Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Creación de una política de protección de datos para toda la cuenta
Puedes usar la consola o los AWS CLI comandos de CloudWatch Logs para crear una política de protección de datos que oculte los datos confidenciales de todos los grupos de registros de tu cuenta. Esto afectará tanto a los grupos de registro actuales como a los que cree en el futuro.
**importante**
Los datos confidenciales se detectan y enmascaran cuando se introducen en el grupo de registro. Al establecer una política de protección de datos, los eventos de registro que se introducen en el grupo de registro antes de esa hora no se enmascaran.
**Topics**
+ [Consola](#mask-sensitive-log-data-accountlevel-console)
+ [AWS CLI](#mask-sensitive-log-data-accountlevel-cli)
## Consola
**Para utilizar la consola con el fin de crear una política de protección de datos para toda la cuenta**
1. Abre la CloudWatch consola en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. En el panel de navegación, seleccione **Configuración**. Se encuentra cerca del final de la lista.
1. Elija la pestaña **Logs (Registros)**.
1. Elija **Configurar**.
1. En **Identificadores de datos administrados**, seleccione los tipos de datos que desea auditar y enmascarar para todos sus grupos de registro. Puede escribir en el cuadro de selección para buscar los identificadores que desee.
Le recomendamos que seleccione solo los identificadores de datos que sean relevantes para sus datos de registro y para su empresa. Elegir muchos tipos de datos puede generar falsos positivos.
Para obtener más información sobre qué tipos de datos puede proteger, consulte [Tipos de datos que puede proteger](protect-sensitive-log-data-types.md).
1. (Opcional) Si quiere auditar y enmascarar otros tipos de datos mediante identificadores de datos personalizados, seleccione **Agregar identificador de datos personalizado**. A continuación, introduzca un nombre para el tipo de datos y la expresión regular que desee utilizar para buscar ese tipo de datos en los eventos de registro. Para obtener más información, consulte [Identificadores de datos personalizados](CWL-custom-data-identifiers.md).
Una única política de protección de datos puede incluir hasta 10 identificadores de datos personalizados. Cada expresión regular que define un identificador de datos personalizado debe tener 200 caracteres o menos.
1. (Opcional) Elija uno o más servicios a los que se deben enviar los resultados de la auditoría. Incluso si decide no enviar los resultados de la auditoría a ninguno de estos servicios, los tipos de datos confidenciales que seleccione seguirán ocultos.
1. Seleccione **Activate data protection** (Activar protección de datos).
## AWS CLI
**Para usar el AWS CLI para crear una política de protección de datos**
1. Utilice un editor de texto para crear un archivo de política llamado `DataProtectionPolicy.json`. Para obtener información sobre la sintaxis de la política, consulte la siguiente sección.
1. Introduzca el siguiente comando:
```
aws logs put-account-policy \
--policy-name TEST_POLICY --policy-type "DATA_PROTECTION_POLICY" \
--policy-document file://policy.json \
--scope "ALL" \
--region us-west-2
```
### Sintaxis de la política de protección de datos para AWS CLI nuestras operaciones de API
Al crear una política de protección de datos de JSON para utilizarla en un AWS CLI comando o una operación de API, la política debe incluir dos bloques de JSON:
+ El primer bloque debe incluir tanto una matriz `DataIdentifer` como una propiedad `Operation` con una acción `Audit`. La matriz `DataIdentifer` busca los tipos de datos confidenciales que desea enmascarar. Para obtener más información sobre las opciones disponibles, consulte [Tipos de datos que puede proteger](protect-sensitive-log-data-types.md).
La propiedad `Operation` con una acción `Audit` es necesaria para encontrar los términos de datos confidenciales. Esta acción `Audit` debe contener un objeto `FindingsDestination`. De forma opcional, puede utilizar ese objeto `FindingsDestination` para enumerar uno o más destinos a los que se deben enviar los informes de resultados de la auditoría. Si especifica destinos como grupos de registro, flujos de Amazon Data Firehose y buckets de S3, ya deben existir. Para ver un ejemplo de un informe de resultados de auditoría, consulte [Informes de resultados de auditoría](mask-sensitive-log-data-audit-findings.md).
+ El segundo bloque debe incluir tanto una matriz `DataIdentifer` como una propiedad `Operation` con una acción `Deidentify`. La matriz `DataIdentifer` debe coincidir exactamente con la matriz `DataIdentifer` del primer bloque de la política.
La propiedad `Operation` con la acción `Deidentify` es lo que realmente enmascara los datos y debe contener el objeto ` "MaskConfig": {}`. El objeto ` "MaskConfig": {}` debe estar vacío.
En el siguiente ejemplo verá una política de protección de datos que utiliza solo identificadores de datos administrados. Esta política enmascara las direcciones de correo electrónico y los permisos de conducir de los Estados Unidos.
Para obtener información sobre las políticas que especifican identificadores de datos personalizados, consulte [Uso de identificadores de datos personalizados en la política de protección de datos](CWL-custom-data-identifiers.md#using-custom-data-identifiers).
```
{
"Name": "data-protection-policy",
"Description": "test description",
"Version": "2021-06-01",
"Statement": [{
"Sid": "audit-policy",
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/EmailAddress",
"arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
],
"Operation": {
"Audit": {
"FindingsDestination": {
"CloudWatchLogs": {
"LogGroup": "EXISTING_LOG_GROUP_IN_YOUR_ACCOUNT,"
},
"Firehose": {
"DeliveryStream": "EXISTING_STREAM_IN_YOUR_ACCOUNT"
},
"S3": {
"Bucket": "EXISTING_BUCKET"
}
}
}
}
},
{
"Sid": "redact-policy",
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/EmailAddress",
"arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
],
"Operation": {
"Deidentify": {
"MaskConfig": {}
}
}
}
]
}
```