Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # Ayude a proteger los datos de registro confidenciales con el enmascaramiento Puedes ayudar a proteger los datos confidenciales que ingiere CloudWatch Logs mediante las políticas de *protección de datos de los* grupos de registros. Estas políticas le permiten auditar y enmascarar los datos confidenciales que aparecen en los eventos de registro incorporados por los grupos de registro en su cuenta. Cuando creas una política de protección de datos, de forma predeterminada, los datos confidenciales que coincidan con los identificadores de datos que has seleccionado se ocultan en todos los puntos de salida, incluidos CloudWatch Logs Insights, los filtros de métricas y los filtros de suscripción. Solo los usuarios que tienen el permiso de IAM de `logs:Unmask` pueden ver los datos desenmascarados. Puede crear una política de protección de datos para todos los grupos de registro de su cuenta y, también, puede crear políticas de protección de datos para grupos de registro individuales. Al crear una política para toda la cuenta, se aplica tanto a los grupos de registro existentes como a los que se creen en el futuro. Si crea una política de protección de datos para toda su cuenta y también crea una política para un único grupo de registro, ambas políticas se aplican a ese grupo de registro. Todos los identificadores de datos administrados que se especifican en cualquiera de las políticas se auditan y enmascaran en ese grupo de registro. **nota** Se admite el enmascaramiento de datos confidenciales en los grupos de registros de las clases de registro estándar y de acceso poco frecuente. Para obtener más información acerca de las clases de registros, consulte [Clases de registro](CloudWatch_Logs_Log_Classes.md). Cada grupo de registro solo puede tener una política de protección de datos a nivel de grupo de registro, pero esa política puede especificar varios identificadores de datos administrados para auditarlos y enmascararlos. El límite de una política de protección de datos es de 30 720 caracteres. **importante** Los datos confidenciales se detectan y enmascaran cuando se introducen en el grupo de registro. Al establecer una política de protección de datos, los eventos de registro que se introducen en el grupo de registro antes de esa hora no se enmascaran. CloudWatch Los registros admiten muchos *identificadores de datos gestionados*, que ofrecen tipos de datos preconfigurados que puede seleccionar para proteger los datos financieros, la información de salud personal (PHI) y la información de identificación personal (PII). CloudWatch La protección de los datos de los registros le permite aprovechar los modelos de coincidencia de patrones y aprendizaje automático para detectar datos confidenciales. Para algunos tipos de identificadores de datos administrados, la detección también depende de encontrar ciertas palabras clave que rodeen los datos confidenciales. También puede utilizar identificadores de datos personalizados para crear sus propios identificadores de datos adaptados a su caso de uso específico. Se emite una métrica CloudWatch cuando se detectan datos confidenciales que coinciden con los identificadores de datos que ha seleccionado. Esta es la **LogEventsWithFindings**métrica y se emite en el espacio de nombres **AWS/Logs**. Puede usar esta métrica para crear CloudWatch alarmas y visualizarla en gráficos y paneles. Las métricas emitidas por la protección de datos son métricas proporcionadas y son gratuitas. Para obtener más información sobre las métricas a las que envía CloudWatch Logs CloudWatch, consulte[Monitorización con CloudWatch métricas](CloudWatch-Logs-Monitoring-CloudWatch-Metrics.md). Cada identificador de datos gestionados está diseñado para detectar un tipo específico de datos confidenciales, como números de tarjetas de crédito, claves de acceso AWS secretas o números de pasaporte de un país o región determinados. Al crear una política de protección de datos, puede configurarla para que utilice estos identificadores con el fin de analizar los registros que se introducen en el grupo de registro y tomar medidas cuando se detecten. CloudWatch La protección de datos de los registros puede detectar las siguientes categorías de datos confidenciales mediante identificadores de datos gestionados: + Credenciales, como claves privadas o claves de acceso AWS secretas + Información financiera, como números de tarjetas de crédito + Información de identificación personal (PII), como licencias de conducir o números de la seguridad social + Información médica protegida (PHI), como números de seguro médico o identificación médica + Identificadores de dispositivos, como direcciones IP o direcciones MAC Para obtener más información sobre los tipos de datos que puede proteger, consulte [Tipos de datos que puede proteger](protect-sensitive-log-data-types.md). **Contents** + [Descripción de las políticas de protección de datos](cloudwatch-logs-data-protection-policies.md) + [¿Qué son las políticas de protección de datos?](cloudwatch-logs-data-protection-policies.md#what-are-data-protection-policies) + [¿Cómo está estructurada la política de protección de datos?](cloudwatch-logs-data-protection-policies.md#overview-of-data-protection-policies) + [Propiedades JSON para la política de protección de datos](cloudwatch-logs-data-protection-policies.md#data-protection-policy-json-properties) + [Propiedades JSON de una instrucción de política](cloudwatch-logs-data-protection-policies.md#policy-statement-json-properties) + [Propiedades JSON de una operación de instrucción de política](cloudwatch-logs-data-protection-policies.md#statement-operation-json-properties) + [Permisos de IAM requeridos para crear una política de protección de datos o trabajar con ella](data-protection-policy-permissions.md) + [Permisos necesarios para las políticas de protección de datos de la cuenta](data-protection-policy-permissions.md#data-protection-policy-permissions-accountlevel) + [Permisos necesarios para las políticas de protección de datos de un único grupo de registro](data-protection-policy-permissions.md#data-protection-policy-permissions-loggroup) + [Política de protección de datos de ejemplo](data-protection-policy-permissions.md#data-protection-policy-sample) + [Creación de una política de protección de datos para toda la cuenta](mask-sensitive-log-data-accountlevel.md) + [Consola](mask-sensitive-log-data-accountlevel.md#mask-sensitive-log-data-accountlevel-console) + [AWS CLI](mask-sensitive-log-data-accountlevel.md#mask-sensitive-log-data-accountlevel-cli) + [Sintaxis de la política de protección de datos para AWS CLI nuestras operaciones de API](mask-sensitive-log-data-accountlevel.md#mask-sensitive-log-data-policysyntax-account) + [Creación de una política de protección de datos para un único grupo de registro](mask-sensitive-log-data-start.md) + [Consola](mask-sensitive-log-data-start.md#mask-sensitive-log-data-start-console) + [AWS CLI](mask-sensitive-log-data-start.md#mask-sensitive-log-data-start-cli) + [Sintaxis de la política de protección de datos para AWS CLI nuestras operaciones de API](mask-sensitive-log-data-start.md#mask-sensitive-log-data-policysyntax) + [Visualización de datos desenmascarados](mask-sensitive-log-data-viewunmasked.md) + [Informes de resultados de auditoría](mask-sensitive-log-data-audit-findings.md) + [Política clave necesaria para enviar los resultados de la auditoría a un depósito protegido por AWS KMS](mask-sensitive-log-data-audit-findings.md#mask-sensitive-log-data-audit-findings-kms) + [Tipos de datos que puede proteger](protect-sensitive-log-data-types.md) + [CloudWatch Registra los identificadores de datos gestionados para tipos de datos confidenciales](CWL-managed-data-identifiers.md) + [Credenciales](protect-sensitive-log-data-types-credentials.md) + [Identificador de datos ARNs para los tipos de datos de credenciales](protect-sensitive-log-data-types-credentials.md#cwl-data-protection-credentials-arns) + [Identificadores de dispositivos](protect-sensitive-log-data-types-device.md) + [Identificador de datos ARNs para los tipos de datos de los dispositivos](protect-sensitive-log-data-types-device.md#cwl-data-protection-devices-arns) + [Información financiera](protect-sensitive-log-data-types-financial.md) + [Identificador de datos ARNs para los tipos de datos financieros](protect-sensitive-log-data-types-financial.md#cwl-data-protection-financial-arns) + [Información médica protegida (PHI)](protect-sensitive-log-data-types-health.md) + [Identificador de datos ARNs para los tipos de datos de información de salud protegida (PHI)](protect-sensitive-log-data-types-health.md#cwl-data-protection-phi-arns) + [Información de identificación personal (PII)](protect-sensitive-log-data-types-pii.md) + [Palabras clave de números de identificación del permiso de conducir](protect-sensitive-log-data-types-pii.md#CWL-managed-data-identifiers-pii-dl-keywords) + [Palabras clave para números de documentos nacionales de identificación](protect-sensitive-log-data-types-pii.md#CWL-managed-data-identifiers-pii-natlid-keywords) + [Palabras clave para números de pasaporte](protect-sensitive-log-data-types-pii.md#CWL-managed-data-identifiers-pii-passport-keywords) + [Palabras clave para números de identificación y referencia del contribuyente](protect-sensitive-log-data-types-pii.md#CWL-managed-data-identifiers-financial-tin-keywords) + [Identificador de datos ARNs para la información de identificación personal (PII)](protect-sensitive-log-data-types-pii.md#CWL-data-protection-pii-arns) + [Identificadores de datos personalizados](CWL-custom-data-identifiers.md) + [¿Qué son los identificadores de datos personalizados?](CWL-custom-data-identifiers.md#what-are-custom-data-identifiers) + [Restricciones de identificadores de datos personalizados](CWL-custom-data-identifiers.md#custom-data-identifiers-constraints) + [Uso de identificadores de datos personalizados en la consola](CWL-custom-data-identifiers.md#using-custom-data-identifiers-console) + [Uso de identificadores de datos personalizados en la política de protección de datos](CWL-custom-data-identifiers.md#using-custom-data-identifiers)