver los registros en el intervalo de tiempo que desee.
También puede pasar directamente desde las métricas extraídas de los registros a los registros correspondientes.
Si ha iniciado sesión en una cuenta configurada como una cuenta de monitoreo en el marco de la observabilidad CloudWatch multicuenta, puede buscar y filtrar los eventos de registro de las cuentas de origen vinculadas a esta cuenta de monitoreo. Para obtener más información, consulte [Observabilidad entre cuentas de CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html).
## Búsqueda de entradas de registro con la consola
Puede buscar las entradas de registro que cumplan los criterios especificados mediante la consola.
**Para buscar los registros mediante la consola**
1. Abre la CloudWatch consola en. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)
1. En el panel de navegación, elija **Administración de registros**.
1. En **Log Groups (Grupos de registro)**, elija el nombre del grupo de registro que contiene el flujo de registros que desea buscar.
1. En **Log Streams (Flujos de registros)**, elija el nombre del flujo de registros que desea buscar.
1. En **Log events (Eventos de registros)**, escriba la sintaxis del filtro que se va a utilizar.
**Para buscar todas las entradas de registro durante un intervalo de tiempo mediante la consola**
1. Abra la CloudWatch consola en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. En el panel de navegación, elija **Administración de registros**.
1. En **Log Groups (Grupos de registro)**, elija el nombre del grupo de registro que contiene el flujo de registros que desea buscar.
1. Elija **Search Log Group (Buscar grupos de registro)**.
1. En **Log events (Eventos de registros)**, seleccione el intervalo de fecha y hora e ingrese la sintaxis del filtro.
## Busque entradas de registro mediante el AWS CLI
Puede buscar entradas de registro que cumplan un criterio específico mediante el AWS CLI.
**Para buscar entradas de registro mediante el AWS CLI**
En el símbolo del sistema, ejecute el siguiente comando de la [filter-log-events](https://docs.aws.amazon.com/cli/latest/reference/logs/filter-log-events.html). Utilice `--filter-pattern` para limitar los resultados al patrón de filtros especificado y `--log-stream-names` para limitar los resultados al flujo de registros especificado.
```
aws logs filter-log-events --log-group-name my-group [--log-stream-names LIST_OF_STREAMS_TO_SEARCH] [--filter-pattern VALID_METRIC_FILTER_PATTERN]
```
**Para buscar entradas de registro en un intervalo de tiempo determinado mediante el AWS CLI**
En una línea de comandos, ejecute el siguiente [filter-log-events](https://docs.aws.amazon.com/cli/latest/reference/logs/filter-log-events.html)comando:
```
aws logs filter-log-events --log-group-name my-group [--log-stream-names LIST_OF_STREAMS_TO_SEARCH] [--start-time 1482197400000] [--end-time 1482217558365] [--filter-pattern VALID_METRIC_FILTER_PATTERN]
```
## Cambio de métricas a registros
Puede acceder a determinadas entradas de registro desde otras partes de la consola.
**Para acceder desde widgets del panel a registros**
1. Abra la CloudWatch consola en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. En el panel de navegación, elija **Dashboards (Paneles)**.
1. Elija un panel.
1. En el widget, elija el icono **View logs (Ver registros)** y, a continuación, elija **View logs in this time range (Ver registros en este intervalo de tiempo)**. Si hay más de un filtro de métricas, seleccione uno de la lista. Si hay más filtros de métricas de los que podemos mostrar en la lista, elija **More metric filters (Más filtros de métricas)** y seleccione o busque un filtro de métricas.
**Para acceder desde métricas hasta registros**
1. Abra la CloudWatch consola en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. En el panel de navegación, elija **Metrics (Métricas)**.
1. En el campo de búsqueda en la pestaña **All metrics (Todas las métricas)**, escriba el nombre de la métrica y pulse Intro.
1. Seleccione una o varias métricas de los resultados de la búsqueda.
1. Elija **Actions (Acciones)**, **View logs (Ver registros)**. Si hay más de un filtro de métricas, seleccione uno de la lista. Si hay más filtros de métricas de los que podemos mostrar en la lista, elija **More metric filters (Más filtros de métricas)** y seleccione o busque un filtro de métricas.
## Resolución de problemas
**La búsqueda tarda demasiado tiempo en completarse**
Si tiene una gran cantidad de datos de registro, la búsqueda podría tardar mucho tiempo en completarse. Para acelerar la búsqueda, puede hacer lo siguiente:
+ Si está utilizando el AWS CLI, puede limitar la búsqueda solo a las secuencias de registro que le interesen. Por ejemplo, si su grupo de registros tiene 1000 flujos de registro, pero solo quiere ver tres flujos de registro que sabe que son relevantes, puede usar el AWS CLI para limitar la búsqueda solo a los tres flujos de registro del grupo de registros.
+ Utilice un intervalo de tiempo más corto, más granular, lo que reduce la cantidad de datos que se van a buscar y acelera la consulta.
## Cambie la retención de datos de registro en CloudWatch los registros
De forma predeterminada, los datos de registro se almacenan en CloudWatch los registros de forma indefinida. Sin embargo, puede configurar durante cuánto tiempo almacenar los datos de registro en un grupo de registro. Cualquier dato anterior a la configuración de retención actual se eliminará. Puede cambiar la retención de registro de cada grupo de registro cuando lo desee.
**nota**
CloudWatch Logs no elimina inmediatamente los eventos del registro cuando alcanzan su configuración de retención. Por lo general, pueden pasar hasta 72 horas antes de que se eliminen los eventos de registro, pero en raras ocasiones puede llevar más tiempo.
Esto significa que si cambia un grupo de registro para que tenga una configuración de retención más larga cuando contenga eventos de registro que ya hayan expirado, pero que no se hayan eliminado realmente, esos eventos de registro tardarán hasta 72 horas en eliminarse después de que se alcance la fecha de retención nueva. Para asegurarse de que los datos de registro se eliminen de manera permanente, mantenga un grupo de registro en su configuración de retención más baja hasta que hayan transcurrido 72 horas desde el final del periodo de retención anterior o hasta que haya confirmado que se han eliminado los eventos de registro más antiguos.
Cuando los eventos de registro alcanzan el límite en su configuración de retención, se marcan para su eliminación. Una vez marcados, ya no se contemplan dentro de los costos de almacenamiento de archivos, incluso si tarda un tiempo en eliminarlos. Estos eventos de registro marcados para su eliminación tampoco se incluyen cuando se utiliza una API para recuperar el valor `storedBytes` y ver cuántos bytes almacena un grupo de registro.
**Para cambiar la configuración de retención de registros**
1. Abre la CloudWatch consola en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. En el panel de navegación, elija **Logs** (Registros), **Log groups** (Grupos de registro).
1. Busque el grupo de registro que desea actualizar.
1. En la columna **Retención** de ese grupo de registro, elija la configuración de retención actual; por ejemplo, **No caducar nunca**.
1. En **Configuración de retención**, en **Marcar eventos como vencidos después de**, elija un valor de retención de registros y, a continuación, seleccione **Guardar**.
## Proteger los grupos de registros de la eliminación
Si lo desea, puede activar la protección contra la eliminación para evitar la eliminación accidental de grupos de registros importantes. Para obtener información detallada sobre la protección contra la eliminación, consulte[Proteger los grupos de registros de la eliminación](protecting-log-groups-from-deletion.md).
# Proteger los grupos de registros de la eliminación
## Habilitar la protección contra la eliminación
Puede activar la protección contra la eliminación al crear un grupo de registros nuevo o en grupos de registros existentes. Durante la creación del grupo de registros, seleccione «Protección contra eliminación habilitada» o transfiera el parámetro`--deletion-protection-enabled`. De forma predeterminada, la protección contra la eliminación no está habilitada.
**Para habilitar o deshabilitar la protección contra la eliminación en un grupo de registros existente (consola)**
1. Abra la CloudWatch consola en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. En el panel de navegación, elija **Administración de registros**.
1. Seleccione el grupo de registros que desee proteger.
1. Seleccione **Acciones** y **edite la protección contra eliminaciones**.
1. En el cuadro de diálogo, revise y, a continuación, envíe los cambios.
Si utiliza el AWS CLI, para habilitar la protección contra la eliminación en un grupo de registros existente:
```
aws logs put-log-group-deletion-protection \
--log-group-identifier "/my-application/logs" \
--deletion-protection-enabled
```
Para eliminar la protección contra la eliminación de un grupo de registros existente:
```
aws logs put-log-group-deletion-protection \
--log-group-identifier "/my-application/logs" \
--no-deletion-protection-enabled
```
### Gestión de errores
Si intenta eliminar un grupo de registros con la protección contra eliminación habilitada, recibirá un mensaje `ValidationException` con el siguiente mensaje: «No se puede eliminar el grupo de registros con la protección contra eliminación habilitada». Desactive primero la protección contra la eliminación».
## Etiquetar grupos de registros en Amazon CloudWatch Logs
Puede asignar sus propios metadatos a los grupos de registros que cree en Amazon CloudWatch Logs en forma de *etiquetas*. Una etiqueta es un par clave-valor definido por el usuario para un grupo de registro. El uso de etiquetas es una forma sencilla pero eficaz de gestionar AWS los recursos y organizar los datos, incluidos los datos de facturación.
**nota**
Puede usar etiquetas para controlar el acceso a los recursos de CloudWatch registros, incluidos los grupos de registros y los destinos. El acceso a los flujos de registro se controla a nivel de grupo de registro, debido a la relación jerárquica que existe entre los grupos de registro y los flujos de registro. A fin de obtener información sobre el uso de etiquetas para controlar el acceso, consulte [Control del acceso a recursos de Amazon Web Services mediante etiquetas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html).
**Topics**
+ [Conceptos básicos de etiquetas](#tagging-basics)
+ [Seguimiento de costos mediante el etiquetado](#tagging-billing)
+ [Restricciones de las etiquetas](#tagging-restrictions)
+ [Etiquetar grupos de registros mediante el AWS CLI](#log-group-tagging-cli)
+ [Etiquetado de grupos de registros mediante la API de CloudWatch registros](#log-group-tagging-api)
### Conceptos básicos de etiquetas
Utiliza AWS CloudFormation la API AWS CLI, o CloudWatch Logs, para completar las siguientes tareas:
+ Agregar etiquetas a un grupo de registro al crearlo.
+ Agregar etiquetas a un grupo de registro existente.
+ Enumerar las etiquetas para un grupo de registro.
+ Eliminar las etiquetas de un grupo de registro.
Puede utilizar las etiquetas para categorizar los grupos de registro. Por ejemplo, puede clasificarlas en categorías por objetivo, propietario o entorno. Dado que define la clave y el valor de cada etiqueta, puede crear un conjunto de categorías personalizadas para satisfacer sus necesidades específicas. Por ejemplo, podría definir un conjunto de etiquetas que lo ayude a realizar un seguimiento de los grupos de registro por propietario y aplicaciones asociadas. Estos son algunos ejemplos de etiquetas:
+ Proyecto: nombre del proyecto
+ Propietario: nombre
+ Objetivo: pruebas de carga
+ Aplicación: nombre de aplicación
+ Entorno: producción
### Seguimiento de costos mediante el etiquetado
Puedes usar etiquetas para categorizar y hacer un seguimiento de tus AWS costos. Al aplicar etiquetas a AWS los recursos, incluidos los grupos de registros, el informe de asignación de AWS costos incluye el uso y los costos agregados por etiquetas. Puede aplicar etiquetas que representen categorías de negocio (por ejemplo, centros de costos, nombres de aplicación o propietarios) para organizar los costos entre diferentes servicios. Para obtener más información, consulte [Utilizar etiquetas de asignación de costos para informes de facturación personalizados](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) en la *Guía del usuario de AWS Billing *.
### Restricciones de las etiquetas
Se aplican las siguientes restricciones a las etiquetas.
**Restricciones básicas**
+ El número máximo de etiquetas por grupo de registro es 50.
+ Las claves y los valores de las etiquetas distinguen entre mayúsculas y minúsculas.
+ No se pueden cambiar o editar etiquetas para un grupo de registro eliminado.
**Restricciones de clave de etiqueta**
+ Cada clave de etiqueta debe ser única. Si agrega una etiqueta con una clave que ya está en uso, la nueva etiqueta sobrescribe el par clave-valor existente.
+ No puedes empezar una clave de etiqueta con él `aws:` porque este prefijo está reservado para que lo usen. AWS AWS crea etiquetas que comienzan con este prefijo en tu nombre, pero no puedes editarlas ni eliminarlas.
+ Las claves de etiqueta deben tener entre 1 y 128 caracteres Unicode de longitud.
+ Las claves de etiquetas deben constar de los siguientes caracteres: letras Unicode, números, espacios en blanco y los siguientes caracteres especiales: `_ . / = + - @`.
**Restricciones de valor de etiqueta**
+ Los valores de etiqueta deben tener entre 0 y 255 caracteres Unicode de longitud.
+ Los valores de etiqueta pueden estar en blanco. De lo contrario, deben constar de los siguientes caracteres: letras Unicode, números, espacios en blanco y cualquiera de los siguientes caracteres especiales: `_ . / = + - @`.
### Etiquetar grupos de registros mediante el AWS CLI
Puede agregar, enumerar y eliminar etiquetas mediante la AWS CLI. Para ver ejemplos, consulte la documentación siguiente:
[create-log-group](https://docs.aws.amazon.com/cli/latest/reference/logs/create-log-group.html)
Crea un grupo de registro. Si lo desea, puede agregar etiquetas al crear el grupo de registro.
[tag-resource](https://docs.aws.amazon.com/cli/latest/reference/logs/tag-resource.html)
Asigna una o más etiquetas (pares clave-valor) al recurso de registros especificado. CloudWatch
[list-tags-for-resource](https://docs.aws.amazon.com/cli/latest/reference/logs/list-tags-for-resource.html)
Muestra las etiquetas que están asociadas a un CloudWatch recurso de Logs.
[untag-resource](https://docs.aws.amazon.com/cli/latest/reference/logs/untag-log-group.html)
Elimina una o más etiquetas del recurso de CloudWatch registros especificado.
### Etiquetado de grupos de registros mediante la API de CloudWatch registros
Puede añadir, enumerar y eliminar etiquetas mediante la API de CloudWatch Logs. Para ver ejemplos, consulte la documentación siguiente:
[CreateLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateLogGroup.html)
Crea un grupo de registro. Si lo desea, puede agregar etiquetas al crear el grupo de registro.
[TagResource](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_TagResource.html)
Asigna una o más etiquetas (pares clave-valor) al recurso Logs especificado CloudWatch .
[ListTagsForResource](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_ListTagsForResource.html)
Muestra las etiquetas que están asociadas a un CloudWatch recurso de Logs.
[UntagResource](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_UntagLogGroup.html)
Elimina una o más etiquetas del recurso de CloudWatch registros especificado.
# Cifre los datos de registro en los CloudWatch registros mediante AWS Key Management Service
Los datos de los grupos de registros siempre se cifran en CloudWatch los registros. De forma predeterminada, CloudWatch Logs utiliza el cifrado del lado del servidor con el Galois/Counter modo estándar de cifrado avanzado (AES-GCM) de 256 bits para cifrar los datos de registro en reposo. Como alternativa, puede utilizar AWS Key Management Service para este cifrado. Si lo hace, el cifrado se realiza mediante una clave. AWS KMS El uso del cifrado AWS KMS se habilita a nivel de grupo de registros, mediante la asociación de una clave de KMS a un grupo de registros, ya sea al crear el grupo de registros o después de su existencia.
**importante**
CloudWatch Los registros ahora admiten el contexto de cifrado, `kms:EncryptionContext:aws:logs:arn` ya que se utilizan como clave y el ARN del grupo de registros como valor de esa clave. Si tiene grupos de registro que ya ha cifrado con una clave de KMS y desea restringir la clave para que se utilice con una sola cuenta y grupo de registro, debe asignar una nueva clave de KMS que incluya una condición en la política de IAM. Para obtener más información, consulte [AWS KMS claves y contexto de cifrado](#encrypt-log-data-kms-policy).
**importante**
CloudWatch Ahora es compatible con Logs`kms:ViaService`, lo que permite a los registros realizar AWS KMS llamadas en tu nombre. Debe añadir esto a sus funciones, que se llaman CloudWatch registros, ya sea en su política clave o en IAM. Para obtener más información, consulte [kms: ViaService](https://docs.aws.amazon.com/kms/latest/developerguide/conditions-kms.html#conditions-kms-via-service).
Después de asociar una clave de KMS con un grupo de registro, todos los datos ingeridos recientemente para el grupo de registro se cifran mediante la clave. Estos datos se almacenan en formato cifrado durante todo su período de retención. CloudWatch Logs descifra estos datos siempre que se solicitan. CloudWatch Los registros deben tener permisos para la clave KMS siempre que se soliciten datos cifrados.
Si más adelante desasocias una clave KMS de un grupo de CloudWatch registros, Logs cifra los datos recién ingeridos mediante el método de cifrado predeterminado de CloudWatch Logs. Todos los datos ingeridos anteriormente que se cifraron con la clave KMS permanecen cifrados con la clave KMS. CloudWatch Los registros pueden seguir devolviendo esos datos una vez desasociada la clave de KMS, ya que CloudWatch los registros pueden seguir haciendo referencia a la clave. Sin embargo, si la clave se deshabilita posteriormente, CloudWatch Logs no podrá leer los registros que se cifraron con esa clave.
**importante**
CloudWatch Los registros solo admiten claves KMS simétricas. No utilice una clave asimétrica administrada por el cliente para cifrar los datos de los grupos de registro. Para obtener más información, consulte [Utilización de claves simétricas y asimétricas](https://docs.aws.amazon.com/kms/latest/developerguide/symmetric-asymmetric.html).
## Límites
+ Para realizar los siguientes pasos, debe tener los siguientes permisos: `kms:CreateKey`, `kms:GetKeyPolicy` y `kms:PutKeyPolicy`.
+ Después de asociar o desvincular una clave desde un grupo de registro, puede tardar hasta cinco minutos para que la operación surta efecto.
+ Si revoca el acceso de CloudWatch los registros a una clave asociada o elimina una clave de KMS asociada, los datos cifrados de los CloudWatch registros ya no se podrán recuperar.
+ No puede asociar una clave de KMS a un grupo de registros existente mediante la CloudWatch consola.
## Paso 1: Crear una AWS KMS clave
Para crear una clave de KMS, utilice el siguiente comando [create-key](https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html):
```
aws kms create-key
```
La salida contiene la ID de clave y el nombre de recurso de Amazon (ARN) de la clave. A continuación, se muestra un ejemplo de la salida:
```
{
"KeyMetadata": {
"Origin": "AWS_KMS",
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"Description": "",
"KeyManager": "CUSTOMER",
"Enabled": true,
"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
"KeyUsage": "ENCRYPT_DECRYPT",
"KeyState": "Enabled",
"CreationDate": 1478910250.94,
"Arn": "arn:aws:kms:us-west-2:123456789012:key/6f815f63-e628-448c-8251-e40cb0d29f59",
"AWSAccountId": "123456789012",
"EncryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
]
}
}
```
## Paso 2: establecer permisos en la clave de KMS
De forma predeterminada, todas AWS KMS las claves son privadas. Solo el propietario del recurso puede utilizarla para cifrar y descifrar datos. Sin embargo, el propietario del recurso puede conceder permisos para que otros usuarios y recursos accedan a la clave de KMS. Con este paso, se otorga permiso al director del servicio de CloudWatch registros y al rol de persona que llama para usar la clave. Esta entidad principal de servicio debe estar en la misma AWS región en la que se almacena la clave KMS.
Como práctica recomendada, le recomendamos que restrinja el uso de la clave KMS únicamente a las AWS cuentas o grupos de registros que especifique.
En primer lugar, guarde la política predeterminada de su clave KMS `policy.json` mediante el siguiente [get-key-policy](https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html)comando:
```
aws kms get-key-policy --key-id key-id --policy-name default --output text > ./policy.json
```
Abra el archivo `policy.json` en un editor de texto y agregue la sección en negrita desde una de las instrucciones siguientes. Separe la instrucción existente de la nueva instrucción con una coma. Estas instrucciones utilizan `Condition` secciones para mejorar la seguridad de la AWS KMS clave. Para obtener más información, consulte [AWS KMS claves y contexto de cifrado](#encrypt-log-data-kms-policy).
La sección `Condition` de este ejemplo restringe la clave a un ARN único de grupo de registro.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "key-default-1",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Principal": {
"Service": "logs.us-east-1.amazonaws.com"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:Describe*"
],
"Resource": "*",
"Condition": {
"ArnEquals": {
"kms:EncryptionContext:aws:logs:arn": "arn:aws:logs:us-east-1:111122223333:log-group:log-group-name"
}
}
}
]
}
```
------
La sección `Condition` de este ejemplo limita la utilización de la clave de AWS KMS a la cuenta especificada, pero se puede utilizar para cualquier grupo de registro.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "key-default-1",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Principal": {
"Service": "logs.us-east-1.amazonaws.com"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:Describe*"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"kms:EncryptionContext:aws:logs:arn": "arn:aws:logs:us-east-1:123456789012:*"
}
}
}
]
}
```
------
A continuación, añada permisos al rol que denominará a los CloudWatch registros. Para ello, puede añadir una declaración adicional a la política AWS KMS clave o, a través de IAM, sobre el propio rol. CloudWatch Registra las llamadas `kms:ViaService` que se utilizan para realizar llamadas AWS KMS en nombre del cliente. Para obtener más información, consulte [kms: ViaService](https://docs.aws.amazon.com/kms/latest/developerguide/conditions-kms.html#conditions-kms-via-service).
Para agregar permisos en la política AWS KMS clave, agregue la siguiente declaración adicional a su política clave. Si utiliza este método, como práctica recomendada, aplique la política únicamente a las funciones que van a interactuar con los grupos de registros AWS KMS cifrados.
```
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account_id:role/role_name"
},
"Action": [
"kms:Encrypt",
"kms:ReEncrypt*",
"kms:Decrypt",
"kms:GenerateDataKey*",
"kms:Describe*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"logs.region.amazonaws.com"
]
}
}
}
```
Como alternativa, si se desean gestionar los permisos de los roles en IAM, se pueden añadir permisos equivalentes mediante la siguiente política. Esto se puede añadir a una política de roles existente o adjuntarse a un rol como una política independiente adicional. Si utiliza este método, como práctica recomendada, aplique la política únicamente a las AWS KMS claves que se utilizarán para el cifrado de registros. Para obtener más información, consulte [Editar políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:ReEncrypt*",
"kms:Decrypt",
"kms:GenerateDataKey*",
"kms:Describe*"
],
"Condition": {
"StringEquals": {
"kms:ViaService": [
"logs.us-east-1.amazonaws.com"
]
}
},
"Resource": "arn:aws:kms:us-east-1:444455556666:key/key_id"
}
]
}
```
------
Por último, añada la política actualizada mediante el siguiente [put-key-policy](https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html)comando:
```
aws kms put-key-policy --key-id key-id --policy-name default --policy file://policy.json
```
## Paso 3: asociar una clave de KMS a un grupo de registro
Puede asociar una clave de KMS a un grupo de registro al crearlo o posteriormente.
Para saber si un grupo de registros ya tiene asociada una clave KMS, utilice el siguiente [describe-log-groups](https://docs.aws.amazon.com/cli/latest/reference/logs/describe-log-groups.html)comando:
```
aws logs describe-log-groups --log-group-name-prefix "log-group-name-prefix"
```
Si la salida incluye un campo `kmsKeyId`, el grupo de registro se asocia con la clave mostrada para el valor de ese campo.
**Para asociar la clave de KMS a un grupo de registro al crearlo**
Utilice el comando [create-log-group](https://docs.aws.amazon.com/cli/latest/reference/logs/create-log-group.html) como se indica a continuación:
```
aws logs create-log-group --log-group-name my-log-group --kms-key-id "key-arn"
```
**Para asociar la clave de KMS a un grupo de registro existente**
Utilice el comando [associate-kms-key](https://docs.aws.amazon.com/cli/latest/reference/logs/associate-kms-key.html) como se indica a continuación:
```
aws logs associate-kms-key --log-group-name my-log-group --kms-key-id "key-arn"
```
## Paso 4: desasociar una clave de un grupo de registro
Para desasociar la clave de KMS asociada a un grupo de registros, utilice el siguiente [disassociate-kms-key](https://docs.aws.amazon.com/cli/latest/reference/logs/disassociate-kms-key.html)comando:
```
aws logs disassociate-kms-key --log-group-name my-log-group
```
## AWS KMS claves y contexto de cifrado
Para mejorar la seguridad de sus AWS Key Management Service claves y sus grupos de CloudWatch registros cifrados, Logs ahora incluye el grupo de registros ARNs como parte del *contexto de cifrado* utilizado para cifrar sus datos de registro. El contexto de cifrado es un conjunto de pares clave-valor que se utilizan como datos autenticados adicionales. El contexto de cifrado le permite utilizar las condiciones de la política de IAM para limitar el acceso a su AWS KMS clave por AWS cuenta y grupo de registros. Para obtener más información, consulte [Contexto de cifrado](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) y [Elementos de la política de JSON de IAM: condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html).
Recomendamos que utilice diferentes claves de KMS para cada uno de los grupos de registro cifrados.
Si tiene un grupo de registro que cifró anteriormente y ahora desea cambiar el grupo de registro para utilizar una nueva clave de KMS que funcione solo para ese grupo de registro, siga estos pasos.
**Para convertir un grupo de registro cifrado a fin de utilizar una clave de KMS con una política que la limite a ese grupo de registro**
1. Ingrese el siguiente comando para encontrar el ARN de la clave actual del grupo de registro:
```
aws logs describe-log-groups
```
La salida incluye la siguiente línea. Tome nota del ARN. Tiene que utilizarlo en el paso 7.
```
...
"kmsKeyId": "arn:aws:kms:us-west-2:123456789012:key/01234567-89ab-cdef-0123-456789abcdef"
...
```
1. Ingrese el siguiente comando para crear una nueva clave de KMS:
```
aws kms create-key
```
1. Escriba el siguiente comando para guardar la política de la nueva clave en un archivo `policy.json`:
```
aws kms get-key-policy --key-id new-key-id --policy-name default --output text > ./policy.json
```
1. Utilice un editor de texto para abrir `policy.json` y agregar una expresión `Condition` a la política:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "key-default-1",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Principal": {
"Service": "logs.us-east-1.amazonaws.com"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:Describe*"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"kms:EncryptionContext:aws:logs:arn": "arn:aws:logs:us-east-1:111122223333:log-group:LOG-GROUP-NAME"
}
}
}
]
}
```
------
1. Ingrese el siguiente comando para agregar la política actualizada a la nueva clave de KMS:
```
aws kms put-key-policy --key-id new-key-ARN --policy-name default --policy file://policy.json
```
1. Ingrese el siguiente comando para asociar la política al grupo de registro:
```
aws logs associate-kms-key --log-group-name my-log-group --kms-key-id new-key-ARN
```
CloudWatch Ahora, Logs cifra todos los datos nuevos con la nueva clave.
1. Luego, revoque todos los permisos excepto `Decrypt` en la antigua clave. En primer lugar, ingrese el siguiente comando para recuperar la política anterior:
```
aws kms get-key-policy --key-id old-key-ARN --policy-name default --output text > ./policy.json
```
1. Utilice un editor de texto para abrir `policy.json` y eliminar todos los valores de la lista `Action`, excepto `kms:Decrypt`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "key-default-1",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Principal": {
"Service": "logs.region.amazonaws.com"
},
"Action": [
"kms:Decrypt"
],
"Resource": "*"
}
]
}
```
------
1. Ingrese el siguiente comando para agregar la política actualizada a la antigua clave:
```
aws kms put-key-policy --key-id old-key-ARN --policy-name default --policy file://policy.json
```
# Ayude a proteger los datos de registro confidenciales con el enmascaramiento
Puedes ayudar a proteger los datos confidenciales que ingiere CloudWatch Logs mediante las políticas de *protección de datos de los* grupos de registros. Estas políticas le permiten auditar y enmascarar los datos confidenciales que aparecen en los eventos de registro incorporados por los grupos de registro en su cuenta.
Cuando creas una política de protección de datos, de forma predeterminada, los datos confidenciales que coincidan con los identificadores de datos que has seleccionado se ocultan en todos los puntos de salida, incluidos CloudWatch Logs Insights, los filtros de métricas y los filtros de suscripción. Solo los usuarios que tienen el permiso de IAM de `logs:Unmask` pueden ver los datos desenmascarados.
Puede crear una política de protección de datos para todos los grupos de registro de su cuenta y, también, puede crear políticas de protección de datos para grupos de registro individuales. Al crear una política para toda la cuenta, se aplica tanto a los grupos de registro existentes como a los que se creen en el futuro.
Si crea una política de protección de datos para toda su cuenta y también crea una política para un único grupo de registro, ambas políticas se aplican a ese grupo de registro. Todos los identificadores de datos administrados que se especifican en cualquiera de las políticas se auditan y enmascaran en ese grupo de registro.
**nota**
Se admite el enmascaramiento de datos confidenciales en los grupos de registros de las clases de registro estándar y de acceso poco frecuente. Para obtener más información acerca de las clases de registros, consulte [Clases de registro](CloudWatch_Logs_Log_Classes.md).
Cada grupo de registro solo puede tener una política de protección de datos a nivel de grupo de registro, pero esa política puede especificar varios identificadores de datos administrados para auditarlos y enmascararlos. El límite de una política de protección de datos es de 30 720 caracteres.
**importante**
Los datos confidenciales se detectan y enmascaran cuando se introducen en el grupo de registro. Al establecer una política de protección de datos, los eventos de registro que se introducen en el grupo de registro antes de esa hora no se enmascaran.
CloudWatch Los registros admiten muchos *identificadores de datos gestionados*, que ofrecen tipos de datos preconfigurados que puede seleccionar para proteger los datos financieros, la información de salud personal (PHI) y la información de identificación personal (PII). CloudWatch La protección de los datos de los registros le permite aprovechar los modelos de coincidencia de patrones y aprendizaje automático para detectar datos confidenciales. Para algunos tipos de identificadores de datos administrados, la detección también depende de encontrar ciertas palabras clave que rodeen los datos confidenciales. También puede utilizar identificadores de datos personalizados para crear sus propios identificadores de datos adaptados a su caso de uso específico.
Se emite una métrica CloudWatch cuando se detectan datos confidenciales que coinciden con los identificadores de datos que ha seleccionado. Esta es la **LogEventsWithFindings**métrica y se emite en el espacio de nombres **AWS/Logs**. Puede usar esta métrica para crear CloudWatch alarmas y visualizarla en gráficos y paneles. Las métricas emitidas por la protección de datos son métricas proporcionadas y son gratuitas. Para obtener más información sobre las métricas a las que envía CloudWatch Logs CloudWatch, consulte[Monitorización con CloudWatch métricas](CloudWatch-Logs-Monitoring-CloudWatch-Metrics.md).
Cada identificador de datos gestionados está diseñado para detectar un tipo específico de datos confidenciales, como números de tarjetas de crédito, claves de acceso AWS secretas o números de pasaporte de un país o región determinados. Al crear una política de protección de datos, puede configurarla para que utilice estos identificadores con el fin de analizar los registros que se introducen en el grupo de registro y tomar medidas cuando se detecten.
CloudWatch La protección de datos de los registros puede detectar las siguientes categorías de datos confidenciales mediante identificadores de datos gestionados:
+ Credenciales, como claves privadas o claves de acceso AWS secretas
+ Información financiera, como números de tarjetas de crédito
+ Información de identificación personal (PII), como licencias de conducir o números de la seguridad social
+ Información médica protegida (PHI), como números de seguro médico o identificación médica
+ Identificadores de dispositivos, como direcciones IP o direcciones MAC
Para obtener más información sobre los tipos de datos que puede proteger, consulte [Tipos de datos que puede proteger](protect-sensitive-log-data-types.md).
**Contents**
+ [Descripción de las políticas de protección de datos](cloudwatch-logs-data-protection-policies.md)
+ [¿Qué son las políticas de protección de datos?](cloudwatch-logs-data-protection-policies.md#what-are-data-protection-policies)
+ [¿Cómo está estructurada la política de protección de datos?](cloudwatch-logs-data-protection-policies.md#overview-of-data-protection-policies)
+ [Propiedades JSON para la política de protección de datos](cloudwatch-logs-data-protection-policies.md#data-protection-policy-json-properties)
+ [Propiedades JSON de una instrucción de política](cloudwatch-logs-data-protection-policies.md#policy-statement-json-properties)
+ [Propiedades JSON de una operación de instrucción de política](cloudwatch-logs-data-protection-policies.md#statement-operation-json-properties)
+ [Permisos de IAM requeridos para crear una política de protección de datos o trabajar con ella](data-protection-policy-permissions.md)
+ [Permisos necesarios para las políticas de protección de datos de la cuenta](data-protection-policy-permissions.md#data-protection-policy-permissions-accountlevel)
+ [Permisos necesarios para las políticas de protección de datos de un único grupo de registro](data-protection-policy-permissions.md#data-protection-policy-permissions-loggroup)
+ [Política de protección de datos de ejemplo](data-protection-policy-permissions.md#data-protection-policy-sample)
+ [Creación de una política de protección de datos para toda la cuenta](mask-sensitive-log-data-accountlevel.md)
+ [Consola](mask-sensitive-log-data-accountlevel.md#mask-sensitive-log-data-accountlevel-console)
+ [AWS CLI](mask-sensitive-log-data-accountlevel.md#mask-sensitive-log-data-accountlevel-cli)
+ [Sintaxis de la política de protección de datos para AWS CLI nuestras operaciones de API](mask-sensitive-log-data-accountlevel.md#mask-sensitive-log-data-policysyntax-account)
+ [Creación de una política de protección de datos para un único grupo de registro](mask-sensitive-log-data-start.md)
+ [Consola](mask-sensitive-log-data-start.md#mask-sensitive-log-data-start-console)
+ [AWS CLI](mask-sensitive-log-data-start.md#mask-sensitive-log-data-start-cli)
+ [Sintaxis de la política de protección de datos para AWS CLI nuestras operaciones de API](mask-sensitive-log-data-start.md#mask-sensitive-log-data-policysyntax)
+ [Visualización de datos desenmascarados](mask-sensitive-log-data-viewunmasked.md)
+ [Informes de resultados de auditoría](mask-sensitive-log-data-audit-findings.md)
+ [Política clave necesaria para enviar los resultados de la auditoría a un depósito protegido por AWS KMS](mask-sensitive-log-data-audit-findings.md#mask-sensitive-log-data-audit-findings-kms)
+ [Tipos de datos que puede proteger](protect-sensitive-log-data-types.md)
+ [CloudWatch Registra los identificadores de datos gestionados para tipos de datos confidenciales](CWL-managed-data-identifiers.md)
+ [Credenciales](protect-sensitive-log-data-types-credentials.md)
+ [Identificador de datos ARNs para los tipos de datos de credenciales](protect-sensitive-log-data-types-credentials.md#cwl-data-protection-credentials-arns)
+ [Identificadores de dispositivos](protect-sensitive-log-data-types-device.md)
+ [Identificador de datos ARNs para los tipos de datos de los dispositivos](protect-sensitive-log-data-types-device.md#cwl-data-protection-devices-arns)
+ [Información financiera](protect-sensitive-log-data-types-financial.md)
+ [Identificador de datos ARNs para los tipos de datos financieros](protect-sensitive-log-data-types-financial.md#cwl-data-protection-financial-arns)
+ [Información médica protegida (PHI)](protect-sensitive-log-data-types-health.md)
+ [Identificador de datos ARNs para los tipos de datos de información de salud protegida (PHI)](protect-sensitive-log-data-types-health.md#cwl-data-protection-phi-arns)
+ [Información de identificación personal (PII)](protect-sensitive-log-data-types-pii.md)
+ [Palabras clave de números de identificación del permiso de conducir](protect-sensitive-log-data-types-pii.md#CWL-managed-data-identifiers-pii-dl-keywords)
+ [Palabras clave para números de documentos nacionales de identificación](protect-sensitive-log-data-types-pii.md#CWL-managed-data-identifiers-pii-natlid-keywords)
+ [Palabras clave para números de pasaporte](protect-sensitive-log-data-types-pii.md#CWL-managed-data-identifiers-pii-passport-keywords)
+ [Palabras clave para números de identificación y referencia del contribuyente](protect-sensitive-log-data-types-pii.md#CWL-managed-data-identifiers-financial-tin-keywords)
+ [Identificador de datos ARNs para la información de identificación personal (PII)](protect-sensitive-log-data-types-pii.md#CWL-data-protection-pii-arns)
+ [Identificadores de datos personalizados](CWL-custom-data-identifiers.md)
+ [¿Qué son los identificadores de datos personalizados?](CWL-custom-data-identifiers.md#what-are-custom-data-identifiers)
+ [Restricciones de identificadores de datos personalizados](CWL-custom-data-identifiers.md#custom-data-identifiers-constraints)
+ [Uso de identificadores de datos personalizados en la consola](CWL-custom-data-identifiers.md#using-custom-data-identifiers-console)
+ [Uso de identificadores de datos personalizados en la política de protección de datos](CWL-custom-data-identifiers.md#using-custom-data-identifiers)
# Descripción de las políticas de protección de datos
**Topics**
+ [¿Qué son las políticas de protección de datos?](#what-are-data-protection-policies)
+ [¿Cómo está estructurada la política de protección de datos?](#overview-of-data-protection-policies)
## ¿Qué son las políticas de protección de datos?
CloudWatch Logs utiliza **políticas de protección** de datos para seleccionar los datos confidenciales que desea escanear y las medidas que desea tomar para protegerlos. Para seleccionar los datos confidenciales de interés, utilice [identificadores de datos](CWL-managed-data-identifiers.md). CloudWatch Registra la protección de datos y, a continuación, detecta los datos confidenciales mediante el aprendizaje automático y la coincidencia de patrones. En respuesta a los identificadores de datos encontrados, puede definir operaciones de **auditoría** y **desidentificación**. Estas operaciones le permiten registrar los datos confidenciales encontrados (o no encontrados) y enmascarar los datos confidenciales cuando se consultan los eventos de registro.
## ¿Cómo está estructurada la política de protección de datos?
Tal y como se muestra en la siguiente figura, un documento de la política de protección de datos incluye los siguientes elementos:
+ Información opcional aplicable a toda la política en la parte superior del documento
+ Una declaración que defina la auditoría y desidentifique acciones
Solo se puede definir una política de protección de datos por grupo de CloudWatch registros. La política de protección de datos puede incluir una o varias instrucciones de denegación o anonimización, pero solo una instrucción de auditoría.
### Propiedades JSON para la política de protección de datos
Una política de protección de datos requiere la siguiente información básica para su identificación:
+ **Name**: el nombre de la política.
+ **Description** (opcional): la descripción de la política.
+ **Version**: la versión del idioma de la política. La versión actual es 2021-06-01.
+ **Statement**: una lista de instrucciones en la que se especifican las acciones de la política de protección de datos.
```
{
"Name": "CloudWatchLogs-PersonalInformation-Protection",
"Description": "Protect basic types of sensitive data",
"Version": "2021-06-01",
"Statement": [
...
]
}
```
### Propiedades JSON de una instrucción de política
Una instrucción de política establece el contexto de detección de la operación de protección de datos.
+ **Sid** (opcional): el identificador de la instrucción.
+ **DataIdentifier**— Los datos confidenciales que CloudWatch Logs debe escanear. Por ejemplo, nombre, dirección o número de teléfono.
+ **Funcionamiento****: las acciones de seguimiento, ya sea **auditar** o desidentificar.** CloudWatch Logs realiza estas acciones cuando encuentra datos confidenciales.
```
{
...
"Statement": [
{
"Sid": "audit-policy",
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/Address"
],
"Operation": {
"Audit": {
"FindingsDestination": {}
}
}
},
```
### Propiedades JSON de una operación de instrucción de política
Una instrucción de política establece una de las siguientes operaciones de protección de datos.
+ **Audit** (Auditoría): emite informes de métricas y hallazgos sin interrumpir el registro. Las cadenas que coinciden incrementan la **LogEventsWithFindings**métrica que CloudWatch Logs publica en el espacio de nombres de **AWS/Logs**. CloudWatch Puede utilizar estas métricas para crear alarmas.
Para ver un ejemplo de un informe de resultados, consulte [Informes de resultados de auditoría](mask-sensitive-log-data-audit-findings.md).
Para obtener más información sobre las métricas a las que envía CloudWatch Logs, consulte. CloudWatch [Monitorización con CloudWatch métricas](CloudWatch-Logs-Monitoring-CloudWatch-Metrics.md)
+ **De-identify** (Desidentificar): enmascara los datos confidenciales sin interrumpir el registro.
# Permisos de IAM requeridos para crear una política de protección de datos o trabajar con ella
Para poder trabajar con políticas de protección de datos para los grupos de registro, debe tener ciertos permisos, como se muestra en las tablas siguientes. Los permisos son diferentes para las políticas de protección de datos de toda la cuenta y para las políticas de protección de datos que se aplican a un único grupo de registro.
## Permisos necesarios para las políticas de protección de datos de la cuenta
**nota**
Si realiza alguna de estas operaciones dentro de una función de Lambda, el rol de ejecución de Lambda y el límite de permisos también deben incluir los siguientes permisos.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/AmazonCloudWatch/latest/logs/data-protection-policy-permissions.html)
Si ya se están enviando registros de auditoría de protección de datos a algún destino, las demás políticas que envíen registros al mismo destino solo necesitan los permisos `logs:PutDataProtectionPolicy` y `logs:CreateLogDelivery`.
## Permisos necesarios para las políticas de protección de datos de un único grupo de registro
**nota**
Si realiza alguna de estas operaciones dentro de una función de Lambda, el rol de ejecución de Lambda y el límite de permisos también deben incluir los siguientes permisos.
| Operación | Se necesita permiso de IAM | Recurso |
| --- | --- | --- |
| Crear una política de protección de datos sin destinos de auditoría | `logs:PutDataProtectionPolicy` | `arn:aws:logs:::log-group:YOUR_LOG_GROUP:*` |
| Cree una política de protección de datos con CloudWatch Logs como destino de auditoría | `logs:PutDataProtectionPolicy` `logs:CreateLogDelivery` `logs:PutResourcePolicy` `logs:DescribeResourcePolicies` `logs:DescribeLogGroups` | `arn:aws:logs:::log-group:YOUR_LOG_GROUP:*` `*` `*` `*` `*` |
| Creación de una política de protección de datos con Firehose como destino de auditoría | `logs:PutDataProtectionPolicy` `logs:CreateLogDelivery` `firehose:TagDeliveryStream` | `arn:aws:logs:::log-group:YOUR_LOG_GROUP:*` `*` `arn:aws:logs:::deliverystream/YOUR_DELIVERY_STREAM` |
| Create a data protection policy with Amazon S3 as an audit destination | `logs:PutDataProtectionPolicy` `logs:CreateLogDelivery` `s3:GetBucketPolicy` `s3:PutBucketPolicy` | `arn:aws:logs:::log-group:YOUR_LOG_GROUP:*` `*` `arn:aws:s3:::YOUR_BUCKET` `arn:aws:s3:::YOUR_BUCKET` |
| Unmask masked log events | `logs:Unmask` | `arn:aws:logs:::log-group:YOUR_LOG_GROUP:*` |
| View an existing data protection policy | `logs:GetDataProtectionPolicy` | `arn:aws:logs:::log-group:YOUR_LOG_GROUP:*` |
| Eliminar una política de protección de datos | `logs:DeleteDataProtectionPolicy` | `arn:aws:logs:::log-group:YOUR_LOG_GROUP:*` |
Si ya se están enviando registros de auditoría de protección de datos a algún destino, las demás políticas que envíen registros al mismo destino solo necesitan los permisos `logs:PutDataProtectionPolicy` y `logs:CreateLogDelivery`.
## Política de protección de datos de ejemplo
La siguiente política de ejemplo permite al usuario crear, visualizar y eliminar las políticas de protección de datos que pueden enviar los resultados de las auditorías a los tres tipos de destinos de auditoría. No permite que el usuario vea los datos desenmascarados.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowLogDeliveryConfiguration",
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:PutResourcePolicy",
"logs:DescribeLogGroups",
"logs:DescribeResourcePolicies"
],
"Resource": "*"
},
{
"Sid": "AllowDataProtectionAndBucketConfiguration",
"Effect": "Allow",
"Action": [
"logs:GetDataProtectionPolicy",
"logs:DeleteDataProtectionPolicy",
"logs:PutDataProtectionPolicy",
"s3:PutBucketPolicy",
"firehose:TagDeliveryStream",
"s3:GetBucketPolicy"
],
"Resource": [
"arn:aws:firehose:us-east-1:111122223333:deliverystream/delivery-stream-name",
"arn:aws:s3:::amzn-s3-demo-destination-bucket",
"arn:aws:logs:us-east-1:111122223333:log-group:log-group-name:*"
]
}
]
}
```
------
# Creación de una política de protección de datos para toda la cuenta
Puedes usar la consola o los AWS CLI comandos de CloudWatch Logs para crear una política de protección de datos que oculte los datos confidenciales de todos los grupos de registros de tu cuenta. Esto afectará tanto a los grupos de registro actuales como a los que cree en el futuro.
**importante**
Los datos confidenciales se detectan y enmascaran cuando se introducen en el grupo de registro. Al establecer una política de protección de datos, los eventos de registro que se introducen en el grupo de registro antes de esa hora no se enmascaran.
**Topics**
+ [Consola](#mask-sensitive-log-data-accountlevel-console)
+ [AWS CLI](#mask-sensitive-log-data-accountlevel-cli)
## Consola
**Para utilizar la consola con el fin de crear una política de protección de datos para toda la cuenta**
1. Abre la CloudWatch consola en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. En el panel de navegación, seleccione **Configuración**. Se encuentra cerca del final de la lista.
1. Elija la pestaña **Logs (Registros)**.
1. Elija **Configurar**.
1. En **Identificadores de datos administrados**, seleccione los tipos de datos que desea auditar y enmascarar para todos sus grupos de registro. Puede escribir en el cuadro de selección para buscar los identificadores que desee.
Le recomendamos que seleccione solo los identificadores de datos que sean relevantes para sus datos de registro y para su empresa. Elegir muchos tipos de datos puede generar falsos positivos.
Para obtener más información sobre qué tipos de datos puede proteger, consulte [Tipos de datos que puede proteger](protect-sensitive-log-data-types.md).
1. (Opcional) Si quiere auditar y enmascarar otros tipos de datos mediante identificadores de datos personalizados, seleccione **Agregar identificador de datos personalizado**. A continuación, introduzca un nombre para el tipo de datos y la expresión regular que desee utilizar para buscar ese tipo de datos en los eventos de registro. Para obtener más información, consulte [Identificadores de datos personalizados](CWL-custom-data-identifiers.md).
Una única política de protección de datos puede incluir hasta 10 identificadores de datos personalizados. Cada expresión regular que define un identificador de datos personalizado debe tener 200 caracteres o menos.
1. (Opcional) Elija uno o más servicios a los que se deben enviar los resultados de la auditoría. Incluso si decide no enviar los resultados de la auditoría a ninguno de estos servicios, los tipos de datos confidenciales que seleccione seguirán ocultos.
1. Seleccione **Activate data protection** (Activar protección de datos).
## AWS CLI
**Para usar el AWS CLI para crear una política de protección de datos**
1. Utilice un editor de texto para crear un archivo de política llamado `DataProtectionPolicy.json`. Para obtener información sobre la sintaxis de la política, consulte la siguiente sección.
1. Introduzca el siguiente comando:
```
aws logs put-account-policy \
--policy-name TEST_POLICY --policy-type "DATA_PROTECTION_POLICY" \
--policy-document file://policy.json \
--scope "ALL" \
--region us-west-2
```
### Sintaxis de la política de protección de datos para AWS CLI nuestras operaciones de API
Al crear una política de protección de datos de JSON para utilizarla en un AWS CLI comando o una operación de API, la política debe incluir dos bloques de JSON:
+ El primer bloque debe incluir tanto una matriz `DataIdentifer` como una propiedad `Operation` con una acción `Audit`. La matriz `DataIdentifer` busca los tipos de datos confidenciales que desea enmascarar. Para obtener más información sobre las opciones disponibles, consulte [Tipos de datos que puede proteger](protect-sensitive-log-data-types.md).
La propiedad `Operation` con una acción `Audit` es necesaria para encontrar los términos de datos confidenciales. Esta acción `Audit` debe contener un objeto `FindingsDestination`. De forma opcional, puede utilizar ese objeto `FindingsDestination` para enumerar uno o más destinos a los que se deben enviar los informes de resultados de la auditoría. Si especifica destinos como grupos de registro, flujos de Amazon Data Firehose y buckets de S3, ya deben existir. Para ver un ejemplo de un informe de resultados de auditoría, consulte [Informes de resultados de auditoría](mask-sensitive-log-data-audit-findings.md).
+ El segundo bloque debe incluir tanto una matriz `DataIdentifer` como una propiedad `Operation` con una acción `Deidentify`. La matriz `DataIdentifer` debe coincidir exactamente con la matriz `DataIdentifer` del primer bloque de la política.
La propiedad `Operation` con la acción `Deidentify` es lo que realmente enmascara los datos y debe contener el objeto ` "MaskConfig": {}`. El objeto ` "MaskConfig": {}` debe estar vacío.
En el siguiente ejemplo verá una política de protección de datos que utiliza solo identificadores de datos administrados. Esta política enmascara las direcciones de correo electrónico y los permisos de conducir de los Estados Unidos.
Para obtener información sobre las políticas que especifican identificadores de datos personalizados, consulte [Uso de identificadores de datos personalizados en la política de protección de datos](CWL-custom-data-identifiers.md#using-custom-data-identifiers).
```
{
"Name": "data-protection-policy",
"Description": "test description",
"Version": "2021-06-01",
"Statement": [{
"Sid": "audit-policy",
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/EmailAddress",
"arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
],
"Operation": {
"Audit": {
"FindingsDestination": {
"CloudWatchLogs": {
"LogGroup": "EXISTING_LOG_GROUP_IN_YOUR_ACCOUNT,"
},
"Firehose": {
"DeliveryStream": "EXISTING_STREAM_IN_YOUR_ACCOUNT"
},
"S3": {
"Bucket": "EXISTING_BUCKET"
}
}
}
}
},
{
"Sid": "redact-policy",
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/EmailAddress",
"arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
],
"Operation": {
"Deidentify": {
"MaskConfig": {}
}
}
}
]
}
```
# Creación de una política de protección de datos para un único grupo de registro
Puedes usar la consola o los AWS CLI comandos de CloudWatch Logs para crear una política de protección de datos que oculte los datos confidenciales.
Puede asignar una política de protección de datos a cada grupo de registro. Cada política de protección de datos puede auditar varios tipos de información. Cada política de protección de datos puede incluir una declaración de auditoría.
**Topics**
+ [Consola](#mask-sensitive-log-data-start-console)
+ [AWS CLI](#mask-sensitive-log-data-start-cli)
## Consola
**Para utilizar la consola con el fin de crear una política de protección de datos**
1. Abre la CloudWatch consola en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. En el panel de navegación, elija **Logs** (Registros), **Log groups** (Grupos de registro).
1. Elija el nombre del grupo de registro.
1. Elija **Actions** (Acciones), **Create data protection policy** (Crear política de protección de datos).
1. En **Identificadores de datos administrados**, seleccione los tipos de datos que desea auditar y enmascarar en este grupo de registro. Puede escribir en el cuadro de selección para buscar los identificadores que desee.
Le recomendamos que seleccione solo los identificadores de datos que sean relevantes para sus datos de registro y para su empresa. Elegir muchos tipos de datos puede generar falsos positivos.
Para obtener más información sobre qué tipos de datos puede proteger mediante los identificadores de datos administrados, consulte [Tipos de datos que puede proteger](protect-sensitive-log-data-types.md).
1. (Opcional) Si quiere auditar y enmascarar otros tipos de datos mediante identificadores de datos personalizados, seleccione **Agregar identificador de datos personalizado**. A continuación, introduzca un nombre para el tipo de datos y la expresión regular que desee utilizar para buscar ese tipo de datos en los eventos de registro. Para obtener más información, consulte [Identificadores de datos personalizados](CWL-custom-data-identifiers.md).
Una única política de protección de datos puede incluir hasta 10 identificadores de datos personalizados. Cada expresión regular que define un identificador de datos personalizado debe tener 200 caracteres o menos.
1. (Opcional) Elija uno o más servicios a los que se deben enviar los resultados de la auditoría. Incluso si decide no enviar los resultados de la auditoría a ninguno de estos servicios, los tipos de datos confidenciales que seleccione seguirán ocultos.
1. Seleccione **Activate data protection** (Activar protección de datos).
## AWS CLI
**Para usar el AWS CLI para crear una política de protección de datos**
1. Utilice un editor de texto para crear un archivo de política llamado `DataProtectionPolicy.json`. Para obtener información sobre la sintaxis de la política, consulte la siguiente sección.
1. Introduzca el siguiente comando:
```
aws logs put-data-protection-policy --log-group-identifier "my-log-group" --policy-document file:///Path/DataProtectionPolicy.json --region us-west-2
```
### Sintaxis de la política de protección de datos para AWS CLI nuestras operaciones de API
Al crear una política de protección de datos de JSON para utilizarla en un AWS CLI comando o una operación de API, la política debe incluir dos bloques de JSON:
+ El primer bloque debe incluir tanto una matriz `DataIdentifer` como una propiedad `Operation` con una acción `Audit`. La matriz `DataIdentifer` busca los tipos de datos confidenciales que desea enmascarar. Para obtener más información sobre las opciones disponibles, consulte [Tipos de datos que puede proteger](protect-sensitive-log-data-types.md).
La propiedad `Operation` con una acción `Audit` es necesaria para encontrar los términos de datos confidenciales. Esta acción `Audit` debe contener un objeto `FindingsDestination`. De forma opcional, puede utilizar ese objeto `FindingsDestination` para enumerar uno o más destinos a los que se deben enviar los informes de resultados de la auditoría. Si especifica destinos como grupos de registro, flujos de Amazon Data Firehose y buckets de S3, ya deben existir. Para ver un ejemplo de un informe de resultados de auditoría, consulte [Informes de resultados de auditoría](mask-sensitive-log-data-audit-findings.md).
+ El segundo bloque debe incluir tanto una matriz `DataIdentifer` como una propiedad `Operation` con una acción `Deidentify`. La matriz `DataIdentifer` debe coincidir exactamente con la matriz `DataIdentifer` del primer bloque de la política.
La propiedad `Operation` con la acción `Deidentify` es lo que realmente enmascara los datos y debe contener el objeto ` "MaskConfig": {}`. El objeto ` "MaskConfig": {}` debe estar vacío.
El siguiente es un ejemplo de una política de protección de datos que enmascara las direcciones de correo electrónico y las licencias de conducir de los Estados Unidos.
```
{
"Name": "data-protection-policy",
"Description": "test description",
"Version": "2021-06-01",
"Statement": [{
"Sid": "audit-policy",
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/EmailAddress",
"arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
],
"Operation": {
"Audit": {
"FindingsDestination": {
"CloudWatchLogs": {
"LogGroup": "EXISTING_LOG_GROUP_IN_YOUR_ACCOUNT,"
},
"Firehose": {
"DeliveryStream": "EXISTING_STREAM_IN_YOUR_ACCOUNT"
},
"S3": {
"Bucket": "EXISTING_BUCKET"
}
}
}
}
},
{
"Sid": "redact-policy",
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/EmailAddress",
"arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
],
"Operation": {
"Deidentify": {
"MaskConfig": {}
}
}
}
]
}
```
# Visualización de datos desenmascarados
Para ver los datos desenmascarados, el usuario debe tener el permiso `logs:Unmask`. Los usuarios con este permiso pueden consultar los datos desenmascarados de las siguientes maneras:
+ Al ver los eventos de un flujo de registro, elija **Display** (Mostrar), **Unmask** (Desenmascarar).
+ Utilice una consulta de CloudWatch Logs Insights que incluya el comando **unmask (@message)**. La siguiente consulta de ejemplo muestra los 20 eventos de registro más recientes del flujo, sin enmascarar:
```
fields @timestamp, @message, unmask(@message)
| sort @timestamp desc
| limit 20
```
Para obtener más información sobre CloudWatch los comandos de Logs Insights, consulte[CloudWatch Registra la sintaxis de consulta del lenguaje Insights](CWL_QuerySyntax.md).
+ Utilice una [ FilterLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_FilterLogEvents.html)operación [ GetLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogEvents.html)o con el `unmask` parámetro.
La **CloudWatchLogsFullAccess**política incluye el `logs:Unmask` permiso. Para `logs:Unmask` concedérselo a un usuario que no lo tiene **CloudWatchLogsFullAccess**, puedes adjuntar una política de IAM personalizada a ese usuario. Para obtener más información, consulte [Adición de permisos a un usuario (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console).
# Informes de resultados de auditoría
Si configuras las políticas de auditoría de protección de datos de CloudWatch Logs para escribir informes de auditoría en CloudWatch Logs, Amazon S3 o Firehose, estos informes de resultados son similares a los del siguiente ejemplo. CloudWatch Logs escribe un informe de resultados para cada evento de registro que contiene datos confidenciales.
```
{
"auditTimestamp": "2023-01-23T21:11:20Z",
"resourceArn": "arn:aws:logs:us-west-2:111122223333:log-group:/aws/lambda/MyLogGroup:*",
"dataIdentifiers": [
{
"name": "EmailAddress",
"count": 2,
"detections": [
{
"start": 13,
"end": 26
},
{
"start": 30,
"end": 43
}
]
}
]
}
```
Los campos del informe son los siguientes:
+ El campo `resourceArn` muestra el grupo de registro en el que se encontraron los datos confidenciales.
+ El objeto `dataIdentifiers` muestra información sobre los resultados de un tipo de datos confidenciales que está auditando.
+ El campo `name` identifica el tipo de datos confidenciales sobre los que se informa en esta sección.
+ El campo `count` muestra el número de veces que este tipo de datos confidenciales aparece en el evento de registro.
+ Los campos `start` y `end` muestran en qué parte del evento de registro, por recuento de caracteres, aparece cada resultado de datos confidenciales.
El ejemplo anterior muestra un informe sobre la búsqueda de dos direcciones de correo electrónico en un evento de registro. La primera dirección de correo electrónico comienza en el carácter 13 del evento de registro y termina en el carácter 26. La segunda dirección de correo electrónico va del carácter 30 al 43. Aunque este evento de registro tiene dos direcciones de correo electrónico, el valor de la métrica `LogEventsWithFindings` solo se incrementa en uno, ya que esa métrica cuenta la cantidad de eventos de registro que contienen datos confidenciales, no la cantidad de resultados de datos confidenciales.
## Política clave necesaria para enviar los resultados de la auditoría a un depósito protegido por AWS KMS
Para proteger los datos de un bucket de Amazon S3, habilite el cifrado del servidor con las claves administradas de Amazon S3 (SSE-S3) o con el cifrado del servidor con claves de KMS (SSE-KMS). Para obtener más información, consulte [Protección de los datos con el cifrado del servidor](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html) en la Guía del usuario de Amazon S3.
Si envía los resultados de la auditoría a un bucket que está protegido con SSE-S3, no se requiere ninguna configuración adicional. Amazon S3 se encarga de la clave de cifrado.
Si envía los resultados de la auditoría a un bucket que está protegido con SSE-KMS, debe actualizar la política de claves para la clave de KMS, de manera que la cuenta de entrega de registros pueda escribir en el bucket de S3. Para obtener más información sobre la política de claves necesaria para su uso con SSE-KMS, consulte [Uso de cifrado del servidor del bucket de Amazon S3](AWS-logs-infrastructure-S3.md#AWS-logs-SSE-KMS-S3) la Guía del usuario de Amazon CloudWatch Logs.
# Tipos de datos que puede proteger
Esta sección contiene información sobre los tipos de datos que puede proteger en una política de protección de datos de CloudWatch Logs. CloudWatch Los identificadores de datos gestionados por Logs ofrecen tipos de datos preconfigurados para proteger los datos financieros, la información de salud personal (PHI) y la información de identificación personal (PII). También puede utilizar identificadores de datos personalizados para crear sus propios identificadores de datos adaptados a su caso de uso específico.
**Contents**
+ [CloudWatch Registra los identificadores de datos gestionados para tipos de datos confidenciales](CWL-managed-data-identifiers.md)
+ [Credenciales](protect-sensitive-log-data-types-credentials.md)
+ [Identificador de datos ARNs para los tipos de datos de credenciales](protect-sensitive-log-data-types-credentials.md#cwl-data-protection-credentials-arns)
+ [Identificadores de dispositivos](protect-sensitive-log-data-types-device.md)
+ [Identificador de datos ARNs para los tipos de datos de los dispositivos](protect-sensitive-log-data-types-device.md#cwl-data-protection-devices-arns)
+ [Información financiera](protect-sensitive-log-data-types-financial.md)
+ [Identificador de datos ARNs para los tipos de datos financieros](protect-sensitive-log-data-types-financial.md#cwl-data-protection-financial-arns)
+ [Información médica protegida (PHI)](protect-sensitive-log-data-types-health.md)
+ [Identificador de datos ARNs para los tipos de datos de información de salud protegida (PHI)](protect-sensitive-log-data-types-health.md#cwl-data-protection-phi-arns)
+ [Información de identificación personal (PII)](protect-sensitive-log-data-types-pii.md)
+ [Palabras clave de números de identificación del permiso de conducir](protect-sensitive-log-data-types-pii.md#CWL-managed-data-identifiers-pii-dl-keywords)
+ [Palabras clave para números de documentos nacionales de identificación](protect-sensitive-log-data-types-pii.md#CWL-managed-data-identifiers-pii-natlid-keywords)
+ [Palabras clave para números de pasaporte](protect-sensitive-log-data-types-pii.md#CWL-managed-data-identifiers-pii-passport-keywords)
+ [Palabras clave para números de identificación y referencia del contribuyente](protect-sensitive-log-data-types-pii.md#CWL-managed-data-identifiers-financial-tin-keywords)
+ [Identificador de datos ARNs para la información de identificación personal (PII)](protect-sensitive-log-data-types-pii.md#CWL-data-protection-pii-arns)
+ [Identificadores de datos personalizados](CWL-custom-data-identifiers.md)
+ [¿Qué son los identificadores de datos personalizados?](CWL-custom-data-identifiers.md#what-are-custom-data-identifiers)
+ [Restricciones de identificadores de datos personalizados](CWL-custom-data-identifiers.md#custom-data-identifiers-constraints)
+ [Uso de identificadores de datos personalizados en la consola](CWL-custom-data-identifiers.md#using-custom-data-identifiers-console)
+ [Uso de identificadores de datos personalizados en la política de protección de datos](CWL-custom-data-identifiers.md#using-custom-data-identifiers)
# CloudWatch Registra los identificadores de datos gestionados para tipos de datos confidenciales
Esta sección contiene información sobre los tipos de datos que puede proteger mediante identificadores de datos administrados y qué países y regiones son relevantes para cada tipo de datos.
En el caso de algunos tipos de datos confidenciales, la protección de datos de CloudWatch Logs busca palabras clave próximas a los datos y solo encuentra una coincidencia si encuentra esa palabra clave. Si una palabra clave debe estar cerca de un tipo de datos en particular, normalmente debe estar dentro de los 30 caracteres (ambos incluidos) de los datos.
Si una palabra clave contiene un espacio, la protección de datos de CloudWatch Logs busca automáticamente las variantes de palabras clave a las que no haya espacio o que contengan un guión bajo (`_`) o un guión (`-`) en lugar del espacio. En algunos casos, CloudWatch Logs también expande o abrevia una palabra clave para abordar las variaciones comunes de la misma.
En las siguientes tablas, se enumeran los tipos de información sobre credenciales, dispositivos, información financiera, médica y de salud protegida (PHI) que CloudWatch los registros pueden detectar mediante identificadores de datos gestionados. Estos datos se suman a ciertos tipos de datos que también podrían considerarse información de identificación personal (PII).
**Identificadores compatibles que son independientes del idioma y la región**
| Identificador | Categoría |
| --- | --- |
| `Address` | Personal |
| `AwsSecretKey` | Credenciales |
| `CreditCardExpiration` | Datos financieros |
| `CreditCardNumber` | Datos financieros |
| `CreditCardSecurityCode` | Datos financieros |
| `EmailAddress` | Personal |
| `IpAddress` | Personal |
| `LatLong` | Personal |
| `Name` | Personal |
| `OpenSshPrivateKey` | Credenciales |
| `PgpPrivateKey` | Credenciales |
| `PkcsPrivateKey` | Credenciales |
| `PuttyPrivateKey` | Credenciales |
| `VehicleIdentificationNumber` | Personal |
Los identificadores de datos dependientes de la región deben incluir el nombre del identificador y, a continuación, un guion y los códigos de dos letras (ISO 3166-1 alpha-2). Por ejemplo, `DriversLicense-US`.
**Identificadores compatibles que deben incluir un código de país o región de dos letras**
| Identificador | Categoría | Países e idiomas |
| --- | --- | --- |
| BankAccountNumber | Datos financieros | DE, ES, FR, GB, IT, US |
| CepCode | Personal | BR |
| Cnpj | Personal | BR |
| CpfCode | Personal | BR |
| DriversLicense | Personal | AT, AU, BE, BG, CA, CY, CZ, DE, DK, EE, ES, FI, FR, GB, GR, HR, HU, IE, IT, LT, LU, LV, MT, NL, PL, PT, RO, SE, SI, SK, US |
| DrugEnforcementAgencyNumber | Estado | EE. UU. |
| ElectoralRollNumber | Personal | GB |
| HealthInsuranceCardNumber | Estado | UE |
| HealthInsuranceClaimNumber | Estado | EE. UU. |
| HealthInsuranceNumber | Estado | FR |
| HealthcareProcedureCode | Estado | EE. UU. |
| IndividualTaxIdentificationNumber | Personal | EE. UU. |
| InseeCode | Personal | FR |
| MedicareBeneficiaryNumber | Estado | EE. UU. |
| NationalDrugCode | Estado | EE. UU. |
| NationalIdentificationNumber | Personal | DE, ES, IT |
| NationalInsuranceNumber | Personal | GB |
| NationalProviderId | Estado | EE. UU. |
| NhsNumber | Estado | GB |
| NieNumber | Personal | ES |
| NifNumber | Personal | ES |
| PassportNumber | Personal | CA, DE, ES, FR, GB, IT, US |
| PermanentResidenceNumber | Personal | CA |
| PersonalHealthNumber | Estado | CA |
| PhoneNumber | Personal | BR, DE, ES, FR, GB, IT, US |
| PostalCode | Personal | CA |
| RgNumber | Personal | BR |
| SocialInsuranceNumber | Personal | CA |
| Ssn | Personal | ES, US |
| TaxId | Personal | DE, ES, FR, GB |
| ZipCode | Personal | EE. UU. |
# Credenciales
CloudWatch La protección de datos de Logs puede encontrar los siguientes tipos de credenciales.
| Tipo de datos | ID del identificador de datos | Palabra clave necesaria | Países y regiones |
| --- | --- | --- | --- |
| AWS clave de acceso secreta | `AwsSecretKey` | `aws_secret_access_key`, `credentials`, `secret access key`, `secret key`, `set-awscredential` | Todos |
| Clave privada de OpenSSH | `OpenSSHPrivateKey` | Ninguno | Todos |
| Clave privada de PGP | `PgpPrivateKey` | Ninguno | Todos |
| Clave privada de Pkcs | `PkcsPrivateKey` | Ninguno | Todos |
| Clave privada PuTTY | `PuttyPrivateKey` | Ninguno | Todos |
## Identificador de datos ARNs para los tipos de datos de credenciales
A continuación, se enumeran los nombres de recursos de Amazon (ARNs) para los identificadores de datos que puede añadir a sus políticas de protección de datos.
| Identificador de datos de credenciales ARNs |
| --- |
| arn:aws:dataprotection::aws:data-identifier/AwsSecretKey |
| arn:aws:dataprotection::aws:data-identifier/OpenSshPrivateKey |
| arn:aws:dataprotection::aws:data-identifier/PgpPrivateKey |
| arn:aws:dataprotection::aws:data-identifier/PkcsPrivateKey |
| arn:aws:dataprotection::aws:data-identifier/PuttyPrivateKey |
# Identificadores de dispositivos
CloudWatch La protección de datos de los registros puede encontrar los siguientes tipos de identificadores de dispositivos.
| Tipo de datos | ID del identificador de datos | Palabra clave necesaria | Países y regiones |
| --- | --- | --- | --- |
| Dirección IP | `IpAddress` | Ninguno | Todos |
## Identificador de datos ARNs para los tipos de datos de los dispositivos
A continuación, se enumeran los nombres de recursos de Amazon (ARNs) para los identificadores de datos que puede añadir a sus políticas de protección de datos.
| ARN de identificador de datos de dispositivos |
| --- |
| arn:aws:dataprotection::aws:data-identifier/IpAddress |
# Información financiera
CloudWatch La protección de datos de Logs puede encontrar los siguientes tipos de información financiera.
Si establece una política de protección de datos, CloudWatch Logs busca los identificadores de datos que especifique, independientemente de la geolocalización en la que se encuentre el grupo de registros. La información de la columna **Países y regiones** de esta tabla indica si se deben agregar códigos de país de dos letras al identificador de datos para detectar las palabras clave adecuadas para esos países y regiones.
| Tipo de datos | ID del identificador de datos | Palabra clave necesaria | Países y regiones | Notas |
| --- | --- | --- | --- | --- |
| Número de cuenta bancaria | `BankAccountNumber` | Sí. Se aplican diferentes palabras clave a diferentes países. Para obtener más información, consulte la tabla de **Palabras clave para números de cuentas bancarias** que aparece más adelante en esta sección. | Francia, Alemania, Italia, España, Reino Unido, Estados Unidos | Incluye números de cuentas bancarias internacionales (IBANs) que constan de hasta 34 caracteres alfanuméricos e incluyen elementos como los códigos de país. |
| Fecha de caducidad de la tarjeta | `CreditCardExpiration` | `exp d`, `exp m`, `exp y`, `expiration`, `expiry` | Todos | |
| Número de tarjeta de crédito | `CreditCardNumber` | `account number`, `american express`, `amex`, `bank card`, `card`, `card number`, `card num`, `cc #`, `ccn`, `check card`, `credit`, `credit card#`, `dankort`, `debit`, `debit card`, `diners club`, `discover`, `electron`, `japanese card bureau`, `jcb`, `mastercard`, `mc`, `pan`, `payment account number`, `payment card number`, `pcn`, `union pay`, `visa` | Todos | La detección requiere que los datos sean una secuencia de 13 a 19 dígitos que siga la fórmula del cheque de Luhn y utilice un prefijo de número de tarjeta estándar para cualquiera de los siguientes tipos de tarjetas de crédito: American Express, Dankort, Diner's Club, Discover, Electron, Japanese Card Bureau (JCB), Mastercard y Visa. UnionPay |
| Código de verificación de tarjeta de crédito | `CreditCardSecurityCode` | `card id`, `card identification code`, `card identification number`, `card security code`, `card validation code`, `card validation number`, `card verification data`, `card verification value`, `cvc`, `cvc2`, `cvv`, `cvv2`, `elo verification code` | Todos | |
**Palabras clave para números de cuentas bancarias**
Utilice las siguientes palabras clave para los números de cuentas bancarias. Esto incluye los números de cuentas bancarias internacionales (IBANs) que constan de hasta 34 caracteres alfanuméricos, incluidos elementos como los códigos de país.
| País | Palabras clave |
| --- | --- |
| Francia | `account code`, `account number`, `accountno#`, `accountnumber#`, `bban`, `code bancaire`, `compte bancaire`, `customer account id`, `customer account number`, `customer bank account id`, `iban`, `numéro de compte` |
| Alemania | `account code`, `account number`, `accountno#`, `accountnumber#`, `bankleitzahl`, `bban`, `customer account id`, `customer account number`, `customer bank account id`, `geheimzahl`, `iban`, `kartennummer`, `kontonummer`, `kreditkartennummer`, `sepa` |
| Italia | `account code`, `account number`, `accountno#`, `accountnumber#`, `bban`, `codice bancario`, `conto bancario`, `customer account id`, `customer account number`, `customer bank account id`, `iban`, `numero di conto` |
| España | `account code`, `account number`, `accountno#`, `accountnumber#`, `bban`, `código cuenta`, `código cuenta bancaria`, `cuenta cliente id`, `customer account ID`, `customer account number`, `customer bank account id`, `iban`, `número cuenta bancaria cliente`, `número cuenta cliente` |
| Reino Unido | `account code`, `account number`, `accountno#`, `accountnumber#`, `bban`, `customer account ID`, `customer account number`, `customer bank account id`, `iban`, `sepa` |
| Estados Unidos | `bank account`, `bank acct`, `checking account`, `checking acct`, `deposit account`, `deposit acct`, `savings account`, `savings acct`, `chequing account`, `chequing acct` |
CloudWatch Los registros no indican la aparición de las siguientes secuencias, que los emisores de tarjetas de crédito han reservado para su comprobación pública.
```
122000000000003, 2222405343248877, 2222990905257051, 2223007648726984, 2223577120017656,
30569309025904, 34343434343434, 3528000700000000, 3530111333300000, 3566002020360505, 36148900647913,
36700102000000, 371449635398431, 378282246310005, 378734493671000, 38520000023237, 4012888888881881,
4111111111111111, 4222222222222, 4444333322221111, 4462030000000000, 4484070000000000, 4911830000000,
4917300800000000, 4917610000000000, 4917610000000000003, 5019717010103742, 5105105105105100,
5111010030175156, 5185540810000019, 5200828282828210, 5204230080000017, 5204740009900014, 5420923878724339,
5454545454545454, 5455330760000018, 5506900490000436, 5506900490000444, 5506900510000234, 5506920809243667,
5506922400634930, 5506927427317625, 5553042241984105, 5555553753048194, 5555555555554444, 5610591081018250,
6011000990139424, 6011000400000000, 6011111111111117, 630490017740292441, 630495060000000000,
6331101999990016, 6759649826438453, 6799990100000000019, and 76009244561.
```
## Identificador de datos ARNs para los tipos de datos financieros
A continuación, se enumeran los nombres de recursos de Amazon (ARNs) para los identificadores de datos que puede añadir a sus políticas de protección de datos.
| Identificador de datos financieros ARNs |
| --- |
| arn:aws:dataprotection::aws:data-identifier/BankAccountNumber-DE |
| arn:aws:dataprotection::aws:data-identifier/BankAccountNumber-ES |
| arn:aws:dataprotection::aws:data-identifier/BankAccountNumber-FR |
| arn:aws:dataprotection::aws:data-identifier/BankAccountNumber-GB |
| arn:aws:dataprotection::aws:data-identifier/BankAccountNumber-IT |
| arn:aws:dataprotection::aws:data-identifier/BankAccountNumber-US |
| arn:aws:dataprotection::aws:data-identifier/CreditCardExpiration |
| arn:aws:dataprotection::aws:data-identifier/CreditCardNumber |
| arn:aws:dataprotection::aws:data-identifier/CreditCardSecurityCode |
# Información médica protegida (PHI)
CloudWatch La protección de datos de los registros puede encontrar los siguientes tipos de información de salud protegida (PHI).
Si establece una política de protección de datos, CloudWatch Logs busca los identificadores de datos que especifique, independientemente de la geolocalización en la que se encuentre el grupo de registros. La información de la columna **Países y regiones** de esta tabla indica si se deben agregar códigos de país de dos letras al identificador de datos para detectar las palabras clave adecuadas para esos países y regiones.
| Tipo de datos | ID del identificador de datos | Palabra clave necesaria | Países y regiones |
| --- | --- | --- | --- |
| Número de registro de la Administración para el Control de Drogas (DEA) | `DrugEnforcementAgencyNumber` | `dea number`, `dea registration` | Estados Unidos |
| Número de tarjeta de seguro médico (EHIC) | `HealthInsuranceCardNumber` | `assicurazione sanitaria numero`, `carta assicurazione numero`, `carte d’assurance maladie`, `carte européenne d'assurance maladie`, `ceam`, `ehic`, `ehic#`, `finlandehicnumber#`, `gesundheitskarte`, `hälsokort`, `health card`, `health card number`, `health insurance card`, `health insurance number`, `insurance card number`, `krankenversicherungskarte`, `krankenversicherungsnummer`, `medical account number`, `numero conto medico`, `numéro d’assurance maladie`, `numéro de carte d’assurance`, `numéro de compte medical`, `número de cuenta médica`, `número de seguro de salud`, `número de tarjeta de seguro`, `sairaanhoitokortin`, `sairausvakuutuskortti`, `sairausvakuutusnumero`, `sjukförsäkring nummer`, `sjukförsäkringskort`, `suomi ehic-numero`, `tarjeta de salud`, `terveyskortti`, `tessera sanitaria assicurazione numero`, `versicherungsnummer` | Unión Europea |
| Número de reclamación del seguro médico (HICN) | `HealthInsuranceClaimNumber` | `health insurance claim number`, `hic no`, `hic no.`, `hic number`, `hic#`, `hicn`, `hicn#`, `hicno#` | Estados Unidos |
| Número de seguro médico o identificación médica | `HealthInsuranceNumber` | `carte d'assuré social`, `carte vitale`, `insurance card` | Francia |
| Código del sistema de codificación de procedimientos comunes de atención médica (HCPCS) | `HealthcareProcedureCode` | `current procedural terminology`, `hcpcs`, `healthcare common procedure coding system` | Estados Unidos |
| Número de beneficiario de Medicare (MBN) | `MedicareBeneficiaryNumber` | `mbi`, `medicare beneficiary` | Estados Unidos |
| Código nacional de medicamento (NDC) | `NationalDrugCode` | `national drug code`, `ndc` | Estados Unidos |
| Identificador nacional de proveedores (NPI) | `NationalProviderId` | `hipaa`, `n.p.i.`, `national provider`, `npi` | Estados Unidos |
| Número del Servicio Nacional de Salud (NHS) | `NhsNumber` | `national health service`, `NHS` | Gran Bretaña |
| Número médico personal | `PersonalHealthNumber` | `canada healthcare number`, `msp number`, `care number`, `phn`, `soins de santé` | Canadá |
## Identificador de datos ARNs para los tipos de datos de información de salud protegida (PHI)
A continuación se muestra el identificador de datos Amazon Resource Names (ARNs) que se puede utilizar en las políticas de protección de datos de información médica protegida (PHI).
| Identificador de datos PHI ARNs |
| --- |
| arn:aws:dataprotection::aws:data-identifier/DrugEnforcementAgencyNumber-US |
| arn:aws:dataprotection::aws:data-identifier/HealthcareProcedureCode-US |
| arn:aws:dataprotection::aws:data-identifier/HealthInsuranceCardNumber-EU |
| arn:aws:dataprotection::aws:data-identifier/HealthInsuranceClaimNumber-US |
| arn:aws:dataprotection::aws:data-identifier/HealthInsuranceNumber-FR |
| arn:aws:dataprotection::aws:data-identifier/MedicareBeneficiaryNumber-US |
| arn:aws:dataprotection::aws:data-identifier/NationalDrugCode-US |
| arn:aws:dataprotection::aws:data-identifier/NationalInsuranceNumber-GB |
| arn:aws:dataprotection::aws:data-identifier/NationalProviderId-US |
| arn:aws:dataprotection::aws:data-identifier/NhsNumber-GB |
| arn:aws:dataprotection::aws:data-identifier/PersonalHealthNumber-CA |
# Información de identificación personal (PII)
CloudWatch La protección de datos de los registros puede encontrar los siguientes tipos de información de identificación personal (PII).
Si estableces una política de protección de datos, CloudWatch Logs busca los identificadores de datos que especifiques, independientemente de la geolocalización en la que se encuentre el grupo de registros. La información de la columna **Países y regiones** de esta tabla indica si se deben agregar códigos de país de dos letras al identificador de datos para detectar las palabras clave adecuadas para esos países y regiones.
| Tipo de datos | ID del identificador de datos | Palabra clave necesaria | Países y regiones | Notas |
| --- | --- | --- | --- | --- |
| Fecha de nacimiento | `DateOfBirth` | `dob`, `date of birth`, `birthdate`, `birth date`, `birthday`, `b-day`, `bday` | Cualquiera | La mayoría de los formatos de fecha están admitidos, como todos los dígitos y combinaciones de dígitos y nombres de meses. Los componentes de fecha se pueden separar mediante espacios, barras (/) o guiones (‐). |
| Código de Endereçamento Postal (CEP) | `CepCode` | `cep`, `código de endereçamento postal`, `codigo de endereçamento postal` | Brasil | |
| Cadastro Nacional da Pessoa Jurídica (CNPJ) | `Cnpj` | `cadastro nacional da pessoa jurídica`, `cadastro nacional da pessoa juridica`, `cnpj` | Brasil | |
| Cadastro de Pessoas Físicas (CPF) | `CpfCode` | `Cadastro de pessoas fisicas`, `cadastro de pessoas físicas`, `cadastro de pessoa física`, `cadastro de pessoa fisica`, `cpf` | Brasil | |
| Número de identificación del permiso de conducir | `DriversLicense` | Sí. Se aplican diferentes palabras clave a diferentes países. Para obtener más información, consulte la tabla de **Números de identificación de licencias de conducir** que se encuentra más adelante en esta sección. | Muchos países. Para obtener más información, consulte la tabla de **Números de identificación de licencias de conducir**. | |
| Número de registro electoral | `ElectoralRollNumber` | `electoral #`, `electoral number`, `electoral roll #`, `electoral roll no.`, `electoral roll number`, `electoralrollno` | Reino Unido | |
| Identificación individual del contribuyente | `IndividualTaxIdenticationNumber` | Sí. Se aplican diferentes palabras clave a diferentes países. Para obtener más información, consulte la tabla de **Números de identificación tributaria** que se encuentra más adelante en esta sección. | Brasil, Francia, Alemania, España, Reino Unido | |
| Instituto Nacional de Estadística y Estudios Económicos (INSEE) | `InseeCode` | Sí. Se aplican diferentes palabras clave a diferentes países. Para obtener más información, consulte la tabla de **Palabras claves para los números de identificación nacionales** que se encuentra más adelante en esta sección. | Francia | |
| Número de identificación nacional | `NationalIdentificationNumber` | Sí. Para obtener más información, consulte la tabla de **Palabras claves para los números de identificación nacionales** que se encuentra más adelante en esta sección. | Alemania, España, Italia | Esto incluye los identificadores del documento nacional de identidad (DNI) (España), los códigos del Codice Fiscale (Italia) y los números del documento nacional de identidad (Alemania). |
| Número de seguro nacional (NINO) | `NationalInsuranceNumber` | insurance no., insurance number, insurance\$1, national insurance number, nationalinsurance\$1, nationalinsurancenumber, nin, nino | Reino Unido | – |
| Número de identidad de extranjero (NIE) | `NieNumber` | Sí. Se aplican diferentes palabras clave a diferentes países. Para obtener más información, consulte la tabla de **Números de identificación tributaria** que se encuentra más adelante en esta sección. | España | |
| Número de identificación fiscal (NIF) | `NifNumber` | Sí. Se aplican diferentes palabras clave a diferentes países. Para obtener más información, consulte la tabla de **Números de identificación tributaria** que se encuentra más adelante en esta sección. | España | |
| Número de pasaporte | `PassportNumber` | Sí. Se aplican diferentes palabras clave a diferentes países. Para obtener más información, consulte la tabla de **Palabras clave para números de pasaporte** que aparece más adelante en esta sección. | Canadá, Francia, Alemania, Italia, España, Reino Unido, Estados Unidos | |
| Número de residencia permanente | `PermanentResidenceNumber` | carte résident permanent, numéro carte résident permanent, numéro résident permanent, permanent resident card, permanent resident card number, permanent resident no, permanent resident no., permanent resident number, pr no, pr no., pr non, pr number, résident permanent no., résident permanent non | Canadá | |
| Número de teléfono | `PhoneNumber` | Brasil: las palabras clave también incluyen: `cel`, `celular`, `fone`, `móvel`, `número residencial`, `numero residencial`, `telefone` Otras: `cell`, `contact`, `fax`, `fax number`, `mobile`, `phone`, `phone number`, `tel`, `telephone`, `telephone number` | Brasil, Canadá, Francia, Alemania, Italia, España, Reino Unido, Estados Unidos | Esto incluye los números gratuitos de Estados Unidos y números de fax. Si una palabra clave está cerca de los datos, no es necesario que el número incluya un código de país. Si una palabra clave no está cerca de los datos, el número debe incluir un código de país. |
| Postal Code (Código postal) | `PostalCode` | Ninguno | Canadá | |
| Registro Geral (RG) | `RgNumber` | Sí. Se aplican diferentes palabras clave a diferentes países. Para obtener más información, consulte la tabla de **Números de identificación tributaria** que se encuentra más adelante en esta sección. | Brasil | |
| Número de Seguro Social (SIN) | `SocialInsuranceNumber` | canadian id, numéro d'assurance sociale, social insurance number, sin | Canadá | |
| Número de la Seguridad Social (SSN) | `Ssn` | España: `número de la seguridad social`, `social security no.`, `social security no`, `número de la seguridad social`, `social security number`, `socialsecurityno#`, `ssn`, `ssn#` Estados Unidos: `social security`, `ss#`, `ssn` | España, Estados Unidos | |
| Número de identificación o referencia del contribuyente | `TaxId` | Sí. Se aplican diferentes palabras clave a diferentes países. Para obtener más información, consulte la tabla de **Números de identificación tributaria** que se encuentra más adelante en esta sección.. | Francia, Alemania, España, Reino Unido | Esto incluye TIN (Francia), Steueridentifikationsnummer (Alemania), CIF (España) y TRN, UTR (Reino Unido). |
| Código postal | `ZipCode` | zip code, zip\$14 | Estados Unidos | Código postal de los Estados Unidos. |
| Dirección postal | `Address` | Ninguno | Australia, Canadá, Francia, Alemania, Italia, España, Reino Unido, Estados Unidos | Aunque no se requiere una palabra clave, para la detección es necesario que la dirección incluya el nombre de una ciudad o lugar y un código postal. |
| Dirección de correo electrónico | `EmailAddress` | Ninguno | Cualquiera | |
| Coordenadas del sistema de posicionamiento global (GPS) | `LatLong` | coordinate, coordinates, lat long, latitude longitude, location, position | Cualquiera | CloudWatch Los registros pueden detectar las coordenadas GPS si las coordenadas de latitud y longitud se almacenan en pares y están en formato de grados decimales (DD), por ejemplo, 41.948614, -87.655311. No es compatible con coordenadas en formato de grados y minutos decimales (DDM), por ejemplo 41°56.9168'N 87°39.3187'O, o en formato de grados, minutos y segundos (DMS), por ejemplo 41°56'55.0104"N 87°39'19.1196"O. |
| Nombre completo | `Name` | Ninguno | Cualquiera | CloudWatch Los registros solo pueden detectar nombres completos. La compatibilidad se limita a los conjuntos de caracteres latinos. |
| Número de identificación de vehículo (VIN) | `VehicleIdentificationNumber` | Fahrgestellnummer, niv, numarul de identificare, numarul seriei de sasiu, serie sasiu, numer VIN, Número de Identificação do Veículo, Número de Identificación de Automóviles, numéro d'identification du véhicule, vehicle identification number, vin, VIN numeris | Cualquiera | CloudWatch Los registros pueden detectar VINs si constan de una secuencia de 17 caracteres y cumplen con las normas ISO 3779 y 3780. Estos estándares fueron diseñados para su uso en todo el mundo. |
## Palabras clave de números de identificación del permiso de conducir
Para detectar varios tipos de números de identificación del carné de conducir, CloudWatch Logs requiere que una palabra clave esté cerca de los números. En la siguiente tabla se enumeran las palabras clave que CloudWatch Logs reconoce para países y regiones específicos.
| País o región | Palabras clave |
| --- | --- |
| Australia | dl\$1 dl:, dl :, dlno\$1 driver licence, driver license, driver permit, drivers lic., drivers licence, driver's licence, drivers license, driver's license, drivers permit, driver's permit, drivers permit number, driving licence, driving license, driving permit |
| Austria | führerschein, fuhrerschein, führerschein republik österreich, fuhrerschein republik osterreich |
| Bélgica | fuehrerschein, fuehrerschein- nr, fuehrerscheinnummer, fuhrerschein, führerschein, fuhrerschein- nr, führerschein- nr, fuhrerscheinnummer, führerscheinnummer, numéro permis conduire, permis de conduire, rijbewijs, rijbewijsnummer |
| Bulgaria | превозно средство, свидетелство за управление на моторно, свидетелство за управление на мпс, сумпс, шофьорска книжка |
| Canadá | dl\$1, dl:, dlno\$1, driver licence, driver licences, driver license, driver licenses, driver permit, drivers lic., drivers licence, driver's licence, drivers licences, driver's licences, drivers license, driver's license, drivers licenses, driver's licenses, drivers permit, driver's permit, drivers permit number, driving licence, driving license, driving permit, permis de conduire |
| Croacia | vozačka dozvola |
| Chipre | άδεια οδήγησης |
| República Checa | číslo licence, císlo licence řidiče, číslo řidičského průkazu, ovladače lic., povolení k jízdě, povolení řidiče, řidiči povolení, řidičský prúkaz, řidičský průkaz |
| Dinamarca | kørekort, kørekortnummer |
| Estonia | juhi litsentsi number, juhiloa number, juhiluba, juhiluba number |
| Finlandia | ajokortin numero, ajokortti, förare lic., körkort, körkort nummer, kuljettaja lic., permis de conduire |
| Francia | permis de conduire |
| Alemania | fuehrerschein, fuehrerschein- nr, fuehrerscheinnummer, fuhrerschein, führerschein, fuhrerschein- nr, führerschein- nr, fuhrerscheinnummer, führerscheinnummer |
| Grecia | δεια οδήγησης, adeia odigisis |
| Hungría | illesztőprogramok lic, jogosítvány, jogsi, licencszám, vezető engedély, vezetői engedély |
| Irlanda | ceadúnas tiomána |
| Italia | patente di guida, patente di guida numero, patente guida, patente guida numero |
| Letonia | autovadītāja apliecība, licences numurs, vadītāja apliecība, vadītāja apliecības numurs, vadītāja atļauja, vadītāja licences numurs, vadītāji lic. |
| Lituania | vairuotojo pažymėjimas |
| Luxemburgo | fahrerlaubnis, führerschäin |
| Malta | liċenzja tas-sewqan |
| Países Bajos | permis de conduire, rijbewijs, rijbewijsnummer |
| Polonia | numer licencyjny, prawo jazdy, zezwolenie na prowadzenie |
| Portugal | carta de condução, carteira de habilitação, carteira de motorist, carteira habilitação, carteira motorist, licença condução, licença de condução, número de licença, número licença, permissão condução, permissão de condução |
| Rumanía | numărul permisului de conducere, permis de conducere |
| Eslovaquia | číslo licencie, číslo vodičského preukazu, ovládače lic., povolenia vodičov, povolenie jazdu, povolenie na jazdu, povolenie vodiča, vodičský preukaz |
| Eslovenia | vozniško dovoljenje |
| España | carnet conducer, el carnet de conducer, licencia conducer, licencia de manejo, número carnet conducer, número de carnet de conducer, número de permiso conducer, número de permiso de conducer, número licencia conducer, número permiso conducer, permiso conducción, permiso conducer, permiso de conducción |
| Suecia | ajokortin numero, dlno\$1 ajokortti, drivere lic., förare lic., körkort, körkort nummer, körkortsnummer, kuljettajat lic. |
| Reino Unido | dl\$1, dl:, dlno\$1, driver licence, driver licences, driver license, driver licenses, driver permit, drivers lic., drivers licence, driver's licence, drivers licences, driver's licences, drivers license, driver's license, drivers licenses, driver's licenses, drivers permit, driver's permit, drivers permit number, driving licence, driving license, driving permit |
| Estados Unidos | dl\$1, dl:, dlno\$1, driver licence, driver licences, driver license, driver licenses, driver permit, drivers lic., drivers licence, driver's licence, drivers licences, driver's licences, drivers license, driver's license, drivers licenses, driver's licenses, drivers permit, driver's permit, drivers permit number, driving licence, driving license, driving permit |
## Palabras clave para números de documentos nacionales de identificación
Para detectar varios tipos de números de identificación nacionales, CloudWatch Logs requiere que una palabra clave esté muy cerca de los números. Esto incluye los identificadores del documento nacional de identidad (DNI) (España), los códigos del Instituto Nacional de Estadística y Estudios Económicos (INSEE) de Francia, los números del documento nacional de identidad alemán y los números del Registro Geral (RG) (Brasil).
En la siguiente tabla se enumeran las palabras clave que CloudWatch Logs reconoce para países y regiones específicos.
| País o región | Palabras clave |
| --- | --- |
| Brasil | registro geral, rg |
| Francia | assurance sociale, carte nationale d’identité, cni, code sécurité sociale, French social security number, fssn\$1, insee, insurance number, national id number, nationalid\$1, numéro d'assurance, sécurité sociale, sécurité sociale non., sécurité sociale numéro, social, social security, social security number, socialsecuritynumber, ss\$1, ssn, ssn\$1 |
| Alemania | ausweisnummer, id number, identification number, identity number, insurance number, personal id, personalausweis |
| Italia | codice fiscal, dati anagrafici, ehic, health card, health insurance card, p. iva, partita i.v.a., personal data, tax code, tessera sanitaria |
| España | dni, dni\$1, dninúmero\$1, documento nacional de identidad, identidad único, identidadúnico\$1, insurance number, national identification number, national identity, nationalid\$1, nationalidno\$1, número nacional identidad, personal identification number, personal identity no, unique identity number, uniqueid\$1 |
## Palabras clave para números de pasaporte
Para detectar varios tipos de números de pasaporte, CloudWatch Logs requiere que una palabra clave esté cerca de los números. En la siguiente tabla se enumeran las palabras clave que CloudWatch Logs reconoce para países y regiones específicos.
| País o región | Palabras clave |
| --- | --- |
| Canadá | passeport, passeport\$1, passport, passport\$1, passportno, passportno\$1 |
| Francia | numéro de passeport, passeport, passeport\$1, passeport \$1, passeportn °, passeport n °, passeportNon, passeport non |
| Alemania | ausstellungsdatum, ausstellungsort, geburtsdatum, passport, passports, reisepass, reisepass–nr, reisepassnummer |
| Italia | italian passport number, numéro passeport, numéro passeport italien, passaporto, passaporto italiana, passaporto numero, passport number, repubblica italiana passaporto |
| España | españa pasaporte, libreta pasaporte, número pasaporte, pasaporte, passport, passport book, passport no, passport number, spain passport |
| Reino Unido | passeport \$1, passeport n °, passeportNon, passeport non, passeportn °, passport \$1, passport no, passport number, passport\$1, passportid |
| Estados Unidos | passport, travel document |
## Palabras clave para números de identificación y referencia del contribuyente
Para detectar varios tipos de números de identificación y referencia del contribuyente, CloudWatch Logs requiere que una palabra clave esté cerca de los números. En la siguiente tabla se enumeran las palabras clave que CloudWatch Logs reconoce para países y regiones específicos.
| País o región | Palabras clave |
| --- | --- |
| Brasil | cadastro de pessoa física, cadastro de pessoa fisica, cadastro de pessoas físicas, cadastro de pessoas fisicas, cadastro nacional da pessoa jurídica, cadastro nacional da pessoa juridica, cnpj, cpf |
| Francia | numéro d'identification fiscale, tax id, tax identification number, tax number, tin, tin\$1 |
| Alemania | identifikationsnummer, steuer id, steueridentifikationsnummer, steuernummer, tax id, tax identification number, tax number |
| España | cif, cif número, cifnúmero\$1, nie, nif, número de contribuyente, número de identidad de extranjero, número de identificación fiscal, número de impuesto corporativo, personal tax number, tax id, tax identification number, tax number, tin, tin\$1 |
| Reino Unido | paye, tax id, tax id no., tax id number, tax identification, tax identification\$1, tax no., tax number, tax reference, tax\$1, taxid\$1, temporary reference number, tin, trn, unique tax reference, unique taxpayer reference, utr |
| Estados Unidos | número de identificación tributaria individual (ITIN) |
## Identificador de datos ARNs para la información de identificación personal (PII)
En la siguiente tabla se enumeran los nombres de recursos de Amazon (ARNs) para los identificadores de datos de información de identificación personal (PII) que puede añadir a sus políticas de protección de datos.
| Identificador de datos de PII ARNs |
| --- |
| arn:aws:dataprotection::aws:data-identifier/Address |
| arn:aws:dataprotection::aws:data-identifier/CepCode-BR |
| arn:aws:dataprotection::aws:data-identifier/Cnpj-BR |
| arn:aws:dataprotection::aws:data-identifier/CpfCode-BR |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-AT |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-AU |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-BE |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-BG |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-CA |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-CY |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-CZ |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-DE |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-DK |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-EE |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-ES |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-FI |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-FR |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-GB |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-GR |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-HR |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-HU |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-IE |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-IT |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-LT |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-LU |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-LV |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-MT |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-NL |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-PL |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-PT |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-RO |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-SE |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-SI |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-SK |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-US |
| arn:aws:dataprotection::aws:data-identifier/ElectoralRollNumber-GB |
| arn:aws:dataprotection::aws:data-identifier/EmailAddress |
| arn:aws:dataprotection::aws:data-identifier/IndividualTaxIdentificationNumber-US |
| arn:aws:dataprotection::aws:data-identifier/InseeCode-FR |
| arn:aws:dataprotection::aws:data-identifier/LatLong |
| arn:aws:dataprotection::aws:data-identifier/Name |
| arn:aws:dataprotection::aws:data-identifier/NationalIdentificationNumber-DE |
| arn:aws:dataprotection::aws:data-identifier/NationalIdentificationNumber-ES |
| arn:aws:dataprotection::aws:data-identifier/NationalIdentificationNumber-IT |
| arn:aws:dataprotection::aws:data-identifier/NieNumber-ES |
| arn:aws:dataprotection::aws:data-identifier/NifNumber-ES |
| arn:aws:dataprotection::aws:data-identifier/PassportNumber-CA |
| arn:aws:dataprotection::aws:data-identifier/PassportNumber-DE |
| arn:aws:dataprotection::aws:data-identifier/PassportNumber-ES |
| arn:aws:dataprotection::aws:data-identifier/PassportNumber-FR |
| arn:aws:dataprotection::aws:data-identifier/PassportNumber-GB |
| arn:aws:dataprotection::aws:data-identifier/PassportNumber-IT |
| arn:aws:dataprotection::aws:data-identifier/PassportNumber-US |
| arn:aws:dataprotection::aws:data-identifier/PermanentResidenceNumber-CA |
| arn:aws:dataprotection::aws:data-identifier/PhoneNumber-BR |
| arn:aws:dataprotection::aws:data-identifier/PhoneNumber-DE |
| arn:aws:dataprotection::aws:data-identifier/PhoneNumber-ES |
| arn:aws:dataprotection::aws:data-identifier/PhoneNumber-FR |
| arn:aws:dataprotection::aws:data-identifier/PhoneNumber-GB |
| arn:aws:dataprotection::aws:data-identifier/PhoneNumber-IT |
| arn:aws:dataprotection::aws:data-identifier/PhoneNumber-US |
| arn:aws:dataprotection::aws:data-identifier/PostalCode-CA |
| arn:aws:dataprotection::aws:data-identifier/RgNumber-BR |
| arn:aws:dataprotection::aws:data-identifier/SocialInsuranceNumber-CA |
| arn:aws:dataprotection::aws:data-identifier/Ssn-ES |
| arn:aws:dataprotection::aws:data-identifier/Ssn-US |
| arn:aws:dataprotection::aws:data-identifier/TaxId-DE |
| arn:aws:dataprotection::aws:data-identifier/TaxId-ES |
| arn:aws:dataprotection::aws:data-identifier/TaxId-FR |
| arn:aws:dataprotection::aws:data-identifier/TaxId-GB |
| arn:aws:dataprotection::aws:data-identifier/VehicleIdentificationNumber |
| arn:aws:dataprotection::aws:data-identifier/ZipCode-US |
# Identificadores de datos personalizados
**Topics**
+ [¿Qué son los identificadores de datos personalizados?](#what-are-custom-data-identifiers)
+ [Restricciones de identificadores de datos personalizados](#custom-data-identifiers-constraints)
+ [Uso de identificadores de datos personalizados en la consola](#using-custom-data-identifiers-console)
+ [Uso de identificadores de datos personalizados en la política de protección de datos](#using-custom-data-identifiers)
## ¿Qué son los identificadores de datos personalizados?
Los identificadores de datos personalizados (CDIs) le permiten definir sus propias expresiones regulares personalizadas que se pueden utilizar en su política de protección de datos. Con los identificadores de datos personalizados, puede centrarse en los casos de uso de la información de identificación personal (PII) específica de la empresa que los [identificadores de datos administrados](CWL-managed-data-identifiers.md) no pueden proporcionar. Por ejemplo, puede usar un identificador de datos personalizado para buscar un empleado específico de la empresa. IDs Los identificadores de datos personalizados se pueden utilizar junto con los identificadores de datos administrados.
## Restricciones de identificadores de datos personalizados
CloudWatch Los identificadores de datos personalizados de los registros tienen las siguientes limitaciones:
+ Cada política de protección de datos admite un máximo de 10 identificadores de datos personalizados.
+ Los nombres de identificadores de datos personalizados tienen una longitud máxima de 128 caracteres. Se admiten los siguientes caracteres:
+ Alfanumérico: (a-zA-Z0-9)
+ Símbolos: ( “\$1” \$1 “-” )
+ RegEx tiene una longitud máxima de 200 caracteres. Se admiten los siguientes caracteres:
+ Alfanumérico: (a-zA-Z0-9)
+ Símbolos: ( “\$1” \$1 “\$1” \$1 “=” \$1 “@” \$1 / \$1 “;” \$1 “,” \$1 “-” \$1)
+ Caracteres reservados de RegEx: ( “^” \$1 “\$1” \$1 “?” \$1 “[” \$1 “]” \$1 “\$1” \$1 “\$1” \$1 “\$1” \$1 “\$1\$1” \$1 “\$1” \$1 “\$1” \$1 “.” )
+ Los identificadores de datos personalizados no pueden compartir el mismo nombre que un identificador de datos administrado.
+ Los identificadores de datos personalizados se pueden especificar en una política de protección de datos a nivel de cuenta o en políticas de protección de datos a nivel de grupo de registro. Igual que sucede con los identificadores de datos administrados, los identificadores de datos personalizados definidos en una política a nivel de cuenta funcionan junto a los identificadores de datos personalizados definidos en una política a nivel de grupo de registro.
## Uso de identificadores de datos personalizados en la consola
Cuando utiliza la CloudWatch consola para crear o editar una política de protección de datos, para especificar un identificador de datos personalizado solo tiene que introducir un nombre y una expresión regular para el identificador de datos. Por ejemplo, puede escribir **Employee\$1ID** como nombre y **EmployeeID-\$1d\$19\$1** como expresión regular. Esta expresión regular detectará y enmascarará los eventos de registro con nueve números después de `EmployeeID-`. Por ejemplo, `EmployeeID-123456789`
## Uso de identificadores de datos personalizados en la política de protección de datos
Si utiliza la AWS API AWS CLI o la API para especificar un identificador de datos personalizado, debe incluir el nombre del identificador de datos y la expresión regular en la política de JSON utilizada para definir la política de protección de datos. La siguiente política de protección de datos detecta y oculta los eventos de registro relacionados con un empleado específico de la empresa. IDs
1. Cree un bloque de `Configuration` en la política de protección de datos.
1. Ingrese un `Name` para el identificador de datos personalizado. Por ejemplo, **EmployeeId**.
1. Ingrese un `Regex` para el identificador de datos personalizado. Por ejemplo, **EmployeeID-\$1d\$19\$1**. Esta expresión regular coincidirá con los eventos de registro que contengan `EmployeeID-` y nueve dígitos después de `EmployeeID-`. Por ejemplo, `EmployeeID-123456789`
1. Consulte el siguiente identificador de datos personalizado en una instrucción de la política.
```
{
"Name": "example_data_protection_policy",
"Description": "Example data protection policy with custom data identifiers",
"Version": "2021-06-01",
"Configuration": {
"CustomDataIdentifier": [
{"Name": "EmployeeId", "Regex": "EmployeeId-\\d{9}"}
]
},
"Statement": [
{
"Sid": "audit-policy",
"DataIdentifier": [
"EmployeeId"
],
"Operation": {
"Audit": {
"FindingsDestination": {
"S3": {
"Bucket": "EXISTING_BUCKET"
}
}
}
}
},
{
"Sid": "redact-policy",
"DataIdentifier": [
"EmployeeId"
],
"Operation": {
"Deidentify": {
"MaskConfig": {
}
}
}
}
]
}
```
1. (Opcional) Siga agregando **identificadores de datos personalizados** adicionales al bloque de `Configuration` según sea necesario. Las políticas de protección de datos admiten actualmente un máximo de 10 identificadores de datos personalizados.