Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Utilizzo di gruppi di log e flussi di log
Un flusso di log è una sequenza di log eventi che condividono la stessa origine. Ogni fonte separata di log in CloudWatch Logs costituisce un flusso di log separato.
Un gruppo di log è un gruppo di flussi di log che condividono le stesse impostazioni di conservazione, monitoraggio e controllo degli accessi. Puoi definire i gruppi di log e specificare quali flussi inserire in ciascun gruppo. Non vi è alcun limite al numero di flussi di log che possono appartenere a un gruppo di log.
Per le organizzazioni che devono consolidare i dati di registro di più account e regioni, è possibile utilizzare CloudWatch Logs Centralization per replicare automaticamente i gruppi di log su un account centrale. Per ulteriori informazioni, consulta [Centralizzazione dei log per tutti gli account e tutte le Regioni](CloudWatchLogs_Centralization.md).
È possibile utilizzare le procedure in questa sezione per lavorare con gruppi di log e flussi di log.
## Crea un gruppo di log in CloudWatch Logs
Quando installi l'agente CloudWatch Logs su un'istanza Amazon EC2 utilizzando i passaggi nelle sezioni precedenti della CloudWatch Amazon Logs User Guide, il gruppo di log viene creato come parte di tale processo. Puoi anche creare un gruppo di log direttamente nella console. CloudWatch
**Creazione di un gruppo di log**
1. Apri la CloudWatch console all'indirizzo [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Nel riquadro di navigazione, scegli **Gestione dei registri**.
1. Selezionare **Actions (Operazioni)** e scegliere **Create log group (Crea gruppo di log)**.
1. Immettere un nome per il gruppo di log, quindi selezionare **Create log group (Crea gruppo di log)**.
**Suggerimento**
È possibile preferire i gruppi di flussi di log, nonché i dashboard e gli allarmi, dal ***Preferiti e recenti*** nel riquadro di navigazione. Nella colonna ***Visitati di recente***, passare il mouse sul gruppo di log che si desidera impostare come preferito e scegliere il simbolo della stella accanto a esso.
## Invio di log a un gruppo di log
CloudWatch Logs riceve automaticamente gli eventi di registro da diversi AWS servizi. È inoltre possibile inviare altri eventi di registro a CloudWatch Logs utilizzando uno dei seguenti metodi:
+ **CloudWatch agente**: l' CloudWatch agente unificato può inviare sia le metriche che i log ai registri. CloudWatch *Per informazioni sull'installazione e l'utilizzo dell' CloudWatch agente, consulta [Collecting metrics and logs from Amazon EC2 Instances and On-Premises Server with the CloudWatch Agent](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html) nella Amazon User Guide. CloudWatch *
+ **AWS CLI[put-log-events](https://docs.aws.amazon.com/cli/latest/reference/logs/put-log-events.html)**—Carica batch di eventi di registro su Logs. CloudWatch
+ A **livello di codice: l'[PutLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutLogEvents.html)API consente di caricare in modo** programmatico batch di eventi di registro nei registri. CloudWatch
## Visualizza i dati di registro inviati ai registri CloudWatch
È possibile visualizzare e scorrere i dati di registro in stream-by-stream base a quelli inviati a CloudWatch Logs dall'agente CloudWatch Logs. Puoi specificare l'intervallo di tempo dei dati di log da visualizzare.
**Visualizzazione dati di log**
1. Apri la CloudWatch console all'indirizzo. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)
1. Nel riquadro di navigazione, scegli **Gestione dei registri**.
1. In **Log Groups** (Gruppi di log), seleziona il gruppo per visualizzare i flussi.
1. Nell'elenco dei gruppi di log, scegliere il nome del gruppo di log che si desidera visualizzare.
1. Nell'elenco dei flussi di log, scegliere il nome del flusso di log che si desidera visualizzare.
1. Per modificare la modalità di visualizzazione dei dati di log, procedi in uno dei seguenti modi:
+ Per espandere un singolo log eventi, scegliere la freccia accanto all'evento di log.
+ Per espandere tutti gli eventi di log e visualizzarli come testo normale, sopra l'elenco di eventi di log, seleziona **Text** (Testo).
+ Per filtrare gli eventi di log, digitare il filtro di ricerca desiderato nel campo di ricerca. Per ulteriori informazioni, consulta [Creazione di parametri da log eventi mediante filtri](MonitoringLogData.md).
+ Per visualizzare i dati di log per un intervallo di data e ora specificato, scegliere la freccia accanto alla data e all'ora, accanto al filtro di ricerca. Per specificare un intervallo di data e ora, scegliere **Absolute (Assoluto)**. Per scegliere un numero predefinito di minuti, ore, giorni o settimane, selezionare **Relative (Relativo)**. Inoltre, è possibile passare da UTC a fuso orario locale.
# Ricerca di dati di log utilizzando i modelli dei filtri
Puoi cercare i tuoi dati di log utilizzando la [Sintassi del modello di filtro per filtri di parametri, filtri di sottoscrizione, filtri di log eventi e Live Tail](FilterAndPatternSyntax.md). È possibile cercare tutti i flussi di log all'interno di un gruppo di log oppure utilizzando il AWS CLI è possibile cercare anche flussi di log specifici. Quando ciascuna ricerca è in esecuzione, restituisce fino alla prima pagina di dati disponibili e un token per recuperare la pagina successiva di dati o per continuare la ricerca. Se non ottieni alcun risultato, puoi continuare la ricerca.
Puoi impostare l'intervallo di tempo per cui desideri eseguire query per limitare l'ambito della ricerca. Puoi iniziare con un intervallo di dimensioni maggiori per individuare i punti in cui le linee di log interessati cadono e ridurre quindi l'intervallo di tempo per diminuire la visualizzazione dei log nell'intervallo di tempo interessato.
Inoltre puoi muoverti direttamente dai tuoi parametri estratti dai log ai log corrispondenti.
Se hai effettuato l'accesso a un account configurato come account di monitoraggio in modalità osservabile CloudWatch tra più account, puoi cercare e filtrare gli eventi di registro dagli account di origine collegati a questo account di monitoraggio. Per maggiori informazioni, consulta la sezione [Osservabilità su più account di CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html).
## Ricerca di voci di log utilizzando la console
Puoi cercare voci di log che soddisfino un criterio specificato utilizzando la console.
**Ricerca di voci di log utilizzando la console**
1. Apri la CloudWatch console all'indirizzo. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)
1. Nel riquadro di navigazione, scegli **Gestione dei registri**.
1. In **Log Groups** (Gruppi di log), seleziona il nome del gruppo di log contenente il flusso di log da cercare.
1. In **Log Streams** (Flussi di log), seleziona il nome del flusso di log da cercare.
1. In **Eventi di log**, immettere la sintassi del filtro da utilizzare.
**Cercare tutte le voci di log per un intervallo di tempo utilizzando la console**
1. Apri la CloudWatch console all'indirizzo [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Nel riquadro di navigazione, scegli **Gestione dei registri**.
1. In **Log Groups** (Gruppi di log), seleziona il nome del gruppo di log contenente il flusso di log da cercare.
1. Scegliere **Cerca gruppo di log**.
1. In **Eventi di log**, selezionare l'intervallo di data e ora e immettere la sintassi del filtro.
## Cerca nelle voci del registro utilizzando il AWS CLI
È possibile cercare le voci di registro che soddisfano un criterio specificato utilizzando AWS CLI.
**Per cercare le voci di registro utilizzando il AWS CLI**
Al prompt dei comandi, esegui il comando seguente [filter-log-events](https://docs.aws.amazon.com/cli/latest/reference/logs/filter-log-events.html). Utilizza `--filter-pattern` per limitare i risultati per modello del filtro specificato e `--log-stream-names` per limitare i risultati a determinati flussi di log.
```
aws logs filter-log-events --log-group-name my-group [--log-stream-names LIST_OF_STREAMS_TO_SEARCH] [--filter-pattern VALID_METRIC_FILTER_PATTERN]
```
**Per cercare le voci di registro in un determinato intervallo di tempo utilizzando il AWS CLI**
Al prompt dei comandi, esegui il [filter-log-events](https://docs.aws.amazon.com/cli/latest/reference/logs/filter-log-events.html)comando seguente:
```
aws logs filter-log-events --log-group-name my-group [--log-stream-names LIST_OF_STREAMS_TO_SEARCH] [--start-time 1482197400000] [--end-time 1482217558365] [--filter-pattern VALID_METRIC_FILTER_PATTERN]
```
## Cambiare da parametri a log
Puoi accedere a specifiche voci di log da altre parti della console.
**Per accedere dai widget del pannello di controllo ai log**
1. Apri la CloudWatch console all'indirizzo [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Nel pannello di navigazione seleziona **Dashboards** (Pannelli di controllo).
1. Seleziona un pannello di controllo.
1. Nel widget, scegli l'icona **View logs** (Visualizza log) e quindi scegli **View logs in this time range** (Visualizza log in questo intervallo di tempo). Se è presente più di un filtro parametri, selezionane uno dall'elenco. Se sono presenti più filtri di parametri che possiamo mostrare nell'elenco, scegli **Più filtri di parametri** e seleziona o cerca un filtro di parametro.
**Accesso da parametri a log**
1. Apri la CloudWatch console all'indirizzo [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Nel riquadro di navigazione, seleziona **Parametri**.
1. Nel campo di ricerca nella scheda **All metrics** (Tutti i parametri), digitare il nome del parametro e premi Invio.
1. Seleziona uno o più parametri dai risultati della tua ricerca.
1. Scegli **Actions** (Azioni), **View logs** (Visualizza log). Se è presente più di un filtro parametri, selezionane uno dall'elenco. Se sono presenti più filtri di parametri che possiamo mostrare nell'elenco, scegli **Più filtri di parametri** e seleziona o cerca un filtro di parametro.
## Risoluzione dei problemi
**Search takes too long to complete** (La ricerca richiede troppo tempo per essere completata)
Se si dispone di una notevole quantità di dati di log, la ricerca potrebbe richiedere molto tempo per essere completata. Per velocizzare la ricerca, è possibile eseguire le operazioni descritte di seguito:
+ Se utilizzi il AWS CLI, puoi limitare la ricerca solo ai flussi di log che ti interessano. Ad esempio, se il tuo gruppo di log ha 1000 flussi di log, ma desideri visualizzare solo tre flussi di log che ritieni pertinenti, puoi utilizzare il AWS CLI per limitare la ricerca solo ai tre flussi di log all'interno del gruppo di log.
+ Utilizza un intervallo di tempo più breve e più granulare, che riduce la quantità di dati da ricercare e velocizza la query.
## Modifica la conservazione dei dati di registro in Logs CloudWatch
Per impostazione predefinita, i dati di registro vengono archiviati nei CloudWatch registri a tempo indeterminato. Tuttavia, puoi configurare per quanto tempo archiviare i dati di log in un gruppo di log. I dati che superano l'impostazione di conservazione corrente verranno eliminati. Puoi modificare la conservazione dei log per ciascun gruppo di log in qualsiasi momento.
**Nota**
CloudWatch Logs non elimina immediatamente gli eventi di registro quando raggiungono l'impostazione di conservazione. In genere sono necessarie fino a 72 ore prima che gli eventi di log vengano eliminati, ma in rare situazioni potrebbe essere necessario più tempo.
Ciò significa che se modifichi un gruppo di log per avere un'impostazione di conservazione più lunga quando contiene eventi di log che hanno superato la data di scadenza, ma non sono stati effettivamente eliminati, l'eliminazione di tali eventi di log richiederà fino a 72 ore dopo il raggiungimento della nuova data di conservazione. Per assicurarsi che i dati di log vengano eliminati in modo definitivo, mantieni un gruppo di log con l'impostazione di conservazione inferiore fino a quando non sono trascorse 72 ore dopo la fine del periodo di conservazione precedente oppure è stata confermata l'eliminazione degli eventi di log precedenti.
Quando i log eventi raggiungono l'impostazione di conservazione, vengono contrassegnati per l'eliminazione. Una volta contrassegnati per l'eliminazione, non vengono più considerati nei costi di archiviazione, anche se vengono effettivamente eliminati solo in un secondo momento. Questi log eventi contrassegnati per l'eliminazione non sono inclusi quando si utilizza un'API per recuperare il valore `storedBytes` per vedere quanti byte sta archiviando un gruppo di log.
**Modifica dell'impostazione di conservazione di log**
1. Apri la CloudWatch console all'indirizzo [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Nel pannello di navigazione a sinistra, scegli **Log**, **Gruppi di log**.
1. Individua il gruppo di log da aggiornare.
1. Nella colonna **Conservazione** per quel gruppo di log, scegli l'impostazione di conservazione corrente, ad esempio **Never Expire**.
1. **Nell'**impostazione Conservazione**, per **gli eventi Expire after**, scegliete un valore di conservazione dei log, quindi scegliete Salva.**
## Protezione dei gruppi di log dall'eliminazione
Facoltativamente, è possibile abilitare la protezione dall'eliminazione per impedire l'eliminazione accidentale di importanti gruppi di log. Per informazioni dettagliate sulla protezione da eliminazione, vedere[Protezione dei gruppi di log dall'eliminazione](protecting-log-groups-from-deletion.md).
# Protezione dei gruppi di log dall'eliminazione
## Attivazione della protezione dall'eliminazione
È possibile abilitare la protezione dall'eliminazione quando si crea un nuovo gruppo di log o su gruppi di log esistenti. Durante la creazione del gruppo di log, seleziona «Protezione da eliminazione abilitata» o passando il parametro`--deletion-protection-enabled`. Per impostazione predefinita, la protezione da eliminazione non è abilitata.
**Per abilitare o disabilitare la protezione da eliminazione su un gruppo di log esistente (console)**
1. Apri la CloudWatch console all'indirizzo [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Nel riquadro di navigazione, scegli **Gestione dei registri**.
1. Seleziona il gruppo di log che desideri proteggere.
1. Scegli **Azioni**, **Modifica protezione da eliminazione**.
1. Nella finestra di dialogo, rivedi e invia le modifiche.
Se utilizzate il AWS CLI, per abilitare la protezione da eliminazione su un gruppo di log esistente:
```
aws logs put-log-group-deletion-protection \
--log-group-identifier "/my-application/logs" \
--deletion-protection-enabled
```
Per rimuovere la protezione da eliminazione su un gruppo di log esistente:
```
aws logs put-log-group-deletion-protection \
--log-group-identifier "/my-application/logs" \
--no-deletion-protection-enabled
```
### Gestione degli errori
Se si tenta di eliminare un gruppo di log con la protezione da eliminazione abilitata, si riceve un messaggio `ValidationException` con il messaggio: «Impossibile eliminare il gruppo di log con la protezione da eliminazione abilitata. Disabilita prima la protezione da eliminazione».
## Contrassegna i gruppi di log in Amazon CloudWatch Logs
*Puoi assegnare i tuoi metadati ai gruppi di log che crei in Amazon CloudWatch Logs sotto forma di tag.* Un tag è una coppia chiave-valore che definisci per un gruppo di log. L'uso dei tag è un modo semplice ma efficace per gestire AWS le risorse e organizzare i dati, compresi i dati di fatturazione.
**Nota**
È possibile utilizzare i tag per controllare l'accesso alle risorse di CloudWatch Logs, inclusi i gruppi di log e le destinazioni. L'accesso ai flussi di log è controllato a livello di gruppo di log per via della relazione gerarchica tra i gruppi di log e i flussi di log. Per ulteriori informazioni sull'utilizzo dei tag per controllare l'accesso alle risorse, consulta [Controllo dell'accesso alle risorse di Amazon Web Services utilizzando i tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html).
**Topics**
+ [Nozioni di base sui tag](#tagging-basics)
+ [Monitoraggio dei costi mediante l'assegnazione di tag](#tagging-billing)
+ [Limitazioni applicate ai tag](#tagging-restrictions)
+ [Taggare i gruppi di log utilizzando il AWS CLI](#log-group-tagging-cli)
+ [Etichettatura dei gruppi di log utilizzando l' CloudWatch API Logs](#log-group-tagging-api)
### Nozioni di base sui tag
È possibile utilizzare AWS CloudFormation l'API AWS CLI, o CloudWatch Logs, per completare le seguenti attività:
+ aggiunta di tag a un gruppo di log al momento della creazione;
+ aggiunta di tag a un gruppo di log esistente;
+ elencazione di tag di un gruppo di log;
+ eliminazione di tag da un gruppo di log.
Puoi utilizzare i tag per categorizzare i gruppi di log. Ad esempio, puoi categorizzarli in base a scopo, proprietario o ambiente. Poiché definisci una chiave e un valore per ogni tag, puoi creare un set di categorie personalizzate per soddisfare esigenze specifiche. Ad esempio, puoi definire un set di tag che consente di monitorare i gruppi di log per proprietario e applicazione associata. Di seguito sono riportati vari esempi di tag:
+ Progetto: nome del progetto
+ Proprietario: nome
+ Scopo: test di carico
+ Applicazione: nome dell'applicazione
+ Ambiente: produzione
### Monitoraggio dei costi mediante l'assegnazione di tag
Puoi utilizzare i tag per classificare e tenere traccia AWS dei costi. Quando applichi tag alle tue AWS risorse, inclusi i gruppi di log, il report sull'allocazione AWS dei costi include l'utilizzo e i costi aggregati per tag. Puoi applicare i tag che rappresentano categorie di business (come centri di costo, nomi di applicazioni o proprietari) per organizzare i costi tra più servizi. Per ulteriori informazioni, consulta [Utilizzo dei tag per l'allocazione dei costi ai fini dei report di fatturazione personalizzati](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) nella *AWS Billing User Guide (Guida per l'utente di Amazon API Gateway)*.
### Limitazioni applicate ai tag
Ai tag si applicano le limitazioni seguenti.
**Limitazioni di base**
+ Il numero massimo di tag per ogni gruppo di log è 50.
+ I valori e le chiavi dei tag rispettano la distinzione tra maiuscole e minuscole.
+ Non puoi cambiare o modificare i tag di un gruppo di log eliminato.
**Limitazioni applicate alle chiavi di tag**
+ Ogni chiave di tag deve essere univoca. Se aggiungi un tag con una chiave già in uso, il nuovo tag sovrascrive la coppia chiave-valore esistente.
+ Non puoi iniziare una chiave di tag con `aws:` perché questo prefisso è riservato all'uso di. AWS AWS crea tag che iniziano con questo prefisso per tuo conto, ma non puoi modificarli o eliminarli.
+ Le chiavi di tag devono avere una lunghezza compresa tra 1 e 128 caratteri Unicode.
+ Le chiavi di tag devono contenere i seguenti caratteri: lettere Unicode, cifre, spazio e i seguenti caratteri speciali: `_ . / = + - @`.
**Limitazioni applicate ai valori dei tag**
+ I valori dei tag devono avere una lunghezza compresa tra 0 e 255 caratteri Unicode.
+ I valori dei tag possono essere vuoti. In caso contrario, devono contenere i seguenti caratteri: lettere Unicode, cifre, spazio e i seguenti caratteri speciali: `_ . / = + - @`.
### Taggare i gruppi di log utilizzando il AWS CLI
Puoi aggiungere, elencare e rimuovere tag tramite AWS CLI. Per alcuni esempi, consultare la seguente documentazione:
[create-log-group](https://docs.aws.amazon.com/cli/latest/reference/logs/create-log-group.html)
Crea un gruppo di log. Puoi opzionalmente aggiungere tag quando al momento della creazione del gruppo di log.
[tag-resource](https://docs.aws.amazon.com/cli/latest/reference/logs/tag-resource.html)
Assegna uno o più tag (coppie chiave-valore) alla risorsa Logs specificata. CloudWatch
[list-tags-for-resource](https://docs.aws.amazon.com/cli/latest/reference/logs/list-tags-for-resource.html)
Visualizza i tag associati a una risorsa Logs. CloudWatch
[untag-resource](https://docs.aws.amazon.com/cli/latest/reference/logs/untag-log-group.html)
Rimuove uno o più tag dalla risorsa CloudWatch Logs specificata.
### Etichettatura dei gruppi di log utilizzando l' CloudWatch API Logs
È possibile aggiungere, elencare e rimuovere tag utilizzando l'API CloudWatch Logs. Per alcuni esempi, consultare la seguente documentazione:
[CreateLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateLogGroup.html)
Crea un gruppo di log. Puoi opzionalmente aggiungere tag quando al momento della creazione del gruppo di log.
[TagResource](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_TagResource.html)
Assegna uno o più tag (coppie chiave-valore) alla risorsa Logs specificata. CloudWatch
[ListTagsForResource](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_ListTagsForResource.html)
Visualizza i tag associati a una risorsa Logs. CloudWatch
[UntagResource](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_UntagLogGroup.html)
Rimuove uno o più tag dalla risorsa CloudWatch Logs specificata.
# Crittografa i dati di registro in CloudWatch Logs utilizzando AWS Key Management Service
I dati dei gruppi di log sono sempre crittografati in CloudWatch Logs. Per impostazione predefinita, CloudWatch Logs utilizza la crittografia lato server con la Galois/Counter modalità AES-GCM (Advanced Encryption Standard Mode) a 256 bit per crittografare i dati di registro inattivi. In alternativa, è possibile utilizzare AWS Key Management Service per questa crittografia. In tal caso, la crittografia viene eseguita utilizzando una chiave. AWS KMS L'utilizzo della crittografia AWS KMS è abilitato a livello di gruppo di log, associando una chiave KMS a un gruppo di log, al momento della creazione del gruppo di log o dopo la sua esistenza.
**Importante**
CloudWatch I registri ora supportano il contesto di crittografia, utilizzando `kms:EncryptionContext:aws:logs:arn` come chiave e l'ARN del gruppo di log come valore per quella chiave. Se disponi di gruppi di log già crittografati con una chiave KMS e desideri limitare l'utilizzo della chiave a un singolo account e gruppo di log, è necessario assegnare una nuova chiave KMS che include una condizione nella policy IAM. Per ulteriori informazioni, consulta [AWS KMS chiavi e contesto di crittografia](#encrypt-log-data-kms-policy).
**Importante**
CloudWatch Ora supporta Logs, `kms:ViaService` che consente ai log di effettuare AWS KMS chiamate per conto dell'utente. Dovresti aggiungerlo ai tuoi ruoli che chiamano CloudWatch Logs nella tua Key Policy o in IAM. Per ulteriori informazioni, vedere [kms:. ViaService](https://docs.aws.amazon.com/kms/latest/developerguide/conditions-kms.html#conditions-kms-via-service)
Dopo aver associato una chiave KMS a un gruppo di log, tutti i nuovi dati importati per il gruppo di log saranno crittografati tramite questa chiave. Questi dati vengono archiviati in formato crittografato per tutto il periodo di conservazione. CloudWatch I registri decrittografano questi dati ogni volta che vengono richiesti. CloudWatch I log devono disporre delle autorizzazioni per la chiave KMS ogni volta che vengono richiesti dati crittografati.
Se successivamente si dissocia una chiave KMS da un gruppo di log, CloudWatch Logs crittografa i dati appena acquisiti utilizzando il metodo di crittografia predefinito Logs. CloudWatch Tutti i dati precedentemente importati che sono stati crittografati con la chiave KMS rimangono crittografati con la chiave KMS. CloudWatch I log possono ancora restituire quei dati dopo che la chiave KMS è stata dissociata, perché CloudWatch i log possono continuare a fare riferimento alla chiave. Tuttavia, se la chiave viene successivamente disabilitata, CloudWatch Logs non è in grado di leggere i log che sono stati crittografati con quella chiave.
**Importante**
CloudWatch Logs supporta solo chiavi KMS simmetriche. Non utilizzare una chiave asimmetrica per crittografare i dati nei gruppi di log. Per ulteriori informazioni, consulta la sezione relativa all'[uso di chiavi simmetriche e asimmetriche](https://docs.aws.amazon.com/kms/latest/developerguide/symmetric-asymmetric.html).
## Limits
+ Per eseguire la procedura seguente, devi avere le seguenti autorizzazioni: `kms:CreateKey`, `kms:GetKeyPolicy` e `kms:PutKeyPolicy`.
+ Dopo aver associato o dissociato una chiave da un gruppo di log, possono essere necessari fino a cinque minuti per rendere effettiva l'operazione.
+ Se CloudWatch revochi l'accesso dei log a una chiave associata o elimini una chiave KMS associata, i dati crittografati in Logs non possono più essere recuperati. CloudWatch
+ Non puoi associare una chiave KMS a un gruppo di log esistente utilizzando la console. CloudWatch
## Passaggio 1: creare una chiave AWS KMS
Per creare una chiave KMS, utilizza il seguente comando [create-key](https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html):
```
aws kms create-key
```
L'output contiene l'ID chiave e l'Amazon Resource Name (ARN) della chiave. Di seguito è riportato un output di esempio:
```
{
"KeyMetadata": {
"Origin": "AWS_KMS",
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"Description": "",
"KeyManager": "CUSTOMER",
"Enabled": true,
"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
"KeyUsage": "ENCRYPT_DECRYPT",
"KeyState": "Enabled",
"CreationDate": 1478910250.94,
"Arn": "arn:aws:kms:us-west-2:123456789012:key/6f815f63-e628-448c-8251-e40cb0d29f59",
"AWSAccountId": "123456789012",
"EncryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
]
}
}
```
## Fase 2: Impostazione delle autorizzazioni sulla chiave KMS
Per impostazione predefinita, tutte AWS KMS le chiavi sono private. Solo il proprietario della risorsa può utilizzarla per crittografare e decrittare i dati. Tuttavia, il proprietario della risorsa può concedere ad altri utenti e risorse le autorizzazioni per accedere alla chiave KMS. Con questo passaggio, concedi al responsabile del servizio CloudWatch Logs e al ruolo chiamante il permesso di utilizzare la chiave. L'entità del servizio deve trovarsi nella stessa AWS regione in cui è archiviata la chiave KMS.
Come procedura ottimale, consigliamo di limitare l'uso della chiave KMS solo agli AWS account o ai gruppi di log specificati.
Innanzitutto, salva la politica predefinita per la tua chiave KMS `policy.json` utilizzando il seguente comando: [get-key-policy](https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html)
```
aws kms get-key-policy --key-id key-id --policy-name default --output text > ./policy.json
```
Aprire il file `policy.json` in un editor di testo e aggiungere la sezione in grassetto da una delle seguenti istruzioni. Separare l'istruzione esistente dalla nuova istruzione con una virgola. Queste istruzioni utilizzano `Condition` le sezioni per migliorare la sicurezza della AWS KMS chiave. Per ulteriori informazioni, consulta [AWS KMS chiavi e contesto di crittografia](#encrypt-log-data-kms-policy).
La sezione `Condition` in questo esempio limita la chiave a un singolo ARN del gruppo di log.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "key-default-1",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Principal": {
"Service": "logs.us-east-1.amazonaws.com"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:Describe*"
],
"Resource": "*",
"Condition": {
"ArnEquals": {
"kms:EncryptionContext:aws:logs:arn": "arn:aws:logs:us-east-1:111122223333:log-group:log-group-name"
}
}
}
]
}
```
------
La sezione `Condition` di questo esempio limita l'utilizzo di chiave AWS KMS all'account specificato, ma può essere utilizzato per qualsiasi gruppo di log.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "key-default-1",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Principal": {
"Service": "logs.us-east-1.amazonaws.com"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:Describe*"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"kms:EncryptionContext:aws:logs:arn": "arn:aws:logs:us-east-1:123456789012:*"
}
}
}
]
}
```
------
Quindi, aggiungi le autorizzazioni al ruolo che chiamerà i CloudWatch log. Puoi farlo aggiungendo una dichiarazione aggiuntiva alla AWS KMS Key Policy o tramite IAM sul ruolo stesso. CloudWatch Registra gli usi `kms:ViaService` per effettuare chiamate per AWS KMS conto del cliente. Per ulteriori informazioni, vedere [kms:. ViaService](https://docs.aws.amazon.com/kms/latest/developerguide/conditions-kms.html#conditions-kms-via-service)
Per aggiungere autorizzazioni nella politica AWS KMS chiave, aggiungi la seguente dichiarazione aggiuntiva alla tua politica chiave. Se utilizzi questo metodo, come best practice, applichi la policy solo ai ruoli che interagiranno con i gruppi di log AWS KMS crittografati.
```
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account_id:role/role_name"
},
"Action": [
"kms:Encrypt",
"kms:ReEncrypt*",
"kms:Decrypt",
"kms:GenerateDataKey*",
"kms:Describe*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"logs.region.amazonaws.com"
]
}
}
}
```
In alternativa, se desideri gestire le autorizzazioni dei ruoli in IAM, puoi aggiungere autorizzazioni equivalenti tramite la seguente politica. Questo può essere aggiunto a una politica di ruolo esistente o allegato a un ruolo come politica separata aggiuntiva. Se si utilizza questo metodo, come best practice è consigliabile applicare la policy solo alle AWS KMS chiavi che verranno utilizzate per la crittografia dei log. Per ulteriori informazioni, consulta [Modificare le politiche IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:ReEncrypt*",
"kms:Decrypt",
"kms:GenerateDataKey*",
"kms:Describe*"
],
"Condition": {
"StringEquals": {
"kms:ViaService": [
"logs.us-east-1.amazonaws.com"
]
}
},
"Resource": "arn:aws:kms:us-east-1:444455556666:key/key_id"
}
]
}
```
------
Infine, aggiungi la politica aggiornata utilizzando il seguente [put-key-policy](https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html)comando:
```
aws kms put-key-policy --key-id key-id --policy-name default --policy file://policy.json
```
## Fase 3: Associazione di una chiave KMS con un gruppo di log
Puoi associare una chiave KMS a un gruppo di log al momento della sua creazione o successivamente.
Per scoprire se a un gruppo di log è già associata una chiave KMS, usa il seguente [describe-log-groups](https://docs.aws.amazon.com/cli/latest/reference/logs/describe-log-groups.html)comando:
```
aws logs describe-log-groups --log-group-name-prefix "log-group-name-prefix"
```
Se l'output include un campo `kmsKeyId`, il gruppo di log è associato alla chiave visualizzata per il valore di tale campo.
**Associazione di una chiave KMS a un gruppo di log al momento della creazione**
Utilizza il comando [create-log-group](https://docs.aws.amazon.com/cli/latest/reference/logs/create-log-group.html) come segue:
```
aws logs create-log-group --log-group-name my-log-group --kms-key-id "key-arn"
```
**Associazione di una chiave KMS a un gruppo di log esistente**
Utilizza il comando [associate-kms-key](https://docs.aws.amazon.com/cli/latest/reference/logs/associate-kms-key.html) come segue:
```
aws logs associate-kms-key --log-group-name my-log-group --kms-key-id "key-arn"
```
## Fase 4: Dissociazione di una chiave da un gruppo di log
Per dissociare la chiave KMS associata a un gruppo di log, usa il seguente comando: [disassociate-kms-key](https://docs.aws.amazon.com/cli/latest/reference/logs/disassociate-kms-key.html)
```
aws logs disassociate-kms-key --log-group-name my-log-group
```
## AWS KMS chiavi e contesto di crittografia
Per migliorare la sicurezza delle AWS Key Management Service chiavi e dei gruppi di log crittografati, CloudWatch Logs ora inserisce il gruppo di log ARNs come parte del *contesto di crittografia* utilizzato per crittografare i dati di registro. Il contesto di crittografia è un insieme di coppie chiave-valore che vengono utilizzate come dati autenticati aggiuntivi. Il contesto di crittografia consente di utilizzare le condizioni delle policy IAM per limitare l'accesso alla AWS KMS chiave per AWS account e gruppo di log. Per ulteriori informazioni, consulta [Contesto di crittografia](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) ed [Elementi delle policy IAM JSON: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html).
Si consiglia di utilizzare chiavi KMS diverse per ciascuno dei gruppi di log crittografati.
Se disponi di un gruppo di log crittografato in precedenza e desideri modificare il gruppo di log in modo da utilizzare una nuova chiave KMS dal cliente che funziona solo per tale gruppo di log, completa la seguente procedura.
**Conversione di un gruppo di log crittografato in modo da utilizzare una chiave KMS con una policy che lo limita a tale gruppo di log**
1. Immettere il seguente comando per trovare l'ARN del chiave corrente del gruppo di log:
```
aws logs describe-log-groups
```
L'output include la seguente riga. Prendere nota dell'ARN. È necessario utilizzarlo nel passaggio 7.
```
...
"kmsKeyId": "arn:aws:kms:us-west-2:123456789012:key/01234567-89ab-cdef-0123-456789abcdef"
...
```
1. Immettere il seguente comando per creare una nuova KMS:
```
aws kms create-key
```
1. Immettere il comando seguente per salvare la policy della nuova chiave in un file `policy.json`:
```
aws kms get-key-policy --key-id new-key-id --policy-name default --output text > ./policy.json
```
1. Utilizzare un editor di testo per aprire `policy.json` e aggiungere un'espressione `Condition` alla policy:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "key-default-1",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Principal": {
"Service": "logs.us-east-1.amazonaws.com"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:Describe*"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"kms:EncryptionContext:aws:logs:arn": "arn:aws:logs:us-east-1:111122223333:log-group:LOG-GROUP-NAME"
}
}
}
]
}
```
------
1. Immettere il seguente comando per aggiungere la policy aggiornata alla nuova chiave KMS:
```
aws kms put-key-policy --key-id new-key-ARN --policy-name default --policy file://policy.json
```
1. Immettere il comando seguente per associare la policy al gruppo di log:
```
aws logs associate-kms-key --log-group-name my-log-group --kms-key-id new-key-ARN
```
CloudWatch I log ora crittografano tutti i nuovi dati utilizzando la nuova chiave.
1. Quindi, revocare tutte le autorizzazioni tranne `Decrypt` dalla vecchia chiave. Innanzitutto, immettere il seguente comando per recuperare la vecchia policy:
```
aws kms get-key-policy --key-id old-key-ARN --policy-name default --output text > ./policy.json
```
1. Utilizzare un editor di testo per aprire `policy.json` e rimuovere tutti i valori dall'elenco `Action`, ad eccezione di `kms:Decrypt`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "key-default-1",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Principal": {
"Service": "logs.region.amazonaws.com"
},
"Action": [
"kms:Decrypt"
],
"Resource": "*"
}
]
}
```
------
1. Immettere il seguente comando per aggiungere la policy aggiornata alla vecchia chiave:
```
aws kms put-key-policy --key-id old-key-ARN --policy-name default --policy file://policy.json
```
# Incremento della protezione dei dati di log sensibili con il mascheramento
*Puoi contribuire a proteggere i dati sensibili che vengono acquisiti da CloudWatch Logs utilizzando le politiche di protezione dei dati dei gruppi di log.* Queste policy consentono di verificare e mascherare i dati sensibili che appaiono nei log eventi importati dai gruppi di log dell'account.
Quando crei una politica di protezione dei dati, per impostazione predefinita, i dati sensibili che corrispondono agli identificatori di dati che hai selezionato vengono mascherati in tutti i punti di uscita, inclusi CloudWatch Logs Insights, filtri metrici e filtri di abbonamento. Solo gli utenti che dispongono dell'autorizzazione IAM `logs:Unmask` possono visualizzare i dati non mascherati.
Puoi creare una policy di protezione dei dati per tutti i gruppi di log del tuo account e puoi anche crearne una per i singoli gruppi di log. Quando crei una policy per l'intero account, questa si applica sia ai gruppi di log esistenti che a quelli creati successivamente.
Se crei una policy di protezione dei dati per l'intero account e una per un singolo gruppo di log, entrambe le policy si applicano a tale gruppo di log. Tutti gli identificatori di dati gestiti specificati in entrambe le policy vengono verificati e mascherati in tale gruppo di log.
**Nota**
Il mascheramento dei dati sensibili è supportato per i gruppi di log nelle classi di registro Standard e Infrequent Access. Per ulteriori informazioni sulle classi di log, vedere. [Classi di registro](CloudWatch_Logs_Log_Classes.md)
Ogni gruppo di log può avere solo una policy di protezione dei dati a livello di gruppo di log, ma tale policy può specificare molti identificatori di dati gestiti da verificare e mascherare. Il limite per una policy di protezione dei dati è di 30.720 caratteri.
**Importante**
I dati sensibili vengono rilevati e mascherati quando vengono importati nel gruppo di log. Quando si imposta una policy di protezione dei dati, i log eventi importati nel gruppo di log prima di quel momento non vengono mascherati.
CloudWatch Logs supporta molti *identificatori di dati gestiti*, che offrono tipi di dati preconfigurati che è possibile selezionare per proteggere i dati finanziari, le informazioni sanitarie personali (PHI) e le informazioni di identificazione personale (PII). CloudWatch La protezione dei dati di Logs consente di sfruttare modelli di pattern matching e machine learning per rilevare dati sensibili. Per alcuni tipi di identificatori di dati gestiti, il rilevamento dipende anche dalla ricerca di determinate parole chiave in prossimità dei dati sensibili. Puoi anche utilizzare identificatori di dati personalizzati per creare identificatori di dati personalizzati in base al tuo caso d'uso specifico.
Viene emessa una metrica relativa al CloudWatch momento in cui vengono rilevati dati sensibili che corrispondono agli identificatori di dati selezionati. Questa è la **LogEventsWithFindings**metrica e viene emessa nello spazio dei nomi **AWS/Logs**. Puoi utilizzare questa metrica per creare CloudWatch allarmi e visualizzarla in grafici e dashboard. Le metriche emesse dalla protezione dei dati sono metriche distribuite gratuite. Per ulteriori informazioni sulle metriche a cui invia Logs, consulta CloudWatch . CloudWatch [Monitoraggio con CloudWatch metriche](CloudWatch-Logs-Monitoring-CloudWatch-Metrics.md)
Ogni identificatore di dati gestito è progettato per rilevare un tipo specifico di dati sensibili, come numeri di carte di credito, chiavi di accesso AWS segrete o numeri di passaporto per un determinato paese o area geografica. Quando crei una policy di protezione dei dati, puoi configurarla in modo che utilizzi questi identificatori per analizzare i log importati dal gruppo di log ed esegua operazioni specifiche quando tali dati vengono rilevati.
CloudWatch La protezione dei dati dei registri è in grado di rilevare le seguenti categorie di dati sensibili utilizzando identificatori di dati gestiti:
+ Credenziali, come chiavi private o AWS chiavi di accesso segrete
+ Informazioni finanziarie, ad esempio i numeri di carte di credito
+ Informazioni personali di identificazione (PII), ad esempio patenti di guida o codici fiscali
+ Dati sanitari protetti (PHI), ad esempio numeri di identificazione medica e assistenza sanitaria
+ Identificatori di dispositivo, ad esempio indirizzi IP o indirizzi MAC
Per informazioni dettagliate sui tipi di dati che puoi proteggere, consulta la sezione [Tipi di dati che è possibile proteggere](protect-sensitive-log-data-types.md).
**Contents**
+ [Informazioni sulle policy di protezione dei dati](cloudwatch-logs-data-protection-policies.md)
+ [Cosa sono le policy di protezione dei dati?](cloudwatch-logs-data-protection-policies.md#what-are-data-protection-policies)
+ [Come è strutturata una policy di protezione dei dati?](cloudwatch-logs-data-protection-policies.md#overview-of-data-protection-policies)
+ [Proprietà JSON per la policy di protezione dei dati](cloudwatch-logs-data-protection-policies.md#data-protection-policy-json-properties)
+ [Proprietà JSON per una dichiarazione di policy](cloudwatch-logs-data-protection-policies.md#policy-statement-json-properties)
+ [Proprietà JSON per un'operazione della dichiarazione di policy](cloudwatch-logs-data-protection-policies.md#statement-operation-json-properties)
+ [Autorizzazioni IAM necessarie per la creazione o l'uso di una policy di protezione dei dati](data-protection-policy-permissions.md)
+ [Autorizzazioni necessarie per le policy di protezione dei dati a livello di account](data-protection-policy-permissions.md#data-protection-policy-permissions-accountlevel)
+ [Autorizzazioni necessarie per le policy di protezione dei dati per un singolo gruppo di log](data-protection-policy-permissions.md#data-protection-policy-permissions-loggroup)
+ [Policy di protezione dei dati di esempio](data-protection-policy-permissions.md#data-protection-policy-sample)
+ [Creazione di una policy di protezione dei dati a livello di account](mask-sensitive-log-data-accountlevel.md)
+ [Console](mask-sensitive-log-data-accountlevel.md#mask-sensitive-log-data-accountlevel-console)
+ [AWS CLI](mask-sensitive-log-data-accountlevel.md#mask-sensitive-log-data-accountlevel-cli)
+ [Sintassi della politica di protezione dei dati per le AWS CLI nostre operazioni API](mask-sensitive-log-data-accountlevel.md#mask-sensitive-log-data-policysyntax-account)
+ [Creazione di una policy di protezione dei dati per un singolo gruppo di log](mask-sensitive-log-data-start.md)
+ [Console](mask-sensitive-log-data-start.md#mask-sensitive-log-data-start-console)
+ [AWS CLI](mask-sensitive-log-data-start.md#mask-sensitive-log-data-start-cli)
+ [Sintassi della politica di protezione dei dati per le AWS CLI nostre operazioni API](mask-sensitive-log-data-start.md#mask-sensitive-log-data-policysyntax)
+ [Visualizzazione di dati senza mascheramento](mask-sensitive-log-data-viewunmasked.md)
+ [Report sui risultati della verifica](mask-sensitive-log-data-audit-findings.md)
+ [Politica chiave richiesta per inviare i risultati dell'audit a un bucket protetto da AWS KMS](mask-sensitive-log-data-audit-findings.md#mask-sensitive-log-data-audit-findings-kms)
+ [Tipi di dati che è possibile proteggere](protect-sensitive-log-data-types.md)
+ [CloudWatch Registra gli identificatori di dati gestiti per tipi di dati sensibili](CWL-managed-data-identifiers.md)
+ [Credenziali](protect-sensitive-log-data-types-credentials.md)
+ [Identificatore di dati ARNs per i tipi di dati relativi alle credenziali](protect-sensitive-log-data-types-credentials.md#cwl-data-protection-credentials-arns)
+ [Identificatori di dispositivo](protect-sensitive-log-data-types-device.md)
+ [Identificatore di dati ARNs per i tipi di dati del dispositivo](protect-sensitive-log-data-types-device.md#cwl-data-protection-devices-arns)
+ [Informazioni finanziarie](protect-sensitive-log-data-types-financial.md)
+ [Identificatore ARNs di dati per tipi di dati finanziari](protect-sensitive-log-data-types-financial.md#cwl-data-protection-financial-arns)
+ [Dati sanitari protetti (PHI)](protect-sensitive-log-data-types-health.md)
+ [Identificatore di dati ARNs per i tipi di dati relativi alle informazioni sanitarie protette (PHI)](protect-sensitive-log-data-types-health.md#cwl-data-protection-phi-arns)
+ [Informazioni personali di identificazione (PII)](protect-sensitive-log-data-types-pii.md)
+ [Parole chiave per i numeri identificativi delle patenti di guida](protect-sensitive-log-data-types-pii.md#CWL-managed-data-identifiers-pii-dl-keywords)
+ [Parole chiave per i numeri di carta d'identità](protect-sensitive-log-data-types-pii.md#CWL-managed-data-identifiers-pii-natlid-keywords)
+ [Parole chiave per i numeri di passaporto](protect-sensitive-log-data-types-pii.md#CWL-managed-data-identifiers-pii-passport-keywords)
+ [Parole chiave per i numeri di identificazione dei contribuenti e i numeri di riferimento](protect-sensitive-log-data-types-pii.md#CWL-managed-data-identifiers-financial-tin-keywords)
+ [Identificatore di dati ARNs per informazioni di identificazione personale (PII)](protect-sensitive-log-data-types-pii.md#CWL-data-protection-pii-arns)
+ [Identificatori di dati personalizzati](CWL-custom-data-identifiers.md)
+ [Cosa sono gli identificatori di dati personalizzati?](CWL-custom-data-identifiers.md#what-are-custom-data-identifiers)
+ [Vincoli degli identificatori di dati personalizzati](CWL-custom-data-identifiers.md#custom-data-identifiers-constraints)
+ [Utilizzo di identificatori di dati personalizzati nella console](CWL-custom-data-identifiers.md#using-custom-data-identifiers-console)
+ [Utilizzo degli identificatori di dati personalizzati nella policy di protezione dei dati](CWL-custom-data-identifiers.md#using-custom-data-identifiers)
# Informazioni sulle policy di protezione dei dati
**Topics**
+ [Cosa sono le policy di protezione dei dati?](#what-are-data-protection-policies)
+ [Come è strutturata una policy di protezione dei dati?](#overview-of-data-protection-policies)
## Cosa sono le policy di protezione dei dati?
CloudWatch Logs utilizza **le politiche di protezione** dei dati per selezionare i dati sensibili da scansionare e le azioni da intraprendere per proteggere tali dati. Per selezionare i dati sensibili di interesse, si utilizzano [identificatori di dati](CWL-managed-data-identifiers.md). CloudWatch Registra la protezione dei dati, quindi rileva i dati sensibili utilizzando l'apprendimento automatico e il pattern matching. Per agire sugli identificatori di dati trovati, è possibile definire operazioni di **audit** (verifica) e **de-identify** (deidentifica). Queste operazioni consentono di registrare i dati sensibili trovati (o non trovati) e di mascherare i dati sensibili quando vengono visualizzati i log eventi.
## Come è strutturata una policy di protezione dei dati?
Come illustrato nella figura riportata di seguito, un documento relativo alla policy di protezione dei dati include questi elementi:
+ Informazioni opzionali sulla policy nella parte superiore del documento
+ Una dichiarazione che definisce le azioni di audit e di deidentifica
È possibile definire una sola politica di protezione dei dati per gruppo di CloudWatch log Logs. La policy di protezione dei dati può includere una o più dichiarazioni di rifiuto o deidentificazione, ma solo una dichiarazione di verifica.
### Proprietà JSON per la policy di protezione dei dati
Una policy di protezione dei dati richiede le seguenti informazioni di base ai fini dell'identificazione:
+ **Name** (Nome): nome della policy.
+ **Description** (Descrizione): (facoltativo) la descrizione della policy.
+ **Version** (Versione): la versione del linguaggio della policy. La versione corrente è 2021-06-01.
+ **Statement** (Dichiarazione): l'elenco di dichiarazioni che specificano le operazioni della policy di protezione dei dati.
```
{
"Name": "CloudWatchLogs-PersonalInformation-Protection",
"Description": "Protect basic types of sensitive data",
"Version": "2021-06-01",
"Statement": [
...
]
}
```
### Proprietà JSON per una dichiarazione di policy
Una dichiarazione di policy definisce il contesto di rilevamento per l'operazione di protezione dei dati.
+ **Sid**: (facoltativo) l'identificatore della dichiarazione.
+ **DataIdentifier**— I dati sensibili per i quali CloudWatch Logs deve eseguire la scansione. Ad esempio, nome, indirizzo o numero di telefono.
+ **Funzionamento****: le azioni successive, **Audit** o De-identify.** CloudWatch Logs esegue queste azioni quando rileva dati sensibili.
```
{
...
"Statement": [
{
"Sid": "audit-policy",
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/Address"
],
"Operation": {
"Audit": {
"FindingsDestination": {}
}
}
},
```
### Proprietà JSON per un'operazione della dichiarazione di policy
Una dichiarazione di policy definisce una delle seguenti operazioni di protezione dei dati.
+ **Verifica**: emette metriche e report sui risultati senza interrompere la registrazione. **Le stringhe che corrispondono incrementano la **LogEventsWithFindings**metrica che CloudWatch Logs pubblica nello spazio dei nomi AWS/Logs in.** CloudWatch Puoi utilizzare queste metriche per creare allarmi.
Per un esempio di un report sui risultati della verifica, consulta [Report sui risultati della verifica](mask-sensitive-log-data-audit-findings.md).
Per ulteriori informazioni sulle metriche a cui invia Logs, consulta. CloudWatch CloudWatch [Monitoraggio con CloudWatch metriche](CloudWatch-Logs-Monitoring-CloudWatch-Metrics.md)
+ **Deidentifica**: maschera i dati sensibili senza interrompere la registrazione.
# Autorizzazioni IAM necessarie per la creazione o l'uso di una policy di protezione dei dati
Per poter utilizzare le policy di protezione dei dati per i gruppi di log, è necessario disporre di determinate autorizzazioni, come mostrato nelle tabelle seguenti. Le autorizzazioni sono diverse per le policy di protezione dei dati a livello di account e per quelle che si applicano a un singolo gruppo di log.
## Autorizzazioni necessarie per le policy di protezione dei dati a livello di account
**Nota**
Se si esegue una di queste operazioni all'interno di una funzione Lambda, il ruolo di esecuzione Lambda e il limite delle autorizzazioni devono includere anche le seguenti autorizzazioni.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/AmazonCloudWatch/latest/logs/data-protection-policy-permissions.html)
Se i log di controllo della protezione dei dati sono già stati inviati a una destinazione, le altre policy che inviano i log alla stessa destinazione richiedono solo le autorizzazioni `logs:PutDataProtectionPolicy` e `logs:CreateLogDelivery`.
## Autorizzazioni necessarie per le policy di protezione dei dati per un singolo gruppo di log
**Nota**
Se si esegue una di queste operazioni all'interno di una funzione Lambda, il ruolo di esecuzione Lambda e il limite delle autorizzazioni devono includere anche le seguenti autorizzazioni.
| Operation | Autorizzazione IAM necessaria | Risorsa |
| --- | --- | --- |
| Crea una policy di protezione dei dati senza destinazioni di verifica | `logs:PutDataProtectionPolicy` | `arn:aws:logs:::log-group:YOUR_LOG_GROUP:*` |
| Crea una politica di protezione dei dati con CloudWatch Logs come destinazione di controllo | `logs:PutDataProtectionPolicy` `logs:CreateLogDelivery` `logs:PutResourcePolicy` `logs:DescribeResourcePolicies` `logs:DescribeLogGroups` | `arn:aws:logs:::log-group:YOUR_LOG_GROUP:*` `*` `*` `*` `*` |
| Crea una politica di protezione dei dati con Firehose come destinazione di controllo | `logs:PutDataProtectionPolicy` `logs:CreateLogDelivery` `firehose:TagDeliveryStream` | `arn:aws:logs:::log-group:YOUR_LOG_GROUP:*` `*` `arn:aws:logs:::deliverystream/YOUR_DELIVERY_STREAM` |
| Creazione di una policy di protezione dei dati con Amazon S3 come destinazione di controllo | `logs:PutDataProtectionPolicy` `logs:CreateLogDelivery` `s3:GetBucketPolicy` `s3:PutBucketPolicy` | `arn:aws:logs:::log-group:YOUR_LOG_GROUP:*` `*` `arn:aws:s3:::YOUR_BUCKET` `arn:aws:s3:::YOUR_BUCKET` |
| Smascheramento di eventi di log mascherati | `logs:Unmask` | `arn:aws:logs:::log-group:YOUR_LOG_GROUP:*` |
| Visualizzazione di una policy di protezione dei dati esistente | `logs:GetDataProtectionPolicy` | `arn:aws:logs:::log-group:YOUR_LOG_GROUP:*` |
| Elimina una policy di protezione dei dati | `logs:DeleteDataProtectionPolicy` | `arn:aws:logs:::log-group:YOUR_LOG_GROUP:*` |
Se i log di controllo della protezione dei dati sono già stati inviati a una destinazione, le altre policy che inviano i log alla stessa destinazione richiedono solo le autorizzazioni `logs:PutDataProtectionPolicy` e `logs:CreateLogDelivery`.
## Policy di protezione dei dati di esempio
La seguente policy di esempio consente a un utente di creare, visualizzare ed eliminare policy di protezione dei dati in grado di inviare i risultati del controllo a tutti e tre i tipi di destinazioni di controllo. Non consente all'utente di visualizzare dati non mascherati.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowLogDeliveryConfiguration",
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:PutResourcePolicy",
"logs:DescribeLogGroups",
"logs:DescribeResourcePolicies"
],
"Resource": "*"
},
{
"Sid": "AllowDataProtectionAndBucketConfiguration",
"Effect": "Allow",
"Action": [
"logs:GetDataProtectionPolicy",
"logs:DeleteDataProtectionPolicy",
"logs:PutDataProtectionPolicy",
"s3:PutBucketPolicy",
"firehose:TagDeliveryStream",
"s3:GetBucketPolicy"
],
"Resource": [
"arn:aws:firehose:us-east-1:111122223333:deliverystream/delivery-stream-name",
"arn:aws:s3:::amzn-s3-demo-destination-bucket",
"arn:aws:logs:us-east-1:111122223333:log-group:log-group-name:*"
]
}
]
}
```
------
# Creazione di una policy di protezione dei dati a livello di account
Puoi utilizzare la console o i AWS CLI comandi CloudWatch Logs per creare una politica di protezione dei dati per mascherare i dati sensibili per tutti i gruppi di log del tuo account. Questa operazione ha effetto sia sui gruppi di log correnti che su quelli creati successivamente.
**Importante**
I dati sensibili vengono rilevati e mascherati quando vengono importati nel gruppo di log. Quando si imposta una policy di protezione dei dati, i log eventi importati nel gruppo di log prima di quel momento non vengono mascherati.
**Topics**
+ [Console](#mask-sensitive-log-data-accountlevel-console)
+ [AWS CLI](#mask-sensitive-log-data-accountlevel-cli)
## Console
**Utilizzo della console per creare una policy di protezione dei dati a livello di account**
1. Apri la CloudWatch console all'indirizzo [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Nel pannello di navigazione scegli **Impostazioni**. Si trova quasi in fondo all'elenco.
1. Scegliere la scheda **Log**.
1. Scegli **Configura**.
1. Per gli **identificatori di dati gestiti**, seleziona i tipi di dati che desideri controllare e mascherare per tutti i tuoi gruppi di log. Per individuare gli identificatori che ti interessano, digita il testo nella casella di selezione.
Ti consigliamo di selezionare solo gli identificatori di dati pertinenti per i tuoi dati di log e la tua attività. La scelta di numerosi tipi di dati può portare a falsi positivi.
Per informazioni dettagliate sui tipi di dati che puoi proteggere, consulta la sezione [Tipi di dati che è possibile proteggere](protect-sensitive-log-data-types.md).
1. (Facoltativo) Se desideri controllare e mascherare altri tipi di dati utilizzando identificatori di dati personalizzati, scegli **Aggiungi identificatore di dati personalizzato**. Quindi inserisci un nome per il tipo di dati e l'espressione regolare da utilizzare per cercare quel tipo di dati nel registro degli eventi. Per ulteriori informazioni, consulta [Identificatori di dati personalizzati](CWL-custom-data-identifiers.md).
Una singola politica di protezione dei dati può includere fino a 10 identificatori di dati personalizzati. Ogni espressione regolare che definisce un identificatore di dati personalizzato deve contenere al massimo 200 caratteri.
1. (Facoltativo) Scegli uno o più servizi a cui inviare i risultati della verifica. Anche se scegli di non inviare i risultati della verifica ad alcun servizio, i tipi di dati sensibili selezionati verranno comunque mascherati.
1. Scegli **Activate data protection** (Attiva la protezione dei dati).
## AWS CLI
**Da utilizzare per AWS CLI creare una politica di protezione dei dati**
1. Utilizza un editor di testo per creare un file di policy denominato `DataProtectionPolicy.json`. Per informazioni sulla sintassi delle policy, consulta la sezione seguente.
1. Immetti il comando seguente:
```
aws logs put-account-policy \
--policy-name TEST_POLICY --policy-type "DATA_PROTECTION_POLICY" \
--policy-document file://policy.json \
--scope "ALL" \
--region us-west-2
```
### Sintassi della politica di protezione dei dati per le AWS CLI nostre operazioni API
Quando crei una policy di protezione dei dati JSON da utilizzare in un AWS CLI comando o in un'operazione API, la policy deve includere due blocchi JSON:
+ Il primo blocco deve includere sia una matrice `DataIdentifer` sia una proprietà `Operation` con un'operazione `Audit`. La matrice `DataIdentifer` elenca i tipi di dati sensibili che desideri mascherare. Per ulteriori informazioni sulle opzioni disponibili, consulta [Tipi di dati che è possibile proteggere](protect-sensitive-log-data-types.md).
La proprietà `Operation` con l'operazione `Audit` è necessaria per individuare i termini relativi ai dati sensibili. L'operazione `Audit` deve contenere un oggetto `FindingsDestination`. È possibile utilizzare tale oggetto `FindingsDestination` per elencare una o più destinazioni a cui inviare il report sui risultati della verifica. Se specifichi destinazioni come gruppi di log, flussi Amazon Data Firehose e bucket S3, devono già esistere. Per un esempio di report sui risultati della verifica, consulta [Report sui risultati della verifica](mask-sensitive-log-data-audit-findings.md).
+ Il secondo blocco deve includere sia una matrice `DataIdentifer` sia una proprietà `Operation` con un'operazione `Deidentify`. La matrice `DataIdentifer` deve corrispondere esattamente alla matrice `DataIdentifer` nel primo blocco della policy.
La proprietà `Operation` con l'operazione `Deidentify` è ciò che maschera effettivamente i dati e deve contenere l'oggetto ` "MaskConfig": {}`. L'oggetto ` "MaskConfig": {}` deve essere vuoto.
Di seguito è riportato un esempio di politica di protezione dei dati che utilizza solo identificatori di dati gestiti. Questa politica maschera gli indirizzi e-mail e le patenti di guida degli Stati Uniti d'America.
Per informazioni sulle politiche che specificano identificatori di dati personalizzati, consulta. [Utilizzo degli identificatori di dati personalizzati nella policy di protezione dei dati](CWL-custom-data-identifiers.md#using-custom-data-identifiers)
```
{
"Name": "data-protection-policy",
"Description": "test description",
"Version": "2021-06-01",
"Statement": [{
"Sid": "audit-policy",
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/EmailAddress",
"arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
],
"Operation": {
"Audit": {
"FindingsDestination": {
"CloudWatchLogs": {
"LogGroup": "EXISTING_LOG_GROUP_IN_YOUR_ACCOUNT,"
},
"Firehose": {
"DeliveryStream": "EXISTING_STREAM_IN_YOUR_ACCOUNT"
},
"S3": {
"Bucket": "EXISTING_BUCKET"
}
}
}
}
},
{
"Sid": "redact-policy",
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/EmailAddress",
"arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
],
"Operation": {
"Deidentify": {
"MaskConfig": {}
}
}
}
]
}
```
# Creazione di una policy di protezione dei dati per un singolo gruppo di log
È possibile utilizzare la console o i AWS CLI comandi CloudWatch Logs per creare una policy di protezione dei dati per mascherare i dati sensibili.
È possibile assegnare una policy di protezione dei dati a ciascun gruppo di log. Ogni policy di protezione dei dati può verificare diversi tipi di informazioni. Ogni policy di protezione dei dati può includere un'istruzione di verifica.
**Topics**
+ [Console](#mask-sensitive-log-data-start-console)
+ [AWS CLI](#mask-sensitive-log-data-start-cli)
## Console
**Utilizzo della console per creare una policy di protezione dei dati**
1. Apri la CloudWatch console all'indirizzo [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Nel pannello di navigazione a sinistra, scegli **Log**, **Gruppi di log**.
1. Scegli il nome del gruppo di log.
1. Scegli **Actions** (Operazioni), quindi scegli **Create data protection policy** (Crea policy di protezione dei dati).
1. Per gli **identificatori di dati gestiti**, seleziona i tipi di dati che desideri controllare e mascherare in questo gruppo di log. Per individuare gli identificatori che ti interessano, digita il testo nella casella di selezione.
Ti consigliamo di selezionare solo gli identificatori di dati pertinenti per i tuoi dati di log e la tua attività. La scelta di numerosi tipi di dati può portare a falsi positivi.
Per informazioni dettagliate sui tipi di dati che è possibile proteggere utilizzando identificatori di dati gestiti, consulta. [Tipi di dati che è possibile proteggere](protect-sensitive-log-data-types.md)
1. (Facoltativo) Se desideri controllare e mascherare altri tipi di dati utilizzando identificatori di dati personalizzati, scegli **Aggiungi identificatore di dati personalizzato**. Quindi inserisci un nome per il tipo di dati e l'espressione regolare da utilizzare per cercare quel tipo di dati nel registro degli eventi. Per ulteriori informazioni, consulta [Identificatori di dati personalizzati](CWL-custom-data-identifiers.md).
Una singola politica di protezione dei dati può includere fino a 10 identificatori di dati personalizzati. Ogni espressione regolare che definisce un identificatore di dati personalizzato deve contenere al massimo 200 caratteri.
1. (Facoltativo) Scegli uno o più servizi a cui inviare i risultati della verifica. Anche se scegli di non inviare i risultati della verifica ad alcun servizio, i tipi di dati sensibili selezionati verranno comunque mascherati.
1. Scegli **Activate data protection** (Attiva la protezione dei dati).
## AWS CLI
**Da utilizzare per AWS CLI creare una politica di protezione dei dati**
1. Utilizza un editor di testo per creare un file di policy denominato `DataProtectionPolicy.json`. Per informazioni sulla sintassi delle policy, consulta la sezione seguente.
1. Immetti il comando seguente:
```
aws logs put-data-protection-policy --log-group-identifier "my-log-group" --policy-document file:///Path/DataProtectionPolicy.json --region us-west-2
```
### Sintassi della politica di protezione dei dati per le AWS CLI nostre operazioni API
Quando crei una policy di protezione dei dati JSON da utilizzare in un AWS CLI comando o in un'operazione API, la policy deve includere due blocchi JSON:
+ Il primo blocco deve includere sia una matrice `DataIdentifer` sia una proprietà `Operation` con un'operazione `Audit`. La matrice `DataIdentifer` elenca i tipi di dati sensibili che desideri mascherare. Per ulteriori informazioni sulle opzioni disponibili, consulta [Tipi di dati che è possibile proteggere](protect-sensitive-log-data-types.md).
La proprietà `Operation` con l'operazione `Audit` è necessaria per individuare i termini relativi ai dati sensibili. L'operazione `Audit` deve contenere un oggetto `FindingsDestination`. È possibile utilizzare tale oggetto `FindingsDestination` per elencare una o più destinazioni a cui inviare il report sui risultati della verifica. Se specifichi destinazioni come gruppi di log, flussi Amazon Data Firehose e bucket S3, devono già esistere. Per un esempio di report sui risultati della verifica, consulta [Report sui risultati della verifica](mask-sensitive-log-data-audit-findings.md).
+ Il secondo blocco deve includere sia una matrice `DataIdentifer` sia una proprietà `Operation` con un'operazione `Deidentify`. La matrice `DataIdentifer` deve corrispondere esattamente alla matrice `DataIdentifer` nel primo blocco della policy.
La proprietà `Operation` con l'operazione `Deidentify` è ciò che maschera effettivamente i dati e deve contenere l'oggetto ` "MaskConfig": {}`. L'oggetto ` "MaskConfig": {}` deve essere vuoto.
Quello che segue è un esempio di policy di protezione dei dati che maschera gli indirizzi e-mail e le patenti di guida degli Stati Uniti.
```
{
"Name": "data-protection-policy",
"Description": "test description",
"Version": "2021-06-01",
"Statement": [{
"Sid": "audit-policy",
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/EmailAddress",
"arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
],
"Operation": {
"Audit": {
"FindingsDestination": {
"CloudWatchLogs": {
"LogGroup": "EXISTING_LOG_GROUP_IN_YOUR_ACCOUNT,"
},
"Firehose": {
"DeliveryStream": "EXISTING_STREAM_IN_YOUR_ACCOUNT"
},
"S3": {
"Bucket": "EXISTING_BUCKET"
}
}
}
}
},
{
"Sid": "redact-policy",
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/EmailAddress",
"arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
],
"Operation": {
"Deidentify": {
"MaskConfig": {}
}
}
}
]
}
```
# Visualizzazione di dati senza mascheramento
Per visualizzare i dati senza mascheramento, un utente deve disporre dell'autorizzazione `logs:Unmask`. Gli utenti che dispongono di questa autorizzazione possono visualizzare i dati senza mascheramento nei seguenti modi:
+ Quando visualizzi gli eventi in un flusso di log, scegli **Display** (Visualizza), **Unmask** (Rimuovi mascheramento).
+ Utilizza una query CloudWatch Logs Insights che include il comando **unmask (@message)**. La seguente query di esempio mostra i 20 log eventi più recenti nel flusso senza mascheramento:
```
fields @timestamp, @message, unmask(@message)
| sort @timestamp desc
| limit 20
```
Per ulteriori informazioni sui comandi CloudWatch Logs Insights, vedere. [CloudWatch Sintassi delle interrogazioni in linguaggio Logs Insights](CWL_QuerySyntax.md)
+ Utilizzare un'[ FilterLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_FilterLogEvents.html)operazione [ GetLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogEvents.html)or con il `unmask` parametro.
La **CloudWatchLogsFullAccess**politica include l'`logs:Unmask`autorizzazione. Per concedere `logs:Unmask` a un utente che non lo ha **CloudWatchLogsFullAccess**, puoi allegare una policy IAM personalizzata a quell'utente. Per ulteriori informazioni, consulta la sezione [Adding permissions to a user (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) (Aggiunta di autorizzazioni a un utente [console]).
# Report sui risultati della verifica
Se configuri le politiche di controllo della protezione dei dati di CloudWatch Logs per scrivere report di controllo su CloudWatch Logs, Amazon S3 o Firehose, questi report sui risultati sono simili all'esempio seguente. CloudWatch Logs scrive un rapporto sui risultati per ogni evento di registro che contiene dati sensibili.
```
{
"auditTimestamp": "2023-01-23T21:11:20Z",
"resourceArn": "arn:aws:logs:us-west-2:111122223333:log-group:/aws/lambda/MyLogGroup:*",
"dataIdentifiers": [
{
"name": "EmailAddress",
"count": 2,
"detections": [
{
"start": 13,
"end": 26
},
{
"start": 30,
"end": 43
}
]
}
]
}
```
I campi del report sono i seguenti:
+ Il campo `resourceArn` visualizza il gruppo di log in cui sono stati trovati i dati sensibili.
+ L'oggetto `dataIdentifiers` visualizza le informazioni sui risultati di un tipo di dati sensibili in corso di verifica.
+ Il campo `name` identifica il tipo di dati sensibili riportati in questa sezione.
+ Il campo `count` visualizza il numero di volte in cui questo tipo di dati sensibili viene visualizzato nel log eventi.
+ I campi `start` e `end` mostrano dove appare ogni occorrenza dei dati sensibili nel log eventi in base al numero di caratteri.
L'esempio precedente mostra un report sulla ricerca di due indirizzi e-mail in un log eventi. Il primo indirizzo e-mail inizia al 13° carattere del log eventi e termina al 26° carattere. Il secondo indirizzo e-mail va dal 30° al 43° carattere. Anche se questo log eventi ha due indirizzi e-mail, il valore della metrica `LogEventsWithFindings` viene incrementato solo di uno, poiché tale metrica conta il numero di log eventi che contengono dati sensibili, non il numero di occorrenze dei dati sensibili.
## Politica chiave richiesta per inviare i risultati dell'audit a un bucket protetto da AWS KMS
Puoi proteggere i dati in un bucket Amazon S3 abilitando la crittografia lato server con Amazon S3 Managed Keys (SSE-S3) o la crittografia lato server con chiavi KMS (SSE-KMS). Per ulteriori informazioni, consulta [Protezione dei dati con la crittografia lato server nella](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html) Guida per l'utente di Amazon S3.
Se si sceglie di inviare gli esiti dell'audit a un bucket protetto con SSE-S3, non è richiesta alcuna configurazione aggiuntiva. Amazon S3 gestisce la chiave di crittografia.
Se gli esiti dell'audit vengono inviati a un bucket protetto con SSE-KMS è necessario aggiornare la policy della chiave per la chiave KMS in modo che l'account di distribuzione dei log possa scrivere nel bucket S3. Per ulteriori informazioni sulla politica chiave richiesta per l'uso con SSE-KMS, consulta [Crittografia lato server di bucket Amazon S3](AWS-logs-infrastructure-S3.md#AWS-logs-SSE-KMS-S3) la Amazon CloudWatch Logs User Guide.
# Tipi di dati che è possibile proteggere
Questa sezione contiene informazioni sui tipi di dati che è possibile proteggere in una politica di protezione dei dati di CloudWatch Logs. CloudWatch Gli identificatori di dati gestiti da Logs offrono tipi di dati preconfigurati per proteggere i dati finanziari, le informazioni sanitarie personali (PHI) e le informazioni di identificazione personale (PII). Puoi anche utilizzare identificatori di dati personalizzati per creare identificatori di dati personalizzati in base al tuo caso d'uso specifico.
**Contents**
+ [CloudWatch Registra gli identificatori di dati gestiti per tipi di dati sensibili](CWL-managed-data-identifiers.md)
+ [Credenziali](protect-sensitive-log-data-types-credentials.md)
+ [Identificatore di dati ARNs per i tipi di dati relativi alle credenziali](protect-sensitive-log-data-types-credentials.md#cwl-data-protection-credentials-arns)
+ [Identificatori di dispositivo](protect-sensitive-log-data-types-device.md)
+ [Identificatore di dati ARNs per i tipi di dati del dispositivo](protect-sensitive-log-data-types-device.md#cwl-data-protection-devices-arns)
+ [Informazioni finanziarie](protect-sensitive-log-data-types-financial.md)
+ [Identificatore ARNs di dati per tipi di dati finanziari](protect-sensitive-log-data-types-financial.md#cwl-data-protection-financial-arns)
+ [Dati sanitari protetti (PHI)](protect-sensitive-log-data-types-health.md)
+ [Identificatore di dati ARNs per i tipi di dati relativi alle informazioni sanitarie protette (PHI)](protect-sensitive-log-data-types-health.md#cwl-data-protection-phi-arns)
+ [Informazioni personali di identificazione (PII)](protect-sensitive-log-data-types-pii.md)
+ [Parole chiave per i numeri identificativi delle patenti di guida](protect-sensitive-log-data-types-pii.md#CWL-managed-data-identifiers-pii-dl-keywords)
+ [Parole chiave per i numeri di carta d'identità](protect-sensitive-log-data-types-pii.md#CWL-managed-data-identifiers-pii-natlid-keywords)
+ [Parole chiave per i numeri di passaporto](protect-sensitive-log-data-types-pii.md#CWL-managed-data-identifiers-pii-passport-keywords)
+ [Parole chiave per i numeri di identificazione dei contribuenti e i numeri di riferimento](protect-sensitive-log-data-types-pii.md#CWL-managed-data-identifiers-financial-tin-keywords)
+ [Identificatore di dati ARNs per informazioni di identificazione personale (PII)](protect-sensitive-log-data-types-pii.md#CWL-data-protection-pii-arns)
+ [Identificatori di dati personalizzati](CWL-custom-data-identifiers.md)
+ [Cosa sono gli identificatori di dati personalizzati?](CWL-custom-data-identifiers.md#what-are-custom-data-identifiers)
+ [Vincoli degli identificatori di dati personalizzati](CWL-custom-data-identifiers.md#custom-data-identifiers-constraints)
+ [Utilizzo di identificatori di dati personalizzati nella console](CWL-custom-data-identifiers.md#using-custom-data-identifiers-console)
+ [Utilizzo degli identificatori di dati personalizzati nella policy di protezione dei dati](CWL-custom-data-identifiers.md#using-custom-data-identifiers)
# CloudWatch Registra gli identificatori di dati gestiti per tipi di dati sensibili
Questa sezione contiene informazioni sui tipi di dati che è possibile proteggere utilizzando identificatori di dati gestiti e sui paesi e le aree geografiche pertinenti per ciascuno di questi tipi di dati.
Per alcuni tipi di dati sensibili, CloudWatch Logs data protection analizza le parole chiave in prossimità dei dati e trova una corrispondenza solo se trova quella parola chiave. Se una parola chiave deve trovarsi in prossimità di un particolare tipo di dati, in genere deve trovarsi entro 30 caratteri (inclusi) dai dati.
Se una parola chiave contiene uno spazio, la protezione dei dati di CloudWatch Logs corrisponde automaticamente alle varianti delle parole chiave che non contengono lo spazio o che contengono un carattere di sottolineatura (`_`) o un trattino (`-`) anziché lo spazio. In alcuni casi, CloudWatch Logs amplia o abbrevia anche una parola chiave per rispondere alle varianti più comuni della parola chiave.
Nelle tabelle seguenti sono elencati i tipi di credenziali, dispositivi, informazioni finanziarie, mediche e informazioni sanitarie protette (PHI) che CloudWatch Logs è in grado di rilevare utilizzando identificatori di dati gestiti. Questi dati si aggiungono a determinati tipi di dati che potrebbero anche essere considerati informazioni personali di identificazione (PII).
**Identificatori supportati indipendenti dalla lingua e dall'area geografica**
| Identificatore | Categoria |
| --- | --- |
| `Address` | Personale |
| `AwsSecretKey` | Credenziali |
| `CreditCardExpiration` | Servizi finanziari |
| `CreditCardNumber` | Servizi finanziari |
| `CreditCardSecurityCode` | Servizi finanziari |
| `EmailAddress` | Personale |
| `IpAddress` | Personale |
| `LatLong` | Personale |
| `Name` | Personale |
| `OpenSshPrivateKey` | Credenziali |
| `PgpPrivateKey` | Credenziali |
| `PkcsPrivateKey` | Credenziali |
| `PuttyPrivateKey` | Credenziali |
| `VehicleIdentificationNumber` | Personale |
Gli identificatori di dati dipendenti dall'area geografica prevedono il nome dell'identificatore seguito da un trattino e dai codici a due lettere (ISO 3166-1 alpha-2). Ad esempio, `DriversLicense-US`.
**Identificatori supportati che devono includere un codice di Paese o area geografica a due lettere**
| Identificatore | Categoria | Paesi e lingue |
| --- | --- | --- |
| BankAccountNumber | Servizi finanziari | DE, ES, FR, GB, IT, US |
| CepCode | Personale | BR |
| Cnpj | Personale | BR |
| CpfCode | Personale | BR |
| DriversLicense | Personale | AT, AU, BE, BG, CA, CY, CZ, DE, DK, EE, ES, FI, FR, GB, GR, HR, HU, IE, IT, LT, LU, LV, MT, NL, PL, PT, RO, SE, SI, SK, US |
| DrugEnforcementAgencyNumber | Integrità | US |
| ElectoralRollNumber | Personale | GB |
| HealthInsuranceCardNumber | Integrità | UE |
| HealthInsuranceClaimNumber | Integrità | US |
| HealthInsuranceNumber | Integrità | FR |
| HealthcareProcedureCode | Integrità | US |
| IndividualTaxIdentificationNumber | Personale | US |
| InseeCode | Personale | FR |
| MedicareBeneficiaryNumber | Integrità | US |
| NationalDrugCode | Integrità | US |
| NationalIdentificationNumber | Personale | DE, ES, IT |
| NationalInsuranceNumber | Personale | GB |
| NationalProviderId | Integrità | US |
| NhsNumber | Integrità | GB |
| NieNumber | Personale | ES |
| NifNumber | Personale | ES |
| PassportNumber | Personale | CA, DE, ES, FR, GB, IT, US |
| PermanentResidenceNumber | Personale | CA |
| PersonalHealthNumber | Integrità | CA |
| PhoneNumber | Personale | BR, DE, ES, FR, GB, IT, US |
| PostalCode | Personale | CA |
| RgNumber | Personale | BR |
| SocialInsuranceNumber | Personale | CA |
| Ssn | Personale | ES, US |
| TaxId | Personale | DE, ES, FR, GB |
| ZipCode | Personale | US |
# Credenziali
CloudWatch I registri di protezione dei dati possono trovare i seguenti tipi di credenziali.
| Tipo di dato | ID dell'identificatore di dati | Parola chiave obbligatoria | Paesi e Regioni |
| --- | --- | --- | --- |
| AWS chiave di accesso segreta | `AwsSecretKey` | `aws_secret_access_key`, `credentials`, `secret access key`, `secret key`, `set-awscredential` | Tutti |
| Chiave privata OpenSSH | `OpenSSHPrivateKey` | Nessuno | Tutti |
| Chiave privata PGP | `PgpPrivateKey` | Nessuno | Tutti |
| Chiave privata Pkcs | `PkcsPrivateKey` | Nessuno | Tutti |
| Chiave privata PuTTY | `PuttyPrivateKey` | Nessuno | Tutti |
## Identificatore di dati ARNs per i tipi di dati relativi alle credenziali
Di seguito sono elencati gli Amazon Resource Names (ARNs) per gli identificatori di dati che puoi aggiungere alle tue politiche di protezione dei dati.
| Identificatore di dati di credenziali ARNs |
| --- |
| arn:aws:dataprotection::aws:data-identifier/AwsSecretKey |
| arn:aws:dataprotection::aws:data-identifier/OpenSshPrivateKey |
| arn:aws:dataprotection::aws:data-identifier/PgpPrivateKey |
| arn:aws:dataprotection::aws:data-identifier/PkcsPrivateKey |
| arn:aws:dataprotection::aws:data-identifier/PuttyPrivateKey |
# Identificatori di dispositivo
CloudWatch La protezione dei dati dei registri può trovare i seguenti tipi di identificatori di dispositivo.
| Tipo di dato | ID dell'identificatore di dati | Parola chiave obbligatoria | Paesi e regioni |
| --- | --- | --- | --- |
| IP address (Indirizzo IP) | `IpAddress` | Nessuno | Tutti |
## Identificatore di dati ARNs per i tipi di dati del dispositivo
Di seguito sono elencati gli Amazon Resource Names (ARNs) per gli identificatori di dati che puoi aggiungere alle tue politiche di protezione dei dati.
| ARN di identificatore dei dati del dispositivo |
| --- |
| arn:aws:dataprotection::aws:data-identifier/IpAddress |
# Informazioni finanziarie
CloudWatch Logs Data Protection consente di trovare i seguenti tipi di informazioni finanziarie.
Se imposti una politica di protezione dei dati, CloudWatch Logs cerca gli identificatori di dati specificati indipendentemente dalla geolocalizzazione in cui si trova il gruppo di log. Le informazioni nella colonna **Paesi e aree geografiche** di questa tabella indicano se è necessario aggiungere i codici Paese a due lettere all'identificatore di dati per individuare le parole chiave appropriate per tali Paesi e aree geografiche.
| Tipo di dato | ID dell'identificatore di dati | Parola chiave obbligatoria | Paesi e Regioni | Note |
| --- | --- | --- | --- | --- |
| Numero del conto bancario | `BankAccountNumber` | Sì. A Paesi diversi si applicano parole chiave diverse. Per maggiori dettagli, consulta la tabella **Parole chiave per i numeri di conto bancario** più avanti in questa sezione. | Francia, Germania, Italia, Spagna, Regno Unito, Stati Uniti d'America | Include numeri di conto bancario internazionali (IBANs) composti da un massimo di 34 caratteri alfanumerici, inclusi elementi come i codici dei paesi. |
| Data di scadenza della carta di credito | `CreditCardExpiration` | `exp d`, `exp m`, `exp y`, `expiration`, `expiry` | Tutti | |
| Numero di carta di credito | `CreditCardNumber` | `account number`, `american express`, `amex`, `bank card`, `card`, `card number`, `card num`, `cc #`, `ccn`, `check card`, `credit`, `credit card#`, `dankort`, `debit`, `debit card`, `diners club`, `discover`, `electron`, `japanese card bureau`, `jcb`, `mastercard`, `mc`, `pan`, `payment account number`, `payment card number`, `pcn`, `union pay`, `visa` | Tutti | Il rilevamento richiede che i dati siano una sequenza di 13-19 cifre che rispetti la formula Luhn check e utilizzi un prefisso numerico di carta standard per uno dei seguenti tipi di carte di credito: American Express, Dankort, Diner's Club, Discover, Electron, Japanese Card Bureau (JCB), Mastercard e Visa. UnionPay |
| Codice di verifica della carta di credito | `CreditCardSecurityCode` | `card id`, `card identification code`, `card identification number`, `card security code`, `card validation code`, `card validation number`, `card verification data`, `card verification value`, `cvc`, `cvc2`, `cvv`, `cvv2`, `elo verification code` | Tutti | |
**Parole chiave per i numeri di conto bancario**
Utilizza le seguenti parole chiave per i numeri di conto bancario. Sono inclusi i numeri di conto bancario internazionali (IBANs) composti da un massimo di 34 caratteri alfanumerici, inclusi elementi come i codici dei paesi.
| Paese | Parole chiave |
| --- | --- |
| Francia | `account code`, `account number`, `accountno#`, `accountnumber#`, `bban`, `code bancaire`, `compte bancaire`, `customer account id`, `customer account number`, `customer bank account id`, `iban`, `numéro de compte` |
| Germania | `account code`, `account number`, `accountno#`, `accountnumber#`, `bankleitzahl`, `bban`, `customer account id`, `customer account number`, `customer bank account id`, `geheimzahl`, `iban`, `kartennummer`, `kontonummer`, `kreditkartennummer`, `sepa` |
| Italia | `account code`, `account number`, `accountno#`, `accountnumber#`, `bban`, `codice bancario`, `conto bancario`, `customer account id`, `customer account number`, `customer bank account id`, `iban`, `numero di conto` |
| Spagna | `account code`, `account number`, `accountno#`, `accountnumber#`, `bban`, `código cuenta`, `código cuenta bancaria`, `cuenta cliente id`, `customer account ID`, `customer account number`, `customer bank account id`, `iban`, `número cuenta bancaria cliente`, `número cuenta cliente` |
| Regno Unito | `account code`, `account number`, `accountno#`, `accountnumber#`, `bban`, `customer account ID`, `customer account number`, `customer bank account id`, `iban`, `sepa` |
| Stati Uniti | `bank account`, `bank acct`, `checking account`, `checking acct`, `deposit account`, `deposit acct`, `savings account`, `savings acct`, `chequing account`, `chequing acct` |
CloudWatch I registri non riportano le occorrenze delle seguenti sequenze, che gli emittenti di carte di credito hanno riservato ai test pubblici.
```
122000000000003, 2222405343248877, 2222990905257051, 2223007648726984, 2223577120017656,
30569309025904, 34343434343434, 3528000700000000, 3530111333300000, 3566002020360505, 36148900647913,
36700102000000, 371449635398431, 378282246310005, 378734493671000, 38520000023237, 4012888888881881,
4111111111111111, 4222222222222, 4444333322221111, 4462030000000000, 4484070000000000, 4911830000000,
4917300800000000, 4917610000000000, 4917610000000000003, 5019717010103742, 5105105105105100,
5111010030175156, 5185540810000019, 5200828282828210, 5204230080000017, 5204740009900014, 5420923878724339,
5454545454545454, 5455330760000018, 5506900490000436, 5506900490000444, 5506900510000234, 5506920809243667,
5506922400634930, 5506927427317625, 5553042241984105, 5555553753048194, 5555555555554444, 5610591081018250,
6011000990139424, 6011000400000000, 6011111111111117, 630490017740292441, 630495060000000000,
6331101999990016, 6759649826438453, 6799990100000000019, and 76009244561.
```
## Identificatore ARNs di dati per tipi di dati finanziari
Di seguito sono elencati gli Amazon Resource Names (ARNs) per gli identificatori di dati che puoi aggiungere alle tue politiche di protezione dei dati.
| Identificatore di dati finanziari ARNs |
| --- |
| arn:aws:dataprotection::aws:data-identifier/BankAccountNumber-DE |
| arn:aws:dataprotection::aws:data-identifier/BankAccountNumber-ES |
| arn:aws:dataprotection::aws:data-identifier/BankAccountNumber-FR |
| arn:aws:dataprotection::aws:data-identifier/BankAccountNumber-GB |
| arn:aws:dataprotection::aws:data-identifier/BankAccountNumber-IT |
| arn:aws:dataprotection::aws:data-identifier/BankAccountNumber-US |
| arn:aws:dataprotection::aws:data-identifier/CreditCardExpiration |
| arn:aws:dataprotection::aws:data-identifier/CreditCardNumber |
| arn:aws:dataprotection::aws:data-identifier/CreditCardSecurityCode |
# Dati sanitari protetti (PHI)
CloudWatch I registri di protezione dei dati possono trovare i seguenti tipi di informazioni sanitarie protette (PHI).
Se imposti una politica di protezione dei dati, CloudWatch Logs cerca gli identificatori di dati specificati indipendentemente dalla geolocalizzazione in cui si trova il gruppo di log. Le informazioni nella colonna **Paesi e aree geografiche** di questa tabella indicano se è necessario aggiungere i codici Paese a due lettere all'identificatore di dati per individuare le parole chiave appropriate per tali Paesi e aree geografiche.
| Tipo di dato | ID dell'identificatore di dati | Parola chiave obbligatoria | Paesi e regioni |
| --- | --- | --- | --- |
| Numero di registrazione Drug Enforcement Agency (DEA) | `DrugEnforcementAgencyNumber` | `dea number`, `dea registration` | Stati Uniti |
| Numero EHIC (Health Insurance Card) | `HealthInsuranceCardNumber` | `assicurazione sanitaria numero`, `carta assicurazione numero`, `carte d’assurance maladie`, `carte européenne d'assurance maladie`, `ceam`, `ehic`, `ehic#`, `finlandehicnumber#`, `gesundheitskarte`, `hälsokort`, `health card`, `health card number`, `health insurance card`, `health insurance number`, `insurance card number`, `krankenversicherungskarte`, `krankenversicherungsnummer`, `medical account number`, `numero conto medico`, `numéro d’assurance maladie`, `numéro de carte d’assurance`, `numéro de compte medical`, `número de cuenta médica`, `número de seguro de salud`, `número de tarjeta de seguro`, `sairaanhoitokortin`, `sairausvakuutuskortti`, `sairausvakuutusnumero`, `sjukförsäkring nummer`, `sjukförsäkringskort`, `suomi ehic-numero`, `tarjeta de salud`, `terveyskortti`, `tessera sanitaria assicurazione numero`, `versicherungsnummer` | Unione Europea |
| Health Insurance Claim Number (HICN) | `HealthInsuranceClaimNumber` | `health insurance claim number`, `hic no`, `hic no.`, `hic number`, `hic#`, `hicn`, `hicn#`, `hicno#` | Stati Uniti |
| Numero di identificazione medica e assistenza sanitaria | `HealthInsuranceNumber` | `carte d'assuré social`, `carte vitale`, `insurance card` | Francia |
| Codice HCPCS (Healthcare Common Procedure Coding System) | `HealthcareProcedureCode` | `current procedural terminology`, `hcpcs`, `healthcare common procedure coding system` | Stati Uniti |
| Numero MBN (Medicare Beneficiary Number) | `MedicareBeneficiaryNumber` | `mbi`, `medicare beneficiary` | Stati Uniti |
| National Drug Code (NDC) | `NationalDrugCode` | `national drug code`, `ndc` | Stati Uniti |
| National Provider Identifier (NPI) | `NationalProviderId` | `hipaa`, `n.p.i.`, `national provider`, `npi` | Stati Uniti |
| Numero National Health Service (NHS) | `NhsNumber` | `national health service`, `NHS` | Gran Bretagna |
| Personal Health Number | `PersonalHealthNumber` | `canada healthcare number`, `msp number`, `care number`, `phn`, `soins de santé` | Canada |
## Identificatore di dati ARNs per i tipi di dati relativi alle informazioni sanitarie protette (PHI)
Di seguito sono elencati gli identificatori di dati Amazon Resource Names (ARNs) che possono essere utilizzati nelle politiche di protezione dei dati relativi alle informazioni sanitarie protette (PHI).
| Identificatore di dati PHI ARNs |
| --- |
| arn:aws:dataprotection::aws:data-identifier/DrugEnforcementAgencyNumber-US |
| arn:aws:dataprotection::aws:data-identifier/HealthcareProcedureCode-US |
| arn:aws:dataprotection::aws:data-identifier/HealthInsuranceCardNumber-EU |
| arn:aws:dataprotection::aws:data-identifier/HealthInsuranceClaimNumber-US |
| arn:aws:dataprotection::aws:data-identifier/HealthInsuranceNumber-FR |
| arn:aws:dataprotection::aws:data-identifier/MedicareBeneficiaryNumber-US |
| arn:aws:dataprotection::aws:data-identifier/NationalDrugCode-US |
| arn:aws:dataprotection::aws:data-identifier/NationalInsuranceNumber-GB |
| arn:aws:dataprotection::aws:data-identifier/NationalProviderId-US |
| arn:aws:dataprotection::aws:data-identifier/NhsNumber-GB |
| arn:aws:dataprotection::aws:data-identifier/PersonalHealthNumber-CA |
# Informazioni personali di identificazione (PII)
CloudWatch La protezione dei dati dei registri può trovare i seguenti tipi di informazioni di identificazione personale (PII).
Se imposti una politica di protezione dei dati, CloudWatch Logs cerca gli identificatori di dati specificati indipendentemente dalla geolocalizzazione in cui si trova il gruppo di log. Le informazioni nella colonna **Paesi e aree geografiche** di questa tabella indicano se è necessario aggiungere i codici Paese a due lettere all'identificatore di dati per individuare le parole chiave appropriate per tali Paesi e aree geografiche.
| Tipo di dato | ID dell'identificatore di dati | Parola chiave obbligatoria | Paesi e Regioni | Note |
| --- | --- | --- | --- | --- |
| Data di nascita | `DateOfBirth` | `dob`, `date of birth`, `birthdate`, `birth date`, `birthday`, `b-day`, `bday` | Qualsiasi | Il supporto include la maggior parte dei formati di data, ad esempio tutte le cifre e le combinazioni di cifre e nomi dei mesi. I componenti della data possono essere separati da spazi, barre (/) o trattini (‐). |
| Código de Endereçamento Postal (CEP) | `CepCode` | `cep`, `código de endereçamento postal`, `codigo de endereçamento postal` | Brasile | |
| Cadastro Nacional da Pessoa Jurídica (CNPJ) | `Cnpj` | `cadastro nacional da pessoa jurídica`, `cadastro nacional da pessoa juridica`, `cnpj` | Brasile | |
| Cadastro de Pessoas Físicas (CPF) | `CpfCode` | `Cadastro de pessoas fisicas`, `cadastro de pessoas físicas`, `cadastro de pessoa física`, `cadastro de pessoa fisica`, `cpf` | Brasile | |
| Numero identificativo della patente di guida | `DriversLicense` | Sì. A Paesi diversi si applicano parole chiave diverse. Per i dettagli, consulta la tabella **Numeri identificativi della patente di guida** più avanti in questa sezione. | Molti Paesi. Per i dettagli, consulta la tabella **Numeri identificativi della patente di guida**. | |
| Numero di lista elettorale | `ElectoralRollNumber` | `electoral #`, `electoral number`, `electoral roll #`, `electoral roll no.`, `electoral roll number`, `electoralrollno` | Regno Unito | |
| Identificazione del singolo contribuente | `IndividualTaxIdenticationNumber` | Sì. A Paesi diversi si applicano parole chiave diverse. Per i dettagli, consulta la tabella **Numeri di identificazione del singolo contribuente** più avanti in questa sezione. | Brasile, Francia, Germania, Regno Unito, Spagna | |
| Institut national de la statistique et des études économiques (INSEE) | `InseeCode` | Sì. A Paesi diversi si applicano parole chiave diverse. Per i dettagli, consulta la tabella **Parole chiave per i numeri di identificazione nazionale** più avanti in questa sezione. | Francia | |
| Numero di identificazione nazionale | `NationalIdentificationNumber` | Sì. Per i dettagli, consulta la tabella **Parole chiave per i numeri di identificazione nazionale** più avanti in questa sezione. | Germania, Italia, Spagna | Sono inclusi gli identificatori DNI (Documento Nacional de Identidad, Spagna), il codice fiscale (Italia) e i numeri di carta d'identità nazionale (Germania). |
| Numero NINO (National Insurance Number) | `NationalInsuranceNumber` | insurance no., insurance number, insurance\$1, national insurance number, nationalinsurance\$1, nationalinsurancenumber, nin, nino | Regno Unito | – |
| Número de identidad de extranjero (NIE) | `NieNumber` | Sì. A Paesi diversi si applicano parole chiave diverse. Per i dettagli, consulta la tabella **Numeri di identificazione del singolo contribuente** più avanti in questa sezione. | Spagna | |
| Número de Identificación Fiscal (NIF) | `NifNumber` | Sì. A Paesi diversi si applicano parole chiave diverse. Per i dettagli, consulta la tabella **Numeri di identificazione del singolo contribuente** più avanti in questa sezione. | Spagna | |
| Numero di passaporto | `PassportNumber` | Sì. A Paesi diversi si applicano parole chiave diverse. Per maggiori dettagli, consulta la tabella **Parole chiave per i numeri di passaporto** più avanti in questa sezione. | Canada, Francia, Germania, Italia, Regno Unito, Spagna, Stati Uniti | |
| Numero di residenza permanente (Green Card) | `PermanentResidenceNumber` | carte résident permanent, numéro carte résident permanent, numéro résident permanent, permanent resident card, permanent resident card number, permanent resident no, permanent resident no., permanent resident number, pr no, pr no., pr non, pr number, résident permanent no., résident permanent non | Canada | |
| Numero di telefono | `PhoneNumber` | Brasile: le parole chiave comprendono anche: `cel`, `celular`, `fone`, `móvel`, `número residencial`, `numero residencial`, `telefone` Altri Paesi: `cell`, `contact`, `fax`, `fax number`, `mobile`, `phone`, `phone number`, `tel`, `telephone`, `telephone number` | Brasile, Canada, Francia, Germania, Italia, Regno Unito, Spagna, Stati Uniti | Sono inclusi i numeri di fax e i numeri verdi negli Stati Uniti. Se una parola chiave si trova in prossimità dei dati, il numero non deve includere il prefisso internazionale. Se una parola chiave non è in prossimità dei dati, il numero deve includere un prefisso internazionale. |
| Codice postale | `PostalCode` | Nessuno | Canada | |
| Registro Geral (RG) | `RgNumber` | Sì. A Paesi diversi si applicano parole chiave diverse. Per i dettagli, consulta la tabella **Numeri di identificazione del singolo contribuente** più avanti in questa sezione. | Brasile | |
| Social Insurance Number (SIN) | `SocialInsuranceNumber` | canadian id, numéro d'assurance sociale, social insurance number, sin | Canada | |
| Social Security Number (SSN) | `Ssn` | Spagna: `número de la seguridad social`, `social security no.`, `social security no`. `número de la seguridad social`, `social security number`, `socialsecurityno#`, `ssn`, `ssn#` Stati Uniti: `social security`, `ss#`, `ssn` | Spagna, Stati Uniti | |
| Numero identificativo del contribuente o codice fiscale | `TaxId` | Sì. A Paesi diversi si applicano parole chiave diverse. Per i dettagli, consulta la tabella **Numeri di identificazione del singolo contribuente** più avanti in questa sezione.. | Francia, Germania, Regno Unito, Spagna | Sono inclusi: TIN (Francia); Steueridentifikationsnummer (Germania); CIF (Spagna) e TRN, UTR (Regno Unito). |
| Codice postale | `ZipCode` | zip code, zip\$14 | Stati Uniti | Codice postale degli Stati Uniti. |
| Indirizzo postale | `Address` | Nessuno | Australia, Canada, Francia, Germania, Italia, Regno Unito, Spagna, Stati Uniti | Sebbene non sia richiesta una parola chiave, il rilevamento richiede che l'indirizzo includa il nome di una città o di un luogo e un CAP o codice postale. |
| Indirizzo e-mail | `EmailAddress` | Nessuno | Qualsiasi | |
| Coordinate del sistema di posizionamento globale (GPS) | `LatLong` | coordinate, coordinates, lat long, latitude longitude, location, position | Qualsiasi | CloudWatch I log possono rilevare le coordinate GPS se le coordinate di latitudine e longitudine sono memorizzate come coppia e sono in formato DD (Decimal Degrees), ad esempio 41.948614, -87,655311. Il supporto non include le coordinate nel formato DDM (Gradi Decimali Minuti), ad esempio 41°56.9168'N 87°39.3187'W, o nel formato Gradi, Minuti, Secondi (DMS), ad esempio 41°56'55.0104"N 87°39'19.1196"W. |
| Nome completo | `Name` | Nessuno | Qualsiasi | CloudWatch I log possono rilevare solo i nomi completi. Il supporto è limitato ai set di caratteri latini. |
| Numero di matricola del veicolo (VIN) | `VehicleIdentificationNumber` | Fahrgestellnummer, niv, numarul de identificare, numarul seriei de sasiu, serie sasiu, numer VIN, Número de Identificação do Veículo, Número de Identificación de Automóviles, numéro d'identification du véhicule, vehicle identification number, vin, VIN numeris | Qualsiasi | CloudWatch I log sono in grado di rilevare VINs che consistono in una sequenza di 17 caratteri e sono conformi agli standard ISO 3779 e 3780. Questi standard sono stati progettati per l'uso a livello mondiale. |
## Parole chiave per i numeri identificativi delle patenti di guida
Per rilevare vari tipi di numeri identificativi della patente di guida, CloudWatch Logs richiede che una parola chiave si trovi in prossimità dei numeri. La tabella seguente elenca le parole chiave che CloudWatch Logs riconosce per paesi e aree geografiche specifici.
| Paese o regione | Parole chiave |
| --- | --- |
| Australia | dl\$1 dl:, dl :, dlno\$1 driver licence, driver license, driver permit, drivers lic., drivers licence, driver's licence, drivers license, driver's license, drivers permit, driver's permit, drivers permit number, driving licence, driving license, driving permit |
| Austria | führerschein, fuhrerschein, führerschein republik österreich, fuhrerschein republik osterreich |
| Belgio | fuehrerschein, fuehrerschein- nr, fuehrerscheinnummer, fuhrerschein, führerschein, fuhrerschein- nr, führerschein- nr, fuhrerscheinnummer, führerscheinnummer, numéro permis conduire, permis de conduire, rijbewijs, rijbewijsnummer |
| Bulgaria | превозно средство, свидетелство за управление на моторно, свидетелство за управление на мпс, сумпс, шофьорска книжка |
| Canada | dl\$1, dl:, dlno\$1, driver licence, driver licences, driver license, driver licenses, driver permit, drivers lic., drivers licence, driver's licence, drivers licences, driver's licences, drivers license, driver's license, drivers licenses, driver's licenses, drivers permit, driver's permit, drivers permit number, driving licence, driving license, driving permit, permis de conduire |
| Croazia | vozačka dozvola |
| Cipro | άδεια οδήγησης |
| Repubblica Ceca | číslo licence, císlo licence řidiče, číslo řidičského průkazu, ovladače lic., povolení k jízdě, povolení řidiče, řidiči povolení, řidičský prúkaz, řidičský průkaz |
| Danimarca | kørekort, kørekortnummer |
| Estonia | juhi litsentsi number, juhiloa number, juhiluba, juhiluba number |
| Finlandia | ajokortin numero, ajokortti, förare lic., körkort, körkort nummer, kuljettaja lic., permis de conduire |
| Francia | permis de conduire |
| Germania | fuehrerschein, fuehrerschein- nr, fuehrerscheinnummer, fuhrerschein, führerschein, fuhrerschein- nr, führerschein- nr, fuhrerscheinnummer, führerscheinnummer |
| Grecia | δεια οδήγησης, adeia odigisis |
| Ungheria | illesztőprogramok lic, jogosítvány, jogsi, licencszám, vezető engedély, vezetői engedély |
| Irlanda | ceadúnas tiomána |
| Italia | patente di guida, patente di guida numero, patente guida, patente guida numero |
| Lettonia | autovadītāja apliecība, licences numurs, vadītāja apliecība, vadītāja apliecības numurs, vadītāja atļauja, vadītāja licences numurs, vadītāji lic. |
| Lituania | vairuotojo pažymėjimas |
| Lussemburgo | fahrerlaubnis, führerschäin |
| Malta | liċenzja tas-sewqan |
| Paesi Bassi | permis de conduire, rijbewijs, rijbewijsnummer |
| Polonia | numer licencyjny, prawo jazdy, zezwolenie na prowadzenie |
| Portogallo | carta de condução, carteira de habilitação, carteira de motorist, carteira habilitação, carteira motorist, licença condução, licença de condução, número de licença, número licença, permissão condução, permissão de condução |
| Romania | numărul permisului de conducere, permis de conducere |
| Slovacchia | číslo licencie, číslo vodičského preukazu, ovládače lic., povolenia vodičov, povolenie jazdu, povolenie na jazdu, povolenie vodiča, vodičský preukaz |
| Slovenia | vozniško dovoljenje |
| Spagna | carnet conducer, el carnet de conducer, licencia conducer, licencia de manejo, número carnet conducer, número de carnet de conducer, número de permiso conducer, número de permiso de conducer, número licencia conducer, número permiso conducer, permiso conducción, permiso conducer, permiso de conducción |
| Svezia | ajokortin numero, dlno\$1 ajokortti, drivere lic., förare lic., körkort, körkort nummer, körkortsnummer, kuljettajat lic. |
| Regno Unito | dl\$1, dl:, dlno\$1, driver licence, driver licences, driver license, driver licenses, driver permit, drivers lic., drivers licence, driver's licence, drivers licences, driver's licences, drivers license, driver's license, drivers licenses, driver's licenses, drivers permit, driver's permit, drivers permit number, driving licence, driving license, driving permit |
| Stati Uniti | dl\$1, dl:, dlno\$1, driver licence, driver licences, driver license, driver licenses, driver permit, drivers lic., drivers licence, driver's licence, drivers licences, driver's licences, drivers license, driver's license, drivers licenses, driver's licenses, drivers permit, driver's permit, drivers permit number, driving licence, driving license, driving permit |
## Parole chiave per i numeri di carta d'identità
Per rilevare vari tipi di numeri di identificazione nazionali, CloudWatch Logs richiede che una parola chiave si trovi in prossimità dei numeri. Sono inclusi gli identificatori DNI (Documento Nacional de Identidad, Spagna), i codici INSEE (Institut national de la statistique et des études économiques), i numeri delle carte d'identità tedesche e i numeri RG (Registro Geral, Brasile).
La tabella seguente elenca le parole chiave che CloudWatch Logs riconosce per paesi e regioni specifici.
| Paese o regione | Parole chiave |
| --- | --- |
| Brasile | registro geral, rg |
| Francia | assurance sociale, carte nationale d’identité, cni, code sécurité sociale, French social security number, fssn\$1, insee, insurance number, national id number, nationalid\$1, numéro d'assurance, sécurité sociale, sécurité sociale non., sécurité sociale numéro, social, social security, social security number, socialsecuritynumber, ss\$1, ssn, ssn\$1 |
| Germania | ausweisnummer, id number, identification number, identity number, insurance number, personal id, personalausweis |
| Italia | codice fiscal, dati anagrafici, ehic, health card, health insurance card, p. iva, partita i.v.a., personal data, tax code, tessera sanitaria |
| Spagna | dni, dni\$1, dninúmero\$1, documento nacional de identidad, identidad único, identidadúnico\$1, insurance number, national identification number, national identity, nationalid\$1, nationalidno\$1, número nacional identidad, personal identification number, personal identity no, unique identity number, uniqueid\$1 |
## Parole chiave per i numeri di passaporto
Per rilevare vari tipi di numeri di passaporto, CloudWatch Logs richiede che una parola chiave si trovi in prossimità dei numeri. La tabella seguente elenca le parole chiave che CloudWatch Logs riconosce per paesi e aree geografiche specifici.
| Paese o regione | Parole chiave |
| --- | --- |
| Canada | passeport, passeport\$1, passport, passport\$1, passportno, passportno\$1 |
| Francia | numéro de passeport, passeport, passeport\$1, passeport \$1, passeportn °, passeport n °, passeportNon, passeport non |
| Germania | ausstellungsdatum, ausstellungsort, geburtsdatum, passport, passports, reisepass, reisepass–nr, reisepassnummer |
| Italia | italian passport number, numéro passeport, numéro passeport italien, passaporto, passaporto italiana, passaporto numero, passport number, repubblica italiana passaporto |
| Spagna | españa pasaporte, libreta pasaporte, número pasaporte, pasaporte, passport, passport book, passport no, passport number, spain passport |
| Regno Unito | passeport \$1, passeport n °, passeportNon, passeport non, passeportn °, passport \$1, passport no, passport number, passport\$1, passportid |
| Stati Uniti | passport, travel document |
## Parole chiave per i numeri di identificazione dei contribuenti e i numeri di riferimento
Per rilevare vari tipi di codice identificativo e di riferimento dei contribuenti, CloudWatch Logs richiede che una parola chiave si trovi in prossimità dei numeri. La tabella seguente elenca le parole chiave che CloudWatch Logs riconosce per paesi e aree geografiche specifici.
| Paese o regione | Parole chiave |
| --- | --- |
| Brasile | cadastro de pessoa física, cadastro de pessoa fisica, cadastro de pessoas físicas, cadastro de pessoas fisicas, cadastro nacional da pessoa jurídica, cadastro nacional da pessoa juridica, cnpj, cpf |
| Francia | numéro d'identification fiscale, tax id, tax identification number, tax number, tin, tin\$1 |
| Germania | identifikationsnummer, steuer id, steueridentifikationsnummer, steuernummer, tax id, tax identification number, tax number |
| Spagna | cif, cif número, cifnúmero\$1, nie, nif, número de contribuyente, número de identidad de extranjero, número de identificación fiscal, número de impuesto corporativo, personal tax number, tax id, tax identification number, tax number, tin, tin\$1 |
| Regno Unito | paye, tax id, tax id no., tax id number, tax identification, tax identification\$1, tax no., tax number, tax reference, tax\$1, taxid\$1, temporary reference number, tin, trn, unique tax reference, unique taxpayer reference, utr |
| Stati Uniti | Individual Taxpayer Identification Numbers (ITIN o i.t.i.n.) |
## Identificatore di dati ARNs per informazioni di identificazione personale (PII)
La tabella seguente elenca gli Amazon Resource Names (ARNs) per gli identificatori di dati personali (PII) che puoi aggiungere alle tue politiche di protezione dei dati.
| Identificatore di dati PII ARNs |
| --- |
| arn:aws:dataprotection::aws:data-identifier/Address |
| arn:aws:dataprotection::aws:data-identifier/CepCode-BR |
| arn:aws:dataprotection::aws:data-identifier/Cnpj-BR |
| arn:aws:dataprotection::aws:data-identifier/CpfCode-BR |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-AT |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-AU |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-BE |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-BG |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-CA |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-CY |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-CZ |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-DE |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-DK |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-EE |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-ES |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-FI |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-FR |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-GB |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-GR |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-HR |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-HU |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-IE |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-IT |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-LT |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-LU |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-LV |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-MT |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-NL |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-PL |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-PT |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-RO |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-SE |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-SI |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-SK |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-US |
| arn:aws:dataprotection::aws:data-identifier/ElectoralRollNumber-GB |
| arn:aws:dataprotection::aws:data-identifier/EmailAddress |
| arn:aws:dataprotection::aws:data-identifier/IndividualTaxIdentificationNumber-US |
| arn:aws:dataprotection::aws:data-identifier/InseeCode-FR |
| arn:aws:dataprotection::aws:data-identifier/LatLong |
| arn:aws:dataprotection::aws:data-identifier/Name |
| arn:aws:dataprotection::aws:data-identifier/NationalIdentificationNumber-DE |
| arn:aws:dataprotection::aws:data-identifier/NationalIdentificationNumber-ES |
| arn:aws:dataprotection::aws:data-identifier/NationalIdentificationNumber-IT |
| arn:aws:dataprotection::aws:data-identifier/NieNumber-ES |
| arn:aws:dataprotection::aws:data-identifier/NifNumber-ES |
| arn:aws:dataprotection::aws:data-identifier/PassportNumber-CA |
| arn:aws:dataprotection::aws:data-identifier/PassportNumber-DE |
| arn:aws:dataprotection::aws:data-identifier/PassportNumber-ES |
| arn:aws:dataprotection::aws:data-identifier/PassportNumber-FR |
| arn:aws:dataprotection::aws:data-identifier/PassportNumber-GB |
| arn:aws:dataprotection::aws:data-identifier/PassportNumber-IT |
| arn:aws:dataprotection::aws:data-identifier/PassportNumber-US |
| arn:aws:dataprotection::aws:data-identifier/PermanentResidenceNumber-CA |
| arn:aws:dataprotection::aws:data-identifier/PhoneNumber-BR |
| arn:aws:dataprotection::aws:data-identifier/PhoneNumber-DE |
| arn:aws:dataprotection::aws:data-identifier/PhoneNumber-ES |
| arn:aws:dataprotection::aws:data-identifier/PhoneNumber-FR |
| arn:aws:dataprotection::aws:data-identifier/PhoneNumber-GB |
| arn:aws:dataprotection::aws:data-identifier/PhoneNumber-IT |
| arn:aws:dataprotection::aws:data-identifier/PhoneNumber-US |
| arn:aws:dataprotection::aws:data-identifier/PostalCode-CA |
| arn:aws:dataprotection::aws:data-identifier/RgNumber-BR |
| arn:aws:dataprotection::aws:data-identifier/SocialInsuranceNumber-CA |
| arn:aws:dataprotection::aws:data-identifier/Ssn-ES |
| arn:aws:dataprotection::aws:data-identifier/Ssn-US |
| arn:aws:dataprotection::aws:data-identifier/TaxId-DE |
| arn:aws:dataprotection::aws:data-identifier/TaxId-ES |
| arn:aws:dataprotection::aws:data-identifier/TaxId-FR |
| arn:aws:dataprotection::aws:data-identifier/TaxId-GB |
| arn:aws:dataprotection::aws:data-identifier/VehicleIdentificationNumber |
| arn:aws:dataprotection::aws:data-identifier/ZipCode-US |
# Identificatori di dati personalizzati
**Topics**
+ [Cosa sono gli identificatori di dati personalizzati?](#what-are-custom-data-identifiers)
+ [Vincoli degli identificatori di dati personalizzati](#custom-data-identifiers-constraints)
+ [Utilizzo di identificatori di dati personalizzati nella console](#using-custom-data-identifiers-console)
+ [Utilizzo degli identificatori di dati personalizzati nella policy di protezione dei dati](#using-custom-data-identifiers)
## Cosa sono gli identificatori di dati personalizzati?
Gli identificatori di dati personalizzati (CDIs) consentono di definire espressioni regolari personalizzate che possono essere utilizzate nella politica di protezione dei dati. Utilizzando gli identificatori di dati personalizzati, puoi indirizzare i casi d'uso delle informazioni di identificazione personale (PII) specifici dell'azienda che gli [identificatori di dati gestiti](CWL-managed-data-identifiers.md) non sono in grado di fornire. Ad esempio, è possibile utilizzare un identificatore di dati personalizzato per cercare dipendenti specifici dell'azienda. IDs Gli identificatori di dati personalizzati possono essere utilizzati insieme agli identificatori di dati gestiti.
## Vincoli degli identificatori di dati personalizzati
CloudWatch Gli identificatori di dati personalizzati dei registri presentano le seguenti limitazioni:
+ Ciascuna policy di protezione dei dati attualmente supporta un massimo di 10 identificatori di dati personalizzati.
+ I nomi degli identificatori di dati personalizzati hanno una lunghezza massima di 128 caratteri. Sono supportati i seguenti caratteri:
+ Alfanumerici: (a-zA-Z0-9)
+ Simboli: ( '\$1' \$1 '-' )
+ RegEx ha una lunghezza massima di 200 caratteri. Sono supportati i seguenti caratteri:
+ Alfanumerici: (a-zA-Z0-9)
+ Simboli: ( '\$1' \$1 '\$1' \$1 '=' \$1 '@' \$1'/' \$1 ';' \$1 ',' \$1 '-' \$1 ' ' )
+ Caratteri riservati RegEx: ( '^' \$1 '\$1' \$1 '?' \$1 '[' \$1 ']' \$1 '\$1' \$1 '\$1' \$1 '\$1' \$1 '\$1\$1' \$1 '\$1' \$1 '\$1' \$1 '.' )
+ Gli identificatori di dati personalizzati non possono condividere lo stesso nome di un identificatore di dati gestito.
+ Gli identificatori di dati personalizzati possono essere specificati all'interno di una politica di protezione dei dati a livello di account o nelle politiche di protezione dei dati a livello di gruppo di log. Analogamente agli identificatori di dati gestiti, gli identificatori di dati personalizzati definiti all'interno di una politica a livello di account funzionano in combinazione con gli identificatori di dati personalizzati definiti in una politica a livello di gruppo di log.
## Utilizzo di identificatori di dati personalizzati nella console
Quando si utilizza la CloudWatch console per creare o modificare una politica di protezione dei dati, per specificare un identificatore di dati personalizzato è sufficiente inserire un nome e un'espressione regolare per l'identificatore di dati. Ad esempio, è possibile immettere **Employee\$1ID** come nome e **EmployeeID-\$1d\$19\$1** come espressione regolare. Questa espressione regolare rileverà e maschererà gli eventi di registro seguiti da nove numeri`EmployeeID-`. Ad esempio, `EmployeeID-123456789`
## Utilizzo degli identificatori di dati personalizzati nella policy di protezione dei dati
Se utilizzi l' AWS API AWS CLI or per specificare un identificatore di dati personalizzato, devi includere il nome dell'identificatore di dati e l'espressione regolare nella politica JSON utilizzata per definire la politica di protezione dei dati. La seguente politica di protezione dei dati rileva e maschera gli eventi di registro che coinvolgono dipendenti specifici dell'azienda. IDs
1. Creazione di un blocco `Configuration` all'interno della policy di protezione dei dati.
1. Inserisci un `Name` per l'identificatore di dati personalizzato. Ad esempio, **EmployeeId**.
1. Inserisci un `Regex` per l'identificatore di dati personalizzato. Ad esempio, **EmployeeID-\$1d\$19\$1**. Questa espressione regolare corrisponderà agli eventi di registro `EmployeeID-` che contengono nove cifre successive. `EmployeeID-` Ad esempio, `EmployeeID-123456789`
1. Riferimento al seguente identificatore di dati personalizzato in una dichiarazione di policy.
```
{
"Name": "example_data_protection_policy",
"Description": "Example data protection policy with custom data identifiers",
"Version": "2021-06-01",
"Configuration": {
"CustomDataIdentifier": [
{"Name": "EmployeeId", "Regex": "EmployeeId-\\d{9}"}
]
},
"Statement": [
{
"Sid": "audit-policy",
"DataIdentifier": [
"EmployeeId"
],
"Operation": {
"Audit": {
"FindingsDestination": {
"S3": {
"Bucket": "EXISTING_BUCKET"
}
}
}
}
},
{
"Sid": "redact-policy",
"DataIdentifier": [
"EmployeeId"
],
"Operation": {
"Deidentify": {
"MaskConfig": {
}
}
}
}
]
}
```
1. (Facoltativo) Continua ad aggiungere altri **identificatori di dati personalizzati** al blocco `Configuration`, se necessario. Le policy di protezione dei dati attualmente supportano un massimo di 10 identificatori di dati personalizzati.