Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Creazione di una policy di protezione dei dati a livello di account
Puoi utilizzare la console o i AWS CLI comandi CloudWatch Logs per creare una politica di protezione dei dati per mascherare i dati sensibili per tutti i gruppi di log del tuo account. Questa operazione ha effetto sia sui gruppi di log correnti che su quelli creati successivamente.
**Importante**
I dati sensibili vengono rilevati e mascherati quando vengono importati nel gruppo di log. Quando si imposta una policy di protezione dei dati, i log eventi importati nel gruppo di log prima di quel momento non vengono mascherati.
**Topics**
+ [Console](#mask-sensitive-log-data-accountlevel-console)
+ [AWS CLI](#mask-sensitive-log-data-accountlevel-cli)
## Console
**Utilizzo della console per creare una policy di protezione dei dati a livello di account**
1. Apri la CloudWatch console all'indirizzo [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Nel pannello di navigazione scegli **Impostazioni**. Si trova quasi in fondo all'elenco.
1. Scegliere la scheda **Log**.
1. Scegli **Configura**.
1. Per gli **identificatori di dati gestiti**, seleziona i tipi di dati che desideri controllare e mascherare per tutti i tuoi gruppi di log. Per individuare gli identificatori che ti interessano, digita il testo nella casella di selezione.
Ti consigliamo di selezionare solo gli identificatori di dati pertinenti per i tuoi dati di log e la tua attività. La scelta di numerosi tipi di dati può portare a falsi positivi.
Per informazioni dettagliate sui tipi di dati che puoi proteggere, consulta la sezione [Tipi di dati che è possibile proteggere](protect-sensitive-log-data-types.md).
1. (Facoltativo) Se desideri controllare e mascherare altri tipi di dati utilizzando identificatori di dati personalizzati, scegli **Aggiungi identificatore di dati personalizzato**. Quindi inserisci un nome per il tipo di dati e l'espressione regolare da utilizzare per cercare quel tipo di dati nel registro degli eventi. Per ulteriori informazioni, consulta [Identificatori di dati personalizzati](CWL-custom-data-identifiers.md).
Una singola politica di protezione dei dati può includere fino a 10 identificatori di dati personalizzati. Ogni espressione regolare che definisce un identificatore di dati personalizzato deve contenere al massimo 200 caratteri.
1. (Facoltativo) Scegli uno o più servizi a cui inviare i risultati della verifica. Anche se scegli di non inviare i risultati della verifica ad alcun servizio, i tipi di dati sensibili selezionati verranno comunque mascherati.
1. Scegli **Activate data protection** (Attiva la protezione dei dati).
## AWS CLI
**Da utilizzare per AWS CLI creare una politica di protezione dei dati**
1. Utilizza un editor di testo per creare un file di policy denominato `DataProtectionPolicy.json`. Per informazioni sulla sintassi delle policy, consulta la sezione seguente.
1. Immetti il comando seguente:
```
aws logs put-account-policy \
--policy-name TEST_POLICY --policy-type "DATA_PROTECTION_POLICY" \
--policy-document file://policy.json \
--scope "ALL" \
--region us-west-2
```
### Sintassi della politica di protezione dei dati per le AWS CLI nostre operazioni API
Quando crei una policy di protezione dei dati JSON da utilizzare in un AWS CLI comando o in un'operazione API, la policy deve includere due blocchi JSON:
+ Il primo blocco deve includere sia una matrice `DataIdentifer` sia una proprietà `Operation` con un'operazione `Audit`. La matrice `DataIdentifer` elenca i tipi di dati sensibili che desideri mascherare. Per ulteriori informazioni sulle opzioni disponibili, consulta [Tipi di dati che è possibile proteggere](protect-sensitive-log-data-types.md).
La proprietà `Operation` con l'operazione `Audit` è necessaria per individuare i termini relativi ai dati sensibili. L'operazione `Audit` deve contenere un oggetto `FindingsDestination`. È possibile utilizzare tale oggetto `FindingsDestination` per elencare una o più destinazioni a cui inviare il report sui risultati della verifica. Se specifichi destinazioni come gruppi di log, flussi Amazon Data Firehose e bucket S3, devono già esistere. Per un esempio di report sui risultati della verifica, consulta [Report sui risultati della verifica](mask-sensitive-log-data-audit-findings.md).
+ Il secondo blocco deve includere sia una matrice `DataIdentifer` sia una proprietà `Operation` con un'operazione `Deidentify`. La matrice `DataIdentifer` deve corrispondere esattamente alla matrice `DataIdentifer` nel primo blocco della policy.
La proprietà `Operation` con l'operazione `Deidentify` è ciò che maschera effettivamente i dati e deve contenere l'oggetto ` "MaskConfig": {}`. L'oggetto ` "MaskConfig": {}` deve essere vuoto.
Di seguito è riportato un esempio di politica di protezione dei dati che utilizza solo identificatori di dati gestiti. Questa politica maschera gli indirizzi e-mail e le patenti di guida degli Stati Uniti d'America.
Per informazioni sulle politiche che specificano identificatori di dati personalizzati, consulta. [Utilizzo degli identificatori di dati personalizzati nella policy di protezione dei dati](CWL-custom-data-identifiers.md#using-custom-data-identifiers)
```
{
"Name": "data-protection-policy",
"Description": "test description",
"Version": "2021-06-01",
"Statement": [{
"Sid": "audit-policy",
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/EmailAddress",
"arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
],
"Operation": {
"Audit": {
"FindingsDestination": {
"CloudWatchLogs": {
"LogGroup": "EXISTING_LOG_GROUP_IN_YOUR_ACCOUNT,"
},
"Firehose": {
"DeliveryStream": "EXISTING_STREAM_IN_YOUR_ACCOUNT"
},
"S3": {
"Bucket": "EXISTING_BUCKET"
}
}
}
}
},
{
"Sid": "redact-policy",
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/EmailAddress",
"arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
],
"Operation": {
"Deidentify": {
"MaskConfig": {}
}
}
}
]
}
```