Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Permisos de IAM requeridos para crear una política de protección de datos o trabajar con ella
<a name="data-protection-policy-permissions"></a>

Para poder trabajar con políticas de protección de datos para los grupos de registro, debe tener ciertos permisos, como se muestra en las tablas siguientes. Los permisos son diferentes para las políticas de protección de datos de toda la cuenta y para las políticas de protección de datos que se aplican a un único grupo de registro.

## Permisos necesarios para las políticas de protección de datos de la cuenta
<a name="data-protection-policy-permissions-accountlevel"></a>

**nota**  
Si realiza alguna de estas operaciones dentro de una función de Lambda, el rol de ejecución de Lambda y el límite de permisos también deben incluir los siguientes permisos.



- ** **Crear una política de protección de datos sin destinos de auditoría** **
  - **Se necesita permiso de IAM:** `logs:PutAccountPolicy` / **Recurso:** `*`
  - **Se necesita permiso de IAM:** `logs:PutDataProtectionPolicy` / **Recurso:** `*`

- ** **Crea una política de protección de datos con CloudWatch Logs como destino de la auditoría** **
  - **Se necesita permiso de IAM:** `logs:PutAccountPolicy` / **Recurso:** `*`
  - **Se necesita permiso de IAM:** `logs:PutDataProtectionPolicy` / **Recurso:** `*`
  - **Se necesita permiso de IAM:** `logs:CreateLogDelivery` / **Recurso:** `*`
  - **Se necesita permiso de IAM:** `logs:PutResourcePolicy` / **Recurso:** `*`
  - **Se necesita permiso de IAM:** `logs:DescribeResourcePolicies` / **Recurso:** `*`
  - **Se necesita permiso de IAM:** `logs:DescribeLogGroups` / **Recurso:** `*`

- ** **Creación de una política de protección de datos con Firehose como destino de auditoría** **
  - **Se necesita permiso de IAM:** `logs:PutAccountPolicy` / **Recurso:** `*`
  - **Se necesita permiso de IAM:** `logs:PutDataProtectionPolicy` / **Recurso:** `*`
  - **Se necesita permiso de IAM:** `logs:CreateLogDelivery` / **Recurso:** `*`
  - **Se necesita permiso de IAM:** `firehose:TagDeliveryStream` / **Recurso:** `arn:aws:logs:::deliverystream/{{YOUR_DELIVERY_STREAM}}`

- ** **Crear una política de protección de datos con Amazon S3 como destino de auditoría** **
  - **Se necesita permiso de IAM:** `logs:PutAccountPolicy` / **Recurso:** `*`
  - **Se necesita permiso de IAM:** `logs:PutDataProtectionPolicy` / **Recurso:** `*`
  - **Se necesita permiso de IAM:** `logs:CreateLogDelivery` / **Recurso:** `*`
  - **Se necesita permiso de IAM:** `s3:GetBucketPolicy` / **Recurso:** `arn:aws:s3:::{{YOUR_BUCKET}}`
  - **Se necesita permiso de IAM:** `s3:PutBucketPolicy` / **Recurso:** `arn:aws:s3:::{{YOUR_BUCKET}}`

- ** **Desenmascarar eventos de registro en un grupo de registro especificado** **
  - **Se necesita permiso de IAM:** `logs:Unmask`
  - **Recurso:** `arn:aws:logs:::log-group:*`

- ** **Ver una política de protección de datos existente** **
  - **Se necesita permiso de IAM:** `logs:GetDataProtectionPolicy`
  - **Recurso:** `*`

- ** **Eliminar una política de protección de datos** **
  - **Se necesita permiso de IAM:** `logs:DeleteAccountPolicy` / **Recurso:** `*`
  - **Se necesita permiso de IAM:** `logs:DeleteDataProtectionPolicy` / **Recurso:** `*`



Si ya se están enviando registros de auditoría de protección de datos a algún destino, las demás políticas que envíen registros al mismo destino solo necesitan los permisos `logs:PutDataProtectionPolicy` y `logs:CreateLogDelivery`.

## Permisos necesarios para las políticas de protección de datos de un único grupo de registro
<a name="data-protection-policy-permissions-loggroup"></a>

**nota**  
Si realiza alguna de estas operaciones dentro de una función de Lambda, el rol de ejecución de Lambda y el límite de permisos también deben incluir los siguientes permisos.


| Operación | Se necesita permiso de IAM | Recurso | 
| --- | --- | --- | 
| Crear una política de protección de datos sin destinos de auditoría | `logs:PutDataProtectionPolicy` | `arn:aws:logs:::log-group:{{YOUR_LOG_GROUP}}:*` | 
| Cree una política de protección de datos con CloudWatch Logs como destino de auditoría | `logs:PutDataProtectionPolicy`<br />`logs:CreateLogDelivery`<br />`logs:PutResourcePolicy`<br />`logs:DescribeResourcePolicies`<br />`logs:DescribeLogGroups` | `arn:aws:logs:::log-group:{{YOUR_LOG_GROUP}}:*`<br />`*`<br />`*`<br />`*`<br />`*` | 
| Creación de una política de protección de datos con Firehose como destino de auditoría | `logs:PutDataProtectionPolicy`<br />`logs:CreateLogDelivery`<br />`firehose:TagDeliveryStream` | `arn:aws:logs:::log-group:{{YOUR_LOG_GROUP}}:*`<br />`*`<br />`arn:aws:logs:::deliverystream/{{YOUR_DELIVERY_STREAM}}` | 
| Create a data protection policy with Amazon S3 as an audit destination | `logs:PutDataProtectionPolicy`<br />`logs:CreateLogDelivery`<br />`s3:GetBucketPolicy`<br />`s3:PutBucketPolicy` | `arn:aws:logs:::log-group:{{YOUR_LOG_GROUP}}:*`<br />`*`<br />`arn:aws:s3:::{{YOUR_BUCKET}}`<br />`arn:aws:s3:::{{YOUR_BUCKET}}` | 
| Unmask masked log events | `logs:Unmask` | `arn:aws:logs:::log-group:{{YOUR_LOG_GROUP}}:*` | 
| View an existing data protection policy | `logs:GetDataProtectionPolicy` | `arn:aws:logs:::log-group:{{YOUR_LOG_GROUP}}:*` | 
| Eliminar una política de protección de datos | `logs:DeleteDataProtectionPolicy` | `arn:aws:logs:::log-group:{{YOUR_LOG_GROUP}}:*` | 

Si ya se están enviando registros de auditoría de protección de datos a algún destino, las demás políticas que envíen registros al mismo destino solo necesitan los permisos `logs:PutDataProtectionPolicy` y `logs:CreateLogDelivery`.

## Política de protección de datos de ejemplo
<a name="data-protection-policy-sample"></a>

La siguiente política de ejemplo permite al usuario crear, visualizar y eliminar las políticas de protección de datos que pueden enviar los resultados de las auditorías a los tres tipos de destinos de auditoría. No permite que el usuario vea los datos desenmascarados.

------
#### [ JSON ]

****  

```
 
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowLogDeliveryConfiguration",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:PutResourcePolicy",
                "logs:DescribeLogGroups",
                "logs:DescribeResourcePolicies"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowDataProtectionAndBucketConfiguration",
            "Effect": "Allow",
            "Action": [
                "logs:GetDataProtectionPolicy",
                "logs:DeleteDataProtectionPolicy",
                "logs:PutDataProtectionPolicy",
                "s3:PutBucketPolicy",
                "firehose:TagDeliveryStream",
                "s3:GetBucketPolicy"
            ],
            "Resource": [
            "arn:aws:firehose:{{us-east-1}}:{{111122223333}}:deliverystream/{{delivery-stream-name}}",
            "arn:aws:s3:::{{amzn-s3-demo-destination-bucket}}",
            "arn:aws:logs:{{us-east-1}}:{{111122223333}}:log-group:{{log-group-name}}:*"
            ]
        }
    ]
}
```

------