As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Trabalhar com grupos de logs e fluxos de logs
Fluxo de logs é uma sequência de eventos de log que compartilham a mesma origem. Cada fonte separada de registros no CloudWatch Logs compõe um fluxo de registros separado.
Um grupo logs é um grupo de fluxos de log que compartilham as mesmas configurações de retenção, monitoramento e controle de acesso. Você pode definir grupos de logs e especificar quais fluxos colocar em cada grupo. Não há limite para o número de streams de log que podem pertencer a um grupo de logs.
Para organizações que precisam consolidar dados de registro de várias contas e regiões, você pode usar a centralização de CloudWatch registros para replicar automaticamente grupos de registros em uma conta central. Para obter mais informações, consulte [Centralização de logs entre contas e regiões](CloudWatchLogs_Centralization.md).
Use os procedimentos desta seção para trabalhar com grupos e fluxos de logs.
## Crie um grupo de registros em CloudWatch Registros
Quando você instala o agente CloudWatch Logs em uma instância do Amazon EC2 usando as etapas nas seções anteriores do Amazon CloudWatch Logs User Guide, o grupo de logs é criado como parte desse processo. Você também pode criar um grupo de registros diretamente no CloudWatch console.
**Para criar um grupo de logs**
1. Abra o CloudWatch console em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. No painel de navegação, escolha **Gerenciamento de registros**.
1. Selecione **Actions (Ações)** e selecione **Create log group (Criar grupo de logs)**.
1. Digite um nome para o grupo de logs e escolha **Create log group (Criar grupo de logs)**.
**dica**
Você pode dar preferência a grupos de log, bem como a painéis e alarmes, no menu ***Favorites and recents*** (Favoritos e recentes) no painel de navegação. Na coluna ***Recently visited*** (Visitados recentemente), passe o mouse sobre o grupo de logs ao qual deseja dar preferência e escolha o símbolo da estrela ao lado dele.
## Enviar logs a um grupo de logs
CloudWatch O Logs recebe automaticamente eventos de log de vários AWS serviços. Você também pode enviar outros eventos de registro para o CloudWatch Logs usando um dos seguintes métodos:
+ **CloudWatch agente** — O CloudWatch agente unificado pode enviar métricas e registros para o CloudWatch Logs. Para obter informações sobre como instalar e usar o CloudWatch agente, consulte [Coletando métricas e registros de instâncias do Amazon EC2 e servidores locais com o CloudWatch agente no Guia do](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html) usuário da *Amazon CloudWatch *.
+ **AWS CLI**—O [put-log-events](https://docs.aws.amazon.com/cli/latest/reference/logs/put-log-events.html)upload de lotes de eventos de log para CloudWatch o Logs.
+ **Programaticamente** — A [PutLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutLogEvents.html)API permite que você faça upload programático de lotes de eventos de log para o Logs. CloudWatch
## Exibir dados de registro enviados para CloudWatch Logs
Você pode visualizar e percorrer os dados de registro de stream-by-stream acordo com os enviados ao CloudWatch Logs pelo agente do CloudWatch Logs. Você pode especificar o intervalo de tempo para os dados de log a serem visualizados.
**Para visualizar dados de log**
1. Abra o CloudWatch console em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. No painel de navegação, escolha **Gerenciamento de registros**.
1. Em **Grupos de logs**, escolha o grupo de logs para visualizar os fluxos.
1. Na lista de grupos de logs, escolha o nome do grupo de logs que deseja visualizar.
1. Na lista de fluxos de logs, escolha o nome do fluxo de log que deseja visualizar.
1. Para alterar a forma como os dados de log são exibidos, faça o seguinte:
+ Para expandir um único evento de log, escolha a seta ao lado dele.
+ Para expandir todos os eventos de log e visualizá-los como texto simples, acima da lista de eventos de log, escolha **Texto**.
+ Para filtrar os eventos de log, insira o filtro de pesquisa desejado no campo de pesquisa. Para obter mais informações, consulte [Criar métricas de eventos de log usando filtros](MonitoringLogData.md).
+ Para visualizar dados de log de um intervalo de data e hora especificado, escolha a seta ao lado da data e hora ao lado do filtro de pesquisa. Para especificar um intervalo de data e hora, escolha **Absolute (Absoluto)**. Para escolher um número predefinido de minutos, horas, dias ou semanas, escolha **Relative (Relativo)**. Também é possível alternar entre UTC e fuso horário local.
# Pesquisar dados de log usando padrões de filtro
Você pode pesquisar seus dados de log usando [Sintaxe de padrões de filtros para filtros de métricas, filtros de assinatura, filtros de eventos de log e Live Tail.](FilterAndPatternSyntax.md). Você pode pesquisar todos os fluxos de log em um grupo de registros ou, usando o, AWS CLI você também pode pesquisar fluxos de log específicos. Na execução de cada pesquisa, ela retorna para a primeira página de dados encontrada e um token para recuperar a próxima página de dados ou continuar a pesquisa. Se não houver resultados retornados, você poderá continuar a pesquisar.
Você pode definir o intervalo de tempo que deseja consultar para limitar o escopo da pesquisa. Você pode começar com um intervalo maior para ver onde se encontram as linhas de log de interesse e, em seguida, reduzir o intervalo de tempo para limitar a exibição aos logs no intervalo de tempo de interesse.
Você também pode passar diretamente de suas métricas extraídas dos logs para os logs correspondentes.
Se você estiver conectado a uma conta configurada como uma conta de monitoramento na observabilidade CloudWatch entre contas, poderá pesquisar e filtrar eventos de log das contas de origem vinculadas a essa conta de monitoramento. Para obter mais informações, consulte [Observabilidade entre contas do CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html).
## Pesquisar entradas de log usando o console
Você pode procurar entradas de log que atendam a critérios especificados usando o console.
**Para pesquisar seus logs usando o console**
1. Abra o CloudWatch console em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. No painel de navegação, escolha **Gerenciamento de registros**.
1. Em **Grupos de logs**, escolha o nome do grupo de logs que contém o fluxo de log a ser pesquisado.
1. Em **Fluxos de log**, escolha o nome do fluxo de log para pesquisa.
1. Em **Eventos de log**, insira a sintaxe do filtro a ser usada.
**Para pesquisar todas as entradas de log em um intervalo de tempo usando o console**
1. Abra o CloudWatch console em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. No painel de navegação, escolha **Gerenciamento de registros**.
1. Em **Grupos de logs**, escolha o nome do grupo de logs que contém o fluxo de log a ser pesquisado.
1. Escolha **Pesquisar grupo de logs**.
1. Para **Eventos de log**, selecione o intervalo de data e hora e insira a sintaxe do filtro.
## Pesquisar entradas de registro usando o AWS CLI
Você pode pesquisar entradas de registro que atendam a um critério específico usando AWS CLI o.
**Para pesquisar entradas de registro usando o AWS CLI**
Em um prompt de comando, execute o seguinte comando da [filter-log-events](https://docs.aws.amazon.com/cli/latest/reference/logs/filter-log-events.html). Use `--filter-pattern` para limitar os resultados para o padrão de filtro especificado e `--log-stream-names` para limitar os resultados para os fluxos de logs especificado.
```
aws logs filter-log-events --log-group-name my-group [--log-stream-names LIST_OF_STREAMS_TO_SEARCH] [--filter-pattern VALID_METRIC_FILTER_PATTERN]
```
**Para pesquisar entradas de registro em um determinado intervalo de tempo usando o AWS CLI**
Em um prompt de comando, execute o seguinte [filter-log-events](https://docs.aws.amazon.com/cli/latest/reference/logs/filter-log-events.html)comando:
```
aws logs filter-log-events --log-group-name my-group [--log-stream-names LIST_OF_STREAMS_TO_SEARCH] [--start-time 1482197400000] [--end-time 1482217558365] [--filter-pattern VALID_METRIC_FILTER_PATTERN]
```
## Passar de métricas para logs
Você pode obter entradas de log específicas de outras partes do console.
**Para passar de widgets do painel para logs**
1. Abra o CloudWatch console em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. No painel de navegação, escolha **Painéis**.
1. Escolha um painel.
1. No widget, escolha **Exibir logs** e, em seguida, escolha **Exibir logs neste período**. Se houver mais de um filtro de métrica, selecione um na lista. Se houver mais filtros de métrica do que podemos exibir na lista, escolha **Mais filtros de métrica** e selecione ou procure um filtro de métrica.
**Para passar de métricas para logs**
1. Abra o CloudWatch console em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. No painel de navegação, selecione **Métricas**.
1. No campo de pesquisa na guia **Todas as métricas**, digite o nome da métrica e pressione Enter.
1. Selecione uma ou mais métricas nos resultados da pesquisa.
1. Escolha **Ações**, **Exibir logs**. Se houver mais de um filtro de métrica, selecione um na lista. Se houver mais filtros de métrica do que podemos exibir na lista, escolha **Mais filtros de métrica** e selecione ou procure um filtro de métrica.
## Solução de problemas
**A pesquisa leva muito tempo para ser concluída**
Se você tiver uma grande quantidade de dados de log, pode demorar muito tempo para a pesquisa ser concluída. Para acelerar uma pesquisa, você pode fazer o seguinte:
+ Se você estiver usando o AWS CLI, você pode limitar a pesquisa apenas aos fluxos de log nos quais está interessado. Por exemplo, se seu grupo de registros tiver 1.000 fluxos de registros, mas você quiser ver apenas três fluxos de registros que você sabe que são relevantes, você pode usar o AWS CLI para limitar sua pesquisa somente aos três fluxos de registros dentro do grupo de registros.
+ Use um intervalo de tempo menor, mais granular, o que reduz a quantidade de dados a serem pesquisados e acelera a consulta.
## Alterar a retenção de dados de CloudWatch registro em registros
Por padrão, os dados de registro são armazenados em CloudWatch Registros indefinidamente. No entanto, você pode configurar quanto tempo armazenar os dados de log em um grupo de logs. Todos os dados mais antigos que a configuração de retenção atual serão excluídos. É possível alterar a retenção de logs de cada grupo de logs a qualquer momento.
**nota**
CloudWatch Logs não exclui imediatamente os eventos de registro quando eles atingem a configuração de retenção. Normalmente, demora até 72 horas depois disso para que os eventos de log sejam excluídos, mas em raras situações pode demorar mais.
Isso significa que, se você alterar um grupo de logs para ter uma configuração de retenção mais longa quando ele contiver eventos de log que já passaram da data de expiração, mas que não foram realmente excluídos, esses eventos de log levarão até 72 horas para serem excluídos depois que a nova data de retenção for atingida. Para garantir que os dados de log sejam excluídos permanentemente, mantenha um grupo de logs em sua configuração de retenção inferior a 72 horas após o término do período de retenção anterior ou você ter confirmado que os eventos de log mais antigos foram excluídos.
Quando os eventos de log atingem sua configuração de retenção, eles são marcados para exclusão. Depois de marcados para exclusão, eles não aumentam mais seus custos de armazenamento de arquivamento, mesmo que não sejam realmente excluídos no momento. Esses eventos de logs marcados para exclusão também não são incluídos quando você usa uma API para recuperar o valor `storedBytes` para ver quantos bytes um grupo de logs está armazenando.
**Para alterar a configuração de retenção de logs**
1. Abra o CloudWatch console em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. No painel de navegação, selecione **Logs**, **Grupos de log**.
1. Localize o grupo de logs a ser atualizado.
1. Na coluna **Retenção** para esse grupo de logs, escolha a configuração de retenção atual, como **Nunca expirar**.
1. Em **Configuração de retenção**, em **Expirar eventos após**, escolha um valor de retenção de logs e escolha **Salvar**.
## Protegendo grupos de registros contra exclusão
Opcionalmente, você pode ativar a proteção contra exclusão para evitar a exclusão acidental de grupos de registros importantes. Para obter informações detalhadas sobre proteção contra exclusão, consulte[Protegendo grupos de registros contra exclusão](protecting-log-groups-from-deletion.md).
# Protegendo grupos de registros contra exclusão
## Ativando a proteção contra exclusão
Você pode ativar a proteção contra exclusão ao criar um novo grupo de registros ou em grupos de registros existentes. Durante a criação do grupo de registros, selecione “Proteção de exclusão ativada” ou passe o parâmetro`--deletion-protection-enabled`. Por padrão, a proteção contra exclusão não está ativada.
**Para ativar ou desativar a proteção contra exclusão em um grupo de registros existente (console)**
1. Abra o CloudWatch console em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. No painel de navegação, escolha **Gerenciamento de registros**.
1. Selecione o grupo de registros que você deseja proteger.
1. Escolha **Ações**, **Editar proteção contra exclusão**.
1. Na caixa de diálogo, revise e envie as alterações.
Se estiver usando o AWS CLI, para ativar a proteção contra exclusão em um grupo de registros existente:
```
aws logs put-log-group-deletion-protection \
--log-group-identifier "/my-application/logs" \
--deletion-protection-enabled
```
Para remover a proteção contra exclusão em um grupo de registros existente:
```
aws logs put-log-group-deletion-protection \
--log-group-identifier "/my-application/logs" \
--no-deletion-protection-enabled
```
### Tratamento de erros
Se você tentar excluir um grupo de registros com a proteção de exclusão ativada, receberá uma mensagem `ValidationException` com a mensagem: “Não é possível excluir um grupo de registros com a proteção de exclusão ativada. Desative primeiro a proteção contra exclusão.”
## Marque grupos de registros no Amazon CloudWatch Logs
Você pode atribuir seus próprios metadados aos grupos de registros que você cria no Amazon CloudWatch Logs na forma de *tags*. Marca é um par de chave-valor que você define para um grupo de logs. Usar tags é uma maneira simples, porém poderosa, de gerenciar AWS recursos e organizar dados, incluindo dados de faturamento.
**nota**
Você pode usar tags para controlar o acesso aos recursos do CloudWatch Logs, incluindo grupos e destinos de registros. O acesso aos fluxos de log é controlado no nível do grupo de log, devido à relação hierárquica entre grupos de log e fluxos de log. Para obter mais informações sobre como usar etiquetas para controlar o acesso, consulte [Controlar acesso a recursos da Amazon Web Services usando etiquetas de recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html).
**Topics**
+ [Conceitos Básicos de Tags](#tagging-basics)
+ [Monitorar custos usando a marcação](#tagging-billing)
+ [Restrições de tags](#tagging-restrictions)
+ [Marcando grupos de registros usando o AWS CLI](#log-group-tagging-cli)
+ [Como marcar grupos de registros usando a API CloudWatch Logs](#log-group-tagging-api)
### Conceitos Básicos de Tags
Você usa AWS CloudFormation a API AWS CLI, ou CloudWatch Logs, para concluir as seguintes tarefas:
+ Adicione tags a um grupo de logs ao criá-lo.
+ Adicione tags a um grupo de logs existente.
+ Liste as tags para um grupo de logs.
+ Remova tags de um grupo de logs.
Você pode usar marcas para categorizar seus grupos de logs. Por exemplo, você pode categorizá-las por finalidade, proprietário ou ambiente. Como você define a chave e o valor para cada marca, é possível criar um conjunto de categorias personalizado para atender às suas necessidades específicas. Por exemplo, você pode definir um conjunto de marcas que ajude a monitorar os grupos de log por proprietário e aplicação associada. Aqui estão alguns exemplos de tags:
+ Projeto: nome do projeto
+ Proprietário: nome
+ Objetivo: testes de carga
+ Aplicação: nome da aplicação
+ Ambiente: produção
### Monitorar custos usando a marcação
Você pode usar tags para categorizar e monitorar seus AWS custos. Quando você aplica tags aos seus AWS recursos, incluindo grupos de registros, seu relatório de alocação de AWS custos inclui o uso e os custos agregados por tags. É possível aplicar tags que representem categorias de negócios (como centros de custos, nomes de aplicações ou proprietários) para organizar seus custos de vários serviços. Para obter mais informações, consulte [Usar etiquetas de alocação de custos para relatórios de faturamento personalizados](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) no *Manual do usuário do AWS Billing *.
### Restrições de tags
As restrições a seguir se aplicam a tags.
**Restrições básicas**
+ O número máximo de marcas por grupo de logs é 50.
+ As chaves e valores das tags diferenciam maiúsculas de minúsculas.
+ Você não pode alterar nem editar as marcas de um grupo de logs excluído.
**Restrições de chaves de marcas**
+ Cada chave de tag deve ser exclusiva. Se uma tag for adicionada com uma chave que já estiver em uso, a nova tag substituirá o par de chave-valor existente.
+ Você não pode iniciar uma chave de tag com `aws:` porque esse prefixo é reservado para uso por AWS. AWS cria tags que começam com esse prefixo em seu nome, mas você não pode editá-las nem excluí-las.
+ As chaves de tag devem ter entre 1 e 128 caracteres Unicode.
+ As chaves de tag devem conter os seguintes caracteres: letras Unicode, dígitos, espaço em branco e os seguintes caracteres especiais: `_ . / = + - @`.
**Restrições de valor das tags**
+ Os valores das tags devem ter entre 0 e 255 caracteres Unicode.
+ Os valores das tags podem estar em branco. Caso contrário, eles devem conter os seguintes caracteres: letras Unicode, dígitos, espaço em branco e qualquer um dos seguintes caracteres especiais: `_ . / = + - @`.
### Marcando grupos de registros usando o AWS CLI
É possível adicionar, listar e remover tags usando a AWS CLI. Para obter exemplos, consulte a seguinte documentação:
[create-log-group](https://docs.aws.amazon.com/cli/latest/reference/logs/create-log-group.html)
Cria um grupo de logs. Você também pode adicionar marcas ao criar o grupo de logs.
[tag-resource](https://docs.aws.amazon.com/cli/latest/reference/logs/tag-resource.html)
Atribui uma ou mais tags (pares de valores-chave) ao recurso de registros especificado CloudWatch .
[list-tags-for-resource](https://docs.aws.amazon.com/cli/latest/reference/logs/list-tags-for-resource.html)
Exibe as tags associadas a um recurso de CloudWatch registros.
[untag-resource](https://docs.aws.amazon.com/cli/latest/reference/logs/untag-log-group.html)
Remove uma ou mais tags do recurso de CloudWatch registros especificado.
### Como marcar grupos de registros usando a API CloudWatch Logs
Você pode adicionar, listar e remover tags usando a API CloudWatch Logs. Para obter exemplos, consulte a seguinte documentação:
[CreateLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateLogGroup.html)
Cria um grupo de logs. Você também pode adicionar marcas ao criar o grupo de logs.
[TagResource](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_TagResource.html)
Atribui uma ou mais tags (pares de valores-chave) ao recurso de registros especificado CloudWatch .
[ListTagsForResource](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_ListTagsForResource.html)
Exibe as tags associadas a um recurso de CloudWatch registros.
[UntagResource](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_UntagLogGroup.html)
Remove uma ou mais tags do recurso de CloudWatch registros especificado.
# Criptografe dados de registro no CloudWatch Logs usando AWS Key Management Service
Os dados do grupo de registros são sempre criptografados nos CloudWatch registros. Por padrão, o CloudWatch Logs usa criptografia do lado do servidor com o Galois/Counter Modo Padrão de Criptografia Avançada (AES-GCM) de 256 bits para criptografar dados de registro em repouso. Como alternativa, você pode usar o AWS Key Management Service para essa criptografia. Se você fizer isso, a criptografia será feita usando uma AWS KMS chave. O uso da criptografia AWS KMS é habilitado no nível do grupo de registros, associando uma chave KMS a um grupo de registros, seja quando você cria o grupo de registros ou depois que ele existe.
**Importante**
CloudWatch Os registros agora oferecem suporte ao contexto de criptografia, usando `kms:EncryptionContext:aws:logs:arn` como chave e o ARN do grupo de registros como o valor dessa chave. Se você tiver grupos de logs que já criptografou com uma chave do KMS e quiser restringir a chave de modo que ela seja usada com uma única conta e grupo de logs, atribua uma nova chave do KMS que contenha uma condição na política do IAM. Para obter mais informações, consulte [AWS KMS chaves e contexto de criptografia](#encrypt-log-data-kms-policy).
**Importante**
CloudWatch O Logs agora suporta `kms:ViaService` o que permite que os registros façam AWS KMS chamadas em seu nome. Você deve adicionar isso às suas funções que chamam CloudWatch Logs na sua Política de Chaves ou no IAM. Para maiores informações, veja [kms: ViaService](https://docs.aws.amazon.com/kms/latest/developerguide/conditions-kms.html#conditions-kms-via-service).
Depois que você associar uma chave do KMS a um grupo de logs, todos os novos dados ingeridos para o grupo de logs serão criptografados usando essa chave. Esses dados são armazenados em formato criptografado durante todo o período de retenção. CloudWatch O Logs descriptografa esses dados sempre que solicitados. CloudWatch Os registros devem ter permissões para a chave KMS sempre que dados criptografados forem solicitados.
Se, posteriormente, você desassociar uma chave KMS de um grupo de CloudWatch registros, o Logs criptografará os dados recém-ingeridos usando o método de criptografia padrão do CloudWatch Logs. Todos os dados ingeridos anteriormente que foram criptografados com a chave KMS permanecem criptografados com a chave KMS. CloudWatch Os registros ainda podem retornar esses dados após a desassociação da chave KMS, porque CloudWatch os registros ainda podem continuar referenciando a chave. No entanto, se a chave for desativada posteriormente, o CloudWatch Logs não conseguirá ler os registros que foram criptografados com essa chave.
**Importante**
CloudWatch O Logs suporta somente chaves KMS simétricas. Não use uma chave assimétrica para criptografar os dados em seus grupos de logs. Para obter mais informações, consulte [Usar chaves simétricas e assimétricas](https://docs.aws.amazon.com/kms/latest/developerguide/symmetric-asymmetric.html).
## Limites
+ Para executar as etapas a seguir, é necessário ter as seguintes permissões: `kms:CreateKey`, `kms:GetKeyPolicy` e `kms:PutKeyPolicy`.
+ Depois de associar ou desassociar uma chave de um grupo de logs, pode levar até cinco minutos para que a operação seja efetivada.
+ Se você revogar o acesso do CloudWatch Logs a uma chave associada ou excluir uma chave KMS associada, seus dados criptografados no CloudWatch Logs não poderão mais ser recuperados.
+ Você não pode associar uma chave KMS a um grupo de registros existente usando o CloudWatch console.
## Etapa 1: criar uma AWS KMS chave
Para criar uma chave do KMS, use o seguinte comando [create-key](https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html):
```
aws kms create-key
```
A saída contém o ID de chave e o nome do recurso da Amazon (ARN) da chave. A seguir está um exemplo de saída:
```
{
"KeyMetadata": {
"Origin": "AWS_KMS",
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"Description": "",
"KeyManager": "CUSTOMER",
"Enabled": true,
"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
"KeyUsage": "ENCRYPT_DECRYPT",
"KeyState": "Enabled",
"CreationDate": 1478910250.94,
"Arn": "arn:aws:kms:us-west-2:123456789012:key/6f815f63-e628-448c-8251-e40cb0d29f59",
"AWSAccountId": "123456789012",
"EncryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
]
}
}
```
## Etapa 2: definir permissões na chave do KMS
Por padrão, todas AWS KMS as chaves são privadas. Somente o proprietário do recurso pode usá-la para criptografar e descriptografar dados. No entanto, o proprietário do recurso pode conceder permissões para acessar a chave do KMS a outros usuários e recursos. Com essa etapa, você concede permissão ao diretor do serviço de CloudWatch registros e à função de chamador para usar a chave. Esse principal de serviço deve estar na mesma AWS região em que a chave KMS está armazenada.
Como prática recomendada, recomendamos que você restrinja o uso da chave KMS somente às AWS contas ou grupos de registros que você especificar.
Primeiro, salve a política padrão para sua chave KMS `policy.json` usando o seguinte [get-key-policy](https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html)comando:
```
aws kms get-key-policy --key-id key-id --policy-name default --output text > ./policy.json
```
Abra o arquivo `policy.json` em um editor de texto e adicione a seção em negrito de uma das instruções a seguir. Separe a instrução existente da nova instrução com uma vírgula. Essas declarações usam `Condition` seções para aumentar a segurança da AWS KMS chave. Para obter mais informações, consulte [AWS KMS chaves e contexto de criptografia](#encrypt-log-data-kms-policy).
A seção `Condition` neste exemplo restringe a chave a um único ARN de grupo de logs.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "key-default-1",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Principal": {
"Service": "logs.us-east-1.amazonaws.com"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:Describe*"
],
"Resource": "*",
"Condition": {
"ArnEquals": {
"kms:EncryptionContext:aws:logs:arn": "arn:aws:logs:us-east-1:111122223333:log-group:log-group-name"
}
}
}
]
}
```
------
A seção `Condition` deste exemplo limita o uso da chave do AWS KMS à conta especificada, mas ele pode ser usado para qualquer grupo de logs.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "key-default-1",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Principal": {
"Service": "logs.us-east-1.amazonaws.com"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:Describe*"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"kms:EncryptionContext:aws:logs:arn": "arn:aws:logs:us-east-1:123456789012:*"
}
}
}
]
}
```
------
Em seguida, adicione permissões à função que chamará os CloudWatch Logs. Você pode fazer isso adicionando uma declaração adicional à Política de AWS KMS Chave ou por meio do IAM na própria função. CloudWatch O Logs é usado `kms:ViaService` para fazer chamadas AWS KMS em nome do cliente. Para maiores informações, veja [kms: ViaService](https://docs.aws.amazon.com/kms/latest/developerguide/conditions-kms.html#conditions-kms-via-service).
Para adicionar permissões na Política de AWS KMS chaves, adicione a seguinte declaração adicional à sua política de chaves. Se você usar esse método, como prática recomendada, defina o escopo da política somente para as funções que interagirão com grupos de registros AWS KMS criptografados.
```
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account_id:role/role_name"
},
"Action": [
"kms:Encrypt",
"kms:ReEncrypt*",
"kms:Decrypt",
"kms:GenerateDataKey*",
"kms:Describe*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"logs.region.amazonaws.com"
]
}
}
}
```
Como alternativa, se você quiser gerenciar as permissões de função no IAM, é possível adicionar permissões equivalentes por meio da política a seguir. Isso pode ser adicionado a uma política de função existente ou anexado a uma função como uma política separada adicional. Se você usar esse método, como prática recomendada, defina o escopo da política somente para as AWS KMS chaves que serão usadas para criptografia de log. Para obter mais informações, consulte [Editar políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:ReEncrypt*",
"kms:Decrypt",
"kms:GenerateDataKey*",
"kms:Describe*"
],
"Condition": {
"StringEquals": {
"kms:ViaService": [
"logs.us-east-1.amazonaws.com"
]
}
},
"Resource": "arn:aws:kms:us-east-1:444455556666:key/key_id"
}
]
}
```
------
Por fim, adicione a política atualizada usando o seguinte [put-key-policy](https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html)comando:
```
aws kms put-key-policy --key-id key-id --policy-name default --policy file://policy.json
```
## Etapa 3: associar uma chave do KMS a um grupo de logs
É possível associar uma chave do KMS a um grupo de logs ao criá-la ou posteriormente.
Para descobrir se um grupo de registros já tem uma chave KMS associada, use o seguinte [describe-log-groups](https://docs.aws.amazon.com/cli/latest/reference/logs/describe-log-groups.html)comando:
```
aws logs describe-log-groups --log-group-name-prefix "log-group-name-prefix"
```
Se a saída incluir um campo `kmsKeyId`, o grupo de logs será associado à chave exibida para o valor desse campo.
**Para associar a chave do KMS a um grupo de logs ao criá-lo**
Use o comando [create-log-group](https://docs.aws.amazon.com/cli/latest/reference/logs/create-log-group.html) da seguinte forma:
```
aws logs create-log-group --log-group-name my-log-group --kms-key-id "key-arn"
```
**Para associar a chave do KMS a um grupo de logs existente**
Use o comando [associate-kms-key](https://docs.aws.amazon.com/cli/latest/reference/logs/associate-kms-key.html) da seguinte forma:
```
aws logs associate-kms-key --log-group-name my-log-group --kms-key-id "key-arn"
```
## Etapa 4: desassociar uma chave de um grupo de logs
Para desassociar a chave KMS associada a um grupo de registros, use o seguinte comando: [disassociate-kms-key](https://docs.aws.amazon.com/cli/latest/reference/logs/disassociate-kms-key.html)
```
aws logs disassociate-kms-key --log-group-name my-log-group
```
## AWS KMS chaves e contexto de criptografia
Para aumentar a segurança de suas AWS Key Management Service chaves e de seus grupos de registros criptografados, o CloudWatch Logs agora coloca o grupo de registros ARNs como parte do *contexto de criptografia* usado para criptografar seus dados de registro. O contexto de criptografia é um conjunto de pares de chave/valor que são usados como dados autenticados adicionais. O contexto de criptografia permite que você use as condições da política do IAM para limitar o acesso à sua AWS KMS chave por AWS conta e grupo de registros. Para obter mais informações, consulte [Contexto de criptografia](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) e [Elementos de política JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html).
Recomendamos usar chaves do KMS diferentes para cada grupo de logs criptografado.
Se você tem um grupo de logs criptografado anteriormente e agora deseja alterar o grupo de logs para usar uma nova chave do KMS que funcione somente para esse grupo de logs, siga estas etapas.
**Como converter um grupo de logs criptografado para usar uma chave do KMS com uma política limitando-a a esse grupo de logs**
1. Insira o comando a seguir para localizar o ARN da chave atual do grupo de logs:
```
aws logs describe-log-groups
```
A saída inclui a linha a seguir. Anote o ARN. Ele será necessário na etapa 7.
```
...
"kmsKeyId": "arn:aws:kms:us-west-2:123456789012:key/01234567-89ab-cdef-0123-456789abcdef"
...
```
1. Digite o comando a seguir para criar uma nova chave do KMS:
```
aws kms create-key
```
1. Digite o comando a seguir para salvar a política da nova chave em um arquivo `policy.json`:
```
aws kms get-key-policy --key-id new-key-id --policy-name default --output text > ./policy.json
```
1. Use um editor de texto para abrir `policy.json` e adicionar uma expressão `Condition` à política:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "key-default-1",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Principal": {
"Service": "logs.us-east-1.amazonaws.com"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:Describe*"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"kms:EncryptionContext:aws:logs:arn": "arn:aws:logs:us-east-1:111122223333:log-group:LOG-GROUP-NAME"
}
}
}
]
}
```
------
1. Insira o comando a seguir para adicionar a política atualizada à nova chave do KMS:
```
aws kms put-key-policy --key-id new-key-ARN --policy-name default --policy file://policy.json
```
1. Digite o comando a seguir para associar a política ao seu grupo de logs:
```
aws logs associate-kms-key --log-group-name my-log-group --kms-key-id new-key-ARN
```
CloudWatch Agora, os registros criptografam todos os novos dados usando a nova chave.
1. Depois, revogue todas as permissões, exceto `Decrypt` da chave antiga. Primeiro, digite o comando a seguir para recuperar a política antiga:
```
aws kms get-key-policy --key-id old-key-ARN --policy-name default --output text > ./policy.json
```
1. Use um editor de texto para abrir `policy.json` e remover todos os valores da lista `Action`, exceto `kms:Decrypt`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "key-default-1",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Principal": {
"Service": "logs.region.amazonaws.com"
},
"Action": [
"kms:Decrypt"
],
"Resource": "*"
}
]
}
```
------
1. Insira o comando a seguir para adicionar a política atualizada à antiga chave:
```
aws kms put-key-policy --key-id old-key-ARN --policy-name default --policy file://policy.json
```
# Ajude a proteger dados de log confidenciais com mascaramento
Você pode ajudar a proteger dados confidenciais que são ingeridos pelo CloudWatch Logs usando políticas de *proteção de dados* de grupos de registros. Essas políticas permitem auditar e mascarar dados confidenciais que aparecem nos eventos de log consumidos pelos grupos de logs na sua conta.
Quando você cria uma política de proteção de dados, por padrão, os dados confidenciais que correspondem aos identificadores de dados selecionados são mascarados em todos os pontos de saída, incluindo CloudWatch Logs Insights, filtros métricos e filtros de assinatura. Somente usuários com a permissão do IAM `logs:Unmask` podem visualizar dados não mascarados.
Você pode criar uma política de proteção de dados para todos os grupos de logs da sua conta, além de criar políticas de proteção de dados para grupos de logs individuais. Ao criar uma política para toda a conta, ela se aplica tanto aos grupos de logs existentes quanto aos grupos de logs que forem criados no futuro.
Se você criar uma política de proteção de dados para toda a conta e também criar uma política para um único grupo de logs, as duas políticas serão aplicáveis a esse grupo de logs. Todos os identificadores de dados gerenciados especificados em qualquer política são auditados e mascarados nesse grupo de logs.
**nota**
O mascaramento de dados confidenciais é suportado para grupos de registros nas classes de registro de acesso padrão e infrequente. Para obter mais informações sobre classes de logs, consulte [Classes de logs](CloudWatch_Logs_Log_Classes.md).
Cada grupo de logs pode ter somente uma política de proteção de dados em nível de grupo de logs, mas essa política pode especificar vários identificadores de dados gerenciados para auditoria e mascaramento. O limite de uma política de proteção de dados é de 30.720 caracteres.
**Importante**
Os dados confidenciais são detectados e mascarados quando são ingeridos no grupo de logs. Quando você define uma política de proteção de dados, os eventos de log ingeridos no grupo de logs antes dessa hora não são mascarados.
CloudWatch O Logs oferece suporte a vários *identificadores de dados gerenciados*, que oferecem tipos de dados pré-configurados que você pode selecionar para proteger dados financeiros, informações pessoais de saúde (PHI) e informações de identificação pessoal (PII). CloudWatch A proteção de dados de registros permite que você aproveite a correspondência de padrões e os modelos de aprendizado de máquina para detectar dados confidenciais. Para alguns tipos de dados, a detecção depende também de certas palavras-chave serem encontradas próximas aos dados confidenciais. Também é possível usar identificadores de dados personalizados para criar identificadores de dados personalizados para um caso de uso específico.
CloudWatch Quando dados confidenciais são detectados, é emitida uma métrica que corresponde aos identificadores de dados selecionados. Essa é a **LogEventsWithFindings**métrica e é emitida no namespace **AWS/Logs**. Você pode usar essa métrica para criar CloudWatch alarmes e visualizá-la em gráficos e painéis. As métricas emitidas pela proteção de dados são métricas vendidas e gratuitas. Para obter mais informações sobre as métricas para as CloudWatch quais o Logs envia CloudWatch, consulte[Monitoramento com CloudWatch métricas](CloudWatch-Logs-Monitoring-CloudWatch-Metrics.md).
Cada identificador de dados gerenciados foi projetado para detectar um tipo específico de dados confidenciais, como números de cartão de crédito, chaves de acesso AWS secretas ou números de passaportes de um determinado país ou região. Ao criar uma política de proteção de dados, você pode configurá-la para usar esses identificadores para analisar logs ingeridos pelo grupo de logs e executar ações quando forem detectados.
CloudWatch A proteção de dados de registros pode detectar as seguintes categorias de dados confidenciais usando identificadores de dados gerenciados:
+ Credenciais, como chaves privadas ou chaves de acesso AWS secretas
+ Informações financeiras, como números de cartão de crédito
+ Informações de identificação pessoal (PII), como carteiras de motorista ou números de previdência social
+ Informações de saúde protegidas (PHI), como seguro de saúde ou números de identificação médica
+ Identificadores de dispositivos, como endereços IP ou endereços MAC
Para obter detalhes sobre os tipos de dados que você pode proteger, consulte [Tipos de dados que você pode proteger](protect-sensitive-log-data-types.md).
**Contents**
+ [Noções básicas sobre políticas de proteção de dados](cloudwatch-logs-data-protection-policies.md)
+ [O que são políticas de proteção de dados?](cloudwatch-logs-data-protection-policies.md#what-are-data-protection-policies)
+ [Como a política de proteção de dados é estruturada?](cloudwatch-logs-data-protection-policies.md#overview-of-data-protection-policies)
+ [Propriedades JSON para a política de proteção de dados](cloudwatch-logs-data-protection-policies.md#data-protection-policy-json-properties)
+ [Propriedades JSON para uma declaração de política](cloudwatch-logs-data-protection-policies.md#policy-statement-json-properties)
+ [Propriedades JSON para uma operação de declaração de política](cloudwatch-logs-data-protection-policies.md#statement-operation-json-properties)
+ [Permissões de IAM necessárias para criar ou trabalhar com uma política de proteção de dados](data-protection-policy-permissions.md)
+ [Permissões necessárias para políticas de proteção de dados no nível da conta](data-protection-policy-permissions.md#data-protection-policy-permissions-accountlevel)
+ [Permissões necessárias para políticas de proteção de dados para um único grupo de logs](data-protection-policy-permissions.md#data-protection-policy-permissions-loggroup)
+ [Amostra da política de proteção de dados](data-protection-policy-permissions.md#data-protection-policy-sample)
+ [Criar uma política de proteção de dados para toda a conta](mask-sensitive-log-data-accountlevel.md)
+ [Console](mask-sensitive-log-data-accountlevel.md#mask-sensitive-log-data-accountlevel-console)
+ [AWS CLI](mask-sensitive-log-data-accountlevel.md#mask-sensitive-log-data-accountlevel-cli)
+ [Sintaxe da política de proteção de dados para AWS CLI nossas operações de API](mask-sensitive-log-data-accountlevel.md#mask-sensitive-log-data-policysyntax-account)
+ [Criar uma política de proteção de dados para um único grupo de logs](mask-sensitive-log-data-start.md)
+ [Console](mask-sensitive-log-data-start.md#mask-sensitive-log-data-start-console)
+ [AWS CLI](mask-sensitive-log-data-start.md#mask-sensitive-log-data-start-cli)
+ [Sintaxe da política de proteção de dados para AWS CLI nossas operações de API](mask-sensitive-log-data-start.md#mask-sensitive-log-data-policysyntax)
+ [Exibir dados não mascarados](mask-sensitive-log-data-viewunmasked.md)
+ [Relatórios de descobertas de auditoria](mask-sensitive-log-data-audit-findings.md)
+ [Política-chave necessária para enviar resultados de auditoria a um bucket protegido por AWS KMS](mask-sensitive-log-data-audit-findings.md#mask-sensitive-log-data-audit-findings-kms)
+ [Tipos de dados que você pode proteger](protect-sensitive-log-data-types.md)
+ [CloudWatch Registra identificadores de dados gerenciados para tipos de dados confidenciais](CWL-managed-data-identifiers.md)
+ [Credenciais](protect-sensitive-log-data-types-credentials.md)
+ [Identificador de dados ARNs para tipos de dados de credenciais](protect-sensitive-log-data-types-credentials.md#cwl-data-protection-credentials-arns)
+ [Identificadores de dispositivo](protect-sensitive-log-data-types-device.md)
+ [Identificador de dados ARNs para tipos de dados de dispositivos](protect-sensitive-log-data-types-device.md#cwl-data-protection-devices-arns)
+ [Informações financeiras](protect-sensitive-log-data-types-financial.md)
+ [Identificador de dados ARNs para tipos de dados financeiros](protect-sensitive-log-data-types-financial.md#cwl-data-protection-financial-arns)
+ [Informações de saúde protegidas (PHI)](protect-sensitive-log-data-types-health.md)
+ [Identificador de dados ARNs para tipos de dados de informações de saúde protegidas (PHI)](protect-sensitive-log-data-types-health.md#cwl-data-protection-phi-arns)
+ [Informações de identificação pessoal (PII)](protect-sensitive-log-data-types-pii.md)
+ [Palavras-chave para números de identificação da carteira de habilitação](protect-sensitive-log-data-types-pii.md#CWL-managed-data-identifiers-pii-dl-keywords)
+ [Palavras-chave para números de identificação nacional](protect-sensitive-log-data-types-pii.md#CWL-managed-data-identifiers-pii-natlid-keywords)
+ [Palavras-chave para números de passaporte](protect-sensitive-log-data-types-pii.md#CWL-managed-data-identifiers-pii-passport-keywords)
+ [Palavras-chave para identificação do contribuinte e números de referência](protect-sensitive-log-data-types-pii.md#CWL-managed-data-identifiers-financial-tin-keywords)
+ [Identificador de dados ARNs para informações de identificação pessoal (PII)](protect-sensitive-log-data-types-pii.md#CWL-data-protection-pii-arns)
+ [Identificadores de dados personalizados](CWL-custom-data-identifiers.md)
+ [O que são identificadores de dados personalizados?](CWL-custom-data-identifiers.md#what-are-custom-data-identifiers)
+ [Restrições de identificadores de dados personalizados](CWL-custom-data-identifiers.md#custom-data-identifiers-constraints)
+ [Uso de identificadores de dados personalizados no console](CWL-custom-data-identifiers.md#using-custom-data-identifiers-console)
+ [Usar identificadores de dados personalizados na política de proteção de dados](CWL-custom-data-identifiers.md#using-custom-data-identifiers)
# Noções básicas sobre políticas de proteção de dados
**Topics**
+ [O que são políticas de proteção de dados?](#what-are-data-protection-policies)
+ [Como a política de proteção de dados é estruturada?](#overview-of-data-protection-policies)
## O que são políticas de proteção de dados?
CloudWatch O Logs usa **políticas de proteção** de dados para selecionar os dados confidenciais que você deseja verificar e as ações que você deseja tomar para proteger esses dados. Para selecionar os dados confidenciais de interesse, você usa [identificadores de dados](CWL-managed-data-identifiers.md). CloudWatch A proteção de dados de registros e, em seguida, detecta os dados confidenciais usando aprendizado de máquina e correspondência de padrões. Para agir sobre identificadores de dados encontrados, você pode definir **operações** de **auditoria e desidentificação**. Essas operações permitem registrar os dados confidenciais encontrados (ou não encontrados) e mascarar os dados sensíveis quando os eventos de log são exibidos.
## Como a política de proteção de dados é estruturada?
Como mostrado na figura abaixo, um documento de política de proteção de dados inclui os seguintes elementos:
+ Informações opcionais da política na parte superior do documento
+ Uma declaração que define as ações de auditoria e desidentificação
Somente uma política de proteção de dados pode ser definida por grupo de CloudWatch registros de registros. A política de proteção de dados pode ter uma ou mais instruções de negação ou desidentificação, mas somente uma instrução de auditoria.
### Propriedades JSON para a política de proteção de dados
Uma política de proteção de dados requer as seguintes informações básicas de política para identificação:
+ **Nome**: o nome da política.
+ **Descrição** (Opcional): a descrição da política.
+ **Versão**: a versão do idioma das políticas. A versão atual é 2021-06-01.
+ **Declaração**: uma lista de declarações que especificam as ações da política de proteção de dados.
```
{
"Name": "CloudWatchLogs-PersonalInformation-Protection",
"Description": "Protect basic types of sensitive data",
"Version": "2021-06-01",
"Statement": [
...
]
}
```
### Propriedades JSON para uma declaração de política
Uma declaração de política define o contexto de detecção para a operação de proteção de dados.
+ **Sid** (Opcional): o identificador da declaração.
+ **DataIdentifier**— Os dados confidenciais que os CloudWatch registros devem verificar. Por exemplo, nome, endereço ou número de telefone.
+ **Operação** **— As ações subsequentes, seja **Auditoria ou Desidentificação**.** CloudWatch O Logs executa essas ações quando encontra dados confidenciais.
```
{
...
"Statement": [
{
"Sid": "audit-policy",
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/Address"
],
"Operation": {
"Audit": {
"FindingsDestination": {}
}
}
},
```
### Propriedades JSON para uma operação de declaração de política
Uma declaração de política define uma das operações de proteção de dados a seguir.
+ **Auditoria** — emite relatórios de métricas e descobertas sem interromper os logs. As sequências de caracteres correspondentes incrementam a **LogEventsWithFindings**métrica que o CloudWatch Logs publica no namespace **AWS/Logs**. CloudWatch É possível usar essas métricas para criar alarmes.
Para obter um exemplo de um relatório de descobertas, consulte [Relatórios de descobertas de auditoria](mask-sensitive-log-data-audit-findings.md).
Para obter mais informações sobre as métricas para as CloudWatch quais o Logs envia CloudWatch, consulte[Monitoramento com CloudWatch métricas](CloudWatch-Logs-Monitoring-CloudWatch-Metrics.md).
+ **Desidentificar** — mascare os dados confidenciais sem interromper os logs.
# Permissões de IAM necessárias para criar ou trabalhar com uma política de proteção de dados
Para poder trabalhar com políticas de proteção de dados para grupos de logs, você deve ter certas permissões, conforme mostrado nas tabelas a seguir. As permissões são diferentes para políticas de proteção de dados em toda a conta e para políticas de proteção de dados aplicáveis a um único grupo de logs.
## Permissões necessárias para políticas de proteção de dados no nível da conta
**nota**
Se você estiver executando qualquer uma dessas operações dentro de uma função do Lambda, a função de execução do Lambda e o limite de permissões também devem incluir as seguintes permissões.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/AmazonCloudWatch/latest/logs/data-protection-policy-permissions.html)
Se algum log de auditoria de proteção de dados já estiver sendo enviado para um destino, outras políticas que enviam logs para o mesmo destino precisarão apenas das permissões `logs:PutDataProtectionPolicy` e `logs:CreateLogDelivery`.
## Permissões necessárias para políticas de proteção de dados para um único grupo de logs
**nota**
Se você estiver executando qualquer uma dessas operações dentro de uma função do Lambda, a função de execução do Lambda e o limite de permissões também devem incluir as seguintes permissões.
| Operation | Permissão necessárias do IAM | Recurso |
| --- | --- | --- |
| Criar uma política de proteção de dados sem destinos de auditoria | `logs:PutDataProtectionPolicy` | `arn:aws:logs:::log-group:YOUR_LOG_GROUP:*` |
| Crie uma política de proteção de dados com o CloudWatch Logs como destino de auditoria | `logs:PutDataProtectionPolicy` `logs:CreateLogDelivery` `logs:PutResourcePolicy` `logs:DescribeResourcePolicies` `logs:DescribeLogGroups` | `arn:aws:logs:::log-group:YOUR_LOG_GROUP:*` `*` `*` `*` `*` |
| Criar uma política de proteção de dados com o Firehose como destino de auditoria | `logs:PutDataProtectionPolicy` `logs:CreateLogDelivery` `firehose:TagDeliveryStream` | `arn:aws:logs:::log-group:YOUR_LOG_GROUP:*` `*` `arn:aws:logs:::deliverystream/YOUR_DELIVERY_STREAM` |
| Criar uma política de proteção de dados com o Amazon S3 como destino de auditoria | `logs:PutDataProtectionPolicy` `logs:CreateLogDelivery` `s3:GetBucketPolicy` `s3:PutBucketPolicy` | `arn:aws:logs:::log-group:YOUR_LOG_GROUP:*` `*` `arn:aws:s3:::YOUR_BUCKET` `arn:aws:s3:::YOUR_BUCKET` |
| Desmascarar eventos de logs | `logs:Unmask` | `arn:aws:logs:::log-group:YOUR_LOG_GROUP:*` |
| Ver uma política de proteção de dados existente | `logs:GetDataProtectionPolicy` | `arn:aws:logs:::log-group:YOUR_LOG_GROUP:*` |
| Excluir uma política de proteção de dados | `logs:DeleteDataProtectionPolicy` | `arn:aws:logs:::log-group:YOUR_LOG_GROUP:*` |
Se algum log de auditoria de proteção de dados já estiver sendo enviado para um destino, outras políticas que enviam logs para o mesmo destino precisarão apenas das permissões `logs:PutDataProtectionPolicy` e `logs:CreateLogDelivery`.
## Amostra da política de proteção de dados
O exemplo de política a seguir permite que um usuário crie, visualize e exclua políticas de proteção de dados que podem enviar descobertas de auditoria para todos os três tipos de destinos de auditoria. Ele não permite que o usuário visualize dados não mascarados.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowLogDeliveryConfiguration",
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:PutResourcePolicy",
"logs:DescribeLogGroups",
"logs:DescribeResourcePolicies"
],
"Resource": "*"
},
{
"Sid": "AllowDataProtectionAndBucketConfiguration",
"Effect": "Allow",
"Action": [
"logs:GetDataProtectionPolicy",
"logs:DeleteDataProtectionPolicy",
"logs:PutDataProtectionPolicy",
"s3:PutBucketPolicy",
"firehose:TagDeliveryStream",
"s3:GetBucketPolicy"
],
"Resource": [
"arn:aws:firehose:us-east-1:111122223333:deliverystream/delivery-stream-name",
"arn:aws:s3:::amzn-s3-demo-destination-bucket",
"arn:aws:logs:us-east-1:111122223333:log-group:log-group-name:*"
]
}
]
}
```
------
# Criar uma política de proteção de dados para toda a conta
Você pode usar o console de CloudWatch registros ou AWS CLI os comandos para criar uma política de proteção de dados para mascarar dados confidenciais de todos os grupos de registros em sua conta. Isso afeta os grupos de logs atuais e os grupos de logs que você criar no futuro.
**Importante**
Os dados confidenciais são detectados e mascarados quando são ingeridos no grupo de logs. Quando você define uma política de proteção de dados, os eventos de log ingeridos no grupo de logs antes dessa hora não são mascarados.
**Topics**
+ [Console](#mask-sensitive-log-data-accountlevel-console)
+ [AWS CLI](#mask-sensitive-log-data-accountlevel-cli)
## Console
**Para usar o console a fim de criar uma política de proteção de dados para toda a conta**
1. Abra o CloudWatch console em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. No painel de navegação, selecione **Configurações**. Ele está localizado no final da lista.
1. Escolha a guia **Logs**.
1. Selecione **Configurar**.
1. Em **Identificadores de dados gerenciados**, selecione os tipos de dados que você deseja auditar e mascarar para todos os grupos de logs. Você pode digitar na caixa de seleção para encontrar os identificadores que deseja.
Recomendamos que você selecione apenas os identificadores de dados relevantes para seus dados de log e sua empresa. A escolha de muitos tipos de dados pode levar a falsos positivos.
Para obter detalhes sobre quais tipos de dados que você pode proteger, consulte [Tipos de dados que você pode proteger](protect-sensitive-log-data-types.md).
1. (Opcional) Se você quiser auditar e mascarar outros tipos de dados usando identificadores de dados personalizados, escolha **Adicionar identificador de dados personalizado**. Em seguida, insira um nome para o tipo de dados e a expressão regular a ser usada para pesquisar esse tipo de dados nos eventos de log. Para obter mais informações, consulte [Identificadores de dados personalizados](CWL-custom-data-identifiers.md).
Uma única política de proteção de dados pode incluir até 10 identificadores de dados personalizados. Cada expressão regular que define um identificador de dados personalizado deve ter no máximo 200 caracteres.
1. (Opcional) Escolha um ou mais serviços para enviar as descobertas da auditoria. Mesmo se você optar por não enviar descobertas de auditoria a nenhum desses serviços, os tipos de dados confidenciais selecionados ainda serão mascarados.
1. Escolha **Activate data protection (Ativar proteção de dados)**.
## AWS CLI
**Para usar o AWS CLI para criar uma política de proteção de dados**
1. Use um editor de texto para criar um arquivo de política chamado `DataProtectionPolicy.json`. Para obter informações sobre a sintaxe da política, consulte a seção a seguir.
1. Digite o comando:
```
aws logs put-account-policy \
--policy-name TEST_POLICY --policy-type "DATA_PROTECTION_POLICY" \
--policy-document file://policy.json \
--scope "ALL" \
--region us-west-2
```
### Sintaxe da política de proteção de dados para AWS CLI nossas operações de API
Quando você cria uma política de proteção de dados JSON para usar em um AWS CLI comando ou operação de API, a política deve incluir dois blocos JSON:
+ O primeiro bloco deve incluir uma matriz `DataIdentifer` e uma propriedade `Operation` com uma ação `Audit`. A matriz `DataIdentifer` faz uma lista com os tipos de dados sigilosos que você deseja mascarar. Para obter mais informações sobre as opções disponíveis, consulte [Tipos de dados que você pode proteger](protect-sensitive-log-data-types.md).
A propriedade `Operation` com uma ação `Audit` é necessária para encontrar os termos de dados confidenciais. Essa ação `Audit` deve conter um objeto `FindingsDestination`. Opcionalmente, você pode usar esse objeto `FindingsDestination` para listar um ou mais destinos para enviar relatórios de descobertas de auditoria. Se você especificar destinos como grupos de logs, fluxos do Amazon Data Firehose e buckets do S3, eles já deverão existir. Para obter um exemplo de um relatório de constatações de auditoria, consulte [Relatórios de descobertas de auditoria](mask-sensitive-log-data-audit-findings.md).
+ O segundo bloco deve incluir uma matriz `DataIdentifer` e uma propriedade `Operation` com uma ação `Deidentify`. A matriz `DataIdentifer` deve corresponder exatamente à matriz `DataIdentifer` no primeiro bloco da política.
A propriedade `Operation` com a ação `Deidentify` é o que realmente mascara os dados e deve conter o objeto ` "MaskConfig": {}`. O objeto ` "MaskConfig": {}` deve estar vazio.
O exemplo de política de proteção de dados a seguir só usa identificadores de dados gerenciados. Essa política mascara os endereços de e-mail e as carteiras de habilitação dos Estados Unidos.
Para obter informações sobre políticas que especificam identificadores de dados personalizados, consulte [Usar identificadores de dados personalizados na política de proteção de dados](CWL-custom-data-identifiers.md#using-custom-data-identifiers).
```
{
"Name": "data-protection-policy",
"Description": "test description",
"Version": "2021-06-01",
"Statement": [{
"Sid": "audit-policy",
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/EmailAddress",
"arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
],
"Operation": {
"Audit": {
"FindingsDestination": {
"CloudWatchLogs": {
"LogGroup": "EXISTING_LOG_GROUP_IN_YOUR_ACCOUNT,"
},
"Firehose": {
"DeliveryStream": "EXISTING_STREAM_IN_YOUR_ACCOUNT"
},
"S3": {
"Bucket": "EXISTING_BUCKET"
}
}
}
}
},
{
"Sid": "redact-policy",
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/EmailAddress",
"arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
],
"Operation": {
"Deidentify": {
"MaskConfig": {}
}
}
}
]
}
```
# Criar uma política de proteção de dados para um único grupo de logs
Você pode usar o console de CloudWatch registros ou AWS CLI os comandos para criar uma política de proteção de dados para mascarar dados confidenciais.
Você pode atribuir uma política de proteção de dados a cada grupo de logs. Cada política de proteção de dados pode auditar vários tipos de informações. Cada política de proteção de dados pode incluir uma declaração de auditoria.
**Topics**
+ [Console](#mask-sensitive-log-data-start-console)
+ [AWS CLI](#mask-sensitive-log-data-start-cli)
## Console
**Para usar o console para criar uma política de proteção de dados**
1. Abra o CloudWatch console em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. No painel de navegação, selecione **Logs**, **Grupos de log**.
1. Escolha o nome do grupo de logs.
1. Escolha **Actions (Ações)**, **Create data protection policy (Criar política de proteção de dados)**.
1. Em **Identificadores de dados gerenciados**, selecione os tipos de dados que você deseja auditar e mascarar nesse grupo de logs. Você pode digitar na caixa de seleção para encontrar os identificadores que deseja.
Recomendamos que você selecione apenas os identificadores de dados relevantes para seus dados de log e sua empresa. A escolha de muitos tipos de dados pode levar a falsos positivos.
Para obter detalhes sobre quais são os tipos de dados que você pode proteger, consulte [Tipos de dados que você pode proteger](protect-sensitive-log-data-types.md).
1. (Opcional) Se você quiser auditar e mascarar outros tipos de dados usando identificadores de dados personalizados, escolha **Adicionar identificador de dados personalizado**. Em seguida, insira um nome para o tipo de dados e a expressão regular a ser usada para pesquisar esse tipo de dados nos eventos de log. Para obter mais informações, consulte [Identificadores de dados personalizados](CWL-custom-data-identifiers.md).
Uma única política de proteção de dados pode incluir até 10 identificadores de dados personalizados. Cada expressão regular que define um identificador de dados personalizado deve ter no máximo 200 caracteres.
1. (Opcional) Escolha um ou mais serviços para enviar as descobertas da auditoria. Mesmo se você optar por não enviar descobertas de auditoria a nenhum desses serviços, os tipos de dados confidenciais selecionados ainda serão mascarados.
1. Escolha **Activate data protection (Ativar proteção de dados)**.
## AWS CLI
**Para usar o AWS CLI para criar uma política de proteção de dados**
1. Use um editor de texto para criar um arquivo de política chamado `DataProtectionPolicy.json`. Para obter informações sobre a sintaxe da política, consulte a seção a seguir.
1. Digite o comando:
```
aws logs put-data-protection-policy --log-group-identifier "my-log-group" --policy-document file:///Path/DataProtectionPolicy.json --region us-west-2
```
### Sintaxe da política de proteção de dados para AWS CLI nossas operações de API
Quando você cria uma política de proteção de dados JSON para usar em um AWS CLI comando ou operação de API, a política deve incluir dois blocos JSON:
+ O primeiro bloco deve incluir uma matriz `DataIdentifer` e uma propriedade `Operation` com uma ação `Audit`. A matriz `DataIdentifer` faz uma lista com os tipos de dados sigilosos que você deseja mascarar. Para obter mais informações sobre as opções disponíveis, consulte [Tipos de dados que você pode proteger](protect-sensitive-log-data-types.md).
A propriedade `Operation` com uma ação `Audit` é necessária para encontrar os termos de dados confidenciais. Essa ação `Audit` deve conter um objeto `FindingsDestination`. Opcionalmente, você pode usar esse objeto `FindingsDestination` para listar um ou mais destinos para enviar relatórios de descobertas de auditoria. Se você especificar destinos como grupos de logs, fluxos do Amazon Data Firehose e buckets do S3, eles já deverão existir. Para obter um exemplo de um relatório de constatações de auditoria, consulte [Relatórios de descobertas de auditoria](mask-sensitive-log-data-audit-findings.md).
+ O segundo bloco deve incluir uma matriz `DataIdentifer` e uma propriedade `Operation` com uma ação `Deidentify`. A matriz `DataIdentifer` deve corresponder exatamente à matriz `DataIdentifer` no primeiro bloco da política.
A propriedade `Operation` com a ação `Deidentify` é o que realmente mascara os dados e deve conter o objeto ` "MaskConfig": {}`. O objeto ` "MaskConfig": {}` deve estar vazio.
Veja a seguir um exemplo de política de proteção de dados que mascara endereços de e-mail e carteiras de habilitação dos Estados Unidos.
```
{
"Name": "data-protection-policy",
"Description": "test description",
"Version": "2021-06-01",
"Statement": [{
"Sid": "audit-policy",
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/EmailAddress",
"arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
],
"Operation": {
"Audit": {
"FindingsDestination": {
"CloudWatchLogs": {
"LogGroup": "EXISTING_LOG_GROUP_IN_YOUR_ACCOUNT,"
},
"Firehose": {
"DeliveryStream": "EXISTING_STREAM_IN_YOUR_ACCOUNT"
},
"S3": {
"Bucket": "EXISTING_BUCKET"
}
}
}
}
},
{
"Sid": "redact-policy",
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/EmailAddress",
"arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
],
"Operation": {
"Deidentify": {
"MaskConfig": {}
}
}
}
]
}
```
# Exibir dados não mascarados
Para visualizar dados não mascarados, o usuário deve ter a permissão `logs:Unmask`. Os usuários com essa permissão podem ver os dados não mascarados das seguintes maneiras:
+ Ao visualizar os eventos em um fluxo de logs, escolha **Display (Exibir)**, **Unmask (Desmascarar)**.
+ Use uma consulta do CloudWatch Logs Insights que inclua o comando **unmask (@message)**. O exemplo de consulta a seguir exibe os 20 eventos de logs mais recentes no stream, desmascarados:
```
fields @timestamp, @message, unmask(@message)
| sort @timestamp desc
| limit 20
```
Para obter mais informações sobre CloudWatch os comandos do Logs Insights, consulte[CloudWatch Sintaxe de consulta de linguagem do Logs Insights](CWL_QuerySyntax.md).
+ Use uma [ FilterLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_FilterLogEvents.html)operação [ GetLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogEvents.html)ou com o `unmask` parâmetro.
A **CloudWatchLogsFullAccess**política inclui a `logs:Unmask` permissão. Para conceder `logs:Unmask` a um usuário que não tem **CloudWatchLogsFullAccess**, você pode anexar uma política personalizada do IAM a esse usuário. Para obter mais informações, consulte [ Incluindo permissões para um usuário (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console).
# Relatórios de descobertas de auditoria
Se você configurar as políticas de auditoria de proteção de dados do CloudWatch Logs para escrever relatórios de auditoria no CloudWatch Logs, no Amazon S3 ou no Firehose, esses relatórios de descobertas serão semelhantes ao exemplo a seguir. CloudWatch O Logs grava um relatório de descobertas para cada evento de registro que contém dados confidenciais.
```
{
"auditTimestamp": "2023-01-23T21:11:20Z",
"resourceArn": "arn:aws:logs:us-west-2:111122223333:log-group:/aws/lambda/MyLogGroup:*",
"dataIdentifiers": [
{
"name": "EmailAddress",
"count": 2,
"detections": [
{
"start": 13,
"end": 26
},
{
"start": 30,
"end": 43
}
]
}
]
}
```
Os campos do relatório são os seguintes:
+ O campo `resourceArn` exibe o grupo de logs onde os dados confidenciais foram encontrados.
+ O objeto `dataIdentifiers` exibe informações sobre as descobertas de um tipo de dados confidenciais que você está auditando.
+ O campo `name` identifica o tipo de dados confidenciais sobre os quais esta seção está relatando.
+ O campo `count` exibe o número de vezes que esse tipo de dado confidencial aparece no evento de logs.
+ Os campos `end` e`start` mostram onde no evento de logs, por contagem de caracteres, cada ocorrência dos dados confidenciais aparece.
O exemplo anterior mostra um relatório de localização de dois endereços de e-mail em um evento de logs. O primeiro endereço de e-mail começa no 13º caractere do evento de logs e termina no 26º caractere. O segundo endereço de e-mail vai do 30º caractere ao 43º caractere. Mesmo que esse evento de log tenha dois endereços de e-mail, o valor da métrica `LogEventsWithFindings` é incrementado apenas em um, porque essa métrica conta o número de eventos de log que contêm dados confidenciais, não o número de ocorrências de dados confidenciais.
## Política-chave necessária para enviar resultados de auditoria a um bucket protegido por AWS KMS
É possível proteger os dados em um bucket do Amazon S3 habilitando a criptografia no lado do servidor com as chaves gerenciadas pelo Amazon S3 (SSE-S3) ou a criptografia no lado do servidor com as chaves do KMS (SSE-KMS). Para obter mais informações, consulte [Proteger dados usando criptografia do lado do servidor](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html) no Guia do usuário do Amazon S3.
Se você enviar as descobertas de auditoria para um bucket protegido por SSE-S3, nenhuma configuração adicional será necessária. O Amazon S3 lida com a chave de criptografia.
Se você enviar as descobertas de auditoria para um bucket protegido por SSE-KMS, deverá atualizar a política de chaves para a chave do KMS para que a conta de entrega de logs possa gravar no bucket do S3. Para obter mais informações sobre a política de chaves necessária para uso com o SSE-KMS, consulte [Criptografia no lado do servidor de bucket do Amazon S3](AWS-logs-infrastructure-S3.md#AWS-logs-SSE-KMS-S3) o Guia do usuário do Amazon CloudWatch Logs.
# Tipos de dados que você pode proteger
Esta seção contém informações sobre os tipos de dados que você pode proteger em uma política de proteção de dados do CloudWatch Logs. CloudWatch Os identificadores de dados gerenciados do Logs oferecem tipos de dados pré-configurados para proteger dados financeiros, informações pessoais de saúde (PHI) e informações de identificação pessoal (PII). Também é possível usar identificadores de dados personalizados para criar identificadores de dados personalizados para um caso de uso específico.
**Contents**
+ [CloudWatch Registra identificadores de dados gerenciados para tipos de dados confidenciais](CWL-managed-data-identifiers.md)
+ [Credenciais](protect-sensitive-log-data-types-credentials.md)
+ [Identificador de dados ARNs para tipos de dados de credenciais](protect-sensitive-log-data-types-credentials.md#cwl-data-protection-credentials-arns)
+ [Identificadores de dispositivo](protect-sensitive-log-data-types-device.md)
+ [Identificador de dados ARNs para tipos de dados de dispositivos](protect-sensitive-log-data-types-device.md#cwl-data-protection-devices-arns)
+ [Informações financeiras](protect-sensitive-log-data-types-financial.md)
+ [Identificador de dados ARNs para tipos de dados financeiros](protect-sensitive-log-data-types-financial.md#cwl-data-protection-financial-arns)
+ [Informações de saúde protegidas (PHI)](protect-sensitive-log-data-types-health.md)
+ [Identificador de dados ARNs para tipos de dados de informações de saúde protegidas (PHI)](protect-sensitive-log-data-types-health.md#cwl-data-protection-phi-arns)
+ [Informações de identificação pessoal (PII)](protect-sensitive-log-data-types-pii.md)
+ [Palavras-chave para números de identificação da carteira de habilitação](protect-sensitive-log-data-types-pii.md#CWL-managed-data-identifiers-pii-dl-keywords)
+ [Palavras-chave para números de identificação nacional](protect-sensitive-log-data-types-pii.md#CWL-managed-data-identifiers-pii-natlid-keywords)
+ [Palavras-chave para números de passaporte](protect-sensitive-log-data-types-pii.md#CWL-managed-data-identifiers-pii-passport-keywords)
+ [Palavras-chave para identificação do contribuinte e números de referência](protect-sensitive-log-data-types-pii.md#CWL-managed-data-identifiers-financial-tin-keywords)
+ [Identificador de dados ARNs para informações de identificação pessoal (PII)](protect-sensitive-log-data-types-pii.md#CWL-data-protection-pii-arns)
+ [Identificadores de dados personalizados](CWL-custom-data-identifiers.md)
+ [O que são identificadores de dados personalizados?](CWL-custom-data-identifiers.md#what-are-custom-data-identifiers)
+ [Restrições de identificadores de dados personalizados](CWL-custom-data-identifiers.md#custom-data-identifiers-constraints)
+ [Uso de identificadores de dados personalizados no console](CWL-custom-data-identifiers.md#using-custom-data-identifiers-console)
+ [Usar identificadores de dados personalizados na política de proteção de dados](CWL-custom-data-identifiers.md#using-custom-data-identifiers)
# CloudWatch Registra identificadores de dados gerenciados para tipos de dados confidenciais
Esta seção contém informações sobre os tipos de dados que você pode proteger usando identificadores de dados gerenciados e quais países e regiões são relevantes para cada tipo de dados.
Para alguns tipos de dados confidenciais, a proteção de dados do CloudWatch Logs verifica as palavras-chave nas proximidades dos dados e encontra uma correspondência somente se encontrar essa palavra-chave. Se uma palavra-chave precisar estar próxima de um tipo específico de dados, a palavra-chave normalmente precisará estar dentro de 30 caracteres (inclusive) dos dados.
Se uma palavra-chave contiver um espaço, a proteção de dados do CloudWatch Logs corresponderá automaticamente às variações de palavras-chave que não têm espaço ou que contêm um sublinhado (`_`) ou hífen (`-`) em vez do espaço. Em alguns casos, o CloudWatch Logs também expande ou abrevia uma palavra-chave para abordar variações comuns da palavra-chave.
As tabelas a seguir listam os tipos de credenciais, dispositivos, informações financeiras, médicas e de saúde protegidas (PHI) que o CloudWatch Logs pode detectar usando identificadores de dados gerenciados. Eles são uma adição a determinados tipos de dados que também podem ser qualificados como informações de identificação pessoal (PII).
**Identificadores aceitos independentes de idioma e região**
| Identificador | Categoria |
| --- | --- |
| `Address` | Pessoal |
| `AwsSecretKey` | Credenciais |
| `CreditCardExpiration` | Financeiro |
| `CreditCardNumber` | Financeiro |
| `CreditCardSecurityCode` | Financeiro |
| `EmailAddress` | Pessoal |
| `IpAddress` | Pessoal |
| `LatLong` | Pessoal |
| `Name` | Pessoal |
| `OpenSshPrivateKey` | Credenciais |
| `PgpPrivateKey` | Credenciais |
| `PkcsPrivateKey` | Credenciais |
| `PuttyPrivateKey` | Credenciais |
| `VehicleIdentificationNumber` | Pessoal |
Os identificadores de dados dependentes da região devem incluir o nome do identificador, um hífen e os códigos de duas letras (ISO 3166-1 alfa-2). Por exemplo, .`DriversLicense-US`
**Identificadores compatíveis que devem incluir um código de país ou região de duas letras**
| Identificador | Categoria | Países e idiomas |
| --- | --- | --- |
| BankAccountNumber | Financeiro | DE, ES, FR, GB, IT, EUA |
| CepCode | Pessoal | BR |
| Cnpj | Pessoal | BR |
| CpfCode | Pessoal | BR |
| DriversLicense | Pessoal | AT, AU, BE, BG, CA, CY, CZ, DE, DK, EE, ES, FI, FR, GB, GR, HR, HU, IE, IT, LT, LU, LV, MT, NL, PL, PT, RO, SE, SI, SK, US |
| DrugEnforcementAgencyNumber | Integridade | EUA |
| ElectoralRollNumber | Pessoal | GB |
| HealthInsuranceCardNumber | Integridade | UE |
| HealthInsuranceClaimNumber | Integridade | EUA |
| HealthInsuranceNumber | Integridade | FR |
| HealthcareProcedureCode | Integridade | EUA |
| IndividualTaxIdentificationNumber | Pessoal | EUA |
| InseeCode | Pessoal | FR |
| MedicareBeneficiaryNumber | Integridade | EUA |
| NationalDrugCode | Integridade | EUA |
| NationalIdentificationNumber | Pessoal | DE, ES, IT |
| NationalInsuranceNumber | Pessoal | GB |
| NationalProviderId | Integridade | EUA |
| NhsNumber | Integridade | GB |
| NieNumber | Pessoal | ES |
| NifNumber | Pessoal | ES |
| PassportNumber | Pessoal | CA, DE, ES, FR, GB, IT, US |
| PermanentResidenceNumber | Pessoal | CA |
| PersonalHealthNumber | Integridade | CA |
| PhoneNumber | Pessoal | BR, DE, ES, FR, GB, IT, US |
| PostalCode | Pessoal | CA |
| RgNumber | Pessoal | BR |
| SocialInsuranceNumber | Pessoal | CA |
| Ssn | Pessoal | ES, US |
| TaxId | Pessoal | DE, ES, FR, GB |
| ZipCode | Pessoal | EUA |
# Credenciais
CloudWatch A proteção de dados de registros pode encontrar os seguintes tipos de credenciais.
| Tipo de dados | ID do identificador de dados | Palavra-chave obrigatória | Países e regiões |
| --- | --- | --- | --- |
| AWS chave de acesso secreta | `AwsSecretKey` | `aws_secret_access_key`, `credentials`, `secret access key`, `secret key`, `set-awscredential` | Todos |
| Chave privada OpenSSH | `OpenSSHPrivateKey` | Nenhum | Todos |
| Chave privada PGP | `PgpPrivateKey` | Nenhum | Todos |
| Chave privada do Pkcs | `PkcsPrivateKey` | Nenhum | Todos |
| Chave privada PuTTY | `PuttyPrivateKey` | Nenhum | Todos |
## Identificador de dados ARNs para tipos de dados de credenciais
A seguir, são listados os nomes de recursos da Amazon (ARNs) para os identificadores de dados que você pode adicionar às suas políticas de proteção de dados.
| Identificador de dados de credencial ARNs |
| --- |
| arn:aws:dataprotection::aws:data-identifier/AwsSecretKey |
| arn:aws:dataprotection::aws:data-identifier/OpenSshPrivateKey |
| arn:aws:dataprotection::aws:data-identifier/PgpPrivateKey |
| arn:aws:dataprotection::aws:data-identifier/PkcsPrivateKey |
| arn:aws:dataprotection::aws:data-identifier/PuttyPrivateKey |
# Identificadores de dispositivo
CloudWatch A proteção de dados de registros pode encontrar os seguintes tipos de identificadores de dispositivo.
| Tipo de dados | ID do identificador de dados | Palavra-chave obrigatória | Países e regiões |
| --- | --- | --- | --- |
| IP address (endereço de IP) | `IpAddress` | Nenhum | Todos |
## Identificador de dados ARNs para tipos de dados de dispositivos
A seguir, são listados os nomes de recursos da Amazon (ARNs) para os identificadores de dados que você pode adicionar às suas políticas de proteção de dados.
| ARN de identificador de dados de dispositivos |
| --- |
| arn:aws:dataprotection::aws:data-identifier/IpAddress |
# Informações financeiras
CloudWatch A proteção de dados de registros pode encontrar os seguintes tipos de informações financeiras.
Se você definir uma política de proteção de dados, o CloudWatch Logs verificará os identificadores de dados que você especificar, independentemente da geolocalização em que o grupo de registros esteja localizado. As informações na coluna **Países e regiões** nesta tabela designam se os códigos de país de duas letras devem ser anexados ao identificador de dados para detectar as palavras-chave apropriadas para esses países e regiões.
| Tipo de dados | ID do identificador de dados | Palavra-chave obrigatória | Países e regiões | Observações |
| --- | --- | --- | --- | --- |
| Número de conta bancária | `BankAccountNumber` | Sim. Palavras-chave diferentes se aplicam a diferentes países. Para obter detalhes, consulte a tabela **Palavras-chave para números de contas bancárias** mais adiante nesta seção. | França, Alemanha, Itália, Espanha, Reino Unido, Estados Unidos | Inclui números de contas bancárias internacionais (IBANs) que consistem em até 34 caracteres alfanuméricos, incluindo elementos como códigos de país. |
| Data de validade do cartão de crédito | `CreditCardExpiration` | `exp d`, `exp m`, `exp y`, `expiration`, `expiry` | Todos | |
| Números de cartão de crédito | `CreditCardNumber` | `account number`, `american express`, `amex`, `bank card`, `card`, `card number`, `card num`, `cc #`, `ccn`, `check card`, `credit`, `credit card#`, `dankort`, `debit`, `debit card`, `diners club`, `discover`, `electron`, `japanese card bureau`, `jcb`, `mastercard`, `mc`, `pan`, `payment account number`, `payment card number`, `pcn`, `union pay`, `visa` | Todos | A detecção exige que os dados sejam uma sequência de 13 a 19 dígitos que siga a fórmula de cheque de Luhn e use um prefixo de número de cartão padrão para qualquer um dos seguintes tipos de cartão de crédito: American Express, Dankort, Diner's Club, Discover, Electron, Japanese Card Bureau (JCB), Mastercard e Visa. UnionPay |
| Código de verificação do cartão de crédito | `CreditCardSecurityCode` | `card id`, `card identification code`, `card identification number`, `card security code`, `card validation code`, `card validation number`, `card verification data`, `card verification value`, `cvc`, `cvc2`, `cvv`, `cvv2`, `elo verification code` | Todos | |
**Palavras-chave para números de conta bancária**
Use as palavras-chave a seguir para números de contas bancárias. Isso inclui números de contas bancárias internacionais (IBANs) que consistem em até 34 caracteres alfanuméricos, incluindo elementos como códigos de país.
| País | Palavras-chave |
| --- | --- |
| França | `account code`, `account number`, `accountno#`, `accountnumber#`, `bban`, `code bancaire`, `compte bancaire`, `customer account id`, `customer account number`, `customer bank account id`, `iban`, `numéro de compte` |
| Alemanha | `account code`, `account number`, `accountno#`, `accountnumber#`, `bankleitzahl`, `bban`, `customer account id`, `customer account number`, `customer bank account id`, `geheimzahl`, `iban`, `kartennummer`, `kontonummer`, `kreditkartennummer`, `sepa` |
| Itália | `account code`, `account number`, `accountno#`, `accountnumber#`, `bban`, `codice bancario`, `conto bancario`, `customer account id`, `customer account number`, `customer bank account id`, `iban`, `numero di conto` |
| Espanha | `account code`, `account number`, `accountno#`, `accountnumber#`, `bban`, `código cuenta`, `código cuenta bancaria`, `cuenta cliente id`, `customer account ID`, `customer account number`, `customer bank account id`, `iban`, `número cuenta bancaria cliente`, `número cuenta cliente` |
| Reino Unido | `account code`, `account number`, `accountno#`, `accountnumber#`, `bban`, `customer account ID`, `customer account number`, `customer bank account id`, `iban`, `sepa` |
| Estados Unidos | `bank account`, `bank acct`, `checking account`, `checking acct`, `deposit account`, `deposit acct`, `savings account`, `savings acct`, `chequing account`, `chequing acct` |
CloudWatch Os registros não relatam as ocorrências das seguintes sequências, que os emissores de cartão de crédito reservaram para testes públicos.
```
122000000000003, 2222405343248877, 2222990905257051, 2223007648726984, 2223577120017656,
30569309025904, 34343434343434, 3528000700000000, 3530111333300000, 3566002020360505, 36148900647913,
36700102000000, 371449635398431, 378282246310005, 378734493671000, 38520000023237, 4012888888881881,
4111111111111111, 4222222222222, 4444333322221111, 4462030000000000, 4484070000000000, 4911830000000,
4917300800000000, 4917610000000000, 4917610000000000003, 5019717010103742, 5105105105105100,
5111010030175156, 5185540810000019, 5200828282828210, 5204230080000017, 5204740009900014, 5420923878724339,
5454545454545454, 5455330760000018, 5506900490000436, 5506900490000444, 5506900510000234, 5506920809243667,
5506922400634930, 5506927427317625, 5553042241984105, 5555553753048194, 5555555555554444, 5610591081018250,
6011000990139424, 6011000400000000, 6011111111111117, 630490017740292441, 630495060000000000,
6331101999990016, 6759649826438453, 6799990100000000019, and 76009244561.
```
## Identificador de dados ARNs para tipos de dados financeiros
A seguir, são listados os nomes de recursos da Amazon (ARNs) para os identificadores de dados que você pode adicionar às suas políticas de proteção de dados.
| Identificador de dados financeiros ARNs |
| --- |
| arn:aws:dataprotection::aws:data-identifier/BankAccountNumber-DE |
| arn:aws:dataprotection::aws:data-identifier/BankAccountNumber-ES |
| arn:aws:dataprotection::aws:data-identifier/BankAccountNumber-FR |
| arn:aws:dataprotection::aws:data-identifier/BankAccountNumber-GB |
| arn:aws:dataprotection::aws:data-identifier/BankAccountNumber-IT |
| arn:aws:dataprotection::aws:data-identifier/BankAccountNumber-US |
| arn:aws:dataprotection::aws:data-identifier/CreditCardExpiration |
| arn:aws:dataprotection::aws:data-identifier/CreditCardNumber |
| arn:aws:dataprotection::aws:data-identifier/CreditCardSecurityCode |
# Informações de saúde protegidas (PHI)
CloudWatch A proteção de dados de registros pode encontrar os seguintes tipos de informações de saúde protegidas (PHI).
Se você definir uma política de proteção de dados, o CloudWatch Logs verificará os identificadores de dados que você especificar, independentemente da geolocalização em que o grupo de registros esteja localizado. As informações na coluna **Países e regiões** nesta tabela designam se os códigos de país de duas letras devem ser anexados ao identificador de dados para detectar as palavras-chave apropriadas para esses países e regiões.
| Tipo de dados | ID do identificador de dados | Palavra-chave obrigatória | Países e regiões |
| --- | --- | --- | --- |
| Número de registro da Agência Antidrogas (Drug Enforcement Agency, DEA | `DrugEnforcementAgencyNumber` | `dea number`, `dea registration` | Estados Unidos |
| Número do cartão de seguro de saúde (EHIC) | `HealthInsuranceCardNumber` | `assicurazione sanitaria numero`, `carta assicurazione numero`, `carte d’assurance maladie`, `carte européenne d'assurance maladie`, `ceam`, `ehic`, `ehic#`, `finlandehicnumber#`, `gesundheitskarte`, `hälsokort`, `health card`, `health card number`, `health insurance card`, `health insurance number`, `insurance card number`, `krankenversicherungskarte`, `krankenversicherungsnummer`, `medical account number`, `numero conto medico`, `numéro d’assurance maladie`, `numéro de carte d’assurance`, `numéro de compte medical`, `número de cuenta médica`, `número de seguro de salud`, `número de tarjeta de seguro`, `sairaanhoitokortin`, `sairausvakuutuskortti`, `sairausvakuutusnumero`, `sjukförsäkring nummer`, `sjukförsäkringskort`, `suomi ehic-numero`, `tarjeta de salud`, `terveyskortti`, `tessera sanitaria assicurazione numero`, `versicherungsnummer` | União Europeia |
| Health Insurance Claim Number (HICN) | `HealthInsuranceClaimNumber` | `health insurance claim number`, `hic no`, `hic no.`, `hic number`, `hic#`, `hicn`, `hicn#`, `hicno#` | Estados Unidos |
| Número de identificação médica ou do seguro de saúde | `HealthInsuranceNumber` | `carte d'assuré social`, `carte vitale`, `insurance card` | França |
| Código do Healthcare Common Procedure Coding System (HCPCS) | `HealthcareProcedureCode` | `current procedural terminology`, `hcpcs`, `healthcare common procedure coding system` | Estados Unidos |
| Número do beneficiário do Medicare (MBN) | `MedicareBeneficiaryNumber` | `mbi`, `medicare beneficiary` | Estados Unidos |
| National Drug Code (NDC) | `NationalDrugCode` | `national drug code`, `ndc` | Estados Unidos |
| National Provider Identifier (NPI) | `NationalProviderId` | `hipaa`, `n.p.i.`, `national provider`, `npi` | Estados Unidos |
| Número do Serviço Nacional de Saúde (NHS) | `NhsNumber` | `national health service`, `NHS` | Grã-Bretanha |
| Número de saúde pessoal | `PersonalHealthNumber` | `canada healthcare number`, `msp number`, `care number`, `phn`, `soins de santé` | Canadá |
## Identificador de dados ARNs para tipos de dados de informações de saúde protegidas (PHI)
O seguinte lista o identificador de dados Amazon Resource Names (ARNs) que pode ser usado em políticas de proteção de dados de informações de saúde protegidas (PHI).
| Identificador de dados PHI ARNs |
| --- |
| arn:aws:dataprotection::aws:data-identifier/DrugEnforcementAgencyNumber-US |
| arn:aws:dataprotection::aws:data-identifier/HealthcareProcedureCode-US |
| arn:aws:dataprotection::aws:data-identifier/HealthInsuranceCardNumber-EU |
| arn:aws:dataprotection::aws:data-identifier/HealthInsuranceClaimNumber-US |
| arn:aws:dataprotection::aws:data-identifier/HealthInsuranceNumber-FR |
| arn:aws:dataprotection::aws:data-identifier/MedicareBeneficiaryNumber-US |
| arn:aws:dataprotection::aws:data-identifier/NationalDrugCode-US |
| arn:aws:dataprotection::aws:data-identifier/NationalInsuranceNumber-GB |
| arn:aws:dataprotection::aws:data-identifier/NationalProviderId-US |
| arn:aws:dataprotection::aws:data-identifier/NhsNumber-GB |
| arn:aws:dataprotection::aws:data-identifier/PersonalHealthNumber-CA |
# Informações de identificação pessoal (PII)
CloudWatch A proteção de dados de registros pode encontrar os seguintes tipos de informações de identificação pessoal (PII).
Se você definir uma política de proteção de dados, o CloudWatch Logs verificará os identificadores de dados que você especificar, independentemente da geolocalização em que o grupo de registros esteja localizado. As informações na coluna **Países e regiões** nesta tabela designam se os códigos de país de duas letras devem ser anexados ao identificador de dados para detectar as palavras-chave apropriadas para esses países e regiões.
| Tipo de dados | ID do identificador de dados | Palavra-chave obrigatória | Países e regiões | Observações |
| --- | --- | --- | --- | --- |
| Datas de nascimento | `DateOfBirth` | `dob`, `date of birth`, `birthdate`, `birth date`, `birthday`, `b-day`, `bday` | Any | O suporte inclui a maioria dos formatos de data, como todos os dígitos e combinações de dígitos e nomes de meses. Os componentes de data podem ser separados por espaços, barras (/) ou hifens (‐). |
| Código de endereçamento postal (CEP) | `CepCode` | `cep`, `código de endereçamento postal`, `codigo de endereçamento postal` | Brasil | |
| Cadastro Nacional da Pessoa Jurídica (CNPJ) | `Cnpj` | `cadastro nacional da pessoa jurídica`, `cadastro nacional da pessoa juridica`, `cnpj` | Brasil | |
| Cadastro de Pessoa Física (CPF) | `CpfCode` | `Cadastro de pessoas fisicas`, `cadastro de pessoas físicas`, `cadastro de pessoa física`, `cadastro de pessoa fisica`, `cpf` | Brasil | |
| Número de identificação da carteira de habilitação | `DriversLicense` | Sim. Palavras-chave diferentes se aplicam a diferentes países. Para obter detalhes, consulte a tabela de **números de identificação da carteira** de habilitação posteriormente nesta seção. | Muitos países. Para obter detalhes, consulte a tabela de **números de identificação da carteira**. | |
| Número de registro eleitoral | `ElectoralRollNumber` | `electoral #`, `electoral number`, `electoral roll #`, `electoral roll no.`, `electoral roll number`, `electoralrollno` | Reino Unido | |
| Identificação do contribuinte individual | `IndividualTaxIdenticationNumber` | Sim. Palavras-chave diferentes se aplicam a diferentes países. Para obter detalhes, consulte a tabela de **números de identificação da carteira** nesta seção. | Brasil, França, Alemanha, Espanha, Reino Unido | |
| Instituto Nacional de Estatística e Estudos Econômicos (INSEE) | `InseeCode` | Sim. Palavras-chave diferentes se aplicam a diferentes países. Para obter detalhes, consulte a tabela de **números de identificação da carteira** nesta seção. | França | |
| Número de identificação nacional | `NationalIdentificationNumber` | Sim. Para obter detalhes, consulte a tabela de **números de identificação da carteira** nesta seção. | Alemanha, Itália, Espanha | Isso inclui identificadores do Documento Nacional de Identidade (DNI) (Espanha), códigos fiscais (Itália) e números de carteira de identidade nacional (Alemanha). |
| Número do Seguro Nacional (NINO) | `NationalInsuranceNumber` | insurance no., insurance number, insurance\$1, national insurance number, nationalinsurance\$1, nationalinsurancenumber, nin, nino | Reino Unido | – |
| Número de identidad de extranjero (NIE) | `NieNumber` | Sim. Palavras-chave diferentes se aplicam a diferentes países. Para obter detalhes, consulte a tabela de **números de identificação da carteira** nesta seção. | Espanha | |
| Número de Identificación Fiscal (NIF) | `NifNumber` | Sim. Palavras-chave diferentes se aplicam a diferentes países. Para obter detalhes, consulte a tabela de **números de identificação da carteira** nesta seção. | Espanha | |
| Número de passaporte | `PassportNumber` | Sim. Palavras-chave diferentes se aplicam a diferentes países. Para obter detalhes, consulte a tabela **Palavras-chave para números de passaporte** mais adiante nesta seção. | Canadá, França, Alemanha, Itália, Espanha, Reino Unido, Estados | |
| Número de residência permanente | `PermanentResidenceNumber` | carte résident permanent, numéro carte résident permanent, numéro résident permanent, permanent resident card, permanent resident card number, permanent resident no, permanent resident no., permanent resident number, pr no, pr no., pr non, pr number, résident permanent no., résident permanent non | Canadá | |
| Número de telefone | `PhoneNumber` | Brasil: as palavras-chave também incluem: `cel`, `celular`, `fone`, `móvel`, `número residencial`, `numero residencial`, `telefone` Outros: `cell`, `contact`, `fax`, `fax number`, `mobile`, `phone`, `phone number`, `tel`, `telephone`, `telephone number` | Brasil, Canadá, França, Alemanha, Itália, Espanha, Reino Unido, Estados Unidos | Isso inclui números gratuitos nos Estados Unidos e números de fax. Se uma palavra-chave estiver próxima dos dados, o número não precisará incluir o código do país. Se uma palavra-chave estiver próxima dos dados, o número não precisará incluir o código do país. |
| CEP | `PostalCode` | Nenhum | Canadá | |
| Registro Geral (RG) | `RgNumber` | Sim. Palavras-chave diferentes se aplicam a diferentes países. Para obter detalhes, consulte a tabela de **números de identificação da carteira** nesta seção. | Brasil | |
| Número do Seguro Social (SIN) | `SocialInsuranceNumber` | canadian id, numéro d'assurance sociale, social insurance number, sin | Canadá | |
| Número da Previdência Social (SSN) | `Ssn` | Espanha — `número de la seguridad social`, `social security no.`, `social security no`. `número de la seguridad social`, `social security number`, `socialsecurityno#`, `ssn`, `ssn#` Estados Unidos – `social security`, `ss#`, `ssn` | Espanha, Estados Unidos | |
| Identificação do contribuinte ou número de referência | `TaxId` | Sim. Palavras-chave diferentes se aplicam a diferentes países. Para obter detalhes, consulte a tabela de **números de identificação da carteira** nesta seção.. | França, Alemanha, Espanha, Reino Unido | Isso inclui TIN (França); Steueridentifikationsnummer (Alemanha); CIF (Espanha) e TRN, UTR (Reino Unido). |
| Código postal | `ZipCode` | zip code, zip\$14 | Estados Unidos | Código postal dos Estados Unidos. |
| Endereço postal | `Address` | Nenhum | Austrália, Canadá, França, Alemanha, Itália, Espanha, Reino Unido, Estados Unidos | Embora uma palavra-chave não seja necessária, a detecção exige que o endereço inclua o nome de uma cidade ou local e um CEP. |
| Endereço de correio eletrônico | `EmailAddress` | Nenhum | Any | |
| Coordenadas do sistema de posicionamento global (GPS) | `LatLong` | coordinate, coordinates, lat long, latitude longitude, location, position | Any | CloudWatch Os registros podem detectar coordenadas GPS se as coordenadas de latitude e longitude estiverem armazenadas como um par e estiverem no formato de graus decimais (DD), por exemplo, 41,948614, -87,655311. O suporte não inclui coordenadas no formato graus, decimais, minutos (DDM), por exemplo, 41°56.9168'N 87°39.3187'W, ou no formato graus, minutos, segundos (DMS), por exemplo, 41°56'55.0104"N 87°39'19.1196"W. |
| Nome completo | `Name` | Nenhum | Any | CloudWatch Os registros podem detectar somente nomes completos. O suporte é limitado aos conjuntos de caracteres latinos. |
| Número de identificação de veículo (VIN) | `VehicleIdentificationNumber` | Fahrgestellnummer, niv, numarul de identificare, numarul seriei de sasiu, serie sasiu, numer VIN, Número de Identificação do Veículo, Número de Identificación de Automóviles, numéro d'identification du véhicule, vehicle identification number, vin, VIN numeris | Any | CloudWatch Os registros podem detectar VINs que consistem em uma sequência de 17 caracteres e estão em conformidade com os padrões ISO 3779 e 3780. Esses padrões foram projetados para uso em todo o mundo. |
## Palavras-chave para números de identificação da carteira de habilitação
Para detectar vários tipos de números de identificação da carteira de motorista, o CloudWatch Logs exige que uma palavra-chave esteja próxima dos números. A tabela a seguir lista as palavras-chave que o CloudWatch Logs reconhece para países e regiões específicos.
| País ou região | Palavras-chave |
| --- | --- |
| Austrália | dl\$1 dl:, dl :, dlno\$1 driver licence, driver license, driver permit, drivers lic., drivers licence, driver's licence, drivers license, driver's license, drivers permit, driver's permit, drivers permit number, driving licence, driving license, driving permit |
| Áustria | führerschein, fuhrerschein, führerschein republik österreich, fuhrerschein republik osterreich |
| Bélgica | fuehrerschein, fuehrerschein- nr, fuehrerscheinnummer, fuhrerschein, führerschein, fuhrerschein- nr, führerschein- nr, fuhrerscheinnummer, führerscheinnummer, numéro permis conduire, permis de conduire, rijbewijs, rijbewijsnummer |
| Bulgária | превозно средство, свидетелство за управление на моторно, свидетелство за управление на мпс, сумпс, шофьорска книжка |
| Canadá | dl\$1, dl:, dlno\$1, driver licence, driver licences, driver license, driver licenses, driver permit, drivers lic., drivers licence, driver's licence, drivers licences, driver's licences, drivers license, driver's license, drivers licenses, driver's licenses, drivers permit, driver's permit, drivers permit number, driving licence, driving license, driving permit, permis de conduire |
| Croácia | vozačka dozvola |
| Chipre | άδεια οδήγησης |
| República Tcheca | číslo licence, císlo licence řidiče, číslo řidičského průkazu, ovladače lic., povolení k jízdě, povolení řidiče, řidiči povolení, řidičský prúkaz, řidičský průkaz |
| Dinamarca | kørekort, kørekortnummer |
| Estônia | juhi litsentsi number, juhiloa number, juhiluba, juhiluba number |
| Finlândia | ajokortin numero, ajokortti, förare lic., körkort, körkort nummer, kuljettaja lic., permis de conduire |
| França | permis de conduire |
| Alemanha | fuehrerschein, fuehrerschein- nr, fuehrerscheinnummer, fuhrerschein, führerschein, fuhrerschein- nr, führerschein- nr, fuhrerscheinnummer, führerscheinnummer |
| Grécia | δεια οδήγησης, adeia odigisis |
| Hungria | illesztőprogramok lic, jogosítvány, jogsi, licencszám, vezető engedély, vezetői engedély |
| Irlanda | ceadúnas tiomána |
| Itália | patente di guida, patente di guida numero, patente guida, patente guida numero |
| Letônia | autovadītāja apliecība, licences numurs, vadītāja apliecība, vadītāja apliecības numurs, vadītāja atļauja, vadītāja licences numurs, vadītāji lic. |
| Lituânia | vairuotojo pažymėjimas |
| Luxemburgo | fahrerlaubnis, führerschäin |
| Malta | liċenzja tas-sewqan |
| Holanda | permis de conduire, rijbewijs, rijbewijsnummer |
| Polônia | numer licencyjny, prawo jazdy, zezwolenie na prowadzenie |
| Portugal | carta de condução, carteira de habilitação, carteira de motorist, carteira habilitação, carteira motorist, licença condução, licença de condução, número de licença, número licença, permissão condução, permissão de condução |
| Romênia | numărul permisului de conducere, permis de conducere |
| Eslováquia | číslo licencie, číslo vodičského preukazu, ovládače lic., povolenia vodičov, povolenie jazdu, povolenie na jazdu, povolenie vodiča, vodičský preukaz |
| Eslovênia | vozniško dovoljenje |
| Espanha | carnet conducer, el carnet de conducer, licencia conducer, licencia de manejo, número carnet conducer, número de carnet de conducer, número de permiso conducer, número de permiso de conducer, número licencia conducer, número permiso conducer, permiso conducción, permiso conducer, permiso de conducción |
| Suécia | ajokortin numero, dlno\$1 ajokortti, drivere lic., förare lic., körkort, körkort nummer, körkortsnummer, kuljettajat lic. |
| Reino Unido | dl\$1, dl:, dlno\$1, driver licence, driver licences, driver license, driver licenses, driver permit, drivers lic., drivers licence, driver's licence, drivers licences, driver's licences, drivers license, driver's license, drivers licenses, driver's licenses, drivers permit, driver's permit, drivers permit number, driving licence, driving license, driving permit |
| Estados Unidos | dl\$1, dl:, dlno\$1, driver licence, driver licences, driver license, driver licenses, driver permit, drivers lic., drivers licence, driver's licence, drivers licences, driver's licences, drivers license, driver's license, drivers licenses, driver's licenses, drivers permit, driver's permit, drivers permit number, driving licence, driving license, driving permit |
## Palavras-chave para números de identificação nacional
Para detectar vários tipos de números de identificação nacional, o CloudWatch Logs exige que uma palavra-chave esteja próxima dos números. Isso inclui identificadores do Documento Nacional de Identidad (DNI) (Espanha), códigos do Instituto Nacional de Estatística e Estudos Econômicos (INSEE) da França, números da carteira de identidade nacional alemã e números do Registro Geral (RG) (Brasil).
A tabela a seguir lista as palavras-chave que o CloudWatch Logs reconhece para países e regiões específicos.
| País ou região | Palavras-chave |
| --- | --- |
| Brasil | registro geral, rg |
| França | assurance sociale, carte nationale d’identité, cni, code sécurité sociale, French social security number, fssn\$1, insee, insurance number, national id number, nationalid\$1, numéro d'assurance, sécurité sociale, sécurité sociale non., sécurité sociale numéro, social, social security, social security number, socialsecuritynumber, ss\$1, ssn, ssn\$1 |
| Alemanha | ausweisnummer, id number, identification number, identity number, insurance number, personal id, personalausweis |
| Itália | codice fiscal, dati anagrafici, ehic, health card, health insurance card, p. iva, partita i.v.a., personal data, tax code, tessera sanitaria |
| Espanha | dni, dni\$1, dninúmero\$1, documento nacional de identidad, identidad único, identidadúnico\$1, insurance number, national identification number, national identity, nationalid\$1, nationalidno\$1, número nacional identidad, personal identification number, personal identity no, unique identity number, uniqueid\$1 |
## Palavras-chave para números de passaporte
Para detectar vários tipos de números de passaporte, o CloudWatch Logs exige que uma palavra-chave esteja próxima dos números. A tabela a seguir lista as palavras-chave que o CloudWatch Logs reconhece para países e regiões específicos.
| País ou região | Palavras-chave |
| --- | --- |
| Canadá | passeport, passeport\$1, passport, passport\$1, passportno, passportno\$1 |
| França | numéro de passeport, passeport, passeport\$1, passeport \$1, passeportn °, passeport n °, passeportNon, passeport non |
| Alemanha | ausstellungsdatum, ausstellungsort, geburtsdatum, passport, passports, reisepass, reisepass–nr, reisepassnummer |
| Itália | italian passport number, numéro passeport, numéro passeport italien, passaporto, passaporto italiana, passaporto numero, passport number, repubblica italiana passaporto |
| Espanha | españa pasaporte, libreta pasaporte, número pasaporte, pasaporte, passport, passport book, passport no, passport number, spain passport |
| Reino Unido | passeport \$1, passeport n °, passeportNon, passeport non, passeportn °, passport \$1, passport no, passport number, passport\$1, passportid |
| Estados Unidos | passport, travel document |
## Palavras-chave para identificação do contribuinte e números de referência
Para detectar vários tipos de identificação de contribuintes e números de referência, o CloudWatch Logs exige que uma palavra-chave esteja próxima dos números. A tabela a seguir lista as palavras-chave que o CloudWatch Logs reconhece para países e regiões específicos.
| País ou região | Palavras-chave |
| --- | --- |
| Brasil | cadastro de pessoa física, cadastro de pessoa fisica, cadastro de pessoas físicas, cadastro de pessoas fisicas, cadastro nacional da pessoa jurídica, cadastro nacional da pessoa juridica, cnpj, cpf |
| França | numéro d'identification fiscale, tax id, tax identification number, tax number, tin, tin\$1 |
| Alemanha | identifikationsnummer, steuer id, steueridentifikationsnummer, steuernummer, tax id, tax identification number, tax number |
| Espanha | cif, cif número, cifnúmero\$1, nie, nif, número de contribuyente, número de identidad de extranjero, número de identificación fiscal, número de impuesto corporativo, personal tax number, tax id, tax identification number, tax number, tin, tin\$1 |
| Reino Unido | paye, tax id, tax id no., tax id number, tax identification, tax identification\$1, tax no., tax number, tax reference, tax\$1, taxid\$1, temporary reference number, tin, trn, unique tax reference, unique taxpayer reference, utr |
| Estados Unidos | número de identificação de contribuinte individual, itin, i.t.i.n. |
## Identificador de dados ARNs para informações de identificação pessoal (PII)
A tabela a seguir lista os nomes de recursos da Amazon (ARNs) para os identificadores de dados de informações de identificação pessoal (PII) que você pode adicionar às suas políticas de proteção de dados.
| Identificador de dados PII ARNs |
| --- |
| arn:aws:dataprotection::aws:data-identifier/Address |
| arn:aws:dataprotection::aws:data-identifier/CepCode-BR |
| arn:aws:dataprotection::aws:data-identifier/Cnpj-BR |
| arn:aws:dataprotection::aws:data-identifier/CpfCode-BR |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-AT |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-AU |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-BE |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-BG |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-CA |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-CY |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-CZ |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-DE |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-DK |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-EE |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-ES |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-FI |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-FR |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-GB |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-GR |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-HR |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-HU |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-IE |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-IT |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-LT |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-LU |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-LV |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-MT |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-NL |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-PL |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-PT |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-RO |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-SE |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-SI |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-SK |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-US |
| arn:aws:dataprotection::aws:data-identifier/ElectoralRollNumber-GB |
| arn:aws:dataprotection::aws:data-identifier/EmailAddress |
| arn:aws:dataprotection::aws:data-identifier/IndividualTaxIdentificationNumber-US |
| arn:aws:dataprotection::aws:data-identifier/InseeCode-FR |
| arn:aws:dataprotection::aws:data-identifier/LatLong |
| arn:aws:dataprotection::aws:data-identifier/Name |
| arn:aws:dataprotection::aws:data-identifier/NationalIdentificationNumber-DE |
| arn:aws:dataprotection::aws:data-identifier/NationalIdentificationNumber-ES |
| arn:aws:dataprotection::aws:data-identifier/NationalIdentificationNumber-IT |
| arn:aws:dataprotection::aws:data-identifier/NieNumber-ES |
| arn:aws:dataprotection::aws:data-identifier/NifNumber-ES |
| arn:aws:dataprotection::aws:data-identifier/PassportNumber-CA |
| arn:aws:dataprotection::aws:data-identifier/PassportNumber-DE |
| arn:aws:dataprotection::aws:data-identifier/PassportNumber-ES |
| arn:aws:dataprotection::aws:data-identifier/PassportNumber-FR |
| arn:aws:dataprotection::aws:data-identifier/PassportNumber-GB |
| arn:aws:dataprotection::aws:data-identifier/PassportNumber-IT |
| arn:aws:dataprotection::aws:data-identifier/PassportNumber-US |
| arn:aws:dataprotection::aws:data-identifier/PermanentResidenceNumber-CA |
| arn:aws:dataprotection::aws:data-identifier/PhoneNumber-BR |
| arn:aws:dataprotection::aws:data-identifier/PhoneNumber-DE |
| arn:aws:dataprotection::aws:data-identifier/PhoneNumber-ES |
| arn:aws:dataprotection::aws:data-identifier/PhoneNumber-FR |
| arn:aws:dataprotection::aws:data-identifier/PhoneNumber-GB |
| arn:aws:dataprotection::aws:data-identifier/PhoneNumber-IT |
| arn:aws:dataprotection::aws:data-identifier/PhoneNumber-US |
| arn:aws:dataprotection::aws:data-identifier/PostalCode-CA |
| arn:aws:dataprotection::aws:data-identifier/RgNumber-BR |
| arn:aws:dataprotection::aws:data-identifier/SocialInsuranceNumber-CA |
| arn:aws:dataprotection::aws:data-identifier/Ssn-ES |
| arn:aws:dataprotection::aws:data-identifier/Ssn-US |
| arn:aws:dataprotection::aws:data-identifier/TaxId-DE |
| arn:aws:dataprotection::aws:data-identifier/TaxId-ES |
| arn:aws:dataprotection::aws:data-identifier/TaxId-FR |
| arn:aws:dataprotection::aws:data-identifier/TaxId-GB |
| arn:aws:dataprotection::aws:data-identifier/VehicleIdentificationNumber |
| arn:aws:dataprotection::aws:data-identifier/ZipCode-US |
# Identificadores de dados personalizados
**Topics**
+ [O que são identificadores de dados personalizados?](#what-are-custom-data-identifiers)
+ [Restrições de identificadores de dados personalizados](#custom-data-identifiers-constraints)
+ [Uso de identificadores de dados personalizados no console](#using-custom-data-identifiers-console)
+ [Usar identificadores de dados personalizados na política de proteção de dados](#using-custom-data-identifiers)
## O que são identificadores de dados personalizados?
Os identificadores de dados personalizados (CDIs) permitem que você defina suas próprias expressões regulares personalizadas que podem ser usadas em sua política de proteção de dados. Usando identificadores de dados personalizados, é possível segmentar casos de uso de informações de identificação pessoal (PII) específicos da empresa que os [identificadores de dados gerenciados](CWL-managed-data-identifiers.md) não podem fornecer. Por exemplo, você pode usar um identificador de dados personalizado para procurar funcionários específicos da empresa. IDs Identificadores de dados personalizados podem ser usados em conjunto com identificadores de dados gerenciados.
## Restrições de identificadores de dados personalizados
CloudWatch Os identificadores de dados personalizados de registros têm as seguintes limitações:
+ As políticas de proteção de dados são compatíveis com dez identificadores de dados personalizados, no máximo.
+ O tamanho máximo dos nomes de identificadores de dados personalizados é 128 caracteres. Os seguintes caracteres são aceitos:
+ Alfanuméricos: (a – z; A – Z; 0 – 9)
+ Símbolos: (“\$1” \$1 “-”)
+ O RegEx tem um tamanho máximo de 200 caracteres. Os seguintes caracteres são aceitos:
+ Alfanuméricos: (a – z; A – Z; 0 – 9)
+ Símbolos: (“\$1” \$1 “\$1” \$1 “=” \$1 “@” \$1 “/” \$1 “;” \$1 “,” \$1 “-” \$1 “ ”)
+ Caracteres reservados RegEx: (“^” \$1 “\$1” \$1 “?” \$1 “[“ \$1 “]” \$1 “\$1“ \$1 “\$1” \$1 “\$1” \$1 “\$1\$1” \$1 “\$1” \$1 “\$1” \$1 “.”)
+ Os identificadores de dados personalizados não podem compartilhar o mesmo nome de um identificador de dados gerenciados.
+ Identificadores de dados personalizados podem ser especificados em uma política de proteção de dados ao nível da conta ou em políticas de proteção de dados ao nível do grupo de logs. Como ocorre com identificadores de dados gerenciados, os identificadores de dados personalizados definidos em uma política ao nível da conta funcionam em combinação com identificadores de dados personalizados definidos em uma política ao nível do grupo de logs.
## Uso de identificadores de dados personalizados no console
Ao usar o CloudWatch console para criar ou editar uma política de proteção de dados, para especificar um identificador de dados personalizado, basta digitar um nome e uma expressão regular para o identificador de dados. Por exemplo, você pode inserir **Employee\$1ID** para o nome e **EmployeeID-\$1d\$19\$1** para a expressão regular. Essa expressão regular detectará e mascarará eventos de log com nove números depois do `EmployeeID-`. Por exemplo, `EmployeeID-123456789`.
## Usar identificadores de dados personalizados na política de proteção de dados
Se você estiver usando a AWS API AWS CLI ou para especificar um identificador de dados personalizado, precisará incluir o nome do identificador de dados e a expressão regular na política JSON usada para definir a política de proteção de dados. A política de proteção de dados a seguir detecta e mascara eventos de registro que transportam funcionários específicos da empresa. IDs
1. Crie um bloco `Configuration` na política de proteção de dados.
1. Insira um `Name` para o identificador de dados personalizado. Por exemplo, .**EmployeeId**
1. Insira um `Regex` para o identificador de dados personalizado. Por exemplo, .**EmployeeID-\$1d\$19\$1** Essa expressão regular corresponderá a eventos de log contendo o `EmployeeID-` com nove dígitos depois do `EmployeeID-`. Por exemplo, `EmployeeID-123456789`.
1. Consulte o identificador de dados personalizado a seguir em uma declaração de política.
```
{
"Name": "example_data_protection_policy",
"Description": "Example data protection policy with custom data identifiers",
"Version": "2021-06-01",
"Configuration": {
"CustomDataIdentifier": [
{"Name": "EmployeeId", "Regex": "EmployeeId-\\d{9}"}
]
},
"Statement": [
{
"Sid": "audit-policy",
"DataIdentifier": [
"EmployeeId"
],
"Operation": {
"Audit": {
"FindingsDestination": {
"S3": {
"Bucket": "EXISTING_BUCKET"
}
}
}
}
},
{
"Sid": "redact-policy",
"DataIdentifier": [
"EmployeeId"
],
"Operation": {
"Deidentify": {
"MaskConfig": {
}
}
}
}
]
}
```
1. (Opcional) Continue adicionando **identificadores de dados personalizados** ao bloco `Configuration`, conforme necessário. No momento, as políticas de proteção de dados são compatíveis com dez identificadores de dados personalizados, no máximo.