Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# La arquitectura AWS de referencia de privacidad
**Encuesta**
Nos encantaría saber su opinión. Envíe sus comentarios sobre la AWS PRA mediante una [breve encuesta](https://amazonmr.au1.qualtrics.com/jfe/form/SV_cMxJ0MG3jU91Fk2).
El siguiente diagrama ilustra la arquitectura AWS de referencia de privacidad (AWS PRA). Este es un ejemplo de una arquitectura que conecta muchas funciones y funciones relacionadas con la privacidad Servicios de AWS . Esta arquitectura se basa en una zona de aterrizaje que se gobierna en AWS Control Tower.
![\[Diagrama de los AWS servicios desplegados en la arquitectura de referencia de privacidad AWS\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/privacy-reference-architecture/images/aws-pra-architecture.png)
La AWS PRA incluye una arquitectura web sin servidor que se aloja en la cuenta de la aplicación de datos personales (PD). La arquitectura de esta cuenta es un ejemplo de una carga de trabajo que recopila datos personales directamente de los consumidores. En esta carga de trabajo, los usuarios se conectan a través de un nivel web. El nivel web interactúa con el nivel de aplicación. Este nivel recibe información del nivel web, procesa y almacena los datos, permite que los equipos internos autorizados y terceros accedan a los datos y, finalmente, los archiva y elimina cuando ya no son necesarios. La arquitectura es modular a propósito y se basa en eventos para demostrar muchas de las técnicas fundamentales de ingeniería de privacidad sin profundizar en casos de uso específicos, como lagos de datos, contenedores, computación o Internet de las cosas (IoT).
A continuación, en esta guía se describe en detalle cada cuenta de la organización. En ella se analizan los servicios y las características relacionados con la privacidad, las consideraciones y recomendaciones, y los diagramas correspondientes a cada una de las siguientes cuentas:
+ [Cuenta de administración de la organización](org-management-account.md)
+ [UO de seguridad: cuenta de herramientas de seguridad](security-tooling-account.md)
+ [UO de seguridad: cuenta de archivos de registro](log-archive-account.md)
+ [Unidad organizativa de infraestructura: cuenta de red](network-account.md)
+ [UO de datos personales: cuenta de la aplicación de datos personales](personal-data-account.md)
# Cuenta de administración de la organización
**Encuesta**
Nos encantaría saber su opinión. Envíe sus comentarios sobre la AWS PRA mediante una [breve encuesta](https://amazonmr.au1.qualtrics.com/jfe/form/SV_cMxJ0MG3jU91Fk2).
La cuenta de administración de la organización se usa principalmente para administrar la deriva de la configuración de los recursos para los controles de privacidad fundamentales en todas las cuentas de la organización, que está administrada por AWS Organizations. En esta cuenta también puede implementar nuevas cuentas de miembros de forma coherente, con muchos de los mismos controles de seguridad y privacidad. Para obtener más información sobre esta cuenta, consulte la [Arquitectura AWS de referencia de seguridad (AWS SRA).](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/org-management.html) El siguiente diagrama ilustra los servicios de AWS seguridad y privacidad que están configurados en la cuenta de administración de la organización.
![\[AWS servicios implementados en la cuenta de administración de la organización.\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/privacy-reference-architecture/images/Account-Org-Management.png)
**Topics**
+ [
## AWS Artifact
](#aws-artifact)
+ [
## AWS Control Tower
](#aws-control-tower)
+ [
## AWS Organizations
](#aws-organizations)
## AWS Artifact
[AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html) puede ayudarlo con las auditorías al proporcionar descargas de documentos de seguridad y cumplimiento de AWS bajo demanda. Para obtener más información sobre cómo se utiliza este servicio en un contexto de seguridad, consulte la [Arquitectura de referencia de seguridad de AWS](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/org-management.html#mgmt-artifact).
Esto le Servicio de AWS ayuda a comprender los controles que hereda AWS y a determinar qué controles le quedan por implementar en su entorno. AWS Artifact proporciona acceso a los informes AWS de seguridad y conformidad, como los informes de controles de sistemas y organizaciones (SOC) y los informes del sector de las tarjetas de pago (PCI). También proporciona acceso a las certificaciones de los organismos de acreditación de diferentes regiones geográficas y verticales de cumplimiento que validan la implementación y la eficacia operativa de los controles. AWS Si lo utiliza AWS Artifact, puede proporcionar los artefactos de AWS auditoría a sus auditores o reguladores como prueba de los controles de AWS seguridad y privacidad. Los siguientes informes pueden resultar útiles para demostrar la eficacia de los controles de privacidad de AWS :
+ **Informe de privacidad tipo 2 del SOC** 2: este informe demuestra la eficacia de AWS los controles sobre la forma en que se recopilan, utilizan, retienen, divulgan y eliminan los datos personales. También hay un [informe de privacidad del SOC 3](https://d1.awsstatic.com/whitepapers/compliance/AWS_SOC3.pdf), que es una descripción menos detallada de los controles de privacidad del SOC 2. Para obtener más información, consulte las [preguntas frecuentes sobre el SOC](https://aws.amazon.com/compliance/soc-faqs/).
+ **Catálogo de controles de cumplimiento de la computación en la nube (C5)**: este informe fue creado por la autoridad nacional de ciberseguridad de Alemania, el Bundesamt für Sicherheit in der Informationstechnik (BSI). En él se detallan los controles de seguridad que implementó AWS para cumplir con los requisitos del C5. También incluye requisitos de control de la privacidad adicionales relacionados con la ubicación de los datos, el aprovisionamiento de servicios, el lugar de jurisdicción y las obligaciones de divulgación de información.
+ **Informe de certificación ISO/IEC 27701:2019**: la [ISO/IEC 27701:2019](https://aws.amazon.com/compliance/iso-27701-faqs/?refid=sl_card) describe los requisitos y directrices para establecer y mejorar continuamente un sistema de administración de la información de privacidad (PIMS). Este informe detalla el alcance de esta certificación y puede servir como prueba de AWS certificación. Para obtener más información sobre esta norma, consulte [ISO/IEC 27701:2019](https://www.iso.org/standard/71670.html) (sitio web de la ISO).
## AWS Control Tower
[AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)le ayuda a configurar y administrar un entorno de AWS múltiples cuentas que sigue las prácticas recomendadas de seguridad prescriptivas. Para obtener más información sobre cómo se utiliza este servicio en un contexto de seguridad, consulte la [Arquitectura de referencia de seguridad de AWS](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/org-management.html#mgmt-tower).
También puede automatizar el despliegue de muchos controles proactivos, preventivos y de detección, también conocidos como *barreras* de protección, que se ajustan a sus requisitos de privacidad de datos, específicamente en lo que respecta a la residencia y la soberanía de los datos. AWS Control Tower Por ejemplo, puede especificar barreras de protección que limiten la transferencia de datos únicamente a las Regiones de AWS aprobadas. Para un control aún más detallado, puede elegir entre más de 17 barandas diseñadas para controlar la residencia de los datos, como no *permitir las conexiones de la Red Privada Virtual (VPN) de Amazon**, No permitir el acceso a Internet para una instancia de Amazon VPC* *y Denegar el acceso a AWS * según lo solicitado. Región de AWS Estas barreras están compuestas por una serie de AWS CloudFormation enlaces, políticas de control de servicios y AWS Config reglas que se pueden implementar de manera uniforme en toda la organización. Para obtener más información, consulte [los controles que mejoran la protección de la residencia de los datos en la documentación](https://docs.aws.amazon.com/controltower/latest/userguide/data-residency-controls.html). AWS Control Tower
En cuanto a la soberanía de los datos, AWS Control Tower actualmente proporciona controles preventivos, como *Exigir que un volumen adjunto de Amazon EBS esté configurado para cifrar los datos en reposo* y *Requerir una política de AWS KMS claves para incluir una declaración que limite la creación de AWS KMS subvenciones* a. Servicios de AWS Los controles de soberanía no son solo simples controles de residencia de datos. Ayudan a prevenir las acciones que podrían infringir los requisitos de residencia de datos, restricción de acceso detallado, cifrado y resiliencia. Para obtener más información, consulte [Preventive controls that assist with digital sovereignty](https://docs.aws.amazon.com/controltower/latest/controlreference/ds-preventive-controls.html) en la documentación de AWS Control Tower .
[Si necesita implementar barreras de privacidad más allá de los controles de residencia y soberanía de los datos, AWS Control Tower incluye una serie de controles obligatorios.](https://docs.aws.amazon.com/controltower/latest/userguide/mandatory-controls.html) Estos controles se implementan de forma predeterminada en todas las UO al configurar la zona de aterrizaje. Muchos de estos son controles preventivos diseñados para proteger los registros, como impedir la *eliminación del archivo de registros y *habilitar la validación de la integridad* del archivo de registro*. CloudTrail
AWS Control Tower también está integrado AWS Security Hub CSPM para proporcionar controles de detección. Estos controles se conocen como [estándar gestionado por el servicio](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html):. AWS Control Tower Puede utilizar estos controles para supervisar la deriva de la configuración de los controles de privacidad, como el cifrado en reposo de las instancias de base de datos de Amazon Relational Database Service (Amazon RDS).
## AWS Organizations
El AWS PRA se utiliza AWS Organizations para administrar de forma centralizada todas las cuentas dentro de la arquitectura. Para obtener más información, consulte la sección [AWS Organizations y la estructura de cuentas dedicada](organization-account-structure.md) de esta guía. En AWS Organizations, puede utilizar las políticas de control de servicios (SCPs) y las [políticas de administración](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_management_policies.html) para ayudar a proteger los datos personales y la privacidad.
### Políticas de control de servicios (SCPs)
Las [políticas de control de servicios (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) son un tipo de política organizacional que puede usar para administrar los permisos en su organización. Proporcionan un control centralizado sobre los permisos máximos disponibles para los roles y usuarios AWS Identity and Access Management (IAM) en la cuenta de destino, la unidad organizativa (OU) o toda la organización. Puede crearlos y solicitarlos SCPs desde la cuenta de administración de la organización.
Puede utilizarla AWS Control Tower para realizar una implementación SCPs uniforme en todas sus cuentas. Para obtener más información sobre los controles de residencia de datos que puede aplicar AWS Control Tower, consulte [AWS Control Tower](#aws-control-tower) esta guía. AWS Control Tower incluye un complemento completo de medidas preventivas. SCPs Si AWS Control Tower no se utiliza actualmente en la organización, también puede implementar estos controles manualmente.
#### Se utiliza SCPs para abordar los requisitos de residencia de datos
Es habitual administrar los requisitos de residencia de datos personales almacenando y procesando los datos dentro de una región geográfica específica. Para verificar que se cumplan los requisitos de residencia de datos exclusivos de una jurisdicción, le recomendamos que colabore estrechamente con el equipo de regulación para confirmar los requisitos. Cuando se han determinado estos requisitos, hay una serie de controles de privacidad AWS fundamentales que pueden ayudar a respaldarlos. Por ejemplo, se pueden utilizar SCPs para limitar cuáles se Regiones de AWS pueden utilizar para procesar y almacenar datos. Para ver una política de ejemplo, consulte [Restrinja las transferencias de datos entre Regiones de AWS](restrict-data-transfers-across-regions.md) en esta guía.
#### Se utiliza SCPs para restringir las llamadas a la API de alto riesgo
Es importante entender de qué controles de seguridad y privacidad AWS es responsable y de cuáles es responsable usted. Por ejemplo, usted es responsable de los resultados de las llamadas a la API que se puedan realizar en los Servicios de AWS que utiliza. También es responsable de comprender cuáles de esas llamadas podrían provocar cambios en su posición de seguridad o privacidad. Si te preocupa mantener una determinada postura de seguridad y privacidad, puedes habilitar SCPs esa opción para denegar determinadas llamadas a la API. Estas llamadas a la API pueden tener implicaciones, como la divulgación no intencionada de datos personales o la infracción de determinadas transferencias de datos transfronterizas. Por ejemplo, tal vez quiera prohibir las siguientes llamadas a la API:
+ Permitir el acceso público a buckets de Amazon Simple Storage Service (Amazon S3).
+ Desactivar Amazon GuardDuty o crear reglas de supresión para los hallazgos de exfiltración de datos, como el hallazgo [DNSDataTrojan:EC2/](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#trojan-ec2-dnsdataexfiltration) Exfiltration
+ AWS WAF Eliminar las reglas de exfiltración de datos
+ Compartir instantáneas de Amazon Elastic Block Store (Amazon EBS) públicamente
+ Eliminar una cuenta de miembro de la organización
+ Desasociar Amazon CodeGuru Reviewer de un repositorio
### Políticas de administración
[Las políticas de administración](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_management_policies.html) AWS Organizations pueden ayudarle a configurar Servicios de AWS y gestionar sus funciones de forma centralizada. Los tipos de políticas de administración que elija determinan cómo afectan las políticas a las cuentas que las heredan OUs y a las cuentas que las heredan. Las [políticas de etiquetas](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies.html) son un ejemplo de política de administración AWS Organizations que se relaciona directamente con la privacidad.
#### Uso de políticas de etiquetas
Las [etiquetas](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) son pares de valores clave que ayudan a administrar, identificar, organizar, buscar y filtrar AWS los recursos. Puede resultar útil aplicar etiquetas que distingan los recursos de la organización que gestionan datos personales. El uso de etiquetas es compatible con muchas de las soluciones de privacidad de esta guía. Por ejemplo, es posible que desee aplicar una etiqueta que indique la clasificación general de los datos que se procesan o almacenan en el recurso. Puede escribir políticas de control de acceso basado en atributos (ABAC) que limiten el acceso a los recursos que tengan una etiqueta o un conjunto de etiquetas específicos. Por ejemplo, la política podría especificar que el rol `SysAdmin` no puede acceder a los recursos que tengan la etiqueta `dataclassification:4`. Para obtener más información y un tutorial, consulte [Definir los permisos de acceso a AWS los recursos en función de las etiquetas](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) en la documentación de IAM. Además, si la organización usa [AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html) para aplicar políticas de retención de datos de forma amplia en todas las copias de seguridad de muchas cuentas, puede aplicar una etiqueta que incluya ese recurso dentro del alcance de esa política de copias de seguridad.
Las [políticas de etiquetas](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies.html) lo ayudan a mantener la coherencia de las etiquetas en toda la organización. En una política de etiquetas, se especifican las reglas que se aplican a los recursos cuando se etiquetan. Por ejemplo, puede requerir que los recursos se etiqueten con claves específicas, como `DataClassification` o `DataSteward`, y puede especificar valores o tratamientos de casos válidos para las claves. También puede utilizar la [aplicación](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies-enforcement.html) para evitar que se completen las solicitudes de etiquetado que no cumplan los requisitos.
Cuando utilice las etiquetas como un componente fundamental de la estrategia de control de la privacidad, debe tener en cuenta lo siguiente:
+ Tenga en cuenta las implicaciones de colocar datos personales u otros tipos de información confidencial dentro de las claves o los valores de las etiquetas. Cuando AWS solicite asistencia técnica, AWS puede analizar las etiquetas y otros identificadores de recursos para ayudar a resolver el problema. Los datos de las etiquetas no están cifrados y Servicios de AWS, por ejemplo Administración de facturación y costos de AWS, pueden leerlos. Por lo tanto, es posible que desee desidentificar los valores de las etiquetas y, a continuación, volver a identificarlos mediante un sistema que usted controle, como un sistema de administración de servicios de TI (ITSM). AWS recomienda no incluir información de identificación personal en las etiquetas.
+ Tenga en cuenta que algunos valores de las etiquetas deben ser inmutables (no modificables) para evitar que se eludan los controles técnicos, como las condiciones ABAC que dependen de las etiquetas.
# UO de seguridad: cuenta de herramientas de seguridad
**Encuesta**
Nos encantaría saber su opinión. Envíe sus comentarios sobre la AWS PRA mediante una [breve encuesta](https://amazonmr.au1.qualtrics.com/jfe/form/SV_cMxJ0MG3jU91Fk2).
La cuenta Security Tooling está dedicada a operar los servicios fundamentales de seguridad y privacidad, a monitorear Cuentas de AWS y automatizar las alertas y respuestas de seguridad y privacidad. Para obtener más información sobre esta cuenta, consulte la [Arquitectura de referencia de AWS seguridad](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html) (SRA).AWS El siguiente diagrama ilustra los servicios AWS de seguridad y privacidad que están configurados en la cuenta Security Tooling.
![\[Servicios de AWS desplegados en la cuenta Security Tooling de la unidad organizativa de Seguridad.\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/privacy-reference-architecture/images/Account-Security-Tooling.png)
**Topics**
+ [
## AWS CloudTrail
](#aws-cloudtrail)
+ [
## AWS Config
](#aws-config)
+ [
## Amazon GuardDuty
](#amazon-guardduty)
+ [
## Analizador de acceso de IAM
](#iam-access-analyzer)
+ [
## Amazon Macie
](#amazon-macie)
## AWS CloudTrail
[AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)le ayuda a auditar la actividad general de la API en su. Cuenta de AWS Permitir Regiones de AWS que todos Cuentas de AWS los dispositivos CloudTrail almacenen, procesen o transmitan datos personales puede ayudarlo a rastrear el uso y la divulgación de estos datos. La [Arquitectura de referencia de seguridad de AWS](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html#mgmt-cloudtrail) recomienda habilitar un rastro de la organización, que es un rastro único que registra todos los eventos de todas las cuentas de la organización. Sin embargo, al activar este rastro de la organización, se agregan los datos de registro de varias regiones en un único bucket de Amazon Simple Storage Service (Amazon S3) en la cuenta de archivos de registro. En el caso de las cuentas que gestionan datos personales, esto puede conllevar algunas consideraciones de diseño adicionales. Los registros pueden contener algunas referencias a datos personales. Para cumplir con los requisitos de residencia y transferencia de datos, es posible que deba volver a considerar la posibilidad de agregar los datos de registro entre regiones en una sola región en la que se encuentre el bucket de S3. La organización podría valorar qué cargas de trabajo regionales se deben incluir o excluir del rastro de la organización. En el caso de las cargas de trabajo que decida excluir del rastro de la organización, podría considerar la posibilidad de configurar un rastro específico para cada región que oculte los datos personales. Para obtener más información sobre el enmascaramiento de datos personal, consulte la sección [Amazon Data Firehose](personal-data-account.md#amazon-data-firehose) de esta guía. En última instancia, la organización puede tener una combinación de rastros de la organización y rastros regionales que se agregan a la cuenta centralizada de archivos de registro.
Para obtener más información sobre cómo configurar un rastro de una sola región, consulta las instrucciones para usar la [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-create-trail.html#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-single) o la [consola](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html#creating-a-trail-in-the-console). Al crear el registro de la organización, puedes usar una configuración opcional o puedes crear el registro directamente en la [CloudTrail consola](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-an-organizational-trail-in-the-console.html). [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/configure-org-trails.html)
Para obtener más información sobre el enfoque general y sobre cómo administrar la centralización de los registros y los requisitos de transferencia de datos, consulte la sección [Almacenamiento de registros centralizado](log-archive-account.md#centralized-log-storage) de esta guía. Sea cual sea la configuración que elija, es posible que desee separar la administración de pistas en la cuenta de Security Tooling del almacenamiento de registros en la cuenta de Log Archive, según la AWS SRA. Este diseño lo ayuda a crear políticas de acceso con privilegios mínimos para quienes tengan que administrar los registros y quienes tengan que usar los datos de registro.
## AWS Config
[AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html) proporciona una visión detallada de los recursos de su Cuenta de AWS y de cómo están configurados. Lo ayuda a identificar cómo se relacionan los recursos entre sí y cómo han cambiado sus configuraciones a lo largo del tiempo. Para obtener más información sobre cómo se utiliza este servicio en un contexto de seguridad, consulte la [Arquitectura de referencia de seguridad de AWS](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html#tool-config).
En AWS Config ella, puede implementar [paquetes de conformidad](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html), que son conjuntos de AWS Config reglas y acciones correctivas. Los paquetes de conformidad proporcionan un marco de uso general diseñado para permitir las comprobaciones de la privacidad, la seguridad, las operaciones y la gobernanza de la optimización de los costes mediante el uso de reglas gestionadas o personalizadas. AWS Config Puede utilizar esta herramienta como parte de un conjunto más amplio de herramientas de automatización para comprobar si las configuraciones de sus AWS recursos cumplen con los requisitos de su propio marco de control.
El paquete de conformidad [Prácticas operativas recomendadas para el NIST Privacy Framework v1.0](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-nist_privacy_framework.html) está alineado con una serie de controles relacionados con la privacidad del NIST Privacy Framework. Cada AWS Config regla se aplica a un tipo de AWS recurso específico y está relacionada con uno o más controles del marco de privacidad del NIST. Puede usar este paquete de conformidad para comprobar el cumplimiento continuo relacionado con la privacidad en todos los recursos de sus cuentas. A continuación, se describen algunas de las reglas incluidas en este paquete de conformidad:
+ `no-unrestricted-route-to-igw`: esta regla ayuda a evitar la exfiltración de datos en el plano de datos mediante la supervisión continua de las tablas de enrutamiento de VPC en busca de rutas de salida `0.0.0.0/0` o `::/0` predeterminadas a una puerta de enlace de Internet. Esto lo ayuda a restringir dónde se puede enviar el tráfico con destino a Internet, especialmente si hay rangos de CIDR que se sabe que son maliciosos.
+ `encrypted-volumes`: esta regla comprueba si se han cifrado los volúmenes de Amazon Elastic Block Store (Amazon EBS) que están asociados a instancias de Amazon Elastic Compute Cloud (Amazon EC2). Si su organización tiene requisitos de control específicos relacionados con el uso de claves AWS Key Management Service (AWS KMS) para la protección de los datos personales, puede especificar una clave específica IDs como parte de la regla para comprobar que los volúmenes estén cifrados con una clave específica AWS KMS .
+ `restricted-common-ports`: esta regla comprueba si los grupos de seguridad de Amazon EC2 permiten el tráfico TCP sin restricciones a los puertos especificados. Los grupos de seguridad pueden ayudarlo a administrar el acceso a la red al proporcionar un filtrado detallado del tráfico de red de entrada y salida a los recursos. AWS Bloquear el tráfico de entrada de `0.0.0.0/0` a los puertos comunes, como el TCP 3389 y el TCP 21, lo ayuda a restringir el acceso remoto.
AWS Config se pueden utilizar para realizar comprobaciones de conformidad proactivas y reactivas de sus recursos. AWS Además de tener en cuenta las reglas que se encuentran en los paquetes de conformidad, puede incorporarlas en los modos de evaluación de prevención y proactiva. Esto ayuda a implementar las comprobaciones de privacidad en una fase más temprana del ciclo de vida del desarrollo del software, ya que los desarrolladores de aplicaciones pueden empezar a incorporar las comprobaciones previas a la implementación. Por ejemplo, pueden incluir enlaces en sus AWS CloudFormation plantillas que comprueben el recurso declarado en la plantilla con respecto a todas las AWS Config reglas relacionadas con la privacidad que tienen habilitado el modo proactivo. Para obtener más información, consulte [AWS Config Rules Now Support Proactive Compliance](https://aws.amazon.com/blogs/aws/new-aws-config-rules-now-support-proactive-compliance/) (entrada del AWS blog).
## Amazon GuardDuty
AWS ofrece varios servicios que pueden usarse para almacenar o procesar datos personales, como Amazon S3, Amazon Relational Database Service (Amazon RDS) o Amazon EC2 con Kubernetes. [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) combina la visibilidad inteligente con la supervisión continua para detectar indicadores que puedan estar relacionados con la divulgación no intencionada de datos personales. Para obtener más información sobre cómo se utiliza este servicio en un contexto de seguridad, consulte la [Arquitectura de referencia de seguridad de AWS](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html#tool-guardduty).
Con él GuardDuty, puede identificar actividades potencialmente maliciosas relacionadas con la privacidad a lo largo del ciclo de vida de un ataque. Por ejemplo, GuardDuty puede avisarle sobre conexiones a sitios incluidos en listas negras, tráfico o volúmenes de tráfico inusuales en los puertos de red, filtraciones de DNS, lanzamientos inesperados de instancias de EC2 o llamadas inusuales de ISP. *También puede configurarlo GuardDuty para detener las alertas de direcciones IP confiables de sus propias listas de IP *confiables y alertar sobre direcciones IP malintencionadas conocidas de sus propias listas* de amenazas.*
Como se recomienda en la AWS SRA, puede habilitar la cuenta Security Tooling GuardDuty para todos los Cuentas de AWS miembros de su organización y configurarla como administrador GuardDuty delegado. GuardDuty****agrupa los hallazgos de toda la organización en esta cuenta única. Para obtener más información, consulte [Administrar GuardDuty cuentas con AWS Organizations](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html). También puede considerar la posibilidad de identificar todas las partes interesadas relacionadas con la privacidad en el proceso de respuesta a incidentes, desde la detección y el análisis hasta la contención y la erradicación, e involucrarlas en cualquier incidente que podría implicar una exfiltración de datos.
## Analizador de acceso de IAM
Muchos clientes quieren tener la seguridad permanente de que los datos personales se comparten de forma adecuada con los procesadores externos que se han aprobado y previsto previamente, y no con otras entidades. Un [perímetro de datos](https://aws.amazon.com/identity/data-perimeters-on-aws/) es un conjunto de barreras de protección de prevención que se ha diseñado para permitir que solo las identidades de confianza procedentes de las redes esperadas accedan a los recursos de confianza de su entorno de AWS . Al definir los controles para evitar la divulgación intencionada o no intencionada de datos personales, puede definir las identidades de confianza, los recursos de confianza y las redes esperadas.
Con [AWS Identity and Access Management Access Analyzer (IAM Access Analyzer)](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html), las organizaciones pueden definir una Cuenta de AWS zona de confianza y configurar las alertas en caso de infracciones en esa zona de confianza. El Analizador de acceso de IAM analiza las políticas de IAM para ayudar a identificar y resolver el acceso entre cuentas o público no intencionado a los recursos potencialmente confidenciales. El Analizador de acceso de IAM utiliza la lógica matemática y la inferencia para generar resultados exhaustivos sobre los recursos a los que se puede acceder desde fuera de una Cuenta de AWS. Por último, para responder a las políticas de IAM que sean demasiado permisivas y corregirlas, puede utilizar el Analizador de acceso de IAM para validar las políticas actuales al compararlas con las prácticas recomendadas de IAM y ofrecer sugerencias. El Analizador de acceso de IAM puede generar una política de IAM con privilegios mínimos que se base en la actividad de acceso previa de una entidad principal de IAM. Analiza CloudTrail los registros y genera una política que concede únicamente los permisos necesarios para seguir realizando esas tareas.
Para obtener más información sobre cómo el Analizador de acceso de IAM se utiliza este servicio en un contexto de seguridad, consulte la [Arquitectura de referencia de seguridad de AWS](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html#tool-iam-analyzer).
## Amazon Macie
[Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html) es un servicio que utiliza el machine learning y la coincidencia de patrones para detectar información confidencial, proporciona visibilidad de los riesgos de seguridad de los datos y permite automatizar las protecciones contra esos riesgos. Macie genera resultados cuando detecta posibles infracciones de políticas o problemas con la seguridad o la privacidad de los buckets de Amazon S3. Macie es otra herramienta que las organizaciones pueden usar para implementar la automatización y respaldar los esfuerzos de cumplimiento. Para obtener más información sobre cómo se utiliza este servicio en un contexto de seguridad, consulte la [Arquitectura de referencia de seguridad de AWS](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html#tool-macie).
Macie puede detectar una amplia lista creciente de tipos de información confidencial, incluida la información de identificación personal (PII) como nombres, direcciones y otros atributos identificables. Incluso puede crear [identificadores de datos personalizados](https://docs.aws.amazon.com/macie/latest/user/custom-data-identifiers.html) para definir los criterios de detección que reflejen la definición de datos personales según su organización.
A medida que su organización defina controles de prevención para los buckets de Amazon S3 que contienen datos personales, puede usar Macie como mecanismo de validación para saber con certeza en todo momento dónde se encuentran los datos personales y cómo están protegidos. Para empezar, active Macie y configure la [detección automática de información confidencial](https://docs.aws.amazon.com/macie/latest/user/discovery-asdd.html). Macie analiza continuamente los objetos de todos sus depósitos de S3, en todas las cuentas y. Regiones de AWS Macie genera y mantiene un mapa térmico interactivo en el que se muestra dónde se encuentran los datos personales. La característica de detección automática de información confidencial está diseñada para reducir los costos y minimizar la necesidad de configurar manualmente las tareas de detección. Puede aprovechar la característica de detección automática de información confidencial y utilizar Macie para detectar automáticamente los nuevos buckets o los nuevos datos en los buckets existentes y, a continuación, validarlos con las etiquetas de clasificación de datos asignadas. Configure esta arquitectura para notificar oportunamente a los equipos de desarrollo y privacidad correspondientes sobre los buckets que se han clasificado incorrectamente o no se han clasificado.
Puede habilitar Macie para todas las cuentas de su organización mediante. AWS Organizations Para obtener más información, consulte [Integrating and configuring an organization in Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/accounts-mgmt-ao-integrate.html).
# UO de seguridad: cuenta de archivos de registro
**Encuesta**
Nos encantaría saber su opinión. Envíe sus comentarios sobre la AWS PRA mediante una [breve encuesta](https://amazonmr.au1.qualtrics.com/jfe/form/SV_cMxJ0MG3jU91Fk2).
La cuenta de archivos de registro es el lugar donde se centralizan los tipos de registros de infraestructura, servicios y aplicaciones. Para obtener más información sobre esta cuenta, consulte la [Arquitectura AWS de referencia de seguridad (AWS SRA).](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/log-archive.html) Con una cuenta específica para los registros, puede aplicar alertas coherentes en todos los tipos de registros y confirmar que el personal de respuesta a incidentes pueda acceder a un conjunto de estos registros desde un solo lugar. También puede configurar los controles de seguridad y las políticas de retención de datos desde un solo lugar, lo que puede simplificar la sobrecarga operativa de privacidad. En el siguiente diagrama, se ilustran los servicios de seguridad y privacidad de AWS que se pueden configurar en la cuenta de archivos de registro.
![\[Servicios de AWS desplegada en la cuenta Log Archive de la unidad organizativa de seguridad.\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/privacy-reference-architecture/images/Account-Log-Archive.png)
## Almacenamiento de registros centralizado
Los archivos de registro (como AWS CloudTrail los registros) pueden contener información que podría considerarse datos personales. Algunas organizaciones optan por utilizar un registro organizativo para agrupar CloudTrail los registros de todas Regiones de AWS las cuentas en una ubicación central, por motivos de visibilidad. Para obtener más información, consulte la sección [AWS CloudTrail](security-tooling-account.md#aws-cloudtrail) de esta guía. Al implementar la centralización de CloudTrail los registros, estos se almacenan normalmente en un bucket de Amazon Simple Storage Service (Amazon S3) en una sola región.
Según la definición de datos personales de su organización, sus obligaciones contractuales en relación con los clientes y las normas de privacidad regionales aplicables, es posible que deba tener en cuenta las transferencias de datos transfronterizas en lo que respecta a la agregación de registros. Determine si los datos personales de los distintos tipos de registro están sujetos a estas restricciones. Por ejemplo, CloudTrail los registros pueden contener datos de los empleados de su organización, pero es posible que no contengan los datos personales de sus clientes. Si su organización tiene que cumplir con requisitos de transferencia de datos restringidos, las siguientes opciones pueden resultarle útiles:
+ Si su organización presta servicios Nube de AWS a interesados de varios países, puede optar por agregar todos los registros del país que tenga los requisitos de residencia de datos más estrictos. Por ejemplo, si opera en Alemania y tiene los requisitos más estrictos, puede agregar datos en un depósito de S3 para que `eu-central-1` Región de AWS los datos recopilados en Alemania no salgan de las fronteras de Alemania. Para esta opción, puede configurar un registro organizativo único CloudTrail que agregue los registros de todas las cuentas y de Regiones de AWS la región de destino.
+ Redacte los datos personales que deben permanecer en ella Región de AWS antes de copiarlos y agregarlos a otra región. Por ejemplo, puede enmascarar los datos personales de la región del host de la aplicación antes de transferir los registros a otra región. Para obtener más información sobre el enmascaramiento de datos personal, consulte la sección [Amazon Data Firehose](personal-data-account.md#amazon-data-firehose) de esta guía.
+ Si tienes problemas estrictos sobre la soberanía de los datos, puedes mantener una landing zone independiente para múltiples cuentas en la Región de AWS que se apliquen estos requisitos. De esta forma, puede simplificar la configuración de la zona de aterrizaje en la región para centralizar los registros. También proporciona otras ventajas de división de la infraestructura y ayuda a mantener el registro local en su propia región. Trabaje con su asesor legal para determinar qué datos personales están incluidos en el ámbito de aplicación y qué Region-to-Region transferencias están permitidas. Para obtener más información, consulte la sección [Preparación de estrategias para la expansión global](global-expansion.md) de esta guía.
A través de [los registros de servicio](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html), los registros de aplicaciones y los registros del sistema operativo (SO), puedes usar Amazon CloudWatch para monitorear Servicios de AWS los recursos de su cuenta y región correspondientes de forma predeterminada. Muchos optan por centralizar estos registros y métricas desde varias cuentas y regiones en una sola cuenta. De forma predeterminada, estos registros se conservan en la cuenta y la región correspondientes en las que se originan. Para la centralización, puede usar [filtros de suscripción](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Subscriptions.html) y [tareas de exportación de Amazon S3](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/S3Export.html) para compartir los datos en una ubicación centralizada. Puede ser importante incluir los filtros y las tareas de exportación adecuados al agregar registros de una carga de trabajo que tenga requisitos para las transferencias de datos transfronterizas. Si los registros de acceso de una carga de trabajo contienen datos personales, es posible que tenga que asegurarse de que se transfieran a cuentas y regiones específicas o que se retengan en ellas.
## Amazon Security Lake
Como se recomienda en la AWS SRA, es posible que desee utilizar la cuenta Log Archive como cuenta de administrador delegado para [Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html). Si la utiliza para ello, Security Lake recopilará los registros compatibles en buckets de Amazon S3 específicos en la misma cuenta que otros registros de seguridad recomendados por SRA.
Desde el punto de vista de la privacidad, es importante que el personal de respuesta a incidentes tenga acceso a los registros de sus AWS entornos, proveedores de SaaS, locales, fuentes en la nube y fuentes de terceros. Esto los ayuda a bloquear y corregir más rápidamente el acceso no autorizado a los datos personales. Es muy probable que las mismas consideraciones para el almacenamiento de registros se apliquen a la residencia de registros y al movimiento entre regiones dentro de Amazon Security Lake. Esto se debe a que Security Lake recopila los registros y eventos de seguridad desde Regiones de AWS los que se ha activado el servicio. Para cumplir con los requisitos de residencia de datos, tenga en cuenta la configuración de las [regiones acumulativas](https://docs.aws.amazon.com/security-lake/latest/userguide/add-rollup-region.html).Una *región acumulativa* es una región en la que Security Lake consolida los datos de una o más regiones contribuyentes que usted haya seleccionado. Es posible que la organización tenga que ajustar los requisitos de cumplimiento de las regiones en materia de residencia de datos antes de poder configurar Security Lake y las regiones acumulativas.
# Unidad organizativa de infraestructura: cuenta de red
**Encuesta**
Nos encantaría saber su opinión. Envíe sus comentarios sobre la AWS PRA mediante una [breve encuesta](https://amazonmr.au1.qualtrics.com/jfe/form/SV_cMxJ0MG3jU91Fk2).
En la cuenta de red, usted administra las redes entre sus nubes privadas virtuales (VPCs) e Internet en general. En esta cuenta, puedes implementar amplios mecanismos de control de la divulgación mediante AWS WAF, use AWS Resource Access Manager (AWS RAM) para compartir subredes y AWS Transit Gateway archivos adjuntos de VPC, y usar Amazon CloudFront para respaldar el uso específico de los servicios. Para obtener más información sobre esta cuenta, consulte la [Arquitectura de referencia AWS de seguridad (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/network.html). El siguiente diagrama ilustra los servicios AWS de seguridad y privacidad que están configurados en la cuenta de red.
![\[Servicios de AWS desplegados en la cuenta de red de la unidad organizativa de infraestructura.\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/privacy-reference-architecture/images/Account-Network.png)
**Topics**
+ [
## Amazon CloudFront
](#cloudfront)
+ [
## AWS Resource Access Manager
](#aws-ram-network)
+ [
## AWS Transit Gateway
](#transit-gateway)
+ [
## AWS WAF
](#aws-waf)
## Amazon CloudFront
[Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/Introduction.html) admite restricciones geográficas para las aplicaciones frontend y el alojamiento de archivos. CloudFrontpuede entregar contenido a través de una red mundial de centros de datos que se denominan *ubicaciones periféricas*. Cuando un usuario solicita el contenido con el que estás publicando CloudFront, la solicitud se redirige a la ubicación perimetral que ofrezca la latencia más baja. Para obtener más información sobre cómo se utiliza este servicio en un contexto de seguridad, consulte la [Arquitectura de referencia de seguridad de AWS](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/network.html#network-cf).
Es posible que el programa de privacidad ya tenga en cuenta el cumplimiento de leyes regionales específicas. Si la carga de trabajo está destinada a prestar servicios únicamente a clientes que residen exclusivamente en estas regiones, podría implementar medidas técnicas que impidan el uso desde otras regiones. Puedes usar restricciones CloudFront geográficas para impedir que los usuarios de ubicaciones geográficas específicas accedan al contenido que estás distribuyendo a través de una CloudFront distribución. Para obtener más información y opciones de configuración para las restricciones geográficas, consulte [Restringir la distribución geográfica del contenido](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/georestrictions.html) en la CloudFront documentación.
También puede configurarlo CloudFront para generar registros de acceso que contengan información detallada sobre cada solicitud de usuario que CloudFront reciba. Para obtener más información, consulte [Configuración y uso de registros estándar (registros de acceso)](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/AccessLogs.html) en la CloudFront documentación. Por último, si CloudFront está configurado para almacenar en caché el contenido en una serie de ubicaciones de borde, podría considerar dónde se produce el almacenamiento en caché. En el caso de algunas organizaciones, el almacenamiento en caché entre regiones podría estar sujeto a requisitos de transferencias de datos transfronterizas.
## AWS Resource Access Manager
[AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) le ayuda a compartir sus recursos de forma segura Cuentas de AWS para reducir la sobrecarga operativa y ofrecer visibilidad y capacidad de auditoría. De AWS RAM este modo, las organizaciones pueden restringir qué AWS recursos se pueden compartir con otras personas Cuentas de AWS de su organización o con cuentas de terceros. Para obtener más información, consulta [AWS Recursos que se pueden compartir](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html). En la cuenta de red, puede utilizarla AWS RAM para compartir subredes de VPC y conexiones de puerta de enlace de tránsito. Si compartes una conexión de plano de datos con otra Cuenta de AWS, podrías considerar la posibilidad de establecer procesos para comprobar que las conexiones se realizan según las aprobaciones previas Regiones de AWS y cumplen con tus requisitos de residencia de datos. AWS RAM
Además de compartir VPCs y transitar las conexiones de pasarela, se AWS RAM puede utilizar para compartir recursos que no son compatibles con las políticas de IAM basadas en recursos. En el caso de una carga de trabajo alojada en la [unidad organizativa de datos personales](personal-data-account.md), puede utilizarla AWS RAM para acceder a los datos personales que se encuentran en una unidad organizativa independiente. Cuenta de AWS Para obtener más información, consulte [AWS Resource Access Manager](personal-data-account.md#aws-ram-pd-account) en la sección *UO de datos personales: cuenta de la aplicación de datos personales*.
## AWS Transit Gateway
Si desea implementar AWS recursos que recopilen, almacenen o procesen datos personales de manera Regiones de AWS que se ajusten a los requisitos de residencia de datos de su organización y cuenta con las medidas técnicas adecuadas, considere la posibilidad de implementar barreras de protección para evitar flujos de datos transfronterizos no autorizados en los planos de control y datos. En el plano de control, puede limitar el uso de las regiones y, en consecuencia, los flujos de datos entre regiones mediante políticas de control de servicio y de IAM.
Tiene varias opciones para controlar los flujos de datos entre regiones en el plano de datos. Por ejemplo, puede usar tablas de enrutamiento, interconexión de VPC y adjuntos. AWS Transit Gateway [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)es un centro central que conecta nubes privadas virtuales (VPCs) y redes locales. Como parte de una zona de AWS aterrizaje más amplia, puedes considerar las diversas formas en que pueden circular los datos, por ejemplo Regiones de AWS, a través de las puertas de enlace de Internet, a través de la interconexión directa y a través VPC-to-VPC de la interconexión interregional. AWS Transit Gateway Por ejemplo, en AWS Transit Gateway puede hacer lo siguiente:
+ Confirma que las conexiones este-oeste y norte-sur entre tu entorno y el local cumplen tus requisitos de VPCs privacidad.
+ Configurar los ajustes de VPC según las necesidades de privacidad.
+ Utilice una política de control de servicios en AWS Organizations las políticas de IAM para evitar modificaciones en su configuración AWS Transit Gateway y en la de Amazon Virtual Private Cloud (Amazon VPC). Para ver una política de control de servicio de ejemplo, consulte [Restricción de la realización de cambios en las configuraciones de VPC](restrict-changes-vpc-configurations.md) en esta guía.
## AWS WAF
Para evitar la divulgación no intencionada de datos personales, puede implementar un defense-in-depth enfoque para sus aplicaciones web. Puede incorporar la validación de entrada y la limitación de velocidad en su aplicación, pero AWS WAF puede servir como otra línea de defensa. [AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/what-is-aws-waf.html)es un firewall de aplicaciones web que le ayuda a supervisar las solicitudes HTTP y HTTPS que se reenvían a los recursos de sus aplicaciones web protegidas. Para obtener más información sobre cómo se utiliza este servicio en un contexto de seguridad, consulte la [Arquitectura de referencia de seguridad de AWS](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/network.html#network-waf).
Con AWS WAFél, puede definir e implementar reglas que inspeccionen criterios específicos. Las siguientes actividades pueden estar asociadas a la divulgación no intencionada de datos personales:
+ Tráfico procedente de direcciones IP o ubicaciones geográficas desconocidas o malintencionadas
+ [os 10 principales ataques](https://owasp.org/www-project-top-ten/) del Open Worldwide Application Security Project (OWASP), incluidos los ataques relacionados con la exfiltración, como la inyección de código SQL
+ Frecuencias de solicitudes elevadas
+ Tráfico general de bots
+ Raspadores de contenido
Puede implementar [grupos de AWS WAF reglas](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-groups.html) gestionados por AWS. Algunos grupos de reglas gestionados se AWS WAF pueden utilizar para detectar amenazas a la privacidad y los datos personales, por ejemplo:
+ [Base de datos SQL](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-use-case.html#aws-managed-rule-groups-use-case-sql-db): este grupo contiene reglas diseñadas para bloquear los patrones de solicitud asociados a la explotación de bases de datos SQL, como los ataques por inyección de código SQL. Considere este grupo de reglas si la aplicación interactúa con una base de datos SQL.
+ [Entradas incorrectas conocidas](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-baseline.html#aws-managed-rule-groups-baseline-known-bad-inputs): este grupo contiene reglas diseñadas para bloquear los patrones de solicitud que se conocen por no ser válidos y que están asociados a la explotación o la detección de vulnerabilidades.
+ [Control de bots](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-bot.html): este grupo contiene reglas diseñadas para administrar las solicitudes de los bots, que pueden consumir un exceso de recursos, distorsionar las métricas de la empresa, provocar tiempos de inactividad y realizar actividades malintencionadas.
+ [Prevención contra apropiación de cuentas (ATP)](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-atp.html): este grupo contiene reglas diseñadas para evitar los intentos malintencionados de apropiación de cuentas. Este grupo de reglas inspecciona los intentos de inicio de sesión que se envían al punto de conexión de inicio de sesión de la aplicación.
# UO de datos personales: cuenta de la aplicación de datos personales
**Encuesta**
Nos encantaría saber su opinión. Envíe sus comentarios sobre la AWS PRA mediante una [breve encuesta](https://amazonmr.au1.qualtrics.com/jfe/form/SV_cMxJ0MG3jU91Fk2).
La cuenta de la aplicación de datos personales (PD) es el lugar donde la organización aloja los servicios que recopilan y procesan los datos personales. En concreto, en esta cuenta puede almacenar lo que defina como datos personales. La AWS PRA muestra varios ejemplos de configuraciones de privacidad a través de una arquitectura web sin servidor de varios niveles. Cuando se trata de operar cargas de trabajo en una AWS landing zone, las configuraciones de privacidad no deben considerarse one-size-fits-all soluciones. Por ejemplo, su objetivo podría ser comprender los conceptos subyacentes, cómo pueden mejorar la privacidad y cómo la organización puede aplicar las soluciones a sus arquitecturas y casos de uso particulares.
Cuentas de AWS En su organización que recopila, almacena o procesa datos personales, puede utilizar AWS Organizations e AWS Control Tower implementar barreras fundamentales y repetibles. Es fundamental que establezca una unidad organizativa (UO) específica para estas cuentas. Por ejemplo, tal vez desee aplicar barreras de protección para la residencia de datos solo a un subconjunto de cuentas en las que la residencia de los datos sea una consideración de diseño fundamental. Para muchas organizaciones, estas son las cuentas que almacenan y procesan los datos personales.
Su organización podría considerar la posibilidad de crear una cuenta de datos dedicada, que es donde almacena el origen autorizado de sus conjuntos de datos personales. Los orígenes de datos autorizados son la ubicación donde se almacena la versión principal de los datos, que puede considerarse la versión más fiable y precisa de los datos. Por ejemplo, puede copiar los datos del origen de datos autorizado a otras ubicaciones, como los buckets de Amazon Simple Storage Service (Amazon S3) en la cuenta de la aplicación de datos personales que se utilizan para almacenar datos de entrenamiento, un subconjunto de datos de clientes y datos con información suprimida. Al adoptar este enfoque de varias cuentas para separar los conjuntos de datos personales completos y definitivos que hay en la cuenta de datos de las cargas de trabajo de los consumidores posteriores que hay en la cuenta de la aplicación de datos personales, puede reducir el alcance del impacto en caso de acceso no autorizado a las cuentas.
El siguiente diagrama ilustra los servicios de AWS seguridad y privacidad que están configurados en las cuentas de datos y aplicaciones de PD.
![\[Servicios de AWS desplegados en la aplicación de datos personales y en las cuentas de datos de la OU de datos personales.\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/privacy-reference-architecture/images/Account-PD-Application.png)
**Topics**
+ [
## Amazon Athena
](#athena)
+ [
## Amazon Bedrock
](#bedrock)
+ [
## AWS Clean Rooms
](#clean-rooms)
+ [
## Amazon CloudWatch Logs
](#cloudwatch-logs)
+ [
## CodeGuru Revisor de Amazon
](#codeguru-reviewer)
+ [
## Amazon Comprehend
](#comprehend)
+ [
## Amazon Data Firehose
](#amazon-data-firehose)
+ [
## Amazon DataZone
](#datazone)
+ [
## AWS Glue
](#aws-glue)
+ [
## AWS Key Management Service
](#aws-kms)
+ [
## AWS Lake Formation
](#lake-formation)
+ [
## Zonas locales de AWS
](#aws-local-zones)
+ [
## AWS Enclaves Nitro
](#nitro-enclaves)
+ [
## AWS PrivateLink
](#privatelink)
+ [
## AWS Resource Access Manager
](#aws-ram-pd-account)
+ [
## Amazon SageMaker AI
](#sagemaker)
+ [
## AWS funciones que ayudan a gestionar el ciclo de vida de los datos
](#manage-data-lifecycle)
+ [
## Servicios de AWS y funciones que ayudan a segmentar los datos
](#segment-data)
+ [
## Servicios de AWS y funciones que ayudan a descubrir, clasificar o catalogar datos
](#discovery-classification)
## Amazon Athena
Puede considerar los controles de limitación de las consultas de datos para cumplir sus objetivos de privacidad. [Amazon Athena](https://docs.aws.amazon.com/athena/latest/ug/what-is.html) es un servicio de consultas interactivo que facilita el análisis de datos en Amazon S3 con SQL estándar. No es necesario que cargue los datos en Athena; funciona directamente con los datos almacenados en los buckets de S3.
Un caso de uso habitual de Athena es proporcionar a los equipos de análisis de datos conjuntos de datos personalizados y saneados. Si los conjuntos de datos contienen datos personales, puede limpiarlos enmascarando columnas enteras de datos personales que proporcionen poco valor a los equipos de análisis de datos. Para obtener más información, consulte [Anonimizar y administrar los datos de su lago de datos con Amazon Athena y AWS Lake Formation](https://aws.amazon.com/blogs/big-data/anonymize-and-manage-data-in-your-data-lake-with-amazon-athena-and-aws-lake-formation/) (entrada del blog).AWS
Si su enfoque para la transformación de datos necesita más flexibilidad de la que ofrecen las [funciones compatibles con Athena](https://docs.aws.amazon.com/athena/latest/ug/functions.html), puede definir funciones personalizadas, denominadas [funciones definidas por el usuario (UDF)](https://docs.aws.amazon.com/athena/latest/ug/querying-udf.html). Puede invocar UDFs una consulta SQL enviada a Athena y se ejecutará. AWS Lambda Puede utilizar `FILTER SQL` consultas UDFs de entrada `SELECT` y, además, puede invocar varias UDFs en la misma consulta. Por motivos de privacidad, puede crear UDFs dispositivos que utilicen tipos específicos de enmascaramiento de datos, como mostrar solo los últimos cuatro caracteres de cada valor de una columna.
## Amazon Bedrock
[Amazon Bedrock](https://docs.aws.amazon.com/bedrock/latest/userguide/what-is-bedrock.html) es un servicio totalmente gestionado que proporciona acceso a los modelos básicos de las principales empresas de IA, como AI21 Labs, Anthropic, Meta, Mistral AI y Amazon. Ayuda a las organizaciones a crear y escalar aplicaciones de IA generativa. Independientemente de la plataforma que se utilice, al utilizar la IA generativa, las organizaciones podrían exponerse a riesgos de privacidad, como la posible exposición de los datos personales, el acceso no autorizado a los datos y otras infracciones relacionadas con el cumplimiento.
Las [Barreras de protección para Amazon Bedrock](https://docs.aws.amazon.com/bedrock/latest/userguide/guardrails.html) están diseñadas para ayudar a mitigar estos riesgos mediante la aplicación de las prácticas recomendadas de seguridad y cumplimiento en todas sus cargas de trabajo de IA generativa en Amazon Bedrock. Es posible que la implementación y el uso de los recursos de IA no siempre se ajusten a los requisitos de privacidad y cumplimiento de una organización. Las organizaciones pueden tener dificultades para mantener la privacidad de los datos cuando utilizan modelos de IA generativa porque estos modelos pueden memorizar o reproducir información confidencial. Las Barreras de protección para Amazon Bedrock ayudan a proteger la privacidad, ya que evalúan las entradas de los usuarios y las respuestas de los modelos. En general, si los datos de entrada contienen datos personales, existe el riesgo de que esta información quede expuesta en la salida del modelo.
Las Barreras de protección para Amazon Bedrock proporcionan mecanismos para hacer cumplir las políticas de protección de datos y ayudan a evitar la exposición no autorizada de los datos. Ofrece [funciones de filtrado de contenido](https://docs.aws.amazon.com/bedrock/latest/userguide/guardrails-sensitive-filters.html) para detectar y bloquear los datos personales en las entradas, [restricciones temáticas](https://docs.aws.amazon.com/bedrock/latest/userguide/guardrails-denied-topics.html) para evitar el acceso a temas poco adecuados o peligrosos y [filtros de palabras](https://docs.aws.amazon.com/bedrock/latest/userguide/guardrails-word-filters.html) para enmascarar o suprimir términos delicados en las peticiones y respuestas de los modelos. Estas funciones ayudan a prevenir situaciones que podrían dar lugar a infracciones de la privacidad, como las respuestas sesgadas o la erosión de la confianza de los clientes. Estas características pueden ayudarlo a garantizar que los modelos de IA no procesen ni revelen datos personales de forma accidental. Las Barreras de protección para Amazon Bedrock también admiten la evaluación de las entradas y las respuestas fuera de Amazon Bedrock. Para obtener más información, consulte [Implement model-independent safety measures with Amazon Bedrock Guardrails](https://aws.amazon.com/blogs/machine-learning/implement-model-independent-safety-measures-with-amazon-bedrock-guardrails/) (entrada en el blog de AWS ).
Con las Barreras de protección para Amazon Bedrock, puede limitar el riesgo de alucinaciones de los modelos mediante [comprobaciones de fundamento contextual](https://docs.aws.amazon.com/bedrock/latest/userguide/guardrails-contextual-grounding-check.html), que evalúan la veracidad de los hechos y la relevancia de las respuestas. Un ejemplo es la implementación de una aplicación de IA generativa orientada al cliente que utiliza orígenes de datos externos en una aplicación de [generación aumentada por recuperación (RAG)](https://aws.amazon.com/what-is/retrieval-augmented-generation/). Las comprobaciones de fundamento contextual se pueden utilizar para validar las respuestas del modelo en comparación con estos orígenes de datos y filtrar las respuestas inexactas. En el contexto de la AWS PRA, puede implementar Amazon Bedrock Guardrails en todas las cuentas de carga de trabajo, donde aplica barreras de privacidad específicas que se adaptan a los requisitos de cada carga de trabajo.
## AWS Clean Rooms
A medida que las organizaciones buscan formas de colaborar entre ellas mediante el análisis de conjuntos de datos confidenciales que se cruzan o se superponen, es crucial mantener la seguridad y la privacidad de esos datos compartidos. [AWS Clean Rooms](https://docs.aws.amazon.com/clean-rooms/latest/userguide/what-is.html) lo ayuda a implementar *salas limpias de datos*, que son entornos seguros y neutrales en los que las organizaciones pueden analizar conjuntos de datos combinados sin compartir los propios datos sin procesar. También puede generar información única al proporcionar acceso a otras organizaciones AWS sin mover ni copiar datos de sus propias cuentas y sin revelar el conjunto de datos subyacente. Todos los datos permanecen en la ubicación de origen. Las reglas de análisis integradas limitan la salida y restringen las consultas SQL. Todas las consultas se registran y los miembros de la colaboración pueden ver cómo se consultan los datos.
Puede crear una AWS Clean Rooms colaboración e invitar a otros AWS clientes a ser miembros de esa colaboración. A continuación, concede a un miembro la posibilidad de consultar los conjuntos de datos de los miembros y elige miembros adicionales para recibir los resultados de esas consultas. Si más de un miembro tiene que consultar los conjuntos de datos, puede crear colaboraciones adicionales con los mismos orígenes de datos y distintas configuraciones de miembros. Cada miembro puede filtrar los datos que se comparten con los miembros de la colaboración, y puede usar reglas de análisis personalizadas para establecer limitaciones sobre la forma en que se pueden analizar los datos que aportan a la colaboración.
Además de restringir los datos que se presentan a la colaboración y la forma en que otros miembros pueden utilizarlos, AWS Clean Rooms ofrece las siguientes funciones que pueden ayudarle a proteger la privacidad:
+ La *privacidad diferencial* es una técnica matemática que mejora la privacidad del usuario al agregar a los datos una cantidad de ruido calibrada cuidadosamente. De esta forma, se reduce el riesgo de que se vuelva a identificar a los usuarios individuales en el conjunto de datos sin ocultar los valores de interés. El uso de la [privacidad diferencial de AWS Clean Rooms](https://docs.aws.amazon.com/clean-rooms/latest/userguide/differential-privacy.html) no requiere ningún conocimiento experto en privacidad diferencial.
+ [AWS Clean Rooms ML](https://docs.aws.amazon.com/clean-rooms/latest/userguide/machine-learning.html) permite que dos o más partes identifiquen a usuarios similares en sus datos sin compartir directamente sus datos entre sí. Esto reduce el riesgo de ataques de inferencia de miembros, en los que un miembro de la colaboración puede identificar a las personas del conjunto de datos del otro miembro. Al crear un modelo similar y generar un segmento similar, AWS Clean Rooms ML le ayuda a comparar conjuntos de datos sin exponer los datos originales. Esto no requiere que ninguno de los miembros tenga experiencia en aprendizaje automático ni que realice ningún trabajo ajeno a ellos. AWS Clean Rooms Usted mantiene el control total y la propiedad del modelo entrenado.
+ Puede usar la [computación criptográfica para Clean Rooms (C3R)](https://docs.aws.amazon.com/clean-rooms/latest/userguide/crypto-computing.html) con reglas de análisis para obtener información a partir de información confidencial. Limita criptográficamente lo que cualquier otra parte de la colaboración puede aprender. Al utilizar el cliente de cifrado C3R, los datos se cifran en el cliente antes de proporcionárselos. AWS Clean Rooms Como las tablas de datos se cifran con una herramienta de cifrado del cliente antes de cargarlas en Amazon S3, los datos permanecen cifrados y se conservan durante el procesamiento.
En la AWS PRA, le recomendamos que cree AWS Clean Rooms colaboraciones en la cuenta de datos. Puede utilizarlas para compartir los datos cifrados de los clientes con terceros. Úselas únicamente cuando haya una superposición en los conjuntos de datos proporcionados. Para obtener más información sobre cómo determinar la superposición, consulte la [regla de análisis de listas](https://docs.aws.amazon.com/clean-rooms/latest/userguide/analysis-rules-list.html) en la AWS Clean Rooms documentación.
## Amazon CloudWatch Logs
[Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) le ayuda a centralizar los registros de todos sus sistemas y aplicaciones Servicios de AWS para que pueda supervisarlos y archivarlos de forma segura. En CloudWatch Logs, puede utilizar una [política de protección de datos](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch-logs-data-protection-policies.html) para los grupos de registros nuevos o existentes a fin de minimizar el riesgo de divulgación de datos personales. Las políticas de protección de datos pueden detectar información confidencial, como datos personales, en los registros. La política de protección de datos puede enmascarar esos datos cuando los usuarios acceden a los registros a través de la Consola de administración de AWS. Cuando los usuarios tengan que acceder directamente a los datos personales, de acuerdo con la especificación de finalidad general de la carga de trabajo, puede asignar permisos de `logs:Unmask` a esos usuarios. También tiene la opción de crear una política de protección de datos para toda la cuenta y aplicarla de forma coherente en todas las cuentas de la organización. Esto configura el enmascaramiento de forma predeterminada para todos los grupos de registros actuales y futuros en CloudWatch Logs. Además, recomendamos que active los informes de auditoría y los envíe a otro grupo de registro, a un bucket de Amazon S3 o a Amazon Data Firehose. Estos informes contienen un registro detallado de los resultados de protección de datos en cada grupo de registro.
## CodeGuru Revisor de Amazon
Tanto para la privacidad como para la seguridad, para muchas organizaciones es vital respaldar el cumplimiento constante durante la fase de implementación y las fases posteriores a la implementación. AWS PRA incluye controles proactivos en las canalizaciones de implementación de las aplicaciones que procesan datos personales. [Amazon CodeGuru Reviewer](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/welcome.html) puede detectar posibles defectos que podrían exponer datos personales en código Java y Python. JavaScript Ofrece sugerencias a los desarrolladores para mejorar el código. CodeGuru El revisor puede identificar los defectos en una amplia gama de prácticas de seguridad, privacidad y recomendaciones generales. Está diseñado para funcionar con varios proveedores de fuentes AWS CodeCommit, incluidos Bitbucket y Amazon S3. GitHub Algunos de los defectos relacionados con la privacidad que CodeGuru Reviewer puede detectar incluyen:
+ Inyección de código SQL
+ Cookies sin protección
+ Falta la autorización
+ AWS KMS Recrificación del lado del cliente
Para obtener una lista completa de lo que CodeGuru Reviewer puede detectar, consulte la [biblioteca de Amazon CodeGuru Detector](https://docs.aws.amazon.com/codeguru/detector-library/).
## Amazon Comprehend
[Amazon Comprehend](https://docs.aws.amazon.com/comprehend/latest/dg/what-is.html) es un servicio de procesamiento de lenguaje natural (NLP) que usa machine learning para descubrir información y relaciones valiosas en documentos de texto en inglés. Amazon Comprehend puede detectar y suprimir datos personales en documentos de texto estructurados, semiestructurados o sin estructurar. Para obtener más información, consulte [Personally identifiable information (PII)](https://docs.aws.amazon.com/comprehend/latest/dg/pii.html) en la documentación de Amazon Comprehend.
Dado que Amazon Comprehend ofrece muchas opciones para la integración de aplicaciones AWS SDKs, puede utilizar Amazon Comprehend para identificar datos personales en muchos lugares diferentes donde recopila, almacena y procesa datos. Puede utilizar las capacidades de Amazon Comprehend ML para detectar y redactar datos personales en los [registros de aplicaciones](https://aws.amazon.com/blogs/machine-learning/redacting-pii-from-application-log-output-with-amazon-comprehend/) (entrada de AWS blog), los correos electrónicos de los clientes, los tickets de soporte y mucho más. En el diagrama de arquitectura de la cuenta de la aplicación de datos personales se muestra cómo puede realizar esta función para los registros de aplicaciones en Amazon EC2. Amazon Comprehend ofrece dos modos de supresión de datos:
+ `REPLACE_WITH_PII_ENTITY_TYPE` reemplaza cada entidad de PII por sus tipos. Por ejemplo, **Jane Doe** se sustituiría por **NAME**.
+ `MASK` reemplaza los caracteres de las entidades de PII por un carácter de su elección (\$1, \$1, \$1, %, &,* o @). Por ejemplo, ****Jane Doe**** podría sustituirse por ***\$1\$1\$1\$1 \$1\$1\$1**.
## Amazon Data Firehose
Puede usar [Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html) para capturar, transformar y cargar datos de transmisión en directo en servicios posteriores, como Amazon Managed Service para Apache Flink o Amazon S3. Firehose se suele utilizar para transportar grandes cantidades de datos de transmisión en directo, como registros de aplicaciones, sin tener que crear canalizaciones de procesamiento desde cero.
Puede utilizar las funciones de Lambda para realizar un procesamiento personalizado o integrado antes de que los datos se envíen a las fases posteriores. Para conservar la privacidad, esta capacidad es compatible con los requisitos de minimización de datos y transferencia de datos transfronteriza. Por ejemplo, puede usar Lambda y Firehose para transformar los datos de registro de varias regiones antes de que se centralicen en la cuenta de archivos de registro. Para obtener más información, consulte [Biogen: solución de registro centralizada para cuentas múltiples](https://www.youtube.com/watch?v=m8xtR3-ZQs8) (YouTube vídeo). En la cuenta de PD Application, configuras Amazon CloudWatch AWS CloudTrail para enviar los registros a una transmisión de entrega de Firehose. Una función de Lambda transforma los registros y los envía a un bucket de S3 central en la cuenta de archivos de registro. Puede configurar la función de Lambda para enmascarar campos específicos que contienen datos personales. Esto ayuda a evitar la transferencia de datos personales entre Regiones de AWS. Al utilizar este enfoque, los datos personales se enmascaran antes de la transferencia y la centralización, y no después. En el caso de las solicitudes presentadas en jurisdicciones que no están sujetas a los requisitos de transferencias transfronterizas, suele ser más eficiente desde el punto de vista operativo y rentable agregar los registros a lo largo del proceso organizativo. CloudTrail Para obtener más información, consulte [AWS CloudTrail](security-tooling-account.md#aws-cloudtrail) en la sección *UO de seguridad: cuenta de herramientas de seguridad* de esta guía.
## Amazon DataZone
A medida que las organizaciones amplían su enfoque para compartir datos AWS Lake Formation, por Servicios de AWS ejemplo, quieren asegurarse de que el acceso diferencial esté controlado por quienes están más familiarizados con los datos: los propietarios de los datos. Sin embargo, es posible que estos propietarios de datos conozcan los requisitos de privacidad, como el consentimiento o las consideraciones sobre la transferencias de datos transfronterizas. [Amazon DataZone](https://docs.aws.amazon.com/datazone/latest/userguide/what-is-datazone.html) ayuda a los propietarios de los datos y al equipo de gobierno de datos a compartir y consumir datos en toda la organización de acuerdo con sus políticas de gobierno de datos. En Amazon DataZone, las líneas de negocio (LOBs) administran sus propios datos y un catálogo rastrea esta propiedad. Las partes interesadas pueden buscar datos y solicitar acceso a ellos como parte de sus tareas comerciales. Siempre que cumpla con las políticas establecidas por los publicadores de datos, el propietario de los datos puede conceder el acceso a las tablas subyacentes sin necesidad de un administrador ni de mover los datos.
En un contexto de privacidad, Amazon DataZone puede ser útil en los siguientes casos de uso de ejemplo:
+ Una aplicación orientada al cliente genera datos de uso que se pueden compartir con una línea de negocio de marketing independiente. Debe asegurarse de que solo se publiquen en el catálogo los datos de los clientes que hayan aceptado la opción de marketing.
+ Los datos de los clientes europeos se publican, pero solo los usuarios LOBs locales del Espacio Económico Europeo (EEE) pueden suscribirlos. Para obtener más información, consulta [Mejora la seguridad de los datos con controles de acceso detallados en Amazon](https://aws.amazon.com/blogs/big-data/enhance-data-security-with-fine-grained-access-controls-in-amazon-datazone/). DataZone
En la AWS PRA, puede conectar los datos del bucket compartido de Amazon S3 a Amazon DataZone como productor de datos.
## AWS Glue
El mantenimiento de conjuntos de datos que contienen datos personales es un componente clave de Privacy by Design. Los datos de una organización pueden estar estructurados, semiestructurados o sin estructurar. Los conjuntos de datos personales sin estructura pueden dificultar la realización de una serie de operaciones que mejoran la privacidad, como la minimización de los datos, el seguimiento de los datos atribuidos a un solo titular de los datos como parte de una solicitud del titular, la garantía de una calidad de datos uniforme y la segmentación general de los conjuntos de datos. [AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/what-is-glue.html) es un servicio de extracción, transformación y carga (ETL) completamente administrado. Puede ayudarle a clasificar, limpiar, enriquecer y mover datos entre almacenes de datos y flujos de datos. AWS Glue las funciones están diseñadas para ayudarlo a descubrir, preparar, estructurar y combinar conjuntos de datos para el análisis, el aprendizaje automático y el desarrollo de aplicaciones. Puede utilizarlas AWS Glue para crear una estructura común y predecible sobre sus conjuntos de datos existentes. AWS Glue Data Catalog AWS Glue DataBrew, y la calidad de AWS Glue los datos son AWS Glue funciones que pueden ayudar a cumplir los requisitos de privacidad de su organización.
### AWS Glue Data Catalog
[AWS Glue Data Catalog](https://docs.aws.amazon.com/glue/latest/dg/catalog-and-crawler.html) lo ayuda a establecer conjuntos de datos fáciles de mantener. El catálogo de datos contiene referencias a los datos que se utilizan como fuentes y destinos para las tareas de extracción, transformación y carga (ETL) AWS Glue. La información del Catálogo de datos se almacena como tablas de metadatos y cada tabla especifica un único almacén de datos. Ejecuta un rastreador de AWS Glue para hacer un inventario de los datos en una variedad de tipos de almacenes de datos. Agrega [clasificadores integrados y personalizados](https://docs.aws.amazon.com/glue/latest/dg/add-classifier.html) al rastreador. Estos clasificadores deducen el formato y el esquema de los datos personales. A continuación, el rastreador escribe los metadatos en el Catálogo de datos. Una tabla de metadatos centralizada puede facilitar la respuesta a las solicitudes de los interesados (como el derecho a la supresión), ya que añade estructura y previsibilidad a las distintas fuentes de datos personales de su entorno. AWS Para ver un ejemplo completo de cómo utilizar Data Catalog para responder automáticamente a estas solicitudes, consulte [Gestión de las solicitudes de borrado de datos en su lago de datos con Amazon S3 Find and Forget](https://aws.amazon.com/blogs/big-data/handling-data-erasure-requests-in-your-data-lake-with-amazon-s3-find-and-forget/) (entrada del AWS blog). Por último, si la organización utiliza [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/what-is-lake-formation.html) para administrar y proporcionar acceso con permisos detallados a bases de datos, tablas, filas y celdas, el Catálogo de datos es un componente clave. El catálogo de datos permite el intercambio de datos entre cuentas y le ayuda a [utilizar el control de acceso basado en etiquetas para administrar su lago de datos a escala](https://aws.amazon.com/blogs/big-data/easily-manage-your-data-lake-at-scale-using-tag-based-access-control-in-aws-lake-formation/) (AWS entrada del blog). Para obtener más información, consulte [AWS Lake Formation](#lake-formation) en esta sección.
### AWS Glue DataBrew
[AWS Glue DataBrew](https://docs.aws.amazon.com/databrew/latest/dg/what-is.html) lo ayuda a limpiar y normalizar los datos, y puede realizar transformaciones en los datos, como eliminar o enmascarar la información de identificación personal y cifrar los campos de información confidencial en las canalizaciones de datos. También puede crear un mapa visual del linaje de los datos para comprender los distintos orígenes de datos y los pasos de transformación por los que han pasado los datos. Esta función adquiere cada vez más importancia a medida que su organización trabaja para comprender mejor la procedencia de los datos personales y hacer un seguimiento de ellos. DataBrew le ayuda a ocultar los datos personales durante la preparación de los datos. Puede detectar datos personales como parte de un trabajo de elaboración de perfiles de datos y recopilar estadísticas, como el número de columnas que pueden contener datos personales y las posibles categorías. A continuación, puede utilizar técnicas integradas de transformación de datos reversibles o irreversibles, como la sustitución, el uso de algoritmos hash, el cifrado y el descifrado, todo ello sin necesidad de escribir ningún código. A continuación, puede utilizar los conjuntos de datos limpios y enmascarados en las fases posteriores para realizar tareas de análisis, elaboración de informes y machine learning. Algunas de las técnicas de enmascaramiento de datos disponibles en DataBrew incluyen:
+ **Algoritmos hash**: aplique funciones hash a los valores de las columnas.
+ **Sustitución**: sustituya los datos personales por otros valores que parezcan auténticos.
+ **Anulación o eliminación**: sustituya un campo concreto por un valor nulo o elimine la columna.
+ **Enmascaramiento**: utilice la codificación de caracteres u oculte determinadas partes de las columnas.
Estas son las técnicas de cifrado que hay disponibles:
+ **Cifrado determinista**: aplique algoritmos de cifrado determinista a los valores de las columnas. El cifrado determinista siempre produce el mismo texto cifrado para un valor.
+ **Cifrado probabilístico**: aplique algoritmos de cifrado probabilístico a los valores de las columnas. El cifrado probabilístico produce un texto cifrado diferente cada vez que se aplica.
Para obtener una lista completa de las recetas de transformación de datos personales proporcionadas en DataBrew, consulte los pasos básicos de la [información de identificación personal (PII)](https://docs.aws.amazon.com/databrew/latest/dg/recipe-actions.pii.html).
### AWS Glue Calidad de los datos
AWS Glue La [calidad de los datos](https://docs.aws.amazon.com/glue/latest/dg/glue-data-quality.html) le ayuda a automatizar y poner en funcionamiento la entrega de datos de alta calidad en todas las canalizaciones de datos, de forma proactiva, antes de entregarlos a sus consumidores de datos. AWS Glue Data Quality proporciona un análisis estadístico de los problemas de calidad de los datos en todos sus flujos de datos, puede [activar alertas en Amazon EventBridge](https://docs.aws.amazon.com/glue/latest/dg/data-quality-alerts.html) y puede recomendar normas de calidad para su corrección. AWS Glue Data Quality también permite la creación de reglas con un [lenguaje específico del dominio](https://docs.aws.amazon.com/glue/latest/dg/dqdl.html) para que pueda crear reglas de calidad de datos personalizadas.
## AWS Key Management Service
[AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) le ayuda a crear y controlar claves criptográficas para proteger sus datos. AWS KMS utiliza módulos de seguridad de hardware para proteger y validar AWS KMS keys en el marco del programa de validación de módulos criptográficos FIPS 140-2. Para obtener más información sobre cómo se utiliza este servicio en un contexto de seguridad, consulte la [Arquitectura de referencia de seguridad de AWS](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html#tool-kms).
AWS KMS se integra con la mayoría de los Servicios de AWS que ofrecen cifrado, y puede utilizar claves KMS en las aplicaciones que procesan y almacenan datos personales. Puede utilizar AWS KMS para cumplir una serie de requisitos de privacidad y proteger los datos personales, como, por ejemplo:
+ Usar [claves administradas por el cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) para tener un mayor control sobre la resistencia, la rotación, la caducidad y otras opciones.
+ Usar claves administradas por el cliente exclusivas para proteger los datos personales y los secretos que permiten el acceso a los datos personales.
+ Definir los niveles de clasificación de datos y designar al menos una clave administrada por el cliente exclusiva para cada nivel. Por ejemplo, puede tener una clave para cifrar los datos operativos y otra para cifrar los datos personales.
+ Impedir el acceso entre cuentas involuntario a claves de KMS.
+ Almacenar las claves de KMS en el Cuenta de AWS mismo lugar que el recurso que se va a cifrar.
+ Implementar la separación de tareas para la administración y el uso de las claves de KMS. Para obtener más información, consulte [Cómo usar KMS e IAM para habilitar controles de seguridad independientes para los datos cifrados en S3](https://aws.amazon.com/blogs/security/how-to-use-kms-and-iam-to-enable-independent-security-controls-for-encrypted-data-in-s3/) (entrada del AWS blog).
+ Impulsar la rotación automática de claves mediante barreras de protección de prevención y reacción.
De forma predeterminada, las claves de KMS se almacenan y solo se pueden utilizar en la región donde se crearon. Si la organización tiene requisitos específicos de soberanía y residencia de datos, considere si las [claves de KMS de varias regiones](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) son apropiadas para su caso de uso. Las claves multirregionales son claves de KMS con un propósito especial y diferentes Regiones de AWS que se pueden usar indistintamente. El proceso de creación de una clave multirregional traslada el material clave más allá de Región de AWS las fronteras internas AWS KMS, por lo que esta falta de aislamiento regional podría no ser compatible con los objetivos de soberanía y residencia de la organización. Una forma de solucionar este problema consiste en utilizar un tipo diferente de clave de KMS, como una clave administrada por el cliente específica de una región.
### Almacenes de claves externos
Para muchas organizaciones, el almacén de AWS KMS claves predeterminado Nube de AWS puede cumplir con sus requisitos de soberanía de datos y reglamentarios generales. Sin embargo, algunas organizaciones pueden necesitar que las claves de cifrado se creen y mantengan fuera de un entorno en la nube y que disponga de rutas de autorización y auditoría independientes. Con los [almacenes de claves externos](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-external.html) AWS KMS, puede cifrar los datos personales con material clave que su organización posea y controle de forma externa. Nube de AWS Seguirá interactuando con la AWS KMS API como de costumbre, pero solo AWS KMS interactúa con el software de proxy de [almacén de claves externo (proxy XKS)](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-external.html#concept-xks-proxy) que usted proporcione. A continuación, el proxy del almacén de claves externo interviene en todas las comunicaciones entre AWS KMS y el administrador de claves externo.
Al utilizar un almacén de claves externo para el cifrado de datos, es importante tener en cuenta el costo operativo adicional en comparación con el mantenimiento de las claves en AWS KMS. Con un almacén de claves externo, debe crear, configurar y mantener el almacén de claves externo. Además, si hay errores en la infraestructura adicional que debe mantener, como el proxy XKS, y se pierde la conectividad, es posible que los usuarios no puedan descifrar los datos ni acceder a ellos temporalmente. Debe trabajar en estrecha colaboración con las partes interesadas en materia de cumplimiento y normativas para comprender las obligaciones legales y contractuales relativas al cifrado de datos personales y sus acuerdos de nivel de servicio en relación con la disponibilidad y la resiliencia.
## AWS Lake Formation
Muchas organizaciones que catalogan y categorizan sus conjuntos de datos mediante catálogos de metadatos estructurados desean compartir esos conjuntos de datos en toda la organización. Puede usar políticas de permisos AWS Identity and Access Management (IAM) para controlar el acceso a conjuntos de datos completos, pero a menudo se requiere un control más detallado para los conjuntos de datos que contienen datos personales de diferente sensibilidad. Por ejemplo, la [especificación de la finalidad y la limitación de uso](https://www.fpc.gov/resources/fipps/) (sitio web de FPC) pueden indicar que un equipo de marketing tiene que acceder a las direcciones de los clientes, pero un equipo de ciencia de datos no.
Los [lagos de datos](https://aws.amazon.com/big-data/datalakes-and-analytics/datalakes/) también suponen problemas de privacidad, ya que centralizan el acceso a grandes cantidades de información confidencial en su formato original. Se puede acceder de forma centralizada a la mayoría de los datos de una organización desde un solo lugar, por lo que la separación lógica de los conjuntos de datos, especialmente los que contienen datos personales, puede ser fundamental. [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/what-is-lake-formation.html) puede ayudarlo a configurar la gobernanza y la supervisión para compartir los datos, ya sea de un solo origen o de varios contenidos en un lago de datos. En la AWS PRA, puede usar Lake Formation para proporcionar un control de acceso detallado a los datos del depósito de datos compartido de la cuenta de datos.
Puede utilizar la característica de [control de acceso basado en etiquetas](https://docs.aws.amazon.com/lake-formation/latest/dg/tag-based-access-control.html) en Lake Formation. El *control de acceso basado en etiquetas* es una estrategia de autorización que define permisos basados en atributos. En Lake Formation, estos atributos se denominan *etiquetas LF*. Con una etiqueta LF, puede adjuntar estas etiquetas a las bases de datos, tablas y columnas del Catálogo de datos y conceder las mismas etiquetas a las entidades principales de IAM. Lake Formation permite realizar operaciones en esos recursos cuando se concede acceso a la entidad principal a un valor de etiqueta que coincide con el valor de la etiqueta del recurso. En la siguiente imagen se muestra cómo asignar etiquetas LF y permisos para proporcionar un acceso diferenciado a los datos personales.
![\[Las etiquetas LF controlan a qué columnas de la tabla pueden acceder los equipos.\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/privacy-reference-architecture/images/lake-formation-tags.png)
En este ejemplo, se usa la naturaleza jerárquica de las etiquetas. Ambas bases de datos contienen información de identificación personal (`PII:true`), pero las etiquetas en el nivel de columnas limitan las columnas específicas a los diferentes equipos. En este ejemplo, los directores de IAM que tienen la etiqueta `PII:true` LF pueden acceder a los recursos de la base de datos que tienen esta etiqueta. AWS Glue Las entidades principales con la etiqueta LF `LOB:DataScience` pueden acceder a columnas específicas que tengan esta etiqueta, y las entidades principales con la etiqueta LF `LOB:Marketing` solo pueden acceder a las columnas que tengan esta etiqueta. El equipo de marketing solo puede acceder a la PII que sea pertinente para los casos de uso de marketing y el equipo de ciencia de datos solo puede acceder a la PII que sea pertinente para sus casos de uso.
## Zonas locales de AWS
Si necesita cumplir con los requisitos de residencia de los datos, puede implementar recursos que almacenen y procesen datos personales de forma específica Regiones de AWS para cumplir con estos requisitos. También puede utilizarlos [Zonas locales de AWS](https://docs.aws.amazon.com/local-zones/latest/ug/what-is-aws-local-zones.html), lo que le ayuda a ubicar los recursos informáticos, de almacenamiento, de bases de datos y otros AWS recursos selectos cerca de grandes centros industriales y de población. Una zona local es una extensión de una Región de AWS que se encuentra en la cercanía geográfica de una gran área metropolitana. Puede colocar tipos específicos de recursos dentro de una zona local, cerca de la región a la que corresponde la zona local. Las zonas locales pueden ayudarlo a cumplir con los requisitos de residencia de datos cuando una región no esté disponible dentro de la misma jurisdicción legal. Cuando utilice las zonas locales, tenga en cuenta los controles de residencia de datos que se hayan implementado en la organización. Por ejemplo, es posible que necesite un control para evitar las transferencias de datos de una zona local específica a otra región. Para obtener más información sobre cómo SCPs mantener las barreras de transferencia de datos transfronterizas, consulte [Mejores prácticas para gestionar la residencia de datos al Zonas locales de AWS usar controles de landing zone](https://aws.amazon.com/blogs/compute/best-practices-for-managing-data-residency-in-aws-local-zones-using-landing-zone-controls/) (entrada del AWS blog).
## AWS Enclaves Nitro
Evalúe su estrategia de segmentación de datos desde el punto de vista del procesamiento, como el procesamiento de los datos personales con un servicio de computación como Amazon Elastic Compute Cloud (Amazon EC2). La computación confidencial, como parte de una estrategia de arquitectura más amplia, puede ayudarlo a aislar el procesamiento de datos personales en un enclave de CPU aislado, protegido y fiable. Los enclaves son máquinas virtuales independientes, reforzadas y muy restringidas. [AWS Nitro Enclaves](https://docs.aws.amazon.com/enclaves/latest/user/nitro-enclave.html) es una característica de Amazon EC2 que puede ayudarlo a crear estos entornos de computación aislados. Para obtener más información, consulte [El diseño de seguridad del sistema AWS Nitro (documento técnico](https://docs.aws.amazon.com/whitepapers/latest/security-design-of-aws-nitro-system/security-design-of-aws-nitro-system.html)).AWS
Nitro Enclaves implementa un kernel que está separado del kernel de la instancia principal. El kernel de la instancia principal no tiene acceso al enclave. Los usuarios no pueden acceder a los datos y las aplicaciones del enclave mediante SSH ni de forma remota. Las aplicaciones que procesan datos personales pueden incrustarse en el enclave y configurarse para usar el socket [Vsock](https://docs.aws.amazon.com/enclaves/latest/user/nitro-enclave-concepts.html#term-socket) del enclave, que permite que el enclave y la instancia principal se comuniquen.
Un caso de uso en el que Nitro Enclaves puede resultar útil es el procesamiento conjunto entre dos procesadores de datos que están separados Regiones de AWS y que podrían no confiar entre sí. En la siguiente imagen se muestra cómo se puede utilizar un enclave para el procesamiento centralizado, una clave de KMS para cifrar los datos personales antes de enviarlos al enclave y una política de AWS KMS key que compruebe que el enclave que solicita el descifrado tenga las medidas únicas en el documento de certificación. Para obtener más información e instrucciones, consulte [Uso de la atestación criptográfica](https://docs.aws.amazon.com/enclaves/latest/user/kms.html) con. AWS KMS Para ver una política de claves de ejemplo, consulte [Exija una certificación para usar una clave AWS KMS](require-attestation-for-kms-key.md) en esta guía.
![\[Uso de AWS Nitro Enclave para procesar datos cifrados en depósitos de Amazon S3 en diferentes cuentas.\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/privacy-reference-architecture/images/nitro-enclave.png)
Con esta implementación, solo los procesadores de datos correspondientes y el enclave subyacente tienen acceso a los datos personales en texto plano. El único lugar donde están expuestos los datos, fuera del entorno de los correspondientes procesadores de datos, es en el propio enclave, que está diseñado para evitar el acceso y las manipulaciones.
## AWS PrivateLink
Muchas organizaciones quieren limitar la exposición de los datos personales a redes que no sean de confianza. Por ejemplo, si desea mejorar la privacidad del diseño general de la arquitectura de su aplicación, puede segmentar las redes en función de la confidencialidad de los datos (de forma similar a la separación lógica y física de los conjuntos de datos que se describe en la [Servicios de AWS y funciones que ayudan a segmentar los datos](#segment-data) sección). [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html)le ayuda a crear conexiones unidireccionales y privadas desde sus nubes privadas virtuales (VPCs) a servicios externos a la VPC. Con AWS PrivateLink, puede configurar conexiones privadas específicas para los servicios que almacenan o procesan datos personales en su entorno; no es necesario que se conecte a los puntos de conexión públicos ni que transfiera estos datos a través de redes públicas que no sean de confianza. Al habilitar los puntos finales de AWS PrivateLink servicio para los servicios incluidos en el ámbito de aplicación, no se necesita una pasarela de Internet, un dispositivo NAT, una dirección IP pública, una conexión o una AWS Direct Connect conexión para poder AWS Site-to-Site VPN comunicarse. Cuando te conectas AWS PrivateLink a un servicio que proporciona acceso a datos personales, puedes usar políticas de puntos finales de VPC y grupos de seguridad para controlar el acceso, de acuerdo con la definición del [perímetro de datos](https://aws.amazon.com/identity/data-perimeters-on-aws/) de tu organización. Para ver un ejemplo de política de puntos finales de VPC que permite que solo los principios y AWS recursos de IAM de una organización de confianza accedan a un punto final de servicio, consulte [Obligación de ser miembro de una organización para acceder a los recursos de VPC](require-organization-membership.md) esta guía.
## AWS Resource Access Manager
[AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) le ayuda a compartir sus recursos de forma segura Cuentas de AWS para reducir la sobrecarga operativa y ofrecer visibilidad y auditabilidad. Cuando planifique su estrategia de segmentación de varias cuentas, considere la posibilidad de AWS RAM compartir los almacenes de datos personales que almacene en una cuenta separada y aislada. Puede compartir esos datos personales con otras cuentas de confianza a fin de poderlos procesar. En AWS RAM, puedes [administrar los permisos](https://docs.aws.amazon.com/ram/latest/userguide/security-ram-permissions.html) que definen qué acciones se pueden realizar en los recursos compartidos. AWS RAM Se ha iniciado sesión en todas las llamadas a la API CloudTrail. Además, puede configurar Amazon CloudWatch Events para que le notifique automáticamente eventos específicos en AWS RAM, por ejemplo, cuando se realicen cambios en un recurso compartido.
Si bien puede compartir muchos tipos de AWS recursos con otros Cuentas de AWS mediante políticas basadas en recursos en IAM o políticas de bucket en Amazon S3, AWS RAM ofrece varios beneficios adicionales en materia de privacidad. AWS proporciona a los propietarios de los datos una visibilidad adicional sobre cómo y con quién se comparten los datos en su Cuentas de AWS empresa, lo que incluye:
+ Poder compartir un recurso con una unidad organizativa completa en lugar de actualizar manualmente las listas de cuentas IDs
+ Hacer cumplir el proceso de invitación para iniciar el intercambio si la cuenta del consumidor no forma parte de la organización
+ Visibilidad de las entidades principales de IAM específicas que tienen acceso a cada recurso específico
Si ha utilizado anteriormente una política basada en recursos para administrar un recurso compartido y desea utilizarla AWS RAM en su lugar, utilice la operación de [PromoteResourceShareCreatedFromPolicy](https://docs.aws.amazon.com/ram/latest/APIReference/API_PromoteResourceShareCreatedFromPolicy.html)API.
## Amazon SageMaker AI
[Amazon SageMaker AI](https://aws.amazon.com/blogs/machine-learning/implement-model-independent-safety-measures-with-amazon-bedrock-guardrails/) es un servicio de aprendizaje automático (ML) gestionado que le ayuda a crear y entrenar modelos de aprendizaje automático para luego implementarlos en un entorno hospedado listo para la producción. SageMaker La IA está diseñada para facilitar la preparación de los datos de entrenamiento y la creación de características de los modelos.
### Monitor de SageMaker modelos Amazon
Muchas organizaciones tienen en cuenta la deriva de datos a la hora de entrenar modelos de ML. Una deriva de datos es una variación significativa entre los datos de producción y los datos que se utilizaron para entrenar un modelo de ML, o un cambio significativo en los datos de entrada a lo largo del tiempo. La deriva de datos puede reducir la calidad, la precisión y la imparcialidad generales de las predicciones de los modelos de machine learning. Si la naturaleza estadística de los datos que recibe un modelo de ML mientras está en producción se desvía de la naturaleza de los datos de referencia con los que se entrenó, la precisión de las predicciones podría disminuir. [Amazon SageMaker Model Monitor puede monitorear](https://docs.aws.amazon.com/sagemaker/latest/dg/model-monitor.html) continuamente la calidad de los modelos de aprendizaje automático de Amazon SageMaker AI en producción y monitorear la calidad de los datos. La detección temprana y proactiva de la deriva de datos puede ayudarlo a implementar medidas correctivas, como el nuevo entrenamiento de modelos, la auditoría de los sistemas de las fases previas o la corrección de problemas de calidad de datos. El Monitor de modelos puede reducir la necesidad de supervisar manualmente los modelos o crear más herramientas.
### Amazon SageMaker Clarify
[Amazon SageMaker Clarify](https://docs.aws.amazon.com/sagemaker/latest/dg/clarify-configure-processing-jobs.html) proporciona información sobre el sesgo y la explicabilidad de los modelos. SageMaker Clarify se usa comúnmente durante la preparación de los datos del modelo de aprendizaje automático y la fase de desarrollo general. Los desarrolladores pueden especificar los atributos de interés, como el sexo o la edad, y SageMaker Clarify ejecuta un conjunto de algoritmos para detectar cualquier presencia de sesgo en esos atributos. Una vez ejecutado el algoritmo, SageMaker Clarify proporciona un informe visual con una descripción de las fuentes y las medidas del posible sesgo para que pueda identificar las medidas necesarias para subsanarlo. Por ejemplo, en un conjunto de datos financieros que contenga solo unos pocos ejemplos de préstamos empresariales concedidos a un grupo de edad en comparación con otros, SageMaker podría detectar desequilibrios para evitar un modelo que desfavorezca a ese grupo de edad. También puede comprobar si hay sesgos en los modelos ya entrenados revisando sus predicciones y supervisándolos continuamente para detectar sesgos. Por último, SageMaker Clarify está integrado con [Amazon SageMaker AI Experiments](https://docs.aws.amazon.com/sagemaker/latest/dg/experiments.html) para proporcionar un gráfico que explica qué características contribuyeron más al proceso general de elaboración de predicciones de un modelo. Esta información podría ser útil para obtener resultados de explicabilidad y podría ayudarlo a determinar si la entrada de un modelo en particular tiene más influencia de la que debería en el comportamiento general del modelo.
### Tarjeta SageMaker modelo Amazon
[Amazon SageMaker Model Card](https://docs.aws.amazon.com/sagemaker/latest/dg/model-cards.html) puede ayudarle a documentar detalles importantes sobre sus modelos de aprendizaje automático con fines de gobernanza y elaboración de informes. Entre estos detalles se pueden incluir el propietario del modelo, la finalidad general, los casos de uso previstos, las suposiciones realizadas, la clasificación de riesgo de un modelo, los detalles y las métricas del entrenamiento y los resultados de la evaluación. Para obtener más información, consulte [Model Explainability with AWS Artificial Intelligence and Machine Learning Solutions (documento](https://docs.aws.amazon.com/whitepapers/latest/model-explainability-aws-ai-ml/model-explainability-aws-ai-ml.html)AWS técnico).
### Amazon SageMaker Data Wrangler
[Amazon SageMaker Data Wrangler](https://aws.amazon.com/sagemaker/data-wrangler/) es una herramienta de aprendizaje automático que ayuda a agilizar el proceso de preparación de datos e ingeniería de características. Proporciona una interfaz visual que ayuda a los científicos de datos y a los ingenieros de machine learning a preparar y transformar los datos de forma rápida y sencilla para utilizarlos en modelos de machine learning. Con Data Wrangler, puede importar datos desde diversos orígenes, como Amazon S3, Amazon Redshift y Amazon Athena. A continuación, puede usar más de 300 transformaciones de datos integradas para limpiar, normalizar y combinar características sin tener que escribir ningún código.
Data Wrangler se puede utilizar como parte del proceso de preparación de datos e ingeniería de características en la PRA. AWS Admite el cifrado de datos en reposo y en tránsito mediante el uso AWS KMS, y utiliza las funciones y políticas de IAM para controlar el acceso a los datos y los recursos. Admite el enmascaramiento de datos a través de AWS Glue [Amazon SageMaker Feature Store](https://docs.aws.amazon.com/sagemaker/latest/dg/feature-store.html). Si integras Data Wrangler con AWS Lake Formation, puedes aplicar controles y permisos de acceso a los datos detallados. Incluso puede usar Data Wrangler con Amazon Comprehend para suprimir automáticamente los datos personales de los datos tabulares como parte del flujo de trabajo más amplio de las operaciones de machine learning (MLOps). Para obtener más información, consulte [Redactar automáticamente la PII para el aprendizaje automático mediante Amazon SageMaker Data Wrangler](https://aws.amazon.com/blogs/machine-learning/automatically-redact-pii-for-machine-learning-using-amazon-sagemaker-data-wrangler/) (AWS entrada del blog).
La versatilidad de Data Wrangler le permite enmascarar la información confidencial de muchos sectores, como números de cuentas, números de tarjetas de crédito, números de la seguridad social, nombres de pacientes e historiales médicos y militares. Puede limitar el acceso a cualquier información confidencial o elegir suprimirla.
## AWS funciones que ayudan a gestionar el ciclo de vida de los datos
Cuando los datos personales ya no sean necesarios, puede utilizar el ciclo de vida y time-to-live las políticas para los datos de muchos almacenes de datos diferentes. Al configurar las políticas de retención de datos, debe considerar las siguientes ubicaciones que podrían contener datos personales:
+ Bases de datos, como Amazon DynamoDB y Amazon Relational Database Service (Amazon RDS)
+ Buckets de Amazon S3
+ Inicia sesión desde y CloudWatch CloudTrail
+ Datos en caché de migraciones en AWS Database Migration Service (AWS DMS) y proyectos AWS Glue DataBrew
+ Copias de seguridad e instantáneas
Las siguientes funciones Servicios de AWS y las siguientes pueden ayudarle a configurar las políticas de retención de datos en sus AWS entornos:
+ [Amazon S3 Lifecycle](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html): un conjunto de reglas que definen acciones que Amazon S3 aplica a un grupo de objetos. En la configuración de Amazon S3 Lifecyle, puede crear acciones de caducidad, que definen cuándo Amazon S3 elimina los objetos caducados en su nombre. Para obtener más información, consulte [Administración del ciclo de vida del almacenamiento](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html).
+ [Amazon Data Lifecycle Manager](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/snapshot-lifecycle.html): en Amazon EC2, cree una política que automatice la creación, la retención y la eliminación de las instantáneas de Amazon Elastic Block Store (Amazon EBS) y de las Amazon Machine Images respaldadas por EBS (). AMIs
+ [Tiempo de duración (TTL) de DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/TTL.html): defina una marca temporal por elemento que determine cuándo ya no se necesita un elemento. Poco después de la fecha y hora de la marca temporal especificada, DynamoDB elimina el elemento de la tabla.
+ [Configuración de retención de CloudWatch registros en Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#SettingLogRetention): puede ajustar la política de retención de cada grupo de registros a un valor comprendido entre 1 día y 10 años.
+ [AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html)— Implemente políticas de protección de datos de forma centralizada para configurar, administrar y gobernar su actividad de respaldo en una variedad de AWS recursos, incluidos los buckets S3, las instancias de bases de datos de RDS, las tablas de DynamoDB, los volúmenes de EBS y muchos más. Aplique políticas de respaldo a sus AWS recursos especificando los tipos de recursos o proporcionando una granularidad adicional al aplicarlas en función de las etiquetas de recursos existentes. Audite sobre la actividad de copia de seguridad y cree informes la actividad desde una consola centralizada para cumplir con los requisitos de cumplimiento de las normas de copia de seguridad.
## Servicios de AWS y funciones que ayudan a segmentar los datos
La segmentación de datos es el proceso mediante el cual se almacenan los datos en contenedores separados. Esto puede ayudarlo a proporcionar medidas de seguridad y autenticación diferenciadas para cada conjunto de datos y a reducir el alcance del impacto de la exposición en todo el conjunto de datos. Por ejemplo, en lugar de almacenar todos los datos de los clientes en una gran base de datos, puede segmentar estos datos en grupos más pequeños que sean más fáciles de administrar.
Puede utilizar la separación física y lógica para segmentar los datos personales:
+ **Separación física**: acción de almacenar los datos en almacenes de datos separados o de distribuirlos en recursos de AWS separados. Si bien los datos están separados físicamente, es posible que las mismas entidades principales puedan acceder a ambos recursos. Por eso le recomendamos que combine la separación física y la separación lógica.
+ **Separación lógica**: acción de aislar los datos mediante controles de acceso. Los diferentes puestos laborales requieren diferentes niveles de acceso a subconjuntos de datos personales. Para ver un ejemplo de política que implementa la separación lógica, consulte [Concesión de acceso a atributos específicos de Amazon DynamoDB](grant-access-dynamodb-attributes.md) en esta guía.
La combinación de una separación lógica y física brinda flexibilidad, simplicidad y detalle a la hora de redactar políticas basadas en la identidad y en los recursos para respaldar el acceso diferenciado entre los diferentes puestos laborales. Por ejemplo, desde el punto de vista operativo, crear políticas que separen de forma lógica las diferentes clasificaciones de datos en un único bucket de S3 puede ser complejo. El uso de buckets de S3 específicos para cada clasificación de datos simplifica la configuración y la administración de las políticas.
## Servicios de AWS y funciones que ayudan a descubrir, clasificar o catalogar datos
Algunas organizaciones no han empezado a usar herramientas de extracción, carga y transformación (ELT) en su entorno para catalogar los datos de forma proactiva. Es posible que estos clientes se encuentren en una fase temprana de descubrimiento de datos, en la que deseen comprender mejor los datos que almacenan y procesan AWS y cómo están estructurados y clasificados. Puede utilizar [Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/data-classification.html) para comprender mejor los datos de PII en Amazon S3. Sin embargo, Amazon Macie no puede ayudarlo a analizar otros orígenes de datos, como Amazon Relational Database Service (Amazon RDS) y Amazon Redshift. Puede usar dos enfoques para acelerar la detección inicial al comienzo de un [ejercicio de asignación de datos](https://securiti.ai/blog/evolve-your-data-mapping/) más amplio:
+ **Método manual**: cree una tabla que tenga dos columnas y tantas filas como necesite. En la primera columna, escriba una caracterización de los datos (como nombre de usuario, dirección o género) que pueda aparecer en el encabezado o el cuerpo de un paquete de red o en cualquier servicio que proporcione. Pida al equipo de cumplimiento que complete la segunda columna. En la segunda columna, escriba “sí” si los datos se consideran personales y “no” si no lo son. Indique cualquier tipo de datos personales que se consideren especialmente confidenciales, como la denominación religiosa o los datos sobre la salud.
+ **Enfoque automatizado**: utilice las herramientas que se proporcionan mediante AWS Marketplace. Una de esas herramientas es [Securiti](https://securiti.ai/). Estas soluciones ofrecen integraciones con las que pueden escanear y detectar datos en varios tipos de recursos de AWS , así como activos en otras plataformas de servicios en la nube. Muchas de estas mismas soluciones pueden recopilar y mantener de forma continua un inventario de activos de datos y actividades de procesamiento de datos en un catálogo de datos centralizado. Si confía en una herramienta para realizar una clasificación automatizada, es posible que tenga que ajustar las reglas de detección y clasificación para adaptarlas a la definición de datos personales de la organización.