Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Utilisation des groupes de journaux et des flux de journaux
Un flux de journal est une séquence d'événements du journaux qui partagent la même source. Chaque source distincte de CloudWatch journaux dans Logs constitue un flux de journaux distinct.
Un groupe de journaux est un groupe de flux de journaux qui partagent les mêmes paramètres de conservation, de surveillance et de contrôle d’accès. Vous pouvez définir des groupes de journaux et spécifier les flux à placer dans chaque groupe. Le nombre de flux de journaux pouvant appartenir à un groupe de journaux est illimité.
Pour les entreprises qui ont besoin de consolider les données de journaux provenant de plusieurs comptes et régions, vous pouvez utiliser la centralisation CloudWatch des journaux pour répliquer automatiquement les groupes de journaux sur un compte central. Pour de plus amples informations, veuillez consulter [Centralisation des journaux inter-comptes et inter-régions](CloudWatchLogs_Centralization.md).
Vous pouvez utiliser les procédures décrites dans cette section pour travailler avec des groupes de journaux et des flux de journaux.
## Création d'un groupe de CloudWatch journaux dans Logs
Lorsque vous installez l'agent CloudWatch Logs sur une instance Amazon EC2 en suivant les étapes décrites dans les sections précédentes du guide de l'utilisateur Amazon CloudWatch Logs, le groupe de journaux est créé dans le cadre de ce processus. Vous pouvez également créer un groupe de journaux directement dans la CloudWatch console.
**Pour créer un groupe de journaux**
1. Ouvrez la CloudWatch console à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Dans le volet de navigation, choisissez **Log Management**.
1. Choisissez **Actions**, puis **Create Bucket (Créer un compartiment)**.
1. Tapez un nom pour le groupe de journaux, puis choisissez **Créer un groupe de journaux**.
**Astuce**
Vous pouvez mettre en favoris les groupes de journaux, ainsi que les tableaux de bord et les alarmes, à partir du menu ***Favorites and recents*** (Favoris et récents) dans le volet de navigation. Sous la colonne ***Recetly visited*** (Visité récemment), survolez le groupe de journaux que vous souhaitez mettre en favoris et choisissez le symbole étoile à côté de celui-ci.
## Envoi de journaux à un groupe de journaux
CloudWatch Logs reçoit automatiquement les événements du journal provenant de plusieurs AWS services. Vous pouvez également envoyer d'autres événements de journal à CloudWatch Logs en utilisant l'une des méthodes suivantes :
+ **CloudWatch agent** — L' CloudWatch agent unifié peut envoyer à la fois des métriques et des CloudWatch journaux à Logs. Pour plus d'informations sur l'installation et l'utilisation de l' CloudWatch agent, consultez la section [Collecte de métriques et de journaux à partir d'instances Amazon EC2 et de serveurs sur site avec l' CloudWatch agent dans le guide](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html) de l'utilisateur *Amazon CloudWatch *.
+ **AWS CLI**: [put-log-events](https://docs.aws.amazon.com/cli/latest/reference/logs/put-log-events.html)télécharge des lots d'événements du journal dans Logs. CloudWatch
+ **Par programmation** : l'[PutLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutLogEvents.html)API vous permet de télécharger par programmation des lots d'événements de journal dans Logs. CloudWatch
## Afficher les données du journal envoyées à CloudWatch Logs
Vous pouvez afficher et parcourir les données des journaux telles qu'elles sont envoyées à CloudWatch Logs par l'agent CloudWatch Logs. stream-by-stream Vous pouvez spécifier la plage de temps pour les données de journal à afficher.
**Pour afficher les données des journaux**
1. Ouvrez la CloudWatch console à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Dans le volet de navigation, choisissez **Log Management**.
1. Pour **Log Groups**, choisissez le groupe de journaux pour afficher les flux.
1. Dans la liste des groupes de journaux, choisissez le nom du groupe de journaux que vous souhaitez afficher.
1. Dans la liste des flux de journaux, choisissez le nom du flux de journaux que vous souhaitez afficher.
1. Pour modifier la façon dont les données de journal sont affichées, effectuez l'une des actions suivantes :
+ Pour développer un événement de journal, sélectionnez la flèche en regard de celui-ci.
+ Pour développer tous les événements de journaux et les afficher sous forme de texte brut, au-dessus de la liste des événements de journaux, choisissez **Text**.
+ Pour filtrer les événements de journaux, saisissez le filtre de recherche souhaité dans le champ de recherche. Pour plus d'informations, consultez [Création de métriques à partir d'événements du journal à l'aide de filtres](MonitoringLogData.md).
+ Pour afficher les données de journal pour une plage de dates et d'heures spécifiée, sélectionnez la flèche en regard de la date et de l'heure, près du filtre de recherche. Pour spécifier une plage de dates et d'heures, choisissez **Absolu**. Pour choisir un nombre prédéfini de minutes, d'heures, de jours ou de semaines, choisissez **Relatif**. Vous pouvez également basculer entre UTC et le fuseau horaire local.
# Recherche de données journal au moyen de modèles de filtres
Vous pouvez effectuer une recherche dans les données de vos journaux en utilisant la [Syntaxe des modèles de filtres pour les filtres de métriques, les filtres d'abonnements, les filtres d'événements du journal et Live Tail](FilterAndPatternSyntax.md). Vous pouvez rechercher tous les flux de journaux au sein d'un groupe de journaux ou, en utilisant le, AWS CLI vous pouvez également rechercher des flux de journaux spécifiques. A chaque exécution, la recherche renvoie la première page de données trouvées et un jeton pour récupérer la page de données suivante ou pour continuer la recherche. Si aucun résultat n'est obtenu, vous pouvez continuer la recherche.
Vous pouvez définir la plage de temps que vous souhaitez interroger pour limiter la portée de votre recherche. Vous pouvez commencer par une durée plus importante pour voir où se trouvent les lignes de journaux qui vous intéressent, puis la réduire afin de consulter des journaux spécifiques de cette période.
Vous pouvez également transiter directement des métriques extraites de vos journaux aux journaux correspondants.
Si vous êtes connecté à un compte configuré en tant que compte de surveillance dans l'observabilité CloudWatch entre comptes, vous pouvez rechercher et filtrer les événements du journal à partir des comptes sources liés à ce compte de surveillance. Pour plus d'informations, consultez la section [Observabilité inter-comptes de CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html) (français non garanti).
## Recherche d'entrées de journal à l'aide de la console
Vous pouvez rechercher des entrées de journal qui correspondent à des critères spécifiés à partir de la console.
**Pour effectuer une recherche dans vos journaux à l'aide de la console**
1. Ouvrez la CloudWatch console à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Dans le volet de navigation, choisissez **Log Management**.
1. Pour **Log Groups**, choisissez le nom du groupe de journaux contenant le flux de journal devant faire l’objet de la recherche.
1. Pour **Log Streams**, choisissez le nom du flux de journal devant faire l’objet de la recherche.
1. Sous **Journal des événements**, saisissez la syntaxe du filtre à utiliser.
**Pour effectuer une recherche dans toutes les entrées de journal pour une plage de temps donnée à l'aide de la console**
1. Ouvrez la CloudWatch console à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Dans le volet de navigation, choisissez **Log Management**.
1. Pour **Log Groups**, choisissez le nom du groupe de journaux contenant le flux de journal devant faire l’objet de la recherche.
1. Choisissez **Rechercher un groupe de journaux**.
1. Dans **Événements de journaux**, sélectionnez la plage de date et d'heure, puis saisissez la syntaxe du filtre.
## Recherchez les entrées du journal à l'aide du AWS CLI
Vous pouvez rechercher des entrées de journal qui répondent à des critères spécifiques à l'aide du AWS CLI.
**Pour effectuer une recherche dans les entrées du journal à l'aide du AWS CLI**
À partir d'une invite de commande, exécutez la commande [filter-log-events](https://docs.aws.amazon.com/cli/latest/reference/logs/filter-log-events.html) suivante. Utilisez `--filter-pattern` pour limiter les résultats au modèle de filtre spécifié et `--log-stream-names` pour limiter les résultats au flux de journaux spécifiés.
```
aws logs filter-log-events --log-group-name my-group [--log-stream-names LIST_OF_STREAMS_TO_SEARCH] [--filter-pattern VALID_METRIC_FILTER_PATTERN]
```
**Pour rechercher des entrées de journal sur une période donnée à l'aide du AWS CLI**
À l'invite de commande, exécutez la [filter-log-events](https://docs.aws.amazon.com/cli/latest/reference/logs/filter-log-events.html)commande suivante :
```
aws logs filter-log-events --log-group-name my-group [--log-stream-names LIST_OF_STREAMS_TO_SEARCH] [--start-time 1482197400000] [--end-time 1482217558365] [--filter-pattern VALID_METRIC_FILTER_PATTERN]
```
## Transition des métriques aux journaux
Vous pouvez accéder à des entrées de journal spécifiques à partir d'autres emplacements de la console.
**Pour passer de widgets de tableau de bord à des journaux**
1. Ouvrez la CloudWatch console à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Dans le panneau de navigation, choisissez **Dashboards** (Tableaux de bord).
1. Choisissez un tableau de bord.
1. Sur le widget, choisissez l'icône **View logs**, puis choisissez **View logs in this time range**. S'il existe plusieurs filtres de métriques, sélectionnez-en un dans la liste. Si le nombre de filtres de métriques est supérieur au nombre de filtres pouvant être affichés dans la liste, choisissez **More metric filters**, puis sélectionnez ou recherchez un filtre de métrique.
**Pour passer des métriques aux journaux**
1. Ouvrez la CloudWatch console à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Dans le panneau de navigation, sélectionnez **Métriques**.
1. Dans le champ de recherche situé sous l'onglet **All metrics**, saisissez le nom de la métrique et appuyez sur Entrée.
1. Sélectionnez une ou plusieurs métriques dans les résultats de la recherche.
1. Choisissez **Actions**, **View logs**. S'il existe plusieurs filtres de métriques, sélectionnez-en un dans la liste. Si le nombre de filtres de métriques est supérieur au nombre de filtres pouvant être affichés dans la liste, choisissez **More metric filters**, puis sélectionnez ou recherchez un filtre de métrique.
## Résolution des problèmes
**La recherche prend trop longtemps**
Si vous avez beaucoup de données de journal, la recherche peut prendre beaucoup de temps. Afin d'accélérer le processus, vous pouvez procéder comme indiqué ci-dessous :
+ Si vous utilisez le AWS CLI, vous pouvez limiter la recherche aux flux de journaux qui vous intéressent. Par exemple, si votre groupe de journaux compte 1 000 flux de journaux, mais que vous souhaitez uniquement voir trois flux de journaux dont vous savez qu'ils sont pertinents, vous pouvez utiliser le AWS CLI pour limiter votre recherche aux trois flux de journaux du groupe de journaux uniquement.
+ Utilisez une période plus courte, à niveau de détail supérieur, ce qui réduit la quantité de données dans laquelle effectuer la recherche et accélère la requête.
## Conservation des données du journal des modifications dans CloudWatch les journaux
Par défaut, les données du journal sont stockées dans les CloudWatch journaux indéfiniment. Vous pouvez néanmoins configurer la durée de stockage des données de journaux dans un groupe de journaux. Toutes les données antérieures au paramètre de conservation actuel sont supprimées. Vous pouvez modifier la durée de conservation des journaux pour chaque groupe de journaux à tout moment.
**Note**
CloudWatch Logs ne supprime pas immédiatement les événements du journal lorsqu'ils atteignent leur paramètre de rétention. Cela prend généralement jusqu'à 72 heures avant que les événements du journal ne soient supprimés, mais dans de rares cas, cela peut prendre plus de temps.
Cela signifie que si vous modifiez un groupe de journaux pour qu'il dispose d'un paramètre de conservation plus long lorsqu'il contient des événements du journal qui ont dépassé la date d'expiration, mais qui n'ont pas été réellement supprimés, ces événements du journal prendront jusqu'à 72 heures pour être supprimés une fois la nouvelle date de conservation atteinte. Pour vous assurer que les données du journal sont supprimées définitivement, conservez un groupe de journaux à son paramètre de rétention inférieur jusqu'à ce que 72 heures se soient écoulées après la fin de la période de conservation précédente, ou que vous ayez confirmé que les anciens événements du journal sont supprimés.
Lorsque les événements du journal atteignent leur paramètre de rétention, ils sont marqués pour suppression. Une fois qu'ils sont marqués pour suppression, ils n'augmentent plus vos coûts de stockage d'archives, même s'ils ne sont supprimés que plus tard. Ces événements du journal marqués pour suppression ne sont pas non plus inclus lorsque vous utilisez une API pour récupérer la valeur `storedBytes` afin de connaître le nombre d'octets stockés par un groupe de journaux.
**Pour modifier le paramètre de conservation des journaux**
1. Ouvrez la CloudWatch console à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Dans le panneau de navigation de gauche, choisissez **Logs** (Journaux), **Log groups** (Groupes de journaux).
1. Recherchez le groupe de journaux à mettre à jour.
1. Dans la colonne **Conservation** de ce groupe de journaux, choisissez le paramètre de rétention actuel, tel que **Never Expire**.
1. Dans **Paramètre de rétention**, pour **Expirer les événements après**, choisissez une valeur de rétention du journal, puis sélectionnez **Enregistrer**.
## Protection des groupes de journaux contre la suppression
Vous pouvez éventuellement activer la protection contre la suppression pour empêcher la suppression accidentelle de groupes de journaux importants. Pour obtenir des informations détaillées sur la protection contre la suppression, consultez[Protection des groupes de journaux contre la suppression](protecting-log-groups-from-deletion.md).
# Protection des groupes de journaux contre la suppression
## Activer la protection contre les suppressions
Vous pouvez activer la protection contre la suppression lors de la création d'un nouveau groupe de journaux ou sur des groupes de journaux existants. Lors de la création du groupe de journaux, sélectionnez « Protection contre la suppression activée » ou en transmettant le paramètre`--deletion-protection-enabled`. Par défaut, la protection contre la suppression n'est pas activée.
**Pour activer ou désactiver la protection contre la suppression sur un groupe de journaux existant (console)**
1. Ouvrez la CloudWatch console à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Dans le volet de navigation, choisissez **Log Management**.
1. Sélectionnez le groupe de journaux que vous souhaitez protéger.
1. Choisissez **Actions**, puis **Modifier la protection contre la suppression**.
1. Dans la boîte de dialogue, passez en revue puis soumettez les modifications.
Si vous utilisez le AWS CLI, pour activer la protection contre la suppression sur un groupe de journaux existant :
```
aws logs put-log-group-deletion-protection \
--log-group-identifier "/my-application/logs" \
--deletion-protection-enabled
```
Pour supprimer la protection contre la suppression d'un groupe de journaux existant, procédez comme suit :
```
aws logs put-log-group-deletion-protection \
--log-group-identifier "/my-application/logs" \
--no-deletion-protection-enabled
```
### Gestion des erreurs
Si vous tentez de supprimer un groupe de journaux avec la protection contre la suppression activée, vous recevez le message suivant : « Impossible de supprimer le groupe de journaux avec la protection contre la suppression activée. `ValidationException` Désactivez d'abord la protection contre la suppression. »
## Étiqueter les groupes de journaux dans Amazon CloudWatch Logs
Vous pouvez attribuer vos propres métadonnées aux groupes de journaux que vous créez dans Amazon CloudWatch Logs sous forme de *balises*. Une balise est une paire clé-valeur que vous définissez pour un groupe de journaux. L'utilisation de balises est un moyen simple mais puissant de gérer les AWS ressources et d'organiser les données, y compris les données de facturation.
**Note**
Vous pouvez utiliser des balises pour contrôler l'accès aux ressources CloudWatch des journaux, notamment aux groupes de journaux et aux destinations. L'accès aux flux de journaux est contrôlé au niveau du groupe de journaux, en raison de la relation hiérarchique entre les groupes de journaux et les flux de journaux. Pour plus d'informations sur l'utilisation d'identifications pour contrôler l'accès, consultez [Contrôle de l'accès aux ressources Amazon Web Services à l'aide de balises](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html).
**Topics**
+ [Principes de base des balises](#tagging-basics)
+ [Suivi des coûts à l'aide d'étiquettes](#tagging-billing)
+ [Restrictions liées aux étiquettes](#tagging-restrictions)
+ [Marquage de groupes de journaux à l'aide du AWS CLI](#log-group-tagging-cli)
+ [Marquage de groupes de journaux à l'aide de l'API CloudWatch Logs](#log-group-tagging-api)
### Principes de base des balises
Vous utilisez AWS CloudFormation l' AWS CLI API ou CloudWatch Logs pour effectuer les tâches suivantes :
+ Ajout de balises à un groupe de journaux au moment de sa création
+ Ajout de balises à un groupe de journaux existant
+ Affichage de la liste de balises d'un groupe de journaux
+ Suppression de balises d'un groupe de journaux
Vous pouvez utiliser des balises pour classer vos groupes de journaux par catégories. Par exemple, vous pouvez les classer par objectif, propriétaire ou environnement. Dans la mesure où vous avez défini la clé et la valeur de chaque balise, vous pouvez créer un ensemble personnalisé de catégories répondant à vos besoins spécifiques. Ainsi, vous pouvez définir un ensemble de balises vous permettant de suivre les groupes de journaux par propriétaire et application associée. Voici quelques exemples de balises :
+ Projet : nom du projet
+ Propriétaire : nom
+ Objectif : test de la charge
+ Application : nom de l'application
+ Environnement : production
### Suivi des coûts à l'aide d'étiquettes
Vous pouvez utiliser des balises pour classer et suivre vos AWS coûts. Lorsque vous appliquez des balises à vos AWS ressources, y compris à des groupes de journaux, votre rapport de répartition des AWS coûts inclut l'utilisation et les coûts agrégés par balises. Vous pouvez appliquer des balises associées à des catégories métier (telles que les centres de coûts, les noms d'applications ou les propriétaires) pour organiser les coûts relatifs à divers services. Pour plus d'informations, consultez [Utilisation des identifications de répartition des coûts pour les rapports de facturation personnalisés](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) dans le *Guide de l'utilisateur AWS Billing *.
### Restrictions liées aux étiquettes
Les restrictions suivantes s'appliquent aux balises :
**Restrictions de base**
+ Le nombre maximal de balises par groupe de journaux est 50.
+ Les clés et les valeurs des balises distinguent les majuscules et minuscules.
+ Vous ne pouvez pas changer ou modifier les balises d'un groupe de journaux supprimé.
**Restrictions relatives aux clés de balise**
+ Chaque clé de balise doit être unique. Si vous ajoutez une balise avec une clé qui est déjà en cours d’utilisation, la nouvelle balise remplace la paire clé-valeur existante.
+ Vous ne pouvez pas commencer une clé de balise par, `aws:` car ce préfixe est réservé à l'usage de AWS. AWS crée des balises qui commencent par ce préfixe en votre nom, mais vous ne pouvez ni les modifier ni les supprimer.
+ Les clés de balise doivent comporter entre 1 et 128 caractères Unicode.
+ Les clés de balise doivent comporter les caractères suivants : lettres Unicode, chiffres, espaces et les caractères spéciaux suivants :`_ . / = + - @`.
**Restrictions relatives à la valeur de balise**
+ Les valeurs de balise doivent comporter entre 0 et 255 caractères Unicode.
+ Les valeurs de balise peuvent être vides. Si tel n'est pas le cas, elles doivent être composées des caractères suivants : lettres Unicode, chiffres, espaces et les caractères spéciaux suivants :`_ . / = + - @`.
### Marquage de groupes de journaux à l'aide du AWS CLI
Vous pouvez ajouter, répertorier et supprimer des balises à l'aide de l' AWS CLI. Pour obtenir des exemples, consultez la documentation suivante :
[create-log-group](https://docs.aws.amazon.com/cli/latest/reference/logs/create-log-group.html)
Crée un groupe de journaux. Vous pouvez éventuellement ajouter des balises au moment de créer le groupe de journaux.
[tag-resource](https://docs.aws.amazon.com/cli/latest/reference/logs/tag-resource.html)
Affecte une ou plusieurs balises (paires clé-valeur) à la ressource Logs spécifiée CloudWatch .
[list-tags-for-resource](https://docs.aws.amazon.com/cli/latest/reference/logs/list-tags-for-resource.html)
Affiche les balises associées à une ressource CloudWatch Logs.
[untag-resource](https://docs.aws.amazon.com/cli/latest/reference/logs/untag-log-group.html)
Supprime une ou plusieurs balises de la ressource CloudWatch Logs spécifiée.
### Marquage de groupes de journaux à l'aide de l'API CloudWatch Logs
Vous pouvez ajouter, répertorier et supprimer des balises à l'aide de l'API CloudWatch Logs. Pour obtenir des exemples, consultez la documentation suivante :
[CreateLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateLogGroup.html)
Crée un groupe de journaux. Vous pouvez éventuellement ajouter des balises au moment de créer le groupe de journaux.
[TagResource](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_TagResource.html)
Affecte une ou plusieurs balises (paires clé-valeur) à la ressource Logs spécifiée CloudWatch .
[ListTagsForResource](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_ListTagsForResource.html)
Affiche les balises associées à une ressource CloudWatch Logs.
[UntagResource](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_UntagLogGroup.html)
Supprime une ou plusieurs balises de la ressource CloudWatch Logs spécifiée.
# Chiffrez les données du journal dans CloudWatch Logs à l'aide de AWS Key Management Service
Les données des groupes de journaux sont toujours cryptées dans CloudWatch Logs. Par défaut, CloudWatch Logs utilise le chiffrement côté serveur avec le mode AES-GCM (Advanced Encryption Standard Galois/Counter Mode) 256 bits pour chiffrer les données des journaux au repos. En guise d'alternative, vous pouvez utiliser AWS Key Management Service pour ce chiffrement. Si c'est le cas, le chiffrement est effectué à l'aide d'une AWS KMS clé. L'utilisation du chiffrement AWS KMS est activée au niveau du groupe de journaux, en associant une clé KMS à un groupe de journaux, soit lorsque vous créez le groupe de journaux, soit après son existence.
**Important**
CloudWatch Les journaux prennent désormais en charge le contexte de chiffrement, en utilisant `kms:EncryptionContext:aws:logs:arn` comme clé et l'ARN du groupe de journaux comme valeur de cette clé. Si vous disposez de groupes de journaux que vous avez déjà chiffrés avec une clé KMS et que vous souhaitez restreindre l'utilisation de cette clé à un seul compte et à un seul groupe de journaux, vous devez affecter une nouvelle clé KMS incluant une condition dans la politique IAM. Pour de plus amples informations, veuillez consulter [AWS KMS clés et contexte de chiffrement](#encrypt-log-data-kms-policy).
**Important**
CloudWatch Logs prend désormais en charge `kms:ViaService` ce qui permet aux journaux de passer AWS KMS des appels en votre nom. Vous devez l'ajouter à vos rôles qui appellent CloudWatch Logs soit dans votre Key Policy, soit dans IAM. Pour plus d'informations, voir [kms : ViaService](https://docs.aws.amazon.com/kms/latest/developerguide/conditions-kms.html#conditions-kms-via-service).
Dès lors que vous associez une clé KMS à un groupe de journaux, toutes les données nouvellement ingérées pour le groupe de journaux sont chiffrées à l'aide de cette clé. Ces données sont stockées sous forme cryptée pendant toute la durée de conservation. CloudWatch Logs déchiffre ces données chaque fois qu'elles sont demandées. CloudWatch Les journaux doivent disposer d'autorisations pour la clé KMS chaque fois que des données chiffrées sont demandées.
Si vous dissociez ultérieurement une clé KMS d'un groupe de CloudWatch journaux, Logs chiffre les données nouvellement ingérées à l'aide de la méthode de chiffrement par défaut de CloudWatch Logs. Toutes les données précédemment ingérées qui ont été chiffrées avec la clé KMS restent chiffrées avec la clé KMS. CloudWatch Les journaux peuvent toujours renvoyer ces données une fois la clé KMS dissociée, car CloudWatch les journaux peuvent continuer à faire référence à la clé. Toutefois, si la clé est désactivée ultérieurement, CloudWatch Logs ne pourra pas lire les journaux chiffrés avec cette clé.
**Important**
CloudWatch Logs ne prend en charge que les clés KMS symétriques. N'utilisez pas de clé asymétrique pour chiffrer les données de vos groupes de journaux. Pour plus d'informations, consultez [Utilisation des clés symétriques et asymétriques](https://docs.aws.amazon.com/kms/latest/developerguide/symmetric-asymmetric.html).
## Restrictions
+ Pour effectuer les étapes suivantes, vous devez disposer des autorisations suivantes : `kms:CreateKey`, `kms:GetKeyPolicy` et `kms:PutKeyPolicy`.
+ L'association et la dissociation d'une clé vis-à-vis d'un groupe de journaux peuvent mettre jusqu'à cinq minutes à être prises en compte.
+ Si vous révoquez l'accès de CloudWatch Logs à une clé associée ou si vous supprimez une clé KMS associée, vos données chiffrées dans CloudWatch Logs ne peuvent plus être récupérées.
+ Vous ne pouvez pas associer une clé KMS à un groupe de journaux existant à l'aide de la CloudWatch console.
## Étape 1 : Création d'une AWS KMS clé
Pour créer une clé KMS, utilisez la commande [create-key](https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html) suivante :
```
aws kms create-key
```
La sortie contient l'ID de clé et l'Amazon Resource Name (ARN) de la clé. Voici un exemple de sortie :
```
{
"KeyMetadata": {
"Origin": "AWS_KMS",
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"Description": "",
"KeyManager": "CUSTOMER",
"Enabled": true,
"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
"KeyUsage": "ENCRYPT_DECRYPT",
"KeyState": "Enabled",
"CreationDate": 1478910250.94,
"Arn": "arn:aws:kms:us-west-2:123456789012:key/6f815f63-e628-448c-8251-e40cb0d29f59",
"AWSAccountId": "123456789012",
"EncryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
]
}
}
```
## Étape 2 : Définition des autorisations sur la clé KMS
Par défaut, toutes les AWS KMS clés sont privées. Seul le propriétaire de la ressource peut l'utiliser pour chiffrer et déchiffrer des données. Cependant, le propriétaire de la ressource peut accorder à d'autres utilisateurs et ressources des autorisations d'accès à la clé KMS. Au cours de cette étape, vous autorisez le principal du service CloudWatch Logs et le rôle de l'appelant à utiliser la clé. Ce principal de service doit se trouver dans la même AWS région que celle où la clé KMS est stockée.
Il est recommandé de limiter l'utilisation de la clé KMS aux seuls AWS comptes ou groupes de journaux que vous spécifiez.
Tout d'abord, enregistrez la politique par défaut pour votre clé KMS à `policy.json` l'aide de la [get-key-policy](https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html)commande suivante :
```
aws kms get-key-policy --key-id key-id --policy-name default --output text > ./policy.json
```
Ouvrez le fichier `policy.json` dans un éditeur de texte et ajoutez la section en gras à partir de l'une des instructions suivantes. Séparez l'instruction existante de la nouvelle instruction par une virgule. Ces instructions utilisent `Condition` des sections pour renforcer la sécurité de la AWS KMS clé. Pour de plus amples informations, veuillez consulter [AWS KMS clés et contexte de chiffrement](#encrypt-log-data-kms-policy).
La section `Condition` de cet exemple restreint la clé à un seul ARN de groupe de journaux.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "key-default-1",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Principal": {
"Service": "logs.us-east-1.amazonaws.com"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:Describe*"
],
"Resource": "*",
"Condition": {
"ArnEquals": {
"kms:EncryptionContext:aws:logs:arn": "arn:aws:logs:us-east-1:111122223333:log-group:log-group-name"
}
}
}
]
}
```
------
La section `Condition` de cet exemple limite l'utilisation de la clé AWS KMS au compte spécifié, mais elle peut être utilisée pour n'importe quel groupe de journaux.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "key-default-1",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Principal": {
"Service": "logs.us-east-1.amazonaws.com"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:Describe*"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"kms:EncryptionContext:aws:logs:arn": "arn:aws:logs:us-east-1:123456789012:*"
}
}
}
]
}
```
------
Ajoutez ensuite des autorisations au rôle qui appellera les CloudWatch journaux. Vous pouvez le faire en ajoutant une déclaration supplémentaire à la politique AWS KMS clé ou via IAM sur le rôle lui-même. CloudWatch Enregistre `kms:ViaService` les utilisations pour passer AWS KMS des appels au nom du client. Pour plus d'informations, voir [kms : ViaService](https://docs.aws.amazon.com/kms/latest/developerguide/conditions-kms.html#conditions-kms-via-service).
Pour ajouter des autorisations dans la politique AWS KMS clé, ajoutez la déclaration supplémentaire suivante à votre politique clé. Si vous utilisez cette méthode, il est recommandé d'étendre la politique aux seuls rôles qui interagiront avec des groupes de journaux AWS KMS chiffrés.
```
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account_id:role/role_name"
},
"Action": [
"kms:Encrypt",
"kms:ReEncrypt*",
"kms:Decrypt",
"kms:GenerateDataKey*",
"kms:Describe*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"logs.region.amazonaws.com"
]
}
}
}
```
Si vous souhaitez gérer les autorisations des rôles dans IAM, vous pouvez également ajouter des autorisations équivalentes par le biais de la politique suivante. Cela peut être ajouté à une politique de rôle existante ou attaché à un rôle en tant que stratégie distincte supplémentaire. Si vous utilisez cette méthode, il est recommandé d'étendre la politique aux seules AWS KMS clés qui seront utilisées pour le chiffrement des journaux. Pour plus d'informations, consultez la section [Modifier les politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:ReEncrypt*",
"kms:Decrypt",
"kms:GenerateDataKey*",
"kms:Describe*"
],
"Condition": {
"StringEquals": {
"kms:ViaService": [
"logs.us-east-1.amazonaws.com"
]
}
},
"Resource": "arn:aws:kms:us-east-1:444455556666:key/key_id"
}
]
}
```
------
Enfin, ajoutez la politique mise à jour à l'aide de la [put-key-policy](https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html)commande suivante :
```
aws kms put-key-policy --key-id key-id --policy-name default --policy file://policy.json
```
## Étape 3 : Association d'une clé KMS à un groupe de journaux
Vous pouvez associer une clé KMS à un groupe de journaux lors de sa création, ou ultérieurement.
Pour savoir si une clé KMS est déjà associée à un groupe de journaux, utilisez la [describe-log-groups](https://docs.aws.amazon.com/cli/latest/reference/logs/describe-log-groups.html)commande suivante :
```
aws logs describe-log-groups --log-group-name-prefix "log-group-name-prefix"
```
Si la sortie inclut un champ `kmsKeyId`, le groupe de journaux est associé à la clé affichée pour la valeur de ce champ.
**Pour associer la clé KMS à un groupe de journaux lors de sa création**
Utilisez la commande [create-log-group](https://docs.aws.amazon.com/cli/latest/reference/logs/create-log-group.html) comme suit :
```
aws logs create-log-group --log-group-name my-log-group --kms-key-id "key-arn"
```
**Pour associer la clé KMS à un groupe de journaux existant**
Utilisez la commande [associate-kms-key](https://docs.aws.amazon.com/cli/latest/reference/logs/associate-kms-key.html) comme suit :
```
aws logs associate-kms-key --log-group-name my-log-group --kms-key-id "key-arn"
```
## Étape 4 : Dissociation de la clé d'un groupe de journaux
Pour dissocier la clé KMS associée à un groupe de journaux, utilisez la [disassociate-kms-key](https://docs.aws.amazon.com/cli/latest/reference/logs/disassociate-kms-key.html)commande suivante :
```
aws logs disassociate-kms-key --log-group-name my-log-group
```
## AWS KMS clés et contexte de chiffrement
Pour renforcer la sécurité de vos AWS Key Management Service clés et de vos groupes de CloudWatch journaux chiffrés, Logs intègre désormais le groupe ARNs de journaux dans le *contexte de chiffrement* utilisé pour chiffrer les données de vos journaux. Le contexte de chiffrement est un ensemble de paires clé-valeur qui sont utilisées comme données authentifiées supplémentaires. Le contexte de chiffrement vous permet d'utiliser les conditions de la politique IAM pour limiter l'accès à votre AWS KMS clé par AWS compte et par groupe de journaux. Pour plus d'informations, consultez [Contexte de chiffrement](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) et [Éléments de politique JSON IAM : Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html).
Nous vous recommandons d'utiliser différentes clés KMS pour chacun de vos groupes de journaux chiffrés.
Si vous disposez d'un groupe de journaux déjà chiffré et que vous souhaitez le modifier afin d'utiliser une nouvelle clé KMS dédiée à celui-ci, procédez comme suit.
**Pour convertir un groupe de journaux chiffré afin d'utiliser une clé KMS avec une politique la limitant à ce groupe de journaux**
1. Saisissez la commande suivante pour trouver l'ARN de la clé actuelle du groupe de journaux :
```
aws logs describe-log-groups
```
La sortie comprend la ligne suivante. Prenez note de l'ARN. Vous devez l'utiliser à l'étape 7.
```
...
"kmsKeyId": "arn:aws:kms:us-west-2:123456789012:key/01234567-89ab-cdef-0123-456789abcdef"
...
```
1. Saisissez la commande suivante pour créer une nouvelle clé KMS :
```
aws kms create-key
```
1. Entrez la commande suivante pour enregistrer la stratégie de la nouvelle clé dans un fichier `policy.json` :
```
aws kms get-key-policy --key-id new-key-id --policy-name default --output text > ./policy.json
```
1. Utilisez un éditeur de texte pour ouvrir `policy.json` et ajouter une expression `Condition` à la stratégie :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "key-default-1",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Principal": {
"Service": "logs.us-east-1.amazonaws.com"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:Describe*"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"kms:EncryptionContext:aws:logs:arn": "arn:aws:logs:us-east-1:111122223333:log-group:LOG-GROUP-NAME"
}
}
}
]
}
```
------
1. Saisissez la commande suivante pour ajouter la politique mise à jour à la nouvelle clé KMS :
```
aws kms put-key-policy --key-id new-key-ARN --policy-name default --policy file://policy.json
```
1. Entrez la commande suivante pour associer la stratégie à votre groupe de journaux :
```
aws logs associate-kms-key --log-group-name my-log-group --kms-key-id new-key-ARN
```
CloudWatch Logs chiffre désormais toutes les nouvelles données à l'aide de la nouvelle clé.
1. Ensuite, révoquez toutes les autorisations à l'exception de `Decrypt` provenant de l'ancienne clé. Tout d'abord, saisissez la commande suivante pour récupérer l'ancienne politique :
```
aws kms get-key-policy --key-id old-key-ARN --policy-name default --output text > ./policy.json
```
1. Utilisez un éditeur de texte pour ouvrir `policy.json` et supprimer toutes les valeurs de la liste `Action`, à l'exception de `kms:Decrypt`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "key-default-1",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Principal": {
"Service": "logs.region.amazonaws.com"
},
"Action": [
"kms:Decrypt"
],
"Resource": "*"
}
]
}
```
------
1. Saisissez la commande suivante pour ajouter la politique mise à jour à l'ancienne clé :
```
aws kms put-key-policy --key-id old-key-ARN --policy-name default --policy file://policy.json
```
# Aider à protéger les données sensibles des journaux grâce au masquage
Vous pouvez contribuer à protéger les données sensibles ingérées par CloudWatch Logs en utilisant les *politiques de protection des données des* groupes de journaux. Ces politiques vous permettent d'auditer et de masquer les données sensibles qui apparaissent dans les événements du journal ingérés par les groupes de journaux de votre compte.
Lorsque vous créez une politique de protection des données, les données sensibles correspondant aux identifiants de données que vous avez sélectionnés sont masquées par défaut à tous les points de sortie, y compris CloudWatch Logs Insights, les filtres métriques et les filtres d'abonnement. Seuls les utilisateurs disposant de l'autorisation IAM `logs:Unmask` peuvent consulter les données non masquées.
Vous pouvez créer une politique de protection des données pour tous les groupes de journaux de votre compte, et vous pouvez également créer une politique de protection des données pour des groupes de journaux individuels. Lorsque vous créez une politique pour l'ensemble de votre compte, elle s'applique à la fois aux groupes de journaux existants et aux groupes de journaux qui seront créés ultérieurement.
Si vous créez une politique de protection des données pour l'ensemble de votre compte et que vous créez également une politique pour un seul groupe de journaux, les deux politiques s'appliquent à ce groupe de journaux. Tous les identifiants de données gérés qui sont spécifiés dans l'une ou l'autre des politiques sont audités et masqués dans ce groupe de journaux.
**Note**
Le masquage des données sensibles est pris en charge pour les groupes de journaux dans les classes de journaux d'accès standard et peu fréquent. Pour plus d'informations sur les classes de log, consultez[Classes de log](CloudWatch_Logs_Log_Classes.md).
Chaque groupe de journaux ne peut avoir qu'une seule politique de protection des données au niveau du groupe de journaux, mais cette politique peut spécifier de nombreux identifiants de données gérés à auditer et à masquer. La limite d'une politique de protection des données est de 30 720 caractères.
**Important**
Les données sensibles sont détectées et masquées lorsqu'elles sont ingérées dans le groupe de journaux. Lorsque vous définissez une politique de protection des données, les événements du journal enregistrés dans le groupe de journaux avant cette date ne sont pas masqués.
CloudWatch Logs prend en charge de nombreux *identifiants de données gérés*, qui proposent des types de données préconfigurés que vous pouvez sélectionner pour protéger les données financières, les informations médicales personnelles (PHI) et les informations personnelles identifiables (PII). CloudWatch La protection des données des journaux vous permet de tirer parti de modèles de correspondance et de modèles d'apprentissage automatique pour détecter les données sensibles. Pour certains types d'identifiants de données gérés, la détection dépend également de la recherche de certains mots clés à proximité des données sensibles. Vous pouvez également utiliser des identifiants de données personnalisés pour créer des identifiants de données adaptés à votre cas d'utilisation spécifique.
CloudWatch Lorsque des données sensibles sont détectées, une métrique correspondant aux identifiants de données que vous sélectionnez est émise. Il s'agit de la **LogEventsWithFindings**métrique émise dans l'espace de noms **AWS/Logs**. Vous pouvez utiliser cette métrique pour créer des CloudWatch alarmes, et vous pouvez la visualiser sous forme de graphiques et de tableaux de bord. Les métriques émises par la protection des données sont des métriques vendues et sont gratuites. Pour plus d'informations sur les métriques auxquelles CloudWatch Logs envoie CloudWatch, consultez[Surveillance à l'aide de CloudWatch métriques](CloudWatch-Logs-Monitoring-CloudWatch-Metrics.md).
Chaque identifiant de données géré est conçu pour détecter un type spécifique de données sensibles, telles que les numéros de carte de crédit, les clés d'accès AWS secrètes ou les numéros de passeport d'un pays ou d'une région en particulier. Lorsque vous créez une politique de protection des données, vous pouvez la configurer pour qu'elle utilise ces identifiants afin d'analyser les journaux ingérés par le groupe de journaux, et prendre des mesures lorsqu'ils sont détectés.
CloudWatch La protection des données des journaux peut détecter les catégories suivantes de données sensibles à l'aide d'identifiants de données gérés :
+ Informations d'identification, telles que les clés privées ou les clés d'accès AWS secrètes
+ Les informations financières, telles que les numéros de carte de crédit
+ Les données d'identification personnelles (PII), telles que les permis de conduire ou les numéros de sécurité sociale
+ Les informations protégées sur la santé (PHI) telles que les numéros d'assurance maladie ou d'identification médicale
+ Les identifiants d'appareil, tels que les adresses IP ou MAC
Pour plus de détails sur les types de données que vous pouvez protéger, consultez [Types de données que vous pouvez protéger](protect-sensitive-log-data-types.md) (français non garanti).
**Contents**
+ [Comprendre les politiques de protection des données](cloudwatch-logs-data-protection-policies.md)
+ [En quoi consistent les politiques de protection des données ?](cloudwatch-logs-data-protection-policies.md#what-are-data-protection-policies)
+ [Comment est structurée la politique de protection des données ?](cloudwatch-logs-data-protection-policies.md#overview-of-data-protection-policies)
+ [Propriétés JSON pour la politique de protection des données](cloudwatch-logs-data-protection-policies.md#data-protection-policy-json-properties)
+ [Propriétés JSON pour une instruction de politique](cloudwatch-logs-data-protection-policies.md#policy-statement-json-properties)
+ [Propriétés JSON pour une opération d’instruction de politique](cloudwatch-logs-data-protection-policies.md#statement-operation-json-properties)
+ [Autorisations IAM requises pour créer ou utiliser une politique de protection des données](data-protection-policy-permissions.md)
+ [Autorisations requises pour les politiques de protection des données au niveau du compte](data-protection-policy-permissions.md#data-protection-policy-permissions-accountlevel)
+ [Autorisations requises pour les politiques de protection des données pour un seul groupe de journaux](data-protection-policy-permissions.md#data-protection-policy-permissions-loggroup)
+ [Exemple de politique de protection des données](data-protection-policy-permissions.md#data-protection-policy-sample)
+ [Création d'une politique de protection des données à l'échelle du compte](mask-sensitive-log-data-accountlevel.md)
+ [Console](mask-sensitive-log-data-accountlevel.md#mask-sensitive-log-data-accountlevel-console)
+ [AWS CLI](mask-sensitive-log-data-accountlevel.md#mask-sensitive-log-data-accountlevel-cli)
+ [Syntaxe de la politique de protection des données pour AWS CLI nos opérations d'API](mask-sensitive-log-data-accountlevel.md#mask-sensitive-log-data-policysyntax-account)
+ [Création d'une politique de protection des données pour un seul groupe de journaux](mask-sensitive-log-data-start.md)
+ [Console](mask-sensitive-log-data-start.md#mask-sensitive-log-data-start-console)
+ [AWS CLI](mask-sensitive-log-data-start.md#mask-sensitive-log-data-start-cli)
+ [Syntaxe de la politique de protection des données pour AWS CLI nos opérations d'API](mask-sensitive-log-data-start.md#mask-sensitive-log-data-policysyntax)
+ [Affichage de données non masquées](mask-sensitive-log-data-viewunmasked.md)
+ [Rapports de résultats d'audit](mask-sensitive-log-data-audit-findings.md)
+ [Politique clé requise pour envoyer les résultats de l'audit à un compartiment protégé par AWS KMS](mask-sensitive-log-data-audit-findings.md#mask-sensitive-log-data-audit-findings-kms)
+ [Types de données que vous pouvez protéger](protect-sensitive-log-data-types.md)
+ [CloudWatch Enregistre les identifiants de données gérés pour les types de données sensibles](CWL-managed-data-identifiers.md)
+ [Informations d’identification](protect-sensitive-log-data-types-credentials.md)
+ [Identifiant de données ARNs pour les types de données d'identification](protect-sensitive-log-data-types-credentials.md#cwl-data-protection-credentials-arns)
+ [Identifiants de l'appareil](protect-sensitive-log-data-types-device.md)
+ [Identifiant de données ARNs pour les types de données de l'appareil](protect-sensitive-log-data-types-device.md#cwl-data-protection-devices-arns)
+ [Informations financières](protect-sensitive-log-data-types-financial.md)
+ [Identifiant de données ARNs pour les types de données financières](protect-sensitive-log-data-types-financial.md#cwl-data-protection-financial-arns)
+ [Informations protégées sur la santé (PHI)](protect-sensitive-log-data-types-health.md)
+ [Identifiant de données ARNs pour les types de données d'informations de santé protégées (PHI)](protect-sensitive-log-data-types-health.md#cwl-data-protection-phi-arns)
+ [données d'identification personnelle (PII)](protect-sensitive-log-data-types-pii.md)
+ [Mots clés pour les numéros d'identification du permis de conduire](protect-sensitive-log-data-types-pii.md#CWL-managed-data-identifiers-pii-dl-keywords)
+ [Mots clés pour les numéros d'identification nationaux](protect-sensitive-log-data-types-pii.md#CWL-managed-data-identifiers-pii-natlid-keywords)
+ [Mots clés pour les numéros de passeport](protect-sensitive-log-data-types-pii.md#CWL-managed-data-identifiers-pii-passport-keywords)
+ [Mots clés pour les numéros d'identification et de référence des contribuables](protect-sensitive-log-data-types-pii.md#CWL-managed-data-identifiers-financial-tin-keywords)
+ [Identifiant de données ARNs pour les informations personnelles identifiables (PII)](protect-sensitive-log-data-types-pii.md#CWL-data-protection-pii-arns)
+ [Identifiants de données personnalisés](CWL-custom-data-identifiers.md)
+ [En quoi consistent les identifiants de données personnalisés ?](CWL-custom-data-identifiers.md#what-are-custom-data-identifiers)
+ [Contraintes liées aux identifiants de données personnalisés](CWL-custom-data-identifiers.md#custom-data-identifiers-constraints)
+ [Utilisation d'identifiants de données personnalisés dans la console](CWL-custom-data-identifiers.md#using-custom-data-identifiers-console)
+ [Utilisation d'identifiants de données personnalisés dans votre politique de protection des données](CWL-custom-data-identifiers.md#using-custom-data-identifiers)
# Comprendre les politiques de protection des données
**Topics**
+ [En quoi consistent les politiques de protection des données ?](#what-are-data-protection-policies)
+ [Comment est structurée la politique de protection des données ?](#overview-of-data-protection-policies)
## En quoi consistent les politiques de protection des données ?
CloudWatch Logs utilise **des politiques de protection** des données pour sélectionner les données sensibles que vous souhaitez scanner et les mesures que vous souhaitez prendre pour protéger ces données. Pour sélectionner les données sensibles qui vous intéressent, vous utilisez [des identifiants de données](CWL-managed-data-identifiers.md). CloudWatch La protection des données des journaux détecte ensuite les données sensibles à l'aide de l'apprentissage automatique et de la correspondance de modèles. Pour agir sur les identifiants de données détectés, vous pouvez définir des opérations **d'audit** et de **désidentification**. Ces opérations vous permettent de journaliser les données sensibles détectées et de masquer les données sensibles lorsque les événements du journal sont affichés.
## Comment est structurée la politique de protection des données ?
Comme illustré dans la figure suivante, un document de politique de protection des données inclut les éléments suivants :
+ Informations facultatives sur l'ensemble de la politique (en haut du document)
+ Une instruction qui définit les actions d'audit et de désidentification
Une seule politique de protection des données peut être définie par groupe de CloudWatch journaux Logs. La politique de protection des données peut comporter une ou plusieurs instructions de refus ou d'anonymisation, mais seulement une instruction d'audit.
### Propriétés JSON pour la politique de protection des données
Une politique de protection des données nécessite les informations de politique de base suivantes à des fins d'identification :
+ **Nom** - Nom de la politique.
+ **Description** (Facultatif) - Description de la politique.
+ **Version** - Version du langage de la politique. La version actuelle est 2021-06-01.
+ **Instruction** - Liste d’instructions qui spécifie les actions de la politique de protection des données.
```
{
"Name": "CloudWatchLogs-PersonalInformation-Protection",
"Description": "Protect basic types of sensitive data",
"Version": "2021-06-01",
"Statement": [
...
]
}
```
### Propriétés JSON pour une instruction de politique
Une instruction de politique définit le contexte de détection pour l'opération de protection des données.
+ **Sid** (facultatif) - L'identifiant de l’instruction.
+ **DataIdentifier**— Les données sensibles que CloudWatch Logs doit scanner. Par exemple, nom, adresse ou numéro de téléphone.
+ **Opération** — Les actions de suivi, qu'il s'agisse d'un **audit ou d'**une **anonymisation**. CloudWatch Logs exécute ces actions lorsqu'il trouve des données sensibles.
```
{
...
"Statement": [
{
"Sid": "audit-policy",
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/Address"
],
"Operation": {
"Audit": {
"FindingsDestination": {}
}
}
},
```
### Propriétés JSON pour une opération d’instruction de politique
Une instruction de politique définit l'une des opérations de protection des données suivantes.
+ **Audit** - Émet des métriques et de rapports de résultats sans interrompre la journalisation. Les chaînes qui correspondent incrémentent la **LogEventsWithFindings**métrique publiée par CloudWatch Logs dans l'espace de noms **AWS/Logs**. CloudWatch Vous pouvez utiliser ces métriques pour créer des alarmes.
Pour obtenir un exemple de rapport de résultats, veuillez consulter [Rapports de résultats d'audit](mask-sensitive-log-data-audit-findings.md).
Pour plus d'informations sur les métriques auxquelles CloudWatch Logs envoie CloudWatch, consultez[Surveillance à l'aide de CloudWatch métriques](CloudWatch-Logs-Monitoring-CloudWatch-Metrics.md).
+ **Désidentification** - Masquer les données sensibles sans interrompre la journalisation.
# Autorisations IAM requises pour créer ou utiliser une politique de protection des données
Pour pouvoir utiliser les politiques de protection des données pour les groupes de journaux, vous devez disposer de certaines autorisations, comme indiqué dans les tableaux suivants. Les autorisations sont différentes pour les politiques de protection des données applicables à l'ensemble du compte et pour les politiques de protection des données qui s'appliquent à un seul groupe de journaux.
## Autorisations requises pour les politiques de protection des données au niveau du compte
**Note**
Si vous effectuez l'une de ces opérations dans une fonction Lambda, le rôle d'exécution Lambda et la limite des autorisations doivent également inclure les autorisations suivantes.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/AmazonCloudWatch/latest/logs/data-protection-policy-permissions.html)
Si des journaux d'audit de protection des données sont déjà envoyés à une destination, les autres politiques qui envoient des journaux à la même destination n'ont besoin que des autorisations `logs:PutDataProtectionPolicy` et `logs:CreateLogDelivery`.
## Autorisations requises pour les politiques de protection des données pour un seul groupe de journaux
**Note**
Si vous effectuez l'une de ces opérations dans une fonction Lambda, le rôle d'exécution Lambda et la limite des autorisations doivent également inclure les autorisations suivantes.
| Opération | Autorisation IAM requise | Ressource |
| --- | --- | --- |
| Créer une politique de protection des données sans destination d'audit | `logs:PutDataProtectionPolicy` | `arn:aws:logs:::log-group:YOUR_LOG_GROUP:*` |
| Créez une politique de protection des données avec CloudWatch les journaux comme destination d'audit | `logs:PutDataProtectionPolicy` `logs:CreateLogDelivery` `logs:PutResourcePolicy` `logs:DescribeResourcePolicies` `logs:DescribeLogGroups` | `arn:aws:logs:::log-group:YOUR_LOG_GROUP:*` `*` `*` `*` `*` |
| Créez une politique de protection des données avec Firehose comme destination d'audit | `logs:PutDataProtectionPolicy` `logs:CreateLogDelivery` `firehose:TagDeliveryStream` | `arn:aws:logs:::log-group:YOUR_LOG_GROUP:*` `*` `arn:aws:logs:::deliverystream/YOUR_DELIVERY_STREAM` |
| Création d'une politique de protection des données avec Amazon S3 comme destination d'audit | `logs:PutDataProtectionPolicy` `logs:CreateLogDelivery` `s3:GetBucketPolicy` `s3:PutBucketPolicy` | `arn:aws:logs:::log-group:YOUR_LOG_GROUP:*` `*` `arn:aws:s3:::YOUR_BUCKET` `arn:aws:s3:::YOUR_BUCKET` |
| Démasquage des événements du journal masqués | `logs:Unmask` | `arn:aws:logs:::log-group:YOUR_LOG_GROUP:*` |
| Affichage d'une politique de protection des données existante | `logs:GetDataProtectionPolicy` | `arn:aws:logs:::log-group:YOUR_LOG_GROUP:*` |
| Supprimer une politique de protection des données | `logs:DeleteDataProtectionPolicy` | `arn:aws:logs:::log-group:YOUR_LOG_GROUP:*` |
Si des journaux d'audit de protection des données sont déjà envoyés à une destination, les autres politiques qui envoient des journaux à la même destination n'ont besoin que des autorisations `logs:PutDataProtectionPolicy` et `logs:CreateLogDelivery`.
## Exemple de politique de protection des données
L'exemple de politique suivant permet à un utilisateur de créer, d'afficher et de supprimer des politiques de protection des données qui peuvent envoyer des résultats d'audit aux trois types de destinations d'audit. Il ne permet pas à l'utilisateur d'afficher les données démasquées.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowLogDeliveryConfiguration",
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:PutResourcePolicy",
"logs:DescribeLogGroups",
"logs:DescribeResourcePolicies"
],
"Resource": "*"
},
{
"Sid": "AllowDataProtectionAndBucketConfiguration",
"Effect": "Allow",
"Action": [
"logs:GetDataProtectionPolicy",
"logs:DeleteDataProtectionPolicy",
"logs:PutDataProtectionPolicy",
"s3:PutBucketPolicy",
"firehose:TagDeliveryStream",
"s3:GetBucketPolicy"
],
"Resource": [
"arn:aws:firehose:us-east-1:111122223333:deliverystream/delivery-stream-name",
"arn:aws:s3:::amzn-s3-demo-destination-bucket",
"arn:aws:logs:us-east-1:111122223333:log-group:log-group-name:*"
]
}
]
}
```
------
# Création d'une politique de protection des données à l'échelle du compte
Vous pouvez utiliser la console CloudWatch Logs ou AWS CLI les commandes pour créer une politique de protection des données afin de masquer les données sensibles pour tous les groupes de journaux de votre compte. Cela s'applique à la fois les groupes de journaux actuels et les groupes de journaux que vous créerez à l'avenir.
**Important**
Les données sensibles sont détectées et masquées lorsqu'elles sont ingérées dans le groupe de journaux. Lorsque vous définissez une politique de protection des données, les événements du journal enregistrés dans le groupe de journaux avant cette date ne sont pas masqués.
**Topics**
+ [Console](#mask-sensitive-log-data-accountlevel-console)
+ [AWS CLI](#mask-sensitive-log-data-accountlevel-cli)
## Console
**Pour utiliser la console afin de créer une politique de protection des données à l'échelle du compte**
1. Ouvrez la CloudWatch console à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Dans le panneau de navigation, sélectionnez **Settings** (Paramètres). Il est situé vers le bas de la liste.
1. Sélectionnez l'onglet **Logs (Journaux)**.
1. Choisissez **Configurer**.
1. Pour les **identificateurs de données gérés**, sélectionnez les types de données que vous souhaitez auditer et masquer pour tous vos groupes de journaux. Vous pouvez saisir dans la zone de sélection pour trouver les identifiants souhaités.
Nous vous recommandons de sélectionner uniquement les identifiants de données pertinents pour vos données de journal et votre activité. Le choix de plusieurs types de données peut entraîner des faux positifs.
Pour plus de détails sur les différents types de données que vous pouvez protéger, consultez [Types de données que vous pouvez protéger](protect-sensitive-log-data-types.md) (français non garanti).
1. (Facultatif) Si vous souhaitez auditer et masquer d'autres types de données à l'aide d'identifiants de données personnalisés, choisissez **Ajouter un identifiant de données personnalisé**. Entrez ensuite un nom pour le type de données et l'expression régulière à utiliser pour rechercher ce type de données dans le journal des événements. Pour de plus amples informations, veuillez consulter [Identifiants de données personnalisés](CWL-custom-data-identifiers.md).
Une seule politique de protection des données peut inclure jusqu'à 10 identifiants de données personnalisés. Chaque expression régulière qui définit un identifiant de données personnalisé doit comporter 200 caractères ou moins.
1. (Facultatif) Choisissez un ou plusieurs services auxquels envoyer les résultats de l'audit. Même si vous choisissez de ne pas envoyer les résultats d'audit à l'un de ces services, les types de données sensibles que vous sélectionnez resteront masqués.
1. Choisissez **Activate data protection** (Activer la protection des données).
## AWS CLI
**Pour utiliser le AWS CLI pour créer une politique de protection des données**
1. Utilisez un éditeur de texte pour créer un fichier de politique nommé `DataProtectionPolicy.json`. Pour plus d'informations sur la syntaxe des politiques, consultez la section suivante.
1. Entrez la commande suivante :
```
aws logs put-account-policy \
--policy-name TEST_POLICY --policy-type "DATA_PROTECTION_POLICY" \
--policy-document file://policy.json \
--scope "ALL" \
--region us-west-2
```
### Syntaxe de la politique de protection des données pour AWS CLI nos opérations d'API
Lorsque vous créez une politique de protection des données JSON à utiliser dans le cadre d'une AWS CLI commande ou d'une opération d'API, la politique doit inclure deux blocs JSON :
+ Le premier bloc doit comprendre à la fois un tableau `DataIdentifer` et une `Operation` propriété avec une `Audit` action. Le `DataIdentifer` tableau répertorie les types de données sensibles que vous souhaitez masquer. Pour obtenir des informations détaillées sur toutes les options disponibles, veuillez consulter [Types de données que vous pouvez protéger](protect-sensitive-log-data-types.md).
La `Operation` propriété associée à une `Audit` action est requise pour trouver les termes relatifs aux données sensibles. Cette action `Audit` doit contenir un objet `FindingsDestination`. Vous pouvez éventuellement utiliser cet objet `FindingsDestination` pour répertorier une ou plusieurs destinations vers lesquelles envoyer les rapports de résultats d'audit. Si vous spécifiez des destinations telles que des groupes de journaux, des flux Amazon Data Firehose et des compartiments S3, elles doivent déjà exister. Pour obtenir un exemple de rapport de résultats d'audit, veuillez consulter [Rapports de résultats d'audit](mask-sensitive-log-data-audit-findings.md).
+ Le deuxième bloc doit comprendre à la fois un tableau `DataIdentifer` et une propriété `Operation` avec une action `Deidentify`. Le tableau `DataIdentifer` doit correspondre exactement au `DataIdentifer` tableau du premier bloc de la politique.
La propriété `Operation` associée à l'action `Deidentify` est ce qui masque réellement les données, et elle doit contenir l'objet ` "MaskConfig": {}`. L'objet ` "MaskConfig": {}` doit être vide.
Voici un exemple de politique de protection des données utilisant uniquement des identifiants de données gérés. Cette politique masque les adresses e-mail et les permis de conduire des États-Unis d'Amérique.
Pour plus d'informations sur les politiques qui spécifient des identifiants de données personnalisés, consultez[Utilisation d'identifiants de données personnalisés dans votre politique de protection des données](CWL-custom-data-identifiers.md#using-custom-data-identifiers).
```
{
"Name": "data-protection-policy",
"Description": "test description",
"Version": "2021-06-01",
"Statement": [{
"Sid": "audit-policy",
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/EmailAddress",
"arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
],
"Operation": {
"Audit": {
"FindingsDestination": {
"CloudWatchLogs": {
"LogGroup": "EXISTING_LOG_GROUP_IN_YOUR_ACCOUNT,"
},
"Firehose": {
"DeliveryStream": "EXISTING_STREAM_IN_YOUR_ACCOUNT"
},
"S3": {
"Bucket": "EXISTING_BUCKET"
}
}
}
}
},
{
"Sid": "redact-policy",
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/EmailAddress",
"arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
],
"Operation": {
"Deidentify": {
"MaskConfig": {}
}
}
}
]
}
```
# Création d'une politique de protection des données pour un seul groupe de journaux
Vous pouvez utiliser la console CloudWatch Logs ou AWS CLI les commandes pour créer une politique de protection des données afin de masquer les données sensibles.
Vous pouvez attribuer une politique de protection des données à chaque groupe de journaux. Chaque politique de protection des données peut être auditée pour plusieurs types d'informations. Chaque politique de protection des données peut inclure une déclaration d'audit.
**Topics**
+ [Console](#mask-sensitive-log-data-start-console)
+ [AWS CLI](#mask-sensitive-log-data-start-cli)
## Console
**Utilisation de la console pour la création d'une politique de protection des données**
1. Ouvrez la CloudWatch console à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Dans le panneau de navigation de gauche, choisissez **Logs** (Journaux), **Log groups** (Groupes de journaux).
1. Choisissez le nom du groupe de journaux.
1. Choisissez **Actions**, puis **Create data protection policy** (Créer une politique de protection des données).
1. Pour les **identificateurs de données gérées**, sélectionnez les types de données que vous souhaitez auditer et masquer dans ce groupe de journaux. Vous pouvez saisir dans la zone de sélection pour trouver les identifiants souhaités.
Nous vous recommandons de sélectionner uniquement les identifiants de données pertinents pour vos données de journal et votre activité. Le choix de plusieurs types de données peut entraîner des faux positifs.
Pour plus de détails sur les types de données que vous pouvez protéger à l'aide d'identifiants de données gérés, consultez[Types de données que vous pouvez protéger](protect-sensitive-log-data-types.md).
1. (Facultatif) Si vous souhaitez auditer et masquer d'autres types de données à l'aide d'identifiants de données personnalisés, choisissez **Ajouter un identifiant de données personnalisé**. Entrez ensuite un nom pour le type de données et l'expression régulière à utiliser pour rechercher ce type de données dans le journal des événements. Pour de plus amples informations, veuillez consulter [Identifiants de données personnalisés](CWL-custom-data-identifiers.md).
Une seule politique de protection des données peut inclure jusqu'à 10 identifiants de données personnalisés. Chaque expression régulière qui définit un identifiant de données personnalisé doit comporter 200 caractères ou moins.
1. (Facultatif) Choisissez un ou plusieurs services auxquels envoyer les résultats de l'audit. Même si vous choisissez de ne pas envoyer les résultats d'audit à l'un de ces services, les types de données sensibles que vous sélectionnez resteront masqués.
1. Choisissez **Activate data protection** (Activer la protection des données).
## AWS CLI
**Pour utiliser le AWS CLI pour créer une politique de protection des données**
1. Utilisez un éditeur de texte pour créer un fichier de politique nommé `DataProtectionPolicy.json`. Pour plus d'informations sur la syntaxe des politiques, consultez la section suivante.
1. Entrez la commande suivante :
```
aws logs put-data-protection-policy --log-group-identifier "my-log-group" --policy-document file:///Path/DataProtectionPolicy.json --region us-west-2
```
### Syntaxe de la politique de protection des données pour AWS CLI nos opérations d'API
Lorsque vous créez une politique de protection des données JSON à utiliser dans le cadre d'une AWS CLI commande ou d'une opération d'API, la politique doit inclure deux blocs JSON :
+ Le premier bloc doit comprendre à la fois un tableau `DataIdentifer` et une `Operation` propriété avec une `Audit` action. Le `DataIdentifer` tableau répertorie les types de données sensibles que vous souhaitez masquer. Pour obtenir des informations détaillées sur toutes les options disponibles, veuillez consulter [Types de données que vous pouvez protéger](protect-sensitive-log-data-types.md).
La `Operation` propriété associée à une `Audit` action est requise pour trouver les termes relatifs aux données sensibles. Cette action `Audit` doit contenir un objet `FindingsDestination`. Vous pouvez éventuellement utiliser cet objet `FindingsDestination` pour répertorier une ou plusieurs destinations vers lesquelles envoyer les rapports de résultats d'audit. Si vous spécifiez des destinations telles que des groupes de journaux, des flux Amazon Data Firehose et des compartiments S3, elles doivent déjà exister. Pour obtenir un exemple de rapport de résultats d'audit, veuillez consulter [Rapports de résultats d'audit](mask-sensitive-log-data-audit-findings.md).
+ Le deuxième bloc doit comprendre à la fois un tableau `DataIdentifer` et une propriété `Operation` avec une action `Deidentify`. Le tableau `DataIdentifer` doit correspondre exactement au `DataIdentifer` tableau du premier bloc de la politique.
La propriété `Operation` associée à l'action `Deidentify` est ce qui masque réellement les données, et elle doit contenir l'objet ` "MaskConfig": {}`. L'objet ` "MaskConfig": {}` doit être vide.
Voici un exemple de politique de protection des données qui masque les adresses électroniques et les permis de conduire américains.
```
{
"Name": "data-protection-policy",
"Description": "test description",
"Version": "2021-06-01",
"Statement": [{
"Sid": "audit-policy",
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/EmailAddress",
"arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
],
"Operation": {
"Audit": {
"FindingsDestination": {
"CloudWatchLogs": {
"LogGroup": "EXISTING_LOG_GROUP_IN_YOUR_ACCOUNT,"
},
"Firehose": {
"DeliveryStream": "EXISTING_STREAM_IN_YOUR_ACCOUNT"
},
"S3": {
"Bucket": "EXISTING_BUCKET"
}
}
}
}
},
{
"Sid": "redact-policy",
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/EmailAddress",
"arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
],
"Operation": {
"Deidentify": {
"MaskConfig": {}
}
}
}
]
}
```
# Affichage de données non masquées
Pour afficher des données non masquées, un utilisateur doit disposer de l'autorisation `logs:Unmask`. Les utilisateurs qui disposent de cette autorisation peuvent accéder aux données non masquées des manières suivantes :
+ Lorsque vous consultez les événements dans un flux de journal, choisissez **Display** (Afficher), **Unmask** (Non masquer).
+ Utilisez une requête CloudWatch Logs Insights qui inclut la commande **unmask (@message)**. L'exemple de requête suivant affiche les 20 événements de journal les plus récents du flux, non masqués :
```
fields @timestamp, @message, unmask(@message)
| sort @timestamp desc
| limit 20
```
Pour plus d'informations sur CloudWatch les commandes Logs Insights, consultez[CloudWatch Syntaxe des requêtes en langage Logs Insights](CWL_QuerySyntax.md).
+ Utilisez une [ FilterLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_FilterLogEvents.html)opération [ GetLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogEvents.html)ou avec le `unmask` paramètre.
La **CloudWatchLogsFullAccess**politique inclut l'`logs:Unmask`autorisation. Pour accorder une autorisation `logs:Unmask` à un utilisateur qui n'en a pas **CloudWatchLogsFullAccess**, vous pouvez associer une politique IAM personnalisée à cet utilisateur. Pour plus d'informations, consultez [ Ajout d'autorisations à un utilisateur (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console).
# Rapports de résultats d'audit
Si vous configurez CloudWatch des politiques d'audit de protection des données de CloudWatch Logs pour rédiger des rapports d'audit pour Logs, Amazon S3 ou Firehose, ces rapports de résultats sont similaires à l'exemple suivant. CloudWatch Logs rédige un rapport de résultats pour chaque événement de journal contenant des données sensibles.
```
{
"auditTimestamp": "2023-01-23T21:11:20Z",
"resourceArn": "arn:aws:logs:us-west-2:111122223333:log-group:/aws/lambda/MyLogGroup:*",
"dataIdentifiers": [
{
"name": "EmailAddress",
"count": 2,
"detections": [
{
"start": 13,
"end": 26
},
{
"start": 30,
"end": 43
}
]
}
]
}
```
Les champs du rapport sont les suivants :
+ Le champ `resourceArn` affiche le groupe de journaux dans lequel les données sensibles ont été trouvées.
+ L'objet `dataIdentifiers` affiche des informations sur les résultats relatifs à un type de données sensibles que vous auditez.
+ Le champ `name` identifie le type de données sensibles dont traite cette section.
+ Le champ `count` indique le nombre de fois que ce type de données sensibles apparaît dans l'événement du journal.
+ Les champs `start` et `end` indiquent où chaque occurrence des données sensibles apparaît dans l'événement du journal, par nombre de caractères.
L'exemple précédent montre un rapport indiquant la recherche de deux adresses e-mail dans un événement du journal. La première adresse e-mail commence au 13e caractère d'événement du journal et se termine au 26e caractère. La deuxième adresse e-mail est comprise entre le 30e et le 43e caractère. Même si cet événement du journal possède deux adresses e-mail, la valeur de la métrique `LogEventsWithFindings` n'est incrémentée que d'une unité, car cette métrique compte le nombre d'événements du journal contenant des données sensibles et non le nombre d'occurrences de données sensibles.
## Politique clé requise pour envoyer les résultats de l'audit à un compartiment protégé par AWS KMS
Vous pouvez protéger les données d'un compartiment Amazon S3 en activant le chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3) ou le chiffrement côté serveur avec des clés KMS (SSE-KMS). Pour plus d'informations, consultez [ Protection des données à l'aide du chiffrement côté serveur](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html) dans le Guide de l'utilisateur d'Amazon S3.
Si vous envoyez des résultats d'audit à un compartiment protégé par SSE-S3, aucune configuration supplémentaire n'est requise. Amazon S3 gère la clé de chiffrement.
Si vous envoyez des résultats d'audit à un compartiment protégé par SSE-KMS, vous devez mettre à jour la stratégie de clé pour votre clé KMS afin que le compte de diffusion du journal puisse écrire dans votre compartiment S3. Pour plus d'informations sur la politique clé requise pour une utilisation avec SSE-KMS, consultez [Chiffrement côté serveur des compartiments Amazon S3](AWS-logs-infrastructure-S3.md#AWS-logs-SSE-KMS-S3) le guide de l'utilisateur Amazon CloudWatch Logs.
# Types de données que vous pouvez protéger
Cette section contient des informations sur les types de données que vous pouvez protéger dans le cadre d'une politique de protection des données CloudWatch Logs. CloudWatch Les identifiants de données gérés par les journaux proposent des types de données préconfigurés pour protéger les données financières, les informations médicales personnelles (PHI) et les informations personnelles identifiables (PII). Vous pouvez également utiliser des identifiants de données personnalisés pour créer des identifiants de données adaptés à votre cas d'utilisation spécifique.
**Contents**
+ [CloudWatch Enregistre les identifiants de données gérés pour les types de données sensibles](CWL-managed-data-identifiers.md)
+ [Informations d’identification](protect-sensitive-log-data-types-credentials.md)
+ [Identifiant de données ARNs pour les types de données d'identification](protect-sensitive-log-data-types-credentials.md#cwl-data-protection-credentials-arns)
+ [Identifiants de l'appareil](protect-sensitive-log-data-types-device.md)
+ [Identifiant de données ARNs pour les types de données de l'appareil](protect-sensitive-log-data-types-device.md#cwl-data-protection-devices-arns)
+ [Informations financières](protect-sensitive-log-data-types-financial.md)
+ [Identifiant de données ARNs pour les types de données financières](protect-sensitive-log-data-types-financial.md#cwl-data-protection-financial-arns)
+ [Informations protégées sur la santé (PHI)](protect-sensitive-log-data-types-health.md)
+ [Identifiant de données ARNs pour les types de données d'informations de santé protégées (PHI)](protect-sensitive-log-data-types-health.md#cwl-data-protection-phi-arns)
+ [données d'identification personnelle (PII)](protect-sensitive-log-data-types-pii.md)
+ [Mots clés pour les numéros d'identification du permis de conduire](protect-sensitive-log-data-types-pii.md#CWL-managed-data-identifiers-pii-dl-keywords)
+ [Mots clés pour les numéros d'identification nationaux](protect-sensitive-log-data-types-pii.md#CWL-managed-data-identifiers-pii-natlid-keywords)
+ [Mots clés pour les numéros de passeport](protect-sensitive-log-data-types-pii.md#CWL-managed-data-identifiers-pii-passport-keywords)
+ [Mots clés pour les numéros d'identification et de référence des contribuables](protect-sensitive-log-data-types-pii.md#CWL-managed-data-identifiers-financial-tin-keywords)
+ [Identifiant de données ARNs pour les informations personnelles identifiables (PII)](protect-sensitive-log-data-types-pii.md#CWL-data-protection-pii-arns)
+ [Identifiants de données personnalisés](CWL-custom-data-identifiers.md)
+ [En quoi consistent les identifiants de données personnalisés ?](CWL-custom-data-identifiers.md#what-are-custom-data-identifiers)
+ [Contraintes liées aux identifiants de données personnalisés](CWL-custom-data-identifiers.md#custom-data-identifiers-constraints)
+ [Utilisation d'identifiants de données personnalisés dans la console](CWL-custom-data-identifiers.md#using-custom-data-identifiers-console)
+ [Utilisation d'identifiants de données personnalisés dans votre politique de protection des données](CWL-custom-data-identifiers.md#using-custom-data-identifiers)
# CloudWatch Enregistre les identifiants de données gérés pour les types de données sensibles
Cette section contient des informations sur les types de données que vous pouvez protéger à l'aide d'identifiants de données gérés, ainsi que sur les pays et les régions concernés par chacun de ces types de données.
Pour certains types de données sensibles, la protection des données de CloudWatch Logs recherche les mots clés situés à proximité des données et ne trouve une correspondance que si elle trouve ce mot clé. Si un mot clé doit se trouver à proximité d'un type de données particulier, il doit généralement se trouver à moins de 30 caractères (inclus) des données.
Si un mot clé contient un espace, la protection CloudWatch des données de Logs fait automatiquement correspondre les variantes de mots clés qui ne contiennent pas d'espace ou qui contiennent un trait de soulignement (`_`) ou un trait d'union (`-`) à la place de l'espace. Dans certains cas, CloudWatch Logs développe ou abrège également un mot clé pour tenir compte des variations courantes du mot clé.
Les tableaux suivants répertorient les types d'informations d'identification, d'appareil, financières, médicales et de santé protégées (PHI) que CloudWatch Logs peut détecter à l'aide d'identifiants de données gérés. Ces données s'ajoutent à certains types de données qui pourraient également être considérés comme des données d'identification personnelle (PII).
**Identifiants pris en charge indépendants de la langue et de la région**
| Identifiant | Catégorie |
| --- | --- |
| `Address` | Personnel |
| `AwsSecretKey` | Informations d’identification |
| `CreditCardExpiration` | Services financiers |
| `CreditCardNumber` | Services financiers |
| `CreditCardSecurityCode` | Services financiers |
| `EmailAddress` | Personnel |
| `IpAddress` | Personnel |
| `LatLong` | Personnel |
| `Name` | Personnel |
| `OpenSshPrivateKey` | Informations d’identification |
| `PgpPrivateKey` | Informations d’identification |
| `PkcsPrivateKey` | Informations d’identification |
| `PuttyPrivateKey` | Informations d’identification |
| `VehicleIdentificationNumber` | Personnel |
Les identifiants de données dépendants de la région doivent comprendre le nom de l'identifiant, puis un trait d'union, et enfin les codes à deux lettres (ISO 3166-1 alpha-2). Par exemple, `DriversLicense-US`.
**Identifiants pris en charge devant comprendre un code de pays ou de région à deux lettres**
| Identifiant | Catégorie | Pays et langues |
| --- | --- | --- |
| BankAccountNumber | Services financiers | DE, ES, FR, GB, IT, ÉTATS-UNIS |
| CepCode | Personnel | BR |
| Cnpj | Personnel | BR |
| CpfCode | Personnel | BR |
| DriversLicense | Personnel | AT, AU, BE, BG, CA, CY, CZ, DE, DK, EE, ES, FI, FR, GB, GR, HR, HU, IE, IT, LT, LU, LV, MT, NL, PL, PT, RO, SE, SI, SK, US |
| DrugEnforcementAgencyNumber | Santé | ETATS-UNIS |
| ElectoralRollNumber | Personnel | Go |
| HealthInsuranceCardNumber | Santé | UE |
| HealthInsuranceClaimNumber | Santé | ETATS-UNIS |
| HealthInsuranceNumber | Santé | FR |
| HealthcareProcedureCode | Santé | ETATS-UNIS |
| IndividualTaxIdentificationNumber | Personnel | ETATS-UNIS |
| InseeCode | Personnel | FR |
| MedicareBeneficiaryNumber | Santé | ETATS-UNIS |
| NationalDrugCode | Santé | ETATS-UNIS |
| NationalIdentificationNumber | Personnel | DE, ES, IT |
| NationalInsuranceNumber | Personnel | Go |
| NationalProviderId | Santé | ETATS-UNIS |
| NhsNumber | Santé | Go |
| NieNumber | Personnel | ES |
| NifNumber | Personnel | ES |
| PassportNumber | Personnel | CA, DE, ES, FR, GB, IT, US |
| PermanentResidenceNumber | Personnel | CA |
| PersonalHealthNumber | Santé | CA |
| PhoneNumber | Personnel | BR, DE, ES, FR, GB, IT, US |
| PostalCode | Personnel | CA |
| RgNumber | Personnel | BR |
| SocialInsuranceNumber | Personnel | CA |
| Ssn | Personnel | ES, US |
| TaxId | Personnel | DE, ES, FR, GB |
| ZipCode | Personnel | ETATS-UNIS |
# Informations d’identification
CloudWatch La protection des données des journaux peut trouver les types d'informations d'identification suivants.
| Type de données | ID de l'identifiant des données | Mot-clé requis | Pays et régions |
| --- | --- | --- | --- |
| AWS clé d'accès secrète | `AwsSecretKey` | `aws_secret_access_key`, `credentials`, `secret access key`, `secret key`, `set-awscredential` | Tous |
| Clé privée OpenSSH | `OpenSSHPrivateKey` | Aucune | Tous |
| Clé privée PGP | `PgpPrivateKey` | Aucune | Tous |
| Clés privées PKCS | `PkcsPrivateKey` | Aucune | Tous |
| Clé privée PuTTY | `PuttyPrivateKey` | Aucune | Tous |
## Identifiant de données ARNs pour les types de données d'identification
Vous trouverez ci-dessous la liste des Amazon Resource Names (ARNs) pour les identifiants de données que vous pouvez ajouter à vos politiques de protection des données.
| Identifiant des données d'identification ARNs |
| --- |
| arn:aws:dataprotection::aws:data-identifier/AwsSecretKey |
| arn:aws:dataprotection::aws:data-identifier/OpenSshPrivateKey |
| arn:aws:dataprotection::aws:data-identifier/PgpPrivateKey |
| arn:aws:dataprotection::aws:data-identifier/PkcsPrivateKey |
| arn:aws:dataprotection::aws:data-identifier/PuttyPrivateKey |
# Identifiants de l'appareil
CloudWatch La protection des données des journaux permet de trouver les types d'identifiants d'appareils suivants.
| Type de données | ID de l'identifiant des données | Mot-clé requis | Pays et régions |
| --- | --- | --- | --- |
| Adresse IP | `IpAddress` | Aucune | Tous |
## Identifiant de données ARNs pour les types de données de l'appareil
Vous trouverez ci-dessous la liste des Amazon Resource Names (ARNs) pour les identifiants de données que vous pouvez ajouter à vos politiques de protection des données.
| ARN d'identifiant de données d'appareil |
| --- |
| arn:aws:dataprotection::aws:data-identifier/IpAddress |
# Informations financières
CloudWatch La protection des données des journaux permet de trouver les types d'informations financières suivants.
Si vous définissez une politique de protection des données, CloudWatch Logs recherche les identifiants de données que vous spécifiez, quelle que soit la géolocalisation dans laquelle se trouve le groupe de journaux. Les informations de la colonne **Countries and regions** (Pays et régions) de ce tableau indiquent si des codes de pays à deux lettres doivent être ajoutés à l'identifiant de données pour détecter les mots clés appropriés pour ces pays et régions.
| Type de données | ID de l'identifiant des données | Mot-clé requis | Pays et régions | Remarques |
| --- | --- | --- | --- | --- |
| Numéro de compte bancaire | `BankAccountNumber` | Oui. Différents mots clés s'appliquent à différents pays. Pour plus de détails, consultez le tableau **Des mots clés pour les numéros de comptes bancaires** plus loin dans cette section. | France, Allemagne, Italie, Espagne, Royaume-Uni, États-Unis d'Amérique | Comprend les numéros de compte bancaire internationaux (IBANs) composés d'un maximum de 34 caractères alphanumériques, y compris des éléments tels que les codes de pays. |
| Date d’expiration de la carte de crédit | `CreditCardExpiration` | `exp d`, `exp m`, `exp y`, `expiration`, `expiry` | Tous | |
| Numéro de carte de crédit | `CreditCardNumber` | `account number`, `american express`, `amex`, `bank card`, `card`, `card number`, `card num`, `cc #`, `ccn`, `check card`, `credit`, `credit card#`, `dankort`, `debit`, `debit card`, `diners club`, `discover`, `electron`, `japanese card bureau`, `jcb`, `mastercard`, `mc`, `pan`, `payment account number`, `payment card number`, `pcn`, `union pay`, `visa` | Tous | La détection nécessite que les données soient une séquence de 13 à 19 chiffres conforme à la formule de vérification de Luhn et utilise un préfixe de numéro de carte standard pour les types de cartes de crédit suivants : American Express, Dankort, Diner's Club, Discover, Electron, Japanese Card Bureau (JCB), Mastercard et Visa. UnionPay |
| Code de vérification de carte de crédit | `CreditCardSecurityCode` | `card id`, `card identification code`, `card identification number`, `card security code`, `card validation code`, `card validation number`, `card verification data`, `card verification value`, `cvc`, `cvc2`, `cvv`, `cvv2`, `elo verification code` | Tous | |
**Mots clés pour les numéros de compte bancaire**
Utilisez les mots clés suivants pour les numéros de compte bancaire. Cela inclut les numéros de compte bancaire internationaux (IBANs) composés d'un maximum de 34 caractères alphanumériques, y compris des éléments tels que les codes de pays.
| Country | Mots clés |
| --- | --- |
| France | `account code`, `account number`, `accountno#`, `accountnumber#`, `bban`, `code bancaire`, `compte bancaire`, `customer account id`, `customer account number`, `customer bank account id`, `iban`, `numéro de compte` |
| Allemagne | `account code`, `account number`, `accountno#`, `accountnumber#`, `bankleitzahl`, `bban`, `customer account id`, `customer account number`, `customer bank account id`, `geheimzahl`, `iban`, `kartennummer`, `kontonummer`, `kreditkartennummer`, `sepa` |
| Italie | `account code`, `account number`, `accountno#`, `accountnumber#`, `bban`, `codice bancario`, `conto bancario`, `customer account id`, `customer account number`, `customer bank account id`, `iban`, `numero di conto` |
| Espagne | `account code`, `account number`, `accountno#`, `accountnumber#`, `bban`, `código cuenta`, `código cuenta bancaria`, `cuenta cliente id`, `customer account ID`, `customer account number`, `customer bank account id`, `iban`, `número cuenta bancaria cliente`, `número cuenta cliente` |
| Royaume-Uni | `account code`, `account number`, `accountno#`, `accountnumber#`, `bban`, `customer account ID`, `customer account number`, `customer bank account id`, `iban`, `sepa` |
| États-Unis | `bank account`, `bank acct`, `checking account`, `checking acct`, `deposit account`, `deposit acct`, `savings account`, `savings acct`, `chequing account`, `chequing acct` |
CloudWatch Les journaux ne signalent pas les occurrences des séquences suivantes, que les émetteurs de cartes de crédit ont réservées aux tests publics.
```
122000000000003, 2222405343248877, 2222990905257051, 2223007648726984, 2223577120017656,
30569309025904, 34343434343434, 3528000700000000, 3530111333300000, 3566002020360505, 36148900647913,
36700102000000, 371449635398431, 378282246310005, 378734493671000, 38520000023237, 4012888888881881,
4111111111111111, 4222222222222, 4444333322221111, 4462030000000000, 4484070000000000, 4911830000000,
4917300800000000, 4917610000000000, 4917610000000000003, 5019717010103742, 5105105105105100,
5111010030175156, 5185540810000019, 5200828282828210, 5204230080000017, 5204740009900014, 5420923878724339,
5454545454545454, 5455330760000018, 5506900490000436, 5506900490000444, 5506900510000234, 5506920809243667,
5506922400634930, 5506927427317625, 5553042241984105, 5555553753048194, 5555555555554444, 5610591081018250,
6011000990139424, 6011000400000000, 6011111111111117, 630490017740292441, 630495060000000000,
6331101999990016, 6759649826438453, 6799990100000000019, and 76009244561.
```
## Identifiant de données ARNs pour les types de données financières
Vous trouverez ci-dessous la liste des Amazon Resource Names (ARNs) pour les identifiants de données que vous pouvez ajouter à vos politiques de protection des données.
| Identifiant des données financières ARNs |
| --- |
| arn:aws:dataprotection::aws:data-identifier/BankAccountNumber-DE |
| arn:aws:dataprotection::aws:data-identifier/BankAccountNumber-ES |
| arn:aws:dataprotection::aws:data-identifier/BankAccountNumber-FR |
| arn:aws:dataprotection::aws:data-identifier/BankAccountNumber-GB |
| arn:aws:dataprotection::aws:data-identifier/BankAccountNumber-IT |
| arn:aws:dataprotection::aws:data-identifier/BankAccountNumber-US |
| arn:aws:dataprotection::aws:data-identifier/CreditCardExpiration |
| arn:aws:dataprotection::aws:data-identifier/CreditCardNumber |
| arn:aws:dataprotection::aws:data-identifier/CreditCardSecurityCode |
# Informations protégées sur la santé (PHI)
CloudWatch La protection des données des journaux permet de trouver les types d'informations de santé protégées (PHI) suivants.
Si vous définissez une politique de protection des données, CloudWatch Logs recherche les identifiants de données que vous spécifiez, quelle que soit la géolocalisation dans laquelle se trouve le groupe de journaux. Les informations de la colonne **Countries and regions** (Pays et régions) de ce tableau indiquent si des codes de pays à deux lettres doivent être ajoutés à l'identifiant de données pour détecter les mots clés appropriés pour ces pays et régions.
| Type de données | ID de l'identifiant des données | Mot-clé requis | Pays et régions |
| --- | --- | --- | --- |
| Numéro d'enregistrement de DEA (Drug Enforcement Agency) | `DrugEnforcementAgencyNumber` | `dea number`, `dea registration` | États-Unis |
| Numéro de carte de sécurité sociale (EHIC) | `HealthInsuranceCardNumber` | `assicurazione sanitaria numero`, `carta assicurazione numero`, `carte d’assurance maladie`, `carte européenne d'assurance maladie`, `ceam`, `ehic`, `ehic#`, `finlandehicnumber#`, `gesundheitskarte`, `hälsokort`, `health card`, `health card number`, `health insurance card`, `health insurance number`, `insurance card number`, `krankenversicherungskarte`, `krankenversicherungsnummer`, `medical account number`, `numero conto medico`, `numéro d’assurance maladie`, `numéro de carte d’assurance`, `numéro de compte medical`, `número de cuenta médica`, `número de seguro de salud`, `número de tarjeta de seguro`, `sairaanhoitokortin`, `sairausvakuutuskortti`, `sairausvakuutusnumero`, `sjukförsäkring nummer`, `sjukförsäkringskort`, `suomi ehic-numero`, `tarjeta de salud`, `terveyskortti`, `tessera sanitaria assicurazione numero`, `versicherungsnummer` | Union européenne |
| Numéro de règlement de sécurité sociale (HICN) | `HealthInsuranceClaimNumber` | `health insurance claim number`, `hic no`, `hic no.`, `hic number`, `hic#`, `hicn`, `hicn#`, `hicno#` | États-Unis |
| Numéro d'assurance maladie ou d'identification médicale | `HealthInsuranceNumber` | `carte d'assuré social`, `carte vitale`, `insurance card` | France |
| Code du système de codage des procédures communes pour les soins de santé (HCPCS) | `HealthcareProcedureCode` | `current procedural terminology`, `hcpcs`, `healthcare common procedure coding system` | États-Unis |
| Numéro de bénéficiaire Medicare (MBN) | `MedicareBeneficiaryNumber` | `mbi`, `medicare beneficiary` | États-Unis |
| Code national des médicaments (NCD) | `NationalDrugCode` | `national drug code`, `ndc` | États-Unis |
| Identifiant de fournisseur national (NPI) | `NationalProviderId` | `hipaa`, `n.p.i.`, `national provider`, `npi` | États-Unis |
| Numéro du service national de santé (NHS) | `NhsNumber` | `national health service`, `NHS` | Grande-Bretagne |
| Numéro de santé personnel (PHN) | `PersonalHealthNumber` | `canada healthcare number`, `msp number`, `care number`, `phn`, `soins de santé` | Canada |
## Identifiant de données ARNs pour les types de données d'informations de santé protégées (PHI)
Vous trouverez ci-dessous la liste de l'identifiant de données Amazon Resource Names (ARNs) qui peut être utilisé dans le cadre des politiques de protection des données relatives à la santé (PHI).
| Identifiant de données PHI ARNs |
| --- |
| arn:aws:dataprotection::aws:data-identifier/DrugEnforcementAgencyNumber-US |
| arn:aws:dataprotection::aws:data-identifier/HealthcareProcedureCode-US |
| arn:aws:dataprotection::aws:data-identifier/HealthInsuranceCardNumber-EU |
| arn:aws:dataprotection::aws:data-identifier/HealthInsuranceClaimNumber-US |
| arn:aws:dataprotection::aws:data-identifier/HealthInsuranceNumber-FR |
| arn:aws:dataprotection::aws:data-identifier/MedicareBeneficiaryNumber-US |
| arn:aws:dataprotection::aws:data-identifier/NationalDrugCode-US |
| arn:aws:dataprotection::aws:data-identifier/NationalInsuranceNumber-GB |
| arn:aws:dataprotection::aws:data-identifier/NationalProviderId-US |
| arn:aws:dataprotection::aws:data-identifier/NhsNumber-GB |
| arn:aws:dataprotection::aws:data-identifier/PersonalHealthNumber-CA |
# données d'identification personnelle (PII)
CloudWatch La protection des données des journaux permet de trouver les types suivants d'informations personnelles identifiables (PII).
Si vous définissez une politique de protection des données, CloudWatch Logs recherche les identifiants de données que vous spécifiez, quelle que soit la géolocalisation dans laquelle se trouve le groupe de journaux. Les informations de la colonne **Countries and regions** (Pays et régions) de ce tableau indiquent si des codes de pays à deux lettres doivent être ajoutés à l'identifiant de données pour détecter les mots clés appropriés pour ces pays et régions.
| Type de données | ID de l'identifiant des données | Mot-clé requis | Pays et régions | Remarques |
| --- | --- | --- | --- | --- |
| Date de naissance | `DateOfBirth` | `dob`, `date of birth`, `birthdate`, `birth date`, `birthday`, `b-day`, `bday` | N’importe lequel | Cela inclut la plupart des formats de date, tels que les formats avec des chiffres ainsi que les combinaisons de chiffres et de noms de mois. Les composants de date peuvent être séparés par des espaces, des barres obliques (/) ou des traits d'union (-). |
| Código de Endereçamento Postal (CEP) | `CepCode` | `cep`, `código de endereçamento postal`, `codigo de endereçamento postal` | Brésil | |
| Cadastro Nacional da Pessoa Jurídica (CNPJ) | `Cnpj` | `cadastro nacional da pessoa jurídica`, `cadastro nacional da pessoa juridica`, `cnpj` | Brésil | |
| Cadastro de Pessoas Físicas (CPF) | `CpfCode` | `Cadastro de pessoas fisicas`, `cadastro de pessoas físicas`, `cadastro de pessoa física`, `cadastro de pessoa fisica`, `cpf` | Brésil | |
| Numéro d'identification du permis de conduire | `DriversLicense` | Oui. Différents mots clés s'appliquent à différents pays. Pour plus de détails, consultez le tableau des **Numéros d'identification des permis de conduire** plus loin dans cette section. | De nombreux pays. Pour plus de détails, consultez le tableau des **Numéros d'identification des permis de conduire**. | |
| Numéro de liste électorale | `ElectoralRollNumber` | `electoral #`, `electoral number`, `electoral roll #`, `electoral roll no.`, `electoral roll number`, `electoralrollno` | Royaume-Uni | |
| Identification individuelle de contribuable | `IndividualTaxIdenticationNumber` | Oui. Différents mots clés s'appliquent à différents pays. Pour plus de détails, consultez le tableau des **Numéros d'identification des contribuables individuels** plus loin dans cette section. | Brésil, France, Allemagne, Espagne, Royaume-Uni | |
| Institut national de la statistique et des études économiques (INSEE) | `InseeCode` | Oui. Différents mots clés s'appliquent à différents pays. Pour plus de détails, consultez le tableau **Des mots clés pour les numéros d'identification nationaux** plus loin dans cette section. | France | |
| Numéro d'identification nationale | `NationalIdentificationNumber` | Oui. Pour plus de détails, consultez le tableau **Des mots clés pour les numéros d'identification nationaux** plus loin dans cette section. | Allemagne, Italie, Espagne | Cela inclut les identifiants Documento Nacional de Identidad (DNI) (Espagne), les codes Codice fiscale (Italie) et les numéros de carte d'identité nationale (Allemagne). |
| Numéro d'assurance nationale (NINO) | `NationalInsuranceNumber` | insurance no., insurance number, insurance\$1, national insurance number, nationalinsurance\$1, nationalinsurancenumber, nin, nino | Royaume-Uni | – |
| Número de identidad de extranjero (NIE) | `NieNumber` | Oui. Différents mots clés s'appliquent à différents pays. Pour plus de détails, consultez le tableau des **Numéros d'identification des contribuables individuels** plus loin dans cette section. | Espagne | |
| Número de Identificación Fiscal (NIF) | `NifNumber` | Oui. Différents mots clés s'appliquent à différents pays. Pour plus de détails, consultez le tableau des **Numéros d'identification des contribuables individuels** plus loin dans cette section. | Espagne | |
| Numéro de passeport | `PassportNumber` | Oui. Différents mots clés s'appliquent à différents pays. Pour plus de détails, consultez le tableau **Des mots clés pour les numéros de passeport** plus loin dans cette section. | Canada, France, Allemagne, Italie, Espagne, Royaume-Uni, États-Unis | |
| Numéro de résidence permanente | `PermanentResidenceNumber` | carte résident permanent, numéro carte résident permanent, numéro résident permanent, permanent resident card, permanent resident card number, permanent resident no, permanent resident no., permanent resident number, pr no, pr no., pr non, pr number, résident permanent no., résident permanent non | Canada | |
| Numéro de téléphone | `PhoneNumber` | Brésil : les mots clés incluent également : `cel`, `celular`, `fone`, `móvel`, `número residencial`, `numero residencial`, `telefone` Autres : `cell`, `contact`, `fax`, `fax number`, `mobile`, `phone`, `phone number`, `tel`, `telephone`, `telephone number` | Brésil, Canada, France, Allemagne, Italie, Espagne, Royaume-Uni, États-Unis | Cela inclut les numéros gratuits aux États-Unis et les numéros de fax. Si un mot clé se trouve à proximité des données, il n'est pas nécessaire que le numéro inclue un code de pays. Si un mot clé ne se trouve pas à proximité des données, il est nécessaire que le numéro inclue un code de pays. |
| Code postal | `PostalCode` | Aucune | Canada | |
| Registro Geral (RG) | `RgNumber` | Oui. Différents mots clés s'appliquent à différents pays. Pour plus de détails, consultez le tableau des **Numéros d'identification des contribuables individuels** plus loin dans cette section. | Brésil | |
| Numéro de sécurité sociale | `SocialInsuranceNumber` | canadian id, numéro d'assurance sociale, social insurance number, sin | Canada | |
| Numéro de sécurité sociale (SSN) | `Ssn` | Espagne : `número de la seguridad social`, `social security no.`, `social security no`. `número de la seguridad social`, `social security number`, `socialsecurityno#`, `ssn`, `ssn#` États-Unis : `social security`, `ss#`, `ssn` | Espagne, États-Unis | |
| Numéro d'identification ou de référence du contribuable | `TaxId` | Oui. Différents mots clés s'appliquent à différents pays. Pour plus de détails, consultez le tableau des **Numéros d'identification des contribuables individuels** plus loin dans cette section.. | France, Allemagne, Espagne, Royaume-Uni | Cela inclut TIN (France) ; Steueridentifikationsnummer (Allemagne) ; CIF (Espagne) et TRN, UTR (Royaume-Uni). |
| Code ZIP | `ZipCode` | zip code, zip\$14 | États-Unis | Code postal des États-Unis. |
| Adresse postale | `Address` | Aucune | Australie, Canada, France, Allemagne, Italie, Espagne, Royaume-Uni, États-Unis | Bien qu'aucun mot-clé ne soit requis, la détection nécessite que l'adresse comprenne le nom d'une ville ou d'un lieu ainsi qu'un code postal. |
| Adresse électronique | `EmailAddress` | Aucune | N’importe lequel | |
| Coordonnées du système de positionnement mondial (GPS) | `LatLong` | coordinate, coordinates, lat long, latitude longitude, location, position | N’importe lequel | CloudWatch Les journaux peuvent détecter les coordonnées GPS si les coordonnées de latitude et de longitude sont stockées par paire et qu'elles sont au format décimal (DD), par exemple 41.948614, -87.655311. La prise en charge n'inclut pas les coordonnées au format Degrés décimaux minutes (DDM), par exemple 41°56.9168'N 87°39.3187'W, ni au format Degrés, minutes, secondes (DMS), par exemple 41°56'55.0104"N 87°39'19.1196"W. |
| Nom complet | `Name` | Aucune | N’importe lequel | CloudWatch Les journaux ne peuvent détecter que les noms complets. Le support est limité aux jeux de caractères latins. |
| Numéro d'identification de véhicule (VIN) | `VehicleIdentificationNumber` | Fahrgestellnummer, niv, numarul de identificare, numarul seriei de sasiu, serie sasiu, numer VIN, Número de Identificação do Veículo, Número de Identificación de Automóviles, numéro d'identification du véhicule, vehicle identification number, vin, VIN numeris | N’importe lequel | CloudWatch Les journaux peuvent détecter VINs une séquence de 17 caractères et respecter les normes ISO 3779 et 3780. Ces normes ont été conçues pour être utilisées dans le monde entier. |
## Mots clés pour les numéros d'identification du permis de conduire
Pour détecter différents types de numéros d'identification de permis de conduire, CloudWatch Logs nécessite qu'un mot clé se trouve à proximité des numéros. Le tableau suivant répertorie les mots clés reconnus par CloudWatch Logs pour des pays et des régions spécifiques.
| Pays ou région | Mots clés |
| --- | --- |
| Australie | dl\$1 dl:, dl :, dlno\$1 driver licence, driver license, driver permit, drivers lic., drivers licence, driver's licence, drivers license, driver's license, drivers permit, driver's permit, drivers permit number, driving licence, driving license, driving permit |
| Autriche | führerschein, fuhrerschein, führerschein republik österreich, fuhrerschein republik osterreich |
| Belgique | fuehrerschein, fuehrerschein- nr, fuehrerscheinnummer, fuhrerschein, führerschein, fuhrerschein- nr, führerschein- nr, fuhrerscheinnummer, führerscheinnummer, numéro permis conduire, permis de conduire, rijbewijs, rijbewijsnummer |
| Bulgarie | превозно средство, свидетелство за управление на моторно, свидетелство за управление на мпс, сумпс, шофьорска книжка |
| Canada | dl\$1, dl:, dlno\$1, driver licence, driver licences, driver license, driver licenses, driver permit, drivers lic., drivers licence, driver's licence, drivers licences, driver's licences, drivers license, driver's license, drivers licenses, driver's licenses, drivers permit, driver's permit, drivers permit number, driving licence, driving license, driving permit, permis de conduire |
| Croatie | vozačka dozvola |
| Chypre | άδεια οδήγησης |
| République tchèque | číslo licence, císlo licence řidiče, číslo řidičského průkazu, ovladače lic., povolení k jízdě, povolení řidiče, řidiči povolení, řidičský prúkaz, řidičský průkaz |
| Danemark | kørekort, kørekortnummer |
| Estonie | juhi litsentsi number, juhiloa number, juhiluba, juhiluba number |
| Finlande | ajokortin numero, ajokortti, förare lic., körkort, körkort nummer, kuljettaja lic., permis de conduire |
| France | permis de conduire |
| Allemagne | fuehrerschein, fuehrerschein- nr, fuehrerscheinnummer, fuhrerschein, führerschein, fuhrerschein- nr, führerschein- nr, fuhrerscheinnummer, führerscheinnummer |
| Grèce | δεια οδήγησης, adeia odigisis |
| Hongrie | illesztőprogramok lic, jogosítvány, jogsi, licencszám, vezető engedély, vezetői engedély |
| Irlande | ceadúnas tiomána |
| Italie | patente di guida, patente di guida numero, patente guida, patente guida numero |
| Lettonie | autovadītāja apliecība, licences numurs, vadītāja apliecība, vadītāja apliecības numurs, vadītāja atļauja, vadītāja licences numurs, vadītāji lic. |
| Lituanie | vairuotojo pažymėjimas |
| Luxembourg | fahrerlaubnis, führerschäin |
| Malte | liċenzja tas-sewqan |
| Pays-Bas | permis de conduire, rijbewijs, rijbewijsnummer |
| Pologne | numer licencyjny, prawo jazdy, zezwolenie na prowadzenie |
| Portugal | carta de condução, carteira de habilitação, carteira de motorist, carteira habilitação, carteira motorist, licença condução, licença de condução, número de licença, número licença, permissão condução, permissão de condução |
| Roumanie | numărul permisului de conducere, permis de conducere |
| Slovaquie | číslo licencie, číslo vodičského preukazu, ovládače lic., povolenia vodičov, povolenie jazdu, povolenie na jazdu, povolenie vodiča, vodičský preukaz |
| Slovénie | vozniško dovoljenje |
| Espagne | carnet conducer, el carnet de conducer, licencia conducer, licencia de manejo, número carnet conducer, número de carnet de conducer, número de permiso conducer, número de permiso de conducer, número licencia conducer, número permiso conducer, permiso conducción, permiso conducer, permiso de conducción |
| Suède | ajokortin numero, dlno\$1 ajokortti, drivere lic., förare lic., körkort, körkort nummer, körkortsnummer, kuljettajat lic. |
| Royaume-Uni | dl\$1, dl:, dlno\$1, driver licence, driver licences, driver license, driver licenses, driver permit, drivers lic., drivers licence, driver's licence, drivers licences, driver's licences, drivers license, driver's license, drivers licenses, driver's licenses, drivers permit, driver's permit, drivers permit number, driving licence, driving license, driving permit |
| États-Unis | dl\$1, dl:, dlno\$1, driver licence, driver licences, driver license, driver licenses, driver permit, drivers lic., drivers licence, driver's licence, drivers licences, driver's licences, drivers license, driver's license, drivers licenses, driver's licenses, drivers permit, driver's permit, drivers permit number, driving licence, driving license, driving permit |
## Mots clés pour les numéros d'identification nationaux
Pour détecter différents types de numéros d'identification nationaux, CloudWatch Logs a besoin qu'un mot clé soit placé à proximité des numéros. Cela inclut les identifiants Documento Nacional de Identidad (DNI) (Espagne), les codes de l'Institut national de la statistique et des études économiques (INSEE), les numéros de carte nationale d'identité allemande (Allemagne) et les numéros du Registro Geral (RG) (Brésil).
Le tableau suivant répertorie les mots clés reconnus par CloudWatch Logs pour des pays et des régions spécifiques.
| Pays ou région | Mots clés |
| --- | --- |
| Brésil | registro geral, rg |
| France | assurance sociale, carte nationale d’identité, cni, code sécurité sociale, French social security number, fssn\$1, insee, insurance number, national id number, nationalid\$1, numéro d'assurance, sécurité sociale, sécurité sociale non., sécurité sociale numéro, social, social security, social security number, socialsecuritynumber, ss\$1, ssn, ssn\$1 |
| Allemagne | ausweisnummer, id number, identification number, identity number, insurance number, personal id, personalausweis |
| Italie | codice fiscal, dati anagrafici, ehic, health card, health insurance card, p. iva, partita i.v.a., personal data, tax code, tessera sanitaria |
| Espagne | dni, dni\$1, dninúmero\$1, documento nacional de identidad, identidad único, identidadúnico\$1, insurance number, national identification number, national identity, nationalid\$1, nationalidno\$1, número nacional identidad, personal identification number, personal identity no, unique identity number, uniqueid\$1 |
## Mots clés pour les numéros de passeport
Pour détecter différents types de numéros de passeport, CloudWatch Logs nécessite qu'un mot clé se trouve à proximité des numéros. Le tableau suivant répertorie les mots clés reconnus par CloudWatch Logs pour des pays et des régions spécifiques.
| Pays ou région | Mots clés |
| --- | --- |
| Canada | passeport, passeport\$1, passport, passport\$1, passportno, passportno\$1 |
| France | numéro de passeport, passeport, passeport\$1, passeport \$1, passeportn °, passeport n °, passeportNon, passeport non |
| Allemagne | ausstellungsdatum, ausstellungsort, geburtsdatum, passport, passports, reisepass, reisepass–nr, reisepassnummer |
| Italie | italian passport number, numéro passeport, numéro passeport italien, passaporto, passaporto italiana, passaporto numero, passport number, repubblica italiana passaporto |
| Espagne | españa pasaporte, libreta pasaporte, número pasaporte, pasaporte, passport, passport book, passport no, passport number, spain passport |
| Royaume-Uni | passeport \$1, passeport n °, passeportNon, passeport non, passeportn °, passport \$1, passport no, passport number, passport\$1, passportid |
| États-Unis | passport, travel document |
## Mots clés pour les numéros d'identification et de référence des contribuables
Pour détecter les différents types de numéros d'identification et de référence des contribuables, CloudWatch Logs a besoin qu'un mot clé se trouve à proximité des numéros. Le tableau suivant répertorie les mots clés reconnus par CloudWatch Logs pour des pays et des régions spécifiques.
| Pays ou région | Mots clés |
| --- | --- |
| Brésil | cadastro de pessoa física, cadastro de pessoa fisica, cadastro de pessoas físicas, cadastro de pessoas fisicas, cadastro nacional da pessoa jurídica, cadastro nacional da pessoa juridica, cnpj, cpf |
| France | numéro d'identification fiscale, tax id, tax identification number, tax number, tin, tin\$1 |
| Allemagne | identifikationsnummer, steuer id, steueridentifikationsnummer, steuernummer, tax id, tax identification number, tax number |
| Espagne | cif, cif número, cifnúmero\$1, nie, nif, número de contribuyente, número de identidad de extranjero, número de identificación fiscal, número de impuesto corporativo, personal tax number, tax id, tax identification number, tax number, tin, tin\$1 |
| Royaume-Uni | paye, tax id, tax id no., tax id number, tax identification, tax identification\$1, tax no., tax number, tax reference, tax\$1, taxid\$1, temporary reference number, tin, trn, unique tax reference, unique taxpayer reference, utr |
| États-Unis | numéro individuel d'identification de contribuable, itin, i.t.i.n. |
## Identifiant de données ARNs pour les informations personnelles identifiables (PII)
Le tableau suivant répertorie les Amazon Resource Names (ARNs) pour les identifiants de données d'identification personnelle (PII) que vous pouvez ajouter à vos politiques de protection des données.
| Identifiant de données PII ARNs |
| --- |
| arn:aws:dataprotection::aws:data-identifier/Address |
| arn:aws:dataprotection::aws:data-identifier/CepCode-BR |
| arn:aws:dataprotection::aws:data-identifier/Cnpj-BR |
| arn:aws:dataprotection::aws:data-identifier/CpfCode-BR |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-AT |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-AU |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-BE |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-BG |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-CA |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-CY |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-CZ |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-DE |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-DK |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-EE |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-ES |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-FI |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-FR |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-GB |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-GR |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-HR |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-HU |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-IE |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-IT |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-LT |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-LU |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-LV |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-MT |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-NL |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-PL |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-PT |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-RO |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-SE |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-SI |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-SK |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-US |
| arn:aws:dataprotection::aws:data-identifier/ElectoralRollNumber-GB |
| arn:aws:dataprotection::aws:data-identifier/EmailAddress |
| arn:aws:dataprotection::aws:data-identifier/IndividualTaxIdentificationNumber-US |
| arn:aws:dataprotection::aws:data-identifier/InseeCode-FR |
| arn:aws:dataprotection::aws:data-identifier/LatLong |
| arn:aws:dataprotection::aws:data-identifier/Name |
| arn:aws:dataprotection::aws:data-identifier/NationalIdentificationNumber-DE |
| arn:aws:dataprotection::aws:data-identifier/NationalIdentificationNumber-ES |
| arn:aws:dataprotection::aws:data-identifier/NationalIdentificationNumber-IT |
| arn:aws:dataprotection::aws:data-identifier/NieNumber-ES |
| arn:aws:dataprotection::aws:data-identifier/NifNumber-ES |
| arn:aws:dataprotection::aws:data-identifier/PassportNumber-CA |
| arn:aws:dataprotection::aws:data-identifier/PassportNumber-DE |
| arn:aws:dataprotection::aws:data-identifier/PassportNumber-ES |
| arn:aws:dataprotection::aws:data-identifier/PassportNumber-FR |
| arn:aws:dataprotection::aws:data-identifier/PassportNumber-GB |
| arn:aws:dataprotection::aws:data-identifier/PassportNumber-IT |
| arn:aws:dataprotection::aws:data-identifier/PassportNumber-US |
| arn:aws:dataprotection::aws:data-identifier/PermanentResidenceNumber-CA |
| arn:aws:dataprotection::aws:data-identifier/PhoneNumber-BR |
| arn:aws:dataprotection::aws:data-identifier/PhoneNumber-DE |
| arn:aws:dataprotection::aws:data-identifier/PhoneNumber-ES |
| arn:aws:dataprotection::aws:data-identifier/PhoneNumber-FR |
| arn:aws:dataprotection::aws:data-identifier/PhoneNumber-GB |
| arn:aws:dataprotection::aws:data-identifier/PhoneNumber-IT |
| arn:aws:dataprotection::aws:data-identifier/PhoneNumber-US |
| arn:aws:dataprotection::aws:data-identifier/PostalCode-CA |
| arn:aws:dataprotection::aws:data-identifier/RgNumber-BR |
| arn:aws:dataprotection::aws:data-identifier/SocialInsuranceNumber-CA |
| arn:aws:dataprotection::aws:data-identifier/Ssn-ES |
| arn:aws:dataprotection::aws:data-identifier/Ssn-US |
| arn:aws:dataprotection::aws:data-identifier/TaxId-DE |
| arn:aws:dataprotection::aws:data-identifier/TaxId-ES |
| arn:aws:dataprotection::aws:data-identifier/TaxId-FR |
| arn:aws:dataprotection::aws:data-identifier/TaxId-GB |
| arn:aws:dataprotection::aws:data-identifier/VehicleIdentificationNumber |
| arn:aws:dataprotection::aws:data-identifier/ZipCode-US |
# Identifiants de données personnalisés
**Topics**
+ [En quoi consistent les identifiants de données personnalisés ?](#what-are-custom-data-identifiers)
+ [Contraintes liées aux identifiants de données personnalisés](#custom-data-identifiers-constraints)
+ [Utilisation d'identifiants de données personnalisés dans la console](#using-custom-data-identifiers-console)
+ [Utilisation d'identifiants de données personnalisés dans votre politique de protection des données](#using-custom-data-identifiers)
## En quoi consistent les identifiants de données personnalisés ?
Les identificateurs de données personnalisés (CDIs) vous permettent de définir vos propres expressions régulières personnalisées qui peuvent être utilisées dans votre politique de protection des données. En utilisant des identifiants de données personnalisés, vous pouvez cibler des cas d'utilisation de données d'identification personnelle (PII) propres à un domaine d'activité, ce que les [identifiants de données gérés](CWL-managed-data-identifiers.md) ne peuvent pas offrir. Par exemple, vous pouvez utiliser un identifiant de données personnalisé pour rechercher un employé spécifique à l'entreprise. IDs Les identifiants de données personnalisés peuvent être utilisés conjointement avec des identifiants de données gérés.
## Contraintes liées aux identifiants de données personnalisés
CloudWatch Les identifiants de données personnalisés des journaux présentent les limites suivantes :
+ Le nombre d'identifiants de données personnalisés pris en charge pour chaque politique de protection des données est limité à 10.
+ Les noms d'identificateurs de données personnalisés ont une longueur maximale de 128 caractères. Les caractères pris en charge sont les suivants :
+ Alphanumériques : (a-zA-Z0-9)
+ Symboles : ( '\$1' \$1 '-' )
+ La longueur maximale de RegEx est de 200 caractères. Les caractères pris en charge sont les suivants :
+ Alphanumériques : (a-zA-Z0-9)
+ Symboles : ( '\$1' \$1 '\$1' \$1 '=' \$1 '@' \$1'/' \$1 ';' \$1 ',' \$1 '-' \$1 ' ' )
+ Caractères réservés pour RegEx : ('^' \$1 '\$1' \$1 '?' \$1 '[' \$1 ']' \$1 '\$1' \$1 '\$1' \$1 '\$1' \$1 \$1 '\$1' \$1 '\$1' \$1 '\$1' \$1 '\$1'. ')
+ Les identifiants de données personnalisés ne peuvent pas avoir le même nom qu'un identifiant de données géré.
+ Les identifiants de données personnalisés peuvent être spécifiés dans une politique de protection des données au niveau du compte ou dans des politiques de protection des données au niveau du groupe de journaux. À l'instar des identifiants de données gérés, les identifiants de données personnalisés définis dans le cadre d'une politique au niveau du compte fonctionnent en combinaison avec les identifiants de données personnalisés définis dans une politique au niveau du groupe de journaux.
## Utilisation d'identifiants de données personnalisés dans la console
Lorsque vous utilisez la CloudWatch console pour créer ou modifier une politique de protection des données, pour spécifier un identifiant de données personnalisé, il vous suffit de saisir un nom et une expression régulière pour l'identifiant de données. Par exemple, vous pouvez saisir **Employee\$1ID** le **EmployeeID-\$1d\$19\$1** nom et l'expression régulière. Cette expression régulière détectera et masquera les événements du journal suivis de neuf chiffres`EmployeeID-`. Par exemple, `EmployeeID-123456789`
## Utilisation d'identifiants de données personnalisés dans votre politique de protection des données
Si vous utilisez l' AWS API AWS CLI or pour spécifier un identifiant de données personnalisé, vous devez inclure le nom de l'identifiant de données et l'expression régulière dans la politique JSON utilisée pour définir la politique de protection des données. La politique de protection des données suivante détecte et masque les événements enregistrés qui concernent des employés spécifiques à l'entreprise. IDs
1. Créez un bloc `Configuration` dans votre politique de protection des données.
1. Nommez votre identifiant de données personnalisé dans `Name`. Par exemple, **EmployeeId**.
1. Nommez votre identifiant de données personnalisé dans `Regex`. Par exemple, **EmployeeID-\$1d\$19\$1**. Cette expression régulière correspondra aux événements du journal `EmployeeID-` contenant neuf chiffres après`EmployeeID-`. Par exemple, `EmployeeID-123456789`
1. Faites référence à l'identifiant de données personnalisé suivant dans une déclaration de politique.
```
{
"Name": "example_data_protection_policy",
"Description": "Example data protection policy with custom data identifiers",
"Version": "2021-06-01",
"Configuration": {
"CustomDataIdentifier": [
{"Name": "EmployeeId", "Regex": "EmployeeId-\\d{9}"}
]
},
"Statement": [
{
"Sid": "audit-policy",
"DataIdentifier": [
"EmployeeId"
],
"Operation": {
"Audit": {
"FindingsDestination": {
"S3": {
"Bucket": "EXISTING_BUCKET"
}
}
}
}
},
{
"Sid": "redact-policy",
"DataIdentifier": [
"EmployeeId"
],
"Operation": {
"Deidentify": {
"MaskConfig": {
}
}
}
}
]
}
```
1. (Facultatif) Continuez à ajouter des **identificateurs de données personnalisés** supplémentaires au bloc `Configuration`, si nécessaire. Les politiques de protection des données prennent actuellement en charge au maximum 10 identifiants de données personnalisés.