As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Permissões de IAM necessárias para criar ou trabalhar com uma política de proteção de dados
<a name="data-protection-policy-permissions"></a>

Para poder trabalhar com políticas de proteção de dados para grupos de logs, você deve ter certas permissões, conforme mostrado nas tabelas a seguir. As permissões são diferentes para políticas de proteção de dados em toda a conta e para políticas de proteção de dados aplicáveis a um único grupo de logs.

## Permissões necessárias para políticas de proteção de dados no nível da conta
<a name="data-protection-policy-permissions-accountlevel"></a>

**nota**  
Se você estiver executando qualquer uma dessas operações dentro de uma função do Lambda, a função de execução do Lambda e o limite de permissões também devem incluir as seguintes permissões.



- ** **Criar uma política de proteção de dados sem destinos de auditoria** **
  - **Permissão necessárias do IAM:** `logs:PutAccountPolicy` / **Recurso:** `*`
  - **Permissão necessárias do IAM:** `logs:PutDataProtectionPolicy` / **Recurso:** `*`

- ** **Crie uma política de proteção de dados com o CloudWatch Logs como destino de auditoria** **
  - **Permissão necessárias do IAM:** `logs:PutAccountPolicy` / **Recurso:** `*`
  - **Permissão necessárias do IAM:** `logs:PutDataProtectionPolicy` / **Recurso:** `*`
  - **Permissão necessárias do IAM:** `logs:CreateLogDelivery` / **Recurso:** `*`
  - **Permissão necessárias do IAM:** `logs:PutResourcePolicy` / **Recurso:** `*`
  - **Permissão necessárias do IAM:** `logs:DescribeResourcePolicies` / **Recurso:** `*`
  - **Permissão necessárias do IAM:** `logs:DescribeLogGroups` / **Recurso:** `*`

- ** **Criar uma política de proteção de dados com o Firehose como destino de auditoria** **
  - **Permissão necessárias do IAM:** `logs:PutAccountPolicy` / **Recurso:** `*`
  - **Permissão necessárias do IAM:** `logs:PutDataProtectionPolicy` / **Recurso:** `*`
  - **Permissão necessárias do IAM:** `logs:CreateLogDelivery` / **Recurso:** `*`
  - **Permissão necessárias do IAM:** `firehose:TagDeliveryStream` / **Recurso:** `arn:aws:logs:::deliverystream/{{YOUR_DELIVERY_STREAM}}`

- ** **Criar uma política de proteção de dados com o Amazon S3 como destino de auditoria** **
  - **Permissão necessárias do IAM:** `logs:PutAccountPolicy` / **Recurso:** `*`
  - **Permissão necessárias do IAM:** `logs:PutDataProtectionPolicy` / **Recurso:** `*`
  - **Permissão necessárias do IAM:** `logs:CreateLogDelivery` / **Recurso:** `*`
  - **Permissão necessárias do IAM:** `s3:GetBucketPolicy` / **Recurso:** `arn:aws:s3:::{{YOUR_BUCKET}}`
  - **Permissão necessárias do IAM:** `s3:PutBucketPolicy` / **Recurso:** `arn:aws:s3:::{{YOUR_BUCKET}}`

- ** **Desmascarar eventos de log mascarados em um grupo de logs especificado** **
  - **Permissão necessárias do IAM:** `logs:Unmask`
  - **Recurso:** `arn:aws:logs:::log-group:*`

- ** **Ver uma política de proteção de dados existente** **
  - **Permissão necessárias do IAM:** `logs:GetDataProtectionPolicy`
  - **Recurso:** `*`

- ** **Excluir uma política de proteção de dados** **
  - **Permissão necessárias do IAM:** `logs:DeleteAccountPolicy` / **Recurso:** `*`
  - **Permissão necessárias do IAM:** `logs:DeleteDataProtectionPolicy` / **Recurso:** `*`



Se algum log de auditoria de proteção de dados já estiver sendo enviado para um destino, outras políticas que enviam logs para o mesmo destino precisarão apenas das permissões `logs:PutDataProtectionPolicy` e `logs:CreateLogDelivery`.

## Permissões necessárias para políticas de proteção de dados para um único grupo de logs
<a name="data-protection-policy-permissions-loggroup"></a>

**nota**  
Se você estiver executando qualquer uma dessas operações dentro de uma função do Lambda, a função de execução do Lambda e o limite de permissões também devem incluir as seguintes permissões.


| Operation | Permissão necessárias do IAM | Recurso | 
| --- | --- | --- | 
| Criar uma política de proteção de dados sem destinos de auditoria | `logs:PutDataProtectionPolicy` | `arn:aws:logs:::log-group:{{YOUR_LOG_GROUP}}:*` | 
| Crie uma política de proteção de dados com o CloudWatch Logs como destino de auditoria | `logs:PutDataProtectionPolicy`<br />`logs:CreateLogDelivery`<br />`logs:PutResourcePolicy`<br />`logs:DescribeResourcePolicies`<br />`logs:DescribeLogGroups` | `arn:aws:logs:::log-group:{{YOUR_LOG_GROUP}}:*`<br />`*`<br />`*`<br />`*`<br />`*` | 
| Criar uma política de proteção de dados com o Firehose como destino de auditoria | `logs:PutDataProtectionPolicy`<br />`logs:CreateLogDelivery`<br />`firehose:TagDeliveryStream` | `arn:aws:logs:::log-group:{{YOUR_LOG_GROUP}}:*`<br />`*`<br />`arn:aws:logs:::deliverystream/{{YOUR_DELIVERY_STREAM}}` | 
| Criar uma política de proteção de dados com o Amazon S3 como destino de auditoria | `logs:PutDataProtectionPolicy`<br />`logs:CreateLogDelivery`<br />`s3:GetBucketPolicy`<br />`s3:PutBucketPolicy` | `arn:aws:logs:::log-group:{{YOUR_LOG_GROUP}}:*`<br />`*`<br />`arn:aws:s3:::{{YOUR_BUCKET}}`<br />`arn:aws:s3:::{{YOUR_BUCKET}}` | 
| Desmascarar eventos de logs | `logs:Unmask` | `arn:aws:logs:::log-group:{{YOUR_LOG_GROUP}}:*` | 
| Ver uma política de proteção de dados existente | `logs:GetDataProtectionPolicy` | `arn:aws:logs:::log-group:{{YOUR_LOG_GROUP}}:*` | 
| Excluir uma política de proteção de dados | `logs:DeleteDataProtectionPolicy` | `arn:aws:logs:::log-group:{{YOUR_LOG_GROUP}}:*` | 

Se algum log de auditoria de proteção de dados já estiver sendo enviado para um destino, outras políticas que enviam logs para o mesmo destino precisarão apenas das permissões `logs:PutDataProtectionPolicy` e `logs:CreateLogDelivery`.

## Amostra da política de proteção de dados
<a name="data-protection-policy-sample"></a>

O exemplo de política a seguir permite que um usuário crie, visualize e exclua políticas de proteção de dados que podem enviar descobertas de auditoria para todos os três tipos de destinos de auditoria. Ele não permite que o usuário visualize dados não mascarados.

------
#### [ JSON ]

****  

```
 
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowLogDeliveryConfiguration",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:PutResourcePolicy",
                "logs:DescribeLogGroups",
                "logs:DescribeResourcePolicies"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowDataProtectionAndBucketConfiguration",
            "Effect": "Allow",
            "Action": [
                "logs:GetDataProtectionPolicy",
                "logs:DeleteDataProtectionPolicy",
                "logs:PutDataProtectionPolicy",
                "s3:PutBucketPolicy",
                "firehose:TagDeliveryStream",
                "s3:GetBucketPolicy"
            ],
            "Resource": [
            "arn:aws:firehose:{{us-east-1}}:{{111122223333}}:deliverystream/{{delivery-stream-name}}",
            "arn:aws:s3:::{{amzn-s3-demo-destination-bucket}}",
            "arn:aws:logs:{{us-east-1}}:{{111122223333}}:log-group:{{log-group-name}}:*"
            ]
        }
    ]
}
```

------