As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Ajude a proteger dados de log confidenciais com mascaramento Você pode ajudar a proteger dados confidenciais que são ingeridos pelo CloudWatch Logs usando políticas de *proteção de dados* de grupos de registros. Essas políticas permitem auditar e mascarar dados confidenciais que aparecem nos eventos de log consumidos pelos grupos de logs na sua conta. Quando você cria uma política de proteção de dados, por padrão, os dados confidenciais que correspondem aos identificadores de dados selecionados são mascarados em todos os pontos de saída, incluindo CloudWatch Logs Insights, filtros métricos e filtros de assinatura. Somente usuários com a permissão do IAM `logs:Unmask` podem visualizar dados não mascarados. Você pode criar uma política de proteção de dados para todos os grupos de logs da sua conta, além de criar políticas de proteção de dados para grupos de logs individuais. Ao criar uma política para toda a conta, ela se aplica tanto aos grupos de logs existentes quanto aos grupos de logs que forem criados no futuro. Se você criar uma política de proteção de dados para toda a conta e também criar uma política para um único grupo de logs, as duas políticas serão aplicáveis a esse grupo de logs. Todos os identificadores de dados gerenciados especificados em qualquer política são auditados e mascarados nesse grupo de logs. **nota** O mascaramento de dados confidenciais é suportado para grupos de registros nas classes de registro de acesso padrão e infrequente. Para obter mais informações sobre classes de logs, consulte [Classes de logs](CloudWatch_Logs_Log_Classes.md). Cada grupo de logs pode ter somente uma política de proteção de dados em nível de grupo de logs, mas essa política pode especificar vários identificadores de dados gerenciados para auditoria e mascaramento. O limite de uma política de proteção de dados é de 30.720 caracteres. **Importante** Os dados confidenciais são detectados e mascarados quando são ingeridos no grupo de logs. Quando você define uma política de proteção de dados, os eventos de log ingeridos no grupo de logs antes dessa hora não são mascarados. CloudWatch O Logs oferece suporte a vários *identificadores de dados gerenciados*, que oferecem tipos de dados pré-configurados que você pode selecionar para proteger dados financeiros, informações pessoais de saúde (PHI) e informações de identificação pessoal (PII). CloudWatch A proteção de dados de registros permite que você aproveite a correspondência de padrões e os modelos de aprendizado de máquina para detectar dados confidenciais. Para alguns tipos de dados, a detecção depende também de certas palavras-chave serem encontradas próximas aos dados confidenciais. Também é possível usar identificadores de dados personalizados para criar identificadores de dados personalizados para um caso de uso específico. CloudWatch Quando dados confidenciais são detectados, é emitida uma métrica que corresponde aos identificadores de dados selecionados. Essa é a **LogEventsWithFindings**métrica e é emitida no namespace **AWS/Logs**. Você pode usar essa métrica para criar CloudWatch alarmes e visualizá-la em gráficos e painéis. As métricas emitidas pela proteção de dados são métricas vendidas e gratuitas. Para obter mais informações sobre as métricas para as CloudWatch quais o Logs envia CloudWatch, consulte[Monitoramento com CloudWatch métricas](CloudWatch-Logs-Monitoring-CloudWatch-Metrics.md). Cada identificador de dados gerenciados foi projetado para detectar um tipo específico de dados confidenciais, como números de cartão de crédito, chaves de acesso AWS secretas ou números de passaportes de um determinado país ou região. Ao criar uma política de proteção de dados, você pode configurá-la para usar esses identificadores para analisar logs ingeridos pelo grupo de logs e executar ações quando forem detectados. CloudWatch A proteção de dados de registros pode detectar as seguintes categorias de dados confidenciais usando identificadores de dados gerenciados: + Credenciais, como chaves privadas ou chaves de acesso AWS secretas + Informações financeiras, como números de cartão de crédito + Informações de identificação pessoal (PII), como carteiras de motorista ou números de previdência social + Informações de saúde protegidas (PHI), como seguro de saúde ou números de identificação médica + Identificadores de dispositivos, como endereços IP ou endereços MAC Para obter detalhes sobre os tipos de dados que você pode proteger, consulte [Tipos de dados que você pode proteger](protect-sensitive-log-data-types.md). **Contents** + [Noções básicas sobre políticas de proteção de dados](cloudwatch-logs-data-protection-policies.md) + [O que são políticas de proteção de dados?](cloudwatch-logs-data-protection-policies.md#what-are-data-protection-policies) + [Como a política de proteção de dados é estruturada?](cloudwatch-logs-data-protection-policies.md#overview-of-data-protection-policies) + [Propriedades JSON para a política de proteção de dados](cloudwatch-logs-data-protection-policies.md#data-protection-policy-json-properties) + [Propriedades JSON para uma declaração de política](cloudwatch-logs-data-protection-policies.md#policy-statement-json-properties) + [Propriedades JSON para uma operação de declaração de política](cloudwatch-logs-data-protection-policies.md#statement-operation-json-properties) + [Permissões de IAM necessárias para criar ou trabalhar com uma política de proteção de dados](data-protection-policy-permissions.md) + [Permissões necessárias para políticas de proteção de dados no nível da conta](data-protection-policy-permissions.md#data-protection-policy-permissions-accountlevel) + [Permissões necessárias para políticas de proteção de dados para um único grupo de logs](data-protection-policy-permissions.md#data-protection-policy-permissions-loggroup) + [Amostra da política de proteção de dados](data-protection-policy-permissions.md#data-protection-policy-sample) + [Criar uma política de proteção de dados para toda a conta](mask-sensitive-log-data-accountlevel.md) + [Console](mask-sensitive-log-data-accountlevel.md#mask-sensitive-log-data-accountlevel-console) + [AWS CLI](mask-sensitive-log-data-accountlevel.md#mask-sensitive-log-data-accountlevel-cli) + [Sintaxe da política de proteção de dados para AWS CLI nossas operações de API](mask-sensitive-log-data-accountlevel.md#mask-sensitive-log-data-policysyntax-account) + [Criar uma política de proteção de dados para um único grupo de logs](mask-sensitive-log-data-start.md) + [Console](mask-sensitive-log-data-start.md#mask-sensitive-log-data-start-console) + [AWS CLI](mask-sensitive-log-data-start.md#mask-sensitive-log-data-start-cli) + [Sintaxe da política de proteção de dados para AWS CLI nossas operações de API](mask-sensitive-log-data-start.md#mask-sensitive-log-data-policysyntax) + [Exibir dados não mascarados](mask-sensitive-log-data-viewunmasked.md) + [Relatórios de descobertas de auditoria](mask-sensitive-log-data-audit-findings.md) + [Política-chave necessária para enviar os resultados da auditoria para um bucket protegido por AWS KMS](mask-sensitive-log-data-audit-findings.md#mask-sensitive-log-data-audit-findings-kms) + [Tipos de dados que você pode proteger](protect-sensitive-log-data-types.md) + [CloudWatch Registra identificadores de dados gerenciados para tipos de dados confidenciais](CWL-managed-data-identifiers.md) + [Credenciais](protect-sensitive-log-data-types-credentials.md) + [Identificador de dados ARNs para tipos de dados de credenciais](protect-sensitive-log-data-types-credentials.md#cwl-data-protection-credentials-arns) + [Identificadores de dispositivo](protect-sensitive-log-data-types-device.md) + [Identificador de dados ARNs para tipos de dados de dispositivos](protect-sensitive-log-data-types-device.md#cwl-data-protection-devices-arns) + [Informações financeiras](protect-sensitive-log-data-types-financial.md) + [Identificador de dados ARNs para tipos de dados financeiros](protect-sensitive-log-data-types-financial.md#cwl-data-protection-financial-arns) + [Informações de saúde protegidas (PHI)](protect-sensitive-log-data-types-health.md) + [Identificador de dados ARNs para tipos de dados de informações de saúde protegidas (PHI)](protect-sensitive-log-data-types-health.md#cwl-data-protection-phi-arns) + [Informações de identificação pessoal (PII)](protect-sensitive-log-data-types-pii.md) + [Palavras-chave para números de identificação da carteira de habilitação](protect-sensitive-log-data-types-pii.md#CWL-managed-data-identifiers-pii-dl-keywords) + [Palavras-chave para números de identificação nacional](protect-sensitive-log-data-types-pii.md#CWL-managed-data-identifiers-pii-natlid-keywords) + [Palavras-chave para números de passaporte](protect-sensitive-log-data-types-pii.md#CWL-managed-data-identifiers-pii-passport-keywords) + [Palavras-chave para identificação do contribuinte e números de referência](protect-sensitive-log-data-types-pii.md#CWL-managed-data-identifiers-financial-tin-keywords) + [Identificador de dados ARNs para informações de identificação pessoal (PII)](protect-sensitive-log-data-types-pii.md#CWL-data-protection-pii-arns) + [Identificadores de dados personalizados](CWL-custom-data-identifiers.md) + [O que são identificadores de dados personalizados?](CWL-custom-data-identifiers.md#what-are-custom-data-identifiers) + [Restrições de identificadores de dados personalizados](CWL-custom-data-identifiers.md#custom-data-identifiers-constraints) + [Uso de identificadores de dados personalizados no console](CWL-custom-data-identifiers.md#using-custom-data-identifiers-console) + [Usar identificadores de dados personalizados na política de proteção de dados](CWL-custom-data-identifiers.md#using-custom-data-identifiers)