Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Permisos de IAM requeridos para crear una política de protección de datos o trabajar con ella
Para poder trabajar con políticas de protección de datos para los grupos de registro, debe tener ciertos permisos, como se muestra en las tablas siguientes. Los permisos son diferentes para las políticas de protección de datos de toda la cuenta y para las políticas de protección de datos que se aplican a un único grupo de registro.
## Permisos necesarios para las políticas de protección de datos de la cuenta
**nota**
Si realiza alguna de estas operaciones dentro de una función de Lambda, el rol de ejecución de Lambda y el límite de permisos también deben incluir los siguientes permisos.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/AmazonCloudWatch/latest/logs/data-protection-policy-permissions.html)
Si ya se están enviando registros de auditoría de protección de datos a algún destino, las demás políticas que envíen registros al mismo destino solo necesitan los permisos `logs:PutDataProtectionPolicy` y `logs:CreateLogDelivery`.
## Permisos necesarios para las políticas de protección de datos de un único grupo de registro
**nota**
Si realiza alguna de estas operaciones dentro de una función de Lambda, el rol de ejecución de Lambda y el límite de permisos también deben incluir los siguientes permisos.
| Operación | Se necesita permiso de IAM | Recurso |
| --- | --- | --- |
| Crear una política de protección de datos sin destinos de auditoría | `logs:PutDataProtectionPolicy` | `arn:aws:logs:::log-group:YOUR_LOG_GROUP:*` |
| Cree una política de protección de datos con CloudWatch Logs como destino de auditoría | `logs:PutDataProtectionPolicy` `logs:CreateLogDelivery` `logs:PutResourcePolicy` `logs:DescribeResourcePolicies` `logs:DescribeLogGroups` | `arn:aws:logs:::log-group:YOUR_LOG_GROUP:*` `*` `*` `*` `*` |
| Creación de una política de protección de datos con Firehose como destino de auditoría | `logs:PutDataProtectionPolicy` `logs:CreateLogDelivery` `firehose:TagDeliveryStream` | `arn:aws:logs:::log-group:YOUR_LOG_GROUP:*` `*` `arn:aws:logs:::deliverystream/YOUR_DELIVERY_STREAM` |
| Create a data protection policy with Amazon S3 as an audit destination | `logs:PutDataProtectionPolicy` `logs:CreateLogDelivery` `s3:GetBucketPolicy` `s3:PutBucketPolicy` | `arn:aws:logs:::log-group:YOUR_LOG_GROUP:*` `*` `arn:aws:s3:::YOUR_BUCKET` `arn:aws:s3:::YOUR_BUCKET` |
| Unmask masked log events | `logs:Unmask` | `arn:aws:logs:::log-group:YOUR_LOG_GROUP:*` |
| View an existing data protection policy | `logs:GetDataProtectionPolicy` | `arn:aws:logs:::log-group:YOUR_LOG_GROUP:*` |
| Eliminar una política de protección de datos | `logs:DeleteDataProtectionPolicy` | `arn:aws:logs:::log-group:YOUR_LOG_GROUP:*` |
Si ya se están enviando registros de auditoría de protección de datos a algún destino, las demás políticas que envíen registros al mismo destino solo necesitan los permisos `logs:PutDataProtectionPolicy` y `logs:CreateLogDelivery`.
## Política de protección de datos de ejemplo
La siguiente política de ejemplo permite al usuario crear, visualizar y eliminar las políticas de protección de datos que pueden enviar los resultados de las auditorías a los tres tipos de destinos de auditoría. No permite que el usuario vea los datos desenmascarados.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowLogDeliveryConfiguration",
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:PutResourcePolicy",
"logs:DescribeLogGroups",
"logs:DescribeResourcePolicies"
],
"Resource": "*"
},
{
"Sid": "AllowDataProtectionAndBucketConfiguration",
"Effect": "Allow",
"Action": [
"logs:GetDataProtectionPolicy",
"logs:DeleteDataProtectionPolicy",
"logs:PutDataProtectionPolicy",
"s3:PutBucketPolicy",
"firehose:TagDeliveryStream",
"s3:GetBucketPolicy"
],
"Resource": [
"arn:aws:firehose:us-east-1:111122223333:deliverystream/delivery-stream-name",
"arn:aws:s3:::amzn-s3-demo-destination-bucket",
"arn:aws:logs:us-east-1:111122223333:log-group:log-group-name:*"
]
}
]
}
```
------