O que são identificadores de dados personalizados?Restrições de identificadores de dados personalizados Uso de identificadores de dados personalizados no console Usar identificadores de dados personalizados na política de proteção de dados

Identificadores de dados personalizados

Tópicos

O que são identificadores de dados personalizados?
Restrições de identificadores de dados personalizados
Uso de identificadores de dados personalizados no console
Usar identificadores de dados personalizados na política de proteção de dados

O que são identificadores de dados personalizados?

Os identificadores de dados personalizados (CDIs) permitem que você defina suas próprias expressões regulares personalizadas que podem ser usadas na política de proteção de dados. Usando identificadores de dados personalizados, é possível segmentar casos de uso de informações de identificação pessoal (PII) específicos da empresa que os identificadores de dados gerenciados não podem fornecer. Por exemplo, você pode usar um identificador de dados personalizado para procurar funcionários específicos da empresa. IDs Identificadores de dados personalizados podem ser usados em conjunto com identificadores de dados gerenciados.

Restrições de identificadores de dados personalizados

CloudWatch Os identificadores de dados personalizados de logs têm as seguintes limitações:

As políticas de proteção de dados são compatíveis com dez identificadores de dados personalizados, no máximo.
O tamanho máximo dos nomes de identificadores de dados personalizados é 128 caracteres. Os seguintes caracteres são aceitos:
- Alfanuméricos: (a – z; A – Z; 0 – 9)
- Símbolos: (“_” | “-”)
O RegEx tem um tamanho máximo de 200 caracteres. Os seguintes caracteres são aceitos:
- Alfanuméricos: (a – z; A – Z; 0 – 9)
- Símbolos: (“_” | “#” | “=” | “@” | “/” | “;” | “,” | “-” | “ ”)
- Caracteres reservados RegEx: (“^” | “$” | “?” | “[“ | “]” | “{“ | “}” | “|” | “\\” | “*” | “+” | “.”)
Os identificadores de dados personalizados não podem compartilhar o mesmo nome de um identificador de dados gerenciados.
Identificadores de dados personalizados podem ser especificados em uma política de proteção de dados ao nível da conta ou em políticas de proteção de dados ao nível do grupo de logs. Como ocorre com identificadores de dados gerenciados, os identificadores de dados personalizados definidos em uma política ao nível da conta funcionam em combinação com identificadores de dados personalizados definidos em uma política ao nível do grupo de logs.

Uso de identificadores de dados personalizados no console

Quando você usa o CloudWatch console para criar ou editar uma política de proteção de dados, para especificar um identificador de dados personalizado, basta inserir um nome e uma expressão regular para o identificador de dados. Por exemplo, você pode inserir Employee_ID para o nome e EmployeeID-\d{9} para a expressão regular. Essa expressão regular detectará e mascarará eventos de log com nove números depois do EmployeeID-. Por exemplo, EmployeeID-123456789.

Usar identificadores de dados personalizados na política de proteção de dados

Se você estiver usando a AWS API AWS CLI ou para especificar um identificador de dados personalizado, precisará incluir o nome do identificador de dados e a expressão regular na política JSON usada para definir a política de proteção de dados. A política de proteção de dados a seguir detecta e mascara os eventos de log que envolvem funcionários específicos da empresa. IDs

Crie um bloco Configuration na política de proteção de dados.
Insira um Name para o identificador de dados personalizado. Por exemplo, .EmployeeId
Insira um Regex para o identificador de dados personalizado. Por exemplo, .EmployeeID-\d{9} Essa expressão regular corresponderá a eventos de log contendo o EmployeeID- com nove dígitos depois do EmployeeID-. Por exemplo, EmployeeID-123456789.

Consulte o identificador de dados personalizado a seguir em uma declaração de política.


{
    "Name": "example_data_protection_policy",
    "Description": "Example data protection policy with custom data identifiers",
    "Version": "2021-06-01",
    "Configuration": {
      "CustomDataIdentifier": [
        {"Name": "EmployeeId", "Regex": "EmployeeId-\\d{9}"}   
      ]
    },
    "Statement": [
        {
            "Sid": "audit-policy",
            "DataIdentifier": [
                "EmployeeId"
            ],
            "Operation": {
                "Audit": {
                    "FindingsDestination": {
                        "S3": {
                            "Bucket": "EXISTING_BUCKET"
                        }
                    }
                }
            }
        },
        {
            "Sid": "redact-policy",
            "DataIdentifier": [
            "EmployeeId"
            ],
            "Operation": {
                "Deidentify": {
                    "MaskConfig": {
                    }
                }
            }
        }
    ]
}

(Opcional) Continue adicionando identificadores de dados personalizados ao bloco Configuration, conforme necessário. No momento, as políticas de proteção de dados são compatíveis com dez identificadores de dados personalizados, no máximo.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Informações de identificação pessoal (PII)

Transforme registros durante a ingestão